Νέοι κανόνες για την ασφάλεια των πληροφοριών
Πρόταση κανονισμού σχετικά με την ασφάλεια των πληροφοριών στα θεσμικά και λοιπά όργανα και οργανισμούς της Ένωσης
Ιστορικό
Λόγω του διαρκώς αυξανόμενου όγκου ευαίσθητων μη διαβαθμισμένων και διαβαθμισμένων πληροφοριών της Ευρωπαϊκής Ένωσης (ΔΠΕΕ) που πρέπει να ανταλλάσσουν μεταξύ τους τα θεσμικά και λοιπά όργανα και οι οργανισμοί της Ένωσης, και με δεδομένες τις θεαματικές εξελίξεις στον τομέα των απειλών, η ευρωπαϊκή διοίκηση είναι εκτεθειμένη σε επιθέσεις σε όλους τους τομείς δραστηριοτήτων της. Οι πληροφορίες που χειρίζονται τα θεσμικά και λοιπά όργανα και οι οργανισμοί μας έχουν μεγάλη αξία για πολλούς διαφορετικούς παράγοντες που συνιστούν απειλή, και χρήζουν κατάλληλης προστασίας.
Τα κράτη μέλη έχουν ήδη καλέσει τα θεσμικά μας όργανα να κινηθούν προς την κατεύθυνση αυτή. Βασικό χαρακτηριστικό του στρατηγικού θεματολογίου για την περίοδο 2019-2024, που εγκρίθηκε από το Ευρωπαϊκό Συμβούλιο τον Ιούνιο του 2019, είναι η προστασία των κοινωνιών μας από τις απειλές που έχουν ως στόχο τις πληροφορίες που διαχειρίζεται η ευρωπαϊκή διοίκηση. Στα συμπεράσματά του, το Ευρωπαϊκό Συμβούλιο κάλεσε «τα θεσμικά όργανα της ΕΕ, μαζί με τα κράτη μέλη, να επεξεργαστούν μέτρα για να αυξηθεί η ανθεκτικότητα και να βελτιωθεί η νοοτροπία ασφαλείας της ΕΕ έναντι των υβριδικών απειλών και των απειλών στον κυβερνοχώρο από σημεία εκτός της ΕΕ, καθώς και να προστατευθούν καλύτερα τα δίκτυα πληροφοριών και επικοινωνιών της ΕΕ, όπως και οι ενωσιακές διαδικασίες λήψης αποφάσεων, από κακόβουλες δραστηριότητες κάθε είδους».
Τον Ιούλιο του 2020, η Επιτροπή ενέκρινε τη στρατηγική της ΕΕ για την Ένωση Ασφάλειας, με την οποία δεσμεύτηκε να συμπληρώσει τις εθνικές προσπάθειες στον τομέα της ασφάλειας. Μέρος αυτής της δέσμευσης είναι η πρωτοβουλία για την εναρμόνιση των εσωτερικών νομικών πλαισίων για την ασφάλεια των πληροφοριών σε όλα τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης.
Στόχοι
Γενικός στόχος της παρούσας πρότασης είναι η δημιουργία ενός τυποποιημένου συνόλου κανόνων ασφάλειας πληροφοριών υψηλού επιπέδου για όλα τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης, ώστε να εξασφαλίζεται ενισχυμένος και συνεκτικός βαθμός προστασίας από τις εξελισσόμενες απειλές κατά των πληροφοριών τους.
Ο γενικός αυτός στόχος μεταφράζεται σε τέσσερις ειδικούς στόχους:
- Θέσπιση εναρμονισμένων και ολοκληρωμένων κατηγοριών πληροφοριών με βάση το επίπεδο εμπιστευτικότητας·
- Εντοπισμός κενών ασφαλείας και εφαρμογή των απαιτούμενων μέτρων·
- Δημιουργία αποδοτικού φόρουμ συνεργασίας σχετικά με την ασφάλεια των πληροφοριών μεταξύ των θεσμικών και λοιπών οργάνων και οργανισμών της Ένωσης·
- Εκσυγχρονισμός των πολιτικών ασφαλείας των πληροφοριών, λαμβάνοντας υπόψη τις τρέχουσες τάσεις, όπως ο ψηφιακός μετασχηματισμός και η τηλεργασία.
Ερωτήσεις και απαντήσεις
Γιατί προτείνει η Επιτροπή κανονισμό σχετικά με την ασφάλεια των πληροφοριών στα θεσμικά και λοιπά όργανα και οργανισμούς της Ένωσης;
Τα θεσμικά και λοιπά όργανα και οι οργανισμοί της Ένωσης είτε διαθέτουν επί του παρόντος δικούς τους κανόνες για την ασφάλεια των πληροφοριών είτε δεν έχουν θεσπίσει τέτοιους κανόνες. Ο κατακερματισμός του εφαρμοστέου νομικού πλαισίου έχει οδηγήσει σε σημαντικές διαφορές μεταξύ των επιπέδων ασφάλειας που μπορούν να εξασφαλίσουν οι εν λόγω οργανισμοί για τις πληροφορίες που χειρίζονται. Η κατάσταση αυτή αυξάνει τον κίνδυνο για παραβιάσεις ασφάλειας στον πιο αδύναμο κρίκο από επιτιθέμενους, οι οποίοι θα τον χρησιμοποιήσουν ως αφετηρία για περαιτέρω επιθέσεις κατά άλλων θεσμικών οργάνων ή οργανισμών.
Με τη δημιουργία ενιαίου συνόλου κανόνων για την ασφάλεια των πληροφοριών μεταξύ όλων των θεσμικών και λοιπών οργάνων και των οργανισμών της Ένωσης, η Επιτροπή προτείνει μια κοινή βάση υψηλών προτύπων για την προστασία των πληροφοριών που αυτά διαχειρίζονται. Επιπλέον, οι εναρμονισμένοι κανόνες θα διευκολύνουν την ανταλλαγή πληροφοριών μεταξύ των θεσμικών και λοιπών οργάνων και οργανισμών, καθώς και με τα κράτη μέλη.
Πού θα εφαρμοστεί ο προτεινόμενος κανονισμός;
Η παρούσα πρόταση θεσπίζει κανόνες που εφαρμόζονται στη διοίκηση της Ένωσης (θεσμικά και λοιπά όργανα και οργανισμοί). Μπορεί να επιβάλλει έμμεσα υποχρεώσεις στα άτομα που εκτελούν καθήκοντα για λογαριασμό της εν λόγω διοίκησης ή βάσει σύμβασης (μη συμπεριλαμβανομένων των επιτρόπων, των αντιπροσώπων των κρατών μελών που ενεργούν στο πλαίσιο του Συμβουλίου, των μελών του Ευρωπαϊκού Κοινοβουλίου, των δικαστών των δικαστηρίων της Ένωσης ή των μελών του Ευρωπαϊκού Ελεγκτικού Συνεδρίου).
Ο εν λόγω προτεινόμενος κανονισμός δεν εφαρμόζεται στα κράτη μέλη.
Ποιες κατηγορίες πληροφοριών καλύπτονται από τον παρόντα κανονισμό;
Η παρούσα πρόταση καλύπτει μη διαβαθμισμένες και διαβαθμισμένες πληροφορίες της ΕΕ και εφαρμόζεται στα ακόλουθα επίπεδα εμπιστευτικότητας:
- τρία επίπεδα μη διαβαθμισμένων πληροφοριών: δημόσιας χρήσης, συνήθεις και ευαίσθητες μη διαβαθμισμένες·
- τέσσερα επίπεδα ΔΠΕΕ: RESTREINT UE/EU RESTRICTED, CONFIDENTIEL UE/EU CONFIDENTIAL, SECRET UE/EU SECRET, TRES SECRET UE/EU TOP SECRET.
Θα επανεξεταστούν οι προτεινόμενοι κανόνες;
Η Επιτροπή θα αξιολογεί τον κανονισμό κάθε 5 έτη μετά την ημερομηνία έναρξης εφαρμογής, προκειμένου να εκτιμώνται οι πραγματικές επιπτώσεις του και η ανάγκη για περαιτέρω δράση.
Επιπλέον, η Επιτροπή θα υποβάλλει τακτικά εκθέσεις στο Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο σχετικά με την εφαρμογή του παρόντος κανονισμού.
Ποια είναι τα επόμενα βήματα;
Η πρόταση της Επιτροπής θα ακολουθήσει τη συνήθη νομοθετική διαδικασία στο Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο προς έγκριση.
Η άτυπη σύνοδος των υπουργών Τηλεπικοινωνιών στις 9 Μαρτίου 2022 στη Νεβέρ κάλεσε «τα θεσμικά και λοιπά όργανα και τους οργανισμούς της ΕΕ να ενισχύσουν περαιτέρω την κυβερνοασφάλεια και την ασφάλεια των πληροφοριών, καθώς η ΕΕ αποτελεί πλέον βασικό στρατηγικό παράγοντα, του οποίου ο ρόλος στη διεθνή σκηνή απαιτεί την προστασία των δεδομένων και των δικτύων του από τις κυβερνοαπειλές.»
Έγγραφα
Impact analysis accompanying the proposal
JRC study on information security in the age of EU institutions digitalisation
Συναφείς σύνδεσμοι
The EU Security Union Strategy: European Security Union
Αποφάσεις της Επιτροπής
Η Στρατηγική της ΕΕ για την Ένωση Ασφάλειας: Ευρωπαϊκή Ένωση Ασφάλειας | Ευρωπαϊκή Επιτροπή (europa.eu)
Στόχος της ασφάλειας στην Επιτροπή είναι να μπορέσει αυτή να λειτουργεί σε ασφαλές και προστατευμένο περιβάλλον. Ως εκ τούτου, πρέπει να παρέχει προστασία των προσώπων, των περιουσιακών στοιχείων και των πληροφοριών στην Επιτροπή βάσει της απόφασης (ΕΕ, Ευρατόμ) 2015/443 της Επιτροπής σχετικά με την ασφάλεια στην Επιτροπή και της απόφασης (ΕΕ, Ευρατόμ) 2015/444 της Επιτροπής σχετικά με τους κανόνες ασφαλείας για την προστασία των διαβαθμισμένων πληροφοριών της ΕΕ. Αυτό περιλαμβάνει ιδίως τη σωματική ακεραιότητα των προσώπων και τη φυσική ακεραιότητα των περιουσιακών στοιχείων, την ακεραιότητα, την εμπιστευτικότητα και την διαθεσιμότητα των πληροφοριών και των συστημάτων επικοινωνίας και πληροφοριών, καθώς και την απρόσκοπτη λειτουργία των δραστηριοτήτων της Επιτροπής.
Στο πλαίσιο αυτό, η Επιτροπή ενδέχεται να χρειαστεί να επεξεργαστεί δεδομένα προσωπικού χαρακτήρα. Οποιαδήποτε από αυτές τις δραστηριότητες επεξεργασίας συμμορφώνεται με τον κανονισμό (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2018, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ (Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ).
Οι δηλώσεις περί ιδιωτικότητας όσον αφορά σχετικές με την ασφάλεια διαδικασίες παρατίθενται παρακάτω:
Documents
- Τηλεφόρτωσηfrançais(731.92 KB - PDF)
- Τηλεφόρτωσηfrançais(495.62 KB - PDF)