19.9.2013   

SV

Europeiska unionens officiella tidning

C 271/133

1.1

Europeiska ekonomiska och sociala kommittén ser förslaget till direktiv i ett större sammanhang, mot bakgrund av den nyligen offentliggjorda strategin för it-säkerhet (1), som innehåller en övergripande vision för nät- och informationssäkerhet (NIS) som syftar till att den digitala ekonomin ska kunna växa på ett säkert sätt och samtidigt sprida europeiska värderingar som frihet och demokrati.

1.2

EESK välkomnar detta förslag till direktiv som syftar till en hög nät- och informationssäkerhet i hela EU. Harmonisering och förvaltning av nät- och informationssäkerheten på EU-nivå är en förutsättning för att den inre digitala marknaden ska kunna genomföras och för att den inre marknaden i sin helhet ska fungera smidigt. Kommittén delar kommissionens oro över den enorma skada som kan åsamkas ekonomin och medborgarnas välfärd om nät- och informationssäkerheten inte är tillräcklig. Förslaget till direktiv motsvarar dock inte kommitténs förväntningar om kraftfulla lagstiftningsåtgärder i denna mycket viktiga fråga.

1.3

Kommittén är mycket besviken över att många medlemsstater inte har gjort några framsteg med att genomföra en effektiv nät- och informationssäkerhet på nationell nivå. EESK beklagar de ökade risker som detta misslyckande innebär för medborgarna och den negativa inverkan som det får på genomförandet av den inre digitala marknaden. Alla medlemsstater bör snarast vidta åtgärder för att fullgöra de åtaganden i fråga om nät- och informationssäkerhet som de ännu inte har genomfört.

1.4

Bristen på framsteg skapar ännu en digital klyfta mellan en elit som har en mycket avancerad nät- och finformationssäkerhet och de medlemsstater som inte har kommit lika långt på området. Denna klyfta har en negativ inverkan på förtroendet och samarbetet kring nät- och informationssäkerhet på EU-nivå, och om problemet inte åtgärdas snarast kommer det sannolikt att leda till misslyckanden på den inre marknaden som kan kopplas till skillnaderna i kapacitet mellan medlemsstaterna.

1.5

EESK har redan i tidigare yttranden (2) gett uttryck för sin åsikt att trevande och frivilliga åtgärder inte fungerar och att medlemsstaterna måste underkastas kraftfulla rättsliga skyldigheter att säkra harmonisering, styrning och genomförande av nät- och informationssäkerheten på EU-nivå. Tyvärr anser inte EESK att detta förslag till direktiv tillhandahåller den tydliga och kraftfulla lagstiftning som behövs. För att tillhandahålla den höga gemensamma nivå av nät- och informationssäkerhet som behövs anser kommittén att en förordning med väl definierade skyldigheter för medlemsstaterna skulle vara effektivare än ett direktiv.

1.6

Europeiska kommissionen har visserligen för avsikt att anta delegerade akter för att se till att vissa enhetliga villkor tillämpas vid genomförandet av vissa delar av direktivet, men kommittén anser att det saknas standarder, tydliga definitioner och ovillkorliga skyldigheter i den föreslagna rättsakten och att medlemsstaterna därför har alltför stort spelrum när det gäller tolkning och införlivande av centrala delar. Kommittén skulle gärna se att rättsakten innehöll mycket utförligare definitioner av de standarder, krav och förfaranden som medlemsstaterna, de offentliga myndigheterna, marknadsaktörerna och de företag som har stor betydelse för internet ska följa.

1.7

EESK skulle vilja se att det inrättades en myndighet på EU-nivå för nät- och informationssäkerhet, motsvarande den centrala myndighet som finns inom flygindustrin (Easa) (3), som skulle kunna formulera en kraftfull nät- och informationssäkerhetspolitik och genomföra den. Denna myndighet skulle fastställa standarder och övervaka genomförandet av alla delar av nät- och informationssäkerheten i hela EU – från certifiering av säker terminalutrustning och säker användning av denna till nätsäkerhet och datasäkerhet.

1.8

Kommittén är mycket medveten om den ökade risk för it-säkerheten och datasäkerheten som införandet av molntjänster (4) i Europa innebär. Förslaget till rättsakt borde uttryckligen innehålla särskilda, extra säkerhetskrav och skyldigheter avseende tillhandahållande och användning av molntjänster.

1.9

För att säkerställa tillräcklig ansvarsskyldighet på området nät- och informationssäkerhet bör rättsakten slå fast att aktörer som omfattas av skyldigheterna enligt förslaget till direktiv skulle ha rätt att hålla mjuk- och hårdvaruleverantörer ansvariga för eventuella defekter i de produkter eller tjänster som de tillhandahåller och som direkt bidrar till nät- och informationssäkerhetsincidenter.

1.10

EESK uppmanar medlemsstaterna att lägga särskilt stor vikt vid att öka små och medelstora företags kunskaper om nät- och informationssäkerhet och deras kompetens inom it-säkerhet. Kommittén vill även göra kommissionen uppmärksam på de framgångar som ”hackertävlingar” i USA (5) och några medlemsstater (6) har medfört i fråga om att öka medvetenheten om it-säkerhet och utbilda nästa generation som ska arbeta med nät- och informationssäkerhet.

1.11

Medlemsstaternas efterlevnad av direktivet är mycket viktigt för nät- och informationssäkerheten i hela EU. EESK uppmanar därför kommissionen att reflektera över vilka medel inom den fleråriga budgetramen som skulle kunna avsättas för efterlevnad av bestämmelserna om nät- och informationssäkerhet för att hjälpa de medlemsstater som behöver finansiellt stöd.

1.12

Finansiering av forskning, utveckling och innovation inom nät- och informationssäkerhetsteknik bör vara en hög prioritet i EU:s ramprogram för forskning och innovation Horisont 2020, så att Europa kan hålla jämna steg med de snabbt skiftande it-hoten.

1.13

För att bidra till en klarare bild av vilka enheter som har rättsliga skyldigheter enligt den föreslagna rättsakten skulle EESK vilja se att varje medlemsstat hade en skyldighet att utarbeta ett online-register över alla enheter som omfattas av direktivets riskhanterings- och anmälningskrav. Denna öppenhet och offentliga ansvarsskyldighet skulle öka förtroendet och främja efterlevnaden.

1.14

Kommittén vill göra kommissionen uppmärksam på de många tidigare yttranden som EESK har utarbetat där man har diskuterat ämnet nät- och informationssäkerhet och tagit upp behovet av ett säkert informationssamhälle samt skydd av kritisk infrastruktur (7).

2.1

Förslaget till direktiv om nät- och informationssäkerhet offentliggjordes samtidigt som EU:s strategi för it-säkerhet, som syftar till att stärka it-systemens motståndskraft, minska it-brottsligheten, förbättra EU:s internationella politik för it-säkerhet och it-försvar samt utveckla industri- och teknikresurserna för it-säkerheten och samtidigt främja grundläggande rättigheter och andra grundläggande EU-värderingar.

2.2

Nät- och informationssäkerhet handlar om skydd av internet och andra nät, informationssystem och stödtjänster som behövs för att våra samhällen ska fungera. Detta skydd är oumbärligt för en väl fungerande inre marknad.

2.3

Den helt frivilliga metod som EU hittills har tillämpat ger inte tillräckligt skydd mot nät- och informationsriskerna. Den existerande nät- och informationssäkerhetskapaciteten räcker inte för att hålla jämna steg med den mycket föränderliga hotbilden eller för att säkra en gemensam, hög skyddsnivå i alla medlemsstater.

2.4

För närvarande har medlemsstaterna mycket olika kapacitets- och beredskapsnivåer, vilket leder till en fragmentering i nät- och informationssäkerhetsfrågan i EU. Eftersom näten och informationssystemen är sammankopplade försvagas den totala nät- och informationssäkerheten i EU av de medlemsstater som har en otillräcklig skyddsnivå. Detta gör också att det svårare uppstår förtroende mellan parterna, vilket är en förutsättning för samarbete och informationsutbyte. Därför är det endast en minoritet av medlemsstaterna med hög kapacitetsnivå som samarbetar.

2.5

Syftet med direktivet, som har föreslagits i enlighet med artikel 114 i EUF-fördraget, är att underlätta genomförandet av den inre digitala marknaden och få den att fungera väl genom att

2.6

Förslaget till direktiv fastställer bland annat följande rättsliga skyldigheter:

2.7

Medlemsstaterna måste genomföra direktivet inom 18 månader från rådets och Europaparlamentets antagande av det (detta planeras ske någon gång under 2014).

3.1

Internets och det digitala samhällets tillväxt påverkar kraftigt vår vardag. Men samtidigt som vårt beroende av internet ökar, blir vår frihet, vårt välstånd och vår livskvalitet alltmer beroende av en solid nät- och informationssäkerhet: Om internet ligger nere och man inte får tillgång till elektroniska patientjournaler kommer människor att dö. Hotet mot EU:s kritiska informationsinfrastruktur ökar dock, och vi har inte en tillräckligt hög nivå av nät- och informationssäkerhet.

3.2

Europols direktör påpekade förra året att han var mycket oroad över denna kraftigt ogrundade tilltro till internets osårbarhet (8). Vi hör ofta talas om att kriminella, terrorister eller utländska regeringar gör nya dataintrång i grundläggande infrastruktur. De flesta av dem som drabbas anmäler det inte, eftersom de är rädda att förstöra sitt rykte. De senaste veckorna har det emellertid skett intrång i EU:s internetinfrastruktur (9) och banksystem (10) som varit alltför omfattande för att döljas. I en rapport (11) anges att Nederländerna utsattes för 92 miljoner och Tyskland för 82 miljoner it-angrepp år 2011. Enligt den brittiska regeringens uppskattningar utsattes Storbritannien för 44 miljoner it-angrepp år 2011 till en kostnad av uppemot 30 miljarder euro (12).

3.3

Rådet tog 2007 upp EU:s nät- och informationssäkerhetsproblem (13). Men politiken har sedan dess (14) till största delen byggt på frivilliga insatser av medlemsstaterna, och endast ett fåtal av dem har vidtagit effektiva åtgärder. Kommittén noterar att många medlemsstater fortfarande varken har offentliggjort någon nationell strategi för it-säkerhet eller utarbetat någon nationell beredskaps- och samarbetsplan för it-incidenter, och vissa har inte heller inrättat någon incidenthanteringsorganisation. Dessutom har ett antal medlemsstater fortfarande inte heller ratificerat Europarådets konvention om it-brottslighet (15).

3.4

Tio medlemsstater som har kommit långt i arbetet med nät- och informationssäkerhet har bildat en incidenthanteringsorganisation (Computer Emergency Response Team, Cert), där de ska bedriva ett nära samarbete om nät- och informationssäkerhet och om incidenthantering. Incidenthanteringsorganisationen tar för närvarande inte emot nya medlemmar: De resterande 17 medlemsstater som inte har kommit lika långt på området och den nyligen bildade organisationen Cert-EU (16) är i dagsläget uteslutna från denna elitgrupp. En ny digital klyfta håller på att skapas mellan de medlemsstater som har hunnit långt när det gäller nät- och informationssäkerheten och de övriga. Om denna klyfta inte överbryggas kommer den att få genomgripande följder för den digitala inre marknaden och hämma utvecklingen av förtroende, harmonisering och interoperabilitet. Utan kraftiga insatser kommer klyftan mellan mycket avancerade och mindre avancerade medlemsstater förmodligen att öka, och det kommer förmodligen även att leda till fler misslyckanden på den inre marknaden som kan kopplas till skillnaderna i kapacitet mellan medlemsstaterna.

3.5

Huruvida strategin för it-säkerhet blir framgångsrik och det föreslagna direktivet om nät- och informationssäkerhet effektivt beror på om det finns en stark nät- och informationssäkerhetsindustri i Europa och tillräckligt med specialister på området. EESK kan med tillfredsställelse konstatera att förslaget till direktiv tar upp medlemsstaternas behov av investeringar i utbildnings- och informationsinsatser. Kommittén skulle också gärna se att varje medlemsstat gjorde specifika insatser för att informera, utbilda och stödja sektorn för små och medelstora företag när det gäller it-säkerhet. Stora företag kan lätt få tag i den kunskap som behövs men små och medelstora företag behöver hjälp.

3.6

EESK ser fram emot samarbetet med Europeiska byrån för nät- och informationssäkerhet (Enisa) i syfte att främja nät- och informationssäkerheten under månaden för it-säkerhet senare i år. När det gäller it-säkerhetsstrategins och direktivets målsättning att utveckla en kultur präglad av säkerhetstänkande i hela EU och öka kunskapsnivån på området för nät- och informationssäkerhet, vill kommittén fästa kommissionens uppmärksamhet på de ”hacker-tävlingar” för tonåringar som har visat sig mycket lyckade i vissa medlemsstater och i USA när det gäller att öka medvetenheten om it-säkerhet.

3.7

Kommittén ser även positivt på åtagandet i strategin för it-säkerhet om finansiering av forskning, utveckling och innovation inom nät- och informationssäkerhetsteknik.

3.8

Molntjänsternas utbredning skapar många nya risker som it-säkerheten måste hantera. Exempelvis har it-brottslingar nu tillgång till massiv datorkapacitet till relativt låg kostnad, och uppgifter från tusentals företag finns nu i centraliserade dataarkiv som är sårbara för målinriktade angrepp. EESK har i tidigare yttranden efterlyst större cyberberedskap när det gäller molntjänster (17).

3.9

Kommittén har tidigare efterlyst ett frivilligt europeiskt e-id-system för transaktioner online i syfte att komplettera befintliga nationella system. Ett sådant system skulle ge bättre skydd mot bedrägerier, skapa större förtroende mellan ekonomiska aktörer, lägre kostnader för tillhandahållande av tjänster och högre kvalitet på tjänster och skydd för medborgarna.

4.1

Tyvärr är kommissionens förslag till direktiv om nät- och informationssäkerheten alltför trevande, otydligt och beroende av självreglering i medlemsstaterna. Bristen på standarder, tydliga definitioner och ovillkorliga skyldigheter, särskilt i kapitel IV i direktivet, ger medlemsstaterna alltför stort svängrum när det gäller tolkning och införlivande av centrala delar i förslaget. En förordning med väl definierade rättsliga skyldigheter för medlemsstaterna skulle vara effektivare än ett direktiv.

4.2

Kommittén noterar att varje medlemsstat enligt artikel 6 i direktivet ska utse en ”behörig myndighet” som ska övervaka tillämpningen av detta direktiv och bidra till en konsekvent tillämpning i hela unionen. Vidare ska det enligt artikel 8 inrättas ett ”samarbetsnätverk” som, genom sina egna samt kommissionens befogenheter, ska bidra med paneuropeiskt ledarskap, förvaltning och verkställighet, om nödvändigt ända ned till medlemsstatsnivå. EESK anser att EU bör bygga vidare på denna styrelseram och överväga att inrätta en myndighet för nät- och informationssäkerhet på EU-nivå, motsvarande Europeiska byrån för luftfartssäkerhet (Easa), som fastställer standarder och hanterar frågor om genomförande och efterlevnad av säkerhetsföreskrifter för flygplan, flygplatser och flygbolags verksamhet.

4.3

Den myndighet för nät- och informationssäkerhet på EU-nivå som kommittén föreslår i punkt 4.2 ovan skulle kunna inrättas med utgångspunkt i det it-säkerhetsarbete som redan utförts av Enisa, Europeiska standardiseringskommittén (CEN), organisationer för incidenthantering och ECG-gruppen m.fl. En sådan myndighet skulle fastställa standarder och övervaka genomförandet av alla delar av nät- och informationssäkerheten – från certifiering av säker terminalutrustning och säker användning av denna till nätsäkerhet och datasäkerhet.

4.4

Mot bakgrund av det stora ömsesidiga beroendet mellan medlemsstaterna när det gäller att tillhandahålla nät- och informationssäkerhet i hela EU och de potentiellt sett mycket höga kostnader som bristande nät- och informationssäkerhet innebär för alla berörda parter, skulle EESK gärna se att lagstiftningen inbegriper uttryckliga och proportionerliga påföljder om den inte följs, och dessa påföljder bör harmoniseras så att de återspeglar den paneuropeiska dimensionen av detta ansvar och omfattningen av den skada som kan förorsakas, inte bara på den inhemska marknaden utan även i hela EU. Artikel 17 i direktivet, som avser påföljder, är allmänt hållen och ger medlemsstaterna alltför stort spelrum att fastställa påföljder, och den ger inte tillräckliga riktlinjer för att ta hänsyn till gränsöverskridande och paneuropeiska effekter.

4.5

Regeringarna och tillhandahållarna av nödvändiga tjänster offentliggör i dag inte brister i säkerheten och motståndskraften om de inte är tvungna till detta. Att detta inte sker skadar EU:s förmåga att reagera snabbt och effektivt på it-hot och även möjligheten att förbättra den allmänna nät- och informationssäkerheten genom att gemensam inlärning. Kommittén ställer sig positiv till kommissionens beslut att i direktivet göra det obligatoriskt att anmäla alla allvarliga nät- och informationssäkerhetsincidenter. EESK anser inte att frivillig rapportering av incidenter skulle fungera, eftersom det av rädsla för dåligt rykte och ansvarsskyldighet, finns en tendens att dölja fel.

4.6

Artikel 14 i direktivet, som berör anmälan, definierar dock inte vad en incident med ”betydande konsekvenser” för säkerheten innebär och den ger de berörda enheterna och medlemsstaterna alltför mycket utrymme att själva bedöma om de ska anmäla nät- och informationssäkerhetsincidenter eller inte. Om lagstiftningen ska bli effektiv krävs det entydiga krav. Eftersom förslaget till direktiv är för vagt i fråga om definitionerna av väsentliga krav är det inte möjligt att ställa parterna till svars för brister i efterlevnaden på det sätt som avses i artikel 17 i direktivet.

4.7

Eftersom tillhandahållandet av nät- och informationssäkerhet främst sker inom den privata sektorn är det viktigt att man skapar en hög grad av förtroende och samarbete med alla företag som ansvarar för väsentlig informationsstruktur och väsentliga informationstjänster. Initiativet om ett europeiskt offentlig-privat partnerskap för motståndskraft som lades fram av kommissionen 2009 är berömvärt och bör uppmuntras. Kommittén anser dock att initiativet behöver stärkas och stödjas genom lagstadgade skyldigheter i rättsakten om nät- och informationssäkerhet för att tvinga de centrala aktörer som inte engagerar sig tillräckligt att samarbeta.

4.8

Varje medlemsstat bör publicera ett online-register för sin jurisdiktion över alla enheter som omfattas av de säkerhetskrav och incidentanmälningsskyldigheter som anges i artikel 14 i förslaget till direktiv. Denna öppenhet skulle förutom att den förtydligar hur varje enskild medlemsstat beslutar att tillämpa definitionerna i artikel 3 i rättsakten även bidra till att öka förtroendet och uppmuntra en riskhanteringskultur bland medborgarna.

4.9

EESK noterar att programutvecklare och hårdvarutillverkare uttryckligen utesluts från skyldigheterna i direktivet eftersom de inte är leverantörer av informationssamhällets tjänster. Kommittén anser dock att den föreslagna rättsakten bör slå fast att de enheter som omfattas av skyldigheterna i direktivet skulle ha rätt att hålla program- och hårdvaruleverantörer ansvariga för eventuella defekter i deras produkter eller tjänster som direkt bidrar till nät- och informationssäkerhetsincidenter.

4.10

Kommissionen uppskattar att genomförandet av förslaget till direktiv om nät- och informationssäkerhet kommer att kosta omkring 2 miljarder euro per år utslaget på den offentliga och den privata sektorn i EU. Kommittén noterar dock att vissa medlemsstater som är under ekonomisk press kommer att få det svårt att finna de investeringar som krävs för efterlevnaden. Man måste överväga hur stöd till efterlevnad av nät- och informationssäkerhetskraven skulle kunna tillhandahållas inom den fleråriga budgetramen genom flera olika instrument, till exempel Europeiska regionala utvecklingsfonden (Eruf) och kanske fonden för inre säkerhet.