52003AE0747

Euroopan talous- ja sosiaalikomitean lausunto aiheesta "Ehdotus Euroopan parlamentin ja neuvoston asetukseksi Euroopan verkko- ja tietoturvaviraston perustamisesta"

(KOM(2003) 63 lopullinen - 2003/0032 (COD))

(2003/C 220/07)

Neuvosto päätti 3. maaliskuuta 2003 Euroopan yhteisön perustamissopimuksen 95 ja 156 artiklan nojalla pyytää Euroopan talous- ja sosiaalikomitean lausunnon edellä mainitusta ehdotuksesta.

Asian valmistelusta vastannut "liikenne, energia, perusrakenteet, tietoyhteiskunta" -erityisjaosto antoi lausuntonsa 5. kesäkuuta 2003. Esittelijä oli Göran Lagerholm.

Euroopan talous- ja sosiaalikomitea hyväksyi 18. ja 19. kesäkuuta 2003 pitämässään 400. täysistunnossa (kesäkuun 18. päivän kokouksessa) seuraavan lausunnon. Äänestyksessä annettiin 71 ääntä puolesta yhden pidättyessä äänestämästä.

1. Johdanto

1.1. Tietojärjestelmillä on huomattava merkitys koko taloudelle. Ne ovat ratkaisevan tärkeitä paitsi useimmille elinkeinoelämän sektoreille myös julkiselle sektorille, yliopistoille ja koululaitokselle sekä yksittäiselle kansalaiselle. Tällaisten järjestelmien häiriöt koskettavat kaikkia, niin kansalaisia yksityishenkilöinä kuin julkishallintoja ja yrityksiä.

1.2. Olisi Euroopan yhteisön edun mukaista, että jäsenvaltiot tehostaisivat yhteistyötään riittävän korkean turvallisuustason saavuttamiseksi kaikissa jäsenvaltioissa. Se on asetettu tavoitteeksi komission kesäkuussa 2001 antamassa tiedonannossa verkko- ja tietoturvallisuudesta(1).

1.3. Tietoturvasta on tämän vuoksi tullut tärkeä käyttäjiä koskeva ja siten myös tärkeä poliittinen kysymys. Syyskuun 11. päivästä 2001 alkaen tietojärjestelmien toimivuudesta on tullut myös kansallinen turvallisuuskysymys. Jäsenvaltioiden edistystaso asiassa vaihtelee, ja samoin niiden huomion kohteet. Jäsenvaltioiden välillä ei ole järjestelmällistä rajat ylittävää yhteistyötä verkko- ja tietoturva-asioissa, vaikka turvallisuutta ei voida pitää vain yksittäisen valtion sisäisenä asiana. Mekanismia tehokkaiden vastausten antamiseksi turvallisuusuhkiin ei ole. Sääntelyjärjestelmän täytäntöönpano vaihtelee. Yhteentoimivuus on puutteellista, mikä hankaloittaa tietoturvatuotteiden asianmukaista käyttöä.

1.4. Perustettavaksi ehdotetun viraston on määrä helpottaa verkko- ja tietoturvaa koskevien yhteisön toimien soveltamista ja auttaa varmistamaan verkkojen ja tietojärjestelmien tietoturvatoimintojen yhteentoimivuus ja vaikuttaa siten osaltaan sisämarkkinoiden toiminnan sujuvuuteen.

1.5. Virastolla tulee olemaan seuraavia neuvoa-antavia ja koordinoivia tehtäviä:

- Virasto osallistuu tietoturva-alan eri toimijoiden väliseen laajaan yhteistyöhön.

- Se soveltaa koordinointiin tähtäävää tietoturvastrategiaa tukemalla jäsenvaltioita.

- Se tukee standardointitarpeiden kartoitusta.

- Se tukee yhteisön tämän alan yhteyksiä kolmansien maiden kanssa.

1.6. Komission on tarvittaessa voitava antaa virastolle lisätehtäviä, jotta voidaan pysyä teknologian ja yhteiskunnan kehittymisen tahdissa.

1.7. Viraston ehdotetaan aloittavan toimintansa 1. tammikuuta 2004 ja jatkavan toimintaansa viisi vuotta. Viraston toiminnan jatko kyseisen kauden jälkeen riippuu siitä, minkälaisiin tuloksiin päädytään toiminnan arvioinnissa.

2. Yleistä

2.1. ETSK on ilmaissut eri tilaisuuksissa ja useissa lausunnoissaan tukensa kaikille tietoyhteiskuntaa edistäville aloitteille, joista voidaan mainita eEurooppa-toimintasuunnitelma, verkko- ja tietoturvallisuuspolitiikka(2), verkkorikollisuuden torjunta(3), tarve kehittää syrjimätöntä osaamisyhteiskuntaa(4) sekä mahdollisuus käyttää Internetiä turvallisesti siten, että henkilötiedot suojataan ja että kaupalliset toimet ja tietotekniikkapalvelut turvataan(5).

2.2. ETSK pitää komission tapaan verkkojen ja tietojärjestelmien toiminnan varmuutta erittäin tärkeänä. Verkkojen ja tietojärjestelmien häiriöt koskettavat kaikkia, niin kansalaisia, yrityksiä kuin julkishallintoja. Verkko- ja tietoturva tarkoittaa tänä päivänä palvelujen ja tietojen saatavuuden varmistamista, viestinnän häiriöiden ja luvattoman sieppaamisen ehkäisemistä, sen varmistamista, että lähetetyt, vastaanotetut tai tallennetut tiedot ovat täydellisiä ja ettei niitä ole muutettu, tietojärjestelmien suojaamista luvattomalta tunkeutumiselta, suojautumista hyökkäyksiltä jne. Käyttäjien tulee voida luottaa uuteen tekniikkaan riippumatta siitä, käytetäänkö sitä yrityksissä, oppilaitoksissa tai omissa kodeissa. Turvallisuusvaatimukset kasvavat sitä mukaa kuin verkottuminen ja tietojenkäsittely yhteiskunnassa kehittyvät edelleen ja leviävät unionin jäsenvaltioissa ja maailmalla. Komitea korostaa tässä yhteydessä erityisesti, että tietoyhteiskunnan turvallisuusvaatimusten tulee kattaa myös nopean kehityksen myötä syntyvät käyttäjien uudet käyttäytymismallit, ja vaatimukset on sopeutettava niihin. Etenkin langattomien Internet-yhteyksien ja uusien radioviestintäjärjestelmien käytön lisääntyminen asettaa uusia vaatimuksia turvallisuudelle, salaustekniikoille, tietojen ja palvelujen saatavuudelle jne.

2.3. Käyttäjien luottamus tietotekniikkaa sekä tietoyhteiskuntaa ja sen perustana toimivaa infrastruktuuria kohtaan ovat perusedellytyksiä, jotta EU:sta voidaan kehittää maailman kilpailukykyisin osaamiselle rakentuva talous ennen vuotta 2010. Infrastruktuurin varmuutta ja saatavuutta on parannettava ja käyttäjien luottamusta tietotekniikkaa kohtaan kasvatettava, jos halutaan saavuttaa eEurope-toimintasuunnitelmassa asetetut tietoyhteiskunnan palvelujen käyttöä koskevat tavoitteet. Kyseisiin palveluihin kuuluvat mm. sähköinen kaupankäynti, terveydenhuolto ja hallinto sekä sähköiset markkinapaikat.

2.4. Kuten komissio toteaa, jäsenvaltiot ovat edenneet turvallisuuden edistämisessä eri tahtia, mikä johtunee suurelta osin siitä, että sähköisten palvelujen käytön laajuus vaihtelee jäsenvaltioittain. Jotta tietoyhteiskunta voidaan toteuttaa täysimittaisesti koko yhteisössä, on toteutettava yhteisiä toimia, kuten yhteisten standardien laatiminen ja yhteisistä varmennuskriteereistä ja yhteisistä turvaratkaisuista sopiminen. Tarve on keskeinen kansalaisten, yritysten, yliopistojen ja julkishallintojen kannalta koko yhteisön alueella. Turvallisuusongelmien ei voida katsoa kuuluvan vain jollekin yksittäiselle valtiolle. ETSK tukee sen vuoksi komission ehdotusta verkko- ja tietoturvaviraston perustamisesta.

2.5. Toinen kysymys koskee eurooppalaista yhteistyötä tietoyhteiskuntaa uhkaavien, luonteeltaan turvallisuuspoliittisten vaarojen torjumisessa; se edellyttää jäsenvaltioiden lainvalvonta- ja oikeusviranomaisten välistä yhteistyötä. On tärkeää erotella kansallisvaltioihin kohdistuvat mullistavat uhat sekä uhat, jotka kohdistuvat yhteisön kansalaisiin ja heidän mahdollisuuksiinsa käyttää tietoyhteiskunnan palveluja yksityisiin tarkoituksiin. Ensiksi mainittua ei pystyttäne hoitamaan menestyksekkäästi alueelliselta pohjalta vaan ainoastaan maailmanlaajuisen yhteistyön avulla. Komitea on tietoinen näiden uhkakuvien läheisyydestä ja on komission kanssa samaa mieltä siitä, että viraston ei tule hoitaa kysymyksiä, jotka kuuluvat normaalioloissa jäsenvaltioiden turvallisuus-, puolustus-, poliisi- ja oikeusviranomaisten tehtäviin. Viraston toiminnan tulevassa arvioinnissa on kuitenkin selvitettävä, haittaako tämä rajoitus viraston työskentelyä, sekä pohdittava, onko tarpeen erityisesti selkeyttää rajanvetoa kansallisen turvallisuuden ja käytännön tietoturvan välillä.

2.6. ETSK korostaa, että viraston toiminta on syytä käynnistää mahdollisimman nopeasti. On tärkeää, että viraston toiminnan alkamista eivät hidasta mitkään käytännön seikat kuten pitkälliset pohdinnat viraston toimipaikasta. Toiminnan tulee alkaa viimeistään 1. tammikuuta 2004.

3. Erityistä

3.1. ETSK:n mielestä viraston tavoitteiden tulee olla laajemmat kuin komission ehdotuksessa ilmoitetaan. Sen lisäksi, että viraston tulee luoda yhteisymmärrys tietoyhteiskunnan ongelmista ja tukea verkko- ja tietoturvaan liittyviä yhteisötoimia, sen tehtävänä tulee olla nimenomaisesti myös osallistuminen verkko- ja tietoturvaa koskevan osaamisen ja kokemusten levittämiseen jäsenvaltioissa. Tämä voi auttaa ehkäisemään yhteisön digitaalista kahtiajakoa. Se myös osaltaan lisää yhteisön ja jäsenvaltioiden valmiutta torjua verkko- ja tietoturvaongelmia sekä käyttäjien luottamusta tietotekniikkaa sekä tietoyhteiskuntaa ja sen perustana toimivaa infrastruktuuria kohtaan.

3.2. Kuten komissio toteaa, viraston rakenteen tulee olla sellainen, että se helpottaa viraston eri osapuolten osallistumista. Tämä on erityisen tärkeää elinkeinoelämää, yliopistoja, yksityisiä kansalaisia ym. edustavien käyttäjäryhmittymien kannalta. Luonnollisesti myös hankkijapuolen tulee olla edustettuna. Komitea kannattaa siksi ehdotusta siitä, että viraston johtokunnassa on elinkeinoelämän ja kuluttajien edustajia. Komitea ei sen sijaan näe syytä jättää kyseisiä johtokunnan jäseniä vaille äänestysoikeutta etenkään kun ehdotuksen mukaan myös heidät nimittää neuvosto. Elinkeinoelämän edustajilla, tutkijoilla ja kuluttajilla on usein enemmän markkinatuntemusta ja kokemusta tietoyhteiskunnan palvelujen käytöstä kuin julkishallinnon edustajilla.

3.3. ETSK tukee periaatteessa ehdotusta viraston toiminnasta siten kuin sitä on kuvailtu komission asiakirjan jaksossa 3.5. Komitea esittää kuitenkin joitakin täydentäviä näkökantoja.

3.3.1. Komitea katsoo, että viraston työohjelmassa mainittujen tehtävien lisäksi virastolla tulee olla voimavaroja käsitellä myös äkillisiä ja päivänpolttavia turvallisuuskysymyksiä eli resursseja reagoida yllättäviin tapahtumiin. Työohjelmien ei siis pidä merkitä sitä, että pitkän aikavälin työskentely estää virastoa käsittelemästä ennakoimattomia päivänkohtaisia turvallisuus- tai luottamuskysymyksiä.

3.3.2. Virastolle osoitettavien lausuntopyyntöjen esittämisoikeuden rajoittamisen osalta ETSK katsoo, että jäsenvaltioiden keskeisillä elinkeinoelämän organisaatioilla ja kuluttajajärjestöillä tulee olla kyseinen oikeus.

3.3.3. Komitea pitää lähtökohtana sitä seikkaa, että elinkeinoelämän organisaatioiden ja kuluttajajärjestöjen käyttäjäedustajia kutsutaan mukaan työryhmiin, joita virasto perustaa, ja että heille annetaan siten mahdollisuus vaikuttaa suoraan esimerkiksi standardointi- ja varmennustoimintaan. Kyseiset viraston tehtävät edellyttävät elinkeinoelämän aktiivista osallistumista.

3.4. Varainhoitoa koskevista säännöksistä ETSK toteaa, että on olennaisen tärkeää tehdä selväksi ja varmistaa, että viraston toimintaa ja taloudellista asemaa ei aseteta riippuvaisiksi viraston toimintaan osallistuvien yhteisön ulkopuolisten maiden mahdollisista avustuksista.

3.5. Komitea yhtyy komission kantaan, jonka mukaan jo kolmen vuoden jälkeen on asianmukaista aloittaa toiminnan arviointi, jotta voidaan määritellä, onko ehdotettu institutionaalinen ratkaisu tarkoituksenmukaisin verkko- ja tietoturvallisuuteen sekä käyttäjien luottamusta tietotekniikkaa sekä tietoyhteiskuntaa ja sen perustana toimivaa infrastruktuuria kohtaan liittyvien kysymysten käsittelemiseksi.

3.6. Komission viraston toimipaikalle asettamien kriteerien lisäksi ETSK pitää tärkeänä, että virasto sijoitetaan siten, että sen toimintaympäristö täyttää seuraavat edellytykset:

- Toimintaympäristössä tulee olla kattava infrastruktuuri, jolla on suuri siirtokapasiteetti.

- Julkisten sähköisten palvelujen tulee olla kattavat.

- Sähköisen kaupankäynnin tulee olla osa tavanomaista elinkeinoelämää, ja käyttäjäkunnan laajalti ymmärrettynä tulee muodostua tottuneista tietotekniikan käyttäjistä.

Tällä tavoin sijoitettuna virastolla olisi mahdollisuus toimia kehittyneessä tietoyhteiskunnassa ja seurata omakohtaisesti itse paikalla niitä vaaroja ja uhkia, joita sen on määrä tutkia ja arvioida ja joista sen on tarkoitus levittää tietoa ym. Tämä on varmasti erityisen merkityksellistä viraston mahdollisuuksille seurata ongelmia, joita yksityiset kansalaiset ja mikroyritykset kohtaavat tietoyhteiskunnassa. Kyseisillä käyttäjäryhmillä on oletettavasti muutenkin heikoimmat edellytykset valvoa etujaan valtioiden välisessä yhteistyössä. Edellä mainittuihin kriteereihin perustuva sijainti edesauttanee merkittävästi viraston mahdollisuuksia täyttää tehtävänsä tehokkaasti.

Bryssel 18. kesäkuuta 2003.

Euroopan talous- ja sosiaalikomitean

puheenjohtaja

Roger Briesch

(1) KOM(2001) 298 lopullinen.

(2) TSK:n lausunto aiheesta "Komission tiedonanto neuvostolle, Euroopan parlamentille, talous- ja sosiaalikomitealle ja alueiden komitealle - Verkko- ja tietoturva: Ehdotus eurooppalaiseksi lähestymistavaksi" (EYVL C 48, 21.2.2002) sekä aiheesta "Ehdotus: neuvoston päätös eEurope-toimintasuunnitelman seurantaa, hyvien toimintatapojen levittämistä sekä verkko- ja tietoturvan parantamista koskevan monivuotisen MODINIS-ohjelman (2003-2005) hyväksymisestä", KOM(2002) 425 lopullinen.

(3) TSK:n lausunto aiheesta "Komission tiedonanto neuvostolle, Euroopan parlamentille, talous- ja sosiaalikomitealle ja alueiden komitealle - Turvallisempaan tietoyhteiskuntaan tietojärjestelmien turvallisuutta parantamalla ja tietokonerikollisuutta ehkäisemällä" (EYVL C 311, 7.11.2001).

(4) TSK:n lausunto aiheesta "Julkisen sektorin tieto: Euroopan avainresurssi - Vihreä kirja julkisen sektorin tiedon käytöstä tietoyhteiskunnassa" (EYVL C 169, 16.6.1999).

(5) TSK:n lausunto aiheesta "Ehdotus Euroopan parlamentin ja neuvoston direktiiviksi henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla" (EYVL C 123, 25.4.2001).