11.1.2017   

CS

Úřední věstník Evropské unie

L 6/40

(1)

Komunikační a informační systémy Komise jsou nedílnou součástí fungování Komise a incidenty v oblasti bezpečnosti IT mohou mít vážný dopad na činnost Komise i třetích stran, jako jsou například jednotlivci, podniky či členské státy.

(2)

Existuje mnoho hrozeb, které mohou narušit důvěrnost, integritu nebo dostupnost komunikačních a informačních systémů Komise a jimi zpracovávaných informací. Patří mezi ně nepředvídané události, chyby, záměrné útoky a přírodní jevy, které je třeba identifikovat jako provozní rizika.

(3)

Komunikačním a informačním systémům je nutné poskytnout úroveň ochrany odpovídající pravděpodobnosti, dopadu a povaze rizik, kterým jsou vystaveny.

(4)

Bezpečnost IT v Komisi by měla zajišťovat, že komunikační a informační systémy Komise ochrání informace, které zpracovávají, a budou fungovat, jak bude třeba a kdy bude třeba, a to pod kontrolou oprávněných uživatelů.

(5)

Politiku Komise pro bezpečnost IT je třeba provádět konzistentně s politikami bezpečnosti v rámci Komise.

(6)

Obecně za bezpečnost v Komisi odpovídá Ředitelství pro bezpečnost pod Generálním ředitelstvím pro lidské zdroje a bezpečnost, které podléhá vedení a spadá do odpovědnosti člena Komise odpovědného za bezpečnost.

(7)

Přístup Komise by měl rovněž zohledňovat politické iniciativy a právní předpisy EU týkající se bezpečnosti sítí a informací, bezpečnostních norem a osvědčených postupů, aby byly dodrženy všechny příslušné právní předpisy a umožněna interoperabilita a kompatibilita.

(8)

K zajištění účinnosti a účelnosti je třeba, aby útvary Komise odpovědné za komunikační a informační systémy vypracovaly a provedly vhodná opatření a aby byla koordinována opatření pro bezpečnost IT za účelem ochrany komunikačních a informačních systémů v rámci celé Komise.

(9)

Pravidla a postupy pro přístup k informacím v kontextu bezpečnosti IT včetně řešení bezpečnostních incidentů v oblasti IT by měly být úměrné hrozbě pro Komisi a její zaměstnance a měly by odpovídat zásadám vymezeným v nařízení Evropského parlamentu a Rady (ES) č. 45/2001 (1) o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Unie a o volném pohybu těchto údajů a zohledňovat zásadu profesního tajemství, jak stanovuje článek 339 SFEU.

(10)

Politiky a pravidla pro komunikační a informační systémy zpracovávající utajované informace EU, citlivé neutajované informace a neutajované informace mají být plně v souladu s rozhodnutími Komise (EU, Euratom) 2015/443 (2) a (EU, Euratom) 2015/444 (3).

(11)

Je třeba, aby Komise přezkoumala a aktualizovala ustanovení týkající se bezpečnosti komunikačních a informačních systémů využívaných Komisí.

(12)

Rozhodnutí Komise C(2006) 3602 by proto mělo být zrušeno,

1)

„Ručícím“ se rozumí ten, kdo nese zodpovědnost za kroky, rozhodnutí a plnění.

2)

„CERT-EU“ je skupina pro reakci na počítačové hrozby pro orgány a agentury EU. Jejím úkolem je podporovat evropské orgány při jejich ochraně proti záměrným a zlovolným útokům s potenciálem narušit integritu jejich prostředků IT a poškodit zájmy EU. Rozsah činností CERT-EU zahrnuje prevenci, detekci, reakci a obnovu.

3)

„Útvarem Komise“ se rozumí generální ředitelství či služba Komise nebo kabinet člena Komise.

4)

„Bezpečnostní orgán Komise“ odkazuje na úlohu vymezenou rozhodnutím (EU, Euratom) 2015/444.

5)

„Komunikačním a informačním systémem“ se rozumí jakýkoli systém, který umožňuje manipulaci s informacemi v elektronickém formátu, včetně všech aktiv potřebných pro jeho fungování a včetně infrastruktury, organizace, personálu a informačních zdrojů. Definice zahrnuje obchodní aplikace, sdílené služby IT, externě zajišťované systémy a zařízení koncových uživatelů.

6)

„Řídící rada“ (CMB) zajišťuje nejvyšší úroveň řídicího dohledu v oblasti operací a administrativy v Komisi.

7)

„Vlastníkem údajů“ se rozumí osoba odpovídající za zajišťování ochrany a využívání konkrétního datového souboru zpracovávaného v komunikačním a informačním systému.

8)

„Datovým souborem“ se rozumí soubor informací, který slouží konkrétnímu postupu nebo činnosti Komise.

9)

„Nouzovým postupem“ se rozumí předem stanovený soubor metod a povinností pro reakce na naléhavé situace za účelem zabránit vážným dopadům pro Komisi.

10)

„Politikou bezpečnosti informací“ se rozumí soubor cílů v oblasti bezpečnosti informací, které jsou nebo musí být stanoveny, prováděny a kontrolovány. Patří sem mimo jiné rozhodnutí (EU, Euratom) 2015/444 a (EU, Euratom) 2015/443.

11)

„Radou pro řízení informační bezpečnosti“ (ISSB) se rozumí řídicí orgán, který podporuje řídící radu v úkolech souvisejících s bezpečností IT.

12)

„Interním poskytovatelem služeb IT“ se rozumí útvar Komise poskytující sdílené služby IT.

13)

„Bezpečností IT“ nebo „bezpečností komunikačního a informačního systému“ se rozumí zachování důvěrnosti, integrity a dostupnosti komunikačních a informačních systémů a datových souborů, které zpracovávají.

14)

„Pokyny pro bezpečnost IT“ tvoří doporučená, ale dobrovolná opatření, která napomáhají podpoře standardů bezpečnosti IT, případně slouží jako reference v případě, že není žádný použitelný standard zaveden.

15)

„Incidentem v oblasti bezpečnosti IT“ se rozumí událost, která by mohla mít nepříznivý vliv na důvěrnost, integritu nebo dostupnost komunikačního a informačního systému.

16)

„Opatřením pro bezpečnost IT“ se rozumí technické nebo organizační opatření, jehož cílem je zmírňování bezpečnostních rizik IT.

17)

„Potřebou v oblasti bezpečnosti IT“ se rozumí přesná a jednoznačná definice úrovně důvěrnosti, integrity a dostupnosti spojená s údajem nebo systémem IT, jejímž cílem je určit požadovanou úroveň ochrany.

18)

„Cílem v oblasti bezpečnosti IT“ se rozumí stanovení záměru s cílem čelit určeným hrozbám či vyhovět určeným organizačním bezpečnostním požadavkům či předpokladům.

19)

„Plánem bezpečnosti IT“ se rozumí dokumentace opatření pro bezpečnost IT nutných ke splnění potřeb v oblasti bezpečnosti IT konkrétního komunikačního a informačního systému.

20)

„Politikou bezpečnosti IT“ se rozumí soubor cílů bezpečnosti IT, které jsou nebo musí být přijaty, prováděny a kontrolovány. Zahrnuje toto rozhodnutí a jeho prováděcí pravidla.

21)

„Požadavkem na bezpečnost IT“ se rozumí potřeba v oblasti bezpečnosti IT formalizovaná předem stanoveným postupem.

22)

„Bezpečnostním rizikem IT“ se rozumí důsledek, který by mohl využitím zranitelného místa vyplynout z hrozby pro bezpečnost IT pro komunikační a informační systém. Bezpečnostní riziko IT charakterizují dva faktory: 1) nejistota, tj. pravděpodobnost, že hrozba pro bezpečnost IT způsobí nežádoucí událost, a 2) dopady, tj. důsledky, které takováto nežádoucí událost může mít na komunikační a informační systém.

23)

„Standardy bezpečnosti IT“ se rozumí konkrétní povinná opatření pro bezpečnost IT, která pomáhají prosazovat a podporovat politiku bezpečnosti IT.

24)

„Strategií pro bezpečnost IT“ se rozumí soubor projektů a činností, které jsou určeny k dosažení cílů Komise a které je nutné zavést, provádět a kontrolovat.

25)

„Hrozbou pro bezpečnost IT“ se rozumí faktor, který může potenciálně vést k nežádoucí události, v jejímž důsledku dojde k narušení komunikačního a informačního systému. Takovéto hrozby mohou být neúmyslné či úmyslné a vyznačují se ohrožujícími prvky, potenciálními cíli a metodami útoku.

26)

„Úředníkem pro bezpečnost informatiky na místní úrovni“ nebo „LISO“ se rozumí úředník, který za útvar Komise odpovídá za bezpečnostní spolupráci.

27)

„Osobní údaje“, „zpracování osobních údajů“, „správce“ a „evidence osobních údajů“ mají stejný význam, jaký uvádí nařízení (ES) č. 45/2001, a zejména jeho článek 2.

28)

„Zpracováním údajů“ se rozumí veškeré funkce komunikačního a informačního systému týkající se datových souborů včetně vytvoření, úpravy, zobrazení, uložení, přenosu, smazání a archivace údajů. Zpracování údajů může zajišťovat komunikační a informační systém jako sadu funkcí pro uživatele a jako služby IT pro další komunikační a informační systém.

29)

„Profesním tajemstvím“ se rozumí ochrana obchodních údajů, které svým charakterem spadají pod profesní tajemství, zejména informací o podnicích, jejich obchodních vztazích či složkách nákladů, jak stanovuje článek 339 SFEU.

30)

„Odpovědným“ se rozumí mající povinnost jednat a přijímat rozhodnutí k dosažení požadovaných výsledků.

31)

„Bezpečností v Komisi“ se rozumí bezpečnost osob, majetku a informací v rámci Komise, zejména pak fyzická nedotknutelnost osob a majetku, integrita, důvěrnost a dostupnost informací a komunikačních a informačních systémů a nerušené fungování Komise při plnění jejích úkolů.

32)

„Sdílenou službou IT“ se rozumí služba, kterou komunikační a informační systém poskytuje jiným komunikačním a informačním systémům v rámci zpracování údajů.

33)

„Vlastník systému“ je osoba odpovědná za celkové obstarání, vývoj, integraci, úpravy, provoz, údržbu a vyřazení komunikačního a informačního systému.

34)

„Uživatelem“ se rozumí kdokoli, kdo využívá funkce poskytované komunikačním a informačním systémem, a to uvnitř Komise i mimo ni.

a)

autenticity: záruka, že informace jsou autentické a z důvěryhodných zdrojů;

b)

dostupnosti: přístupnost a použitelnost informací na žádost oprávněného subjektu;

c)

důvěrnosti: skutečnost, že informace se nezpřístupňují neoprávněným osobám a subjektům nebo pro nedovolené účely;

d)

integrity: zajištění správnosti a úplnosti aktiv a informací;

e)

nepopiratelnosti: schopnost prokázat zpětně jednání či událost tak, aby dané jednání či událost nemohly být následně popřeny;

f)

ochrany osobních údajů: zajištění vhodných ochranných opatření týkajících se osobních údajů zcela vyhovujících nařízení (ES) č. 45/2001;

g)

profesního tajemství: ochrana údajů, které svým charakterem spadají pod profesní tajemství, zejména informací o podnicích, jejich obchodních vztazích či složkách nákladů, jak stanovuje článek 339 SFEU.

1)

zajišťovat soulad mezi politikou bezpečnosti IT a politikou bezpečnosti informací Komise;

2)

vytvořit rámec pro autorizaci používání šifrovacích technologií pro ukládání a komunikaci údajů v komunikačních a informačních systémech;

3)

informovat Generální ředitelství pro informatiku o konkrétních hrozbách, které by mohly mít významný dopad na bezpečnost komunikačních a informačních systémů a datových souborů, které zpracovávají;

4)

provádět bezpečnostní kontroly IT k vyhodnocení souladu komunikačních a informačních systémů Komise s bezpečnostní politikou a podávat zprávy o výsledcích ISSB;

5)

vytvořit rámec pro autorizaci přístupu ke komunikačním a informačním systémům Komise z vnějších sítí a pro související vhodná bezpečnostní pravidla a vypracovat související standardy a pokyny pro bezpečnost IT v úzké spolupráci s Generálním ředitelstvím pro informatiku;

6)

navrhnout zásady a pravidla pro externí zajišťování komunikačních a informačních systémů za účelem udržení vhodné kontroly nad bezpečností údajů;

7)

vypracovat příslušné standardy a pokyny pro bezpečnost IT v souvislosti s článkem 6 v úzké spolupráci s Generálním ředitelstvím pro informatiku.

1)

vypracovat standardy a pokyny pro bezpečnost IT, s výjimkou ustanovení článku 6, v úzké spolupráci s Generálním ředitelstvím pro lidské zdroje a bezpečnost, aby byla zajištěna konzistentnost mezi politikou bezpečnosti IT a politikou bezpečnosti informací Komise, a navrhnout je ISSB;

2)

vyhodnotit metody, postupy a výsledky řízení rizik pro bezpečnost IT u všech útvarů Komise a podávat o tom pravidelně zprávu ISSB;

3)

navrhnout aktuální strategii pro bezpečnost IT k revizi a schválení ISSB a dalšímu přijetí řídící radou a navrhnout program, včetně plánování projektů a činností k provádění strategie pro bezpečnost IT;

4)

sledovat plnění strategie Komise pro bezpečnost IT a pravidelně o tom podávat zprávu ISSB;

5)

sledovat bezpečnostní rizika IT a opatření pro bezpečnost IT zavedená v komunikačních a informačních systémech a pravidelně o tom podávat zprávu ISSB;

6)

pravidelně ISSB podávat zprávu o celkovém provádění a dodržování tohoto rozhodnutí;

7)

po konzultaci s Generálním ředitelstvím pro lidské zdroje a bezpečnost požádat vlastníky systémů, aby provedli konkrétní opatření pro bezpečnost IT za účelem zmírnění bezpečnostních rizik IT u komunikačních a informačních systémů Komise;

8)

zajistit, aby měli vlastníci systémů a údajů k dispozici odpovídající katalog služeb pro bezpečnost IT Generálního ředitelství pro informatiku, a mohli tak plnit své povinnosti v oblasti bezpečnosti IT a dodržovat politiku a standardy bezpečnosti IT;

9)

poskytovat vlastníkům systémů a údajů odpovídající dokumentaci a v případě potřeby s nimi konzultovat opatření pro bezpečnost IT přijatá pro jejich služby IT za účelem usnadnění dodržování politiky bezpečnosti IT a podpory vlastníků systémů v řízení rizik IT;

10)

organizovat pravidelná setkání sítě LISO a podporovat LISO při plnění jejich povinností;

11)

ve spolupráci s útvary Komise určit potřeby školení a koordinovat školicí programy v oblasti bezpečnosti IT a v úzké spolupráci s Generálním ředitelstvím pro lidské zdroje a bezpečnost vypracovat, provádět a koordinovat informační kampaně o bezpečnosti IT;

12)

zajistit, že vlastníci systémů, vlastníci údajů a další zúčastnění odpovídající za bezpečnost IT v útvarech Komise jsou obeznámeni s politikou bezpečnosti IT;

13)

informovat Generální ředitelství pro lidské zdroje a bezpečnost o konkrétních hrozbách pro bezpečnost IT, incidentech a výjimkách z politiky bezpečnosti IT Komise, které oznámili vlastníci systémů a které by mohly mít významný dopad na bezpečnost v Komisi;

14)

z hlediska jeho role interního poskytovatele služeb IT dodat Komisi katalog sdílených služeb IT, které poskytují stanovenou úroveň bezpečnosti. To se provádí systematickým vyhodnocováním, řízením a sledováním bezpečnostních rizik IT za účelem zavádění bezpečnostních opatření, kterými se dosáhne stanovené úrovně bezpečnosti.

1)

formálně jmenuje pro každý komunikační a informační systém vlastníka systému, kterým bude úředník nebo dočasný zaměstnanec a který bude odpovídat za bezpečnost IT daného komunikačního a informačního systému, a formálně jmenuje vlastníka údajů pro každý datový soubor údajů zpracovávaných v komunikačním a informačním systému, který by měl patřit ke stejnému správnímu subjektu, jenž je správcem datových souborů podléhajících nařízení (ES) č. 45/2001;

2)

formálně jmenuje úředníka pro bezpečnost informatiky na místní úrovni (LISO), který může vykonávat své úkoly nezávisle na vlastnících systému či údajů. LISO může být jmenován pro více než jeden útvar Komise;

3)

zajišťuje vypracování a provádění vhodných vyhodnocení a plánů bezpečnosti IT;

4)

zajišťuje pravidelné podávání souhrnných zpráv o bezpečnostních rizicích IT a příslušných opatření Generálnímu ředitelství pro informatiku;

5)

zajišťuje, s podporou Generálního ředitelství pro informatiku, že budou zavedeny vhodné procesy, postupy a řešení sloužící k účinnému zjišťování, hlášení a řešení incidentů v oblasti bezpečnosti IT souvisejících s jejich komunikačními a informačními systémy;

6)

spouští nouzový postup v případě nouzové situace v oblasti bezpečnosti IT;

7)

nese nejvyšší odpovědnost za bezpečnost IT včetně odpovědností vlastníka systému a vlastníka údajů;

8)

nese rizika týkající se jejich komunikačních a informačních systémů a datových souborů;

9)

řeší případné neshody mezi vlastníky údajů a vlastníky systémů a v případě pokračující neshody předkládá záležitost k řešení ISSB;

10)

zajišťuje provádění plánů a opatření pro bezpečnost IT a odpovídající pokrytí rizik.

a)

zajišťuje soulad komunikačního a informačního systému s politikou bezpečnosti IT;

b)

zajišťuje, že komunikační a informační systém je správně zaznamenán v příslušné evidenci;

c)

ve spolupráci s vlastníky údajů a po konzultaci s Generálním ředitelstvím pro informatiku vyhodnocuje bezpečnostní rizika IT a určuje potřeby v oblasti bezpečnosti IT pro každý komunikační a informační systém;

d)

připravuje bezpečnostní plán, v nezbytných případech včetně podrobností o vyhodnocených rizicích a případných dalších nutných bezpečnostních opatření;

e)

zavádí vhodná opatření pro bezpečnost IT úměrná zjištěným bezpečnostním rizikům IT a postupuje podle doporučení ISSB;

f)

identifikuje případnou závislost na jiných komunikačních a informačních systémech nebo sdílených službách IT a zavádí vhodná bezpečnostní opatření podle úrovně bezpečnosti doporučované těmito komunikačními a informačními systémy nebo sdílenými službami IT;

g)

řídí a sleduje bezpečnostní rizika IT;

h)

pravidelně podává zprávu vedoucímu útvaru Komise o profilu bezpečnostních rizik IT ve svých komunikačních a informačních systémech a podává zprávu Generálnímu ředitelství pro informatiku o souvisejících rizicích, činnostech řízení rizik a přijatých bezpečnostních opatřeních;

i)

konzultuje s LISO příslušného útvaru (útvarů) Komise aspekty bezpečnosti IT;

j)

vydává pro uživatele pokyny k používání komunikačního a informačního systému a souvisejících údajů a k odpovědnosti uživatelů v souvislosti s těmito systémy;

k)

vyžádá si autorizaci od Generálního ředitelství pro lidské zdroje a bezpečnost, které vystupuje ve funkci orgánu pro kryptografickou ochranu, pro každý komunikační a informační systém, který využívá šifrování;

l)

s předstihem vede s bezpečnostním orgánem Komise konzultace ohledně všech systémů zpracovávajících utajované informace EU;

m)

zajišťuje, že budou zálohy všech šifrovacích klíčů uloženy v účtu třetí strany. Obnovení šifrovaných údajů lze provádět pouze v případě autorizace v souladu s rámcem definovaným Generálním ředitelstvím pro lidské zdroje a bezpečnost;

n)

řídí se pokyny od příslušných správců dat ohledně ochrany osobních údajů a uplatnění pravidel ochrany údajů na bezpečnost zpracování;

o)

uvědomí Generální ředitelství pro informatiku o případných výjimkách z politiky bezpečnosti IT Komise včetně příslušných odůvodnění;

p)

vedoucímu útvaru Komise hlásí veškeré neřešitelné neshody mezi vlastníky údajů a vlastníky systémů, podle potřeby včas hlásí incidenty v oblasti bezpečnosti IT příslušným zúčastněným stranám podle závažnosti, jak vymezuje článek 15;

q)

u externě zajišťovaných systémů zajišťuje, že ve smlouvách o externím zajišťování jsou zahrnuta vhodná ustanovení týkající se bezpečnosti IT a že incidenty v oblasti bezpečnosti IT, ke kterým dochází v externě zajišťovaných komunikačních a informačních systémech, jsou hlášeny v souladu s článkem 15;

r)

u komunikačního a informačního systému poskytujícího sdílené služby IT zajišťuje, aby byla poskytnuta a jednoznačně dokumentována určená úroveň bezpečnosti a zavedena bezpečnostní opatření pro daný komunikační a informační systém za účelem dosažení určené úrovně bezpečnosti.

a)

zajišťuje, aby veškeré datové soubory, za které odpovídá, byly odpovídajícím způsobem klasifikovány v souladu s rozhodnutími (EU, Euratom) 2015/443 a (EU, Euratom) 2015/444;

b)

definuje potřeby v oblasti bezpečnosti informací a informuje o těchto potřebách příslušné vlastníky systémů;

c)

podílí se na vyhodnocování rizik pro komunikační a informační systém;

d)

hlásí případné neřešitelné neshody mezi vlastníkem údajů a vlastníkem systému vedoucímu útvaru Komise;

e)

hlásí incidenty v oblasti bezpečnosti IT, jak stanovuje článek 15.

a)

aktivně identifikuje vlastníky systémů, vlastníky údajů a další zúčastněné odpovídající za bezpečnost IT v útvarech Komise a informuje je o politice bezpečnosti IT;

b)

v otázkách bezpečnosti IT v útvarech Komise spolupracuje s Generálním ředitelstvím pro informatiku v rámci sítě LISO;

c)

účastní se pravidelných setkání LISO;

d)

udržuje přehled o procesech řízení rizika pro bezpečnost informací a o vývoji a provádění plánů bezpečnosti informačního systému;

e)

poskytuje vlastníkům údajů, vlastníkům systémů a vedoucím útvarů Komise poradenství ohledně otázek souvisejících s bezpečností IT;

f)

spolupracuje s Generálním ředitelstvím pro informatiku při šíření doporučených postupů pro bezpečnost IT a navrhuje konkrétní školicí a informativní programy;

g)

podává zprávy o bezpečnosti IT, hlásí nedostatky a možná zlepšení vedoucím útvarů Komise.

a)

dodržuje politiku bezpečnosti IT a pokyny vydávané vlastníkem systému k používání každého komunikačního a informačního systému;

b)

hlásí incidenty v oblasti bezpečnosti IT, jak stanovuje článek 15.

a)

má právo na přístup k souhrnným informacím u záznamů všech incidentů a k úplným záznamům na vyžádání;

b)

účastní se skupin krizového řízení incidentů v oblasti bezpečnosti IT a nouzových postupů pro bezpečnost IT;

c)

má na starosti vztahy s donucovacími orgány a zpravodajskými službami;

d)

provádí forenzní analýzu v oblasti kybernetické bezpečnosti v souladu s článkem 11 rozhodnutí (EU, Euratom) 2015/443;

e)

rozhoduje o zahájení formálního šetření;

f)

informuje Generální ředitelství pro informatiku o veškerých incidentech v oblasti bezpečnosti IT, které mohou představovat riziko pro jiné komunikační a informační systémy.

a)

neprodleně uvědomí vedoucí útvarů Komise, Generální ředitelství pro informatiku, Generální ředitelství pro lidské zdroje a bezpečnost, LISO a případně také vlastníka údajů o veškerých závažných incidentech v oblasti bezpečnosti IT, zejména pokud se jedná o porušení důvěrnosti údajů;

b)

při informování o incidentech, reakcích na ně a jejich nápravě spolupracuje s příslušnými orgány Komise a řídí se jejich pokyny.