RISOLUZIONE DEL CONSIGLIO

n. (2002/C 43/02), del 28 gennaio 2002

relativa a un approccio comune e ad azioni specifiche nel settore della sicurezza delle reti e dell'informazione

 

IL CONSIGLIO DELL'UNIONE EUROPEA,

in seguito alle conclusioni del Consiglio europeo di Stoccolma del 23/24 marzo 2001 secondo cui "il Consiglio svilupperà insieme alla Commissione una strategia globale per la sicurezza delle reti elettroniche, comprensiva di azioni concrete di attuazione",

RAMMENTANDO I SEGUENTI ATTI:

1. risoluzione del Consiglio del 30 maggio 2001 - Piano d'azione eEUROPE: Sicurezza dell'informazione e delle reti;

2. comunicazione della Commissione al Consiglio, al Parlamento europeo, al Comitato economico e sociale e al Comitato delle regioni sulla sicurezza delle reti e sicurezza dell'informazione: proposta di un approccio strategico europeo;
3. comunicazione della Commissione al Consiglio ed al Parlamento europeo - eEurope 2002: Impatto e priorità;

4. piano d'azione eEurope 2002 approvato dal Consiglio europeo di Feira del 19/20 giugno 2000;

5. raccomandazione 95/144/CE del Consiglio, del 7 aprile 1995, su criteri comuni per la valutazione della sicurezza delle tecnologie d'informazione (1);

6. raccomandazione del Consiglio, del 25 giugno 2001, sui punti di contatto accessibili 24 ore al giorno ai fini della lotta contro la criminalità ad alta tecnologia(2);

7. comunicazione della Commissione: "Creare una società dell'informazione sicura migliorando la sicurezza delle infrastrutture dell'informazione e mediante la lotta alla criminalità informatica";

8. regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati(3);

9. direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutele delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati(4);

10. direttiva 97/33/CE del Parlamento europeo e del Consiglio, del 30 giugno 1992, sull'interconcessione nel settore delle telecomunicazioni e finalizzata a garantire il servizio universale e l'interoperabilità attraverso l'applicazione dei principi di fornitura di una rete aperta (ONP)(5);

11. direttiva 97/66/CE del Parlamento europeo e del Consiglio, del 15 dicembre 1997, sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni(6);

12. direttiva 97/10/CE del Parlamento europeo e del Consiglio, del 26 febbraio 1998, sull'applicazione del regime di forniture di una rete aperta (ONP) alla telefonia vocale e sul servizio universale delle telecomunicazioni in un ambiente concorrenziale(7);

13. direttiva 1999/93/CE del Parlamento europeo e del Consiglio, del 13 dicembre 1999, relativa ad un quadro comunitario per le firme elettroniche(8);

CONSIDERANDO QUANTO SEGUE:

(1) Le reti e i sistemi di comunicazione sono diventati un fattore chiave dello sviluppo economico e sociale e la loro disponibilità e integrità sono essenziali per infrastrutture fondamentali nonché la maggior parte dei servizi pubblici e privati e l'economia nel suo insieme.

(2) Alla luce del ruolo sempre più importante svolto nell'economia dai servizi elettronici, la sicurezza delle reti e dei sistemi di informazione è diventata sempre più una questione di interesse pubblico.

(3) La sicurezza delle operazioni e dei dati ha assunto un'importanza fondamentale per la fornitura di servizi elettronici, compresi il commercio elettronico e i servizi pubblici on line, e la scarsa fiducia nella sicurezza potrebbe rallentare l'introduzione diffusa di tali servizi.

(4) E' necessario che i cittadini, le imprese, le amministrazioni e altre organizzazioni proteggano i propri sistemi di informazione e comunicazione e le banche dati dispiegando se del caso tecnologie efficaci in materia di sicurezza.

(5) Il settore privato, agendo in un contesto di mercato concorrenziale e grazie alla sua capacità di innovazione, offre una varietà di soluzioni adeguate alle vere necessità del mercato.

(6) Data la complessità della sicurezza delle reti e dell'informazione, nell'elaborare interventi in questo campo le autorità pubbliche devono tener conto di una serie di aspetti politici, economici, organizzativi e tecnici e tener presente il carattere decentrato e globale delle reti di comunicazione.

(7) Gli interventi possono essere più efficaci se fanno parte di un approccio europeo, rispettano il buon funzionamento del mercato interno, si basano su una maggiore cooperazione tra gli Stati membri e a livello internazionale e sostengono l'innovazione e la capacità delle imprese europee di essere competitive a livello globale.

(8) Sono già state emanate numerose misure legislative in materia di sicurezza delle reti e dell'informazione, in particolare nell'ambito del quadro normativo dell'UE sulle telecomunicazioni, sul commercio eletttronico e sulla firma elettronica.

(9) Esistono requisiti legali che impongono ai fornitori di servizi di telecomunicazioni di adottare misure tecniche e organizzative adeguate per salvaguardare la sicurezza dei loro servizi. Tali misure garantiscono un livello appropriato di sicurezza in funzione del rischio cui si è di fronte.

(10) La classificazione internazionale ISO-15408 (Criteri comuni) è diventata un sistema riconosciuto per la definizione dei requisiti di sicurezza per computer e prodotti di reti e per la valutazione della conformità di un determinato prodotto a tali requisiti.

(11) La classificazione internazionale ISO-17799 (Codice di buona pratica per la gestione della sicurezza dell'informazione) e analoghe direttive nazionali sono diventate una prassi riconosciuta per la gestione della sicurezza nelle organizzazioni pubbliche e private.

(12) L'infrastruttura Internet dovrebbe assicurare un grado elevato di accesso alle reti e ai servizi e una gestione e un funzionamento in mani salde e sicure, grazie tra l'altro all'adozione di norme aperte e di protocolli sulla sicurezza dell'Internet.

CONSIDERANDO, conformemente alla risoluzione del Consiglio, del 30 maggio 2001, E'Piano d'azione eEurope: Sicurezza dell'informazione e delle retiE', che la sicurezza delle reti e dell'informazione consiste nel: - garantire la disponibilità di servizi e di dati,

- impedire interruzioni e intercettazioni non autorizzate delle comunicazioni,

- confermare che i dati trasmessi, ricevuti o archivati sono completi e invariati,

- assicurare la riservatezza dei dati,

- proteggere i sistemi di informazioni e dall'accesso non autorizzato,

- proteggere dagli attacchi in cui siano implicati software 'maligni', - garantire l'affidabilità dell'autenticazione,

PERTANTO CHIEDE AGLI STATI MEMBRI DI

1. lanciare o rafforzare entro il 2002 campagne di informazione ed istruzione per una maggiore sensibilizzazione in materia di sicurezza dell'informazione e delle reti; orientare tali iniziative specificamente verso le imprese, gli utenti privati e le amministrazioni pubbliche; eleborare tali iniziative di sensibilizzazione in stretta collaborazione con il settore privato, compresi tra l'altro i fornitori di servizi Internet, e incoraggiare le iniziative condotte dal settore privato;

2. promuovere le migliori prassi nella gestione della sicurezza dell'informazione, specialmente nelle piccole e medie imprese, sulla base, se del caso, di norme internazionalmente riconosciute;

3. rafforzare o promuovere entro il 2002 l'importanza della nozione di sicurezza come parte integrante dell'istruzione e della formazione informatica;

4. riesaminare entro la metà del 2002 l'efficienza delle disposizioni nazionali relative alla risposta in caso di allarmi in materia informatica, che potrebbero comprendere sistemi di allarme antivirus, al fine di rafforzare se necessario la loro capacità di evitare, rilevare e contrastare efficacemente a livello nazionale e internazionale turbative e attacchi contro le reti ed i sistemi informatici;

5. promuovere il ricorso alle norme di "criteri comuni" (ISO-15408) e facilitare il riconoscimento reciproco dei diplomi connessi;

6. fare passi avanti significativi entro la fine del 2002 verso soluzioni efficaci ed interconnesse in materia di sicurezza, sulla base ove possibile di norme riconosciute che potrebbero includere software con codice sorgente aperto nelle attività di pubblica amministrazione on line e di appalti per via elettronica, e verso l'introduzione della firma elettronica per consentire ai servizi pubblici che richiedono un'autenticazione forte di essere offerti anche on line;

7. ove optino per l'introduzione di sistemi di identificazione elettronica e biometrica a fini pubblici o ufficiali, cooperare se del caso in materia di sviluppi tecnologici ed esaminare possibili requisiti di interoperabilità;

8. scambiarsi informazioni, per facilitare la cooperazione comunitaria e internazionale, tra loro e con la Commissone sugli organi che hanno competenza primaria nel loro territorio per questioni di sicurezza delle reti e dell'informazione,

INVITA LA COMMISSIONE A

1. facilitare nel 2002 lo scambio delle migliori prassi per migliorare la sensibilizzazione e fare un inventario preliminare delle varie campagne nazionali di informazione;

2. formulare proposte nel 2002 per rafforzare il dialogo e la cooperazione della Comunità con le organizzazioni ed i partner internazionali sulla sicurezza delle reti, in particolare sulle implicazioni della crescente dipendenza dalle reti di comunicazione elettronica, e proporre in questo contesto, entro la fine del 2002, una strategia per un funzionamento più stabile e sicuro dell'infrastruttura Internet;

3. proporre entro la fine del 2002 misure adeguate per la promozione della norma ISO 15408 (Criteri comuni) al fine di facilitare il riconoscimento reciproco dei diplomi nonché migliorare il processo di valutazione dei prodotti, sviluppando cioè adeguati profili di salvaguardia;

4. preparare entro la fine del 2002 una relazione sulle tecnologie e le applicazioni di autenticazione elettronica e biometrica dell'identità, al fine di migliorare l'efficacia di tali sistemi, in particolare mediante l'interoperabilità;

5. formulare proposte entro metà del 2002 - previa consultazione degli Stati membri e del settore privato - ai fini della creazione di una Task force per la sicurezza informatica che tragga profitto dagli sforzi nazionali volti a potenziare sia la sicurezza delle reti e dell'informazione che la capacità degli Stati membri, a livello individuale e collettivo, di far fronte ai problemi gravi di sicurezza delle reti e dell'informazione;

6. esplorare entro la fine 2002, in collaborazione con gli Stati membri, le possibili opzioni relative a meccanismi grazie ai quali gli Stati membri e la Commissione possano scambiarsi informazioni ed esperienze sull'andamento della realizzazione degli obiettivi della presente risoluzione, tenendo conto della dimensione interpilastri della sicurezza delle reti e dell'informazione, ed esplorare le modalità per coinvolgere in modo ottimale il settore privato in questo scambio di informazioni e di esperienze;

SI RALLEGRA della maggiore attenzione prestata dalle attività di ricerca alla questioni in materia di sicurezza;

SOTTOLINEA la necessità di incrementare le attività di ricerca, in particolare sui meccanismi di sicurezza e la loro interoperabilità, l'affidabilità e la protezione delle reti, la crittografia avanzata, le tecnologie di miglioramento della protezione della vita privata e la sicurezza nelle comunicazioni senza filo;

ESORTA

- i fornitori ed i prestatori di servizi a rafforzare la sicurezza in quanto parte integrante ed essenziale di loro prodotti e servizi;

- i fornitori ed i prestatori di servizi del settore privato europeo e le associazioni che le rappresentano a partecipare più attivamente alle attività internazionali di normalizzazione e a organizzarsi in sedi appropriate per contribuire agli obiettivi della presente risoluzione.


NOTE

(1) GU L 93 del 26.4.1995, pag. 27.
(2) GU C 187 del 3.7.2001, pag. 5.
(3) GU L 8 del 12.1.2001, pag. 1.
(4) GU L 281 del 23.11.1995, pag. 31.
(5) GU L 199 del 26.7.1997, pag. 32.
(6) GU L 24 del 30.1.1998, pag. 1.
(7) GU L 101 dell'1.4.1998, pag. 24.
(8) GU L 13 del 19.1.2000, pag. 12.