52003AE0747

Yttrande från Europeiska ekonomiska och sociala kommittén om "Förslag till Europaparlamentets och rådets förordning om inrättandet av den europeiska byrån för nät- och informationssäkerhet"

(KOM(2003) 63 slutlig - 2003/0032 (COD))

(2003/C 220/07)

Den 3 mars 2003 beslutade rådet att i enlighet med artiklarna 95 och 156 i EG-fördraget rådfråga Europeiska ekonomiska och sociala kommittén om ovannämnda förslag.

Facksektionen för transporter, energi, infrastruktur och informationssamhället, som svarat för kommitténs beredning av ärendet, antog sitt yttrande den 5 juni 2003. Föredragande var Göran Lagerholm.

Vid sin 400:e plenarsession den 18 och 19 juni 2003 (sammanträdet den 18 juni) antog Europeiska ekonomiska och sociala kommittén följande yttrande med 71 röster för och 1 nedlagd röst.

1. Inledning

1.1. Informationssystem har stor betydelse för hela ekonomin. Det är inte bara för de flesta näringslivssektorer som de har avgörande betydelse, utan även för den offentliga sektorn, universitet och lärosäten och för den enskilde medborgaren. Brister i sådana system berör alla, såväl enskilda medborgare som offentliga förvaltningar och företag.

1.2. Europeiska gemenskapen skulle gynnas av ett ökat samarbete mellan medlemsstaterna för att uppnå en tillfredsställande säkerhetsnivå i alla medlemsstater. Detta är målet för kommissionens meddelande om nät- och informationssäkerhet från juni 2001(1).

1.3. Säkerhet har därför blivit en viktig användarfråga och därigenom också en viktig politisk fråga. Sedan den 11 september 2001 har informationssystemens funktionalitet också blivit viktiga för den nationella säkerheten. Medlemsstaterna har emellertid kommit olika långt i detta arbete och tonvikten har lagts på olika aspekter. Det finns inte något systematiskt gränsöverskridande samarbete medlemsstaterna emellan om nät- och informationssäkerhet, trots att säkerheten inte kan ses som enbart en inre angelägenhet. Det finns inte någon mekanism för att säkra effektiva reaktioner på säkerhetshot. Genomförandet av regelverket varierar. Det brister i driftskompatibiliteten, vilket försvårar en korrekt användning av säkerhetsprodukter.

1.4. Den föreslagna byrån skall underlätta tillämpningen av gemenskapsåtgärder som rör nät- och informationssäkerhet och bidra till att säkra driftskompatibiliteten för säkerhetsfunktioner i nät och informationssystem, och därigenom bidra till en väl fungerande inre marknad.

1.5. Byrån kommer att ha följande rådgivande och samordnande funktioner:

- Bidra till ett brett samarbete mellan olika aktörer på informationssäkerhetsområdet.

- Tillämpa en samordningsinriktad strategi för informationssäkerhet genom att bistå medlemsstaterna.

- Ha en stödjande funktion vid kartläggningen av relevanta standardiseringsbehov.

- Stödja gemenskapens kontakter med berörda parter i tredje land.

1.6. Kommissionen bör ha möjlighet att tilldela byrån ytterligare uppgifter, så att man kan hålla jämna steg med teknik- och samhällsutvecklingen.

1.7. Det föreslås att byrån skall börja fungera från och med den 1 januari 2004, och att verksamheten skall pågå i fem år. Huruvida byråns verksamhet kommer att fortsätta efter denna period beror på resultatet av verksamhetsutvärderingen.

2. Allmänna kommentarer

2.1. Vid olika tillfällen och i åtskilliga yttranden har EESK uttryckt sitt stöd till alla initiativ som främjar informationssamhället, exempelvis handlingsplanen eEurope - nät- och informationssäkerhet(2), kampen mot datorbrott(3), den nödvändiga utvecklingen av ett kunskapssamhälle utan diskriminering(4) och rätten till säker tillgång till Internet med avseende på skydd för persondata samt säkra kommersiella betalningar och informationstjänster(5).

2.2. I likhet med kommissionen anser EESK att det är mycket viktigt att nät- och informationssystemen fungerar säkert. Nätens och informationssystemens brister berör alla; medborgare, företag och offentliga förvaltningar. I dagens perspektiv handlar nät- och informationssäkerhet om att säkra tillgången till tjänster och data, att förhindra avbrott och otillåtet tillträde till meddelanden, att få bekräftelse på att uppgifter som sänts, mottagits eller lagrats är kompletta och oförändrade, att skydda informationssystem från otillåtet tillträde och mot attacker m.m. Användare måste känna tillit till den nya tekniken, oavsett om användningen sker i företag, på lärosäten eller hos enskilda. Säkerhetskraven ökar i takt med att nät- och datoranvändningen i samhället vidareutvecklas och sprids i medlemsstater i Europa och i världen. Kommittén vill i detta sammanhang särskilt peka på vikten av att samhällets säkerhetskrav också anpassas till och omfattar nya användarbeteenden som uppstår i den snabba utvecklingen. Inte minst den ökade användningen av mobilt Internet och av nya radio- kommunikationssystem ställer nya krav på säkerhet, kryptering, tillgänglighet m.m.

2.3. Användarnas tillit till informationsteknik och tilltro till informationssamhället och dess underliggande infrastruktur är grundläggande förutsättningar för att göra Europa till den mest konkurrenskraftiga och dynamiska kunskapsbaserade ekonomin i världen före år 2010. För att målsättningarna i handlingsplanen eEurope, vad gäller användningen av informationssamhällets tjänster såsom elektroniska (e-) affärer, e-hälsovårdstjänster, e-förvaltning och elektroniska marknadsplatser m.m., skall kunna uppnås krävs bättre tillgång till en säkrare infrastruktur och höjd tilltro till informationsteknik hos användarna.

2.4. Som kommissionen konstaterar har medlemsstaterna kommit olika långt i sitt säkerhetsarbete, vilket till stor del torde bero på att omfattningen av användningen av elektroniska tjänster varierar mellan medlemsstaterna. För ett fullständigt genomförande av informationssamhället inom gemenskapen krävs gemensamma åtgärder såsom framtagandet av gemensamma standarder, gemensamma certifieringskriterier och gemensamma säkerhetslösningar. Det är ett centralt behov för enskilda, för företag, för universitet och för offentliga förvaltningar inom gemenskapens hela territorium. Säkerhetsproblemen kan inte längre anses tillhöra något visst land. EESK stöder därför kommissionens förslag om upprättandet av en europeisk byrå för nät- och informationssäkerhet.

2.5. En annan fråga är ett europeiskt samarbete kring hot mot informationssamhället av säkerhetspolitisk natur som förutsätter ett samarbete mellan medlemsstaternas polis- och rättsväsenden. Det är viktigt att göra skillnad mellan hot av samhällsomstörtande natur som riktas mot nationalstater och hot mot gemenskapens medborgare och deras användning av informationssamhällets tjänster för enskilda ändamål. De förra torde inte med framgång kunna hanteras regionalt utan endast genom globalt samarbete. Kommittén, som är medveten om hur närliggande dessa hotbilder är, delar kommissionens uppfattning att byrån inte skall hantera frågor som normalt ankommer på säkerhets- och försvarsområdet eller polis- och rättsväsendet i medlemsstaterna att hantera. Vid en kommande utvärdering av byråns verksamhet bör dock utredas om denna inskränkning påverkat byråns arbete negativt samt om det finns anledning att särskilt tydliggöra en gränsdragning mellan nationell säkerhet och funktionell informationssäkerhet.

2.6. EESK vill understryka hur angeläget det är att verksamheten vid byrån kommer igång snarast. Det är viktigt att inga praktiska hinder, t.ex. i form av utdragna överväganden om sätesorten, tillåts försena starten, som bör ske senast den 1 januari 2004.

3. Särskilda synpunkter

3.1. EESK anser att byråns syfte måste vara vidare än det som kommissionens anger i förslaget. Utöver att skapa en gemensam förståelse för informationssamhällets problem eller att stödja gemenskapsåtgärder som rör nät- och informationssäkerhet bör byrån också uttryckligen ha till uppgift att bidra till att sprida kunskap och erfarenheter som rör nät- och informationssäkerhet mellan medlemsstaterna. Detta kan bidra till att motverka en digital klyfta inom gemenskapen. Det kommer också att bidra till att öka både gemenskapens och medlemsstaternas möjligheter att lösa problem som rör nät- och informationssäkerhet samt användarnas tillit och tilltro till informationsteknik och informationssamhället och dess underliggande infrastruktur.

3.2. Som kommissionen framhåller bör byråns organisation vara sådan att den underlättar ett deltagande av de olika intressenterna bakom byrån. Detta är särskilt viktigt såvitt avser användargrupperingar från näringslivet, universitet, enskilda m.fl. Självklart måste också företrädare för leverantörssidan vara representerade. Kommittén stöder därför förslaget att låta företrädare för konsument- och näringslivsintressen ta plats i byråns styrelse. Däremot kan kommittén inte se några skäl till att undanta dessa ledamöter från att utöva rösträtt - i synnerhet inte som även dessa ledamöter enligt förslaget skall utses av rådet. Vad gäller erfarenhet av användning av informationssamhällets tjänster och marknadskunskap har näringsliv, forskare och konsumenter ofta ett försprång framför företrädare för offentliga förvaltningar.

3.3. EESK kan i huvudsak ge sitt stöd till förslaget rörande byråns verksamhet som den beskrivs i avsnitt 3.5. Dock vill kommittén ge ett par kompletterande synpunkter.

3.3.1. Vad gäller byråns arbetsprogram anser kommittén att byrån måste ha resurser att utöver vad som framgår av arbetsprogrammet också kunna hantera plötsliga, dagsaktuella, säkerhetsfrågor, dvs. ha resurser att också hantera plötsliga incidenter. Arbetsprogrammen får därför inte innebära att det långsiktiga arbetet hindrar byrån från att hantera ej förutsedda dagsaktuella säkerhets- eller tillitsfrågor.

3.3.2. Vad gäller avgränsningen av vilka som skall ha rätt att inkomma med förfrågningar om yttranden till byrån anser EESK att centrala näringslivs- och konsumentorganisationer i medlemsstaterna bör ingå i denna krets.

3.3.3. Kommittén utgår från att användarrepresentanter från näringslivs- och konsumentorganisationer också kommer att engageras i arbetsgrupper som byrån inrättar och därigenom ges ett direkt inflytande på t.ex. standardiserings- och certifieringsarbetet. Byråns uppgifter i dessa delar förutsätter näringslivets aktiva deltagande.

3.4. Angående de finansiella bestämmelserna är det enligt EESK väsentligt att klargöra och säkerställa att byråns arbete och finansiella ställning inte görs beroende av eventuella bidrag från tredje land som deltar i byråns arbete.

3.5. Kommittén delar kommissionens bedömning att det är lämpligt att redan efter tre år inleda en utvärdering för att bedöma om den föreslagna institutionella lösningen är den mest ändamålsenliga för att hantera nät- och informationssäkerhet och användarnas tilltro och tillit till informationsteknik och informationssamhället och dess infrastruktur.

3.6. Vad gäller byråns säte anser EESK att det utöver de kriterier som kommissionen uppställt är väsentligt att byrån placeras så att den får verka i en omgivning som kännetecknas av följande:

- Att det finns en väl utbyggd infrastruktur med hög överföringskapacitet.

- Att de offentliga e-tjänsterna är väl utbyggda.

- Att elektroniska affärer är ett normalt inslag i näringslivet och att användarkollektivet i vid mening utgörs av vana användare av informationsteknik.

Härigenom skulle byrån ges tillfälle att verka i ett utvecklat informationssamhälle och på plats följa och ta del av de risker och hot som byrån har till uppgift att studera, utvärdera och sprida kunskap om, etc. Något som torde vara av särskilt värde för byråns möjligheter är att följa de problem som enskilda medborgare och verkligt små företag möter i informationssamhället. Dessa användargrupper torde vara de som annars har sämst förutsättningar att få sina intressen tillgodosedda i det mellanstatliga samarbetet. En sådan placering torde på ett avgörande sätt kunna bidra till byråns möjligheter att effektivt fullgöra sina uppgifter.

Bryssel den 18 juni 2003.

Europeiska ekonomiska och sociala kommitténs

ordförande

Roger Briesch

(1) KOM(2001) 298 slutlig.

(2) ESK:s yttrande om "Meddelande från kommissionen till rådet och Europaparlamentet, Ekonomiska och sociala kommittén och Regionkommittén - Nät- och informationssäkerhet: förslag till europeisk strategi" (EGT C 48, 21.2.2002), och "om rådets förslag till beslut om antagande av ett flerårigt program (2003-2005) för övervakning av eEurope, spridning av goda arbetsmetoder och förbättrad nät- och informationssäkerhet" (KOM(2002) 425 slutlig).

(3) ESK:s yttrande om "Meddelande från kommissionen till rådet och Europaparlamentet, Ekonomiska och sociala kommittén och Regionkommittén" - "Ett säkrare informationssamhälle - ökad säkerhet - i informationsstrukturen och bekämpning av datorrelaterad brottslighet" (EGT C 311, 7.11.2001).

(4) ESK:s yttrande om "Information från den offentliga sektorn: en värdefull resurs för Europa - En grönbok om information från den offentliga sektorn i informationssamhället" (EGT C 169, 16.6.1999).

(5) ESK:s yttrande om "Förslag till Europaparlamentet och rådets direktiv om behandling av personuppgifter och skydd för privatlivet inom telekommunikationsområdet" (EGT C 123, 25.4.2001).