5.5.2010   

HU

Az Európai Unió Hivatalos Lapja

L 112/25


A BIZOTTSÁG HATÁROZATA

(2010. május 4.)

a Vízuminformációs Rendszer működésére vonatkozó biztonsági tervről

(2010/260/EU)

AZ EURÓPAI BIZOTTSÁG,

tekintettel az Európai Unió működéséről szóló szerződésre,

tekintettel a vízuminformációs rendszerről (VIS) és a rövid távú tartózkodásra jogosító vízumokra vonatkozó adatok tagállamok közötti cseréjéről szóló, 2008. július 9-i 767/2008/EK európai parlamenti és tanácsi rendeletre (1) (VIS-rendelet) és különösen annak 32. cikkére,

mivel:

(1)

A 767/2008/EK rendelet 32. cikkének (3) bekezdése úgy rendelkezik, hogy az igazgató hatóság a VIS működése tekintetében megteszi a 32. cikk (2) bekezdésben felsorolt célok eléréséhez szükséges intézkedéseket, beleértve a biztonsági terv elfogadását is.

(2)

A 767/2008/EK rendelet 26. cikkének (4) bekezdése úgy rendelkezik, hogy mielőtt az igazgató hatóság megkezdi tevékenységét, átmenetileg a Bizottság felel a VIS üzemeltetési igazgatásáért.

(3)

A 45/2001/EK európai parlamenti és tanácsi rendeletet (2) alkalmazni kell akkor, amikor a Bizottság személyes adatokat dolgoz fel a VIS üzemeltetési igazgatásával kapcsolatos feladatainak ellátása során.

(4)

A 767/2008/EK rendelet 26. cikkének (7) bekezdése úgy rendelkezik, hogy amennyiben a Bizottság az átmeneti időszakban, mielőtt az igazgató hatóság megkezdi tevékenységét, átruházza feladatát, biztosítania kell, hogy az átruházás ne érintse hátrányosan akár a Bíróság, akár a Számvevőszék, akár az európai adatvédelmi biztos által, az uniós jog alapján végzett, hatékony ellenőrzési mechanizmusokat.

(5)

Tevékenységének megkezdését követően az igazgató hatóság létrehozza a VIS-re vonatkozó saját biztonsági tervét.

(6)

A nemzeti interfészek, valamint a nemzeti interfészek és a központi VIS közötti kommunikációs infrastruktúra kifejlesztési szakaszban alkalmazott fizikai architektúrájának és az azokra vonatkozó követelményeknek a meghatározásáról szóló, 2008. június 17-i 2008/602/EK bizottsági határozat (3) meghatározta a VIS-hálózat alkalmazásában szükséges biztonsági szolgáltatásokat.

(7)

A 767/2008/EK rendelet 27. cikke értelmében a technikai felügyeletet és igazgatást ellátó központi VIS Strasbourgban (Franciaország), a rendszer meghibásodása esetén az elsődleges központi VIS minden funkcióját biztosítani képes tartalék-VIS pedig Sankt Johann im Pongauban (Ausztria) található.

(8)

A biztonsági eseményekre való hatékony és azonnali válaszadás és a biztonsági eseményekkel kapcsolatos jelentéstétel érdekében meg kell határozni a biztonsági tisztviselők feladatait.

(9)

Biztonsági politikát kell kidolgozni, amelyben e határozat rendelkezéseivel összhangban valamennyi technikai és szervezési részlet meghatározásra kerül.

(10)

Meg kell állapítani a VIS működésének megfelelő biztonsági szintjét biztosító intézkedéseket,

ELFOGADTA EZT A HATÁROZATOT:

I.   FEJEZET

ÁLTALÁNOS RENDELKEZÉSEK

1. cikk

Tárgy

Ez a határozat létrehozza a 767/2008/EK rendelet (VIS-rendelet) 32. cikkének (3) bekezdése szerinti biztonsági rendszert és intézkedéseket (biztonsági terv).

II.   FEJEZET

FELÉPÍTÉS, FELADATOK ÉS ESEMÉNYKEZELÉS

2. cikk

A Bizottság feladatai

(1)   A Bizottság végrehajtja a központi VIS-re és a kommunikációs infrastruktúrára vonatkozó, e határozatban említett biztonsági intézkedéseket, és nyomon követi azok eredményességét.

(2)   A Bizottság rendszerbiztonsági tisztviselőt jelöl ki tisztviselői közül. A rendszerbiztonsági tisztviselőt a Bizottság Jogérvényesülés, Szabadság és Biztonság Főigazgatóságának főigazgatója nevezi ki. A rendszerbiztonsági tisztviselő mindenekelőtt a következő feladatokat látja el:

a)

kidolgozza, naprakésszé teszi és felülvizsgálja az e határozat 7. cikkében meghatározott biztonsági politikát;

b)

nyomon követi a központi VIS-re és a kommunikációs infrastruktúrára vonatkozó biztonsági eljárások végrehajtásának eredményességét;

c)

hozzájárul a 767/2008/EK rendelet 50. cikke (3) és (4) bekezdésében említett, biztonsággal kapcsolatos jelentések kidolgozásához;

d)

koordinációs és támogatási feladatokat lát el az európai adatvédelmi biztos által végzett, a 767/2008/EK rendelet 42. cikkében említett ellenőrzések során;

e)

ellenőrzi, hogy ezt a határozatot és a biztonsági politikát a VIS igazgatásában és működtetésében bármilyen módon részt vevő, valamennyi szerződő fél – az alvállalkozókat is beleértve – megfelelően és maradéktalanul alkalmazza;

f)

kezeli a VIS biztonságával foglalkozó nemzeti kapcsolattartási pontok listáját, és azt megküldi a központi VIS és a kommunikációs infrastruktúra helyi biztonsági tisztviselői számára.

3. cikk

A központi VIS helyi biztonsági tisztviselője

(1)   A 8. cikkben foglaltak sérelme nélkül a Bizottság tisztviselői közül kijelöli a központi VIS helyi biztonsági tisztviselőjét. A helyi biztonsági tisztviselő kötelezettségei és bármely más hivatalos kötelezettség közötti összeférhetetlenséget el kell kerülni. A központi VIS helyi biztonsági tisztviselőjét a Bizottság Jogérvényesülés, Szabadság és Biztonság Főigazgatóságának főigazgatója nevezi ki.

(2)   A központi VIS helyi biztonsági tisztviselője az elsődleges központi VIS tekintetében biztosítja az e határozatban említett biztonsági intézkedések végrehajtását és a biztonsági eljárások követését. A központi VIS helyi biztonsági képviselője a tartalék-VIS tekintetében a 10. cikkben említett intézkedések kivételével biztosítja az e határozatban említett biztonsági intézkedések végrehajtását és az azokkal összefüggő biztonsági eljárások követését.

(3)   A központi VIS helyi biztonsági tisztviselője bármely feladatát átruházhatja beosztottjaira. Az e feladatok ellátására vonatkozó kötelezettség és bármely más hivatalos kötelezettség közötti összeférhetetlenséget el kell kerülni. Biztosítani kell azt a telefonszámot és címet, amelyen a helyi biztonsági tisztviselő vagy szolgálatban lévő beosztottja mindenkor elérhető.

(4)   A központi VIS helyi biztonsági tisztviselője az (1) bekezdés szabta korlátok figyelembevételével elvégzi az elsődleges központi és tartalék-VIS működési helyén foganatosítandó biztonsági intézkedésekből fakadó feladatokat, különös tekintettel a következőkre:

a)

elvégzi a helyi operatív biztonsági feladatokat, köztük a tűzfalellenőrzést, a rendszeres biztonsági próbákat, az ellenőrzéseket, és elkészíti az ezekről szóló jelentéseket;

b)

nyomon követi a rendszer működésének folytonosságát biztosító terv hatékonyságát, és biztosítja rendszeres gyakorlatok elvégzését;

c)

összegyűjti a központi VIS vagy a kommunikációs infrastruktúra biztonságát befolyásolni képes biztonsági eseményekkel kapcsolatos tényeket, és jelenti az ilyen eseményeket a rendszerbiztonsági tisztviselőnek;

d)

tájékoztatja a rendszerbiztonsági tisztviselőt a biztonsági politika módosításának szükségességéről;

e)

ellenőrzi, hogy ezt a határozatot és a biztonsági politikát a központi VIS üzemeltetési igazgatásában bármilyen módon részt vevő, valamennyi szerződő fél – az alvállalkozókat is beleértve – alkalmazza;

f)

biztosítja, hogy a személyi állomány tagjai tudatában legyenek kötelezettségeiknek, és nyomon követi a biztonsági politika végrehajtását;

g)

nyomon követi az informatikai biztonság területén végbemenő fejleményeket, és biztosítja a személyi állomány ennek megfelelő képzését;

h)

háttér-információkat és opciókat készít elő a biztonsági politika kidolgozása, naprakésszé tétele és felülvizsgálata céljából, a 7. cikknek megfelelően.

4. cikk

A kommunikációs infrastruktúra helyi biztonsági tisztviselője

(1)   A 8. cikkben foglaltak sérelme nélkül a Bizottság tisztviselői közül kijelöli a kommunikációs infrastruktúra helyi biztonsági tisztviselőjét. A helyi biztonsági tisztviselő kötelezettségei és bármely más hivatalos kötelezettség közötti összeférhetetlenséget el kell kerülni. A kommunikációs infrastruktúra helyi biztonsági tisztviselőjét a Bizottság Jogérvényesülés, Szabadság és Biztonság Főigazgatóságának főigazgatója nevezi ki.

(2)   A kommunikációs infrastruktúra helyi biztonsági tisztviselője nyomon követi a kommunikációs infrastruktúra működését, biztosítja a biztonsági intézkedések végrehajtását és a biztonsági eljárások követését.

(3)   A kommunikációs infrastruktúra helyi biztonsági tisztviselője bármely feladatát átruházhatja beosztottjaira. Az e feladatok ellátására vonatkozó kötelezettség és bármely más hivatalos kötelezettség közötti összeférhetetlenséget el kell kerülni. Biztosítani kell azt a telefonszámot és címet, amelyen a helyi biztonsági tisztviselő vagy szolgálatban lévő beosztottja mindenkor elérhető.

(4)   A kommunikációs infrastruktúra helyi biztonsági tisztviselője elvégzi a kommunikációs infrastruktúrával kapcsolatos biztonsági intézkedésekből fakadó feladatokat, különös tekintettel a következőkre:

a)

elvégzi a kommunikációs infrastruktúrával kapcsolatos valamennyi operatív biztonsági feladatot, köztük a tűzfalellenőrzést, a rendszeres biztonsági próbákat, az ellenőrzéseket, és elkészíti az ezekről szóló jelentéseket;

b)

nyomon követi a rendszer működésének folytonosságát biztosító terv hatékonyságát, és biztosítja rendszeres gyakorlatok elvégzését;

c)

összegyűjti a kommunikációs infrastruktúra, a központi VIS vagy a nemzeti rendszerek biztonságát befolyásolni képes eseményekkel kapcsolatos tényeket, és jelenti az ilyen eseményeket a rendszerbiztonsági tisztviselőnek;

d)

tájékoztatja a rendszerbiztonsági tisztviselőt a biztonsági politika módosításának szükségességéről;

e)

ellenőrzi, hogy ezt a határozatot és a biztonsági politikát a kommunikációs infrastruktúra irányításában és működtetésében bármilyen módon részt vevő, valamennyi szerződő fél – az alvállalkozókat is beleértve – alkalmazza;

f)

biztosítja, hogy a személyi állomány tagjai tudatában legyenek kötelezettségeiknek, és nyomon követi a biztonsági politika végrehajtását;

g)

nyomon követi az informatikai biztonság területén végbemenő fejleményeket, és biztosítja a személyi állomány ennek megfelelő képzését;

h)

háttér-információkat és opciókat készít elő a biztonsági politika kidolgozása, naprakésszé tétele és felülvizsgálata céljából, a 7. cikknek megfelelően.

5. cikk

Biztonsági események

(1)   Biztonsági eseménynek kell tekinteni bármely olyan eseményt, amely veszélyezteti vagy veszélyeztetheti a VIS működésének biztonságát, és kárt vagy veszteséget okozhat a VIS-ben, különösen akkor, ha hozzáférés történhetett az adatokhoz, vagy az adatok rendelkezésre állása, sértetlensége és bizalmas természete kárt szenvedett vagy szenvedhetett.

(2)   A biztonsági politika megállapítja azokat az eljárásokat, amelyek a biztonsági események kezeléséhez szükségesek. A biztonsági események kezelése során gyors, eredményes és megfelelő választ kell adni az eseményekre, a biztonsági politika előírásaival összhangban.

(3)   Valamely tagállamban a VIS működését vagy valamely tagállam által a VIS-be bevitt adatok rendelkezésre állását, sértetlenségét vagy bizalmas természetét veszélyeztető vagy veszélyeztetni képes biztonsági eseményekkel kapcsolatos információkat az érintett tagállam rendelkezésére kell bocsátani. A biztonsági eseményekről értesíteni kell a Bizottság adatvédelmi tisztviselőjét.

6. cikk

A biztonsági események kezelése

(1)   A VIS kialakításában, igazgatásában és üzemeltetésében részt vevő személyi állománynak és szerződéses feleknek a VIS működésében észlelt vagy gyanított bármely biztonsági hiányosságról értesíteniük kell – az adott esetnek megfelelően – a rendszerbiztonsági tisztviselőt, illetve a központi VIS vagy a kommunikációs infrastruktúra helyi biztonsági tisztviselőjét, és arról jelentést kell tenniük számára.

(2)   A VIS működésének biztonságát veszélyeztető vagy veszélyeztetni képes bármely esemény észlelése esetén a központi VIS vagy a kommunikációs infrastruktúra helyi biztonsági tisztviselője a lehető leggyorsabban írásban – vagy rendkívül sürgős esetben más kommunikációs csatornákon keresztül – értesíti a rendszerbiztonsági tisztviselőt és – adott esetben, és amennyiben az érintett tagállamban létezik ilyen – a VIS biztonságával foglalkozó nemzeti kapcsolattartási pontot. Az értesítés tartalmazza a biztonsági esemény leírását, a kockázati szintet, a lehetséges következményeket és a kockázat csökkentése érdekében foganatosított vagy foganatosítandó intézkedéseket.

(3)   A központi VIS vagy a kommunikációs infrastruktúra helyi biztonsági tisztviselője a biztonsági eseménnyel kapcsolatos bizonyítékokat késedelem nélkül biztonságba helyezi. E bizonyítékokat a rendszerbiztonsági tisztviselő erre irányuló kérése esetén az alkalmazandó adatvédelmi rendelkezések által lehetővé tett mértékben a rendszerbiztonsági tisztviselő rendelkezésére kell bocsátani.

(4)   A biztonsági események kezelésének eredményeiről szóló, az esemény kezelését és lezárását követő tájékoztatás elősegítése érdekében visszacsatolási eljárásokat kell létrehozni.

III.   FEJEZET

BIZTONSÁGI INTÉZKEDÉSEK

7. cikk

Biztonsági politika

(1)   A Jogérvényesülés, Szabadság és Biztonság Főigazgatóságának főigazgatója megállapítja, naprakészen tartja és rendszeresen felülvizsgálja az e határozatnak megfelelő, kötelező érvényű biztonsági politikát. A biztonsági politika részletes eljárásokat és intézkedéseket – egyebek mellett vészhelyzeti tervet – állapít meg a VIS rendelkezésre állását, sértetlenségét és bizalmas természetét veszélyeztető fenyegetések elleni védelem érdekében az e határozatban előírt megfelelő biztonsági szint biztosítása céljából. A biztonsági politika megfelel e határozat rendelkezéseinek.

(2)   A biztonsági politika kockázatértékelésen alapul. A biztonsági politika által megállapított intézkedések arányosak az azonosított kockázatokkal.

(3)   A kockázatértékelést és a biztonsági politikát naprakésszé kell tenni, amennyiben ezt technológiai változások, új fenyegetések azonosítása vagy bármely más körülmény szükségessé teszi. A biztonsági politikát minden esetben évente felül kell vizsgálni annak biztosítása érdekében, hogy továbbra is megfelelő választ adjon a legutóbbi kockázatértékelésre vagy bármely más újonnan azonosított technológiai változásra, fenyegetésre vagy egyéb releváns körülményre.

(4)   A biztonsági politikát a rendszerbiztonsági tisztviselő dolgozza ki a VIS helyi biztonsági tisztviselőjével és a kommunikációs infrastruktúra helyi biztonsági tisztviselőjével együttműködésben.

8. cikk

A biztonsági intézkedések végrehajtása

(1)   Az e határozatban és a biztonsági politikában megállapított feladatok és követelmények végrehajtása, ideértve a helyi biztonsági tisztviselő kijelölését is, szerződés alapján vagy más módon átruházható magánszervezetekre vagy közhatóságokra.

(2)   Ebben az esetben a Bizottság jogilag kötelező érvényű megállapodás révén biztosítja az e határozatban és a biztonsági politikában foglalt követelmények maradéktalan betartását. A helyi biztonsági tisztviselő kijelölésére irányuló feladat szerződés alapján vagy más módon történő átruházása esetén a Bizottság jogilag kötelező érvényű megállapodás révén biztosítja, hogy a helyi biztonsági tisztviselő személyéről egyeztetnek vele.

9. cikk

A létesítmény-hozzáférés ellenőrzése

(1)   Az adatfeldolgozási létesítmények elhelyezésére szolgáló területeket megfelelő sorompókkal és beléptetési ellenőrzéssel védett biztonsági övezet veszi körül.

(2)   A biztonsági övezeten belül védett területeket kell kijelölni a tárgyi összetevők (eszközök) – ideértve a hardverelemeket, adathordozókat és konzolokat, terveket és más VIS-dokumentációt – és a VIS üzemeltetésében részt vevő személyi állomány irodái és egyéb munkaterületei védelmére. A védett területeket megfelelő beléptetési ellenőrzéssel kell védeni annak biztosítása érdekében, hogy oda csak az erre feljogosított személyek léphessenek be. A védett területeken történő munkavégzés szabályait a biztonsági politikában részletesen meg kell határozni.

(3)   Gondoskodni kell az irodák, helyiségek és létesítmények fizikai biztonságáról. A jogosulatlan hozzáférés megakadályozása érdekében ellenőrizni kell, és amennyiben lehetséges, az adatfeldolgozási létesítményektől el kell választani azokat a pontokat, például a szállítási, be- és kirakodási területeket, ahol fel nem jogosított személyek beléphetnek az intézmény területére.

(4)   A biztonsági övezetek természetes vagy ember által okozott csapások elleni fizikai védelmét a kockázattal arányos mértékben kell megtervezni és biztosítani.

(5)   A berendezéseket védeni kell a fizikai és környezeti veszélyektől és a jogosulatlan hozzáférés lehetőségétől.

(6)   Amennyiben ilyen információ rendelkezésére áll, a Bizottság a 2. cikk (2) bekezdésének f) pontjában említett listát kiegészíti az e cikk rendelkezéseinek a tartalék-VIS működési helyén történő végrehajtását nyomon követő kapcsolattartási ponttal.

10. cikk

Az adathordozók és más eszközök ellenőrzése

(1)   Az eltávolítható adathordozókat védeni kell a jogosulatlan hozzáféréstől, helytelen felhasználástól és rongálódástól, és olvashatóságukat az adatok teljes élettartama alatt biztosítani kell.

(2)   A szükségtelenné vált adathordozókat biztonságos módon, a biztonsági politikában megállapított részletes eljárásoknak megfelelően kell használaton kívül helyezni.

(3)   Készletnyilvántartás révén biztosítani kell a tárolás helyével, a megőrzés előírt időtartamával és a hozzáférésre vonatkozó engedélyekkel kapcsolatos információk elérhetőségét.

(4)   A központi VIS és a kommunikációs infrastruktúra minden fontos eszközét azonosítani kell a fontosságuknak megfelelő védelem biztosítása érdekében. Naprakész nyilvántartást kell vezetni a releváns informatikai berendezésekről.

(5)   Naprakész dokumentációval kell rendelkezni a központi VIS-ről és a kommunikációs infrastruktúráról. Ezt a dokumentációt védeni kell a jogosulatlan hozzáféréstől.

11. cikk

Az adattárolás ellenőrzése

(1)   Megfelelő intézkedéseket kell hozni az információk helyes tárolása és az információkhoz való jogosulatlan hozzáférés megakadályozása érdekében.

(2)   Az adatok tárolására szolgáló eszközöket tartalmazó berendezéseket ellenőrizni kell abból a szempontból, hogy a használaton kívül helyezést megelőzően a különleges adatokat azokból eltávolították-e vagy azokban teljes mértékben felülírták-e, illetőleg e berendezéseket biztonságos módon meg kell semmisíteni.

12. cikk

Jelszóellenőrzés

(1)   A jelszavakat biztonságos módon kell tárolni, és bizalmasan kell kezelni. Jelszó felfedésének gyanúja esetén a jelszót késedelem nélkül meg kell változtatni, vagy a felhasználó fiókját le kell tiltani. A felhasználó-azonosítóknak egyedieknek és személyre szólóaknak kell lenniük.

(2)   A biztonsági politika keretében be- és kijelentkezési eljárásokat kell megállapítani a jogosulatlan hozzáférés megakadályozása érdekében.

13. cikk

A hozzáférés ellenőrzése

(1)   A biztonsági politika keretében a központi VIS üzemeltetésének igazgatása érdekében a személyi állomány számára formális regisztrációs eljárást kell meghatározni a VIS hardver- és szoftverelemeihez történő hozzáférés engedélyezése és visszavonása céljából. A hozzáférést biztosító megfelelő meghatalmazások (jelszó vagy más megfelelő eszköz) kiadását és használatát a biztonsági politikában meghatározott formális irányítási folyamat révén kell ellenőrizni.

(2)   A központi VIS hardver- és szoftverelemeihez történő hozzáférés:

i.

csak az arra feljogosított személyek számára biztosítható;

ii.

azokra az esetekre korlátozandó, amelyekben megállapítható a 767/2008/EK rendelet 42. cikkének és 50. cikkének (2) bekezdésének megfelelő jogos cél;

iii.

nem haladhatja meg a hozzáférés céljához szükséges időtartamot és mértéket; valamint

iv.

csak a biztonsági politikában meghatározott hozzáférés-ellenőrzési politika szabályainak megfelelően történhet.

(3)   A központi VIS-ben csak a helyi biztonsági tisztviselő által a központi VIS számára engedélyezett konzolok és szoftverek használhatók. A rendszer és az alkalmazások beállításait felülírni képes programok használatát korlátozni és ellenőrizni kell. Eljárásokat kell megállapítani a szoftverek telepítésének ellenőrzésére.

14. cikk

A kommunikáció ellenőrzése

Az információcsere rendelkezésre állásának, sértetlenségének és bizalmas természetének biztosítása érdekében ellenőrizni kell a kommunikációs infrastruktúrát. A kommunikációs infrastruktúrán keresztül továbbított adatokat kriptográfiai eszközökkel kell védeni.

15. cikk

Az adatrögzítés ellenőrzése

A központi VIS-ből a VIS-szoftverhez hozzáférni jogosult személyek felhasználói fiókjait a központi VIS helyi biztonsági tisztviselője ellenőrzi. Az e fiókok használatára vonatkozó információkról, ideértve a felhasználás idejét és a felhasználó kilétét is, nyilvántartást kell vezetni.

16. cikk

Az adathordozók szállításának ellenőrzése

(1)   A biztonsági politikában megfelelő intézkedéseket kell megállapítani annak érdekében, hogy meg lehessen akadályozni a személyes adatok a VIS-ből vagy VIS-be történő adattovábbítás vagy az adathordozók szállítása során történő, esetleges jogosulatlan olvasását, másolását, módosítását vagy törlését. A biztonsági politika keretében rendelkezni kell a továbbítás vagy szállítás megengedhető módozatairól, valamint a tételek szállítására és a rendeltetési helyre történő megérkezésére vonatkozó elszámoltathatósági eljárásokról. Az adathordozó a küldendő adatokon kívül más adatot nem tartalmazhat.

(2)   A harmadik felek által nyújtott azon szolgáltatásoknak, amelyek kiterjednek adatfeldolgozó létesítményekhez történő hozzáférésre, adatok feldolgozására, továbbítására, adatfeldolgozó létesítmények irányítására vagy adatfeldolgozó létesítmények termékeinek vagy szolgáltatásainak bővítésére, megfelelő, integrált biztonsági ellenőrző rendszerrel kell rendelkezniük.

17. cikk

A kommunikációs infrastruktúra biztonsága

(1)   A kommunikációs infrastruktúrát megfelelően irányítani és ellenőrizni kell a fenyegetésektől való védelem, valamint a kommunikációs infrastruktúra és a központi VIS biztonságának megőrzése érdekében, ideértve a kommunikációs infrastruktúrán keresztül továbbított adatok biztonságát is.

(2)   A hálózati szolgáltatások biztonsági jellemzőit, szolgáltatási szintjeit és irányítási követelményeit a szolgáltatóval kötött hálózati szolgáltatási megállapodásban kell meghatározni.

(3)   A VIS hozzáférési pontok védelmén kívül biztosítani kell a kommunikációs infrastruktúra vonatkozásában igénybe vett egyéb kiegészítő szolgáltatások védelmét is. A megfelelő intézkedéseket a biztonsági politikában kell megállapítani.

18. cikk

Nyomon követés

(1)   Azokat a nyilvántartásokat, amelyek a 767/2008/EK rendelet 34. cikkének (1) bekezdésében említett, a központi VIS-hez történt hozzáférésekre és a központi VIS-ben végzett adatfeldolgozási műveletekre vonatkozó információkat tartalmazzák, a 767/2008/EK rendelet 34. cikke (2) bekezdésében említett időtartam alatt biztonságos módon kell tárolni az elsődleges és a tartalék-VIS üzemeltetési helyén, illetve hozzáférhetővé kell tenni ezek üzemeltetési helyéről.

(2)   A biztonsági politikában meg kell állapítani az információfeldolgozási létesítmények használatának és hibáinak nyomon követésére vonatkozó eljárásokat, és a nyomonkövetési tevékenységek eredményeit rendszeresen ellenőrizni kell. Szükség esetén meg kell tenni a megfelelő lépéseket.

(3)   A bizonyítékok megőrzésére vonatkozó időtartam folyamán betartandó adatgyűjtési és -megőrzési követelmények teljesítése érdekében a nyilvántartásra szolgáló létesítményeket és a nyilvántartásokat védeni kell az manipulációtól és jogosulatlan hozzáféréstől.

19. cikk

Kriptográfiai intézkedések

Az információk védelme céljából megfelelő esetben kriptográfiai intézkedések alkalmazandók. Ezek használatát, céljait és feltételeit a rendszerbiztonsági tisztviselő előzetesen hagyja jóvá.

IV.   FEJEZET

EMBERIERŐFORRÁS-BIZTONSÁG

20. cikk

Személyi állományi profilok

(1)   A biztonsági politika meghatározza azon személyek funkcióit és feladatait, akik hozzáférnek a VIS-hez és a kommunikációs infrastruktúrához.

(2)   Az üzemeltetési igazgatásban részt vevő bizottsági alkalmazottak, szerződéses felek és személyi állomány biztonsággal kapcsolatos szerepköreit és feladatait meg kell határozni, és dokumentálni kell; e szerepkörökről és feladatokról tájékoztatni kell az érintett személyeket. A szerepköröket és feladatokat a bizottsági alkalmazottak esetében a munkaköri leírásban és célkitűzésekben, a szerződéses felek esetében a szerződésekben vagy a szolgálati szintű megállapodásokban kell megállapítani.

(3)   Mindazon személyekkel, akiket nem kötnek európai uniós vagy tagállami közszolgálati szabályok, a bizalmas kezelésre és titoktartásra vonatkozó megállapodást kell kötni. A VIS-adatokkal dolgozó személyi állománynak rendelkeznie kell a feladatkör ellátásához szükséges biztonsági engedélyekkel és igazolásokkal a biztonsági politikában megállapított részletes eljárásoknak megfelelően.

21. cikk

A személyi állomány tájékoztatása

(1)   A személyi állomány tagjai és adott esetben a szerződéses felek megfelelő képzés keretében – feladataik ellátásához szükséges mértékben – tájékoztatást kapnak a biztonsági kérdésekről, jogi követelményekről, elvekről és eljárásokról.

(2)   A foglalkoztatási jogviszony megszűnte vagy a szerződés lejárta esetére a biztonsági politika a személyi állomány és a szerződéses felek tekintetében meghatározza a munkahelyváltással vagy a foglalkoztatás megszűntével összefüggésben elvégzendő feladatokat, és megállapítja az eszközök visszaszolgáltatására és a hozzáférési jogok megszüntetésére irányadó eljárásokat.

V.   FEJEZET

ZÁRÓ RENDELKEZÉS

22. cikk

Időbeli hatály

(1)   Ez a határozat a Bizottság által a 767/2008/EK rendelet 48. cikke (1) bekezdésének megfelelően megállapított időponttól lép hatályba.

(2)   Ez a határozat akkor veszti hatályát, amikor az igazgató hatóság megkezdi tevékenységét.

Kelt Brüsszelben, 2010. május 4-én.

a Bizottság részéről

az elnök

José Manuel BARROSO


(1)  HL L 218., 2008.8.13., 60. o.

(2)  HL L 8., 2001.1.12., 1. o.

(3)  HL L 194., 2008.7.23., 3. o.