1.   Το αντικείμενο και το πεδίο εφαρμογής της παρούσας απόφασης παρατίθενται στο άρθρο 1 της απόφασης (ΕΕ, Ευρατόμ) 2017/46.

2.   Οι διατάξεις της παρούσας απόφασης εφαρμόζονται σε όλα τα συστήματα επικοινωνίας και πληροφοριών (CIS). Ωστόσο, οι αρμοδιότητες που ορίζονται στην παρούσα απόφαση δεν εφαρμόζονται στα CIS που επεξεργάζονται διαβαθμισμένες πληροφορίες της ΕΕ. Οι αντίστοιχες αρμοδιότητες για τα συστήματα αυτά καθορίζονται από τον ιδιοκτήτη του συστήματος και την Αρχή Ασφάλειας της Επιτροπής σύμφωνα με την απόφαση (ΕΕ, Ευρατόμ) 2015/444 της Επιτροπής (3).

3.   Το κεφάλαιο 2 της παρούσας απόφασης προβαίνει σε επισκόπηση της πρακτικής εφαρμογής της οργάνωσης και των αρμοδιοτήτων σχετικά με την ασφάλεια ΤΠ. Το κεφάλαιο 3 της παρούσας απόφασης προβαίνει σε επισκόπηση των διαδικασιών σχετικά με το άρθρο 6 της απόφασης (ΕΕ, Ευρατόμ) 2017/46.

1.   Η Γενική Διεύθυνση Ανθρώπινων Πόρων και Ασφάλειας αναθεωρεί την πολιτική ασφάλειας ΤΠ της Επιτροπής και τα σχετικά πρότυπα και κατευθυντήριες γραμμές, ώστε να εξασφαλιστεί ότι ευθυγραμμίζονται προς τις γενικές πολιτικές ασφάλειας, ιδίως με την απόφαση (ΕΕ, Ευρατόμ) 2015/443 της Επιτροπής (4) και την απόφαση (ΕΕ, Ευρατόμ) 2015/444.

2.   Κατόπιν αιτήματος άλλων υπηρεσιών της Επιτροπής, η Γενική Διεύθυνση Ανθρώπινων Πόρων και Ασφάλειας μπορεί να αναθεωρήσει τις πολιτικές ασφάλειας ΤΠ ή άλλα έγγραφα ασφάλειας ΤΠ των εν λόγω υπηρεσιών, ώστε να εξασφαλιστεί η συνέπειά τους προς την πολιτική ασφάλειας πληροφοριών της Επιτροπής. Ο προϊστάμενος της οικείας υπηρεσίας της Επιτροπής διασφαλίζει την αποκατάσταση τυχόν ανακολουθιών.

3.   Στο πλαίσιο των αρμοδιοτήτων της για την ασφάλεια πληροφοριών, η Γενική Διεύθυνση Ανθρώπινων Πόρων και Ασφάλειας, συνεργάζεται με τη Γενική Διεύθυνση Πληροφορικής για να εξασφαλιστεί ότι οι διαδικασίες ασφάλειας ΤΠ λαμβάνουν πλήρως υπόψη τη διαβάθμιση και τις αρχές ασφάλειας που ορίζονται στην απόφαση (ΕΕ, Ευρατόμ) 2015/443, και ιδίως στα άρθρα 3 και 9.

1.   Η χρήση τεχνολογιών κρυπτογράφησης για την προστασία των διαβαθμισμένων πληροφοριών της ΕΕ (ΔΠΕΕ) πρέπει να συμμορφώνεται με την απόφαση (ΕΕ, Ευρατόμ) 2015/444.

2.   Οι αποφάσεις σχετικά με τη χρήση τεχνολογιών κρυπτογράφησης για την προστασία δεδομένων που δεν είναι ΔΠΕΕ λαμβάνονται από τον ιδιοκτήτη του συστήματος για κάθε CIS, λαμβάνοντας υπόψη τόσο τους κινδύνους που επιδιώκεται να μετριαστούν μέσω της κρυπτογράφησης όσο και τους κινδύνους που ενέχει η ίδια η κρυπτογράφηση.

3.   Για όλες τις χρήσεις των τεχνολογιών κρυπτογράφησης απαιτείται προηγούμενη έγκριση από την CAA, εκτός αν η κρυπτογράφηση χρησιμοποιείται μόνο για την προστασία της εμπιστευτικότητας δεδομένων που δεν είναι ΔΠΕΕ υπό διαμετακόμιση και χρησιμοποιεί τυποποιημένα πρωτόκολλα επικοινωνίας δικτύου.

4.   Με την εξαίρεση της παραγράφου 3 του παρόντος άρθρου, οι υπηρεσίες της Επιτροπής μεριμνούν ώστε τα αντίγραφα ασφαλείας των κλειδιών αποκρυπτογράφησης να αποθηκεύονται με μεσεγγύηση κλειδιού, με σκοπό την ανάκτηση των αποθηκευμένων δεδομένων σε περίπτωση που το κλειδί αποκρυπτογράφησης δεν είναι διαθέσιμο. Η ανάκτηση των κρυπτογραφημένων δεδομένων με τη χρήση των αντιγράφων ασφαλείας των κλειδιών αποκρυπτογράφησης εκτελείται μόνο εφόσον δοθεί σχετική έγκριση σύμφωνα με το πρότυπο που ορίζεται από την CAA.

5.   Οι αιτήσεις έγκρισης για τη χρήση τεχνολογιών κρυπτογράφησης είναι τυπικά τεκμηριωμένες και περιλαμβάνουν λεπτομερή στοιχεία σχετικά με το CIS και τα προς προστασία δεδομένα, τις τεχνολογίες που πρόκειται να χρησιμοποιηθούν και τις σχετικές ασφαλείς λειτουργικές διαδικασίες. Οι εν λόγω αιτήσεις έγκρισης υπογράφονται από τον ιδιοκτήτη του συστήματος.

6.   Οι αιτήσεις έγκρισης για τη χρήση τεχνολογιών κρυπτογράφησης αξιολογούνται από την CAA σύμφωνα με τα δημοσιευμένα πρότυπα και απαιτήσεις.

1.   Η Γενική Διεύθυνση Ανθρώπινων Πόρων και Ασφάλειας διενεργεί επιθεωρήσεις ασφάλειας ΤΠ, ώστε να εξακριβώσει αν τα μέτρα ασφάλειας ΤΠ συμμορφώνονται προς την πολιτική ασφάλειας ΤΠ της Επιτροπής και να ελέγξει την ακεραιότητα των εν λόγω μέτρων ελέγχου.

2.   Η Γενική Διεύθυνση Ανθρώπινων Πόρων και Ασφάλειας μπορεί να διενεργήσει επιθεώρηση ασφάλειας ΤΠ:

α)	με δική της πρωτοβουλία·

β)	κατόπιν αιτήματος της διοικούσας επιτροπής ασφάλειας πληροφοριών (ΔΕΑΠ)·

γ)	κατόπιν αιτήματος που λαμβάνει από ιδιοκτήτη συστήματος·

δ)	κατόπιν συμβάντος που θέτει σε κίνδυνο την ασφάλεια· ή

ε)	κατόπιν διαπίστωσης υψηλού κινδύνου σε ένα συγκεκριμένο σύστημα.

3.   Οι ιδιοκτήτες των δεδομένων μπορούν να ζητήσουν επιθεώρηση ασφάλειας ΤΠ πριν από την αποθήκευση πληροφοριών τους σε ένα CIS.

4.   Τα αποτελέσματα της επιθεώρησης τεκμηριώνονται με επίσημη έκθεση προς τον ιδιοκτήτη του συστήματος, που κοινοποιείται και στους τοπικούς υπευθύνους ασφάλειας πληροφορικής (ΤΥΑΠ), και η οποία περιλαμβάνει πορίσματα και συστάσεις για τη βελτίωση της συμμόρφωσης του CIS με την πολιτική ασφάλειας ΤΠ. Η Γενική Διεύθυνση Ανθρώπινων Πόρων και Ασφάλειας υποβάλλει στη ΔΕΑΠ έκθεση σχετικά με σημαντικά ζητήματα και συστάσεις.

5.   Η Γενική Διεύθυνση Ανθρώπινων Πόρων και Ασφάλειας παρακολουθεί την εφαρμογή των συστάσεων.

6.   Κατά περίπτωση, οι επιθεωρήσεις ασφάλειας ΤΠ περιλαμβάνουν τον έλεγχο των υπηρεσιών, εγκαταστάσεων και εξοπλισμού που παρέχονται στον ιδιοκτήτη του συστήματος, συμπεριλαμβανομένων τόσο των εσωτερικών όσο και των εξωτερικών παρόχων υπηρεσιών.

1.   Η Γενική Διεύθυνση Ανθρώπινων Πόρων και Ασφάλειας θεσπίζει τους κανόνες σε ένα πρότυπο που επιτρέπει την πρόσβαση μεταξύ CIS της Επιτροπής και εξωτερικών δικτύων.

2.   Οι κανόνες αυτοί διακρίνουν διάφορα είδη εξωτερικών δικτυακών συνδέσεων και προβλέπουν κατάλληλους κανόνες ασφάλειας για κάθε είδος σύνδεσης, μεταξύ άλλων ως προς το αν απαιτείται προηγούμενη έγκριση της σύνδεσης από τη σχετική αρχή, όπως αναφέρεται στην παράγραφο 4 του παρόντος άρθρου.

3.   Αν απαιτείται, η έγκριση χορηγείται βάσει επίσημης αίτησης και διαδικασίας έγκρισης. Η έγκριση ισχύει επί ορισμένο χρονικό διάστημα και λαμβάνεται πριν από την ενεργοποίηση της σύνδεσης.

4.   Η Γενική Διεύθυνση Ανθρώπινων Πόρων και Ασφάλειας έχει τη συνολική ευθύνη για την έγκριση των αιτήσεων, αλλά είναι στη διακριτική της ευχέρεια να αναθέσει την αρμοδιότητα της έγκρισης για ορισμένους τύπους σύνδεσης σύμφωνα με το άρθρο 17 παράγραφος 3 της απόφασης (ΕΕ, Ευρατόμ) 2015/443 και σύμφωνα με τις προϋποθέσεις που καθορίζονται στην παράγραφο 8.

5.   Η εγκρίνουσα αρχή μπορεί να επιβάλει πρόσθετες απαιτήσεις ασφάλειας ως προϋπόθεση για την έγκριση, με σκοπό την προστασία των CIS και των δικτύων της Επιτροπής από τους κινδύνους τυχόν μη εγκεκριμένης πρόσβασης ή άλλων παραβιάσεων της ασφάλειας.

6.   Η Γενική Διεύθυνση Πληροφορικής είναι ο βασικός πάροχος υπηρεσιών δικτύου για την Επιτροπή. Κάθε άλλη υπηρεσία της Επιτροπής που λειτουργεί σε δίκτυο που δεν παρέχεται από τη Γενική Διεύθυνση Πληροφορικής λαμβάνει προηγουμένως τη σύμφωνη γνώμη της ΔΕΑΠ. Η υπηρεσία της Επιτροπής τεκμηριώνει την επιχειρησιακή αιτιολόγηση για το αίτημα και αποδεικνύει ότι οι έλεγχοι του δικτύου είναι επαρκείς ώστε να ικανοποιούνται οι απαιτήσεις για τον έλεγχο των εισερχόμενων και εξερχόμενων ροών πληροφοριών.

7.   Ο ιδιοκτήτης ενός CIS καθορίζει τις απαιτήσεις ασφάλειας για εξωτερική πρόσβαση στο εν λόγω CIS και διασφαλίζει την εφαρμογή κατάλληλων μέτρων για την προστασία της ασφάλειάς του, με την υποστήριξη των ΤΥΑΠ.

8.   Τα μέτρα ασφάλειας που εφαρμόζονται για τις εξωτερικές συνδέσεις δικτύου βασίζονται στις αρχές της «ανάγκης γνώσης» και του «ελάχιστου προνομίου», γεγονός που εξασφαλίζει ότι τα μεμονωμένα άτομα λαμβάνουν μόνο τις πληροφορίες και τα δικαιώματα πρόσβασης που χρειάζονται για να εκτελέσουν τα επίσημα καθήκοντά τους για την Επιτροπή.

9.   Όλες οι εξωτερικές συνδέσεις δικτύου φιλτράρονται και ελέγχονται, ώστε να εντοπίζονται πιθανές παραβιάσεις της ασφάλειας.

10.   Όταν πραγματοποιούνται συνδέσεις που επιτρέπουν την εξωτερική ανάθεση ενός CIS, η έγκριση εξαρτάται από την επιτυχή ολοκλήρωση της διαδικασίας που περιγράφεται στο άρθρο 8.

1.   Για τους σκοπούς της παρούσας απόφασης, θεωρείται ότι γίνεται εξωτερική ανάθεση ενός CIS, όταν αυτό προβλέπεται βάσει σύμβασης με τρίτο μέρος, σύμφωνα με την οποία το CIS στεγάζεται σε εγκαταστάσεις εκτός Επιτροπής. Περιλαμβάνει την εξωτερική ανάθεση μεμονωμένων ή πολλαπλών CIS ή άλλες υπηρεσίες ΤΠ, κέντρα δεδομένων σε εγκαταστάσεις εκτός Επιτροπής, καθώς και τη διαχείριση συνόλων δεδομένων της Επιτροπής από εξωτερικές υπηρεσίες.

2.   Η εξωτερική ανάθεση CIS λαμβάνει υπόψη τον ευαίσθητο χαρακτήρα ή τη διαβάθμιση των διαχειριζόμενων πληροφοριών, ως εξής:

α)	Τα CIS που διαχειρίζονται ΔΠΕΕ είναι διαπιστευμένα σύμφωνα με την απόφαση (ΕΕ, Ευρατόμ) 2015/444, απαιτείται δε να προηγηθεί διαβούλευση με την Αρχή διαπίστευσης της ασφάλειας (ΑΔΑ) της Επιτροπής. Τα συστήματα που διαχειρίζονται ΔΠΕΕ δεν επιδέχονται εξωτερική ανάθεση.

β)

Ο ιδιοκτήτης ενός CIS που διαχειρίζεται πληροφορίες που δεν είναι ΔΠΕΕ εφαρμόζει αναλογικά μέτρα για την κάλυψη των αναγκών ασφάλειας σύμφωνα με τις σχετικές νομικές υποχρεώσεις ή τον ευαίσθητο χαρακτήρα των πληροφοριών, λαμβάνοντας υπόψη τους κινδύνους της εξωτερικής ανάθεσης. Η Γενική Διεύθυνση Ανθρώπινων Πόρων και Ασφάλειας μπορεί να επιβάλει πρόσθετες απαιτήσεις.

γ)	Τα έργα ανάπτυξης που αποτελούν αντικείμενο εξωτερικής ανάθεσης λαμβάνουν υπόψη τον ευαίσθητο χαρακτήρα του ανεπτυγμένου κώδικα και των τυχόν δεδομένων που χρησιμοποιούνται στις δοκιμές κατά τη διάρκεια της ανάπτυξης.

3.   Πέραν των αρχών που προβλέπονται στο άρθρο 3 της απόφασης (ΕΕ, Ευρατόμ) 2017/46, στην εξωτερική ανάθεση CIS εφαρμόζονται οι ακόλουθες αρχές:

α)	οι ρυθμίσεις εξωτερικής ανάθεσης σχεδιάζονται έτσι ώστε να αποφευχθεί η εξάρτηση από συγκεκριμένους προμηθευτές·

β)	οι ρυθμίσεις ασφάλειας για την εξωτερική ανάθεση ελαχιστοποιούν τις δυνατότητες του προσωπικού τρίτων μερών να έχει πρόσβαση ή να τροποποιήσει τις πληροφορίες της Επιτροπής·

γ)	το προσωπικό τρίτων μερών που έχει πρόσβαση σε CIS το οποίο αποτελεί αντικείμενο εξωτερικής ανάθεσης παρέχει συμφωνίες εμπιστευτικότητας·

δ)	η εξωτερική ανάθεση ενός CIS αναφέρεται στον κατάλογο των CIS.

4.   Ο ιδιοκτήτης του συστήματος με τη συμμετοχή του ιδιοκτήτη των δεδομένων:

α)	αξιολογεί και τεκμηριώνει τους κινδύνους που σχετίζονται με την εξωτερική ανάθεση·

β)	θεσπίζει σχετικές απαιτήσεις ασφάλειας·

γ)	διαβουλεύεται με τους ιδιοκτήτες των συστημάτων και όλων των άλλων συνδεδεμένων CIS για να εξασφαλιστεί η συμπερίληψη των απαιτήσεών τους όσον αφορά την ασφάλεια·

δ)	εξασφαλίζει τη συμπερίληψη των κατάλληλων απαιτήσεων και δικαιωμάτων ασφάλειας στη σύμβαση εξωτερικής ανάθεσης·

ε)	εκπληρώνει τυχόν άλλες απαιτήσεις που καθορίζονται στη λεπτομερή διαδικασία, όπως αναφέρεται στην παράγραφο 8 του παρόντος άρθρου.

Οι εν λόγω δράσεις ολοκληρώνονται πριν από την υπογραφή της σύμβασης ή άλλης συμφωνίας για την εξωτερική ανάθεση ενός ή περισσότερων CIS.

5.   Οι ιδιοκτήτες των συστημάτων διαχειρίζονται τους κινδύνους που σχετίζονται με την εξωτερική ανάθεση κατά τη διάρκεια ζωής του CIS, ώστε να πληρούνται οι καθορισμένες απαιτήσεις ασφάλειας.

6.   Οι ιδιοκτήτες των συστημάτων εξασφαλίζουν ότι τα συμβαλλόμενα τρίτα μέρη υποχρεούνται να κοινοποιούν αμέσως στην Επιτροπή όλα τα συμβάντα ασφάλειας ΤΠ που επηρεάζουν ένα CIS της Επιτροπής που αποτελεί αντικείμενο εξωτερικής ανάθεσης.

7.   Ο ιδιοκτήτης του συστήματος είναι υπεύθυνος για την εξασφάλιση της συμμόρφωσης του CIS, της σύμβασης εξωτερικής ανάθεσης και των ρυθμίσεων ασφάλειας προς τους κανόνες της Επιτροπής σχετικά με την ασφάλεια πληροφοριών και την ασφάλεια ΤΠ.

8.   Η Γενική Διεύθυνση Ανθρώπινων Πόρων και Ασφάλειας θεσπίζουν το λεπτομερές πρότυπο που σχετίζεται με τις αρμοδιότητες και τις δραστηριότητες που προβλέπονται στις παραγράφους 1 έως 7 σύμφωνα με το άρθρο 10.

1.   Οι διατάξεις της παρούσας απόφασης εμπλουτίζονται, εφόσον απαιτείται, με περαιτέρω λεπτομέρειες για τα πρότυπα και/ή τις κατευθυντήριες γραμμές που πρέπει να θεσπιστούν σύμφωνα με την απόφαση (ΕΕ, Ευρατόμ) 2017/46 και με την απόφαση C(2017) 7428. Τα πρότυπα και οι κατευθυντήριες γραμμές ασφάλειας ΤΠ παρέχουν περαιτέρω λεπτομέρειες σχετικά με τους εν λόγω κανόνες εφαρμογής και την απόφαση (ΕΕ, Ευρατόμ) 2017/46 για ειδικούς τομείς ασφάλειας σύμφωνα με το πρότυπο ISO 27001:2013 παράρτημα A. Τα εν λόγω πρότυπα και κατευθυντήριες γραμμές βασίζονται στις βέλτιστες βιομηχανικές πρακτικές και επιλέγονται ώστε να είναι κατάλληλα για το περιβάλλον ΤΠ της Επιτροπής.

2.   Τα πρότυπα, εφόσον απαιτείται, αναπτύσσονται σύμφωνα με το πρότυπο ISO 27001:2013 παράρτημα A στους ακόλουθους τομείς:

1)	Οργάνωση της ασφάλειας πληροφοριών·

2)	Ασφάλεια ανθρώπινων πόρων·

3)	Διαχείριση στοιχείων ενεργητικού·

4)	Έλεγχος πρόσβασης·

5)	Κρυπτογραφία·

6)	Υλική και περιβαλλοντική ασφάλεια·

7)	Επιχειρησιακή ασφάλεια·

8)	Ασφάλεια επικοινωνιών·

9)	Απόκτηση, ανάπτυξη και συντήρηση συστημάτων·

10)	Σχέσεις με τον πάροχο·

11)	Διαχείριση περιστατικών ασφάλειας πληροφοριών·

12)	Πτυχές ασφάλειας πληροφοριών της διαχείρισης της επιχειρησιακής συνέχειας·

13)	Συμμόρφωση.

3.   Η ΔΕΑΠ εγκρίνει τα πρότυπα που αναφέρονται στις παραγράφους 1 και 2 του παρόντος άρθρου πριν από τη θέσπισή τους.

4.   Οι κανόνες εφαρμογής της απόφασης C(2006) 3602 που σχετίζονται με το πεδίο εφαρμογής της παρούσας απόφασης καταργούνται.

5.   Τα πρότυπα και οι κατευθυντήριες γραμμές που θεσπίστηκαν με την απόφαση C(2006) 3602, της 16ης Αυγούστου 2006, παραμένουν σε ισχύ, στον βαθμό που δεν έρχονται σε αντίθεση με τους παρόντες κανόνες εφαρμογής, έως ότου καταργηθούν ή αντικατασταθούν από πρότυπα ή κατευθυντήριες γραμμές που θα θεσπιστούν δυνάμει του άρθρου 13 της απόφασης (ΕΕ, Ευρατόμ) 2017/46.