52011DC0163

[pic] | ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ |

Βρυξέλλες, 31.3.2011

COM(2011) 163 τελικό

ΑΝΑΚΟΙΝΩΣΗ ΤΗΣ ΕΠΙΤΡΟΠΗΣ ΠΡΟΣ TΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ, ΤΟ ΣΥΜΒΟΥΛΙΟ, ΤΗΝ ΕΥΡΩΠΑΪΚΗ ΟΙΚΟΝΟΜΙΚΗ ΚΑΙ ΚΟΙΝΩΝΙΚΗ ΕΠΙΤΡΟΠΗ ΚΑΙ ΤΗΝ ΕΠΙΤΡΟΠΗ ΤΩΝ ΠΕΡΙΦΕΡΕΙΩΝ

σχετικά με την προστασία υποδομών πληροφοριών ζωτικής σημασίας «Επιτεύγματα και επόμενα βήματα: προς την παγκόσμια ασφάλεια στον κυβερνοχώρο»

ΑΝΑΚΟΙΝΩΣΗ ΤΗΣ ΕΠΙΤΡΟΠΗΣ ΠΡΟΣ TΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ, ΤΟ ΣΥΜΒΟΥΛΙΟ, ΤΗΝ ΕΥΡΩΠΑΪΚΗ ΟΙΚΟΝΟΜΙΚΗ ΚΑΙ ΚΟΙΝΩΝΙΚΗ ΕΠΙΤΡΟΠΗ ΚΑΙ ΤΗΝ ΕΠΙΤΡΟΠΗ ΤΩΝ ΠΕΡΙΦΕΡΕΙΩΝ

σχετικά με την προστασία υποδομών πληροφοριών ζωτικής σημασίας «Επιτεύγματα και επόμενα βήματα: προς την παγκόσμια ασφάλεια στον κυβερνοχώρο»

Εισαγωγή

Στις 30 Μαρτίου 2009, η Επιτροπή εξέδωσε ανακοίνωση σχετικά με την προστασία υποδομών πληροφοριών ζωτικής σημασίας - «Προστασία της Ευρώπης από επιθέσεις στον κυβερνοχώρο και διαταραχές μεγάλης κλίμακας: αναβάθμιση της ετοιμότητας, της ασφάλειας και της ικανότητας αποκατάστασης»[1] όπου καθορίζεται σχέδιο (το «σχέδιο δράσης για την προστασία των ΥΖΣ») με σκοπό την ενίσχυση της ανθεκτικότητας (ικανότητας αποκατάστασης) υποδομών ζωτικής σημασίας στις τεχνολογίες πληροφοριών και επικοινωνιών (TΠΕ). Σκοπός ήταν να τονωθεί και να υποστηριχθεί η ανάπτυξη υψηλού επιπέδου ικανοτήτων ετοιμότητας, ασφάλειας και ανθεκτικότητας – σε εθνικό και σε ευρωπαϊκό επίπεδο. Η προσέγγιση αυτή υποστηρίχθηκε ευρύτερα από το Συμβούλιο το 2009.[2]

Το σχέδιο δράσης για την προστασία των ΥΖΣ (CIIP) στηρίζεται σε πέντε πυλώνες: ετοιμότητα και πρόληψη, εντοπισμός και αντιμετώπιση, άμβλυνση των επιπτώσεων και αποκατάσταση, διεθνής συνεργασία και, τέλος, κριτήρια για ευρωπαϊκές υποδομές ζωτικής σημασίας στον τομέα των ΤΠΕ. Προσδιορίζονται οι εργασίες που πρέπει να εκτελεστούν σε κάθε πυλώνα από την Επιτροπή, τα κράτη μέλη ή/και τον κλάδο, με την υποστήριξη του Ευρωπαϊκού Οργανισμού για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA).

Στο Ψηφιακό θεματολόγιο για την Ευρώπη[3], που εγκρίθηκε το Μάιο του 2010, όπως και στα σχετικά συμπεράσματα του Συμβουλίου[4] υπογραμμίζεται η συναντίληψη ότι η εμπιστοσύνη και η ασφάλεια αποτελούν θεμελιώδεις προϋποθέσεις για την ευρύτερη αφομοίωση των ΤΠΕ, επομένως και για την επίτευξη των στόχων όσον αφορά τη διάσταση της «έξυπνης ανάπτυξης» που περιλαμβάνεται στη στρατηγική Ευρώπη 2020 .[5] Στο Ψηφιακό θεματολόγιο για την Ευρώπη τονίζεται η ανάγκη όλοι οι εμπλεκόμενοι να ενώσουν τις δυνάμεις τους σε μια καθολική προσπάθεια για την επίτευξη ασφάλειας και ανθεκτικότητας των υποδομών ΤΠΕ, εστιάζοντας στην πρόληψη, την ετοιμότητα και την ευαισθητοποίηση, καθώς επίσης και στην ανάπτυξη αποτελεσματικών και συντονισμένων μηχανισμών αντιμετώπισης νέων και ολοένα πιο προηγμένων μορφών επιθέσεων και αξιόποινων πράξεων στον κυβερνοχώρο. Με την προσέγγιση αυτή εξασφαλίζεται η δέουσα συνεκτίμηση όλων των διαστάσεων, τόσο πρόληψης όσο και αντιμετώπισης.

Τα ακόλουθα μέτρα, τα οποία έχουν αναγγελθεί στο Ψηφιακό θεματολόγιο, ελήφθησαν τους τελευταίους μήνες: η Επιτροπή εξέδωσε το Σεπτέμβριο του 2010 πρόταση οδηγίας για τις επιθέσεις κατά των συστημάτων πληροφοριών.[6] Η πρόταση αποβλέπει στην ενίσχυση της καταπολέμησης των αξιόποινων πράξεων στον κυβερνοχώρο μέσω της προσέγγισης των κανόνων του ποινικού δικαίου των κρατών μελών και της βελτίωσης της συνεργασίας μεταξύ των δικαστικών και των λοιπών αρμόδιων αρχών. Επίσης, εισάγονται διατάξεις για την αντιμετώπιση νέων μορφών κυβερνοεπιθέσεων, ιδίως από δίκτυα προγραμμάτων ρομπότ (botnets). Προς συμπλήρωση των παραπάνω ενεργειών, η Επιτροπή υπέβαλε ταυτόχρονα πρόταση[7] νέας εντολής για την ενίσχυση και τον εκσυγχρονισμό του Ευρωπαϊκού Οργανισμού για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA), ώστε να δοθεί ώθηση στην εμπιστοσύνη και την ασφάλεια των δικτύων. Η ενίσχυση και ο εκσυγχρονισμός του ENISA θα βοηθήσει επίσης την ΕΕ, τα κράτη μέλη και ιδιωτικούς φορείς να αναπτύξουν τις ικανότητες και την ετοιμότητά τους για πρόληψη, εντοπισμό και αντιμετώπιση προκλήσεων στο τομέα της ασφάλειας στον κυβερνοχώρο.

Ως τελευταίο - αλλά όχι έσχατο – μέτρο, στο Ψηφιακό θεματολόγιο για την Ευρώπη, στο πρόγραμμα/σχέδιο δράσης της Στοκχόλμης[8] και στην στρατηγική εσωτερικής ασφάλειας της EE στην πράξη[9] (ISS) υπογραμμίζεται η δέσμευση που έχει αναλάβει η Επιτροπή για την οικοδόμηση ενός ψηφιακού περιβάλλοντος, όπου κάθε ευρωπαίος πολίτης θα μπορεί να αναπτύξει πλήρως τις οικονομικές και κοινωνικές δυνατότητές του.

Η παρούσα ανακοίνωση βασίζεται στα αποτελέσματα που επετεύχθησαν μετά την έγκριση του σχεδίου δράσης για την προστασία των ΥΖΣ (CIIP) το 2009. Περιγράφονται τα επόμενα βήματα που έχουν σχεδιαστεί για κάθε δράση, σε ευρωπαϊκό και διεθνές επίπεδο. Εστιάζεται επίσης την παγκόσμια διάσταση των προβλημάτων και στη σημασία της προώθησης της συνεργασίας μεταξύ των κρατών μελών και του ιδιωτικού τομέα, σε εθνικό, ευρωπαϊκό και διεθνές επίπεδο, ώστε να ληφθούν υπόψη οι παγκόσμιες αλληλεξαρτήσεις.

Ενα σενάριο σε εξέλιξη

Η ανάλυση των επιπτώσεων που συνοδεύει το σχέδιο δράσης CIIP[10], καθώς και ευρύ φάσμα αναλύσεων και εκθέσεων από ιδιωτικούς και δημόσιους ενδιαφερόμενους φορείς, δεν περιορίζονται μόνο στην υπογράμμιση των πτυχών της κοινωνικής, πολιτικής και οικονομικής εξάρτησης από τις ΤΠΕ, αλλά τονίζουν και την συνεχή αύξηση του αριθμού, του πεδίου εφαρμογής, της πολυπλοκότητας και των δυνητικών επιπτώσεων των απειλών - φυσικών ή ανθρωπογενών.

Έχουν ανακύψει νέες και τεχνολογικά πολυπλοκότερες αλλαγές. Η παγκόσμια γεωπολιτική τους διάσταση καθίσταται σταδιακά σαφέστερη. Παρατηρείται τάση για χρήση των ΤΠΕ προς επίτευξη πολιτικής, οικονομικής και στρατιωτικής υπεροχής, συμπεριλαμβανομένων και επιθετικών ικανοτήτων. Στο πλαίσιο αυτό γίνεται ενίοτε άναφορά σε «ηλεκτρονικό πόλεμο» ή «κυβερνο-τρομοκρατία».

Επιπλέον, όπως προκύπτει απτά από τα πρόσφατα γεγονότα στη νότια Μεσόγειο, ορισμένα καθεστώτα είναι επίσης πρόθυμα και ικανά να στερήσουν ή να παρεμποδίσουν την πρόσβαση των πολιτών τους σε ηλεκτρονικά μέσα επικοινωνιών - ιδίως στο διαδίκτυο και σε κινητές επικοινωνίες - κατά αυθαίρετο τρόπο για πολιτικούς σκοπούς. Τέτοιου είδους μονομερείς εγχώριες παρεμβάσεις μπορεί να συνεπάγονται σοβαρά αποτελέσματα σε άλλα μέρη του κόσμου[11].

Για σφαιρικότερη αντίληψη των διαφορών αυτών απειλών μπορεί να αποδειχθεί χρήσιμη η ομαδοποίησή τους στις ακόλουθες κατηγορίες:

- για σκοπούς εκμετάλλευσης , όπως «προηγμένες συνεχείς απειλές»[12] για οικονομική και πολιτική κατασκοπεία (π.χ. GhostNet[13]), υποκλοπή ταυτότητας, οι πρόσφατες προσβολές κατά του συστήματος εμπορίας δικαιωμάτων εκπομπών (ΕΤS)[14] ή κατά κρατικών/κυβερνητικών συστημάτων ΤΠ[15];

- για σκοπούς διαταραχής , όπως οι επιθέσεις κατανεμημένης άρνησης υπηρεσίας (Distributed Denial of Service) ή μαζική αποστολή ανεπίκλητων μηνυμάτων (spamming) μέσω δικτύων προγραμμάτων ρομπότ (botnets, π.χ. το δίκτυο Conficker με 7 εκατομμύρια μηχανές και το εγκατεστημένο στην Ισπανία δίκτυο Mariposa με 12,7 εκατομμύρια μηχανές[16]), το Stuxnet[17] και η αποκοπή μέσων επικοινωνίας,

- για σκοπούς καταστροφής . Πρόκειται για σενάριο που δεν έχει ακόμα υλοποιηθεί, αλλά - δεδομένης της αυξανόμενης διείσδυσης των ΤΠΕ σε υποδομές ζωτικής σημασίας (π.χ. έξυπνα δίκτυα και συστήματα υδροδότησης) - δεν μπορεί να αποκλειστεί για τα επόμενα χρόνια.[18]

Η Ευρωπαϊκή Ένωση και το παγκόσμιο πλαίσιο

Οι επικείμενες προκλήσεις δεν αναφέρονται ειδικά στην Ευρωπαϊκή Ένωση (ΕΕ), ούτε μπορούν να εξουδετερωθούν από αυτήν αποκλειστικά. Η διάδοση των ΤΠΕ και του διαδικτύου διευκολύνουν την αποδοτικότερη, αποτελεσματικότερη και οικονομικότερη επικοινωνία, συντονισμό και συνεργασία μεταξύ των ενδιαφερόμενων φορέων, με αποτέλεσμα ένα σφύζον οικοσύστημα καινοτομιών σε όλους τους τομείς της ανθρώπινης δραστηριότητας. Ωστόσο, οι απειλές μπορούν πλέον να προέρχονται από οποιοδήποτε σημείο του κόσμου και, εξαιτίας της δυνατότητας για παγκόσμια διασύνδεση, μπορούν να επηρεάσουν οποιοδήποτε τμήμα του κόσμου.

Για την αντιμετώπιση των επικείμενων προκλήσεων δεν επαρκεί μια καθαρά ευρωπαϊκή προσέγγιση. Μολονότι ο στόχος της συγκρότησης μιας συνεκτικής και συνεργατικής προσέγγισης στο εσωτερικό της ΕΕ παραμένει πάντοτε σημαντικός, πρέπει πάντως να ενταχθεί σε μια παγκόσμια στρατηγική συντονισμού που θα συμπεριλαμβάνει καίριους εταίρους, είτε μεμονωμένα κράτη είτε σημαντικούς διεθνείς οργανισμούς.

Οφείλουμε να εργαστούμε προς την κατεύθυνση παγκόσμιας συναντίληψης των κινδύνων που συνεπάγεται η ευρεία και μαζική χρήση ΤΠΕ σε όλους τους τομείς της κοινωνίας. Ακόμα περισσότερο, επιβάλλεται επινόηση στρατηγικών για την κατάλληλη και αποτελεσματική διαχείριση αυτών των κινδύνων - πρόληψη, αντιμετώπιση, άμβλυνση των επιπτώσεων και επέμβαση. Το ψηφιακό θεματολόγιο καλεί σε « συνεργασία των σχετικών φορέων […] σε παγκόσμιο επίπεδο προκειμένου να είναι πράγματι σε θέση να καταπολεμήσει και να μετριάσει τις επιπτώσεις των απειλών για την ασφάλεια » και θέτει ως στόχο « συνεργασία παγκοσμίως με ενδιαφερόμενους, ιδίως για την ενίσχυση της παγκόσμιας διαχείρισης κινδύνων στο ψηφιακό και στο φυσικό χώρο και διεξαγωγή διεθνώς συντονισμένων στοχοθετημένων δράσεων εναντίον του πληροφορικού εγκλήματος και των προσβολών κατά της ασφάλειας ».

Η εφαρμογη του σχεδιου δρασησ CIIP : ορισμενα καίρια σημεια

Σε παράρτημα διατίθεται η πλήρης έκθεση των επιτευγμάτων και των επόμενων σταδίων του σχεδίου δράσης για την προστασία των ΥΖΣ (CIIP). Ακολουθούν ορισμένα καίρια σημεία της τρέχουσας κατάστασης.

Ετοιμότητα και πρόληψη

- Το Ευρωπαϊκό φόρουμ των κρατών μελών (EFMS) σημείωσε σημαντική πρόοδο στην ενίσχυση των συζητήσεων και ανταλλαγών μεταξύ αρμόδιων αρχών σχετικά με ορθή πολιτική πρακτική που αναφέρεται στην ασφάλεια και την ανθεκτικότητα υποδομών ΤΠΕ. Το EFMS αναγνωρίζεται από τα κράτη μέλη ως σημαντική πλατφόρμα για συζήτηση και ανταλλαγή ορθής πολιτικής πρακτικής.[19] Για τις μελλοντικές δραστηριότητες θα συνεχίσει να επωφελείται από την υποστήριξη του ENISA και θα εστιαστεί στην συνεργασία μεταξύ εθνικών/κυβερνητικών ομάδων αντιμετώπισης έκτακτων αναγκών στην πληροφορική (CERT), προσδιορίζοντας οικονομικά και κανονιστικά κίνητρα για ασφάλεια και ανθεκτικότητα (με παράλληλη τήρηση των ισχυόντων κανόνων για τον ανταγωνισμό και τις κρατικές ενισχύσεις), αξιολογώντας την κατάσταση της «καλής κατάστασης της ασφάλειας στον κυβερνοχώρο» στην Ευρώπη, διοργανώνοντας ασκήσεις σε πανευρωπαϊκή κλίμακα, καθώς και εξετάζοντας τις προτεραιότητες για διεθνή παρέμβαση σε θέματα ασφάλειας και ανθεκτικότητας.

- Η Ευρωπαϊκή σύμπραξη δημόσιου-ιδιωτικού τομέα για την ανθεκτικότητα (EP3R) δρομολογήθηκε ως πλαίσιο διακυβέρνησης σε ευρωπαϊκή κλίμακα σχετικά με την ανθεκτικότητα υποδομών ΤΠΕ. Αποβλέπει στην ενίσχυση της συνεργασίας μεταξύ του δημόσιου και του ιδιωτικού τομέα σε στρατηγικής σημασίας θέματα πολιτικής όσον αφορά την ασφάλεια και την ανθεκτικότητα στην ΕΕ. Ο ENISA διαδραμάτισε καταλυτικό ρόλο για τις δραστηριότητες της EP3R και, κατ' εφαρμογή της πρότασης της Επιτροπής του 2010 για τον εκσυγχρονισμό του ENISA, θα εξασφαλίσει μακροχρόνιο και αειφορικό πλαίσιο για την EP3R. Η EP3R θα χρησιμεύσει επίσης ως πλατφόρμα διεθνούς επίδρασης για θέματα δημόσιων πολιτικών, οικονομίας και αγοράς όσον αφορά την ασφάλεια και την ανθεκτικότητα, ιδίως για την ενίσχυση της παγκόσμιας διαχείρισης κινδύνων σε υποδομές ΤΠΕ.

- Έχει εκπονηθεί η ελάχιστη δέσμη βασικών ικανοτήτων και υπηρεσιών [20] και συναφείς συστάσεις για λήψη μέτρων πολιτικής [21] ώστε οι εθνικές/κυβερνητικές ομάδες CERT να λειτουργούν αποτελεσματικά και ως κύρια συνιστώσα της εθνικής ικανότητας για ετοιμότητα, ανταλλαγή πληροφοριών, συντονισμό και αντιμετώπιση. Τα αποτελέσματα αυτά θα είναι ένα δομοστοιχείο για τη συγκρότηση, έως το 2012 και με την υποστήριξη του ENISA, ενός εύρυθμου δικτύου εθνικών/κυβερνητικών ομάδων CERT σε όλα τα κράτη μέλη. Το δίκτυο αυτό θα αποτελέσει τον κορμό του Ευρωπαϊκού συστήματος ανταλλαγής πληροφοριών και έγκαιρης προειδοποίησης (EISAS) για πολίτες και ΜΜΕ, που πρόκειται να έχει δημιουργηθεί έως το 2013 από εθνικούς πόρους και ικανότητες.

Εντοπισμός και αντιμετώπιση

- Ο ENISA έχει επεξεργαστεί έναν χάρτη πορείας υψηλού επιπέδου για την ανάπτυξη, έως το 2013, του Ευρωπαϊκού συστήματος ανταλλαγής πληροφοριών και έγκαιρης προειδοποίησης ( EISAS) ,[22] το οποίο θα στηρίζεται στην υλοποίηση βασικών υπηρεσιών σε επίπεδο εθνικών/κυβερνητικών ομάδων CERT και υπηρεσιών διαλειτουργικότητας ώστε εθνικά συστήματα ανταλλαγής πληροφοριών και έγκαιρης προειδοποίησης να ενταχθούν στο EISAS. Ένα από τα καίρια στοιχεία της δραστηριότητας αυτής θα είναι η ενδεδειγμένη προστασία των δεδομένων προσωπικού χαρακτήρα.

Άμβλυνση των επιπτώσεων και αποκατάσταση

- Μέχρι στιγμής, 12 μόνο κράτη μέλη έχουν οργανώσει ασκήσεις αντιμετώπισης σε συμβάντα και αποκατάστασης από καταστροφές στην ασφάλεια δικτύων μεγάλης κλίμακας.[23]. Ο ENISA έχει εκπονήσει οδηγό ορθής πρακτικής για ασκήσεις εθνικής κλίμακας [24] καθώς και συστάσεις για λήψη μέτρων πολιτικής για τη χάραξη εθνικών στρατηγικών[25] προς υποστήριξη των δραστηριοτήτων των κρατών μελών που πρέπει να ενταθούν.

- Η πρώτη πανευρωπαϊκή άσκηση σε μεγάλης κλίμακας για συμβάντα στην ασφάλεια δικτύων (Cyber Europe 2010) πραγματοποιήθηκε στις 4 Νοεμβρίου 2010 με τη συμμετοχή όλων των κρατών μελών (19 από τα οποία συμμετείχαν ενεργά), καθώς και της Ελβετίας, της Νορβηγίας και της Ισλανδίας. Οι μελλοντικές πανευρωπαϊκές ασκήσεις στον κυβερνοχώρο αναμφισβήτητα θα επωφεληθούν από το κοινό πλαίσιο που στηρίζεται και διασυνδέει τα εθνικά σχέδια έκτακτης ανάγκης, παρέχοντας έτσι μηχανισμούς βάσης και διαδικασίες επικοινωνίας και συνεργασίας μεταξύ των κρατών μελών.

Διεθνής συνεργασία

- Στο πλαίσιο του EFMS εξετάστηκαν και αναπτύχθηκαν ευρωπαϊκές αρχές και κατευθυντήριες γραμμές για την ανθεκτικότητα και τη σταθερότητα του διαδικτύου. [26] Η Επιτροπή θα εξετάσει και θα προωθήσει τις αρχές αυτές στους εκάστοτε ενδιαφερόμενους, ιδίως στον ιδιωτικό τομέα (μέσω EP3R), διμερώς με βασικούς διεθνείς εταίρους, ιδίως με τις ΗΠΑ, καθώς και πολυμερώς. Εντός των αρμοδιοτήτων της, θα προωθήσει την υπόθεση και σε άλλα βήματα, όπως την G8, τον OΟΣΑ, το NATO (ιδίως βάσει της νέας στρατηγικής του που εγκρίθηκε τον Νοέμβριο του 2010 και των δραστηριοτήτων του συλλογικού κέντρου αριστείας Cooperative Cyber-defense Center of Excellence), της ITU/ΔΕΤ (στο πλαίσιο της ανάπτυξης ικανοτήτων στο πεδίο της ασφαλείας στον κυβερνοχώρο), τον OΑΣE (μέσω του οικείου φόρουμ για συνεργασία σε θέματα ασφάλειας)· τον ASEAN, Meridian[27], κλπ. Στόχος είναι οι εν λόγω αρχές και κατευθύνσεις να καταστούν κοινό πλαίσιο για διεθνή συλλογική προσπάθεια στην κατεύθυνση μακροπρόθεσμης ανθεκτικότητας και σταθερότητας του διαδικτύου.

Κριτήρια για ευρωπαϊκές υποδομές ζωτικής σημασίας στον τομέα των ΤΠΕ

- Η τεχνική εξέταση στους κόλπους του EFMS κατέληξε σε ένα αρχικό σχέδιο των τομεακών κριτηρίων ΤΠΕ για την αναγνώριση ευρωπαϊκών υποδομών ζωτικής σημασίας, εστιάζοντας στις σταθερές και κινητές επικοινωνίες και στο διαδίκτυο. Η τεχνική εξέταση θα συνεχιστεί και θα τροφοδοτηθεί από τις διαβουλεύσεις σχετικά με το σχέδιο κριτηρίων, σε εθνικό και ευρωπαϊκό επίπεδο (μέσω EP3R), με τον ιδιωτικό τομέα. Η Επιτροπή θα συζητήσει επίσης με τα κράτη μέλη τα τομεακά κριτήρια ΤΠΕ που θα ληφθούν υπόψη για την ανασκόπηση της οδηγίας σχετικά με τον προσδιορισμό και τον χαρακτηρισμό των ευρωπαϊκών υποδομών ζωτικής σημασίας, καθώς και σχετικά με την αξιολόγηση της ανάγκης βελτίωσης της προστασίας τους το 2012[28].

Προοπτικές

Η υλοποίηση του σχεδίου δράσης CIIP συνοδεύτηκε από θετικά επιτεύγματα, ιδίως όσον αφορά την αναγνώριση της ανάγκης για συλλογική προσέγγιση στην ασφάλεια δικτύων και πληροφοριών, με τη συμμετοχή όλων των ενδιαφερομένων φορέων. Συμβαδίζει επίσης, σε γενικές γραμμές, με τους ενδιάμεσους στόχους και τα χρονοδιαγράμματα που καθορίστηκαν το 2009. Δεν πρέπει, ωστόσο, να επαναπαυόμαστε, διότι απομένουν ακόμα πολλά να γίνουν, σε εθνικό και ευρωπαϊκό επίπεδο, ώστε οι προσπάθειες αυτές να αποβούν επιτυχείς.

Είναι επίσης ιδιαίτερα σημαντικό να ενταχθούν σε μια σφαιρική στρατηγική συντονισμού και επομένως να αναπτυχθούν οι προσπάθειες στη διεθνή σκηνή, με όλους τους σχετικούς εμπλεκόμενους, να επεκταθούν σε άλλες περιφέρειες, χώρες ή οργανισμούς που αντιμετωπίζουν παρεμφερή θέματα και να αναπτυχθούν κοινοπραξίες για την ανταλλαγή μεθόδων και σχετικών δραστηριοτήτων, καθώς και για αποφυγή αλληλεπικαλύψεων.

Πρέπει να προωθήσουμε μια σφαιρική νοοτροπία αναφορικά με τη διαχείριση κινδύνων. Οι προσπάθειες πρέπει να εστιαστούν στην προώθηση συντονισμένων δράσεων για την αποτροπή, ανίχνευση, περιστολή και αντιμετώπιση κάθε είδους διαταραχής, φυσικής ή ανθρωπογενούς, καθώς και στη δίωξη συναφών αξιόποινων πράξεων στον κυβερνοχώρο. Σε αυτά περιλαμβάνεται η διεξαγωγή στοχευμένων δράσεων εναντίον απειλών για την ασφάλεια και κατά του ηλεκτρονικού εγκλήματος.

Προς το σκοπό αυτό, η Επιτροπή :

- θα προωθήσει αρχές και την ανθεκτικότητα και σταθερότητα του διαδικτύου - Πρέπει να αναπτυχθούν διεθνείς αρχές και την ανθεκτικότητα και σταθερότητα του διαδικτύου, από κοινού με άλλες χώρες, διεθνείς οργανισμούς και, κατά περίπτωση, με παγκόσμιας κλίμακας οργανισμούς του ιδιωτικού τομέα - με χρήση υφιστάμενων φόρουμ και διαδικασιών, όπως αυτές που αναφέρονται στην διοίκηση του διαδικτύου. Οι αρχές αυτές πρέπει να χρησιμεύσουν ως εργαλείο για όλους τους ενδιαφερόμενους κατά την πλαισίωση των δραστηριοτήτων τους, αναφορικά με την σταθερότητα και την ανθεκτικότητα του διαδικτύου. Ως βάση προς τούτο μπορούν να χρησιμεύσουν ευρωπαϊκές αρχές και κατευθύνσεις.

- θα συγκροτήσει στρατηγικές διεθνείς κοινοπραξίες - Πρέπει να συγκροτηθούν στρατηγικές κοινοπραξίες με βάση τις συνεχιζόμενες προσπάθειες σε πεδία καθοριστικής σημασίας, όπως η διαχείριση συμβάντων στον κυβερνοχώρο, συμπεριλαμβανομένων ασκήσεων και συνεργασίας μεταξύ των CERT. Εξέχουσας σημασίας είναι η συμμετοχή του ιδιωτικού τομέα που λειτουργεί σε παγκόσμια κλίμακα. Η ομάδα εργασίας ΕΕ - ΗΠΑ για την ασφάλεια και τις αξιόποινες πράξεις στον κυβερνοχώρο, που συγκροτήθηκε κατά τη διάρκεια της συνόδου κορυφής ΕΕ - ΗΠΑ το Νοέμβριο του 2010, συνιστά σημαντικό βήμα στην κατεύθυνση αυτή. Η ομάδα εργασίας θα εστιάσει τις προσπάθειές της στη διαχείριση συμβάντων στον κυβερνοχώρο, σε κοινοπραξίες δημόσιου - ιδιωτικού τομέα, στην ευαισθητοποίηση του κοινού και στο ηλεκτρονικό έγκλημα. Ενδέχεται επίσης να εξετάσει δυνατότητες παρέμβασης σε άλλες περιφέρειες ή χώρες, ιδίως κατά την αντιμετώπιση παρεμφερών θεμάτων, κατά περίπτωση, για την ανταλλαγή μεθόδων και συναφών δραστηριοτήτων και την αποφυγή αλληλεπικάλυψης προσπαθειών. Πρέπει να επιδιωχθεί η περαιτέρω επίδραση και συντονισμός σε διεθνή φόρουμ, ιδίως στην ομάδα των G8. Στην ευρωπαϊκή πλευρά, βασικοί παράγοντες επιτυχίας θα είναι ο καλός συντονισμός μεταξύ όλων των θεσμικών οργάνων της ΕΕ, των σχετικών οργανισμών (ιδίως του ENISA και της Europol) και των κρατών μελών.

- θα αναπτύξει την εμπιστοσύνη στο υπολογιστικό νέφος - Είναι σημαντικό να ενταθεί η συζήτηση γύρω από στρατηγικές βέλτιστης διακυβέρνησης όσον αφορά αναδυόμενες τεχνολογίες παγκόσμιας επίδρασης, όπως το υπολογιστικό νέφος . Στις συζητήσεις αυτές πρέπει βεβαίως μεταξύ των άλλων να συμπεριλαμβάνεται το ενδεδειγμένο πλαίσιο διακυβέρνησης όσον αφορά την προστασία δεδομένων προσωπικού χαρακτήρα. Η εμπιστοσύνη είναι κεφαλαιώδης ώστε να εξασφαλιστούν πλήρως τα οφέλη.[29]

Δεδομένου ότι η ασφάλεια αποτελεί κοινή ευθύνη του καθενός, πρέπει όλα τα κράτη μέλη να εξασφαλίσουν ότι τα εθνικά μέτρα και οι προσπάθειές τους θα συμβάλουν συλλογικά ως συντονισμένη ευρωπαϊκή προσπάθεια για την αποτροπή, την τον εντοπισμό, την περιστολή και την αντιμετώπιση κάθε είδους διαταραχών και προσβολών στον κυβερνοχώρο. Από την άποψη αυτή, τα κράτη μέλη πρέπει να αναλάβουν δέσμευση για :

- βελτίωση της ετοιμότητας της ΕΕ με τη συγκρότηση, έως το 2012, δικτύου εύρυθμων εθνικών/κυβερνητικών CERT. Παρομοίως, τα θεσμικά όργανα της ΕΕ θα έχουν επίσης έως το 2012 συγκροτήσει μια CERT στο επίπεδό τους. Όλες αυτές οι προσπάθειες αναμένεται ότι θα επωφεληθούν από τη σχετική ελάχιστη δέσμη βασικών ικανοτήτων και υπηρεσιών και τις συναφείς συστάσεις μέτρων πολιτικής που έχει συντάξει ο ENISA, που θα συνεχίσει να παρέχει τη στήριξη του στις εν λόγω πρωτοβουλίες. Η δραστηριότητα αυτή θα προωθήσει επίσης την ανάπτυξη, έως το 2013, Ευρωπαϊκού συστήματος ανταλλαγής πληροφοριών και έγκαιρης προειδοποίησης (EISAS) για το ευρύ κοινό.

- την κατάρτιση έως το 2012, ευρωπαϊκού σχεδίου έκτακτης ανάγκης για συμβάντα στον κυβερνοχώρο, καθώς και τακτικές ασκήσεις στον κυβερνοχώρο, σε πανευρωπαϊκή κλίμακα. Οι ασκήσεις στον κυβερνοχώρο είναι σημαντικό στοιχείο μιας συνεκτικής στρατηγικής σχεδιασμού έκτακτης ανάγκης και ανάκτησης όσον αφορά συμβάντα στον κυβερνοχώρο, σε εθνικό και ευρωπαϊκό επίπεδο. Οι μελλοντικές πανευρωπαϊκές ασκήσεις στον κυβερνοχώρο πρέπει να βασίζονται σε ευρωπαϊκό σχέδιο έκτακτης ανάγκης για συμβάντα στον κυβερνοχώρο, το οποίο να βασίζεται και να συνδέεται με τα εθνικά σχέδια έκτακτης ανάγκης. Ένα τέτοιο σχέδιο πρέπει να διαθέτει βασικούς μηχανισμούς και διαδικασία επικοινωνιών μεταξύ κρατών μελών και - τελευταίο αλλά όχι έσχατο - να στηρίζει το αντικείμενο και τη διοργάνωση μελλοντικών ασκήσεων σε πανευρωπαϊκή κλίμακα. Ο ENISA θα συνεργαστεί με τα κράτη μέλη ώστε μέχρι το 2012 να έχει αναπτυχθεί σχετικό ευρωπαϊκό σχέδιο έκτακτης ανάγκης για συμβάντα στον κυβερνοχώρο. Στο ίδιο χρονικό πλαίσιο πρέπει όλα τα κράτη μέλη να έχουν εκπονήσει τακτικά εθνικά σχέδια έκτακτης ανάγκης για συμβάντα στον κυβερνοχώρο, καθώς και ασκήσεις αντιμετώπισης και ανάκτησης.

- ευρωπαϊκές συντονισμένες προσπάθειες σε διεθνή φόρουμ και συζητήσεις για τη βελτίωση της ασφάλειας και της ανθεκτικότητας του διαδικτύου. Τα κράτη μέλη πρέπει να συνεργάζονται μεταξύ τους και με την Επιτροπή για την προώθηση της ανάπτυξης μιας μεθόδου βάσει αρχών ή προτύπων όσον αφορά την παγκόσμια σταθερότητα και ανθεκτικότητα του διαδικτύου. Σκοπός πρέπει να είναι η προαγωγή της πρόβλεψης και ετοιμότητας σε όλα τα επίπεδα και όλους τους ενδιαφερόμενους, αντισταθμίζοντας έτσι την τρέχουσα τάση οι συζητήσεις να εστιάζονται σε πτυχές στρατιωτικής ή/και εθνικής ασφάλειας.

Συμπέρασμα

Από την υφιστάμενη πείρα προκύπτει ότι για την αντιμετώπιση των προκλήσεων που αφορούν την ασφάλεια και την ανθεκτικότητα δεν αρκούν προσεγγίσεις σε αμιγώς εθνική ή περιφερειακή κλίμακα. Η ευρωπαϊκή συνεργασία έχει προχωρήσει σημαντικά από το 2009 σημειώνοντας ενθαρρυντικά επιτεύγματα, ιδίως την άσκηση Cyber Europe 2010. Η Ευρώπη πρέπει, ωστόσο, να συνεχίσει τις προσπάθειές της για την συγκρότηση συνεκτικής και συνεργατικής προσέγγισης σε ολόκληρη την ΕΕ. Ένας εκσυγχρονισμένος ENISA πρέπει να αναβαθμίσει την υποστήριξή του στα κράτη μέλη, τα θεσμικά όργανα της ΕΕ και στον ιδιωτικό τομέα, στο πλαίσιο της μακροχρόνιας αυτής προσπάθειας.

Για να είναι επιτυχείς, πρέπει οι ευρωπαϊκές προσπάθειες να εντάσσονται σε συντονισμένη προσέγγιση σε παγκόσμια κλίμακα. Προς τούτο, η Επιτροπή θα προωθήσει σε όλα τα κατάλληλα διεθνή φόρουμ συζητήσεις περί την ασφάλεια στον κυβερνοχώρο.

Στις 14 - 15 Απριλίου 2011 θα πραγματοποιηθεί υπουργική διάσκεψη CIIP, που διοργανώνει η ουγγρική προεδρία της ΕΕ. Τούτο θα αποτελέσει σημαντική ευχέρεια για την ενδυνάμωση των ανειλημμένων δεσμεύσεων προς την κατεύθυνση ενισχυμένης συνεργασίας και συντονισμού μεταξύ των κρατών μελών, τόσο σε ευρωπαϊκό όσο και σε διεθνές επίπεδο.

ΠΑΡΑΡΤΗΜΑ

Το σχέδιο δράσης CIIP: Λεπτομερής ανασκόπηση επιτευγμάτων και επόμενα βήματα

Τα αποτελέσματα των δραστηριοτήτων που διεξήχθησαν στο πλαίσιο του σχεδίου δράσης CIIP σε γενικές γραμμές συμβαδίζουν με τους ενδιάμεσους στόχους και το χρονοδιάγραμμα που είχε καθορίσει η Επιτροπή το 2009. Στη συνέχεια περιγράφονται τα «επιτεύγματα» και τα «επόμενα βήματα» για κάθε πυλώνα. Στο στιγμιότυπο αυτό λαμβάνεται υπόψη ότι ορισμένες δραστηριότητες έτυχαν περαιτέρω επεξεργασίας στο Ψηφιακό θεματολόγιο για την Ευρώπη και στην Στρατηγική εσωτερικής ασφάλειας της EE στην πράξη (ISS).

1. Ετοιμότητα και πρόληψη

Α Βασικές ικανότητες και υπηρεσίες για πανευρωπαϊκή συνεργασία

Επιτεύγματα

- Το 2009, ο ENISA, μαζί με τις ομάδες αντιμετώπισης έκτακτων αναγκών στην πληροφορική (CERT) στην Ευρώπη, εκπόνησαν και συμφώνησαν ελάχιστη δέσμη βασικών ικανοτήτων και υπηρεσιών που πρέπει να διαθέτουν οι εθνικές/κυβερνητικές CERT ώστε να λειτουργούν αποτελεσματικά υποστηρίζοντας την πανευρωπαϊκή συνεργασία. Επιτεύχθηκε συναίνεση σε κατάλογο απαραίτητων απαιτήσεων στα πεδία της επιχειρησιακής λειτουργίας, των τεχνικών ικανοτήτων, της εντολής και της συνεργασίας.[30]

- Το 2010, ο ENISA συνεργάστηκε με τις ομάδες CERT στην Ευρώπη για την μετατροπή των παραπάνω επιχειρησιακών απαιτήσεων σε δέσμη συστάσεων για μέτρα πολιτικής[31] ώστε εθνικές/κυβερνητικές ομάδες CERT να λειτουργήσουν ως η βασική συνιστώσα των εθνικών ικανοτήτων ετοιμότητας, ανταλλαγής πληροφοριών, συντονισμού και απόκρισης.

- Έως σήμερα, 20 κράτη μέλη[32] έχουν αναπτύξει εθνικές/κυβερνητικές CERT και σχεδόν όλα τα υπόλοιπα διαθέτουν σχέδια συγκρότησης. Όπως ανακοινώθηκε στο Ψηφιακό θεματολόγιο για την Ευρώπη και εξειδικεύτηκε περαιτέρω στην ISS, η Επιτροπή πρότεινε μέτρα ώστε, ενώ στο 2012, να έχει ιδρυθεί CERT για τα θεσμικά όργανα της ΕΕ.

Τα επόμενα βήματα

- Ο ENISA θα συνεχίσει να υποστηρίζει τα κράτη μέλη που δεν έχουν ακόμα ιδρύσει εθνικές/κυβερνητικές CERT που να ικανοποιούν τις παραπάνω αναφερόμενες συμφωνημένες βασικές απαιτήσεις, ώστε να εξασφαλιστεί η επίτευξη, έως το τέλος του 2011, του στόχου για ύπαρξη εύρυθμων εθνικών/κυβερνητικών CERT σε όλα τα κράτη μέλη. Ο ενδιάμεσος αυτός στόχος διανοίγει το δρόμο για την καθιέρωση ενός εύρυθμου δικτύου CERT σε εθνικό επίπεδο έως το 2012 , όπως προβλέπεται στο Ψηφιακό θεματολόγιο.

- Ο ENISA, με τη συνεργασία των εθνικών/κυβερνητικών CERT, θα εξετάσει εάν και πώς θα επεκτείνει τις «βασικές ικανότητες» για την προσαρμογή της ικανότητας των CERT να υποστηρίζουν τα κράτη μέλη με σκοπό την εξασφάλιση ανθεκτικότητας και σταθερότητας ζωτικών υποδομών ΤΠΕ, καθώς και για να καταστούν ο πυρήνας του Ευρωπαϊκού συστήματος ανταλλαγής πληροφοριών και έγκαιρης προειδοποίησης (EISAS) για τους πολίτες και τις ΜΜΕ, που έως το 2013 θα έχει συγκροτηθεί με εθνικούς πόρους ικανότητες, όπως ανακοινώθηκε στην ISS.

Ευρωπαϊκή εταιρική συνεργασία δημόσιου-ιδιωτικού τομέα για την ανθεκτικότητα (EP3R).

Επιτεύγματα

- Το 2009, δρομολογήθηκε η EP3R ως πλαίσιο διακυβέρνησης ευρωπαϊκής κλίμακας για την ανθεκτικότητα υποδομών ΤΠΕ, την ενδυνάμωση της συνεργασίας μεταξύ του δημόσιου και ιδιωτικού τομέα σε θέματα ασφάλειας και ανθεκτικότητας, βασικών απαιτήσεων, πρακτικής και μέτρων ορθής πολιτικής. Όπως δηλώθηκε στην ISS, η EP3R πρόκειται επίσης να « συνεργαστεί με τους διεθνείς εταίρους για την ενίσχυση της διαχείρισης των κινδύνων στα δίκτυα ΤΠ ». Ο ENISA έχει διευκολύνει τις δραστηριότητες της EP3R.

- Πραγματοποιήθηκαν διαβουλεύσεις με ενδιαφερόμενους του ιδιωτικού και του δημόσιου τομέα σχετικά με τον καθορισμό των στόχων, των αρχών και της δομής της EP3R, καθώς και για τον προσδιορισμό κινήτρων για την ενθάρρυνση ενεργού συμμετοχής των σχετικών ενδιαφερομένων.[33] Στην πρόταση για τον εκσυγχρονισμό του ENISA προσδιορίστηκαν πεδία προτεραιότητας για την EP3R.[34]

- Παράλληλα με τον καθορισμό της δομής της EP3R, στα τέλη του 2010 δρομολογήθηκαν τρεις ομάδες εργασίας, σχετικά με (α) βασικά στοιχεία, πόρους και λειτουργίες για συνεχή και ασφαλή παροχή ηλεκτρονικών επικοινωνιών διασυνοριακά, (β) βασικές απαιτήσεις για την ασφάλεια και ανθεκτικότητα των ηλεκτρονικών επικοινωνιών, (γ), ανάγκες και μηχανισμοί συντονισμού και συνεργασίας για προετοιμασία και αντιμετώπιση διαταραχών μεγάλης έκτασης που επηρεάζουν τις ηλεκτρονικές επικοινωνίες.

- Το 2010, η πρόταση της Επιτροπής για τον εκσυγχρονισμό του ENISA αποτέλεσε μακροπρόθεσμο και αειφορικό πλαίσιο για την EP3R: Προτάθηκε ότι ο ENISA θα πρέπει να «στηρίξει τη συνεργασία μεταξύ των ενδιαφερομένων του δημόσιου και του ιδιωτικού τομέα σε επίπεδο Ένωσης, μεταξύ άλλων, προωθώντας την ανταλλαγή πληροφοριών και την ευαισθητοποίηση, και διευκολύνοντας τις προσπάθειές τους για ανάπτυξη και χρήση προτύπων για τη διαχείριση κινδύνου και για την ασφάλεια των ηλεκτρονικών προϊόντων, δικτύων και υπηρεσιών» .

Τα επόμενα βήματα

- Το 2011, η EP3R θα συνεχίσει να ενισχύει τη συνεργασία μεταξύ των ενδιαφερόμενων του δημόσιου και του ιδιωτικού τομέα με σκοπό τη βελτίωση της ασφάλειας και της ανθεκτικότητας με καινοτομικά μέτρα και μέσα, καθώς και για τον προσδιορισμό των αρμοδιοτήτων των ενδιαφερομένων. Αξιοποιώντας τον καταλυτικό ρόλο και την υποστήριξη του ENISA, οι ομάδες εργασίας της EP3R θα παραγάγουν τα αρχικά τους αποτελέσματα. Οι μελλοντικές δραστηριότητες θα αφορούν επίσης προβλήματα ασφάλειας των έξυπνων δικτύων στον κυβερνοχώρο, έχοντας ως βάση τις προκαταρκτικές εργασίες της Επιτροπή και του ENISA.

- Η EP3R θα χρησιμεύσει ως πλατφόρμα παγκόσμιας παρέμβασης σε θέματα δημόσιας πολιτικής, οικονομίας και αγοράς, που είναι συναφή με την ασφάλεια και την ανθεκτικότητα. Η Επιτροπή προτίθεται να αξιοποιήσει την EP3R για στήριξη των δραστηριοτήτων της ομάδας εργασίας EΕ-ΗΠΑ σε θέματα ασφάλειας στον κυβερνοχώρο και ηλεκτρονικού εγκλήματος, με σκοπό την επίτευξη συνεκτικού περιβάλλοντος συνεργασίας μεταξύ του δημόσιου και του ιδιωτικού τομέα, με παράλληλη τήρηση των ισχυόντων κανόνων για τον ανταγωνισμό και τις κρατικές ενισχύσεις.

- Μακροπρόθεσμα, και σύμφωνα με την πρόταση για νέο κανονισμό περί ENISA, προβλέπεται η EP3R να καταστεί βασική δραστηριότητα του εκσυγχρονισμένου ENISA.

Ευρωπαϊκό φόρουμ των κρατών μελών (EFMS)

Επιτεύγματα

- Το 2009 ιδρύθηκε το Ευρωπαϊκό φόρουμ των κρατών μελών (EFMS), με σκοπό την προώθηση των διαβουλεύσεων και των ανταλλαγών όσον αφορά τις ορθές πολιτικές πρακτικές με σκοπό την από κοινού επιδίωξη πολιτικών στόχων και προτεραιοτήτων για την ασφάλεια και την ανθεκτικότητα της υποδομής των ΤΠΕ, αντλώντας επίσης άμεσα οφέλη από τις εργασίες και τη στήριξη που παρέχει ο ENISA. Το EFMS, που συνέρχεται σε τριμηνιαία βάση, υποστηρίχτηκε από τα μέσα του 2010 από αποκλειστική δικτυακή πύλη υπό τη διαχείριση του ENISA.

- Το EFMS σημείωσε σημαντική πρόοδο όσον αφορά: (α ) τον καθορισμό κριτηρίων για τον προσδιορισμό υποδομών ευρωπαϊκών ΤΠΕ στο πλαίσιο της οδηγίας σχετικά με τον προσδιορισμό και τον χαρακτηρισμό των ευρωπαϊκών υποδομών ζωτικής σημασίας[35], (β) τον προσδιορισμό ευρωπαϊκών προτεραιοτήτων, αρχών και κατευθύνσεων για την ανθεκτικότητα και σταθερότητα του διαδικτύου, (γ) την ανταλλαγή ορθών πρακτικών πολιτικής, ιδίως σε ασκήσεις στον κυβερνοχώρο.

- Τα κράτη μέλη αναγνωρίζουν το EFMS ως σημαντική πλατφόρμα για συζήτηση και ανταλλαγή ορθών πρακτικών πολιτικής.[36]

Τα επόμενα βήματα

- Το 2011, το EFMS θα οριστικοποιήσει την τεχνική συζήτηση σχετικά με τα κριτήρια ΤΠΕ σχετικά με ευρωπαϊκές υποδομές ζωτικής σημασίας, καθώς επίσης θα παράσχει τους μακροπρόθεσμους προσανατολισμούς και τις προτεραιότητες για πανευρωπαϊκές ασκήσεις μεγάλης κλίμακας σε θέματα ασφάλειας δικτύων και πληροφοριών.

- Το EFMS θα συμμετάσχει σε περαιτέρω συζητήσεις σχετικά με προτεραιότητες διεθνούς παρέμβασης σε θέματα ασφάλειας και ανθεκτικότητας, ιδίως σε σχέση με τις δραστηριότητες της ομάδας εργασίας ΕΕ-ΗΠΑ για την ασφάλεια στον κυβερνοχώρο και το ηλεκτρονικό έγκλημα.

- Στα πεδία προτεραιότητας για μελλοντικές δραστηριότητες του EFMS, που θα στηριχθούν και θα επωφεληθούν από την άμεση στήριξη του ENISA, περιλαμβάνονται[37] προσδιορισμός μεθόδων για αποτελεσματική συνεργασία μεταξύ εθνικών/κυβερνητικών CERT αξιοποίηση ελάχιστων απαιτήσεων στις δημόσιες συμβάσεις για βελτίωση της ασφάλειας στον κυβερνοχώρο, προσδιορισμός οικονομικών και ρυθμιστικών κινήτρων για ασφάλεια και ανθεκτικότητα (με τήρηση των ισχυόντων κανόνων για τον ανταγωνισμό και τις κρατικές ενισχύσεις), αξιολόγηση της «καλής κατάστασης» της ασφάλειας στον κυβερνοχώρο στην Ευρώπη.

- Α Εντοπισμός και αντιμετώπιση

Ευρωπαϊκό σύστημα συναγερμού και ανταλλαγής πληροφοριών (EISAS).

Επιτεύγματα

- Η Επιτροπή έχει χρηματοδοτήσει δύο έργα πρωτότυπων (FISHAS και NEISAS), τα οποία βρίσκονται στη διαδικασία παραγωγής των τελικών τους αποτελεσμάτων.

- Βασιζόμενος στην οικεία έκθεση εφικτότητας του 2007[38] και την ανάλυση σχετικών έργων σε εθνικό και ευρωπαϊκό επίπεδο, ο ENISA καθόρισε χάρτη πορείας υψηλού επιπέδου για την ανάπτυξη της EISAS έως το 2013.[39]

Τα επόμενα βήματα

- Το 2011, ο ENISA θα στηρίξει τα κράτη μέλη στην υλοποίηση του χάρτη πορείας της EISAS με την ανάπτυξη των «βασικών υπηρεσιών» που απαιτούνται από τα κράτη μέλη για την καθιέρωση του οικείου εθνικού συστήματος ανταλλαγής πληροφοριών και έγκαιρης προειδοποίησης (ISAS) που βασίστηκε στις ικανότητες της εθνικής/κυβερνητικής CERT.

- Το 2012, ο ENISA θα αναπτύξει τις «υπηρεσίες διαλειτουργικότητας», που παρέχουν τη δυνατότητα σε κάθε εθνική ISAS να είναι λειτουργικά πλήρως ενταγμένη στην EISAS. Ο ENISA θα υποστηρίξει επίσης τα κράτη μέλη στη δοκιμή των υπηρεσιών αυτών μέσω της σταδιακής ένταξης εθνικών συστημάτων.

- Στην πορεία του 2011-2012, ο ENISA θα αναθέσει σε εθνικές/κυβερνητικές CERT να εντάξουν τις υπηρεσίες τους ικανότητες της ISAS.

- Άμβλυνση των επιπτώσεων και αποκατάσταση

Σχεδιασμός αντιμετώπισης έκτακτης ανάγκης και ασκήσεις σε εθνική κλίμακα.

Επιτεύγματα

- Στα τέλη του 2010, δώδεκα κράτη μέλη είχαν αναπτύξει εθνικό σχέδιο έκτακτης ανάγκης ή/και οργανωμένες ασκήσεις για αντιμετώπιση και αποκατάσταση μετά από καταστροφές σε μεγάλης κλίμακας συμβάντα στην ασφάλεια δικτύων.[40]

- Αντλώντας διδάγματα από την εθνική και διεθνή πείρα, ο ENISA εκπόνησε έναν οδηγό ορθής πρακτικής για ασκήσεις εθνικής κλίμακας[41]· οργάνωσε εκδηλώσεις με κράτη μέλη και τη CERT σε όλο τον κόσμο με την ευκαιρία ασκήσεων εθνικής κλίμακας· ενώ πρόσφατα εξέδωσε συστάσεις μέτρων πολιτικής όσον αφορά την εκπόνηση εθνικών στρατηγικών όπου σε εθνικές/κυβερνητικές CERT/CSIRT αποδίδεται καίριος ρόλος στη διεύθυνση εθνικών ασκήσεων και δοκιμών σχεδιασμού έκτακτης ανάγκης, με συμμετοχή ενδιαφερόμενων από τον ιδιωτικό και τον δημόσιο τομέα.[42]

Τα επόμενα βήματα

- Ο ENISA θα συνεχίσει να υποστηρίζει τις προσπάθειες των κρατών μελών να καταρτίσουν εθνικά σχέδια έκτακτης ανάγκης και να διοργανώνουν τακτικά ασκήσεις για αντιμετώπιση και αποκατάσταση καταστροφών σε περιπτώσεις μεγάλης κλίμακας συμβάντων σε δίκτυα ασφάλειας, ως βήμα προς στενότερο πανευρωπαϊκό συντονισμό.

Πανευρωπαϊκές ασκήσεις για περιπτώσεις συμβάντων ασφάλειας μεγάλης κλίμακας.

Επιτεύγματα

- Η πρώτη πανευρωπαϊκή άσκηση για μεγάλης κλίμακας συμβάντα στην ασφάλεια δικτύων ( Cyber Europe 2010 ) πραγματοποιήθηκε στις 4 Νοεμβρίου 2010 με τη συμμετοχή όλων των κρατών μελών (19 από τα οποία συμμετείχαν ενεργά) καθώς και της Ελβετίας, της Νορβηγίας και της Ισλανδίας. Η άσκηση διοργανώθηκε και αξιολογήθηκε[43] από τον ENISA με ενεργό συμμετοχή οκτώ κρατών μελών στην ομάδα σχεδιασμού και με την τεχνολογική στήριξη του Κοινού Κέντρου Ερευνών (ΚΚΕρ).

Τα επόμενα βήματα

- Το 2011, τα κράτη μέλη θα συμμετάσχουν στην εξέταση του αντικειμένου και του πεδίου εφαρμογής της επόμενης πανευρωπαϊκής άσκησης στον κυβερνοχώρο, η οποία προγραμματίζεται για το 2012. Θα εξεταστεί η επιλογή σταδιακής προσέγγισης, με περισσότερες εις βάθος ασκήσεις, με εμπλοκή μικρότερου αριθμού κρατών μελών και τη πιθανή συμμετοχή διεθνών συντελεστών. Ο ENISA θα συνεχίσει να στηρίζει την εν λόγω διαδικασία.

- Η Επιτροπή στηρίζει οικονομικά το έργο EuroCybex που πρόκειται να διεξάγει άσκηση επί χάρτου στο δεύτερο εξάμηνο του 2011.

- Οι ασκήσεις στον κυβερνοχώρο είναι σημαντικό στοιχείο μιας συνεκτικής στρατηγικής σχεδιασμού έκτακτης ανάγκης όσον αφορά συμβάντα στον κυβερνοχώρο, σε εθνικό και ευρωπαϊκό επίπεδο. Οι μελλοντικές πανευρωπαϊκές ασκήσεις στον κυβερνοχώρο πρέπει επομένως να βασίζονται σε ευρωπαϊκό σχέδιο έκτακτης ανάγκης για συμβάντα στον κυβερνοχώρο, το οποίο να βασίζεται και να συνδέεται με τα εθνικά σχέδια έκτακτης ανάγκης. Ένα τέτοιο σχέδιο πρέπει να διαθέτει βασικούς μηχανισμούς και διαδικασία επικοινωνιών μεταξύ κρατών μελών και - τελευταίο αλλά όχι έσχατο - να στηρίζει το αντικείμενο και τη διοργάνωση μελλοντικών ασκήσεων σε πανευρωπαϊκή κλίμακα. Ο ENISA θα συνεργαστεί με τα κράτη μέλη ώστε μέχρι το 2012 να έχει αναπτυχθεί σχετικό ευρωπαϊκό σχέδιο έκτακτης ανάγκης για συμβάντα στον κυβερνοχώρο. Στο ίδιο χρονικό πλαίσιο πρέπει όλα τα κράτη μέλη να έχουν εκπονήσει τακτικά εθνικά σχέδια έκτακτης ανάγκης για συμβάντα στον κυβερνοχώρο, καθώς και ασκήσεις αντιμετώπισης και ανάκτησης. Ο απαραίτητος συντονισμός για την επίτευξη αυτού του αποτελέσματος θα διεξαχθεί από το EFMS.

Ενισχυμένη συνεργασία μεταξύ εθνικών/κυβερνητικών ομάδων CERT.

Επιτεύγματα

- η Η συνεργασία μεταξύ εθνικών/κυβερνητικών ομάδων CERT έχει ενταθεί. Οι εργασίες του ENISA σε βασικές ικανότητες για εθνικές/κυβερνητικές ομάδες CERT, ασκήσεις CERT και εθνικές ασκήσεις, καθώς και η διαχείριση συμβάντων στον κυβερνοχώρο έχουν συμβάλει στην τόνωση και στήριξη ισχυρότερης πανευρωπαϊκής συνεργασίας μεταξύ εθνικών/κυβερνητικών ομάδων CERT.

Τα επόμενα βήματα

- Ο ENISA θα συνεχίσει να στηρίζει την συνεργασία μεταξύ εθνικών/κυβερνητικών ομάδων CERT. Προς το σκοπό αυτό, το 2011, θα συντάξει ανάλυση των απαιτήσεων και θα παράσχει κατεύθυνση της σχετικά με ένα κατάλληλο κανάλι ασφαλών επικοινωνιών με τις ομάδες CERT, συμπεριλαμβανομένου χάρτη πορείας για την υλοποίηση και τη μελλοντική ανάπτυξη. Ο ENISA πρόκειται επίσης να αναλύσει τα λειτουργικά κενά σε ευρωπαϊκό επίπεδο και να υποβάλει έκθεση σχετικά με τρόπους ενίσχυσης της διασυνοριακής συνεργασίας μεταξύ ομάδων CERT και σχετικών ενδιαφερομένων, ιδίως όσον αφορά το συντονισμό της αντιμετώπισης συμβάντων.

- Το Ψηφιακό θεματολόγιο καλεί τα κράτη μέλη, έως το 2012 , να έχουν εγκαταστήσει εύρυθμα δίκτυα CERTs σε εθνικό επίπεδο.

- Διεθνής συνεργασία

Ανθεκτικότητα και σταθερότητα του διαδικτύου

Επιτεύγματα

- Στο πλαίσιο του EFMS εξετάστηκαν και αναπτύχθηκαν ευρωπαϊκές αρχές και κατευθυντήριες γραμμές για την ανθεκτικότητα και τη σταθερότητα του διαδικτύου . [44]

Τα επόμενα βήματα

- Το 2011, η Επιτροπή : θα προαγάγει και να εξετάσει τις αρχές, τόσο σε διμερή συνεργασία με διεθνείς εταίρους, ιδίως τις ΗΠΑ, όσο και σε πολυμερείς συζητήσεις στο πλαίσιο των G8, OΟΣΑ, Meridian και ITU/ΔΕΤ, θα διαβουλευθεί με σχετικούς ενδιαφερόμενους, ιδίως από τον ιδιωτικό τομέα σε ευρωπαϊκό επίπεδο (μέσω EP3R) και διεθνώς (μέσω του φόρουμ για τη διοίκηση του διαδικτύου και άλλων ενδεδειγμένων βημάτων συζήτησης), και θα προωθήσει τις συζητήσεις με βασικούς συντελεστές/οργανισμούς του διαδικτύου.

- Το 2012, οι διεθνείς εταίροι, με βάση τις αρχές και τις κατευθύνσεις, πρόκειται να σχηματίσουν κοινό πλαίσιο διεθνούς συλλογικής δέσμευσης για τη μακροπρόθεσμη ανθεκτικότητα και σταθερότητα του διαδικτύου.

Ασκήσεις σε παγκόσμια διάσταση σχετικά με την αποκατάσταση και την άμβλυνση των επιπτώσεων συμβάντων μεγάλης κλίμακας στο διαδίκτυο.

Επιτεύγματα

- Επτά κράτη μέλη[45] έλαβαν μέρος ως διεθνείς εταίροι στην άσκηση Cyber Storm III στον κυβερνοχώρο που διοργανώθηκε από τις ΗΠΑ . Η Επιτροπή και ο ENISA συμμετείχαν ως παρατηρητές.

Τα επόμενα βήματα

- Το 2011, η Επιτροπή, από κοινού με τις ΗΠΑ, θα εκπονήσουν, υπό την αιγίδα της ομάδας εργασίας ΕΕ-ΗΠΑ για την ασφάλεια στον κυβερνοχώρο και το ηλεκτρονικό έγκλημα, κοινό πρόγραμμα και χάρτη πορείας για κοινές/συγχρονισμένες διηπειρωτικές ασκήσεις στον κυβερνοχώρο, το 2012/2013. Θα εξεταστούν επίσης δυνατότητες παρέμβασης σε άλλες περιφέρειες ή χώρες που αντιμετωπίζουν παρόμοια θέματα με σκοπό την ανταλλαγή μεθόδων και συναφών δραστηριοτήτων.

- Κριτήρια για ευρωπαϊκές υποδομές ζωτικής σημασίας στον τομέα των ΤΠΕ

Τομεακά κριτήρια για προσδιορισμό ευρωπαϊκών υποδομών ζωτικής σημασίας για τον τομέα των ΤΠΕ

Επιτεύγματα

- Η τεχνική συζήτηση στο πλαίσιο του EFMS όσον αφορά τομεακά κριτήρια στις ΤΠΕ κατέληξε στην εκπόνηση σχεδίων κριτηρίων για τις σταθερές και κινητές επικοινωνίες και το διαδίκτυο.

Τα επόμενα βήματα

- Το EFMS θα συνεχίσει την τεχνική συζήτηση σχετικά με τα τομεακά κριτήρια για τις ΤΠΕ αποβλέποντας στην ολοκλήρωσή τους έως το τέλος του 2011. Παράλληλα, ορισμένα κράτη μέλη προγραμματίζουν διαβουλεύσεις με τον ιδιωτικό τομέα σχετικά με τα σχέδια κριτηρίων για τον τομέα των ΤΠΕ, ενώ σε ευρωπαϊκό επίπεδο θα διεξαχθούν διαβουλεύσεις μέσω της EP3R.

- Η Επιτροπή θα συζητήσει με τα κράτη μέλη τα τομεακά στοιχεία ΤΠΕ που θα ληφθούν υπόψη κατά την επανεξέταση, το 2012, της οδηγίας 2008/114/EΚ σχετικά με τον προσδιορισμό και τον χαρακτηρισμό των ευρωπαϊκών υποδομών ζωτικής σημασίας.

-

[1] COM(2009)149.

[2] Ψήφισμα του Συμβουλίου, της 18ης Δεκεμβρίου 2009, για μια ευρωπαϊκή συνεργατική προσέγγιση της ασφάλειας δικτύων και πληροφοριών (2009/C 321/01)

[3] COM(2010)245.

[4] Συμπεράσματα του Συμβουλίου της 31ης Μαΐου 2010 σχετικά με το ψηφιακό θεματολόγιο για την Ευρώπη (10130/10)

[5] Συμπεράσματα του Ευρωπαϊκού Συμβουλίου στις 25/26 Μαρτίου 2010 (EUCO 7/10).

[6] COM(2010) 517 τελικό

[7] COM(2010)521.

[8] COM(2010)171.

[9] COM(2010)673.

[10] SEC(2009) 399

[11] Κοινή ανακοίνωση σχετικά με εταιρική σχέση με τις χώρες της νότιας Μεσογείου για τη δημοκρατία και την κοινή ευημερία, COM(2011)200 της 08.03.2011.

[12] Δηλ. συνεχείς και συντονισμένες επιθέσεις εναντίον κυβερνητικών οργανισμών και του δημόσιου τομέα. Καθίστανται πλέον μέλημα για τον ιδιωτικό τομέα (βλ. την έκθεση «RSA 2011 cybercrime trends report»).

[13] βλ. τις εκθέσεις του έργου Information Warfare Monitor: «Tracking GhostNet: investigating a Cyber Espionage Network» (2009) και «Shadows in the Cloud: Investigating Cyber Espionage 2.0» (2010).

[14] βλ. τις ερωταποκρίσεις στην ιστοσελίδα http://europa.eu/rapid/pressReleasesAction.do?reference=MEMO/11/34&format=HTML&aged=0&language=EN&guiLanguage=fr.

[15] Π.χ. τις πρόσφατες επιθέσεις εναντίον της γαλλικής κυβέρνησης

[16] Βλ. το έργο του ΟΟΣΑ/IFP «Future Global Shocks», «Reducing systemic cyber-security risks», 14 Ιανουαρίου 2011, στην ηλε-διεύθυνση .

[17] Βλ. http://www.enisa.europa.eu/media/press-releases/stuxnet-analysis

[18] Βλ. World Economic Forum, Global Risks 2011.

[19] Στην απάντηση της κυβέρνησης του ΗΒ στην πέμπτη έκθεση της επιτροπής για την Ευρωπαϊκή Ένωση της Βουλής των Λόρδων, με θέμα το σχέδιο δράσης CIIP, αναφέρεται ότι το EFMS «υπήρξε επιτυχές και κάλυψε μια γνήσια ανάγκη ανταλλαγής εμπειριών μεταξύ των υπευθύνων χάραξης πολιτικής» .

[20] Βλ. http://www.enisa.europa.eu/act/cert/support/files/baseline-capabilities-for-national-governmental-certs.

[21] Βλ. http://www.enisa.europa.eu/act/cert/support/files/baseline-capabilities-of-national-governmental-certs-policy-recommendations.

[22] http://www.enisa.europa.eu/act/cert/other-work/eisas_folder/eisas_roadmap.

[23] Πηγή: ENISA.

[24] Βλ: http://www.enisa.europa.eu/act/res/policies/good-practices-1/exercises/national-exercise-good-practice-guide/at_download/fullReport.

[25] Βλ: http://www.enisa.europa.eu/act/cert/support/files/baseline-capabilities-of-national-governmental-certs-policy-recommendations.

[26] Βλ. http://ec.europa.eu/information_society/policy/nis/index_en.htm

[27] Με τη διαδικασία Meridian επιδιώκεται να δοθεί στις κυβερνήσεις, σε παγκόσμια κλίμακα, ένα μέσο για την εξέταση τρόπων συνεργασίας σε επίπεδο μέτρων πολιτικής και σε θέματα προστασίας υποδομών ζωτικής σημασίας (CIIP). Βλ. http://meridianprocess.org/

[28] Οδηγία 2008/114/ΕΚ του Συμβουλίου

[29] Βλ. π.χ. τις εκθέσεις του ENISA «Cloud Computing Information Assurance Framework» (2009), στην ηλε-διεύθυνση http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-information-assurance-framework/at_download/fullReport) και«Security and resilience in governmental clouds» (2011), στην ηλε-διεύθυνση http://www.enisa.europa.eu/act/rm/emerging-and-future-risk/deliverables/security-and-resilience-in-governmental-clouds/).

[30] Βλ.: http://www.enisa.europa.eu/act/cert/support/files/baseline-capabilities-for-national-governmental-certs.

[31] Βλ. .

[32] Πηγή: ENISA

[33] Βλ. http://ec.europa.eu/information_society/policy/nis/strategy/activities/ciip/impl_activities/index_en.htm

[34] COM(2010)521.

[35] Οδηγία 2008/114/EΚ του Συμβουλίου.

[36] Στην απάντηση της κυβέρνησης του ΗΒ στην πέμπτη έκθεση της επιτροπής για την Ευρώπη της Βουλής των Λόρδων σχετικά με το σχέδιο δράσης CIIP αναφέρεται ότι το EFMS «ήταν επιτυχές και ανταποκρίθηκε σε πραγματική ανάγκη των υπευθύνων χάραξης πολιτικής να τους δοθεί η δυνατότητα για ανταλλαγή εμπειρίας».

[37] COM(2010)251.

[38] Βλ.

[39] http://www.enisa.europa.eu/act/cert/other-work/eisas_folder/eisas_roadmap .

[40] Βλ.: http://www.enisa.europa.eu/act/res/policies/good-practices-1/exercises/national-exercise-good-practice-guide/at_download/fullReport.

[41] Βλ.: http://www.enisa.europa.eu/act/res/policies/good-practices-1/exercises/national-exercise-good-practice-guide/at_download/fullReport.

[42] Βλ.: http://www.enisa.europa.eu/act/cert/support/files/baseline-capabilities-of-national-governmental-certs-policy-recommendations.

[43] Βλ. http://www.enisa.europa.eu/.

[44] Βλ. http://ec.europa.eu/information_society/policy/nis/index_en.htm

[45] FR, DE, HU, IT, NL, SE και UK.