6.4.2011   

SV

Europeiska unionens officiella tidning

C 107/58

1.1

Europeiska ekonomiska och sociala kommittén är mycket medveten om hur beroende det civila samhället i dag är av tjänster som tillhandahålls via internet. Kommittén är också medveten om det civila samhällets relativa okunskap om sin egen nätsäkerhet. EESK anser att Europeiska byrån för nät- och informationssäkerhet (Enisa) ska vara den byrå som ska hjälpa medlemsstaterna och tjänsteleverantörerna att höja den allmänna säkerhetsnivån så att alla internetanvändare vidtar åtgärder för att garantera sin egen personliga nätsäkerhet.

1.2

EESK stöder därför förslaget om att vidareutveckla Enisa för att bidra till en hög nivå av nät- och informationssäkerhet i EU samt öka medvetenheten om dessa frågor och utveckla en nät- och informationssäkerhetskultur i samhället som gynnar medborgarna, konsumenterna, företagen och den offentliga sektorns organisationer i Europeiska unionen och på så sätt bidra till att den inre marknaden fungerar väl.

1.3

Enisas uppdrag är nödvändigt för att nätinfrastrukturen för EU:s förvaltning, industri, handel och det civila samhället ska utvecklas på ett säkert sätt. EESK förväntar sig att Europeiska kommissionen fastställer mycket höga prestandakrav för Enisa och övervakar genomförandet med tanke på de föränderliga och framväxande hoten mot nätsäkerheten.

1.4

De nätstrategier som tagits fram av Nato, Europol och Europeiska kommissionen är alla beroende av ett effektivt samarbete med medlemsstater som själva har en bred uppsättning inhemska byråer som hanterar nätsäkerhet. Natos och Europols strategier anses vara både förebyggande och funktionella. I Europeiska kommissionens strategi är Enisa helt klart en viktig del i det komplexa pussel av byråer och uppdrag som hanterar skydd av kritisk informationsinfrastruktur. Fastän det inte finns något förslag i den nya förordningen om att ge Enisa några operativa uppgifter, så ser EESK fortfarande Enisa som den byrå som är främst ansvarig för skyddet av den kritiska informationsinfrastrukturen i EU:s civila samhälle.

1.5

Medlemsstaterna har det operativa ansvaret för nätsäkerheten på nationell nivå, men de 27 medlemsstaterna har mycket olika standarder för skyddet av kritisk informationsinfrastruktur. Enisas uppgift är att hjälpa de mindre välutrustade medlemsstaterna att komma upp till en godtagbar nivå. Byrån måste se till att medlemsstaterna samarbetar med varandra och hjälpa dem att tillämpa goda metoder. Vad gället gränsöverskridande hot, så måste Enisas roll vara att varna och förebygga.

1.6

Enisa måste också delta i internationellt samarbete med länder utanför EU. Sådant samarbete kommer att vara ytterst politiskt och omfatta många EU-institutioner, men EESK anser att Enisa måste agera på den internationella arenan.

1.7

Kommittén anser att Enisa kan spela en mycket viktig roll genom att bidra till och inleda forskningsprojekt på säkerhetsområdet.

1.8

I samband med konsekvensanalysen kommer EESK inte i nuläget att fullt ut stödja genomförandet av alternativen 4 och 5, vilket skulle göra Enisa till en operativ byrå. Nätsäkerhet är ett så stort problem och ett område där hotbilden ständigt förändras att medlemsstaterna måste upprätthålla förmågan att bekämpa hot på ett förebyggande sätt. När EU:s operativa byråer utvecklas leder detta vanligtvis till kunskapsförluster i medlemsstaterna. På området för nätsäkerhet är förhållandet det omvända – medlemsstaterna måste få större kunskap i ämnet.

1.9

EESK förstår kommissionens tanke med att ge Enisa ett väl avgränsat och kontrollerbart uppdrag med därtill anpassade resurser. Trots detta är kommittén bekymrad över att Enisas fastställda mandatperiod på fem år kan begränsa långsiktiga projekt och äventyra utvecklingen av mänskligt kapital och kunskap inom byrån. Denna byrå kommer att vara ganska liten till sin storlek, men hantera ett stort och växande problem. Räckvidden av och storleken på Enisas uppgifter innebär att byrån måste anlita grupper av experter. Byråns uppgifter kommer att vara blandade och bestå av både kortsiktiga uppdrag och långsiktiga projekt. EESK skulle därför föredra att Enisa fick ett dynamiskt och inte tidsbegränsat mandat som löpande godkänns genom regelbundna bedömningar och utvärderingar. Medel skulle då kunna omfördelas successivt när så behövs.

2.1

Detta yttrande avser förordningen om att vidareutveckla Europeiska byrån för nät- och informationssäkerhet (Enisa).

2.2

Kommissionen lade fram sitt första förslag till en politisk strategi för nät- och informationssäkerhet i ett meddelande från 2001 (KOM(2001) 298 slutlig). Daniel Retureau utarbetade ett utförligt yttrande (1) som svar på detta meddelande.

2.3

Kommissionen lade sedan fram ett förslag till en förordning om inrättandet av Enisa (KOM(2003) 63 slutlig). EESK:s yttrande (2) om denna förordning utarbetades av Göran Lagerholm. Byrån inrättades slutligen genom förordning (EG) nr 460/2004.

2.4

När internetanvändningen fortsatte att öka exponentiellt blev informationssäkerheten ett allt större problem. År 2006 publicerade kommissionen sitt meddelande om en strategi för ett säkert informationssamhälle (KOM(2006) 251 slutlig). Antonello Pezzini utarbetade EESK:s yttrande (3).

2.5

Man oroade sig allt mer över informationssäkerheten och år 2009 lade kommissionen fram ett förslag om skydd av kritisk informationsinfrastruktur (KOM(2009) 149 slutlig). Thomas McDonogh utarbetade yttrandet (4), som antogs av EESK:s plenarförsamling i december 2009.

2.6

Enligt föreliggande förslag ska Enisa stärkas och förbättras för att bidra till en hög nät- och informationssäkerhet i EU, öka medvetenheten om dessa frågor och utveckla en kultur av nät- och informationssäkerhet som gynnar medborgarna, konsumenterna, företagen och den offentliga sektorns organisationer i EU och därmed bidra till att den inre marknaden fungerar väl.

2.7

Enisa är dock inte den enda planerade säkerhetsbyrån i EU:s cyberrymd. Att reagera på cyberkrigföring och -terrorism hör till militärens ansvarsområden. Nato är den viktigaste organisationen på detta område. Enligt Natos nya strategiska koncept, som lades fram i Lissabon i november 2010 (tillgänglig via http://www.nato.int/lisbon2010/strategic-concept-2010-eng.pdf), kommer Nato att ”fortsätta att utveckla sin förmåga att förebygga, upptäcka, försvara sig mot och återhämta sig från IT-attacker, bland annat genom att använda Natos planeringsprocess för att förbättra och samordna nationella cyberförsvarskapaciteter, införliva alla Natoorgan i ett centraliserat IT-skydd, samt se till att medlemsländerna införlivar Natos IT-medvetenhet och varnings- och reaktionssystem”.

2.8

Efter IT-attacken mot Estland år 2007 inrättades Cooperative Cyber Defence Centre of Excellence (CCD COE) formellt den 14 maj 2008 för att förbättra Natos försvarsförmåga på IT-området. Centrumet har sitt säte i Tallinn, Estland, och är ett internationellt samarbete som för närvarande stöds av Estland, Lettland, Litauen, Tyskland, Ungern, Italien, Slovakien och Spanien.

2.9

Elektronisk brottslighet på EU-nivå hör till Europols ansvarsområde. Nedanstående text är ett utdrag ur ett skriftligt underlag från Europol till det brittiska överhuset (se http://www.publications.parliament.uk/pa/ld200910/ldselect/ldeucom/68/68we05.htm):

Det är helt klart så att brottsbekämpande organ måste hålla jämna steg med de kriminellas teknologiska utveckling för att kunna garantera att brott kan förebyggas eller upptäckas på ett effektivt sätt. Högteknologins gränslösa natur innebär dessutom att kapaciteten måste hålla lika hög standard i hela EU så att inga ”svaga punkter” uppstår där högteknologiska brott kan begås ostraffat. Denna kapacitet ser långt ifrån likadan ut inom EU. I verkligheten är utvecklingen tydligt asymmetrisk – några medlemsstater kämpar sig fram och gör stora framsteg på vissa områden, medan andra medlemsstater släpar efter på det tekniska planet. Detta gör att det behövs en centraliserad tjänst som kan hjälpa alla medlemsstater att samordna gemensamma aktiviteter, främja standardiseringen av metoder och kvalitetsnormer samt fastställa och dela bästa metoder. Detta är det enda sättet att kunna säkerställa ett enhetligt arbete bland de brottsbekämpande organen i EU för att bekämpa högteknologisk brottslighet.

2.10

Det högteknologiska centrumet för brottsutredning (High Tech Crime Centre, HTCC) inrättades vid Europol år 2002. Det är en relativt liten enhet, men den förväntas växa i framtiden eftersom den anses vara en av Europols viktigaste verksamheter på detta område. Det högteknologiska centrumet för brottsutredning har en viktig funktion vad gäller samordning, operativt stöd, strategisk analys och utbildning. Utbildningsfunktionen är särskilt viktig. Dessutom har Europol inrättat en europeisk plattform för IT-brottslighet, den s.k. European Cyber Crime Platform (ECCP). Följande ämnen står i fokus:

2.11

EU:s strategi för nätsäkerhet beskrivs i kapitlet ”Tillit och säkerhet” i En digital agenda för Europa. Utmaningarna beskrivs på följande sätt:

Internet har hittills visat sig vara anmärkningsvärt säkert, motståndskraftigt och stabilt, men IT-näten och slutanvändarnas terminaler är fortfarande sårbara för en stor mängd föränderliga hot: På senare år har mängden skräppost ökat till den grad att det blir e-posttrafikstockningar på Internet. Det finns beräkningar som visar att mellan 80 och 98 % av alla e-meddelanden utgörs av skräppost, som även sprider olika typer av virus och sabotageprogram. Identitetsstölder och onlinebedrägerier börjar bli ett allt större problem. Attackerna blir mer och mer sofistikerade (t.ex. trojaner och botnät) och drivs ofta av ekonomiska motiv. De kan också ha politiska motiv, vilket yttrar sig i senare tids cyberattacker mot Estland, Litauen och Georgien.

2.12

Agendan omfattar följande åtgärder:

Nyckelåtgärd 6: Under 2010 lägga fram åtgärder för en stärkt politik för nät- och informationssäkerhet på hög nivå, bl.a. lagstiftningsinitiativ som en modernisering av Enisa och andra åtgärder för att möjliggöra snabbare insatser vid cyberattacker, inklusive en incidenthanteringsorganisation (Cert) för EU-institutionerna.

Nyckelåtgärd 7: Lägga fram åtgärder, inklusive lagstiftningsinitiativ, för att bekämpa cyberattacker mot informationssystem senast 2010 och bestämmelser om jurisdiktion i cyberrymden på EU-nivå och internationell nivå senast 2013.

2.13

I ett meddelande från november 2010 (KOM(2010) 673 slutlig) driver kommissionen agendan framåt genom att skissera EU:s strategi för den inre säkerheten. Den består av fem mål och det tredje målet är att förbättra säkerheten för medborgare och företag på internet. Tre åtgärdsprogram är planerade och detaljerna för åtgärderna anges i följande tabell (hämtad från kommissionens meddelande via http://ec.europa.eu/commission_2010-2014/malmstrom/archive/internal_security_strategy_in_action_en.pdf).

2.14

De internetstrategier som tagits fram av Nato, Europol och Europeiska kommissionen är alla beroende av ett effektivt samarbete med medlemsstater som själva har en rad inhemska byråer som hanterar frågor som rör nätsäkerhet. Natos och Europols strategier anses vara både förebyggande och funktionella. I Europeiska kommissionens strategi är Enisa helt klart en viktig del i det komplexa pusslet av byråer och uppdrag som hanterar skydd av kritisk informationsinfrastruktur. Fastän det inte föreligger något förslag i den nya förordningen om att ge Enisa några operativa uppgifter, så ser EESK fortfarande Enisa som den byrå som är främst ansvarig för skyddet av den kritiska informationsinfrastrukturen i EU:s civila samhälle.

3.1

Följande sju problemkällor ska hanteras av Enisa:

3.2

Enisa-förslaget skapar en kontaktpunkt för både existerande bestämmelser och de nya initiativ som lagts fram i EU:s digitala agenda.

3.3

Följande existerande politiska initiativ stöds av Enisa:

3.4

Enisa stöder bland annat följande nya utvecklingsområden:

3.5

Fem olika alternativ undersöktes innan detta förslag färdigställdes. Varje alternativ var knutet till olika uppdrag och resurser. Det tredje alternativet valdes. Detta alternativ inbegriper att utöka de uppgifter som finns fastställda i dag för Enisa samt att rättsvårdande myndigheter och myndigheter som ansvarar för skydd av personlig integritet blir intressenter i byrån.

3.6

Enligt alternativ 3 skulle en moderniserad byrå för nät- och informationssäkerhet bidra till följande:

3.7

Enligt alternativ 3 skulle Enisa få alla de resurser som krävs för att utföra sina arbetsuppgifter på ett tillfredsställande och grundligt sätt, dvs. så att genomslagskraften verkligen märks. Med mer resurser (5) skulle Enisa kunna inta en mer proaktiv roll och ta fler initiativ för att stimulera aktivt deltagande av berörda parter. Denna nya situation skulle också ge byrån större flexibilitet och förmåga att reagera snabbt på ändringar i den ständigt föränderliga nät- och informationssäkerhetsmiljön.

3.8

Alternativ 4 innebär att bekämpande av cyberattacker och reaktion på cyberincidenter läggs till byråns uppgifter. Utöver de ovanstående uppgifterna skulle byrån ha operativa funktioner, såsom en mer aktiv roll i EU:s skydd av kritisk informationsinfrastruktur, t.ex. när det gäller att bekämpa och reagera på incidenter. Den skulle fungera dels som en incidenthanteringsorganisation (Cert) inom EU för nät- och informationssäkerhet, dels som EU:s ”Storm Centre” för att samordna nationella Cert för nät- och informationssäkerhet, både när det gäller det löpande arbetet och hantering av nödsituationer.

3.9

Alternativ 4 skulle utöver de verkningar som alternativ 3 innebär ge större genomslagskraft på operativ nivå. Genom att fungera som EU:s incidenthanteringsorganisation (Cert) och genom att samordna nationella Cert skulle byrån bidra till ekonomiska stordriftsfördelar genom att hantera incidenter på EU-nivå och minska driftriskerna för företag, till exempel genom högre säkerhets- och motståndskraftsnivåer. Alternativ 4 skulle innebära en kraftig ökning av byråns budget och personal, vilket skulle vålla bekymmer vad gäller byråns absorptionsförmåga och verkliga budgetanvändning i förhållande till de fördelar man vill uppnå.

3.10

Alternativ 5 innebär att byrån ska stödja ordningsmakten och rättsliga myndigheter i bekämpandet av cyberbrottslighet. Utöver uppgifterna i alternativ 4 skulle detta innebära följande funktioner för byrån:

3.11

Alternativ 5 skulle vara effektivare när det gäller att bekämpa cyberbrottslighet än alternativen 3 och 4, eftersom operativa funktioner tillförs för att stödja brottsbekämpande och rättsvårdande myndigheter.

3.12

Alternativ 5 skulle kräva en kraftig ökning av byråns resurser och återigen vålla bekymmer när det gäller absorptionsförmåga och effektiv användning av budgetmedel.

3.13

Även om både alternativ 4 och 5 skulle ha större positiv inverkan än alternativ 3 anser kommissionen att det finns många anledningar till att inte verka för dessa alternativ:

4.1

Byrån ska bistå kommissionen och medlemsstaterna för att uppfylla kraven i lagar och andra förordningar avseende nät- och informationssäkerhet.

4.2

Styrelsen ska fastställa de allmänna riktlinjerna för byråns arbete.

4.3

Styrelsen ska bestå av en företrädare för varje medlemsstat, tre ledamöter som utses av kommissionen samt en representant var från IKT-branschen, konsumentgrupper och akademiska världen inom nät- och informationssäkerhet.

4.4

Byrån ska ledas av en oberoende verkställande direktör som kommer att ha ansvaret för att utforma byråns arbetsprogram som ska godkännas av styrelsen.

4.5

Den verkställande direktören har även ansvaret för att utforma den årliga budgeten utifrån arbetsprogrammet. Styrelsen måste lägga fram både budgeten och arbetsprogrammet för godkännande av kommissionen och medlemsstaterna.

4.6

Styrelsen ska på förslag av den verkställande direktören inrätta en ständig intressentgrupp bestående av experter som företräder informations- och kommunikationstekniksbranschen, konsumentgrupper, den akademiska världen, rättsvårdande myndigheter samt myndigheter med ansvar för skydd av personlig integritet.

4.7

Eftersom förordningen ännu befinner sig på förslagsstadiet är siffrorna fortfarande något osäkra. I dag har byrån 44–50 anställda och en budget på 8 miljoner euro. Man kan tänka sig att alternativ 3 medför att byrån får 99 anställda och en budget på 17 miljoner euro.

4.8

I förordningen föreslås det att mandatperioden ska vara fem år.