RAAD VAN DE EUROPESE UNIE
Brussel, 30 oktober 2001 (14.11) (OR. en) 13410/01
ECO 302 CAB 23 JAI 132 PESC 440 RESULTAAT BESPREKINGEN van: de Groep telecommunicatie d.d.: 26 oktober 2001 nr. vorig doc.: 12463/01 ECO 264 CAB 22 JAU 111 PESC 377 Betreft: Netwerk- en informatiebeveiliging - ontwerp-resolutie van de Raad
De groep heeft een uitvoerige bespreking gewijd aan de door het voorzitterschap voorgelegde ontwerp-resolutie waarvan de tekst is opgenomen in de bijlage. Na deze bespreking verklaarde de voorzitter voornemens te zijn een tekst op te stellen die tijdens de Raad Vervoer/Telecommunicatie in december kan worden aangenomen. Daartoe werden de delegaties verzocht eventuele opmerkingen over de tekst voor 9 november 2001 aan het voorzitterschap te doen toekomen (met een kopie aan het secretariaat-generaal). Een herzien ontwerp zal tijdig voor de bespreking in de groep, naar alle waarschijnlijkheid op 23 november 2001, het licht zien. De Commissiediensten zegden toe voor die vergadering te komen met aanvullende schriftelijke achtergrondinformatie over: -
de omvang, de aard en de status van de voorgestelde "cyber-security task force",
-
bestaande activiteiten in andere EU-fora in verband met netwerkveiligheidsvraagstukken. _______________
13410/01
gra/SAV/nj DG C I
1
NL
BIJLAGE ONTWERPRESOLUTIE VAN DE RAAD van 00 december 2001 betreffende een gemeenschappelijke aanpak en specifieke acties inzake netwerk- en informatiebeveiliging DE RAAD VAN DE EUROEPSE UNIE, Naar aanleiding van de conclusies van de Europese Raad van 23/24 maart 2001 van Stockholm volgens welke "de Raad samen met de Commissie een alomvattende strategie voor de beveiliging van elektronische netwerken zal uitwerken, die tevens praktische uitvoeringsmaatregelen zal omvatten", Gelet op -
de rsolutie van de Raad van 30 mei 2001 - actieplan eEuropa: informatie- en netwerkveiligheid;
-
de mededeling van de Commissie aan de Raad, het Europees Parlement, het Economisch en Sociaal Comité en het Comité van de Regio's - Netwerk- en informatieveiligheid: voorstel voor een Europese beleidsaanpak 1;
-
mededeling van de Commissie aan de Raad en het Europees Parlement - eEuropa 2002: effecten en prioriteiten 2;
-
het actieplan eEuropa 2002, goedgekeurd door de Europese Raad van 19/20 juni 2000 te Feira;
-
de aanbeveling van de Raad inzake gemeenschappelijke veiligheidsbeoordelingscriteria voor informatietechnologie 3;
-
de aanbeveling van de Raad betreffende meldpunten die 24 uur per dag operationeel zijn voor de bestrijding van high-tech criminaliteit 4
1
COM(2001) 298 def. van 6 juni 2001. COM(2001) 140 def. PB L 93 van 26.4.1995. PB C 187 van 3.7.2001.
2 3 4
13410/01 BIJLAGE
gra/SAV/nj DG C I
2
NL
-
Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens 1;
-
Richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens;
-
Richtlijn 97/33/EG inzake interconnectie op telecommunicatiegebied, wat betreft de waarborging van de universele dienst en van de interoperabiliteit door toepassing van de beginselen van open network provision (ONP);
-
Richtlijn 97/66/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de telecommunicatiesector;
-
Richtlijn 98/10/EG inzake de toepassing van open network provision (ONP) op spraaktelefonie en inzake de universele telecommunicatiedienst in een door concurrentie gekenmerkt klimaat;
-
Richtlijn 1999/93/EG betreffende een gemeenschappelijk kader voor elektronische handtekeningen;
Overwegende hetgeen volgt: -
netwerken en communicatiesystemen zijn een sleutelfactor in de moderne economische en maatschappelijke ontwikkeling geworden en hun beschikbaarheid is van cruciaal belang voor essentiële onderdelen van de infrastructuur zoals energievoorziening en wegvervoer, alsmede de meeste publieke en private diensten en de economie als geheel;
-
in het licht van de steeds belangrijkere rol van de elektronische diensten in de economie is de bescherming van netwerken en informatiesystemen een aangelegenheid van openbaar belang geworden;
-
het beveiligen van transacties en gegevens is een voorwaarde geworden voor de levering van elektronische diensten, waaronder e-handel en online openbare diensten, en het gebrek aan vertrouwen in die beveiliging kan de grootschalige invoering van die diensten afremmen;
-
het is nodig dat personen, ondernemingen, overheden en andere organisaties hun eigen informatie- en communicatiesystemen beschermen door toepassing van effectieve beveiligingstechnologieën;
-
de private sector, die in de context van een concurrerende markt opereert, biedt door zijn vernieuwingsvermogen een scala van oplossingen die toegesneden zijn op reële marktbehoeften;
-
het complexe karakter van netwerk en informatiebeveiliging brengt met zich mee dat overheidsinstanties bij het ontwikkelen van beleidsmaatregelen in deze sector rekening moeten houden met politieke, economische, organisatorische en technische aspecten en zich bewust moeten zijn van het gedecentraliseerde en mondiale karakter van communicatienetwerken;
1
PB L 8 van 12.1.2001.
13410/01 BIJLAGE
gra/SAV/nj DG C I
3
NL
-
zonder in enig opzicht afbreuk te doen aan de sleutelrol van de private sector, kunnen specifieke beleidsmaatregelen individuele verantwoordelijkheden steunen en het marktmechanisme versterken;
-
beleidsmaatregelen kunnen alleen effectief zijn indien ze deel uitmaken van een Europese aanpak die het effectief functioneren van de interne markt eerbiedigt, voortbouwt op intensievere samenwerking tussen lidstaten, vernieuwing steunt en geen belemmering vormt voor het vermogen van marktdeelnemers om op mondiaal niveau effectief te opereren;
-
veel voor netwerk- en informatiebeveiliging relevante wetgeving is al ingevoerd, en met name als onderdeel van het juridische kader van de EU voor telecommunicatie en voor persoonsgegevensbescherming;
-
internationale norm ISO-15408 (gemeenschappelijke criteria) is een erkend systeem geworden voor het omschrijven van de beveiligingseisen voor computer- en netwerkproducten en het beoordelen of een specifiek product aan die eisen voldoet;
-
internationale norm ISO-17799 is een erkende praktijk geworden voor het beveiligingsbeleid in private en openbare organisaties;
-
de werking van de root-servers van het domeinnaamsysteem van Internet blijkt kwetsbaar en het beheer ervan is onvoldoende transparant;
In aanmerking nemend: -
dat netwerk- en informatiebeveiliging betrekking heeft op de beschikbaarheid van diensten en gegevens, het voorkomen van verstoren en onderscheppen van communicatie, het waarborgen van de vertrouwelijkheid van gegevens, het beschermen van informatiesystemen tegen ongeoorloofde toegang, het beschermen tegen aanvallen met kwaadbedoelde software, het voorzien in betrouwbare authentisering;
VERZOEKT DERHALVE DE LIDSTATEN: 1.
in 2002 informatie- en voorlichtingscampagnes te lanceren en te intensiveren teneinde de bewustwording te stimuleren; dergelijke acties specifiek te richten op ondernemingen, particuliere gebruikers en overheden; dergelijke bewustmakingsacties in nauwe samenwerking met de private sector te ontwikkelen en door de private sector genomen initiatieven te steunen of intensiever te steunen;
2.
uiterlijk eind 2002 het belang van veiligheidsconcepten als onderdeel van het computeronderwijs, onder andere in scholen, meer reliëf te geven;
3.
uiterlijk medio 2002 computernoodhulpdiensten of soortgelijke faciliteiten, waaronder viruswaarschuwingssystemen, te evalueren, met als doel de versterking van het vermogen om verstoringen van netwerk- en informatiesystemen te voorkomen, te ontdekken en efficiënt te bestrijden;
13410/01 BIJLAGE
gra/SAV/nj DG C I
4
NL
4.
het gebruik van de gemeenschappelijkecriterianorm en de wederzijdse erkenning van certificaten te stimuleren; beste praktijken in verband met het beveiligingsbeleid te bevorderen, met name in het midden- en kleinbedrijf;
5.
tegen eind 2002 effectieve en interoperabele beveiligingsoplossingen - waaronder openbronsoftware - in hun activiteiten op het gebied van e-overheid en e-aanbestedingen te integreren, bijvoorbeeld door de elektronische handtekeningen in te voeren waardoor overheidsdiensten die een betrouwbare authentisering vereisen, ook on line kunnen worden aangeboden;
6.
samen te werken bij de invoering van elektronische en biometrische identificatiesystemen voor openbaar of officieel gebruik, zoals een digitaal paspoort of elektronische vingerafdrukken.
Verzoekt de Commissie 1.
in 2002 de weg te effenen voor een uitwisseling van beste praktijken in verband met bewustmakingsacties en te voorzien in coördinatie, op een passend niveau, van de verschillende nationale voorlichtingscampagnes;
2.
uiterlijk eind 2002 een balans op te maken van de nationale maatregelen die overeenkomstig de communautaire wetgeving ter zake zijn getroffen in verband met de beveiliging op het gebied van elektronische communicatie;
3.
in 2002 de dialoog met internationale organisaties en partners inzake netwerkbeveiliging te intensiveren, met name wat betreft de toenemende afhankelijkheid van communicatienetwerken, en concrete samenwerking tot stand te brengen;
4.
uiterlijk eind 2002 passende maatregelen voor te stellen om ISO-norm 15408 (gemeenschappelijke criteria) te bevorderen, de wederzijdse erkenning van certificaten te waarborgen en het proces voor de beoordeling van producten te verbeteren, bijvoorbeeld door middel van door de industrie zelf afgegeven conformiteitsverklaringen;
5.
uiterlijk medio 2002 een structuur voor te stellen voor een transparantere werking van kritische onderdelen van de internetinfrastructuur, met name op het gebied van root/domainnaamservers;
6.
uiterlijk eind 2002 een verslag voor te stellen over technieken en toepassingen in verband met elektronische en biometrische vaststelling van identiteit teneinde iedere vorm van belemmering voor de bewegingsvrijheid te voorkomen, de effectiviteit van dergelijke systemen, met name door middel van interoperabiliteit te verbeteren, en daardoor de openbare veiligheid in de hele Unie te vergroten;
13410/01 BIJLAGE
gra/SAV/nj DG C I
5
NL
7.
uiterlijk medio 2002 in nauwe samenwerking met de lidstaten en de private sector een "cybersecurity task force" op te zetten die moet voortbouwen op nationale inspanningen om de netwerk- en informatiebeveiliging te verbeteren en die de lidstaten in staat moet stellen hun reacties op grote verstoringen te coördineren; daartoe wordt de task force belast met de volgende taken: -
verzamelen van gegevens, analyse en classificeren van informatie over bestaande of nieuwe gevaren voor de veiligheid;
-
deze informatie delen met en ter beschikking stellen van nationale noodhulpdiensten en relevante internationale organen; zo nodig zorgen voor anonieme behandeling van meldingen van incidenten;
-
ontwikkelen van een gemeenschappelijke terminologie voor het melden en het behandelen van incidenten, waaronder een classificatiesysteem;
-
het uitvoeren van studies om een beter en systematisch beeld te krijgen van de kwetsbaarheidsgraad van netwerken en informatiesystemen in het algemeen; bepalen van benchmarks voor prestaties en betrouwbaarheid;
-
in samenwerking met leveranciers ontwikkelen van richtsnoeren ter bevordering van "defaultbeveiligingsinstellingen van hardware en software;
-
zo nodig bevorderen en ontwikkelen van een informatiebeveiligingsverdragscode voor respectievelijk, ondernemingen, burgers en overheden.
Verzoekt de lidstaten passende menselijke middelen ter beschikking te stellen voor de cybersecurity task force; Beveelt aan de werkzaamheden van de cyber-security task force te beperken tot ten hoogste drie jaar en de institutionele structuur van de Europese beveiligingssamenwerking te beoordelen in het licht van de opgedane ervaring; Beklemtoont de noodzaak van meer onderzoeksactiviteiten, met name inzake beveiligingsmechanismen en hun interoperabiliteit, betrouwbaarheid en bescherming van netwerken, geavanceerde cryptografie, technieken ter bescherming van de privé-sfeer en beveiliging op het gebied van draadloze communicatie; Is verheugd over de belangrijke plaats van beveiligingsonderzoek en de optimalisering van de Europese onderzoeksinspanningen in het zesde Kaderprogramma; en onderstreept het belang van deze onderzoeksactiviteiten voor interoperabele oplossingen en de ontwikkeling van open normen; Doet een beroep op spelers op de Europese markt om actiever deel te nemen aan internationale normaliseringsactiviteiten zoals de Internet Engineering Task Force (IETF) en het World Wide Web Consortium (W3C); leveranciers en dienstverleners om de beveiliging als integraal en essentieel onderdeel van hun producten en diensten te versterken. _______________ 13410/01 BIJLAGE
gra/SAV/nj DG C I
6
NL
