32002G0216(02)

Rådets resolution

af 28. januar 2002

om en fælles strategi og særlige foranstaltninger inden for net- og informationssikkerhed

(2002/C 43/02)

RÅDET FOR DEN EUROPÆISKE UNION,

SOM HENVISER TIL

at det i konklusionerne fra Det Europæiske Råd i Stockholm den 23.-24. marts 2001 hedder, at Rådet sammen med Kommissionen vil udarbejde en samlet sikkerhedsstrategi for elektroniske netværk, herunder praktiske, gennemførelsesforanstaltninger,

SOM HENVISER TIL

1. Rådets resolution af 30. maj 2001 - eEurope-handlingsplan: informations- og datanetsikkerhed

2. Meddelelse fra Kommissionen til Rådet, Europa-Parlamentet, Det Økonomiske og Sociale Udvalg og Regionsudvalget om net- og informationssikkerhed: forslag til en europæisk strategi

3. Meddelelse fra Kommissionen til Rådet og Europa-Parlamentet - eEurope 2002: virkning og indsatsområder

4. eEurope 2002-handlingsplan vedtaget af Det Europæiske Råd i Feira den 19.-20. juni 2000

5. Rådets henstilling 95/144/EF af 7. april 1995 om ensartede kriterier for vurdering af informationsteknologisk sikkerhed(1)

6. Rådets henstilling af 25. juni 2001 om kontaktpunkter, der fungerer 24 timer i døgnet, til bekæmpelse af højteknologikriminalitet(2)

7. Kommissionens meddelelse om et sikrere informationssamfund: højnelse af sikkerheden i informationsinfrastrukturerne og bekæmpelse af computerrelateret kriminalitet

8. Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger(3)

9. Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger(4)

10. Europa-Parlamentets og Rådets direktiv 97/33/EF af 30. juni 1997 om samtrafik på teleområdet med henblik på at sikre forsyningspligtydelser og interoperabilitet ved anvendelse af ONP-principperne(5)

11. Europa-Parlamentets og Rådets direktiv 97/66/EF af 15. december 1997 om behandling af personoplysninger og beskyttelse af privatlivets fred inden for telesektoren(6)

12. Europa-Parlamentets og Rådets direktiv 98/10/EF af 26. februar 1998 om ONP-vilkår for taletelefonitjenesten og om udbud af forsyningspligtydelser på teleområdet under konkurrenceforhold(7)

13. Europa-Parlamentets og Rådets direktiv 1999/93/EF af 13. december 1999 om en fællesskabsramme for elektroniske signaturer(8),

SOM TAGER FØLGENDE I BETRAGTNING:

(1) net og kommunikationssystemer er blevet en nøglefaktor i den økonomiske og samfundsmæssige udvikling, og deres disponibilitet og integritet er en absolut forudsætning for vigtige infrastrukturer og for de fleste offentlige og private tjenesteydelser og økonomien som helhed;

(2) på baggrund af den stadig større rolle, som elektroniske tjenesteydelser spiller i økonomien, er sikkerheden af net og informationssystemer af stigende almen interesse;

(3) sikkerheden af transaktioner og data er af afgørende betydning for leveringen af elektroniske tjenesteydelser, herunder e-handel og offentlige onlinetjenester, og ringe tillid til sikkerheden kan forsinke en omfattende indførelse af sådanne tjenesteydelser;

(4) der er behov for, at enkeltpersoner, erhvervslivet, administrationer og andre organisationer beskytter deres egne informations-, data- og kommunikationssystemer ved, hvor det er relevant, at anvende effektiv sikkerhedsteknologi;

(5) den private sektor, der opererer inden for et konkurrencepræget marked, kan i kraft af sin innovationsevne tilbyde en række løsninger, der er tilpasset de reelle markedsbehov;

(6) net- og informationssikkerhedsspørgsmålets kompleksitet indebærer, at offentlige myndigheder, når de fastlægger politiske foranstaltninger på dette område, skal tage en lang række politiske, økonomiske, organisatoriske og tekniske aspekter i betragtning og være opmærksom på kommunikationsnettenes decentraliserede og globale karakter;

(7) politiske foranstaltninger kan være mere effektive, hvis de indgår som en del af en europæisk strategi, respekterer, at det indre marked skal fungere tilfredsstillende, bygger på øget samarbejde mellem medlemsstaterne og på internationalt plan og støtter innovation og de europæiske virksomheders evne til at konkurrere på globalt plan;

(8) der er allerede vedtaget et omfattende sæt af love og regler om net- og informationssikkerhed, navnlig som led i EU's lovgivning om telekommunikation, elektronisk handel og elektroniske signaturer;

(9) teletjenesteudbydere er ved lov pålagt at træffe passende tekniske og organisatoriske forholdsregler med henblik på at garantere sikkerheden af deres tjenester; disse forholdsregler skal tilvejebringe et sikkerhedsniveau, der svarer til den foreliggende risiko;

(10) international standard ISO 15408 (fælles kriterier) er blevet et anerkendt system for fastlæggelse af sikkerhedskrav til computer- og netprodukter og for en vurdering af, om et bestemt produkt opfylder disse krav;

(11) international standard ISO 17799 (informationsteknologi - adfærdskodeks for forvaltning af informationssikkerhed) og lignende nationale retningslinjer er ved at blive en anerkendt praksis for sikkerhedsforvaltning i private og offentlige organisationer;

(12) internetinfrastrukturen bør muliggøre en høj grad af adgang til net og tjenester og skal forvaltes og drives på en håndfast og sikker måde bl.a. gennem vedtagelse af åbne standarder og internetsikkerhedsprotokoller,

OG SOM på linje med Rådets resolution af 30. maj 2001 med titlen "eEurope-handlingsplan: informations- og datanetsikkerhed" MENER at net- og informationssikkerhed drejer sig om at:

- sikre disponibiliteten af tjenesteydelser og data

- hindre forstyrrelser og uautoriseret opfangning af kommunikation

- sørge for, at data, som er blevet sendt, modtaget eller lagret er fuldstændige og uændrede

- sikre datas fortrolighed

- beskytte informationssystemer mod uautoriseret adgang

- beskytte mod angreb, der involverer hærværkssoftware

- sikre pålidelig autentificering

OPFORDRER DERFOR MEDLEMSSTATERNE TIL

1. inden udgangen af 2002 at lancere eller styrke informations- og uddannelseskampagner med henblik på at skabe større bevidsthed om net- og informationssikkerhed, at målrette sådanne aktioner mod erhvervslivet, private brugere og offentlige administrationer, at gennemføre denne oplysningsindsats i tæt samarbejde med den private sektor, herunder bl.a. internetserviceudbydere, og at tilskynde til initiativer, der ledes af den private sektor;

2. at fremme bedste praksis inden for forvaltning af informationssikkerhed, især i små og mellemstore virksomheder, hvor det er relevant på grundlag af internationalt anerkendte standarder;

3. inden udgangen af 2002 at styrke og understrege betydningen af sikkerhedskoncepter som led i it-undervisningen;

4. inden midten af 2002 at vurdere effektiviteten af nationale ordninger med it-udrykningshold (CERT), som vil kunne omfatte virusalarmsystemer, med henblik på om nødvendigt at øge deres evne til at hindre, opdage og reagere effektivt på nationalt og internationalt plan på forstyrrelser af og angreb mod net og informationssystemer;

5. at fremme brugen af standarden for fælles kriterier (ISO-15408) og befordre gensidig anerkendelse af beslægtede certifikater;

6. inden udgangen af 2002 at tage væsentlige skridt i retning af effektive og interoperable sikkerhedsløsninger om muligt baseret på anerkendte standarder - som vil kunne omfatte åben software - i deres aktiviteter vedrørende digital forvaltning og digitale udbud, og i retning af indførelse af elektroniske signaturer for at gøre det muligt at tilbyde de offentlige tjenester online, der kræver en høj grad af autentificering;

7. hvor de vælger at indføre elektroniske eller biometriske identifikationssystemer til offentlig eller officiel anvendelse, at samarbejde, hvor det er relevant, om den teknologiske udvikling og undersøge eventuelle krav om interoperabilitet;

8. med henblik på at fremme samarbejdet i Fællesskabet og på internationalt plan at udveksle oplysninger indbyrdes og med Kommissinen om de instanser, der primært er ansvarlige for net- og informationssikkerhedsspørgsmål på deres område;

UDTRYKKER TILFREDSHED MED KOMMISSIONENS HENSIGT OM

1. i 2002 at lette udvekslingen af bedste praksis med hensyn til bevidstgørelsesaktioner og udarbejde en første fortegnelse over de forskellige nationale informationskampagner;

2. i 2002 at fremsætte forslag med henblik på at styrke Fællesskabets dialog og samarbejde med internationale organisationer og partnere om netsikkerhed, navnlig om implikationerne af den øgede afhængighed af elektroniske kommunikationsnet, og i den forbindelse inden udgangen af 2002 at foreslå en strategi for en mere stabil og sikker drift af internetinfrastrukturen;

3. inden udgangen af 2002 at foreslå relevante foranstaltninger til fremme af ISO-standard 15408 (fælles kriterier) for at fremme gensidig anerkendelse af certifikater samt at forbedre produktevalueringsprocessen ved at udvikle passende beskyttelsesprofiler;

4. inden udgangen af 2002 at udarbejde en rapport om teknologier og anvendelse af elektronisk og biometrisk autentificering af identitet for at forbedre sådanne systemers effektivitet, navnlig gennem interoperablitet;

5. inden midten af 2002 efter samråd med medlemsstaterne og høring af den private sektor at fremsætte forslag om oprettelse af en "internetsikkerhedstaskforce", der skal tag udgangspunkt i medlemsstaternes indsats for at øge både net- og informationssikkerheden og medlemsstaternes evne til enkeltvis og i fællesskab at reagere på større net- og informationssikkerhedsmæssige problemer;

6. inden udgangen af 2002 i samarbejde med medlemsstaterne at udforske mulige mekanismer, som skal sætte medlemsstaterne og Kommissionen i stand til at udveksle oplysninger og erfaringer med hensyn til virkeliggørelsen af målene i denne resolution, under hensyn til at net- og informationssikkerhed vedrører alle søjler, og undersøge, hvordan den private sektor bedst kan inddrages i denne udveksling af oplysninger og erfaringer,

UDTRYKKER TILFREDSHED med, at den europæiske forskningsindsats i øget grad fokuserer på sikkerhedsaspekter,

UNDERSTREGER, behovet for flere forskningsaktiviteter, navnlig inden for sikkerhedsmekanismer og deres interoperabilitet, netpålidelighed og -beskyttelse, avanceret kryptografi, teknik til forbedring af privatlivets fred og sikkerhed indenfor trådløs kommunikation,

HENSTILLER TIL

- leverandører og tjenesteudbydere, at de øger sikkerheden som en integrerende og væsentlig del af deres produkter og tjenesteydelser;

- de europæiske leverandører og tjenesteudbydere i den private sektor og til deres branchesammenslutninger, at de deltager mere aktivt i det internationale standardiseringsarbejde og organiserer sig gennem oprettelse af relevante fora med henblik på at medvirke til at virkeliggøre målene i denne resolution.

(1) EFT L 93 van 26.4.1995, s. 27.

(2) EFT C 187 van 3.7.2001, s. 5.

(3) EFT L 8 van 12.1.2001, s. 1.

(4) EFT L 281 van 23.11.1995, s. 31.

(5) EFT L 199 van 26.7.1997, s. 32.

(6) EFT L 24 van 30.1.1998, s. 1.

(7) EFT L 101 van 1.4.1998, s. 24.

(8) EFT L 13 af 19.1.2000, s. 12.