Meer info
 

10/01/17 Besluit (EU, Euratom) 2017/46 Commissie over de beveiliging van communicatie- en informatiesystemen binnen de EC
Besluit (EU, Euratom) 2017/46 van 10 januari 2017 van de Commissie over de beveiliging van communicatie- en informatiesystemen binnen de Europese Commissie

Artikel 2 Definities

In dit besluit wordt verstaan onder:
1.
“verantwoordingsplicht”: de verplichting om verantwoording af te leggen met betrekking tot acties, besluiten en prestaties;
2.
“CERT-EU”: het computercrisisteam voor de EU-instellingen en agentschappen. CERT-EU heeft tot taak de Europese instellingen te ondersteunen bij de bescherming tegen doelbewuste en kwaadwillige aanvallen die de integriteit van de IT-installaties kunnen aantasten en de belangen van de EU kunnen schaden. Tot de activiteiten van CERT-EU behoren preventie, opsporing, respons en herstel;
3.
“afdeling van de Commissie” een directoraat-generaal of dienst van de Commissie, of een kabinet van een lid van de Commissie;
4.
“Veiligheidsautoriteit van de Commissie”: de in Besluit 2015/444 (EU, Euratom)bedoelde functie;
5.
“communicatie- en informatiesysteem” of “CIS”: elk systeem dat de verwerking van informatie in elektronische vorm mogelijk maakt, met inbegrip van alle daarvoor vereiste goederen, infrastructuur, organisatie, personeel en informatiebronnen. Deze definitie omvat tevens zakelijke toepassingen, gedeelde IT-diensten, uitbestede systemen en eindgebruikersapparatuur;
6.
“bestuursraad” of “CMB”: de instantie die instaat voor het hoogste niveau van managementtoezicht inzake operationele en bestuurlijke aangelegenheden binnen de Commissie;
7.
“gegevenseigenaar”: de persoon die ervoor verantwoordelijk is dat wordt voorzien in de bescherming en het gebruik van een specifieke dataset door een CIS;
8.
“dataset”: een reeks gegevens die ten dienste staat van een specifiek bedrijfsproces of een specifieke bedrijfsactiviteit van de Commissie;
9.
“noodprocedure”: een vooraf vastgestelde reeks methoden en verantwoordelijkheden die in spoedeisende situaties worden toegepast om ernstige gevolgen voor de Commissie te voorkomen;
10.
“beleid inzake informatiebeveiliging”: een verzameling doelstellingen op het gebied van informatiebeveiliging die moeten worden vastgesteld, uitgevoerd en geverifieerd. Hiertoe behoren onder meer de Besluiten (EU, Euratom) 2015/443 en (EU, Euratom) 2015/444;
11.
“stuurgroep voor informatiebeveiliging” of “ISSB”: een governanceorgaan dat de bestuursraad ondersteunt bij taken die met IT-beveiliging samenhangen;
12.
“interne IT-dienstverlener”: een afdeling van de Commissie die gedeelde IT-diensten verleent;
13.
“IT-beveiliging” of “beveiliging van communicatie- en informatiesystemen” of “beveiliging van CIS”: de instandhouding van de vertrouwelijkheid, de integriteit en de beschikbaarheid van communicatie- en informatiesystemen en de datasets die erin worden verwerkt;
14.
“richtsnoeren voor IT-beveiliging”: aanbevolen, maar vrijwillige maatregelen die de ondersteuning van IT-beveiligingsnormen vergemakkelijken of als referentie dienen bij gebreke van een toepasselijke norm;
15.
“IT-beveiligingsincident”: een gebeurtenis die de vertrouwelijkheid, de integriteit of de beschikbaarheid van een CIS nadelig zou kunnen beļnvloeden;
16.
“IT-beveiligingsmaatregel”: een technische of organisatorische maatregel gericht op beperking van IT-beveiligingsrisico's;
17.
“noodzaak van IT-beveiliging”: een precieze en ondubbelzinnige bepaling van het bij een gegeven of een IT-systeem behorende niveau van vertrouwelijkheid, integriteit en beschikbaarheid, bedoeld om de vereiste mate van bescherming vast te stellen;
18.
“IT-beveiligingsdoelstelling”: een verklaring van de intentie om welbepaalde dreigingen het hoofd te bieden en/of te voldoen aan welbepaalde organisatorische beveiligingsvereisten of -aannames;
19.
“IT-beveiligingsplan”: de documentatie van de IT-beveiligingsmaatregelen die vereist zijn om aan de noodzaak van IT-beveiliging in verband met een communicatie- en informatiesysteem te voldoen;
20.
“IT-beveiligingsbeleid”: een verzameling doelstellingen op het gebied van IT-beveiliging die moeten worden vastgesteld, uitgevoerd en geverifieerd. Het IT-beveiligingsbeleid omvat dit besluit en de uitvoeringsbepalingen ervoor;
21.
“IT-beveiligingsvereiste”: een volgens een vooraf bepaald proces geformaliseerde noodzaak van IT-beveiliging;
22.
“IT-beveiligingsrisico”: het gevolg dat een IT-beveiligingsdreiging voor een communicatie- en informatiesysteem kan hebben door een kwetsbaarheid van dat systeem te exploiteren. Een IT-beveiligingsrisico wordt dus gekenmerkt door twee factoren: 1) onzekerheid, dat wil zeggen de kans dat een IT-beveiligingsdreiging tot een ongewenste gebeurtenis leidt, en 2) impact, dat wil zeggen de gevolgen die voor een communicatiesysteem uit deze ongewenste gebeurtenis kunnen voortvloeien;
23.
“IT-beveiligingsnormen”: specifieke verplichte IT-beveiligingsmaatregelen die bijdragen tot de handhaving en ondersteuning van het IT-beveiligingsbeleid;
24.
“IT-beveiligingsstrategie”: een reeks projecten en activiteiten die zijn opgezet om de doelstellingen van de Commissie te bereiken en die moeten worden vastgesteld, uitgevoerd en geverifieerd;
25.
“IT-beveiligingsdreiging”: een factor die mogelijk een ongewenste gebeurtenis tot gevolg heeft die tot schade aan een communicatie- en informatiesysteem kan leiden. Dergelijke dreigingen kunnen opzettelijk of onopzettelijk zijn en worden gekenmerkt door bedreigende elementen, mogelijke doelwitten en aanvalsmethoden;
26.
“plaatselijke informaticabeveiligingsfunctionaris” of “LISO”: de verbindingsfunctionaris op het gebied van IT-beveiliging voor een afdeling van de Commissie;
27.
de termen “persoonsgegevens”, “verwerking van persoonsgegevens”, “verwerkingsverantwoordelijke” en “bestand van persoonsgegevens” hebben dezelfde betekenis als de termen “persoonsgegevens”, “verwerking van persoonsgegevens”, “verantwoordelijke voor de verwerking” en “bestand van persoonsgegevens” in Verordening (EG) nr. 45/2001, en met name artikel 2;
28.
“verwerking van informatie”: alle functies van een communicatie- en informatiesysteem met betrekking tot datasets, waaronder het aanmaken, het wijzigen, het weergeven, het opslaan, het doorgeven, het wissen en het archiveren van informatie. De verwerking van informatie kan door een communicatie- en informatiesysteem worden aangeboden als een functie voor de gebruikers of een IT-dienst voor andere communicatie- en informatiesystemen;
29.
“geheimhouding”: de bescherming van bedrijfsgegevens die naar hun aard vallen onder de geheimhoudingsplicht en met name de inlichtingen betreffende ondernemingen en hun handelsbetrekkingen of bestanddelen van hun kostprijzen, zoals bedoeld in artikel 339 VWEU;
30.
“verantwoordelijk”: de verplichting hebbend om op te treden en besluiten te nemen om de vereiste resultaten tot stand te brengen;
31.
“beveiliging binnen de Commissie”: de beveiliging van personen, goederen en informatie binnen de Commissie, en meer specifiek de fysieke integriteit van personen en goederen, de integriteit, vertrouwelijkheid en beschikbaarheid van informatie en communicatie- en informatiesystemen, alsook het onbelemmerde functioneren van de werkzaamheden van de Commissie;
32.
“gedeelde IT-dienst”: een dienst die een communicatie- en informatiesysteem verstrekt aan andere communicatie- en informatiesystemen op het gebied van de verwerking van informatie;
33.
“systeemeigenaar”: de persoon die de algehele verantwoordelijkheid draagt voor de aanschaf, ontwikkeling, integratie, wijziging, werking, onderhoud en buitendienststelling van een communicatie- en informatiesysteem;
34.
“gebruiker”: een persoon die gebruikmaakt van de functies die een communicatie- en informatiesysteem aanbiedt, zowel binnen als buiten de Commissie.