32002G0216(02)

Ψήφισμα του Συμβουλίου

της 28ης Ιανουαρίου 2002

για κοινή προσεγγίση και ειδικές δράσεις στον τομέα της ασφάλειας των πληροφοριών και των δικτύων

(2002/C 43/02)

ΤΟ ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ,

Δίνοντας συνέχεια στα συμπεράσματα του Ευωπαϊκού Συμβουλίου της Στοκχόλμης, της 23ης και 24ης Μαρτίου 2001, σύμφωνα με τα οποία το Συμβούλιο, από κοινού με την Επιτροπή, θα αναπτύξει μια συνολική στρατηγική για την ασφάλεια των ηλεκτρονικών δικτύων, καθώς και πρακτικές δράσεις για την εφαρμογή της,

ΕΧΟΝΤΑΣ ΥΠΟΨΗ:

1. το ψήφισμα του Συμβουλίου της 30ής Μαΐου 2001 - Πρόγραμμα Δράσης eEurope 2002: Ασφάλεια δικτύων και πληροφοριών·

2. την ανακοίνωση της Επιτροπής προς το Συμβούλιο, το Ευρωπαϊκό Κονοβούλιο, την Οικονομική και Κοινωνική Επιτροπή και των Επιτροπή των Περιφερειών - Ασφάλεια δικτύων και πληροφοριών: πρόταση ευρωπαϊκής πολιτικής·

3. την ανακοίνωση της Επιτροπής προς το Συμβούλιο και το Ευρωπαϊκό Κοινοβούλιο - eΕυρώπη 2002: Συνέπειες και προτεραιότητες·

4. το πρόγραμμα δράσης eEurope 2002 που υιοθέτησε το Ευρωπαϊκό Συμβούλιο της Φέιρα της 19ης και 20ής Ιουνίου 2000·

5. τη σύσταση 95/144/ΕΚ του Συμβουλίου, της 7ης Απριλίου 1995, για κοινά κριτήρια ασφαλείας της τεχνολογίας πληροφοριών(1)·

6. τη σύσταση του Συμβουλίου της 25ης Ιουνίου 2001 για σημεία επαφής τα οποία λειτουργούν 24 ώρες το εικοσιτετράωρο για την καταπολέμηση του εγκλήματος υψηλής τεχνολογίας(2)·

7. την ανακοίνωση της Επιτροπής για μια ασφαλέστερη κοινωνία με τη βελτίωση της ασφάλειας των υποδομών πληροφόρησης και την καταπολέμηση του εγκλήματος πληροφορικής·

8. τον κανονισμό (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 18ης Δεκεμβρίου 2000, σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Κοινότητας και σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών(3)·

9. την οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών(4)·

10. την οδηγία 97/33/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 30ής Ιουνίου 1992, για τη διασύνδεση στο χώρο των τηλεπικοινωνιών προκειμένου να διασφαλιστεί καθολική υπηρεσία και διαλειτουργικότητα με εφαρμογή των αρχών παροχής ανοικτού δικτύου (ONP)(5)·

11. την οδηγία 97/66/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 15ης Δεκεμβρίου 1997, περί επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και προστασίας της ιδιωτικής ζωής στον τηλεπικοινωνιακό τομέα(6)·

12. την οδηγία 98/10/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 26ης Φεβρουαρίου 1998, για την εφαρμογή της παροχής ανοικτού δικτύου (ONP) στη φωνητική τηλεφωνία και για την καθολική υπηρεσία για τις τηλεπικοινωνίες σε ανταγωνιστικό περιβάλλον(7)·

13. την οδηγία 1999/93/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 13ης Δεκεμβρίου 1999, σχετικά με το κοινοτικό με το κοινοτικό πλαίσιο για ηλεκτρονικές υπογραφές(8)·

ΕΚΤΙΜΩΝΤΑΣ ΤΑ ΑΚΟΛΟΥΘΑ:

(1) Τα δίκτυα και τα συστήματα επικοινωνιών έχουν καταστεί βασικός συντελεστής της οικονομικής και κοινωνικής ανάπτυξης, η δε διαθεσιμότητα και ακεραιότητά τους έχει καίρια σημασία για διάφορες βασικές δομές, καθώς και για τις περισσότερες δημόσιες και ιδιωτικές υπηρεσίες και την όλη οικονομία.

(2) Με γνώμονα τον ολοένα σοβαρότερο ρόλο των ηλεκτρονικών υπηρεσιών στην οικονομία, η ασφάλεια των δικτύων και των συστημάτων πληροφοριών αποτελεί συνεχώς διογκούμενο δημόσιο συμφέρον.

(3) Η ασφάλεια των συναλλαγών και των δεδομένων έχει καταστεί ουσιώδης για την παροχή ηλεκτρονικών υπηρεσιών, όπως το ηλεκτρονικό εμπόριο και οι δημόσιες υπηρεσίες επί γραμμής, ο δε χαμηλός βαθμός εμπιστοσύνης ως προς την ασφάλεια δυνατόν να επιβραδύνει την καθιέρωση των υπηρεσιών αυτών σε ευρεία κλίμακα.

(4) Τα άτομα, οι επιχειρήσεις, οι διοικήσεις και οι λοιποί οργανισμοί είναι ανάγκη να προστατεύουν τα οικεία συστήματα πληροφοριών, δεδομένων και επικοινωνιών, κάνοντας εν ανάγκη χρήση αποτελεσματικών τεχνολογιών της ασφάλειας.

(5) Ο ιδιωτικός τομέας, καθώς δραστηριοποιείται σε ανταγωνιστική αγορά και έχει την ικανότητα να καινοτομεί, προσφέρει ποικίλες λύσεις προσαρμοσμένες στις πραγματικές ανάγκες της αγοράς.

(6) Επειδή η φύση της ασφάλειας των πληροφοριών και των δικτύων αποτελεί ένα πλέγμα, κατά την εκπόνηση μέτρων πολιτικής στον τομέα αυτόν οι αρχές πρέπει να λαμβάνουν υπόψη ένα σύνολο πολιτικών, οικονομικών, οργανωτικών και τεχνικών πτυχών, να είναι δε ενήμερες του αποκεντρωμένου και παγκόσμιου χαρακτήρια των επικοινωνιακών δικτύων.

(7) Τα μέτρα πολιτικής μπορούν να έχουν μεγαλύτερο αποτέλεσμα μόνον εάν συνιστούν μέρος μιας ευρωπαϊκής προσέγγισης, έχουν ως μέλημά τους την αποτελεσματική λειτουργία της εσωτερικής αγοράς, βασίζονται στην ενισχυμένη συνεργασία μεταξύ κρατών μελών και διεθνώς, στηρίζουν δε την καινοτομία και την ικανότητα των ευρωπαϊκών επιχειρήσεων να είναι ανταγωνιστικές σε παγκόσμιο επίπεδο.

(8) Υπάρχει ήδη μια σημαντική συλλογή νόμων σχετικά με την ασφάλεια των δικτύων και των πληροφοριών, ως μέρος συγκεκριμένα του νομοθετικού πλαισίου της Ένωσης για τις τηλεπικοινωνίες, το ηλεκτρονικό εμπόριο και τις ηλεκτρονικές υπογραφές.

(9) Υπάρχουν νομοθετικές διατάξεις που επιτάσσουν στους παρόχους τηλεπικοινωνιακών υπηρεσιών να λαμβάνουν τα δέοντα τεχνικά και οργανωτικά μέτρα για την διαφύλαξη της ασφάλειας των υπηρεσιών που παρέχουν. Τα μέτρα αυτά διασφαλίζουν ένα επίπεδο ασφαλείας ανάλογο του εικαζομένου κινδύνου.

(10) Το διεθνές πρότυπο ISO - 15408 (κοινά κριτήρια) έχει καταστεί ανεγνωρισμένο σύστημα προσδιορισμού των απαιτήσεων ασφαλείας για τα προϊόντα υπολογιστών και δικτύων, καθώς και αξιολόγησης της συμμόρφωσης επιμέρους προϊόντων προς τα κριτήρια αυτά.

(11) Το διεθνές πρότυπο ISO - 17799 (ασφάλεια πληροφοριών - Κώδικας πρακτικής για διαχείριση ασφαλείας πληροφοριών) και οι ανάλογες εθνικές κατευθυντήριες γραμμές καθίστανται ήδη ανεγνωρισμένη πρακτική για πολιτικές ασφαλείας σε ιδιωτικούς και δημόσιους οργανισμούς.

(12) Η υποδομή του διαδικτύου θα πρέπει να επιτρέψει σε μεγάλο βαθμό την πρόσβαση σε δίκτυα και υπηρεσίες, επίσης δε την αυτοτελή και ασφαλή διαχείριση και λειτουργία, π.χ. με την θέσπιση ανοικτών προτύπων και πρωτοκόλλων ασφαλείας διαδικτύου,

ΔΕΔΟΜΕΝΟΥ ΟΤΙ, σύμφωνα με το ψήφισμα του Συμβουλίου της 30ής Μαΐου 2001 για το "Πρόγραμμα δράσης eEurope 2002: ασφάλεια δικτύων και πληροφοριών", η ασφάλεια των δικτύων και των πληροφοριών αποσκοπεί:

- στην εξασφάλιση διαθέσιμων υπηρεσιών και δεδομένων,

- στην πρόληψη της αποδιοργάνωσης και της αναρμόδιας παρακολούθησης των επικοινωνιών,

- στην επιβεβαίωση ότι τα δεδομένα που διαβιβάζονται, παραλαμβάνονται ή αποθηκεύονται είναι πλήρη και αναλλοίωτα,

- στην εξασφάλιση του απορρήτου των δεδομένων,

- στην προστασία των πληροφοριακών συστημάτων κατά της αναρμόδιας πρόσβασης,

- στην προστασία κατά επιθέσεων με κακόβουλο λογισμικό,

- στην εξασφάλιση αξιόπιστης επικύρωσης,

ΖΗΤΕΙ ΑΠΟ ΤΑ ΚΡΑΤΗ ΜΕΛΗ:

1. να δρομολογήσουν ή να εντείνουν, μέχρι τα τέλη του 2002, ενημερωτικές και εκπαιδευτικές εκστρατείες για μεγαλύτερη ευαισθητοποίηση όσον αφορά την ασφάλεια των δικτύων και των πληροφοριών· να απευθύνουν ειδικά τις δράσεις αυτές στις επιχειρήσεις, τους ιδιώτες χρήστες και τις δημόσιες διοικήσεις· να εκπονήσουν αυτές τις δράσεις ευαισθητοποίησης σε στενή συνεργασία με τον ιδιωτικό τομέα, συν τοις άλλοις με τους παρόχους υπηρεσιών Διαδικτύου και να στηρίξουν ή να ενθαρρύνουν πρωτοβουλίες του ιδιωτικού τομέα·

2. να προβάλουν βέλτιστες πρακτικές στη διαχείριση της ασφάλειας των πληροφοριών, ειδικότερα σε μικρές και μεσαίες επιχειρήσεις, ενδεχομένως βάσει διεθνώς ανεγνωρισμένων προτύπων·

3. να τονίσουν ή να προβάλουν, έως τα τέλη του 2002, τη σημασία των αντιλήψεων περί ασφαλείας ως μέρος της εκπαίδευσης και της κατάρτισης στους ηλεκτρονικούς υπολογιστές·

4. να εξετάσουν, έως τα μέσα του 2002, την αποτελεσματικότητα των εθνικών ρυθμίσεων όσον αφορά την αντιμετώπιση έκτακτης ανάγκης στον ηλεκτρονικό τομέα, που θα μπορούσε να περιλαμβάνει τα συστήματα συναγερμού κατά των ιών, με σκοπό να ενισχυθεί εφόσον χρειάζεται η ικανότητά τους να προλαμβάνουν, να ανιχνεύουν και να αντιδρούν αποτελεσματικά στην αποδιοργάνωση και τις επιθέσεις κατά των δικτύων και των συστημάτων πληροφοριών, τόσο σε εθνικό όσο και σε διεθνές επίπεδο·

5. να προβάλουν τη χρήση των κοινών κριτηρίων ως προτύπου (ISO-15408) και να διευκολύνουν την αμοιβαία αναγνώριση των σχετικών πιστοποιητικών·

6. να επιτελέσουν, έως τα τέλη του 2002, σημαντική πρόοδο στην εξεύρεση αποτελεσματικών και διαλειτουργικών λύσεων ασφάλειας, βασιζόμενων ει δυνατόν σε ανεγνωρισμένα πρότυπα - οι οποίες θα μπορούσαν να περιλαμβάνουν το λογισμικό ανοικτής πηγής - στις οικείες δραστηριότητες "ηλεκτρονικού κράτους" (δημοσίων υπηρεσιών σε απευθείας σύνδεση) και τις ηλεκτρονικές συμβάσεις προμηθειών, και στην καθιέρωση των ηλεκτρονικών υπογραφών ώστε οι δημόσιες υπηρεσίες που απαιτούν αδιάβλητη πιστοποίηση να μπορούν να παρέχονται και επί γραμμής·

7. εάν επιλέξουν την εγκατάσταση συστημάτων ηλεκτρονικής ή βιομετρικής αναγνώρισης ταυτότητας για δημόσια ή ιδιωτική χρήση, να συνεργάζονται ενδεχομένως στον τομέα των τεχνολογικών εξελίξεων και να εξετάζουν οιαδήποτε προδιαγραφή διαλειτουργικότητας·

8. χάριν διευκόλυνσης της κοινοτικής και της διεθνούς συνεργασίας, να ανταλλάσσουν πληροφορίες μεταξύ τους και με την Επιτροπή όσον αφορά τους φορείς που είναι οι πρωτίστως αρμόδιοι στο έδαφός τους για θέματα ασφάλειας των δικτύων και των πληροφοριών,

ΕΠΙΚΡΟΤΕΙ ΤΗΝ ΠΡΟΘΕΣΗ ΤΗΣ ΕΠΙΤΡΟΠΗΣ:

1. να διευκολύνει, εντός του 2002, μια ανταλλαγή βέλτιστων πρακτικών όσον αφορά δράσεις ευαισθητοποίησης και να καταρτίσει έναν πρώτο κατάλογο των διαφόρων εθνικών ενημερωτικών εκστρατειών·

2. εντος του 2002, να υποβάλει προτάσεις για εντατικοποίηση του διαλόγου και τις συνεργασίας της Κοινότητας με διεθνείς οργανισμούς και εταίρους όσον αφορά των ασφάλεα των δικτύων και ειδικότερα τις επιπτώσεις της αύξουσας εξάρτησης από τα δίκτυα ηλεκτρονικών επικοινωνιών· στη συνάρτηση αυτή να προτείνει, έως τα τέλη του 2002, μια στρατηγική για σταθερότερη και ασφαλέστερη λειτουργία των υποδομών του Διαδικτύου·

3. έως τα τέλη του 2002, να προτείνει τα δέοντα μέτρα για την προώθηση του προτύπου ISO-15408 (κοινά κριτήρια), να διευκολύνει την αμοιβαία αναγνώριση των πιστοποιητικών, και να βελτιώσει τη διαδικασία με την οποία αξιολογούνται τα προϊόντα, εκπονώντας π.χ. τα ενδεδειγμένα χαρακτηριστικά ασφαλείας·

4. να καταρτίσει, έως τα τέλη του 2002, έκθεση για τεχνολογίες και εφαρμογές ηλεκτρονικής και βιομετρικής πιστοποίησης ταυτότητας, ώστε να βελτιωθεί η αποτελεσματικότητα των συστημάτων αυτών και δη μέσω της διαλειτουργικότητας·

5. να υποβάλει έως μέσα του 2002 -και ύστερα από διαβουλεύσεις με τα κράτη μέλη και τον ιδιωτικό τομέα- προτάσεις για την συγκρότηση ειδικής ομάδας για την ασφάλεια στον κυβερνοχώρο, προκειμένου να αξιοποιηθούν οι εθνικές προσπάθειες για την ενίσχυση της ασφάλειας των δικτύων και των πληροφοριών αλλά και να ενισχυθεί η ικανότητα των κρατών μελών, τόσο κατ' ιδίαν όσο και συλλογικά, να χειρίζονται μείζονα προβλήματα ασφάλειας των δικτύων και των πληροφοριών·

6. να διερευνήσει, έως τα τέλη του 2002 και σε συνεργασία με τα κράτη μέλη, τις δυνατότητες επιλογής μηχανισμών με τους οποίους τα κράτη μέλη και η Επιτροπή μπορούν να ανταλλάσσουν πληροφορίες και εμπειρίες που είχαν από την επίτευξη των στόχων του παρόντος ψηφίσματος, λαμβάνοντας υπόψη τη διαπυλωνική διάσταση της ασφαλείας των δικτύων και των πληροφοριών, να διερευνήσουν δε τον καλύτερο τρόπο με τον οποίο μπορεί να συμπράξει ο ιδιωτικός τομέας σε αυτή την ανταλλαγή πληροφοριών και εμπειριών,

ΕΠΙΚΡΟΤΕΙ την αυξανόμενη επικέντρωση των ευρωπαϊκών ερευνητικών δραστηριοτήτων στα θέματα ασφαλείας,

ΤΟΝΙΖΕΙ ότι χρειάζονται περισσότερες ερευνητικές δραστηριότητες και μάλιστα όσον αφορά τους μηχανισμούς ασφάλειας και την διαλειτουργικότητά τους, την αξιοπιστία και την προστασία των δικτύων, την προηγμένη κρυπτογραφία, τις τεχνολογίες για καλύτερη προστασία της ιδιωτικής ζωής, και την ασφάλεια στις ασύρματες επικοινωνίες,

ΚΑΛΕΙ:

- τους προμηθευτές και παρόχους υπηρεσιών να ενισχύσουν την ασφάλεια ως αναπόσπαστο και ζωτικό μέρος των προϊόντων και των υπηρεσιών τους·

- τους προμηθευτές και παρόχους υπηρεσιών του ευρωπαϊκού ιδιωτικού τομέα και τις αντιπροσωπευτικές τους συσπειρώσεις να συμμετέχουν δραστηριότερα σε διεθνείς δραστηριότητες τυποποίησης και να οργανωθούν σε ανάλογους φορείς ώστε να συμβάλουν στους στόχους του παρόντος ψηφίσματος.

(1) ΕΕ L 93 της 26.4.1995, σ. 27.

(2) ΕΕ C 187 της 3.7.2001, σ. 5.

(3) ΕΕ L 8 της 12.1.2001, σ. 1.

(4) ΕΕ L 281 της 23.11.1995, σ. 31.

(5) ΕΕ L 199 της 26.7.1997, σ. 32.

(6) ΕΕ L 24 της 30.1.1998, σ. 1.

(7) ΕΕ L 101 της 1.4.1998, σ. 24.

(8) ΕΕ L 13 της 19.1.2000, σ. 12.