19.9.2013   

RO

Jurnalul Oficial al Uniunii Europene

C 271/133

1.1

Comitetul ia notă de propunerea de directivă care trebuie văzută în contextul mai larg al Strategiei privind securitatea cibernetică (1) recent publicate, care prezintă o viziune cuprinzătoare asupra securității rețelelor și a informației (NIS), pentru a garanta dezvoltarea sigură a economiei digitale, și răspândește valorile europene de libertate și democrație.

1.2

Comitetul salută propunerea de directivă privind măsuri de asigurare a unui nivel comun ridicat de securitate a rețelelor și a informației în Uniune. Armonizarea și gestionarea NIS la nivel european sunt esențiale pentru realizarea pieței unice digitale și buna funcționare a pieței unice în ansamblu. Comitetul împărtășește îngrijorarea Comisiei cu privire la uriașele pagube pe care eșecul NIS le-ar produce economiei și bunăstării cetățenilor UE. Cu toate acestea, propunerea de directivă nu răspunde așteptărilor Comitetului legate de luarea unor măsuri legislative ferme privind acest aspect critic.

1.3

Comitetul este foarte dezamăgit de lipsa de progrese în statele membre în implementarea unei NIS eficiente la nivel național. CESE ia notă cu regret de riscurile sporite pentru cetățeni generate de acest eșec, precum și de impactul negativ asupra realizării pieței unice digitale. Toate statele membre ar trebui să ia măsuri imediate cu privire la obligațiile neîndeplinite ce le revin în materie de NIS.

1.4

Lipsa progresului generează o nouă diviziune digitală între grupul de elită cu un nivel foarte avansat de NIS și statele membre mai puțin avansate. Această diviziune nu este favorabilă încrederii și colaborării în domeniul NIS la nivelul UE și, dacă nu este abordată de urgență, poate cauza eșecuri pe piața internă asociate cu diferențele de capacitate între statele membre.

1.5

După cum a recomandat în avizele sale anterioare (2), CESE crede că măsurile orientative și voluntare nu funcționează; pentru asigurarea armonizării, guvernanței și punerii în aplicare a NIS la nivel european sunt necesare obligații stricte de reglementare impuse statelor membre. Pentru a asigura nivelul comun înalt de NIS necesar, Comitetul este convins că un regulament care impune statelor membre obligații bine definite este mai eficient decât o directivă.

1.6

În ciuda intenției Comisiei Europene de a adopta acte delegate pentru a asigura condiții uniforme pentru punerea în aplicare a anumitor părți ale directivei, Comitetul constată în actul propus o lipsă a standardelor, definițiilor clare și a obligațiilor categorice; astfel, statele membre beneficiază de prea mare flexibilitate în materie de interpretare și transpunere a elementelor critice. Comitetul ar dori să vadă definiții mult mai explicite pentru standardele, cerințele și procedurile pe care trebuie să le respecte statele membre, autoritățile publice, participanții pe piață și factorii principali în furnizarea internetului.

1.7

Pentru formularea solidă a politicilor și implementarea NIS în UE, Comitetul ar dori să se creeze o autoritate la nivelul UE, similară Autorității centrale din industria aviației (AESA) (3). Acest organism ar stabili standarde și ar monitoriza punerea în aplicare a tuturor elementelor de securitate a rețelelor și a informației în Uniune: de la certificarea dispozitivelor terminale și a utilizării lor sigure, la securitatea rețelei și a datelor.

1.8

CESE este conștient de riscurile sporite pentru securitatea cibernetică și protecția datelor generate de adoptarea cloud computing-ului (4) în Europa. Comitetul dorește ca propunerea să includă în mod explicit cerințe și obligații suplimentare speciale privind furnizarea și utilizarea serviciilor cloud.

1.9

Pentru ca să existe o responsabilizare corectă în domeniul NIS, propunerea ar trebui să stabilească în mod clar faptul că entitățile care au obligații în conformitate cu propunerea de directivă au dreptul să tragă la răspundere furnizorii de software și hardware responsabili de orice defecte ale produselor sau serviciilor lor care contribuie în mod direct la incidente în domeniul NIS.

1.10

CESE cere statelor membre să acorde atenție specială îmbunătățirii cunoștințelor în domeniul NIS și a competențelor de securitate cibernetică ale întreprinderilor mici și mijlocii (IMM). De asemenea, Comitetul atrage atenția Comisiei asupra succesului „concursurilor de hacker” din SUA (5) și din câteva state membre (6) pentru sensibilizarea cu privire la securitatea cibernetică și instruirea viitoarei generații de profesioniști în domeniul NIS.

1.11

Având în vedere importanța respectării de către toate statele membre a securității rețelelor și a informației în întreaga UE, CESE solicită Comisiei să analizeze ce fonduri din cadrul financiar multianual (CFM) ar putea fi destinate respectării prevederilor NIS, în vederea acordării de asistență statelor membre care necesită ajutor financiar.

1.12

Pentru ca Europa să poată ține pasul cu situația în schimbare rapidă a amenințărilor cibernetice, cheltuielile în domeniul cercetării, dezvoltării și inovării pentru tehnologiile NIS ar trebui să fie o prioritate majoră a programului-cadrul pentru cercetare, inovare și dezvoltare al UE „Orizont 2020”.

1.13

Pentru a fi clar căror entități le revine responsabilitatea juridică în conformitate cu propunerea de directivă, CESE consideră că fiecare stat membru trebuie să aibă obligația de a publica un registru on-line cu toate entitățile vizate de cerințele de gestionare a riscului și de raportare prevăzute de directivă. Transparența și responsabilitatea publică ar genera încredere și ar sprijini respectarea prevederilor.

1.14

Comitetul atrage atenția Comisiei asupra numeroaselor avize precedente ale CESE care au supus discuției subiectul securității rețelelor și a informației și au făcut observații privind necesitatea unei societăți informaționale sigure și a protecției infrastructurilor critice (7).

2.1

Propunerea de directivă privind securitatea rețelelor și a informației a fost publicată împreună cu Strategia privind securitatea cibernetică a UE care urmărește să consolideze reziliența sistemelor de informații, să reducă criminalitatea informatică, să consolideze politica UE în domeniul securității și apărării cibernetice la nivel internațional și să dezvolte resursele industriale și tehnologice pentru securitatea cibernetică, promovând în același timp drepturile fundamentale și alte valori fundamentale ale UE.

2.2

NIS are în vedere protecția internetului și a altor rețele, a sistemelor de informații și sprijinirea serviciilor care susțin funcționarea societății noastre. NIS este esențială pentru buna funcționare a pieței interne.

2.3

Abordarea pur voluntară adoptată de UE față de NIS până în prezent nu asigură o protecție suficientă împotriva riscurilor NIS. Capacitățile NIS existente nu sunt suficiente pentru a ține pasul cu amenințările în schimbare rapidă și pentru a asigura un nivel comun de protecție înalt în toate statele membre.

2.4

În prezent, în statele membre nivelul capacităților și al pregătirii este foarte diferit, ceea ce duce la o abordare fragmentată a NIS în UE. Având în vedere că rețelele și sistemele sunt interconectate, statele membre cu un nivel insuficient de protecție slăbesc NIS generală în Uniune. Această situație împiedică crearea unei atmosfere de încredere reciprocă, care o condiție prealabilă pentru cooperare și schimbul de informații. Ca urmare, doar un număr limitat de state membre cu un nivel ridicat de capacități mențin relații de cooperare.

2.5

Scopul Directivei propuse în conformitate cu articolul 114 TFUE este de a facilita realizarea și buna funcționare a pieței unice digitale:

2.6

Propunerea de directivă stabilește cerințe legale, cum ar fi:

2.7

Statele membre vor trebui să pună în aplicare directiva în decurs de 18 luni de la adoptarea sa de către Consiliu și Parlamentul European (prevăzută pentru 2014).

3.1

Extinderea internetului și a societății digitale are un impact profund asupra vieții cotidiene. Cu toate acestea, pe măsură ce crește dependența noastră de internet, libertatea, prosperitatea și calitatea vieții noastre depind tot mai mult de securitatea robustă a rețelelor și a informației. Dacă nu funcționează internetul și nu se pot accesa dosare medicale electronice într-o situație de urgență, oamenii pot muri. Totuși, securitatea infrastructurii critice de informații din Europa este tot mai amenințată, iar nivelul nostru de NIS nu este suficient.

3.2

Anul trecut, directorul Europol a declarat că este „foarte îngrijorat din cauza încrederii eronate în caracterul solid al internetului” (8). Auzim tot mai des de noi atacuri cibernetice asupra infrastructurii esențiale lansate de către infractori, teroriști sau guverne străine. Cei vizați nu notifică majoritatea atacurilor deoarece se tem de ruinarea reputației; cu toate acestea, în ultimele săptămâni am fost martori ai unor atacuri asupra infrastructurii de internet a Europei (9) și asupra sistemelor bancare (10) care au fost prea distrugătoare pentru a fi ascunse. Într-un raport (11) se estimează că în Țările de Jos au avut loc 92 de milioane de atacuri cibernetice în 2011, iar în Germania 82 de milioane. Guvernul Regatului Unit estimează că Regatul Unit a suferit, în 2011, 44 de milioane de atacuri cibernetice, ceea ce a generat costuri de până la 30 de miliarde de euro (12).

3.3

În 2007, Consiliul UE a abordat problemele cu care Europa se confruntă în domeniul NIS (13). Însă abordarea politicii de atunci (14) s-a bazat în cea mai mare parte pe acțiuni voluntare ale statelor membre și doar câteva dintre ele au acționat efectiv. Comitetul observă că multe state membre nu au publicat încă o strategie națională de securitate cibernetică și nu au elaborat un plan național de urgență în caz de incidente informatice, iar altele nu au creat încă echipe de intervenție în caz de urgențe informatice (CERT - Computer Emergency Response Team). De asemenea, o serie de state membre nu au ratificat încă Convenția Consiliului Europei privind cibercriminalitatea (15).

3.4

Zece state membre foarte avansate în domeniul NIS au format Grupul european al CERT guvernamentale (EGC) pentru a colabora îndeaproape în materie de NIS și de răspuns la incidente. În prezent nu se mai poate adera la EGC; celelalte 17 state membre mai puțin avansate și CERT-UE (16) nou creat sunt excluse din acest grup de elită. Se creează o nouă diviziune digitală între statele membre foarte avansate în domeniul NIS și celelalte. Dacă nu se elimină acest decalaj, diviziunea în domeniul NIS va ataca nucleul pieței unice digitale, limitând dezvoltarea încrederii, armonizarea și interoperabilitatea. Mai mult, dacă nu se iau măsuri stricte, decalajul între statele membre foarte avansate și cele mai puțin avansate va crește în paralel cu eșecurile pieței interne asociate diferențelor dintre capacitățile statelor membre.

3.5

Succesul strategiei de securitate cibernetică și eficacitatea Directivei NIS propuse vor depinde de un sector puternic în domeniul NIS în Europa și de lucrători suficienți cu competențe specializate în domeniu. CESE își exprimă satisfacția față de faptul că directiva ia în considerare nevoia ca statele membre să investească în educația, sensibilizarea și formarea în domeniul NIS. Comitetul cere ca fiecare stat membru să facă eforturi speciale pentru a informa, educa și sprijini IMM-urile în domeniul securității cibernetice. Întreprinderile mari pot dobândi cu ușurință cunoștințele de care au nevoie, însă IMM-urile au nevoie de sprijin.

3.6

CESE așteaptă cu interes să coopereze cu Agenția Europeană pentru Securitatea Rețelelor Informatice și a Datelor (ENISA) pentru a promova NIS în cadrul „lunii securității cibernetice” de anul acesta. În ceea ce privește obiectivul strategiei de securitate cibernetică și al Directivei NIS de a crea o cultură sensibilizării cu privire la chestiunile de securitate în Uniune și de a crește nivelul competențelor NIS, Comitetul îi semnalează Comisiei evenimentele de tipul „concursuri de hacker” pentru adolescenți, care au avut un mare succes în sensibilizarea publicului în unele state membre și în SUA.

3.7

De asemenea, Comitetul salută angajamentul Strategiei de securitate cibernetică de a prevedea cheltuieli în domeniul cercetării, dezvoltării și inovării pentru tehnologiile NIS.

3.8

Dezvoltarea cloud computingului generează multe riscuri noi pentru securitatea cibernetică. De exemplu, infractorii în domeniul cibernetic au acum acces, cu costuri relativ mici, la putere imensă de procesare, iar datele a mii de întreprinderi sunt localizate în baze de date centrale care sunt vulnerabile în fața atacurilor deliberate. CESE a pledat pentru mai multă reziliență cibernetică pentru cloud computing (17).

3.9

Comitetul a solicitat deja introducerea unui sistem european de identitate electronică (eID) cu caracter voluntar pentru tranzacțiile online, în vederea completării sistemelor naționale în vigoare. Un astfel de sistem ar asigur un nivel mai ridicat de protecție împotriva fraudei, un climat caracterizat de o mai mare încredere între agenții economici, costuri mai mici pentru prestarea serviciilor și o calitate mai bună a serviciilor și a protecției oferite cetățenilor.

4.1

În mod regretabil, propunerea de directivă NIS a Comisiei este prea schematică, nu este suficient de clară și depinde mult prea mult de autoreglementarea în statele membre. Lipsa standardelor, a definițiilor clare și a obligațiilor categorice, în special în capitolul IV al directivei, acordă statelor membre prea multă flexibilitate în materie de interpretare și transpunere a elementelor critice ale actului. Un regulament care impune statelor membre obligații juridice bine definite ar fi mai eficient decât o directivă.

4.2

Comitetul menționează că la articolul 6 din directivă se prevede ca fiecare stat membru să numească o „autoritate competentă” care să monitorizeze și să asigure punerea în aplicare coerentă a directivei în UE. De asemenea, la articolul 8 se stabilește o „rețea de cooperare”, care, pe baza competențelor care îi vor fi atribuite, precum și a competențelor Comisiei, va asigura rolul de lider paneuropean, gestionarea și, dacă se impune, punerea în aplicare până la nivelul de stat membru. CESE consideră că, pentru asigurarea securității rețelelor și a informației, UE ar trebui să aibă în vedere, pornind de la acest cadru de guvernanță, crearea unei autorități în domeniul NIS la nivelul UE, analoage Agenției Europene de Siguranță a Aviației care stabilește standarde și gestionează punerea în aplicare și respectarea securității de către aeronave, aeroporturi și operațiunile aeriene.

4.3

Autoritatea în domeniul NIS la nivelul UE propusă de Comitet la punctul 4.2 de mai sus ar putea fi creată pe bazele activității de securitate cibernetică desfășurată deja de ENISA, de Comitetul European de Standardizare (CEN), de CERT, de Grupul european al CERT guvernamentale (EGC) și de alte organe. O astfel de autoritate ar stabili standarde și ar monitoriza punerea în aplicare a tuturor elementelor de securitate a rețelelor și a informației, de la certificarea dispozitivelor terminale și a utilizării sigure, la securitatea rețelei și a datelor.

4.4

Având în vedere nivelul ridicat de interdependență între statele membre în asigurarea NIS în Uniune și costul potențial foarte ridicat al eșecului NIS pentru toate părțile implicate, CESE dorește ca legislația să includă sancțiuni explicite și proporționale pentru nerespectarea prevederilor, armonizate în așa fel încât să reflecte dimensiunea paneuropeană a responsabilității și amploarea potențialelor daune care s-ar putea produce nu numai pe piața națională, ci și în întreaga Uniune. Articolul 17 referitor la sancțiuni este formulat de o manieră generală, acordă prea multă libertate statelor membre în stabilirea sancțiunilor și nu stipulează orientări suficiente pentru a ține seama de efectele transfrontaliere și paneuropene.

4.5

În prezent, guvernele și furnizorii de servicii vitale nu fac cunoscute publicului deficiențele de securitate și reziliență decât dacă sunt obligați să o facă. Lipsa informării lezează capacitatea Europei de a răspunde rapid și eficient amenințărilor cibernetice și de a ameliora securitatea generală a rețelelor și a informației prin învățare comună. Comitetul salută decizia Comisiei din directivă de a obliga la notificarea tuturor incidentelor semnificative în domeniul NIS. CESE nu crede că ar funcționa notificarea voluntară a incidentelor, deoarece există tendința, de teama responsabilității și a pierderii reputației, de a ascunde eșecurile.

4.6

Cu toate acestea, articolul 14 din directivă referitor la notificare nu definește ce ar însemna un incident cu „impact semnificativ” asupra securității și acordă prea multă libertatea entităților relevante și statelor membre cu privire la raportarea sau nu incidentelor. O legislație eficace presupune cerințe clare. Deoarece directiva propusă este prea vagă în ce privește definirea esențială a cerințelor, nu este posibil să se tragă la răspundere părțile responsabile pentru nerespectarea cerințelor, așa cum este prevăzut la articolul 17 din directivă.

4.7

Dat fiind că sectorul privat este cel care asigură în cea mai mare parte securitatea rețelelor și a informației, este important să se încurajeze un grad înalt de încredere și cooperare cu ansamblul întreprinderilor responsabile pentru infrastructura și serviciile informaționale vitale. Salutăm și încurajăm inițiativa „Parteneriatul european public-privat pentru reziliență” (EP3R), lansată de Comisie în 2009. Cu toate acestea, Comitetul consideră că această inițiativă trebuie consolidată și sprijinită printr-o obligație de reglementare prevăzută în actul NIS care să impună cooperarea acelor părți interesate care nu se implică în mod corespunzător.

4.8

Fiecare stat membru ar trebui să publice un registru on-line pentru jurisdicția sa cu toate entitățile care îndeplinesc cerințele de securitate și obligațiile de notificare a incidentelor de la articolul 14 din directivă. Transparența ar clarifica modul în care fiecare stat membru decide asupra aplicării definițiilor de la articolul 3 al actului și, în același timp, ar contribui la clădirea încrederii și ar încuraja o cultură a gestionării riscului în rândul cetățenilor.

4.9

CESE observă că dezvoltatorii de software și producătorii de hardware sunt excluși în mod explicit de la cerințele directivei deoarece aceștia nu sunt furnizori de servicii ale societății informaționale. Cu toate acestea, Comitetul consideră că actul propus ar trebui să menționeze că acele entități care au obligații conform directivei ar putea recurge la furnizorii de software și hardware în cazul unor defecte ale produselor sau serviciilor lor care contribuie în mod direct la incidentele NIS.

4.10

Chiar dacă Comisia estimează că implementarea Directivei NIS propuse va costa aproximativ 2 miliarde de euro/an, suportate de sectorul public și cel privat din Europa, Comitetul ia notă de faptul că unele state membre care se confruntă cu presiuni financiare vor avea dificultăți să facă investițiile necesare pentru respectarea cerințelor. Este necesar să se aibă în vedere posibilități de asistență în cadrul CFM pentru respectarea cerințelor NIS, prin diferite instrumente, inclusiv Fondul european de dezvoltare regională (FEDER) și posibil, Fondul pentru securitate internă.