52011DC0163

[pic] | EVROPSKA KOMISIJA |

Bruselj, 31.3.2011

COM(2011) 163 konč.

SPOROČILO KOMISIJE EVROPSKEMUPARLAMENTU, SVETU, EVROPSKEMU EKONOMSKO-SOCIALNEMU ODBORU IN ODBORU REGIJ

o zaščiti kritične informacijske infrastrukture„Dosežki in naslednji koraki: h globalni kibernetski varnosti“

SPOROČILO KOMISIJE EVROPSKEMUPARLAMENTU, SVETU, EVROPSKEMU EKONOMSKO-SOCIALNEMU ODBORU IN ODBORU REGIJ

o zaščiti kritične informacijske infrastrukture „Dosežki in naslednji koraki: h globalni kibernetski varnosti“

UVOD

Komisija je 30. marca 2009 sprejela sporočilo o zaščiti kritične informacijske infrastrukture (critical information infrastructure protection – CIIP) – „Kako zaščititi Evropo pred obsežnimi kibernetskimi napadi in prekinitvami: izboljšati pripravljenost, varnost in odpornost“[1], v katerem je predstavljen načrt (akcijski načrt CIIP) za okrepitev varnosti in odpornosti bistvene infrastrukture informacijske in komunikacijske tehnologije (IKT). Cilj je bil spodbuditi in podpreti razvoj visoke ravni pripravljenosti, varnosti in odpornosti na nacionalni in evropski ravni. Ta pristop je Svet leta 2009 na splošno podprl[2].

Akcijski načrt CIIP temelji na petih stebrih: pripravljenost in preprečevanje, odkrivanje in odziv, ublažitev in odprava posledic, mednarodno sodelovanje in merila za evropske kritične infrastrukture na področju IKT. Določa, kaj morajo Komisija, države članice in/ali industrija ob podpori Evropske agencije za varnost omrežij in informacij (European Network and Information Security Agency – ENISA) narediti v okviru posameznega stebra.

Evropska digitalna agencija[3] (Digital Agenda for Europe – DAE), sprejeta maja 2010, in povezani sklepi Sveta[4] so izpostavili soglasje, da sta zaupanje in varnost temeljna predpogoja za široko uporabo IKT in s tem za doseganje ciljev „pametne rasti“ v okviru strategije Evropa 2020[5]. DAE poudarja, da si morajo vse zainteresirane strani s skupnimi močmi prizadevati za varnost in odpornost infrastruktur IKT z osredotočanjem na preprečevanje, pripravljenost in ozaveščanje ter za razvoj učinkovitih in usklajenih mehanizmov za odzivanje na nove in vse bolj kompleksne oblike kibernetskih napadov in kibernetske kriminalitete. Ta pristop ustrezno upošteva preventivno in odzivno razsežnost problema.

V zadnjih mesecih so bili sprejeti naslednji ukrepi, ki so bili napovedani v digitalni agendi: Komisija je septembra 2010 sprejela predlog Direktive o napadih na informacijske sisteme[6]. Njen namen je okrepiti boj proti kibernetski kriminaliteti s približanjem sistemov kazenskega prava držav članic ter izboljšanjem sodelovanja med sodnimi in drugimi pristojnimi organi. Uvaja tudi določbe o tem, kako ravnati z novimi oblikami kibernetskih napadov, zlasti botneti. Kot dopolnilo temu je Komisija hkrati predložila predlog[7] novega mandata za okrepitev in posodobitev agencije ENISA, da bi se povečala zaupanje in varnost omrežij. Okrepitev in posodobitev agencije ENISA bo EU, državam članicam in zainteresiranim stranem zasebnega sektorja omogočila, da izboljšajo svoje zmogljivosti in pripravljenost za preprečevanje in odkrivanje problemov na področju kibernetske varnosti ter odzivanje nanje.

Poleg tega je v DAE, stockholmskem programu/akcijskem načrtu[8] in sporočilu „Izvajanje strategije notranje varnosti EU“[9] (Internal Security Strategy – ISS) poudarjena zaveza Komisije za oblikovanje digitalnega okolja, v katerem lahko vsak Evropejec v celoti izrazi svoj gospodarski in družbeni potencial.

To sporočilo upošteva rezultate, dosežene od sprejetja akcijskega načrta CIIP v letu 2009, in opisuje naslednje korake, načrtovane za posamezen ukrep na evropski in mednarodni ravni. Osredotoča se tudi na svetovno razsežnost izzivov ter pomembnost spodbujanja sodelovanja med državami članicami in zasebnim sektorjem na nacionalni, evropski in mednarodni ravni, da bi se obravnavalo vprašanje svetovne soodvisnosti.

RAZVOJ SCENARIJA

Ocena učinka, priložena akcijskemu načrtu CIIP[10], ter številne analize in poročila zasebnih in javnih zainteresiranih strani poudarjajo, da je Evropa družbeno, politično in gospodarsko odvisna od IKT ter da število, obseg, kompleksnost in morebiten učinek naravnih ali človekovih groženj stalno naraščajo.

Pojavile so se nove in tehnološko bolj kompleksne grožnje, katerih svetovna geopolitična razsežnost je vse bolj jasna. Srečujemo se s trendom uporabe IKT za politično, gospodarsko in vojaško prevlado, tudi prek napadov. Pri tem se včasih omenja „kibernetska vojna“ ali „kibernetski terorizem“.

Poleg tega so nekateri režimi, kot so pokazali nedavni dogodki v južnem Sredozemlju, pripravljeni in zmožni svojim državljanom iz političnih razlogov samovoljno odvzeti dostop do komunikacijskih sredstev IT – zlasti interneta in mobilnih komunikacij – ali ga prekiniti. Takšna enostranska nacionalna posredovanja imajo lahko resne učinke na druge dele sveta[11].

Da bi te različne grožnje celoviteje razumeli, je smiselno, da jih glede na njihov namen razvrstimo v naslednje kategorije:

- izkoriščanje , kot so „napredne neprestane grožnje“[12] ( advanced persistent threats ) za gospodarsko in politično vohunjenje (npr. GhostNet[13]), kraja identitete, nedavni napadi na sistem trgovanja z emisijami[14] ali vladne sisteme IT[15];

- motnje , kot so porazdeljena zavrnitev storitve ( distributed denial of service ) ali pošiljanje neželene pošte prek botnetov (npr. mreža Conficker s 7 milijoni računalnikov in iz Španije izhajajoča mreža Mariposa z 12,7 milijona računalniki[16]), Stuxnet[17] in prekinitev komunikacij;

- uničenje . Ta scenarij se še ni uresničil, vendar ga zaradi vse večje prodornosti IKT pri kritični infrastrukturi (npr. pametna omrežja in sistemi oskrbe z vodo) v prihodnosti ni mogoče izključiti[18].

EVROPSKA UNIJA IN SVETOVNI OKVIR

Prihodnji izzivi niso ne specifični za Evropsko unijo niti jih EU ne more sama rešiti. Prodornost IKT in interneta omogoča učinkovitejšo, uspešnejšo in gospodarnejšo komunikacijo, usklajevanje in sodelovanje med zainteresiranimi stranmi ter vodi k dinamičnemu ekosistemu inovacij na vseh področjih življenja. Vendar lahko grožnje zdaj prihajajo od koder koli na svetu in zaradi svetovne povezanosti lahko prizadenejo kateri koli del sveta.

Izključno evropski pristop ni dovolj za reševanje prihodnjih izzivov. Čeprav je oblikovanje skladnega in na sodelovanju temelječega pristopa znotraj EU še vedno pomemben cilj, ga je treba vključiti v strategijo svetovnega usklajevanja, v kateri sodelujejo glavni partnerji, posamezne države ali zadevne mednarodne organizacije.

Prizadevati si moramo za globalno razumevanje tveganj, povezanih z razširjeno in masovno uporabo IKT v vseh delih družbe. Poleg tega moramo oblikovati strategije za ustrezno in učinkovito obvladovanje teh tveganj, in sicer za njihovo preprečevanje, boj proti njim, ublažitev njihovih posledic in odzivanje nanje. DAE poziva, da je treba „ za uspeh spopadanja z varnostnimi grožnjami in njihovo zmanjšanje […] organizirati sodelovanje zadevnih akterjev na svetovni ravni “, in določa cilj, da je treba sodelovati „ z zainteresiranimi stranmi, zlasti da se izboljša svetovno obvladovanje tveganj v digitalnem in fizičnem okolju in izvajajo mednarodno usklajeni usmerjeni ukrepi proti računalniškemu kriminalu in napadom na varnost “.

IZVAJANJE AKCIJSKEGA NAčRTA CIIP: NEKAJ GLAVNIH TOčK

Celotno poročilo o dosežkih akcijskega načrta CIIP in prihodnjih korakih je v Prilogi. V nadaljevanju je navedenih nekaj glavnih točk o trenutnem stanju.

Pripravljenost in preprečevanje

- Evropski forum držav članic (European Forum of Member States – EFMS) je dosegel velik napredek pri spodbujanju razprav o dobrih političnih praksah, povezanih z varnostjo in odpornostjo infrastruktur IKT, in njihovi izmenjavi med zadevnimi organi. Države članice ga priznavajo kot pomembno platformo za razprave in izmenjavo dobrih političnih praks[19]. Pri njegovih prihodnjih dejavnostih ga bo še naprej podpirala ENISA, dejavnosti pa bodo osredotočene na sodelovanje med nacionalnimi/vladnimi skupinami za odzivanje na računalniške grožnje (Computer Emergency Response Teams – CERT), ugotavljanje gospodarskih in regulativnih pobud za varnost in odpornost (ob upoštevanju veljavnih pravil o konkurenci in državni pomoči), ocenjevanje trenutnega stanja kibernetske varnosti v Evropi, organiziranje vseevropskih vaj za kibernetsko varnost ter razpravljanje o prednostnih nalogah za mednarodno sodelovanje pri vprašanjih varnosti in odpornosti.

- Začelo se izvajati Evropsko javno-zasebno partnerstvo za odpornost (European Public-Private Partnership for Resilience – EP3R) kot vseevropski okvir upravljanja za odpornost infrastruktur IKT. Njegov namen je spodbujati sodelovanje med javnim in zasebnim sektorjem pri strateških vprašanjih politike EU na področju varnosti in odpornosti. ENISA je olajšala dejavnosti EP3R, v skladu s predlogom Komisije iz leta 2010 za posodobitev agencije ENISA pa bo forumu EP3R zagotovila dolgoročni in trajnostni okvir. EP3R bo tudi deloval kot platforma za mednarodno sodelovanje pri vprašanjih javne politike ter gospodarskih in tržnih zadevah, pomembnih za varnost in odpornost, zlasti za krepitev svetovnega obvladovanja tveganj pri infrastrukturah IKT.

- Izdelani so bili minimalni sklop osnovnih zmogljivosti in storitev [20] ter povezana priporočila za politiko [21], da bi nacionalni/vladni CERT učinkovito delovali in bili ključni element nacionalne zmogljivosti za pripravljenost, izmenjavo informacij, usklajevanje in odzivanje. Ti rezultati bodo podlaga, na kateri se bo do leta 2012 s podporo agencije ENISA vzpostavilo omrežje dobro delujočih nacionalnih/vladnih CERT v vseh državah članicah. To omrežje bo temelj Evropskega sistema za izmenjavo informacij in opozarjanje (European Information Sharing and Alert System – EISAS) za državljane in MSP, ki bo izdelan do leta 2013, in sicer z nacionalnimi viri in zmogljivostmi.

Odkrivanje in odziv

- ENISA je izdelala časovni načrt na visoki ravni za razvoj sistema EISAS do leta 2013[22], ki temelji na izvajanju osnovnih storitev na ravni nacionalnih/vladnih CERT in storitev interoperabilnosti za vključitev nacionalnih sistemov za izmenjavo informacij in opozarjanje v EISAS. Ustrezna zaščita osebnih podatkov bo eden od ključnih elementov pri tej dejavnosti.

Ublažitev in odprava posledic

- Do zdaj je samo 12 držav članic organiziralo vaje za odziv na obsežne varnostne incidente na omrežje ter odpravo posledic nesreč[23]. ENISA je izdelala vodnik dobre prakse za nacionalne vaje [24] in priporočila za politiko za razvoj nacionalnih strategij[25] za podporo dejavnosti držav članic, ki jih je treba okrepiti.

- Prve vseevropske vaje za odziv na obsežne varnostne incidente na omrežje (Cyber Europe 2010) so potekale 4. novembra 2010. Vključene so bile vse države članice, 19 med njimi ter Švica, Norveška in Islandija pa so aktivno sodelovale. Za prihodnje vseevropske vaje za kibernetsko varnost bi bilo nedvomno koristno, če bi obstajal skupen okvir, ki temelji na nacionalnih načrtih odzivnosti na incidente in jih povezuje, saj bi se s tem zagotovili osnovni mehanizmi in postopki za komunikacijo in sodelovanje med državami članicami.

Mednarodno sodelovanje

- V okviru EFMS se je razpravljajo o evropskih načelih in smernicah za odpornost in stabilnost interneta [26] ter se jih izdelalo. Komisija bo o teh načelih razpravljala z zadevnimi zainteresiranimi stranmi in jih spodbujala, zlasti v zasebnem sektorju (prek EP3R), v dvostranskih pogovorih s ključnimi mednarodnimi partnerji, zlasti ZDA, in večstranskih pogovorih, in sicer v okviru svojih pristojnosti med drugim v naslednjih forumih: G8, OECD, NATO (zlasti na podlagi novega strateškega koncepta, sprejetega novembra 2010, in dejavnosti Centra odličnosti za sodelovanje pri kibernetski obrambi), ITU (v okviru razvoja zmogljivosti na področju kibernetske varnosti), OSCE (prek foruma za varnostno sodelovanje), ASEAN, Meridian[27] itd. Cilj je, da bi ta načela in smernice postali skupen okvir za skupna mednarodna prizadevanja na področju dolgoročne odpornosti in stabilnosti interneta.

Merila za evropske kritične infrastrukture v sektorju IKT

- Tehnične razprave v EFMS so privedle do prvega osnutka posebnih meril za sektor IKT za ugotavljanje evropskih kritičnih infrastruktur s poudarkom na fiksnih in mobilnih komunikacijah ter internetu . Tem razpravam, ki se bodo nadaljevale, bodo koristila posvetovanja o osnutku meril na nacionalni in evropski (prek EP3R) ravni z zasebnim sektorjem. Komisija bo z državami članicami razpravljala tudi o posebnih elementih za sektor IKT, ki jih je treba upoštevati pri reviziji direktive o ugotavljanju in določanju evropske kritične infrastrukture ter o oceni potrebe za izboljšanje njene zaščite[28] leta 2012

POT NAPREJ

Izvajanje akcijskega načrta CIIP spremljajo pozitivni dosežki. Zlasti je bilo ugotovljeno, da je na področju varnosti omrežij in informacij potreben pristop, ki temelji na sodelovanju vseh zainteresiranih strani. Prav tako je na splošno v skladu z mejniki in časovnim načrtom, ki so bili določeni leta 2009. Vendar se s tem ne smemo zadovoljiti, saj je treba na nacionalni in evropski ravni še veliko narediti, da bodo ta prizadevanja uspešna.

Prav tako je zlasti pomembno, da jih vključimo v strategijo svetovnega usklajevanja in da torej z vsemi zadevnimi zainteresiranimi stranmi postanemo dejavni na mednarodni ravni, da sodelujemo z drugimi regijami, državami ali organizacijami, ki se ukvarjajo s podobnimi vprašanji, in oblikujemo partnerstva, da si bomo lahko izmenjevali pristope in povezane dejavnosti ter se izognili podvajanju prizadevanj.

Spodbujati moramo svetovno kulturo obvladovanja tveganj. Poudarek mora biti na spodbujanju usklajenih ukrepov za preprečevanje in odkrivanje vseh naravnih motenj in motenj, ki jih povzroči človek, ter ublažitev njihovih posledic in odzivanje nanje ter za pregon povezane kibernetske kriminalitete. Sem spadajo tudi ciljno usmerjeni ukrepi proti varnostnim grožnjam in računalniškemu kriminalu.

V ta namen bo Komisija :

- spodbujala načela za odpornost in stabilnost interneta – z drugimi državami, mednarodnimi organizacijami in po potrebi svetovnimi organizacijami iz zasebnega sektorja je treba izdelati mednarodna načela za odpornost in stabilnost interneta. Za to se lahko uporabijo obstoječi forumi in postopki, kot so postopki, povezani z upravljanjem interneta. S temi načeli bi lahko vse zainteresirane strani določile okvir za svoje dejavnosti v zvezi s stabilnostjo in odpornostjo interneta. Evropska načela in smernice bi lahko služili kot podlaga za to;

- oblikovala strateška mednarodna partnerstva – strateška partnerstva morajo temeljiti na obstoječih prizadevanjih na kritičnih področjih, kot je obvladovanje kibernetskih incidentov, vključno z vajami in sodelovanjem med CERT. Vključitev zasebnega sektorja, ki deluje na svetovni ravni, je zelo pomembna. Delovna skupina EU-ZDA za kibernetsko varnost in kibernetsko kriminaliteto, ustanovljena na vrhu med EU in ZDA novembra 2010, je pomemben korak v tej smeri. Osredotočena bo na obvladovanje kibernetskih incidentov, javno-zasebna partnerstva, ozaveščanje in kibernetsko kriminaliteto. Po potrebi lahko tudi preuči možnosti za sodelovanje z drugimi regijami ali državami, zlasti tistimi, ki se ukvarjajo s podobnimi vprašanji, da se izmenjajo pristopi in povezane dejavnosti ter prepreči podvajanje prizadevanj. V mednarodnih forumih, zlasti v G8, si je treba prizadevati za nadaljnje sodelovanje in usklajevanje. Na evropski strani bi ključni dejavniki za uspeh bili dobro usklajevanje med vsemi institucijami EU, zadevnimi agencijami (zlasti agencijo ENISA in Europolom) in državami članicami;

- vzpostavitev zaupanja v oblak – bistveno je okrepiti razprave o najboljših strategijah upravljanja za nastajajoče tehnologije s svetovnim učinkom, kot je računalništvo v oblaku. Te razprave morajo nedvomno med drugim obravnavati ustrezni okvir upravljanja za zaščito osebnih podatkov. Zaupanje je bistveno, da se bodo izkoristile vse prednosti[29].

Ker smo za varnost odgovorni vsi, morajo države članice zagotoviti, da bodo njihovi nacionalni ukrepi in prizadevanja skupaj prispevali k usklajenemu evropskemu pristopu k preprečevanju in odkrivanju vseh vrst kibernetskih motenj in napadov ter ublažitvi njihovih posledic in odzivanju nanje. Zato se morajo države članice zavezati k :

- povečanju pripravljenosti EU z vzpostavitvijo omrežja dobro delujočih nacionalnih/vladnih CERT do leta 2012. Podobno bodo tudi institucije EU na svoji ravni do leta 2012 vzpostavile CERT. Pri vseh teh prizadevanjih je treba izkoristiti povezan minimalni sklop osnovnih zmogljivosti in storitev ter povezana priporočila za politiko, ki jih je izdelala ENISA. ENISA bo tudi v prihodnje podpirala te pobude. Ta dejavnost bo tudi pospešila razvoj sistema EISAS za širšo javnost do leta 2013;

- izdelavi evropskega načrta odzivnosti na kibernetske incidente do leta 2012 in organiziranju rednih vseevropskih vaj. Vaje za kibernetsko varnost so pomemben element usklajene strategije za načrtovanje odzivnosti na kibernetske incidente in odpravo posledic na nacionalni in evropski ravni. Prihodnje vseevropske vaje za kibernetsko varnost se morajo opirati na evropski načrt odzivnosti na kibernetske incidente, ki temelji na nacionalnih načrtih odzivnosti in je povezan z njimi. Tak načrt mora določati osnovne mehanizme in postopek za komunikacijo med državami članicami ter podpirati določanje obsega in organizacijo prihodnjih vseevropskih vaj. ENISA bo sodelovala z državami članicami pri razvoju takega evropskega načrta odzivnosti na kibernetske incidente do leta 2012. V istem času pa morajo vse države članice razviti redne nacionalne načrte odzivnosti ter vaje za odzivanje in odpravo posledic;

- evropskim usklajenim prizadevanjem v mednarodnih forumih in razpravah o povečanju varnosti in odpornosti interneta. Države članice morajo sodelovati medsebojno in s Komisijo pri spodbujanju razvoja pristopa k vprašanju svetovne stabilnosti in odpornosti interneta, ki temelji na načelih ali normah. Cilj mora biti spodbujanje preprečevanja in pripravljenosti na vseh ravneh in pri vseh zainteresiranih straneh ter s tem uravnoteženje trenutne težnje, da se razprave osredotočajo na vojaški vidik in/ali vidik nacionalne varnosti.

SKLEPNA UGOTOVITEV

Izkušnje kažejo, da izključno nacionalni ali regionalni pristopi za reševanje izzivov v zvezi z varnostjo in odpornostjo niso dovolj. Evropsko sodelovanje se je od leta 2009 zelo izboljšalo in doseglo spodbudne dosežke, med katerimi je zlasti vaja Cyber Europe 2010. Vendar mora Evropa nadaljevati svoja prizadevanja za oblikovanje skladnega in na sodelovanju temelječega pristopa na ravni EU. Posodobljena ENISA bi morala okrepiti svojo podporo državam članicam, institucijam EU in zasebnemu sektorju pri teh dolgoročnih prizadevanjih.

Evropska prizadevanja je treba vključiti v usklajen pristop na svetovni ravni, da bodo uspešna. Komisija bo zato v vseh ustreznih mednarodnih forumih spodbujala razprave o kibernetski varnosti.

Madžarsko predsedstvo EU bo 14. in 15 aprila 2011 organiziralo ministrsko konferenco na temo zaščite kritične informacijske infrastrukture. Konferenca bo ključna priložnost za okrepitev zavez za okrepljeno sodelovanje in usklajevanje med državami članicami na evropski in mednarodni ravni.

PRILOGA

Akcijski načrt CIIP: Podroben pregled dosežkov in naslednjih korakov

Rezultati dejavnosti, izvedenih v okviru akcijskega načrta CIIP, so na splošno v skladu z mejniki in časovnim načrtom, ki jih je Komisija določila leta 2009. V nadaljevanju so opisani „dosežki“ in „naslednji koraki“ za vse stebre. Pregled upošteva, da so bile nekatere dejavnosti podrobneje opredeljene v DAE in ISS.

1. Pripravljenost in preprečevanje

Osnova zmogljivosti in storitev za vseevropsko sodelovanje

Dosežki

- Leta 2009 je ENISA skupaj s skupnostjo CERT v Evropi izdelala in se dogovorila o minimalnem sklopu osnovnih zmogljivosti in storitev, s katerimi morajo razpolagati nacionalni/vladni CERT, da lahko učinkovito delujejo in podpirajo vseevropsko sodelovanje. Doseženo je bilo soglasje o seznamu obveznih zahtev na področjih delovanja, tehničnih zmogljivosti, mandata in sodelovanja[30].

- Leta 2010 je ENISA sodelovala s skupnostjo CERT v Evropi, da bi zgornje v delovanje usmerjene zahteve preoblikovali v sklop priporočil za politiko[31] za nacionalne/vladne CERT, da bi ti bili ključni element nacionalne zmogljivosti za pripravljenost, izmenjavo informacij, usklajevanje in odzivanje.

- Do zdaj je nacionalne/vladne CERT ustanovilo 20 držav članic[32], skoraj vse ostale pa to načrtujejo. Komisija je v skladu z napovedjo iz DAE in sporočilom ISS predlagala ukrepe za ustanovitev CERT za institucije EU do leta 2012.

Naslednji koraki

- ENISA bo še naprej podpirala tiste države članice, ki še niso ustanovile nacionalnih/vladnih CERT, ki izpolnjujejo zgoraj navedene dogovorjene osnovne zahteve za zagotovitev uresničitve cilja, da do konca leta 2011 v vseh državah članicah obstajajo dobro delujoči nacionalni/vladni CERT. Ta mejnik bo podlaga za vzpostavitev dobro delujočega omrežja CERT na nacionalni ravni do leta 2012 , kot je predvideno v DAE.

- ENISA bo v sodelovanju z nacionalnimi/vladnimi CERT razpravljala o morebitni razširitvi osnovnih zmogljivosti in načinu razširitve, da bodo lahko CERT bolje podpirali države članice pri zagotavljanju odpornosti in stabilnosti bistvenih infrastruktur IKT ter postali temelj EISAS za državljane in MSP, ki bo do leta 2013 izdelan z nacionalnimi viri in zmogljivostmi, kot je napovedano v ISS.

Evropsko javno-zasebno partnerstvo za odpornost (EP3R)

Dosežki

- Leta 2009 se je začelo izvajati partnerstvo EP3R kot vseevropski okvir upravljanja za odpornost infrastruktur IKT, ki spodbuja sodelovanje med javnim in zasebnim sektorjem pri ciljih varnosti in odpornosti, osnovnih zahtevah, dobrih političnih praksah in ukrepih. Kot je navedeno v ISS, bo EP3R sodeloval tudi „ z mednarodnimi partnerji, da se izboljša svetovno obvladovanje tveganj v omrežjih IT “. ENISA je olajšala dejavnosti EP3R.

- Z zasebnimi in javnimi zainteresiranimi stranmi se je posvetovalo, da bi se oblikovali cilji, načela in struktura EP3R ter našle pobude za spodbujanje zadevnih zainteresiranih strani k aktivnemu sodelovanju[33]. V predlogu za posodobitev agencije ENISA so bila navedena prednostna področja EP3R[34].

- Vzporedno z določanjem strukture EP3R so bile konec leta 2010 ustanovljene tri delovne skupine za naslednja področja: (a) ključni elementi, viri in funkcije za neprekinjeno in varno zagotavljanje elektronskih komunikacij po državah, (b) osnovne zahteve za varnost in odpornost elektronskih komunikacij, (c) potrebe in mehanizmi za usklajevanje in sodelovanje na področju priprav na obsežne motnje, ki vplivajo na elektronske komunikacije, in odzivanje nanje.

- Komisija je leta 2010 v predlogu za posodobitev agencije ENISA določila dolgoročni in trajni okvir za EP3R. Predlagala je, da mora ENISA spodbujati „ sodelovanje med zainteresiranimi stranmi iz javnega in zasebnega sektorja na ravni Unije tako, da spodbuja izmenjavo informacij in ozaveščanje ter podpira prizadevanja za pripravo in uvedbo standardov za upravljanje tveganj ter varnost elektronskih izdelkov, omrežij in storitev “.

Naslednji koraki

- EP3R bo leta 2011 še naprej krepil sodelovanje med zainteresiranimi stranmi javnega in zasebnega sektorja, da se z inovativnimi ukrepi in instrumenti izboljšata varnost in odpornost ter določijo odgovornosti zainteresiranih strani. Delovne skupine EP3R bodo ob podpori agencije ENISA predstavile svoje prve rezultate. V prihodnji dejavnosti bodo obravnavani tudi problemi kibernetske varnosti pametnih omrežij, podlaga za to pa bo pripravljalno delo, ki ga opravljata Komisija in ENISA.

- EP3R bo deloval tudi kot platforma za svetovno sodelovanje pri vprašanjih javne politike ter gospodarskih in tržnih zadevah, ki so pomembni za varnost in odpornost. Komisija se namerava pri podpori dejavnosti delovne skupine EU-ZDA za kibernetsko varnost in kibernetsko kriminaliteto opreti na EP3R, da bi zagotovila usklajeno okolje za sodelovanje med javnim in zasebnim sektorjem, pri čemer se bodo hkrati upoštevala veljavna pravila o konkurenci in državni pomoči.

- Dolgoročno je v skladu s predlogom za novo uredbo o agenciji ENISA predvideno, da bi moral EP3R postati ključna dejavnost posodobljene agencije ENISA.

Evropski forum za države članice (EFMS)

Dosežki

- Za pospeševanje razprav o dobrih praksah in njihove izmenjave med zadevnimi javnimi organi je bil leta 2009 ustanovljen EFMS, katerega namen je izmenjava ciljev politike in prednostnih nalog na področju varnosti in odpornosti infrastruktur IKT, pri čemer izkorišča neposredne prednosti dela in podpore agencije ENISA. EFMS se sestaja vsake tri mesece, od sredine leta 2010 pa ga podpira posebni spletni portal, ki ga upravlja ENISA.

- EFMS je dosegel znaten napredek na naslednjih področjih: (a) opredelitev meril za ugotavljanje evropskih infrastruktur IKT v okviru Direktive o ugotavljanju in določanju evropske kritične infrastrukture[35], (b) določitev evropskih prednostnih nalog, načel in smernic za odpornost in stabilnost interneta, (c) izmenjava dobrih političnih praks, zlasti v zvezi z vajami za kibernetsko varnost.

- Države članice ga priznavajo kot pomembno platformo za razprave in izmenjavo dobrih političnih praks[36].

Naslednji koraki

- Leta 2011 bo EFMS končal tehnične razprave o merilih IKT za evropske kritične infrastrukture ter zagotovil dolgoročne usmeritve in prednostne naloge za vseevropske obsežne vaje za varnost omrežij in informacij.

- Poleg tega bo EFMS sodeloval pri razpravah o prednostnih nalogah za mednarodno sodelovanje pri vprašanjih varnosti in odpornosti, zlasti v zvezi z dejavnostmi delovne skupine EU-ZDA za kibernetsko varnost in kibernetsko kriminaliteto.

- Prednostna področja za prihodnje dejavnosti EFMS, ki bodo deležne neposredne podpore agencije ENISA, zajemajo[37]: oblikovanje metod za učinkovito sodelovanje med nacionalnimi/vladnimi CERT, uporabo minimalnih zahtev v javnih naročilih za povečanje kibernetske varnosti, določitev gospodarskih in regulativnih pobud za varnost in odpornost (ob upoštevanju pravil o konkurenci in državni pomoči) ter oceno trenutnega stanja kibernetske varnosti v Evropi.

- Odkrivanje in odziv

Evropski sistem za izmenjavo informacij in opozarjanje (EISAS)

Dosežki

- Komisija je financirala dva prototipna projekta (FISHAS in NEISAS), katerih končni rezultati bodo znani v kratkem.

- ENISA je na podlagi poročila o izvedljivosti[38] iz leta 2007 ter analize zadevnih projektov na nacionalni in evropski ravni izdelala časovni načrt na visoki ravni za razvoj sistema EISAS do leta 2013[39].

Naslednji koraki

- Leta 2011 bo ENISA podpirala države članice pri izvajanju časovnega načrta za EISAS in bo v ta namen razvila „osnovne storitve“, ki jih države članice potrebujejo za vzpostavitev svojih nacionalnih sistemov za izmenjavo informacij in opozarjanje (Information Sharing and Alert System – ISAS) na podlagi zmogljivosti njihovih nacionalnih/vladnih CERT.

- Leta 2012 bo ENISA izdelala „storitve interoperabilnosti“, da bo lahko vsak nacionalni ISAS funkcionalno vključen v EISAS. Poleg tega bo države članice podpirala pri preizkušanju teh storitev v okviru postopne vključitve nacionalnih sistemov.

- Med letoma 2011 in 2012 bo ENISA nacionalne/vladne CERT pozvala, da ISAS vključijo v svoje storitve.

- Ublažitev in odprava posledic

Nacionalni načrti odzivnosti na incidente in vaje

Dosežki

- Do konca leta 2010 je 12 držav članic izdelalo nacionalne načrte odzivnosti in/ali organiziralo vaje za odziv na obsežne varnostne incidente na omrežje in odpravo posledic nesreč[40].

- ENISA je na podlagi nacionalnih in mednarodnih izkušenj izdelala vodnik dobre prakse za nacionalne vaje[41], z državami članicami in CERT po svetu organizirala prireditve, namenjene nacionalnim vajam, pred kratkim pa je izdala priporočila za politiko za razvoj nacionalnih strategij, pri katerih imajo nacionalni/vladni CERT/CSIRT ključno vlogo pri vodenju nacionalnih načrtov in vaj odzivnosti na incidente ter ustreznih preizkusov, v katere so vključene zainteresirane strani javnega in zasebnega sektorja[42].

Naslednji koraki

- ENISA bo še naprej podpirala prizadevanja držav članic, da za izboljšanje vseevropskega usklajevanja pripravijo nacionalne načrte odzivnosti na incidente in organizirajo redne vaje za odzivanje na obsežne varnostne incidente na omrežje ter odpravo posledic nesreč.

Vseevropska vaja odzivanja na obsežne varnostne incidente na omrežje

Dosežki

- Prve vseevropske vaje za odziv na obsežne varnostne incidente na omrežje ( Cyber Europe 2010 ) so potekale 4. novembra 2010. Vključene so bile vse države članice, 19 med njimi ter Švica, Norveška in Islandija pa so aktivno sodelovale. Vajo je organizirala ENISA z aktivnim sodelovanjem v skupini za načrtovanje osmih držav članic in ob tehnološki podpori Skupnega raziskovalnega središča (JRC) ter jo tudi ocenila[43].

Naslednji koraki

- Leta 2011 bodo države članice razpravljale o cilju in obsegu naslednje vseevropske vaje za kibernetsko varnost, predvidene za leto 2012. Preučila se bo možnost postopnega pristopa s podrobnejšimi vajami, na katerih sodeluje manjše število držav članic in morda mednarodni akterji. ENISA bo še naprej podpirala za proces.

- Komisija finančno podpira projekt EuroCybex, v okviru katerega bo v drugi polovici leta 2011 opravljena simulacijska vaja.

- Vaje za kibernetsko varnost so pomemben element usklajene strategije za načrtovanje odzivnosti na kibernetske incidente na nacionalni in evropski ravni. Zato se morajo prihodnje vseevropske vaje za kibernetsko varnost opirati na evropski načrt odzivnosti na kibernetske incidente, ki temelji na nacionalnih načrtih odzivnosti in je povezan z njimi. Tak načrt mora določati osnovne mehanizme in postopek za komunikacijo med državami članicami ter podpirati določanje obsega in organizacijo prihodnjih vseevropskih vaj. ENISA bo sodelovala z državami članicami pri razvoju takega evropskega načrta odzivnosti na kibernetske incidente do leta 2012. V istem času pa morajo vse države članice pripraviti redne nacionalne načrte odzivnosti ter vaje za odzivanje in odpravo posledic. Delo, potrebno za dosego tega rezultat, bo usklajeval EFMS.

Okrepljeno sodelovanje med nacionalnimi/vladnimi CERT

Dosežki

- Sodelovanje med nacionalnimi/vladnimi CERT je bilo okrepljeno. Delo agencije ENISA na področjih osnovnih zmogljivosti za nacionalne/vladne CERT, vaj CERT in nacionalnih vaj ter obvladovanju kibernetskih incidentov je pomagalo spodbuditi močnejše vseevropsko sodelovanje med nacionalnimi/vladnimi CERT in ga je podpiralo.

Naslednji koraki

- ENISA bo še naprej podpirala sodelovanje med nacionalnimi/vladnimi CERT. Za ta namen bo leta 2011 opravila analizo zahtev in oblikovala napotke za primerni varni kanal za komuniciranje s CERT, vključno s časovnim načrtom za izvajanje in prihodnji razvoj. Analizirala bo tudi operativne vrzeli na evropski ravni in izdelala poročilo o možnostih okrepitve čezmejnega sodelovanja med CERT in zadevnimi zainteresiranimi stranmi, zlasti pri usklajevanju odzivanja na incidente.

- V DAE se države članice poziva, da do leta 2012 vzpostavijo dobro delujoče omrežje CERT na nacionalni ravni.

- Mednarodno sodelovanje

Odpornost in stabilnost interneta

Dosežki

- Na podlagi dela EFMS so bila izdelana evropska načela in smernice za odpornost in stabilnost interneta[44].

Naslednji koraki

- Leta 2011 bo Komisija v okviru dvostranskega sodelovanja z mednarodnimi partnerji, zlasti ZDA, ter večstranskih razprav v okviru G8, OECD, Meridian in ITU spodbujala načela in razpravljala o njih, se posvetovala z zadevnimi zainteresiranimi stranmi, zlasti z zasebnim sektorjem, na evropski (prek EP3R) in mednarodni ravni (prek foruma o upravljanju interneta in drugih ustreznih forumov) ter spodbujala razprave s ključnimi akterji/organizacijami na področju interneta.

- Leta 2012 bodo mednarodni partnerji preoblikovali načela in smernice v skupen okvir za skupna mednarodna prizadevanja na področju dolgoročne odpornosti in stabilnosti interneta.

Svetovne vaje na področju odprave in ublažitve posledic obsežnih internetnih incidentov

Dosežki

- Sedem držav članic[45] je v vlogi mednarodnih partneric sodelovalo v vaji ZDA za kibernetsko varnost Cyber Storm III. Komisija in ENISA sta sodelovali kot opazovalki.

Naslednji koraki

- Leta 2011 bo Komisija skupaj z ZDA pod okriljem delovne skupine EU-ZDA za kibernetsko varnost in kibernetsko kriminaliteto izdelala skupen program in časovni načrt za skupne/sinhronizirane medcelinske vaje za kibernetsko varnost v letih 2012 in 2013. Preučene bodo tudi možnosti za sodelovanje drugih regij in držav, ki se ukvarjajo s podobnimi vprašanji, da se izmenjajo pristopi in povezane dejavnosti.

- Merila za evropske kritične infrastrukture v sektorju IKT

Sektorska merila za ugotavljanje evropske kritične infrastrukture za sektor IKT

Dosežki

- V okviru tehničnih razprav v EFMS o posebnih sektorskih merilih za IKT je bil izdelan osnutek meril za fiksne in mobilne komunikacije ter internet.

Naslednji koraki

- EFMS bo nadaljeval tehnične razprave o posebnih sektorskih merilih za IKT in si prizadeval za njihovo dokončanje do konca leta 2011. Hkrati nekatere države članice in EU (prek EP3R) načrtujejo posvetovanja z zasebnim sektorjem o osnutku meril za sektor IKT.

- Komisija bo z državami članicami razpravljala o posebnih elementih za sektor IKT, ki jih je treba upoštevati pri reviziji Direktive 2008/114/ES o ugotavljanju in določanju evropske kritične infrastrukture leta 2012.

-

[1] COM(2009) 149.

[2] Resolucija Sveta z dne 18. decembra 2009 o skupnem evropskem pristopu do varnosti omrežij in informacij (2009/C 321/01).

[3] COM(2010) 245.

[4] Sklepi Sveta z dne 31. maja 2010 o evropski digitalni agendi (10130/10).

[5] COM(2010) 2020 in sklepi Evropskega sveta z dne 25. in 26. marca 2010 (EUCO 7/10).

[6] COM(2010) 517 konč.

[7] COM(2010) 521.

[8] COM(2010) 171.

[9] COM(2010) 673.

[10] SEC(2009) 399.

[11] Skupno sporočilo o partnerstvu za demokracijo in skupno blaginjo z državami južnega Sredozemlja; COM(2011) 200 z dne 8.3.2011.

[12] To so nenehni in usklajeni napadi na vladne agencije in javni sektor. Ti napadi postajajo zdaj problem tudi v zasebnem sektorju (glej „RSA 2011 cybercrime trends report“).

[13] Glej poročili projekta „Information Warfare Monitor“: „Tracking GhostNet: investigating a Cyber Espionage Network“ (2009) in „Shadows in the Cloud: Investigating Cyber Espionage 2.0“ (2010).

[14] Glej vprašanja in odgovore na http://europa.eu/rapid/pressReleasesAction.do?reference=MEMO/11/34&format=HTML&aged=0&language=EN&guiLanguage=fr.

[15] Npr. nedavni napadi na sisteme francoske vlade.

[16] Glej projekt OECD/IFP „Future Global Shocks“, „Reducing systemic cyber-security risks“, 14. januar 2011, na http://www.oecd.org/dataoecd/3/42/46894657.pdf.

[17] Glej http://www.enisa.europa.eu/media/press-releases/stuxnet-analysis.

[18] Glej Svetovni gospodarski forum, Global Risks 2011.

[19] Vlada Združenega kraljestva je v odgovoru na peto poročilo Odbora za Evropsko unijo zgornjega doma o akcijskem načrtu CIIP navedla, da je EFMS uspešen in ustreza resnični potrebi oblikovalcev politike, da imajo priložnost za izmenjavo izkušenj.

[20] Glej http://www.enisa.europa.eu/act/cert/support/files/baseline-capabilities-for-national-governmental-certs.

[21] Glej http://www.enisa.europa.eu/act/cert/support/files/baseline-capabilities-of-national-governmental-certs-policy-recommendations.

[22] http://www.enisa.europa.eu/act/cert/other-work/eisas_folder/eisas_roadmap.

[23] Vir: ENISA.

[24] Glej http://www.enisa.europa.eu/act/res/policies/good-practices-1/exercises/national-exercise-good-practice-guide/at_download/fullReport.

[25] Glej http://www.enisa.europa.eu/act/cert/support/files/baseline-capabilities-of-national-governmental-certs-policy-recommendations.

[26] Glej http://ec.europa.eu/information_society/policy/nis/index_en.htm.

[27] Meridianski proces naj bi vladam po svetu omogočil, da lahko razpravljajo o tem, kako naj sodelujejo na ravni politike na področju zaščite kritične informacijske infrastrukture. Glej http://meridianprocess.org/.

[28] Direktiva Sveta 2008/114/ES.

[29] Glej na primer poročili agencije ENISA „Cloud Computing Information Assurance Framework“ (2009) na (http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-information-assurance-framework/at_download/fullReport) in „Security and resilience in governmental clouds“ (2011) na (http://www.enisa.europa.eu/act/rm/emerging-and-future-risk/deliverables/security-and-resilience-in-governmental-clouds/).

[30] Glej http://www.enisa.europa.eu/act/cert/support/files/baseline-capabilities-for-national-governmental-certs.

[31] Glej http://www.enisa.europa.eu/act/cert/support/files/baseline-capabilities-of-national-governmental-certs-policy-recommendations.

[32] Vir ENISA.

[33] Glej http://ec.europa.eu/information_society/policy/nis/strategy/activities/ciip/impl_activities/index_en.htm.

[34] COM(2010) 521.

[35] Direktiva Sveta 2008/114/ES.

[36] Vlada Združenega kraljestva je v odgovoru na peto poročilo Odbora za Evropsko unijo zgornjega doma o akcijskem načrtu CIIP navedla, da je EFMS uspešen in ustreza resnični potrebi oblikovalcev politike, da imajo priložnost za izmenjavo izkušenj.

[37] COM(2010) 251.

[38] Glej http://www.enisa.europa.eu/act/cert/other-work/files/EISAS_finalreport.pdf.

[39] http://www.enisa.europa.eu/act/cert/other-work/eisas_folder/eisas_roadmap.

[40] Glej http://www.enisa.europa.eu/act/res/policies/good-practices-1/exercises/national-exercise-good-practice-guide/at_download/fullReport.

[41] Glej http://www.enisa.europa.eu/act/res/policies/good-practices-1/exercises/national-exercise-good-practice-guide/at_download/fullReport.

[42] Glej http://www.enisa.europa.eu/act/cert/support/files/baseline-capabilities-of-national-governmental-certs-policy-recommendations.

[43] Glej http://www.enisa.europa.eu/.

[44] Glej http://ec.europa.eu/information_society/policy/nis/index_en.htm.

[45] FR, DE, HU, IT, NL, SE in UK.