31995H0144

EMPFEHLUNG DES RATES vom 7. April 1995 über gemeinsame Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik (95/144/EG)

DER RAT DER EUROPÄISCHEN UNION -

gestützt auf den Vertrag zur Gründung der Europäischen Gemeinschaft, insbesondere auf Artikel 235,

auf Vorschlag der Kommission,

nach Stellungnahme des Europäischen Parlaments (1),

nach Stellungnahme des Wirtschafts- und Sozialausschusses (2),

in Erwägung nachstehender Gründe:

Aufgabe der Gemeinschaft ist es, durch Schaffung eines gemeinsamen Marktes und eine stufenweise Annäherung der Wirtschaftspolitiken der Mitgliedstaaten gemeinschaftsweit eine harmonische Entwicklung der Wirtschaftstätigkeit, eine stetige und ausgewogene Wirtschaftsausweitung, erhöhte Stabilität, eine beschleunigte Anhebung des Lebensstandards und engere Beziehungen zwischen den Mitgliedstaaten zu fördern.

Elektronisch gespeicherte, verarbeitete und übermittelte Informationen spielen für Wirtschaft und Gesellschaft eine immer wichtigere Rolle.

Effiziente globale Kommunikationsdienste und die allgemeine Verwendung der elektronischen Informationsverarbeitung unterstreichen das Erfordernis angemessener Schutzmaßnahmen.

Das Europäische Parlament hat in seinen Beratungen und Entschließungen wiederholt auf die Bedeutung der Sicherheit von Informationssystemen hingewiesen.

Der Wirtschafts- und Sozialausschuß hat die Notwendigkeit hervorgehoben, im Rahmen der Gemeinschaftsaktionen Fragen der Sicherheit von Informationssystemen zu behandeln, wobei insbesondere die Auswirkungen der Vollendung des Binnenmarkts zu berücksichtigen sind.

Die Kommission hat Maßnahmen auf dem Gebiet des Datenschutzes und der Sicherheit von Informationssystemen vorgeschlagen (3).

Die Komplexität der Sicherheit von Informationssystemen erfordert die Entwicklung von Strategien zur Ermöglichung des freien Informationsaustausches auf dem Binnenmarkt bei gleichzeitiger Sicherung der Informationssysteme innerhalb der gesamten Gemeinschaft.

Diese Empfehlung berührt nicht die Bestimmungen der Mitgliedstaaten im Bereich der öffentlichen Sicherheit und Ordnung.

Die Zuständigkeiten der Mitgliedstaaten auf diesem Gebiet bedingen einen konzertierten Ansatz, der auf einer engen Zusammenarbeit mit hohen Beamten der Mitgliedstaaten basiert.

Gemeinsame Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik spielen eine entscheidende Rolle bei der Schaffung von Grundlagen für die gegenseitige Anerkennung von Zertifikaten auf internationaler Ebene.

Nationale, internationale und gemeinschaftsweite Aktionen bilden eine gute Ausgangslage für eine Harmonisierung auf Gemeinschaftsebene sowie zum Abschluß internationaler Übereinkommen.

Die beteiligten Akteure sind zu Rate gezogen worden. Die Gruppe hoher Beamter für Informationssicherheit (SOG-IS) hat die Anwendung gemeinsamer Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik empfohlen.

Für die Schaffung eines einheitlichen Marktes für Erzeugnisse der Informationstechnologie, deren Sicherheit gewährleistet ist, sind solche gemeinsamen Kriterien erforderlich; diese ermöglichen darüber hinaus die Erzielung von "economies of scale".

Der Gebrauch gemeinsamer Kriterien ist ferner eine Vorbedingung für die Schaffung von sicheren transeuropäischen Anwendungen und Diensten.

Diese Ziele könnten nicht erreicht werden, wenn in jedem Mitgliedstaat und jedem Wirtschaftssektor unterschiedliche Kriterien angewandt würden.

Die Erarbeitung zusätzlicher Kriterien würde vielfache bilaterale Aktionen durch die Mitgliedstaaten, Verzögerungen und umständliche Prozeduren sowie eine große Zahl individueller Verhandlungen nach sich ziehen, die durch eine koordinierte Aktion auf Gemeinschaftsebene vermeidbar sind -

EMPFIEHLT:

1. die Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik (ITSEC) (4) innerhalb der Evaluations- und Zertifizierungssysteme zunächst für einen Zeitraum von zwei Jahren anzuwenden, um den unmittelbaren Evaluations- und Zertifizierungsbedarf im Zusammenhang mit dem Handel mit und der Anwendung von Produkten, Systemen und Diensten der Informationstechnik zu decken;

2. unter der Ägide der Gruppe hoher Beamter für Informationssicherheit (SOG-IS) die internationale Harmonisierung und Standardisierung von Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik zu intensivieren;

3. in dem genannten Zeitraum von zwei Jahren oder erforderlichenfalls bis zu einer Vereinbarung über eine internationale Harmonisierung und Standardisierung seitens der Mitgliedstaaten oder der von ihnen benannten Stellen die bilaterale und möglichst europäische oder internationale gegenseitige Anerkennung von Zertifikaten über die Sicherheitsbewertung auszuhandeln;

4. nach der genannten ersten Phase die betreffende Lage zu überprüfen und auf der Grundlage der gesammelten Erfahrungen sowie der Ergebnisse der internationalen Harmonisierung nach Stellungnahme der Gruppe SOG-IS geeignete Maßnahmen vorzuschlagen.

Geschehen zu Luxemburg am 7. April 1995.

Im Namen des Rates

Der Präsident

J. ROSSI

(1) ABl. Nr. C 176 vom 28. 6. 1993, S. 37.

(2) ABl. Nr. C 73 vom 15. 3. 1993, S. 19.

(3) ABl. Nr. C 277 vom 5. 11. 1990, S. 3.

(4) Vgl. KOM(92) 298 endg., Anhang.