11.4.2018

PL

Dziennik Urzędowy Unii Europejskiej

L 93/1

---

ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) 2018/557

z dnia 9 kwietnia 2018 r.

zmieniające rozporządzenie wykonawcze (UE) nr 641/2014 w odniesieniu do powiadomienia dotyczącego podwyższenia pułapu dla systemu jednolitej płatności obszarowej, o którym mowa w art. 36 ust. 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1307/2013

KOMISJA EUROPEJSKA,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 1307/2013 z dnia 17 grudnia 2013 r. ustanawiające przepisy dotyczące płatności bezpośrednich dla rolników na podstawie systemów wsparcia w ramach wspólnej polityki rolnej oraz uchylające rozporządzenie Rady (WE) nr 637/2008 i rozporządzenie Rady (WE) nr 73/2009 (1), w szczególności jego art. 36 ust. 4,

a także mając na uwadze, co następuje:

(1)	Rozporządzenie wykonawcze Komisji (UE) nr 641/2014 (2) ustanawia zasady stosowania rozporządzenia (UE) nr 1307/2013 ustanawiającego przepisy dotyczące płatności bezpośrednich dla rolników na podstawie systemów wsparcia w ramach wspólnej polityki rolnej.

(2)

Rozporządzenie (UE) nr 1307/2013 zostało zmienione rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2017/2393 (3), w którym między innymi dodano w art. 36 ust. 4 rozporządzenia (UE) nr 1307/2013 możliwość podwyższenia pułapu dla systemu jednolitej płatności obszarowej przez państwa członkowskie stosujące ten system.

(3)	W świetle zmian wprowadzonych w art. 36 ust. 4 rozporządzenia (UE) nr 1307/2013 niezbędne jest ustanowienie przepisów w zakresie powiadomienia dotyczącego podwyższenia pułapu dla systemu jednolitej płatności obszarowej.

(4)	Należy zatem odpowiednio zmienić rozporządzenie wykonawcze (UE) nr 641/2014.

(5)	Środki przewidziane w niniejszym rozporządzeniu są zgodne z opinią Komitetu ds. Płatności Bezpośrednich,

PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:

Artykuł 1

Zmiana w rozporządzeniu wykonawczym (UE) nr 641/2014

W rozporządzeniu wykonawczym (UE) nr 641/2014 dodaje się art. 16a w brzmieniu:

Artykuł 2

Wejście w życie

Niniejsze rozporządzenie wchodzi w życie siódmego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

---

(1)  Dz.U. L 347 z 20.12.2013, s. 608.

(2)  Rozporządzenie wykonawcze Komisji (UE) nr 641/2014 z dnia 16 czerwca 2014 r. ustanawiające zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1307/2013 ustanawiającego przepisy dotyczące płatności bezpośrednich dla rolników na podstawie systemów wsparcia w ramach wspólnej polityki rolnej (Dz.U. L 181 z 20.6.2014, s. 74).

(3)  Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2017/2393 z dnia 13 grudnia 2017 r. zmieniające rozporządzenia (UE) nr 1305/2013 w sprawie wsparcia rozwoju obszarów wiejskich przez Europejski Fundusz Rolny na rzecz Rozwoju Obszarów Wiejskich (EFRROW), (UE) nr 1306/2013 w sprawie finansowania wspólnej polityki rolnej, zarządzania nią i monitorowania, (UE) nr 1307/2013 ustanawiające przepisy dotyczące płatności bezpośrednich dla rolników na podstawie systemów wsparcia w ramach wspólnej polityki rolnej, (UE) nr 1308/2013 ustanawiające wspólną organizację rynków produktów rolnych oraz (UE) nr 652/2014 ustanawiające przepisy w zakresie zarządzania wydatkami odnoszącymi się do łańcucha żywnościowego, zdrowia zwierząt i dobrostanu zwierząt oraz dotyczącymi zdrowia roślin i materiału przeznaczonego do reprodukcji roślin (Dz.U. L 350 z 29.12.2017, s. 15).

---

11.4.2018

PL

Dziennik Urzędowy Unii Europejskiej

L 93/3

---

DECYZJA KOMITETU POLITYCZNEGO I BEZPIECZEŃSTWA (WPZiB) 2018/558

z dnia 20 marca 2018 r.

w sprawie przedłużenia mandatu szefa misji Unii Europejskiej dotyczącej pomocy w zintegrowanym zarządzaniu granicami w Libii (EUBAM Libya) (EUBAM Libya/1/2018)

KOMITET POLITYCZNY I BEZPIECZEŃSTWA,

uwzględniając Traktat o Unii Europejskiej, w szczególności jego art. 38 akapit trzeci,

uwzględniając decyzję Rady 2013/233/WPZiB z dnia 22 maja 2013 r. w sprawie misji Unii Europejskiej dotyczącej pomocy w zintegrowanym zarządzaniu granicami w Libii (EUBAM Libya) (1), w szczególności jej art. 9 ust. 1,

uwzględniając wniosek Wysokiego Przedstawiciela Unii do Spraw Zagranicznych i Polityki Bezpieczeństwa,

a także mając na uwadze, co następuje:

(1)

Zgodnie z art. 9 ust. 1 decyzji 2013/233/WPZiB Komitet Polityczny i Bezpieczeństwa (KPiB) jest upoważniony, zgodnie z art. 38 Traktatu, do podejmowania odpowiednich decyzji w celu sprawowania kontroli politycznej i kierownictwa strategicznego nad misją Unii Europejskiej dotyczącą pomocy w zintegrowanym zarządzaniu granicami w Libii (EUBAM Libya), w tym decyzji w sprawie mianowania szefa misji.

(2)	W dniu 18 lipca 2017 r. KPiB przyjął decyzję (WPZiB) 2017/1401 (2) przedłużającą mandat Vincenza TAGLIAFERRIEGO jako szefa misji EUBAM Libya na okres od dnia 22 sierpnia 2017 r. do dnia 21 sierpnia 2018 r.

(3)	W dniu 17 lipca 2017 r. Rada przyjęła decyzję (WPZiB) 2017/1342 (3) zmieniającą decyzję 2013/233/WPZiB i przedłużającą obowiązywanie tej decyzji do dnia 31 grudnia 2018 r.

(4)	W dniu 26 lutego 2018 r. Wysoki Przedstawiciel Unii do Spraw Zagranicznych i Polityki Bezpieczeństwa zaproponował przedłużenie mandatu Vincenza TAGLIAFERRIEGO jako szefa misji EUBAM Libya na okres od dnia 22 sierpnia 2018 r. do dnia 31 grudnia 2018 r.,

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

Artykuł 1

Niniejszym przedłuża się mandat Vincenza TAGLIAFERRIEGO jako szefa misji EUBAM Libya na okres od dnia 22 sierpnia 2018 r. do dnia 31 grudnia 2018 r.

Artykuł 2

Niniejsza decyzja wchodzi w życie dnia 21 sierpnia 2018 r.

---

(1)  Dz.U. L 138 z 24.5.2013, s. 15.

(2)  Decyzja Komitetu Politycznego i Bezpieczeństwa (WPZiB) 2017/1401 z dnia 18 lipca 2017 r. przedłużająca mandat szefa misji Unii Europejskiej dotyczącej pomocy w zintegrowanym zarządzaniu granicami w Libii (EUBAM Libya) (EUBAM Libya/1/2017) (Dz.U. L 199 z 29.7.2017, s. 13).

(3)  Decyzja Rady (WPZiB) 2017/1342 z dnia 17 lipca 2017 r. zmieniająca decyzję 2013/233/WPZiB w sprawie misji Unii Europejskiej dotyczącej pomocy w zintegrowanym zarządzaniu granicami w Libii oraz przedłużająca okres obowiązywania tej decyzji (EUBAM Libya) (Dz.U. L 185 z 18.7.2017, s. 60).

---

11.4.2018

PL

Dziennik Urzędowy Unii Europejskiej

L 93/4

---

DECYZJA KOMISJI (UE, Euratom) 2018/559

z dnia 6 kwietnia 2018 r.

dotycząca ustanowienia przepisów wykonawczych do art. 6 decyzji (UE, Euratom) 2017/46 w sprawie bezpieczeństwa systemów teleinformatycznych w Komisji Europejskiej

KOMISJA EUROPEJSKA,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 249,

uwzględniając Traktat ustanawiający Europejską Wspólnotę Energii Atomowej,

uwzględniając decyzję Komisji (UE, Euratom) 2017/46 z dnia 10 stycznia 2017 r. w sprawie bezpieczeństwa systemów teleinformatycznych w Komisji Europejskiej (1), w szczególności jej art. 6,

a także mając na uwadze, co następuje:

(1)	W związku z przyjęciem decyzji (UE, Euratom) 2017/46 istnieje potrzeba dokonania przez Komisję przeglądu, aktualizacji i konsolidacji przepisów wykonawczych związanych z uchyloną decyzją Komisji C(2006) 3602 w sprawie bezpieczeństwa systemów teleinformatycznych wykorzystywanych przez Komisję.

(2)	Członek Komisji odpowiedzialny za kwestie bezpieczeństwa, w pełnej zgodności z regulaminem wewnętrznym, uprawniony został do ustanowienia przepisów wykonawczych zgodnie z art. 13 decyzji (UE, Euratom) 2017/46 (2).

(3)	Przepisy wykonawcze zawarte w decyzji C(2006) 3602 powinny zatem zostać uchylone,

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

ROZDZIAŁ 1

PRZEPISY OGÓLNE

Artykuł 1

Przedmiot i zakres stosowania

1.   Przedmiot i zakres stosowania niniejszej decyzji określone są w art. 1 decyzji (UE, Euratom) 2017/46.

2.   Przepisy niniejszej decyzji mają zastosowanie do wszystkich systemów teleinformatycznych (CIS). Obowiązki określone w niniejszej decyzji nie mają jednak zastosowania do systemów teleinformatycznych przetwarzających informacje niejawne UE. Stosowne obowiązki dotyczące tych systemów określane są zgodnie z decyzją Komisji (UE, Euratom) 2015/444 (3) przez właściciela systemu i organ ds. bezpieczeństwa Komisji.

3.   W rozdziale 2 niniejszej decyzji przedstawiono praktyczne wdrażanie organizacji i obowiązków odnoszących się do bezpieczeństwa informatycznego. Rozdział 3 niniejszej decyzji zawiera przegląd procesów związanych z art. 6 decyzji (UE, Euratom) 2017/46.

Artykuł 2

Definicje

Definicje zawarte w art. 2 decyzji (UE, Euratom) 2017/46 mają zastosowanie do niniejszej decyzji. Na użytek niniejszej decyzji zastosowanie mają również następujące definicje:

1.	„Organ ds. zatwierdzania produktów kryptograficznych” („CAA”) jest funkcją pełnioną przez organ ds. bezpieczeństwa Komisji podlegający Dyrektorowi Generalnemu ds. Zasobów Ludzkich i Bezpieczeństwa;

2.	„Łącze z siecią zewnętrzną” oznacza każde łącze między wewnętrzną siecią Komisji i innymi sieciami, w tym z internetem. Definicja ta wyklucza sieci należące do stron trzecich, udostępnione na podstawie umowy, aby pełnić funkcję części wewnętrznej sieci Komisji.

3.

„Deponowanie klucza” oznacza procedurę przechowywania kopii kluczy kryptograficznych przez jedną lub więcej stron, w celu zapewnienia podziału obowiązków, aby umożliwić ich odzyskanie, w przypadku gdy utracona została kopia operacyjna. Klucze mogą zostać podzielone na dwie lub więcej części, z których każdą dysponuje inna osoba, aby zapewnić, że nikt nie ma dostępu do całego klucza.

4.

„RASCI” jest skrótem od angielskiego terminu oznaczającego przypisanie odpowiedzialności w oparciu o następujące cechy: a)   R– „responsible” (odpowiedzialny) oznacza zobowiązany do działania i podejmowania decyzji w celu osiągnięcia wymaganych wyników; b)   A– „accountable” ( rozliczalny) oznacza odpowiadający za działania, decyzje i wyniki; c)   S– „supports” (wspierający) oznacza zobowiązany do współpracy z osobą odpowiedzialną za wykonanie danego zadania; d)   C– „consulted” (konsultowany) oznacza dyspozycyjny w kwestii porad lub opinii; e)   I– „informed” (poinformowany) oznacza dysponujący na bieżąco odpowiednimi informacjami.

ROZDZIAŁ 2

ORGANIZACJA I ZAKRES OBOWIĄZKÓW

Artykuł 3

Role i obowiązki

Role i obowiązki odnoszące się do art. 4–8 niniejszej decyzji zdefiniowane są w załączniku zgodnie z modelem RASCI.

Artykuł 4

Dostosowanie do polityki Komisji w zakresie bezpieczeństwa informacji

1.   Dyrekcja Generalna ds. Zasobów Ludzkich i Bezpieczeństwa dokonuje przeglądu polityki Komisji w zakresie bezpieczeństwa informatycznego, a także związanych z nim norm i wytycznych, aby zapewnić, że są one zgodne z ogólną polityką bezpieczeństwa Komisji, w szczególności z decyzją Komisji (UE, Euratom) 2015/443 (4) i decyzją (UE, Euratom) 2015/444.

2.   Na wniosek innych służb Komisji Dyrekcja Generalna ds. Zasobów Ludzkich i Bezpieczeństwa może dokonać przeglądu ich strategii w zakresie bezpieczeństwa IT lub innych dokumentów dotyczących tej kwestii, aby zapewnić ich spójność z polityką Komisji w zakresie bezpieczeństwa informacji. Szef odnośnego departamentu Komisji dopilnowuje, by wszelkie niezgodności zostały wyeliminowane.

3.   Ponosząc odpowiedzialność za bezpieczeństwo informacji, Dyrekcja Generalna ds. Zasobów Ludzkich i Bezpieczeństwa współpracuje z Dyrekcją Generalną ds. Informatyki w celu zapewnienia, że w procesach bezpieczeństwa IT będą w pełni stosowane klasyfikacja i zasady bezpieczeństwa określone w decyzji (UE, Euratom) 2015/443, w szczególności w jej art. 3 i 9.

ROZDZIAŁ 3

PROCESY BEZPIECZEŃSTWA IT

Artykuł 5

Technologie szyfrowania

1.   Stosowanie technologii szyfrowania w celu ochrony niejawnych informacji UE (EUCI) musi być zgodne z decyzją (UE, Euratom) 2015/444.

2.   Decyzje w sprawie stosowania technologii szyfrowania w celu ochrony danych niesklasyfikowanych jako niejawne informacje UE podejmowana jest przez właściciela każdego systemu komunikacyjno-informacyjnego, przy uwzględnieniu zarówno ryzyka, które ma zostać ograniczone dzięki zastosowaniu szyfrowania, jak i ryzyka, które się z nim wiąże.

3.   W odniesieniu do wszystkich zastosowań technologii szyfrujących wymagane jest uprzednie zatwierdzenie przez organ ds. zatwierdzania produktów kryptograficznych (CAA), chyba że szyfrowanie jest wykorzystywane wyłącznie w celu ochrony poufności przekazywanych danych niebędących niejawnymi informacjami UE i stosowane są standardowe protokoły komunikacji sieciowej.

4.   Z wyjątkiem przypadku opisanego w ust. 3 niniejszego artykułu departamenty Komisji zapewniają przechowywanie zapasowych kopii wszystkich kluczy deszyfrujących w depozycie do celów możliwego odzyskania przechowywanych danych, w przypadku gdy klucz deszyfrujący nie jest dostępny. Odzyskiwanie zaszyfrowanych danych z wykorzystaniem zapasowych kopii kluczy deszyfrujących przeprowadza się tylko wtedy, gdy jest to dozwolone zgodnie ze standardem określonym przez CAA.

5.   Wnioski o udzielenie zgody na wykorzystanie technologii szyfrujących muszą być formalnie udokumentowane i zawierać szczegółowe informacje na temat systemu komunikacyjno-informacyjnego i danych, które mają być chronione, wykorzystywanych technologii oraz związanych z nimi procedur bezpieczeństwa operacyjnego. Takie wnioski o udzielenie zgody muszą być podpisane przez właściciela systemu.

6.   Wnioski o udzielenie zgody na wykorzystanie technologii szyfrujących oceniane są przez CAA zgodnie z opublikowanymi normami i wymogami.

Artykuł 6

Kontrole bezpieczeństwa IT

1.   Dyrekcja Generalna ds. Zasobów Ludzkich i Bezpieczeństwa przeprowadza kontrole bezpieczeństwa IT w celu sprawdzenia, czy środki bezpieczeństwa IT są zgodne z polityką Komisji w tym zakresie i sprawdzenia spójności tych środków kontroli.

2.   Dyrekcja Generalna ds. Zasobów Ludzkich i Bezpieczeństwa może prowadzić inspekcję bezpieczeństwa IT:

a)	z własnej inicjatywy;

b)	na wniosek Rady Sterującej ds. Bezpieczeństwa Informacji;

c)	na wniosek właściciela systemu;

d)	w następstwie incydentu związanego z bezpieczeństwem; lub

e)	po stwierdzeniu wysokiego poziomu ryzyka w danym systemie.

3.   Właściciele danych mogą złożyć wniosek o przeprowadzenie kontroli bezpieczeństwa IT przed załadowaniem danych do systemu komunikacyjno-informacyjnego.

4.   Wyniki kontroli powinny być udokumentowane w formalnym sprawozdaniu dla właściciela systemu, z kopią dla lokalnego pełnomocnika ds. bezpieczeństwa teleinformatycznego i zawierać wnioski i zalecenia mające na celu poprawę zgodności systemu komunikacyjno-informacyjnego z polityką w zakresie bezpieczeństwa IT; Dyrekcja Generalna ds. Zasobów Ludzkich i Bezpieczeństwa zgłasza istotne problemy i przekazuje zalecenia Radzie Sterującej ds. Bezpieczeństwa Informacji.

5.   Dyrekcja Generalna ds. Zasobów Ludzkich i Bezpieczeństwa monitoruje wdrażanie tych zaleceń.

6.   W stosownych przypadkach kontrole bezpieczeństwa IT obejmują kontrolę usług, pomieszczeń i sprzętu dostarczonych właścicielowi systemu. Dotyczy to zarówno wewnętrznych, jak i zewnętrznych podmiotów świadczących dane usługi.

Artykuł 7

Dostęp przez sieci zewnętrzne

1.   Dyrekcja Generalna ds. Zasobów Ludzkich i Bezpieczeństwa ustanawia zasady w odniesieniu do normy dotyczącej przyznania dostępu pomiędzy systemem komunikacyjno-informacyjnym Komisji a sieciami zewnętrznymi.

2.   W przepisach musi być uwzględnione rozróżnienie pomiędzy różnymi rodzajami zewnętrznych połączeń sieciowych i muszą one zawierać odpowiednie zasady bezpieczeństwa w odniesieniu do każdego rodzaju połączenia, w tym również w przypadkach, kiedy wymagane jest uprzednie zezwolenie właściwego organu, jak to określono w ust. 4 niniejszego artykułu.

3.   W razie potrzeby zezwolenie udzielane jest w odpowiednim procesie zatwierdzania na podstawie formalnego wniosku. Zezwolenie ważne jest przez określony czas i musi być uzyskane, zanim podłączenie będzie aktywne.

4.   Dyrekcja Generalna ds. Zasobów Ludzkich i Bezpieczeństwa ponosi ogólną odpowiedzialność za zatwierdzanie wniosków, ale może też przekazać odpowiedzialność za zatwierdzanie niektórych rodzajów połączeń według własnego uznania, zgodnie z art. 17 ust. 3 decyzji (UE, Euratom) 2015/443 i z zastrzeżeniem warunków określonych w ust. 8.

5.   Podmiot zatwierdzający może nałożyć dodatkowe wymogi bezpieczeństwa jako warunek zatwierdzenia w celu ochrony systemu komunikacyjno-informacyjnego Komisji i sieci przed zagrożeniami związanymi z nieuprawnionym dostępem lub innymi naruszeniami bezpieczeństwa.

6.   Dyrekcja Generalna ds. Informatyki jest podstawowym dostawcą usług sieciowych dla Komisji. Jakikolwiek inny departament Komisji eksploatujący sieć, która nie jest udostępniona przez Dyrekcję Generalną ds. Informatyki, musi najpierw uzyskać zgodę Rady Sterującej ds. Bezpieczeństwa Informacji. Taki departament Komisji dokumentuje uzasadnienie biznesowe dla wniosku i wykazuje, że kontrole sieci są wystarczające do spełnienia odpowiednich wymogów w zakresie przepływu przychodzących i wychodzących informacji.

7.   Właściciel systemu komunikacyjno-informacyjnego określa wymogi bezpieczeństwa dotyczące dostępu z zewnątrz do tego systemu i przy wsparciu lokalnego pełnomocnika ds. bezpieczeństwa teleinformatycznego zapewnia stosowanie odpowiednich środków w celu ochrony jego bezpieczeństwa.

8.   Środki bezpieczeństwa stosowane w odniesieniu do zewnętrznych połączeń sieciowych oparte są na zasadach ograniczonego dostępu i minimalnego uprzywilejowania, które gwarantują, że określone osoby otrzymują wyłącznie informacje i prawa dostępu potrzebne im do pełnienia obowiązków służbowych na rzecz Komisji.

9.   Wszystkie zewnętrzne połączenia sieciowe są filtrowane i monitorowane w celu wykrywania potencjalnych naruszeń bezpieczeństwa.

10.   Tam gdzie połączenia zostały ustanowione, aby umożliwić outsourcing systemu komunikacyjno-informacyjnego, zezwolenie uzależnione jest od pomyślnego przeprowadzenia procedury opisanej w art. 8.

Artykuł 8

Outsourcing systemów komunikacyjno-informacyjnych

1.   Do celów niniejszej decyzji system komunikacyjno-informacyjny uznaje się za objęty outsourcingiem, w sytuacji gdy jest on zapewniany na podstawie umowy z usługodawcą będącym osobą trzecią, na podstawie której to umowy przedmiotowy system komunikacyjno-informacyjny znajduje się poza lokalami Komisji. Dotyczy to outsourcingu jednego lub wielu systemów komunikacyjno-informacyjnych bądź innych usług informatycznych, ośrodków przetwarzania danych poza lokalami Komisji oraz przetwarzania zestawów danych Komisji przez służby zewnętrzne.

2.   Outsourcing systemu komunikacyjno-informacyjnego musi w następujący sposób uwzględniać stopień wrażliwości lub klasyfikację przetwarzanych informacji:

a)

akredytacja systemu komunikacyjno-informacyjnego przetwarzającego informacje niejawne UE dokonywana jest zgodnie z decyzją (UE, Euratom) 2015/444, po wcześniejszej konsultacji z organem Komisji ds. akredytacji bezpieczeństwa (SAA). Systemy, w których przetwarzane są informacje niejawne UE, nie mogą być poddane outsourcingowi;

b)

właściciel systemu komunikacyjno-informacyjnego przetwarzającego informacje niebędące informacjami niejawnymi UE wdraża proporcjonalne środki w celu zabezpieczenia potrzeb w zakresie bezpieczeństwa, zgodnie z odpowiednimi zobowiązaniami prawnymi i współmiernie do wrażliwości informacji, biorąc pod uwagę ryzyko związane z outsourcingiem. Dyrekcja Generalna ds. Zasobów Ludzkich i Bezpieczeństwa może wprowadzić dodatkowe wymagania;

c)	przy zlecaniu na zewnątrz projektów w dziedzinie opracowywania rozwiązań uwzględnia się wrażliwość opracowywanego kodu i wszelkich danych użytych do testowania.

3.   Do poddanych outsourcingowi systemów komunikacyjno-informacyjnych poza wymogami ustanowionymi w art. 3 decyzji (UE, Euratom) 2017/46 mają zastosowanie następujące zasady:

a)	warunki dotyczące outsourcingu muszą być ustalone w taki sposób, aby uniknąć uzależnienia od konkretnych dostawców;

b)	warunki dotyczące bezpieczeństwa outsourcingu muszą być ustalone w taki sposób, aby zmniejszać do minimum możliwość dostępu do informacji Komisji lub ich modyfikowania przez personel strony trzeciej;

c)	personel strony trzeciej mający dostęp do systemu komunikacyjno-informacyjnego podpisuje zobowiązanie do zachowania poufności;

d)	informacja o outsourcingu systemów komunikacyjno-informacyjnych figuruje w dokumentacji tych systemów.

4.   Właściciel systemu we współpracy z właścicielem danych:

a)	ocenia i dokumentuje ryzyko związane z outsourcingiem;

b)	ustanawia odpowiednie wymogi bezpieczeństwa;

c)	konsultuje się z właścicielami wszystkich innych podłączonych systemów komunikacyjno-informacyjnych w celu zapewnienia, że ich wymogi bezpieczeństwa są uwzględnione;

d)	dopilnowuje, by odpowiednie wymogi i uprawnienia w zakresie bezpieczeństwa były zawarte w umowach z wykonawcami zewnętrznymi;

e)	spełnia wszelkie inne wymogi określone w szczegółowej procedurze, zgodnie z ust. 8 niniejszego artykułu.

Działania te zostają zakończone przed podpisaniem umowy lub innego porozumienia dotyczącego outsourcingu jednego lub wielu systemów komunikacyjno-informacyjnych.

5.   Właściciele systemu zarządzają ryzykiem związanym z outsourcingiem podczas całego cyklu użytkowania systemu komunikacyjno-informacyjnego, tak aby spełnione były określone wymogi bezpieczeństwa.

6.   Właściciele systemu dopilnowują, aby wykonawcy zewnętrzni będący stronami trzecimi byli zobowiązani do niezwłocznego powiadamiania Komisji o wszelkich związanych z bezpieczeństwem IT incydentach dotyczących objętego outsourcingiem systemu Komisji.

7.   Właściciel systemu jest odpowiedzialny za zapewnienie zgodności systemu komunikacyjno-informacyjnego, umowy o outsourcingu i ustaleń w zakresie bezpieczeństwa z przepisami Komisji dotyczącymi bezpieczeństwa informacji i bezpieczeństwa informatycznego.

8.   Dyrekcja Generalna ds. Zasobów Ludzkich i Bezpieczeństwa ustanawia szczegółowe normy związane z obowiązkami i działaniami określonymi w ust. 1–7, zgodnie z art. 10 poniżej.

ROZDZIAŁ 4

PRZEPISY RÓŻNE I KOŃCOWE

Artykuł 9

Przejrzystość

Niniejsza decyzja zostaje podana do wiadomości służb Komisji i wszystkich osób, których dotyczy, oraz zostaje opublikowana w Dzienniku Urzędowym Unii Europejskiej.

Artykuł 10

Standardy

1.   W razie potrzeby przepisy niniejszej decyzji mogą zostać szczegółowo określone w standardach lub wytycznych, które mają zostać przyjęte zgodnie z decyzją (UE, Euratom) 2017/46 i decyzją C(2017) 7428. Standardy i wytyczne dotyczące zabezpieczeń informatycznych dostarczą bardziej szczegółowych informacji na temat tych przepisów wykonawczych i decyzji (UE, Euratom) 2017/46 w odniesieniu do konkretnych dziedzin bezpieczeństwa, zgodnie z ISO 27001:2013, załącznik A. Te standardy i wytyczne oparte są na najlepszych praktykach branżowych i zostały wybrane w taki sposób, żeby pasowały do środowiska informatycznego Komisji.

2.   W razie potrzeby, zgodnie z ISO 27001:2013, załącznik A, opracowywane są standardy w następujących dziedzinach:

1)	organizacja bezpieczeństwa informacji;

2)	bezpieczeństwo zasobów ludzkich;

3)	zarządzanie aktywami;

4)	kontrola dostępu;

5)	kryptografia;

6)	bezpieczeństwo fizyczne i bezpieczeństwo środowiska;

7)	bezpieczeństwo pracy systemu;

8)	bezpieczeństwo łączności;

9)	zakup, rozwój i utrzymanie systemów;

10)	relacje z dostawcami;

11)	zarządzanie incydentami związanymi z bezpieczeństwem informacji;

12)	aspekty bezpieczeństwa informacji w ramach zarządzania ciągłością działania;

13)

zgodność.

3.   Rada Sterująca ds. Bezpieczeństwa Informacji zatwierdza normy, o których mowa w ust. 1 i 2 niniejszego artykułu, przed ich przyjęciem.

4.   Przepisy wykonawcze do decyzji C(2006) 3602 odnoszące się do zakresu stosowania niniejszej decyzji zostają niniejszym uchylone.

5.   Standardy i wytyczne przyjęte na mocy decyzji C(2006) 3602 z dnia 16 sierpnia 2006 r. pozostają w mocy, o ile nie są sprzeczne z niniejszymi przepisami wykonawczymi, do chwili ich uchylenia lub zastąpienia standardami lub wytycznymi, które mają zostać przyjęte zgodnie z art. 13 decyzji (UE, Euratom) 2017/46.

Artykuł 11

Wejście w życie

Niniejsza decyzja wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

---

(1)  Dz.U. L 6 z 11.1.2017, s. 40.

(2)  Decyzja Komisji C(2017) 7428 final z dnia 8 listopada 2017 r. przyznająca uprawnienia do przyjmowania przepisów wykonawczych, standardów i wytycznych dotyczących bezpieczeństwa systemów komunikacyjnych i informacyjnych w Komisji Europejskiej.

(3)  Decyzja Komisji (UE, Euratom) 2015/444 z dnia 13 marca 2015 r. w sprawie przepisów bezpieczeństwa dotyczących ochrony informacji niejawnych UE (Dz.U. L 72 z 17.3.2015, s. 53).

(4)  Decyzja Komisji (UE, Euratom) 2015/443 z dnia 13 marca 2015 r. w sprawie bezpieczeństwa w Komisji (Dz.U. L 72 z 17.3.2015, s. 41).

---

---

11.4.2018

PL

Dziennik Urzędowy Unii Europejskiej

L 93/11

---

DECYZJA WYKONAWCZA KOMISJI (UE) 2018/560

z dnia 10 kwietnia 2018 r.

zmieniająca załącznik do decyzji wykonawczej (UE) 2017/247 w sprawie środków ochronnych w odniesieniu do ognisk wysoce zjadliwej grypy ptaków w niektórych państwach członkowskich

(notyfikowana jako dokument nr C(2018) 2191)

(Tekst mający znaczenie dla EOG)

KOMISJA EUROPEJSKA,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając dyrektywę Rady 89/662/EWG z dnia 11 grudnia 1989 r. dotyczącą kontroli weterynaryjnych w handlu wewnątrzwspólnotowym w perspektywie wprowadzenia rynku wewnętrznego (1), w szczególności jej art. 9 ust. 4,

uwzględniając dyrektywę Rady 90/425/EWG z dnia 26 czerwca 1990 r. dotyczącą kontroli weterynaryjnych i zootechnicznych mających zastosowanie w handlu wewnątrzwspólnotowym niektórymi żywymi zwierzętami i produktami w perspektywie wprowadzenia rynku wewnętrznego (2), w szczególności jej art. 10 ust. 4,

a także mając na uwadze, co następuje:

(1)

Decyzja wykonawcza Komisji (UE) 2017/247 (3) została przyjęta w związku z wystąpieniem ognisk wysoce zjadliwej grypy ptaków podtypu H5 w kilku państwach członkowskich („zainteresowane państwa członkowskie”) oraz ustanowieniem obszarów zapowietrzonych i zagrożonych przez właściwe organy zainteresowanych państw członkowskich zgodnie z art. 16 ust. 1 dyrektywy Rady 2005/94/WE (4).

(2)

W decyzji wykonawczej (UE) 2017/247 przewiduje się, że obszary zapowietrzone i zagrożone ustanowione przez właściwe organy zainteresowanych państw członkowskich zgodnie z dyrektywą 2005/94/WE powinny obejmować co najmniej obszary wymienione jako obszary zapowietrzone i zagrożone w załączniku do wspomnianej decyzji wykonawczej. Decyzja wykonawcza (UE) 2017/247 stanowi również, że środki, które mają być stosowane na obszarach zapowietrzonych i zagrożonych, przewidziane w art. 29 ust. 1 i art. 31 dyrektywy 2005/94/WE, muszą być utrzymane przynajmniej do dat określonych w odniesieniu do tych obszarów w załączniku do wspomnianej decyzji wykonawczej.

(3)

Od daty jej przyjęcia decyzja wykonawcza (UE) 2017/247 była kilkakrotnie zmieniana w celu uwzględnienia zmian sytuacji epidemiologicznej w Unii w odniesieniu do grypy ptaków. W szczególności decyzja wykonawcza (UE) 2017/247 została zmieniona decyzją wykonawczą Komisji (UE) 2017/696 (5) w celu ustanowienia zasad wysyłania przesyłek zawierających jednodniowe pisklęta z obszarów wymienionych w załączniku do decyzji wykonawczej (UE) 2017/247. Wprowadzając tę zmianę, uwzględniono fakt, że w porównaniu z innymi produktami drobiowymi jednodniowe pisklęta stwarzają bardzo niskie ryzyko rozprzestrzeniania się wysoce zjadliwej grypy ptaków.

(4)

Decyzja wykonawcza (UE) 2017/247 została następnie zmieniona decyzją wykonawczą Komisji (UE) 2017/1841 (6) w celu wzmocnienia środków zwalczania choroby mających zastosowanie tam, gdzie istnieje podwyższone ryzyko rozprzestrzeniania się wysoce zjadliwej grypy ptaków. W związku z tym decyzja wykonawcza (UE) 2017/247 przewiduje obecnie ustanowienie na poziomie unijnym obszarów buforowych (dalszych stref zamkniętych) w zainteresowanych państwach członkowskich, o których mowa w art. 16 ust. 4 dyrektywy 2005/94/WE, w związku z wystąpieniem ogniska lub ognisk wysoce zjadliwej grypy ptaków oraz okres obowiązywania środków, które mają być stosowane na tych obszarach. Decyzja wykonawcza (UE) 2017/247 określa obecnie również zasady dotyczące wysyłania żywego drobiu, piskląt jednodniowych i jaj wylęgowych z obszarów buforowych do innych państw członkowskich, z zastrzeżeniem spełnienia pewnych warunków.

(5)	Ponadto załącznik do decyzji wykonawczej (UE) 2017/247 był wielokrotnie zmieniany głównie w celu uwzględnienia zmian granic obszarów zapowietrzonych i zagrożonych ustanowionych przez zainteresowane państwa członkowskie zgodnie z dyrektywą 2005/94/WE.

(6)

Załącznik do decyzji wykonawczej (UE) 2017/247 został ostatnio zmieniony decyzją wykonawczą Komisji (UE) 2018/510 (7), po powiadomieniu przez Niemcy o wystąpieniu nowego ogniska wysoce zjadliwej grypy ptaków podtypu H5N6 w gospodarstwie drobiarskim zlokalizowanym w Nordfriesland w kraju związkowym Szlezwik-Holsztyn tego państwa członkowskiego. Niemcy powiadomiły także Komisję o tym, że w następstwie wystąpienia tego ogniska należycie wprowadziły niezbędne środki wymagane zgodnie z dyrektywą 2005/94/WE, w tym ustanowiły obszary zapowietrzone i zagrożone wokół zakażonego gospodarstwa drobiarskiego.

(7)	Od czasu ostatniej zmiany decyzji wykonawczej (UE) 2017/247 wprowadzonej decyzją wykonawczą (UE) 2018/510 Bułgaria powiadomiła Komisję o niedawnym wystąpieniu ogniska wysoce zjadliwej grypy ptaków podtypu H5N8 w gospodarstwie drobiarskim w obwodzie Jamboł tego państwa członkowskiego.

(8)	Bułgaria powiadomiła także Komisję o tym, że w następstwie niedawnego wystąpienia tego ogniska wprowadziła niezbędne środki wymagane zgodnie z dyrektywą 2005/94/WE, w tym ustanowiła obszary zapowietrzone i zagrożone wokół zakażonego gospodarstwa drobiarskiego w tym państwie członkowskim.

(9)	Komisja we współpracy z Bułgarią zbadała te środki i stwierdziła, że granice obszarów zapowietrzonych i zagrożonych wyznaczone przez właściwy organ Bułgarii znajdują się w wystarczającej odległości od gospodarstwa drobiarskiego, w którym potwierdzono wystąpienie nowego ogniska choroby.

(10)

W celu zapobieżenia niepotrzebnym zakłóceniom w handlu wewnątrz Unii, a także aby uniknąć wprowadzenia przez państwa trzecie nieuzasadnionych barier w handlu, konieczne jest niezwłoczne określenie na poziomie Unii, we współpracy z Bułgarią, obszarów zapowietrzonych i zagrożonych ustanowionych w Bułgarii, zgodnie z dyrektywą 2005/94/WE, w następstwie niedawnego wystąpienia ogniska wysoce zjadliwej grypy ptaków w tym państwie członkowskim.

(11)

Należy zatem zaktualizować decyzję wykonawczą (UE) 2017/247, aby uwzględnić uaktualnioną sytuację epidemiologiczną w Bułgarii w odniesieniu do wysoce zjadliwej grypy ptaków. W szczególności w załączniku do decyzji wykonawczej (UE) 2017/247 należy dodać wpisy dotyczące nowo utworzonych obszarów zapowietrzonych i zagrożonych w Bułgarii, które to obszary obecnie podlegają ograniczeniom zgodnie z dyrektywą 2005/94/WE.

(12)

Należy zatem zmienić załącznik do decyzji wykonawczej (UE) 2017/247, aby zaktualizować podział na obszary na poziomie Unii w celu uwzględnienia obszarów zapowietrzonych i zagrożonych ustanowionych w Bułgarii zgodnie z dyrektywą 2005/94/WE w następstwie niedawnego wystąpienia ogniska wysoce zjadliwej grypy ptaków w tym państwie członkowskim oraz czasu trwania ograniczeń mających na nich zastosowanie.

(13)	Należy zatem odpowiednio zmienić decyzję wykonawczą (UE) 2017/247.

(14)	Środki przewidziane w niniejszej decyzji są zgodne z opinią Stałego Komitetu ds. Roślin, Zwierząt, Żywności i Pasz,

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

Artykuł 1

W załączniku do decyzji wykonawczej (UE) 2017/247 wprowadza się zmiany zgodnie z załącznikiem do niniejszej decyzji.

Artykuł 2

Niniejsza decyzja skierowana jest do państw członkowskich.

---

(1)  Dz.U. L 395 z 30.12.1989, s. 13.

(2)  Dz.U. L 224 z 18.8.1990, s. 29.

(3)  Decyzja wykonawcza Komisji (UE) 2017/247 z dnia 9 lutego 2017 r. w sprawie środków ochronnych w odniesieniu do ognisk wysoce zjadliwej grypy ptaków w niektórych państwach członkowskich (Dz.U. L 36 z 11.2.2017, s. 62).

(4)  Dyrektywa Rady 2005/94/WE z dnia 20 grudnia 2005 r. w sprawie wspólnotowych środków zwalczania grypy ptaków i uchylająca dyrektywę 92/40/EWG (Dz.U. L 10 z 14.1.2006, s. 16).

(5)  Decyzja wykonawcza Komisji (UE) 2017/696 z dnia 11 kwietnia 2017 r. zmieniająca decyzję wykonawczą (UE) 2017/247 w sprawie środków ochronnych w odniesieniu do ognisk wysoce zjadliwej grypy ptaków w niektórych państwach członkowskich (Dz.U. L 101 z 13.4.2017, s. 80).

(6)  Decyzja wykonawcza Komisji (UE) 2017/1841 z dnia 10 października 2017 r. zmieniająca decyzję wykonawczą (UE) 2017/247 w sprawie środków ochronnych w odniesieniu do ognisk wysoce zjadliwej grypy ptaków w niektórych państwach członkowskich (Dz.U. L 261 z 11.10.2017, s. 26).

(7)  Decyzja wykonawcza Komisji (UE) 2018/510 z dnia 26 marca 2018 r. zmieniająca załącznik do decyzji wykonawczej (UE) 2017/247 w sprawie środków ochronnych w odniesieniu do ognisk wysoce zjadliwej grypy ptaków w niektórych państwach członkowskich (Dz.U. L 83 z 27.3.2018, s. 16).

---

---