Decyzja 2010/261/UE w sprawie planu bezpieczeństwa dla centralnego systemu SIS II i infrastruktury łączności
Dz.U.UE.L.2010.112.31
Akt utracił mocDECYZJA KOMISJI
z dnia 4 maja 2010 r.
w sprawie planu bezpieczeństwa dla centralnego systemu SIS II i infrastruktury łączności
(Dz.U.UE L z dnia 5 maja 2010 r.)
KOMISJA EUROPEJSKA,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,
uwzględniając rozporządzenie (WE) nr 1987/2006 Parlamentu Europejskiego i Rady z dnia 20 grudnia 2006 r. w sprawie utworzenia, funkcjonowania i użytkowania Systemu Informacyjnego Schengen drugiej generacji (SIS II)(1), w szczególności jego art. 16,
uwzględniając decyzję Rady 2007/533/WSiSW z dnia 12 czerwca 2007 r. w sprawie utworzenia, funkcjonowania i użytkowania Systemu Informacyjnego Schengen drugiej generacji (SIS II)(2), w szczególności jej art. 16,
a także mając na uwadze, co następuje:
(1) Zgodnie z art. 16 rozporządzenia (WE) nr 1987/2006 i art. 16 decyzji 2007/533/WSiSW organ zarządzający w odniesieniu do centralnego SIS II, a Komisja w odniesieniu do infrastruktury łączności, powinny przyjąć niezbędne środki, obejmujące plan bezpieczeństwa.
(2) Zgodnie z art. 15 ust. 4 rozporządzenia (WE) nr 1987/2006 i art. 15 ust. 4 decyzji 2007/533/WSiSW w okresie przejściowym, do czasu podjęcia obowiązków przez organ zarządzający za zarządzanie operacyjne centralnym SIS II odpowiedzialna jest Komisja.
(3) Ponieważ nie powołano jeszcze organu zarządzającego, plan bezpieczeństwa, który ma przyjąć Komisja, w okresie przejściowym powinien mieć zastosowanie również do centralnego SIS II.
(4) Rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady(3) ma zastosowanie do przetwarzania danych osobowych przez Komisję w trakcie pełnienia przez nią obowiązków w zakresie zarządzania operacyjnego SIS II.
(5) Zgodnie z art. 15 ust. 7 rozporządzenia (WE) nr 1987/2006 i art. 15 ust. 7 decyzji 2007/533/WSiSW, jeżeli w okresie przejściowym Komisja deleguje swoje obowiązki, zanim obowiązki podejmie organ zarządzający, Komisja dokłada wszelkich starań, aby delegowanie tych zadań nie wpłynęło niekorzystnie na jakikolwiek ustanowiony prawem Unii Europejskiej system skutecznej kontroli sprawowanej przez Trybunał Sprawiedliwości, Trybunał Obrachunkowy lub Europejskiego Inspektora Ochrony Danych.
(6) Po podjęciu obowiązków organ zarządzający powinien przyjąć własny plan bezpieczeństwa w odniesieniu do centralnego SIS II. Niniejszy plan bezpieczeństwa powinien zatem przestać obowiązywać w odniesieniu do centralnego SIS II w momencie podjęcia obowiązków przez organ zarządzający.
(7) Zgodnie z art. 4 ust. 3 rozporządzenia (WE) nr 1987/2006 i art. 4 ust. 3 decyzji 2007/533/WSiSW CS-SIS, wykonujący funkcje nadzorcze i administracyjne, mieści się w Strasburgu, we Francji, natomiast rezerwowy CS-SIS, zdolny do zapewnienia wszystkich funkcji głównego CS-SIS w przypadku jego awarii, mieści się w Sankt Johann im Pongau, w Austrii.
(8) W planie bezpieczeństwa należy przewidzieć jednego urzędnika ds. bezpieczeństwa systemu, wykonującego zadania związane z bezpieczeństwem w odniesieniu do centralnego SIS II i infrastruktury łączności, oraz dwóch lokalnych urzędników ds. bezpieczeństwa, wykonujących zadania związane z bezpieczeństwem odpowiednio w odniesieniu do centralnego SIS II i infrastruktury łączności. Należy określić funkcje urzędników ds. bezpieczeństwa w celu zapewnienia skutecznego i szybkiego reagowania na zdarzenia zagrażające bezpieczeństwu oraz ich zgłaszania.
(9) Należy ustanowić politykę bezpieczeństwa określającą wszystkie szczegółowe informacje techniczne i organizacyjne zgodnie z przepisami niniejszej decyzji.
(10) Należy określić środki zapewniające odpowiedni poziom bezpieczeństwa odnośnie do działania centralnego SIS II i infrastruktury łączności,
PRZYJMUJE NINIEJSZĄ DECYZJĘ:
ROZDZIAŁ I
PRZEPISY OGÓLNE
PRZEPISY OGÓLNE
Przedmiot
ROZDZIAŁ II
ORGANIZACJA, OBOWIĄZKI I ZARZĄDZANIE ZDARZENIAMI
ORGANIZACJA, OBOWIĄZKI I ZARZĄDZANIE ZDARZENIAMI
Zadania Komisji
a) przygotowanie polityki bezpieczeństwa, o której mowa w art. 7 niniejszej decyzji;
b) monitorowanie skuteczności wdrażania procedur bezpieczeństwa odnośnie do centralnego SIS II;
c) monitorowanie skuteczności wdrażania procedur bezpieczeństwa odnośnie do infrastruktury łączności;
d) udział w przygotowywaniu sprawozdań dotyczących bezpieczeństwa, o których mowa w art. 50 rozporządzenia (WE) nr 1987/2006 i w art. 66 decyzji 2007/533/WSiSW;
e) koordynację i pomoc w zakresie kontroli i audytów przeprowadzanych przez Europejskiego Inspektora Ochrony Danych, o których mowa w art. 45 rozporządzenia (WE) nr 1987/2006 i w art. 61 decyzji 2007/533/WSiSW, a także zgłaszanie inspektorowi ochrony danych Komisji zdarzeń w rozumieniu art. 5 ust. 2;
f) monitorowanie, czy niniejsza decyzja i polityka bezpieczeństwa są odpowiednio i w pełni stosowane przez wszystkich wykonawców, w tym wykonawców zaangażowanych w jakikolwiek sposób w zarządzanie centralnym SIS II;
g) monitorowanie, czy niniejsza decyzja i polityka bezpieczeństwa są odpowiednio i w pełni stosowane przez wszystkich wykonawców, w tym wykonawców zaangażowanych w jakikolwiek sposób w zarządzanie infrastrukturą łączności;
h) prowadzenie wykazu pojedynczych krajowych punktów kontaktowych odnośnie do bezpieczeństwa SIS II i udostępnianie go lokalnemu urzędnikowi ds. bezpieczeństwa infrastruktury łączności;
i) udostępnianie wykazu, o którym mowa w lit. h), lokalnemu urzędnikowi ds. bezpieczeństwa centralnego SIS II.
Lokalny urzędnik ds. bezpieczeństwa centralnego SIS II
a) lokalne zadania operacyjne w zakresie bezpieczeństwa obejmujące kontrole zapór sieciowych, systematyczne testy bezpieczeństwa, przeprowadzanie audytu i sprawozdawczość;
b) monitorowanie skuteczności planu ciągłości działania oraz zapewnianie przeprowadzania systematycznych ćwiczeń;
c) zabezpieczanie dowodów dotyczących wszelkich zdarzeń w ramach centralnego SIS II, które mogą mieć wpływ na bezpieczeństwo centralnego SIS II lub infrastruktury łączności, oraz zgłaszanie takich zdarzeń urzędnikowi ds. bezpieczeństwa systemu;
d) informowanie urzędnika ds. bezpieczeństwa systemu o potrzebie zmiany polityki bezpieczeństwa;
e) monitorowanie stosowania niniejszej decyzji i polityki bezpieczeństwa przez każdego z wykonawców, w tym wykonawców, zaangażowanych w jakikolwiek sposób w zarządzanie operacyjne centralnym SIS II;
f) dopilnowanie, by pracownicy zapoznali się ze swoimi obowiązkami, i monitorowanie stosowania polityki bezpieczeństwa;
g) monitorowanie zmian w technologii informacyjnej związanych z bezpieczeństwem oraz zapewnianie odpowiedniego przeszkolenia pracowników;
h) przygotowywanie podstawowych informacji i opcji dotyczących ustanawiania, aktualizacji i przeglądu polityki bezpieczeństwa zgodnie z art. 7.
Lokalny urzędnik ds. bezpieczeństwa infrastruktury łączności
a) wszelkie zadania operacyjne w zakresie bezpieczeństwa związane z infrastrukturą łączności, obejmujące kontrolę zapór sieciowych, systematyczne testy bezpieczeństwa, przeprowadzanie audytu i sprawozdawczość;
b) monitorowanie efektywności planu ciągłości działania oraz zapewnianie przeprowadzania systematycznych ćwiczeń;
c) zabezpieczanie dowodów dotyczących wszelkich zdarzeń, które wystąpiły w ramach infrastruktury łączności i które mogą mieć wpływ na bezpieczeństwo centralnego SIS II lub infrastruktury łączności, oraz zgłaszanie takich zdarzeń urzędnikowi ds. bezpieczeństwa systemu;
d) informowanie urzędnika ds. bezpieczeństwa systemu o potrzebie zmiany polityki bezpieczeństwa;
e) monitorowanie stosowania niniejszej decyzji i polityki bezpieczeństwa przez każdego z wykonawców, w tym wykonawców zaangażowanych we wszelkie działania w zakresie zarządzania infrastrukturą łączności;
f) dopilnowanie, by pracownicy zapoznali się ze swoimi obowiązkami, i monitorowanie stosowania polityki bezpieczeństwa;
g) monitorowanie zmian w technologii informacyjnej związanych z bezpieczeństwem oraz zapewnianie odpowiedniego przeszkolenia pracowników;
h) przygotowywanie podstawowych informacji i opcji dotyczących ustanawiania, aktualizacji i przeglądu polityki bezpieczeństwa zgodnie z art. 7.
Zdarzenia zagrażające bezpieczeństwu
Zarządzanie zdarzeniami
ROZDZIAŁ II
ŚRODKI BEZPIECZEŃSTWA
ŚRODKI BEZPIECZEŃSTWA
Polityka bezpieczeństwa
Wdrażanie środków bezpieczeństwa
Kontrola dostępu do infrastruktury
Kontrola nośników danych i aktywów
Kontrola przechowywania
Kontrola hasła
Kontrola dostępu
(i) jest ograniczony do upoważnionych osób;
(ii) jest ograniczony do przypadków, w których można określić cel zgodny z prawem zgodnie z art. 45 rozporządzenia (WE) nr 1987/2006 i art. 61 decyzji 2007/533/WSiSW lub z art. 50 ust. 2 rozporządzenia (WE) nr 1987/2006 i art. 66 ust. 2 decyzji 2007/533/WSiSW;
(iii) nie trwa dłużej, niż jest to niezbędne do celów dostępu, i nie wykracza poza zakres tego celu; oraz
(iv) odbywa się wyłącznie zgodnie z polityką kontroli dostępu, która zostanie określona w ramach polityki bezpieczeństwa.
Kontrola łączności
Infrastruktura łączności jest monitorowana w celu zapewnienia dostępności, integralności i poufności w zakresie wymiany informacji. Dane przesyłane w ramach infrastruktury łączności chronione są za pomocą środków kryptograficznych.
Kontrola wprowadzania danych
Konta osób upoważnionych do dostępu do oprogramowania SIS II z CS-SIS monitoruje lokalny urzędnik ds. bezpieczeństwa centralnego SIS II. Korzystanie z tych kont, w tym czas i identyfikator użytkownika, jest rejestrowane.
Kontrola transportu
Bezpieczeństwo infrastruktury łączności
Monitorowanie
Środki kryptograficzne
W stosownych przypadkach w celu ochrony informacji stosuje się środki kryptograficzne. Ich zastosowanie wraz z celem i warunkami ich zastosowania muszą zostać uprzednio zatwierdzone przez urzędnika ds. bezpieczeństwa systemu.
ROZDZIAŁ IV
BEZPIECZEŃSTWO ZASOBÓW LUDZKICH
BEZPIECZEŃSTWO ZASOBÓW LUDZKICH
Profile personelu
Informowanie pracowników
ROZDZIAŁ V
PRZEPIS KOŃCOWY
PRZEPIS KOŃCOWY
Stosowanie
Sporządzono w Brukseli dnia 4 maja 2010 r.
W imieniu Komisji | |
José Manuel BARROSO | |
Przewodniczący |
______
(1) Dz.U. L 381 z 28.12.2006, s. 4.
(2) Dz.U. L 205 z 7.8.2007, s. 63.
(3) Dz.U. L 8 z 12.1.2001, s. 1.
© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.