Сигурност в Комисията

Нови правила за информационната сигурност

Предложение за Регламент относно информационната сигурност в институциите, органите, службите и агенциите на Съюза

Контекст

Поради постоянно нарастващия обем чувствителна некласифицирана информация и класифицирана информация на Европейския съюз (КИЕС), която институциите, органите, службите и агенциите на Съюза трябва да споделят помежду си, и предвид рязкото разрастване на кръга от заплахи, европейската администрация е изложена на атаки във всички свои сфери на дейност. Информацията, с която работят нашите институции, органи, служби и агенции, има висока стойност за множество различни автори на заплахи и се нуждае от подходяща защита.

Държавите членки вече призоваха нашите институции да предприемат мерки в тази насока. Ключов елемент на Стратегическата програма за периода 2019—2024 г., приета от Европейския съвет през юни 2019 г., е защитата на нашите общества от заплахите, насочени към информацията, с която борави европейската администрация. В своите заключения Европейският съвет прикани „институциите на ЕС, заедно с държавите членки, да работят по мерки за укрепване на устойчивостта и за подобряване на културата на ЕС по отношение на сигурността спрямо кибернетични и хибридни заплахи от източници извън ЕС, и за да се защитят по-добре информационните и комуникационните мрежи на ЕС, както и процесите му на вземане на решения, от всякакъв вид злонамерени действия“.

През юли 2020 г. Комисията прие своята Стратегия на ЕС за Съюза на сигурност, с която се ангажира да допълни националните усилия в областта на сигурността. Част от този ангажимент е инициативата за хармонизиране на вътрешните правни уредби за информационна сигурност във всички институции, органи, служби и агенции на Съюза.

Цели

Общата цел на това предложение е да се създаде стандартен набор от правила за високо ниво на информационна сигурност за всички институции, органи, служби и агенции на Съюза, за да се гарантира засилена и последователна степен на защита срещу променящите се заплахи за тяхната информация.

Общата цел се изразява в четири конкретни цели:

• определяне на хармонизирани и подробни категории информация въз основа на нивото на поверителност;
• установяване на пропуски в сигурността и прилагане на необходимите мерки;
• създаване на ефективен форум за сътрудничество относно информационната сигурност между институциите, органите, службите и агенциите на Съюза;
• модернизиране на политиките за информационна сигурност, като се вземат предвид настоящите тенденции, например цифровата трансформация и дистанционната работа.

Въпроси и отговори

Защо Комисията предлага Регламент относно информационната сигурност в институциите, органите, службите и агенциите на Съюза?

Понастоящем институциите, органите, службите и агенциите на Съюза имат свои собствени правила за информационна сигурност или изобщо не са приели такива правила. Разпокъсаността на действащата правна рамка води до значителни различия между нивата на сигурност, които тези организации могат да осигурят по отношение на информацията, с която боравят. Тази ситуация увеличава риска нападатели да пробият сигурността в най-слабото звено и да го използват като отправна точка за още нападения срещу други институции или органи.

Чрез създаването на единен набор от правила относно информационната сигурност във всички институции, органи, служби и агенции на Съюза Комисията предлага обща основа от високи стандарти за защита на информацията. Освен това хармонизираните правила ще улеснят обмена на информация между институциите, органите, службите и агенциите, както и с държавите членки.

За кого ще се прилага предложеният регламент?

В това предложение се определят правила, приложими за администрацията на Съюза (институциите, органите, службите и агенциите). Може косвено да бъдат наложени задължения на лицата, изпълняващи задачи от името на тази администрация или въз основа на договор (като се изключват членовете на Комисията, представителите на държавите членки, действащи в рамките на Съвета, членовете на Европейския парламент, съдиите в съдилищата на Съюза и членовете на Европейската сметна палата).

Предложеният регламент не се отнася за държавите членки.

Кои категории информация са обхванати от предложения регламент?

Настоящото предложение обхваща некласифицираната информация и класифицираната информация на ЕС и се прилага за следните нива на поверителност:

• три нива на некласифицирана информация: за обществено ползване, обикновена и чувствителна некласифицирана;
• четири нива на КИЕС: RESTREINT UE/EU RESTRICTED, CONFIDENTIEL UE/EU CONFIDENTIAL, SECRET UE/EU SECRET, TRES SECRET UE/EU TOP SECRET.

Ще бъдат ли преразглеждани предложените правила?

На всеки 5 години след началната дата на прилагане Комисията ще прави оценка на регламента, за да определи действителното му въздействие и необходимостта от по-нататъшни действия.

Освен това Комисията редовно ще представя на Европейския парламент и на Съвета доклад за изпълнението на регламента.

Какви са следващите стъпки?

Предложението на Комисията трябва да премине през обикновената законодателна процедура в Европейския парламент и Съвета, за да бъде прието.

По време на неофициална среща в Невер на 9 март 2022 г. министрите на телекомуникациите призоваха институциите, агенциите и органите на ЕС да укрепят допълнително своята киберсигурност и информационна сигурност, тъй като ЕС се е превърнал в ключов стратегически участник, чиято роля на международната сцена изисква неговите данни и мрежи да са защитени срещу киберзаплахи.

Документи

Impact analysis accompanying the proposal

JRC study on information security in the age of EU institutions digitalisation

Връзки по темата

Съобщение за медиите

Text of the proposal

The EU Security Union Strategy: European Security Union

Решения на Комисията

Стратегия на ЕС за Съюза на сигурност: Европейски съюз на сигурност | Европейска комисия (europa.eu)

Целта на мерките за сигурност в Комисията е тя да може да работи в безопасна и сигурна среда. Комисията трябва да осигурява сигурността на лицата, активите и информацията в Комисията въз основа на Решение (ЕС, Евратом) 2015/443 на Комисията относно сигурността в Комисията и Решение (ЕС, Евратом) 2015/444 на Комисията относно правилата за сигурност за защита на класифицираната информация на ЕС. Това включва по-специално физическата неприкосновеност на лицата и активите, неприкосновеността, поверителността и наличността на информацията и комуникационните и информационни системи, както и безпрепятственото протичане на дейностите на Комисията.

В този контекст може да се наложи Комисията да обработва лични данни. Всички такива дейности по обработване се извършват в съответствие с Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета от 23 октомври 2018 г. относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза и относно свободното движение на такива данни и за отмяна на Регламент (ЕО) № 45/2001 и Решение № 1247/2002/ЕО (текст от значение за ЕИП).

Декларациите за поверителност относно процедурите, свързани със сигурността, са посочени по-долу.