11.1.2017   

RO

Jurnalul Oficial al Uniunii Europene

L 6/40

(1)

Sistemele informatice și de comunicații din cadrul Comisiei Europene reprezintă o parte integrantă a funcționării Comisiei, iar incidentele de securitate informatică pot avea un impact grav asupra operațiunilor Comisiei, precum și asupra părților terțe, inclusiv asupra persoanelor fizice, a companiilor și a statelor membre.

(2)

Există numeroase amenințări care pot afecta confidențialitatea, integritatea sau disponibilitatea sistemelor informatice și de comunicații ale Comisiei și a informațiilor prelucrate de acestea. Aceste amenințări includ accidente, erori, atacuri deliberate și evenimente naturale și trebuie recunoscute drept riscuri operaționale.

(3)

Sistemelor informatice și de comunicații trebuie să li se asigure un nivel de protecție proporțional cu posibilitatea, impactul și natura riscurilor la care acestea sunt expuse.

(4)

Securitatea informatică în cadrul Comisiei ar trebui să asigure că sistemele informatice și de comunicații ale Comisiei protejează informațiile pe care le prelucrează și funcționează așa cum este necesar, atunci când este necesar, sub controlul utilizatorilor legitimi.

(5)

Politica de securitate informatică a Comisiei ar trebui pusă în aplicare într-un mod consecvent cu politicile privind securitatea la nivelul Comisiei.

(6)

Direcția Securitate din cadrul Direcției Generale Resurse Umane și Securitate deține responsabilitatea generală pentru securitatea în cadrul Comisiei, sub autoritatea și responsabilitatea membrului Comisiei responsabil de securitate.

(7)

Abordarea Comisiei ar trebui să țină seama de inițiativele de politică și de legislația UE privind securitatea informațiilor și a rețelelor, de standardele din sector și de bunele practici, pentru a respecta toate actele legislative relevante și a permite interoperabilitatea și compatibilitatea.

(8)

Departamentele Comisiei responsabile de sistemele informatice și de comunicații ar trebui să elaboreze și să pună în aplicare măsuri corespunzătoare, iar măsurile de securitate informatică pentru protecția sistemelor informatice și de comunicații ar trebui coordonate în cadrul Comisiei pentru a asigura eficiența și eficacitatea.

(9)

Normele și procedurile de acces la informații în contextul securității informatice, inclusiv tratarea incidentelor de securitate informatică, ar trebui să fie proporționale cu amenințarea la adresa Comisiei sau a personalului acesteia și în conformitate cu principiile prevăzute în Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului (1) privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele Uniunii Europene și privind libera circulație a acestor date, precum și să țină seama de principiul secretului profesional, astfel cum se prevede la articolul 339 din TFUE.

(10)

Politicile și normele privind sistemele informatice și de comunicații care prelucrează informații UE clasificate (IUEC), informații sensibile neclasificate și informații neclasificate trebuie să respecte Deciziile (UE, Euratom) 2015/443 (2) și (UE, Euratom) 2015/444 (3).

(11)

Comisia trebuie să revizuiască și să actualizeze dispozițiile privind securitatea sistemelor informatice și de comunicații pe care le utilizează.

(12)

Prin urmare, Decizia C(2006)3602 a Comisiei ar trebui abrogată.

1.

„răspunzător” înseamnă persoana care răspunde pentru acțiuni, decizii și execuție

2.

„CERT-UE” înseamnă Centru de răspuns la incidente de securitate cibernetică pentru instituțiile și agențiile UE. Misiunea acestuia este aceea de a sprijini instituțiile europene în ceea ce privește protecția acestora împotriva atacurilor intenționate și răuvoitoare care ar afecta integritatea activelor lor informatice și interesele UE. Domeniul de aplicare al activităților CERT-UE acoperă prevenirea, detectarea, răspunsul și redresarea.

3.

„departament al Comisiei” înseamnă orice direcție generală ori serviciu al Comisiei sau orice cabinet al unui membru al Comisiei.

4.

„Autoritatea de securitate a Comisiei” se referă la rolul prevăzut în Decizia (UE, Euratom) 2015/444.

5.

„sistem informatic și de comunicații” sau „SIC” înseamnă orice sistem care permite manipularea informațiilor în format electronic, inclusiv toate activele necesare funcționării sale, precum și infrastructura, organizarea, personalul și resursele informaționale. Această definiție include aplicațiile de afaceri, serviciile informatice partajate, sistemele externalizate și dispozitivele utilizatorilor finali.

6.

„Consiliul pentru gestiunea corporativă” (CGC) asigură cel mai înalt nivel de monitorizare a gestiunii corporative pentru aspecte operaționale și administrative la nivelul Comisiei.

7.

„proprietarul datelor” înseamnă persoana fizică responsabilă de asigurarea protecției și utilizării unui set de date specific manipulat de un SIC.

8.

„set de date” înseamnă un set de informații care servește unui proces de activitate specific sau unei activități specifice a Comisiei.

9.

„procedură de urgență” înseamnă un set prestabilit de metode și responsabilități utilizate pentru a răspunde la situațiile de urgență în scopul prevenirii unui impact major asupra Comisiei.

10.

„politica de securitate a informațiilor” înseamnă un set de obiective de securitate a informațiilor care sunt sau trebuie să fie stabilite, puse în aplicare și verificate. Acesta conține Deciziile (UE, Euratom) 2015/444 și (UE, Euratom) 2015/443, fără a se limita la acestea.

11.

„Comitetul director pentru securitatea informațiilor” (CDSI) înseamnă organismul de guvernanță care sprijină Consiliul pentru gestiunea corporativă în sarcinile sale legate de securitatea informatică.

12.

„furnizor intern de servicii informatice” înseamnă un departament al Comisiei care furnizează servicii informatice partajate.

13.

„securitate informatică” sau „securitatea SIC” înseamnă păstrarea confidențialității, integrității și disponibilității SIC și a seturilor de date pe care acestea le prelucrează.

14.

„orientări privind securitatea informatică” constă în măsuri recomandate, dar cu caracter voluntar, care contribuie la sprijinirea standardelor de securitate informatică sau servesc drept referință atunci când nu există un standard aplicabil.

15.

„incident de securitate informatică” înseamnă un eveniment care ar putea afecta negativ confidențialitatea, integritatea sau disponibilitatea unui SIC.

16.

„măsură de securitate informatică” înseamnă o măsură tehnică sau organizatorică destinată atenuării riscurilor la adresa securității informatice.

17.

„nevoie de securitate informatică” înseamnă o definire precisă și clară a nivelurilor de confidențialitate, integritate și disponibilitate asociate cu o informație sau un sistem informatic în vederea determinării nivelului de protecție necesar.

18.

„obiectiv de securitate informatică” înseamnă o declarație de intenție pentru a contracara amenințările specificate și/sau a răspunde cerințelor sau ipotezelor specifice privind securitatea organizatorică.

19.

„plan de securitate informatică” înseamnă documentarea măsurilor de securitate informatică necesare pentru a răspunde nevoilor de securitate informatică ale unui SIC.

20.

„politica de securitate informatică” înseamnă un set de obiective de securitate informatică care sunt sau trebuie să fie stabilite, puse în aplicare și verificate. Acesta cuprinde prezenta decizie și normele sale de aplicare.

21.

„cerință de securitate informatică” înseamnă o nevoie de securitate informatică formalizată printr-un proces prestabilit.

22.

„risc la adresa securității informatice” înseamnă un efect pe care o amenințare la adresa securității informatice l-ar putea avea asupra unui SIC prin exploatarea unei vulnerabilități. Astfel, un risc la adresa securității informatice se caracterizează prin doi factori: 1. incertitudinea, adică posibilitatea ca o amenințare la adresa securității informatice să cauzeze un eveniment nedorit; și 2. impactul, adică consecințele pe care un astfel de eveniment nedorit le-ar putea avea asupra unui SIC.

23.

„standarde de securitate informatică” înseamnă măsuri de securitate informatică obligatorii și specifice, care contribuie la aplicarea și sprijinirea politicii de securitate informatică.

24.

„strategie de securitate informatică” înseamnă un set de proiecte și activități concepute pentru a atinge obiectivele Comisiei și care trebuie stabilite, puse în aplicare și verificate.

25.

„amenințare la adresa securității informatice” înseamnă un factor care poate conduce la un eveniment nedorit care poate avea un efect nefavorabil asupra unui SIC. Aceste amenințări pot fi accidentale sau deliberate și se caracterizează prin elemente amenințătoare, ținte potențiale și metode de atac.

26.

„ofițerul local de securitate informatică” sau „OLSI” înseamnă ofițerul responsabil de legătura cu un departament al Comisiei în ceea ce privește securitatea informatică.

27.

termenii „date cu caracter personal”, „prelucrarea datelor cu caracter personal”, „operator” și „sistem de evidență a datelor cu caracter personal” au același sens ca în Regulamentul (CE) nr. 45/2001 și, în special, la articolul 2.

28.

„prelucrarea informațiilor” înseamnă toate funcțiile unui SIC cu privire la seturile de date, inclusiv crearea, modificarea, afișarea, stocarea, transmiterea, ștergerea și arhivarea informațiilor. Prelucrarea informațiilor poate fi realizată de un SIC ca set de funcționalități pentru utilizatori și ca servicii informatice pentru alte SIC.

29.

„secretul profesional” înseamnă protecția informațiilor referitoare la datele de afaceri de genul celor acoperite de obligația păstrării secretului profesional, în special informațiile referitoare la întreprinderi și la relațiile lor comerciale sau la elementele de preț de cost, astfel cum se prevede la articolul 339 din TFUE.

30.

„responsabil” înseamnă o persoană care are obligația de a acționa și de a lua decizii în vederea obținerii rezultatelor necesare.

31.

„securitate în cadrul Comisiei” înseamnă securitatea persoanelor, a activelor și a informațiilor în cadrul Comisiei și, în special, integritatea fizică a persoanelor și a activelor, integritatea, confidențialitatea și disponibilitatea informațiilor și a sistemelor informatice și de comunicații, precum și desfășurarea neobstrucționată a activităților Comisiei.

32.

„serviciu informatic partajat” înseamnă serviciul pe care un SIC îl prestează pentru alte SIC în cadrul prelucrării informațiilor.

33.

„proprietar de sistem” este persoana responsabilă de achiziționarea, dezvoltarea, integrarea, modificarea, operarea, întreținerea și retragerea în ansamblu a unui SIC.

34.

„utilizator” înseamnă orice persoană care utilizează funcționalitatea furnizată de un SIC, fie în cadrul, fie în afara Comisiei.

(a)

autenticitate: garanția faptului că informațiile sunt originale și provin de la surse de bună credință;

(b)

disponibilitate: proprietatea informațiilor de a putea fi accesate și utilizate la cerere de către o entitate autorizată;

(c)

confidențialitate: proprietatea informațiilor de a nu fi divulgate persoanelor, entităților sau proceselor neautorizate;

(d)

integritate: proprietate care constă în garantarea acurateței și a exhaustivității activelor și a informațiilor;

(e)

nerepudiere: capacitatea de a dovedi că o acțiune sau un eveniment a avut loc, astfel încât acțiunea sau evenimentul în cauză să nu poată fi negate ulterior;

(f)

protecția datelor cu caracter personal: asigurarea protecției adecvate în ceea ce privește datele cu caracter personal, în deplină conformitate cu Regulamentul (CE) nr. 45/2001;

(g)

secretul profesional: protecția informațiilor de genul celor care fac obiectul obligației de păstrare a secretului profesional, în special a informațiilor referitoare la întreprinderi și la relațiile lor comerciale sau la elementele de preț de cost, astfel cum se prevede la articolul 339 din TFUE.

1.

asigură alinierea între politica de securitate informatică și politica de securitate a informațiilor din cadrul Comisiei;

2.

stabilește un cadru de autorizare a utilizării tehnologiilor de criptare pentru stocarea și comunicarea informațiilor de către SIC;

3.

informează Direcția Generală Informatică cu privire la amenințările specifice care ar putea avea un impact semnificativ asupra securității SIC și a seturilor de date pe care acestea le prelucrează;

4.

efectuează inspecții din punctul de vedere al securității informatice pentru a evalua modul în care SIC ale Comisiei respectă politica de securitate și raportează rezultatele către CDSI;

5.

stabilește un cadru pentru autorizarea accesului și normele de securitate adecvate asociate pentru SIC ale Comisiei din rețele externe și elaborează standarde și orientări de securitate informatică conexe în strânsă cooperare cu Direcția Generală Informatică;

6.

propune principii și norme pentru externalizarea SIC în vederea menținerii unui control adecvat asupra securității informațiilor;

7.

elaborează standardele și orientările de securitate informatică conexe în legătură cu articolul 6, în strânsă cooperare cu Direcția Generală Informatică.

1.

elaborează standarde și orientări de securitate informatică, mai puțin în cazurile prevăzute la articolul 6, în strânsă cooperare cu Direcția Generală Resurse Umane și Securitate, pentru a asigura consecvența între politica de securitate informatică și politica de securitate a informațiilor din cadrul Comisiei, și le propune CDSI;

2.

evaluează metodele de gestionare a riscurilor la adresa securității informatice, procesele și rezultatele aferente acestora în cadrul tuturor departamentelor Comisiei și raportează periodic CDSI cu privire la acestea;

3.

propune o strategie graduală de securitate informatică care să fie revizuită și aprobată de CDSI și adoptată, ulterior, de Consiliul pentru gestiunea corporativă, și propune un program, inclusiv planificarea de proiecte și activități de punere în aplicare a strategiei de securitate informatică;

4.

monitorizează execuția strategiei de securitate informatică a Comisiei și raportează periodic CDSI cu privire la aceasta;

5.

monitorizează riscurile la adresa securității informatice și măsurile de securitate informatică puse în aplicare în cadrul SIC și raportează periodic CDSI cu privire la aceasta;

6.

raportează periodic CDSI cu privire la aplicarea la nivel global a deciziei și la conformitatea cu aceasta;

7.

după consultarea Direcției Generale Resurse Umane și Securitate, solicită proprietarilor de sistem să ia măsuri specifice de securitate informatică pentru a atenua riscurile la adresa securității informatice în cadrul SIC ale Comisiei;

8.

asigură existența unui catalog adecvat al Direcției Generale Informatică cu serviciile de securitate informatică disponibile pentru ca proprietarii de sistem și proprietarii de date să își îndeplinească responsabilitățile cu privire la securitatea informatică și să respecte standardele și politica de securitate informatică;

9.

oferă documentație adecvată proprietarilor de sistem și proprietarilor de date și îi consultă, după caz, cu privire la măsurile de securitate informatică puse în aplicare pentru serviciile lor informatice în vederea facilitării respectării politicii de securitate informatică și a sprijinirii proprietarilor de sistem în ceea ce privește gestionarea riscurilor informatice;

10.

organizează reuniuni periodice ale rețelei OLSI și sprijină OLSI în îndeplinirea atribuțiilor lor;

11.

definește nevoile de formare și coordonează programe de formare în materie de securitate informatică în cooperare cu departamentele Comisiei și elaborează, pune în aplicare și coordonează campanii de sensibilizare referitoare la securitatea informatică în strânsă cooperare cu Direcția Generală Resurse Umane;

12.

asigură informarea proprietarilor de sistem, a proprietarilor de date și a altor părți cu responsabilități în materie de securitate informatică din departamentele Comisiei, cu privire la politica de securitate informatică;

13.

informează Direcția Generală Resurse Umane și Securitate cu privire la amenințările specifice la adresa securității informatice, la incidente și la excepții de la politica de securitate informatică a Comisiei, notificate de proprietarii de sistem, care ar putea avea un impact semnificativ asupra securității în cadrul Comisiei;

14.

în ceea ce privește rolul său de furnizor intern de servicii informatice, oferă Comisiei un catalog al serviciilor informatice partajate care asigură nivelurile de securitate stabilite. Aceasta se va realiza prin evaluarea, gestionarea și monitorizarea sistematică a riscurilor la adresa securității informatice, pentru a pune în aplicare măsurile de securitate în vederea atingerii nivelului de securitate stabilit.

1.

numește în mod oficial un proprietar de sistem, care este un agent oficial sau temporar, pentru fiecare SIC, care va fi responsabil de securitatea informatică a SIC respectiv și numește în mod oficial un proprietar de date pentru fiecare set de date prelucrat într-un SIC, care ar trebui să aparțină de aceeași entitate administrativă, care este operatorul de date pentru seturile de date vizate de Regulamentul (CE) nr. 45/2001;

2.

desemnează în mod oficial un ofițer local de securitate informatică (OLSI), care poate îndeplini responsabilitățile independent de proprietarii de sistem și proprietarii de date. Un OLSI poate fi desemnat pentru unul sau mai multe departamente ale Comisiei;

3.

asigură efectuarea și punerea în aplicare a evaluărilor adecvate ale riscurilor la adresa securității informatice și a planurilor de securitate informatică;

4.

asigură că, periodic, un rezumat al riscurilor la adresa securității informatice și al măsurilor este raportat Direcției Generale Informatică;

5.

asigură, cu sprijinul Direcției Generale Informatică, instituirea proceselor, procedurilor și soluțiilor adecvate pentru a asigura detectarea, raportarea și soluționarea eficientă a incidentelor de securitate informatică legate de SIC ale acestora;

6.

lansează o procedură de urgență în caz de urgențe în materie de securitate informatică;

7.

deține răspunderea în ultimă instanță pentru securitatea informatică, inclusiv responsabilități în calitate de proprietar de sistem și proprietar de date;

8.

își asumă riscurile legate de SIC și de seturile de date;

9.

soluționează dezacordurile dintre proprietarii de date și proprietarii de sistem și, în cazul unui dezacord prelungit, prezintă chestiunea în fața CDSI pentru soluționare;

10.

asigură punerea în aplicare a planurilor de securitate informatică și a măsurilor de securitate informatică și acoperirea adecvată a riscurilor;

(a)

asigură conformitatea SIC cu politica de securitate informatică;

(b)

asigură înregistrarea corectă a SIC în inventarul relevant;

(c)

evaluează riscurile la adresa securității informatice și determină nevoile de securitate informatică pentru fiecare SIC, în colaborare cu proprietarii de date și în consultare cu Direcția Generală Informatică;

(d)

elaborează un plan de securitate, incluzând, după caz, detalii ale riscurilor evaluate și orice măsuri de securitate suplimentare necesare;

(e)

pune în aplicare măsurile de securitate informatică adecvate, proporționale cu riscurile la adresa securității informatice identificate și urmează recomandările susținute de CDSI;

(f)

identifică orice dependențe de alte SIC sau servicii informatice partajate și pune în aplicare măsuri de securitate, după caz, bazate pe nivelurile de securitate propuse de către SIC sau serviciile informatice partajate respective;

(g)

gestionează și monitorizează riscurile la adresa securității informatice;

(h)

raportează cu regularitate șefului departamentului Comisiei cu privire la profilul riscurilor la adresa securității informatice a SIC și raportează Direcției Generale Informatică cu privire la riscurile conexe, activitățile de management al riscurilor și măsurile de securitate adoptate;

(i)

consultă OLSI din cadrul departamentului (departamentelor) relevant(e) al(e) Comisiei cu privire la aspecte ale securității informatice;

(j)

emite instrucțiuni pentru utilizatori privind utilizarea SIC și a datelor asociate, precum și responsabilitățile utilizatorilor în ceea ce privește SIC;

(k)

solicită autorizarea din partea Direcției Generale Resurse Umane și Securitate, în calitate de autoritate în materie criptografică, pentru orice SIC care utilizează tehnologie de criptare;

(l)

consultă în prealabil Autoritatea de securitate a Comisiei cu privire la orice sistem care prelucrează informații UE clasificate;

(m)

asigură stocarea copiilor de rezervă ale cheilor de decriptare într-un cont de garanție. Recuperarea datelor criptate se efectuează numai atunci când este autorizată, conform cadrului stabilit de Direcția Generală Resurse Umane și Securitate;

(n)

respectă orice instrucțiuni de la operatorii de date relevanți referitoare la protejarea datelor cu caracter personal și la aplicarea normelor de protecție a datelor în legătură cu securitatea prelucrării;

(o)

notifică Direcției Generale Informatică orice excepții de la politica de securitate informatică a Comisiei, inclusiv justificările relevante;

(p)

raportează șefului departamentului din cadrul Comisiei orice dezacorduri care nu pot fi soluționate între proprietarul de date și proprietarul de sistem, comunică incidentele de securitate informatică părților interesate relevante în timp util, în funcție de gravitatea acestora, astfel cum se prevede la articolul 15;

(q)

pentru sistemele externalizate, asigură includerea dispozițiilor adecvate privind securitatea informatică în contractele de externalizare, precum și raportarea incidentelor de securitate informatică care au loc în SIC externalizate, în conformitate cu articolul 15;

(r)

pentru SIC care oferă servicii informatice partajate, asigură garantarea unui nivel de securitate stabilit, punerea în aplicare de măsuri de securitate clar documentate pentru SIC respectiv, în vederea atingerii nivelului de securitate stabilit.

(a)

asigură clasificarea adecvată a tuturor seturilor de date aflate în responsabilitatea sa, în conformitate cu deciziile (UE, Euratom) 2015/443 și (UE, Euratom) 2015/444;

(b)

definește nevoile de securitate a informațiilor și informează proprietarii de sistem relevanți cu privire la aceste nevoi;

(c)

participă la evaluarea riscurilor la adresa SIC;

(d)

raportează șefului departamentului Comisiei orice dezacorduri care nu pot fi soluționate între proprietarul de date și proprietarul de sistem;

(e)

comunică incidentele de securitate informatică, astfel cum se prevede la articolul 15;

(a)

identifică și informează în mod proactiv proprietarii de sistem, proprietarii de date și alte părți cu responsabilități în materie de securitate informatică din cadrul departamentului (departamentelor) Comisiei cu privire la politica de securitate informatică;

(b)

asigură legătura cu Direcția Generală Informatică cu privire la aspectele referitoare la securitatea informatică din cadrul departamentului (departamentelor) Comisiei, ca parte a rețelei OLSI;

(c)

participă la ședințele OLSI periodice;

(d)

păstrează o imagine de ansamblu asupra proceselor de management al riscurilor la adresa securității informațiilor și asupra elaborării și aplicării planurilor de securitate a sistemelor de informații;

(e)

oferă consiliere proprietarilor de date, proprietarilor de sistem și șefilor departamentelor Comisiei cu privire la aspecte legate de securitatea informatică;

(f)

cooperează cu Direcția Generală Informatică în ceea ce privește diseminarea bunelor practici în materie de securitate informatică și propune programe specifice de sensibilizare și de formare;

(g)

raportează șefului departamentului (departamentelor) Comisiei cu privire la securitatea informatică și identifică deficiențele și posibilitățile de îmbunătățire, pe care le transmite acestuia.

(a)

respectă politica de securitate informatică și instrucțiunile emise de proprietarul de sistem cu privire la utilizarea fiecărui SIC;

(b)

comunică incidentele de securitate informatică, astfel cum se prevede la articolul 15.

(a)

are dreptul de a accesa informații sumare cu privire la toate registrele de incidente și la registrele complete, la cerere;

(b)

participă la grupurile de gestionare a crizelor cauzate de incidentele de securitate informatică și la procedurile de urgență în domeniul securității informatice;

(c)

este responsabilă de relațiile cu serviciile de aplicare a legii și de informații;

(d)

efectuează analize criminalistice în materie de securitate cibernetică în conformitate cu articolul 11 din Decizia (UE, Euratom) 2015/443;

(e)

decide cu privire la nevoia de a lansa o anchetă oficială;

(f)

informează Direcția Generală Informatică cu privire la orice incidente de securitate informatică care pot prezenta riscuri pentru alte SIC.

(a)

notifică imediat șefii departamentelor Comisiei, Direcția Generală Informatică, Direcția Generală Resurse Umane, OLSI și, după caz, proprietarul de date cu privire la incidentele de securitate informatică majore, în special la cele care implică încălcarea confidențialității datelor;

(b)

cooperează cu autoritățile relevante din cadrul Comisiei și respectă instrucțiunile acestora cu privire la comunicare, răspuns și remediere în caz de incidente.