[pic] | KOMISIA EURÓPSKYCH SPOLOČENSTIEV |

Brusel, 30.3.2009

KOM(2009) 149 v konečnom znení

OZNÁMENIE KOMISIE EURÓPSKEMU PARLAMENTU, RADE, EURÓPSKEMU HOSPODÁRSKEMU A SOCIÁLNEMU VÝBORU A VÝBORU REGIÓNOV o ochrane kritických informačných infraštruktúr

„Ochrana Európy pred rozsiahlymi kybernetickými útokmi a narušeniami: zvyšovanie pripravenosti, bezpečnosti a odolnosti“ {SEK(2009) 399} {SEK(2009) 400}

(PREDLOžENÁ KOMISIOU)

OZNÁMENIE KOMISIE EURÓPSKEMU PARLAMENTU, RADE, EURÓPSKEMU HOSPODÁRSKEMU A SOCIÁLNEMU VÝBORU A VÝBORU REGIÓNOV

o ochrane kritických informačných infraštruktúr „Ochrana Európy pred rozsiahlymi kybernetickými útokmi a narušeniami: zvyšovanie pripravenosti, bezpečnosti a odolnosti“

1. ÚVOD

Informačné a komunikačné technológie (IKT) sú stále viac prepletené s našim každodenným životom. Niektoré tieto systémy, služby, siete a infraštruktúry IKT (ďalej len „infraštruktúry IKT“) tvoria podstatnú časť európskeho hospodárstva a spoločnosti tým, že buď poskytujú nevyhnutný tovar a služby, alebo tvoria základovú platformu pre iné kriticky dôležité infraštruktúry. Obvykle sa považujú za kritické informačné infraštruktúry (KII)[1], pretože ich narušenie alebo zničenie by malo závažný vplyv na životne dôležité spoločenské funkcie. Medzi nedávnymi príkladmi sa nachádzajú rozsiahle kybernetické útoky namierené proti Estónsku v roku 2007 a prerušenia transkontinentálnych káblov v roku 2008.

Podľa odhadov Svetového ekonomického fóra z roku 2008 existuje v nasledujúcich 10 rokoch 10- až 20-percentná pravdepodobnosť závažného zrútenia KII, pričom potenciálne celosvetové hospodárske náklady takéhoto zrútenia predstavujú približne 250 miliárd USD[2].

Toto oznámenie sa sústreďuje na prevenciu, pripravenosť a informovanosť a vymedzuje sa v ňom plán okamžitých opatrení na posilnenie bezpečnosti a odolnosti KII. Toto zameranie je v súlade s rozpravou, ktorá sa začala na žiadosť Rady a Európskeho parlamentu s cieľom riešiť výzvy a priority v oblasti politiky bezpečnosti sietí a informačných systémov (NIS), ako aj najvhodnejších nástrojov potrebných na úrovni EÚ na ich vyriešenie. Navrhovanými opatreniami sa zároveň dopĺňajú tie opatrenia, ktoré slúžia na predchádzanie zločineckým a teroristickým činnostiam namiereným proti KII, boj proti nim a ich trestné stíhanie, pričom tieto opatrenia sú zároveň v synergii so súčasným a budúcim výskumným úsilím EÚ na poli bezpečnosti sietí a informačných systémov, ako aj s medzinárodnými iniciatívami v tejto oblasti.

2. KONTEXT POLITIKY

Toto oznámenie sa zaoberá európskou politikou na posilnenie bezpečnosti informačnej spoločnosti a dôvery v ňu. Už v roku 2005 Komisia[3] zdôraznila naliehavú potrebu koordinovaného úsilia s cieľom vybudovať dôveru a vieru zainteresovaných strán v elektronické komunikácie a služby. S týmto zámerom sa v roku 2006 prijala stratégia pre bezpečnú informačnú spoločnosť[4]. Jej hlavné prvky vrátane bezpečnosti a odolnosti infraštruktúr IKT sa schválili uznesením Rady 2007/068/01. Miera zodpovednosti a vykonávanie týchto úloh zainteresovanými stranami sa však javia byť nedostatočné. Touto stratégiou sa zároveň na taktickej a prevádzkovej úrovni posilňuje úloha Európskej agentúry pre bezpečnosť sietí a informácií (ENISA), založenej v roku 2004 so zámerom prispievať k dosahovaniu cieľov pri zabezpečovaní vysokej úrovne a účinnosti NIS v rámci Spoločenstva a vývoji kultúry NIS v prospech občanov, spotrebiteľov, podnikov a verejných správ v EÚ.

Mandát agentúry ENISA bol v roku 2008 identickým spôsobom predĺžený do marca 2012[5]. Rada a Európsky parlament zároveň požadovali „ďalšiu diskusiu o budúcnosti agentúry ENISA a o všeobecnom smerovaní európskeho úsilia o zvýšenie bezpečnosti sietí a informácií“. Na podporu tejto debaty Komisia minulý rok v novembri spustila on-line verejnú konzultáciu[6], ktorej analýza sa v krátkej dobe sprístupní.

Činnosti plánované v tomto oznámení sa uskutočňujú v rámci Európskeho programu na ochranu kritickej infraštruktúry (EPCIP)[7] a paralelne s ním. Kľúčovým prvkom EPCIP je smernica[8] o identifikácii a označení európskych kritických infraštruktúr[9], v ktorej sa sektor IKT identifikuje ako budúci prioritný sektor. Ďalším dôležitým prvkom EPCIP je Varovná informačná sieť kritickej infraštruktúry (CIWIN)[10].

Pokiaľ ide o regulačné aspekty, návrh Komisie reformovať regulačný rámec pre elektronické komunikačné siete a služby[11] obsahuje nové ustanovenia o bezpečnosti a integrite, najmä s cieľom sprísniť povinnosti prevádzkovateľov, aby sa zabezpečilo, že sa prijmú náležité opatrenia na riešenie identifikovaných rizík, zaručenie kontinuity dodávok služieb a nahlasovanie narušení bezpečnosti[12]. Týmto prístupom sa prispeje k dosiahnutiu všeobecného cieľa, ktorým je zvýšenie bezpečnosti a odolnosti KII. Európsky parlament a Rada vo všeobecnosti tieto ustanovenia podporujú.

Opatrenia navrhované v tomto oznámení dopĺňajú jestvujúce a budúce opatrenia v oblasti policajnej a súdnej spolupráce pri prevencii zločineckých a teroristických činností namierených proti infraštruktúram IKT, boji proti nim a ich trestnom stíhaní, ako sa to predpokladá, okrem iného, v rámcovom rozhodnutí Rady o útokoch proti informačným systémom[13] a jeho plánovanej aktualizácii[14].

V tejto iniciatíve sa zohľadňujú činnosti NATO v oblasti spoločnej politiky kybernetickej obrany, t. j. Riadiaci orgán kybernetickej obrany a Kooperatívne centrum excelencie kybernetickej obrany.

Napokon, náležitá pozornosť sa venuje medzinárodnému vývoju na politickej scéne, najmä zásadám G8 týkajúcim sa ochrany komunikačných a informačných infraštruktúr (CIIP)[15]; rezolúcii Valného zhromaždenia OSN č. 58/199 Vytvorenie globálnej kultúry kybernetickej bezpečnosti a ochrana kritických informačných infraštruktúr a nedávnemu odporúčaniu OECD o ochrane kritických informačných infraštruktúr.

3. ČO JE V HRE

3.1. Kritické informačné infraštruktúry sú životne dôležité pre hospodárstvo a spoločenský rast EÚ

V nedávnych správach o inovácii a hospodárskom raste sa vyzdvihuje hospodárska a spoločenská úloha sektora IKT a infraštruktúr IKT. Medzi takéto správy patria oznámenie o strednodobom preskúmaní i2010[16], tzv. Ahova správa[17] a každoročné hospodárske správy Európskej únie[18]. OECD zdôrazňuje dôležitosť IKT a internetu s cieľom „pozdvihnúť hospodársku výkonnosť a sociálny blahobyt a posilniť schopnosť spoločnosti zlepšovať kvalitu života pre občanov na celom svete“ [19]. Ďalej odporúča politiku, ktorou sa upevňuje dôvera v internetovú infraštruktúru.

Sektor IKT je nevyhnutný pre všetky segmenty spoločnosti. Podniky sa na sektor IKT spoliehajú tak v priamom predaji, ako aj pri zabezpečovaní efektivity vnútorných procesov. IKT sú kritickou zložkou inovácie a zodpovedajú za takmer 40 % rastu produktivity[20]. IKT prenikli aj do práce vládnych orgánov a verejnej správy: vzhľadom na prechádzanie na služby elektronickej verejnej správy (eGovernment) na všetkých úrovniach, ako aj vzhľadom na nové uplatnenia IKT napr. v inovatívnych riešeniach súvisiacich so zdravotníctvom, energetikou a politickou angažovanosťou sa verejný sektor stáva silne závislým na IKT. V neposlednom rade sa občania stále viac spoliehajú na IKT a používajú ich pri svojich každodenných činnostiach. Posilnením bezpečnosti KII by sa zvýšila dôvera občanov v IKT, a to nie len vďaka lepšej ochrane osobných údajov a súkromia.

3.2. Riziká súvisiace s kritickými informačnými infraštruktúrami

Riziká spôsobené ľudskými útokmi, prírodnými katastrofami alebo technickými poruchami sú často nedostatočne pochopené a/alebo nedostatočne rozanalyzované. Následne neexistuje dostatočná miera uvedomovania si týchto rizík u zainteresovaných strán, vzhľadom na čo sa nenavrhujú účinné bezpečnostné záruky a protiopatrenia.

Rafinovanosť kybernetických útokov sa zvýšila na bezprecedentnú úroveň. Kedysi jednoduché experimenty sa dnes stávajú zložitými činnosťami vykonávanými pre zisk a z politických dôvodov. Nedávne rozsiahle kybernetické útoky v Estónsku, Litve a Gruzínsku sú najčastejšie spomínanými príkladmi tohto celosvetového trendu. Obrovské množstvo vírusov, červov a iných foriem škodlivého softvéru, rozmach botnetov a neustály nárast objemu nevyžiadanej pošty len potvrdzujú závažnosť tohto problému[21].

Vzhľadom na vysokú mieru závislosti na KII, ich cezhraničnú prepojenosť a vzájomnú závislosť na iných infraštruktúrach, ako aj vzhľadom na ich zraniteľnosť a hrozby, ktorým čelia, vyvstáva potreba systematickým spôsobom riešiť bezpečnosť a odolnosť KII ako prvej línie obrany voči zlyhaniam a útokom.

3.3. Bezpečnosť a odolnosť kritických informačných infraštruktúr s pohľadu zvyšovania dôvery v informačnú spoločnosť

S cieľom zabezpečiť, aby sa infraštruktúry IKT používali v maximálnej možnej miere, a aby sa tým plne využívali hospodárske a sociálne príležitosti informačnej spoločnosti, musia všetky zainteresované strany v ne mať vysokú mieru viery a dôvery. To závisí od rôznych aspektov, spomedzi ktorých najdôležitejším je zabezpečiť vysokú úroveň ich bezpečnosti a odolnosti. Rozmanitosť, otvorenosť, interoperabilita, použiteľnosť, transparentnosť, zodpovednosť, auditovateľnosť jednotlivých zložiek a hospodárska súťaž sú kľúčovými faktormi pri rozvoji bezpečnosti a podnecujú zavádzanie produktov, procesov a služieb, ktoré majú zvyšovať bezpečnosť. Ako už Komisia zdôraznila[22], ide o spoločnú zodpovednosť: žiadna zainteresovaná strana nedisponuje sama prostriedkami, ktorými by dokázala zaistiť bezpečnosť a odolnosť všetkých infraštruktúr IKT a uskutočňovať všetky súvisiace úlohy.

Zhostenie sa takýchto úloh si vyžaduje prístup a kultúru založenú na riadení rizík, ktoré budú schopné reagovať na známe hrozby a predvídať neznáme budúce hrozby bez toho, aby reagovali neprimerane a prekazili zrod inovatívnych služieb a aplikácií.

3.4. Výzvy pre Európu

Okrem, a ako doplnok všetkých činností súvisiacich s vykonávaním smernice o identifikácii a označení európskych kritických infraštruktúr, najmä identifikácie kritérií špecifických pre sektor IKT, treba s cieľom posilniť bezpečnosť a odolnosť KII vyriešiť niekoľko širších problémov.

3.4.1. Nerovnomerné a nekoordinované vnútroštátne postupy

Napriek tomu, že medzi existujúcimi výzvami a problémami existujú spoločné rysy, opatrenia a režimy zaisťovania bezpečnosti a odolnosti KII, ako aj úroveň odbornosti a pripravenosti sa v jednotlivých členských štátoch líšia.

Výhradne vnútroštátny prístup v sebe pre Európu nesie riziko rozštiepenosti a neefektívnosti. Rozdiely vo vnútroštátnych prístupoch a nedostatok systematickej cezhraničnej spolupráce výrazne znižujú efektivitu vnútroštátnych protiopatrení, okrem iného pretože vzhľadom na vzájomnú prepojenosť KII má nízka úroveň bezpečnosti a odolnosti KII v jednej krajine potenciál zvyšovať zraniteľnosť a riziká v iných krajinách.

S cieľom prekonať túto situáciu je potrebné európske úsilie, ktorým by sa do vnútroštátnych politík a programov vniesla pridaná hodnota tým, že by sa podporil rozvoj povedomia a spoločného chápania týchto výziev, podnietilo prijímanie spoločných politických cieľov a priorít, posilnila spolupráca medzi členskými štátmi a integrovali vnútroštátne politiky do širšieho európskeho a globálneho rozmeru.

3.4.2. Potreba nového európskeho modelu riadenia KII

Posilňovanie bezpečnosti a odolnosti KII so sebou nesie nezvyčajné problémy pri riadení. Zatiaľ čo za vymedzovanie politík v súvislosti s KII ostávajú v konečnom dôsledku zodpovedné členské štáty, vykonávanie týchto politík je závislé od zaangažovania súkromného sektora, ktorý vlastní a ovláda veľký počet KII. Trhy, na druhej strane, nie vždy poskytujú súkromnému sektoru dostatočné stimuly na investovanie do ochrany KII na úrovni, ktorú by vládne orgány za normálnych okolností požadovali.

Na riešenie tohto problému s riadením sa ako referenčný model na vnútroštátnej úrovni vynorili verejno-súkromné partnerstvá (PPP). I napriek konsenzu, že PPP by boli žiaduce aj na európskej úrovni, sa však zatiaľ európske PPP nestali realitou. Celoeurópskym mnohostranným rámcom riadenia, ktorý môže obsahovať rozšírenú úlohu agentúry ENISA, by sa mohlo podporiť zaangažovanie súkromného sektora do vymedzovania strategických cieľov verejnej politiky, ako aj prevádzkových priorít a opatrení. Týmto rámcom by sa premostila medzera medzi vnútroštátnou tvorbou politiky a prevádzkovou realitou.

3.4.3. Obmedzená európska schopnosť včasného varovania a reakcie na incidenty

Mechanizmy riadenia budú skutočne účinné iba vtedy, ak všetci účastníci budú mať spoľahlivé informácie, podľa ktorých treba konať. Toto je obzvlášť relevantné pre vlády, ktoré nesú konečnú zodpovednosť za to, aby zaistili bezpečnosť a blaho občanov.

Procesy a postupy monitorovania a predkladania správ o bezpečnostných incidentoch v sieti sa však v jednotlivých členských štátoch výrazne líšia. Niektoré nemajú na monitorovanie stanovenú referenčnú organizáciu. Čo je však dôležitejšie, zdá sa, že spolupráca a zdieľanie spoľahlivých a využiteľných informácií o bezpečnostných incidentoch medzi členskými štátmi sú nedostatočne vyvinuté a buď sa uskutočňujú na neformálnom základe alebo sú obmedzené na bilaterálne alebo v obmedzenej miere multilaterálne výmeny. Strategickú dôležitosť pre zvyšovanie bezpečnosti a odolnosti KII majú okrem toho simulácie incidentov a uskutočňovanie cvičení na otestovanie reakčných schopností, najmä prostredníctvom zamerania sa na pružné stratégie a postupy v záujme riešenia nepredvídateľných druhov potenciálnych kríz. V EÚ sú cvičenia v oblasti kybernetickej bezpečnosti stále v začiatkoch. Cvičenia s cezhraničným dosahom sú veľmi obmedzeného rozsahu. Ak ukázali nedávne udalosti[23], vzájomná pomoc je nevyhnutným prvkom náležitej reakcie na rozsiahle hrozby a útoky na KII.

Silná schopnosť včasného varovania a reakcie na incidenty v Európe musí vychádzať z dobre fungujúcich vnútroštátnych/vládnych tímov reakcie na počítačovú pohotovosť (CERT), t. j. musí mať spoločný základ, pokiaľ ide o schopnosti. Tieto orgány musia pôsobiť ako vnútroštátne katalyzátory záujmov a schopnosti zainteresovaných strán pre činnosti verejnej politiky (vrátane tých činností, ktoré sa týkajú systémov zdieľania informácií a varovaní s dosahom na občanov a malé a stredné podniky) a musia vstupovať do účinnej cezhraničnej spolupráce a výmeny informácií, pričom by potenciálne mohli využívať jestvujúce organizácie, ako napr. Európska skupina vládnych tímov CERT (EGC)[24].

3.4.4. Medzinárodná spolupráca

Nástup internetu ako kľúčovej KII si vyžaduje, aby sa osobitná pozornosť venovala jeho odolnosti a stabilite. Internet sa vďaka svojmu distribuovanému, redundantnému dizajnu ukázal byť veľmi robustnou infraštruktúrou. Jeho mimoriadny nárast však spôsobil i rastúcu mieru fyzickej a logickej zložitosti a príchod nových služieb a použití: je preto len logické spochybňovať schopnosť internetu odolávať rastúcemu počtu narušení a kybernetických útokov.

Rozdielnosťou názorov na kritickosť prvkov vytvárajúcich internet je čiastočne možné vysvetliť rozmanitosť vládnych stanovísk, ktoré vyjadrujú na medzinárodných fórach, ako aj často protichodné postoje k dôležitosti tejto záležitosti. Mohlo by to brániť náležitému predchádzaniu hrozbám vplývajúcim na internet, pripravenosti na ne i schopnosti spamätať sa z nich. Napríklad, následky prechodu z IPv4 na IPv6 by sa mali posudzovať aj z pohľadu bezpečnosti KII.

Internet je celosvetovou a vysoko distribuovanou sieťou sietí, pričom jeho kontrolné strediská sa nemusia bezpodmienečne riadiť národnými hranicami. To si vyžaduje osobitný, cielený prístup, aby sa zabezpečila jeho odolnosť a stabilita na základe dvoch zbližujúcich sa opatrení. Po prvé, dosiahnutie spoločného konsenzu o európskych prioritách pre odolnosť a stabilitu internetu, pokiaľ ide o verejnú politiku a uvádzanie do prevádzky. Po druhé, zaangažovanie globálneho spoločenstva do procesu vypracúvania súboru zásad, v ktorom by sa odzrkadľovali základné európske hodnoty, a to pre odolnosť a stabilitu internetu v rámci nášho strategického dialógu a spolupráce s tretími krajinami a medzinárodnými organizáciami. Tieto činnosti by vychádzali z toho, že Svetový summit o informačnej spoločnosti[25] uznal kľúčovú dôležitosť stability internetu.

4. CESTA VPRED: SMEROM K VÄčšEJ KOORDINÁCII A SPOLUPRÁCI EÚ

Vzhľadom na to, že rozmer problému má dosah na Spoločenstvo i medzinárodnú komunitu, integrovaným postupom EÚ na zvýšenie bezpečnosti a odolnosti KII by sa doplnili vnútroštátne programy a dosiahla v nich pridaná hodnota, pričom tento postup by mal ten istý efekt i na jestvujúce bilaterálne a multilaterálne programy spolupráce medzi členskými štátmi.

Z diskusií o verejnej politike v nadväznosti na udalosti v Estónsku vyplýva, že vplyvy podobných útokov je možné obmedziť preventívnymi opatreniami a koordinovaným úsilím počas samotnej krízy. Štruktúrovanejšou výmenou informácií a osvedčených postupov v celej EÚ by sa mohol značne uľahčiť boj proti cezhraničným hrozbám.

Je nevyhnutné posilniť jestvujúce nástroje spolupráce vrátane agentúry ENISA a v prípade potreby vytvoriť nové nástroje. Zásadný význam má prístup založený na mnohých zainteresovaných stranách a mnohých úrovniach, ktorý sa uskutočňuje na európskej úrovni a plne zohľadňuje a dopĺňa vnútroštátne zodpovednosti.

Nevyhnutné je aj dôkladné pochopenie prostredia a obmedzení. Obavy sú, napríklad, v súvislosti s distribuovanou povahou internetu, v rámci ktorej sa okrajové uzly dajú použiť ako vektory útoku, napr. botnety. Distribuovaná povaha je však kľúčovou zložkou stability a odolnosti a môže internetu pomôcť k rýchlejšej obnove, než by tomu bolo v prípade nadmieru formalizovaných postupov zhora-nadol. Na to treba, aby sa zaviedla opatrná analýza každého jednotlivého prípadu verejnej politiky a prevádzkových postupov.

Časový horizont je takisto dôležitý. Existuje jasná potreba hneď konať a urýchlene zaviesť nevyhnutné opatrenia, aby sa vybudoval rámec, ktorý nám umožní reagovať na súčasné výzvy a ktorý sa využije pri budúcej stratégii pre sieťovú a informačnú bezpečnosť.

Na riešenie týchto výziev sa navrhuje päť pilierov:

1. Pripravenosť a prevencia: na zaistenie pripravenosti na všetkých úrovniach;

2. Detekcia a reakcia: na zabezpečenie náležitých mechanizmov včasného varovania;

3. Zmierňovanie a obnova: na posilnenie obranných mechanizmov EÚ v oblasti KII;

4. Medzinárodná spolupráca: na medzinárodnú propagáciu priorít EÚ;

5. Kritériá sektora IKT: na podporu vykonávania smernice o identifikácii a označení európskych kritických infraštruktúr[26].

5. AKčNÝ PLÁN

5.1. Pripravenosť a prevencia

Základná línia schopností a služieb pre celoeurópsku spoluprácu. Komisia vyzýva členské štáty a príslušné zainteresované strany, aby:

- s pomocou ENISA v záujme podpory celoeurópskej spolupráce vymedzili minimálnu úroveň schopností a služieb pre vnútroštátne/vládne tímy CERT, ako aj operácie odozvy na incidenty.

- zabezpečili, aby vnútroštátne/vládne tímy CERT pôsobili ako kľúčové zložky vnútroštátnej pripravenosti, zdieľania informácií, koordinácie a odozvy.

Cieľ: koniec roka 2010 na schválenie minimálnych štandardov; koniec roka 2011 na založenie dobre fungujúcich vnútroštátnych/vládnych tímov CERT vo všetkých členských štátoch.

Európske verejno-súkromné partnerstvo pre odolnosť (EP3R). Komisia:

- podporí spoluprácu medzi verejným a súkromným sektorom, pokiaľ ide o ciele bezpečnosti a odolnosti, základné požiadavky, osvedčené postupy a opatrenia v oblasti politiky. Primárnym zameraním EP3R by bol európsky rozmer z pohľadu strategického (napr. osvedčené postupy v oblasti politiky) a taktického/prevádzkového (napr. priemyselné použitie). EP3R by malo vychádzať z jestvujúcich vnútroštátnych iniciatív a prevádzkových činností agentúry ENISA a dopĺňať ich.

Cieľ: koniec roka 2009 pre cestovnú mapu a plán pre EP3R; polovica roka 2010 na založenie EP3R; koniec roka 2010 na prvé výsledky partnerstva EP3R.

Európske fórum pre zdieľanie informácií medzi členskými štátmi. Komisia:

- založí európske fórum pre členské štáty, aby mohli zdieľať informácie a osvedčené postupy v oblasti politiky, pokiaľ ide o bezpečnosť a odolnosť KII. Mohli by sa využívať výsledky práce iných organizácií, najmä agentúry ENISA.

Cieľ: koniec roka 2009 na spustenie fóra; koniec roka 2010 na dodanie prvých výsledkov.

5.2. Detekcia a reakcia

Európsky systém zdieľania informácií a varovania (EISAS). Komisia podporuje:

rozvoj a spustenie systému EISAS s dosahom na občanov a malé a stredné podniky, ktorý je založený na vnútroštátnych i súkromných systémoch zdieľania informácií a varovaní. Komisia finančne podporuje dva komplementárne prototypové projekty[27]. ENISA sa vyzýva, aby zaevidovala výsledky týchto projektov a iných vnútroštátnych iniciatív a vypracovala cestovnú mapu ďalšieho rozvoja a spúšťania EISAS.

Cieľ: koniec roka 2010 na zavŕšenie prototypových projektov; koniec roka 2010 na cestovnú mapu pre európsky systém.

5.3. Zmierňovanie a obnova

Vnútroštátne plánovanie a cvičenia riešenia núdzových udalostí. Komisia vyzýva členské štáty, aby:

- ako krok smerom k celoeurópskej koordinácii vypracovali vnútroštátne plány riešenia núdzových udalostí a zorganizovali pravidelné cvičenia reakcie pre prípad rozsiahlych sieťových bezpečnostných incidentov a obnovy funkcií po katastrofe. Vnútroštátne/vládne tímy CERT/CSIRT môžu dostať úlohu, aby viedli cvičenia a testovanie vnútroštátnych plánov riešenia núdzových udalostí za účasti zainteresovaných strán zo súkromného i verejného sektora. S cieľom podporiť výmenu osvedčených postupov medzi členskými štátmi sa vyžaduje účasť agentúry ENISA.

Cieľ: koniec roka 2010 na uskutočnenie minimálne jedného vnútroštátneho cvičenia v každom členskom štáte.

Celoeurópske cvičenia rozsiahlych sieťových bezpečnostných incidentov. Komisia:

- finančne podporí rozvoj celoeurópskych cvičení internetových bezpečnostných incidentov[28], ktoré môžu zároveň predstavovať prevádzkovú platformu pre celoeurópsku účasť na medzinárodných cvičeniach sieťových bezpečnostných incidentov, akým bolo napr. americké cvičenie US Cyber Storm.

Cieľ: koniec roka 2010 na návrh a uskutočnenie prvého celoeurópskeho cvičenia; koniec roka 2010 na celoeurópsku účasť na medzinárodných cvičeniach.

Posilnená spolupráca medzi vnútroštátnymi/vládnymi tímami CERT. Komisia vyzýva členské štáty, aby:

- posilnili spoluprácu medzi vnútroštátnymi/vládnymi tímami CERT, a to aj využitím a rozšírením jestvujúcich mechanizmov spolupráce, ako napr. EGC[29]. Agentúra ENISA sa vyzýva, aby zohrávala aktívnu úlohu pri podnecovaní a podpore celoeurópskej spolupráce medzi vnútroštátnymi/vládnymi tímami CERT, čo by malo viesť k zvýšenej pripravenosti, zvýšenej európskej schopnosti odozvy a reakcie na incidenty, ako aj celoeurópskym (a/alebo regionálnym) cvičeniam.

Cieľ: koniec roka 2010 na zdvojnásobenie počtu vnútroštátnych orgánov zúčastňujúcich sa EGC; koniec roka 2010 na to, aby ENISA vypracovala referenčné materiály na podporu celoeurópskej spolupráce.

5.4. Medzinárodná spolupráca

Odolnosť a stabilita internetu. Predpokladajú sa tri komplementárne činnosti:

- Európske priority dlhodobej odolnosti a stability internetu. S cieľom vymedziť priority EÚ pre dlhodobú odolnosť a stabilitu internetu Komisia rozprúdi celoeurópsku rozpravu a zaangažuje do nej všetky príslušné verejné a súkromné zainteresované strany.

Cieľ: koniec roka 2010 na priority EÚ pre kritické zložky a záležitosti týkajúce sa internetu.

- Zásady a usmernenia pre odolnosť a stabilitu internetu (európska úroveň). Komisia bude pracovať s členskými štátmi na vypracovaní usmernení pre odolnosť a stabilitu internetu, pričom sa zameria, okrem iného, na regionálne nápravné opatrenia, dohody o vzájomnej pomoci, stratégie koordinovanej obnovy a kontinuity, zemepisné rozmiestnenie kritických internetových zdrojov, technologické bezpečnostné záruky v internetovej architektúre a protokoloch, replikáciu a rozmanitosť služieb a údajov. Komisia už financuje pracovnú skupinu pre odolnosť DNS, ktorá spolu s inými relevantnými projektmi pomôže vybudovať konsenzus[30].

Cieľ: koniec roka 2009 pre európsku cestovnú mapu smerom k zásadám a usmerneniam pre odolnosť a stabilitu internetu; koniec roka 2010 na schválenie prvého konceptu takýchto zásad a usmernení.

- Zásady a usmernenia pre odolnosť a stabilitu internetu (celosvetová úroveň). Komisia bude pracovať s členskými štátmi na cestovnej mape smerom k podpore zásad a usmernení na celosvetovej úrovni. Vybuduje sa strategická spolupráca s tretími krajinami, najmä v oblasti dialógov o informačnej spoločnosti, ktorá bude slúžiť ako prostriedok na dosiahnutie globálneho konsenzu[31].

Cieľ: začiatok roka 2010 pre cestovnú mapu medzinárodnej spolupráce v oblasti zásad a usmernení pre bezpečnosť a odolnosť; koniec roka 2010 pre prvý koncept medzinárodne uznávaných zásad a usmernení, o ktorých sa bude diskutovať s tretími krajinami a na príslušných fórach vrátane Fóra správy internetu.

Celosvetové cvičenia o obnove a zmiernení rozsiahlych internetových incidentov. Komisia vyzýva európske zainteresované strany, aby:

- uvažovali o praktickom spôsobe rozšírenia cvičení, ktoré sa uskutočňujú v rámci piliera o zmiernení a obnove, na celosvetovú úroveň, pričom sa bude vychádzať z regionálnych plánov na riešenie núdzových udalostí a súvisiacich schopností.

Cieľ: koniec roka 2010, dokedy by mala Komisia navrhnúť rámec a cestovnú mapu na podporu európskej zaangažovanosti a účasti na globálnych cvičeniach obnovy a zmiernenia rozsiahlych internetových incidentov.

5.5. Kritériá európskych kritických infraštruktúr v sektore IKT

Kritériá špecifické pre sektor IKT. Ak svoje činnosti postaví na prvotných prácach vykonaných v roku 2008, Komisia bude:

- pokračovať v spolupráci s členskými štátmi a všetkými príslušnými zainteresovanými stranami vo vypracúvaní kritérií na identifikáciu európskych kritických infraštruktúr pre sektor IKT. S týmto cieľom sa príslušné informácie budú získavať z osobitnej štúdie, ktorá sa práve spúšťa[32].

Cieľ: prvá polovica roka 2010, do kedy má Komisia vymedziť kritériá európskych kritických infraštruktúr pre sektor IKT.

6. ZÁVERY

Bezpečnosť a odolnosť KII sú prvou líniou obrany pred zlyhaniami a úrokmi. Aby bolo možné v plnej miere využívať výhody informačnej spoločnosti, je nevyhnutné ich vylepšovanie v celej EÚ. Aby sa dosiahol tento ambiciózny cieľ, navrhuje sa akčný plán na posilnenie taktickej a prevádzkovej spolupráce na európskej úrovni. Úspech týchto opatrení závisí od miery účinnosti, do akej sa im podarí vychádzať z činností verejného a súkromného sektora a využívať ich, a ďalej od angažovanosti a plnej účasti členských štátov, európskych inštitúcií a zainteresovaných strán.

S týmto cieľom sa 27. – 28. apríla 2009 uskutoční ministerská konferencia, na ktorej sa bude s členskými štátmi diskutovať o navrhovaných iniciatívach, a na ktorej sa upriami ich pozornosť na ich záväzok debatovať o modernizovanej a posilnenej politike NIS v Európe.

Napokon, posilnenie bezpečnosti a odolnosti KII je dlhodobým cieľom, ktorého stratégia dosahovania a opatrenia si vyžadujú pravidelné posudzovanie. Z tohto dôvodu, keďže tento cieľ je v súlade so všeobecnou rozpravou o budúcnosti politiky sieťovej a informačnej bezpečnosti v EÚ po roku 2012, Komisia iniciuje ku koncu roka 2010 inventarizačné cvičenie, aby zhodnotila prvú fázu opatrení a identifikovala a podľa potreby navrhla ďalšie opatrenia.

[1] Vymedzenie pojmu KII bolo navrhnuté v dokumente KOM(2005) 576 v konečnom znení.

[2] Globálne riziká 2008 („Global Risks 2008“).

[3] KOM(2005) 229.

[4] KOM(2006) 251.

[5] Nariadenie (ES) č. 1007/2008.

[6] http://ec.europa.eu/information_society/newsroom/cf/itemlongdetail.cfm?item_id=4464

[7] KOM(2006) 786.

[8] 2008/114/ES

[9] http://www.consilium.europa.eu/ueDocs/cms_Data/docs/pressData/en/gena/104617.pdf

[10] KOM(2008) 676 v konečnom znení.

[11] KOM(2007) 697, KOM(2007) 698, KOM(2007) 699.

[12] Článok 13 rámcovej smernice.

[13] 2005/222/SVV

[14] KOM(2008) 712.

[15] http://www.usdoj.gov/criminal/cybercrime/g82004/G8_CIIP_Principles.pdf

[16] KOM(2008) 199 v konečnom znení.

[17] http://ec.europa.eu/invest-in-research/action/2006_ahogroup_en.htm

[18] Preskúmanie hospodárstva EÚ 2007 http://ec.europa.eu/economy_finance/publications/publication10130_en.pdf

[19] http://www.oecd.org/dataoecd/1/29/40821707.pdf

[20] http://epp.eurostat.ec.europa.eu/ – Veda a technológie / informačná spoločnosť

[21] KOM(2006) 688 v konečnom znení.

[22] KOM(2006) 251 v konečnom znení.

[23] http://ec.europa.eu/information_society/policy/nis/strategy/activities/ciip/large_scale/

[24] http://www.egc-group.org/

[25] Tuniský program pre informačnú spoločnosť, http://www.itu.int/wsis/docs2/tunis/off/6rev1.html.

[26] Smernica Rady 2008/114/ES.

[27] V rámci programu ES nazvaného „Terorizmus a iné bezpečnostné riziká – prevencia, pripravenosť a riadenie následkov“ , http://ec.europa.eu/justice_home/funding/cips/funding_cips_en.htm.

[28] Pozri poznámku pod čiarou 27.

[29] Pozri poznámku pod čiarou 24.

[30] Pozri poznámku pod čiarou 27.

[31] KOM(2008) 588 v konečnom znení.

[32] Pozri poznámku pod čiarou 27.