Rozdział 3 - Departamenty Komisji - Decyzja 2022/640 w sprawie przepisów wykonawczych dotyczących ról i obowiązków głównych podmiotów w obszarze bezpieczeństwa
Dzienniki UE
Dz.U.UE.L.2022.117.106
Akt obowiązujący Wersja od: 19 kwietnia 2022 r.
Rozdział 3
Departamenty Komisji
Departamenty Komisji
Kierownicy departamentów
1.
Każdy kierownik departamentu wyznacza:a)
lokalnego pełnomocnika ochrony i co najmniej jednego jego zastępcę, odpowiednio, w przypadku departamentu lub gabinetu;b)
urzędnika kontroli kancelarii i co najmniej jednego jego zastępcę, odpowiednio, w odniesieniu do każdego departamentu prowadzącego kancelarię tajną UE;c)
właściciela poszczególnych CIS, w których przetwarza się EUCI.2.
Przed wyznaczeniem lokalnych pełnomocników ochrony i ich zastępców oraz urzędników kontroli kancelarii i ich zastępców kierownik departamentu zwraca się o zatwierdzenie do Dyrektora Dyrekcji ds. Bezpieczeństwa w Dyrekcji Generalnej ds. Zasobów Ludzkich i Bezpieczeństwa.3.
Kierownik departamentu, w porozumieniu z lokalnym pełnomocnikiem ochrony, identyfikuje wszystkie stanowiska wymagające poświadczenia bezpieczeństwa w celu uzyskania dostępu do EUCI. W procesie rekrutacji na takie stanowiska kandydatów informuje się o wymogu uzyskania poświadczenia bezpieczeństwa.4.
W razie potrzeby kierownik każdego departamentu posiadającego EUCI odpowiada za uruchomienie planów ewakuacji i niszczenia EUCI w sytuacjach nadzwyczajnych. W takich planach należy przewidzieć alternatywny tryb postępowania w sytuacji, w której niemożliwe jest nawiązanie kontaktu z kierownikiem departamentu.Właściciele CIS, w których przetwarza się EUCI
1.
Realizując projekt służący wdrożeniu CIS, w którym przetwarza się EUCI, właściciel systemu jak najszybciej kontaktuje się z organem ds. akredytacji bezpieczeństwa, aby ustalić odpowiednie standardy i wymogi bezpieczeństwa oraz rozpocząć proces akredytacji bezpieczeństwa.2.
Właściciel systemu zapewnia, aby środki bezpieczeństwa spełniały wymogi określone przez organ ds. akredytacji bezpieczeństwa oraz aby w danym CIS nie przetwarzano EUCI, zanim system ten nie otrzyma akredytacji.3.
Właściciel systemu zwraca się do organu ds. zatwierdzania produktów kryptograficznych o zgodę na stosowanie wszelkich technologii szyfrujących. Właściciele systemów nie mogą stosować technologii szyfrujących w systemach produkcji bez uzyskania wcześniejszej zgody.4.
Właściciel systemu konsultuje się z lokalnym pełnomocnikiem ds. bezpieczeństwa teleinformatycznego w danym departamencie w sprawach związanych z bezpieczeństwem CIS.5.
Właściciel systemu co najmniej raz w roku dokonuje przeglądu środków bezpieczeństwa stosowanych w przypadku danego systemu, w tym dotyczącego go planu bezpieczeństwa.6.
Gdy w CIS dochodzi do incydentu związanego z bezpieczeństwem, w wyniku którego wskazuje się, że taki CIS nie może już zapewnić odpowiedniej ochrony EUCI, właściciel systemu informuje o tym lokalnego pełnomocnika ochrony i niezwłocznie zwraca się do organu ds. akredytacji bezpieczeństwa w celu uzyskania porady odnośnie do dalszego postępowania. W takim przypadku akredytacja może zostać zawieszona, a system wycofany z eksploatacji do czasu podjęcia odpowiednich działań naprawczych.7.
Właściciel systemu zawsze udziela organowi ds. akredytacji bezpieczeństwa pełnego wsparcia w zakresie realizacji obowiązków tego organu związanych z akredytacją danego CIS.Operacyjny organ ds. zabezpieczania informacji
Operacyjny organ ds. zabezpieczania informacji w odniesieniu do każdego CIS:
a)
opracowuje dokumentację bezpieczeństwa zgodnie z polityką bezpieczeństwa i wytycznymi dotyczącymi bezpieczeństwa, zwłaszcza plan bezpieczeństwa, SecOP związane z systemem i dokumentację kryptograficzną w ramach procesu akredytacji CIS;b)
uczestniczy w wyborze i testowaniu technicznych środków bezpieczeństwa, urządzeń i oprogramowania dla poszczególnych systemów, nadzoruje ich wdrażanie i zapewnienie ich bezpiecznego zainstalowania, skonfigurowania oraz konserwacji, zgodnie z odpowiednią dokumentacją bezpieczeństwa;c)
uczestniczy w wyborze środków bezpieczeństwa i urządzeń klasy TEMPEST, jeżeli jest to wymagane w planie bezpieczeństwa i zapewnia ich bezpieczną instalację i konserwację we współpracy z organem ds. TEMPEST;d)
monitoruje wdrażanie i stosowanie SecOP związanych z funkcjonowaniem danego systemu;e)
zarządza produktami kryptograficznymi i z nich korzysta, we współpracy z organem ds. dystrybucji produktów kryptograficznych, w celu zapewnienia nadzoru nad materiałami kryptograficznymi i kontrolowanymi obiektami oraz, jeżeli jest to wymagane, zapewnia wytwarzanie zmiennych kryptograficznych;f)
przeprowadza przeglądy, testy i analizy bezpieczeństwa, w szczególności w celu sporządzenia odpowiednich sprawozdań o ryzyku, zgodnie z wymogami organu ds. akredytacji bezpieczeństwa;g)
zapewnia szkolenia w zakresie zabezpieczania informacji w odniesieniu do poszczególnych CIS;h)
wdraża i stosuje środki bezpieczeństwa w odniesieniu do poszczególnych CIS.© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.