Meer info
 

10/01/17 Besluit (EU, Euratom) 2017/46 Commissie over de beveiliging van communicatie- en informatiesystemen binnen de EC
Besluit (EU, Euratom) 2017/46 van 10 januari 2017 van de Commissie over de beveiliging van communicatie- en informatiesystemen binnen de Europese Commissie

Hoofdstuk 2 Organisatie en verantwoordelijkheden

Artikel 4 Bestuursraad

De bestuursraad wordt belast met de algemene verantwoordelijkheid voor het beheer van alle IT-beveiliging binnen de Commissie.

Artikel 5 Stuurgroep voor informatiebeveiliging (ISSB)

1

Het voorzitterschap van de ISSB wordt bekleed door de adjunct-secretaris-generaal die verantwoordelijk is voor het beheer van de IT-beveiliging binnen de Commissie. De leden van de ISSB vertegenwoordigen zakelijke, technologische en beveiligingsbelangen in de afdelingen van de Commissie en omvatten vertegenwoordigers van het directoraat-generaal Informatica, het directoraat-generaal Personele Middelen en Veiligheid, het directoraat-generaal Begroting en, bij toerbeurt gedurende twee jaar, vertegenwoordigers van vier andere betrokken afdelingen van de Commissie voor de activiteiten waarvan IT-beveiliging een belangrijke factor is. De leden maken deel uit van het hogere management.

2

De ISSB ondersteunt de bestuursraad bij zijn taken op het gebied van IT-beveiliging. De ISSB wordt belast met de operationele verantwoordelijkheid voor het beheer van alle IT-beveiliging binnen de Commissie.

3

De ISSB doet aanbevelingen aan de Commissie voor het IT-beveiligingsbeleid van de Commissie.

4

De ISSB evalueert beheersvraagstukken en vraagstukken die met IT-beveiliging samenhangen, met inbegrip van ernstige IT-beveiligingsincidenten, en brengt daarover halfjaarlijks verslag uit aan de bestuursraad.

5

DE ISSB monitort en evalueert de algemene uitvoering van dit besluit en brengt daarover verslag uit aan de bestuursraad.

6

Op voorstel van het directoraat-generaal Informatica evalueert en monitort de ISSB de uitvoering van de doorlopende IT-beveiligingsstrategie en keurt zij deze goed. De ISSB brengt daarover verslag uit aan de bestuursraad.

7

De ISSB monitort, evalueert en controleert de situatie op het gebied van de behandeling van bedrijfsinformatierisico's en is bevoegd formele vereisten vast te stellen inzake noodzakelijke verbeteringen.

8

De processen die samenhangen met de in de leden 1 tot en met 7 vastgestelde verantwoordelijkheden en activiteiten, worden nader uitgewerkt in uitvoeringsbepalingen overeenkomstig artikel 13.

Artikel 6 Directoraat-generaal Personele Middelen en Veiligheid

Ten aanzien van IT-beveiliging heeft het directoraat-generaal Personele Middelen en Veiligheid de hierna omschreven verantwoordelijkheden. Het directoraat-generaal:
1.
zorgt voor de onderlinge aanpassing van het IT-beveiligingsbeleid en het informatiebeveiligingsbeleid van de Commissie;
2.
stelt een kader in voor het verlenen van toestemming voor het gebruik van encryptietechnologieën voor de opslag en transmissie van informatie door communicatie- en informatiesystemen;
3.
licht het directoraat-generaal Informatica in over specifieke dreigingen die significante gevolgen zouden kunnen hebben voor de beveiliging van de communicatie- en informatiesystemen en de daarin verwerkte gegevens;
4.
voert IT-beveiligingsinspecties uit ter beoordeling van de conformiteit van de communicatie- en informatiesystemen van de Commissie met het beveiligingsbeleid, en brengt over de resultaten verslag uit aan de ISSB;
5.
stelt een kader in voor het verlenen van de bevoegdheid om vanuit externe netwerken toegang te krijgen tot communicatie- en informatiesystemen van de Commissie en het vaststellen van passende beveiligingsvoorschriften daarvoor, en ontwikkelt de daarmee samenhangende IT-beveiligingsnormen en -richtsnoeren in nauwe samenwerking met het directoraat-generaal Informatica;
6.
stelt beginselen en voorschriften inzake de uitbesteding van communicatie- en informatiesystemen voor, teneinde passende controle over de beveiliging van de informatie te behouden;
7.
ontwikkelt de in de punten 1 tot en met 6 vastgestelde IT-beveiligingsnormen en -richtsnoeren, in nauwe samenwerking met het directoraat-generaal Informatica.
8.
De processen die samenhangen met de in de punten 1 tot en met 7 vastgestelde verantwoordelijkheden en activiteiten, worden nader uitgewerkt in uitvoeringsbepalingen overeenkomstig artikel 13.

Artikel 7 Directoraat-generaal Informatica

Ten aanzien van de algehele IT-beveiliging in de Commissie heeft het directoraat-generaal Informatica de hierna omschreven verantwoordelijkheden. Het directoraat-generaal:
1.
ontwikkelt IT-beveiligingsnormen en -richtsnoeren, behoudens het bepaalde in artikel 6, in nauwe samenwerking met het directoraat-generaal Personele Middelen en Veiligheid, teneinde de consistentie van het IT-beveiligingsbeleid en het informatiebeveiligingsbeleid van de Commissie te verzekeren, en doet daaromtrent voorstellen aan de ISSB;
2.
beoordeelt de methoden, processen en resultaten inzake IT-beveiligingsrisicobeheersing van alle afdelingen van de Commissie en brengt daarover regelmatig verslag uit aan de ISSB;
3.
stelt een doorlopende IT-beveiligingsstrategie voor, die ter herziening en goedkeuring aan de ISSB wordt voorgelegd en met het oog op formele vaststelling bij de bestuursraad wordt ingediend, en stelt een programma en een planning van projecten en activiteiten ter uitvoering van de IT-beveiligingsstrategie voor;
4.
monitort de uitvoering van de IT-beveiligingsstrategie van de Commissie en brengt daarover regelmatig verslag uit aan de ISSB;
5.
monitort de IT-beveiligingsrisico's en de IT-beveiligingsmaatregelen die in de communicatie- en informatiesystemen zijn geïmplementeerd, en brengt daarover regelmatig verslag uit aan de ISSB;
6.
brengt aan de ISSB regelmatig verslag uit over de algehele uitvoering en naleving van dit besluit;
7.
verzoekt systeemeigenaars, na overleg met het directoraat-generaal Personele Middelen en Veiligheid, om specifieke IT-beveiligingsmaatregelen te nemen teneinde IT-beveiligingsrisico's voor de communicatie- en informatiesystemen van de Commissie te reduceren;
8.
zorgt ervoor dat systeemeigenaars en gegevenseigenaars kunnen beschikken over een passende catalogus van door het directoraat-generaal Informatica aangeboden IT-beveiligingsdiensten, zodat zij hun verantwoordelijkheden op het gebied van IT-beveiliging kunnen vervullen en het IT-beveiligingsbeleid en de IT-beveiligingsnormen kunnen naleven;
9.
verstrekt systeemeigenaars en gegevenseigenaars passende documentatie en overlegt zo nodig met hen over de IT-beveiligingsmaatregelen die voor hun IT-diensten zijn getroffen teneinde de naleving van het IT-beveiligingsbeleid te faciliteren en de systeemeigenaars te ondersteunen op het gebied van IT-risicobeheersing;
10.
organiseert regelmatige bijeenkomsten van het LISO-netwerk en ondersteunt de LISO's bij de uitvoering van hun taken;
11.
stelt de opleidingsbehoeften vast en coördineert de opleidingsprogramma's op het gebied van IT-beveiliging in samenwerking met de afdelingen van de Commissie, en zorgt in samenwerking met het directoraat-generaal Personele Middelen en Veiligheid voor de ontwikkeling, uitvoering en coördinatie van bewustmakingscampagnes inzake IT-beveiliging;
12.
zorgt ervoor dat systeemeigenaars, gegevenseigenaars en andere functies met verantwoordelijkheden op het gebied van IT-beveiliging binnen de afdelingen van de Commissie bekend zijn met het IT-beveiligingsbeleid;
13.
licht het directoraat-generaal Personele Middelen en Veiligheid in over specifieke IT-beveiligingsdreigingen en -incidenten en uitzonderingen op het IT-beveiligingsbeleid van de Commissie die door de systeemeigenaars zijn gemeld en een significant effect zouden kunnen hebben op de beveiliging binnen de Commissie;
14.
verstrekt de Commissie, met betrekking tot zijn taak als interne verlener van IT-diensten, een catalogus van gedeelde IT-diensten die welbepaalde beveiligingsniveaus bieden. Dit gebeurt door de IT-beveiligingsrisico's stelselmatig te beoordelen, te beheren en te monitoren met het oog op de uitvoering van de beveiligingsmaatregelen die nodig zijn om het vastgestelde beveiligingsniveau te verwezenlijken.
15.
De processen die samenhangen met de in de punten 1 tot en met 14 vastgestelde verantwoordelijkheden en activiteiten, worden nader uitgewerkt in uitvoeringsbepalingen overeenkomstig artikel 13.

Artikel 8 Afdelingen van de Commissie

De hoofden van alle afdelingen van de Commissie, wat de IT-beveiliging betreft:
1.
wijzen voor elk communicatie- en informatiesysteem formeel een ambtenaar of tijdelijke functionaris aan als systeemeigenaar, die verantwoordelijk is voor de IT-beveiliging van dat communicatie- en informatiesysteem, en wijzen voor elke in een communicatie- en informatiesysteem verwerkte dataset een gegevenseigenaar aan, die behoort tot dezelfde administratieve entiteit die de verwerkingsverantwoordelijke is voor datasets waarop Verordening (EG) nr. 45/2001 van toepassing is;
2.
wijzen formeel een plaatselijke informaticabeveiligingsfunctionaris (LISO) aan, die de desbetreffende verantwoordelijkheden onafhankelijk van de systeemeigenaar en de gegevenseigenaar kan uitvoeren. Een LISO kan worden aangewezen voor één of meer afdelingen van de Commissie;
3.
zorgen ervoor dat passende IT-beveiligingsrisicobeoordelingen en IT-beveiligingsplannen zijn opgesteld en uitgevoerd;
4.
zorgen ervoor dat een het directoraat-generaal Informatica op regelmatige basis een overzicht krijgt van de IT-beveiligingsrisico's en IT-beveiligingsmaatregelen;
5.
zorgen met de steun van het directoraat-generaal Informatica ervoor dat er passende processen, procedures en oplossingen zijn om IT-beveiligingsrisico's met betrekking tot hun communicatie- en informatiesystemen efficiënt op te sporen, te rapporteren en op te lossen;
6.
starten een noodprocedure op bij IT-beveiligingsnoodgevallen;
7.
hebben de uiteindelijke verantwoordingsplicht voor de IT-beveiliging, met inbegrip van de verantwoordelijkheden van de systeemeigenaar en de gegevenseigenaar;
8.
zijn eigenaar van de risico's met betrekking tot hun communicatie- en informatiesystemen en datasets;
9.
zorgen ervoor dat meningsverschillen tussen gegevenseigenaars en systeemeigenaars worden opgelost, en leggen aanhoudende meningsverschillen aan de ISSB voor;
10.
zorgen ervoor dat de IT-beveiligingsplannen en IT-beveiligingsmaatregelen worden uitgevoerd en dat de risico's naar behoren zijn gedekt.
11.
De processen die samenhangen met de in de punten 1 tot en met 10 vastgestelde verantwoordelijkheden en activiteiten, worden nader uitgewerkt in uitvoeringsbepalingen overeenkomstig artikel 13.

Artikel 9 Systeemeigenaars

1

De systeemeigenaar is verantwoordelijk voor de IT-beveiliging van het communicatie- en informatiesysteem en brengt verslag uit aan het hoofd van de afdeling van de Commissie.

2

De systeemeigenaar doet op het gebied van IT-beveiliging het volgende:
a)
hij zorgt voor de conformiteit van het communicatie- en informatiesysteem met het IT-beveiligingsbeleid;
b)
hij zorgt ervoor dat het communicatie- en informatiesysteem naar behoren in de desbetreffende inventaris is opgenomen;
c)
hij beoordeelt de IT-beveiligingsrisico's en stelt de noodzaak van IT-beveiliging vast in samenwerking met de gegevenseigenaars en in overleg met het directoraat-generaal Informatica;
d)
hij stelt een beveiligingsplan op eventueel met gegevens over de beoordeelde risico's en vereiste aanvullende beveiligingsmaatregelen;
e)
hij voert passende IT-beveiligingsmaatregelen uit die evenredig zijn aan de vastgestelde IT-beveiligingsrisico's en volgt de aanbevelingen die door de ISSB zijn goedgekeurd;
f)
hij stelt eventuele afhankelijkheden van andere communicatie- en informatiesystemen of gedeelde IT-diensten vast en voert passende beveiligingsmaatregelen uit op basis van het beveiligingsniveau dat voor die communicatie- en informatiesystemen of gedeelde IT-diensten wordt voorgesteld;
g)
hij beheert en monitort IT-beveiligingsrisico's;
h)
hij brengt regelmatig verslag uit aan het hoofd van de afdeling van de Commissie over het IT-beveiligingsrisicoprofiel van zijn communicatie- en informatiesysteem en aan het directoraat-generaal Informatica over de daarmee samenhangende risico's, risicobeheersingsactiviteiten en beveiligingsmaatregelen;
i)
hij raadpleegt de LISO van de betrokken afdeling van de Commissie inzake aspecten van IT-beveiliging;
j)
hij geeft instructies aan de gebruikers over het gebruik van de communicatie- en informatiesystemen en de daarmee verband houdende gegevens en over de verantwoordelijkheden van de gebruikers met betrekking tot de communicatie- en informatiesystemen;
k)
hij verzoekt het directoraat-generaal Personele Middelen en Veiligheid, dat als crypto-autoriteit optreedt, om toestemming voor elk communicatie- en informatiesysteem dat van encryptietechnologie gebruikmaakt;
l)
hij raadpleegt vooraf de Veiligheidsautoriteit van de Commissie over elk systeem waarmee gerubriceerde EU-informatie wordt verwerkt;
m)
hij zorgt ervoor dat alle encryptiesleutels in een escrowaccount worden opgeslagen. Versleutelde gegevens mogen slechts worden gerecupereerd wanneer daartoe toestemming is verleend overeenkomstig het door het directoraat-generaal Personele Middelen en Veiligheid vastgestelde kader;
n)
hij volgt alle instructies van de betrokken verwerkingsverantwoordelijke op met betrekking tot de bescherming van persoonsgegevens en de toepassing van de gegevensbeschermingsregels ten aanzien van de beveiliging van de verwerking;
o)
hij licht het directoraat-generaal Informatica in over elke uitzondering op het IT-beveiligingsbeleid van de Commissie, met vermelding van de reden daarvan;
p)
hij stelt het hoofd van de afdeling van de Commissie op de hoogte van alle onoplosbare meningsverschillen tussen de gegevenseigenaar en de systeemeigenaar en meldt alle IT-beveiligingsincidenten tijdig aan de belanghebbenden in overeenstemming met de ernst ervan, zoals bepaald in artikel 15;
q)
hij zorgt er ten aanzien van uitbestede systemen voor dat in het uitbestedingscontract passende IT-beveiligingsbepalingen zijn opgenomen en dat IT-beveiligingsincidenten met betrekking tot het uitbestede communicatie- en informatiesysteem overeenkomstig artikel 15 worden gemeld;
r)
hij zorgt ten aanzien van communicatie- en informatiesystemen die gedeelde IT-diensten leveren, ervoor dat in een welbepaald, duidelijk gedocumenteerd beveiligingsniveau wordt voorzien en dat voor die communicatie- en informatiesystemen beveiligingsmaatregelen zijn geïmplementeerd die toereikend zijn om het bepaalde beveiligingsniveau te verwezenlijken.

3

Systeemeigenaars mogen een of meer van hun IT-beveiligingstaken formeel delegeren, maar blijven verantwoordelijk voor de IT-beveiliging van hun communicatie- en informatiesysteem.

4

De processen die samenhangen met de in de leden 1 tot en met 3 vastgestelde verantwoordelijkheden en activiteiten, worden nader uitgewerkt in uitvoeringsbepalingen overeenkomstig artikel 13.

Artikel 10 Gegevenseigenaars

1

Gegevenseigenaars zijn jegens het hoofd van de afdeling van de Commissie verantwoordelijk voor de IT-beveiliging van een specifieke dataset en zijn aansprakelijk voor de vertrouwelijkheid, integriteit en beschikbaarheid van de dataset.

2

De gegevenseigenaar doet met betrekking tot deze dataset het volgende:
a)
hij zorgt ervoor dat alle onder zijn verantwoordelijkheid vallende datasets naar behoren worden gerubriceerd overeenkomstig Besluiten (EU, Euratom) 2015/443 en (EU, Euratom) 2015/444;
b)
hij stelt de noodzaak van informatiebeveiliging vast en licht de desbetreffende systeemeigenaars in over die noodzaak;
c)
hij neemt deel aan de risicobeoordeling ten aanzien van communicatie- en informatiesystemen;
d)
hij stelt het hoofd van de afdeling van de Commissie op de hoogte van alle onoplosbare meningsverschillen tussen de gegevenseigenaar en de systeemeigenaar;
e)
hij meldt IT-beveiligingsincidenten overeenkomstig artikel 15.

3

Gegevenseigenaars mogen een of meer van hun IT-beveiligingstaken formeel delegeren, maar zij behouden de in dit artikel vastgestelde verantwoordelijkheden.

4

De processen die samenhangen met de in de leden 1 tot en met 3 vastgestelde verantwoordelijkheden en activiteiten, worden nader uitgewerkt in uitvoeringsbepalingen overeenkomstig artikel 13.

Artikel 11 Plaatselijke informaticabeveiligingsfunctionarissen (LISO's)

1

De LISO doet op het gebied van IT-beveiliging het volgende:
a)
hij bepaalt en informeert systeemeigenaars, gegevenseigenaars en andere functies met verantwoordelijkheden op het gebied van IT-beveiliging binnen de afdelingen van de Commissie proactief over het IT-beveiligingsbeleid;
b)
als lid van het LISO-netwerk onderhoudt hij contacten met het directoraat-generaal Informatica met betrekking tot kwesties die binnen de afdelingen van de Commissie onder het IT-beveiligingsbeleid vallen;
c)
hij woont de regelmatige LISO-vergaderingen bij;
d)
hij houdt het proces van risicobeheersing op het gebied van informatiebeveiliging en de ontwikkeling en tenuitvoerlegging van beveiligingsplannen voor informatiesystemen in het oog;
e)
hij adviseert gegevenseigenaars, systeemeigenaars en hoofden van afdelingen van de Commissie over kwesties in verband met IT-beveiliging;
f)
hij verspreidt in samenwerking met het directoraat-generaal Informatica goede IT-praktijken en stelt specifieke bewustmakings- en opleidingsprogramma's voor;
g)
hij brengt verslag uit over IT-beveiliging en licht het hoofd van de afdeling van de Commissie in over tekortkomingen en verbeteringen.

2

De processen die samenhangen met de in lid 1 vastgestelde verantwoordelijkheden en activiteiten, worden nader uitgewerkt in uitvoeringsbepalingen overeenkomstig artikel 13.

Artikel 12 Gebruikers

1

Gebruikers doen op het gebied van IT-beveiliging het volgende:
a)
zij houden zich aan het IT-beveiligingsbeleid en de instructies van de systeemeigenaar over het gebruik van elk communicatie- en informatiesysteem;
b)
zij melden IT-beveiligingsincidenten overeenkomstig artikel 15.

2

Het gebruik van communicatie- en informatiesystemen van de Commissie in strijd met het IT-beveiligingsbeleid of de instructies van de systeemeigenaar kan aanleiding geven tot een tuchtrechtelijke procedure.

3

De processen die samenhangen met de in de leden 1 en 2 vastgestelde verantwoordelijkheden en activiteiten, worden nader uitgewerkt in uitvoeringsbepalingen overeenkomstig artikel 13.