27.9.2013   

SV

Europeiska unionens officiella tidning

C 280/19

—

Regionkommittén välkomnar kommissionens strategi för it-säkerhet och direktiv om nät- och informationssäkerhet. Vi stöder strategins mål att skapa ett öppet, tryggt och säkert internet och göra EU:s nätmiljö till den säkraste i världen.

—

Det är angeläget att befintliga och föreslagna åtgärder inom detta område samlas i ett enda paket, eftersom detta skulle bidra till en samordnad, strategisk vision för EU. Detta paket är välkommet för att säkerställa samordning, uppmuntra samarbete, utforma tydliga och kraftfulla åtgärder, skapa en gemensam nivå för it-skyddet, öka it-systemens och nätens motståndskraft mot nya och framväxande it-hot samt minska uppsplittringen i EU.

—

Kommissionen bör lägga fram en handlingsplan för att förklara hur de högt ställda målen för paketet kommer att fungera i praktiken. I handlingsplanen bör det också ingå vägledning om hur strategins resultat ska utvärderas och mätas så att man kan kontrollera om det pågår något samarbete och om det görs framsteg.

—

Vi betonar att det nya paketet bör bidra till att förbättra förebyggande åtgärder, upptäckt och svarsåtgärder när det gäller it-incidenter och skapa bättre informationsutbyte och samordning mellan medlemsstaterna och kommissionen mot större it-incidenter. För att åstadkomma detta kommer det att krävas ett verkligt fungerande partnerskap mellan medlemsstater, EU-institutioner, lokala och regionala myndigheter, privata sektorn och civilsamhället.

Föredragande

Robert BRIGHT (UK–PSE), ledamot i Newport City Council

Referensdokument

Gemensamt meddelande – EU:s strategi för cybersäkerhet

(JOIN(2013) 1 final)

Förslag till Europaparlamentets och rådets direktiv om åtgärder för att säkerställa en hög gemensam nivå av nät- och informationssäkerhet i hela unionen

(COM(2013) 48 final)

1.

Regionkommittén välkomnar kommissionens strategi för it-säkerhet och direktiv om nät- och informationssäkerhet. Vi stöder strategins mål att skapa ett öppet, tryggt och säkert internet och göra EU:s nätmiljö till den säkraste i världen.

2.

Kommittén hoppas att det nya it-säkerhetspaketet (som omfattar både strategin och direktivet) ska "höja ribban" och bidra till utvecklingen av it-säkerhetsnormer i hela EU, minska rättsosäkerheten, öka tilliten och förtroendet för nättjänster samt minska onödiga kostnader och administrativa bördor och på så sätt stödja den digitala inre marknaden och målen för Europa 2020-strategin.

3.

Det är angeläget att befintliga och föreslagna åtgärder inom detta område samlas i ett enda paket, eftersom detta skulle bidra till en samordnad, strategisk vision för EU. Detta paket är välkommet för att säkerställa samordning, uppmuntra samarbete, utforma tydliga och kraftfulla åtgärder, skapa en gemensam nivå för it-skyddet, öka it-systemens och nätens motståndskraft mot nya och framväxande it-hot samt minska uppsplittringen i EU.

4.

Organisationer, däribland offentliga myndigheter, måste erkänna att hanteringen av it-brottslighet är en ständigt pågående kamp och vi uppmanar dem att prioritera hotet från it-störningar och it-angrepp genom att identifiera sårbarheter och utveckla sin organisations kapacitet för att hantera överträdelser. Hotet från it-brottsligheten växer och sprider sig i takt med att internet blir en allt viktigare del i människors liv. It-brottslighet i alla dess former är ett nytt, snabbt växande och sofistikerat hot mot medlemsstater, organisationer och EU-medborgare under 2000-talet och denna typ av brottslighet blir allt vanligare, mer komplex och gränsöverskridande.

5.

Regionkommittén erkänner att EU har gjort viktiga framsteg när det gäller att förbättra medborgarnas skydd mot webbaserad brottslighet, bland annat genom förslaget till lagstiftning mot angrepp på it-system och lanseringen av en global allians mot sexuellt utnyttjande av barn på internet. Paketet bör bygga vidare på tidigare åtgärder, däribland dem som angavs i 2010 års digitala agenda för Europa (1) och sikta mot en robust europeisk försvarspolitik på it-området. Kommittén uppmanar därför medlagstiftarna, som för närvarande diskuterar kommissionens förslag till direktiv om angrepp mot informationssystem (2), att snabbt nå en uppgörelse om förslaget.

6.

Vi stöder ambitionerna för strategin eftersom de inte bara syftar till att harmonisera medlemsstaternas it-säkerhetsförmåga och samla de olika befintliga och föreslagna åtgärderna för att skapa gemensamma normer och rättvisa villkor, utan också syftar till att samordna och skapa samstämmighet mellan tre politikområden: brottsbekämpning, den digitala agendan och försvars-, säkerhets- och utrikespolitiken.

7.

Uppgifter som samlas in av de nationella regeringarna skulle kunna bidra positivt till paketet, och det bör innehålla förslag till en uppsättning harmoniserade standarder med avseende på nät- och informationssäkerhet.

8.

Vi välkomnar att flera berörda parter kommer att få tillfälle att medverka i besluten om paketet. I paketet erkänns vikten av offentlig-privat samarbete och av att upprätta ett verkligt partnerskap som ges tillräckliga resurser för sitt arbete. Dessutom har paketet som målsättning att EU:s digitala inre marknad ska fullbordas och skapa en trygg, säker och blomstrande digital miljö på nätet för företag, myndigheter och medborgare.

9.

Regionkommittén välkomnar de åtgärder som föreslås i direktivet, däribland rekommendationen om att medlemsstaterna ska åläggas att anta en nationell strategi för nät- och informationssäkerhet, inrätta incidenthanteringsorganisationer (Cert) som ska samarbeta med Europeiska byrån för nät- och informationssäkerhet (Enisa) och skapa en tydlig samarbetsmekanism mellan medlemsstaterna och kommissionen för att ge varandra tidiga varningar om incidenter och risker genom en säker infrastruktur. Dessa åtgärder och det faktum att direktivet är inriktat på lagstiftning bör sammantaget leda till att det skapas en betydligt större enhetlighet, en gemensam lägsta nationell beredskapsnivå och ett stärkt försvar på it-området i hela EU.

10.

Regionkommittén uppmanar Europaparlamentet och rådet att snabbt anta förslaget till direktiv om en hög gemensam nivå för nät- och informationssäkerhet i hela EU.

11.

Paketet skulle vara betjänt av en mer detaljerad beskrivning av hur medlemsstaterna ska rapportera och sammanställa uppgifter om it-brottslighet och närmare detaljer om hur åtgärderna ska genomföras. Gemensamma rapporteringssystem och större tydlighet i fråga om anmälningskraven är avgörande för att undvika osäkerhet och brist på enhetlighet när det gäller hur en nationell behörig myndighet för nät- och informationssäkerhet definierar och mäter it-brottslighet som har "betydande konsekvenser". Det är också mycket viktigt att man vid inrättandet av en nationell behörig myndighet för nät- och informationssäkerhet tar hänsyn till fördelningen av befogenheter inom medlemsstaterna, särskilt när staterna är starkt federaliserade eller decentraliserade.

12.

Regionkommittén hyser därför en viss oro när det gäller vissa tillsynsaspekter och rättsliga aspekter av paketet, särskilt när det gäller bristen på klarhet i fråga om fastställandet av de kriterier som en medlemsstat ska uppfylla för att ha rätt att delta i det säkra informationsutbytessystemet, ytterligare specificering av de händelser som utlöser tidig varning och definitionen av de omständigheter då marknadsoperatörer och offentliga förvaltningar är skyldiga att anmäla incidenter. Avsaknaden av tydliga bestämmelser i dessa frågor utgör ett hinder för rättssäkerheten.

13.

Vi vill varna för att direktivet skulle kunna medföra onödigt stora administrativa bördor för företag och myndigheter. Det är oerhört viktigt att undvika dubbelreglering och att se till att all ytterligare reglering är förenlig med proportionalitetsprincipen. Detta är särskilt viktigt för de organisationer som kanske redan omfattas av en anmälningsskyldighet som liknar den som föreslås här.

14.

Kommissionen bör lägga fram en handlingsplan för att förklara hur de högt ställda målen för paketet kommer att fungera i praktiken. I handlingsplanen bör det också ingå vägledning om hur strategins resultat ska utvärderas och mätas för att kontrollera om det pågår något samarbete och om det görs framsteg.

15.

Regionkommittén uppmanar alla medlemsstater att utveckla nationella strategier för it-säkerhet (endast tio medlemsstater hade tagit fram en strategi 2012) som kompletterar den nya EU-strategin. Det är viktigt att de nationella strategierna och EU:s strategi kompletterar varandra så att det går att skapa överensstämmelse. Det är också viktigt att EU:s åtgärder kompletterar befintliga strukturer och bästa praxis i medlemsstaterna.

16.

Regionkommittén välkomnar de åtgärder som kommissionen planerar för att utveckla EU:s it-säkerhetskapacitet, pilotprojektet för att bekämpa botnät och sabotageprogram, åtagandet om att förbättra samarbetet mellan nationella incidenthanteringsorganisationer, Enisa och det nya Europeiska it-brottscentrumet, utvecklingen av ett nät av nationella it-brottscentrum med spetskompetens, och lanseringen av en offentlig-privat plattform för nät- och informationssäkerhetslösningar för att skapa incitament för att införa säkra IKT-lösningar. Strategins målsättning att samla alla berörda parter för att bedöma utvecklingen om tolv månader välkomnas också.

17.

Kommittén framhåller att en framgångsrik strategi för it-säkerhet bygger på nära samarbete mellan de behöriga myndigheterna när det gäller nät- och informationssäkerhet och de brottsbekämpande myndigheterna. En systematisk rapportering av incidenter som misstänks vara av allvarligt kriminell art till de brottsbekämpande myndigheterna är av största betydelse.

18.

Regionkommittén anser att de prioriteringar som beskrivs i paketet är väl avvägda och lämpliga. Alla prioriteringar, som att skydda grundläggande rättigheter, personuppgifter och integritet, effektiv styrning som omfattar flera berörda parter samt delat ansvar för att garantera säkerheten, är områden där städer och regioner skulle kunna spela en huvudroll som innehavare av information om den offentliga sektorn.

19.

Regionkommittén föreslår att regionerna tillsammans med medlemsstaterna ska betraktas som huvudaktörer när det gäller att främja ett närmare samarbete mellan användare och producenter av IKT-innovationer inom olika myndigheter och förvaltningar, även i fråga om it-säkerhet och uppgiftsskydd.

20.

Vi betonar att det nya paketet bör bidra till att förbättra förebyggande åtgärder, upptäckt och svarsåtgärder när det gäller it-incidenter och skapa bättre informationsutbyte och samordning mellan medlemsstaterna och kommissionen mot större it-incidenter. För att åstadkomma detta kommer det att krävas ett verkligt fungerande partnerskap mellan medlemsstater, EU-institutioner, lokala och regionala myndigheter, privata sektorn och civilsamhället.

21.

Regionkommittén inser att arbetet mot it-hoten kommer att kräva större resurser för att öka medvetenheten om hoten från it-brottsligheten och om behovet av en effektiv och ändamålsenlig it-säkerhet. När det gäller flernivåstyre måste lokala och regionala myndigheter ingå i en stark it-säkerhetsstrategi och de måste kunna delta fullt ut i styrningen av IKT-relaterade initiativ.

22.

Eftersom säkerhetsöverträdelser hotar allmännyttiga tjänster som t.ex. lokal vatten- och elförsörjning och eftersom lokala och regionala myndigheter använder och äger många digitala informationsprodukter och tjänster har dessa myndigheter en mycket viktig roll när det gäller att hantera it-brottslighet, sammanställa it-relaterade uppgifter och skydda uppgiftssäkerheten. De lokala och regionala myndigheterna får allt större ansvar för att t.ex. tillhandahålla digitala tjänster för medborgare och samhällen och erbjuda utbildning i nät- och informationssäkerhet i skolorna. Offentliga myndigheter, även på lokal och regional nivå, har ansvar för att skydda tillgänglighet och öppenhet, respektera och skydda grundläggande rättigheter på nätet och upprätthålla tillförlitlighet och driftskompatibilitet på internet.

23.

För att skapa bättre lagstiftning – och med hänsyn till de lokala och regionala myndigheternas befogenheter och den nyckelroll de behöver spela när åtgärder planeras och genomförs inom IKT-området (särskilt när det gäller integritet, uppgiftsskydd och it-säkerhet) – föreslår vi att EU-institutionerna och medlemsstaterna systematiskt samråder med dessa myndigheter om såväl utformningen som genomförandet av åtgärder för att förverkliga den europeiska digitala agendan. Vi beklagar att det inte gjordes några särskilda insatser för att inhämta synpunkter från lokala och regionala myndigheter när detta förslag till direktiv utarbetades. Regionkommittén har förklarat att den är villig att hjälpa kommissionen med samråd före lagstiftningen, såsom anges i samarbetsavtalet mellan Europeiska kommissionen och Regionkommittén (3).

24.

Vi rekommenderar att åtgärder som ska tillämpas på lokal och regional nivå införs i artikel 14.1 i direktivet. Åtgärderna kan omfatta inrättande av en riskbedömnings- och riskhanteringsprocess, verkställande av informationssäkerhetspolicyer och ökad medvetenhet om it-säkerhetsproblem samt förbättring av digital kompetens och digitala färdigheter.

25.

Vi betonar att partnerskap mellan alla berörda parter på en nivå under den statliga bör uppmuntras och utvecklas. Partnerskapen bör delta i samordnade it-säkerhetsåtgärder och bidra till sådana åtgärder på nationell nivå och EU-nivå i syfte att bekämpa it-brottslighet och minimera de effekter som orsakas av direkt stöld av ekonomiska tillgångar eller immateriella rättigheter, kommunikationsavbrott eller skador på affärskritiska data.

26.

Regionkommittén konstaterar att subsidiaritetsprincipens båda villkor verkar vara uppfyllda, det vill säga det är nödvändigt med åtgärder på EU-nivå och det finns ett mervärde med åtgärder på EU-nivå. De föreslagna åtgärderna är nödvändiga eftersom det finns gränsöverskridande aspekter som medlemsstaterna och/eller de lokala och regionala myndigheterna inte kan reglera ändamålsenligt på egen hand. Dessutom kommer de föreslagna åtgärderna sannolikt att ge klara fördelar jämfört med isolerade åtgärder på nationell, regional eller lokal nivå. Personuppgifter överförs t.ex. över nationsgränser både inom och utanför EU i allt snabbare takt. Det är också uppenbart att lagstadgade skyldigheter på EU-nivå kommer att göra det lättare att skapa rättvisa villkor och stänga juridiska kryphål.

27.

Regionkommittén välkomnar att direktivet i princip följer subsidiaritets- och proportionalitetsprinciperna. Med tanke på de gränsöverskridande aspekterna på incidenter och risker i samband med nät- och informationssäkerhet kan de mål som beskrivs i direktivet uppfyllas bättre på EU-nivå, vilket är förenligt med subsidiaritetsprincipen. Forskning visar att EU-medborgarna litar på institutioner som kommissionen när det gäller skydd av personuppgifter (4). Det föreslagna direktivet är också i princip förenligt med proportionalitetsprincipen eftersom det inte går utöver vad som är nödvändigt för att uppnå målen. Att det för varje medlemsstat föreskrivs enbart en behörig myndighet och en incidenthanteringsorganisation ger dock upphov till betänkligheter beträffande respekten för proportionalitetsprincipen och för medlemsstaternas interna förvaltningsstrukturer.

28.

Vi anser att artiklarna 26 och 114 i EUF-fördraget visserligen utgör den rättsliga grunden för paketet, men att de föreslagna åtgärderna är mer långtgående än dessa artiklar, eftersom förslaget omfattar alla offentliga it-system, även interna sådana såsom intranät.

29.

Regionkommittén välkomnar att direktivet ska följa Europeiska unionens stadga om de grundläggande rättigheterna. Samma normer, principer och värden som EU upprätthåller i den fysiska världen bör även gälla på internet. Informations- och kommunikationsteknik (IKT) bör omfatta behoven hos alla samhällsmedborgare, även hos dem som riskerar social utestängning. Alla internetanvändare bör kunna räkna med vissa miniminormer för en rad olika behov, däribland tillförlitlighet, säkerhet, öppenhet, enkelhet, driftskompatibilitet samt risk- och ansvarsminskning. Med hänsyn till ett effektivt skydd av de grundläggande rättigheterna och rättssäkerheten samt för att värna parlamentsreservationen rekommenderar kommittén konkretare bestämmelser om den materiella utformningen av standarderna för nät- och informationssäkerhet i själva direktivet. I detta sammanhang bör man särskilt fastställa krav på utformningen av nät- och informationssäkerheten som avser grundläggande rättigheter samt uppgiftsskydds- och datasäkerhetsrätt.

30.

Kommittén betonar att insatserna för att skydda och försvara medborgarna på nätet måste vara väl avvägda i förhållande till de rättigheter, friheter och principer som stadgan medför. Vi välkomnar den vikt som läggs vid att förankra it-politiken i EU:s grundläggande värderingar. Som beskrivs i tidigare yttranden (5) är det oerhört viktigt att säkerhetskraven uppfylls på alla nivåer för att integritet och skydd av personuppgifter ska kunna säkerställas på ett optimalt sätt och förhindra obehörig spårning av personuppgifter och profilanalys.

31.

Vi betonar att det, även om privata aktörer i allt högre grad får ansvar för kritisk infrastruktur och nätbaserade tjänster och den privata sektorns avgörande roll måste erkännas, i slutändan är staten som måste ha ansvaret för att bevara och skydda sina medborgares frihet och säkerhet på nätet.

32.

Regionkommittén konstaterar att införandet i EU av principen om att personuppgifter och andra uppgifter endast ska behövas registreras en enda gång i Europa, vilket innebär att man slipper fylla i en mängd blanketter, kommer att bidra starkt till att minska den onödiga byråkratin för allmänheten och sänka de offentliga administrationskostnaderna. Här måste man dock vara uppmärksam på att dataskyddslagstiftningen följs.

33.

Regionkommittén betonar att ett effektivt försvar på it-området kräver utbildning och kompetenshöjning för personalen, även inom lokala och regionala myndigheter. Alla anställda bör erbjudas omfattande utbildning, särskilt specialiserade tekniker, anställda som arbetar direkt med säkerhetsförfaranden som omfattar olika metoder och anställda som direkt eller indirekt deltar i innovationer eller moderniseringar som rör förtroende- eller säkerhetsrelaterade frågor. Det är mycket viktigt med fortlöpande utbildning om man vill lyckas med lokal e-förvaltning. Dessutom får lokala och regionala myndigheter en allt viktigare roll när det gäller att informera och vägleda medborgarna om hur man använder system på rätt sätt och upptäcker it-hot (6).

34.

En mycket viktig framgångsfaktor är "ledningens engagemang". Av den anledningen behövs även riktad utbildning av stabs- och ledningsgrupper i syfte att ge dem förståelse och bra förutsättningar att bygga en säkerhetskultur i sina respektive organisationer.

35.

Vi konstaterar att utbildningen förbättras genom att undervisning i nät- och informationssäkerhet införs och att det ska inrättas ett mästerskap i it-säkerhet 2014. Här bör man kunna dra fördel av evenemang som redan anordnas i medlemsstaterna och uppmuntra utbyte av bästa praxis. ReK välkomnar ambitionen att genom strategin införa utbildning i nät- och informationssäkerhet i skolorna. Med tanke på att utbildning är en medlemsstatsbefogenhet framhåller vi emellertid att det kommer att krävas betydande resurser och planering för att uppnå detta till 2014.

36.

Regionkommittén framhåller att integritetsskyddet är beroende av flera faktorer, däribland strukturen för offentliga organ (varav flertalet finns på lokal nivå), harmoniseringen av EU-lagstiftningen, arbetet för att främja en innovativ kultur hos offentliga tjänstemän (bland annat genom gemensamma etiska koder) och hos medborgare (genom att fastställa och öka kännedomen om deras digitala konsumenträttigheter) samt hanteringen av IKT-baserade tillämpningar.

37.

Det bör göras mer för att stimulera och uppmuntra utvecklingen och tillämpningen av tekniska lösningar för att hantera olagligt innehåll och skadligt beteende på nätet, och även för att främja samarbete och utbyte av bästa metoder mellan en rad olika intressenter på lokal, regional, europeisk och internationell nivå. Här är det oerhört viktigt att det finns rådgivningstjänster för barn, föräldrar och vårdnadshavare, hjälplinjer för att rapportera missbruk, programvara som gör det lättare att identifiera skadligt innehåll samt enkel och snabb rapportering.

38.

Det är mycket angeläget att öka den lilla andel av företagen inom EU (26 % i januari 2012) som har en formell IKT-säkerhetspolicy (7). Företag av alla storlekar måste uppmuntras att investera i it-säkerhet. Sådana investeringar kan sedan användas som verktyg i marknadsföringen gentemot potentiella kunder och dämpa de katastrofala följderna av it-brottslighet. Företagen bör ha en affärsmässig inställning till teknikstödd it-säkerhet och prioritera sina viktigaste företagstillgångar eller processer.

39.

IKT utgör en enorm ekonomisk potential för den europeiska ekonomin (i dag nästan 6 % av EU:s BNP (8)). Därför betonar vi att det snabbt krävs konkreta åtgärder för att hantera den framväxande it-brottsligheten och återupprätta både medborgarnas och företagens förtroende för säkerheten på internet (och samtidigt minska antalet internetanvändare inom EU som är oroliga för t.ex. säkerheten i betalningar över nätet (9)).

40.

För att minska de enorma belopp som går förlorade genom it-brott och stärka konsumenternas förtroende krävs skyndsamma åtgärder på lokal, regional och nationell nivå samt på EU-nivå för att motverka it-brottsligheten.

41.

Vi menar att strategin behöver göras mer detaljerad i fråga om hur molntjänster ska skyddas och utvecklas, eftersom dessa tjänster har en enorm ekonomisk potential. Den snabba ökningen av användningen av mobila elektroniska apparater visar inga tecken på att avta. Gartner rapporterar att år 2016 kommer minst 50 % av företagens e-postanvändare att använda en mobil klient (10). De nya problem och möjligheter som mobila elektroniska apparater och molntjänster innebär måste granskas. Dessutom krävs en ändamålsenlig arkitektur för molntjänster för att skapa bästa möjliga säkerhetsnivå (11). Kommittén har uttryckt sin oro över att kommissionens nyligen offentliggjorda meddelande om molnbaserade datortjänster inte innehåller någon tillräckligt djup analys av kopplingen mellan den föreslagna strategin och andra frågor, exempelvis säker databehandling, upphovsrättslagstiftning och utveckling av datatillgänglighet och dataportabilitet (12).

42.

It-brottsligheten är ett globalt, sammankopplat och gränsöverskridande hot, varför vi uppmanar till internationellt samarbete och dialog utanför EU:s gränser för att säkerställa en verkligt global och samordnad strategi för it-säkerhet. Här måste alla stater uppmanas att ansluta sig till den internationella konventionen om it-brottslighet (Budapestkonventionen) (13). Det är också viktigt att fortsätta samarbetet på bilateral nivå, framför allt med Förenta staterna, och på multilateral nivå med en rad internationella organisationer.

43.

Regionkommittén betonar att det är mycket viktigt att förbättra samordningen med befintliga och framtida finansieringsinstrument som Horisont 2020, europeiska samarbetsramen och fonden för inre säkerhet för att skapa bättre samordning av de it-relaterade investeringarna.

44.

Vi undrar om budgetanslaget på 1,25 miljoner euro kommer att räcka för att skapa en robust och tillräcklig nät- och informationssäkerhetsstruktur och vi är besvikna över sänkningen av anslaget från Fonden för ett sammanlänkat Europa i rådets överenskommelse den 8 februari om den fleråriga budgetramen 2014–2020. Det krävs en robust och utökad budget för att ge finansiellt stöd till viktig IKT-infrastruktur som kopplar samman medlemsstaternas nät- och informationssäkerhetskapacitet och på så sätt underlättar samarbetet inom EU.