Udvalget for Videnskab og Teknologi 2010-11 (1. samling)
UVT Alm.del Bilag 159
Offentligt
Ministeren for videnskab, teknologi og udvikling
Udvalget for Videnskab og TeknologiFolketingetChristiansborg1240 København K
Til udvalget fremsendes hermed til orientering:28. april 2011
./.
Grundnotat vedrørende Kommissionens meddelelse til Europa-Parlamentet,Rådet, Det Europæiske Økonomiske og Sociale Udvalg og Regionsudvalgetbeskyttelse af kritisk informationsinfrastruktur: ”Resultater og næste skridt: vejentil global internetsikkerhed”.- KOM (2011) 163.Materialet er ligeledes sendt til Europaudvalget via Udenrigsministeriet.
Ministeriet for Videnskab
Teknologi og Udvikling
Bredgade 431260 København KTelefonTelefaxE-postNetstedCVR-nr.3392 97003332 3501[email protected]www.vtu.dk1680 5408Dok nr.
18266121/1
Med venlig hilsen
Side
Charlotte Sahl-Madsen
Grundnotat til Folketingets Europaudvalg og Folketingets Udvalg forVidenskab og Teknologi
Kommissionens meddelelse til Europa-Parlamentet, Rådet, DetEuropæiske Økonomiske og Sociale Udvalg og Regionsudvalgetom beskyttelse af kritisk informationsinfrastruktur”Resultater og næste skridt: vejen til global internetsikkerhed”– KOM (2011) 163
ResuméMeddelelsen indeholder en gennemgang af de tiltag, der er gennemført sidenKommissionens meddelelse KOM(2009) 149, som skitserede en handlingsplan foreuropæisk kritisk informationsinfrastrukturbeskyttelse. Den nye meddelelse pegerpå nødvendigheden af et øget internationalt samarbejde på området.Det forventes, at punktet vil blive sat på dagsordenen for rådsmødet (transport,telekommunikation og energi) den 27. maj 2011 med henblik på vedtagelse afrådskonklusioner.1. Baggrund
27. april 2011
IT- og Telestyrelsen
Holsteinsgade 632100 København ØTelefonTelefaxE-postNetstedCVR-nr.3545 00003545 0010[email protected]www.itst.dk2676 9388Side 1
Rådet vedtog ved rådsmødet den 18. december 2009 en rådsresolution påbaggrund af kommissionsmeddelelse af 30. marts 2009 om ”Beskyttelse modstorstilede cyberangreb og sammenbrud: Øget beredskab, sikkerhed ogrobusthed”1(CIIP).Den 19. maj 2010 offentliggjorde Kommissionen sin meddelelse om ”En digitaldagsorden for Europa”2, i hvilken der blandt andet blev lagt vægt på, at deropbygges en fælles forståelse for tillid og sikkerhed som grundlæggendeforudsætninger for en almen udbredelse af IKT og dermed for at nå Europa 2020-strategiens mål om intelligent vækst.3Sammen med en række andre initiativer fraKommissionen understreger det et ønske om på at skabe digitale rammer, der gørdet muligt for alle europæere at udnytte deres økonomiske og sociale potentialefuldt ud.Denne nye meddelelse er en status over de resultater, der er opnået siden CIIP-handlingsplanen blev iværksat i 2009.
1
KOM(2009) 149KOM(2010) 245KOM(2010) 2020
2
3
Punktet forventes sat på dagsordenen for det kommende rådsmøde (transport,telekommunikation og energi) den 27. maj 2011 med henblik på vedtagelse afrådskonklusioner.2. Formål og indholdDe risikoanalyser, der foretages både af private og offentlige interessenter, viseren stadig udvikling i risikobilledet hen mod mere teknologisk sofistikeredeangreb i takt med, at samfundene bliver mere og mere afhængige af IKT.Truslerne mod it-systemer kan opdeles i tre kategorier:Udnyttelse med henblik på at opnå økonomiske og/eller politiskefordele, herunder spionage og identitetstyveri.Forstyrrelse af informationssystemer, som kendes fra angreb påinformationssystemer med den følge, at de ikke har været i stand til atfungere normalt. Et eksempel herpå er de angreb, der fandt sted modEstland i 2007 og senere mod Georgien i 2008.Ødelæggelse af fysiske systemer, hvilket endnu ikke har fundet sted,men som ikke kan udelukkes i fremtiden i takt med, at kritiske systemerforbindes til internettet. I Iran har den såkaldte Stuxnet-orm været istand til at trænge ind i et beskyttet uran-oparbejdningsanlæg. I takt medat flere og flere for samfundets funktion livsvigtige systemer bliverforbundet til internettet, herunder el- og vandforsyning, vil det ikkekunne udelukkes, at et sådant angreb vil finde sted i de kommende år.
Side 2
Disse trusler er ikke specifikke for EU, og kan ikke løses af EU alene. Det erderfor nødvendigt at opnå en global forståelse for de risici, samfundene står overfor.Kommissionen gennemgår i meddelelsen de forskellige tiltag, som blev definereti CIIP-handlingsplanen fra 2009:Beredskab og forebyggelseI regi af Kommissionen og med støtte fra Det europæiske agentur for net- oginformationssikkerhed (ENISA) er der blevet oprettet Det europæiske forum forinformationsudveksling mellem medlemsstaterne (EFMS). Formålet er at udvikleen fælles forståelse for sikring af internettet.Som middel til at styrke samarbejdet mellem den europæiske offentlige sektor ogden private sektor er oprettet Det europæiske offentlig-private partnerskab for enrobust infrastruktur (EP3R) og som med hjælp fra ENISA skal udbygges til atfungere som en platform for internationalt samarbejde.
Desuden fortsættes arbejdet med at hjælpe de medlemsstater, der endnu ikke haretableret nationale/statslige CERT’er, således at alle medlemsstater vil have ennational CERT med udgangen af 2012.Opdagelse og reaktionENISA vil samarbejde med CERT’erne med henblik på at belyse mulighedernefor, at CERT’erne kan danne grundlaget for det Europæiske forum forinformationsudvekslings- og varslingssystem (EISAS), som er planlagt til atblive etableret i 2013.Afhjælpning og genopretningENISA vil fortsætte med at hjælpe medlemsstaterne med at udarbejde nationalekatastrofeplaner og beredskabsøvelser for IKT.IT- og Telestyrelsen
Den første fælleseuropæiske beredskabsøvelse på området blev afholdt 4.november 2010. ENISA stod for planlægningen. Arbejdet er begyndt medhenblik på den næste øvelse, som er planlagt til 2012. ENISA har arbejdet på atstyrke samarbejde mellem nationale/statslige CERT’er.Internationalt samarbejdeEt udvidet samarbejde er påbegyndt med især USA. Som et første skridt i etinternationalt samarbejde har EU og USA nedsat en ”EU-US Working Group onCyber-security and Cyber-crime” i november 2010. Samarbejdet forventesudstrakt til andre regioner med henblik på at fremme et robust og stabilt internetpå globalt plan. I 2012/13 er det planlagt at gennemføre en stor internationaløvelse i samarbejde med USA og deltagelse af et større antal medlemsstater.Kriterier for europæisk kritisk infrastruktur i ikt-sektorenI EFMS har der været drøftelser med henblik på at identificere europæisk kritiskinformationsinfrastruktur for fastnet og mobil kommunikation samt internettet.Kommissionen vil drøfte med medlemsstaterne om sektorspecifikke elementerskal inkluderes i revisionen af direktivet om identifikation og udpegning afeuropæisk kritisk informationsinfrastruktur (2008/114/EF) i 2012.Det videre forløbDet er Kommissionens holdning, at CIIP-handlingsplanen har haft en rækkepositive resultater, ikke mindst anerkendelsen af, at der er behov for ensamarbejdsbaseret tilgang til net- og informationssikkerhed, der involverer alleparter.Kommissionen ser behov for at udvide indsatsen internationalt og udviklepartnerskaber for at få fuldt udbytte af bestræbelserne. Der er behov for atfremme en global kultur, der underbygger risikostyring. Der bør gennemføresmålrettede foranstaltninger mod sikkerhedstrusler og it-baseret kriminalitet.
Side 3
Kommissionen har til hensigt at bidrage til opbygningen af denne globale tilgangsåledes:Fremme principper for et robust og stabilt internetDer bør opstilles internationale principper for et robust og stabilt interneti samarbejde med andre lande, internationale organisationer og eventueltmed globale private organisationer. Dette bør ske gennem eksisterendefora og processer.Opbygning af strategiske internationale partnerskaberStrategiske partnerskaber bør bygge på igangværende bestræbelser påkritiske områder. Involvering af den private sektor, der opererer på etglobalt plan, er af afgørende betydning. EU-USA arbejdsgruppen er etvigtigt skridt i denne retning. Yderligere koordinering ville blivevidereført i internationale fora, især i G8.Opbygge tillid til ”cloud computing”Det er vigtigt at styrke drøftelserne om bedste styringsstrategier for nyeteknologier, som har global indvirkning, såsom cloud computing. Tillider afgørende for at høste det fulde udbytte.
Side 4
Da sikkerhed er et fælles ansvar for alle, foreslår Kommissionen, atmedlemsstaterne bør forpligte sig til:Styrke EU’s beredskab ved at etablere et netværk af velfungerendenationale/statslige CERT’er inden 2012EU-institutionerne vil ligeledes etablere deres egen CERT inden 2012.Fastlægge en europæisk beredskabsplan for internet-hændelserinden 2012 samt jævnlige fælleseuropæiske beredskabsøvelserØvelser er et vigtigt element i en sammenhængende beskyttelsesstrategibåde på nationalt og europæisk niveau. ENISA vil samarbejde medmedlemsstaterne med henblik på etablering af sammenhængendenationale og europæiske beredskabsplaner i 2012.Tilstræbe en koordineret europæisk indsats i internationale fora ogdrøftelser om forbedring af internettets sikkerhed og robusthedMedlemsstaterne bør samarbejde med hinanden og med Kommissionenfor en fælles holdning til internettets globale stabilitet og robusthed.Målet bør være at styrke forebyggelse og beredskabet på alle niveauerog blandt alle parter, og dermed rette op på den nuværende tendens til atfokusere på militære aspekter og/eller national sikkerhed.
Kommissionens konklusionErfaringen viser, at rent nationale eller regionale strategier med hensyn tilsikkerhed og robusthed ikke er tilstrækkelige. Det europæiske samarbejde harudviklet sig meget positivt siden 2009. Men Europa bør gå videre ibestræbelserne på at udvikle en sammenhængende og samarbejdsorienteretstrategi for hele EU.Den europæiske indsats er nødt til at blive en del af en globalt koordineretstrategi for at blive en succes. Derfor vil Kommissionen fremme udviklingen afen international strategi for internetsikkerhed i alle relevante internationale fora.3. Europa-Parlamentets udtalelserEuropa-Parlamentet har ikke udtalt sig.4. NærhedsprincippetDa det er en meddelelse, er nærhedsprincippet ikke relevant.Side 5
5. Gældende dansk retDa meddelelsen ikke er juridisk bindende, får den ikke konsekvenser for danskret.6. KonsekvenserMeddelelsen har ingen lovgivningsmæssige konsekvenser.Meddelelsen har ingen statsfinansielle konsekvenser eller administrativekonsekvenser.Meddelelsen skønnes ikke at have væsentlige samfundsøkonomiskekonsekvenser, og medfører ingen administrative konsekvenser for erhvervslivet.7. HøringMeddelelsen vil blive sendt i høring i EU-specialudvalget for it ogtelekommunikation.8. Generelle forventninger til andre landes holdningerDer har endnu ikke været indholdsmæssige drøftelser blandt medlemsstaterne ommeddelelsen.Da meddelelsen i høj grad er en status over det udførte arbejde siden 2009, ogidet Kommissionens fremadrettede strategi ikke indeholder nogen overraskende,nye tiltag, må det forventes, at der bakkes overordnet op om meddelelsen.
9. Regeringens foreløbige generelle holdningKommissionens meddelelse vurderes overordnet at være i overensstemmelse medregeringens prioriteringer på området og i overensstemmelse med planlagte ellerallerede iværksatte tiltag.Regeringen stiller sig positivt over for internationalt samarbejde med henblik påbeskyttelse af kritisk informationsinfrastruktur, og støtter derfor meddelelsen.Regeringen har allerede iværksat et samarbejde med andre internationale aktører,der også har igangsat en række initiativer for at dæmme op for ikt-sårbarheder,herunder oprettet en GovCERT og moderniseret teleberedskabet.10. Tidligere forelæggelse for Folketingets EuropaudvalgSagen har ikke tidligere været forelagt Folketingets Europaudvalg.
Side 6
