52009DC0149

[pic] | EIROPAS KOPIENU KOMISIJA |

Briselē, 30.3.2009

COM(2009) 149 galīgā redakcija

KOMISIJAS PAZIŅOJUMS EIROPAS PARLAMENTAM, PADOMEI, EIROPAS EKONOMIKAS UN SOCIĀLO LIETU KOMITEJAI UN REĢIONU KOMITEJAI par informācijas kritiskās infrastruktūras aizsardzību

"Eiropas aizsardzība pret liela mēroga kiberuzbrukumiem un infrastruktūru darbības pārrāvumiem — gatavības, drošības un elastīguma uzlabošana" {SEC(2009) 399} {SEC(2009) 400}

(IESNIEGUSI KOMISIJA)

KOMISIJAS PAZIŅOJUMS EIROPAS PARLAMENTAM, PADOMEI, EIROPAS EKONOMIKAS UN SOCIĀLO LIETU KOMITEJAI UN REĢIONU KOMITEJAI

par informācijas kritiskās infrastruktūras aizsardzību "Eiropas aizsardzība pret liela mēroga kiberuzbrukumiem un infrastruktūru darbības pārrāvumiem — gatavības, drošības un elastīguma uzlabošana"

1. IEVADS

Informācijas un sakaru tehnoloģijas (IST) aizvien plašāk tiek izmantotas ikdienas dzīvē. Dažas no šīm IST sistēmām, pakalpojumiem, tīkliem un infrastruktūrām (kopumā — IST infrastruktūras) ir vitāli svarīga Eiropas tautsaimniecības un sabiedrības daļa, kas vai nu nodrošina pirmās nepieciešamības preces un pakalpojumus, vai veido citu kritisko infrastruktūru pamatplatformu. Šīs infrastruktūras parasti uzskata par informācijas kritiskajām infrastruktūrām (IKI)[1], jo to darbības pārrāvumi vai iznīcināšana nopietni ietekmētu sociālās pamatfunkcijas. Nesenākie gadījumi ir pret Igauniju vērstie liela mēroga kiberuzbrukumi 2007. gadā un transkontinentālo kabeļu pārrāvumi 2008. gadā.

Pasaules ekonomikas forumā 2008. gadā tika prognozēta 10 līdz 20 % liela iespējamība, ka turpmāko 10 gadu laikā varētu notikt liels IKI darbības pārrāvums, kura iespējamā ietekme uz pasaules ekonomiku būtu aptuveni 250 miljardi USD[2].

Šajā paziņojumā galvenā uzmanība pievērsta profilaksei, gatavībai un informētībai un noteikts tūlītējas rīcības plāns, kura mērķis ir pastiprināt IKI drošību un elastīgumu. Šī ievirze atbilst debatēm, kas uzsāktas pēc Padomes un Eiropas Parlamenta pieprasījuma un kurās tiek izskatīti tīklu un informācijas drošības (TID) politikas risināmie jautājumi un prioritātes un vispiemērotākie līdzekļi, kas vajadzīgi, lai tām pievērstos ES mērogā. Ierosinātā rīcība arī papildina pasākumus, kas paredzēti, lai novērstu un apkarotu pret IKI vērstas noziedzīgas un teroristiskas darbības un lai ierosinātu lietas par tādām darbībām, un saskan ar pašreizējo un gaidāmo ES pētniecības darbu tīklu un informācijas drošības jomā, kā arī ar starptautiskām iniciatīvām šajos jautājumos.

2. POLITIKAS KONTEKSTS

Šajā paziņojumā pilnveidota Eiropas politika informācijas sabiedrības drošības un uzticamības nostiprināšanai. Jau 2005. gadā Komisija[3] uzsvēra steidzamo nepieciešamību saskaņot centienus, kuru mērķis ir veidot iesaistīto aprindu uzticēšanos elektroniskajiem sakariem un pakalpojumiem un paļāvību uz tiem. Šādam nolūkam 2006. gadā tika izstrādāta drošas informācijas sabiedrības stratēģija[4]. Tās galvenie elementi, tostarp IST infrastruktūru drošība un elastīgums, tika ietverti Padomes Rezolūcijā 2007/068/01. Tomēr nešķiet, ka iesaistītās aprindas šo stratēģiju atzinušas un īsteno pietiekami plaši. Ar šo stratēģiju arī nostiprināta Eiropas Tīklu un informācijas drošības aģentūras ( ENISA ) nozīme taktiskā un operatīvā līmenī. ENISA dibināta 2004. gadā, lai palīdzētu īstenot mērķi nodrošināt Kopienā augsta līmeņa efektīvu tīklu un informācijas drošību un veidot tīklu un informācijas drošības kultūru, kas būtu ieguvums ES iedzīvotājiem, patērētājiem, uzņēmumiem un iestādēm.

ENISA pilnvaru termiņš 2008. gadā à l’identique tika pagarināts līdz 2012. gada martam[5]. Tajā pašā laikā Padome un Eiropas Parlaments aicināja " turpināt diskusiju par ENISA nākotni un par vispārējo virzienu, kādā jāvērš centieni Eiropā uzlabot tīklu un informācijas drošību " . Lai atbalstītu šo diskusiju, Komisija pagājušā gada novembrī uzsāka sabiedrisku apspriešanu tiešsaistē[6], kuras rezultātu analīze drīz būs pieejama.

Šajā paziņojumā ieplānotās darbības veic atbilstīgi un paralēli Eiropas programmai kritisko infrastruktūru aizsardzībai (EPKIA)[7]. EPKIA pamatelements ir Direktīva[8] par to, lai apzinātu un noteiktu Eiropas Kritiskās infrastruktūras,[9] kurā IST sektors izvirzīts kā turpmākais prioritārais sektors. Cits svarīgs EPKIA elements ir Kritiskās infrastruktūras brīdinājuma informācijas tīkls (KIBIT)[10].

Runājot par regulējumu, Komisijas priekšlikumā reformēt reglamentējošos noteikumus attiecībā uz elektronisko sakaru tīkliem un pakalpojumiem[11] ietverti jauni noteikumi par drošību un integritāti, it sevišķi nostiprinot operatoru pienākumu veikt attiecīgus pasākumus, lai reaģētu uz novērtēto risku, garantētu pakalpojumu sniegšanas nepārtrauktību un ziņotu par drošības pārkāpumiem[12]. Šī pieeja ļauj sekmīgāk īstenot vispārējo mērķi — uzlabot IKI drošību un elastīgumu. Eiropas Parlaments un Padome vispārīgi atbalsta šos noteikumus.

Šajā paziņojumā ierosinātā rīcība papildina pašreizējos un gaidāmos pasākumus policijas un tiesu iestāžu sadarbības jomā, kuru mērķis ir novērst un apkarot pret IST infrastruktūrām vērstas noziedzīgas un teroristiskas darbības un ierosinātu lietas par tādām darbībām, kā cita starpā paredzēts Padomes Pamatlēmumā par uzbrukumiem informācijas sistēmām[13] un tā plānotajā atjauninājumā[14].

Šajā iniciatīvā ņemta vērā NATO darbība kiberaizsardzības kopējās politikas jomā, t.i., Kiberaizsardzības vadības iestādes un Kiberaizsardzības izcilības centra darbība.

Visbeidzot, pienācīgi ņemtas vērā starptautiskās politikas tendences, it sevišķi G8 principi informācijas kritisko infrastruktūru aizsardzībai[15]; ANO Ģenerālās asamblejas Rezolūcija 58/199 Kiberdrošības globālas kultūras izveide un informācijas kritisko infrastruktūru aizsardzība un nesenais ESAO Ieteikums par informācijas kritisko infrastruktūru aizsardzību.

3. KAS LIKTS UZ SPēLES?

3.1. Informācijas kritiskās infrastruktūras ir vitāli svarīgas ES ekonomikas un sociālajai izaugsmei

IST sektora un IST infrastruktūru nozīmīgums tautsaimniecībā un sabiedrības dzīvē ir uzsvērts nesenajos ziņojumos par inovāciju un ekonomikas izaugsmi. To vidū ir Paziņojums par i2010 termiņa vidusposma pārskatu[16], Aho grupas ziņojums[17] un Eiropas Savienības ikgadējie ziņojumi par ekonomiku[18]. ESAO uzsver IST un interneta nozīmīgumu, " veicinot ekonomikas attīstību un sociālo labklājību un nostiprinot sabiedrību spēju uzlabot cilvēku dzīves kvalitāti visā pasaulē "[19]. Turklāt tā iesaka īstenot politiku, kas veicina uzticību interneta infrastruktūrai.

IST sektors ir vitāli svarīgs visās sabiedrības dzīves jomās. Uzņēmējdarbība ir atkarīga no IST sektora gan tiešās pārdošanas, gan iekšējo procesu efektivitātes ziņā. IST ir inovācijas procesa būtiska sastāvdaļa un nodrošina ražīguma pieaugumu gandrīz par 40 %[20]. IST aizvien plašāk tiek ieviestas valdību un valsts iestāžu darbībā: e-pārvaldes pakalpojumu ieviešana visos līmeņos, kā arī jaunas lietotnes, piemēram, novatoriski risinājumi saistībā ar veselības aizsardzību, enerģētiku un līdzdalību politikā, padara publisko sektoru īpaši atkarīgu no IST. Visbeidzot, bet ne mazāk svarīgi ir arī tas, ka iedzīvotāji aizvien vairāk paļaujas uz IST un izmanto tās ikdienā; informācijas kritiskās infrastruktūras drošības uzlabošana palielinātu iedzīvotāju uzticēšanos IST, un nebūt ne maza nozīme tajā ir personas datu un privātuma labākai aizsardzībai.

3.2. Informācijas kritisko infrastruktūru apdraudējumi

Riski, kas saistīti ar personu uzbrukumiem, dabas katastrofām vai tehniskām kļūmēm, bieži vien netiek pilnībā izprasti un/vai pietiekami analizēti. Tā rezultātā iesaistītās aprindas nav pietiekami informētas, lai tās spētu izvēlēties efektīvus aizsardzības līdzekļus un pretpasākumus.

Kiberuzbrukumu sarežģītība sasniegusi vēl nepieredzētu pakāpi. Vienkāršus eksperimentus tagad aizstāj rūpīgi izstrādātas darbības, ko veic peļņas gūšanai vai politisku iemeslu dēļ. Nesen notikušie vērienīgie kiberuzbrukumi Igaunijai, Lietuvai un Gruzijai ir visplašāko atbalsi guvušie notikumi, kas liecina par vispārējo tendenci. Milzīgais daudzums vīrusu, tārpu un cita veida ļaunprātīgu programmatūru, robottīklu aizvien plašākā izplatība un nepārtraukti augošais surogātpasta apjoms tikai apliecina problēmas nopietnību[21].

Ievērojamā atkarība no informācijas kritiskajām infrastruktūrām, to pārrobežu starpsavienojamība un infrastruktūru savstarpējā atkarība, kā arī to vājās vietas un tās apdraudošie riski vairo nepieciešamību sistēmiskā perspektīvā risināt to drošības un elastīguma jautājumus, priekšplānā izvirzot aizsardzību pret atteicēm un uzbrukumiem.

3.3. Informācijas kritisko infrastruktūru drošība un elastīgums veicina uzticēšanos informācijas sabiedrībai

Lai nodrošinātu to, ka IST infrastruktūras tiek izmantotas vislielākajā apmērā, tādējādi pilnībā īstenojot informācijas sabiedrības ekonomiskās un sociālās iespējas, visām ieinteresētajām aprindām vajadzīga liela uzticēšanās šīm infrastruktūrām un paļāvība uz tām. Tā atkarīga no dažādiem elementiem, bet vissvarīgākais ir nodrošināt augsta līmeņa drošību un elastīgumu. Dažādu komponentu daudzveidība, atvērtība, sadarbspēja, izmantojamība, pārredzamība, uzskaitāmība un pārbaudāmība, kā arī konkurence ir galvenie drošības paaugstināšanas virzītājspēki un veicina tādu produktu, procesu un pakalpojumu ieviešanu, ar kuru palīdzību ir iespējams uzlabot drošību. Kā Komisija ir jau norādījusi[22], šī ir dalīta atbildība — nevienai ieinteresētajai personai atsevišķi nav līdzekļu, lai nodrošinātu visu IST infrastruktūru drošību un elastīgumu un uzņemtos visus ar to saistītos pienākumus.

Uzņemoties šādu atbildību, nepieciešama riska vadības pieeja un kultūra, kas ļautu reaģēt uz jau zināmo apdraudējumu un gatavoties nezināmajam nākotnē, tomēr nepārspīlējot un neaizkavējot novatorisku pakalpojumu un lietotņu rašanos.

3.4. Eiropā risināmie jautājumi

Turklāt un papildus visiem pasākumiem, kas veicami, īstenojot Direktīvu par to, lai apzinātu un noteiktu Eiropas kritiskās infrastruktūras, it sevišķi apzinot IST sektoram specifiskus kritērijus, IKI drošības un elastīguma uzlabošanai ir jārisina vairāki plašāki jautājumi.

3.4.1. Nevienāda un nesaskaņota pieeja dalībvalstīs

Lai gan risināmajiem jautājumiem un uzdevumiem ir līdzīgas iezīmes, tomēr pasākumi un metodes IKI drošības un elastīguma nodrošināšanai, kā arī pieredzes un gatavības līmenis dalībvalstīs ir atšķirīgs.

Ja katrā valstī tiek īstenota sava pieeja, pastāv sadrumstalotības un neefektivitātes risks Eiropas mērogā. Atsevišķās valstīs īstenotās pieejas atšķirīgums un sistemātiskas starpvalstu sadarbības trūkums ievērojami mazina iekšējo pretpasākumu efektivitāti, cita starpā tāpēc, ka IKI starpsavienojamības dēļ zems drošības un elastīguma līmenis vienas valsts infrastruktūrā var palielināt neaizsargātību un radīt risku citu valstu infrastruktūrās.

Lai rīkotos šādā situācijā, ir nepieciešami Eiropas mēroga centieni papildināt valstu politiku un programmas ar pievienoto vērtību, kādu dod informētības un problēmu vispārējās izpratnes uzlabošana, kopīgu politikas mērķu un prioritāšu pieņemšanas veicināšana, dalībvalstu sadarbības pastiprināšana un atsevišķu valstu politikas integrācija Eiropas un pasaules kopainā.

3.4.2. Eiropā nepieciešams jauns IKI pārvaldības modelis

IKI drošības un elastīguma uzlabošana izvirza īpašus pārvaldības uzdevumus. Lai gan dalībvalstīm aizvien jāuzņemas galīgā atbildība par politikas noteikšanu saistībā ar IKI, šīs politikas īstenošana atkarīga no privātā sektora dalības, jo privātā sektora uzņēmumu īpašumā vai kontrolē ir ļoti daudzas IKI. No otras puses, situācija tirgos ne vienmēr pietiekami motivē privātā sektora uzņēmumus investēt IKI aizsardzībā tādā apmērā, kādā to parasti pieprasītu valdības.

Lai risinātu šo pārvaldības problēmu, valstīs kā atsauces sistēma ir izveidotas publiskā un privātā sektora partnerības (PPP). Tomēr, neraugoties uz vienprātību par to, ka PPP būtu vēlamas arī Eiropas mērogā, tādas partnerības tomēr vēl nav izveidotas. Visu Eiropu aptveroša, daudzu ieinteresēto personu veidota pārvaldības sistēma, kurā varētu būt plašāk iesaistīta ENISA , varētu veicināt privātā sektora dalību stratēģisku valsts politikas mērķu un darbības prioritāšu un pasākumu noteikšanā. Šāda sistēma palīdzētu pārvarēt plaisu starp politikas veidošanu valsts līmenī un praktiski notiekošo darbu.

3.4.3. Agrīnās brīdināšanas un starpgadījumu novēršanas ierobežotās spējas Eiropā

Pārvaldības mehānismi būs patiesi efektīvi vienīgi tad, ja visiem dalībniekiem būs pieejama ticama informācija, atbilstīgi kurai rīkoties. Tas ir jo sevišķi svarīgi valdībām, kam jāuzņemas galīgā atbildība par iedzīvotāju drošību un labklājību.

Tomēr procesi un prakse tīkla drošības starpgadījumu novērošanai un ziņošanai par tiem dalībvalstīs ievērojami atšķiras. Dažās valstīs nav atbildīgas struktūras, kas veiktu novērošanu. Vēl svarīgāk ir tas, ka sadarbība un informācijas apmaiņa starp dalībvalstīm, daloties ar tādiem uzticamiem datiem par drošības starpgadījumiem, kas dod tiesības ierosināt lietu, nešķiet pietiekami plaša, jo ir vai nu neoficiāla, vai tikai divpusēja, vai nepietiekami daudzpusēja. Turklāt starpgadījumu simulācija un mācības reaģēšanas spēju pārbaudei ir stratēģiski svarīgs elements IKI drošības un elastīguma uzlabošanai, it sevišķi pievēršoties elastīgai stratēģijai un procesiem saistībā ar iespējamo krīžu neparedzamību. Kiberdrošības mācības ES vēl aizvien ir tikai iedīglī. Starpvalstu mācību skaits ir ļoti ierobežots. Kā liecina nesenie notikumi[23], savstarpēja palīdzība ir būtisks elements, lai pienācīgi reaģētu uz IKI liela mēroga apdraudējumiem un uzbrukumiem tām.

Stabilas spējas Eiropā veikt agrīno brīdināšanu un starpgadījumu novēršanu ir atkarīgas no valstu/valdību datorapdraudējumu reakcijas komandu ( Computer Emergency Response Teams – CERT ) sekmīgas darbības, t.i., no kopīga atskaites punkta spēju ziņā. Šīm iestādēm valstīs jāatbalsta ieinteresēto personu vajadzības un iespējas īstenot valsts politisku rīcību (tostarp saistībā ar informācijas un brīdināšanas sistēmām, kas paredzētas iedzīvotājiem un MVU) un jāiesaistās efektīvā starpvalstu sadarbībā un informācijas apmaiņā, pēc iespējas darbojoties kopā ar jau izveidotajām organizācijām, piemēram, Eiropas Valdību CERT grupu ( EGC )[24].

3.4.4. Starptautiska sadarbība

Interneta izvirzīšanās par galveno IKI liek pievērst īpašu uzmanību tā elastīgumam un stabilitātei. Internets, pateicoties tā dalītajai arhitektūrai un redundancei, ir izrādījies esam ļoti izturīga infrastruktūra. Tomēr tā nepieredzēti straujā izaugsme ir izraisījusi aizvien lielāku fizisku un loģisku sarežģītību un jaunu pakalpojumu un izmantojumu rašanos; tāpēc vietā ir jautājums – vai internets spēs izturēt aizvien pieaugošo pārrāvumu un kiberuzbrukumu apjomu?

Atšķirīgie viedokļi par internetu veidojošo elementu kritiskumu daļēji izskaidro valdību atšķirīgo nostāju, kas tiek pausta starptautiskos forumos, un bieži vien pretrunīgos uzskatus par šā jautājuma svarīgumu. Tas var kavēt internetu skarošo apdraudējumu pienācīgu novēršanu, gatavību tiem un spēju cīnīties ar to sekām. Piemēram, novērtējot sekas, kādas radītu pāreja no IPv4 uz IPv6, būtu jāņem vērā arī IKI drošības aspekts.

Internets ir globāls un ļoti lielā mērā dalīts tīkls, kas sastāv no tīkliem, kuru vadības centri nebūt ne vienmēr atrodas attiecīgās valsts teritorijā. Tādēļ tā elastīguma un stabilitātes nodrošināšanai ir vajadzīga īpaša, mērķtiecīga pieeja, kuras pamatā ir divi konverģenti pasākumi. Pirmkārt, vienprātības panākšana par Eiropas prioritātēm interneta elastīguma un stabilitātes jomā valsts politikas un darbības izvēršanas ziņā. Otrkārt, pasaules sabiedrības iesaistīšana interneta elastīguma un stabilitātes principu kopuma izveidē, kas atspoguļotu Eiropas pamatvērtības; šāda iesaistīšana notiktu ar stratēģiska dialoga starpniecību un sadarbībā ar trešām valstīm un starptautiskām organizācijām. Šo pasākumu pamatā būtu Pasaules sammitā par informācijas sabiedrību[25] atzītais interneta stabilitātes būtiskais nozīmīgums.

4. TURPMāKā VIRZīBA UZ LIELāKU SASKAņOTīBU UN SADARBīBU ES

Integrēta ES pieeja IKI drošības un elastīguma uzlabošanai papildinātu un padarītu vērtīgākas valstu programmas, kā arī jau izveidotās divpusējās un daudzpusējās dalībvalstu sadarbības shēmas, jo problēmai piemīt starptautisks un Kopienas vēriens.

Apspriedes valstu politikas līmenī pēc notikumiem Igaunijā liek secināt, ka līdzīgu uzbrukumu sekas var ierobežot ar preventīviem pasākumiem un saskaņotu rīcību krīzes laikā. Strukturētāka informācijas un paraugprakses apmaiņa visā ES varētu ievērojami atvieglot apdraudējumu apkarošanu starpvalstu mērogā.

Ir jāuzlabo jau pieejamie sadarbības līdzekļi, tostarp ENISA , un vajadzības gadījumā jāveido jauni. Ir svarīgi Eiropā īstenot pieeju, kurā daudzos līmeņos ir iesaistītas daudzas ieinteresētās personas, vienlaikus respektējot un papildinot valstu saistības.

Nepieciešama rūpīga izpratne par vidi un kavēkļiem. Bažas izraisa, piemēram, interneta dalītā arhitektūra, kurā robežas mezglus var izmantot kā uzbrukuma vektoru, kā tas notiek, piemēram, robottīklu gadījumā. Tomēr šī dalītā arhitektūra ir galvenais stabilitātes un elastīguma elements, un tāpēc seku novēršana var izdoties ātrāk, nekā tas parasti notiktu, izmantojot pārlieku formālu un hierarhisku procedūru. Tādējādi ir nepieciešams katrā atsevišķā gadījumā piesardzīgi izanalizēt īstenojamo valsts politiku un ieviešamo ekspluatācijas procedūru.

Svarīgi ir arī termiņi. Ir skaidrs, ka jārīkojas jau tagad un strauji jāievieš vajadzīgie elementi tādas sistēmas izveidei, kas ļaus risināt pašreizējos jautājumus un palīdzēs izstrādāt stratēģiju tīklu un informācijas drošībai nākotnē.

Tiek ierosināts risināt šos jautājumus, balstoties uz pieciem aspektiem:

1. gatavība un profilakse — lai nodrošinātu gatavību visos līmeņos;

2. atklāšana un reaģēšana — lai nodrošinātu pienācīgus agrīnās brīdināšanas mehānismus;

3. seku mazināšana un to novēršana — lai pastiprinātu ES mehānismus IKI aizsardzībai;

4. starptautiska sadarbība — lai popularizētu ES prioritātes starptautiskā mērogā;

5. kritēriji IST sektoram — lai palīdzētu īstenot Direktīvu par to, lai apzinātu un noteiktu Eiropas kritiskās infrastruktūras[26].

5. RīCīBAS PLāNS

5.1. Gatavība un profilakse

Kopīgs atskaites punkts attiecībā uz spējām un pakalpojumiem sadarbībai visā Eiropā. Komisija aicina dalībvalstis un attiecīgās ieinteresētās aprindas

- ar ENISA atbalstu noteikt spēju un pakalpojumu minimumu valstu/valdību datorapdraudējumu reakcijas komandām ( CERT ) un rīcību reaģēšanai uz starpgadījumiem sadarbības atbalstam visā Eiropā;

- nodrošināt, ka valstu/valdību CERT ir galvenais elements, kas veido valsts spēju būt gatavībā, veikt informācijas apmaiņu, koordinēt un reaģēt.

Mērķis: 2010. gada beigas — vienošanās par standartu minimumu; 2011. gada beigas — sekmīgi funkcionējošu valstu/valdību CERT izveide visās dalībvalstīs.

Eiropas publiskā un privātā sektora partnerība infrastruktūru elastīguma jautājumos (EP3R). Komisija

- veicinās publiskā un privātā sektora sadarbību tādos jautājumos kā drošības un elastīguma mērķi, kopīgas pamatprasības, politikas paraugprakse un pasākumi. EP3R galvenā uzmanība tiktu pievērsta Eiropas dimensijai no stratēģijas (piem., politikas paraugprakse) un taktikas/ekspluatācijas (piem., ieviešana nozarē) skatpunkta. EP3R būtu jābalstās uz jau izstrādātajām valstu iniciatīvām un ENISA operatīvo darbību un jāpapildina tās.

Mērķis: 2009. gada beigas — EP3R ceļveža un plāna sagatavošana; 2010. gada vidus — EP3R izveide; 2010. gada beigās EP3R būtu jāsāk dot pirmie rezultāti.

Eiropas Forums informācijas apmaiņai starp dalībvalstīm. Komisija

- izveidos Eiropas forumu, kurā dalībvalstis apmainīsies ar informāciju un politikas paraugpraksi IKI drošības un elastīguma jomā. Tajā varētu izmantot citu organizāciju, it sevišķi ENISA , darbības rezultātus.

Mērķis: 2009. gada beigas — foruma darbības uzsākšana; 2010. gada beigās būtu jāgūst pirmie rezultāti.

5.2. Atklāšana un reaģēšana

Eiropas Informācijas apmaiņas un brīdināšanas sistēma ( EISAS ). Komisija atbalsta

EISAS izstrādi un ieviešanu; EISAS būs paredzēta iedzīvotājiem un MVU un balstīsies uz valsts un privātā sektora informācijas apmaiņas un brīdināšanas sistēmām. Komisija finansiāli atbalsta divus papildinošus prototipa projektus[27]. ENISA tiek aicināta ņemt vērā šo projektu un citu valsts iniciatīvu rezultātus un sagatavot ceļvedi EISAS turpmākai izstrādei un ieviešanai.

Mērķis: 2010. gada beigas — prototipa projektu pabeigšana; 2010. gada beigas — ceļveža sagatavošana Eiropas sistēmas ieviešanai.

5.3. Seku mazināšana un to novēršana

Valstu ārkārtas rīcības plānošana un mācības. Komisija aicina dalībvalstis

- pietuvinoties visu Eiropu aptverošai koordinācijai, izstrādāt valstu ārkārtas rīcības plānus un regulāri rīkot mācības reaģēšanai uz liela mēroga tīkla drošības starpgadījumiem un to seku novēršanai. Valstu/valdību CERT/CSIRT var uzticēt uzdevumu uzņemties valstu ārkārtas rīcības plānošanas mācību un testēšanas vadību, iesaistot ieinteresētās aprindas no privātā un publiskā sektora. ENISA tiek aicināta iesaistīties, lai atbalstītu paraugprakses apmaiņu starp dalībvalstīm.

Mērķis: 2010. gada beigas — vismaz vienu valsts mācību veikšana katrā dalībvalstī.

Visu Eiropu aptverošas mācības reaģēšanai uz liela mēroga tīkla drošības starpgadījumiem. Komisija

- finansiāli atbalstīs visu Eiropu aptverošu mācību rīkošanu reaģēšanai uz interneta drošības starpgadījumiem[28], kas var kalpot arī par darbības platformu Eiropas mēroga dalībai starptautiskās mācībās reaģēšanai uz tīkla drošības starpgadījumiem, piemēram, ASV rīkotajās Cyber Storm .

Mērķis: 2010. gada beigas — pirmo visu Eiropu aptverošo mācību sagatavošana un norise; 2010. gada beigas — Eiropas mēroga dalība starptautiskās mācībās.

Pastiprināta sadarbība starp valstu/valdību CERT. Komisija aicina dalībvalstis

- pastiprināt sadarbību starp valstu/valdību CERT , arī līdzdarbojoties jau izveidotajos sadarbības mehānismos, kā EGC [29], un paplašinot tos. ENISA tiek aicināta aktīvi darboties, lai veicinātu un atbalstītu sadarbību starp valstu/valdību CERT visā Eiropā, un tam vajadzētu uzlabot gatavību; pastiprināt spējas Eiropā reaģēt uz starpgadījumiem un attiecīgi rīkoties; iesaistīties Eiropas (un/vai reģionālās) mācībās.

Mērķis: 2010. gada beigas — to valstu iestāžu skaita divkāršošana, kuras piedalās ECG darbībā; 2010. gada beigas — ENISA sagatavo atsauces materiālus sadarbības atbalstam Eiropā.

5.4. Starptautiska sadarbība

Interneta elastīgums un stabilitāte. Ir ieplānotas trīs savstarpēji papildinošas darbības.

- Eiropas prioritātes interneta ilgtermiņa elastīguma un stabilitātes jomā. Lai apzinātu ES prioritātes interneta ilgtermiņa elastīguma un stabilitātes jomā, Komisija vadīs visu Eiropu aptverošas debates, iesaistot visas attiecīgās ieinteresētās aprindas no publiskā un privātā sektora.

Mērķis: 2010. gada beigas — ES prioritāšu apzināšana kritisku interneta komponentu un jautājumu jomā.

- Interneta elastīguma un stabilitātes principi un pamatnostādnes (Eiropā). Komisija kopīgi ar dalībvalstīm strādās, lai izveidotu interneta elastīguma un stabilitātes pamatnostādnes, cita starpā pievēršoties koriģējošām darbībām reģionos, savstarpējas palīdzības nolīgumiem, saskaņotai seku novēršanas un nepārtrauktības stratēģijai, kritisku interneta resursu ģeogrāfiskajam sadalījumam, tehnoloģiskiem interneta arhitektūras un protokolu aizsardzības līdzekļiem, pakalpojumu un datu replicēšanai un daudzveidībai. Komisija jau finansē darba grupu DNS elastīguma jautājumos, kas līdz ar citiem attiecīgiem projektiem palīdzēs panākt vienprātību[30].

Mērķis: 2009. gada beigas — interneta elastīguma un stabilitātes principu un pamatnostādņu Eiropas ceļveža izveide; 2010. gada beigas — vienošanās par šādu principu un pamatnostādņu pirmo projektu.

- Interneta elastīguma un stabilitātes principi un pamatnostādnes (pasaulē). Komisija kopīgi ar dalībvalstīm strādās, lai sagatavotu ceļvedi principu un pamatnostādņu popularizēšanai pasaulē. Kā līdzeklis vienprātības panākšanai pasaulē tiks veidota stratēģiska sadarbība ar trešām valstīm, it sevišķi tiks risināti dialogi par informācijas sabiedrību[31].

Mērķis: 2010. gada sākums — ceļveža izveide starptautiskajai sadarbībai drošības un elastīguma principu un pamatnostādņu jomā; 2010. gada beigas — starptautiski atzītu principu un pamatnostādņu pirmā projekta apspriešana ar trešām valstīm un attiecīgos forumos, tostarp interneta pārvaldības forumā.

Pasaules līmeņa mācības interneta liela mēroga starpgadījumu seku mazināšanā un to novēršanā. Komisija aicina Eiropas ieinteresētās aprindas

- apsvērt praksē īstenojamu veidu, kā mācības, kuras veic saistībā ar seku mazināšanas un novēršanas aspektu, varētu paplašināt līdz pasaules līmenim, balstoties uz reģionāliem ārkārtas rīcības plāniem un attiecīgām spējām.

Mērķis: 2010. gada beigas — Komisija ierosina sistēmu un ceļvedi, lai atbalstītu Eiropas iesaistīšanos un dalību pasaules līmeņa mācībās interneta liela mēroga starpgadījumu seku mazināšanā un to novēršanā.

5.5. Kritēriji Eiropas kritiskajām infrastruktūrām IST sektorā

IST sektoram specifiski kritēriji. Pamatojoties uz 2008. gadā veikto sākotnējo darbību, Komisija

- sadarbībā ar dalībvalstīm un visām attiecīgajām ieinteresētajām aprindām turpinās izstrādāt kritērijus Eiropas kritisko infrastruktūru apzināšanai IST sektorā. Šādam nolūkam vajadzīgo informāciju gūs no īpaša pētījuma, kas tiek uzsākts[32].

Mērķis: 2010. gada pirmais pusgads — Komisija nosaka kritērijus Eiropas kritiskajām infrastruktūrām IST sektorā.

6. SECINāJUMI

Informācijas kritisko infrastruktūru drošība un elastīgums ir galvenā aizsardzība pret atteicēm un uzbrukumiem. To uzlabošana visā ES ir būtisks priekšnosacījums informācijas sabiedrības piedāvāto ieguvumu pilnīgai izmantošanai. Lai īstenotu šo vērienīgo mērķi, tiek piedāvāts rīcības plāns ar mērķi pastiprināt taktisko un operatīvo sadarbību Eiropā. Šīs rīcības panākumi ir atkarīgi no īstenoto pasākumu efektivitātes, gan balstoties uz publiskā un privātā sektora darbību, gan atbalstot to, kā arī no dalībvalstu, Eiropas iestāžu un ieinteresēto aprindu apņemšanās iesaistīties un pilnvērtīgas līdzdalības.

Šādā nolūkā 2009. gada 27. un 28. aprīlī notiks ministru konference, kuras gaitā ar dalībvalstīm tiks apspriestas ierosinātās iniciatīvas un tiks pausta dalībvalstu apņemšanās iesaistīties debatēs par Eiropas tīklu un informācijas drošības politikas modernizāciju un pastiprināšanu.

Visbeidzot jāatzīmē, ka informācijas kritisko infrastruktūru drošības un elastīguma uzlabošana ir ilgtermiņa mērķis, kura īstenošanas stratēģija un pasākumi būtu regulāri jānovērtē. Šis mērķis ir saderīgs ar vispārējām debatēm par tīklu un informācijas drošības politikas nākotni ES pēc 2012. gada, tāpēc Komisija 2010. gada pēdējos mēnešos sāks izvērtēt pirmajā posmā paveikto un vajadzības gadījumā noteiks un ierosinās turpmāk veicamos pasākumus.

[1] IKI definīcija tika ierosināta COM(2005) 576 galīgajā redakcijā.

[2] Global Risks 2008 .

[3] COM(2005) 229.

[4] COM(2006) 251.

[5] Regula (EK) Nr. 1007/2008.

[6] http://ec.europa.eu/information_society/newsroom/cf/itemlongdetail.cfm?item_id=4464

[7] COM(2006) 786 galīgā redakcija.

[8] 2008/114/EK.

[9] http://www.consilium.europa.eu/ueDocs/cms_Data/docs/pressData/en/gena/104617.pdf

[10] COM(2008) 676 galīgā redakcija.

[11] COM(2007) 697, COM(2007) 698, COM(2007) 699.

[12] Pamatdirektīvas 13. pants.

[13] 2005/222/JHA.

[14] COM(2008) 712.

[15] http://www.usdoj.gov/criminal/cybercrime/g82004/G8_CIIP_Principles.pdf

[16] COM(2008) 199 galīgā redakcija.

[17] http://ec.europa.eu/invest-in-research/action/2006_ahogroup_en.htm

[18] ES ekonomikas 2007. gada pārskats http://ec.europa.eu/economy_finance/publications/publication10130_en.pdf.

[19] http://www.oecd.org/dataoecd/1/29/40821707.pdf

[20] http://epp.eurostat.ec.europa.eu/ — Zinātne un tehnoloģija/Informācijas sabiedrība.

[21] COM(2006) 688 galīgā redakcija.

[22] COM(2006) 251 galīgā redakcija.

[23] http://ec.europa.eu/information_society/policy/nis/strategy/activities/ciip/large_scale/

[24] http://www.egc-group.org/

[25] Tunisas Programma informācijas sabiedrībai, http://www.itu.int/wsis/docs2/tunis/off/6rev1.html.

[26] Padomes Direktīva 2008/114/EK.

[27] Saskaņā ar EK programmu " Terora aktu un citu ar drošību saistītu risku profilakse, gatavība tiem un to seku pārvarēšana " http://ec.europa.eu/justice_home/funding/cips/funding_cips_en.htm.

[28] Supra 27.

[29] Supra 24.

[30] Supra 27.

[31] COM(2008) 588 galīgā redakcija.

[32] Supra 27.