10.5.2019 |
SK |
Úradný vestník Európskej únie |
C 159/63 |
Stanovisko Európskeho hospodárskeho a sociálneho výboru – Návrh nariadenia Európskeho parlamentu a Rady, ktorým sa zriaďuje Európske centrum odvetvových, technologických a výskumných kompetencií v oblasti kybernetickej bezpečnosti a sieť národných koordinačných centier
(COM(2018) 630 final — 2018/0328 (COD))
(2019/C 159/10)
Spravodajca: Antonio LONGO
Pomocný spravodajca: Alberto MAZZOLA
Konzultácia |
Európska rada, 5.10.2018 Európsky parlament, 1.10.2018 |
Právny základ |
článok 173 ods. 3 a články 188 a 304 Zmluvy o fungovaní Európskej únie |
Príslušná sekcia |
sekcia pre dopravu, energetiku, infraštruktúru a informačnú spoločnosť |
Prijaté v sekcii |
9.1.2019 |
Prijatie v pléne |
23.1.2019 |
Plenárne zasadnutie č. |
540 |
Výsledok hlasovania (za/proti/zdržalo sa) |
143/5/2 |
1. Závery a odporúčania
1.1. |
Európsky hospodársky a sociálny výbor (EHSV) víta iniciatívu Komisie a považuje ju za pomoc pri vytváraní priemyselnej stratégie kybernetickej bezpečnosti, ktorá má strategický význam na dosiahnutie silnej a širokej digitálnej autonómie. Tieto faktory sú nevyhnutné na posilnenie európskych obranných mechanizmov v súvislosti s prebiehajúcou kybernetickou vojnou, ktorá môže ohroziť politické, hospodárske a sociálne systémy. |
1.2. |
Výbor poznamenáva, že žiadnu stratégiu v oblasti kybernetickej bezpečnosti nemožno oddeliť od širokého povedomia a bezpečného správania všetkých používateľov. |
1.3. |
Výbor súhlasí so všeobecnými cieľmi návrhu a uvedomuje si, že špecifické aspekty fungovania budú predmetom neskoršej analýzy. No keďže ide o nariadenie, sa domnieva, že citlivé aspekty týkajúce sa riadenia, financovania a dosiahnutia stanovených cieľov by sa mali stanoviť vopred. Je dôležité, aby budúca sieť a budúce centrum v čo možno najväčšej miere vychádzali z kybernetických schopností a odborných znalostí jednotlivých členských štátov, a aby sa v centre, ktoré sa má zriadiť, nesústredili všetky právomoci. Takisto treba zabrániť prekrývaniu oblastí pôsobnosti budúcej siete a centra s existujúcimi mechanizmami spolupráce a inštitúciami. |
1.4. |
EHSV podporuje rozšírenie spolupráce na sféru priemyslu – zahrnutím ho v budúcnosti do správnej rady – na základe pevných záväzkov v oblasti vedy a investícií. V prípade trojstrannej spolupráce medzi Európskou komisiou, členskými štátmi a priemyslom by sa mala prítomnosť spoločností z krajín mimo EÚ obmedziť na tie, ktoré sú už dlhodobo usadené na európskej pôde a plne sa podieľajú na európskej technologickej a priemyselnej základni za predpokladu, že sa podrobia primeraným detekčným a kontrolným mechanizmom a budú dodržiavať zásadu reciprocity a povinnosť zachovávať dôvernosť. |
1.5. |
Kybernetická bezpečnosť musí byť spoločným záväzkom všetkých členských štátov, ktoré sa preto musia zúčastňovať na správnej rade, pričom treba stanoviť podmienky tejto účasti. Pokiaľ ide o finančný príspevok členských štátov, mohlo by sa čerpať z pridelených finančných prostriedkov EÚ pre každý z nich. |
1.6. |
V návrhu by sa malo lepšie objasniť, ako bude centrum schopné zasahovať do koordinácie financovania programov Digitálna Európa a Horizont Európa a predovšetkým akými usmerneniami sa bude riadiť prípadné verejné obstarávanie a zadávanie verejných zákaziek. Tento aspekt je nevyhnutný, aby sa zabránilo duplicite alebo prekrývaniu. Okrem toho sa na zvýšenie finančného krytia odporúča rozšíriť súčinnosť s ostatnými finančnými nástrojmi EÚ (napr. regionálne fondy, štrukturálne fondy, NPE, ERF, InvestEU...). |
1.7. |
EHSV považuje za nevyhnutné definovať spôsoby spolupráce a vzťahy medzi európskym centrom a národnými centrami. Okrem toho je dôležité, aby národné centrá financovala EÚ, aspoň pokiaľ ide o administratívne náklady, čím sa uľahčí administratívna harmonizácia a harmonizácia kompetencií s cieľom znížiť rozdiely medzi členskými štátmi EÚ. |
1.8. |
Výbor opätovne zdôrazňuje význam ľudského kapitálu a dúfa, že kompetenčné centrum bude môcť v spolupráci s univerzitami, výskumnými centrami a centrami vysokoškolského vzdelávania podporovať vzdelávanie a odbornú prípravu založenú na excelentnosti, a to aj prostredníctvom špecifických vzdelávacích odborov na vysokých i stredných školách. Podobne je nevyhnutné poskytnúť osobitnú podporu startupom a MSP. |
1.9. |
EHSV sa domnieva, že je nevyhnutné lepšie objasniť príslušné oblasti právomocí a rozlišovanie medzi mandátom centra a Agentúry Európskej únie pre sieťovú a informačnú bezpečnosť (ENISA), pričom treba jasne vymedziť aj spôsoby spolupráce a vzájomnej podpory a zabrániť prekrývaniu kompetencií a zdvojovaniu úsilia. Podobné problémy vznikajú aj v súvislosti s inými orgánmi v oblasti kybernetickej bezpečnosti, ako sú EDA, EUROPOL a CERT-EU, a odporúča sa vytvoriť viaceré mechanizmy štruktúrovaného dialógu medzi rôznymi orgánmi. |
2. Súčasný rámec kybernetickej bezpečnosti
2.1. |
Kybernetická bezpečnosť je jednou z najdôležitejších tém v EÚ, pretože je nevyhnutným faktorom obrany inštitúcií, spoločností a občanov, ako aj nevyhnutným nástrojom pre samotnú stabilitu demokracií. Jedným z najznepokojujúcejších javov je exponenciálny nárast malvéru šíreného v sieti prostredníctvom automatických systémov, pričom počet útokov sa zvýšil zo 130 tisíc v roku 2007 na 8 miliónov v roku 2017. Okrem toho je Únia čistým dovozcom produktov a riešení v oblasti kybernetickej bezpečnosti, čo je problémom pre hospodársku konkurencieschopnosť a civilnú a vojenskú bezpečnosť. |
2.2. |
Hoci EÚ disponuje značnými kompetenciami a skúsenosťami v oblasti kybernetickej bezpečnosti, priemysel v tomto odvetví, vysoké školy a výskumné centrá sa javia stále roztrieštené, nezosúladené a neviazané žiadnou spoločnou rozvojovou stratégiou. Je to spôsobené tým, že nie sú dostatočne podporované odvetvia, ktorých sa kybernetická bezpečnosť týka (napr. energia, vesmír, obrana a doprava), ani nie sú náležite rozvíjané synergie medzi civilnou a obrannou kybernetickou bezpečnosťou. |
2.3. |
S cieľom riešiť rastúce výzvy stanovila EÚ v roku 2013 stratégiu kybernetickej bezpečnosti na podporu spoľahlivého, bezpečného a otvoreného kybernetického ekosystému (1). Následne boli v roku 2016 prijaté prvé konkrétne opatrenia pre bezpečnosť sietí a informačných systémov (2). Tento vývoj viedol k vytvoreniu verejno-súkromného partnerstva v oblasti kybernetickej bezpečnosti („cPPP“). |
2.4. |
V roku 2017 sa v oznámení s názvom „Odolnosť, odrádzanie a obrana: Budovanie silnej kybernetickej bezpečnosti v Európe“ (3) poukázalo na potrebu zabezpečiť zachovanie a rozvoj základných technologických kapacít v oblasti informačnej bezpečnosti na ochranu digitálneho jednotného trhu, a najmä na ochranu kritických informačných sietí a systémov a na poskytovanie základných služieb v oblasti kybernetickej bezpečnosti. |
2.5. |
Únia preto musí byť schopná chrániť svoje digitálne zdroje a postupy a súťažiť na globálnom trhu kybernetickej bezpečnosti, kým nedosiahne stabilnú a rozsiahlu digitálnu autonómiu (4). |
3. Návrhy Komisie
3.1. |
Kompetenčné centrum (ďalej „centrum“) bude mať za cieľ podporovať prácu siete národných centier a pomáhať ju koordinovať, ako aj byť referenčným bodom pre komunitu pre kompetencie v oblasti kybernetickej bezpečnosti, pričom bude stáť na čele technologického programu v tejto oblasti a uľahčovať prístup k takto získaným odborným poznatkom. |
3.2. |
Kompetenčné centrum to bude dosahovať predovšetkým implementáciou príslušných častí programov Digitálna Európa a Horizont Európa – udeľovaním grantov a vykonávaním obstarávaní. Vzhľadom na značné investície do kybernetickej bezpečnosti v iných častiach sveta a na potrebu koordinovať a združovať príslušné zdroje v Európe sa kompetenčné centrum navrhuje ako európske partnerstvo s dvojitým právnym základom, ktoré umožní spoločné investície Únie, členských štátov a/alebo príslušného priemyselného odvetvia. |
3.3. |
Návrh si preto od členských štátov vyžaduje úmerný príspevok na akcie kompetenčného centra a siete. Finančné krytie poskytnuté EÚ predstavuje približne 2 miliardy EUR z programu Digitálna Európa; suma z programu Horizont Európa sa má určiť; celkový príspevok členských štátov sa rovná aspoň príspevku Únie. |
3.4. |
Hlavným rozhodovacím orgánom je správna rada, v ktorej budú zastúpené všetky členské štáty, no hlasovacie práva budú mať len tie, ktoré finančne prispievajú. Hlasovací mechanizmus v správnej rade sa riadi zásadou dvojitej väčšiny, čo znamená, že sa vyžaduje zastúpenie 75 % finančného príspevku a 75 % hlasov. Komisia má 50 % hlasovacích práv. Správnej rade pomáha odvetvová a vedecká poradná rada s cieľom zabezpečiť pravidelný dialóg s podnikmi, spotrebiteľmi a inými príslušnými zainteresovanými stranami. |
3.5. |
Centrum by bolo hlavným vykonávacím orgánom pre finančné zdroje EÚ vyčlenené na kybernetickú bezpečnosť v rámci navrhovaného programu Digitálna Európa a programu Horizont Európa, v úzkej spolupráci so sieťou národných koordinačných centier a komunitou pre kompetencie v oblasti kybernetickej bezpečnosti. |
3.6. |
Národné koordinačné centrá budú vybrané členskými štátmi. Musia mať technologické kompetencie v oblasti kybernetickej bezpečnosti alebo mať k nim prístup priamo, najmä v oblastiach, ako je kryptografia, bezpečnostné služby IKT, automatické detekcie narušení, bezpečnosť systémov, sietí, softvéru a aplikácií a ľudské a sociálne aspekty bezpečnosti a súkromia. Musia byť tiež schopné účinne komunikovať a koordinovať svoju činnosť s priemyslom a verejným sektorom vrátane orgánov určených podľa smernice (EÚ) 2016/1148. |
4. Všeobecné pripomienky
4.1. |
EHSV víta iniciatívu Komisie a považuje ju za strategickú pre rozvoj kybernetickej bezpečnosti pri vykonávaní rozhodnutí prijatých na summite v Talline v septembri 2017. Pri tej príležitosti hlavy štátov a predsedovia vlád vyzvali EÚ, aby sa do roku 2025 stala „globálnym lídrom v oblasti kybernetickej bezpečnosti s cieľom zabezpečiť dôveru, spoľahlivosť a ochranu našich občanov, spotrebiteľov a podnikov online a umožniť bezplatný a zákonný internet“. |
4.2. |
EHSV opätovne zdôrazňuje, že v súčasnosti prebieha skutočná kybernetická vojna, ktorá ohrozuje politické, hospodárske a sociálne systémy útokom na informačné systémy inštitúcií, kritických infraštruktúr (energetika, doprava, banky a finančné inštitúcie...) a podnikov, a prostredníctvom falošných správ ovplyvňuje volebné a demokratické procesy vo všeobecnosti (5). Preto je potrebné silné povedomie a rozhodná a včasná reakcia. Z týchto dôvodov je potrebné vytvoriť jasnú a dobre podporovanú odvetvovú stratégiu kybernetickej bezpečnosti ako predpoklad pre dosiahnutie digitálnej autonómie. EHSV sa domnieva, že v pracovnom programe by sa mali uprednostniť oblasti určené smernicou (EÚ) 2016/1148 o kybernetickej bezpečnosti, ktorá sa vzťahuje na spoločnosti poskytujúce základné služby, či už verejné alebo súkromné, z dôvodu ich významu pre spoločnosť (6). |
4.3. |
Výbor poznamenáva, že žiadnu stratégiu v oblasti kybernetickej bezpečnosti nemožno oddeliť od širokého povedomia a bezpečného správania všetkých používateľov. Z tohto dôvodu musí byť každá technologická iniciatíva sprevádzaná zodpovedajúcimi informačnými a osvetovými kampaňami s cieľom vytvoriť „kultúru digitálnej bezpečnosti“ (7). |
4.4. |
Výbor súhlasí so všeobecnými cieľmi návrhu a uvedomuje si, že špecifické aspekty fungovania budú predmetom neskoršej analýzy. No keďže ide o nariadenie, sa domnieva, že citlivé aspekty týkajúce sa riadenia, financovania a dosiahnutia vopred stanovených cieľov by sa mali stanoviť vopred. Je dôležité, aby budúca sieť a budúce centrum v čo možno najväčšej miere vychádzali z kybernetických schopností a odborných znalostí jednotlivých členských štátov, a aby sa v centre, ktoré sa má zriadiť, nesústredili všetky právomoci. Takisto treba zabrániť prekrývaniu oblastí pôsobnosti budúcej siete a centra s existujúcimi mechanizmami spolupráce a inštitúciami. |
4.5. |
EHSV pripomína, že vo svojom stanovisku TEN/646 k aktu o kybernetickej bezpečnosti (8) navrhuje trojstrannú spoluprácu medzi Európskou komisiou, členskými štátmi a odvetvím v rámci verejno-súkromného partnerstva, so zapojením MSP, zatiaľ čo súčasná štruktúra, ktorej právna forma sa musí dôkladnejšie preskúmať, v podstate zabezpečuje verejno-verejné partnerstvo medzi Európskou komisiou a členskými štátmi. |
4.6. |
EHSV podporuje rozšírenie spolupráce na sféru priemyslu – zahrnutím ho v budúcnosti do správnej rady – na základe pevných záväzkov v oblasti vedy a investícií. Vytvorenie odvetvovej a vedeckej poradnej rady nemôže zaručiť stály dialóg s podnikmi, spotrebiteľmi a inými zainteresovanými stranami. Okrem toho v novom kontexte, ktorý vypracovala Komisia, nie je jasné, akú úlohu bude mať Európska organizácia pre kybernetickú bezpečnosť (ECSO), ktorá bola vytvorená v júni 2016 na podnet Komisie ako jej protiváha a ktorej sieťový kapitál a znalosti by nemali byť rozptýlené. |
4.6.1. |
V prípade trojstrannej spolupráce je dôležité venovať pozornosť spoločnostiam pochádzajúcim z tretích krajín. EHSV predovšetkým zdôrazňuje, že táto spolupráca by sa mala zakladať na prísnom mechanizme na zabránenie prítomnosti podnikov z krajín mimo EÚ, ktoré by mohli predstavovať prekážku pre bezpečnosť a autonómiu Únie. V tejto súvislosti by sa mali uplatňovať aj súvisiace ustanovenia EDIDP (9). |
4.6.2. |
EHSV zároveň uznáva, že niektoré podniky, ktoré síce pochádzajú z krajín mimo EÚ, avšak sú už dlhodobo usadené na európskej pôde a plne sa podieľajú na európskej technologickej a priemyselnej základni, by mohli byť pre projekty Únie veľmi užitočné a mali by mať k nim prístup za predpokladu, že členské štáty zavedú primerané detekčné a kontrolné mechanizmy a že sa bude dodržiavať zásada reciprocity a povinnosť zachovávať dôvernosť. |
4.7. |
Kybernetická bezpečnosť musí byť spoločným záväzkom všetkých členských štátov, ktoré sa preto musia zúčastňovať na správnej rade, pričom treba stanoviť podmienky tejto účasti. Je tiež dôležité, aby všetky štáty finančne a primeraným spôsobom prispeli k iniciatíve Komisie. Pokiaľ ide o finančný príspevok členských štátov, mohlo by sa čerpať z pridelených finančných prostriedkov EÚ pre každý z nich. |
4.8. |
EHSV súhlasí s tým, že každý členský štát môže vymenovať svojho vlastného zástupcu do správnej rady európskeho kompetenčného centra. Výbor odporúča, aby sa v životopisných profiloch národných zástupcov jednoznačne uvádzali strategické a technologické kompetencie spolu s kompetenciami v oblasti riadenia, administratívy a rozpočtu. |
4.9. |
V návrhu by sa malo lepšie objasniť, akým spôsobom bude centrum schopné zasahovať do koordinácie financovania programov Digitálna Európa a Horizont Európa, čo je stále predmetom rokovaní, a predovšetkým to, akými usmerneniami sa bude riadiť prípadné verejné obstarávanie a zadávanie verejných zákaziek. Tento aspekt je nevyhnutný, aby sa zabránilo duplicite alebo prekrývaniu. Okrem toho sa na zvýšenie finančného krytia odporúča rozšíriť súčinnosť s ostatnými finančnými nástrojmi EÚ (napr. regionálne fondy, štrukturálne fondy, NPE, ERF, InvestEU...). Výbor dúfa, že sieť národných centier bude zapojená do riadenia a koordinácie fondov. |
4.10. |
EHSV konštatuje, že poradná rada by mala byť zložená zo 16 členov a že sa neobjasňujú mechanizmy, ktoré by mali zaistiť vstupy podnikateľskej sféry, akademickej obce, výskumu a spotrebiteľov. Výbor sa domnieva, že by bolo užitočné a vhodné, aby sa členovia tejto rady vyznačovali rozsiahlymi znalosťami danej problematiky a vyváženým spôsobom zastupovali rôzne zainteresované sektory. |
4.11. |
EHSV považuje za nevyhnutné definovať spôsoby spolupráce a vzťahy medzi európskym centrom a národnými centrami. Okrem toho je dôležité, aby národné centrá financovala EÚ, aspoň pokiaľ ide o administratívne náklady, čím sa uľahčí administratívna harmonizácia a harmonizácia kompetencií s cieľom znížiť rozdiely medzi členskými štátmi EÚ. |
4.12. |
V súlade so svojimi predchádzajúcimi stanoviskami (10) EHSV zdôrazňuje význam vzdelávania a odbornej prípravy založenej na excelentnosti v oblasti ľudských zdrojov v odvetví kybernetickej bezpečnosti, a to aj prostredníctvom špecifických školských, vysokoškolských a postgraduálnych odborov. Je tiež dôležité poskytnúť primeranú finančnú podporu MSP a startupom v tomto odvetví (11), ktoré sú nevyhnutné pre rozvoj špičkového výskumu. |
4.13. |
EHSV sa domnieva, že je nevyhnutné lepšie objasniť príslušné oblasti právomocí a rozlišovanie medzi mandátom centra a agentúry ENISA, pričom treba jasne vymedziť aj spôsoby spolupráce a vzájomnej podpory a zabrániť prekrývaniu kompetencií a zdvojovaniu úsilia (12). V návrhu nariadenia sa stanovuje prítomnosť delegáta agentúry ENISA ako stáleho pozorovateľa v správnej rade, ale táto prítomnosť nie je zárukou štruktúrovaného dialógu medzi týmito dvoma orgánmi. Podobné problémy vznikajú aj v súvislosti s inými orgánmi v oblasti kybernetickej bezpečnosti, ako sú EDA, EUROPOL a CERT-EU. Z tohto hľadiska je zaujímavé memorandum o porozumení, ktoré v máji 2018 podpísali agentúry ENISA, EDA, Europol a CERT-EU. |
V Bruseli 23. januára 2019
Predseda
Európskeho hospodárskeho a sociálneho výboru
Luca JAHIER
(1) JOIN(2013) 1 final.
(2) Smernica Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (Ú. v. EÚ L 194, 19.7.2016, s. 1).
(3) JOIN(2017) 450 final.
(4) Ú. v. EÚ C 227, 28.6.2018, s. 86.
(5) Informačná správa na tému Využívanie médií na ovplyvnenie sociálnych a politických procesov v EÚ a východných susedných krajinách, Vareikytė, 2014.
(6) Ú. v. EÚ C 227, 28.6.2018, s. 86.
(7) Ú. v. EÚ C 227, 28.6.2018, s. 86.
(8) Ú. v. EÚ C 227, 28.6.2018, s. 86.
(9) COM(2017) 294.
(10) Ú. v. EÚ C 451, 16.12.2014, s. 64.