11.1.2017   

DE

Amtsblatt der Europäischen Union

L 6/40

(1)

Die Kommunikations- und Informationssysteme der Kommission sind ein fester Bestandteil der Arbeitsweise der Kommission, und IT-Sicherheitsvorfälle können ernste Folgen für den Arbeitsbetrieb der Kommission sowie für Dritte, darunter auch Personen, Unternehmen und Mitgliedstaaten, haben.

(2)

Es gibt viele Bedrohungen, die der Vertraulichkeit, Integrität oder Verfügbarkeit der Kommunikations- und Informationssysteme der Kommission und der darin verarbeiteten Informationen schaden können. Zu diesen Bedrohungen gehören Unfälle, Fehler, beabsichtigte Angriffe und Naturereignisse, die als betriebliche Risiken anerkannt werden müssen.

(3)

Kommunikations- und Informationssysteme müssen mit einem Schutzniveau bereitgestellt werden, das der Wahrscheinlichkeit, den Auswirkungen und der Art der Risiken entspricht, denen sie ausgesetzt sind.

(4)

Die IT-Sicherheit in der Kommission sollte gewährleisten, dass die Kommunikations- und Informationssysteme der Kommission die von ihnen verarbeiteten Informationen schützen und unter der Kontrolle rechtmäßiger Nutzer jederzeit ordnungsgemäß funktionieren.

(5)

Das IT-Sicherheitskonzept der Kommission sollte so umgesetzt werden, dass es mit den Vorgaben für die Sicherheit in der Kommission im Einklang steht.

(6)

Die allgemeine Zuständigkeit für die Sicherheit in der Kommission obliegt der Direktion Sicherheit der Generaldirektion Humanressourcen und Sicherheit unter der Aufsicht und Verantwortung des für Sicherheit zuständigen Kommissionsmitglieds.

(7)

In ihrem Konzept sollte die Kommission die Politikinitiativen und Rechtsvorschriften der EU auf dem Gebiet der Netz- und Informationssicherheit sowie Industrienormen und bewährte Verfahren berücksichtigen, um alle einschlägigen Rechtsvorschriften einzuhalten und Interoperabilität und Kompatibilität zu ermöglichen.

(8)

Die für Kommunikations- und Informationssysteme zuständigen Kommissionsdienststellen sollten geeignete Maßnahmen ausarbeiten und umsetzen, und IT-Sicherheitsmaßnahmen zum Schutz der Kommunikations- und Informationssysteme sollten kommissionsweit koordiniert werden, damit ihre Effizienz und Wirksamkeit gewährleistet ist.

(9)

Die Vorschriften und Verfahren für den Zugang zu Informationen im Zusammenhang mit der IT-Sicherheit, einschließlich des Umgangs mit IT-Sicherheitsvorfällen, sollten in einem angemessenen Verhältnis zu der Bedrohung der Kommission oder ihrer Bediensteten stehen, den Grundsätzen entsprechen, die in der Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates (1) zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Union und zum freien Datenverkehr verankert sind, und dem Grundsatz des Berufsgeheimnisses gemäß Artikel 339 AEUV Rechnung tragen.

(10)

Die Vorgaben und Vorschriften für Kommunikations- und Informationssysteme, in denen EU-Verschlusssachen (EU-VS), andere, nicht als Verschlusssachen eingestufte vertrauliche Informationen und nicht geheime Informationen verarbeitet werden, müssen mit den Beschlüssen (EU, Euratom) 2015/443 (2) und (EU, Euratom) 2015/444 (3) der Kommission vollständig im Einklang stehen.

(11)

Es ist nötig, dass die Kommission die Bestimmungen über die Sicherheit der von ihr verwendeten Kommunikations- und Informationssysteme überprüft und auf den neuesten Stand bringt.

(12)

Der Beschluss C(2006) 3602 der Kommission sollte daher aufgehoben werden —

1.

„Verantwortlich“ bedeutet rechenschaftspflichtig für Handlungen, Entscheidungen und Leistungen;

2.

„CERT-EU“ ist das IT-Notfallteam für die Organe, Einrichtungen und sonstigen Stellen der EU. Es hat die Aufgabe, die Organe und Einrichtungen der EU beim Selbstschutz vor beabsichtigten und böswilligen Angriffen, welche die Integrität ihrer IT-Anlagen beeinträchtigen und den Interessen der EU schaden würden, zu unterstützen. Die Tätigkeitsbereiche des CERT-EU umfassen die Prävention, Erkennung, Reaktion und Wiederherstellung;

3.

„Kommissionsdienststelle“ ist eine Generaldirektion oder Dienststelle der Kommission oder ein Kabinett eines Mitglieds der Kommission;

4.

„Sicherheitsstelle der Kommission“ bezieht sich auf die im Beschluss (EU, Euratom) 2015/444 festgelegte Funktion;

5.

„Kommunikations- und Informationssystem (KIS)“ ist ein System, mit dem Informationen elektronisch verarbeitet werden können; dazu gehören alle für den Betrieb erforderlichen Anlagen sowie Infrastrukturen, Organisation, Personal und Informationsressourcen. Diese Begriffsbestimmung erfasst Geschäftsanwendungen, gemeinsam genutzte IT-Dienste, an Dritte ausgelagerte Systeme und Endnutzergeräte;

6.

„Managementkontrollgremium“ (Corporate Management Board, CMB) führt die oberste Aufsicht über das Gesamtmanagement betrieblicher und verwaltungstechnischer Fragen in der Kommission;

7.

„Dateneigner“ ist die Person, die für den Schutz und die Verwendung eines bestimmten Datensatzes, der von einem KIS verarbeitet wird, zuständig ist;

8.

„Datensatz“ ist ein Informationsbestand, der einem bestimmten Geschäftsprozess oder einer bestimmten Tätigkeit der Kommission dient;

9.

„Notverfahren“ ist eine vorbestimmte Reihe von Methoden und Zuständigkeiten für die Reaktion auf Notsituationen zur Verhinderung großer Auswirkungen auf die Kommission;

10.

„Informationssicherheitskonzept“ ist eine Reihe von Informationssicherheitszielen, die festgelegt, umgesetzt und kontrolliert werden (müssen). Es umfasst u. a. die Beschlüsse (EU, Euratom) 2015/444 und (EU, Euratom) 2015/443;

11.

„Lenkungsausschuss für Informationssicherheit“ (ISSB) ist das Leitungsgremium, welches das Managementkontrollgremium bei der Wahrnehmung seiner Aufgaben in Bezug auf die IT-Sicherheit unterstützt;

12.

„interner IT-Dienstleister“ ist eine Kommissionsdienststelle, die gemeinsam genutzte IT-Dienste bereitstellt;

13.

„IT-Sicherheit“ oder „KIS-Sicherheit“ ist die Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit von Kommunikations- und Informationssystemen und der von ihnen verarbeiteten Datensätze;

14.

„IT-Sicherheitsleitlinien“ sind empfohlene, aber freiwillige Maßnahmen, die helfen, IT-Sicherheitsnormen zu unterstützen, oder bei Fehlen anwendbarer Normen als Bezugspunkt dienen;

15.

„IT-Sicherheitsvorfall“ ist ein Vorkommnis, das die Vertraulichkeit, Integrität oder Verfügbarkeit eines KIS beeinträchtigen könnte;

16.

„IT-Sicherheitsmaßnahme“ ist eine technische oder organisatorische Maßnahme zur Minderung von IT-Sicherheitsrisiken;

17.

„IT-Sicherheitsbedarf“ ist eine genaue und eindeutige Festlegung des Vertraulichkeits-, Integritäts- und Verfügbarkeitsgrads einer Information oder eines Informations- oder IT-Systems, um das erforderliche Schutzniveau zu bestimmen;

18.

„IT-Sicherheitsziel“ ist eine Absichtserklärung zur Abwehr bestimmter Bedrohungen und/oder zur Einhaltung bestimmter organisatorischer Sicherheitsanforderungen oder -annahmen;

19.

„IT-Sicherheitsplan“ ist die Dokumentation der IT-Sicherheitsmaßnahmen, die erforderlich sind, um den IT-Sicherheitsbedarf eines KIS zu decken;

20.

„IT-Sicherheitskonzept“ ist eine Reihe von IT-Sicherheitszielen, die festgelegt, umgesetzt und kontrolliert werden (müssen). Es umfasst diesen Beschluss und seine Durchführungsbestimmungen;

21.

„IT-Sicherheitsanforderung“ ist ein in einem vorher festgelegten Prozess formulierter IT-Sicherheitsbedarf;

22.

„IT-Sicherheitsrisiko“ ist eine Folge, die sich durch die Ausnutzung einer Schwachstelle aus einer IT-Sicherheitsbedrohung auf ein KIS ergeben kann. Ein IT-Sicherheitsrisiko ist durch zwei Faktoren gekennzeichnet: 1) Ungewissheit, d. h. die Wahrscheinlichkeit, dass eine IT-Sicherheitsbedrohung ein unerwünschtes Vorkommnis verursacht, und 2) die Auswirkung, d. h. die möglichen Konsequenzen eines solchen unerwünschten Vorkommnisses auf ein KIS;

23.

„IT-Sicherheitsnormen“ sind bestimmte verbindliche IT-Sicherheitsmaßnahmen, die helfen, das IT-Sicherheitskonzept durchzusetzen und zu unterstützen;

24.

„IT-Sicherheitsstrategie“ ist eine Reihe von Projekten und Tätigkeiten, die dazu beitragen sollen, die Ziele der Kommission zu erfüllen, und die festgelegt, umgesetzt und kontrolliert werden müssen;

25.

„IT-Sicherheitsbedrohung“ ist ein Faktor, der potenziell zu einem unerwünschten Vorkommnis führen kann, durch das ein Schaden an einem KIS entsteht. Solche Bedrohungen können unbeabsichtigt oder beabsichtigt sein und unterscheiden sich nach Bedrohungselementen, potenziellen Zielen und Angriffsmethoden;

26.

„Lokaler IT-Sicherheitsbeauftragter (LISO)“ ist die in einer Kommissionsdienststelle für die Zusammenarbeit in IT-Sicherheitsfragen zuständige Person;

27.

die Begriffe „personenbezogene Daten“, „Verarbeitung personenbezogener Daten“, „für die Verarbeitung Verantwortlicher“ und „Datei mit personenbezogenen Daten“ haben dieselbe Bedeutung wie in der Verordnung (EG) Nr. 45/2001, insbesondere in deren Artikel 2;

28.

„Informationsverarbeitung“ sind alle Funktionen eines KIS in Bezug auf Datensätze, beispielsweise das Erstellen, Ändern, Anzeigen, Speichern, Übertragen und Archivieren von Informationen. Die Verarbeitung von Informationen kann von einem KIS als Funktionsangebot für die Nutzer oder als IT-Dienste für andere KIS durchgeführt werden;

29.

„Berufsgeheimnis“ ist der Schutz von Geschäftsdaten und -informationen, die ihrem Wesen nach unter das Berufsgeheimnis fallen, insbesondere von Informationen über Unternehmen, ihre Geschäftsbeziehungen und ihre Kostenelemente gemäß Artikel 339 AEUV;

30.

„zuständig“ bedeutet verpflichtet zu sein, zu handeln und Entscheidungen zu treffen, um verlangte Ergebnisse zu erzielen;

31.

„Sicherheit in der Kommission“ ist die Sicherheit von Personen, Vermögenswerten und Informationen in der Kommission, insbesondere die physische Unversehrtheit von Personen und Vermögenswerten, die Integrität, Vertraulichkeit und Verfügbarkeit von Informationen und Kommunikations- und Informationssystemen sowie die ungehinderte Arbeitsfähigkeit der Kommission;

32.

„gemeinsam genutzter IT-Dienst“ ist ein Dienst, den ein KIS für andere KIS für die Informationsverarbeitung bereitstellt;

33.

„Systemeigner“ ist die Person, die insgesamt für Beschaffung, Entwicklung, Integration, Änderung, Betrieb, Wartung und Ablösung eines KIS zuständig ist;

34.

„Nutzer“ ist jede Person, die von einem KIS bereitgestellte Funktionen innerhalb oder außerhalb der Kommission benutzt.

a)

Authentizität: Es ist sichergestellt, dass die Informationen echt sind und aus gutgläubigen Quellen stammen;

b)

Verfügbarkeit: Die Informationen sind auf Anfrage einer befugten Stelle verfügbar und nutzbar;

c)

Vertraulichkeit: Die Informationen werden nicht gegenüber unbefugten Personen, Stellen oder Verarbeitungsprozessen offengelegt;

d)

Integrität: Die Genauigkeit und die Vollständigkeit der Informationen und Vermögenswerte sind gewährleistet;

e)

Beweisbarkeit: Es kann nachgewiesen werden, dass ein Vorgang oder ein Ereignis stattgefunden hat, sodass dieser Vorgang oder dieses Ereignis nicht nachträglich abgestritten werden kann;

f)

Schutz personenbezogener Daten: Es bestehen angemessene Schutzvorkehrungen für personenbezogene Daten im vollen Einklang mit der Verordnung (EG) Nr. 45/2001;

g)

Berufsgeheimnis: der Schutz von Informationen, die ihrem Wesen nach unter das Berufsgeheimnis fallen, insbesondere von Informationen über Unternehmen, ihre Geschäftsbeziehungen und ihre Kostenelemente gemäß Artikel 339 AEUV.

1.

Sie gewährleistet die Abstimmung zwischen dem IT-Sicherheitskonzept und dem Informationssicherheitskonzept der Kommission;

2.

sie stellt einen Rahmen für die Genehmigung der Anwendung von Verschlüsselungstechnik bei der Speicherung und Übermittlung von Informationen durch KIS auf;

3.

sie informiert die Generaldirektion Informatik über konkrete Bedrohungen, die sich beträchtlich auf die Sicherheit von KIS und der von ihnen verarbeiteten Datensätze auswirken könnten;

4.

sie führt IT-Sicherheitsüberprüfungen durch, um die Einhaltung des Sicherheitskonzepts durch die KIS der Kommission zu beurteilen, und erstattet dem ISSB über die Ergebnisse Bericht.

5.

sie stellt einen Rahmen für die Genehmigung des Zugangs von externen Netzen zu den KIS der Kommission und für die dafür geltenden angemessenen Sicherheitsvorschriften auf und arbeitet in enger Zusammenarbeit mit der Generaldirektion Informatik die entsprechenden IT-Sicherheitsnormen und -leitlinien aus;

6.

sie schlägt Grundsätze und Vorschriften für die Auslagerung von KIS an Dritte vor, damit eine angemessene Kontrolle der Informationssicherheit gewahrt bleibt;

7.

sie arbeitet in enger Zusammenarbeit mit der Generaldirektion Informatik entsprechende IT-Sicherheitsnormen und -leitlinien in Bezug auf Artikel 6 aus.

1.

Außer in den in Artikel 6 genannten Fällen arbeitet sie IT-Sicherheitsnormen und -leitlinien in enger Zusammenarbeit mit der Generaldirektion Humanressourcen und Sicherheit aus, um die Übereinstimmung zwischen dem IT-Sicherheitskonzept und dem Informationssicherheitskonzept der Kommission zu gewährleisten, und schlägt sie dem ISSB vor;

2.

sie bewertet die Methoden, Prozesse und Ergebnisse des IT-Sicherheitsrisikomanagements aller Kommissionsdienststellen und erstattet dem ISSB hierüber regelmäßig Bericht;

3.

sie schlägt eine fortlaufende IT-Sicherheitsstrategie vor, die sie dem ISSB zur Überarbeitung und Annahme sowie zur weiteren Billigung durch das Managementkontrollgremium vorlegt; außerdem schlägt sie ein Programm mit der Projektplanung und den Tätigkeiten zur Umsetzung der IT-Sicherheitsstrategie vor;

4.

sie überwacht die Durchführung der IT-Sicherheitsstrategie der Kommission und erstattet dem ISSB hierüber regelmäßig Bericht;

5.

sie überwacht die IT-Sicherheitsrisiken und die in den KIS umgesetzten IT-Sicherheitsmaßnahmen und erstattet dem ISSB hierüber regelmäßig Bericht;

6.

sie erstattet dem ISSB regelmäßig Bericht über die Gesamtdurchführung und die Einhaltung dieses Beschlusses;

7.

sie fordert die Systemeigner — nach Konsultation der Generaldirektion Humanressourcen und Sicherheit — auf, bestimmte IT-Sicherheitsmaßnahmen zu ergreifen, um IT-Sicherheitsrisiken in Bezug auf die KIS der Kommission zu mindern;

8.

sie sorgt dafür, dass den Systemeignern und Dateneignern ein angemessener Katalog der Generaldirektion Informatik für IT-Sicherheitsdienste zur Verfügung steht, damit sie ihre Zuständigkeiten für die IT-Sicherheit wahrnehmen sowie das IT-Sicherheitskonzept und die IT-Sicherheitsnormen einhalten können;

9.

sie stellt den Systemeignern und Dateneignern eine angemessene Dokumentation zur Verfügung und konsultiert sie gegebenenfalls zu den auf deren IT-Dienste angewandten IT-Sicherheitsmaßnahmen, um die Einhaltung des IT-Sicherheitskonzepts zu erleichtern und die Systemeigner beim IT-Risikomanagement zu unterstützen;

10.

sie veranstaltet regelmäßige Sitzungen des LISO-Netzes und unterstützt die LISO bei der Erfüllung ihrer Aufgaben;

11.

sie legt den Schulungsbedarf fest und koordiniert die Schulungsprogramme zur IT-Sicherheit in Zusammenarbeit mit den Kommissionsdienststellen; sie übernimmt die Entwicklung, Umsetzung und Koordinierung von Sensibilisierungskampagnen zur IT-Sicherheit in enger Zusammenarbeit mit der Generaldirektion Humanressourcen und Sicherheit;

12.

sie sorgt dafür, dass Systemeigner, Dateneigner und andere Beteiligte mit Zuständigkeit für die IT-Sicherheit in den Kommissionsdienststellen mit dem IT-Sicherheitskonzept vertraut gemacht werden;

13.

sie informiert die Generaldirektion Humanressourcen und Sicherheit über konkrete IT-Sicherheitsbedrohungen und -vorfälle sowie Ausnahmen vom IT-Sicherheitskonzept der Kommission, die von den Systemeignern gemeldet werden und sich beträchtlich auf die Sicherheit in der Kommission auswirken könnten;

14.

sie stellt der Kommission in ihrer Rolle als interner Dienstleister einen Katalog für gemeinsam genutzte IT-Dienste mit festgelegten Sicherheitsgraden bereit. Dies erfolgt durch die systematische Bewertung, das Management und die Überwachung von IT-Sicherheitsrisiken im Hinblick auf die Umsetzung von Sicherheitsmaßnahmen, mit denen der festgelegte Sicherheitsgrad erreicht wird.

1.

Sie ernennen förmlich als Systemeigner für jedes KIS einen Beamten oder Bediensteten auf Zeit, der für die IT-Sicherheit dieses KIS zuständig ist; ferner ernennen sie förmlich für jeden in einem KIS verarbeiteten Datensatz einen Dateneigner, der derselben Verwaltungseinheit angehören sollte, die auch für die Verarbeitung der unter die Verordnung (EG) Nr. 45/2001 fallenden Datensätze zuständig ist;

2.

sie benennen förmlich einen lokalen IT-Sicherheitsbeauftragten (LISO), der seine Zuständigkeiten unabhängig von Systemeignern und Dateneignern wahrnehmen kann. Ein LISO kann für eine oder mehrere Kommissionsdienststellen benannt werden;

3.

sie sorgen dafür, dass angemessene IT-Sicherheitsrisikobewertungen durchgeführt und IT-Sicherheitspläne aufgestellt und umgesetzt werden;

4.

sie sorgen dafür, dass der Generaldirektion Informatik regelmäßig eine Zusammenfassung der IT-Sicherheitsrisiken und -maßnahmen übermittelt wird;

5.

sie sorgen mit Unterstützung der Generaldirektion Informatik dafür, dass angemessene Prozesse, Verfahren und Lösungen bestehen, um eine effiziente Erkennung, Meldung und Behebung von IT-Sicherheitsvorfällen in Bezug auf ihre KIS zu gewährleisten;

6.

sie leiten bei IT-Sicherheitsnotfällen ein Notverfahren ein;

7.

sie sind letztlich für die IT-Sicherheit einschließlich der Zuständigkeiten des Systemeigners und Dateneigners verantwortlich;

8.

sie tragen die Risiken in Bezug auf ihre KIS und Datensätze;

9.

sie lösen Streitigkeiten zwischen Dateneignern und Systemeignern und legen fortdauernde Streitigkeiten dem ISSB zur Beilegung vor;

10.

sie sorgen dafür, dass IT-Sicherheitspläne und IT-Sicherheitsmaßnahmen umgesetzt werden und dass den Risiken angemessen begegnet wird.

a)

Er sorgt für die Einhaltung des IT-Sicherheitskonzepts durch das KIS;

b)

er sorgt dafür, dass das KIS im betreffenden Bestandsverzeichnis exakt erfasst wird;

c)

er bewertet die IT-Sicherheitsrisiken und bestimmt den IT-Sicherheitsbedarf für jedes KIS in Zusammenarbeit mit den Dateneignern und in Abstimmung mit der Generaldirektion Informatik;

d)

er stellt einen Sicherheitsplan auf, der gegebenenfalls Einzelheiten über die bewerteten Risiken und über zusätzlich erforderliche Sicherheitsmaßnahmen enthält;

e)

er setzt angemessene IT-Sicherheitsmaßnahmen um, die im Verhältnis zu den festgestellten IT-Sicherheitsrisiken stehen, und kommt den vom ISSB gebilligten Empfehlungen nach;

f)

er stellt etwaige Abhängigkeiten von anderen KIS oder gemeinsam genutzten IT-Diensten fest und setzt gegebenenfalls angemessene Sicherheitsmaßnahmen um, wobei er sich auf die Sicherheitsgrade stützt, die von diesen KIS oder gemeinsam genutzten IT-Diensten vorgeschlagen werden;

g)

er übernimmt das Management und die Überwachung der IT-Sicherheitsrisiken;

h)

er berichtet dem Leiter der Kommissionsdienststelle regelmäßig über die IT-Sicherheitsrisikoprofile ihrer KIS und der Generaldirektion Informatik über die betreffenden Risiken, Risikomanagementtätigkeiten und ergriffenen Sicherheitsmaßnahmen;

i)

er konsultiert den LISO der betreffenden Kommissionsdienststelle(n) zu Aspekten der IT-Sicherheit;

j)

er gibt den Nutzern Anweisungen für die Nutzung des KIS und der zugehörigen Daten sowie im Hinblick auf die Verantwortlichkeiten der Nutzer im Zusammenhang mit dem KIS;

k)

er beantragt bei der Generaldirektion Humanressourcen und Sicherheit, die als kryptografische Stelle tätig ist, Genehmigungen für KIS, die Verschlüsselungstechnik einsetzen;

l)

er konsultiert vorab die Sicherheitsstelle der Kommission bezüglich jedes Systems, das EU-Verschlusssachen verarbeitet;

m)

er stellt sicher, dass Sicherheitskopien aller zur Entschlüsselung benötigten Schlüssel in einem Sperrkonto gespeichert werden. Die Entschlüsselung der verschlüsselten Daten darf nur erfolgen, wenn dies im Einklang mit dem von der Generaldirektion Humanressourcen und Sicherheit festgelegten Rahmen genehmigt worden ist;

n)

er befolgt alle Anweisungen der jeweiligen für die Datenverarbeitung Verantwortlichen bezüglich des Schutzes personenbezogener Daten und der Anwendung der Datenschutzvorschriften auf die Sicherheit der Verarbeitung;

o)

er meldet der Generaldirektion Informatik alle Ausnahmen vom IT-Sicherheitskonzept der Kommission mit den jeweiligen Begründungen;

p)

er berichtet dem Leiter der Kommissionsdienststelle über unlösbare Streitigkeiten zwischen Dateneigner und Systemeigner und benachrichtigt die jeweils Betroffenen zeitnah von IT-Sicherheitsvorfällen, soweit dies je nach der Schwere des Vorfalls gemäß Artikel 15 geboten ist;

q)

bei an Dritte ausgelagerten Systemen sorgt er dafür, dass angemessene IT-Sicherheitsbestimmungen in die Auslagerungsverträge aufgenommen werden und dass IT-Sicherheitsvorfälle, die in dem ausgelagerten KIS auftreten, gemäß Artikel 15 gemeldet werden;

r)

bei KIS, die gemeinsam genutzte IT-Dienste bereitstellen, sorgt er dafür, dass ein festgelegter Sicherheitsgrad zur Verfügung steht und eindeutig dokumentiert ist und dass Sicherheitsmaßnahmen für das KIS umgesetzt werden, um den festgelegten Sicherheitsgrad zu erreichen.

a)

Er sorgt dafür, dass alle Datensätze, für die er zuständig ist, gemäß den Beschlüssen (EU, Euratom) 2015/443 und (EU, Euratom) 2015/444 angemessen eingestuft werden;

b)

er definiert den Sicherheitsbedarf der Informationen und teilt ihn dem Systemeigner mit;

c)

er nimmt an der Risikobewertung des KIS teil;

d)

er berichtet dem Leiter der Kommissionsdienststelle über unlösbare Streitigkeiten zwischen Dateneigner und Systemeigner;

e)

er meldet IT-Sicherheitsvorfälle gemäß Artikel 15.

a)

Er ermittelt proaktiv Systemeigner, Dateneigner und andere Beteiligte mit Zuständigkeit für die IT-Sicherheit in den Kommissionsdienststellen und informiert sie über das IT-Sicherheitskonzept;

b)

er arbeitet in Fragen der IT-Sicherheit in den Kommissionsdienststellen als Teil des LISO-Netzes mit der Generaldirektion Informatik zusammen;

c)

er nimmt an den regelmäßigen Sitzungen des LISO-Netzes teil;

d)

er behält den Überblick über den Risikomanagementprozess für die Informationssicherheit und über die Ausarbeitung und Umsetzung von Sicherheitsplänen für Informationssysteme;

e)

er berät die Systemeigner, Dateneigner und Leiter der Kommissionsdienststellen in Fragen der IT-Sicherheit;

f)

er arbeitet mit der Generaldirektion Informatik bei der Verbreitung der bewährten IT-Sicherheitspraxis zusammen und schlägt konkrete Sensibilisierungs- und Schulungsprogramme vor;

g)

er berichtet dem Leiter der Kommissionsdienststelle über die IT-Sicherheit, deckt Mängel auf und schlägt Verbesserungen vor.

a)

Sie beachten das IT-Sicherheitskonzept und die Anweisungen des Systemeigners bezüglich der Nutzung jedes KIS;

b)

sie melden IT-Sicherheitsvorfälle gemäß Artikel 15.

a)

Sie hat ein Zugriffsrecht auf zusammengefasste Informationen über alle Vorfälle und erhält auf Anfrage Zugang zu den vollständigen Aufzeichnungen;

b)

sie wirkt in Krisenmanagementgruppen für IT-Sicherheitsvorfälle und in IT-Sicherheitsnotverfahren mit;

c)

sie ist für die Beziehungen zu Strafverfolgungsbehörden und Nachrichtendiensten zuständig;

d)

sie führt forensische Cybersicherheitsanalysen gemäß Artikel 11 des Beschlusses (EU, Euratom) 2015/443 durch;

e)

sie entscheidet über die Notwendigkeit der Einleitung einer förmlichen Untersuchung;

f)

sie unterrichtet die Generaldirektion Informatik über alle IT-Sicherheitsvorfälle, aus denen sich ein Risiko für andere KIS ergeben könnte.

a)

Sie benachrichtigen unverzüglich den Leiter ihrer Kommissionsdienststelle, die Generaldirektion Informatik, die Generaldirektion Humanressourcen und Sicherheit, den LISO und gegebenenfalls den Dateneigner von allen größeren IT-Sicherheitsvorfällen, insbesondere wenn dabei die Vertraulichkeit von Daten verletzt wurde;

b)

sie arbeiten mit den einschlägigen Stellen der Kommission zusammen und befolgen deren Anweisungen in Bezug auf die Information über den Vorfall, die Reaktion und Abhilfemaßnahmen.