BETÄNKANDE om skydd av kritisk infrastruktur – resultat och kommande åtgärder: vägen mot global it-säkerhet
16.5.2012 - (2011/2284(INI))
Utskottet för industrifrågor, forskning och energi
Föredragande: Ivailo Kalfin
FÖRSLAG TILL EUROPAPARLAMENTETS LAGSTIFTNINGRESOLUTION
om skydd av kritisk infrastruktur – resultat och kommande åtgärder: vägen mot global it-säkerhet
Europaparlamentet utfärdar denna resolution,
– med beaktande av sin resolution av den 5 maj 2010 om en ny digital agenda för Europa: 2015.eu[1],
– med beaktande av sin resolution av den 15 juni 2010 om förvaltning av Internet: framtida åtgärder[2],
– med beaktande av sin resolution av den 6 juli 2011 om europeiska bredbandssektorn – investeringar i digitalt baserad tillväxt[3],
– med beaktande av artikel 48 i arbetsordningen,
– med beaktande av betänkandet från utskottet för industrifrågor, forskning och energi och yttrandena från utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor (A7-0167/2012), och av följande skäl:
A. Informations- och kommunikationstekniken (IKT) kan enbart bidra fullt ut till att föra ekonomin och samhället framåt om användarna litar på att den är säker och motståndskraftig samt när den befintliga lagstiftningen om dataskydd och immateriella rättigheter efterlevs fullständigt i internetmiljön.
B. Internet och IKT påverkar i allt snabbare takt olika aspekter av medborgarnas liv, och är samtidigt en avgörande drivkraft för sociala interaktioner, för kulturell berikning samt för ekonomisk tillväxt.
C. IKT- och internetsäkerhet är ett övergripande begrepp, som i ekonomiskt, socialt, tekniskt och militärt hänseende gör sig gällande i hela världen, vilket kräver en tydlig avgränsning och differentiering av ansvarsområden samt en robust mekanism för internationellt samarbete.
D. EU:s flaggskeppsinitiativ Den digitala agendan syftar till att stärka EU:s konkurrenskraft, genom stärkt IKT, och att skapa förutsättningar för hög och stabil tillväxt och teknikbaserade jobb.
E. Den privata sektorn är fortfarande den främsta investeraren, ägaren och förvaltaren av informationssäkerhetsprodukter samt tjänster, tillämpningar och infrastruktur med koppling till informationssäkerhet, med investeringar på flera miljarder euro under det senaste årtiondet. Detta engagemang bör stärkas genom lämpliga strategier för att göra infrastrukturer i offentlig, privat eller offentlig-privat ägo eller drift mer motståndskraftiga.
F. Utvecklingen av IKT-nätverk, -tjänster och -teknik med hög säkerhetsnivå och motståndskraft bör öka den europeiska ekonomins konkurrenskraft, både genom att förbättra riskbedömningen och riskhanteringen på internet och genom att förse EU:s ekonomi som helhet med bättre informationsinfrastruktur för att stödja innovation och tillväxt, vilket skapar nya möjligheter för företag att bli mer produktiva.
G. Tillgängliga uppgifter hos rättsvårdande myndigheter i fråga om it‑brott – som omfattar it‑angrepp, men även andra typer av nätbrottslighet – tyder på kraftiga ökningar i en rad europeiska länder. Statistiskt representativa uppgifter beträffande it-angrepp hos både rättsvårdande myndigheter och incidenthanteringsorganisationen (Cert) är dock fortfarande knapphändiga och insamlingen av dessa måste förbättras i framtiden, för att rättsvårdande myndigheter ska kunna göra kraftfullare insatser i hela EU och för att förbättra informationsunderlaget för en lagstiftningsmässig reaktion på de ständigt nya it‑hoten.
H. Rätt informationssäkerhetsnivå är helt avgörande för en stark utveckling av internetbaserade tjänster.
I. Den senaste tidens it-incidenter, driftsavbrott och angrepp mot EU:s institutioner, industrier och medlemsstaternas informationsinfrastruktur visar att det behövs ett robust, innovativt och effektivt system för skydd av kritisk informationsinfrastruktur, och att detta fullt ut bör grunda sig på internationellt samarbete och minimistandarder för motståndskraft i medlemsstaterna.
J. Den snabba utvecklingen av nya möjligheter inom IKT, t.ex. datormoln, kräver en tydlig inriktning på internetsäkerhet för att fördelarna med de tekniska framstegen ska kunna utnyttjas fullt ut.
K. Europaparlamentet har upprepade gånger insisterat på tillämpning av höga krav på dataintegritet och dataskydd, nätneutralitet samt skydd av immateriella rättigheter.
I. Åtgärder för att stärka kritisk infrastruktur på nationell nivå och EU-nivå
1. Europaparlamentet välkomnar medlemsstaternas genomförande av Europeiska programmet för skydd av kritisk infrastruktur samt inrättandet av nätverket för varningar om hot mot kritisk infrastruktur (Ciwin).
2. Europaparlamentet anser att insatserna för att skydda kritisk infrastruktur inte bara kommer att förbättra medborgarnas övergripande säkerhet utan också medborgarnas syn på säkerhet och deras förtroende för de åtgärder som regeringarna vidtar för att skydda dem.
3. Europaparlamentet är medvetet om att kommissionen överväger att se över rådets direktiv 2008/114/EG[4]1 och efterlyser belägg för direktivets effektivitet och påverkan innan ytterligare åtgärder vidtas. Parlamentet menar att direktivets räckvidd bör utvidgas, särskilt genom att IKT-sektorn och finansiella tjänster innefattas. Parlamentet efterlyser också att områden såsom hälsa, system för vatten- och livsmedelsförsörjning, kärnforskning och kärnenergiindustri (där dessa områden inte omfattas av specifika bestämmelser) beaktas. Parlamentet anser att dessa sektorer även bör få nytta av den sektorsövergripande strategi som Ciwin tillämpar (och som omfattar samarbete, varningssystem och utbyte av bästa metoder).
4. Europaparlamentet understryker att man måste inrätta och garantera en varaktig samordning av europeisk forskning för att upprätthålla och stärka den europeiska spetskompetensen inom området skydd av kritisk infrastruktur.
5. Europaparlamentet efterlyser en regelbunden uppdatering av minimistandarderna för motståndskraft för beredskap och reaktion mot alla typer av driftsavbrott, incidenter, angrepp eller försök att åstadkomma förstörelse, som till exempel de som föranleds av att infrastrukturen inte är tillräckligt robust eller av att användarterminaler inte är tillräckligt säkrade, mot bakgrund av att den kritiska informationsinfrastrukturen såväl nationellt som inom EU är sammanlänkad, starkt ömsesidigt beroende och känslig, strategisk och sårbar.
6. Europaparlamentet betonar vikten av protokoll och standarder för informationssäkerhet och välkomnar uppdraget från 2011 till CEN, Cenelec och ETSI att fastställa säkerhetsstandarder.
7. Europaparlamentet förväntar sig att ägare av och aktörer inom kritisk informationsinfrastruktur ska underlätta för och vid behov hjälpa användarna att bruka lämpliga metoder för att skydda dem från skadliga angrepp och/eller störningar, genom både mänsklig och automatiserad kontroll, där detta behövs.
8. Europaparlamentet stöder samarbete mellan offentliga och privata aktörer på unionsnivå, och uppmuntrar deras arbete med att utveckla och använda standarder för säkerhet och motståndskraft för den civila (offentliga, privata eller offentlig-privata) kritiska informationsinfrastrukturen på nationell och europeisk nivå.
9. Europaparlamentet understryker vikten av EU-omfattande övningar för storskaliga säkerhetsincidenter i nätverk, och fastställandet av en enda uppsättning standarder för hotbildsbedömning.
10. Europaparlamentet uppmanar kommissionen att, i samarbete med medlemsstaterna, bedöma genomförandet av handlingsplanen för skydd av kritisk informationsinfrastruktur. Parlamentet uppmanar medlemsstaterna att inrätta väl fungerande nationella/statliga organisationer för incidenthantering, att utveckla nationella strategier för it-säkerhet, att anordna regelbundna nationella och EU-omfattande övningar kring it-incidenter, att utveckla beredskapsplaner för it-incidenter samt att bidra till utvecklingen av en europeisk beredskapsplan för it-incidenter före slutet av 2012.
11. Europaparlamentet rekommenderar att det införs säkerhetsplaner eller liknande åtgärder för alla europeiska kritiska informationsinfrastrukturer, och att det utses sambandsansvariga i säkerhetsfrågor.
12. Europaparlamentet välkomnar den pågående översynen av beslut 2005/222/RIF[5] om angrepp mot informationssystem. Parlamentet noterar att EU:s insatser för att bekämpa storskaliga it-angrepp måste samordnas, genom att inkludera Enisa, medlemsstaternas incidenthanteringsorganisationer och framtida europeiska incidenthanteringsorganisationers befogenheter.
13. Europaparlamentet anser att Enisa kan spela en nyckelroll på europeisk nivå när det gäller skyddet av kritisk infrastruktur genom att tillhandahålla teknisk expertis till medlemsstaterna och till Europeiska unionens institutioner och organ samt rapporter om och analyser av it-säkerhet på europeisk och global nivå.
II. Fortsatt EU-verksamhet för robust internetsäkerhet
14. Europaparlamentet uppmanar Enisa att varje år samordna och genomföra en månadslång upplysningskampanj om internetsäkerhet, för att få medlemsstaterna och EU-medborgarna att fokusera specifikt på frågor som rör digital säkerhet.
15. Europaparlamentet stöder, i linje med målen för den digitala agendan, Enisa i dess fullgörande av sina skyldigheter när det gäller nät- och informationssäkerhet, och särskilt när det gäller att ge medlemsstaterna vägledning och råd om hur de kan uppfylla den grundläggande kapaciteten för sina incidenthanteringsorganisationer, samt när det gäller att stödja utbytet av bästa metoder genom utvecklingen av ömsesidigt förtroende. Parlamentet uppmanar Enisa att samråda med berörda aktörer för att fastställa liknande it‑säkerhetsåtgärder för ägare av och aktörer inom privata nätverk och infrastrukturer, och även att hjälpa kommissionen och medlemsstaterna med att främja utvecklingen och användningen av certifieringssystem, uppförandenormer och samarbetsmetoder för informationssäkerhet bland ägare av och aktörer inom nationella och europeiska incidenthanteringsorganisationer och där det behövs genom att fastställa teknikneutrala gemensamma minimikrav.
16. Europaparlamentet välkomnar det föreliggande förslaget om att se över Enisas mandat, särskilt dess utvidgning och utökningen av dess uppgifter. Parlamentet anser att Enisa, förutom att stödja medlemsstaterna i form av expertis och analys, bör ha rätt att hantera ett antal genomförandeuppgifter på EU-nivå, och, i samarbete med amerikanska motsvarigheter, uppgifter som handlar om att förebygga och upptäcka nät- och informationssäkerhetsincidenter och stärka samarbetet mellan medlemsstaterna. Parlamentet påpekar att byrån, i enlighet med Enisa-förordningen, också kan tilldelas ytterligare ansvar som rör motåtgärder mot internetangrepp, i den mån det ger ett klart mervärde till befintliga nationella responsmekanismer.
17. Europaparlamentet välkomnar resultaten av de EU-omfattande it‑säkerhetsövningar från 2010 och 2011 som genomförts i hela EU under Enisas övervakning, med målet att hjälpa medlemsstaterna att utforma, upprätthålla och pröva en EU-omfattande beredskapsplan. Parlamentet uppmanar Enisa att ha kvar sådana övningar på sin dagordning och att successivt engagera berörda privata aktörer på lämpligt sätt för att öka EU:s övergripande kapacitet inom internetsäkerhet, och ser fram emot en fortsatt internationell utveckling med likasinnade partner.
18. Europaparlamentet uppmanar EU:s medlemsstater att utforma nationella beredskapsplaner för it-incidenter och inbegripa centrala faktorer som exempelvis relevanta kontaktpunkter, bestämmelser om hjälpinsatser, begränsande åtgärder och åtgärder vid it‑störningar eller it-angrepp med regionala, nationella eller gränsöverskridande konsekvenser. Medlemsstaterna bör även införa lämpliga samordningsmekanismer och strukturer på nationell nivå, vilket skulle bidra till en bättre samordning mellan de behöriga nationella myndigheterna och göra deras åtgärder mer konsekventa.
19. Europaparlamentet föreslår att kommissionen genom EU:s beredskapsplan för it-incidenter lägger fram förslag om bindande åtgärder för bättre samordning av tekniska funktioner och styrfunktioner på EU-nivå bland de nationella och statliga organisationerna för incidenthantering.
20. Europaparlamentet uppmanar kommissionen och medlemsstaterna att vidta nödvändiga åtgärder för att skydda kritisk infrastruktur från it-angrepp och tillhandahålla medel för att hermetiskt avbryta tillgången till kritisk infrastruktur om ett direkt it-angrepp utgör ett allvarligt hot mot dess normala funktioner.
21. Europaparlamentet ser fram emot ett fullständigt genomförande av EU:s organisationer för incidenthantering, som kommer att spela en nyckelroll när det gäller att förebygga, upptäcka och svara på avsiktliga och skadliga it-angrepp riktade mot EU:s institutioner samt för återhämtning efter angreppen.
22. Europaparlamentet rekommenderar kommissionen att föreslå bindande åtgärder i syfte att införa minimisstandarder för säkerhet och motståndskraft och förbättra samordningen mellan de nationella organisationerna för incidenthantering (Cert).
23. Europaparlamentet uppmanar medlemsstaterna och EU-institutionerna att se till att det finns välfungerande organisationer för incidenthantering med minimikrav på kompetens inom säkerhet och motståndskraft som bygger på överenskomna bästa metoder. De nationella organisationerna för incidenthantering bör ingå i ett effektivt nätverk där relevant information utväxlas i enlighet med nödvändiga sekretessnormer. Parlamentet kräver att en ständigt tillgänglig tjänst för skydd av kritisk informationsinfrastruktur inrättas för varje medlemsstat, och att ett gemensamt europeiskt katastrofprotokoll inrättas och blir tillämpligt mellan de nationella kontaktpunkterna.
24. Europaparlamentet understryker att det är avgörande att skapa förtroende och främja samarbete mellan medlemsstaterna för att skydda uppgifter och nationella nätverk samt infrastruktur. Parlamentet uppmanar kommissionen att föreslå ett gemensamt förfarande för att fastställa och utforma en gemensam strategi för att komma till rätta med gränsöverskridande hot mot IKT, och förväntar sig att medlemsstaterna förser kommissionen med allmän information om risker, hot och sårbarheter i deras kritiska informationsinfrastruktur.
25. Europaparlamentet välkomnar kommissionens initiativ att utveckla EU-systemet för informationsutbyte och varningar senast 2013.
26. Europaparlamentet välkomnar att kommissionen initierat ett samråd med olika aktörer om internetsäkerhet och kritisk informationsinfrastruktur, som det offentlig-privata EU‑partnerskapet för motståndskraft (EP3R). Parlamentet erkänner de redan betydande insatser och det engagemang som IKT-leverantörer har visat på området, och uppmuntrar kommissionen att göra mer för att uppmuntra högskolor och sammanslutningar av IKT‑användare att spela en aktivare roll och att främja en konstruktiv flerpartsdialog om it‑säkerhetsfrågor. Parlamentet stöder en fortsatt utveckling av ett digitalt forum som ett ramverk för kontroll av skydd av kritisk informationsinfrastruktur.
27. Europaparlamentet välkomnar det arbete som medlemsstatsforumet (EFMS) hittills har utfört med att fastställa sektorspecifika kriterier för att kartlägga europeisk kritisk infrastruktur, med fokus på fast och mobil kommunikation, och med att diskutera EU:s principer och riktlinjer för ett motståndskraftigt och stabilt internet. Parlamentet ser fram emot att fortsätta bygga samförstånd bland medlemsstaterna, och uppmuntrar i detta sammanhang EFMS att komplettera den nuvarande strategin, som kretsar kring fysiska anläggningar, med insatser som även omfattar logiska infrastrukturanläggningar, vilka kommer att bli allt viktigare för ett effektivt skydd av kritisk informationsinfrastruktur i takt med att virtualisering och molnteknik utvecklas.
28. Europaparlamentet föreslår att kommissionen lanserar ett offentligt EU‑omfattande utbildningsinitiativ, som är inriktat på att utbilda och öka både privata och företagsbaserade slutanvändares kunskap om potentiella hot på internet och fast och mobil IKT‑utrustning på alla nivåer i användningskedjan och på att främja säkrare nätbeteende hos den enskilde individen. Parlamentet påminner i detta sammanhang om de risker som är förknippade med föråldrad it-utrustning och programvara.
29. Europaparlamentet uppmanar medlemsstaterna att, med stöd från kommissionen, stärka utbildningsprogrammen om informationssäkerhet som är inriktade på nationella brottsbekämpande och rättsliga myndigheter samt berörda EU-byråer.
30. Europaparlamentet stöder skapandet av en europeisk kursplan för akademiska experter inom informationssäkerhet, eftersom det skulle ha en positiv inverkan på EU:s kompetens och beredskap när det gäller internet, som ju utvecklas ständigt, och hot mot det.
31. Europaparlamentet förespråkar främjande av utbildning i it-säkerhet (praktikplatser för doktorander, universitetskurser, seminarier, yrkesutbildning för studenter, etc.) och specialiserade utbildningsövningar i skydd av kritisk infrastruktur.
32. Europaparlamentet uppmanar kommissionen att före utgången av 2012 föreslå en övergripande strategi för internetsäkerhet för unionen, baserad på en tydlig terminologi. Parlamentet anser att strategin för internetsäkerhet bör syfta till att skapa ett internet som (med stöd av en säker och motståndskraftig infrastruktur och öppna standarder) befrämjar innovationer och välstånd genom ett fritt informationsflöde samtidigt som det garanterar tillförlitligt skydd av privatlivet och övriga medborgerliga friheter och rättigheter. Parlamentet vidhåller att strategin ska omfatta de principer, mål, metoder, instrument och åtgärder (såväl inre som yttre) som krävs för att effektivisera medlemsstaternas och EU:s insatser för att skapa säkra, kontinuerliga, robusta och motståndskraftiga tjänster, såväl i samband med kritisk infrastruktur som vid allmän användning av internet.
33. Europaparlamentet framhåller att kommissionen i sin kommande it-säkerhetsstrategi bör ta arbetet med skydd av kritisk infrastruktur som en central referenspunkt och sträva efter ett systematiskt och helhetsbaserat tillvägagångssätt när det gäller it-säkerhet, genom att ta med både förebyggande åtgärder, såsom införande av miniminormer för säkerhetsåtgärder eller utbildning av individuella användare, företag och offentliga institutioner, och reaktiva åtgärder, såsom straffrättsliga, civilrättsliga och administrativa sanktioner.
34. Europaparlamentet uppmanar kommissionen att föreslå en robust mekanism för att samordna genomförandet och regelbundet uppdatera säkerhetsstrategin för internet. Denna mekanism bör få stöd av tillräckliga administrativa, sakkunniga och ekonomiska resurser och dess ansvarsområde bör omfatta att underlätta EU:s arbete med att ta fram ståndpunkter i förbindelser med både egna och internationella aktörer om frågor som rör internetsäkerhet.
35. Europaparlamentet uppmanar kommissionen att föreslå en EU-ram för anmälan av säkerhetsöverträdelser inom kritiska sektorer, såsom energi, transport, vatten- och livsmedelsförsörjning liksom inom IKT-sektorn och finansiella tjänster, för att garantera att de berörda medlemsstaternas myndigheter är informerade om it-incidenter, it-angrepp och it-störningar.
36. Europaparlamentet uppmanar kommissionen att förbättra tillgängligheten till statistiskt representativa uppgifter om kostnaderna för it-angrepp i EU, medlemsstaterna och industrin (särskilt finansiella tjänster och IKT-sektorn) genom att stärka kapaciteten för datainsamling vid det planerade europeiska centrumet mot it‑brottslighet (som ska inrättas senast 2013), organisationer för incidenthantering och andra initiativ från kommissionen, t.ex. EU-systemet för informationsutbyte och varningar, så att man kan garantera systematisk rapportering och utbyte av uppgifter om it-angrepp och andra former av it‑brottslighet som rör de europeiska företagen och medlemsstaterna, och därmed stärka brottsbekämpningen.
37. Europaparlamentet förespråkar en nära relation och ett nära samspel mellan den nationella privata sektorn och Enisa för att sammankoppla nationella/statliga incidenthanteringsorganisationer med utvecklingen av EU-systemet för informationsutbyte och varningar (Eisas).
38. Europaparlamentet understryker att den främsta drivkraften bakom utvecklingen och användningen av teknik för att förbättra internetsäkerheten är IKT‑industrin. Parlamentet påminner om att EU:s politik måste undvika att hindra tillväxten av EU:s internetekonomi och inbegripa de incitament som behövs för att utnyttja företags och offentlig-privata partnerskaps potential fullt ut. Parlamentet rekommenderar att ytterligare incitament utreds för att branschen ska utveckla mer tillförlitliga säkerhetsplaner i enlighet med direktiv 2008/114/EG.
39. Europaparlamentet uppmanar kommissionen att lägga fram ett lagförslag för att ytterligare kriminalisera it-angrepp (dvs. nätfiske, nätbedrägeri, etc.).
III. Internationellt samarbete
40. Europaparlamentet påminner om att internationellt samarbete är det viktigaste instrumentet för att införa effektiva åtgärder för it-säkerhet. EU engagerar sig för närvarande inte kontinuerligt i internationella samarbetsprocesser och dialoger som rör it‑säkerhet. Parlamentet uppmanar kommissionen och Europeiska utrikestjänsten (EEAS) att inleda en konstruktiv dialog med alla likasinnade länder i syfte att nå fram till samförstånd och åtgärder för att göra internet och kritisk infrastruktur mer robust. EU bör samtidigt, på en permanent basis, inkludera internetsäkerhetsfrågor i sina förbindelser med tredjeländer, bl.a. vid utformningen av olika finansiella instrument eller vid ingående av internationella avtal som innebär utbyte och lagring av känsliga uppgifter.
41. Europaparlamentet uppmärksammar de positiva resultaten från Europarådet 2001 i Budapest och konventionen om it‑relaterad brottslighet. Europeiska utrikestjänsten bör också, samtidigt som den uppmuntrar fler länder att underteckna och ratificera konventionen, utveckla bilaterala och multilaterala avtal om internetsäkerhet och motståndskraft med likasinnade internationella partner.
42. Europaparlamentet påpekar att det stora antal pågående insatser som utförs av olika internationella institutioner och EU-institutioner, organ och byråer samt medlemsstater kräver samordning för att dubbelarbete ska undvikas. För detta ändamål är det värt att överväga att utse en tjänsteman med ansvar för samordning, eventuellt genom att utnämna en EU-samordnare för it-säkerhet.
43. Europaparlamentet understryker vikten av en strukturerad dialog mellan de huvudaktörer och lagstiftare i EU och Förenta staterna som är inblandade i skyddet av kritisk infrastruktur, för att uppnå samförstånd och gemensam tolkning och syn på rättsliga ramar och styrelsestrukturer.
44. Europaparlamentet välkomnar inrättandet av EU:s och Förenta staternas gemensamma arbetsgrupp för it-säkerhet och it-brottslighet under toppmötet mellan EU och Förenta staterna i november 2010. Parlamentet stöder gruppens arbete med att utveckla standarder som är nödvändiga för att underlätta internationellt samarbete kring digital säkerhet. Parlamentet välkomnar att kommissionen och den amerikanska regeringen, genom EU:s och Förenta staternas gemensamma arbetsgrupp, tillsammans utarbetar ett gemensamt program och en färdplan mot gemensamma/synkroniserade transkontinentala it-övningar under 2012–2013.
45. Europaparlamentet föreslår att det inrättas en strukturerad dialog mellan lagstiftarna i Förenta staterna och EU, där man kan diskutera internetrelaterade frågor och nå fram till samsyn och gemensamma tolkningar och ståndpunkter.
46. Europaparlamentet uppmanar Europeiska utrikestjänsten (EEAS) och kommissionen att med utgångspunkt från det arbete som utförs i medlemsstatsforumet försäkra sig om en aktiv position i relevanta internationella forum. Bland annat innebär detta en samordning av medlemsstaternas ståndpunkter i syfte att främja EU:s grundläggande värden, mål och politik som rör internetsäkerhet och motståndskraft. Parlamentet noterar att i dessa forum ingår Nato, FN (i synnerhet Internationella Teleunionen och Forumet för förvaltning av internet), Internet Corporation for Assigned Names and Numbers (ICANN), Internet Assigned Numbers Authority (IANA), Organisationen för säkerhet och samarbete i Europa (OSSE), OECD och Världsbanken.
47. Europaparlamentet uppmuntrar kommissionen och Enisa att delta i de viktigaste dialogerna mellan aktörer för att fastställa tekniska och rättsliga normer på internet på internationell nivå.
48. Europaparlamentet uppdrar åt talmannen att översända denna resolution till rådet och kommissionen.
MOTIVERING
Teknik har kommit att spela en allt viktigare roll i vår vardag i alla dess aspekter, från kommunikationer till finansiering och bankväsende, från transporter till energi, från kultur och underhållning till hälsa.
Den ökande användningen av internet och datorbaserade tekniker i vår samtid gör att internetsäkerhet framstår som en fråga av högsta politiska prioritet för EU och resten av världen. Europa 2020-strategin, vilken omfattar den digitala agendan för EU, lanserades 2010 som ett huvudinitiativ för EU:s politik där ambitiösa mål sattes för den tekniska utvecklingen inom Europeiska unionen. Den ökande användningen och spridningen av ny IKT-teknik, såsom snabba och hypersnabba fasta och mobila internet- och mobilnät, smarta nät, men även internettjänster såsom datormoln och Sakernas Internet, är alla beroende av en enkel men avgörande aspekt: säkerhet, motståndskraft och förtroende.
I december 2006 antog kommissionen meddelandet om ett europeiskt program för skydd av kritisk infrastruktur (EPCIP). Där anges en övergripande ram för aktiviteter på EU-nivå som avser skydd av kritisk infrastruktur. Två år senare antog rådet direktiv 2008/114/EG om identifiering av, och klassificering som, europeisk kritisk infrastruktur och bedömning av behovet att stärka skyddet av denna. I en första omgång inriktades direktivet på energi- och transportsektorerna. Det behandlar uteslutande infrastrukturer där ett avbrott skulle påverka två eller flera av EU:s medlemsstater.
I direktiv 2008/114 fastställdes IKT-sektorn som en framtida prioriterad sektor, även om den inte klassificerades som kritisk infrastruktur. Ändå har kommissionen sedan 2005 betonat behovet av att samordna försöken att bygga upp säkerhet och förtroende för elektronisk kommunikation[1]. För detta ändamål antogs 2006 en strategi för ett tryggt informationssamhälle[2] vars huvudpunkter godkändes i rådets resolution 2007/068/01.
2009 antog kommissionen ett meddelande om skydd av kritisk informationsinfrastruktur, ”Skydd mot storskaliga it-attacker och avbrott: förbättrad beredskap, säkerhet och motståndskraft i Europa”.[3] I detta meddelande lade kommissionen fram handlingsplanen för skydd av kritisk informationsinfrastruktur i syfte att stimulera och stödja säkerhet i kritiska informationsinfrastrukturer både nationellt och på EU-nivå. I handlingsplanen definieras specifika roller för kommissionen, Enisa, medlemsstaterna och industrin. Frågan om att öka säkerheten och motståndskraften i IKT-infrastrukturer har behandlats ytterligare i den digitala agendan för Europa,[4] samt i rådets relaterade slutsatser[5] genom förslaget om ett direktiv angående attacker mot informationssystem[6] liksom kommissionens förslag om nytt mandat för ett förstärkt och moderniserat Enisa[7].
I mars 2011 publicerade kommissionen ett meddelande om CIP: ”Resultat och kommande åtgärder: vägen mot global it-säkerhet.”[8] I dokumentet går kommissionen igenom resultaten av genomförandet av handlingsplanen för kritisk infrastruktur från 2009 och beskriver kommande åtgärder, där fokus riktas mot internationellt samarbete bortom EU:s gränser.
Dessa förändringar har skett inom loppet av ett fåtal år och är inte ett uttryck för alla insatser för att öka den digitala säkerheten i EU, vilket visar att internetsäkerhet är en relevant fråga. Det är uppenbart att internet är en kritisk infrastruktur, samt att ett internetavbrott kan leda till omfattande förluster och säkerhetsrisker, som drabbar ett stort antal medborgare och företag i EU. Dessutom kräver den snabba teknikutvecklingen att det förebyggande arbetet mot internetattacker, stödåtgärder och motståndskraften hos det globala nätet bör utgå från en övergripande, reaktiv, flexibel, innovativ och långsiktig ram. Denna ram bör säkerställa effektiv interaktion mellan regeringar, företag, enskilda och alla andra intressenter. Sist men inte minst kan en ökning av internets motståndskraft inte möjliggöras förrän ett effektivt system för internationell samverkan och internationella normer finns på plats.
- [1] COM(2005)0229.
- [2] COM(2006)0251.
- [3] COM(2009)0149.
- [4] COM(2010)0245.
- [5] Rådets slutsatser av den 31 maj 2010.
- [6] COM(2010)0517.
- [7] COM(2010)0521.
- [8] COM(2011)0163.
YTTRANDE från utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor (22.3.2012)
till utskottet för industrifrågor, forskning och energi
över skydd av kritisk infrastruktur – Resultat och kommande åtgärder: vägen mot global it‑säkerhet
(2011/2284(INI))
Föredragande: Ágnes Hankiss
FÖRSLAG
Utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor uppmanar utskottet för industrifrågor, forskning och energi att som ansvarigt utskott infoga följande i sitt resolutionsförslag:
1. Europaparlamentet anser att skyddet av kritisk infrastruktur kräver ett tvärvetenskapligt angreppssätt som måste omfatta relevanta aspekter av medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor, såsom inre säkerhet, skyddet av personuppgifter och rätten till konfidentialitet och integritet, för att på så sätt förbättra säkerheten samtidigt som grundläggande rättigheter respekteras.
2. Europaparlamentet påminner om att skyddet av kritisk infrastruktur omfattas av EU:s strategi för den inre säkerheten när det gäller att förbättra säkerheten för medborgare och företag på internet.
3. Europaparlamentet yrkar på att identifieringen av europeisk kritisk infrastruktur ska slutföras och uppdateras löpande under kommissionens överinseende, i enlighet med rådets direktiv 2008/114/EG[1] (om identifiering av, och klassificering som, europeisk kritisk infrastruktur och bedömning av behovet att stärka skyddet av denna). Parlamentet betonar också behovet av att snarast inrätta nätverket för varningar om hot mot kritisk infrastruktur på EU-nivå. Med tanke på offentliga institutioners, företags och privathushålls starka beroende av informations- och kommunikationsteknik (IKT), bör rådets direktiv 2008/114/EG ses över för att också IKT ska erkännas som en kritisk sektor.
4. Europaparlamentet uppmanar medlemsstaterna att ta fram en nationell strategi och säkerställa att det finns en stabil politisk beslutsmiljö och lagstiftning, övergripande förfaranden för riskhantering och lämpliga föregripande åtgärder och mekanismer. Parlamentet uppmanar med kraft de medlemsstater som inte har inrättat sin nationella incidenthanteringsorganisation att göra det vid lämplig tidpunkt, vid behov med stöd från Europeiska byrån för nät- och informationssäkerhet (Enisa).
5. Europaparlamentet anser att alla storskaliga databaser som behandlar känsliga personuppgifter, t.ex. EU:s, medlemsstaternas regeringars och finansinstituts samt vårdinrättningars databaser, bör anses ingå i den kritiska infrastrukturen och skyddet av sådana uppgifter bör garanteras i enlighet med högsta möjliga standarder.
6. Europaparlamentet uppmanar kommissionen och medlemsstaterna att vidta nödvändiga åtgärder för att skydda kritisk infrastruktur från it-attacker och tillhandahålla medel för att avbryta tillgången till kritisk infrastruktur om en direkt it-attack utgör ett allvarligt hot mot dess funktioner.
7. Europaparlamentet understryker vikten av EU-omfattande övningar för storskaliga säkerhetsincidenter i nätverk, och fastställandet av en enda uppsättning standarder för hotbildsbedömning.
8 Europaparlamentet anser att Enisa kan spela en nyckelroll på europeisk nivå när det gäller skyddet av kritisk infrastruktur genom att tillhandahålla teknisk expertis till medlemsstaterna och till Europeiska unionens institutioner och organ samt rapporter om och analyser av it-säkerhet på europeisk och global nivå.
9. Europaparlamentet anser att internationellt samarbete bortom EU:s gränser är absolut nödvändigt, eftersom it-hot är av global art och kräver globala lösningar, som är förenliga med folkrättens regler. Parlamentet betonar också att överföring och lagring av uppgifter bör beaktas i alla internationella överenskommelser som omfattar utbytet av känsliga uppgifter.
10. Europaparlamentet framhåller att kommissionen i sin kommande it-säkerhetsstrategi bör ta arbetet med skydd av kritisk infrastruktur som en central referenspunkt och sträva efter ett systematiskt och helhetsbaserat tillvägagångssätt när det gäller it-säkerhet, genom att ta med både förebyggande åtgärder, såsom införande av miniminormer för säkerhetsåtgärder eller utbildning av individuella användare, företag och offentliga institutioner, och reaktiva åtgärder, såsom straffrättsliga, civilrättsliga och administrativa sanktioner.
11. Europaparlamentet anser att samordningen bör stärkas och förbättras först och främst mellan civila och militära aktörer men också mellan rättsvårdande och andra berörda myndigheter, däribland polisen och andra brottsbekämpande myndigheter från medlemsstaterna samt specialiserade byråer på europeisk nivå såsom Eurojust, Europol och Enisa, när det gäller att förhindra, bekämpa och straffbelägga attacker mot informationssystem.
12. Europaparlamentet understryker vikten av stark samverkan mellan den offentliga och den privata sektorn, eftersom sektorernas olika styrkor, genom ömsesidig komplettering, bör främja de insatser som görs för att skydda infrastrukturen och därmed EU-medborgarnas liv och integritet. Parlamentet uppmanar kommissionen att inrätta det offentlig-privata EU-partnerskapet för motståndskraft som skulle integreras med arbetet som utförs av Enisa och nationella incidenthanteringsorganisationer .
13. Europaparlamentet påpekar att det stora antal pågående insatser som utförs av olika internationella institutioner och EU-institutioner, organ och byråer samt medlemsstater kräver samordning för att dubbelarbete ska undvikas. För detta ändamål är det värt att överväga att utse en tjänsteman med ansvar för samordning, eventuellt genom att utnämna en EU-samordnare för it-säkerhet.
14. Europaparlamentet anser att insatserna för att skydda kritisk infrastruktur inte bara kommer att förbättra medborgarnas övergripande säkerhet utan också medborgarnas syn på säkerhet och deras förtroende för de åtgärder som regeringarna vidtar för att skydda dem.
15. Europaparlamentet understryker att man måste inrätta och garantera en varaktig samordning av europeisk forskning för att upprätthålla och stärka den europeiska spetskompetensen inom området skydd av kritisk infrastruktur.
16. Europaparlamentet understryker vikten av en aktiv färdplan för forskningsinsatserna inom it-säkerhet.
17. Europaparlamentet förespråkar främjande av utbildning i it-säkerhet (praktikplatser för doktorander, universitetskurser, seminarier, yrkesutbildning för studenter, etc.) och specialiserade utbildningsövningar i skydd av kritisk infrastruktur.
18. Europaparlamentet förespråkar en nära relation och ett nära samspel mellan den nationella privata sektorn och Enisa för att sammankoppla nationella incidenthanteringsorganisationer med utvecklingen av EU-systemet för informationsutbyte och varningar (Eisas).
19. Europaparlamentet understryker vikten av en gemensam europeisk it-säkerhetsstrategi och att fastställa en tidsplan för vilka åtgärder och resurser som behövs.
20. Europaparlamentet understryker vikten av en strukturerad dialog mellan de huvudaktörer och lagstiftare i EU och Förenta staterna som är inblandade i skyddet av kritisk infrastruktur, för samförstånd och gemensam tolkning och syn på rättsliga ramar och styrelsestrukturer.
RESULTAT AV SLUTOMRÖSTNINGEN I UTSKOTTET
Antagande |
21.3.2012 |
|
|
|
|
Slutomröstning: resultat |
+: –: 0: |
45 0 2 |
|||
Slutomröstning: närvarande ledamöter |
Roberta Angelilli, Edit Bauer, Arkadiusz Tomasz Bratkowski, Philip Claeys, Carlos Coelho, Rosario Crocetta, Frank Engel, Cornelia Ernst, Tanja Fajon, Kinga Göncz, Nathalie Griesbeck, Sylvie Guillaume, Anna Hedh, Salvatore Iacolino, Lívia Járóka, Teresa Jiménez-Becerril Barrio, Juan Fernando López Aguilar, Monica Luisa Macovei, Svetoslav Hristov Malinov, Véronique Mathieu, Anthea McIntyre, Jan Mulder, Antigoni Papadopoulou, Judith Sargentini, Csaba Sógor, Renate Sommer, Rui Tavares, Kyriacos Triantaphyllides, Wim van de Camp, Renate Weber, Josef Weidenholzer, Cecilia Wikström |
||||
Slutomröstning: närvarande suppleanter |
Vilija Blinkevičiūtė, Andrew Henry William Brons, Michael Cashman, Anna Maria Corazza Bildt, Ana Gomes, Nadja Hirsch, Stanimir Ilchev, Iliana Malinova Iotova, Franziska Keller, Wolfgang Kreissl-Dörfler, Mariya Nedelcheva, Hubert Pirker, Zuzana Roithová, Kārlis Šadurskis |
||||
Slutomröstning: närvarande suppleanter (art. 187.2) |
Luis de Grandes Pascual |
||||
- [1] EUT L 345, 23.12.2008, s. 75.
RESULTAT AV SLUTOMRÖSTNINGEN I UTSKOTTET
Antagande |
8.5.2012 |
|
|
|
|
Slutomröstning: resultat |
+: –: 0: |
51 7 0 |
|||
Slutomröstning: närvarande ledamöter |
Amelia Andersdotter, Josefa Andrés Barea, Jean-Pierre Audy, Zigmantas Balčytis, Ivo Belet, Bendt Bendtsen, Jan Březina, Maria Da Graça Carvalho, Giles Chichester, Jürgen Creutzmann, Pilar del Castillo Vera, Dimitrios Droutsas, Adam Gierek, Norbert Glante, Robert Goebbels, András Gyürk, Fiona Hall, Edit Herczog, Kent Johansson, Romana Jordan, Krišjānis Kariņš, Lena Kolarska-Bobińska, Béla Kovács, Philippe Lamberts, Judith A. Merkies, Angelika Niebler, Jaroslav Paška, Aldo Patriciello, Vittorio Prodi, Miloslav Ransdorf, Herbert Reul, Michèle Rivasi, Paul Rübig, Salvador Sedó i Alabart, Francisco Sosa Wagner, Konrad Szymański, Britta Thomsen, Evžen Tošenovský, Ioannis A. Tsoukalas, Claude Turmes, Marita Ulvskog, Vladimir Urutchev, Kathleen Van Brempt, Alejo Vidal-Quadras, Henri Weber |
||||
Slutomröstning: närvarande suppleanter |
Ioan Enciu, Françoise Grossetête, Takis Hadjigeorgiou, Roger Helmer, Jolanta Emilia Hibner, Bernd Lange, Werner Langen, Zofija Mazej Kukovič, Silvia-Adriana Ţicău, Inês Cristina Zuber |
||||
Slutomröstning: närvarande suppleanter (art. 187.2) |
Anne E. Jensen, Nicole Kiil-Nielsen, Norica Nicolai |
||||