Art. 36
CIS che trattano ICUE
In vigore dal 13 mar 2015
CIS che trattano ICUE
1. I CIS trattano le ICUE conformemente al concetto di IA.
2. Per i CIS che trattano ICUE, la conformità alla politica della Commissione in materia di sicurezza dei sistemi di informazione, di cui alla decisione C(2006) 3602 (11) della Commissione, implica quanto segue:
a)
per attuare la politica in materia di sicurezza dei sistemi di informazione si applica l'approccio basato sul ciclo di Deming (ciclo Plan-Do-Check-Act) durante l'intero ciclo di vita del sistema di informazioni;
b)
le esigenze in materia di sicurezza devono essere identificate attraverso una valutazione d'impatto;
c)
il sistema di informazione e i dati al suo interno devono essere oggetto di una classificazione formale delle attività;
d)
devono essere attuate tutte le misure di sicurezza obbligatorie stabilite dalla politica in materia di sicurezza dei sistemi di informazione;
e)
deve essere applicata una procedura di gestione del rischio, che comprende le seguenti fasi: identificazione della minaccia e della vulnerabilità, valutazione del rischio, trattamento del rischio, accettazione del rischio e comunicazione del rischio;
f)
è definito, attuato, verificato e riesaminato un piano di sicurezza, che comprende la politica di sicurezza e le procedure operative di sicurezza.
3. Tutto il personale coinvolto nella progettazione, nello sviluppo, nel collaudo, nel funzionamento, nella gestione o nell'utilizzo di CIS che trattano ICUE notifica all'autorità di accreditamento in materia di sicurezza ogni potenziale lacuna di sicurezza, incidente, violazione o compromissione della sicurezza che potrebbe avere conseguenze sulla protezione del CIS e/o delle ICUE in esso contenute.
4. Qualora la protezione delle ICUE sia assicurata mediante prodotti crittografici, tali prodotti sono approvati secondo le modalità seguenti:
a)
di preferenza la scelta va ai prodotti che sono stati approvati dal Consiglio o dal segretario generale del Consiglio nel suo ruolo di autorità di approvazione degli apparati crittografici del Consiglio, su raccomandazione del gruppo di esperti in materia di sicurezza della Commissione;
b)
ove giustificato da specifici motivi operativi, l'autorità di approvazione degli apparati crittografici (CAA) può, su raccomandazione del gruppo di esperti in materia di sicurezza della Commissione, derogare ai requisiti di cui al punto a) e rilasciare un'approvazione temporanea per un periodo specifico.
5. Durante la trasmissione, il trattamento e l'archiviazione di ICUE con mezzi elettronici si usano prodotti crittografici approvati. In deroga a tale requisito, in situazioni di emergenza o in configurazioni tecniche specifiche si possono applicare procedure specifiche previa approvazione della CAA.
6. Sono attuate misure di sicurezza per proteggere i CIS che trattano informazioni classificate di livello CONFIDENTIEL UE/EU CONFIDENTIAL o superiore in modo tale che tali informazioni non possano essere compromesse da radiazioni elettromagnetiche non intenzionali («misure di sicurezza TEMPEST»). Dette misure di sicurezza sono commisurate al rischio di sfruttamento e al livello di classifica delle informazioni.
7. All'autorità di sicurezza della Commissione sono assegnate le seguenti funzioni:
—
autorità IA (IAA),
—
autorità di accreditamento di sicurezza (SAA),
—
autorità TEMPEST (TA),
—
autorità di approvazione degli apparati crittografici (CAA),
—
autorità di distribuzione degli apparati crittografici (CDA).
8. L'autorità di sicurezza della Commissione nomina l'autorità operativa IA per ciascun sistema.
9. Le responsabilità delle funzioni descritte nei paragrafi 7 e 8 saranno definite nelle norme di attuazione.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:dec:2015:444:oj#art-36