RO

RO

RO

COMISIA EUROPEAN

Bruxelles, 31.3.2011 COM(2011) 163 final

COMUNICARE A COMISIEI CTRE PARLAMENTUL EUROPEAN, CONSILIU, COMITETUL ECONOMIC I SOCIAL EUROPEAN I COMITETUL REGIUNILOR privind protecia infrastructurilor critice de informaie Realizri i etape urmtoare: ctre un context global de securitate cibernetic

RO

RO

COMUNICARE A COMISIEI CTRE PARLAMENTUL EUROPEAN, CONSILIU, COMITETUL ECONOMIC I SOCIAL EUROPEAN I COMITETUL REGIUNILOR privind protecia infrastructurilor critice de informaie Realizri i etape urmtoare: ctre un context global de securitate cibernetic

1.

INTRODUCERE

La 30 martie 2009, Comisia a adoptat o comunicare privind protecia infrastructurilor critice de informaie Protejarea Europei de atacuri cibernetice i perturbaii de amploare: ameliorarea gradului de pregtire, a securitii i a rezilienei1 prin care stabilea un plan (planul de aciune privind protecia infrastructurilor critice de informaie) n vederea consolidrii securitii i rezilienei infrastructurilor vitale ale tehnologiei informaiei i comunicaiilor (TIC). Obiectivul era acela de a stimula i sprijini dezvoltarea unui nivel ridicat al capacitii de reacie, de securitate i de rezilien, att la nivel naional, ct i la nivel european. Aceast abordare a fost aprobat n linii mari de ctre Consiliu n 20092. Planul de aciune privind protecia infrastructurilor critice de informaie este construit pe cinci piloni: pregtirea i prevenirea, depistarea i reacia, reducerea riscurilor i redresarea dup incidente, cooperarea internaional i criteriile pentru infrastructurile critice europene din sectorul TIC. Acesta stabilete msurile care trebuie luate n legtur cu fiecare pilon de Comisie, statele membre i/sau industrie, cu sprijinul Ageniei Europene pentru Securitatea Reelelor Informatice i a Datelor (ENISA). Agenda digital pentru Europa3, adoptat n mai 2010, i concluziile aferente ale Consiliului4 au subliniat viziunea comun conform creia ncrederea i securitatea sunt condiii prealabile fundamentale pentru utilizarea la scar larg a tehnologiei informaiei i comunicaiilor i pentru realizarea n acest fel a obiectivelor vizate de dimensiunea cretere inteligent a Strategiei Europa 20205. Agenda digital pentru Europa subliniaz necesitatea ca toate prile interesate s-i uneasc forele ntr-un efort global pentru a garanta securitatea i reziliena infrastructurilor TIC, prin acordarea unei importane speciale prevenirii, gradului de pregtire i sensibilizrii, precum i pentru a dezvolta mecanisme eficiente i coordonate ca s poat reaciona la formele din ce n ce mai sofisticate de atacuri i infraciuni cibernetice. Aceast abordare garanteaz c att dimensiunea preventiv, ct i cea de reacie, sunt provocri de care se ine seama n mod corespunztor. Urmtoarele msuri, anunate n Agenda digital, au fost luate n ultimele luni: Comisia a adoptat n septembrie 2010 o propunere de directiv privind atacurile mpotriva sistemelor de

1 2 3 4 5

COM(2009) 149. Rezoluia Consiliului din 18 decembrie 2009 privind o abordare european a securitii reelelor i a informaiilor bazat pe colaborare (2009/C 321/01). COM(2010) 245. Concluziile Consiliului din 31 mai 2010 privind Agenda digital pentru Europa (10130/10). COM(2010) 2020 i Concluziile Consiliului European din 25 i 26 martie 2010 (EUCO 7/10).

RO

RO

informaii6. Aceasta vizeaz consolidarea luptei mpotriva atacurilor cibernetice prin apropierea sistemelor de drept penal ale statelor membre i prin mbuntirea cooperrii ntre autoritile judiciare i alte autoriti competente. De asemenea, propunerea introduce unele dispoziii privind modalitatea de combatere a noilor forme de atacuri cibernetice, n spe botneturile. Comisia a naintat n acelai timp i o propunere7 pentru un nou mandat de consolidare i modernizare a Ageniei Europene pentru Securitatea Reelelor Informatice i a Datelor (ENISA) n vederea creterii gradului de ncredere i a securitii reelelor. Consolidarea i modernizarea ENISA va permite Uniunii Europene, statelor membre i prilor interesate din sectorul privat s i dezvolte capacitile i pregtirea n vederea prevenirii, detectrii i abordrii provocrilor care in de securitatea informatic. i nu n ultimul rnd, Agenda digital pentru Europa, Programul de la Stockholm/planul de aciune al acestuia8 i Strategia de securitate intern a UE n aciune9 subliniaz angajamentul Comisiei de a construi un mediu digital n care toi europenii s-i poat exprima ntregul potenial economic i social. Prezenta comunicare face bilanul rezultatelor obinute de la adoptarea planului de aciune privind protecia infrastructurilor critice de informaie n 2009. Ea descrie msurile viitoare preconizate pentru fiecare aciune, att la nivel european, ct i internaional i se concentreaz, totodat, asupra dimensiunii globale a provocrilor i a importanei intensificrii cooperrii dintre administraiile statelor membre i sectorul privat la nivel naional, european i internaional, pentru a se trata interdependenele la nivel global. 2. UN SCENARIU N CONTINU EVOLUIE

Evaluarea impactului care nsoete planul de aciune privind protecia infrastructurilor critice de informaie10, precum i o serie de analize i rapoarte realizate de prile interesate din sectorul public i privat subliniaz nu doar dependena social, politic i economic de TIC a Europei, ci i creterea constant a numrului, amplorii, gradului de sofisticare i a impactului ameninrilor, fie c e vorba de ameninri naturale sau generate de oameni. Au aprut ameninri noi i mai sofisticate din punct de vedere tehnologic. Dimensiunea geopolitic global a acestora devine din ce n ce mai clar. Asistm n prezent la o tendin de utilizare a tehnologiilor informaiei i comunicaiilor n scopul supremaiei politice, economice i militare, inclusiv prin capaciti ofensive. Rzboiul cibernetic i terorismul cibernetic sunt uneori menionate n acest context. n plus, dup cum o arat i recentele evenimente sud-mediteraneene, unele regimuri sunt pregtite i capabile s interzic sau s submineze n mod arbitrar accesul propriilor lor ceteni la mijloacele informatice de comunicare n special internetul i comunicaiile mobile n scopuri politice. Astfel de intervenii interne unilaterale pot avea consecine grave asupra altor pri ale lumii11.

6 7 8 9 10 11

COM(2010) 517 final. COM(2010) 521. COM(2010) 171. COM(2010) 673. SEC(2009) 399. Comunicare comun privind Parteneriatul pentru democraie i prosperitate mprtit cu rile sudmediteraneene, COM(2011) 200, 8.3.2011.

RO

RO

Pentru a nelege i mai bine aceste diferite ameninri, poate fi util s le mprim n urmtoarele categorii: pentru exploatare, cum ar fi ameninrile avansate persistente12, n scopul spionajului economic i politic (de exemplu, GhostNet13), furtul de identitate, recentele atacuri mpotriva sistemului de comercializare a cotelor de emisii14 sau mpotriva sistemelor informatice guvernamentale15; pentru sabotaj, cum ar fi atacurile de tip DDoS (Distributed Denial of Service blocarea distribuit a serviciului) sau spamurile generate prin botneturi (de exemplu, reeaua Conficker de 7 milioane de calculatoare i reeaua Mariposa din Spania de 12,7 milioane de calculatoare16), Stuxnet17 i ntreruperea mijloacelor de comunicare; pentru distrugere. Acesta este un scenariu care nc nu s-a materializat, ns, dat fiind utilizarea crescnd a TIC n infrastructurile critice (de exemplu, reelele inteligente i reelele de distribuie a apei), el nu este exclus pentru anii care vin18. 3. UNIUNEA EUROPEAN I CONTEXTUL GLOBAL

Provocrile viitoare nu sunt specifice Uniunii Europene (UE) i nici nu pot fi rezolvate doar de UE. Gradul din ce n ce mai ridicat de utilizare a TIC i a internetului permite o comunicare, o coordonare i o cooperare mai eficient, rentabil i economic ntre prile interesate i are drept rezultat un ecosistem dinamic de inovare n toate domeniile vieii. n prezent ns, ameninrile pot aprea n orice parte a lumii i, din cauza interconectrii globale, pot afecta orice parte a lumii. O abordare doar la nivel european nu este suficient pentru soluionarea problemelor viitoare. Dei obiectivul realizrii unei abordri bazate pe coeren i cooperare n cadrul UE rmne la fel de important ca ntotdeauna, el trebuie s se nscrie ntr-o strategie de coordonare global care s includ partenerii cheie, fie c este vorba de naiuni sau de organizaii internaionale. Trebuie s avansm n direcia contientizrii la nivel mondial a riscurilor pe care le presupune utilizarea masiv de ctre toate segmentele societii a tehnologiilor informaiilor i comunicaiilor. Mai mult, trebuie s concepem strategii pentru a gestiona aceste riscuri n mod adecvat i eficient, fie c este vorba de prevenirea, combaterea, reducerea sau abordarea lor. Agenda digital pentru Europa lanseaz o invitaie pentru organizarea cooperrii actorilor

12

13

14

15 16

17 18

i anume, atacurile nentrerupte i coordonate mpotriva ageniilor guvernamentale i sectorului public. Sunt pe cale s devin o problem i pentru sectorul privat (a se vedea Raportul RSA din 2011 privind tendinele infracionalitii cibernetice). A se vedea rapoartele proiectului Information Warfare Monitor: Tracking GhostNet: investigating a Cyber Espionage Network (2009) i Shadows in the Cloud: Investigating Cyber Espionage 2.0 (2010). A se vedea ntrebrile i rspunsurile de la adresa: http://europa.eu/rapid/pressReleasesAction.do?reference=MEMO/11/34&format=HTML&aged=0&lan guage=EN&guiLanguage=fr. Cum ar fi recentele atacuri mpotriva guvernului francez. A se vedea proiectul OCDE/IFP privind ocurile globale viitoare i Reducerea riscurilor sistemice la adresa securitii cibernetice, 14 ianuarie 2011, la adresa http://www.oecd.org/dataoecd/3/42/46894657.pdf. A se vedea http://www.enisa.europa.eu/media/press-releases/stuxnet-analysis. A se vedea World Economic Forum, Global Risks 2011.

RO

RO

relevani [] la nivel global pentru ca acetia s fie n msur s combat i s reduc riscurile la adresa securitii i stabilete obiectivul de a coopera cu prile interesate la nivel mondial pentru consolidarea gestionrii globale a riscurilor n sfera digital i cea fizic i pentru adoptarea de msuri specifice coordonate la nivel internaional mpotriva infraciunilor informatice i a atacurilor la adresa securitii. 4. PUNEREA N APLICARE A PLANULUI DE ACIUNE PRIVIND INFRASTRUCTURILOR CRITICE DE INFORMAIE: IDEI GENERALE
PROTECIA

Raportul integral referitor la realizrile i etapele urmtoare ale planului de aciune privind protecia infrastructurilor critice de informaie este disponibil n anex. n continuare sunt enumerate cteva idei generale privind starea de fapt. 4.1. Pregtirea i prevenirea

Forumul european al statelor membre (FESM) a nregistrat progrese semnificative n stimularea dialogului i a schimburilor dintre autoritile de resort cu privire la bunele practici n materie de politici legate de securitatea i reziliena infrastructurilor TIC. Forumul european al statelor membre este recunoscut de statele membre drept o platform important pentru discuii i schimburi de bune practici n materie de politici19. Activitile sale viitoare vor beneficia n continuare de sprijinul ENISA i se vor concentra asupra cooperrii dintre echipele naionale/guvernamentale de intervenie n caz urgen informatic (Computer Emergency Response Teams CERT), prin identificarea stimulentelor economice i de reglementare pentru securitate i rezilien (respectndu-se n acelai timp i normele n vigoare n materie de concuren i ajutoare de stat), prin evaluarea strii de sntate a securitii cibernetice n Europa, prin organizarea de exerciii paneuropene, precum i prin discutarea prioritilor de abordat ntr-un cadru internaional cu privire la securitate i rezilien. Parteneriatul european public-privat pentru rezilien (EP3R) a fost lansat drept cadru european de guvernan pentru reziliena infrastructurilor TIC. Acesta vizeaz dezvoltarea cooperrii dintre sectorul public i cel privat n chestiuni politice i strategice la nivelul UE legate de securitate i rezilien. ENISA a jucat rolul de mediator pentru activitile EP3R i, n urma propunerii Comisiei din 2010 privind modernizarea ENISA, aceasta va oferi un cadru viabil pe termen lung pentru EP3R. EP3R va reprezenta totodat o platform de anvergur internaional pentru chestiunile de politici publice i pentru problemele economice i comerciale care sunt relevante n ceea ce privete securitatea i reziliena, pentru a consolida gestionarea global a riscurilor privind infrastructurile TIC. Au fost stabilite att baza minim de capaciti i servicii20, ct i recomandrile de politici aferente acesteia21, necesare pentru ca CERT naionale/guvernamentale s i desfoare activitatea n mod eficient i s acioneze ca o component cheie a capacitii
19

20 21

Rspunsul guvernului britanic la cel de-al cincilea raport al Comisiei pentru Uniunea European a Camerei Lorzilor referitor la planul de aciune privind protecia infrastructurilor critice de informaie declar c Forumul european al statelor membre reprezint un succes i rspunde unei nevoi reale, oferind factorilor de decizie ocazia de a face schimb de experien. A se vedea http://www.enisa.europa.eu/act/cert/support/files/baseline-capabilities-for-nationalgovernmental-certs. A se vedea http://www.enisa.europa.eu/act/cert/support/files/baseline-capabilities-of-nationalgovernmental-certs-policy-recommendations.

RO

RO

naionale n ceea ce privete pregtirea, schimbul de informaii, coordonarea i reacia. Aceste rezultate vor constitui baza pe care se va institui, cu sprijinul ENISA, o reea de CERT naionale/guvernamentale care s funcioneze eficient n toate statele membre cel trziu pn n 2012. Aceast reea va reprezenta coloana vertebral a Sistemului european de alert i schimb de informaii (EISAS) pentru ceteni i IMM-uri, care urmeaz a fi construit cu resurse i capaciti naionale pn n 2013. 4.2. Depistarea i reacia

ENISA a stabilit o foaie de parcurs la nivel nalt pentru instituirea unui Sistem european de alert i schimb de informaii (EISAS) pn n 201322, pornind de la implementarea serviciilor de baz la nivelul CERT naionale/guvernamentale i a serviciilor de interoperabilitate pentru sistemele naionale de alert i schimb de informaii care urmeaz a fi integrate n EISAS. Protecia corespunztoare a datelor cu caracter personal va fi unul dintre elementele cheie ale acestei activiti. 4.3. Reducerea riscurilor i redresarea dup incidente

Pn n prezent, doar 12 state membre au organizat exerciii legate de reacia la incidentele de mare anvergur care afecteaz securitatea reelelor i de redresarea dup dezastre23. Pentru a sprijini activitile statelor membre, care trebuie intensificate, ENISA a publicat un ghid de bune practici pentru exerciiile naionale24, precum i o serie de recomandri de politici cu privire la elaborarea de strategii naionale25. Primul exerciiu paneuropean legat de incidentele de mare anvergur care afecteaz securitatea reelelor (denumit Cyber Europe 2010) a avut loc la 4 noiembrie 2010 cu participarea tuturor statelor membre, dintre care 19 au luat parte la exerciiu n mod activ, acestor ri alturndu-li-se Elveia, Norvegia i Islanda. Exerciiile informatice paneuropene viitoare ar beneficia fr ndoial de pe urma unui cadru comun care s aib drept fundament planurile naionale de intervenie, cu care s-ar interconecta, oferind n acest fel mecanisme i proceduri de referin pentru comunicarea i cooperarea dintre statele membre. 4.4. Cooperarea internaional

Principiile i orientrile europene pentru reziliena i stabilitatea internetului26 au fost discutate i dezvoltate n contextul FESM. Comisia va discuta aceste principii i le va prezenta prilor interesate relevante, n special sectorului privat (prin EP3R), att pe plan bilateral cu partenerii cheie la nivel internaional, n spe SUA, ct i pe plan multilateral. Ea va face acest lucru, n sfera sa de competen, n foruri precum G8, OCDE, NATO (n special pe baza noului su concept strategic adoptat n noiembrie 2010 i a activitilor centrului de excelen pentru cooperare n domeniul aprrii cibernetice, Cooperative Cyber-defense Center of Excellence), ITU (n contextul consolidrii capacitilor n

22 23 24 25 26

http://www.enisa.europa.eu/act/cert/other-work/eisas_folder/eisas_roadmap. Sursa: ENISA. A se vedea http://www.enisa.europa.eu/act/res/policies/good-practices-1/exercises/nationalexercise-good-practice-guide/at_download/fullReport. A se vedea http://www.enisa.europa.eu/act/cert/support/files/baseline-capabilities-of-nationalgovernmental-certs-policy-recommendations. A se vedea http://ec.europa.eu/information_society/policy/nis/index_en.htm

RO

RO

domeniul securitii cibernetice), OSCE (prin intermediul Forumului pentru cooperare n materie de securitate), ASEAN, Meridian27 etc. Obiectivul este de a integra aceste principii i orientri ntr-un cadru comun care s promoveze angajamentul colectiv internaional pentru reziliena i stabilitatea pe termen lung a internetului. 4.5. Criterii pentru infrastructurile critice europene din sectorul TIC

Discuiile tehnice din cadrul FESM au dus la un prim proiect al criteriilor specifice sectorului TIC pentru identificarea infrastructurilor critice europene, cu referire n special la comunicaiile fixe i mobile i la internet. Aceste discuii tehnice vor continua i vor beneficia de pe urma consultrilor cu sectorul privat, cu privire la proiectul de criterii, att la nivel naional, ct i european (prin EP3R). De asemenea, Comisia va analiza mpreun cu statele membre elementele specifice ale sectorului TIC care trebuie avute n vedere pentru revizuirea Directivei privind identificarea i desemnarea infrastructurilor critice europene i evaluarea necesitii de mbuntire a proteciei acestora28 n 2012. 5. ETAPE VIITOARE

Implementarea planului de aciune privind protecia infrastructurilor critice de informaie a nregistrat rezultate pozitive, n special n ceea ce privete recunoaterea necesitii unei abordri a securitii reelelor i informaiilor care s se bazeze pe cooperare i s implice toate prile interesate. Ea este totodat n concordan cu etapele principale i cu termenele stabilite n 2009. Cu toate acestea, nu trebuie s ne mulumim doar cu ce s-a ntreprins pn acum, dat fiind c mai sunt multe rezultate de obinut att la nivel naional, ct i european, pentru ca toate aceste eforturi s aduc roade. De asemenea, este foarte important ca eforturile de ntreprins s fie incluse ntr-o strategie de coordonare global astfel nct acestea s poat fi extinse la nivel internaional, cu toate prile interesate, pentru a fi implicate i alte regiuni, ri sau organizaii care se confrunt cu probleme similare i pentru ca astfel s se dezvolte parteneriate prin care s se pun n comun perspectivele i activitile i s se evite duplicarea eforturilor. Este necesar s promovm o cultur global a gestionrii riscurilor. Trebuie pus accentul pe promovarea aciunilor coordonate pentru a preveni, a detecta, a reduce orice nereguli i a reaciona la acestea, fie c este vorba de probleme naturale sau generate de om, precum i pentru a se pedepsi infraciunile cibernetice. Acest lucru presupune realizarea de aciuni specifice pentru a combate riscurile la adresa securitii i a infraciunilor informatice. n acest scop, Comisia intenioneaz: s promoveze principiile pentru reziliena i stabilitatea internetului ar trebui dezvoltate principii internaionale pentru reziliena i stabilitatea internetului mpreun cu alte ri, cu alte organizaii internaionale i, dac este cazul, cu organizaiile mondiale din sectorul privat, cu ajutorul forurilor i proceselor existente, cum ar fi cele legate de guvernana internetului. Aceste principii ar trebui s reprezinte un instrument pe care toate

27

28

Procesul Meridian i propune s ofere guvernelor din ntreaga lume mijloacele prin care acestea s poat discuta modalitile de cooperare la nivel de politici cu privire la protecia infrastructurilor critice de informaie. A se vedea http://meridianprocess.org/ Directiva 2008/114/CE a Consiliului.

RO

RO

prile interesate s-l foloseasc pentru definirea activitilor legate de stabilitatea i reziliena internetului. n acest scop, principiile i orientrile europene pot servi drept baz. s instituie parteneriate strategice internaionale parteneriatele strategice ar trebui s porneasc de la eforturile n curs n domeniile critice, cum ar fi gestionarea incidentelor cibernetice, inclusiv exerciiile i cooperarea dintre echipele de intervenie n caz urgen informatic. Angajamentul sectorului privat, care se realizeaz la scar global, prezint o importan major. Grupul de lucru UE-SUA privind securitatea i infracionalitatea cibernetic, nfiinat cu ocazia summitului UE-SUA din noiembrie 2010, este o etap important n aceast direcie. Grupul de lucru se va concentra asupra gestionrii incidentelor cibernetice, parteneriatelor public-privat, sensibilizrii populaiei i infracionalitii cibernetice. De asemenea, el ar putea avea n vedere opiuni pentru a include i alte regiuni sau ri, care se confrunt cu probleme similare, n vederea punerii n comun a practicilor i a activitilor conexe i pentru a se evita duplicarea eforturilor, dac este cazul. n forurile internaionale, n special n cadrul G8, ar trebui s se urmreasc un grad mai mare de includere i coordonare. La nivel european, un factor cheie de succes va fi buna coordonare dintre toate instituiile UE, ageniile de resort (n special ENISA i Europol) i statele membre. s creasc gradul de ncredere n mediul informatic dematerializat (cloud) este esenial consolidarea discuiilor privind cele mai bune strategii de guvernan pentru tehnologiile emergente cu un impact global, cum ar fi cloud computing-ul. Aceste discuii ar trebui cu siguran s includ, printre altele, cadrul adecvat de guvernan pentru protecia datelor cu caracter personal. Pentru a se exploata pe deplin aceast tehnologie, ncrederea este un factor esenial29. Dat fiind c securitatea reprezint o responsabilitate comun tuturor, toate statele membre trebuie s se asigure c msurile i eforturile lor la nivel naional vor contribui n mod colectiv la o abordare european coordonat, n vederea prevenirii, reducerii i abordrii oricror tipuri de nereguli i atacuri cibernetice. n acest sens, statele membre trebuie s se angajeze: s creasc gradul de pregtire a UE, prin instituirea, pn n 2012, a unei reele de CERT naionale/guvernamentale care s funcioneze corespunztor. n acelai timp, instituiile UE vor nfiina CERT la nivelul lor pn n 2012. Toate aceste eforturi ar trebui s se sprijine pe baza minim de capaciti i servicii corespunztoare i pe recomandrile de politici aferente redactate de ENISA, care va continua s susin aceste iniiative. Totodat, aceast activitate va prezenta publicului larg evoluia Sistemului european de alert i schimb de informaii (EISAS) pn n 2013. s elaboreze, pn n 2012, un plan de intervenie n caz de incidente cibernetice i s efectueze exerciii cibernetice periodice paneuropene. Exerciiile cibernetice reprezint o component important a unei strategii coerente privind elaborarea de planuri de intervenie n caz de incidente cibernetice i de redresare n urma acestora, att la nivel naional, ct i european. Viitoarele exerciii cibernetice paneuropene ar trebui s se bazeze pe un plan european de intervenie n caz de incidente cibernetice care s aib drept baz

29

A se vedea, de exemplu, rapoartele ENISA intitulate Cadrul de asigurare a informaiilor n cloud computing (2009), la adresa http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computinginformation-assurance-framework/at_download/fullReport i Securitatea i reziliena n mediul cloud guvernamental (2011), la adresa http://www.enisa.europa.eu/act/rm/emerging-and-futurerisk/deliverables/security-and-resilience-in-governmental-clouds/.

RO

RO

planurile naionale de intervenie, cu care s se interconecteze. Acest plan ar trebui s ofere mecanismele i procedurile de baz pentru comunicarea dintre state membre i, nu mai puin important, s sprijine amploarea i organizarea viitoarelor exerciii paneuropene. ENISA va colabora cu statele membre pentru a elabora, pn n 2012, acest plan european de intervenie n caz de incidente cibernetice. n aceeai perioad, toate statele membre vor trebui s elaboreze periodic planuri naionale de intervenie, precum i exerciii de reacie la incidente i redresare n urma acestora. s ntreprind eforturi coordonate la nivel european n forurile internaionale i s instituie un dialog cu privire la ameliorarea securitii i rezilienei internetului. Statele membre trebuie s conlucreze i s colaboreze cu Comisia pentru a promova dezvoltarea unei abordri bazate pe principii sau norme n ceea ce privete chestiunea stabilitii i rezilienei globale a internetului. Scopul trebuie s fie acela de a promova prevenirea i pregtirea la toate nivelurile i de ctre toate prile interesate, echilibrnd astfel tendina actual a discuiilor care se concentreaz asupra aspectelor militare sau de securitate naional. 6. CONCLUZIE

Experiena ne arat c abordrile la nivel exclusiv naional sau regional n vederea soluionrii problemelor legate de securitate i rezilien nu sunt suficiente. Cooperarea european s-a dezvoltat semnificativ ncepnd din 2009 i a nregistrat rezultate ncurajatoare, cum este de pild exerciiul Cyber Europe 2010. ns Europa trebuie s-i continue eforturile pentru a pune n practic o abordare coerent i bazat pe cooperare n ntreaga UE. n urma modernizrii, Agenia European pentru Securitatea Reelelor Informatice i a Datelor ar urma s fie n msur s intensifice sprijinul acordat statelor membre, instituiilor UE i sectorului privat pentru eforturile pe termen lung ale acestora. Pentru a aduce roade, eforturile europene trebuie s se nscrie ntr-o abordare coordonat la nivel global. n acest scop, Comisia va promova dialogul cu privire la securitatea cibernetic n toate forurile internaionale corespunztoare. O conferin ministerial pe tema proteciei infrastructurilor critice de informaie, organizat de preedinia ungar a UE, va avea loc n data de 14-15 aprilie 2011. Aceast conferin reprezint o ocazie important de a consolida angajamentul pentru cooperarea i coordonarea mai strns ntre statele membre, att la nivel european, ct i la nivel internaional.

RO

RO

ANEX Planul de aciune privind protecia infrastructurilor critice de informaie: prezentarea detaliat a realizrilor i a etapelor urmtoare Rezultatele activitilor realizate n contextul planului de aciune privind protecia infrastructurilor critice de informaie sunt n concordan cu etapele principale i cu termenele stabilite de Comisie n 2009. n continuare sunt descrise realizrile i etapele urmtoare n ceea ce privete toi pilonii. Aceast prezentare ine seama de faptul c anumite activiti au fost analizate mai n detaliu n Agenda digital pentru Europa i n Strategia de securitate intern a UE n aciune. 1. Pregtirea i prevenirea

Nivelul de baz comun de capaciti i servicii pentru cooperarea paneuropean Realizri n 2009, ENISA i comunitatea echipelor de intervenie n caz urgen informatic (CERT) din Europa au dezbtut i convenit asupra unui set minim de capaciti i servicii de baz de care echipele naionale/guvernamentale de intervenie n caz urgen informatic trebuie s dispun pentru a putea aciona eficient n sprijinul cooperrii paneuropene. S-a ajuns la un consens referitor la o list de elemente obligatorii n ceea ce privete operarea, capacitile tehnice, mandatul i cooperarea30. n 2010, ENISA a colaborat cu comunitatea CERT din Europa pentru a transforma cerinele operaionale de mai sus ntr-un set de recomandri de politici31 pentru ca CERT naionale/guvernamentale s acioneze ca o component cheie a capacitii naionale de pregtire, schimb de informaii, coordonare i reacie. Pn n prezent, 20 de state membre32 au nfiinat CERT naionale/guvernamentale i aproape toate celelalte au planificat s nfiineze astfel de echipe. Aa cum s-a anunat n Agenda digital pentru Europa i dup cum s-a precizat i n Strategia de securitate intern a UE n aciune, Comisia a propus msuri pentru ca, pn n 2012, s se nfiineze echipe de intervenie n caz urgen informatic pentru instituiile UE. Etapele urmtoare ENISA va continua s sprijine statele membre care nu au nfiinat nc CERT naionale/guvernamentale care s respecte cerinele de baz convenite, menionate anterior, pentru a garanta realizarea obiectivului unor CERT naionale/guvernamentale care s funcioneze eficient n toate statele membre pn la sfritul anului 2011. Aceast etap va pregti instituirea unei reele eficiente de CERT la nivel naional pn n 2012, dup cum se prevede n Agenda digital pentru Europa.

30 31 32

A se vedea http://www.enisa.europa.eu/act/cert/support/files/baseline-capabilities-for-nationalgovernmental-certs. A se vedea http://www.enisa.europa.eu/act/cert/support/files/baseline-capabilities-of-nationalgovernmental-certs-policy-recommendations. Sursa: ENISA.

RO

10

RO

 ENISA, n colaborare cu CERT naionale/guvernamentale, va analiza necesitatea i modalitile de extindere a capacitilor de baz pentru a adapta capacitatea CERT de a sprijini statele membre n garantarea rezilienei i stabilitii infrastructurilor TIC vitale i pentru a deveni coloana vertebral a Sistemului european de alert i schimb de informaii (EISAS) pentru ceteni i IMM-uri, care urmeaz a fi construit cu resurse i capaciti naionale pn n 2013, dup cum s-a anunat n Strategia de securitate intern a UE n aciune. Parteneriatul public-privat european pentru rezilien (EP3R) Realizri EP3R a fost lansat n 2009 drept cadrul de guvernan la nivel european pentru reziliena infrastructurilor TIC, stimulnd cooperarea dintre sectorul public i cel privat n ceea ce privete obiectivele de securitate i rezilien, cerinele de baz, bunele practici i msuri de politici. Totodat, aa cum se precizeaz n Strategia de securitate intern a UE n aciune, EP3R va coopera cu parteneri internaionali pentru consolidarea gestionrii mondiale a riscului n materie de reele informatice. ENISA faciliteaz activitatea EP3R. Prile interesate din sectorul public i din cel privat au fost consultate pentru a se stabili obiectivele, principiile i structura EP3R i pentru a se determina care sunt stimulentele care ar putea ncuraja prile interesate relevante s se implice n mod activ33. n propunerea privind modernizarea ENISA au fost identificate domenii prioritare pentru EP3R34. n paralel cu elaborarea structurii EP3R, la sfritul anului 2010 au fost lansate trei grupuri de lucru cu privire la (a) avantajele cheie, resursele i funciile ofertei continue i sigure de comunicaii electronice n toate statele; (b) cerine de baz pentru securitatea i reziliena comunicaiilor electronice; (c) necesitile de coordonare i cooperare i mecanismele de pregtire i reacie n ceea ce privete neregulile la scar larg care afecteaz comunicaiile electronice. n 2010, propunerea Comisiei de modernizare a ENISA a oferit un cadru viabil pe termen lung pentru EP3R: aceasta propunea ca ENISA s sprijine cooperarea ntre prile interesate din sectorul public i privat la nivelul Uniunii prin promovarea, printre altele, a schimbului de informaii i a sensibilizrii, i prin facilitarea eforturilor lor de a dezvolta i adopta standarde n materie de gestionare a riscului i de securitate a produselor, reelelor i serviciilor electronice. Etapele urmtoare n 2011, EP3R va continua s consolideze cooperarea dintre prile interesate din sectorul public i cel privat n vederea mbuntirii securitii i rezilienei prin msuri i instrumente inovatoare i a definirii responsabilitii prilor interesate. Grupurile de lucru EP3R vor obine primele rezultate cu ajutorul medierii i sprijinului ENISA. Activitatea viitoare va aborda i riscurile la adresa securitii cibernetice cu care se pot confrunta reelele inteligente, pornind de la lucrrile pregtitoare realizate de Comisie i de ENISA.

33 34

A se vedea http://ec.europa.eu/information_society/policy/nis/strategy/activities/ciip/impl_activities/index_en.htm COM(2010) 521.

RO

11

RO

 EP3R va constitui o platform pentru o abordare global a politicilor publice i a chestiunilor economice i comerciale relevante pentru securitate i rezilien. Comisia intenioneaz s utilizeze EP3R pentru a veni n sprijinul activitilor Grupului de lucru UE-USA privind securitatea i infracionalitatea cibernetic, pentru a oferi un mediu coerent pentru cooperare ntre sectorul public i privat, respectnd n acelai timp normele n vigoare n materie de concuren i ajutoare de stat. Pe termen lung i n concordan cu propunerea privind un nou Regulament referitor la ENISA, se preconizeaz c EP3R va deveni o activitate cheie n cadrul unei ENISA modernizate. Forumul european al statelor membre (FESM) Realizri FESM a fost nfiinat n 2009 pentru a promova discuiile i schimburile privind bunele practici n materie de politici ntre autoritile publice relevante, cu scopul de a se pune n comun obiective i prioriti de politici privind securitatea i reziliena infrastructurilor TIC i a beneficiat de asemenea n mod direct de pe urma activitii i a sprijinului oferit de ENISA. FESM, care se ntrunete trimestrial, dispune, ncepnd de la mijlocul anului 2010, de un portal web dedicat, administrat de ENISA. FESM a nregistrat progrese semnificative n ceea ce privete: (a) definirea criteriilor de identificare a infrastructurilor TIC europene n contextul Directivei privind identificarea i desemnarea infrastructurilor critice europene35; (b) identificarea prioritilor, principiilor i orientrilor europene pentru reziliena i stabilitatea internetului; (c) schimbul de bune practici n materie de politici, n special n ceea ce privete exerciiile cibernetice. Forumul european al statelor membre este recunoscut de statele membre drept o platform important pentru discuii i schimburi de bune practici n materie de politici36. Etapele urmtoare n 2011, FESM va finaliza discuiile tehnice privind criteriile TIC pentru infrastructurile critice europene i va furniza orientrile i prioritile pe termen lung pentru exerciiile paneuropene la scar larg legate de securitatea reelelor i a informaiilor. FESM se va implica n continuare n discuiile privind prioritile de anvergur internaional n materie de securitate i rezilien, n special n ceea ce privete activitile Grupului de lucru UE-SUA privind securitatea i infracionalitatea cibernetic. Domeniile prioritare pentru aciunile viitoare ale FESM, care vor beneficia de sprijinul direct al ENISA, includ37: elaborarea de metode pentru o colaborare eficace ntre CERT naionale/guvernamentale; utilizarea cerinelor minime privind achiziiile publice pentru a stimula securitatea cibernetic; identificarea stimulentelor economice i de reglementare n
35 36

37

Directiva 2008/114/CE a Consiliului. Rspunsul guvernului britanic la cel de-al cincilea raport al Comisiei pentru Uniunea European a Camerei Lorzilor referitor la planul de aciune privind protecia infrastructurilor critice de informaie declar c Forumul european al statelor membre reprezint un succes i rspunde unei nevoi reale, oferind factorilor de decizie ocazia de a face schimb de experien. COM(2010) 251.

RO

12

RO

favoarea securitii i rezilienei (respectnd n acelai timp i normele n vigoare n materie de concuren i ajutoare de stat); evaluarea strii de sntate a securitii cibernetice n Europa. 2. Depistare i reacie

Sistemul european de alert i schimb de informaii (EISAS) Realizri Dou proiecte prototip (FISHAS i NEISAS) au fost finanate de Comisie i produc n prezent ultimele rezultate. Bazndu-se pe raportul de fezabilitate din 200738 i pe analiza proiectelor relevante la nivel naional i european, ENISA a conceput o foaie de parcurs la nivel nalt pentru dezvoltarea EISAS pn n 201339. Etapele urmtoare n 2011, ENISA va sprijini statele membre n procesul de implementare a foii de parcurs privind EISAS prin dezvoltarea serviciilor de baz de care statele membre au nevoie pentru nfiinarea sistemelor lor naionale de alert i schimb de informaii pe baza capacitii CERT naionale/guvernamentale. n 2012, ENISA va dezvolta serviciile de interoperabilitate, fcnd astfel posibil integrarea funcional n EISAS a tuturor sistemelor naionale de alert i schimb de informaii. ENISA va sprijini totodat statele membre n procesul de testare a acestor servicii prin integrarea progresiv a sistemelor naionale. n cursul perioadei 2011-2012, ENISA va stimula CERT naionale/guvernamentale s integreze n serviciile lor capacitatea sistemelor de alert i schimb de informaii. 3. Reducerea riscurilor i redresarea dup incidente

Elaborarea planurilor de intervenie i exerciiile la nivel naional Realizri La sfritul anului 2010, 12 state membre elaboraser un plan naional de intervenie i/sau organizaser exerciii legate de reacia la incidentele de mare anvergur care afecteaz securitatea reelelor i de redresare dup dezastre40. Pe baza experienelor naionale i internaionale, ENISA a elaborat un ghid de bune practici pentru exerciiile naionale41; a organizat diferite evenimente cu participarea statelor membre i a CERT din ntreaga lume consacrate exerciiilor naionale; i, mai

38 39 40 41

A se vedea http://www.enisa.europa.eu/act/cert/other-work/files/EISAS_finalreport.pdf http://www.enisa.europa.eu/act/cert/other-work/eisas_folder/eisas_roadmap A se vedea http://www.enisa.europa.eu/act/res/policies/good-practices-1/exercises/nationalexercise-good-practice-guide/at_download/fullReport. A se vedea http://www.enisa.europa.eu/act/res/policies/good-practices-1/exercises/nationalexercise-good-practice-guide/at_download/fullReport.

RO

13

RO

recent, a publicat recomandri de politici pe tema elaborrii de strategii naionale n care CERT/CSIRT (Computer Security Incident Response Team echipe de intervenie n caz de incidente legate de securitatea informatic) naionale/guvernamentale au un rol cheie n gestionarea exerciiilor i testelor legate de planurile naionale de intervenie, cu implicarea prilor interesate din sectorul privat i public42. Etapele urmtoare ENISA va continua s sprijine statele membre n efortul acestora de a elabora planuri naionale de intervenie i de a organiza periodic exerciii legate de reacia la incidentele de mare anvergur care afecteaz securitatea reelelor i de redresarea dup dezastre, n vederea ameliorrii coordonrii paneuropene. Exerciii la nivel paneuropean privind incidentele de mare anvergur care afecteaz securitatea reelelor Realizri Primul exerciiu paneuropean legat de incidentele de mare anvergur care afecteaz securitatea reelelor (Cyber Europe 2010) a avut loc la 4 noiembrie 2010 cu participarea tuturor statelor membre, dintre care 19 au luat parte la exerciiu n mod activ, acestor ri alturndu-li-se Elveia, Norvegia i Islanda. Exerciiul a fost organizat i evaluat43 de ENISA, cu participarea activ a opt state membre, care au fcut parte din echipa de planificare, i cu sprijinul tehnologic al Centrului Comun de Cercetare (JRC). Etapele urmtoare n 2011, statele membre vor demara discuiile referitoare la obiectivul i amploarea urmtorului exerciiu cibernetic paneuropean planificat pentru 2012. Se va analiza opiunea unei abordri pe etape, cu exerciii mai aprofundate, care s implice un grup mai restrns de state membre i la care s participe eventual i actori internaionali. ENISA va continua s sprijine acest proces. Comisia sprijin financiar proiectul EuroCybex, care se refer la realizarea unui exerciiu de simulare n a doua jumtate a anului 2011. Exerciiile cibernetice reprezint o component important a unei strategii coerente privind elaborarea de planuri de intervenie n caz de incidente cibernetice, att la nivel naional, ct i european. Prin urmare, viitoarele exerciii cibernetice paneuropene ar trebui s se bazeze pe un plan european de intervenie n caz de incidente cibernetice care s aib drept baz planurile naionale de intervenie, cu care s se interconecteze. Acest plan ar trebui s furnizeze mecanismele i procedurile de baz pentru comunicarea dintre state membre i, nu mai puin important, s sprijine amploarea i organizarea viitoarelor exerciii paneuropene. ENISA va colabora cu statele membre pentru a elabora, pn n 2012, acest plan european de intervenie n caz de incidente cibernetice. n aceeai perioad, toate statele membre vor elabora periodic planuri naionale de intervenie, precum i exerciii de

42 43

A se vedea http://www.enisa.europa.eu/act/cert/support/files/baseline-capabilities-of-nationalgovernmental-certs-policy-recommendations. A se vedea http://www.enisa.europa.eu/.

RO

14

RO

reacie la incidente i redresare n urma acestora. FESM va fi responsabil de coordonarea necesar pentru obinerea acestor rezultate. Ameliorarea colaborrii dintre CERT naionale/guvernamentale Realizri Colaborarea dintre CERT naionale/guvernamentale s-a intensificat. Activitatea ENISA legat de capacitile de baz pentru CERT naionale/guvernamentale, de exerciiile CERT i exerciiile naionale, precum i de gestionarea incidentelor cibernetice a contribuit la stimularea i sprijinirea unei colaborri paneuropene mai strnse ntre CERT naionale/guvernamentale. Etapele urmtoare ENISA va continua s sprijine colaborarea dintre CERT naionale/guvernamentale. n acest scop, ea va realiza n 2011 o analiz a cerinelor i va oferi orientri cu privire la un canal adecvat de comunicare sigur cu CERT, propunnd inclusiv o foaie de parcurs pentru implementarea i evoluia viitoare a acestuia. De asemenea, ENISA va analiza lacunele operaionale la nivel european i va prezenta un raport privind modalitile prin care se poate consolida colaborarea transfrontalier dintre CERT i prile interesate relevante, n special n ceea ce privete coordonarea pentru a reaciona la incidente. Agenda digital pentru Europa invit statele membre s instituie pn n 2012 o reea de CERT la nivel naional care s funcioneze n mod corespunztor. 4. Cooperarea internaional

Reziliena i stabilitatea internetului Realizri Principiile i orientrile europene pentru reziliena i stabilitatea internetului44 au fost elaborate pe baza lucrrilor realizate n cadrul FESM. Etapele urmtoare n 2011, Comisia: va promova i va discuta aceste principii att n cadrul colaborrii bilaterale cu partenerii internaionali, n special SUA, ct i n dialogurile din cadrul G8, OCDE, Meridian i ITU; va iniia consultri cu prile interesate relevante, n special din sectorul privat, la nivel european (prin EP3R) i internaional (prin forumul dedicat guvernanei internetului, Governance Internet Forum, i prin alte foruri adecvate); i va promova discuii cu actorii/organizaiile cheie de pe internet. n 2012, partenerii internaionali vor proceda la transformarea acestor principii i orientri ntr-un cadru comun propice angajamentului colectiv internaional privind reziliena i stabilitatea internetului pe termen lung.

44

A se vedea http://ec.europa.eu/information_society/policy/nis/index_en.htm

RO

15

RO

Exerciii la nivel internaional privind redresarea i atenuarea incidentelor internet de mare amploare Realizri apte state membre45 au luat parte la exerciiul cibernetic al SUA, Cyber Storm III, n calitate de parteneri internaionali. Comisia i ENISA au participat ca observatori. Etapele urmtoare n 2011, Comisia va elabora n colaborare cu SUA, n cadrul Grupului de lucru UE-SUA privind securitatea i infracionalitatea cibernetic, un program comun i o foaie de parcurs pentru realizarea de exerciii transcontinentale comune/sincronizate n 2012/2013. Totodat, vor fi avute n vedere opiuni de includere i a altor regiuni sau ri care se confrunt cu probleme similare, n vederea punerii n comun a abordrilor i a activitilor aferente. 5. Criterii pentru infrastructurile critice europene din sectorul TIC

Criterii specifice sectorului pentru identificarea infrastructurilor critice europene pentru sectorul TIC Realizri Discuiile tehnice din cadrul FESM privind criteriile specifice sectorului pentru TIC au dus la elaborarea unui proiect de criterii pentru comunicaiile fixe i mobile i internet. Etapele urmtoare FESM va continua discuiile tehnice privind criteriile specifice sectorului pentru TIC n vederea finalizrii acestora pn la sfritul anului 2011. n paralel, o serie de consultri cu sectorul privat cu privire la proiectul de criterii pentru sectorul TIC sunt avute n vedere de unele state membre i la nivel european, prin EP3R.

Comisia va discuta cu statele membre elementele specifice sectorului TIC care trebuie avute n vedere pentru revizuirea Directivei 2008/114/CE privind identificarea i desemnarea infrastructurilor critice europene care va avea loc n 2012.

45

FR, DE, HU, IT, NL, SE i UK.

RO

16

RO