28.6.2018   

SK

Úradný vestník Európskej únie

C 227/86


Stanovisko Európskeho hospodárskeho a sociálneho výboru – Návrh nariadenia Európskeho parlamentu a Rady o Agentúre EÚ pre kybernetickú bezpečnosť (ENISA), o zrušení nariadenia (EÚ) č. 526/2013 a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií („akt o kybernetickej bezpečnosti“)

[COM(2017) 477 final/2 2017/0225 (COD)]

(2018/C 227/13)

Spravodajca:

Alberto MAZZOLA

Pomocný spravodajca:

Antonio LONGO

Konzultácia

Európsky parlament, 23.10.2017

Rada Európskej únie, 25.10.2017

Právny základ

článok 114 Zmluvy o fungovaní Európskej únie

Príslušná sekcia

sekcia pre dopravu, energetiku, infraštruktúru a informačnú spoločnosť

Prijaté v sekcii

5.2.2018

Prijaté v pléne

14.2.2018

Plenárne zasadnutie č.

532

Výsledok hlasovania

(za/proti/zdržalo sa)

206/1/2

1.   Závery a odporúčania

1.1.

EHSV sa domnieva, že nový, trvalý mandát agentúry ENISA, ktorý navrhuje Komisia, výraznou mierou prispeje k posilneniu odolnosti európskych systémov. Predbežný rozpočet a zdroje pridelené ENISA však nebudú postačujúce na to, aby agentúra mohla svoj mandát plne vykonávať.

1.2.

EHSV odporúča všetkým členským štátom, aby ustanovili orgán, ktorý bude jednoznačným a rovnocenným partnerom ENISA, keďže väčšina z nich to ešte neurobila.

1.3.

EHSV sa takisto domnieva, že z hľadiska budovania kapacít by ENISA mala uprednostňovať opatrenia na podporu elektronickej verejnej správy (1). Európska, resp. celosvetová digitálna identita osôb, organizácií a predmetov má zásadný význam, a preto by malo byť prioritou zamedziť krádeži identity a bojovať proti podvodom na internete.

1.4.

EHSV odporúča, aby ENISA vypracúvala pravidelné správy o kybernetickej pripravenosti členských štátov zamerané predovšetkým na oblasti uvedené v prílohe II k smernici NIS. Každoročné európske kyberneticko-bezpečnostné cvičenia by mali byť zamerané na posudzovanie pripravenosti členských štátov a účinnosti európskeho mechanizmu reakcie na krízu v oblasti kybernetickej bezpečnosti a na základe nich by sa mali vypracovať odporúčania.

1.5.

EHSV schvaľuje návrh vytvoriť kompetenčnú sieť kybernetickej bezpečnosti, ktorej by pomáhalo Európske stredisko výskumu a kompetencií pre kybernetickú bezpečnosť. Táto sieť by mohla podporiť digitálnu nezávislosť Európy vytvorením konkurencieschopnej európskej priemyselnej základne pre kľúčové technologické spôsobilosti na základe práce v rámci zmluvného verejno-súkromného partnerstva, z ktorého by sa mal postupne stať trojstranný spoločný podnik.

1.6.

Jednou z najväčších príčin kybernetických incidentov je ľudský faktor. Podľa EHSV je potrebné vybudovať pevnú základňu kybernetických zručností a zlepšiť počítačovú hygienu, a to aj prostredníctvom osvetových kampaní určených jednotlivcom aj podnikom. EHSV podporuje vytvorenie študijného programu s certifikáciou EÚ pre stredné školy a odborníkov.

1.7.

EHSV sa domnieva, že európsky digitálny jednotný trh si vyžaduje aj zosúladený výklad pravidiel kybernetickej bezpečnosti, ako aj vzájomné uznávanie zo strany členských štátov, a že certifikačný rámec a systémy certifikácie pre jednotlivé odvetvia by mohli predstavovať spoločný základ. K rôznym odvetviam však treba pristupovať rôzne, v závislosti od ich spôsobu fungovania. EHSV sa preto domnieva, že odvetvové agentúry EÚ (EASA, ERA, EMA atď.) by mali byť do tohto procesu zapojené a v niektorých prípadoch by, so súhlasom ENISA v záujme koherentnosti, mohli byť poverené vypracovaním systémov certifikácie kybernetickej bezpečnosti. V spolupráci s CEN, Cenelec alebo ETSI by sa mali prijať minimálne európske normy pre bezpečnosť IT.

1.8.

Navrhovaná skupina pre certifikáciu kybernetickej bezpečnosti, ktorú by mala podporovať ENISA, by mala pozostávať z vnútroštátnych orgánov dohľadu nad certifikáciou, zainteresovaných strán zo súkromného sektora, prevádzkovateľov z rôznych oblastí uplatňovania a zo zástupcov vedeckej obce a občianskej spoločnosti.

1.9.

EHSV zastáva názor, že agentúra by mala v mene Komisie prostredníctvom auditov a inšpekcií monitorovať činnosť a rozhodovanie vnútroštátnych orgánov dohľadu nad certifikáciou a že úlohy a sankcie za nerešpektovanie noriem by mali byť vymedzené v nariadení.

1.10.

EHSV sa domnieva, že certifikačné činnosti by mal sprevádzať vhodný systém označovania, ktorý by sa v záujme posilnenia dôvery spotrebiteľov uplatňoval aj na dovážané výrobky.

1.11.

Európa by mala zvýšiť investície tým, že sa jednotlivé fondy EÚ, vnútroštátne prostriedky a súkromné investície nasmerujú na strategické ciele prostredníctvom intenzívnej spolupráce verejného a súkromného sektora, ako aj vytvorením fondu EÚ pre kybernetickú bezpečnosť na podporu výskumu, vývoja a inovácie v súčasnom aj v budúcom rámcovom programe pre výskum. Okrem toho by EÚ mala vytvoriť fond na zavádzanie kybernetickej bezpečnosti, a to tým, že otvorí nové okno v súčasnom aj v budúcom Nástroji na prepájanie Európy, ako aj v nasledujúcej generácii EŠIF 3.0.

1.12.

EHSV zastáva názor, že pre „bežné“ zariadenia „internetu ľudí“ je potrebná určitá minimálna úroveň bezpečnosti. V tomto prípade je certifikácia kľúčovou metódou, ako zabezpečiť vyššiu úroveň bezpečnosti. Prioritou by mala byť bezpečnosť internetu vecí.

2.   Súčasný rámec kybernetickej bezpečnosti

2.1.

Kybernetická bezpečnosť je nevyhnutná pre blahobyt a národnú bezpečnosť, ako aj pre samotné fungovanie našej demokracie, našich slobôd a hodnôt. Ako sa uvádza v správe o globálnom indexe kybernetickej bezpečnosti OSN, kybernetická bezpečnosť je ekosystém, kde zákony, organizácie, zručnosti, spolupráca a technická realizácia musia byť zosúladené, aby boli čo najefektívnejšie. V správe sa ďalej konštatuje, že kybernetická bezpečnosť je pre rozhodujúcich činiteľov jednotlivých štátov čoraz dôležitejšia.

2.2.

Vzhľadom na internetovú revolúciu je rozhodujúce, aby sme mali bezpečný ekosystém. Táto revolúcia nielenže nanovo definovala odvetvia založené na vzťahoch medzi podnikmi a spotrebiteľmi (B2C), ako sú médiá, maloobchodné a finančné služby, ale dáva novú podobu aj výrobe, energetike, poľnohospodárstvu, doprave a iným odvetviam hospodárstva, ktoré spoločne predstavujú takmer dve tretiny celosvetového hrubého domáceho produktu, ako aj technickej infraštruktúre a komunikácii občanov s verejnou správou.

2.3.

Stratégia digitálneho jednotného trhu sa v prvom rade usiluje zlepšiť prístup k tovaru, službám a obsahu, vytvoriť vhodný právny rámec pre digitálne siete a služby a umožniť využívanie výhod dátového hospodárstva. Podľa odhadov by stratégia mohla priniesť hospodárstvu EÚ 415 miliárd EUR ročne. Predpokladá sa, že do roku 2022 bude v súkromnom sektore v Európe chýbať 350 000 odborníkov v oblasti kybernetickej bezpečnosti (2).

2.4.

Podľa odhadov uvedených v štúdii z roku 2014 počítačová kriminalita v Únii predstavovala v roku 2013 približne 0,41 % HDP EÚ (t. j. okolo 55 miliárd EUR) (3).

2.5.

Podľa osobitného prieskumu Eurobarometra 464a „Europeans‘ attitudes towards cyber security“ (Názory Európanov na kybernetickú bezpečnosť) sa 73 % používateľov internetu obáva, že na internetových stránkach nie sú ich osobné údaje uchovávané bezpečne, a 65 % sa obáva, že ich neuchovávajú bezpečne verejné orgány. Väčšina respondentov sa obáva, že by sa mohli stať obeťami rôznych foriem počítačovej kriminality, najmä malvérov (69 %), krádeže identity (69 %) a podvodov v súvislosti s bankovými kartami a internetbankingom (4).

2.6.

Zatiaľ sa žiaden právny rámec nedokázal plne vyrovnať s tempom digitálnej inovácie. Vhodný právny rámec pomáhajú postupne vytvoriť početné právne texty: revízia kódexu elektronickej komunikácie, všeobecné nariadenie o ochrane údajov, smernica o kybernetickej bezpečnosti (smernica NIS), nariadenie o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu (nariadenie eIDAS), štít na ochranu osobných údajov medzi EÚ a USA, smernica o boji proti podvodom s bezhotovostnými platobnými prostriedkami atď.

2.7.

Otázkami kybernetickej bezpečnosti sa okrem ENISA, ktorá funguje ako agentúra EÚ pre kybernetickú bezpečnosť, zaoberá mnoho rôznych organizácií: Europol; CERT-EU (tím reakcie na núdzové počítačové situácie v európskych inštitúciách, orgánoch a agentúrach); Spravodajské a situačné centrum EÚ (EU INTCEN); Európska agentúra na prevádzkové riadenie rozsiahlych informačných systémov v priestore slobody, bezpečnosti a spravodlivosti (eu-LISA); strediská pre výmenu a analýzu informácií; Európska organizácia pre kybernetickú bezpečnosť (ECSO); Európska obranná agentúra (EDA); Centrum excelentnosti NATO pre spoluprácu v oblasti kybernetickej obrany a UN GGE (skupina vládnych expertov OSN pre vývoj v oblasti informatiky a telekomunikácii v kontexte medzinárodnej bezpečnosti).

2.8.

Ak chceme mať kvalitné výrobky a služby, je nevyhnutné zohľadniť bezpečnosť už v štádiu návrhu: inteligentné zariadenia nie sú až také inteligentné, ak nie sú zabezpečené, a to isté platí pre inteligentné autá, inteligentné mestá a inteligentné nemocnice všetky si vyžadujú, aby ich zabezpečenie bolo integrovanou súčasťou zariadení, systémov, štruktúr a služieb.

2.9.

Európska rada vyslovila na zasadnutí 19. – 20. októbra 2017 požiadavku, aby bol v nadväznosti na navrhovaný balík reforiem zaujatý „spoločný prístup ku kybernetickej bezpečnosti: digitálny svet si vyžaduje dôveru a dôveru môžeme dosiahnuť len tak, že zaistíme proaktívnejší prístup k bezpečnosti už v štádiu návrhu vo všetkých digitálnych politikách, zabezpečíme náležitú bezpečnostnú certifikáciu produktov a služieb a posilníme svoju schopnosť predchádzať kybernetickým útokom, odrádzať od nich, odhaľovať ich a reagovať na ne“ (5).

2.10.

Európsky parlament vo svojom uznesení zo 17. mája 2017„zdôrazňuje potrebu komplexného zabezpečenia v rámci celého hodnotového reťazca v oblasti finančných služieb; poukazuje na rozsiahle a rôznorodé riziká, ktoré predstavujú kybernetické útoky zamerané na infraštruktúru našich finančných trhov, internet vecí, meny a údaje; […] vyzýva európske orgány dohľadu, aby […] pravidelne preskúmavali existujúce operačné normy týkajúce sa rizík IKT finančných inštitúcií; okrem toho […] požaduje usmernenia európskych orgánov dohľadu týkajúce sa dohľadu nad týmito rizikami“ v členských štátoch a „zdôrazňuje význam technického know-how v európskych orgánoch dohľadu“ (6).

2.11.

EHSV sa touto problematikou v minulosti už viackrát zaoberal (7), napríklad na konferencii o ďalšom rozvoji elektronickej verejnej správy počas summitu v Tallinne, a vytvoril stálu študijnú skupinu Digitálna agenda (8).

3.   Návrhy Komisie

3.1.

Balík o kybernetickej bezpečnosti zahŕňa spoločné oznámenie, v ktorom sa prehodnocuje Stratégia kybernetickej bezpečnosti EÚ (2013), a tiež akt o kybernetickej bezpečnosti, ktorý sa zameriava na nový mandát ENISA a navrhovaný rámec certifikácie.

3.2.

Stratégia má tri hlavné časti: odolnosť, odrádzanie a medzinárodná spolupráca. V časti zameranej na odrádzanie sa venuje pozornosť hlavne počítačovej kriminalite, vrátane Budapeštianskeho dohovoru. a časť o medzinárodnej spolupráci sa zameriava na kybernetickú obranu, kybernetickú diplomaciu a spoluprácu s NATO.

3.3.

Návrhom sa zavádzajú tri nové iniciatívy:

vybudovanie silnejšej agentúry EÚ pre kybernetickú bezpečnosť,

zavedenie systému certifikácie kybernetickej bezpečnosti na úrovni EÚ,

urýchlené implementovanie smernice NIS.

3.4.

V časti venovanej odolnosti sa navrhujú opatrenia súvisiace s kybernetickou bezpečnosťou zamerané najmä na: trhové problémy, smernicu NIS, rýchlu reakciu v núdzových situáciách, rozvoj kompetencií, vzdelávania, odbornej prípravy v oblasti kybernetických zručností a počítačovej hygieny a informovanosti v EÚ.

3.5.

V akte o kybernetickej bezpečnosti sa zároveň navrhuje zaviesť európsky rámec certifikácie kybernetickej bezpečnosti produktov a služieb IKT.

3.6.

Takisto sa navrhuje posilniť úlohu ENISA ako agentúry EÚ pre kybernetickú bezpečnosť a udeľuje sa jej trvalý mandát. Okrem plnenia doterajších povinností sa od agentúry ENISA očakáva, že bude zastávať nové podporné a koordinačné úlohy, pokiaľ ide o uplatňovanie smernice NIS, stratégiu kybernetickej bezpečnosti EÚ, koncepciu kybernetickej bezpečnosti, budovanie kapacít, poznatky a informácie, zvyšovanie povedomia, úlohy spojené s trhom ako podpora štandardizácie a certifikácie, výskum a vývoj, celoeurópske cvičenia v oblasti kybernetickej bezpečnosti a zabezpečovanie sekretariátu siete jednotiek pre riešenie počítačových bezpečnostných incidentov (CSIRT).

4.   Všeobecné pripomienky prehľad

4.1.    Kontext: Odolnosť

4.1.1.   Jednotný trh v oblasti kybernetickej bezpečnosti

Povinnosť náležitej starostlivosti: Navrhovaná zásada „povinnosti náležitej starostlivosti“ uvedená v spoločnom oznámení na podporu používania bezpečných procesov životného cyklu vývoja je zaujímavý koncept, ktorý by sa mal rozvinúť spolu s priemyslom EÚ, čo by mohlo viesť ku komplexnému prístupu v záujme dodržiavania právnych predpisov v EÚ. V budúcom vývoji by mala byť bezpečnosť štandardom.

Zodpovednosť: Certifikácia pomôže ľahšie určiť zodpovednosť v prípade sporu.

4.1.2.

Smernica NIS : energetika, doprava, bankovníctvo/financie, zdravotníctvo, voda, digitálna infraštruktúra, elektronický obchod.

EHSV zastáva názor, že smernica NIS sa musí plne a efektívne uplatňovať, aby sa zaistila odolnosť kľúčových odvetví jednotlivých štátov.

EHSV sa domnieva, že výmena informácií medzi súkromným a verejným sektorom by sa mala zlepšiť prostredníctvom odvetvových stredísk pre výmenu a analýzu informácií. Na základe posúdenia a analýzy v súčasnosti používaného mechanizmu by sa mal navrhnúť vhodný mechanizmus bezpečnej výmeny dôverných informácií v rámci takýchto centier a medzi nimi a jednotkami CSIRT.

4.1.3.   Rýchla reakcia na núdzové situácie

Koncepcia by zabezpečila účinný postup operačnej reakcie na úrovni Únie a členských štátov na rozsiahly kybernetický incident. Výbor zdôrazňuje, že je potrebné zapojiť súkromný sektor. Mechanizmus operačnej reakcie by mal prihliadať aj na prevádzkovateľov základných služieb, pretože by mohli poskytnúť cenné informácie o hrozbách a/alebo pomôcť pri zisťovaní kybernetických hrozieb a kríz veľkého rozsahu a pomôcť s reakciou na ne.

V spoločnom oznámení sa navrhuje začleniť kybernetické incidenty do mechanizmov krízového riadenia na úrovni EÚ. EHSV chápe, že v prípade útoku je potrebná kolektívna reakcia a solidarita, treba však lepšie porozmýšľať, ako by sa to dalo zrealizovať v praxi, keďže kybernetické hrozby sa zvyčajne šíria aj za hranice krajín. Nástroje, ktoré sa používajú pri celoštátnych núdzových situáciách, sa len čiastočne dajú použiť v prípade miestnej potreby.

4.1.4.   Rozvoj kompetencií EÚ

Aby bola EÚ skutočne konkurencieschopná v celosvetovom meradle a mohla si vybudovať pevnú technologickú základňu, je nevyhnutné vytvoriť koherentný dlhodobý rámec zahŕňajúci všetky články hodnotového reťazca kybernetickej bezpečnosti. Kľúčom k rozvoju hodnotového reťazca európskej kybernetickej bezpečnosti je preto upevnenie spolupráce medzi európskymi regionálnymi ekosystémami. EHSV víta návrh vytvoriť kompetenčnú sieť kybernetickej bezpečnosti.

Sieť by mohla podporovať digitálnu nezávislosť Európy vytvorením konkurencieschopnej európskej priemyselnej základne a znížením závislosti od know-how v oblasti technologických spôsobilostí získaného mimo EÚ, mohla by tiež zabezpečovať technické cvičenia, semináre a dokonca školenia v oblasti základnej počítačovej hygieny určené profesionálom aj amatérom. Okrem toho by na základe práce vykonanej v rámci zmluvného verejno-súkromného partnerstva mohla podporovať vytvorenie siete vnútroštátnych verejných a súkromných organizácií na podporu rozvoja trhu v Európe. Pokrok v oblasti zmluvného verejno-súkromného partnerstva by mal viesť k jeho optimalizácii, prispôsobeniu alebo rozšíreniu (EE-BG-AT Trio Presidency Cybersecurity Work Programme) prostredníctvom vytvorenia trojstranného spoločného podniku (Komisia, členské štáty, podniky).

Aby mohla byť táto sieť účinná a dosiahnuť svoje ciele navrhnuté na európskej úrovni, mala by sa opierať o dobre vymedzený systém riadenia.

Sieti by na európskej úrovni pomáhalo Európske stredisko výskumu a kompetencií pre kybernetickú bezpečnosť (CRCC), ktoré by prepájalo existujúce národné kompetenčné centrá v EÚ. CRCC by nielen koordinovalo a riadilo výskum, ako sa to deje v iných spoločných podnikoch, ale umožňovalo by tiež skutočne rozvinúť európsky ekosystém kybernetickej bezpečnosti, ktorý by podporoval zavádzanie a využívanie európskych inovácií.

4.2.    Kontext: Odrádzanie

4.2.1.

Boj proti počítačovej kriminalite patrí medzi hlavné vnútroštátne a európske priority a vyžaduje si pevný politický záväzok. Činnosť zameraná na odrádzanie by sa mala realizovať na základe pevného partnerstva verejného a súkromného sektora, pričom by sa mala zabezpečiť účinná výmena informácií a poznatkov na vnútroštátnej aj na európskej úrovni. Mohla by sa zvážiť možnosť rozšíriť aktivity Europolu v oblasti počítačovej forenznej analýzy a monitorovania.

4.3.    Kontext: Medzinárodná spolupráca

4.3.1.

Nadväzovať a udržiavať dôveryhodnú spoluprácu s tretími krajinami prostredníctvom kybernetickej diplomacie a obchodných partnerstiev je rozhodujúce pre posilnenie schopnosti Európy predchádzať rozsiahlym kybernetickým útokom, odrádzať od nich a reagovať na ne. Európa by mala upevniť svoju spoluprácu s USA, Čínou, Izraelom, Indiou a Japonskom. Modernizácia kontrol vývozu EÚ by mala zabrániť porušovaniu ľudských práv alebo zneužívaniu technológií na ohrozenie bezpečnosti samotnej EÚ, ale takisto by mala zabezpečiť, že priemysel EÚ nebude penalizovaný v konfrontácii s ponukami tretích krajín. Mala by sa zvážiť stratégia ad-hoc pre kandidátske krajiny, aby sa pripravili na cezhraničnú výmenu citlivých údajov. Mohla by zahŕňať aj možnosť zúčastňovať sa ako pozorovatelia na niektorých aktivitách krajín zastúpených v ENISA, ktoré by mali byť zoradené podľa ochoty bojovať proti počítačovej kriminalite, pričom by sa mohlo uvažovať aj o čiernej listine.

4.3.2.

EHSV víta návrh zaviesť kybernetickú obranu v plánovanej druhej fáze navrhovaného budúceho európskeho strediska kompetencií pre kybernetickú bezpečnosť. Preto by sa Európa mala zatiaľ zamerať na rozvoj spôsobilostí s dvojakým použitím, a to aj s pomocou Európskeho obranného fondu a vďaka plánovanému vytvoreniu (do roku 2018) platformy odbornej prípravy a vzdelávania v oblasti kybernetickej obrany. Vzhľadom na vzájomne uznávané možnosti a hrozby považuje EHSV za potrebné rozvinúť spoluprácu medzi EÚ a NATO, pričom európsky priemysel by mal takisto pozorne sledovať vývoj tejto spolupráce, pokiaľ ide o posilnenú interoperabilitu kyberneticko-bezpečnostných noriem a ďalšie formy spolupráce v súvislosti s prístupom EÚ v oblasti kybernetickej obrany.

4.4.    Rámec certifikácie EÚ

4.4.1.

EHSV sa domnieva, že Európa musí problém fragmentácie kybernetickej bezpečnosti vyriešiť prostredníctvom zosúladeného výkladu pravidiel, ako aj prostredníctvom vzájomného uznávania zo strany členských štátov v zjednotenom rámci, ktorý uľahčí ochranu digitálneho jednotného trhu. Rámec certifikácie by mal poskytovať spoločný základ (v prípade potreby s osobitnými ustanoveniami o vyšších úrovniach), zabezpečovať synergie naprieč vertikálnymi odvetviami a znížiť súčasnú fragmentáciu.

4.4.2.

EHSV oceňuje vytvorenie európskeho rámca certifikácie kybernetickej bezpečnosti a systémov certifikácie pre jednotlivé odvetvia na základe primeraných požiadaviek a v spolupráci s najdôležitejšími zainteresovanými stranami. Treba však prihliadať aj na kľúčové aspekty, ako je čas potrebný na uvedenie na trh, náklady na certifikáciu a tiež kvalita a bezpečnosť. Systémy certifikácie budú vytvorené s cieľom zvýšiť bezpečnosť na základe súčasných potrieb a poznatkov o hrozbách: mala by sa vziať do úvahy aj flexibilita a schopnosť ďalšieho vývoja týchto systémov, aby sa mohli vykonať potrebné aktualizácie. K rôznym odvetviam treba pristupovať rôzne, v závislosti od ich spôsobu fungovania. EHSV sa preto nazdáva, že odvetvové agentúry EÚ (EASA, EBA, ERA, EMA atď.) by mali byť do tohto procesu zapojené a v niektorých prípadoch, so súhlasom ENISA, aby sa predišlo duplicite a nesúladu, poverené vypracovaním systémov certifikácie kybernetickej bezpečnosti.

4.4.3.

Výbor sa domnieva, že je dôležité, aby rámec certifikácie spočíval na spoločne vymedzených európskych normách pre kybernetickú bezpečnosť a IKT, ktoré by boli v čo najväčšej miere medzinárodne uznávané. Minimálne európske normy pre bezpečnosť IT by sa vzhľadom na časový rámec a právomoci jednotlivých štátov mali prijať v spolupráci s CEN, Cenelec alebo ETSI. Profesijné normy by sa mali vnímať pozitívne, nemali by však byť právne záväzné a nemali by brzdiť hospodársku súťaž.

4.4.4.

Jednoznačne je potrebné, aby sa k jednotlivým stupňom dôveryhodnosti priradila aj zodpovednosť v závislosti od dosahu hrozieb. Otvorený dialóg s poisťovňami by mohol pomôcť vymedziť vhodné požiadavky v oblasti kybernetickej bezpečnosti pre konkrétne sektory. Podľa názoru EHSV by sa mali podporovať a motivovať podniky, ktoré sa usilujú o „vysoký stupeň dôveryhodnosti“, najmä pokiaľ ide o životne dôležité zariadenia a systémy.

4.4.5.

Vzhľadom na to, že od prijatia smernice 85/374/EHS (9) uplynulo už dosť času, ako aj vzhľadom na súčasný technologický vývoj, EHSV vyzýva Komisiu, aby zvážila, či by nebolo vhodné zahrnúť do rozsahu pôsobnosti smernice niektoré zo scenárov uvedených v návrhu nariadenia, ktoré by pomohli zaručiť bezpečnejšie výrobky a vysokú úroveň ochrany.

4.4.6.

EHSV sa domnieva, že navrhovaná skupina pre certifikáciu kybernetickej bezpečnosti, ktorej bude pomáhať ENISA, by mala pozostávať z vnútroštátnych orgánov dohľadu nad certifikáciou, zainteresovaných strán zo súkromného sektora a prevádzkovateľov z rôznych oblastí uplatňovania, aby sa zabezpečilo vytvorenie komplexných systémov certifikácie. Okrem toho by sa malo uvažovať o spolupráci tejto skupiny so združeniami zastupujúcimi jednotlivé odvetvia z EÚ/EHP (napr. zmluvné verejno-súkromné partnerstvo, bankovníctvo, doprava, energetika, zväzy atď.) prostredníctvom vymenovania expertov. Táto skupina by mala byť schopná posúdiť európske výsledky v oblasti certifikácie (najmä na základe dohody skupiny vysokých úradníkov pre bezpečnosť informačných systémov o vzájomnom uznávaní, na základe štátnych systémov a proprietárnych systémov) a jej cieľom by malo byť zachovanie konkurenčných výhod Európy.

4.4.7.

EHSV navrhuje, aby bola táto skupina zainteresovaných strán poverená úlohou pripraviť spolu s Európskou komisiou systémy certifikácie. Odvetvové požiadavky by sa takisto mali vymedziť na základe dohody medzi verejnými a súkromnými (používatelia a dodávatelia) zainteresovanými stranami.

4.4.8.

Okrem toho by mala skupina pravidelne prehodnocovať systémy certifikácie so zreteľom na požiadavky každého sektora a v prípade potreby ich upraviť.

4.4.9.

EHSV podporuje návrh, aby sa po zavedení európskeho systému certifikácie prestali používať vnútroštátne systémy, ako sa navrhuje v článku 49 nariadenia. Jednotný trh nemôže fungovať, keď majú jednotlivé štáty odlišné a konkurenčné pravidlá. EHSV preto odporúča urobiť inventár všetkých vnútroštátnych systémov.

4.4.10.

EHSV odporúča, aby Komisia rozbehla kampaň na propagáciu certifikácie a certifikátov kybernetickej bezpečnosti v EÚ a presadzovala ich uznávanie vo všetkých medzinárodných obchodných dohodách.

4.5.    ENISA

4.5.1.

EHSV sa domnieva, že nový, trvalý mandát agentúry ENISA, ktorý navrhuje Komisia, výraznou mierou prispeje k posilneniu odolnosti európskych systémov. Predbežný rozpočet a zdroje pridelené reformovanej ENISA však možno nebudú postačujúce na to, aby agentúra mohla svoj mandát plne vykonávať.

4.5.2.

EHSV odporúča všetkým členským štátom, aby ustanovili orgán, ktorý bude jednoznačným a primeraným partnerom ENISA, keďže väčšina z nich to ešte neurobila. Malo by sa presadzovať vytvorenie štruktúrovaného programu pre vyslaných národných expertov na podporu výmeny osvedčených postupov a v záujme posilnenia dôvery. Výbor takisto odporúča, aby Komisia zabezpečila, že súčasné osvedčené postupy a účinné opatrenia používané v členských štátoch sa budú zhromažďovať a šíriť.

4.5.3.

EHSV sa takisto domnieva, že z hľadiska budovania kapacít by ENISA mala uprednostňovať opatrenia na podporu elektronickej verejnej správy (10). Európska, resp. celosvetová digitálna identita osôb, organizácií, podnikov a predmetov má zásadný význam, a preto by malo byť prioritou zamedziť krádeži identity a bojovať proti podvodom na internete a proti krádeži priemyselného duševného vlastníctva.

4.5.4.

ENISA by tiež mala vypracúvať pravidelné správy o kybernetickej pripravenosti členských štátov zamerané predovšetkým na oblasti uvedené v prílohe II k smernici NIS. Každoročné európske kyberneticko-bezpečnostné cvičenia by mali byť zamerané na posudzovanie pripravenosti členských štátov a účinnosti európskeho mechanizmu reakcie na krízu v oblasti kybernetickej bezpečnosti a na základe nich by sa mali vypracovať odporúčania.

4.5.5.

EHSV sa obáva, že pokiaľ ide o operačnú spoluprácu, a to aj so sieťou jednotiek CSIRT, zdroje sú príliš obmedzené.

4.5.6.

Pokiaľ ide o úlohy súvisiace s trhom, EHSV sa domnieva, že posilnenie spolupráce s členskými štátmi a vytvorenie oficiálnej siete agentúr pre kybernetickú bezpečnosť by pomohlo podporiť spoluprácu medzi zainteresovanými stranami (11). Čas potrebný na uvedenie na trh je veľmi krátky a pre podniky EÚ je nevyhnutné, aby boli z tohto hľadiska konkurencieschopné, preto musí byť ENISA schopná reagovať v súlade s týmito požiadavkami. EHSV zastáva názor, že ENISA by podobne ako iné agentúry EÚ mohla v budúcnosti používať systém poplatkov a sadzieb. EHSV sa obáva, že boj o právomoci medzi agentúrami EÚ a agentúrami jednotlivých štátov by mohol, podobne ako sa to v minulosti stalo v iných oblastiach, oddialiť náležité ustanovenie regulačného rámca EÚ a poškodiť jednotný trh EÚ.

4.5.7.

EHSV konštatuje, že úlohy spojené s VaV a medzinárodnou spoluprácou sú v súčasnosti minimálne.

4.5.8.

EHSV sa domnieva, že kybernetická bezpečnosť by mala byť pravidelným bodom rokovania na spoločných schôdzach agentúr pôsobiacich v oblasti spravodlivosti a vnútorných vecí a že ENISA a Europol by mali pravidelne spolupracovať.

4.5.9.

Keďže kybernetický svet je veľmi inovatívny, mali by sa normy starostlivo zvážiť, aby nedošlo k brzdeniu inovácie, ktorá si vyžaduje dynamický rámec. Mala by sa v najväčšej možnej miere zabezpečiť budúca i spätná kompatibilita v záujme ochrany investícií občanov aj podnikov.

4.5.10.

EHSV vzhľadom na význam vnútroštátnych orgánov dohľadu nad certifikáciou odporúča, aby sa už v tomto nariadení ustanovila oficiálna sieť orgánov oprávnených riešiť cezhraničné problémy s pomocou ENISA. Sieť by sa neskôr mohla stať samostatnou agentúrou.

4.5.11.

Dôvera má zásadný význam, ENISA však nemôže vydávať rozhodnutia ani vypracúvať audítorské správy. EHSV zastáva názor, že agentúra by mala v mene Komisie prostredníctvom auditov a inšpekcií monitorovať činnosť a rozhodovanie vnútroštátnych orgánov dohľadu nad certifikáciou.

4.5.12.

V správnej rade ENISA by mali byť ako pozorovatelia prítomní aj zástupcovia priemyslu a organizácií spotrebiteľov.

4.6.    Priemysel, MSP, financovanie/investície a inovačné podnikateľské modely

4.6.1.   Priemysel a investície

V záujme zvýšenia celosvetovej konkurencieschopnosti podnikov EÚ pôsobiacich v oblasti IKT sa treba zamerať na lepšiu podporu rastu a konkurencieschopnosti odvetvia IKT vrátane MSP.

Európa by mala zvýšiť investície tým, že sa jednotlivé fondy EÚ, vnútroštátne prostriedky a súkromné investície nasmerujú na strategické ciele prostredníctvom intenzívnej spolupráce verejného a súkromného sektora. Úroveň investícií v kľúčových oblastiach by sa mala zvýšiť a podporiť vytvorením fondu EÚ pre kybernetickú bezpečnosť na podporu výskumu, vývoja a inovácie v súčasnom aj v budúcom rámcovom programe pre výskum. Okrem toho by EÚ mala vytvoriť fond na zavádzanie kybernetickej bezpečnosti, a to tým, že otvorí nové okno v súčasnom aj v budúcom Nástroji na prepájanie Európy, ako aj v nasledujúcej generácii EŠIF 3.0.

Mali by sa vytvoriť stimuly pre členské štáty, aby kupovali podľa možnosti európske riešenia a uprednostňovali európskych dodávateľov, ak sú k dispozícii, najmä v súvislosti s citlivými aplikáciami. Európa by mala podporovať rast európskych kybernetických šampiónov, ktorí dokážu súťažiť na svetovom trhu.

4.6.2.   MSP

Vzhľadom na fragmentáciu trhu je nevyhnutné mať jasnejšiu predstavu o dopyte zákazníkov, aby sa dosiahla lepšia účinnosť na trhu. Bez štruktúrovaného dopytu nemôžu MSP a startupy rýchlo rásť. V tejto súvislosti by bolo pozitívnym krokom vytvoriť centrum kybernetickej bezpečnosti pre MSP.

Technológie v oblasti kybernetickej bezpečnosti sa rýchlo vyvíjajú a MSP môžu vďaka svojej schopnosti pružne reagovať a poskytovať špičkové riešenia, ktoré sú pre zachovanie konkurencieschopnosti nevyhnutné. EÚ na rozdiel od tretích krajín vhodný podnikateľský model pre MSP ešte stále hľadá.

Mohli by sa navrhnúť osobitné systémy pre startupy a MSP, ktoré by im pomohli znášať náklady na certifikáciu, aby mohli prekonať veľké problémy s financovaním svojho technologického a obchodného rozvoja.

4.7.    Ľudský faktor: vzdelávanie a ochrana

4.7.1.

EHSV konštatuje, že v návrhu Komisie sa náležite nezohľadňuje skutočnosť, že hlavným protagonistom digitálnych procesov je človek, či už ako príjemca, alebo ako príčina veľkých kybernetických incidentov.

4.7.2.

Je potrebné vybudovať pevnú základňu kybernetických zručností a zlepšiť počítačovú hygienu, a to aj prostredníctvom osvetových kampaní určených jednotlivcom aj podnikom. Na to, aby sa to podarilo, sú potrebné primerané investície, čas na vyškolenie kompetentných inštruktorov a účinné osvetové kampane. Pretavenie týchto troch strategických línií do praxe si vyžaduje zapojenie celoštátnych a regionálnych orgánov (zodpovedných za vytvorenie účinných vzdelávacích programov a investovanie do nich) a podnikov a MSP a ich kolektívny prístup.

4.7.3.

Malo by sa zvážiť vytvorenie prípadného študijného programu s certifikáciou EÚ pre stredné školy a odborníkov s aktívnym zapojením ENISA a jej partnerských organizácií na úrovni jednotlivých štátov. Okrem toho sa pri navrhovaní vzdelávacích programov musí dbať na rovnosť pohlaví, aby sa zlepšila miera zamestnanosti v oblasti kybernetickej bezpečnosti.

4.7.4.

EHSV sa nazdáva, že certifikačná činnosť by mala zahŕňať primeraný systém označovania pre hardvér aj pre softvér, ako je to v prípade mnohých iných produktov (napr. energetických). Takýto nástroj bude mať tri výhody: pomôže znížiť náklady pre podniky, odstráni súčasnú fragmentáciu trhu v dôsledku rôznych systémov certifikácie, ktoré už boli prijaté na úrovni jednotlivých štátov, a umožní spotrebiteľom ľahšie sa zorientovať v kvalite a vlastnostiach kupovaného produktu. Preto je dôležité, aby sa príslušné mechanizmy certifikácie a označovania uplatňovali aj na výrobky dovážané z tretích krajín. EHSV sa napokon domnieva, že by mohlo byť užitočné, keby sa vytvorilo osobitné logo, ktoré by spotrebiteľov a používateľov okamžite informovalo o spoľahlivosti kupovaných výrobkov alebo stránok, na ktorých prebiehajú obchodné transakcie alebo dochádza k prenosu citlivých dát.

4.7.5.

ENISA by mala mať na starosti dôležitú viacúrovňovú informačnú a osvetovú činnosť, aby sa zvýšilo povedomie o „bezpečnom“ správaní v digitálnom prostredí a vzrástla dôvera používateľov voči internetu. Do tohto úsilia by mali byť zapojené organizácie podnikateľov, združenia spotrebiteľov a ďalšie organizácie pôsobiace v oblasti digitálnych služieb.

4.7.6.

EHSV považuje za zásadné, aby sa ako doplnok k aktu o kybernetickej bezpečnosti čo najskôr začal uplatňovať rozsiahly európsky program vzdelávania a odbornej prípravy v digitálnej oblasti, ako to už výbor navrhoval v stanovisku INT/828, aby sa všetkým občanom poskytli nástroje na čo najlepšie zvládnutie prechodu. EHSV, hoci si uvedomuje zvláštne právomoci členských štátov v tejto oblasti, hlavne dúfa, že tento program sa začne uplatňovať v školách zlepšením znalostí vyučujúcich, úpravou učebných plánov a didaktiky v súvislosti s digitálnymi technológiami (vrátane elektronického vzdelávania) a všetkým žiakom a študentom poskytne kvalitnú odbornú prípravu. Program sa prirodzene rozšíri do neustáleho ďalšieho vzdelávania, aby sa prispôsobovala a aktualizovala kvalifikácia všetkých pracovníkov (12).

5.   Konkrétne pripomienky

5.1.    Nové technológie a riešenia: internet vecí

Počet pripojených zariadení neustále rastie a vzhľadom na digitalizáciu komponentov, systémov a riešení, ako aj vzhľadom na lepšie pripojenie, sa očakáva, že niekoľkonásobne prekročí počet ľudí žijúcich na Zemi. Vďaka tomuto trendu vznikajú nové príležitosti pre počítačovú kriminalitu, pretože zariadenia internetu vecí často nie sú tak dobre chránené ako klasické zariadenia.

Európske normy bezpečnosti v rôznych oblastiach, v ktorých sa využíva internet vecí, môžu pomôcť zredukovať úsilie, čas a rozpočet potrebné na vývoj, a to pre všetkých účastníkov hodnotového reťazca pripojených produktov.

Určitá forma minimálnej úrovne bezpečnosti prostredníctvom riadenie identity a prístupu IDAM (Identity & Access Management), opráv a riadenia zariadení bude pravdepodobne potrebná aj pre „bežné“ zariadenia „internetu ľudí“. Keďže certifikácia je kľúčovou metódou, ako zabezpečiť vyššiu úroveň bezpečnosti, v novom prístupe EÚ k certifikácii by sa mal klásť väčší dôraz na bezpečnosť internetu vecí.

V Bruseli 14. februára 2018

Predseda Európskeho hospodárskeho a sociálneho výboru

Georges DASSIS


(1)  Digitálny jednotný trh: preskúmanie v polovici trvania.

(2)  JOIN/2017/0450 final.

(3)  Pracovný dokument útvarov Komisie Posúdenie vplyvu: Sprievodný dokument k návrhu nariadenia Európskeho parlamentu a Rady, časť 1/6, s 21, Brusel, 13. 9. 2017.

(4)  Special Eurobarometer 464a Wave EB87.4 Europeans' attitudes towards cyber security, september 2017.

(5)  Závery Európskej rady z 19. októbra 2017.

(6)  Uznesenie Európskeho parlamentu zo 17. mája 2017, A8-0176/2017.

(7)  Digitálny jednotný trh: preskúmanie v polovici trvania. Ú. v. EÚ C 75, 10.3.2017, s 124, Ú. v. EÚ C 246, 28.7.2017, s 8, Ú. v. EÚ C 345, 13.10.2017, s 52, Ú. v. EÚ C 288, 31.8.2017, s 62, Ú. v. EÚ C 271, 19.9.2013, s 133.

(8)  Tlačová správa EHSV č. 31/2017 Civil Society debates E-government and cybersecurity with incoming Estonian Presidency (Občianska spoločnosť diskutuje s nadchádzajúcim estónskym predsedníctvom o elektronickej verejnej správe a kybernetickej bezpečnosti): https://www.eesc.europa.eu/en/news-media/press-releases/civil-society-debates-e-government-and-cybersecurity-incoming-estonianpresidency (pozn. prekl.: neexistuje v slovenskom jazyku).

(9)  Ú. v. ES L 210, 7.8.1985, s 29 (mimoriadne vydanie v slovenskom jazyku: kapitola 15, zväzok 001, s. 257).

(10)  Digitálny jednotný trh: preskúmanie v polovici trvania.

(11)  Ú. v. EÚ C 75, 10.3.2017, s 124.

(12)  Digitálny jednotný trh: preskúmanie v polovici trvania.