Euroopan unionin neuvosto Bryssel, 7. marraskuuta 2016 (OR. en) 13967/1/16 REV 1 ILMOITUS: I/A-KOHTA Lähettäjä: Vastaanottaja: Neuvoston pääsihteeristö Ed. asiak. nro: 11911/3/16 REV 3 Kom:n asiak. nro: 11013/16 Asia: Pysyvien edustajien komitea / Neuvosto CYBER 122 COMPET 558 IND 229 RECH 302 TELECOM 213 Ehdotus neuvoston päätelmiksi Euroopan kyberresilienssijärjestelmän vahvistamisesta sekä kilpailukykyisen ja innovatiivisen kyberturvallisuustoimialan tukemisesta Hyväksyminen 1. Komissio esitteli kyberkysymyksiä käsittelevän puheenjohtajan tukiryhmän (jäljempänä "tukiryhmä") kokouksessa 22. heinäkuuta 2016 tiedonantonsa "Euroopan kyberresilienssijärjestelmän vahvistaminen sekä kilpailukykyisen ja innovatiivisen kyberturvallisuustoimialan tukeminen" 1. Sen tarkoituksena on tukea Euroopan kyberturvallisuustoimialan kasvua ja vahvistaa jäsenvaltioiden välistä yhteistyötä erityisesti laajan kyberhyökkäyksen yhteydessä ja samalla maksimoida käytettävissä olevien resurssien käyttö. 1 Asiak. 11013/16. 13967/1/16 REV 1 elv/tih/kkr 1 DG D 2B FI
2. Komission esittelyn jälkeen puheenjohtajavaltion laatimien avainviestien 2 pohjalta käydyt keskustelut osoittivat selvästi, että tiedonannossa esitettyjä aiheita on syytä pohtia strategisesti etukäteen ja että siinä esitettyjen tavoitteiden saavuttaminen edellyttää poliittista sitoutumista. 3. Tukiryhmän kokouksessa 17. syyskuuta puheenjohtajavaltio esitteli ensimmäisen ehdotuksen neuvoston päätelmiksi 3. Tämä ehdotus perustuu avainviestien luetteloon sekä jäsenvaltioiden kommentteihin ja kirjallisiin panoksiin. Alustavan keskustelun pohjalta voitiin yhdenmukaistaa viestien rakennetta ja tavoitetta ottaen asianmukaisesti huomion äskettäin hyväksytyn verkko- ja tietoturvadirektiivin käynnissä oleva täytäntöönpano. 4. Kaksi muuta keskustelukierrosta käytiin tukiryhmän kokouksissa 7. ja 28. lokakuuta 2016, ja valtuuskuntien toimittamien kirjallisten panosten ansiosta neuvottelut voitiin saattaa päätökseen työryhmätasolla ja valmistella lopullinen kompromissiteksti 4. 5. Pysyvien edustajien komiteaa pyydetään tämän pohjalta ehdottamaan, että neuvosto hyväksyisi liitteessä olevan ehdotuksen neuvoston päätelmiksi Euroopan kyberresilienssijärjestelmän vahvistamisesta sekä kilpailukykyisen ja innovatiivisen kyberturvallisuustoimialan tukemisesta. 2 3 4 Asiak. DS 1373/16. Asiak. 11911/16. Asiak. 11911/3/16 REV 3. 13967/1/16 REV 1 elv/tih/kkr 2 DG D 2B FI
LIITE Ehdotus neuvoston päätelmiksi Euroopan kyberresilienssijärjestelmän vahvistamisesta sekä kilpailukykyisen ja innovatiivisen kyberturvallisuustoimialan tukemisesta EUROOPAN UNIONIN NEUVOSTO, joka PALAUTTAA MIELEEN: päätelmänsä komission ja Euroopan unionin ulkoasioiden ja turvallisuuspolitiikan korkean edustajan yhteisestä tiedonannosta "Euroopan unionin kyberturvallisuusstrategia: Avoin, turvallinen ja vakaa kybertoimintaympäristö" 5 ; EU:n kyberpuolustuspolitiikan kehyksen 6 ; päätelmänsä kyberdiplomatiasta 7 ; komission tiedonannon "Digitaalisten sisämarkkinoiden strategia Euroopalle" 8 ; päätelmänsä hybridiuhkien torjumisesta 9 ; päätelmänsä sähköisen hallinnon toimintasuunnitelmasta 2016 2020 10 ; komission tiedonannon "Euroopan kyberresilienssijärjestelmän vahvistaminen sekä kilpailukykyisen ja innovatiivisen kyberturvallisuustoimialan tukeminen" 11 ; päätelmänsä Euroopan unionin ulko- ja turvallisuuspoliittisesta globaalistrategiasta 12 ; 5 6 7 8 9 10 11 12 Asiak. 12109/13. Asiak. 15585/14. Asiak. 6122/15. COM(2015) 192 final, 6. toukokuuta 2015. Asiak. 7857/16. Asiak. 12080/16. COM(2016) 410 final, 5. heinäkuuta 2016. Asiak. 13202/16. 13967/1/16 REV 1 elv/tih/kkr 3
PANEE MERKILLE Amsterdamissa toukokuussa 2016 pidetyn kyberturvallisuutta käsitelleen korkean tason konferenssin tulokset; vuosina 2011 (Lontoo), 2012 (Budapest), 2013 (Soul) ja 2015 (Haag) pidettyjen maailmanlaajuisten kyberavaruuskonferenssien tulokset; TOTEAA, ETTÄ 1. jäsenvaltiot, komissio ja muut EU:n toimijat ovat toissijaisuusperiaatteen mukaisesti tehneet tiiviisti yhteistyötä Euroopan kyberturvallisuuden ja kyberresilienssin edistämiseksi EU:n ja jäsenvaltioiden tasolla erityisesti EU:n kyberturvallisuusstrategian hyväksymisen jälkeen ja että intensiivisen ja yhteisen yhteistyön jatkaminen on välttämätöntä, jotta voidaan suojata EU:ta kyberuhkilta ja samalla noudattaa laaja-alaista ja johdonmukaista lähestymistapaa kyberturvallisuuteen; 2. kyberuhkat ja haavoittuvuudet muuttuvat ja kasvavat, mikä edellyttää jatkuvaa ja tiiviimpää yhteistyötä erityisesti laajamittaisten rajatylittävien kyberturvallisuuspoikkeamien käsittelemiseksi; 3. kyberturvallisuus on keskeisen tärkeää digitaalisten sisämarkkinoiden asianmukaiselle toiminnalle, koska sen lisäksi, että kyberturvallisuuspoikkeamat voivat aiheuttaa nykyyhteiskunnassa vakavia häiriöitä ja suurta taloudellista vahinkoa eurooppalaisille yrityksille, ne voivat heikentää kansalaisten ja yritysten luottamusta digitaaliseen yhteiskuntaan ja aiheuttaa haluttomuutta käyttää digitaaliteknologiaa; 13967/1/16 REV 1 elv/tih/kkr 4
4. äskettäin hyväksytty verkko- ja tietoturvadirektiivi 13, jossa vahvistetaan uudet yhteistyömekanismit, aikanaan uusittava EU:n kyberturvallisuusstrategia sekä pian uudelleen tarkasteltava ENISA-asetus ovat sen EU:n kyberresilienssikehyksen keskeisimmät elementit, jonka puitteissa jäsenvaltioiden ja EU:n toimijoiden kyberturvallisuudesta olisi voitava huolehtia tehokkaasti; 5. koulutuksen avulla saavutettavat asianmukaiset kyberturvallisuustaidot sekä kyberturvallisuuspoikkeamien ehkäisemiseksi että niiden vaikutusten käsittelemiseksi ja lieventämiseksi ovat yksi keskeinen näkökohta kyberturvallisuusresilienssin saavuttamisessa samalla kun edistetään yhteistyötä jäsenvaltioiden, komission, EUH:n, ENISAn, Europolin, Eurojustin, EDA:n sekä tarvittaessa Naton keskuudessa; 6. eri toimialojen välinen strateginen ja operatiivinen yhteistyö ja tietojenvaihto jäsenvaltioissa ja rajojen yli EU:n sisällä on olennaisen tärkeää kyberturvallisuuden säilyttämiseksi ja kyberturvallisuuspoikkeamien ehkäisemiseksi ja niiden vaikutusten lieventämiseksi. Tällainen yhteistyö auttaa lisäämään valmiutta ja resilienssiä, minkä lisäksi se auttaa ymmärtämään paremmin keskinäisiä riippuvuussuhteita, esimerkiksi Euroopan elintärkeiden infrastruktuureiden suojaamisohjelman toteuttamisen kautta; 7. yhteisten riskien ja laajamittaisten kyberturvallisuuspoikkeamien vaikutusten volyymin arvioinnissa otetaan huomioon rajatylittävät ja eri toimialojen väliset riippuvuussuhteet sekä julkisella että yksityisellä sektorilla; 8. on tärkeää varmistaa asianmukainen rahoitusvalmius kyberturvallisuusalalla toimivien pkyritysten ja start up -yritysten tukemiseksi, erityisesti niiden mahdollisuus saada rahoitusta ja tehdä investointeja etenkin niiden kehittämistyön alkuvaiheissa; 9. Horisontti 2020 -ohjelman osana perustetun julkisen ja yksityisen sektorin sopimusperusteisen kyberturvallisuuskumppanuuden lisäarvo on siinä, että se tukee Euroopan kyberturvallisuusalan kilpailu- ja innovointikykyä; 13 Direktiivi (EU) 2016/1148 toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa (EUVL L 194, 19.7.2016, s. 1). 13967/1/16 REV 1 elv/tih/kkr 5
10. digitaalialan teknologian dynaaminen kehitys ja siitä seuranneet moninaiset tieto- ja viestintätekniikkatuotteet, -palvelut ja -ratkaisut tuovat mukanaan paitsi uusia yhteiskunnallisia ja taloudellisia haasteita myös etenkin dataan liittyviä uusia turvallisuushaasteita, ja tätä kehitystä olisi vielä pohdittava ja edistettävä digitaalisilla sisämarkkinoilla; 11. liikesalaisuuksien kybervarkaudet voivat vahingoittaa Euroopan teollisuuden innovointi- ja kilpailukykyä, ja niiden vaikutuksia olisi pohdittava tarkemmin; 12. jäsenvaltioiden yhteisenä tavoitteena on edistää Euroopan strategista riippumattomuutta Euroopan unionin ulko- ja turvallisuuspoliittisesta globaalistrategiasta annetuissa neuvoston päätelmissä esitetyllä tavalla, myös kyberavaruudessa; KOROSTAA SEURAAVAA: 13. kukin jäsenvaltio on jatkossakin vastuussa tarpeellisten toimenpiteiden toteuttamisesta keskeisten turvallisuusetujensa suojelemiseksi perussopimuksia täysin noudattaen; 14. jäsenvaltioiden olisi ensi tilassa saatettava verkko- ja tietoturvadirektiivi osaksi kansallista lainsäädäntöään siten, että yhteistyö äskettäin perustetussa yhteistyöryhmässä ja CSIRTverkostossa tulevat tehokkaasti huomioon otetuiksi, mikä vaikuttaisi myönteisesti kyberresilienssin ja kyberturvallisuuden vahvistamiseen sekä laajamittaisten kyberturvallisuuspoikkeamien käsittelyyn; 15. EU:n toimijoiden verkko- ja tietoturvan parantaminen olisi nähtävä yhtenä ensisijaisena toimena kyberturvallisuuden vahvistamiseksi koko EU:ssa; 16. kybervalmiuksien kehittäminen ja luottamusta lisäävät toimenpiteet ovat tarpeen kyberturvallisuuspoikkeamien riskin ehkäisemiseksi ja rajoittamiseksi ja digitaalisiin sisämarkkinoihin kohdistuvan luottamuksen lisäämiseksi; 13967/1/16 REV 1 elv/tih/kkr 6
17. on käytettävä diplomaattisia, oikeudellisia ja teknisiä keinoja ja tehostettava yhteistyötä EU:n ja jäsenvaltioiden tasolla, jotta kyberturvallisuuspoikkeamiin, kuten verkossa tapahtuviin haittaa aiheuttaviin toimiin, voitaisiin vastata onnistuneesti ja torjua kyberrikollisuutta; 18. EU:n on mukautettava täysimääräisesti sisäänrakennetun turvallisuuden ja yksityisyyden suojan lähestymistavat, jotta voidaan kehittää, tuottaa ja ottaa käyttöön tehokkaita, korkealaatuisia, kohtuuhintaisia ja yhteentoimivia kyberturvallisuustuotteita ja -palveluja sekä toteuttaa toimia integroidumpien ja globaalimpien markkinoiden luomiseksi niitä varten; 19. elinkeinoelämän kanssa käytävä vuoropuhelu kyberturvallisuudesta saattaisi auttaa löytämään puutteita kyberturvallisuuteen liittyvissä sertifiointi- ja validointimekanismeissa ja merkintäjärjestelmissä, joissa olisi huomioitava kansainvälisesti hyväksytyt standardit ja periaatteet; 20. asiaan liittyvien toimien sekä EU:n politiikkojen, rahoitusvälineiden ja ohjelmien olisi oltava keskenään johdonmukaisia, jotta Euroopan kyberresilienssijärjestelmät voitaisiin panna tehokkaasti täytäntöön; 21. julkisen ja yksityisen sektorin sopimusperusteisen kyberturvallisuuskumppanuuden olisi oltava avoin uusille tulijoille, siihen liittymisen edellytysten olisi oltava läpinäkyviä ja näitä edellytyksiä koskevien tietojen olisi oltava helposti saatavilla. 13967/1/16 REV 1 elv/tih/kkr 7
KEHOTTAA komissiota 22. pyrkimään tiedonannossa "Euroopan kyberresilienssijärjestelmän vahvistaminen" määriteltyihin tavoitteisiin erityisesti a) toimittamalla yhteistyösuunnitelman tavoista vastata laajamittaisiin kyberturvallisuuspoikkeamiin EU:n tasolla, jotta verkko- ja tietoturvadirektiivin elimet ja muut asiaankuuluvat sidosryhmät, erityisesti ENISA, voisivat tarkastella sitä vuoden 2017 alkupuoliskolla ottaen huomioon suunnitelman täydentävän roolin; b) viimeistelemällä ENISAn arvioinnin vuoden 2017 loppuun mennessä ja tekemällä mahdollisimman pian ENISAn toimenkuvan uudistamiseen liittyviä ehdotuksia (kuten toimivallan laajentaminen kattamaan verkko- ja tietoturvadirektiivissä esitetyt tehtävät); c) perustamalla kyberturvallisuuden koulutusfoorumin tiiviissä yhteistyössä jäsenvaltioiden, EUH:n, Europolin, Eurojustin, ENISAn, EDA:n ja muiden asiaankuuluvien EU:n toimijoiden kanssa; d) selvittämällä tarvittavat oikeudelliset ja organisatoriset edellytykset sille, että jäsenvaltiot voisivat tehdä säännöllisesti julkisen verkkoinfrastruktuurin haavoittuvuustarkastuksia; e) harkitsemalla mahdollisuutta perustaa kyberturvallisuuden sertifiointi- ja merkintäjärjestelmä ottaen tarvittaessa huomioon olemassa olevat tehokkaat turvallisuusjärjestelmät toimenpiteiden (myös lainsäädännöllisten toimenpiteiden) ehdottamiseksi näihin haasteisiin vastaamiseksi vuoteen 2017 mennessä; f) lisäämällä kyberturvallisuusyhteisön tietämystä olemassa olevista rahoitusvälineistä ja edistämällä EU:n välineiden käyttöä innovatiivisten pk-yritysten tukemiseksi; g) tutkimalla tapoja helpottaa pk-yritysten ja start up -yritysten mahdollisuuksia saada rahoitusta ja tehdä investointeja etenkin niiden kehittämistyön alkuvaiheessa (esimerkiksi erityisen kyberturvallisuuden investointijärjestelyn avulla); h) arvioimalla Euroopan ISAC-keskusten nykyistä toimintaa ja valmistelemalla tarvittaessa ehdotuksia näiden rakenteiden vahvistamiseksi edelleen yhdessä jäsenvaltioiden ja soveltuvissa tapauksissa kansallisten ISAC-keskusten kanssa; i) edistämällä sisäänrakennetun turvallisuuden lähestymistapaa merkittävissä infrastruktuuri-investoinneissa, joissa on digitaalisia osatekijöitä ja joita osarahoitetaan eurooppalaisista rahastoista; 13967/1/16 REV 1 elv/tih/kkr 8
23. kuulemalla jäsenvaltioita ennen sellaisten uusien mekanismien ja rakenteiden (kuten "tietokeskuksen" tai korkean tason neuvoa-antavan ryhmän) perustamista tai uusien välineiden (kuten yhteistyösuunnitelman) käyttöönottoa, jotka liittyvät kyberturvallisuuteen, niiden täydentävään rooliin, tavoitteisiin ja tiettyihin tehtäviin; 24. raportoimalla neuvostolle vuosittain kirjallisesti tapahtuneesta edistymisestä; KEHOTTAA JÄSENVALTIOITA 25. käynnistämään kyberturvallisuuteen liittyvät yhteistyömekanismit kaikilta osin ja parantamaan rajatylittävää yhteistyötä laajamittaisten kyberturvallisuuspoikkeamien ehkäisyyn, käsittelyyn ja/tai niiden vaikutusten lieventämiseen liittyvän valmiuden osalta verkko- ja tietoturvadirektiivissä sovittuja periaatteita ja säännöksiä noudattaen; 26. osallistumaan aktiivisesti julkisen ja yksityisen sektorin sopimusperusteiseen kyberturvallisuuskumppanuuteen Euroopan teollisuuden kilpailukyvyn, tutkimuksen ja innovoinnin lisäämiseksi; 27. tekemään komission kanssa yhteistyötä ja ottamaan samalla huomioon kyberturvallisuustuotteiden ja -palvelujen globaalin sertifiointikehyksen kehittämisen sellaisen avoimen eurooppalaisen kehyksen luomiseksi kansainvälisten standardien mukaisesti ja asiantuntijoiden osallistumisen pohjalta, joka kattaa laajasti tieto- ja viestintäteknologian järjestelmät ja ratkaisut kaikilla turvallisuustasoilla ja jota voidaan soveltaa kaikissa jäsenvaltioissa tavoitteena luoda todelliset ja turvalliset digitaaliset sisämarkkinat, mikä tekisi Euroopasta johtajan globaalin standardoinnin alalla; 28. tekemään komission ja muiden asiaankuuluvien tahojen kanssa yhteistyötä näissä päätelmissä esitettyjen strategisten tavoitteiden saavuttamiseksi. 13967/1/16 REV 1 elv/tih/kkr 9
KEHOTTAA ASIAANKUULUVIA SIDOSRYHMIÄ 29. omaksumaan kyberturvallisuusalan parhaat käytännöt, tukemaan tietoisuuden lisäämistä, ajantasaistamaan taitoja ja parantamaan koulutusta kyberturvallisuuden alalla; 30. harkitsemaan investointien lisäämistä korkeatasoisten kyberturvallisuustuotteiden - ja palvelujen markkinoilla ja syventämään tarvittaessa yhteistyötä viranomaisten, tapauksen mukaan esimerkiksi kansallisten CERT-toimijoiden, kanssa; 31. hyödyntämään parhaalla mahdollisella tavalla julkisen ja yksityisen sektorin sopimusperusteista kyberturvallisuuskumppanuutta ja Euroopan ISAC-keskuksia toimialan sisäisen yhteistyön tukemiseksi, erityisesti tutkimuksen ja innovoinnin, standardoinnin, sertifioinnin, merkintöjen, yhteisten investointien ja toimialan yhdentymisen osalta; 32. myötävaikuttamaan proaktiivisesti näissä päätelmissä esitettyjen strategisten tavoitteiden saavuttamiseen Euroopan teollisuuden resilienssin vahvistamiseksi; 33. keskittymään kyberturvallisuusratkaisujen käyttöönottoon kaikilla aloilla ja kaikkien käyttäjien toimesta. 13967/1/16 REV 1 elv/tih/kkr 10