PRACOVNÝ DOKUMENT ÚTVAROV KOMISIE

ZHRNUTIE POSÚDENIA VPLYVU

Sprievodný dokument

Návrh smernice Európskeho parlamentu a Rady

o opatreniach na zabezpečenie vysokej úrovne bezpečnosti sietí a informácií v Únii

1.           Pôsobnosť

Toto posúdenie vplyvu sa týka možností politiky zameraných na zvýšenie bezpečnosti internetu a ďalších sietí a informačných systémov, na ktorých sú založené služby podporujúce fungovanie našej spoločnosti (napríklad verejnej správy, finančného sektora a bankovníctva, energetiky, dopravy, zdravotníctva a určitých internetových služieb, ktoré zabezpečujú kľúčové ekonomické a spoločenské procesy, ako sú platformy elektronického obchodu a sociálne siete). Táto problematika sa označuje ako bezpečnosť sietí a informácií (NIS).

2.           Politický kontext

Rastúci význam bezpečnosti sietí a informácií pre naše hospodárstvo a spoločnosť Komisia prvýkrát uznala v roku 2001. S cieľom zabezpečiť vysokú a účinnú úroveň bezpečnosti sietí a informácií v EÚ, Európske spoločenstvo rozhodlo v roku 2004 zriadiť Európsku agentúru pre bezpečnosť sietí a informácií (ďalej len „agentúra ENISA“). Prístup Európskej únie k problematike v oblasti bezpečnosti sietí a informácií spočíval doposiaľ najmä v prijímaní akčných plánov a stratégií, ktorými sa podnecovali členské štáty, aby zvyšovali svoje spôsobilosti v oblasti bezpečnosti sietí a informácií a aby spolupracovali na odvracaní cezhraničným problémov v oblasti bezpečnosti sietí a informácií.

Jednotlivé aspekty tejto iniciatívy (vymedzenie problémov a možnosti riešenia existujúcich nedostatkov) boli konzultované so zúčastnenými stranami prostredníctvom:

· verejnej konzultácie na internete na tému „Zvýšenie bezpečnosti sietí a informácií v EÚ“, ktorá prebiehala od 23. júla do 15. októbra 2012. Prostredníctvom tohto online nástroja bolo Komisii celkovo doručených 169 odpovedí a ďalších 10 odpovedí jej bolo zaslaných v písomnej podobe.,

· konzultácií s členskými štátmi v rámci Európskeho fóra pre členské štáty (ďalej len „fórum EFMS“), na bilaterálnych stretnutiach a na konferencii o kybernetickej bezpečnosti, ktorú 6. júla 2012 zorganizovala Komisia a Európska služba pre vonkajšiu činnosť.,

· rozhovorov so spoločnosťami a združeniami v súkromnom sektore v rámci Európskeho verejno-súkromného partnerstva pre odolnosť (EP3R) a bilaterálnych stretnutí.,

· rozhovorov s agentúrou ENISA a tímom CERT-EU,

· diskusií v rámci zhromaždenia na tému „Digitálna agenda 2012“.

3.           Opis problému

3.1.        Vymedzenie problému

Tento problém možno opísať ako celkovú nedostatočnú úroveň ochrany voči incidentom, rizikám a hrozbám v oblasti bezpečnosti sietí a informácií v EÚ, ktoré ohrozujú riadne fungovanie vnútorného trhu.

Keďže sú siete a informačné systémy vzájomne prepojené a internet je nástroj globálnej povahy, mnohé incidenty v oblasti bezpečnosti sietí a informácií prekračujú hranice jednotlivých štátov a ohrozujú fungovanie vnútorného trhu.

V dôsledku narušenia bezpečnosti môžu byť cezhraničné služby nedostupné, pozastavené alebo prerušené, ako sa stalo v prípade útokov na eBay a PayPal. Útoky na holandského vydavateľa digitálnych certifikátov DigiNotar poukázali na nutnosť rýchlej reakcie v záujme vyriešenia problémov a výmeny informácií o závažných incidentoch. Členské štáty začínajú po minulých incidentoch zavádzať svoje vlastné predpisy. Nekoordinované regulačné zásahy môžu viesť k roztriešteniu a vzniku prekážok na vnútornom trhu, a tým aj k nákladom súvisiacim s dodržiavaním predpisov pre spoločnosti, ktoré vykonávajú svoju činnosť vo viac než jednom členskom štáte.

Tento problém sa týka všetkých oblastí spoločnosti a hospodárstva (orgánov verejnej správy, podnikov a spotrebiteľov). Najmä niekoľko odvetví hrá v poskytovaní kľúčových služieb pre naše hospodárstvo a spoločnosť zásadnú úlohu a bezpečnosť ich systémov je pre fungovanie vnútorného trhu obzvlášť dôležitá. Do týchto odvetví patrí bankovníctvo, burza cenných papierov, výroba, prenos a distribúcia energie, doprava (letecká, železničná, námorná), zdravotníctvo, sprostredkovatelia kľúčových internetových služieb a verejná správa. Verejná konzultácia ukázala silnú podporu zainteresovaných strán, pokiaľ ide o riešenie problému bezpečnosti sietí a informácií v týchto odvetviach a o prijatie primeraných opatrení na úrovni EÚ.

Ak nebudú na odvrátenie rastúceho počtu bezpečnostných incidentov prijaté ďalšie opatrenia, mohla by sa narušiť dôvera spotrebiteľov v online služby, a tým by mohlo byť ohrozené plnenie cieľov digitálnej agendy.

3.2.        Príčiny problému

Tento problém je spôsobený viacerými faktormi.

V prvom rade existuje rozdielna úroveň spôsobilostí jednotlivých členských štátov EÚ brániaca vytváraniu vzájomnej dôvery medzi subjektmi na rovnakej úrovni, ktorá je základným predpokladom spolupráce a výmeny informácií.

V druhom rade nie je dostatočná výmena informácií o incidentoch, rizikách a hrozbách. Väčšina incidentov v oblasti bezpečnosti sietí a informácií zostane neoznámená a bez povšimnutia, najmä preto, že spoločnosti nechcú podávať tieto informácie zo strachu o poškodenie dobrej povesti alebo z dôvodu, že im to prinesie určitú zodpovednosť. V súčasných partnerstvách / platformách medzi súkromným a verejným sektorom, ako je EFMS a EP3R, sa výmena informácií obmedzuje na osvedčené postupy.

4.           účinnosť existujúcich opatrení

4.1.        Medzery v súčasnom regulačnom rámci

Podľa súčasných predpisov sa vyžaduje iba od telekomunikačných spoločností, aby prijali opatrenia na riadenie rizík a podávali správy o incidentoch v oblasti bezpečnosti sietí a informácií. Bezpečnostné riziká však ohrozujú všetky subjekty, ktoré využívajú siete a informačné systémy. Toto vedie k nerovnakým podmienkam, pretože ten istý incident, ktorý by zasiahol napríklad poskytovateľa telekomunikačných služieb a spoločnosť poskytujúcu hlasové služby prostredníctvom internetového protokolu, by v prvom prípade musel byť oznámený vnútroštátnemu príslušnému orgánu, kým v druhom prípade nie.

Všetci účastníci trhu, ktorí sú prevádzkovateľmi údajov (napríklad banky alebo nemocnice), sú podľa regulačného rámca na ochranu údajov povinní zaviesť bezpečnostné opatrenia primerané hroziacim rizikám. Zároveň sú však povinní oznamovať len také narušenia bezpečnosti, pri ktorých dochádza k ohrozeniu osobných údajov.

Smernica Rady 2008/114/ES o identifikácii a označení európskych kritických infraštruktúr sa vzťahuje len na sektor energetiky a dopravy, a členské štáty určili doteraz len niekoľko takýchto európskych kritických infraštruktúr. Smernica neukladá účastníkom trhu povinnosť oznamovať závažné narušenia bezpečnosti ani nezavádza mechanizmy spolupráce členských štátov či reakcie na incidenty.

Spoluzákonodarcovia v súčasnosti rokujú o návrhu smernice o útokoch proti informačným systémom, ktorý predložila Komisia[1]. Uvedený návrh sa týka iba kriminalizácie určitých druhov správania, nezaoberá sa však otázkou predchádzania rizík a incidentov v oblasti bezpečnosti sietí a informácií ani reakciou na takéto riziká či zmierňovaním ich vplyvu.

4.2.        Hranice dobrovoľného prístupu

Doterajší dobrovoľný prístup má za následok nerovnakú úroveň pripravenosti a obmedzenú spoluprácu.

Keďže členské štáty si nevymieňajú informácie o incidentoch, rizikách a hrozbách ani nespolupracujú v boji proti cezhraničným hrozbám, fórum EFMS má len obmedzenú zodpovednosť. Fórum EFMS nemá právomoc požadovať od svojich členov, aby zaviedli minimálne spôsobilosti.

Agentúra ENISA nemá žiadne operatívne právomoci a nemôže napríklad zasahovať do riešenia problémov v oblasti bezpečnosti sietí a informácií.

Partnerstvo EP3R nemá žiadne oficiálne postavenie a nemôže od súkromného sektora žiadať, aby oznamoval incidenty vnútroštátnym orgánom. V rámci partnerstva EP3R neexistuje žiadny rámec pre dôvernú výmenu informácií a odovzdávanie informácií o hrozbách, rizikách a incidentoch v oblasti bezpečnosti sietí a informácií.

5.           Potreba zásahu na úrovni EÚ, subsidiarita a proporcionalita

Zaručenie bezpečnosti sietí a informácií má zásadný význam pre fungovanie vnútorného trhu a dobré životné podmienky našej spoločnosti. Článok 114 ZFEÚ je vhodný právny základ na harmonizáciu požiadaviek v oblasti bezpečnosti sietí a informácií a na zavedenie jednotnej minimálnej úrovne bezpečnosti v celej EÚ.

Zásah Únie v oblasti bezpečnosti sietí a informácií je opodstatnený z hľadiska subsidiarity vzhľadom na cezhraničný charakter tohto problému a vyššiu účinnosť (a teda pridanú hodnotu) pre existujúce vnútroštátne politiky, ktorá by vyplynula z akcie na úrovni EÚ.

S cieľom zabezpečiť spoluprácu, ktorá by zahŕňala všetky členské štáty, je potrebné ubezpečiť sa, že všetky členské štáty majú požadovanú minimálnu úroveň spôsobilostí. Okrem toho je zrejmé, že zosúladený postup založený na spolupráci v oblasti bezpečnosti sietí a informácií môže mať výrazne pozitívny vplyv na účinnú ochranu základných práv a konkrétne práva na ochranu osobných údajov a súkromia.

Opatrenia v rámci uprednostňovanej možnosti sú opodstatnené z hľadiska proporcionality, pretože požiadavky na členské štáty sú stanovené na minimálnej úrovni, ktorá je potrebná na dosiahnutie primeranej pripravenosti a na umožnenie spolupráce založenej na dôvere, a požiadavky na podniky a verejnú správu, aby realizovali riadenie rizík a oznamovali incidenty, sa zameriavajú len na kritické subjekty a ukladajú opatrenia, ktoré sú primerané rizikám a ktoré sa týkajú incidentov s významným vplyvom. Okrem toho opatrenia v rámci uprednostňovanej možnosti by nepredstavovali neprimerané náklady.

6.           Ciele

Všeobecným cieľom je zvýšiť úroveň ochrany voči incidentom, rizikám a hrozbám v oblasti bezpečnosti sietí a informácií v celej EÚ. Konkrétnymi cieľmi sú:

· Cieľ č. 1 – zaviesť minimálnu úroveň bezpečnosti sietí a informácií v členských štátoch, a tým zvýšiť celkovú úroveň pripravenosti a reakcie.

· Cieľ č. 2 – zlepšiť spoluprácu v oblasti bezpečnosti sietí a informácií na úrovni EÚ v záujme efektívneho boja proti cezhraničným incidentom a hrozbám.

· Cieľ č. 3 – vytvoriť kultúru riadenia rizika a zlepšiť výmenu informácií medzi súkromným a verejným sektorom.

7.           Možnosti politiky

Možnosti politiky, ktoré sa brali do úvahy v tomto posúdení vplyvu, sú: zachovanie súčasnej praxe, regulačný prístup a zmiešaný prístup. Možnosť, ktorá spočíva v zastavení všetkých iniciatív EÚ v oblasti bezpečnosti sietí a informácií bola zavrhnutá.

7.1.        Možnosť č. 1 – Zachovanie súčasnej praxe (základný scenár)

Komisia by v spolupráci s agentúrou ENISA pokračovala v súčasnom dobrovoľnom prístupe a vyzvala členské štáty, aby na vnútroštátnej úrovni zabezpečili spôsobilosti v oblasti bezpečnosti sietí a informácií (napríklad tímy CERT, vnútroštátne pohotovostné plány riešenia kybernetických incidentov, vnútroštátne stratégie kybernetickej bezpečnosti) a aby spolupracovali na úrovni EÚ (napríklad prostredníctvom siete tímov CERT v Európe a európskeho pohotovostného plánu riešenia kybernetických incidentov).

7.2.        Možnosť č. 2 – regulačný prístup

Komisia by požadovala od všetkých členských štátov, aby zabezpečili aspoň minimálnu úroveň vnútroštátnych spôsobilostí (tímy CERT, príslušné orgány, vnútroštátne pohotovostné plány riešenia kybernetických incidentov, vnútroštátne stratégie kybernetickej bezpečnosti.).

V rámci tejto možnosti by museli byť príslušné vnútroštátne orgány a tímy CERT súčasťou siete spolupráce na úrovni EÚ. V tejto sieti by si tieto orgány a tímy CERT vymieňali informácie a spolupracovali v boji proti bezpečnostným hrozbám a incidentom podľa európskeho pohotovostného plánu riešenia kybernetických incidentov, na ktorom by sa členské štáty museli dohodnúť.

Podniky (s výnimkou mikropodnikov) v konkrétnych kritických odvetviach, t. j. bankovníctvo, energetika (elektrická energia a zemný plyn), doprava, zdravotníctvo, sprostredkovatelia základných internetových služieb a verejná správa, by museli posudzovať riziká, ktorým čelia, a prijať zodpovedajúce opatrenia primerané rozsahu skutočného rizika. Okrem toho by tieto subjekty museli príslušným orgánom oznamovať incidenty, ktoré vážne ohrozujú prevádzku ich sietí a informačných systémov, a tým majú významný vplyv na kontinuitu služieb a dodávok tovaru, ktoré závisia na sieťach a informačných systémoch. Tento postup zodpovedá postupu, ktorý je uvedený v článku 13a a 13b rámcovej smernice o elektronických komunikáciách.

7.3.        Možnosť č. 3 – zmiešaný prístup

Komisia by spojila dobrovoľné iniciatívy založené na slobodnom rozhodnutí členských štátov, zamerané na vytvorenie spôsobilostí členských štátov v oblasti bezpečnosti sietí a informácií alebo na ich posilnenie a na zavedenie mechanizmov spolupráce na úrovni EÚ, s právnymi požiadavkami na kľúčových aktérov zo súkromnej sféry a verejnú správu.

Dobrovoľné iniciatívy by boli v zásade podobné iniciatívam realizovaným v rámci možnosti č. 1, zatiaľ čo regulačné požiadavky by boli zhodné s požiadavkami stanovenými v možnosti č. 2, čo sa týka dotknutých subjektov a podstaty ich povinností.

Agentúra ENISA by Komisii, členským štátom a súkromnému sektoru poskytovala podporu a odborné poznatky, napríklad prostredníctvom vydávania technických pokynov a odporúčaní.

8.           Analýza vplyvov

Posúdenie sa okrem úrovne bezpečnosti zaoberá ekonomickými a sociálnymi dôsledkami týchto troch možností. Taktiež uvádza náklady, ktoré by vznikli v súvislosti s možnosťou č. 2 a č. 3.

Žiadna z týchto možností nebude mať vplyv na životné prostredie, ktorý by bolo možné s presnosťou predvídať.

8.1.        Možnosť č. 1 – Zachovanie súčasnej praxe (základný scenár)

Úroveň bezpečnosti: Je nepravdepodobné, že všetky členské štáty by dosiahli porovnateľné úrovne vnútroštátnych spôsobilostí a pripravenosti potrebné na zvýšenie bezpečnosti a umožnenie spolupráce, ako aj výmeny dôverných informácií na úrovni EÚ. Nezabezpečili by sa rovnaké podmienky, pokiaľ ide o riadenie rizík a zvýšenie transparentnosti v súvislosti s incidentmi, a aj naďalej by tak existovali právne medzery.

Ekonomické dôsledky: Dôsledky tejto možnosti by záviseli od rozsahu, v akom by sa členské štáty riadili odporúčaniami Komisie. Nedostatočná úroveň bezpečnosti v menej rozvinutých členských štátoch by narušila ich konkurencieschopnosť a rast a vystavila by ich rizikám a bezpečnostným incidentom. Vzhľadom na súčasné trendy by incidenty v oblasti bezpečnosti sietí a informácií boli pre podniky i spotrebiteľov čoraz viditeľnejšie a bránili by v dobudovaní vnútorného trhu.

Sociálne dôsledky: Pokračovanie a očakávané zhoršovanie bezpečnostných incidentov, rizík a hrozieb by malo negatívny vplyv na dôveru občanov v online služby.

8.2.        Možnosť č. 2 – regulačný prístup

Úroveň bezpečnosti: Povinnosti uložené členským štátom by zabezpečili, aby mali všetky štáty zodpovedajúcu vybavenosť a aby prispeli k vytvoreniu atmosféry vzájomnej dôvery, ktorá je základnou podmienkou pre účinnú spoluprácu na úrovni EÚ.

Zavedenie požiadaviek na realizáciu riadenia rizík v oblasti bezpečnosti sietí a informácií pre orgány verejnej správy a kľúčových aktérov zo súkromnej sféry by bolo silným podnetom na zistene rozsahu a účinné riadenie bezpečnostných rizík. Celkové dodatočné náklady na splnenie týchto požiadaviek, ktoré by sa dotkli rôznych odvetví v EÚ, by predstavovali 1 až 2 miliardy EUR. Pre malý a stredný podnik by tieto náklady na dodržiavanie predpisov boli v rozmedzí 2 500 až 5 000 EUR.

Ekonomické dôsledky: V dôsledku vyššej úrovne bezpečnosti by sa obmedzili finančné straty spojené s rizikami a incidentmi v oblasti bezpečnosti sietí a informácií. Zvýšila by sa dôvera podnikov a spotrebiteľov v digitálny svet, čo by bolo prospešné pre vnútorný trh. Podpora lepšej kultúry riadenia rizika by tiež zvýšila dopyt po bezpečných produktoch a riešeniach v oblasti IKT.

Sociálne dôsledky: Vyššia úroveň bezpečnosti by zvýšila dôveru občanov v online služby. Občania by tak mohli v plnej miere využívať výhody digitálneho sveta (napríklad sociálnych médií, elektronického vzdelávania alebo zdravotníctva).

8.3.        Možnosť č. 3 – zmiešaný prístup

Úroveň bezpečnosti: Rovnako ako v prípade možnosti č. 1 neexistuje záruka, že by sa na základe vnútroštátnych spôsobilostí v oblasti bezpečnosti sietí a informácií a spolupráce na úrovni EÚ zlepšila úroveň bezpečnosti v dôsledku dobrovoľných iniciatív. Na druhej strane by zavedenie bezpečnostných požiadaviek pre verejnú správu a kľúčových aktérov zo súkromnej sféry bolo silným podnetom na zistene rozsahu bezpečnostných rizík a na ich riadenie. Tieto mechanizmy by však boli neúčinné v tých členských štátoch, ktoré by sa v súvislosti so zabezpečením spôsobilostí v oblasti bezpečnosti sietí a informácií neriadili odporúčaniami Komisie.

Ekonomické dôsledky: Rýchlosť rozvoja v jednotlivých členských štátoch by sa výrazne líšila. Nedostatočná úroveň bezpečnosti v menej rozvinutých členských štátoch by narušila ich konkurencieschopnosť a rast a vystavila by ich negatívnemu vplyvu rizík a bezpečnostných incidentov.

Sociálne dôsledky: Pokračovanie a očakávané zhoršovanie bezpečnostných incidentov, rizík a hrozieb by malo negatívny vplyv na dôveru v online služby, najmä v tých členských štátoch, ktoré nepovažujú bezpečnosť sietí a informácií za svoju prioritu.

9.           Porovnanie možností

Možnosti č. 1 a č. 3 sa pre dosiahnutie cieľov tejto politiky nepovažujú za realizovateľné, a preto sa neodporúčajú. Ich účinnosť by závisela od toho, či by dobrovoľný prístup skutočne priniesol určitú minimálnu úroveň bezpečnosti sietí a informácií a v prípade možnosti č. 3 tiež od slobodného rozhodnutia členských štátov zabezpečiť spôsobilosti a spolupracovať s ostatnými členskými štátmi.

Uprednostňovanou možnosťou je možnosť č. 2, pretože jej realizáciou by sa výrazne zvýšila ochrana spotrebiteľov, podnikov a vládnych inštitúcií v EÚ pred bezpečnostnými incidentmi, hrozbami a rizikami. Okrem toho, keď si EÚ spraví poriadok doma, môže rozšíriť svoj medzinárodný dosah a stať sa ešte dôveryhodnejším partnerom na spoluprácu na bilaterálnej a multilaterálnej úrovni. EÚ by tým mohla mať aj lepšiu pozíciu pri podpore základných práv a kľúčových hodnôt EÚ v zahraničí.

10.         Monitorovanie a hodnotenie

V kapitole 10 správy o posúdení vplyvu je uvedených niekoľko kľúčových ukazovateľov pokroku v dosahovaní stanovených cieľov. Tieto ukazovatele napríklad zahŕňajú:

· v prípade cieľa č. 1 počet členských štátov, ktoré určili príslušný orgán pre oblasť bezpečnosti sietí a informácií a zostavili tím CERT alebo ktoré prijali vnútroštátne stratégie kybernetickej bezpečnosti a vnútroštátne pohotovostné plány riešenia kybernetických incidentov,

· v prípade cieľa č. 2 počet príslušných orgánov a tímov CERT členských štátov, ktoré sa zapojili do siete, a objem informácií o bezpečnostných rizikách a incidentoch vymieňaných prostredníctvom siete, v prípade cieľa č. 3 rozsah investícií kľúčových aktérov zo súkromnej sféry a verejnej správy do oblasti bezpečnosti sietí a informácií a počet oznámení incidentov s významným vplyvom v oblasti bezpečnosti sietí a informácií.

[1]               KOM(2010) 517 v konečnom znení, http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2010:0517:FIN:SK:PDF