11.1.2017   

ES

Diario Oficial de la Unión Europea

L 6/40

(1)

Los sistemas de información y comunicación de la Comisión forman parte integrante del funcionamiento de esta, y los incidentes de seguridad informática puede tener una incidencia decisiva sobre las operaciones de la Comisión y sobre determinados terceros, ya sean particulares, empresas o Estados miembros.

(2)

Existen numerosas amenazas que pueden afectar a la confidencialidad, integridad o disponibilidad de los sistemas de información y comunicación de la Comisión, así como de la información que en ellos se procesa. Entre ellas figuran accidentes, errores, ataques deliberados y catástrofes naturales, que deben reconocerse como riesgos operativos.

(3)

Los sistemas de información y comunicación deben contar con un nivel de protección acorde con la probabilidad, incidencia y naturaleza de los riesgos a que están expuestos.

(4)

La seguridad informática en la Comisión debe garantizar que los SIC de la Comisión protegen la información que procesan y funcionan como y cuando deben funcionar, bajo el control de usuarios legítimos.

(5)

La política de seguridad informática de la Comisión debe aplicarse de manera coherente con sus demás políticas de seguridad.

(6)

La Dirección de Seguridad de la Dirección General de Recursos Humanos y Seguridad tiene la responsabilidad general de la seguridad en la Comisión, bajo la autoridad y responsabilidad del miembro de la Comisión encargado de la seguridad.

(7)

El enfoque de la Comisión debe tener en cuenta las iniciativas políticas y la legislación de la UE sobre seguridad de las redes y la información, las normas de la industria y las buenas prácticas, a fin de dar cumplimiento a toda la legislación pertinente y hacer posibles la interoperabilidad y la compatibilidad.

(8)

Los servicios de la Comisión responsables de los sistemas de información y comunicación deben elaborar y aplicar las medidas oportunas, y deben coordinarse en toda la Comisión las medidas de seguridad informática para la protección de los sistemas de información y comunicación a fin de garantizar su eficiencia y eficacia.

(9)

Las normas y procedimientos de acceso a la información en el contexto de la seguridad informática, incluida la gestión de los incidentes de seguridad informática, deben guardar proporción con la amenaza que representan para la Comisión o su personal y ajustarse a los principios establecidos en el Reglamento (CE) n.o 45/2001 del Parlamento Europeo y del Consejo (1), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos de la Unión y a la libre circulación de estos datos, así como tener en cuenta el principio de secreto profesional, de conformidad con lo dispuesto en el artículo 339 del TFUE.

(10)

Las políticas y normas relativas a los sistemas de información y comunicación que procesen información clasificada de la UE (ICUE), información sensible no clasificada e información no clasificada deben estar plenamente en consonancia con las Decisiones (UE, Euratom) 2015/443 (2) y (UE, Euratom) 2015/444 (3) de la Comisión.

(11)

Es necesario que la Comisión revise y actualice las disposiciones sobre la seguridad de los sistemas de información y comunicación por ella utilizados.

(12)

Por consiguiente, procede derogar la Decisión C(2006) 3602 de la Comisión.

1)

«rendir cuentas», tener que responder acerca de las acciones, las decisiones y el rendimiento;

2)

«CERT-EU»: el equipo de respuesta a emergencias informáticas de las instituciones y agencias de la UE. Su misión es ayudar a las instituciones europeas a protegerse de ataques maliciosos e intencionados que puedan poner en peligro la integridad de sus recursos informáticos y perjudicar a los intereses de la UE. El ámbito de las actividades de CERT-EU cubre la prevención, detección, respuesta y recuperación;

3)

«servicio de la Comisión»: toda Dirección General o departamento de la Comisión, o cualquier gabinete de un miembro de la Comisión;

4)

«autoridad de seguridad de la Comisión»: la función establecida en la Decisión (UE, Euratom) 2015/444;

5)

«sistema de información y comunicación» o «SIC»: todo sistema que permita el tratamiento de información en formato electrónico, incluyendo todos los activos necesarios para su funcionamiento, así como la infraestructura, organización, personal y recursos de información. Esta definición incluye las aplicaciones profesionales, los servicios informáticos compartidos, los sistemas externalizados y los dispositivos de los usuarios finales;

6)

«Consejo de Administración»: aporta el máximo nivel de supervisión de la gestión de las cuestiones administrativas y operativas en la Comisión;

7)

«propietario de datos»: la persona responsable de garantizar la protección y utilización de un conjunto de datos específico gestionado por un SIC;

8)

«conjunto de datos»: un conjunto de información que sirve a un proceso o actividad específicos de la Comisión;

9)

«procedimiento de emergencia»: un conjunto predefinido de métodos y responsabilidades para hacer frente a situaciones de urgencia con el fin de evitar una incidencia importante sobre la Comisión;

10)

«política de seguridad de la información»: una serie de objetivos en materia de seguridad de la información que se han establecido, aplicado y comprobado o deben serlo. Incluye, sin limitarse a ellas, las Decisiones (UE, Euratom) 2015/444 y (UE, Euratom) 2015/443;

11)

«Consejo Director de Seguridad de la Información (ISSB)»: el órgano de gobierno que apoya al Consejo de Administración en sus tareas relacionadas con la seguridad informática;

12)

«proveedor de servicios informáticos interno»: un servicio de la Comisión que presta servicios informáticos compartidos;

13)

«seguridad informática» o «seguridad de los SIC»: la preservación de la confidencialidad, integridad y disponibilidad de los SIC y los conjuntos de datos que procesan;

14)

«directrices de seguridad informática»: las medidas recomendadas, pero voluntarias, que contribuyen a sustentar las normas de seguridad informática o sirven de referencia cuando no existen normas aplicables;

15)

«incidente de seguridad informática»: un suceso que podría afectar negativamente a la confidencialidad, integridad o disponibilidad de un SIC;

16)

«medida de seguridad informática»: una medida técnica u organizativa destinada a atenuar los riesgos de seguridad informática;

17)

«necesidad de seguridad informática»: una definición precisa e inequívoca de los niveles de confidencialidad, integridad y disponibilidad asociados a una información o a un sistema informático con vistas a determinar el nivel de protección requerido;

18)

«objetivo de seguridad informática»: una declaración de intenciones para luchar contra amenazas concretas y/o satisfacer determinados requisitos o supuestos de seguridad organizativa especificados;

19)

«plan de seguridad informática»: la documentación de las medidas de seguridad informática necesarias para satisfacer las necesidades de seguridad informática de un SIC;

20)

«política de seguridad informática»: una serie de objetivos en materia de seguridad informática que se han establecido, aplicado y comprobado o deben serlo. Incluye la presente Decisión y sus disposiciones de aplicación;

21)

«requisito de seguridad informática»: una necesidad de seguridad informática formalizada a través de un proceso predefinido;

22)

«riesgo para la seguridad informática»: un efecto que una amenaza para la seguridad informática podría inducir en un SIC explotando una vulnerabilidad. En este sentido, un riesgo para la seguridad informática se caracteriza por dos factores: 1) incertidumbre, es decir, la probabilidad de que una amenaza a la seguridad informática cause un acontecimiento no deseado, y 2) incidencia, es decir, las consecuencias que puede tener dicho acontecimiento no deseado para un SIC;

23)

«normas de seguridad informática»: las medidas de seguridad informática obligatorias específicas que contribuyen a aplicar y sostener la política de seguridad informática;

24)

«estrategia de seguridad informática»: un conjunto de proyectos y actividades destinados al logro de los objetivos de la Comisión y que deben establecerse, aplicarse y controlarse;

25)

«amenaza para la seguridad informática»: un factor que puede potencialmente conducir a un acontecimiento no deseado que ocasione daños a un SIC. Estas amenazas pueden ser accidentales o deliberadas y se caracterizan por los elementos amenazadores, las posibles dianas y los métodos de ataque;

26)

«responsable local de seguridad informática» o «LISO»: el funcionario que actúa de enlace para la seguridad informática en un servicio de la Comisión;

27)

«datos personales», «tratamiento de datos personales», «responsable del tratamiento» y «fichero de datos personales»: tienen el mismo significado que en el Reglamento (CE) n.o 45/2001, y en particular su artículo 2;

28)

«tratamiento de la información»: todas las funciones de un SIC con respecto a los conjuntos de datos, incluidos la creación, modificación, presentación, almacenamiento, transporte, supresión y archivado de la información. El tratamiento de la información puede efectuarlo un SIC como conjunto de funcionalidades destinadas a los usuarios y como servicios informáticos prestados a otros SIC;

29)

«secreto profesional»: la protección de los datos comerciales de la categoría amparada por la obligación de secreto profesional, en particular la información sobre las empresas, sus relaciones comerciales o los elementos de sus costes según establece el artículo 339 del TFUE;

30)

«ser responsable»: estar obligado a actuar y tomar decisiones con el fin de lograr los resultados requeridos;

31)

«seguridad en la Comisión»: la seguridad de las personas, los bienes y la información de la Comisión, y en particular la integridad física de las personas y los bienes, la integridad, confidencialidad y disponibilidad de la información y de los sistemas de información y comunicación, así como el funcionamiento sin trabas de las operaciones de la Comisión;

32)

«servicio informático compartido»: el servicio que ofrece un SIC a otros SIC para el tratamiento de la información;

33)

«propietario del sistema»: la persona responsable globalmente de la adquisición, el desarrollo, la integración, la modificación, la explotación, el mantenimiento y la retirada de un SIC;

34)

«usuario»: toda persona que utilice la funcionalidad proporcionada por un SIC, ya sea dentro o fuera de la Comisión.

a)

autenticidad: garantía de que la información es verídica y procede de fuentes de buena fe;

b)

disponibilidad: propiedad de ser accesible y utilizable en el momento en que lo requiera una entidad autorizada;

c)

confidencialidad: propiedad de que la información no se revele a personas, organismos o procesos no autorizados;

d)

integridad: propiedad de salvaguardar la exactitud y completitud de la información y los activos;

e)

no repudio: capacidad de demostrar que un acto o suceso ha ocurrido efectivamente, de modo que el acto o suceso no pueda negarse posteriormente;

f)

protección de datos personales: provisión de salvaguardias adecuadas en relación con los datos personales, respetando plenamente el Reglamento (CE) n.o 45/2001;

g)

secreto profesional: la protección de la información de la categoría amparada por la obligación de secreto profesional, en particular la información sobre las empresas, sus relaciones comerciales o los elementos de sus costes según establece el artículo 339 del TFUE.

1)

garantizar la armonización entre la política de seguridad informática y la política de seguridad de la información de la Comisión;

2)

crear un marco para la autorización del uso de tecnologías de cifrado para el almacenamiento y la comunicación de información por parte de los SIC;

3)

informar a la Dirección General de Informática sobre amenazas específicas que puedan tener incidencia significativa en la seguridad de los SIC y los conjuntos de datos que procesan;

4)

realizar inspecciones de seguridad informática para evaluar la conformidad de los SIC de la Comisión con la política de seguridad y comunicar los resultados al ISSB;

5)

crear un marco para la autorización del acceso, y las correspondientes reglas de seguridad apropiadas, a los SIC de la Comisión desde redes externas y elaborar las directrices y normas de seguridad informática conexas, en estrecha cooperación con la Dirección General de Informática;

6)

proponer principios y reglas para la externalización de los SIC con objeto de mantener un control adecuado de la seguridad de la información;

7)

elaborar las correspondientes directrices y normas de seguridad informática en relación con el artículo 6, en estrecha cooperación con la Dirección General de Informática.

1)

elaborar normas y directrices de seguridad informática, con excepción de lo dispuesto en el artículo 6, en estrecha cooperación con la Dirección General de Recursos Humanos y Seguridad, con vistas a asegurar la coherencia entre la política de seguridad informática y la política de seguridad de la información de la Comisión, y proponerlas al ISSB;

2)

evaluar los métodos, procesos y resultados de gestión de los riesgos para la seguridad informática de todos los servicios de la Comisión e informar periódicamente al respecto al ISSB;

3)

proponer una estrategia móvil de seguridad informática para su revisión y aprobación por el ISSB y ulterior adopción por el Consejo de Administración, y proponer un programa, incluida la planificación de los proyectos y actividades por los que se aplique la estrategia de seguridad informática;

4)

supervisar la ejecución de la estrategia de seguridad informática de la Comisión e informar al respecto periódicamente al ISSB;

5)

supervisar los riesgos para la seguridad informática y las medidas de seguridad informática aplicadas en los SIC e informar al respecto periódicamente al ISSB;

6)

informar periódicamente al ISSB sobre la ejecución general y el cumplimiento de la presente Decisión;

7)

previa consulta con la Dirección General de Recursos Humanos y Seguridad, solicitar a los propietarios de sistemas que tomen determinadas medidas de seguridad informática a fin de atenuar los riesgos para la seguridad informática de los SIC de la Comisión;

8)

garantizar que exista un catálogo adecuado de servicios de seguridad informática de la Dirección General de Informática a disposición de los propietarios de sistemas y los propietarios de datos para facilitarles el desempeño de sus responsabilidades en materia de seguridad informática y el cumplimiento de las normas y la política de seguridad informática;

9)

ofrecer una documentación adecuada a los propietarios de sistemas y de datos y evacuar consultas con ellos, cuando proceda, sobre las medidas de seguridad informática aplicadas en sus servicios informáticos a fin de facilitar el cumplimiento de la política de seguridad informática y prestar apoyo a los propietarios de sistemas en la gestión de los riesgos informáticos;

10)

organizar periódicamente reuniones de la red de LISO y prestar apoyo a estos en el desempeño de sus funciones;

11)

definir las necesidades de formación y coordinar los programas de formación sobre seguridad informática en cooperación con los servicios de la Comisión, y desarrollar, ejecutar y coordinar campañas de sensibilización sobre la seguridad informática en estrecha cooperación con la Dirección General de Recursos Humanos;

12)

garantizar que los propietarios de sistemas, los propietarios de datos y otras funciones con responsabilidades de seguridad informática en los servicios de la Comisión estén al tanto de la política de seguridad informática;

13)

informar a la Dirección General de Recursos Humanos y Seguridad sobre las amenazas específicas para la seguridad informática, los incidentes y las excepciones a la política de seguridad informática de la Comisión notificadas por los propietarios de sistemas que puedan tener una incidencia importante sobre la seguridad en la Comisión;

14)

por lo que se refiere a su papel de proveedor de servicios informáticos internos, presentar a la Comisión un catálogo de servicios informáticos compartidos que prevean niveles definidos de seguridad; tal cosa se realizará evaluando, gestionando y supervisando sistemáticamente los riesgos para la seguridad informática, a fin de aplicar las medidas de seguridad que permitan alcanzar el nivel de seguridad definido.

1)

designar oficialmente para cada SIC un propietario del sistema, funcionario o agente temporal, que será el responsable de la seguridad informática de ese SIC y designar oficialmente un propietario de los datos para cada conjunto de datos gestionados en un SIC, que debe pertenecer a la misma entidad administrativa que sea el responsable del tratamiento de datos para los conjuntos de datos sujetos al Reglamento (CE) n.o 45/2001;

2)

designar oficialmente un responsable local de seguridad informática (LISO) que pueda desempeñar las responsabilidades con independencia de los propietarios de sistemas y los propietarios de datos; se podrá designar un LISO para uno o varios servicios de la Comisión;

3)

velar por que se hayan realizado y aplicado las evaluaciones de riesgos para la seguridad informática y los planes de seguridad informática apropiados;

4)

velar por que se comunique periódicamente un resumen de los riesgos y medidas de seguridad informática a la Dirección General de Informática;

5)

velar, con el apoyo de la Dirección General de Informática, por la implantación de los procesos, procedimientos y soluciones adecuados para garantizar la detección, notificación y resolución eficientes de los incidentes de seguridad informática relativos a sus SIC;

6)

poner en marcha un procedimiento de emergencia en caso de emergencias de seguridad informática;

7)

rendir cuentas en última instancia sobre la seguridad informática, incluidas las responsabilidades de los propietarios de sistemas y los propietarios de datos;

8)

asumir los riesgos ligados a sus propios SIC y conjuntos de datos;

9)

resolver los eventuales desacuerdos entre los propietarios de datos y los propietarios de sistemas y, en caso de persistir el desacuerdo, someter el asunto al ISSB para su resolución;

10)

velar por que se apliquen los planes y las medidas de seguridad informática y por que los riesgos estén adecuadamente cubiertos.

a)

velar por la conformidad del SIC con la política de seguridad informática;

b)

velar por que el SIC esté adecuadamente registrado en el inventario correspondiente;

c)

evaluar los riesgos para la seguridad informática y determinar las necesidades de seguridad informática de cada SIC, en colaboración con los propietarios de datos y en consulta con la Dirección General de Informática;

d)

preparar un plan de seguridad que incluya, cuando proceda, detalles relativos a los riesgos evaluados y las medidas de seguridad adicionales necesarias;

e)

aplicar las medidas de seguridad informática apropiadas, proporcionales a los riesgos para la seguridad informática identificados y siguiendo las recomendaciones aprobadas por el ISSB;

f)

detectar cualquier dependencia respecto de otros SIC o servicios informáticos compartidos y aplicar las medidas de seguridad adecuadas en función de los niveles de seguridad propuestos por dichos SIC o servicios informáticos compartidos;

g)

gestionar y supervisar los riesgos para la seguridad informática;

h)

informar periódicamente al jefe del servicio de la Comisión sobre el perfil de riesgo para la seguridad informática de su SIC e informar a la Dirección General de Informática sobre los riesgos conexos, las actividades de gestión del riesgo y las medidas de seguridad adoptadas;

i)

consultar al LISO del servicio o los servicios de la Comisión pertinentes sobre aspectos de la seguridad informática;

j)

publicar instrucciones destinadas a los usuarios sobre la utilización del SIC y los datos asociados, así como sobre las responsabilidades de los usuarios en relación con el SIC;

k)

solicitar autorización de la Dirección General de Recursos Humanos y Seguridad, en calidad de autoridad criptográfica, para cualquier SIC que utilice tecnología de cifrado;

l)

consultar por adelantado a la autoridad de seguridad de la Comisión con respecto a los sistemas que procesen información clasificada de la UE;

m)

velar por que las copias de seguridad de las claves de descifrado se almacenen en una cuenta bloqueada; la recuperación de datos cifrados se llevará a cabo solo cuando esté autorizada de conformidad con el marco definido por la Dirección General de Recursos Humanos y Seguridad;

n)

respetar todas las instrucciones del responsable o los responsables del tratamiento pertinentes referidas a la protección de los datos personales y la aplicación de las reglas sobre protección de datos a la seguridad del tratamiento;

o)

notificar a la Dirección General de Informática las posibles excepciones a la política de seguridad informática de la Comisión, incluyendo las justificaciones pertinentes;

p)

informar al jefe del servicio de la Comisión de cualquier desacuerdo insuperable entre el propietario de datos y el propietario del sistema, y comunicar oportunamente los incidentes de seguridad informática a las partes interesadas, según proceda en función de su gravedad, con arreglo a lo dispuesto en el artículo 15;

q)

en el caso de los sistemas externalizados, velar por que se incluyan las disposiciones sobre seguridad informática adecuadas en los contratos de externalización y por que los incidentes de seguridad que se produzcan en los SIC externalizados se notifiquen de conformidad con el artículo 15;

r)

en el caso de los SIC que prestan servicios informáticos compartidos, garantizar que se ofrece un nivel de seguridad definido, claramente documentado y que se aplican medidas de seguridad en ese SIC a fin de alcanzar el nivel de seguridad definido.

a)

velar por que todos los conjuntos de datos bajo su responsabilidad se clasifiquen adecuadamente de conformidad con las Decisiones (UE, Euratom) 2015/443 y (UE, Euratom) 2015/444;

b)

definir las necesidades de seguridad de la información e informar a los propietarios de sistemas pertinentes acerca de estas necesidades;

c)

participar en la evaluación del riesgo del SIC;

d)

comunicar al jefe del servicio de la Comisión cualquier desacuerdo insuperable entre el propietario de datos y el propietario del sistema;

e)

comunicar los incidentes de seguridad informática conforme a lo dispuesto en el artículo 15.

a)

identificar de manera proactiva a los propietarios de sistemas, los propietarios de datos y otras funciones con responsabilidades de seguridad informática en los servicios de la Comisión e informarles acerca de la política de seguridad informática;

b)

servir de enlace sobre cuestiones relacionadas con la seguridad informática en los servicios de la Comisión con la Dirección General de Informática, en el marco de la red de LISO;

c)

asistir a las reuniones periódicas de LISO;

d)

mantener una visión general del proceso de gestión de riesgos para la seguridad de la información y del desarrollo y aplicación de los planes de seguridad del sistema de información;

e)

asesorar a los propietarios de datos, a los propietarios de sistemas y a los jefes de los servicios de la Comisión sobre temas relacionados con la seguridad informática;

f)

cooperar con la Dirección General de Informática en la difusión de buenas prácticas de seguridad informática y proponer programas específicos de sensibilización y programas de formación;

g)

presentar al jefe del servicio o los servicios de la Comisión informes sobre la seguridad informática, las carencias detectadas y las posibles mejoras.

a)

respetar la política de seguridad informática y las instrucciones impartidas por el propietario del sistema para el uso de cada SIC;

b)

comunicar los incidentes de seguridad informática conforme a lo dispuesto en el artículo 15.

a)

tendrá derecho a acceder a la información resumida de todos los registros de incidentes, y a los registros completos previa solicitud;

b)

participará en los grupos de gestión de crisis para los incidentes de seguridad informática y en los procedimientos de emergencia de seguridad informática;

c)

se encargará de las relaciones con las fuerzas y cuerpos de seguridad y los servicios de inteligencia;

d)

llevará a cabo análisis forenses sobre ciberseguridad de conformidad con el artículo 11 de la Decisión (UE, Euratom) 2015/443;

e)

tomará una decisión sobre la necesidad de iniciar una investigación oficial;

f)

informará a la Dirección General de Informática de cualquier incidente relacionado con la seguridad informática que pueda crear un riesgo para otros SIC.

a)

notificar inmediatamente a su jefe de servicio de la Comisión, a la Dirección General de Informática, a la Dirección General de Recursos Humanos, al LISO y, en su caso, al propietario de los datos todos los incidentes de seguridad informática importantes, en particular los que impliquen una violación de la confidencialidad de los datos;

b)

cooperar y seguir las instrucciones de las autoridades pertinentes de la Comisión relativas a la comunicación, respuesta y rehabilitación en caso de incidente.