10.3.2017   

LV

Eiropas Savienības Oficiālais Vēstnesis

C 75/124

Ziņotājs:

Thomas McDONOGH

1.1.

Komiteja atzinīgi vērtā Komisijas paziņojumu “Kā nostiprināt Eiropas Kiberizturētspējas sistēmu un sekmēt konkurētspējīgu un inovatīvu kiberdrošības nozari”. Komiteja tāpat kā Komisija raizējas par ieilgušo Eiropas neaizsargātību pret kiberuzbrukumiem, piezīmēdama, ka vismaz 80 % Eiropas uzņēmumu pagājušajā gadā ir piedzīvojuši vismaz vienu kiberdrošības incidentu un ka 2015. gadā drošības incidentu daudzums visās nozarēs visā pasaulē ir palielinājies par 38 % (2016. gada aptauja par vispārējo informācijas drošības stāvokli, PWC). Komiteja piekrīt Komisijai, ka ir nepieciešams veikt virkni pasākumu, lai stiprinātu Eiropas kiberizturētspējas sistēmu un veicinātu konkurētspējīgu un inovatīvu kiberdrošību Eiropā.

1.2.

Komiteja šo priekšlikumu īpaši atzinīgi vērtē, ņemot vērā, ka nesen pieņemta direktīva par pasākumiem nolūkā panākt vienādi augsta līmeņa tīklu un informācijas sistēmu drošību visā Savienībā (Kiberdrošības direktīva) (1), kurā paredzēts saskaņot pieeju kiberdrošībai Eiropas Savienībā, un Kiberdrošības stratēģija (2), kas ir plašāka un kurā ir izklāstīts pašreizējais redzējums par to, kā vislabāk novērst kibertraucējumus un kiberuzbrukumus un kā uz tiem reaģēt, sekmēt Eiropas brīvības un demokrātijas vērtības un nodrošināt, lai digitālā ekonomika varētu droši attīstīties.

1.3.

EESK piekrīt, ka ir jāveic visaptveroši pasākumi, lai turpmāk aizsargātu Eiropai vitāli svarīgo digitālo infrastruktūru un digitālos pakalpojumus pret drošības apdraudējumu, un ir gandarīta, ka pašlaik ierosinātie pasākumi ir būtisks solis uz priekšu to komitejas ieteikumu īstenošanā, kas ietverti daudzos iepriekšējos atzinumos (3) par kiberdrošības uzlabošanu visā Savienībā.

1.4.

EESK ir gandarīta, ka Komisija ir apstiprinājusi līgumiskās publiskā un privātā sektora partnerības (cPPP) izveidi kiberdrošības jomā, kas varētu piesaistīt investīcijas 1,8 miljardu euro apmērā ES kiberdrošības nozarē ar mērķi stiprināt sadarbību pētniecības un inovācijas procesa agrīnajos posmos un veidot kiberdrošības risinājumus tādās nozarēs kā, piemēram, enerģētika, veselības aizsardzība, transports un finanses. Komiteja jo īpaši pauž cerību, ka šī līgumiskā publiskā un privātā sektora partnerība tiks izmantota, lai atbalstītu darbības sākuma posmā esošu kiberdrošības uzņēmumu attīstību visā Savienībā.

1.5.

EESK atzinīgi vērtē Komisijas vēlmi līdz 2017. gada beigām novērtēt, vai ir nepieciešams grozīt vai paplašināt Eiropas Savienības Tīklu un informācijas drošības aģentūras (ENISA) pilnvaras, un vēlas, lai Komisija par šo tematu apspriežas ar komiteju. EESK uzskata, ka, veicot jebkādu ENISA pilnvaru paplašināšanu, šai aģentūrai ir jāparedz plašāka operatīvā loma, lai tā varētu visā Savienībā efektīvāk palielināt informētību par kiberuzbrukumu draudiem un reaģētspēju. Šai aģentūrai arī jānosaka tiešāka atbildība par izglītību kiberdrošības jomā un par informētības palielināšanas programmām, kas īpaši paredzētas iedzīvotājiem un mazajiem un vidējiem uzņēmumiem (MVU).

1.6.

Lai ES līmenī nodrošinātu spēcīgu līderību un integrāciju, kura nepieciešama, lai veiksmīgi īstenotu efektīvu Eiropas kiberdrošības politiku, komiteja aicina Komisiju apsvērt iespēju pārveidot ENISA par ES līmeņa iestādi kiberdrošības jautājumos, kas būtu līdzīga aviācijas nozares centrālajai iestādei – Eiropas Aviācijas drošības aģentūrai (EASA). Ja minētā ENISA pilnvaru maiņa nav iespējama, EESK iestājas par šādas iestādes izveidošanu no jauna.

1.7.

Ar mērķi objektīvi noteikt katras dalībvalsts kiberdrošības izturētspējas stāvokli EESK aicina Komisiju apsvērt nacionālās kiberdrošības modeļa un reitinga sistēmas izveidi, kas būtu analoga Spēju brieduma modelim (CMM) IT nozarē.

1.8.

Komiteja ņem vērā, ka Komisija apsvērs nepieciešamību tuvākajā nākotnē atjaunināt ES 2013. gada Kiberdrošības stratēģiju, un sagaida savlaicīgu apspriešanos par Komisijas idejām.

1.9.

Ņemot vērā kiberdrošības nozīmi un arvien lielākos kibernoziedzības draudus, EESK aicina Eiropas Kibernoziedzības centram Eiropolā un Eiropas Aizsardzības aģentūrai piešķirt atbilstošu finansējumu un līdzekļus.

1.10.

Ņemot vērā, ka ir ļoti svarīgi aizsargāt iedzīvotāju personisko informāciju, ko glabā publiskās administrācijas iestādes un aģentūras, komiteja vēlas, lai tām personām, kas strādā publiskajā administrācijā, tiktu ieviestas īpašas mācības par informācijas pārvaldību, datu aizsardzību un kiberdrošību.

1.11.

Visaptveroši raugoties uz ES aizsardzību pret kibernoziegumiem un kiberuzbrukumiem, kā arī uz spēcīgas kiberdrošības nozares veidošanu Eiropā, EESK uzskata, ka ES kiberdrošības stratēģijai un politikai būtu it īpaši jānodrošina: spēcīga ES līderība; kiberdrošības politika, kas pastiprina drošību un vienlaikus aizsargā privātumu un citas pamattiesības; iedzīvotāju izpratnes palielināšana un proaktīvas aizsardzības sekmēšana; visaptveroša pārvaldības struktūra dalībvalstīs; labi informēta un atbildīga uzņēmumu rīcība; cieša partnerība starp valdībām, privāto sektoru un iedzīvotājiem; pienācīga apjoma ieguldījumi; labi tehniskie standarti un pietiekami ieguldījumi pētniecībā, izstrādē un inovācijā; sadarbība starptautiskā līmenī.

2.1.

Komisijas paziņojumā ir izklāstīti pasākumi, kuru mērķis ir nostiprināt Eiropas kiberizturētspējas sistēmu un veicināt konkurētspējīgas un inovatīvas kiberdrošības nozares veidošanu Eiropā, kā noteikts ES kiberdrošības stratēģijā un digitālā vienotā tirgus stratēģijā.

2.2.

Tāpēc Komisijas ierosinātie priekšlikumi ir sasaistīti ar Kiberdrošības direktīvas noteikumiem, kuru mērķis ir visā Savienībā stiprināt sadarbību, informācijas apmaiņu, apmācības un drošības organizēšanu kiberdrošības jomā. Līdz 2017. gada beigām Komisija pabeigs arī ENISA novērtēšanu un apsvērs nepieciešamību mainīt vai paplašināt tās pilnvaras.

2.2.1.

Komisija cieši sadarbosies ar dalībvalstīm, ENISA, EĀDD un citām attiecīgajām ES struktūrvienībām, lai izveidotu apmācības platformu kiberdrošības jomā.

2.2.2.

Vairāki pasākumi ir paredzēti, lai risinātu starpnozaru atkarības jautājumu un uzlabotu galvenās publiskās tīkla infrastruktūras izturētspēju, tostarp attīstītu nozaru informācijas apmaiņas un analīzes centrus un to sadarbību ar datordrošības incidentu reaģēšanas vienībām (CSIRT). Komisija ierosina arī noteikt, ka valstu iestādes drīkst pieprasīt, lai CSIRT veiktu regulāras galveno tīkla infrastruktūru pārbaudes.

2.3.

Komisijas ierosinātie pasākumi būs vērsti arī uz nepieciešamību palielināt atbalstu spēcīgas Eiropas kiberdrošības nozares izaugsmei un attīstībai, izmantojot apmācību, investīcijas, ar vienoto tirgu saistītas prasības un jaunas publiskā un privātā sektora partnerības izveidi kiberdrošības jomā – gaidāms, ka tā līdz 2020. gadam piesaistīs investīcijas 1,8 miljardu euro apmērā.

2.3.1.

Ir ierosināts arī izstrādāt Eiropas IKT drošības sertificēšanas satvara priekšlikumu, kas būtu jāiesniedz līdz 2017. gada beigām, kā arī izvērtēt atvieglota Eiropas kiberdrošības marķēšanas satvara izpildāmību un ietekmi.

2.3.2.

Ar mērķi palielināt investīcijas kiberdrošības jomā Eiropā un atbalstīt MVU Komisija gatavojas palielināt kiberdrošības kopienas izpratni par pastāvošajām finansēšanas iespējām; tā paplašinās ES rīku un instrumentu izmantošanu, lai palīdzētu inovatīviem MVU izpētīt potenciālo sinerģiju starp civilo un aizsardzības kiberdrošības tirgu (piemēram, Eiropas Biznesa atbalsta tīkls un ar aizsardzību saistītu reģionu Eiropas tīkls sniegs reģioniem jaunas iespējas izpētīt pārrobežu sadarbību divējāda lietojuma produktu jomā, tostarp kiberdrošības jomā, un MVU dos iespēju meklēt sadarbības partnerus); izpētīs, vai iespējams atvieglot piekļuvi investīcijām, izmantojot īpaši paredzētu kiberdrošības investīciju platformu vai citus rīkus; izstrādās kiberdrošības lietpratīgas specializācijas platformu, lai sniegtu atbalstu dalībvalstīm un reģioniem, kas ir ieinteresēti investēt kiberdrošības nozarē (RIS3).

2.3.3.

Turklāt ar mērķi stimulēt un veicināt Eiropas kiberdrošības nozari, izmantojot inovācijas, Komisija parakstīs līgumisko publiskā un privātā sektora partnerību (cPPP) kiberdrošības jomā; tā pamatprogrammas “Apvārsnis 2020” ietvaros izsludinās uzaicinājumus iesniegt priekšlikumus; nodrošinās kiberdrošības cPPP saskaņošanu ar attiecīgajām nozaru stratēģijām, “Apvāršņa 2020” instrumentiem un nozaru PPP.

3.1.

Eiropas Savienībā digitālā ekonomika rada vairāk par vienu piektdaļu no IKP izaugsmes, un lielākā daļa eiropiešu ik gadu iepērkas tiešsaistē. Mēs esam atkarīgi no interneta un savienotām digitālām tehnoloģijām, kuras atbalsta mums ļoti svarīgus pakalpojumus enerģētikas, veselības aprūpes, pārvaldības un finanšu jomā. Taču vitāli svarīgā digitālā infrastruktūra un pakalpojumi, kuriem ir tik liela nozīme mūsu saimnieciskajā un sociālajā dzīvē, nav aizsargāta pret pieaugošu kibernoziegumu un kiberuzbrukumu risku, kas apdraud mūsu pārticību un dzīves kvalitāti.

3.2.

Pašlaik valdības, publisko iestāžu un struktūrvienību rīcībā ir plaša personiska informācija par visiem iedzīvotājiem. Tāpēc laba informācijas pārvaldība, kiberdrošība un datu aizsardzība ir ļoti svarīga visiem Savienības iedzīvotājiem – viņiem ir nepieciešama pārliecība, ka viņu personiskā informācija un privātums tiek aizsargāts atbilstoši ES direktīvām un regulām. Tas jo īpaši attiecas uz datiem par veselību, finansēm, juridiskajiem un citiem tādiem jautājumiem, kurus būtu iespējams izmantot, lai nozagtu identitāti vai kurus būtu iespējams neatbilstīgi atklāt trešām personām. Ir ārkārtīgi svarīgi, lai visi publiskā sektora darbinieki būtu labi sagatavoti informācijas pārvaldības, kiberdrošības un datu aizsardzības jomā.

3.3.

Iedzīvotāju izglītošanai kiberdrošības, tostarp datu drošības jomā, vajadzētu būtu ietvertai ikvienā digitālo līdzekļu lietotprasmes mācību programmā. Ar ES uzturētu izglītības programmu būtu iespējams stimulēt mazāk aktīvo dalībvalstu darbu un arī nodrošināt, lai stratēģija tiktu pareizi izprasta, tādējādi samazinot bailes no privātās dzīves apdraudējuma un uzlabojot uzticēšanos digitālajai ekonomikai. Šādu programmu visā Savienībā varētu īstenot, iesaistoties patērētāju apvienībām un pilsoniskās sabiedrības organizācijām, kā arī tām izglītības iestādēm, kuras rūpējas par vecāku cilvēku vajadzībām.

3.4.

Dalībvalstīm vajadzētu dot jau eksistējošajām rūpniecības attīstības organizācijām pilnvaras informēt, izglītot un atbalstīt MVU sektoru jautājumos, kas saistīti ar kiberdrošību. Lielajiem uzņēmumiem iegūt nepieciešamās zināšanas ir viegli, bet mazajiem un vidējiem uzņēmumiem vajadzīgs atbalsts.

3.5.

Būtu ļoti noderīgi iegūt objektīvus mērījumus par katras dalībvalsts kiberdrošības izturētspējas līmeni, jo salīdzinājumus būtu iespējams izmantot nepilnību novēršanai un uzlabojumu veikšanai. Iespējams, ka nacionālo kiberdrošības attīstības modeli un reitinga sistēmu varētu veidot pēc IT nozares Spēju brieduma modeļa (CMM) parauga: ar to būtu jānosaka nacionālās kiberdrošības aizsardzības un izturētspējas stāvoklis.

3.6.

Visaptverošā kiberdrošības stratēģijā vajadzētu būt ietvertiem šādiem elementiem:

4.1.

Balstoties uz kiberdrošības pārvaldības sistēmu, kas aprakstīta Kiberdrošības direktīvā, un tālākajiem pasākumiem, kas tagad iekļauti šajā paziņojumā, ES būtu jāizskata iespēja visā Savienībā pilnveidot fragmentēto kiberdrošības uzlabošanas metodi un šajā nolūkā būtu jāizveido spēcīga centralizēta kiberdrošības iestāde, kas būtu līdzīga aviācijas nozares centrālajai iestādei Eiropas Aviācijas drošības aģentūrai (EASA) vai nesen ASV izveidotajam federālā informācijas drošības direktora amatam (Nacionālais Kiberdrošības rīcības plāns, Baltais nams, 2016. gada 9. februāris), un tai būtu jāatbild par kiberdrošības politikas īstenošanas pārraudzību ES līmenī un par dažādu šajā jomā strādājošu aģentūru darba koordināciju.

4.2.

Komiteja ir gandarīta par gadu gaitā iegūtajām ENISA prasmēm un ir pārliecināta, ka tā var dot vēl lielāku ieguldījumu Eiropas kiberdrošības izturētspējas un drošības jomā. ENISA operatīvās pilnvaras būtu jāstiprina ar mērķi efektīvāk celt informētību par kiberuzbrukumu draudiem un spēju reaģēt visā Savienībā. Pašlaik ir īstais brīdis tās pilnvaru pārskatīšanai, ņemto vērā, kā ir mainījusies kiberdrošības vide kopš ENISA izveides. Balstoties uz Kiberdrošības direktīvu, iespējams, varētu paplašināt ENISA operatīvo lomu ar mērķi palielināt vērtību, ko tā varētu nodrošināt Eiropas Savienībai, dalībvalstīm, iedzīvotājiem un uzņēmumiem, ņemot vērā tās kompetenci un sinerģiju ar citām tādām ES un dalībvalstu iestādēm, aģentūrām un struktūrvienībām kā Eiropas Kibernoziedzības centrs un Eiropas Aizsardzības aģentūra. ENISA būtu arī jānosaka tiešāka atbildība par izglītību kiberdrošības jomā un par informētības palielināšanas programmām, kas īpaši paredzētas iedzīvotājiem un mazajiem un vidējiem uzņēmumiem

4.3.

2013. gadā, kad Eiropas Kibernoziedzības centrs (EC3) tika izveidots, tā operatīvais budžets bija tikai septiņi miljoni euro – mazāk nekā 10 % no Eiropola budžeta (Eiropas Komisijas 2012. gada 9. janvāra paziņojums presei 13/6). 2014. gadā EC3 direktors norādīja, ka budžeta samazinājumi ir būtiski ierobežojuši viņa vienībai piešķirtos resursus un ka centram ir ļoti grūti izsekot kibernoziedzības apdraudējuma straujajām pārmaiņām (izdevums Security Magazine, 2014. gada 1. novembris). EESK uzskata, ka Eiropolam kibernoziedzības apkarošanai piešķirtie resursi ir būtiski jāpalielina, lai būtu iespējams izsekot apdraudējuma pārmaiņām. 2016. gadā Eiropola budžets joprojām ir tikai 100 miljoni euro (4).

4.4.

Komiteja atzinīgi vērtē Kiberdrošības direktīvas noteikumus un paziņojumā ierosinātos priekšlikumus ar mērķi uzlabot sadarbību starp dalībvalstīm kiberdrošības jomā. Lai panāktu visu iedzīvotāju drošību un stipru kiberizturētspēju visā ES, kurā kritiski svarīgās infrastruktūras informācijas sistēmas bieži vien ir savstarpēji savienotas, ir svarīgi, lai ar sadarbības pasākumiem tiktu ņemta vērā arvien lielākā plaisa starp dalībvalstīm, kurās kiberdrošības prasmes ir visaugstākajā līmenī, un tām dalībvalstīm, kurās šīs prasmes ir vismazāk attīstītas.