Europski parlament,

–  uzimajući u obzir Direktivu (EU) 2018/1972 Europskog parlamenta i Vijeća od 11. prosinca 2018. o Europskom zakoniku elektroničkih komunikacija(1),

–  uzimajući u obzir Direktivu (EU) 2016/1148 Europskog parlamenta i Vijeća od 6. srpnja 2016. o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije(2),

–  uzimajući u obzir Direktivu 2013/40/EU Europskog parlamenta i Vijeća od 12. kolovoza 2013. o napadima na informacijske sustave i o zamjeni Okvirne odluke Vijeća 2005/222/PUP(3),

–  uzimajući u obzir Komisijin Prijedlog uredbe Europskog parlamenta i Vijeća od 13. rujna 2017. o ENISA-i (agenciji EU-a za kibersigurnost) i stavljanju izvan snage Uredbe (EU) br. 526/2013 te o kibersigurnosnoj certifikaciji u području informacijske i komunikacijske tehnologije („Akt o kibersigurnosti”) (COM(2017)0477),

–  uzimajući u obzir Komisijin Prijedlog uredbe od 12. rujna 2018. o osnivanju Europskog centra za stručnost u području kibersigurnosti, industrije, tehnologije i istraživanja i Mreže nacionalnih koordinacijskih centara (COM(2018)0630),

–  uzimajući u obzir novi Zakon o nacionalnim obavještajnim aktivnostima koji je Svekineski narodni kongres usvojio 28. lipnja 2017.,

–  uzimajući u obzir izjave Vijeća i Komisije od 13. veljače 2019. o sigurnosnim prijetnjama povezanim sa sve većom tehnološkom prisutnošću Kine u EU-u i mogućim mjerama na razini EU-a za njihovo smanjenje,

–  uzimajući u obzir da je australska vlada izglasala reforme sigurnosti u telekomunikacijskom sektoru, koje su stupile na snagu 18. rujna 2018.,

–  uzimajući u obzir svoje stajalište iz prvog čitanja od 14. veljače 2019. o Prijedlogu uredbe Europskog parlamenta i Vijeća o uspostavi okvira za provjeru izravnih stranih ulaganja u Europskoj uniji(4),

–  uzimajući u obzir svoje prethodne rezolucije o stanju odnosa između EU-a i Kine, a posebno onu od 12. rujna 2018.(5),

–  uzimajući u obzir komunikaciju Komisije od 14. rujna 2016. naslovljenu „5G za Europu – Akcijski plan” (COM(2016)0588),

–  uzimajući u obzir svoju Rezoluciju od 1. lipnja 2017. o internetskoj povezivosti za rast, konkurentnost i koheziju: europsko gigabitno društvo i 5G(6),

–  uzimajući u obzir Uredbu (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka)(7),

–  uzimajući u obzir Uredbu (EU) br. 1316/2013 Europskog parlamenta i Vijeća od 11. prosinca 2013. o uspostavi Instrumenta za povezivanje Europe, izmjeni Uredbe (EU) br. 913/2010 i stavljanju izvan snage uredaba (EZ) br. 680/2007 i (EZ) br. 67/2010(8),

–  uzimajući u obzir Komisijin Prijedlog uredbe Europskog parlamenta i Vijeća od 6. lipnja 2018. o uspostavi programa Digitalna Europa za razdoblje 2021.–2027. (COM(2018)0434),

–  uzimajući u obzir članak 123. stavke 2. i 4. Poslovnika,

A.  budući da EU mora poticati svoj program kibersigurnosti kako bi ispunio svoj potencijal za preuzimanje vodeće uloge u području kibersigurnosti i upotrijebio to u korist svoje industrije;

B.  budući da bi se slabe točke 5G mreža mogle iskoristiti za ugrožavanje IT sustava, čime bi se gospodarstvima na europskoj i nacionalnoj razini mogla prouzročiti vrlo ozbiljna šteta; budući da je pristup koji se temelji na analizi rizika u cijelom vrijednosnom lancu nužan da bi se rizici sveli na najmanju moguću mjeru;

C.  budući da će 5G mreža biti okosnica naše digitalne infrastrukture jer će povećati mogućnost povezivanja različitih uređaja na mreže (internet stvari itd.) i donijeti nove koristi i prilike za društvo i poduzeća u mnogim područjima, uključujući ključne sektore gospodarstva, kao što su sektor prometa, energetike, zdravstva, financija, telekomunikacija, obrane, svemira i sigurnosti;

D.  budući da bi uspostava odgovarajućeg mehanizma za odgovor na sigurnosne izazove EU-u pružila priliku da aktivno poduzme korake za utvrđivanje standarda za 5G;

E.  budući da postoji bojazan u vezi s dobavljačima opreme iz trećih zemalja koji bi mogli predstavljati sigurnosni rizik za EU zbog zakona iz njihove zemlje podrijetla, posebno nakon donošenja kineskog Zakona o državnoj sigurnosti, kojim se svi građani, poduzeća i drugi subjekti obvezuju na suradnju s državom u cilju zaštite državne sigurnosti, koja je vrlo neodređeno definirana; budući da ne postoji jamstvo da se te obveze ne primjenjuju izvanteritorijalno i budući da druge zemlje različito reagiraju na kineske zakone, u rasponu od sigurnosnih procjena do izravnih zabrana;

F.  budući da je u prosincu 2018. češko nacionalno tijelo za kibersigurnost izdalo upozorenje protiv sigurnosnih prijetnji koje predstavljaju tehnologije kineskih društava Huawei i ZTE; budući da je nakon toga u siječnju 2019. češka porezna uprava isključila Huawei iz natječaja za izradu poreznog portala;

G.  budući da je potrebna temeljita istraga kako bi se pojasnilo predstavljaju li navedeni uređaji, kao i bilo koji drugi uređaji ili dobavljači, sigurnosni rizik zbog značajki kao što su stražnji ulazi u sustave;

H.  budući da bi rješenja trebala biti koordinirana i provedena na razini EU-a kako bi se izbjeglo stvaranje različitih sigurnosnih razina i potencijalnih nedostataka u kibersigurnosti, pri čemu je za odlučnu reakciju potrebna koordinacija na globalnoj razini;

I.  budući da koristi od jedinstvenog tržišta podrazumijevaju obvezu poštovanja standarda EU-a i pravnog okvira Unije te budući da se odnos prema dobavljačima ne bi smio razlikovati na temelju njihove zemlje podrijetla;

J.  budući da se Uredbom o provjeri izravnih stranih ulaganja, koja bi trebala stupiti na snagu do kraja 2020., državama članicama daju veće mogućnosti za provjeru stranih ulaganja na temelju sigurnosnih kriterija i kriterija javnog reda te se uspostavlja mehanizam suradnje kojim se Komisiji i državama članicama omogućuje suradnja u procjeni sigurnosnih rizika, uključujući rizike povezane s kibersigurnošću, koje predstavljaju strana ulaganja, te također obuhvaća projekte i programe u interesu EU-a, kao što su transeuropske telekomunikacijske mreže i Obzor 2020.;

1.  smatra da Unija treba preuzeti vodeću ulogu u području kibersigurnosti primjenom zajedničkog pristupa koji se temelji na učinkovitoj i djelotvornoj upotrebi stručnog znanja EU-a, država članica i predmetnog sektora jer bi različite nacionalne odluke imale štetan utjecaj na jedinstveno digitalno tržište;

2.  izražava duboku zabrinutost zbog nedavnih navoda da bi 5G tehnologija koju su razvila kineska poduzeća mogla imati ugrađene stražnje ulaze koji bi proizvođačima i tijelima vlasti omogućili neovlašten pristup privatnim i osobnim podacima i telekomunikaciji iz EU-a;

3.  također je zabrinut zbog potencijalno znatnih slabih točaka u 5G opremi spomenutih proizvođača bude li prilikom uvođenja 5G mreža u predstojećim godinama došlo do njihova postavljanja;

4.  ističe da su posljedice za sigurnost mreža i opreme slične diljem svijeta i poziva EU da izvuče pouke iz dostupnog iskustva kako bi se osigurali najviši standardi kibersigurnosti; poziva Komisiju da izradi strategiju kojom bi Europa zauzela vodeći položaj u području tehnologije kibersigurnosti i koja je usmjerena na smanjenje europske ovisnosti o vanjskoj tehnologiji u području kibersigurnosti; smatra da se odgovarajuće mjere moraju primjenjivati kad god se ne može jamčiti poštovanje sigurnosnih zahtjeva;

5.  poziva države članice da obavijeste Komisiju o svim nacionalnim mjerama koje namjeravaju donijeti s ciljem koordinacije odgovora Unije kako bi se osigurali najviši standardi kibersigurnosti u cijeloj Uniji, i ponavlja da je važno suzdržati se od uvođenja nerazmjernih jednostranih mjera koje bi fragmentirale jedinstveno tržište;

6.  ponavlja da svi subjekti koji u EU-u pružaju opremu ili usluge, bez obzira na svoju zemlju podrijetla, moraju poštovati obveze o temeljnim pravima te pravo EU-a i država članica, uključujući pravni okvir u pogledu privatnosti, zaštite podataka i kibersigurnosti;

7.  poziva Komisiju da ocijeni stabilnost pravnog okvira Unije kako bi se riješile bojazni u pogledu osjetljive opreme u strateškim sektorima i temeljnoj infrastrukturi; potiče Komisiju da predstavi inicijative, uključujući, po potrebi, zakonodavne prijedloge, kako bi se pravovremeno riješili eventualni otkriveni nedostaci s obzirom na to da je Unija u stalnom procesu identificiranja i rješavanja kibersigurnosnih izazova te jačanja kibersigurnosne otpornosti u Uniji;

8.  potiče one države članice koje još nisu u potpunosti prenijele Direktivu o sigurnosti mrežnih i informacijskih sustava („Direktiva NIS”) da to učine bez odgode te poziva Komisiju da pomno prati taj prijenos kako bi osigurala pravilnu primjenu i provedbu njezinih odredbi te bolje zaštitila europske građane od vanjskih i unutarnjih sigurnosnih prijetnji;

9.  poziva Komisiju i države članice da se pobrinu za pravilnu primjenu mehanizama izvješćivanja uvedenih Direktivom NIS; napominje da bi Komisija i države članice trebale temeljito pratiti sve sigurnosne incidente ili neprimjerene reakcije dobavljača kako bi se uklonili utvrđeni nedostaci;

10.  poziva Komisiju da procijeni je li potrebno dodatno proširiti područje primjene Direktive NIS na druge kritične sektore i usluge koji nisu obuhvaćeni posebnim zakonodavstvom;

11.  pozdravlja i podržava postignut sporazum o Aktu o kibersigurnosti i jačanju mandata Agencije EU-a za mrežnu i informacijsku sigurnost (ENISA) u cilju pružanja bolje potpore državama članicama u borbi protiv kibersigurnosnih prijetnji i napada;

12.  potiče Komisiju da zaduži ENISA-u da prioritetno radi na programu certificiranja za 5G opremu kako bi se osiguralo da uvođenje 5G mreža u Uniji zadovoljava najviše sigurnosne standarde i da je otporno na problem stražnjih ulaza ili veliku osjetljivost koji bi ugrozili sigurnost telekomunikacijskih mreža i povezanih usluga u Uniji; preporučuje da se posebna pozornost posveti najčešće korištenim procesima, proizvodima i softveru koji zbog svoje raširenosti imaju znatan utjecaj na svakodnevni život građana i na gospodarstvo;

13.  iskreno pozdravlja prijedloge o centrima za stručnost u području kibersigurnosti i o mreži nacionalnih koordinacijskih centara, koja je osmišljena kako bi se Uniji pomogao da zadrži i razvija tehnološke i industrijske kapacitete u području kibersigurnosti, potrebne za jamčenje sigurnosti na njezinom jedinstvenom digitalnom tržištu; međutim, podsjeća na to da certificiranje ne bi trebalo isključiti nadležna tijela i operatore iz procesa nadzora nad lancem opskrbe kako bi se osigurali integritet i sigurnost njihove opreme koja djeluje u kritičnim okružjima i telekomunikacijskim mrežama;

14.  podsjeća da su za kibersigurnost potrebni visoki sigurnosni standardi; poziva da sigurnost mreža bude integrirana i zadana; potiče države članice da zajedno s Komisijom istraže sva raspoloživa sredstva kako bi se zajamčila visoka razina sigurnosti;

15.  poziva Komisiju i države članice da u suradnji s ENISA-om pruže smjernice o tome kako se boriti protiv kiberprijetnji i osjetljivosti prilikom nabave 5G opreme, primjerice diversifikacijom opreme različitih dobavljača ili uvođenjem višefaznih postupaka nabave;

16.  potvrđuje svoje stajalište o programu Digitalna Europa, kojim se nameću sigurnosni zahtjevi i nadzor Komisije nad subjektima s poslovnim nastanom u Uniji koji su pod kontrolom trećih zemalja, posebno kad je riječ o aktivnostima povezanima s kibersigurnošću;

17.  poziva države članice da osiguraju da javne institucije i privatna poduzeća koji su uključeni u osiguravanje ispravnog funkcioniranja kritičnih infrastrukturnih mreža, kao što su telekomunikacije, energetika, zdravstveni i socijalni sustavi, provode relevantne procjene rizika kojima se uzimaju u obzir sigurnosne prijetnje posebno povezane s tehničkim karakteristikama određenog sustava ili ovisnosti o vanjskim dobavljačima hardvera i softvera;

18.  podsjeća da u skladu s postojećim pravnim okvirom o telekomunikacijama države članice moraju osigurati da telekomunikacijski operatori poštuju integritet i dostupnost javnih elektroničkih komunikacijskih mreža, uključujući, prema potrebi, šifriranje s kraja na kraj; ističe da u skladu s Europskim zakonikom elektroničkih komunikacija države članice imaju široke ovlasti za istragu proizvoda na tržištu EU-a i primjenu cijelog niza pravnih lijekova u slučaju njihove neusklađenosti;

19.  poziva Komisiju i države članice da im sigurnost bude obvezan aspekt u svim postupcima javne nabave relevantne infrastrukture, kako na razini EU-a tako i na nacionalnoj razini;

20.  podsjeća države članice da su u skladu s pravnim okvirom EU-a, posebice Direktivom 2013/40/EU o napadima na informacijske sustave, obvezne izreći sankcije pravnim osobama koje su počinile kaznena djela kao što su napadi na takve sustave; naglašava da bi države članice također trebale iskoristiti mogućnost izricanja drugih sankcija za te pravne osobe, kao što je privremena ili trajna zabrana obavljanja poslovnih aktivnosti;

21.  poziva države članice, agencije za kibersigurnost, telekomunikacijske operatore te proizvođače i pružatelje usluga ključne infrastrukture da izvješćuju Komisiju i ENISA-u o svakom dokazu stražnjih ulaza ili drugim ozbiljnim slabim točkama koje bi mogle ugroziti integritet i sigurnost telekomunikacijskih mreža ili dovesti do povrede prava Unije i temeljnih prava; očekuje od nacionalnih tijela za zaštitu podataka i Europskog nadzornika za zaštitu podataka da detaljno istraže navodne slučajeve povrede osobnih podataka od strane vanjskih dobavljača te da nametnu odgovarajuće kazne i sankcije u skladu s europskim zakonodavstvom o zaštiti podataka;

22.  pozdravlja skoro stupanje na snagu uredbe o uspostavi okvira za provjeru izravnih stranih ulaganja radi sigurnosti i javnog reda te naglašava da se tom uredbom po prvi put utvrđuje popis područja i čimbenika, uključujući komunikacije i kibersigurnost, koji su relevantni za sigurnost i javni red na razini EU-a;

23.  poziva Vijeće da ubrza svoj rad na prijedlogu uredbe o e-privatnosti;

24.  ponavlja da EU treba podupirati kibersigurnost diljem cijelog lanca vrijednosti, od istraživanja do uvođenja i primjene ključnih tehnologija, širiti relevantne informacije i promicati kiberhigijenu i obrazovne programe koji obuhvaćaju kibersigurnost te smatra da će program Digitalna Europa, zajedno s ostalim mjerama, biti učinkovit alat za to;

25.  potiče Komisiju i države članice da poduzmu potrebne korake, uključujući velike programe ulaganja, za stvaranje okruženja povoljnog za inovacije u EU-u, koje bi trebalo biti dostupno svim poduzećima u digitalnom gospodarstvu EU-a, uključujući mala i srednja poduzeća; nadalje, traži da takvo okruženje europskim dobavljačima omogući razvoj novih proizvoda, usluga i tehnologija, čime bi im se omogućilo da budu konkurentni;

26.  poziva Komisiju i države članice da u okviru sljedećih rasprava o budućoj strategiji EU-a i Kine uzmu u obzir navedene zahtjeve kao preduvjete za daljnju konkurentnost EU-a i jamčenje sigurnosti njegove digitalne infrastrukture;

27.  nalaže svojem predsjedniku da ovu Rezoluciju proslijedi Vijeću i Komisiji.

(1) SL L 321, 17.12.2018., str. 36. (2) SL L 194, 19.7.2016., str. 1. (3) SL L 218, 14.8.2013., str. 8. (4) Usvojeni tekstovi, P8_TA(2019)0121. (5) Usvojeni tekstovi, P8_TA(2018)0343. (6) SL C 307, 30.8.2018., str. 144. (7) SL L 119, 4.5.2016., str. 1. (8) SL L 348, 20.12.2013., str. 129.