RÅDETS HENSTILLING af 7. april 1995 om ensartede kriterier for vurdering af informationsteknologisk sikkerhed (95/144/EF)

RÅDET FOR DEN EUROPÆISKE UNION -

som henviser til traktaten om oprettelse af Det Europæiske Fællesskab, særlig artikel 235,

som henviser til forslag fra Kommissionen,

som henviser til udtalelse fra Europa-Parlamentet (1),

som henviser til udtalelse fra Det Økonomiske og Sociale Udvalg (2), og

som tager følgende i betragtning:

Fællesskabet har til opgave gennem oprettelsen af et fælles marked og gennem gradvis indbyrdes tilnærmelse af medlemsstaternes økonomiske politik at fremme en harmonisk udvikling af den økonomiske virksomhed i Fællesskabet som helhed, en varig og afbalanceret ekspansion, en øget stabilitet, en hurtigere højnelse af levestandarden og snævrere forbindelser mellem de stater, som det forener;

elektronisk lagring, behandling og transmission af information spiller en stadig vigtigere rolle for samfundet og erhvervslivet;

en effektiv global kommunikation og almindelig brug af elektronisk information understreger behovet for en passende beskyttelse;

Europa-Parlamentet har ofte i sine drøftelser og afgørelser understreget, hvor stor vægt det lægger på informationssystemers sikkerhed;

Det Økonomiske og Sociale Udvalg har understreget, at det er påkrævet at tage stilling til de aspekter i Fællesskabets foranstaltninger, der vedrører informationssystemers sikkerhed, navnlig i betragtning af virkningerne på gennemførelsen af det indre marked;

Kommissionen har fremsat forslag til foranstaltninger vedrørende databeskyttelse og informationssikkerheden (3);

informationssystemers sikkerhed er et så komplekst spørgsmål, at der bør vedtages bestemmelser, som muliggør fri udveksling af information inden for det indre marked og tilgodeser sikkerheden overalt i Fællesskabet;

denne henstilling berører ikke medlemsstaternes bestemmelser vedrørende offentlig sikkerhed og orden;

medlemsstaternes ansvar på dette område forudsætter, at politikken samordnes gennem et tæt samarbejde med højtstående embedsmænd fra medlemsstaterne;

ensartede vurderingskriterier for informationsteknologisk sikkerhed er en vigtig forudsætning for gensidig anerkendelse af certificeringer på internationalt plan;

foranstaltninger på nationalt, internationalt og fællesskabsplan er et godt grundlag for en harmonisering på fællesskabsniveau og for indgåelse af internationale aftaler;

sektorens beslutningstagere er blevet hørt; Gruppen af Højtstående Embedsmænd vedrørende Informationssystemers Sikkerhed (SOG-IS) har anbefalet, at der anvendes ensartede kriterier for vurdering af informationsteknologisk sikkerhed;

disse kriterier er nødvendige for oprettelsen af et indre marked for sikre informationsteknologiske produkter; de gør det desuden muligt at opnå stordriftsfordele;

brugen af fælles kriterier er desuden en forudsætning for opbygningen af sikre transeuropæiske applikationer og tjenester;

disse mål kan ikke nås, hvis der anvendes forskellige kriterier i hvert medlemsland og i hver økonomisk sektor;

udvikling af yderligere kriterier ville kræve mangfoldige bilaterale forhandlinger mellem medlemsstaterne og ville betyde urimeligt lange forsinkelser og omstændelige procedurer, herunder et stort antal individuelle forhandlinger, hvilket kan undgås med en koordineret indsats på fællesskabsplan -

HENSTILLER:

1) at der for en foreløbig periode på to år vedtages kriterier for vurdering af informationsteknologisk sikkerhed (Information Technology Security Evaluation Criteria - ITSEC) (4) som led i visse vurderings- og certificeringsordninger, således at de øjeblikkelige vurderings- og certificeringsbehov i forbindelse med handel og brug af informationsteknologiske produkter, systemer og tjenester kan dækkes

2) at der under ledelse af Gruppen af Højtstående Embedsmænd vedrørende Informationssystemers Sikkerhed (SOG-IS) tilstræbes en international harmonisering og standardisering af kriterierne for vurdering af informationsteknologisk sikkerhed

3) at der i nævnte foreløbige periode, eller, om nødvendigt, indtil der er opnået enighed om international harmonisering og standardisering, træffes aftale mellem medlemsstaterne eller de organer, de udpeger, om bilateral og helst europæisk eller international anerkendelse af sikkerhedsvurderingscertifikater

4) at der efter den foreløbige periode foretages en vurdering og efter indstilling fra SOG-IS-gruppen fremsættes forslag om passende foranstaltninger på grundlag af erfaringerne og resultaterne af det internationale harmoniseringsarbejde.

Udfærdiget i Luxembourg, den 7. april 1995.

På Rådets vegne

J. ROSSI

Formand

(1) EFT nr. C 176 af 28. 6. 1993, s. 37.

(2) EFT nr. C 73 af 15. 3. 1993, s. 19.

(3) EFT nr. C 277 af 5. 11. 1990, s. 3.

(4) Se KOM (92) 298 endelig udg., bilag.