Decyzja 2017/46 w sprawie bezpieczeństwa systemów teleinformatycznych w Komisji Europejskiej
Dz.U.UE.L.2017.6.40
Akt obowiązującyDECYZJA KOMISJI (UE, Euratom) 2017/46
z dnia 10 stycznia 2017 r.
w sprawie bezpieczeństwa systemów teleinformatycznych w Komisji Europejskiej
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 249,
uwzględniając Traktat ustanawiający Europejską Wspólnotę Energii Atomowej,
(1) Systemy teleinformatyczne Komisji są nieodłącznie związane z funkcjonowaniem Komisji, a incydenty związane z bezpieczeństwem systemów IT mogą mieć poważny wpływ na działania podejmowane przez Komisję, jak również na osoby trzecie, w tym osoby fizyczne, przedsiębiorstwa i państwa członkowskie.
(2) Istnieje wiele zagrożeń, które mogą zaszkodzić poufności, integralności lub dostępności systemów teleinformatycznych Komisji oraz informacjom przechowywanym w tych systemach. Zagrożenia te obejmują wypadki, błędy, zamierzone ataki oraz zjawiska naturalne i należy je uznać za rodzaje ryzyka operacyjnego.
(3) Systemom teleinformatycznym należy zapewnić poziom ochrony proporcjonalny do prawdopodobieństwa, wpływu i charakteru rodzajów ryzyka, na które są narażone.
(4) Bezpieczeństwo IT w Komisji powinno zapewnić, by systemy teleinformatyczne Komisji chroniły informacje, które przetwarzają, i funkcjonowały stosownie do potrzeb, gdy zachodzi potrzeba, oraz pod kontrolą uprawnionych użytkowników.
(5) Politykę w zakresie bezpieczeństwa IT Komisji należy wdrażać w sposób spójny z polityką dotyczącą bezpieczeństwa w Komisji.
(6) Dyrekcja ds. Bezpieczeństwa Dyrekcji Generalnej ds. Zasobów Ludzkich i Bezpieczeństwa ponosi ogólną odpowiedzialność za bezpieczeństwo w Komisji z upoważnienia członka Komisji odpowiedzialnego za bezpieczeństwo i na jego odpowiedzialność.
(7) Podejście Komisji powinno uwzględniać inicjatywy polityczne UE oraz przepisy dotyczące bezpieczeństwa sieci i informacji, normy branżowe i dobre praktyki, aby było zgodne ze wszystkimi odpowiednimi przepisami i umożliwiało interoperacyjność i kompatybilność.
(8) Departamenty Komisji odpowiedzialne za systemy teleinformatyczne powinny opracować i wdrożyć odpowiednie środki, a środki bezpieczeństwa informatycznego mające na celu ochronę systemów teleinformatycznych powinny być koordynowane w całej Komisji, by zapewnić ich wydajność i skuteczność.
(9) Przepisy i procedury w zakresie dostępu do informacji w kontekście bezpieczeństwa IT, w tym reagowania na incydenty związane z bezpieczeństwem informacji, powinny być proporcjonalne do zagrożenia dla Komisji lub jej personelu i zgodne z zasadami ustanowionymi w rozporządzeniu (WE) nr 45/2001 Parlamentu Europejskiego i Rady 1 o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy unijne i o swobodnym przepływie takich danych, a także uwzględniać kwestie tajemnicy zawodowej, jak przewidziano w art. 339 TFUE.
(10) Polityka i przepisy dotyczące systemów teleinformatycznych przetwarzających informacje niejawne UE (EUCI), szczególnie chronione informacje jawne i informacje jawne muszą być w pełni zgodne z decyzjami Komisji (UE, Euratom) 2015/443 2 i (UE, Euratom) 2015/444 3 .
(11) Komisja powinna dokonać przeglądu swoich przepisów dotyczących bezpieczeństwa systemów teleinformatycznych wykorzystywanych przez Komisję oraz uaktualnić te przepisy.
(12) Należy zatem uchylić decyzję Komisji C(2006) 3602,
PRZYJMUJE NINIEJSZĄ DECYZJĘ:
W imieniu Komisji | |
Jean-Claude JUNCKER | |
Przewodniczący |