Euroopan parlamentti, joka

–  ottaa huomioon eurooppalaisesta sähköisen viestinnän säännöstöstä 11. joulukuuta 2018 annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2018/1972(1),

–  ottaa huomioon toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa 6. heinäkuuta 2016 annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/1148(2),

–  ottaa huomioon tietojärjestelmiin kohdistuvista hyökkäyksistä ja neuvoston puitepäätöksen 2005/222/YOS korvaamisesta 12. elokuuta 2013 annetun Euroopan parlamentin ja neuvoston direktiivin 2013/40/EU(3),

–  ottaa huomioon 13. syyskuuta 2017 annetun komission ehdotuksen Euroopan parlamentin ja neuvoston asetukseksi EU:n kyberturvallisuusvirastosta ENISAsta ja asetuksen (EU) N:o 526/2013 kumoamisesta sekä tieto- ja viestintätekniikan kyberturvallisuussertifioinnista (”kyberturvallisuusasetus”) (COM(2017)0477),

–  ottaa huomioon 12. syyskuuta 2018 annetun komission ehdotuksen asetukseksi Euroopan kyberturvallisuuden teollisuus-, teknologia- ja tutkimusosaamiskeskuksen ja kansallisten koordinointikeskusten verkoston perustamisesta (COM(2018)0630),

–  ottaa huomioon Kiinan kansankongressin 28. kesäkuuta 2017 hyväksymän uuden kansallisen tiedustelulain,

–  ottaa huomioon 13. helmikuuta 2019 annetut neuvoston ja komission julkilausumat kiinalaisen teknologian lisääntyvään läsnäoloon EU:ssa liittyvistä turvallisuusuhkista ja EU:n mahdollisista toimista niiden lieventämiseksi,

–  ottaa huomioon Australian hallituksen hyväksymät hallituksen televiestintäalan turvallisuusuudistukset, jotka tulivat voimaan 18. syyskuuta 2018,

–  ottaa huomioon ensimmäisessä käsittelyssä 14. helmikuuta 2019 hyväksymänsä kannan(4) ehdotukseen Euroopan parlamentin ja neuvoston asetukseksi Euroopan unioniin tulevien ulkomaisten suorien sijoitusten seurantaan tarkoitettujen puitteiden perustamisesta,

–  ottaa huomioon EU:n ja Kiinan suhteista aiemmin antamansa päätöslauselmat, erityisesti 12. syyskuuta 2018 antamansa päätöslauselman(5) EU:n ja Kiinan suhteiden tilasta,

–  ottaa huomioon 14. syyskuuta 2016 annetun komission tiedonannon aiheesta ”5G-Eurooppa: toimintasuunnitelma” (COM(2016)0588),

–  ottaa huomioon 1. kesäkuuta 2017 antamansa päätöslauselman(6) aiheesta ”Internetyhteydet kasvun, kilpailukyvyn ja yhteenkuuluvuuden lisäämiseksi: eurooppalainen gigabittiyhteiskunta ja 5G”,

–  ottaa huomioon luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27. huhtikuuta 2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus)(7),

–  ottaa huomioon Verkkojen Eurooppa -välineen perustamisesta sekä asetuksen (EU) N:o 913/2010 muuttamisesta ja asetusten (EY) N:o 680/2007 ja (EY) N:o 67/2010 kumoamisesta 11. joulukuuta 2013 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 1316/2013(8),

–  ottaa huomioon 6. kesäkuuta 2018 annetun komission ehdotuksen Euroopan parlamentin ja neuvoston asetukseksi Digitaalinen Eurooppa -ohjelman perustamisesta vuosiksi 2021–2027 (COM(2018)0434),

–  ottaa huomioon työjärjestyksen 123 artiklan 2 ja 4 kohdan,

A.  katsoo, että EU:n on edistettävä kyberturvallisuusohjelmaansa, jotta se voi hyödyntää mahdollisuutensa tulla kyberturvallisuuden alan johtavaksi toimijaksi ja käyttää asemaansa unionin kyberturvallisuusalan edun ajamiseksi;

B.  ottaa huomioon, että 5G-verkkojen haavoittuvuuksia voidaan hyödyntää tietoteknisten järjestelmien vaarantamiseksi, mikä voi aiheuttaa vakavaa vahinkoa unionin ja jäsenvaltioiden talouksille; katsoo, että riskien minimoimiseksi tarvitaan riskianalyysiin perustuva lähestymistapa, joka kattaa koko arvoketjun;

C.  ottaa huomioon, että 5G-verkko on unionin digitaalisen infrastruktuurin selkäranka, joka laajentaa mahdollisuutta yhdistää verkkoon erilaisia laitteita (muun muassa esineiden internet) ja tuo yhteiskunnalle ja yrityksille uusia etuja ja mahdollisuuksia monilla aloilla, mukaan luettuina talouden kriittiset alat, kuten liikenne-, energia-, terveydenhoito-, rahoitus-, televiestintä-, puolustus-, avaruus- ja turvallisuusalat;

D.  katsoo, että asianmukaisen mekanismin luominen turvallisuushaasteisiin vastaamiseksi antaisi EU:lle mahdollisuuden ryhtyä aktiivisesti toimiin 5G-normien asettamiseksi;

E.  ottaa huomioon, että on esitetty huolenaiheita kolmannen maan laitetoimittajista, jotka voivat olla turvallisuusriski EU:lle alkuperämaansa lainsäädännön vuoksi, erityisesti sen jälkeen, kun Kiina hyväksyi valtion turvallisuutta koskevia lakeja, jossa säädetään kaikkia kansalaisia, yrityksiä ja muita yhteisöjä koskevasta velvollisuudesta tehdä yhteistyötä valtion kanssa, jotta taataan hyvin laajalti määritelty valtion turvallisuus; toteaa, ettei ole olemassa takeita siitä, että näitä velvoitteita ei sovelleta ekstraterritoriaalisesti, ja että muiden maiden reaktiot Kiinan antamiin lakeihin ovat vaihdelleet eri maissa turvallisuusarvioinneista jopa suoranaisiin kieltoihin;

F.  ottaa huomioon, että kyberturvallisuudesta vastaava Tšekin kansallinen viranomainen antoi joulukuussa 2018 varoituksen kiinalaisten Huawei- ja ZTE-yritysten tarjoamien teknologioiden aiheuttamista turvallisuusuhkista; ottaa huomioon, että Tšekin veroviranomaiset sulkivat Huawein veroportaalin perustamista koskevan tarjouskilpailun ulkopuolelle tammikuussa 2019;

G.  katsoo, että tarvitaan perusteellinen tutkimus sen selvittämiseksi, aiheuttavatko kyseiset laitteet tai muut laitteet tai laitetoimittajat turvallisuusriskejä, jotka johtuvat esimerkiksi takaporteista järjestelmiin;

H.  katsoo, että ratkaisut olisi koordinoitava ja niitä olisi käsiteltävä EU:n tasolla, jotta vältetään erilaisten turvallisuustasojen luominen ja mahdolliset aukot kyberturvallisuudessa, ja että tarvitaan myös maailmanlaajuista koordinointia vahvan vastauksen antamiseksi;

I.  toteaa, että sisämarkkinoiden etuihin liittyy velvollisuus noudattaa EU:n normeja ja oikeudellista kehystä, ja katsoo, ettei tavarantoimittajia saisi kohdella eri tavalla niiden alkuperämaan perusteella;

J.  katsoo, että ulkomaisten suorien sijoitusten seurantaa koskeva asetus, jonka on määrä tulla voimaan vuoden 2020 loppuun mennessä, vahvistaa jäsenvaltioiden mahdollisuuksia seurata ulkomaisia investointeja turvallisuuden ja yleisen järjestyksen perusteella ja sillä otetaan käyttöön yhteistyömekanismi, jonka avulla komissio ja jäsenvaltiot voivat tehdä yhteistyötä arvioidessaan arkaluonteisten ulkomaisten investointien aiheuttamia turvallisuusriskejä, myös kyberturvallisuusriskejä, ja se kattaa myös EU:n edun mukaiset hankkeet ja ohjelmat, kuten Euroopan laajuiset televiestintäverkot ja Horisontti 2020 -ohjelman;

1.  katsoo, että unionin on omaksuttava johtava asema kyberturvallisuudessa noudattamalla yhteistä lähestymistapaa, joka perustuu EU:n, jäsenvaltioiden ja toimialan asiantuntemuksen tehokkaaseen ja tuloksekkaaseen käyttöön, sillä erilaisten kansallisten päätösten kirjo koituisi digitaalisten sisämarkkinoiden haitaksi;

2.  esittää syvän huolensa viimeaikaisista väitteistä, joiden mukaan kiinalaisten yritysten kehittämät 5G-laitteet saattavat sisältää sisäänrakennettuja takaportteja, jotka mahdollistaisivat laitevalmistajien ja viranomaisten luvattoman pääsyn EU:n kansalaisten yksityisiin ja henkilötietoihin ja televiesteihin;

3.  on huolissaan myös kyseisten valmistajien kehittämissä 5G-laitteissa mahdollisesti olevista merkittävistä haavoittuvuuksista, mikäli ne asennetaan 5G-verkon käyttöönoton yhteydessä lähivuosina;

4.  korostaa, että vaikutukset verkkojen ja laitteiden turvallisuuteen ovat samankaltaiset kaikkialla maailmassa, ja kehottaa EU:ta hyödyntämään saatavilla olevia kokemuksia, jotta se voisi taata tiukimmat kyberturvallisuusvaatimukset; kehottaa komissiota laatimaan strategian, jolla Eurooppa nostetaan johtavaan asemaan kyberturvallisuusteknologian alalla ja jolla pyritään vähentämään unionin riippuvuutta ulkomaisesta teknologiasta kyberturvallisuuden alalla; katsoo, että jos turvallisuusvaatimuksien noudattamista ei voida taata, on sovellettava asianmukaisia toimenpiteitä;

5.  kehottaa jäsenvaltioita ilmoittamaan komissiolle unionin vastatoimien koordinoimiseksi kaikista kansallisista toimenpiteistä, joita ne aikovat ottaa käyttöön, jotta voidaan varmistaa kyberturvallisuuden mahdollisimman korkea taso kaikkialla unionissa, ja muistuttaa, että on tärkeää pidättäytyä ottamasta yksipuolisesti käyttöön suhteettomia toimia, jotka hajauttaisivat sisämarkkinoita;

6.  muistuttaa, että kaikkien laitteita tai palveluja EU:ssa tarjoavien toimijoiden on alkuperämaastaan riippumatta noudatettava perusoikeuksia koskevia velvoitteita sekä EU:n ja jäsenvaltioiden lainsäädäntöä, myös yksityisyydensuojaa, tietosuojaa ja kyberturvallisuutta koskevaa oikeudellista kehystä;

7.  kehottaa komissiota arvioimaan unionin oikeudellisen kehyksen vakautta, jotta voidaan puuttua huoliin haavoittuvien laitteiden läsnäolosta strategisilla aloilla ja perusinfrastruktuurissa; vaatii komissiota esittämään aloitteita, tarvittaessa myös lainsäädäntöehdotuksia, jotta havaittuihin puutteisiin voidaan puuttua hyvissä ajoin, sillä EU:n kyberturvallisuushaasteiden havaitseminen ja ratkaiseminen sekä kyberturvallisuusresilienssin parantaminen unionissa on jatkuva prosessi;

8.  vaatii niitä jäsenvaltioita, jotka eivät vielä ole saattaneet verkko- ja tietoturvadirektiiviä osaksi kansallista lainsäädäntöään, tekemään sen viipymättä ja kehottaa komissiota seuraamaan tätä tiiviisti, jotta voidaan varmistaa, että direktiivin säännöksiä sovelletaan ja valvotaan asianmukaisesti ja Euroopan kansalaisia suojellaan paremmin ulkoisilta ja sisäisiltä turvallisuusuhkilta;

9.  kehottaa komissiota ja jäsenvaltioita varmistamaan, että verkko- ja tietoturvadirektiivillä käyttöön otettuja raportointimekanismeja sovelletaan asianmukaisesti; toteaa, että komission ja jäsenvaltioiden olisi seurattava perusteellisesti mahdollisia turvallisuushäiriöitä tai tavarantoimittajien epäasianmukaisia reaktioita, jotta voidaan korjata havaitut puutteet;

10.  kehottaa komissiota arvioimaan, onko verkko- ja tietoturvadirektiivin soveltamisalaa tarpeen laajentaa edelleen koskemaan muita kriittisiä aloja ja palveluita, jotka eivät kuulu minkään alakohtaisen lainsäädännön soveltamisalaan;

11.  suhtautuu myönteisesti kyberturvallisuusasetusta koskevaan sopimukseen sekä EU:n verkko- ja tietoturvaviraston (ENISA) toimeksiannon vahvistamiseen ja kannattaa niitä, jotta jäsenvaltioita voidaan tukea paremmin kyberuhkien ja verkkohyökkäysten torjunnassa;

12.  kehottaa komissiota valtuuttamaan ENISAn asettamaan painopisteekseen toimet 5G-laitteiden sertifiointijärjestelmän kehittämiseksi, jotta voidaan varmistaa, että 5G-tekniikan käyttöönotto unionissa täyttää korkeimmat turvallisuusvaatimukset ja että sillä voidaan torjua takaportteja tai merkittäviä haavoittuvuuksia, jotka vaarantaisivat unionin televiestintäverkkojen ja niistä riippuvaisten palvelujen turvallisuuden; suosittaa, että kiinnitetään erityistä huomiota yleisesti käytettyihin prosesseihin, tuotteisiin ja ohjelmistoihin, joilla on jo levinneisyytensä vuoksi merkittävä vaikutus kansalaisten jokapäiväiseen elämään ja talouteen;

13.  suhtautuu erittäin myönteisesti ehdotuksiin, jotka koskevat kyberturvallisuuden osaamiskeskuksia ja kansallisten koordinointikeskusten verkostoa, joiden tarkoituksena on auttaa EU:ta säilyttämään ja kehittämään kyberturvallisuusalan teknisiä ja teollisia valmiuksia, jotka ovat tarpeen unionin digitaalisten sisämarkkinoiden varmistamiseksi; muistuttaa kuitenkin, että sertifiointi ei saisi estää toimivaltaisia viranomaisia ja operaattoreita valvomasta toimitusketjua elintärkeissä ympäristöissä ja televiestintäverkoissa toimivien laitteiden eheyden ja turvallisuuden varmistamiseksi;

14.  toteaa, että kyberturvallisuus edellyttää tiukkoja turvallisuusvaatimuksia; kehottaa luomaan verkon, johon kuuluu oletusarvoinen ja sisäänrakennettu suojaus; kehottaa jäsenvaltioita selvittämään yhdessä komission kanssa kaikkia käytettävissä olevia keinoja korkean turvallisuustason varmistamiseksi;

15.  kehottaa komissiota ja jäsenvaltioita antamaan yhteistyössä ENISAn kanssa ohjeita siitä, miten torjutaan kyberuhkia ja haavoittuvuuksia, kun hankitaan 5G-laitteita, esimerkiksi hankkimalla laitteita eri myyjiltä tai ottamalla käyttöön monivaiheisia hankintamenettelyjä;

16.  vahvistaa kantansa Digitaalinen Eurooppa -ohjelmaan, jossa asetetaan turvallisuusvaatimuksia ja komission valvontaa unioniin sijoittautuneille mutta kolmansien maiden määräysvallassa oleville oikeussubjekteille, erityisesti kyberturvallisuuteen liittyvien toimien osalta;

17.  kehottaa jäsenvaltioita varmistamaan, että julkiset laitokset ja yksityiset yritykset, jotka osallistuvat tärkeimpien infrastruktuuriverkkojen, kuten televiestintä-, energia-, terveydenhoito- ja sosiaalijärjestelmien, asianmukaisen toiminnan varmistamiseen, tekevät asianmukaisia riskinarviointeja, joissa otetaan huomioon turvallisuusuhkat, jotka liittyvät erityisesti kyseisen järjestelmän teknisiin ominaisuuksiin tai laitteistojen ja ohjelmistoteknologioiden riippuvuuteen ulkoisista toimittajista;

18.  palauttaa mieliin, että nykyinen televiestintää koskeva oikeudellinen kehys antaa jäsenvaltioille valtuudet varmistaa, että teleoperaattorit noudattavat julkisten sähköisten viestintäverkkojen eheyttä ja saatavuutta koskevia vaatimuksia, päästä-päähän-salaus mukaan luettuna, kun se on aiheellista; korostaa, että eurooppalaisen sähköisen viestinnän säännöstön mukaan jäsenvaltioilla on kaikki tarvittavat valtuudet tutkia tuotteita EU:n markkinoilla ja soveltaa monenlaisia oikeudellisia välineitä, jos ne eivät ole sääntöjen mukaisia;

19.  kehottaa komissiota ja jäsenvaltioita ottamaan turvallisuuden pakolliseksi näkökohdaksi kaikissa EU:n ja jäsenvaltioiden infrastruktuurin kannalta merkityksellisissä julkisissa hankintamenettelyissä;

20.  muistuttaa jäsenvaltioita siitä, että EU:n säädöskehyksen ja erityisesti tietojärjestelmiin kohdistuvista hyökkäyksistä annetun direktiivin 2013/40/EU nojalla ne ovat velvollisia määräämään seuraamuksia oikeushenkilöille, jotka ovat syyllistyneet rikoksiin, esimerkiksi hyökkäyksiin tietojärjestelmiä vastaan; korostaa, että jäsenvaltioiden olisi myös käytettävä mahdollisuuttaan määrätä näille oikeushenkilöille muita seuraamuksia, kuten väliaikainen tai pysyvä kielto harjoittaa kaupallista toimintaa;

21.  kehottaa jäsenvaltioita, kyberturvallisuusvirastoja, teleoperaattoreita, valmistajia ja elintärkeiden infrastruktuuripalvelujen tarjoajia toimittamaan komissiolle ja ENISAlle todisteet mahdollisista takaporteista tai muista merkittävistä haavoittuvuuksista, jotka voivat vaarantaa televiestintäverkkojen eheyden ja turvallisuuden tai rikkoa unionin oikeutta ja perusoikeuksia; odottaa, että kansalliset tietosuojaviranomaiset ja Euroopan tietosuojavaltuutettu tutkivat perusteellisesti tiedot ulkopuolisten toimittajien tekemistä henkilötietojen tietoturvaloukkauksista ja määräävät asianmukaisia seuraamuksia unionin tietosuojalainsäädännön mukaisesti;

22.  suhtautuu myönteisesti pian voimaantulevaan EU:n asetukseen, jolla perustetaan Euroopan unioniin tulevien ulkomaisten suorien sijoitusten seurantaan tarkoitetut puitteet turvallisuuden ja yleisen järjestyksen varmistamiseksi, ja korostaa, että kyseisessä asetuksessa vahvistetaan ensimmäistä kertaa luettelo aloista ja tekijöistä, mukaan luettuina viestintä ja kyberturvallisuus, joilla on merkitystä turvallisuuden ja yleisen järjestyksen kannalta EU:n tasolla;

23.  kehottaa neuvostoa vauhdittamaan ehdotettua sähköisen viestinnän tietosuoja-asetusta koskevaa työtään;

24.  toistaa, että EU:n on tuettava verkkoturvallisuutta koko arvoketjussa aina tutkimuksesta keskeisten teknologioiden käyttöönottoon ja yleistymiseen, levitettävä asiaan liittyvää tietoa ja edistettävä kyberhygieniaa koskevia opetussuunnitelmia, kyberturvallisuus mukaan luettuna, ja katsoo, että Digitaalinen Eurooppa -ohjelma on muiden toimenpiteiden ohella tehokas väline tämän tavoitteen saavuttamiseksi;

25.  vaatii komissiota ja jäsenvaltioita ryhtymään tarvittaviin toimiin, vakaat investointijärjestelyt mukaan luettuina, luodakseen EU:hun sellaisen investoinneille suotuisan ympäristön, joka on kaikkien EU:n digitaalitalouden yritysten, myös pienten ja keskisuurten yritysten, ulottuvilla; vaatii lisäksi, että tällaisen ympäristön olisi annettava eurooppalaisille tavarantoimittajille mahdollisuus kehittää uusia tuotteita, palveluja ja teknologioita kilpailukykynsä varmistamiseksi;

26.  kehottaa komissiota ja jäsenvaltioita ottamaan edellä mainitut pyynnöt huomioon tulevissa EU:n Kiina-strategiaa koskevissa keskusteluissaan, sillä ne ovat edellytyksiä sille, että EU pysyy kilpailukykyisenä ja varmistaa digitaalisen infrastruktuurinsa turvallisuuden;

27.  kehottaa puhemiestä välittämään tämän päätöslauselman neuvostolle ja komissiolle.

(1) EUVL L 321, 17.12.2018, s. 36. (2) EUVL L 194, 19.7.2016, s. 1. (3) EUVL L 218, 14.8.2013, s. 8. (4) Hyväksytyt tekstit, P8_TA(2019)0121. (5) Hyväksytyt tekstit, P8_TA(2018)0343. (6) EUVL C 307, 30.8.2018, s. 144. (7) EUVL L 119, 4.5.2016, s. 1. (8) EUVL L 348, 20.12.2013, s. 129.