52011DC0163

[pic] | EVROPSKÁ KOMISE |

V Bruselu dne 31.3.2011

KOM(2011) 163 v konečném znění

SDĚLENÍ KOMISE EVROPSKÉMU PARLAMENTU, RADĚ, EVROPSKÉMU HOSPODÁŘSKÉMU A SOCIÁLNÍMU VÝBORU A VÝBORU REGIONŮ

o ochraně kritické informační infrastruktury „Dosažené výsledky a další kroky: směrem ke globální kybernetické bezpečnosti“

SDĚLENÍ KOMISE EVROPSKÉMU PARLAMENTU, RADĚ, EVROPSKÉMU HOSPODÁŘSKÉMU A SOCIÁLNÍMU VÝBORU A VÝBORU REGIONŮ

o ochraně kritické informační infrastruktury „Dosažené výsledky a další kroky: směrem ke globální kybernetické bezpečnosti“

ÚVOD

Dne 30. března 2009 přijala Komise sdělení o ochraně kritické informační infrastruktury – „Ochrana Evropy před rozsáhlými počítačovými útoky a narušením: zvyšujeme připravenost, bezpečnost a odolnost“[1], které představilo akční plán pro ochranu kritické informační infrastruktury (OKII) pro posílení bezpečnosti a odolnosti životně důležitých infrastruktur informačních a komunikačních technologií (IKT). Jeho cílem byla stimulace a podpora vedoucí k vysoké míře připravenosti, bezpečnosti a odolnosti na evropské úrovni i ve členských státech. Tento přístup získal v roce 2009 širokou podporu Rady[2].

Akční plán OKII staví na pěti pilířích: připravenost a prevence, detekce a reakce, zmírňování a obnova, mezinárodní spolupráce a kritéria pro evropské kritické infrastruktury v odvětví IKT. Představuje úkoly, jež mají za podpory Evropské agentury pro bezpečnost sítí a informací (ENISA) v každém z pilířů provést Komise, členské státy a/nebo odvětví.

Digitální agenda pro Evropu[3], přijatá v květnu 2010, a související závěry Rady[4] zdůraznily sdílený konsensus na tom, že důvěra a bezpečnost jsou zásadními podmínkami pro široké rozšíření IKT, a tím i pro dosažení cílů dimenze strategie Evropa 2020 založené na „inteligentním růstu“[5]. Digitální agenda pro Evropu zdůrazňuje potřebu toho, aby se všechny zúčastněné strany spojily v komplexním úsilí o zajištění bezpečnosti a odolnosti infrastruktur IKT cestou zaměření na prevenci, připravenost a informovanost a rovněž aby vypracovaly efektivní a koordinované mechanismy reakce na nové a stále sofistikovanější formy kybernetických útoků a kyberkriminality. Tento přístup zajišťuje, že je řádně zohledněn preventivní i reaktivní rozměr problému.

Během posledních měsíců byla přijata následující opatření avizovaná v Digitální agendě: Komise v září 2010 přijala návrh směrnice o útocích proti informačním systémům[6]. Jejím cílem je posílení boje s organizovanou kyberkriminalitou prostřednictvím sblížení trestních řádů členských států a zlepšením spolupráce mezi soudními a jinými příslušnými orgány. Zavádí rovněž ustanovení zaměřená proti novým formám kybernetických útoků, zejména botnetům. V souladu s tím Komise současně předložila návrh[7] nového mandátu pro posílení a modernizaci agentury ENISA s cílem zlepšit důvěru a bezpečnost sítí. Posílení a modernizace agentury ENISA Evropské unii, členským státům a soukromým subjektům pomůže rozvíjet jejich schopnosti a připravenost pro účely prevence, detekce a reakce ve vztahu k problémům kybernetické bezpečnosti.

Digitální agenda, Stockholmský program a akční plán[8] a strategie vnitřní bezpečnosti Evropské unie[9] jsou v neposlední řadě výrazem odhodlání Komise vytvořit digitální prostředí, ve kterém může každý Evropan plně realizovat svůj ekonomický a společenský potenciál.

Toto sdělení provádí inventuru výsledků dosažených od přijetí akčního plánu OKII v roce 2009. Popisuje další kroky plánované pro každé z opatření na evropské i mezinárodní úrovni. Zaměřuje se rovněž na globální dimenzi problémů a význam posílení spolupráce mezi členskými státy a soukromým sektorem na vnitrostátní, evropské a mezinárodní úrovni v zájmu řešení otázek vzájemné globální závislosti.

SITUACE SE STÁLE MěNÍ

Posouzení dopadů připojené k akčnímu plánu OKII[10] a velký počet analýz a zpráv zúčastněných subjektů ze soukromého i veřejného sektoru poukazují nejen na závislost EU na IKT na sociální, politické a ekonomické úrovni, ale také na stále větší počet, rozsah, složitost a potenciální dopad hrozeb – ať už přírodních či způsobených člověkem.

Objevily se nové a technologicky sofistikovanější hrozby. Postupně se stále jasněji projevuje jejich globální geopolitický rozměr. Jsme svědky trendu směřujícího k využití IKT pro účely politické, ekonomické a vojenské nadvlády, dosažené mimo jiné ofenzivními prostředky. V této souvislosti jsou někdy zmiňovány pojmy „kybernetická válka“ nebo „kybernetický terorismus“.

Kromě toho, jak ukázaly nedávné události v jižním Středomoří, jsou některé režimy připraveny a schopny svévolně znemožnit nebo narušit přístup svých občanů ke komunikačním prostředkům IKT – zejména internetu a mobilním komunikacím – pro politické účely. Podobné jednostranné domácí zákroky mohou mít závažné důsledky jinde ve světě[11].

Pro komplexnější porozumění těmto různým hrozbám může být užitečné je seskupit do těchto kategorií podle sledovaného účelu:

- zneužití – například „pokročilé trvalé hrozby“ ( advanced persistent threats )[12] pro účely hospodářské a politické špionáže (např. GhostNet[13]), krádeže identity, nedávné útoky na systém pro obchodování s emisemi[14] nebo útoky proti vládním systémům informačních technologií[15];

- narušení – například útoky typu distribuovaného odepření služby ( Distributed Denial of Service – DDoS) nebo spamy generované prostřednictvím botnetů (např. síť Conficker se 7 miliony počítačů a španělská síť Mariposa s 12,7 milionu počítačů[16]), Stuxnet[17] a odříznutí komunikačních prostředků;

- destrukce – tento scénář se dosud neuskutečnil, ale vzhledem ke stále větší přítomnosti IKT v kritických infrastrukturách (např. v inteligentních sítích a vodovodních systémech) jej nelze do budoucnosti vyloučit[18].

EVROPSKÁ UNIE A GLOBÁLNÍ KONTEXT

Uvedené problémy se netýkají jen Evropské unie a EU je sama ani nemůže vyřešit. Všudypřítomnost IKT a internetu umožňuje účinnější, efektivnější a ekonomičtější komunikaci, koordinaci a spolupráci mezi zúčastněnými stranami. Jejím výsledkem je pulsující ekosystém inovací ve všech oblastech života. Hrozby však mohou nyní vznikat kdekoli na světě a v důsledku globální propojenosti mohou postihnout jakoukoli část světa.

K řešení budoucích úkolů není čistě evropský přístup dostatečný. Přestože je cíl spočívající ve vybudování jednotného a kooperativního přístupu v rámci EU stále stejně významný, je třeba jej integrovat do strategie globální koordinace oslovením klíčových partnerů, ať už se jedná o jednotlivé státy nebo příslušné mezinárodní organizace.

Musíme pracovat na globálním porozumění rizikům souvisejícím s širokým a masivním využitím IKT ve všech částech společnosti. A nejen to: musíme navrhnout strategie vhodného a efektivního řízení těchto rizik – tj. prevence a zmírňování rizik, boje s nimi a reakce na ně. Digitální agenda uvádí, že „ v zájmu účinného boje s ohrožením bezpečnosti a ke zmírnění takových hrozeb je třeba, aby spolupráce příslušných aktérů byla organizována na celosvětové úrovni “ a stanoví cíl „ spolupracovat se zúčastněnými stranami z celého světa zvláště na posílení globálního řízení rizik v digitálním i fyzickém světě a podnikat mezinárodně koordinované cílené akce proti kyberkriminalitě a ohrožení bezpečnosti “.

PROVÁDěNÍ AKčNÍHO PLÁNU OKII: NěKTERÉ PRVKY

Úplná zpráva o dosažených cílech a příštích krocích akčního plánu OKII je uvedena v příloze. Níže jsou uvedeny některé vybrané prvky zachycující stav situace.

Připravenost a prevence

- Evropské fórum členských států (EFMS) dosáhlo výrazného pokroku v podpoře diskusí a výměn mezi příslušnými orgány týkajících se osvědčených politických postupů v oblasti bezpečnosti a odolnosti infrastruktur IKT. Členské státy uznávají, že EFMS je důležitá platforma pro diskuse a výměnu osvědčených politických postupů[19]. Ve své další činnosti bude i nadále těžit z podpory agentury ENISA. Zaměří se na spolupráci mezi vnitrostátními/vládními skupinami pro reakci na počítačové hrozby (CERT), identifikaci ekonomických a regulačních pobídek pro bezpečnost a odolnost (za dodržení platných předpisů v oblasti hospodářské soutěže a státní podpory), hodnocení „zdravotního stavu kybernetické bezpečnosti“ v Evropě, celoevropská cvičení, jakož i na projednání priorit mezinárodní spolupráce v oblasti bezpečnosti a odolnosti.

- Bylo zahájeno Evropské partnerství veřejného a soukromého sektoru pro odolnost (EP3R), které má sloužit jako celoevropský správní rámec pro odolnost infrastruktur IKT. Jeho cílem je podpora spolupráce mezi veřejným a soukromým sektorem týkající se strategických politických otázek bezpečnosti a odolnosti v EU. Činnost EP3R zajišťovala ENISA a na základě návrhu Komise na modernizaci této agentury z roku 2010 má ENISA poskytovat pro EP3R dlouhodobý udržitelný rámec. EP3R bude také sloužit jako platforma pro mezinárodní spolupráci v oblastech veřejné politiky, ekonomiky a trhu souvisejících s bezpečností a odolností, a to zejména s cílem posílit globální řízení rizik u infrastruktur IKT.

- Pro vnitrostátní/vládní skupiny CERT byl vypracován minimální soubor základních schopností a služeb [20] a související politická doporučení [21], jež jim mají umožnit efektivní fungování jako klíčovým složkám prostředků pro připravenost, sdílení informací, koordinaci a reakci na národní úrovni. Na těchto výsledcích bude za podpory agentury ENISA do roku 2012 ve všech členských státech postavena síť dobře fungujících vnitrostátních/vládních skupin CERT. Tato síť bude páteří Evropského systému pro varování a sdílení informací (EISAS) pro občany a malé a střední podniky, jenž má být vybudován do roku 2013 za využití národních zdrojů a schopností.

Detekce a reakce

- ENISA vypracovala plán na vysoké úrovni pro vývoj Evropského systému pro varování a sdílení informací ( EISAS ) do roku 2013[22], který vychází z provádění základních služeb na úrovni vnitrostátních/vládních skupin CERT a služeb interoperability pro vnitrostátní systémy pro varování a sdílení informací, jež mají být integrovány do EISAS. Jedním z klíčových prvků této činnosti bude vhodná ochrana osobních údajů.

Zmírňování a obnova

- Cvičení zaměřená na reakci na rozsáhlý síťový bezpečnostní incident a obnovu po katastrofě dosud zorganizovalo pouze 12 členských států[23]. ENISA na podporu činnosti členských států, jež by se měla zintenzivnit, vypracovala pokyny k osvědčeným postupům při vnitrostátních cvičeních [24] a politická doporučení [25] pro vývoj vnitrostátních strategií.

- Dne 4. listopadu 2010 se uskutečnilo první celoevropské cvičení zaměřené na rozsáhlé síťové bezpečnostní incidenty ( Cyber Europe 2010). Zapojily se všechny členské státy, z nichž 19 se cvičení aktivně účastnilo, a rovněž Švýcarsko, Norsko a Island. Budoucím celoevropským kybernetickým cvičením by nepochybně prospěla možnost využít společný rámec vycházející z vnitrostátních krizových plánů a propojující je, jenž by tak poskytl základní mechanismy a postupy pro komunikaci a spolupráci mezi členskými státy.

Mezinárodní spolupráce

- V rámci EFMS byly projednány a vypracovány evropské zásady a pokyny pro odolnost a stabilitu internetu [26]. Komise bude tyto zásady projednávat a prosazovat s příslušnými zúčastněnými stranami, zejména se soukromým sektorem (prostřednictvím EP3R), na dvoustranném základě s klíčovými mezinárodními partnery, především USA, a dále i na mnohostranné úrovni. Komise v rámci svých pravomocí tato jednání povede na fórech, jako je G8, OECD, NATO (zejména na základě jeho nové strategické koncepce přijaté v listopadu 2010 a činnosti Společného centra excelence pro kybernetickou obranu – Cooperative Cyber-defense Center of Excellence ), Mezinárodní telekomunikační unie (pokud jde o budování kapacit v oblasti kybernetické bezpečnosti), OBSE (prostřednictvím jejího Fóra pro bezpečnostní spolupráci), ASEAN, Meridian[27], atd. Cílem je vytvořit z těchto zásad a pokynů sdílený rámec pro mezinárodní kolektivní úsilí v souvislosti s dlouhodobou odolností a stabilitou internetu.

Kritéria pro evropské kritické infrastruktury v odvětví IKT

- Technické diskuse v EFMS vedly k prvnímu návrhu kritérií specifických pro odvětví IKT a určených pro identifikaci evropských kritických infrastruktur se zaměřením na pevné a mobilní komunikace a internet . Tyto technické diskuse budou pokračovat a budou využívat konzultací o navržených kritériích se soukromým sektorem na vnitrostátní a evropské úrovni (prostřednictvím EP3R). Komise s členskými státy rovněž projedná prvky specifické pro odvětví IKT, jež bude třeba zvážit v rámci přezkumu směrnice o určování a označování evropských kritických infrastruktur a o posouzení potřeby zvýšit jejich ochranu[28].

CESTA VPřED

Akční plán OKII je úspěšně prováděn, zejména pokud jde o uznání toho, že je nutný kooperativní přístup k síťové a informační bezpečnosti se zapojením všech zúčastněných stran. Obecně jsou také dodržovány milníky a časový harmonogram, jež byly stanoveny v roce 2009. Neměli bychom však podléhat sebeuspokojení, jelikož na úrovni členských států i na evropské úrovni dosud zbývá mnoho práce, aby bylo toto úsilí úspěšné.

Je také obzvláště důležité integrovat toto úsilí do strategie globální koordinace, a tedy rozšířit jej i na mezinárodní scénu se všemi příslušnými zúčastněnými stranami, obrátit se na ostatní regiony, země nebo organizace, které řeší podobné otázky, a rozvíjet partnerství pro sdílení postupů a souvisejících činností i pro zamezení zdvojování úsilí.

Musíme prosazovat globální kulturu řízení rizik. Měla by se zaměřit na podporu koordinovaných činností v zájmu prevence, detekce, zmírňování a reakce ve vztahu ke všem druhům narušení, ať už přírodním nebo způsobeným člověkem, jakož i na stíhání související kyberkriminality. Patří sem provádění cílených opatření proti bezpečnostním hrozbám a počítačové kriminalitě.

Za tímto účelem bude Komise :

- prosazovat zásady odolnosti a stability internetu – Ve spolupráci s dalšími zeměmi, mezinárodními organizacemi a případně s globálními soukromými organizacemi by se měly vypracovat mezinárodní zásady pro odolnost a stabilitu internetu – využitím stávajících fór a procesů, například těch, jež souvisejí se správou internetu. Tyto zásady by měly všem zúčastněným stranám sloužit jako nástroj k vytvoření rámce své činnosti, pokud jde o stabilitu a odolnost internetu. Evropské zásady a pokyny by mohly sloužit jako základ pro tento účel.

- budovat strategická mezinárodní partnerství – Strategická partnerství by se měla budovat na základě probíhajícího úsilí v kritických oblastech, jako je řízení kybernetických incidentů, včetně cvičení a spolupráce mezi skupinami CERT. Nesmírný význam má zapojení soukromého sektoru operujícího v globálním měřítku. Významným krokem v tomto směru je pracovní skupina EU-USA pro kybernetickou bezpečnost a kyberkriminalitu, zřízená na summitu EU-USA v listopadu 2010. Zaměří se na řízení kybernetických incidentů, partnerství veřejného a soukromého sektoru, zvyšování informovanosti a kyberkriminalitu. Může také zvažovat možnosti kontaktů s dalšími regiony nebo zeměmi, které řeší stejné otázky, v zájmu sdílení postupů a souvisejících činností a případně zamezení zdvojování úsilí. Další spolupráce a koordinace by měla probíhat na mezinárodních fórech, především v rámci G8. Na evropské straně bude klíčovým faktorem úspěchu dobrá koordinace mezi všemi orgány EU, příslušnými agenturami (zejména ENISA a Europol) a členskými státy.

- rozvíjet důvěru v cloud computing – Zásadní význam má posílení diskusí o nejlepších strategiích správy rozvíjejících se technologií s globálním dopadem, jako je cloud computing . Tyto diskuse by měly nepochybně zahrnovat vhodný správní rámec pro ochranu osobních údajů, aniž by se na něj však omezovaly. Pro plné využití jeho přínosů je důvěra nezbytná[29].

Jelikož bezpečnost je odpovědnost, kterou sdílí každý, musí všechny členské státy zajistit, aby jejich vnitrostátní opatření a úsilí kolektivně přispívaly ke koordinovanému evropskému přístupu prevence, detekce, zmírňování a reakce ve vztahu ke všem druhům kybernetických narušení a útoků. V této souvislosti by měly členské státy přijmout tyto závazky :

- posílení připravenosti EU zřízením sítě dobře fungujících vnitrostátních/vládních skupin CERT do roku 2012. Podobně orgány EU na své úrovni do roku 2012 rovněž zřídí skupinu CERT. Veškeré toto úsilí by mělo využít souvisejícího minimálního souboru základních schopností a služeb a souvisejících politických doporučení vypracovaných agenturou ENISA, jež bude tyto iniciativy i nadále podporovat. Tato činnost rovněž posune vpřed vývoj Evropského systému pro varování a sdílení informací (EISAS) pro širší veřejnost, jenž má být dokončen do roku 2013.

- evropský krizový plán pro případy kybernetických incidentů do roku 2012 a pravidelná celoevropská kybernetická cvičení. Kybernetická cvičení jsou na vnitrostátní i evropské úrovni významným prvkem jednotné strategie pro krizové plánování a obnovu v případě kybernetického incidentu. Budoucí celoevropská kybernetická cvičení by měla být založena na evropském krizovém plánu pro případy kybernetických incidentů, který bude vycházet z vnitrostátních krizových plánů a propojovat je. Tento plán by měl zajistit základní mechanismy a postupy pro komunikaci mezi členskými státy a v neposlední řadě podporovat organizaci budoucích celoevropských cvičení včetně vymezení jejich rozsahu. ENISA bude spolupracovat s členskými státy na vývoji takovýchto evropských krizových plánů pro případy kybernetických incidentů do roku 2012. V téže lhůtě by všechny členské státy měly vypracovat své standardní vnitrostátní krizové plány a cvičení zaměřená na reakci a obnovu.

- koordinované úsilí EU na mezinárodních fórech a diskuse o posílení bezpečnosti a odolnosti internetu. Členské státy by měly mezi sebou a s Komisí spolupracovat s cílem podpořit vytvoření přístupu k otázce globální stability a odolnosti internetu, jenž by byl založen na zásadách nebo normách. Cílem by měla být podpora prevence a připravenosti na všech úrovních a u všech zúčastněných stran, aby se vyvážila aktuální tendence, v níž se diskuse zaměřují na oblast ozbrojených sil a/nebo národní bezpečnosti.

ZÁVěR

Zkušenosti ukazují, že čistě národní nebo regionální přístupy k řešení problémů bezpečnosti a odolnosti nejsou dostatečné. Evropská spolupráce se od roku 2009 významně rozvinula a dosáhla povzbuzujících úspěchů, mezi něž patří zejména cvičení Cyber Europe 2010 . Evropa by však měla pokračovat ve svém úsilí při tvorbě jednotného a kooperativního přístupu v rámci EU. Modernizovaná agentura ENISA by měla v rámci tohoto dlouhodobého úsilí zintenzivnit svou podporu členských států, orgánů EU a soukromého sektoru.

Aby byla evropská snaha úspěšná, musí být integrována do koordinovaného přístupu na globální úrovni. Za tímto účelem bude Komise na všech příslušných mezinárodních fórech prosazovat diskuse o kybernetické bezpečnosti.

Ve dnech 14.–15. dubna 2011 se bude konat konference ministrů věnovaná OKII, organizovaná maďarským předsednictvím EU. Bude to zásadní příležitost k potvrzení závazků směrem k posílené spolupráci a koordinaci mezi členskými státy na evropské i mezinárodní úrovni.

PŘÍLOHA

Akční plán OKII: podrobný přehled dosažených výsledků a dalších kroků

Výsledky činností prováděných v rámci akčního plánu OKII jsou zhruba v souladu s milníky a časovým harmonogramem, které v roce 2009 stanovila Komise. Níže jsou popsány „dosažené výsledky“ a „další kroky“ pro všechny pilíře. Tento stručný přehled bere v úvahu skutečnost, že některé činnosti byly dále rozpracovány v Digitální agendě pro Evropu a ve strategii vnitřní bezpečnosti.

1. Připravenost a prevence

Základní schopnosti a služby pro celoevropskou spolupráci

Dosažené výsledky

- V roce 2009 agentura ENISA a evropské skupiny pro reakci na počítačové hrozby (CERT) vypracovaly a schválily minimální soubor základních schopností a služeb, které vnitrostátní/vládní skupiny CERT musí mít, aby se mohly efektivně podílet na evropské spolupráci. Bylo dosaženo konsensu ohledně seznamu nutných požadavků v operační oblasti, oblasti technických schopností, mandátu a spolupráce[30].

- V roce 2010 ENISA ve spolupráci s evropskými skupinami CERT na základě výše uvedených operačně orientovaných požadavků vypracovala soubor politických doporučení[31] pro vnitrostátní/vládní skupiny CERT, která mají sloužit jako klíčová složka vnitrostátních prostředků pro připravenost, sdílení informací, koordinaci a reakci.

- K tomuto datu zřídilo vnitrostátní/vládní skupinu CERT 20 členských států[32] a téměř všechny ostatní její zřízení plánují. Jak avizovala Digitální agenda pro Evropu a dále specifikovala Strategie vnitřní bezpečnosti, navrhla Komise opatření s cílem zřídit do roku 2012 skupinu CERT pro orgány EU.

Další kroky

- ENISA bude nadále podporovat ty členské státy, které si dosud nezřídily vnitrostátní/vládní skupinu CERT, jež by splňovala dohodnuté základní požadavky uvedené výše, aby bylo zajištěno splnění cíle mít do roku 2011 dobře fungující vnitrostátní/vládní skupiny CERT ve všech členských státech. Splněním tohoto úkolu se otevře cesta pro zřízení dobře fungující sítě skupin CERT na vnitrostátní úrovni do roku 2012 , jak předpokládá Digitální agenda pro Evropu.

- ENISA ve spolupráci s vnitrostátními/vládními skupinami CERT projedná otázku, zda a jak rozšířit „základní schopnosti“ s cílem přizpůsobit schopnost skupin CERT podporovat členské státy při zajišťování odolnosti a stability životně důležitých infrastruktur IKT. Jak avizovala strategie vnitřní bezpečnosti, do roku 2013 by tak měla vzniknout páteř Evropského systému pro varování a sdílení informací (EISAS) pro občany a malé a střední podniky, vystavěná z vnitrostátních zdrojů a schopností.

Evropské partnerství veřejného a soukromého sektoru pro odolnost (EP3R)

Dosažené výsledky

- EP3R bylo zahájeno v roce 2009 jako celoevropský správní rámec pro odolnost infrastruktur IKT, podporu spolupráce veřejného a soukromého sektoru při plnění cílů v oblasti bezpečnosti a odolnosti, základních požadavků, osvědčených politických postupů a opatření. Jak uvádí Strategie vnitřní bezpečnosti, EP3R rovněž „ s mezinárodními partnery [naváže] spolupráci ohledně posílení globálního řízení rizik počítačových sítí “. Činnost EP3R zajišťuje ENISA.

- Zúčastněné strany z veřejného a soukromého sektoru byly konzultovány, aby navrhly cíle, zásady a strukturu EP3R a identifikovaly pobídky, jež by relevantní zúčastněné strany povzbudily k aktivnímu zapojení[33]. Prioritní oblasti pro EP3R byly vymezeny v návrhu na modernizaci agentury ENISA[34].

- Souběžně s navrhováním struktury EP3R byla na konci roku 2010 zahájena činnost tří pracovních skupin zaměřených na: a) klíčová aktiva, zdroje a funkce pro trvalé a bezpečné zajišťování elektronické komunikace napříč zeměmi; b) základní požadavky na bezpečnost a odolnost elektronických komunikací; c) potřeby a mechanismy koordinace a kooperace pro přípravu a reakci na velká narušení elektronických komunikací.

- Návrh Komise na modernizaci agentury ENISA v roce 2010 zajistil pro EP3R dlouhodobý a udržitelný rámec: navrhl, aby ENISA „ podpor[ovala] spolupráci mezi zúčastněnými stranami veřejného a soukromého sektoru na úrovni Unie, mimo jiné podporou sdílení informací a zvyšování informovanosti a usnadňováním jejich úsilí zaměřeného na rozvoj a přejímání standardů řízení rizik a bezpečnosti elektronických produktů, sítí a služeb “.

Další kroky

- V roce 2011 bude EP3R pokračovat v posilování spolupráce mezi zúčastněnými stranami veřejného a soukromého sektoru při zvyšování bezpečnosti a odolnosti prostřednictvím inovativních opatření a nástrojů, jakož i v identifikaci úkolů zúčastněných stran. Pracovní skupiny EP3R díky využití zprostředkovací a podpůrné úlohy agentury ENISA odevzdají první výsledky. Budoucí činnost se rovněž zaměří na problémy kybernetické bezpečnosti inteligentních sítí, přičemž bude vycházet z přípravných prací provedených Komisí a agenturou ENISA.

- EP3R bude sloužit jako platforma pro globální spolupráci v oblastech veřejné politiky, hospodářství a trhu, které jsou relevantní pro bezpečnost a odolnost. Komise má v úmyslu využít EP3R při podpoře činností pracovní skupiny EU-USA pro kybernetickou bezpečnost a kyberkriminalitu v zájmu vytvoření soudržného prostředí pro spolupráci mezi veřejným a soukromým sektorem za současného dodržení příslušných předpisů v oblasti hospodářské soutěže a státní podpory.

- V dlouhodobém horizontu se v souladu s návrhem nového nařízení o agentuře ENISA plánuje, že by se EP3R mělo stát klíčovou činností této modernizované agentury.

Evropské fórum členských států (EFMS)

Dosažené výsledky

- EFMS bylo založeno v roce 2009 na podporu diskuse a výměny osvědčených politických postupů mezi příslušnými veřejnými orgány za účelem sdílení politických cílů a priorit v oblasti bezpečnosti a odolnosti infrastruktur IKT, přičemž přímo využívá práce a podpory poskytované agenturou ENISA. EFMS, jež se schází čtvrtletně, od poloviny roku 2010 podporuje jemu určený webový portál spravovaný agenturou ENISA.

- EFMS učinilo významné pokroky, pokud jde o: a) definici kritérií pro označování evropských infrastruktur IKT v souvislosti se směrnicí o určování a označování evropských kritických infrastruktur[35]; b) identifikaci evropských priorit, zásad a pokynů pro odolnost a stabilitu internetu; c) výměnu osvědčených politických postupů, zejména kybernetická cvičení.

- Členské státy uznávají, že EFMS je důležitá platforma pro diskuse a výměnu osvědčených politických postupů[36].

Další kroky

- V roce 2011 EFMS dokončí technické diskuse o kritériích IKT pro evropské kritické infrastruktury a rovněž tak poskytne dlouhodobé pokyny a priority pro velká celoevropská cvičení zaměřená na bezpečnost sítí a informací.

- EFMS se dále zapojí do diskusí o prioritách mezinárodní spolupráce ohledně bezpečnosti a odolnosti, zejména ve vztahu k pracovní skupině EU-USA pro kybernetickou bezpečnost a kyberkriminalitu.

- Mezi prioritní oblasti budoucích činností EFMS, jež budou čerpat a těžit z přímé podpory agentury ENISA, patří[37]: návrhy metod pro efektivní spolupráci mezi vnitrostátními/vládními skupinami CERT; stanovení minimálních požadavků při zadávání veřejných zakázek pro posílení kybernetické bezpečnosti; identifikace ekonomických a regulačních pobídek pro bezpečnost a odolnost (za dodržení příslušných předpisů v oblasti hospodářské soutěže a státní podpory); hodnocení „zdravotního stavu kybernetické bezpečnosti“ v Evropě.

- Detekce a reakce

Evropský systém pro varování a sdílení informací (EISAS)

Dosažené výsledky

- Komise financuje dva pilotní projekty (FISHAS a NEISAS), které v současnosti produkují konečné výsledky.

- Na základě své zprávy o proveditelnosti z roku 2007[38] a analýzy relevantních projektů na vnitrostátní a evropské úrovni ENISA vypracovala plán na vysoké úrovni pro rozvoj EISAS do roku 2013[39].

Další kroky

- V roce 2011 bude ENISA podporovat členské státy při provádění plánu EISAS vypracováním seznamu „základních služeb“, které členské státy potřebují pro vytvoření svých Systémů pro varování a sdílení informací (ISAS) na základě schopností svých vnitrostátních/vládních skupin CERT.

- V roce 2012 vypracuje ENISA seznam „služeb interoperability“, které umožní funkční integraci každého vnitrostátního systému ISAS do systému EISAS. ENISA bude rovněž podporovat členské státy při zkouškách těchto služeb prostřednictvím postupné integrace vnitrostátních systémů.

- Během let 2011–2012 bude ENISA podporovat vnitrostátní/vládní skupiny CERT v integraci schopnosti ISAS do jimi poskytovaných služeb.

- Zmírňování a obnova

Vnitrostátní krizové plánování a cvičení

Dosažené výsledky

- 12 členských států do konce roku 2010 vypracovalo vnitrostátní krizový plán a/nebo zorganizovalo cvičení zaměřené na reakci na rozsáhlý síťový bezpečnostní incident a na obnovu po katastrofě[40].

- ENISA na základě národních a mezinárodních zkušeností vypracovala pokyny k osvědčeným postupům pro vnitrostátní cvičení[41], spolu s členskými státy a skupinami CERT z celého světa organizovala akce související s vnitrostátními cvičeními a v poslední době vydala politická doporučení ohledně rozvoje vnitrostátních strategií, v nichž mají vnitrostátní/vládní skupiny CERT/CSIRT klíčovou roli při vedení vnitrostátních cvičení krizového plánování a zkoušek se zapojením zúčastněných stran ze soukromého a veřejného sektoru[42].

Další kroky

- ENISA bude jako krok směrem k užší celoevropské koordinaci pokračovat v podpoře úsilí členských států o vytvoření vnitrostátních krizových plánů a organizaci pravidelných cvičení reakce v případě rozsáhlých síťových bezpečnostních incidentů a obnovy po katastrofě.

Celoevropská cvičení zaměřená na rozsáhlé síťové bezpečnostní incidenty

Dosažené výsledky

- Dne 4. listopadu 2010 se uskutečnilo první celoevropské cvičení zaměřené na rozsáhlé síťové bezpečnostní incidenty ( Cyber Europe 2010 ). Zapojily se všechny členské státy, z nichž 19 se cvičení účastnilo, a rovněž Švýcarsko, Norsko a Island. Cvičení zorganizovala a zhodnotila[43] ENISA za aktivního zapojení plánovacího týmu z osmi členských států a technologické podpory Společného výzkumného střediska (JRC).

Další kroky

- V roce 2011 členské státy projednají cíl a rozsah příštího celoevropského kybernetického cvičení plánovaného na rok 2012. Bude se zvažovat možnost odstupňovaného postupu s detailnějšími cvičeními, se zapojením menší skupiny členských států s možnou účastí mezinárodních subjektů. ENISA bude tento proces i nadále podporovat.

- Komise finančně podporuje projekt EuroCybex, v jehož rámci se v druhé polovině roku 2011 uskuteční virtuální cvičení.

- Kybernetická cvičení jsou na vnitrostátní i evropské úrovni významným prvkem jednotné strategie pro krizové plánování v případě kybernetického incidentu. Budoucí celoevropská kybernetická cvičení by proto měla být založena na evropském krizovém plánu pro případy kybernetických incidentů, který bude vycházet z vnitrostátních krizových plánů a propojovat je. Tento plán by měl zajistit základní mechanismy a postupy pro komunikaci mezi členskými státy a v neposlední řadě podporovat organizaci budoucích celoevropských cvičení včetně vymezení jejich rozsahu. ENISA bude spolupracovat s členskými státy na vývoji takovýchto evropských krizových plánů pro případy kybernetických incidentů do roku 2012. V téže lhůtě všechny členské státy vypracují své standardní vnitrostátní krizové plány a cvičení zaměřená na reakci a obnovu. Koordinaci nezbytnou k zajištění tohoto výsledku provede EFMS.

Posílená spolupráce mezi vnitrostátními/vládními skupinami CERT

Dosažené výsledky

- Spolupráce mezi vnitrostátními/vládními skupinami CERT se zintenzivnila. Práce agentury ENISA na základních schopnostech pro vnitrostátní/vládní skupiny CERT, pro cvičení skupin CERT a vnitrostátní cvičení a pro řízení kybernetických incidentů pomohla stimulovat a podpořit silnější celoevropskou spolupráci mezi vnitrostátními/vládními skupinami CERT.

Další kroky

- ENISA bude i nadále podporovat spolupráci mezi vnitrostátními/vládními skupinami CERT. Za tímto účelem v roce 2011 předloží analýzu požadavků a pokyny pro vhodný zabezpečený komunikační kanál se skupinami CERT, včetně plánu provádění a budoucího rozvoje. ENISA bude rovněž analyzovat operační mezery na evropské úrovni a předloží zprávu o tom, jak by bylo možné posílit přeshraniční spolupráci mezi skupinami CERT a příslušnými zúčastněnými stranami, zejména pokud jde o koordinaci reakce na incidenty.

- Digitální agenda pro Evropu vyzývá členské státy, aby na vnitrostátní úrovni zřídily dobře fungující síť skupin CERT do roku 2012 .

- Mezinárodní spolupráce

Odolnost a stabilita internetu

Dosažené výsledky

- V rámci EFMS byly vypracovány evropské zásady a pokyny pro odolnost a stabilitu internetu[44].

Další kroky

- Komise v roce 2011 hodlá: prosazovat a projednávat tyto zásady jednak v rámci dvoustranné spolupráce s mezinárodními partnery, zejména USA, jednak v mnohostranných diskusích v rámci G8, OECD, Meridianu a Mezinárodní telekomunikační unie, vést konzultace s příslušnými zúčastněnými stranami, zejména ze soukromého sektoru, na úrovni evropské (prostřednictvím EP3R) a mezinárodní (prostřednictvím Fóra pro správu internetu a dalších vhodných fór) a prosazovat diskusi s klíčovými internetovými subjekty a organizacemi.

- V roce 2012 budou zapojeni mezinárodní partneři s cílem zavést tyto zásady a pokyny jako sdílený rámec pro mezinárodní kolektivní spolupráci v oblasti dlouhodobé odolnosti a stability internetu.

Globální cvičení zaměřená na obnovu a zmírňování rozsáhlých internetových incidentů

Dosažené výsledky

- Sedm členských států[45] se v roli mezinárodních partnerů zúčastnilo kybernetického cvičení Cyber Storm III , které pořádaly USA. Komise a ENISA se zúčastnily jako pozorovatelé.

Další kroky

- V roce 2011 Komise vypracuje s USA v rámci pracovní skupiny EU-USA pro kybernetickou bezpečnost a kyberkriminalitu společný program a plán pro společná/synchronizovaná transkontinentální kybernetická cvičení v letech 2012–2013. Rovněž budou zváženy možnosti kontaktů s dalšími regiony nebo zeměmi řešícími podobné otázky v zájmu sdílení postupů a souvisejících činností.

- Kritéria pro evropské kritické infrastruktury v odvětví IKT

Kritéria pro identifikaci evropských kritických infrastruktur v odvětví IKT specifická pro jednotlivá odvětví

Dosažené výsledky

- Technické diskuse vedené v rámci EFMS o kritériích pro IKT specifických pro jednotlivá odvětví vedly k vypracování návrhu kritérií pro pevné a mobilní komunikace a internet.

Další kroky

- EFMS bude pokračovat v technických diskusích o kritériích pro IKT specifických pro jednotlivá odvětví s cílem dokončit je do konce roku 2011. Některé členské státy a orgány EU současně plánují konzultace se soukromým sektorem o návrhu kritérií pro odvětví IKT prostřednictvím EP3R.

- Komise s členskými státy prodiskutuje prvky specifické pro odvětví IKT, jež budou zahrnuty do přezkumu směrnice 2008/114/ES o určování a označování evropských kritických infrastruktur, plánovaného na rok 2012.

-

[1] KOM(2009) 149.

[2] Usnesení Rady ze dne 18. prosince 2009 o společném evropském přístupu k bezpečnosti sítí a informací (2009/C 321/01).

[3] KOM(2010) 245.

[4] Závěry Rady ze dne 31. května 2010 o Digitální agendě pro Evropu (10130/10).

[5] KOM(2010) 2020 a závěry Evropské rady ze dne 25.–26. března 2010 (EUCO 7/10).

[6] KOM(2010) 517 v konečném znění.

[7] KOM(2010) 521.

[8] KOM(2010) 171.

[9] KOM(2010) 673.

[10] SEK(2009) 399.

[11] Společné sdělení o partnerství pro demokracii a sdílenou prosperitu s jižním Středomořím: KOM(2011) 200 ze dne 8. března 2011.

[12] Tj. trvající koordinované útoky proti vládním orgánům a veřejnému sektoru. Tento problém se nyní projevuje i v soukromém sektoru (viz zpráva RSA o trendech v kybernetické kriminalitě z roku 2011).

[13] Viz zprávy projektu Information Warfare Monitor: „ Tracking GhostNet: investigating a Cyber Espionage Network “ (2009) a „ Shadows in the Cloud: Investigating Cyber Espionage 2.0 “ (2010).

[14] Viz otázky a odpovědi na adrese http://europa.eu/rapid/pressReleasesAction.do?reference=MEMO/11/34&format=HTML&aged=0&language=EN&guiLanguage=fr.

[15] Např. nedávné útoky proti francouzské vládě.

[16] Viz projekt OECD/IFP „ Future Global Shocks “, „ Reducing systemic cyber-security risks “, 14. ledna 2011, na adrese http://www.oecd.org/dataoecd/3/42/46894657.pdf.

[17] Viz http://www.enisa.europa.eu/media/press-releases/stuxnet-analysis.

[18] Viz World Economic Forum, Global Risks 2011.

[19] Vláda Spojeného království ve své odpovědi na pátou zprávu výboru Sněmovny lordů pro EU o akčním plánu OKII uvedla, že EFMS „ je úspěšné a jako příležitost pro výměnu zkušeností reaguje na skutečnou potřebu vnímanou tvůrci politiky “.

[20] Viz http://www.enisa.europa.eu/act/cert/support/files/baseline-capabilities-for-national-governmental-certs.

[21] Viz http://www.enisa.europa.eu/act/cert/support/files/baseline-capabilities-of-national-governmental-certs-policy-recommendations.

[22] http://www.enisa.europa.eu/act/cert/other-work/eisas_folder/eisas_roadmap.

[23] Zdroj: ENISA.

[24] Viz http://www.enisa.europa.eu/act/res/policies/good-practices-1/exercises/national-exercise-good-practice-guide/at_download/fullReport.

[25] Viz http://www.enisa.europa.eu/act/cert/support/files/baseline-capabilities-of-national-governmental-certs-policy-recommendations.

[26] Viz http://ec.europa.eu/information_society/policy/nis/index_en.htm.

[27] Cílem Meridianského procesu je poskytnout vládám po celém světě prostředek pro diskusi o politické spolupráci ohledně ochrany kritické informační infrastruktury (OKII). Viz http://meridianprocess.org.

[28] Směrnice Rady 2008/114/ES.

[29] Viz například zprávy agentury ENISA „ Cloud Computing Information Assurance Framework “ (2009) na adrese http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-information-assurance-framework/at_download/fullReport) a „ Security and resilience in governmental clouds “ (2011) na adrese http://www.enisa.europa.eu/act/rm/emerging-and-future-risk/deliverables/security-and-resilience-in-governmental-clouds/).

[30] Viz http://www.enisa.europa.eu/act/cert/support/files/baseline-capabilities-for-national-governmental-certs.

[31] Viz http://www.enisa.europa.eu/act/cert/support/files/baseline-capabilities-of-national-governmental-certs-policy-recommendations.

[32] Zdroj: ENISA.

[33] Viz http://ec.europa.eu/information_society/policy/nis/strategy/activities/ciip/impl_activities/index_en.htm.

[34] KOM(2010) 521.

[35] Směrnice Rady 2008/114/ES.

[36] Vláda Spojeného království ve své odpovědi na pátou zprávu výboru Sněmovny lordů pro EU o akčním plánu OKII uvedla, že EFMS „ je úspěšné a jako příležitost pro výměnu zkušeností reaguje na skutečnou potřebu vnímanou tvůrci politiky “.

[37] KOM(2010) 251.

[38] Viz http://www.enisa.europa.eu/act/cert/other-work/files/EISAS_finalreport.pdf.

[39] http://www.enisa.europa.eu/act/cert/other-work/eisas_folder/eisas_roadmap.

[40] Viz http://www.enisa.europa.eu/act/res/policies/good-practices-1/exercises/national-exercise-good-practice-guide/at_download/fullReport.

[41] Viz http://www.enisa.europa.eu/act/res/policies/good-practices-1/exercises/national-exercise-good-practice-guide/at_download/fullReport.

[42] Viz http://www.enisa.europa.eu/act/cert/support/files/baseline-capabilities-of-national-governmental-certs-policy-recommendations.

[43] Viz http://www.enisa.europa.eu/.

[44] Viz http://ec.europa.eu/information_society/policy/nis/index_en.htm.

[45] Francie, Itálie, Maďarsko, Německo, Nizozemsko, Spojené království a Švédsko.