Art. 8
Externalización de SIC
En vigor desde 6 abr 2018
Artículo 8
Externalización de SIC
1. A efectos de la presente Decisión, se considera que un SIC está externalizado cuando se suministra con arreglo a un contrato con un contratista tercero, en virtud del cual el SIC está alojado en locales ajenos a la Comisión. Esto incluye la subcontratación de uno o múltiples SIC u otros servicios informáticos, centros de datos en locales ajenos a la Comisión, así como la manipulación de series de datos de la Comisión por servicios externos.
2. Al externalizar un SIC se tendrá en cuenta el carácter sensible o clasificado de la información que se maneje, de la siguiente manera:
a)
los SIC que manejen ICUE deberán estar acreditados de conformidad con la Decisión (UE, Euratom) 2015/444, y se consultará de antemano a la autoridad de acreditación de seguridad de la Comisión. Los sistemas que manejen ICUE no serán externalizados;
b)
el propietario del sistema de un SIC que maneje información que no sea ICUE aplicará medidas proporcionadas para cubrir las necesidades de seguridad con arreglo a las obligaciones jurídicas pertinentes o a la sensibilidad de la información, teniendo en cuenta los riesgos de la externalización. La Dirección General de Recursos Humanos y Seguridad podrá imponer requisitos adicionales;
c)
al externalizar proyectos de desarrollo se tendrá en cuenta la sensibilidad del código desarrollado y de los datos de ensayo utilizados durante el desarrollo.
3. Se aplicarán a los SIC externalizados los siguientes principios, además de los establecidos en el artículo 3 de la Decisión (UE, Euratom) 2017/46:
a)
los acuerdos de externalización estarán concebidos para evitar la dependencia respecto de proveedores específicos;
b)
los acuerdos de seguridad de la externalización reducirán al mínimo las posibilidades de que el personal de terceros acceda a información de la Comisión o la modifique;
c)
el personal de terceros que tenga acceso a un SIC externalizado deberá proporcionar acuerdos de confidencialidad;
d)
la externalización de un SIC se indicará en el inventario de SIC.
4. El propietario del sistema, con la participación del propietario de los datos:
a)
evaluará y documentará los riesgos relacionados con la subcontratación;
b)
establecerá los requisitos de seguridad pertinentes;
c)
consultará a los propietarios del sistema de todos los demás SIC conectados para asegurarse de que sus requisitos de seguridad estén incluidos;
d)
se asegurará de que en el contrato de externalización estén incluidos los requisitos y derechos de seguridad apropiados;
e)
cumplirá cualquier otro requisito establecido en el procedimiento detallado indicado en el apartado 8 del presente artículo.
Estas acciones se completarán antes de firmar el contrato u otro acuerdo para la externalización de uno o más SIC.
5. Los propietarios del sistema gestionarán los riesgos relacionados con la externalización durante todo el período de vida del SIC a fin de cumplir los requisitos de seguridad definidos.
6. Los propietarios del sistema garantizarán que los terceros contratistas están obligados a notificar de inmediato a la Comisión todos los incidentes de seguridad informática que afecten a un SIC de la Comisión externalizado.
7. El propietario del sistema es responsable de garantizar que el SIC, el contrato de externalización y los mecanismos de seguridad cumplen las normas de la Comisión en materia de seguridad de la información y seguridad informática.
8. La Dirección General de Recursos Humanos y Seguridad establecerá la norma detallada referente a las responsabilidades y actividades expuestas en los puntos 1) a 7) de conformidad con el artículo 10 siguiente.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:dec:2018:559:oj#art-8