52011DC0163

[pic] | EURÓPAI BIZOTTSÁG |

Brüsszel, 2011.3.31.

COM(2011) 163 végleges

A BIZOTTSÁG KÖZLEMÉNYE AZ EURÓPAI PARLAMENTNEK, A TANÁCSNAK, AZ EURÓPAI GAZDASÁGI ÉS SZOCIÁLIS BIZOTTSÁGNAK ÉS A RÉGIÓK BIZOTTSÁGÁNAK

a kritikus informatikai infrastruktúrák védelméről„Eredmények és következő lépések: a globális kiberbiztonság felé”

A BIZOTTSÁG KÖZLEMÉNYE AZ EURÓPAI PARLAMENTNEK, A TANÁCSNAK, AZ EURÓPAI GAZDASÁGI ÉS SZOCIÁLIS BIZOTTSÁGNAK ÉS A RÉGIÓK BIZOTTSÁGÁNAK

a kritikus informatikai infrastruktúrák védelméről „Eredmények és következő lépések: a globális kiberbiztonság felé”

BEVEZETÉS

2009. március 30-án a Bizottság „Európa védelme a nagyszabású számítógépes támadások és hálózati zavarok ellen: a felkészültség, a védelem és az ellenálló képesség fokozása” címmel közleményt[1] fogadott el a kritikus informatikai infrastruktúrák védelméről, amelyben körvonalazta a létfontosságú információs és kommunikációs technológiai (IKT) infrastruktúra biztonságának és ellenálló képességének megerősítésére szolgáló tervet (CIIP cselekvési terv). A terv célja a felkészültség, biztonság és ellenálló képesség magas szintre fejlesztésének támogatása és ösztönzése nemzeti és európai szinten egyaránt. Ezt a megközelítést a Tanács 2009-ben széles körben támogatta[2].

A CIIP cselekvési terv öt pilléren nyugszik: felkészültség és megelőzés, felderítés és reagálás, hatások enyhítése és helyreállítás, nemzetközi együttműködés és az európai kritikus infrastruktúrákra vonatkozó követelmények az IKT-ágazat számára. A terv meghatározza az egyes pillérekre vonatkozóan a Bizottság, a tagállamok, illetve az ágazat által az Európai Hálózat- és Információbiztonsági Ügynökség (ENISA) támogatásával elvégzendő tevékenységet.

A 2010. májusában elfogadott európai digitális menetrend[3] és az ehhez kapcsolódó tanácsi következtetések[4] hangsúlyozták a felek egyetértését abban, hogy a bizalom és a biztonság az IKT széleskörű elterjedésének és ezáltal az Európa 2020 stratégia[5] „intelligens növekedés” dimenziójával kapcsolatos célkitűzések elérésének alapvető előfeltételei. Az európai digitális menetrend kiemeli, hogy az érdekelt feleknek mindenre kiterjedő erőfeszítésben kell összefogniuk az IKT infrastruktúrák biztonságának és ellenálló képességének biztosításához, a megelőzésre, felkészültségre és tudatosságra koncentrálva, valamint a kibertámadások és kiberbűnözés új és egyre kifinomultabb formáira reagáló eredményes és koordinált mechanizmusok kidolgozásával. Ez a megközelítés biztosítja, hogy a kihívásnak mind a megelőzési, mind a reakcióval kapcsolatos dimenzióit is megfelelően figyelembe vegyék.

Az elmúlt hónapok során a digitális menetrendben bejelentett alábbi intézkedéseket hozták meg: a Bizottság 2010 szeptemberében az információs rendszerek elleni támadásokról szóló irányelvjavaslatot[6] fogadott el. A javaslat célja a kiberbűnözés elleni küzdelem megerősítése a tagállamok büntetőjogi rendszerének közelítésével, valamint a bírósági és más illetékes hatóságok közötti együttműködés javításával. Rendelkezéseket vezet be továbbá a kibertámadások új formái, különösen a botnetek elleni fellépés terén. Ezt kiegészítendő a Bizottság ezzel egy időben egy, az Európai Hálózat- és Információbiztonsági Ügynökség (ENISA) megerősítésére és modernizálására irányuló megbízásra vonatkozó javaslatot[7] nyújtott be a bizalom erősítése és a hálózatbiztonság javítása érdekében. Az ENISA megerősítése és korszerűsítése hozzájárulna ahhoz, hogy az EU, a tagállamok és a magánszektor szereplői felkészültebben és szakszerűbben tudják megelőzni és felderíteni a kiberbiztonsággal kapcsolatos kihívásokat, és hatékonyabb válaszlépéseket adhassanak azokra.

Végül, de nem utolsósorban az európai digitális menetrend, a stockholmi program/cselekvési terv[8] és az EU belső biztonsági stratégiájának[9] (ISS) megvalósítása is kihangsúlyozza a Bizottság elkötelezettségét egy olyan digitális környezet mellett, amelyben minden európai polgár teljes mértékben kibontakoztathatja gazdasági és társadalmi lehetőségeit.

Ez a közlemény áttekinti a CIIP cselekvési terv 2009-ben történt elfogadása óta elért eredményeket. Minden tevékenység esetében leírja a következő, európai és nemzetközi szintű lépéseket. A kihívások globális dimenziójára koncentrál, kiemelve a tagállamok és a magánszféra között nemzeti, európai és nemzetközi szinten folytatott együttműködés fejlesztésének fontosságát a kölcsönös globális függőségek megfelelő kezelése érdekében.

A HELYZET ALAKULÁSA

A CIIP cselekvési tervet kísérő hatásvizsgálat[10], valamint a magán- és állami szféra érdekelt felei által készített számos elemzés és jelentés nemcsak Európa társadalmi, politikai és gazdasági IKT-függőségét hangsúlyozza, hanem a – természet vagy emberi tevékenység által okozott – fenyegetések számának, kiterjedésének, kifinomultságának és potenciális hatásainak folyamatos növekedését is.

Újszerű és technológiai szempontból kifinomultabb fenyegetések jelentek meg. A fenyegetések globális szintű geopolitikai vonatkozásai is egyre egyértelműbbé váltak. Szemünk előtt bontakozik ki az IKT politikai, gazdasági és katonai erőfölény biztosítása érdekében történő felhasználásnak tendenciája, beleértve az offenzív informatikai nyomásgyakorlás képességét is. Ebben az összefüggésben a „kiberháború” és „kiberterrorizmus” kérdése is többször felmerül.

Ahogy a közelmúlt észak-afrikai eseményei is bizonyítják, egyes országok rezsimjeinek lehetőségében áll, hogy akadályozzák vagy állampolgáraiktól önkényesen megvonják az informatikai kommunikációs szolgáltatásokhoz való hozzáférést, különös tekintettel az internetes- és mobilkommunikációra, és egyértelművé vált, hogy ezzel a lehetőséggel készek is élni. Az ilyen egyoldalú belföldi beavatkozások világ más részein is éreztethetik kedvezőtlen hatásaikat.[11]

Ahhoz, hogy jobban megértsük ezeket a különféle fenyegetéseket, célszerű a következő kategóriák szerint csoportosítani őket:

- haszonszerzés céljából elkövetett, mint például a gazdasági és politikai kémkedésre használt „irányított állandó fenyegetések”[12] (pl. a GhostNet[13]), személyazonosság-lopás, a kibocsátás-kereskedelmi rendszer[14] vagy kormányzati informatikai rendszerek[15] ellen irányuló közelmúltbeli támadások;

- a szolgáltatás megzavarására irányuló, mint például a megosztott szolgáltatás-megtagadással járó támadások, a botneteken keresztül történő kéretlen spamelés, azaz reklámlevél-küldés (pl. a 7 millió számítógépet összefogó Conficker hálózat és a spanyolországi, 12,7 millió gép fölött rendelkező Mariposa hálózat[16]), Stuxnet[17] és a kommunikációs csatornák megszakítása.

- pusztító célú. Ez a forgatókönyv még nem valósult meg, de az IKT-nek a kritikus infrastruktúrák (pl. intelligens hálózatok és vízszolgáltatási rendszerek) terén történő egyre növekvő elterjedését tekintve nem zárható ki a jövőben[18].

AZ EURÓPAI UNIÓ ÉS A GLOBÁLIS KÖRNYEZET

Az előttünk álló kihívások nem csak az Európai Uniót érintik, és azokat az EU önerőből nem tudja leküzdeni. Az IKT és az internet elterjedése hatékonyabb, eredményesebb és gazdaságosabb kommunikációt, koordinációt és együttműködést tesz lehetővé az érdekelt felek között, és az élet minden területén pezsgő innovációs ökoszisztémát hozott létre. A fenyegetések azonban a világ minden részéről származhatnak, és a rendszerek közötti globális szintű összeköttetések miatt a világ bármely részét érinthetik.

Egy tisztán európai megközelítés nem lenne elégséges az előttünk álló kihívások kezeléséhez. Bár nagyon fontos lenne következetes és együttműködésen alapuló megközelítést kialakítani az Unión belül, de azt egy, a fő partnereket (adott országokat vagy vonatkozó nemzetközi szervezeteket) bevonó globális koordinációs stratégiába kell beágyazni.

Arra kell törekednünk, hogy világszerte megértsék az IKT széles körű, a társadalom minden rétegére kiterjedő tömeges elterjedésében rejlő kockázatokat. Ezen túlmenően stratégiákat kell készíteni e kockázatok megfelelő és eredményes kezelésére, azaz a megelőzésre, védekezésre, a belőlük fakadó hatások enyhítésre és rájuk adott válaszokra. Az európai digitális menetrenddel összhangban „ a biztonsági fenyegetések hatékony mérséklése és elhárítása céljából globális szintű együttműködést kell szervezni a releváns szereplők között ” és további cél az „ együttműködés világszerte az érdekeltekkel, különösen mind a digitális, mind a fizikai tartományban jelentkező globális kockázatok kezelése terén, valamint nemzetközileg koordinált célirányos fellépések a számítógépes bűnözés és a biztonsági fenyegetések ellen ”.

AZ CIIP CSELEKVÉSI TERVÉNEK VÉGREHAJTÁSA: FőBB ELEMEK

A CIIP cselekvési terv eredményeit és következő lépéseit taglaló jelentés teljes szövege a mellékletben található. A következőkben a jelenlegi helyzetet néhány főbb elemét tárgyaljuk.

Felkészülés és megelőzés

- A tagállamok európai fóruma (EFMS) jelentős előrehaladást ért el az IKT infrastruktúrák biztonságával és ellenálló képességével kapcsolatos bevált szakpolitikai gyakorlatra vonatkozó tárgyalások és eszmecserék hatóságok közötti előmozdítása terén. Az EFMS-t fontos platformként ismerik el a bevált szakpolitikai gyakorlat és információk tagállamok közötti cseréje terén[19]. A fórum jövőbeni tevékenysége továbbra is élvezni fogja az ENISA támogatását és a nemzeti/kormányzati számítástechnikai szükséghelyzeteket kezelő csoportok (CERT-ek) közötti együttműködésre fog koncentrálni, azonosítva a biztonságra és ellenálló képességre vonatkozó gazdasági és szabályozási ösztönzőket (a megfelelő versenyjogi és állami támogatásokra vonatkozó szabályok tiszteletben tartásával), valamint foglalkozik az európai kiberbiztonsági felkészültség értékelésével, a páneurópai gyakorlatok elősegítésével, valamint a biztonsággal és ellenálló képességgel kapcsolatos nemzetközi fellépés prioritásainak megvitatásával is.

- Az európai ellenálló képesség javításáért felelős köz-magán partnerség (EP3R) az IKT infrastruktúrák ellenálló képességéért felelős, Európa egészére kiterjedő irányítási keret. Célja az állami- és magánszféra közötti együttműködés előmozdítása az EU biztonságával és ellenálló képességével kapcsolatos stratégiai szakpolitikai ügyekben. Az ENISA katalizátorszerepet játszott az EP3R tevékenységeiben, és a Bizottság 2010-ben benyújtott, az ENISA modernizálásáról szóló javaslata szerint hosszú távú és fenntartható keretet nyújtana az EP3R számára. Az EP3R a közrend nemzetközi vetületének, valamint a biztonsággal és ellenálló képességgel kapcsolatos piaci ügyeknek az előmozdítására szolgáló platformként is szolgál majd, különösen az IKT infrastruktúrák globális kockázatkezelésének megerősítése tekintetében.

- A nemzeti/kormányzati számítástechnikai szükséghelyzeteket kezelő csoportok (CERT-ek) alapvető képességeire és szolgáltatásaira vonatkozó minimumszintek [20] , valamint a kapcsolódó szakpolitikai ajánlások [21] meghatározásra kerültek annak érdekében, hogy a CERT-ek eredményesen működhessenek és a nemzeti felkészülési, információ-megosztási, koordinációs és válaszadási képesség kulcsfontosságú tényezői lehessenek. A jól működő nemzeti/kormányzati CERT-ek hálózatának az ENISA támogatásával 2012-ig történő kiépítése részben ezeken az eredményeken fog alapulni. Ez a hálózati képezi majd a polgárok és a kkv-k javát szolgáló, a nemzeti erőforrások és kapacitások alapján 2013-ig létrehozandó európai információmegosztási és figyelmeztető rendszer (EISAS) gerincét.

Észlelés és reagálás

- Az EMISA magas szintű útitervet javasolt az európai információmegosztási és figyelmeztető rendszer ( EISAS ) 2013-ig történő kidolgozására[22], amely az alapszolgáltatások nemzeti/kormányzati CERT-ek szintjén történő megvalósításán, valamint a nemzeti információs és riasztási rendszerek interoperabilitási szolgáltatásainak az EISAS rendszerébe történő integrációján alapul. E tevékenység során kulcsfontosságú a személyes adatok megfelelő védelme.

A hatások enyhítése és a helyreállítás

- Egyelőre még csak 12 tagállam tartott gyakorlatokat a nagyszabású hálózatbiztonsági incidensekre adott válasz és katasztrófaelhárítás témakörében[23]. Az ENISA a nemzeti informatikai biztonsági gyakorlatokkal kapcsolatos útmutatót [24] és a nemzeti stratégiák kidolgozására vonatkozó szakpolitikai ajánlásokat [25] adott ki a tagállam tevékenységeinek támogatása és fokozása érdekében.

- A hálózatbiztonságot veszélyeztető nagyszabású események kezelésére szolgáló első páneurópai gyakorlatot (Cyber Europe 2010) 2010. november 4-én tartották valamennyi tagállam – 19 tagállam vállalt aktívan is szerepet –, valamint Svájc, Norvégia és Izland bevonásával. A jövőbeni páneurópai kiberbiztonsági gyakorlatok előnyére szolgál egy, a nemzeti vészhelyzeti terveken alapuló és azokat összekapcsoló közös keretrendszer, amely ezáltal alapvető mechanizmusokat és eljárásokat biztosítana tagállamok közötti kommunikációhoz és együttműködéshez.

Nemzetközi együttműködés

- Az EFMS-sel összefüggésben kidolgozták és megvitatták az internet ellenálló képességével és stabilitásával kapcsolatos európai alapelveket és iránymutatásokat [26]. A Bizottság ezeket az elveket a megfelelő érdekelt felek körében, különösen a magánszférával (az EP3R-en keresztül), a kulcsfontosságú nemzetközi partnerekkel – különösen az USA-val – folytatott kétoldalú és többoldalú tárgyalások keretében meg fogja tárgyalni és elő fogja mozdítani. Ez a meglévő bizottsági hatáskörök keretében a G8, OECD, NATO (különösen a 2010 novemberében elfogadott új stratégiai koncepció és az együttműködésen alapuló kibervédelmi kiválósági központ tevékenységei alapján), az ITU (a kiberbiztonság területén végzett kapacitásfejlesztés keretében), az OSCE (a biztonsági együttműködési fórum keretében), az ASEAN, valamint a Meridian[27] stb. fórumain fog megtörténni. A cél az, hogy ezek az alapelvek és iránymutatások az internet hosszú távú ellenálló képességével és stabilitásával kapcsolatos kollektív nemzetközi kötelezettségvállalás közös keretévé váljanak.

Az európai kritikus infrastruktúrákra vonatkozó követelmények az IKT-ágazat számára

- Az EGMS keretében folyó műszaki viták eredményekképpen elkészült a kritikus európai infrastruktúra meghatározására szolgáló IKT-ágazatspecifikus kritériumok tervezete, amely a helyhez kötött és mobil kommunikációs infrastruktúrákra, valamint az internetre összpontosít. A műszaki viták folytatódnak és a követelménytervezettel kapcsolatos konzultációban (az EP3R-en keresztül) a magánszféra is képviseltetni fogja magát, nemzeti és európai szinten egyaránt. A Bizottság ezenkívül megtárgyalja a tagállamokkal az európai létfontosságú infrastruktúrák azonosításáról és kijelöléséről, valamint védelmük javítása szükségességének értékeléséről szóló irányelv[28] 2012-ben esedékes felülvizsgálata során megfontolandó, IKT-ágazatspecifikus elemeket is.

TOVÁBBI TEENDőK

A CIIP cselekvési terv végrehajtása számos eredménnyel járt, többek között annak felismerésével, hogy kooperatív, minden érdekelt fél bevonásával járó megközelítésre van szükség a hálózat- és információbiztonsághoz. Ez nagyjából összhangban áll a 2009-ben meghatározott mérföldkövekkel és ütemtervvel. Ez azonban még nem ok az elégedettségre, hiszen számos tennivaló áll még nemzeti és európai szinten előttünk ahhoz, hogy ezek az erőfeszítések valóban sikeresek legyenek.

Nagyon fontos továbbá, hogy azokat egy globális koordinációs stratégiában fogják össze és ezáltal nemzetközi szintre is kiterjesszék az erőfeszítéseket minden érdekelt fél részvételével a hasonló problémákkal szembesülő régiók, országok vagy szervezetek elérése, a megközelítések és vonatkozó tevékenységek megosztására alkalmas partnerségek kiépítése, valamint a párhuzamos erőfeszítések elkerülése érdekében.

Elő kell mozdítanunk a kockázatkezelés globális kultúráját. A hangsúlyt a természetes vagy ember által okozott zavarok minden fajtájának megelőzésére, felderítésére, hatásenyhítésére és a válaszlépések megtételére szolgáló koordinált fellépés előmozdítására, valamint a kapcsolódó kiberbűncselekmények üldözésére kell fektetni. Ez magában foglalja a biztonsági fenyegetések és számítógépes bűnözés elleni célzott fellépést.

E célból a Bizottság :

- előmozdítja az internet ellenálló képességével és stabilitásával kapcsolatos alapelvek érvényesülését – Nemzetközi alapelveket kell kidolgozni más országokkal, nemzetközi szervezetekkel és adott esetben a magánszféra globális szervezeteivel együttműködve az internet ellenálló képességére és stabilitására vonatkozóan a meglévő – például az internet szabályozásával kapcsolatos – fórumok és folyamatok felhasználásával. Ezek az alapelvek eszközként kell szolgáljanak minden érdekelt fél számára az internet ellenálló képességével és stabilitásával kapcsolatos tevékenységeik során. Ehhez európai alapelvek és iránymutatások szolgálhatnak alapul.

- nemzetközi stratégiai partnerségek épít ki – Stratégiai partnerségeket kell kiépíteni a kritikus területeken, például az informatikai biztonsági incidensek kezelése során, beleértve a gyakorlatokat és a CERT-ek közötti együttműködést is. A magánszféra világszerte történő bevonása kiemelt fontosságú. A 2010. novemberi EU-USA csúcstalálkozón létrehozott EU-USA kiberbiztonsági és kiberbűnözési munkacsoport fontos lépés ebbe az irányba. A munkacsoport a kiberbiztonsági incidenskezelésre, a köz-magán partnerségekre, a tájékoztatásra és a kiberbűnözés elleni fellépésre koncentrál. Ezen túlmenően a munkacsoport más régiók vagy országok felé is nyithat, különösen az említetthez hasonló kérdések megoldása terén, adott esetben a megközelítések és kapcsolódó tevékenységek megosztása, valamint a párhuzamos erőfeszítések elkerülése érdekében is. A nemzetközi fórumok, különösen a G8 keretében folytatni kell a további célcsoportok megszólítását és a koordinációt. Európai részről a siker fő tényezője az EU intézményei, a részt vevő ügynökségek (különösen az ENISA és az Europol), valamint a tagállamok közötti jó koordináció.

- javítja a számítási felhőbe vetett bizalmat – Alapvető fontosságú a globális hatást gyakorló fejlődő technológiákra, mint például a számítási felhőkre vonatkozó bevált szabályozási stratégiákkal kapcsolatos eszmecserék megerősítése. Ezeknek az eszmecseréknek mindenképpen ki kell térniük a személyes adatok védelmére szolgáló megfelelő szabályozási keretekre. A bizalom alapvető fontosságú az ezekben rejlő lehetőségek kiaknázásához[29].

Mivel a biztonság az érdekelt felek közös felelősségi körébe tartozik, a tagállamoknak gondoskodniuk kell arról, hogy nemzeti intézkedéseik és erőfeszítéseik együttesen hozzájáruljanak a kiberbiztonsági szolgáltatászavarok és támadások minden fajtájának megelőzésére, felderítésére, hatásenyhítésére és a válaszlépések megtételére szolgáló koordinált európai megközelítéshez. Erre vonatkozóan a tagállamoknak el kell kötelezniük magukat a következők mellett:

- az EU felkészültségének javítása a nemzeti/kormányzati CERT-ekből álló jól működő hálózat 2012-ig történő létrehozásával. Ehhez hasonlóan az EU intézményei is egy CERT-csoportot hoznak létre saját szintjükön 2012-ig. Mindezeknek az erőfeszítéseknek ki kell használniuk a kezdeményezéseket továbbra is támogató ENISA által felvázolt alapvető képességekre és szolgáltatásokra vonatkozó minimumszinteket és a kapcsolódó szakpolitikai ajánlásokat. Ez a tevékenység az európai információmegosztási és figyelmeztető rendszer (EISAS) 2013-ig a szélesebb nyilvánosság felé történő kiépítését is elősegíti.

- európai kiberincidens vészhelyzeti terv elkészítése 2012-ig és rendszeres páneurópai kiberbiztonsági gyakorlatok tartása. A kibergyakorlatok fontos alkotóelemei egy, a kiberbiztonsági incidensekkel kapcsolatos országos és európai szintű vészhelyzeti tervezésre vonatkozó koherens stratégiának. A jövőben tehát a páneurópai kibergyakorlatoknak olyan, európai szintű kiberbiztonsági vészhelyzeti terveken kell alapulniuk, amelyek a nemzeti vészhelyzeti tervekre épülnek és azokhoz kapcsolódnak. Egy ilyen tervnek ki kell terjednie a tagállamok közötti kommunikáció alapvető mechanizmusaira és eljárásaira, továbbá – nem utolsósorban – támogatnia kell a jövőbeli páneurópai gyakorlatok tervezését és szervezését. Az ENISA a tagállamokkal együtt fog munkálkodni azon, hogy ez az európai szintű kiberbiztonsági vészhelyzeti terv 2012-ig elkészüljön. Ugyanezen idő alatt minden tagállam rendszeres nemzeti vészhelyzeti terveket dolgoz ki, valamint reagálási és katasztrófa-helyreállítási gyakorlatokat szervez.

- koordinált európai álláspont képviselete a nemzetközi fórumokon és eszmecserék az internet biztonságának és ellenálló képességének javításával kapcsolatban. A tagállamoknak együtt kell működniük egymással és a Bizottsággal egy olyan, elveken vagy normákon alapuló megközelítés előmozdításán, amely az internet globális stabilitásának és ellenálló képességének javítását szolgálja. Ennek célja a megelőzés és felkészültség előmozdítása valamennyi érdekelt fél számára minden szinten, ezáltal ellensúlyozva azt, hogy az ezzel kapcsolatos eszmecserék jelenleg jobbára a katonai és/vagy nemzetbiztonsági vonatkozásokra összpontosítanak.

KÖVETKEZTETÉS

A tapasztalatok azt mutatják, hogy a tisztán nemzeti vagy regionális megközelítések nem elégségesek a biztonsággal és ellenálló képességgel kapcsolatos kihívások kezelésére. Az európai együttműködés 2009-óta jelentős fejlődésen ment keresztül és bíztató eredményeket ért el, különösen a Cyber Europe 2010 gyakorlat terén. Európának folytatnia kell erőfeszítéseit a következetes és együttműködésen alapuló uniós megközelítés kialakítása érdekében. Ebben a hosszú távú folyamatban a modernizált ENISA-nak fokoznia kell a tagállamoknak, az uniós intézményeknek és a magánszférának nyújtott támogatást.

Ahhoz, hogy sikeresek legyenek, az európai erőfeszítéseket globális szintű koordinált megközelítésbe kell ágyazni. Ennek érdekében a Bizottság minden vonatkozó nemzetközi fórumon elő fogja mozdítani a kiberbiztonsággal kapcsolatos eszmecserét.

Az EU magyar elnöksége 2011. április 14–15. között rendezi meg a CIIP miniszteri konferenciát. Ez nagyszerű lehetőséget nyújt a tagállamok közötti megerősített együttműködés és koordináció melletti elkötelezettség megerősítésére, mind európai, mind nemzetközi szinten.

MELLÉKLET

CIIP cselekvési terv: az elért eredmények és a következő lépések részletes áttekintése

A CIIP cselekvési terv keretében folytatott tevékenységek eredményei nagyjából összhangban vannak a Bizottság által 2009-ben kijelölt mérföldkövekkel és ütemezéssel. Az alábbiakban valamennyi pillért illetően ismertetjük az „eredményeket” és a „következő lépéseket”. Ez a helyzetkép annak figyelembevételével készült, hogy egyes tevékenységeket az európai digitális menetrend és az EU belső biztonsági stratégiája (ISS) tovább pontosított.

1. Felkészülés és megelőzés

Közös alapképességek és szolgáltatások az egész Európára kiterjedő együttműködés érdekében

Eredmények

- 2009-ben az ENISA – a hálózatbiztonsági vészhelyzeteket elhárító csoportok (CERT) európai hálózatával közösen – kijelölte az alapképességek és -szolgáltatások azon minimális készletét, amellyel a nemzeti/kormányzati CERT-eknek rendelkezniük kell ahhoz, hogy az egész Európára kiterjedő együttműködést sikeresen támogathassák működésükkel. Konszenzus született a működés, a műszaki képességek, a megbízatás és az együttműködés területét érintő, feltétlenül teljesítendő követelmények jegyzékéről[30].

- 2010-ben az ENISA az európai CERT-hálózattal közösen azon munkálkodott, hogy a fenti működésorientált követelményeket olyan politikai ajánlásokká[31] alakítsa, amelyek a nemzeti/kormányzati CERT-eket az egyes országok felkészülési, információmegosztási, együttműködési és válaszadási képességének kulcsszereplőivé teszik.

- Eddig húsz tagállam[32] alakított ki nemzeti/kormányzati CERT-et, és a többi tagállamnak szinte mindegyike tervezi, hogy létrehoz egyet. A digitális menetrendben tett és az ISS-ben pontosított bejelentéseknek megfelelően a Bizottság intézkedéseket javasolt egy, az Európai Unió intézményeivel foglalkozó CERT létrehozására 2012-ig.

Következő lépések

- Az ENISA továbbra is támogatni fogja azokat a tagállamokat, amelyek nem hoztak még létre a fenti alapkövetelményeknek eleget tevő nemzeti/kormányzati CERT-et, azon célkitűzés elérése érdekében, hogy 2011 végére valamennyi tagállamban legyenek jól működő nemzeti/kormányzati CERT-ek. Ez a mérföldkő elő fogja készíteni a terepet ahhoz, hogy 2012-re CERT-ek jól működő nemzeti szintű hálózata jöjjön létre, ahogy azt az európai digitális menetrend előrevetíti.

- Az ENISA – a nemzeti/kormányzati CERT-ekkel együttműködésben – meg fogja vitatni, hogy az „alapképességeket” szükséges-e bővíteni, és ha igen, miként, annak érdekében, hogy a CERT-ek alkalmassá váljanak arra, hogy a tagállamokat támogassák a létfontosságú IKT-infrastruktúra ellenálló képességének és stabilitásának biztosításában, és arra, hogy a 2013-ig nemzeti erőforrások és kapacitások igénybevételével kiépítendő európai információmegosztási és figyelmeztető rendszer gerincévé váljanak, miként ez az ISS-ben bejelentésre került.

Az ellenálló képesség javításáért felelős köz-magán partnerség (EP3R) létrehozása

Eredmények

- 2009-ben útjára indult az EP3R, vagyis az IKT-infrastruktúra ellenálló képességét szolgáló, egész Európára kiterjedő irányítási keret, amely ösztönzi a köz- és a magánszektor együttműködését a biztonsággal és az ellenálló képességgel összefüggő célok, a viszonyításként szolgáló követelmények, valamint a szakpolitikában alkalmazott helyes gyakorlati megoldások és intézkedések terén. Ahogy az ISS-ben szerepel, „ az EP3R-nek készen kell állnia arra is, hogy a nemzetközi partnerekkel együttműködésben erősítse az informatikai hálózatok globális kockázatkezelését ”. Az ENISA előmozdította az EP3R keretében végzett tevékenységeket.

- A magán- és a közszféra érdekelt feleivel konzultációra került sor az EP3R célkitűzéseinek, alapelveinek és szerkezeti felépítésének rögzítésére, valamint azon ösztönzők meghatározására, amelyekkel az érdekeltek tevékeny részvételre késztethetők[33]. Az ENISA korszerűsítésére irányuló javaslatban[34] meghatározásra kerültek az EP3R kiemelt területei.

- Az EP3R szerkezeti felépítésének rögzítésével párhuzamosan 2010 végén három munkacsoport alakult a következő témákban: a) az országok közötti elektronikus kommunikáció folyamatos és biztonságos fenntartása szempontjából kulcsfontosságú adottságok, erőforrások és funkciók; b) az elektronikus kommunikáció biztonságának és ellenálló képességének alapfeltételei; c) az elektronikus kommunikáció széles körű zavaraira való felkészülés és válaszadás összehangolási és együttműködési szükségletei és mechanizmusai.

- Az ENISA korszerűsítésére irányuló 2010. évi javaslatában a Bizottság hosszú távú és fenntartható hátteret biztosít az EP3R-nek: a javaslatban az szerepel, hogy az ENISA „ támogatja a köz- és a magánszektorbeli érdekeltek uniós szintű együttműködését, ennek érdekében egyebek mellett ösztönzi az információcserét és a tudatosságnövelő kezdeményezéseket, és segíti a kockázatkezelésre, valamint az elektronikus termékek, hálózatok és szolgáltatások biztonságára vonatkozó standardok kidolgozására és alkalmazására irányuló erőfeszítéseiket ”.

Következő lépések

- 2011-ben az EP3R még szorosabbá fogja tenni a köz- és a magánszféra érdekelt felei közötti együttműködést a biztonságnak és az ellenálló képességnek innovatív intézkedésekkel és eszközökkel való fokozása, valamint az érdekeltek felelősségi körének rögzítése érdekében. Az EP3R munkacsoportjai fel fogják mutatni első eredményeiket, az ENISA előmozdító szerepének és támogatásának hasznosításával. A további munka – a Bizottság és az ENISA folyamatban lévő előkészítő munkálatai nyomán – ki fog terjedni az intelligens hálózatok kiberbiztonsági kihívásaira is.

- Az EP3R a biztonság és az ellenálló képesség közpolitikai, gazdasági és piaci kérdéseiről való globális eszmecsere platformjául fog szolgálni. A Bizottság az EP3R munkáját hasznosítani kívánja a kiberbiztonsággal és a számítógépes bűnözéssel foglalkozó EU–USA munkacsoport tevékenységének támogatásához, annak érdekében, hogy a köz- és a magánszféra közötti együttműködéshez koherens környezetet biztosítson, a vonatkozó versenyjogi és állami támogatási szabályok betartása mellett.

- Hosszú távon – az új ENISA-rendeletre vonatkozó javaslattal összhangban – az EP3R a korszerűsített ENISA egyik kulcsfontosságú tevékenységévé válhatna.

A tagállamok európai fóruma (European Forum for Member States – EFMS)

Eredmények

- Az EFMS-t 2009-ben hozták létre annak előmozdítására, hogy az érintett hatóságok – az IKT-infrastruktúra biztonságát és ellenálló képességét érintő politikai célkitűzések és prioritások megosztása céljából, az ENISA munkájának és támogatásának közvetlen hasznosításával – a helyes politikai gyakorlatokat egymással megvitassák és megosszák. A negyedévenként összeülő EFMS munkáját 2010 közepe óta egy, az ENISA által erre a célra fenntartott honlap támogatja.

- Az EFMS jelentős előrehaladást ért el: a) az IKT- infrastruktúra azonosítására szolgáló kritériumok meghatározásában, összefüggésben az európai kritikus infrastruktúrák azonosításáról és kijelöléséről szóló irányelvvel[35]; b) az internet ellenálló képességére és stabilitására vonatkozó európai prioritások, elvek és iránymutatások azonosításában; c) a helyes politikai gyakorlatok megosztásában, különösen a kibergyakorlatokat illetően.

- Az EFMS-t a tagállamok fontos platformnak tartják a viták lebonyolításához és a helyes szakpolitikai gyakorlatok cseréjéhez[36].

Következő lépések

- 2011-ben az EFMS le fogja zárni az európai kritikus infrastruktúrákra vonatkozó IKT-ágazati kritériumok műszaki szempontú vitáját, valamint hosszú távú irányvonalakkal és prioritásokkal fog szolgálni a nagyszabású páneurópai hálózat- és információbiztonsági gyakorlatok lebonyolításához.

- Az EFMS még nagyobb szerephez jut a biztonsággal és az ellenálló képességgel kapcsolatos nemzetközi szintű prioritások megvitatásában, különösen a kiberbiztonsággal és a számítógépes bűnözéssel foglalkozó EU–USA munkacsoport tevékenységei kapcsán.

- Az EFMS – az ENISA közvetlen támogatásának hasznosításával – többek között az alábbi kiemelt területeken fog tevékenységeket folytatni[37]: módszerek kialakítása a nemzeti/kormányzati CERT-ek közötti tényleges együttműködéshez; a minimális közbeszerzési követelmények felhasználása a kiberbiztonság növelésére; a biztonság és az ellenálló képesség gazdasági és szabályozási ösztönzőinek felkutatása (a vonatkozó versenyjogi és állami támogatási szabályok betartásával); az európai kiberbiztonság „egészségi állapotának” felmérése.

- Észlelés és reagálás

Európai információmegosztási és figyelmeztető rendszer (EISAS).

Eredmények

- A Bizottság két prototípusprojektet finanszírozott (a FISHAS-t és a NEISAS-t), melyek végső eredményei mostanában várhatók.

- A 2007. évi megvalósíthatósági jelentés[38] és a vonatkozó projektek nemzeti és európai szintű elemzése nyomán az ENISA magas szintű útitervet dolgozott ki az EISAS 2013-ig történő kifejlesztéséhez[39].

Következő lépések

- 2011-ben az ENISA azzal fogja támogatni a tagállamokat az EISAS-útiterv végrehajtásában, hogy kifejleszti azokat az „alapszolgáltatásokat”, amelyekre a tagállamoknak szükségük van a saját nemzeti/kormányzati CERT-hátterükre épülő információmegosztási és figyelmeztető rendszerük (ISAS) létrehozásához.

- 2012-ben az ENISA kifejleszti azokat az „interoperabilitási szolgáltatásokat”, amelyek révén valamennyi nemzeti ISAS funkcionálisan integrálható az EISAS-ba. Az ENISA e szolgáltatásoknak a nemzeti rendszerek fokozatos integrálása keretében történő tesztelésében is támogatni fogja a tagállamokat.

- 2011–2012 folyamán az ENISA a nemzeti/kormányzati CERT-eket fel fogja szólítani arra, hogy vegyék fel a szolgáltatásaik közé az ISAS-t.

- A hatások enyhítése és a helyreállítás

Nemzeti vészhelyzeti tervek és gyakorlatok

Eredmények

- 2010 végére tizenkét tagállam dolgozott ki nemzeti vészhelyzeti tervet és/vagy szervezett gyakorlatokat a hálózatbiztonságot veszélyeztető nagyszabású eseményekre való reagáláshoz és a keletkező károk helyreállításához kapcsolódóan[40].

- Az országos és nemzetközi tapasztalatokból kiindulva az ENISA a nemzeti szintű rutingyakorlatok során követendő helyes gyakorlatokról kézikönyvet állított össze[41]; a nemzeti szintű gyakorlatokról rendezvényeket szervezett a tagállamok és a CERT-ek részvételével; és nemrégiben politikai ajánlásokat bocsátott ki olyan nemzeti stratégiák kidolgozásához, amelyekben a nemzeti/kormányzati CERT-ek, illetve CSIRT-ek kulcsfontosságú szerepet kapnak a vészhelyzeti tervezéshez kapcsolódóan nemzeti szinten – a magán- és a közszféra érdekelt feleinek bevonásával – végzendő rutingyakorlatok és próbák szervezésében[42].

Következő lépések

- Az ENISA – az egész Európára kiterjedő koordináció felé tett lépésként – továbbra is támogatni fogja a tagállamokat nemzeti vészhelyzeti terveik kidolgozásában, valamint a hálózatbiztonságot veszélyeztető nagyszabású eseményekre való reagálással és a keletkező károk helyreállításával kapcsolatos rutingyakorlatok szervezésében.

Egész Európára kiterjedő gyakorlatok a hálózatbiztonságot veszélyeztető nagyszabású események kezelésére

Eredmények

- A hálózatbiztonságot veszélyeztető nagyszabású események kezelésére szolgáló első páneurópai gyakorlatot ( Cyber Europe 2010 ) 2010. november 4-én tartották valamennyi tagállam – közülük a gyakorlaton tizenkilencen vettek részt –, valamint Svájc, Norvégia és Izland bevonásával. A gyakorlatot az ENISA szervezte és értékelte ki[43] nyolc tagállam tervezési csapatának tevékeny részvételével és a Közös Kutatóközpont (JRC) technológiai támogatásával.

Következő lépések

- 2011-ben a tagállamok meg fogják vitatni a soron következő, 2012-re tervezett, páneurópai kibergyakorlatok célját és terjedelmét. Vizsgálat tárgya lesz, hogy érdemes-e olyan, többszakaszos megközelítést alkalmazni, amelyben mélyrehatóbb gyakorlatokra kerül sor, kevesebb tagállam bevonásával és nemzetközi érdekeltek esetleges részvételével. Az ENISA továbbra is támogatni fogja ezt a folyamatot.

- A Bizottság pénzügyi támogatást nyújt az EuroCybex projekthez, melynek keretében 2011 második felében szimulációs gyakorlatra kerül sor.

- A kibergyakorlatok fontos alkotóelemei egy, a kiberbiztonsági incidensekkel kapcsolatos országos és európai szintű vészhelyzeti tervezésre vonatkozó koherens stratégiának. A jövőben tehát a páneurópai kibergyakorlatoknak olyan, európai szintű kiberbiztonsági vészhelyzeti terveken kell alapulniuk, amelyek a nemzeti vészhelyzeti tervekre épülnek és azokhoz kapcsolódnak. Egy ilyen tervnek ki kell terjednie a tagállamok közötti kommunikáció alapvető mechanizmusaira és eljárásaira, továbbá – nem utolsósorban – támogatnia kell a jövőbeli páneurópai gyakorlatok tervezését és szervezését. Az ENISA a tagállamokkal együtt azon fog dolgozni, hogy ez az európai szintű kiberbiztonsági vészhelyzeti terv 2012-ig elkészüljön. Ugyanezen idő alatt minden tagállam rendszeresen nemzeti vészhelyzeti terveket dolgoz ki, valamint reagálási és katasztrófa-helyreállítási gyakorlatokat szervez. Az ehhez szükséges koordinációt az EFMS biztosítja.

A nemzeti/kormányzati CERT-ek közötti együttműködés fokozása

Eredmények

- A nemzeti/kormányzati CERT-ek között szorosabbá vált az együttműködés. A nemzeti/kormányzati CERT-ek alapképességeivel, a CERT-gyakorlatokkal és az országos gyakorlatokkal, valamint a kiberbiztonsági incidensek kezelésével kapcsolatos tevékenysége révén az ENISA ösztönző és támogató hatással volt a nemzeti/kormányzati CERT-ek közötti páneurópai együttműködés intenzívebbé válására.

Következő lépések

- Az ENISA továbbra is támogatni fogja a nemzeti/kormányzati CERT-ek közötti együttműködést. Ennek érdekében 2011-ben követelményelemzést készít és útmutatásokat fogalmaz meg a CERT-ekkel való kommunikáció lebonyolítására alkalmas biztonságos csatorna kialakításához, beleértve a megvalósítás és a jövőbeli fejlesztés útitervét is. Az ENISA az európai szintű operatív hiányosságokat is elemezni fogja, és jelentést fog tenni arról, hogy miként erősíthető meg a CERT-ek és az érintett felek közötti, határokon átívelő együttműködés, különösen az incidensekre való reagálás koordinálásában.

- Az európai digitális menetrend felkéri a tagállamokat, hogy 2012-re CERT-ek jól működő nemzeti szintű hálózatát hozzák létre.

- Nemzetközi együttműködés

Az internet ellenálló képessége és stabilitása

Eredmények

- Az EFMS munkája nyomán kidolgozásra kerültek az internet ellenálló képességével és stabilitásával kapcsolatos európai alapelvek és iránymutatások[44].

Következő lépések

- 2011-ben a Bizottság: népszerűsíteni fogja az alapelveket, és vitára bocsátja őket mind a nemzetközi partnerekkel – különösen az Egyesült Államokkal – folytatott kétoldalú együttműködés keretében, mind a G8, az OECD, a Meridian és az ITU keretében zajló többoldalú megbeszélések alkalmával; európai szinten (az EP3R révén) és nemzetközi szinten (az Internetirányítási Fórum és más alkalmas fórumok révén) konzultációkat fog folytatni az érintett felekkel, különösen a magánszférával; továbbá megbeszéléseket fog szorgalmazni a kulcsfontosságú internetes szereplőkkel és szervezetekkel.

- 2012-ben a nemzetközi partnerek arra fognak törekedni, hogy ezek az alapelvek és iránymutatások az internet hosszú távú ellenálló képességével és stabilitásával kapcsolatos kollektív nemzetközi kötelezettségvállalás közös keretévé váljanak.

Az internetet fenyegető nagyszabású események hatásainak enyhítésére és a helyreállításra irányuló világszintű gyakorlatok

Eredmények

- Hét tagállam[45] nemzetközi partnerként részt vett a „Cyber Storm III” egyesült államokbeli kibergyakorlatban. A Bizottság és az ENISA megfigyelőkként vettek részt.

Következő lépések

- 2011-ben a Bizottság az Egyesült Államokkal együtt – a kiberbiztonsággal és a számítógépes bűnözéssel foglalkozó EU–USA munkacsoport égisze alatt – közös programot és útitervet dolgoz ki a 2012–2013-ban közösen/szinkronizáltan tartandó transzkontinentális kibergyakorlatokhoz. Ezenkívül a Bizottság megfontolja más, hasonló kérdésekkel szembesülő térségek vagy országok bevonását is, a megközelítések és a kapcsolódó tevékenységek megosztása céljából.

- Az európai kritikus infrastruktúrákra vonatkozó követelmények az IKT-ágazat számára

Ágazatspecifikus kritériumok az európai kritikus infrastruktúrák meghatározására az IKT-ágazatban

Eredmények

- Az EFMS keretében az IKT-ágazatspecifikus kritériumokról folytatott műszaki vita nyomán kidolgozásra került a vezetékes távközlésre és a mobiltávközlésre, valamint az internetre vonatkozó kritériumrendszer tervezete.

Következő lépések

- Az EFMS tovább folytatja az IKT-ágazatspecifikus kritériumok műszaki vitáját, és azt 2011 végén tervezi lezárni. Ezzel párhuzamosan egyes tagállamok szintjén és – az EP3R révén – európai szinten konzultációkat terveznek a magánszférával az IKT-ágazatra vonatkozó kritériumokról.

- A Bizottság ezenkívül megtárgyalja a tagállamokkal az európai létfontosságú infrastruktúrák azonosításáról és kijelöléséről szóló 2008/114/EK irányelv 2012. évi felülvizsgálata során megfontolandó IKT-ágazatpsecifikus elemeket is.

-

[1] COM(2009) 149.

[2] A Tanács állásfoglalása (2009. december 18.) a hálózat- és információbiztonság együttműködésre építő európai megközelítéséről (2009/C 321/01).

[3] COM(2010) 245.

[4] A Tanács 2010. május 31-i következtetései az európai digitális menetrendről (10130/10).

[5] COM(2010) 2020 és az Európai Tanács 2010. március 25–26-i következtetései (EUCO 7/10).

[6] COM(2010) 517 végleges.

[7] COM(2010) 521.

[8] COM(2010) 171.

[9] COM(2010) 673.

[10] SEC(2009) 399.

[11] Közös közlemény a dél-mediterrán térséggel a demokráciáért és közös jólétért folytatott partnerségről; COM(2011) 200., 2011.3.8.

[12] Azaz folyamatos és koordinált támadások a kormányzati szervezetek és az állami szféra ellen. Ez a jelenség már a magánszféra számára is kezd problémát jelenti (lásd az RSA által a kiberbűnözési tendenciákról 2011-ben kiadott jelentést).

[13] Lásd az Information Warfare Monitor projekt jelentéseit: Tracking GhostNet: investigating a Cyber Espionage Network” [A GhostNet felgöngyölítése: nyomozás egy informatikai kémhálózat után] (2009) és „Shadows in the Cloud: Investigating Cyber Espionage 2.0” [Árnyékok a felhőben: nyomozás az informatikai kémkedés után 2.0] (2010).

[14] Bővebben: http://europa.eu/rapid/pressReleasesAction.do?reference=MEMO/11/34&format=HTML&aged=0&language=EN&guiLanguage=fr

[15] Pl. a francia kormány ellen a közelmúltban indított támadások.

[16] Lásd a „Future Global Shocks” [Jovőbeni globális sokkhatások], „Reducing systemic cyber-security risks” [A rendszerben rejlő informatikai biztonsági kockázatok csökkentése] 2011 január 14-i OECD/IFP projektet a következő címen: http://www.oecd.org/dataoecd/3/42/46894657.pdf.

[17] Lásd: http://www.enisa.europa.eu/media/press-releases/stuxnet-analysis.

[18] Lásd: Világgazdasági Fórum, Global Risks 2011 [Globális kockázatok 2011-re vonatkozóan].

[19] A Lordok Házának az európai uniós ügyekkel foglalkozó bizottsága által a CIIP cselekvési tervről készített jelentésre adott válaszában az Egyesült Királyság kormánya megjegyzi, hogy az EFMS sikeres volt, és a politikai döntéshozóknak valóban hiánypótló alkalmat adott a tapasztalatcserére.

[20] Lásd: http://www.enisa.europa.eu/act/cert/support/files/baseline-capabilities-for-national-governmental-certs

[21] Lásd: http://www.enisa.europa.eu/act/cert/support/files/baseline-capabilities-of-national-governmental-certs-policy-recommendations

[22] http://www.enisa.europa.eu/act/cert/other-work/eisas_folder/eisas_roadmap.

[23] Forrás: ENISA.

[24] Lásd: http://www.enisa.europa.eu/act/res/policies/good-practices-1/exercises/national-exercise-good-practice-guide/at_download/fullReport.

[25] Lásd: http://www.enisa.europa.eu/act/cert/support/files/baseline-capabilities-of-national-governmental-certs-policy-recommendations.

[26] Lásd: http://ec.europa.eu/information_society/policy/nis/index_en.htm.

[27] A Meridian folyamat célja, hogy a kormányzatok számára világszerte lehetőséget nyújtson a kritikus infrastruktúrák védelmével (CIIP) kapcsolatos szakpolitikai szintű együttműködésre. Lásd: http://meridianprocess.org/.

[28] A Tanács 2008/114/EK irányelve.

[29] Lásd például az ENISA jelentéseit: „Cloud Computing Information Assurance Framework (2009)” [A számítási felhőkkel kapcsolatos információs biztosítékok keretrendszere] a http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-information-assurance-framework/at_download/fullReport) címen és „Security and resilience in governmental clouds (2011)” [Kormányzati számítási felhők biztonsága és ellenálló képessége], a http://www.enisa.europa.eu/act/rm/emerging-and-future-risk/deliverables/security-and-resilience-in-governmental-clouds/) címen.

[30] Lásd: http://www.enisa.europa.eu/act/cert/support/files/baseline-capabilities-for-national-governmental-certs

[31] Lásd: http://www.enisa.europa.eu/act/cert/support/files/baseline-capabilities-of-national-governmental-certs-policy-recommendations

[32] Forrás: ENISA.

[33] Lásd: http://ec.europa.eu/information_society/policy/nis/strategy/activities/ciip/impl_activities/index_en.htm

[34] COM(2010) 521.

[35] A Tanács 2008/114/EK irányelve.

[36] A Lordok Házának az európai uniós ügyekkel foglalkozó bizottsága által a CIIP cselekvési tervről készített jelentésre adott válaszában az Egyesült Királyság kormánya megjegyzi, hogy az EFMS sikeres volt, és a politikai döntéshozóknak valóban hiánypótló alkalmat adott a tapasztalatcserére.

[37] COM(2010) 251.

[38] Lásd: http://www.enisa.europa.eu/act/cert/other-work/files/EISAS_finalreport.pdf

[39] http://www.enisa.europa.eu/act/cert/other-work/eisas_folder/eisas_roadmap

[40] Lásd: http://www.enisa.europa.eu/act/res/policies/good-practices-1/exercises/national-exercise-good-practice-guide/at_download/fullReport

[41] Lásd: http://www.enisa.europa.eu/act/res/policies/good-practices-1/exercises/national-exercise-good-practice-guide/at_download/fullReport

[42] Lásd: http://www.enisa.europa.eu/act/cert/support/files/baseline-capabilities-of-national-governmental-certs-policy-recommendations

[43] Lásd: http://www.enisa.europa.eu/

[44] Lásd: http://ec.europa.eu/information_society/policy/nis/index_en.htm

[45] Németország, Franciaország, Olaszország, Magyarország, Hollandia, Svédország és az Egyesült Királyság.