11.1.2017   

HR

Službeni list Europske unije

L 6/40

(1)

Komunikacijski i informacijski sustavi Komisije sastavni su dio funkcioniranja Komisije te incidenti u području IT sigurnosti mogu ozbiljno utjecati na aktivnosti Komisije i na treće strane, uključujući građane, poduzeća i države članice.

(2)

Postoje mnoge prijetnje koje mogu naštetiti povjerljivosti, cjelovitosti i dostupnosti komunikacijskih i informacijskih sustava Komisije i informacija koje se u njima obrađuju. Te prijetnje uključuju nezgode, pogreške, namjerne napade i prirodne događaje te se trebaju prepoznati kao operativni rizici.

(3)

Komunikacijski i informacijski sustavi trebaju imati razinu zaštite koja je razmjerna vjerojatnosti, utjecaju i prirodi rizika kojima su izloženi.

(4)

IT sigurnost u Komisiji trebala bi jamčiti da CIS-ovi (CIS – communication and information system) štite informacije koje se u njima obrađuju te da funkcioniraju kako i kada je potrebno pod nadzorom zakonitih korisnika.

(5)

Komisijina politika IT sigurnosti trebala bi se provoditi dosljedno s politikama sigurnosti u Komisiji.

(6)

Uprava za sigurnost Glavne uprave za ljudske resurse i sigurnost općenito je odgovorna za sigurnost u Komisiji u okviru nadležnosti i odgovornosti člana Komisije odgovornog za sigurnost.

(7)

Pristup Komisije trebao bi uzeti u obzir političke inicijative EU-a i zakonodavstvo o mrežnoj i informacijskoj sigurnosti, industrijske standarde i dobre prakse, kako bi se poštovalo sve mjerodavno zakonodavstvo i omogućile interoperabilnost i kompatibilnost.

(8)

Službe Komisije odgovorne za komunikacijske i informacijske sustave trebale bi razviti i provesti odgovarajuće mjere te bi se mjere IT sigurnosti za zaštitu komunikacijskih i informacijskih sustava trebale koordinirati unutar Komisije kako bi se osigurala učinkovitost i djelotvornost.

(9)

Pravila i postupci za pristup informacijama u kontekstu IT sigurnosti, uključujući rješavanje incidenata u području IT sigurnosti, trebali bi biti razmjerni prijetnji Komisiji ili njezinu osoblju i u skladu s načelima Uredbe (EZ) br. 45/2001 Europskog parlamenta i Vijeća (1) o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama i tijelima Unije i o slobodnom kretanju takvih podataka te uzimati u obzir načelo poslovne tajne, kako je propisano člankom 339. UFEU-a.

(10)

Politike i pravila za komunikacijske i informacijske sustave pri obradi klasificiranih podataka EU-a (EUCI), osjetljivih neklasificiranih podataka i neklasificiranih podataka moraju u potpunosti biti u skladu s odlukama Komisije (EU, Euratom) 2015/443 (2) i (EU, Euratom) 2015/444 (3).

(11)

Potrebno je da Komisija preispita i ažurira odredbe o sigurnosti komunikacijskih i informacijskih sustava kojima se Komisija koristi.

(12)

Odluku Komisije C(2006) 3602 stoga treba staviti izvan snage,

1.

„Odgovoran” znači odgovarati za mjere, odluke i djelovanje.

2.

„CERT-EU” je tim za hitne računalne intervencije institucija i agencija EU-a. Njegova je misija pomoći europskim institucijama da se zaštite od namjernih i zlonamjernih napada koji bi ugrozili cjelovitost njihovih sredstava informacijske tehnologije i ugrozili interese EU-a. Opseg aktivnost CERT-EU-a obuhvaća prevenciju, otkrivanje, odgovor i oporavak.

3.

„Služba Komisije” znači bilo koja glavna uprava ili služba Komisije ili kabinet člana Komisije.

4.

„Sigurnosno tijelo Komisije” odnosi se na ulogu utvrđenu u Odluci (EU, Euratom) 2015/444.

5.

„Komunikacijski i informacijski sustav” ili „CIS” znači svaki sustav koji omogućuje postupanje s podacima u elektroničkom obliku, uključujući sva sredstva potrebna za njegovo funkcioniranje, kao i infrastrukturu, organizaciju, osoblje i informacijske resurse. Ta definicija uključuje poslovne aplikacije, zajedničke IT usluge, izdvojene sustave i uređaje krajnjih korisnika.

6.

„Korporativni upravni odbor” (Corporate Management Board, CMB) pruža najvišu razinu korporativnog upravnog nadzora nad operativnim i administrativnim pitanjima u Komisiji.

7.

„Vlasnik podataka” znači pojedinac odgovoran za osiguravanje zaštite i korištenje određenim skupom podataka kojim rukuje CIS.

8.

„Skup podataka” znači skup informacija koji se upotrebljava u određenom poslovnom procesu ili aktivnosti Komisije.

9.

„Postupak u slučaju nužde” znači unaprijed utvrđeni skup metoda i odgovornosti za djelovanje u hitnim situacijama kako bi se spriječile velike posljedice za Komisiju.

10.

„Politika informacijske sigurnosti” znači skup ciljeva u području informacijske sigurnosti koji su utvrđeni, ostvareni i provjereni ili koje treba utvrditi, ostvariti i provjeriti. Obuhvaća, no nije ograničena na, odluke (EU, Euratom) 2015/444 i (EU, Euratom) 2015/443.

11.

„Upravljački odbor za informacijsku sigurnost” (ISSB) znači upravljačko tijelo koje podupire korporativni upravni odbor u njegovim zadacima koji se odnose na IT sigurnost.

12.

„Unutarnji pružatelj IT usluge” znači služba Komisije koja pruža zajedničke IT usluge.

13.

„IT sigurnost” ili „sigurnost CIS-a” znači očuvanje povjerljivosti, cjelovitosti i dostupnosti CIS-ova i skupova podataka koje obrađuju.

14.

„Smjernice za IT sigurnost” sastoje se od preporučenih, no dobrovoljnih mjera koje se provode za potporu standardima IT sigurnosti ili služe kao referenca kada ne postoji primjenljivi standard.

15.

„Incident povezan s IT sigurnosti” znači događaj koji bi mogao nepovoljno utjecati na povjerljivost, cjelovitost ili dostupnost CIS-a.

16.

„Mjera IT sigurnosti” znači tehnička ili organizacijska mjera kojoj je cilj ublažiti rizike IT sigurnosti.

17.

„Potreba u pogledu IT sigurnosti” znači precizna i nedvosmislena definicija razina povjerljivosti, cjelovitosti i dostupnosti povezana s pojedinom informacijom ili IT sustavom radi utvrđivanja potrebne razine zaštite.

18.

„Cilj u području IT sigurnosti” znači izjava o namjeri sprječavanja određenih prijetnji i/ili zadovoljavanja određenih organizacijskih sigurnosnih zahtjeva ili pretpostavki.

19.

„Plan IT sigurnosti” znači dokumentacija o mjerama IT sigurnosti koje su potrebne za ispunjavanje potreba u pogledu IT sigurnosti CIS-a.

20.

„Politika IT sigurnosti” znači skup ciljeva u području IT sigurnosti, koji su utvrđeni, ostvareni i provjereni ili koje treba utvrditi, ostvariti i provjeriti. Obuhvaća ovu Odluku i njezina provedbena pravila.

21.

„Zahtjev u pogledu IT sigurnosti” znači potreba u pogledu IT sigurnosti formalizirana u prethodno definiranom postupku.

22.

„Rizik za IT sigurnost” znači učinak koji bi prijetnja IT sigurnosti mogla imati na CIS ako bi se iskoristila slaba točka. Kao takav, rizik za IT sigurnost karakteriziraju dva čimbenika: 1. nesigurnost, tj. vjerojatnost da će prijetnja IT sigurnosti prouzročiti neželjeni događaj, i 2. utjecaj, tj. posljedice koje bi takav neželjeni događaj mogao imati za CIS.

23.

„Standardi IT sigurnosti” znače određene obvezne mjere IT sigurnosti koje olakšavaju izvršenje i podupiru politiku IT sigurnosti.

24.

„Strategija IT sigurnosti” znači skup projekata i aktivnosti koje su namijenjene postizanju ciljeva Komisije i koje treba uspostaviti, provesti i provjeriti.

25.

„Prijetnja IT sigurnosti” znači čimbenik koji bi mogao dovesti do neželjenog događaja koji bi CIS-u mogao nanijeti štetu. Takve prijetnje mogu biti slučajne ili namjerne, a karakteriziraju ih prijeteći elementi, mogući ciljevi i načini napada.

26.

„Lokalni službenik za informacijsku sigurnost” ili „LISO” znači odgovorni službenik za vezu u području IT sigurnosti u službi Komisije.

27.

„Osobni podaci”, „obrada osobnih podataka”, „voditelj obrade” i „sustav datoteka osobnih podataka” imaju isto značenje kao u Uredbi (EZ) br. 45/2001, a posebno kao u članku 2.

28.

„Obrada informacija” znači sve funkcije CIS-a u pogledu skupova podataka, uključujući stvaranje, izmjene, prikazivanje, pohranjivanje, prijenos, brisanje ili arhiviranje informacija. Obrada informacija korisnicima se može pružiti preko CIS-a kao skup funkcionalnosti i kao IT usluge drugim CIS-ovima.

29.

„Poslovna tajna” znači zaštita poslovnih podataka koji su obuhvaćeni obvezom čuvanja poslovne tajne, osobito podataka o poduzećima, njihovim poslovnim odnosima ili troškovima, kako je utvrđeno u članku 339. UFEU-a.

30.

„Odgovoran” znači biti obvezan postupati i odlučivati kako bi se postigli potrebni ciljevi.

31.

„Sigurnost u Komisiji” znači sigurnost osoba, imovine i podataka u Komisiji, a osobito fizička cjelovitost osoba i imovine, cjelovitost, povjerljivost i dostupnost podataka i komunikacijskih i informacijskih sustava te nesmetan rad Komisije.

32.

„Zajednička IT usluga” znači usluga koja se CIS-om pruža drugim CIS-ovima pri obradi informacija.

33.

„Vlasnik sustava” znači pojedinac odgovoran za sveukupnu nabavu, razvoj, integraciju, izmjene, rad, održavanje i povlačenje CIS-a.

34.

„Korisnik” znači pojedinac koji se koristi funkcionalnostima koje pruža CIS, unutar ili izvan Komisije.

(a)

autentičnosti: jamstvo da su podaci točni i da potječu iz dobronamjernih (bona fide) izvora;

(b)

raspoloživosti: podaci su dostupni i mogu se upotrebljavati na zahtjev ovlaštenog subjekta;

(c)

povjerljivosti: podaci se ne otkrivaju neovlaštenim osobama, subjektima ni procesima;

(d)

cjelovitosti: štiti se točnost i cjelovitost sredstava i podataka;

(e)

nepobitnosti: može se dokazati da se dogodila određena radnja ili da je nastupio određeni događaj tako da se to kasnije ne može poreći;

(f)

zaštite osobnih podataka: pruža se primjerena zaštita mjera u pogledu osobnih podataka u potpunosti u skladu s Uredbom (EZ) br. 45/2001;

(g)

čuvanja poslovne tajne: štite se vrste informacija koje su obuhvaćene obvezom čuvanja poslovne tajne, osobito informacije o poduzećima, njihovim poslovnim odnosima ili troškovima, kako je utvrđeno u članku 339. UFEU-a.

1.

osigurava usklađivanje politike IT sigurnosti i Komisijine politike informacijske sigurnosti;

2.

uspostavlja okvir za izdavanje odobrenja za upotrebu tehnologija šifriranja za pohranu i razmjenu informacija preko CIS-ova;

3.

obavješćuje Glavnu upravu za informatiku o posebnim prijetnjama koje bi mogle imati značajan utjecaj na sigurnost CIS-ova i skupove podataka koje obrađuju;

4.

provodi inspekcije IT sigurnosti kako bi se ocijenila sukladnost Komisijinih CIS-ova s politikom sigurnosti te izvješćuje ISSB o rezultatima;

5.

uspostavlja okvir za odobrenje pristupa CIS-ovima Komisije iz vanjskih mreža i za povezana primjerena sigurnosna pravila te u bliskoj suradnji s Glavnom upravom za informatiku razvija standarde i smjernice koje se odnose na IT sigurnost;

6.

predlaže načela i pravila za eksternalizaciju CIS-ova kako bi se zadržala primjerena kontrola nad sigurnošću informacija;

7.

razvija povezane standarde i smjernice za IT sigurnost u vezi s člankom 6. u bliskoj suradnji s Glavnom upravom za informatiku.

1.

razvija standarde i smjernice za IT sigurnost, osim kako je predviđeno člankom 6., u bliskoj suradnji s Glavnom upravom za ljudske resurse i sigurnost, kako bi se osigurala dosljednost između politike IT sigurnosti i Komisijine politike informacijske sigurnosti te ih predlaže ISSB-u;

2.

ocjenjuje metode, postupke i ishode u pogledu upravljanja rizicima IT sigurnosti svih službi Komisije i o tome redovito izvješćuje ISSB;

3.

predlaže kontinuiranu strategiju IT sigurnosti koju pregledava i odobrava ISSB i zatim donosi korporativni upravni odbor te predlaže program, uključujući planiranje projekata i aktivnosti za provedbu strategije IT sigurnosti;

4.

prati izvršavanje Komisijine strategije IT sigurnosti i o tome redovito izvješćuje ISSB;

5.

prati rizike u području IT sigurnosti i mjere IT sigurnosti provedene u CIS-ovima i o tome redovito izvješćuje ISSB;

6.

redovito izvješćuje ISSB o sveukupnoj provedbi i usklađenosti s ovom Odlukom;

7.

nakon savjetovanja s Glavnom upravom za ljudske resurse i sigurnost zahtijeva od vlasnika sustava da poduzmu određene mjere IT sigurnosti kako bi se za CIS-ove Komisije ublažili rizici u području IT sigurnosti;

8.

osigurava postojanje odgovarajućeg kataloga usluga IT sigurnosti Glavne uprave za informatiku koje su dostupne vlasnicima sustava i vlasnicima podataka kako bi ispunili svoje odgovornosti u pogledu IT sigurnosti i poštovali politike i standarde IT sigurnosti;

9.

vlasnicima sustava i podataka osigurava odgovarajuću dokumentaciju te se po potrebi savjetuje s njima o mjerama IT sigurnosti koje su provedene za njihove IT usluge kako bi se olakšalo usklađivanje s politikom IT sigurnosti i pružila podrška vlasnicima sustava pri upravljanju IT rizicima;

10.

organizira redovite sastanke lokalnih službenika za informacijsku sigurnost i podupire ih u izvršavanju njihovih zadataka;

11.

utvrđuje potrebe izobrazbe i koordinira programe izobrazbe o IT sigurnosti u suradnji sa službama Komisije te razvija, provodi i koordinira kampanje za podizanje razine svijesti o IT sigurnosti u bliskoj suradnji s Glavnom upravom za ljudske resurse;

12.

osigurava da su vlasnici sustava, vlasnici podataka i nositelji drugih funkcija s odgovornostima u području IT sigurnosti u službama Komisije upoznati s politikom IT sigurnosti;

13.

obavješćuje Glavnu upravu za ljudske resurse i sigurnost o određenim prijetnjama IT sigurnosti, incidentima i iznimkama od Komisijine politike IT sigurnosti koje su prijavili vlasnici sustava, a koji bi mogli imati znatan utjecaj na sigurnost u Komisiji;

14.

u pogledu svoje uloge kao unutarnjeg pružatelja IT usluge, Komisiji dostavlja katalog zajedničkih IT usluga kojima se pružaju utvrđene razine sigurnosti. To se izvršava sustavnom procjenom, upravljanjem i praćenjem rizika u području IT sigurnosti kako bi se provele sigurnosne mjere radi dostizanja utvrđene sigurnosne razine.

1.

službeno imenuje vlasnika sustava za svaki CIS, koji je dužnosnik ili član privremenog osoblja i koji će biti nadležan za IT sigurnost dotičnog CIS-a, i službeno imenuje vlasnika podataka za svaki skup podataka kojim upravlja CIS, a koji mora pripadati administrativnom subjektu koji ima ulogu voditelja obrade podataka za skupove podataka koji podliježu Uredbi (EZ) br. 45/2001;

2.

službeno imenuje lokalnog službenika za informacijsku sigurnost koji može izvršavati odgovornosti neovisno o vlasniku sustava i vlasniku podataka. Lokalni službenik za informacijsku sigurnost može biti imenovan za jednu službu Komisije ili više njih;

3.

osigurava izradu i provedbu odgovarajućih procjena rizika u području IT sigurnosti i planova IT sigurnosti;

4.

osigurava da se Glavnoj upravi za informatiku redovito dostavlja sažetak rizika i mjera u području IT-a;

5.

osigurava, uz potporu Glavne uprave za informatiku, uspostavljanje odgovarajućih procesa, postupaka i rješenja kako bi se osiguralo učinkovito otkrivanje i rješavanje incidenata povezanih s IT sigurnosti koji se odnose na CIS-ove i izvješćivanje o njima;

6.

u kriznim situacijama povezanima s IT sigurnosti pokreće postupak u slučaju nužde;

7.

ima krajnju odgovornost za IT sigurnost, uključujući odgovornosti vlasnika sustava i vlasnika podataka;

8.

preuzima rizike koji se odnose na vlastiti CIS i skupove podataka;

9.

rješava sve nesporazume između vlasnika podataka i vlasnika sustava te u slučaju daljnjeg nesporazuma rješavanje tog pitanja prepušta ISSB-u;

10.

osigurava provedbu planova IT sigurnosti i mjera IT sigurnosti te prikladno upravljanje rizicima.

(a)

osigurava usklađenost CIS-a s politikom IT sigurnosti;

(b)

osigurava točno evidentiranje CIS-a u relevantnom inventaru;

(c)

procjenjuje rizike u području IT sigurnosti i utvrđuje potrebe u pogledu IT sigurnosti za svaki CIS u suradnji s vlasnicima podataka te u dogovoru s Glavnom upravom za informatiku;

(d)

izrađuje plan sigurnosti, uključujući, prema potrebi, pojedinosti o procijenjenim rizicima i sve dodatne sigurnosne mjere koje su potrebne;

(e)

provodi odgovarajuće mjere IT sigurnosti razmjerne utvrđenim rizicima u području IT sigurnosti i prati preporuke koje je potvrdio ISSB;

(f)

utvrđuje sve zavisnosti o drugim CIS-ovima ili zajedničkim IT uslugama i prema potrebi provodi sigurnosne mjere na temelju razina sigurnosti koje su predložene tim CIS-ovima ili zajedničkim IT uslugama;

(g)

upravlja rizicima u području IT sigurnosti i prati ih;

(h)

redovito izvješćuje načelnika službe Komisije o profilu rizičnosti u pogledu IT sigurnosti svojeg CIS-a te izvješćuje Glavnu upravu za informatiku o povezanim rizicima, aktivnostima upravljanja rizikom i poduzetim sigurnosnim mjerama;

(i)

savjetuje se o aspektima IT sigurnosti s lokalnim službenikom za informacijsku sigurnost u relevantnim službama Komisije;

(j)

izdaje upute korisnicima o uporabi CIS-a i povezanim podacima te o odgovornostima korisnika povezanima s CIS-om;

(k)

traži odobrenje Glavne uprave za ljudske resurse i sigurnost, koja djeluje kao tijelo za šifriranje (Crypto Authority), za svaki CIS koji upotrebljava tehnologije šifriranja;

(l)

unaprijed se savjetuje sa sigurnosnim tijelom Komisije u vezi sa svim sustavima koji obrađuju klasificirane informacije EU-a;

(m)

osigurava pohranjivanje sigurnosnih kopija svih ključeva za dešifriranje na pričuvnom računu. Oporavak šifriranih podataka provodi se samo kada je odobren u skladu s okvirom koji je utvrdila Glavna uprava za ljudske resurse i sigurnost;

(n)

poštuje sve upute relevantnih voditelja obrade podataka povezane sa zaštitom osobnih podataka i primjenom pravila o zaštiti podataka na sigurnost obrade;

(o)

obavješćuje Glavnu upravu za informatiku o svim iznimkama od Komisijine politike IT sigurnosti, uključujući relevantna obrazloženja;

(p)

izvješćuje načelnika Komisijine službe o svim nerješivim nesporazumima između vlasnika podataka i vlasnika sustava i prema potrebi relevantnim dionicima pravodobno prenosi informacije o incidentima u području IT sigurnosti, kako je primjereno s obzirom na njihovu težinu u skladu s člankom 15.;

(q)

osigurava da se u ugovore o eksternalizaciji za eksternalizirane sustave uključe primjerene odredbe o IT sigurnosti te da se o incidentima u području IT sigurnosti koji se događaju u eksternaliziranim CIS-ovima izvješćuje u skladu s člankom 15.;

(r)

za CIS-ove koji pružaju zajedničke IT usluge osigurava da se pruža i jasno dokumentira utvrđena razina sigurnosti te da se za taj CIS provode sigurnosne mjere radi dostizanja utvrđene razine sigurnosti.

(a)

osigurava da se svi skupovi podataka koji su u njegovoj ili njezinoj nadležnosti klasificiraju na primjeren način u skladu s odlukama (EU, Euratom) 2015/443 i (EU, Euratom) 2015/444;

(b)

utvrđuje potrebe u pogledu informacijske sigurnosti i obavješćuje relevantne vlasnike sustava o tim potrebama;

(c)

sudjeluje u procjeni rizika u CIS-u;

(d)

izvješćuje načelnika Komisijine službe o svim nerješivim nesporazumima između vlasnika podataka i vlasnika sustava;

(e)

prenosi informacije o incidentima u području IT sigurnosti kako je predviđeno člankom 15.

(a)

proaktivno utvrđuje politiku IT sigurnosti i o njoj obavješćuje vlasnike sustava, vlasnike podataka i druge nositelje funkcija s odgovornostima u pogledu IT sigurnosti u službama Komisije;

(b)

povezuje se s Glavnom upravom za informatiku u sklopu mreže lokalnih službenika za sigurnost u vezi s pitanjima povezanima s IT sigurnosti u službama Komisije;

(c)

prisustvuje redovitim sastancima lokalnih službenika za sigurnost;

(d)

održava pregled procesa upravljanja rizikom u području informacijske sigurnosti te razvoja i provedbe sigurnosnih planova za informacijski sustav;

(e)

savjetuje vlasnike podataka, vlasnike sustava i načelnika Komisijine službe o pitanjima u vezi s IT sigurnošću;

(f)

surađuje s Glavnom upravom za informatiku pri širenju dobrih IT praksi i predlaže određene programe podizanja razine svijesti i izobrazbe;

(g)

izvješćuje načelnika Komisijine službe o IT sigurnosti, utvrđuje nedostatke i poboljšanja.

(a)

poštuju politiku IT sigurnosti i upute koje je izdao vlasnik sustava o upotrebi svakog CIS-a;

(b)

prenose informacije o incidentima u području IT sigurnosti kako je predviđeno člankom 15.

(a)

ima pravo na pristup sažetku informacija za sve zapisnike o incidentima i potpunim zapisnicima na zahtjev;

(b)

sudjeluje u skupinama za upravljanje kriznim situacijama za incidente IT sigurnosti i postupcima u slučaju nužde u pogledu IT sigurnosti;

(c)

zadužena je za odnose s tijelima kaznenog progona i obavještajnim službama;

(d)

provodi forenzičke analize u pogledu kibernetičke sigurnosti u skladu s člankom 11. Odluke (EU, Euratom) 2015/443;

(e)

odlučuje o potrebi pokretanja službene istrage;

(f)

obavješćuje Glavnu upravu za informatiku o svim incidentima u području IT sigurnosti koji mogu predstavljati rizik drugim CIS-ovima.

(a)

odmah obavijestiti načelnika Komisijine službe, Glavnu upravu za informatiku, Glavnu upravu za ljudske resurse, lokalnog službenika za sigurnost i prema potrebi vlasnika podataka o svim većim incidentima u području IT sigurnosti, osobito onima koji uključuju povredu povjerljivosti podataka;

(b)

surađivati s relevantnim tijelima Komisije i slijediti njihove upute o obavješćivanju o incidentu, odgovoru na incident i uklanjanju njegovih posljedica.