a także mając na uwadze, co następuje:(1) Systemy teleinformatyczne Komisji są nieodłącznie związane z funkcjonowaniem Komisji, a incydenty związane z bezpieczeństwem systemów IT mogą mieć poważny wpływ na działania podejmowane przez Komisję, jak również na osoby trzecie, w tym osoby fizyczne, przedsiębiorstwa i państwa członkowskie.
(2) Istnieje wiele zagrożeń, które mogą zaszkodzić poufności, integralności lub dostępności systemów teleinformatycznych Komisji oraz informacjom przechowywanym w tych systemach. Zagrożenia te obejmują wypadki, błędy, zamierzone ataki oraz zjawiska naturalne i należy je uznać za rodzaje ryzyka operacyjnego.
(3) Systemom teleinformatycznym należy zapewnić poziom ochrony proporcjonalny do prawdopodobieństwa, wpływu i charakteru rodzajów ryzyka, na które są narażone.
(4) Bezpieczeństwo IT w Komisji powinno zapewnić, by systemy teleinformatyczne Komisji chroniły informacje, które przetwarzają, i funkcjonowały stosownie do potrzeb, gdy zachodzi potrzeba, oraz pod kontrolą uprawnionych użytkowników.
(5) Politykę w zakresie bezpieczeństwa IT Komisji należy wdrażać w sposób spójny z polityką dotyczącą bezpieczeństwa w Komisji.
(6) Dyrekcja ds. Bezpieczeństwa Dyrekcji Generalnej ds. Zasobów Ludzkich i Bezpieczeństwa ponosi ogólną odpowiedzialność za bezpieczeństwo w Komisji z upoważnienia członka Komisji odpowiedzialnego za bezpieczeństwo i na jego odpowiedzialność.
(7) Podejście Komisji powinno uwzględniać inicjatywy polityczne UE oraz przepisy dotyczące bezpieczeństwa sieci i informacji, normy branżowe i dobre praktyki, aby było zgodne ze wszystkimi odpowiednimi przepisami i umożliwiało interoperacyjność i kompatybilność.
(8) Departamenty Komisji odpowiedzialne za systemy teleinformatyczne powinny opracować i wdrożyć odpowiednie środki, a środki bezpieczeństwa informatycznego mające na celu ochronę systemów teleinformatycznych powinny być koordynowane w całej Komisji, by zapewnić ich wydajność i skuteczność.
(9) Przepisy i procedury w zakresie dostępu do informacji w kontekście bezpieczeństwa IT, w tym reagowania na incydenty związane z bezpieczeństwem informacji, powinny być proporcjonalne do zagrożenia dla Komisji lub jej personelu i zgodne z zasadami ustanowionymi w rozporządzeniu (WE) nr 45/2001 Parlamentu Europejskiego i Rady 1 o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy unijne i o swobodnym przepływie takich danych, a także uwzględniać kwestie tajemnicy zawodowej, jak przewidziano w art. 339 TFUE.
(10) Polityka i przepisy dotyczące systemów teleinformatycznych przetwarzających informacje niejawne UE (EUCI), szczególnie chronione informacje jawne i informacje jawne muszą być w pełni zgodne z decyzjami Komisji (UE, Euratom) 2015/443 2 i (UE, Euratom) 2015/444 3 .
(11) Komisja powinna dokonać przeglądu swoich przepisów dotyczących bezpieczeństwa systemów teleinformatycznych wykorzystywanych przez Komisję oraz uaktualnić te przepisy.
(12) Należy zatem uchylić decyzję Komisji C(2006) 3602,
PRZYJMUJE NINIEJSZĄ DECYZJĘ:
1 Rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych (Dz.U. L 8 z 12.1.2001, s. 1).
2 Decyzja Komisji (UE, Euratom) 2015/443 z dnia 13 marca 2015 r. w sprawie bezpieczeństwa w Komisji (Dz.U. L 72 z 17.3.2015, s. 41).
3 Decyzja Komisji (UE, Euratom) 2015/444 z dnia 13 marca 2015 r. w sprawie przepisów bezpieczeństwa dotyczących ochron y informacji niejawnych UE (Dz.U. L 72 z 17.3.2015, s. 53).
4 Ustanowione rozporządzeniem Rady (EWG, Euratom, EWWiS) nr 259/68 z dnia 29 lutego 1968 r. ustanawiającego regulamin pracowniczy urzędnik ów Wspólnot Europejskich i warunki zatrudnienia innych pracowników Wspólnot oraz ustanawiającego specjalne środki stosowane tymczasowo wobec urzędnik ów Komisji (warunki zatrudnienia innych pracowników) (Dz.U. L 56 z 4.3.1968, s. 1).
5 Decyzja Komisji z dnia 12 listopada 2008 r. dotycząca zasad mających zastosowanie do oddelegowanych ekspertów krajowych i ekspertów krajowych odbywających kształcenie zawodowe w ramach służb Komisji (C(2008) 6866 final).
6 Decyzja Komisji 1999/352/WE, EWWiS, Euratom z dnia 28 kwietnia 1999 r. ustanawiająca Europejski Urząd ds. Zwalczania Nadużyć Finansowych (OLAF) (Dz.U. L 136 z 31.5.1999, s. 20)
7 Art. 3 ust. 8 zmieniony i według numeracji ustalonej przez pkt 1 sprostowania z dnia 11 października 2017 r. (Dz.U.UE.L.2017.261.31).
8 Art. 5 ust. 8 zmieniony i według numeracji ustalonej przez pkt 2 sprostowania z dnia 11 października 2017 r. (Dz.U.UE.L.2017.261.31).
9 Art. 6 pkt 7 zmieniony przez pkt 3 sprostowania z dnia 11 października 2017 r. (Dz.U.UE.L.2017.261.31).
10 Art. 6 ust. 8 zmieniony i według numeracji ustalonej przez pkt 4 sprostowania z dnia 11 października 2017 r. (Dz.U.UE.L.2017.261.31).
11 Art. 7 pkt 15 zmieniony i według numeracji ustalonej przez pkt 5 sprostowania z dnia 11 października 2017 r. (Dz.U.UE.L.2017.261.31).
12 Art. 8 pkt 11 zmieniony i według numeracji ustalonej przez pkt 6 sprostowania z dnia 11 października 2017 r. (Dz.U.UE.L.2017.261.31).
13 Art. 9 ust. 4 zmieniony i według numeracji ustalonej przez pkt 7 sprostowania z dnia 11 października 2017 r. (Dz.U.UE.L.2017.261.31).
14 Art. 10 ust. 4 zmieniony i według numeracji ustalonej przez pkt 8 sprostowania z dnia 11 października 2017 r. (Dz.U.UE.L.2017.261.31).
15 Art. 11 zmieniony przez pkt 9 sprostowania z dnia 11 października 2017 r. (Dz.U.UE.L.2017.261.31).
16 Art. 12 ust. 3 zmieniony i według numeracji ustalonej przez pkt 10 sprostowania z dnia 11 października 2017 r. (Dz.U.UE.L.2017.261.31).
17 Art. 13 ust. 1 zmieniony przez pkt 11 sprostowania z dnia 11 października 2017 r. (Dz.U.UE.L.2017.261.31).
18 Art. 13 ust. 2 zmieniony przez pkt 12 sprostowania z dnia 11 października 2017 r. (Dz.U.UE.L.2017.261.31).
19 Art. 14 ust. 6 zmieniony i według numeracji ustalonej przez pkt 13 sprostowania z dnia 11 października 2017 r. (Dz.U.UE.L.2017.261.31).
20 Art. 15 ust. 15 zmieniony i według numeracji ustalonej przez pkt 14 sprostowania z dnia 11 października 2017 r. (Dz.U.UE.L.2017.261.31).
21 Rozporządzenie (WE) nr 1049/2001 Parlamentu Europejskiego i Rady z dnia 30 maja 2001 r. w sprawie publicznego dostępu do dokumentów Parlamentu Europejskiego, Rady i Komisji (Dz.U. L 145 z 31.5.2001, s. 43).
22 Decyzja Komisji 2002/47/WE, EWWiS, Euratom z dnia 23 stycznia 2002 r. zmieniająca jej regulamin (Dz.U. L 21 z 24.1.2002, s. 23).
23 Rozporządzenie Parlamentu Europejskiego i Rady (UE, Euratom) nr 883/2013 z dnia 11 września 2013 r. dotyczące dochodzeń prowadzonych przez Europejski Urząd ds. Zwalczania Nadużyć Finansowych (OLAF) oraz uchylające rozporządzenie (WE) nr 1073/1999 Parlamentu Europejskiego i Rady i rozporządzenie Rady (Euratom) nr 1074/1999 (Dz.U. L 248 z 18.9.2013, s. 1).