Art. 2
Definizioni
In vigore dal 10 gen 2017
Definizioni
Ai fini della presente decisione si intende per:
(1)
«responsabile», il fatto di assumersi la responsabilità per azioni, decisioni e risultati;
(2)
«CERT-UE», la squadra di pronto intervento informatico delle istituzioni e agenzie dell'UE. La sua missione consiste nell'aiutare le istituzioni europee a proteggersi dagli attacchi intenzionali e dolosi che potrebbero danneggiare l'integrità del patrimonio informatico e ledere gli interessi dell'UE. Il campo di applicazione delle attività di CERT-UE comprende la prevenzione, l'individuazione del problema, la risposta e il ripristino;
(3)
«servizio della Commissione», le direzioni generali, i servizi della Commissione o i gabinetti dei membri della Commissione;
(4)
«autorità di sicurezza della Commissione», il ruolo di cui alla decisione 2015/444;
(5)
«sistema di comunicazione e informazione» o «CIS», ogni sistema che consente il trattamento delle informazioni in forma elettronica, compreso l'insieme delle risorse necessarie al suo funzionamento, nonché l'infrastruttura, l'organizzazione, il personale e le risorse d'informazione. La presente definizione comprende le applicazioni commerciali, i sistemi informatici comuni, i servizi esternalizzati e i dispositivi degli utenti finali;
(6)
«organo di gestione interno» (CMB), l'organo che fornisce il massimo livello di sorveglianza della gestione interna per le questioni amministrative e operative della Commissione;
(7)
«proprietario dei dati», la persona responsabile di assicurare la protezione e l'utilizzo di un set di dati specifico trattato da un CIS;
(8)
«set di dati», una serie di informazioni per uno specifico processo o attività della Commissione;
(9)
«procedura di emergenza», un insieme predefinito di metodi e responsabilità per rispondere a situazioni di emergenza al fine di prevenire gravi conseguenze per la Commissione;
(10)
«politica di sicurezza delle informazioni», una serie di obiettivi in materia di sicurezza delle informazioni, che sono o devono essere stabiliti, attuati e controllati. Comprende, tra l'altro, le decisioni (UE, Euratom) 2015/444 e 2015/443;
(11)
«comitato direttivo per la sicurezza delle informazioni» (ISBB), l'organo di gestione che sostiene l'organo di gestione interno nelle sue mansioni connesse alla sicurezza informatica;
(12)
«prestatore interno di servizi informatici», un servizio della Commissione che fornisce servizi informatici condivisi;
(13)
«sicurezza informatica» o «sicurezza dei CIS», il mantenimento della riservatezza, dell'integrità e della disponibilità dei CIS e delle serie di dati che essi trattano;
(14)
«orientamenti in materia di sicurezza informatica», misure raccomandate ma facoltative volte a sostenere gli standard di sicurezza informatica o a servire da riferimento quando non vi sono norme applicabili;
(15)
«incidente di sicurezza informatica», un evento che potrebbe compromettere la riservatezza, l'integrità o la disponibilità di un CIS;
(16)
«misura di sicurezza informatica», una misura tecnica oppure organizzativa volta a ridurre i rischi per la sicurezza informatica;
(17)
«esigenza di sicurezza informatica», una definizione precisa e univoca dei livelli di riservatezza, integrità e disponibilità associati a un sistema d'informazione o a un sistema informatico al fine di determinare il livello di protezione richiesto;
(18)
«obiettivo di sicurezza informatica», una dichiarazione d'intenti per contrastare minacce specifiche e/o soddisfare determinati requisiti o ipotesi di sicurezza organizzativa;
(19)
«piano di sicurezza informatica», la documentazione delle misure di sicurezza informatica necessarie per soddisfare le esigenze di sicurezza di un CIS;
(20)
«politica di sicurezza informatica», una serie di obiettivi in materia di sicurezza informatica, che sono o devono essere stabiliti, attuati e controllati. Comprende la presente decisione e le relative norme di attuazione;
(21)
«requisito di sicurezza informatica», un'esigenza di sicurezza informatica formalizzata mediante un processo predefinito:
(22)
«rischio in materia di sicurezza informatica», un effetto che una minaccia per la sicurezza informatica potrebbe causare a un CIS sfruttandone la vulnerabilità. In quanto tale, un rischio in materia di sicurezza informatica è caratterizzato da due fattori: 1) l'incertezza, ad esempio la probabilità che una minaccia per la sicurezza informatica provochi un evento indesiderato, e 2) l'impatto, ossia le conseguenze che un simile evento indesiderato potrebbe avere su un CIS;
(23)
«norme di sicurezza informatica», specifiche misure obbligatorie in materia di sicurezza informatica che contribuiscono a far rispettare e sostenere la politica in materia di sicurezza informatica;
(24)
«strategia di sicurezza informatica», una serie di progetti e attività volti a conseguire gli obiettivi della Commissione e che sono stati stabiliti, attuati e controllati;
(25)
«minaccia per la sicurezza informatica», un fattore che potrebbe portare a un evento indesiderato che potrebbe danneggiare un CIS. Tali minacce possono essere accidentali o intenzionali e sono caratterizzate da elementi di minaccia, obiettivi potenziali e metodologie d'attacco;
(26)
«responsabile della sicurezza informatica a livello locale» (LISO), il funzionario responsabile del collegamento per la sicurezza informatica di un servizio della Commissione;
(27)
«dati personali», «trattamento dei dati personali», «responsabile del trattamento» e «archivio dei dati personali» hanno lo stesso significato di cui al regolamento (CE) n. 45/2001, in particolare l';
(28)
«trattamento delle informazioni», tutte le funzioni di un CIS con riferimento ai set di dati, compresi la creazione, la modifica, la visualizzazione, lo stoccaggio, il trasporto, la cancellazione e l'archiviazione delle informazioni. Il trattamento delle informazioni può essere fornito da un CIS come una serie di funzionalità per gli utenti e come servizi informatici ad altri CIS;
(29)
«segreto professionale», la protezione dei dati commerciali del tipo coperto dal segreto professionale, in particolare informazioni relative a imprese, alle loro relazioni commerciali o alle loro componenti di costo di cui all'articolo 339 del TFUE;
(30)
«responsabile», l'obbligo di agire e prendere decisioni per conseguire i risultati richiesti;
(31)
«sicurezza nella Commissione», la sicurezza delle persone, delle risorse e delle informazioni alla Commissione, in particolare l'incolumità delle persone e l'integrità delle risorse, l'integrità, la riservatezza e la disponibilità delle informazioni e dei sistemi di comunicazione e informazione, nonché il funzionamento senza ostacoli delle attività operative della Commissione;
(32)
«servizio informatico condiviso», il servizio che un CIS fornisce ad altri CIS nel trattamento delle informazioni;
(33)
«proprietario del sistema», la persona responsabile del complesso degli appalti, dello sviluppo, dell'integrazione, della modifica, del funzionamento, della manutenzione e del ritiro di un CIS;
(34)
«utente», qualsiasi persona fisica utilizzi funzionalità fornite da un CIS, sia all'interno che all'esterno della Commissione.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:dec:2017:46:oj#art-2