5.5.2010

MT

Il-Ġurnal Uffiċjali tal-Unjoni Ewropea

L 112/25

---

DEĊIŻJONI TAL-KUMMISSJONI

tal-4 ta’ Mejju 2010

dwar il-Pjan ta’ Sigurtà għall-operar tas-Sistema tal-Informazzjoni dwar il-Viża

(2010/260/UE)

IL-KUMMISSJONI EWROPEA,

Wara li kkunsidrat it-Trattat dwar il-Funzjonament tal-Unjoni Ewropea,

Wara li kkunsidrat ir-Regolament (KE) Nru 767/2008 tal-Parlament Ewropew u tal-Kunsill tad-9 ta’ Lulju 2008 dwar is-Sistema tal-Informazzjoni dwar il-Viża (il-VIS) u l-iskambju tad-dejta bejn l-Istati Membri dwar viżi għal perjodu qasir (ir-Regolament tal-VIS) (1), u b’mod partikulari l-Artikolu 32 tiegħu,

Billi:

(1)	L-Artikolu 32(3) tar-Regolament (KE) Nru 767/2008 jipprevedi li l-Awtorità ta’ Ġestjoni għandha tieħu l-miżuri meħtieġa sabiex tikseb l-għanijiet fil-qasam tas-sigurtà preskritti fl-Artikolu 32(2) rigward l-operar tal-VIS, inkluż l-addozzjoni ta’ pjan ta’ sigurtà.

(2)	L-Artikolu 26(4) tar-Regolament (KE) 767/2008 jipprovdi li matul perjodu tranżizzjonali qabel ma l-Awtorità tal-Ġestjoni tieħu r-responsabbiltajiet tagħha, il-Kummissjoni għandha tkun responsabbli għat-tmexxija operazzjonali tal-VIS.

(3)	Ir-Regolament (KE) Nru 45/2001 tal-Parlament Ewropew u tal-Kunsill (2) japplika għall-ipproċessar tad-dejta personali mill-Kummissjoni meta twettaq ir-responsabbiltajiet tagħha fil-ġestjoni operazzjonali tal-VIS.

(4)

L-Artikolu 26(7) tar-Regolament (KE) Nru 767/2008 jipprovdi li fejn il-Kummissjoni tiddelega r-responsabbiltajiet tagħha matul il-perjodu tranżizzjonali qabel ma l-Awtorità tal-Ġestjoni tieħu r-responsabilitajiet tagħha, hija għandha tiżgura li din id-delegazzjoni ma taffettwax b’mod negattiv xi mekkaniżmu ta’ kontroll effettiv taħt l-liġi tal-Unjoni, kif ukoll tal-Qorti tal-Ġustizzja, il-Qorti tal-Awdituri jew is-Superviżur Ewropew tal-Ħarsien tad-Dejta.

(5)	L-Awtorità tal-Ġestjoni għandha tistabbilixxi l-pjan ta’ sigurtà tagħha f’relazzjoni mal-VIS la darba tkun ħadet ir-responsabbiltajiet tagħha.

(6)

Id-Deċiżjoni tal-Kummissjoni 2008/602/KE tas-17 ta’ Ġunju 2008 li tistabbilixxi l-arkitettura fiżika u r-rekwiżiti tal-interfaces nazzjonali u tal-infrastruttura ta’ komunikazzjoni bejn il-VIS Ċentrali u l-interfaces nazzjonali għall-fażi tal-iżvilupp (3) iddeskriviet is-servizzi ta’ sigurtà meħtieġa applikabbli għan-netwerk tal-VIS.

(7)

L-Artikolu 27 tar-Regolament (KE) Nru 767/2008 jipprovdi li l-VIS ċentrali prinċipali, li twettaq funzjonijiet ta’ superviżjoni u amministrazzjoni teknika, għandha tkun ippustjata fi Strasburgu (Franza) u l-VIS Ċentrali ta’ riżerva (backup), li tkun kapaċi tiżgura l-funzjonalitajiet kollha tal-VIS Ċentrali prinċipali f’każ ta’ ħsara fis-sistema, għandha tkun ippustjata f’Sankt Johann im Pongau (l-Awstrija).

(8)	Ir-rwoli tal-uffiċjali tas-sigurtà għandhom jiġu stabbiliti sabiex jiġi żgurat rispons effiċċjenti u immedjat għall-inċidenti tas-sigurtà u r-rappurtar tagħhom.

(9)	Għandha titwaqqaf Politika tas-Sigurtà li tiddeskrivi d-dettalji tekniċi u organizzazzjonali kollha f’konformità mad-dispożizzjonijiet ta’ din id-Deċiżjoni.

(10)	Il-miżuri għandhom jiġu definiti biex jiżguraw livell adatt ta’ sigurtà tal-operar tal-VIS,

ADOTTAT DIN ID-DEĊIŻJONI:

KAPITOLU I

DISPOŻIZZJONIJIET ĠENERALI

Artikolu 1

Suġġett

Din id-Deċiżjoni tikkostitwixxi l-miżuri u l-organizzazzjoni ta’ sigurtà (pjan ta’ sigurtà) fi ħdan it-tifsira tal-Artikolu 32(3) tar-Regolament (KE) Nru 767/2008.

KAPITOLU II

ORGANIZZAZZJONI, RESPONSABBILTAJIET U ĠESTJONI TAL-INĊIDENTI

Artikolu 2

Kompiti tal-Kummissjoni

1.   Il-Kummissjoni għandha timplimenta u tissorvelja l-effettività tal-miżuri tas-sigurtà tagħha għall-VIS ċentrali u l-infrastruttura ta’ komunikazzjoni msemmija f’din id-Deċiżjoni.

2.   Il-Kummissjoni għandha taħtar Uffiċjal għas-Sigurtà tas-Sistema minn fost l-uffiċjali tagħha. L-Uffiċjal għas-Sigurtà tas-Sistema għandu jinħatar mid-Direttur Ġenerali tad-Direttorat-Ġenerali għall-Ġustizzja, il-Libertà u s-Sigurtà tal-Kummissjoni. Il-ħidmiet tal-Uffiċjal għas-Sigurtà tas-Sistema għandhom jinkludu b’mod partikolari:

(a)	it-tħejjija, l-aġġornar u r-reviżjoni tal-Politika tas-Sigurtà kif deskritti fl-Artikolu 7 ta’ din id-Deċiżjoni;

(b)	monitoraġġ tal-effettività tal-implimentazzjoni tal-proċeduri ta’ sigurtà tal-VIS ċentrali u tal-infrastruttura tal-komunikazzjoni;

(c)	kontribut għat-tħejjija tar-rappurtar relatat mas-sigurtà kif imsemmi fl-Artikolu 50(3) u 50(4) tar-Regolament (KE) Nru 767/2008;

(d)	twettiq ta’ ħidmiet ta’ koordinazzjoni u assistenza fil-verifiki mwettqa mis-Superviżur Ewropew għall-Ħarsien tad-Dejta msemmi fl-Artikolu 42 tar-Regolament (KE) Nru 767/2008;

(e)	monitoraġġ li din id-Deċiżjoni u l-Politika tas-Sigurtà jiġu applikati sewwa u b’mod sħiħ mill-kuntrattur inkluż is-sottokuntratturi involuti b’kull mod fil-ġestjoni u l-operar tal-VIS;

(f)	li jżomm lista ta’ punti ta’ kuntatt nazzjonali uniċi għas-sigurtà tal-VIS u jaqsamha mal-Uffiċjali għas-Sigurtà Lokali għall-VIS Ċentrali u għall-infrastruttura tal-komunikazzjoni.

Artikolu 3

L-Uffiċjal għas-Sigurtà Lokali għall-VIS Ċentrali

1.   Mingħajr preġudizzju għall-Artikolu 8, il-Kummissjoni għandha taħtar Uffiċjal għas-Sigurtà Lokali għall-VIS ċentrali minn fost l-uffiċjali tagħha. Il-kunflitti ta’ interess bejn id-dover tal-Uffiċjal għas-Sigurtà Lokali u kull dover uffiċjali ieħor għandhom jiġu evitati. L-Uffiċjal għas-Sigurtà Lokali għall-VIS ċentrali għandu jinħatar mid-Direttur Ġenerali tad-Direttorat-Ġenerali għall-Ġustizzja, il-Libertà u s-Sigurtà tal-Kummissjoni.

2.   L-Uffiċjal għas-Sigurtà Lokali għall-VIS ċentrali għandu jiżgura li l-miżuri ta’ sigurtà msemmija f’din id-Deċiżjoni jiġu implimentati u l-proċeduri ta’ sigurtà jiġu segwiti fil-VIS prinċipali ċentrali. Rigward il-VIS ċentrali ta’ riżerva, l-Uffiċjal għas-Sigurtà Lokali għall-VIS ċentrali għandu jiżgura li l-miżuri ta’ sigurtà msemmija f’din id-Deċiżjoni, ħlief dawk imsemmija fl-Artikolu 10, jiġu implimentati u l-proċeduri ta’ sigurtà relatati jiġu segwiti.

3.   L-Uffiċjal għas-Sigurtà Lokali għall-VIS ċentrali jista’ jassenja waħda jew uħud mill-ħidmiet tiegħu jew tagħha lill-persunal subordinat. Il-kunflitti ta’ interess bejn id-dover li jeżegwixxi dawk il-ħidmiet u kull dover uffiċjali ieħor għandhom jiġu evitati. Numru tat-telefon u indirizz uniku għandhom jippermettu lill-Uffiċjal għas-Sigurtà Lokali li jikkuntattja lis-subordinat/a tiegħu/tagħha f’kwalunkwe ħin.

4.   L-Uffiċjal għas-Sigurtà Lokali għall-VIS ċentrali għandu jwettaq il-ħidmiet li jirriżultaw mill-miżuri ta’ sigurtà li għandhom jittieħdu fis-siti tal-VIS ċentrali prinċipali u ta’ riżerva, fi ħdan il-limiti tal-paragrafu 1, inkluż b’mod partikolari:

(a)	il-ħidmiet ta’ sigurtà operazzjonali lokali jinkludu verifiki tal-firewalls, testjar regolari tas-sigurtà, verifiki u rappurtar;

(b)	monitoraġġ tal-effettività tal-pjan tal-kontinwità tal-attività u żgurar li jitwettqu l-eżerċizzji regolari;

(c)	il-kisba tal-evidenza, u rappurtar lill-Uffiċjal għas-Sigurtà tas-Sistema, ta’ kull aċċident li jista’ jkollu impatt fuq is-sigurtà tal-VIS ċentrali jew l-infrastruttura tal-komunikazzjoni;

(d)	li jiġi infurmat l-Uffiċjal għas-Sigurtà tas-Sistema jekk il-Politika tas-Sigurtà tkun teħtieġ tiġi emendata;

(e)	monitoraġġ li din id-Deċiżjoni u l-Politika tas-Sigurtà jiġu applikati minn kwalunkwe kuntrattur inkluż is-sottokuntratturi involuti b’kull mod fil-ġestjoni u l-operar tal-VIS ċentrali;

(f)	li jiġi żgurat li l-persunal ikun konxju tal-obbligi u l-monitoraġġ tal-applikazzjoni tal-Politika tas-Sigurtà;

(g)	monitoraġġ tal-iżviluppi tas-sigurtà tal-IT u li jiġi żgurat li l-persunal jiġi mħarreġ b’mod adegwat;

(h)	tħejjija tal-informazzjoni u l-għażliet bażiċi għat-twaqqif, aġġornament u r-reviżjoni tal-Politika tas-Sigurtà skont l-Artikolu 7.

Artikolu 4

L-Uffiċjal għas-Sigurtà Lokali għall-infrastruttura tal-komunikazzjoni

1.   Mingħajr preġudizzju għall-Artikolu 8, il-Kummissjoni għandha taħtar Uffiċjal għas-Sigurtà Lokali għall-infrastruttura tal-komunikazzjoni minn fost l-uffiċjali tagħha. Il-kunflitti ta’ interess bejn id-dover tal-Uffiċjal għas-Sigurtà Lokali u kull dover uffiċjali ieħor għandhom jiġu evitati. L-Uffiċjal għas-Sigurtà Lokali għall-Infrastruttura tal-Komunikazzjoni għandu jinħatar mid-Direttur Ġenerali tad-Direttorat-Ġenerali għall-Ġustizzja, il-Libertà u s-Sigurtà tal-Kummissjoni.

2.   L-Uffiċjal għas-Sigurtà Lokali għall-infrastruttura tal-komunikazzjoni għandu jissorvelja l-funzjonament tal-infrastruttura tal-komunikazzjoni u jiżgura li l-miżuri tas-sigurtà jiġu implimentati u l-proċeduri tas-sigurtà segwiti.

3.   L-Uffiċjal għas-Sigurtà Lokali għall-infrastruttura tal-komunikazzjoni jista’ jassenja waħda jew uħud mill-ħidmiet tiegħu jew tagħha lill-persunal subordinat. Il-kunflitti ta’ interess bejn id-dover li jeżegwixxi dawk il-ħidmiet u kull dover uffiċjali ieħor għandhom jiġu evitati. Numru tat-telefon u indirizz uniku għandhom jippermettu lill-Uffiċjal għas-Sigurtà Lokali li jikkuntattja lis-subordinat/a tiegħu/tagħha f’kwalunkwe ħin.

4.   L-Uffiċjal għas-Sigurtà Lokali għall-infrastruttura tal-komunikazzjoni għandu jwettaq il-ħidmiet li jirriżultaw mill-miżuri ta’ sigurtà relatati mal-infrastruttura tal-komunikazzjonim inkluż b’mod partikolari:

(a)	il-ħidmiet ta’ sigurtà operazzjonali kollha relatati mal-infrastruttura tal-komunikazzjoni bħal, firewalls, testjar regolari tas-sigurtà, verifiki u rappurtar;

(b)	monitoraġġ tal-effettività tal-pjan tal-kontinwità tal-attività u żgurar li jitwettqu l-eżerċizzji regolari;

(c)	il-kisba tal-evidenza, u rappurtar lill-Uffiċjal għas-Sigurtà tas-Sistema, ta’ kull aċċident li jista’ jkollu impatt fuq is-sigurtà tal-infrastruttura tal-komunikazzjoni jew fuq il-VIS ċentrali jew fuq is-sistemi nazzjonali;

(d)	li jiġi infurmat l-Uffiċjal għas-Sigurtà tas-Sistema jekk il-Politika tas-Sigurtà tkun teħtieġ tiġi emendata;

(e)	monitoraġġ li din id-Deċiżjoni u l-Politika tas-Sigurtà jiġu applikati minn kwalunkwe kuntrattur inkluż is-sottokuntratturi involuti b’kull mod fil-ġestjoni tal-infrastruttura tal-komunikazzjoni;

(f)	li jiġi żgurat li l-persunal ikun konxju tal-obbligi u l-monitoraġġ tal-applikazzjoni tal-Politika tas-Sigurtà;

(g)	monitoraġġ tal-iżviluppi tas-sigurtà tal-IT u li jiġi żgurat li l-persunal jiġi mħarreġ b’mod adegwat;

(h)	tħejjija tal-informazzjoni u l-għażliet bażiċi għat-twaqqif, l-aġġornament u r-reviżjoni tal-Politika tas-Sigurtà skont l-Artikolu 7.

Artikolu 5

Inċidenti tas-sigurtà

1.   Kull avveniment li jkollu jew jista’ jkollu impatt fuq is-sigurtà tal-operar tal-VIS u li jista’ jikkawża dannu jew telf għall-VIS għandu jitqies bħala inċident tas-sigurtà, speċjalment fejn seta’ kien hemm aċċess għad-dejta jew fejn tkun ġiet kompromessa d-disponibbiltà, l-integrità u l-kunfidenzjalità tad-dejta.

2.   Il-Politika tas-Sigurtà għandha tistabbilixxi l-proċeduri għall-irkupru minn inċident. L-inċidenti tas-sigurtà għandhom jiġu ġestiti biex ikun żgurat rispons mgħaġġel, effettiv u adatt f’konformità mal-Politika tas-Sigurtà.

3.   L-informazzjoni rigward inċident tas-sigurtà li għandu jew jista’ jkollu impatt fuq l-operar tal-VIS fi Stat Membru jew dwar id-disponibbiltà, l-integrità u l-kunfidenzjalità tad-dejta tal-VIS imdaħħla minn Stat Membru, għandha tiġi provduta lill-Istat Membru konċernat. L-inċidenti tas-sigurtà għandhom jiġu notifikati lill-Uffiċjal tal-Protezzjoni tad-Dejta tal-Kummissjoni.

Artikolu 6

Ġestjoni tal-inċidenti

1.   Il-persunal u l-kuntratturi kollha involuti fl-iżvilupp, fil-ġestjoni u l-operar tal-VIS għandhom ikunu meħtieġa jinnutaw u jirrapportaw kull dgħjufija fis-sigurtà osservata jew suspettata fl-operar tal-VIS lill-Uffiċjal għas-Sigurtà tas-Sistema jew l-Uffiċjal għas-Sigurtà Lokali għall-VIS ċentrali jew lill-Uffiċjal għas-Sigurtà Lokali għall-infrastruttura tal-komunikazzjoni, kif adatt.

2.   F’każ ta’ sejba ta’ xi inċident li għandu jew li jista’ jkollu impatt fuq is-sigurtà tal-operar tal-VIS, l-Uffiċjal għas-Sigurtà Lokali għall-VIS ċentrali jew l-Uffiċjal għas-Sigurtà Lokali għall-infrastruttura tal-komunikazzjoni għandu jinforma malajr kemm jista’ jkun lill-Uffiċjal tas-Sigurtà tas-Sistema u, fejn adatt, il-punt ta’ kuntratt nazzjonali uniku għas-sigurtà tal-VIS, jekk jeżisti tali punt ta’ kuntatt fl-Istat Membru in kwestjoni, jew bil-miktub, jew f’każ ta’ urġenza estrema, permezz ta’ kanali oħra ta’ komunikazzjoni. Ir-rapport għandu jkun fih deskrizzjoni tal-inċident tas-sigurtà, il-livell ta’ riskju, il-konsegwenzi possibbli u l-miżuri li ttieħdu jew li kellhom jittieħdu biex jitnaqqas ir-riskju.

3.   Kull evidenza f’relazzjoni mal-inċident tas-sigurtà għandha tiġi miġbura immedjatament mill-Uffiċjal għas-Sigurtà Lokali għall-VIS ċentrali jew l-Uffiċjal għas-Sigurtà Lokali għall-infrastruttura tal-komunikazzjoni, kif xieraq. Sakemm huwa possibbli taħt id-dispożizzjonijiet tal-ħarsien tad-dejta applikabbli, tali evidenza għandha mbagħad issir disponibbli lill-Uffiċjal għas-Sigurtà tas-Sistema fuq talba mingħandu.

4.   Proċessi ta’ feedback għandhom jiġu implimentati biex jiżguraw li l-informazzjoni dwar ir-riżultati tiġi komunikata, ladarba l-inċident ikun ġie trattat u magħluq.

KAPITOLU III

MIŻURI TA’ SIGURTÀ

Artikolu 7

Il-Politika tas-Sigurtà

1.   Id-Direttur Ġenerali tad-Direttorat-Ġenerali għall-Ġustizzja, il-Libertà u s-Sigurtà għandu jistabbilixxi, jaġġorna u regolarment jirrevedi Politika ta’ Sigurtà vinkolanti f’konformità ma’ din id-Deċiżjoni. Il-Politika tas-Sigurtà għandha tipprovdi għal proċeduri dettaljati u miżuri biex tipproteġi kontra theddid għad-disponibbiltà, l-integrità u l-kunfidenzjalità tal-VIS, inkluż pjanijiet ta’ emerġenza, sabiex jiġi żgurat livell adatt ta’ sigurtà kif preskritt minn din id-Deċiżjoni. Il-Politika tas-Sigurtà għandha tikkonforma ma’ din id-Deċiżjoni.

2.   Il-Politika tas-Sigurtà għandha tkun bażata fuq valutazzjoni tar-riskju. Il-miżuri deskritti mill-Politika tas-Sigurtà għandhom ikunu proporzjonali mar-riskji identifikati.

3.   Il-valutazzjoni tar-riskju u l-Politika tas-Sigurtà għandhom ikunu aġġornati jekk il-bidliet teknoloġiċi, l-identifikazzjoni ta’ theddid ġdid jew xi ċirkostanzi oħra jagħmluha neċessarju. Il-Politika tas-Sigurtà għandha tkun riveduta f’kwalunkwe każ fuq bażi annwali biex jiġi żgurat li għadha adatta biex twieġeb għall-aħħar valutazzjoni tar-riskju jew għall-bidliet, theddid jew ċirkostanzi kollha relevanti ġodda identifikati fit-teknoloġija.

4.   Il-Politika tas-Sigurtà għandha titħejja mill-Uffiċjal għas-Sigurtà Lokali, b’koordinazzjoni mal-Uffiċjal għas-Sigurtà Lokali għall-VIS u l-Uffiċjal għas-Sigurtà Lokali għall-infrastruttura tal-komunikazzjoni.

Artikolu 8

Implimentazzjoni tal-miżuri tas-sigurtà

1.   L-implimentazzjoni tal-ħidmiet u l-kundizzjonijiet stabbiliti f’din id-Deċiżjoni u fil-Politika tas-Sigurtà, inkluż il-ħidma tal-ħatra tal-Uffiċjal għas-Sigurtà Lokali, jistgħu jingħataw b’kuntratt jew jiġu afdati f’idejn korpi pubbliċi jew privati.

2.   F’dan il-każ il-Kummissjoni għandha tiżgura permezz ta’ ftehim li jorbot legalment li jkun hemm konformità sħiħa mal-kundizzjonijiet stabbiliti f’din id-Deċiżjoni u fil-Politika tas-Sigurtà. Fil-każ ta’ delegazzjoni jew kuntrattar tal-ħidmiet lil Uffiċjal għas-Sigurtà Lokali maħtur, il-Kummissjoni għandha tiżgura li tiġi konsultata, permezz ta’ ftehim li jorbot legalment, dwar il-persuna li trid tinħatar bħala Uffiċjal għas-Sigurtà Lokali.

Artikolu 9

Kontroll għall-aċċess tal-faċilitajiet

1.   Għandhom jintużaw perimetri tas-sigurtà b’barrieri adatti u kontroll tad-dħul biex jiġu protetti żoni li jkun fihom faċilitajiet għall-ipproċessar tad-dejta.

2.   Fi ħdan il-perimetri tas-sigurtà, iż-żoni siguri għandhom ikunu definiti biex iħarsu l-komponenti fiżiċi (l-assi), inkluż hardware, midja u consoles tad-dejta, pjanijiet u dokumenti oħra fuq il-VIS kif ukoll uffiċċji u postijiet oħra tax-xogħol ta’ persunal involut fl-operar tal-VIS. Dawn iż-żoni siguri huma mħarsa minn kontrolli tad-dħul adatti biex jiżguraw li jkun biss persunal awtorizzat li jkollu aċċess. Ix-xogħol fiż-żoni siguri għandu jkun soġġett għal regoli dettaljati tas-sigurtà stabbiliti fil-Politika tas-Sigurtà.

3.   Sigurtà fiżika għall-uffiċċji, kmamar u faċilitajiet għandha tkun prevista u installata. Il-punti tal-aċċess bħaż-żoni ta’ forniment u tagħbija u punti oħra fejn il-persuni mhux awtorizzati jistgħu jidħlu fil-bini għandhom ikunu kontrollati u, jekk possibbli, iżolati mill-faċilitajiet tal-ipproċessar tad-dejta biex jiġi evitat aċċess mhux awtorizzat.

4.   Protezzjoni fiżika tal-perimetri tas-sigurtà kontra ħsara minn diżastri naturali jew kawżati mill-bniedem għandha titfassal u tiġi applikata b’mod proporzjonali mar-riskju.

5.   It-tagħmir għandu jiġi mħares minn theddid fiżiku u ambjentali u minn opportunitajiet ta’ aċċess mhux awtorizzat.

6.   Jekk tali informazzjoni tkun disponibbli għall-Kummissjoni, għandha żżid mal-lista msemmija fl-Artikolu 2(2)(f) punt uniku ta’ kuntatt għall-monitoraġġ tal-implimentazzjoni tad-dispożizzjonijiet ta’ dan l-Artikolu fil-post fejn tkun tinsab il- VIS ċentrali ta’ riżerva.

Artikolu 10

Midja tad-dejta u kontroll tal-assi

1.   Midja trasferibbli li jkun fihom id-dejta għandhom ikunu protetti kontra l-aċċess mhux awtorizzat, l-użu ħażin jew it-tħassir, u l-integrità tad-dejta għandha tkun żgurata matul il-perjodu sħiħ li fuqhom ikun hemm id-dejta.

2.   Il-midja għandhom jintremew b’mod sigur meta ma jkunux aktar meħtieġa, skont il-proċeduri dettaljati u stabbiliti fil-Politika tas-Sigurtà.

3.   L-inventarji għandhom jiżguraw li l-informazzjoni dwar il-post tal-ħażna, il-perjodu ta’ żamma applikabbli u l-aċċess għall-awtorizzazzjonijiet ikunu disponibbli.

4.   L-assi kollha importanti tal-VIS ċentrali u l-infrastruttura tal-komunikazzjoni għandhom ikunu identifikati, sabiex ikunu jistgħu jiġu mħarsa skont l-importanza tagħhom. Għandu jinżamm reġistru aġġornat tat-tagħmir rilevanti tal-IT.

5.   Għandha tkun disponibbli dokumentazzjoni aġġornata tal-VIS ċentrali u l-infrastruttura tal-komunikazzjoni. Tali dokumentazzjoni għandha tkun imħarsa kontra l-aċċess mhux awtorizzat.

Artikolu 11

Kontroll tal-ħażna

1.   Għandhom jittieħdu miżuri adatti biex jiżguraw ħażna adatta tal-informazzjoni u l-prevenzjoni tal-aċċess mhux awtorizzat.

2.   L-oġġetti kollha tat-tagħmir li jkun fihom il-midja tal-ħażna għandhom jiġu verifikati biex jiġi żgurat li d-dejta sensittiva tkun tneħħiet jew tkun ġiet kompletament sostitwita, qabel tintrema, jew inkella tinqered b’mod sigur.

Artikolu 12

Kontroll tal-password

1.   Il-Passwords għandhom jinżammu b’mod sigur u jitqiesu bħala kunfidenzjali. F’każ ta’ sospett li password partikolari ma tkunx baqgħet sigrieta, il-password għandha tinbidel immedjatament jew il-kont tal-utent għandu jiġi deattivat. Għandhom jintużaw identitajiet tal-utenti uniċi u individwali.

2.   Fil-Politika tas-Sigurtà, għandhom jiġu definiti l-proċeduri dwar kif wieħed jidħol u joħroġ fis-sistema (logging) sabiex jiġi evitat kull dħul mhux awtorizzat.

Artikolu 13

Kontroll tal-Aċċess

1.   Il-Politika tas-Sigurtà għandha tistabbilixxi reġistrazzjoni formali tal-persunal u proċedura ta’ tneħħija tar-reġistrazzjoni li tkun fis-seħħ sabiex tagħti aċċess u tirtira l-aċċess għall-hardware u s-software tal-VIS fil-VIS ċentrali għall-fini tal-ġestjoni operazzjonali. L-allokazzjoni u l-użu ta’ kredenzjali adegwati tal-aċċess (passwords jew mezzi adatti oħra) għandhom ikunu kontrollati permezz ta’ proċess formali tal-ġestjoni kif stabbilit fil-Politika tas-Sigurtà.

2.   L-aċċess għall-hardware u s-software tal-VIS fil-VIS ċentrali għandu jkun:

(i)	ristrett għal persuni awtorizzati;

(ii)	jkun limitat għal każijiet fejn l-iskop leġittimu skont l-Artikoli 42 u 50(2) tar-Regolament (KE) Nru 767/2008 ikun jista’ jiġi identifikat;

(iii)

ma jaqbiżx il-perjodu u l-iskop neċessarju għall-fini tal-aċċess; kif ukoll

(iv)	iseħħ biss skont il-politika ta’ kontroll tal-aċċess li trid tiġi definita fil-Politika tas-Sigurtà.

3.   Jintużaw biss software u l-consoles awtorizzati mill-Uffiċjal għas-Sigurtà Lokali għall-VIS ċentrali, fil-VIS ċentrali. L-użu ta’ utilitajiet tas-sistema li jistgħu jkunu kapaċi jevitaw il-kontrolli tas-sistema u tal-applications għandu jkun ristrett u kontrollat. Għandu jkun hemm fis-seħħ proċeduri għall-kontroll tal-installazzjoni tas-software.

Artikolu 14

Kontroll tal-komunikazzjoni

L-infrastruttura tal-komunikazzjoni għandha tiġi sorveljata sabiex tipprovdi disponibbiltà, integrità u kunfidenzjalità għall-iskambji tal-informazzjoni. Għandhom jintużaw mezzi kriptografiċi biex iħarsu d-dejta trażmessa permezz tal-infrastruttura tal-komunikazzjoni.

Artikolu 15

Kontroll tad-dejta tar-rekordjar

Il-kontijiet għall-persuni awtorizzati biex jidħlu fis-software tal-VIS mill-VIS ċentrali għandhom ikunu sorveljati mill-Uffiċjal għas-Sigurtà Lokali għall-VIS ċentrali. L-użu ta’ dawk il-kontijiet, inkluż il-ħin u l-identità tal-utent għandhom ikunu reġistrati.

Artikolu 16

Kontroll tat-trasport

1.   Fil-Politika tas-Sigurtà għandhom jiġu definiti miżuri adatti biex jevitaw qari, aċċess, modifikar jew tħassir mhux awtorizzat tad-dejta personali matul it-trażmissjoni lejn jew mill-VIS jew matul it-trasport tal-midja tad-dejta. Id-dispożizzjonijiet għandhom jiġu elenkati fil-Politika tas-Sigurtà fir-rigward tat-tipi ta’ ammissibbiltà għal trażmissjoni jew trasport kif ukoll fir-rispett tal-proċeduri ta’ responsabbiltà għat-trasport ta’ oġġetti u l-wasla tagħhom fil-post tad-destinazzjoni. Il-medium tad-dejta m’għandu jkun fih ebda dejta oħra apparti dik li qed tintbagħat.

2.   Is-servizzi mwassla minn partijiet terzi li jinvolvu aċċess, proċessar, komunikazzjoni jew immaniġġjar tal-faċilitajiet għall-ipproċessar tad-dejta jew li jżidu prodotti jew servizzi f’faċilitajiet għall-ipproċessar tad-dejta għandu jkollhom il-kontrolli tas-sigurtà integrati adatti.

Artikolu 17

Is-sigurtà tal-infrastruttura tal-komunikazzjoni

1.   L-infrastruttura tal-komunikazzjoni għandha tiġi ġestita u kontrollata b’mod adegwat sabiex titħares minn tħeddid u biex tiġi żgurata s-sigurtà tal-infrastruttura tal-komunikazzjoni nfisha u tal-VIS ċentrali, inkluż id-dejta skambjata permezz tagħha.

2.   Il-karatteristiċi tas-sigurtà, il-livelli ta’ servizzi u l-kundizzjonijiet tal-ġestjoni tas-servizzi kollha tan-netwerk għandhom jiġu identifikati mal-fornitur tas-servizz fil-ftehim għas-servizz tan-netwerk.

3.   Apparti l-protezzjonijiet tal-punti tal-aċċess tal-VIS, kull servizz addizzjonali li jintuża mill-infrastruttura tal-komunikazzjoni għandu jiġi mħares ukoll. Miżuri adatti għandhom jiġu definiti fil-Politika tas-Sigurtà.

Artikolu 18

Sorveljanza

1.   Il-logs li jirrekordjaw l-informazzjoni msemmija fl-Artikolu 34(1) tar-Regolament (KE) Nru 767/2008 relatati ma’ kull aċċess u mal-operazzjonijiet kollha tal-ipproċessar tad-dejta fil-VIS ċentrali għandhom jinżammu f’post sigur, u jkunu aċċessibbli mill-postijiet fejn jinsabu il-VIS ċentrali prinċipali u ta’ riżerva, għall-perjodu msemmi fl-Artikolu 34(2) tar-Regolament (KE) Nru 767/2008.

2.   Il-proċeduri li jissorveljaw l-użu jew id-difetti fil-faċilitajiet tal-ipproċessar tal-informazzjoni huma stabbiliti fil-Politika tas-Sigurtà u r-riżultati tal-attivitajiet ta’ sorveljanza jiġu riveduti regolarment. Jekk ikun meħtieġ, għandha tittieħed azzjoni xierqa.

3.   Il-faċilitajiet ta’ logging u logs għandhom jitħarsu biex ma jiġux imbagħbsa u għandhom jitħarsu wkoll mill-aċċess mhux awtorizzat b’tali mod li jissodisfaw il-kundizzjonijiet tal-ġbir u ż-żamma tal-evidenza għall-perjodu tal-ħażna.

Artikolu 19

Miżuri kriptografiċi

Miżuri kriptografiċi għandhom jintużaw fejn ikun adatt għall-ħarsien tal-informazzjoni. L-użu tagħhom, flimkien mal-iskopijiet u l-kundizzjonijiet, irid ikun approvat bil-quddiem mill-Uffiċjal għas-Sigurtà tas-Sistema.

KAPITOLU IV

SIGURTÀ TAR-RIŻORSI UMANI

Artikolu 20

Profili tal-persunal

1.   Il-Politika tas-Sigurtà għandha tiddefenixxi l-funzjonijiet u r-responsabbiltajiet tal-persuni li huma awtorizzati li jidħlu fil-VIS, inkluż l-infrastruttura tal-komunikazzjoni.

2.   Ir-rwoli u r-responsabbiltajiet tas-sigurtà tal-persunal tal-Kummissjoni, tal-kuntratturi tal-persunal involut fil-ġestjoni operazzjonali għandhom ikunu definiti, dokumentati u komunikati lill-persuni konċernati. Id-deskrizzjoni tal-impjieg u l-għanijiet għandhom jelenkaw dawk ir-rwoli u responsabbiltajiet għall-persunal tal-Kummissjoni; il-ftehimiet dwar il-kuntratti jew is-servizzi għandhom jelenkawhom għall-kuntratturi.

3.   Ftehimiet ta’ kunfidenzjalità u segretezza għandhom isiru mal-persuni kollha li għalihom japplikaw ir-regoli tas-servizz pubbliku tal-Unjoni Ewropea jew tal-Istati Membri. Il-persunal obbligat li jaħdem fid-dejta tal-VIS għandu jkollu l-approvazzjoni neċessarja jew iċ-ċertifikazzjoni skont il-proċeduri dettaljati li għandhom jiġu stabbiliti fil-Politika tas-Sigurtà.

Artikolu 21

Informazzjoni lill-persunal

1.   Il-persunal kif ukoll, fejn rilevanti, il-kuntratturi għandhom jirċievu t-taħriġ adatt fil-qasam tal-kuxjenza dwar is-sigurtà, obbligi legali, politiki u proċeduri, f’dak li għandu x’jaqsam max-xogħol tagħhom.

2.   Fit-tmiem tal-impjieg jew tal-kuntratt tagħhom, ir-responsabbiltajiet relatati mal-bidla fl-impjieg jew it-tmiem tal-impjieg għandhom ikunu definiti għall-persunal u l-kuntratturi fil-Politika tas-Sigurtà, kif ukoll il-proċeduri biex jiġi mmaniġġjat ir-ritorn tal-assi u t-tneħħija tad-drittijiet tal-aċċess.

KAPITOLU V

DISPOŻIZZJONI FINALI

Artikolu 22

L-applikabbiltà

1.   Din id-Deċiżjoni għandha ssir applikabbli mid-data determinata mill-Kummissjoni skont l-Artikolu 48(1) tar-Regolament (KE) Nru 767/2008.

2.   Din id-Deċiżjoni għandha tiskadi meta l-Awtorità tal-Ġestjoni tieħu r-responsabbiltajiet tagħha.

---

(1)  ĠU L 218, 13.8.2008, p. 60.

(2)  ĠU L 8, 12.1.2001, p. 1.

(3)  ĠU L 194, 23.7.2008, p. 3.

---