This document is an excerpt from the EUR-Lex website
Document 32002G0216(02)
Council Resolution of 28 January 2002 on a common approach and specific actions in the area of network and information security
Resolutie van de Raad van 28 januari 2002 betreffende een gemeenschappelijke aanpak en specifieke acties inzake netwerk- en informatiebeveiliging
Resolutie van de Raad van 28 januari 2002 betreffende een gemeenschappelijke aanpak en specifieke acties inzake netwerk- en informatiebeveiliging
PB C 43 van 16.2.2002, p. 2–4
(ES, DA, DE, EL, EN, FR, IT, NL, PT, FI, SV)
In force
Resolutie van de Raad van 28 januari 2002 betreffende een gemeenschappelijke aanpak en specifieke acties inzake netwerk- en informatiebeveiliging
Publicatieblad Nr. C 043 van 16/02/2002 blz. 0002 - 0004
Resolutie van de Raad van 28 januari 2002 betreffende een gemeenschappelijke aanpak en specifieke acties inzake netwerk- en informatiebeveiliging (2002/C 43/02) DE RAAD VAN DE EUROPESE UNIE, NAAR AANLEIDING VAN de conclusies van de Europese Raad van 23/24 maart 2001 van Stockholm volgens welke de Raad samen met de Commissie een alomvattende strategie voor de beveiliging van elektronische netwerken zal uitwerken, die tevens praktische uitvoeringsmaatregelen zal omvatten, HERINNEREND AAN 1. de resolutie van de Raad van 30 mei 2001 - actieplan e-Europa: informatie- en netwerkveiligheid; 2. de mededeling van de Commissie aan de Raad, het Europees Parlement, het Economisch en Sociaal Comité en het Comité van de Regio's - Netwerk- en informatieveiligheid: voorstel voor een Europese beleidsaanpak; 3. de mededeling van de Commissie aan de Raad en het Europees Parlement - e-Europa 2002: effecten en prioriteiten; 4. het actieplan e-Europa 2002, goedgekeurd voor de Europese Raad van 19/20 juni 2000 te Feira; 5. Aanbeveling 95/144/EG van de Raad van 7 april 1995 inzake gemeenschappelijke veiligheidsbeoordelingscriteria voor informatietechnologie(1); 6. de aanbeveling van de Raad van 25 juni 2001 betreffende meldpunten die 24 uur per dag operationeel zijn voor de bestrijding van high-tech criminaliteit(2); 7. de mededeling van de Commissie over het veiliger maken van de informatiemaatschappij door de informatie-infrastructuur beter te beveiligen en computercriminaliteit te bestrijden; 8. Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens(3); 9. Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens(4); 10. Richtlijn 97/33/EG van het Europees Parlement en de Raad van 30 juni 1997 inzake interconnectie op telecommunicatiegebied, wat betreft de waarborging van de universele dienst en van de interoperabiliteit door toepassing van de beginselen van open network provision (ONP)(5); 11. Richtlijn 97/66/EG van het Europees Parlement en de Raad van 15 december 1997 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de telecommunicatiesector(6); 12. Richtlijn 98/10/EG van het Europees Parlement en de Raad van 26 februari 1998 inzake de toepasisng van open network provision (ONP) op spraaktelefonie en inzake de universele telecommunicatiedienst in een door concurrentie gekenmerkt klimaat(7); 13. Richtlijn 1999/93/EG van het Europees Parlement en de Raad van 13 december 1999 betreffende een gemeenschappelijk kader voor elektronische handtekeningen(8); OVERWEGENDE HETGEEN VOLGT: (1) Netwerken en communicatiesystemen zijn een sleutelfactor in de economische en maatschappelijke ontwikkeling geworden en hun beschikbaarheid en integriteit is van cruciaal belang voor essentiële infrastructuren en voor de meeste publieke en particuliere diensten en de economie als geheel. (2) In het licht van de steeds belangrijkere rol van de elektronische diensten in de economie is de beveiliging van netwerken en informatiesystemen in toenemende mate van openbaar belang. (3) De beveiliging van transacties en gegevens is essentiel geworden voor de levering van elektronische diensten, waaronder e-handel en online openbare diensten, en een laag vertrouwen in die beveiliging kan de grootschalige invoering van die diensten afremmen. (4) Het is nodig dat personen, ondernemingen, overheden en andere organisaties hun eigen informatie-, data- en communicatiesystemen beschermen door in voorkomend geval effectieve beveiligingstechnologieën toe te passen. (5) De particuliere sector, die in de context van een concurrerende markt opereert, biedt door zijn vernieuwingsvermogen een scala van oplossingen die toegesneden zijn op reële marktbehoeften. (6) Het complexe karakter van netwerk- en informatiebeveiliging brengt mee dat overheidsinstanties bij het ontwikkelen van beleidsmaatregelen in deze sector rekening moeten houden met politieke, economische, organisatorische en technische aspecten en zich bewust moeten zijn van het gedecentraliseerde en mondiale karakter van communicatienetwerken. (7) Beleidsmaatregelen kunnen meer effect sorteren als zij onderdeel zijn van een Europese aanpak, het effectief functioneren van de interne markt eerbiedigen, voortbouwen op intensievere samenwerking, tussen lidstaten en op internationaal niveau, en ondersteuning bieden voor vernieuwing en voor het vermogen van Europese ondernemingen om mondiaal te concurreren. (8) Er bestaat reeds een substantieel corpus aan voor netwerk- en informatiebeveiliging relevante wetgeving, met name als onderdeel van het gemeenschappelijk juridisch kader in de Unie voor telecommunicatie, elektronische handel en digitale handtekeningen. (9) Voor aanbieders van telecommunicatiediensten gelden wettelijke voorschriften die hen dwingen passende technische en organisatorische maatregelen te treffen om de veiligheid van hun diensten te vrijwaren; die maatregelen moeten een veiligheidsniveau bewerkstelligen dat in verhouding staat tot het aanwezige risico. (10) Internationale norm ISO-15408 (gemeenschappelijke criteria) is een erkend systeem geworden voor het omschrijven van de beveiligingseisen voor computer- en netwerkproducten en het beoordelen of een specifiek product aan die eisen voldoet. (11) Internationale norm ISO-17799 (Information technology - Code of practice for information security management (Informatietechnologie - Code voor informatiebeveiliging)) en soortgelijke nationale richtsnoeren beginnen een erkende praktijk te worden voor beveiligingsbeheer in particuliere en openbare organisaties. (12) Internetinfrastructuur dient een hoge toegankelijkheidsgraad van netwerken en diensten toe te laten en dient robust en veilig te worden beheerd en geëxploiteerd, dat wil zeggen door vaststelling van open standaarden en internetbeveiligingsprotocollen, IN AANMERKING NEMEND, indachtig de resolutie van de Raad van 30 mei 2001 over het "Actieplan 'e-Europa': informatie- en netwerkbeveiliging", dat netwerk- en informatiebeveiliging betrekking heeft op het volgende: - garanderen dat diensten en gegevens beschikbaar zijn, - voorkomen van verstoren en ongeoorloofd onderscheppen van communicatie, - bevestigen dat gegevens die zijn verzonden, ontvangen of opgeslagen, volledig en ongewijzigd zijn, - waarborgen van de vertrouwelijkheid van gegevens, - beschermen van informatiesystemen tegen ongeoorloofde toegang, - beschermen tegen aanvallen met kwaadbedoelde software, - waarborgen van betrouwbare authentificatie; VERZOEKT DERHALVE DE LIDSTATEN: 1. uiterlijk eind 2002 informatie- en voorlichtingscampagnes te lanceren of te intensiveren teneinde het publiek vertrouwd te maken met netwerk- en informatiebeveiliging; dergelijke acties specifiek te richten op ondernemingen, particuliere gebruikers en overheden; dergelijke bewustmakingsacties in nauwe samenwerking met de particuliere sector, inclusief onder meer de aanbieders van internetdiensten, te ontwikkelen en door de particuliere sector genomen initiatieven aan te moedigen; 2. beste praktijken in verband met informatiebeveiligingsbeheer te bevorderen, met name in het midden- en kleinbedrijf, en die in voorkomend geval op internationaal erkende standaarden te baseren; 3. uiterlijk eind 2002 het belang van beveiligingsconcepten als onderdeel van computeronderwijs en -opleidingen meer reliëf te geven of te bevorderen; 4. uiterlijk medio 2002 de effectiviteit te toetsen van nationale regelingen inzake computerrampbestrijding, eventueel inclusief viruswaarschuwingssystemen, te evalueren, met als doel, waar nodig, deze beter uit te rusten om, op nationaal en internationaal niveau, het verstoren en aanvallen van netwerk- en informatiesystemen te voorkomen, te ontdekken en efficiënt te bestrijden; 5. het gebruik van de gemeenschappelijkecriterianorm (ISO-15408) te bevorderen en de wederzijdse erkenning van daarmee samenhangende certificaten te faciliteren; 6. uiterlijk eind 2002 significante voortgang te bewerkstelligen inzake effectieve en interoperabele inveiligingsoplossingen, waar mogelijk gebaseerd op erkende standaarden, - eventueel inclusief openbronsoftware - in hun activiteiten op het gebied van e-overheid en e-aanbestedingen en inzake het introduceren van digitale handtekeningen waardoor overheidsdiensten die een betrouwbare authentificatie vereisen, ook on line kunnen worden aangeboden; 7. wanneer zij kiezen voor de invoering van elektronische en biometrische identificatiesystemen voor openbaar of officieel gebruik, in voorkomend geval samen te werken inzake technologische ontwikkelingen en eventuele interoperabiliteitsvereisten onder de loep te nemen; 8. met het oog op betere communautaire en internationale samenwerking onderling en met de Commissie informatie uit te wisselen over de instanties die op hun grondgebied in eerste lijn verantwoordelijk zijn voor netwerk- en informatiebeveiligingskwesties; VERKLAART ZICH INGENOMEN MET HET VOORNEMEN VAN DE COMMISSIE 1. in 2002 de weg te effenen voor een uitwisseling van beste praktijken met betrekking tot bewustmakingsacties en een eerste inventaris op te stellen van de verschillende nationale voorlichtingscampagnes; 2. in 2002 voorstellen in te dienen ter versterking van de communautaire dialoog en van de samenwerking met internationale organisaties en partners inzake netwerkbeveiliging, met name wat betreft de gevolgen van de toenemende afhankelijkheid van elektronische communicatienetwerken; en in dit verband tegen eind 2002 een strategie voor te stellen voor een meer stabiele en veilige werking van de internetinfrastructuur; 3. uiterlijk eind 2002 passende maatregelen voor te stellen om ISO-norm 15408 (gemeenschappelijke criteria) te bevorderen, de wederzijdse erkenning van certificaten te vergemakkelijken en het proces voor de beoordeling van producten te verbeteren, door adequate beschermingsprofielen te ontwikkelen; 4. uiterlijk eind 2002 een verslag in te dienen over technieken en toepassingen in verband met elektronische en biometrische authentificatie van identiteit teneinde de effectiviteit van dergelijke systemen, met name door middel van interoperabiliteit, te verbeteren; 5. tegen medio 2002 voorstellen in te dienen - na overleg met de lidstaten en met de particuliere sector - voor de instelling van een task force cyberbeveiliging, die dient voort te bouwen op de nationale inspanningen om de netwerk- en informatiebeveiliging te verbeteren en die het vermogen van de lidstaten moet verbeteren om zowel individueel als collectief te reageren op ernstige problemen op het gebied van netwerk- en informatiebeveiliging; 6. tegen eind 2002 in nauwe samenwerking met de lidstaten te onderzoeken welke opties er bestaan met het oog op het instellen van mechanismen waardoor de Commissie en de lidstaten informatie en ervaringen kunnen uitwisselen over hun vorderingen bij de verwezenlijking van de doelstellingen van deze resolutie, rekening houdend met de pijleroverschrijdende dimensie van netwerk- en informatiebeveiliging, en na te gaan hoe de particuliere sector het best kan worden betrokken bij deze uitwisseling van informatie en van ervaringen; IS VERHEUGD OVER de grotere nadruk die thans in het kader van de Europese onderzoeksactiviteiten wordt gelegd op beveiligingsvraagstukken; BEKLEMTOONT de noodzaak van meer onderzoeksactiviteiten, met name inzake beveiligingsmechanismen en hun interoperabiliteit, betrouwbaarheid en bescherming van netwerken, geavanceerde cryptografie, technieken voor een betere bescherming van de privé-sfeer en beveiliging op het gebied van draadloze communicatie; DOET EEN BEROEP OP - leveranciers en dienstverleners om de beveiliging als integraal en essentieel onderdeel van hun producten en diensten te versterken; - de Europese leveranciers en dienstverleners uit de particuliere sector, en hun representatieve brancheorganisaties, om actiever deel te nemen aan internationale normaliseringsactiviteiten en zichzelf te organiseren in passende fora die kunnen bijdragen tot de verwezenlijking van de doelstellingen van deze resolutie. (1) PB L 93 van 26.4.1995, blz. 27. (2) PB C 187 van 3.7.2001, blz. 5. (3) PB L 8 van 12.1.2001, blz. 1. (4) PB L 281 van 23.11.1995, blz. 31. (5) PB L 199 van 26.7.1997, blz. 32. (6) PB L 24 van 30.1.1998, blz. 1. (7) PB L 101 van 1.4.1998, blz. 24. (8) PB L 13 van 19.1.2000, blz. 12.