Art. 8
Esternalizzazione dei CIS
In vigore dal 6 apr 2018
Esternalizzazione dei CIS
1. Ai fini della presente decisione un CIS si considera esternalizzato quando viene fornito sulla base di un contratto con un appaltatore terzo in virtù del quale il CIS è ospitato in locali non appartenenti alla Commissione. L'esternalizzazione riguarda uno o più CIS o altri servizi informatici e centri dati situati in locali non appartenenti alla Commissione e la gestione di dataset della Commissione da parte di servizi esterni.
2. Nell'esternalizzare un CIS si tiene conto della sensibilità o della classificazione delle informazioni trattate, secondo le seguenti modalità:
a)
i CIS che elaborano le ICUE sono accreditati in conformità alla decisione (UE, Euratom) 2015/444, previa consultazione dell'autorità di accreditamento in materia di sicurezza della Commissione. I sistemi che elaborano le ICUE non sono esternalizzati;
b)
il proprietario del sistema del CIS che elabora informazioni non ICUE applica misure proporzionate per soddisfare le esigenze di sicurezza in conformità ai pertinenti obblighi giuridici o alla sensibilità delle informazioni, tenendo conto dei rischi dell'esternalizzazione. La direzione generale Risorse umane e sicurezza può imporre requisiti supplementari;
c)
i progetti di sviluppo esternalizzati tengono conto della sensibilità del codice sviluppato e di eventuali dati delle prove utilizzati nella fase di sviluppo.
3. In aggiunta ai principi di cui all' della decisione (UE, Euratom) 2017/46, ai CIS esternalizzati si applicano i seguenti principi:
a)
gli accordi di esternalizzazione sono formulati in modo tale da evitare la dipendenza da specifici fornitori;
b)
le disposizioni di sicurezza relative all'esternalizzazione riducono al minimo le possibilità che il personale di terzi abbia accesso alle informazioni della Commissione o le modifichi;
c)
il personale che ha accesso al CIS esternalizzato sottoscrive un accordo di riservatezza;
d)
l'esternalizzazione del CIS viene registrata nell'inventario dei CIS.
4. Il proprietario del sistema, con la partecipazione del proprietario dei dati:
a)
verifica e documenta il rischi connessi con l'esternalizzazione;
b)
stabilisce i pertinenti requisiti di sicurezza;
c)
si consulta con i proprietari dei sistemi di tutti gli altri CIS connessi per garantire che siano inclusi i loro requisiti di sicurezza;
d)
si assicura che nel contratto di esternalizzazione siano inclusi adeguati requisiti e diritti di sicurezza;
e)
rispetta tutti gli altri requisiti previsti dalla procedura dettagliata di cui al paragrafo 8.
Questi interventi devono essere completati prima della firma del contratto o altro accordo di esternalizzazione di uno o più CIS.
5. I proprietari dei sistemi gestiscono i rischi connessi con l'esternalizzazione durante la durata di vita del CIS al fine di ottemperare ai requisiti di sicurezza definiti.
6. I proprietari dei sistemi si assicurano che gli appaltatori terzi siano tenuti a notificare immediatamente alla Commissione tutti gli incidenti di sicurezza informatica che interessano un CIS della Commissione esternalizzato.
7. Il proprietario del sistema è responsabile di garantire la conformità del CIS, del contratto di esternalizzazione e delle disposizioni di sicurezza alle norme della Commissione in materia di sicurezza delle informazioni e sicurezza informatica.
8. La direzione generale Risorse umane e sicurezza stabilisce una norma dettagliata relativa alle responsabilità e attività di cui ai punti da 1) a 7), in conformità all'.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:dec:2018:559:oj#art-8