|
10.5.2019 |
RO |
Jurnalul Oficial al Uniunii Europene |
C 159/63 |
Avizul Comitetului Economic și Social European privind Propunerea de regulament al Parlamentului European și al Consiliului de instituire a Centrului de competențe european industrial, tehnologic și de cercetare în materie de securitate cibernetică și a Rețelei de centre naționale de coordonare
(COM(2018) 630 final — 2018/0328 (COD))
(2019/C 159/10)
Raportor: Antonio LONGO
Coraportor: Alberto MAZZOLA
|
Consultare |
Consiliul European, 5.10.2018 Parlamentul European, 1.10.2018 |
|
Temei juridic |
Articolele 173 alineatul (3), 188 și 304 din Tratatul privind funcționarea Uniunii Europene |
|
Secțiunea competentă |
Secțiunea pentru transporturi, energie, infrastructură și societatea informațională |
|
Data adoptării în secțiune |
9.1.2019 |
|
Data adoptării în sesiunea plenară |
23.1.2019 |
|
Sesiunea plenară nr. |
540 |
|
Rezultatul votului (voturi pentru/voturi împotrivă/abțineri) |
143/5/2 |
1. Concluzii și recomandări
|
1.1. |
Comitetul Economic și Social European (CESE) salută inițiativa Comisiei, considerând că servește la dezvoltarea unei strategii industriale în domeniul securității cibernetice și prezintă o importanță strategică pentru atingerea unei autonomii digitale puternice și extinse. Acești factori sunt indispensabili pentru consolidarea mecanismelor europene de apărare în contextul războiului cibernetic în curs, care amenință să submineze sistemele politice, economice și sociale. |
|
1.2. |
Comitetul consideră că nicio strategie de securitate cibernetică nu poate să facă abstracție de nevoia unei conștientizări generale și a unui comportament responsabil din partea tuturor utilizatorilor. |
|
1.3. |
Comitetul sprijină obiectivele generale ale propunerii și este conștient de faptul că aspectele specifice de funcționare vor face obiectul unei analize ulterioare. Având în vedere că este vorba despre un regulament, consideră totuși că ar trebui clarificate în prealabil anumite aspecte sensibile, legate de guvernanță, finanțare și realizarea obiectivelor stabilite. Este important ca centrul și viitoarea rețea să se bazeze într-o măsură cât mai mare pe expertiza și cunoștințele tehnice în domeniul cibernetic ale statelor membre, iar competențele să nu fie concentrate în exclusivitate la centrul care urmează a fi înființat. În plus, trebuie evitată suprapunerea domeniilor de activitate ale viitoarei rețele și ale centrului cu mecanismele de cooperare și organismele existente. |
|
1.4. |
CESE sprijină extinderea cooperării la întreprinderi, pe baza unor angajamente ferme în termeni științifici și de investiții, prin includerea lor, în viitor, în consiliul de conducere. În cazul unei cooperări tripartite între Comisia Europeană, statele membre și industrie, prezența unor întreprinderi din țări terțe ar trebui limitată la cele stabilite de multă vreme pe teritoriul european și pe deplin implicate în baza tehnologică și industrială europeană, cu condiția să facă obiectul unor mecanisme adecvate de examinare și de control, iar principiul reciprocității și obligațiile de confidențialitate să fie respectate. |
|
1.5. |
Securitatea cibernetică trebuie să fie ținta unor eforturi comune ale tuturor statelor membre, care, prin urmare, trebuie să facă parte din consiliul de conducere, în condiții care urmează a fi stabilite. În ceea ce privește contribuția lor financiară, aceasta s-ar putea baza și pe fondurile europene alocate fiecărui stat. |
|
1.6. |
În propunere ar trebui să se explice mai clar cum va putea interveni Centrul în coordonarea finanțării programelor Europa digitală și Orizont Europa și, mai ales, care sunt orientările pentru elaborarea și atribuirea eventualelor contracte. Acest lucru este esențial pentru a evita duplicările sau suprapunerile. În plus, pentru a majora pachetul financiar, se recomandă extinderea sinergiilor cu alte instrumente financiare ale UE (de exemplu, fondurile regionale, fondurile structurale, Mecanismul pentru interconectarea Europei, Fondul european de dezvoltare, InvestEU etc.). |
|
1.7. |
CESE consideră că este esențial să se definească modalitățile de cooperare și relațiile dintre Centrul european și centrele naționale. De asemenea, este important ca centrele naționale să fie finanțate de UE, cel puțin în ceea ce privește costurile administrative, facilitând armonizarea administrativă și a competențelor, pentru a reduce decalajul dintre țările europene. |
|
1.8. |
Comitetul reiterează importanța capitalului uman și speră că Centrul de competențe poate promova, în colaborare cu universitățile, centrele de cercetare și cele de formare de înalt nivel, o educație și o formare de excelență, inclusiv prin parcursuri educaționale specifice în universități și în instituțiile de învățământ superior. De asemenea, este esențial să se asigure un sprijin specific pentru întreprinderile nou-înființate și IMM-uri. |
|
1.9. |
CESE consideră că este esențial să se clarifice mai bine sferele de competență ale Centrului și Agenției Uniunii Europene pentru Securitatea Rețelelor și a Informațiilor (European Network and Information Security Agency – ENISA) și linia de demarcație dintre mandatele acestora, printr-o clară definire a modalităților de cooperare și sprijin reciproc și prin evitarea suprapunerii competențelor și a dublării eforturilor. Probleme similare apar și în cazul altor organisme care se ocupă cu securitatea cibernetică, cum ar fi Agenția Europeană de Apărare (AEA), Europol și CERT-UE; recomandă înființarea de mecanisme specifice de dialog structurat între diferitele organisme. |
2. Contextul actual în materie de securitate cibernetică
|
2.1. |
Securitatea cibernetică este unul dintre principalele subiecte de pe agenda UE, deoarece reprezintă un factor esențial pentru apărarea instituțiilor, întreprinderilor și cetățenilor, dar și un instrument necesar pentru menținerea democrației. Printre cele mai îngrijorătoare fenomene se evidențiază creșterea exponențială a programelor malware difuzate online prin sisteme automate, numărul lor crescând de la 130 000 în 2007 la 8 000 000 în 2017. În plus, Uniunea este un importator net de produse și soluții de securitate cibernetică, fapt care generează probleme de competitivitate economică și de securitate civilă și militară. |
|
2.2. |
Deși UE dispune de competențe și de experiențe semnificative în materie de securitate cibernetică, industria din domeniu, universitățile și centrele de cercetare sunt încă fragmentate, prezintă dezechilibre și nu au o strategie comună de dezvoltare. Acest lucru trebuie pus pe seama faptului că sectoarele relevante în materie de securitate cibernetică (de exemplu, energia, spațiul, apărarea și transportul) nu sunt sprijinite suficient, iar sinergiile dintre securitatea cibernetică din domeniile civil și cel al apărării nu sunt fructificate. |
|
2.3. |
Pentru a face față provocărilor tot mai mari, Uniunea a definit în 2013 o strategie de securitate cibernetică, menită să promoveze un ecosistem cibernetic fiabil, sigur și deschis (1). Mai târziu, în 2016, au fost adoptate primele măsuri specifice vizând securitatea rețelelor și a sistemelor informatice (2). Acest proces a dus la crearea parteneriatului public-privat (PPP) privind securitatea cibernetică. |
|
2.4. |
În 2017, Comunicarea intitulată „Reziliență, prevenire și apărare: construirea unei securități cibernetice puternice pentru UE” (3) a remarcat necesitatea de a asigura menținerea și dezvoltarea unor capacități esențiale de securitate informatică, pentru a proteja piața unică digitală și, în special, pentru a proteja rețelele și sistemele informatice critice și pentru a furniza servicii esențiale în materie de securitate cibernetică. |
|
2.5. |
Prin urmare, Uniunea trebuie să fie în măsură să își protejeze resursele și procesele digitale și să concureze pe piața mondială a securității cibernetice (4). |
3. Propunerile Comisiei
|
3.1. |
Centrul de competențe (sau „Centrul”) va urmări să faciliteze și să coordoneze activitatea rețelei de centre naționale și să servească drept referință pentru comunitatea de competențe în materie de securitate cibernetică, prin stabilirea agendei privind securitatea cibernetică tehnologică și prin facilitarea accesului la competențele dobândite. |
|
3.2. |
În special, Centrul ar urma să pună în aplicare părțile relevante ale programelor Europa digitală și Orizont Europa, prin alocarea de fonduri și gestionarea achizițiilor. Având în vedere investițiile majore în securitatea cibernetică efectuate în alte părți ale lumii, precum și nevoia de coordonare și de punere în comun a resurselor din sector în Europa, se propune înființarea Centrului de competențe sub formă de parteneriat european cu bază juridică dublă, facilitându-se astfel realizarea de investiții comune de către Uniune, statele membre și/sau industrie. |
|
3.3. |
Propunerea prevede că statele membre vor contribui cu o sumă proporțională la acțiunile Centrului de competențe și ale rețelei. Bugetul prevăzut de UE este alcătuit din: circa 2 miliarde EUR din programul Europa digitală, o sumă – care urmează să fie stabilită – din programul Orizont Europa și o contribuție totală a statelor membre, cel puțin egală cu cea furnizată de UE. |
|
3.4. |
Organismul decizional principal va fi consiliul de conducere, din care vor face parte toate statele membre, dar în care vor avea drept de vot numai acelea care contribuie financiar. Mecanismul de vot se va baza pe principiul dublei majorități, care va presupune 75 % din contribuția financiară și 75 % din voturi. Comisia va deține 50 % din drepturile de vot. Centrul va fi asistat de un Consiliu consultativ pe probleme științifice și industriale, care va asigura dialogul cu întreprinderile, consumatorii și alte părți interesate. |
|
3.5. |
În strânsă colaborare cu Rețeaua centrelor naționale de coordonare și cu comunitatea de competențe în materie de securitate cibernetică, Centrul va fi principalul organism de execuție pentru resursele financiare ale UE dedicate securității cibernetice în cadrul programelor propuse, Europa digitală și Orizont Europa. |
|
3.6. |
Centrele naționale de coordonare vor fi selectate de către statele membre. Va trebui ca ele să dețină competențe tehnologice în materie de securitate cibernetică sau să le poată accesa direct, în special în domenii precum criptografia, serviciile de securitate TIC, detectarea automată a intruziunilor, securitatea sistemelor, a rețelelor, a programelor informatice și a aplicațiilor sau aspectele umane și societale ale securității și ale protecției vieții private. Ele ar trebui să fie, de asemenea, în măsură să interacționeze și să se coordoneze în mod eficace cu industria și sectorul public, inclusiv cu autoritățile desemnate în sensul Directivei (UE) 2016/1148. |
4. Observații generale
|
4.1. |
CESE salută inițiativa Comisiei și consideră că are o importanță strategică pentru dezvoltarea securității cibernetice, punând în aplicare ceea ce s-a decis la Summitul de la Tallinn, din septembrie 2017. Cu acel prilej, șefii de stat și de guvern au îndemnat UE să ocupe „o poziție de lider în domeniul securității cibernetice până în 2025, pentru a asigura protecția cetățenilor, a consumatorilor și a întreprinderilor noastre online, precum și pentru a câștiga încrederea acestora, dar și pentru a permite un internet liber și aflat sub incidența legii.” |
|
4.2. |
CESE reamintește că ne aflăm în plin război cibernetic, care amenință să submineze sistemele politice, economice și sociale, atacând sistemele informatice ale instituțiilor, infrastructurile critice (energie, transporturi, instituții financiar-bancare etc.) și întreprinderile, și afectând, prin știri false (fake news), procesele electorale și pe cele democratice în general (5). Prin urmare, sunt necesare un grad ridicat de conștientizare și o reacție puternică și în timp util. Iată de ce trebuie să se prevadă o strategie industrială clară și bine susținută pentru securitatea cibernetică, ca premisă indispensabilă a realizării autonomiei digitale. CESE consideră că programul de lucru ar trebui să acorde prioritate domeniilor identificate de Directiva (UE) 2016/1148, care se aplică întreprinderilor furnizoare de servicii esențiale, fie ele publice sau private, dată fiind importanța lor pentru societate (6). |
|
4.3. |
Comitetul consideră că nicio strategie de securitate cibernetică nu poate să facă abstracție de nevoia unei conștientizări generale și a unui comportament responsabil din partea tuturor utilizatorilor. Din acest motiv, orice inițiativă tehnologică trebuie însoțită de campanii de informare și de sensibilizare adecvate, pentru a crea o „cultură a siguranței informatice” (7). |
|
4.4. |
Comitetul sprijină obiectivele generale ale propunerii și este conștient de faptul că aspectele specifice de funcționare vor face obiectul unei analize ulterioare. Având în vedere că este vorba despre un regulament, consideră totuși că ar trebui clarificate în prealabil anumite aspecte sensibile, legate de guvernanță, finanțare și realizarea obiectivelor stabilite. Este important ca centrul și viitoarea rețea să se bazeze într-o măsură cât mai mare pe expertiza și cunoștințele tehnice în domeniul cibernetic ale statelor membre, iar competențele să nu fie concentrate în exclusivitate la centrul care urmează a fi înființat. În plus, trebuie evitată suprapunerea domeniilor de activitate ale viitoarei rețele și ale Centrului cu mecanismele de cooperare și organismele existente. |
|
4.5. |
CESE reamintește că, în avizul său TEN/646 pe tema „Legea privind securitatea cibernetică” (8), a propus o cooperare tripartită, printr-un parteneriat public-privat, între Comisia Europeană, statele membre și industrie, inclusiv întreprinderi, în timp ce structura actuală, a cărei formă juridică va trebui să fie detaliată, prevede, în esență, un parteneriat public-privat între Comisia Europeană și statele membre. |
|
4.6. |
CESE sprijină extinderea cooperării la întreprinderi, pe baza unor angajamente ferme în termeni științifici și de investiții, prin includerea lor, în viitor, în consiliul de conducere. Crearea unui Consiliu consultativ pe probleme științifice și industriale ar putea să nu asigure un dialog constant cu întreprinderile, consumatorii și alte părți interesate. În plus, în noul context configurat de Comisie nu este clar ce rol va juca Organizația Europeană de Securitate Cibernetică (ECSO) – creată în iunie 2016, la inițiativa Comisiei, ca interlocutor al acesteia –, al cărei capital de rețele și cunoștințe nu ar trebui irosite. |
|
4.6.1. |
În cazul unei cooperări tripartite, este important să se acorde atenție situației întreprinderilor din țări terțe. În special, CESE subliniază că această cooperare ar trebui să se bazeze pe un mecanism riguros, pentru a împiedica implicarea unor întreprinderi din state terțe care ar putea afecta securitatea și autonomia Uniunii Europene. Clauzele relevante stabilite în Programul european de dezvoltare industrială în domeniul apărării (9) ar trebui să se aplice și în acest context. |
|
4.6.2. |
În același timp, CESE recunoaște că anumite întreprinderi din state terțe, dar stabilite de multă vreme pe teritoriul UE și pe deplin implicate în baza tehnologică și industrială europeană s-ar putea dovedi foarte utile pentru proiectele UE, la care ar trebui să aibă acces, cu condiția ca statele membre să instituie mecanisme adecvate de examinare și de control privind aceste întreprinderi și ca principiul reciprocității și obligațiile de confidențialitate să fie respectate. |
|
4.7. |
Securitatea cibernetică trebuie să fie ținta unor eforturi comune ale tuturor statelor membre, care, prin urmare, trebuie să facă parte din consiliul de conducere, în condiții care urmează a fi stabilite. De asemenea, este important ca toate statele membre să contribuie din punct de vedere financiar în mod corespunzător la inițiativa Comisiei. În ceea ce privește contribuția lor financiară, aceasta s-ar putea baza și pe fondurile europene alocate fiecărui stat. |
|
4.8. |
CESE este de acord că fiecare stat membru trebuie să fie liber să desemneze un reprezentant în consiliul de conducere al Centrului european de competențe. CESE recomandă ca profilurile de competență ale reprezentanților naționali să fie clar definite, combinând competențele strategice și tehnologice cu cele de management, administrative și în materie de buget. |
|
4.9. |
În propunere ar trebui să se explice mai clar cum va putea interveni Centrul în coordonarea finanțării programelor Europa digitală și Orizont Europa, care face încă obiectul negocierilor, și, mai ales, care sunt orientările pentru elaborarea și atribuirea eventualelor contracte. Acest lucru este esențial pentru a evita duplicările sau suprapunerile. În plus, pentru a majora pachetul financiar, se recomandă extinderea sinergiilor cu alte instrumente financiare ale UE (de exemplu, fondurile regionale, fondurile structurale, Mecanismul pentru interconectarea Europei, Fondul european de dezvoltare, InvestEU etc.). Comitetul speră ca rețeaua centrelor naționale să fie implicată în gestionarea și coordonarea fondurilor. |
|
4.10. |
CESE observă că Comitetul consultativ ar trebui să fie compus din 16 membri și că nu sunt prezentate mecanismele prin care ar trebui să se ajungă la mediul de afaceri, la universități, la institutele de cercetare și la consumatori. Comitetul consideră că ar fi util și de dorit ca membrii unui astfel de comitet să se distingă prin nivelul ridicat al cunoștințelor lor în domeniu și să reprezinte, în mod echilibrat, diferitele sectoare implicate. |
|
4.11. |
CESE consideră că este important să se definească modalitățile de cooperare și relațiile dintre Centrul european și centrele naționale. De asemenea, este important ca centrele naționale să fie finanțate de UE, cel puțin în ceea ce privește costurile administrative, facilitând armonizarea administrativă și a competențelor, pentru a reduce decalajul dintre țările europene. |
|
4.12. |
În conformitate cu avizele sale anterioare (10), CESE subliniază importanța educației și formării la standarde de excelență a resurselor umane în domeniul securității cibernetice, inclusiv prin intermediul unor cursuri specifice, universitare și postuniversitare. Se impune, de asemenea, furnizarea unui sprijin financiar suficient pentru IMM-urile și întreprinderile nou-înființate din sector (11), care au un rol crucial în dezvoltarea cercetării de vârf. |
|
4.13. |
CESE consideră că este esențial să se clarifice mai bine atât sferele de competență ale Centrului și ENISA, cât și linia de demarcație dintre mandatele lor, printr-o clară definire a modalităților de cooperare și sprijin reciproc și prin evitarea suprapunerii competențelor și a dublării eforturilor (12). În propunerea de regulament, se prevede prezența unui reprezentant al ENISA ca observator permanent în consiliul de conducere, dar acest lucru nu prezintă nicio garanție pentru un dialog structurat între cele două organisme. Probleme similare apar și în cazul altor organisme care se ocupă cu securitatea cibernetică, cum ar fi AEA, Europol și CERT-UE. În acest sens, prezintă interes memorandumul de înțelegere semnat în mai 2018 între ENISA, AEA, Europol și CERT–UE. |
Bruxelles, 23 ianuarie 2019.
Președintele
Comitetului Economic și Social European
Luca JAHIER
(1) JOIN(2013) 1 final.
(2) Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune (JO L 194, 19.7.2016, p. 1).
(3) JOIN(2017) 450 final.
(4) JO C 227, 28.6.2018, p. 86.
(5) Raport de informare pe tema „Utilizarea canalelor media pentru influențarea proceselor sociale și politice în UE și în țările din vecinătatea estică”, doamna Vareikytė, 2014.
(6) JO C 227, 28.6. 2018, p. 86.
(7) JO C 227, 28.6. 2018, p. 86.
(8) JO C 227, 28.6. 2018, p. 86.
(9) COM(2017) 294.
(10) JO C 451, 16.12.2014, p. 25.