Sunteți pe pagina 1din 9

RO

RO RO
COMISIA COMUNITĂȚILOR EUROPENE

Bruxelles, 30.3.2009
SEC(2009) 400

DOCUMENT DE LUCRU AL SERVICIILOR COMISIEI

Document de însoțire pentru

COMUNICAREA COMISIEI CĂTRE CONSILIU, PARLAMENTUL EUROPEAN,


COMITETUL ECONOMIC ȘI SOCIAL EUROPEAN ȘI COMITETUL
REGIUNILOR

privind protecția infrastructurilor critice de informație


„Protejarea Europei de atacuri cibernetice și perturbații de amploare:
ameliorarea gradului de pregătire, a securității și a rezilienței”

REZUMATUL EVALUĂRII IMPACTULUI

{COM(2009) 149}
{SEC(2009) 399}

RO RO
REZUMATUL EVALUĂRII IMPACTULUI

1. ÎN CE CONSTĂ PROBLEMA?

Sectorul TIC este esențial pentru economia și societatea europeană

Tehnologiile informației și comunicațiilor (TIC) au devenit axul central al economiei și


societății UE în ansamblul său. Sectorul TIC este esențial pentru toate zonele societății.
Întreprinderile se bazează pe sectorul TIC atât în ceea ce privește vânzările directe, cât și
în privința eficienței/eficacității proceselor interne. Prezența TIC este din ce în ce mai
puternic resimțită în funcționarea administrațiilor publice locale și centrale: utilizarea
serviciilor de guvernare electronică la toate nivelurile garantează proceduri mai eficiente, însă
face totodată ca sectorul public să devină foarte dependent de TIC pentru multe dintre
activități. Nu în ultimul rând, cetățenii se bazează din ce în ce mai mult pe serviciile
societății informaționale și utilizează TIC în activitățile zilnice: în afara efectelor negative
pe care ciber-perturbațiile le-ar avea asupra acestor activități, din ce în ce mai multe informații
personale ale cetățenilor sunt comunicate și transmise electronic. Măsurile inadecvate de
securitate ar putea conduce la pierderea de informații personale sensibile și ar putea fi la
originea furturilor de identitate și a altor fraude1. Ameliorarea securității și a rezilienței
acestor infrastructuri este, prin urmare, absolut necesară pentru protecția informațiilor
personale ale cetățenilor și pentru respectarea dreptului la viață privată.

Sistemele și serviciile TIC reprezintă în sine o structură esențială, dar și o platformă de bază
pentru alte infrastructuri tehnologice și sociale de o importanță critică. Acest lucru a fost
recunoscut în cartea verde a Comisiei Europene privind un program european de protejare a
infrastructurii critice care înglobează în conceptul de infrastructuri critice de informație
toate „sistemele TIC care reprezintă în sine infrastructuri critice sau care sunt esențiale
pentru funcționarea infrastructurilor critice (telecomunicații, calculatoare/programe
informatice, internet, sateliți etc.)”2, în mod similar abordării OCDE3.

În ciuda diferențelor terminologice existente, este important faptul că noțiunea de


infrastructuri critice de informație conduce la o abordare sistemică a politicilor
destinate să garanteze securitatea și funcționarea continuă a sistemelor, serviciilor,
rețelelor și infrastructurilor TIC (denumite în continuare „infrastructuri TIC”), în care
internetul este o parte componentă foarte importantă datorită răspândirii sale largi și
procesului de convergență tehnologică.

1
http://www.timesonline.co.uk/tol/news/uk/crime/article4211711.ece
2
COM(2005) 576 final.
3
http://www.oecd.org/dataoecd/1/13/40825404.pdf

RO 2 RO
Implicații

Răspândirea infrastructurilor critice de informație implică că efectele ciber-perturbațiilor sunt


resimțite la scară largă în întreaga societate.

Riscurile datorate atacurilor provocate de factorul uman, catastrofelor naturale și deficiențelor


tehnice nu sunt de cele mai multe ori pe deplin înțelese și/sau analizate. Prin urmare, nivelul
de sensibilizare al părților interesate este insuficient pentru elaborarea de măsuri de protecție
și de contramăsuri adecvate.

Atacurile cibernetice au ajuns la un nivel de complexitate fără precedent și sunt adesea


întreprinse de indivizi sau grupări criminale în scopul obținerii de profituri sau în scopuri
politice. Atacurile cibernetice de amploare împotriva Estoniei, Lituaniei și Georgiei sunt
exemple ale unei tendințe generale. Numărul foarte mare de viruși, viermi și programe
malware, răspândirea botneturilor și creșterea numărului de spamuri confirmă gravitatea
problemei4. Infrastructurile TIC sunt supuse unor atacuri constante și dacă Europa nu se
pregătește, efectul acestora va fi mult mai grav.

Dependența mare de infrastructurile critice de informație, interconectarea transfrontalieră a


acestora și interdependența cu alte infrastructuri sporesc necesitatea abordării problemei
securității și rezilienței acestora printr-o abordare sistemică, ca primă linie de apărare
împotriva deficiențelor și atacurilor, pe lângă și în completarea măsurilor de prevenire, luptă
și urmărire în justiție a activităților criminale și teroriste care vizează aceste infrastructuri.

Natura problemei

În momentul de față, problema securității și rezilienței infrastructurilor critice de


informație este tratată în principal la nivel național, coordonarea paneuropeană fiind
minimă. Lipsa cooperării transfrontaliere reduce în mod substanțial eficacitatea
contramăsurilor naționale. În plus, nivelul redus de securitate și reziliență al
infrastructurilor critice de informație într-o țară ar putea duce la creșterea
vulnerabilității și a riscurilor în alte țări.

Deoarece infrastructurile critice de informație au o dimensiune planetară, sunt strâns


interconectate și interdependente cu alte infrastructuri, garantarea securității și rezilienței
acestora nu poate fi realizată doar prin abordări strict naționale și necoordonate. În plus,
este cunoscut faptul piața nu oferă suficiente stimulente pentru a stimula sectorul privat
să investească în protecția infrastructurilor critice de informație la nivelul solicitat în
mod normal de sectorul public.

Cauzele care stau la baza problemei generale descrise anterior sunt:

• Abordări disparate ale statelor membre privitoare la politicile publice de securitate și


reziliență a infrastructurilor critice de informație. Există diferențe între politicile de
securitate și reziliență a infrastructurilor de informație între statele membre. În plus, nivelul
de expertiză și gradul de pregătire nu par să fie distribuite uniform, așa cum se subliniază

4
COM(2006)688 final.

RO 3 RO
în analiza abordărilor naționale efectuată de Comisie și confirmată de Agenția Europeană
pentru Securitatea Rețelelor Informatice și a Datelor (ENISA)5;

• Adoptarea dificilă a noilor modele de guvernanță la scară europeană. Ameliorarea


securității și fiabilității infrastructurilor critice de informație ridică probleme speciale de
guvernanță. Administrațiile publice centrale sunt responsabile de definirea politicilor
legate de infrastructurile critice de informație, însă implicarea sectorului privat este
primordială pentru implementarea acestora. Parteneriate public-privat (PPP) au apărut
la nivel național ca modele de referință pentru gestionarea acestei îmbinări de
responsabilități. Cu toate acestea, în ciuda unui consens general cu privire la faptul că
parteneriatele public-privat ar fi de dorit și la nivel european, acest lucru nu s-a materializat
încă;

• La nivel european, capacitate limitată alertă rapidă și de reacție la incidente.


Consultările au pus în evidență diferențele dintre sistemele naționale de alertă rapidă și de
reacție la incidente. Unele state membre nu primesc în mod regulat rapoarte privind
incidentele legate de securitatea rețelelor (deși este posibil ca anumiți operatori să facă
acest lucru între ei în mod informal) și/sau nu au creat o organizație care să centralizeze
acest gen de rapoarte. Cooperarea și schimbul de informații dintre organismele
guvernamentale este subdezvoltată și periclitată de lipsa unor mecanisme fiabile de
schimb de informații și coordonare, care ar necesita buna funcționare a tuturor
echipelor naționale/guvernamentale de răspuns la incidente de securitate în domeniul
IT (CERT), altfel spus o bază comună în ceea ce privește capabilitățile. În plus,
exercițiile și simulările practice la nivelul UE, un element-cheie pentru ameliorarea
securității și rezilienței infrastructurilor critice de informație sunt încă în stadiu
embrionar;

• Grad redus de conștientizare a riscurilor legate de securitatea și reziliența


internetului. Internetul, datorită structurii sale distribuite și redundante s-a dovedit a fi
până acum o infrastructură destul de robustă și rezilientă. Este însă normal să punem
la îndoială capacitatea sa de a rezista în continuare numărului mare de perturbații și
atacuri cibernetice, având în vedere evoluția sa fenomenală, complexitatea crescândă și
apariția de noi servicii.

Nicio țară nu este izolată. Caracterul global al infrastructurilor critice de informație și în


special al internetului, impun o abordare comună globală a securității și rezilienței. Doar
printr-o coordonare puternică la european se va putea obține un impact direct la nivel
internațional.

2. CARE SUNT ARGUMENTELE UNEI ACțIUNI LA NIVELUL UE?

Este posibil ca o abordare pur națională a problemelor descrise anterior să nu fie


suficientă. Efectele transfrontaliere neputând fi neglijate, multe amenințări la adresa
securității rețelelor și informațiilor pot avea externalități transfrontaliere negative, care nu pot
fi rezolvate în mod eficient la nivel național și pot cauza perturbații în alte țări.

O abordare integrată la nivel european pentru ameliorarea securității și rezilienței


infrastructurilor critice de informație ar completa în mod util și ar reprezenta o valoare

5
http://www.enisa.europa.eu/doc/pdf/resilience/stock_taking_final_report_2008.pdf

RO 4 RO
adăugată europeană pentru programele de protejare a acestor infrastructuri și pentru
sistemele de cooperare existente între statele membre. O abordare comună ar fi benefică
tuturor, deoarece multe dintre probleme și dificultăți sunt comune.

Discuțiile de după atacul cibernetic din Estonia sugerează că efectele unor evenimente
similare pot fi limitate cu ajutorul unor măsuri preventive, cum ar fi un schimb de informații
mult mai structurat la nivel european și prin acțiuni coordonate pe perioada desfășurării
efective a crizei . Respectând în totalitate principiul subsidiarității, Comisia este plasată în
mod ideal pentru a coordona asemenea eforturi în strânsă cooperare cu statele membre și alte
organizații internaționale.

În plus, preocupările legate de securitatea națională, deși joacă un rol important în definirea
politicilor și obligațiilor legate de securitatea rețelelor și informaților, pot avea ca efect
fragmentarea reglementării și pot afecta competitivitatea Uniunii Europene în ansamblul său,
precum și capacitatea pieței unice europene de a crea valoare.

În 2006 Comisia și-a anunțat6 intenția de a elabora, în cadrul Programului european privind
protecția infrastructurilor critice7 (PEPIC), o politică specifică sectorului TIC „în vederea
ameliorării securității și rezilienței rețelelor și a sistemelor informaționale”. Intenția a fost
salutată de Consiliul European în 20078.

Această inițiativă va lua în considerare dimensiunea internațională, bazându-se pe principii


recunoscute cum ar fi principiile G8 cu privire la protecția infrastructurilor critice de
informație, rezoluția 58/199 a Adunării generale a ONU privind crearea unei culturi globale a
securității cibernetice și a protecției infrastructurilor critice de informație și recenta
recomandare a OCDE privind protecția infrastructurilor critice de informație.

Nu în cele din urmă, inițiativa de politică propusă ia în considerare și nu reprezintă o dublare


a activităților NATO din domeniul securității cibernetice, care se concentrează asupra
aspectelor militare - i.e. politica comună de apărare împotriva criminalității informatice și
activitățile Autorității de Management pentru Apărare împotriva Criminalității Cibernetice
(CDMA), precum și rezultatele Centrul de Excelență pentru Apărare împotriva Criminalității
Cibernetice(CCD-COE).

3. CARE SUNT OBIECTIVELE?

Scopul acestei inițiative este creșterea gradului de pregătire și reacție în Europa în ceea ce
privește riscurile și amenințările descrise, evitând o abordare fragmentată din partea statelor
membre. Se pune accentul pe definirea de procese comune care să permită abordarea flexibilă
a amenințărilor cunoscute și a celor încă necunoscute. Părțile interesate din sectorul public și
privat se vor implica în asigurarea implementării unor măsuri preventive, de detectare, de
urgență și de redresare adecvate și coerente, în vederea atingerii unui nivel adecvat de
securitate și reziliență a infrastructurilor critice de informație și a garantării
continuității serviciilor. Ameliorarea securității și rezilienței ar avea efecte pozitive și
asupra protecției informațiilor personale și a dreptului la viață privată a cetățenilor
europeni.

6
COM(2006) 251
7
COM(2006) 786
8
Rezoluția 2007/C 68/01 a Consiliului.

RO 5 RO
Obiectivul general al acestei propuneri, asigurarea securității și rezilienței
infrastructurilor critice de informație, ca o primă linie de apărare, poate fi realizat prin
intermediul a patru obiective specifice:

(1) eliminarea lacunelor din politicile naționale privind securitatea și reziliența


infrastructurilor critice de informație;

(2) consolidarea guvernanței europene în privința securității și rezilienței infrastructurilor


critice de informație;

(3) îmbunătățirea capacității de reacție operațională la incidente a Europei;

(4) ameliorarea securității și rezilienței.

4. CARE SUNT OPțIUNILE DE POLITICĂ?

Opțiunea 1: Menținerea situației actuale

Opțiunea de a nu propune nicio acțiune nu ar fi o opțiune viabilă. Fără acțiuni orizontale


la nivelul UE, statele membre ar continua să acționeze individual sau în cadru bilateral sau
multilateral restrâns. Ar exista un risc legat de evoluția diferitelor abordări naționale, care
ar putea fi incompatibile. În plus, cooperarea transfrontalieră ar fi una ad hoc și s-ar putea
dovedi ineficientă din cauza complexității și a amplorii atacurilor cibernetice.

Deoarece statele membre ar continua astfel să abordeze aceste probleme în ritmuri diferite, s-
ar putea ca părțile interesate să fie reticente în a investi în securitate și reziliență, deoarece
multitudinea de norme și obligații le-ar diminua competitivitatea. Natura transfrontalieră a
problemei ar accentua diferențele dintre țările europene în ceea ce privește securitatea,
reziliența și gradul de pregătire. În ciuda eforturilor individuale, vulnerabilitatea
infrastructurilor critice de informație europene ar rămâne ridicată și ar putea chiar continua să
crească.

Opțiunea 2: un cadru fără caracter obligatoriu

Comisia va asigura cadrul pentru coordonare și cooperare, sub forma unei comunicări și al
unui plan de acțiune la care ar participa statele membre, sectorul privat și societatea civilă.
Consiliul UE ar putea susține comunicarea iar Parlamentul European ar putea să decidă să
contribuie la dezbateri.

Inițiativa s-ar axa pe obiectivele menționate anterior și ar propune în special:

(1) Promovarea coerenței între politicile naționale de securitate și reziliență a


infrastructurilor critice de informație prin:

• identificarea de exemple transferabile de practici de politici publice și puncte


comune;

• inițierea unui forum european în cadrul căruia statele membre să poată face
schimb de informații și bune practici de politică de securitate și reziliență a
infrastructurilor critice de informație.

RO 6 RO
(2) Consolidarea guvernanței europene în privința securității și rezilienței
infrastructurilor critice de informație prin:

• lansarea unui parteneriat european public-privat pentru reziliență (E3PR) în


vederea încurajării cooperării dintre sectorul public și cel privat în privința
obiectivelor de securitate și reziliență, a cerințelor de bază, a bunelor practici și
măsuri de politică.

(3) Îmbunătățirea capacității de reacție operațională la incidente a Europei prin:

• crearea de CERT9 naționale/guvernamentale funcționale, ca și componente-cheie


ale capacității naționale în materie de pregătire, schimb de informații, coordonare
și reacție;

• găsirea unui acord cu privire la nivelul minim al capacităților și serviciilor pentru


CERT naționale/guvernamentale;

• încurajarea cooperării europene a CERT naționale/guvernamentale, facilitarea


contactelor și a cooperării dintre capacitățile naționale de reacție, organizarea de
exerciții paneuropene și/sau regionale pentru incidente de amploare simulate;

• promovarea elaborării de planuri de urgență pentru a reacționa în caz de incidente


de rețea și pentru redresare după dezastre;

• finanțarea dezvoltării de exerciții europene de simulare a incidentelor de amploare


de securitate a rețelelor;

• susținerea dezvoltării și utilizării unui sistem european de alertă și schimb de


informații (EISAS) care să se adreseze în mod egal și eficient atât cetățenilor, cât
și IMM-urilor.

(4) Ameliorarea securității și rezilienței internetului prin:

• definirea de priorități UE pentru stabilitatea și reziliența pe termen lung a


internetului;

• găsirea unui acord referitor la un set de principii europene și apoi internaționale


privind securitatea și reziliența internetului.

Opțiunea 3: cadru cu caracter obligatoriu

Majoritatea problemelor menționate anterior ar fi tratate printr-o serie de măsuri cu caracter


obligatoriu, sub forma unei directive, regulament sau decizie, după caz.

Comisia ar putea propune măsuri speciale pentru:

(1) Definirea unei baze de armonizare a politicilor naționale. Asemenea măsuri s-ar
putea axa pe securitatea și reziliența mai mare a infrastructurilor critice de informație,
în plus față de cadrul legislației de piață deja propuse;

9
Echipe de răspuns la incidente de securitate în domeniul IT.

RO 7 RO
(2) Definirea rolului și responsabilității părților interesate din sectorul public și
privat în domeniul securității și rezilienței infrastructurilor critice de informație;

(3) Îmbunătățirea gradului de pregătire operațională, de exemplu prin:

(a) un ansamblu minim de standarde referitoare la funcții și servicii de nivel


armonizat pentru CERT naționale/guvernamentale;

(b) un cadru pentru elaborarea de planuri de urgență la nivel național în vederea


elaborării de planuri comunitare de urgență.

5. COMPARAREA DIVERSELOR OPțIUNI

Opțiunea de menținere a situației actuale nu prezintă niciun avantaj clar în ceea ce privește
îmbunătățirea securității și rezilienței infrastructurilor critice de informație în Europa. Prin
urmare, alegerea trebuie să se facă între cadrul fără caracter obligatoriu și cel cu caracter
obligatoriu. În acest moment, cadrul cu caracter obligatoriu nu pare fezabil, inter alia datorită:

• realității politice de existență a statelor suverane, de care orice politică de securitate a


rețelelor și informației trebuie să țină seama;

• nevoia de a ține cont de responsabilitatea operațională foarte distribuită din sectorul privat;

• lipsa de experiență în schimbul de informații și cooperare între sectorul public și cel privat
în domeniul politicilor referitoare la infrastructurile critice de informație.

În plus, slaba calitate a informațiilor referitoare la incidentele de securitate disponibile în


momentul de față – datorată asimetriei informațiilor și preocupărilor legate de securitate la
nivel național – reprezintă un obstacol în calea posibilității de a elabora măsuri de
reglementare într-o perspectivă economică și de politică publică coerentă. De asemenea,
aceasta ridică problema respectării principiului proporționalității, având în vedere că este
imposibilă propunerea de acțiuni proporționale atunci când nu se cunoaște amploarea exactă a
problemei.

În cele din urmă, orizontul de timp al procesului de adoptare a unui eventual cadru obligatoriu
ar fi incompatibilă cu necesitatea ca toate părțile interesate să acționeze rapid.

În concluzie, această evaluare a impactului sugerează că, pe termen scurt și mediu, este
preferabilă opțiunea 2, cu o lansare imediată a acțiunilor propuse și examinarea rezultatelor în
timp util, inclusiv a rezultatelor dezbaterii publice referitoare la o politică de securitate a
rețelelor și a informației în UE mai susținută și mai modernă. Aceasta va putea ulterior
constitui baza pentru evaluarea nevoilor și opțiunilor referitoare la posibile măsuri viitoare cu
caracter obligatoriu.

Ar putea fi apoi posibilă recomandarea implementării unor acțiuni similare celor descrise la
opțiunea 3.

RO 8 RO