1
De uitvoeringsbepalingen als bedoeld in artikel 6, punt 2, en de daarmee verband houdende normen en richtsnoeren kunnen worden vastgesteld door middel van een machtigingsbesluit van de Commissie ten behoeve van het lid van de Commissie dat bevoegd is voor veiligheidszaken.
2
Alle andere uitvoeringsbepalingen met betrekking tot dit besluit en de daarmee verband houdende normen en richtsnoeren kunnen worden vastgesteld door middel van een machtigingsbesluit van de Commissie ten behoeve van het lid van de Commissie dat bevoegd is voor informatica.
3
Alvorens de in de leden 1 en 2 bedoelde uitvoeringsbepalingen, normen en richtsnoeren worden vastgesteld, worden zij ter goedkeuring voorgelegd aan de ISSB.
1
De naleving van de in het IT-beveiligingsbeleid en de IT-beveiligingsnormen vastgelegde bepalingen is verplicht.
2
Niet-naleving van het IT-beveiligingsbeleid en de IT-beveiligingsnormen kan tuchtrechtelijke maatregelen tot gevolg hebben overeenkomstig de Verdragen, het Statuut en de Regeling welke van toepassing is op de andere personeelsleden van de Europese Unie, alsook contractuele sancties en/of gerechtelijke stappen overeenkomstig de nationale wet- en regelgeving.
3
Het directoraat-generaal Informatica wordt ingelicht over elke uitzondering op het IT-beveiligingsbeleid.
4
Indien de ISSB van oordeel is dat er een aanhoudend onaanvaardbaar risico voor een communicatie- en informatiesysteem van de Commissie bestaat, stelt het directoraat-generaal Informatie in samenwerking met de systeemeigenaar risicobeperkende maatregelen voor aan de ISSB. Die maatregelen kunnen onder meer versterkte monitoring en verslaglegging alsmede beperking van de dienstverlening en afsluiting van het communicatie- en informatiesysteem inhouden.
5
De ISSB geeft zo nodig opdracht tot de uitvoering van de goedgekeurde risicobeperkende maatregelen. De ISSB kan tevens aanbevelen dat de directeur-generaal van het directoraat-generaal Personele Middelen en Veiligheid een administratief onderzoek opent. Het directoraat-generaal Informatica brengt aan de ISSB verslag uit over elke situatie waarin opdracht tot uitvoering van risicobeperkende maatregelen wordt gegeven.
6
De processen die samenhangen met de in de leden 1 tot en met 5 vastgestelde verantwoordelijkheden en activiteiten, worden nader uitgewerkt in uitvoeringsbepalingen overeenkomstig artikel 13.
1
Het directoraat-generaal Informatica is verantwoordelijk voor het verzekeren van de belangrijkste operationele responscapaciteit bij IT-beveiligingsincidenten binnen de Europese Commissie.
2
Voor het directoraat-generaal Personele Middelen en Veiligheid als meewerkende belanghebbende bij de respons op IT-beveiligingsincidenten geldt het volgende:
- a)
- het heeft recht op toegang tot samenvattende informatie over alle incidenten en op verzoek tot de volledige dossiers;
- b)
- het neemt deel aan crisisbeheersingsgroepen inzake IT-beveiligingsincidenten en aan noodprocedures inzake IT-beveiliging;
- c)
- het is belast met de betrekkingen met de rechtshandhavings- en inlichtingendiensten;
- d)
- het voert overeenkomstig artikel 11 van Besluit (EU, Euratom) 2015/443 forensische analyses uit met betrekking tot cyberbeveiliging;
- e)
- het beslist over de noodzaak om een formeel onderzoek in te stellen;
- f)
- het licht het directoraat-generaal Informatica in over elk IT-beveiligingsincident dat een risico voor andere communicatie- en informatiesystemen kan inhouden.
3
Het directoraat-generaal Informatica en het directoraat-generaal Personele Middelen en Veiligheid houden regelmatig contact met het oog op de uitwisseling van informatie en de coördinatie van de behandeling van beveiligingsincidenten, met name ten aanzien van elk IT-beveiligingsincident waarvoor een formeel onderzoek vereist kan zijn.
4
De coördinatiediensten voor incidenten van het computercrisisresponsteam van de Europese instellingen, organen en agentschappen (CERT-EU) kunnen indien nodig worden ingezet ter ondersteuning van het proces van incidentenbehandeling en voor het delen van informatie met eventuele andere getroffen EU-instellingen en agentschappen.
5
Systeemeigenaars die bij een IT-beveiligingsincident zijn betrokken, doen het volgende:
- a)
- zij lichten bij elk belangrijk IT-beveiligingsincident, met name indien er sprake is van een inbreuk op de vertrouwelijkheid van de gegevens, onmiddellijk het hoofd van hun afdeling van de Commissie, het directoraat-generaal Informatica, het directoraat-generaal Personele Middelen en Veiligheid, de LISO en indien van toepassing de gegevenseigenaar in;
- b)
- zij volgen de instructies van de bevoegde autoriteiten van de Commissie inzake mededeling, respons en herstel in geval van incident en verlenen daaraan hun medewerking.
6
Gebruikers melden elk feitelijk of vermoed IT-beveiligingsincident tijdig aan de bevoegde IT-helpdesk.
7
Gegevenseigenaars melden elk feitelijk of vermoed IT-beveiligingsincident tijdig aan het bevoegde responsteam voor IT-beveiligingsincidenten.
8
Het directoraat-generaal Informatica, ondersteund door de andere bijdragende belanghebbenden, is verantwoordelijk voor de behandeling van elk geconstateerd IT-beveiligingsincident met betrekking tot communicatie- en informatiesystemen van de Commissie die geen uitbesteed systeem zijn.
9
Het directoraat-generaal Informatica licht de getroffen afdelingen van de Commissie, de bevoegde LISO's en waar van toepassing CERT-EU in over IT-beveiligingsincidenten, indien er sprake is van een noodzaak tot kennisneming.
10
Het directoraat-generaal Informatica brengt aan de ISSB regelmatig verslag uit over belangrijke IT-beveiligingsincidenten waarbij communicatie- en informatiesystemen van de Commissie betrokken zijn.
11
De bevoegde LISO heeft op verzoek toegang tot dossiers betreffende IT-beveiligingsincidenten waarbij communicatie- en informatiesystemen van de Commissie betrokken zijn.
12
Bij belangrijke IT-beveiligingsincidenten treedt het directoraat-generaal Informatica op als contactpunt voor het beheer van de crisissituatie, door middel van coördinatie van de crisisteams voor IT-beveiligingsincidenten.
13
In noodsituaties kan de directeur-generaal van het directoraat-generaal Informatica beslissen een noodprocedure voor IT-beveiliging in te leiden. Het directoraat-generaal Informatica ontwikkelt noodprocedures en legt deze ter goedkeuring voor aan de ISSB.
14
Het directoraat-generaal Informatica brengt aan de ISSB en aan de hoofden van de getroffen afdelingen van de Commissie verslag uit over de uitvoering van de noodprocedures.
15
De processen die samenhangen met de in de leden 1 tot en met 14 vastgestelde verantwoordelijkheden en activiteiten, worden nader uitgewerkt in uitvoeringsbepalingen overeenkomstig artikel 13.
