10.3.2017   

SK

Úradný vestník Európskej únie

C 75/124

Spravodajca:

Thomas McDONOGH

1.1.

Výbor víta oznámenie Komisie o posilňovaní odolnosti kybernetického systému a podpore konkurencieschopného a inovačného odvetvia kybernetickej bezpečnosti v Európe. Výbor sa stotožňuje s obavami Komisie v súvislosti s pretrvávajúcou zraniteľnosťou Európy voči kybernetickým útokom a konštatuje, že takmer 80 % európskych podnikov zažilo v minulom roku aspoň jeden incident v oblasti kybernetickej bezpečnosti a počet bezpečnostných incidentov vo všetkých odvetviach na celom svete sa v roku 2015 zvýšil o 38 % (prieskum The Global State of Information Security Survey 2016, PWC). Súhlasíme s Komisiou v tom, že je potrebný celý rad opatrení na posilnenie odolnosti kybernetického systému a podporu konkurencieschopného a inovatívneho odvetvia kybernetickej bezpečnosti v Európe.

1.2.

Výbor osobitne víta tento návrh v kontexte nedávno prijatej smernice o sieťovej a informačnej bezpečnosti (1), v ktorej sa zavádza harmonizácia prístupu ku kybernetickej bezpečnosti v rámci Európskej únie a širšia stratégia kybernetickej bezpečnosti (2), ktorá načrtáva súčasnú víziu o tom, ako najlepšie zabrániť kybernetickým narušeniam a útokom a reagovať na ne s cieľom presadzovať európske hodnoty slobody a demokracie a zabezpečiť, aby digitálne hospodárstvo mohlo bezpečne rásť.

1.3.

EHSV súhlasí s tým, že sú potrebné komplexné opatrenia na ďalšiu ochranu dôležitej európskej digitálnej infraštruktúry a služieb pred bezpečnostnými hrozbami a víta skutočnosť, že navrhované opatrenia v značnej miere pomôžu implementácii mnohých odporúčaní výboru, ktoré predložil v mnohých svojich stanoviskách (3) o posilnení kybernetickej bezpečnosti v celej Únii.

1.4.

EHSV víta, že Komisia podpísala zmluvné verejno-súkromné partnerstvo v oblasti kybernetickej bezpečnosti, ktorým by sa mala uvoľniť investícia vo výške 1,8 mld. EUR do odvetvia kybernetickej bezpečnosti v EÚ s cieľom podporiť spoluprácu v počiatočných štádiách procesu výskumu a inovácie a hľadanie riešení kybernetickej bezpečnosti pre rôzne odvetvia, ako sú energetika, zdravotníctvo, doprava a financie. Obzvlášť by sme uvítali, keby sa toto partnerstvo využilo na podporu rozvoja začínajúcich podnikov v oblasti kybernetickej bezpečnosti v celej Únii.

1.5.

Výbor víta zámer Komisie preskúmať potrebu zmeniť alebo rozšíriť mandát Agentúry Európskej únie pre sieťovú a informačnú bezpečnosť (ENISA) do konca roka 2017 a dúfa, že ho Komisia požiada o konzultáciu v tejto otázke. EHSV sa domnieva, že prípadné rozšírenie mandátu agentúry ENISA by malo zahŕňať väčšiu operačnú úlohu agentúry s cieľom účinnejšie zvýšiť informovanosť o hrozbe kybernetických útokov a zlepšiť schopnosť reakcie v celej Únii, ako aj priamejšiu zodpovednosť za vzdelávanie v oblasti kybernetickej bezpečnosti a informačné programy zamerané osobitne na občanov a malé a stredné podniky (MSP).

1.6.

S cieľom zabezpečiť na úrovni EÚ silné vedenie a integráciu potrebné na riešenie ťažkostí pri zavádzaní účinnej celoeurópskej politiky v oblasti kybernetickej bezpečnosti žiada výbor Komisiu, aby prehodnotila možnosť zmeniť štatút agentúry ENISA na orgán zameraný na kybernetickú bezpečnosť na úrovni EÚ podobný ústrednému orgánu v leteckom priemysle, Európskej agentúre pre bezpečnosť letectva (EASA). Ak sa štatút agentúry ENISA nedá takto zmeniť, EHSV sa zasadzuje za vytvorenie takéhoto orgánu od základu.

1.7.

EHSV vyzýva Komisiu, aby zvážila vytvorenie národného modelu rozvoja kybernetickej bezpečnosti a systému jej hodnotenia podľa modelu hodnotenia vyspelosti systémov (Capability Maturity Model) v sektore IT, aby sa mohol objektívne merať stupeň odolnosti jednotlivých členských štátov v oblasti kybernetickej bezpečnosti.

1.8.

Výbor berie na vedomie, že Komisia v blízkej budúcnosti zváži potrebu aktualizácie stratégie kybernetickej bezpečnosti EÚ z roku 2013 a dúfa, že ho Komisia v príslušnom čase požiada o konzultáciu k tejto problematike.

1.9.

EHSV vzhľadom na význam kybernetickej bezpečnosti a neustále rastúcu hrozbu počítačovej kriminality vyzýva na vyčlenenie primeraných finančných prostriedkov a zdrojov pre Európske centrum boja proti počítačovej kriminalite v rámci Europolu a Európsku obrannú agentúru.

1.10.

Keďže ochrana osobných údajov občanov, ktoré uchovávajú inštitúcie a agentúry verejnej správy, má veľký význam, výbor žiada, aby zamestnanci verejnej správy absolvovali špecifické školenia o správe údajov, ich ochrane a kybernetickej bezpečnosti.

1.11.

Z komplexného hľadiska ochrany EÚ pred počítačovou kriminalitou a kybernetickými útokmi, ako aj v rámci budovania silného odvetvia kybernetickej bezpečnosti v Európe, sa EHSV domnieva, že stratégia a politika EÚ v oblasti kybernetickej bezpečnosti musia spĺňať predovšetkým tieto predpoklady: silné vedúce postavenie EÚ; politiky v oblasti kybernetickej bezpečnosti, ktoré zvyšujú bezpečnosť a súčasne zachovávajú súkromie a iné základné práva; zvyšovanie informovanosti občanov a podpora aktívnych prístupov k ochrane; komplexná verejná správa členských štátov; informované a zodpovedné kroky podnikov; intenzívne partnerstvo medzi verejnou správou, súkromným sektorom a občanmi; primeraná úroveň investícií; dobré technické normy a dostatočné investície do výskumu, vývoja a inovácií a medzinárodná angažovanosť.

2.1.

Toto oznámenie obsahuje opatrenia zamerané na posilnenie odolnosti kybernetického systému v Európe a podporu konkurencieschopného a inovačného odvetvia kybernetickej bezpečnosti v Európe, ako sa uvádza v stratégii kybernetickej bezpečnosti EÚ a v stratégii pre jednotný digitálny trh.

2.2.

Opatrenia, ktoré navrhuje Komisia preto nadväzujú na ustanovenia smernice o sieťovej a informačnej bezpečnosti na posilnenie spolupráce v oblasti kybernetickej bezpečnosti, výmeny informácií, odbornej prípravy a organizácie bezpečnosti v celej Únii. Komisia tiež do konca roka 2017 dokončí hodnotenie ENISA a zváži potrebu zmeniť alebo rozšíriť mandát tejto agentúry.

2.2.1.

Komisia bude v úzkej spolupráci s členskými štátmi, agentúrou ENISA, službou EEAS a ostatnými relevantnými orgánmi EÚ pracovať na vytvorení platformy pre odbornú prípravu v oblasti kybernetickej bezpečnosti.

2.2.2.

Navrhnutých je niekoľko opatrení na riešenie medziodvetvových vzájomných závislostí a posilnenie odolnosti kľúčových verejných sieťových infraštruktúr vrátane rozvoja európskych odvetvových centier na výmenu a analýzu informácií a ich spolupráce s tímami reakcie na incidenty počítačovej bezpečnosti (CSIRT). Komisia tiež navrhuje, aby vnútroštátne orgány mohli požiadať tímy CSIRT o vykonanie pravidelných kontrol kľúčových sieťových infraštruktúr.

2.3.

Komisia sa bude v rámci navrhnutých opatrení zaoberať aj potrebou zintenzívniť podporu budovania a rozvoja silného európskeho odvetvia kybernetickej bezpečnosti prostredníctvom odbornej prípravy, investícií, požiadaviek jednotného trhu a vytvárania nových verejno-súkromných partnerstiev v oblasti kybernetickej bezpečnosti, v rámci ktorých by sa mali do roku 2020 uvoľniť investície vo výške 1,8 mld. EUR.

2.3.1.

Zároveň sa navrhuje vypracovanie návrhu európskeho rámca certifikácie bezpečnosti IKT, ktorý by mal byť predložený do konca roka 2017, a posúdenie uskutočniteľnosti a vplyvu európskeho ľahko použiteľného rámca na označovanie kybernetickej bezpečnosti.

2.3.2.

Aby sa zvýšili investície do kybernetickej bezpečnosti v Európe a posilnila podpora MSP, Komisia bude zvyšovať informovanosť o existujúcich finančných mechanizmoch v komunite kybernetickej bezpečnosti; zintenzívni využívanie nástrojov EÚ na podporu inovačných MSP pri skúmaní synergií medzi civilným a obranným segmentom trhu s kybernetickou bezpečnosťou (napríklad sieť Enterprise Europe Network a európska sieť regiónov pôsobiacich v odvetví obrany poskytnú regiónom nové príležitosti skúmať cezhraničnú spoluprácu v oblasti dvojakého využívania vrátane kybernetickej bezpečnosti a malým a stredným podnikom možnosť zapojiť sa do sprostredkovateľských činností); preskúma či je realizovateľné uľahčiť prístup k investíciám cez špeciálne investičné platformy pre oblasť kybernetickej bezpečnosti alebo iné nástroje a vyvinie platformu pre inteligentnú špecializáciu kybernetickej bezpečnosti s cieľom pomôcť členským štátom a regiónom, ktoré majú záujem investovať do odvetvia kybernetickej bezpečnosti (RIS3).

2.3.3.

S cieľom stimulovať a rozvíjať európske odvetvie kybernetickej bezpečnosti prostredníctvom inovácie Komisia uzavrie s týmto odvetvím zmluvné verejno-súkromné partnerstvo v oblasti kybernetickej bezpečnosti; zverejní výzvy na predkladanie návrhov týkajúce sa zmluvného verejno-súkromného partnerstva v oblasti kybernetickej bezpečnosti v rámci programu Horizont 2020; zabezpečí koordináciu zmluvného verejno-súkromného partnerstva v oblasti kybernetickej bezpečnosti s relevantnými odvetvovými stratégiami, nástrojmi programu Horizont 2020 a odvetvovými verejno-súkromnými partnerstvami.

3.1.

Digitálne hospodárstvo generuje viac než jednu pätinu rastu HDP v EÚ a väčšina Európanov každoročne nakupuje online. Naše životne dôležité energetické, zdravotnícke, vládne a finančné služby sú závislé od internetu a súvisiacich digitálnych technológií. Kritická digitálna infraštruktúra a služby, ktoré zohrávajú takú zásadnú úlohu v našich hospodárskych a sociálnych životoch, sú však vystavené čoraz väčšiemu riziku počítačovej kriminality a kybernetických útokov, ktoré ohrozujú našu prosperitu a kvalitu života.

3.2.

Vládne a verejné inštitúcie a agentúry v súčasnosti elektronicky uchovávajú množstvo osobných údajov o všetkých občanoch. Dobrá správa údajov, kybernetická bezpečnosť a ochrana údajov sú pre občanov v celej Únii veľmi dôležité a treba ich uistiť, že ich osobné údaje a súkromie sú chránené v súlade so smernicami a nariadeniami EÚ. Týka sa to najmä údajov týkajúcich sa zdravia, finančných, právnych a iných záležitostí, ktoré by mohli byť použité na protizákonné používanie cudzej identity alebo nevhodne poskytnuté tretím stranám. Všetci zamestnanci verejného sektora musia nevyhnutne absolvovať vhodné školenia v oblasti správy údajov, kybernetickej bezpečnosti a ochrany údajov.

3.3.

Vzdelávanie občanov o osobnej kybernetickej bezpečnosti vrátane bezpečnosti údajov, by malo byť základnou súčasťou učebných plánov v oblasti digitálnej gramotnosti. Vzdelávací program iniciovaný EÚ môže slúžiť na podporu úsilia menej aktívnych členských štátov a tiež zabezpečiť, aby bola stratégia správne chápaná, čím sa znížia obavy v súvislosti s ochranou súkromia a zvýši sa dôvera v digitálne hospodárstvo. Takýto program by sa mohol implementovať so zapojením združení spotrebiteľov a organizácií občianskej spoločnosti v celej Únii, vrátane vzdelávacích inštitúcií, ktoré sa zameriavajú na potreby starších občanov.

3.4.

Každý členský štát by mal posilniť svoje súčasné organizácie pre rozvoj priemyslu, aby informovali, vzdelávali a podporovali sektor MSP, pokiaľ ide o problematiku kybernetickej bezpečnosti. Veľké firmy môžu potrebné znalosti získať ľahko, MSP však potrebujú podporu.

3.5.

Bolo by veľmi užitočné, keby sa dala objektívne odmerať úroveň odolnosti členských štátov v oblasti kybernetickej bezpečnosti, aby sa výsledky porovnania mohli použiť na odstránenie slabín a vylepšenia. Možno by sa mohol vytvoriť národný model rozvoja kybernetickej bezpečnosti a systém hodnotenia podobný modelu hodnotenia vyspelosti systémov (Capability Maturity Model) v sektore IT, aby sa mohol merať stupeň odolnosti jednotlivých členských štátov v oblasti kybernetickej bezpečnosti.

3.6.

Komplexná stratégia kybernetickej bezpečnosti by mal zahŕňať tieto opatrenia:

4.1.

Na základe rámca pre riadenie kybernetickej bezpečnosti načrtnutého v smernici o sieťovej a informačnej bezpečnosti a ďalších opatrení začlenených v predkladanom oznámení by EÚ mala zvážiť riešenie fragmentovaného prístupu k zlepšovaniu kybernetickej bezpečnosti v celej Únii vytvorením silného centrálneho orgánu pre kybernetickú bezpečnosť podľa vzoru Európskej agentúry pre bezpečnosť letectva (EASA) alebo úradu Federal Chief Information Security Officer (Federálny vedúci úradník pre bezpečnosť informácií) nedávno zriadeného v USA (Cybersecurity National Action Plan, Biely dom, 9. februára 2016), ktorý by dohliadal na implementáciu politiky v oblasti kybernetickej bezpečnosti na úrovni EÚ a bol by zodpovedný za integráciu úsilia rôznych agentúr pôsobiacich v tejto oblasti.

4.2.

Výbor pozitívne vníma odbornú spôsobilosť, ktorú agentúra ENISA získala v priebehu rokov a nazdáva sa, že by mohla ešte viac prispieť k zvyšovaniu odolnosti a bezpečnosti Európy v oblasti kybernetickej bezpečnosti. Operačný mandát agentúry by sa mal posilniť s cieľom účinnejšie zvyšovať povedomie o hrozbe kybernetických útokov a zlepšiť schopnosť reakcie v celej Únii. Prehodnotenie mandátu je aktuálne vzhľadom na to, ako sa prostredie kybernetickej bezpečnosti zmenilo od vytvorenia agentúry ENISA. Na základe smernice o sieťovej a informačnej bezpečnosti by sa operačná úloha agentúry ENISA mohla prípadne rozšíriť s cieľom zvýšiť jej prínos pre EÚ, členské štáty, občanov a podniky, a to posilnením jej právomocí a synergie s prácou ostatných inštitúcií, agentúr a orgánov EÚ a členských štátov, ako sú CERT-EU, Európske centrum boja proti počítačovej kriminalite a Európska obranná agentúra. Agentúra ENISA by tiež mohla získať viac priamej zodpovednosti za vzdelávanie v oblasti kybernetickej bezpečnosti a informačné programy zamerané osobitne na občanov a MSP.

4.3.

Keď bolo v roku 2013 vytvorené Európske centrum boja proti počítačovej kriminalite (EC3), malo k dispozícii prevádzkový rozpočet len 7 mil. EUR, čo je menej ako 10 % z celkového rozpočtu Europolu (dokument Európskej komisie MEMO/13/6 z 9. januára 2012). Riaditeľ EC3 v roku 2014 uviedol, že obmedzeniami sa výrazne znížili zdroje pridelené jeho oddeleniu a že sa im len ťažko darí udržať tempo s rýchlo sa vyvíjajúcimi hrozbami v oblasti počítačovej kriminality (Security Magazine, 1. novembra 2014). EHSV sa nazdáva, že zdroje pridelené Europolu na boj proti počítačovej kriminalite sa musia výrazne zvýšiť, aby bol schopný držať krok s vyvíjajúcimi sa hrozbami. Rozpočet Europolu na rok 2016 je stále len 100 mil. EUR (4).

4.4.

Výbor víta ustanovenia smernice o sieťovej a informačnej bezpečnosti a opatrenia navrhnuté v oznámení zamerané na zlepšenie spolupráce členských štátov v oblasti kybernetickej bezpečnosti. V záujme bezpečnosti všetkých občanov a na dosiahnutie vysokej kybernetickej odolnosti v celej EÚ, kde sú informačné systémy kritickej infraštruktúry často prepojené, je dôležité, aby sa opatrenia v oblasti spolupráce zameriavali na zväčšujúce sa rozdiely medzi krajinami s najviac rozvinutými znalosťami a ostatnými členskými štátmi s menej rozvinutými znalosťami.