Einde inhoudsopgave
Besluit 2013/488/EU beveiligingsvoorschriften bescherming gerubriceerde EU-informatie
Artikel 10 Bescherming van EUCI die in communicatie- en informatiesystemen wordt verwerkt
Geldend
Geldend vanaf 15-10-2013
- Bronpublicatie:
23-09-2013, PbEU 2013, L 274 (uitgifte: 15-10-2013, regelingnummer: 2013/488/EU)
- Inwerkingtreding
15-10-2013
- Bronpublicatie inwerkingtreding:
23-09-2013, PbEU 2013, L 274 (uitgifte: 15-10-2013, regelingnummer: 2013/488/EU)
- Vakgebied(en)
Openbare orde en veiligheid / Bijzondere onderwerpen
Privacy / Internationaal gegevensverkeer
Informatierecht / Algemeen
1.
Informatieborging (hierna: ‘Information Assurance — IA’) op het gebied van communicatie- en informatiesystemen is de overtuiging dat die systemen de erin opgenomen informatie zullen beschermen en zullen functioneren zoals nodig en wanneer nodig, onder de controle van legitieme gebruikers. Doeltreffende IA waarborgt passende niveaus van vertrouwelijkheid, integriteit, beschikbaarheid, onweerlegbaarheid en authenticiteit. IA is op een risicobeheerproces gebaseerd.
2.
‘Communicatie- en informatiesystemen’ (hierna: ‘CIS’) zijn systemen waarmee informatie in elektronische vorm kan worden verwerkt. Een communicatie- en informatiesysteem omvat alle functionele bestanddelen die voor het functioneren ervan vereist zijn, waaronder infrastructuur, organisatie, personeel en informatiebronnen. Dit besluit geldt voor communicatie- en informatiesystemen die EUCI verwerken.
3.
CIS verwerken EUCI overeenkomstig het IA-concept.
4.
Alle CIS worden aan een homologatieprocedure onderworpen. Met de homologatie wordt beoogd de verzekering te verkrijgen dat alle toepasselijke beveiligingsmaatregelen zijn getroffen en dat het niveau van bescherming van de EUCI en van het CIS overeenkomstig dit besluit voldoende wordt geacht. In de homologatieverklaring worden de maximaal toegelaten rubriceringsgraad van de informatie die door een CIS mag worden verwerkt, en de voorwaarden daarvoor vastgesteld.
5.
CIS die informatie met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL en hoger verwerken, worden met beveiligingsmaatregelen beschermd opdat de informatie niet in gevaar raakt door onopzettelijke elektromagnetische emissies (‘TEMPEST-beveiligingsmaatregelen’). Deze beveiligingsmaatregelen dienen in verhouding te staan tot het risico op misbruik en de rubriceringsgraad van de gegevens.
6.
Encryptieproducten die de EUCI moeten beschermen worden als volgt goedgekeurd:
- a)
de vertrouwelijkheid van informatie met rubricering SECRET UE/EU SECRET en hoger wordt beschermd door encryptieproducten die door de Raad, als overheid voor de goedkeuring van encryptieproducten (hierna: ‘Crypto Approval Authority — CAA’), op voorstel van het Beveiligingscomité zijn goedgekeurd;
- b)
de vertrouwelijkheid van informatie met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of RESTREINT UE/EU RESTRICTED wordt beschermd door encryptieproducten die door de secretaris-generaal van de Raad (hierna: ‘de secretaris-generaal’), als CAA, op voorstel van het Beveiligingscomité zijn goedgekeurd.
Niettegenstaande punt b), kan de vertrouwelijkheid van EUCI met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of RESTREINT UE/EU RESTRICTED binnen nationale systemen van de lidstaten worden beschermd door encryptieproducten die door de CAA van een lidstaat zijn goedgekeurd.
7.
Bij overdracht van EUCI met elektronische middelen worden goedgekeurde encryptieproducten gebruikt. Niettemin kunnen in noodgevallen of in geval van specifieke technische configuraties, zoals bepaald in bijlage IV, specifieke procedures worden toegepast.
8.
De bevoegde instanties van het SGR en van de lidstaten stellen respectievelijk de volgende IA-functies in:
- a)
een IA-overheid (hierna: ‘IAA’);
- b)
een TEMPEST-overheid (hierna: ‘TA’);
- c)
een overheid voor de goedkeuring van encryptieproducten (hierna: ‘CAA — Crypto Approval Authority’);
- d)
een overheid voor de verdeling van encryptieproducten (hierna: ‘CDA — Crypto Distribution Authority’).
9.
Voor ieder systeem stellen de bevoegde instanties van het SGR en van de lidstaten respectievelijk de volgende functies in:
- a)
een homologatieoverheid;
- b)
een operationele IAA.
10.
De bepalingen ter uitvoering van dit artikel staan in bijlage IV.