EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52017AE4390

Mnenje Evropskega ekonomsko-socialnega odbora – Predlog uredbe Evropskega parlamenta in Sveta o agenciji EU za kibernetsko varnost ENISA in razveljavitvi Uredbe (EU) št. 526/2013 ter certificiranju informacijske in komunikacijske tehnologije na področju kibernetske varnosti (uredba o kibernetski varnosti) (COM(2017) 477 final/2 – 2017/0225 (COD))

EESC 2017/04390

OJ C 227, 28.6.2018, p. 86–94 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

28.6.2018   

SL

Uradni list Evropske unije

C 227/86


Mnenje Evropskega ekonomsko-socialnega odbora – Predlog uredbe Evropskega parlamenta in Sveta o agenciji EU za kibernetsko varnost ENISA in razveljavitvi Uredbe (EU) št. 526/2013 ter certificiranju informacijske in komunikacijske tehnologije na področju kibernetske varnosti (uredba o kibernetski varnosti)

(COM(2017) 477 final/2 – 2017/0225 (COD))

(2018/C 227/13)

Poročevalec:

Alberto MAZZOLA

Soporočevalec:

Antonio LONGO

Zaprosilo

Evropski parlament, 23. 10. 2017

Svet Evropske unije, 25. 10. 2017

Pravna podlaga

člen 114 Pogodbe o delovanju Evropske unije

Pristojnost

strokovna skupina za promet, energijo, infrastrukturo in informacijsko družbo

Datum sprejetja mnenja strokovne skupine

5. 2. 2018

Datum sprejetja mnenja na plenarnem zasedanju

14. 2. 2018

Plenarno zasedanje št.

532

Rezultat glasovanja

(za/proti/vzdržani)

206/1/2

1.   Sklepi in priporočila

1.1

Evropski ekonomsko-socialni odbor (EESO) meni, da bo novi stalni mandat Enise, kakor ga predlaga Komisija, občutno prispeval k večji odpornosti evropskih sistemov. Vendar začasni proračun in viri, ki so v ta namen dodeljeni Enisi, niso zadostni, da bi agencija lahko uresničila svoj mandat.

1.2

EESO priporoča vsem državam članicam, naj ustanovijo razpoznaven in enakovreden ustreznik Enisi, saj večina tega še ni storila.

1.3

EESO tudi meni, da bi morala ENISA pri krepitvi zmogljivosti dati prednost ukrepom v podporo e-upravljanja (1). Evropska oziroma svetovna digitalna identiteta oseb, organizacij in stvari je ključnega pomena, zato bi morala biti preprečevanje kraje identitete in spletnih prevar ter boj proti njim uvrščena med prednostne naloge.

1.4

EESO priporoča, da ENISA redno poroča o kibernetski pripravljenosti držav članic in se pri tem osredotoča na sektorje iz Priloge II direktive o varnosti omrežij in informacijskih sistemov. Na vsakoletni evropski kibernetski vaji bi bilo treba oceniti pripravljenost držav članic in učinkovitost evropskega mehanizma za odzivanje na kibernetske krize ter na tej podlagi pripraviti priporočila.

1.5

EESO podpira predlog za vzpostavitev strokovne mreže za kibernetsko varnost, za katero bi skrbel raziskovalni in strokovni center za kibernetsko varnost (CRCC). Mreža bi lahko z oblikovanjem konkurenčne evropske industrijske baze za ključne tehnološke zmogljivosti podpirala evropsko digitalno suverenost na podlagi dela, opravljenega v sklopu pogodbenega javno-zasebnega partnerstva, ki bi ga bilo treba razviti v tristransko skupno podjetje.

1.6

Človeški dejavnik je eden od najpomembnejših vzrokov za kibernetske incidente. Po mnenju EESO je treba vzpostaviti močno bazo kibernetskega znanja in spretnosti ter izboljšati kibernetsko higieno tudi z ozaveščanjem posameznikov in podjetij. EESO podpira oblikovanje učnega načrta za srednje šole in strokovnjake, ki bi bil certificiran na ravni EU.

1.7

EESO meni, da evropski enotni digitalni trg potrebuje tudi enotno razlago pravil na področju kibernetske varnosti, vključno z vzajemnim priznavanjem med državami članicami, ter da bi lahko bili skupna osnova za to certifikacijski okvir in certifikacijske sheme za različne sektorje. Vendar morajo biti za različne sektorje zaradi značilnosti njihovega delovanja na voljo različni pristopi. EESO zato meni, da je treba v postopek vključiti sektorske agencije EU (Evropska agencija za varnost v letalstvu, Agencija Evropske unije za železnice, Evropska agencija za zdravila itd.) in v nekaterih primerih nanje prenesti pripravo shem za kibernetsko varnost, vendar v soglasju z Eniso, da se zagotovi usklajenost. Minimalne evropske standarde za varnost IT bi bilo treba sprejeti v sodelovanju z Evropskim odborom za standardizacijo, Evropskim odborom za elektrotehnično standardizacijo in Evropskim inštitutom za telekomunikacijske standarde.

1.8

Predvideno evropsko certifikacijsko skupino za kibernetsko varnost, ki bi jo podpirala ENISA, bi morali sestavljati nacionalni organi za nadzor nad certificiranjem, deležniki iz zasebnega sektorja, vključno s subjekti z različnih področij uporabe, ter akterji s področja znanosti in civilne družbe.

1.9

EESO meni, da bi morala agencija z revizijami in inšpekcijskimi pregledi, ki bi jih izvajala v imenu Komisije, spremljati učinkovitost delovanja in odločanja nacionalnih organov za nadzor nad certificiranjem, pristojnosti in kazni za nespoštovanje standardov pa bi morale biti določene v Uredbi.

1.10

EESO meni, da certificiranje ne more pomeniti izključitve ustreznega sistema označevanja, ki bi se z namenom krepitve zaupanja potrošnikov uporabljal tudi za uvožene izdelke.

1.11

Evropa bi morala povečati naložbe, s katerimi bi ob trdnem javno-zasebnem sodelovanju in z ustanovitvijo sklada EU za inovacije ter raziskave in razvoj na področju kibernetske varnosti v okviru sedanjega in prihodnjega okvirnega programa za raziskave različne sklade EU, sklade držav članic in naložbe zasebnega sektorja približali strateškim ciljem. Poleg tega bi morala Evropa ustanoviti sklad za uvajanje kibernetske varnosti, kar bi odprlo nove možnosti v sedanjem in prihodnjem Instrumentu za povezovanje Evrope in v prihodnjem Evropskem skladu za strateške naložbe 3.0.

1.12

EESO meni, da je za „običajne“ naprave, ki jih v internetu uporabljajo ljudje, potrebna vsaj minimalna stopnja varnosti. V tem primeru je certificiranje ključno za zagotavljanje višje stopnje varnosti. Varnost interneta stvari bi morala biti določena kot prednostna naloga.

2.   Sedanji okvir za kibernetsko varnost

2.1

Kibernetska varnost je ključna tako za blaginjo kot za nacionalno varnost, prav tako pa za delovanje demokratične ureditve, svoboščine in vrednote. V skladu s poročilom OZN Svetovni indeks kibernetske varnosti je kibernetska varnost ekosistem, v katerem morajo biti zakoni, organizacije, znanja in spretnosti, sodelovanje in tehnična izvedba medsebojno usklajeni, da so kar najbolj učinkoviti, nosilci odločanja na državni ravni pa ji pripisujejo vse večji pomen.

2.2

Zaradi internetne revolucije postaja varen ekosistem vse bolj nujen. Ta revolucija je ne le preoblikovala sektorje, v katerih stopajo v odnos podjetja in potrošniki, na primer medije, trgovino na drobno in finančne storitve, temveč do preobrazbe prihaja tudi v proizvodnji, energetiki, kmetijstvu, prometu in drugih gospodarskih sektorjih, ki skupaj obsegajo skoraj dve tretjini svetovnega bruto domačega proizvoda, kot tudi pri javni gospodarski infrastrukturi in stikih ljudi z javno upravo.

2.3

Strategija za enotni digitalni trg sloni na izboljšanju dostopa do blaga, storitev in vsebin, ustvarjanju primernega pravnega okvira za digitalna omrežja in storitve ter na izkoriščanju prednosti podatkovne ekonomije. Ocenjuje se, da bi lahko ta strategija h gospodarstvu EU prispevala 415 milijard EUR letno. Po napovedih naj bi do leta 2022 v evropskem zasebnem sektorju primanjkovalo 350 000 strokovnjakov za kibernetsko varnost (2).

2.4

Po študiji iz leta 2014 je bil gospodarski učinek kibernetske kriminalitete v letu 2013 v Uniji ocenjen na 0,41 % BDP EU (tj. približno 55 milijard EUR) (3).

2.5

Po ugotovitvah iz posebne raziskave Eurobarometra 464a o odnosu Evropejcev do kibernetske varnosti 73 % uporabnikov interneta skrbi, da spletišča morda ne hranijo varno njihovih spletnih osebnih podatkov, 65 % pa jih meni, da ti podatki morda niso varno shranjeni pri javnih organih. Največ anketirancev je zaskrbljenih, da bodo postali žrtev ene od oblik kibernetskega kriminala. Zlasti jih skrbijo zlonamerna programska oprema na njihovih napravah (69 %), kraja identitete (69 %) ter goljufije z bančnimi karticami in pri spletnem bančništvu (66 %) (4).

2.6

Za zdaj še z nobenim pravnim okvirom ni bilo mogoče slediti tempu digitalnih inovacij, številna pravna besedila pa le po delih prispevajo k vzpostavitvi ustreznega okvira, npr. revizija zakonika o telekomunikacijah, splošna uredba o varstvu podatkov, direktiva o varnosti omrežij in informacijskih sistemov, uredba o elektronski identifikaciji in storitvah zaupanja za elektronske transakcije na notranjem trgu, zasebnostni ščit EU-ZDA, direktiva o boju proti goljufijam pri negotovinskih plačilih itd.

2.7

Poleg Enise se s kibernetsko varnostjo ukvarjajo še številne druge organizacije: Europol, CERT-EU (skupina za odzivanje na računalniške grožnje EU), Obveščevalni in situacijski center EU (SITCEN EU), Evropska agencija za operativno upravljanje obsežnih informacijskih sistemov s področja svobode, varnosti in pravice (eu-LISA), centri za izmenjavo in analizo informacij (ISAC), Evropska organizacija za kibernetsko varnost (ECSO), Evropska obrambna agencija (EDA), Natov Center odličnosti za sodelovanje pri kibernetski obrambi in skupina vladnih strokovnjakov pri OZN za spremljanje dogajanja na področju informacij in telekomunikacij v povezavi z mednarodno varnostjo.

2.8

Vgrajena varnost je ključna za visoko kakovost blaga in storitev. Pametne naprave namreč niso pametne, če niso zavarovane, kar velja tudi za pametne avtomobile, pametna mesta in pametne bolnišnice. V vseh teh primerih mora biti varnost sestavni del naprav, sistemov, arhitektur in storitev.

2.9

Evropski svet je na seji 19. in 20. oktobra 2017 pozval, naj se po predlaganem svežnju reform sprejme „skupen pristop h kibernetski varnosti [v EU]: v digitalnem svetu je potrebno zaupanje, to pa se lahko doseže le, če bomo v vseh digitalnih politikah zagotovili, da bo varnost že v zasnovi bolj proaktivna, omogočili ustrezno varnostno certificiranje vseh proizvodov in storitev ter povečali zmogljivosti za preprečevanje kibernetskih napadov, njihovo odvračanje in odkrivanje ter odziv nanje“ (5).

2.10

Evropski parlament v resoluciji z dne 17. maja 2017„poudarja, da je vzdolž vse verige finančnih storitev potrebna celostna varnost; opozarja na velika in raznolika tveganja kibernetskih napadov, ki so usmerjeni v infrastrukturo naših finančnih trgov, internet stvari, valute in podatke; […] poziva evropske nadzorne organe, naj […] redno pregledujejo obstoječe operativne standarde v zvezi s tveganji finančnih institucij na področju informacijsko-komunikacijske tehnologije; evropske nadzorne organe tudi poziva, naj pripravijo smernice za nadzor teh tveganj […]; poudarja, kako pomembno je, da imajo evropski nadzorni organi tehnološko strokovno znanje […]“ (6).

2.11

EESO se je temu vprašanju posvetil že ob več predhodnih priložnostih (7) – med drugim na vrhu v Talinu, ko je organiziral konferenco o prihodnjem razvoju e-upravljanja (8) – in je tudi ustanovil stalno študijsko skupino za digitalno agendo.

3.   Predlogi Komisije

3.1

Sveženj o kibernetski varnosti vključuje skupno sporočilo o pregledu prejšnje evropske strategije za kibernetsko varnost (iz leta 2013) in uredbo o kibernetski varnosti, v kateri je poudarek predvsem na novem mandatu Enise in predlaganem certifikacijskem okviru.

3.2

Osrednji trije gradniki strategije so odpornost, odvračanje in mednarodno sodelovanje. Del, ki govori o odvračanju, je osredotočen predvsem na kibernetsko kriminaliteto in tudi na Budimpeško konvencijo, del o mednarodnem sodelovanju pa se nanaša na kibernetsko obrambo, kibernetsko diplomacijo in sodelovanje z Natom.

3.3

V predlogu so predstavljene nove pobude, na primer:

oblikovanje močnejše agencije EU za kibernetsko varnost,

uvedba vseevropske certifikacijske sheme za kibernetsko varnost,

hiter začetek izvajanja direktive o varnosti omrežij in informacijskih sistemov.

3.4

V delu, ki govori o odpornosti, so predlagani ukrepi, povezani s kibernetsko varnostjo, ki se zlasti nanašajo na problematiko trga, direktivo o varnosti omrežij in informacijskih sistemov, hitro odzivanje na izredne dogodke, razvoj usposobljenosti EU, izobraževanje, usposabljanje – za kibernetska znanja in spretnosti ter kibernetsko higieno – in ozaveščanje.

3.5

V uredbi o kibernetski varnosti je podobno predlagana vzpostavitev certifikacijskega okvira EU za kibernetsko varnost, ki bi se uporabljal za izdelke in storitve IKT.

3.6

V tej uredbi se ravno tako predlaga okrepitev vloge Enise kot agencije EU za kibernetsko varnost, agenciji pa je podeljen tudi stalni mandat. Pričakuje se, da bo ENISA poleg sedanjih pristojnosti izvajala nove podporne in usklajevalne naloge, ki se nanašajo na podporo pri izvajanju direktive o varnosti omrežij in informacijskih sistemov, strategijo EU za kibernetsko varnost, načrt EU za kibernetsko varnost, krepitev zmogljivosti, znanje in informacije, ozaveščanje, s trgom povezane naloge, kot je podpora pri standardizaciji in certificiranju, raziskave in inovacije, vseevropske vaje na področju kibernetske varnosti in sekretariat mreže skupin za odzivanje na incidente na področju računalniške varnosti (CSIRT).

4.   Splošne ugotovitve – pregled

4.1    Področje: odpornost

4.1.1   Enotni trg kibernetske varnosti

Dolžnost skrbnega ravnanja: oblikovanje predlaganega načela skrbnega ravnanja, omenjenega v skupnem sporočilu, ki bi se uporabljalo za procese varnega razvojnega cikla, je zanimiv koncept, ki ga bo treba razviti v sodelovanju z industrijo EU in bi lahko privedel do celovitega pristopa k zagotavljanju pravne skladnosti EU. Pri nadaljnjem razvoju bi bilo treba upoštevati koncept privzete varnosti.

Odškodninska odgovornost: v primeru spora bo na podlagi certificiranja mogoče lažje določiti odškodninsko odgovornost.

4.1.2

Direktiva o varnosti omrežij in informacijskih sistemov: energija, promet, bančništvo/finance, zdravstvo, voda, digitalna infrastruktura, e-trgovina.

Za EESO je popolno in učinkovito izvajanje direktive o varnosti omrežij in informacijskih sistemov bistveno za zagotavljanje odpornosti kritičnih sektorjev držav članic.

EESO meni, da bi bilo treba izmenjavo informacij med javnimi in zasebnimi akterji okrepiti prek centrov za izmenjavo in analizo informacij (ISAC) v različnih sektorjih. Na podlagi ocene/analize mehanizmov, ki se trenutno uporabljajo, bi bilo treba razviti ustrezen mehanizem za varno izmenjavo zaupanja vrednih informacij znotraj posameznega centra ISAC ter med temi centri in skupinami CSIRT.

4.1.3   Hitro odzivanje na izredne dogodke

Na podlagi načrta EU za kibernetsko varnost bi lahko opredelili učinkovit proces za operativni odziv na ravni EU in držav članic na incident velikega obsega. EESO poudarja, da je treba vključiti zasebni sektor. Prav tako bi bilo treba upoštevati ponudnike ključnih storitev, ki sodelujejo v mehanizmu operativnega odzivanja, saj lahko priskrbijo dragocene informacije o grožnjah in/ali nudijo podporo pri odkrivanju groženj in kriz velikega obsega ter odzivanju nanje.

V skupnem sporočilu je predlagano, da bi se kibernetski incidenti vključili v obstoječe mehanizme EU za krizno upravljanje. EESO sicer razume, da sta v primeru napada potrebna skupno odzivanje in solidarnost, vendar je treba bolje razumeti, kako bi ju lahko vzpostavili, saj se kibernetske grožnje običajno širijo med državami. Orodja, ki se uporabljajo za izredne dogodke na nacionalni ravni, bi lahko le v določeni meri uporabili tudi na lokalni ravni.

4.1.4   Razvoj usposobljenosti EU

Bistveno je, da EU vzpostavi skladen in dolgoročen okvir, ki zajema vse tri elemente vrednostne verige na področju kibernetske varnosti, če želi biti resnično konkurenčna na svetovni ravni in ustvariti trdno tehnološko osnovo. Spodbujanje sodelovanja med evropskimi regionalnimi ekosistemi je tako ključno za razvoj tovrstne vrednostne verige v Evropi. EESO pozdravlja predlog za vzpostavitev strokovne mreže za kibernetsko varnost.

Mreža bi lahko z oblikovanjem konkurenčne evropske industrijske baze in zmanjšanjem odvisnosti od strokovnega znanja o ključnih tehnoloških zmogljivostih, ki nastaja izven EU, podpirala evropsko digitalno suverenost, izvajala tehnične vaje, delavnice in celo osnovno usposabljanje o kibernetski higieni za strokovnjake in nestrokovnjake, na podlagi dela, opravljenega v sklopu pogodbenega javno-zasebnega partnerstva, pa tudi spodbujala razvoj mreže nacionalnih javno-zasebnih organizacij in s tem podpirala nastanek trga v Evropi. „Naprednejše oblike pogodbenega javno-zasebnega partnerstva bi morale omogočiti optimizacijo, prilagajanje oziroma širitev“ (delovni program za kibernetsko varnost, ki ga je pripravila trojka predsedstev Estonije, Bolgarije in Avstrije), podlaga za to pa bi bilo tristransko skupno podjetje (med Komisijo, državami članicami in podjetji).

Mreža bi morala imeti vzpostavljen dobro opredeljen sistem upravljanja, da bi lahko učinkovito delovala in dosegla predlagane cilje na evropski ravni.

Mrežo bi na evropski ravni podpiral Evropski raziskovalni in strokovni center za kibernetsko varnost (CRCC), s čimer bi se povezovali nacionalni strokovni centri iz celotne EU. CRCC bi podobno kot pri drugih skupnih podjetjih usklajeval in vodil raziskave, poleg tega pa omogočal učinkovit razvoj evropskega ekosistema za kibernetsko varnost, ki bi podpiral izvajanje in uporabo inovacij v EU.

4.2    Področje: odvračanje

4.2.1

Boj proti kibernetski kriminaliteti je med najpomembnejšimi prednostnimi nalogami držav članic in EU, zanj pa je potrebna močna politična zaveza. Dejavnosti odvračanja bi bilo treba izvajati v tesnem partnerstvu med javnim in zasebnim sektorjem, ob tem pa na nacionalni in evropski ravni vzpostaviti učinkovito izmenjavo informacij in strokovnega znanja. Razmislili bi lahko o morebitni širitvi delovanja Europola na področju kibernetske forenzike in spremljanja.

4.3    Področje: mednarodno sodelovanje

4.3.1

Vzpostavitev in ohranjanje zaupanja pri sodelovanju s tretjimi državami na podlagi kibernetske diplomacije in poslovnih partnerstev sta ključna za okrepitev sposobnosti Evrope, da preprečuje kibernetske napade velikega obsega, od njih odvrača in se nanje odziva. Evropa bi morala okrepiti sodelovanje z ZDA, Kitajsko, Izraelom, Indijo in Japonsko. S posodobitvijo nadzora EU nad izvozom bi bilo treba preprečiti kršitve človekovih pravic ali uporabo tehnologije zoper varnost EU, zagotoviti pa bi bilo tudi treba, da industrija EU ne bo na slabšem zaradi ponudbe iz tretjih držav. Razmisliti bi bilo treba o posebni strategiji za države pristopnice, da bi se lahko pripravile na čezmejno izmenjavo občutljivih podatkov, pri čemer bi lahko predvideli tudi možnost, da te države sodelujejo kot opazovalke v nekaterih dejavnostih držav članic Enise. Države bi bilo treba razvrstiti glede na njihovo pripravljenost za boj proti kibernetski kriminaliteti, razmislili pa bi lahko tudi o črnem seznamu.

4.3.2

EESO pozdravlja dejstvo, da se v predvideni drugi fazi razvoja morebitnega prihodnjega strokovnega centra EU za kibernetsko varnost uvaja kibernetska obramba. Zato bi lahko Evropa v vmesnem času razmislila o razvoju kompetenc z dvojno rabo in v ta namen med drugim izkoristila evropski obrambni sklad in ustanovitev platforme za usposabljanje in izobraževanje za kibernetsko obrambo, do katere naj bi prišlo v letu 2018. EESO meni, da je treba razviti sodelovanje med EU in Natom, saj imata skupen pogled na potencial in grožnje. Evropska industrija bi morala ravno tako pozorno spremljati potek sodelovanja med EU in Natom na področju okrepljene interoperabilnosti standardov kibernetske varnosti ter druge oblike sodelovanja, povezane z obravnavo kibernetske obrambe v EU.

4.4    Certifikacijski okvir EU

4.4.1

EESO meni, da se mora Evropa lotiti izziva razdrobljenosti kibernetske varnosti, tako da bo enotno razlagala pravila, kar vključuje njihovo vzajemno priznavanje med državami članicami pod enotnim okriljem. Tako bi lažje zaščitili enotni digitalni trg. Skupna osnova za to bi lahko bil certifikacijski okvir (pri čemer bi se na višjih ravneh po potrebi uporabljali posebni predpisi), s katerim bi med vertikalnimi sektorji poskrbeli za sinergije in zmanjšali sedanjo razdrobljenost.

4.4.2

EESO pozdravlja dejstvo, da so bili za različne sektorje na podlagi ustreznih zahtev in v sodelovanju z glavnimi deležniki vzpostavljeni certifikacijski okvir in certifikacijske sheme EU za kibernetsko varnost. Vendar so čas do uvedbe na trg in stroški certificiranja poleg kakovosti in varnosti ključni elementi, ki se jim je treba posvetiti. Certifikacijske sheme bodo vzpostavljene z namenom, da se okrepi varnost glede na sedanje potrebe in poznavanje groženj, vendar je treba tudi upoštevati, da morajo biti te sheme prožne in zmožne nadaljnjega razvoja, če jih bo v prihodnje treba posodobiti. Za različne sektorje morajo biti zaradi značilnosti njihovega delovanja na voljo različni pristopi. EESO zato meni, da je treba v postopek vključiti sektorske agencije in organe EU (Evropska agencija za varnost v letalstvu, Evropski bančni organ, Agencija Evropske unije za železnice, Evropska agencija za zdravila itd.) in v nekaterih primerih nanje prenesti pripravo shem za kibernetsko varnost, vendar v soglasju z Eniso, da ne bi prihajalo do podvajanja.

4.4.3

Za EESO je pomembno, da certifikacijski okvir temelji na skupno opredeljenih evropskih standardih kibernetske varnosti in IKT, ki so v čim večji meri tudi mednarodno priznani. Glede na časovni okvir in nacionalne pristojnosti bi bilo treba minimalne evropske standarde za varnost IT sprejeti v sodelovanju z Evropskim odborom za standardizacijo, Evropskim odborom za elektrotehnično standardizacijo in Evropskim inštitutom za telekomunikacijske standarde. Poklicne standarde bi bilo treba obravnavati z naklonjenostjo, vendar ne bi smeli biti pravno zavezujoči ali omejevati konkurence.

4.4.4

Odgovornost je treba brez dvoma povezovati z različnimi stopnjami zagotovil, odvisnimi od učinka groženj. Dialog z zavarovalnicami bi lahko pripomogel k sprejetju učinkovitih zahtev glede kibernetske varnosti za posamezen sektor. EESO meni, da bi bilo treba podjetja, ki potrebujejo visoko stopnjo zagotovil, podpirati in spodbujati, zlasti kadar gre za življenjsko pomembne naprave in sisteme.

4.4.5

EESO poziva Komisijo, naj glede na čas, ki je pretekel od sprejetja Direktive 85/374/EGS (9), in glede na sedanji tehnološki razvoj razmisli, ali nemara ne bi bilo primerno nekatere scenarije, navedene v obravnavanem predlogu uredbe, vključiti v področje uporabe Direktive, da bi bili izdelki varnejši in bolj zaščiteni.

4.4.6

EESO meni, da bi morali predvideno evropsko certifikacijsko skupino za kibernetsko varnost, ki bi jo podpirala ENISA, sestavljati nacionalni organi za nadzor nad certificiranjem, deležniki iz zasebnega sektorja in subjekti z različnih področij uporabe. S tem bi omogočili razvoj celovitih certifikacijskih shem. Poleg tega bi bilo treba razmisliti, da bi se z imenovanjem strokovnjakov vzpostavilo sodelovanje med to skupino in združenji v EU/EGP, ki zastopajo posamezne sektorje (npr. pogodbeno javno-zasebno partnerstvo, bančništvo, promet, energija, federacije itd.). Skupina bi morala imeti zmožnost proučevati evropske dosežke na področju certificiranja (predvsem na podlagi sporazuma o vzajemnem priznavanju, ki ga je pripravila skupina visokih uradnikov za varnost informacijskih sistemov (SOG-IS), ter nacionalnih in lastniških shem) in si prizadevati za ohranitev evropskih konkurenčnih prednosti.

4.4.7

EESO predlaga, da se tej skupini deležnikov zaupa odgovornost za pripravo certifikacijskih shem skupaj z Evropsko komisijo. S konsenzom med javnimi in zasebnimi deležniki (uporabniki in ponudniki) bi bilo treba opredeliti tudi zahteve za posamezne sektorje.

4.4.8

Skupina bi morala poleg tega redno pregledovati certifikacijske sheme ob upoštevanju zahtev posameznih sektorjev ter jih po potrebi prilagajati.

4.4.9

EESO se zavzema za to, da se z uvedbo evropske certifikacijske sheme postopoma opustijo nacionalne sheme, kakor je predlagano v členu 49 Uredbe. Enotni trg ne more delovati ob različnih in nasprotujočih si nacionalnih pravilih. EESO zato predlaga, da se vse nacionalne sheme evidentirajo.

4.4.10

EESO predlaga, da Komisija začne izvajati ukrepe za promocijo certificiranja kibernetske varnosti in certifikatov v EU ter podpre njihovo priznavanje v vseh mednarodnotrgovinskih sporazumih.

4.5    ENISA

4.5.1

EESO meni, da bo novi stalni mandat Enise, kakor ga predlaga Komisija, občutno prispeval k večji odpornosti evropskih sistemov. Vendar začasni proračun in viri, ki so v ta namen dodeljeni prenovljeni Enisi, morda ne bodo zadostovali, da bi agencija lahko uresničila svoj mandat.

4.5.2

EESO spodbuja vse države članice, da ustanovijo razpoznaven in podoben ustreznik Enisi, saj večina tega še ni storila. Spodbujati bi bilo treba oblikovanje strukturiranega programa za napotitev nacionalnih strokovnjakov v Eniso, s čimer bi podprli izmenjavo najboljših praks in okrepili zaupanje. EESO ravno tako predlaga, naj Komisija poskrbi za zbiranje in izmenjavo obstoječih dobrih praks in učinkovitih ukrepov v državah članicah.

4.5.3

EESO tudi meni, da bi morala ENISA pri krepitvi zmogljivosti dati prednost ukrepom v podporo e-upravljanja (10). Evropska oziroma svetovna digitalna identiteta oseb, organizacij, podjetij in stvari je ključnega pomena, zato bi morali biti preprečevanje kraje identitete in spletnih prevar ter boj proti njim kakor tudi boj proti kraji industrijske intelektualne lastnine uvrščeni med prednostne naloge.

4.5.4

ENISA bi morala tudi redno poročati o kibernetski pripravljenosti držav članic in se pri tem osredotočati na sektorje iz Priloge II direktive o varnosti omrežij in informacijskih sistemov. Na vsakoletni kibernetski vaji bi bilo treba oceniti pripravljenost držav članic in učinkovitost evropskega mehanizma za odzivanje na kibernetske krize ter na tej podlagi pripraviti priporočila.

4.5.5

EESO izraža zaskrbljenost, da so viri za operativno sodelovanje, vključno z mrežo skupin CSIRT, preveč omejeni.

4.5.6

V zvezi z nalogami, povezanimi s trgom, EESO meni, da bi okrepitev sodelovanja z državami članicami in oblikovanje formalne mreže agencij za kibernetsko varnost pripomogla k boljšemu sodelovanju med deležniki (11). Čas do uvedbe na trg je zelo kratek, poleg tega je za podjetja iz EU bistveno, da so lahko konkurenčna na tem področju, zato mora biti ENISA sposobna, da se na to primerno odzove. EESO meni, da bi lahko ENISA podobno kot druge agencije EU v prihodnje uvedla sistem pristojbin in dajatev. EESO je zaskrbljen, da utegne boj za pristojnost med EU in nacionalnimi agencijami privesti do zamud pri ustreznem oblikovanju ureditvenega okvira EU in škodovati enotnemu trgu EU, kar se je že zgodilo na drugih področjih.

4.5.7

EESO ugotavlja, da so naloge v zvezi z raziskavami in inovacijami ter mednarodnim sodelovanjem trenutno minimalne.

4.5.8

EESO meni, da bi morala biti kibernetska varnost stalna tema rednih skupnih sej agencij za pravosodje in notranje zadeve ter da bi morala ENISA in Europol redno sodelovati.

4.5.9

Kibernetski svet je zelo inovativen, zato morajo biti standardi dobro premišljeni, da ne bi zavrli inovacij, ki potrebujejo dinamičen okvir. V čim večji meri je treba zagotoviti tudi združljivost za naprej in nazaj, da bi zaščitili naložbe državljanov in podjetij.

4.5.10

EESO zaradi pomena nacionalnih organov za nadzor nad certificiranjem predlaga, da se s to uredbo že zdaj vzpostavi formalna mreža organov, pooblaščenih za reševanje čezmejnih vprašanj ob podpori Enise. Ta mreža bi se lahko pozneje preoblikovala v enotno agencijo.

4.5.11

Zaupanje je bistvenega pomena, vendar ENISA ne more izdajati odločb ali revizijskih poročil. EESO meni, da bi morala agencija z revizijami in inšpekcijskimi pregledi, ki bi jih izvajala v imenu Komisije, spremljati učinkovitost delovanja in odločanja nacionalnih organov za nadzor nad certificiranjem.

4.5.12

V upravni odbor Enise bi morali biti vključeni tudi predstavniki industrije in potrošniških organizacij, vendar v vlogi opazovalcev.

4.6    Industrija, MSP, financiranje/naložbe in inovativni poslovni modeli

4.6.1   Industrija in naložbe

Za povečanje svetovne konkurenčnosti podjetij iz EU, ki delujejo na področju IKT, je treba sprejeti ukrepe, katerih cilj je bolje podpirati rast in konkurenčnost sektorja IKT, vključno z MSP.

Evropa bi morala povečati naložbe, s katerimi bi ob trdnem javno-zasebnem sodelovanju različne sklade EU, sklade držav članic in naložbe zasebnega sektorja približali strateškim ciljem. Obseg naložb v ključna področja bi bilo treba povečati in podpreti z ustanovitvijo sklada EU za inovacije ter raziskave in razvoj na področju kibernetske varnosti v okviru sedanjega in prihodnjega okvirnega programa za raziskave. Poleg tega bi morala Evropa ustanoviti sklad za uvajanje kibernetske varnosti, kar bi odprlo nove možnosti v sedanjem in prihodnjem Instrumentu za povezovanje Evrope in v prihodnjem Evropskem skladu za strateške naložbe 3.0.

Za države članice bi bilo treba oblikovati spodbude za nakup evropskih rešitev, kadar bi bilo to mogoče, in izbiro evropskih dobaviteljev, če ti obstajajo, zlasti v primeru občutljivih aplikacij. Evropa bi morala spodbujati rast vodilnih evropskih kibernetskih podjetij, ki lahko konkurirajo na svetovnem trgu.

4.6.2   MSP

Zaradi razdrobljenosti trga je potrebnih več informacij o povpraševanju strank, da bi se lahko bolje odzvali na potrebe trga. MSP in zagonska podjetja ne morejo hitro rasti, če povpraševanje ni strukturirano. Na to bi ugodno vplivala ustanovitev evropskega središča za kibernetsko varnost, namenjenega MSP.

Tehnologija na področju kibernetske varnosti se hitro spreminja in MSP lahko zaradi prilagodljivosti ponudijo napredne rešitve, ki jih potrebujejo za ohranjanje konkurenčnosti. EU za razliko od tretjih držav še vedno išče ustrezen poslovni model za MSP.

Razvili bi lahko posebne sheme za zagonska podjetja in MSP, s katerimi bi krili del stroškov certificiranja in pomagali rešiti velike težave teh podjetij pri pridobivanju finančnih sredstev za tehnološki in komercialni razvoj.

4.7    Človeški dejavnik: izobraževanje in zaščita

4.7.1

EESO ugotavlja, da predlog Komisije ne namenja dovolj pozornosti ljudem kot gonilu digitalnih procesov; ljudje so bodisi uporabniki teh procesov bodisi vzrok za velike kibernetske incidente.

4.7.2

Vzpostaviti je treba močno bazo kibernetskega znanja in spretnosti ter izboljšati kibernetsko higieno in ozaveščenost posameznikov in podjetij. Pri tem je treba imeti v mislih namenske naložbe, čas za usposobitev inštruktorjev na visoki ravni in učinkovite kampanje ozaveščanja. V uresničevanje teh treh skupin ukrepov se bodo morali kolektivno vključiti nacionalni in regionalni organi (pristojni za oblikovanje učinkovitih izobraževalnih programov in naložbe vanje) ter podjetja in MSP.

4.7.3

Morda bi lahko razmislili o oblikovanju učnega načrta za srednje šole in strokovnjake, ki bi bil certificiran na ravni EU, pri čemer bi aktivno sodelovala ENISA skupaj s primerljivimi nacionalnimi organi. Pri pripravi izobraževalnih programov je treba upoštevati enakost spolov, da se izboljša stopnja zaposlenosti na področju kibernetske varnosti.

4.7.4

EESO meni, da mora certificiranje vključevati ustrezen sistem označevanja tako za strojno kot programsko opremo, kot velja za številne druge izdelke (npr. izdelke s področja energetike). Ta instrument bo imel trojno korist: zmanjšali se bodo stroški podjetij, odpravljena bo sedanja razdrobljenost trga, ki jo povzročajo različni certifikacijski sistemi na nacionalnih ravneh, potrošniki pa bodo bolje poznali kakovost in lastnosti kupljenih izdelkov. Pri tem je pomembno, da se za izdelke iz tretjih držav uporabljajo isti mehanizmi certificiranja in označevanja. EESO tudi meni, da bi lahko bila uvedba posebnega logotipa dober način za takojšnje informiranje potrošnikov in uporabnikov o zanesljivosti kupljenih izdelkov ali prodajnih mest, pa tudi mest, s katerih se prenašajo občutljivi podatki.

4.7.5

ENISA bi morala usmerjati pomembno kampanjo obveščanja in ozaveščanja na več ravneh, da bi izboljšala znanje o varnem kibernetskem ravnanju in okrepila zaupanje uporabnikov v internet. Zato morajo biti v proces vključena podjetniška združenja, združenja potrošnikov in drugi organi s področja digitalnih storitev.

4.7.6

Poleg navedenega v uredbi o kibernetski varnosti EESO meni, da je treba nujno čim prej začeti izvajati obsežen vseevropski program za digitalno izobraževanje in usposabljanje, da bi lahko vsakdo pridobil ustrezna orodja za lažji prehod. To je predlagal tudi že v mnenju INT/828. Kljub temu, da se zaveda posebnih nacionalnih pristojnosti na tem področju, upa, da bo ta program uveden v šolah, s čimer bi se povečalo znanje učiteljev, prilagodili učni načrti in poučevanje digitalnih tehnologij (vključno z e-učenjem) ter zagotovilo, da bodo vsi učenci deležni kakovostnega usposabljanja. Program bo seveda povezan z vseživljenjskim učenjem, da bo mogoče posodobiti ali nadgraditi znanja in spretnosti vseh zaposlenih (12).

5.   Posebne ugotovitve

5.1    Porajajoče se tehnologije in rešitve: primer interneta stvari

Število povezanih naprav se nenehno povečuje in bo zaradi digitalizacije sestavnih delov, sistemov in rešitev ter vse večje povezljivosti po pričakovanjih doseglo večkratnik števila ljudi na Zemlji. S tem se porajajo nove priložnosti za storilce kibernetskih kaznivih dejanj, zlasti ker naprave znotraj interneta stvari pogosto niso tako dobro zaščitene kot običajne naprave.

Evropski varnostni standardi v različnih vertikalnih sektorjih, ki uporabljajo naprave znotraj interneta stvari, lahko zmanjšajo razvojni napor, čas in proračunska sredstva za vse panožne akterje v vrednostni verigi povezanih izdelkov.

Za „običajne“ naprave, ki jih v internetu uporabljajo ljudje, bo najverjetneje potrebna neke vrste minimalna stopnja varnosti, ki se bo zagotavljala z upravljanjem identitete in dostopa (IDAM), nameščanjem popravkov in upravljanjem naprav. Certificiranje je ključno za zagotavljanje višje varnosti, zato bi moralo biti v novem certifikacijskem pristopu EU varnosti interneta stvari namenjenega več poudarka.

V Bruslju, 14. februarja 2018

Predsednik Evropskega ekonomsko-socialnega odbora

Georges DASSIS


(1)  Enotni digitalni trg: vmesni pregled.

(2)  JOIN(2017) 450 final.

(3)  Delovni dokument služb Komisije – Ocena učinka – Spremni dokument k predlogu uredbe Evropskega parlamenta in Sveta, del 1/6, str. 21, 13. 9. 2017, Bruselj.

(4)  Posebna raziskava Eurobarometra 464a – anketni val EB87.4 – Odnos Evropejcev do kibernetske varnosti, september 2017.

(5)  Sklepi Evropskega sveta z dne 19. oktobra 2017.

(6)  Resolucija EP z dne 17. maja 2017, A8–0176/2017.

(7)  Enotni digitalni trg: vmesni pregled. UL C 75, 10.3.2017, str. 124; UL C 246, 28.7.2017, str. 8; UL C 345, 13.10.2017, str. 52; UL C 288, 31.8.2017, str. 62; UL C 271, 19.9.2013, str. 133.

(8)  Sporočilo za javnost EESO št. 31/2017: Razprava civilne družbe in prihodnjega estonskega predsedstva o e-upravi in kibernetski varnosti: https://www.eesc.europa.eu/en/news-media/press-releases/civil-society-debates-e-government-and-cybersecurity-incomingestonian-presidency.

(9)  UL L 210, 7.8.1985, str. 29.

(10)  Enotni digitalni trg: vmesni pregled.

(11)  UL C 75, 10.3.2017, str. 124.

(12)  Enotni digitalni trg: vmesni pregled.


Top