31992D0242

RAADETS AFGOERELSE af 31. marts 1992 om informationssystemers sikkerhed (92/242/EOEF)

RAADET FOR DE EUROPAEISKE FAELLESSKABER HAR -

under henvisning til Traktaten om Oprettelse af Det Europaeiske OEkonomiske Faellesskab, saerlig artikel 235,

under henvisning til forslag fra Kommissionen (1),

under henvisning til udtalelse fra Europa-Parlamentet (2),

under henvisning til udtalelse fra Det OEkonomiske og Sociale Udvalg (3), og

ud fra foelgende betragtninger:

Faellesskabet har til opgave gennem oprettelsen af et faelles marked og gennem gradvis tilnaermelse af medlemsstaternes oekonomiske politik at fremme en harmonisk udvikling af den oekonomiske virksomhed i Faellesskabet som helhed, en varig og afbalanceret ekspansion, en oeget stabilitet, en hurtigere hoejnelse af levestandarden og snaevrere forbindelser mellem medlemsstaterne;

elektronisk lagring, behandling og formidling af information spiller en stadig stoerre rolle for erhvervslivet og samfundet;

fremkomsten af en effektiv verdensomspaendende kommunikation og den udstrakte brug af elektronisk behandling af information betyder, at behovet for en passende beskyttelse oeges;

Europa-Parlamentet har i sine droeftelser og beslutninger ved flere lejligheder understreget vigtigheden af informationssystemers sikkerhed;

Det OEkonomiske og Sociale Udvalg har fremhaevet behovet for at behandle de aspekter, der vedroerer informationssystemers sikkerhed i forbindelse med Faellesskabets foranstaltninger, blandt andet paa baggrund af de virkninger, gennemfoerelsen af det indre marked maa forventes at faa;

foranstaltninger paa nationalt, internationalt og EF-niveau udgoer et godt udgangspunkt;

der er en naer forbindelse mellem telekommunikation, informationsteknologi, standardisering, informationsmarkedet og politikken vedroerende forskning og teknologisk udvikling (FTU) samt det arbejde, som Det Europaeiske Faellesskab allerede har indledt paa disse felter;

der boer ske en samordning af indsatsen paa grundlag af allerede igangvaerende nationalt og internationalt arbejde og ved fremme af samarbejdet mellem hovedaktoererne; dette boer ske inden for rammerne af en sammenhaengende handlingsplan;

informationssystemers sikkerhed omfatter mange forskellige aspekter, og der maa derfor udarbejdes strategier, der dels sikrer fri bevaegelighed for informationer i enhedsmarkedet, dels garanterer sikkerheden i anvendelsen af informationssystemer i hele Faellesskabet;

det er den enkelte medlemsstats ansvar at fastsaette de begraensninger, der er noedvendige af hensyn til sikkerheden og den offentlige orden;

medlemsstaternes ansvar paa dette omraade indebaerer en samordnet indsats paa grundlag af et snaevert samarbejde med hoejtstaaende embedsmaend fra medlemsstaterne;

der er behov for en plan omfattende en handlingsplan for en indledende periode paa 24 maaneder og nedsaettelse af et udvalg af hoejtstaaende embedsmaend med et langfristet mandat, der skal raadgive Kommissionen vedroerende foranstaltninger inden for informationssystemers sikkerhed;

et beloeb paa 12 mio. ECU skoennes noedvendigt til gennemfoerelsen af planen i en indledende periode paa 24 maaneder; de midler, der i 1992 skoennes noedvendige inden for de nuvaerende finansielle overslag, beloeber sig til 2 mio. ECU;

de midler, der skal afsaettes til finansiering af planen for tiden efter regnskabsaaret 1992, skal ligge inden for Faellesskabets gaeldende finansieringsramme -

TRUFFET FOELGENDE AFGOERELSE:

Artikel 1

Der vedtages hermed en plan for informationssystemers sikkerhed, der omfatter:

- udvikling af overordnede strategier for informationssystemers sikkerhed (handlingsplan) for en indledende periode paa 24 maaneder, og

- nedsaettelse af en gruppe af hoejtstaaende embedsmaend med et langfristet mandat, i det foelgende benaevnt »udvalget«, der skal raadgive Kommissionen vedroerende de foranstaltninger, der skal gennemfoeres inden for informationssystemers sikkerhed.

Artikel 2

1. Kommissionen hoerer systematisk udvalget vedroerende spoergsmaal om informationssystemers sikkerhed i forbindelse med de forskellige faellesskabsaktiviteter, navnlig vedroerende fastlaeggelsen af arbejdsstrategier og -programmer.

2. Handlingsplanen omfatter som anfoert i bilag I forberedende arbejde paa foelgende omraader:

I. Etablering af strategiske rammer for informationssystemers sikkerhed

II. Kortlaegning af brugernes og tjenesteydernes behov med hensyn til informationssystemers sikkerhed

III. Loesninger for brugernes, leverandoerernes og tjenesteydernes umiddelbare og midlertidige behov

IV. Udvikling af specifikationer, standardisering, evaluering og certificering i forbindelse med informationssystemers sikkerhed

V. Teknologisk og driftsmaessig udvikling inden for informationssystemers sikkerhed

VI. Tilvejebringelse af sikkerhed for informationssystemer.

Artikel 3

1. De faellesskabsmidler, der skoennes noedvendige til gennemfoerelse af planen i en indledende periode paa 24 maaneder, beloeber sig til 12 mio. ECU, hvoraf 2 mio. ECU i 1992 inden for rammerne af de finansielle overslag for 1988 til 1992.

Midler til finansiering af den efterfoelgende gennemfoerelse af planen skal ligge inden for Faellesskabets gaeldende finansieringsramme.

2. Budgetmyndigheden fastlaegger de disponible bevillinger for hvert regnskabsaar under hensyntagen til de i artikel 2 i finansforordningen vedroerende De Europaeiske Faellesskabers almindelige budget omhandlede principper om forsvarlig oekonomisk forvaltning.

Artikel 4

En gruppe uafhaengige eksperter foretager paa Kommissionens vegne en evaluering af de fremskridt, der er gjort i loebet af den indledende periode. Denne gruppes rapport samt eventuelle bemaerkninger fra Kommissionen sendes til Europa-Parlamentet og Raadet.

Artikel 5

1. Kommissionen er ansvarlig for planens gennemfoerelse. Den bistaas af et raadgivende udvalg, der bestaar af repraesentanter for medlemsstaterne, og som har Kommissionens repraesentant som formand.

2. Handlingsplanen gennemfoeres i overensstemmelse med de maal, der er fastlagt i artikel 2, og ajourfoeres om noedvendigt. Den skal i detaljer beskrive, hvilke maal og foranstaltningstyper der skal gennemfoeres, og den skal indeholde en oversigt over, hvilke finansielle ordninger der skal gennemfoeres herfor. Kommissionen indkalder forslag paa grundlag af handlingsplanen.

3. Handlingsplanen gennemfoeres i samarbejde med sektoraktoererne. Den tager hensyn til, fremmer og supplerer igangvaerende europaeisk og internationalt standardiseringsarbejde paa omraadet.

Artikel 6

1. Fremgangsmaaden i artikel 7 gaelder for foranstaltninger vedroerende Faellesskabets politik inden for informationssystemers sikkerhed.

2. Fremgangsmaaden i artikel 8 gaelder for:

- udarbejdelse og ajourfoering af handlingsplanen som omhandlet i artikel 5

- indholdet af indkaldelser af forslag, vurderingen af forslag og det anslaaede beloeb for Faellesskabets bidrag til foranstaltningerne, hvis dette beloeb overstiger 200 000 ECU

- medvirken fra ikke-faellesskabsorganisationers side i aktiviteter, der er omfattet af denne afgoerelse

- ordninger for spredning, beskyttelse og udnyttelse af resultaterne af foranstaltningerne

- de foranstaltninger, der skal traeffes for at evaluere planen.

3. Hvis beloebet for Faellesskabets bidrag til foranstaltningerne er paa 200 000 ECU eller derunder, hoerer Kommissionen udvalget om de foranstaltninger, der skal traeffes, og underretter udvalget om resultatet af sin vurdering.

Artikel 7

Kommissionens repraesentant forelaegger udvalget et udkast til de foranstaltninger, der skal traeffes. Udvalget afgiver en udtalelse om dette udkast inden for en frist, som formanden kan fastsaette under hensyn til, hvor meget det paagaeldende spoergsmaal haster, i givet fald ved afstemning.

Udtalelsen optages i moedeprotokollen; derudover har hver medlemsstat ret til at anmode om, at dens holdning indfoeres i moedeprotokollen.

Kommissionen tager stoerst muligt hensyn til udvalgets udtalelse. Den underretter udvalget om, hvorledes den har taget hensyn til dets udtalelse.

Artikel 8

Kommissionens repraesentant forelaegger udvalget et udkast til de foranstaltninger, der skal traeffes. Udvalget afgiver en udtalelse om dette udkast inden for en frist, som formanden kan fastsaette under hensyn til, hvor meget det paagaeldende spoergsmaal haster. Det udtaler sig med det flertal, der er fastsat i Traktatens artikel 148, stk. 2, for vedtagelse af de afgoerelser, som Raadet skal traeffe paa forslag af Kommissionen. Ved afstemninger i udvalget tillaegges de stemmer, der afgives af repraesentanterne for medlemsstaterne, den vaegt, som er fastlagt i naevnte artikel. Formanden deltager ikke i afstemningen.

Kommissionen vedtager de paataenkte foranstaltninger, naar de er i overensstemmelse med udvalgets udtalelse.

Er de paataenkte foranstaltninger ikke i overensstemmelse med udvalgets udtalelse, eller er der ikke afgivet nogen udtalelse, forelaegger Kommissionen straks Raadet et forslag til de foranstaltninger, der skal traeffes. Raadet traeffer afgoerelse med kvalificeret flertal.

Har Raadet ved udloebet af en frist paa tre maaneder regnet fra forslagets forelaeggelse for Raadet ikke truffet nogen afgoerelse, vedtages de foreslaaede foranstaltninger af Kommissionen, medmindre Raadet med simpelt flertal har udtalt sig imod de naevnte foranstaltninger. Udfaerdiget i Bruxelles, den 31. marts 1992. Paa Raadets vegne

Vitor MARTINS

Formand

(1) EFT nr. C 277 af 5. 11. 1990, s. 18. (2) EFT nr. C 94 af 13. 3. 1992. (3) EFT nr. C 159 af 17. 6. 1991, s. 38.

BILAG

Resumé af aktionslinjerne

RETNINGSLINJER FOR EN HANDLINGSPLAN VEDROERENDE INFORMATIONSSYSTEMERS SIKKERHED

INDLEDNING

Handlingsplanen har til formaal at fastlaegge overordnede strategier med henblikpaa at yde brugere og producenter af elektronisk lagret, behandlet eller transmitteret information passende beskyttelse mod haendelige eller forsaetlige trusler mod informationssystemer.

Handlingsplanen skal tage hensyn til og supplere det verdensomspaendende standardiseringsarbejde, der er i gang paa dette omraade.

Den skal omfatte foelgende aktionslinjer:

- etablering af strategiske rammer for informationssystemers sikkerhed

- kortlaegning af brugernes og tjenesteydernes behov med hensyn til informationssystemers sikkerhed

- loesninger for brugernes, leverandoerernes og tjenesteydernes umiddelbare og midlertidige behov

- udvikling af specifikationer, standardisering, evaluering og certificering i forbindelse med informationssystemers sikkerhed

- teknologisk og driftsmaessig udvikling inden for informationssystemers sikkerhed

- tilvejebringelse af sikkerhed for informationssystemer.

Handlingsplanen gennemfoeres af Kommissionen i naer forbindelse med tilsvarende foranstaltninger i medlemsstaterne og sammen med tilsvarende faellesskabsforskning og udviklingsforanstaltninger.

1. Aktionslinje I - Etablering af strategiske rammer for informationssystemers sikkerhed

1.1. Omraade

Det erkendes, at informationssystemers sikkerhed er et grundlaeggende behov i mange sammenhaenge i det moderne samfund. Elektroniske informationstjenester goer sikre telekommunikationsinfrastrukturer, sikker hardware og software samt sikker brug og forvaltning paakraevet. Der boer etableres en overordnet strategi, der tager hensyn til alle aspekter af informationssystemers sikkerhed, saaledes at en spredning mellem forskellige metoder undgaas. Enhver strategi vedroerende sikkerhed i forbindelse med information, der behandles i elektronisk form, boer afspejle samfundets oenske om at fungere effektivt, samtidig med at det beskytter sig selv i en verden i hastig forandring.

1.2. Maal

Der boer fastlaegges strategiske rammer, saaledes at de samfundsmaessige, oekonomiske og politiske maal kan forenes med de muligheder, der findes paa teknisk, driftsmaessigt og lovgivningsmaessigt plan inden for Faellesskabet og i international sammenhaeng. Der maa findes en balance mellem de forskellige oensker, maalsaetninger og begraensninger. Dette bliver en opgave for sektoraktoererne gennem et samarbejde med sigte paa fastlaeggelse af et faelles synspunkt og en faelles strategisk ramme. Dette er en forudsaetning for at kunne forene modstridende interesser og behov baade inden for den politiske beslutningstagning og i forbindelse med industriens udvikling.

1.3. Status og tendenser

Situationen praeges af en voksende erkendelse af, at der er behov for handling. Saa laenge der ikke foreligger foranstaltninger med sigte paa at samordne indsatsen, er det sandsynligt, at der vil blive taget forskellige initiativer inden for de forskellige sektorer, og at dette konkret vil ytre sig i en situation med indbyrdes modsaetninger, idet der efterhaanden vil opstaa alvorligere juridiske, samfundsmaessige og oekonomiske problemer.

1.4. Behov, muligheder og prioriteter

Inden for saadanne faelles rammer maa der tages stilling til risikoanalyse og risikostyring afhaengigt af informationens og informationstjenesternes foelsomhed, den indbyrdes tilnaermelse af lovgivninger og bestemmelser vedroerende forkert brug og misbrug af edb og telekommunikation, de administrative infrastrukturer, herunder sikkerhedspolitik, og hvorledes disse kan implementeres effektivt inden for de forskellige brancher/fagomraader, samt samfundsmaessige aspekter og aspekter i forbindelse med kommunikationshemmeligheden (blandt andet spoergsmaalet om identificerings-, autentificerings-, ikke-afvisnings- og eventuelt autorisationsordninger i et demokratisk miljoe).

Der maa opstilles klare bestemmelser for udarbejdelse af fysiske og logiske arkitekturer med sigte paa sikre distribuerede informationstjenester, standarder, retningslinjer for og definitioner af garanteret sikre produkter og tjenester, pilotforsoeg og prototyper til konstatering af gennemfoerligheden af de forskellige administrative strukturer, arkitekturer og standarder med henblik paa specifikke sektorers behov.

Der maa skabes opmaerksomhed omkring sikkerhedsproblematikken med henblik paa at goere brugerne mere agtpaagivende med hensyn til sikkerheden inden for informationsteknologi (IT).

2. Aktionslinje II - Kortlaegning af brugernes og tjenesteydernes behov med hensyn til informationssystemers sikkerhed

2.1. Omraade

Informationssystemers sikkerhed er en klar forudsaetning for integritet, applikationers paalidelighed inden for erhvervslivet, intellektuel ejendomsret og fortrolighed. Dette goer det vanskeligt at finde en balance i valget mellem oensket om fri handel og oensket om at sikre privatlivets fred og den intellektuelle ejendomsret. Disse valg og de dermed forbundne kompromisloesninger boer baseres paa en fuldstaendig vurdering af behovene og mulighederne for at udnytte forskellige loesninger for informationssystemers ikkerhed.

Brugerbehov indebaerer, at infomationssystemernes sikkerhedsmaessige funktionaliteter afspejler de teknologiske, driftsmaessige og regulatoriske aspekter. Det vil sige, at en systematisk undersoegelse af de sikkerhedsmaessige behov i forbindelse med informationssystemer udgoer en vaesentlig del af arbejdet med at udvikle passende og effektive foranstaltninger.

2.2. Maal

Maalet er at konstatere art og karakteristika for brugernes og tjenesteydernes behov samt disses forhold til informationssystemers sikkerhedsforanstaltninger.

2.2. Status og tendenser

Indtil nu er der ikke blevet gjort noget samordnet forsoeg paa at konstatere, hvilke behov hovedaktoererne har med hensyn til informationssystemers sikkerhed, idet disse behov udvikler og aendrer sig meget hurtigt. Faellesskabets medlemsstater har konstateret, at der er behov for harmonisering af de enkelte landes aktiviteter (specielt for saa vidt angaar sikkerhedskriterier for IT). Ensartede evalueringskriterier og regler for gensidig anerkendelse af evalueringscertifikater er af stor betydning.

2.2. Behov, muligheder og prioriteter

Som grundlag for en konsekvent og transparent behandling af sektoraktoerernes behov boer der vedtages en klassificering af brugerbehovene og konsekvenserne af denne for etableringen af sikkerhed for informationssystemer.

Det betragtes ogsaa som vigtigt at faa konstateret behovene for lovgivning, bestemmelser og kodekser paa baggrund af en vurdering af tendenserne inden for tjenestekarakteristika og tjenesteteknologi, at faa indkredset alternative strategier for, hvordan maalsaetningerne kan tilgodeses gennem administrative, tjenesterelaterede, driftsmaessige og tekniske bestemmelser, og at faa vurderet, hvor effektive og brugervenlige samt hvor bekostelige eventuelle alternative loesninger med hensyn til informationssystemers sikkerhed og strategier for brugere, tjenesteleverandoerer og operatoerer vil vaere.

3. Aktionslinje III - Loesninger for brugernes, leverandoerernes og tjenesteydernes umiddelbare og midlertidige behov

3.1. Omraade

Det er i dag muligt at beskytte datamater effektivt mod uvedkommendes indtraengen ved hjaelp af »isolerende« foranstaltninger, dvs. ved hjaelp af konventionelle organisatoriske og fysiske tiltag. Dette gaelder ogsaa for elektronisk kommunikation inden for en lukket brugergruppe paa et dedikeret net. Forholdene er meget anderledes, dersom informationen er faelles mellem brugergrupper, eller hvis den udveksles via et offentligt net eller et net, hvortil flere har adgang. I dette tilfaelde mangler baade teknologi, terminaler og tjenester, for slet ikke at naevne standarder og procedurer, hvorfor der ikke er mulighed for at opnaa en tilsvarende informationssystemsikkerhed.

3.2. Maal

Maalet skal vaere med kort varsel at fremskaffe loesninger, der kan tilgodese brugeres, tjenesteyderes og fabrikanters mest presserende behov. Dette indebaerer, at der anvendes faelles sikkerhedsevalueringskriterier for IT. Disse boer opfattes som aabne over for fremtidige behov og loesninger.

3.3. Status og tendenser

Visse brugergrupper har udviklet forskellige former for teknik og procedurer til deres egne specifikke behov, blandt andet behovet for autentificering, integritet og »ikke-afvisning« (non-repudiation). Normalt anvendes der magnetkort eller smart kort (chipkort). Nogle anvender mere eller mindre sofistikeret krypteringsteknik. Dette indebaerer ofte, at der maa etableres brugergruppespecifikke »myndigheder«. Det er imidlertid vanskeligt at generalisere denne teknik og disse metoder, saaledes at behovene i et mere aabent miljoe kan tilgodeses.

ISO arbejder med OSI-informationssystemsikkerhed (ISO DIS 7498-2), og CCITT er ogsaa beskaeftiget hermed inden for rammerne af X400. Det er ogsaa muligt at indsaette informationssikkerhedssegmenter i meddelelser. Autentificering, integritet og ikke-afvisning behandles som led i meddelelser (EDIFACT) og som en del af X400 MHS.

De retlige rammer omkring elektronisk dataudveksling (EDI) er endnu ikke fuldt fastlagt. Det Internationale Handelskammer har fastlagt ensartede regler i en kodeks for udveksling af handelsdata via telenet.

Flere lande (f.eks. Frankrig, Tyskland, Det Forenede Kongerige og USA) er i faerd med at fastlaegge eller har allerede fastlagt kriterier for evaluering af IT- og telekommunikationsprodukters og -systemers trovaerdighed og procedurer for gennemfoerelse af evalueringer. Disse kriterier er blevet koordineret med landenes egne fabrikanter og vil resultere i et voksende antal paalidelige produkter og systemer, i foerste omgang simplere produkter. Oprettelsen af nationale organisationer til gennemfoerelse af evalueringer og udstedelse af certifikater vil stoette denne tendens.

Bestemmelser vedroerende fortrolighedsaspektet betragtes af de fleste brugere som knap saa vigtige i foerste omgang. Det maa imidlertid forventes, at dette vil aendre sig i fremtiden, efterhaanden som avancerede kommunikationstjenester, herunder specielt mobiltjenester, bliver mere almindelige.

3.4. Behov, muligheder og prioriteter

Det er vigtigt, at der snarest muligt etableres procedurer, standarder, produkter og vaerktoejer til beskyttelse af sikkerheden dels i selve informationssystemerne (datamater, periferiudstyr), dels i offentlige kommunikationsnet. Autentificering, integritet og ikke-afvisning boer prioriteres hoejt. Der boer udfoeres pilotprojekter til konstatering af, om de foreslaaede loesninger er de bedste. Loesninger paa prioriteringsbehov vedroerende EDI er genstand for undersoegelse inden for TEDIS-programmet som led i denne handlingsplans mere generelle indhold.

4. Aktionslinje IV - Udvikling af specifikationer, standardisering, evaluering og certificering i forbindelse med informationssystemers sikkerhed

4.1. Omraade

Behovet for sikkerhed for informationssystemer er alment, og ensartede specifikationer og standarder er derfor af afgoerende betydning. Mangelen paa standarder og specifikationer for IT-sikkerhed kan vaere en stor hindring for indfoerelsen af informationsbaserede processer og tjenester i erhvervslivet og i samfundet som helhed. Der maa ogsaa tages skridt til en hurtigere udvikling og brug af teknologi og standarder inden for flere indbyrdes beslaegtede kommunikations- og datamatnetsomraader, der er af kritisk betydning for brugerne, industrien og det offentlige.

4.2. Maal

Der boer goeres en indsats for at understoette og varetage specifikke sikkerhedsfunktioner inden for generelle omraader, saasom OSI, ONP, ISDN/IBC og netstyring. Verifikationsteknik og -metoder er taet knyttede til standardisering og specificering, herunder certificering med henblik paa gensidig anerkendelse. Hvor det er muligt, skal internationalt vedtagne loesninger stoettes. Man boer ligeledes fremme udviklingen og anvendelsen af edb-systemer med sikkerhedsfunktioner.

4.3. Status og tendenser

Navnlig i USA har man taget vaesentlige initiativer med henblik paa informationssystemers sikkerhed. I Europa behandles spoergsmaalet inden for standardiseringen paa IT- og telekommunikationsomraadet af blandt andre ETSI og CEN/Cenelec som forberedelse af CCITT's og ISO's arbejde paa omraadet.

Paa baggrund af de tiltagende betaenkeligheder paa dette felt sker der for oejeblikket en hastig udbygning af arbejdet i USA, og baade handlende og tjenesteydere er i faerd med at intensivere deres indsats paa omraadet. I Europa har Frankrig, Tyskland og Det Forenede Kongerige uafhaengigt af hinanden indledt tilsvarende aktiviteter. En samlet indsats paa linje med den amerikanske er dog kun langsomt ved at komme i stand.

4.4. Behov, muligheder og prioriteter

Inden for informationssystemers sikkerhed er der en naturlig taet sammenhaeng mellem regulerende, driftsmaessige, administrative og tekniske aspekter. Regulativer maa udmoentes i standarder, og bestemmelser vedroerende informationssystemsikkerheden maa paa kontrollerbar maade vaere i overensstemmelse med standarder og regulativer. I flere henseender kraever regulativerne specifikationer, der gaar ud over standardiseringens konventionelle sigte, idet de f.eks. kan indeholde adfaerdskodekser. Behovet for standarder og adfaerdskodekser er til stede inden for alle omraader af informationssystemers sikkerhed, og der maa skelnes mellem de beskyttelseskrav, der beror paa sikkerhedsmaalsaetningen, og de tekniske krav, der kan varetages af de europaeiske standardiseringsorganer med befoejelser paa omraadet (CEN/Cenelec/ETSI).

Specifikationer og standarder maa omfatte sikkerhedstjenester for informationssystemer (autentificering af personer og virksomheder, protokoller for ikke-afvisning, juridisk bindende elektronisk bevis, autorisationskontrol), disses kommunikationstjenester (kommunikationshemmelighed for billeder og for mobilkommunikation af tale og data, beskyttelse af data/billedbaser, beskyttelse af integrerede tjenester), disses kommunikations- og sikkerhedsstyring (systemer baseret paa offentlig/privat noegle inden for aabne net, beskyttelse af netstyring, beskyttelse af tjenesteydere) samt certificering heraf (kriterier og niveauer for beskyttelse af informationssikkerheden, procedurer for sikkerhedsbeskyttelse af sikrede informationssystemer).

4. Aktionslinje V - Teknologisk og driftsmaessig udvikling inden for informationssystemers sikkerhed

5.1. Formaal

Systematisk udforskning og udvikling af teknologien med henblik paa oekonomisk rentable og driftsmaessigt tilfredsstillende loesninger paa en raekke nutidige og fremtidige behov for informationssystemers sikkerhed er en forudsaetning for at kunne udvide tjenestemarkedet og forbedre konkurrenceevnen inden for den europaeiske industri som helhed betragtet.

Enhver form for teknologisk udvikling af informationssystemernes sikkerhed paa noedvendigvis indbefatte saavel datamatsikkerhed som kommunikationssikkerhed, idet de fleste moderne systemer er distribuerede systemer, hvortil man faar adgang via kommunikationstjenesterne.

5.2. Maal

Maalet er en systematisk udforskning og udvikling af teknologien med henblik paa oekonomisk rentable og driftsmaessigt tilfredsstillende loesninger paa en raekke nutidige og fremtidige behov med hensyn til informationssystemers sikkerhed.

5.3. Behov, muligheder og prioriteter

Arbejdet inden for informationssystemers sikkerhed maa omfatte udviklings- og implementeringsstrategi, teknologi, integration og verificering.

Det strategiske FU-arbejde maa indbefatte konceptuelle modeller til sikre systemer (sikre mod kompromiser, ubefoejede aendringer og afvisning af adgang til tjenesten), modeller for funktionsbehov, risikomodeller og sikkerhedsorienterede arkitekturer.

Det teknologiske FU-arbejde boer omfatte bruger- og meddelelsesautentificering (f.eks. ved hjaelp af stemmeanalyse og elektronisk underskrift), tekniske graenseflader og protokoller for kryptering, adgangskontrolordninger og metoder til implementering af efterproeveligt sikre systemer.

Verificering og validering af tekniske systemers sikkerhed og anvendeligheden heraf skal udforskes inden for integrations- og verificeringsprojekter.

Ud over konsolidering og udvikling af sikkerhedsteknologi er det paakraevet med en raekke ledsageforanstaltninger af hensyn til udarbejdelse, vedligeholdelse og korrekt anvendelse af standarder, samt validering og certificering af IT- og telekommunikationsprodukter med hensyn til deres sikkerhedsegenskaber, herunder validering og certificering af metoder til udformning og implementering af systemer.

Faellesskabets tredje rammeprogramm for FTU kan eventuelt finde anvendelse med henblik paa at fremme samarbejdsbaserede projekter paa praekompetitivt og praenormativt niveau.

6. Aktionslinje VI - Tilvejebringelse af sikkerhed for informationssystemer

6.1. Omraade

Afhaengigt af den noejagtige karakter af informationssystemernes sikkerhedssystemer er der behov for inkorporering af sikkerhedsfunktioner i forskellige dele af informationssystemet, blandt andet terminaler og datamater, tjenester, netstyring, krypteringsanordninger, smart kort, offentlige og private noegler osv. Nogle af disse funktioner kan forventes indbygget i hardware og software af producenterne, mens andre kan indgaa som en del af distribuerede systemer (f.eks. netstyring), vaere i den enkelte brugers besiddelse (f.eks. smart kort) eller stilles til raadighed af saerlige organisationer (f.eks. offentlige/private noegler).

Det kan forventes, at de fleste sikkerhedsprodukter vil blive stillet til raadighed af producenter, tjenesteleverandoerer og operatoerer. Med hensyn til specifikke funktioner (f.eks. etablering af offentlige/private noegler, revision og autorisation) kan det blive noedvendigt at udpege og bemyndige saerlige organisationer.

Det samme gaelder med hensyn til certificering, evaluering og verificering af tjenestens kvalitet, dvs. funktioner, der maa kontrolleres af organisationer, der er uafhaengige af producenternes, tjenesteleverandoerernes og operatoerernes interesser. Disse organisationer kan vaere private, statslige eller vaere koncessioneret af det offentlige med henblik paa varetagelse af bestemte uddelegerede funktioner.

6.2. Maal

For at soerge for, at informationssystemers sikkerhed stilles til raadighed i Faellesskabet paa harmonisk maade, saaledes at offentlighedens og erhvervslivets interesser tilgodeses, maa der fastlaegges en kohaerent fremgangsmaade for, hvorledes dette skal ske. I de tilfaelde, hvor der maa udpeges uafhaengige organisationer, maa deres funktioner og vilkaar fastlaegges og vedtages og i givet fald indfoejes i en forskriftsmaessig ramme. Maalet boer vaere at naa frem til en klart defineret og alment accepteret fordeling af ansvaret mellem de forskellige aktoerer paa faellesskabsniveau som en forudsaetning for gensidig anerkendelse.

6.3. Status og tendenser

I dag er informationssystemernes sikkerhed kun tilgodeset paa specifikke omraader, og normalt kun med sigte paa tilfredsstillelse af specifikke behov. Tilrettelaeggelsen heraf paa europaeisk niveau er for det meste af uformel art, og man har endnu ikke etableret gensidig anerkendelse af verifikation og certificering uden for visse lukkede grupper. Med informationssystemssikkerhedens voksende betydning begynder der at opstaa et presserende behov for at faa fastlagt en kohaerent fremgangsmaade med hensyn til, hvorledes informationssystemssikkerheden skal tilgodeses i Europa og paa internationalt plan.

6.4. Behov, muligheder og prioriteter

Da der er mange forskellige aktoerer involveret, og der er en naer tilknytning til spoergsmaal af forskriftsmaessig og lovgivningsmaessig art, er det meget vigtigt paa forhaand at naa til enighed om, hvilke principper der boer laegges til grund for informationssystemers sikkerhed.

For at kunne behandle dette spoergsmaal er det noedvendigt at tage stilling til forskellige aspekter, herunder indkredsning og specificering af, hvilke funktioner der paa grund af deres karakter goer det paakraevet, at der staar uafhaengige organisationer (eller samarbejdende organisationer) til raadighed. Herunder hoerer eventuelt funktioner som administration af et system for offentlige/private noegler.

Endvidere er det noedvendigt i en tidlig fase at undersoege og fastslaa, hvilke funktioner der i almenhedens interesse boer overlades til uafhaengige organisationer (eller samarbejdende organisationer). Dette kan blandt andet omfatte revision, kvalitetsstyring, verificering, certificering og lignende funktioner.