Rozdział 2 - Dyrekcja Generalna ds. Zasobów Ludzkich i Bezpieczeństwa - Decyzja 2022/640 w sprawie przepisów wykonawczych dotyczących ról i obowiązków głównych podmiotów w obszarze bezpieczeństwa
Dzienniki UE
Dz.U.UE.L.2022.117.106
Akt obowiązujący Wersja od: 19 kwietnia 2022 r.
Rozdział 2
Dyrekcja Generalna ds. Zasobów Ludzkich i Bezpieczeństwa
Dyrekcja Generalna ds. Zasobów Ludzkich i Bezpieczeństwa
Organ ds. bezpieczeństwa Komisji
1.
Dyrektor Dyrekcji ds. Bezpieczeństwa w Dyrekcji Generalnej ds. Zasobów Ludzkich i Bezpieczeństwa jest organem ds. bezpieczeństwa Komisji, o którym mowa w art. 7 decyzji (UE, Euratom) 2015/444.2.
Organ ds. bezpieczeństwa Komisji obejmuje powierzone mu funkcje w następujących obszarach określonych w decyzji (UE, Euratom) 2015/444, zgodnie z art. 3-7 niniejszej decyzji:a)
bezpieczeństwo osobowe,b)
bezpieczeństwo fizyczne,c)
zarządzanie EUCI,d)
akredytacja każdego systemu teleinformatycznego (CIS), w którym przetwarza się EUCI,e)
bezpieczeństwo przemysłowe if)
wymiana informacji niejawnych.3.
Organ ds. bezpieczeństwa Komisji zapewnia lokalnym pełnomocnikom ochrony i ich zastępcom oraz urzędnikom kontroli kancelarii i ich zastępcom obowiązkowe szkolenia w zakresie ich zadań i obowiązków.Organ ds. zabezpieczania informacji
Organ ds. zabezpieczania informacji odpowiada za następujące działania związane z ochroną EUCI:
a)
opracowanie polityki bezpieczeństwa w zakresie zabezpieczania informacji i wytycznych dotyczących bezpieczeństwa oraz monitorowanie ich skuteczności i adekwatności;b)
zabezpieczanie informacji technicznych związanych z produktami kryptograficznymi i zarządzanie tymi informacjami;c)
zapewnienie zgodności środków w zakresie zabezpieczania informacji, odpowiednio, z polityką bezpieczeństwa i zamówień publicznych Komisji;d)
zapewnienie, by wybór produktów kryptograficznych następował zgodnie z polityką dotyczącą kryteriów ich kwalifikowalności i wyboru;e)
konsultowanie się z właścicielami systemów, dostawcami systemów, podmiotami odpowiedzialnymi za bezpieczeństwo i przedstawicielami użytkowników w kwestii polityki bezpieczeństwa w zakresie zabezpieczania informacji i wytycznych dotyczących bezpieczeństwa.Organ ds. akredytacji bezpieczeństwa
1.
Organ ds. bezpieczeństwa Komisji odpowiada za akredytację stref bezpieczeństwa spełniających wymogi określone w art. 18 decyzji 2015/444 i CIS, w których przetwarza się EUCI.2.
Departamenty Komisji konsultują się z organem ds. akredytacji bezpieczeństwa w porozumieniu ze swoim lokalnym pełnomocnikiem ochrony i w stosownych przypadkach lokalnym pełnomocnikiem ds. bezpieczeństwa teleinformatycznego zawsze wówczas, gdy dany departament planuje:a)
stworzyć strefę bezpieczeństwa;b)
wdrożyć CIS, w którym przetwarza się EUCI;c)
zainstalować wszelkie inne urządzenia służące do korzystania z informacji niejawnych, w tym połączenia z zewnętrznym CIS.Organ ds. akredytacji bezpieczeństwa zapewnia doradztwo w zakresie tych działań zarówno w procesie planowania, jak i w procesie budowy lub rozwoju.
3.
EUCI nie wolno przetwarzać w strefie bezpieczeństwa ani w CIS przed wydaniem przez organ ds. akredytacji bezpieczeństwa akredytacji na odpowiednim poziomie klauzuli tajności EUCI.4.
Wymogi w zakresie akredytacji strefy bezpieczeństwa obejmują:a)
zatwierdzenie planów danej strefy bezpieczeństwa;b)
zatwierdzenie wszelkich umów na roboty realizowane przez wykonawców zewnętrznych z uwzględnieniem przepisów dotyczących bezpieczeństwa przemysłowego, w tym wszelkich wymogów w zakresie poświadczenia bezpieczeństwa wydawanego wykonawcom i ich pracownikom;c)
udostępnienie wszystkich wymaganych deklaracji i certyfikatów zgodności;d)
fizyczną kontrolę danej strefy bezpieczeństwa w celu weryfikacji, czy materiały i metody budowlane, kontrole dostępu, sprzęt służący do ochrony i wszelkie inne elementy są zgodne z wymogami określonymi przez organ ds. bezpieczeństwa Komisji;e)
zatwierdzenie środków przeciwdziałania promieniowaniu elektromagnetycznemu w przypadku każdej strefy technicznie zabezpieczonej;f)
zatwierdzenie procedur bezpiecznej eksploatacji systemu (SecOP) w odniesieniu do danej strefy bezpieczeństwa.5.
Wymogi w zakresie akredytacji CIS, w którym przetwarza się EUCI, obejmują:a)
utworzenie strategii akredytacji systemu;b)
zatwierdzenie planu bezpieczeństwa CIS na podstawie podejścia zakładającego zarządzanie ryzykiem;c)
zatwierdzenie procedur bezpiecznej eksploatacji systemu w odniesieniu do danego CIS;d)
zatwierdzenie całej pozostałej dokumentacji dotyczącej bezpieczeństwa, wskazanej przez organ ds. akredytacji bezpieczeństwa;e)
zatwierdzenie każdego zastosowania technologii szyfrujących;f)
zatwierdzenie środków przeciwdziałania promieniowaniu elektromagnetycznemu w przypadku CIS, w którym przetwarza się informacje z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższą;g)
inspekcję CIS w celu weryfikacji prawidłowego wdrożenia udokumentowanych środków bezpieczeństwa.6.
Po skutecznym spełnieniu wymogów w zakresie akredytacji organ ds. akredytacji bezpieczeństwa wydaje formalne upoważnienie do przetwarzania EUCI w strefie bezpieczeństwa lub CIS w odniesieniu do wskazanego maksymalnego poziomu klauzuli tajności EUCI i na okres nie dłuższy niż 5 lat, w zależności od poziomu klauzuli tajności wykorzystywanych EUCI i występujących rodzajów ryzyka.7.
Po uzyskaniu powiadomienia o wystąpieniu naruszenia bezpieczeństwa lub wprowadzeniu istotnej zmiany w projekcie lub środkach bezpieczeństwa strefy bezpieczeństwa lub CIS organ ds. akredytacji bezpieczeństwa przeprowadza przegląd i w razie potrzeby może cofnąć upoważnienie do przetwarzania EUCI do czasu rozwiązania wszelkich zidentyfikowanych kwestii.Organ ds. TEMPEST
1.
Wdrażane są środki bezpieczeństwa TEMPEST w celu ochrony CIS, w których przetwarza się informacje z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższą; środki te można wdrażać w przypadku informacji z klauzulą tajności RESTREINT UE/EU RESTRICTED.2.
Organ ds. TEMPEST odpowiada za zatwierdzanie środków podejmowanych w celu ochrony przeciwko narażeniu EUCI na szwank za sprawą niezamierzonych emisji elektromagnetycznych.3.
Na wniosek właściciela CIS, w którym przetwarza się EUCI, organ ds. TEMPEST wydaje specyfikację środków bezpieczeństwa TEMPEST odpowiednich do danego poziomu klauzuli tajności informacji.4.
Organ ds. TEMPEST przeprowadza badanie techniczne w ramach akredytacji stref bezpieczeństwa i CIS, w których przetwarza się EUCI z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższą, i po uzyskaniu pozytywnych wyników tych badań wydaje certyfikat TEMPEST.5.
Certyfikat TEMPEST zawiera co najmniej:a)
datę przeprowadzenia badania;b)
opis środków bezpieczeństwa TEMPEST wraz z planami obiektów;c)
termin ważności certyfikatu;d)
wskazanie wszelkich zmian, które będą skutkować unieważnieniem certyfikatu;e)
podpis w imieniu organu ds. TEMPEST.6.
Lokalny pełnomocnik ochrony lub organizator posiedzeń odpowiedzialny za zorganizowanie niejawnego posiedzenia we współpracy z lokalnym pełnomocnikiem ochrony może zwrócić się z wnioskiem do organu ds. TEMPEST o zbadanie pomieszczeń, w których posiedzenie ma się odbyć, w celu zapewnienia, aby takie pomieszczenia były technicznie zabezpieczone.Organ ds. zatwierdzania produktów kryptograficznych
1.
Organ ds. zatwierdzania produktów kryptograficznych odpowiada za korzystanie z technologii szyfrujących.2.
Organ ds. zatwierdzania produktów kryptograficznych wydaje wytyczne dotyczące stosowania i zatwierdzania technologii szyfrujących.3.
Organ ds. zatwierdzania produktów kryptograficznych zatwierdza korzystanie z rozwiązań w zakresie szyfrowania na podstawie wniosku właściciela systemu. Zatwierdzenia tego dokonuje się na podstawie pozytywnej weryfikacji co najmniej następujących elementów:a)
potrzeb w zakresie bezpieczeństwa informacji, które należy objąć ochroną;b)
przeglądu CIS wykorzystywanych w ramach danego rozwiązania;c)
oceny ryzyka nieodłącznego i szczątkowego;d)
opisu proponowanego rozwiązania;e)
procedur bezpiecznej eksploatacji systemu w odniesieniu do danego rozwiązania w zakresie szyfrowania.4.
Organ ds. zatwierdzania produktów kryptograficznych prowadzi rejestr zatwierdzonych rozwiązań w zakresie szyfrowania.Organ ds. dystrybucji produktów kryptograficznych
1.
Organ ds. dystrybucji produktów kryptograficznych odpowiada za dystrybucję materiałów kryptograficznych wykorzystywanych do ochrony EUCI (głównie sprzętu kryptograficznego, kluczy kryptograficznych, certyfikatów i powiązanych elementów uwierzytelniających) wśród:a)
użytkowników lub departamentów w Komisji w przypadku CIS zarządzanych przez podmioty zewnętrzne;b)
użytkowników lub organizacji spoza Komisji w przypadku CIS zarządzanych przez Komisję.2.
Organ ds. dystrybucji produktów kryptograficznych może przekazać zadanie dystrybucji materiałów kryptograficznych dla stron trzecich innym departamentom zgodnie z art. 17 ust. 3 decyzji 2015/443.3.
Organ ds. dystrybucji produktów kryptograficznych zapewnia, aby wszystkie materiały kryptograficzne przesyłano bezpiecznymi kanałami chroniącymi przed ingerencją i sygnalizującymi widoczne ślady ingerencji, zgodnie z przepisami bezpieczeństwa mającymi zastosowanie do poziomu klauzuli tajności EUCI, które będą chronione tymi materiałami.4.
Organ ds. dystrybucji produktów kryptograficznych zapewnia wytyczne dla lokalnego pełnomocnika ochrony i, w stosownych przypadkach, dla lokalnego pełnomocnika ds. bezpieczeństwa teleinformatycznego w każdym departamencie Komisji, którzy uczestniczą w opracowywaniu, dystrybucji lub stosowaniu materiałów kryptograficznych.5.
Organ ds. dystrybucji produktów kryptograficznych zapewnia ustanowienie odpowiednich procedur bezpiecznej eksploatacji systemu na potrzeby procesu dystrybucji.© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.