15.11.2013   

SV

Europeiska unionens officiella tidning

CE 332/22

—

med beaktande av sin resolution av den 5 maj 2010 om en ny digital agenda för Europa: 2015.eu (1),

—

med beaktande av sin resolution av den 15 juni 2010 om förvaltning av Internet: framtida åtgärder (2),

—

med beaktande av sin resolution av den 6 juli 2011 om europeiska bredbandssektorn – investeringar i digitalt baserad tillväxt (3),

—

med beaktande av artikel 48 i arbetsordningen,

—

med beaktande av betänkandet från utskottet för industrifrågor, forskning och energi och yttrandena från utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor (A7-0167/2012), och av följande skäl:

A.

Informations- och kommunikationstekniken (IKT) kan enbart bidra fullt ut till att föra ekonomin och samhället framåt om användarna litar på att den är säker och motståndskraftig samt när den befintliga lagstiftningen om dataskydd och immateriella rättigheter efterlevs fullständigt i internetmiljön.

B.

Internet och IKT påverkar i allt snabbare takt olika aspekter av medborgarnas liv, och är samtidigt en avgörande drivkraft för sociala interaktioner, för kulturell berikning samt för ekonomisk tillväxt.

C.

IKT- och internetsäkerhet är ett övergripande begrepp, som i ekonomiskt, socialt, tekniskt och militärt hänseende gör sig gällande i hela världen, vilket kräver en tydlig avgränsning och differentiering av ansvarsområden samt en robust mekanism för internationellt samarbete.

D.

EU:s flaggskeppsinitiativ Den digitala agendan syftar till att stärka EU:s konkurrenskraft, genom stärkt IKT, och att skapa förutsättningar för hög och stabil tillväxt och teknikbaserade jobb.

E.

Den privata sektorn är fortfarande den främsta investeraren, ägaren och förvaltaren av informationssäkerhetsprodukter samt tjänster, tillämpningar och infrastruktur med koppling till informationssäkerhet, med investeringar på flera miljarder euro under det senaste årtiondet. Detta engagemang bör stärkas genom lämpliga strategier för att göra infrastrukturer i offentlig, privat eller offentlig-privat ägo eller drift mer motståndskraftiga.

F.

Utvecklingen av IKT-nätverk, -tjänster och -teknik med hög säkerhetsnivå och motståndskraft bör öka den europeiska ekonomins konkurrenskraft, både genom att förbättra riskbedömningen och riskhanteringen på internet och genom att förse EU:s ekonomi som helhet med bättre informationsinfrastruktur för att stödja innovation och tillväxt, vilket skapar nya möjligheter för företag att bli mer produktiva.

G.

Tillgängliga uppgifter hos rättsvårdande myndigheter i fråga om it-brott – som omfattar it-angrepp, men även andra typer av nätbrottslighet – tyder på kraftiga ökningar i en rad europeiska länder. Statistiskt representativa uppgifter beträffande it-angrepp hos både rättsvårdande myndigheter och incidenthanteringsorganisationen (Cert) är dock fortfarande knapphändiga och insamlingen av dessa måste förbättras i framtiden, för att rättsvårdande myndigheter ska kunna göra kraftfullare insatser i hela EU och för att förbättra informationsunderlaget för en lagstiftningsmässig reaktion på de ständigt nya it-hoten.

H.

Rätt informationssäkerhetsnivå är helt avgörande för en stark utveckling av internetbaserade tjänster.

I.

Den senaste tidens it-incidenter, driftsavbrott och angrepp mot EU:s institutioner, industrier och medlemsstaternas informationsinfrastruktur visar att det behövs ett robust, innovativt och effektivt system för skydd av kritisk informationsinfrastruktur, och att detta fullt ut bör grunda sig på internationellt samarbete och minimistandarder för motståndskraft i medlemsstaterna.

J.

Den snabba utvecklingen av nya möjligheter inom IKT, t.ex. datormoln, kräver en tydlig inriktning på internetsäkerhet för att fördelarna med de tekniska framstegen ska kunna utnyttjas fullt ut.

K.

Europaparlamentet har upprepade gånger insisterat på tillämpning av höga krav på dataintegritet och dataskydd, nätneutralitet samt skydd av immateriella rättigheter.

1.

Europaparlamentet välkomnar medlemsstaternas genomförande av Europeiska programmet för skydd av kritisk infrastruktur samt inrättandet av nätverket för varningar om hot mot kritisk infrastruktur (Ciwin).

2.

Europaparlamentet anser att insatserna för att skydda kritisk infrastruktur inte bara kommer att förbättra medborgarnas övergripande säkerhet utan också medborgarnas syn på säkerhet och deras förtroende för de åtgärder som regeringarna vidtar för att skydda dem.

3.

Europaparlamentet är medvetet om att kommissionen överväger att se över rådets direktiv 2008/114/EG (4) och efterlyser belägg för direktivets effektivitet och påverkan innan ytterligare åtgärder vidtas. Parlamentet menar att direktivets räckvidd bör utvidgas, särskilt genom att IKT-sektorn och finansiella tjänster innefattas. Parlamentet efterlyser också att områden såsom hälsa, system för vatten- och livsmedelsförsörjning, kärnforskning och kärnenergiindustri (där dessa områden inte omfattas av specifika bestämmelser) beaktas. Parlamentet anser att dessa sektorer även bör få nytta av den sektorsövergripande strategi som Ciwin tillämpar (och som omfattar samarbete, varningssystem och utbyte av bästa metoder).

4.

Europaparlamentet understryker att man måste inrätta och garantera en varaktig samordning av europeisk forskning för att upprätthålla och stärka den europeiska spetskompetensen inom området skydd av kritisk infrastruktur.

5.

Europaparlamentet efterlyser en regelbunden uppdatering av minimistandarderna för motståndskraft för beredskap och reaktion mot alla typer av driftsavbrott, incidenter, angrepp eller försök att åstadkomma förstörelse, som till exempel de som föranleds av att infrastrukturen inte är tillräckligt robust eller av att användarterminaler inte är tillräckligt säkrade, mot bakgrund av att den kritiska informationsinfrastrukturen såväl nationellt som inom EU är sammanlänkad, starkt ömsesidigt beroende och känslig, strategisk och sårbar.

6.

Europaparlamentet betonar vikten av protokoll och standarder för informationssäkerhet och välkomnar uppdraget från 2011 till CEN, Cenelec och ETSI att fastställa säkerhetsstandarder.

7.

Europaparlamentet förväntar sig att ägare av och aktörer inom kritisk informationsinfrastruktur ska underlätta för och vid behov hjälpa användarna att bruka lämpliga metoder för att skydda dem från skadliga angrepp och/eller störningar, genom både mänsklig och automatiserad kontroll, där detta behövs.

8.

Europaparlamentet stöder samarbete mellan offentliga och privata aktörer på unionsnivå, och uppmuntrar deras arbete med att utveckla och använda standarder för säkerhet och motståndskraft för den civila (offentliga, privata eller offentlig-privata) kritiska informationsinfrastrukturen på nationell och europeisk nivå.

9.

Europaparlamentet understryker vikten av EU-omfattande övningar för storskaliga säkerhetsincidenter i nätverk, och fastställandet av en enda uppsättning standarder för hotbildsbedömning.

10.

Europaparlamentet uppmanar kommissionen att, i samarbete med medlemsstaterna, bedöma genomförandet av handlingsplanen för skydd av kritisk informationsinfrastruktur. Parlamentet uppmanar medlemsstaterna att inrätta väl fungerande nationella/statliga organisationer för incidenthantering, att utveckla nationella strategier för it-säkerhet, att anordna regelbundna nationella och EU-omfattande övningar kring it-incidenter, att utveckla beredskapsplaner för it-incidenter samt att bidra till utvecklingen av en europeisk beredskapsplan för it-incidenter före slutet av 2012.

11.

Europaparlamentet rekommenderar att det införs säkerhetsplaner eller liknande åtgärder för alla europeiska kritiska informationsinfrastrukturer, och att det utses sambandsansvariga i säkerhetsfrågor.

12.

Europaparlamentet välkomnar den pågående översynen av beslut 2005/222/RIF (5) om angrepp mot informationssystem. Parlamentet noterar att EU:s insatser för att bekämpa storskaliga it-angrepp måste samordnas, genom att inkludera Enisa, medlemsstaternas incidenthanteringsorganisationer och framtida europeiska incidenthanteringsorganisationers befogenheter.

13.

Europaparlamentet anser att Enisa kan spela en nyckelroll på europeisk nivå när det gäller skyddet av kritisk infrastruktur genom att tillhandahålla teknisk expertis till medlemsstaterna och till Europeiska unionens institutioner och organ samt rapporter om och analyser av it-säkerhet på europeisk och global nivå.

14.

Europaparlamentet uppmanar Enisa att varje år samordna och genomföra en månadslång upplysningskampanj om internetsäkerhet, för att få medlemsstaterna och EU-medborgarna att fokusera specifikt på frågor som rör digital säkerhet.

15.

Europaparlamentet stöder, i linje med målen för den digitala agendan, Enisa i dess fullgörande av sina skyldigheter när det gäller nät- och informationssäkerhet, och särskilt när det gäller att ge medlemsstaterna vägledning och råd om hur de kan uppfylla den grundläggande kapaciteten för sina incidenthanteringsorganisationer, samt när det gäller att stödja utbytet av bästa metoder genom utvecklingen av ömsesidigt förtroende. Parlamentet uppmanar Enisa att samråda med berörda aktörer för att fastställa liknande it-säkerhetsåtgärder för ägare av och aktörer inom privata nätverk och infrastrukturer, och även att hjälpa kommissionen och medlemsstaterna med att främja utvecklingen och användningen av certifieringssystem, uppförandenormer och samarbetsmetoder för informationssäkerhet bland ägare av och aktörer inom nationella och europeiska incidenthanteringsorganisationer och där det behövs genom att fastställa teknikneutrala gemensamma minimikrav.

16.

Europaparlamentet välkomnar det föreliggande förslaget om att se över Enisas mandat, särskilt dess utvidgning och utökningen av dess uppgifter. Parlamentet anser att Enisa, förutom att stödja medlemsstaterna i form av expertis och analys, bör ha rätt att hantera ett antal genomförandeuppgifter på EU-nivå, och, i samarbete med amerikanska motsvarigheter, uppgifter som handlar om att förebygga och upptäcka nät- och informationssäkerhetsincidenter och stärka samarbetet mellan medlemsstaterna. Parlamentet påpekar att byrån, i enlighet med Enisa-förordningen, också kan tilldelas ytterligare ansvar som rör motåtgärder mot internetangrepp, i den mån det ger ett klart mervärde till befintliga nationella responsmekanismer.

17.

Europaparlamentet välkomnar resultaten av de EU-omfattande it-säkerhetsövningar från 2010 och 2011 som genomförts i hela EU under Enisas övervakning, med målet att hjälpa medlemsstaterna att utforma, upprätthålla och pröva en EU-omfattande beredskapsplan. Parlamentet uppmanar Enisa att ha kvar sådana övningar på sin dagordning och att successivt engagera berörda privata aktörer på lämpligt sätt för att öka EU:s övergripande kapacitet inom internetsäkerhet, och ser fram emot en fortsatt internationell utveckling med likasinnade partner.

18.

Europaparlamentet uppmanar EU:s medlemsstater att utforma nationella beredskapsplaner för it-incidenter och inbegripa centrala faktorer som exempelvis relevanta kontaktpunkter, bestämmelser om hjälpinsatser, begränsande åtgärder och åtgärder vid it-störningar eller it-angrepp med regionala, nationella eller gränsöverskridande konsekvenser. Medlemsstaterna bör även införa lämpliga samordningsmekanismer och strukturer på nationell nivå, vilket skulle bidra till en bättre samordning mellan de behöriga nationella myndigheterna och göra deras åtgärder mer konsekventa.

19.

Europaparlamentet föreslår att kommissionen genom EU:s beredskapsplan för it-incidenter lägger fram förslag om bindande åtgärder för bättre samordning av tekniska funktioner och styrfunktioner på EU-nivå bland de nationella och statliga organisationerna för incidenthantering.

20.

Europaparlamentet uppmanar kommissionen och medlemsstaterna att vidta nödvändiga åtgärder för att skydda kritisk infrastruktur från it-angrepp och tillhandahålla medel för att hermetiskt avbryta tillgången till kritisk infrastruktur om ett direkt it-angrepp utgör ett allvarligt hot mot dess normala funktioner.

21.

Europaparlamentet ser fram emot ett fullständigt genomförande av EU:s organisationer för incidenthantering, som kommer att spela en nyckelroll när det gäller att förebygga, upptäcka och svara på avsiktliga och skadliga it-angrepp riktade mot EU:s institutioner samt för återhämtning efter angreppen.

22.

Europaparlamentet rekommenderar kommissionen att föreslå bindande åtgärder i syfte att införa minimisstandarder för säkerhet och motståndskraft och förbättra samordningen mellan de nationella organisationerna för incidenthantering (Cert).

23.

Europaparlamentet uppmanar medlemsstaterna och EU-institutionerna att se till att det finns välfungerande organisationer för incidenthantering med minimikrav på kompetens inom säkerhet och motståndskraft som bygger på överenskomna bästa metoder. De nationella organisationerna för incidenthantering bör ingå i ett effektivt nätverk där relevant information utväxlas i enlighet med nödvändiga sekretessnormer. Parlamentet kräver att en ständigt tillgänglig tjänst för skydd av kritisk informationsinfrastruktur inrättas för varje medlemsstat, och att ett gemensamt europeiskt katastrofprotokoll inrättas och blir tillämpligt mellan de nationella kontaktpunkterna.

24.

Europaparlamentet understryker att det är avgörande att skapa förtroende och främja samarbete mellan medlemsstaterna för att skydda uppgifter och nationella nätverk samt infrastruktur. Parlamentet uppmanar kommissionen att föreslå ett gemensamt förfarande för att fastställa och utforma en gemensam strategi för att komma till rätta med gränsöverskridande hot mot IKT, och förväntar sig att medlemsstaterna förser kommissionen med allmän information om risker, hot och sårbarheter i deras kritiska informationsinfrastruktur.

25.

Europaparlamentet välkomnar kommissionens initiativ att utveckla EU-systemet för informationsutbyte och varningar senast 2013.

26.

Europaparlamentet välkomnar att kommissionen initierat ett samråd med olika aktörer om internetsäkerhet och kritisk informationsinfrastruktur, som det offentlig-privata EU-partnerskapet för motståndskraft (EP3R). Parlamentet erkänner de redan betydande insatser och det engagemang som IKT-leverantörer har visat på området, och uppmuntrar kommissionen att göra mer för att uppmuntra högskolor och sammanslutningar av IKT-användare att spela en aktivare roll och att främja en konstruktiv flerpartsdialog om it-säkerhetsfrågor. Parlamentet stöder en fortsatt utveckling av ett digitalt forum som ett ramverk för kontroll av skydd av kritisk informationsinfrastruktur.

27.

Europaparlamentet välkomnar det arbete som medlemsstatsforumet (EFMS) hittills har utfört med att fastställa sektorspecifika kriterier för att kartlägga europeisk kritisk infrastruktur, med fokus på fast och mobil kommunikation, och med att diskutera EU:s principer och riktlinjer för ett motståndskraftigt och stabilt internet. Parlamentet ser fram emot att fortsätta bygga samförstånd bland medlemsstaterna, och uppmuntrar i detta sammanhang EFMS att komplettera den nuvarande strategin, som kretsar kring fysiska anläggningar, med insatser som även omfattar logiska infrastrukturanläggningar, vilka kommer att bli allt viktigare för ett effektivt skydd av kritisk informationsinfrastruktur i takt med att virtualisering och molnteknik utvecklas.

28.

Europaparlamentet föreslår att kommissionen lanserar ett offentligt EU-omfattande utbildningsinitiativ, som är inriktat på att utbilda och öka både privata och företagsbaserade slutanvändares kunskap om potentiella hot på internet och fast och mobil IKT-utrustning på alla nivåer i användningskedjan och på att främja säkrare nätbeteende hos den enskilde individen. Parlamentet påminner i detta sammanhang om de risker som är förknippade med föråldrad it-utrustning och programvara.

29.

Europaparlamentet uppmanar medlemsstaterna att, med stöd från kommissionen, stärka utbildningsprogrammen om informationssäkerhet som är inriktade på nationella brottsbekämpande och rättsliga myndigheter samt berörda EU-byråer.

30.

Europaparlamentet stöder skapandet av en europeisk kursplan för akademiska experter inom informationssäkerhet, eftersom det skulle ha en positiv inverkan på EU:s kompetens och beredskap när det gäller internet, som ju utvecklas ständigt, och hot mot det.

31.

Europaparlamentet förespråkar främjande av utbildning i it-säkerhet (praktikplatser för doktorander, universitetskurser, seminarier, yrkesutbildning för studenter, etc.) och specialiserade utbildningsövningar i skydd av kritisk infrastruktur.

32.

Europaparlamentet uppmanar kommissionen att före utgången av 2012 föreslå en övergripande strategi för internetsäkerhet för unionen, baserad på en tydlig terminologi. Parlamentet anser att strategin för internetsäkerhet bör syfta till att skapa ett internet som (med stöd av en säker och motståndskraftig infrastruktur och öppna standarder) befrämjar innovationer och välstånd genom ett fritt informationsflöde samtidigt som det garanterar tillförlitligt skydd av privatlivet och övriga medborgerliga friheter och rättigheter. Parlamentet vidhåller att strategin ska omfatta de principer, mål, metoder, instrument och åtgärder (såväl inre som yttre) som krävs för att effektivisera medlemsstaternas och EU:s insatser för att skapa säkra, kontinuerliga, robusta och motståndskraftiga tjänster, såväl i samband med kritisk infrastruktur som vid allmän användning av internet.

33.

Europaparlamentet framhåller att kommissionen i sin kommande it-säkerhetsstrategi bör ta arbetet med skydd av kritisk infrastruktur som en central referenspunkt och sträva efter ett systematiskt och helhetsbaserat tillvägagångssätt när det gäller it-säkerhet, genom att ta med både förebyggande åtgärder, såsom införande av miniminormer för säkerhetsåtgärder eller utbildning av individuella användare, företag och offentliga institutioner, och reaktiva åtgärder, såsom straffrättsliga, civilrättsliga och administrativa sanktioner.

34.

Europaparlamentet uppmanar kommissionen att föreslå en robust mekanism för att samordna genomförandet och regelbundet uppdatera säkerhetsstrategin för internet. Denna mekanism bör få stöd av tillräckliga administrativa, sakkunniga och ekonomiska resurser och dess ansvarsområde bör omfatta att underlätta EU:s arbete med att ta fram ståndpunkter i förbindelser med både egna och internationella aktörer om frågor som rör internetsäkerhet.

35.

Europaparlamentet uppmanar kommissionen att föreslå en EU-ram för anmälan av säkerhetsöverträdelser inom kritiska sektorer, såsom energi, transport, vatten- och livsmedelsförsörjning liksom inom IKT-sektorn och finansiella tjänster, för att garantera att de berörda medlemsstaternas myndigheter är informerade om it-incidenter, it-angrepp och it-störningar.

36.

Europaparlamentet uppmanar kommissionen att förbättra tillgängligheten till statistiskt representativa uppgifter om kostnaderna för it-angrepp i EU, medlemsstaterna och industrin (särskilt finansiella tjänster och IKT-sektorn) genom att stärka kapaciteten för datainsamling vid det planerade europeiska centrumet mot it-brottslighet (som ska inrättas senast 2013), organisationer för incidenthantering och andra initiativ från kommissionen, t.ex. EU-systemet för informationsutbyte och varningar, så att man kan garantera systematisk rapportering och utbyte av uppgifter om it-angrepp och andra former av it-brottslighet som rör de europeiska företagen och medlemsstaterna, och därmed stärka brottsbekämpningen.

37.

Europaparlamentet förespråkar en nära relation och ett nära samspel mellan den nationella privata sektorn och Enisa för att sammankoppla nationella/statliga incidenthanteringsorganisationer med utvecklingen av EU-systemet för informationsutbyte och varningar (Eisas).

38.

Europaparlamentet understryker att den främsta drivkraften bakom utvecklingen och användningen av teknik för att förbättra internetsäkerheten är IKT-industrin. Parlamentet påminner om att EU:s politik måste undvika att hindra tillväxten av EU:s internetekonomi och inbegripa de incitament som behövs för att utnyttja företags och offentlig-privata partnerskaps potential fullt ut. Parlamentet rekommenderar att ytterligare incitament utreds för att branschen ska utveckla mer tillförlitliga säkerhetsplaner i enlighet med direktiv 2008/114/EG.

39.

Europaparlamentet uppmanar kommissionen att lägga fram ett lagförslag för att ytterligare kriminalisera it-angrepp ((dvs. nätfiske, nätbedrägeri, etc.).

40.

Europaparlamentet påminner om att internationellt samarbete är det viktigaste instrumentet för att införa effektiva åtgärder för it-säkerhet. EU engagerar sig för närvarande inte kontinuerligt i internationella samarbetsprocesser och dialoger som rör it-säkerhet. Parlamentet uppmanar kommissionen och Europeiska utrikestjänsten (EEAS) att inleda en konstruktiv dialog med alla likasinnade länder i syfte att nå fram till samförstånd och åtgärder för att göra internet och kritisk infrastruktur mer robust. EU bör samtidigt, på en permanent basis, inkludera internetsäkerhetsfrågor i sina förbindelser med tredjeländer, bl.a. vid utformningen av olika finansiella instrument eller vid ingående av internationella avtal som innebär utbyte och lagring av känsliga uppgifter.

41.

Europaparlamentet uppmärksammar de positiva resultaten från Europarådet 2001 i Budapest och konventionen om it-relaterad brottslighet. Europeiska utrikestjänsten bör också, samtidigt som den uppmuntrar fler länder att underteckna och ratificera konventionen, utveckla bilaterala och multilaterala avtal om internetsäkerhet och motståndskraft med likasinnade internationella partner.

42.

Europaparlamentet påpekar att det stora antal pågående insatser som utförs av olika internationella institutioner och EU-institutioner, organ och byråer samt medlemsstater kräver samordning för att dubbelarbete ska undvikas. För detta ändamål är det värt att överväga att utse en tjänsteman med ansvar för samordning, eventuellt genom att utnämna en EU-samordnare för it-säkerhet.

43.

Europaparlamentet understryker vikten av en strukturerad dialog mellan de huvudaktörer och lagstiftare i EU och Förenta staterna som är inblandade i skyddet av kritisk infrastruktur, för att uppnå samförstånd och gemensam tolkning och syn på rättsliga ramar och styrelsestrukturer.

44.

Europaparlamentet välkomnar inrättandet av EU:s och Förenta staternas gemensamma arbetsgrupp för it-säkerhet och it-brottslighet under toppmötet mellan EU och Förenta staterna i november 2010. Parlamentet stöder gruppens arbete med att utveckla standarder som är nödvändiga för att underlätta internationellt samarbete kring digital säkerhet. Parlamentet välkomnar att kommissionen och den amerikanska regeringen, genom EU:s och Förenta staternas gemensamma arbetsgrupp, tillsammans utarbetar ett gemensamt program och en färdplan mot gemensamma/synkroniserade transkontinentala it-övningar under 2012–2013.

45.

Europaparlamentet föreslår att det inrättas en strukturerad dialog mellan lagstiftarna i Förenta staterna och EU, där man kan diskutera internetrelaterade frågor och nå fram till samsyn och gemensamma tolkningar och ståndpunkter.

46.

Europaparlamentet uppmanar Europeiska utrikestjänsten (EEAS) och kommissionen att med utgångspunkt från det arbete som utförs i medlemsstatsforumet försäkra sig om en aktiv position i relevanta internationella forum. Bland annat innebär detta en samordning av medlemsstaternas ståndpunkter i syfte att främja EU:s grundläggande värden, mål och politik som rör internetsäkerhet och motståndskraft. Parlamentet noterar att i dessa forum ingår Nato, FN (i synnerhet Internationella Teleunionen och Forumet för förvaltning av internet), Internet Corporation for Assigned Names and Numbers (ICANN), Internet Assigned Numbers Authority (IANA), Organisationen för säkerhet och samarbete i Europa (OSSE), OECD och Världsbanken.

47.

Europaparlamentet uppmuntrar kommissionen och Enisa att delta i de viktigaste dialogerna mellan aktörer för att fastställa tekniska och rättsliga normer på internet på internationell nivå.

48.

Europaparlamentet uppdrar åt talmannen att översända denna resolution till rådet och kommissionen.