5.5.2010

SK

Úradný vestník Európskej únie

L 112/31

---

ROZHODNUTIE KOMISIE

zo 4. mája 2010

o bezpečnostnom pláne pre centrálny SIS II a komunikačnú infraštruktúru

(2010/261/EÚ)

EURÓPSKA KOMISIA,

so zreteľom na Zmluvu o fungovaní Európskej únie,

so zreteľom na nariadenie Európskeho parlamentu a Rady (ES) č. 1987/2006 z 20. decembra 2006 o zriadení, prevádzke a využívaní Schengenského informačného systému druhej generácie (SIS II) (1), a najmä na jeho článok 16,

so zreteľom na rozhodnutie Rady 2007/533/SVV z 12. júna 2007 o zriadení, prevádzke a využívaní Schengenského informačného systému druhej generácie (SIS II) (2), a najmä na jeho článok 16,

keďže:

(1)	V článku 16 nariadenia (ES) č. 1987/2006 a v článku 16 rozhodnutia Rady 2007/533/SVV sa ustanovuje, že riadiaci orgán vo vzťahu k centrálnemu SIS II a Komisia vo vzťahu ku komunikačnej infraštruktúre prijmú potrebné opatrenia vrátane prijatia bezpečnostného plánu.

(2)	V článku 15 ods. 4 nariadenia (ES) č. 1987/2006 a v článku 15 ods. 4 rozhodnutia Rady 2007/533/SVV sa ustanovuje, že počas prechodného obdobia, kým si riadiaci orgán nezačne plniť svoje povinnosti, je za prevádzkové riadenie centrálneho SIS II zodpovedná Komisia.

(3)	Keďže riadiaci orgán ešte nebol zriadený, bezpečnostný plán, ktorý má Komisia prijať, sa má vzťahovať aj na centrálny SIS II počas prechodného obdobia.

(4)	Nariadenie Európskeho parlamentu a Rady (ES) č. 45/2001 (3) sa vzťahuje na spracovanie osobných údajov Komisiou pri plnení jej povinností v rámci prevádzkového riadenia SIS II.

(5)

V článku 15 ods. 7 nariadenia (ES) č. 1987/2006 a v článku 15 ods. 7 rozhodnutia 2007/533/SVV sa ustanovuje, že v prípade, že Komisia počas prechodného obdobia, kým si riadiaci orgán nezačne plniť svoje povinnosti, prenesie svoje úlohy, zabezpečí, aby takéto prenesenie neovplyvnilo nepriaznivým spôsobom akýkoľvek účinný kontrolný mechanizmus v rámci právnych predpisov Únie, či už prostredníctvom Súdneho dvora, Dvora audítorov, alebo európskeho dozorného úradníka pre ochranu údajov.

(6)	Riadiaci orgán by mal v súvislosti s centrálnym SIS II po prevzatí svojich povinností prijať vlastný bezpečnostný plán. Tento bezpečnostný plán by mal preto po prevzatí povinností riadiacim orgánom zaniknúť v rozsahu, v akom sa vzťahuje na centrálny systém SIS II.

(7)

V článku 4 ods. 3 nariadenia (ES) č. 1987/2006 a v článku 4 ods. 3 rozhodnutia 2007/533/SVV sa ustanovuje, že CS-SIS, ktorá vykonáva technický dohľad a správu, sa nachádza v Štrasburgu (Francúzsko) a záložná CS-SIS, ktorá je schopná zabezpečiť všetky funkcie hlavnej CS-SIS v prípade zlyhania tohto systému, sa nachádza v Sankt Johann im Pongau (Rakúsko).

(8)

V bezpečnostnom pláne by sa malo počítať s jedným pracovníkom zodpovedným za bezpečnosť systému, ktorý vykonáva úlohy súvisiace s bezpečnosťou vo vzťahu k centrálnemu SIS II, ako aj ku komunikačnej infraštruktúre, a s dvoma miestnymi bezpečnostnými pracovníkmi vykonávajúcimi úlohy súvisiace s bezpečnosťou vo vzťahu k centrálnemu SIS II, ako aj ku komunikačnej infraštruktúre. S cieľom zabezpečiť účinnú a rýchlu reakciu na bezpečnostné incidenty a ich vykazovanie je potrebné určiť úlohy bezpečnostných pracovníkov.

(9)	Mala by sa vypracovať bezpečnostná politika opisujúca všetky technické a organizačné podrobnosti v súlade s ustanoveniami tohto rozhodnutia.

(10)	Mali by sa stanoviť opatrenia zamerané na zaistenie primeranej úrovne bezpečnosti prevádzky centrálneho SIS II a komunikačnej infraštruktúry,

PRIJALA TOTO ROZHODNUTIE:

KAPITOLA I

VŠEOBECNÉ USTANOVENIA

Článok 1

Predmet

1.   Týmto rozhodnutím sa zriaďuje bezpečnostná organizácia a opatrenia (bezpečnostný plán) na ochranu centrálneho SIS II a údajov ním spracovaných pred ohrozeniami ich dostupnosti, integrity a dôvernosti v zmysle článku 16 ods. 1 nariadenia (ES) č. 1987/2006 a článku 16 ods. 1 rozhodnutia 2007/533/SVV o zriadení, prevádzke a využívaní druhej generácie Schengenského informačného systému (SIS II) počas prechodného obdobia, kým riadiaci orgán nezačne plniť svoje povinnosti.

2.   Týmto rozhodnutím sa zriaďuje bezpečnostná organizácia a opatrenia (bezpečnostný plán) na ochranu komunikačnej infraštruktúry pred ohrozeniami ich dostupnosti, integrity a dôvernosti v zmysle článku 16 nariadenia (ES) č. 1987/2006 a článku 16 rozhodnutia 2007/533/SVV o zriadení, prevádzke a využívaní druhej generácie Schengenského informačného systému (SIS II).

KAPITOLA II

ORGANIZÁCIA, POVINNOSTI A RIADENIE INCIDENTOV

Článok 2

Úlohy Komisie

1.   Komisia zavedie bezpečnostné opatrenia pre centrálny SIS II uvedený v tomto rozhodnutí a monitoruje ich účinnosť.

2.   Komisia zavedie bezpečnostné opatrenia pre komunikačnú infraštruktúru uvedené v tomto rozhodnutí a monitoruje ich účinnosť.

3.   Komisia určí spomedzi svojich zamestnancov pracovníka zodpovedného za bezpečnosť systému. Pracovníka zodpovedného za bezpečnosť systému vymenúva generálny riaditeľ Generálneho riaditeľstva pre spravodlivosť, slobodu a bezpečnosť Európskej komisie. Medzi úlohy pracovníka zodpovedného za bezpečnosť patrí najmä:

a)	príprava bezpečnostnej politiky, ako je opísaná v článku 7 tohto rozhodnutia;

b)	monitorovanie účinnosti realizácie bezpečnostných postupov centrálneho SIS II;

c)	monitorovanie účinnosti realizácie bezpečnostných postupov komunikačnej infraštruktúry;

d)	prispievanie k príprave správ v súvislosti s bezpečnosťou v zmysle článku 50 nariadenia (ES) č. 1987/2006 a v článku 66 rozhodnutia 2007/533/SVV;

e)

koordinácia a podpora pri kontrolách a auditoch vykonávaných európskym dozorným úradníkom pre ochranu údajov, uvedených v článku 45 nariadenia (ES) č. 1987/2006 a v článku 61 rozhodnutia 2007/533/SVV, ako aj oznamovanie incidentov v zmysle článku 5 ods. 2 úradníkovi pre ochranu údajov Európskej komisie;

f)	monitorovanie riadneho a úplného uplatňovania tohto rozhodnutia a bezpečnostnej politiky každým dodávateľom vrátane subdodávateľov, ktorí sa akýmkoľvek spôsobom zúčastňujú na riadení centrálneho SIS II;

g)	monitorovanie riadneho a úplného uplatňovania tohto rozhodnutia a bezpečnostnej politiky každým dodávateľom vrátane subdodávateľov, ktorí sa akýmkoľvek spôsobom zúčastňujú na riadení komunikačnej infraštruktúry;

h)	vedenie zoznamu jednotlivých národných kontaktných miest pre bezpečnosť SIS II a jeho spoločné používanie s miestnym bezpečnostným pracovníkom pre komunikačnú infraštruktúru;

i)	spoločné používanie zoznamu uvedeného pod písmenom h) s miestnym bezpečnostným pracovníkom pre centrálny SIS II.

Článok 3

Miestny bezpečnostný pracovník pre centrálny SIS II

1.   Komisia určí miestneho bezpečnostného pracovníka pre centrálny SIS II spomedzi úradníkov Komisie bez toho, aby bol dotknutý článok 8. Treba zabrániť konfliktom záujmov medzi povinnosťami miestneho bezpečnostného pracovníka a inými úradnými povinnosťami. Miestneho bezpečnostného pracovníka pre centrálny SIS II vymenúva generálny riaditeľ Generálneho riaditeľstva pre spravodlivosť, slobodu a bezpečnosť Európskej komisie.

2.   Miestny bezpečnostný úradník pre centrálny SIS II zabezpečí, že v hlavnej CS-SIS sa vykonávajú bezpečnostné opatrenia uvedené v tomto rozhodnutí a že sa dodržiavajú bezpečnostné postupy. Miestny bezpečnostný pracovník pre centrálny SIS II zabezpečí, že v súvislosti so záložným CS-SIS sa vykonávajú bezpečnostné opatrenia uvedené v tomto rozhodnutí okrem tých opatrení, ktoré sú uvedené v článku 9, a že sa dodržiavajú súvisiace bezpečnostné postupy.

3.   Miestny bezpečnostný pracovník pre centrálny SIS II môže poveriť plnením svojich úloh niektorého zo svojich podriadených pracovníkov. Treba zabrániť konfliktom záujmov medzi povinnosťou plniť si tieto úlohy a inými úradnými povinnosťami. Jedno kontaktné telefónne číslo a adresa umožnia kedykoľvek spojenie s miestnym bezpečnostným pracovníkom alebo s jeho či jej podriadeným.

4.   Miestny bezpečnostný pracovník pre centrálny SIS II plní úlohy vyplývajúce z bezpečnostných opatrení, ktoré sa majú prijať v priestoroch, kde je umiestnená hlavná CS-SIS a záložná CS-SIS v rámci vymedzení uvedených v odseku 1, a to najmä:

a)	miestne prevádzkové bezpečnostné úlohy vrátane firewall auditu, pravidelného bezpečnostného testovania, auditu a podávania správ;

b)	monitorovanie účinnosti plánu na zabezpečenie kontinuity činnosti a zabezpečenie vykonávania pravidelných cvičení;

c)	zabezpečenie dôkazov o akomkoľvek incidente v centrálnom SIS II, ktorý môže mať dosah na bezpečnosť centrálneho SIS II alebo komunikačnú infraštruktúru, a podávanie správ o incidente pracovníkovi zodpovednému za bezpečnosť systému;

d)	informovanie pracovníka zodpovedného za bezpečnosť systému, ak je potrebné zmeniť a doplniť bezpečnostnú politiku;

e)	monitorovanie uplatňovania tohto rozhodnutia a bezpečnostnej politiky každým dodávateľom vrátane subdodávateľov, ktorí sa akýmkoľvek spôsobom zúčastňujú na prevádzkovom riadení centrálneho SIS II;

f)	zabezpečenie, že pracovníci poznajú svoje povinnosti, a monitorovanie uplatňovania bezpečnostnej politiky;

g)	monitorovanie vývoja bezpečnosti IT a zabezpečenie primeranej odbornej prípravy pracovníkov;

h)	príprava podkladových informácií a možností na vytvorenie, aktualizáciu a revíziu bezpečnostnej politiky v súlade s článkom 7.

Článok 4

Miestny bezpečnostný pracovník pre komunikačnú infraštruktúru

1.   Komisia určí miestneho bezpečnostného pracovníka pre komunikačnú infraštruktúru spomedzi úradníkov Komisie bez toho, aby bol dotknutý článok 8. Treba zabrániť konfliktom záujmov medzi povinnosťami miestneho bezpečnostného pracovníka a inými úradnými povinnosťami. Miestneho bezpečnostného pracovníka pre komunikačnú infraštruktúru vymenúva generálny riaditeľ Generálneho riaditeľstva pre spravodlivosť, slobodu a bezpečnosť Komisie.

2.   Miestny bezpečnostný pracovník pre komunikačnú infraštruktúru monitoruje fungovanie komunikačnej infraštruktúry a zabezpečuje vykonávanie bezpečnostných opatrení a dodržiavanie bezpečnostných postupov.

3.   Miestny bezpečnostný pracovník pre komunikačnú infraštruktúru môže poveriť plnením akýchkoľvek svojich úloh niektorého zo svojich podriadených pracovníkov. Treba zabrániť konfliktom záujmov medzi povinnosťou vykonávať tieto úlohy a inými úradnými povinnosťami. Jedno kontaktné telefónne číslo a adresa umožnia kedykoľvek spojenie s miestnym bezpečnostným pracovníkom alebo s jeho či jej podriadeným.

4.   Miestny bezpečnostný pracovník pre komunikačnú infraštruktúru plní úlohy vyplývajúce z bezpečnostných opatrení, ktoré sa majú vykonať na komunikačnej infraštruktúre, a to najmä:

a)	všetky prevádzkové bezpečnostné úlohy súvisiace s komunikačnou infraštruktúrou vrátane firewall auditu, pravidelného bezpečnostného testovania, auditu a podávania správ;

b)	monitorovanie účinnosti plánu na zabezpečenie kontinuity činnosti a zabezpečenie vykonávania pravidelných cvičení;

c)	zabezpečenie dôkazov o akomkoľvek incidente, ktorý vznikol v komunikačnej infraštruktúre a môže mať dosah na bezpečnosť centrálneho SIS II alebo komunikačnej infraštruktúry, a podávanie správ o incidente pracovníkovi zodpovednému za bezpečnosť systému;

d)	informovanie pracovníka zodpovedného za bezpečnosť systému, ak je potrebné zmeniť a doplniť bezpečnostnú politiku;

e)	monitorovanie uplatňovania tohto rozhodnutia a bezpečnostnej politiky každým dodávateľom vrátane subdodávateľov, ktorí sa akýmkoľvek spôsobom zúčastňujú na riadení komunikačnej infraštruktúry;

f)	zabezpečenie, že pracovníci poznajú svoje povinnosti, a monitorovanie uplatňovania bezpečnostnej politiky;

g)	monitorovanie vývoja bezpečnosti IT a zabezpečenie primeranej odbornej prípravy pracovníkov;

h)	príprava podkladových informácií a možností na vytvorenie, aktualizáciu a revíziu bezpečnostnej politiky v súlade s článkom 7.

Článok 5

Bezpečnostné incidenty

1.   Akákoľvek udalosť, ktorá má alebo môže mať vplyv na bezpečnosť SIS II a môže spôsobiť poškodenie alebo stratu SIS II, sa považuje za bezpečnostný incident, a to najmä v prípade, ak mohlo dôjsť k prístupu k údajom, alebo v prípade, ak došlo alebo by mohlo dôjsť k ohrozeniu dostupnosti, integrity a dôvernosti údajov.

2.   Riadenie bezpečnostných incidentov má zabezpečiť rýchlu, účinnú a správnu reakciu v súlade s bezpečnostnou politikou. Stanovia sa postupy na obnovu po incidente.

3.   Informácie týkajúce sa bezpečnostného incidentu, ktorý má alebo môže mať vplyv na prevádzku SIS II v členskom štáte alebo na dostupnosť, integritu a dôvernosť údajov vložených alebo zaslaných členským štátom, sa poskytujú príslušným členským štátom. Bezpečnostné incidenty sa oznamujú úradníkovi pre ochranu údajov Komisie.

Článok 6

Riadenie incidentov

1.   Všetci zamestnanci a dodávatelia, ktorí sa podieľajú na vývoji, riadení alebo prevádzkovaní SIS II, sú povinní zaznamenať a ohlásiť akékoľvek zistené alebo predpokladané bezpečnostné nedostatky v komunikačnej infraštruktúre pracovníkovi zodpovednému za bezpečnosť systému alebo miestnemu bezpečnostnému pracovníkovi pre komunikačnú infraštruktúru.

2.   V prípade zistenia akéhokoľvek incidentu, ktorý má alebo môže mať vplyv na bezpečnosť SIS II, miestny bezpečnostný pracovník pre komunikačnú infraštruktúru bezodkladne informuje pracovníka zodpovedného za bezpečnosť systému a v prípade, ak je to primerané, príslušné národné kontaktné miesto pre bezpečnosť SIS II, ak takéto kontaktné miesto existuje v členskom štáte, a to písomne alebo v prípade mimoriadnej naliehavosti prostredníctvom iných komunikačných kanálov. Správa obsahuje opis bezpečnostného incidentu, úroveň rizika, možné dôsledky a opatrenia, ktoré sa prijali alebo by sa mali prijať na zmiernenie rizika.

3.   Miestny bezpečnostný pracovník pre komunikačnú infraštruktúru okamžite zaistí všetky dôkazy v súvislosti s bezpečnostným incidentom. Takéto dôkazy sa pracovníkovi zodpovednému za bezpečnosť systému sprístupnia na jeho požiadanie v rozsahu, ktorý umožňujú platné predpisy o ochrane údajov.

4.   Postupy spätnej väzby ustanovuje bezpečnostná politika s cieľom zabezpečiť, aby sa informácie o type, manipulácii a výsledku bezpečnostného incidentu oznámili pracovníkovi zodpovednému za bezpečnosť systému a miestnemu bezpečnostnému pracovníkovi pre komunikačnú infraštruktúru po vyriešení a ukončení incidentu.

5.   Odseky 1 až 4 sa vzťahujú mutatis mutandis na mimoriadne udalosti v centrálnom SIS II. V tomto rozsahu treba akýkoľvek odkaz na miestneho bezpečnostného pracovníka pre komunikačnú infraštruktúru v odsekoch 1 až 4 chápať ako odkaz na miestneho bezpečnostného pracovníka pre centrálny SIS II.

KAPITOLA III

BEZPEČNOSTNÉ OPATRENIA

Článok 7

Bezpečnostná politika

1.   Generálny riaditeľ Generálneho riaditeľstva pre spravodlivosť, slobodu a bezpečnosť vytvára, aktualizuje a pravidelne prehodnocuje záväznú bezpečnostnú politiku v súlade s týmto rozhodnutím. V bezpečnostnej politike sa ustanovujú podrobné postupy a opatrenia na ochranu pred ohrozeniami dostupnosti, integrity a dôvernosti komunikačnej infraštruktúry vrátane núdzového plánovania s cieľom zabezpečiť primeranú úroveň bezpečnosti v zmysle tohto rozhodnutia. Je potrebné zabezpečiť súlad bezpečnostnej politiky s týmto rozhodnutím.

2.   Bezpečnostná politika vyplýva z posúdenia rizík. Opatrenia opísané bezpečnostnou politikou zodpovedajú identifikovaným rizikám.

3.   Posúdenie rizík a bezpečnostná politika sa aktualizujú, ak si to vyžadujú technologické zmeny, identifikácia nových hrozieb alebo akékoľvek iné okolnosti. Bezpečnostná politika sa v každom prípade prehodnocuje každoročne s cieľom zaručiť, že naďalej predstavuje primeranú reakciu na posledné posúdenie rizík alebo akúkoľvek novoidentifikovanú technologickú zmenu, hrozbu alebo iné relevantné okolnosti.

4.   Pracovník zodpovedný za bezpečnosť systému v súčinnosti s miestnym bezpečnostným pracovníkom pre centrálny SIS II a s miestnym bezpečnostným pracovníkom pre komunikačnú infraštruktúru vypracuje bezpečnostnú politiku.

5.   Odseky 1 až 4 sa vzťahujú mutatis mutandis na bezpečnostnú politiku pre centrálny SIS II. V tomto rozsahu treba akýkoľvek odkaz na miestneho bezpečnostného pracovníka pre komunikačnú infraštruktúru v odsekoch 1 až 4 chápať ako odkaz na miestneho bezpečnostného pracovníka pre centrálny SIS II.

Článok 8

Vykonávanie bezpečnostných opatrení

1.   Plnenie úloh a požiadaviek ustanovených v tomto rozhodnutí a v bezpečnostnej politike vrátane úlohy vymenovať miestneho bezpečnostného pracovníka sa môže zabezpečiť externe alebo sa môžu poveriť súkromné či verejné orgány.

2.   V tomto prípade Komisia zabezpečí prostredníctvom právne záväznej dohody, že požiadavky ustanovené v tomto rozhodnutí a v bezpečnostnej politike sa v plnej miere dodržiavajú. V prípade delegovania úlohy vymenovať miestneho bezpečnostného pracovníka alebo jej externého zabezpečenia Komisia zaručí prostredníctvom právne záväznej dohody, že o výbere osoby určenej za miestneho bezpečnostného pracovníka sa s ňou bude konzultovať.

Článok 9

Kontrola prístupu k zariadeniam

1.   Na ochranu priestorov, kde sa nachádzajú zariadenia na spracovanie údajov, sa použije zabezpečenie obvodu primeranými prekážkami a vstupné kontroly.

2.   V rámci bezpečnostného obvodu sa vymedzia bezpečné zóny na ochranu fyzických prvkov (majetku) vrátane hardvéru, nosičov údajov a konzol, plánov a ostatných dokumentov o SIS II, ako aj kancelárií a ďalších pracovísk pracovníkov zapojených do prevádzky SIS II. Tieto bezpečné zóny sú chránené primeranými vstupnými kontrolami, aby sa zaručilo, že len oprávnení pracovníci majú povolený prístup. Na prácu v bezpečných zónach sa vzťahujú podrobné bezpečnostné pravidlá uvedené v bezpečnostnej politike.

3.   Fyzické zabezpečenie kancelárií, miestností a zariadení sa plánuje a inštaluje vopred. Prístupové body, ako sú zásobovacie a nakladacie zóny a ďalšie miesta, kde môžu do priestorov vstupovať neoprávnené osoby, sa kontrolujú a podľa možnosti sú izolované od zariadení na spracovanie údajov, aby sa zabránilo neoprávnenému prístupu.

4.   Fyzická ochrana bezpečnostného obvodu proti škodám spôsobeným prírodnou katastrofou alebo katastrofou spôsobenou človekom je navrhnutá a použitá primerane k riziku.

5.   Zariadenia musia byť chránené pred fyzickými a environmentálnymi hrozbami a možnosťami neoprávneného prístupu.

6.   Komisia doplní do zoznamu uvedeného v článku 2 ods. 3 písm. h) jednotlivé kontaktné miesta na monitorovanie vykonávania ustanovení tohto článku v priestoroch, kde sa nachádza záložná CS-SIS, ak má tieto informácie k dispozícii.

Článok 10

Kontrola nosičov údajov a majetku

1.   Odstrániteľné nosiče s údajmi sú chránené pred neoprávneným prístupom, zneužitím alebo poškodením a ich čitateľnosť je zaručená počas celého obdobia životnosti údajov.

2.   Nepotrebné nosiče sa zneškodňujú bezpečným a neohrozujúcim spôsobom v súlade s podrobnými postupmi, ktoré sa stanovia v bezpečnostnej politike.

3.   Súpisy zabezpečujú, že informácie o miestach uloženia, príslušných lehotách uchovávania a povoleniach na prístup sú k dispozícii.

4.   Všetok dôležitý majetok komunikačnej infraštruktúry je označený tak, aby mohol byť chránený podľa svojho významu. Vedie sa aktuálny register relevantnej informačnej techniky.

5.   K dispozícii je aktuálna dokumentácia komunikačnej infraštruktúry. Táto dokumentácia musí byť chránená pred neoprávneným prístupom.

6.   Odseky 1 až 5 sa vzťahujú mutatis mutandis na centrálny SIS II. V tomto rozsahu sa akýkoľvek odkaz na komunikačnú infraštruktúru chápe ako odkaz na centrálny SIS II.

Článok 11

Kontrola uloženia

1.   Prijmú sa vhodné opatrenia na zabezpečenie riadneho uloženia údajov a zabránenie neoprávnenému prístupu.

2.   Všetky časti zariadenia s pamäťovými nosičmi sa kontrolujú, aby sa zabezpečilo, že citlivé údaje sa pred likvidáciou odstránia alebo úplne prepíšu, alebo sa bezpečne zničia.

Článok 12

Kontrola hesiel

1.   Všetky heslá sa uchovávajú bezpečným spôsobom a považujú sa za dôverné. V prípade podozrenia zo zverejnenia hesla je potrebné heslo okamžite zmeniť alebo používateľský účet treba zablokovať. Používajú sa jedinečné a individuálne používateľské identity.

2.   Bezpečnostná politika definuje postupy na prihlásenie a odhlásenie, aby sa zabránilo neoprávnenému prístupu.

Článok 13

Kontrola prístupu

1.   V rámci bezpečnostnej politiky sa vytvorí formálny postup registrovania a zrušenia registrovania zamestnancov na účely povolenia a zrušenia prístupu k hardvéru a softvéru SIS II na účely prevádzkového riadenia. Pridelenie a použitie primeraných prístupových poverení (heslá alebo iné vhodné prostriedky) sa kontroluje pomocou formálneho riadiaceho postupu uvedeného v bezpečnostnej politike.

2.   Prístup k hardvéru a softvéru SIS II v CS-SIS:

i)	sa obmedzuje na oprávnené osoby;

ii)	sa obmedzuje na prípady, keď možno určiť legitímny účel v súlade s článkom 45 nariadenia (ES) č. 1987/2006 a článkom 61 rozhodnutia 2007/533/SVV alebo s článkom 50 ods. 2 nariadenia (ES) č. 1987/2006 a článkom 66 ods. 2 rozhodnutia 2007/533/SVV;

iii)	neprekročí obdobie trvania a rozsah, ktoré sú potrebné na účel prístupu, a

iv)	prebieha len v súlade s politikou riadenia prístupu, ktorá sa ustanoví v bezpečnostnej politike.

3.   V centrálnej CS-SIS sa používajú len konzoly a softvér povolený miestnym bezpečnostným pracovníkom pre centrálny SIS II. Používanie systémových nástrojov, prostredníctvom ktorých by bolo možné obísť systém a aplikačné kontroly, je obmedzené a kontrolované. Je potrebné zaviesť postupy na kontrolu inštalácie softvéru.

Článok 14

Kontrola prenosu údajov

Komunikačná infraštruktúra sa monitoruje, aby sa zabezpečila dostupnosť, integrita a dôvernosť výmeny informácií. Na ochranu prenášaných údajov v komunikačnej infraštruktúre sa používajú šifrovacie prostriedky.

Článok 15

Kontrola vstupov

Účty osôb s oprávneným prístupom k softvéru SIS II z CS-SIS monitoruje miestny bezpečnostný pracovník pre centrálny SIS II. Použitie týchto účtov vrátane času a identity užívateľov sa zaznamenáva.

Článok 16

Kontrola prepravy

1.   V rámci bezpečnostnej politiky sa ustanovia primerané opatrenia na zabránenie neoprávneného čítania, kopírovania, upravovania alebo vymazania osobných údajov počas prenosu do SIS II alebo z neho alebo počas prepravy údajových nosičov. Bezpečnostná politika uvádza ustanovenia týkajúce sa prípustných spôsobov odoslania alebo prepravy, ako aj postupov týkajúcich sa zodpovednosti pri preprave položiek a ich doručenia na miesto určenia. Nosiče s údajmi neobsahujú žiadne iné údaje ako tie, ktoré sa majú odoslať.

2.   Služby poskytované tretími osobami, zahŕňajúce prístup, spracovanie, prenos alebo spravovanie zariadení na spracovanie údajov alebo pridávanie produktov či služieb k zariadeniam na spracovanie údajov, podliehajú zodpovedajúcim integrovaným bezpečnostným kontrolám.

Článok 17

Bezpečnosť komunikačnej infraštruktúry

1.   Komunikačná infraštruktúra sa primerane spravuje a kontroluje, aby sa ochránila pred hrozbami a aby sa zaručila bezpečnosť samotnej komunikačnej infraštruktúry a centrálneho SIS II vrátane údajov, ktorých výmenu sprostredkúva.

2.   Bezpečnostné charakteristiky, úrovne služieb a požiadavky na riadenie všetkých sieťových služieb sa určia v dohode o sieťových službách s poskytovateľom služby.

3.   Okrem ochrany prístupových bodov SIS II sa tiež chráni akákoľvek ďalšia služba používaná komunikačnou infraštruktúrou. V bezpečnostnej politike sa stanovia primerané opatrenia.

Článok 18

Monitorovanie

1.   Zápisy, na ktorých sa zaznamenávajú informácie uvedené v článku 18 ods. 1 nariadenia (ES) č. 1987/2006 a v článku 18 ods. 1 rozhodnutia 2007/533/SVV o každom prístupe a všetkých výmenách osobných údajov v rámci CS-SIS, sú bezpečne uložené v priestoroch, kde sa nachádza hlavná CS-SIS a záložná CS-SIS, a sú z nich prístupné počas maximálneho obdobia uvedeného v článku 18 ods. 3 nariadenia (ES) č. 1987/2006 a v článku 18 ods. 3 rozhodnutia 2007/533/SVV.

2.   Postupy monitorovania použitia alebo porúch zariadení na spracovanie údajov sú uvedené v bezpečnostnej politike a výsledky monitorovacích aktivít sa pravidelne prehodnocujú. Ak je to potrebné, prijmú sa primerané opatrenia.

3.   Zariadenia na zaznamenávanie a zápisy sú chránené pred manipuláciou a neoprávneným prístupom, aby sa dodržali požiadavky na zhromažďovanie a uchovávanie dôkazov počas obdobia ich uchovávania.

Článok 19

Šifrovacie opatrenia

Na ochranu informácií sa primerane uplatňujú šifrovacie opatrenia. Ich použitie spolu s účelom a podmienkami musí vopred schváliť pracovník zodpovedný za bezpečnosť systému.

KAPITOLA IV

Bezpečnosť ľudských zdrojov

Článok 20

Profily zamestnancov

1.   V rámci bezpečnostnej politiky sa ustanovia funkcie a povinnosti osôb, ktoré majú oprávnenie na prístup k centrálnemu SIS II.

2.   V rámci bezpečnostnej politiky sa ustanovia funkcie a povinnosti osôb, ktoré majú oprávnenie na prístup ku komunikačnej infraštruktúre.

3.   Bezpečnostné úlohy a povinnosti zamestnancov Komisie, dodávateľov a pracovníkov zapojených do prevádzkového riadenia sa stanovia, zdokumentujú a oznámia osobám, ktorých sa týkajú. Tieto úlohy a povinnosti zamestnancov Komisie sa uvádzajú v pracovnej náplni a cieľoch; pre dodávateľov sa uvádzajú v zmluvách alebo v dohodách o úrovni služieb.

4.   Dohody o mlčanlivosti a utajení sa uzatvoria so všetkými osobami, na ktoré sa nevzťahujú pravidlá pre zamestnancov vo verejnej správe Európskej únie alebo členského štátu. Zamestnanci, ktorí musia pracovať s údajmi SIS II, majú potrebné previerky alebo certifikáciu v súlade s podrobnými postupmi, ktoré sa ustanovia v rámci bezpečnostnej politiky.

Článok 21

Informácie o zamestnancoch

1.   Všetci pracovníci a dodávatelia absolvujú primeranú odbornú prípravu v oblasti bezpečnosti, právnych požiadaviek, politík a postupov v potrebnom rozsahu, aký si vyžadujú ich povinnosti.

2.   Pri ukončení zamestnania alebo zmluvy sa vymedzia povinnosti súvisiace so zmenou zamestnania alebo s ukončením pracovného pomeru zamestnancov a dodávateľov v bezpečnostnej politike a v bezpečnostnej politike sa stanovia postupy s cieľom zabezpečiť vrátenie majetku a zrušiť prístupové práva.

KAPITOLA V

ZÁVEREČNÉ USTANOVENIA

Článok 22

Uplatniteľnosť

1.   Toto rozhodnutie sa uplatňuje od dátumu stanoveného Radou v súlade s článkom 55 ods. 2 nariadenia (ES) č. 1987/2006 a s článkom 71 ods. 2 rozhodnutia 2007/533/SVV.

2.   Účinnosť článku 1 ods. 1, článku 2 ods. 1, článku 2 ods. 3 písm. b), d), f) a i), článku 3, článku 6 ods. 5, článku 7 ods. 5, článku 9 ods. 6, článku 10 ods. 6, článku 13 ods. 2 a 3, článkov 15, 18 a článku 20 ods. 1 sa končí, keď riadiaci orgán prevezme svoje povinnosti.

---

(1)  Ú. v. EÚ L 381, 28.12.2006, s. 4.

(2)  Ú. v. EÚ L 205, 7.8.2007, s. 63.

(3)  Ú. v. ES L 8, 12.1.2001, s. 1.

---