Resolução do Conselho

de 28 de Janeiro de 2002

sobre uma abordagem comum e acções específicas no domínio da segurança das redes e da informação

(2002/C 43/02)

O CONSELHO DA UNIÃO EUROPEIA,

EM RESPOSTA

às conclusões do Conselho Europeu de Estocolmo, de 23 e 24 de Março de 2001, segundo as quais o Conselho, em conjunto com a Comissão, desenvolverá uma estratégia global sobre a segurança das redes electrónicas, incluindo medidas práticas de execução,

RECORDANDO:

1. A resolução do Conselho de 30 de Maio de 2001 - plano de acção e-Europa: segurança da informação e das redes;

2. A comunicação da Comissão ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social e ao Comité das Regiões - segurança das redes e da informação: proposta de abordagem de uma política europeia;

3. A comunicação da Comissão ao Parlamento Europeu e ao Conselho: e-Europa 2002: impacto e prioridades;

4. O plano de acção e-Europa 2002 subscrito pelo Conselho Europeu de Santa Maria da Feira de 19 e 20 de Junho de 2000;

5. A Recomendação 95/144/CE do Conselho, de 7 de Abril de 1995, relativa a critérios comuns de avaliação da segurança nas tecnologias da informação(1);

6. A recomendação do Conselho, de 25 de Junho de 2001, relativa a um serviço de 24 horas por dia de combate ao crime de alta tecnologia(2);

7. A comunicação da Comissão sobre a criação de uma sociedade da informação mais segura reforçando a segurança das infra-estruturas de informação e lutando contra a cibercriminalidade;

8. O Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho, de 18 de Dezembro de 2000, relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários e à livre circulação desses dados(3);

9. A Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados(4);

10. A Directiva 97/33/CE do Parlamento Europeu e do Conselho, de 30 de Junho de 1997, relativa à interligação no sector das telecomunicações com o objectivo de assegurar o serviço universal e a interoperabilidade através da aplicação dos princípios da oferta de rede aberta (ORA)(5);

11. A Directiva 97/66/CE do Parlamento Europeu e do Conselho, de 15 de Dezembro de 1997, relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das telecomunicações(6);

12. A Directiva 98/10/CE do Parlamento Europeu e do Conselho, de 26 de Fevereiro de 1998, relativa à aplicação da oferta de rede aberta (ORA) à telefonia vocal e ao serviço universal de telecomunicações num ambiente concorrencial(7);

13. A Directiva 1999/93/CE do Parlamento Europeu e do Conselho, de 13 de Dezembro de 1999, relativa a um quadro legal comunitário para as assinaturas electrónicas(8),

CONSIDERANDO O SEGUINTE:

(1) As redes e os sistemas de comunicação tornaram-se um factor essencial de desenvolvimento económico e social, sendo o seu acesso e integridade cruciais para infra-estruturas essenciais, bem como para a maioria dos serviços públicos e privados e para a economia em geral.

(2) Dado o papel cada vez mais importante dos serviços electrónicos na economia, a segurança das redes e dos sistemas de informação assume um interesse público crescente.

(3) A segurança das transacções e dos dados tornou-se essencial na prestação de serviços electrónicos, incluindo o comércio electrónico e os serviços públicos em linha, podendo a pouca confiança na segurança desses serviços atrasar a sua aplicação generalizada.

(4) É necessário que as pessoas singulares, as empresas, as administrações e outras organizações protejam os seus sistemas de comunicação, de informação e de dados, desenvolvendo tecnologias de segurança eficazes, quando adequado.

(5) O sector privado, ao actuar num mercado concorrencial, e dada a sua capacidade de inovação oferece uma variedade de soluções adaptadas às verdadeiras necessidades do mercado.

(6) A natureza complexa da segurança da informação e das redes significa que, ao desenvolverem medidas políticas neste domínio, os poderes públicos devem ter em conta um conjunto de aspectos económicos, políticos, técnicos e organizacionais, e estar conscientes do carácter global e descentralizado das redes de comunicação.

(7) As medidas políticas podem ser mais eficazes se estiverem integradas numa abordagem europeia, respeitarem o funcionamento eficaz do mercado interno, assentarem numa cooperação reforçada entre os Estados-Membros, e internacionalmente, e apoiarem a inovação e a competividade a nível mundial das empresas europeias.

(8) Já existe um conjunto significativo de legislação em matéria de segurança das redes e da informação, nomeadamente integrada no quadro jurídico da União para as telecomunicações, o comércio electrónico e as assinaturas electrónicas.

(9) Os prestadores de serviços de telecomunicações estão sujeitos a normas legais que os obrigam a tomar medidas técnicas e organizativas adequadas que salvaguardem a segurança dos seus serviços; essas medidas devem assegurar um nível de segurança adequado ao risco que representam.

(10) A norma internacional ISO-15408 (critérios comuns) tornou-se um sistema reconhecido para definir os requisitos de segurança para produtos informáticos e das redes, assim como para avaliar e um determinado produto satisfaz esses requisitos.

(11) A norma internacional ISO-17799 (tecnologia da informação - código de prática de gestão da segurança da informação) e as orientações nacionais semelhantes vêm-se tornando prática reconhecida na gestão da segurança, em organismos públicos e privados.

(12) A infra-estrutura da internet deveria permitir um elevado nível de acesso às redes e serviços e ser administrada e explorada de modo seguro e resoluto, por exemplo através da aprovação de normas abertas e de protocolos de segurança internet,

CONSIDERANDO AINDA QUE, nos termos da resolução do Conselho, de 30 de Maio de 2001, relativa ao "Plano de acção e-Europa: segurança da informação e das redes", a segurança da informação e das redes está associada aos seguintes aspectos:

- garantia de acesso aos serviços e dados,

- prevenção da ruptura e intercepção não autorizada de comunicações,

- confirmação de que os dados enviados, recebidos ou armazenados são completos e não foram alterados,

- segurança da confidencialidade dos dados,

- protecção dos sistemas de informação contra o acesso não autorizado,

- protecção contra ataques que envolvam programas informáticos desenvolvidos com intenções criminosas,

- garantia de autenticação de confiança;

POR CONSEGUINTE, SOLICITA AOS ESTADOS-MEMBROS QUE:

1. Até ao final de 2002, lancem ou reforcem as campanhas de educação e informação, no sentido de aumentar a sensibilização do público para a segurança das redes e da informação; orientem essas acções especificamente para as empresas, utilizadores privados e administrações públicas; preparem essas acções de sensibilização em estreita colaboração com o sector privado, incluindo entre outros os fornecedores de serviços da internet, e encorajem as iniciativas por ele lideradas;

2. Promovam melhores práticas de gestão da segurança da informação, nomeadamente nas pequenas e médidas empresas, com base em normas internacionalmente reconhecidas quando adequado;

3. Até ao final de 2002, reforcem ou promovam a importância das noções de segurança, como parte do ensino e da formação no âmbito da informática;

4. Até meados de 2002, revejam a eficácia das disposições nacionais relativas à resposta a emergências informáticas, incluindo os sistemas de alerta de vírus, a fim de reforçar, quando se revelar necessário, a sua capacidade de prevenir, detectar e reagir eficazmente, à escala nacional e internacional, contra ataques e rupturas dos sistemas de informação e das redes;

5. Promovam a utilização da norma critérios comuns (ISO-15408) e facilitem o reconhecimento mútuo de certificados relacionados com essa norma;

6. Até ao final de 2002, avancem de maneira significativa para soluções de segurança interoperáveis e eficazes, baseadas, quando possível, em normas reconhecidas - que poderão incluir software de acesso público - nas suas actividades de administração em linha e concursos públicos electrónicos, tendo em vista a introdução de assinaturas electrónicas de modo a permitir que os serviços públicos, que carece de uma autenticação fidedigna, também possam estar disponíveis em linha;

7. Quando optarem por criar sistemas de identificação biométrica e electrónica para uso público ou oficial, cooperem, quando adequado, em desenvolvimentos tecnológicos e analisem todos os requisitos de interoperabilidade possíveis;

8. Na perspectiva de facilitar a cooperação comunitária e internacional, troquem informações entre si e com a Comissão nos órgãos principalmente responsáveis em matéria de segurança das redes e da informação nos respectivos territórios;

CONGRATULA-SE COM A INTENÇÃO DA COMISSÃO DE:

1. Facilitar, em 2002, o intercâmbio de boas práticas relativas a acções de sensibilização e elaborar um inventário inicial das várias campanhas de informação nacionais;

2. Apresentar propostas para reforçar, em 2002, o diálogo comunitário e a cooperação com organizações e parceiros internacionais sobre a segurança das redes, nomeadamente sobre as implicações da crescente dependência das redes de comunicações electrónicas; e, neste contexto, propor, até finais de 2002, uma estratégia de operacionalidade mais estável e mais segura da infra-estrutura da internet;

3. Propor medidas adequadas, até ao final de 2002, para promover a norma ISO-15408 (critérios comuns), facilitar o reconhecimento mútuo de certificados e melhorar o processo de avaliação dos produtos, por exemplo pelo desenvolvimento de perfis de protecção adequados;

4. Preparar um relatório, até ao final de 2002, sobre as tecnologias e aplicações da autenticação biométrica e electrónica da identidade, tendo em vista melhorar a eficácia de tais sistemas, nomeadamente através da interoperabilidade;

5. Apos ter consultado os Estados-Membros e o sector privado, apresentar, até meados de 2002, propostas para o estabelecimento de um grupo de acção sobre cibersegurança que aproveite os esforços nacionais para melhorar a segurança da informação e das redes e aumente a capacidade dos Estados-Membros para coordenarem, individual e colectivamente, as suas respostas aos problemas mais graves da segurança da informação e das redes;

6. Explorar, até meados de 2002, em colaboração com os Estados-Membros, as opções possíveis de mecanismos pelos quais os Estados-Membros e a Comissão possam permutar informações e experiências sobre o respectivo cumprimento dos objectivos da presente resolução, tendo em conta a dimensão interpilares da segurança das redes e da informação, e explorar a maneira de melhor implicar o sector privado neste intercâmbio de informações e experiências;

CONGRATULA-SE com a crescente focalização das actividades de investigação europeias em matérias relacionadas com a segurança;

SALIENTA a necessidade de mais actividades de investigação, em especial sobre mecanismos de segurança e respectiva interoperabilidade, protecção e fiabilidade das redes, criptografia avançada, tecnologias de reforço da privacidade e segurança nas comunicações sem fios;

EXORTA

- os fornecedores e prestadores de serviços a reforçarem a segurança como parte essencial e integrante dos seus produtos e serviços,

- os fornecedores e prestadores de serviços europeus do sector privado e os seus agrupamentos representativos a participarem mais activamente em actividades internacionais de normalização e a organizarem-se em instâncias adequadas para contribuírem para os objectivos da presente resolução.

(1) JO L 93 de 26.4.1995, p. 27.

(2) JO C 187 de 3.7.2001, p. 5.

(3) JO L 8 de 12.1.2001, p. 1.

(4) JO L 281 de 23.11.1995, p. 31.

(5) JO L 199 de 26.7.1997, p. 32.

(6) JO L 24 de 30.1.1998, p. 1.

(7) JO L 101 de 1.4.1998, p. 24.

(8) JO L 13 de 19.1.2000, p. 12.