19.9.2013   

SK

Úradný vestník Európskej únie

C 271/133


Stanovisko Európskeho hospodárskeho a sociálneho výboru na tému „Návrh smernice Európskeho parlamentu a Rady o opatreniach na zabezpečenie vysokej úrovne bezpečnosti sietí a informácií v Únii“

COM(2013) 48 final – 2013/0027 (COD)

2013/C 271/25

Spravodajca: Thomas McDONOGH

Rada a Európsky Parlament sa 21. februára a 15. apríla 2013 rozhodli podľa článku 114 Zmluvy o fungovaní Európskej únie prekonzultovať s Európskym hospodárskym a sociálnym výborom

„Návrh smernice Európskeho parlamentu a Rady o opatreniach na zabezpečenie vysokej úrovne bezpečnosti sietí a informácií v Únii“

COM(2013) 48 final – 2013/0027 (COD).

Odborná sekcia pre dopravu, energetiku, infraštruktúru a informačnú spoločnosť, ktorá bola poverená prípravou návrhu stanoviska výboru v danej veci, prijala svoje stanovisko 30. apríla 2013.

Európsky hospodársky a sociálny výbor prijal na svojom 490. plenárnom zasadnutí 22. a 23. mája 2013 (schôdza z 22. mája) 163 hlasmi za, pričom 1 člen hlasoval proti a 5 členovia sa hlasovania zdržali, toto stanovisko:

1.   Závery a odporúčania

1.1

Výbor berie na vedomie návrh smernice, ktorý treba brať v širšom kontexte nedávno zverejnenej stratégie kybernetickej bezpečnosti (1) obsahujúcej komplexnú víziu bezpečnosti sietí a informácií s cieľom zabezpečiť, aby digitálne hospodárstvo mohlo bezpečne rásť a pritom sa presadzovali európske hodnoty slobody a demokracie.

1.2

EHSV víta návrh smernice na zabezpečenie vysokej úrovne bezpečnosti sietí a informácií v EÚ. Harmonizácia a riadenie bezpečnosti sietí a informácií na európskej úrovni sú nevyhnutné na dokončenie jednotného digitálneho trhu a na plynulé fungovanie vnútorného trhu ako celku. Výbor sa stotožňuje s obavami Komisie vo vzťahu k obrovským škodám z hľadiska hospodárstva a blahobytu občanov, ktoré by mohli vzniknúť pri zlyhaní bezpečnosti sietí a informácií. Navrhovaná smernica však nespĺňa očakávania výboru, pokiaľ ide o dôrazné legislatívne opatrenia v tejto dôležitej otázke.

1.3

Výbor je mimoriadne sklamaný nedostatočným pokrokom mnohých členských štátov pri zavádzaní účinnej bezpečnosti sietí a informácií na štátnej úrovni. EHSV vyjadruje poľutovanie nad zvýšeným rizikom, ktoré tento nedostatok predstavuje pre občanov, ako aj nad nepriaznivým vplyvom, ktorý má na dokončenie jednotného digitálneho trhu. Všetky členské štáty by mali v súvislosti s nesplnenými povinnosťami v oblasti bezpečnosti sietí a informácií prijať okamžité opatrenia.

1.4

Nedostatočný pokrok vedie k vzniku ďalších rozdielov v digitálnej oblasti medzi elitnou skupinou s vysoko rozvinutou bezpečnosťou sietí a informácií a menej pokročilými členskými štátmi. Tieto rozdiely majú nepriaznivý vplyv na dôveru a spoluprácu v oblasti bezpečnosti sietí a informácií na úrovni EÚ, a ak sa nebudú hneď riešiť, pravdepodobne povedú k nedostatkom na vnútornom trhu spojeným s rozdielnou spôsobilosťou jednotlivých členských štátov.

1.5

V súlade s odporúčaniami z predchádzajúcich stanovísk (2) sa EHSV domnieva, že provizórne dobrovoľné opatrenia nefungujú a že členským štátom sa musia uložiť dôsledné regulačné povinnosti na zabezpečenie harmonizácie, riadenia a presadzovania európskej bezpečnosti sietí a informácií. EHSV, žiaľ, nie je presvedčený o tom, že tento návrh smernice predstavuje potrebný jasný a rozhodujúci právny predpis. Výbor sa domnieva, že na zabezpečenie potrebnej vysokej úrovne bezpečnosti sietí a informácií by účinnejšie ako smernica bolo nariadenie s vhodne vymedzenými záväznými povinnosťami členských štátov.

1.6

Napriek zámeru Európskej komisie vydať delegované predpisy na zabezpečenie určitých jednotných podmienok vykonávania častí smernice výbor vníma v navrhovanom predpise nedostatok noriem, jasných vymedzení a kategorických povinností, čím sa členským štátom umožňuje priveľká pružnosť pri výklade a transponovaní rozhodujúcich prvkov. Výbor by v predpise privítal omnoho jasnejšie vymedzenia noriem, požiadaviek a postupov, ktoré majú dodržiavať členské štáty, verejné orgány, subjekty pôsobiace na trhu a kľúčoví sprostredkovatelia internetových služieb.

1.7

Na zabezpečenie vypracovania a vykonávania silnej politiky pre bezpečnosť sietí a informácií v EÚ by výbor privítal vytvorenie orgánu pre bezpečnosť sietí a informácií na úrovni EÚ podľa vzoru ústredného orgánu v leteckom priemysle (Európska agentúra pre bezpečnosť letectva (EASA)) (3). Tento orgán by stanovoval normy a sledoval presadzovanie všetkých prvkov bezpečnosti sietí a informácií v Únii od osvedčovania bezpečných koncových zariadení a ich používania, až po bezpečnosť sietí a bezpečnosť údajov.

1.8

EHSV si dobre uvedomuje zvýšené riziká v oblasti kybernetickej bezpečnosti a ochrany údajov po zavedení služby cloud computing (4) v Európe. Privítal by, keby sa v navrhovanom predpise výslovne uviedli osobitné dodatočné bezpečnostné požiadavky a povinnosti týkajúce sa poskytovania a využívania služby cloud computing.

1.9

Na zabezpečenie riadnej zodpovednosti za bezpečnosť sietí a informácií by sa malo v predpise jasne uviesť, že subjekty, na ktoré sa vzťahujú povinnosti podľa tejto smernice, by mali právo vyvodiť zodpovednosť voči dodávateľom softvéru a hardvéru za akékoľvek chyby ich výrobkov alebo služieb, ktoré priamo prispejú k incidentom v oblasti bezpečnosti sietí a informácií.

1.10

EHSV vyzýva členské štáty, aby osobitnú pozornosť venovali rozširovaniu poznatkov malých a stredných podnikov v oblasti bezpečnosti sietí a informácií a ich zručností v oblasti kybernetickej bezpečnosti. Výbor zároveň upozorňuje Komisiu na úspech „súťaží hackerov“ v USA (5) a v niektorých členských štátoch (6) pri zvyšovaní informovanosti o kybernetickej bezpečnosti a výchove ďalšej generácie profesionálov v oblasti bezpečnosti sietí a informácií.

1.11

EHSV žiada Komisiu, aby vzhľadom na význam dodržiavania bezpečnosti sietí a informácií celej EÚ vo všetkých členských štátoch zvážila, aké finančné prostriedky viacročného finančného rámca by sa mohli použiť na dodržiavanie bezpečnosti sietí a informácií s cieľom pomôcť členským štátom, ktoré potrebujú finančnú pomoc.

1.12

Jednou z najvyšších priorít rámcového programu EÚ pre výskum a inovácie Horizont 2020 by mali byť výdavky na výskum, vývoj a inovácie v oblasti technológií bezpečnosti sietí a informácií, aby Európa dokázala držať krok s rýchlo sa meniacim prostredím kybernetických hrozieb.

1.13

S cieľom vysvetliť, na ktoré subjekty sa vzťahujú právne povinnosti podľa navrhovaného predpisu, by EHSV privítal povinnosť každého členského štátu zverejniť online adresár všetkých subjektov, na ktoré sa vzťahujú požiadavky smernice v oblasti riadenia rizík a oznamovania. Táto transparentnosť a verejná zodpovednosť by viedli k vybudovaniu dôvery a podpore dodržiavania smernice.

1.14

Výbor upozorňuje Komisiu na množstvo predchádzajúcich stanovísk EHSV, ktoré sa zaoberali témou bezpečnosti sietí a informácií a v ktorých sa výbor vyjadroval o potrebe bezpečnej informačnej spoločnosti a ochrane kritickej infraštruktúry (7).

2.   Zhrnutie návrhu Komisie

2.1

Navrhovaná smernica o bezpečnosti sietí a informácií bola uverejnená spolu so stratégiou kybernetickej bezpečnosti EÚ, ktorej zámerom je posilniť odolnosť informačných systémov, znížiť kybernetickú trestnú činnosť, posilniť politiku EÚ v oblasti medzinárodnej kybernetickej bezpečnosti a kybernetickú ochranu a rozvíjať priemyselné a technologické zdroje kybernetickej bezpečnosti pri súčasnom presadzovaní základných práv a ďalších ústredných hodnôt EÚ.

2.2

Bezpečnosť sietí a informácií sa týka ochrany internetu a ďalších sietí, informačných systémov a súvisiacich služieb, ktoré podporujú fungovanie našej spoločnosti. Bezpečnosť sietí a informácií je nevyhnutná na bezproblémové fungovanie vnútorného trhu.

2.3

Čisto dobrovoľný prístup k bezpečnosti sietí a informácií, ktorý sa v EÚ doposiaľ uplatňuje, neposkytuje dostatočnú ochranu pred rizikami týkajúcimi sa bezpečnosti sietí a informácií. Súčasné spôsobilosti v oblasti bezpečnosti sietí a informácií nie sú dostatočné na udržanie tempa s rýchlo sa meniacim svetom hrozieb a na zabezpečenie vysokej úrovne ochrany vo všetkých členských štátoch.

2.4

V členských štátoch dnes existujú veľmi rôzne úrovne spôsobilosti a pripravenosti, čo vedie k rozdrobenosti prístupov k bezpečnosti sietí a informácií v EÚ. Vzhľadom na skutočnosť, že siete a systémy sú navzájom prepojené, členské štáty s nedostatočnou úrovňou ochrany oslabujú celkovú bezpečnosť sietí a informácií v EÚ. Táto situácia zároveň prekáža vzniku dôvery medzi partnermi, ktorá je predpokladom spolupráce a výmeny informácií. V dôsledku tejto situácie existuje spolupráca len medzi menšinou členských štátov s vysokou úrovňou spôsobilosti.

2.5

Účelom smernice, ktorá bola navrhnutá v súlade s článkom 114 Zmluvy o fungovaní EÚ, je uľahčiť dokončenie a plynulé fungovanie jednotného digitálneho trhu:

zaviesť minimálnu spoločnú úroveň bezpečnosti sietí a informácií v členských štátoch, a tak zvýšiť celkovú úroveň pripravenosti a reakcií na incidenty;

zlepšiť spoluprácu v oblasti bezpečnosti sietí a informácií s cieľom zabrániť cezhraničným incidentom a hrozbám;

vytvoriť kultúru riadenia rizík a zlepšovať výmenu informácií medzi súkromným a verejným sektorom.

2.6

V navrhovanej smernici sa stanovujú okrem iného tieto právne požiadavky:

a)

každý členský štát musí prijať stratégiu pre bezpečnosť sietí a informácií a určiť príslušný štátny orgán pre bezpečnosť sietí a informácií s primeranými finančnými a ľudskými zdrojmi s cieľom predchádzať rizikám a incidentom v oblasti bezpečnosti sietí a informácií, riešiť tieto riziká a incidenty a reagovať na ne;

b)

vytvorenie mechanizmu spolupráce medzi členskými štátmi a Komisiou na výmenu včasných varovaní vo vzťahu k rizikám a incidentom, na spoluprácu a prípravu pravidelných partnerských hodnotení;

c)

povinnosť konkrétnych druhov subjektov v celej EÚ prijímať postupy riadenia rizík a oznamovať ich príslušnému štátnemu orgánu významné bezpečnostné incidenty týkajúce sa ich základných služieb. K subjektom, na ktoré sa vzťahujú tieto požiadavky, patria prevádzkovatelia kritických informačných infraštruktúr v niektorých odvetviach (finančné služby, doprava, energetika, zdravotníctvo), sprostredkovatelia služieb informačnej spoločnosti (najmä služby cloud computing, platforiem elektronického obchodu, internetových platieb, vyhľadávačov, obchodov s aplikáciami a sociálnych sietí) a orgány verejnej správy.

2.7

Členské štáty budú musieť zaviesť smernicu do 18 mesiacov od jej prijatia Radou a Európskym parlamentom, ktoré sa očakáva niekedy v roku 2014.

3.   Všeobecné pripomienky

3.1

Rast internetu a digitálnej spoločnosti má výrazný dosah na každodenný život. Ako však rastie naša závislosť od internetu, naša sloboda, prosperita a kvalita života čoraz viac závisia od spoľahlivej bezpečnosti sietí a informácií: ak nefunguje internet a v núdzovej situácii nie je možné dostať sa k elektronickým zdravotným záznamom, budú umierať ľudia. Bezpečnosť kritickej informačnej infraštruktúry v Európe je však čoraz viac ohrozovaná a naša úroveň bezpečnosti sietí a informácií nie je dostatočná.

3.2

Riaditeľ Europolu minulý rok uviedol, že je veľmi znepokojený touto veľkou neodôvodnenou dôverou v nenarušiteľnú povahu internetu (8). Často počúvame o nových kybernetických útokoch zločincov, teroristov či cudzích vlád na základnú infraštruktúru. Obete väčšinu útokov neohlásia, pretože sa obávajú poškodenia povesti. V posledných týždňoch sme však boli svedkami útokov na európsku internetovú infraštruktúru (9) a bankové systémy (10), ktoré boli príliš veľké na to, aby sa dali skryť. Podľa odhadov uvedených v jednej správe (11) Holandsko v roku 2011 postihlo 92 miliónov kybernetických útokov a Nemecko 82 miliónov. Podľa odhadov vlády Spojeného kráľovstva prišlo v Spojenom kráľovstve v roku 2011 k 44 miliónom útokov kybernetickej trestnej činnosti, ktoré stáli hospodárstvo až 30 miliárd EUR (12).

3.3

Problémom bezpečnosti sietí a informácií v Európe sa Rada EÚ zaoberala v roku 2007 (13). Politický prístup sa však odvtedy (14) opiera najmä o dobrovoľné opatrenia členských štátov, z ktorých len menšina prijala účinné opatrenia. Výbor pripomína, že mnohé členské štáty stále neuverejnili štátnu stratégiu kybernetickej bezpečnosti ani nevypracovali štátny pohotovostný plán riešenia kybernetických incidentov, a niektoré zatiaľ nevytvorili tím reakcie na núdzové počítačové situácie (CERT). Viacero členských štátov tiež ešte neratifikovalo Dohovor Rady Európy o počítačovej kriminalite (15).

3.4

Desať členských štátov s najrozvinutejšou bezpečnosťou sietí a informácií vytvorilo skupinu tímov reakcie na núdzové počítačové situácie európskych vlád (EGC) na úzku spoluprácu v oblasti bezpečnosti sietí a informácií a reakcií na incidenty. Členstvo v skupine EGC je v súčasnosti uzavreté. Ďalších 17 menej pokročilých členských štátov a novo vytvorený tím reakcie EÚ na núdzové počítačové situácie (16) sú v súčasnosti z tejto elitnej skupiny vylúčené. Medzi členskými štátmi s vysoko rozvinutou bezpečnosťou sietí a informácií a ostatnými členskými štátmi sa otvára nová digitálna priepasť. Ak sa táto priepasť neprekoná, rozdiely v bezpečnosti sietí a informácií ohrozia podstatu jednotného digitálneho trhu, čím sa obmedzí rozvoj dôvery, harmonizácie a interoperability. Bez dôrazných opatrení sa navyše budú rozdiely medzi členskými štátmi s pokročilou bezpečnosťou a členskými štátmi s menej pokročilou bezpečnosťou pravdepodobne zvyšovať, rovnako ako nedostatky na vnútornom trhu spojené s rozdielnou spôsobilosťou jednotlivých členských štátov.

3.5

Úspech stratégie kybernetickej bezpečnosti a účinnosť navrhovanej smernice o bezpečnosti sietí a informácií budú závisieť od existencie silného odvetvia bezpečnosti sietí a informácií v Európe a dostatočného počtu pracovníkov s odbornými zručnosťami v oblasti bezpečnosti sietí a informácií. EHSV s potešením víta, že v navrhovanej smernici je zahrnutá potreba členských štátov investovať do vzdelávania, informovanosti a odbornej prípravy v oblasti bezpečnosti sietí a informácií. Výbor by zároveň privítal, keby každý členský štát vynaložil osobitné úsilie na informovanie, vzdelávanie a podporu odvetvia malých a stredných podnikov v oblasti kybernetickej bezpečnosti. Veľké firmy môžu ľahko získať potrebné poznatky, malé a stredné podniky však potrebujú podporu.

3.6

EHSV s potešením očakáva spoluprácu s Európskou agentúrou pre bezpečnosť sietí a informácií (ENISA), pokiaľ ide o podporu bezpečnosti sietí a informácií počas mesiaca kybernetickej bezpečnosti, ktorý sa uskutoční v tomto roku. V súvislosti s cieľom stratégie kybernetickej bezpečnosti a smernice o bezpečnosti sietí a informácií rozvíjať kultúru informovanosti o bezpečnosti v EÚ a zvyšovať úroveň zručností v oblasti bezpečnosti sietí a informácií výbor upozorňuje Komisiu na podujatia „súťaže hackerov“ pre mládež, ktorými sa dosiahol veľký úspech pri zvyšovaní informovanosti v niektorých členských štátoch a USA.

3.7

Výbor zároveň s potešením berie na vedomie záväzok uvedený v stratégii kybernetickej bezpečnosti, pokiaľ ide o výdavky v oblasti výskumu, vývoja a inovácií na technológie bezpečnosti sietí a informácií.

3.8

Rast služby cloud computing vedie k vzniku mnohých nových rizík v oblasti kybernetickej bezpečnosti, ktorými sa treba zaoberať. Zločinci v oblasti počítačovej kriminality majú napríklad v súčasnosti k dispozícii rozsiahlu počítačovú silu za pomerne nízke náklady a údaje tisícok spoločností sa teraz nachádzajú v centralizovaných úložiskách údajov, ktoré nemusia odolať sústredeným útokom. EHSV žiada vyššiu kybernetickú odolnosť služby cloud computing (17).

3.9

Výbor v minulosti žiadal zavedenie dobrovoľného systému elektronickej identifikácie EÚ pre online transakcie na doplnenie jestvujúcich štátnych systémov. Takýto systém by zabezpečoval vyššiu úroveň ochrany proti podvodom, ovzdušie väčšej dôvery medzi hospodárskymi subjektmi, nižšie náklady na poskytovanie služieb a vyššiu kvalitu služieb a ochrany pre občanov.

4.   Konkrétne pripomienky

4.1

Návrh smernice o bezpečnosti sietí a informácií, ktorý predložila Komisia, je žiaľ príliš provizórny, nie je dostatočne jasný a v priveľkej miere závisí od samoregulácie členských štátov. Chýbajúce normy, jasné vymedzenia a kategorické povinnosti, najmä v kapitole IV smernice, poskytujú členským štátom priveľkú pružnosť vo výklade a transpozícii rozhodujúcich prvkov právneho predpisu. Nariadenie s vhodne vymedzenými záväznými právnymi povinnosťami členských štátov by bolo účinnejšie ako smernica.

4.2

Výbor pripomína, že podľa článku 6 smernice sa od každého členského štátu vyžaduje, aby určil „príslušný orgán“ na sledovanie a zabezpečenie jednotného uplatňovania smernice v EÚ. Výbor ďalej pripomína, že v článku 8 sa ustanovuje „sieť spolupráce“, ktorá bude prostredníctvom právomocí priznaných sieti spolupráce a Komisii v prípade potreby zabezpečovať celoeurópske vedenie, dohľad a presadzovanie až na úroveň členských štátov. EHSV sa domnieva, že EÚ by mala v nadväznosti na tento rámec riadenia zvážiť vytvorenie orgánu pre bezpečnosť sietí a informácií na úrovni EÚ podľa vzoru Európskej agentúry pre bezpečnosť letectva (EASA), ktorá určuje normy a riadi presadzovanie a dodržiavanie bezpečnosti v prípade lietadiel, letísk a leteckej prevádzky.

4.3

Orgán pre bezpečnosť sietí a informácií na úrovni EÚ, ktorého vznik výbor navrhuje v odseku 4.2, by sa mohol zriadiť na základe činností v oblasti kybernetickej bezpečnosti, ktoré už vykonáva Európska agentúra pre bezpečnosť sietí a informácií (ENISA), Európsky výbor pre normalizáciu (CEN), tímy reakcie na núdzové počítačové situácie (CERT), skupina tímov reakcie na núdzové počítačové situácie európskych vlád (EGC) a ďalšie orgány. Takýto orgán by stanovoval normy a sledoval presadzovanie všetkých prvkov bezpečnosti sietí a informácií od osvedčovania bezpečných koncových zariadení a ich používania po bezpečnosť sietí a bezpečnosť údajov.

4.4

Vzhľadom na vysokú vzájomnú závislosť členských štátov pri zabezpečovaní bezpečnosti sietí a informácií v EÚ a na veľmi vysoké potenciálne náklady všetkých postihnutých strán v prípade zlyhania bezpečnosti sietí a informácií by EHSV privítal, keby boli v právnom predpise zahrnuté výslovné a primerané sankcie za nedodržiavanie, harmonizované s cieľom zohľadniť celoeurópsky rozmer zodpovednosti a rozsah škôd, ktoré by mohli vzniknúť, a to nielen na domácom trhu, ale aj v celej EÚ. Článok 17 právneho predpisu, ktorý sa zaoberá sankciami, je všeobecný, umožňuje členským štátom priveľkú voľnosť pri určovaní sankcií a neposkytuje dostatočné usmernenia na zohľadnenie cezhraničných a celoeurópskych účinkov.

4.5

Vlády a poskytovatelia základných služieb dnes nezverejňujú prípady zlyhania bezpečnosti a odolnosti, kým nemusia. Nedostatočné zverejňovanie ohrozuje schopnosť Európy rýchlo a účinne reagovať na kybernetické hrozby a zlepšovať všeobecnú bezpečnosť sietí a informácií výmenou poznatkov. Výbor schvaľuje rozhodnutie Komisie zaviesť v smernici povinné oznamovanie všetkých významných incidentov v oblasti bezpečnosti sietí a informácií. EHSV si nemyslí, že dobrovoľné vlastné oznamovanie incidentov by fungovalo, keďže z dôvodu obáv o povesť a obáv zo zodpovednosti existuje motivácia zakrývať prípady zlyhania.

4.6

V článku 14 smernice, ktorý sa týka oznamovania, však chýba vymedzenie incidentov s „významným vplyvom“ na bezpečnosť a článok príslušným subjektom a členským štátom poskytuje priveľkú voľnosť pri rozhodovaní o tom, či incident v oblasti bezpečnosti sietí a informácií oznámiť alebo nie. Účinné právne predpisy si vyžadujú jednoznačné požiadavky. Keďže navrhovaná smernica je v základnom vymedzení požiadaviek príliš nejasná, nie je možné vyvodiť voči príslušným subjektom zodpovednosť za nedodržiavanie jej ustanovení podľa článku 17 smernice.

4.7

Keďže zaistenie bezpečnosti sietí a informácií je väčšinou v rukách súkromného sektora, dôležitá je podpora vysokej úrovne dôvery a spolupráce všetkých spoločností zodpovedných za základnú informačnú infraštruktúru a služby. Treba privítať a podporiť iniciatívu Európskeho verejno-súkromného partnerstva pre odolnosť (EP3R), ktorú Komisia zaviedla v roku 2009. Výbor sa však domnieva, že túto iniciatívu je potrebné posilniť a podporiť regulačnou povinnosťou v predpise o bezpečnosti sietí a informácií s cieľom zabezpečiť spoluprácu kľúčových subjektov, ktoré sa riadne neangažujú.

4.8

Každý členský štát by mal zverejniť online adresár všetkých subjektov vo svojej jurisdikcii, na ktoré sa vzťahujú bezpečnostné požiadavky a povinnosti oznamovania incidentov podľa článku 14 navrhovanej smernice. Táto transparentnosť by popri vysvetlení, ako sa jednotlivé členské štáty rozhodnú uplatňovať vymedzenia podľa článku 3 predpisu, zároveň pomohla vybudovať dôveru a podporiť kultúru riadenia rizík medzi občanmi.

4.9

EHSV pripomína, že tvorcovia softvéru a výrobcovia hardvéru sú z požiadaviek smernice výslovne vylúčení, keďže nie sú poskytovateľmi služieb informačnej spoločnosti. Výbor sa však domnieva, že v navrhovanom predpise by sa mala ustanoviť možnosť subjektov, na ktoré sa vzťahujú povinnosti podľa tejto smernice, obrátiť sa na dodávateľov softvéru a hardvéru v prípade akýchkoľvek chýb ich výrobkov alebo služieb, ktoré priamo prispievajú k incidentom v oblasti bezpečnosti sietí a informácií.

4.10

Napriek tomu, že podľa odhadov Komisie bude vykonávanie navrhovanej smernice o bezpečnosti sietí a informácií stáť približne 2 miliardy EUR ročne, ktoré sa rozložia medzi verejný a súkromný sektor v Európe, výbor pripomína, že niektoré členské štáty, ktoré sú pod finančným tlakom, budú mať problémy s hľadaním investícií potrebných na dodržiavanie smernice. Treba zvážiť, ako by sa v rámci viacročného finančného rámca mohla zabezpečiť podpora dodržiavania smernice o bezpečnosti sietí a informácií prostredníctvom rôznych nástrojov vrátane Európskeho fondu regionálneho rozvoja a možno Fondu pre vnútornú bezpečnosť.

V Bruseli 22. mája 2013

Predseda Európskeho hospodárskeho a sociálneho výboru

Henri MALOSSE


(1)  Otvorený, bezpečný a chránený kybernetický priestor, JOIN(2013) 1.

(2)  Stanoviská EHSV na tému Ochrana kritických informačných infraštruktúr, Ú. v. EÚ C 255, 22.9.2010, s. 98 a na tému Smernica o útokoch na informačné systémy, Ú. v. EÚ C 218, 23.7.2011, s. 130.

(3)  Európska agentúra pre bezpečnosť letectva: http://easa.europa.eu/

(4)  Stanoviská EHSV na tému Cloud computing v Európe, Ú. v. EÚ C 24, 28.1.2012, s. 40 a na tému Uvoľnenie potenciálu cloud computingu v Európe, Ú. v. EÚ C 76, 14.3.2013, s. 59.

(5)  http://www.nytimes.com/2013/03/25/technology/united-states-wants-to-attract-hackers-to-public-sector.html?pagewanted=all&_r=0

(6)  http://www.bbc.co.uk/news/technology-17333601

(7)  Stanovisko EHSV na tému Stratégia pre bezpečnú informačnú spoločnosť, Ú. v. EÚ C 97, 28.4.2007, s. 21.

Stanovisko EHSV na tému Ochrana kritických informačných infraštruktúr, Ú. v. EÚ C 255, 22.9.2010, s. 98.

Stanovisko EHSV na tému Nariadenie o Európskej agentúre pre bezpečnosť sietí a informácií (ENISA), Ú. v. EÚ C 107, 6.4.2011, s. 58.

Stanovisko EHSV na tému Všeobecné nariadenie o ochrane údajov, Ú. v. EÚ C 229, 31.7.2012, s. 90.

Stanovisko EHSV na tému Útoky na informačné systémy, Ú. v. EÚ C 218, 23.7.2011, s. 130.

Stanovisko EHSV na tému Elektronické transakcie na vnútornom trhu, Ú. v. EÚ C 351, 15.11.2012, s. 73.

Stanovisko EHSV na tému Uvoľnenie potenciálu cloud computingu v Európe, Ú. v. EÚ C 76, 14.3.2013, s. 59.

(8)  http://forumblog.org/2012/05/what-if-the-internet-collapsed/

(9)  http://www.nytimes.com/2013/03/27/technology/internet/online-dispute-becomes-internet-snarling-attack.html?pagewanted=all&_r=0

(10)  http://www.dutchnews.nl/news/archives/2013/04/online_retailers_demand_banks.php

(11)  http://www.securelist.com/en/analysis/204792216/Kaspersky_Security_Bulletin_Statistics_2011

(12)  The UK Cyber Security Strategy: Landscape Review: http://www.nao.org.uk/wp-content/uploads/2013/03/Cyber-security-Full-report.pdf

(13)  Uznesenie Rady 2007/C 68/01.

(14)  COM(2006) 251 a COM(2009) 149.

(15)  http://conventions.coe.int/Treaty/Commun/ChercheSig.asp?NT=185&CL=ENG

(16)  Tím reakcie EÚ na núdzové počítačové situácie je stálym tímom reakcie na núdzové počítačové situácie (CERT-EU) pre inštitúcie, agentúry a orgány EÚ.

(17)  Stanoviská EHSV na tému Cloud computing v Európe, Ú. v. EÚ C 24, 28.1.2012, s. 40 a Uvoľnenie potenciálu cloud computingu v Európe, Ú. v. EÚ C 76, 14.3.2013, s. 59.