52003AE0747

Advies van het Europees Economisch en Sociaal Comité over het "Voorstel voor een verordening van het Europees Parlement en de Raad tot oprichting van het Europees Agentschap voor netwerk- en informatiebeveiliging"

(COM(2003) 63 def. - 2003/0032 (COD))

(2003/C 220/07)

Op 3 maart 2003 heeft de Raad besloten het Europees Economisch en Sociaal Comité overeenkomstig artikelen 95 en 156 van het EG-Verdrag te raadplegen over het voornoemde voorstel.

De gespecialiseerde afdeling "Vervoer, energie, infrastructuur en informatiemaatschappij", die was belast met de voorbereidende werkzaamheden, heeft haar advies op 5 juni 2003 goedgekeurd; rapporteur was de heer Lagerholm.

Het Europees Economisch en Sociaal Comité heeft tijdens zijn 400e zitting van 18 en 19 juni 2003 (vergadering van 18 juni) het volgende advies uitgebracht, dat met 71 stemmen vóór, bij 1 onthouding, is goedgekeurd.

1. Inleiding

1.1. Informatiesystemen zijn van groot belang voor de hele economie, dus niet alleen voor de meeste bedrijfssectoren, maar ook voor de overheidssector, de universitaire wereld, andere onderwijsinstellingen en de bevolking. Bij fouten in dergelijke systemen is iedereen de dupe, zowel de bevolking als de overheid en het bedrijfsleven.

1.2. De Europese Gemeenschap zou gebaat zijn bij een verder doorgevoerde samenwerking tussen de lidstaten, om zodoende in alle lidstaten een toereikend beveiligingsniveau te bereiken. Dit is de doelstelling van de mededeling van de Commissie voor netwerk- en informatiebeveiliging van juni 2001(1).

1.3. Beveiliging is uitgegroeid tot een belangrijke kwestie voor gebruikers en dus ook tot een belangrijk beleidsvraagstuk. Sinds 11 september 2001 is de juiste werking van informatiesystemen bovendien van belang voor de nationale veiligheid. De huidige werkfase en de aandachtsgebieden variëren echter per lidstaat. Lidstaten kennen geen systematische transnationale samenwerking op het gebied van netwerk- en informatiebeveiliging, ondanks het feit dat beveiligingsproblematiek geen geïsoleerd probleem is dat slechts in één land voorkomt. Er bestaat geen mechanisme dat een effectieve respons op bedreigingen van de veiligheid garandeert. De tenuitvoerlegging van het wettelijke kader verschilt. Er is een gebrek aan interoperabiliteit dat een juist gebruik van beveiligingsproducten en diensten belemmert.

1.4. Het agentschap moet de toepassing van communautaire maatregelen ten aanzien van netwerk- en informatiebeveiliging bevorderen en de interoperabiliteit van beveiligingsfuncties in netwerken en informatiesystemen helpen garanderen, om zodoende bij te dragen aan de werking van de interne markt.

1.5. Het agentschap krijgt adviserende en coördinerende taken:

- bijdragen tot een brede samenwerking tussen de verschillende spelers in de wereld van de informatiebeveiliging;

- bijdragen tot een gecoördineerde benadering van informatiebeveiliging door ondersteuning te geven aan lidstaten;

- een ondersteunende rol spelen bij het vaststellen van relevante behoeften aan standaardisering;

- ondersteuning bieden aan de betrekkingen van de Gemeenschap met de desbetreffende partijen in derde landen.

1.6. Het is noodzakelijk dat de Commissie in staat is aanvullende taken aan het agentschap toe te wijzen om met de huidige technologische en maatschappelijke ontwikkelingen in de pas te kunnen blijven lopen.

1.7. Er wordt voorgesteld om het agentschap vanaf 1 januari 2004 operationeel te laten zijn en gedurende 5 jaar te laten functioneren. Het voortbestaan van het agentschap is afhankelijk van de resultaten van de evaluatie die zal worden uitgevoerd.

2. Algemene opmerkingen

2.1. Diverse malen en in verschillende adviezen heeft het EESC zich een voorstander getoond van initiatieven die de informatiemaatschappij ten goede komen, zoals het actieplan eEurope (netwerk- en informatieveiligheid)(2), de bestrijding van computercriminaliteit(3), de ontwikkeling van een informatiemaatschappij zonder discriminatie(4), en het recht op een veilige toegang tot internet wat de bescherming van persoonsgegevens en commerciële transacties en informatiediensten betreft(5).

2.2. Terecht wijst de Commissie erop dat de veilige werking van netwerk- en informatiesystemen zeer belangrijk is. Als er wat dit betreft iets fout gaat, ondervindt iedereen de gevolgen ervan: bevolking, bedrijfsleven en overheid. Volgens het hedendaagse perspectief staat netwerk- en informatiebeveiliging onder meer voor het garanderen van de beschikbaarheid van diensten en gegevens, het voorkomen van verstoring en ongeautoriseerde onderschepping van communicatie, het bevestigen dat de verzonden, ontvangen of opgeslagen gegevens volledig en ongewijzigd zijn, het beveiligen van informatiesystemen tegen ongeautoriseerde toegang en tegen aanvallen. Gebruikers moeten de nieuwe techniek kunnen vertrouwen, of zij er nu op het werk, in een onderwijsinstelling of thuis gebruik van maken. Beveiligingseisen zullen snel veranderen, omdat netwerken en computers zich blijven ontwikkelen en computers steeds dieper in de samenleving doordringen. In dit verband is het ook van belang dat de veiligheidseisen worden aangepast aan nieuwe gebruikspatronen die door de snelle ontwikkelingen ontstaan. Vooral door het toenemende gebruik van mobiel Internet en van nieuwe draadloze communicatiesystemen zijn de veiligheids-, versleutelings- en toegankelijkheidseisen veranderd.

2.3. Als Europa in 2010 tot de meest concurrerende en dynamische kenniseconomie van de wereld wil zijn uitgegroeid, dan moeten gebruikers steeds kunnen vertrouwen op de informatietechniek en op de (infrastructuur van de) informatiemaatschappij. Om het actieplan eEurope te kunnen uitvoeren, vooral wat elektronische handel, elektronische gezondheidszorg, elektronisch bestuur en elektronische markten betreft, is een beter toegankelijke en veiliger infrastructuur nodig en moeten gebruikers meer vertrouwen krijgen in de informatietechnologie.

2.4. Zoals de Commissie constateert, lopen sommige lidstaten achter als het op veiligheidsmaatregelen aankomt, wat waarschijnlijk voornamelijk komt doordat zij minder gebruikmaken van elektronische dienstverlening dan andere lidstaten. Wil de informatiemaatschappij er echt komen, dan zijn er in de EU gemeenschappelijke normen, certificeringscriteria en veiligheidsmaatregelen nodig. Dit is van cruciaal belang voor de bevolking, het bedrijfsleven, universiteiten en de overheid in de hele EU. Veiligheid kan niet langer worden gezien als het exclusieve probleem van een bepaalde lidstaat. Het EESC staat daarom achter het voorstel van de Commissie om een Europees Agentschap voor netwerk- en informatiebeveiliging op te richten.

2.5. Een andere kwestie is de Europese samenwerking ter bestrijding van bedreigingen van de informatiemaatschappij waarbij de nationale veiligheid gevaar loopt. Een dergelijke samenwerking is alleen mogelijk als er ook sprake is van samenwerking tussen de handhavings- en justitiële autoriteiten van de lidstaten. Er moet onderscheid worden gemaakt tussen activiteiten die bedoeld zijn om nationale overheden omver te werpen en activiteiten waardoor de individuele burger niet meer veilig gebruik kan maken van de mogelijkheden die de informatiemaatschappij biedt. De eerstgenoemde activiteiten kunnen niet regionaal, maar alleen in EU-verband worden bestreden. Het EESC, dat beseft hoe concreet deze bedreigingen kunnen worden, is het met de Commissie eens dat het agentschap zich niet moet bemoeien met onderwerpen waar de veiligheids-, defensie-, handhavings- en justitiële autoriteiten van de lidstaten zich normaliter mee bezighouden. Wel moet te zijner tijd nagegaan worden of de werkzaamheden van het agentschap negatief worden beïnvloed door deze beperkte taakomschrijving én of er aanleiding is om een duidelijk onderscheid te maken tussen nationale veiligheid en functionele informatieveiligheid.

2.6. Het agentschap zou zo snel mogelijk aan het werk moeten gaan. De deadline hiervoor - 1 januari 2004 - mag niet worden overschreden door allerlei praktische problemen zoals langdurige discussies over de vestigingsplaats.

3. Bijzondere opmerkingen

3.1. Het agentschap moet een bredere opdracht krijgen dan de Commissie nu voorstelt in haar mededeling. Het dient niet alleen gezamenlijke inzichten tot stand te brengen ten aanzien van problemen met de beveiliging van informatie of ondersteuning te bieden aan EU-maatregelen die betrekking hebben op netwerk- en informatiebeveiliging, maar moet er ook voor zorgen dat de lidstaten hun relevante kennis en ervaringen uitwisselen. Op die manier kan een digitale kloof in de EU worden voorkomen en zijn de EU en de lidstaten beter in staat om eventuele problemen aan te pakken. Bovendien krijgen gebruikers zo meer vertrouwen in de informatietechnologie en de (infrastructuur van de) informatiemaatschappij.

3.2. De Commissie is terecht van mening dat de organisatorische structuur ruimte dient te bieden voor de betrokkenheid van de diverse belanghebbenden van het Agentschap. Vooral individuele gebruikers en gebruikers uit het bedrijfsleven en de universitaire wereld zijn in dit verband van belang, al moet natuurlijk ook de aanbodzijde vertegenwoordigd zijn. Het EESC steunt daarom het voorstel dat er in de raad van bestuur vertegenwoordigers komen van het bedrijfsleven en de consumenten, maar ziet niet in waarom deze leden geen stemrecht zouden mogen hebben, vooral als men bedenkt dat ook zij volgens het voorstel door de Raad zullen worden aangesteld. Het bedrijfsleven, wetenschappers en consumenten hebben vaak meer ervaring met de mogelijkheden van de informatiemaatschappij dan vertegenwoordigers van het openbaar bestuur.

3.3. Het EESC is het in grote lijnen eens met de in hoofdstuk 3.5 voorgestelde taken van het agentschap, maar plaatst hier wel de volgende kanttekeningen bij:

3.3.1. Het agentschap zou niet alleen geld moeten krijgen om zijn normale werkzaamheden uit te voeren, maar ook om onvoorziene, actuele veiligheidskwesties aan te kunnen pakken. Het agentschap mag er m.a.w. door zijn langetermijnwerkzaamheden niet van worden weerhouden om zich ook bezig te houden met zulke onverwachte veiligheids- of vertrouwenskwesties.

3.3.2. Belangrijke ondernemingen- en consumentenorganisaties uit de lidstaten zouden deel moeten uitmaken van de kleine groep die bij het agentschap een verzoek om advies mag indienen.

3.3.3. Het EESC gaat ervan uit dat door ondernemingen- en consumentenorganisaties afgevaardigde gebruikers ook zitting zullen hebben in de door het agentschap op te richten werkgroepen, zodat zij bijvoorbeeld standaardiserings- en certificeringsactiviteiten direct kunnen beïnvloeden. Het agentschap is wat dit betreft afhankelijk van een actieve inbreng van het bedrijfsleven.

3.4. Wat de financiële bepalingen aangaat moet ervoor worden gezorgd dat het agentschap voor zijn activiteiten en financiële positie niet is aangewezen op eventuele bijdragen van derde landen die aan zijn activiteiten deelnemen.

3.5. De Commissie is terecht van plan om al na drie jaar na te gaan of de voorgestelde institutionele regeling het best beantwoordt aan het streven om te zorgen voor netwerk- en informatieveiligheid en het vertrouwen van gebruikers in de informatietechnologie en de (infrastructuur van de) informatiemaatschappij.

3.6. Afgezien van de door de Commissie genoemde criteria zou de vestigingsplaats van het agentschap ook aan de volgende voorwaarden moeten voldoen:

- er moet een goed ontwikkelde infrastructuur zijn met een grote transmissiecapaciteit;

- de publieke elektronische diensten moeten goed zijn ontwikkeld;

- elektronische handel moet een normale activiteit van het plaatselijke bedrijfsleven zijn en de gebruikersgemeenschap dient bekend te zijn met informatietechnologie.

Op deze manier kan het agentschap werken in een al enigszins ontwikkelde informatiemaatschappij en "aan den lijve" ondervinden wat de risico's en bedreigingen zijn die het moet onderzoeken en evalueren; vervolgens moet het de aldus opgedane kennis verspreiden. Dit zou het agentschap bovendien in staat stellen om de problemen van individuele burgers en echte kleine bedrijven in de informatiemaatschappij in het oog te houden. Het zijn namelijk juist deze gebruikersgroepen die anders de minste kans zouden hebben om hun belangen behartigd te zien door de samenwerkende lidstaten. Kortom, als het agentschap in een dergelijke omgeving wordt gevestigd, kan het op een doelmatige manier zijn taken uitvoeren.

Brussel, 18 juni 2003.

De voorzitter

van het Europees Economisch en Sociaal Comité

R. Briesch

(1) COM(2001) 298 def.

(2) EESC-advies over de "Mededeling van de Commissie aan de Raad, het Europees Parlement, het Economisch en Sociaal Comité en het Comité van de Regio's - Netwerk- en informatieveiligheid: Voorstel voor een Europese beleidsaanpak" (PB C 48 van 21.2.2002), en over "het voorstel voor een beschikking van de Raad tot een vaste stelling van een meerjarenprogramma (2003-2005) voor de monitoring van eEurope, verspreiding van goede praktijken en de verbetering van de netwerk- en informatieveiligheid" (COM(2002) 425 def.).

(3) EESC-advies over de "Mededeling van de Commissie aan de Raad, het Europees Parlement, het Economisch en Sociaal Comité en het Comité van de Regio's - De informatiemaatschappij veiliger maken door de informatie-infrastructuur beter te beveiligen en computercriminaliteit te bestrijden" (PB C 311 van 7.11.2001).

(4) EESC-advies over "Overheidsinformatie: een essentiële hulpbron voor Europa - Groenboek over overheidsinformatie in de informatiemaatschappij" (PB C 169 van 16.6.1999).

(5) EESC-advies over het "Voorstel voor een richtlijn van het Europees Parlement en de Raad betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie" (PB C 123 van 25.4.2001).