52001AR0257

Regionsudvalgets udtalelse om "Meddelelse fra Kommissionen til Rådet, Europa-Parlamentet, Det Økonomiske og Sociale Udvalg og Regionsudvalget Net- og informationssikkerhed: Forslag til en europæisk strategi"

(2002/C 107/27)

REGIONSUDVALGET har -

under henvisning til meddelelse fra Kommissionen til Rådet, Europa-Parlamentet, Det Økonomiske og Sociale Udvalg og Regionsudvalget om "Net- og informationssikkerhed: Forslag til en europæisk strategi" (KOM(2001) 298 endelig),

under henvisning til Kommissionens beslutning af 7. juni 2001 om i henhold til EF-traktatens artikel 265, stk. 1, at anmode om dets udtalelse,

under henvisning til formandens beslutning af 2. juli 2001 om at henvise det forberedende arbejde til Underudvalg 3 "Europæiske Net, Transport, Informationssamfundet",

under henvisning til formandens beslutning af 26. oktober 2001 om i henhold til forretningsordenens artikel 40, stk. 2, at udpege Adela María Barrero Florez til hovedordfører,

under henvisning til sin udtalelse om Meddelelse fra Kommissionen til Rådet, Europa-Parlamentet, Det Økonomiske og Sociale Udvalg og Regionsudvalget: "Et sikrere informationssamfund: Højnelse af sikkerheden i informationsinfrastrukturerne og bekæmpelse af computerrelateret kriminalitet" (KOM(2000) 890 endelig - CdR 88/2001 endelig),

under henvisning til Meddelelse fra Kommissionen til Rådet, Europa-Parlamentet, Det Økonomiske og Sociale Udvalg og Regionsudvalget: "Sikkerhed og tillid i elektronisk kommunikation - Imod europæiske rammer for digitale signaturer og kryptering" (KOM(1997) 503 endelig),

under henvisning til Meddelelse fra Kommissionen til Rådet og Europa-Parlamentet: "eEurope 2002 - Virkning og indsatsområder" (KOM(2001) 140 endelig),

under henvisning til handlingsplanen "eEurope 2002" (KOM(2000) 330 endelig),

under henvisning til Europarådets udkast til konvention om internetkriminalitet (CM(2001) 103),

under henvisning til Rådets henstilling om ensartede kriterier for vurdering af informationsteknologisk sikkerhed(1),

under henvisning til Rådets henstilling om kontaktpunkter, der fungerer 24 timer i døgnet, til bekæmpelse af højteknologikriminalitet(2),

under henvisning til Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger(3),

under henvisning til Rådets resolution nr. 9194/01 af 20. juni 2001 om de retshåndhævende myndigheders operationelle behov med hensyn til offentlige telekommunikationsnet og -tjenester,

under henvisning til formandskabets konklusioner fra Det Europæiske Råds møde i Stockholm i marts 2001,

under henvisning til Kommissionens direktiv 90/388/EØF om liberalisering af markedet for teletjenester,

under henvisning til Europa-Parlamentets og Rådets direktiv 95/46/EF om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger,

under henvisning til Europa-Parlamentets og Rådets direktiv 97/33/EF om samtrafik på teleområdet med henblik på at sikre forsyningspligtydelser og interoperabilitet ved anvendelse af ONP-principperne,

under henvisning til Europa-Parlamentets og Rådets direktiv 97/66/EF om behandling af personoplysninger og beskyttelse af privatlivets fred inden for telesektoren,

under henvisning til Europa-Parlamentets og Rådets direktiv 98/10/EF om ONP-vilkår for taletelefonitjenesten og om udbud af forsyningspligtydelser på teleområdet under konkurrenceforhold,

under henvisning til Europa-Parlamentets og Rådets direktiv 1999/93/EF om en fællesskabsramme for elektroniske signaturer,

under henvisning til Europa-Parlamentets og Rådets direktiv 2000/31/EF om visse retlige aspekter af informationssamfundstjenester, navnlig elektronisk handel, i det indre marked (direktivet om elektronisk handel),

under henvisning til forslag til Europa-Parlamentets og Rådets direktiv om behandling af personoplysninger og beskyttelse af privatlivets fred inden for den elektroniske kommunikationssektor(4),

under henvisning til forslag til Regionsudvalgets udtalelse (CdR 257/2001 rev. 1), udarbejdet af hovedordføreren, Adela María Barrero Florez (E/PSE), generaldirektør for europæiske anliggender, Asturiens regionalregering (E/PSE),

og ud fra den betragtninger, at net og informationssystemer er blevet en nøglefaktor for social og økonomisk udvikling i dagens samfund; for vitale infrastrukturer som f.eks. energi- og vejsystemer og for de fleste offentlige og private tjenester og økonomien som helhed er det afgørende, at nettene og informationssystemerne fungerer godt;

ud fra den betragtninger, at nettenes og informationssystemernes sikkerhed er ved at blive en forudsætning for fremskridt inden for nye tjenester, nye kilder til økonomisk vækst, nye handelsforbindelser osv.;

ud fra den betragtninger, at det stigende antal brud på sikkerheden i disse net og systemer undergraver brugernes tillid;

ud fra den betragtninger, at den manglende tillid til net- og informationssikkerheden hæmmer generel udbredelse af informations- og videnssamfundets nye tjenester;

ud fra den betragtninger, at net- og informationssikkerheden er blevet en afgørende udfordring for de ansvarlige politikere, der bør være opmærksomme på dens betydning, forstå dens facetter og sikkerhedsproblemernes art samt gøre sig klart, hvad de kan gøre for at forbedre den;

ud fra den betragtninger, at der er vedtaget en lang række retlige bestemmelser som led i lovrammen for telekommunikation og lovgivningen om beskyttelse af personlige data både på nationalt og EU-niveau, men der er endnu ikke blevet vedtaget specifikke bestemmelser om sikkerhed;

ud fra den betragtninger, at der er stadig mange uløste problemer i forbindelse med net- og informationssikkerhed, og nogle løsninger slår kun langsomt igennem på markedet på grund af dets ufuldkommenheder;

ud fra den betragtninger, at de offentlige myndigheder har en opgave i at udbedre markedernes mangler eller ufuldkommenheder;

ud fra den betragtninger, at politiske foranstaltninger, der specifikt tager sigte på at afhjælpe markedets ufuldkommenheder hvad angår net- og informationssikkerhed, kunne styrke markedets dynamik og forbedre gennemførelsen af lovrammen;

ud fra den betragtninger, at sådanne foranstaltninger bør indgå i en europæisk strategi, der sikrer udvikling af informations- og videnssamfundet i EU og gør det muligt at høste fordele af fælles løsninger og at handle effektivt på internationalt niveau;

ud fra den betragtninger, at problematikken er så kompleks, at det er nødvendigt at tage hensyn til politiske, økonomiske, organisatoriske og tekniske aspekter samt til fænomenets decentrale og globale karakter;

ud fra den betragtninger, at den manglende net- og informationssikkerhed i mindre udviklede europæiske regioner kan være med til at udvide den digitale kløft mellem disse regioner og de mest udviklede og sikre regioner i Europa;

ud fra den betragtninger, at de regionale og lokale myndigheder kan og bør spille en væsentlig rolle i gennemførelsen af en europæisk politik for net- og informationssikkerhed, da deres nærhed til borgerne, organisationerne og virksomhederne gør dem egnede til effektivt at gennemføre de konkrete foranstaltninger, der træffes beslutning om -

på den 41. plenarforsamling den 14.-15. november 2001 (mødet den 15. november) enstemmigt vedtaget følgende udtalelse.

Indledning

1. Regionsudvalget deler Kommissionens stigende bekymring for sikkerheden i elektroniske net og informationssystemer, som har fået stadig mere afgørende betydning ikke kun for udviklingen af informations- og videnssamfundet, men også for det aktuelle økonomiske system på verdensplan.

2. Regionsudvalget er enig med Kommissionen i, at EU bør give nets og informationssystemers sikkerhed høj politisk prioritet. Markedet har ikke været i stand til give én løsning på problemet, da der findes mange sikkerhedsteknologier og -standarder, men ingen vedtaget åben og fælles standard.

3. Regionsudvalget tilslutter sig meddelelsens målsætning: at fastlægge på hvilke områder offentlige tiltag på EU-niveau eller nationalt niveau bør iværksættes eller styrkes med henblik på at fastlægge en EU-politik for net- og informationssikkerhed.

4. Det ligger Regionsudvalget på sinde, at frihedsrettighederne og de borgerlige rettigheder, som anerkendes i verdenserklæringen om menneskerettigheder, i den internationale konvention om borgerlige og politiske rettigheder og i den europæiske menneskerettighedskonvention, respekteres i forbindelse med vedtagelsen af foranstaltninger til styrkelse af net- og informationssikkerheden. Regionsudvalget opfordrer til, at der fastlægges klare grænser for den magt og de beføjelser, der kan udgøre en trussel mod de borgerlige frihedsrettigheder. Regionsudvalget mener, at det er muligt at finde en balance mellem respekten for frihedsrettighederne og de borgerlige rettigheder på den ene side og net- og informationssystemernes sikkerhed på den anden side.

5. På baggrund af problematikkens grænseoverskridende karakter finder Regionsudvalget det tvivlsomt, om denne fælles EU-politik kan nå sine mål uden en aftale med de internationale organisationer og med andre magter på verdensplan.

6. I betragtning af, hvor vigtigt det er snarest at forbedre net- og informationssikkerheden, opfordrer Regionsudvalget Kommissionen til at lette iværksættelsen af de konkrete foranstaltninger, som vedtages, og afsætte de fornødne økonomiske midler dertil.

Analyse af spørgsmålene omkring net- og informationssikkerhed

7. I meddelelsen defineres net- og informationssikkerhed som "et nets eller et informationssystems evne til, på et givet tillidsniveau, at modstå uheld og ondsindede handlinger, der er til skade for disponibiliteten, autenticiteten, integriteten og fortroligheden i forbindelse med lagrede og transmitterede data og de dermed forbundne tjenester, der tilbydes af eller er tilgængelige via dette net eller system". Regionsudvalget finder denne definition uklar, hvad angår udtrykket "på et givet tillidsniveau". Ingen ondsindet handling eller indtrængen i et net eller informationssystem bør tolereres, uanset "tillidsniveau".

8. Det er meget foruroligende, at investering i sikkerhed for hovedparten af de telekommunikationsselskaber og udbydere af netadgangstjenester, der opererer i Europa, hverken har høj prioritet eller et omfang, der står mål med risikoen. Desuden findes der små regionale operatører, som først og fremmest ønsker at opnå en position på markedet, der giver dem mulighed for et godt økonomisk afkast, hvilket får dem til at forsømme sikkerheden. Det er en faktor, som også må tages med i betragtning.

9. Regionsudvalget mener, at åbne internationale standarder i vidt omfang er en forudsætning for tilliden til krypteringsprodukterne, og at nogle medlemsstaters ukoordinerede initiativer til støtte for åben software til kryptering er nytteløse over for den private sektors stærke og uhæmmede forretningsinitiativ.

10. Regionsudvalget er enig med meddelelsen i, at konkurrencen mellem hardware- og softwareleverandører ikke udmønter sig i større investeringer i sikkerhed. Regionsudvalget foreslår derfor en undersøgelse af, hvordan sådanne investeringer kan fremmes.

11. Telekommunikationsselskaber og udbydere af netadgangstjenester bør være forpligtet til at opfylde visse minimumsstandarder for sikkerhed, som skal fastsættes på EU-niveau.

En europæisk strategi

12. Regionsudvalget mener, at en afbalanceret udvikling af informations- og videnssamfundet i Den Europæiske Union vil fremme samhørigheden og sammenhængskraften i regionernes Europa. Det er derfor nødvendigt at garantere nettenes og informationssystemernes sikkerhed.

13. Regionsudvalget er enig med Kommissionen i, at investering i net- og informationssikkerhed skaber samfundsmæssige fordele. Når fabrikanter, operatører og tjenesteudbydere undlader at investere i sikkerhed, er omkostningerne for samfundet og velfærden høje, påpeger Regionsudvalget.

14. Regionsudvalget opfordrer Kommissionen til at undersøge behovet for at fastlægge sikkerhedskriterier og -standarder, der skal opfyldes af alle fundamentale informationssystemer (tjenester af offentlig interesse), som er forbundet med telekommunikationsnet, og af nettene selv.

15. Regionsudvalget går ind for, at sikkerheden maksimeres, uden at det vanskeliggør eller forringer adgangen til nettene, som er grundlaget for informations- og videnssamfundet, men finder det nødvendigt at opretholde et minimum af sikkerhed, også selvom det skulle betyde forringede adgangsmuligheder.

16. Regionsudvalget giver Kommissionen ret i

- at der er et fælles behov for at forstå de latente sikkerhedsproblemer og de problemer, der er knyttet til vedtagelsen af specifikke foranstaltninger,

- at de politiske foranstaltninger kan styrke markedsprocessen og samtidig få lovrammen til at fungere bedre,

- at en fælles europæisk strategi er nødvendig for at sikre et enhedsmarked for kommunikations- og informationstjenester, anvendelse af fælles løsninger og en effektiv indsats på verdensplan.

17. Den oplysningsindsats, der foreslås i Kommissionens meddelelse, bør efter Regionsudvalgets mening suppleres med støtteforanstaltninger eller hjælp til sikkerhedsfremmende investeringer, således at de økonomiske omkostninger ikke bliver et påskud for at undlade at træffe forholdsregler, der allerede er anerkendt som nødvendige.

18. Det er vigtigt, at regionale og lokale forvaltninger af operationelle og praktiske grunde får en fremtrædende rolle i alle oplysningskampagner på dette felt.

19. Regionsudvalget giver Kommissionen ret i, at det haster med at styrke CERT-systemet i EU og tildele de eksisterende centre tilstrækkeligt mange menneskelige, tekniske og økonomiske ressourcer.

20. Regionsudvalget anbefaler større, direkte og smidig kontakt mellem de europæiske CERT-tjenester og de potentielle endelige modtagere.

21. Regionsudvalget bifalder Kommissionens forslag vedrørende et europæisk varslings- og informationssystem, men foreslår, at der som en proaktiv foranstaltning også etableres et europæisk agentur for net- og informationssikkerhed. Det skal bl.a. have til opgave at analysere og afprøve al software (operativsystemer, browsere, e-mail-forvaltningssystemer osv.), før det anvendes i offentlige informationsnet, med henblik på at opdage "sikkerhedshuller" i software, der endnu ikke er markedsført i EU. Efter Regionsudvalgets mening har det kommende institut for borgernes beskyttelse og sikkerhed under Det Fælles Forskningscenter hverken samme natur eller opgaver som det foreslåede agentur.

22. Regionsudvalget frygter, at al forskning i net- og informationssikkerhed, som finansieres via EU's rammeprogrammer for forskning og udvikling, men som ikke støttes af markedets største softwarefabrikanter, ikke får det ønskede praktiske resultat. Det foreslås, at der uafhængigt heraf gøres en indsats for at få en aftale i stand med de vigtigste internationale softwarefabrikanter om forskning i net- og informationssikkerhed samt dens øjeblikkelige gennemførelse i praksis.

23. Regionsudvalget finder det foruroligende, at der i dag ikke er nogen interoperabilitet mellem fabrikanternes forskellige tekniske løsninger, og at de ikke viser interesse for at udforme fælles åbne standarder.

24. Regionsudvalget anbefaler, at man ikke fremmer anvendelsen af bestemte løsninger eller krypteringsprodukter, da man bør forfølge det mål, at alle løsninger samles i en åben fælles standard, som accepteres af alle fabrikanter.

25. Det er af største vigtighed, at der indgås aftaler mellem de forskellige europæiske leverandører af certificeringstjenester om gensidig anerkendelse af deres certifikater. Uden en sådan aftale vil elektroniske certifikater have meget begrænset nytte og vil derfor ikke blive brugt så meget som ønskeligt. Det er bekymrende at lade regionale myndigheder levere certificeringstjenester med teknologiske løsninger, der ikke er driftskompatible. Det vil utvivlsomt gøre det vanskeligere at nå målsætningen om et regionernes Europa med god sammenhængskraft.

26. Regionsudvalget ser meget positivt på de europæiske initiativer om standardisering af elektroniske signaturer (EESSI), smartkort i eEurope-programmet og infrastruktur til offentlige krypteringsnøgler (PKI).

27. Regionsudvalget mener som Kommissionen, at harmonisering af specifikationerne kan øge samfunktionsevnen og samtidig give markedsaktørerne mulighed for hurtig implementering.

28. Regionsudvalget bifalder alle Kommissionens forslag om støtte til markedsorienteret standardisering og certificering og finder det nødvendigt, at der vedtages et lovinitiativ om gensidig anerkendelse af certifikater.

29. Det bør regelmæssigt kontrolleres, i hvor høj grad operatørerne af telekommunikationstjenester har gennemført de tekniske og organisationsmæssige foranstaltninger, de er forpligtet til at træffe ifølge artikel 4 i direktivet om behandling af personoplysninger og beskyttelse af privatlivets fred inden for telesektoren.

30. Regionsudvalget henleder Kommissionens opmærksomhed på de alvorlige konsekvenser af internetkriminalitet begået af terrorister, der kun ønsker at skade kollektive interesser mest muligt som en form for politisk afpresning.

31. Regionsudvalget kan tilslutte sig alle forslagene i afsnittet om retsgrundlaget. Det er nødvendigt at tilnærme og harmonisere de nationale love om internetkriminalitet for at undgå, at der i nogle medlemsstater kan handles straffrit eller med mildere sanktioner.

32. Regionsudvalget foreslår, at man fremmer oprettelse på nationalt plan af politienheder specialiseret i internetkriminalitet, hvor de endnu ikke findes, og at eksisterende enheder koordineres. Regionsudvalget finder det nødvendigt at tildele disse enheder tilstrækkelige menneskelige ressourcer og tekniske midler.

33. Regionsudvalget anbefaler, at der i alle medlemsstaterne udnævnes særlige statsadvokater til at tage sig af internetkriminalitet. De skal specialuddannes, så de kan virke som offentlige anklagere med den fornødne effektivitet. Der skal lægges stor vægt på kommunikation og koordination mellem disse statsadvokater, såvel som på uddannelse af dommere inden for dette område. Hensigten er at sikre en effektiv retsforfølgelse af handlinger, som kan bringe nettenes og netbrugernes sikkerhed i fare.

34. Mange regionale og lokale myndigheder satser på elektronisk forvaltning for at forbedre deres relationer til borgerne, højne kvaliteten af deres tjenesteydelser og generelt øge borgernes velfærd og deltagelse i nærdemokratiet. Regionsudvalget er helt enig med Kommissionens meddelelse i, at udviklingen af elektronisk forvaltning gør de offentlige myndigheder til potentielle forbilleder på netsikkerhedsområdet og til markedsaktører, der kan påvirke udviklingen gennem deres indkøbsbeslutninger. De offentlige myndigheder har pligt til, så vidt deres beføjelser rækker, at fremme udviklingen af informations- og videnssamfundet. Hvis de net og informationssystemer, myndighederne bruger, ikke er sikre, mister borgerne tilliden, og det vil i høj grad skade udviklingen af det nye samfund.

35. Regionsudvalget mener, at aktionsforslagene vedrørende de offentlige myndigheder bør tager sigte på de tre forvaltningsniveauer (det lokale, regionale og statslige niveau), og at driftskompatible løsninger bør være en målsætning, der ikke slækkes på.

36. Regionsudvalget giver sin fulde støtte til en styrkelse af dialogen med internationale organisationer og partnere om netsikkerhed, herunder navnlig om den stigende afhængighed af elektroniske net. Kommissionen opfordres til at overveje afholdelsen af et verdenstopmøde om net- og informationssikkerhed med deltagelse af fabrikanter og operatører samt oprettelsen af et europæisk forum til bekæmpelse af netkriminalitet. Regionsudvalget opfordrer desuden medlemsstaterne til at ratificere Europarådets nyligt vedtagne internationale konvention om internetkriminalitet, så den kan træde i kraft og dens bestemmelser gennemføres hurtigst muligt.

Bruxelles, den 15. november 2001.

Jos Chabert

Formand for

Regionsudvalget

(1) EFT L 93 af 26.4.1995.

(2) EFT C 187 af 3.7.2001.

(3) EFT L 8 af 12.1.2001.

(4) EFT C 365 af 19.12.2000.