art. 10
32013D0488
Treść przepisu
Artykuł 10
Ochrona EUCI przetwarzanych w systemach teleinformatycznych
1. Zabezpieczanie informacji w ramach systemów teleinformatycznych oznacza pewność, że systemy te będą chronić informacje, które są w nich przetwarzane, i będą działać zgodnie z przeznaczeniem, w razie potrzeby pod kontrolą uprawnionych użytkowników. Skuteczne zabezpieczanie informacji gwarantuje odpowiedni poziom poufności, integralności, dostępności, niezaprzeczalności i autentyczności. Zabezpieczanie informacji opiera się na procesie zarządzania ryzykiem.
2. „System teleinformatyczny” (CIS) oznacza system umożliwiający przetwarzanie informacji w formie elektronicznej. CIS obejmuje wszystkie zasoby niezbędne do jego funkcjonowania, w tym infrastrukturę, organizację, personel oraz zasoby informatyczne. Niniejsza decyzja ma zastosowanie do (CIS) przetwarzających EUCI.
3. CIS przetwarza EUCI zgodnie z koncepcją zabezpieczania informacji.
4. Wszystkie CIS poddawane są procedurze akredytacji. Celem akredytacji jest upewnienie się, że zastosowano wszystkie odpowiednie środki bezpieczeństwa i że osiągnięto wystarczający poziom ochrony EUCI i CIS zgodnie z niniejszą decyzją. W świadectwie akredytacji określa się najwyższą klauzulę tajności informacji, które mogą być przetwarzane w ramach danego CIS, oraz odpowiednie warunki.
5. Stosowane są specjalne środki bezpieczeństwa w celu ochrony CIS przetwarzającego informacje niejawne o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL i wyższej przed narażeniem tych informacji na szwank z powodu niezamierzonych emisji elektromagnetycznych (tzw. „środki bezpieczeństwa TEMPEST”). Takie środki bezpieczeństwa są proporcjonalne do ryzyka wykorzystania informacji niejawnych i do poziomu klauzuli tajności.
6. Jeżeli EUCI podlegają ochronie przy użyciu produktów kryptograficznych, produkty te są zatwierdzane w sposób następujący:
a)
poufność informacji niejawnych o klauzuli tajności SECRET UE/EU SECRET i wyższej podlega ochronie przy użyciu produktów kryptograficznych zatwierdzonych – na podstawie zalecenia Komitetu ds. Bezpieczeństwa – przez Radę działającą jako organ ds. zatwierdzania produktów kryptograficznych (CAA);
b)
poufność informacji niejawnych o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub RESTREINT UE/EU RESTRICTED podlega ochronie przy użyciu produktów kryptograficznych zatwierdzonych – na podstawie zalecenia Komitetu ds. Bezpieczeństwa – przez Sekretarza Generalnego Rady (zwanego dalej „Sekretarzem Generalnym”) działającego jako CAA.
Niezależnie od przepisów lit. b) w obrębie krajowych systemów państw członkowskich poufność EUCI o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub RESTREINT UE/EU RESTRICTED może być chroniona przy użyciu produktów kryptograficznych zatwierdzonych przez CAA danego państwa członkowskiego.
7. Podczas transmisji EUCI drogą elektroniczną stosuje się zatwierdzone produkty kryptograficzne. Niezależnie od tego wymogu w wyjątkowych okolicznościach mogą mieć zastosowanie szczególne procedury lub szczególne konfiguracje techniczne określone w załączniku IV.
8. Właściwe organy, odpowiednio, SGR i państw członkowskich ustanawiają następujące organy zajmujące się zabezpieczaniem informacji:
a)
organ ds. zabezpieczania informacji (IAA);
b)
organ ds. TEMPEST (TA);
c)
organ ds. zatwierdzania produktów kryptograficznych (CAA);
d)
organ ds. dystrybucji produktów kryptograficznych (CDA).
9. W odniesieniu do każdego systemu właściwe organy, odpowiednio, SGR i państw członkowskich ustanawiają:
a)
organ ds. akredytacji bezpieczeństwa (SAA);
b)
organ operacyjny ds. zabezpieczania informacji.
10. Przepisy dotyczące wykonania niniejszego artykułu znajdują się w załączniku IV.
© Unia Europejska, źródło: EUR-Lex (eur-lex.europa.eu), pozyskano 12.07.2026. Autentyczne są wyłącznie wersje opublikowane w Dz. Urz. UE. · PDF źródłowy