Besluit (EU, Euratom) 2015/444 betreffende de veiligheidsvoorschriften voor de bescherming van gerubriceerde EU-informatie:Artikel 36 CIS voor de behandeling van EUCI

Besluit (EU, Euratom) 2015/444 betreffende de veiligheidsvoorschriften voor de bescherming van gerubriceerde EU-informatie

Artikel 36 CIS voor de behandeling van EUCI

Geldend

Documentgegevens:

Geldend vanaf 18-03-2015

Bronpublicatie:: 13-03-2015, PbEU 2015, L 72 (uitgifte: 17-03-2015, regelingnummer: 2015/444)
Inwerkingtreding: 18-03-2015
Bronpublicatie inwerkingtreding:: 13-03-2015, PbEU 2015, L 72 (uitgifte: 17-03-2015, regelingnummer: 2015/444)
Vakgebied(en): EU-recht / Bijzondere onderwerpen
Openbare orde en veiligheid / Bijzondere onderwerpen
Informatierecht / Bijzondere onderwerpen

1.

CIS behandelen EUCI overeenkomstig het concept van informatieborging.

2.

Voor CIS waarmee EUCI worden behandeld, impliceert de naleving van het beveiligingsbeleid voor informatiesystemen van de Commissie, als bedoeld in Besluit C(2006) 3602 van de Commissie (1), het volgende:

a): de cyclus ‘plannen-uitvoeren-controleren-aanpassen’ (PDCA — Plan-Do-Check-Act) wordt toegepast voor de uitvoering van het beveiligingsbeleid voor informatiesystemen tijdens de hele levensduur van deze systemen;
b): de veiligheidsbehoeften worden vastgesteld via een impactanalyse;
c): het informatiesysteem en de daarin vervatte gegevens worden onderworpen aan een formele classificatie;
d): alle verplichte veiligheidsmaatregelen volgens het beveiligingsbeleid voor informatiesystemen worden uitgevoerd;
e): er wordt een risicobeheersprocedure toegepast die uit de volgende stappen bestaat: identificatie van het gevaar en de kwetsbaarheid, risicobeoordeling, risicobehandeling, risicoaanvaarding en risicocommunicatie;
f): een veiligheidsplan, met inbegrip van het veiligheidsbeleid en de operationele beveiligingsprocedures, wordt vastgesteld, uitgevoerd, gecontroleerd en herzien.

3.

Alle personeel dat betrokken is bij het ontwerpen, ontwikkelen, testen, in werking stellen, beheren of gebruiken van CIS voor de behandeling van EUCI, melden aan de Veiligheidshomologatieautoriteit alle mogelijke tekortkomingen, incidenten, inbreuken of gevaren in verband met de veiligheid die een effect kunnen hebben op de bescherming van de CIS en/of de daarin opgenomen EUCI.

4.

Wanneer EUCI door encryptieproducten wordt beschermd, worden deze producten als volgt goedgekeurd:

a): de voorkeur wordt gegeven aan producten die zijn goedgekeurd door de Raad of door het secretariaat-generaal van de Raad in zijn hoedanigheid van autoriteit voor de goedkeuring van encryptieproducten van de Raad, na een aanbeveling van de deskundigengroep voor de veiligheid van de Commissie;
b): indien gerechtvaardigd op specifieke operationele gronden kan de autoriteit voor de goedkeuring van encryptieproducten van de Commissie, na een aanbeveling van de deskundigengroep voor de veiligheid van de Commissie, vrijstelling verlenen van de vereisten onder a) en een tijdelijke goedkeuring verlenen voor een specifieke periode.

5.

Tijdens de overdracht, verwerking en opslag van EUCI met elektronische middelen moeten goedgekeurde encryptieproducten worden gebruikt. Niettegenstaande deze eis kunnen specifieke procedures worden toegepast in noodgevallen of in geval van specifieke technische configuraties na goedkeuring door de autoriteit voor de goedkeuring van encryptieproducten.

6.

CIS die informatie met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL en hoger behandelen, worden met veiligheidsmaatregelen beschermd opdat de informatie niet in gevaar raakt door onopzettelijke elektromagnetische emissies (‘TEMPEST-beveiligingsmaatregelen’). Deze beveiligingsmaatregelen dienen in verhouding te staan tot het risico op misbruik en de rubriceringsgraad van de gegevens.

7.

De Veiligheidsautoriteit van de Commissie vervult de rol van:

—: Informatieborgingsautoriteit;
—: Veiligheidshomologatieautoriteit;
—: TEMPEST-autoriteit;
—: autoriteit voor de goedkeuring van encryptieproducten;
—: autoriteit voor de verdeling van encryptieproducten.

8.

De Veiligheidsautoriteit van de Commissie wijst voor elk systeem de operationele Informatieborgingsautoriteit aan.

9.

De verantwoordelijkheden in verband met de in de leden 7 en 8 beschreven rollen worden in de uitvoeringsbepalingen nader bepaald.

Toon alle voetnoten

Voetnoten

(1).

C(2006) 3602 van 16 augustus 2006 betreffende de veiligheid van de informatiesystemen die door de Europese Commissie worden gebruikt.