Procedure : 2011/2284(INI)
Stadium plenaire behandeling
Documentencyclus : A7-0167/2012

Ingediende teksten :

A7-0167/2012

Debatten :

PV 11/06/2012 - 24
CRE 11/06/2012 - 24

Stemmingen :

PV 12/06/2012 - 6.7
Stemverklaringen
Stemverklaringen

Aangenomen teksten :

P7_TA(2012)0237

VERSLAG     
PDF 167kWORD 124k
16.5.2012
PE 474.017v02-00 A7-0167/2012

over de bescherming van kritieke informatie-infrastructuur - bereikte resultaten en volgende stappen: naar mondiale cyberveiligheid

(2011/2284(INI))

Commissie industrie, onderzoek en energie

Rapporteur voor advies: Ivailo Kalfin

ONTWERPRESOLUTIE VAN HET EUROPEES PARLEMENT
 TOELICHTING
 ADVIES van de Commissie burgerlijke vrijheden, justitie en binnenlandse zaken
 UITSLAG VAN DE EINDSTEMMING IN DE COMMISSIE

ONTWERPRESOLUTIE VAN HET EUROPEES PARLEMENT

over de bescherming van kritieke informatie-infrastructuur - bereikte resultaten en volgende stappen: naar mondiale cyberveiligheid

(2011/2284(INI))

Het Europees Parlement,

–   gezien zijn resolutie van 5 mei 2010 getiteld "Een nieuwe digitale agenda voor Europa: 2015.eu"(1),

–   gezien zijn resolutie van 15 juni 2010 getiteld "Internetgovernance: de volgende stappen"(2),

–   gezien zijn resolutie van 6 juli 2011 met als titel: "Breedband in Europa: investeren in digitale groei"(3),

–   gezien artikel 48 van zijn Reglement,

–   gezien het verslag van de Commissie industrie, onderzoek en energie en het advies van de Commissie burgerlijke vrijheden, justitie en binnenlandse zaken (A7-0167/2012),

A. overwegende dat de informatie en communicatietechnologieën (ICT) slechts hun volle potentieel voor de vooruitgang van de economie en de maatschappij kunnen ontwikkelen als de gebruikers kunnen vertrouwen op de veiligheid en veerkracht ervan en als de bestaande wetgeving inzake kwesties zoals de bescherming van de persoonlijke levenssfeer en intellectuele-eigendomsrechten doeltreffend in de internetomgeving worden opgelegd;

B.  overwegende dat de weerslag van internet en ICT op de verschillende aspecten van het leven van de burgers snel toeneemt en overwegende dat ze een cruciale drijvende kracht zijn achter onze sociale interactie, culturele verrijking en economische groei;

C. overwegende dat ICT- en internetbeveiliging een veelomvattend concept is met een algehele weerslag op economische, sociale, technologische en militaire aspecten waarvoor een duidelijke definitie en differentiatie van de verantwoordelijkheden en een degelijk internationaal samenwerkingsmechanisme vereist zijn;

D. overwegende dat het kerninitiatief "Een digitale agenda voor Europa" gericht is op het bevorderen van het mededingingsvermogen van Europa door ICT te versterken, en op het creëren van de nodige voorwaarden voor een sterke, degelijke groei en op technologie gebaseerde banen;

E.  overwegende dat de privésector de belangrijkste belegger, eigenaar en beheerder blijft op het gebied van informatiebeveiligingsproducten, -diensten, -toepassingen en ‑infrastructuur, waarin in het afgelopen decennium miljarden euro zijn geïnvesteerd; overwegende dat deze betrokkenheid moet worden versterkt via passende beleidsstrategieën ter bevordering van de veerkracht van infrastructuur die in handen is van of beheerd wordt door overheids-, particuliere of publiek-private organisaties;

F.  overwegende dat de ontwikkeling van een hoge mate van beveiliging en veerkracht van de ICT-netwerken, -diensten en -technologieën het concurrentievermogen van de EU‑economie zou moeten vergroten, zowel door de evaluatie en het beheer van cyberrisico's te verbeteren als door de gehele EU-economie degelijkere informatie-infrastructuren te bieden ter ondersteuning van innovatie en groei waardoor voor bedrijven nieuwe kansen ontstaan om productiever te worden;

G. overwegende dat de bij de wetshandhaving beschikbare gegevens over cybercriminaliteit (waaronder cyberaanvallen, maar ook andere soorten onlinecriminaliteit) op een sterke stijging in verschillende Europese landen wijzen; overwegende echter dat statistisch representatieve gegevens over cyberaanvallen afkomstig van zowel rechtshandhavingsinstanties als de CERT-gemeenschap (computercrisisteam) schaars blijven en in de toekomst beter moeten worden geaggregeerd, waardoor rechtshandhavingsinstanties in de gehele EU beter zullen kunnen optreden en de wetgeving over betere informatie zal beschikken om in te spelen op de voortdurende cyberdreigingen;

H. overwegende dat een toereikend niveau van informatiebeveiliging van doorslaggevend belang is voor een degelijke uitbreiding van op het internet gebaseerde diensten;

I.   overwegende dat recente cyberincidenten, -verstoringen en -aanvallen tegen de informatie‑infrastructuur van de EU‑instellingen, de industrie en de lidstaten aantonen dat een degelijk, vernieuwend en doeltreffend systeem moet worden vastgelegd voor de bescherming van kritieke informatie-infrastructuur, gebaseerd op volledige internationale samenwerking en minimumnormen voor veerkracht in de verschillende lidstaten;

J.   overwegende dat de snelle ontwikkeling van nieuwe ICT-middelen, zoals cloud computing, een sterke focus op de beveiliging vereist om de voordelen van de technologische verwezenlijkingen volledig te kunnen benutten;

K. overwegende dat het Europees Parlement herhaaldelijk heeft aangedrongen op de toepassing van hoge normen voor de bescherming van de persoonlijke levenssfeer en gegevensbescherming, netwerkneutraliteit en de bescherming van intellectuele-eigendomsrechten;

I. Maatregelen ter bevordering van de bescherming van kritieke informatie-infrastructuur op nationaal en Unieniveau

1.  is ingenomen met de uitvoering door de lidstaten van het Europees programma voor de bescherming van kritieke informatie-infrastructuur, waaronder het opzetten van het waarschuwings- en informatienetwerk op het gebied van kritieke infrastructuur (CIWIN);

2.  is van mening dat de inspanningen ter bescherming van kritieke informatie-infrastructuur niet enkel de algehele veiligheid van de burgers zullen vergroten, maar ook ten goede zullen komen aan de veiligheidsperceptie van de burgers en hun vertrouwen in de beschermingsmaatregelen van de overheid;

3.  is erkentelijk dat de Commissie de herziening overweegt van Richtlijn 2008/114/EG van de Raad(4) en vraagt dat bewijsmateriaal wordt verstrekt over de doeltreffendheid en impact van de richtlijn alvorens verdere stappen worden ondernomen; dringt erop aan dat wordt overwogen de reikwijdte ervan uit te breiden, met name door de ICT‑sector en de financiële diensten erin op te nemen; dringt bovendien erop aandacht te besteden aan gebieden zoals gezondheid, voedsel- en watertoevoersystemen, nucleair onderzoek en industrie (wanneer die niet vallen onder specifieke bepalingen); is van mening dat deze sectoren ook moeten profiteren van de intersectorale aanpak die wordt gekozen in het kader van CIWIN (dat bestaat uit samenwerking, een waarschuwingssysteem en de uitwisseling van de optimale praktijken);

4.  onderstreept het belang van duurzame integratie van het Europese onderzoek om de Europese uitmuntendheid op het vlak van de bescherming van kritieke informatie-infrastructuur te handhaven en te verbeteren;

5.  dringt, in het licht van de onderling verbonden en sterk van elkaar afhankelijke, gevoelige, strategische en kwetsbare aard van nationale en Europese kritieke informatie‑infrastructuren, erop aan dat de minimumnormen voor veerkracht regelmatig worden bijgewerkt met het oog op paraatheid voor en reactie op verstoringen, incidenten, vernietigingspogingen of aanvallen, zoals diegene die voortvloeien uit onvoldoende degelijke infrastructuur of onvoldoende beveiligde eindterminals;

6.  onderstreept het belang van normen en protocollen voor de informatiebeveiliging, en is verheugd over het feit dat CEN, CENELEC en ETSI in 2011 de opdracht hebben gekregen beveiligingsnormen op te stellen;

7.  verwacht dat eigenaren en exploitanten van kritieke informatie-infrastructuren gebruikers in staat zullen stellen en zo nodig zullen helpen om passende middelen te gebruiken ten einde zichzelf te beschermen tegen kwaadaardige aanvallen en/of verstoringen, middels zowel menselijk als geautomatiseerd toezicht, waar nodig;

8.  is voorstander van samenwerking tussen publieke en particuliere belanghebbenden op het niveau van de Unie en moedigt hun inspanningen aan om normen te ontwikkelen en toe te passen voor de beveiliging en veerkracht van civiele (publieke, private of publiek-private) nationale en Europese kritieke informatie-infrastructuren;

9.  benadrukt het belang van pan-Europese oefeningen om op grootschalige netwerkbeveiligingsincidenten voorbereid te zijn, en van de definitie van één enkele reeks normen voor dreigingsanalyse;

10. verzoekt de Commissie om, in samenwerking met de lidstaten, de invoering van het actieplan voor de bescherming van kritieke informatie-infrastructuren te beoordelen; dringt er bij de lidstaten op aan om goed werkende nationale/gouvernementele CERT's samen te stellen, nationale cyberbeveiligingsstrategieën te ontwikkelen, regelmatige nationale en pan-Europese cyberincidentoefeningen te organiseren, nationale noodplannen voor cyberincidenten te ontwikkelen en bij te dragen aan de ontwikkeling van een Europees noodplan voor cyberincidenten tegen eind 2012;

11. beveelt aan dat de beveiligingsplannen van de exploitant of gelijkwaardige maatregelen worden ingevoerd voor alle Europese kritieke informatie-infrastructuren en dat er veiligheidscoördinatoren worden aangesteld;

12. is ingenomen met de huidige herziening van Kaderbesluit 2005/222/JBZ van de Raad(5) over aanvallen op informatiesystemen; wijst op de noodzaak om de inspanningen van de EU bij de bestrijding van grootschalige cyberaanvallen te coördineren door de bevoegdheden van ENISA, de CERT's van de lidstaten en de toekomstige Europese CERT's op te nemen;

13. is van mening dat ENISA op Europees niveau een sleutelrol kan spelen bij de bescherming van kritieke informatie-infrastructuren door de lidstaten en de instellingen en organen van de Europese Unie technische deskundigheid te verschaffen, evenals door middel van rapporten en analyses over de beveiliging van informatiesystemen op Europees en mondiaal niveau;

II. Overige EU-activiteiten voor degelijke internetbeveiliging

14. spoort ENISA aan om elk jaar maanden voor de bewustwording van de internetbeveiliging in de EU te coördineren en uit te voeren, zodat de lidstaten en de burgers van de EU speciaal worden gewezen op kwesties inzake cyberveiligheid;

15. steunt ENISA, overeenkomstig de doelstellingen van de Digitale agenda, bij de uitvoering van zijn taken op het vlak van netwerkinformatiebeveiliging, met name via sturing en advies aan de lidstaten over de wijze waarop zij aan de basiscapaciteiten voor hun CERT's kunnen voldoen, alsmede middels het ondersteunen van de uitwisseling van optimale praktijken door een klimaat van vertrouwen te ontwikkelen; roept het agentschap op om de betrokken belanghebbenden te raadplegen om soortgelijke cyberbeveiligingsmaatregelen uit te werken voor de eigenaren en exploitanten van particuliere netwerken en infrastructuur, en om de Commissie en lidstaten bij te staan bij het bijdragen aan de ontwikkeling en toepassing van certificeringsregelingen voor informatiebeveiliging, gedragsnormen en samenwerkingspraktijken tussen nationale en Europese CERT's en eigenaren en exploitanten van infrastructuur, waar en wanneer nodig, door technologisch neutrale, gemeenschappelijke minimumeisen vast te leggen;

16. is ingenomen met het huidige voorstel inzake de herziening van het mandaat van ENISA en met name de uitbreiding ervan, en inzake de uitbreiding van de taken van het agentschap; is van mening dat ENISA, naast zijn bijstand aan de lidstaten door het verstrekken van deskundigheid en analyses, bevoegd zou moeten zijn om een aantal uitvoerende taken op EU-niveau te beheren en, in samenwerking met de tegenhangers in de VS, taken met betrekking tot de preventie en opsporing van netwerk- en informatiebeveiligingsincidenten en de bevordering van de samenwerking tussen de lidstaten. wijst erop dat het agentschap, uit hoofde van de ENISA-verordening, ook aanvullende verantwoordelijkheden zou kunnen krijgen met betrekking tot de reactie op internetaanvallen voor zover dit een duidelijke meerwaarde biedt voor de bestaande nationale responsmechanismen;

17. is ingenomen met de resultaten van de pan-Europese cyberbeveiligingsoefeningen van 2010 and 2011, die in de hele Unie onder toezicht van ENISA zijn uitgevoerd en die tot doel hadden de lidstaten te helpen bij het opzetten, onderhouden en testen van een pan‑Europees noodplan; verzoekt ENISA om dergelijke oefeningen op zijn agenda te handhaven en indien nodig geleidelijk relevante particuliere exploitanten hierbij te betrekken om de totale internetbeveiligingscapaciteiten van Europa te vergroten; kijkt uit naar een verdere internationale uitbreiding met gelijkgestemde partners;

18. verzoekt de lidstaten om nationale noodplannen inzake cyberveiligheid op te stellen en belangrijke elementen op te nemen zoals relevante contactpunten en bijstandsvoorzieningen, beheersing en herstel bij cyberverstoringen of -aanvallen van regionaal, nationaal of grensoverschrijdend belang; merkt op dat de lidstaten ook op nationaal vlak gepaste coördinatiemechanismen en ‑structuren moeten vastleggen die moeten zorgen voor een betere coördinatie tussen bevoegde nationale autoriteiten en voor een grotere samenhang van hun acties;

19. stelt voor dat de Commissie via het EU-noodplan inzake cyberincidenten bindende maatregelen voorstelt voor een betere coördinatie op EU-niveau van de technische en sturingsfuncties van de nationale en gouvernementele CERT's.

20. verzoekt de Commissie en de lidstaten om de noodzakelijke maatregelen te nemen om kritieke infrastructuur tegen cyberaanvallen te beschermen en voorzieningen te treffen ten einde de toegang tot kritieke infrastructuur hermetisch af te sluiten als een rechtstreekse cyberaanval een ernstige bedreiging vormt voor de goede werking van de infrastructuur ;

21. kijkt uit naar de volledige invoering van EU-CERT dat een sleutelrol zal vervullen bij de preventie en opsporing van, de reactie op en het herstel van opzettelijke en kwaadaardige cyberaanvallen die tegen de EU-instellingen zijn gericht;

22. beveelt aan dat de Commissie bindende maatregelen voorstelt die erop gericht zijn minimumnormen inzake beveiliging en veerkracht op te leggen en de coördinatie tussen de nationale CERT's te verbeteren;

23. verzoekt de lidstaten en de EU-instellingen om te zorgen voor goed werkende CERT's met minimumcapaciteiten voor beveiliging en veerkracht op grond van overeengekomen optimale praktijken; wijst erop dat nationale CERT's deel moeten uitmaken van een effectief netwerk waarin relevante informatie wordt uitgewisseld overeenkomstig de vereiste normen inzake vertrouwelijkheid; verzoekt om de invoering van een ononderbroken continuïteit van de dienst voor de bescherming van kritieke informatie-infrastructuur voor elke lidstaat en om de opstelling van een gemeenschappelijk Europees noodprotocol dat tussen de nationale contactpunten dient te worden toegepast;

24. onderstreept dat het scheppen van vertrouwen en het bevorderen van de samenwerking tussen de lidstaten cruciaal is voor de bescherming van gegevens en nationale netwerken en infrastructuren; verzoekt de Commissie om een gemeenschappelijke procedure voor te stellen voor de afbakening en vaststelling van een gemeenschappelijke aanpak om grensoverschrijdende dreigingen op het gebied van ICT weg te nemen, waarbij wordt verwacht dat de lidstaten de Commissie van algemene informatie voorzien over risico's, dreigingen en kwetsbaarheden van hun kritieke informatie-infrastructuur;

25. is ingenomen met het initiatief van de Commissie voor de ontwikkeling van een Europees stelsel voor informatiedeling en alarm tegen 2013;

26. is ingenomen met het feit dat de Commissie de verscheidene belanghebbenden inzake internetbeveiliging en bescherming van kritieke informatie-infrastructuur heeft geraadpleegd, zoals het Europees publiek-privaat partnerschap voor veerkracht; erkent de reeds significante betrokkenheid en het engagement van ICT-leveranciers bij dergelijke inspanningen en moedigt de Commissie aan om haar inspanningen voort te zetten om de academische wereld en ICT-gebruikersorganisaties aan te moedigen om een actievere rol te spelen en om een constructieve dialoog met de verschillende belanghebbenden over cyberveiligheidskwesties te bevorderen; is voorstander van een verdere ontwikkeling van de digitale vergadering als een kader voor governance op het vlak van de bescherming van kritieke informatie-infrastructuur;

27. is ingenomen met het werk dat tot dusverre door het Europees forum van lidstaten is verricht ten aanzien van de vaststelling van sectorspecifieke criteria voor het opsporen van Europese kritieke infrastructuren, met een nadruk op vaste en mobiele communicatiemiddelen, alsook ten aanzien van de bespreking van de beginselen en richtsnoeren van de EU betreffende de veerkracht en stabiliteit op het internet; kijkt ernaar uit om te blijven werken aan de consensus tussen de lidstaten en moedigt in dit verband het forum aan om de huidige op fysieke voorzieningen gerichte aanpak te koppelen aan inspanningen om ook logische-infrastructuurvoorzieningen erin op te nemen die, naarmate virtualisatie- en cloudtechnologieën verder ontwikkeld worden, steeds belangrijker worden voor de doeltreffendheid van de bescherming van kritieke informatie-infrastructuur;

28. stelt voor dat de Commissie een openbaar pan-Europees onderwijsinitiatief lanceert dat gericht is op het onderricht en de bewustmaking van zowel particuliere als zakelijke eindgebruikers inzake potentiële dreigingen in het internet en op vaste en mobiele ICT‑toestellen op elk niveau van de gebruiksketen, alsmede op het bevorderen van een veiliger individueel gedrag online; herinnert in dit verband aan de risico's in verband met verouderde IT-apparatuur en software;

29. verzoekt de lidstaten om, met de steun van de Commissie, de opleidings- en onderwijsprogramma's over informatiebeveiliging, die gericht zijn op nationale rechtshandhavings- en gerechtelijke instanties en op de relevante EU-agentschappen, te versterken;

30. ondersteunt de invoering van een EU-curriculum voor academische deskundigen op het gebied van informatiebeveiliging, aangezien dit een positieve weerslag zou hebben op de deskundigheid en paraatheid van de EU ten aanzien van de zich voortdurend ontwikkelende cyberspace en de dreigingen hiervoor;

31. bepleit de bevordering van opleidingen in cyberveiligheid (promotieplaatsen, universitaire cursussen, workshops, scholing voor studenten, enz.) en gespecialiseerde opleidingen op het gebied van de bescherming van kritieke informatie-infrastructuur;

32. verzoekt de Commissie om tegen eind 2012 een uitgebreide strategie inzake internetbeveiliging voor de Unie voor te stellen, gebaseerd op duidelijke terminologie; is van mening dat de strategie inzake internetbeveiliging erop gericht moet zijn om op basis van een veilige en veerkrachtige infrastructuur en open normen een cyberspace tot stand te brengen die leidt tot innovatie en welvaart middels vrij verkeer van informatie, terwijl gezorgd wordt voor degelijke bescherming van de persoonlijke levenssfeer en andere burgerlijke vrijheden; blijft bij zijn standpunt dat de strategie in detail de beginselen, doelstellingen, methoden, instrumenten en beleidsterreinen (zowel intern als extern) moet bepalen die nodig zijn om de nationale en EU-inspanningen te stroomlijnen en om minimumnormen voor veerkracht tussen de lidstaten vast te leggen, die moeten zorgen voor een veilige, duurzame, gedegen en veerkrachtige dienstverlening, zowel in verband met de kritieke infrastructuur als voor het algemeen gebruik van internet;

33. onderstreept dat de komende strategie inzake internetbeveiliging van de Commissie de bescherming van kritieke informatie-infrastructuur als uitgangspunt moet nemen en gericht moet zijn op een holistische en systematische aanpak van cyberveiligheid met enerzijds proactieve maatregelen, zoals de invoering van minimumnormen voor beveiligingsmaatregelen en de scholing van individuele gebruikers, bedrijven en openbare instellingen, en anderzijds reactieve maatregelen, zoals strafrechtelijke, civielrechtelijke en bestuursrechtelijke sancties;

34. dringt er bij de Commissie op aan om een degelijk mechanisme voor te stellen voor het coördineren van de tenuitvoerlegging en periodieke bijwerking van de strategie inzake internetbeveiliging; is van oordeel dat dit mechanisme dient te worden ondersteund met toereikende administratieve, deskundige en financiële middelen en dat het onder andere tot taak heeft de afbakening van EU‑posities in de betrekkingen met zowel interne als internationale belanghebbenden over aan internetbeveiliging verwante kwesties te faciliteren;

35. doet een beroep op de Commissie om een EU-kader voor te stellen voor de melding van veiligheidsinbreuken in kritieke sectoren, zoals energie, vervoer, water en voedselvoorziening, alsmede ICT en financiële diensten, om ervoor te zorgen dat de betrokken autoriteiten van de lidstaten en gebruikers worden geïnformeerd over cyberincidenten, -aanvallen en -verstoringen;

36. dringt er bij de Commissie op aan om de beschikbaarheid van statistisch representatieve gegevens over de kosten van cyberaanvallen in de EU, de lidstaten en de industrie (met name de sector van de financiële diensten en de ICT-sector) te verbeteren door de capaciteit voor gegevensverzameling van het geplande Europees cybercriminaliteitscentrum (dat tegen 2013 moet worden opgezet), de CERT's en andere initiatieven van de Commissie, zoals het Europees stelsel voor informatiedeling en alarm, te vergroten om aldus te zorgen voor een systematische verslaglegging en gegevensuitwisseling over cyberaanvallen en andere vormen van cybercriminaliteit waar de Europese industrie en de lidstaten mee te maken hebben, alsmede om de wetshandhaving te versterken;

37. pleit voor een nauwe band en interactie tussen de private sector in de lidstaten en ENISA om de nationale/gouvernementele CERT's te koppelen met de ontwikkeling van het Europees informatie-uitwisselings- en waarschuwingssysteem (EISAS);

38. wijst erop dat de voornaamste drijvende kracht achter de ontwikkeling en het gebruik van technologieën die de internetbeveiliging moeten verhogen, de ICT-industrie is; herinnert eraan dat het beleid van de EU de groei van de Europese interneteconomie niet mag belemmeren en de nodige stimulansen moet bevatten om het potentieel van bedrijven en publiek-private partnerschappen ten volle aan te wenden; beveelt aan om extra stimulansen voor de industrie te onderzoeken opdat zij degelijkere beveiligingsplannen van de exploitanten ontwikkelt overeenkomstig Richtlijn 2008/114/EG;

39. verzoekt de Commissie om een wetgevingsvoorstel in te dienen voor het verder strafbaar stellen van cyberaanvallen (d.w.z. spear-phishing, onlinefraude, enz.);

III. Internationale samenwerking

40. herinnert eraan dat internationale samenwerking het kerninstrument is voor de invoering van doeltreffende maatregelen inzake cyberveiligheid; erkent dat de EU thans niet permanent actief betrokken is bij internationale samenwerkingsprocessen en -gesprekken in verband met cyberveiligheid; verzoekt de Commissie en de EDEO om een constructieve dialoog op te starten met gelijkgestemde landen om een gemeenschappelijk standpunt en beleid te ontwikkelen ter vergroting van de veerkracht van het internet en de kritieke infrastructuur; blijft tegelijk bij het standpunt dat de EU internetbeveiligingskwesties permanent moet opnemen in de reikwijdte van haar externe betrekkingen, onder andere bij het ontwerpen van verschillende financiële instrumenten of bij het aangaan van internationale overeenkomsten die de uitwisseling en opslag van gevoelige gegevens met zich meebrengen;

41. neemt nota van de positieve resultaten van het Verdrag inzake cybercriminaliteit van de Raad van Europa van Boedapest in 2001; wijst er echter op dat de EDEO niet alleen meer landen moet aanmoedigen om het verdrag te tekenen en te ratificeren, maar ook bilaterale en multilaterale overeenkomsten over internetbeveiliging en -veerkracht met gelijkgestemde internationale partners moet uitwerken;

42. wijst erop dat het grote aantal lopende activiteiten van uiteenlopende internationale en EU‑ instellingen, ‑instanties en ‑agentschappen alsook van de lidstaten coördinatie vergt om dubbel werk te voorkomen en dat het derhalve de moeite loont om een officiële verantwoordelijke voor de coördinatie aan te stellen, bijvoorbeeld een EU‑cyberveiligheidscoördinator;

43. onderstreept het bijzondere belang van een gestructureerde dialoog tussen de belangrijkste Europese en Amerikaanse spelers en wetgevers op het gebied van de bescherming van kritieke informatie-infrastructuur met het oog op de totstandbrenging van een consensus en gemeenschappelijke interpretaties en standpunten ten aanzien van het kader voor wetgeving en beheer;

44. is ingenomen met de oprichting van de EU-VS-Werkgroep over cyberveiligheid en cybercriminaliteit tijdens de EU-VS-top van november 2010 en steunt de inspanningen om internetbeveiligingskwesties op te nemen in de trans-Atlantische beleidsdialoog; is verheugd over de gezamenlijke uitwerking door de Commissie en de regering van de VS, onder de paraplu van de EU-VS-Werkgroep, van een gemeenschappelijk programma en een stappenplan voor gezamenlijke/gesynchroniseerde transcontinentale cyberoefeningen in 2012/2013;

45. stelt voor om een gestructureerde dialoog tussen wetgevers van de EU en de VS in te stellen om internetgerelateerde kwesties te bespreken als onderdeel van een streven naar consensus, gemeenschappelijke interpretatie en standpunten;

46. dringt er bij de EDEO en de Commissie op aan om op basis van het werk van het Europees forum van lidstaten een actief standpunt in te nemen binnen de relevante internationale fora, onder meer door de standpunten van de lidstaten te coördineren met het oog op de bevordering van de kernwaarden, doelstellingen en het beleid van de EU inzake internetbeveiliging en veerkracht van het internet; merkt op dat tot deze fora instellingen behoren zoals de NAVO, de VN (in het bijzonder via de Internationale Telecommunicatie-unie en het forum voor internetbeheer), de Internet Corporation for Assigned Names and Numbers, de Internet Assigned Numbers Authority, de OVSE, de OESO en de Wereldbank;

47. moedigt de Commissie en ENISA aan om deel te nemen aan de dialogen met de voornaamste belanghebbenden ten einde technische en wettelijke normen op het vlak van cyberspace te bepalen op internationaal niveau;

48. verzoekt zijn Voorzitter deze resolutie te doen toekomen aan de Raad en de Commissie.

(1)

PB C 81E van 15.3.2011, blz. 45.

(2)

PB C 29E van 12.8.2011, blz. 33.

(3)

Aangenomen teksten P7_TA(2011)0322.

(4)

PB L 345 van 23.12.2008, blz. 75.

(5)

PB L 69 van 16.3.2005, blz. 67.


TOELICHTING

Technologie heeft een steeds grotere rol in ons dagelijkse leven gekregen, in al zijn aspecten, gaande van communicatie tot financiën en bankzaken, van vervoer tot energie, van cultuur en vermaak tot gezondheid.

Momenteel is de beveiliging van het internet een van de belangrijkste politieke prioriteiten van de EU en de rest van de wereld door het groeiende gebruik van het internet en computergebaseerde technologieën. De EU 2020-strategie die in 2010 werd opgestart, omvatte de Digitale agenda voor Europa als belangrijkste beleid waarin ambitieuze doelstellingen werden vastgelegd voor de technologische ontwikkeling van de EU. Het stijgende gebruik en de ontplooiing van vernieuwende ICT-technologieën, zoals snelle en ultrasnelle vaste en mobiele internet- en telefonienetwerken, intelligente netwerken, maar ook internetdiensten, zoals cloud computing en het internet van dingen, berusten allemaal op een eenvoudig, maar essentieel aspect: veiligheid, veerkracht en vertrouwen.

In december 2006 nam de Commissie de mededeling aan over een Europees programma voor de bescherming van kritieke infrastructuur. Het stelde een algemeen kader voor activiteiten vast inzake bescherming van kritieke infrastructuur op Europees niveau. Twee jaar later nam de Raad Richtlijn 2008/114/EG aan inzake de identificatie van Europese kritieke infrastructuren, de aanmerking van infrastructuren als Europese kritieke infrastructuren en de beoordeling van de noodzaak de bescherming van dergelijke infrastructuren te verbeteren. In een eerste fase richtte de richtlijn zich op de energie- en vervoerssectoren. Het behandelt uitsluitend de infrastructuur die bij verstoring ervan twee of meerdere lidstaten van de EU zouden treffen.

Richtlijn 2008/114/EG legde de ICT-sector vast als de sector waaraan in de toekomst voorrang zou worden verleend, al was die niet ingedeeld als kritieke infrastructuur. Niettemin heeft de Commissie sinds 2005 de noodzaak benadrukt om inspanningen te coördineren om het vertrouwen in elektronische communicatie te vergroten(1). Hiervoor werd in 2006 een strategie voor een veilige informatiemaatschappij(2) aangenomen, waarvan de belangrijkste elementen werden bekrachtigd in resolutie 2007/068/01 van de Raad.

In 2009 keurde de Commissie een mededeling goed met als titel “Europa beschermen tegen grootschalige cyberaanvallen en verstoringen: verbeteren van de paraatheid, beveiliging en veerkracht"(3). Met deze mededeling legde de Commissie het actieplan voor de bescherming van kritieke informatie-infrastructuur vast, dat tot doel had om de veiligheid van de kritieke informatie-infrastructuur zowel op het nationaal niveau als op niveau van de Unie te ondersteunen. Het plan bepaalt de specifieke rol van de Commissie, ENISA, de lidstaten en de industrie. Er werd nog dieper ingegaan op de kwestie van het vergroten van de veiligheid en de veerkracht van ICT-infrastructuur in de Digitale agenda voor Europa(4) en de betreffende conclusies van de Raad(5), de voorgestelde Richtlijn inzake aanvallen op informatiesystemen(6), evenals het voorstel van de Commissie voor een nieuw mandaat voor een versterkt en gemoderniseerd ENISA(7).

In maart 2011 publiceerde de Commissie een mededeling inzake de bescherming van kritieke informatie-infrastructuur: "Bereikte resultaten en volgende stappen: naar een cyberveiligheid in de wereld"(8). In dat document maakt de Commissie een inventaris op van de resultaten van de invoering van het actieplan voor de bescherming van kritieke informatie-infrastructuur vanaf 2009 en beschrijft het de volgende stappen die moeten worden genomen, met een grotere nadruk op de internationale samenwerking buiten de grenzen van de EU.

Al deze ontwikkelingen in slechts enkele jaren tijd putten de inspanningen om de veiligheid van cyberspace in de Unie te verhogen niet uit en tonen aan dat de kwestie van de internetbeveiliging belangrijk is. Het is duidelijk geworden dat het internet een kritieke infrastructuur is en dat de verstoring van het internet zouden kunnen leiden tot aanzienlijke verliezen en veiligheidsrisico's die een zeer groot aantal Europese burgers en bedrijven zou treffen. Bovendien vereist de snelle ontwikkeling van de technologie dat de preventie van internetaanvallen, herstellende reacties en de veerkracht van het globale net gebaseerd moet zijn op een veelomvattend, reactief, soepel en innovatief langetermijnkader. Dit kader moet een doeltreffende interactie waarborgen tussen regeringen, bedrijven, individuen en alle andere belanghebbenden. Tot slot is een verhoogde veerkracht van het internet enkel mogelijk wanneer een doeltreffend systeem van internationale samenwerking en internationale normen wordt ingesteld.

(1)

COM(2005)229.

(2)

COM(2006)251.

(3)

COM(2009)149.

(4)

COM(2010)245.

(5)

Conclusies van de Raad van 31 mei 2010.

(6)

COM(2010)517.

(7)

COM(2010)521.

(8)

COM(2011)163 def.


ADVIES van de Commissie burgerlijke vrijheden, justitie en binnenlandse zaken (22.3.2012)

aan de Commissie industrie, onderzoek en energie

inzake de bescherming van kritieke informatie-infrastructuur - Bereikte resultaten en volgende stappen: naar mondiale cyberveiligheid

(2011/2284(INI))

Rapporteur voor advies: Ágnes Hankiss

SUGGESTIES

De Commissie burgerlijke vrijheden, justitie en binnenlandse zaken verzoekt de ten principale bevoegde Commissie industrie, onderzoek en energie onderstaande suggesties in haar ontwerpresolutie op te nemen:

1.  meent dat de bescherming van kritieke informatie-infrastructuur een interdisciplinaire aanpak vergt waarbij rekening gehouden wordt met de belangrijke aspecten van burgerlijke vrijheden, justitie en binnenlandse zaken, zoals binnenlandse veiligheid, bescherming van persoonsgegevens en recht op vertrouwelijkheid en privacy, zodat de veiligheid wordt verhoogd en de grondrechten worden geëerbiedigd;

2.  brengt in herinnering dat de bescherming van kritieke informatie-infrastructuur vervat is in de EU-strategie voor interne veiligheid in die zin dat ze de cyberveiligheid van burgers en bedrijven verhoogt;

3.  dringt erop aan dat de bepaling van de Europese kritieke infrastructuur afgerond wordt en continu bijgewerkt wordt onder toezicht van de Commissie overeenkomstig Richtlijn 2008/114/EG(1) inzake de identificatie van Europese kritieke infrastructuren, de aanmerking van infrastructuren als Europese kritieke infrastructuren en de beoordeling van de noodzaak de bescherming van dergelijke infrastructuren te verbeteren; benadrukt ook dat het Waarschuwingsnetwerk betreffende kritieke infrastructuur zo snel mogelijk op Europees niveau moet worden opgericht; dringt erop aan dat Richtlijn 2008/114/EG van de Raad wordt herzien zodat ook informatie- en communicatietechnologie (ICT) als kritieke sector wordt aangemerkt, aangezien openbare instellingen, bedrijven en particuliere huishoudens tegenwoordig sterk van ICT afhankelijk zijn;

4.  verzoekt de lidstaten een nationale strategie uit te werken en te zorgen voor degelijke beleidsvorming en regelgeving, alomvattende procedures voor risicobeheer en adequate voorbereidende maatregelen en mechanismen; verzoekt de lidstaten die nog geen nationaal computercalamiteitenteam (CERT) opgericht hebben, dat te gepasten tijde en eventueel met de hulp van het Europees Agentschap voor netwerk- en informatieveiligheid (ENISA) te doen;

5.  is van mening dat alle grootschalige databanken die gevoelige persoonsgegevens verwerken, zoals die van de EU, de overheden in de lidstaten en financiële en gezondheidszorginstellingen, tot de kritieke informatie-infrastructuur moeten worden gerekend en dat voor de bescherming van zulke gegevens de strengst mogelijke normen moeten worden gehanteerd;

6.  verzoekt de Commissie en de lidstaten om de noodzakelijke maatregelen te nemen om de kritieke infrastructuur tegen cyberaanvallen te beschermen en voorzieningen te treffen om de toegang tot kritieke infrastructuur af te sluiten als een rechtstreekse cyberaanval de werking van de infrastructuur ernstig bedreigt;

7.  benadrukt het belang van pan-Europese oefeningen om op grootschalige netwerkbeveiligingsincidenten voorbereid te zijn, en van de definitie van één enkele reeks normen voor dreigingsanalyse;

8.  is van mening dat ENISA op Europees niveau een belangrijke rol kan spelen bij de bescherming van kritieke informatie-infrastructuren door de lidstaten en de instellingen en organen van de Europese Unie technische deskundigheid te verschaffen, evenals rapporten en analyses over de beveiliging van informatiesystemen op Europees en mondiaal niveau;

9.  is van mening dat internationale samenwerking buiten de EU-grenzen onontbeerlijk is, aangezien cyberdreigingen een mondiaal fenomeen zijn dat mondiale oplossingen vergt die aan de bepalingen van het internationaal recht voldoen; benadrukt ook dat in elke internationale overeenkomst waarbij sprake is van uitwisseling van gevoelige gegevens, rekening moet worden gehouden met de beveiliging van de overdracht en opslag van deze gegevens;

10. benadrukt dat de komende internetveiligheidsstrategie van de Commissie de bescherming van kritieke informatie-infrastructuur als uitgangspunt moet nemen en gericht moet zijn op een holistische en systematische aanpak van cyberveiligheid met enerzijds proactieve maatregelen, zoals invoering van minimumnormen voor beveiliging en scholing voor individuele gebruikers, bedrijven en openbare instellingen, en anderzijds reactieve maatregelen, zoals strafrechtelijke, civielrechtelijke en bestuursrechtelijke sancties;

11. is van mening dat er behoefte is aan nauwere coördinatie, in de eerste plaats tussen civiele en militaire betrokkenen en voorts tussen de rechterlijke en andere bevoegde instanties, bij de preventie, bestrijding en bestraffing van aanvallen tegen informatiesystemen, met inbegrip van de politie en andere rechtshandhavingsinstanties in de lidstaten, alsook de gespecialiseerde agentschappen op Europees niveau, zoals Eurojust, Europol en ENISA;

12. benadrukt het belang van een hechte samenwerking tussen publieke en private sectoren, aangezien de verschillende sterke punten van de sectoren complementair zijn en aldus bijdragen tot het streven naar bescherming van de infrastructuur en daarmee de levenssfeer en privacy van de Europese burgers; verzoekt de Commissie om het Europees publiek-private partnerschap voor veerkracht op te richten, dat moet worden gekoppeld aan het werk van ENISA en de European Government CERTs Group;

13. wijst erop dat het grote aantal lopende activiteiten van diverse internationale en Europese instellingen, organen en instanties alsook van de lidstaten coördinatie vergt om dubbel werk te voorkomen; het loont derhalve de moeite om een officiële coördinator aan te stellen, bijvoorbeeld een EU-cyberveiligheidscoördinator;

14. is van mening dat de inspanningen ter bescherming van kritieke informatie-infrastructuur niet enkel de algehele veiligheid van burgers zullen vergroten, maar ook ten goede zullen komen aan de veiligheidsperceptie van de burgers en hun vertrouwen in de beschermingsmaatregelen van de overheid;

15. onderstreept het belang van duurzame integratie van het Europese onderzoek om de Europese excellence op het vlak van de bescherming van kritieke informatie-infrastructuur te handhaven en te verbeteren;

16. benadrukt het belang van een actief stappenplan voor onderzoek naar cyberveiligheid;

17. bepleit de bevordering van opleidingen in cyberveiligheid (promotieplaatsen, universitaire cursussen, workshops, scholing voor studenten, enz.) en gespecialiseerde opleidingen op het gebied van de bescherming van kritieke informatie-infrastructuur;

18. pleit voor een nauwe band en wisselwerking tussen de private sector in de lidstaten en ENISA om de nationale computercalamiteitenteams van de overheid te koppelen met de ontwikkeling van het Europees informatie-uitwisselings- en waarschuwingssysteem (Eisas);

19. benadrukt het belang van een gemeenschappelijke Europese cyberveiligheidsstrategie en van een duidelijk tijdpad voor het formuleren van maatregelen en van de benodigde middelen;

20. onderstreept het belang van een gestructureerde dialoog tussen de belangrijkste Europese en Amerikaanse spelers en wetgevers op het gebied van de bescherming van kritieke informatie-infrastructuur voor gemeenschappelijk inzicht en gemeenschappelijke interpretaties en standpunten ten aanzien van het kader voor wetgeving en beheer.

UITSLAG VAN DE EINDSTEMMING IN DE COMMISSIE

Datum goedkeuring

21.3.2012

 

 

 

Uitslag eindstemming

+:

–:

0:

45

0

2

Bij de eindstemming aanwezige leden

Roberta Angelilli, Edit Bauer, Arkadiusz Tomasz Bratkowski, Philip Claeys, Carlos Coelho, Rosario Crocetta, Frank Engel, Cornelia Ernst, Tanja Fajon, Kinga Göncz, Nathalie Griesbeck, Sylvie Guillaume, Anna Hedh, Salvatore Iacolino, Lívia Járóka, Teresa Jiménez-Becerril Barrio, Juan Fernando López Aguilar, Monica Luisa Macovei, Svetoslav Hristov Malinov, Véronique Mathieu, Anthea McIntyre, Jan Mulder, Antigoni Papadopoulou, Judith Sargentini, Csaba Sógor, Renate Sommer, Rui Tavares, Kyriacos Triantaphyllides, Wim van de Camp, Renate Weber, Josef Weidenholzer, Cecilia Wikström

Bij de eindstemming aanwezige vaste plaatsvervanger(s)

Vilija Blinkevičiūtė, Andrew Henry William Brons, Michael Cashman, Anna Maria Corazza Bildt, Ana Gomes, Nadja Hirsch, Stanimir Ilchev, Iliana Malinova Iotova, Franziska Keller, Wolfgang Kreissl-Dörfler, Mariya Nedelcheva, Hubert Pirker, Zuzana Roithová, Kārlis Šadurskis

Bij de eindstemming aanwezige plaatsvervanger(s) (art. 187, lid 2)

Luis de Grandes Pascual

(1)

PB L 345 van 23.12.2008, blz. 75.


UITSLAG VAN DE EINDSTEMMING IN DE COMMISSIE

Datum goedkeuring

8.5.2012

 

 

 

Uitslag eindstemming

+:

–:

0:

51

7

0

Bij de eindstemming aanwezige leden

Amelia Andersdotter, Josefa Andrés Barea, Jean-Pierre Audy, Zigmantas Balčytis, Ivo Belet, Bendt Bendtsen, Jan Březina, Maria Da Graça Carvalho, Giles Chichester, Jürgen Creutzmann, Pilar del Castillo Vera, Dimitrios Droutsas, Adam Gierek, Norbert Glante, Robert Goebbels, András Gyürk, Fiona Hall, Edit Herczog, Kent Johansson, Romana Jordan, Krišjānis Kariņš, Lena Kolarska-Bobińska, Béla Kovács, Philippe Lamberts, Judith A. Merkies, Angelika Niebler, Jaroslav Paška, Aldo Patriciello, Vittorio Prodi, Miloslav Ransdorf, Herbert Reul, Michèle Rivasi, Paul Rübig, Salvador Sedó i Alabart, Francisco Sosa Wagner, Konrad Szymański, Britta Thomsen, Evžen Tošenovský, Ioannis A. Tsoukalas, Claude Turmes, Marita Ulvskog, Vladimir Urutchev, Kathleen Van Brempt, Alejo Vidal-Quadras, Henri Weber

Bij de eindstemming aanwezige vaste plaatsvervanger(s)

Ioan Enciu, Françoise Grossetête, Takis Hadjigeorgiou, Roger Helmer, Jolanta Emilia Hibner, Bernd Lange, Werner Langen, Zofija Mazej Kukovič, Silvia-Adriana Ţicău, Inês Cristina Zuber

Bij de eindstemming aanwezige plaatsvervanger(s) (art. 187, lid 2)

Anne E. Jensen, Nicole Kiil-Nielsen, Norica Nicolai

Juridische mededeling - Privacybeleid