Az Európai Unió Tanácsa Brüsszel, 2016. november 7. (OR. en) 13967/1/16 REV 1 FELJEGYZÉS AZ I/A NAPIRENDI PONTHOZ Küldi: Címzett: a Tanács Főtitkársága Előző dok. sz.: 11911/3/16 REV 3 Biz. dok. sz.: 11013/16 Tárgy: az Állandó Képviselők Bizottsága/a Tanács CYBER 122 COMPET 558 IND 229 RECH 302 TELECOM 213 Tervezet A Tanács következtetései az Európa kibertámadásokkal szembeni ellenálló képességének erősítése, valamint a versenyképes és innovatív kiberbiztonsági ágazat támogatása című bizottsági közleményről A következtetéstervezet elfogadása 1. Az elnökség barátai csoport (kiberpolitikai kérdések) (a továbbiakban: a csoport ) 2016. július 22-i ülésén a Bizottság ismertette az Európa kibertámadásokkal szembeni ellenálló képességének erősítése, valamint a versenyképes és innovatív kiberbiztonsági ágazat támogatása 1 című közleményét. A közlemény célja támogatni az európai kiberbiztonsági ágazat növekedését és előmozdítani a tagállamok közötti együttműködést (különösen jelentős kibertámadás esetén), a különféle rendelkezésre álló erőforrások maximalizálása mellett. 1 11013/16. 13967/1/16 REV 1 adt/af/ms 1 DG D 2B HU
2. A bizottsági tájékoztató után következő vitából, melynek alapját az elnökség által a legfőbb közvetítendő üzenetekről összeállított lista 2 képezte, egyértelműen kiviláglott, hogy a közleményben felvázolt kérdésekről stratégiai módon, előre kell gondolkodni, és az abban megfogalmazott célok elérése érdekében politikai elkötelezettségre van szükség. 3. A csoport szeptember 17-i ülésén az elnökség előterjesztette a következtetéstervezet első változatát 3, amely az említett listán, valamint a tagállamok hozzászólásain és írásbeli észrevételein alapult. Az első vita lehetővé tette a szöveg struktúrájának racionalizálását és az üzenetek koncentráltabbá tételét, figyelembe véve a nemrégiben elfogadott kiberbiztonsági irányelv folyamatban lévő végrehajtását is. 4. A szövegről még két alkalommal, a csoport 2016. október 7-i és 28-i ülésén folyt vita, és a delegációk írásbeli észrevételeinek segítségével sikerült lezárni a munkacsoporti szintű tárgyalásokat, és elkészíteni a végső kompromisszumos szöveget 4. 5. Ennek alapján felkérjük a COREPER-t, hogy kérje fel a Tanácsot az Európa kibertámadásokkal szembeni ellenálló képességének erősítéséről, valamint a versenyképes és innovatív kiberbiztonsági ágazat támogatásáról szóló, a mellékletben foglalt tanácsi következtetéstervezet jóváhagyására. 2 3 4 DS 1373/16. 11911/16. 11911/3/16 REV3. 13967/1/16 REV 1 adt/af/ms 2 DG D 2B HU
MELLÉKLET Tervezet A Tanács következtetései az Európa kibertámadásokkal szembeni ellenálló képességének erősítése, valamint a versenyképes és innovatív kiberbiztonsági ágazat támogatása című bizottsági közleményről AZ EURÓPAI UNIÓ TANÁCSA, EMLÉKEZTETVE: a Bizottságnak és az Európai Unió külügyi és biztonságpolitikai főképviselőjének Az Európai Unió kiberbiztonsági stratégiája: Nyílt, megbízható és biztonságos kibertér című közös közleményéről szóló következtetéseire 5 ; az Uniós kibervédelmi szakpolitikai keretre 6 ; a kiberdiplomáciáról szóló következtetéseire 7 ; a Bizottság Európai digitális egységes piaci stratégia című közleményére 8 ; a hibrid fenyegetések elleni küzdelemről szóló következtetéseire 9 ; A 2016 2020-as időszakra szóló e-kormányzati cselekvési tervről szóló következtetéseire 10. az Európa kibertámadásokkal szembeni ellenálló képességének erősítése, valamint a versenyképes és innovatív kiberbiztonsági ágazat támogatása című bizottsági közleményre 11 ; az Európai Unió kül- és biztonságpolitikájára vonatkozó globális stratégiáról szóló következtetéseire 12 ; 5 6 7 8 9 10 11 12 12109/13. 15585/14. 6122/15. COM(2015) 192 final, 2015. május 6. 7857/16. 12080/16. COM(2016) 410 final, 2016. július 5. 13202/16. 13967/1/16 REV 1 adt/af/ms 3
NYUGTÁZVA: a 2016 májusában Amszterdamban tartott magas szintű kiberbiztonsági konferencia eredményeit; a kibertérről szóló globális konferenciasorozat, azaz a 2011-es londoni, a 2012-es budapesti, a 2013-as szöuli és a 2015-ös hágai konferencia eredményeit; MEGÁLLAPÍTJA, HOGY: 1. a tagállamok, a Bizottság és egyéb uniós szervezetek a szubszidiaritási elvnek megfelelően, különösen az uniós kiberbiztonsági stratégia elfogadása óta szorosan együttműködnek annak érdekében, hogy előmozdítsák az európai kiberbiztonságot és kiberbiztonsági ellenálló képességet uniós és nemzeti szinten, és hogy ahhoz, hogy meg lehessen védeni az EU-t a kiberfenyegetések ellen, ugyanakkor átfogó és koherens kiberbiztonsági megközelítést lehessen fenntartani, elengedhetetlen a további intenzív és közös együttműködés; 2. a kiberfenyegetések és -sérülékenységek folyamatosan alakulnak és fokozódnak, ami azt jelenti, hogy folytatni kell és szorosabbra kell fűzni az együttműködést, különösen a nagy léptékű, határokon átnyúló kiberbiztonsági incidensek kezelése ügyében; 3. a kiberbiztonság kulcsszerepet tölt be a digitális egységes piac megfelelő működésében, mivel a kiberbiztonsági incidensek nem csupán súlyos fennakadásokkal járnak modern társadalmunkban, és jelentős károkat okoznak az európai vállalkozásoknak, hanem megrendíthetik a polgárok és a vállalkozások bizalmát a digitális társadalom iránt, és eltántoríthatnak a digitális technológiák használatától; 13967/1/16 REV 1 adt/af/ms 4
4. az új együttműködési mechanizmusokat létrehozó, nemrégiben elfogadott kiberbiztonsági irányelv 13, az idővel majd megújítandó uniós kiberbiztonsági stratégia, valamint a hamarosan felülvizsgálandó ENISA-rendelet alkotja a kibertámadásokkal szembeni ellenálló képesség uniós keretének sarokköveit; ebben a keretben kell hathatósan gondoskodni a tagállamok és az uniós szervezetek kiberbiztonságáról; 5. a mind a kiberbiztonsági incidensekre, mind azok elhárítására és hatásaik enyhítésére kiterjedő oktatás és képzés révén elsajátított, megfelelő kiberbiztonsági készségek a kiberbiztonsági ellenálló képesség megteremtésének egyik legfőbb aspektusát jelentik, amihez adott esetben a tagállamok, a Bizottság, az EKSZ, az ENISA, az Europol, az Eurojust, az EDA, valamint a NATO közötti együttműködés előmozdításának kell járulnia; 6. a kiberbiztonság megőrzéséhez, a kiberbiztonsági incidensek megelőzéséhez és azok hatásainak mérsékléséhez a stratégiai és az operatív együttműködés és információcsere egyaránt döntő fontosságú, mind a tagállamokon belül az ágazatok között, mind határokon átívelő összefüggésben. Az ilyen együttműködés nemcsak növeli a felkészültséget és az ellenálló képességet, hanem elősegíti a kölcsönös függőségek értelmezését, többek között a kritikus infrastruktúrák védelmére vonatkozó európai program megvalósításával; 7. a közös kockázatoknak és a nagy léptékű kiberbiztonsági incidensek hatásának a volumene a határokon átívelő és ágazatközi akár közszférabeli, akár magánszektorbeli kölcsönös függőségek mértékének meghatározásával mérhető fel; 8. a kiberbiztonsággal foglalkozó kkv-k és induló innovatív vállalkozások támogatása érdekében megfelelő finanszírozási kapacitást kell biztosítani a számukra, különösen forráshoz és beruházáshoz jutást, legfőképpen korai fejlődési szakaszukban; 9. a köz- és magánszféra közötti szerződéses kiberbiztonsági partnerségek kialakítása a Horizont 2020 keretében többletértékkel bír, amennyiben elősegíti a versenyképességet és az innovációt az európai kiberbiztonsági ágazatban; 13 Az Európai Parlament és a Tanács (EU) 2016/1148 irányelve a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről (HL L 194, 2016.7.19., 1. o.). 13967/1/16 REV 1 adt/af/ms 5
10. a digitális ágazatban megvalósított dinamikus technológiai fejlesztések, amelyek a legkülönfélébb ikt-termékek, -szolgáltatások és megoldások széles skáláját eredményezték, nem csupán új társadalmi és gazdasági, hanem biztonsági kihívásokat is hoztak magukkal, különösen az adatokkal kapcsolatban, amit még inkább figyelembe kell venni a digitális egységes piac fejlesztésénél, előmozdítva e kihívások kezelését; 11. az üzleti titkok számítógépes lopása potenciálisan káros az európai ipar innovációs és versenyképességére nézve, és ezért annak hatását tovább kell vizsgálni; 12. amint az az Európai Unió kül- és biztonságpolitikájára vonatkozó globális stratégiáról szóló tanácsi következtetésekben is kifejezésre jutott, a tagállamok közös célja, hogy hozzájáruljanak Európa stratégiai autonómiájához, a kibertérben is; HANGSÚLYOZZA, HOGY: 13. minden tagállam továbbra is maga felelős azért, hogy a Szerződések teljes körű tiszteletben tartása mellett meghozza azokat az intézkedéseket, amelyek a biztonságához kapcsolódó alapvető érdekek védelmének szavatolásához szükségesek; 14. a tagállamoknak kiemelt feladatként át kell ültetniük a kiberbiztonsági irányelvet nemzeti jogalkotási keretükbe, hogy az hathatósan elősegítse az újonnan létrehozott együttműködési csoporton és a CSIRT-hálózaton belüli együttműködést, aminek pozitív hatása lenne a kiberbiztonsági ellenálló képesség és a kiberbiztonság megerősödése, továbbá a nagy léptékű incidensek kezelése szempontjából; 15. az uniós szervezetek hálózati és információs biztonságának fokozását a kiberbiztonság teljes EU-ban való megerősítésére irányuló prioritás részének kell tekinteni; 16. ahhoz, hogy meg lehessen előzni a kiberbiztonsági incidenseket, illetve csökkenteni lehessen a kockázatukat, és meg lehessen teremteni a digitális egységes piac iránti bizalmat, kiberbiztonsági kapacitásépítésre és bizalomépítésre irányuló intézkedésekre van szükség; 13967/1/16 REV 1 adt/af/ms 6
17. ahhoz, hogy sikeresen el lehessen hárítani a kiberbiztonsági incidenseket, így a nyomásgyakorlási célú kiberműveleteket, és küzdeni lehessen a kiberbűnözés ellen, diplomáciai, jogi és technikai eszközökre, valamint az uniós és nemzeti szintű együttműködés fokozására van szükség; 18. az EU-nak teljes mértékben adaptálnia kell a beépített biztonság és adatvédelem szemléletét, hogy hathatós, kiváló színvonalú, megfizethető és interoperábilis kiberbiztonsági termékeket és szolgáltatásokat tudjon kidolgozni, nyújtani és üzembe helyezni, és intézkedéseket tudjon tenni annak érdekében, hogy e termékek piaca integráltabbá és globálisabbá váljon; 19. az ágazattal való kiberbiztonsági párbeszéd előmozdítása segítene feltárni a hiányosságokat a kiberbiztonsági tanúsítási és érvényesítési mechanizmusokat, valamint a jelölési rendszereket illetően, amelyeknél figyelembe kell venni a nemzetközileg elfogadott standardokat és elveket; 20. ahhoz, hogy Európa kibertámadásokkal szembeni ellenálló képessége ténylegesen működőképessé váljon, koherenciára van szükség az egyes fellépések és uniós szakpolitikák, pénzügyi eszközök és programok között; 21. a köz- és magánszféra közötti szerződéses kiberbiztonsági partnerségeknek nyitva kell állnia az újonnan csatlakozni kívánók előtt, és a csatlakozási feltételeknek transzparenseknek, a feltételekre vonatkozó információknak pedig a jövőben is könnyen elérhetőknek kell maradniuk. 13967/1/16 REV 1 adt/af/ms 7
FELSZÓLÍTJA A BIZOTTSÁGOT, HOGY: 22. teljesítse az Európa kibertámadásokkal szembeni ellenálló képességének erősítéséről szóló közleményben kitűzött célokat, különösen oly módon, hogy: a) 2017 első felében a kiberbiztonsági irányelv szerinti szervek és más érdekelt felek, különösen az ENISA általi mérlegelésre benyújt egy a nagy léptékű kiberbiztonsági incidensek uniós szintű elhárítására vonatkozó együttműködési tervet, figyelembe véve a terv komplementer jellegét; b) legkésőbb 2017 végéig lezárja az ENISA értékelését, az ENISA megbízatásának megújításához (többek között a kiberbiztonsági irányelvben előirányzott feladatokra való kiterjesztéséhez) kapcsolódó esetleges szempontokra vonatkozóan pedig mielőbb megteszi javaslatát; c) a tagállamokkal, az EKSZ-szel, az Europollal, az Eurojusttal, az ENISA-val, az EDAval és egyéb érintett uniós szervekkel szorosan együttműködve létrehoz egy kiberbiztonsági képzési platformot; d) megvizsgálja az ahhoz szükséges jogi és szervezeti feltételeket, hogy a tagállamok el tudják végezni a nyilvánosan hozzáférhető hálózati infrastruktúra rendszeres sérülékenységi ellenőrzését; e) adott esetben a meglévő hathatós biztonsági rendszerek figyelembevétele mellett megvizsgálja egy kiberbiztonsági tanúsítási és jelölési rendszer létrehozásának lehetőségét abból a célból, hogy a kihívások kezelése érdekében 2017-ig intézkedéseket, többek között jogalkotási intézkedéseket javasoljon; f) a kiberbiztonsági közösségben felhívja a figyelmet a meglévő finanszírozási mechanizmusokra, továbbá előmozdítja az innovatív kkv-k támogatására szolgáló uniós eszközök igénybevételét; g) megvizsgálja, hogyan lehetne a kkv-k és az induló innovatív vállalkozások, különösen a korai fejlődési szakaszban lévő vállalkozások számára elősegíteni a forráshoz és beruházáshoz jutást (például egy külön erre a célra szolgáló kiberbiztonsági beruházási platformmal); h) adott esetben értékeli az európai információmegosztási és -elemzési központok jelenlegi működését, továbbá a tagállamokkal és adott esetben a meglévő központokkal együtt olyan javaslatok kidolgozására törekszik, amelyek révén ezek a struktúrák tovább erősíthetők; i) előmozdítja a beépített biztonság szemléletét a nagy, digitális összetevővel rendelkező és az európai alapokból társfinanszírozott infrastrukturális beruházások esetében; 13967/1/16 REV 1 adt/af/ms 8
23. új mechanizmusok és struktúrák (például információs központ vagy magas szintű tanácsadó csoport) létrehozása, illetve új eszközök (például együttműködési terv) bevezetése előtt egyeztet a tagállamokkal a kiberbiztonságról, ezek egymást kiegészítő szerepéről, céljaikról és feladataikról; 24. évente írásban beszámol a Tanácsnak az elért eredményekről. FELKÉRI A TAGÁLLAMOKAT, HOGY 25. teljes mértékben tegyék működőképessé a kiberbiztonsági együttműködési mechanizmusokat, és fokozzák az együttműködést a nagy léptékű kiberbiztonsági incidensek megelőzésére, kezelésére és/vagy a hatásuk mérséklésére való felkészültség ügyében, tiszteletben tartva a kiberbiztonsági irányelvben közösen elfogadott elveket és rendelkezéseket; 26. aktívan vegyenek részt a köz- és magánszféra közötti szerződéses kiberbiztonsági partnerségekben az európai ipar versenyképességének, és az általa végzett kutatásnak és innovációnak a megerősítése érdekében; 27. a Bizottsággal együttműködve, figyelembe véve a kiberbiztonsági termékek és szolgáltatások tanúsítására vonatkozó globális keret kifejlesztését, összhangban a nemzetközi standardokkal, szakértők bevonásával dolgozzannak egy olyan nyitott európai keret létrehozásán, amely a legkülönfélébb biztonsági szintű ikt-rendszerek és -megoldások széles körére kiterjed, és amely minden tagállamban alkalmazható lenne, azzal a céllal, hogy valódi és biztonságos digitális egységes piac jöjjön létre, és Európa vezető szerepet töltsön be a szabványosítás terén; 28. működjenek együtt a Bizottsággal és egyéb érintett felekkel az e következtetésekben meghatározott stratégiai célkitűzések elérése érdekében. 13967/1/16 REV 1 adt/af/ms 9
FELKÉRI AZ ÉRINTETT ÉRDEKELTEKET, HOGY: 29. alkalmazzák a kiberbiztonsági legjobb gyakorlatokat, támogassák a figyelemfelhívást és a készségek javítását, és fejlesszék a képzést a kiberbiztonság területén; 30. mérlegeljek a kiváló színvonalú kiberbiztonsági termékek és szolgáltatások piacába való beruházás fokozását, és adott esetben mélyítsék el a hatóságokkal, többek között a CERTekkel való együttműködést; 31. az ágazati együttműködés előmozdítása érdekében a lehető legjobban aknázzák ki a köz- és magánszféra közötti szerződéses kiberbiztonsági partnerségek és az európai információmegosztási és -elemzési központok adta lehetőségeket, különösen a kutatás és innováció, a szabványosítás, a tanúsítás, a jelölés, a közös beruházás és az ipari konszolidáció területén; 32. az európai ipar ellenálló képességének megerősítése érdekében járuljanak hozzá proaktívan az e következtetésekben meghatározott stratégiai célkitűzésekhez; 33. kiemelten törekedjenek a kiberbiztonsági megoldások alkalmazásának elterjesztésére minden ágazatban és az összes felhasználó körében. 13967/1/16 REV 1 adt/af/ms 10