Neuvoston päätöslauselma,

annettu 28 päivänä tammikuuta 2002,

yhteisestä lähestymistavasta ja erityisistä toimista verkko- ja tietoturvallisuuden alalla

(2002/C 43/02)

EUROOPAN UNIONIN NEUVOSTO, joka

VASTAUKSENA

Tukholman Eurooppa-neuvoston 23 ja 24 päivänä maaliskuuta 2001 antamiin päätelmiin, joiden mukaan neuvosto ja komissio laativat sähköisten verkkojen turvallisuutta koskevan kattavan strategian, johon sisältyy myös käytännön täytäntöönpanotoimia,

PALAUTTAA MIELIIN:

1. neuvoston 30 päivänä toukokuuta 2001 antaman päätöslauselman "eEurope-toimintasuunnitelma: tieto- ja verkkoturvallisuus",

2. komission tiedonannon neuvostolle, Euroopan parlamentille, talous- ja sosiaalikomitealle sekä alueiden komitealle "Verkko- ja tietoturva: Ehdotus eurooppalaiseksi lähestymistavaksi",

3. komission tiedonannon neuvostolle ja Euroopan parlamentille "eEurope 2002: Vaikutukset ja painopisteet",

4. Feirassa 19 ja 20 päivänä kesäkuuta 2000 kokoontuneen Eurooppa-neuvoston hyväksymän eEurope-toimintasuunnitelman 2002,

5. yleisistä tietotekniikan turvallisuuden arviointiperusteista 7 päivänä huhtikuuta 1995 annetun neuvoston suosituksen 95/144/EY(1),

6. ympärivuorokautisista yhteyspisteistä huipputeknologiaan liittyvän rikollisuuden torjumiseksi 25 päivänä kesäkuuta 2001 annetun neuvoston suosituksen(2),

7. komission tiedonannon "Turvallisempaan tietoyhteiskuntaan tietojärjestelmien turvallisuutta parantamalla ja tietokonerikollisuutta ehkäisemällä",

8. yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 18 päivänä joulukuuta 2000 annetun Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 45/2001(3),

9. yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24 päivänä lokakuuta 1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY(4),

10. televiestinnän yhteenliittämisestä soveltaen avoimen verkon tarjoamisen (ONP) periaatteita yleispalvelun ja yhteentoimivuuden varmistamiseksi 30 päivänä kesäkuuta 1997 annetun Euroopan parlamentin ja neuvoston direktiivin 97/33/EY(5),

11. henkilötietojen käsittelystä ja yksityisyyden suojasta televiestinnän alalla 15 päivänä joulukuuta 1997 annetun Euroopan parlamentin ja neuvoston direktiivin 97/66/EY(6),

12. avoimen verkon tarjoamisen (ONP) soveltamisesta puhelintoimintaan ja teleyleispalvelusta kilpailuympäristössä 26 päivänä helmikuuta 1998 annetun Euroopan parlamentin ja neuvoston direktiivin 98/10/EY(7),

13. sähköisiä allekirjoituksia koskevista yhteisön puitteista 13 päivänä joulukuuta 1999 annetun Euroopan parlamentin ja neuvoston direktiivin 1999/93/EY(8),

SEKÄ KATSOO SEURAAVAA:

(1) Verkoista ja viestintäjärjestelmistä on tullut tärkeä tekijä taloudellisessa ja yhteiskunnallisessa kehityksessä, ja niiden käytettävyys ja eheys on erittäin tärkeää keskeisille perusrakenteille sekä useimmille julkisen ja yksityisen sektorin palveluille ja taloudelle kokonaisuudessaan.

(2) Koska sähköiset palvelut ovat taloudessa yhä tärkeämpiä, verkkojen ja tietojärjestelmien turvallisuus on yhä suuremmassa määrin julkista etua koskeva asia.

(3) Liiketoimien ja tietojen turvallisuudesta on tullut keskeinen edellytys sähköisten palvelujen tarjoamiselle, mukaan lukien sähköinen kaupankäynti ja sähköiset julkiset palvelut, jolloin turvallisuutta kohtaan tunnettu epäluottamus voi hidastaa tällaisten palvelujen laajamittaista käyttöönottoa.

(4) Yksilöiden, yritysten, hallintojen ja muiden organisaatioiden on tarpeen turvata omat tieto- ja viestintäjärjestelmänsä käyttämällä tarvittaessa tehokkaita turvallisuustekniikoita.

(5) Yksityinen sektori, joka toimii kilpailulle avoimessa markkinaympäristössä, tarjoaa innovaatiokykynsä ansiosta lukuisia ratkaisuja, jotka soveltuvat markkinoiden todellisiin tarpeisiin.

(6) Verkko- ja tietoturvallisuuden monimutkaisuudesta aiheutuu, että viranomaisten on kehitettäessä noudatettavaa politiikkaa koskevia toimenpiteitä tällä alalla otettava huomioon monia poliittisia, taloudellisia, organisatorisia ja teknisiä näkökohtia sekä oltava tietoisia viestintäverkkojen hajautetusta ja maailmanlaajuisesta luonteesta.

(7) Noudatettavaa politiikkaa koskevat toimenpiteet voivat olla entistä tehokkaampia vain, jos ne ovat osa eurooppalaista lähestymistapaa, jos niissä otetaan huomioon sisämarkkinoiden tehokas toiminta, jos ne perustuvat jäsenvaltioiden ja kansainvälisen yhteistyön lisäämiseen ja jos ne tukevat innovointia ja eurooppalaisten yritysten mahdollisuuksia kilpailla maailmanlaajuisella tasolla.

(8) Huomattava määrä verkko- ja tietoturvallisuuden kannalta tärkeää lainsäädäntöä on jo olemassa, erityisesti osana televiestintää, sähköistä kaupankäyntiä ja sähköisiä allekirjoituksia koskevia unionin säädöspuitteita.

(9) Televiestintäpalvelujen tarjoajille on asetettu oikeudellisia vaatimuksia, joiden mukaan niiden on toteutettava asianmukaisia teknisiä ja organisatorisia toimenpiteitä palvelujensa turvallisuuden suojaamiseksi: näillä toimenpiteillä on varmistettava riskiin nähden asianmukainen turvallisuustaso.

(10) Kansainvälisestä standardista ISO-15408 (Yhteiset arviointiperusteet) on tullut tunnustettu järjestelmä tietokone- ja verkkotuotteita koskevia turvallisuusvaatimuksia määriteltäessä ja arvioitaessa, onko jokin tuote kyseisten vaatimusten mukainen.

(11) Kansainvälisestä standardista ISO-17799 (Tietotekniikka - Tietoturvan hallintaa koskevat menettelyohjeet) ja vastaavista kansallisista ohjeista on tullut tunnustettu turvallisuuden hallintaa koskeva käytäntö yksityisissä ja julkisissa organisaatioissa.

(12) Internetin perusrakenteen olisi tarjottava mahdollisimman monille pääsy verkkojen ja palvelujen käyttöön, ja tätä rakennetta olisi hallittava ja käytettävä tehokkaasti ja turvallisesti esimerkiksi ottamalla käyttöön avoimia standardeja ja Internetin turvallisuutta koskevia käytäntöjä.

OTTAA HUOMIOON neuvoston 30 päivänä toukokuuta 2001 antaman eEurope-toimintasuunnitelmaa koskevan päätöslauselman mukaisesti, että verkko- ja tietoturvallisuus on

- palvelujen ja tietojen saatavuuden varmistamista,

- häiriöiden ja luvattoman telekuuntelun ehkäisemistä,

- sen varmistamista, että lähetetyt, vastaanotetut tai tallennetut tiedot ovat täydellisiä ja ettei niitä ei ole muutettu,

- tietojen luottamuksellisuuden varmistamista,

- tietojärjestelmien suojaamista luvattomalta käytöltä,

- suojaamista tuholaisohjelmistoja käyttäen tehdyiltä hyökkäyksiltä, ja

- luotettavan todentamisen varmistamista.

NÄIN OLLEN KEHOTTAA JÄSENVALTIOITA:

1. vuoden 2002 loppuun mennessä käynnistämään tai tehostamaan tiedotus- ja koulutuskampanjoita verkko- ja tietoturvallisuutta koskevan tietoisuuden lisäämiseksi, suuntaamaan nämä toimet erityisesti liike-elämälle, yksityisille käyttäjille ja julkishallinnoille, kehittämään tätä tietoisuutta lisääviä kampanjoita läheisessä yhteistyössä yksityisen sektorin kanssa, Internet-palvelun tarjoajat mukaan luettuina, sekä edistämään yksityisen sektorin aloitteita,

2. edistämään erityisesti pienten ja keskisuurten yritysten tietoturvan hallinnassa hyviä toimintatapoja, jotka tarvittaessa perustuvat kansainvälisesti tunnustettuihin standardeihin,

3. vuoden 2002 loppuun mennessä lisäämään tai edistämään turvallisuusperiaatteiden osuutta tietotekniikkaopetuksessa ja -koulutuksessa,

4. vuoden 2002 puoliväliin menessä tarkistamaan tietotekniikan kriisipalveluja - joihin voivat kuulua virushälytysjärjestelmät - koskevien kansallisten järjestelyjen tehokkuuden, jotta voidaan tarvittaessa vahvistaa näiden kykyä ehkäistä ja jäljittää kansallisella tai kansainvälisellä tasolla verkko- ja tietojärjestelmien häiriöitä tai niihin kohdistuvia kyökkäyksiä ja toimia tehokkaasti niiden torjumiseksi,

5. edistämään yhteisiä arviointiperusteita koskevan standardin (ISO-15408) käyttöä ja helpottamaan asiaa koskevien todistusten keskinäistä tunnustamista,

6. vuoden 2002 loppuun mennessä toteuttamaan merkittäviä toimenpiteitä löytääkseen tehokkaita ja yhteentoimivia, sekä mikäli mahdollista tunnustettuihin standardeihin perustuvia turvallisuusratkaisuja - joihin voivat kuulua avoimen lähdekoodin ohjelmistot - sähköisiin viranomaispalveluihinsa ja sähköisiin hankintamenettelyihinsä sekä sähköisten allekirjoitusten käyttöön ottamiseksi, jotta myös niitä julkisia palveluja, joissa vaaditaan tehokasta todentamista, voidaan tarjota myös sähköisesti,

7. jos ne päättävät ottaa käyttöön sähköisiä ja biometrisiä tunnustusjärjestelmiä julkista tai virallista käyttöä varten, tekemään tarvittaessa teknologista kehittämistä koskevaa yhteistyötä sekä tarkastelemaan mahdollisia yhteentoimivuutta koskevia vaatimuksia,

8. yhteisön sisällä tapahtuvan ja kansainvälisen yhteistyön helpottamiseksi vaihtamaan keskenään ja komission kanssa tietoja niistä elimistä, jotka ensisijaisesti vastaavat niiden alueella verkko- ja tietoturvallisuusasioista,

PANEE TYYTYVÄISENÄ MERKILLE, ETTÄ KOMISSIO AIKOO

1. vuoden 2002 aikana helpottaa hyvien toimintatapojen vaihtoa tiedotustoiminnan osalta ja laatia erilaisten kansallisten tiedotuskampanjoiden alustavan luettelon,

2. vuoden 2002 aikana tehdä ehdotuksia yhteisön vuoropuhelun ja yhteistyön lisäämiseksi kansainvälisten järjestöjen ja kumppaneiden kanssa verkkoturvallisuuden alalla erityisesti niiden vaikutusten osalta, joita entistä suurempi riippuvuus sähköisen viestinnän verkoista on aiheuttanut, ja tässä yhteydessä ehdottaa vuoden 2002 loppuun mennessä Internetin perusrakenteen vakaampaa ja turvallisempaa käyttöä käyttöä koskevaa strategiaa,

3. vuoden 2002 loppuun mennessä ehdottaa tarkoituksenmukaisia toimenpiteitä ISO 15408 (Yhteiset arviointiperusteet) -standardin käytön edistämiseksi, todistusten keskinäisen tunnustamisen helpottamiseksi ja tuotteiden arviointimenettelyn parantamiseksi esimerkiksi kehittämällä asianmukaisia suojaprofiileja,

4. vuoden 2002 loppuun mennessä laatia selvityksen sähköiseen ja biometriseen henkilöllisyyden varmentamiseen tarkoitetuista tekniikoista ja sovelluksista näiden järjestelmien tehokkuuden parantamiseksi erityisesti yhteentoimivuuden avulla,

5. vuoden 2002 puoliväliin mennessä tehdä jäsenvaltioita ja yksityistä sektoria kuultuaan ehdotuksia tietoverkkojen turvallisuutta käsittelevän työryhmän perustamiseksi; työryhmän tehtävänä olisi kansallisten toimien pohjalta lisätä verkko- ja tietoturvallisuutta sekä parantaa jäsenvaltioiden kykyä käsitellä yksin tai yhdessä tärkeimpiä verkko- ja tietoturvallisuutta koskevia ongelmia,

6. vuoden 2002 loppuun mennessä tutkia yhteistyössä jäsenvaltioiden kanssa mahdollisia järjestelmiä, joiden avulla jäsenvaltiot ja komissio voivat vaihtaa tietoja ja kokemuksia siitä, miten tämän päätöslauselman tavoitteet on saavutettu ottaen huomioon verkko- ja tietoturvallisuuden monipilarisen ulottuvuuden, ja että komissio aikoo myös selvittää, miten yksityinen sektori voidaan parhaiten ottaa mukaan tietojen ja kokemusten vaihtoon,

PANEE TYYTYVÄISENÄ MERKILLE, että eurooppalaisessa tutkimustoiminnassa keskitytään entistä enemmän turvallisuuskysymyksiin,

KOROSTAA, että tarvitaan enemmän tutkimustoimintaa, joka koskee erityisesti turvallisuusjärjestelmiä ja niiden yhteentoimivuutta, verkkojen luotettavuutta ja suojaamista, kehittyneitä salaustekniikoita, yksityisyyden suojan parantamista sekä langattoman viestinnän turvallisuutta,

KEHOTTAA

- tavarantoimittajia ja palvelujen tarjoajia tehostamaan turvallisuutta olennaisena ja tärkeänä osana tuotteitaan ja palvelujaan,

- pyytää eurooppalaisen yksityisen sektorin tavarantoimittajia ja palvelujen tarjoajia sekä niitä edustavia ryhmittymiä osallistumaan aktiivisemmin kansainväliseen standardointitoimintaan ja perustamaan keskuudessaan tarkoituksenmukaisia yhteistyöelimiä, jotka osaltaan edistävät tämän päätöslauselman tavoitteiden saavuttamista.

(1) EYVL L 93, 26.4.1995, s. 27.

(2) EYVL C 187, 3.7.2001, s. 5.

(3) EYVL L 8, 12.1.2001, s. 1.

(4) EYVL L 281, 23.11.1995, s. 31.

(5) EYVL L 199, 26.7.1997, s. 32.

(6) EYVL L 24, 30.1.1998, s. 1.

(7) EYVL L 101, 1.4.1998, s. 24.

(8) EYVL L 13, 19.1.2000, s. 12.