6.4.2011   

NL

Publicatieblad van de Europese Unie

C 107/58

1.1

Het EESC beseft terdege hoezeer de civiele maatschappij tegenwoordig afhankelijk is van diensten die via het internet worden verstrekt. Daarnaast is het verontrust over de relatieve onwetendheid van de civiele maatschappij over haar eigen beveiliging tegen cybercriminaliteit. Naar de mening van het EESC moet het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA) de lidstaten en service providers helpen hun veiligheidsnormen aan te scherpen, zodat alle internetgebruikers de noodzakelijke maatregelen nemen om zich tegen cybercriminaliteit te beschermen.

1.2

Het EESC steunt bijgevolg het voorstel om het ENISA verder te ontwikkelen, zodat het agentschap bij kan dragen aan een hoog niveau van netwerk- en informatiebeveiliging in de Unie, alsmede aan de bewustmaking op dit terrein en aan de ontwikkeling van een cultuur van netwerk- en informatiebeveiliging ten behoeve van burgers, consumenten, bedrijven en overheidsorganen in de Unie, om zo de goede werking van de interne markt te ondersteunen.

1.3

ENISA is van cruciaal belang voor een veilige ontwikkeling van de netwerkinfrastructuur van overheden, het bedrijfsleven, de handel en het maatschappelijk middenveld in de EU. Het EESC verwacht van de Commissie dat zij aan het ENISA de hoogste prestatienormen oplegt en aandachtig volgt wat het agentschap doet tegen nieuwe of zich verder ontwikkelende gevaren voor de cyberveiligheid.

1.4

De cyberstrategieën die door de NAVO, Europol en de Europese Commissie worden geschetst, zijn voor hun uitvoering allemaal afhankelijk van een effectieve samenwerking met de lidstaten, die zelf ook een caleidoscoop van interne bureaus hebben die zich met cyberveiligheid bezighouden. De strategieën van de NAVO en Europol zijn proactief en uitvoeringsgericht. Wat de strategie van de Commissie betreft, is het duidelijk dat het ENISA een belangrijk onderdeel is van het complex aan agentschappen en organisaties voor de bescherming van kritieke informatie-infrastructuur (CIIP). Hoewel de nieuwe verordening niet voorziet in een operationele rol voor het ENISA, is het agentschap volgens het EESC nog steeds als eerste verantwoordelijk voor de CIIP van de civiele maatschappij in de EU.

1.5

De operationele verantwoordelijkheid voor cyberveiligheid op het niveau van de lidstaten berust bij de lidstaten, maar wat de CIIP-normen betreft bestaan er duidelijke verschillen tussen de 27 lidstaten. Het is aan het ENISA om de situatie in de in dit verband minder goed presterende lidstaten naar een aanvaardbaar niveau te tillen. Het moet ervoor zorgen dat de lidstaten met elkaar samenwerken en hen helpen bij de toepassing van „beste praktijken”. Verder dient het te waarschuwen voor grensoverschrijdende gevaren en moet het deze proberen te voorkomen.

1.6

Daarnaast moet het betrokken worden bij de samenwerking met belangrijke organisaties buiten de EU. Die samenwerking zal een uiterst politiek karakter hebben en er zullen tal van EU-instanties aan meedoen, maar volgens het EESC moet het ENISA zijn plaats op het internationale toneel zien te vinden.

1.7

Het Comité meent dat het ENISA een zeer waardevolle bijdrage kan leveren aan onderzoeksprojecten op het terrein van cyberveiligheid, en daartoe ook zelf de aanzet zou kunnen geven.

1.8

In het kader van de effectbeoordeling zal het EESC de volledige uitvoering van de opties 4 en 5, waardoor het ENISA een operationeel agentschap zou worden, nu nog niet ondersteunen, omdat het niet gerust is op de gevolgen hiervan. Cybercriminaliteit is een probleem van een dermate grote omvang en de dreigingen die ervan uitgaan zijn zo dynamisch in hun ontwikkeling, dat de lidstaten de mogelijkheid moeten behouden om deze proactief te bestrijden. De ontwikkeling van operationele agentschappen op EU-niveau leidt doorgaans tot afnemende capaciteit bij de lidstaten. Op het terrein van cyberveiligheid is het omgekeerde nodig: de capaciteit van de lidstaten moet juist worden vergroot.

1.9

Het Comité heeft begrip voor het standpunt van de Commissie dat het ENISA een duidelijk omschreven en goed gecontroleerd takenpakket met de bijbehorende middelen moet krijgen. Zijn 5-jarige mandaatsperiode zou echter wel belemmering kunnen zijn voor langetermijnprojecten en de ontwikkeling van menselijk kapitaal en kennis binnen het agentschap in gevaar kunnen brengen. Het zal een vrij klein agentschap zijn, dat zich bezig moet houden met een groot en groeiend probleem. Door de reikwijdte en omvang van zijn missie zal het agentschap met deskundigenteams moeten werken. Zijn activiteiten zullen gevarieerd zijn: zowel taken voor de korte termijn als projecten voor de lange termijn. Het Comité zou dan ook het liefste zien dat het agentschap een dynamisch mandaat met een open einde krijgt, dat continu wordt bevestigd op basis van periodieke evaluaties. Middelen zouden dan progressief kunnen worden toegewezen, naar behoefte en voor zover gerechtvaardigd.

2.1

Dit advies heeft betrekking op een voorstel voor een verordening ter ontwikkeling van het ENISA.

2.2

Haar eerste voorstel voor een beleidsaanpak voor netwerk- en informatiebeveiliging zette de Commissie uiteen in een mededeling uit 2001 (COM(2001) 298 final). De heer Retureau stelde naar aanleiding hiervan een uitgebreid advies (1) op.

2.3

De Commissie deed vervolgens een voorstel voor een verordening strekkende tot de oprichting van het ENISA (COM(2003) 63 final). Het EESC-advies (2) over dit voorstel werd geschreven door de heer Lagerholm. Het agentschap is opgericht bij Verordening (EG) nr. 460/2004.

2.4

Aangezien het internetgebruik exponentieel bleef toenemen, werd informatieveiligheid een steeds grotere bron van zorg. In 2006 publiceerde de Commissie een mededeling (COM(2006) 251 final) waarin zij een „Strategie voor een veilige informatiemaatschappij” schetst. De heer Pezzini schreef het EESC-advies (3).

2.5

Aangezien de zorg over informatieveiligheid verder toenam, kwam de Commissie in 2009 met een voorstel voor de bescherming van kritieke informatie-infrastructuur (COM(2009) 149 final). De heer McDonogh schreef het advies (4), dat in december 2009 door het Comité werd goedgekeurd.

2.6

Nu wordt voorgesteld het ENISA te verbeteren en versterken, zodat het agentschap bij kan dragen aan een hoog niveau van netwerk- en informatiebeveiliging in de Unie, alsmede aan de bewustmaking op dit terrein en aan de ontwikkeling van een cultuur van netwerk- en informatiebeveiliging ten behoeve van burgers, consumenten, bedrijven en overheidsorganen in de Unie, om zo de goede werking van de interne markt te ondersteunen.

2.7

Het ENISA is echter niet het enige agentschap dat zich met veiligheidsvraagstukken met betrekking tot de Europese cyberspace bezig gaat houden. De verantwoordelijkheid voor het tegengaan van informatieoorlogen en bestrijden van cyberaanvallen berust in eerste instantie bij het leger. De NAVO is op dit terrein de belangrijkste organisatie. Volgens het nieuwe strategische concept dat in november 2010 in Lissabon werd gepubliceerd (zie http://www.nato.int/lisbon2010/strategic-concept-2010-eng.pdf), zal de NAVO „zijn capaciteit voor het voorkomen, opsporen, bestrijden en herstellen van cyberaanvallen verder vergroten, onder meer door via het planningsproces van de NAVO de nationale cyberdefensiecapaciteit van de lidstaten te versterken en coördineren, de cyberbescherming van alle NAVO-organen te centraliseren, en het besef van het risico van cyberaanvallen, de waarschuwing voor zulke aanvallen en de verdediging daartegen op NAVO-niveau, beter met de lidstaten te integreren.”

2.8

Na de cyberaanval op Estland in 2007 is op 14 mei 2008 officieel het Cooperative Cyber Defence Centre of Excellence (CCD COE) opgericht, teneinde de cyberdefensiecapaciteit van de NAVO te vergroten. Het Centrum is gevestigd in Tallinn, Estland, en het resultaat van een internationale inspanning die momenteel wordt ondersteund door onder meer Estland, Letland, Litouwen, Duitsland, Hongarije, Italië, Slowakije en Spanje.

2.9

Elektronische criminaliteit op EU-niveau valt onder de verantwoordelijkheid van Europol. De volgende passage is afkomstig uit schriftelijk bewijs dat door Europol aan het Britse Hogerhuis is verstrekt (zie http://www.publications.parliament.uk/pa/ld200910/ldselect/ldeucom/68/68we05.htm):

„Het is duidelijk dat wetshandhavingsdiensten wat betreft technologische ontwikkeling gelijke tred moeten houden met criminelen, zodat misdrijven kunnen worden voorkomen dan wel opgespoord. Daarnaast is het vanwege het grensoverschrijdende karakter van hightech noodzakelijk dat de capaciteit op dit terrein overal in de EU op een vergelijkbaar hoog niveau staat, zodat geen „zwakke plekken” ontstaan waar hightechmisdrijven ongestraft kunnen worden gepleegd. Deze capaciteit is echter lang niet overal even groot. Integendeel, er is duidelijk sprake van een asymmetrische ontwikkeling: terwijl sommige lidstaten op bepaalde terreinen grote vorderingen maken, lopen andere qua technologie achter. Hierdoor ontstaat de noodzaak van een gecentraliseerde dienst die de lidstaten ondersteunt bij het coördineren van gezamenlijke activiteiten, het standaardiseren van methoden en kwaliteitsnormen en het in kaart brengen en uitwisselen van „beste praktijken”. Alleen zo kunnen wetshandhavingsdiensten de bestrijding van hightechcriminaliteit op uniforme wijze aanpakken.”

2.10

In 2002 is binnen Europol het Centrum voor de preventie van hightechcriminaliteit (High Tech Crime Centre, of HTCC) opgericht. Het HTCC is nog een betrekkelijk kleine eenheid, maar zal naar verwachting in de toekomst uitgroeien tot de spil van de activiteiten van Europol op dit terrein. Het HTCC speelt een belangrijke rol bij coördinatie, operationele steunverlening, strategische analyse en opleiding. Met name de opleidingsfunctie is van belang. Daarnaast heeft Europol het European Cyber Crime Platform (ECCP) opgericht. Het ECCP richt zich met name op de volgende thema's:

2.11

De EU-strategie inzake cyberveiligheid staat beschreven in het hoofdstuk „Vertrouwen en beveiliging” van de mededeling „Een digitale agenda voor Europa”. De uitdagingen worden als volgt beschreven:

„Hoewel het internet tot dusverre opmerkelijk beveiligd, veerkrachtig en stabiel is gebleken, zijn IT-netwerken en terminals van eindgebruikers nog steeds kwetsbaar voor tal van toenemende risico's. Spammail – volgens sommige ramingen 80 % tot 98 % van alle e-mails – heeft de afgelopen jaren zo een overdonderende vlucht genomen dat het e-mailverkeer op het internet er ernstig door wordt verstoord, en brengt bovendien tal van virussen en schadelijke software in omloop. Identiteitsdiefstal en onlinefraude nemen hand over hand toe. Bovendien worden de aanvallen niet alleen steeds gesofisticeerder (Trojaanse paarden, netwerken van gekaapte computers, „botnets” genaamd), maar ook steeds vaker aangedreven door financiële overwegingen. De recente cyberaanvallen in Estland, Litouwen en Georgië tonen aan dat politieke redenen ook een drijfveer kunnen zijn”.

2.12

De Commissie verbindt zich in de Digitale Agenda onder meer tot de volgende acties:

Kernactie 6: in 2010 maatregelen voorleggen voor een versterkt netwerk- en informatiebeveiligingsbeleid op hoog niveau, met inbegrip van wetgevingsinitiatieven als een gemoderniseerd ENISA en maatregelen ter verhoging van de reactiesnelheid bij cyberaanvallen, inclusief een Computer Emergency Response Team (CERT) voor de EU-instellingen.

Kernactie 7: „[tegen 2010] maatregelen, inclusief wetgevingsvoorstellen, voorleggen ter bestrijding van cyberaanvallen tegen informatiesystemen, en [tegen 2013] overeenkomstige voorschriften (…) inzake de jurisdictie in de cyberruimte op Europees en internationaal niveau”.

2.13

In een mededeling uit november 2010 (COM(2010) 673 final) voert de Commissie de Digitale Agenda verder uit door een interne-veiligheidsstrategie voor de EU te schetsen. De Commissie noemt vijf doelstellingen. De derde is het vergroten van de internetveiligheid voor burgers en bedrijfsleven. Er zijn drie actieprogramma's gepland waarvan de verschillende onderdelen in de volgende tabel staan (informatie overgenomen van (http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2010:0673:FIN:NL:DOC):

2.14

De strategieën die door de NAVO, Europol en de Europese Commissie worden geschetst, zijn voor hun uitvoering allemaal afhankelijk van een effectieve samenwerking met de lidstaten, die zelf ook een caleidoscoop van interne bureaus hebben die zich met cyberveiligheid bezighouden. De strategieën van de NAVO en Europol zijn proactief en uitvoeringsgericht. Wat de strategie van de Commissie betreft, is het duidelijk dat het ENISA een belangrijk onderdeel is van het complex aan agentschappen en organisaties voor de bescherming van kritieke informatie-infrastructuur (CIIP). Hoewel de nieuwe verordening niet voorziet in een operationele rol voor het ENISA, is het agentschap volgens het EESC nog steeds als eerste verantwoordelijk voor de CIIP van de civiele maatschappij in de EU.

3.1

Het probleem dat door het ENISA moet worden opgelost, wordt door een zevental factoren versterkt:

3.2

Het ENISA-voorstel richt zich zowel op bestaande beleidsinitiatieven als op de nieuwe initiatieven die in de Digitale Agenda worden geschetst.

3.3

Bestaande beleidsinitiatieven die door het ENISA worden ondersteund, zijn onder meer:

3.4

Nieuwe beleidsontwikkelingen die door het ENISA moeten worden ondersteund, zijn onder meer:

3.5

Tijdens de voorbereiding van dit voorstel werden vijf verschillende beleidsopties onderzocht. Bij elk van die opties hoorden ook taak- en financieringsopties. Uiteindelijk werd de derde optie gekozen: uitbreiding van de taken van het ENISA en toevoeging van wetshandhavings- en privacybeschermingsdiensten als belanghebbenden.

3.6

Bij optie 3 draagt een gemoderniseerd agentschap voor netwerk- en informatiebeveiliging bij aan:

3.7

Bij optie 3 beschikt het ENISA over alle noodzakelijke middelen om zijn taken naar tevredenheid en grondig te kunnen uitvoeren, d.w.z.: op een dusdanige manier dat werkelijk effect wordt gesorteerd. Naarmate het agentschap over meer middelen beschikt (5), kan het een meer proactieve rol spelen en meer initiatieven nemen voor het stimuleren van de actieve participatie van belanghebbenden. Daarnaast krijgt het agentschap door deze nieuwe situatie meer armslag, zodat in een omgeving die zich voortdurend verder ontwikkelt, snel op veranderingen kan worden gereageerd.

3.8

Optie 4 houdt in dat het ENISA naast bovengenoemde functies ook operationele functies voor de bestrijding van cyberaanvallen en de respons op cyberincidenten krijgt toegewezen. Het ENISA zou dan bijvoorbeeld ook een actievere rol bij de bescherming van kritieke informatie-infrastructuur krijgen, bijvoorbeeld bij de preventie van incidenten en de respons daarop, waarbij het als een EU-CERT voor netwerk- en informatiebeveiliging zou fungeren en als een „stormcentrum” van de EU zowel het dagelijks beheer als de nooddiensten van nationale CERT's zou coördineren.

3.9

Naast de effecten die met optie 3 worden gerealiseerd, zou met optie 4 ook een groter effect op operationeel niveau worden bereikt. Door op te treden als een EU-CERT voor netwerk- en informatiebeveiliging en ten aanzien van de nationale CERT's een coördinerende rol te vervullen, zou het agentschap bij reacties op incidenten die de hele EU raken, bijdragen aan het creëren van schaalvoordelen. Ook zouden door het hogere niveau van beveiliging en veerkracht de operationele risico's voor bedrijven worden verlaagd. Optie 4 vereist een substantiële verhoging van de financiële en personele middelen van het agentschap, wat vragen opwerpt over zijn absorptiecapaciteit en over de effectieve besteding van de begroting met betrekking tot de gestelde doelen.

3.10

Optie 5 houdt in dat het agentschap, naast de operationele functies die het onder optie 4 krijgt, ook operationele functies krijgt toegewezen voor het ondersteunen van justitiële en wetshandhavingsautoriteiten bij de bestrijding van cybercriminaliteit. Deze optie zou het agentschap in staat stellen

3.11

Bij optie 5 zou de bestrijding van cybercriminaliteit effectiever gebeuren dan bij optie 3 en 4, door de toevoeging van operationele functies voor het ondersteunen van justitiële en wetshandhavingsautoriteiten.

3.12

Ook optie 5 vereist een substantiële verhoging van de middelen van het agentschap en werpt vragen op over absorptiecapaciteit en effectieve besteding van begrotingsmiddelen.

3.13

Ofschoon de positieve effecten van zowel optie 4 als 5 groter zijn dan die van optie 3, zijn er volgens de Commissie een aantal redenen om niet voor deze opties te kiezen:

4.1

Het agentschap verleent de Commissie en de lidstaten bijstand om te voldoen aan de wettelijke en regelgevingseisen inzake netwerk- en informatiebeveiliging.

4.2

De raad van bestuur bepaalt de algemene richting van de werkzaamheden van het agentschap.

4.3

De raad van bestuur bestaat uit één vertegenwoordiger per lidstaat, drie door de Commissie benoemde vertegenwoordigers en één vertegenwoordiger van respectievelijk de ICT-industrie, consumentenorganisaties en universitaire deskundigen op het gebied van informatietechnologie.

4.4

Het agentschap wordt bestuurd door een onafhankelijke uitvoerend directeur, die verantwoordelijk is voor het opstellen van het werkprogramma van het agentschap, dat ter goedkeuring aan de raad van bestuur wordt voorgelegd.

4.5

De uitvoerend directeur is ook verantwoordelijk voor het opstellen van de jaarbegroting voor het werkprogramma. Zowel de begroting als het werkprogramma worden door de raad van bestuur ter goedkeuring aan de Commissie en de lidstaten voorgelegd.

4.6

De raad van bestuur richt op basis van een advies van de uitvoerend directeur een permanente groep van belanghebbenden op, bestaande uit deskundigen afkomstig uit de ICT-industrie en de academische wereld en van consumentenorganisaties en wetshandhavings- en privacybeschermingsdiensten.

4.7

Aangezien de verordening zich nog in de voorstelfase bevindt, is er enige onzekerheid over cijfers. Op dit moment heeft het agentschap 44-50 medewerkers en een begroting van 8 miljoen euro. Om een idee te geven: bij optie 3 zou het personeelsbestand kunnen oplopen tot 99 en de begroting tot 17 miljoen euro.

4.8

De voorgestelde verordening voorziet in een mandaat van vijf jaar.