TEN/730
Kibernetska varnost in odpornost kritičnih subjektov
MNENJE
Evropski ekonomsko-socialni odbor
Predlog direktive Evropskega parlamenta in Sveta o ukrepih za visoko skupno raven kibernetske varnosti v Uniji in razveljavitvi Direktive (EU) 2016/1148 ter predlog direktive Evropskega parlamenta in Sveta o odpornosti kritičnih subjektov
[COM(2020) 823 final – 2020/0359(COD), COM(2020) 829 final – 2020/0365(COD)]
Poročevalec: Maurizio MENSI
|
Zaprosilo
|
Evropski parlament, 21. 1. 2021 – 11. 2. 2021
Svet, 26. 1. 2021 – 19. 2. 2021
|
|
Pravna podlaga
|
člen 114 Pogodbe o delovanju Evropske unije
|
|
|
|
|
Pristojnost
|
strokovna skupina za promet, energijo, infrastrukturo in informacijsko družbo
|
|
Datum sprejetja mnenja strokovne skupine
|
14. 4. 2021
|
|
Datum sprejetja mnenja na plenarnem zasedanju
|
27. 4. 2021
|
|
Plenarno zasedanje št.
|
560
|
|
Rezultat glasovanja
(za/proti/vzdržani)
|
243/0/5
|
1.Sklepi in priporočila
1.1Evropski ekonomsko-socialni odbor (EESO) pozdravlja prizadevanja Komisije za povečanje odpornosti javnih in zasebnih subjektov na grožnje, ki izhajajo iz incidentov ter kibernetskih in fizičnih napadov, ter se strinja, da je treba na vključujoč način okrepiti industrijo in inovacijske zmogljivosti EU v skladu s strategijo, ki temelji na štirih stebrih: varstvu podatkov, temeljnih pravicah, varnosti in kibernetski varnosti.
1.2EESO hkrati poudarja, da bi bilo zaradi pomembnosti in občutljivosti ciljev obeh predlogov bolje, če bi bila kot instrument izbrana uredba namesto direktive. Ni namreč jasno, zakaj Komisija te možnosti ni niti obravnavala.
1.3EESO ugotavlja, da se nekatere določbe predlaganih direktiv prekrivajo, saj sta predloga tesno povezana in se dopolnjujeta, pri čemer so v enem obravnavani zlasti vidiki kibernetske varnosti, v drugem pa fizična varnost. Zato poziva k proučitvi možnosti, da se zaradi poenostavitve in funkcionalne koncentracije oba predloga združita v eno besedilo.
1.4EESO se strinja s predlaganim pristopom, da bi presegli razlikovanje med izvajalci bistvenih storitev in ponudniki digitalnih storitev iz izvorne direktive o varnosti omrežij in informacijskih sistemov, poudarja pa, da bi bilo mogoče natančneje in jasneje opredeliti subjekte, ki sodijo v področje uporabe in morajo spoštovati direktivo. Zlasti bi bilo treba bolj natančno opredeliti merila za razlikovanje med „bistvenimi“ in „pomembnimi“ subjekti ter zahteve, ki jih morajo izpolnjevati. Tako bi preprečili, da bi neusklajeni pristopi na nacionalni ravni ovirali konkurenco ter prosti pretok blaga in storitev, s čimer bi lahko škodili podjetjem in ogrozili trgovino.
1.5Po mnenju EESO je pomembno, da Komisija glede na pričakovano objektivno kompleksnost sistema, opisanega v predlogih, natančno pojasni področje uporabe obeh regulativnih besedil, zlasti kadar različne določbe urejajo isto zadevo ali isti subjekt.
1.6EESO poudarja, da je jasnost vsake pravne določbe nujen cilj, skupaj s ciljem zmanjšanja upravnega bremena in razdrobljenosti, tako da se poenostavijo postopki, varnostne zahteve in obveznosti glede priglasitve incidentov. Tudi zato bi bilo v korist državljanov in podjetij morda primerno, da se predlagani direktivi združita v eno besedilo ter tako preprečita včasih zapletena razlaga in uporaba.
1.7EESO priznava ključno vlogo upravnih organov bistvenih in pomembnih subjektov, ki je poudarjena v predlogu direktive. Člani teh organov se morajo redno udeleževati posebnih usposabljanj, da pridobijo dovolj znanja in spretnosti za razumevanje in obvladovanje različnih kibernetskih tveganj ter oceno njihovega učinka. V zvezi s tem je treba poudariti, da bi morale biti v predlogu navedene minimalne vsebine, ki naj jih ta znanja in spretnosti zajemajo, s čimer bi na evropski ravni oblikovali usmeritve o tem, katere spretnosti, pridobljene v okviru izobraževanja, se štejejo za zadostne, in se izognili razlikam v vsebini usposabljanj med državami.
1.8EESO se strinja, da ima ENISA pomembno vlogo v splošni institucionalni in operativni strukturi za kibernetsko varnost na evropski ravni. V zvezi s tem meni, da bi morala agencija poleg dvoletnega poročila o stanju kibernetske varnosti v Uniji redno objavljati tudi ažurne spletne informacije o incidentih na področju računalniške varnosti in obvestila po sektorjih. To bi bilo dodatno in koristno informativno orodje, s katerim bi lahko subjekti iz direktive VOIS 2 bolje zaščitili svoja podjetja.
1.9EESO se strinja s predlogom, da bi agenciji ENISA zaupali vzpostavitev evropskega registra šibkih točk, in meni, da bi moralo biti obveščanje glede šibkih točk in pomembnejših incidentov obvezno in ne prostovoljno, tako da bi bilo koristno tudi za naročnike v postopkih javnega naročanja na evropski ravni, vključno v zvezi z izdelki in tehnologijami 5G.
2.Splošne ugotovitve
2.116. decembra 2020 je bila predstavljena nova strategija EU za kibernetsko varnost skupaj z dvema zakonodajnima predlogoma: revidirano Direktivo (EU) 2016/1148 o varnosti omrežij in informacijskih sistemov (VOIS 2) in novo direktivo o odpornosti kritičnih subjektov. Namen strategije, ki je ključni element sporočila Oblikovanje digitalne prihodnosti Evrope, načrta okrevanja za Evropo in strategije EU za varnostno unijo, je povečati kolektivno odpornost Evrope na kibernetske grožnje in zagotoviti, da bodo lahko vsi državljani in vsa podjetja koristili zanesljive in varne digitalne storitve in orodja.
2.2Obstoječe ukrepe na ravni EU za zaščito kritičnih storitev in kritične infrastrukture pred kibernetskimi in fizičnimi tveganji je treba posodobiti. Tveganja, povezana z računalniško varnostjo, so s krepitvijo digitalizacije in medsebojne povezanosti vse večja. Zato je treba veljavni regulativni okvir pregledati v skladu s strategijo EU za varnostno unijo, da se presežeta razlikovanje med spletnim in nespletnim okoljem ter pristop, ki temelji na strogih razmejitvah.
2.3Predlagani direktivi zajemata široko paleto sektorjev ter obravnavata sedanja in prihodnja, spletna ter nespletna tveganja, ki izvirajo iz kibernetskih in kriminalnih napadov, naravnih nesreč in drugih incidentov, pri čemer se upoštevajo tudi izkušnje, pridobljene v sedanji epidemiji, v kateri se je pokazalo, kako so družbe in gospodarstva, ki so vedno bolj odvisni od digitalnih rešitev, ranljivi in izpostavljeni vedno večjim in hitro spreminjajočim se kibernetskim grožnjam, kar zlasti velja za skupine, ki jim grozi socialna izključenost, kot so invalidi. EU je zato predlagala ukrep za zaščito globalnega in odprtega kibernetskega prostora, ki pa temelji na trdnem jamstvu varnosti, tehnološke suverenosti in vodstva, da se bodo na podlagi večjega sodelovanja razvile operativne zmogljivosti za preprečevanje in odvračanje morebitnih groženj ter odziv nanje, ob upoštevanju pristojnosti držav članic na področju nacionalne varnosti.
3.Predlog revizije direktive o varnosti omrežij in informacijskih sistemov
3.1Cilj direktive o varnosti omrežij in informacijskih sistemov (Direktiva (EU) 2016/1148), ki je prvi horizontalni regulativni instrument EU na področju kibernetske varnosti, je bil izboljšati odpornost sistemov omrežij in informacijskih sistemov v Uniji proti kibernetskim tveganjem. Ne glede na dobre rezultate so se v direktivi o varnosti omrežij in informacijskih sistemov pokazale nekatere omejitve, pri čemer so se z digitalno preobrazbo družbe, ki jo je okrepila kriza zaradi COVID-19, grožnje razširile in izpostavile šibke točke naših družb, ki so vse bolj medsebojno odvisne zaradi pomembnih in nepričakovanih tveganj. Pojavili so se novi izzivi, ki zahtevajo prilagojene in inovativne odzive. Obsežna posvetovanja z zainteresiranimi stranmi so razkrila nezadostno raven kibernetske varnosti v evropskih podjetjih, neskladno uporabo pravil v različnih sektorjih v državah in nerazumevanje poglavitnih groženj in izzivov.
3.2Predlog VOIS 2 je tesno povezan z drugima dvema pobudama: predlogom uredbe o digitalni operativni odpornosti za finančni sektor in predlogom direktive o kritičnih subjektih, s katerim se področje uporabe Direktive Sveta (ES) št. 2008/114, ki se uporablja za energijo in prevoz, razširja na nove sektorje, pri čemer je poudarek na primer na zdravstvenem sektorju in subjektih, ki izvajajo dejavnost na področju raziskav in razvoja zdravil. V direktivi o odpornosti kritičnih subjektov, ki se v zvezi z bistvenimi subjekti uporablja za iste sektorje kot VOIS 2 (Priloga I k VOIS 2), je poudarek z zaščite fizičnih sredstev premeščen na odpornost subjektov, ki jih upravljajo, namesto evropske kritične infrastrukture s čezmejno razsežnostjo pa se opredeljuje kritična infrastruktura na nacionalni ravni. Poleg tega je direktiva VOIS 2 skladna z drugimi veljavnimi regulativnimi instrumenti, kot so Evropski zakonik o elektronskih komunikacijah, splošna uredba o varstvu podatkov in uredba eIDAS o elektronski identifikaciji in storitvah zaupanja, ter jih dopolnjuje.
3.3Namen predlagane direktive VOIS 2 je v skladu s programom ustreznosti in uspešnosti predpisov (REFIT) zmanjšati regulativno breme pristojnih organov ter stroške izpolnjevanja obveznosti javnih in zasebnih subjektov ter posodobiti referenčni pravni okvir. Poleg tega so okrepljene varnostne zahteve za podjetja, obravnava se vprašanje varnosti dobavnih verig, racionalizirajo se obveznosti poročanja, uvedeni so strožji nadzorni ukrepi za nacionalne organe in poskuša se uskladiti ureditev kazni v državah članicah.
3.4Direktiva VOIS 2 prispeva tudi k izmenjavi informacij in sodelovanju na področju upravljanja kibernetskih kriz na nacionalni in evropski ravni ter odpravlja razlikovanje med izvajalci bistvenih storitev in ponudniki digitalnih storitev, ki je predvideno v direktivi o varnosti omrežij in informacijskih sistemov. Na področje uporabe predloga so vključena srednje velika podjetja iz sektorjev, ki so opredeljeni na podlagi kritičnosti za gospodarstvo in družbo. Ti javni ali zasebni subjekti so razdeljeni na bistvene in pomembne in zanje veljata različni ureditvi nadzora. Državam je sicer prepuščena možnost, da upoštevajo tudi manjše subjekte z višjo stopnjo tveganja.
3.5Predvideno je novo omrežje centrov za varnostne operacije na ravni EU, ki jih vodi umetna inteligenca in bodo delovali kot pravi ščit kibernetske varnosti, ki bo lahko znake kibernetskega napada zaznal dovolj zgodaj, da bo možno ukrepati, preden nastane škoda. Pomen umetne inteligence za kibernetsko varnost je poudarjen tudi v poročilu o umetni inteligenci, ki ga je pripravila ameriška komisija za nacionalno varnost na področju umetne inteligence (NSCAI) in je bilo predstavljeno 1. marca 2021. Zato bodo lahko države članice in upravljavci kritične infrastrukture neposredno dostopali do podatkov o grožnjah v okviru evropskega varnostnega omrežja v obliki obveščevalnih podatkov o grožnjah.
3.6Komisija poleg tega obravnava problem varnosti dobavnih verig in odnosov z dobavitelji: države članice lahko v sodelovanju s Komisijo in agencijo ENISA izvedejo usklajene ocene tveganj v zvezi s kritičnimi dobavnimi verigami na podlagi pristopa iz priporočila z dne 26. marca 2019, ki je bil uspešno uporabljen za omrežja 5G.
3.7Predlog vključuje okrepitev in racionalizacijo obveznosti podjetij na področju varnosti in poročanja, tako da uvaja skupni pristop k obvladovanju tveganj z minimalnim seznamom osnovnih varnostnih elementov, ki jih je treba uporabiti. Predvidene so natančnejše določbe o postopku poročanja o incidentih, vsebini poročil in rokih. V zvezi s tem je v predlogu opisan dvostopenjski pristop: podjetja imajo na voljo 24 ur, da predložijo prvi osnutek poročila, v roku enega meseca pa podrobno končno poročilo.
3.8Predvideno je, da države članice določijo nacionalne organe, odgovorne za obvladovanje kriz, s posebnimi načrti in novim omrežjem za operativno sodelovanje, evropsko organizacijsko mrežo za povezovanje v kibernetski krizi (EU-CyCLONe). Okrepljena je vloga skupine za sodelovanje pri opredelitvi strateških odločitev in vzpostavi se register šibkih točk, ugotovljenih v EU, ki ga upravlja agencija ENISA; okrepljena sta tudi izmenjava informacij in sodelovanje med organi držav članic, vključno z operativnim sodelovanjem pri obvladovanju kibernetskih kriz.
3.9Uvedeni so strožji nadzorni ukrepi za nacionalne organe, strožje zahteve za uporabo in cilj, da se uskladi ureditev kazni v vseh državah članicah.
3.10V zvezi s tem je v predlogu direktive določen seznam upravnih glob v primeru kršitve obveznosti glede obvladovanja tveganj na področju računalniške varnosti in komuniciranja. Predvidene so določbe o odgovornosti fizičnih oseb na predstavniških ali vodstvenih položajih v podjetjih, ki spadajo na področje uporabe direktive. S predlogom se tako izboljšuje način, kako EU preprečuje in obvladuje obsežne incidente in krize računalniške varnosti in se nanje odziva, tako da so predvideni jasna odgovornost, ustrezno načrtovanje in okrepljeno sodelovanje na ravni EU.
3.11Državam članicam je omogočeno, da skupaj nadzirajo izvajanje predpisov EU in si medsebojno pomagajo v primeru čezmejnih težav, vzpostavijo bolj strukturiran dialog z zasebnim sektorjem, usklajujejo razkrivanje šibkih točk programske in strojne opreme, ki se prodaja na notranjem trgu, ter usklajeno ocenijo varnostna tveganja in grožnje, ki so povezane z novimi tehnologijami, kot se je zgodilo v primeru 5G.
4.Predlog direktive o odpornosti kritičnih subjektov
4.1EU je leta 2006 uvedla evropski program za zaščito kritične infrastrukture, leta 2008 pa je sprejela direktivo o evropski kritični infrastrukturi, ki se uporablja v energetskem in prevoznem sektorju. Tako v strategiji EU za varnostno unijo 2020–2025, ki jo je sprejela Evropska komisija, kot v nedavno sprejeti agendi EU za boj proti terorizmu je poudarjen pomen zagotavljanja odpornosti kritične infrastrukture na fizična in digitalna tveganja. Tako ocena izvajanja direktive o evropski kritični infrastrukturi iz leta 2019 kot ocena učinka obravnavanega predloga pa sta pokazali, da veljavni evropski in nacionalni ukrepi izvajalcem ne omogočajo ustreznega spoprijemanja s sedanjimi tveganji. Zato Svet in Evropski parlament pozivata Komisijo, naj pregleda sedanji pristop k zaščiti kritične infrastrukture.
4.2V strategiji EU za varnostno unijo, ki jo je Komisija sprejela 24. julija 2020, sta bili priznani vse večja medsebojna povezanost in soodvisnost fizične in digitalne infrastrukture in poudarjena je bila potreba po zagotovitvi večje skladnosti in enotnosti med direktivo o evropski kritični infrastrukturi ter direktivo o varnosti omrežij in informacijskih sistemov. V tem smislu predlog direktive o odpornosti kritičnih subjektov, ki ima glede bistvenih subjektov isto objektivno referenčno področje kot VOIS 2, poleg prvotnega področja uporabe Direktive (ES) št. 114/2008, ki je omejeno na energijo in prevoz, vključuje še bančništvo, infrastrukturo finančnega trga, zdravje, pitno vodo, odpadno vodo, digitalno infrastrukturo, javno upravo in vesolje, poleg tega pa določa jasno odgovornost, ustrezno načrtovanje in okrepljeno sodelovanje. V zvezi s tem je treba ustvariti referenčni okvir za vsa tveganja in podpreti države članice pri prizadevanjih za zagotovitev, da bodo kritični subjekti lahko preprečili posledice incidentov, se jim uprli in jih prenesli, ne glede na to, ali tveganja izvirajo iz naravnih nevarnosti, incidentov, terorizma, notranjih groženj ali izrednih javnozdravstvenih razmer, ki smo jim priča sedaj.
4.3Vsaka država članica mora sprejeti nacionalno strategijo za zagotavljanje odpornosti kritičnih subjektov, opravljati redne ocene tveganja in na tej podlagi opredeliti kritične subjekte. Kritični subjekti pa morajo opravljati ocene tveganja, sprejemati ustrezne tehnične in organizacijske ukrepe za povečanje odpornosti in nacionalnim organom poročati o incidentih. Subjekti, ki zagotavljajo storitve vsaj tretjini držav članic ali vsaj v tretjini držav članic, bodo pod posebnim nadzorom, ki zajema posebne misije pomoči, ki jih zanje organizira Komisija.
4.4V predlagani direktivi o odpornosti kritičnih subjektov so predvidene različne oblike pomoči državam članicam in kritičnim subjektom, pregled tveganj na ravni EU, dobre prakse in metodologije, dejavnosti usposabljanja in vaje za preverjanje odpornosti kritičnih subjektov. S sistemom čezmejnega sodelovanja so predvideni tudi ad hoc skupina strokovnjakov, skupina za odpornost kritičnih subjektov ter forum za strateško sodelovanje in izmenjavo informacij med državami članicami.
5.Predlagane spremembe obravnavanega zakonodajnega predloga
5.1EESO pozdravlja prizadevanja Komisije za povečanje odpornosti javnih in zasebnih subjektov na grožnje, ki izhajajo iz kibernetskih in fizičnih napadov. To je zlasti pomembno in relevantno glede na hitro digitalno preobrazbo, ki jo je povzročil pojav COVID-19. Poleg tega se strinja z navedbami iz sporočila Oblikovanje digitalne prihodnosti Evrope, da mora Evropa izkoristiti prednosti digitalne dobe ter na vključujoč način okrepiti svojo industrijo, predvsem mala in srednja podjetja, in inovacijske zmogljivosti v skladu s strategijo, ki temelji na štirih stebrih, in sicer varstvu podatkov, temeljnih pravicah, varnosti in kibernetski varnosti, ki so ključni predpogoji za družbo, osnovano na moči podatkov.
5.2Vendar glede na rezultate ocene učinka in posvetovanja pred predlagano direktivo VOIS 2 ter glede na večkrat poudarjeni cilj, da se prepreči razdrobljenost pravil, sprejetih na nacionalni ravni, kot je navedeno tudi v sporočilu z dne 4. oktobra 2017 o izvajanju direktive o varnosti omrežij in informacijskih sistemov, EESO poudarja, da ni jasno, zakaj Komisija niti kot možnost namesto direktive ni predlagala sprejetja uredbe.
5.3EESO ugotavlja, da se nekatere določbe predlaganih direktiv prekrivajo, saj sta predloga tesno povezana in se dopolnjujeta, pri čemer so v enem obravnavani zlasti vidiki kibernetske varnosti, v drugem pa fizična varnost. Hkrati poudarja, da se kritični subjekti iz direktive o odpornosti kritičnih subjektov nanašajo na iste sektorje in se prekrivajo z bistvenimi subjekti iz direktive VOIS 2. Poleg tega za vse kritične subjekte iz direktive o odpornosti kritičnih subjektov veljajo obveznosti glede kibernetske varnosti iz direktive VOIS 2. Predloga tudi vključujeta vrsto klavzul za povezave med njima, in sicer določbe o okrepljenem sodelovanju med organi, izmenjavi informacij o nadzornih dejavnostih, obveščanju organov iz direktive VOIS 2 o opredelitvi kritičnih subjektov v smislu direktive o odpornosti kritičnih subjektov in rednih srečanjih zadevnih skupin za sodelovanje vsaj enkrat letno. Predloga imata tudi isto pravno podlago, in sicer člen 114 PDEU, ki je namenjen delovanju notranjega trga s pomočjo približevanja nacionalnih pravil, kot je Sodišče Evropske unije med drugim razložilo v sodbi v zadevi C-58/08, Vodafone in drugi. EESO zato poziva k proučitvi možnosti, da se oba predloga združita v eno besedilo z namenom poenostavitve in funkcionalne koncentracije.
5.4EESO se strinja s predlaganim pristopom, da bi presegli razlikovanje med izvajalci bistvenih storitev in ponudniki digitalnih storitev iz izvorne direktive o varnosti omrežij in informacijskih sistemov, poudarja pa, da bi bilo mogoče natančneje in jasneje opredeliti subjekte, ki sodijo v področje uporabe in morajo spoštovati direktivo. Poleg sklicev iz Prilog I in II direktiva VOIS 2 vključuje še vrsto med seboj neusklajenih meril, ki se nanašajo na občutljive kvalitativne in kvantitativne ocene, ki bi se lahko na nacionalni ravni različno uporabljale in ponovno privedle do razdrobljenosti, ki bi jo moral obravnavani regulativni ukrep sicer preprečiti. Dejansko je pomembno preprečiti, da bi neusklajeni pristopi na nacionalni ravni ovirali konkurenco ter prosti pretok blaga in storitev, s čimer bi lahko škodili podjetjem in ogrozili trgovino.
5.5V VOIS 2 je predvideno, da za kritične izvajalce v sektorjih, ki se v skladu s predlogom štejejo za bistvene, veljajo tudi splošne obveznosti glede povečanja odpornosti s poudarkom na nekibernetskih tveganjih v smislu direktive o odpornosti kritičnih subjektov. V direktivi o odpornosti kritičnih subjektov je izrecno navedeno, da se direktiva ne uporablja za področja, ki so obravnavana v VOIS 2, in določeno, da bi bilo treba glede na to, da je kibernetska varnost zadostno obravnavana v direktivi VOIS 2, zadeve, ki jih zajema direktiva VOIS 2, izključiti z njenega področja uporabe, brez poseganja v posebno ureditev za subjekte v sektorju digitalne infrastrukture. V direktivi o odpornosti kritičnih subjektov je nadalje navedeno, da subjekti v sektorju digitalne infrastrukture v bistvu temeljijo na omrežnih in informacijskih sistemih ter spadajo na področje uporabe direktive VOIS 2, ki obravnava tudi fizično varnost takih sistemov kot del njihovih obveznosti glede obvladovanja tveganj na področju računalniške varnosti in poročanja. Hkrati je v direktivi o odpornosti kritičnih subjektov navedeno, da ni izključeno, da se lahko zanje uporabljajo posebne določbe navedene direktive.
5.6V tem zapletenem okviru zato EESO meni, da je nujno, da Komisija natančno pojasni področje uporabe obeh regulativnih besedil, zlasti kadar različne določbe urejajo isto zadevo ali isti subjekt.
5.7Jasnost vseh pravnih določb je zlasti v obširnih in razčlenjenih besedilih, kot sta obravnavani besedili, na vsaki ravni nujen cilj, skupaj s ciljem zmanjšanja upravnega bremena in razdrobljenosti, tako da se poenostavijo postopki, varnostne zahteve in obveznosti priglasitve incidentov. Poleg tega je treba preprečiti, da bi porast števila organov, pristojnih za posebne naloge, ogrozil jasno opredelitev njihovih pristojnosti in izničil zastavljene cilje. Tudi zato bi bilo v korist državljanov in podjetij morda primerno, da se predlagani direktivi združita v eno besedilo ter tako preprečita včasih zapletena razlaga in uporaba.
5.8VOIS 2 se večkrat sklicuje na druge pravne instrumente, kot je Direktiva (EU) 2018/1972 o Evropskem zakoniku o elektronskih komunikacijah, katere uporabo ureja načelo specialnosti. Nekatere določbe omenjene direktive so bile izrecno razveljavljene (člena 40 in 41), druge pa se morajo uporabljati v skladu z zgoraj navedenim načelom, ne da bi bilo to pojasnjeno. EESO želi, da se v izogib težavam pri razlagi odpravijo vsi dvomi v zvezi s tem. Glede sistema kazni pa se EESO strinja s ciljem Komisije, da se v primeru neskladnosti pri obvladovanju tveganj uskladijo ureditve v okviru boljše izmenjave informacij in sodelovanja na ravni EU.
5.9EESO priznava, da imajo v strategiji za kibernetsko varnost in pri obvladovanju tveganj upravni organi bistvenih in pomembnih subjektov ključno vlogo, ki je poudarjena v predlogu direktive, saj morajo odobriti ukrepe za obvladovanje tveganj, nadzirati njihovo izvajanje in odgovarjati za morebitne neskladnosti. V zvezi s tem je predvideno, da se člani teh organov redno udeležujejo posebnih usposabljanj, da pridobijo dovolj znanja in spretnosti za razumevanje in obvladovanje različnih kibernetskih tveganj ter oceno njihovega učinka. Kljub temu je treba poudariti, da bi morale biti v predlogu navedene vsebine, ki naj jih ta znanja in spretnosti zajemajo, s čimer bi na evropski ravni oblikovali usmeritve o tem, katere spretnosti bi bilo treba pridobiti v okviru izobraževanja za izpolnitev zahtev iz predloga, in se izognili razlikam v zahtevah in vsebini usposabljanj med državami.
5.10EESO se strinja, da ima ENISA pomembno vlogo v splošni institucionalni in operativni strukturi za kibernetsko varnost na evropski ravni. V zvezi s tem meni, da bi morala agencija poleg poročila o stanju kibernetske varnosti v Uniji objavljati tudi ažurne spletne informacije o incidentih na področju računalniške varnosti in obvestila po sektorjih. To bi bilo koristno informativno orodje, s katerim bi lahko subjekti iz direktive VOIS 2 bolje zaščitili svoja podjetja.
5.11EESO se strinja, da dostop do točnih in pravočasnih informacij o šibkih točkah, ki vplivajo na izdelke in storitve IKT, prispeva k okrepljenemu obvladovanju tveganj za računalniško varnost. V zvezi s tem so viri javno dostopnih informacij o šibkih točkah pomembno orodje za pristojne nacionalne organe, skupine za odzivanje na incidente na področju računalniške varnosti (CSIRT), podjetja in uporabnike. EESO se zato strinja s predlogom, da bi agenciji ENISA zaupali uvedbo evropskega registra šibkih točk, ki mu lahko bistveni in pomembni subjekti ter njihovi dobavitelji sporočajo informacije, tako da se uporabnikom omogoči sprejetje ustreznih blažilnih ukrepov. Poleg tega meni, da bi moralo biti tako obveščanje glede šibkih točk in pomembnejših incidentov obvezno in ne prostovoljno, tako da bi bilo koristno tudi za naročnike v postopkih javnega naročanja na evropski ravni, vključno v zvezi z izdelki in tehnologijami 5G. Tak register bi v tem primeru vseboval koristne elemente za ocenjevanje ponudb, namenjeno preverjanju njihove kakovosti ter zanesljivosti evropskih in neevropskih pogodbenikov z vidika varnosti izdelkov in storitev, ki so predmet javnega naročanja, v skladu z navedbami iz priporočila o kibernetski varnosti omrežij 5G z dne 26. marca 2019. Register bi moral tudi zagotavljati, da se bodo informacije, ki jih vsebuje, dajale na voljo na način, ki preprečuje vse oblike diskriminacije.
V Bruslju, 27. aprila 2021
Christa SCHWENG
predsednica Evropskega ekonomsko-socialnega odbora
_____________
