11.1.2017   

MT

Il-Ġurnal Uffiċjali tal-Unjoni Ewropea

L 6/40

(1)

Is-sistemi ta' komunikazzjoni u informazzjoni tal-Kummissjoni huma parti integrali mill-funzjonament tal-Kummissjoni u l-inċidenti tas-sigurtà tal-IT jista' jkollhom impatt serju fuq l-operazzjonijiet tal-Kummissjoni kif ukoll fuq terzi persuni, inklużi l-individwi, in-negozji u l-Istati Membri.

(2)

Jeżistu bosta theddidiet li jistgħu jippreġudikaw il-kunfidenzjalità, l-integrità u d-disponibbiltà tas-sistemi ta' komunikazzjoni u informazzjoni tal-Kummissjoni u tal-informazzjoni proċessata fihom. Dan it-theddid jinkludu inċidenti, żbalji u attakki deliberati u avvenimenti naturali, u jeħtieġ li jiġu rikonoxxuti bħala riskji operazzjonali.

(3)

Is-sistemi ta' komunikazzjoni u informazzjoni jridu jingħataw livell ta' protezzjoni proporzjonat għall-probabbiltà, għall-impatt u għan-natura tar-riskji li huma esposti għalihom.

(4)

Jinħtieġ li s-sigurtà tal-IT fil-Kummissjoni tiżgura li s-SKI tal-Kummissjoni jipproteġu l-informazzjoni li jipproċessaw u li jiffunzjonaw kif meħtieġ, meta meħtieġ, taħt il-kontroll tal-utenti leġittimi.

(5)

Jinħtieġ li l-politika tas-sigurtà tal-IT tal-Kummissjoni tiġi implimentata b'mod li huwa konsistenti mal-politiki dwar is-sigurtà fil-Kummissjoni.

(6)

Id-Direttorat tas-Sigurtà tad-Direttorat Ġenerali tar-Riżorsi Umani u tas-Sigurtà għandu r-responsabbiltà ġenerali tas-sigurtà fil-Kummissjoni taħt l-awtorità u r-responsabbiltà tal-Membru tal-Kummissjoni responsabbli mis-sigurtà.

(7)

Jinħtieġ li l-approċċ tal-Kummissjoni jqis l-inizjattivi u l-leġiżlazzjoni tal-politika tal-UE dwar is-sigurtà tan-netwerks u tal-informazzjoni, l-istandards tal-industrija u l-prattiki tajbin, biex ikunu konformi mal-leġiżlazzjoni rilevanti kollha u biex tippermetti l-interoperabbiltà u l-kompatibbiltà.

(8)

Jinħtieġ li d-dipartimenti tal-Kummissjoni responsabbli mis-sistemi ta' komunikazzjoni u informazzjoni jiżviluppaw u jimplimentaw miżuri xierqa u jeħtieġ li l-miżuri ta' sigurtà tal-IT li jipproteġu s-sistemi ta' komunikazzjoni u informazzjon jiġu kkoordinati madwar il-Kummissjoni biex jiġu żgurati l-effiċjenza u l-effettività.

(9)

Jinħtieġ li r-regoli u l-proċeduri għal aċċess għal informazzjoni fil-kuntest tas-sigurtà tal-IT, inkluż l-indirizzar tal-inċidenti għas-sigurtà tal-IT ikunu proporzjonali għat-theddida lill-Kummissjoni jew lill-persunal tagħha u konformi mal-prinċipji stabbiliti fir-Regolament (KE) Nru 45/2001 tal-Parlament Ewropew u tal-Kunsill (1), dwar il-protezzjoni ta' individwi fir-rigward tal-ipproċessar ta' data personali mill-istituzzjonijiet u l-korpi tal-Unjoni u dwar il-moviment liberu ta' dak id-data u b'kont meħud tal-prinċipju tas-sigriet professjonali, kif previst fl-Artikolu 339 TFUE.

(10)

Il-politiki u r-regoli għal sistemi ta' komunikazzjoni u informazzjoni li jipproċessaw informazzjoni klassifikata tal-UE (IKUE), informazzjoni sensittiva mhux klassifikata, u informazzjoni mhux klassifikata għandhom ikunu kompletament konformi mad-Deċiżjonijiet tal-Kummissjoni (UE, Euratom) 2015/443 (2) u (UE, Euratom) 2015/444 (3).

(11)

Hemm il-ħtieġa li l-Kummissjoni tirrieżamina u taġġorna d-dispożizzjonijiet dwar is-sistemi ta' komunikazzjoni u informazzjoni użata mill-Kummissjoni.

(12)

Għaldaqstant, jinħtieġ li d-Deċiżjoni tal-Kummissjoni C(2006) 3602 titħassar.

(1)

“Responsabbli” tfisser li jkun responsabbli minn azzjonijiet, deċiżjonijiet u prestazzjoni

(2)

“CERT-UE” hija l-Iskwadra ta' Rispons f'Emerġenza relatata mal-Kompjuters għall-istituzzjonijiet u l-aġenziji tal-UE. Il-missjoni tagħha hija li tappoġġa lill-Istituzzjonijiet Ewropej biex jipproteġu lilhom infushom kontra attakki intenzjonati u malizzjużi li jfixklu l-integrità tal-assi tal-IT tagħhom u jkunu ta' ħsara għall-interessi tal-UE. L-ambitu tal-attivitajiet tas-CERT-UE jkopri l-prevenzjoni, il-kxif, ir-rispons u l-irkupru.

(3)

“Dipartiment tal-Kummissjoni” tfisser kull Direttorat Ġenerali jew servizz tal-Kummissjoni, jew kull Kabinett ta' Membru tal-Kummissjoni;

(4)

“Awtorità għas-Sigurtà tal-Kummissjoni” tirreferi għar-rwol stabbilit fid-Deċiżjoni (UE, Euratom) 2015/444.

(5)

“Sistema ta' Komunikazzjoni u Informazzjoni” jew “SKI” tfisser kull sistema li tippermetti t-trattament ta' informazzjoni f'forma elettronika, inklużi l-assi kollha meħtieġa għall-operat tagħha, kif ukoll l-infrastruttura, l-organizzazzjoni, il-persunal u r-riżorsi ta' informazzjoni. Din id-definizzjoni tinkludi l-applikazzjonijiet kummerċjali, is-servizzi kondiviżi tal-IT, is-sistemi esternalizzati, u t-tagħmir tal-utenti finali.

(6)

“Il-Bord ta' Ġestjoni Korporattiva” (CMB — Corporate Management Board) jipprovdi l-ogħla livell ta' superviżjoni ta' ġestjoni korporattiva għal kwistjonijiet operazzjonali u amministrattivi fil-Kummissjoni.

(7)

“Sid tad-dejta” tfisser l-individwu responsabbli sabiex jiġu żgurati l-protezzjoni u l-użu ta' sett ta' dejta speċifiku trattat minn SKI.

(8)

“Sett ta' dejta” tfisser sett ta' informazzjoni li jservi proċess jew attività ta' negozju speċifiċi tal-Kummissjoni.

(9)

“Proċedura ta' emerġenza” tfisser sett predefinit ta' metodi u responsabbiltajiet li jirrispondu għal sitwazzjonijiet urġenti sabiex jiġi evitat impatt kbir fuq il-Kummissjoni.

(10)

“Politika għas-sigurtà tal-informazzjoni” tfisser sett ta' objettivi għas-sigurtà tal-informazzjoni, li huma jew li jridu jiġu stabbiliti, implimentati u verifikati. Dan jinkludi, iżda mhuwiex limitat għal, id-Deċiżjonijiet (UE, Euratom) 2015/444 u (UE, Euratom) 2015/443.

(11)

“Il-Bord ta' Tmexxija tas-Sigurtà tal-Informazzjoni” (ISSB — Information Security Steering Board) tfisser il-korp ta' governanza li jappoġġa lill-Bord ta' Ġestjoni Korporattiva fil-kompiti tagħha relatati mas-sigurtà.

(12)

“Fornitur ta' servizz intern tal-IT” tfisser dipartiment tal-Kummissjoni li jipprovdi servizzi tal-IT kondiviżi.

(13)

“Sigurtà tal-IT” jew “'sigurtà ta' SKI” tfisser il-preservazzjoni tal-kunfidenzjalità, l-integrità u d-disponibbiltà ta' SKI u s-settijiet ta' deta li jipproċessaw.

(14)

“Linji gwida għas-sigurtà tal-IT” tikkonsisti f'miżuri rakkomandati iżda volontarji li jgħinu fl-appoġġ tal-istandards tas-sigurtà tal-IT jew li jservu bħala referenza meta ma jkun fis-seħħ l-ebda standard applikabbli.

(15)

“Inċident għas-sigurtà tal-IT” tfisser avveniment li jista' jaffettwa b'mod negattiv il-kunfidenzjalità, l-integrità jew id-disponibbiltà ta' SKI.

(16)

“Miżura għas-sigurtà tal-IT” tfisser miżura teknika jew organizzattiva li għandha l-għan li ttaffi r-riskji għas-sigurtà tal-IT.

(17)

“Ħtieġa għas-sigurtà tal-IT” tfisser definizzjoni preċiża u mhux ambigwa tal-livelli ta' kunfidenzjalità, integrità u disponibbiltà assoċjati ma' biċċa informazzjoni jew sistema tal-IT bl-għan li tiddetermina l-livell ta' protezzjoni meħtieġ.

(18)

“Objettiv għas-sigurtà tal-IT” tfisser dikjarazzjoni ta' intenzjoni għall-ġlieda kontra theddid speċifiku u/jew biex jiġu ssodisfati rekwiżiti jew suppożizzjonijiet speċifiċi għas-sigurtà organizzazzjonali.

(19)

“Pjan għas-sigurtà tal-IT” tfisser id-dokumentazzjoni tal-miżuri għas-sigurtà tal-IT meħtieġa biex jiġu ssodisfati l-ħtiġijiet għas-sigurtà tal-IT ta' SKI.

(20)

“Politika għas-sigurtà tal-IT” tfisser sett ta' objettivi għas-sigurtà tal-IT, li huma jew li jridu jiġu stabbiliti, implimentati u verifikati. Dan jinkludi din id-Deċiżjoni u r-regoli ta' implimentazzjoni tagħha.

(21)

“Rekwiżit għas-sigurtà tal-IT” tfisser ħtieġa għas-sigurtà tal-IT formalizzata permezz ta' proċess predefinit.

(22)

“Riskju għas-sigurtà tal-IT” tfisser effett li jista' jiġi kkawżat minn theddida għas-sigurtà tal-IT fuq SKI permezz ta' sfruttament ta' vulnerabilità. Bħala tali, riskju għas-sigurtà tal-IT huwa kkaratterizzat minn żewġ fatturi: (1) inċertezza, jiġifieri l-probabbiltà li theddida għas-sigurtà tal-IT tikkawża avveniment mhux mixtieq, u (2) impatt, jiġifieri l-konsegwenzi li dan it-tip ta' avveniment mhux mixtieq jista' jkollu fuq SKI.

(23)

“Standards għas-sigurtà tal-IT” tfisser miżuri għas-sigurtà tal-IT obbligatorji u speċifiċi li jgħinu biex isaħħu u jappoġġaw il-politika għas-sigurtà tal-IT.

(24)

“Strateġija għas-sigurtà tal-IT” tfisser sett ta' proġetti u attivitajiet maħsuba biex jilħqu l-objettivi tal-Kummissjoni u li jridu jiġu stabbiliti, implimentati u verifikati.

(25)

“Theddida għas-sigurtà tal-IT” tfisser fattur li jista' potenzjalment iwassal għal avveniment mhux mixtieq li jista' jirriżulta f'dannu lil SKI. Dan it-theddid jista' jkun inċidentali jew intenzjonat u jkun ikkaratterizzat minn elementi ta' theddid, miri potenzjali u metodi ta' attakk.

(26)

“Uffiċjal tas-Sigurtà tal-Informatika Lokali” jew “LISO” (Local Informatics Security Officer) tfisser l-uffiċjal li huwa responsabbli mill-kooperazzjoni tas-sigurtà tal-IT għal dipartiment tal-Kummissjoni.

(27)

“Dejta personali”, “proċessar ta' dejta personali”, “kontrollur” u “sistema ta' filing ta' dejta personali” għandu jkollhom l-istess tifsira bħal fir-Regolament (KE) Nru 45/2001, u b'mod partikolari l-Artikolu 2 tiegħu.

(28)

“Proċessar ta' informazzjoni” tfisser il-funzjonijiet kollha ta' SKI fir-rigward tas-settijiet tad-dejta, inkluż il-ħolqien, il-modifika, il-preżentazzjoni, il-ħżin, it-trażmissjoni, it-tħassir u l-arkivjar ta' informazzjoni. L-ipproċessar ta' informazzjoni jista' jiġi pprovdut minn SKI bħala sett ta' funzjonalitajiet għall-utenti u bħala servizzi tal-IT lil SKI oħrajn.

(29)

“Segretezza professjonali” tfisser il-protezzjoni ta' dejta u informazzjoni kummerċjali tat-tip kopert bl-obbligu tas-segretezza professjonali, b'mod partikolari informazzjoni dwar impriżi, ir-relazzjonijiet kummerċjali tagħhom jew il-komponenti tal-ispejjeż tagħhom kif stipulat fl-Artikolu 339 TFUE.

(30)

“Responsabbli” tfisser li jkollu l-obbligu li jaġixxi u jieħu deċiżjonijiet biex jikseb ir-riżultati meħtieġa.

(31)

“Sigurtà fil-Kummissjoni” tfisser is-sigurtà tal-persuni, l-assi u l-informazzjoni fil-Kummissjoni, u b'mod partikolari l-integrità fiżika tal-persuni u l-assi, l-integrità, il-kunfidenzjalità u d-disponibbiltà ta' informazzjoni u ta' sistemi ta' komunikazzjoni u informazzjoni, kif ukoll il-funzjonament bla xkiel tal-operazzjonijiet tal-Kummissjoni.

(32)

“Servizz kondiviż tal-IT” tfisser is-servizz li SKI jipprovdi lil SKI oħrajn fl-ipproċessar tal-informazzjoni.

(33)

“Sid tas-sistema” hija l-individwu responsabbli għall-akkwist, l-iżvilupp, l-integrazzjoni, il-modifika, l-operazzjoni, il-manutenzjoni, u l-irtirar globali ta' SKI.

(34)

“Utent” tfisser kull persuna li tuża funzjonalità pprovduta minn SKI, kemm ġewwa kif ukoll barra l-Kummissjoni.

(a)

Awtentiċità: il-garanzija li l-informazzjoni hija ġenwina u minn sorsi bona fide;

(b)

Disponibilità: il-fatt li tkun aċċessibbli u tista' tintuża meta tintalab minn entità awtorizzata.

(c)

Kunfidenzjalità: il-fatt li l-informazzjoni ma tiġix żvelata lil individwi, entitajiet jew proċeduri mhux awtorizzati.

(d)

Integrità: il-fatt li jiġu salvagwardjati l-eżattezza u l-kompletezza tal-informazzjoni u l-assi.

(e)

Nonripudju: l-abbiltà li jiġi ppruvat li azzjoni jew avveniment seħħ, sabiex dan l-avveniment jew azzjoni wara ma jkunux jistgħu jiġu miċħuda.

(f)

Protezzjoni tad-dejta personali: il-provvediment ta' salvagwardji xierqa fir-rigward ta' dejta personali f'konformità sħiħa mar-Regolament (KE) Nru 45/2001.

(g)

Segretezza professjonali: il-protezzjoni ta' informazzjoni tat-tip kopert bl-obbligu tas-segretezza professjonali, b'mod partikolari informazzjoni dwar impriżi, ir-relazzjonijiet kummerċjali tagħhom jew il-komponenti tal-ispejjeż tagħhom kif stipulat fl-Artikolu 339 TFUE.

(1)

jiżgura allinjament bejn il-politika għas-sigurtà tal-IT u l-politika għas-sigurtà tal-informazzjoni tal-Kummissjoni;

(2)

jistabbilixxi qafas għall-awtorizzazzjoni tal-użu ta' kriptaġġ ta' teknoloġiji għall-ħażna u l-komunikazzjoni ta' informazzjoni permezz ta' SKI.

(3)

jinforma lid-Direttorat Ġenerali għall-Informatika dwar theddid speċifiku li jista' jkollu impatt sinifikanti fuq is-sigurtà ta' SKI u s-settijiet ta' dejta li huma jipproċessaw.

(4)

iwettaq spezzjonijiet għas-sigurtà tal-IT sabiex jevalwa l-konformità tas-SKI tal-Kummissjoni mal-politika tas-sigurtà, u jirrapporta r-riżultati lill-ISSB.

(5)

jistabbilixxi qafas għall-awtorizzazzjoni ta' aċċess u r-regoli ta' sigurtà assoċjati xierqa għas-SKI tal-Kummissjoni minn netwerks esterni u jiżviluppa l-istandards u l-linji gwida għas-sigurtà tal-IT b'kooperazzjoni mill-qrib mad-Direttorat Ġenerali għall-Informatika.

(6)

jipproponi prinċipji u regoli għall-esternalizzazzjoni tas-SKI sabiex iżomm kontroll xieraq ta' sigurtà tal-informazzjoni.

(7)

jiżviluppa l-istandards u l-linji gwida għas-sigurtà tal-IT fir-rigward tal-Artikolu 6, b'kooperazzjoni mill-qrib mad-Direttorat Ġenerali għall-Informatika.

(1)

jiżviluppa standards u linji gwida għas-sigurtà tal-IT, ħlief kif ipprovdut fl-Artikolu 6, b'kooperazzjoni mill-qrib mad-Direttorat Ġenerali tar-Riżorsi Umani u tas-Sigurtà, sabiex jiżgura l-konsistenza bejn il-politika għas-sigurtà tal-IT u l-politika għas-sigurtà tal-informazzjoni tal-Kummissjoni, u jipproponihom lill-ISSB.

(2)

jivvaluta l-metodi ta' ġestjoni tar-riskju għas-sigurtà tal-IT, il-proċessi u r-riżultati tad-dipartimenti kollha tal-Kummissjoni u jirrapporta dwar dan b'mod regolari lill-ISSB.

(3)

jipproponi pjan ta' sigurtà tal-IT għal rieżami u għal approvazzjoni mill-ISSB, u għal adozzjoni ulterjuri mill-Bord ta' Ġestjoni Korporattiva, u jipproponi programm, inkluż l-ippjanar ta' proġetti u attivitajiet li jimplimentaw l-istrateġija għas-sigurtà tal-IT.

(4)

jissorvelja l-eżekuzzjoni tal-istrateġija għas-sigurtà tal-IT tal-Kummissjoni u jirrapporta dwar dan b'mod regolari lill-ISSB.

(5)

jagħmel monitoraġġ tar-riskji għas-sigurtà tal-IT u l-miżuri għas-sigurtà tal-IT implimentati fi SKI u jirrapporta dwar dan b'mod regolari lill-ISSB.

(6)

jirrapporta b'mod regolari dwar l-implimentazzjoni ġenerali u l-konformità ma' din id-Deċiżjoni lill-ISSB.

(7)

wara li jikkonsulta mad-Direttorat Ġenerali tar-Riżorsi Umani u tas-Sigurtà, jitlob lis-sidien tas-sistema tas-sigurtà biex jieħu miżuri speċifiċi tal-IT sabiex itaffi r-riskji għas-sigurtà tal-IT għas-SKI tal-Kummissjoni.

(8)

jiżgura li hemm livell adegwat ta' katalogi tad-Direttorat Ġenerali għall-Informatika, servizzi għas-sigurtà tal-IT disponibbli għas-sidien tas-sistema u għas-sidien tad-dejta biex jissodisfaw ir-responsabbiltajiet tagħhom għas-sigurtà tal-IT u biex jikkonformaw mal-politika u mal-istandards għas-sigurtà tal-IT.

(9)

jipprovdi dokumentazzjoni xierqa lis-sidien tas-sistema u tad-dejta u jikkonsulta magħhom, kif xieraq, dwar il-miżuri għas-sigurtà tal-IT implimentati għas-servizzi tal-IT tagħhom sabiex jiffaċilita l-konformità mal-politika għas-sigurtà tal-IT u jappoġġa lis-sidien tas-sistema fil-ġestjoni tar-riskju tal-IT.

(10)

jorganizza laqgħat regolari tan-netwerk tal-LISOs u jappoġġa lil-LISOs fit-twettiq ta' dmirijiethom.

(11)

jiddefinixxi l-ħtiġijiet tat-taħriġ u jikkoordina programmi ta' taħriġ dwar is-sigurtà tal-IT f'kooperazzjoni mad-dipartimenti tal-Kummissjoni, u jiżviluppa, jimplimenta u jikkoordina kampanji ta' sensibilizzazzjoni dwar is-sigurtà tal-IT b'kooperazzjoni mill-qrib mad-Direttorat Ġenerali għar-Riżorsi Umani.

(12)

jiżgura li s-sidien tas-sistema, is-sidien tad-dejta u rwoli oħrajn li huma responsabbli mis-sigurtà tal-IT fid-dipartimenti tal-Kummissjoni jiġu mgħarrfa dwar il-politika għas-sigurtà tal-IT.

(13)

jinforma lid-Direttorat Ġenerali tar-Riżorsi Umani u tas-Sigurtà dwar theddidiet, inċidenti u eċċezzjonijiet speċifiċi għas-sigurtà tal-IT tal-Kummissjoni nnotifikati permezz tas-sidien tas-sistema li jista' jkollhom impatt sinifikanti fuq is-sigurtà fil-Kummissjoni.

(14)

rigward ir-rwol tiegħu bħala fornitur ta' servizzi tal-IT, jagħti katalogu ta' servizzi tal-IT kondiviżi li jipprovdi livelli definiti ta' sigurtà lill-Kummissjoni. Dan għandu jsir billi ssir valutazzjoni, maniġġar u monitoraġġ sistematiku tar-riskji għas-sigurtà tal-IT biex jimplimentaw il-miżuri ta' sigurtà sabiex jintlaħaq il-livell ta' sigurtà definit.

(1)

jaħtar formalment sid tas-sistema li jkun uffiċjal jew aġent temporanju, għal kull SKI, li jkun responsabbli mis-sigurtà tal-IT ta' dak is-SKI u jaħtar formalment sid tad-dejta għal kull sett ta' dejta trattat fi SKI li għandu jappartjeni għall-istess entità amministrattiva li jkun il-Kontrollur tad-Dejta għal settijiet ta' dejta soġġetti għar-Regolament (KE) Nru 45/2001.

(2)

formalment jaħtar Uffiċjal tas-Sigurtà tal-Informatika Lokali (LISO) li jkun jista' jwettaq ir-responsabbiltajiet indipendentement mis-sidien tas-sistema u s-sidien tad-dejta. LISO jista' jinħatar għal dipartimenti tal-Kummissjoni wieħed jew aktar.

(3)

jiżgura li l-valutazzjonijiet xierqa tar-riskju għas-sigurtà tal-IT u għas-sigurtà tal-IT ikunu saru u ġew implimentati.

(4)

jiżgura li jiġi rappurtat sommarju tar-riskji u l-miżuri għas-sigurtà tal-IT fuq bażi regolari lid-Direttorat Ġenerali għall-Informatika.

(5)

jiżgura, bl-appoġġ tad-Direttorat Ġenerali għall-Informatika, li jitpoġġew proċessi, proċeduri u soluzzjonijiet xierqa biex jiġu żgurati identifikazzjoni, rappurtar u riżoluzzjoni effiċjenti ta' inċidenti għas-sigurtà tal-IT relatati mas-SKI tagħhom.

(6)

iniedi proċedura ta' emerġenza f'każ ta' emerġenzi għas-sigurtà tal-IT.

(7)

ikollu r-responsabbiltà aħħarija għas-sigurtà tal-IT inklużi r-responsabbiltajiet tas-sid tas-sistema u s-sid tad-dejta.

(8)

ikun responsabbli mir-riskji relatati mas-SKI u s-settijiet tad-dejta tagħhom.

(9)

isolvu kwalunkwe nuqqas ta' qbil bejn is-sidien tad-dejta u s-sidien tas-sistema u f'każ ta' nuqqas ta' qbil kontinwu jippreżentaw il-kwistjoni quddiem l-ISSB biex tinstab soluzzjoni.

(10)

jiżgura li pjanijiet ta' sigurtà tal-IT u l-miżuri ta' sigurtà tal-IT ikunu implimentati u r-riskji koperti b'mod adegwat.

(a)

jiżgura l-konformità tas-SKI mal-politika għas-sigurtà tal-IT.

(b)

jiżgura li s-SKI tkun irreġistrata bi preċiżjoni fl-inventarju rilevanti.

(c)

jivvaluta r-riskji għas-sigurtà tal-IT u jiddetermina l-ħtiġijiet għas-sigurtà tal-IT għal kull SKI, bil-kollaborazzjoni mas-sidien tad-dejta u f'konsultazzjoni mad-Direttorat Ġenerali għall-Informatika

(d)

iħejji pjan ta' sigurtà, inkluż, fejn xieraq, dettalji tar-riskji vvalutati u kwalunkwe miżura ta' sigurtà addizzjonali meħtieġa.

(e)

jimplimenta miżuri xierqa għas-sigurtà tal-IT, b'mod proporzjonali għar-riskji għas-sigurtà tal-IT identifikati u jsegwi r-rakkomandazzjonijiet approvati mill-ISSB.

(f)

jidentifika kwalunkwe dipendenza fuq SKI oħrajn jew servizzi kondiviżi tal-IT u jimplimenta miżuri ta' sigurtà kif xieraq fuq il-bażi tal-livelli ta' sigurtà proposti minn dawk is-SKI jew servizzi kondiviżi tal-IT.

(g)

jimmaniġġa u jagħmel monitoraġġ tar-riskji għas-sigurtà tal-IT.

(h)

jirrapporta regolarment lill-kap tad-dipartiment tal-Kummissjoni dwar il-profil tar-riskju għas-sigurtà tal-IT u jirrapporta lid-Direttorat Ġenerali għall-Informatika dwar ir-riskji relatati, l-attivitajiet ta' ġestjoni tar-riskji u l-miżuri ta' sigurtà meħuda.

(i)

jikkonsulta mal-LISO tad-dipartiment(i) rilevanti tal-Kummissjoni dwar l-aspetti ta' Sigurtà tal-IT.

(j)

jagħti struzzjonijiet lill-utenti dwar l-użu tas-SKI u d-dejta assoċjata kif ukoll dwar ir-responsabbiltajiet tal-utenti marbuta mas-SKI.

(k)

jitlob awtorizzazzjoni mid-Direttorat Ġenerali tar-Riżorsi Umani u tas-Sigurtà, li jaġixxi bħala l-Awtorità Kriptografika, għal kull SKI li tuża teknoloġija tal-kriptaġġ.

(l)

jikkonsulta mal-Awtorità tas-Sigurtà tal-Kummissjoni minn qabel dwar kwalunkwe sistema li tipproċessa informazzjoni klassifikata tal-UE.

(m)

jiżgura li jinħażnu backups ta' kull kodiċi ta' dekriptaġġ f'kont miżmum minn terzi. Dejta kriptata għandha tiġi rkuprata biss meta dan ikun awtorizzat skont il-qafas definit mid-Direttorat Ġenerali tar-Riżorsi Umani u tas-Sigurtà.

(n)

jirrispetta kull struzzjoni mingħand il-Kontrollur(i) tad-Dejta rilevanti rigward il-protezzjoni ta' dejta personali u l-applikazzjoni ta' regoli dwar il-protezzjoni tad-dejta dwar is-sigurtà tal-ipproċessar.

(o)

jinnotifika lid-Direttorat-Ġenerali għall-Informatika dwar kull eċċezzjoni għall-politika għas-sigurtà tal-IT tal-Kummissjoni inklużi ġustifikazzjonijiet rilevanti.

(p)

jirrapporta kull nuqqas ta' qbil li ma jistax jiġi solvut bejn is-sid tad-dejta u s-sid tas-sistema lill-kap tad-dipartiment tal-Kummissjoni, jikkomunika inċidenti tas-sigurtà tal-IT lill-partijiet interessati rilevanti fil-ħin kif xieraq skont il-gravità tagħhom kif stabbilit fl-Artikolu 15.

(q)

għal sistemi esternalizzati, jiżgura li jiġu inklużi dispożizzjonijiet xierqa għas-sigurtà tal-IT f'kuntratti ta' esternalizzazzjoni u li inċidenti ta' sigurtà tal-IT li jseħħu fi SKI esternalizzati jiġu rrappurtati skont l-Artikolu 15.

(r)

għas-SKI li jipprovdu servizzi kondiviżi tal-IT, jiżgura li jiġi pprovdut livell ta' sigurtà definit, dokumentat b'mod ċar u jiġu implimentati miżuri ta' sigurtà għal dak is-SKI li sabiex jintlaħaq livell ta' sigurtà definit.

(a)

jiżgura li kull sett tad-dejta taħt ir-responsabbiltà tiegħu jkun adegwatament ikklassifikat skont id-Deċiżjoni (UE, Euratom) 2015/443 u (UE, Euratom) 2015/444.

(b)

jiddefinixxi l-ħtiġijiet ta' sigurtà tal-informazzjoni u jinforma lis-sidien tas-sistema rilevanti b'dawn il-ħtiġijiet.

(c)

jipparteċipa fil-valutazzjoni tar-riskju tas-SKI.

(d)

jirrapporta kwalunkwe nuqqas ta' qbil li ma jistax jiġi solvut bejn is-sid tad-dejta u s-sid tas-sistema lill-kap tad-dipartiment tal-Kummissjoni.

(e)

jinnotifika inċidenti għas-sigurtà tal-IT kif stipulat fl-Artikolu 15.

(a)

jidentifika b'mod proattiv u jinforma lis-sidien tas-sistema, lis-sidien tad-dejta u rwoli oħrajn bir-responsabbilitajiet ta' sigurtà tal-IT fid-dipartiment(i) tal-Kummissjoni dwar il-politika għas-sigurtà tal-IT.

(b)

Jikkoordina dwar kwistjonijiet relatati mas-sigurtà tal-IT fid-dipartiment(i) tal-Kummissjoni mad-Direttorat Ġenerali għall-Informatika bħala parti min-netwerk tal-LISO.

(c)

Jattendi l-laqgħat regolari tal-LISO.

(d)

Iżomm ħarsa ġenerali fuq il-proċess ta' mmaniġġar tar-riskju għas-sigurtà tal-informazzjoni u fuq l-iżvilupp u l-implimentazzjoni tal-pjanijiet għas-sigurtà tas-sistema ta' informazzjoni.

(e)

Jagħti pariri lis-sidien tad-dejta, lis-sidien tas-sistema u lill-kapijiet tad-dipartimenti tal-Kummissjoni dwar kwistjonijiet relatati mas-sigurtà tal-IT.

(f)

Jikkoopera mad-Direttorat Ġenerali għall-Informatika fit-tixrid ta' prattiki tajba għas-sigurtà tal-IT u jipproponi programmi speċifiċi ta' sensibilizzazzjoni u ta' taħriġ.

(g)

Jirrapporta dwar is-sigurtà tal-IT, jidentifika nuqqasijiet u titjib lill-Kap tad-dipartiment(i) tal-Kummissjoni (i).

(a)

jikkonformaw mal-politika għas-sigurtà tal-IT u mal-istruzzjonijiet maħruġa mis-sid tas-sistema dwar l-użu ta' kull SKI.

(b)

jinnotifikaw inċidenti għas-sigurtà tal-IT kif stipulat fl-Artikolu 15.

(a)

Ikollu d-dritt li jaċċessa informazzjoni fil-qosor għar-rekords kollha ta' inċidenti u għad-dokumentazzjoni sħiħa jekk jitlob li jagħmel dan.

(b)

Jipparteċipa fi gruppi ta' mmaniġġar ta' kriżijiet ta' inċidenti għas-sigurtà tal-IT u fi proċeduri ta' emerġenza għas-sigurtà tal-IT.

(c)

Ikun responsabbli mir-relazzjonijiet mas-servizzi tal-eżekuzzjoni tal-liġi tal-intelligence.

(d)

Iwettaq analiżi forensika dwar iċ-ċibersigurtà skont l-Artikolu 11 tad-Deċiżjoni (UE, Euratom) 2015/443.

(e)

Jiddeċiedi dwar il-ħtieġa li titnieda inkjesta formali.

(f)

Jinforma lid-Direttorat Ġenerali għall-Informatika b'kull inċident għas-sigurtà tal-IT li jistgħu joħloq riskju għal SKI oħrajn.

(a)

Jinnotifikaw minnufih lill-Kap tad-Dipartimenti tal-Kummissjoni prinċipali tagħhom, lid-Direttorat Ġenerali għall-Informatika, lid-Direttorat Ġenerali għar-Riżorsi Umani, lil-LISO u meta jkun xieraq lis-sid tad-dejta bi kwalunkwe inċident serju għas-sigurtà tal-IT, b'mod partikolari dawk li jinvolvu ksur tal-kunfidenzjalità tad-dejta.

(b)

Jikkooperaw u jsegwu l-istruzzjonijiet tal-awtoritajiet rilevanti tal-Kummissjoni dwar il-komunikazzjoni, ir-reazzjoni u r-rimedju għal inċidenti.