Parlamentul European,

–  având în vedere comunicarea comună a Comisiei și a Înaltului Reprezentant al Uniunii pentru afaceri externe și politica de securitate din 16 decembrie 2020 intitulată „Strategia de securitate cibernetică a UE pentru deceniul digital” (JOIN(2020)0018),

–  având în vedere propunerea Comisiei din 16 decembrie 2020 de directivă a Parlamentului European și a Consiliului privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, de abrogare a Directivei (UE) 2016/1148 (COM(2020)0823),

–  având în vedere propunerea Comisiei din 24 septembrie 2020 de regulament al Parlamentului European și al Consiliului privind reziliența operațională digitală pentru sectorul financiar și de modificare a Regulamentelor (CE) nr. 1060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014 și (UE) nr. 909/2014 (COM(2020)0595),

–  având în vedere propunerea Comisiei din 12 septembrie 2018 de regulament al Parlamentului European și al Consiliului de instituire a Centrului de competențe european industrial, tehnologic și de cercetare în materie de securitate cibernetică și a Rețelei de centre naționale de coordonare (COM(2018)0630),

–  având în vedere comunicarea Comisiei din 19 februarie 2020 intitulată „Conturarea viitorului digital al Europei” (COM(2020)0067),

–  având în vedere Regulamentul (UE) nr. 2019/881 al Parlamentului European și al Consiliului din 17 aprilie 2019 privind ENISA (Agenția Uniunii Europene pentru Securitate Cibernetică) și privind certificarea securității cibernetice pentru tehnologia informației și comunicațiilor și de abrogare a Regulamentului (UE) nr. 526/2013 (Regulamentul privind securitatea cibernetică)(1),

–  având în vedere Directiva 2014/53/UE a Parlamentului European și a Consiliului din 16 aprilie 2014 privind armonizarea legislației statelor membre referitoare la punerea la dispoziție pe piață a echipamentelor radio și de abrogare a Directivei 1999/5/CE(2),

–  având în vedere Directiva (UE) 2018/1972 a Parlamentului European și a Consiliului din 11 decembrie 2018 de instituire a Codului european al comunicațiilor electronice(3),

–  având în vedere Regulamentul (UE) nr. 1290/2013 al Parlamentului European și al Consiliului din 11 decembrie 2013 de stabilire a normelor de participare și diseminare pentru „Programul-cadru pentru cercetare și inovare (2014-2020) – „Orizont 2020” și de abrogare a Regulamentului (CE) nr. 1906/2006(4),

–  având în vedere Regulamentul (UE) nr. 1291/2013 al Parlamentului European și al Consiliului din 11 decembrie 2013 de instituire a Programului-cadru pentru cercetare și inovare (2014-2020) - Orizont 2020 și de abrogare a Deciziei nr. 1982/2006/CE(5),

–  având în vedere Regulamentul (UE) 2021/694 al Parlamentului European și al Consiliului din 29 aprilie 2021 de instituire a programului „Europa digitală” și de abrogare a Deciziei (UE) 2015/2240(6),

–  având în vedere Directiva 2010/40/UE a Parlamentului European și a Consiliului din 7 iulie 2010 privind cadrul pentru implementarea sistemelor de transport inteligente în domeniul transportului rutier și pentru interfețele cu alte moduri de transport(7),

–  având în vedere Convenția de la Budapesta din 23 noiembrie 2001 privind criminalitatea informatică (ETS nr. 185),

–  având în vedere rezoluția sa din 16 decembrie 2020 referitoare la o nouă strategie pentru IMM-urile europene(8),

–  având în vedere rezoluția sa din 25 martie 2021 referitoare la o strategie europeană privind datele(9),

–  având în vedere rezoluția sa din 20 mai 2021 referitoare la conturarea viitorului digital al Europei: înlăturarea barierelor din calea funcționării pieței unice digitale și îmbunătățirea utilizării IA pentru consumatorii europeni(10),

–  având în vedere rezoluția sa din 21 ianuarie 2021 referitoare la eliminarea decalajului digital dintre femei și bărbați: participarea femeilor la economia digitală(11),

–  având în vedere rezoluția sa din 12 martie 2019 referitoare la amenințările la adresa securității în legătură cu prezența tehnologică în creștere a Chinei în UE și posibilele acțiuni la nivelul UE de reducere a acestora(12),

–  având în vedere întrebarea adresată Comisiei referitoare la Strategia de securitate cibernetică a UE pentru deceniul digital (O-000037/2021 – B9‑0024/2021),

–  având în vedere articolul 136 alineatul (5) și articolul 132 alineatul (2) din Regulamentul său de procedură,

A.  întrucât transformarea digitală este o prioritate strategică esențială a Uniunii, care este asociată în mod inevitabil cu o expunere mai mare la amenințările cibernetice;

B.  întrucât dispozitivele conectate, inclusiv mașinile, senzorii, componentele industriale și rețelele care alcătuiesc internetul obiectelor, continuă să crească în număr, preconizându-se că 22,3 miliarde de dispozitive vor fi conectate la internetul obiectelor la nivel mondial până în 2024, sporind astfel expunerea la atacurile cibernetice;

C.  întrucât progresul tehnologic — cum ar fi informatica cuantică — și asimetriile în ceea ce privește accesul ar putea reprezenta o provocare pentru peisajul securității cibernetice;

D.  întrucât criza provocată de pandemia de COVID-19 a evidențiat și mai mult vulnerabilitățile cibernetice în unele sectoare critice, în special în domeniul asistenței medicale, iar măsurile asociate de telemuncă și distanțare socială au sporit dependența noastră de tehnologiile digitale și de conectivitate, în timp ce atacurile cibernetice și criminalitatea informatică, inclusiv spionajul și sabotajul, precum și accesarea și manipularea sistemelor, structurilor și rețelelor TIC prin intermediul instalării răuvoitoare și ilegale, sunt din ce în ce mai numeroase și mai sofisticate în întreaga Europă;

E.  întrucât numărul atacurilor cibernetice este în creștere semnificativă, după cum reiese din recenta serie de atacuri cibernetice răuvoitoare și organizate asupra sistemelor de sănătate, cum ar fi cele din Irlanda, Finlanda și Franța; întrucât aceste atacuri cibernetice provoacă daune semnificative sistemelor de sănătate și de îngrijire a pacienților, precum și altor instituții publice și private sensibile;

F.  întrucât amenințările hibride sunt din ce în ce mai numeroase, inclusiv utilizarea campaniilor de dezinformare și a atacurilor cibernetice asupra infrastructurii, proceselor economice și instituțiilor democratice, și devin o problemă gravă atât în lumea fizică, cât și în cea cibernetică, și riscă să afecteze procesele democratice, cum ar fi alegerile, procedurile legislative, aplicarea legii și justiția;

G.  întrucât se recurge din ce în ce mai mult la funcția de bază a internetului și a serviciilor esențiale de internet pentru comunicare și găzduire, aplicații și date, pentru care cota de piață este concentrată progresiv în tot mai puține companii;

H.  întrucât capacitățile de atac vizând blocarea accesului distribuite sunt în creștere și, prin urmare, reziliența nucleului internetului ar trebui să crească în paralel;

I.  întrucât gradul de pregătire și de sensibilizare în materie de securitate cibernetică în rândul întreprinderilor, în special al IMM-urilor și al persoanelor fizice, rămâne scăzut și există un deficit de lucrători calificați (deficitul de forță de muncă a crescut cu 20 % din 2015), canalele tradiționale de recrutare nesatisfăcând cererea, inclusiv pentru funcții de conducere și interdisciplinare; întrucât „aproape 90 % din forța de muncă la nivel mondial în domeniul securității cibernetice este masculină” și „lipsa persistentă a diversității de gen limitează și mai mult rezerva de talente”(13);

J.  întrucât capacitățile de securitate cibernetică sunt eterogene în rândul statelor membre, iar raportarea incidentelor și schimbul de informații între acestea nu sunt nici sistematice, nici cuprinzătoare, în timp ce utilizarea centrelor de schimb de informații și de analiză (ISAC) pentru schimbul de informații între sectorul public și cel privat nu își valorifică potențialul;

K.  întrucât nu există un acord la nivelul UE cu privire la colaborarea în materie de inteligență cibernetică și la răspunsul colectiv la atacurile cibernetice și hibride; întrucât măsurile de contracarare a amenințărilor cibernetice și a atacurilor cibernetice, în special a celor de natură hibridă, sunt foarte dificile din punct de vedere tehnic și geopolitic pentru ca statele membre să le abordeze singure;

L.  întrucât schimbul transfrontalier de date și schimbul global de date sunt importante pentru crearea de valoare, cu condiția să se asigure respectarea vieții private și a drepturilor intelectuale și de proprietate; întrucât aplicarea legislației străine în materie de date ar putea prezenta un risc de securitate cibernetică pentru datele europene, având în vedere că întreprinderile care își desfășoară activitatea în regiuni diferite sunt supuse unor obligații care se suprapun, indiferent de locul în care se află datele sau de originea acestora;

M.  întrucât securitatea cibernetică reprezintă o piață globală de 600 de miliarde EUR, această sumă urmând să crească rapid, iar Uniunea este un importator net de produse și soluții;

N.  întrucât există un risc de fragmentare a pieței unice din cauza reglementărilor naționale privind securitatea cibernetică și a lipsei unei legislații orizontale privind cerințele esențiale de securitate cibernetică pentru hardware și software, inclusiv pentru produsele și aplicațiile conectate,

1.  salută inițiativele prezentate de Comisie în comunicarea comună intitulată „Strategia de securitate cibernetică a UE pentru deceniul digital”;

2.  solicită promovarea dezvoltării unor rețele și sisteme informatice, a infrastructurii și a conectivității sigure și fiabile în întreaga Uniune;

3.  solicită să se stabilească obiectivul ca toate produsele conectate la internet din Uniune, inclusiv cele destinate utilizării de către consumatori și industrie, împreună cu toate lanțurile de aprovizionare care le pun la dispoziție, să fie securizate începând cu momentul conceperii, să fie rezistente la incidentele cibernetice și să fie protejate rapid atunci când sunt descoperite vulnerabilități; salută planurile Comisiei de a propune o legislație orizontală privind cerințele de securitate cibernetică pentru produsele conectate și serviciile conexe și solicită ca această legislație să propună armonizarea legislațiilor naționale pentru a evita fragmentarea pieței unice; solicită ca legislația existentă (Legea privind securitatea cibernetică, noul cadru legislativ, Regulamentul privind standardizarea) să fie luată în considerare pentru a se evita ambiguitatea și fragmentarea;

4.  invită Comisia să evalueze necesitatea unei propuneri de regulament orizontal care să introducă cerințe de securitate cibernetică pentru aplicații, software, software încorporat și sisteme de operare până în 2023, pe baza acquis-ului UE privind cerințele de gestionare a riscurilor; subliniază că aplicațiile, programele informatice, programele informatice integrate și sistemele de operare depășite (adică cele care nu mai primesc corecții regulate și actualizări de securitate) reprezintă o proporție deloc neglijabilă din totalul dispozitivelor conectate și un risc de securitate cibernetică; invită Comisia să includă acest aspect în propunerea sa; sugerează că propunerea ar trebui să includă obligații pentru producători de a comunica în avans perioada minimă în care vor sprijini corecțiile de securitate și actualizările pentru a permite cumpărătorilor să facă alegeri în cunoștință de cauză; consideră că producătorii trebuie să facă parte din programul de divulgare coordonată a vulnerabilităților (CVD), așa cum se prevede în propunerea de directivă NIS2;

5.  subliniază că securitatea cibernetică ar trebui să fie integrată în digitalizare; solicită, prin urmare, ca proiectele de digitalizare finanțate de Uniune să includă cerințe în materie de securitate cibernetică; salută sprijinul pentru cercetare și inovare în domeniul securității cibernetice, în special în ceea ce privește tehnologiile disruptive (cum ar fi informatica cuantică și criptografia cuantică), a căror apariție ar putea destabiliza echilibrul internațional; solicită, în plus, cercetări suplimentare cu privire la algoritmii postcuantici ca standard de securitate cibernetică;

6.  consideră că digitalizarea societății noastre înseamnă că toate sectoarele sunt interconectate, iar deficiențele dintr-un sector pot obstrucționa alte sectoare; insistă, prin urmare, ca politicile de securitate cibernetică să fie incluse în strategia digitală a UE și în finanțarea UE și să fie coerente și interoperabile între sectoare;

7.  solicită o utilizare coerentă a fondurilor UE în ceea ce privește securitatea cibernetică și instalarea infrastructurii aferente; invită Comisia și statele membre să se asigure că sinergiile legate de securitatea cibernetică dintre diferitele programe sunt exploatate, în special programul Orizont Europa, programul Europa digitală, Programul spațial al UE, Mecanismul de redresare și reziliență al UE, InvestEU și MIE, precum și să utilizeze pe deplin Centrul și rețeaua de competențe în materie de securitate cibernetică;

8.  reamintește că infrastructura de comunicații este piatra de temelie a tuturor activităților digitale și că asigurarea securității sale este o prioritate strategică pentru Uniune; sprijină dezvoltarea actuală a sistemului UE de certificare a securității cibernetice pentru rețelele 5G; salută setul de instrumente al UE privind securitatea cibernetică a tehnologiei 5G și invită Comisia, statele membre și industria să își continue eforturile în direcția unor rețele de comunicații securizate, inclusiv măsuri privind întregul lanț de aprovizionare; invită Comisia să evite dependența de furnizori și să sporească securitatea rețelelor prin promovarea inițiativelor care sporesc virtualizarea și cloudificarea diferitelor componente ale rețelelor; solicită dezvoltarea rapidă a următoarelor generații de tehnologii de comunicații, securitatea cibernetică din faza de proiectare fiind un principiu fundamental și asigurând protecția vieții private și a datelor cu caracter personal;

9.  reiterează importanța instituirii unui nou cadru de securitate solid pentru infrastructurile critice ale UE, cu scopul de a proteja interesele de securitate ale UE și de a valorifica capacitățile existente pentru a răspunde în mod adecvat riscurilor, amenințărilor și schimbărilor tehnologice;

10.  invită Comisia să pregătească dispoziții pentru a asigura accesibilitatea, disponibilitatea și integritatea nucleului public al internetului și, prin urmare, stabilitatea spațiului cibernetic, în special în ceea ce privește accesul UE la sistemul global cu servere de rădăcină DNS („DNS root system”); consideră că astfel de dispoziții ar trebui să includă măsuri de diversificare a furnizorilor pentru a atenua riscul actual de dependență de puținele companii care domină piața; salută propunerea privind un sistem european de nume de domenii (DNS4EU) ca instrument pentru un nucleu de internet mai rezilient; solicită Comisiei să evalueze modul în care acest DNS4EU ar putea utiliza cele mai recente tehnologii, protocoale de securitate și expertiză în materie de amenințări cibernetice pentru a oferi un DNS rapid, sigur și rezilient pentru toți europenii; reamintește necesitatea unei mai bune protecții a Protocolului privind portalul de frontieră („Border Gateway Protocol” - BGP) pentru a preveni deturnările de BGP; reamintește sprijinul său pentru un model multipartit de guvernanță a internetului, pentru care securitatea cibernetică ar trebui să reprezinte unul dintre subiectele centrale; subliniază că UE ar trebui să accelereze punerea în aplicare a IPv6; recunoaște modelul cu sursă deschisă care, ca bază pentru funcționarea internetului, s-a dovedit a fi eficient și eficace; încurajează, prin urmare, utilizarea sa;

11.  recunoaște necesitatea intensificării criminalisticii în materie de securitate cibernetică pentru a combate criminalitatea, criminalitatea informatică și atacurile cibernetice, inclusiv atacurile sponsorizate de stat, dar avertizează cu privire la măsurile disproporționate care pun în pericol viața privată și libertatea de exprimare a cetățenilor UE în timpul utilizării internetului; reamintește necesitatea de a încheia revizuirea celui de al doilea protocol adițional la Convenția de la Budapesta privind criminalitatea informatică, care are potențialul de a spori gradul de pregătire împotriva criminalității informatice;

12.  invită Comisia și statele membre să își pună în comun resursele pentru a consolida reziliența strategică a UE, pentru a-și reduce dependența de tehnologiile străine și pentru a-și consolida poziția de lider și competitivitatea în materie de securitate cibernetică de-a lungul lanțului de aprovizionare digital [inclusiv stocarea și prelucrarea datelor în cloud, tehnologiile procesatorilor, circuitele integrate (cipurile), conectivitatea ultra-securizată, informatica cuantică și următoarea generație de rețele];

13.  consideră că planul pentru o infrastructură de conectivitate extrem de sigură este un instrument important pentru securitatea comunicațiilor digitale sensibile; salută anunțul privind dezvoltarea unui sistem global de comunicații securizate bazat pe spațiu al UE, care să integreze tehnologiile de criptare cuantică; reamintește că ar trebui depuse eforturi continue, în cooperare cu Agenția Uniunii Europene pentru Programul Spațial (EUSPA) și Agenția Spațială Europeană (ESA), pentru a securiza activitățile spațiale europene;

14.  regretă faptul că practicile de schimb de informații legate de amenințările și incidentele cibernetice nu au fost bine primite de sectorul public și cel privat; invită Comisia și statele membre să sporească încrederea și să reducă barierele din calea schimbului de informații privind amenințările cibernetice și atacurile cibernetice la toate nivelurile; salută eforturile depuse de unele sectoare și solicită colaborarea transsectorială, deoarece vulnerabilitățile sunt rareori specifice fiecărui sector; subliniază că statele membre trebuie să își unească forțele la nivel european, pentru a-și împărtăși în mod eficient cele mai recente cunoștințe privind riscurile de securitate cibernetică; încurajează formarea unui grup de lucru al statelor membre privind informațiile cibernetice, pentru a promova schimbul de informații în UE și în spațiul economic european, în special pentru a preveni atacurile cibernetice la scară largă;

15.  salută instituirea planificată a unei unități comune de securitate cibernetică pentru a consolida cooperarea dintre organismele UE și autoritățile statelor membre responsabile de prevenirea, descurajarea și răspunsul la atacurile cibernetice; invită statele membre și Comisia să consolideze în continuare cooperarea în domeniul apărării cibernetice și să dezvolte cercetarea în domeniul capabilităților de apărare cibernetică de ultimă generație;

16.  reamintește importanța factorului uman în strategia de securitate cibernetică; solicită continuarea eforturilor de sensibilizare cu privire la securitatea cibernetică, inclusiv în ceea ce privește igiena cibernetică și alfabetizarea cibernetică;

17.  subliniază importanța unui cadru de securitate solid și coerent pentru a proteja întregul personal, toate datele, rețelele de comunicații și sistemele informatice ale UE, precum și procesele decizionale împotriva amenințărilor cibernetice, pe baza unor norme cuprinzătoare, consecvente și omogene și a unei guvernanțe adecvate; solicită punerea la dispoziție a unor resurse și capacități suficiente, inclusiv în contextul consolidării mandatului CERT-UE și în ceea ce privește discuțiile în curs privind definirea unor norme comune obligatorii privind securitatea cibernetică pentru toate instituțiile, organele și agențiile UE;

18.  solicită utilizarea pe scară mai largă a certificării voluntare și a standardelor de securitate cibernetică, deoarece acestea reprezintă instrumente importante de îmbunătățire a nivelului general de securitate cibernetică; salută instituirea Cadrului european de certificare și activitatea Grupului european pentru certificarea securității cibernetice; invită ENISA și Comisia ca, atunci când pregătesc sistemul UE de certificare a securității cibernetice pentru serviciile de cloud computing, să aibă în vedere obligativitatea aplicării legislației UE în ceea ce privește nivelul de asigurare „ridicat”;

19.  subliniază necesitatea de a corela cererea de forță de muncă în domeniul securității cibernetice cu eliminarea lacunelor în materie de competențe prin continuarea eforturilor în domeniul educației și formării; solicită să se acorde o atenție deosebită eliminării disparităților de gen, prezente și în acest sector;

20.  recunoaște necesitatea unui sprijin mai susținut pentru microîntreprinderi și pentru întreprinderile mici și mijlocii pentru o mai bună înțelegere a tuturor riscurilor pentru securitatea informațiilor și a oportunităților de îmbunătățire a securității cibernetice a acestora; invită ENISA și autoritățile naționale să dezvolte portaluri de autotestare și ghiduri de bune practici pentru microîntreprinderi și întreprinderile mici și mijlocii; reamintește importanța formării și a accesului la finanțare specifică pentru securitatea acestor entități;

21.  încredințează Președintelui sarcina de a transmite prezenta rezoluție Comisiei, Consiliului, precum și guvernelor și parlamentelor statelor membre.

(1) JO L 151, 7.6.2019, p. 15. (2) JO L 153, 22.5.2014, p. 62. (3) JO L 321, 17.12.2018, p. 36. (4) JO L 347, 20.12.2013, p. 81. (5) JO L 347, 20.12.2013, p. 104. (6) JO L 166, 11.5.2021, p. 1. (7) JO L 207, 6.8.2010, p. 1. (8) Texte adoptate, P9_TA(2020)0359. (9) Texte adoptate, P9_TA(2021)0098. (10) Texte adoptate, P9_TA(2021)0261. (11) Texte adoptate, P9_TA(2021)0026. (12) JO C 23, 21.1.2021, p 2. (13) Curtea de Conturi Europeană - Provocări pentru o politică eficace a UE în domeniul securității cibernetice, document de informare, martie 2019.