27.9.2013   

RO

Jurnalul Oficial al Uniunii Europene

C 280/19

—

salută Strategia de securitate cibernetică a Comisiei și Directiva privind securitatea rețelelor și a informației (NIS) și sprijină obiectivul strategiei de a asigura un spațiu cibernetic deschis, sigur și securizat și de a face mediul online al UE cel mai sigur din lume;

—

crede că este nevoie urgentă de un pachet care să reunească activitățile în desfășurare și cele propuse în acest domeniu și care va contribui la elaborarea unei viziuni coordonate și strategice pentru Europa. Salutăm acest pachet care asigură coordonarea, încurajează cooperarea, generează acțiuni clare și decisive, realizează un nivel comun de protecție cibernetică, îmbunătățește reziliența sistemelor și rețelelor IT împotriva amenințărilor cibernetice noi și emergente și reduce fragmentarea în UE;

—

recomandă publicarea de către Comisie a unui plan de acțiune, în care să se explice în ce fel se vor realiza obiectivele ambițioase prezentate în pachet. Planul de acțiune va necesita linii directoare privind evaluarea și analizarea efectelor strategiei, pentru a constata dacă are loc cooperarea și dacă se fac progrese;

—

subliniază că noul pachet ar trebui să contribuie la îmbunătățirea prevenirii, detectării și răspunsului la incidentele cibernetice și să ducă la o mai bună împărtășire a informațiilor și coordonare între statele membre și Comisie împotriva incidentelor cibernetice majore. Pentru realizarea acestui lucru este necesar un parteneriat autentic care să includă statele membre, instituțiile UE, ALR, sectorul privat și societatea civilă.

Raportor

dl Robert BRIGHT (UK-PSE), membru al Consiliului municipal Newport

Document de referință

Comunicare comună „Strategia de securitate cibernetică a Uniunii Europene”

[JOIN(2013) 1 final]

Propunere de directivă a Parlamentului European și a Consiliului privind măsuri de asigurare a unui nivel comun ridicat de securitate a rețelelor și a informației în Uniune

[COM(2013) 48 final]

1.

salută Strategia de securitate cibernetică a Comisiei și Directiva privind securitatea rețelelor și a informației (NIS) și sprijină obiectivul strategiei de a asigura un spațiu cibernetic deschis, sigur și securizat și de a face mediul online al UE cel mai sigur din lume;

2.

se așteaptă ca noul pachet de securitate cibernetică (inclusiv strategia și directiva) să „ridice ștacheta” și să contribuie la dezvoltarea standardelor de securitate cibernetică în UE, diminuând incertitudinea juridică, sporind încrederea în serviciile online, reducând costurile inutile și sarcinile administrative, sprijinind astfel piața unică digitală și obiectivele Strategiei Europa 2020;

3.

crede că este nevoie urgentă de un pachet care să reunească activitățile în desfășurare și cele propuse în acest domeniu și care va contribui la elaborarea unei viziuni coordonate și strategice pentru Europa. Salutăm acest pachet care asigură coordonarea, încurajează cooperarea, generează acțiuni clare și decisive, realizează un nivel comun de protecție cibernetică, îmbunătățește reziliența sistemelor și rețelelor IT împotriva amenințărilor cibernetice noi și emergente și reduce fragmentarea în UE;

4.

recomandă organizațiilor, inclusiv autorităților publice, să recunoască faptul că combaterea criminalității cibernetice este o luptă continuă și le solicită să trateze cu prioritate amenințările pe care le reprezintă perturbările și atacurile cibernetice prin identificarea punctelor vulnerabile și dezvoltarea capacităților organizaționale pentru gestionarea cazurilor de încălcare a legislației. Cum internetul este tot mai mult parte integrantă a vieții oamenilor, crește și se extinde în paralel și amenințarea pe care o reprezintă criminalitatea cibernetică. Aceasta, în toate formele sale, este o nouă amenințare sofisticată, în creștere rapidă, la adresa statelor membre, organizațiilor și cetățenilor UE în secolul XXI, o amenințare a cărei frecvență și complexitate cresc și care nu cunoaște granițe;

5.

recunoaște progresele esențiale făcute de UE până în prezent în vederea unei mai bune protejări a cetățenilor în fața criminalității online, inclusiv propunerea legislativă privind atacurile împotriva sistemelor informatice și lansarea unei Alianțe mondiale împotriva abuzului sexual online asupra copiilor. Pachetul ar trebui să pornească de la măsurile anterioare, inclusiv cele identificate în Agenda digitală pentru Europa din 2010 (1) și să stabilească o politică europeană de apărare cibernetică robustă. În acest sens, îi îndeamnă pe co-legislatorii care, în prezent, dezbat propunerea de directivă a Comisiei privind atacurile împotriva sistemelor informatice (2) să încheie rapid un acord privind această propunere;

6.

susține ambiția strategiei care urmărește nu numai armonizarea capacităților statelor membre în domeniul securității cibernetice și reunirea diferitelor linii de acțiuni în desfășurare și propuse, în vederea stabilirii unor standarde comune și a unor condiții egale, ci și coordonarea și coerența a trei domenii politice: aplicarea legii, agenda digitală și politica de apărare, externă și de securitate, ale căror competențe au fost separate;

7.

sugerează că pachetul ar putea beneficia de dovezi colectate de guvernele naționale și ar trebui să propună un set de standarde armonizate legate de securitatea rețelelor și a informației;

8.

salută abordarea multipartită privind elaborarea de politici în cadrul acestui pachet. Pachetul recunoaște importanța cooperării public-private și a realizării unui parteneriat autentic cu alocarea resurselor adecvate. De asemenea, pachetul tinde spre completarea pieței unice digitale a UE, creând un mediu digital online sigur, securizat și prosper pentru întreprinderi, guverne și cetățeni;

9.

salută măsurile propuse în directivă, inclusiv recomandarea ca statele membre să adopte o strategie națională privind securitatea rețelelor și a informației, să înființeze centre de răspuns la incidente de securitate cibernetică (CERT) care să colaboreze cu Agenția Europeană pentru Securitatea Rețelelor Informatice și a Datelor (ENISA), precum și instaurarea unui mecanism clar de cooperare între statele membre și Comisie, pentru a împărtăși alertele rapide privind incidente și riscuri prin intermediul unei infrastructuri securizate. Aceste măsuri, precum și abordarea privind reglementarea urmărită de directivă, ar trebui să contribuie în mare măsură la îmbunătățirea coerenței, stabilirea unui nivel minim comun de pregătire la nivel național și la promovarea apărării cibernetice în UE;

10.

încurajează Parlamentul European și Consiliul să adopte rapid propunerea de directivă privind măsurile de asigurare a unui nivel comun ridicat de securitate a rețelelor și a informației în Uniune;

11.

sugerează că pachetul ar putea include și detaliile privind modul în care statele membre colectează și transmit datele cu privire la criminalitatea cibernetică, precum și de alte caracteristici privind implementarea măsurilor. Vor fi cruciale sistemele comune de raportare și claritatea cu privire la cerințele de notificare pentru a evita lipsa de certitudine și de coerență în ce privește modul în care o autoritate națională responsabilă de securitatea rețelelor și a informației definește și analizează incidentele cibernetice care au un „impact semnificativ”. De asemenea, este imperativ ca la înființarea unei autorități naționale responsabile de securitatea rețelelor și a informației să se aibă în vedere distribuirea competențelor în statele membre, în special în cele cu un caracter federal pronunțat sau cu structuri descentralizate;

12.

prin urmare, își exprimă anumite preocupări legate de anumite aspecte de reglementare și juridice ale pachetului, în special cu privire la lipsa de claritate a definiției criteriilor care trebuie îndeplinite de un stat membru pentru a fi autorizat să participe la sistemul securizat de schimb de informații, la specificarea suplimentară a evenimentelor declanșatoare pentru alertele rapide și la definirea circumstanțelor în care operatorii de piață și administrațiile publice sunt obligate să notifice incidentele. Absența unor reguli clar stabilite referitoare la aceste aspecte împiedică certitudinea juridică;

13.

își exprimă preocuparea față de faptul că directiva ar putea impune întreprinderilor și organismelor publice sarcini de reglementare inutile. Trebuie făcute toate eforturile pentru a evita dublarea regulilor și a asigura că orice reglementare suplimentară este în acord cu principiul proporționalității. Acest lucru poate fi deosebit de relevant pentru organizațiile care pot avea deja obligația de notificare, ceea ce corespunde în mare parte celor vizate în prezentul aviz;

14.

recomandă publicarea de către Comisie a unui plan de acțiune, în care să se explice în ce fel se vor realiza obiectivele ambițioase prezentate în pachet. Planul de acțiune va necesita linii directoare privind evaluarea și analizarea efectelor strategiei, pentru a constata dacă are loc cooperarea și dacă se fac progrese;

15.

îndeamnă toate statele membre să elaboreze strategii naționale în domeniul securității cibernetice (până în 2012, doar 10 state membre au elaborat o strategie), care să completeze noua strategie UE. Este importantă complementaritatea între strategiile naționale și cea a UE, pentru a garanta coerența. De asemenea, este important ca acțiunile la nivelul UE să completeze structurile existente și cele mai bune practici din statele membre;

16.

salută acțiunile viitoare ale Comisiei de dezvoltare a capacităților UE în domeniul securității cibernetice, inclusiv lansarea unui proiect-pilot de combatere a botneturilor și a malware-ului; angajamentul de consolidare a cooperării între CERT naționale, ENISA și noul centru pentru combaterea criminalității cibernetice; dezvoltarea unei rețele de centre naționale de excelență pentru combaterea criminalității cibernetice și lansarea unei platforme public-private pentru soluții NIS, în vederea stimulării adoptării unor soluții securizate TIC. Salută, de asemenea, intenția strategiei de a reuni toate părțile interesate pentru evaluarea progresului după 12 luni;

17.

subliniază că o strategie de securitate cibernetică de succes se bazează pe cooperarea strânsă dintre autoritățile NIS competente și autoritățile de aplicare a legii. În acest sens, este deosebit de importantă notificarea sistematică a incidentelor suspectate a fi de natură criminală serioasă către autoritățile de aplicare a legii;

18.

consideră că prioritățile menționate în pachet sunt echilibrate și adecvate. Prioritățile, cum ar fi protejarea drepturilor fundamentale, a datelor personale și a vieții private, o guvernanță multilaterală eficientă și responsabilitate comună pentru asigurarea securității, sunt domenii în care orașele și regiunile ar trebui să joace un rol esențial în calitate de deținători ai informațiilor din sectorul public;

19.

sugerează ca regiunile, alături de statele membre, să fie recunoscute ca promotoare ale unei strânse cooperări între utilizatori și producătorii de inovații în domeniul TIC în diferite medii guvernamentale și administrative, inclusiv securitatea cibernetică și protecția datelor;

20.

subliniază că noul pachet ar trebui să contribuie la îmbunătățirea prevenirii, detectării și răspunsului la incidentele cibernetice și să ducă la o mai bună împărtășire a informațiilor și coordonare între statele membre și Comisie împotriva incidentelor cibernetice majore. Pentru realizarea acestui lucru este necesar un parteneriat autentic care să includă statele membre, instituțiile UE, ALR, sectorul privat și societatea civilă;

21.

recunoaște că pentru combaterea amenințărilor cibernetice sunt necesare resurse mai multe, sporirea sensibilizării față de amenințarea pe care o reprezintă criminalitatea cibernetică și o securitate cibernetică eficientă și adecvată. În ceea ce privește guvernanța pe mai multe niveluri, o abordare fermă a securității cibernetice trebuie să ia în considerare ALR, care trebuie implicate pe deplin și în mod efectiv în guvernanța inițiativelor legate de TIC;

22.

având în vedere faptul că perturbările de securitate sunt o amenințare la adresa serviciilor de utilitate, de exemplu, cele de furnizare a apei la nivel local, a energiei, și dat fiind faptul că acestea utilizează și dețin multe produse și servicii de informații digitale, crede că ALR au un rol esențial în combaterea criminalității cibernetice, punând laolaltă datele cibernetice și protejând securitatea datelor. O mare parte a responsabilității le revine ALR pentru ca acestea să furnizeze cetățenilor și comunităților, de exemplu, servicii digitale și să ofere cursuri de formare în domeniul NIS în școli. Guvernele, inclusiv cele de la nivel local și regional, sunt responsabile pentru salvgardarea accesului și deschiderii, respectarea și protejarea drepturilor fundamentale online și menținerea fiabilității și interoperabilității internetului;

23.

pentru o mai bună legiferare, dat fiind că competențele ALR și rolul lor cheie în planificarea și implementarea oricăror măsuri în domeniul TIC (în special pentru aspectele legate de viața privată, protecția datelor și securitate cibernetică), sugerează ca aceste autorități să fie consultate în mod sistematic de instituțiile UE și de statele membre, atât la elaborarea, cât și la implementarea măsurilor destinate punerii în practică a Agendei digitale europene. Într-adevăr, este regretabil faptul că nu au fost luate în considerare punctele de vedere ale ALR în faza de pregătire a propunerii de directivă. CoR a precizat în mod clar că este pregătit să sprijine Comisia cu consultări prelegislative, așa cum este prevăzut în Protocolul de cooperare CoR-Comisie (3);

24.

recomandă ca la articolul 14, punctul 1 din directivă să se includă măsurile aplicabile la nivel local și regional. Aceste măsuri pot include stabilirea unui proces de evaluare și de gestionare a riscului, consolidarea securității informației, sporirea percepției față de aspectele legate de securitatea cibernetică și îmbunătățirea „alfabetizării digitale” și a competențelor în domeniu;

25.

subliniază că la nivel subnațional ar trebui încurajate și dezvoltate parteneriatele între toți actorii relevanți pentru ca aceștia să colaboreze în acțiuni coordonate în scopul securității cibernetice, care apoi să fie incluse în acțiunile în scopul securității cibernetice de la nivel național și al UE, în vederea combaterii criminalității și minimizării efectelor sale cauzate de pierderi financiare directe sau de furtul de proprietate intelectuală, de întreruperea comunicării sau de prejudicierea datelor esențiale pentru desfășurarea activităților;

26.

observă că, per ansamblu, cele două condiții de respectare a principiului subsidiarității, și anume necesitatea unei acțiuni din partea UE și valoarea adăugată a unei acțiuni la nivelul UE, sunt îndeplinite. Acțiunile propuse sunt necesare deoarece acestea implică aspecte transnaționale care nu pot fi reglementate în mod adecvat de statele membre și/sau de ALR, acționând individual. De asemenea, acțiunile propuse oferă mai degrabă beneficii clare în comparație cu acțiuni izolate la nivel național, regional sau local, deoarece, de exemplu, datele personale sunt transferate din ce în ce mai rapid dincolo de granițele naționale, atât interne, cât și externe. În plus, obligațiile de reglementare la nivelul UE vor contribui în mod clar prin stabilirea unor condiții de concurență echitabile și eliminarea lacunelor legislative;

27.

salută angajamentul general al directivei față de principiul subsidiarității și proporționalității. Având în vedere aspectele transnaționale ale incidentelor și riscurilor în domeniul NIS, obiectivele prezentate în directivă pot fi realizate mai bine la nivelul UE, în conformitate cu principiul subsidiarității. Cercetările arată că cetățenii UE au încredere în instituții cum ar fi Comisia în ceea ce privește protecția datelor cu caracter personal (4). În principiu, directiva respectă și principiul proporționalității, garantând că directiva propusă nu depășește ceea ce este necesar pentru atingerea obiectivelor respective. Există însă preocupări cu privire la respectarea principiului proporționalității și la structurile interne de guvernanță ale statelor membre ale UE, în sensul că directiva prevede pentru fiecare stat membru numai o singură autoritate competentă, respectiv o singură echipă națională CERT;

28.

crede că, în timp ce temeiul juridic al pachetului este stipulat la articolele 26 și 114 TFUE, acțiunile propuse depășesc aceste articole, întrucât propunerea acoperă toate sistemele de informații ale administrațiilor publice, inclusiv sistemele interne de informare, cum ar fi internetul;

29.

salută angajamentul directivei în favoarea respectării Cartei drepturilor fundamentale a Uniunii Europene. Normele, principiile și valorile pe care UE le promovează în afara spațiului cibernetic, ar trebui să se aplice și online. Tehnologiile informației și comunicațiilor (TIC) ar trebui să răspundă necesităților tuturor membrilor societății, inclusiv ale celor expuși riscului de excluziune socială. Toți utilizatorii de internet ar trebui să se poată aștepta la standarde minime pentru o gamă largă de cerințe, inclusiv fiabilitatea, securitatea, transparența, simplicitatea, interoperabilitatea și reducerea riscului și a responsabilității. În interesul unei protecții efective a drepturilor fundamentale, a securității juridice și în sensul respectării rezervei de examinare parlamentară se propune o reglementare mai concretă privind forma materială și juridică a normelor de securitate a rețelelor și a informației în directivă. Aceasta ar trebui să cuprindă în special cerințele privind drepturile fundamentale și dreptul la protecția și securitatea datelor în contextul configurării securității rețelelor și informației;

30.

subliniază că eforturile de a proteja și apăra cetățenii în mediul online trebuie să fie în echilibru cu drepturile, libertățile și principiile garantate prin cartă. Salută importanța acordată elaborării politicilor în domeniul cibernetic în acord cu valorile fundamentale ale UE După cum s-a subliniat în avizele precedente (5), va fi esențial să se garanteze că sunt îndeplinite toate cerințele de securitate la fiecare nivel, astfel încât să se asigure niveluri optime de respect pentru viața privată și protecția datelor cu caracter personal și să se prevină orice urmărire neautorizată a informațiilor și profilurilor personale;

31.

subliniază că în ciuda faptului că operatorii privați sunt din ce în ce mai responsabili pentru infrastructurile critice și serviciile online și a necesității de a recunoaște rolul crucial al sectorului privat, statul trebuie, în cele din urmă, să-și asume responsabilitatea pentru păstrarea libertății și protejarea siguranței cetățenilor în mediul online;

32.

observă că introducerea în întreaga Europă a principiului conform căruia detaliile personale și detaliile obiectelor trebuie înregistrate doar o singură dată, fără a fi necesar să se completeze în mod repetat formulare, va contribui în mod substanțial la eliminarea birocrației inutile pentru public și la reducerea costurilor administrative. În acest context, trebuie vegheat la respectarea legislației în materie de protecție a datelor;

33.

subliniază că pentru a avea capacități eficiente de apărare în spațiul cibernetic, este necesară formarea și perfecționarea personalului, inclusiv celui din cadrul ALR. Solicită organizarea de vaste acțiuni de formare pentru întregul personal, în special pentru personalul tehnic specializat, pentru personalul care lucrează în mod direct cu procedurile de securitate care implică diferite metodologii și pentru personalul implicat în general sau indirect în procesele de inovare și de modernizare cu privire la chestiuni legate de încredere și securitate. Formarea continuă este importantă pentru succesul e-Guvernării la nivel local, în timp ce ALR au un rol din ce în ce mai important în furnizarea de informații și consiliere cetățenilor cu privire la utilizarea adecvată a sistemelor și recunoașterea amenințărilor cibernetice (6);

34.

subliniază că „implicarea nivelului de conducere” reprezintă un factor important al succesului. De aceea este nevoie de o formare corespunzătoare a managementului și organelor de conducere, în vederea sensibilizării acestora și a creării unor condiții adecvate pentru realizarea unei culturi a securității la nivelul organizațiilor lor;

35.

ia cunoștință de îmbunătățirile din domeniul educației și formării prin introducerea formării cu privire la NIS și prin organizarea unui campionat de securitate cibernetică în 2014. Ar trebui să se țină seama de evenimente existente deja în statele membre și să se încurajeze schimbul de bune practici. Salută ambiția strategiei de a introduce formare cu privire la NIS în școli; totuși, având în vedere că educația este un domeniu de competență al statelor membre, sugerează că realizarea acestui obiectiv până în 2014 va necesita resurse semnificative și planificare;

36.

atrage atenția asupra faptului că asigurarea protecției vieții private depinde de anumiți factori, inclusiv de structura organismelor din sectorul public (aflate, în majoritate, la nivel local), de convergența legislației UE, de promovarea unei culturi inovatoare în rândul funcționarilor autorităților publice, inclusiv prin aplicarea unui cod deontologic comun, și în rândul cetățenilor, prin definirea drepturilor lor de consumatori digitali și sensibilizarea lor cu privire la acestea, precum și de gestionarea aplicațiilor bazate pe TIC;

37.

reafirmă că viitoarele activități ar trebui să vizeze stimularea și încurajarea creării și aplicării de soluții tehnice pentru combaterea conținutului ilegal și a comportamentului dăunător din mediul online, precum și promovarea cooperării și schimburilor de bune practici între o gamă largă de factori interesați la nivel local, regional, european și internațional; În acest sens, sunt deosebit de importante serviciile de asistență telefonică pentru copii, părinți și îngrijitori, hotline-urile pentru notificarea abuzurilor, software care să permită identificarea mai facilă a conținutului abuziv și notificarea simplă și rapidă;

38.

recomandă să se facă toate eforturile pentru creșterea procentului scăzut de întreprinderi din UE (26% până în ianuarie 2012) care au o politică de securitate TIC definită oficial (7). Trebuie încurajate întreprinderile de toate dimensiunile să investească în securitatea cibernetică, care poate fi utilizată ca un instrument de marketing pentru potențiali clienți și poate ameliora efectele dezastruoase ale criminalității cibernetice. Întreprinderile ar trebui să adopte o abordare cu orientare comercială și bazată pe tehnologie față de securitatea cibernetică, acordând prioritate activelor sau proceselor lor critice;

39.

subliniază că, având în vedere potențialul economic imens al TIC pentru economia europeană (în prezent, aproape 6% din PIB-ul UE (8)), acum sunt necesare măsuri concrete de abordare a fenomenului în creștere de criminalitate informatică și de restabilire a încrederii cetățenilor și întreprinderilor în securitatea internetului (prin reducerea numărului utilizatorilor de internet din UE care sunt îngrijorați, de exemplu, din cauza securității plăților online (9));

40.

susține că pentru a reduce fondurile imense pierdute din cauza criminalității cibernetice și pentru a spori încrederea consumatorilor, sunt necesare eforturi urgente de combatere a criminalității cibernetice la nivel local/regional, național și al UE;

41.

sugerează că strategia ar profita de informații suplimentare referitoare la modul de protejare și dezvoltare a cloud computingului care are un enorm potențial economic. Creșterea rapidă în utilizarea aparatelor electronice mobile nu dă semne de încetinire. Raportul Gartner arată că până în 2016, cel puțin 50% din utilizatorii de e-mail din întreprinderi vor recurge la un telefon mobil (10). Trebuie examinate noile oportunități și probleme generate de aparatele electronice mobile și cloud computing. În plus, cloud computing-ul necesită o arhitectură adecvată pentru a atinge niveluri optime de securitate (11). De fapt, Comitetul și-a exprimat preocuparea față de faptul că recenta Comunicare a Comisiei Europene privind cloud computing-ul nu analizează în detaliu legăturile dintre strategia propusă și alte aspecte, cum ar fi prelucrarea sigură a datelor, dreptul de autor, precum și dezvoltarea accesibilității și portabilității datelor (12);

42.

având în vedere amenințarea globală, interconectată și transfrontalieră reprezentată de criminalitatea cibernetică, crede că este necesară încurajarea cooperării și dialogului internațional, dincolo de granițele UE, pentru a asigura o abordare cu adevărat globală, coordonată față de securitatea cibernetică. În acest sens, toate statele trebuie încurajate să adopte Convenția internațională privind criminalitatea cibernetică (Convenția de la Budapesta) (13). Este importantă și continuarea cooperării bilaterale, în special cu SUA, și a celei multilaterale cu o serie de organizații internaționale;

43.

subliniază importanța îmbunătățirii coordonării între instrumentele de finanțare existente și viitoare, cum ar fi Orizont 2020, Cadrul european de cooperare și Fondul pentru securitate internă, pentru a adopta o abordare mai coordonată față de investițiile legate de spațiul cibernetic;

44.

se întreabă dacă bugetul alocat, de 1,25 milioane de euro, va fi suficient pentru o infrastructură NIS robustă și adecvată și își exprimă dezamăgirea față de pachetul financiar redus pentru mecanismul Conectarea Europei prevăzut în acordul Consiliului încheiat la 8 februarie cu privire la cadru financiar multianual 2014-2020. este nevoie de un buget robust și extins pentru a asigura sprijin financiar pentru o infrastructură esențială în domeniul TIC, în vederea creării de legături între capacitățile NIS ale statelor membre, înlesnind astfel cooperarea în UE.