[pic] | EURÓPSKA KOMISIA | Brusel, 31.3.2011 KOM(2011) 163 v konečnom znení OZNÁMENIE KOMISIE EURÓPSKEMU PARLAMENTU, RADE, EURÓPSKEMU HOSPODÁRSKEMU A SOCIÁLNEMU VÝBORU A VÝBORU REGIÓNOV o ochrane kritických informačných infraštruktúr„Dosiahnuté ciele a ďalšie kroky: na ceste ku globálnej kybernetickej bezpečnosti“ OZNÁMENIE KOMISIE EURÓPSKEMU PARLAMENTU, RADE, EURÓPSKEMU HOSPODÁRSKEMU A SOCIÁLNEMU VÝBORU A VÝBORU REGIÓNOV o ochrane kritických informačných infraštruktúr „Dosiahnuté ciele a ďalšie kroky: na ceste ku globálnej kybernetickej bezpečnosti“ ÚVOD Komisia 30. marca 2009 prijala oznámenie o ochrane kritických informačných infraštruktúr s názvom „Ochrana Európy pred rozsiahlymi kybernetickými útokmi a narušeniami: zvyšovanie pripravenosti, bezpečnosti a odolnosti“[1], ktorým sa ustanovuje plán (ďalej len „akčný plán CIIP“) na posilnenie bezpečnosti a odolnosti životne dôležitých infraštruktúr v rámci informačných a komunikačných technológií (ďalej len „IKT“). Cieľom bolo stimulovať a podporovať rozvoj vysokej úrovne pripravenosti, bezpečnosti a odolnosti na vnútroštátnej i európskej úrovni. Tento prístup získal širokú podporu Rady v roku 2009[2]. Akčný plán CIIP je postavený na piatich pilieroch: pripravenosť a prevencia, detekcia a reakcia, zmierňovanie a obnova, medzinárodná spolupráca a kritériá pre európsku kritickú infraštruktúru v oblasti IKT. Stanovuje sa v ňom práca, ktorú má v rámci každého piliera vykonať Komisia, členské štáty a/alebo sektor priemyslu s podporou Európskej agentúry pre bezpečnosť sietí a informácií (ďalej len agentúra „ENISA“). V Digitálnej agende pre Európu (DAE)[3] prijatej v máji 2010 a v súvisiacich záveroch Rady[4] sa zdôraznilo spoločné porozumenie, že dôvera a bezpečnosť sú základné predpoklady pre široké využívanie IKT, a tým aj pre dosiahnutie cieľov stratégie Európa 2020 týkajúcich sa „inteligentného rastu“ [5]. V DAE sa zdôrazňuje, že je potrebné, aby všetky zainteresované strany spojili svoje sily v holistickom úsilí o zaistenie bezpečnosti a odolnosti infraštruktúr IKT zameranom na prevenciu, pripravenosť a informovanosť a aby vyvinuli účinné a koordinované mechanizmy reakcie na nové a čoraz sofistikovanejšie formy kybernetických útokov a kybernetickej kriminality. Týmto prístupom sa zabezpečí riadne zohľadnenia preventívneho aj reaktívneho aspektu problému. V priebehu posledných mesiacov sa podnikli tieto opatrenia oznámené v rámci digitálnej agendy: Komisia prijala v septembri 2010 návrh smernice o útokoch na informačné systémy[6]. Jej cieľom je posilniť boj proti kybernetickej kriminalite zblížením systémov trestného práva jednotlivých členských štátov a zlepšením spolupráce medzi súdnymi a inými príslušnými orgánmi. Obsahuje aj ustanovenia umožňujúce poradiť si s novými formami kybernetických útokov, najmä sieťami infikovaných počítačov (botnetmi). Ako doplnenie Komisia zároveň predložila návrh[7] na udelenie nového mandátu na posilnenie a modernizáciu Európskej agentúry pre bezpečnosť sietí a informácií (ENISA) s cieľom podporiť dôveru a bezpečnosť sietí. Posilnením a modernizáciou agentúry ENISA sa pomôže EÚ, členským štátom a zainteresovaným stranám súkromného sektora rozvíjať ich schopnosť a pripravenosť pri predchádzaní problémom súvisiacim s kybernetickou bezpečnosťou, ich odhaľovaní a reagovaní na ne. V neposlednom rade sa v rámci DAE, Štokholmského programu/akčného plánu[8] a Stratégie vnútornej bezpečnosti EÚ (ISS)[9] zdôrazňuje odhodlanie Komisie vybudovať digitálne prostredie, v ktorom každý Európan bude môcť plne realizovať svoj hospodársky a sociálny potenciál. Toto oznámenie zhŕňa výsledky dosiahnuté od prijatia akčného plánu CIIP v roku 2009. Opisujú sa v ňom ďalšie kroky plánované na každú akciu na európskej i medzinárodnej úrovni. Takisto sa zameriava na globálny rozmer výziev a význam posilnenia spolupráce medzi členskými štátmi a súkromným sektorom na vnútroštátnej, európskej a medzinárodnej úrovni s cieľom riešenia vzájomnej globálnej závislosti. VYVÍJAJÚCI SA SCENÁR V rámci posúdení vplyvu akčného plánu CIIP[10] a širokej škály analýz a správ súkromných a verejných zainteresovaných strán sa zdôrazňuje nielen sociálna, politická a ekonomická závislosť Európy na IKT, ale aj trvalý rast počtu, rozsahu, zložitosti a možného vplyvu ohrození - či už prírodných alebo spôsobených ľudskou činnosťou. Objavili sa nové a technologicky sofistikovanejšie hrozby. Ich globálny geopolitický rozmer je postupne jasnejší. Sme svedkami tendencií smerujúcich k využívaniu IKT na politickú, hospodársku a vojenskú prevahu, a to aj pomocou útokov. Niekedy sa v tomto kontexte spomínajú aj pojmy ako „kybernetická vojna“ alebo „kybernetický terorizmus“. Okrem toho, ako ukázali nedávne udalosti na juhu Stredozemia, niektoré režimy sú tiež pripravené a schopné z politických dôvodov svojvoľne znemožniť vlastným občanom prístup ku komunikačným prostriedkom IT - najmä k internetu a k mobilnej komunikácii – alebo ho aspoň narušiť. Takéto jednostranné domáce zásahy môžu mať opäť vážne dôsledky na iné časti sveta[11]. Pre lepšie pochopenie rozličných hrozieb je užitočné zoskupiť ich do týchto kategórií: - hrozby zamerané na exploatáciu , ako sú „pokročilé pretrvávajúce hrozby“[12] na účely hospodárskej a politickej špionáže (napr. GhostNet[13]), krádeže identity, nedávne útoky proti systému obchodovania s emisiami[14], alebo útoky na vládne systémy IT[15]. - hrozby zamerané na narušenie , ako sú útoky zahlcujúce požiadavkami na služby (Distributed Denial of Service attacks) alebo spamovanie generované pomocou sietí infikovaných počítačov (napr. sieť Conficker, ktorá obsahuje 7 miliónov strojov, a sieť Mariposa so sídlom v Španielsku, ktorá obsahuje 12,7 milióna strojov[16]), Stuxnet[17] a prerušenie prístupu ku komunikačným prostriedkom; - hrozby zamerané na zničenie. To je scenár, ktorý sa zatiaľ neuskutočnil, ale vzhľadom na rastúcu všadeprítomnosť IKT v kritických infraštruktúrach (napr. inteligentné siete a vodohospodárske systémy) ju nemožno do budúcnosti vylúčiť[18]. EURÓPSKA ÚNIA A GLOBÁLNY KONTEXT Tieto výzvy nie sú špecifické len pre Európsku úniu (EÚ), a EÚ ich ani sama nemôže prekonať. Všadeprítomnosť IKT a internetu umožňuje efektívnejšiu, účinnejšiu a hospodárnejšiu komunikáciu, koordináciu a spoluprácu medzi zainteresovanými stranami a výsledkom je živý ekosystém inovácií vo všetkých oblastiach života. Hrozby však teraz môžu pochádzať z ľubovoľného miesta na svete a v dôsledku globálnej prepojenosti môžu ovplyvniť akúkoľvek časť sveta. Čisto európsky prístup pri riešení budúcich výziev nestačí. Hoci cieľ vytvoriť ucelený a kooperatívny prístup v rámci EÚ je stále rovnako dôležitý, musí sa začleniť do stratégie globálnej koordinácie oslovujúcej kľúčových partnerov, či už sú to jednotlivé národy alebo príslušné medzinárodne organizácie. Musíme sa snažiť o globálne pochopenie rizík spojených s rozšíreným masívnym využívaním IKT vo všetkých segmentoch spoločnosti. Takisto musíme vymyslieť stratégie vhodného a účinného riadenia týchto rizík - ako im predchádzať a prijímať proti nim opatrenia, ako ich zmierňovať a reagovať na ne. V DAE sa vyzýva na „ spoluprácu relevantných aktérov“, ktorá sa má „organizovať na celosvetovej úrovni, aby sa mohlo účinne bojovať proti bezpečnostným hrozbám a zmierňovať ich “ a stanovuje sa cieľ, v rámci ktorého treba „spolupracovať so zainteresovanými stranami na celom svete predovšetkým na posilňovaní celosvetového riadenia rizík v digitálnom a fyzickom svete a podnikať medzinárodne koordinované presne zamerané kroky proti trestnej činnosti a útokom na bezpečnosť na báze počítačových technológií“. VYKONÁVANIE AKčNÉHO PLÁNU CIIP: NIEKTORÉ VÝZNAMNEJšIE ASPEKTY Úplná správa o dosiahnutých výsledkoch a ďalších krokoch akčného plánu CIIP sú k dispozícii v prílohe. Nasledujú niektoré významnejšie aspekty súčasného stavu. Pripravenosť a prevencia - Európske fórum členských štátov (EFMS) dosiahlo významný pokrok v rámci podpory diskusie a výmeny informácií o osvedčených politických postupoch týkajúcich sa bezpečnosti a odolnosti infraštruktúr IKT medzi príslušnými orgánmi. Fórum EFMS je uznávané členskými štátmi ako významná platforma pre diskusiu a výmenu osvedčených politických postupov[19]. .Pri svojich činnostiach bude aj naďalej využívať podporu agentúry ENISA a zameria sa na spoluprácu medzi vnútroštátnymi/vládnymi tímami reakcie na núdzové počítačové situácie, (CERT), identifikáciu hospodárskych a regulačných stimulov na podporu bezpečnosti a odolnosti (pri rešpektovaní platných pravidiel hospodárskej súťaže a štátnej pomoci), hodnotenie „zdravotného stavu kybernetickej bezpečnosti“ v Európe, riadenie celoeurópskych cvičných simulácií, ako aj na diskusiu o prioritách medzinárodného dosahu na bezpečnosť a odolnosť. - Európske verejno-súkromné partnerstvo pre odolnosť (EP3R) bolo vytvorené ako celoeurópsky rámec riadenia odolnosti infraštruktúr IKT. Zameriava sa na podporu spolupráce medzi verejným a súkromným sektorom v otázkach stratégie EÚ týkajúcej sa politík bezpečnosti a odolnosti. Agentúra ENISA hrala úlohu sprostredkovateľa pre činnosti EP3R a na základe návrhu Komisie z roku 2010 o modernizácii agentúry ENISA by poskytovala dlhodobý a udržateľný rámec pre toto partnerstvo. EP3R bude tiež slúžiť ako platforma pre medzinárodný dosah na verejnú politiku, hospodárske a marketingové záležitosti súvisiace s bezpečnosťou a odolnosťou, a to najmä na posilnenie globálneho riadenia rizík infraštruktúr IKT. - Bol vyvinutý minimálny súbor základných funkcií a služieb [20] a súvisiace politické odporúčania [21] pre vnútroštátne/vládne tímy CERT, aby mohli efektívne fungovať a konať ako kľúčové zložky vnútroštátnej pripravenosti a schopnosti zdieľania informácií, koordinácie a reakcie. Na základe týchto výsledkov bude možné s podporou agentúry ENISA zriadiť sieť dobre fungujúcich vnútroštátnych/vládnych tímov CERT zo všetkých členských štátov do roku 2012. Táto sieť sa stane základom Európskeho systému zdieľania informácií a varovania (EISAS) pre občanov a malé a stredné podniky, ktorý sa má vybudovať z vnútroštátnych zdrojov a prostriedkov do roku 2013. Detekcia a reakcia - ENISA vypracovala na vysokej úrovni plán vývoja európskeho systému zdieľania informácií a varovania ( EISAS ) do roku 2013[22], ktorý vychádza z vykonávania základných služieb na úrovni vnútroštátnych/vládnych tímov CERT a služieb interoperability pre vnútroštátne systémy zdieľania informácií a varovaní, ktoré sa majú začleniť do EISAS. Primeraná ochrana osobných údajov bude jedným z kľúčových prvkov tejto činnosti. Zmierňovanie a obnova - Zatiaľ iba 12 členských štátov zorganizovalo cvičnú simuláciu zameranú na odozvu na rozsiahly bezpečnostný sieťový incident a obnovu funkcií po havárii[23]. ENISA vypracovala príručku osvedčených postupov pri vnútroštátnych cvičných simuláciách [24], ako aj politické odporúčania týkajúce sa rozvoja vnútroštátnych stratégií[25] na podporu aktivít členských štátov, ktoré by sa mali zintenzívniť. - Prvá celoeurópska cvičná simulácia týkajúca sa rozsiahlych bezpečnostných sieťových incidentov (Kybernetická Európa 2010) sa konala 4. novembra 2010 za účasti všetkých členských štátov, z ktorých 19 sa na cvičnej simulácii aktívne podieľalo, plus Švajčiarska, Nórska a Islandu. Budúce celoeurópske kybernetické cvičné simulácie budú mať nepochybne prospech zo spoločného rámca, ktorý nadväzuje na vnútroštátne pohotovostné plány a prepája ich, a tak poskytuje základné mechanizmy a postupy pre komunikáciu a spoluprácu medzi členskými štátmi. Medzinárodná spolupráca - Európske zásady a usmernenia pre odolnosť a stabilitu internetu [26] sa prerokúvali a rozvíjali v rámci fóra EFMS. Komisia tieto zásady podporí a prerokuje s príslušnými zainteresovanými stranami, najmä so súkromným sektorom (prostredníctvom EP3R), dvojstranne s kľúčovými medzinárodnými partnermi, najmä s USA, ako aj mnohostranne. Urobí tak v rámci svojich kompetencií na fórach ako G8, OECD, NATO (najmä na základe svojej novej strategickej koncepcie prijatej v novembri 2010 a aktivít Centra excelentnosti pre spoluprácu v rámci ochrany pred kybernetickými útokmi), ITU (v kontexte budovania kapacít v oblasti kybernetickej bezpečnosti), OBSE (prostredníctvom jeho Fóra pre bezpečnostnú spoluprácu), ASEAN, Meridian[27] atď. Cieľom je, aby tieto zásady a usmernenia vytvorili zdieľaný rámec pre medzinárodnú kolektívnu angažovanosť týkajúcu sa dlhodobej odolnosti a stability internetu. Kritériá európskych kritických infraštruktúr v sektore IKT - Technické rokovania v rámci fóra EFMS viedli k prvému návrhu osobitných kritérií pre odvetvie IKT na identifikáciu európskych kritických infraštruktúr, s dôrazom na pevnú a mobilnú komunikáciu a internet . Technické diskusie budú pokračovať a ťažiť z konzultácií so súkromným sektorom o návrhu kritérií na vnútroštátnej a európskej (prostredníctvom EP3R) úrovni. Komisia bude rokovať s členskými štátmi aj o prvkoch špecifických pre IKT, ktoré je potrebné zvážiť pri revízii smernice o identifikácii a označení európskych kritických infraštruktúr a posúdení potreby zlepšenia ich ochrany[28] v roku 2012. ĎALšÍ POSTUP Implementácia akčného plánu CIIP sa vyznačuje pozitívnymi výsledkami, a to najmä čo sa týka uznania potreby kooperatívneho prístupu k sieťovej a informačnej bezpečnosti, ktorý zahŕňa všetky zainteresované strany. Je tiež z väčšej časti v súlade s medzníkmi a časovou osou stanovenou v roku 2009. Nemali by sme však zaspať na vavrínoch, pretože ešte stále zostáva urobiť veľa práce ako na vnútroštátnej, tak aj na európskej úrovni, aby toto úsilie bolo úspešné. Je tiež veľmi dôležité začleniť ich do globálnej koordinačnej stratégie a tým rozšíriť toto úsilie na medzinárodnej scéne na všetky príslušné zainteresované strany, do ďalších regiónov, krajín alebo organizácií, ktoré riešia podobné problémy, a rozvíjať partnerstvá s cieľom zdieľať prístupy a súvisiace činnosti a zabrániť duplicite úsilia. Musíme podporovať globálnu kultúru riadenia rizík. Je potrebné zamerať sa na podporu koordinovaných opatrení v rámci prevencie, odhaľovania a zmierňovania všetkých druhov narušení, či už spôsobených ľudskou činnosťou, alebo prírodnými silami, ako aj reakcie na tieto narušenia, a v rámci stíhania s nimi súvisiacej kybernetickej kriminality. To zahŕňa vykonávanie cielených opatrení proti ohrozeniu bezpečnosti a počítačovej kriminalite. S týmto cieľom Komisia bude : - podporovať zásady odolnosti a stability internetu - Medzinárodne zásady odolnosti a stability internetu by mali byť vytvorené v spolupráci s inými krajinami, s medzinárodnými organizáciami a tam, kde je to vhodné, s globálnymi spoločnosťami súkromného sektora - využitím existujúcich fór a procesov, ako napríklad tých, ktoré súvisia so správou internetu. Tieto zásady by mali slúžiť ako nástroj pre všetky zainteresované strany na vytvorenie rámca pre aktivity týkajúce sa stability a odolnosti internetu. Na tento účel by mohli európske zásady a usmernenia slúžiť ako základ. - budovať strategické medzinárodné partnerstvá - Strategické partnerstvá by mali byť postavené na prebiehajúcom úsilí v kritických oblastiach, ako je riadenie kybernetických incidentov vrátane cvičných simulácií a spolupráce medzi tímami CERT. Zapojenie súkromného sektora, ktorý pôsobí v celosvetovom meradle, je nanajvýš dôležité. Pracovná skupina EÚ-USA pre kybernetickú bezpečnosť a kybernetickú kriminalitu, ktorá vznikla počas samitu EÚ-USA v novembri 2010, je dôležitým krokom týmto smerom. Pracovná skupina sa zameria na riadenie kybernetických incidentov, verejno-súkromných partnerstiev, zvyšovanie povedomia a kybernetickú kriminalitu. Môže tiež zvážiť možnosti spolupráce s inými regiónmi alebo krajinami, najmä zdieľanie postupov a súvisiacich činností pri riešení podobných problémov, a podľa okolností zabrániť duplicite úsilia. Ďalšie informačné a koordinačné snahy by sa mali uskutočniť na medzinárodných fórach, najmä v rámci G8. Čo sa týka Európy, kľúčové faktory pre úspech by boli: dobrá koordinácia medzi všetkými inštitúciami EÚ, príslušnými agentúrami (najmä agentúrou ENISA a Europolom) a členskými štátmi. - rozvíjať dôveru v internetový oblak počítačov - Je potrebné posilniť diskusiu o najlepších stratégiách čo sa týka správy novovznikajúcich technológií s globálnym dosahom, ako je internetový oblak počítačov. Do tejto diskusie by sa mal určite zahrnúť aj vhodný rámec riadenia ochrany osobných údajov, ale nemala by sa obmedziť len na tento problém. Na plné využívanie jeho výhod je potrebná dôvera[29]. Vzhľadom k tomu, že bezpečnosť je spoločnou zodpovednosťou každého, všetky členské štáty musia zabezpečiť, aby ich vnútroštátne opatrenia a úsilie spoločne prispievali ku koordinovanému európskemu prístupu prevencie, odhaľovania, zmierňovania a reakcie na všetky druhy kybernetických narušení a útokov. V tejto súvislosti by sa mali členské štáty zaviazať, že : - zvýšia pripravenosť EÚ vytvorením siete dobre fungujúcich vnútroštátnych/vládnych tímov CERT do roku 2012 . Podobne orgány EÚ do roku 2012 zavedú tím CERT aj na svojej úrovni. Všetky tieto snahy by mali využiť súvisiaci minimálny súbor základných funkcií a služieb a súvisiace politické odporúčania vypracované agentúrou ENISA, ktorá bude aj naďalej poskytovať podporu týmto iniciatívam. V rámci tejto činnosti sa tiež podporí rozvoj európskeho systému zdieľania informácií a varovania (EISAS) pre širokú verejnosť do roku 2013. - vytvoria európsky pohotovostný plán riešenia kybernetických incidentov do roku 2012 a pravidelné celoeurópske kybernetické cvičné simulácie . Kybernetické cvičné simulácie sú dôležitou súčasťou ucelenej stratégie pohotovostného plánovania riešenia kybernetických incidentov a obnovy ako na vnútroštátnej, tak aj na európskej úrovni. Budúce celoeurópske kybernetické cvičné simulácie by mali byť založené na európskom pohotovostnom pláne riešenia kybernetických incidentov, ktorý nadväzuje na vnútroštátne pohotovostné plány a je s nimi prepojený. Tento plán by mal poskytnúť základné mechanizmy a postupy pre komunikáciu medzi členskými štátmi a v neposlednom rade podporiť rozsah a organizáciu budúcich celoeurópskych cvičných simulácií. Agentúra ENISA bude spolupracovať s členskými štátmi na rozvoji tohto európskeho pohotovostného plánu riešenia kybernetických incidentov do roku 2012. V rovnakom časovom horizonte by mali všetky členské štáty vypracovať riadne vnútroštátne pohotovostné plány a pripraviť cvičné simulácie reakcie a obnovy funkcií. - vyvinú koordinované európske úsilie na medzinárodných fórach a diskusiách o posilnení bezpečnosti a odolnosti internetu . Členské štáty by mali spolupracovať medzi sebou i s Komisiou na podpore rozvoja prístupu k problematike globálnej stability a odolnosti internetu založeného na zásadách či normách. Cieľom by mala byť podpora prevencie a pripravenosti na všetkých úrovniach a všetkými zainteresovanými stranami, teda vyváženie aktuálnej tendencie zameriavať sa v diskusiách na vojenský uhol pohľadu a/alebo uhol pohľadu vnútroštátnej bezpečnosti. ZÁVER Skúsenosť ukazuje, že čisto vnútroštátny alebo regionálny prístup k riešeniu výziev bezpečnosti a odolnosti nestačí. Európska spolupráca sa od roku 2009 výrazne zlepšila a výsledky sú povzbudzujúce, najmä v rámci cvičnej simulácie kybernetická Európa 2010. Európa by ale mala pokračovať v úsilí o vybudovanie uceleného a spoločného prístupu v rámci celej EÚ. Modernizovaná agentúra ENISA by mala zvýšiť svoju podporu členských štátov, inštitúcií EÚ a súkromného sektora v tomto dlhodobom úsilí. Aby bolo európske úsilie úspešné, musí byť zakotvené v koordinovanom prístupe na celosvetovej úrovni. Na tento účel bude Komisia podporovať diskusie týkajúce sa kybernetickej bezpečnosti na všetkých príslušných medzinárodných fórach. Ministerská konferencia CIIP usporiadaná maďarským predsedníctvom EÚ sa bude konať v dňoch 14. - 15. apríla 2011. Bude významnou príležitosťou na potvrdenie úsilia o posilnenie spolupráce a koordinácie medzi členskými štátmi ako na európskej, tak aj na medzinárodnej úrovni. PRÍLOHA Akčný plán CIIP: Podrobný prehľad výsledkov a ďalších krokov Výsledky činností vykonávaných v rámci akčného plánu CIIP sú z väčšej časti v súlade s medzníkmi a časovou osou stanovenou Komisiou v roku 2009. V nasledujúcom texte sú popísané „úspechy“ a „ďalšie kroky“ pre všetky piliere. Tento pohľad berie do úvahy, že niektoré činnosti boli ďalej rozpracované v digitálnej agende pre Európu (DAE) a stratégii vnútornej bezpečnosti (ISS). 1. Pripravenosť a prevencia Základná línia schopností a služieb pre celoeurópsku spoluprácu. Dosiahnuté výsledky - V roku 2009 ENISA spolu s komunitou tímov reakcie na núdzové počítačové situácie (CERT) v Európe vypracovala a dohodla sa na minimálnom súbore základných funkcií a služieb, ktoré musia mať vnútroštátne/vládne tímy CERT, aby mohli účinne podporovať celoeurópsku spoluprácu. Dosiahla sa dohoda ohľadne zozname nutných požiadaviek v oblasti prevádzky, technických schopností, mandátu a spolupráce[30]. - V roku 2010 ENISA v spolupráci s európskymi komunitami tímov CERT zmenila uvedené prevádzkovo orientované požiadavky na súbor politických odporúčaní[31] pre vnútroštátne/vládne tímy CERT, ktorý z nich robí kľúčové zložky vnútroštátnej pripravenosti, zdieľania informácií, koordinácie a reakcie. - Doteraz vytvorilo vnútroštátne/vládne tímy CERT 20 členských štátov[32] a takmer všetky ostatné ich plánujú zriadiť. Ako bolo oznámené v DAE a ďalej špecifikované v ISS, Komisia navrhla opatrenia na vytvorenie tímu CERT pre inštitúcie EÚ do roku 2012. Ďalšie kroky - ENISA bude naďalej podporovať členské štáty, ktoré ešte nevytvorili vnútroštátne/vládne tímy CERT spĺňajúce uvedené schválené základné požiadavky, aby sa zabezpečilo dosiahnutie cieľa mať dobre fungujúce vnútroštátne/vládne tímy CERT vo všetkých členských štátoch do konca roku 2011. Tento medzník pripraví pôdu pre vytvorenie dobre fungujúcej siete tímov CERT na vnútroštátnej úrovni do roku 2012 , ako sa predpokladá v DAE. - ENISA v spolupráci s vnútroštátnymi/vládnymi tímami CERT prerokuje, či a ako rozšíriť „základné zručnosti“ na účel prispôsobenia schopnosti tímov CERT podporiť členské štáty pri zabezpečovaní odolnosti a stability nevyhnutných infraštruktúr IKT, a stať sa základom Európskeho systému zdieľania informácií a varovania (EISAS) pre občanov a malé a stredné podniky, ktorý sa má vybudovať z vnútroštátnych zdrojov a prostriedkov do roku 2013 , ako bolo oznámené v ISS. Európske verejno-súkromné partnerstvo pre odolnosť (EP3R). Dosiahnuté výsledky - V roku 2009 bolo EP3R vytvorené ako celoeurópsky rámec riadenia odolnosti infraštruktúr IKT zameraný na podporu spolupráce medzi verejným a súkromným sektorom pri stanovovaní cieľov bezpečnosti a odolnosti, základných požiadaviek, osvedčených politických postupov a opatrení. Ako je uvedené v ISS, EP3R bude tiež „spolupracovať s medzinárodnými partnermi na posilnení globálneho riadenia rizík IT sietí.“ Činnosť EP3R zabezpečuje ENISA. - Po konzultáciách so súkromnými a verejnými zainteresovanými stranami, sa vypracovali ciele, zásady a štruktúra EP3R a identifikovali sa stimuly na podporu aktívneho zapojenia príslušných zainteresovaných strán[33]. V návrhu na modernizáciu ENISA sa identifikovali prioritné oblasti EP3R[34]. - Súčasne s navrhovaním štruktúry EP3R začali koncom roka 2010 pracovať tri pracovné skupiny zaoberajúce sa a) kľúčovými prostriedkami, zdrojmi a funkciami pre trvalé a bezpečné poskytovanie elektronických komunikačných služieb vo všetkých krajinách, b) základnými požiadavkami na bezpečnosť a odolnosť elektronických komunikácií, c) potrebami a mechanizmami koordinácie a spolupráce na zabezpečenie pripravenosti a reakcie na rozsiahle narušenie ovplyvňujúce elektronickú komunikáciu. - Návrh Komisie na modernizáciu ENISA z roku 2010 obsahuje dlhodobý a trvalo udržateľný rámec pre EP3R: navrhovalo sa v ňom, že ENISA by mala „podporiť spoluprácu verejných a súkromných zainteresovaných strán na úrovni Únie, okrem iného presadzovaním spoločného využívania informácií a zvyšovaním informovanosti a uľahčovaním ich úsilia o rozvoj a preberanie noriem riadenia rizika a bezpečnosti elektronických výrobkov, sietí a služieb “. Ďalšie kroky - V roku 2011 bude EP3R pokračovať v posilňovaní spolupráce medzi verejnými a súkromnými zainteresovanými stranami s cieľom zlepšiť bezpečnosť a odolnosť prostredníctvom inovatívnych opatrení a nástrojov a určiť povinnosti zainteresovaných strán. Využijúc úlohu sprostredkovateľa a podporu agentúry ENISA pracovné skupiny EP3R predložia svoje prvé výsledky. Budúce aktivity budú venované aj problémom kybernetickej bezpečnosti inteligentných sietí a budú sa opierať o prípravné práce vykonávané Komisiou a agentúrou ENISA. - EP3R bude slúžiť ako platforma pre globálny dosah na záležitosti verejnej politiky, hospodárstva a trhu súvisiace s bezpečnosťou a odolnosťou. Komisia má v úmysle využiť EP3R na podporu činností pracovnej skupiny EÚ-USA pre kybernetickú bezpečnosť a kybernetickú kriminalitu s cieľom zabezpečiť jednotné prostredie pre spoluprácu medzi verejným a súkromným sektorom rešpektujúcu platné pravidlá hospodárskej súťaže a štátnej pomoci. - Z dlhodobého hľadiska a v súlade s návrhom nového nariadenia ENISA sa predpokladá, že EP3R by sa malo stať jednou z kľúčových aktivít modernizovanej agentúry ENISA. Európske fórum členských štátov (EFMS) Dosiahnuté výsledky - V roku 2009 bolo s priamym využitím činností a podpory agentúry ENISA vytvorené Európske fórum členských štátov (EFMS), na podporu diskusií a výmen osvedčených postupov medzi príslušnými verejnými orgánmi so zámerom stanovenia spoločných politických cieľov a priorít týkajúcich sa bezpečnosti a odolnosti infraštruktúr IKT.. EFMS, ktoré sa schádza štvrťročne, bolo podporované od polovice 2010 špecializovaným webovým portálom, ktorý spravuje ENISA. - Fórum EFMS dosiahlo významný pokrok, pokiaľ ide o: a) definíciu kritérií na identifikáciu európskych infraštruktúr IKT v súvislosti so smernicou o identifikácii a označení európskych kritických infraštruktúr[35], b) identifikáciu európskych priorít, zásad a pokynov pre odolnosť a stabilitu internetu, c) výmenu dobrých politických praktík, najmä čo sa týka kybernetických cvičných simulácií. - Fórum EFMS je uznávané členskými štátmi ako významná platforma pre diskusiu a výmenu osvedčených politických postupov[36]. Ďalšie kroky - V roku 2011 fórum EFMS dokončí technické rokovania o kritériách IKT pre európske kritické infraštruktúry, a poskytne dlhodobú orientáciu a priority pre rozsiahlu celoeurópsku cvičnú simuláciu venovanú bezpečnosti sietí a informácií. - Fórum EFMS sa ďalej zapojí do diskusie o prioritách pre medzinárodný dosah v oblasti bezpečnosti a odolnosti, a to najmä vo vzťahu k činnosti pracovnej skupiny EÚ-USA pre kybernetickú bezpečnosť a kybernetickú kriminalitu. - Medzi prioritné oblasti pre budúce činnosti fóra EFMS, ktoré budú čerpať a profitovať z priamej podpory agentúry ENISA, patria[37]: vypracovanie metód pre účinnú spoluprácu medzi vnútroštátnymi/vládnymi tímami CERT, využitie minimálnych požiadaviek pri zadávaní verejných zákaziek na podporu kybernetickej bezpečnosti, identifikácia hospodárskych a regulačných stimulov na podporu bezpečnosti a odolnosti (pri rešpektovaní platných pravidiel hospodárskej súťaže a štátnej pomoci), hodnotenie „zdravotného stavu“ kybernetickej bezpečnosti v Európe. - Detekcia a reakcia Európsky systém zdieľania informácií a varovania (EISAS). Dosiahnuté výsledky - Dva prototypové projekty (FISHAS a NEISAS) boli financované Komisiou a v súčasnej dobe prinášajú konečné výsledky. - Nadväzujúc na štúdiu uskutočniteľnosti z roku 2007[38] a analýzu relevantných projektov na vnútroštátnej a európskej úrovni, ENISA vypracovala plán na vysokej úrovni pre rozvoj EISAS do roku 2013[39]. Ďalšie kroky - V roku 2011 bude ENISA podporovať členské štáty pri vykonávaní plánu EISAS prostredníctvom vývoja „základných služieb“, ktoré členské štáty potrebujú na zriadenie vnútroštátneho systému zdieľania informácií a varovania (ISAS) postaveného na schopnostiach ich vnútroštátnych/vládnych tímov CERT. - V roku 2012 bude ENISA rozvíjať „služby interoperability“ umožňujúce každej vnútroštátnej ISAS funkčne sa integrovať do EISAS. ENISA takisto podporí členské štáty pri testovaní týchto služieb prostredníctvom postupnej integrácie vnútroštátnych systémov. - V priebehu roka 2011-2012 ENISA zaviaže vnútroštátne/vládne tímy CERT na integráciu schopnosti ISAS do svojich služieb. - Zmierňovanie a obnova Vnútroštátne pohotovostné plánovanie a jeho cvičné simulácie . Dosiahnuté výsledky - Na konci roka 2010 vypracovalo 12 členských štátov vnútroštátny pohotovostný plán a/alebo zorganizovalo cvičnú simuláciu zameranú na odozvu na rozsiahly bezpečnostný sieťový incident a obnovu funkcií po havárii [40]. - Nadväzujúc na vnútroštátne i medzinárodné skúsenosti ENISA vypracovala príručku osvedčených postupov pri vnútroštátnych cvičných simuláciách[41], zorganizovala akcie týkajúce sa vnútroštátnych cvičných simulácií s členskými štátmi a tímami CERT z celého sveta, a nedávno vydala odporúčanie týkajúce sa politiky rozvoja vnútroštátnych stratégií, v rámci ktorých majú vnútroštátne/vládne tímy CERT/CSIRT kľúčovú úlohu v riadení cvičných simulácií a testov vnútroštátneho pohotovostného plánovania, na ktorých sa podieľajú súkromné a verejné zainteresované strany[42]. Ďalšie kroky - ENISA bude pokračovať v podpore snáh členských štátov, aby ako krok smerom k celoeurópskej koordinácii vypracovali vnútroštátne pohotovostné plány a zorganizovali pravidelné cvičné simulácie zamerané na odozvu na rozsiahly bezpečnostný sieťový incident a obnovy funkcií po havárii. Celoeurópska cvičná simulácia rozsiahlych sieťových bezpečnostných incidentov. Dosiahnuté výsledky - Prvá celoeurópska cvičná simulácia týkajúca sa rozsiahlych bezpečnostných sieťových incidentov (Kybernetická Európa 2010) sa konala dňa 4. novembra 2010 za účasti všetkých členských štátov, z ktorých 19 sa podieľalo na cvičnej simulácii, plus Švajčiarska, Nórska a Islandu. Cvičnú simuláciu zorganizovala a hodnotila[43] agentúra ENISA za aktívnej účasti plánovacieho tímu z ôsmich členských štátov a technologickej podpory Spoločného výskumného centra (JRC). Ďalšie kroky - V roku 2011 sa členské štáty zúčastnia diskusie o cieľoch a rozsahu ďalšej celoeurópskej kybernetickej cvičnej simulácie plánovanej na rok 2012. Bude sa brať do úvahy možnosť postupného prístupu s cvičnou simuláciou, ktorá ide viac do hĺbky a zahŕňa menšie skupiny členských štátov, s možnou účasťou medzinárodných hráčov. ENISA bude naďalej podporovať tento proces. - Komisia finančne podporuje projekt EuroCybex, v rámci ktorého sa bude v druhej polovici roka 2011 vykonávať cvičná simulácia zameraná na desktopy. - Kybernetické cvičné simulácie sú dôležitou súčasťou ucelenej stratégie pohotovostného plánovania riešenia kybernetických incidentov ako na vnútroštátnej tak aj na európskej úrovni. Budúce celoeurópske kybernetické cvičné simulácie by preto mali byť založené na európskom pohotovostnom pláne riešenia kybernetických incidentov, ktorý nadväzuje na vnútroštátne pohotovostné plány a je s nimi prepojený. Tento plán by mal poskytnúť základné mechanizmy a postupy pre komunikáciu medzi členskými štátmi a, v neposlednom rade, podporiť pôsobnosť a organizáciu budúcich celoeurópskych cvičných simulácií. ENISA bude spolupracovať s členskými štátmi na rozvoji tohto európskeho pohotovostného plánu riešenia kybernetických incidentov do roku 2012. V rovnakom časovom horizonte, by mali všetky členské štáty vypracovať riadne vnútroštátne pohotovostné plány a pripraviť cvičné simulácie reakcie a obnovy funkcií. Potrebnú koordináciu na dosiahnutie tohto výsledku vykoná fórum EFMS. Posilnená spolupráca medzi vnútroštátnymi/vládnymi tímami CERT. Dosiahnuté výsledky - Spolupráca medzi vnútroštátnymi/vládnymi tímami CERT sa prehĺbila. Práca agentúry ENISA na základných schopnostiach pre vnútroštátne/vládne tímy CERT, cvičné simulácie CERT a vnútroštátne cvičné simulácie, a riadenie kybernetických incidentov pomohli stimulovať a podporiť silnejšiu celoeurópsku spoluprácu medzi vnútroštátnymi/vládnymi tímami CERT. Ďalšie kroky - ENISA bude aj naďalej podporovať spoluprácu medzi vnútroštátnymi/vládnymi tímami CERT. S týmto cieľom sa v roku 2011 vypracuje analýza požiadaviek a poskytne usmernenie týkajúce sa vhodného bezpečného komunikačného kanála s tímami CERT vrátane plánu na realizáciu a budúci vývoj. ENISA bude takisto analyzovať prevádzkové nedostatky na európskej úrovni a vypracuje správu o možnostiach posilnenia cezhraničnej spolupráce medzi tímami CERT a príslušnými zainteresovanými stranami, najmä v rámci koordinácie reakcie na incidenty. - V DAE sa členské štáty vyzývajú, aby vytvorili dobre fungujúcu sieť tímov CERT na vnútroštátnej úrovni do roku 2012 . - Medzinárodná spolupráca Odolnosť a stabilita internetu. Dosiahnuté výsledky - Európske zásady a usmernenia pre odolnosť a stabilitu internetu[44] boli vypracované na základe prác vykonaných v rámci fóra EFMS. Ďalšie kroky - V roku 2011 Komisia: podporí tieto zásady a bude o nich diskutovať v rámci bilaterálnej spolupráce s medzinárodnými partnermi, najmä s USA, ale aj v rámci mnohostranných rozhovorov v na pôde G8, OECD, Meridian a ITU, bude o nich konzultovať s príslušnými zainteresovanými stranami, najmä v súkromnom sektore na európskej úrovni (cez EP3R) a na medzinárodnej úrovni (prostredníctvom Fóra pre správu internetu a iných vhodných fór), a podporí diskusiu s kľúčovými internetovými hráčmi/organizáciami. - V roku 2012 sa medzinárodní partneri zapoja do snahy pretvoriť zásady a usmernenia do spoločného rámca medzinárodnej kolektívnej angažovanosti v otázke dlhodobej odolnosti a stability internetu. Celosvetové cvičné simulácie na tému obnovy a zmiernenia rozsiahlych internetových incidentov. Dosiahnuté výsledky - Sedem členských štátov[45] sa zúčastnilo na cvičnej simulácii USA Kybernetická búrka III so štatútom medzinárodných partnerov. Komisia a agentúra ENISA sa zúčastnili so štatútom pozorovateľov. Ďalšie kroky - V roku 2011 Komisia vyvinie spolu s USA pod záštitou pracovnej skupiny EÚ-USA pre kybernetickú bezpečnosť a kybernetickú kriminalitu spoločný program a plán spojenej/synchronizovanej transkontinentálnej počítačovej cvičnej simulácie v rokoch 2012/2013. Uvážia sa aj možnosti spolupráce s inými regiónmi alebo krajinami riešiacimi podobné problémy formou zjednotenia prístupu a spoločného vykonávania súvisiacich činností. - Kritériá európskych kritických infraštruktúr v sektore IKT Špecifické odvetvové kritériá na identifikáciu európskych kritických infraštruktúr pre sektor IKT. Dosiahnuté výsledky - Technická diskusia o odvetvových kritériách pre IKT v rámci fóra EFMS viedla k vypracovaniu návrhu kritérií pre pevné a mobilné komunikácie a internet. Ďalšie kroky - Fórum EFMS bude pokračovať v technickej diskusii o špecifických odvetvových kritériách pre sektor IKT s cieľom dokončiť ich do konca roka 2011. Zároveň niektoré členské štáty a EP3R na európskej úrovni plánujú konzultácie so súkromným sektorom o návrhu kritérií pre sektor IKT. - Komisia bude rokovať s členskými štátmi o špecifických odvetvových prvkoch sektoru IKT, ktoré sa budú brať do úvahy pri revízii smernice 2008/114/ES o identifikácii a označení európskych kritických infraštruktúr v roku 2012. - [1] KOM(2009) 149. [2] Uznesenie Rady z 18. decembra 2009 o prístupe Európy k bezpečnosti sietí a informácií založenom na spolupráci (2009/C 321/01). [3] KOM(2010) 245. [4] Závery Rady z 31. mája 2010 o Digitálnej agende pre Európu (10130/10). [5] KOM (2010) 2020 a Závery Európskej rady z 25. a 26. marca 2010 (EUCO 7/10). [6] KOM(2010) 517 v konečnom znení [7] KOM(2010) 521. [8] KOM(2010) 171. [9] KOM(2010) 673. [10] SEK(2009) 399 [11] Spoločné oznámenie o partnerstve pre demokraciu a spoločnú prosperitu s južným Stredozemím. KOM(2011) 200 z 08.03.2011. [12] T.j. neustále a koordinované útoky proti vládnym agentúram a verejnému sektoru. To sa teraz stáva problémom pre súkromný sektor (pozri „správa RSA 2011 o trendoch v kybernetickej kriminalite“). [13] Pozri správy vypracované v rámci projektu monitorovania prostriedkov informačnej vojny. „Sledovanie GhostNet: odhaľovanie kybernetickej špionážnej siete“ (2009) a „Tiene na internetovom oblaku počítačov: odhaľovanie kybernetickej špionáže 2.0“ (2010). [14] Pozri otázky a odpovede na: http://europa.eu/rapid/pressReleasesAction.do?reference=MEMO/11/34&format=HTML&aged=0&language=EN&guiLanguage=fr. [15] napr. nedávne útoky proti francúzskej vláde. [16] Pozri OECD/IFP projekt na tému „Budúce globálne šoky“ s názvom „Zníženie systémových rizík kybernetickej bezpečnosti“, 14. januára 2011 na: http://www.oecd.org/dataoecd/3/42/46894657.pdf. [17] Pozri http://www.enisa.europa.eu/media/press-releases/stuxnet-analysis. [18] Pozri: Svetové ekonomické fórum, Globálne riziká 2011. [19] V odpovedi vlády Spojeného kráľovstva na piatu správu výboru Snemovne lordov pre Európsku úniu o akčnom pláne CIIP sa konštatuje, že EFMS „bolo úspešné a dotklo sa skutočnej potreby tvorcov politík mať príležitosť na výmenu skúseností. [20] Pozri: http://www.enisa.europa.eu/act/cert/support/files/baseline-capabilities-for-national-governmental-certs. [21] Pozri http://www.enisa.europa.eu/act/cert/support/files/baseline-capabilities-of-national-governmental-certs-policy-recommendations. [22] http://www.enisa.europa.eu/act/cert/other-work/eisas_folder/eisas_roadmap. [23] Zdroj: ENISA [24] Pozri: http://www.enisa.europa.eu/act/res/policies/good-practices-1/exercises/national-exercise-good-practice-guide/at_download/fullReport. [25] Pozri: http://www.enisa.europa.eu/act/cert/support/files/baseline-capabilities-of-national-governmental-certs-policy-recommendations. [26] Pozri: http://ec.europa.eu/information_society/policy/rfid/index_en.htm [27] V rámci procesu Meridian sa vládam na celom svete poskytujú prostriedky, vďaka ktorým môžu diskutovať o tom, ako spolupracovať na politickej úrovni v oblasti ochrany kritickej informačnej infraštruktúry (CIIP). Pozri http://meridianprocess.org/ [28] smernica Rady 2008/114/ES [29] Napríklad pozri správy agentúry ENISA „Rámec informačnej bezpečnosti internetového oblaku počítačov“ (2009), na: http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-information-assurance-framework/at_download/fullReport) a „Bezpečnosť a odolnosť vládnych internetových oblakov počítačov“ (2011), na: http://www.enisa.europa.eu/act/rm/emerging-and-future-risk/deliverables/security-and-resilience-in-governmental-clouds/ [30] Pozri: http://www.enisa.europa.eu/act/cert/support/files/baseline-capabilities-for-national-governmental-certs. [31] Pozri http://www.enisa.europa.eu/act/cert/support/files/baseline-capabilities-of-national-governmental-certs-policy-recommendations. [32] Zdroj: ENISA [33] Pozri: http://ec.europa.eu/information_society/policy/nis/strategy/activities/ciip/impl_activities/index_en.htm. [34] KOM(2010) 521. [35] Smernica Rady 2008/114/ES. [36] V odpovedi vlády Spojeného kráľovstva na piatu správu výboru Snemovne lordov pre Európsku úniu o akčnom pláne CIIP sa konštatuje, že EFMS „bolo úspešné a dotklo sa skutočnej potreby tvorcov politík mať príležitosť na výmenu skúseností. [37] KOM(2010) 251. [38] Pozri http://www.enisa.europa.eu/act/cert/other-work/files/EISAS_finalreport.pdf. [39] http://www.enisa.europa.eu/act/cert/other-work/eisas_folder/eisas_roadmap [40] Pozri: http://www.enisa.europa.eu/act/res/policies/good-practices-1/exercises/national-exercise-good-practice-guide/at_download/fullReport. [41] Pozri: http://www.enisa.europa.eu/act/res/policies/good-practices-1/exercises/national-exercise-good-practice-guide/at_download/fullReport. [42] Pozri: http://www.enisa.europa.eu/act/cert/support/files/baseline-capabilities-of-national-governmental-certs-policy-recommendations. [43] Pozri http://www.enisa.europa.eu/. [44] Pozri http://ec.europa.eu/information_society/policy/rfid/index_en.htm [45] Francúzsko, Nemecko, Maďarsko, Taliansko, Holandsko, Švédsko a Spojené kráľovstvo.