Legislacion Informatica de Union Europea. Resolución del Consejo de 28 de enero de 2002 relativa a un enfoque común y a acciones específicas en materia de seguridad de las redes y de la información.

Resolución del Consejo de 28 de enero de 2002 relativa a un enfoque común y a acciones específicas en materia de seguridad de las redes y de la información. (DO C 43 de 16.2.2002, pp. 2-4).

EL CONSEJO DE LA UNIÓN EUROPEA,

ATENDIENDO A

las Conclusiones del Consejo Europeo de Estocolmo de 23 y 24 de marzo de 2001 según las cuales el Consejo, junto con la Comisión, formulará una estrategia general para la seguridad de las redes electrónicas, que deberá incluir medidas de aplicación práctica,

TENIENDO PRESENTE LO SIGUIENTE:

1. la Resolución del Consejo de 30 de mayo de 2001. Plan de acción eEuropa: seguridad de las redes y de la información;

2. la Comunicación de la Comisión al Consejo, al Parlamento Europeo, al Comité Económico y Social y al Comité de las Regiones. Seguridad de las redes y de la información: propuesta para un enfoque político europeo;

3. la Comunicación de la Comisión al Consejo y al Parlamento Europeo. eEuropa 2002: impacto y prioridades;

4. el plan de acción eEuropa 2002 aprobado por el Consejo Europeo de Feira de 19 y 20 de junio de 2000;

5. la Recomendación 95/144/CE del Consejo, de 7 de abril de 1995, relativa a los criterios comunes de evaluación de la seguridad en las tecnologías de la información (1);

6. la Recomendación del Consejo, de 25 de junio de 2001, sobre puntos de contacto accesibles de manera ininterrumpida para la lucha contra la delincuencia de alta tecnología (2);

7. la Comunicación de la Comisión sobre la creación de una sociedad de la información más segura mediante la mejora de la seguridad de las infraestructuras de información y la lucha contra los delitos informáticos;

8. el Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (3);

9. la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (4);

10. la Directiva 97/33/CE del Parlamento Europeo y del Consejo, de 30 de junio de 1997, relativa a la interconexión en las telecomunicaciones en lo que respecta a garantizar el servicio universal y la interoperabilidad mediante la aplicación de los principios de la oferta de red abierta (ONP) (5);

11. la Directiva 97/66/CE del Parlamento Europeo y del Consejo, de 15 de diciembre de 1997, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones (6);

12. la Directiva 98/10/CE del Parlamento Europeo y del Consejo, de 26 de febrero de 1998, sobre la aplicación de la oferta de red abierta (ONP) a la telefonía vocal y sobre el servicio universal de telecomunicaciones en un entorno competitivo (7);

13. la Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica (8);

CONSIDERANDO LO SIGUIENTE:

(1) Las redes y los sistemas de comunicación constituyen un factor determinante para el desarrollo económico y social, y su disponibilidad e integridad resultan fundamentales para las infraestructuras de primera necesidad, así como para la mayor parte de los servicios públicos y privados y para la economía en su conjunto.

(2) En vista de la creciente importancia de los servicios electrónicos en la economía, cobra cada vez más interés público la seguridad de las redes y de los sistemas de información.

(3) La seguridad de las transacciones y los datos ha pasado a ser esencial para la prestación de servicios electrónicos, incluido el comercio electrónico y los servicios públicos en línea, y la poca confianza en su seguridad puede frenar el crecimiento de la difusión de estos servicios.

(4) Hay una necesidad tanto de particulares como de negocios, administraciones y otras organizaciones de proteger sus informaciones, datos y sistemas de comunicación mediante el desarrollo de tecnologías eficaces de seguridad, cuando proceda.

(5) El sector privado, con su capacidad de innovación e intervención en un entorno de mercado competitivo, ofrece una variedad de soluciones frente a las necesidades propias del mercado.

(6) La compleja naturaleza de la seguridad de las redes y de la información aconseja que, al desarrollar medidas de actuación en este ámbito, las autoridades públicas tengan en cuenta la diversidad de aspectos políticos, económicos, técnicos y de organización y no pierdan de vista el carácter mundial y descentralizado de las redes de comunicación.

(7) Las medidas de los poderes públicos pueden resultar más efectivas si forman parte de un enfoque europeo, respetan el funcionamiento eficaz del mercado interior, se fundan en una cooperación creciente entre Estados miembros y a nivel internacional, y apoyan la innovación y la capacidad de las empresas europeas de competir a nivel mundial.

(8) Ya existe un corpus legislativo importante relativo a la seguridad de las redes y de la información, en concreto como parte del marco jurídico de la Unión en materia de telecomunicaciones, comercio electrónico y forma electrónica.

(9) Los proveedores de servicios de telecomunicaciones están sujetos a la obligación jurídica de adoptar las medidas técnicas y de organización necesarias para salvaguardar la seguridad de sus servicios; dichas medidas deberán garantizar un nivel de seguridad adecuado respecto del riesgo de que se trate.

(10) La norma internacional ISO-15408 (Criterios comunes) constituye un sistema reconocido para definir los requisitos de seguridad aplicables a los productos relativos a la red y a los ordenadores para comprobar si un determinado producto cumple tales requisitos.

(11) La norma internacional ISO-17799 (Tecnología de la información – Código de conducta para la gestión de la seguridad de la información) y directrices nacionales similares se están convirtiendo en una práctica reconocida para la gestión de la seguridad en las organizaciones públicas y privadas.

(12) La infraestructura de Internet debe permitir un elevado nivel de acceso a las redes y servicios; su gestión y funcionamiento debe realizarse con arreglo a criterios de solidez y seguridad, por ejemplo adoptando normas abiertas y protocolos de seguridad de Internet.

TOMANDO EN CONSIDERACIÓN, de conformidad con la Resolución del Consejo, de 30 de mayo de 2001, sobre el plan de acción eEuropa: seguridad de las redes y de la información, que la seguridad de las redes y de la información debe tener por objeto:

– asegurar la disponibilidad de servicios y datos,

– prevenir la interrupción e interceptación no autorizada de comunicaciones,

– dar confirmación de que los datos enviados, recibidos o almacenados son completos y no han sufrido modificaciones,

– garantizar la confidencialidad de los datos,

– proteger los sistemas de información de los accesos no autorizados,

– proteger de ataques efectuados mediante programas nocivos,

– garantizar una autenticación fiable;

POR CONSIGUIENTE, PIDE A LOS ESTADOS MIEMBROS

1. que, para finales del año 2002, pongan en marcha o intensifiquen campañas de información y educación para que aumente la sensibilización sobre la seguridad de las redes y la información en este ámbito; que dirijan tales campañas específicamente al sector de los negocios, a los usuarios privados y a las administraciones públicas; que elaboren tales campañas de concienciación en estrecho contacto con el sector privado, incluidos, entre otros, los proveedores de servicios de Internet, y fomenten iniciativas conducidas por el sector privado;

2. que fomenten las mejores prácticas en la gestión de la seguridad de la información, en particular en las empresas pequeñas y medianas, basada, cuando corresponda, en normas reconocidas internacionalmente;

3. que, para finales del año 2002, refuercen o promuevan la importancia de los conceptos de seguridad como componentes de la educación y formación en informática;

4. que, para mediados del año 2002, hayan revisado la eficacia de las medidas nacionales en materia de respuesta de emergencia, que podría incluir los sistemas de alerta frente a los virus, a efectos de incrementar, cuando sea necesario, su capacidad de prevención, detección y reacción eficaces, a nivel nacional e internacional, frente a los ataques e interferencias contra las redes y los sistemas de información;

5. que apoyen la utilización de la norma “Criterios comunes” (ISO-15408) y faciliten el reconocimiento mutuo de certificados relacionados con ellos;

6. que, para finales del año 2002, tomen medidas importantes para alcanzar, en sus actividades de administración y contratación electrónicas, soluciones eficaces e interoperativas basadas, cuando sea posible, en normas reconocidas en materia de seguridad, que podrían incluir programas de fuentes abiertas, así como para introducir la firma electrónica con objeto de que dichos servicios públicos, que requieren un sistema de autenticación muy seguro, puedan prestarse en línea;

7. que, cuando opten por introducir sistemas electrónicos y biométricos de identificación para su utilización pública u oficial, cooperen, cuando corresponda, en el desarrollo tecnológico, y estudien las posibles exigencias en cuanto a su interoperabilidad;

8. que, para facilitar la cooperación comunitaria e internacional, intercambien información entre sí y con la Comisión sobre los organismos que, en su territorio, sean los principales responsables en materia de seguridad de las redes y la información;

ACOGE CON BENEPLÁCITO LA INTENCIÓN DE LA COMISIÓN

1. de facilitar, en el transcurso del año 2002, un intercambio de mejores prácticas en materia de sensibilización y de elaborar un primer inventario de las diversas campañas nacionales de información;

2. de presentar, en el transcurso del año 2002, propuestas para intensificar el diálogo y la cooperación de la Comunidad con las organizaciones y los socios internacionales en torno a la seguridad de las redes y, en particular, en lo que se refiere las implicaciones de la creciente dependencia de las redes electrónicas de comunicación y, en este contexto, de proponer, para finales del año 2002, una estrategia para logara un funcionamiento más estable y seguro de la infraestructura de Internet;

3. de proponer, para finales del año 2002, medidas adecuadas para promover la norma ISO-15408 (Criterios comunes) a fin de facilitar el reconocimiento mutuo de certificados y mejorar el proceso de evaluación de los productos, por ejemplo desarrollando perfiles de protección adecuados;

4. de preparar, para finales del año 2002, un informe sobre las tecnologías y las aplicaciones de la autenticación electrónica y biométrica de la identidad a fin de mejorar la eficacia de tales sistemas, en particular mediante la interoperabilidad;

5. de presentar propuestas, a mediados del año 2002 y previa consulta a los Estados miembros y al sector privado para la creación de un grupo ad hoc de seguridad informática que, basándose en los esfuerzos nacionales, refuerce la seguridad de las redes y la información y mejore la capacidad de los Estados miembros de responder, tanto individual como colectivamente, a problemas importantes en materia de seguridad de las redes y de la información;

6. de explorar, para finales del año 2002, y en colaboración con los Estados miembros, los posibles mecanismos que se ofrecen a los Estados miembros y la Comisión para intercambiar información y experiencias sobre su grado de consecución de los objetivos de la presente Resolución, teniendo en cuenta la dimensión interpilares de la seguridad de las redes y la información, y de estudiar las mejores formas de implicar al sector privado en este intercambio de información y experiencias;

SE CONGRATULA de la mayor importancia que se concede a las cuestiones de seguridad en las actividades de investigación europeas;

INSISTE en la necesidad de aumentar las actividades de investigación, especialmente en lo que se refiere a los mecanismos de seguridad y su interoperabilidad, la fiabilidad y protección de las redes, una criptografía avanzada, las tecnologías que refuerzan la protección de la vida privada y la seguridad de las comunicaciones inalámbricas;

HACE UN LLAMAMIENTO

– a los suministradores y proveedores de servicios para que refuercen la seguridad como parte integrante y esencial de sus productos y servicios;

– a los suministradores y proveedores de servicios europeos del sector privado y a las asociaciones que los representan para que participen más activamente en las actividades internacionales de normalización y se organicen en foros adecuados pra contribuir a los objetivos de la presente Resolución.

———————————————————————————————–
(1) DO L 93 de 26.4.1995, p. 27.

(2) DO C 187 de 3.7.2001, p. 5.

(3) DO L 8 de 12.1.2001, p. 1.

(4) DO L 281 de 23.11.1995, p. 31.

(5) DO L 199 de 26.7.1997, p. 32.

(6) DO L 24 de 30.1.1998, p. 1.

(7) DO L 101 de 1.4.1998, p. 24.

(8) DO L 13 de 19.1.2000, p. 12.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.