11.1.2017   

FR

Journal officiel de l'Union européenne

L 6/40

(1)

Les systèmes d'information et de communication de la Commission font partie intégrante de son fonctionnement. Les incidents de sécurité informatique peuvent dès lors avoir des conséquences graves sur ses activités ainsi que sur les tiers, y compris les particuliers, les entreprises et les États membres.

(2)

Il existe de nombreuses menaces susceptibles de porter atteinte à la confidentialité, à l'intégrité ou à la disponibilité des systèmes d'information et de communication de la Commission et des informations qui y sont traitées. Il peut notamment s'agir d'accidents, d'erreurs, d'attaques délibérées et de phénomènes naturels, qui doivent être reconnus comme des risques opérationnels.

(3)

Les systèmes d'information et de communication (SIC) doivent être fournis avec un niveau de protection proportionné à la probabilité, aux effets et à la nature des risques auxquels ils sont exposés.

(4)

L'objectif de la sécurité informatique à la Commission devrait être de faire en sorte que les SIC de la Commission protègent les informations qu'ils traitent et fonctionnent comme ils le doivent, quand ils le doivent, sous le contrôle d'utilisateurs légitimes.

(5)

La politique de sécurité informatique de la Commission devrait être mise en œuvre d'une manière qui soit cohérente avec les politiques sur la sécurité au sein de la Commission.

(6)

La direction de la sécurité de la direction générale des ressources humaines et de la sécurité a la responsabilité générale de la sécurité au sein de la Commission, sous l'autorité et la responsabilité du membre de la Commission chargé des questions de sécurité.

(7)

L'approche de la Commission devrait tenir compte des initiatives politiques de l'Union européenne et de la législation en matière de sécurité des réseaux et de l'information, des normes du secteur et des bonnes pratiques, afin de se conformer à l'ensemble de la législation applicable et de permettre l'interopérabilité et la compatibilité.

(8)

Des mesures appropriées devraient être élaborées et appliquées par les services de la Commission chargés des systèmes d'information et de communication; les mesures de sécurité informatique pour la protection des systèmes d'information et de communication devraient faire l'objet d'une coordination au sein de la Commission pour assurer leur efficacité et leur efficience.

(9)

Les règles et procédures concernant l'accès à l'information dans le contexte de la sécurité informatique, y compris la gestion des incidents relevant de la sécurité informatique, devraient être proportionnées à la menace pour la Commission ou son personnel et conformes aux principes énoncés dans le règlement (CE) no 45/2001 du Parlement européen et du Conseil (1) relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes de l'Union et à la libre circulation de ces données, et tenir compte du principe du secret professionnel, tel que prévu à l'article 339 du TFUE.

(10)

Les politiques et règles applicables aux systèmes d'information et de communication traitant des informations classifiées de l'Union européenne (ICUE), des informations sensibles non classifiées et des informations non classifiées doivent être en parfaite conformité avec les décisions de la Commission (UE, Euratom) 2015/443 (2) et (UE, Euratom) 2015/444 (3).

(11)

La Commission doit réviser et mettre à jour les dispositions relatives à la sécurité des systèmes d'information et de communication qu'elle utilise.

(12)

Il convient dès lors d'abroger la décision C(2006) 3602 de la Commission,

1)

«responsable»: qui doit répondre d'actes, décisions et performances;

2)

«CERT-UE»: équipe d'intervention en cas d'urgence informatique pour les institutions et agences de l'Union européenne. Elle a pour mission d'aider les institutions européennes à se protéger contre les attaques intentionnelles et malveillantes qui compromettraient l'intégrité de leurs biens informatiques et nuiraient aux intérêts de l'Union. Le domaine d'activité de la CERT-UE couvre la prévention, la détection, l'intervention et la récupération;

3)

«service de la Commission»: tout service ou direction générale de la Commission ou tout cabinet d'un membre de la Commission;

4)

«autorité de sécurité de la Commission»: rôle prévu dans la décision (UE, Euratom) 2015/444;

5)

«système d'information et de communication» ou «SIC»: tout système permettant le traitement d'informations sous forme électronique, avec l'ensemble des moyens nécessaires pour le faire fonctionner, y compris l'infrastructure, l'organisation, le personnel et les ressources d'information. Cette définition recouvre les applications professionnelles, les systèmes informatiques partagés, les services externalisés et dispositifs installés chez les utilisateurs finaux.

6)

«conseil d'administration» (CMB): la plus haute instance de contrôle sur la gestion des questions opérationnelles et administratives au sein de la Commission;

7)

«propriétaire des données»: personne chargée de garantir la protection et l'utilisation d'un ensemble de données spécifique géré par un SIC;

8)

«ensemble de données»: ensemble d'informations qui sert à un processus donné ou à une activité spécifique de la Commission;

9)

«procédure de secours»: ensemble prédéfini de méthodes et de responsabilités permettant de réagir aux situations d'urgence afin d'éviter des répercussions majeures sur la Commission;

10)

«politique de sécurité de l'information»: ensemble d'objectifs en matière de sécurité de l'information, qui sont ou doivent être définis, mis en œuvre et contrôlés. Il s'agit, de manière non limitative, des décisions (UE, Euratom) 2015/444 et (UE, Euratom) 2015/443;

11)

«comité de pilotage de la sécurité informatique» (CPSI): organe de gouvernance qui soutient le CMB dans ses tâches liées à la sécurité informatique;

12)

«prestataire de services informatiques interne»: service de la Commission fournissant des services informatiques partagés;

13)

«sécurité informatique» ou «sécurité des SIC»: préservation de la confidentialité, de l'intégrité et de la disponibilité des SIC et des ensembles de données qu'ils traitent;

14)

«orientations en matière de sécurité informatique»: mesures recommandées mais non obligatoires aidant à respecter les normes de sécurité informatique ou servant de référence lorsque aucune norme n'est applicable;

15)

«incident de sécurité informatique»: événement qui pourrait porter atteinte à la confidentialité, l'intégrité ou la disponibilité d'un SIC;

16)

«mesure de sécurité informatique»: mesure technique ou organisationnelle visant à atténuer les risques de sécurité informatique;

17)

«besoin de sécurité informatique»: définition précise et non ambiguë des niveaux de confidentialité, d'intégrité et de disponibilité associés à une information ou un système informatique afin de définir le niveau de protection requis;

18)

«objectif de sécurité informatique»: déclaration d'intention pour contrer des menaces spécifiques et/ou répondre à des exigences ou des hypothèses organisationnelles spécifiques liées à la sécurité;

19)

«plan de sécurité informatique»: documentation sur les mesures de sécurité informatique nécessaires pour satisfaire les besoins de sécurité informatique d'un SIC;

20)

«politique de sécurité informatique»: ensemble d'objectifs en matière de sécurité informatique, qui sont ou doivent être définis, mis en œuvre et contrôlés. Elle se compose de la présente décision et de ses règles d'application;

21)

«exigence de sécurité informatique»: besoin de sécurité informatique formalisé par un processus prédéfini;

22)

«risque de sécurité informatique»: effet qu'une menace pour la sécurité informatique pourrait avoir sur un SIC en exploitant une vulnérabilité. En tant que tel, un risque de sécurité informatique est caractérisé par deux facteurs: 1) l'incertitude, c'est-à-dire la probabilité qu'une menace pour la sécurité informatique cause un événement indésirable, et 2) l'incidence, c'est-à-dire les conséquences qu'un tel événement indésirable pourrait avoir pour un SIC;

23)

«normes de sécurité informatique»: mesures de sécurité informatique obligatoires spécifiques qui facilitent la mise en œuvre et le soutien à la politique de sécurité informatique;

24)

«stratégie de sécurité informatique»: ensemble de projets et d'activités qui sont conçus pour atteindre les objectifs de la Commission et qui doivent être définis, mis en œuvre et contrôlés;

25)

«menace pour la sécurité informatique»: facteur qui pourrait conduire à un événement indésirable susceptible de porter atteinte à un SIC. Ces menaces peuvent être accidentelles ou délibérées et se caractérisent par des éléments menaçants, des cibles potentielles et des méthodes d'attaque;

26)

«responsable local de la sécurité informatique» (Local Informatics Security Officer — LISO): agent de liaison responsable de la sécurité informatique d'un service de la Commission;

27)

«données à caractère personnel», «traitement de données à caractère personnel», «responsable du traitement» et «fichier de données à caractère personnel» ont la même signification que dans le règlement (CE) no 45/2001, et notamment son article 2;

28)

«traitement des informations»: toutes les fonctions d'un SIC relatives aux ensembles de données, y compris la création, la modification, l'affichage, le stockage, la transmission, la suppression et l'archivage des informations. Le traitement des informations peut être fourni par le SIC comme un ensemble de fonctionnalités aux utilisateurs et comme services informatiques à d'autres SIC;

29)

«secret professionnel»: protection des données commerciales qui, par leur nature, sont couvertes par le secret professionnel, et notamment les renseignements relatifs aux entreprises et concernant leurs relations commerciales ou les éléments de leur prix de revient, conformément à l'article 339 du TFUE;

30)

«garant»: ayant l'obligation d'agir et de prendre des décisions pour atteindre les résultats souhaités;

31)

«sécurité au sein de la Commission»: sécurité des personnes, des biens et des informations au sein de la Commission, en particulier l'intégrité physique des personnes et des biens, l'intégrité, la confidentialité et la disponibilité des informations et des systèmes d'information et de communication, ainsi que le fonctionnement sans entrave des activités de la Commission;

32)

«service informatique partagé»: service fourni par un SIC à d'autres SIC pour le traitement de l'information;

33)

«propriétaire du système»: personne chargée de l'ensemble des procédures d'acquisition, de développement, d'intégration, de modification, d'exploitation, de maintenance et de démantèlement d'un SIC;

34)

«utilisateur»: toute personne qui utilise les fonctionnalités fournies par un SIC, que ce soit à l'intérieur ou à l'extérieur de la Commission.

a)

authenticité: garantie que l'information est véridique et émane de sources dignes de foi;

b)

disponibilité: fait d'être accessible et utilisable, à la demande d'une entité autorisée;

c)

confidentialité: propriété selon laquelle les informations ne sont pas divulguées à des personnes ou à des entités non autorisées et l'accès à ces informations n'est pas accordé à des processus non autorisés;

d)

intégrité: propriété consistant à préserver l'exactitude et le caractère complet des informations et éléments;

e)

non-répudiation possibilité de prouver qu'une action ou un événement a eu lieu, de sorte qu'il ne peut être contesté par la suite;

f)

protection des données à caractère personnel: la fourniture de garanties appropriées en matière de données à caractère personnel dans le plein respect du règlement (CE) no 45/2001;

g)

secret professionnel: protection des données commerciales qui, par leur nature, sont couvertes par le secret professionnel, et notamment les renseignements relatifs aux entreprises et concernant leurs relations commerciales ou les éléments de leur prix de revient, conformément à l'article 339 du TFUE.

1)

assure la cohérence entre la politique de sécurité informatique et la politique de sécurité de l'information de la Commission;

2)

établit un cadre pour l'autorisation de l'utilisation des technologies de chiffrement pour le stockage et la communication d'informations par les SIC;

3)

informe la direction générale de l'informatique des menaces spécifiques qui pourraient avoir un impact significatif sur la sécurité des SIC et des ensembles de données qu'ils traitent;

4)

effectue des inspections dans le domaine de la sécurité informatique afin d'évaluer la conformité des SIC de la Commission avec la politique de sécurité et communique les résultats au CPSI.

5)

établit un cadre pour l'autorisation d'accès aux SIC de la Commission à partir de réseaux externes et pour les règles de sécurité connexes appropriées et élabore les normes et lignes directrices correspondantes en matière de sécurité informatique, en étroite collaboration avec la direction générale de l'informatique;

6)

propose des principes et règles pour la sous-traitance des SIC afin de maintenir un contrôle approprié de la sécurité de l'information;

7)

élabore les normes de sécurité informatique et les lignes directrices correspondantes en ce qui concerne l'article 6, en étroite collaboration avec la direction générale de l'informatique.

1)

élabore des normes et des lignes directrices en matière de sécurité informatique, sauf dans les cas prévus à l'article 6, en coopération étroite avec la direction générale des ressources humaines et de la sécurité, afin d'assurer la cohérence entre la politique de sécurité informatique et la politique de sécurité de l'information de la Commission et les soumet au CPSI;

2)

évalue les méthodes de gestion des risques en matière de sécurité informatique, les processus et les résultats de l'ensemble des services de la Commission et en rend compte régulièrement au CPSI;

3)

propose une stratégie glissante de sécurité informatique pour révision et approbation par le CPSI et adoption ultérieure par le CMB, et propose un programme comprenant notamment la planification des projets et des activités de mise en œuvre de la stratégie de sécurité informatique;

4)

contrôle l'exécution de la stratégie de sécurité informatique de la Commission et en rend compte régulièrement au CPSI;

5)

contrôle les risques de sécurité informatique et les mesures de sécurité mises en œuvre dans les SIC de la Commission et en rend compte régulièrement au CPSI;

6)

fait régulièrement rapport au CPSI sur la mise en œuvre globale et le respect de la présente décision;

7)

après consultation de la direction générale des ressources humaines et de la sécurité, demande aux propriétaires des systèmes de prendre des mesures de sécurité spécifiques afin d'atténuer les risques de sécurité informatique pour les SIC de la Commission;

8)

s'assure qu'il existe un catalogue adéquat de services de la direction générale de l'informatique de la sécurité informatique accessible aux propriétaires de systèmes et de données pour leur permettre d'assumer leurs responsabilités en matière de sécurité informatique et de se conformer à la politique et aux normes de sécurité informatique;

9)

fournit une documentation appropriée aux propriétaires de systèmes et de données et consulte ceux-ci, le cas échéant, sur les mesures de sécurité informatique mises en œuvre pour leurs services informatiques afin de faciliter la conformité avec la politique de sécurité informatique et d'aider les propriétaires de systèmes à gérer les risques informatiques;

10)

organise des réunions régulières du réseau des LISO et soutient ces derniers dans l'exercice de leurs fonctions;

11)

définit les besoins de formation et coordonne les programmes de formation sur la sécurité informatique en coopération avec les services de la Commission, et élabore, met en œuvre et coordonne des campagnes de sensibilisation sur la sécurité informatique en étroite collaboration avec la direction générale chargée des ressources humaines;

12)

s'assure que les propriétaires de systèmes, les propriétaires de données et les autres responsables de la sécurité informatique au sein des services de la Commission sont informés de la politique de sécurité informatique;

13)

informe la direction générale des ressources humaines et de la sécurité de certains incidents et menaces pour la sécurité informatique et des exceptions à la politique de la Commission en matière de sécurité informatique qui ont été signalés par les propriétaires de systèmes et qui pourraient avoir une incidence significative sur la sécurité au sein de la Commission;

14)

en ce qui concerne son rôle en tant que prestataire de services informatiques interne, fournit à la Commission un catalogue des services informatiques partagés procurant des niveaux de sécurité définis. Elle s'acquitte de cette tâche en évaluant, gérant et surveillant systématiquement les risques de sécurité informatique pour mettre en œuvre les mesures de sécurité permettant d'atteindre le niveau de sécurité défini.

1)

désigne officiellement, pour chaque SIC, un fonctionnaire ou un agent temporaire en qualité de propriétaire de système, qui sera responsable de la sécurité informatique du SIC en question, et désigne officiellement, pour chaque ensemble de données traité dans un SIC, un propriétaire des données qui doit appartenir à la même entité administrative que celle responsable du traitement des données pour les ensembles de données couverts par le règlement (CE) no 45/2001;

2)

désigne officiellement un responsable local de la sécurité informatique (LISO) qui puisse exercer ses responsabilités indépendamment des propriétaires de système et de données. Un LISO peut être désigné pour un ou plusieurs services de la Commission;

3)

veille à ce que des évaluations des risques dans le domaine de la sécurité informatique et des plans de sécurité informatique appropriés aient été mis en œuvre;

4)

veille à ce qu'un résumé des risques et mesures de sécurité informatique soit communiqué régulièrement à la direction générale de l'informatique;

5)

veille, avec le soutien de la direction générale de l'informatique, à ce que les processus, procédures et solutions appropriés soient en place pour assurer une détection, un signalement et une résolution efficaces des incidents de sécurité informatique relatifs à ses SIC;

6)

lance une procédure d'urgence en cas de situations d'urgence en matière de sécurité informatique;

7)

assume la responsabilité ultime de la sécurité informatique, notamment les responsabilités du propriétaire du système et du propriétaire des données;

8)

détient les risques liés à ses SIC et ensembles de données;

9)

résout les désaccords éventuels entre les propriétaires de systèmes et les propriétaires de données et, en cas de persistance du désaccord, porte l'affaire devant le CPSI en vue de sa résolution;

10)

veille à ce que des plans et des mesures de sécurité informatique soient mis en œuvre et que les risques soient couverts de manière adéquate.

a)

veille à la conformité du SIC avec la politique de sécurité informatique;

b)

veille à ce que le SIC soit correctement enregistré dans l'inventaire ad hoc;

c)

évalue les risques de sécurité informatique et détermine les besoins de sécurité informatique pour chaque SIC, en collaboration avec les propriétaires de données et en consultation avec la direction générale de l'informatique;

d)

prépare un plan de sécurité, y compris, le cas échéant, le détail des risques évalués et toute mesure de sécurité supplémentaire requise;

e)

met en œuvre les mesures de sécurité informatique appropriées et proportionnées aux risques mis en évidence, et suit les recommandations avalisées par le CPSI;

f)

détecte toute dépendance vis-à-vis d'autres SIC ou services informatiques partagés et met en œuvre, si nécessaire, des mesures de sécurité fondées sur les niveaux de sécurité proposés par ces SIC ou services informatiques partagés;

g)

gère et surveille les risques de sécurité informatique;

h)

fait régulièrement rapport au chef du service de la Commission sur le profil de risque de son SIC en matière de sécurité informatique et rend compte à la direction générale de l'informatique des risques associés, des activités de gestion des risques et des mesures de sécurité prises;

i)

consulte le LISO du ou des services compétents de la Commission sur les aspects de sécurité informatique;

j)

publie des instructions pour les utilisateurs du SIC et des données connexes ainsi que sur les responsabilités des utilisateurs en rapport avec le SIC;

k)

sollicite l'autorisation de la direction générale des ressources humaines et de la sécurité, en qualité d'autorité Crypto, pour tout SIC qui utilise des technologies de chiffrement;

l)

consulte l'autorité de sécurité de la Commission au préalable concernant tout système traitant des informations classifiées de l'Union européenne;

m)

veille à ce que les sauvegardes de toutes les clés de déchiffrement soient stockées dans un compte séquestre. La récupération des données chiffrées est effectuée seulement lorsqu'elle est autorisée conformément au cadre défini par la direction générale des ressources humaines et de la sécurité;

n)

respecte les instructions données par le ou les responsables du traitement des données concernés quant à la protection des données à caractère personnel et à l'application des règles de protection des données à la sécurité du traitement;

o)

signale à la direction générale de l'informatique toute exception à la politique de sécurité informatique de la Commission, y compris les motifs invoqués;

p)

signale au chef du service de la Commission tout différend impossible à régler entre le propriétaire des données et le propriétaire du système, communique les incidents de sécurité informatique aux parties concernées en temps utile, le cas échéant, en fonction de leur gravité, comme prévu à l'article 15;

q)

veille, pour les systèmes externalisés, à ce que les dispositions de sécurité informatique appropriées soient incluses dans les contrats d'externalisation et que les incidents de sécurité survenant dans les SIC externalisés soient signalés conformément à l'article 15;

r)

veille à ce que les SIC fournissant des services informatiques partagés atteignent un niveau de sécurité défini et clairement documenté, et que des mesures de sécurité soient mises en œuvre pour que lesdits SIC parviennent au niveau de sécurité défini.

a)

veille à ce que tous les ensembles de données sous sa responsabilité soient correctement classés conformément aux décisions (UE, Euratom) 2015/443 et (UE, Euratom) 2015/444;

b)

définit les besoins en matière de sécurité de l'information et en informe les propriétaires de systèmes;

c)

participe à l'évaluation des risques pesant sur le SIC;

d)

signale au chef du service de la Commission tout différend impossible à régler entre le propriétaire des données et le propriétaire du système;

e)

communique les incidents de sécurité informatique, comme prévu à l'article 15.

a)

identifie proactivement les propriétaires de systèmes, les propriétaires de données et les autres responsables de la sécurité informatique au sein des services de la Commission et les informe de la politique de sécurité informatique;

b)

se concerte avec la direction générale de l'informatique, dans le cadre du réseau LISO, sur les questions liées à la sécurité informatique dans les services de la Commission;

c)

assiste aux réunions régulières des LISO;

d)

garde une vue d'ensemble du processus de gestion des risques de sécurité de l'information ainsi que de l'élaboration et de la mise en œuvre des plans de sécurité du système d'information;

e)

conseille les propriétaires de données, les propriétaires de systèmes et les chefs des services de la Commission sur les questions liées à la sécurité informatique;

f)

coopère avec la direction générale de l'informatique pour la diffusion des bonnes pratiques en matière de sécurité informatique et propose des programmes spécifiques de sensibilisation et de formation;

g)

fait rapport sur la sécurité informatique, sur les lacunes recensées et sur les améliorations possibles aux chefs de services de la Commission.

a)

se conforment à la politique de sécurité informatique et aux instructions émises par le propriétaire du système concernant l'utilisation de chaque SIC;

b)

communiquent les incidents de sécurité informatique, comme prévu à l'article 15.

a)

a le droit d'accéder à des informations succinctes pour tous les incidents et à un rapport complet sur demande;

b)

participe aux groupes de gestion de crise des incidents de sécurité informatique et aux procédures d'urgence en matière de sécurité informatique;

c)

est chargée des relations avec les services répressifs et de renseignement;

d)

effectue l'analyse criminalistique concernant la cybersécurité conformément à l'article 11 de la décision (UE, Euratom) 2015/443;

e)

décide s'il y a lieu de lancer une enquête formelle;

f)

informe la direction générale de l'informatique de tous les incidents de sécurité informatique susceptibles de présenter un risque pour d'autres SIC.

a)

informent immédiatement leur chef de service de la Commission, la direction générale de l'informatique, la direction générale des ressources humaines, le LISO et, le cas échéant, le propriétaire des données, de tout incident majeur de sécurité informatique, en particulier s'il implique une violation de la confidentialité des données;

b)

coopèrent et suivent les instructions données par les autorités concernées de la Commission en matière de communication, de réaction et de remise en état.