11.1.2017   

NL

Publicatieblad van de Europese Unie

L 6/40

(1)

De communicatie- en informatiesystemen van de Commissie zijn een integrerend onderdeel van de werking van de Commissie, en IT-beveiligingsincidenten kunnen ernstige gevolgen hebben voor de werkzaamheden van de Commissie, alsmede voor derden, waaronder natuurlijke personen, ondernemingen en lidstaten.

(2)

Er bestaan vele dreigingen die de vertrouwelijkheid, integriteit of beschikbaarheid van de communicatie- en informatiesystemen van de Commissie en de daarin verwerkte gegevens kunnen aantasten. Deze dreigingen, die onder meer ongevallen, fouten, opzettelijke aanvallen en natuurverschijnselen omvatten, moeten als operationele risico's worden erkend.

(3)

Communicatie- en informatiesystemen moeten zijn voorzien van bescherming op een niveau dat in overeenstemming is met de waarschijnlijkheid, het effect en de aard van de risico's waaraan zij zijn blootgesteld.

(4)

De IT-beveiliging binnen de Commissie moet waarborgen dat de communicatie- en informatiesystemen van de Commissie de erin verwerkte gegevens beschermen en dat zij, wanneer zij door rechtmatige gebruikers worden bediend, op alle noodzakelijke momenten functioneren overeenkomstig wat noodzakelijk is.

(5)

De tenuitvoerlegging van het IT-beveiligingsbeleid van de Commissie moet consistent zijn met die van het beleid dat binnen de Commissie op beveiligingsgebied wordt toegepast.

(6)

De algemene verantwoordelijkheid voor de beveiliging binnen de Commissie berust bij het directoraat Beveiliging van het directoraat-generaal Personele Middelen en Veiligheid, onder het gezag en de verantwoordelijkheid van het met de beveiliging belaste lid van de Commissie.

(7)

De door de Commissie gehanteerde benadering moet rekening houden met beleidsinitiatieven en wetgeving van de EU inzake netwerk- en informatiebeveiliging, industrienormen en goede praktijken, teneinde aan alle wetgeving ter zake te voldoen en interoperabiliteit en compatibiliteit mogelijk te maken.

(8)

De voor de communicatie- en informatiesystemen verantwoordelijke afdelingen van de Commissie moeten passende maatregelen ontwikkelen en uitvoeren en de IT-beveiligingsmaatregelen ter bescherming van de communicatie- en informatiesystemen moeten binnen de Commissie worden gecoördineerd met het oog op efficiëntie en doeltreffendheid.

(9)

De voorschriften en procedures voor de toegang tot informatie in de context van de IT-beveiliging, met inbegrip van de afhandeling van IT-beveiligingsincidenten, moeten evenredig zijn met de dreiging voor de Commissie en haar personeel en moeten voldoen aan de beginselen die zijn vastgelegd in Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad (1) betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de uniale instellingen en organen en betreffende het vrije verkeer van die gegevens, met inachtneming van de geheimhoudingsplicht bedoeld in artikel 339 VWEU.

(10)

Het beleid en de voorschriften inzake communicatie- en informatiesystemen waarmee gerubriceerde EU-informatie (EUCI), gevoelige niet-gerubriceerde informatie en andere niet-gerubriceerde informatie wordt verwerkt, moeten volledig in overeenstemming zijn met Besluiten (EU, Euratom) 2015/443 (2) en (EU, Euratom) 2015/444 (3) van de Commissie.

(11)

Het is noodzakelijk dat de Commissie de bepalingen inzake de beveiliging van de door de Commissie gebruikte communicatie- en informatiesystemen herziet en actualiseert.

(12)

Besluit C(2006) 3602 van de Commissie dient bijgevolg te worden ingetrokken,

1.

„verantwoordingsplicht”: de verplichting om verantwoording af te leggen met betrekking tot acties, besluiten en prestaties;

2.

„CERT-EU”: het computercrisisteam voor de EU-instellingen en agentschappen. CERT-EU heeft tot taak de Europese instellingen te ondersteunen bij de bescherming tegen doelbewuste en kwaadwillige aanvallen die de integriteit van de IT-installaties kunnen aantasten en de belangen van de EU kunnen schaden. Tot de activiteiten van CERT-EU behoren preventie, opsporing, respons en herstel;

3.

„afdeling van de Commissie” een directoraat-generaal of dienst van de Commissie, of een kabinet van een lid van de Commissie;

4.

„Veiligheidsautoriteit van de Commissie”: de in Besluit 2015/444 (EU, Euratom) bedoelde functie;

5.

„communicatie- en informatiesysteem” of „CIS”: elk systeem dat de verwerking van informatie in elektronische vorm mogelijk maakt, met inbegrip van alle daarvoor vereiste goederen, infrastructuur, organisatie, personeel en informatiebronnen. Deze definitie omvat tevens zakelijke toepassingen, gedeelde IT-diensten, uitbestede systemen en eindgebruikersapparatuur;

6.

„bestuursraad” of „CMB”: de instantie die instaat voor het hoogste niveau van managementtoezicht inzake operationele en bestuurlijke aangelegenheden binnen de Commissie;

7.

„gegevenseigenaar”: de persoon die ervoor verantwoordelijk is dat wordt voorzien in de bescherming en het gebruik van een specifieke dataset door een CIS;

8.

„dataset”: een reeks gegevens die ten dienste staat van een specifiek bedrijfsproces of een specifieke bedrijfsactiviteit van de Commissie;

9.

„noodprocedure”: een vooraf vastgestelde reeks methoden en verantwoordelijkheden die in spoedeisende situaties worden toegepast om ernstige gevolgen voor de Commissie te voorkomen;

10.

„beleid inzake informatiebeveiliging”: een verzameling doelstellingen op het gebied van informatiebeveiliging die moeten worden vastgesteld, uitgevoerd en geverifieerd. Hiertoe behoren onder meer de Besluiten (EU, Euratom) 2015/443 en (EU, Euratom) 2015/444;

11.

„stuurgroep voor informatiebeveiliging” of „ISSB”: een governanceorgaan dat de bestuursraad ondersteunt bij taken die met IT-beveiliging samenhangen;

12.

„interne IT-dienstverlener”: een afdeling van de Commissie die gedeelde IT-diensten verleent;

13.

„IT-beveiliging” of „beveiliging van communicatie- en informatiesystemen” of „beveiliging van CIS”: de instandhouding van de vertrouwelijkheid, de integriteit en de beschikbaarheid van communicatie- en informatiesystemen en de datasets die erin worden verwerkt;

14.

„richtsnoeren voor IT-beveiliging”: aanbevolen, maar vrijwillige maatregelen die de ondersteuning van IT-beveiligingsnormen vergemakkelijken of als referentie dienen bij gebreke van een toepasselijke norm;

15.

„IT-beveiligingsincident”: een gebeurtenis die de vertrouwelijkheid, de integriteit of de beschikbaarheid van een CIS nadelig zou kunnen beïnvloeden;

16.

„IT-beveiligingsmaatregel”: een technische of organisatorische maatregel gericht op beperking van IT-beveiligingsrisico's;

17.

„noodzaak van IT-beveiliging”: een precieze en ondubbelzinnige bepaling van het bij een gegeven of een IT-systeem behorende niveau van vertrouwelijkheid, integriteit en beschikbaarheid, bedoeld om de vereiste mate van bescherming vast te stellen;

18.

„IT-beveiligingsdoelstelling”: een verklaring van de intentie om welbepaalde dreigingen het hoofd te bieden en/of te voldoen aan welbepaalde organisatorische beveiligingsvereisten of -aannames;

19.

„IT-beveiligingsplan”: de documentatie van de IT-beveiligingsmaatregelen die vereist zijn om aan de noodzaak van IT-beveiliging in verband met een communicatie- en informatiesysteem te voldoen;

20.

„IT-beveiligingsbeleid”: een verzameling doelstellingen op het gebied van IT-beveiliging die moeten worden vastgesteld, uitgevoerd en geverifieerd. Het IT-beveiligingsbeleid omvat dit besluit en de uitvoeringsbepalingen ervoor;

21.

„IT-beveiligingsvereiste”: een volgens een vooraf bepaald proces geformaliseerde noodzaak van IT-beveiliging;

22.

„IT-beveiligingsrisico”: het gevolg dat een IT-beveiligingsdreiging voor een communicatie- en informatiesysteem kan hebben door een kwetsbaarheid van dat systeem te exploiteren. Een IT-beveiligingsrisico wordt dus gekenmerkt door twee factoren: 1) onzekerheid, dat wil zeggen de kans dat een IT-beveiligingsdreiging tot een ongewenste gebeurtenis leidt, en 2) impact, dat wil zeggen de gevolgen die voor een communicatiesysteem uit deze ongewenste gebeurtenis kunnen voortvloeien;

23.

„IT-beveiligingsnormen”: specifieke verplichte IT-beveiligingsmaatregelen die bijdragen tot de handhaving en ondersteuning van het IT-beveiligingsbeleid;

24.

„IT-beveiligingsstrategie”: een reeks projecten en activiteiten die zijn opgezet om de doelstellingen van de Commissie te bereiken en die moeten worden vastgesteld, uitgevoerd en geverifieerd;

25.

„IT-beveiligingsdreiging”: een factor die mogelijk een ongewenste gebeurtenis tot gevolg heeft die tot schade aan een communicatie- en informatiesysteem kan leiden. Dergelijke dreigingen kunnen opzettelijk of onopzettelijk zijn en worden gekenmerkt door bedreigende elementen, mogelijke doelwitten en aanvalsmethoden;

26.

„plaatselijke informaticabeveiligingsfunctionaris” of „LISO”: de verbindingsfunctionaris op het gebied van IT-beveiliging voor een afdeling van de Commissie;

27.

de termen „persoonsgegevens”, „verwerking van persoonsgegevens”, „verwerkingsverantwoordelijke” en „bestand van persoonsgegevens” hebben dezelfde betekenis als de termen „persoonsgegevens”, „verwerking van persoonsgegevens”, „verantwoordelijke voor de verwerking” en „bestand van persoonsgegevens” in Verordening (EG) nr. 45/2001, en met name artikel 2;

28.

„verwerking van informatie”: alle functies van een communicatie- en informatiesysteem met betrekking tot datasets, waaronder het aanmaken, het wijzigen, het weergeven, het opslaan, het doorgeven, het wissen en het archiveren van informatie. De verwerking van informatie kan door een communicatie- en informatiesysteem worden aangeboden als een functie voor de gebruikers of een IT-dienst voor andere communicatie- en informatiesystemen;

29.

„geheimhouding”: de bescherming van bedrijfsgegevens die naar hun aard vallen onder de geheimhoudingsplicht en met name de inlichtingen betreffende ondernemingen en hun handelsbetrekkingen of bestanddelen van hun kostprijzen, zoals bedoeld in artikel 339 VWEU;

30.

„verantwoordelijk”: de verplichting hebbend om op te treden en besluiten te nemen om de vereiste resultaten tot stand te brengen;

31.

„beveiliging binnen de Commissie”: de beveiliging van personen, goederen en informatie binnen de Commissie, en meer specifiek de fysieke integriteit van personen en goederen, de integriteit, vertrouwelijkheid en beschikbaarheid van informatie en communicatie- en informatiesystemen, alsook het onbelemmerde functioneren van de werkzaamheden van de Commissie;

32.

„gedeelde IT-dienst”: een dienst die een communicatie- en informatiesysteem verstrekt aan andere communicatie- en informatiesystemen op het gebied van de verwerking van informatie;

33.

„systeemeigenaar”: de persoon die de algehele verantwoordelijkheid draagt voor de aanschaf, ontwikkeling, integratie, wijziging, werking, onderhoud en buitendienststelling van een communicatie- en informatiesysteem;

34.

„gebruiker”: een persoon die gebruikmaakt van de functies die een communicatie- en informatiesysteem aanbiedt, zowel binnen als buiten de Commissie.

a)

authenticiteit: de garantie dat informatie echt is en van bonafide bronnen afkomstig is;

b)

beschikbaarheid: de eigenschap dat informatie op verzoek van een gemachtigde entiteit toegankelijk en bruikbaar is;

c)

vertrouwelijkheid: de eigenschap dat informatie niet wordt vrijgegeven aan niet-gemachtigde personen, entiteiten of processen;

d)

integriteit: de eigenschap dat de nauwkeurigheid en de volledigheid van de goederen en de informatie is gewaarborgd;

e)

onweerlegbaarheid: de eigenschap dat kan worden bewezen dat een actie of gebeurtenis heeft plaatsgevonden, zodat deze actie of gebeurtenis niet achteraf kan worden ontkend;

f)

bescherming van persoonsgegevens: het voorzien in passende waarborgen ten aanzien van persoonsgegevens, met volledige inachtneming van Verordening (EG) nr. 45/2001:

g)

geheimhouding: de bescherming van informatie die naar haar aard onder de geheimhoudingsplicht valt en met name inlichtingen betreffende ondernemingen en hun handelsbetrekkingen of de bestanddelen van hun kostprijzen, zoals bedoeld in artikel 339 VWEU;

1.

zorgt voor de onderlinge aanpassing van het IT-beveiligingsbeleid en het informatiebeveiligingsbeleid van de Commissie;

2.

stelt een kader in voor het verlenen van toestemming voor het gebruik van encryptietechnologieën voor de opslag en transmissie van informatie door communicatie- en informatiesystemen;

3.

licht het directoraat-generaal Informatica in over specifieke dreigingen die significante gevolgen zouden kunnen hebben voor de beveiliging van de communicatie- en informatiesystemen en de daarin verwerkte gegevens;

4.

voert IT-beveiligingsinspecties uit ter beoordeling van de conformiteit van de communicatie- en informatiesystemen van de Commissie met het beveiligingsbeleid, en brengt over de resultaten verslag uit aan de ISSB;

5.

stelt een kader in voor het verlenen van de bevoegdheid om vanuit externe netwerken toegang te krijgen tot communicatie- en informatiesystemen van de Commissie en het vaststellen van passende beveiligingsvoorschriften daarvoor, en ontwikkelt de daarmee samenhangende IT-beveiligingsnormen en -richtsnoeren in nauwe samenwerking met het directoraat-generaal Informatica;

6.

stelt beginselen en voorschriften inzake de uitbesteding van communicatie- en informatiesystemen voor, teneinde passende controle over de beveiliging van de informatie te behouden;

7.

ontwikkelt IT-beveiligingsnormen en -richtsnoeren met betrekking tot artikel 6, in nauwe samenwerking met het directoraat-generaal Informatica.

1.

ontwikkelt IT-beveiligingsnormen en -richtsnoeren, behoudens het bepaalde in artikel 6, in nauwe samenwerking met het directoraat-generaal Personele Middelen en Veiligheid, teneinde de consistentie van het IT-beveiligingsbeleid en het informatiebeveiligingsbeleid van de Commissie te verzekeren, en doet daaromtrent voorstellen aan de ISSB;

2.

beoordeelt de methoden, processen en resultaten inzake IT-beveiligingsrisicobeheersing van alle afdelingen van de Commissie en brengt daarover regelmatig verslag uit aan de ISSB;

3.

stelt een doorlopende IT-beveiligingsstrategie voor, die ter herziening en goedkeuring aan de ISSB wordt voorgelegd en met het oog op formele vaststelling bij de bestuursraad wordt ingediend, en stelt een programma en een planning van projecten en activiteiten ter uitvoering van de IT-beveiligingsstrategie voor;

4.

monitort de uitvoering van de IT-beveiligingsstrategie van de Commissie en brengt daarover regelmatig verslag uit aan de ISSB;

5.

monitort de IT-beveiligingsrisico's en de IT-beveiligingsmaatregelen die in de communicatie- en informatiesystemen zijn geïmplementeerd, en brengt daarover regelmatig verslag uit aan de ISSB;

6.

brengt aan de ISSB regelmatig verslag uit over de algehele uitvoering en naleving van dit besluit;

7.

verzoekt systeemeigenaars, na overleg met het directoraat-generaal Personele Middelen en Veiligheid, om specifieke IT-beveiligingsmaatregelen te nemen teneinde IT-beveiligingsrisico's voor de communicatie- en informatiesystemen van de Commissie te reduceren;

8.

zorgt ervoor dat systeemeigenaars en gegevenseigenaars kunnen beschikken over een passende catalogus van door het directoraat-generaal Informatica aangeboden IT-beveiligingsdiensten, zodat zij hun verantwoordelijkheden op het gebied van IT-beveiliging kunnen vervullen en het IT-beveiligingsbeleid en de IT-beveiligingsnormen kunnen naleven;

9.

verstrekt systeemeigenaars en gegevenseigenaars passende documentatie en overlegt zo nodig met hen over de IT-beveiligingsmaatregelen die voor hun IT-diensten zijn getroffen teneinde de naleving van het IT-beveiligingsbeleid te faciliteren en de systeemeigenaars te ondersteunen op het gebied van IT-risicobeheersing;

10.

organiseert regelmatige bijeenkomsten van het LISO-netwerk en ondersteunt de LISO's bij de uitvoering van hun taken;

11.

stelt de opleidingsbehoeften vast en coördineert de opleidingsprogramma's op het gebied van IT-beveiliging in samenwerking met de afdelingen van de Commissie, en zorgt in samenwerking met het directoraat-generaal Personele Middelen en Veiligheid voor de ontwikkeling, uitvoering en coördinatie van bewustmakingscampagnes inzake IT-beveiliging;

12.

zorgt ervoor dat systeemeigenaars, gegevenseigenaars en andere functies met verantwoordelijkheden op het gebied van IT-beveiliging binnen de afdelingen van de Commissie bekend zijn met het IT-beveiligingsbeleid;

13.

licht het directoraat-generaal Personele Middelen en Veiligheid in over specifieke IT-beveiligingsdreigingen en -incidenten en uitzonderingen op het IT-beveiligingsbeleid van de Commissie die door de systeemeigenaars zijn gemeld en een significant effect zouden kunnen hebben op de beveiliging binnen de Commissie;

14.

verstrekt de Commissie, met betrekking tot zijn taak als interne verlener van IT-diensten, een catalogus van gedeelde IT-diensten die welbepaalde beveiligingsniveaus bieden. Dit gebeurt door de IT-beveiligingsrisico's stelselmatig te beoordelen, te beheren en te monitoren met het oog op de uitvoering van de beveiligingsmaatregelen die nodig zijn om het vastgestelde beveiligingsniveau te verwezenlijken.

1.

wijzen voor elk communicatie- en informatiesysteem formeel een ambtenaar of tijdelijke functionaris aan als systeemeigenaar, die verantwoordelijk is voor de IT-beveiliging van dat communicatie- en informatiesysteem, en wijzen voor elke in een communicatie- en informatiesysteem verwerkte dataset een gegevenseigenaar aan, die behoort tot dezelfde administratieve entiteit die de verwerkingsverantwoordelijke is voor datasets waarop Verordening (EG) nr. 45/2001 van toepassing is;

2.

wijzen formeel een plaatselijke informaticabeveiligingsfunctionaris (LISO) aan, die de desbetreffende verantwoordelijkheden onafhankelijk van de systeemeigenaar en de gegevenseigenaar kan uitvoeren. Een LISO kan worden aangewezen voor één of meer afdelingen van de Commissie;

3.

zorgen ervoor dat passende IT-beveiligingsrisicobeoordelingen en IT-beveiligingsplannen zijn opgesteld en uitgevoerd;

4.

zorgen ervoor dat een het directoraat-generaal Informatica op regelmatige basis een overzicht krijgt van de IT-beveiligingsrisico's en IT-beveiligingsmaatregelen;

5.

zorgen met de steun van het directoraat-generaal Informatica ervoor dat er passende processen, procedures en oplossingen zijn om IT-beveiligingsrisico's met betrekking tot hun communicatie- en informatiesystemen efficiënt op te sporen, te rapporteren en op te lossen;

6.

starten een noodprocedure op bij IT-beveiligingsnoodgevallen;

7.

hebben de uiteindelijke verantwoordingsplicht voor de IT-beveiliging, met inbegrip van de verantwoordelijkheden van de systeemeigenaar en de gegevenseigenaar;

8.

zijn eigenaar van de risico's met betrekking tot hun communicatie- en informatiesystemen en datasets;

9.

zorgen ervoor dat meningsverschillen tussen gegevenseigenaars en systeemeigenaars worden opgelost, en leggen aanhoudende meningsverschillen aan de ISSB voor;

10.

zorgen ervoor dat de IT-beveiligingsplannen en IT-beveiligingsmaatregelen worden uitgevoerd en dat de risico's naar behoren zijn gedekt.

a)

hij zorgt voor de conformiteit van het communicatie- en informatiesysteem met het IT-beveiligingsbeleid;

b)

hij zorgt ervoor dat het communicatie- en informatiesysteem naar behoren in de desbetreffende inventaris is opgenomen;

c)

hij beoordeelt de IT-beveiligingsrisico's en stelt de noodzaak van IT-beveiliging vast in samenwerking met de gegevenseigenaars en in overleg met het directoraat-generaal Informatica;

d)

hij stelt een beveiligingsplan op eventueel met gegevens over de beoordeelde risico's en vereiste aanvullende beveiligingsmaatregelen;

e)

hij voert passende IT-beveiligingsmaatregelen uit die evenredig zijn aan de vastgestelde IT-beveiligingsrisico's en volgt de aanbevelingen die door de ISSB zijn goedgekeurd;

f)

hij stelt eventuele afhankelijkheden van andere communicatie- en informatiesystemen of gedeelde IT-diensten vast en voert passende beveiligingsmaatregelen uit op basis van het beveiligingsniveau dat voor die communicatie- en informatiesystemen of gedeelde IT-diensten wordt voorgesteld;

g)

hij beheert en monitort IT-beveiligingsrisico's;

h)

hij brengt regelmatig verslag uit aan het hoofd van de afdeling van de Commissie over het IT-beveiligingsrisicoprofiel van zijn communicatie- en informatiesysteem en aan het directoraat-generaal Informatica over de daarmee samenhangende risico's, risicobeheersingsactiviteiten en beveiligingsmaatregelen;

i)

hij raadpleegt de LISO van de betrokken afdeling van de Commissie inzake aspecten van IT-beveiliging;

j)

hij geeft instructies aan de gebruikers over het gebruik van de communicatie- en informatiesystemen en de daarmee verband houdende gegevens en over de verantwoordelijkheden van de gebruikers met betrekking tot de communicatie- en informatiesystemen;

k)

hij verzoekt het directoraat-generaal Personele Middelen en Veiligheid, dat als crypto-autoriteit optreedt, om toestemming voor elk communicatie- en informatiesysteem dat van encryptietechnologie gebruikmaakt;

l)

hij raadpleegt vooraf de Veiligheidsautoriteit van de Commissie over elk systeem waarmee gerubriceerde EU-informatie wordt verwerkt;

m)

hij zorgt ervoor dat alle encryptiesleutels in een escrowaccount worden opgeslagen. Versleutelde gegevens mogen slechts worden gerecupereerd wanneer daartoe toestemming is verleend overeenkomstig het door het directoraat-generaal Personele Middelen en Veiligheid vastgestelde kader;

n)

hij volgt alle instructies van de betrokken verwerkingsverantwoordelijke op met betrekking tot de bescherming van persoonsgegevens en de toepassing van de gegevensbeschermingsregels ten aanzien van de beveiliging van de verwerking;

o)

hij licht het directoraat-generaal Informatica in over elke uitzondering op het IT-beveiligingsbeleid van de Commissie, met vermelding van de reden daarvan;

p)

hij stelt het hoofd van de afdeling van de Commissie op de hoogte van alle onoplosbare meningsverschillen tussen de gegevenseigenaar en de systeemeigenaar en meldt alle IT-beveiligingsincidenten tijdig aan de belanghebbenden in overeenstemming met de ernst ervan, zoals bepaald in artikel 15;

q)

hij zorgt er ten aanzien van uitbestede systemen voor dat in het uitbestedingscontract passende IT-beveiligingsbepalingen zijn opgenomen en dat IT-beveiligingsincidenten met betrekking tot het uitbestede communicatie- en informatiesysteem overeenkomstig artikel 15 worden gemeld;

r)

hij zorgt ten aanzien van communicatie- en informatiesystemen die gedeelde IT-diensten leveren, ervoor dat in een welbepaald, duidelijk gedocumenteerd beveiligingsniveau wordt voorzien en dat voor die communicatie- en informatiesystemen beveiligingsmaatregelen zijn geïmplementeerd die toereikend zijn om het bepaalde beveiligingsniveau te verwezenlijken.

a)

hij zorgt ervoor dat alle onder zijn verantwoordelijkheid vallende datasets naar behoren worden gerubriceerd overeenkomstig Besluiten (EU, Euratom) 2015/443 en (EU, Euratom) 2015/444;

b)

hij stelt de noodzaak van informatiebeveiliging vast en licht de desbetreffende systeemeigenaars in over die noodzaak;

c)

hij neemt deel aan de risicobeoordeling ten aanzien van communicatie- en informatiesystemen;

d)

hij stelt het hoofd van de afdeling van de Commissie op de hoogte van alle onoplosbare meningsverschillen tussen de gegevenseigenaar en de systeemeigenaar;

e)

hij meldt IT-beveiligingsincidenten overeenkomstig artikel 15.

a)

hij bepaalt en informeert systeemeigenaars, gegevenseigenaars en andere functies met verantwoordelijkheden op het gebied van IT-beveiliging binnen de afdelingen van de Commissie proactief over het IT-beveiligingsbeleid;

b)

als lid van het LISO-netwerk onderhoudt hij contacten met het directoraat-generaal Informatica met betrekking tot kwesties die binnen de afdelingen van de Commissie onder het IT-beveiligingsbeleid vallen;

c)

hij woont de regelmatige LISO-vergaderingen bij;

d)

hij houdt het proces van risicobeheersing op het gebied van informatiebeveiliging en de ontwikkeling en tenuitvoerlegging van beveiligingsplannen voor informatiesystemen in het oog;

e)

hij adviseert gegevenseigenaars, systeemeigenaars en hoofden van afdelingen van de Commissie over kwesties in verband met IT-beveiliging;

f)

hij verspreidt in samenwerking met het directoraat-generaal Informatica goede IT-praktijken en stelt specifieke bewustmakings- en opleidingsprogramma's voor;

g)

hij brengt verslag uit over IT-beveiliging en licht het hoofd van de afdeling van de Commissie in over tekortkomingen en verbeteringen.

a)

zij houden zich aan het IT-beveiligingsbeleid en de instructies van de systeemeigenaar over het gebruik van elk communicatie- en informatiesysteem;

b)

zij melden IT-beveiligingsincidenten overeenkomstig artikel 15.

a)

het heeft recht op toegang tot samenvattende informatie over alle incidenten en op verzoek tot de volledige dossiers;

b)

het neemt deel aan crisisbeheersingsgroepen inzake IT-beveiligingsincidenten en aan noodprocedures inzake IT-beveiliging;

c)

het is belast met de betrekkingen met de rechtshandhavings- en inlichtingendiensten;

d)

het voert overeenkomstig artikel 11 van Besluit (EU, Euratom) 2015/443 forensische analyses uit met betrekking tot cyberbeveiliging;

e)

het beslist over de noodzaak om een formeel onderzoek in te stellen;

f)

het licht het directoraat-generaal Informatica in over elk IT-beveiligingsincident dat een risico voor andere communicatie- en informatiesystemen kan inhouden.

a)

zij lichten bij elk belangrijk IT-beveiligingsincident, met name indien er sprake is van een inbreuk op de vertrouwelijkheid van de gegevens, onmiddellijk het hoofd van hun afdeling van de Commissie, het directoraat-generaal Informatica, het directoraat-generaal Personele Middelen en Veiligheid, de LISO en indien van toepassing de gegevenseigenaar in;

b)

zij volgen de instructies van de bevoegde autoriteiten van de Commissie inzake mededeling, respons en herstel in geval van incident en verlenen daaraan hun medewerking.