Art. 4. - Organ ds. akredytacji bezpieczeństwa - Decyzja 2022/640 w sprawie przepisów wykonawczych dotyczących ról i obowiązków głównych podmiotów w obszarze bezpieczeństwa
Dzienniki UE
Dz.U.UE.L.2022.117.106
Akt obowiązujący Wersja od: 19 kwietnia 2022 r.
Artykuł 4
Organ ds. akredytacji bezpieczeństwa
1.
Organ ds. bezpieczeństwa Komisji odpowiada za akredytację stref bezpieczeństwa spełniających wymogi określone w art. 18 decyzji 2015/444 i CIS, w których przetwarza się EUCI.2.
Departamenty Komisji konsultują się z organem ds. akredytacji bezpieczeństwa w porozumieniu ze swoim lokalnym pełnomocnikiem ochrony i w stosownych przypadkach lokalnym pełnomocnikiem ds. bezpieczeństwa teleinformatycznego zawsze wówczas, gdy dany departament planuje:a)
stworzyć strefę bezpieczeństwa;b)
wdrożyć CIS, w którym przetwarza się EUCI;c)
zainstalować wszelkie inne urządzenia służące do korzystania z informacji niejawnych, w tym połączenia z zewnętrznym CIS.Organ ds. akredytacji bezpieczeństwa zapewnia doradztwo w zakresie tych działań zarówno w procesie planowania, jak i w procesie budowy lub rozwoju.
3.
EUCI nie wolno przetwarzać w strefie bezpieczeństwa ani w CIS przed wydaniem przez organ ds. akredytacji bezpieczeństwa akredytacji na odpowiednim poziomie klauzuli tajności EUCI.4.
Wymogi w zakresie akredytacji strefy bezpieczeństwa obejmują:a)
zatwierdzenie planów danej strefy bezpieczeństwa;b)
zatwierdzenie wszelkich umów na roboty realizowane przez wykonawców zewnętrznych z uwzględnieniem przepisów dotyczących bezpieczeństwa przemysłowego, w tym wszelkich wymogów w zakresie poświadczenia bezpieczeństwa wydawanego wykonawcom i ich pracownikom;c)
udostępnienie wszystkich wymaganych deklaracji i certyfikatów zgodności;d)
fizyczną kontrolę danej strefy bezpieczeństwa w celu weryfikacji, czy materiały i metody budowlane, kontrole dostępu, sprzęt służący do ochrony i wszelkie inne elementy są zgodne z wymogami określonymi przez organ ds. bezpieczeństwa Komisji;e)
zatwierdzenie środków przeciwdziałania promieniowaniu elektromagnetycznemu w przypadku każdej strefy technicznie zabezpieczonej;f)
zatwierdzenie procedur bezpiecznej eksploatacji systemu (SecOP) w odniesieniu do danej strefy bezpieczeństwa.5.
Wymogi w zakresie akredytacji CIS, w którym przetwarza się EUCI, obejmują:a)
utworzenie strategii akredytacji systemu;b)
zatwierdzenie planu bezpieczeństwa CIS na podstawie podejścia zakładającego zarządzanie ryzykiem;c)
zatwierdzenie procedur bezpiecznej eksploatacji systemu w odniesieniu do danego CIS;d)
zatwierdzenie całej pozostałej dokumentacji dotyczącej bezpieczeństwa, wskazanej przez organ ds. akredytacji bezpieczeństwa;e)
zatwierdzenie każdego zastosowania technologii szyfrujących;f)
zatwierdzenie środków przeciwdziałania promieniowaniu elektromagnetycznemu w przypadku CIS, w którym przetwarza się informacje z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższą;g)
inspekcję CIS w celu weryfikacji prawidłowego wdrożenia udokumentowanych środków bezpieczeństwa.6.
Po skutecznym spełnieniu wymogów w zakresie akredytacji organ ds. akredytacji bezpieczeństwa wydaje formalne upoważnienie do przetwarzania EUCI w strefie bezpieczeństwa lub CIS w odniesieniu do wskazanego maksymalnego poziomu klauzuli tajności EUCI i na okres nie dłuższy niż 5 lat, w zależności od poziomu klauzuli tajności wykorzystywanych EUCI i występujących rodzajów ryzyka.7.
Po uzyskaniu powiadomienia o wystąpieniu naruszenia bezpieczeństwa lub wprowadzeniu istotnej zmiany w projekcie lub środkach bezpieczeństwa strefy bezpieczeństwa lub CIS organ ds. akredytacji bezpieczeństwa przeprowadza przegląd i w razie potrzeby może cofnąć upoważnienie do przetwarzania EUCI do czasu rozwiązania wszelkich zidentyfikowanych kwestii.© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.