5.5.2010

LV

Eiropas Savienības Oficiālais Vēstnesis

L 112/31

---

KOMISIJAS LĒMUMS

(2010. gada 4. maijs)

par drošības plānu Centrālajai SIS II un sakaru infrastruktūrai

(2010/261/ES)

EIROPAS KOMISIJA,

ņemot vērā Līgumu par Eiropas Savienības darbību,

ņemot vērā Eiropas Parlamenta un Padomes 2006. gada 20. decembra Regulu (EK) Nr. 1987/2006 par otrās paaudzes Šengenas Informācijas sistēmas (SIS II) izveidi, darbību un izmantošanu (1) un jo īpaši tās 16. pantu,

ņemot vērā Padomes 2007. gada 12. jūnija Lēmumu 2007/533/TI par otrās paaudzes Šengenas Informācijas sistēmas (SIS II) izveidi, darbību un izmantošanu (2) un jo īpaši tā 16. pantu,

tā kā:

(1)	Regulas (EK) Nr. 1987/2006 16. pantā un Lēmuma 2007/533/TI 16. pantā paredzēts, ka pārvaldības iestādei attiecībā uz Centrālo SIS II un Komisijai attiecībā uz sakaru infrastruktūru jāpieņem vajadzīgie pasākumi, tostarp drošības plāns.

(2)	Saskaņā ar Regulas (EK) Nr. 1987/2006 15. panta 4. punktu un Lēmuma 2007/533/TI 15. panta 4. punktu pārejas laikposmā, pirms pārvaldības iestāde sāk pildīt savus pienākumus, par Centrālās SIS II darbības pārvaldību atbild Komisija.

(3)	Tā kā pārvaldības iestāde vēl nav izveidota, drošības plāns, kas jāizveido Komisijai, pārejas laikposmā jāpiemēro arī Centrālajai SIS II.

(4)	Eiropas Parlamenta un Padomes Regula (EK) Nr. 45/2001 (3) attiecas uz personas datu apstrādi, ko veic Komisija, pildot pienākumus SIS II darbības pārvaldības jomā.

(5)

Ar Regulas (EK) Nr. 1987/2006 15. panta 7. punktu un Lēmuma 2007/533/TI 15. panta 7. punktu paredzēts, ka, ja Komisija deleģē savu atbildību pārejas laikposmā, pirms pārvaldības iestāde sāk pildīt savus pienākumus, tā nodrošina, ka ar šo deleģēšanu nelabvēlīgi neietekmē nevienu ar Eiropas Savienības tiesību aktiem izveidotu spēkā esošu kontroles mehānismu, ko īsteno Tiesa, Revīzijas palāta vai Eiropas Datu aizsardzības uzraudzītājs.

(6)	Tiklīdz pārvaldības iestāde sāk pildīt savus pienākumus, tai jāpieņem drošības plāns attiecībā uz SIS II. Tādēļ tādā apjomā, kādā drošības plāns attiecas uz Centrālo SIS II, tā darbības termiņš beidzas dienā, kad pārvaldības iestāde sāk pildīt savus pienākumus.

(7)

Regulas (EK) Nr. 1987/2006 4. panta 3. punktā un Lēmuma 2007/533/TI 4. panta 3. punktā paredzēts, ka galvenā CS-SIS, ar ko veic tehniskās uzraudzības un administrācijas uzdevumus, atrodas Strasbūrā (Francijā) un CS-SIS dublējums, kurš spēj nodrošināt visas galvenās centrālās CS-SIS funkcijas šīs sistēmas avārijas gadījumā, atrodas Sankt Johann im Pongau (Austrijā).

(8)

Drošības plānā jāparedz, ka ieceļ vienu sistēmas drošības inspektoru, kas veic ar drošību saistītus uzdevumus attiecībā uz Centrālo SIS II un sakaru infrastruktūru, kā arī divus vietējos drošības inspektorus, kuri veic ar drošību saistītus uzdevumus attiecībā uz attiecīgi Centrālo SIS II un sakaru infrastruktūru. Jānosaka drošības inspektoru pienākumi, lai nodrošinātu efektīvu un tūlītēju reakciju uz drošības incidentiem un sniegtu par tiem ziņojumus.

(9)	Jāizstrādā drošības politika, kurā saskaņā ar šā lēmuma noteikumiem sīki izklāsta visus tehniskos un organizatoriskos jautājumus.

(10)	Jādefinē pasākumi, lai nodrošinātu pienācīgu drošības līmeni Centrālās SIS II un sakaru infrastruktūras darbībai,

IR PIEŅĒMUSI ŠO LĒMUMU.

I.   NODAĻA

VISPĀRĪGI NOTEIKUMI

1. pants

Temats

1.   Šajā lēmumā paredzēta drošības organizācija un pasākumi (drošības plāns) Centrālās SIS II un tās ietvaros apstrādāto datu aizsardzībai pret to pieejamības, integritātes un konfidencialitātes apdraudējumiem Regulas (EK) Nr. 1987/2006 16. panta 1. punkta un Lēmuma 2007/533/TI par otrās paaudzes Šengenas Informācijas sistēmas (SIS II) izveidi, darbību un izmantošanu 16. panta 1. punkta nozīmē pārejas laikposmā, līdz pārvaldības iestāde sāk pildīt savus pienākumus.

2.   Šajā lēmumā paredzēta drošības organizācija un pasākumi (drošības plāns) sakaru infrastruktūras un tās ietvaros apstrādāto datu aizsardzībai pret to pieejamības, integritātes un konfidencialitātes apdraudējumiem Regulas (EK) Nr. 1987/2006 16. panta un Lēmuma 2007/533/TI par otrās paaudzes Šengenas Informācijas sistēmas (SIS II) izveidi, darbību un izmantošanu 16. panta nozīmē.

II.   NODAĻA

ORGANIZĀCIJA, PIENĀKUMI UN INCIDENTU PĀRVALDĪBA

2. pants

Komisijas uzdevumi

1.   Komisija īsteno un uzrauga šajā lēmumā minētās Centrālās SIS II drošības pasākumu efektivitāti.

2.   Komisija īsteno un uzrauga šajā lēmumā minētās sakaru infrastruktūras drošības pasākumu efektivitāti.

3.   Komisija ieceļ sistēmas drošības inspektoru, izraugoties to no savu ierēdņu vidus. Sistēmas drošības inspektoru ieceļ Komisijas Tiesiskuma, brīvības un drošības ģenerāldirektorāta ģenerāldirektors. Sistēmas drošības inspektora pienākumos ietilpst jo īpaši:

a)	sagatavot drošības politiku, kā aprakstīts šā lēmuma 7. pantā;

b)	uzraudzīt Centrālās SIS II drošības procedūru īstenošanas efektivitāti;

c)	uzraudzīt sakaru infrastruktūras drošības procedūru īstenošanas efektivitāti;

d)	veicināt ziņojumu sagatavošanu attiecībā uz drošību, kā minēts Regulas (EK) Nr. 1987/2006 50. pantā un Lēmuma 2007/533/TI 66. pantā;

e)

veikt koordinēšanas un palīdzības uzdevumus, piedaloties pārbaudēs un revīzijās, ko veic Eiropas Datu aizsardzības uzraudzītājs, kā norādīts Regulas (EK) Nr. 1987/2006 45. pantā un Lēmuma 2007/533/TI 61. pantā, kā arī paziņot Komisijas Datu aizsardzības inspektoram par incidentiem 5. panta 2. punkta nozīmē;

f)	uzraudzīt, lai šo lēmumu un drošības politiku pareizi un pilnībā piemēro visi līgumslēdzēji, tostarp apakšuzņēmēji, kuri jebkādā veidā iesaistīti Centrālās SIS II pārvaldībā;

g)	uzraudzīt, lai šo lēmumu un drošības politiku pareizi un pilnībā piemēro visi līgumslēdzēji, tostarp apakšuzņēmēji, kuri jebkādā veidā iesaistīti sakaru infrastruktūras pārvaldībā;

h)	uzturēt SIS II drošības valsts vienoto kontaktpunktu sarakstu, kā arī darīt to pieejamu vietējiem drošības inspektoriem, kuri ir atbildīgi par sakaru infrastruktūru;

i)	darīt pieejamu h) apakšpunktā minēto sarakstu par Centrālo SIS II atbildīgajam vietējam drošības inspektoram.

3. pants

Par Centrālo SIS II atbildīgais vietējais drošības inspektors

1.   Neskarot 8. pantu, Komisija ieceļ par Centrālo SIS II atbildīgu vietējo drošības inspektoru, izraugoties to no savu ierēdņu vidus. Novērš interešu konfliktus starp vietējā drošības inspektora pienākumiem un jebkādiem citiem oficiālajiem pienākumiem. Par Centrālo SIS II atbildīgo vietējo drošības inspektoru ieceļ Komisijas Tiesiskuma, brīvības un drošības ģenerāldirektorāta ģenerāldirektors.

2.   Par Centrālo SIS II atbildīgais vietējais drošības inspektors nodrošina, ka tiek īstenoti šajā lēmumā minētie drošības pasākumi un galvenajā CS-SIS tiek ievērotas drošības procedūras. Attiecībā uz CS-SIS dublējumu par Centrālo SIS II atbildīgais vietējais drošības inspektors nodrošina, ka tiek īstenoti šajā lēmumā minētie drošības pasākumi, izņemot 9. pantā paredzētos pasākumus, un tiek ievērotas ar tiem saistītās drošības procedūras.

3.   Par Centrālo SIS II atbildīgais vietējais drošības inspektors var deleģēt savus uzdevumus padotajam personālam. Novērš interešu konfliktus starp pienākumu veikt minētos uzdevumus un jebkādiem citiem oficiālajiem pienākumiem. Izmantojot atsevišķu kontakttālruņa numuru un adresi, ar vietējo drošības inspektoru vai tā pienākumu izpildītāju var sazināties jebkurā laikā.

4.   Par Centrālo SIS II atbildīgais vietējais drošības inspektors veic uzdevumus drošības pasākumu ietvaros galvenās CS-SIS un CS-SIS dublējuma vietās, nepārsniedzot 1. punktā noteiktās robežas, jo īpaši:

a)	veic vietējos operatīvos drošības uzdevumus, tostarp ugunsmūra revīziju, regulāru drošības pārbaudi, revīziju un ziņošanu;

b)	uzrauga darbības nepārtrauktības plāna efektivitāti un nodrošina, ka notiek regulāras mācības;

c)	nodrošina pierādījumus par visiem incidentiem Centrālajā SIS II, kas var ietekmēt Centrālās SIS II vai sakaru infrastruktūras drošību, un ziņo par tiem sistēmas drošības inspektoram;

d)	informē sistēmas drošības inspektoru, ja jāveic grozījumi drošības politikā;

e)	uzrauga, lai šo lēmumu un drošības politiku pareizi un pilnībā piemēro visi līgumslēdzēji, tostarp apakšuzņēmēji, kuri jebkādā veidā iesaistīti Centrālās SIS II darbības pārvaldībā;

f)	nodrošina, ka darbiniekus informē par to pienākumiem, un uzrauga drošības politikas piemērošanu;

g)	uzrauga jaunākās attīstības tendences IT drošības jomā un nodrošina, ka darbiniekus attiecīgi apmāca;

h)	sagatavo pamatinformāciju un iespējas drošības politikas izveidei, atjaunināšanai un pārskatīšanai saskaņā ar 7. pantu.

4. pants

Par sakaru infrastruktūru atbildīgais vietējais drošības inspektors

1.   Neskarot 8. pantu, Komisija ieceļ par sakaru infrastruktūru atbildīgo vietējo drošības inspektoru, izraugoties to no savu ierēdņu vidus. Novērš interešu konfliktus starp vietējā drošības inspektora pienākumiem un jebkādiem citiem oficiālajiem pienākumiem. Par sakaru infrastruktūru atbildīgo vietējo drošības inspektoru ieceļ Komisijas Tiesiskuma, brīvības un drošības ģenerāldirektorāta ģenerāldirektors.

2.   Par sakaru infrastruktūru atbildīgais vietējais drošības inspektors uzrauga tās darbību un nodrošina, ka tiek īstenoti drošības pasākumi un tiek ievērotas drošības procedūras.

3.   Par sakaru infrastruktūru atbildīgais vietējais drošības inspektors var deleģēt savus uzdevumus padotajam personālam. Novērš interešu konfliktus starp pienākumu veikt minētos uzdevumus un jebkādiem citiem oficiālajiem pienākumiem. Izmantojot atsevišķu kontakttālruņa numuru un adresi, ar vietējo drošības inspektoru vai tā pienākumu izpildītāju var sazināties jebkurā laikā.

4.   Par sakaru infrastruktūru atbildīgais vietējais drošības inspektors veic ar drošības pasākumiem saistītos uzdevumus, kuri attiecas uz sakaru infrastruktūru, jo īpaši:

a)	veic visus operatīvos drošības uzdevumus, kuri attiecas uz sakaru infrastruktūru, tostarp ugunsmūra revīziju, regulāras drošības pārbaudes, revīziju un ziņošanu;

b)	uzrauga darbības nepārtrauktības plāna efektivitāti un nodrošina, ka notiek regulāras mācības;

c)	nodrošina pierādījumus par visiem incidentiem, kas notikuši sakaru infrastruktūrā un kas var ietekmēt Centrālās SIS II vai sakaru infrastruktūras drošību, un ziņo par tiem sistēmas drošības inspektoram;

d)	informē sistēmas drošības inspektoru, ja jāveic grozījumi drošības politikā;

e)	uzrauga, lai šo lēmumu un drošības politiku pareizi un pilnībā piemēro visi līgumslēdzēji, tostarp apakšuzņēmēji, kuri jebkādā veidā iesaistīti sakaru infrastruktūras pārvaldībā;

f)	nodrošina, ka darbiniekus informē par to pienākumiem, un uzrauga drošības politikas piemērošanu;

g)	uzrauga jaunākās attīstības tendences IT drošības jomā un nodrošina, ka darbiniekus attiecīgi apmāca;

h)	sagatavo pamatinformāciju un iespējas drošības politikas izveidei, atjaunināšanai un pārskatīšanai saskaņā ar 7. pantu.

5. pants

Drošības incidenti

1.   Jebkurš notikums, kurš ietekmē vai var ietekmēt SIS II drošību un var kaitēt vai radīt zaudējumus SIS II, ir uzskatāms par drošības incidentu, jo īpaši, ja ir radusies piekļuve datiem vai ir apdraudēta vai var tikt apdraudēta datu pieejamība, integritāte un konfidencialitāte.

2.   Drošības incidentus pārvalda, lai nodrošinātu ātru, efektīvu un pareizu reakciju atbilstīgi drošības politikai. Nosaka procedūras, kuras veic, lai atgūtos no incidenta.

3.   Attiecīgajai dalībvalstij sniedz informāciju par drošības incidentu, kas ietekmē vai var ietekmēt SIS II darbību dalībvalstī vai dalībvalstī reģistrēto vai nosūtīto datu pieejamību, integritāti un konfidencialitāti. Par drošības incidentiem paziņo Komisijas Datu aizsardzības inspektoram.

6. pants

Incidentu pārvaldība

1.   Visiem darbiniekiem un līgumslēdzējiem, kas iesaistīti SIS II attīstībā, pārvaldībā vai darbībā, jāņem vērā visas novērotās vai iespējamās drošības nepilnības sakaru infrastruktūras darbībā un jāziņo par tām sistēmas drošības inspektoram vai par sakaru infrastruktūru atbildīgajam vietējam drošības inspektoram.

2.   Ja konstatēts incidents, kas ietekmē vai var ietekmēt SIS II drošību, par sakaru infrastruktūru atbildīgais vietējais drošības inspektors pēc iespējas drīzāk rakstiski, vai ārkārtas gadījumā izmantojot citus saziņas līdzekļus, informē sistēmas drošības inspektoru un, ja vajadzīgs, SIS II drošības vienoto valsts kontaktpunktu, ja attiecīgajā dalībvalstī šāds kontaktpunkts darbojas. Ziņojumā ietver drošības incidenta aprakstu, riska līmeni, iespējamās sekas un pasākumus, kuri būtu jāveic vai kurus būtu bijis jāveic, lai mazinātu risku.

3.   Par sakaru infrastruktūru atbildīgais vietējais drošības inspektors nekavējoties saglabā visus ar drošības incidentu saistītos pierādījumus. Saskaņā ar piemērojamajiem noteikumiem par datu aizsardzību šādus pierādījumus pēc iespējas lielākā mērā dara pieejamus sistēmas drošības inspektoram pēc tā pieprasījuma.

4.   Drošības politikā definē atgriezeniskās saiknes procesus, lai nodrošinātu, ka informāciju par drošības incidenta veidu, tā risinājumu un rezultātu paziņo vietējam drošības inspektoram un par sakaru infrastruktūru atbildīgajam vietējam drošības inspektoram, tiklīdz incidents ir atrisināts un vairs nav aktuāls.

5.   Incidentiem Centrālajā SIS II 1. līdz 4. punktu piemēro mutatis mutandis. Šādā nolūkā visas 1. līdz 4. punktā minētās atsauces uz vietējo drošības inspektoru, kas ir atbildīgs par sakaru infrastruktūru, lasa kā atsauces uz vietējo drošības inspektoru, kas ir atbildīgs par Centrālo SIS II.

III.   NODAĻA

DROŠĪBAS PASĀKUMI

7. pants

Drošības politika

1.   Tiesiskuma, brīvības un drošības ģenerāldirektorāta ģenerāldirektors saskaņā ar šo lēmumu izveido, atjaunina un regulāri pārskata saistošu drošības politiku. Drošības politikā paredz detalizētas procedūras un pasākumus, lai aizsargātu pret sakaru infrastruktūras pieejamības, integritātes un konfidencialitātes apdraudējumiem, tostarp tajā ietver ārkārtas situāciju plānošanu, lai nodrošinātu pienācīgu drošības līmeni, kā paredzēts šajā lēmumā. Drošības politika atbilst šā lēmuma noteikumiem.

2.   Drošības politikas pamatā ir riska novērtējums. Drošības politikā aprakstītie pasākumi ir proporcionāli identificētajiem riskiem.

3.   Riska novērtējumu un drošības politiku atjaunina, ja to pieprasa tehnoloģiskas pārmaiņas, jauni identificēti apdraudējumi vai citi apstākļi. Drošības politiku jebkurā gadījumā pārskata katru gadu, lai nodrošinātu, ka tā aizvien atbilst jaunākajam riska novērtējumam vai jebkādām citām nesen identificētām tehnoloģiskajām pārmaiņām, apdraudējumiem vai citiem būtiskiem apstākļiem.

4.   Drošības politiku izstrādā sistēmas drošības inspektors sadarbībā ar Centrālās SIS II vietējo drošības inspektoru un par sakaru infrastruktūru atbildīgo vietējo drošības inspektoru.

5.   Attiecībā uz drošības politiku Centrālajā SIS II 1. līdz 4. punktu piemēro mutatis mutandis. Šādā nolūkā visas 1. līdz 4. punktā minētās atsauces uz vietējo drošības inspektoru, kas ir atbildīgs par sakaru infrastruktūru, lasa kā atsauces uz vietējo drošības inspektoru, kas atbildīgs par Centrālo SIS II.

8. pants

Drošības pasākumu īstenošana

1.   Šajā lēmumā un drošības politikā noteikto uzdevumu un prasību īstenošanai, tostarp vietējā drošības inspektora iecelšanai, var noslēgt līgumus vai to uzticēt privātām vai valsts iestādēm.

2.   Šajā gadījumā Komisija, noslēdzot juridiski saistošu nolīgumu, nodrošina, ka tiek pilnībā izpildītas šajā lēmumā un drošības politikā izklāstītās prasības. Ja Komisija deleģē uzdevumu iecelt vietējo drošības inspektoru vai noslēdz par to līgumu ar apakšuzņēmēju, tā, noslēdzot juridiski saistošu nolīgumu, nodrošina, ka ar Komisiju konsultēsies par cilvēku, ko paredzēts iecelt par vietējo drošības inspektoru.

9. pants

Iekārtu piekļuves kontrole

1.   Lai aizsargātu zonas, kurās atrodas datu apstrādes iekārtas, izmanto drošības robežas, uzstādot atbilstīgas barjeras, un veic iebraukšanas kontroli.

2.   Drošības robežu ietvaros atdala drošas zonas, lai aizsargātu fiziskās daļas (pamatlīdzekļus), tostarp aparatūru, datu nesējus un konsoles, plānus un citus dokumentus par SIS II, kā arī birojus un citas SIS II darbībā iesaistītā personāla darba vietas. Šādas drošās zonas aizsargā, veicot pienācīgas iebraukšanas kontroles, lai nodrošinātu, ka piekļuve atļauta tikai pilnvarotam personālam. Darbu drošajās zonās var veikt, tikai ievērojot drošības politikā izklāstītos precīzos drošības noteikumus.

3.   Tiks paredzēti un uzstādīti fiziskās drošības elementi birojos, telpās un iekārtās. Piekļuves vietas, piemēram, piegādes un izkraušanas zonas un citas telpas, kurās var ienākt nepilnvarotas personas, tiek kontrolētas un, ja iespējams, izolētas no datu apstrādes iekārtām, lai novērstu neatļautu piekļuvi.

4.   Proporcionāli riskam izstrādā un piemēro drošības perimetru fizisku aizsardzību pret dabas vai cilvēku izraisītu katastrofu rezultātā radītiem bojājumiem.

5.   Aprīkojumu aizsargā pret fiziskiem un vides apdraudējumiem, kā arī pret neatļautas piekļuves mēģinājumiem.

6.   Ja šāda informācija nonāk Komisijas rīcībā, tā 2. panta 3. punkta h) apakšpunktā minētajā sarakstā pievieno atsevišķu kontaktpunktu šajā pantā paredzēto noteikumu īstenošanas uzraudzībai vietās, kur atrodas CS-SIS dublējums.

10. pants

Datu nesēju un pamatlīdzekļu kontrole

1.   Pārnēsājamos datu nesējus, kuros ievadīti dati, aizsargā pret neatļautu piekļuvi, ļaunprātīgu izmantošanu vai uzlaušanu un nodrošina, ka datus var nolasīt visu to dzīves laiku.

2.   Ja datu nesēji vairs nav vajadzīgi, no tiem atbrīvojas drošā veidā saskaņā ar sīki izstrādātām procedūrām, kuras jāietver drošības politikā.

3.   Veicot inventarizāciju, nodrošina, ka ir pieejama informācija par datu glabāšanas vietu, piemērojamo datu uzglabāšanas periodu un piekļuves pilnvarām.

4.   Tiek identificēti visi būtiskie sakaru infrastruktūras pamatlīdzekļi, lai tos varētu aizsargāt atbilstīgi to nozīmei. Tiek glabāts atjaunināts attiecīgā IT aprīkojuma reģistrs.

5.   Ir pieejama atjaunināta dokumentācija par sakaru infrastruktūru. Šāda dokumentācija jāaizsargā pret neatļautu piekļuvi.

6.   Attiecībā uz Centrālo SIS II 1. līdz 5. punktu piemēro mutatis mutandis. Šādā nolūkā visas atsauces uz sakaru infrastruktūru lasa kā atsauces uz Centrālo SIS II.

11. pants

Uzglabāšanas kontrole

1.   Veic piemērotus pasākumus, lai nodrošinātu pareizu datu uzglabāšanu un novērstu neatļautu piekļuvi tiem.

2.   Visas aprīkojuma vienības, kuras ietver datu uzglabāšanas nesējus, pārbauda, lai nodrošinātu, ka konfidenciāli dati pirms aprīkojuma vienību izņemšanas no lietošanas ir izdzēsti vai pilnībā pārrakstīti, vai tās drošā veidā iznīcina.

12. pants

Paroles kontrole

1.   Visas paroles uzglabā drošā veidā, un tās ir uzskatāmas par konfidenciālām. Ja rodas aizdomas, ka parole ir atklāta, tā nekavējoties jānomaina vai jāanulē attiecīgais konts. Izmanto unikālas un individuālas lietotāju identitātes.

2.   Lai novērstu neatļautu piekļuvi, drošības politikā nosaka procedūras, ar kurām pieslēdzas kontam un no tā atslēdzas.

13. pants

Piekļuves kontrole

1.   Drošības politikā paredz darbinieku oficiālu reģistrēšanas procedūru attiecīgajā vietā un reģistrēšanas anulēšanas procedūru, lai darbības pārvaldības nolūkos piešķirtu piekļuves atļauju SIS II aparatūrai un programmatūrai un to anulētu. Atbilstīgu piekļuves pilnvaru (paroļu vai citu piemērotu instrumentu) piešķiršanu un izmantošanu kontrolē, izmantojot oficiālu pārvaldības procesu, kā noteikts drošības politikā.

2.   Piekļuve SIS II aparatūrai un programmatūrai CS-SIS:

i)	ir atļauta tikai pilnvarotajām personām;

ii)	ir atļauta tikai gadījumos, kad var identificēt likumīgu nolūku saskaņā ar Regulas (EK) Nr. 1987/2006 45. pantu un Lēmuma 2007/533/TI 61. pantu vai saskaņā ar Regulas (EK) Nr. 1987/2006 50. panta 2. punktu un Lēmuma 2007/533/TI 66. panta 2. punktu;

iii)	nepārsniedz piekļuves nolūkam vajadzīgo apmeklējuma ilgumu un darbības jomu; kā arī

iv)	tiek īstenota tikai saskaņā ar piekļuves kontroles politiku, kas jānosaka drošības politikā.

3.   CS-SIS izmanto tikai tās konsoles un programmatūru, ko pilnvarojis par Centrālo SIS II atbildīgais vietējais drošības inspektors. Tādu sistēmas iekārtu izmantošana, kuras spēj ignorēt sistēmas un lietojumprogrammu kontroli, ir ierobežota un kontrolēta. Tiek ieviestas procedūras, lai kontrolētu programmatūras uzstādīšanu.

14. pants

Sakaru kontrole

Sakaru struktūru uzrauga, lai nodrošinātu informācijas apmaiņas pieejamību, integritāti un konfidencialitāti. Lai aizsargātu sakaru infrastruktūras ietvaros pārsūtītos datus, izmanto kriptogrāfiskos līdzekļus.

15. pants

Ievades kontrole

To personu kontus, kuriem piešķirtas pilnvaras piekļuvei SIS II programmatūrai no CS-SIS, uzrauga par Centrālo SIS II atbildīgais vietējais drošības inspektors. Tiek reģistrēta minēto kontu izmantošana, tostarp izmantošanas laiks un lietotāja identitāte.

16. pants

Pārraides kontrole

1.   Drošības politikā nosaka piemērotus pasākumus, lai novērstu personas datu neatļautu lasīšanu, kopēšanu, izmainīšanu vai dzēšanu laikā, kad datus pārsūta uz SIS II vai no tās vai transportē datu nesējus. Drošības politikā paredz noteikumus attiecībā uz pieļaujamajiem nosūtīšanas vai transportēšanas veidiem, kā arī attiecībā uz vienību transportēšanas un to galamērķa sasniegšanas pārskata procedūrām. Datu nesējā ietver tikai tos datus, kuri paredzēti nosūtīšanai.

2.   Attiecībā uz pakalpojumiem, kurus sniedz trešās personas un kuros iesaistīta piekļuve datiem, to apstrāde, nosūtīšana un datu apstrādes iekārtu pārvaldība vai produktu vai pakalpojumu pievienošana datu apstrādes iekārtām, attiecīgi veic integrētas drošības kontroles.

17. pants

Sakaru infrastruktūras drošība

1.   Sakaru infrastruktūru atbilstoši pārvalda un kontrolē, lai aizsargātu to pret apdraudējumiem un nodrošinātu pašas sakaru infrastruktūras un Centrālās SIS II, tostarp tās ietvaros veiktās datu apmaiņas drošību.

2.   Visi tīkla pakalpojumu drošības elementi, drošības līmeņi un pārvaldības prasības ir identificētas tīkla pakalpojumu nolīgumā, kas noslēgts ar attiecīgo pakalpojumu sniedzēju.

3.   Papildus SIS II piekļuves punktu aizsardzībai aizsargā arī visus pārējos pakalpojumus, kurus izmanto sakaru infrastruktūras ietvaros. Drošības politikā nosaka attiecīgus pasākumus.

18. pants

Uzraudzība

1.   Ierakstus ar Regulas (EK) Nr. 1987/2006 18. panta 1. punktā un Lēmuma 2007/533/TI 18. panta 1. punktā minēto informāciju, kas attiecas uz katru piekļuvi datiem un visām datu apstrādes darbībām CS-SIS, drošā veidā uzglabā telpās, kurās atrodas CS-SIS un CS-SIS dublējums, un tiem var piekļūt uz laikposmu, kas minēts Regulas (EK) Nr. 1987/2006 18. panta 3. punktā un Lēmuma 2007/533/TI 18. panta 3. punktā.

2.   Datu apstrādes iekārtu izmantošanas vai kļūdu novēršanas uzraudzības procedūras izklāsta drošības politikā, un uzraudzības darbību rezultāti tiek regulāri pārskatīti. Nepieciešamības gadījumā seko piemērota rīcība.

3.   Reģistrācijas iekārtas un ierakstus aizsargā pret krāpnieciskām darbībām un neatļautu piekļuvi, lai izpildītu pierādījumu apkopošanas un uzglabāšanas prasības uzglabāšanas periodā.

19. pants

Kriptogrāfiskie pasākumi

Vajadzības gadījumā informācijas aizsardzības nolūkā izmanto kriptogrāfiskus pasākumus. Šādu pasākumu izmantošanai, tostarp precizējot konkrētus nolūkus un apstākļus, jāsaņem iepriekšējs apstiprinājums no sistēmas drošības inspektora.

IV.   NODAĻA

CILVĒKRESURSU DROŠĪBA

20. pants

Darbinieku apraksti

1.   Drošības politikā definē to personu funkcijas un pienākumus, kuriem sniegta atļauja piekļūt Centrālajai SIS II.

2.   Drošības politikā definē to personu funkcijas un pienākumus, kuriem sniegta atļauja piekļūt sakaru infrastruktūrai.

3.   Informāciju par Komisijas darbinieku, līgumslēdzēju un darbības pārvaldībā iesaistīto darbinieku uzdevumiem un pienākumiem drošības jomā definē, dokumentē un dara zināmu attiecīgajām personām. Komisijas darbinieku un līgumslēdzēju uzdevumus un pienākumus izklāsta darba aprakstā un tā mērķos, līgumslēdzējiem – pakalpojumu līmeņa nolīgumos.

4.   Ar visām personām, uz kurām neattiecas Eiropas Savienības vai dalībvalstu civildienesta noteikumi, noslēdz konfidencialitātes un dienesta noslēpumu glabāšanas nolīgumus. Darbiniekiem, kuriem jāstrādā ar SIS II datiem, veic vajadzīgo drošības pārbaudi vai sertifikāciju saskaņā ar precīzām procedūrām, kuras jāietver drošības politikā.

21. pants

Informācija personālam

1.   Visi darbinieki un līgumslēdzēji saņem atbilstošu apmācību par drošības izpratnes, juridisko prasību, politikas virzienu un procedūru jautājumiem tādā apjomā, kādā tas ir nepieciešams pienākumu izpildei.

2.   Attiecībā uz darba līguma vai līgumsaistību termiņa beigām drošības politikā nosaka ar darba maiņu vai darba attiecību izbeigšanu saistītos pienākumus darbiniekiem vai līgumslēdzējiem, un tajā arī izklāsta procedūras, lai pārvaldītu līdzekļu atgriešanu un piekļuves tiesību anulēšanu.

V.   NODAĻA

NOBEIGUMA NOTEIKUMI

22. pants

Piemērojamība

1.   Šo lēmumu sāk piemērot dienā, ko Komisija nosaka saskaņā ar Regulas (EK) Nr. 1987/2006 55. panta 2. punktu un Lēmuma 2007/533/TI 71. panta 2. punktu.

2.   Lēmuma 1. panta 1. punkts, 2. panta 1. punkts, 2. panta 3. punkta b), d), f) un i) apakšpunkts, 3. pants, 6. panta 5. punkts, 7. panta 5. punkts, 9. panta 6. punkts, 10. panta 6. punkts, 13. panta 2. un 3. punkts, 15. pants, 18. pants un 20. panta 1. punkts zaudē spēku dienā, kad pārvaldības iestāde sāk pildīt savus pienākumus.

---

(1)  OV L 381, 28.12.2006., 4. lpp.

(2)  OV L 205, 7.8.2007., 63. lpp.

(3)  OV L 8, 12.1.2001., 1. lpp.

---