C_2021286DA.01007601.xml

Det Europæiske Økonomiske og Sociale Udvalgs udtalelse om »fælles meddelelse til Europa-Parlamentet og Rådet — EU's strategi for cybersikkerhed for det digitale årti«

(JOIN(2020) 18 final)

(2021/C 286/14)

Ordfører:

Philip VON BROCKDORFF

Anmodning om udtalelse	Kommissionen, 21.4.2021
Retsgrundlag	Artikel 304 i traktaten om Den Europæiske Unions funktionsmåde
Kompetence	Sektionen for Det Indre Marked, Produktion og Forbrug
Vedtaget i sektionen	31.3.2021
Vedtaget på plenarforsamlingen	27.4.2021
Plenarforsamling nr.	560
Resultat af afstemningen (for/imod/hverken for eller imod)	238/0/3

1. Konklusioner og anbefalinger

1.1.

Det Europæiske Økonomiske og Sociale Udvalg (EØSU) betragter den foreslåede strategi som et positivt skridt i retning af at beskytte regeringer, borgere og virksomheder i hele EU mod globale cybertrusler og sikre økonomisk vækst.

1.2.

EØSU er af den opfattelse, at yderligere finansiering skal gøres tilgængelig for offentlige enheder, så der kan gennemføres investeringer i en passende cybersikkerhedsinfrastruktur, der gør det muligt at reagere effektivt på en krisesituation som f.eks. en pandemi.

1.3.

EØSU bifalder forslagene om at opbygge et netværk af sikkerhedsoperationscentre i hele EU og om, at Den Europæiske Unions Agentur for Cybersikkerhed (ENISA) bør samarbejde med alle interessenter om at begrænse risiciene i forbindelse med 5G.

1.4.

EØSU bifalder også forslaget om at videreudvikle Europols rolle som ekspertisecenter inden for cyberkriminalitet. Samarbejde med multiinteressentsamfundet og på internationalt niveau anses for vigtigt.

1.5.

EØSU advarer om kvalifikationskløften inden for cybersikkerhed og anbefaler, at der etableres et EU-værktøj til karrierevejledning inden for cybersikkerhed, der kan hjælpe den enkelte borger med at vælge, udbygge og navigere i et relevant karriereforløb.

1.6.

EØSU fremhæver emnet desinformation. Spredning af desinformation kan have alvorlige konsekvenser, og forebyggelse af desinformation bør indgå i enhver strategi for cybersikkerhed.

1.7.

EØSU anbefaler, at der stilles krav om, at alle udenlandske investeringer i strategiske sektorer i EU skal stemme overens med EU's sikkerhedspolitik.

1.8.

EØSU advarer om fremkomsten af kvantecomputere og de risici, de medfører. Dette gør det nødvendigt at omstille til kvanteresistent eller post-kvantekryptografi.

1.9.

EØSU anbefaler, at Kommissionens strategi for cybersikkerhed bliver opdateret jævnligt, mindst hvert andet år, så der kan reageres effektivt på fremtidige teknologier og risici.

1.10.

Endelig fremhæver EØSU den sociale dialogs betydning i forbindelse med udformningen af cybersikkerhedspolitikker, der effektivt beskytter enkeltpersoner i tilfælde af distancearbejde og mere generelt onlineaktiviteter.

2. Kommissionens meddelelse

2.1.

Formålet med Kommissionens meddelelse er at understrege EU's engagement i at sikre et onlinemiljø, som skaber størst mulig frihed og sikkerhed til gavn for EU-borgerne.

2.2.

Meddelelsen skitserer EU's vision på dette område, definerer roller og ansvar, og foreslår specifikke tiltag på EU-niveau, som skal etablere en robust og effektiv beskyttelse og samtidig sikre borgernes rettigheder, så onlinemiljøet bliver trygt og sikkert.

2.3.

De aktioner, der foreslås, sigter mod at:

—	opnå cyberrobusthed ved at øge kapaciteten, beredskabet, samarbejdet, informationsudvekslingen og bevidstheden inden for net- og informationssikkerhed for og private sektorer på såvel nationalt som EU-plan,

—	standardisere procesforløb til cyberforsvar i hele EU samt opbygge en database med relevante informationer, der skal levere trusselsefterretninger til støtte for den berørte sektor eller økonomi,

—	reducere cyberkriminaliteten drastisk ved at styrke ekspertisen hos dem, der står for at efterforske og forfølge den, ved at fastlægge en mere koordineret tilgang mellem retshåndhævende organer i hele EU og ved at forbedre samarbejdet med andre aktører,

—	indføre uddannelser og certificering i hele EU for fagfolk, som opfylder de krav, der kan stilles til kvalificerede eksperter i cyberkriminalitet, med et fælles EU-kvalifikationsniveau som mål,

—	udvikle en EU-politik for cyberforsvar og kapacitet inden for rammerne af den fælles sikkerheds- og forsvarspolitik,

—

fremme de industrielle og teknologiske ressourcer, som er nødvendige for at drage fordel af det digitale indre marked. Dette vil bidrage til at stimulere fremkomsten af en europæisk industri og et europæisk marked for sikker IKT. Det vil også bidrage til EU's økonomiske vækst og konkurrenceevne, og det vil øge de offentlige og private investeringer i forskning og udvikling inden for cybersikkerhed,

—	forbedre EU's internationale cyperspacepolitik med henblik på at fremme EU's centrale værdier, optræde som fortaler for anvendelse af den eksisterende internationale lovgivning i cyberspace og bistå lande uden for EU med at opbygge cybersikkerhedskapacitet og

—	udvikle og offentlige indføre et sikkerhedsrelateret EU-kvalitetsmærke for produkter, tjenesteydelser og teknologier, som opfylder standarder og krav til cybersikre løsninger.

2.4.

Den foreslåede strategi vedrører sikkerhed for væsentlige tjenester såsom hospitaler, energinet og jernbaner samt den stadigt stigende mængde af opkoblet udstyr i vores hjem, kontorer og fabrikker. Formålet er at opbygge kollektiv kapacitet til at reagere på større cyberangreb og arbejde sammen med globale partnere om at garantere den internationale sikkerhed og stabilitet i cyberspace.

2.5.

Eftersom trusler mod cybersikkerheden næsten altid er grænseoverskridende, og eftersom et cyberangreb i et land kan påvirke enten en gruppe af medlemsstater eller EU som helhed, foreslår Kommissionen, at der oprettes en fælles cyberenhed, så der kan reageres så effektivt som muligt på cybertrusler under anvendelse af de kollektive ressourcer og ekspertiser, der er tilgængelige i EU og medlemsstaterne.

2.6.

Strategien, som har et budget på 2 mia. EUR, vil blive finansieret under EU-programmet for et digitalt Europa og Horisont Europa, med et supplement af investeringer fra medlemsstaterne og den private sektor.

3. Generelle bemærkninger

3.1.

Det er i dag almindeligt accepteret, at cybersikkerhed udgør en væsentlig forudsætning for velfungerende EU-institutioner og -agenturer, hvilket også gælder for de enkelte medlemsstater og deres økonomi. Cybersikkerhed er afgørende for EU's energiinfrastruktur og udrulningen af intelligente net (1) og gør EU's økonomier mere digitale og grønne. Lige så vigtigt er det at beskytte og sikre borgernes grundlæggende rettigheder og frihedsrettigheder, som garanteres af cybersikkerheden. Det er særligt relevant at sikre rettigheder og frihedsrettigheder, eftersom cyberangreb kan have negative konsekvenser for borgere og husholdninger (samt for virksomheder, organisationer og offentlige tjenester). Det nylige IT-angreb på et hospital i Tournai i Belgien er et eksempel på en trussel, som ikke kun er rettet mod fysiske aktiver, men også mod menneskeliv som følge af udsættelsen af kirurgiske indgreb (2).

3.2.

Ifølge DigitalEurope (3) udgør cybertrusler en alvorlig hindring på Europas vej mod velstand. På verdensplan skønnes det, at det økonomiske tab som følge af cyberkriminalitet nåede op på 2,5 billioner EUR ved udgangen af 2020, og 74 % af verdens virksomheder kan forvente at blive hacket i 2021. På trods af dette har kun 32 % af de europæiske virksomheder en politik for cybersikkerhed. Det er klart og uomgængeligt, at cybertrusler kræver et koordineret svar fra EU og en strategi for cybersikkerhed, som er i stand til både at håndtere de aktuelle udfordringer og forsvare organisationer og borgere mod den næste generation af cybertrusler. Dette gælder navnlig inden for offentlige tjenester, hvor man forvalter store mængder af personoplysninger og følsomme data, som det er nødvendigt at beskytte. Desuden er det nødvendigt at styrke vejen til europæisk datasuverænitet og opretholdelsen af datafortroligheden inden for EU gennem cyberrobusthed og digital modstandsdygtighed, som igen vil øge velstanden i EU.

3.3.

De potentielle økonomiske tab som følge af cyberangreb er enorme og omfatter:

—	tab af intellektuel ejendom og fortrolige forretningsoplysninger,

—	onlinesvindel og økonomiske forbrydelser, ofte som resultat af stjålne identitetsoplysninger,

—	finansielle manipulationer under anvendelse af stjålne, følsomme virksomhedsoplysninger om potentielle sammenlægninger eller forhåndsviden om børsnoterede selskabers resultater,

—	offeromkostninger, herunder afbrydelser af produktion eller tjenesteydelser og mindre tillid til onlineaktiviteter,

—	omkostninger til at sikre netværk, såsom køb af cyberforsikringer (4) og omkostninger til genopretning efter cyberangreb og

—	risiko for skade på omdømme og tillid for den hackede virksomhed og dens brand, herunder midlertidig skade på værdiansættelsen.

3.4.

Det er relevant at bemærke, at EU oplever de største økonomiske konsekvenser som følge af cyberkriminalitet, som skønnes til 0,84 % af EU's BNP, sammenlignet med 0,78 % i USA, ifølge den seneste rapport om cyberkriminalitetens økonomiske følger fra Center for Strategic and International Studies (CSIS).

3.5.

På den baggrund kunne den foreslåede strategi, som følger efter en periode med omfattende interessenthøringer, ikke komme på et bedre tidspunkt, idet eksperter forudsiger, at antallet af opkoblede enheder på verdensplan vil stige til 25 mia. i 2025. En fjerdedel af disse enheder forventes at befinde sig i Europa.

3.6.

Meddelelsen om strategien faldt sammen med, at computere i amerikanske føderale regeringsorganer blev ramt af et cyberangreb rettet mod en amerikansk virksomhed, der udvikler software til virksomheder, som kan hjælpe dem med at forvalte deres netværk og IT-systemer. Hundredvis af amerikanske virksomheder blev ramt af angrebet, hvor hackere tilføjede malware til en softwareopdatering, som blev downloadet af tusindvis af kunder hos den berørte amerikanske virksomhed. Denne hændelse viser, hvordan offentlige forvaltninger, virksomheder på tværs af alle sektorer og samfundet som helhed risikerer at blive udsat for cyberangreb.

3.7.

Ikke overraskende er nøglesektorer omfattet af strategien, herunder leverandører af data- og cloudtjenester, telekommunikation, offentlige IT-systemer og fremstillingsvirksomheder. Andre relevante eksempler, hvor der kan opstå trusler mod cybersikkerheden, er kontaktopsporingsapps som dem, der anvendes i indsatsen mod covid-19. En sikring af kontaktopsporingsapps vil naturligvis bidrage til at øge offentlighedens tillid til beskyttelsen af personlige oplysninger i forbindelse med de covid-19-foranstaltninger, som anses for afgørende som reaktion på pandemien.

3.8.

Covid-19-pandemien har fremskyndet en ændring i arbejdsmønstrene, idet hele 40 % af EU's arbejdstagere har skiftet til distancearbejde i 2020 (5). Det skønnes imidlertid, at 40 % af brugerne i EU oplevede sikkerhedsmæssige udfordringer i 2020, og over 12 % af virksomhederne blev ramt af cyberangreb.

4. Særlige bemærkninger

4.1.

EØSU mener, at den foreslåede strategi er et skridt i den rigtige retning mod at beskytte regeringer, borgere og virksomheder i hele EU mod globale cybertrusler og sørge for lederskab i cyberspace, samtidig med at det sikres, at alle kan høste fordelene ved internettet og teknologianvendelsen.

4.2.

EØSU mener, at cybersikkerhed er en afgørende forudsætning for at sikre de økonomiske aktiviteter, styrke den økonomiske vækst og sikre brugernes tillid til onlineaktiviteter. Udvalget er også enigt i, at det er nødvendigt med modige skridt for at sikre, at europæerne kan få gavn af innovation, konnektivitet og automatisering på en sikker måde.

4.3.

EØSU anerkender også, at EU's økonomiske sektorer bliver stadig mere afhængige af den digitale teknologi og indbyrdes afhængige. Der har været en stor vækst i forbrugeres og virksomheders brug af enheder knyttet til tingenes internet, f.eks. inden for produktion, samtidig med at FinTech og RegTech er blevet mainstream. Udrulningen af 5G er kommet i fart, og senest har covid-19-krisen accelereret den digitale omstilling i mange virksomheder og forvaltninger, idet de blev tvunget til at anvende distancearbejde nærmest fra den ene dag til den anden, hvilket i høj grad fremskyndede brugen af cloudbaserede tjenesteydelser. Denne udvikling kræver en effektiv, hurtig og inkluderende cybersikkerhedsindsats.

4.4.

Disse forandringer har øget risiciene for regeringer og erhvervsliv. EØSU støtter derfor den nye strategi for cybersikkerhed og dens forslag til forbedring af cyberrobustheden både i EU og eksternt. Selvom offentlige enheder er berettigede til EU-finansiering under de forskellige relevante programmer, der støtter investeringer på dette område såsom Horisont 2020/Horisont Europa er EØSU af den opfattelse, at yderligere finansieringsmuligheder kan være en nødvendighed for offentligt eller delvist offentligt ejede enheder, således at der åbnes mulighed for investeringer i en passende cybersikkerhedsinfrastruktur, der garanterer forsyningssikkerheden for borgerne, navnlig i en krisesituation, som f.eks. under en pandemi.

4.5.

Kommissionens forslag om at oprette et netværk af sikkerhedsoperationscentre i hele EU, som mere effektivt kan udnytte kunstig intelligens og maskinlæring til at forbedre sporingen af trusler og hændelser, analyser og reaktionshastigheder, er vigtigt, og det kommer i rette tid. EØSU anerkender, at det bliver stadig vanskeligere at forebygge cyberangreb manuelt på grund af det overvældende antal af daglige alarmer, som sikkerhedsenhederne skal håndtere, kombineret med manglen på specialiserede arbejdstagere på dette område. Alt dette gør det uomgængeligt at automatisere sikkerhedsoperationscentrene.

4.6.

EØSU glæder sig over målsætningerne og foranstaltningerne vedrørende 5G-sikkerhed, der vil være afgørende for at afbøde nye risici som følge af den voksende angrebsflade, som 5G-netinfrastrukturer vil skabe. EØSU støtter navnlig opfordringen til Den Europæiske Unions Agentur for Cybersikkerhed (ENISA) om at samarbejde med alle interessenter om at opnå en bedre forståelse af de nye 5G-sikkerhedsteknologier og -kapaciteter såvel som truslerne. Det fremgår klart, at strategien anerkender, at 5G's brug af nye teknologier såsom network virtualisation, network slicing og edge computing indebærer specifikke sårbarheder, som kræver supplerende sikkerhedsforanstaltninger.

4.7.

EØSU glæder sig også over forslaget om at videreudvikle Europols rolle som ekspertisecenter for cyberkriminalitet til støtte for de nationale retshåndhævende myndigheder, samt flere midler og et stærkere mandat til CERT-EU. Begge instanser spiller en kritisk rolle i cybersikkerhedsindsatsen i hele EU. Denne indsats vil uden tvivl bidrage til at forbedre cybersikkerheden i EU's institutioner og agenturer og andre steder.

4.8.

EØSU roser, at der i strategien lægges vægt på EU's internationale samarbejde, f.eks. gennem cyberdiplomati i internationale relationer, flere bilaterale dialoger om cybersikkerhed og cyberkapacitetsopbygning i tredjelande. Trusler mod cybersikkerheden er globale og ikke kun regionale, og det er nødvendigt, at effektive politikker til at modvirke dem også er globale.

4.9.

EØSU bemærker også, at der i strategien lægges vægt på, at det er vigtigt, at der føres en dialog og samarbejdes i multiinteressentfællesskabet, navnlig gennem jævnlige udvekslinger med den offentlige og private sektor, arbejdsmarkedets parter og den akademiske verden. Denne tilgang hilses velkommen og vil være afgørende i bestræbelserne på at videreudvikle de forslag, der er indeholdt i strategien, og som vedrører håndteringen af vigtige udviklingstendenser såsom sikkerhedsudfordringerne i forbindelse med distancearbejde. Input fra alle relevante interessenter bør være en løbende proces, eftersom det teknologiske niveau, der anvendes i cyberkriminalitet, bliver stadig mere sofistikeret.

4.10.

EØSU glæder sig over, at der lægges vægt på at udvikle relevante færdigheder til beskyttelse mod cyberkriminalitet generelt. For hovedparten af de europæiske virksomheder og navnlig SMV'er er den voksende kvalifikationskløft imidlertid fortsat et enormt problem i forbindelse med trusler mod cybersikkerheden. EØSU mener, at denne kvalifikationskløft kun kan afhjælpes gennem et EU-værktøj til karrierevejledning inden for cybersikkerhed, der kan hjælpe den enkelte borger med at vælge, udbygge og navigere i et potentielt karriereforløb inden for cybersikkerhed. Det handler om at øge forståelsen for, hvilken viden og hvilke færdigheder og evner der er nødvendige for at indlede, skifte til eller gøre karriere i cybersikkerhedssektoren. Dette værktøj bør også omfatte specifikke programmer, som tager fat på spørgsmålet om tilgængelighed og diversitet på cybersikkerhedsområdet. Erhvervsuddannelsesinstitutioner anses for at have en vigtig rolle at spille i støtten til et EU-værktøj til karrierevejledning inden for cybersikkerhed. Desuden bør EU i stigende omfang se på fælles forskningsinitiativer (i EU og andre steder) møntet på at uddanne dygtige og kvalificerede fagfolk inden for cybersikkerhed på en inkluderende måde. Dette vil være vigtigt i betragtning af den stadig større rolle, som teknologien spiller med hensyn til at skabe mere rummelige arbejdspladser og et mere inklusivt samfund. Endelig bør det overvejes aktivt at tilskynde studerende til at vælge videregående studier i cybersikkerhed ved at tilbyde stipendier til studier på bachelor-, master- og kandidatniveau med fokus på cybersikkerhed til gengæld for tjeneste i EU-institutioner og -agenturer samt offentlige forvaltninger i hele EU efter endt eksamen.

4.11.

EØSU noterer, at et aspekt, som ikke er nævnt i strategien for cybersikkerhed, er forbindelsen mellem cybersikkerhed og desinformation. EØSU henviser specifikt til den undersøgelse, som blev bestilt af Europa-Parlamentets Temaafdeling for Borgernes Rettigheder og Konstitutionelle Anliggender (6). I internettets tidsalder kan spredning af desinformation have alvorlige konsekvenser. Grænseoverskridende angreb kan være rettet mod informationscentre og nationale eller europæiske institutioner med det formål at sprede desinformation, og sådanne angreb kan også skade tilliden til offentlige myndigheder. Det er derfor nødvendigt at lægge vægt på at forebygge desinformation i enhver strategi for cybersikkerhed.

4.12.

EØSU noterer også, at udenlandske investeringer i strategiske sektorer, udenlandsk erhvervelse af kritiske aktiver, teknologier og infrastrukturer i Unionen samt levering af udenlandsk kritisk udstyr kan udgøre en sikkerhedsmæssig risiko for EU. I den henseende og i overensstemmelse med de eksisterende regler for offentlige indkøb anbefaler EØSU, at der lægges større vægt på sikkerhedshensyn ved tildelingen af kontrakter.

4.13.

EØSU bemærker også, at sikkerheden i nuværende kryptografisk software og systemer undergraves af kvantecomputere, som forventes at blive tilgængelige for offentligheden inden for et årti. Der er et behov for at omstille til kvanteresistent eller post-kvantekryptografi. Dette underbygges også af verdensomspændende initiativer til standardisering af post-kvantekryptografi såsom USA's NIST standardiseringsproces for post-kvantekryptografi, Det Europæiske Standardiseringsinstitut for Telekommunikations (ETSI) arbejdsgruppe om kvantesikker kryptografi og den kinesiske sammenslutning for kryptologisk forsknings projekt vedrørende post-kvantekryptografi.

4.14.

EØSU anbefaler, at de nationale strategier for cybersikkerhed revideres for at sikre, at de stemmer overens med Kommissionens strategi, og for at sikre, at beslutninger på medlemsstatsniveau er i overensstemmelse med forslagene i Kommissionens strategi. EU's strategi og de nationale strategier bør afstemmes med hinanden for effektivt at kunne håndtere cybertrusler i dag og i fremtiden.

4.15.

Da det i vidt omfang er umuligt at forudsige fremtidige trusler, og med henvisning til punkt 4.13 ovenfor, anbefaler EØSU, at Kommissionens strategi for cybersikkerhed opdateres jævnligt, mindst hvert andet år, så der kan reageres effektivt på fremtidige teknologier og risici. Som anført tidligere er det afgørende, at interessentinddragelse og forskning på højt niveau indgår i ajourføringen af strategierne for cybersikkerhed.

Bruxelles, den 27. april 2021.

Christa SCHWENG

Formand for Det Europæiske Økonomiske og Sociale Udvalg

(1) Et cyberangreb på et intelligent net kan påvirke energiforsyningen til forbrugere og virksomheder.

(2) https://www.databreaches.net/chwapi-hospital-hit-by-ransomware-operations-canceled-and-another-city-hit/

(3) https://www.digitaleurope.org/

(4) Der er naturligvis ikke et ubegrænset udbud af cyberforsikringer. Covid-19 har understreget, at akkumulation af risici udgør en udfordring for muligheden for at tegne forsikringer. Nylige undersøgelser fra AON underbygger, at forsikringer kun udgør en meget lille del (5 %) af udgifterne til cyberberedskab. Overvågning og uddannelse viste sig at spille en langt større rolle for omkostningerne.

(5) Eurofound (2020) Liv, arbejde og covid-19, covid-19-serien, Den Europæiske Unions Publikationskontor, Luxembourg.

(6) https://www.europarl.europa.eu/RegData/etudes/STUD/2019/608864/IPOL_STU(2019)608864_EN.pdf