EVROPSKÁ KOMISE V Bruselu dne 13.9.2017 COM(2017) 478 final ZPRÁVA KOMISE EVROPSKÉMU PARLAMENTU A RADĚ o hodnocení Agentury Evropské unie pro bezpečnost sítí a informací (ENISA) CS CS
1. ÚVOD 1.1 O AGENTUŘE ENISA Agentura Evropské unie pro bezpečnost sítí a informací (ENISA) byla původně zřízena v roce 2004 a její mandát byl pravidelně obnovován. Současný mandát agentury ENISA je stanoven nařízením (EU) č. 526/2013 1 (dále jen nařízení ENISA ) a má skončit dne 19. června 2020. Mandátem agentury ENISA je přispívat k vysoké úrovni bezpečnosti sítí a informací v Unii. Nařízení ENISA popisuje konkrétní cíle agentury a stanoví, že agentura: rozvíjí a udržuje vysokou úroveň odborných znalostí, je nápomocna orgánům, institucím a jiným subjektům Unie při rozvíjení politik v oblasti bezpečnosti sítí a informací, je nápomocna orgánům, institucím a jiným subjektům Unie a členským státům při provádění politik, které jsou nezbytné k plnění právních a regulačních požadavků na bezpečnost sítí a informací podle stávajících i budoucích právních aktů Unie, a přispívá tím k řádnému fungování vnitřního trhu, je nápomocna Unii a členským státům při zvyšování a posilování jejich schopnosti a připravenosti předcházet problémům a incidentům v oblasti bezpečnosti sítí a informací, odhalovat je a reagovat na ně, využívá svých odborných znalostí k tomu, aby podněcovala širokou spolupráci subjektů z veřejného a soukromého sektoru. Kromě toho spolunormotvůrci EU rozhodli prostřednictvím směrnice č. 2016/1148 2 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (dále jen směrnice NIS ) přidělit agentuře ENISA důležité úlohy při provádění právních předpisů. Agentura zejména zajišťuje služby sekretariátu pro síť CSIRT (zřízenou za účelem podpory rychlé a účinné operativní spolupráce mezi členskými státy) a je rovněž určena k tomu, aby byla nápomocna skupině pro strategickou spolupráci při plnění jejích úkolů. Kromě toho směrnice NIS požaduje, aby agentura ENISA pomáhala členským státům a Komisi poskytováním odborných znalostí a poradenství a usnadňováním výměny osvědčených postupů. Agentura se nachází v Řecku, správní sídlo má v Heraklionu (Kréta) a hlavní činnosti provozuje v Aténách. Má 84 zaměstnanců a roční provozní rozpočet ve výši 11,25 milionu EUR. V jejím čele stojí výkonný ředitel a řízení zajišťuje správní rada, výkonná rada a stálá skupina zúčastněných stran. Kontakty s členskými státy usnadňuje neformální síť národních styčných úředníků. 1.2 ÚČEL ZPRÁVY Článek 32 nařízení ENISA vyžaduje, aby Komise provedla do 20. června 2018 hodnocení agentury ENISA, které posoudí zejména dopad, účinnost a účelnost agentury a jejích pracovních postupů, a zvážila, zda je třeba stávající mandát prodloužit. 1 http://eur-lex.europa.eu/legal-content/en/txt/?qid=1495472820549&uri=celex:32013r0526 2 http://eur-lex.europa.eu/legalcontent/en/txt/?uri=uriserv:oj.l_.2016.194.01.0001.01.eng&toc=oj:l:2016:194:toc 2
Vzhledem k významným změnám, k nimž došlo v prostředí kybernetické bezpečnosti od roku 2013, kdy bylo přijato stávající nařízení ENISA, a s ohledem na dosaženou úroveň vyspělosti v oblasti politiky, trhu a technologie oznámila Komise ve svém sdělení z roku 2016 o posílení evropského systému kybernetické odolnosti a podpoře konkurenceschopného a inovativního odvětví kybernetické bezpečnosti 3, že hodnocení a přezkum agentury ENISA uspíší. Komise zejména upozornila na skutečnost, že přezkum agentury ENISA poskytne příležitost pro možné posílení schopností a kapacit agentury podporovat udržitelným způsobem členské státy při dosahování odolnosti z hlediska kybernetické bezpečnosti. Tato vize byla dále potvrzena v závěrech Rady z roku 2016 4, v nichž bylo uznáno, že se kybernetické hrozby a zranitelnost i nadále vyvíjejí a nabývají na intenzitě, což bude vyžadovat další a užší spolupráci, zejména při řešení přeshraničních incidentů velkého rozsahu v oblasti kybernetické bezpečnosti. Závěry potvrdily, že nařízení ENISA je jedním ze základních prvků rámce pro kybernetickou odolnost EU. Výsledky hodnocení agentury ENISA byly zahrnuty do posouzení dopadů připojeného k návrhu nařízení o Agentuře Evropské unie pro bezpečnost sítí a informací (agentuře ENISA, agentuře EU pro kybernetickou bezpečnost ) a zrušení nařízení (EU) č. 526/2013 a o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií (dále jen akt o kybernetické bezpečnosti ). Podle článku 32 nařízení ENISA předá Komise hodnotící zprávu společně se svými závěry Evropskému parlamentu, Radě a správní radě. K této souhrnné zprávě je připojen pracovní dokument útvarů Komise o hodnocení Agentury Evropské unie pro bezpečnost sítí a informací (SWD(2017) 502). 2. HLAVNÍ ZJIŠTĚNÍ HODNOCENÍ V souladu s pokyny Komise pro zlepšování právní úpravy 5 hodnocení posoudilo výkonnost, správu, vnitřní organizační strukturu a pracovní postupy agentury z hlediska účinnosti, efektivnosti, soudržnosti, relevance a přidané hodnoty EU. Analýza rovněž zohlednila vyvíjející se kontext, v němž nyní agentura provozuje činnost, zejména pokud jde o: nový regulační a politický rámec EU (např. směrnice NIS, přezkum strategie kybernetické bezpečnosti EU), vyvíjející se potřeby komunity zúčastněných stran agentury a doplňování se a možnou součinnost s činností dalších evropských a vnitrostátních orgánů, agentur a subjektů, např. se skupinou pro reakci na počítačové hrozby v evropských orgánech, institucích a jiných subjektech (CERT-EU) a s Evropským centrem pro boj proti kyberkriminalitě (EC3) při Europolu. Za účelem hodnocení činnosti agentury: Komise zadala nezávislou studii, jež probíhala od listopadu 2016 do července 2017 a která spolu s interní analýzou provedenou Komisí představuje hlavní zdroj hodnocení. 3 4 5 Sdělení Komise o posílení evropského systému kybernetické odolnosti a podpoře konkurenceschopného a inovativního odvětví kybernetické bezpečnosti, COM(2016) 0410 final. Závěry Rady o posílení evropského systému kybernetické odolnosti a o podpoře konkurenceschopného a inovativního odvětví kybernetické bezpečnosti 15. listopad 2016. COM(2015) 215 final SWD(2015) 111 final; http://ec.europa.eu/smart-regulation/guidelines/docs/swd_br_guidelines_en.pdf 3
Činnosti provedené v rámci studie zahrnovaly sekundární výzkum, sběr údajů a analýzu, včetně průzkumů mezi zúčastněnými stranami, podrobných rozhovorů s klíčovými aktéry v oblasti kybernetické bezpečnosti, semináře pro zúčastněné strany, referenčního srovnávání, určování pozice agentury v daném odvětví a analýzy silných a slabých stránek, příležitostí a hrozeb (analýzy SWOT). Komise rovněž provedla dvanáctitýdenní veřejnou internetovou konzultaci týkající se jak hodnocení ex post, tak budoucnosti agentury ENISA a uspořádala cílené konzultace s hlavními zúčastněnými stranami. Hlavní zjištění hodnocení podle jednotlivých hodnotících kritérií lze shrnout takto: 1. Relevance: V kontextu technologického rozvoje a vyvíjejících se hrozeb a s ohledem na značnou potřebu zvýšit bezpečnost sítí a informací v EU se ukázalo, že cíle agentury ENISA jsou relevantní. Členské státy a orgány EU se opírají o odborné znalosti týkající se vývoje bezpečnosti sítí a informací, v členských státech je třeba vybudovat kapacity pro pochopení a řešení hrozeb a zúčastněné strany musí spolupracovat napříč tematickými oblastmi i napříč institucemi. Bezpečnost sítí a informací je nadále klíčovou politickou prioritou EU, na což má agentura ENISA reagovat; podoba agentury ENISA jakožto agentury EU s mandátem na dobu určitou však: i) neumožňuje dlouhodobé plánování a udržitelnou podporu členských států a orgánů EU v kontextu rychle se měnících hrozeb v oblasti kybernetické bezpečnosti, ii) může vést k právnímu vakuu, jelikož ustanovení směrnice NIS pověřující agenturu ENISA úkoly jsou trvalé povahy. 2. Účinnost: Agentura ENISA celkově splnila své cíle a provedla své úkoly. Prostřednictvím svých hlavních činností (budování kapacit, poskytování odborných znalostí, budování komunity, podpora politiky) přispěla k posílení bezpečnosti sítí a informací v Evropě. V každé z těchto činností ukázala i potenciál ke zlepšení. Hodnocení dospělo k závěru, že agentura ENISA účinně vytvořila silné a důvěrné vztahy s některými ze svých zúčastněných stran, zejména s členskými státy a komunitou CSIRT. Intervence v oblasti budování kapacit byly vnímány jako účinné zejména v případě členských států s menšími prostředky. Jedním z nejvíce zdůrazňovaných bodů byla stimulace široké spolupráce, přičemž zúčastněné strany se obecně shodly na pozitivní úloze, kterou agentura ENISA hraje při spojování lidí. Agentura ENISA však měla problémy rozsáhlou oblast bezpečnosti sítí a informací významněji ovlivnit. Jedním z důvodů byla i skutečnost, že pro splnění velmi širokého mandátu měla dosti omezené lidské a finanční zdroje. Hodnocení rovněž dospělo k závěru, že agentura ENISA splnila cíl poskytování odborných znalostí vzhledem k problémům s najímáním odborníků částečně (viz také níže v oddíle týkajícím se efektivnosti). 3. Efektivnost: I přes svůj malý rozpočet, který ve srovnání s jinými agenturami EU patří k nejnižším, byla agentura ENISA schopna přispět ke sledovaným cílům, což prokazuje celkovou efektivnost při využívání jejích zdrojů. Hodnocení dospělo k závěru, že procesy byly obecně efektivní a jasné vymezení odpovědností v rámci organizace vedlo k dobrému vykonávání práce. Jedním z hlavních problémů ovlivňujících efektivnost agentury byly její potíže při najímání a udržení vysoce kvalifikovaných odborníků. Zjištění ukazují, že tuto skutečnost lze vysvětlit kombinací faktorů, mezi které patří obecné obtíže veřejného sektoru konkurovat soukromému sektoru ve snaze najmout vysoce specializované 4
odborníky, druhy smluv (na dobu určitou), které mohla agentura většinou nabízet, a poněkud nižší atraktivita agentury daná jejím umístěním, s nímž souvisejí například problémy manželů či manželek při hledání práce. Rozdělení místa působení agentury mezi Atény a Heraklion vyžadovalo další úsilí při koordinaci a vedlo k dalším nákladům, nicméně přesunem oddělení hlavních činností do Atén v roce 2013 se provoz agentury zefektivnil. 4. Soudržnost: Činnosti agentury ENISA jsou obecně v souladu s politikami a činnostmi jejích zúčastněných stran na vnitrostátní úrovni i na úrovni EU, je však třeba koordinovanějšího přístupu ke kybernetické bezpečnosti na úrovni EU. Není plně využit potenciál pro spolupráci mezi agenturou ENISA a subjekty EU. Vzhledem k vývoji právního a politického prostředí v EU je dnes stávající mandát méně soudržný. 5. Přidaná hodnota EU: Přidaná hodnota agentury ENISA spočívá především ve schopnosti agentury zvyšovat spolupráci, a to zejména mezi členskými státy, ale také se souvisejícími komunitami v oblasti bezpečnosti sítí a informací. Na úrovni EU není žádný jiný subjekt, který podporuje spolupráci stejné škály zúčastněných stran v oblasti bezpečnosti sítí a informací. Přidaná hodnota poskytovaná agenturou se lišila podle rozdílných potřeb a zdrojů zúčastněných stran (např. velké versus malé členské státy, členské státy versus odvětví) a podle nutnosti, aby agentura stanovovala priority svých činností podle pracovního programu. Hodnocení dospělo k závěru, že potenciální přerušení činnosti agentury ENISA by bylo pro všechny členské státy promarněnou příležitostí. Bez decentralizované agentury EU nebude možné v oblasti kybernetické bezpečnosti zajistit stejnou úroveň budování komunity a spolupráce napříč členskými státy. Kdyby bylo prázdné místo zanechané agenturou ENISA vyplněno dvoustrannou nebo regionální spoluprací, byl by celkový obraz roztříštěnější. 3. ZÁVĚRY A DOPORUČENÍ Hodnocení dospělo k závěru, že nařízení ENISA udělilo agentuře široký mandát, který umožňuje flexibilitu, avšak v některých případech postrádá zaměření, což agentuře brání v dosažení většího vlivu. Cíle agentury se v období 2013 2016 ukázaly být relevantní. Agentuře se podařilo dosáhnout dobré úrovně efektivnosti a prokázala přidanou hodnotu působení na úrovni EU zejména prostřednictvím klíčových činností, jako jsou celoevropská kybernetická cvičení, podpora komunity CSIRT a analýzy hrozeb. Agentura ENISA přispěla ke zvýšení bezpečnosti sítí a informací v Evropě zejména podporou spolupráce mezi členskými státy a zúčastněnými stranami v oblasti bezpečnosti sítí a informací, jakož i svými činnostmi v oblasti budování komunity a kapacit. Agentuře se podařilo dosáhnout těchto výsledků navzdory několika problémům uvedeným v předchozích oddílech této zprávy a v připojeném pracovním dokumentu útvarů Komise. Jeden z klíčových problémů souvisí s omezenými zdroji, které neodpovídají širokému mandátu agentury, zejména s ohledem na nové úkoly, které byly agentuře svěřeny směrnicí NIS, a rychle se vyvíjející oblast hrozeb. Agentura ENISA zůstává i nadále jedinou agenturou EU s mandátem na dobu určitou navzdory mj. úkolům týkajícím se směrnice NIS uvedeným výše. Oblast kybernetických bezpečnostních hrozeb se rychle vyvíjí. Objevují se nové hrozby, čím je Evropa závislejší na digitální infrastruktuře a službách nejen prostřednictvím zařízení připojených k internetu, ale nyní již i prostřednictvím všudypřítomné konektivity. Internet věcí otevírá v digitální ekonomice a společnosti nové možnosti 5
v oblasti energetické účinnosti, ochrany životního prostředí, propojené mobility, monitorování zdravotního stavu v reálném čase a inteligentních a plynulých finančních transakcích. Souběžně s těmito obchodními podněty však vznikají nová zranitelná místa a možnosti zneužití, kdy napadená zařízení mohou narušit jednotný digitální trh. Hodnocení dospělo k závěru, že současný mandát neposkytuje agentuře ENISA nezbytné nástroje pro řešení současných a budoucích problémů v oblasti kybernetické bezpečnosti. Kromě toho nyní vzhledem k počtu aktérů v EU v oblasti kybernetické bezpečnosti a jejich nedostatečné koordinaci vzrůstá riziko větší roztříštěnosti na úrovni EU. EU potřebuje ústřední bod, s jehož pomocí bude řešit nové hrozby, které mají horizontální povahu a mají dopad na mnoho průmyslových odvětví, a vyjde vstříc potřebám komunity v oblasti kybernetické bezpečnosti, zejména členských států, orgánů a institucí EU a podniků. Z hodnocení vyplývá, že je zapotřebí mít agenturu na úrovni EU se strukturou na meziodvětvové/horizontální bázi se silným mandátem. Hodnocení ukazuje, že i přes několik problematických otázek by agentura ENISA mohla významně přispět k větší kybernetické bezpečnosti v EU, bude-li mít dostatečný mandát i podporu, pokud jde o finanční a lidské zdroje. Je rovněž zřejmé, že je zapotřebí spolupráce a koordinace mezi různými zúčastněnými stranami. Potřeba subjektu pro koordinaci na úrovni EU, který by usnadnil informační toky, minimalizoval mezery a zamezil překrývání úloh a povinností, se v současnosti stává čím dál naléhavější. Agentura ENISA jakožto decentralizovaná agentura EU a nestranný prostředník je schopna koordinovat přístup EU ke kybernetickým hrozbám. Komise na tomto základě předložila návrh na reformu agentury ENISA, v němž jí uděluje trvalý mandát, který vychází z prokázaných hlavních silných stránek agentury a z nových prioritních oblastí, v nichž je nutno přijmout opatření, jako je certifikace kybernetické bezpečnosti. Nový mandát by měl odrážet změněné okolnosti a zmocnit agenturu k odpovídající podpoře EU v budoucnosti. 6