Mededeling inzake kritieke informatie-infrastructuur (CIIP)
Mededeling betreffende de bescherming van kritieke
informatie-infrastructuur "Europa beschermen tegen grootschalige
cyberaanvallen en verstoringen: verbeteren van de paraatheid,
beveiliging en veerkracht."
* Basisgegevens
* Essentie voorstel
* Subsidiariteit en proportionaliteit
* Nederlandse positie over de mededeling
Basisgegevens
Datum Commissiedocument: 30.3.2009
Nr. Commissiedocument: COM(2009) 149 definitief
Pre-lex:
http://ec.europa.eu/prelex/detail_dossier_real.cfm?CL=nl&DosId=198140
Nr. impact assessment Commissie en Opinie Impact-assessment Board:
Niet opgesteld.
Behandelingstraject Raad: Raadswerkgroep Telecom.
Tijdens de VTE-Raad (Telecom) van 12 juni 2009 wordt een
gedachtewisseling voorzien. De Raad van december 2009 zal naar
verwachting conclusies aannemen.
Eerstverantwoordelijk ministerie: Ministerie van Economische Zaken
(EZ).
Essentie voorstel
De mededeling gaat over de beveiliging van vitale
informatie-infrastructuren, zoals de delen van openbare
telecommunicatienetwerken die gebruikt worden voor toepassingen of
processen in de vitale sectoren (denk bijvoorbeeld aan het
betalingsverkeer).
De mededeling spitst zich toe op preventie, paraatheid en
bewustwording. De mededeling schetst een plan voor onmiddellijke
acties om de beveiliging en veerkracht van de vitale informatie
infrastructuren, algemeen aangeduid als CIIs (critical information
infrastructures), te verbeteren. Eén en ander sluit aan bij de
discussie over de uitdagingen en prioriteiten voor een beleid inzake
netwerk- en informatiebeveiliging (NIB) en de meest geschikte
instrumenten op Europees niveau voor de aanpak daarvan. De
voorgestelde actiepunten sluiten aan bij acties om criminele en
terroristische activiteiten tegen CIIs te voorkomen, te bestrijden en
te vervolgen. Tevens dragen de actiepunten bij aan lopende en
toekomstige EU-onderzoeksinspanningen op het gebied van netwerk- en
informatiebeveiliging en aan andere internationale initiatieven op dit
gebied.
Subsidiariteit en proportionaliteit
De Commissie kondigt geen wet- of regelgeving aan. De mededeling is
gebaseerd op aanbevelingen van expertgroepen en diverse studies (met
name vanuit het werkprogramma van ENISA, het EU Agentschap voor
Netwerk- en Informatiebeveiliging). De aanbevelingen uit deze diverse
trajecten zijn de basis voor de aanpak die in de mededeling geschetst
wordt, waaronder de visie dat wet- en regelgeving niet op voorhand het
meest geschikt zijn om de doelstellingen te bereiken.
Met name wordt verwezen naar de mate van publiek-private samenwerking
die in veel lidstaten plaatsvindt rond de onderwerpen in de mededeling
en het draagvlak voor deze aanpak in de private sector.
Enkele belangrijke actiepunten zijn:
- bevorderen van publiek-private samenwerking op EU niveau,
- ontwikkelen van sectorspecifieke criteria voor de identificatie van
Europese vitale infrastructuren (ter ondersteuning van richtlijn
2008/114/EG ten aanzien van de identificatie en aanmerking van
Europese Kritieke Infrastructuren) afspraken over basisvoorzieningen
te leveren door nationale CERTs (Computer Emergency Response Teams) en
over internationale samenwerking tussen CERTs;
- ontwikkelen van telecom/ICT gerelateerde oefeningen op pan-Europees
niveau.
Bevoegdheidsvaststelling
De Europese Gemeenschap deelt de bevoegdheid op het gebied van de
elektronische communicatiesector (telecommunicatie/ICT) met de
lidstaten. De Commissie is op basis van o.m. artikel 95 van het
EG-Verdrag bevoegd het regelgevend kader voor deze sector vast te
stellen.
Subsidiariteit
Het oordeel over subsidiariteit is positief. Van nature zijn
telecommunicatie/ICT diensten grensoverschrijdend, dit is verder
toegenomen door de plaats die het internet in de maatschappij gekregen
heeft. Zaken als het verminderen van kwetsbaarheid van telecom/ICT
diensten, het vormgeven en implementeren van beschermingsmaatregelen
tegen uitval of tegen crimineel gebruik van telecom/ICT kunnen niet
alleen op nationaal niveau worden ingevuld. Een aanvullende aanpak op
EU niveau is om die reden onontbeerlijk.
Proportionaliteit
Voor zover tot een beoordeling kan worden overgegaan, is het oordeel
positief. De mededeling geeft via de actiepunten structuur en
invulling aan de aanbevelingen uit de diverse discussielijnen die al
enige tijd in EU verband lopen. Aandachtspunt is de definitieve
invulling van de aanbevelingen, zoals het vaststellen van
minimumnormen voor capaciteiten en diensten van
nationale/overheids-CERT's. Nederland is een voorloper in de EU v.w.b.
de aanpak van CIIP (Critical Information Infrastructure Protection).
Financiële gevolgen
a) Er zijn geen financiële implicaties aan de mededeling verbonden,
anders dan de benodigde capaciteit en middelen om deel te nemen in de
uitvoering van de actiepunten. Pas wanneer op bepaalde onderdelen
concrete verdere afspraken gemaakt worden, kan bezien worden in
hoeverre die specifieke afspraken financiële gevolgen hebben.
Eventuele budgettaire gevolgen worden ingepast op de begroting van de
beleidsverantwoordelijke departementen, conform de regels betreffende
budgetdiscipline.
Nederlandse positie over de mededeling
De mededeling sluit goed aan bij het Nederlandse beleid op CIIP
gebied. De Nederlandse overheid werkt al langere tijd met de Commissie
samen in dit kader, dit heeft geleid tot het overnemen van onderdelen
en speerpunten uit het Nederlandse beleid in de actiepunten uit de
mededeling. Een voorbeeld hiervan is de nadruk op publiek-private
samenwerking.
De actiepunten zorgen o.a. voor het verminderen van kwetsbaarheid van
telecom/ICT-diensten, het vormgeven en implementeren van
beschermingsmaatregelen tegen uitval of tegen crimineel gebruik van
telecom/ICT. Enkele van de actiepunten zullen ook een bijdrage leveren
aan het werk dat nodig zal zijn indien bij de evaluatie van de
richtlijn ten aanzien van de identificatie en aanmerking van Europese
Kritieke Infrastructuren (2008/114/EG) begin 2012 besloten wordt de
werking uit te breiden naar de ICT sector. Volgens deze richtlijn
worden de sectorspecifieke criteria vastgesteld, bijvoorbeeld welke
infrastructuren aangemerkt worden als vitaal op EU schaal.
Gezien de verschillen tussen de lidstaten in hun bestaande nationale
aanpak, in de wijze van implementatie van de te maken afspraken en in
de voortgang daarvan werkt een te dringende aanpak contraproductief.
Er moet om die reden worden gewaakt voor een te hoge tijdsdruk op het
realiseren van de actiepunten.
* Ministerie van Buitenlandse Zaken
* Bezuidenhoutseweg 67
* Postbus 20061
* 2500 EB Den Haag
* Tel.: 070-3 486 486
* Fax: 070-3 484 848
* Internet: www.minbuza.nl
Ministerie van Buitenlandse Zaken