31995H0144

RECOMENDACIÓN DEL CONSEJO de 7 de abril de 1995 relativa a los criterios comunes de evaluación de la seguridad en las tecnologías de la información (95/144/CE)

EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado constitutivo de la Comunidad Europea y, en particular, su artículo 235,

Vista la propuesta de la Comisión,

Visto el dictamen del Parlamento Europeo (1),

Visto el dictamen del Comité Económico y Social (2),

Considerando que, mediante el establecimiento de un mercado común y la aproximación progresiva de las políticas económicas de los Estados miembros, el objetivo de la Comunidad es promover en toda la Comunidad un desarrollo armonioso de la actividad económica, una expansión continua y equilibrada, una mayor estabilidad, un aumento acelerado del nivel de vida y unas relaciones más estrechas entre los Estados miembros;

Considerando que la información almacenada, tratada y transmitida electrónicamente desempeña un papel cada vez más importante en las actividades sociales y económicas;

Considerando que la eficacia de unas comunicaciones globales y la utilización generalizada de la información electrónica subrayan la necesidad de contar con una protección adecuada;

Considerando que, en sus deliberaciones y resoluciones, el Parlamento Europeo ha subrayado repetidamente la importancia de la seguridad de los sistemas de información;

Considerando que el Comité Económico y Social ha subrayado la necesidad de plantear los asuntos relacionados con la seguridad de la información en el marco de las actividades de la Comunidad, en particular dadas las repercusiones de la realización del mercado interior;

Considerando que la Comisión ha propuesto medidas en el campo de la protección de datos y de la seguridad de los sistemas de información (3);

Considerando que la complejidad de la seguridad de los sistemas de información exige la elaboración de estrategias que permitan la libre circulación de información en el mercado interior al tiempo que garantizan la seguridad de dichos sistemas en toda la Comunidad;

Considerando que la presente Recomendación no afecta a las disposiciones de los Estados miembros en materia de seguridad pública y orden público;

Considerando que la responsabilidad de los Estados miembros en este campo implica un enfoque concertado, basado en una estrecha colaboración con altos funcionarios de los Estados miembros;

Considerando que los criterios comunes de evaluación de la seguridad de la tecnología de la información constituyen una base fundamental para el reconocimiento mutuo de certificados a escala internacional;

Considerando que las actividades llevadas a cabo a nivel nacional, internacional y comunitario proporcionan una buena base para una armonización a escala comunitaria y para la celebración de acuerdos internacionales;

Considerando que se ha consultado al sector interesado; que el Grupo de altos funcionarios sobre seguridad en los sistemas de información (SOG-IS) ha recomendado el uso de criterios comunes de evaluación de la seguridad de la tecnología de la información;

Considerando que tales criterios son necesarios para establecer un mercado único de productos en el ámbito de las tecnologías de la información cuya seguridad está garantizada; que, por otra parte, dichos criterios permiten realizar economías de escala;

Considerando asimismo que la utilización de criterios comunes es una condición previa necesaria para la obtención de aplicaciones y servicios transeuropeos cuya seguridad está garantizada;

Considerando que dichos objetivos no podrían alcanzarse si existieran criterios diferentes en cada Estado miembro y en cada sector económico;

Considerando que la elaboración de criterios adicionales daría lugar a múltiples acciones bilaterales entre los Estados miembros y produciría retrasos excesivos y procedimientos complejos, incluidas numerosas negociaciones individuales, que podrían evitarse mediante una acción coordinada a escala comunitaria,

RECOMIENDA:

1) aplicar, por un período inicial de dos años, los criterios de evaluación de la seguridad en las tecnologías de la información (ITSEC) (1) en los sistemas de evaluación y certificación, para satisfacer las necesidades inmediatas de evaluación y certificación relacionadas con el comercio y la utilización de productos, sistemas y servicios vinculados con las tecnologías de la información;

2) progresar en la armonización y normalización internacionales de los criterios de evaluación de la seguridad en las tecnologías de la información, bajo los auspicios del Grupo de altos funcionarios sobre seguridad en los sistemas de información (SOG-IS);

3) negociar, por parte de los Estados miembros o las instancias que éstos designen, durante dicho período inicial o, en caso necesario, hasta que se decida la armonización y normalización internacionales, el reconocimiento mutuo bilateral y, a ser posible, europeo o internacional, de las certificaciones de evaluación de la seguridad;

4) analizar la situación una vez transcurrido el mencionado período inicial y proponer las medidas adecuadas, previo dictamen del Grupo SOG-IS, a la luz de la experiencia adquirida y de los resultados de la armonización internacional.

Hecho en Luxemburgo, el 7 de abril de 1995.

Por el Consejo El Presidente J. ROSSI