6.4.2011   

RO

Jurnalul Oficial al Uniunii Europene

C 107/58

1.1

CESE este foarte conștient de gradul actual de dependență al societății civile față de serviciile furnizate pe internet, precum și de relativa ignoranță a acesteia în privința propriei sale securități cibernetice. CESE consideră că este responsabilitatea Agenției europene pentru securitatea rețelelor și a informațiilor (ENISA) de a ajuta statele membre și furnizorii de servicii să își crească standardele generale de securitate, astfel încât toți utilizatorii de internet să ia măsurile necesare pentru a-și asigura propria securitate cibernetică.

1.2

În consecință, CESE sprijină propunerea de dezvoltare a ENISA, în vederea asigurării unui nivel ridicat al securității rețelelor și a informațiilor în Uniune, pentru creșterea sensibilizării și dezvoltarea unei culturi a securității rețelelor și a informațiilor în cadrul societății, în beneficiul cetățenilor, consumatorilor, întreprinderilor și organizațiilor din sectorul public din Uniune, contribuind astfel la funcționarea corectă a pieței interne.

1.3

Misiunea ENISA este esențială pentru o evoluție sigură a infrastructurii rețelelor guvernelor, industriei, sectorului comercial și societății civile din UE. CESE așteaptă din partea Comisiei Europene să stabilească cele mai înalte standarde de performanță pentru ENISA și să monitorizeze funcționarea acesteia, în condițiile evoluției amenințărilor la adresa securității cibernetice și ale apariției unora noi.

1.4

Strategiile cibernetice definite de NATO, Europol și Comisia Europeană depind toate de o cooperare eficientă cu statele membre, ce dispun la rândul lor de o constelație de agenții interne care se ocupă de problemele securității cibernetice. Strategiile NATO și Europol se doresc proactive și operaționale. În cadrul strategiei Comisiei Europene, ENISA reprezintă evident un element important în puzzle-ul complicat al agențiilor și misiunilor în domeniul protecției infrastructurilor critice de informații (Critical Information Infrastructure Protection – CIIP). Deși noul regulament nu propune un rol operațional pentru ENISA, CESE consideră în continuare că aceasta este cea dintâi agenție căreia ar trebui să îi revină responsabilitatea protecției infrastructurilor critice de informații în cadrul societății civile din UE.

1.5

Responsabilitatea operațională pentru securitatea cibernetică la nivelul statelor membre le revine acestora din urmă, dar standardele CIIP din cele 27 de state membre sunt evident inegale. Rolul ENISA este de a aduce statele membre mai puțin avansate în acest domeniu la un nivel acceptabil de securitate. Agenția trebuie să asigure cooperarea dintre statele membre și să le asiste în aplicarea celor mai bune practici. În contextul amenințărilor transfrontaliere, ENISA va trebui să joace un rol de alertare și de prevenire.

1.6

Agenția va trebui de asemenea să se implice în cooperarea internațională cu autorități din afara UE. Această cooperare va avea un caracter eminamente politic și va implica multe structuri ale UE, dar CESE este de părere că ENISA trebuie să își găsească locul pe scena internațională.

1.7

Comitetul consideră că ENISA poate îndeplini un rol foarte important prin furnizarea de contribuții la proiecte de cercetare în domeniul securității și prin inițierea de astfel de proiecte.

1.8

Având în vedere evaluarea de impact, CESE nu va sprijini în prezent punerea deplină în aplicare a opțiunilor 4 și 5, care ar transforma ENISA într-o agenție operațională. Securitatea cibernetică reprezintă o problemă imensă – noi amenințări apărând în orice clipă –, ceea ce impune ca statele membre să aibă în continuarea capacitatea de a combate proactiv aceste amenințări. Crearea de agenții operaționale ale UE antrenează de obicei pierderea de competențe de către statele membre. Dar în domeniul securității cibernetice este valabil contrariul, statele membre trebuind să-și consolideze competențele.

1.9

CESE înțelege poziția Comisiei, conform căreia ENISA ar trebui să aibă o misiune bine definită și controlată, cu resurse pe măsură. Chiar așa stând lucrurile, Comitetul este preocupat de faptul că mandatul fix de 5 ani al ENISA ar putea împiedica derularea unor proiecte pe termen lung și ar fi un obstacol pentru acumularea de capital uman și de cunoștințe în cadrul agenției. Ea va fi o agenție destul de mică, dar care se va confrunta cu o problemă serioasă și în creștere. Aria de intervenție și amploarea misiunii ENISA presupune utilizarea unor echipe de specialiști. Activitatea sa va fi compozită, ea urmând să constea din sarcini pe termen scurt și din proiecte pe termen lung. Prin urmare, Comitetul ar prefera ca mandatul ENISA să fie dinamic și susceptibil de a fi prelungit, el urmând a fi confirmat în mod continuu, prin testări și evaluări regulate. Astfel, resursele vor putea fi alocate progresiv, dacă și când acest lucru se justifică.

2.1

Prezentul aviz se referă la regulamentul care urmărește continuarea dezvoltării ENISA.

2.2

Comisia și-a prezentat prima propunere de abordare politică în domeniul securității rețelelor și a informațiilor într-o comunicare din 2001 [COM(2001) 298 final]. Ca răspuns la aceasta, dl Retureau a pregătit un aviz (1) detaliat.

2.3

Ulterior, Comisia a propus un regulament de înființare a ENISA [COM(2003) 63 final]. Avizul CESE (2) privind acest regulament a fost elaborat de dl Lagerholm. Agenția a fost înființată efectiv prin Regulamentul (CE) nr. 460/2004.

2.4

Având în vedere că utilizarea internetului a crescut exponențial, securitatea informațiilor a devenit o problemă din ce în ce mai preocupantă. În 2006, Comisia a publicat o comunicare ce definea o strategie pentru o societate informațională sigură [COM(2006) 251 final]. Avizul CESE a fost elaborat de dl Pezzini (3).

2.5

Deoarece preocupările în privința securității informațiilor au crescut, Comisia a prezentat în 2009 o propunere privind protecția infrastructurilor critice de informație [COM(2009) 149 final]. Avizul (4), pregătit de dl McDonogh, a fost aprobat în sesiunea plenară a CESE din decembrie 2009.

2.6

În prezent se propune consolidarea ENISA și îmbunătățirea funcționării acesteia, în vederea asigurării unui nivel ridicat al securității rețelelor și a informațiilor în Uniune, pentru creșterea sensibilizării și dezvoltarea unei culturi a securității rețelelor și a informațiilor în cadrul societății, în beneficiul cetățenilor, consumatorilor, întreprinderilor și organizațiilor din sectorul public din Uniune, contribuind astfel la funcționarea corectă a pieței interne.

2.7

Totuși, ENISA nu este singura agenție de securitate destinată spațiului cibernetic al UE. Reacția la războiul și la terorismul cibernetic trebuie să vină din partea forțelor armate. În acest domeniu, NATO este agenția principală. Conform noului său concept strategic, publicat la Lisabona în noiembrie 2010 (disponibil la adresa: http://www.nato.int/lisbon2010/strategic-concept-2010-eng.pdf), NATO își va „dezvolta în continuare capacitatea de a preveni și a detecta atacurile cibernetice, de a se apăra împotriva acestora și de a se reface în urma lor, inclusiv recurgând la propriul proces de planificare pentru a spori și a coordona capacitățile naționale de apărare cibernetică, punând toate organismele NATO sub protecție cibernetică centralizată și integrând mai bine funcțiile de sensibilizare, alertă și răspuns cibernetic ale NATO și ale statelor membre”.

2.8

În urma atacului cibernetic din 2007 asupra Estoniei, la 14 mai 2008 a fost instituit oficial Centrul de excelență pentru apărare împotriva criminalității cibernetice (Cooperative Cyber Defence Centre of Excellence – CCD COE), în vederea creșterii capacității de apărare cibernetică a NATO. Situat la Tallinn, în Estonia, Centrul reprezintă concretizarea unui efort internațional la care participă, în calitate de țări finanțatoare, Estonia, Letonia, Lituania, Germania, Ungaria, Italia, Republica Slovacă și Spania.

2.9

La nivelul UE, criminalitatea informatică este în responsabilitatea Europol. Următorul text este un fragment din declarația scrisă prezentată de Europol Camerei Lorzilor (a se vedea http://www.publications.parliament.uk/pa/ld200910/ldselect/ldeucom/68/68we05.htm):

„Este limpede că agențiile însărcinate cu aplicarea legii trebuie să țină pasul cu progresele tehnologice ale infractorilor, pentru a garanta prevenirea eficientă sau detectarea infracțiunilor comise de aceștia. Pe lângă aceasta, având în vedere că tehnologia de vârf nu cunoaște frontiere, capacitățile trebuie să respecte același standarde ridicate în întreaga UE, astfel încât să nu apară «puncte slabe», în care infracțiunile comise cu ajutorul tehnologiilor de vârf să poată prolifera în voie. Capacitățile sunt departe de a fi omogene în UE. De fapt, există o evoluție asimetrică clară, unele state membre continuând să înregistreze progrese spectaculoase în anumite domenii, în vreme ce altele au rămas în urmă sub aspect tehnologic. Acest lucru face necesar un serviciu centralizat care să ajute toate statele membre să-și coordoneze activitățile comune, să promoveze armonizarea abordărilor și a standardelor de calitate, precum și să identifice și să faciliteze schimbul de bune practici; doar în acest mod se poate asigura un efort omogen de aplicare în UE a legislației de combatere a infracțiunilor comise cu ajutorul tehnologiei de vârf.”

2.10

Centrul de combatere a infracționalității care utilizează tehnologii de vârf (High Tech Crime Centre – HTCC) a fost instituit în cadrul Europol în 2002. El constă într-o unitate relativ mică, dar care urmează probabil să crească în viitor, fiind componenta centrală a activității Europol în acest domeniu. HTCC joacă un rol esențial de coordonare, sprijin operațional, analiză strategică și formare. Funcția de formare prezintă o importanță deosebită. În plus, Europol a înființat Platforma europeană de luptă împotriva criminalității cibernetice (European Cyber Crime Platform – ECCP). Aceasta se concentrează pe următoarele aspecte:

2.11

Strategia de securitate cibernetică a UE este prezentată în capitolul „Încredere și securitate” din cuprinsul Agendei digitale pentru Europa. Provocările sunt prezentate în următorii termeni:

„Până în prezent, internetul s-a dovedit remarcabil de sigur, rezistent și stabil, dar rețelele IT și terminalele utilizatorilor finali rămân vulnerabile unei game ample de amenințări mereu noi: în ultimii ani, mesajele electronice nesolicitate (spam) au proliferat până la a îngreuna în mod serios traficul de e-mail pe internet – conform mai multor estimări, mesajele spam reprezintă între 80 și 98 % din totalul mesajelor aflate în circulație – ele răspândind o multitudine de viruși și de programe ostile. Flagelul furtului de identitate și al fraudei online avansează. Atacurile devin din ce în ce mai sofisticate (troieni, botneturi etc.) și deseori motivate de scopuri financiare. Ele pot avea de asemenea o motivație politică, așa cum o arată recentele atacuri cibernetice îndreptate împotriva Estoniei, Lituaniei și Georgiei.”

2.12

Acțiunile în care se va angaja Comisia sunt:

Acțiunea-cheie 6: Prezentarea, în 2010, a unor măsuri în vederea instituirii unei politici în domeniul securității rețelelor și informațiilor consolidate și de nivel înalt, inclusiv a unor inițiative legislative cum ar fi modernizarea ENISA, precum și a altor măsuri care să permită o reacție mai rapidă în caz de atacuri cibernetice, inclusiv a unei echipe de intervenție în caz de urgențe informatice (Computer Emergency Response Team – CERT) pentru instituțiile UE;

Acțiunea-cheie 7: Prezentarea până în 2010 a unor măsuri, inclusiv a unor inițiative legislative, vizând combaterea atacurilor cibernetice îndreptate împotriva sistemelor informatice și a unor norme în materie privind jurisdicția în spațiul cibernetic la nivel european și internațional, până în 2013.

2.13

Într-o comunicare din noiembrie 2010 [COM(2010) 673 final], Comisia a făcut să evolueze Agenda, prin definirea Strategiei de securitate internă a UE. Strategia conține cinci obiective, cel de-al treilea constând în creșterea nivelului de securitate pentru cetățeni și întreprinderi în spațiul cibernetic. În cadrul obiectivului sunt prevăzute trei acțiuni, ale căror detalii figurează în tabelul următor (preluate din comunicarea menționată, care este disponibilă la adresa: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2010:0673:FIN:RO:pdf).

2.14

Strategiile cibernetice definite de NATO, Europol și Comisia Europeană depind toate de o cooperare eficientă cu statele membre, ce dispun la rândul lor de o constelație de agenții interne care se ocupă de problemele securității cibernetice. Strategiile NATO și Europol se doresc proactive și operaționale. În cadrul strategiei Comisiei Europene, ENISA reprezintă evident o componentă importantă a complicatului puzzle de agenții și misiuni în domeniul protecției infrastructurilor critice de informații. Deși noul regulament nu propune un rol operațional pentru ENISA, CESE consideră în continuare că aceasta este cea dintâi agenție căreia ar trebui să îi revină responsabilitatea protecției infrastructurilor critice de informații în cadrul societății civile din UE.

3.1

Problema cu care se va confrunta ENISA constă în șapte factori cauzatori de probleme:

3.2

Propunerea ENISA reprezintă un punct de convergență atât pentru prevederile politicilor existente, cât și pentru noile inițiative prezentate în Agenda digitală a UE.

3.3

Printre inițiativele politice existente care urmează să beneficieze de sprijinul ENISA se numără:

3.4

Printre noile evoluții care urmează să beneficieze de sprijinul ENISA se numără:

3.5

Înainte de finalizarea acestei propuneri au fost examinate cinci opțiuni politice diferite. Fiecărei opțiuni îi corespundeau misiuni și resurse specifice. A fost aleasă cea de-a treia opțiune. Aceasta implică extinderea funcțiilor atribuite în prezent ENISA și adăugarea de agenții responsabile cu aplicarea legii și protejarea vieții private, cu titlul de părți interesate.

3.6

În cazul opțiunii 3, o agenție NIS modernizată ar contribui la:

3.7

În cazul opțiunii 3, ENISA ar dispune de toate resursele necesare pentru a-și desfășura activitățile într-un mod satisfăcător și în profunzime, producând cu alte cuvinte un impact real. Având mai multe resurse la dispoziție (5), ENISA ar putea avea un rol mult mai proactiv și ar putea lua mai multe inițiative pentru a stimula participarea activă a părților interesate. Mai mult decât atât, această nouă situație ar permite o mai mare flexibilitate pentru a reacționa rapid la schimbările petrecute într-un mediu NIS aflat în continuă evoluție.

3.8

Opțiunea de politică 4 presupune funcții operaționale în domeniul luptei împotriva atacurilor cibernetice și al reacției la incidentele informatice. Pe lângă activitățile menționate mai sus, agenția ar urma să îndeplinească funcții operaționale, cum ar fi asumarea unui rol mai activ în CIIP a UE, de exemplu în prevenirea și reacția la incidente, acționând în mod concret ca o CERT a UE în domeniul NIS și coordonând CERT naționale în calitate de centru de criză NIS al UE, atât în ceea ce privește activitățile de gestionare de zi cu zi, cât și serviciile de urgență.

3.9

Opțiunea 4 ar produce un impact mai mare la nivel operațional, în plus față de impacturile realizate în cadrul opțiunii 3. Acționând ca o CERT a UE în domeniul NIS și prin coordonarea CERT naționale, agenția ar contribui la realizarea unor economii de scară mai mari în ceea ce privește reacția la incidente la nivelul UE și la limitarea riscurilor operaționale pentru întreprinderi, datorită, printre altele, unor niveluri mai ridicate de securitate și reziliență. Opțiunea 4 ar necesita o creștere substanțială a bugetului și a resurselor umane ale agenției, fapt ce ridică semne de întrebare cu privire la capacitatea sa de absorbție și de utilizare eficientă a bugetului în raport cu beneficiile preconizate.

3.10

Opțiunea de politică 5 presupune funcții operaționale pentru sprijinirea autorităților judiciare și a autorităților responsabile cu aplicarea legii în lupta împotriva criminalității cibernetice. Pe lângă activitățile enumerate la opțiunea 4, această opțiune ar permite ENISA:

3.11

Opțiunea 5 ar conduce la o mai mare eficacitate în lupta împotriva criminalității cibernetice în comparație cu opțiunile 3 și 4, prin adăugarea funcțiilor operaționale în sprijinul autorităților judiciare și al autorităților responsabile cu aplicarea legii.

3.12

Opțiunea 5 ar presupune o creștere substanțială a bugetului agenției și ar crea preocupări similare referitoare la capacitatea de absorbție și de utilizare eficientă a bugetului.

3.13

Deși atât opțiunea 4, cât și opțiunea 5 ar avea un impact pozitiv mai mare decât opțiunea 3, Comisia consideră că există o serie de motive pentru care acestea nu ar trebui alese:

4.1

Agenția asistă Comisia și statele membre la îndeplinirea cerințelor legale și de reglementare referitoare la securitatea rețelelor și a informațiilor.

4.2

Consiliul de administrație definește direcția generală de funcționare a agenției.

4.3

Consiliul de administrație este compus dintr-un reprezentant al fiecărui stat membru, din trei reprezentanți numiți de Comisie, precum și din câte un reprezentant al industriei tehnologiei informației și a comunicațiilor, grupurilor de consumatori și experților universitari în domeniul tehnologiei informațiilor.

4.4

Agenția este condusă de un director executiv independent, responsabil cu elaborarea programului de activitate al agenției, care este adoptat de consiliul de administrație.

4.5

Directorul executiv este responsabil și cu elaborarea bugetului anual care vine în sprijinul programului de activitate. Consiliul de administrație trimite Comisiei și statelor membre spre aprobare atât bugetul, cât și programul de activitate.

4.6

La propunerea directorului executiv, Consiliul de administrație instituie un Grup permanent al părților interesate, alcătuit din experți din industria tehnologiei informației și a comunicațiilor, grupurile de consumatori, mediul universitar, precum și autoritățile responsabile cu aplicarea legii și autoritățile responsabile cu protejarea vieții private.

4.7

Deoarece este încă vorba de o propunere de regulament, există o oarecare incertitudine în privința cifrelor. În prezent, agenția are între 44 și 50 de angajați și un buget de 8 milioane EUR. În teorie, opțiunea 3 ar putea presupune un personal de 99 de angajați și un buget de 17 milioane EUR.

4.8

Regulamentul propune un mandat fix de cinci ani.