1
Aux fins de la présente décision, un SIC est réputé être externalisé dès lors qu'il est fourni sur la base d'un contrat conclu avec un prestataire tiers et en vertu duquel le SIC est hébergé en dehors des locaux de la Commission. Cela comprend l'externalisation d'un ou de plusieurs SIC ou autres services informatiques, les centres de données situés en dehors des locaux de la Commission, ainsi que le traitement d'ensembles de données de la Commission par des services externes.
2
L'externalisation d'un SIC tient compte du niveau de sensibilité ou de la classification des informations traitées, comme suit:
- a)
- Le SIC traitant des ICUE est homologué conformément à la décision (UE, Euratom) 2015/444 et l'autorité d'homologation de sécurité de la Commission (AHS) est consultée au préalable. Les systèmes assurant le traitement d'ICUE ne sont pas externalisés.
- b)
- Le propriétaire d'un SIC traitant des données non classifiées de l'Union européenne met en œuvre des mesures proportionnées afin de répondre aux besoins de sécurité conformément aux obligations légales applicables ou selon le niveau de sensibilité des informations, en tenant compte des risques engendrés par l'externalisation. La direction générale des ressources humaines et de la sécurité peut imposer des exigences supplémentaires.
- c)
- Les projets de développement externalisés tiennent compte du niveau de sensibilité du code développé ainsi que des données d'essai éventuellement utilisées pendant le développement.
3
Les principes suivants s'appliquent au SIC externalisés, en plus de ceux énoncés à l'article 3 de la décision (UE, Euratom) 2017/46:
- a)
- les accords d'externalisation sont conçus de façon à éviter toute dépendance envers certains fournisseurs;
- b)
- les accords portant sur la sécurité de l'externalisation réduisent autant que possible les possibilités, pour le personnel des prestataires tiers, d'accéder à des informations de la Commission ou de les modifier;
- c)
- le personnel des prestataires tiers ayant accès à un SIC externalisé signe des accords de confidentialité;
- d)
- l'externalisation d'un SIC est indiquée dans l'inventaire des SIC.
4
Le propriétaire du système doit, avec la participation du propriétaire des données:
- a)
- évaluer et recenser les risques liés à l'externalisation;
- b)
- établir des exigences de sécurité pertinentes;
- c)
- consulter les propriétaires de tous les autres SIC connectés afin de veiller à l'inclusion de leurs exigences en matière de sécurité;
- d)
- s'assurer que des exigences et des droits appropriés au regard de la sécurité figurent dans le contrat d'externalisation;
- e)
- satisfaire à toute autre exigence définie dans la procédure détaillée, telle que mentionnée au paragraphe 8 du présent article.
Ces actions sont effectuées avant la signature du contrat ou de tout autre accord portant sur l'externalisation d'un ou de plusieurs SIC.
5
Les propriétaires de systèmes gèrent les risques liés à l'externalisation pendant la durée de vie du SIC afin de satisfaire aux exigences de sécurité définies.
6
Les propriétaires de systèmes veillent à ce que les prestataires tiers soient tenus de signaler immédiatement à la Commission tout incident de sécurité informatique affectant un SIC de la Commission qui est externalisé.
7
Le propriétaire du système doit veiller à la conformité du SIC, du contrat d'externalisation et des dispositifs de sécurité aux règles de la Commission en matière de sécurité de l'information et de sécurité informatique.
8
La direction générale des ressources humaines et de la sécurité fixe, dans une norme détaillée, les règles relatives aux responsabilités et aux activités visées aux paragraphes 1 à 7 conformément à l'article 10 ci-dessous.
