Art. 9
Propietarios de sistemas
En vigor desde 10 ene 2017
Artículo 9
Propietarios de sistemas
1. El propietario del sistema es responsable de la seguridad informática del SIC bajo la autoridad del jefe del servicio de la Comisión.
2. Por lo que se refiere a la seguridad informática, el propietario del sistema deberá:
a)
velar por la conformidad del SIC con la política de seguridad informática;
b)
velar por que el SIC esté adecuadamente registrado en el inventario correspondiente;
c)
evaluar los riesgos para la seguridad informática y determinar las necesidades de seguridad informática de cada SIC, en colaboración con los propietarios de datos y en consulta con la Dirección General de Informática;
d)
preparar un plan de seguridad que incluya, cuando proceda, detalles relativos a los riesgos evaluados y las medidas de seguridad adicionales necesarias;
e)
aplicar las medidas de seguridad informática apropiadas, proporcionales a los riesgos para la seguridad informática identificados y siguiendo las recomendaciones aprobadas por el ISSB;
f)
detectar cualquier dependencia respecto de otros SIC o servicios informáticos compartidos y aplicar las medidas de seguridad adecuadas en función de los niveles de seguridad propuestos por dichos SIC o servicios informáticos compartidos;
g)
gestionar y supervisar los riesgos para la seguridad informática;
h)
informar periódicamente al jefe del servicio de la Comisión sobre el perfil de riesgo para la seguridad informática de su SIC e informar a la Dirección General de Informática sobre los riesgos conexos, las actividades de gestión del riesgo y las medidas de seguridad adoptadas;
i)
consultar al LISO del servicio o los servicios de la Comisión pertinentes sobre aspectos de la seguridad informática;
j)
publicar instrucciones destinadas a los usuarios sobre la utilización del SIC y los datos asociados, así como sobre las responsabilidades de los usuarios en relación con el SIC;
k)
solicitar autorización de la Dirección General de Recursos Humanos y Seguridad, en calidad de autoridad criptográfica, para cualquier SIC que utilice tecnología de cifrado;
l)
consultar por adelantado a la autoridad de seguridad de la Comisión con respecto a los sistemas que procesen información clasificada de la UE;
m)
velar por que las copias de seguridad de las claves de descifrado se almacenen en una cuenta bloqueada; la recuperación de datos cifrados se llevará a cabo solo cuando esté autorizada de conformidad con el marco definido por la Dirección General de Recursos Humanos y Seguridad;
n)
respetar todas las instrucciones del responsable o los responsables del tratamiento pertinentes referidas a la protección de los datos personales y la aplicación de las reglas sobre protección de datos a la seguridad del tratamiento;
o)
notificar a la Dirección General de Informática las posibles excepciones a la política de seguridad informática de la Comisión, incluyendo las justificaciones pertinentes;
p)
informar al jefe del servicio de la Comisión de cualquier desacuerdo insuperable entre el propietario de datos y el propietario del sistema, y comunicar oportunamente los incidentes de seguridad informática a las partes interesadas, según proceda en función de su gravedad, con arreglo a lo dispuesto en el artículo 15;
q)
en el caso de los sistemas externalizados, velar por que se incluyan las disposiciones sobre seguridad informática adecuadas en los contratos de externalización y por que los incidentes de seguridad que se produzcan en los SIC externalizados se notifiquen de conformidad con el artículo 15;
r)
en el caso de los SIC que prestan servicios informáticos compartidos, garantizar que se ofrece un nivel de seguridad definido, claramente documentado y que se aplican medidas de seguridad en ese SIC a fin de alcanzar el nivel de seguridad definido.
3. Los propietarios de sistemas podrán delegar oficialmente una parte o la totalidad de sus tareas de seguridad informática, pero seguirán siendo responsables de la seguridad informática de sus SIC.
Los procesos relacionados con estas responsabilidades y actividades deberán pormenorizarse mediante disposiciones de aplicación.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:dec:2017:46:oj#art-9