|
5.5.2010 |
RO |
Jurnalul Oficial al Uniunii Europene |
L 112/31 |
DECIZIA COMISIEI
din 4 mai 2010
privind planul de securitate pentru SIS II central și infrastructura de comunicații
(2010/261/UE)
COMISIA EUROPEANĂ,
având în vedere Tratatul privind funcționarea Uniunii Europene,
având în vedere Regulamentul (CE) nr. 1987/2006 al Parlamentului European și al Consiliului din 20 decembrie 2006 privind instituirea, funcționarea și utilizarea Sistemului de informații Schengen din a doua generație (SIS II) (1), în special articolul 16,
având în vedere Decizia 2007/533/JAI a Consiliului din 12 iunie 2007 privind înființarea, funcționarea și utilizarea Sistemului de informații Schengen de a doua generație (SIS II) (2), în special articolul 16,
întrucât:
|
(1) |
Articolul 16 din Regulamentul (CE) nr. 1987/2006 și articolul 16 din Decizia 2007/533/JAI prevăd că autoritatea de gestionare și Comisia adoptă, pentru SIS II central și, respectiv, pentru infrastructura de comunicare, măsurile necesare, inclusiv un plan de securitate. |
|
(2) |
Articolul 15 alineatul (4) din Regulamentul (CE) nr. 1987/2006 și articolul 15 alineatul (4) din Decizia 2007/533/JAI prevăd că, în cursul perioadei de tranziție, înainte ca autoritatea de gestionare să își preia responsabilitățile, Comisia este responsabilă cu gestionarea operațională a SIS II central. |
|
(3) |
Întrucât autoritatea de gestionare nu a fost încă stabilită, planul de securitate care trebuie adoptat de Comisie ar trebui să se aplice și SIS II central pentru o perioadă de tranziție. |
|
(4) |
Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului (3) se aplică prelucrării datelor cu caracter personal de către Comisie, atunci când aceasta își îndeplinește sarcina gestionării operaționale a SIS II. |
|
(5) |
Articolul 15 alineatul (7) din Regulamentul (CE) nr. 1987/2006 și articolul 15 alineatul (7) din Decizia 2007/533/JAI prevăd că, în cazul în care Comisia deleagă responsabilități care îi revin în cursul perioadei de tranziție, înainte ca autoritatea de gestionare să își preia responsabilitățile, aceasta se asigură că delegarea nu aduce atingere oricărui mecanism de control efectiv exercitat, în temeiul legislației Uniunii, de Curtea de Justiție, Curtea de Conturi sau Autoritatea Europeană pentru Protecția Datelor. |
|
(6) |
Autoritatea de gestionare ar trebui să își adopte propriul plan de securitate în ceea ce privește SIS II central de îndată ce își preia responsabilitățile. Prin urmare, acest plan de securitate ar trebui să expire, în măsura în care se referă la SIS II central, în momentul în care autoritatea de gestionare își preia responsabilitățile. |
|
(7) |
Articolul 4 alineatul (3) din Regulamentul (CE) nr. 1987/2006 și articolul 4 alineatul (3) din Decizia 2007/533/JAI prevăd că sistemul CS-SIS, care efectuează controlul tehnic și îndeplinește funcții administrative, se stabilește la Strasbourg (Franța), iar un sistem CS-SIS de rezervă, capabil să preia toate funcțiile sistemului CS-SIS în cazul căderii acestuia, se stabilește la Sankt Johann im Pongau (Austria). |
|
(8) |
Planul de securitate ar trebui să prevadă un responsabil cu securitatea sistemului, care să execute sarcini în materie de securitate cu privire atât la SIS II central, cât și la infrastructura de comunicații, și doi responsabili locali cu securitatea, care să execute sarcini în materie de securitate cu privire la SIS II central, respectiv la infrastructura de comunicații. Ar trebui stabilite rolurile responsabililor cu securitatea pentru a se asigura un răspuns eficient și prompt în cazul incidentelor de securitate și raportarea acestora. |
|
(9) |
Ar trebui definită o politică de securitate, care să descrie toate detaliile tehnice și organizatorice, în conformitate cu dispozițiile prezentei decizii. |
|
(10) |
Ar trebui definite măsuri pentru a se asigura un nivel adecvat de securitate al funcționării SIS II central și a infrastructurii de comunicații, |
ADOPTĂ PREZENTA DECIZIE:
CAPITOLUL I
DISPOZIȚII GENERALE
Articolul 1
Obiect
(1) Prezenta decizie definește organizarea securității și a măsurilor (planul de securitate) pentru protecția SIS II central și a datelor prelucrate de acesta împotriva amenințărilor la adresa disponibilității, integrității și confidențialității, în sensul articolului 16 alineatul (1) din Regulamentul (CE) nr. 1987/2006 și al articolului 16 alineatul (1) din Decizia 2007/533/JAI privind instituirea, funcționarea și utilizarea Sistemului de informații Schengen din a doua generație (SIS II), în cursul unei perioade de tranziție, până la preluarea responsabilităților de către autoritatea de gestionare.
(2) Prezenta decizie definește organizarea securității și a măsurilor (planul de securitate) pentru protecția infrastructurii de comunicații împotriva amenințărilor la adresa disponibilității, integrității și confidențialității, în sensul articolului 16 din Regulamentul (CE) nr. 1987/2006 și al articolului 16 din Decizia 2007/533/JAI privind instituirea, funcționarea și utilizarea Sistemului de informații Schengen din a doua generație (SIS II).
CAPITOLUL II
ORGANIZARE, RESPONSABILITĂȚI ȘI GESTIONAREA INCIDENTELOR
Articolul 2
Sarcinile Comisiei
(1) Comisia pune în aplicare măsurile de securitate pentru SIS II central menționate în prezenta decizie și monitorizează eficacitatea acestor măsuri.
(2) Comisia pune în aplicare măsurile de securitate pentru infrastructura de comunicații menționate în prezenta decizie și monitorizează eficacitatea acestor măsuri.
(3) Comisia desemnează dintre funcționarii săi un responsabil cu securitatea sistemului. Responsabilul cu securitatea sistemului este numit de directorul general al Direcției Generale Justiție, Libertate și Securitate din cadrul Comisiei. Sarcinile responsabilului cu securitatea sistemului cuprind, în special:
|
(a) |
pregătirea politicii de securitate, astfel cum se prevede la articolul 7 din prezenta decizie; |
|
(b) |
monitorizarea eficacității punerii în aplicare a procedurilor de securitate pentru SIS II central; |
|
(c) |
monitorizarea eficacității punerii în aplicare a procedurilor de securitate pentru infrastructura de comunicații; |
|
(d) |
contribuția la elaborarea rapoartelor privind securitatea, astfel cum se prevede la articolul 50 din Regulamentul (CE) nr. 1987/2006 și la articolul 66 din Decizia 2007/533/JAI; |
|
(e) |
îndeplinirea sarcinilor de coordonare și asistență în cadrul controalelor și auditurilor efectuate de Autoritatea Europeană pentru Protecția Datelor menționate la articolul 45 din Regulamentul (CE) nr. 1987/2006 și la articolul 61 din Decizia 2007/533/JAI, precum și notificarea responsabilului cu protecția datelor din cadrul Comisiei privind incidentele, în sensul articolului 5 alineatul (2); |
|
(f) |
monitorizarea aplicării corespunzătoare și integrale a prezentei decizii și a politicii de securitate de către toți contractanții, inclusiv subcontractanți, implicați în orice fel în gestionarea SIS II central; |
|
(g) |
monitorizarea aplicării corespunzătoare și integrale a prezentei decizii și a politicii de securitate de către toți contractanții, inclusiv subcontractanți, implicați în orice fel în gestionarea infrastructurii de comunicații; |
|
(h) |
stabilirea unei liste de puncte naționale unice de contact pentru securitatea SIS II și transmiterea acesteia responsabililor locali pentru securitatea infrastructurii de comunicații; |
|
(i) |
transmiterea listei menționate la litera (h) responsabilului local pentru securitatea SIS II central. |
Articolul 3
Responsabilul local pentru securitatea SIS II central
(1) Fără a aduce atingere articolului 8, Comisia desemnează dintre funcționarii săi un responsabil local pentru securitatea SIS II central. Se va evita apariția conflictelor de interese între sarcina responsabilului local cu securitatea și orice alte sarcini oficiale. Responsabilul local pentru securitatea SIS II central este numit de directorul general al Direcției Generale Justiție, Libertate și Securitate din cadrul Comisiei.
(2) Responsabilul local pentru securitatea SIS II central se asigură că măsurile de securitate prevăzute de prezenta decizie sunt puse în aplicare și că procedurile de securitate sunt urmate în CS-SIS principal. În ceea ce privește CS-SIS de rezervă, responsabilul local pentru securitatea SIS II central se asigură că măsurile de securitate prevăzute de prezenta decizie, cu excepția celor menționate la articolul 9, sunt puse în aplicare și că procedurile de securitate conexe sunt urmate.
(3) Responsabilul local pentru securitatea SIS II central poate încredința unui subordonat oricare dintre sarcinile care îi revin. Se va evita apariția conflictelor de interese între misiunea de a executa aceste sarcini și orice alte sarcini oficiale. Un număr de telefon unic și o singură adresă permit contactarea în orice moment a responsabilului local cu securitatea sau a subordonatului său de serviciu.
(4) Responsabilul local pentru securitatea SIS II central execută sarcinile decurgând din măsurile de securitate care trebuie luate în sediile CS-SIS principal și CS-SIS de rezervă, în limitele prevăzute la alineatul (1), în special:
|
(a) |
sarcini privind securitatea operațională locală, inclusiv auditul sistemului firewall, teste regulate de securitate, audit și raportare; |
|
(b) |
monitorizarea eficacității planului de continuare a activității și asigurarea efectuării unor exerciții regulate; |
|
(c) |
culegerea de informații privind orice incident produs în SIS II central care ar putea avea un impact asupra securității SIS II central și a infrastructurii de comunicații și raportarea acestor informații responsabilului cu securitatea sistemului; |
|
(d) |
informarea responsabilului cu securitatea sistemului în cazul în care politica de securitate trebuie modificată; |
|
(e) |
monitorizarea aplicării prezentei decizii și a politicii de securitate de către toți contractanții, inclusiv subcontractanți, implicați în orice fel în gestionarea operațională a SIS II central; |
|
(f) |
asigurarea faptului că personalul este informat cu privire la obligațiile care îi revin și monitorizarea aplicării politicii de securitate; |
|
(g) |
monitorizarea evoluțiilor în materie de securitate informatică și asigurarea unei formări corespunzătoare a personalului; |
|
(h) |
pregătirea informațiilor de bază și a opțiunilor pentru elaborarea, actualizarea și revizuirea politicii de securitate, în conformitate cu articolul 7. |
Articolul 4
Responsabilul local pentru securitatea infrastructurii de comunicații
(1) Fără a aduce atingere articolului 8, Comisia desemnează dintre funcționarii săi un responsabil local pentru securitatea infrastructurii de comunicații. Se va evita apariția conflictelor de interese între sarcina responsabilului local cu securitatea și orice alte sarcini oficiale. Responsabilul local pentru securitatea infrastructurii de comunicații este numit de directorul general al Direcției Generale Justiție, Libertate și Securitate din cadrul Comisiei.
(2) Responsabilul local pentru securitatea infrastructurii de comunicații monitorizează funcționarea infrastructurii de comunicații și se asigură că măsurile de securitate sunt puse în aplicare și că procedurile de securitate sunt urmate.
(3) Responsabilul local pentru securitatea infrastructurii de comunicații poate încredința unui subordonat oricare dintre sarcinile care îi revin. Se va evita apariția conflictelor de interese între misiunea de a executa aceste sarcini și orice alte sarcini oficiale. Un număr de telefon unic și o singură adresă permit contactarea în orice moment a responsabilului local cu securitatea sau a subordonatului său de serviciu.
(4) Responsabilul local pentru securitatea infrastructurii de comunicații execută sarcinile decurgând din măsurile de securitate care trebuie luate în cazul infrastructurii de comunicații, în special:
|
(a) |
toate sarcinile în materie de securitate operațională privind infrastructura de comunicații, inclusiv auditul sistemului firewall, teste regulate de securitate, audit și raportare; |
|
(b) |
monitorizarea eficacității planului de continuare a activității și asigurarea efectuării unor exerciții regulate; |
|
(c) |
culegerea de informații privind orice incident produs în infrastructura de comunicații care ar putea avea un impact asupra securității SIS II central și a infrastructurii de comunicații și raportarea acestor informații responsabilului cu securitatea sistemului; |
|
(d) |
informarea responsabilului cu securitatea sistemului în cazul în care politica de securitate trebuie modificată; |
|
(e) |
monitorizarea aplicării prezentei decizii și a politicii de securitate de către toți contractanții, inclusiv subcontractanți, implicați în orice fel în gestionarea infrastructurii de comunicații; |
|
(f) |
asigurarea faptului că personalul este informat cu privire la obligațiile care îi revin și monitorizarea aplicării politicii de securitate; |
|
(g) |
monitorizarea evoluțiilor în materie de securitate informatică și asigurarea unei formări corespunzătoare a personalului; |
|
(h) |
pregătirea informațiilor de bază și a opțiunilor pentru elaborarea, actualizarea și revizuirea politicii de securitate, în conformitate cu articolul 7. |
Articolul 5
Incidente de securitate
(1) Orice eveniment care are sau ar putea avea un impact asupra securității SIS II și ar putea cauza daune sau pierderi SIS II este considerat drept un incident de securitate, în special în situațiile în care s-ar fi putut accesa datele sau în care s-a compromis sau s-ar fi putut compromite disponibilitatea, integritatea și confidențialitatea datelor.
(2) Incidentele de securitate sunt gestionate astfel încât să se asigure un răspuns rapid, eficient și adecvat, în conformitate cu politica de securitate. Se instituie proceduri de restabilire în urma unui incident.
(3) Informațiile privind un incident de securitate care are sau ar putea avea un impact asupra funcționării SIS II într-un stat membru sau asupra disponibilității, integrității și confidențialității datelor introduse sau trimise de un stat membru sunt transmise statului membru respectiv. Incidentele de securitate sunt notificate responsabilului cu protecția datelor din cadrul Comisiei.
Articolul 6
Gestionarea incidentelor
(1) Ansamblul personalului și contractanților implicați în dezvoltarea, gestionarea sau funcționarea SIS II trebuie să consemneze orice punct vulnerabil în ceea ce privește securitatea observat sau suspectat în funcționarea infrastructurii de comunicații și să raporteze acest fapt responsabilului cu securitatea sistemului sau responsabilului local pentru securitatea infrastructurii de comunicații.
(2) În cazul detectării unui incident care are sau ar putea avea un impact asupra securității SIS II, responsabilul local pentru securitatea infrastructurii de comunicații îl informează cât mai curând posibil pe responsabilul cu securitatea sistemului și, după caz, punctul național unic de contact pentru securitatea SIS II, dacă în statul membru în cauză există un astfel de punct, în scris sau, în caz de extremă urgență, prin alte canale de comunicare. Raportul cuprinde descrierea incidentului de securitate, nivelul de risc, posibilele consecințe și măsurile care au fost luate sau ar trebui luate pentru reducerea riscului respectiv.
(3) Responsabilul local pentru securitatea infrastructurii de comunicații stochează de îndată într-un loc sigur orice informații privind incidentul de securitate. În măsura în care este posibil în temeiul dispozițiilor aplicabile privind protecția datelor, astfel de informații sunt puse la dispoziția responsabilului cu securitatea sistemului, la cererea acestuia.
(4) Politica de securitate prevede mecanisme de informare pentru a se asigura că informațiile privind tipul incidentului de securitate, gestionarea și rezultatul acestuia sunt comunicate responsabilului cu securitatea sistemului sau responsabilului local pentru securitatea infrastructurii de comunicații, după soluționarea și finalizarea unui incident.
(5) Alineatele (1)-(4) se aplică mutatis mutandis incidentelor produse în SIS II central. În acest sens, prin orice referință la responsabilul local pentru securitatea infrastructurii de comunicații de la alineatele (1)-(4) se înțelege o referință la responsabilul local pentru securitatea SIS II central.
CAPITOLUL III
MĂSURI DE SECURITATE
Articolul 7
Politica de securitate
(1) Directorul general al Direcției Generale Justiție, Libertate și Securitate elaborează, actualizează și revizuiește în mod regulat o politică de securitate obligatorie, în conformitate cu prezenta decizie. Politica de securitate prevede proceduri și măsuri detaliate de protecție împotriva amenințărilor la adresa disponibilității, integrității și confidențialității infrastructurii de comunicații, inclusiv planuri de urgență, pentru a se asigura un nivel corespunzător de securitate, astfel cum prevede prezenta decizie. Politica de securitate se conformează prezentei decizii.
(2) Politica de securitate se bazează pe o evaluare a riscului. Măsurile descrise de politica de securitate sunt proporționale cu riscurile identificate.
(3) Evaluarea riscului și politica de securitate sunt actualizate, în cazul în care modificări tehnologice, identificarea unor noi amenințări sau orice alte circumstanțe o impun. În orice caz, politica de securitate este revizuită anual, pentru a se asigura că această răspunde în continuare celei mai recente evaluări a riscului sau oricărei modificări tehnologice, amenințări sau oricărei alte circumstanțe relevante nou-identificate.
(4) Politica de securitate este elaborată de responsabilul cu securitatea sistemului, în coordonare cu responsabilul local pentru securitatea SIS II central și responsabilul local pentru securitatea infrastructurii de comunicații.
(5) Alineatele (1)-(4) se aplică mutatis mutandis politicii de securitate pentru SIS II central. În acest sens, prin orice referință la responsabilul local pentru securitatea infrastructurii de comunicații de la alineatele (1)-(4) se înțelege o referință la responsabilul local pentru securitatea SIS II central.
Articolul 8
Punerea în aplicare a măsurilor de securitate
(1) Punerea în aplicare a sarcinilor și cerințelor prevăzute de prezenta decizie și de politica de securitate, inclusiv a sarcinii de a desemna un responsabil local cu securitatea, poate fi subcontractată sau încredințată unor organisme private sau publice.
(2) În acest caz, Comisia se asigură, prin intermediul unui acord cu forță juridică obligatorie, că cerințele prevăzute de prezenta decizie și de politica de securitate sunt pe deplin respectate. În cazul delegării sau subcontractării sarcinii de a desemna un responsabil local cu securitatea, Comisia se asigură, prin intermediul unui acord cu forță juridică obligatorie, că va fi consultată în legătură cu persoana care urmează a fi desemnată ca responsabil local cu securitatea.
Articolul 9
Controlul accesului la instalații
(1) Se utilizează perimetre de securitate delimitate corespunzător și se efectuează controale de acces pentru a proteja zonele în care se află instalațiile de prelucrare a datelor.
(2) În interiorul perimetrelor de securitate sunt create zone securizate pentru protejarea componentelor fizice (active), inclusiv hardware, suporturi de date și console, planuri și alte documente privind SIS II, precum și birouri și alte spații de lucru ale personalului implicat în funcționarea SIS II. Zonele securizate sunt protejate printr-un control corespunzător la intrare, astfel încât numai personalul autorizat să poată avea acces la acestea. În zonele securizate, activitățile fac obiectul unor norme de securitate detaliate, stabilite în cadrul politicii de securitate.
(3) Se prevăd și se aplică măsuri de securitate fizică pentru birouri, săli și instalații. Punctele de acces, cum ar fi zonele de livrare sau de încărcare, și alte puncte prin care persoane neautorizate pot intra în localuri sunt controlate și, dacă este posibil, izolate de instalațiile de prelucrare a datelor, pentru a împiedica accesul neautorizat.
(4) În mod proporțional cu riscurile, se elaborează și se aplică măsuri de protecție fizică a perimetrelor de securitate, împotriva deteriorării cauzate de catastrofe naturale sau provocate de om.
(5) Echipamentul este protejat împotriva amenințărilor fizice și de mediu, precum și împotriva accesului neautorizat.
(6) În cazul în care dispune de informații în acest sens, Comisia adaugă la lista prevăzută la articolul 2 alineatul (3) litera (h) un punct de contact unic pentru monitorizarea punerii în aplicare a dispozițiilor prezentului articol în sediile CS-SIS de rezervă.
Articolul 10
Controlul suporturilor de date și al activelor
(1) Suporturile amovibile care conțin date sunt protejate împotriva accesului neautorizat, a utilizării frauduloase sau a deteriorării și se asigură lizibilitatea datelor pe întreaga durată de viață a acestora.
(2) Atunci când nu mai sunt necesare, suporturile sunt îndepărtate în mod securizat, în conformitate cu procedurile detaliate stabilite în cadrul politicii de securitate.
(3) Inventarele asigură că informațiile privind locul de stocare, durata de păstrare aplicabilă și autorizațiile de acces sunt disponibile.
(4) Toate activele importante ale infrastructurii de comunicații sunt inventariate, astfel încât să poată fi protejate în funcție de importanța lor. Se păstrează un registru actualizat al echipamentului informatic relevant.
(5) Se furnizează o documentație actualizată privind infrastructura de comunicații. O astfel de documentație trebuie protejată împotriva accesului neautorizat.
(6) Alineatele (1)-(5) se aplică mutatis mutandis în cazul SIS II central. În acest sens, prin orice referință la infrastructura de comunicații se înțelege o referință la SIS II central.
Articolul 11
Controlul stocării
(1) Se iau măsuri corespunzătoare pentru a se asigura stocarea adecvată a datelor și a se preveni accesul neautorizat la acestea.
(2) Toate echipamentele care conțin suporturi de stocare sunt verificate pentru a se asigura că datele sensibile au fost șterse sau modificate integral înainte de îndepărtarea echipamentelor sau sunt distruse în mod securizat.
Articolul 12
Controlul parolelor
(1) Toate parolele sunt păstrate în siguranță și tratate în regim confidențial. În cazul în care există suspiciunea că o parolă a fost dezvăluită, aceasta trebuie schimbată imediat sau contul respectiv trebuie dezactivat. Se folosesc nume de utilizator individuale și unice.
(2) În cadrul politicii de securitate se definesc procedurile de conectare și deconectare, pentru a se preveni orice acces neautorizat.
Articolul 13
Controlul accesului
(1) Politica de securitate prevede o procedură oficială prin care personalul se poate înregistra și poate anula această înregistrare, pentru acordarea sau retragerea accesului la hardware-ul și software-ul SIS II, în scopul gestionării operaționale. Atribuirea și utilizarea unor identificatori de acces adecvați (parole sau alte mijloace corespunzătoare) sunt controlate printr-o procedură de gestionare formală definită în cadrul politicii de securitate.
(2) În ceea ce privește CS-SIS, accesul la hardware-ul și software-ul SIS II:
|
(i) |
este limitat la persoanele autorizate; |
|
(ii) |
este limitat la cazurile în care se poate determina un motiv legitim de acces la sistem, în conformitate cu articolul 45 din Regulamentul (CE) nr. 1987/2006 și articolul 61 din Decizia 2007/533/JAI sau cu articolul 50 alineatul (2) din Regulamentul (CE) nr. 1987/2006 și articolul 66 alineatul (2) din Decizia 2007/533/JAI; |
|
(iii) |
nu depășește durata și amploarea necesare motivului de acces la sistem; și |
|
(iv) |
se efectuează numai în conformitate cu o politică de control al accesului definită în cadrul politicii de securitate. |
(3) CS-SIS utilizează numai consolele și software-ul autorizate de responsabilul local pentru securitatea SIS II central. Folosirea utilitarelor de sistem care s-ar putea sustrage controalelor sistemului și aplicațiilor este restricționată și controlată. Sunt prevăzute proceduri pentru a controla instalarea de software.
Articolul 14
Controlul comunicațiilor
Infrastructura de comunicații este monitorizată în vederea asigurării disponibilității, integrității și confidențialității schimburilor de informații. Sunt utilizate procedee criptografice pentru a proteja datele transmise prin infrastructura de comunicații.
Articolul 15
Controlul intrărilor
Conturile persoanelor autorizate să aibă acces la software-ul SIS din CS-SIS sunt monitorizate de responsabilul local pentru securitatea SIS II central. Utilizarea acestor conturi, inclusiv data, ora și identitatea utilizatorului, se înregistrează.
Articolul 16
Controlul transportului
(1) Politica de securitate definește măsuri corespunzătoare pentru a preveni citirea, copierea, modificarea sau ștergerea neautorizate ale datelor cu caracter personal în timpul transmiterii către sau dinspre SIS II sau pe parcursul transportului suporturilor de date. Politica de securitate prevede dispoziții privind tipurile admisibile de expediție sau de transport, precum și în ceea ce privește procedurile de stabilire a responsabilității pentru transportul elementelor și sosirea acestora la locul de destinație. Suporturile de date nu conțin decât datele care trebuie trimise.
(2) Serviciile furnizate de părți terțe care implică accesarea, prelucrarea, comunicarea sau gestionarea instalațiilor de prelucrare a datelor sau adăugarea unor produse și servicii la instalațiile de prelucrare a datelor fac obiectul unor controale de securitate integrate corespunzătoare.
Articolul 17
Securitatea infrastructurii de comunicare
(1) Infrastructura de comunicații este gestionată și controlată în mod adecvat, pentru a fi protejată de amenințări și pentru a se asigura securitatea infrastructurii de comunicații în sine sau a SIS II central, inclusiv a datelor schimbate prin intermediul său.
(2) În acordul privind serviciile de rețea cu furnizorul de servicii sunt definite elementele de securizare, nivelul de servicii și cerințele de gestionare a tuturor serviciilor de rețea.
(3) În afară de protejarea punctelor de acces la SIS II, sunt protejate toate serviciile suplimentare utilizate de infrastructura de comunicații. Politica de securitate prevede măsuri adecvate în acest sens.
Articolul 18
Monitorizare
(1) Fișierele jurnal care înregistrează informațiile prevăzute la articolul 18 alineatul (1) din Regulamentul (CE) nr. 1987/2006 și la articolul 18 alineatul (1) din Decizia 2007/533/JAI privind orice acces la CS-SIS și toate schimburile de date cu caracter personal în CS-SIS sunt păstrate într-un loc sigur și sunt accesibile în sediile CS-SIS principal și CS-SIS de rezervă, pe perioada maximă menționată la articolul 18 alineatul (3) din Regulamentul (CE) nr. 1987/2006 și la articolul 18 alineatul (3) din Decizia 2007/533/JAI.
(2) Politica de securitate prevede proceduri pentru monitorizarea utilizării instalațiilor de prelucrare a datelor sau monitorizarea disfuncționalităților acestor instalații, iar rezultatele activității de monitorizare sunt analizate în mod regulat. Dacă este necesar, se iau măsuri corespunzătoare.
(3) Facilitățile de înregistrare și fișierele jurnal sunt protejate împotriva falsificării și a accesului neautorizat pentru a îndeplini cerințele în ceea ce privește culegerea și păstrarea în timpul perioadei de păstrare a datelor.
Articolul 19
Procedee criptografice
Atunci când este necesar, se utilizează procedee criptografice pentru protejarea informațiilor. Utilizarea acestora, precum și scopul și condițiile în care sunt folosite trebuie aprobate în prealabil de responsabilul cu securitatea sistemului.
CAPITOLUL IV
SECURITATEA RESURSELOR UMANE
Articolul 20
Profilurile membrilor personalului
(1) Politica de securitate definește funcțiile și responsabilitățile persoanelor autorizate să aibă acces la SIS II central.
(2) Politica de securitate definește funcțiile și responsabilitățile persoanelor autorizate să aibă acces la infrastructura de comunicații.
(3) Rolurile și responsabilitățile în materie de securitate ale personalului Comisiei, ale contractanților și ale personalului implicat în gestionarea operațională sunt definite, descrise și comunicate persoanelor în cauză. Descrierea postului și a obiectivelor precizează aceste roluri și responsabilități pentru personalul Comisiei; contractele sau acordurile privind nivelul serviciilor precizează aceste aspecte pentru contractanți.
(4) Se încheie acorduri de confidențialitate cu toate persoanele cărora nu li se aplică normele funcției publice ale Uniunii Europene sau ale unui stat membru. Personalul care lucrează cu date SIS II trebuie să aibă autorizația sau certificarea de securitate necesară, în conformitate cu procedurile detaliate stabilite în cadrul politicii de securitate.
Articolul 21
Informarea personalului
(1) Toți membrii personalului și toți contractanții beneficiază de o formare corespunzătoare în domeniul conștientizării în materie de securitate, al dispozițiilor legale, politicilor și procedurilor, în măsura necesară pentru exercitarea sarcinilor care le revin.
(2) În cazul în care activitatea s-a încheiat sau contractul a luat sfârșit, politica de securitate definește responsabilitățile legate de schimbarea locului de muncă sau încetarea contractului pentru membrii personalului și pentru contractanți; politica de securitate prevede proceduri pentru restituirea activelor și retragerea drepturilor de acces.
CAPITOLUL V
DISPOZIȚIE FINALĂ
Articolul 22
Aplicabilitate
(1) Prezenta decizie se aplică de la data stabilită de Consiliu în conformitate cu articolul 55 alineatul (2) din Regulamentul (CE) nr. 1987/2006 și cu articolul 71 alineatul (2) din Decizia 2007/533/JAI.
(2) Articolul 1 alineatul (1), articolul 2 alineatul (1), articolul 2 alineatul (3) literele (b), (d), (f) și (i), articolul 3, articolul 6 alineatul (5), articolul 7 alineatul (5), articolul 9 alineatul (6), articolul 10 alineatul (6), articolul 13 alineatele (2) și (3), articolul 15, articolul 18 și articolul 20 alineatul (1) expiră în momentul în care autoritatea de gestionare își preia responsabilitățile.
Adoptată la Bruxelles, 4 mai 2010.
Pentru Comisie
Președintele
José Manuel BARROSO
(1) JO L 381, 28.12.2006, p. 4.
(2) JO L 205, 7.8.2007, p. 63.