Член 10

Сигурност — държави членки

1.Всяка държава членка приема по отношение на собствената си Н.ШИС необходимите мерки, включително план за сигурност, план за непрекъснатост на дейността и план за възстановяване след срив, с цел: a)да се осигури физическа защита на данните, включително чрез изготвяне на планове за действие в извънредни ситуации за защита на критичната инфраструктура; б)да не се допускат неоправомощени лица до съоръженията за обработване на данни, използвани за обработването на лични данни (контрол на достъпа до съоръженията); в)да се предотврати неразрешеното четене, копиране, изменяне или изнасяне на носители на данни (контрол на носителите на данни); г)да се предотвратят неразрешеното въвеждане на данни и неразрешената проверка, изменяне или заличаване на съхраняваните лични данни (контрол на съхраняването); д)да се предотврати използването на автоматизирани системи за обработване на данни от неоправомощени лица, които използват оборудване за предаване на данни (контрол на потребителите); е)да се предотврати неразрешеното обработване на данни в ШИС и неразрешената промяна или изтриване на обработвани в ШИС данни (контрол на въвеждането на данни); ж)да се гарантира, че лицата, оправомощени да използват автоматизирана система за обработване на данни, имат достъп единствено до данните, за които са оправомощени, посредством индивидуални и уникални потребителски идентификатори и само в режим на поверителен достъп (контрол на достъпа до данни); з)да се гарантира, че всички органи с право на достъп до ШИС или до съоръженията за обработване на данни създават профили с описание на функциите и задълженията на лицата с право на достъп и въвеждане, актуализиране и заличаване на данни и търсене в тях, както и че при поискване от надзорните органи, посочени в член 69, параграф 1, им предоставят тези профили без забавяне (профили на служителите); и)да се гарантира възможност да се провери и установи на кои органи могат да се предават лични данни чрез използване на оборудване за предаване на данни (контрол на комуникацията); й)да се гарантира възможност за последваща проверка и установяване на това какви лични данни са били въведени в автоматизираните системи за обработване на данни, както и кога, от кого и с каква цел (контрол на входящите данни); к)да се предотврати неразрешеното четене, копиране, изменяне или заличаване на лични данни в хода на предаването на лични данни или при пренасянето на носители на данни, по-специално чрез подходящи техники за криптиране (контрол на пренасянето); л)да се наблюдава ефективността на мерките за сигурност по настоящия параграф и да се предприемат необходимите организационни мерки, свързани с вътрешното наблюдение за осигуряване на спазването на настоящия регламент (вътрешен одит); м)да се гарантира, че в случай на прекъсване инсталираната система може да се възстанови за нормално функциониране (възстановяване); и н)да се гарантира, че ШИС изпълнява своите функции правилно, че неизправностите се докладват (надеждност) и че съхраняваните в ШИС лични данни не могат да бъдат увредени вследствие на неправилно функциониране на системата (цялост).

2.Държавите членки предприемат мерки, равностойни на посочените в параграф 1, във връзка със сигурността по отношение на обработването и обмена на допълнителна информация, включително за гарантиране на сигурността на помещенията на бюрата SIRENE.

3.Държавите членки предприемат мерки, равностойни на посочените в параграф 1 от настоящия член, във връзка със сигурността по отношение на обработването на данни от ШИС от органите, посочени в член 44.

4.Мерките, описани в параграфи 1, 2 и 3, могат да бъдат част от общ подход по отношение на сигурността и план на национално равнище, които да обхващат множество информационни системи. В такива случаи изискванията, предвидени в настоящия член, и тяхната приложимост към ШИС трябва да са ясно обозначени и гарантирани с този план.