Coöperatieve Europese aanpak met betrekking tot netwerk- en informatiebeveiliging - Hoofdinhoud
29.12.2009 |
NL |
Publicatieblad van de Europese Unie |
C 321/1 |
RESOLUTIE VAN DE RAAD
van 18 december 2009
over een coöperatieve Europese aanpak met betrekking tot netwerk- en informatiebeveiliging
2009/C 321/01
DE RAAD VAN DE EUROPESE UNIE,
-
I.GEZIEN:
1. |
De mededeling van de Commissie van 31 mei 2006, „Een strategie voor een veilige informatiemaatschappij”, waarin een proces wordt gepresenteerd van „dialoog, partnerschap en empowerment”, waarin de lidstaten en de belanghebbenden uit de particuliere sector een rol moeten spelen; |
2. |
De mededeling van de Commissie van 12 december 2006 over „het Europees programma voor de bescherming van kritieke infrastructuur (EPCIP)”, gericht op verbetering van de bescherming van kritieke infrastructuur in de EU en de instelling van een EU-kader voor de bescherming van kritieke infrastructuur. |
3. |
De richtlijn van de Raad van 8 december 2008 inzake de identificatie van Europese kritieke infrastructuren, de aanmerking van infrastructuren als Europese kritieke infrastructuren en de beoordeling van de noodzaak de bescherming van dergelijke infrastructuren te verbeteren; |
4. |
De resolutie van de Raad van 22 maart 2007 inzake een strategie voor een veilige informatiemaatschappij in Europa; |
5. |
De conclusies van de Raad van 19-20 april 2007 betreffende een Europees programma voor de bescherming van kritieke infrastructuur; |
6. |
De mededeling van de Commissie van 30 maart 2009 betreffende de bescherming van kritieke informatie-infrastructuur (CIIP); |
7. |
Het lopende debat, inclusief de relevante publieke raadpleging, over de toekomst van het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA) en zijn rol in CIIP; |
8. |
De conclusies van het voorzitterschap over CIIP van de ministeriële conferentie van Tallinn van 27-28 april 2009; |
9. |
De doelstellingen van Lissabon voor concurrentievermogen en groei en de herziening van de strategie van Lissabon, waaraan momenteel worden gewerkt; |
10. |
De in de herziening van het regelgevingskader voor elektronische-communicatienetwerken en -diensten voorgestelde beveiligingsmaatregelen; |
11. |
Ter waarborging van een doeltreffend toekomstig beleid inzake netwerk- en informatiebeveiliging, wordt er in deze resolutie van uitgegaan dat er nog geen conclusies zijn over noodzakelijke amendementen op de ENISA-verordening. De Commissie beraadt zich momenteel op de toekomst van het beleid inzake netwerk- en informatiebeveiliging en daarom mag deze resolutie niet, nog voordat de Commissie de resultaten van haar beraad bekendmaakt, vooruitlopen op het resultaat van dit beraad, wat betreft amendementen op de ENISA-verordening. |
II. NOTA NEMENDE VAN HET ONDERSTAANDE:
1. |
Elektronische communicatie, infrastructuren en diensten zijn belangrijk als basis voor economische en sociale activiteiten, en derhalve draagt netwerk- en informatiebeveiliging bij aan belangrijke waarden en doelstellingen in de samenleving, zoals democratie, privacy, economische groei, het vrije verkeer van ideeën en economische en politieke stabiliteit; |
2. |
Informatie- en communicatietechnologiesystemen, infrastructuren en diensten, waaronder internet, spelen voor de samenleving een vitale rol en de verstoring ervan kan enorme economische schade veroorzaken; er moeten dus absoluut maatregelen worden genomen om de beveiliging en de veerkracht te verbeteren en te garanderen dat kritieke diensten kunnen worden voortgezet; |
3. |
Beveiligingsincidenten kunnen het vertrouwen van de gebruiker ondergraven. Ernstige storingen in netwerk- en informatiesystemen kunnen een grote economische en maatschappelijke impact hebben, maar ook gewone problemen en overlast kunnen het vertrouwen van het publiek in technologie, netwerken en diensten doen afkalven; |
4. |
Het scala aan dreigingen verandert en breidt uit, waardoor het nog noodzakelijker wordt eindgebruikers, het bedrijfsleven en de overheid uit te rusten met infrastructuren voor elektronische communicatie die hoe dan ook robuust en veerkrachtig zijn, en na te gaan welke stimulansen er nodig zijn om de providers zover te krijgen dat zij dat snel doen; |
5. |
Netwerk- en informatiebeveiliging moet worden verbeterd en moet een aspect worden van alle beleidsgebieden en sectoren van de samenleving, via nationale en Europese acties moet worden gezorgd voor voldoende kennis, en gebruikers van informatie- en communicatietechnologie (ICT) moeten over dit alles worden voorgelicht; |
6. |
Voor het voltooien van de interne markt en voor een goede werking ervan moeten eigenaren van netwerken en providers over de grenzen heen samenwerken, aangezien een storing in één lidstaat ook andere lidstaten en zelfs de gehele EU kan treffen; |
7. |
Nieuwe gebruikspatronen, zoals software in de wolk („cloud computing”) en „software as a service”, leggen nog meer nadruk op het belang van netwerk- en informatiebeveiliging; |
8. |
Netwerk- en informatiebeveiliging dient het doel van alle partijen, in alle sectoren van de samenleving, namelijk vertrouwen kunnen hebben in de informatiesystemen, en dus is een sectoroverstijgende en grensoverschrijdende aanpak noodzakelijk; |
9. |
Het gebruik van ICT in de samenleving neemt toe en netwerk- en informatiebeveiliging is derhalve een voorwaarde voor betrouwbare en veilige openbare-dienstverlening, zoals e-overheid. |
10. |
ENISA heeft het potentieel om de belangrijke rol die het nu reeds vervult in netwerk- en informatiebeveiliging, uit te bouwen. |
III. BEKLEMTOONT HETGEEN VOLGT:
1. |
In de EU is een hoog niveau van netwerk- en informatiebeveiliging nodig ter ondersteuning van:
|
2. |
De ICT-sector is van levensbelang voor de meeste sectoren van de samenleving en daarom is netwerk- en informatiebeveiliging een verantwoordelijkheid van alle betrokkenen, operators, providers, hardware- en softwareleveranciers, eindgebruikers, overheidsinstanties en regeringen. |
IV. ERKENT HETGEEN VOLGT:
1. |
Het is van belang over een actieve en deskundige Europese netwerk- en informatiebeveiligingswereld te beschikken die bijdraagt aan de toegenomen samenwerking van lidstaten en de particuliere sector; |
2. |
Er zijn voordelen verbonden aan een, waar nodig, geharmoniseerd gebruik, in de gehele EU, van internationale beveiligingsnormen voor netwerk- en informatiebeveiliging; |
3. |
Er moet een coöperatieve Europese aanpak komen met betrekking tot netwerk- en informatiebeveiliging op wereldschaal, aangezien het om een uitdaging op mondiaal niveau gaat; |
4. |
Het is voor de lidstaten en de instellingen van de EU van belang is dat er betrouwbare statistieken beschikbaar zijn over hoe de netwerk- en informatiebeveiliging in Europa ervoor staat; |
5. |
Alle belanghebbenden moeten meer besef hebben van het vraagstuk en over risicobeheersinstrumenten kunnen beschikken; |
6. |
Er moeten onder de lidstaten meer inspanningen worden geleverd om dat besef te doen toenemen, om goede praktijken uit te wisselen en om sturing te geven aan de lidstaten; |
7. |
Modellen waarin meerdere belanghebbenden zitten, zoals publiek-private partnerschappen (PPP’s), opgezet volgens een langetermijn-, bottom-up-model, moeten de omschreven risico's afzwakken wanneer die aanpak een meerwaarde heeft doordat het zorgt voor een in hoge mate veerkrachtig netwerk; |
8. |
Providers spelen een vitale rol bij het leveren van robuuste en veerkrachtige elektronische communicatie-infrastructuren aan de samenleving; |
9. |
Oefeningen in Europa op het gebied van netwerk- en informatiebeveiliging zijn nuttig omdat zij waardevolle leerstof kunnen opleveren voor netwerkoperatoren en providers, evenals voor overheden; |
10. |
Nationale of overheidsresponsteams voor computernoodgevallen (CERT’s) of andere responsmechanismes die reageren op dreigingen en zwakke plekken aanpakken, kunnen bijdragen aan een hoog niveau van veerkracht en aan een vermogen om verstoringen van netwerken en informatiesystemen op te vangen en te verhelpen; |
11. |
De strategische effecten, risico's en vooruitzichten voor het instellen van CERT’s voor de EU-instellingen moeten worden verkend en er moet worden nagedacht over de mogelijke toekomstige rol van het ENISA op dit gebied; |
12. |
Het ENISA heeft tot nog toe veel bewerkstelligd op het gebied van netwerk- en informatiebeveiliging en het moet verder worden ontwikkeld tot een doeltreffend orgaan dat duidelijke voordelen biedt voor de Europese netwerk- en informatiebeveiliging. |
-
V.BEKLEMTOONT HET VOLGENDE:
1. |
Een versterkte en holistische Europese strategie voor netwerk- en informatiebeveiliging, waarin de rollen van de Europese Commissie, de lidstaten en het ENISA duidelijk worden afgebakend, is van zeer groot belang voor de aanpak van de huidige en toekomstige uitdagingen, |
2. |
Na grondig overleg en een gedegen analyse moet in het wetgevingsproces aandacht worden geschonken aan het moderniseren en versterken van het ENISA met een mandaat waarin flexibiliteit voor en toezicht door de lidstaten en de Commissie is vastgelegd, en dat een efficiënte rol toebedeelt aan de vertegenwoordiging van de belanghebbenden uit de particuliere sector. In het mandaat van het ENISA moet rekening worden gehouden met het regelgevingskader voor elektronische-communicatienetwerken en -diensten, het moet stroken met de ambities van de agenda van Lissabon en doelstellingen bevatten op het vlak van onderzoek, innovatie, concurrentievermogen, economische groei en het creëren van vertrouwen, |
3. |
ENISA kan de rollen die de Commissie en de lidstaten hebben waar het gaat om beleidsontwikkeling en uitvoering steunen, in het bijzonder door de kloof tussen technologie en beleid te overbruggen en het moet nauw samenwerken met de lidstaten en andere belanghebbenden en zo zijn activiteiten goed doen aansluiten op de prioriteiten van de EU, |
4. |
ENISA moet, met een herzien mandaat, het centrum van deskundigheid van de EU worden in EU-aangelegenheden op het gebied van netwerk- en informatiebeveiliging. Als zodanig moeten de Europese instellingen, wanneer zij beleid ontwikkelen en uitvoeren dat op dit gebied van invloed zou kunnen zijn, het ENISA om advies vragen en dat advies zoveel mogelijk ter harte nemen. |
5. |
ENISA zou ook in staat kunnen zijn om, op verzoek, de lidstaten te helpen bij het verbeteren van hun eigen capaciteiten qua netwerk- en informatiebeveiliging en van hun vermogen om met beveiligingsincidenten om te gaan. |
VI. VERZOEKT DE LIDSTATEN OM:
1. |
Te blijven proberen het vertrouwen van de eindgebruiker in informatie- en communicatietechnologieën te verhogen door middel van voorlichtingscampagnes, |
2. |
Nationale oefeningen te organiseren en/of deel te nemen aan geregelde Europese oefeningen op het gebied van netwerk- en informatiebeveiliging, met de aantekening dat dit uitvoerig moet worden gepland omdat het een complex terrein is en dat de particuliere sector erbij betrokken is. ENISA zou de lidstaten hier op verzoek bij kunnen helpen. De reikwijdte en geografische dimensie van de oefeningen moeten in de loop van de tijd op natuurlijke wijze evolueren en moeten gebaseerd zijn op onderkende risico’s; |
3. |
Responsteams voor computernoodgevallen (CERT’s) op te richten in de lidstaten die daar nog niet over beschikken en de samenwerking tussen nationale CERT’s op Europees niveau te intensiveren. ENISA zou de lidstaten hierbij kunnen helpen; |
4. |
Meer inspanningen te leveren voor onderwijs, opleiding en onderzoeksprogramma's in netwerk- en informatiebeveiliging zodat de EU beschikt over de noodzakelijke technische vaardigheden en specialisten en het professionalisme van mensen die op dat gebied werken, te verbeteren; |
5. |
Gezamenlijk te reageren op grensoverschrijdende incidenten en hun vermogen om dat goed te doen op te voeren, en daarvoor moet de dialoog tussen de betrokken besluitvormers, met name over vraagstukken inzake vertrouwelijkheid, worden geïntensiveerd. |
VII. VERZOEKT DE COMMISSIE:
1. |
De lidstaten op passende wijze te helpen bij de uitvoering van deze resolutie; |
2. |
Het Europees Parlement en de Raad geregeld op de hoogte te stellen van initiatieven op EU-niveau inzake netwerk- en informatiebeveiliging; |
3. |
In samenwerking met het ENISA een voorlichtingscampage op te zetten, gericht op het Europees publiek en spelers uit de particuliere sector, over het belang van goed risicobeheer wat betreft netwerk- en informatiebeveiliging, |
4. |
In samenwerking met de lidstaten te blijven zoeken naar stimulansen om verstrekkers van elektronische communicatiestructuren ertoe aan te zetten robuuste en veerkrachtige infrastructuren te leveren aan eindgebruikers, het bedrijfsleven en overheden; |
5. |
In samenwerking met de lidstaten methoden te ontwikkelen voor een vergelijkbare evaluatie op EU-niveau van de sociaal-economische gevolgen van incidenten en van de doeltreffendheid van voorzorgsmaatregelen; |
6. |
Modellen met meerdere belanghebbenden, die een duidelijke meerwaarde moeten hebben voor eindgebruikers en het bedrijfsleven, aanmoedigen en verbeteren, |
7. |
Een holistische strategie te presenteren over netwerk- en informatiebeveiliging (1), met voorstellen voor een versterkt en flexibel mandaat voor het ENISA en een verbeterd toezicht door de lidstaten en de Commissie; |
8. |
Samen met de lidstaten een analyse te maken van responsteams voor computernoodgevallen (CERT’s) teneinde vast te stellen op welke gebieden verder moet worden samengewerkt, |
9. |
Te blijven zoeken naar een gemeenschappelijke of interoperabele aanpak die de EU-instellingen kunnen volgen bij aanbestedingen voor beveiligde ICT-systemen en -diensten. |
VIII. ROEPT HET ENISA OP OM:
1. |
De lidstaten, de Europese Commissie en andere belanghebbenden actief te blijven steunen bij het uitvoeren van Europees beleid inzake netwerk- en informatiebeveiliging en het actieplan voor de bescherming van kritieke informatie-infrastructuur (CIIP); |
2. |
Samen met de lidstaten, de Commissie en statistiekbureaus een kader te ontwikkelen voor statistieken over hoe de netwerk- en informatiebeveiliging ervoor staat. |
IX. VERZOEKT DE BELANGHEBBENDEN OM:
1. |
Meer inspanningen te leveren om het niveau van de netwerk- en informatiebeveiliging te verhogen, in het bijzonder wat betreft het leveren van betrouwbare en gemakkelijk te gebruiken producten en diensten; |
2. |
De gebruikers goed voor te lichten over beveiligingsrisico's van producten en diensten en over manieren waarop zij zich kunnen beschermen, |
3. |
Alle vereiste technische en organisatorische maatregelen te treffen voor het beschermen van de continuïteit, integriteit en vertrouwelijkheid van elektronische communicatienetwerken en -diensten, |
4. |
Te blijven werken aan de standaardisering van netwerk- en informatiebeveiliging in een streven naar geharmoniseerde en interoperabele oplossingen, |
5. |
Met de lidstaten deel te nemen aan oefeningen die ons leren hoe we adequaat moeten reageren op noodsituaties. |
-
De Commissie stelt voor om hier „mogelijkerwijs” in te voegen.
Deze samenvatting is overgenomen van EUR-Lex.