RECOMENDAÇÃO DO CONSELHO de 7 de Abril de 1995 relativa a critérios comuns de avaliação da segurança nas tecnologias da informação (95/144/CE)

O CONSELHO DA UNIÃO EUROPEIA,

Tendo em conta o Tratado que institui a Comunidade Europeia, e, nomeadamente o seu artigo 235º,

Tendo em conta a proposta da Comissão,

Tendo em conta o parecer do Parlamento Europeu (1),

Tendo em conta o parecer do Comité Económico e Social (2),

Considerando que a Comunidade tem como missão, através da criação de um mercado comum e da aproximação progressiva das políticas económicas dos Estados-membros, promover o desenvolvimento harmonioso das actividades económicas em toda a Comunidade, uma expansão contínua e equilibrada, uma estabilidade crescente, o aumento acelerado do nível de vida e relações mais estreitas entre os Estados-membros;

Considerando que a informação armazenada, tratada e transmitida electronicamente desempenha um papel cada vez mais importante nas actividades económicas e sociais;

Considerando que a eficácia das comunicações globais e a utilização generalizada da informação electrónica põem em evidência a necessidade de proteccção adequada;

Considerando que, nas suas deliberações e resoluções, o Parlamento Europeu sublinhou repetidamente a importância da segurança dos sistemas de informação;

Considerando que o Comité Económico e Social realçou a necessidade de abordar as questões relacionadas com a segurança dos sistemas de informação no âmbito das acções comunitárias, nomeadamente tendo em vista o impacte da realização do mercado interno;

Considerando que a Comissão propôs medidas no domínio da protecção de dados e da seguraça dos sistemas de informação (3);

Considerando que a complexidade da segurança dos sistemas de informação exige o desenvolvimento de estratégias que permitam a livre circulação da informação no mercado interno, garantindo simultaneamente a segurança desses sistemas em toda a Comunidade;

Considerando que a presente recomendação não afecta as disposções dos Estados-membros em matéria de segurança pública e de ordem pública;

Considerando que as responsabilidades dos Estados-membros neste domínio pressupõem uma abordagem concertada, assente numa colaboração estreita entre altos funcionários nacionais;

Considerando que a existência de critérios comuns de availação da segurança nas tecnologias da informação constitui um fundamento essencial, enquanto base do reconhecimento mútuo das certificações no plano internacional;

Considerando que as acções a nível nacional, internacional e comunitário proporcionam uma boa base para a harmonização à escala comunitária e para a celebração de acordos internacionais;

Considerando que os agentes do sector em questão foram consultados; que o Grupo de altos funcionários para a segurança dos sistemas de informação (SOG-IS) recomendou a utilização de critérios comuns de avaliação da segurança nas tecnologias da informação;

Considerando que esses critérios são necessários para a criação de um mercado único de produtos em matéria de tecnologias da informação; que esses critérios permitem, por outro lado, realizar economias de escala cuja segurança é garantida;

Considerando que a utilização de critérios comuns é igualmente condição prévia para a realização de aplicações e serviços seguros transeuropeus seguros;

Considerando que estes objectivos não poderiam ser atingidos se existissem critérios deferentes em cada Estado-membros e em cada sector económico;

Considerando que o desenvolvimento de critérios adicionais ocasionaria múltiplas acções bilaterias entre os Estados-membros e acarretaria atrasos excessivos e procedimentos complexos, incluindo um número elevado de negociações individuais, que podem ser evitados por meio de uma acção coordenada no plano comunitário,

RECOMENDA:

1. Que os critérios de availação da segurança nas tencologias da informação (ITSEC) (1) sejam aplicados nos sistemas de avaliação e de certifiação, por um período inicial de dois anos, a fim de satisfazer as necessidades imediatas de avaliação e de certificação ligadas ao comércio e à exploração de produtos, sistemas e serviços das tecnologias da informação;

2. Que a harmonização e a normalização internacionais dos critérios de avaliação da segurança nas tecnologias da informação sejam intensificadas, sob a égide do Grupo de altos funcionários para a segurança dos sistemas de informação (SOG-IS);

3. Que, durante este período inicial, ou, se necessário, até que sejam decididas a harmonização e a normalização à escala internacional, seja negociado pelos Estados-membros ou pelas instâncias por eles designadas, o reconhecimento mútuo bilateral e, de preferência, europeu ou internacional, dos certificados de avaliação da segurança;

4. Que a situação na matéria seja analisada no final deste período inicial e que sejam propostas medidas adequadas, mediante parecer do Grupo SOG-IS, à luz da experiência adquirida e dos resultados da harmonização internacional.

Feito no Luxemburgo, em 7 de Abril de 1995.

Pelo Conselho O Presidente J. ROSSI