EU - Commission's plans to boost Europe's defences against cyber-attacks

Maybe this will a very "expensive deal", because the control over the net is rising and rising and the freedom of information will be more and more far away..., but anyway, this is worth to take a look at it:   The European Commission today unveiled two new measures to ensure that Europe can defend itself from attacks against its key information (IT) systems.  A proposal for a Directive to deal with new cyber crimes, such as large-scale cyber attacks, is complemented by a proposal for a Regulation to strengthen and modernise the European Network and Information Security Agency (ENISA). The two initiatives are foreseen by the Digital Agenda for Europe and the Stockholm Programme to boost trust and network security (see IP/10/581, MEMO/10/199 and MEMO/10/200).  Under the proposed Directive, the perpetrators of cyber attacks and the producers of related and malicious software could be prosecuted, and would face heavier criminal sanctions. Member States would be also obliged to quickly respond to urgent requests for help in the case of cyber-attacks, rendering European justice and police cooperation in this area more effective. Strengthening and modernising ENISA would also help the EU, Member States and private stakeholders develop their capabilities and preparedness to prevent, detect and respond to cyber-security challenges. Both proposals will be forwarded to the European Parliament and the EU's Council of Ministers for adoption. Commissioner Cecilia Malmström, in charge of Home Affairs, said: "Crime is finding new ways. With the help of malicious software, it is possible to take control over a large number of computers and steal credit card numbers, find sensitive information or launch large-scale attacks. It is time for us to step up our efforts against cyber crime, also often used by organised crime. The proposals we are putting forward today are one important step, as we criminalise the creation and selling of malicious software and improve European police cooperation". Commission Vice-President for the Digital Agenda, Neelie Kroes, said "Making every European digital will only happen if citizens feel confident and safe on-line. Cyber threats know no borders. A modernised European Network and Information Security Agency will bring new expertise and foster exchanges of best practice in Europe. Our EU institutions and governments must work ever closely together, to help us understand the nature and scale of the new cyber-threats. We need ENISA's advice and support to help design efficient response mechanisms to protect our citizens and businesses online". While Europe is engaged in taking full advantage of the potential of network and information systems, it should not become more vulnerable to disruptions caused by accidental or natural events (like submarine cable breaks) or through malicious actions (like hacking or other cyber-attacks). These could be based on, for example, increasingly sophisticated tools which hijack large numbers of computers and manipulate them simultaneously as an army of robots on the internet (“botnets”) without their owners' knowledge. These infected computers can later be used to carry out devastating cyber-attacks against public and private IT systems, as happened in Estonia in 2007 where most online public services, as well as government, parliament and police servers were made temporarily inoperative. The number of attacks against information systems has risen steadily since the EU first adopted rules on attacks against information systems in February 2005. In March 2009, the computer systems of government and private organizations in more than 100 countries were attacked by a network of compromised computers which extracted sensitive and classified documents. In this instance again, malicious software created 'botnets', networks of infected computers that can be remotely controlled to stage a coordinated attack. The package proposed by the Commission today will strengthen Europe's response to cyber disruptions. The Commission's proposal on cybercrime builds on rules that have been in force since 2005, and introduces new aggravating circumstances and higher criminal sanctions that are necessary to fight more effectively the growing threat and occurrence of large scale attacks against information systems. Moreover, it would pave the way for an improvement of cooperation between the judiciary and the police of the Member States, introducing the obligation for Member States to make better use of the existing 24/7 network of contact points by treating urgent requests in a specified timeframe. Finally, the proposed Directive would provide for the establishment of a system to record and trace cyber attacks. Reinforced cooperation across countries and industrial sectors To help co-ordinate Europe's response, the Commission is proposing a new Regulation to strengthen and modernise the European Network and Information Security Agency (ENISA), which was first established in 2004. This would reinforce cooperation across EU Member States, law enforcement authorities and the industrial sector. ENISA will play an important role in boosting trust, which underpins the development of the Information Society, by enhancing the security and privacy of users. Under its new mandate, ENISA would engage EU Member States and private sector stakeholders in joint activities across Europe, such as cyber security exercises, public private partnerships for network resilience, economic analyses and risk assessment and awareness campaigns. A modernised ENISA would have greater flexibility and adaptability and would be available to providing EU countries and institutions with assistance and advice on regulatory matters. Finally, to respond to the increased intensity of cyber security challenges, the proposed Regulation would extend ENISA's mandate for five years and gradually increase its financial and human resources. The Commission proposes that ENISA's governance structure would also be strengthened with a stronger supervisory role of the Management Board, in which the EU Member States and the European Commission are represented. Background The proposed Directive on attacks against information systems repeals the Council Framework Decision 2005/222/JHA. Member States would have an obligation to comply with the new Directive on cyber crime, and transpose it into national legislation within two years from its adoption at the latest. ENISA was created in 2004 and its current mandate expires in March 2012. It is now proposed to extend it by 5 years. This proposal for a Regulation was preceded by a broad process that included an evaluation of the Agency, recommendations by its Management Board, two public consultations and an impact assessment including a cost/benefit analysis For further information Homepage of Cecilia Malmström, EU Commissioner for Home Affairs: http://ec.europa.eu/commission_2010-2014/malmstrom/index_en.htm Homepage of Neelie Kroes, Commission Vice-President for the Digital Agenda http://ec.europa.eu/commission_2010-2014/kroes/index_en.htm Information Society Newsroom http://ec.europa.eu/information_society/newsroom/cf/menu.cfm MEMO/10/459 MEMO/10/463 --- Kommission verstärkt Europas Abwehrmaßnahmen gegen Cyberangriffe Die Europäische Kommission hat heute zwei neue Maßnahmen bekanntgegeben, mit denen Europas Verteidigungsfähigkeit gegen Angriffe auf seine wichtigsten Informationssysteme (IT) sichergestellt werden soll.  Neben einem Vorschlag für eine Richtlinie über den Umgang mit neuen Arten der Cyberkriminalität wie etwa Cyber-Großangriffen legt sie einen Vorschlag für eine Verordnung vor, mit der die Europäische Agentur für Netz- und Informationssicherheit (ENISA) gestärkt und modernisiert werden soll. Beide Initiativen sind in der Digitalen Agenda für Europa und dem Stockholmer Programm vorgesehen, um das Vertrauen und die Netzwerksicherheit zu erhöhen (siehe IP/10/581, MEMO/10/199 und MEMO/10/200).  Aufgrund der vorgeschlagenen Richtlinie könnten die Urheber von Cyberangriffen sowie die Hersteller von damit in Verbindung stehender Software und Schadsoftware verfolgt werden und wären härteren strafrechtlichen Sanktionen ausgesetzt. Darüber hinaus wären die Mitgliedstaaten verpflichtet, im Falle von Cyberangriffen schnell auf dringende Hilfeersuchen zu reagieren. Die justizielle und polizeiliche Zusammenarbeit in Europa würde dadurch in diesem Bereich an Wirksamkeit gewinnen. Auch die Stärkung und Modernisierung der ENISA würde der EU, den Mitgliedstaaten und den privaten Akteuren dabei helfen, ihre Kapazitäten und Vorsorgemaßnahmen zur Prävention, Aufdeckung und Reaktion im Bereich der Internetsicherheit zu verbessern. Beide Vorschläge werden zur Verabschiedung an das Europäische Parlament und den EU-Ministerrat weitergeleitet. Die für Inneres zuständige Kommissarin Cecilia Malmström sagte dazu: „Das Verbrechen geht neue Wege. Mithilfe von Schadsoftware ist es möglich, die Kontrolle über eine große Zahl von Computern zu gewinnen und Kreditkartennummern zu stehlen, sensible Informationen ausfindig zu machen und Großangriffe zu starten. Es ist an der Zeit, unsere Bemühungen gegen die häufig auch vom Organisierten Verbrechen genutzte Cyberkriminalität zu verstärken. Die Vorschläge, die wir heute vorlegen, sind ein wichtiger Schritt, weil wir damit die Erstellung und den Verkauf von Schadsoftware unter Strafe stellen und die europäische polizeiliche Zusammenarbeit verbessern." Die für die Digitale Agenda zuständige Vizepräsidentin der Kommission, Neelie Kroes, erklärte: „Nur wenn die Bürger sich online wohl und sicher fühlen, werden sich auch alle Europäer im digitalen Raum bewegen. Online-Bedrohungen kennen keine Grenzen. Durch die Modernisierung der Europäischen Agentur für Netz- und Informationssicherheit wird neuer Sachverstand entstehen und der Austausch bewährter Praktiken innerhalb Europas gefördert. Unsere EU-Organe und Regierungen müssen sehr eng zusammenarbeiten, damit wir die Art und das Ausmaß der neuen Online-Bedrohungen verstehen lernen. Die ENISA muss uns mit Rat und Unterstützung dabei zur Seite stehen, effiziente Abwehrmechanismen zu entwerfen, um unsere Bürger und Unternehmen online zu schützen.“ Auch wenn Europa darum bemüht ist, das Potenzial von Netzwerken und Informationssystemen voll auszuschöpfen, darf es dabei nicht anfälliger für Störungen durch zufällige oder natürliche Ereignisse (wie etwa Tiefseekabelbrüche) oder durch böswillige Handlungen (wie Hacker- oder sonstige Cyberangriffe) werden. Solche Angriffe könnten beispielsweise mithilfe immer ausgefeilterer Instrumente durchgeführt werden, mit denen eine große Zahl von Computern übernommen und zeitgleich als Roboterarmee im Internet („Botnets“) manipuliert werden können, ohne dass die Besitzer dies mitbekommen. Diese infizierten Computer können später benutzt werden, um vernichtende Cyberangriffe gegen öffentliche und private IT-Systeme zu führen - so geschehen in Estland im Jahre 2007, als die meisten öffentlichen Online-Dienste ebenso wie die Server der Regierung, des Parlaments und der Polizei vorübergehend außer Betrieb gesetzt wurden. Die Zahl der Angriffe auf Informationssysteme ist stetig gestiegen, seit die EU im Februar 2005 erstmals Regelungen über Angriffe auf Informationssysteme verabschiedete. Im März 2009 griff ein Netz infizierter Computer die Computersysteme staatlicher und privater Organisationen in über 100 Ländern an und verschaffte sich Zugang zu sensiblen und vertraulichen Dokumenten. Auch in diesem Fall erschuf Schadsoftware „Botnets“, also Netzwerke infizierter Computer, die ferngesteuert werden können, um einen koordinierten Angriff auszuführen. Das heute von der Kommission vorgeschlagene Maßnahmenpaket wird Europas Abwehrkraft gegen Cyberstörungen stärken. Der Vorschlag der Kommission über Cyberkriminalität baut auf Regelungen auf, die seit 2005 gelten, und führt neue erschwerende Umstände und höhere strafrechtliche Sanktionen ein, die erforderlich sind, um die wachsende Bedrohung und Häufigkeit von Großangriffen auf Informationssysteme wirksamer zu bekämpfen. Darüber hinaus würde damit der Weg für eine bessere Zusammenarbeit zwischen den Justiz- und Polizeibehörden der Mitgliedstaaten geebnet, indem die Mitgliedstaaten durch die Vorgabe, dringende Ersuchen innerhalb eines festgelegten Zeitrahmens zu bearbeiten, verpflichtet werden, das bestehende Netzwerk rund um die Uhr erreichbarer Kontaktstellen besser zu nutzen. Schließlich würde die vorgeschlagene Richtlinie auch die Einrichtung eines Systems zur Erfassung und Rückverfolgung von Cyberangriffen vorsehen. Verstärkte Zusammenarbeit unter Ländern und Industriezweigen Zur besseren Koordinierung der europäischen Abwehrreaktionen schlägt die Kommission eine neue Verordnung vor, mit der die 2004 ins Leben gerufene Europäische Agentur für Netz- und Informationssicherheit (ENISA) gestärkt und modernisiert wird. Dadurch würde die Zusammenarbeit zwischen EU-Mitgliedstaaten, Strafverfolgungsbehörden und der Industrie intensiviert. Die ENISA wird bei der Stärkung des für die Entwicklung der Informationsgesellschaft wesentlichen Vertrauens eine wichtige Rolle spielen, indem sie die Sicherheit und Privatsphäre der Nutzer verbessert. Mit ihrem neuen Mandat würde die ENISA EU-Mitgliedstaaten und Akteure des Privatsektors in europaweite gemeinsame Maßnahmen einbinden wie etwa Cybersicherheitsübungen, Public-Private-Partnerschaften für Netzwerkstabilität, Wirtschaftsanalysen und Risikobewertung sowie Sensibilisierungskampagnen. Eine modernisierte ENISA wäre flexibler und anpassungsfähiger und stünde zur Verfügung, um EU-Staaten und -Organen Unterstützung und Rat in Rechtssetzungsfragen zu bieten. Zu guter Letzt würde die vorgeschlagene Verordnung die größer gewordenen Herausforderungen im Bereich Internetsicherheit berücksichtigen, indem sie das Mandat der ENISA um fünf Jahre verlängern und ihre finanziellen und personellen Mittel schrittweise aufstocken würde. Die Kommission schlägt vor, auch die Führungsstruktur der ENISA zu stärken, indem die Aufsichtsrolle des Verwaltungsrats untermauert wird, in welchem die EU-Mitgliedstaaten und die Europäische Kommission vertreten sind. Hintergrund Die vorgeschlagene Richtlinie über Angriffe auf Informationssysteme hebt den Rahmenbeschluss 2005/222/JI des Rates auf. Die Mitgliedstaaten wären verpflichtet, der neuen Richtlinie über Cyberkriminalität nachzukommen und sie innerhalb von höchstens zwei Jahren nach ihrer Verabschiedung in innerstaatliches Recht umzusetzen. Die ENISA wurde 2004 geschaffen, ihr derzeitiges Mandat läuft im März 2012 aus. Es wird nun vorgeschlagen, es um fünf Jahre zu verlängern. Diesem Verordnungsvorschlag ging ein umfassender Prozess voraus, zu dem eine Evaluierung der Agentur, Empfehlungen von deren Verwaltungsrat, zwei öffentliche Konsultationsverfahren und eine Folgenabschätzung einschließlich Kosten-Nutzen-Analyse gehörten. Weitere Informationen Homepage von Cecilia Malmström, EU-Kommissarin für Inneres: http://ec.europa.eu/commission_2010-2014/malmstrom/welcome/default_de.htm Homepage von Neelie Kroes, für die Digitale Agenda zuständige Vizepräsidentin der Kommission http://ec.europa.eu/commission_2010-2014/kroes/index_en.htm Newsroom zur Informationsgesellschaft http://ec.europa.eu/information_society/newsroom/cf/menu.cfm MEMO/10/459 MEMO/10/463 --- La Comisión reforzará las defensas de Europa contra los ataques informáticos La Comisión Europea ha presentado dos nuevas medidas para garantizar que Europa pueda defenderse de los ataques contra sus sistemas informáticos vitales.   Una propuesta de Directiva para luchar contra los nuevos delitos informáticos, como los ataques a gran escala, se complementa con una propuesta de Reglamento para fortalecer y modernizar la Agencia Europea de Seguridad de las Redes y de la Información (ENISA). Ambas iniciativas están previstas en la Agenda Digital para Europa y en el Programa de Estocolmo, con el fin de impulsar la confianza en la red y la seguridad de ésta (véase IP/10/581, MEMO/10/199 y MEMO/10/200). Con arreglo a la propuesta de Directiva, los autores de ataques informáticos y los creadores de programas informáticos malintencionados podrían ser procesados y se les aplicarían sanciones penales más severas. Los Estados miembros tendrían también la obligación de responder rápidamente a las peticiones urgentes de ayuda en caso de ataques informáticos, haciendo más efectiva la cooperación judicial y policial europea en este ámbito. El refuerzo y modernización de la ENISA también ayudaría a la UE, los Estados miembros y los particulares a desarrollar sus capacidades y a prepararse para prevenir, detectar y responder a los retos de la seguridad informática. Ambas propuestas se remitirán al Parlamento Europeo y al Consejo de Ministros de la UE para su aprobación. La Comisaria de Interior, Cecilia Malmström, afirmó: «La delincuencia adopta nuevas formas y con la ayuda de programas informáticos malintencionados es posible tomar el control de un gran número de ordenadores y robar números de tarjetas de crédito, obtener información sensible o lanzar ataques a gran escala. Es hora de redoblar nuestros esfuerzos contra los delitos informáticos, cometidos frecuentemente por bandas organizadas. Las propuestas que presentamos hoy son un paso importante, ya que penalizan la creación y la venta de programas informáticos malintencionados y mejoran la cooperación policial europea». La Vicepresidenta de la Comisión responsable de la Agenda Digital, Neelie Kroes, añadió: «Los ciudadanos europeos solo utilizarán la informática si tienen confianza y se sienten seguros al conectarse en línea. Las amenazas informáticas no conocen fronteras. Una Agencia Europea de Seguridad de las Redes y de la Información modernizada aportará nuevos conocimientos y fomentará el intercambio de buenas prácticas en Europa. Nuestras instituciones de la UE y los Gobiernos deben estrechar todavía más su cooperación para ayudarnos a entender la naturaleza y la magnitud de las nuevas amenazas informáticas. Necesitamos el asesoramiento y el apoyo de la ENISA para concebir mecanismos eficaces de respuesta con el fin de proteger a nuestros ciudadanos y a las empresas en línea». Mientras Europa intenta aprovechar al máximo el potencial de los sistemas de información y de las redes, no debe ser más vulnerable a los problemas causados por eventos accidentales o naturales (como roturas de cables submarinos) o por acciones delictivas (como la piratería o los ataques informáticos). Estos problemas pueden ser provocados, por ejemplo, por herramientas cada vez más sofisticadas que secuestran un gran número de ordenadores y los manipulan de forma simultánea como un ejército de robots en internet (grupo de ordenadores infectados) sin el conocimiento de sus propietarios. Estos ordenadores infectados pueden ser utilizados para ejecutar posteriormente devastadores ataques informáticos contra sistemas informáticos públicos y privados, como ocurrió en Estonia en 2007, cuando la mayoría de los servicios públicos en línea, así como los servidores del Gobierno, el Parlamento y la policía quedaron temporalmente fuera de servicio. El número de ataques contra los sistemas de información ha aumentado constantemente desde que la UE adoptó por primera vez normas sobre ataques contra los sistemas informáticos en febrero de 2005. En marzo de 2009, los sistemas informáticos de Gobiernos y organizaciones privadas de más de 100 países fueron atacados por una red de ordenadores controlados a distancia que se hizo con documentos sensibles y confidenciales. En este caso, de nuevo, los programas informáticos malintencionados establecieron grupos de ordenadores infectados, es decir, redes de ordenadores infectados que pueden ser controlados a distancia para organizar un ataque coordinado. El paquete propuesto hoy por la Comisión reforzará la respuesta de Europa a los ataques informáticos. La propuesta de la Comisión sobre delincuencia informática se basa en reglas vigentes desde 2005 e introduce nuevas circunstancias agravantes y mayores sanciones penales, necesarias para combatir con más eficacia la creciente amenaza y la materialización de ataques a gran escala contra los sistemas informáticos. Por otra parte, el paquete establecerá las bases para mejorar la cooperación entre la justicia y la policía de los Estados miembros, introduciendo la obligación de que los Estados miembros hagan un mejor uso de los actuales puntos de contacto, disponibles permanentemente, mediante el tratamiento de las solicitudes urgentes en un determinado plazo. Por último, la propuesta de Directiva establece un sistema para registrar y rastrear los ataques informáticos. Cooperación reforzada entre países y sectores industriales Para ayudar a coordinar la respuesta de Europa, la Comisión propone un nuevo Reglamento que fortalezca y modernice la Agencia Europea de Seguridad de las Redes y de la Información (ENISA), creada en 2004. Esto reforzaría la cooperación entre los Estados miembros, las fuerzas de seguridad y la industria. La ENISA jugará un papel importante en el fomento de la confianza, básica para el desarrollo de la sociedad de la información, mejorando la seguridad y la privacidad de los usuarios. Con arreglo a su nuevo mandato, la ENISA implicaría a los Estados miembros y los interesados del sector privado en actividades conjuntas en toda Europa, tales como ejercicios de seguridad informática, asociaciones entre los sectores público y privado para el refuerzo de las redes, análisis económicos y evaluación de riesgos, y campañas de sensibilización. Una ENISA modernizada tendría más flexibilidad y adaptabilidad y podría facilitar a los países e instituciones de la UE ayuda y asesoramiento en materia de reglamentación. Por último, para responder a la creciente intensidad de los problemas de seguridad informática, la propuesta de Reglamento amplía el mandato de la ENISA durante cinco años e incrementa gradualmente sus recursos financieros y humanos. La Comisión propone que la estructura de gobernanza de la ENISA también sea reforzada, otorgando un mayor papel de supervisión al Consejo de Dirección, en el que están representados los Estados miembros de la UE y la Comisión  Europea. Contexto La propuesta de Directiva relativa a los ataques contra los sistemas informáticos deroga la Decisión Marco del Consejo 2005/222/JAI. Los Estados miembros tienen la obligación de adaptarse a la nueva Directiva sobre delitos informáticos y de transponerla en su legislación nacional en un plazo de dos años, a más tardar, a partir de su adopción. La ENISA fue creada en 2004 y su actual mandato expira en marzo de 2012. La actual propuesta pretende ampliarlo por cinco años. La propuesta de Reglamento fue precedida por un dilatado proceso que incluyó una evaluación de la Agencia, recomendaciones de su Consejo de Dirección, dos consultas públicas y una evaluación de impacto que incluyó un análisis de coste/beneficio. Para obtener más información Página de Cecilia Malmström, Comisaria de Interior de la UE: http://ec.europa.eu/commission_2010-2014/malmstrom/index_en.htm Página de Neelie Kroes, Vicepresidenta de la Comisión responsable de la Agenda Digital: http://ec.europa.eu/commission_2010-2014/kroes/index_en.htm Sala de prensa de Sociedad de la Información http://ec.europa.eu/information_society/newsroom/cf/menu.cfm MEMO/10/459 MEMO/10/463

---

#

+