EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32010D0260
2010/260/: Commission Decision of 4 May 2010 on the Security Plan for the operation of the Visa Information System
2010/260/: Απόφαση της Επιτροπής, της 4ης Μαΐου 2010 , για το σχέδιο ασφαλείας σχετικά με τη λειτουργία του συστήματος πληροφοριών για τις θεωρήσεις
2010/260/: Απόφαση της Επιτροπής, της 4ης Μαΐου 2010 , για το σχέδιο ασφαλείας σχετικά με τη λειτουργία του συστήματος πληροφοριών για τις θεωρήσεις
OJ L 112, 5.5.2010, p. 25–30
(BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
Special edition in Croatian: Chapter 19 Volume 016 P. 224 - 229
Date of entry into force unknown (pending notification) or not yet in force.
|
5.5.2010 |
EL |
Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης |
L 112/25 |
ΑΠΌΦΑΣΗ ΤΗΣ ΕΠΙΤΡΟΠΉΣ
της 4ης Μαΐου 2010
για το σχέδιο ασφαλείας σχετικά με τη λειτουργία του συστήματος πληροφοριών για τις θεωρήσεις
(2010/260/ΕΕ)
Η ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ,
Έχοντας υπόψη:
τη συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης,
τον κανονισμό (ΕΚ) αριθ. 767/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 9ης Ιουλίου 2008, για το σύστημα πληροφοριών για τις θεωρήσεις (VIS) και την ανταλλαγή δεδομένων μεταξύ κρατών μελών για τις θεωρήσεις μικρής διάρκειας (κανονισμός VIS) (1), και ιδίως το άρθρο 32,
Εκτιμώντας τα ακόλουθα:
|
(1) |
Το άρθρο 32 παράγραφος 3 του κανονισμού (ΕΚ) αριθ. 767/2008 προβλέπει ότι η διαχειριστική αρχή μεριμνά ώστε να επιτύχει τους στόχους στον τομέα της ασφάλειας που προβλέπονται στο άρθρο 32 παράγραφος 2 όσον αφορά τη λειτουργία του VIS, συμπεριλαμβανομένης της υιοθέτησης σχεδίου ασφαλείας. |
|
(2) |
Το άρθρο 26 παράγραφος 4 του κανονισμού (ΕΚ) αριθ. 767/2008 προβλέπει ότι κατά τη μεταβατική περίοδο έως ότου η διαχειριστική αρχή αναλάβει τα καθήκοντά της, η Επιτροπή αναλαμβάνει την επιχειρησιακή διαχείριση του VIS. |
|
(3) |
Ο κανονισμός (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (2), διέπει την επεξεργασία δεδομένων προσωπικού χαρακτήρα από την Επιτροπή οσάκις η επεξεργασία αυτή πραγματοποιείται κατά την άσκηση καθηκόντων της που συνδέονται με την επιχειρησιακή διαχείριση του VIS. |
|
(4) |
Το άρθρο 26 παράγραφος 7 του κανονισμού (ΕΚ) αριθ. 767/2008 προβλέπει ότι η Επιτροπή, αν μεταβιβάσει την ευθύνη κατά τη μεταβατική περίοδο έως ότου η διαχειριστική αρχή αναλάβει τα καθήκοντά της, μεριμνά ώστε η μεταβίβαση να μη θίγει το μηχανισμό αποτελεσματικού ελέγχου κατ’ εφαρμογή του κοινοτικού δικαίου, είτε αυτός ασκείται από το Δικαστήριο, είτε από το Ελεγκτικό Συνέδριο είτε από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων. |
|
(5) |
Η διαχειριστική αρχή θεσπίζει το δικό της σχέδιο ασφαλείας όσον αφορά το VIS μόλις αναλάβει τα καθήκοντά της. |
|
(6) |
Η απόφαση της Επιτροπής 2008/602/ΕΚ, της 17ης Ιουνίου 2008, για τον καθορισμό της διάρθρωσης και των απαιτήσεων των εθνικών διεπαφών και της υποδομής επικοινωνίας μεταξύ του κεντρικού συστήματος πληροφοριών για τις θεωρήσεις (VIS) και των εθνικών διεπαφών κατά τη φάση ανάπτυξης (3), περιέγραψε τις απαιτούμενες υπηρεσίες ασφαλείας για το δίκτυο του VIS. |
|
(7) |
Το άρθρο 27 του κανονισμού (ΕΚ) αριθ. 767/2008 προβλέπει ότι το κύριο κεντρικό VIS, που έχει την τεχνική εποπτεία και διοίκηση, εδρεύει στο Στρασβούργο (Γαλλία), ενώ στο Sankt Johann im Pongau (Αυστρία) βρίσκεται ένα εφεδρικό κεντρικό VIS, το οποίο μπορεί να διενεργεί όλες τις λειτουργίες του βασικού κεντρικού VIS αν εκείνο υποστεί βλάβη. |
|
(8) |
Τα καθήκοντα των υπεύθυνων ασφαλείας θα καθοριστούν κατά τρόπο ώστε η ανταπόκριση σε προβλήματα ασφαλείας να είναι η κατάλληλη και αποτελεσματική και να υποβάλλονται οι σχετικές εκθέσεις. |
|
(9) |
Θα θεσπιστεί μια πολιτική ασφαλείας, με την περιγραφή όλων των τεχνικών και λειτουργικών λεπτομερειών, σύμφωνα με τις διατάξεις της παρούσας απόφασης. |
|
(10) |
Θα καθοριστούν μέτρα για την εξασφάλιση του κατάλληλου επιπέδου ασφαλείας στη λειτουργία του VIS, |
ΕΞΕΔΩΣΕ ΤΗΝ ΠΑΡΟΥΣΑ ΑΠΟΦΑΣΗ:
ΚΕΦΑΛΑΙΟ I
ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
Άρθρο 1
Αντικείμενο
Η παρούσα απόφαση καθορίζει την οργάνωση ασφαλείας και τα μέτρα (σχέδιο ασφαλείας) σύμφωνα με το άρθρο 32 παράγραφος 3 του κανονισμού (ΕΚ) αριθ. 767/2008.
ΚΕΦΑΛΑΙΟ II
ΟΡΓΑΝΩΣΗ, ΑΡΜΟΔΙΟΤΗΤΕΣ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗ ΠΕΡΙΣΤΑΤΙΚΩΝ
Άρθρο 2
Καθήκοντα της Επιτροπής
1. Η Επιτροπή εφαρμόζει και παρακολουθεί την αποτελεσματικότητα των μέτρων ασφαλείας για το κεντρικό VIS και την επικοινωνιακή υποδομή που αναφέρονται στην παρούσα απόφαση.
2. Η Επιτροπή ορίζει έναν από τους υπαλλήλους της ως υπεύθυνο ασφαλείας του συστήματος. Ο υπεύθυνος ασφαλείας του συστήματος ορίζεται από τον γενικό διευθυντή της Γενικής Διεύθυνσης Δικαιοσύνης, Ελευθερίας και Ασφαλείας της Επιτροπής. Ο υπεύθυνος ασφαλείας του συστήματος έχει, ειδικότερα, τα ακόλουθα καθήκοντα:
|
α) |
προετοιμάζει, ενημερώνει και αναθεωρεί την πολιτική ασφαλείας, όπως αυτή περιγράφεται στο άρθρο 7 της παρούσας απόφασης· |
|
β) |
παρακολουθεί την αποτελεσματικότητα της εφαρμογής των διαδικασιών ασφαλείας του κεντρικού VIS και της επικοινωνιακής υποδομής· |
|
γ) |
συμβάλλει στην εκπόνηση των εκθέσεων για την ασφάλεια, όπως αναφέρεται στο άρθρο 50 παράγραφοι 3 και 4 του κανονισμού (ΕΚ) αριθ. 767/2008· |
|
δ) |
ασκεί καθήκοντα συντονισμού και παροχής βοήθειας κατά τη διενέργεια των ελέγχων από τον ευρωπαίο επόπτη προστασίας δεδομένων, όπως αναφέρεται στο άρθρο 42 του κανονισμού (ΕΚ) αριθ. 767/2008· |
|
ε) |
ελέγχει εάν η παρούσα απόφαση και η πολιτική ασφαλείας εφαρμόζονται ορθά και πλήρως από όλους τους εργολήπτες, συμπεριλαμβανομένων των υπεργολάβων που συμμετέχουν με οποιοδήποτε τρόπο στη διαχείριση και λειτουργία του VIS· |
|
ζ) |
διατηρεί κατάλογο των εθνικών σημείων επαφής για την ασφάλεια του VIS, τον οποίο γνωστοποιεί στον τοπικούς υπευθύνους ασφαλείας για το κεντρικό VIS και την επικοινωνιακή υποδομή. |
Άρθρο 3
Τοπικός υπεύθυνος ασφαλείας για το κεντρικό VIS
1. Με την επιφύλαξη του άρθρου 8, η Επιτροπή ορίζει από τους υπαλλήλους της έναν τοπικό υπεύθυνο ασφαλείας για το κεντρικό VIS. Αποφεύγεται κάθε σύγκρουση συμφερόντων μεταξύ των καθηκόντων του τοπικού υπεύθυνου ασφαλείας και κάθε άλλου υπηρεσιακού καθήκοντος. Ο τοπικός υπεύθυνος ασφαλείας για το κεντρικό VIS ορίζεται από τον γενικό διευθυντή της Γενικής Διεύθυνσης Δικαιοσύνης, Ελευθερίας και Ασφαλείας της Επιτροπής.
2. Ο τοπικός υπεύθυνος ασφαλείας για το κεντρικό VIS μεριμνά ώστε τα μέτρα ασφαλείας που αναφέρονται στην παρούσα απόφαση να εφαρμόζονται, και οι σχετικές διαδικασίες να ακολουθούνται στο κύριο κεντρικό VIS. Όσον αφορά το εφεδρικό κεντρικό VIS, ο τοπικός υπεύθυνος ασφαλείας για το κεντρικό VIS μεριμνά επίσης ώστε τα μέτρα ασφαλείας που αναφέρονται στην παρούσα απόφαση, με εξαίρεση αυτά που αναφέρονται στο άρθρο 10, να εφαρμόζονται, και οι σχετικές διαδικασίες ασφαλείας να ακολουθούνται.
3. Ο τοπικός υπεύθυνος ασφαλείας για το κεντρικό VIS μπορεί να αναθέτει οποιοδήποτε από τα καθήκοντά του σε υφισταμένους του. Αποφεύγεται κάθε σύγκρουση συμφερόντων μεταξύ της υποχρέωσης εκτέλεσης των εν λόγω καθηκόντων και κάθε άλλου υπηρεσιακού καθήκοντος. Η επικοινωνία με τον τοπικό υπεύθυνο ασφαλείας ή τον εν υπηρεσία υφιστάμενό του είναι δυνατή ανά πάσα στιγμή, μέσω ενός αριθμού τηλεφώνου και μιας διεύθυνσης επαφής.
4. Ο τοπικός υπεύθυνος ασφαλείας για το κεντρικό VIS εκτελεί τα καθήκοντα που προκύπτουν από τη λήψη μέτρων ασφαλείας στους χώρους του κύριου και του εφεδρικού κεντρικού VIS, εντός των ορίων της παραγράφου 1, και συγκεκριμένα:
|
α) |
ασκεί καθήκοντα σχετικά με την τοπική λειτουργική ασφάλεια, στα οποία περιλαμβάνονται ο έλεγχος των ζωνών ασφαλείας, οι τακτικές δοκιμές ασφαλείας, ο γενικός έλεγχος και η υποβολή εκθέσεων· |
|
β) |
παρακολουθεί την αποτελεσματικότητα του σχεδίου αδιάκοπτης λειτουργίας και εξασφαλίζει την τακτική διενέργεια ασκήσεων· |
|
γ) |
εξασφαλίζει αποδεικτικά στοιχεία και αναφέρει στον υπεύθυνο ασφαλείας του συστήματος κάθε περιστατικό που ενδέχεται να έχει επίπτωση στην ασφάλεια του κεντρικού VIS ή την επικοινωνιακή υποδομή· |
|
δ) |
ενημερώνει τον υπεύθυνο ασφαλείας του συστήματος εάν απαιτείται τροποποίηση της πολιτικής ασφαλείας· |
|
ε) |
ελέγχει εάν η παρούσα απόφαση και η πολιτική ασφαλείας εφαρμόζονται από όλους τους εργολήπτες, συμπεριλαμβανομένων των υπεργολάβων που συμμετέχουν με οποιοδήποτε τρόπο στη διαχείριση και λειτουργία του κεντρικού VIS· |
|
στ) |
εξασφαλίζει ότι το προσωπικό γνωρίζει τις υποχρεώσεις του και παρακολουθεί την εφαρμογή της πολιτικής ασφαλείας· |
|
ζ) |
παρακολουθεί τις εξελίξεις όσον αφορά την ασφάλεια των πληροφοριακών συστημάτων και μεριμνά για την ανάλογη επιμόρφωση του προσωπικού· |
|
η) |
συγκεντρώνει τις σχετικές πληροφορίες και προτείνει επιλογές για τη θέσπιση, ενημέρωση και αναθεώρηση της πολιτικής ασφαλείας, σύμφωνα με το άρθρο 7. |
Άρθρο 4
Τοπικός υπεύθυνος ασφαλείας για την επικοινωνιακή υποδομή
1. Με την επιφύλαξη του άρθρου 8, η Επιτροπή ορίζει από τους υπαλλήλους της έναν τοπικό υπεύθυνο ασφαλείας για την επικοινωνιακή υποδομή. Αποφεύγεται κάθε σύγκρουση συμφερόντων μεταξύ των καθηκόντων του υπεύθυνου τοπικής ασφαλείας και κάθε άλλου υπηρεσιακού καθήκοντος. Ο τοπικός υπεύθυνος ασφαλείας για την επικοινωνιακή υποδομή ορίζεται από τον γενικό διευθυντή της Γενικής Διεύθυνσης Δικαιοσύνης, Ελευθερίας και Ασφαλείας της Επιτροπής.
2. Ο τοπικός υπεύθυνος ασφαλείας για την επικοινωνιακή υποδομή παρακολουθεί τη λειτουργία της επικοινωνιακής υποδομής και μεριμνά ώστε τα μέτρα ασφαλείας να εφαρμόζονται, και οι σχετικές διαδικασίες να ακολουθούνται.
3. Ο τοπικός υπεύθυνος ασφαλείας για την επικοινωνιακή υποδομή μπορεί να αναθέτει οποιοδήποτε από τα καθήκοντά του σε υφισταμένους του. Αποφεύγεται κάθε σύγκρουση συμφερόντων μεταξύ της υποχρέωσης εκτέλεσης των εν λόγω καθηκόντων και κάθε άλλου υπηρεσιακού καθήκοντος. Η επικοινωνία με τον τοπικό υπεύθυνο ασφαλείας ή τον εν υπηρεσία υφιστάμενό του είναι δυνατή ανά πάσα στιγμή, μέσω ενός αριθμού τηλεφώνου και μιας διεύθυνσης επαφής.
4. Ο τοπικός υπεύθυνος ασφαλείας για την επικοινωνιακή υποδομή εκτελεί τα καθήκοντα που προκύπτουν από τη λήψη μέτρων ασφαλείας στην επικοινωνιακή υποδομή, και συγκεκριμένα:
|
α) |
εκτελεί όλα τα καθήκοντα λειτουργικής ασφαλείας που σχετίζονται με την επικοινωνιακή υποδομή, στα οποία περιλαμβάνονται ο έλεγχος των ζωνών ασφαλείας, οι τακτικές δοκιμές ασφαλείας, ο γενικός έλεγχος και η υποβολή εκθέσεων· |
|
β) |
παρακολουθεί την αποτελεσματικότητα του σχεδίου αδιάκοπτης λειτουργίας και εξασφαλίζει την τακτική διενέργεια ασκήσεων· |
|
γ) |
εξασφαλίζει αποδεικτικά στοιχεία και αναφορές στον υπεύθυνο ασφαλείας του συστήματος κάθε περιστατικό που ενδέχεται να έχει επίπτωση στην ασφάλεια του κεντρικού VIS ή της επικοινωνιακής υποδομής ή των εθνικών συστημάτων· |
|
δ) |
ενημερώνει τον υπεύθυνο ασφαλείας του συστήματος εάν απαιτείται τροποποίηση της πολιτικής ασφαλείας· |
|
ε) |
ελέγχει εάν η παρούσα απόφαση και η πολιτική ασφαλείας εφαρμόζονται από όλους τους εργολήπτες, συμπεριλαμβανομένων των υπεργολάβων που συμμετέχουν με οποιοδήποτε τρόπο στη διαχείριση της επικοινωνιακής υποδομής· |
|
στ) |
εξασφαλίζει ότι το προσωπικό γνωρίζει τις υποχρεώσεις του και παρακολουθεί την εφαρμογή της πολιτικής ασφαλείας· |
|
ζ) |
παρακολουθεί τις εξελίξεις όσον αφορά την ασφάλεια των πληροφοριακών συστημάτων και μεριμνά για την ανάλογη επιμόρφωση του προσωπικού· |
|
η) |
συγκεντρώνει τις σχετικές πληροφορίες και προτείνει επιλογές για τη θέσπιση, ενημέρωση και αναθεώρηση της πολιτικής ασφαλείας σύμφωνα με το άρθρο 7. |
Άρθρο 5
Περιστατικά που θέτουν σε κίνδυνο την ασφάλεια
1. Κάθε γεγονός που έχει ή ενδέχεται να έχει επίπτωση στην ασφάλεια της λειτουργίας του VIS και μπορεί να προκαλέσει ζημία ή απώλεια στο VIS θεωρείται ως περιστατικό που θέτει σε κίνδυνο την ασφάλεια, ιδίως όταν πρόκειται για πρόσβαση σε δεδομένα ή σε περιπτώσεις που θίγεται ή ενδέχεται να θιγεί η διαθεσιμότητα, ακεραιότητα και εμπιστευτικότητα δεδομένων.
2. Η πολιτική ασφαλείας θεσπίζει διαδικασίες αποκατάστασης των ζημιών από ανάλογα περιστατικά. Περιστατικά που θέτουν σε κίνδυνο την ασφάλεια αντιμετωπίζονται κατά τρόπο που να εξασφαλίζεται γρήγορη, αποτελεσματική και ενδεδειγμένη ανταπόκριση, σύμφωνα με την πολιτική ασφαλείας.
3. Οι πληροφορίες σχετικά με περιστατικά που θέτουν σε κίνδυνο την ασφάλεια και έχουν ή ενδέχεται να έχουν επίπτωση στη λειτουργία του VIS σε κράτος μέλος ή στη διαθεσιμότητα, ακεραιότητα και εμπιστευτικότητα των δεδομένων που εισάγονται από κράτος μέλος, γνωστοποιούνται στο ενδιαφερόμενο κράτος μέλος. Τα περιστατικά που θέτουν σε κίνδυνο την ασφάλεια κοινοποιούνται στον υπεύθυνο προστασίας δεδομένων της Επιτροπής.
Άρθρο 6
Διαχείριση περιστατικών
1. Όλα τα μέλη του προσωπικού και οι εργολήπτες που συμμετέχουν στην ανάπτυξη, διαχείριση ή λειτουργία του VIS υποχρεούνται να σημειώνουν και να αναφέρουν στον υπεύθυνο ασφαλείας του συστήματος ή στον τοπικό υπεύθυνο ασφαλείας για το κεντρικό VIS ή στον τοπικό υπεύθυνο ασφαλείας για την επικοινωνιακή υποδομή, ανάλογα με την περίπτωση, κάθε διαπιστωμένη ή εικαζόμενη αδυναμία όσον αφορά τη λειτουργία του VIS.
2. Σε περίπτωση περιστατικού που έχει ή ενδέχεται να έχει αντίκτυπο στην ασφάλεια της λειτουργίας του VIS, ο τοπικός υπεύθυνος για το κεντρικό VIS ή ο τοπικός υπεύθυνος ασφαλείας για την επικοινωνιακή υποδομή ενημερώνει το ταχύτερο δυνατό τον υπεύθυνο ασφαλείας του συστήματος και, ανάλογα με την περίπτωση, το ενιαίο εθνικό σημείο επαφής για την ασφάλεια του VIS, εφόσον το σχετικό κράτος μέλος διαθέτει σημείο επαφής, γραπτά ή, σε περιπτώσεις άκρως έκτακτης ανάγκης, με άλλα μέσα επικοινωνίας. Η έκθεση περιέχει περιγραφή του περιστατικού που θέτει σε κίνδυνο την ασφάλεια, το επίπεδο του κινδύνου, τις πιθανές συνέπειες και τα μέτρα που έχουν ληφθεί ή θα πρέπει να ληφθούν για να μετριασθεί ο κίνδυνος.
3. Κάθε αποδεικτικό στοιχείο σχετικό με το περιστατικό που θέτει σε κίνδυνο την ασφάλεια διαφυλάσσεται αμέσως από τον τοπικό υπεύθυνο ασφαλείας για το κεντρικό VIS ή τον τοπικό υπεύθυνο ασφαλείας για την επικοινωνιακή υποδομή, ανάλογα με την περίπτωση. Στο βαθμό που αυτό είναι δυνατό βάσει των ισχυουσών διατάξεων για την προστασία των δεδομένων, τα αποδεικτικά αυτά στοιχεία τίθενται στη διάθεση του υπεύθυνου ασφαλείας του συστήματος μετά την υποβολή σχετικής αίτησης εκ μέρους του.
4. Καθορίζονται διαδικασίες ανατροφοδότησης, ώστε να εξασφαλισθεί ότι πληροφορίες σχετικά με τα αποτελέσματα κοινοποιούνται μετά τη διευθέτηση και τη λήξη του περιστατικού.
ΚΕΦΑΛΑΙΟ III
ΜΕΤΡΑ ΑΣΦΑΛΕΙΑΣ
Άρθρο 7
Πολιτική ασφαλείας
1. Η πολιτική ασφαλείας είναι δεσμευτική και θεσπίζεται, ενημερώνεται και αναθεωρείται τακτικά από τον γενικό διευθυντή της Γενικής Διεύθυνσης Δικαιοσύνης, Ελευθερίας και Ασφαλείας, σύμφωνα με την παρούσα απόφαση. Η πολιτική ασφαλείας προβλέπει λεπτομερείς διαδικασίες και μέτρα προστασίας από απειλές σε βάρος της διαθεσιμότητας, ακεραιότητας και εμπιστευτικότητας του VIS, συμπεριλαμβανομένου του προγραμματισμού σε περιπτώσεις έκτακτης ανάγκης, προκειμένου να εξασφαλισθεί το κατάλληλο επίπεδο ασφαλείας που ορίζει η παρούσα απόφαση. Η πολιτική ασφαλείας συμμορφώνεται προς την παρούσα απόφαση.
2. Η πολιτική ασφαλείας βασίζεται σε εκτίμηση των κινδύνων. Τα μέτρα που περιγράφονται στην πολιτική ασφαλείας είναι ανάλογα των προσδιορισμένων κινδύνων.
3. Η εκτίμηση των κινδύνων και η πολιτική ασφαλείας ενημερώνονται, όταν το απαιτούν τεχνολογικές αλλαγές, νέες απειλές, ή οποιεσδήποτε άλλες περιστάσεις. Η πολιτική ασφαλείας αναθεωρείται οπωσδήποτε σε ετήσια βάση, ώστε να εξασφαλισθεί ότι θα ανταποκρίνεται με τον δέοντα τρόπο στην πλέον πρόσφατη εκτίμηση κινδύνων ή σε οποιαδήποτε άλλη πρόσφατη τεχνολογική αλλαγή, απειλή ή άλλη σχετική περίσταση.
4. H πολιτική ασφαλείας προετοιμάζεται από τον υπεύθυνο ασφαλείας του συστήματος, σε συντονισμό με τον τοπικό υπεύθυνο ασφαλείας για το VIS και τον τοπικό υπεύθυνο ασφαλείας για την επικοινωνιακή υποδομή.
Άρθρο 8
Εφαρμογή των μέτρων ασφαλείας
1. Η άσκηση των καθηκόντων και τήρηση των απαιτήσεων που ορίζονται στην παρούσα απόφαση, συμπεριλαμβανομένου του καθήκοντος ορισμού υπεύθυνου τοπικής ασφαλείας, μπορεί να ανατεθεί με σύμβαση ή να μεταβιβαστεί σε ιδιωτικούς ή δημόσιους φορείς.
2. Στην περίπτωση αυτή, η Επιτροπή εξασφαλίζει με νομικά δεσμευτική συμφωνία ότι οι απαιτήσεις που ορίζονται στην παρούσα απόφαση και στην πολιτική ασφαλείας τηρούνται πλήρως. Σε περίπτωση μεταβίβασης ή ανάθεσης με σύμβαση του καθήκοντος ορισμού τοπικού υπεύθυνου ασφαλείας η Επιτροπή εξασφαλίζει με νομικά δεσμευτική συμφωνία ότι θα γνωμοδοτήσει σχετικά με το άτομο που πρόκειται να οριστεί ως τοπικός υπεύθυνος ασφαλείας.
Άρθρο 9
Έλεγχος της εισόδου στις εγκαταστάσεις
1. Χρησιμοποιούνται περίμετροι ασφαλείας με προστατευτικά κιγκλιδώματα και ελέγχους εισόδου για την προστασία των χώρων που περιέχουν εγκαταστάσεις επεξεργασίας δεδομένων.
2. Εντός των περιμέτρων ασφαλείας, καθορίζονται ασφαλείς χώροι για την προστασία των υλικών στοιχείων (περιουσιακών στοιχείων), συμπεριλαμβανομένου του υλικού, των μέσων αποθήκευσης δεδομένων, των κονσολών, των σχεδίων και άλλων εγγράφων για το VIS, καθώς και των γραφείων και άλλων τόπων εργασίας του προσωπικού που σχετίζεται με τη λειτουργία του VIS. Οι εν λόγω ασφαλείς χώροι προστατεύονται με τους κατάλληλους ελέγχους εισόδου, που σκοπό έχουν να εξασφαλιστεί ότι η πρόσβαση επιτρέπεται μόνο σε εξουσιοδοτημένο προσωπικό. Η εργασία στους ασφαλείς χώρους υπόκειται σε λεπτομερείς κανόνες ασφαλείας που καθορίζονται στην πολιτική ασφαλείας.
3. Προβλέπονται και εγκαθίστανται συστήματα ασφαλείας για γραφεία, αίθουσες και εγκαταστάσεις. Σημεία πρόσβασης, όπως χώροι παράδοσης και φόρτωσης, καθώς και άλλα σημεία, όπου είναι δυνατή η είσοδος μη εξουσιοδοτημένων ατόμων, ελέγχονται και, εφόσον είναι δυνατό, απομονώνονται από τις εγκαταστάσεις επεξεργασίας ώστε να αποφεύγεται το ενδεχόμενο μη εξουσιοδοτημένης πρόσβασης.
4. Αναλόγως του κινδύνου, καθορίζονται και εφαρμόζονται μέτρα προστασίας των περιμέτρων ασφαλείας κατά ζημιών από φυσικές καταστροφές ή δολιοφθορές.
5. Ο εξοπλισμός προστατεύεται από υλικές και περιβαλλοντικές ζημίες και από το ενδεχόμενο μη εξουσιοδοτημένης πρόσβασης.
6. Εάν η Επιτροπή διαθέτει σχετικές πληροφορίες, προσθέτει στον κατάλογο που αναφέρεται στο άρθρο 2 παράγραφος 2 στοιχείο στ) ένα σημείο επαφής για την παρακολούθηση της εφαρμογής των διατάξεων του παρόντος άρθρου στους χώρους εγκατάστασης του εφεδρικού VIS.
Άρθρο 10
Μέσα αποθήκευσης δεδομένων και έλεγχος περιουσιακών στοιχείων
1. Τα αφαιρετά μέσα αποθήκευσης που περιέχουν δεδομένα προστατεύονται κατά της μη εξουσιοδοτημένης πρόσβασης, κατάχρησης ή αλλοίωσης, και η αναγνωσιμότητά τους εξασφαλίζεται καθ’ όλη τη διάρκεια ζωής των δεδομένων.
2. Τα μέσα αποθήκευσης, όταν δεν είναι πλέον αναγκαία, καταστρέφονται με τρόπο σίγουρο και ασφαλή, σύμφωνα με τις λεπτομερείς διαδικασίες που καθορίζονται στην πολιτική ασφαλείας.
3. Συντάσσονται καταστάσεις απογραφής για να εξασφαλισθεί η ύπαρξη διαθέσιμων πληροφοριών σχετικά με τα αρχεία καταχώρισης, την εφαρμοζόμενη περίοδο διατήρησης και τις άδειες πρόσβασης.
4. Όλα τα σημαντικά στοιχεία ενεργητικού του κεντρικού VIS και της επικοινωνιακής υποδομής προσδιορίζονται, ώστε να είναι δυνατή η προστασία τους αναλόγως της σημασίας τους. Τηρείται ενημερωμένο αρχείο του σχετικού εξοπλισμού πληροφορικής.
5. Υπάρχει διαθέσιμο έγγραφο υλικό σχετικά με το κεντρικό VIS και την επικοινωνιακή υποδομή, το οποίο ενημερώνεται. Η μη εξουσιοδοτημένη πρόσβαση στο υλικό αυτό απαγορεύεται.
Άρθρο 11
Έλεγχος της καταχώρισης σε αρχείο
1. Λαμβάνονται τα κατάλληλα μέτρα για να εξασφαλιστεί η δέουσα καταχώριση των δεδομένων σε αρχείο και η εξουσιοδοτημένη μόνο πρόσβαση σε αυτά.
2. Όλα τα στοιχεία εξοπλισμού που περιέχουν μέσα αποθήκευσης ελέγχονται πριν διατεθούν ως απορρίμματα ώστε να εξασφαλιστεί ότι τα ευαίσθητα δεδομένα έχουν αφαιρεθεί ή πλήρως επικαλυφθεί, ή καταστρέφονται κατά τρόπο ασφαλή.
Άρθρο 12
Έλεγχος κωδικού αναγνώρισης
1. Όλοι οι κωδικοί αναγνώρισης φυλάσσονται σε ασφαλές μέρος και είναι εμπιστευτικοί. Εάν υπάρχει υπόνοια ότι ένας κωδικός αναγνώρισης έχει διαρρεύσει, ο εν λόγω κωδικός τροποποιείται αμέσως ή ο λογαριασμός χρήσης ακυρώνεται. Χρησιμοποιούνται ατομικές και αποκλειστικές ταυτότητες χρήστη.
2. Στην πολιτική ασφαλείας ορίζονται οι διαδικασίες για την είσοδο στο σύστημα και την έξοδο από αυτό ώστε να αποφευχθεί το ενδεχόμενο μη εξουσιοδοτημένης πρόσβασης.
Άρθρο 13
Έλεγχος της πρόσβασης
1. Η πολιτική ασφαλείας καθορίζει μια επίσημη διαδικασία εγγραφής και διαγραφής του προσωπικού όσον αφορά τη χορήγηση και την ανάκληση πρόσβασης στο υλικό και λογισμικό του VIS στο κεντρικό VIS για τους σκοπούς της επιχειρησιακής διαχείρισης. Η χορήγηση και χρήση των ενδεδειγμένων στοιχείων πρόσβασης (κωδικοί αναγνώρισης ή άλλα κατάλληλα μέσα) ελέγχονται με επίσημη διαδικασία διαχείρισης, όπως καθορίζεται στην πολιτική ασφαλείας.
2. Η πρόσβαση στο υλικό και λογισμικό VIS στο κεντρικό VIS:
|
i) |
περιορίζεται στα εξουσιοδοτημένα πρόσωπα· |
|
ii) |
περιορίζεται στις περιπτώσεις που υφίσταται θεμιτός σκοπός σύμφωνα με το άρθρο 42 και το άρθρο 50 παράγραφος 2 του κανονισμού (ΕΚ) αριθ. 767/2008· |
|
iii) |
δεν υπερβαίνει τη διάρκεια και το πεδίο εφαρμογής που απαιτούνται για το σκοπό της πρόσβασης και |
|
iv) |
παραχωρείται μόνο σύμφωνα με την πολιτική ελέγχου της πρόσβασης που καθορίζεται στην πολιτική ασφαλείας. |
3. Στο κεντρικό VIS χρησιμοποιούνται μόνο οι κονσόλες και το λογισμικό που έχουν εγκριθεί από τον τοπικό υπεύθυνο ασφαλείας για το κεντρικό VIS. Η χρήση υπηρεσιών συστήματος με τις οποίες είναι δυνατό να αποφευχθούν έλεγχοι του συστήματος και της εφαρμογής, περιορίζεται και ελέγχεται. Προβλέπονται διαδικασίες για τον έλεγχο της εγκατάστασης του λογισμικού.
Άρθρο 14
Έλεγχος της διαβίβασης
Η επικοινωνιακή υποδομή παρακολουθείται, ώστε να εξασφαλίζεται η διαθεσιμότητα, ακεραιότητα και εμπιστευτικότητα των ανταλλαγών πληροφοριών. Χρησιμοποιούνται κρυπτογραφικά μέσα για την προστασία των δεδομένων που μεταβιβάζονται στην επικοινωνιακή υποδομή.
Άρθρο 15
Έλεγχος της καταχώρισης δεδομένων
Οι λογαριασμοί προσώπων που διαθέτουν εξουσιοδότηση πρόσβασης στο λογισμικό VIS από το κεντρικό VIS ελέγχονται από τον τοπικό υπεύθυνο ασφαλείας για το κεντρικό VIS. Η χρήση των εν λόγω λογαριασμών, συμπεριλαμβανομένου του χρόνου και της ταυτότητας του χρήστη καταχωρίζονται.
Άρθρο 16
Έλεγχος της μεταφοράς
1. Στην πολιτική ασφαλείας ορίζονται τα κατάλληλα μέτρα ώστε να αποφεύγεται η μη εξουσιοδοτημένη ανάγνωση, αντιγραφή, τροποποίηση ή διαγραφή προσωπικών δεδομένων κατά τη διαβίβασή τους στο ή από το VIS ή κατά τη μεταφορά των μέσων αποθήκευσής τους. Στην πολιτική ασφαλείας καθορίζονται διατάξεις όσον αφορά τους επιτρεπτούς τρόπους αποστολής ή μεταφοράς, καθώς και όσον αφορά τις διαδικασίες λογοδοσίας για τη μεταφορά στοιχείων και την άφιξή τους στον τόπο προορισμού. Τα μέσα αποθήκευσης δεδομένων δεν περιέχουν άλλα δεδομένα εκτός από αυτά που πρέπει να αποσταλούν.
2. Υπηρεσίες που παρέχονται από τρίτους και αφορούν την πρόσβαση, επεξεργασία, διαβίβαση ή διαχείριση εγκαταστάσεων επεξεργασίας δεδομένων ή προϊόντα ή υπηρεσίες που προστίθενται σε εγκαταστάσεις επεξεργασίας δεδομένων, υποβάλλονται σε κατάλληλα ολοκληρωμένους ελέγχους ασφαλείας.
Άρθρο 17
Ασφάλεια της επικοινωνιακής υποδομής
1. Ο έλεγχος και η διαχείριση της επικοινωνιακής υποδομής πραγματοποιούνται κατά τον ενδεδειγμένο τρόπο ώστε η επικοινωνιακή υποδομή να προστατεύεται από απειλές και να εξασφαλίζεται η ασφάλεια τόσο της ίδιας όσο και του κεντρικού VIS, συμπεριλαμβανομένης της ανταλλαγής δεδομένων μέσω αυτού.
2. Τα χαρακτηριστικά ασφαλείας, τα επίπεδα εξυπηρέτησης και οι απαιτήσεις διαχείρισης όλων των υπηρεσιών δικτύου προσδιορίζονται στη συμφωνία παροχής υπηρεσιών δικτύου με τον πάροχο υπηρεσιών.
3. Εκτός από την προστασία των σημείων πρόσβασης VIS, προστατεύεται και κάθε πρόσθετη υπηρεσία που χρησιμοποιείται από την επικοινωνιακή υποδομή. Στην πολιτική ασφαλείας ορίζονται τα κατάλληλα μέτρα.
Άρθρο 18
Παρακολούθηση
1. Ημερολόγια για την καταγραφή των πληροφοριών που αναφέρονται στο άρθρο 34 παράγραφος 1 του κανονισμού (ΕΚ) αριθ. 767/2008 σχετικά με κάθε πρόσβαση και κάθε πράξη επεξεργασίας προσωπικών δεδομένων στο πλαίσιο του κεντρικού VIS παραμένουν ασφαλώς αποθηκευμένα και προσβάσιμα από τους χώρους του κύριου και εφεδρικού κεντρικού VIS για το ανώτατο χρονικό διάστημα που αναφέρεται στο άρθρο 34 παράγραφος 2 του κανονισμού (ΕΚ) αριθ. 767/2008.
2. Στην πολιτική ασφαλείας καθορίζονται οι διαδικασίες για την παρακολούθηση της χρήσης ή των σφαλμάτων στις εγκαταστάσεις επεξεργασίας δεδομένων, και τα αποτελέσματα των δραστηριοτήτων παρακολούθησης αναθεωρούνται τακτικά. Εφόσον κριθεί απαραίτητο, λαμβάνονται κατάλληλα μέτρα.
3. Τα ημερολόγια και οι σχετικές υποδομές προστατεύονται κατά κάθε παραποίησης και μη εξουσιοδοτημένης πρόσβασης ώστε να τηρούνται οι απαιτήσεις συγκέντρωσης και διατήρησης αποδεικτικών στοιχείων κατά την περίοδο διατήρησης.
Άρθρο 19
Κρυπτογραφικά μέτρα
Όταν αυτό κριθεί απαραίτητο, χρησιμοποιούνται κρυπτογραφικά μέτρα για την προστασία των πληροφοριών. Η χρήση τους, καθώς και οι σκοποί και οι όροι αυτής, πρέπει να εγκριθούν εκ των προτέρων από τον υπεύθυνο ασφαλείας του συστήματος.
ΚΕΦΑΛΑΙΟ IV
ΑΣΦΑΛΕΙΑ ΑΝΘΡΩΠΙΝΩΝ ΠΟΡΩΝ
Άρθρο 20
Χαρακτηριστικά του προσωπικού
1. Η πολιτική ασφαλείας ορίζει τα καθήκοντα και τις αρμοδιότητες των προσώπων που διαθέτουν εξουσιοδοτημένη πρόσβαση στο VIS και την επικοινωνιακή υποδομή.
2. Οι ρόλοι και οι αρμοδιότητες ασφαλείας του προσωπικού της Επιτροπής, των εργοληπτών και του προσωπικού που συμμετέχουν στην επιχειρησιακή διαχείριση ορίζονται, επισημοποιούνται και ανακοινώνονται στους ενδιαφερομένους. Για το προσωπικό της Επιτροπής, οι εν λόγω ρόλοι και αρμοδιότητες αναφέρονται στην περιγραφή των καθηκόντων και στους στόχους, ενώ για τους εργολήπτες αναφέρονται στις συμβάσεις ή στις συμφωνίες όσον αφορά τα επίπεδα εξυπηρέτησης.
3. Συμφωνίες εμπιστευτικότητας και διαφύλαξης του απορρήτου συνάπτονται με όλα τα πρόσωπα τα οποία δεν υπόκεινται στους κανόνες της Ευρωπαϊκής Ένωσης ή των κρατών μελών για τις δημόσιες υπηρεσίες. Το προσωπικό που πρόκειται να εργαστεί με δεδομένα VIS εφοδιάζεται με τις απαραίτητες άδειες ή πιστοποιητικά σύμφωνα με τις λεπτομερείς διαδικασίες που καθορίζονται στην πολιτική ασφαλείας.
Άρθρο 21
Παροχή πληροφοριών στο προσωπικό
1. Όλα τα μέλη του προσωπικού και, ανάλογα με την περίπτωση, όλοι οι εργολήπτες παρακολουθούν κατάλληλη κατάρτιση σχετικά με τα θέματα ασφαλείας, τις νομικές απαιτήσεις, τις πολιτικές και τις διαδικασίες, στο βαθμό που απαιτούν τα καθήκοντά τους.
2. Μετά τη λύση της μίσθωσης εργασίας ή της σύμβασης, η πολιτική ασφαλείας ορίζει τις υποχρεώσεις του προσωπικού και των εργοληπτών που σχετίζονται με την αλλαγή εργασίας ή τη λύση της μίσθωσης εργασίας, και θεσπίζει τις διαδικασίες για τη διαχείριση της επιστροφής των στοιχείων ενεργητικού και την αφαίρεση των δικαιωμάτων πρόσβασης.
ΚΕΦΑΛΑΙΟ V
ΤΕΛΙΚΗ ΔΙΑΤΑΞΗ
Άρθρο 22
Εφαρμογή
1. Η παρούσα απόφαση εφαρμόζεται από την ημερομηνία που προσδιορίζεται από την Επιτροπή σύμφωνα με το άρθρο 48 παράγραφος 1 του κανονισμού (ΕΚ) αριθ. 767/2008.
2. Η παρούσα απόφαση λήγει όταν η διαχειριστική αρχή αναλάβει τα καθήκοντά της.
Βρυξέλλες, 4 Μαΐου 2010.
Για την Επιτροπή
Ο Πρόεδρος
José Manuel BARROSO
(1) ΕΕ L 218 της 13.8.2008, σ. 60.
(2) ΕΕ L 8 της 12.1.2001, σ. 1.
(3) ΕΕ L 194 της 23.7.2008, σ. 3.