11.1.2017   

IT

Gazzetta ufficiale dell'Unione europea

L 6/40

(1)

I sistemi di comunicazione e informazione della Commissione sono parte integrante del funzionamento della Commissione e gli incidenti legati alla sicurezza informatica possono avere un grave impatto sull'attività della Commissione e di terzi, tra cui i cittadini, le imprese e gli Stati membri.

(2)

Sono numerose le minacce che possono danneggiare la riservatezza, l'integrità o la disponibilità dei sistemi di comunicazione e informazione della Commissione e dei dati da essi trattati. Tali minacce includono incidenti, errori, attacchi dolosi ed eventi naturali, e devono essere riconosciute come rischi operativi.

(3)

I sistemi di comunicazione e informazione devono essere dotati di un livello di protezione commisurato alla probabilità, all'impatto e alla natura dei rischi ai quali sono esposti.

(4)

La sicurezza informatica della Commissione dovrebbe assicurare che i sistemi di comunicazione e informazione della Commissione proteggano le informazioni che trattano e che funzionino correttamente e tempestivamente sotto il controllo degli utenti legittimi.

(5)

La politica in materia di sicurezza informatica della Commissione dovrebbe essere attuata in modo coerente con le politiche in materia di sicurezza della Commissione.

(6)

La direzione «Sicurezza» della direzione generale Risorse umane e sicurezza ha la responsabilità generale della sicurezza alla Commissione sotto l'autorità e la responsabilità del membro della Commissione responsabile della sicurezza.

(7)

L'approccio della Commissione dovrebbe prendere in considerazione le iniziative politiche e normative in materia di sicurezza delle reti e dell'informazione nonché le norme e le buone pratiche del settore per conformarsi a tutte le normative pertinenti e consentire l'interoperabilità e la compatibilità.

(8)

I servizi della Commissione responsabili dei sistemi di comunicazione e informazione dovrebbero elaborare e attuare misure adeguate. Le misure di sicurezza informatica per proteggere i sistemi in questione dovrebbero essere coordinate a livello della Commissione per assicurarne l'efficienza e l'efficacia.

(9)

Le norme e procedure per l'accesso alle informazioni in tema di sicurezza informatica, compresa la gestione degli incidenti di sicurezza informatica, dovrebbero essere proporzionate alla minaccia per la Commissione o il suo personale e conformi ai principi di cui al regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio (1), concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati, e tenuto conto del principio del segreto professionale di cui all'articolo 339 del TFUE.

(10)

Le politiche e le norme per i sistemi di comunicazione e informazione che trattano informazioni classificate dell'UE (ICUE), informazioni sensibili non classificate e informazioni non classificate devono essere pienamente conformi alle decisioni (UE, Euratom) 2015/443 (2) e 2015/444 (3) della Commissione.

(11)

La Commissione deve riesaminare e aggiornare le disposizioni relative alla sicurezza dei sistemi di comunicazione e informazione da essa utilizzati.

(12)

È quindi necessario abrogare la decisione C(2006) 3602 della Commissione,

(1)

«responsabile», il fatto di assumersi la responsabilità per azioni, decisioni e risultati;

(2)

«CERT-UE», la squadra di pronto intervento informatico delle istituzioni e agenzie dell'UE. La sua missione consiste nell'aiutare le istituzioni europee a proteggersi dagli attacchi intenzionali e dolosi che potrebbero danneggiare l'integrità del patrimonio informatico e ledere gli interessi dell'UE. Il campo di applicazione delle attività di CERT-UE comprende la prevenzione, l'individuazione del problema, la risposta e il ripristino;

(3)

«servizio della Commissione», le direzioni generali, i servizi della Commissione o i gabinetti dei membri della Commissione;

(4)

«autorità di sicurezza della Commissione», il ruolo di cui alla decisione 2015/444;

(5)

«sistema di comunicazione e informazione» o «CIS», ogni sistema che consente il trattamento delle informazioni in forma elettronica, compreso l'insieme delle risorse necessarie al suo funzionamento, nonché l'infrastruttura, l'organizzazione, il personale e le risorse d'informazione. La presente definizione comprende le applicazioni commerciali, i sistemi informatici comuni, i servizi esternalizzati e i dispositivi degli utenti finali;

(6)

«organo di gestione interno» (CMB), l'organo che fornisce il massimo livello di sorveglianza della gestione interna per le questioni amministrative e operative della Commissione;

(7)

«proprietario dei dati», la persona responsabile di assicurare la protezione e l'utilizzo di un set di dati specifico trattato da un CIS;

(8)

«set di dati», una serie di informazioni per uno specifico processo o attività della Commissione;

(9)

«procedura di emergenza», un insieme predefinito di metodi e responsabilità per rispondere a situazioni di emergenza al fine di prevenire gravi conseguenze per la Commissione;

(10)

«politica di sicurezza delle informazioni», una serie di obiettivi in materia di sicurezza delle informazioni, che sono o devono essere stabiliti, attuati e controllati. Comprende, tra l'altro, le decisioni (UE, Euratom) 2015/444 e 2015/443;

(11)

«comitato direttivo per la sicurezza delle informazioni» (ISBB), l'organo di gestione che sostiene l'organo di gestione interno nelle sue mansioni connesse alla sicurezza informatica;

(12)

«prestatore interno di servizi informatici», un servizio della Commissione che fornisce servizi informatici condivisi;

(13)

«sicurezza informatica» o «sicurezza dei CIS», il mantenimento della riservatezza, dell'integrità e della disponibilità dei CIS e delle serie di dati che essi trattano;

(14)

«orientamenti in materia di sicurezza informatica», misure raccomandate ma facoltative volte a sostenere gli standard di sicurezza informatica o a servire da riferimento quando non vi sono norme applicabili;

(15)

«incidente di sicurezza informatica», un evento che potrebbe compromettere la riservatezza, l'integrità o la disponibilità di un CIS;

(16)

«misura di sicurezza informatica», una misura tecnica oppure organizzativa volta a ridurre i rischi per la sicurezza informatica;

(17)

«esigenza di sicurezza informatica», una definizione precisa e univoca dei livelli di riservatezza, integrità e disponibilità associati a un sistema d'informazione o a un sistema informatico al fine di determinare il livello di protezione richiesto;

(18)

«obiettivo di sicurezza informatica», una dichiarazione d'intenti per contrastare minacce specifiche e/o soddisfare determinati requisiti o ipotesi di sicurezza organizzativa;

(19)

«piano di sicurezza informatica», la documentazione delle misure di sicurezza informatica necessarie per soddisfare le esigenze di sicurezza di un CIS;

(20)

«politica di sicurezza informatica», una serie di obiettivi in materia di sicurezza informatica, che sono o devono essere stabiliti, attuati e controllati. Comprende la presente decisione e le relative norme di attuazione;

(21)

«requisito di sicurezza informatica», un'esigenza di sicurezza informatica formalizzata mediante un processo predefinito:

(22)

«rischio in materia di sicurezza informatica», un effetto che una minaccia per la sicurezza informatica potrebbe causare a un CIS sfruttandone la vulnerabilità. In quanto tale, un rischio in materia di sicurezza informatica è caratterizzato da due fattori: 1) l'incertezza, ad esempio la probabilità che una minaccia per la sicurezza informatica provochi un evento indesiderato, e 2) l'impatto, ossia le conseguenze che un simile evento indesiderato potrebbe avere su un CIS;

(23)

«norme di sicurezza informatica», specifiche misure obbligatorie in materia di sicurezza informatica che contribuiscono a far rispettare e sostenere la politica in materia di sicurezza informatica;

(24)

«strategia di sicurezza informatica», una serie di progetti e attività volti a conseguire gli obiettivi della Commissione e che sono stati stabiliti, attuati e controllati;

(25)

«minaccia per la sicurezza informatica», un fattore che potrebbe portare a un evento indesiderato che potrebbe danneggiare un CIS. Tali minacce possono essere accidentali o intenzionali e sono caratterizzate da elementi di minaccia, obiettivi potenziali e metodologie d'attacco;

(26)

«responsabile della sicurezza informatica a livello locale» (LISO), il funzionario responsabile del collegamento per la sicurezza informatica di un servizio della Commissione;

(27)

«dati personali», «trattamento dei dati personali», «responsabile del trattamento» e «archivio dei dati personali» hanno lo stesso significato di cui al regolamento (CE) n. 45/2001, in particolare l'articolo 2;

(28)

«trattamento delle informazioni», tutte le funzioni di un CIS con riferimento ai set di dati, compresi la creazione, la modifica, la visualizzazione, lo stoccaggio, il trasporto, la cancellazione e l'archiviazione delle informazioni. Il trattamento delle informazioni può essere fornito da un CIS come una serie di funzionalità per gli utenti e come servizi informatici ad altri CIS;

(29)

«segreto professionale», la protezione dei dati commerciali del tipo coperto dal segreto professionale, in particolare informazioni relative a imprese, alle loro relazioni commerciali o alle loro componenti di costo di cui all'articolo 339 del TFUE;

(30)

«responsabile», l'obbligo di agire e prendere decisioni per conseguire i risultati richiesti;

(31)

«sicurezza nella Commissione», la sicurezza delle persone, delle risorse e delle informazioni alla Commissione, in particolare l'incolumità delle persone e l'integrità delle risorse, l'integrità, la riservatezza e la disponibilità delle informazioni e dei sistemi di comunicazione e informazione, nonché il funzionamento senza ostacoli delle attività operative della Commissione;

(32)

«servizio informatico condiviso», il servizio che un CIS fornisce ad altri CIS nel trattamento delle informazioni;

(33)

«proprietario del sistema», la persona responsabile del complesso degli appalti, dello sviluppo, dell'integrazione, della modifica, del funzionamento, della manutenzione e del ritiro di un CIS;

(34)

«utente», qualsiasi persona fisica utilizzi funzionalità fornite da un CIS, sia all'interno che all'esterno della Commissione.

a)

autenticità: la garanzia che l'informazione è veritiera e proviene da fonti in buona fede;

b)

disponibilità: la proprietà di accessibilità e utilizzabilità su richiesta di un'entità autorizzata;

c)

riservatezza: la proprietà per cui l'informazione non è divulgata a persone, entità o procedure non autorizzate;

d)

integrità: la proprietà di tutela della precisione e della completezza delle informazioni e delle risorse;

e)

non disconoscibilità: la capacità di provare che un'azione o un evento sono effettivamente accaduti e non possono essere negati in seguito;

f)

protezione dei dati personali: la fornitura di garanzie adeguate in relazione ai dati personali nel pieno rispetto del regolamento (CE) n. 45/2001;

g)

segreto professionale: la protezione di informazioni del tipo coperte dal segreto professionale, in particolare informazioni relative a imprese, alle loro relazioni commerciali o alle loro componenti di costo di cui all'articolo 339 del TFUE.

(1)

garantisce l'allineamento tra la politica in materia di sicurezza informatica e la politica in materia di sicurezza delle informazioni della Commissione;

(2)

istituisce un quadro per l'autorizzazione a utilizzare le tecnologie di crittografia per la conservazione e la trasmissione delle informazioni da parte dei CIS;

(3)

informa la direzione generale dell'Informatica in merito a minacce specifiche che potrebbero avere un impatto significativo sulla sicurezza dei CIS e sui set di dati che essi trattano;

(4)

svolge ispezioni di sicurezza per verificare la conformità dei CIS della Commissione alla politica di sicurezza e riferirne i risultati all'ISSB;

(5)

istituisce un quadro per l'autorizzazione di accesso e le relative norme di sicurezza adeguate per i CIS della Commissione da reti esterne e sviluppa le norme e gli orientamenti di sicurezza informatica in stretta collaborazione con la direzione generale dell'Informatica;

(6)

propone principi e norme per l'esternalizzazione dei CIS al fine di mantenere un adeguato controllo sulla sicurezza delle informazioni;

(7)

sviluppa le norme di sicurezza informatica e i relativi orientamenti in relazione all'articolo 6, in stretta collaborazione con la direzione generale dell'Informatica.

(1)

sviluppa norme e orientamenti in materia di sicurezza informatica, ad eccezione dei casi di cui all'articolo 6, in stretta collaborazione con la direzione generale Risorse umane e sicurezza, al fine di garantire la coerenza tra la politica in materia di sicurezza informatica e la politica della Commissione in materia di sicurezza delle informazioni, e li propone all'ISSB;

(2)

valuta i metodi di gestione dei rischi per la sicurezza informatica, i relativi processi e i risultati di tutti i servizi della Commissione e ne riferisce periodicamente all'ISSB;

(3)

sottopone all'esame e all'approvazione dell'ISSB una strategia di sicurezza informatica, che successivamente deve essere adottata dall'organo di gestione interno, e propone un programma, comprendente la pianificazione di progetti e attività per l'attuazione della strategia in materia di sicurezza informatica;

(4)

monitora l'esecuzione della strategia della Commissione in materia di sicurezza informatica e riferisce periodicamente in merito all'ISSB;

(5)

monitora i rischi in materia di sicurezza informatica e le relative misure attuate dai CIS e riferisce periodicamente in merito all'ISSB;

(6)

riferisce periodicamente all'ISSB in merito all'attuazione generale e alla conformità alla presente decisione;

(7)

previa consultazione con la direzione generale Risorse umane e sicurezza, richiede ai proprietari del sistema di adottare specifiche misure in materia di sicurezza informatica al fine di attenuare i rischi per la sicurezza informatica dei CIS della Commissione;

(8)

assicura la disponibilità di un catalogo adeguato dei servizi in materia di sicurezza informatica della direzione generale dell'Informatica per i proprietari dei sistemi e i proprietari dei dati affinché adempiano alle loro responsabilità in materia di sicurezza informatica e rispettino la politica in materia di sicurezza informatica e le relative norme;

(9)

fornisce un'adeguata documentazione ai proprietari dei sistemi e dei dati e si consulta con essi, ove opportuno, sulle misure di sicurezza informatica attuate per i loro servizi informatici al fine di facilitare la conformità alla politica in materia di sicurezza informatica e assistere i proprietari dei sistemi nella gestione dei rischi informatici;

(10)

organizza riunioni periodiche della rete dei LISO e li assiste ai fini dello svolgimento dei loro compiti;

(11)

definisce le esigenze di formazione e coordina i programmi di formazione sulla sicurezza informatica in collaborazione con i servizi della Commissione, e sviluppa, realizza e coordina le campagne di sensibilizzazione alla sicurezza informatica in stretta collaborazione con la direzione generale Risorse umane;

(12)

garantisce che i proprietari dei sistemi, i proprietari dei dati e i diversi ruoli con responsabilità in materia di sicurezza informatica all'interno dei servizi della Commissione siano a conoscenza della politica in materia di sicurezza informatica;

(13)

informa la direzione generale Risorse umane e sicurezza in merito a specifici rischi di sicurezza informatica, incidenti ed eccezioni alla politica della Commissione in materia di sicurezza informatica notificati dai proprietari dei sistemi che potrebbero avere un impatto significativo sulla sicurezza alla Commissione;

(14)

in merito al proprio ruolo di fornitore di servizi informatici interni, fornisce alla Commissione un catalogo di servizi informatici condivisi capaci di garantire livelli definiti di sicurezza. Ciò sarà effettuato mediante valutazione, gestione e controllo sistematici dei rischi di sicurezza informatica per attuare le misure di sicurezza al fine di raggiungere il livello di sicurezza definito.

(1)

nomina formalmente per ogni CIS un proprietario del sistema, che è un funzionario o un agente temporaneo, il quale è responsabile della sicurezza informatica di tale CIS e nomina formalmente un proprietario dei dati per ogni set di dati trattati in un CIS che dovrebbe appartenere alla stessa unità amministrativa responsabile del trattamento dei dati per i set di dati soggetti al regolamento (CE) n. 45/2001;

(2)

designa formalmente un responsabile della sicurezza informatica a livello locale (LISO), che può svolgere le funzioni in modo indipendente dai proprietari del sistema e dei dati. Un LISO può essere designato per uno o più dei servizi della Commissione;

(3)

garantisce la formulazione e l'attuazione di adeguate valutazioni dei rischi per la sicurezza informatica e dei piani per la sicurezza informatica;

(4)

garantisce la trasmissione periodica di una sintesi di tali rischi e delle misure in materia di sicurezza informatica alla direzione generale dell'Informatica;

(5)

garantisce, con il sostegno della direzione generale dell'Informatica, l'adozione di adeguati processi, procedure e soluzioni per individuare, segnalare e risolvere efficacemente gli incidenti di sicurezza informatica riguardanti i CIS;

(6)

avvia una procedura di emergenza in caso di emergenze in materia di sicurezza informatica;

(7)

detiene la responsabilità finale per la sicurezza informatica, comprese le responsabilità del proprietario del sistema e del proprietario dei dati;

(8)

sostiene i rischi legati ai loro CIS e alle loro serie di dati;

(9)

risolve eventuali divergenze tra i proprietari dei dati e i proprietari dei sistemi e, in caso di disaccordo persistente, porta la questione dinanzi all'ISSB per trovare una soluzione;

(10)

assicura che i piani e le misure di sicurezza informatica siano attuati e che i rischi siano adeguatamente coperti.

a)

assicura la conformità del CIS alla politica in materia di sicurezza informatica;

b)

assicura che il CIS sia accuratamente registrato nel relativo inventario;

c)

valuta i rischi per la sicurezza informatica e determina le esigenze in materia di sicurezza informatica per ogni CIS, in collaborazione con i proprietari dei dati e in consultazione con la direzione generale dell'Informatica;

d)

elabora un piano di sicurezza che comprende, se del caso, precisazioni sui rischi stimati e eventuali ulteriori misure di sicurezza necessarie;

e)

attua misure di sicurezza informatica adeguate, proporzionali ai rischi individuati, e segue le raccomandazioni approvate dall'ISSB;

f)

individua le dipendenze in relazione ad altri CIS o servizi informatici condivisi e attua adeguate misure di sicurezza sulla base dei livelli di sicurezza proposti dai CIS o dai servizi informatici condivisi in questione:

g)

gestisce e monitora i rischi in materia di sicurezza informatica;

h)

riferisce periodicamente al capo del servizio della Commissione sul profilo di rischio per la sicurezza informatica dei CIS e riferisce alla direzione generale dell'Informatica in merito ai rischi connessi, alle attività di gestione dei rischi e alle misure di sicurezza adottate;

i)

consulta il LISO dei servizi competenti della Commissione in merito agli aspetti della sicurezza informatica;

j)

pubblica istruzioni per gli utenti sull'uso del CIS e dei dati associati nonché sulle responsabilità degli utenti relative al CIS;

k)

chiede l'autorizzazione della direzione generale Risorse umane e sicurezza, in qualità di autorità Crypto, per qualsiasi CIS che utilizzi le tecnologie di crittografia;

l)

consulta l'autorità di sicurezza della Commissione in anticipo in merito a qualsiasi sistema per il trattamento delle informazioni classificate dell'UE;

m)

garantisce che copie di backup di tutte le chiavi di decriptazione siano conservate in un conto bloccato di garanzia. Il recupero dei dati crittati è effettuato solo se autorizzato in conformità del quadro definito dalla direzione generale Risorse umane e sicurezza;

n)

rispetta le istruzioni dei controllori dei dati pertinenti in materia di protezione dei dati personali e di applicazione delle norme sulla protezione dei dati in materia di sicurezza del trattamento;

o)

informa la direzione generale dell'Informatica delle eccezioni alla politica di sicurezza informatica della Commissione, allegando le giustificazioni pertinenti;

p)

trasmette eventuali controversie non risolvibili tra il proprietario dei dati e il proprietario del sistema al capo del servizio della Commissione, comunica gli incidenti di sicurezza informatica alle pertinenti parti interessate in modo tempestivo, in funzione delle circostanze, a seconda della gravità dei casi di cui all'articolo 15;

q)

per i sistemi esternalizzati, assicura che adeguati sistemi di sicurezza informatica siano inclusi nei contratti di esternalizzazione e che gli incidenti di sicurezza informatica che si verificano nei CIS esternalizzati siano segnalati ai sensi dell'articolo 15;

r)

per i CIS che forniscono servizi informatici condivisi, garantisce che un determinato livello di sicurezza, chiaramente documentato, sia attuato e che misure di sicurezza siano attuate per i CIS in questione al fine di raggiungere il livello di sicurezza.

a)

garantisce che tutti i set di dati sotto la sua responsabilità siano adeguatamente classificati in conformità alle decisioni (UE, Euratom) 2015/443 e 2015/444;

b)

definisce le esigenze di sicurezza delle informazioni e ne informa i rispettivi proprietari dei sistemi;

c)

partecipa alla valutazione del rischio per il CIS;

d)

trasmette eventuali controversie non risolvibili tra il proprietario dei dati e il proprietario del sistema al capo del servizio della Commissione;

e)

comunica gli incidenti di sicurezza informatica conformemente all'articolo 15.

a)

identifica in modo proattivo e informa i proprietari dei sistemi, i proprietari dei dati e gli altri ruoli con responsabilità in materia di sicurezza informatica all'interno dei servizi della Commissione in materia di sicurezza informatica;

b)

collabora in merito a temi che riguardano la sicurezza informatica nei servizi della Commissione con la direzione generale dell'Informatica nell'ambito della rete LISO;

c)

partecipa alle riunioni periodiche dei LISO;

d)

mantiene una visione globale del processo di gestione del rischio per la sicurezza delle informazioni e dell'elaborazione e attuazione di piani di sicurezza dei sistemi informatici;

e)

fornisce consulenze ai proprietari dei dati, ai proprietari dei sistemi e ai capi dei servizi della Commissione su temi che riguardano la sicurezza informatica;

f)

collabora con la direzione generale dell'Informatica per diffondere le buone pratiche in materia di sicurezza informatica e propone programmi specifici di sensibilizzazione e formazione;

g)

riferisce sulla sicurezza informatica e segnala le carenze e i miglioramenti al capo dei servizi della Commissione.

a)

rispettano la politica in materia di sicurezza informatica e le istruzioni impartite dal proprietario del sistema sull'uso di ciascun CIS;

b)

comunicano gli incidenti di sicurezza informatica conformemente all'articolo 15.

a)

ha il diritto di accedere a informazioni sintetiche su ogni incidente e alla documentazione completa su richiesta;

b)

partecipa a gruppi di gestione delle crisi a seguito di incidenti di sicurezza informatica e alle procedure di emergenza in caso di incidente informatico;

c)

è incaricata delle relazioni con i servizi di contrasto e i servizi segreti;

d)

svolge analisi forensi riguardanti la sicurezza informatica, conformemente all'articolo 11 della decisione (UE, Euratom) 2015/443;

e)

decide in merito alla necessità di avviare un'indagine formale;

f)

informa la direzione generale dell'Informatica di eventuali incidenti di sicurezza informatica che potrebbero presentare un rischio per altri CIS.

a)

notificano immediatamente al capo dei servizi della Commissione, alla direzione generale dell'Informatica, alla direzione generale Risorse umane, al LISO e, se del caso, al proprietario dei dati gli incidenti gravi di sicurezza informatica, in particolare quelli riguardanti la violazione della riservatezza dei dati;

b)

cooperano e seguono le istruzioni delle autorità competenti della Commissione in materia di comunicazione degli incidenti, risposta e ripristino.