EUROOPAN UNIONIN NEUVOSTO Bryssel, 11. joulukuuta 2001 (13.12) (OR. en) 15152/01 LIMITE ECO 389 JAI 171 PESC 537 MENETTELYJEN TULOKSET Lähettäjä: NEUVOSTO Päivämäärä: 6. joulukuuta 2001 Ed. asiak. nro: 14378/01 ECO 345 JAI 153 PESC 488 Kom:n ehd. nro: 9727/01 ECO 175 CAB 18 JAI 54 PESC 218 Asia: Verkko- ja tietoturvallisuus - neuvoston päätöslauselma Liikenne- ja televiestintäneuvosto pääsi 6. ja 7. joulukuuta 2001 pidetyssä istunnossaan yhteisymmärrykseen verkko- ja tietoturvallisuutta koskevasta päätöslauselmasta, jonka teksti on liitteenä. Neuvosto pyysi Coreperia tekemään tekstiin tarvittavat oikeudelliset ja kielelliset tarkistukset, jotta se voitaisiin tämän jälkeen antaa A-kohtana jossakin neuvoston tulevassa istunnossa ja myöhemmin julkaista Euroopan yhteisöjen virallisessa lehdessä. 15152/01 paf/mp/tan 1
LIITE EHDOTUS: NEUVOSTON PÄÄTÖSLAUSELMA annettu [6] päivänä joulukuuta 2001 yhteisestä lähestymistavasta ja erityistoimista verkko- ja tietoturvallisuuden alalla EUROOPAN UNIONIN NEUVOSTO, joka vastauksena Tukholman Eurooppa-neuvoston 23. ja 24. maaliskuuta 2001 antamiin päätelmiin, joiden mukaan "neuvosto ja komissio laativat sähköisten verkkojen turvallisuutta koskevan kattavan strategian, johon sisältyy myös käytännön täytäntöönpanotoimia", ottaa huomioon 1. 30 päivänä toukokuuta 2001 annetun neuvoston päätöslauselman "eeuropetoimintasuunnitelma: tieto- ja verkkoturvallisuus", 2. komission tiedonannon neuvostolle, Euroopan parlamentille, talous- ja sosiaalikomitealle sekä alueiden komitealle "Verkko- ja tietoturva: Ehdotus eurooppalaiseksi lähestymistavaksi" 1, 3. komission tiedonannon neuvostolle ja Euroopan parlamentille "eeurope 2002: Vaikutukset ja painopisteet" 2, 4. Feirassa 19. ja 20. kesäkuuta 2000 pidetyssä Eurooppa-neuvostossa hyväksytyn "eeuropetoimintasuunnitelman 2002", 5. neuvoston suosituksen yleisistä tietotekniikan turvallisuuden arviointiperusteista 3, 6. neuvoston suosituksen ympärivuorokautisista yhteyspisteistä huipputeknologiaan liittyvän rikollisuuden torjumiseksi 4, 7. komission tiedonannon tietoverkkorikollisuudesta 5 1 2 3 4 5 KOM(2001) 298 lopull., 6.6.2001. KOM(2001) 140 lopullinen. EYVL L 93, 26.4.1995. EYVL C 187, 3.7.2001. Luodaan turvallisempi yhteiskunta parantamalla tietoinfrastruktuureja ja torjumalla tietokonerikollisuutta, KOM(2000) 890; http://europa.eu.int/ispo/eif/internetpoliciessite/crime/crime.1.html 15152/01 paf/mp/tan 2
8. Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 45/2001 yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 1, 9. direktiivin 95/46/EY yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 2, 10. direktiivin 97/33/EY televiestinnän yhteenliittämisestä soveltaen avoimen verkon tarjoamisen (ONP) periaatteita yleispalvelun ja yhteentoimivuuden varmistamiseksi 3, 11. direktiivin 97/66/EY henkilötietojen käsittelystä ja yksityisyyden suojasta televiestinnän alalla 4, 12. direktiivin 98/10/EY avoimen verkon tarjoamisen (ONP) soveltamisesta puhelintoimintaan ja teleyleispalvelusta kilpailuympäristössä 5, 13. direktiivin 1999/93/EY sähköisiä allekirjoituksia koskevista yhteisön puitteista 6, sekä katsoo seuraavaa : 1. Verkoista ja viestintäjärjestelmistä on tullut tärkeä tekijä taloudellisessa ja yhteiskunnallisessa kehityksessä, ja niiden käytettävyys ja eheys on erittäin tärkeää keskeisille perusrakenteille, sekä useimmille julkisen ja yksityisen sektorin palveluille ja taloudelle kokonaisuudessaan. 2. Koska sähköiset palvelut ovat taloudessa yhä tärkeämpiä, verkkojen ja tietojärjestelmien turvallisuus on yhä suuremmassa määrin julkisen edun asia. 3. Liiketoimien ja tietojen turvallisuudesta on tullut keskeinen edellytys sähköisten palvelujen tarjoamiselle, mukaan lukien sähköinen kaupankäynti ja sähköiset julkiset palvelut, ja turvallisuutta kohtaan tunnettu epäluottamus voisi hidastaa kyseisten palvelujen laajamittaista käyttöönottoa. 4. Yksilöiden, yritysten, hallintojen ja muiden organisaatioiden on tarpeen turvata omat tieto- ja viestintäjärjestelmänsä käyttämällä tarvittaessa tehokkaita turvallisuustekniikoita. 5. Yksityinen sektori, joka toimii kilpailulle avoimessa markkinaympäristössä, tarjoaa innovaatiokykynsä ansiosta lukuisia markkinoiden todellisiin tarpeisiin soveltuvia ratkaisuja. 1 2 3 4 5 6 EYVL L 8, 12.1.2001 EYVL L 281, 23.11.1995. EYVL L 199, 26.7.1997. EYVL L 24, 30.1.1998. EYVL L 101, 1.4.1998. EYVL L 13, 19.1.2000. 15152/01 paf/mp/tan 3
6. Verkko- ja tietoturvallisuuden monimutkaisuudesta aiheutuu, että kehitettäessä poliittisia toimenpiteitä tällä alalla viranomaisten on otettava huomioon monia poliittisia, taloudellisia, organisatorisia ja teknisiä näkökohtia ja oltava tietoisia viestintäverkkojen hajautetusta ja maailmanlaajuisesta luonteesta. 7. Poliittiset toimenpiteet voivat olla tehokkaampia vain, jos ne ovat osa eurooppalaista lähestymistapaa, jos niissä otetaan huomioon sisämarkkinoiden tehokas toiminta, jos ne perustuvat jäsenvaltioiden ja kansainvälisen yhteistyön lisäämiseen ja jos ne tukevat innovointia ja eurooppalaisten yritysten mahdollisuuksia kilpailla maailmanlaajuisella tasolla. 8. Huomattava määrä verkko- ja tietoturvallisuuden kannalta tärkeää lainsäädäntöä on jo olemassa, erityisesti osana televiestintää, sähköistä kaupankäyntiä ja sähköisiä allekirjoituksia koskevia EU:n säädöspuitteita. 9. On olemassa televiestintäpalvelujen tarjoajille asetettuja oikeudellisia vaatimuksia siitä, että niiden on toteutettava asianmukaisia teknisiä ja organisatorisia toimenpiteitä palvelujensa turvallisuuden suojaamiseksi: kyseisillä toimenpiteillä on varmistettava riskiin nähden asianmukainen turvallisuustaso. 10. Kansainvälisestä standardista ISO-15408 (Yhteiset arviointiperusteet) on tullut tunnustettu järjestelmä tietokone- ja verkkotuotteita koskevia turvallisuusvaatimuksia määriteltäessä ja arvioitaessa, onko jokin tuote kyseisten vaatimusten mukainen. 11. Kansainvälisestä standardista ISO-17799 (Tietotekniikka Tietoturvan hallintaa koskevat menettelyohjeet) ja vastaavista kansallisista ohjeista on tullut tunnustettu turvallisuuden hallintaa koskeva käytäntö yksityisissä ja julkisissa organisaatioissa. 12. Internetin perusrakenteen on mahdollistettava se, että mahdollisimman monet pääsevät käyttämään verkkoja ja palveluja, ja kyseistä rakennetta on hallittava ja käytettävä tehokkaasti ja turvallisesti esimerkiksi ottamalla käyttöön avoimia standardeja ja Internetin turvallisuutta koskevia käytäntöjä, ottaen huomioon, neuvoston 30 päivänä toukokuuta 2001 antaman eeurope-toimintasuunnitelmaa koskevan päätöslauselman mukaisesti, että verkko- ja tietoturvallisuus on palvelujen ja tietojen saatavuuden varmistamista, häiriöiden ja luvattoman telekuuntelun ehkäisemistä, sen varmistamista, että lähetetyt, vastaanotetut tai tallennetut tiedot ovat täydellisiä ja että kyseisiä tietoja ei ole muutettu, tietojen luottamuksellisuuden varmistamista, tietojärjestelmien suojaamista luvattomalta käytöltä, suojaamista tuholaisohjelmistoja käyttäen tehdyiltä hyökkäyksiltä ja luotettavan todentamisen varmistamista, 15152/01 paf/mp/tan 4
NÄIN OLLEN pyytää jäsenvaltioita 1. vuoden 2002 loppuun mennessä käynnistämään tai tehostamaan tiedotus- ja koulutuskampanjoita verkko- ja tietoturvallisuutta koskevan tietoisuuden lisäämiseksi, suuntaamaan kyseiset toimet erityisesti liike-elämälle, yksityisille käyttäjille ja julkishallinnoille, kehittämään kyseisiä tietoisuutta lisääviä kampanjoita läheisessä yhteistyössä yksityisen sektorin kanssa muun muassa Internet-palvelun tarjoajat mukaan luettuina, sekä edistämään yksityisen sektorin aloitteita, 2. edistämään tarvittaessa kansainvälisesti tunnustettuihin standardeihin perustuvia hyviä toimintatapoja erityisesti pienten ja keskisuurten yritysten tietoturvan hallinnassa, 3. vuoden 2002 loppuun mennessä lisäämään, tai edistämään turvallisuusperiaatteiden osuutta tietotekniikkaopetuksessa ja -koulutuksessa, 4. vuoden 2002 puoliväliin mennessä tarkistamaan tietotekniikan kriisipalveluja - joihin voisivat kuulua virushälytysjärjestelmät - koskevien kansallisten järjestelyjen tehokkuuden, jotta tarvittaessa vahvistettaisiin näiden kykyä ehkäistä ja jäljittää kansallisella tai kansainvälisellä tasolla verkko- ja tietojärjestelmien häiriöitä tai niihin kohdistuvia hyökkäyksiä ja toimia tehokkaasti niiden torjumiseksi, 5. edistämään yhteisiä arviointiperusteita koskevan standardin (ISO-15408) käyttöä ja helpottamaan asiaa koskevien todistusten keskinäistä tunnustamista, 6. vuoden 2002 loppuun mennessä toteuttamaan merkittäviä toimenpiteitä, jotta löydettäisiin tehokkaita ja yhteentoimivia, mikäli mahdollista tunnustettuihin standardeihin perustuvia turvallisuusratkaisuja näihin ratkaisuihin voisivat kuulua avoimen lähdekoodin ohjelmistot sähköisiin viranomaispalveluihinsa ja sähköisiin hankintamenettelyihinsä sekä sähköisten allekirjoitusten käyttöön ottamiseksi, jotta myös niitä julkisia palveluja, joissa vaaditaan tehokasta todentamista, voidaan tarjota sähköisesti, 7. jos ne päättävät ottaa käyttöön sähköisiä ja biometrisiä tunnistusjärjestelmiä julkista tai virallista käyttöä varten, tekemään tarvittaessa teknologista kehittämistä koskevaa yhteistyötä sekä tarkastelemaan mahdollisia yhteentoimivuutta koskevia vaatimuksia, 8. yhteisön ja kansainvälisen yhteistyön helpottamiseksi vaihtamaan tietoja keskenään ja komission kanssa elimistä, jotka ensisijaisesti vastaavat alueellaan verkko- ja tietoturvallisuusasioista, 15152/01 paf/mp/tan 5
panee tyytyväisenä merkille, että komissio aikoo 1. vuoden 2002 aikana helpottaa hyvien toimintatapojen vaihtoa tiedotustoiminnan osalta ja laatia erilaisten kansallisten tiedotuskampanjoiden alustavan luettelon, 2. vuoden 2002 aikana tehdä ehdotuksia yhteisön vuoropuhelun ja yhteistyön lisäämiseksi kansainvälisten järjestöjen ja kumppaneiden kanssa verkkoturvallisuuden alalla erityisesti niiden vaikutusten osalta, joita entistä suurempi riippuvuus sähköisen viestinnän verkoista on aiheuttanut, ja tässä yhteydessä ehdottaa vuoden 2002 loppuun mennessä Internetin perusrakenteen vakaampaa ja turvallisempaa käyttöä koskevaa strategiaa, 3. vuoden 2002 loppuun mennessä ehdottaa tarkoituksenmukaisia toimenpiteitä ISO 15408 (Yhteiset arviointiperusteet) -standardin käytön edistämiseksi, todistusten keskinäisen tunnustamisen helpottamiseksi ja tuotteiden arviointimenettelyn parantamiseksi esimerkiksi kehittämällä asianmukaisia suojaprofiileja, 4. vuoden 2002 loppuun mennessä laatia selvityksen sähköiseen ja biometriseen henkilöllisyyden varmentamiseen tarkoitetuista tekniikoista ja sovelluksista, jotta parannettaisiin kyseisten järjestelmien tehokkuutta erityisesti yhteentoimivuuden avulla, 5. vuoden 2002 puoliväliin mennessä tehdä jäsenvaltioita ja yksityistä sektoria kuultuaan ehdotuksia tietoverkkojen turvallisuutta käsittelevän työryhmän perustamiseksi; työryhmän tehtävänä olisi kansallisten toimien pohjalta lisätä verkko- ja tietoturvallisuutta ja parantaa jäsenvaltioiden kykyä käsitellä yksin tai yhdessä tärkeimpiä verkko- ja tietoturvallisuutta koskevia ongelmia, 6. vuoden 2002 loppuun mennessä tutkia yhteistyössä jäsenvaltioiden kanssa mahdollisia järjestelmiä, joiden avulla jäsenvaltiot ja komissio voivat vaihtaa tietoja ja kokemuksia siitä, miten tämän päätöslauselman tavoitteet on saavutettu ottaen huomioon verkko- ja tietoturvallisuuden monipilarisen ulottuvuuden, ja että komissio aikoo myös selvittää, miten yksityinen sektori voidaan parhaiten ottaa mukaan tietojen ja kokemusten vaihtoon, panee tyytyväisenä merkille, että eurooppalaisessa tutkimustoiminnassa keskitytään entistä enemmän turvallisuuskysymyksiin, korostaa, että tarvitaan enemmän erityisesti turvallisuusjärjestelmiä ja niiden yhteentoimivuutta, verkkojen luotettavuutta ja suojaamista, kehittyneitä salaustekniikoita, yksityisyyden suojan parantamista sekä langattoman viestinnän turvallisuutta koskevaa tutkimustoimintaa, pyytää tavarantoimittajia ja palvelujen tarjoajia lisäämään turvallisuutta olennaisena ja tärkeänä osana tuotteitaan ja palvelujaan. pyytää eurooppalaisen yksityisen sektorin tavarantoimittajia ja palvelujen tarjoajia sekä niitä edustavia ryhmittymiä osallistumaan aktiivisemmin kansainväliseen standardointitoimintaan ja perustamaan keskuudessaan tarkoituksenmukaisia yhteistyöelimiä, jotka osaltaan edistävät tämän päätöslauselman tavoitteita. 15152/01 paf/mp/tan 6