Noi norme privind securitatea informațiilor
Propunere de regulament privind securitatea informațiilor în instituțiile, organele, oficiile și agențiile Uniunii
Context
Din cauza cantității tot mai mari de informații sensibile neclasificate și de informații clasificate ale UE („IUEC”) pe care instituțiile, organele, oficiile și agențiile Uniunii trebuie să le comunice între ele și având în vedere evoluția dramatică a peisajului amenințărilor, administrația europeană este expusă atacurilor în toate domeniile sale de activitate. Informațiile gestionate de instituțiile, organele, oficiile și agențiile noastre au o mare valoare pentru numeroși actori diferiți care generează amenințări, de aceea trebuie protejate în mod corespunzător.
Statele membre le-au solicitat deja instituțiilor noastre să acționeze în această direcție. O caracteristică esențială a Agendei strategice pentru perioada 2019-2024, adoptată de Consiliul European în iunie 2019, este de a proteja societățile noastre de amenințările care vizează informațiile gestionate de administrația europeană. În concluziile sale, Consiliul European a solicitat ca „instituțiile UE, împreună cu statele membre, să lucreze la elaborarea unor măsuri pentru a spori reziliența și a îmbunătăți cultura securității UE în fața amenințărilor cibernetice și a amenințărilor hibride din afara UE și pentru a proteja mai bine rețelele de informații și comunicații ale UE, precum și procesele decizionale ale acesteia, de activități răuvoitoare de orice tip”.
În iulie 2020, Comisia a adoptat Strategia UE privind o uniune a securității, prin care s-a angajat să completeze eforturile naționale în domeniul securității. O parte a acestui angajament este reprezentată de inițiativa de a armoniza cadrele juridice interne pentru securitatea informațiilor în toate instituțiile, organele, oficiile și agențiile Uniunii.
Obiective
Obiectivul general al acestei propuneri este de a crea un set standard de norme de înalt nivel în materie de securitate a informațiilor pentru toate instituțiile, organele, oficiile și agențiile Uniunii, în vederea asigurării unei protecții mai bune și mai consecvente împotriva amenințărilor în continuă evoluție la adresa informațiilor pe care le gestionează.
Obiectivul general se traduce în patru obiective specifice:
- definirea categoriilor de informații armonizate și exhaustive, în funcție de nivelul de confidențialitate;
- identificarea lacunelor în materie de securitate și implementarea măsurilor necesare;
- instituirea unui cadru eficient de cooperare în materie de securitatea informațiilor, între instituțiile, organele, oficiile și agențiile Uniunii;
- modernizarea politicilor de securitate a informațiilor, ținând seama de tendințele actuale, cum ar fi transformarea digitală și munca de la distanță.
Întrebări și răspunsuri
De ce propune Comisia un regulament privind securitatea informațiilor în instituțiile, organele, oficiile și agențiile Uniunii?
Instituțiile, organele, oficiile și agențiile Uniunii fie dispun de propriile norme de securitate a informațiilor, fie nu au avut niciodată astfel de norme. Fragmentarea cadrului juridic aplicabil a condus la diferențe semnificative între nivelurile de securitate pe care aceste organizații le pot asigura pentru informațiile pe care le gestionează. În aceste condiții crește riscul ca atacatorii să creeze o breșă de securitate în punctul cel mai slab și să o utilizeze ca punct de intrare pentru noi atacuri asupra altor instituții sau organisme.
Prin crearea unui set unic de norme privind securitatea informațiilor pentru toate instituțiile, organele, oficiile și agențiile Uniunii, Comisia propune o bază comună de standarde înalte pentru protejarea informațiilor prelucrate. În plus, normele armonizate vor facilita schimbul de informații atât între instituții, organisme, oficii și agenții, cât și cu statele membre.
Cui i se va aplica regulamentul propus?
Propunerea în cauză stabilește normele aplicabile administrației Uniunii (instituții, organe, oficii și agenții). Ea poate impune indirect obligații numai persoanelor care îndeplinesc sarcini în numele acestei administrații sau pe baza unui contract (cu excepția comisarilor, a reprezentanților statelor membre care acționează în cadrul Consiliului, a membrilor Parlamentului European, a judecătorilor instanțelor Uniunii sau a membrilor Curții de Conturi Europene).
Nu se aplică statelor membre.
Ce categorii de informații sunt vizate de această propunere de regulament?
Propunerea acoperă informațiile neclasificate și clasificate ale UE și se aplică următoarelor niveluri de confidențialitate:
- trei niveluri de informații neclasificate: informații destinate publicului, informații obișnuite și informații sensibile neclasificate;
- patru niveluri de IUEC: RESTREINT UE/EU RESTRICTED, CONFIDENTIEL UE/EU CONFIDENTIAL, SECRET UE/EU SECRET, TRES SECRET UE/EU TOP SECRET.
Normele propuse vor fi revizuite?
La fiecare 5 ani de la data de începere a aplicării, Comisia va evalua regulamentul pentru a analiza efectele sale reale și pentru a vedea dacă sunt necesare măsuri suplimentare.
În același timp, Comisia va raporta periodic Parlamentului European și Consiliului privind punerea în aplicare a prezentului regulament.
Care sunt etapele următoare?
Propunerea Comisiei va urma procedura legislativă obișnuită de adoptare din cadrul Parlamentului European și al Consiliului.
Cu ocazia reuniunii informale de la Nevers, din 9 martie 2022, miniștrii telecomunicațiilor le-au solicitat „instituțiilor, agențiilor și organelor UE să își consolideze în continuare securitatea cibernetică și securitatea informațiilor, întrucât UE a devenit un actor strategic esențial al cărui rol pe scena internațională necesită securizarea datelor și rețelelor sale împotriva amenințărilor cibernetice.”
Documente
Impact analysis accompanying the proposal
JRC study on information security in the age of EU institutions digitalisation
Linkuri conexe
The EU Security Union Strategy: European Security Union
Decizii ale Comisiei
Strategia UE privind o uniune a securității: O Uniune Europeană a securității | Comisia Europeană (europa.eu)
Obiectivul măsurilor de securitate luate la nivelul Comisiei este de a-i permite acesteia să își desfășoare activitatea într-un mediu sigur și securizat. Astfel, Comisia trebuie să asigure securitatea persoanelor, a activelor și a informațiilor în cadrul Comisiei pe baza Deciziei (UE, Euratom) 2015/443 a Comisiei privind securitatea în cadrul Comisiei și a Deciziei (UE, Euratom) 2015/444 a Comisiei privind normele de securitate pentru protecția informațiilor UE clasificate. Este vorba, în special, de integritatea fizică a persoanelor și a activelor, integritatea, confidențialitatea și disponibilitatea informațiilor și a sistemelor informatice și de comunicații, precum și de desfășurarea neobstrucționată a activităților Comisiei.
În acest context, Comisia ar putea fi nevoită să prelucreze date cu caracter personal. Toate activitățile de prelucrare de acest tip sunt conforme cu Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (text cu relevanță pentru SEE).
Declarațiile de confidențialitate privind procedurile legate de securitate sunt enumerate mai jos:
Documents
- Descărcațifrançais(731.92 KB - PDF)
- Descărcațifrançais(495.62 KB - PDF)