Articulo 11 Sistema e-CODEX

1. Tras el traspaso satisfactorio del sistema e-CODEX, la Agencia eu-LISA será responsable de mantener un alto nivel de seguridad en el desempeño de sus funciones, incluida la seguridad de la infraestructura informática de soporte físico (hardware) y soporte lógico (software) a que se refiere el artículo 7, apartado 2. En particular, la Agencia eu-LISA establecerá y mantendrá un plan de seguridad de e-CODEX y garantizará que el sistema e-CODEX sea explotado con arreglo a dicho plan de seguridad, teniendo en cuenta la clasificación de la información tratada en el sistema e-CODEX y las normas de seguridad de la información de la Agencia eu-LISA. El plan de seguridad establecerá inspecciones y auditorías periódicas de seguridad, incluidas evaluaciones de seguridad del soporte lógico (software) del sistema e-CODEX, con la participación de las entidades que explotan puntos de acceso e-CODEX autorizados.

2. En el desempeño de sus responsabilidades, la Agencia eu-LISA aplicará los principios de seguridad desde el diseño y de protección de datos desde el diseño y por defecto.

3. Las entidades que explotan puntos de acceso e-CODEX autorizados tendrán la responsabilidad exclusiva de configurarlos y explotarlos de manera segura, incluida la de los datos transmitidos a través de ellos, teniendo en cuenta las normas técnicas establecidas en los actos de ejecución de conformidad con el artículo 6, apartado 1, letra a), así como las normas de seguridad y las orientaciones a que se refiere el apartado 6 del presente artículo.

4. Las entidades que explotan puntos de acceso e-CODEX autorizados notificarán sin demora cualquier incidencia de seguridad a la Agencia eu-LISA y, en el caso de los puntos de acceso e-CODEX autorizados que explote una autoridad pública nacional o persona jurídica autorizada con arreglo al Derecho nacional, al Estado miembro que mantenga la lista de puntos de acceso e-CODEX autorizados en los que figuren dichos puntos de acceso e-CODEX explotados por una institución, órgano u organismo de la Unión, a la Comisión.

5. Cuando la Agencia eu-LISA detecte cualquier vulnerabilidad o incidencia de seguridad o reciba una notificación de una incidencia de seguridad según se contempla en el apartado 4, la Agencia eu-LISA analizará la incidencia de seguridad e informará sin demora a las entidades que explotan puntos de acceso e-CODEX autorizados que se vean afectados por este y al grupo consultivo e-CODEX.

6. La Agencia eu-LISA elaborará normas de seguridad y orientaciones en relación con los puntos de acceso e-CODEX autorizados. Las entidades que explotan puntos de acceso e-CODEX autorizados facilitarán a la Agencia eu-LISA declaraciones que demuestren que cumple las normas de seguridad relativas a los puntos de acceso e-CODEX autorizados. Estas declaraciones se actualizarán anualmente o cada vez que se requiera algún cambio.