[pic] | КОМИСИЯ НА ЕВРОПЕЙСКИТЕ ОБЩНОСТИ |

Брюксел, 30.3.2009

COM(2009) 149 окончателен

СЪОБЩЕНИЕ НА КОМИСИЯТА ДО ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ, СЪВЕТА, ЕВРОПЕЙСКИЯ ИКОНОМИЧЕСКИ И СОЦИАЛЕН КОМИТЕТ И КОМИТЕТА НА РЕГИОНИТЕ относно защитата на критичната информационна инфраструктура

„Защита на Европа от широкомащабни кибернетични атаки и смущения: повишаване на готовността, сигурността и устойчивостта“ {SEC(2009) 399} {SEC(2009) 400}

(представена от Комисията)

СЪОБЩЕНИЕ НА КОМИСИЯТА ДО ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ, СЪВЕТА, ЕВРОПЕЙСКИЯ ИКОНОМИЧЕСКИ И СОЦИАЛЕН КОМИТЕТ И КОМИТЕТА НА РЕГИОНИТЕ

относно защитата на критичната информационна инфраструктура „Защита на Европа от широкомащабни кибернетични атаки и смущения: повишаване на готовността, сигурността и устойчивостта“

1. Въведение

Информационните и комуникационните технологии (ИКТ) присъстват в нарастваща степен в нашите ежедневни дейности. Някои от тези основаващи се на ИКТ системи, услуги, мрежи и инфраструктури (накратко ИКТ-инфраструктури) формират жизнено важна част от европейската икономика и общество, като или предоставят съществени продукти и услуги, или представляват основната платформа за други критични инфраструктури. Те се считат обикновено за критични информационни инфраструктури (КИИ)[1], тъй като тяхното разстройване или разрушаване би могло да окаже сериозно въздействие върху жизнено важни обществени функции. Последните примери за това включват широкомащабните кибернетични атаки срещу Естония през 2007 и прекъсването на трансконтинентални кабели през 2008 г.

По оценка от 2008 г. на Световния икономически форум съществува вероятност от 10 до 20 % от голяма повреда в КИИ през следващите 10 години, която може да причини общи икономически загуби от около 250 милиарда щатски долара[2].

В настоящото съобщение ударението се поставя върху предотвратяването, готовността и информираността, като се формулира план за незабавни действия за укрепване на сигурността и устойчивостта на КИИ. Това ударение е в съответствие с дебата, започнал по искане на Съвета и на Европейския парламент за определяне на предизвикателствата и приоритетите за политиката за мрежова и информационна сигурност, както и на най-подходящите инструменти, необходими на нивото на ЕС за справяне с тях. Предлаганите действия са и допълнение към мерките за предотвратяване, борба и преследване на престъпни и терористични дейности, насочени срещу КИИ, и са в синергия със сегашните и бъдещите научни изследвания в ЕС в областта на мрежовата и информационната сигурност, както и с международните инициативи в тази област.

2. Политическият контекст

В настоящото съобщение се разработва европейската политика за укрепване на сигурността на информационното общество и на доверието в него. Още през 2005 г. Комисията[3] изтъкна спешната необходимост от координиране на усилията за изграждане на доверие на заинтересованите страни в електронните съобщения и съответните услуги. За тази цел през 2006 г. беше приета стратегия за сигурно информационно общество[4]. Неговите основни елементи, включително сигурността и устойчивостта на ИКТ-инфраструктурите, бяха одобрени с Решение 2007/068/01 на Съвета. Неговото приемане и прилагане от заинтересованите страни обаче изглежда незадоволително. Тази стратегия подсилва и ролята, на тактическо и оперативно ниво, на Европейската агенция за мрежова и информационна сигурност (ENISA), създадена през 2004 г., за да допринася за постигането на целта да се осигури високо и ефективно ниво на мрежовата и информационната сигурност (МИС) в рамките на Общността и да се развие култура за МИС в полза на гражданите, потребителите, предприятията и администрацията.

През 2008 г. мандатът на ENISA беше удължен без изменения до март 2012 година[5]. В същото време Съветът и Европейският парламент призоваха за „ по-нататъшно обсъждане на бъдещето на ENISA и относно общото направление на европейските усилия за повишена мрежова и информационна сигурност “. В подкрепа на това обсъждане Европейската комисия започна през ноември миналата година обществено допитване онлайн[6], анализът на резултатите от което скоро ще бъде публикуван.

Планираните в настоящото съобщение дейности бяха осъществени в рамките на Европейската програма за защита на критичната инфраструктура (ЕПЗКИ)[7] и успоредно с нея. Ключов елемент на ЕПЗКИ е Директивата[8] относно установяването и означаването на европейски критични инфраструктури[9], която определя сектора на ИКТ като бъдещ приоритетен сектор. Друг важен елемент на ЕПЗКИ е Предупредителната информационна мрежа за критичната инфраструктура (ПИМКИ)[10].

По отношение на регулирането, предложението на Комисията за реформа на регулаторната рамка за електронни съобщителни мрежи и услуги[11] съдържа нови разпоредби относно сигурността и целостта и по-специално за засилване на задълженията на операторите да осигурят вземането на подходящи мерки срещу установените рискове, да гарантират непрекъснатото предоставяне на услуги и да съобщават за пробиви в сигурността[12]. Този подход допринася за постигане на общата цел да се повиши сигурността и устойчивостта на КИИ. Европейският парламент и Съветът в общи линии подкрепят тези разпоредби.

Действията, предложени в настоящото съобщение, допълват съществуващите и бъдещите мерки в областта на полицейското и съдебното сътрудничество за предотвратяване, борба със и преследване на престъпни и терористични дейности, насочени срещу ИКТ-инфраструктури, както се предвижда inter alia от Рамковото решение на Съвета относно атаки срещу информационни системи[13] и неговата запланувана актуализация[14].

Тази инициатива взема предвид дейностите на НАТО за обща политика относно кибернетичната отбрана, по-специално в рамките на Управителния орган по киберотбрана и на Центъра за високи научни постижения по киберотбрана.

Накрая, надлежно е взето под внимание развитието на международната политика и по-специално принципите на Г-8 относно защитата на КИИ[15]; Резолюция 58/199 на Общото събрание на ООН „ Създаване на глобална култура за кибернетична сигурност и защитата на критични информационни инфраструктури “ и последната Препоръка на ОИСР относно защитата на критични информационни инфраструктури.

3. Какъв е залогът?

3.1. Критичните информационни инфраструктури са от жизнено важно значение за икономическото и общественото развитие на ЕС

Ролята на сектора на ИКТ и на ИКТ-инфраструктурите за икономиката и обществото е изтъкната в последните доклади относно иновацията и икономическия растеж. Те включват съобщението относно междинния преглед по i2010[16], доклада на групата Aho[17] и годишните икономически доклади на ЕС[18]. ОИСР подчертава значението на ИКТ и интернет „ за повишаване на икономическите показатели и на социалното благоденствие, както и за укрепване на способността на обществото за подобряване на качеството на живот на гражданите в световен мащаб “[19]. Освен това тя препоръчва политики, които да укрепват доверието в интернет инфраструктурата.

Секторът на ИКТ е от жизнено важно значение за всички области на обществото. Предприятията разчитат на сектора на ИКТ по отношение както на преките продажби, така и на ефективността на вътрешните процеси. ИКТ са важна съставна част на иновацията и на тях се дължат близо 40 % от прираста на производителността[20]. ИКТ са широко разпространени и в работата на правителствата и публичните администрации: навлизането на услугите на електронното управление на всички нива, както и нови приложения като например иновативни решения, свързани със здравеопазването, енергетиката и политическата активност, превръщат обществения сектор в силно зависим от ИКТ. Не на последно място гражданите в нарастваща степен разчитат на ИКТ и ги използват в своите ежедневни дейности: укрепването на сигурността на КИИ би увеличило доверието на гражданите в ИКТ — по-специално благодарение на по-добрата защита на личните данни и на правото на неприкосновеност на личния живот.

3.2. Рисковете за критичните информационни инфраструктури

Рисковете, дължащи се на извършени от хора атаки, природни бедствия или на технически неизправности, често не се разбират напълно и/или не са анализирани в достатъчна степен. Вследствие на това степента на информираност на участниците е недостатъчна за разработване на ефективни механизми за защита и противомерки.

Кибератаките достигнаха безпрецедентно ниво на сложност. Прости експерименти сега се превръщат във високотехнологични дейности, извършвани за печалба или по политически съображения. Неотдавнашните широкомащабни кибератаки срещу Естония, Литва и Грузия са най-известните примери за една обща тенденция. Огромният брой на компютърните вируси, червеи и други форми на зловреден софтуер, разрастването на т.нар. ботмрежи и непрекъснатото нарастване на спама потвърждават сериозността на проблема[21].

Голямата зависимост от КИИ, тяхната трансгранична взаимосвързаност и взаимозависимостите с други инфраструктури, както и уязвимостта и заплахите, пред които са изправени те, повишават необходимостта от разглеждане на тяхната сигурност и устойчивост от системна гледна точка като предна линия за защита срещу неизправности и атаки.

3.3. Сигурност и устойчивост на критичните информационни инфраструктури за повишаване на доверието в информационното общество

За да се осигури използването в максимална степен на ИКТ-инфраструктурите и по този начин изцяло да се оползотворят предоставяните от информационното общество икономически и социални възможности, всички участници трябва да имат голямо доверие в тези инфраструктури. Това зависи от различни фактори, най-важните измежду които са гарантирането на тяхното високо ниво на сигурност и на устойчивост. Разнообразие, отвореност, оперативна съвместимост, използваемост, прозрачност, отчетност, проверимост на различните компоненти и конкуренция — това са ключови фактори за подобряване на сигурността и за стимулиране на въвеждането на продукти, процеси и услуги за повишена сигурност. Както вече бе изтъкнато от Комисията[22], това е съвместна отговорност: нито един участник не разполага самостоятелно със средствата за гарантиране на сигурността и устойчивостта на всички ИКТ-инфраструктури и да поеме цялата отговорност, свързана с това.

Поемането на такава отговорност изисква подход и култура за управление на риска, способни да отговорят на известни рискове и да предвидят бъдещи неизвестни без прекомерно реагиране и задушаване на възникването на иновативни услуги и приложения.

3.4. Предизвикателствата пред Европа

Освен това и в допълнение към всички дейности, свързани с изпълнението на Директивата относно установяването и означаването на европейските критични инфраструктури и по-специално определянето на специфични критерии за сектора на ИКТ, е необходимо да се разгледат няколко предизвикателства от по-общ характер с цел да се повиши сигурността и устойчивостта на КИИ.

3.4.1. Нееднакви и некоординирани национални подходи

Въпреки че съществуват общи черти между подлежащите на решаване предизвикателства и проблеми, държавите-членки се различават по мерки и механизми за гарантиране на сигурността и устойчивостта на КИИ, както и по нивото на експертни знания и готовност.

Прилагането на чисто национален подход носи риск от пораждане на разпокъсаност и неефективност в цяла Европа. Различията в националните подходи и липсата на систематично трансгранично сътрудничество съществено намаляват ефективността на вътрешните противомерки — inter alia понеже поради взаимосвързаността на КИИ ниското ниво на сигурност и устойчивост на КИИ в една държава може да увеличи уязвимостта и рисковете в други държави.

За преодоляване на това положение са необходими усилия на европейско ниво за придаване на добавена стойност на националните политики и програми чрез насърчаване на дейностите за информиране и общо разбиране на предизвикателствата; стимулиране на приемането на общи политически цели и приоритети; засилване на сътрудничеството между държавите-членки и обединяване на националните политики в европейски и глобален контекст.

3.4.2. Необходимост от нов европейски модел за управление на КИИ

Повишаването на сигурността и устойчивостта на КИИ е свързано със специфични проблеми по управлението. Определянето на политиката по отношение на КИИ в крайна сметка си остава отговорност на държавите-членки, но нейното прилагане зависи от участието на частния сектор, който притежава или контролира голяма част от КИИ. От друга страна, пазарите не винаги предоставят достатъчно стимули на частния сектор за инвестиране в защитата на КИИ в размера, който би се изисквал обикновено от правителствата.

За справяне с този проблем по управлението възникнаха публично-частни партньорства (ПЧП) на национално ниво като основен модел. Но въпреки единодушието, че ПЧП са желани и на европейско ниво, до сега не са осъществени европейски ПЧП. Една общоевропейска рамка за управление с участието на всички заинтересовани страни, която може да включва и по-голяма роля на ENISA, би могла да спомогне за включването на частния сектор в определянето на стратегическите цели на обществената политика, както и на оперативните приоритети и мерки. С тази рамка би се преодоляло разминаването между разработването на национална политика и оперативната действителност на място.

3.4.3. Ограничена европейска способност за ранно предупреждаване и реагиране на инциденти

Механизмите за управление ще бъдат действително ефективни, само ако всички участници разполагат с надеждна информация, въз основа на която да действат. Това важи особено за правителствата, които носят крайната отговорност за гарантиране на сигурността и благосъстоянието на гражданите.

Между държавите-членки съществуват обаче значителни различия по отношение на процедурите и практиките за мониторинг и докладване за инциденти по мрежовата сигурност. Някои не разполагат с компетентен контролен орган. Още по-важно е, че сътрудничеството и информационният обмен между държавите-членки на надеждни и конкретни данни относно инциденти по сигурността изглеждат слабо развити, като или са с неофициален характер или са ограничени до двустранен или ограничен многостранен обмен. Освен това симулирането на инциденти и провеждането на учения за изпитване на способността за реагиране са от стратегическо значение за повишаване на сигурността и устойчивостта на КИИ особено чрез съсредоточаване върху гъвкави стратегии и процедури за справяне с непредсказуемостта на потенциални кризи. В ЕС ученията по мрежова и информационна сигурност все още са в зародишно състояние. Трансгранични учения се осъществяват в много ограничен размер. Както показаха неотдавнашните събития[23], взаимопомощта е съществен елемент на адекватния отговор на широкомащабни заплахи и атаки срещу КИИ.

За сериозна европейска способност за ранно предупреждаване и реагиране на инциденти трябва да се разчита на добре функциониращи национални/правителствени екипи за незабавно реагиране при компютърни инциденти (Computer Emergency Response Teams — CERT), т.е. да се разполага с общи основни способности. Тези органи трябва да действат като национални катализатори за интересите на участниците и тяхната способност за дейности по обществения ред (включително дейности във връзка с информационния обмен и предупредителните системи за граждани и малки и средни предприятия) и да се ангажират с ефективно трансгранично сътрудничество и информационен обмен, от което биха могли да се възползват и съществуващи организации като Европейската група на правителствените CERT (EGC)[24].

3.4.4. Международно сътрудничество

Възходът на интернет като ключова КИИ изисква да се обърне особено внимание на нейната устойчивост и стабилност. Интернет се доказа като много устойчива инфраструктура благодарение на своята децентрализирана организация с дублиращи елементи. Нейният феноменален растеж обаче породи растяща физическа и логическа сложност и появата на нови услуги и приложения: основателно е да се съмняваме в способността на интернет да издържи на растящия брой на смущенията и кибератаките.

Различията във вижданията доколко са устойчиви отделните елементи, от които се състои интернет, отчасти обясняват и различията в позициите на правителствата, изразени на международни форуми и често противоречивите схващания за важността на този въпрос. Това може да затрудни предотвратяването на заплахи за интернет, готовността за отговор на тези заплахи и способността за възстановяване от тяхното действие. Например последиците от прехода от IPv4 към IPv6 следва да бъдат преценени и по отношение на сигурността на КИИ.

Интернет е глобална и силно разпределена мрежа от мрежи, чиито центрове за управление не се съобразяват непременно с националните граници. Това изисква специфичен, целенасочен подход, за да се гарантира нейната устойчивост и стабилност въз основа на две взаимно допълващи се мерки. Първо, постигане на общо единодушие относно европейските приоритети за устойчивостта и стабилността на интернет по отношение на обществения ред и оперативното внедряване. Второ, включване на световната общност в разработването на система от принципи за устойчивост и стабилност на интернет, отразяващи европейските основни ценности, в рамките на нашия стратегически диалог и сътрудничество с трети държави и международни организации. Тези дейности биха се основавали на признаването от страна на Световната среща на високо равнище за информационното общество[25], че стабилността на интернет е от ключово значение.

4. Пътят напред: увеличаване на координацията и сътрудничеството в ЕС

Понеже проблемът има общностно и международно измерение, единният подход на ЕС за повишаване на сигурността и устойчивостта на КИИ би допълнил и обогатил националните програми, както и съществуващите двустранни и многостранни схеми за сътрудничество между държавите-членки.

Обществените политически дискусии след събитията в Естония подсказват, че последиците от подобни атаки могат да бъдат ограничени чрез превантивни мерки и координирани действия по време на кризата. По-структуриран обмен на информация и добри практики в рамките на ЕС би улеснил значително борбата с трансгранични заплахи.

Необходимо е укрепване на съществуващите инструменти за сътрудничество, включително ENISA, и създаване при нужда на нови инструменти. От съществено значение е обхващащ различните участници и нива подход, осъществяван на европейско равнище, но същевременно изцяло зачитащ и допълващ националните компетенции.

Необходимо е задълбочено разбиране на околната среда и ограниченията. Например разпределеният характер на интернет поражда загриженост, тъй като периферни възли могат да бъдат използвани за осъществяване на атаки — примерно чрез ботмрежи. Този разпределен характер обаче е от ключово значение за стабилността и устойчивостта и може да спомогне за по-бързо възстановяване, отколкото обикновено е постижимо с прекомерно формализирани процедури, осъществявани в йерархичен порядък. Това изисква внимателен анализ поотделно за всеки един случай на обществените политики и на оперативните процедури, които да се въведат.

От значение е и времевият хоризонт. Налице е очевидна потребност да се действа сега и бързо да се въведат необходимите елементи за изграждане на рамка, която ще ни позволи да отговорим на сегашните предизвикателства и която ще може да се пренесе в бъдещата стратегия за мрежова и информационна сигурност.

За справяне с тези предизвикателства се предлагат пет направления на действие:

1. Готовност и предотвратяване: за осигуряване на подготвеност на всички нива;

2. Откриване и реагиране: за предоставяне на адекватни механизми за ранно предупреждение;

3. Смекчаване на последиците и възстановяване: за укрепване на отбранителните механизми на ЕС за КИИ;

4. Международно сътрудничество за утвърждаване в международен мащаб на приоритетите на ЕС;

5. Критерии за сектора на ИКТ: да се подпомогне прилагането на Директивата относно установяването и означаването на европейските критични инфраструктури[26].

5. План за действие

5.1. Готовност и предотвратяване

Общи основни способности и услуги за паневропейско сътрудничество . Комисията приканва държавите-членки и заинтересованите страни да:

- спомогнат за паневропейското сътрудничество, като с помощта на ENISA определят минималното равнище на способности и услуги на националните/правителствените екипи за незабавно реагиране при компютърни инциденти и операции в отговор на инциденти.

- гарантират, че националните/правителствените екипи за незабавно реагиране при компютърни инциденти функционират като основна съставна част на националната структура за готовност, информационен обмен, координация и реагиране.

Цели: постигане на споразумение относно минималните стандарти — до края на 2010 г.; създаване на добре функциониращи национални/правителствени екипи за незабавно реагиране при компютърни инциденти във всички държави-членки — до края на 2011 г.

Европейско публично-частно партньорство за устойчивост (EP3R). Комисията ще:

- насърчава сътрудничеството между публичния и частния сектор по цели за сигурност и устойчивост, базови изисквания, практики и мерки за добра политика. EP3R следва да се съсредоточи главно върху европейското измерение от стратегическа гледна точка (примерно практики на добра политика) и тактическа/оперативна гледна точка (например промишлено внедряване). EP3R следва да се основава и да допълва съществуващите национални инициативи и оперативната дейност на ENISA.

Цели: изготвяне на пътна карта и план за EP3R — до края на 2009 г.; установяване на EP3R — до средата на 2010 г.; получаване на първите резултати от EP3R — до края на 2010 г.

Европейски форум за информационен обмен между държавите-членки. Комисията ще:

- учреди Европейски форум за държавите-членки за обмен на информация и на практики на добра политика относно сигурността и устойчивостта на КИИ. Той ще се възползва и от резултатите от дейността на други организации и по-специално ENISA.

Цели: учредяване на форума — до края на 2009 г.; представяне на първите резултати — до края на 2010 г.

5.2. Откриване и реагиране

Европейска система за информационен обмен и предупреждаване (ЕСИОП). Комисията подкрепя

разработването и внедряването на ЕСИОП, която е насочена към гражданите и МСП и се основава на съществуващи държавни и частни системи за информационен обмен и предупреждаване. Комисията подкрепя финансово два допълващи се проекта за създаване на прототипи[27]. ENISA се приканва да направи преглед на резултатите от тези проекти и други национални инициативи и да изработи пътна карта за подпомагане на разработването и внедряването на ЕСИОП.

Цели: завършване на проектите за прототипи — до края на 2010 г.; изработване на пътната карта за европейска система — до края на 2010 г.

5.3. Смекчаване на последиците и възстановяване

Национални планове за действие при непредвидени ситуации и учения. Комисията приканва държавите-членки да:

- разработят национални планове за действие при непредвидени ситуации и да организират редовни учения за реагиране на широкомащабни инциденти по мрежовата сигурност и за възстановяване след бедствия като стъпка към по-тясна паневропейска координация. На националните/правителствените екипи за незабавно реагиране при компютърни инциденти може да се възложи задачата да провеждат обучението и изпитването по изготвяне на национални планове за действие при непредвидени ситуации с участието на заинтересовани страни от частния и публичния сектор. ENISA се приканва да подпомага обмена на добри практики между държавите-членки.

Target: осъществяване на поне едно национално учение във всяка държава-членка — до края на 2010 г.

Паневропейски учения за реагиране на широкомащабни инциденти по мрежовата сигурност. Комисията ще:

- подкрепи финансово разработването на паневропейски учения относно инциденти по сигурността на интернет[28], което може да представлява и оперативната платформа за паневропейско участие в международни учения относно инциденти по мрежовата сигурност като например Cyber Storm в САЩ.

Цели: проектиране и осъществяване на първото паневропейско учение — до края на 2010 г.; паневропейско участие в международни учения — до края на 2010 г.

Засилено сътрудничество между националните/правителствените екипи за незабавно реагиране при компютърни инциденти. Комисията приканва държавите-членки да:

- задълбочават сътрудничеството между националните/правителствените екипи за незабавно реагиране при компютърни инциденти също и чрез използване и разширяване на съществуващите механизми за сътрудничество като EGC[29]. ENISA се приканва да играе активна роля за стимулиране и подпомагане на паневропейското сътрудничество между националните/правителствените екипи за незабавно реагиране при компютърни инциденти, което следва да доведе до повишена готовност; увеличена европейска способност за реагиране и отговор на инциденти; паневропейски (и/или регионални) учения.

Цели: удвояване на броя на националните органи, участващи в ECG — до края на 2010 г.; разработване от ENISA на справочни материали за подпомагане на паневропейското сътрудничество — до края на 2010 г.

5.4. Международно сътрудничество

Устойчивост и стабилност на интернет. Предвиждат се три взаимно допълващи се дейности:

- Европейски приоритети относно устойчивостта и стабилността на интернет в дългосрочна перспектива. Комисията ще задвижи общоевропейски дебат с участието на всички заинтересовани страни от публичния и частния сектор за определяне на приоритетите на ЕС за устойчивостта и стабилността на интернет в дългосрочна перспектива.

Цел: определяне на приоритетите на ЕС относно особено важни компоненти и проблеми на интернет — до края на 2010 г.

- Принципи и насоки за устойчивост и стабилност на интернет (на европейско равнище). Комисията ще работи с държавите-членки за определяне на насоки за устойчивостта и стабилността на интернет, като се съсредоточи inter alia върху регионални коригиращи мерки, споразумения за взаимопомощ, координирани стратегии за възстановяване и непрекъснатост на функционирането, географско разпределение на особено важните ресурси на интернет, технологични механизми за сигурност в архитектурата и протоколите на интернет, дублиране и разнообразие на услугите и данните. Комисията вече финансира работата на експертна група по устойчивост на системата DNS, което съвместно с други съответни проекти ще спомогне за постигането на консенсус[30].

Цели: изработване на европейска пътна карта за принципите и насоките за устойчивост и стабилност на интернет — до края на 2009 г.; постигане на споразумение по първия проект за тези принципи и насоки — до края на 2010 г.

- Принципи и насоки за устойчивост и стабилност на интернет (на глобално равнище) . Комисията ще изработи съвместно с държавите-членки пътна карта за утвърждаване на принципи и насоки на глобално равнище. Ще се развива стратегическото сътрудничество с трети държави главно чрез диалози по информационното общество като средство за постигане на глобално единодушие[31].

Цели: изготвяне на пътна карта за международно сътрудничество по принципите и насоките за сигурност и устойчивост — до началото на 2010 г.; обсъждане на първия проект за международно признати принципи и насоки с трети държави и на съответни форуми, включително Форума за управление на интернет — до края на 2010 г.

Глобални учения по възстановяване от широкомащабни инциденти в интернет и смекчаване на последиците от тях. Комисията приканва европейските заинтересовани страни да:

- обмислят практичен начин да се разширят на глобално ниво ученията, провеждани по направлението „смекчаване на последиците и възстановяване“, въз основа на регионални способности и планове за действие при непредвидени ситуации.

Цел: предложение на Комисията за рамка и пътна карта за европейско участие в глобални учения по възстановяване от широкомащабни инциденти в интернет и смекчаване на последиците от тях — до края на 2010 г.

5.5. Критерии за европейски критични инфраструктури в сектора на ИКТ

Специфични критерии за сектора на ИКТ. Въз основа на първоначалната дейност, осъществена през 2008 г., Комисията ще:

- продължи да разработва, в сътрудничество с държавите-членки и всички заинтересовани страни, критерии за установяване на европейски критични инфраструктури в сектора на ИКТ. За тази цел ще бъде използвана съответната информация от актуално конкретно проучване[32].

Цел: определяне от Комисията на критериите за европейски критични инфраструктури в сектора на ИКТ — през първата половина на 2010 г.

6. Заключения

Сигурността и устойчивостта на КИИ са решаващи предпоставки за успешната защита срещу аварии и атаки. Тяхното подобряване в целия ЕС е от съществено значение за пълно оползотворяване на предимствата на информационното общество. За постигане на тази амбициозна цел се предлага план за действие за укрепване на тактическото и оперативното сътрудничество на европейско ниво. Успехът на тези действия зависи от тяхната ефективност за възползване от постиженията и дейностите на публичния и частния сектор, както и от ангажимента и активното участие на държавите-членки, европейските институции и заинтересованите страни.

За тази цел на 27—28 април 2009 г. ще се проведе министерска конференция за обсъждане на предложените инициативи с държавите-членки и за потвърждаване на техния ангажимент към дебата за осъвременена и консолидирана европейска политика за мрежова и информационна сигурност.

Накрая, повишаването на сигурността и устойчивостта на КИИ е дългосрочна цел, стратегията и мерките за чието постигане е необходимо редовно да се оценяват. Поради това, тъй като тази цел е в съответствие с общия дебат относно бъдещето на политиката за мрежова и информационна сигурност в ЕС след 2012 г., към края на 2010 г. Комисията ще започне анализ на сегашното състояние, за да направи оценка на първия етап от действия и при необходимост да установи и предложи допълнителни мерки.

[1] Определение за КИИ беше предложено в COM(2005) 576 окончателен.

[2] Global Risks 2008

[3] COM(2005) 229

[4] COM(2006) 251

[5] Регламент (EО) № 1007/2008.

[6] http://ec.europa.eu/information_society/newsroom/cf/itemlongdetail.cfm?item_id=4464

[7] COM(2006) 786 окончателен

[8] 2008/114/ЕО

[9] http://www.consilium.europa.eu/ueDocs/cms_Data/docs/pressData/en/gena/104617.pdf

[10] COM(2008) 676 окончателен

[11] COM(2007) 697, COM(2007) 698, COM(2007) 699

[12] Член 13 от Рамковата директива.

[13] 2005/222/ПВР

[14] COM(2008) 712

[15] http://www.usdoj.gov/criminal/cybercrime/g82004/G8_CIIP_Principles.pdf

[16] COM(2008) 199 окончателен.

[17] http://ec.europa.eu/invest-in-research/action/2006_ahogroup_en.htm

[18] EU Economy 2007 Review http://ec.europa.eu/economy_finance/publications/publication10130_en.pdf

[19] http://www.oecd.org/dataoecd/1/29/40821707.pdf

[20] http://epp.eurostat.ec.europa.eu/ - Science and Technology/Information Society („Наука и технология/Информационно общество“)

[21] COM(2006) 688 окончателен.

[22] COM(2006) 251 окончателен.

[23] http://ec.europa.eu/information_society/policy/nis/strategy/activities/ciip/large_scale/

[24] http://www.egc-group.org/

[25] Дневен ред от срещата в Тунис за информационното общество, http://www.itu.int/wsis/docs2/tunis/off/6rev1.html

[26] Директива 2008/114/ЕО на Съвета.

[27] По програмата на ЕС „ Предотвратяване, готовност и управление на последиците от тероризъм и други рискове, свързани със сигурността “ http://ec.europa.eu/justice_home/funding/cips/funding_cips_en.htm

[28] Вж. бележка 27 по-горе.

[29] Вж. бележка 24 по-горе.

[30] Вж. бележка 27 по-горе.

[31] COM(2008) 588 окончателен.

[32] Вж. бележка 27 по-горе.