27.9.2013   

BG

Официален вестник на Европейския съюз

C 280/19

—

приветства изготвените от Комисията Стратегия за киберсигурност и Директива относно мрежовата и информационната сигурност (МИС) и подкрепя целта на стратегията да се осигури отворено, безопасно и сигурно киберпространство, а онлайн средата в ЕС да стане най-безопасната в света;

—

счита, че е спешно необходим пакет, който да обвърже текущата и предложената работа в тази област, и е убеден, че това ще спомогне за утвърждаването на координирана, стратегическа визия за Европа. Пакетът се приветства с оглед осигуряването на координация, насърчаването на сътрудничеството, предприемането на ясни и решителни действия, постигането на общо равнище на киберзащита, подобряване на устойчивостта на информационните системи и мрежи спрямо нововъзникващи киберзаплахи и намаляване на фрагментацията в ЕС;

—

препоръчва на Комисията да публикува план за действие, в който да разясни как изложените в пакета амбициозни цели ще бъдат осъществени на практика. Освен това планът за действие ще трябва да съдържа насоки за това как да се оценява и измерва въздействието на стратегията, за да се установи дали се поддържа сътрудничество и се постига напредък;

—

подчертава, че новият пакет следва да спомогне за подобряване на превенцията, откриването и реагирането на киберинциденти и да доведе до по-ефективен обмен на информация и по-добра координация между държавите членки и Комисията във връзка със сериозни киберинциденти. За да бъде постигната тази цел, ще бъде необходимо действително функциониращо партньорство между държавите членки, институциите на ЕС, местните и регионалните власти (МРВ), частния сектор и гражданското общество.

Докладчик

Robert BRIGHT (UK/ПЕС), член на Градския съвет на Нюпорт

Отправни документи

Съвместно съобщение относно „Стратегия на Европейския съюз за киберсигурност“

(JOIN(2013) 1 final)

Предложение за директива относно мерки за гарантиране на високо общо ниво на мрежова и информационна сигурност в Съюза

(COM(2013) 48 final)

1.

приветства изготвените от Комисията Стратегия за киберсигурност и Директива относно мрежовата и информационната сигурност (МИС) и подкрепя целта на стратегията да се осигури отворено, безопасно и сигурно киберпространство, а онлайн средата в ЕС да стане най-безопасната в света;

2.

очаква новият пакет за киберсигурността (включващ стратегията и директивата) да „вдигне летвата“ и да окаже съществен принос за развитието на стандарти за киберсигурност в ЕС, като намали правната несигурност, повиши доверието в онлайн услугите и ограничи ненужните разходи и административни тежести, подпомагайки по този начин единния цифров пазар и целите на стратегията „Европа 2020“;

3.

счита, че е спешно необходим пакет, който да обвърже текущата и предложената работа в тази област, и вярва, че това ще спомогне за утвърждаването на координирана, стратегическа визия за Европа. Пакетът се приветства с оглед осигуряването на координация, насърчаването на сътрудничеството, предприемането на ясни и решителни действия, постигането на общо равнище на киберзащита, подобряване на устойчивостта на информационните системи и мрежи спрямо нововъзникващи киберзаплахи и намаляване на фрагментацията в ЕС;

4.

препоръчва организациите, включително публичните органи, да признаят, че овладяването на киберпрестъпността е непрекъсната битка и че трябва да се приоритизират заплахите, пораждани от кибернетичните смущения и атаки, като се идентифицират уязвимите звена и се развие организационен капацитет за справяне с нарушенията. Паралелно с превръщането във все по-голяма степен на интернет в неразделна част от живота на хората, се разраства и надвисналата заплаха от киберпрестъпността. Киберпрестъпността, във всичките си форми, е бързо развиваща се, комплексна нова заплаха за държавите членки, организациите и гражданите на ЕС през 21-ви век, за която не съществуват граници, а честотата и сложността на киберпрестъпленията нарастват непрекъснато;

5.

признава ключовия напредък, постигнат до момента от ЕС за осигуряване на по-добра защита на гражданите от онлайн престъпления, в това число предложенията за законодателство относно атаките срещу информационни системи и инициирането на Глобален алианс за борба със сексуалното посегателство над деца в интернет. Пакетът би следвало да осигури продължение на предишните действия, включително посочените в Програмата в областта на цифровите технологии за Европа от 2010 г. (1), и да работи за изграждането на стабилна европейска политика за киберотбрана. С оглед на това призовава съзаконодателите, които понастоящем обсъждат предложението на Комисията за Директива относно атаките срещу информационните системи (2), бързо да постигнат споразумение по него;

6.

подкрепя амбициите на стратегията, която има за цел не само да хармонизира капацитета на държавите членки в областта на киберсигурността и да обедини различните направления на текущата и предложената работа с оглед установяването на общи стандарти и осигуряването на равнопоставени условия, но и да координира и да постигне съгласуваност между три области на политика: правоприлагането, Програмата за цифровите технологии и политиката в областта на отбраната, сигурността и външните работи, всяка от които има отделни правомощия;

7.

счита, че данните, събирани от националните правителства, биха могли да бъдат от полза за пакета и че в него би следвало да се предложи набор от хармонизирани стандарти в областта на мрежите и информационната сигурност;

8.

приветства възприетия в пакета подход към изготвянето на политиката, основаващ се на участието на множество заинтересовани страни. В пакета се признава значението на публично-частното сътрудничество и на постигането на истинско партньорство, работещо със съответните ресурси. Сред целите на пакета е и окончателното изграждане на единния цифров пазар в ЕС и създаването на безопасна, сигурна и просперираща цифрова онлайн среда за дружествата, правителствата и гражданите;

9.

приветства предложените в директивата мерки, включително препоръката държавите членки да приемат национална стратегия за МИС и да сформират екипи за незабавно реагиране при компютърни инциденти (CERT), които да работят съвместно с Европейската агенция за мрежова и информационна сигурност (ENISA), както и създаването на ясен механизъм за сътрудничество между държавите членки и Комисията за обмен на ранни предупреждения за рискове и инциденти посредством сигурна инфраструктура. Тези мерки и възприетият в директивата регулаторен подход би трябвало да допринесат значително за подобряването на съгласуваността, установяването на обща минимална степен на готовност на национално равнище и укрепването на киберотбраната в целия ЕС;

10.

насърчава Европейския парламент и Съвета да приемат бързо предложението за директива за гарантиране на високо общо ниво на МИС в Европейския съюз;

11.

предлага пакетът да бъде обогатен допълнително с включването на по-подробна информация за това как държавите членки докладват и събират данни за киберпрестъпността, както и на допълнителни указания за начина, по който да се прилагат мерките. За да се избегне несигурност и несъгласуваност по въпроса как националният компетентен орган за МИС определя и измерва киберинцидентите със „сериозно въздействие“, ще бъде жизненоважно да се въведат общи системи за докладване и да се внесе допълнителна яснота относно изискванията за нотифициране. Наложително е също така при създаването на националния компетентен орган за МИС да се вземе предвид разпределението на правомощията в рамките на държавите членки, особено в онези със силно федерализирани или децентрализирани структури;

12.

поради това изразява известно безпокойство във връзка с някои регулаторни и правни аспекти на пакета, по-конкретно във връзка с липсата на яснота по отношение на определянето на критериите, на които държавите членки трябва да отговарят, за да им бъде разрешено да участват в сигурната система за обмен на информация, по-подробното специфициране на началните събития, водещи до ранни предупреждения, и определянето на обстоятелствата, при които се изисква участниците на пазара и публичните администрации да сигнализират за инцидентите. Липсата на ясно определени правила по тези въпроси възпрепятства гарантирането на правна сигурност;

13.

изразява известно безпокойство от факта, че директивата би могла да наложи ненужни регулаторни тежести върху предприятията и публичните органи. Трябва да се положат всички възможни усилия, за да се избегне евентуално двойно регулиране и да се гарантира, че всяко по-нататъшно регулиране съответства на принципа на пропорционалност. Това ще важи в особена степен за организациите, които може вече да са натоварени със задължение за нотифициране, което по същество е сходно с предвиденото в пакета;

14.

препоръчва на Комисията да публикува план за действие, в който да разясни как изложените в пакета амбициозни цели ще бъдат осъществени на практика. Освен това планът за действие ще трябва да съдържа насоки за това как да се оценява и измерва въздействието на стратегията, за да се установи дали се поддържа сътрудничество и се постига напредък;

15.

призовава всички държави членки да разработят национални стратегии за киберсигурност (до 2012 г. само десет държави членки са разработили такава стратегия), които да допълват новата стратегия на ЕС. С оглед гарантирането на последователност е важно да се осигури взаимно допълване между националните стратегии и стратегията на ЕС. Важно е също така действията на ЕС да допълват съществуващите структури и най-добри практики в държавите членки;

16.

приветства предстоящите действия на Комисията за развиване на капацитет на ЕС в областта на киберсигурността, включително стартирането на пилотен проект за борба с т.нар. ботмрежи и зловредния софтуер, ангажимента за укрепване на сътрудничеството между националните CERT, ENISA и новия Европейски център за борба с киберпрестъпността, разработването на мрежа от национални центрове за високи постижения в борбата с киберпрестъпността и стартирането на публично-частна платформа за решения в областта на МИС, с цел да се създадат стимули за внедряването на сигурни ИКТ решения. Комитетът приветства и заявената в стратегията цел всички заинтересовани страни да се срещнат след 12 месеца, за да направят оценка на постигнатия напредък;

17.

подчертава, че наличието на успешна стратегия за киберсигурност зависи от тясното сътрудничество между органите, отговорни за МИС, и правоприлагащите органи. С оглед на това е от ключово значение инцидентите с предполагаем сериозен престъпен характер да бъдат докладвани системно на правоприлагащите органи;

18.

счита, че изложените в пакета приоритети са добре балансирани и целесъобразни. Тези приоритети, като защита на основните права, личните данни и неприкосновеността на личния живот, ефективно управление с участието на множество заинтересовани страни и споделена отговорност за гарантирането на сигурността, са все области, в които градовете и регионите, в качеството си на притежатели на информация от обществения сектор, следва да играят ключова роля;

19.

предлага регионите да бъдат признати, наред с държавите членки, за основни фактори, насърчаващи по-тясното сътрудничество между ползвателите и създателите на иновации в областта на ИКТ в различни аспекти от дейността на правителствата и администрациите, включително киберсигурността и защитата на данните;

20.

подчертава, че новият пакет следва да спомогне за подобряване на превенцията, откриването и реагирането на киберинциденти и да доведе до по-ефективен обмен на информация и по-добра координация между държавите членки и Комисията във връзка със сериозни киберинциденти. За да бъде постигната тази цел, ще бъде необходимо действително функциониращо партньорство между държавите членки, институциите на ЕС, местните и регионалните власти (МРВ), частния сектор и гражданското общество;

21.

признава, че за да се противодейства на киберзаплахите, ще бъдат необходими по-големи ресурси, повишаване на информираността за заплахите, пораждани от киберпрестъпността, и по-ефективна и адекватна киберсигурност. Що се отнася до многостепенното управление, за един силен подход към киберсигурността трябва да се вземат под внимание МРВ, които трябва да участват пълноценно и ефективно в управлението на инициативите, свързани с ИКТ;

22.

счита, че тъй като пробивите в сигурността са заплаха за комуналните услуги като местното водо- и енергоснабдяване и предвид факта, че МРВ използват и притежават множество цифрови информационни продукти и услуги, те следва да играят ключова роля в усилията за справяне с киберпрестъпността, съпоставянето на данните в тази сфера и защитата на тяхната сигурност. МРВ са натоварени с все повече отговорности, например да предоставят цифрови услуги на гражданите и общините и да осигуряват обучение по МИС в училищата. Правителствата и органите на местното и регионалното самоуправление са отговорни за съхраняването на достъпа и откритостта, зачитането и защитата на основните права в онлайн среда и поддържането на надеждността и оперативната съвместимост на интернет;

23.

предлага, с оглед постигането на по-добро законотворчество и предвид правомощията на МРВ и ключовата роля, която са призвани да играят в процеса на планиране и изпълнение на всички мерки в областта на ИКТ (особено по отношение на аспектите, свързани с неприкосновеността на личния живот, защитата на данните и киберсигурността), би следвало институциите на ЕС и държавите членки да провеждат систематични консултации с тези власти както при разработването, така и при прилагането на предвидените мерки за изпълнение на европейската Програма в областта на цифровите технологии. Съжаление буди фактът, че не бяха положени особени усилия да се потърси мнението на МРВ при изготвянето на предложението за директива. КР заяви готовността си да съдейства на Комисията при провеждането на предзаконодателни консултации, както е посочено в Протокола за сътрудничество между КР и Комисията (3);

24.

препоръчва в член 14, параграф 1 от директивата да бъдат включени мерки, приложими към местното и регионалното равнище. Тези мерки биха могли да включват въвеждане на процедура за оценка и управление на рисковете, прилагане на политика за информационна сигурност и повишаване на съзнанието за проблемите на киберсигурността, както и подобряване на цифровата грамотност и умения;

25.

подчертава, че на поднационално равнище следва да се насърчават и развиват партньорствата между всички съответни действащи лица, за да се подготвят координирани действия в подкрепа на киберсигурността и да се подпомагат действията в тази област на национално и европейско равнище, с цел да се води борба със свързаната с цифровите технологии престъпност и да се сведат до минимум последствията от нея, причинени от преките финансови кражби или кражбите на интелектуална собственост, прекъсването на комуникациите или увреждането на критични за бизнеса данни;

26.

отбелязва, че като цяло двата критерия за съответствие с принципа на субсидиарност — необходимост от действие на равнището на ЕС и добавена стойност на това действие — изглежда са спазени. Предложените действия са необходими, тъй като включват транснационални аспекти, които не могат да бъдат адекватно регулирани само от държавите членки и/или от МРВ. Освен това има вероятност предложените дейности да донесат очевидни ползи в сравнение с изолираните действия на национално, регионално или местно равнище, тъй като, например, личните данни се прехвърлят през националните граници, както вътрешни, така и външни, с бързо увеличаващи се темпове. Освен това законово регламентираните задължения на равнището на ЕС очевидно ще допринесат за установяването на еднакви условия и затварянето на „вратичките“ в законодателството;

27.

приветства факта, че директивата по начало се придържа към принципите на субсидиарност и пропорционалност. С оглед на трансграничните аспекти на инцидентите и рисковете, свързани с МИС, посочените в директивата цели могат да бъдат постигнати по-добре на равнище ЕС в съответствие с принципа на субсидиарност. Проучванията показват, че що се отнася до защитата на личните данни, гражданите на ЕС имат доверие на институции като Комисията (4). Директивата по същество е в съответствие и с принципа на пропорционалност, който гарантира, че предложението не надхвърля необходимото за постигане на тези цели. Фактът, че за всяка държава членка в предложението се предвижда съответно само по един компетентен орган, респ. един национален екип за CERT, поражда обаче съмнения във връзка със спазването на принципа на пропорционалност и вътрешните структури на управление в държавите членки на ЕС;

28.

счита, че макар и правното основание на пакета да са членове 26 и 114 от ДФЕС, предложените действия надхвърлят техните разпоредби, тъй като предложението обхваща всички информационни системи на публичната администрация, включително вътрешни информационни системи като интранета;

29.

приветства факта, че директивата се придържа към Хартата на основните права на Европейския съюз. Към онлайн средата следва да се прилагат същите норми, принципи и ценности, към които ЕС се придържа в останалите области на живота. Информационните и комуникационните технологии (ИКТ) следва да обхващат нуждите на всички членове на обществото, включително онези, които са изложени на риск от социално изключване. Всички ползватели на интернет би следвало да очакват минимални стандарти за широк кръг от потребности като надеждност, сигурност, прозрачност, опростеност, оперативна съвместимост и намаляване на рисковете и отговорностите. В интерес на ефективната защита на основните права, на правната сигурност и за спазване на резервата за парламентарно разглеждане Комитетът препоръчва по-конкретно регулиране относно материално-правната уредба на мрежовата и информационната сигурност в самата директива. Тук би следвало да се включат в частност изисквания към мрежовата и информационната сигурност, свързани със законодателството за защита на основните права и за защита и сигурност на данните;

30.

подчертава, че трябва да бъде постигнат подходящ баланс между усилията за осигуряване на защита и предпазване на гражданите в онлайн среда и правата, свободите и принципите, предоставени на гражданите в Хартата. Приветства значението, което се придава на вписването на политиките за кибернетичното пространство в основните ценности на ЕС. Както се посочва в предходни становища (5), ще бъде изключително важно да се гарантира спазването на всички изисквания за сигурност на всяко равнище, за да се осигури оптимална степен на неприкосновеност на личния живот и защита на личните данни, както и да се предотврати всеки вид неразрешено проследяване на лична информация и изготвяне на профили;

31.

подчертава, че — макар и частните оператори все повече да поемат отговорност за жизненоважни инфраструктури и онлайн услуги и въпреки че трябва да се признае ключовата роля на частния сектор — в крайна сметка държавата трябва да е тази, която да носи отговорност както за защитата на свободата, така и за гарантирането на безопасността на гражданите в онлайн среда;

32.

отбелязва, че въвеждането в Европа на принципа, съгласно който данните на хората и данните за предметите се регистрират само веднъж, без да е необходимо всеки път да се попълват формуляри, ще допринесе значително за премахване на излишните бюрократични пречки за обществеността и ще спомогне за намаляване на разходите на публичната администрация. С оглед на това трябва да се следи за надлежното спазване на законодателството в областта на защитата на данните;

33.

подчертава, че за ефективната киберотбрана е необходимо обучение и повишаване на квалификацията на персонала, включително този на МРВ. Следва да се осигури задълбочено обучение за целия персонал, особено за техническите специалисти, персонала, който се занимава пряко с процедури за сигурност, включващи различни методологии, и персонала, общо или непряко ангажиран в нововъведенията и модернизацията на аспектите, свързани с доверието и сигурността. Непрекъснатото обучение е важно за успешното прилагане на електронното управление на местно равнище, а МРВ играят все по-значителна роля в предоставянето на информация и насоки на гражданите за това как да използват правилно системите и да разпознават киберзаплахите (6);

34.

посочва, че „ангажиментът на ръководното равнище“ е важен фактор за успех. По тази причина е необходимо целенасочено обучение на ръководните кадри и на управителните органи, за да бъдат те запознати с проблематиката и да им се създадат необходимите предпоставки за изграждане на култура на сигурност в съответните им организации;

35.

отбелязва подобряването на образованието и обучението, постигнато чрез въвеждането на обучение по МИС и учредяването на първенство по киберсигурност през 2014 г. Следва да се вземат под внимание вече утвърдени прояви, които се провеждат в държавите членки, и да се насърчи обменът на най-добри практики. Приветства амбицията чрез стратегията да се въведе обучение по МИС в училищата, но предвид това, че образованието е от компетентността на държавите членки, изказва предположението, че за постигането ѝ ще са необходими значителни ресурси и планиране;

36.

обръща внимание на факта, че осигуряването на защита на неприкосновеността на личния живот зависи от определени фактори, включително структурата на органите в обществения сектор (по-голямата част от които са на местно равнище), сближаването на законодателството на ЕС, изграждането на новаторска култура сред длъжностните лица в публичните органи, включително чрез използване на общ етичен кодекс, и сред гражданите, чрез определяне и повишаване на информираността за техните цифрови потребителски права, както и управлението на приложения, основани на ИКТ;

37.

отбелязва, че по-нататъшните дейности следва да бъдат насочени към стимулиране и насърчаване на развитието и прилагането на технически решения за справяне с незаконното съдържание и имащото вредни последици поведение в онлайн среда, както и към насърчаване на сътрудничеството и обмена на най-добри практики между широк кръг от заинтересовани страни на местно, регионално, европейско и международно равнище. В това отношение от първостепенно значение са телефонните линии за помощ на деца, родители и възпитатели, горещите телефонни линии за сигнализиране на злоупотреби и софтуерът, който позволява по-добро идентифициране и лесно и бързо сигнализиране за вредното съдържание;

38.

препоръчва да се положат всички възможни усилия за повишаване на ниския процент на предприятията в ЕС, които официално са формулирали своя политика в областта на информационната сигурност (26 % процента до януари 2012 г.) (7). Предприятията, независимо от своя размер, трябва да бъдат насърчавани да инвестират в киберсигурност, което би могло да се използва като маркетингов инструмент спрямо евентуални бъдещи клиенти и същевременно да смекчи катастрофалните последици от киберпрестъпността. Предприятията би следвало да обмислят подкрепен от технологиите бизнес подход към киберсигурността, като приоритизират своите най-важни стопански активи или процеси;

39.

подчертава, че предвид огромния икономически потенциал на ИКТ за европейската икономика (понастоящем почти 6 % от БВП на ЕС (8)) са необходими конкретни стъпки за справяне с разрастващото се явление „киберпрестъпност“ и за възстановяване на доверието в сигурността на интернет както у гражданите, така и у дружествата (намаляване на броя на ползвателите на интернет в ЕС, които се безпокоят, например, за безопасността на онлайн плащанията (9));

40.

отбелязва, че за да се намалят огромните финансови загуби по вина на киберпрестъпността и за да се повиши доверието на потребителите, са необходими неотложни усилия на местно/регионално, национално и европейско равнище с цел да се противодейства на киберпрестъпността;

41.

предлага стратегията да бъде обогатена с допълнителна информация за това как да се защитават и развиват изчисленията в облак, които имат огромен икономически потенциал. Бързото нарастване на употребата на мобилни електронни устройства не показва тенденция към забавяне. По данни на компанията Gartner до 2016 г. най-малко 50 % от корпоративните ползватели на електронна поща ще разчитат на мобилен клиент (10). Трябва да бъдат разгледани новите проблеми и възможности, които създават мобилните електронни устройства и изчисленията в облак. Освен това изчисленията в облак се нуждаят от подходяща архитектура за постигане на оптимална степен на сигурност (11). Всъщност Комитетът на регионите вече изрази загрижеността си от факта, че в наскоро публикуваното съобщение на Европейската комисия относно изчисленията в облак не се разглеждат достатъчно задълбочено връзките между предложената стратегия и други въпроси, като например сигурното обработване на данни, законодателството, свързано с авторското право, както и развиването на достъпност и преносимост на данните (12);

42.

счита, че предвид глобалната, взаимосвързана и трансгранична заплаха, която поражда киберпрестъпността, следва също така да се насърчат международното сътрудничество и диалогът отвъд границите на ЕС, за да се гарантира истински глобален, координиран подход към киберсигурността. Във връзка с това всички държави трябва да бъдат насърчени да се ангажират с Международната конвенция за киберпрестъпността (Конвенцията от Будапеща) (13). Важно е да се поддържа и непрекъснато сътрудничество на двустранно равнище, особено със САЩ, както и на многостранно равнище с редица международни организации;

43.

подчертава колко е важно да се подобри координацията със съществуващи и бъдещи инструменти за финансиране като „Хоризонт 2020“, Европейската рамка за сътрудничество и Фонда за вътрешна сигурност, за да се осигури по-координиран подход към инвестициите, свързани с киберпространството;

44.

си задава въпроса дали отпуснатите бюджетни средства в размер от 1,25 млн. евро ще бъдат достатъчни да осигурят стабилна и подходяща инфраструктура за МИС и изразява разочарование от намалените бюджетни средства за Механизма за свързване на Европа в споразумението на Съвета от 8 февруари относно многогодишната финансова рамка за периода 2014–2020 г. Необходим е по-голям и стабилен бюджет, за да се осигури финансова подкрепа за ключови ИКТ инфраструктури, които да свързват капацитета на държавите членки в областта на МИС и по този начин да улесняват сътрудничеството в рамките на ЕС.