DELOVNI DOKUMENT SLUŽB KOMISIJE

POVZETEK OCENE UČINKA

Spremni dokument k

predlogu direktive Evropskega parlamenta in Sveta

o ukrepih za zagotavljanje visoke skupne ravni varnosti omrežij in informacij v Uniji

1.           Področje uporabe

Ta ocena učinka vsebuje možnosti politike za izboljšanje varnosti interneta ter drugih omrežij in informacijskih sistemov, na katerih temeljijo storitve, ki podpirajo delovanje naše družbe (npr. javne uprave, finance in bančništvo, energetika, promet, zdravje in nekatere internetne storitve, ki omogočajo ključne gospodarske in družbene procese, kot so platforme za e-trgovanje in družabna omrežja). Skupno ime za obravnavano področje je varnost omrežij in informacijskih sistemov (v nadaljnjem besedilu: VOI).

2.           Okvir politike

Komisija je vse večji pomen VOI za gospodarstvo in družbo EU prvič prepoznala leta 2001. Evropska skupnost je leta 2004 za zagotavljanje visoke in učinkovite ravni VOI v EU ustanovila Evropsko agencijo za varnost omrežij in informacij (ENISA). Do zdaj je pristop Evropske unije na področju VOI vključeval predvsem sprejetje akcijskih načrtov in strategij, v katerih so bile države članice pozvane, naj povečajo zmogljivosti na področju VOI in sodelujejo pri odpravljanju čezmejnih težav na področju VOI.

Z zainteresiranimi stranmi so bila opravljena posvetovanja o različnih vidikih pobude (opredelitev problema in možnosti za odpravo obstoječih pomanjkljivosti), in sicer:

· javno spletno posvetovanje o izboljšanju VOI v EU, ki je potekalo od 23. julija do 15. oktobra 2012. Komisija je prejela 169 odgovorov prek spleta in deset pisnih odgovorov;

· razprave z državami članicami v okviru evropskega foruma za države članice (EFMS), na dvostranskih srečanjih in na konferenci EU za kibernetsko varnost, ki sta jo 6. julija 2012 organizirali Komisija in Evropska služba za zunanje delovanje;

· razprave s podjetji in združenji zasebnega sektorja v okviru evropskega javno-zasebnega partnerstva za odpornost (EP3R) in dvostranska srečanja;

· razprave z ENISA in CERT-EU;

· razprave v okviru skupščine za digitalno agendo 2012.

3.           Opis problema

3.1.        Opredelitev problema

Problem je splošna nezadostna raven zaščite pred incidenti, tveganji in grožnjami na področju VOI po EU, kar ovira pravilno delovanje notranjega trga.

Zaradi medsebojne povezanosti omrežij in informacijskih sistemov in zaradi globalne narave interneta številni incidenti na področju VOI presegajo nacionalne meje in ovirajo delovanje notranjega trga.

Zaradi kršitev varnosti kot v primeru napadov na eBay in PayPal lahko čezmejne storitve postanejo nedostopne ali pa se ustavijo ali prekinejo. Potreba po hitrem ukrepanju za odpravo težav in po izmenjavi informacij o pomembnih incidentih se je jasno pokazala v primeru napadov na nizozemsko podjetje za overjanje internetnih certifikatov Diginotar. Zaradi preteklih incidentov države članice začenjajo uvajati lastne predpise. Neusklajeni regulativni ukrepi lahko povzročijo razdrobljenost, ovirajo notranji trg in povečajo stroške usklajevanja za podjetja, ki poslujejo v več kot eni državi članici.

To je težava, ki vpliva na vse dele družbe in gospodarstva (vlade, podjetja in potrošnike). Številni sektorji imajo pomembno vlogo pri zagotavljanju ključnih podpornih storitev za gospodarstvo in družbo EU, varnost njihovih sistemov pa je zlasti pomembna za delovanje notranjega trga. To so med drugim bančništvo, borze, proizvodnja, prenos in distribucija energije, promet (zračni, železniški, pomorski), zdravje, internetne storitve in javne uprave. Zainteresirane strani so v javnem posvetovanju močno podprle obravnavanje VOI v teh sektorjih in ukrepanje na ravni EU.

Če ne bodo sprejeti nadaljnji ukrepi za preprečevanje vse večjega števila incidentov, bi lahko zaupanje potrošnikov v spletne storitve zmanjšali, kar bi lahko ogrozilo izpolnjevanje ciljev digitalne agende.

3.2.        Razlogi za težave

Razlogov za opisane težave je več.

Prvič, ravni zmogljivosti v državah članicah EU so zelo različne, kar ovira vzpostavitev zaupanja med partnerji, ki je pogoj za sodelovanje in izmenjavo informacij.

Drugič, izmenjava informacij o incidentih, tveganj in grožnjah ni zadostna. Večina incidentov na področju VOI ni priglašena in ostane neopažena, saj podjetja teh informacij ne sporočajo, ker se bojijo škode za svoj ugled ali odgovornosti. Izmenjava informacij v okviru obstoječih javno-zasebnih partnerstev/platform, kot sta EFMS in EP3R, je omejena na najboljše prakse.

4.           Učinkovitosti obstoječih ukrepov

4.1.        Vrzeli v obstoječem regulativnem okviru

Trenutni predpisi sprejetje ukrepov za obvladovanje tveganja in priglasitev incidentov na področju VOI nalagajo samo telekomunikacijskim družbam. Vendar se vsi akterji, ki so odvisni od omrežij in informacijskih sistemov, soočajo z varnostnimi tveganji. To ustvarja neenake konkurenčne pogoje, saj bi moral enak incident, ki bi vplival na ponudnika telekomunikacijskih storitev in ponudnika storitev prenosa govora po internetnem protokolu, pristojnemu nacionalnemu organu priglasiti samo prvi ponudnik, drugi pa ne.

Vsi akterji, ki so upravljavci podatkov (npr. banke ali bolnišnice), morajo v skladu z regulativnim okvirom za zaščito podatkov sprejeti varnostne ukrepe, ki so sorazmerni s tveganji, s katerimi se soočajo. Vendar morajo upravljavci podatkov priglasiti samo tiste incidente, ki kršijo varnost osebnih podatkov.

Direktiva Sveta 2008/114/ES o ugotavljanju in določanju evropske kritične infrastrukture velja le za sektor energetike in prometa, do zdaj pa so države članice le nekaj infrastruktur opredelile kot evropske kritične infrastrukture. Direktiva upravljavcem ne nalaga obveznosti za priglasitev pomembnih kršitev varnosti in ne vzpostavlja mehanizmom za sodelovanje držav članic pri odzivanju na incidente.

Sozakonodajalca zdaj razpravljata o Komisijinem predlogu direktive o napadih na informacijske sisteme[1]. Ta predlog ureja samo kriminalizacijo določenih vrst ravnanja, ne pa tudi preprečevanja tveganj in incidentov na področju VOI, odzivanja na incidente na področju VOI in zmanjševanja njihovih učinkov.

4.2.        Pomanjkljivosti prostovoljnega pristopa

Rezultat dozdajšnjega prostovoljnega pristopa sta neenotna raven pripravljenosti in omejeno sodelovanje.

EFMS ima omejene pristojnosti, saj države članice ne izmenjujejo informacij o incidentih, tveganjih in grožnjah ter ne sodelujejo pri preprečevanju čezmejnih groženj. EFMS nima pooblastil, da bi od svojih članov zahteval, da vzpostavijo minimalne zmogljivosti.

ENISA nima operativnih pristojnosti ter ne more na primer posredovati in popraviti težav na področju VOI.

EP3R uradno ni pristojno, da od zasebnega sektorja zahteva priglasitev incidentov nacionalnim organom. Prav tako nima okvira za zanesljivo izmenjavo informacij in sporočanje podatkov o grožnjah, tveganjih in incidentih na področju VOI.

5.           Potreba po ukrepanju EU, subsidiarnost in sorazmernost

Zagotavljanje VOI je bistvenega pomena za dobro delovanje notranjega trga in skupno dobro naše družbe. Člen 114 PDEU je ustrezna pravna podlaga za harmonizacijo zahtev glede VOI in uvajanje skupne minimalne ravni varnosti po vsej EU.

Ukrepanje Unije na področju VOI je utemeljeno z načelom subsidiarnosti, saj gre za čezmejni problem, poleg tega pa bi ukrepi na ravni EU povečali učinkovitost (in s tem vrednost) obstoječih nacionalnih politik.

Za sodelovanje vseh držav članic je treba zagotoviti, da imajo vse zahtevano minimalno raven zmogljivosti. Poleg tega je jasno, da lahko usklajeni in skupni ukrepi politik na področju VOI zelo pozitivno vplivajo na učinkovito varstvo temeljnih pravic, zlasti pravico do varstva osebnih podatkov in zasebnosti.

Ukrepi, predvideni v najprimernejši možnosti, so upravičeni na podlagi sorazmernosti, saj so državam članicam naložene najmanjše možne zahteve, ki še zagotavljajo ustrezno pripravljenost in vzpostavitev na zaupanju temelječega sodelovanja, zahteve za podjetja in javne uprave, da izvedejo ukrepe za obvladovanje tveganja in priglasijo incidente, pa so usmerjene v kritične subjekte in nalagajo ukrepe, ki so sorazmerni z zadevnimi tveganji in incidenti z znatnim učinkom. Poleg tega ukrepi v okviru izbrane možnosti ne pomenijo nesorazmernih stroškov.

6.           Cilji

Splošni cilj je povečati raven zaščite pred incidenti, tveganji in grožnjami na področju VOI v EU. Posebni cilji so:

· Cilj 1 – vzpostaviti minimalno raven VOI v državah članicah ter tako povečati splošno raven pripravljenosti in odzivanja.

· Cilj 2 – izboljšati sodelovanje na področju VOI na ravni EU za učinkovit boj proti čezmejnim incidentom in grožnjam.

· Cilj 3 – vzpostaviti kulturo obvladovanja tveganj ter izboljšati izmenjavo informacij med zasebnim in javnim sektorjem.

7.           Možnosti politike

Možnosti politike, ki so bile obravnavane v tej oceni učinka, so: stanje brez sprememb, regulativni pristop in mešani pristop. Možnost, ki je predvidevala prenehanje vseh dejavnosti EU na področju VOI, je bila zavrnjena.

7.1.        Možnoast 1 – brez sprememb („osnovni scenarij“)

Komisija bi s pomočjo agencije ENISA nadaljevala s sedanjim prostovoljnim pristopom in države članice pozvala, naj na nacionalni ravni vzpostavijo zmogljivosti na področju VOI (npr. CERT, nacionalni krizni načrti za kibernetske incidente, nacionalne strategije za kibernetsko varnost) in sodelujejo na ravni EU (npr. prek omrežja CERT v Evropi in evropskega načrta za odzivnost na kibernetske incidente).

7.2.        Možnost 2 – regulativni pristop

Komisija bi od vseh držav članic zahtevala, naj vzpostavijo vsaj minimalno raven nacionalnih zmogljivosti (CERT, pristojni organi, nacionalni krizni načrti za kibernetske incidente, nacionalne strategije za kibernetsko varnost).

Po tej regulativni možnosti bi bili nacionalni pristojni organi in CERT vključeni v mrežo za sodelovanje na ravni EU. Znotraj mreže bi si organi in CERT izmenjavali informacije in sodelovali pri odpravljanju groženj in incidentov na področju VOI v skladu z evropskim načrtom za odzivnost na kibernetske incidente, o katerem bi se države članice morale dogovoriti.

Podjetja (razen mikropodjetij) v posebnih ključnih sektorjih, kot so bančništvo, energetika (elektrika in zemeljski plin), promet in zdravje, ter ponudniki ključnih internetnih storitev in javne uprave bi morali oceniti tveganja, s katerimi se soočajo, ter sprejeti ustrezne in sorazmerne ukrepe za določitev razsežnosti dejanskih tveganj. Poleg tega bi se od teh subjektov zahtevalo, da pristojnim organom priglasijo incidente, ki resno ogrožajo delovanje njihovih omrežij in informacijskih sistemov ter bistveno vplivajo na neprekinjenost storitev in dobavo blaga, ki sta odvisni od omrežij in informacijskih sistemov. Ta načrt sledi načrtu iz člena 13a in b okvirne direktive o elektronskih komunikacijah.

7.3.        Možnost 3 – mešani pristop

Komisija bi prostovoljne pobude, ki temeljijo na dobri volji držav članic in katerih cilj je vzpostavitev ali krepitev zmogljivosti držav članic na področju VOI ter vzpostavitev mehanizmov za sodelovanje na ravni EU, združila z regulativnimi zahtevami za ključne zasebne akterje in javne uprave.

Prostovoljne pobude bi bile po vsebini podobne tistim iz možnosti 1, regulativne zahteve pa bile enake tistim iz možnosti 2 – tako glede ciljnih subjektov kot vsebine obveznosti.

ENISA bi Komisiji, državam članicam in zasebnemu sektorju zagotavljala podporo in tehnično znanje, na primer z izdajo tehničnih smernic in priporočil.

8.           Analiza učinkov

V oceni sta poleg ravni varnosti obravnavana tudi gospodarski in socialni učinek teh treh možnosti. Prav tako obravnava tudi stroške, ki bi nastali pri možnostih 2 in 3.

Nobena od opredeljenih možnosti ne bo imela takšnih učinkov na okolje, ki bi jih bilo mogoče natančno predvideti.

8.1.        Možnost 1 – brez sprememb („osnovni scenarij“)

Raven varnosti: verjetnost, da bi vse države članice dosegle primerljivo raven nacionalnih zmogljivosti in potrebno pripravljenost za izboljšanje varnosti ter omogočanje sodelovanja in izmenjave zaupnih informacij na ravni EU, je majhna. Pri obvladovanju tveganja in večji preglednosti incidentov se ne bi vzpostavili enaki konkurenčni pogoji, zaradi česar ne bi bilo mogoče odpraviti zakonodajnih vrzeli.

Gospodarski učinki: učinki bi bili odvisni od tega, v kakšni meri bi države članice upoštevale priporočila Komisije. Nezadostna raven varnosti v manj razvitih državah članicah bi lahko ogrozila njihovo konkurenčnost in rast ter jih izpostavila tveganjem in incidentom. Glede na trenutna gibanja bi podjetja in potrošniki vse pogosteje opažali incidente na področju VOI, kar bi oviralo popolno vzpostavitev notranjega trga.

Družbeni učinki: nadaljevanje in pričakovano povečanje števila incidentov, tveganj in groženj bi negativno vplivalo na zaupanje državljanov.

8.2.        Možnost 2 – regulativni pristop

Raven varnosti: z obveznostmi, naloženimi državam članicam, bi se zagotovilo, da bi bile vse ustrezno pripravljene in da bi lahko prispevale k ustvarjanju ozračja medsebojnega zaupanja, ki je pogoj za učinkovito sodelovanje na ravni EU.

Z uvedbo zahtev za javne uprave in ključne zasebne akterje, da sprejmejo ukrepe za obvladovanje tveganja na področju VOI, bi se močno spodbudilo učinkovito upravljanje in določanje razsežnosti tveganj. Skupni dodatni stroški sektorjev za izpolnjevanje teh zahtev bi znašali od ene do dve milijardi EUR. Stroški usklajevanja za vsako majhno in srednje podjetje pa bi znašali od 2500 do 5000 EUR.

Gospodarski učinki: zaradi večje ravni varnosti bi se finančne izgube, povezane s tveganji in incidenti na področju VOI, zmanjšale. Krepilo bi se zaupanje podjetij in potrošnikov v digitalni svet, kar bi pozitivno vplivalo na notranji trg. Okrepljena kultura obvladovanja tveganja bi prav tako spodbudila povpraševanje po varnih izdelkov in rešitvah IKT.

Družbeni učinki: višja raven varnosti bi okrepila zaupanje državljanov, ki bi lahko v celoti izkoristili prednosti digitalnega sveta (npr. družbenih medijev, e-učenja, e-zdravja).

8.3.        Možnost 3 – mešani pristop

Raven varnosti: kot pri možnosti 1 tudi pri tej možnosti ni zagotovila, da se bo s prostovoljnimi pobudami raven varnosti, ki temelji na nacionalnih zmogljivostih in sodelovanju na področju VOI na ravni EU, izboljšala. Po drugi strani pa bi se z uvedbo varnostnih zahtev za javne uprave in ključne zasebne akterje močno spodbudilo upravljanje in določanje razsežnosti varnostnih tveganj. Ti mehanizmi ne bi bili učinkoviti v tistih državah članicah, ki ne bi upoštevale priporočil Komisije o vzpostavitvi zmogljivosti na področju VOI.

Gospodarski učinki: hitrost razvoja bi se med državami članicami precej razlikovala. Nezadostna raven varnosti v manj razvitih državah članicah bi lahko ogrozila njihovo konkurenčnost in rast ter jih izpostavila negativnim učinkom tveganj in incidentov.

Družbeni učinki: nadaljevanje in pričakovano povečanje števila incidentov, tveganj in groženj bi negativno vplivalo na zaupanje državljanov, zlasti v tistih državah članicah, ki VOI ne bi opredelile kot prednostno nalogo.

9.           Primerjava možnosti

Za možnosti 1 in 3 se šteje, da nista primerni za dosego ciljev politike in se ju ne priporoča, saj bi bila njuna učinkovitost odvisna od tega, ali bi prostovoljni pristop dejansko zagotovil minimalno raven VOI, pri možnosti 3 pa tudi od dobre volje držav članic pri vzpostavitvi zmogljivosti in čezmejnem sodelovanju.

Možnost 2 je najprimernejša, saj bi znatno izboljšala varstvo potrošnikov, podjetij in vlad EU pred incidenti, grožnjami in tveganji na področju VOI. Poleg tega bi EU pometla pred svojim pragom in bi lahko razširila svoj mednarodni vpliv ter postala še bolj verodostojen partner za sodelovanje na dvostranski in večstranski ravni. EU bi bila tudi v boljšem položaju za spodbujanje temeljnih pravic in vrednot EU v tujini.

10.         Spremljanje in ocenjevanje

V poglavju 10 poročila o oceni učinka je opisanih več ključnih kazalnikov napredka pri doseganju ciljev. Ti na primer vključujejo:

· za cilj 1 število držav članic, ki imenujejo organe, pristojne za VOI, in CERT ali ki sprejmejo nacionalno strategijo kibernetske varnosti in nacionalni krizni načrt za kibernetske incidente;

· za cilj 2 število držav članic, pristojnih organov in CERT, ki sodelujejo v mreži, in obseg informacij o tveganjih in incidentih na področju VOI, ki se izmenjuje znotraj mreže; za cilj 3 raven naložb v VOI s strani ključnih zasebnih akterjev in javnih uprav ter število priglasitev incidentov na področju VOI z znatnim vplivom.

[1]               COM(2010) 517, http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2010:0517:FIN:SL:PDF.