oraz "Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady ustanawiającego środki mające na celu zwiększenie solidarności i zdolności w Unii w zakresie wykrywania zagrożeń cyberbezpieczeństwa i incydentów w cyberbezpieczeństwie oraz przygotowywania się i reagowania na takie zagrożenia i incydenty"

(COM(2023) 209 final) - 2023/0109 (COD)

(2023/C 349/25)

(Dz.U.UE C z dnia 29 września 2023 r.)

Sprawozdawca: Dumitru FORNEA

Współsprawozdawca: Alberto MAZZOLA

1. Wnioski i zalecenia

1.1. Europejski Komitet Ekonomiczno-Społeczny (EKES) z zadowoleniem przyjmuje wniosek dotyczący rozporządzenia 1  i uważa, że koordynacja na szczeblu UE ma zasadnicze znaczenie dla rozwiązania problemu obecnego rozdrobnienia rynku i zacieśnienia współpracy między podmiotami prywatnymi i publicznymi UE w celu poprawy zdolności zapobiegania zagrożeniom w dziedzinie cyberbezpieczeństwa, ich wykrywania i reagowania na nie. EKES zaleca, by we wniosku zwrócono większą uwagę na przestrzeganie zasad pomocniczości i proporcjonalności, zgodnie z art. 4 ust. 2 Traktatu o Unii Europejskiej (TUE).

1.2. Komitet docenia wysiłki Komisji Europejskiej w dziedzinie cyberbezpieczeństwa i podkreśla, że kompleksowa reakcja na incydenty w cyberbezpieczeństwie powinna obejmować nie tylko zdolności i procesy, ale także sprzęt i oprogramowanie. EKES jest jednak przeciwny licznym uprawnieniom wykonawczym zaproponowanym w rozporządzeniu, zwłaszcza że cyberbezpieczeństwo pozostaje prerogatywą państw członkowskich.

1.3. Potrzebna jest średniookresowa strategia na rzecz osiągnięcia strategicznej autonomii w kluczowych technologiach i sektorach krytycznych, wspierająca przedsiębiorstwa z siedzibą w UE, które tworzą zakłady badawcze i produkcyjne. EKES podkreśla kluczowe znaczenie zamawiania wyłącznie technologii unijnych w celu wyposażenia krajowych centrów monitorowania bezpieczeństwa (SOC) w najnowocześniejsze technologie.

1.4. EKES z niepokojem stwierdza, że nie przyjęto żadnego systemu cyberbezpieczeństwa i żaden produkt nie został jeszcze poddany certyfikacji cyberbezpieczeństwa cztery lata po przyjęciu unijnego aktu w sprawie cyberbezpieczeństwa 2 . Zaleca zaangażowanie agencji sektorowych UE 3  w opracowywanie systemów cyberbezpieczeństwa oraz przyjęcie minimalnej normy UE we współpracy z CEN, CENELEC i ETSI, w tym w odniesieniu do urządzeń "internetu ludzi" (IoP) i internetu rzeczy (IoT).

1.5. EKES uznaje zaproponowaną zwiększoną rolę ENISA i apeluje o odpowiedni przydział personelu i środków budżetowych na wszystkie dodatkowe działania, aby umożliwić ENISA wypełnianie jej istotnej roli strategicznej zgodnie z ambicjami UE w zakresie cyberbezpieczeństwa.

1.6. Państwa członkowskie powinny osiągnąć konsensus w sprawie przyjęcia całościowego podejścia do cyberbezpie- czeństwa obejmującego wykwalifikowany personel, konsekwentnie wdrażane procesy i odpowiednie najnowocześniejsze technologie, ze szczególnym naciskiem na zacieśnienie współpracy z sektorem prywatnym. Kluczowe znaczenie mają silne powiązania i współpraca między sektorem obronnym a sektorem prywatnym.

1.7. Specyfikacje techniczne przyszłej infrastruktury informatycznej powinny umożliwiać sprawną interoperacyjność między systemami krajowymi a europejską tarczą cyberbezpieczeństwa. Krajowe SOC muszą być również przygotowane do przeprowadzania krajowych testów warunków skrajnych dotyczących infrastruktury krytycznej i dzielenia się wynikami w ramach europejskiej tarczy cyberbezpieczeństwa.

1.8. Komitet proponuje, by każde konsorcjum koordynujące SOC posiadało roczny mandat w ramach wspólnego systemu rotacji. Finansowanie unijne dla konsorcjum przyjmującego powinno pokrywać 100 % kosztów nabycia narzędzi i infrastruktury oraz 50 % kosztów operacyjnych (w przeciwieństwie do proponowanego wskaźnika 75 %-50 %).

1.9. Ponieważ w ostatnich latach zwiększył się niedobór wykwalifikowanej siły roboczej w dziedzinie cyberbezpie- czeństwa, Komitet z zadowoleniem przyjmuje inicjatywę Akademii Umiejętności w dziedzinie Cyberbezpieczeństwa i uważa, że potrzebne są wskaźniki mierzące postępy w zmniejszaniu niedoborów umiejętności w zakresie cyberbezpieczeństwa.

1.10. EKES zauważa, że Komisja Europejska nie przedstawiła dokładnych szacunków kosztów wymaganych programów, technologii analizy danych i projektów rozwoju infrastruktury. Uważa, że proponowane źródła finansowania na szczeblu UE są niewystarczające, i wzywa do zbadania dodatkowych źródeł, w tym łączenia prywatnych zasobów finansowych.

1.11. Przedstawiona procedura ubiegania się o wsparcie z unijnej rezerwy cyberbezpieczeństwa wydaje się powolna i nie zawiera jasnych terminów reagowania. Komitet podkreśla konieczność błyskawicznego reagowania w przypadku incydentu w cyberbezpieczeństwie.

1.12. EKES wzywa Komisję Europejską do wyjaśnienia definicji "znacznej ilości danych", o której mowa w art. 6 ust. 2 lit. a) omawianego rozporządzenia, a także "celów", o których mowa w lit. c) tego samego ustępu.

1.13. Komitet uważa, że kluczowe znaczenie ma udział UE w globalnych dyskusjach na temat ustanowienia międzynarodowej strategii cyberbezpieczeństwa. Szybkie prowadzenie dochodzeń w sprawie cyberataków i pociąganie sprawców do odpowiedzialności ma zasadnicze znaczenie, w tym za pośrednictwem kanałów dyplomatycznych w sprawach spoza UE.

1.14. EKES wyraża rozczarowanie faktem, że partnerzy społeczni i organizacje społeczeństwa obywatelskiego nie zostały ani razu wymienione w dokumencie, i podkreśla, że osiągnięcie ściślejszej współpracy między podmiotami publicznymi i prywatnymi wymaga pełnego zaangażowania zorganizowanego społeczeństwa obywatelskiego UE.

1.15. Komitet proponuje, by sprawozdanie dla Parlamentu Europejskiego i Rady zostało przedstawione dwa lata po wejściu w życie rozporządzenia (a nie cztery, jak proponuje Komisja), wraz z oceną skutków, która powinna towarzyszyć omawianemu rozporządzeniu. EKES podkreśla potrzebę wdrożenia zarówno precyzyjnych środków realizacji, które koncentrują się na osiąganiu wyników, jak i kluczowych wskaźników efektywności, które służą do oceny wyników.

2. Uwagi wstępne

2.1. Ciągłe zmiany, anonimowość i brak granic w cyberprzestrzeni stwarzają zarówno możliwości, jak i zagrożenia dla funkcjonowania społeczeństwa informacyjnego na poziomie indywidualnym, państwowym i ponadnarodowym.

2.2. Ze względu na wyraźny potencjał szybkiego rozprzestrzeniania się incydentów w cyberbezpieczeństwie z jednego państwa członkowskiego na inne, UE stoi w obliczu rosnących zagrożeń dla cyberbezpieczeństwa i skomplikowanego krajobrazu ryzyka. Koordynacja na szczeblu UE ma zasadnicze znaczenie dla przezwyciężenia obecnego rozdrobnienia i propagowania ściślejszej współpracy między państwami członkowskimi.

2.3. Jednolity rynek UE wymaga jednolitej interpretacji i jednorodnego wdrażania przepisów dotyczących cyberbezpieczeństwa, nawet jeśli ze względu na sposób funkcjonowania poszczególnych sektorów należy przewidzieć różne podejścia.

2.4. Aby szybko i skutecznie reagować na każdy incydent w cyberbezpieczeństwie, kluczowe znaczenie ma szybki system wymiany informacji między wszystkimi istotnymi zainteresowanymi stronami na szczeblu krajowym i unijnym. To z kolei wymaga jasnego zrozumienia ról i obowiązków każdej ze stron.

2.5. Komitet docenia wysiłki Komisji Europejskiej w dziedzinie cyberbezpieczeństwa i dużą liczbę komunikatów i wniosków, które koncentrują się na tworzeniu silniejszych ram UE, wzmocnionej współpracy i odporności oraz budowaniu odstraszania. Europa potrzebuje najnowocześniejszych cybertechnologii, przy ściśle powiązanych sektorach obronnym i prywatnym, aby uruchomić budżety obronne i tworzyć cyberprodukty zarówno do celów wojskowych, jak i cywilnych. Komitet podkreśla, że reakcja konieczna w przypadku cyberincydentów musi obejmować nie tylko zdolności i procesy, ale także aspekty związane ze sprzętem i oprogramowaniem.

2.6. Omawiany wniosek dotyczący rozporządzenia wdraża również strategię UE w zakresie cyberbezpieczeństwa, która została przyjęta w grudniu 2020 r. i zapowiedziała ustanowienie europejskiej tarczy cyberbezpieczeństwa w celu wzmocnienia zdolności w zakresie wykrywania zagrożeń dla cyberbezpieczeństwa i wymiany informacji w całej UE.

2.7. W miarę rozwoju europejskiej tarczy cyberbezpieczeństwa Komisja Europejska proponuje przyszłą stopniową współpracę z sieciami i platformami odpowiedzialnymi za wymianę informacji w środowisku cyberobrony, w ścisłej współpracy z Wysokim Przedstawicielem.

2.8. Rosyjska zbrojna agresja wobec Ukrainy pokazała, w jaki sposób można przeprowadzać ofensywne cyberoperacje jako kluczowy element taktyki hybrydowej, która obejmuje przymus, destabilizację i zakłócenia gospodarcze.

3. Uwagi ogólne

3.1. EKES z zadowoleniem przyjmuje proponowane rozporządzenie, które ma zaradzić obecnemu rozdrobnieniu rynku i przyspieszyć współpracę między europejskimi zainteresowanymi stronami z sektora prywatnego i publicznego w celu lepszego zapobiegania zagrożeniom cyberbezpieczeństwa, ich wykrywania i reagowania na nie. Po wdrożeniu może przyczynić się do zwiększenia odporności systemów europejskich.

3.2. Należy jednak zauważyć, że cele określone w niniejszym wniosku zostały już wskazane we wniosku dotyczącym wspólnej jednostki ds. cyberprzestrzeni 4 : ściślejsza współpraca, gotowość i odporność systemów cyberbezpieczeństwa UE. Chociaż oczekiwano, że jednostka ds. cyberprzestrzeni stanie się operacyjna do końca 2022 r., we wniosku Komisji nie ma o niej w ogóle mowy.

3.3. Żadna pojedyncza technologia lub narzędzie nie może zapewnić pełnej ochrony przed cyberzagrożeniami. Państwa członkowskie powinny zatem uzgodnić całościowe podejście do bezpieczeństwa, obejmujące wykwalifikowany personel, konsekwentnie stosowane procesy i odpowiednie najnowocześniejsze technologie. Należy skupić się na lepszej współpracy z sektorem prywatnym.

3.4. EKES wyraża rozczarowanie faktem, że w dokumencie ani razu nie wspomniano o partnerach społecznych i organizacjach społeczeństwa obywatelskiego. Wzmocnionej współpracy między organizacjami publicznymi i prywatnymi nie da się osiągnąć bez pełnego zaangażowania zorganizowanego społeczeństwa obywatelskiego UE.

3.5. UE powinna przyjąć średniookresową strategię na rzecz osiągnięcia strategicznej autonomii w kluczowych technologiach i sektorach krytycznych, a EKES zaleca wspieranie przedsiębiorstw z siedzibą w UE w tworzeniu zakładów badawczych i produkcyjnych w celu wspierania autonomicznego ekosystemu cyberbezpieczeństwa. EKES zasugerował już, że "UE musi przede wszystkim zmniejszyć zależność od gigantów technologicznych spoza UE poprzez wzmożone wysiłki, by rozwinąć bezpieczną, inkluzywną i opartą na wartościach gospodarkę cyfrową" 5 .

3.6. Z dużym zadowoleniem należy przyjąć propozycję ustanowienia europejskiej tarczy cyberbezpieczeństwa, która będzie złożona z krajowych i transgranicznych centrów monitorowania bezpieczeństwa (SOC) i będzie wyposażona w najnowocześniejsze technologie. Aby zapewnić odporność całego łańcucha dostaw, rozwiązania SOC muszą nie tylko chronić wewnętrzne zasoby organizacyjne, ale również sprzyjać bezpiecznej wymianie i szerszej współpracy w ramach ekosystemu. Specyfikacje techniczne przyszłej infrastruktury informatycznej muszą umożliwiać pełną interoperacyjność między systemami krajowymi a europejską tarczą cyberbezpieczeństwa.

3.7. EKES podkreśla istotny aspekt zamawiania wyłącznie technologii europejskich, aby wyposażyć członków europejskiej tarczy cyberbezpieczeństwa w najnowocześniejsze technologie. UE nie może sobie pozwolić na ryzyko nabywania krytycznych cybertechnologii od firm zagranicznych; "w strategicznym interesie UE leży zapewnienie, aby Unia utrzymywała i rozwijała podstawowe zdolności do zabezpieczenia swoich: gospodarki cyfrowej, społeczeństwa i demokracji, osiągnięcia pełnej suwerenności cyfrowej jako jedynego sposobu ochrony technologii krytycznych i świadczenia skutecznych kluczowych usług w zakresie cyberbezpieczeństwa" 6 .

3.8. Komitet uważa, że proponowany podział środków na zakup sprzętu dla krajowych SOC (50 % ze środków krajowych i 50 % ze środków UE) jest odpowiedni, gdyż zapewnia równowagę środków krajowych i unijnych. Konieczne są wspólne wysiłki w celu zapewnienia odpowiedniego sprzętu zaawansowanego technologicznie i skoordynowanego funkcjonowania sieci SOC.

3.9. Krajowe SOC muszą skupić się na ustanowieniu kompleksowych protokołów oceny i testowania bezpieczeństwa oraz powinny przeprowadzać oceny okresowe. Aby ocenić i zwiększyć odporność na potencjalne cyberataki, powinny być również przygotowane do przeprowadzania krajowych testów warunków skrajnych dotyczących infrastruktury krytycznej. Wyniki muszą być udostępniane w ramach europejskiej tarczy cyberbezpieczeństwa i konieczne są wspólne wysiłki w celu oceny istniejących problemów, aktualizacji wytycznych dotyczących sprawozdawczości oraz skutecznego rozwiązywania problemów.

3.10. EKES z niepokojem stwierdza, że Komisja nie przyjęła dotąd żadnego systemu cyberbezpieczeństwa w drodze aktów wykonawczych i żaden produkt nie został jeszcze poddany certyfikacji cyberbezpieczeństwa cztery lata po przyjęciu unijnego aktu w sprawie cyberbezpieczeństwa. Agencje sektorowe UE powinny być zaangażowane w proces opracowywania unijnych systemów cyberbezpieczeństwa. Należy przyjąć minimalną normę europejską we współpracy z CEN, CENELEC i ETSI, w tym w odniesieniu do urządzeń IoP i IoT.

3.11. Nauki informatyczne i cyberbezpieczeństwo muszą zostać włączone do programów nauczania w szkołach podstawowych i średnich we wszystkich państwach członkowskich. Ponieważ niedobór wykwalifikowanej siły roboczej w dziedzinie cyberbezpieczeństwa zwiększył się w ostatnich latach, Komitet uważa, że należy rozważyć ewentualne zachęty do wspierania tej inicjatywy. Komitet z zadowoleniem przyjmuje inicjatywę dotyczącą Akademii Umiejętności w dziedzinie Cyberbezpieczeństwa i uważa, że potrzebne są wskaźniki mierzące postępy w zmniejszaniu niedoborów umiejętności w zakresie cyberbezpieczeństwa.

3.12. Jeżeli nie zostanie wzmocniona współpraca międzynarodowa między państwami, przemysłem i ekspertami w celu ustanowienia wspólnych definicji i rozwiązań w zakresie cyberbezpieczeństwa, światowa gospodarka cyfrowa będzie miała do czynienia z rosnącym zagrożeniem cyberatakami. Współpraca międzynarodowa ma zasadnicze znaczenie dla zrozumienia zagrożeń dla cyberbezpieczeństwa i zmieniającego się charakteru globalnych cyberataków, a tym samym dla zapewnienia gotowości do przeciwdziałania im. UE musi zaangażować się w globalne dyskusje na temat ustanowienia międzynarodowej strategii cyberbezpieczeństwa, wraz ze wspólnymi działaniami międzynarodowymi i wzmocnioną współpracą.

3.13. Aby zapewnić skuteczne odstraszanie, konieczne jest wzmocnienie reakcji UE w zakresie egzekwowania prawa poprzez skupienie się na wykrywaniu, identyfikowaniu i ściganiu cyberprzestępców. Szybkie prowadzenie dochodzeń w sprawie cyberataków i stawianie sprawców przed wymiarem sprawiedliwości, w tym z użyciem środków dyplomatycznych w sprawach poza UE, ma kluczowe znaczenie.

4. Uwagi szczegółowe

4.1. EKES zauważa, że istnieje rozbieżność wizji dotyczących bardziej scentralizowanych działań na szczeblu UE oraz uprawnień i jurysdykcji państw członkowskich, i kwestionuje ostateczne porozumienie w sprawie omawianego wniosku, zwłaszcza że państwa członkowskie jasno stwierdziły w konkluzjach Rady z 2021 r. 7 , że to na nich spoczywa odpowiedzialność za reagowanie na znaczące cyberincydenty i cyberkryzysy dotykające ich państwa.

4.2. EKES docenia wzmocnioną rolę ENISA i proponowane dodatkowe obowiązki po przyjęciu rozporządzenia. Komitet zwraca jednak uwagę, że wszelkie dodatkowe działania ENISA wymagają specjalnego personelu odpowiedzialnego za te zadania i przyznania odpowiedniego budżetu. Jeżeli kwestia ta nie zostanie rozwiązana, ENISA nie będzie mogła pełnić swej kluczowej strategicznej roli zgodnie z ambicjami UE w dziedzinie cyberbezpieczeństwa.

4.3. EKES uważa, że wniosek Komisji jest niejasny co do tego, czy krajowy SOC może stanowić część więcej niż jednej transgranicznej sieci SOC. Nie jest też jasne, czy grupowanie krajowych SOC będzie się odbywać zgodnie z kryteriami geograficznymi, czy też po prostu w oparciu o wolną wolę państw członkowskich.

4.4. EKES zwraca się o wyjaśnienie, co oznacza "znaczna ilość danych" w art. 6 ust. 2 lit. a) omawianego rozporządzenia i jakie są "cele", do których odnosi się Komisja w lit. c) tego samego ustępu.

4.5. Jeżeli państwa członkowskie przyjmą propozycję dotyczącą transgranicznych SOC, to aby zapewnić pełne zaangażowanie krajowych SOC i zarządzanie dzielone z transgranicznymi SOC, SOC pełniący funkcję koordynującego SOC w danym konsorcjum powinien dysponować rocznym mandatem, przy czym wszystkie SOC powinny mieć możliwość koordynowania przywództwa w systemie rotacyjnym.

4.6. Komitet uważa, że finansowanie ze środków UE konsorcjum przyjmującego powinno obejmować 100 % kosztów nabycia narzędzi i infrastruktury oraz 50 % kosztów operacyjnych (w przeciwieństwie do proponowanego we wniosku wskaźnika 75 %-50 %), aby przyspieszyć tworzenie konsorcjów. Należy zagwarantować koordynację w zakresie zamówień publicznych.

4.7. Komitet uważa, że skuteczność europejskiej tarczy cyberbezpieczeństwa w zakresie pomagania państwom członkowskim w przygotowaniu się na cyberincydenty i reagowaniu na nie wymaga konkretnych środków na rzecz pomiaru skuteczności ukierunkowanych na osiąganie wymiernych wyników oraz kluczowych wskaźników efektywności umożliwiających ocenę wyników. EKES zaleca systematyczne rejestrowanie naruszeń cyberbezpieczeństwa i udostępnianie tych informacji uprawnionym zainteresowanym stronom. Umożliwi to ocenę, wdrożenie odpowiednich środków zapobiegawczych i ochronę przed potencjalnymi stratami.

4.8. EKES przyjmuje do wiadomości i popiera propozycję umożliwienia państwom członkowskim zwracania się o pokrycie kosztów związanych z wysyłaniem zespołów ekspertów w ramach wzajemnej pomocy. Chociaż należy wspierać proces wzajemnej pomocy, to mechanizm solidarności powinien być odpowiednio i stopniowo testowany, aby udowodnić swoją skuteczność przed jego pełnym wdrożeniem.

4.9. Komitet z niepokojem zauważa, że coraz więcej światowych guru technologii sztucznej inteligencji (Elon Musk, Geoffrey Hinton itp.) ostrzega przed egzystencjalnym zagrożeniem, jakie stwarza rozwój sztucznej inteligencji w nieregulowanym środowisku. Regulacje dotyczące sztucznej inteligencji muszą iść dalej niż przepisy aktu w sprawie sztucznej inteligencji 8 , a EKES wzywa do odpowiedzialnego wykorzystywania tej technologii we wszystkich projektach w UE, w tym w dziedzinie cyberbezpieczeństwa. Pilnie potrzebne są dalsze dyskusje i wzmocnione ramy regulacyjne.

4.10. EKES już wcześniej stwierdził, że "UE powinna stanowczo sprzeciwiać się wszelkiego rodzaju systemom scoringu obywateli. EKES jasno stwierdza, że prawdziwa demokracja nie może istnieć bez efektywnej ochrony danych osobowych" 9 . Ochrona praw człowieka i prawa obywateli do prywatności musi pozostać podstawową zasadą przy opracowywaniu ulepszonych systemów cyberbezpieczeństwa w całej UE.

cyberprzestrzeni.

4.11. Europejczycy mają do odegrania ważną rolę w sygnalizowaniu cyberzagrożeń odpowiednim organom. EKES uważa, że zasadnicze znaczenie ma zagwarantowanie odpowiednich kanałów komunikacji ze społeczeństwem i organizacjami społeczeństwa obywatelskiego, i wzywa do utworzenia specjalnej platformy do przyjmowania informacji wywiadowczych dotyczących zagrożeń dla cyberbezpieczeństwa. W celu stworzenia narzędzi interakcji ze społeczeństwem Komitet wzywa do prowadzenia kampanii informacyjnych i uświadamiających w celu promowania już dostępnych narzędzi.

4.12. UE i NATO powinny współpracować na rzecz harmonizacji cyberbezpieczeństwa i innych norm technicznych w sektorze obrony, aby zminimalizować przeszkody biurokratyczne i formalności. Ponadto UE i NATO powinny współpracować w zakresie standardów zamówień publicznych i wspólnie ustanowić skuteczne i przejrzyste ramy zamówień, które umożliwiłyby przedsiębiorstwom, zwłaszcza MŚP, udział w przetargach publicznych i uczciwe konkurowanie.

4.13. EKES uważa proponowane źródła finansowania dostępne na szczeblu UE za niewystarczające i domaga się poszukiwania dodatkowych źródeł, w tym łączenia prywatnych zasobów finansowych. Zauważa, że Komisja nie zaproponowała konkretnego oszacowania kosztów niezbędnych programów sztucznej inteligencji, technologii analizy danych i projektów rozwoju infrastruktury we wszystkich państwach członkowskich i na szczeblu UE, które będą niezbędne do wdrożenia działań określonych w omawianym rozporządzeniu.

4.14. Komisja proponuje przyznanie jej uprawnień wykonawczych w celu ustanowienia jednolitych warunków wdrażania tego rozporządzenia, w tym określenia warunków interoperacyjności między transgranicznymi SOC, ustanowienia procedur wymiany informacji podczas cyberincydentów, a także określenia wymogów technicznych dotyczących bezpieczeństwa europejskiej tarczy cyberbezpieczeństwa itp. EKES uważa, że wszystkie te kwestie powinny były zostać wyjaśnione wcześniej i przedstawione we wniosku dotyczącym rozporządzenia, ponieważ cyberbezpieczeń- stwo pozostaje prerogatywą państw członkowskich, a przyznanie zbyt wielu uprawnień do wprowadzania zmian w rękach Komisji mogłoby spowodować niepotrzebne napięcia na tle obaw o obchodzenie unijnego systemu demokratycznego.

4.15. Akt o cyberbezpieczeństwie zawiera komponent przemysłowy, którego celem jest ustanowienie jednolitego rynku rozwiązań w zakresie cyberbezpieczeństwa poprzez utworzenie rezerwy cyberbezpieczeństwa. Procedura ubiegania się o wsparcie z tej rezerwy wydaje się jednak bardzo powolna i nie zawiera jasnych terminów na udzielenie odpowiedzi. Komitet podkreśla, że w przypadku cyberincydentu odpowiednia reakcja musi być błyskawiczna; z pewnością nie umożliwi jej ta długa procedura.

4.16. Komisja Europejska wyjaśniła, że ocena skutków nie została przeprowadzona ze względu na pilny charakter wniosku. Zaproponowała również przedstawienie Parlamentowi Europejskiemu i Radzie szczegółowego sprawozdania cztery lata po wejściu w życie rozporządzenia. Biorąc pod uwagę szybkie zmiany w dziedzinie cyberbezpieczeństwa, EKES uważa, że sprawozdanie powinno zostać przedstawione dwa lata po wejściu w życie rozporządzenia, wraz z oceną skutków, której brakuje w rozporządzeniu. Zaleca ponadto, by we wniosku zwrócono większą uwagę na przestrzeganie zasad pomocniczości i proporcjonalności, zgodnie z art. 4 ust. 2 TUE. Jest to niezbędne, by zapobiec napięciom między scentralizowanymi działaniami UE a kompetencjami i jurysdykcją państw członkowskich.

4.17. EKES podkreśla też, że kwestie cyberbezpieczeństwa należy włączyć do wszystkich obszarów polityki UE.

Bruksela, 13 lipca 2023 r.