Europski parlament,

–  uzimajući u obzir zajedničku komunikaciju Komisije i visokog predstavnika Unije za vanjske poslove i sigurnosnu politiku od 16. prosinca 2020. naslovljenu „Strategija EU-a za kibersigurnost za digitalno desetljeće” (JOIN(2020)0018),

–  uzimajući u obzir Komisijin Prijedlog direktive Europskog parlamenta i Vijeća od 16. prosinca 2020. o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije i stavljanju izvan snage Direktive (EU) 2016/1148 (COM(2020)0823),

–  uzimajući u obzir Komisijin Prijedlog uredbe Europskog parlamenta i Vijeća od 24. rujna 2020. o digitalnoj operativnoj otpornosti za financijski sektor i o izmjeni uredbi (EZ) br. 1060/2009, (EU) br. 648/2012, (EU) br. 600/2014 i (EU) br. 909/2014, COM(2020)0595,

–  uzimajući u obzir Komisijin Prijedlog uredbe Europskog parlamenta i Vijeća od 12. rujna 2018. o osnivanju Europskog centra za stručnost u području kibersigurnosti, industrije, tehnologije i istraživanja i Mreže nacionalnih koordinacijskih centara (COM(2018)0630),

–  uzimajući u obzir komunikaciju Komisije od 19. veljače 2020. naslovljenu „Izgradnja digitalne budućnosti Europe” (COM(2020)0067),

–  uzimajući u obzir Uredbu (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. o ENISA-i (Agencija Europske unije za kibersigurnost) te o kibersigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije i stavljanju izvan snage Uredbe (EU) br. 526/2013 (Akt o kibersigurnosti)(1),

–  uzimajući u obzir Direktivu Europskog parlamenta i Vijeća 2014/53/EU od 16. travnja 2014. o usklađivanju zakonodavstava država članica o stavljanju na raspolaganje radijske opreme na tržištu i stavljanju izvan snage Direktive 1999/5/EZ(2),

–  uzimajući u obzir Direktivu (EU) 2018/1972 Europskog parlamenta i Vijeća od 11. prosinca 2018. o Europskom zakoniku elektroničkih komunikacija(3),

–  uzimajući u obzir Uredbu (EU) br. 1290/2013 Europskog parlamenta i Vijeća od 11. prosinca 2013. o utvrđivanju pravila za sudjelovanje u Okvirnom programu za istraživanja i inovacije Obzor 2020. (2014. – 2020.) i širenje njegovih rezultata te stavljanju izvan snage Uredbe (EZ) br. 1906/2006(4),

–  uzimajući u obzir Uredbu (EU) br. 1291/2013 Europskog parlamenta i Vijeća od 11. prosinca 2013. o osnivanju Okvirnog programa za istraživanja i inovacije (2014. – 2020.) – Obzor 2020. i o stavljanju izvan snage Odluke br. 1982/2006/EZ(5),

–  uzimajući u obzir Uredbu (EU)  2021/694 Europskog parlamenta i Vijeća od 29. travnja 2021. o uspostavi programa Digitalna Europa te o stavljanju izvan snage Odluke (EU)  2015/2240(6),

–  uzimajući u obzir Direktivu 2010/40/EU Europskog parlamenta i Vijeća od 7. srpnja 2010. o okviru za uvođenje inteligentnih prometnih sustava u cestovnom prometu i za veze s ostalim vrstama prijevoza(7),

–  uzimajući u obzir Konvenciju iz Budimpešte o kibernetičkom kriminalu od 23. studenoga 2001. (ETS br. 185),

–  uzimajući u obzir svoju Rezoluciju od 16. prosinca 2020. o novoj strategiji za europske MSP-ove(8),

–  uzimajući u obzir svoju Rezoluciju od 25. ožujka 2021. o europskoj strategiji za podatke(9),

–  uzimajući u obzir svoju Rezoluciju od 20. svibnja 2021. o oblikovanju digitalne budućnosti Europe: uklanjanje prepreka funkcioniranju jedinstvenog digitalnog tržišta i poboljšanje upotrebe umjetne inteligencije za europske potrošače(10),

–  uzimajući u obzir svoju Rezoluciju od 21. siječnja 2021. o premošćivanju digitalnog jaza između spolova: sudjelovanje žena u digitalnom gospodarstvu(11),

–  uzimajući u obzir svoju Rezoluciju od 12. ožujka 2019. o sigurnosnim prijetnjama povezanim sa sve većom tehnološkom prisutnošću Kine u EU-u i mogućim mjerama na razini EU-a za njihovo smanjenje(12),

–  uzimajući u obzir pitanje upućeno Komisiji o strategiji EU-a za kibersigurnost za digitalno desetljeće (O-000037/2021 – B9‑0024/2021),

–  uzimajući u obzir članak 136. stavak 5. i članak 132. stavak 2. Poslovnika,

A.  budući da je digitalna transformacija ključni strateški prioritet Unije koji je neizbježno povezan s većom izloženošću kiberprijetnjama;

B.  budući da se broj povezanih uređaja, uključujući strojeve, senzore, industrijske komponente i mreže koje čine internet stvari (engl. Internet of Things, IoT), i dalje povećava i da se očekuje da će do 2024. s internetom stvari biti povezano 22,3 milijarde uređaja u svijetu, čime će se povećati izloženost kibernapadima;

C.  budući da bi tehnološki napredak, npr. kvantno računalstvo, i asimetričnosti u pogledu pristupa njemu mogli predstavljati izazov za područje kibersigurnosti;

D.  budući da je kriza izazvana panedemijom bolesti COVID-19 dodatno razotkrila osjetljivost na kibernapade u nekim kritičnim sektorima, osobito u zdravstvu, i da su s njome povezane mjere rada na daljinu i ograničavanja socijalnih kontakata povećale su našu ovisnost o digitalnim tehnologijama i povezivosti, dok su kibernapadi i kiberkriminalitet, uključujući špijunažu i sabotažu, ulazak u sustave, strukture i mreže informacijsko komununikacijske tehnologije i manipulacija tim sustavima, strukturama i mrežama zlonamjernim i nezakonitim instaliranjem, sve brojniji i sofisticiraniji diljem Europe;

E.  budući da se broj kibernapada znatno povećava, o čemu svjedoči nedavni niz zlonamjernih i organiziranih kibernapada na zdravstvene sustave kao što su u Irskoj, Finskoj i Francuskoj; budući da ti kibernapadi znatno štete zdravstvenim sustavima i skrbi za pacijente, kao i drugim osjetljivim javnim i privatnim institucijama;

F.  budući da su hibridne prijetnje, uključujući primjenu kampanja dezinformiranja i kibernapada na infrastrukturu, gospodarske procese i demokratske institucije, sve brojnije i da postaju ozbiljan problem i u kiberprostoru i u fizičkom svijetu te da postoji rizik od utjecaja na demokratske procese kao što su izbori, zakonodavni procesi, provedba zakona i pravosuđe;

G.  budući da se sve više oslanjamo na osnovnu funkciju interneta i osnovne internetske usluge komunikacije i smještaja na poslužitelju, aplikacije i podatke, čiji se tržišni udio postupno koncentrira u sve manje poduzeća;

H.  budući da su sposobnosti napada distribuiranog uskraćivanja usluge sve veće i da bi stoga usporedno trebalo povećati otpornost jezgre interneta;

I.  budući da je spremnost i osviještenost u pogledu kibersigurnosti među poduzećima, posebno malim i srednjim poduzećima i pojedincima, i dalje niska i da nedostaje kvalificiranih radnika (nedostatak radne snage povećao se za 20 % od 2015.), a da tradicionalni kanali zapošljavanja ne zadovoljavaju potražnju, među ostalim za upravljačke i interdisciplinarne položaje; budući da „gotovo 90 % radne snage u području kibersigurnosti na svjetskoj razini čine muškarci” i da „stalni nedostatak rodne raznolikosti dodatno ograničava kadrovsku bazu”(13);

J.  budući da države članice imaju različite kapacitete za kibersigurnost i da izvješćivanje o incidentima i međusobna razmjena informacija među državama nisu ni sustavni ni sveobuhvatni, a korištenje centara za razmjenu i analizu informacija za razmjenu informacija između javnog i privatnog sektora ne ostvaruje svoj potencijal;

K.  budući da na razini EU-a nije postignut dogovor o suradnji u području obavještajnih aktivnosti u kiberprostoru i zajedničkom odgovoru na kibernapade i hibridne napade; budući da je tehnički i geopolitički veoma teško za države članice da se same suočavaju s protumjerama protiv kiberprijetnji i kibernapada, posebno onih hibridne naravi;

L.  budući da su prekogranična razmjena podataka i globalna razmjena podataka važni za stvaranje vrijednosti pod uvjetom da su osigurana privatnost i prava intelektualnog vlasništva; budući da bi provedba stranih zakona o podacima mogla predstavljati rizik za kibersigurnost europskih podataka s obzirom na to da poduzeća koja posluju u različitim regijama podliježu obvezama koje se preklapaju bez obzira na lokaciju podataka ili njihovo podrijetlo;

M.  budući da kibersigurnost predstavlja svjetsko tržište od 600 milijardi EUR i da se očekuje da će se taj iznos brzo povećati, pri čemu je Unija neto uvoznik proizvoda i rješenja;

N.  budući da postoji rizik od fragmentacije jedinstvenog tržišta zbog nacionalnih propisa o kibersigurnosti i nedostatka horizontalnog zakonodavstva u pogledu osnovnih kibersigurnosnih zahtjeva za hardver i softver, uključujući povezane proizvode i aplikacije;

1.  pozdravlja inicijative koje je Komisija navela u zajedničkoj komunikaciji pod naslovom „Strategija EU-a za kibersigurnost za digitalno desetljeće”;

2.  poziva na promicanje razvoja sigurnih i pouzdanih mrežnih i informacijskih sustava, infrastrukture i povezivosti u cijeloj Uniji;

3.  poziva da se postavi cilj da svi proizvodi povezani s internetom u Uniji, uključujući proizvode za potrošnju i proizvode industrijsku primjenu, zajedno s cijelokupnim opskrbnim lancima koji ih čine dostupnima, budu konstruirani s ugrađenom sigurnošću, otpornošću na kiberincidente i mogućnošću brzog popravka kada se otkriju ranjivosti; pozdravlja planove Komisije o prijedlogu horizontalnog zakonodavstva o kibersigurnosnim zahtjevima za povezane proizvode i povezane usluge te traži da se takvim zakonodavstvom predloži usklađivanje nacionalnih zakona kako bi se izbjegla fragmentacija jedinstvenog tržišta; traži da se uzme u obzir postojeće zakonodavstvo (Akt o kibersigurnosti, novi zakonodavni okvir, Uredba o normizaciji) kako bi se izbjegle nejasnoće i rascjepkanost;

4.  poziva Komisiju da procijeni potrebu za prijedlogom horizontalne uredbe o uvođenju kibersigurnosnih zahtjeva za aplikacije, softver, ugrađeni softver i operativne sustave do 2023., na temelju pravne stečevine EU-a u pogledu zahtjeva za upravljanje rizicima; naglašava da zastarjele aplikacije, softver, ugrađeni softver i operativni sustavi (tj. oni koji više ne primaju redovite zakrpe i sigurnosne ažurirane verzije) predstavljaju nezanemariv udio svih povezanih uređaja i rizik za kibersigurnost; poziva Komisiju da taj aspekt uključi u svoj prijedlog; predlaže da bi u prijedlog trebalo uključiti obveze proizvođača da unaprijed objave informaciju o minimalnom razdoblju tijekom kojeg će pružati sigurnosne zakrpe i ažurirane verzije kako bi kupci mogli donijeti informiranu odluku; smatra da proizvođači moraju biti dio programa koordiniranog otkrivanja ranjivosti kao što je utvrđeno u prijedlogu druge direktive o sigurnosti mrežnih i informacijskih sustava (Direktiva NIS2);

5.  naglašava da bi kibersigurnost trebala biti ugrađena u digitalizaciju; stoga poziva na to da se u projekte digitalizacije koje financira Unija uvrste i kibersigurnosni zahtjevi; pozdravlja potporu za istraživanje i inovacije u području kibersigurnosti, posebno u pogledu disruptivnih tehnologija (kao što su kvantno računalstvo i kvantna kriptografija), čija bi pojava mogla destabilizirati međunarodnu ravnotežu; nadalje, poziva na daljnja istraživanja algoritama nakon kvantnih računala kao standarda kibersigurnosti;

6.  smatra da digitalizacija našeg društva znači da su svi sektori međusobno povezani i da slabosti u jednom sektoru mogu kočiti druge sektore; stoga insistira da se politike kibersigurnosti uključe u digitalnu strategiju EU-a i financiranje EU-a te da budu usklađene i interoperabilne među sektorima;

7.  poziva na dosljednu uporabu sredstava EU-a u pogledu kibersigurnosti i povezanog uvođenja infrastrukture; poziva Komisiju i države članice da osiguraju iskorištavanje sinergija povezanih s kibersigurnošću među različitim programima, posebno programom Obzor Europa, programom Digitalna Europa, svemirskim programom EU-a, Mehanizmom EU-a za oporavak i otpornost, fondom InvestEU i Instrumentom za povezivanje Europe, te da u potpunosti iskoriste Centar za stručnost u području kibersigurnosti i Mrežu nacionalnih koordinacijskih centara;

8.  podsjeća da je komunikacijska infrastruktura temelj svih digitalnih aktivnosti i da je jamčenje njezine sigurnosti strateški prioritet Unije; podržava trenutačni razvoj programa EU-a za kibersigurnosnu certifikaciju za 5G mreže; pozdravlja paket instrumenata EU-a za kibersigurnost 5G tehnologije i poziva Komisiju, države članice i industriju da nastave ulagati napore u postizanje sigurnih komunikacijskih mreža, uključujući mjere koje se odnose na cijeli lanac opskrbe; poziva Komisiju da izbjegne stvaranje ovisnosti o jednom pružatelju usluga i da poboljša sigurnost mreže promicanjem inicijativa kojima se poboljšava virtualizacija i stavljanje u oblak različitih komponenti mreža; poziva na brz razvoj sljedećih generacija komunikacijskih tehnologija s integriranom kibersigurnošću kao temeljnim načelom i jamčenjem zaštite privatnosti i osobnih podataka;

9.  podsjeća na važnost uspostave novog, čvrstog sigurnosnog okvira za kritične infrastrukture EU-a kako bi se zaštitili sigurnosni interesi EU-a i nadovezalo na postojeće kapacitete za primjereno reagiranje na rizike, prijetnje i tehnološke promjene;

10.  poziva Komisiju da pripremi odredbe kojima će se osigurati pristupačnost, dostupnost i integritet javne jezgre interneta, a time i stabilnost kiberprostora, posebno u pogledu pristupa EU-a globalnom sustavu naziva domena (engl. Domain Name System, DNS); smatra da bi takve odredbe trebale uključivati mjere za diversifikaciju dobavljača kako bi se ublažio trenutačni rizik od oslanjanja na mali broj poduzeća koja dominiraju na tržištu; pozdravlja prijedlog o europskom sustavu naziva domena (DNS4EU) kao alatu za otporniju jezgru interneta; traži od Komisije da ocijeni kako bi se u okviru tog sustava DNS4EU mogli koristiti najnovije tehnologije, sigurnosni protokoli i stručno znanje o kiberprijetnjama kako bi se svim Europljanima ponudio brz, siguran i otporan DNS; podsjeća da je nužna bolja zaštita protokola BGP (engl. Border Gateway Protocol) kako bi se spriječilo otimanje prometa u okviru BGP-a; podsjeća na svoju potporu modelu upravljanja internetom s više dionika, pri čemu bi kibersigurnost trebala predstavljati jednu od ključnih tema; naglašava da bi EU trebao ubrzati provedbu šeste verzije internetskog protokola (IPv6); prepoznaje model otvorenog koda koji se, kao temelj za funkcioniranje interneta, pokazao učinkovitim i djelotvornim; stoga potiče njegovu upotrebu;

11.  priznaje potrebu za povećanjem primjene forenzike u području kibersigurnosti radi borbe protiv kriminala, kiberkriminala i kibernapada, uključujući napade koje sponzoriraju države, ali upozorava na nerazmjerne mjere kojima se ugrožavaju privatnost i sloboda govora građana EU-a pri korištenju interneta; podsjeća da je potrebno dovršiti reviziju drugog dodatnog protokola uz Konvenciju iz Budimpešte o kibernetičkom kriminalu, koja ima potencijal za povećanje spremnosti na kiberkriminalitet;

12.  poziva Komisiju i države članice da udruže svoja sredstva kako bi ojačale stratešku otpornost EU-a, smanjile ovisnost o stranim tehnologijama i potaknule njegovo vodstvo i konkurentnost u području kibersigurnosti u cijelom digitalnom opskrbnom lancu (uključujući pohranu i obradu podataka u oblaku, tehnologije obrade, integrirane sklopove (čipove), ultrasigurnu povezivost, kvantno računalstvo i sljedeću generaciju mreža);

13.  smatra da je plan za ultrasigurnu infrastrukturu za povezivost važan instrument za sigurnost osjetljivih digitalnih komunikacija; pozdravlja najavu razvoja globalnog sigurnog komunikacijskog sustava EU-a s temeljima u svemiru koji uključuje tehnologije kvantne kriptografije; podsjeća da bi u suradnji s Agencijom Europske unije za svemirski program (EUSPA) i Europskom svemirskom agencijom (ESA) trebalo kontinuirano raditi na osiguravanju europskih svemirskih aktivnosti;

14.  žali zbog činjenice da privatni i javni sektor nisu dobro prihvatili prakse razmjene informacija u vezi s kiberprijetnjama i incidentima; poziva Komisiju i države članice da povećaju povjerenje i smanje prepreke za razmjenu informacija o kiberprijetnjama i kibernapadima na svim razinama; pozdravlja napore nekih sektora i poziva na međusektorsku suradnju s obzirom na to da su ranjivosti rijetko specifične za sektor; ističe da države članice moraju udružiti snage na europskoj razini kako bi mogle učinkovito razmjenjivati svoja najnovija saznanja o rizicima u pogledu kibersigurnosti; potiče osnivanje radne skupine država članica za obavještajne aktivnosti u kiberprostoru kako bi se potaknula razmjena informacija u EU-u i u europskom gospodarskom prostoru, posebno, kako bi se spriječili kibernapadi velikih razmjera;

15.  pozdravlja planirano osnivanje zajedničke jedinice za kibersigurnost s ciljem jačanja suradnje između tijela EU-a i tijela država članica odgovornih za sprečavanje kibernapada, odvraćanje od njih i odgovor na njih; poziva države članice i Komisiju da dodatno poboljšaju suradnju u području kiberobrane i razviju istraživanja o najsuvremenijim kapacitetima za kiberobranu;

16.  podsjeća na važnost ljudskog faktora u strategiji za kibersigurnost; poziva na stalne napore za širenje osviještenosti o kibersigurnosti, uključujući kiberhigijenu i kiberpismenost;

17.  naglašava važnost čvrstog i dosljednog sigurnosnog okvira za zaštitu cjelokupnog osoblja, podataka, komunikacijskih mreža i informacijskih sustava EU-a, kao i postupaka donošenja odluka, od kiberprijetnji na temelju sveobuhvatnih, dosljednih i homogenih pravila i odgovarajućeg upravljanja; poziva na to da se na raspolaganje stave dostatna sredstva i kapaciteti, među ostalim u kontekstu jačanja mandata CERT-EU-a i u pogledu tekućih rasprava o definiranju zajedničkih obvezujućih pravila o kibersigurnosti za sve institucije, tijela i agencije EU-a;

18.  poziva na širu upotrebu dobrovoljne certifikacije i standarda kibersigurnosti jer oni predstavljaju važne alate za poboljšanje opće razine kibersigurnosti; pozdravlja uspostavu europskog okvira za certifikaciju i rad Europske skupine za kibersigurnosnu certifikaciju; poziva ENISA-u i Komisiju da pri pripremi programa EU-a za kibersigurnosnu certifikaciju usluga računalstva u oblaku razmotre mogćnost proglašavanja obveznom primjenu prava EU-a u pogledu „visoke” razine jamstva;

19.  naglašava potrebu da se potražnja za radnom snagom u području kibersigurnosti uskladi sa smanjenjem nedostatka vještina daljnjim radom na obrazovanju i osposobljavanju; poziva na to da se posebna pozornost posveti uklanjanju rodnih razlika, koje su prisutne i u tom sektoru;

20.  priznaje potrebu za boljom potporom mikropoduzećima te malim i srednjim poduzećima kako bi ona bolje razumjela sve rizike povezane s informacijskom sigurnosti i mogućnosti za poboljšanje njihove kibersigurnosti; poziva ENISA-u i nacionalna tijela da razviju portale za samotestiranje i vodiče s primjerima najbolje prakse za mikropoduzeća te mala i srednja poduzeća; podsjeća na važnost osposobljavanja i pristupa namjenskom financiranju za sigurnost tih subjekata;

21.  nalaže svojem predsjedniku da ovu Rezoluciju proslijedi Komisiji, Vijeću te vladama i parlamentima država članica.

(1) SL L 151, 7.6.2019., str. 15. (2) SL L 153, 22.5.2014., str. 62. (3) SL L 321, 17.12.2018., str. 36. (4) SL L 347, 20.12.2013., str. 81. (5) SL L 347, 20.12.2013., str. 104. (6) SL L 166, 11.5.2021., str. 1. (7) SL L 207, 6.8.2010., str. 1. (8) Usvojeni tekstovi, P9_TA(2020)0359. (9) Usvojeni tekstovi, P9_TA(2021)0098. (10) Usvojeni tekstovi, P9_TA(2021)0261. (11) Usvojeni tekstovi, P9_TA(2021)0026. (12) SL C 23, 21.1.2021., str. 2. (13) Europski revizorski sud, Izazovi u pogledu djelotvornosti kibersigurnosne politike EU-a, informativni dokument, ožujak 2019.