z dnia 18 grudnia 2009 r.

w sprawie wspólnego europejskiego podejścia do bezpieczeństwa sieci i informacji

(2009/C 321/01)

(Dz.U.UE C z dnia 29 grudnia 2009 r.)

RADA UNII EUROPEJSKIEJ,

I. MAJĄC NA UWADZE:

1. Komunikat Komisji z dnia 31 maja 2006 r. "Strategia na rzecz bezpiecznego społeczeństwa informacyjnego" przedstawiający proces "dialogu, partnerstwa i przejmowania inicjatywy" z udziałem państw członkowskich i zainteresowanych podmiotów z sektora prywatnego;

2. Komunikat Komisji z dnia 12 grudnia 2006 r. w sprawie europejskiego programu ochrony infrastruktury krytycznej mający na celu poprawę ochrony takiej infrastruktury w UE oraz tworzący ramy regulacyjne dotyczące ochrony infrastruktury krytycznej;

3. Dyrektywę Rady z dnia 8 grudnia 2008 r. w sprawie rozpoznania i wyznaczenia europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie zwiększenia jej ochrony;

4. Rezolucję Rady z dnia 22 marca 2007 r. w sprawie strategii na rzecz bezpiecznego społeczeństwa informacyjnego w Europie;

5. Konkluzje Rady Europejskiej z dni 19-20 kwietnia 2007 r. w sprawie europejskiego programu ochrony infrastruktury krytycznej;

6. Komunikat Komisji z dnia 30 marca 2009 r. w sprawie ochrony krytycznej infrastruktury informatycznej;

7. Toczącą się debatę, w tym odpowiednie konsultacje publiczne, w sprawie przyszłości Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA) oraz jej roli w zakresie ochrony krytycznej infrastruktury informatycznej;

8. Konkluzje prezydencji w sprawie ochrony krytycznej infrastruktury informatycznej z konferencji ministerialnej w Tallinie w dniach 27-28 kwietnia 2009 r.;

9. Cele strategii lizbońskiej dotyczące konkurencyjności i wzrostu gospodarczego oraz prowadzone obecnie prace odnoszące się do przeglądu tej strategii;

10. Środki bezpieczeństwa zaproponowane w procesie przeglądu ram regulacyjnych sieci i usług łączności elektronicznej;

11. Ze względu na efektywność przyszłej polityki w zakresie bezpieczeństwa sieci i informacji w niniejszej rezolucji zakłada się, iż nie ma jeszcze żadnych ustaleń dotyczących jakichkolwiek niezbędnych zmian rozporządzenia w sprawie agencji ENISA. Ponieważ Komisja zajmuje się obecnie przyszłością polityki bezpieczeństwa sieci i informacji, niniejsza rezolucja nie powinna wpływać na wyniki tego przeglądu, odnoszące się do wszelkich zmian rozporządzenia w sprawie agencji ENISA, przed ich opublikowaniem przez Komisję.

II. ODNOTOWUJĄC, ŻE:

1. Ze względu na znaczenie łączności, infrastruktury i usług elektronicznych jako podstawy działalności gospodarczej i społecznej, bezpieczeństwo sieci i informacji przyczynia się do istotnych wartości i celów w społeczeństwie, takich jak demokracja, prywatność, wzrost gospodarczy, swobodny przepływ myśli oraz stabilność gospodarcza i polityczna;

2. Systemy, infrastruktura i usługi informacyjno-komunikacyjne, w tym Internet, odgrywają istotną rolę w społeczeństwie, a zakłócenia ich działania mogą powodować ogromne szkody gospodarcze, co podkreśla znaczenie środków zmierzających do zwiększenia ochrony i odporności w celu zapewnienia ciągłości funkcjonowania usług krytycznych;

3. Incydenty zagrażające bezpieczeństwu mogą naruszać zaufanie użytkowników. Podczas gdy poważne zakłócenia działania sieci i systemów informatycznych mogłyby mieć znaczne skutki społeczno-gospodarcze, codzienne problemy i niedogodności również mogą podkopywać zaufanie społeczeństwa do technologii, sieci i usług;

4. Kalejdoskop zagrożeń zmienia się i rozrasta, co nasila potrzebę zapewnienia użytkownikom końcowym, przedsiębiorstwom i administracji takiej infrastruktury łączności elektronicznej, która z założenia byłaby solidna i odporna, a także określenia właściwych zachęt dla usługodawców, by dokonali tego bez zbędnych opóźnień;

5. Istnieje potrzeba zwiększenia bezpieczeństwa sieci i informacji oraz uwzględniania tego zagadnienia we wszystkich dziedzinach polityki i sektorach społecznych, a także stawienia czoła wyzwaniu, jakim jest zapewnienie wystarczających umiejętności za pomocą działań krajowych i europejskich oraz kampanii uświadamiających wśród użytkowników technologii informacyjno-komunikacyjnych (TIK);

6. Urzeczywistnienie i funkcjonowanie rynku wewnętrznego wymagać będzie ponadgranicznej współpracy właścicieli sieci i usługodawców, jako że potencjalne zakłócenia w jednym państwie członkowskim mogą również oddziaływać na inne państwa członkowskie i całą UE;

7. Nowe schematy użytkowania, takie jak "cloud computing" czy oprogramowanie jako usługa, dodatkowo zwiększają znaczenie bezpieczeństwa sieci i informacji;

8. Bezpieczeństwo sieci i informacji służy celowi wszystkich zainteresowanych stron, we wszystkich sektorach społeczeństwa, by móc zaufać systemom informatycznym, w związku z czym potrzebne jest podejście międzysektorowe i transgraniczne;

9. Wraz z rosnącym wykorzystaniem TIK w społeczeństwie bezpieczeństwo sieci i informacji staje się niezbędnym warunkiem niezawodnego i bezpiecznego świadczenia usług publicznych, takich jak e-administracja;

10. Agencja ENISA może wykorzystać ważną rolę, jaką odgrywa już w dziedzinie bezpieczeństwa sieci i informacji.

III. PODKREŚLA, ŻE:

1. Potrzeba wysokiego poziomu bezpieczeństwa sieci i informacji w UE w celu wspierania:

a) swobód i praw obywatelskich, w tym prawa do prywatności;

b) społeczeństwa efektywnego pod względem jakości przetwarzania informacji;

c) zyskowności oraz rozwoju handlu i przemysłu;

d) zaufania obywateli i organizacji do przetwarzania informacji i systemów TIK;

2. Sektor TIK jest nieodzowny dla większości sektorów społeczeństwa, co czyni bezpieczeństwo sieci i informacji wspólnym zadaniem wszystkich zainteresowanych stron, w tym operatorów, usługodawców, producentów sprzętu i oprogramowania, użytkowników końcowych, organów publicznych i rządów krajowych.

IV. UZNAJE:

1. Znaczenie aktywnej i posiadającej odpowiednią wiedzę europejskiej społeczności bezpieczeństwa sieci i informacji, która przyczynia się do ściślejszej współpracy między państwami członkowskimi a sektorem prywatnym;

2. Korzyści płynące ze zharmonizowanego stosowania, w odpowiednich przypadkach, międzynarodowych standardów bezpieczeństwa w całej UE na potrzeby bezpieczeństwa sieci i informacji;

3. Potrzebę wspólnego europejskiego podejścia do bezpieczeństwa sieci i informacji na arenie międzynarodowej, ponieważ mamy do czynienia z wyzwaniem o zasięgu globalnym;

4. Znaczenie dla państw członkowskich i instytucji UE, jakie ma dostępność rzetelnych danych statystycznych na temat stanu bezpieczeństwa sieci i informacji w Europie;

5. Potrzebę większej świadomości oraz narzędzi zarządzania ryzykiem dla wszystkich zainteresowanych stron;

6. Znaczenie wzmożonych wysiłków wśród państw członkowskich w celu podnoszenia świadomości, wymiany sprawdzonych rozwiązań oraz opracowywania wytycznych dla państw członkowskich;

7. Znaczenie modeli z udziałem wielu zainteresowanych stron, takich jak partnerstwa publiczno-prywatne (PPP), opartych na długookresowym działaniu oddolnym w celu ograniczenia określonych zagrożeń w przypadkach, gdy tego rodzaju podejście przynosi wartość dodaną, przyczyniając się do zapewnienia wysokiego poziomu odporności sieci;

8. Kluczową rolę, jaką odgrywają usługodawcy w zapewnianiu społeczeństwu solidnej i odpornej infrastruktury łączności elektronicznej;

9. Przydatność organizowanych w Europie ćwiczeń w dziedzinie bezpieczeństwa sieci i informacji, które mogą być wartościową lekcją dla operatorów sieci, usługodawców i administracji;

10. Że krajowe lub rządowe zespoły ds. reagowania kryzysowego w dziedzinie informatycznej (ang. "Computer Emergency Response Team", CERT) bądź inne mechanizmy reagowania wobec zagrożeń i eliminowania słabych punktów mogą przyczynić się do zapewnienia wysokiego poziomu odporności oraz zdolności do przetrwania i wyeliminowania zakłóceń w działaniu sieci i systemów informatycznych;

11. Znaczenie analizy strategicznych skutków, zagrożeń i perspektyw dla instytucji UE związanych ze stworzeniem CERT oraz znaczenie rozważenia możliwej przyszłej roli agencji ENISA w tym zakresie;

12. Dotychczasowe osiągnięcia agencji ENISA w dziedzinie bezpieczeństwa sieci i informacji oraz potrzebę dalszego rozwoju tej agencji, by uczynić z niej efektywny organ zapewniający wyraźne korzyści w dziedzinie europejskiego bezpieczeństwa sieci i informacji.

V. PODKREŚLA, ŻE:

1. Rozszerzona, całościowa europejska strategia bezpieczeństwa sieci i informacji, z wyraźnym rozgraniczeniem obowiązków Komisji Europejskiej, państw członkowskich i agencji ENISA, ma kluczowe znaczenie dla tego, by stawić czoła aktualnym i przyszłym wyzwaniom;

2. Po przeprowadzeniu odpowiednich konsultacji i analiz należy rozważyć w procesie legislacyjnym kwestię modernizacji i wzmocnienia agencji ENISA, której mandat byłby elastyczny i przewidywałby nadzór ze strony państw członkowskich oraz Komisji, a także efektywną rolę przedstawicieli zainteresowanych stron z sektora prywatnego. Mandat agencji ENISA powinien uwzględniać ramy regulacyjne sieci i usług łączności elektronicznej oraz pozostawać w zgodzie z ambitnymi zamierzeniami określonymi w strategii lizbońskiej oraz celami w zakresie badań, innowacji, konkurencyjności, wzrostu gospodarczego i zapewniania zaufania;

3. Agencja ENISA mogłaby wspierać Komisję i państwa członkowskie w rozwijaniu i wdrażaniu polityki, w szczególności poprzez wypełnianie luki między światem technologii a światem polityki, oraz powinna współpracować ściśle z państwami członkowskimi i innymi zainteresowanymi stronami, by ich działania były odpowiednio dostosowane do priorytetów UE;

4. Agencja ENISA, działająca na podstawie zmienionego mandatu, powinna pełnić rolę unijnego ośrodka wiedzy specjalistycznej w sprawach związanych z bezpieczeństwem sieci i informacji w UE. W związku z tym instytucje europejskie powinny występować do niej o opinię oraz uwzględniać tę opinię przy opracowywaniu i wdrażaniu strategii politycznych mających potencjalny wpływ na tę dziedzinę;

5. Na wniosek państw członkowskich agencja ENISA mogłaby również wspierać je w rozbudowie ich własnego potencjału w dziedzinie bezpieczeństwa sieci i informacji oraz poprawie ich umiejętności radzenia sobie z incydentami zagrażającymi bezpieczeństwu.

VI. ZACHĘCA PAŃSTWA CZŁONKOWSKIE DO:

1. Kontynuowania prac mających na celu zwiększanie zaufania użytkowników końcowych do TIK poprzez kampanie uświadamiające;

2. Organizowania krajowych ćwiczeń lub udziału w regularnych europejskich ćwiczeniach w dziedzinie bezpieczeństwa sieci i informacji, odnotowując potrzebę szeroko zakrojonego planowania ze względu na złożoność tej kwestii oraz zaangażowanie sektora prywatnego. Na wniosek państw członkowskich agencja ENISA mogłaby wspierać państwa członkowskie w tym zakresie. Przedmiot oraz geograficzny zasięg takich ćwiczeń powinny z czasem naturalnie ewoluować oraz powinny opierać się na rozpoznanych zagrożeniach;

3. Stworzenia zespołów ds. reagowania kryzysowego w dziedzinie informatycznej (CERT) w państwach członkowskich, które nie dysponują jeszcze takimi strukturami, oraz do zacieśnienia współpracy między krajowymi CERT na szczeblu europejskim. Agencja ENISA mogłaby wspierać państwa członkowskie w tym zakresie;

4. Wzmożenia wysiłków w dziedzinie programów kształcenia, szkolenia i badań dotyczących bezpieczeństwa sieci i informacji, aby zapewnić dostępność w UE niezbędnych umiejętności technicznych i profesjonalnej kadry, jak również aby podnieść poziom profesjonalizmu osób działających w tej dziedzinie;

5. Podejmowania wspólnych działań w wypadku incydentów o charakterze transgranicznym oraz rozwijania możliwości takiego współdziałania, co wymaga wzmocnienia dialogu między właściwymi decydentami, zwłaszcza w kwestiach dotyczących poufności.

VII. ZWRACA SIĘ DO KOMISJI, BY:

1. W stosownych przypadkach wspierała państwa członkowskie we wdrażaniu niniejszej rezolucji;

2. Regularnie informowała Parlament Europejski i Radę o inicjatywach podejmowanych na szczeblu UE dotyczących bezpieczeństwa sieci i informacji;

3. We współpracy z agencją ENISA inicjowała kampanie uświadamiające społeczeństwo europejskie oraz podmioty prywatne o znaczeniu odpowiedniego zarządzania ryzykiem w odniesieniu do bezpieczeństwa sieci i informacji;

4. Kontynuowała, we współpracy z państwami członkowskimi, działania zmierzające do określenia zachęt dla operatorów infrastruktury łączności elektronicznej, by infrastruktura oferowana przez nich użytkownikom końcowym, przedsiębiorstwom i administracji była z założenia solidna i odporna;

5. We współpracy z państwami członkowskimi opracowała metody, które umożliwią ocenę porównawczą na szczeblu UE społeczno-gospodarczych skutków incydentów oraz efektywności środków zapobiegawczych;

6. Zachęcała do stosowania i rozwoju modeli z udziałem wielu zainteresowanych stron, które to modele powinny cechować się wyraźną wartością dodaną z korzyścią dla użytkowników końcowych oraz przemysłu;

7. Przygotowała całościową strategię bezpieczeństwa sieci i informacji, w tym⁽¹⁾ propozycje dotyczące wzmocnionego i elastycznego mandatu agencji ENISA, jak również wzmocnionego nadzoru ze strony państw członkowskich i Komisji;

8. Przeprowadziła, we współpracy z państwami członkowskimi, analizę dotyczącą zespołów ds. reagowania kryzysowego w dziedzinie informatycznej (CERT), tak aby określić, w których obszarach wymagana jest dalsza współpraca;

9. Nadal badała możliwości wypracowania wspólnego lub wzajemnie zgodnego podejścia instytucji UE do zamówień dotyczących bezpiecznych systemów i usług TIK.

VIII. WZYWA AGENCJĘ ENISA DO:

1. Dalszego aktywnego wspierania państw członkowskich, Komisji Europejskiej i innych właściwych zainteresowanych stron we wdrażaniu europejskiej polityki bezpieczeństwa sieci i informacji oraz w realizacji planu działania w sprawie ochrony krytycznej infrastruktury informatycznej;

2. Współpracy z państwami członkowskimi, Komisją i urzędami statystycznymi nad stworzeniem ram regulacyjnych dotyczących danych statystycznych na temat stanu bezpieczeństwa sieci i informacji w Europie.

IX. ZACHĘCA ZAINTERESOWANE STRONY DO:

1. Wzmożenia wysiłków zmierzających do podniesienia poziomu bezpieczeństwa sieci i informacji, w szczególności poprzez zapewnianie niezawodnych, godnych zaufania i łatwych w użyciu produktów i usług;

2. Należytego informowania użytkowników o zagrożeniach bezpieczeństwa związanych z produktami i usługami oraz o możliwych sposobach ochrony przed takimi zagrożeniami;

3. Podjęcia wszelkich właściwych środków technicznych i organizacyjnych w celu zagwarantowania ciągłości funkcjonowania, integralności i poufności sieci i usług łączności elektronicznej;

4. Dalszych prac normalizacyjnych w dziedzinie bezpieczeństwa sieci i informacji w celu znalezienia zharmonizowanych i współdziałających ze sobą rozwiązań;

5. Udziału wraz z państwami członkowskimi w ćwiczeniach mających zapewnić odpowiednią gotowość na wypadek stanów zagrożenia.

______

⁽¹⁾ Komisja sugeruje, by dodać tutaj słowa "być może".