CONSELHO DA UNIÃO EUROPEIA Bruxelas, 30 de Outubro de 2001 (14.11) (OR. en) 13410/01 ECO 302 CAB 23 JAI 132 PESC 440 RESULTADOS DOS TRABALHOS de: Grupo das Telecomunicações data: 26 de Outubro de 2001 n.º doc. ant.: 12463/01 ECO 264 CAB 22 JAU 111 PESC 377 Assunto: Segurança das Redes e da Informação - Projecto de resolução do Conselho O Grupo procedeu a uma análise detalhada do projecto de resolução apresentado pela Presidência, cujo texto figura em Anexo. Na sequência dessa análise, a Presidente declarou que tencionava preparar um texto para aprovação no Conselho (Transportes/Telecomunicações) de Dezembro. Assim sendo, as delegações foram convidadas a apresentar por escrito quaisquer outras observações sobre o texto da Presidência (com cópia para o Secretariado-Geral), até 9 de Novembro de 2001. Será apresentado um projecto revisto de resolução, a tempo de um debate no Grupo, muito provavelmente em 23 de Novembro de 2001. Os serviços da Comissão acederam também em fornecer por escrito, antes da reunião, mais documentação relativa a: dimensões, natureza e estatuto do proposto "Grupo de Acção para a ciber-segurança" actividades existentes noutras instâncias da UE relacionadas com a segurança das redes. 13410/01 ec/hg/tm 1
ANEXO PROJECTO DE RESOLUÇÃO DO CONSELHO de 00 de Dezembro de 2001 relativa a uma abordagem comum e acções específicas no domínio da segurança das redes e da informação O CONSELHO DA UNIÃO EUROPEIA Dando resposta às Conclusões do Conselho Europeu de Estocolmo de 23 e 24 de Março de 2001 no sentido de que 'o Conselho, em conjunto com a Comissão, desenvolverá uma estratégia global sobre a segurança das redes electrónicas, incluindo medidas práticas de execução', Tendo em conta a Resolução do Conselho de 30 de Maio de 2001 Plano de segurança e-europa: segurança da informação e das redes; a Comunicação da Comissão ao Conselho, Parlamento Europeu, Comité Económico e Social e Comité das Regiões Segurança das Redes e da Informação: Proposta de Abordagem de uma Política Europeia 1 ; a Comunicação da Comissão ao Conselho e ao Parlamento Europeu: eeurope 2002 Impacto e Prioridades 2 ; o Plano de Acção eeurope 2002 subscrito pelo Conselho Europeu de Santa Maria da Feira de 19/20 de Junho de 2000; a Recomendação do Conselho relativa a critérios comuns de avaliação da segurança nas tecnologias da informação 3 ; a Recomendação do Conselho relativa a um serviço de 24 horas por dia de combate ao crime de alta tecnologia 4 ; 1 2 3 4 COM(2001) 298 fin. de 6 de Junho de 2001 COM(2001) 140 final JO L 93 de 26.4.1995 JO C 187 de 3.7.2001 13410/01 ec/hg/tm 2
o Regulamento (CE) N.º 45/2001 do Parlamento Europeu e do Conselho relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários e à livre circulação desses dados 1 ; a Directiva 95/46/CE relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados; a Directiva 97/33/CE relativa à interligação no sector das telecomunicações com o objectivo de assegurar o serviço universal e a interoperabilidade através da aplicação dos princípios da oferta de rede aberta ORA); a Directiva 97/66/CE relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das telecomunicações; a Directiva 98/10/CE relativa à aplicação da oferta de rede aberta (ORA) à telefonia vocal e ao serviço universal de telecomunicações num ambiente concorrencial; a Directiva 1999/93/CE relativa a um quadro legal comunitário para as assinaturas electrónicas; Considerando o seguinte: as redes e os sistemas de comunicação tornaram-se um factor essencial no desenvolvimento económico e social dos nossos dias, sendo o seu acesso crucial para infra-estruturas vitais, como o fornecimento de energia e o transporte rodoviário, bem como para a maioria dos serviços públicos e privados e para a economia em geral; dado o papel cada vez mais importante desempenhado pelos serviços electrónicos na economia, a protecção das redes e dos sistemas de informação tornou-se matéria de interesse público; proteger as transacções e os dados tornou-se um pré-requisito para o fornecimento de serviços electrónicos, incluindo o comércio electrónico e os serviços públicos em linha, podendo a falta de confiança na segurança desses serviços atrasar a sua aplicação generalizada; é necessário que as pessoas singulares, as empresas, as administrações e outras organizações protejam os seus sistemas de comunicação e de informação, desenvolvendo tecnologias de segurança eficazes; o sector privado, ao actuar num mercado concorrencial, e dada a sua capacidade de inovação, oferece uma variedade de soluções adaptadas às verdadeiras necessidades do mercado; a natureza complexa da segurança da informação e das redes significa que, ao desenvolverem medidas políticas neste domínio, os poderes públicos devem ter em conta um conjunto de aspectos económicos, políticos, técnicos e organizacionais, e estar conscientes do carácter global e descentralizado das redes de comunicação; 1 JO L 8 de 12.1.2001. 13410/01 ec/hg/tm 3
embora reconhecendo plenamente o papel fundamental desempenhado pelo sector privado, existem medidas políticas específicas que podem apoiar as responsabilidades individuais e reforçar o processo de mercado; as medidas políticas só podem ser eficazes se estiverem integradas numa abordagem europeia que respeite o funcionamento eficaz do Mercado Interno, que se baseie numa cooperação reforçada entre os Estados-Membros, apoie a inovação e não crie obstáculos à capacidade de os operadores de mercado de actuarem eficazmente a nível global; já existe um conjunto significativo de legislação em matéria de segurança das redes e da informação, nomeadamente integrada no quadro jurídico da UE para as telecomunicações e para a protecção dos dados pessoais; a norma internacional ISO - 15408 (critérios comuns) tornou-se um sistema reconhecido para definir os requisitos de segurança para produtos informáticos e das redes, assim como para avaliar se um determinado produto satisfaz esses requisitos; a norma internacional ISO - 17799 tornou-se uma prática reconhecida para as políticas de segurança em organismos públicos e privados; está provado que a utilização dos servidores-raíz do sistema de nomes de domínio da Internet é vulnerável e que a sua gestão carece de transparência; Considerando ainda que a segurança da informação e das redes deve assegurar o acesso aos serviços e aos dados, evitar perturbações e intercepção de comunicações, garantir a confidencialidade dos dados e a protecção dos sistemas de informação contra o acesso não autorizado, proteger contra ataques que envolvam software malicioso e assegurar uma autenticação de confiança; POR CONSEGUINTE Solicita aos Estados-Membros que: 1. em 2002, lancem e reforcem as campanhas de educação e informação, no sentido de aumentar a sensibilização do público; orientem essas acções especificamente para as empresas, utilizadores privados e administrações públicas; preparem essas acções de sensibilização em estreita colaboração com o sector privado e apoiem ou reforcem o apoio às iniciativas por ele lideradas; 2. até ao final de 2002, reforcem a importância das noções de segurança, como parte do ensino da informática, nomeadamente nas escolas; 3. até meados de 2002, revejam os seus serviços de resposta a emergências informáticas ou serviços similares, incluindo os sistemas de alerta de vírus, a fim de reforçar a sua capacidade de prevenir, detectar e reagir eficazmente contra ataques e perturbações dos sistemas de informação e das redes; 13410/01 ec/hg/tm 4
4. promovam a utilização dos critérios comuns como padrão e promovam o reconhecimento mútuo de certificados; promovam boas práticas nas políticas de segurança, nomeadamente em pequenas e médias empresas; 5. até ao final de 2002, integrem soluções de segurança interoperáveis e eficazes nomeadamente software de acesso público nas suas actividades de administração em linha e concursos públicos electrónicos, introduzindo, por exemplo, assinaturas electrónicas de modo a permitir que os serviços públicos que carecem de uma autenticação fidedigna também possam estar disponíveis em linha; 6. actuem em conjunto quando criarem sistemas de identificação biométrica e electrónica para uso público ou oficial, tais como o passaporte electrónico ou as impressões digitais electrónicas; Convida a Comissão 1. a facilitar, em 2002, o intercâmbio de boas práticas em matéria de acções de sensibilização e a assegurar um nível adequado de coordenação das várias campanhas de informação nacionais; 2. a criar, até final de 2002, um inventário das medidas nacionais que foram tomadas em consonância com a legislação comunitária pertinente relativamente à segurança nas comunicações electrónicas; 3. a reforçar, em 2002, o diálogo com organizações e parceiros internacionais sobre a segurança das redes, nomeadamente, sobre a crescente dependência das redes de comunicações e a estabelecer uma cooperação concreta; 4. a propor medidas adequadas, até ao final de 2002, para promover a norma ISO 15408 (Critérios Comuns), a assegurar o reconhecimento mútuo de certificados e a melhorar o processo de avaliação dos produtos, por exemplo através de uma auto-declaração de conformidade da indústria; 5. a propor, até meados de 2002, uma estrutura de funcionamento mais transparente dos pontos críticos da Internet, especialmente no domínio dos servidores de nome de raiz/domínio; 6. a preparar um relatório, até ao final de 2002, sobre as tecnologias e aplicações da identificação biométrica e electrónica da identidade, tendo em vista evitar quaisquer obstáculos à liberdade de circulação, a melhorar a eficácia de tais sistemas, nomeadamente através da interoperabilidade, reforçando assim a segurança pública em toda a União. 13410/01 ec/hg/tm 5
7. a criar, até meados de 2002, em estreita cooperação com os Estados-Membros e o sector privado um "Grupo de Acção para a ciber-segurança", aproveitando os esforços nacionais para intensificar a segurança da informação e das redes e para proporcionar aos Estados- -Membros a capacidade de coordenarem as suas respostas no caso de perturbações importantes, Grupo esse que ficaria encarregado das seguintes missões: recolha de dados, análise e classificação das informações sobre as ameaças à segurança, existentes ou emergentes; partilha e distribuição dessas informações aos organismos nacionais de resposta de emergência e a outros organismos internacionais competentes; assegurar, se necessário, o tratamento anónimo da comunicação de incidentes; desenvolvimento de uma linguagem comum para comunicar e tratar os incidentes, nomeadamente um sistema de classificação; realização de estudos para se obter uma melhor visão sistemática do "estado de vulnerabilidade" das redes e dos sistemas de informação em geral; definição de critérios de avaliação do desempenho e da fiabilidade; definição de orientações, em colaboração com os fornecedores, para promover os parâmetros de segurança por omissão do hardware e do software; promoção e elaboração, quando necessário, de um código de conduta em matéria de segurança da informação, respectivamente para as empresas, para os cidadãos e para as administrações públicas. Convida os Estados-Membros a fornecerem os recursos humanos adequados ao "Grupo de Acção para a ciber-segurança"; Recomenda que o trabalho do grupo de acção para a ciber-segurança se limite a um máximo de três anos e que a estrutura institucional em matéria de cooperação de segurança europeia seja revista com base na experiência adquirida; Salienta a necessidade de mais actividades de investigação, em especial sobre os mecanismos de segurança e a respectiva interoperabilidade, sobre a protecção e fiabilidade das redes, sobre criptografia avançada, sobre tecnologias de reforço da privacidade e sobre a segurança nas comunicações sem fios; Congratula-se com o importante papel que se prevê para a investigação em matéria de segurança e com a optimização dos esforços de investigação europeus no 6.º Programa-Quadro; e sublinha a importância dessa investigação para as soluções interoperáveis e para o desenvolvimento de normas abertas; Exorta os intervenientes no mercado europeu a participar mais activamente nas actividades de normalização internacional, nomeadamente a Internet Engineering Task Force (IETF) e o World Wide Web Consortium (W3C): os fornecedores e prestadores de serviços a reforçarem a segurança como parte essencial e integrante dos seus produtos e serviços. *** 13410/01 ec/hg/tm 6