Opinia Europejskiego Komitetu Ekonomiczno-Społecznego "Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie Agencji UE ds. Bezpieczeństwa Cybernetycznego" ENISA, uchylenia rozporządzenia (UE) nr 526/2013 oraz certyfikacji bezpieczeństwa cybernetycznego w zakresie technologii informacyjno-komunikacyjnych (akt ws. Bezpieczeństwa cybernetycznego")" [COM(2017) 477 final/2 2017/0225 (COD)].
Dz.U.UE.C.2018.227.86
Akt nienormatywnyOpinia Europejskiego Komitetu Ekonomiczno-Społecznego "Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie »Agencji UE ds. Bezpieczeństwa Cybernetycznego« ENISA, uchylenia rozporządzenia (UE) nr 526/2013 oraz certyfikacji bezpieczeństwa cybernetycznego w zakresie technologii informacyjno-komunikacyjnych (»akt ws. Bezpieczeństwa cybernetycznego«)"
(2018/C 227/13)
(Dz.U.UE C z dnia 28 czerwca 2018 r.)
Sprawozdawca: Alberto MAZZOLA
Współsprawozdawca: Antonio LONGO
Konsultacja Parlament Europejski, 23.10.2017
Rada Unii Europejskiej, 25.10.2017
Podstawa prawna Art. 114 Traktatu o funkcjonowaniu Unii
Europejskiej
Sekcja odpowiedzialna Sekcja Transportu, Energii, Infrastruktury
i Społeczeństwa Informacyjnego
Data przyjęcia przez sekcję 5.2.2018
Data przyjęcia na sesji plenarnej 14.2.2018
Sesja plenarna nr 532
Wynik głosowania 206/1/2
(za/przeciw/wstrzymało się)
Obowiązek dochowania należytej staranności: rozwinięcie proponowanej, wspomnianej we wspólnym komunikacie zasady "obowiązku dochowania należytej staranności" w celu zastosowania procesów bezpiecznego rozwoju cyklu życia jest ciekawą koncepcją, która musi zostać opracowana wspólnie z przemysłem UE i która mogłaby prowadzić do przyjęcia kompleksowego podejścia do zgodności z prawem UE. W przyszłych działaniach należy uwzględniać kwestię bezpieczeństwa domyślnego (security by default).
Odpowiedzialność: certyfikacja pomoże w obarczeniu odpowiedzialnością na wypadek sporu.
Zdaniem EKES-u pełne i skuteczne wdrożenie dyrektywy w sprawie bezpieczeństwa sieci i informacji jest niezbędne do zapewnienia odporności krytycznych sektorów krajowych.
EKES uważa, że należy wzmocnić wymianę informacji między podmiotami publicznymi i prywatnymi za pośrednictwem ośrodków wymiany i analizy informacji (ISAC). Trzeba opracować odpowiedni mechanizm umożliwiający bezpieczną wymianę informacji w obrębie ISAC oraz między CSIRT a ISAC, w oparciu o ocenę/analizę obecnie stosowanego mechanizmu.
Podejście oparte na planie działania stanowiłoby skuteczne narzędzie reagowania operacyjnego na incydenty na szeroką skalę na szczeblu UE i państw członkowskich. Komitet podkreśla potrzebę włączenia sektora prywatnego. Niezbędne jest uwzględnienie w mechanizmie reagowania operacyjnego operatorów usług kluczowych, gdyż mogą oni dostarczyć cennych informacji dotyczących zagrożeń lub zapewnić wsparcie w wykrywaniu zagrożeń i kryzysów toczących się na szeroką skalę, a także w reagowaniu na nie.
We wspólnym komunikacie zaproponowano włączenie cyberincydentów do mechanizmów zarządzania kryzysowego UE. Chociaż EKES rozumie potrzebę zbiorowej reakcji i solidarności na wypadek ataku, potrzebne jest lepsze zrozumienie, w jaki sposób można by je wprowadzić w życie, zważywszy że zagrożenia cybernetyczne zazwyczaj rozprzestrzeniają się w różnych krajach. Narzędzia stosowane w krajowych sytuacjach wyjątkowych można by jedynie częściowo zastosować w wypadku lokalnej potrzeby.
Aby UE była rzeczywiście konkurencyjna na arenie międzynarodowej i zbudowała solidną bazę technologiczną, konieczne jest stworzenie spójnych, długofalowych ram obejmujących wszystkie etapy łańcucha wartości w zakresie cyberbezpieczeństwa. W tym względzie zasadnicze znaczenie dla rozwoju europejskiego łańcucha wartości w zakresie cyberbezpieczeństwa ma krzewienie współpracy między europejskimi ekosystemami regionalnymi. EKES przyjmuje z zadowoleniem propozycję stworzenia sieci eksperckiej dotyczącej cyberbezpieczeństwa.
Sieć mogłaby przyczynić się do europejskiej suwerenności cyfrowej poprzez rozwijanie konkurencyjnej europejskiej bazy przemysłowej i zmniejszenie zależności od know-how opracowanego poza UE odnośnie do kluczowych zdolności technologicznych, organizować ćwiczenia techniczne, warsztaty, a nawet niezbędne szkolenie z zakresu higieny cyberbezpieczeństwa dla wysoko wykwalifikowanych pracowników i użytkowników nieprofesjonalnych oraz - na podstawie prac cPPP - wspomóc opracowanie sieci krajowych organizacji publiczno-prywatnych w celu rozwinięcia rynku w Europie. "Rozwijanie cPPP powinno prowadzić do optymalizacji, dostosowania lub ekspansji" (Program prac trzech prezydencji EE-BD-AT w dziedzinie cyberbezpieczeństwa) za pomocą ustanowienia trójstronnego wspólnego przedsięwzięcia (Komisja, państwa członkowskie, przedsiębiorstwa).
By osiągnąć skuteczność i proponowane cele na szczeblu europejskim, sieć musi polegać na dobrze określonym systemie zarządzania.
Europejskie Centrum Badań i Kompetencji w dziedzinie Bezpieczeństwa Cybernetycznego służyłoby jej wsparciem na szczeblu europejskim, łącząc istniejące krajowe ośrodki kompetencji w całej UE. Nie tylko koordynowałoby ono badania naukowe i zarządzało nimi podobnie jak w innych wspólnych przedsięwzięciach, lecz umożliwiłoby również skuteczny rozwój europejskiego ekosystemu cyberbezpieczeństwa, który wspomagałby wdrażanie i stosowanie innowacji UE.
By zwiększyć globalną konkurencyjność przedsiębiorstw UE działających w dziedzinie ICT, działania muszą być ukierunkowane na lepsze wsparcie wzrostu i konkurencyjności przemysłu ICT, w tym MŚP.
Europa powinna zwiększyć skalę inwestycji, łącząc różne fundusze UE, fundusze krajowe i inwestycje sektora prywatnego z myślą o celach strategicznych w ramach dobrej współpracy publiczno-prywatnej. Konieczne jest podniesienie poziomu inwestycji w kluczowych dziedzinach oraz wsparcie ich poprzez utworzenie - w obecnym i przyszłym ramowym programie badań - funduszu na rzecz innowacji, badań i rozwoju w zakresie cyberbezpieczeństwa UE. Ponadto Europa powinna stworzyć fundusz na rzecz wdrażania cyberbezpieczeństwa, otwierając nowe możliwości w bieżącym i przyszłym instrumencie "Łącząc Europę", jak również w kolejnym EFIS 3.0.
Należy stworzyć zachęty dla państw członkowskich UE, by w miarę możliwości zakupywały europejskie rozwiązania i wybierały europejskich dostawców, jeżeli są dostępni, zwłaszcza w wypadku wrażliwych zastosowań. Europa powinna wspierać rozwój europejskich liderów cyberprzestrzeni, którzy mogliby konkurować na światowym rynku.
Ze względu na fragmentację rynku potrzebna jest większa jasność co do popytu ze strony klientów, by lepiej zająć się kwestią rynku. Bez zorganizowanego popytu - MŚP i przedsiębiorstwa typu startup nie mogą się szybko rozwijać. W tym kontekście korzystne byłoby ustanowienie europejskiego centrum cyberbezpieczeństwa dla MŚP.
Technologia w zakresie cyberbezpieczeństwa szybko się zmienia, a MŚP mogą dzięki swej sprawności zapewnić zaawansowane rozwiązania potrzebne do utrzymania konkurencyjności. W porównaniu z państwami trzecimi UE nadal poszukuje odpowiedniego modelu biznesowego dla MŚP.
Można by opracować specjalne programy przeznaczone dla MŚP i przedsiębiorstw typu startup, aby wesprzeć je w pokryciu kosztów certyfikacji i w ten sposób łagodzić ich ogromne trudności w gromadzeniu funduszy na własny rozwój technologiczny i handlowy.
Liczba odbiorników hybrydowych wciąż rośnie i oczekuje się, że będzie wynosić wielokrotność liczby mieszkańców ziemi w związku z cyfryzacją komponentów, systemów i rozwiązań, a także wzmocnioną łącznością. Ten trend stwarza nowe możliwości dla cyberprzestępców, szczególnie dlatego, że urządzenia połączone w ramach internetu rzeczy często nie są objęte tak dobrą ochroną jak tradycyjne urządzenia.
Europejskie normy bezpieczeństwa w różnych pionach z użyciem urządzeń połączonych w ramach internetu rzeczy mogą ograniczyć wysiłki na rzecz rozwoju, czas i budżet dla wszystkich podmiotów przemysłowych w łańcuchu wartości połączonych produktów.
Prawdopodobne jest, że pewna forma minimalnego poziomu bezpieczeństwa za pomocą IAM (systemu zarządzania uprawnieniami i tożsamością użytkowników), wstawiania poprawek i zarządzania urządzeniami będzie niezbędna dla zwykłych urządzeń połączonych w ramach internetu ludzi. Ponieważ certyfikacja jest zasadniczą metodą zapewnienia wyższego poziomu bezpieczeństwa, w ramach nowego podejścia UE do certyfikacji trzeba położyć większy nacisk na bezpieczeństwo internetu rzeczy.
Georges DASSIS | |
Przewodniczący | |
Europejskiego Komitetu Ekonomiczno-Społecznego |
© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.