19.9.2013   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

C 271/133

1.1

Η ΕΟΚΕ σημειώνει ότι η προτεινόμενη οδηγία εμπίπτει στο ευρύτερο πλαίσιο της άρτι δημοσιευθείσας στρατηγικής για την ασφάλεια στον κυβερνοχώρο (1), η οποία σκιαγραφεί ένα σφαιρικό όραμα για την ασφάλεια δικτύων και πληροφοριών (NIS/ΑΔΠ), με σκοπό την ασφαλή ανάπτυξη της ψηφιακής οικονομίας εκ παραλλήλου με την προαγωγή των ευρωπαϊκών αξιών της ελευθερίας και της δημοκρατίας.

1.2

Η ΕΟΚΕ επιδοκιμάζει την πρόταση οδηγίας για την εξασφάλιση υψηλού κοινού επιπέδου ΑΔΠ σε ολόκληρη την επικράτεια της ΕΕ. Η εναρμόνιση και η διαχείριση της ΑΠΔ σε ευρωπαϊκό επίπεδο είναι μείζονος σημασίας τόσο για την ολοκλήρωση της ψηφιακής ενιαίας αγοράς όσο και για την ομαλή λειτουργία της εσωτερικής αγοράς στο σύνολό της. Η ΕΟΚΕ συμμερίζεται την ανησυχία της Επιτροπής σχετικά με το τεράστιο πλήγμα που θα μπορούσε να καταφέρει στην οικονομία και στην ευημερία των πολιτών μια ενδεχόμενη αποτυχία της ΑΔΠ. Ωστόσο, η προτεινόμενη οδηγία δεν ανταποκρίνεται στις προσδοκίες της ΕΟΚΕ για την ανάληψη σθεναρής νομοθετικής δράσης σχετικά με το εν λόγω κρίσιμο ζήτημα.

1.3

Η ΕΟΚΕ είναι εξαιρετικά απογοητευμένη από την απουσία προόδου που παρατηρείται σε πολυάριθμα κράτη μέλη ως προς την αποτελεσματική υλοποίηση της ΑΔΠ σε εθνικό επίπεδο. Η ΕΟΚΕ εκφράζει τη λύπη της για τους αυξανόμενους κινδύνους που συνεπάγεται η εν λόγω αποτυχία για τους πολίτες, καθώς και για τις αρνητικές επιπτώσεις που έχει στην ολοκλήρωση της ψηφιακής ενιαίας αγοράς.

1.4

Η προαναφερθείσα απουσία προόδου δημιουργεί ένα ακόμη ψηφιακό χάσμα μεταξύ της επίλεκτης ομάδας των κρατών μελών που επιδεικνύουν σημαντική πρόοδο στον τομέα της ΑΔΠ και των υπολοίπων λιγότερο προηγμένων κρατών μελών. Το χάσμα αυτό επηρεάζει αρνητικά την εμπιστοσύνη και τη συνεργασία στον τομέα της ΑΔΠ σε επίπεδο ΕΕ και, εάν δεν επιτευχθεί τάχιστα η γεφύρωσή του, ενδέχεται να καταφέρει πλήγμα στην εσωτερική αγορά εξαιτίας της παρατηρούμενης απόκλισης ικανοτήτων στην επικράτεια των κρατών μελών.

1.5

Όπως επισημαίνεται σε προηγούμενες γνωμοδοτήσεις (2), η ΕΟΚΕ θεωρεί ατελέσφορα τα διστακτικά εθελούσια μέτρα και κρίνει αναγκαία την επιβολή αυστηρών κανονιστικών υποχρεώσεων στα κράτη μέλη για τη διασφάλιση της εναρμόνισης, της διευθέτησης και της επιβολής της ευρωπαϊκής ΑΔΠ. Δυστυχώς, η ΕΟΚΕ δεν πιστεύει ότι η παρούσα πρόταση οδηγίας παρέχει το επιβεβλημένο σαφές και ισχυρό νομοθετικό πλαίσιο. Για την εξασφάλιση του επιδιωκόμενου υψηλού κοινού επιπέδου ΑΔΠ, η ΕΟΚΕ θεωρεί ότι ένας κανονισμός, ο οποίος θα επέβαλε σαφώς καθορισμένες και νομικά δεσμευτικές υποχρεώσεις στα κράτη μέλη, θα ήταν πιο σκόπιμο μέσο από την παρούσα οδηγία.

1.6

Παρά την πρόθεση της Ευρωπαϊκής Επιτροπής να εκδίδει κατ' εξουσιοδότηση πράξεις για τη διασφάλιση ορισμένων ομοιόμορφων όρων για την εφαρμογή κάποιων τμημάτων της οδηγίας, η ΕΟΚΕ διαπιστώνει ωστόσο την απουσία ενδεδειγμένων προτύπων, αποσαφηνισμένων ορισμών και αναπόδραστων υποχρεώσεων στην προτεινόμενη πράξη, πράγμα το οποίο αφήνει υπερβολικά περιθώρια ευελιξίας στα κράτη μέλη σχετικά με τον τρόπο ερμηνείας και μεταφοράς στο εθνικό δίκαιο στοιχείων μείζονος σημασίας. Η ΕΟΚΕ κρίνει επιθυμητή την αποσαφήνιση των ορισμών που περιλαμβάνονται στην εν λόγω πράξη όσον αφορά τα πρότυπα, τις απαιτήσεις και τις διαδικασίες που επιβάλλεται να τηρούνται από τα κράτη μέλη, τις δημόσιες αρχές, τους φορείς της αγοράς, καθώς και από τους καταλύτες των νευραλγικών διαδικτυακών υπηρεσιών.

1.7

Με σκοπό τη διαμόρφωση και εφαρμογή μιας ισχυρής πολιτικής για την ΑΔΠ στην ΕΕ, η ΕΟΚΕ προσβλέπει στη δημιουργία μιας αρχής υπεύθυνης για την ΑΔΠ σε επίπεδο ΕΕ, κατά το πρότυπο της κεντρικής αρχής του κλάδου των αερομεταφορών (EASA) (3). Η εν λόγω αρχή θα μπορούσε να επιφορτιστεί με τον καθορισμό των προτύπων και με την παρακολούθηση της εφαρμογής όλων των συνιστωσών της ΑΔΠ εντός της επικράτειας της Ένωσης: από την πιστοποίηση και χρήση ασφαλών τερματικών συσκευών έως την ασφάλεια δικτύου και δεδομένων.

1.8

Η ΕΟΚΕ έχει απόλυτη επίγνωση των αυξημένων κινδύνων που ενέχει για την ασφάλεια στον κυβερνοχώρο και την προστασία των δεδομένων η υιοθέτηση του υπολογιστικού νέφους (4) στην Ευρώπη. Η ΕΟΚΕ θεωρεί επιθυμητό να συμπεριληφθούν ρητά στην προτεινόμενη πράξη ειδικές επιπρόσθετες απαιτήσεις και υποχρεώσεις ασφαλείας σχετικά με την παροχή και χρήση υπηρεσιών υπολογιστικού νέφους.

1.9

Για να επιτευχθεί η δέουσα λογοδοσία όσον αφορά την ΑΔΠ, θα πρέπει να καταστεί σαφές στην παρούσα πράξη ότι οι οντότητες που υπέχουν υποχρεώσεις δυνάμει της προτεινόμενης οδηγίας δικαιούνται να ασκήσουν προσφυγή κατά προμηθευτών υλισμικού και λογισμικού για τυχόν ελαττώματα των προϊόντων ή των υπηρεσιών τους που συντελούν άμεσα στην πρόκληση συμβάντων ΑΔΠ.

1.10

Η ΕΟΚΕ καλεί τα κράτη μέλη να μεριμνήσουν ιδιαίτερα για τη διεύρυνση των γνώσεων και των δεξιοτήτων των Μικρών και Μεσαίων Επιχειρήσεων (ΜΜΕ) σχετικά με την ΑΔΠ στον κυβερνοχώρο. Η ΕΟΚΕ εφιστά επίσης την προσοχή της Επιτροπής στην επιτυχία που σημειώνουν οι «διαγωνισμοί πειρατών της πληροφορικής» (hackers), τόσο στις ΗΠΑ (5) όσο και σε ορισμένα κράτη μέλη της ΕΕ (6), για την ευαισθητοποίηση της κοινής γνώμης και την επιμόρφωση της επόμενης γενιάς επαγγελματιών στον τομέα της ΑΔΠ.

1.11

Δεδομένης της σημασίας που έχει η συμμόρφωση του συνόλου των κρατών μελών προς τις απαιτήσεις της ΑΔΠ σε ολόκληρη την επικράτεια της ΕΕ, η ΕΟΚΕ καλεί την Επιτροπή να εξετάσει τι είδους χρηματοδότηση θα μπορούσε να παρασχεθεί μέσω του Πολυετούς Δημοσιονομικού Πλαισίου (ΠΔΠ) για την αρωγή των κρατών μελών που χρειάζονται χρηματοοικονομική βοήθεια.

1.12

Οι δαπάνες για τεχνολογίες ΑΔΠ στο πλαίσιο της Έρευνας, της Ανάπτυξης και της Καινοτομίας (Ε&Α&Κ) θα πρέπει να καταστούν υψηλή προτεραιότητα του προγράμματος πλαισίου της ΕΕ για την Έρευνα και την Καινοτομία –«Ορίζοντας 2020»– προκειμένου να μπορέσει η Ευρώπη να συμβαδίσει με τις συντελούμενες αλλαγές στο ταχέως μεταβαλλόμενο τοπίο των απειλών στον κυβερνοχώρο.

1.13

Για να διασαφηνιστεί ποιες οντότητες φέρουν νομική ευθύνη δυνάμει της προτεινόμενης πράξης, η ΕΟΚΕ θεωρεί σκόπιμο να επιβληθεί σε κάθε κράτος μέλος η υποχρέωση δημοσίευσης επιγραμμικού (online) καταλόγου με όλες τις οντότητες που εμπίπτουν στις απαιτήσεις ασφαλείας και κοινοποίησης συμβάντων της οδηγίας. Η διαφάνεια και η δημόσια λογοδοσία θα συμβάλουν στην οικοδόμηση κλίματος εμπιστοσύνης και στην υποστήριξη της επιβεβλημένης συμμόρφωσης.

1.14

Η ΕΟΚΕ επισύρει την προσοχή της Επιτροπής στις πολυάριθμες προηγούμενες γνωμοδοτήσεις της στις οποίες έχει, αφενός, εξετάσει το ζήτημα της ασφάλειας δικτύων και πληροφοριών και, αφετέρου, τονίσει την ανάγκη υλοποίησης μιας ασφαλούς κοινωνίας της πληροφορίας και προστασίας των υποδομών ζωτικής σημασίας (7).

2.1

Η προτεινόμενη οδηγία δημοσιεύθηκε παράλληλα με την ενωσιακή ευρωπαϊκή στρατηγική για την ασφάλεια στον κυβερνοχώρο, η οποία αποσκοπεί στην ενίσχυση της ανθεκτικότητας των συστημάτων πληροφοριών, στη μείωση των εγκλημάτων στον κυβερνοχώρο και στην ενδυνάμωση της διεθνούς πολιτικής της ΕΕ σε θέματα ασφάλειας και άμυνας στον κυβερνοχώρο, στην ανάπτυξη των βιομηχανικών και τεχνολογικών πόρων με στόχο την ασφάλεια στον κυβερνοχώρο, καθώς και στην προώθηση των θεμελιωδών δικαιωμάτων και άλλων βασικών αξιών της ΕΕ.

2.2

Η ΑΔΠ ασχολείται με την προστασία του Διαδικτύου και άλλων δικτύων, των συστημάτων πληροφόρησης και των υποστηρικτικών υπηρεσιών, οι οποίες παρέχουν στήριξη στη λειτουργία της κοινωνίας μας. Η ΑΔΠ είναι κεφαλαιώδους σημασίας για την ομαλή λειτουργία της εσωτερικής αγοράς.

2.3

Η έως τώρα ακολουθούμενη στην ΕΕ αμιγώς εθελούσια προσέγγιση δεν παρέχει επαρκή προστασία έναντι κινδύνων ΑΔΠ. Οι υφιστάμενες ικανότητες ΑΔΠ είναι ανεπαρκείς ώστε να συμβαδίσουν με την ταχέως μεταβαλλόμενη μορφολογία των απειλών και να εξασφαλίσουν κοινό υψηλό επίπεδο προστασίας σε όλα τα κράτη μέλη.

2.4

Σήμερα τα κράτη μέλη έχουν πολύ διαφορετικά επίπεδα ικανοτήτων και ετοιμότητας, με αποτέλεσμα κατακερματισμένες προσεγγίσεις έναντι της ΑΔΠ σε ολόκληρη την ΕΕ. Δεδομένου ότι δίκτυα και συστήματα είναι διασυνδεδεμένα, τα κράτη μέλη με ανεπαρκές επίπεδο προστασίας αποδυναμώνουν τη συνολική ΑΔΠ στην Ένωση. Η κατάσταση αυτή παρεμποδίζει επίσης την οικοδόμηση εμπιστοσύνης μεταξύ ομοτίμων, η οποία αποτελεί προϋπόθεση για τη συνεργασία και την ανταλλαγή πληροφοριών. Ως αποτέλεσμα, συνεργασία υπάρχει μόνο σε μια μειονότητα κρατών μελών που διαθέτουν υψηλό επίπεδο ικανοτήτων.

2.5

Στόχος της οδηγίας, η οποία προτείνεται βάσει του άρθρου 114 της ΣΛΕΕ, είναι να διευκολυνθεί η ολοκλήρωση και η ομαλή λειτουργία της ψηφιακής ενιαίας αγοράς μέσω:

2.6

Η προτεινόμενη οδηγία θέτει ορισμένες νομικές απαιτήσεις, μεταξύ των οποίων περιλαμβάνονται και οι εξής:

2.7

Τα κράτη μέλη οφείλουν να εφαρμόσουν την οδηγία εντός διαστήματος 18 μηνών από την έγκρισή της εκ μέρους του Συμβουλίου και του Ευρωπαϊκού Κοινοβουλίου (αναμένεται εντός του 2014).

3.1

Η ανάπτυξη του Διαδικτύου και της ψηφιακής κοινωνίας επηρεάζει βαθύτατα την καθημερινή μας ζωή. Ωστόσο, καθώς αυξάνεται η εξάρτησή μας από το Διαδίκτυο, η ελευθερία, η ευημερία και η ποιότητα ζωής μας εξαρτώνται ολοένα και περισσότερο από την ισχυρή ασφάλεια δικτύων και πληροφοριών (ΑΔΠ): Εάν το Διαδίκτυο είναι εκτός λειτουργίας και δεν παρέχεται δυνατότητα πρόσβασης σε ηλεκτρονικά ιατρικά αρχεία, σε περίπτωση έκτακτης ανάγκης, τότε υπάρχει κίνδυνος θανάτου. Εντούτοις, η ασφάλεια των υποδομών πληροφοριών ζωτικής σημασίας στην Ευρώπη βρίσκεται υπό διαρκώς σοβαρότερη απειλή και το επίπεδο ΑΔΠ δεν είναι αρκετά ικανοποιητικό.

3.2

Ο διευθυντής της Ευρωπαϊκής Αστυνομικής Υπηρεσίας (Ευρωπόλ) δήλωσε πέρυσι «… εξαιρετικά ανήσυχος λόγω της άστοχης υπέρμετρης εμπιστοσύνης που επιδεικνύεται στην αδιάρρηκτη φύση του Διαδικτύου» (8). Ακούμε συχνά να γίνονται αναφορές σε νέες επιθέσεις στον κυβερνοχώρο εις βάρος βασικών υποδομών, οι οποίες διαπράττονται από εγκληματίες, τρομοκράτες ή ξένες κυβερνήσεις. Οι υποδομές που γίνονται στόχοι συνήθως αποσιωπούν τις επιθέσεις που δέχονται για να μην υποστούν ενδεχόμενη δυσφήμιση. Ωστόσο, κατά τις τελευταίες εβδομάδες λάβαμε γνώση ορισμένων επιθέσεων που έπληξαν τις υποδομές (9) του Διαδικτύου και τα τραπεζικά συστήματα (10) στην Ευρώπη, οι οποίες προκάλεσαν υπερβολικά μεγάλη αναστάτωση για να μπορέσει να συγκαλυφθεί. Σύμφωνα με σχετική έκθεση (11) εκτιμάται ότι οι Κάτω Χώρες υπέστησαν 92 εκατομμύρια επιθέσεις στον κυβερνοχώρο το 2011 και η Γερμανία 82 εκατομμύρια. Η κυβέρνηση του Ηνωμένου Βασιλείου εκτιμά ότι το Ηνωμένο Βασίλειο υπέστη 44 εκατομμύρια επιθέσεις στον κυβερνοχώρο το 2011, με κόστος για την οικονομία ανερχόμενο σε 30 δισ. ευρώ (12).

3.3

Το 2007, το Συμβούλιο της ΕΕ ασχολήθηκε με την αντιμετώπιση του προβλήματος ΑΔΠ της Ευρώπης (13), αλλά η πολιτική προσέγγιση που ακολουθείται έκτοτε (14) στηρίζεται κατά κύριο λόγο στην εθελούσια δράση των κρατών μελών, εκ των οποίων μόνο μια μειονότητα έχει λάβει αποτελεσματικά μέτρα. Η ΕΟΚΕ επισημαίνει ότι πολλά κράτη μέλη εξακολουθούν να μην έχουν κοινοποιήσει κάποια εθνική στρατηγική για την ασφάλεια στον κυβερνοχώρο και να μην έχουν καταρτίσει εθνικό σχέδιο έκτακτης ανάγκης για την αντιμετώπιση συμβάντων στον κυβερνοχώρο· ορισμένα μάλιστα εξ αυτών δεν έχουν καν δημιουργήσει τη δική τους Ομάδα αντιμετώπισης έκτακτων αναγκών στην πληροφορική (Computer Emergency Response Team - CERT)· επίσης, μερικά κράτη μέλη δεν έχουν ακόμη κυρώσει τη Σύμβαση του Συμβουλίου της Ευρώπης για την καταπολέμηση του εγκλήματος στον κυβερνοχώρο (15).

3.4

Δέκα κράτη μέλη τα οποία έχουν επιτύχει αξιοσημείωτη πρόοδο στον τομέα της ΑΔΠ προέβησαν στη σύσταση της ομάδας CERT των ευρωπαϊκών κυβερνήσεων·(EGC) με στόχο τη στενή μεταξύ τους συνεργασία σε θέματα ΑΔΠ και την αντιμετώπιση συναφών συμβάντων. Η διαδικασία συμμετοχής στη σύνθεση της EGC έχει περατωθεί προς το παρόν: τα υπόλοιπα 17 λιγότερο προηγμένα κράτη μέλη και η νεοσυσταθείσα ομάδα CERT-ΕΕ (16) αποκλείονται επί του παρόντος από αυτήν την επίλεκτη ομάδα, με επακόλουθη συνέπεια τη διάνοιξη ενός νέου ψηφιακού χάσματος μεταξύ των κρατών μελών που επιδεικνύουν μεγάλη πρόοδο στον τομέα της ΑΔΠ και των υπολοίπων. Εάν τυχόν δεν επιτευχθεί η γεφύρωσή του, αυτό το ΑΔΠ θα πλήξει τον πυρήνα της ψηφιακής ενιαίας αγοράς, περιορίζοντας την οικοδόμηση κλίματος εμπιστοσύνης, την εναρμόνιση και τη διαλειτουργικότητα. Επιπλέον, χωρίς την ανάληψη σθεναρής δράσης, το χάσμα μεταξύ των εξαιρετικά πολύ και των λιγότερο προηγμένων κρατών μελών ενδέχεται να αυξηθεί, επιδεινώνοντας συγχρόνως τις αδυναμίες της αγοράς που σχετίζονται με τις αποκλίσεις ικανοτήτων στην επικράτεια των κρατών μελών.

3.5

Η επιτυχία της στρατηγικής για την ασφάλεια στον κυβερνοχώρο και η αποτελεσματικότητα της προτεινόμενης οδηγίας ΑΔΠ θα εξαρτηθούν από την ύπαρξη ενός ισχυρού κλάδου ΑΔΠ στην Ευρώπη, με επαρκές εργατικό δυναμικό άρτια εξειδικευμένο σε συναφή θέματα. Η ΕΟΚΕ διαπιστώνει με ικανοποίηση ότι η ανάγκη πραγματοποίησης επενδύσεων εκ μέρους των κρατών μελών για την εκπαίδευση, την ευαισθητοποίηση και την κατάρτιση στον τομέα της ΑΔΠ έχει συνεκτιμηθεί στην προτεινόμενη οδηγία. Η ΕΟΚΕ ευελπιστεί επίσης ότι όλα τα κράτη μέλη θα καταβάλουν ιδιαίτερες προσπάθειες για την ενημέρωση, την επιμόρφωση και την υποστήριξη του κλάδου των ΜΜΕ σχετικά με την ασφάλεια στον κυβερνοχώρο. Οι μεγάλες επιχειρήσεις μπορούν εύκολα να αποκτήσουν τις απαιτούμενες γνώσεις, ενώ οι ΜΜΕ χρειάζονται υποστήριξη.

3.6

Η ΕΟΚΕ προσβλέπει στη συνεργασία της με τον Ευρωπαϊκό Οργανισμό για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA), με σκοπό την προώθηση της ΑΔΠ στο πλαίσιο της πρωτοβουλίας «Μήνας ασφάλειας στον κυβερνοχώρο» που θα αναληφθεί αργότερα κατά τη διάρκεια του τρέχοντος έτους. Όσον αφορά τον στόχο που προβλέπεται στη στρατηγική για την ασφάλεια στον κυβερνοχώρο και στην οδηγία ΑΔΠ με μέλημα τόσο την επικράτηση κλίματος συνειδητοποίησης των σχετικών με την ασφάλεια θεμάτων σε ολόκληρη την επικράτεια της ΕΕ όσο και τη βελτίωση του επιπέδου δεξιοτήτων ΑΔΠ, η ΕΟΚΕ εφιστά την προσοχή της Επιτροπής στους «διαγωνισμούς πειρατών της πληροφορικής» (hackers) που απευθύνονται σε εφήβους και έχουν αποδειχθεί εξαιρετικά επιτυχείς για την ευαισθητοποίηση της κοινής γνώμης σε ορισμένα κράτη μέλη, καθώς και στις ΗΠΑ.

3.7

Η ΕΟΚΕ διαπιστώνει επίσης με ικανοποίηση τη δέσμευση που αναλαμβάνεται στη στρατηγική για την ασφάλεια στον κυβερνοχώρο έναντι των δαπανών Ε&Α&Κ για τεχνολογίες ΑΔΠ.

3.8

Η άνθηση που γνωρίζει το υπολογιστικό νέφος δημιουργεί πολλούς νέους κινδύνους προς αντιμετώπιση όσον αφορά την ασφάλεια στον κυβερνοχώρο. Παραδείγματος χάρη, οι εγκληματίες του κυβερνοχώρου έχουν πλέον στη διάθεσή τους τεράστια υπολογιστική ισχύ με σχετικά χαμηλό κόστος· επίσης τα δεδομένα χιλιάδων εταιρειών βρίσκονται επί του παρόντος τοποθετημένα σε κεντρικές αποθήκες δεδομένων που είναι ευάλωτες σε στοχευμένες επιθέσεις. Η ΕΟΚΕ έχει ζητήσει την ενίσχυση της ανθεκτικότητας του κυβερνοχώρου έναντι του υπολογιστικού νέφους (17).

3.9

Η ΕΟΚΕ έχει ήδη αιτηθεί τη θέσπιση ενός, ενωσιακής εμβέλειας, εθελοντικού συστήματος ηλεκτρονικής ταυτοποίησης για τις ηλεκτρονικές συναλλαγές, συμπληρωματικού προς τα υφιστάμενα εθνικά συστήματα. Ένα τέτοιο σύστημα θα ήταν σε θέση να διασφαλίσει «αποτελεσματικότερη προστασία από απάτες, μεγαλύτερη εμπιστοσύνη μεταξύ των οικονομικών παραγόντων, χαμηλότερο κόστος παροχής υπηρεσιών, καθώς και υψηλότερο επίπεδο υπηρεσιών και προστασίας του πολίτη».

4.1

Δυστυχώς, η παρούσα πρόταση οδηγίας ΑΔΠ της Επιτροπής είναι υπερβολικά διστακτική, στερείται της δέουσας σαφήνειας και επαφίεται υπέρμετρα στην αυτορρύθμιση εκ μέρους των κρατών μελών. Η απουσία ενδεδειγμένων προτύπων, αποσαφηνισμένων ορισμών και αναπόδραστων υποχρεώσεων, ιδιαίτερα στο Κεφάλαιο IV της οδηγίας, αφήνει τεράστια περιθώρια ευελιξίας στα κράτη μέλη σχετικά με τον τρόπο ερμηνείας και μεταφοράς στο εθνικό δίκαιο στοιχείων ζωτικής σημασίας της προτεινόμενης πράξης. Ένας κανονισμός, ο οποίος θα επέβαλε σαφώς καθορισμένες και νομικά δεσμευτικές υποχρεώσεις στα κράτη μέλη, θα ήταν πιο σκόπιμος από την παρούσα οδηγία.

4.2

Η ΕΟΚΕ επισημαίνει ότι –δυνάμει του άρθρου 6 της οδηγίας– κάθε κράτος μέλος οφείλει να ορίσει μια εθνική αρμόδια αρχή επιφορτισμένη με την παρακολούθηση και τη συνεκτική εφαρμογή της οδηγίας σε ολόκληρη την επικράτεια της ΕΕ. Επισημαίνεται επίσης ότι –δυνάμει του άρθρου 8 της οδηγίας– συγκροτείται «δίκτυο συνεργασίας» το οποίο, σύμφωνα με τις αρμοδιότητες που εκχωρούνται τόσο στο εν λόγω δίκτυο όσο και στην Επιτροπή, αναλαμβάνει πανευρωπαϊκής εμβέλειας αποστολή καθοδήγησης, διαχείρισης και –εφόσον χρειάζεται– επιβολής ακόμη και στο επίπεδο των κρατών μελών. Η ΕΟΚΕ θεωρεί ότι, σύμφωνα με αυτό το πλαίσιο διακυβέρνησης, η ΕΕ θα πρέπει να εξετάσει το ενδεχόμενο δημιουργίας μιας αρχής υπεύθυνης για την ΑΔΠ σε επίπεδο ΕΕ, παρεμφερούς προς τον Ευρωπαϊκό Οργανισμό Ασφάλειας της Αεροπορίας (EASA) που καθορίζει τα πρότυπα και διαχειρίζεται την επιβολή και την τήρηση των κανόνων ασφαλείας για τα αεροσκάφη, τα αεροδρόμια και τις πτήσεις.

4.3

Η αρμόδια αρχή για την ΑΔΠ σε επίπεδο ΕΕ που προτείνεται από την ΕΟΚΕ στο αμέσως προηγούμενο σημείο 4.2, θα μπορούσε να στηριχθεί στο βασικό έργο που επιτελείται ήδη για την ασφάλεια στον κυβερνοχώρο από τον ENISA, από την Ευρωπαϊκή Επιτροπή Τυποποίησης (CEN), από τις ομάδες CERT, από την ομάδα CERT των ευρωπαϊκών κυβερνήσεων (EGC), καθώς και από άλλους φορείς. Μια τέτοια αρχή θα μπορούσε να επιφορτιστεί με τον καθορισμό των προτύπων και με την παρακολούθηση της εφαρμογής όλων των συνιστωσών της ΑΔΠ: από την πιστοποίηση και χρήση ασφαλών τερματικών συσκευών έως την ασφάλεια δικτύου και δεδομένων.

4.4

Λαμβανομένου υπόψη, αφενός, του υψηλού βαθμού αλληλεξάρτησης μεταξύ των κρατών μελών για την υλοποίηση της ΑΔΠ σε ολόκληρη την επικράτεια της Ένωσης και, αφετέρου, του δυνητικά τεράστιου κόστους των αποτυχημένων προσπαθειών διασφάλισης της ΑΔΠ για όλα τα ενδιαφερόμενα μέρη, η ΕΟΚΕ θεωρεί σκόπιμη τη θέσπιση νομοθεσίας η οποία να επιβάλλει σαφείς και αναλογικές κυρώσεις σε περίπτωση μη συμμόρφωσης, δεόντως εναρμονισμένες για να αντικατοπτρίζουν την πανευρωπαϊκή διάσταση της ευθύνης και την κλίμακα των ζημιών που θα μπορούσαν να προκληθούν, όχι μόνο στην εγχώρια αγορά, αλλά και σε ολόκληρη την ΕΕ. Το άρθρο 17 της προτεινόμενης πράξης –το οποίο αφορά την επιβολή κυρώσεων– είναι γενικό, αφήνει σημαντικά περιθώρια διακριτικής ευχέρειας στα κράτη μέλη για τον καθορισμό κυρώσεων και δεν παρέχει επαρκείς κατευθύνσεις για τη συνεκτίμηση δυνητικών διασυνοριακών και πανευρωπαϊκών επιπτώσεων.

4.5

Σήμερα, οι κυβερνήσεις και οι πάροχοι ζωτικών υπηρεσιών δεν δημοσιοποιούν τις αστοχίες τους από πλευράς ασφάλειας και ανθεκτικότητας, εκτός εάν υποχρεωθούν να το πράξουν. Η συγκάλυψη αυτή πλήττει τόσο την ικανότητα ταχείας και αποτελεσματικής αντιμετώπισης απειλών στον κυβερνοχώρο εκ μέρους της Ευρώπης όσο και τη δυνατότητα βελτίωσης του γενικού επιπέδου ΑΔΠ μέσω της από κοινού μάθησης. Η ΕΟΚΕ συγχαίρει την Επιτροπή για την απόφασή της να καταστήσει, δυνάμει της οδηγίας, υποχρεωτική την κοινοποίηση όλων των σημαντικών συμβάντων ΑΔΠ. Η ΕΟΚΕ θεωρεί ότι είναι αδύνατο να τελεσφορήσει η εθελούσια, εξ ιδίας πρωτοβουλίας, κοινοποίηση συμβάντων δεδομένου ότι οι φόβοι δυσφήμισης ή ανάληψης ευθυνών λειτουργούν ως κίνητρο για τη συγκάλυψη τυχόν δυσλειτουργιών.

4.6

Ωστόσο, το άρθρο 14 της οδηγίας –το οποίο αφορά την κοινοποίηση συμβάντων– αποτυγχάνει να καθορίσει τι ακριβώς νοείται ως συμβάν «με σημαντικό αντίκτυπο στην ασφάλεια» και παρέχει υπερβολικά ευρεία διακριτική ευχέρεια στις ενδιαφερόμενες οντότητες και στα κράτη μέλη για την κοινοποίηση ή όχι συμβάντων ΑΔΠ. Η αποτελεσματική νομοθεσία προϋποθέτει απολύτως σαφείς απαιτήσεις. Δεδομένου ότι η προτεινόμενη οδηγία είναι υπερβολικά αόριστη σχετικά τον βασικό ορισμό των τιθέμενων απαιτήσεων, δεν είναι δυνατόν να θεωρηθούν τα ενδιαφερόμενα μέρη υπεύθυνα σε περίπτωση μη συμμόρφωσης, όπως προβλέπεται σύμφωνα με το άρθρο 17 της οδηγίας.

4.7

Δεδομένου ότι η διασφάλιση της ΑΔΠ βρίσκεται ως επί το πλείστον στα χέρια του ιδιωτικού τομέα, θεωρείται σημαντικό να προαχθεί η οικοδόμηση κλίματος εκτεταμένης εμπιστοσύνης και συνεργασίας με όλες τις εταιρείες που είναι υπεύθυνες για τις ζωτικής σημασίας υποδομές και υπηρεσίες πληροφοριών. Η πρωτοβουλία «Ευρωπαϊκή σύμπραξη δημόσιου-ιδιωτικού τομέα για την ανθεκτικότητα» (European Public Private Partnership for Resilience - EP3R), η οποία δρομολογήθηκε από την Επιτροπή το 2009, αξίζει να επικροτηθεί και να ενθαρρυνθεί περαιτέρω. Ωστόσο, η ΕΟΚΕ εκτιμά ότι η εν λόγω πρωτοβουλία χρειάζεται να ενισχυθεί και να υποστηριχθεί κι άλλο με την προσθήκη στην προτεινόμενη πράξη για την ΑΔΠ μιας κανονιστικής υποχρέωσης, σύμφωνα με την οποία θα καθίσταται επιβεβλημένη η συνεργασία των βασικών ενδιαφερομένων μερών που δεν αναλαμβάνουν δεόντως τις ευθύνες τους.

4.8

Κάθε κράτος μέλος θα πρέπει να δημοσιεύσει ένα επιγραμμικό (online) κατάλογο με όλες τις υπαγόμενες στη δικαιοδοσία του οντότητες οι οποίες εμπίπτουν στις απαιτήσεις ασφαλείας και κοινοποίησης συμβάντων του άρθρου 14 της προτεινόμενης οδηγίας. Σε συνδυασμό με την αποσαφήνιση του τρόπου κατά τον οποίο κάθε κράτος μέλος αποφασίζει να εφαρμόσει τους ορισμούς που περιλαμβάνονται στο άρθρου 3 της παρούσας πράξης, η κατ’ αυτόν τον τρόπο παρεχόμενη διαφάνεια θα συμβάλει στην επικράτηση κλίματος εμπιστοσύνης και στη διαμόρφωση μιας νοοτροπίας διαχείρισης κινδύνων μεταξύ των πολιτών.

4.9

Η ΕΟΚΕ επισημαίνει ότι οι σχεδιαστές λογισμικού και οι κατασκευαστές υλισμικού εξαιρούνται ρητά από τις απαιτήσεις της οδηγίας διότι δεν είναι πάροχοι υπηρεσιών της κοινωνίας της πληροφορίας. Ωστόσο, η ΕΟΚΕ θεωρεί ότι η προτεινόμενη πράξη θα πρέπει να αναγνωρίζει στις οντότητες που υπέχουν υποχρεώσεις δυνάμει της οδηγίας δικαίωμα προσφυγής κατά προμηθευτών υλισμικού και λογισμικού για τυχόν ελαττώματα των προϊόντων ή των υπηρεσιών τους που συντελούν άμεσα στην πρόκληση συμβάντων ΑΔΠ.

4.10

Παρότι η Επιτροπή εκτιμά ότι το κόστος εφαρμογής της προτεινόμενης οδηγίας ΑΔΠ θα ανέλθει περίπου σε 2 δισ. ευρώ/έτος, κατανεμημένα στο σύνολο του δημόσιου και του ιδιωτικού τομέα στην Ευρώπη, η ΕΟΚΕ σημειώνει ότι ορισμένα κράτη μέλη που βρίσκονται υπό δημοσιονομική πίεση θα δυσκολευτούν να εξασφαλίσουν την απαιτούμενη επένδυση για την επίτευξη συμμόρφωσης. Απαιτείται συνεπώς να διερευνηθεί με ποιόν τρόπο θα μπορούσε να παρασχεθεί στήριξη στο πλαίσιο του πολυετούς δημοσιονομικού πλαισίου (ΠΔΠ) ενόψει της συμμόρφωσης προς τις απαιτήσεις της ΑΔΠ, με τη χρήση διαφόρων μέσων, συμπεριλαμβανομένου του Ευρωπαϊκού Ταμείου Περιφερειακής Ανάπτυξης (ΕΤΠΑ) και, ενδεχομένως, του Ταμείου Εσωτερικής Ασφάλειας.