Yttrande av Europeiska ekonomiska och sociala kommittén om Förslag till Europaparlamentets och rådets förordning om inrättande av Europeiska kompetenscentrumet för cybersäkerhet inom näringsliv, teknik och forskning och av nätverket av nationella samordningscentrum

(COM(2018) 630 final — 2018/0328 (COD))

(2019/C 159/10)

Föredragande: Antonio LONGO

Medföredragande: Alberto MAZZOLA

Remiss	Europeiska rådet, 5.10.2018 Europaparlamentet, 1.10.2018
Rättslig grund	Artiklarna 173.3, 188 och 304 i fördraget om Europeiska unionens funktionssätt
Ansvarig facksektion	Facksektionen för transporter, energi, infrastruktur och informationssamhället
Antagande av facksektionen	9.1.2019
Antagande vid plenarsessionen	23.1.2019
Plenarsession nr	540
Resultat av omröstningen (för/emot/nedlagda röster)	143/5/2

1. Slutsatser och rekommendationer

1.1

Europeiska ekonomiska och sociala kommittén (EESK) välkomnar kommissionens initiativ och anser det vara ett ändamålsenligt steg i utvecklingen av en näringslivsstrategi för cybersäkerhet och ett strategiskt drag för att åstadkomma en robust och omfattande digital autonomi. Dessa aspekter är nödvändiga om EU ska kunna stärka sina försvarsmekanismer mot den pågående cyberkrigföring som hotar att undergräva dess politiska, ekonomiska och sociala system.

1.2

Kommittén påpekar att en strategi för cybersäkerhet måste åtföljas av utbredd medvetenhet och ett säkert beteende hos alla användare.

1.3

Kommittén stöder de allmänna målen i förslaget och är medveten om att vissa aspekter av dess funktion kommer att bli föremål för en senare analys. Kommittén anser dock, eftersom detta är en förordning, att vissa känsliga aspekter med anknytning till styrning, finansiering och uppnående av de fastställda målen bör fastställas i förväg. Det är viktigt att det framtida nätverket och centrumet i så stor utsträckning som möjligt bygger vidare på medlemsstaternas cyberfärdigheter och sakkunskaper och att befogenheterna inte koncentreras till det centrum som ska inrättas. Vidare måste man förhindra att verksamhetsområdena för det framtida nätverket och centrumet överlappar med dem för befintliga samarbetsmekanismer och institutioner.

1.4

EESK ställer sig bakom att samarbetet utvidgas till att omfatta näringslivet på grundval av fasta åtaganden på den vetenskapliga fronten och när det gäller investeringar, samt genom att i framtiden inkludera det i styrelsen. I händelse av ett trepartssamarbete mellan kommissionen, medlemsstaterna och näringslivet bör deltagandet av företag från länder utanför EU begränsas till de som sedan länge är etablerade på europeisk mark och fullt ut är en del av EU:s tekniska och industriella bas, och deras deltagande bör vara föremål för lämpliga kontroll- och tillsynsmekanismer, följa reciprocitetsprincipen och uppfylla skyldigheter avseende konfidentialitet.

1.5

Cybersäkerhet bör vara ett gemensamt åtagande för alla medlemsstater, som därför bör delta i styrelsen genom förfaranden som fastställs senare. Deras finansiella bidrag skulle kunna bygga på fördelningen av EU-medel till varje medlemsstat.

1.6

I förslaget bör man bättre förtydliga hur centrumet kommer att delta i samordningen av finansieringskanalerna från programmen Ett digitalt Europa och Horisont Europa och, framför allt, vilka riktlinjer som kommer att följas vid utformning och tilldelning av kontrakt. Detta är av yttersta vikt för att undvika dubbelarbete och överlappningar. Vidare bör man, för att öka budgeten, utöka synergierna till EU:s andra finansiella instrument (t.ex. regionala fonder, strukturfonder, FSE, EUF, InvestEU osv.).

1.7

EESK anser att det är viktigt att fastställa detaljerna i samarbetsarrangemangen och förbindelserna mellan det europeiska centrumet och de nationella centrumen. Det är även viktigt att de nationella centrumen finansieras av EU, åtminstone när det gäller deras administrativa kostnader, så att harmoniseringen därigenom underlättas vad gäller administration och expertis i syfte att minska klyftan mellan EU-länderna.

1.8

Kommittén understryker betydelsen av humankapital och hoppas att kompetenscentrumet, i samarbete med universitet, forskningscentrum och centrum för högre utbildning kan främja initiativ som syftar till att ge människor en utbildning av hög kvalitet, bland annat genom särskilda kurser på högskole- och gymnasienivå. På samma sätt är det av yttersta vikt att sörja för särskilt stöd till uppstartsföretag och till små och medelstora företag.

1.9

EESK anser det vara mycket viktigt att ytterligare förtydliga centrumets och Europeiska unionens byrå för nät- och informationssäkerhets (Enisa) respektive behörighetsområden och skiljelinjerna mellan dem, samt att tydligt fastställa hur de ska samarbeta och ömsesidigt stödja varandra och samtidigt undvika överlappningar mellan befogenheterna och dubbelarbete. Liknande problem uppstår med andra organ som arbetar med cybersäkerhet, t.ex. EDA, Europol och CERT-EU, och det rekommenderas att mekanismer upprättas för en strukturerad dialog mellan vart och ett av de olika organen.

2. Den nuvarande ramen för cybersäkerhet

2.1

Cybersäkerhet är en av de frågor som ligger allra högst på EU:s dagordning på grund av att den spelar en väsentlig roll i skyddet av institutioner, företag och enskilda, samt är ett nödvändigt verktyg för att faktiskt skydda demokratier. Ett av de fenomen som är mest oroande är den exponentiella ökningen av förekomsten av skadlig programvara som sprids online via automatiserade system, och som har ökat från 130 000 år 2007 till 8 miljoner år 2017. Vidare är EU en nettoimportör av cybersäkerhetsprodukter och lösningar, och detta är problematiskt för den ekonomiska konkurrenskraften och för den civila och militära säkerheten.

2.2

Även om EU har betydande kompetens och erfarenhet på området cybersäkerhet är branschen, universiteten och forskningscentrumen fortfarande uppsplittrade och saknar anpassningar samt en gemensam utvecklingsstrategi. Detta beror på att de relevanta cybersäkerhetssektorerna (t.ex. sektorerna för energi, rymd, försvar och transport) inte har tillräckligt stöd, medan synergier mellan civil och försvarsrelaterad cybersäkerhet inte tillvaratas.

2.3

För att ta itu med de växande utmaningarna upprättade EU år 2013 en cybersäkerhetsstrategi i syfte att främja ett tillförlitligt, säkert och öppet ekosystem för cybersäkerhet (1). Senare, år 2016, antogs de första specifika åtgärderna för säkerhet i nätverks- och informationssystem (2). Detta förfarande ledde till skapandet av ett offentlig-privat partnerskap för cybersäkerhet.

2.4

År 2017, i meddelandet ”Resiliens, avskräckning och försvar: ett starkt cyberförsvar för EU” (3), påpekades behovet av att se till att EU behåller och utvecklar nödvändig teknisk kapacitet inom cybersäkerhet för att trygga den digitala inre marknaden och framför allt skydda kritiska nätverk och informationssystem samt tillhandahålla grundläggande cybersäkerhetstjänster.

2.5

Därför måste EU kunna säkra sina digitala tillgångar och processer och konkurrera på en global cybersäkerhetsmarknad i syfte att åstadkomma en robust och omfattande digital autonomi (4).

3. Kommissionens förslag

3.1

Kompetenscentrumet (eller ”centrumet”) ska främja och bidra till att samordna arbetet inom nätverket av nationella centrum och stödja kompetensgemenskapen för cybersäkerhet genom att driva agendan i cybersäkerhetsfrågor och göra det lättare att få tillgång till den sakkunskap som samlas i nätverket.

3.2

För att åstadkomma detta kommer centrumet i synnerhet att genomföra relevanta delar av programmen Ett digitalt Europa och Horisont Europa genom att bevilja bidrag och utföra offentliga upphandlingar. Mot bakgrund av de enorma investeringar i cybersäkerhet som gjorts i andra delar av världen och behovet av att samordna och slå samman relevanta resurser i Europa föreslås att kompetenscentrumet ska utgöra ett europeiskt partnerskap med en dubbel rättslig grund, och sålunda underlätta gemensamma investeringar av unionen, medlemsstaterna och/eller näringslivet

3.3

Det föreskrivs i förslaget att medlemsstaterna ska lämna proportionella bidrag till kompetenscentrumets och nätverkets åtgärder. Den budgetfördelning som EU föreslår är cirka två miljarder euro från programmet Ett digitalt Europa, ett belopp som ska fastställas från programmet Horisont Europa, och ett totalt bidrag från medlemsstaterna som åtminstone ska vara lika stort som det från EU.

3.4

Det huvudsakliga beslutande organet är styrelsen, där alla medlemsstater deltar men endast de medlemsstater som deltar finansiellt har rösträtt. Röstsystemet följer principen om dubbel majoritet där det fordras 75 % av det finansiella bidraget och 75 % av rösterna. Kommissionen ska ha 50 % av rösterna. Centrumet biträds av en näringslivs- och vetenskapsnämnd för att säkerställa dialog med företag, konsumenter och andra berörda intressenter.

3.5

Centrumet skulle, i nära samarbete med nätverket av nationella samordningscentrum och kompetensgemenskapen för cybersäkerhet, vara det genomförandeorgan som får merparten av de EU-medel som avsätts för cybersäkerhet i de föreslagna programmen Ett digitalt Europa och Horisont Europa.

3.6

De nationella samordningscentrumen ska utses av medlemsstaterna. Dessa centrum ska själva besitta eller ha direkt tillgång till teknisk sakkunskap inom cybersäkerhet, framför allt när det gäller kryptografi, IKT-säkerhetstjänster, automatisk intrångsdetektering, systemsäkerhet, nätverkssäkerhet, programvaru- och applikationssäkerhet samt säkerhets- och integritetsaspekter för enskilda och samhället. De bör även ha kapacitet att effektivt samverka och samordna med näringsliv och den offentliga sektorn, inklusive de myndigheter som utses i enlighet med direktiv (EU) 2016/1148.

4. Allmänna kommentarer

4.1

EESK välkomnar kommissionens initiativ och anser det vara ett strategiskt drag för utvecklingen av cybersäkerhet, som ger verkan åt de beslut som fattades vid toppmötet i Tallinn i september 2017. Vid detta tillfälle uppmanade stats- och regeringscheferna EU att göra Europa ledande inom cybersäkerhet senast 2025 i syfte att säkerställa våra medborgares, konsumenters och företags tillit, förtroende och skydd online och att möjliggöra ett fritt och reglerat internet.

4.2

EESK upprepar att vi för närvarande befinner oss mitt i en fullfjädrad cyberkrigföring som hotar att undergräva våra politiska, ekonomiska och sociala system, attackerar institutioners it-system, kritisk infrastruktur (t.ex. energi, transport, bankväsendet och finansinstitut) och företag, samt påverkar – delvis genom fejknyheter – val och demokratiska förfaranden i allmänhet (5). En hög medvetenhet måste därför främjas i kombination med ett beslutsamt svar i rätt tid. Av dessa anledningar krävs en tydlig näringslivsstrategi för cybersäkerhet med starkt stöd som en förutsättning för att åstadkomma digital autonomi. EESK anser att arbetsprogrammet bör prioritera sektorer som fastställs i direktiv (EU) 2016/1148, som är tillämpligt på företag som tillhandahåller tjänster, offentliga eller privata, som är viktiga på grund av deras betydelse för samhället (6).

4.3

Kommittén påpekar att en strategi för cybersäkerhet måste åtföljas av omfattande medvetenhet och ett säkert beteende hos alla användare. Av denna anledning måste alla teknikinitiativ åtföljas av lämpliga upplysningskampanjer i syfte att skapa en ”digital säkerhetskultur” (7).

4.4

4.5

Kommittén påpekar att den, i sitt yttrande TEN/646 om cybersäkerhetsakten (8), föreslog ett trepartssamarbete i form av ett offentlig-privat partnerskap mellan kommissionen, medlemsstaterna och näringslivet, däribland små och medelstora företag, medan den nuvarande strukturen, vars rättsliga form måste konkretiseras, i allt väsentligt sörjer för ett offentlig-privat partnerskap mellan kommissionen och medlemsstaterna.

4.6

EESK ställer sig bakom att samarbetet utvidgas till att omfatta näringslivet på grundval av fasta åtaganden på den vetenskapliga fronten och när det gäller investeringar, samt genom att i framtiden inkludera det i styrelsen. Det kan hända att inrättandet av en näringslivs- och vetenskapsnämnd inte säkerställer en fortlöpande dialog med företag, konsumenter och andra berörda intressenter. Vidare är det, i det nya landskap som uppskissats av kommissionen, inte helt tydligt vilken roll Europeiska cybersäkerhetsorganisationen (Ecso) kommer att spela. Detta organ inrättades i juni 2016 på kommissionens initiativ för att fungera som kommissionens motpart, och dess kapital i form av nätverk och expertis bör inte slösas bort.

4.6.1

I händelse av ett trepartssamarbete är det viktigt att uppmärksamma situationen för företag från tredjeländer. EESK betonar i synnerhet att ett sådant partnerskap bör understödjas av en robust mekanism för att förhindra deltagande av företag från länder utanför EU, vilka skulle kunna undergräva EU:s säkerhet och autonomi. De relevanta klausuler som fastställts i det europeiska försvarsindustriella utvecklingsprogrammet (9) bör även tillämpas i detta sammanhang.

4.6.2

Samtidigt erkänner EESK att vissa företag som är från länder utanför EU, men som har varit etablerade länge på europeisk mark och fullt ut är en del av EU:s tekniska och industriella bas, skulle kunna vara väldigt användbara för EU-projekt, och bör ha tillgång till dessa projekt under förutsättning att medlemsstaterna säkerställer ordentliga kontroll- och tillsynsmekanismer för dessa företag, samt på villkor att reciprocitetsprincipen och skyldigheter avseende konfidentialitet respekteras.

4.7

Cybersäkerhet kräver ett gemensamt åtagande från alla medlemsstater, som därför bör delta i styrelsen genom förfaranden som fastställs senare. Det är även viktigt att alla medlemsstater lämnar ett tillräckligt finansiellt bidrag till kommissionens initiativ. Deras finansiella bidrag skulle kunna bygga på fördelningen av EU-medel till varje medlemsstat.

4.8

EESK instämmer i att det bör stå varje medlemsstat fritt att utse en egen representant till det europeiska kompetenscentrumets styrelse. EESK rekommenderar att de nationella representanternas profiler definieras tydligt och kombinerar strategisk och teknisk expertis med färdigheter inom förvaltning, administration och budgetarbete.

4.9

I förslaget bör man bättre förtydliga hur centrumet kommer att delta i samordningen av finansieringskanalerna från programmen Ett digitalt Europa och Horisont Europa, som fortfarande är föremål för förhandlingar, och, framför allt, vilka riktlinjer som kommer att följas vid utformning och tilldelning av kontrakt. Detta är av yttersta vikt för att undvika dubbelarbete och överlappningar. Vidare bör man, för att öka budgeten, utöka synergierna till EU:s andra finansiella instrument (t.ex. regionala fonder, strukturfonder, FSE, EUF, InvestEU osv.). Kommittén önskar att nätverket av nationella centrum ska delta i förvaltningen och samordningen av fonderna.

4.10

EESK noterar att den rådgivande kommittén bör bestå av 16 medlemmar och att det inte förtydligas vilka mekanismer som ska användas för att involvera näringslivet, universitet, forskningscentrum och konsumenter. EESK anser att det skulle vara användbart och tillrådligt att medlemmarna i den rådgivande kommittén utmärks av sina stora kunskaper på området och på ett balanserat sätt representerar de olika sektorer som berörs.

4.11

4.12

I linje med sina tidigare yttranden (10) understryker EESK vikten av att utbilda människor till att bli högkompetenta inom området cybersäkerhet, inbegripet genom särskilda skol-, universitets- och forskarutbildningar. Det bör även erbjudas tillräckligt finansiellt stöd till små och medelstora företag och uppstartsföretag i sektorn (11), som är mycket viktiga för utvecklingen av toppmodern forskning.

4.13

EESK anser att det är mycket viktigt att ytterligare förtydliga centrumets och Enisas respektive behörighetsområden och skiljelinjerna mellan dem, samt att tydligt fastställa hur de ska samarbeta och ömsesidigt stödja varandra och samtidigt undvika överlappningar mellan befogenheterna och dubbelarbete (12). I förslaget till förordning fastställs att en Enisarepresentant ska vara en permanent observatör i styrelsen, men detta garanterar dock inte någon strukturerad dialog mellan de två organen. Liknande problem uppstår med andra organ som arbetar med cybersäkerhet, t.ex. EDA, Europol och CERT-EU. Det är i detta avseende intressant att notera att ett samförståndsavtal tecknades i maj 2018 mellan Enisa, EDA, Europol och CERT-EU.

Bryssel den 23 januari 2019.

ordförande

Luca JAHIER

Europeiska ekonomiska och sociala kommitténs

(1) JOIN(2013) 1 final.

(2) Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen (EUT L 194, 19.7.2016, s. 1).

(3) JOIN(2017) 450 final.

(4) EUT C 227, 28.6.2018, s. 86.

(5) Informationsrapport om ”Hur medierna används för att påverka de sociala och politiska processerna i EU och de östliga grannländerna”1, Indrė Vareikytė, 2014.

(6) EUT C 227, 28.6.2018, s. 86.

(7) EUT C 227, 28.6.2018, s. 86.

(8) EUT C 227, 28.6.2018, s. 86.

(9) COM(2017) 294.

(10) EUT C 451, 16.12.2014, s. 25.

(11) EUT C 227, 28.6.2018, s. 86.

(12) EUT C 227, 28.6.2018, s. 86.