29.12.2009   

FR

Journal officiel de l'Union européenne

C 321/1

1.

la communication de la Commission du 31 mai 2006 intitulée «Une stratégie pour une société de l'information sûre», qui propose un processus de «dialogue, partenariat et responsabilisation» associant les États membres et les parties prenantes du secteur privé;

2.

la communication de la Commission du 12 décembre 2006 sur un programme européen de protection des infrastructures critiques visant à améliorer la protection des infrastructures critiques dans l'UE et créant un cadre communautaire pour la protection des infrastructures critiques;

3.

la directive du Conseil du 8 décembre 2008 concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l’évaluation de la nécessité d’améliorer leur protection;

4.

la résolution du Conseil du 22 mars 2007 relative à une stratégie pour une société de l'information sûre en Europe;

5.

les conclusions du Conseil des 19 et 20 avril 2007 sur un programme européen de protection des infrastructures critiques;

6.

la communication de la Commission du 30 mars 2009 relative à la protection des infrastructures d'information critiques;

7.

le débat en cours, y compris la consultation publique utilement engagée sur l'avenir de l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) et son rôle dans la protection des infrastructures d'information critiques;

8.

les conclusions de la présidence sur la protection des infrastructures d'information critiques à l'occasion de la conférence ministérielle de Tallinn organisée les 27 et 28 avril 2009;

9.

les objectifs fixés à Lisbonne en matière de compétitivité et de croissance et les travaux en cours pour revoir la stratégie de Lisbonne;

10.

les mesures de sécurité proposées dans le cadre du réexamen du cadre réglementaire pour les réseaux et services de communications électroniques;

11.

dans le souci d'assurer l'efficacité d'une future politique en matière de sécurité des réseaux et de l'information, la présente résolution repose sur l'hypothèse selon laquelle aucune conclusion n'a encore été dégagée sur les modifications éventuelles qui doivent être apportées au règlement ENISA. Étant donné que l'avenir de la politique de sécurité des réseaux et de l'information est en cours d'examen à la Commission, la présente résolution ne saurait préjuger des résultats de cet examen, en ce qui concerne les modifications éventuelles du règlement ENISA, avant leur publication par la Commission;

1.

compte tenu de l'importance que revêtent les infrastructures et les services de communications électroniques en tant que base de l'activité économique et sociale, la sécurité des réseaux et de l'information contribue à la promotion de valeurs et d'objectifs importants dans la société, tels que la démocratie, le respect de la vie privé, la croissance économique, la libre circulation des idées et la stabilité économique et politique;

2.

les systèmes, infrastructures et services des technologies de l'information et de la communication, y compris Internet, jouent un rôle essentiel dans la société: leur perturbation pourrait provoquer des dommages économiques considérables, d'où l'importance de prendre des mesures pour améliorer la protection et la résilience afin d'assurer la continuité des services critiques;

3.

les incidents affectant la sécurité risquent de miner la confiance des utilisateurs. Si de graves perturbations des réseaux et des systèmes d'information peuvent avoir une incidence économique et sociale majeure, les désagréments et les problèmes quotidiens risquent également de saper la confiance du public dans la technologie, les réseaux et les services;

4.

la nature de la menace évolue et elle prend de l'ampleur, aussi est-il d'autant plus nécessaire de fournir aux utilisateurs finaux, aux entreprises et aux pouvoirs publics des infrastructures de communications électroniques solides et résilientes par défaut et d'identifier les mesures appropriées permettant d'inciter les fournisseurs à agir rapidement en ce sens;

5.

il est nécessaire de renforcer la sécurité des réseaux et de l'information et de l'intégrer dans tous les domaines d'action et dans tous les secteurs de la société; il faut également relever le défi consistant à assurer un niveau de compétences suffisant, au moyen d'actions nationales et européennes, et à mener des actions de sensibilisation auprès des utilisateurs des technologies de l'information et de la communication (TIC);

6.

l'achèvement et le fonctionnement du marché intérieur nécessiteront que les propriétaires de réseaux et les fournisseurs de services coopèrent par-delà les frontières, étant donné que d'éventuels événements perturbateurs survenant dans un État membre sont susceptibles de toucher également d'autres États membres et l'ensemble de l'UE;

7.

les nouveaux schémas d'utilisation, tels que l'informatique dans les nuages et les logiciels fournis sous forme de service, accentuent encore l'importance de la sécurité des réseaux et de l'information;

8.

la sécurité des réseaux et de l'information sert l'objectif, partagé par toutes les parties dans tous les secteurs de la société, de pouvoir avoir confiance dans les systèmes d'information, aussi une approche intersectorielle et transfrontière est-elle nécessaire;

9.

l'utilisation croissante des TIC dans la société fait de la sécurité des réseaux et de l'information un préalable à la fourniture fiable, sûre et sécurisée de services publics comme l'administration en ligne;

10.

l'ENISA peut tirer parti du rôle important qu'elle joue déjà dans le domaine de la sécurité des réseaux et de l'information;

1.

un niveau élevé de sécurité des réseaux et de l'information dans l'UE est nécessaire pour favoriser:

2.

compte tenu de l'importance cruciale que revêt le secteur des TIC pour la plupart des secteurs de la société, la sécurité des réseaux et de l'information relève de la responsabilité commune de toutes les parties prenantes, y compris les opérateurs, les fournisseurs de services, les fournisseurs de matériel et de logiciels, les utilisateurs finaux, les organismes publics et les gouvernements nationaux;

1.

de l'importance que revêt une communauté européenne de la sécurité des réseaux et de l'information qui soit active et bien informée et contribue à une collaboration accrue entre les États membres et le secteur privé;

2.

des avantages d'une utilisation harmonisée, le cas échéant, des normes de sécurité internationales dans l'ensemble de l'UE aux fins de la sécurité des réseaux et de l'information;

3.

de la nécessité d'adopter une approche européenne concertée sur la scène internationale en matière de sécurité des réseaux et de l'information, cette dernière constituant un enjeu planétaire;

4.

de l'importance pour les États membres et les institutions de l'UE de disposer de données statistiques fiables sur l'état de la sécurité des réseaux et de l'information en Europe;

5.

de la nécessité de sensibiliser davantage toutes les parties prenantes à la gestion du risque et de leur fournir des outils à cette fin;

6.

qu'il importe que les États membres intensifient leurs efforts en matière de sensibilisation, d'échange de bonnes pratiques et d'élaboration d'orientations à l'intention des États membres;

7.

de l'importance de modèles multipartites, tels que les partenariats public-privé (PPP), fondés sur un modèle ascendant et à long terme, afin d'atténuer les risques identifiés, lorsqu'une telle approche apporte une valeur ajoutée pour contribuer à garantir un niveau élevé de résilience des réseaux;

8.

du rôle essentiel que jouent les fournisseurs dans la fourniture à la société d'infrastructures de communications électroniques solides et résilientes;

9.

de l'utilité d'organiser des exercices en Europe dans le domaine de la sécurité des réseaux et de l'information, qui peuvent apporter des enseignements précieux pour les opérateurs de réseaux et les fournisseurs de services, ainsi que pour les pouvoirs publics;

10.

que les équipes nationales ou gouvernementales d'intervention en cas d'urgence informatique ou d'autres mécanismes d'intervention réagissant aux menaces et palliant les vulnérabilités peuvent contribuer à un niveau élevé de résilience et à la capacité de résister et de remédier aux perturbations des réseaux et des systèmes d'information;

11.

qu'il est important d'étudier les effets, les risques et les perspectives stratégiques de la création d'équipes d'intervention en cas d'urgence informatique pour les institutions de l'UE et de réfléchir au futur rôle éventuel de l'ENISA dans ce domaine;

12.

des travaux réalisés jusqu'à présent par l'ENISA dans le domaine de la sécurité des réseaux et de l'information et de la nécessité de continuer à développer cette agence pour en faire un organisme efficace apportant des avantages clairs dans le domaine de la sécurité des réseaux et de l'information;

1.

qu'une stratégie européenne renforcée et globale en matière de sécurité des réseaux et de l'information, avec des rôles clairement définis pour la Commission européenne, les États membres et l'ENISA, revêt une importance fondamentale pour relever les défis actuels et futurs;

2.

qu'après une consultation et une analyse appropriées, il convient d'envisager, dans le cadre du processus législatif, la modernisation et le renforcement de l'ENISA en lui donnant un mandat qui autorise une certaine souplesse et permette aux États membres et à la Commission d'exercer une surveillance et aux représentants des parties prenantes du secteur privé de jouer un rôle efficace. Ce mandat devrait tenir compte du cadre réglementaire pour les réseaux et services de communications électroniques, être conforme aux ambitions définies dans le programme de Lisbonne et comprendre des objectifs liés à la recherche, à l'innovation, à la compétitivité, à la croissance économique et à l'instauration de la confiance;

3.

que l'ENISA pourrait soutenir les rôles d'élaboration et de mise en œuvre des politiques exercés par la Commission et les États membres, notamment en comblant le fossé entre technologie et politiques, et devrait travailler en étroite coopération avec les États membres et les autres parties prenantes afin de veiller à ce que ses activités concordent avec les priorités de l'UE;

4.

que l'ENISA, dans le cadre d'un mandat révisé, devrait servir de centre d'expertise de l'UE pour les questions de sécurité des réseaux et de l'information liées à l'UE. En cette qualité, son avis devrait être sollicité et pleinement pris en compte par les institutions européennes lors de l'élaboration et de la mise en œuvre de politiques ayant une incidence potentielle dans ce domaine;

5.

que l'ENISA pourrait également, à leur demande, aider les États membres à améliorer leur propres moyens en matière de sécurité des réseaux et de l'information et leur capacité à parer aux incidents affectant la sécurité;

1.

poursuivre les travaux visant à renforcer la confiance des utilisateurs finaux dans les TIC par des campagnes de sensibilisation;

2.

organiser des exercices nationaux et/ou participer à des exercices européens périodiques dans le domaine de la sécurité des réseaux et de l'information, en tenant compte de la nécessité d'une planification détaillée liée à la complexité du domaine et à la participation du secteur privé. L'ENISA pourrait, à leur demande, aider les États membres à cette fin. L'ampleur et la dimension géographique des exercices devraient évoluer naturellement dans le temps et reposer sur les risques reconnus;

3.

créer des équipes d'intervention en cas d'urgence informatique dans les États membres qui n'ont pas encore mis en place une telle capacité et renforcer la coopération entre ces équipes à un niveau européen. L'ENISA pourrait aider les États membres à cette fin;

4.

intensifier les efforts consacrés aux programmes d'éducation, de formation et de recherche en matière de sécurité des réseaux et de l'information afin de garantir la disponibilité au sein de l'UE des compétences techniques et des experts nécessaires et d'accroître le professionnalisme de ces derniers dans ce domaine;

5.

réagir de concert en cas d'incident transfrontière et renforcer leur capacité à le faire de manière appropriée, ce qui requiert un renforcement du dialogue entre les décideurs concernés, en particulier sur les questions de confidentialité;

1.

apporter, le cas échéant, un soutien aux États membres dans la mise en œuvre de la présente résolution;

2.

informer régulièrement le Parlement européen et le Conseil des initiatives prises au niveau de l'UE dans le domaine de la sécurité des réseaux et de l'information;

3.

en collaboration avec l'ENISA, lancer une campagne visant à sensibiliser le public européen et les acteurs privés à l'importance d'une gestion du risque appropriée dans le domaine de la sécurité des réseaux et de l'information;

4.

continuer, en collaboration avec les États membres, à recenser les mesures susceptibles d'inciter les fournisseurs d'infrastructures de communications électroniques à offrir des infrastructures solides et résilientes aux utilisateurs finaux, aux entreprises et aux pouvoirs publics;

5.

en collaboration avec les États membres, mettre au point des méthodes permettant une évaluation comparative au niveau de l'UE de l'impact socio-économique des incidents et de l'efficacité des mesures préventives;

6.

encourager et améliorer les modèles multipartites, qui doivent apporter une valeur ajoutée manifeste pour les utilisateurs finaux et les entreprises;

7.

présenter une stratégie globale en matière de sécurité des réseaux et de l'information (1), comprenant des propositions relatives à un mandat renforcé et souple pour l'ENISA et prévoyant une surveillance accrue des États membres et de la Commission;

8.

réaliser une analyse, en collaboration avec les États membres, sur les équipes d'intervention en cas d'urgence informatique, afin de recenser les domaines dans lesquels une plus ample coopération est nécessaire;

9.

poursuivre l'examen concernant la mise au point d'une approche commune ou interopérable pour les institutions de l'UE en ce qui concerne l'achat de systèmes et de services TIC sécurisés;

1.

continuer d'apporter un soutien actif aux États membres, à la Commission européenne et aux autres parties prenantes concernées dans la mise en œuvre des politiques européennes en matière de sécurité des réseaux et de l'information et du plan d'action pour la protection des infrastructures d'information critiques;

2.

travailler en collaboration avec les États membres, la Commission et les organismes statistiques en vue de la mise au point d'un cadre de données statistiques sur l'état de la sécurité des réseaux et de l'information en Europe;

1.

intensifier leurs efforts pour renforcer le niveau de sécurité des réseaux et de l'information, notamment en ce qui concerne l'offre de produits et services fiables, dignes de confiance et faciles à utiliser;

2.

informer les utilisateurs de manière adéquate des risques en matière de sécurité liés aux produits et services et des moyens de s'en protéger;

3.

prendre toutes les mesures techniques et organisationnelles appropriées pour garantir la continuité, l'intégrité et la confidentialité des réseaux et services de communications électroniques;

4.

poursuivre les travaux de normalisation dans le domaine de la sécurité des réseaux et de l'information afin d'essayer de trouver des solutions harmonisées et interopérables;

5.

participer avec les États membres à des exercices afin de pouvoir réagir de manière appropriée aux urgences.