Bρυξέλλες, 11 εκεµβρίου 2001 (19.12) (OR. en) ΣΥΜΒΟΥΛΙΟΥ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ 15152/10 LIMITE ECO 389 JAI 171 PESC 537 ΑΠΟΤΕΛΕΣΜΑΤΑ ΤΩΝ ΕΡΓΑΣΙΩΝ

ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ Bρυξέλλες, 11 εκεµβρίου 2001 (19.12) (OR. en) 15152/10 LIMITE ECO 389 JAI 171 PESC 537 ΑΠΟΤΕΛΕΣΜΑΤΑ ΤΩΝ ΕΡΓΑΣΙΩΝ τoυ : ΣΥΜΒΟΥΛΙΟΥ µε ηµεροµηνία : 6 εκεµβρίου 2001 αριθ. προηγ. εγγρ. : 14378/01 ECO 345 JAI 153 PESC 488 αριθ. πρότ. Επιτρ. : 9727/01 ECO 175 CAB 18 JAI 54 PESC 218 Θέµα : Ασφάλεια των πληροφοριών και των δικτύων ψήφισµα του Συµβουλίου Κατά τη σύνοδό του στις 6/7 εκεµβρίου 2001, το Συµβούλιο Μεταφορών/Τηλεπικοινωνιών κατέληξε σε συµφωνία επί ψηφίσµατος για την ασφάλεια των πληροφοριών και των δικτύων, το κείµενο του οποίου επισυνάπτεται στο Παράρτηµα. Το Συµβούλιο ζήτησε από την ΕΜΑ να προβεί στις απαραίτητες νοµικές και γλωσσικές προσαρµογές του κειµένου ενόψει της έκδοσής του ως σηµείο «Α» σε µελλοντική σύνοδο του Συµβουλίου και της µετέπειτα δηµοσίευσής του στην Επίσηµη Εφηµερίδα. 15152/10 ΘΚ/δχ+εµ 1

ΠΑΡΑΡΤΗΜΑ ΨΗΦΙΣΜΑ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ της [6] εκεµβρίου 2001 περί κοινής προσεγγίσεως και ειδικών δράσεων στον τοµέα της ασφάλειας των πληροφοριών και των δικτύων ΤΟ ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ, ίνοντας συνέχεια στα συµπεράσµατα του Ευρωπαϊκού Συµβουλίου της Στοκχόλµης, της 23ης και 24ης Μαρτίου 2001, σύµφωνα µε τα οποία το Συµβούλιο, από κοινού µε την Επιτροπή, θα αναπτύξει µια συνολική στρατηγική για την ασφάλεια των ηλεκτρονικών δικτύων, καθώς και πρακτικές δράσεις για την εφαρµογή της, Έχοντας υπόψη 1. το ψήφισµα του Συµβουλίου της 30ής Μαΐου 2001 Πρόγραµµα ράσης eeurope 2002: Ασφάλεια δικτύων και πληροφοριών 2. την ανακοίνωση της Επιτροπής προς το Συµβούλιο, το Ευρωπαϊκό Κοινοβούλιο, την Οικονοµική και Κοινωνική Επιτροπή και την Επιτροπή των Περιφερειών - Ασφάλεια δικτύων και πληροφοριών: πρόταση ευρωπαϊκής πολιτικής 1 3. την ανακοίνωση της Επιτροπής προς το Συµβούλιο και το Ευρωπαϊκό Κοινοβούλιο - eευρώπη 2002: Συνέπειες και προτεραιότητες 2 4. το πρόγραµµα δράσης eeurope 2002 που υιοθέτησε το Ευρωπαϊκό Συµβούλιο της Φέϊρα της 19ης και 20ής Ιουνίου 2000 5. τη σύσταση του Συµβουλίου για κοινά κριτήρια ασφαλείας της τεχνολογίας πληροφοριών 3 6. τη σύσταση του Συµβουλίου για σηµεία επαφής τα οποία λειτουργούν 24 ώρες το εικοσιτετράωρο για την καταπολέµηση του εγκλήµατος υψηλής τεχνολογίας 4 7. την ανακοίνωση της Επιτροπής µε θέµα το έγκληµα στον κυβερνοχώρο 5 1 2 3 4 5 COM (2001) 298 final της 6ης Ιουνίου 2001 COM (2001) 140 final ΕΕ L 93 της 26.4.1995 ΕΕ C 187 της 3.7.2001 Για µια ασφαλέστερη Κοινωνία της Πληροφορίας µε τη βελτίωση της ασφάλειας των υποδοµών πληροφόρησης και την καταπολέµηση του εγκλήµατος πληροφορικής, http://europa.eu.int/ispo/eif/internetpoliciessite/crime/crime.1.html. 15152/10 ΘΚ/δχ+εµ 2

8. τον κανονισµό (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συµβουλίου σχετικά µε την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδοµένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισµούς της Κοινότητας και σχετικά µε την ελεύθερη κυκλοφορία των δεδοµένων αυτών 1 9. την οδηγία 95/46/ΕΚ για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδοµένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδοµένων αυτών 2 10. την οδηγία 97/33/ΕΚ για τη διασύνδεση στον χώρο των τηλεπικοινωνιών προκειµένου να διασφαλιστεί καθολική υπηρεσία και διαλειτουργικότητα µε εφαρµογή των αρχών παροχής ανοικτού δικτύου (ΟΝΡ) 3 11. την οδηγία 97/66/ΕΚ περί επεξεργασίας των δεδοµένων προσωπικού χαρακτήρα και προστασίας της ιδιωτικής ζωής στον τηλεπικοινωνιακό τοµέα 4 12. την οδηγία 98/10/ΕΚ για την εφαρµογή της παροχής ανοικτού δικτύου (ΟΝΡ) στη φωνητική τηλεφωνία και για την καθολική υπηρεσία για τις τηλεπικοινωνίες σε ανταγωνιστικό περιβάλλον 5 13. την οδηγία 1999/93/ΕΚ σχετικά µε το κοινοτικό πλαίσιο για ηλεκτρονικές υπογραφές 6 Εκτιµώντας ότι: 1. τα δίκτυα και τα συστήµατα επικοινωνιών έχουν καταστεί βασικός συντελεστής της οικονοµικής και κοινωνικής ανάπτυξης, η δε διαθεσιµότητα και ακεραιότητά τους έχει καίρια σηµασία για διάφορες βασικές δοµές, καθώς και για τις περισσότερες δηµόσιες και ιδιωτικές υπηρεσίες και την όλη οικονοµία 2. µε γνώµονα τον ολοένα σοβαρότερο ρόλο των ηλεκτρονικών υπηρεσιών στην οικονοµία, η ασφάλεια των δικτύων και των συστηµάτων πληροφοριών αποτελεί συνεχώς διογκούµενο δηµόσιο συµφέρον 3. η ασφάλεια των συναλλαγών και των δεδοµένων έχει καταστεί ουσιώδης για την παροχή ηλεκτρονικών υπηρεσιών, όπως το ηλεκτρονικό εµπόριο και οι δηµόσιες υπηρεσίες επί γραµµής, ο δε χαµηλός βαθµός εµπιστοσύνης ως προς την ασφάλεια δυνατόν να επιβραδύνει την καθιέρωση των υπηρεσιών αυτών σε ευρεία κλίµακα 4. τα άτοµα, οι επιχειρήσεις, οι διοικήσεις και οι λοιποί οργανισµοί είναι ανάγκη να προστατεύουν τα οικεία συστήµατα πληροφοριών, δεδοµένων και επικοινωνιών κάνοντας εν ανάγκη χρήση αποτελεσµατικών τεχνολογιών της ασφάλειας 5. ο ιδιωτικός τοµέας, καθώς δραστηριοποιείται σε ανταγωνιστική αγορά και έχει την ικανότητα να καινοτοµεί, προσφέρει ποικίλες λύσεις προσαρµοσµένες στις πραγµατικές ανάγκες της αγοράς 1 2 3 4 5 6 ΕΕ L 8 της 12.1.2001 ΕΕ L 281 της 23.11.1995 ΕΕ L 199 της 26.7.1997 ΕΕ L 24 της 30.1.1998 ΕΕ L 101 της 1.4.1998 ΕΕ L 13 της 19.1.2000 15152/10 ΘΚ/δχ+εµ 3

6. επειδή η φύση της ασφάλειας των πληροφοριών και των δικτύων αποτελεί ένα πλέγµα, κατά την εκπόνηση µέτρων πολιτικής στον τοµέα αυτόν οι αρχές πρέπει να λαµβάνουν υπ όψη ένα σύνολο πολιτικών, οικονοµικών, οργανωτικών και τεχνικών πτυχών, να είναι δε ενήµερες του αποκεντρωµένου και παγκόσµιου χαρακτήρα των επικοινωνιακών δικτύων 7. τα µέτρα πολιτικής µπορούν να έχουν µεγαλύτερο αποτέλεσµα µόνον εάν συνιστούν µέρος µιας ευρωπαϊκής προσέγγισης, έχουν ως µέληµά τους την αποτελεσµατική λειτουργία της εσωτερικής αγοράς, βασίζονται στην ενισχυµένη συνεργασία µεταξύ κρατών µελών και διεθνώς, στηρίζουν δε την καινοτοµία και την ικανότητα των ευρωπαϊκών επιχειρήσεων να είναι ανταγωνιστικές σε παγκόσµιο επίπεδο 8. υπάρχει ήδη µια σηµαντική συλλογή νόµων σχετικά µε την ασφάλεια των δικτύων και των πληροφοριών, ως µέρος συγκεκριµένα του νοµοθετικού πλαισίου της ΕΕ για τις τηλεπικοινωνίες, το ηλεκτρονικό εµπόριο και τις ηλεκτρονικές υπογραφές 9. υπάρχουν νοµοθετικές διατάξεις που επιτάσσουν στους παρόχους τηλεπικοινωνιακών υπηρεσιών να λαµβάνουν τα δέοντα τεχνικά και οργανωτικά µέτρα για την διαφύλαξη της ασφάλειας των υπηρεσιών που παρέχουν τα µέτρα αυτά µεριµνούν για ένα επίπεδο ασφαλείας ανάλογο του εικαζοµένου κινδύνου 10. το διεθνές πρότυπο ISO 15408 (Κοινά Κριτήρια) έχει καταστεί ανεγνωρισµένο σύστηµα προσδιορισµού των απαιτήσεων ασφαλείας για τα προϊόντα υπολογιστών και δικτύων, καθώς και αξιολόγησης της συµµόρφωσης επιµέρους προϊόντων προς τα κριτήρια αυτά 11. το διεθνές πρότυπο ISO 17799 (Ασφάλεια πληροφοριών- Κώδικας πρακτικής για διαχείριση ασφαλείας πληροφοριών) και οι ανάλογες εθνικές κατευθυντήριες γραµµές καθίστανται ήδη ανεγνωρισµένη πρακτική για πολιτικές ασφαλείας σε ιδιωτικούς και δηµόσιους οργανισµούς 12. η υποδοµή του διαδικτύου θα πρέπει να επιτρέψει σε µεγάλο βαθµό την πρόσβαση σε δίκτυα και υπηρεσίες, επίσης δε την αυτοτελή και ασφαλή διαχείριση και λειτουργία, π.χ. µε την θέσπιση ανοικτών προτύπων και πρωτοκόλλων ασφαλείας διαδικτύου εδοµένου ότι, σύµφωνα µε το ψήφισµα του Συµβουλίου της 30ής Μαΐου 2001 για το «Πρόγραµµα ράσης eeurope 2002: Ασφάλεια δικτύων και πληροφοριών», η ασφάλεια των δικτύων και των πληροφοριών αποσκοπεί: - στην εξασφάλιση διαθέσιµων υπηρεσιών και δεδοµένων, - στην πρόληψη της αποδιοργάνωσης και της αναρµόδιας παρακολούθησης των επικοινωνιών, - στην επιβεβαίωση ότι τα δεδοµένα που διαβιβάζονται, παραλαµβάνονται ή αποθηκεύονται είναι πλήρη και αναλλοίωτα, - στην εξασφάλιση του απορρήτου των δεδοµένων, - στην προστασία των πληροφοριακών συστηµάτων κατά της αναρµόδιας πρόσβασης, - στην προστασία κατά επιθέσεων µε κακόβουλο λογισµικό, - στην εξασφάλιση αξιόπιστης επικύρωσης 15152/10 ΘΚ/δχ+εµ 4

ΩΣ ΕΚ ΤΟΥΤΟΥ Ζητεί από τα κράτη µέλη 1. να δροµολογήσουν ή να εντείνουν, µέχρι τα τέλη του 2002, ενηµερωτικές και εκπαιδευτικές εκστρατείες για µεγαλύτερη ευαισθητοποίηση όσον αφορά την ασφάλεια των δικτύων και των πληροφοριών να απευθύνουν ειδικά τις δράσεις αυτές στις επιχειρήσεις, τους ιδιώτες χρήστες και τις δηµόσιες διοικήσεις να εκπονήσουν αυτές τις δράσεις ευαισθητοποίησης σε στενή συνεργασία µε τον ιδιωτικό τοµέα, συν τοις άλλοις µε τους παρόχους υπηρεσιών ιαδικτύου και να στηρίξουν ή να ενθαρρύνουν πρωτοβουλίες του ιδιωτικού τοµέα 2. να προβάλουν βέλτιστες πρακτικές στη διαχείριση της ασφάλειας των πληροφοριών, ειδικότερα σε µικροµεσαίες επιχειρήσεις, ενδεχοµένως βάσει διεθνώς ανεγνωρισµένων προτύπων 3. να τονίσουν ή να προβάλουν, έως τα τέλη του 2002, τη σηµασία των αντιλήψεων περί ασφαλείας ως µέρος της εκπαίδευσης και της κατάρτισης στους ηλεκτρονικούς υπολογιστές 4. να επισκοπήσουν, έως τα µέσα του 2002, την αποτελεσµατικότητα των εθνικών ρυθµίσεων όσον αφορά την αντιµετώπιση έκτακτης ανάγκης στον ηλεκτρονικό τοµέα, που θα µπορούσε να περιλαµβάνει τα συστήµατα συναγερµού κατά των ιών, µε σκοπό να ενισχυθεί εφόσον χρειάζεται η ικανότητά τους να προλαµβάνουν, να ανιχνεύουν και να αντιδρούν αποτελεσµατικά στην αποδιοργάνωση και τις επιθέσεις κατά των δικτύων και των συστηµάτων πληροφοριών, τόσο σε εθνικό όσο και σε διεθνές επίπεδο 5. να προβάλουν τη χρήση των Κοινών Κριτηρίων ως προτύπου (ISO-15408) και να διευκολύνουν την αµοιβαία αναγνώριση των σχετικών πιστοποιητικών 6. να επιτελέσουν, έως τα τέλη του 2002, σηµαντική πρόοδο στην εξεύρεση αποτελεσµατικών και διαλειτουργικών λύσεων ασφάλειας, βασιζόµενων ει δυνατόν σε ανεγνωρισµένα πρότυπα οι οποίες θα µπορούσαν να περιλαµβάνουν το λογισµικό ανοικτής πηγής - στις οικείες δραστηριότητες «ηλεκτρονικού κράτους» (δηµοσίων υπηρεσιών σε απευθείας σύνδεση) και τις ηλεκτρονικές συµβάσεις προµηθειών, και στην καθιέρωση των ηλεκτρονικών υπογραφών ώστε οι δηµόσιες υπηρεσίες που απαιτούν αδιάβλητη πιστοποίηση να µπορούν να παρέχονται και επί γραµµής 7. εάν επιλέξουν την εγκατάσταση συστηµάτων ηλεκτρονικής ή βιοµετρικής αναγνώρισης ταυτότητας για δηµόσια ή ιδιωτική χρήση, να συνεργάζονται ενδεχοµένως στον τοµέα των τεχνολογικών εξελίξεων και να εξετάζουν οιαδήποτε προδιαγραφή διαλειτουργικότητας 8. χάριν διευκόλυνσης της κοινοτικής και της διεθνούς συνεργασίας, να ανταλλάσσουν πληροφορίες µεταξύ τους και µε την Επιτροπή όσον αφορά τους φορείς που είναι οι πρωτίστως αρµόδιοι στο έδαφός τους για θέµατα ασφάλειας των δικτύων και των πληροφοριών 15152/10 ΘΚ/δχ+εµ 5

Επικροτεί την πρόθεση της Επιτροπής 1. να διευκολύνει, εντός του 2002, µιαν ανταλλαγή βέλτιστων πρακτικών όσον αφορά δράσεις ευαισθητοποίησης και να καταρτίσει έναν πρώτο κατάλογο των διαφόρων εθνικών ενηµερωτικών εκστρατειών 2. εντός του 2002, να υποβάλει προτάσεις για εντατικοποίηση του διαλόγου και της συνεργασίας της Κοινότητας µε διεθνείς οργανισµούς και εταίρους όσον αφορά την ασφάλεια των δικτύων και ειδικότερα τις επιπτώσεις της αύξουσας εξάρτησης από τα δίκτυα ηλεκτρονικών επικοινωνιών στη συνάρτηση αυτή να προτείνει, έως τα τέλη του 2002, µια στρατηγική για σταθερότερη και ασφαλέστερη λειτουργία των υποδοµών του ιαδικτύου 3. έως τα τέλη του 2002, να προτείνει τα δέοντα µέτρα για την προώθηση του προτύπου ISO 15408 (Κοινά Κριτήρια), να διευκολύνει την αµοιβαία αναγνώριση των πιστοποιητικών, και να βελτιώσει τη διαδικασία µε την οποία αξιολογούνται τα προϊόντα, εκπονώντας συγκεκριµένα τα ενδεδειγµένα χαρακτηριστικά ασφαλείας 4. να καταρτίσει, έως τα τέλη του 2002, έκθεση για τεχνολογίες και εφαρµογές ηλεκτρονικής και βιοµετρικής πιστοποίησης ταυτότητας, ώστε να βελτιωθεί η αποτελεσµατικότητα των συστηµάτων αυτών και δη µέσω της διαλειτουργικότητας 5. να υποβάλει έως τα µέσα του 2002 και ύστερα από διαβουλεύσεις µε τα κράτη µέλη και τον ιδιωτικό τοµέα- προτάσεις για την συγκρότηση ειδικής οµάδας για την ασφάλεια στον κυβερνοχώρο, προκειµένου να αξιοποιηθούν οι εθνικές προσπάθειες για την ενίσχυση της ασφάλειας των δικτύων και των πληροφοριών αλλά και να ενισχυθεί η ικανότητα των κρατών µελών, τόσο κατ ιδίαν όσο και συλλογικά, να χειρίζονται µείζονα προβλήµατα ασφάλειας των δικτύων και των πληροφοριών 6. να διερευνήσει, έως τα τέλη του 2002 και σε συνεργασία µε τα κράτη µέλη, τις δυνατότητες επιλογής µηχανισµών µε τους οποίους τα κράτη µέλη και η Επιτροπή µπορούν να ανταλλάσσουν πληροφορίες και εµπειρίες που είχαν από την επίτευξη των στόχων του παρόντος ψηφίσµατος, λαµβάνοντας υπ όψη την διαπυλωνική διάσταση της ασφαλείας των δικτύων και των πληροφοριών, να διερευνήσουν δε τον καλύτερο τρόπο µε τον οποίο µπορεί να συµπράξει ο ιδιωτικός τοµέας σε αυτή την ανταλλαγή πληροφοριών και εµπειριών Επικροτεί την αυξανόµενη επικέντρωση των ευρωπαϊκών ερευνητικών δραστηριοτήτων στα θέµατα ασφαλείας Τονίζει ότι χρειάζονται περισσότερες ερευνητικές δραστηριότητες και µάλιστα όσον αφορά τους µηχανισµούς ασφάλειας και την διαλειτουργικότητά τους, την αξιοπιστία και την προστασία των δικτύων, την προηγµένη κρυπτογραφία, τις τεχνολογίες για καλύτερη προστασία της ιδιωτικής ζωής, και την ασφάλεια στις ασύρµατες επικοινωνίες Καλεί τους προµηθευτές και παρόχους υπηρεσιών να ενισχύσουν την ασφάλεια ως αναπόσπαστο και ζωτικό µέρος των προϊόντων και των υπηρεσιών τους τους προµηθευτές και παρόχους υπηρεσιών του ευρωπαϊκού ιδιωτικού τοµέα και τις αντιπροσωπευτικές τους συσπειρώσεις να συµµετέχουν δραστηριότερα σε διεθνείς δραστηριότητες τυποποίησης και να οργανωθούν σε ανάλογους φορείς ώστε να συµβάλουν στους στόχους του παρόντος ψηφίσµατος. 15152/10 ΘΚ/δχ+εµ 6