EUROOPAN KOMISSIO Bryssel 13.9.2017 COM(2017) 478 final KOMISSION KERTOMUS EUROOPAN PARLAMENTILLE JA NEUVOSTOLLE Euroopan unionin verkko- ja tietoturvaviraston (ENISA) arvioinnista FI FI
1. JOHDANTO 1.1 TIETOJA ENISASTA Euroopan unionin verkko- ja tietoturvavirasto perustettiin vuonna 2004, ja sen toimeksiantoa on sen jälkeen jatkettu uusiksi toimikausiksi. ENISAn nykyinen toimeksianto määritellään asetuksessa EU N:o 526/2013 1 (jäljempänä ENISA-asetus ), ja se päättyy 19. kesäkuuta 2020. ENISAn tehtävänä on edistää korkeatasoista verkko- ja tietoturvaa unionissa. ENISAasetuksessa vahvistetaan viraston tavoitteet, joiden mukaan se kehittää ja ylläpitää korkealaatuista asiantuntemusta; auttaa unionin toimielimiä, elimiä, laitoksia ja virastoja kehittämään toimintapolitiikkoja verkko- ja tietoturvan alalla; auttaa unionin toimielimiä, elimiä, laitoksia ja virastoja sekä jäsenvaltioita panemaan täytäntöön toimintapolitiikat, joita tarvitaan nykyisissä ja tulevissa unionin säädöksissä asetettujen verkko- ja tietoturvaan liittyvien lakisääteisten ja sääntelyllisten vaatimusten täyttämiseksi, edistäen näin sisämarkkinoiden moitteetonta toimintaa; auttaa parantamaan ja vahvistamaan unionin ja jäsenvaltioiden kykyä ja valmiuksia ehkäistä ja havaita verkko- ja tietoturvallisuusongelmia ja -uhkia ja reagoida niihin; käyttää asiantuntemustaan edistääkseen laajaa yhteistyötä julkisen ja yksityisen sektorin toimijoiden välillä. Lisäksi EU:n lainsäätäjät päättivät, että toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa annetussa direktiivissä (EU) 2016/1148 2, jäljempänä verkko- ja tietoturvadirektiivi, annetaan ENISAlle keskeisiä tehtäviä kyseisen säädöksen täytäntöönpanossa. Erityisesti virasto tarjoaa sihteeristöpalvelut CSIRT-verkostolle (joka on perustettu edistämään nopeaa ja tehokasta operatiivista yhteistyötä jäsenvaltioiden välillä). Viraston tehtävänä on myös avustaa strategisen yhteistyön yhteistyöryhmää sen tehtävien suorittamisessa. Lisäksi verkko- ja tietoturvadirektiivi velvoittaa ENISAn avustamaan jäsenvaltioita ja komissiota tarjoamalla asiantuntemusta ja neuvontaa ja helpottamalla parhaiden käytäntöjen vaihtoa. Virasto sijaitsee Kreikassa, ja sen hallinnollinen toimipaikka on Iráklion (Kreeta). Ydintoiminnot ovat Ateenassa. Sen palveluksessa on 84 työntekijää, ja sen vuotuinen toimintabudjetti on 11,25 miljoonaa euroa. Sitä johtaa pääjohtaja, ja hallinnosta vastaavat johtokunta, hallitus ja pysyvä sidosryhmä. Epävirallinen kansallisten yhteyshenkilöiden verkosto helpottaa yhteydenpitoa jäsenvaltioiden kanssa. 1.2 KERTOMUKSEN TARKOITUS ENISA-asetuksen 32 artiklan mukaisesti komission on suoritettava 20. kesäkuuta 2018 mennessä ENISAsta arviointi, jossa tarkastellaan erityisesti viraston ja sen 1 http://eur-lex.europa.eu/legal-content/fi/txt/?qid=1495472820549&uri=celex:32013r0526 2 http://eur-lex.europa.eu/legalcontent/fi/txt/?uri=uriserv:oj.l_.2016.194.01.0001.01.eng&toc=oj:l:2016:194:toc 2
toimintatapojen vaikutuksia, tuloksellisuutta ja tehokkuutta sekä sitä, onko nykyistä toimeksiantoa tarpeen jatkaa. Sen jälkeen, kun voimassa oleva ENISA-asetus hyväksyttiin vuonna 2013, kyberturvallisuustilanteessa on tapahtunut merkittäviä muutoksia, ja ottaen huomioon mainitun asetuksen vaikutukset politiikan, markkinoiden ja teknologian tasolla komissio ilmoitti vuonna 2016 antamassaan tiedonannossa Euroopan kyberresilienssijärjestelmän vahvistaminen sekä kilpailukykyisen ja innovatiivisen kyberturvallisuustoimialan tukeminen 3, että se aikaistaisi ENISAn arviointia ja uudelleentarkastelua. Komissio huomautti erityisesti, että ENISAn uudelleentarkastelu tarjoaisi mahdollisuuden parantaa viraston voimavaroja ja valmiuksia, jotta virasto voisi tukea jäsenvaltioita kestävällä tavalla kyberresilienssin saavuttamisessa. Tämä tulevaisuudennäkymä huomioitiin myös vuonna 2016 annetuissa neuvoston päätelmissä 4, joissa todettiin, että kyberuhkat ja haavoittuvuudet muuttuvat ja kasvavat, mikä edellyttää jatkuvaa ja tiiviimpää yhteistyötä erityisesti laajamittaisten rajatylittävien kyberturvallisuuspoikkeamien käsittelemiseksi. Päätelmissä vahvistettiin, että ENISAasetus on yksi EU:n kyberresilienssikehyksen keskeisimpiä elementtejä. ENISAn arvioinnin tuloksia hyödynnettiin vaikutustenarvioinnissa, joka liitettiin ehdotukseen asetukseksi Euroopan unionin verkko- ja tietoturvavirastosta ( EU:n kyberturvallisuusvirasto ENISA) ja asetuksen (EU) 526/2013 kumoamisesta sekä tietoja viestintätekniikan kyberturvallisuussertifioinnista ( kyberturvallisuusasetus ). ENISA-asetuksen 32 artiklan mukaan komissio toimittaa arviointikertomuksen ja päätelmänsä Euroopan parlamentille, neuvostolle ja johtokunnalle. Tähän tiivistelmäkertomukseen liitetään komission yksiköiden valmisteluasiakirja Euroopan unionin verkko- ja tietoturvaviraston arvioinnista (SWD(2017) 502). 2. ARVIOINNIN TÄRKEIMMÄT HAVAINNOT Parempaa sääntelyä koskevien komission suuntaviivojen 5 mukaisesti arvioinnissa tarkasteltiin viraston toimivuutta, tehokkuutta, sen toiminnan johdonmukaisuutta, merkityksellisyyttä ja sen EU:lle tuomaa lisäarvoa viraston suorituskyvyn, hallinnon, sisäisen organisaatiorakenteen ja työskentelytapojen suhteen. Analyysissä otettiin huomioon myös viraston muuttunut toimintaympäristö erityisesti seuraavien seikkojen osalta: EU:n uusi sääntely- ja poliittinen kehys (esim. verkko- ja tietoturvadirektiivi, EU:n kyberturvallisuusstrategian uudelleentarkastelu); viraston sidosryhmäyhteisön muuttuvat tarpeet; muiden EU:n ja kansallisten toimielinten, virastojen ja laitosten tekemän työn (esim. EU:n toimielinten tietotekniikan kriisiryhmä (CERT-EU) ja Europolissa toimiva Euroopan kyberrikostorjuntakeskus (EC3)) täydentävyys ja siitä saatavat mahdolliset yhteisvaikutukset. Viraston toiminnan arvioimiseksi 3 4 5 Komission tiedonanto Euroopan kyberresilienssijärjestelmän vahvistamisesta sekä kilpailukykyisen ja innovatiivisen kyberturvallisuustoimialan tukemisesta, COM/2016/0410 final. Neuvoston päätelmät Euroopan kyberresilienssijärjestelmän vahvistamisesta sekä kilpailukykyisen ja innovatiivisen kyberturvallisuustoimialan tukemisesta 15. marraskuuta 2016. COM (2015)215 final, SWD (2015)111 final; http://ec.europa.eu/smart-regulation/guidelines/docs/swd_br_guidelines_en.pdf 3
komissio tilasi riippumattoman tutkimuksen, joka toteutettiin vuoden 2016 marraskuun ja vuoden 2017 heinäkuun välisenä aikana ja joka on tärkein arvioinnissa käytetty lähde yhdessä komission toteuttaman sisäisen analyysin kanssa; tutkimustoimiin kuului aineistotutkimusta sekä tietojen keräämistä ja analysointia, mukaan lukien sidosryhmille suunnatut kyselytutkimukset, kyberturvallisuusalan keskeisten toimijoiden perusteelliset haastattelut, sidosryhmille kohdennettu työpaja, vertailuanalyysi (benchmarking), viraston positiointi sekä vahvuuksia, heikkouksia, mahdollisuuksia ja uhkia mittava analyysi (SWOT); komissio toteutti myös 12 viikkoa kestäneen julkisen verkkokuulemisen, jossa käsiteltiin niin ENISAn jälkiarviointia kuin tulevaisuutta, sekä keskeisille sidosryhmille kohdennettuja kuulemisia. Arvioinnin tärkeimmät tulokset, arviointiperusteittain jaoteltuina, ovat seuraavat: 1. Merkityksellisyys: Kehittyvän teknologian ja muuttuvien uhkien tilanteessa, jossa vallitsee merkittävä tarve lisätä verkko- ja tietoturvallisuutta EU:ssa, ENISAn tavoitteet ovat osoittaneet merkityksensä. On todettu, että jäsenvaltiot ja EU:n elimet nojautuvat sen asiantuntemukseen verkko- ja tietoturvatilanteen kehittymisestä. Lisäksi jäsenvaltioissa on tarpeen kehittää valmiuksia ymmärtää ja torjua uhkia, ja sidosryhmien on tarpeen toimia yhteistyössä eri temaattisten alojen ja instituutioiden välisesti. Verkko- ja tietoturva on edelleen EU:n keskeinen poliittinen prioriteetti, johon ENISAn odotetaan vastaavan. Toisaalta kuitenkin ENISAn toimeksianto EU:n virastona, jonka toimikausi on määräaikainen, i) ei mahdollista pitkän aikavälin suunnittelua ja kestävää tukea jäsenvaltioille ja EU:n toimielimille nopeasti muuttuvassa kyberuhkaympäristössä; ii) voi johtaa oikeudelliseen tyhjiöön, koska verkko- ja tietoturvadirektiivin säännöksillä ENISAlle annetaan luonteeltaan pysyviä tehtäviä. 2. Vaikuttavuus: ENISA on yleisesti ottaen saavuttanut tavoitteensa ja täyttänyt tehtävänsä. Se on myötävaikuttanut verkko- ja tietoturvan lisäämiseen Euroopassa tärkeimmillä toiminnoillaan (valmiuksien kehittäminen, asiantuntemuksen tarjoaminen, yhteisöjen rakentaminen ja toimintapoliittinen tuki). On kuitenkin todettu, että sen toimintaa on mahdollista parantaa kussakin näistä. Arvioinnissa todettiin ENISAn vaikutuksen näkyvän siinä, miten se on pystynyt luomaan tiiviit ja luottamukseen perustuvat suhteet joihinkin sidosryhmiinsä, erityisesti jäsenvaltioihin ja CSIRT-yhteisöön. Valmiuksien kehittämiseen liittyvällä toiminnalla katsottiin olleen vaikutus erityisesti jäsenvaltioissa, joilla on vähäisemmät resurssit. Tärkeimpiin saavutuksiin kuuluu laajan yhteistyön edistäminen, ja sidosryhmät ovat paljolti samaa mieltä ENISAn myönteisestä roolista sidosryhmien saattamisessa yhteen. ENISAn on kuitenkin ollut hankalaa saada aikaan suurta vaikutusta verkko- ja tietoturvan hyvin laajalla alalla. Tämä on johtunut myös sitä, että sillä on ollut laaja-alaiseen toimeksiantoonsa nähden melko rajalliset henkilö- ja taloudelliset resurssit. Arvioinnissa pääteltiin myös, että ENISA on täyttänyt osittain tavoitteensa tarjota asiantuntemusta. Tavoitteen saavuttamiseen vaikuttivat asiantuntijoiden palkkaamiseen liittyvät vaikeudet (ks. Tehokkuus jäljempänä). 3. Tehokkuus: Pienistä määrärahoistaan huolimatta ENISAn budjetti on kuuluu EU:n virastojen suppeimpiin virasto on kyennyt edistämään kohdennettuja 4
tavoitteita tavalla, joka osoittaa kaiken kaikkiaan tehokasta resurssien käyttöä. Arvioinnissa todettiin, että prosessit olivat yleisesti ottaen tehokkaita ja että organisaation sisäisen selkeän vastuunjaon ansiosta viraston työ suoritettiin hyvin. Yksi viraston suurimmista tehokkuushaasteista liittyy ENISAn vaikeuksiin rekrytoida ja pitää palveluksessaan erittäin päteviä asiantuntijoita. Havaintojen mukaan tämä voi johtua useista eri tekijöistä, kuten julkisen sektorin yleisistä vaikeuksista kilpailla yksityisen sektorin kanssa pitkälle erikoistuneiden asiantuntijoiden palkkaamisessa, sopimusten tyypistä, sillä virasto voi tarjota enimmäkseen vain määräaikaisia työsopimuksia, sekä ENISAn sijaintiin liittyvästä verrattain vähäisestä houkuttelevuudesta, johtuen esimerkiksi puolisoiden kohtaamista vaikeuksista löytää töitä. Sijainti sekä Ateenassa että Iráklionissa edellytti lisätoimia viraston toiminnan koordinoimiseksi ja aiheutti lisäkustannuksia, mutta ydintoimintaosaston siirtyminen Ateenaan vuonna 2013 on lisännyt viraston toiminnallista tehokkuutta. 4. Johdonmukaisuus: Vaikka ENISAn toimet ovat yleisesti olleet johdonmukaisia suhteessa sen sidosryhmien politiikkaan ja toimintaan kansallisella ja EU:n tasolla, kyberturvallisuuteen on tarpeen omaksua koordinoidumpi lähestymistapa EU:n tasolla. Potentiaalia ENISAn ja muiden EU:n elinten väliseen yhteistyöhön ei ole hyödynnetty täysimääräisesti. EU:n oikeudellisen ja poliittisen toimintaympäristön kehittymisen vuoksi nykyinen toimeksianto ei ole yhtä johdonmukainen suhteessa siihen. 5. EU:n tason lisäarvo: Viraston lisäarvo syntyi pääasiassa viraston mahdollisuuksista tehostaa yhteistyötä pääasiallisesti jäsenvaltioiden välillä mutta myös verkko- ja tietoturva-alan yhteisöjen kanssa. Mikään muu toimija EU:n tasolla ei tue vastaavan sidosryhmäkirjon yhteistyötä verkko- ja tietoturvaalalla. Viraston tuoma lisäarvo vaihteli eri sidosryhmien erilaisten tarpeiden ja resurssien mukaan (esim. suuret v. pienet jäsenvaltiot tai jäsenvaltiot v. toimiala) ja riippuen viraston tarpeesta priorisoida toimiaan työohjelman mukaisesti. Arvioinnissa todettiin, että mahdollinen ENISAn lakkauttaminen olisi menetetty mahdollisuus kaikille jäsenvaltioille. Vastaavanlaajuista yhteisöjen rakentamista ja yhteistyötä ei voitaisi varmistaa pelkästään jäsenvaltioiden välillä kyberturvallisuuden alalla. Ilman EU:n erillisvirastoa tilanne olisi nykyistä hajanaisempi, kun ENISAn jälkeensä jättämä tyhjiö korvautuisi kahdenvälisellä tai alueellisella yhteistyöllä. 3. PÄÄTELMÄT JA SUOSITUKSET Arvioinnissa todettiin, että ENISAlle annettiin ENISA-asetuksessa laaja toimeksianto joka mahdollistaa joustavuuden mutta joissakin tapauksissa kaipaisi tarkennusta, jotta viraston työllä voisi olla laajamittainen vaikutus ja sen tavoitteet osoittautuivat merkityksellisiksi vuosina 2013 2016. Virasto arvioitiin tehokkaaksi ja lisäarvoa tuovaksi toimijaksi EU:n tasolla erityisesti keskeisten toimiensa välityksellä, joita ovat muun muassa kyberturvallisuuden yleiseurooppalaiset harjoitukset, tuki CSIRTyhteisölle ja uhkaympäristön analysointi. ENISA on osaltaan lisännyt Euroopan verkkoja tietoturvaa pääasiassa jäsenvaltioiden ja verkko- ja tietoturvan alan sidosryhmien välistä yhteistyötä tukemalla sekä yhteisöjen rakentamiseen ja valmiuksien kehittämiseen tähtäävillä toimillaan. Virasto saavutti kyseiset tulokset huolimatta monista haasteista, joita käsitellään tämän kertomuksen edeltävissä osissa ja liitteenä olevassa komission yksiköiden valmisteluasiakirjassa. Yksi keskeisistä haasteista liittyi rajallisiin resursseihin, jotka 5
eivät vastanneet viraston laajaa toimeksiantoa, erityisesti kun otetaan huomioon verkkoja tietoturvadirektiivissä virastolle annetut lisätehtävät sekä nopeasti kehittyvä uhkaympäristö. ENISA on edelleen ainoa EU:n virasto, jonka toimeksianto on määräaikainen huolimatta muun muassa edellä mainituista verkko- ja tietoturvadirektiivistä johtuvista tehtävistä. Kyberturvallisuuden uhkaympäristö muuttuu nopeasti ja uusia uhkia ilmenee sitä mukaa, kun Euroopasta tulee yhä riippuvaisempi digitaalisista infrastruktuurista ja palveluista, sillä verkkoonliitettävyys ei enää koske pelkästään tiettyjä laitteita vaan on läsnä kaikkialla. Esineiden internet luo uusia mahdollisuuksia, jotka liittyvät energiatehokkuuteen, ympäristönsuojeluun, verkkoyhteyksillä varustettuun liikenteeseen, reaaliaikaiseen terveydentilan seurantaan sekä älykkääseen ja saumattomaan rahaliikenteeseen digitaalisessa taloudessa ja yhteiskunnassa. Näiden liiketoimintaa edistävien tekijöiden ohella ilmenee kuitenkin myös uusia haavoittuvuuksia ja hyväksikäyttömahdollisuuksia, joita hyödyntämällä vaarannetut laitteet voivat häiritä digitaalisten sisämarkkinoiden toimintaa. Arviointi johti päätelmään, jonka mukaan ENISAn nykyinen toimeksianto ei tarjoa tarvittavia välineitä vastata tämänhetkisiin ja tuleviin kyberturvallisuushaasteisiin. Lisäksi vaarana on, että hajanaisuus EU:n tasolla kasvaa sen vuoksi, että EU:n tasolla on niin monia kyberturvallisuuden alan toimijoita, joiden välinen koordinointi on riittämätöntä. EU tarvitsee yhteyspisteen voidakseen puuttua uusiin uhkiin, jotka ovat luonteeltaan horisontaalisia ja vaikuttavat useisiin toimialoihin, ja voidakseen vastata kyberturvallisuusyhteisön, erityisesti EU:n jäsenvaltioiden, EU:n toimielinten ja yritysten, tarpeisiin. Arvioinnin perusteella voidaankin todeta, että tarvitaan EU:n virasto, jolla on monialainen/horisontaalinen perusta ja vahva toimeksianto. Arviointi osoittaa, että useista haasteista huolimatta ENISAlla on valtavasti potentiaalia, kunhan sille annetaan riittävän vahva toimeksianto ja riittävät taloudelliset ja henkilöresurssit, jotta se voi edistää kyberturvallisuutta EU:ssa. Lisäksi on selvää, että tarvitaan eri sidosryhmien välistä yhteistyötä ja koordinointia. Tiedonkulun helpottamiseksi, puutteiden paikkaamiseksi ja tehtävien ja vastuualueiden päällekkäisyyksien välttämiseksi on yhä tärkeämpää, että EU:n tasolla olisi yksi koordinointitaho. ENISA pystyy EU:n erillisvirastona ja neutraalin välittäjän roolissaan koordinoimaan EU:n lähestymistapaa kyberuhkiin. Tämän perusteella komissio on esittänyt ENISAn uudistamiseksi ehdotuksen sellaisesta pysyvästä toimeksiannosta, joka perustuu viraston keskeisiin vahvuuksiin ja uusiin painopistealueisiin muun muassa kyberturvallisuuden alan sertifioinnissa. Uuden toimeksiannon olisi heijastettava muuttunutta todellisuutta ja annettava virastolle mahdollisuus tukea EU:ta riittävällä tavalla tulevaisuudessa. 6