|
|
Beschluss der Kommission
|
Decisione della Commissione
|
|
vom 4. Mai 2010
|
del 4 maggio 2010
|
|
über den Sicherheitsplan für den Betrieb des Visa-Informationssystems
|
relativa al piano di sicurezza per il funzionamento del sistema di informazione visti
|
|
(2010/260/EU)
|
(2010/260/UE)
|
|
DIE EUROPÄISCHE KOMMISSION —
|
LA COMMISSIONE EUROPEA,
|
|
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,
|
visto il trattato sul funzionamento dell’Unione europea,
|
|
gestützt auf die Verordnung (EG) Nr. 767/2008 des Europäischen Parlaments und des Rates vom 9. Juli 2008 über das Visa-Informationssystem (VIS) und den Datenaustausch zwischen den Mitgliedstaaten über Visa für einen kurzfristigen Aufenthalt (VIS-Verordnung) [1], insbesondere Artikel 32,
|
visto il regolamento (CE) n. 767/2008 del Parlamento europeo e del Consiglio, del 9 luglio 2008, concernente il sistema di informazione visti (VIS) e lo scambio di dati tra Stati membri sui visti per soggiorni di breve durata (regolamento VIS) [1], in particolare l’articolo 32,
|
|
in Erwägung nachstehender Gründe:
|
considerando quanto segue:
|
|
(1) Artikel 32 Absatz 3 der Verordnung (EG) Nr. 767/2008 sieht vor, dass die Verwaltungsbehörde die erforderlichen Maßnahmen ergreift, um die in Artikel 32 Absatz 2 genannten Ziele hinsichtlich des Betriebs des VIS zu erreichen, einschließlich der Verabschiedung eines Sicherheitsplans.
|
(1) Ai sensi dell’articolo 32, paragrafo 3, del regolamento (CE) n. 767/2008, l’Autorità di gestione adotta le misure necessarie per conseguire gli obiettivi in materia di sicurezza enunciati all’articolo 32, paragrafo 2, per quanto riguarda il funzionamento del VIS, compresa l’adozione di un piano di sicurezza.
|
|
(2) Artikel 26 Absatz 4 der Verordnung (EG) Nr. 767/2008 sieht vor, dass während einer Übergangszeit die Kommission für das Betriebsmanagement des VIS zuständig ist, bis die Verwaltungsbehörde ihre Aufgaben wahrnimmt.
|
(2) Ai sensi dell’articolo 26, paragrafo 4, del regolamento (CE) n. 767/2008, durante un periodo transitorio, prima che l’Autorità di gestione entri in funzione, la Commissione è responsabile della gestione operativa del VIS.
|
|
(3) Die Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates [2] regelt die Verarbeitung personenbezogener Daten durch die Kommission, wenn diese ihren Aufgaben beim Betriebsmanagement des VIS nachkommt.
|
(3) Al trattamento dei dati personali effettuato dalla Commissione nell’espletamento dei suoi compiti di responsabile della gestione operativa del VIS si applica il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio [2].
|
|
(4) Während der Übergangszeit, bis die Verwaltungsbehörde ihre Aufgaben wahrnimmt, hat die Kommission im Falle einer Übertragung ihrer Zuständigkeit laut Artikel 26 Absatz 7 der Verordnung (EG) Nr. 767/2008 zu gewährleisten, dass sich dies nicht nachteilig auf die nach dem Gemeinschaftsrecht geltenden Kontrollmechanismen — sei es des Gerichtshofs, des Rechnungshofs oder des Europäischen Datenschutzbeauftragten — auswirkt.
|
(4) Ai sensi dell’articolo 26, paragrafo 7, del regolamento (CE) n. 767/2008, la Commissione, qualora deleghi la propria responsabilità durante il periodo transitorio prima che l’Autorità di gestione entri in funzione, assicura che tale delega non si ripercuota negativamente sull’efficacia dei meccanismi di controllo previsti dal diritto dell’Unione, siano essi a cura della Corte di giustizia, della Corte dei conti o del garante europeo della protezione dei dati.
|
|
(5) Die Verwaltungsbehörde sollte, sobald sie ihre Aufgaben wahrnimmt, einen eigenen Sicherheitsplan für das VIS aufstellen.
|
(5) Una volta entrata in funzione, l’Autorità di gestione deve stabilire il proprio piano di sicurezza in relazione al VIS.
|
|
(6) In der Entscheidung Nr. 2008/602/EG der Kommission vom 17. Juni 2008 über den physischen Aufbau und die Anforderungen für die nationalen Schnittstellen und die Infrastruktur für die Kommunikation zwischen dem zentralen VIS und den nationalen Schnittstellen in der Entwicklungsphase [3] werden die für das VIS-Netz erforderlichen Sicherheitsdienstleistungen beschrieben.
|
(6) La decisione 2008/602/CE della Commissione, del 17 giugno 2008, che stabilisce l’architettura fisica e i requisiti delle interfacce nazionali e dell’infrastruttura di comunicazione fra il VIS centrale e le interfacce nazionali nella fase di sviluppo [3] descrive i servizi di sicurezza richiesti per la rete VIS.
|
|
(7) Artikel 27 der Verordnung (EG) Nr. 767/2008 sieht vor, dass sich das für die technische Überwachung und das Management zuständige Haupt-CS-VIS in Straßburg (Frankreich) befindet, und dass sich ein Backup-CS-VIS, das alle Funktionalitäten des Haupt-CS-VIS bei einem Ausfall des Systems übernehmen kann, in Sankt Johann im Pongau (Österreich) befindet.
|
(7) Ai sensi dell’articolo 27 del regolamento (CE) n. 767/2008, il VIS centrale principale, che svolge funzioni di controllo e gestione tecnici, ha sede a Strasburgo (Francia), mentre il VIS centrale di riserva, in grado di assicurare tutte le funzioni del VIS centrale principale in caso di guasto del sistema, si trova a Sankt Johann im Pongau (Austria).
|
|
(8) Um im Falle von Sicherheitsvorfällen eine wirksame und rasche Reaktion und Meldung zu ermöglichen, sollte festgelegt werden, welche Aufgaben die Sicherheitsbeauftragten wahrzunehmen haben.
|
(8) Occorre definire i ruoli dei responsabili della sicurezza al fine di garantire una risposta efficace e rapida agli incidenti di sicurezza e il relativo rapporto.
|
|
(9) Es sollte ein Sicherheitsplan eingeführt werden, der sämtliche technischen und organisatorischen Einzelheiten nach Maßgabe dieses Beschlusses regelt.
|
(9) Deve essere stabilita una politica di sicurezza che descriva tutti gli aspetti tecnici e organizzativi in conformità delle disposizioni della presente decisione.
|
|
(10) Es sollten Maßnahmen festgelegt werden, die einen ausreichenden Schutz des VIS-Betriebs sicherstellen —
|
(10) È necessario definire misure che garantiscano un livello di sicurezza adeguato per il funzionamento del VIS,
|
|
HAT FOLGENDEN BESCHLUSS ERLASSEN:
|
HA ADOTTATO LA PRESENTE DECISIONE:
|
|
KAPITEL I
|
CAPO I
|
|
ALLGEMEINE BESTIMMUNGEN
|
DISPOSIZIONI GENERALI
|
|
Artikel 1
|
Articolo 1
|
|
Gegenstand
|
Oggetto
|
|
Dieser Beschluss regelt die Sicherheitsorganisation und -maßnahmen (Sicherheitsplan) im Sinne von Artikel 32 Absatz 3 der Verordnung (EG) Nr. 767/2008.
|
La presente decisione stabilisce l’organizzazione e le misure di sicurezza (piano di sicurezza) ai sensi dell’articolo 32, paragrafo 3, del regolamento (CE) n. 767/2008.
|
|
KAPITEL II
|
CAPO II
|
|
ORGANISATION, ZUSTÄNDIGKEITEN UND VORFALLMANAGEMENT
|
ORGANIZZAZIONE, RESPONSABILITÀ E GESTIONE DEGLI INCIDENTI
|
|
Artikel 2
|
Articolo 2
|
|
Aufgaben der Kommission
|
Compiti della Commissione
|
|
(1) Die Kommission führt sämtliche Maßnahmen für die Sicherheit des zentralen VIS und der in diesem Beschluss genannten Kommunikationsinfrastruktur durch und überwacht ihre Wirksamkeit.
|
1. La Commissione attua le misure di sicurezza per il VIS centrale e l’infrastruttura di comunicazione di cui alla presente decisione, e ne controlla l’efficacia.
|
|
(2) Die Kommission benennt einen ihrer Beamten als Beauftragten für die Systemsicherheit. Seine Ernennung erfolgt durch den Generaldirektor der Generaldirektion "Justiz, Freiheit und Sicherheit" der Kommission. Der Beauftragte für die Systemsicherheit nimmt insbesondere folgende Aufgaben wahr:
|
2. La Commissione designa tra i suoi funzionari un responsabile della sicurezza del sistema. Il responsabile della sicurezza del sistema è nominato dal direttore generale della direzione generale "Giustizia, libertà e sicurezza" della Commissione, ed esegue in particolare i seguenti compiti:
|
|
a) Ausarbeitung, Aktualisierung und Überprüfung des in Artikel 7 dieses Beschlusses beschriebenen Sicherheitsplans,
|
a) elabora, aggiorna e rivede la politica di sicurezza di cui all’articolo 7 della presente decisione;
|
|
b) Überwachung der Wirksamkeit der Sicherheitsverfahren für das zentrale VIS und die Kommunikationsinfrastruktur,
|
b) controlla l’efficacia dell’attuazione delle procedure di sicurezza per il VIS centrale e l’infrastruttura di comunicazione;
|
|
c) Mitwirkung bei der Berichterstattung über die Sicherheit des Systems gemäß Artikel 50 Absätze 3 und 4 der Verordnung (EG) Nr. 767/2008,
|
c) contribuisce all’elaborazione delle relazioni in materia di sicurezza previste dall’articolo 50, paragrafi 3 e 4, del regolamento (CE) n. 767/2008;
|
|
d) Koordinierung und Unterstützung der vom Europäischen Datenschutzbeauftragten vorgenommenen Kontrollen und Prüfungen gemäß Artikel 42 der Verordnung (EG) Nr. 767/2008,
|
d) svolge compiti di coordinamento e presta assistenza nell’ambito dei controlli effettuati dal garante europeo della protezione dei dati ai sensi dell’articolo 42 del regolamento (CE) n. 767/2008;
|
|
e) Überwachung im Hinblick auf eine ordnungsgemäße und vollständige Umsetzung dieses Beschlusses und des Sicherheitsplans durch etwaige, in gleich welcher Form an Verwaltung und Betrieb des VIS beteiligte Auftragnehmer einschließlich Unterauftragnehmer,
|
e) controlla che tutti gli appaltatori e subappaltatori comunque associati alla gestione e al funzionamento del VIS applichino correttamente e integralmente la presente decisione e la politica di sicurezza;
|
|
f) Pflege einer Liste der nationalen Anlaufstellen für die VIS-Sicherheit und Verteilung der Liste an die örtlichen Sicherheitsbeauftragten für das zentrale VIS und für die Kommunikationsinfrastruktur.
|
f) f) tiene un elenco dei punti di contatto nazionali unici per la sicurezza del VIS e lo trasmette ai responsabili locali della sicurezza del VIS centrale e dell’infrastruttura di comunicazione.
|
|
Artikel 3
|
Articolo 3
|
|
Örtlicher Sicherheitsbeauftragter für das zentrale VIS
|
Responsabile locale della sicurezza del VIS centrale
|
|
(1) Unbeschadet der Bestimmungen von Artikel 8 benennt die Kommission einen ihrer Beamten als örtlichen Sicherheitsbeauftragten für das zentrale VIS. Interessenkonflikte zwischen den Pflichten des örtlichen Sicherheitsbeauftragten und sonstigen dienstlichen Pflichten sind zu vermeiden. Die Ernennung des örtlichen Sicherheitsbeauftragten für das zentrale VIS erfolgt durch den Generaldirektor der Generaldirektion "Justiz, Freiheit und Sicherheit" der Kommission.
|
1. Fatto salvo l’articolo 8, la Commissione designa tra i suoi funzionari un responsabile locale della sicurezza del VIS centrale. Vanno evitati i conflitti d’interesse tra l’incarico di responsabile locale della sicurezza e altro incarico ufficiale. Nomina il responsabile locale della sicurezza del VIS centrale il direttore generale della direzione generale "Giustizia, libertà e sicurezza" della Commissione.
|
|
(2) Der örtliche Sicherheitsbeauftragte für das zentrale VIS stellt sicher, dass die in diesem Beschluss genannten Sicherheitsmaßnahmen für das zentrale VIS durchgeführt und die Sicherheitsverfahren eingehalten werden. In Bezug auf das Backup-CS-VIS stellt der örtliche Sicherheitsbeauftragte für das zentrale VIS sicher, dass mit Ausnahme der in Artikel 10 genannten Maßnahmen die in diesem Beschluss genannten Sicherheitsmaßnahmen durchgeführt und die einschlägigen Sicherheitsverfahren eingehalten werden.
|
2. Il responsabile locale della sicurezza del VIS centrale garantisce l’attuazione delle misure di sicurezza di cui alla presente decisione e l’osservanza delle procedure di sicurezza nel VIS centrale principale. Per quanto riguarda il VIS centrale di riserva, il responsabile locale della sicurezza del VIS centrale garantisce l’attuazione delle misure di sicurezza di cui alla presente decisione, escluse quelle previste dall’articolo 10, e l’osservanza delle procedure di sicurezza connesse.
|
|
(3) Der örtliche Sicherheitsbeauftragte für das zentrale VIS kann ihm übertragene Aufgaben Untergebenen zuweisen. Interessenkonflikte zwischen diesen Aufgaben und sonstigen dienstlichen Pflichten sind zu vermeiden. Der örtliche Sicherheitsbeauftragte bzw. sein diensthabender Untergebener muss jederzeit über eine einheitliche Telefonnummer und Adresse erreichbar sein.
|
3. Il responsabile locale della sicurezza del VIS centrale può delegare a personale subalterno i compiti assegnatigli. Vanno evitati i conflitti d’interesse tra l’incarico di eseguire tali compiti e altro incarico ufficiale. Un numero telefonico unico e un indirizzo unico permettono di raggiungere in qualsiasi momento il responsabile locale della sicurezza o il suo subalterno.
|
|
(4) Der örtliche Sicherheitsbeauftragte für das zentrale VIS nimmt innerhalb der in Absatz 1 genannten Grenzen die Aufgaben wahr, die sich aus den am Standort des Haupt- bzw. Backup-CS-VIS zu ergreifenden Sicherheitsmaßnahmen ergeben; dabei handelt es sich insbesondere um
|
4. Nei limiti di cui al paragrafo 1, il responsabile locale della sicurezza del VIS centrale esegue i compiti derivanti dalle misure di sicurezza da prendere locali in cui sono ubicati il VIS centrale principale e il VIS centrale di riserva, e in particolare:
|
|
a) Aufgaben im Zusammenhang mit der Wahrung der örtlichen Betriebssicherheit (u.a. Prüfung der Firewall, regelmäßige Sicherheitsprüfung, Audits und Berichterstattung),
|
a) svolge compiti di sicurezza operativa locale comprendenti il controllo dei firewall, test periodici di sicurezza, controlli e rapporti;
|
|
b) die Überwachung der Wirksamkeit des Notfallplans und die Ansetzung regelmäßiger Übungen,
|
b) controlla l’efficacia del piano di continuità operativa e garantisce lo svolgimento di esercitazioni periodiche;
|
|
c) die Dokumentierung etwaiger Vorfälle mit möglichen Auswirkungen auf die Sicherheit des zentralen VIS oder der Kommunikationsinfrastruktur und ihre Meldung an den Beauftragten für die Systemsicherheit,
|
c) raccoglie prove sugli incidenti che possono avere ripercussioni sulla sicurezza del VIS centrale o dell’infrastruttura di comunicazione, e ne riferisce al responsabile della sicurezza del sistema;
|
|
d) die Benachrichtigung des Beauftragten für die Systemsicherheit, falls der Sicherheitsplan geändert werden muss,
|
d) informa il responsabile della sicurezza del sistema quando occorre modificare la politica di sicurezza;
|
|
e) die Überwachung der Umsetzung dieses Beschlusses und des Sicherheitsplans durch etwaige, in gleich welcher Form an Verwaltung und Betrieb des zentralen VIS beteiligte Auftragnehmer einschließlich Unterauftragnehmer,
|
e) controlla che tutti gli appaltatori e subappaltatori comunque associati alla gestione e al funzionamento del VIS applichino la presente decisione e la politica di sicurezza;
|
|
f) die Sicherstellung, dass das Personal über seine Pflichten aufgeklärt wird, und die Überwachung der Umsetzung des Sicherheitsplans,
|
f) garantisce che i membri del personale siano a conoscenza dei loro obblighi e controlla l’applicazione della politica di sicurezza;
|
|
g) die Überwachung der IT-Sicherheitsentwicklungen und die Sicherstellung einer entsprechenden Personalschulung,
|
g) controlla gli sviluppi in materia di sicurezza informatica e provvede affinché i membri del personale ricevano una formazione adeguata;
|
|
h) die Zusammenstellung von Hintergrundinformationen und die Ausarbeitung von Vorgehensmöglichkeiten für die Entwicklung, die Aktualisierung und die Überprüfung des in Artikel 7 beschriebenen Sicherheitsplans.
|
h) prepara le informazioni di base e le opzioni necessarie per elaborare, aggiornare e rivedere la politica di sicurezza in conformità dell’articolo 7.
|
|
Artikel 4
|
Articolo 4
|
|
Örtlicher Sicherheitsbeauftragter für die Kommunikationsinfrastruktur
|
Responsabile locale della sicurezza dell’infrastruttura di comunicazione
|
|
(1) Unbeschadet der Bestimmungen von Artikel 8 benennt die Kommission einen ihrer Beamten als örtlichen Sicherheitsbeauftragten für die Kommunikationsinfrastruktur. Interessenkonflikte zwischen den Pflichten des örtlichen Sicherheitsbeauftragten und sonstigen dienstlichen Pflichten sind zu vermeiden. Die Ernennung des örtlichen Sicherheitsbeauftragten für die Kommunikationsinfrastruktur erfolgt durch den Generaldirektor der Generaldirektion "Justiz, Freiheit und Sicherheit" der Kommission.
|
1. Fatto salvo l’articolo 8, la Commissione designa tra i suoi funzionari un responsabile locale della sicurezza dell’infrastruttura di comunicazione. Vanno evitati i conflitti d’interesse tra l’incarico di responsabile locale della sicurezza e altro incarico ufficiale. Nomina il responsabile locale della sicurezza dell’infrastruttura di comunicazione il direttore generale della direzione generale "Giustizia, libertà e sicurezza" della Commissione.
|
|
(2) Der örtliche Sicherheitsbeauftragte für die Kommunikationsinfrastruktur überwacht den Betrieb der Kommunikationsinfrastruktur und stellt sicher, dass die Sicherheitsmaßnahmen durchgeführt und die Sicherheitsverfahren eingehalten werden.
|
2. Il responsabile locale della sicurezza dell’infrastruttura di comunicazione controlla il funzionamento dell’infrastruttura di comunicazione e garantisce l’attuazione delle misure di sicurezza e l’osservanza delle procedure di sicurezza.
|
|
(3) Der örtliche Sicherheitsbeauftragte für die Kommunikationsinfrastruktur kann ihm übertragene Aufgaben Untergebenen zuweisen. Interessenkonflikte zwischen diesen Aufgaben und sonstigen dienstlichen Pflichten sind zu vermeiden. Der örtliche Sicherheitsbeauftragte bzw. sein diensthabender Untergebener muss jederzeit über eine einheitliche Telefonnummer und Adresse erreichbar sein.
|
3. Il responsabile locale della sicurezza dell’infrastruttura di comunicazione può delegare a personale subalterno i compiti assegnatigli. Vanno evitati i conflitti d’interesse tra l’incarico di eseguire tali compiti e altro incarico ufficiale. Un numero telefonico unico e un indirizzo unico permettono di raggiungere in qualsiasi momento il responsabile locale della sicurezza o il suo subalterno.
|
|
(4) Der örtliche Sicherheitsbeauftragte für die Kommunikationsinfrastruktur nimmt die Aufgaben wahr, die sich aus den in Bezug auf die Kommunikationsinfrastruktur zu ergreifenden Sicherheitsmaßnahmen ergeben; dabei handelt es sich insbesondere um
|
4. Il responsabile locale della sicurezza dell’infrastruttura di comunicazione esegue i compiti derivanti dalle misure di sicurezza relative all’infrastruttura di comunicazione, e in particolare:
|
|
a) sämtliche im Zusammenhang mit der Betriebssicherheit der Kommunikationsinfrastruktur stehende Aufgaben (u.a. Prüfung der Firewall, regelmäßige Sicherheitsprüfung, Audits und Berichterstattung),
|
a) svolge tutti i compiti di sicurezza operativa connessi all’infrastruttura di comunicazione comprendenti il controllo dei firewall, test periodici di sicurezza, controlli e rapporti;
|
|
b) die Überwachung der Wirksamkeit des Notfallplans und die Ansetzung regelmäßiger Übungen,
|
b) controlla l’efficacia del piano di continuità operativa e garantisce lo svolgimento di esercitazioni periodiche;
|
|
c) die Dokumentierung etwaiger Vorfälle mit möglichen Auswirkungen auf die Sicherheit der Kommunikationsinfrastruktur, des zentralen VIS oder der nationalen Systeme und ihre Meldung an den Beauftragten für die Systemsicherheit,
|
c) raccoglie prove sugli incidenti che possono avere ripercussioni sulla sicurezza dell’infrastruttura di comunicazione o del VIS centrale o sui sistemi nazionali, e ne riferisce al responsabile della sicurezza del sistema;
|
|
d) die Benachrichtigung des Beauftragten für die Systemsicherheit, falls der Sicherheitsplan geändert werden muss,
|
d) informa il responsabile della sicurezza del sistema quando occorre modificare la politica di sicurezza;
|
|
e) die Überwachung der Umsetzung dieses Beschlusses und des Sicherheitsplans durch etwaige, in gleich welcher Form an Verwaltung und Betrieb der Kommunikationsinfrastruktur beteiligte Auftragnehmer einschließlich Unterauftragnehmer,
|
e) controlla che tutti gli appaltatori e subappaltatori comunque associati alla gestione dell’infrastruttura di comunicazione applichino la presente decisione e la politica di sicurezza;
|
|
f) die Sicherstellung, dass das Personal über seine Pflichten aufgeklärt wird, und die Überwachung der Umsetzung des Sicherheitsplans,
|
f) garantisce che i membri del personale siano a conoscenza dei loro obblighi e controlla l’applicazione della politica di sicurezza;
|
|
g) die Überwachung der IT-Sicherheitsentwicklungen und die Sicherstellung einer entsprechenden Personalschulung,
|
g) controlla gli sviluppi in materia di sicurezza informatica e provvede affinché i membri del personale ricevano una formazione adeguata;
|
|
h) die Zusammenstellung von Hintergrundinformationen und die Ausarbeitung von Vorgehensmöglichkeiten für die Entwicklung, die Aktualisierung und die Überprüfung des in Artikel 7 beschriebenen Sicherheitsplans.
|
h) prepara le informazioni di base e le opzioni necessarie per elaborare, aggiornare e rivedere la politica di sicurezza in conformità dell’articolo 7.
|
|
Artikel 5
|
Articolo 5
|
|
Sicherheitsvorfälle
|
Incidenti di sicurezza
|
|
(1) Jedwedes Ereignis, das sich auf die Sicherheit des VIS-Betriebs auswirkt bzw. auswirken kann, das VIS beschädigen oder dessen Ausfall nach sich ziehen kann, ist als Sicherheitsvorfall anzusehen; dies gilt insbesondere, wenn möglicherweise ein Datenzugriff erfolgt ist oder (möglicherweise) die Verfügbarkeit, die Integrität und die Vertraulichkeit von Daten nicht mehr gewährleistet gewesen ist.
|
1. È considerato incidente di sicurezza qualunque evento che ha o può avere ripercussioni sulla sicurezza del funzionamento del VIS e può causare danni o perdite al VIS, in particolare quando possono essere stati consultati dati senza autorizzazione o quando sono state o possono essere state compromesse la disponibilità, l’integrità e la riservatezza dei di dati.
|
|
(2) Im Sicherheitsplan sind Verfahren zur Wiederherstellung der Sicherheit nach einem Vorfall vorzusehen. Sicherheitsvorfällen ist durch eine rasche, wirksame und geeignete Reaktion nach Maßgabe des Sicherheitsplans zu begegnen.
|
2. La politica di sicurezza stabilisce procedure di ripristino in caso di incidente. Gli incidenti di sicurezza sono gestiti in modo da garantire una risposta rapida, efficace e corretta conformemente alla politica di sicurezza.
|
|
(3) Informationen über Sicherheitsvorfälle, die sich auf den Betrieb des VIS in einem Mitgliedstaat oder auf die Verfügbarkeit, die Integrität und die Vertraulichkeit der von einem Mitgliedstaat eingegebenen Daten auswirken bzw. auswirken können, sind an den betreffenden Mitgliedstaat zu übermitteln. Sicherheitsvorfälle sind dem Datenschutzbeauftragten der Kommission zu melden.
|
3. Le informazioni relative a un incidente di sicurezza che ha o può avere ripercussioni sul funzionamento del VIS in uno Stato membro o sulla disponibilità, sull’integrità e sulla riservatezza dei dati VIS inseriti da uno Stato membro sono trasmesse allo Stato membro interessato. Gli incidenti di sicurezza sono notificati al responsabile della protezione dei dati della Commissione.
|
|
Artikel 6
|
Articolo 6
|
|
Vorfallmanagement
|
Gestione degli incidenti
|
|
(1) Alle an der Entwicklung, an der Verwaltung und am Betrieb des VIS beteiligten Mitarbeiter und Auftragnehmer haben etwaige von ihnen beobachtete oder vermutete Sicherheitsmängel beim Betrieb des VIS zu beachten und je nach Fall dem Beauftragten für die Systemsicherheit, dem örtlichen Sicherheitsbeauftragten für das zentrale VIS bzw. dem örtlichen Sicherheitsbeauftragten für die Kommunikationsinfrastruktur zu melden.
|
1. Tutti i membri del personale e gli appaltatori associati allo sviluppo, alla gestione o al funzionamento del VIS sono tenuti a prendere nota di qualunque carenza di sicurezza, rilevata o presunta, nel funzionamento del VIS e a riferirne al responsabile della sicurezza del sistema o al responsabile locale della sicurezza del VIS centrale ovvero al responsabile locale della sicurezza dell’infrastruttura di comunicazione, a seconda dei casi.
|
|
(2) Bei Aufdeckung eines Vorfalls, der sich auf die Sicherheit des VIS-Betriebs auswirkt oder auswirken könnte, informiert der örtliche Sicherheitsbeauftragte für das zentrale VIS oder der örtliche Sicherheitsbeauftragte für die Kommunikationsinfrastruktur so rasch wie möglich den Beauftragten für die Systemsicherheit sowie gegebenenfalls die nationale Anlaufstelle für die VIS-Sicherheit (falls eine solche Stelle in dem betreffenden Mitgliedstaat existiert) in schriftlicher Form bzw. — in dringenden Fällen — über sonstige Kommunikationskanäle. Der betreffende Bericht hat eine Beschreibung des Sicherheitsvorfalls, der Gefahrenstufe, der möglichen Folgen und der bereits ergriffenen oder zu ergreifenden Gefahrenminderungsmaßnahmen zu umfassen.
|
2. Qualora sia individuato un incidente che ha o può avere ripercussioni sulla sicurezza del funzionamento del VIS, il responsabile locale della sicurezza del VIS centrale o il responsabile locale della sicurezza dell’infrastruttura di comunicazione ne informa il più rapidamente possibile il responsabile della sicurezza del sistema e, se del caso, il punto di contatto nazionale unico per la sicurezza del VIS eventualmente esistente nello Stato membro in questione, per iscritto o, in caso di estrema urgenza, con altro mezzo di comunicazione. Nel rapporto è descritto l’incidente di sicurezza e sono indicati il livello di rischio, le possibili conseguenze e le misure prese o da prendere per attenuare il rischio.
|
|
(3) Etwaige Beweise für den Sicherheitsvorfall sind je nach Fall unverzüglich vom örtlichen Sicherheitsbeauftragten für das zentrale VIS bzw. vom örtlichen Sicherheitsbeauftragten für die Kommunikationsinfrastruktur sicherzustellen. So weit es die geltenden Datenschutzbestimmungen zulassen, sind diese Beweise dem Beauftragten für die Systemsicherheit auf Antrag vorzulegen.
|
3. Il responsabile locale della sicurezza del VIS centrale o, a seconda dei casi, il responsabile locale della sicurezza dell’infrastruttura di comunicazione raccolgono immediatamente tutte le prove relative all’incidente di sicurezza. Nei limiti delle disposizioni applicabili in materia di protezione dei dati, tali prove sono messe a disposizione del responsabile della sicurezza del sistema, su sua istanza.
|
|
(4) Es sind geeignete Rückmeldungsverfahren vorzusehen, die sicherstellen, dass nach Behandlung und Abschluss eines Vorfalls ein Feedback über die betreffenden Ergebnisse erfolgt.
|
4. Sono messe in atto procedure di feedback per assicurare che, una volta affrontato e risolto l’incidente di sicurezza, ne siano notificati i risultati.
|
|
KAPITEL III
|
CAPO III
|
|
SICHERHEITSMASSNAHMEN
|
MISURE DI SICUREZZA
|
|
Artikel 7
|
Articolo 7
|
|
Sicherheitsplan
|
Politica di sicurezza
|
|
(1) Der Generaldirektor der Generaldirektion "Justiz, Freiheit und Sicherheit" erlässt einen verbindlichen Sicherheitsplan nach Maßgabe dieses Beschlusses und aktualisiert und überprüft diesen regelmäßig. Der Sicherheitsplan hat detaillierte Verfahren und Maßnahmen zum Schutz vor der Verfügbarkeit, der Integrität und der Vertraulichkeit des VIS abträglichen Bedrohungen vorzusehen und eine Notfallplanung einzuschließen, damit eine ausreichende Sicherheit im Sinne dieses Beschlusses sichergestellt ist. Der Sicherheitsplan hat im Einklang mit diesem Beschluss zu stehen.
|
1. Il direttore generale della direzione generale "Giustizia, libertà e sicurezza" elabora, aggiorna e rivede periodicamente una politica di sicurezza vincolante in conformità della presente decisione. La politica di sicurezza precisa le procedure e le misure di protezione dalle minacce dirette alla disponibilità, all’integrità e alla riservatezza del VIS, compreso un piano di emergenza, al fine di garantire il livello di sicurezza adeguato previsto dalla presente decisione. La politica di sicurezza è conforme alla presente decisione.
|
|
(2) Der Sicherheitsplan hat sich auf eine Risikobewertung zu gründen. Die im Sicherheitsplan vorgesehenen Maßnahmen müssen den ermittelten Risiken angemessen sein.
|
2. La politica di sicurezza si basa su una valutazione dei rischi. Le misure descritte dalla politica di sicurezza sono proporzionate ai rischi individuati.
|
|
(3) Die Risikobewertung und der Sicherheitsplan sind zu aktualisieren, wenn technologische Änderungen, neue Bedrohungen oder sonstige Umstände dies erforderlich machen. Unabhängig davon ist der Sicherheitsplan alljährlich zu überprüfen, um sicherzustellen, dass er nach wie vor in geeigneter Weise der jüngsten Risikobewertung, der neuesten technologischen Entwicklung und den aktuellen Bedrohungen und sonstigen maßgeblichen Umständen Rechnung trägt.
|
3. La valutazione dei rischi e la politica di sicurezza sono aggiornate se innovazioni tecnologiche, l’individuazione di nuove minacce o altre circostanze lo rendono necessario. In ogni caso la politica di sicurezza è rivista annualmente per garantirne la continua rispondenza all’ultima valutazione dei rischi o ad altre eventuali innovazioni tecnologiche, minacce o circostanze pertinenti.
|
|
(4) Der Sicherheitsplan wird vom Beauftragten für die Systemsicherheit in Absprache mit dem örtlichen Sicherheitsbeauftragten für das VIS und dem örtlichen Sicherheitsbeauftragten für die Kommunikationsinfrastruktur ausgearbeitet.
|
4. La politica di sicurezza è elaborata dal responsabile della sicurezza del sistema in collaborazione con il responsabile locale della sicurezza del VIS e il responsabile locale della sicurezza dell’infrastruttura di comunicazione.
|
|
Artikel 8
|
Articolo 8
|
|
Umsetzung der Sicherheitsmaßnahmen
|
Attuazione delle misure di sicurezza
|
|
(1) Die Umsetzung der in diesem Beschluss und im Sicherheitsplan vorgesehenen Aufgaben und Anforderungen einschließlich der Benennung eines örtlichen Sicherheitsbeauftragten kann per Auftrag oder Delegation privaten oder öffentlichen Einrichtungen anvertraut werden.
|
1. È possibile affidare a enti pubblici o privati l’esecuzione dei compiti e l’attuazione dei requisiti previsti dalla presente decisione e dalla politica di sicurezza, compreso il compito di designare il responsabile locale della sicurezza.
|
|
(2) In diesem Fall stellt die Kommission im Wege einer rechtsverbindlichen Vereinbarung sicher, dass die Anforderungen dieses Beschlusses und des Sicherheitsplans in vollem Umfang erfüllt werden. Falls die Aufgabe der Benennung eines örtlichen Sicherheitsbeauftragten im Rahmen eines Auftrags oder einer Delegation umgesetzt wird, stellt die Kommission im Wege einer rechtsverbindlichen Vereinbarung sicher, dass sie bezüglich der als örtlicher Sicherheitsbeauftragter zu benennenden Person zu Rate gezogen wird.
|
2. In tal caso la Commissione provvede con un accordo giuridicamente vincolante affinché sia garantito il pieno rispetto dei requisiti previsti dalla presente decisione e dalla politica di sicurezza. Qualora sia delegata o data in appalto la designazione del responsabile locale della sicurezza, la Commissione si assicura con un accordo giuridicamente vincolante di essere consultata sulla persona da designare per tale incarico.
|
|
Artikel 9
|
Articolo 9
|
|
Kontrolle des Zugangs zu Datenverarbeitungseinrichtungen
|
Controlli all’ingresso delle installazioni
|
|
(1) Zum Schutz von Bereichen, in denen sich Datenverarbeitungseinrichtungen befinden, sind Sicherheitszonen mit geeigneten Sperren und Zugangskontrollen einzurichten.
|
1. Al fine di proteggere le zone che ospitano strutture di elaborazione dati sono usati perimetri di sicurezza muniti di adeguate barriere e di controlli alle entrate.
|
|
(2) Innerhalb der Sicherheitszonen sind Sicherheitsbereiche zum Schutz der physischen Bestandteile (Sachanlagen) einschließlich Hardware, Datenträger, Konsolen und der Pläne und sonstigen Dokumente über das VIS sowie der Büroräume und sonstigen Arbeitsplätze des mit dem Betrieb des VIS befassten Personals festzulegen. Diese Bereiche sind durch geeignete Zugangskontrollen zu schützen, so dass nur befugtem Personal Zugang gewährt wird. Sämtliche in Sicherheitsbereichen durchgeführten Arbeiten unterliegen den ausführlichen Sicherheitsbestimmungen, die im Sicherheitsplan festgelegt wurden.
|
2. All’interno dei perimetri di sicurezza sono create zone sicure per proteggere i componenti fisici (attivi), compresi hardware, supporti di dati e console, piani e altri documenti sul VIS, gli uffici e le altre postazioni di lavoro del personale associato al funzionamento del VIS. Le zone sicure sono protette da adeguati controlli alle entrate per garantire l’accesso esclusivamente al personale autorizzato. Nelle zone sicure, il lavoro è soggetto alle dettagliate norme di sicurezza previste dalla politica di sicurezza.
|
|
(3) Für die physische Sicherheit von Büro- und sonstigen Räumen sowie Einrichtungen sind geeignete Sicherheitsvorkehrungen vorzusehen und zu treffen. Zugangspunkte wie Liefer- und Ladezonen und sonstige Punkte, an denen Unbefugte die betreffenden Gebäude oder Bereiche betreten könnten, sind zu kontrollieren und nach Möglichkeit von Datenverarbeitungseinrichtungen zu isolieren, um jedweden unerlaubten Zugriff zu vermeiden.
|
3. Sono predisposti e installati dispositivi per garantire la sicurezza fisica degli uffici, dei locali e delle installazioni. Per evitare l’accesso non autorizzato, sono controllati e se possibile isolati dalle installazioni informatiche i punti d’accesso come le zone di consegna e di carico e altri punti da cui potrebbero entrare nei locali persone non autorizzate.
|
|
(4) Für die Sicherheitszone ist ein dem bestehenden Risiko angemessener physischer Schutz vor Beschädigung durch eine Naturkatastrophe oder eine vom Menschen verursachte Katastrophe zu konzipieren und anzuwenden.
|
4. È messa a punto una protezione fisica del perimetro di sicurezza contro i danni da calamità naturali o provocate dall’uomo, da applicarsi in proporzione al rischio.
|
|
(5) Ausrüstung ist vor physischen Bedrohungen, Umweltbedrohungen und unerlaubtem Zugriff zu schützen.
|
5. Le apparecchiature sono protette dalle minacce fisiche e ambientali e dal rischio di accesso non autorizzato.
|
|
(6) Falls der Kommission die betreffenden Informationen vorliegen, fügt sie der in Artikel 2 Absatz 2 Buchstabe f genannten Liste eine Anlaufstelle für die Überwachung der Umsetzung dieses Artikels am Standort des Backup-CS-VIS hinzu.
|
6. Se dispone dell’informazione, la Commissione aggiunge all’elenco di cui all’articolo 2, paragrafo 2, lettera f), un punto di contatto unico per il controllo dell’attuazione delle disposizioni del presente articolo nei locali in cui è ubicato il VIS centrale di riserva.
|
|
Artikel 10
|
Articolo 10
|
|
Kontrolle von Datenträgern und anderen wichtigen Komponenten
|
Supporti di dati e controllo degli attivi
|
|
(1) Wechseldatenträger, die Daten enthalten, sind vor Zugriff durch Unbefugte, vor Missbrauch und vor Zerstörung zu schützen, und ihre Lesbarkeit ist während der gesamten Lebensdauer der Daten sicherzustellen.
|
1. I supporti rimovibili contenenti i dati sono protetti dall’accesso non autorizzato, dall’uso improprio o dalla corruzione, e la loro leggibilità è assicurata per tutto il ciclo di vita dei dati.
|
|
(2) Nicht mehr benötigte Datenträger sind nach Maßgabe der im Sicherheitsplan festzulegenden ausführlichen Verfahrensbestimmungen sicher zu entsorgen.
|
2. Quando non sono più utili i supporti vengono gettati in modo sicuro secondo le dettagliate procedure di sicurezza previste dalla politica di sicurezza.
|
|
(3) Durch Bestandsaufnahmen ist sicherzustellen, dass Informationen über den Speicherort, die geltende Vorhaltezeit und die Zugriffsermächtigungen verfügbar sind.
|
3. Sono creati inventari per garantire la disponibilità di informazioni sui luoghi di conservazione, sul periodo di conservazione applicabile e sulle autorizzazioni di accesso.
|
|
(4) Es sind alle wichtigen Komponenten des zentralen VIS und der Kommunikationsinfrastruktur zu ermitteln, damit sie ihrer Bedeutung entsprechend geschützt werden können. Ferner ist ein aktuelles Verzeichnis der einschlägigen IT-Ausrüstung zu führen.
|
4. Tutti gli attivi importanti del VIS centrale e dell’infrastruttura di comunicazione sono identificati in modo da poterli proteggere a seconda della loro rilevanza. È tenuto un inventario aggiornato delle apparecchiature TI pertinenti.
|
|
(5) Es muss eine auf dem neuesten Stand befindliche Dokumentation des zentralen VIS und der Kommunikationsinfrastruktur verfügbar sein. Die Dokumentation ist vor Zugriff durch Unbefugte zu schützen.
|
5. È messa a disposizione una documentazione aggiornata sul VIS centrale e sull’infrastruttura di comunicazione. Tale documentazione deve essere protetta dall’accesso non autorizzato.
|
|
Artikel 11
|
Articolo 11
|
|
Speicherkontrolle
|
Controllo della conservazione
|
|
(1) Es sind geeignete Maßnahmen zu treffen, die eine ordnungsgemäße Datenspeicherung sicherstellen und unerlaubten Zugriff auf die Daten verhindern.
|
1. Sono prese misure adeguate per garantire la corretta conservazione dei dati e la loro protezione dall’accesso non autorizzato.
|
|
(2) Sämtliche Ausrüstungsgegenstände, die Speichermedien enthalten, sind vor ihrer Entsorgung zu prüfen, um sicherzustellen, dass sensible Daten gelöscht oder vollständig überschrieben wurden, oder sicher zu vernichten.
|
2. Tutte le apparecchiature contenenti supporti di conservazione sono controllate prima di essere gettate per garantire che i dati sensibili siano stati rimossi o integralmente sovrascritti, oppure sono distrutte in modo sicuro.
|
|
Artikel 12
|
Articolo 12
|
|
Passwortkontrolle
|
Controllo delle password
|
|
(1) Passwörter sind sicher aufzubewahren und vertraulich zu behandeln. Bei Verdacht, dass ein Passwort offengelegt worden ist, ist das Passwort unverzüglich zu ändern oder das betreffende Benutzerkonto zu deaktivieren. Es sind persönliche, eindeutige Benutzerkennungen zu verwenden.
|
1. Tutte le password sono conservate in modo sicuro e trattate come riservate. Qualora si sospetti che una password sia stata divulgata, questa è cambiata immediatamente o l’account utente è disattivato. Sono usate identità di utente individuali e uniche.
|
|
(2) Im Sicherheitsplan sind geeignete An- und Abmeldeverfahren vorzusehen, um jedweden Zugriff durch Unbefugte zu verhindern.
|
2. La politica di sicurezza definisce le procedure di connessione e disconnessione in modo da prevenire l’accesso non autorizzato.
|
|
Artikel 13
|
Articolo 13
|
|
Zugangskontrolle
|
Controllo dell’accesso
|
|
(1) Im Sicherheitsplan ist ein förmliches An- und Abmeldeverfahren einzuführen, über das Mitarbeitern am zentralen VIS zu den Zwecken des Betriebsmanagements der Zugang zu VIS-Hard- und Software erteilt bzw. entzogen werden kann. Die Zuteilung und Verwendung entsprechender Anmeldeinformationen (Passwort oder dergleichen) ist über ein im Sicherheitsplan festzulegendes förmliches Verfahren zu kontrollieren.
|
1. La politica di sicurezza fissa la procedura formale di registrazione e deregistrazione del personale per la concessione e la revoca del diritto di accesso all’hardware e al software del VIS presso il sito del VIS centrale ai fini della gestione operativa. L’attribuzione e l’uso di adeguate credenziali di accesso (password o altri mezzi idonei) sono controllati con la procedura di gestione formale stabilita dalla politica di sicurezza.
|
|
(2) Der Zugang zur VIS-Hard- und Software am zentralen VIS
|
2. L’accesso all’hardware e al software del VIS presso il sito del VIS centrale:
|
|
i) ist auf befugte Personen zu beschränken,
|
i) è limitato alle persone autorizzate;
|
|
ii) ist auf die Fälle zu begrenzen, in denen ein legitimer Zweck nach Artikel 42 und Artikel 50 Absatz 2 der Verordnung (EG) Nr. 767/2008 verfolgt wird,
|
ii) è limitato ai casi in cui può essere individuato uno scopo legittimo ai sensi dell’articolo 42 e dell’articolo 50, paragrafo 2, del regolamento (CE) n. 767/2008;
|
|
iii) darf, was seine Dauer und seinen Umfang anbelangt, nicht über das für die Zwecke des Zugangs erforderliche Maß hinausgehen und
|
iii) non eccede la durata e la portata necessarie per il suo scopo, e
|
|
iv) darf nur nach Maßgabe eines im Sicherheitsplan festzulegenden Zugangskontrollverfahrens erfolgen.
|
iv) è effettuato secondo una politica di controllo dell’accesso definita dalla politica di sicurezza.
|
|
(3) Am zentralen VIS dürfen ausschließlich die vom örtlichen Sicherheitsbeauftragten zugelassenen Konsolen und Softwareanwendungen verwendet werden. Die Verwendung von Systemprogrammen, mit denen System- und Softwareeinstellungen überschrieben werden könnten, ist einzuschränken und zu kontrollieren. Es sind Verfahren zur Kontrolle der Softwareinstallation vorzusehen.
|
3. Presso il VIS centrale sono usati solo i software e le console autorizzati dal responsabile locale della sicurezza del VIS centrale. L’uso di funzioni di sistema che potrebbero scavalcare i controlli di sistema e delle applicazioni è limitato e controllato. Sono istituite procedure per controllare l’installazione dei software.
|
|
Artikel 14
|
Articolo 14
|
|
Kommunikationskontrolle
|
Controllo della comunicazione
|
|
Die Kommunikationsinfrastruktur ist zu überwachen, um die Verfügbarkeit, die Integrität und die Vertraulichkeit des Informationsaustausches zu gewährleisten. Zum Schutz der über die Kommunikationsinfrastruktur übertragenen Daten sind kryptografische Mittel einzusetzen.
|
L’infrastruttura di comunicazione è soggetta a controlli volti a garantire la disponibilità, l’integrità e la riservatezza degli scambi di informazioni. Per proteggere i dati trasmessi nell’infrastruttura di comunicazione sono usati strumenti crittografici.
|
|
Artikel 15
|
Articolo 15
|
|
Kontrolle der Dateneingabe
|
Controllo della registrazione dei dati
|
|
Die Benutzerkonten der zum Zugriff auf VIS-Software vom zentralen VIS berechtigten Personen ist vom örtlichen Sicherheitsbeauftragten für das zentrale VIS zu überwachen. Die Nutzung dieser Konten ist einschließlich Dauer und Benutzerkennung zu erfassen.
|
Il responsabile locale della sicurezza del VIS centrale controlla gli account delle persone autorizzate ad accedere al software VIS dal VIS centrale. L’uso di tali account, compresa la data e l’ora e l’identità utente, è registrato.
|
|
Artikel 16
|
Articolo 16
|
|
Transportkontrolle
|
Controllo del trasporto
|
|
(1) Im Sicherheitsplan sind geeignete Maßnahmen festzulegen, durch die vermieden wird, dass personenbezogene Daten bei der Übertragung zum oder vom VIS oder während des Transports von Datenträgern von Unbefugten gelesen, kopiert, verändert oder gelöscht werden können. Ferner ist im Sicherheitsplan festzulegen, welche Versand- bzw. Transportarten zulässig und welche Haftungsbestimmungen beim Transport und bei der Ankunft von Datenträgern am Zielort zu beachten sind. Die Datenträger dürfen keine anderen als die zu übermittelnden Daten enthalten.
|
1. La politica di sicurezza definisce misure adeguate per impedire che i dati personali siano letti, copiati, modificati o cancellati senza autorizzazione durante la loro trasmissione dal VIS o verso il medesimo ovvero durante il trasporto dei supporti di dati. La politica di sicurezza contiene disposizioni in ordine ai tipi di invio o trasporto ammissibili e alle procedure sulla responsabilità del trasporto di elementi e del loro arrivo a destinazione. I supporti di dati non contengono dati diversi da quelli da inviare.
|
|
(2) Von Dritten erbrachte Dienstleistungen, die den Zugriff auf Daten, die Verarbeitung und Übermittlung von Daten oder die Verwaltung von Datenverarbeitungseinrichtungen einschließen oder durch die zusätzliche Erzeugnisse oder Dienstleistungen für Datenverarbeitungseinrichtungen bereitgestellt werden, müssen ausreichende integrierte Sicherheitskontrollen beinhalten.
|
2. I servizi forniti da terzi che implicano l’accesso a dati, la loro elaborazione e comunicazione, la gestione di strutture di elaborazione dati o l’aggiunta di prodotti o servizi a tali strutture sono oggetto di controlli di sicurezza integrati e adeguati.
|
|
Artikel 17
|
Articolo 17
|
|
Sicherheit der Kommunikationsinfrastruktur
|
Sicurezza dell’infrastruttura di comunicazione
|
|
(1) Die Kommunikationsinfrastruktur ist in geeigneter Weise zu verwalten und zu kontrollieren, um sie vor Bedrohungen zu schützen und um ihre Sicherheit sowie die des zentralen VIS einschließlich der darüber ausgetauschten Daten sicherzustellen.
|
1. L’infrastruttura di comunicazione è gestita e controllata in modo che risulti protetta dalle minacce e che sia garantita la sua sicurezza e quella del VIS centrale, compresi i dati scambiati suo tramite.
|
|
(2) Die für sämtliche Netzdienste geltenden Anforderungen in Bezug auf Sicherheitsmerkmale, Dienstgüte und Verwaltung sind in der Netzdienstevereinbarung mit dem Dienstanbieter festzulegen.
|
2. Nell’accordo di servizi di rete concluso con il fornitore di servizi sono indicati i requisiti di sicurezza, i livelli di servizio e i requisiti di gestione di tutti i servizi di rete.
|
|
(3) Neben den VIS-Zugangspunkten sind auch etwaige zusätzliche von der Kommunikationsinfrastruktur genutzte Dienste zu schützen. Die betreffenden Maßnahmen sind im Sicherheitsplan festzulegen.
|
3. Oltre ai punti di accesso al VIS sono protetti tutti i servizi addizionali usati dall’infrastruttura di comunicazione. A tal fine la politica di sicurezza definisce misure adeguate.
|
|
Artikel 18
|
Articolo 18
|
|
Überwachung
|
Monitoraggio
|
|
(1) Die Protokolldateien, in denen die in Artikel 34 Absatz 1 der Verordnung (EG) Nr. 767/2008 genannten Informationen über jedweden Zugriff auf das zentrale VIS und sämtliche darin erfolgenden Datenverarbeitungvorgänge aufgezeichnet werden, sind sicher aufzubewahren und müssen während der in Artikel 34 Absatz 2 der Verordnung (EG) Nr. 767/2008 genannten Frist vom Standort des Haupt-CS-VIS und des Backup-CS-VIS aus zugänglich sein.
|
1. I registri (log) delle informazioni di cui all’articolo 34, paragrafo 1, del regolamento (CE) n. 767/2008 relative ad ogni accesso al VIS centrale e a tutte le operazioni di trattamento dei dati nell’ambito del VIS centrale sono conservati in modo sicuro e sono accessibili dai locali in cui si trovano il VIS centrale principale e il VIS centrale di riserva per il periodo previsto all’articolo 34, paragrafo 2, del regolamento (CE) n. 767/2008.
|
|
(2) Die Verfahrensvorschriften für die Überwachung der Datenverarbeitungseinrichtungen und die Erfassung etwaiger dabei auftretender Fehler sind im Sicherheitsplan festzulegen, und die Überwachungsergebnisse sind regelmäßig zu prüfen. Erforderlichenfalls sind geeignete Maßnahmen zu treffen.
|
2. La politica di sicurezza fissa le procedure di monitoraggio dell’uso o dei guasti delle strutture di elaborazione dati e i risultati del monitoraggio sono rivisti periodicamente. Se necessario sono prese misure adeguate.
|
|
(3) Die Protokollierungseinrichtungen und die Protokolldateien sind vor Manipulation und unbefugtem Zugriff zu schützen, damit die für die Vorhaltefrist geltenden Anforderungen in Bezug auf die Datensammlung und -vorhaltung eingehalten werden.
|
3. I dispositivi di registrazione e i registri sono protetti da manomissioni e dall’accesso non autorizzato in modo da rispondere ai requisiti di raccolta e conservazione per il periodo di conservazione dei dati.
|
|
Artikel 19
|
Articolo 19
|
|
Kryptografische Maßnahmen
|
Cifratura
|
|
Falls es zum Schutz von Informationen erforderlich ist, ist auf kryptografische Maßnahmen zurückzugreifen. Der Einsatz derartiger Maßnahmen einschließlich der dabei verfolgten Zwecke und geltenden Bedingungen bedarf der vorherigen Genehmigung durch den Beauftragten für die Systemsicherheit.
|
Ove opportuno sono usati strumenti crittografici per proteggere le informazioni. Il loro uso, le finalità e le condizioni devono ricevere l’approvazione preventiva del responsabile della sicurezza del sistema.
|
|
KAPITEL IV
|
CAPO IV
|
|
PERSONALSICHERHEIT
|
SICUREZZA DELLE RISORSE UMANE
|
|
Artikel 20
|
Articolo 20
|
|
Personalprofile
|
Profili personali
|
|
(1) Im Sicherheitsplan sind die Aufgaben und die Zuständigkeiten der zum Zugang zum VIS und zur Kommunikationsinfrastruktur berechtigten Personen festzulegen.
|
1. La politica di sicurezza descrive le funzioni e le responsabilità delle persone autorizzate ad accedere al VIS e all’infrastruttura di comunicazione.
|
|
(2) Die Sicherheitsaufgaben und -befugnisse der mit dem Betriebsmanagement befassten Kommissionsbediensteten, Auftragnehmer und sonstigen Mitarbeiter sind zu definieren, zu dokumentieren und den betreffenden Personen mitzuteilen. Bei Kommissionspersonal sind diese Aufgaben und Befugnisse in der Tätigkeitsbeschreibung und in den Zielen festzuhalten, bei Auftragnehmern in den betreffenden Verträgen bzw. Dienstgütevereinbarungen.
|
2. I ruoli e le responsabilità in materia di sicurezza del personale della Commissione, degli appaltatori e del personale associato alla gestione operativa sono definiti, documentati e comunicati agli interessati. La descrizione delle mansioni e degli obiettivi precisa i ruoli e le responsabilità del personale della Commissione; i ruoli e le responsabilità degli appaltatori sono fissati nei contratti o negli accordi sul livello di servizio.
|
|
(3) Mit Personen, die keinen Vorschriften für den öffentlichen Dienst in der Europäischen Union oder einem Mitgliedstaat unterliegen, sind Vertraulichkeits- bzw. Geheimhaltungsvereinbarungen zu schließen. Mitarbeiter, die mit VIS-Daten umgehen sollen, müssen sicherheitsüberprüft oder nach Maßgabe der ausführlichen, im Sicherheitsplan festzulegenden Verfahrensvorschriften zertifiziert sein.
|
3. Sono conclusi accordi in materia di segretezza e riservatezza con tutte le persone cui non si applicano le norme sul servizio pubblico dell’Unione europea o di uno Stato membro. I membri del personale che devono lavorare con i dati VIS dispongono della necessaria autorizzazione o certificazione di sicurezza secondo le dettagliate procedure di sicurezza previste dalla politica di sicurezza.
|
|
Artikel 21
|
Articolo 21
|
|
Information des Personals
|
Informazione del personale
|
|
(1) Sämtliche Mitarbeiter und gegebenenfalls Auftragnehmer sind ihren Aufgaben entsprechend zu schulen (Sicherheitsbewusstsein, rechtliche Anforderungen, politische Strategien und Verfahren).
|
1. Tutti i membri del personale e, se del caso, gli appaltatori ricevono una formazione adeguata in materia di sensibilizzazione alla sicurezza, requisiti giuridici, politiche e procedure, nella misura necessaria all’esercizio delle loro funzioni.
|
|
(2) Ferner ist im Sicherheitsplan festzulegen, welchen Pflichten Mitarbeiter und Auftragnehmer beim Ablauf ihres Beschäftigungs- bzw. Vertragsverhältnisses in Bezug auf einen etwaigen Arbeitsplatzwechsel oder die Beendigung des Arbeitsverhältnisses unterliegen und welche Verfahrensvorschriften für die Hardwarerückgabe und den Entzug von Zugangsrechten gelten.
|
2. Riguardo alla cessazione del rapporto di lavoro o del contratto, la politica di sicurezza definisce le responsabilità dei membri del personale e degli appaltatori in relazione al cambiamento di funzioni o alla cessazione del rapporto di lavoro, nonché le procedure per la restituzione degli attivi e la revoca dei diritti di accesso.
|
|
KAPITEL V
|
CAPO V
|
|
SCHLUSSBESTIMMUNG
|
DISPOSIZIONI FINALI
|
|
Artikel 22
|
Articolo 22
|
|
Anwendbarkeit
|
Applicabilità
|
|
(1) Dieser Beschluss wird an dem von der Kommission gemäß Artikel 48 Absatz 1 der Verordnung (EG) Nr. 767/2008 festgelegten Zeitpunkt wirksam.
|
1. La presente decisione è applicabile a decorrere dalla data determinata dalla Commissione ai sensi dell’articolo 48, paragrafo 1, del regolamento (CE) n. 767/2008.
|
|
(2) Dieser Beschluss gilt, bis die Verwaltungsbehörde ihre Aufgaben aufnimmt.
|
2. La presente decisione scade quando l’Autorità di gestione entra in funzione.
|
|
|
|
|
Brüssel, den 4. Mai 2010
|
Fatto a Bruxelles, il 4 maggio 2010.
|
|
Für die Kommission
|
Per la Commissione
|
|
Der Präsident
|
Il presidente
|
|
José Manuel Barroso
|
José Manuel Barroso
|
|
[1] ABl. L 218 vom 13.8.2008, S. 60.
|
[1] GU L 218 del 13.8.2008, pag. 60.
|
|
[2] ABl. L 8 vom 12.1.2001, S. 1.
|
[2] GU L 8 del 12.1.2001, pag. 1.
|
|
[3] ABl. L 194 vom 23.7.2008, S. 3.
|
[3] GU L 194 del 23.7.2008, pag. 3.
|
|
--------------------------------------------------
|
--------------------------------------------------
|