6.4.2011   

LV

Eiropas Savienības Oficiālais Vēstnesis

C 107/58

1.1

EESK apzinās, cik lielā mērā pilsoniskā sabiedrība patlaban ir atkarīga no internetā sniegtajiem pakalpojumiem. Komiteja ir nobažījusies arī par zināšanu trūkumu pilsoniskajā sabiedrībā par tās kiberdrošību. EESK uzskata, ka Eiropas Tīkla un informācijas drošības aģentūra (ENISA) ir aģentūra, kas palīdz dalībvalstīm un pakalpojumu sniedzējiem paaugstināt to vispārējos drošības standartus tā, lai visi interneta lietotāji veiktu pasākumus, kādi nepieciešami viņu personīgās kiberdrošības garantēšanai.

1.2

Tādēļ EESK atbalsta priekšlikumu pilnveidot ENISA, lai ES veicinātu augsta līmeņa tīklu un informācijas drošību un lai uzlabotu sabiedrības informētību un attīstītu tīklu un informācijas drošības kultūru ES iedzīvotāju, patērētāju, uzņēmumu un publiskā sektora organizāciju interesēs, tādējādi sekmējot netraucētu iekšējā tirgus darbību.

1.3

ENISA misija ir ļoti svarīga ES valdības, rūpniecības, tirdzniecības un pilsoniskās sabiedrības tīklu infrastruktūras drošai attīstībai. EESK sagaida, ka Eiropas Komisija noteiks ENISA visaugstākos darbības standartus un kontrolēs tās darbību, ņemot vērā pieaugošos draudus kiberdrošībai.

1.4

NATO, Eiropola un ES Komisijas izklāstītās kiberaizsardzības stratēģijas ir atkarīgas no efektīvas sadarbības ar dalībvalstīm, kuru rīcībā ir vesela virkne iekšējo aģentūru, kas strādā kiberdrošības jautājumu jomā. Paredzams, ka NATO un Eiropola stratēģijas būs proaktīvas un operatīvas. ES Komisijas stratēģijā ENISA nepārprotami ir viena no svarīgākajām Informācijas kritiskās infrastruktūras aizsardzības (CIIP) aģentūru un misiju sarežģītajā struktūrā. Lai gan jaunajā regulā ENISA nav paredzēta operatīva loma, EESK tomēr redz ENISA kā aģentūru, kurai ir galvenā atbildība par CIIP Eiropas Savienības pilsoniskajā sabiedrībā.

1.5

Operatīvā atbildība par kiberdrošību dalībvalstu līmenī ir piešķirta dalībvalstīm bet CIIP standarti 27 dalībvalstīs ir ļoti atšķirīgi. ENISA uzdevums ir panākt pieņemamu kiberdrošības līmeni arī valstīs ar vājāku attīstības līmeni šajā jomā. Tai jānodrošina dalībvalstu sadarbība un jāpalīdz tām labākās prakses izmantošanā. Ņemot vērā pārrobežu apdraudējumu, ENISA funkcijai jābūt brīdināšanai un novēršanai.

1.6

ENISA būs jāiesaistās arī starptautiskajā sadarbībā ar valstīm, kas nav ES dalībvalstis. Šāda sadarbība būs lielā mērā politiska, iesaistot daudzas ES nozares, tomēr EESK ir pārliecināta, ka ENISA jāatrod sava vieta starptautiskajā arēnā.

1.7

Komiteja uzskata, ka ENISA var būt ļoti noderīga, lai drošības jomā palīdzētu īstenot un ierosināt pētniecības projektus.

1.8

Attiecībā uz ietekmes novērtējumu EESK šobrīd neatbalstīs pilnīgu 4. un 5. varianta īstenošanu, kā rezultātā ENISA kļūtu par operatīvu aģentūru. Kiberdrošība ir tik milzīga problēma, kuras radītais apdraudējums attīstās ļoti dinamiski, ka dalībvalstīm ir jāsaglabā spēja aktīvi cīnīties pret apdraudējumu. ES operatīvo aģentūru attīstība parasti noved pie dalībvalstu spēju un prasmju pasliktināšanās. Kiberdrošības jomā ir tieši pretēji — dalībvalstu spējas ir jāuzlabo.

1.9

EESK saprot Komisijas viedokli, ka ENISA vajadzētu būt noteiktai un kontrolētai misijai ar atbilstošiem resursiem. Pat tādā gadījumā EESK izsaka bažas, ka ENISA ierobežotais 5 gadu pilnvaru termiņš savukārt var ierobežot ilgtermiņa projektus un apdraudēt aģentūras cilvēkkapitāla un zinātības attīstību. Tā būs samērā neliela aģentūra, kas risina lielu un aizvien pieaugošu problēmu. ENISA misijas darbības joma un apmērs nozīmē, ka tai jānodarbina speciālistu grupas. Tās darbs būs komplekss: gan īstermiņa uzdevumi, gan ilgtermiņa projekti. Tāpēc Komiteja vēlētos, lai ENISA pilnvaras būtu dinamiskas un beztermiņa, un tiktu apstiprinātas pēc regulāri veiktiem novērtējumiem. Tādā gadījumā resursus varētu piešķirt pakāpeniski, kad tas nepieciešams un ja nepieciešams.

2.1

Šis atzinums attiecas uz regulu, kas paredzēta ENISA turpmākai attīstībai.

2.2

Komisija savu pirmo priekšlikumu par politisko pieeju tīklu un informācijas drošības jomai izklāstīja 2001. gada paziņojumā (COM(2001) 298 galīgā redakcija). Reaģējot uz minēto paziņojumu, Retureau kungs sagatavoja visaptverošu atzinumu (1).

2.3

Pēc tam Komisija ierosināja Regulu ENISA izveidei (COM(2003) 63 galīgā redakcija). EESK atzinumu (2) par minēto regulu sagatavoja Lagerholm kungs. Aģentūru izveidoja ar EK Regulu Nr. 460/2004.

2.4

Tā kā interneta izmantošana strauji paplašinājās, informācijas drošība kļuva aizvien svarīgāka. Komisija 2006. gadā publicēja paziņojumu, kurā bija izklāstīta Drošas informācijas sabiedrības stratēģija (COM(2006) 251 galīgā redakcija). EESK atzinumu sagatavoja (3) Pezzini kungs.

2.5

Tā kā bažas par informācijas drošību turpināja pieaugt, Komisija 2009. gadā nāca klajā ar priekšlikumu par informācijas kritiskās infrastruktūras aizsardzību (COM(2009) 149 galīgā redakcija). McDonogh kungs sagatavoja atzinumu (4), ko EESK apstiprināja 2009. gada decembra plenārajā sesijā.

2.6

Patlaban ir ierosināts stiprināt un pilnveidot ENISA, lai ES veicinātu augsta līmeņa tīklu un informācijas drošību un lai uzlabotu sabiedrības informētību un attīstītu tīklu un informācijas drošības kultūru ES iedzīvotāju, patērētāju, uzņēmumu un publiskā sektora organizāciju interesēs, tādējādi sekmējot netraucētu iekšējā tirgus darbību.

2.7

Taču ENISA nav vienīgā drošības aģentūra, kas paredzēta ES kibertelpā. Reaģēšana uz kiberkaru un kiberterorismu ir militāro spēku uzdevums. Galvenā organizācija šajā jomā ir NATO. Saskaņā ar tās jauno stratēģisko koncepciju, par kuru tika paziņots 2010. gada novembrī Lisabonā (pieejama http://www.nato.int/lisbon2010/strategic-concept-2010-eng.pdf), NATO “turpinās attīstīt savu spēju novērst un atklāt kiberuzbrukumus, aizsargāties pret tiem un atgūties no to radītajiem zaudējumiem, izmantojot NATO plānošanas procesu, lai stiprinātu un saskaņotu valstu kiberaizsardzības spējas, nodrošinot visiem NATO dienestiem centralizētu kiberaizsardzību un labāk integrējot NATO un tās dalībvalstu rīcībā esošos sabiedrības informēšanas, brīdināšanas un reaģēšanas mehānismus”.

2.8

Pēc 2007. gadā notikušā kiberuzbrukuma Igaunijai 2008. gada 14. maijā oficiāli tika izveidots Kopējais kiberaizsardzības izcilības centrs (CCD COE), lai tādējādi uzlabotu NATO kiberaizsardzības spējas. Minētais centrs, kas atrodas Tallinā, Igaunijā, ir starptautiska organizācija, kuras darbību patlaban finansē Igaunija, Latvija, Lietuva, Vācija, Ungārija, Itālija, Slovākijas Republika un Spānija.

2.9

Elektroniskie noziegumi ES līmenī ir Eiropola kompetencē. Šis ir izvilkums no EiropolaLordu palātai sniegtā rakstiskā apliecinājuma (sk. http://www.publications.parliament.uk/pa/ld200910/ldselect/ldeucom/68/68we05.htm):

Ir skaidrs, ka tiesībaizsardzības iestādes nedrīkst atpalikt no noziedznieku tehnoloģiskās attīstības līmeņa, lai nodrošinātu, ka to izdarītos noziegumus ir iespējams efektīvi novērst un atklāt. Turklāt, tā kā augsto tehnoloģiju joma nepazīst robežas, spējām visā ES ir jābūt vienādi augstā līmenī, lai neļautu izveidoties “vājajām vietām”, kur noziedzība augsto tehnoloģiju jomā varētu nesodīti zelt un plaukt. Šīs spējas ES nebūt nav vienmērīgas. Patiesībā attīstība notiek ļoti nevienmērīgi — dažas dalībvalstis izvirzās priekšgalā, atsevišķās jomās sasniedzot lielu progresu, savukārt citas dalībvalstis tehnoloģiju jomā krietni atpaliek. Tādēļ ir vajadzīgs centralizēts dienests, kas visām dalībvalstīm palīdzētu saskaņot kopīgos pasākumus, veicināt pieeju un kvalitātes standartu standartizāciju un identificēt un izplatīt labāko praksi. Tikai šādā veidā ES ir iespējams nodrošināt viendabīgus tiesībaizsardzības pasākumus noziedzības apkarošanai augsto tehnoloģiju jomā.

2.10

Eiropols 2002. gadā izveidoja Augsto tehnoloģiju noziegumu centru (HTCC). Tas ir salīdzinoši neliels dienests, taču ir paredzēts, ka nākotnē tas tiks paplašināts kā centrālais elements Eiropola darbībai šajā jomā. HTCC ir būtiska nozīme koordinācijas, operatīvā atbalsta, stratēģiskās analīzes un apmācības jomā. Īpaši svarīga ir apmācības funkcija. Turklāt Eiropols ir izveidojis arī ECCP — Eiropas kibernoziedzības platformu. Tās darbībā galvenā uzmanība ir pievērsta šādiem jautājumiem:

2.11

ES kiberdrošības stratēģija ir izklāstīta Digitālās programmas Eiropai nodaļā “Uzticēšanās un drošība”. Problēmas ir izklāstītas šādi:

līdz šim ir pierādījies, ka internets ir labi aizsargāts, elastīgs un stabils, bet IT tīkliem un galalietotāju termināļiem joprojām draud visdažādākās briesmas: pēdējos gados saradies tik daudz surogātpasta, ka e-pasta kustība internetā ir bijusi pamatīgi apgrūtināta — pēc dažādiem aprēķiniem tas veido 80–98 % no visa apritē esošā e-pasta — un tas izplata visdažādākos vīrusus un ļaundabīgu programmatūru. Arvien pieaug identifikācijas zādzības un krāpšana tiešsaistē. Uzbrukumi kļūst izsmalcinātāki (Trojas zirgi, botu tīkli, utt.), un to motivācija bieži ir finansiāla. Tiem var būt arī politiska motivācija, kā pierādījās nesenajos kiberuzbrukumos Igaunijai, Lietuvai un Gruzijai.

2.12

Programmā paredzētie pasākumi:

6. pamatpasākums: 2010. gadā nākt klajā ar pasākumiem, kuru mērķis ir pastiprināta augsta līmeņa Tīklu un informācijas drošības politika, tostarp tādas likumdošanas iniciatīvas kā ENISA modernizācija un pasākumi, kas ļauj straujāk reaģēt kiberuzbrukuma gadījumā, ieskaitot reaģēšanas grupas datorapdraudējumu gadījumos (CERT) ES iestādēs.

7. pamatpasākums: līdz 2010. gadam nākt klajā ar pasākumiem, tostarp likumdošanas iniciatīvām, kiberuzbrukumu informācijas sistēmām apkarošanai un līdz 2013. gadam — ar to saistītiem noteikumiem par jurisdikciju kibertelpā Eiropas un starptautiskā līmenī.

2.13

2010. gada novembra paziņojumā (COM(2010) 673 galīgā redakcija) Komisija papildināja minēto programmu, izklāstot ES iekšējās drošības stratēģiju. Tajā ir izvirzīti pieci mērķi, un trešais no tiem paredz uzlabot iedzīvotāju un uzņēmumu drošību kibertelpā. Ir paredzētas trīs rīcības programmas un tajās noteiktie pasākumi ir sīki izklāstīti sekojošajā tabulā (avots: paziņojums, pieejams http://ec.europa.eu/commission_2010-2014/malmstrom/archive/internal_security_strategy_in_action_en.pdf.

2.14

NATO, Eiropola un ES Komisijas izklāstītās stratēģijas ir atkarīgas no efektīvas sadarbības ar dalībvalstīm, kuru rīcībā ir vesela virkne iekšējo aģentūru, kas strādā ar kiberdrošības jautājumiem. Ir paredzēts, ka NATO un Eiropola stratēģijas būs proaktīvas un operatīvas. ES Komisijas stratēģijā ENISA nepārprotami ir viena no svarīgākajām CIIP aģentūru un misiju sarežģītajā struktūrā. Lai gan jaunajā regulā ENISA nav paredzēta operatīva loma, EESK tomēr redz ENISA kā aģentūru, kurai ir galvenā atbildība par CIIP Eiropas Savienības pilsoniskajā sabiedrībā.

3.1

Problēmai, kas jārisina ENISA, ir septiņi šādi cēloņi:

3.2

ENISA priekšlikums nodrošina spēkā esošās politikas nosacījumu un jauno, ES Digitālajā programmā izklāstīto iniciatīvu apvienošanu.

3.3

Spēkā esošās politikas, kuras atbalstīs ENISA:

3.4

Jaunie politikas virzieni, kurus atbalstīs ENISA:

3.5

Pirms šī priekšlikuma pabeigšanas tika izskatīti pieci dažādi politikas varianti. Katrā variantā bija norādīta tā misija un pieejamie resursi. Tika izraudzīts trešais variants. Tas paredz ENISA pašreizējo funkciju paplašināšanu un to, ka tiesībsargājošās un privātuma aizsardzības iestādes kļūst par pilntiesīgām aģentūras ieinteresētajām personām.

3.6

Modernizēta tīklu un informācijas drošības aģentūra saskaņā ar 3. variantu palīdzētu

3.7

Saskaņā ar 3. variantu ENISA rīcībā būtu visi tās pienācīgai un efektīvai darbībai vajadzīgie resursi, radot patiesu ietekmi. Lielāki resursi (5) ļautu ENISA uzņemties daudz proaktīvāku lomu un uzsākt vairāk iniciatīvu, lai veicinātu ieinteresēto personu aktīvu līdzdalību. Turklāt šajos jaunajos apstākļos aģentūra varētu rīkoties elastīgāk un ātri reaģēt uz pārmaiņām pastāvīgi mainīgajā tīklu un informācijas drošības vidē.

3.8

4. politikas variants ietver ar kiberuzbrukumu apkarošanu un kiberincidentu risināšanu saistītas operatīvās funkcijas. Papildus iepriekš izklāstītajai darbībai aģentūrai būtu jāpilda operatīvas funkcijas, piemēram, jāuzņemas aktīvāka loma ES CIIP — kā ES tīklu un informācijas drošības datorapdraudējumu reakcijas komandai (CERT) jāiesaistās incidentu novēršanā un risināšanā un kā ES tīklu un informācijas drošības štābam jākoordinē dalībvalstu CERT darbības, tostarp ikdienas pārvaldība un ārkārtas dienestu darbība.

3.9

Izvēloties 4. variantu, papildus 3. variantā sasniedzamajai ietekmei tiktu panākta lielāka operatīvā ietekme. Darbojoties kā ES tīklu un informācijas drošības CERT un koordinējot dalībvalstu CERT darbību, aģentūra palīdzētu gūt lielākus apjomradītus ietaupījumus, reaģējot uz ES mēroga incidentiem, un samazināt uzņēmumu darbības riskus, piemēram, pateicoties augstākam drošības un noturības līmenim. Izvēloties 4. variantu, būtu ievērojami jāpalielina aģentūras budžets un cilvēkresursi, bet vēlamo rezultātu kontekstā tas rada bažas par aģentūras spēju apgūt un efektīvi izlietot budžetu.

3.10

5. politikas variants ietver operatīvās funkcijas tiesībsargājošo un tiesu iestāžu atbalstam kibernoziedzības apkarošanā. Papildus 4. variantā izklāstītajai darbībai šis variants ENISA dotu iespēju

3.11

Salīdzinājumā ar 3. un 4. variantu 5. variantā paredzētās papildu operatīvās funkcijas tiesībsargājošo un tiesu iestāžu atbalstam palīdzētu efektīvāk apkarot kibernoziedzību.

3.12

Izvēloties 5. variantu, būtu ievērojami jāpalielina aģentūras resursi, bet tas atkal radītu bažas par aģentūras spēju apgūt un efektīvi izlietot budžetu.

3.13

Lai gan 4. un 5. variantam būtu lielāka pozitīvā ietekme nekā 3. variantam, Komisija uzskata, ka pastāv vairāki iemesli, kādēļ minētos variantus nevajadzētu izvēlēties.

4.1

Aģentūra palīdz dalībvalstīm un Komisijai izpildīt tiesiskās un reglamentējošās prasības tīklu un informācijas drošības jomā.

4.2

Valde nosaka aģentūras darbības vispārīgo virzienu.

4.3

Valdē ir pa vienam pārstāvim no katras dalībvalsts, trīs pārstāvji, ko ieceļ Komisija, kā arī pa vienam IST nozares, patērētāju grupu un IT akadēmisko ekspertu pārstāvim.

4.4

Aģentūru vada neatkarīgs izpilddirektors, kurš atbild par aģentūras darba programmas izstrādi iesniegšanai apstiprināšanai valdē.

4.5

Izpilddirektors atbild arī par gada budžeta sastādīšanu atbilstoši darba programmai. Valde gan budžetu, gan darba programmu iesniedz apstiprināšanai Komisijai un dalībvalstīm.

4.6

Pamatojoties uz izpilddirektora ieteikumu, valde izveido pastāvīgu ieinteresēto personu grupu, kurā ir eksperti, kas pārstāv informācijas un sakaru tehnoloģiju nozari, patērētāju grupas, akadēmiskus ekspertus tīklu un informācijas drošības jomā un tiesībsargājošās un privātuma aizsardzības iestādes.

4.7

Tā kā regula patlaban vēl ir tikai priekšlikuma stadijā, pastāv zināmas neskaidrības par skaitļiem. Šobrīd aģentūrā ir 44–50 darbinieki un budžets 8 miljonu EUR apmērā. 3. variantā ir paredzēts, ka darbinieku skaits būs 99 un budžeta apjoms būs EUR 17 miljoni.

4.8

Regulā ir ierosināts noteikts pilnvaru termiņš, kas ir pieci gadi.