EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32010D0261

2010/261/: Decisione della Commissione, del 4 maggio 2010 , relativa al piano di sicurezza per il SIS II centrale e l’infrastruttura di comunicazione

OJ L 112, 5.5.2010, p. 31–37 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
Special edition in Croatian: Chapter 19 Volume 006 P. 264 - 270

Legal status of the document No longer in force, Date of end of validity: 06/03/2023; abrogato da 32018R1862

ELI: http://data.europa.eu/eli/dec/2010/261/oj

5.5.2010   

IT

Gazzetta ufficiale dell'Unione europea

L 112/31


DECISIONE DELLA COMMISSIONE

del 4 maggio 2010

relativa al piano di sicurezza per il SIS II centrale e l’infrastruttura di comunicazione

(2010/261/UE)

LA COMMISSIONE EUROPEA,

visto il trattato sul funzionamento dell’Unione europea,

visto il regolamento (CE) n. 1987/2006 del Parlamento europeo e del Consiglio, del 20 dicembre 2006, sull’istituzione, l’esercizio e l’uso del sistema d’informazione Schengen di seconda generazione (SIS II) (1), in particolare l’articolo 16,

vista la decisione 2007/533/GAI del Consiglio, del 12 giugno 2007, sull’istituzione, l’esercizio e l’uso del sistema d’informazione Schengen di seconda generazione (SIS II) (2), in particolare l’articolo 16,

considerando quanto segue:

(1)

Ai sensi dell’articolo 16 del regolamento (CE) n. 1987/2006 e dell’articolo 16 della decisione 2007/533/GAI, l’organo di gestione e la Commissione adottano, rispettivamente per il SIS II centrale e per l’infrastruttura di comunicazione, le misure necessarie, compreso un piano di sicurezza.

(2)

Ai sensi dell’articolo 15, paragrafo 4, del regolamento (CE) n. 1987/2006 e dell’articolo 15, paragrafo 4, della decisione 2007/533/GAI, durante un periodo transitorio, prima che l’organo di gestione assuma le sue responsabilità, la Commissione è responsabile della gestione operativa del SIS II centrale.

(3)

Poiché l’organo di gestione non è stato ancora istituito, il piano d’azione che la Commissione deve adottare deve applicarsi anche al SIS II centrale per un periodo transitorio.

(4)

Al trattamento dei dati personali effettuato dalla Commissione nell’esercizio dei suoi compiti di gestione operativa del SIS II si applica il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio (3).

(5)

Ai sensi dell’articolo 15, paragrafo 7, del regolamento (CE) n. 1987/2006 e dell’articolo 15, paragrafo 7, della decisione 2007/533/GAI, la Commissione, qualora deleghi la propria responsabilità durante il periodo transitorio prima che l’organo di gestione assuma le sue responsabilità, assicura che tale delega non si ripercuota negativamente sull’efficacia dei meccanismi di controllo previsti dal diritto dell’Unione, siano essi a cura della Corte di giustizia, della Corte dei conti o del garante europeo della protezione dei dati.

(6)

Una volta assunte le sue responsabilità, l’organo di gestione deve stabilire il proprio piano di sicurezza in relazione al SIS II centrale. Il piano di sicurezza deve pertanto scadere, nella misura in cui si riferisce al SIS II centrale, quando l’organo di gestione assume le sue responsabilità.

(7)

Ai sensi dell’articolo 4, paragrafo 3, del regolamento (CE) n. 1987/2006 e dell’articolo 4, paragrafo 3, della decisione 2007/533/GAI, il CS-SIS, che svolge funzioni di controllo e gestione tecnici, ha sede a Strasburgo (Francia), mentre il CS-SIS di riserva, in grado di assicurare tutte le funzioni del CS-SIS principale in caso di guasto di tale sistema, ha sede a Sankt Johann im Pongau (Austria).

(8)

È opportuno che il piano di sicurezza preveda un responsabile della sicurezza del sistema cui affidare i compiti di sicurezza del SIS II centrale e dell’infrastruttura di comunicazione, e due responsabili locali della sicurezza cui affidare i compiti di sicurezza del SIS II centrale e dell’infrastruttura di comunicazione rispettivamente. Occorre definire i ruoli dei responsabili della sicurezza al fine di garantire una risposta efficace e rapida agli incidenti di sicurezza e il relativo rapporto.

(9)

Deve essere stabilita una politica di sicurezza che descriva tutti gli aspetti tecnici e organizzativi in conformità delle disposizioni della presente decisione.

(10)

È necessario definire misure che garantiscano un livello di sicurezza adeguato per il funzionamento del SIS II centrale e dell’infrastruttura di comunicazione,

HA ADOTTATO LA PRESENTE DECISIONE:

CAPO I

DISPOSIZIONI GENERALI

Articolo 1

Oggetto

1.   La presente decisione stabilisce l’organizzazione e le misure di sicurezza (piano di sicurezza) per la protezione del SIS II centrale e dei dati trattati nel sistema dalle minacce dirette alla disponibilità, all’integrità e alla riservatezza ai sensi dell’articolo 16, paragrafo 1, del regolamento (CE) n. 1987/2006 e dell’articolo 16, paragrafo 1, della decisione 2007/533/GAI sull’istituzione, l’esercizio e l’uso del sistema d’informazione Schengen di seconda generazione (SIS II) durante un periodo transitorio, prima che l’organo di gestione assuma le sue responsabilità.

2.   La presente decisione stabilisce l’organizzazione e le misure di sicurezza (piano di sicurezza) per la protezione dell’infrastruttura di comunicazione dalle minacce dirette alla disponibilità, all’integrità e alla riservatezza ai sensi dell’articolo 16 del regolamento (CE) n. 1987/2006 e dell’articolo 16 della decisione 2007/533/GAI sull’istituzione, l’esercizio e l’uso del sistema d’informazione Schengen di seconda generazione (SIS II).

CAPO II

ORGANIZZAZIONE, RESPONSABILITÀ E GESTIONE DEGLI INCIDENTI

Articolo 2

Compiti della Commissione

1.   La Commissione attua le misure di sicurezza per il SIS II centrale di cui alla presente decisione, e ne controlla l’efficacia.

2.   La Commissione attua le misure di sicurezza per l’infrastruttura di comunicazione di cui alla presente decisione, e ne controlla l’efficacia.

3.   La Commissione designa tra i suoi funzionari un responsabile della sicurezza del sistema. Il responsabile della sicurezza del sistema è nominato dal direttore generale della direzione generale «Giustizia, libertà e sicurezza» della Commissione, ed esegue in particolare i seguenti compiti:

a)

elabora la politica di sicurezza di cui all’articolo 7 della presente decisione;

b)

controlla l’efficacia dell’attuazione delle procedure di sicurezza per il SIS II centrale;

c)

controlla l’efficacia dell’attuazione delle procedure di sicurezza per l’infrastruttura di comunicazione;

d)

contribuisce all’elaborazione delle relazioni in materia di sicurezza previste dall’articolo 50 del regolamento (CE) n. 1987/2006 e dell’articolo 66 della decisione 2007/533/GAI;

e)

svolge compiti di coordinamento e presta assistenza nell’ambito dei controlli effettuati dal garante europeo della protezione dei dati ai sensi dell’articolo 45 del regolamento (CE) n. 1987/2006 e dell’articolo 61 della decisione 2007/533/GAI, e della notifica degli incidenti al responsabile della protezione dei dati della Commissione, ai sensi dell’articolo 5, paragrafo 3;

f)

controlla che tutti gli appaltatori e subappaltatori comunque associati alla gestione del SIS II centrale applichino correttamente e integralmente la presente decisione e la politica di sicurezza;

g)

controlla che tutti gli appaltatori e subappaltatori comunque associati alla gestione dell’infrastruttura di comunicazione applichino correttamente e integralmente la presente decisione e la politica di sicurezza;

h)

tiene un elenco dei punti di contatto nazionali unici per la sicurezza del SIS II e lo trasmette al responsabile locale della sicurezza dell’infrastruttura di comunicazione;

i)

trasmette l’elenco di cui alla lettera h) al responsabile locale della sicurezza del SIS II centrale.

Articolo 3

Responsabile locale della sicurezza del SIS II centrale

1.   Fatto salvo l’articolo 8, la Commissione designa tra i suoi funzionari un responsabile locale della sicurezza del SIS II centrale. Vanno evitati i conflitti d’interesse tra l’incarico di responsabile locale della sicurezza e altro incarico ufficiale. Nomina il responsabile locale della sicurezza del SIS II centrale il direttore generale della direzione generale «Giustizia, libertà e sicurezza» della Commissione.

2.   Il responsabile locale della sicurezza del SIS II centrale garantisce l’attuazione delle misure di sicurezza di cui alla presente decisione e l’osservanza delle procedure di sicurezza nel CS-SIS principale. Per quanto riguarda il CS-SIS di riserva, il responsabile locale della sicurezza del SIS II centrale garantisce l’attuazione delle misure di sicurezza di cui alla presente decisione, escluse quelle previste dall’articolo 9, e l’osservanza delle procedure di sicurezza connesse.

3.   Il responsabile locale della sicurezza del SIS II centrale può delegare a personale subalterno i compiti assegnatigli. Vanno evitati i conflitti d’interesse tra l’incarico di eseguire tali compiti e altro incarico ufficiale. Un numero telefonico unico e un indirizzo unico permettono di raggiungere in qualsiasi momento il responsabile locale della sicurezza o il suo subalterno.

4.   Nei limiti di cui al paragrafo 1, il responsabile locale della sicurezza del SIS II centrale esegue i compiti derivanti dalle misure di sicurezza da prendere nei locali in cui sono ubicati il CS-SIS principale e il CS-SIS di riserva, e in particolare:

a)

svolge compiti di sicurezza operativa locale comprendenti il controllo dei firewall, test periodici di sicurezza, controlli e rapporti;

b)

controlla l’efficacia del piano di continuità operativa e garantisce lo svolgimento di esercitazioni periodiche;

c)

raccoglie prove sugli incidenti del SIS II centrale che possono avere ripercussioni sulla sicurezza del SIS II centrale o dell’infrastruttura di comunicazione, e ne riferisce al responsabile della sicurezza del sistema;

d)

informa il responsabile della sicurezza del sistema quando occorre modificare la politica di sicurezza;

e)

controlla che tutti gli appaltatori e subappaltatori comunque associati gestione operativa del SIS II centrale applichino la presente decisione e la politica di sicurezza;

f)

garantisce che i membri del personale siano a conoscenza dei loro obblighi e controlla l’applicazione della politica di sicurezza;

g)

controlla gli sviluppi in materia di sicurezza informatica e provvede affinché i membri del personale ricevano una formazione adeguata;

h)

prepara le informazioni di base e le opzioni necessarie per elaborare, aggiornare e rivedere la politica di sicurezza in conformità dell’articolo 7.

Articolo 4

Responsabile locale della sicurezza dell’infrastruttura di comunicazione

1.   Fatto salvo l’articolo 8, la Commissione designa tra i suoi funzionari un responsabile locale della sicurezza dell’infrastruttura di comunicazione. Vanno evitati i conflitti d’interesse tra l’incarico di responsabile locale della sicurezza e altro incarico ufficiale. Nomina il responsabile locale della sicurezza dell’infrastruttura di comunicazione il direttore generale della direzione generale «Giustizia, libertà e sicurezza» della Commissione.

2.   Il responsabile locale della sicurezza dell’infrastruttura di comunicazione controlla il funzionamento dell’infrastruttura di comunicazione e garantisce l’attuazione delle misure di sicurezza e l’osservanza delle procedure di sicurezza.

3.   Il responsabile locale della sicurezza dell’infrastruttura di comunicazione può delegare a personale subalterno i compiti assegnatigli. Vanno evitati i conflitti d’interesse tra l’incarico di eseguire tali compiti e altro incarico ufficiale. Un numero telefonico unico e un indirizzo unico permettono di raggiungere in qualsiasi momento il responsabile locale della sicurezza o il suo subalterno.

4.   Il responsabile locale della sicurezza dell’infrastruttura di comunicazione esegue i compiti derivanti dalle misure di sicurezza da prendere nell’infrastruttura di comunicazione, e in particolare:

a)

svolge tutti i compiti di sicurezza operativa connessi all’infrastruttura di comunicazione comprendenti il controllo dei firewall, test periodici di sicurezza, controlli e rapporti;

b)

controlla l’efficacia del piano di continuità operativa e garantisce lo svolgimento di esercitazioni periodiche;

c)

raccoglie prove sugli incidenti dell’infrastruttura di comunicazione che possono avere ripercussioni sulla sicurezza del SIS II centrale o dell’infrastruttura di comunicazione, e ne riferisce al responsabile della sicurezza del sistema;

d)

informa il responsabile della sicurezza del sistema quando occorre modificare la politica di sicurezza;

e)

controlla che tutti gli appaltatori e subappaltatori comunque associati alla gestione dell’infrastruttura di comunicazione applichino la presente decisione e la politica di sicurezza;

f)

garantisce che i membri del personale siano a conoscenza dei loro obblighi e controlla l’applicazione della politica di sicurezza;

g)

controlla gli sviluppi in materia di sicurezza informatica e provvede affinché i membri del personale ricevano una formazione adeguata;

h)

prepara le informazioni di base e le opzioni necessarie per elaborare, aggiornare e rivedere la politica di sicurezza in conformità dell’articolo 7.

Articolo 5

Incidenti di sicurezza

1.   È considerato incidente di sicurezza qualunque evento che ha o può avere ripercussioni sulla sicurezza del SIS II e può causare danni o perdite al SIS II, in particolare quando possono essere stati consultati dati senza autorizzazione o quando sono state o possono essere state compromesse la disponibilità, l’integrità e la riservatezza dei di dati.

2.   Gli incidenti di sicurezza sono gestiti in modo da garantire una risposta rapida, efficace e corretta conformemente alla politica di sicurezza. Sono stabilite procedure di ripristino in caso di incidente.

3.   Le informazioni relative a un incidente di sicurezza che ha o può avere ripercussioni sul funzionamento del SIS II in uno Stato membro o sulla disponibilità, sull’integrità e sulla riservatezza dei dati inseriti o inviati da uno Stato membro sono trasmesse allo Stato membro interessato. Gli incidenti di sicurezza sono notificati al responsabile della protezione dei dati della Commissione.

Articolo 6

Gestione degli incidenti

1.   Tutti i membri del personale e gli appaltatori associati allo sviluppo, alla gestione o al funzionamento del SIS II sono tenuti a prendere nota di qualunque carenza di sicurezza, rilevata o presunta, dell’infrastruttura di comunicazione e a riferirne al responsabile della sicurezza del sistema o al responsabile locale della sicurezza dell’infrastruttura di comunicazione.

2.   Qualora sia individuato un incidente che ha o può avere ripercussioni sulla sicurezza del SIS II, il responsabile locale della sicurezza dell’infrastruttura di comunicazione ne informa il più rapidamente possibile il responsabile della sicurezza del sistema e, se del caso, il punto di contatto nazionale unico per la sicurezza del SIS II eventualmente esistente nello Stato membro in questione, per iscritto o, in caso di estrema urgenza, con altro mezzo di comunicazione. Nel rapporto è descritto l’incidente di sicurezza e sono indicati il livello di rischio, le possibili conseguenze e le misure prese o da prendere per attenuare il rischio.

3.   Il responsabile locale della sicurezza dell’infrastruttura di comunicazione raccoglie immediatamente tutte le prove relative all’incidente di sicurezza. Nei limiti delle disposizioni applicabili in materia di protezione dei dati, tali prove sono messe a disposizione del responsabile della sicurezza del sistema, su sua istanza.

4.   La politica di sicurezza definisce procedure di feedback per assicurare che, una volta affrontato e risolto l’incidente di sicurezza, ne siano notificati la tipologia, il trattamento e l’esito al responsabile della sicurezza del sistema e al responsabile locale della sicurezza dell’infrastruttura di comunicazione.

5.   I paragrafi da 1 a 4 si applicano per analogia agli incidenti del SIS II centrale. In questo contesto i riferimenti al responsabile locale della sicurezza dell’infrastruttura di comunicazione ai paragrafi da 1 a 4 si intendono fatti al responsabile locale della sicurezza del SIS II centrale.

CAPO III

MISURE DI SICUREZZA

Articolo 7

Politica di sicurezza

1.   Il direttore generale della direzione generale «Giustizia, libertà e sicurezza» elabora, aggiorna e rivede periodicamente una politica di sicurezza vincolante in conformità della presente decisione. La politica di sicurezza precisa le procedure e le misure di protezione dalle minacce dirette alla disponibilità, all’integrità e alla riservatezza dell’infrastruttura di comunicazione, compreso un piano di emergenza, al fine di garantire il livello di sicurezza adeguato previsto dalla presente decisione. La politica di sicurezza è conforme alla presente decisione.

2.   La politica di sicurezza si basa su una valutazione dei rischi. Le misure descritte dalla politica di sicurezza sono proporzionate ai rischi individuati.

3.   La valutazione dei rischi e la politica di sicurezza sono aggiornate se innovazioni tecnologiche, l’individuazione di nuove minacce o altre circostanze lo rendono necessario. In ogni caso la politica di sicurezza è rivista annualmente per garantirne la continua rispondenza all’ultima valutazione dei rischi o ad altre eventuali innovazioni tecnologiche, minacce o circostanze pertinenti.

4.   La politica di sicurezza è elaborata dal responsabile della sicurezza del sistema in collaborazione con il responsabile locale della sicurezza del SIS II centrale e il responsabile locale della sicurezza dell’infrastruttura di comunicazione.

5.   I paragrafi da 1 a 4 si applicano per analogia alla politica di sicurezza per il SIS II centrale. In questo contesto i riferimenti al responsabile locale della sicurezza dell’infrastruttura di comunicazione ai paragrafi da 1 a 4 si intendono fatti al responsabile locale della sicurezza del SIS II centrale.

Articolo 8

Attuazione delle misure di sicurezza

1.   È possibile affidare a enti pubblici o privati l’esecuzione dei compiti e l’attuazione dei requisiti previsti dalla presente decisione e dalla politica di sicurezza, compreso il compito di designare il responsabile locale della sicurezza.

2.   In tal caso la Commissione provvede con un accordo giuridicamente vincolante affinché sia garantito il pieno rispetto dei requisiti previsti dalla presente decisione e dalla politica di sicurezza. Qualora sia delegata o data in appalto la designazione del responsabile locale della sicurezza, la Commissione si assicura con un accordo giuridicamente vincolante di essere consultata sulla persona da designare per tale incarico.

Articolo 9

Controlli all’ingresso delle installazioni

1.   Al fine di proteggere le zone che ospitano strutture di elaborazione dati sono usati perimetri di sicurezza muniti di adeguate barriere e di controlli alle entrate.

2.   All’interno dei perimetri di sicurezza sono create zone sicure per proteggere i componenti fisici (attivi), compresi hardware, supporti di dati e console, piani e altri documenti sul SIS II, gli uffici e le altre postazioni di lavoro del personale associato al funzionamento del SIS II. Le zone sicure sono protette da adeguati controlli alle entrate per garantire l’accesso esclusivamente al personale autorizzato. Nelle zone sicure, il lavoro è soggetto alle dettagliate norme di sicurezza previste dalla politica di sicurezza.

3.   Sono predisposti e installati dispositivi per garantire la sicurezza fisica degli uffici, dei locali e delle installazioni. Per evitare l’accesso non autorizzato, sono controllati e se possibile isolati dalle installazioni informatiche i punti d’accesso come le zone di consegna e di carico e altri punti da cui potrebbero entrare nei locali persone non autorizzate.

4.   È messa a punto una protezione fisica del perimetro di sicurezza contro i danni da calamità naturali o provocate dall’uomo, da applicarsi in proporzione al rischio.

5.   Le apparecchiature sono protette dalle minacce fisiche e ambientali e dal rischio di accesso non autorizzato.

6.   Se dispone dell’informazione, la Commissione aggiunge all’elenco di cui all’articolo 2, paragrafo 3, lettera h), un punto di contatto unico per il controllo dell’attuazione delle disposizioni del presente articolo nei locali in cui è ubicato il CS-SIS di riserva.

Articolo 10

Supporti di dati e controllo degli attivi

1.   I supporti rimovibili contenenti i dati sono protetti dall’accesso non autorizzato, dall’uso improprio o dalla corruzione, e la loro leggibilità è assicurata per tutto il ciclo di vita dei dati.

2.   Quando non sono più utili, i supporti vengono gettati in modo sicuro secondo le dettagliate procedure di sicurezza previste dalla politica di sicurezza.

3.   Sono creati inventari per garantire la disponibilità di informazioni sui luoghi di conservazione, sul periodo di conservazione applicabile e sulle autorizzazioni di accesso.

4.   Tutti gli attivi importanti dell’infrastruttura di comunicazione sono identificati in modo da poterli proteggere a seconda della loro rilevanza. È tenuto un inventario aggiornato delle apparecchiature TI pertinenti.

5.   È messa a disposizione una documentazione aggiornata sull’infrastruttura di comunicazione. Tale documentazione deve essere protetta dall’accesso non autorizzato.

6.   I paragrafi da 1 a 5 si applicano per analogia al SIS II centrale. In questo contesto i riferimenti all’infrastruttura di comunicazione si intendono fatti al SIS II centrale.

Articolo 11

Controllo della conservazione

1.   Sono prese misure adeguate per garantire la corretta conservazione dei dati e la loro protezione dall’accesso non autorizzato.

2.   Tutte le apparecchiature contenenti supporti di conservazione sono controllate prima di essere gettate per garantire che i dati sensibili siano stati rimossi o integralmente sovrascritti, oppure sono distrutte in modo sicuro.

Articolo 12

Controllo delle password

1.   Tutte le password sono conservate in modo sicuro e trattate come riservate. Qualora si sospetti che una password sia stata divulgata, questa è cambiata immediatamente o l’account utente è disattivato. Sono usate identità di utente individuali e uniche.

2.   La politica di sicurezza definisce le procedure di connessione e disconnessione in modo da prevenire l’accesso non autorizzato.

Articolo 13

Controllo dell’accesso

1.   La politica di sicurezza fissa la procedura formale di registrazione e deregistrazione del personale per la concessione e la revoca del diritto di accesso all’hardware e al software del SIS II ai fini della gestione operativa. L’attribuzione e l’uso di adeguate credenziali di accesso (password o altri mezzi idonei) sono controllati con la procedura di gestione formale stabilita dalla politica di sicurezza.

2.   L’accesso all’hardware e al software del SIS II presso il CS-SIS:

i)

è limitato alle persone autorizzate;

ii)

è limitato ai casi in cui può essere individuato uno scopo legittimo ai sensi dell’articolo 45 del regolamento (CE) n. 1987/2006 e dell’articolo 61 della decisione 2007/533/GAI, ovvero ai sensi dell’articolo 50, paragrafo 2, del regolamento (CE) n. 1987/2006 e dell’articolo 66, paragrafo 2, della decisione 2007/533/GAI;

iii)

non eccede la durata e la portata necessarie per il suo scopo; e

iv)

è effettuato secondo una politica di controllo dell’accesso definita dalla politica di sicurezza.

3.   Presso il CS-SIS sono usati solo i software e le console autorizzati dal responsabile locale della sicurezza del SIS II centrale. L’uso di funzioni di sistema che potrebbero scavalcare i controlli di sistema e delle applicazioni è limitato e controllato. Sono istituite procedure per controllare l’installazione dei software.

Articolo 14

Controllo della comunicazione

L’infrastruttura di comunicazione è soggetta a controlli volti a garantire la disponibilità, l’integrità e la riservatezza degli scambi di informazioni. Per proteggere i dati trasmessi nell’infrastruttura di comunicazione sono usati strumenti crittografici.

Articolo 15

Controllo dell’inserimento

Il responsabile locale della sicurezza del SIS II centrale controlla gli account delle persone autorizzate ad accedere al software del SIS II dal CS-SIS. L’uso di tali account, compresa la data e l’ora e l’identità utente, è registrato.

Articolo 16

Controllo del trasporto

1.   La politica di sicurezza definisce misure adeguate per impedire che i dati personali siano letti, copiati, modificati o cancellati senza autorizzazione durante la loro trasmissione dal SIS II o verso il medesimo ovvero durante il trasporto dei supporti di dati. La politica di sicurezza contiene disposizioni in ordine ai tipi di invio o trasporto ammissibili e alle procedure sulla responsabilità del trasporto di elementi e del loro arrivo a destinazione. I supporti di dati non contengono dati diversi da quelli da inviare.

2.   I servizi forniti da terzi che implicano l’accesso a dati, la loro elaborazione e comunicazione, la gestione di strutture di elaborazione dati o l’aggiunta di prodotti o servizi a tali strutture sono oggetto di controlli di sicurezza integrati e adeguati.

Articolo 17

Sicurezza dell’infrastruttura di comunicazione

1.   L’infrastruttura di comunicazione è gestita e controllata in modo che risulti protetta dalle minacce e che sia garantita la sua sicurezza e quella del SIS II centrale, compresi i dati scambiati suo tramite.

2.   Nell’accordo di servizi di rete concluso con il fornitore di servizi sono indicati i requisiti di sicurezza, i livelli di servizio e i requisiti di gestione di tutti i servizi di rete.

3.   Oltre ai punti di accesso al SIS II sono protetti tutti i servizi addizionali usati dall’infrastruttura di comunicazione. A tal fine la politica di sicurezza definisce misure adeguate.

Articolo 18

Monitoraggio

1.   I registri (log) delle informazioni di cui all’articolo 18, paragrafo 1, del regolamento (CE) n. 1987/2006 e all’articolo 18, paragrafo 1, della decisione 2007/533/GAI relative ad ogni accesso e ogni scambio di dati personali nell’ambito del CS-SIS sono conservati in modo sicuro e sono accessibili dai locali in cui si trovano il CS-SIS principale e il CS-SIS di riserva per il periodo massimo previsto all’articolo 18, paragrafo 3, del regolamento (CE) n. 1987/2006 e all’articolo 18, paragrafo 3, della decisione 2007/533/GAI.

2.   La politica di sicurezza fissa le procedure di monitoraggio dell’uso o dei guasti delle strutture di elaborazione dati e i risultati del monitoraggio sono rivisti periodicamente. Se necessario sono prese misure adeguate.

3.   I dispositivi di registrazione e i registri sono protetti da manomissioni e dall’accesso non autorizzato in modo da rispondere ai requisiti di raccolta e conservazione per il periodo di conservazione dei dati.

Articolo 19

Cifratura

Ove opportuno sono usati strumenti crittografici per proteggere le informazioni. Il loro uso, le finalità e le condizioni devono ricevere l’approvazione preventiva del responsabile della sicurezza del sistema.

CAPO IV

SICUREZZA DELLE RISORSE UMANE

Articolo 20

Profili personali

1.   La politica di sicurezza descrive le funzioni e le responsabilità delle persone autorizzate ad accedere al SIS II centrale.

2.   La politica di sicurezza descrive le funzioni e le responsabilità delle persone autorizzate ad accedere all’infrastruttura di comunicazione.

3.   I ruoli e le responsabilità in materia di sicurezza del personale della Commissione, degli appaltatori e del personale associato alla gestione operativa sono definiti, documentati e comunicati agli interessati. La descrizione delle mansioni e degli obiettivi precisa i ruoli e le responsabilità del personale della Commissione; i ruoli e le responsabilità degli appaltatori sono fissati nei contratti o negli accordi sul livello di servizio.

4.   Sono conclusi accordi in materia di segretezza e riservatezza con tutte le persone cui non si applicano le norme sul servizio pubblico dell’Unione europea o di uno Stato membro. I membri del personale che devono lavorare con i dati SIS II dispongono della necessaria autorizzazione o certificazione di sicurezza secondo le dettagliate procedure di sicurezza previste dalla politica di sicurezza.

Articolo 21

Informazione del personale

1.   Tutti i membri del personale e gli appaltatori ricevono una formazione adeguata in materia di sensibilizzazione alla sicurezza, requisiti giuridici, politiche e procedure, nella misura necessaria all’esercizio delle loro funzioni.

2.   Riguardo alla cessazione del rapporto di lavoro o del contratto, la politica di sicurezza definisce le responsabilità dei membri del personale e degli appaltatori in relazione al cambiamento di funzioni o alla cessazione del rapporto di lavoro, nonché le procedure per la restituzione degli attivi e la revoca dei diritti di accesso.

CAPO V

DISPOSIZIONI FINALI

Articolo 22

Applicabilità

1.   La presente decisione è applicabile a decorrere dalla data determinata dalla Commissione ai sensi dell’articolo 55, paragrafo 2, del regolamento (CE) n. 1987/2006 e dell’articolo 71, paragrafo 2, della decisione 2007/533/GAI.

2.   L’articolo 1, paragrafo 1, l’articolo 2, paragrafo 1 e paragrafo 3, lettere b), d), f) e i), l’articolo 3, l’articolo 6, paragrafo 5, l’articolo 7, paragrafo 5, l’articolo 9, paragrafo 6, l’articolo 10, paragrafo 6, l’articolo 13, paragrafi 2 e 3, gli articoli 15 e 18 e l’articolo 20, paragrafo 1, scadono quando l’organo di gestione assume le sue responsabilità.

Fatto a Bruxelles, il 4 maggio 2010.

Per la Commissione

Il presidente

José Manuel BARROSO


(1)  GU L 381 del 28.12.2006, pag. 4.

(2)  GU L 205 del 7.8.2007, pag. 63.

(3)  GU L 8 del 12.1.2001, pag. 1.


Top