1.

Tässä liitteessä vahvistetaan 7 artiklan täytäntöönpanosäännökset. Siinä säädetään perusteista sen päättämiseksi, voidaanko henkilölle hänen lojaaliutensa, rehellisyytensä ja luotettavuutensa huomioon ottaen myöntää pääsy EU:n turvallisuusluokiteltuihin tietoihin, sekä asiassa noudatettavista tutkinta- ja hallinnollisista menettelyistä.

2.

Henkilölle voidaan myöntää pääsy turvallisuusluokiteltuihin tietoihin vasta sen jälkeen, kun

3.

Kunkin jäsenvaltion ja pääsihteeristön on määriteltävä omissa hallintorakenteissaan ne tehtävät, jotka edellyttävät pääsyä CONFIDENTIEL UE/EU CONFIDENTIAL- tai sitä korkeamman turvallisuusluokan tietoihin ja siksi asiaankuuluvan tason turvallisuusselvitystä.

4.

Vastaanotettuaan asianmukaisesti valtuutetun pyynnön kansalliset turvallisuusviranomaiset tai muut toimivaltaiset kansalliset viranomaiset vastaavat siitä, että niiden kansalaisista, joilla on oltava pääsy CONFIDENTIEL UE/EU CONFIDENTIAL- tai sitä korkeamman turvallisuusluokan tietoihin, tehdään turvallisuustutkinta. Tutkintaa koskevien vaatimusten on oltava kansallisten lakien ja asetusten mukaisia turvallisuusselvityksen myöntämiseksi tai lausunnon antamiseksi siitä, että henkilölle myönnetään pääsy EU:n turvallisuusluokiteltuihin tietoihin, tapauksen mukaan.

5.

Jos asianomainen henkilö asuu toisen jäsenvaltion tai kolmannen valtion alueella, toimivaltaisten kansallisten viranomaisten on pyydettävä apua asuinvaltion toimivaltaisilta viranomaisilta kansallisten lakien ja asetusten mukaisesti. Jäsenvaltioiden on autettava toisiaan turvallisuustutkinnan tekemisessä kansallisten lakien ja asetusten mukaisesti.

6.

Kansallisten lakien ja asetusten salliessa kansalliset turvallisuusviranomaiset tai muut toimivaltaiset kansalliset viranomaiset voivat tehdä tutkinnan muista kuin omista kansalaisistaan, joilla on oltava pääsy CONFIDENTIEL UE/EU CONFIDENTIAL- tai sitä korkeamman turvallisuusluokan tietoihin. Tutkintaa koskevien vaatimusten on oltava kansallisten lakien ja asetusten mukaisia.

7.

Henkilön lojaalius, rehellisyys ja luotettavuus on määritettävä tekemällä turvallisuustutkinta, jonka perusteella hänelle voidaan tehdä turvallisuusselvitys ja myöntää pääsy CONFIDENTIEL UE/EU CONFIDENTIAL- tai sitä korkeamman turvallisuusluokan tietoihin. Toimivaltaisen kansallisen viranomaisen on tehtävä kokonaisarvio turvallisuustutkinnasta saatujen tietojen perusteella. Turvallisuustutkinnan pääasiallisiin perusteisiin kuuluu kansallisten lakien ja asetusten mukaisesti mahdollisimman laaja tutkinta sen selvittämiseksi,

8.

Tarvittaessa ja kansallisten lakien ja asetusten mukaisesti myös henkilön taloudellista ja lääketieteellistä taustaa voidaan pitää merkityksellisenä turvallisuustutkintaa tehtäessä.

9.

Tarvittaessa ja kansallisten lakien ja asetusten mukaisesti puolison, avopuolison tai läheisen perheenjäsenen käyttäytyminen ja olosuhteet voidaan myös katsoa merkityksellisiksi turvallisuustutkintaa tehtäessä.

10.

Ensimmäisen turvallisuusselvityksen CONFIDENTIEL UE/EU CONFIDENTIAL- ja SECRET UE/EU SECRET -turvallisuusluokan tietoihin pääsyä varten on perustuttava turvallisuustutkintaan, joka kattaa vähintään viimeiset viisi vuotta tai ajanjakson 18 vuoden iästä nykyhetkeen riippuen siitä, kumpi ajanjakso on lyhyempi, ja johon sisältyy seuraavaa:

11.

Ensimmäisen turvallisuusselvityksen TRÈS SECRET UE/EU TOP SECRET -turvallisuusluokan tietoihin pääsyä varten on perustuttava turvallisuustutkintaan, joka kattaa vähintään viimeiset kymmenen vuotta tai ajanjakson 18 vuoden iästä nykyhetkeen riippuen siitä, kumpi ajanjakso on lyhyempi. Jos tehdään haastatteluja tämän kohdan e alakohdan mukaisesti, tutkinnan on katettava vähintään viimeiset seitsemän vuotta tai ajanjakso 18 vuoden iästä nykyhetkeen riippuen siitä, kumpi ajanjakso on lyhyempi. Ennen TRÈS SECRET UE/EU TOP SECRET -turvallisuusselvityksen myöntämistä on tutkittava edellä 7 kohdassa mainittujen perusteiden lisäksi mahdollisimman laajasti kansallisten lakien ja asetusten mukaisesti seuraavia seikkoja, joita voidaan tutkia myös ennen CONFIDENTIEL UE/EU CONFIDENTIAL- ja SECRET UE/EU SECRET -turvallisuusselvityksen myöntämistä, jos sitä vaaditaan kansallisissa laeissa ja asetuksissa:

12.

Tarvittaessa ja kansallisten lakien ja asetusten mukaisesti voidaan suorittaa lisätutkimuksia, jotta selvitetään kaikki saatavilla olevat merkitykselliset tiedot asianomaisesta henkilöstä ja voidaan näyttää toteen tai osoittaa vääriksi kielteiset tiedot.

13.

Sen jälkeen, kun ensimmäinen turvallisuusselvitys on myönnetty ja edellyttäen, että henkilö on ollut yhtäjaksoisesti kansallisen hallinnon tai pääsihteeristön palveluksessa ja että hänen tehtävänsä edellyttävät edelleen pääsyä EU:n turvallisuusluokiteltuihin tietoihin, turvallisuusselvitys on uusittava viimeistään viiden vuoden välein, jos kyse on TRÈS SECRET UE/EU TOP SECRET -turvallisuusselvityksestä, ja viimeistään kymmenen vuoden välein, jos kyse on SECRET UE/EU SECRET- ja CONFIDENTIEL UE/EU CONFIDENTIAL -turvallisuusselvityksistä, laskettuna selvityksen perustana olleen viimeisen turvallisuustutkinnan tulosten tiedoksiantamisajankohdasta. Kaikki turvallisuusselvityksen uusimista varten tehtävät turvallisuustutkinnat on tehtävä ajalta, joka alkaa siitä, mihin edellinen selvitys päättyi.

14.

Turvallisuusselvitysten uusimiseksi on tutkittava 10 ja 11 kohdassa esitetyt seikat.

15.

Uusimispyynnöt on esitettävä hyvissä ajoin ottaen huomioon turvallisuustutkinnan edellyttämä aika. Jos asiaankuuluva kansallinen turvallisuusviranomainen tai muu toimivaltainen kansallinen viranomainen on vastaanottanut asiaankuuluvan uusimispyynnön ja vastaavan henkilöstöturvallisuutta koskevan kyselylomakkeen ennen turvallisuusselvityksen voimassaolon päättymistä ja jos tarvittava turvallisuustutkinta ei ole vielä valmistunut, toimivaltainen kansallinen viranomainen voi kuitenkin jatkaa voimassa olevan turvallisuusselvityksen voimassaoloa korkeintaan 12 kuukaudella, jos se sallitaan kansallisissa laeissa ja asetuksissa. Jos turvallisuustutkinta ei ole vielä tämän 12 kuukauden ajan päättyessä valmistunut, asianomainen henkilö on siirrettävä hoitamaan tehtäviä, joissa ei vaadita turvallisuusselvitystä.

16.

Pääsihteeristön virkamiesten ja muun henkilöstön osalta pääsihteeristön turvallisuusviranomainen toimittaa henkilöstöturvallisuutta koskevan kyselylomakkeen täytettynä sen jäsenvaltion kansalliselle turvallisuusviranomaiselle, jonka kansalainen asianomainen henkilö on, ja pyytää turvallisuustutkinnan tekemistä EU:n turvallisuusluokiteltujen tietojen sen luokan osalta, johon henkilön on tarpeen päästä.

17.

Jos pääsihteeristön tietoon tulee turvallisuustutkinnan kannalta merkityksellisiä tietoja henkilöstä, joka on hakenut turvallisuusselvitystä EU:n turvallisuusluokiteltuihin tietoihin pääsyä varten, pääsihteeristön on ilmoitettava siitä asianomaiselle kansalliselle turvallisuusviranomaiselle asiaankuuluvien sääntöjen mukaisesti.

18.

Turvallisuustutkinnan valmistuttua asiaankuuluvan kansallisen turvallisuusviranomaisen on annettava tutkinnan tulokset pääsihteeristön turvallisuusviranomaiselle tiedoksi turvallisuuskomitean kirjeenvaihtoa varten määräämässä vakiomuodossa.

19.

Turvallisuustutkintaan ja sen tuloksiin sovelletaan kyseisessä jäsenvaltiossa voimassa olevia asiaa koskevia lakeja ja asetuksia mahdolliset muutoksenhakukeinot mukaan luettuina. Pääsihteeristön nimittävän viranomaisen päätöksiin voi hakea muutosta asetuksessa (ETY, Euratom, EHTY) N:o 259/68 (1) säädettyjen Euroopan unionin virkamiehiin sovellettavien henkilöstösääntöjen ja Euroopan unionin muuhun henkilöstöön sovellettavien palvelussuhteen ehtojen mukaisesti, jäljempänä ’henkilöstösäännöt ja palvelussuhteen ehdot’.

20.

Kansallisten asiantuntijoiden, jotka lähetetään pääsihteeristöön tehtäviin, jotka edellyttävät pääsyä EU:n CONFIDENTIEL UE/EU CONFIDENTIAL- ja sitä korkeamman tason turvallisuusluokiteltuihin tietoihin, on esitettävä ennen tehtäviensä aloittamista pääsihteeristön turvallisuusviranomaiselle voimassa oleva EU:n turvallisuusluokiteltuihin tietoihin pääsyyn oikeuttava henkilöturvallisuusselvitykseen perustuva todistus, jonka nojalla nimittävä viranomainen antaa valtuutuksen EU:n turvallisuusluokiteltuihin tietoihin pääsyä varten.

21.

Pääsihteeristö hyväksyy kaikkien muiden unionin toimielinten, elinten tai laitosten antaman valtuutuksen EU:n turvallisuusluokiteltuihin tietoihin pääsyä varten edellyttäen, että se on voimassa. Valtuutus kattaa kaikki asianomaisen henkilön pääsihteeristössä suorittamat tehtävät. Unionin toimielin, elin tai laitos, jossa henkilö ottaa työn vastaan, ilmoittaa asiaankuuluvalle kansalliselle turvallisuusviranomaiselle työnantajan vaihtumisesta.

22.

Jos henkilön palvelusaika ei ala 12 kuukauden kuluessa siitä, kun turvallisuustutkinnan tulokset on annettu tiedoksi pääsihteeristön nimittävälle viranomaiselle, tai jos henkilön palveluksessaolo keskeytyy 12 kuukaudeksi eikä hän sinä aikana ole pääsihteeristön eikä minkään jäsenvaltion kansallisen hallinnon palveluksessa, tulosten johdosta on otettava yhteyttä asiaankuuluvaan kansalliseen turvallisuusviranomaiseen niiden voimassa pysymisen ja asianmukaisuuden vahvistamiseksi.

23.

Jos pääsihteeristön tietoon tulee, että henkilö, jolla on valtuutus EU:n turvallisuusluokiteltuihin tietoihin pääsyä varten, saattaa aiheuttaa turvallisuusriskin, pääsihteeristön on asiaankuuluvien sääntöjen ja määräysten mukaisesti ilmoitettava siitä asianomaiselle kansalliselle turvallisuusviranomaiselle, ja se voi estää pääsyn EU:n turvallisuusluokiteltuihin tietoihin tai peruuttaa valtuutuksen EU:n turvallisuusluokiteltuihin tietoihin pääsyä varten.

24.

Jos kansallinen turvallisuusviranomainen ilmoittaa pääsihteeristölle sellaista henkilöä koskevan 18 kohdan a alakohdan mukaisesti annetun lausunnon peruuttamisesta, jolla on valtuutus EU:n turvallisuusluokiteltuihin tietoihin pääsyä varten, pääsihteeristön nimittävä viranomainen voi pyytää sellaista selvennystä, jonka kansallinen turvallisuusviranomainen voi antaa jäsenvaltionsa lakien ja asetusten mukaisesti. Jos kielteinen tieto vahvistetaan, valtuutus on peruutettava, henkilöltä on evättävä pääsy EU:n turvallisuusluokiteltuihin tietoihin ja hänet on siirrettävä pois tehtävistä, joissa niihin pääsy on mahdollista tai joissa turvallisuus voisi hänen vuokseen vaarantua.

25.

Kaikki pääsihteeristön virkamiehen tai muun henkilöstön jäsenen EU:n turvallisuusluokiteltuihin tietoihin pääsyä koskevan valtuutuksen peruuttamista tai keskeyttämistä koskevat päätökset ja tapauksen mukaan niiden perusteet on annettava tiedoksi asianomaiselle henkilölle, joka voi pyytää, että nimittävä viranomainen kuulee häntä. Kansallisen turvallisuusviranomaisen toimittamiin tietoihin sovelletaan kyseisessä jäsenvaltiossa voimassa olevia asiaa koskevia lakeja ja asetuksia mahdolliset muutoksenhakukeinot mukaan luettuina. Pääsihteeristön nimittävän viranomaisen päätöksiin voi hakea muutosta henkilöstösääntöjen ja palvelussuhteen ehtojen mukaisesti.

26.

Kukin jäsenvaltio ja pääsihteeristö pitävät yllä rekistereitä turvallisuusselvityksistä ja pääsyä CONFIDENTIEL UE/EU CONFIDENTIAL- tai sitä korkeamman tason turvallisuusluokiteltuihin tietoihin koskevista valtuutuksista. Rekisteriin on merkittävä vähintään korkein turvallisuusluokka, johon kuuluviin EU:n turvallisuusluokiteltuihin tietoihin henkilölle voidaan myöntää pääsy, turvallisuusselvityksen myöntämispäivä ja sen voimassaoloaika.

27.

Toimivaltainen turvallisuusviranomainen voi antaa henkilöturvallisuusselvitykseen perustuvan todistuksen, josta käyvät ilmi turvallisuusluokka, johon kuuluviin EU:n turvallisuusluokiteltuihin tietoihin asianomaiselle henkilölle voidaan myöntää pääsy (CONFIDENTIEL UE/EU CONFIDENTIAL tai korkeampi), EU:n turvallisuusluokiteltuihin tietoihin pääsyä varten tarvittavan turvallisuusselvityksen tai EU:n turvallisuusluokiteltuihin tietoihin pääsyä varten tarvittavan valtuutuksen voimassaoloaika ja itse todistuksen voimassaolon päättymispäivä.

28.

Jäsenvaltioissa tehtäviensä vuoksi asianmukaisesti valtuutettujen henkilöiden pääsy EU:n turvallisuusluokiteltuihin tietoihin määritellään kansallisten lakien ja asetusten mukaisesti. Kyseisille henkilöille on selvitettävä heidän turvallisuusvelvoitteensa EU:n turvallisuusluokiteltujen tietojen suojaamisen osalta.

29.

Kaikkien henkilöiden, joille on myönnetty turvallisuusselvitys, on kirjallisesti vakuutettava ymmärtävänsä velvollisuutensa suojata EU:n turvallisuusluokitellut tiedot sekä seuraukset, joihin EU:n turvallisuusluokiteltujen tietojen vaarantuminen johtaa. Jäsenvaltiot ja tapauksen mukaan pääsihteeristö rekisteröivät tällaiset kirjalliset vakuutukset.

30.

Kaikille henkilöille, joille on myönnetty pääsy EU:n turvallisuusluokiteltuihin tietoihin tai joiden edellytetään käsittelevän niitä, on aluksi selvitettävä turvallisuusuhat ja heille on säännöllisin väliajoin tiedotettava niistä, ja heidän on ilmoitettava välittömästi asianomaisille turvallisuusviranomaisille epäilyttävinä tai epätavanomaisina pitämistään yhteydenotoista tai toimista.

31.

Kaikille henkilöille, jotka siirtyvät pois tehtävistä, jotka edellyttävät pääsyä EU:n turvallisuusluokiteltuihin tietoihin, on selvitettävä heidän velvollisuutensa EU:n turvallisuusluokiteltujen tietojen jatkuvan suojaamisen osalta, ja heidän on tarvittaessa annettava siitä kirjallinen vakuutus.

32.

Jäsenvaltion toimivaltaisen kansallisen viranomaisen kansallisiin turvallisuusluokiteltuihin tietoihin pääsyä varten myöntämä turvallisuusselvitys voidaan tilapäisesti siihen saakka, kunnes pääsyä EU:n turvallisuusluokiteltuihin tietoihin koskeva turvallisuusselvitys on myönnetty, sallia kansallisten virkamiesten pääsyn EU:n turvallisuusluokiteltuihin tietoihin lisäyksessä B olevassa vastaavuustaulukossa määriteltyyn vastaavaan turvallisuusluokkaan saakka, jos se on sallittua kansallisten lakien ja asetusten mukaisesti ja jos tällainen tilapäinen pääsy on unionin etujen vuoksi tarpeen. Kansallisten turvallisuusviranomaisten on ilmoitettava turvallisuuskomitealle, jos tällainen tilapäinen pääsy EU:n turvallisuusluokiteltuihin tietoihin ei ole kansallisten lakien ja asetusten mukaan sallittua.

33.

Jos se on yksikön etujen vuoksi asianmukaisesti perusteltua ja jos täydellistä turvallisuustutkintaa ei ole vielä saatu päätökseen, pääsihteeristön nimittävä viranomainen voi kiireellisyyssyistä ja kuultuaan sen jäsenvaltion kansallista turvallisuusviranomaista, jonka kansalainen henkilö on, ja riippuen kielteisten seikkojen olemassaoloa koskevien alustavien tarkistusten tuloksista, myöntää pääsihteeristön virkamiehille ja muun henkilöstön jäsenille tilapäisen valtuutuksen ja pääsyn EU:n turvallisuusluokiteltuihin tietoihin tietyn tehtävän suorittamiseksi. Tällaiset tilapäiset valtuutukset ovat voimassa korkeintaan kuusi kuukautta, eivätkä ne oikeuta pääsemään TRÈS SECRET UE/EU TOP SECRET -turvallisuusluokan tietoihin. Kaikkien henkilöiden, joille on myönnetty tilapäinen valtuutus, on kirjallisesti vakuutettava ymmärtävänsä velvollisuutensa suojata EU:n turvallisuusluokitellut tiedot sekä seuraukset, jos EU:n turvallisuusluokitellut tiedot vaarantuvat. Pääsihteeristö rekisteröi tällaiset kirjalliset vakuutukset.

34.

Jos henkilö on määrä asettaa tehtävään, joka edellyttää yhtä tasoa korkeamman tason turvallisuusselvitystä kuin hänellä tuolloin on, tehtävään asettaminen voidaan tehdä väliaikaisesti edellyttäen, että

35.

Edellä kuvattua menettelyä on käytettävä myönnettäessä henkilölle kertaluonteisesti pääsy EU:n turvallisuusluokiteltuihin tietoihin, jotka on luokiteltu yhtä turvallisuusluokkaa korkeammalle kuin se, jota hänen turvallisuusselvityksensä koskee. Tätä menettelyä ei saa käyttää toistuvasti.

36.

Erittäin poikkeuksellisissa olosuhteissa, kuten toteutettaessa operaatioita vihamielisessä ympäristössä tai kasvavien kansainvälisten jännitteiden aikana, jäsenvaltiot ja pääsihteeri voivat kiireellisten toimenpiteiden niin edellyttäessä ja erityisesti ihmishenkien pelastamiseksi myöntää mahdollisuuksien mukaan kirjallisesti pääsyn CONFIDENTIEL UE/EU CONFIDENTIAL- tai SECRET UE/EU SECRET -turvallisuusluokan tietoihin henkilöille, joilla ei ole vaadittua turvallisuusselvitystä edellyttäen, että tällainen lupa on ehdottoman välttämätön eikä asianomaisen henkilön lojaaliudesta, rehellisyydestä ja luotettavuudesta ole perusteltua epäilystä. Tällaisesta luvasta on säilytettävä rekisterissä tieto ja kuvaus tiedoista, joihin pääsy on hyväksytty.

37.

TRÈS SECRET UE/EU TOP SECRET -turvallisuusluokan tietojen osalta kiireellisyyssyistä myönnetty pääsy on rajattava unionin kansalaisiin, joille on myönnetty pääsy joko TRÈS SECRET UE/EU TOP SECRET -turvallisuusluokkaa vastaavan kansallisen turvallisuusluokan tietoihin tai SECRET UE/EU SECRET -turvallisuusluokan tietoihin.

38.

Turvallisuuskomitealle on ilmoitettava tapauksista, joissa käytetään 36 ja 37 kohdan mukaista menettelyä.

39.

Jos jäsenvaltion laeissa ja asetuksissa säädetään tiukemmista säännöistä tilapäisten valtuutusten osalta, väliaikaisista nimityksistä tai henkilöille myönnettävästä pääsystä turvallisuusluokiteltuihin tietoihin kertaluonteisesti tai kiireellisessä tapauksessa, tässä jaksossa kuvattuja menettelyjä on sovellettava ainoastaan asiaankuuluvissa kansallisissa laeissa ja asetuksissa säädetyissä rajoissa.

40.

Turvallisuuskomitealle on toimitettava vuosittain selvitys tässä jaksossa säädettyjen menettelyjen käytöstä.

41.

Jollei 28 kohdasta muuta johdu, henkilöiden, joille on annettu tehtäväksi osallistua neuvoston istuntoihin tai neuvoston valmisteluelinten kokouksiin, joissa käsitellään CONFIDENTIEL UE/EU CONFIDENTIAL- tai sitä korkeamman turvallisuusluokan tietoja, on ensin esitettävä vahvistus turvallisuusselvityksestään. Valtuuskuntien jäsenten osalta asianomaisten viranomaisten on toimitettava turvallisuusselvitykseen perustuva henkilöturvallisuustodistus tai muu todiste turvallisuusselvityksestä pääsihteeristön turvallisuusyksikölle, tai asianomainen valtuuskunnan jäsen voi poikkeuksellisesti esittää sen henkilökohtaisesti. Tarvittaessa voidaan käyttää ajantasaista nimiluetteloa, joka on asianmukainen näyttö turvallisuusselvityksestä.

42.

Jos henkilön, jonka tehtävät edellyttävät osallistumista neuvoston tai neuvoston valmisteluelinten kokouksiin, turvallisuusselvitys EU:n turvallisuusluokiteltuihin tietoihin pääsemiseksi perutaan turvallisuussyistä, toimivaltaisen viranomaisen on ilmoitettava asiasta pääsihteeristölle.

43.

Kuriireilla, vartijoilla ja saattajilla on oltava asiaankuuluvan tason turvallisuusselvitys tai heidän on oltava muulla tavoin asianmukaisesti tutkittuja kansallisten lakien ja asetusten mukaisesti, ja heille on selvitettävä EU:n turvallisuusluokiteltujen tietojen suojaamista koskevat turvallisuusmenettelyt ja annettava ohjeet heille uskottujen tällaisten tietojen suojaamiseen liittyvistä tehtävistään.

1.

Tässä liitteessä vahvistetaan 8 artiklan täytäntöönpanosäännökset. Siinä vahvistetaan EU:n turvallisuusluokiteltujen tietojen käsittelyyn ja säilyttämiseen käytettyjen tilojen, rakennusten, toimistojen, huoneiden ja muiden alueiden, viestintä- ja tietojärjestelmien sijoitusalueet mukaan luettuina, fyysistä suojaamista koskevat vähimmäisvaatimukset.

2.

Fyysisten turvatoimien tarkoituksena on estää luvaton pääsy EU:n turvallisuusluokiteltuihin tietoihin

3.

Fyysisten turvatoimien valinnan on perustuttava toimivaltaisten viranomaisten tekemään uhka-arvioon. Pääsihteeristön ja jäsenvaltioiden on sovellettava riskinhallintaprosessia EU:n turvallisuusluokiteltujen tietojen suojaamiseksi tiloissaan, jotta varmistetaan, että fyysisen suojelun taso vastaa arvioitua riskiä. Riskinhallintaprosessissa on otettava huomioon kaikki asiaankuuluvat tekijät, erityisesti seuraavat:

4.

Toimivaltaisen turvallisuusviranomaisen on syvyyssuuntaisen turvallisuuden käsitettä soveltaen määriteltävä asianmukainen fyysisten turvatoimien yhdistelmä. Ne voivat käsittää yhden tai useampia seuraavista:

5.

Toimivaltainen viranomainen voidaan valtuuttaa tekemään sisään- ja ulostulotarkastuksia, millä estetään aineiston luvaton tuonti tai EU:n turvallisuusluokiteltujen tietojen luvaton poisvienti tiloista tai rakennuksista.

6.

Jos EU:n turvallisuusluokiteltuihin tietoihin kohdistuu salakatselun riski, vahingossa tapahtuva salakatselu mukaan luettuna, on toteutettava asianmukaiset toimenpiteet tällaisen riskin torjumiseksi.

7.

Uusien toimitilojen osalta fyysisten turvallisuusvaatimusten ja niiden toiminnallisten eritelmien määrittelyn on oltava osa toimitilojen suunnittelua ja rakenteita. Jo olemassa olevien toimitilojen osalta fyysiset turvallisuusvaatimukset on pantava täytäntöön mahdollisimman täydellisesti.

8.

Hankittaessa EU:n turvallisuusluokiteltujen tietojen fyysiseen suojeluun tarkoitettuja laitteita (esimerkiksi turvakaappeja, paperisilppureita, ovilukkoja, elektronisia kulunvalvontajärjestelmiä, tunkeutumisenhavaitsemisjärjestelmiä ja hälytysjärjestelmiä) toimivaltaisen turvallisuusviranomaisen on varmistettava, että laitteet ovat hyväksyttyjen teknisten standardien ja vähimmäisvaatimusten mukaisia.

9.

EU:n turvallisuusluokiteltujen tietojen fyysiseen suojeluun käytettyjen laitteiden tekniset eritelmät on esitettävä turvallisuutta koskevissa suuntaviivoissa, jotka turvallisuuskomitea hyväksyy.

10.

Turvallisuusjärjestelmät on tarkastettava määräajoin, ja laitteet on huollettava säännöllisin väliajoin. Huolto on tehtävä suoritettujen tarkastusten tulokset huomioon ottaen, jotta varmistetaan laitteiden optimaalinen suoritustaso myös jatkossa.

11.

Yksittäisten turvatoimien ja koko turvallisuusjärjestelmän tehokkuus on arvioitava uudelleen kunkin tarkastuksen yhteydessä.

12.

EU:n turvallisuusluokiteltujen tietojen fyysiseksi suojaamiseksi on perustettava kahdentyyppisiä fyysisesti suojattuja alueita tai vastaavia kansallisia alueita:

Kaikkia tässä päätöksessä olevia viittauksia hallinnollisiin alueisiin ja turva-alueisiin, teknisesti suojatut turva-alueet mukaan luettuina, on pidettävä viittauksina myös niitä vastaaviin kansallisiin alueisiin.

13.

Toimivaltaisen turvallisuusviranomaisen on todettava, että alue täyttää vaatimukset, jotka koskevat nimeämistä hallinnolliseksi alueeksi, turva-alueeksi tai teknisesti suojatuksi turva-alueeksi.

14.

Hallinnollisiin alueisiin sovelletaan seuraavaa:

15.

Turva-alueisiin sovelletaan seuraavaa:

16.

Jos turva-alueelle tulo merkitsee käytännössä välitöntä pääsyä sillä oleviin turvallisuusluokiteltuihin tietoihin, sovelletaan lisäksi seuraavia vaatimuksia:

17.

Salakuuntelulta suojatut turva-alueet on nimettävä teknisesti suojatuiksi turva-alueiksi. Lisäksi sovelletaan seuraavia vaatimuksia:

18.

Sen estämättä, mitä 17 kohdan d alakohdassa säädetään, toimivaltaisen turvallisuusviranomaisen on tarkastettava kaikki viestintä-, sähkö- tai elektroniset laitteet, ennen kuin niitä käytetään alueilla, joilla pidetään SECRET UE/EU SECRET- tai sitä korkeamman turvallisuusluokan tietoihin liittyviä kokouksia tai tehdään tällaisiin tietoihin liittyvää työtä, silloin kun EU:n turvallisuusluokiteltuihin tietoihin kohdistuva uhka arvioidaan korkeaksi, ja näin varmistettava, ettei niillä voi tahattomasti eikä laittomasti välittää ymmärrettävässä muodossa olevia tietoja turva-alueen rajojen ulkopuolelle.

19.

Turva-alueet, joilla ei ole henkilöstöä palveluksessa vuorokauden ympäri, on tarvittaessa tarkastettava normaalin työajan päätteeksi ja satunnaisiin aikoihin sen ulkopuolella, paitsi jos alueelle on asennettu tunkeutumisenhavaitsemisjärjestelmä.

20.

Turva-alueita ja teknisesti suojattuja turva-alueita voidaan tilapäisesti perustaa hallinnolliselle alueelle turvallisuusluokiteltua kokousta tai muuta vastaavaa tarkoitusta varten.

21.

Kullekin turva-alueelle on laadittava turvallisuusmenettelyt, joissa on määräykset seuraavista:

22.

Turva-alueille on rakennettava kassaholveja. Toimivaltaisen turvallisuusviranomaisen on hyväksyttävä seinät, lattiat, katot, ikkunat ja lukittavat ovet, joiden on tarjottava sama turvallisuustaso kuin sen, jonka saman turvallisuusluokan EU:n turvallisuusluokiteltujen tietojen säilyttämiseen hyväksytyt turvakaapit tarjoavat.

23.

EU:n turvallisuusluokiteltuja tietoja, jotka kuuluvat RESTREINT UE/EU RESTRICTED -turvallisuusluokkaan, voidaan käsitellä

24.

EU:n turvallisuusluokitellut tiedot, jotka kuuluvat RESTREINT UE/EU RESTRICTED -turvallisuusluokkaan, on säilytettävä soveltuvissa lukituissa toimistokalusteissa hallinnollisella alueella tai turva-alueella. Niitä voidaan tilapäisesti säilyttää turva-alueen tai hallinnollisen alueen ulkopuolella, jos tietojen haltija on sitoutunut noudattamaan toimivaltaisen turvallisuusviranomaisen antamissa turvallisuusohjeissa määrättyjä korvaavia toimenpiteitä.

25.

EU:n turvallisuusluokiteltuja tietoja, jotka kuuluvat CONFIDENTIEL UE/EU CONFIDENTIAL tai SECRET UE/EU SECRET -turvallisuusluokkaan, voidaan käsitellä

26.

EU:n turvallisuusluokiteltuja tietoja, jotka kuuluvat CONFIDENTIEL UE/EU CONFIDENTIAL- ja SECRET UE/EU SECRET -turvallisuusluokkaan, on säilytettävä turva-alueella joko turvakaapissa tai kassaholvissa.

27.

EU:n turvallisuusluokiteltuja tietoja, jotka kuuluvat TRÈS SECRET UE/EU TOP SECRET -turvallisuusluokkaan, on käsiteltävä turva-alueella.

28.

EU:n turvallisuusluokitellut tiedot, jotka kuuluvat TRÈS SECRET UE/EU TOP SECRET -turvallisuusluokkaan, on säilytettävä turva-alueella noudattaen toista seuraavista ehdoista:

29.

EU:n turvallisuusluokiteltujen tietojen kuljettamista fyysisesti suojattujen alueiden ulkopuolella koskevat säännöt vahvistetaan liitteessä III.

30.

Toimivaltaisen turvallisuusviranomaisen on määriteltävä toimistojen, huoneiden, kassaholvien ja turvakaappien avainten ja numeroyhdistelmien hallinnointimenettelyt. Näillä menettelyillä ne suojataan luvattomalta pääsyltä.

31.

Numeroyhdistelmät on annettava mahdollisimman harvoille sellaisille henkilöille, joiden on tarpeen tietää ne, ja heidän on osattava ne ulkoa. EU:n turvallisuusluokiteltuja tietoja sisältävien turvakaappien ja kassaholvien numeroyhdistelmät on vaihdettava

1.

Tässä liitteessä vahvistetaan 9 artiklan täytäntöönpanosäännökset. Siinä vahvistetaan hallinnolliset toimenpiteet, jotka koskevat EU:n turvallisuusluokiteltujen tietojen valvomista koko niiden elinkaaren ajan, jotta autetaan estämään ja havaitsemaan tällaisten tietojen tahallinen tai tahaton vaarantuminen tai katoaminen.

2.

Tiedot turvallisuusluokitellaan, jos niiden luottamuksellisuus on suojattava.

3.

EU:n turvallisuusluokiteltujen tietojen luovuttaja vastaa tietojen turvallisuusluokan määrittelystä turvallisuusluokittelua koskevien asiaankuuluvien ohjeiden mukaisesti, sekä niiden alustavasta jakelusta.

4.

EU:n turvallisuusluokiteltujen tietojen turvallisuusluokka määritellään 2 artiklan 2 kohdan mukaisesti ja soveltaen turvallisuusperiaatteita, jotka hyväksytään 3 artiklan 3 kohdan mukaisesti.

5.

Turvallisuusluokka on merkittävä selkeästi ja oikein riippumatta siitä, ovatko EU:n turvallisuusluokitellut tiedot paperi-, suullisessa, sähköisessä vai jossakin muussa muodossa.

6.

Tietyn asiakirjan yksittäiset osat (sivut, kohdat, jaksot, liitteet, lisäykset, saatteet ja oheistukset) saattavat edellyttää eri turvallisuusluokkia, ja ne on merkittävä sen mukaisesti, myös silloin, kun ne tallennetaan sähköisesti.

7.

Koko asiakirjan tai tiedoston turvallisuusluokan on oltava vähintään yhtä korkea kuin sen korkeimpaan turvallisuusluokkaan määritellyn osan turvallisuusluokka. Jos eri lähteistä peräisin olevia tietoja yhdistetään, lopputuote on tarkistettava sen kokonaisturvallisuusluokan määrittämiseksi, koska asiakirja voi edellyttää korkeampaa turvallisuusluokkaa kuin sen muodostavat osat.

8.

Asiakirjat, jotka sisältävät eri turvallisuusluokkiin kuuluvia osia, on mahdollisuuksien mukaan laadittava niin, että eri turvallisuusluokkiin kuuluvat osat voidaan helposti tunnistaa ja tarvittaessa poistaa.

9.

Liitteitä sisältävän kirjeen tai ilmoituksen turvallisuusluokan on oltava yhtä korkea kuin sen liitteiden korkein turvallisuusluokka. Luovuttajan on ilmoitettava selvästi tällaisen asiakirjan turvallisuusluokka ilman liitteitä asianmukaisella merkinnällä esimerkiksi seuraavasti:

CONFIDENTIEL UE/EU CONFIDENTIAL

Ilman liitteitä RESTREINT UE/EU RESTRICTED

10.

2 artiklan 2 kohdassa säädettyjen turvallisuusluokitusmerkintöjen lisäksi EU:n turvallisuusluokitelluissa tiedoissa voi olla muita merkintöjä, esimerkiksi

11.

Tekstiin kuuluvien yksittäisten kappaleiden turvallisuusluokan merkitsemiseen voidaan käyttää vakiomuotoisia turvallisuusluokitusmerkintöjen lyhenteitä. Täydellisiä turvallisuusluokitusmerkintöjä ei saa korvata lyhenteillä.

12.

EU:n turvallisuusluokitelluissa asiakirjoissa voidaan käyttää seuraavia vakiomuotoisia lyhenteitä, joilla ilmoitetaan alle yhden sivun mittaisten jaksojen tai tekstin osien turvallisuusluokka:

13.

Tuotettaessa EU:n turvallisuusluokiteltua asiakirjaa

14.

Jos EU:n turvallisuusluokiteltuihin tietoihin ei voida soveltaa 13 kohtaa, on toteutettava muita asianmukaisia toimenpiteitä 6 artiklan 2 kohdan nojalla laadittavien turvallisuutta koskevien suuntaviivojen mukaisesti.

15.

Tietoja tuottaessaan luovuttajan on mahdollisuuksien mukaan ja erityisesti RESTREINT UE/EU RESTRICTED -turvallisuusluokan tietojen osalta ilmoitettava, voidaanko EU:n turvallisuusluokiteltujen tietojen turvallisuusluokkaa alentaa tai turvallisuusluokitus poistaa tiettynä päivänä tai tietyn tapahtuman jälkeen.

16.

Pääsihteeristön on tarkistettava hallussaan olevat EU:n turvallisuusluokitellut tiedot säännöllisin väliajoin sen selvittämiseksi, onko turvallisuusluokka edelleen asianmukainen. Pääsihteeristön on perustettava järjestelmä sen luovuttamien EU:n turvallisuusluokiteltujen tietojen turvallisuusluokan tarkistamiseksi vähintään joka viides vuosi. Tarkistaminen ei ole tarpeen, jos tietojen luovuttaja on alun perin ilmoittanut, että tietojen turvallisuusluokkaa alennetaan tai että se poistetaan ilman eri toimenpiteitä, ja jos tiedot on merkitty tämän mukaisesti.

17.

Kaikille pääsihteeristön ja jäsenvaltioiden kansallisten hallintojen organisaatioyksiköille, joissa EU:n turvallisuusluokiteltuja tietoja käsitellään, on määriteltävä vastaava kirjaamo sen varmistamiseksi, että tietoja käsitellään tämän päätöksen mukaisesti. Kirjaamot on perustettava liitteessä II määritellyn mukaisiksi turva-alueiksi.

18.

Turvallisuustarkoituksia varten tapahtuvalla kirjaamisella, jäljempänä ’kirjaaminen’, tarkoitetaan tässä päätöksessä sellaisten menettelyjen soveltamista, joilla rekisteröidään aineiston elinkaari, myös sen jakelu ja hävittäminen.

19.

Kaikki CONFIDENTIEL UE/EU CONFIDENTIAL- tai sitä korkeamman turvallisuusluokan aineisto on kirjattava sille tarkoitetuissa kirjaamoissa, kun aineisto saapuu organisaatioyksikköön tai lähtee siitä.

20.

Pääsihteeristön keskuskirjaamo rekisteröi kaikki neuvoston ja pääsihteeristön kolmansille valtioille ja kansainvälisille järjestöille luovuttamat turvallisuusluokitellut tiedot sekä kaikki kolmansilta valtioilta tai kansainvälisiltä järjestöiltä vastaanotetut turvallisuusluokitellut tiedot.

21.

Jos kyseessä on viestintä- ja tietojärjestelmä, kirjaamismenettelyt voidaan suorittaa tämän järjestelmän omien prosessien avulla.

22.

Neuvosto turvallisuustarkoituksia varten kirjattavia EU:n turvallisuusluokiteltuja tietoja koskevat turvallisuusperiaatteet.

23.

Jäsenvaltioihin ja pääsihteeristöön on nimettävä kirjaamo, joka toimii TRÈS SECRET UE/EU TOP SECRET -turvallisuusluokan tietojen keskitettynä vastaanottaja- ja lähettäjäviranomaisena. Tarvittaessa voidaan nimetä alakirjaamoja tällaisten tietojen käsittelemiseksi kirjaamistarkoituksiin.

24.

TRÈS SECRET UE/EU TOP SECRET -asiakirjoja ei saa toimittaa suoraan saman TRÈS SECRET UE /EU TOP SECRET -keskuskirjaamon alakirjaamosta toiseen tai niiden ulkopuolelle ilman keskuskirjaamon nimenomaista kirjallista hyväksyntää.

25.

TRÈS SECRET UE/EU TOP SECRET -asiakirjoja ei saa jäljentää eikä kääntää ilman niiden luovuttajan kirjallista etukäteissuostumusta.

26.

Jos SECRET UE/EU SECRET- ja sitä alemman turvallisuusluokan asiakirjojen luovuttaja ei ole kieltänyt jäljentämästä tai kääntämästä asiakirjoja, ne voidaan jäljentää tai kääntää niiden haltijan pyynnöstä.

27.

Jäljennöksiin ja käännöksiin sovelletaan alkuperäistä asiakirjaa koskevia turvatoimia.

28.

EU:n turvallisuusluokiteltujen tietojen fyysiseen kuljettamiseen sovelletaan 30–41 kohdassa esitettyjä suojatoimenpiteitä. Jos EU:n turvallisuusluokiteltuja tietoja siirretään sähköisillä tallennusvälineillä ja sen estämättä, mitä 9 artiklan 4 kohdassa säädetään, jäljempänä esitettyjä suojatoimenpiteitä voidaan täydentää toimivaltaisen turvallisuusviranomaisen määräämillä asianmukaisilla teknisillä vastatoimenpiteillä, jotta minimoidaan katoamisen tai vaarantumisen riski.

29.

Pääsihteeristön ja jäsenvaltioiden toimivaltaisten turvallisuusviranomaisten on annettava ohjeet EU:n turvallisuusluokiteltujen tietojen kuljettamisesta tämän päätöksen mukaisesti.

30.

Rakennuksen tai suljetun rakennusryhmän sisällä kuljetettavat EU:n turvallisuusluokitellut tiedot on peitettävä niin, ettei niiden sisältö ole näkyvissä.

31.

TRÈS SECRET UE/EU TOP SECRET -turvallisuusluokan tiedot on kuljetettava rakennuksen tai suljetun rakennusryhmän sisällä sinetöidyssä kirjekuoressa, johon on merkitty vain vastaanottajan nimi.

32.

Unionin alueella rakennusten tai tilojen välillä kuljetettavat EU:n turvallisuusluokitellut tiedot on pakattava niin, että ne on suojattu luvattomalta ilmitulolta.

33.

CONFIDENTIEL UE/EU CONFIDENTIAL- ja SECRET UE/EU SECRET -turvallisuusluokan tiedot on kuljetettava unionin alueella jollakin seuraavista tavoista:

Kuljetettaessa tietoja jäsenvaltiosta toiseen c alakohdan säännökset koskevat korkeintaan CONFIDENTIEL UE/EU CONDIFENTIAL -turvallisuusluokan tietoja.

34.

RESTREINT UE/EU RESTRICTED -turvallisuusluokan tietoja voidaan kuljettaa myös postipalvelujen tai kaupallisten kuriiripalvelujen välityksellä. Tällaisten tietojen kuljettamiseen ei vaadita kuriiritodistusta.

35.

CONFIDENTIEL UE/EU CONFIDENTIAL- ja SECRET UE/EU SECRET -turvallisuusluokkiin kuuluva aineisto (esimerkiksi laitteet tai koneet), joita ei voida kuljettaa 33 kohdassa tarkoitetuilla tavoilla, on kuljetettava rahtina kaupallisten rahdinkuljettajien välityksellä liitteen V mukaisesti.

36.

TRÈS SECRET UE/EU TOP SECRET -turvallisuusluokan tiedot on kuljetettava rakennusten tai tilojen välillä unionin alueella tapauksen mukaan sotilaskuriirilla, valtion kuriirilla tai diplomaattikuriirilla.

37.

Unionista kolmannen valtion alueelle kuljetettavat EU:n turvallisuusluokitellut tiedot on pakattava niin, että ne on suojattu luvattomalta ilmitulolta.

38.

CONFIDENTIEL UE/EU CONFIDENTIAL- ja SECRET UE/EU SECRET -turvallisuusluokkien tiedot on kuljetettava unionista kolmannen valtion alueelle jollakin seuraavista tavoista:

39.

Kuljetettaessa unionin kolmannelle valtiolle tai kansainväliselle järjestölle luovuttamia CONFIDENTIEL UE/EU CONFIDENTIAL- ja SECRET UE/EU SECRET -turvallisuusluokkien tietoja on noudatettava 13 artiklan 2 kohdan a alakohdan mukaisen tietoturvallisuussopimuksen tai b alakohdan mukaisen hallinnollisen järjestelyn asiaankuuluvia määräyksiä.

40.

RESTREINT UE/EU RESTRICTED -turvallisuusluokan tietoja voidaan kuljettaa myös postipalvelujen tai kaupallisten kuriiripalvelujen välityksellä.

41.

TRÈS SECRET UE/EU TOP SECRET -turvallisuusluokan tiedot on kuljetettava unionista kolmannen valtion alueelle sotilas- tai diplomaattikuriirilla.

42.

EU:n turvallisuusluokitellut tiedot, joita ei enää tarvita, voidaan hävittää, sanotun kuitenkaan rajoittamatta arkistointia koskevien sääntöjen ja määräysten soveltamista.

43.

Asiakirjat, jotka on kirjattava 9 artiklan 2 kohdan mukaisesti, on hävitettävä niistä vastaavassa kirjaamossa niiden haltijan tai toimivaltaisen viranomaisen määräyksestä. Päiväkirjat ja muut kirjaustiedot on päivitettävä vastaavasti.

44.

SECRET UE/EU SECRET- tai TRÈS SECRET UE/EU TOP SECRET -turvallisuusluokan asiakirjojen hävittäminen on suoritettava todistajan läsnä ollessa. Todistajalla on oltava vähintään hävitettävän asiakirjan turvallisuusluokkaa vastaava turvallisuusselvitys.

45.

Sekä kirjaajan että todistajan, jos jälkimmäisen läsnäoloa vaaditaan, on allekirjoitettava hävittämistodistus, joka tallennetaan kirjaamoon. Kirjaamon on säilytettävä TRÈS SECRET UE/EU TOP SECRET -asiakirjojen hävittämistodistukset vähintään kymmenen vuoden ajan sekä CONFIDENTIEL UE/EU CONFIDENTIAL ja SECRET UE/EU SECRET -asiakirjojen hävittämistodistukset vähintään viiden vuoden ajan.

46.

Turvallisuusluokiteltujen asiakirjojen, myös RESTREINT UE/EU RESTRICTED -turvallisuusluokan asiakirjojen, hävittämisessä on käytettävä menetelmiä, jotka vastaavat asiaankuuluvia unionin tai vastaavia standardeja tai jotka jäsenvaltiot ovat hyväksyneet kansallisten teknisten standardien mukaisesti, jotta estetään tietojen kokoaminen uudelleen kokonaan tai osittain.

47.

EU:n turvallisuusluokiteltujen tietojen tallentamiseen käytetyt atk-tallennevälineet on hävitettävä liitteessä IV olevan 37 kohdan mukaisesti.

48.

Hätätapauksessa, jos on olemassa EU:n turvallisuusluokiteltujen tietojen luvattoman ilmitulon välitön vaara, haltijan on tuhottava tiedot niin, että niitä ei voida palauttaa ennalleen kokonaan eikä osittain. Tietojen luovuttajalle ja rekisterin ylläpitäjälle on ilmoitettava rekisteröityjen EU:n turvallisuusluokiteltujen tietojen hävittämisestä hätätapauksessa.

49.

’Arviointikäynnillä’ tarkoitetaan jäljempänä

jossa arvioidaan EU:n turvallisuusluokiteltujen tietojen suojaamiseksi toteutettujen toimenpiteiden tehokkuutta.

50.

Arviointikäyntejä tehdään muun muassa

51.

Neuvosto hyväksyy ennen kunkin kalenterivuoden loppua 16 artiklan 1 kohdan c alakohdassa tarkoitetun arviointikäyntiohjelman seuraavaksi vuodeksi. Kunkin arviointikäynnin ajankohdasta sovitaan kyseisen unionin elimen tai laitoksen, jäsenvaltion, kolmannen valtion tai kansainvälisen järjestön kanssa.

52.

Arviointikäynneillä on käytävä läpi käynnin kohteena olevan yksikön asiaankuuluvat säännöt, määräykset ja menettelyt sekä tarkistettava, ovatko yksikön toimintatavat tässä päätöksessä ja turvallisuusluokiteltujen tietojen vaihtoa kyseisen yksikön kanssa koskevissa säännöksissä säädettyjen perusperiaatteiden ja vähimmäisvaatimusten mukaisia.

53.

Arviointikäynnit on suoritettava kahdessa vaiheessa. Ennen varsinaista käyntiä asianomaisen yksikön kanssa on tarvittaessa pidettävä valmistelukokous. Valmistelukokouksen jälkeen arviointiryhmän on laadittava yhteisymmärryksessä kyseisen yksikön kanssa yksityiskohtainen arviointikäyntiohjelma, joka kattaa kaikki turvallisuuden alat. Arviointiryhmän olisi päästävä kaikkiin paikkoihin, joissa EU:n turvallisuusluokiteltuja tietoja käsitellään, erityisesti kirjaamoihin sekä viestintä- ja tietojärjestelmien sijoituspaikkoihin.

54.

Jäsenvaltioiden kansallisiin hallintoihin, kolmansiin valtioihin ja kansainvälisiin järjestöihin tehtävät arviointikäynnit tehdään täydessä yhteistyössä käynnin kohteena olevan yksikön, kolmannen valtion tai kansainvälisen järjestön virkamiesten kanssa.

55.

Unionin elimiin, laitoksiin ja yksiköihin, jotka soveltavat tätä päätöstä tai sen periaatteita, tehtävät arviointikäynnit tehdään käyttäen elimen, laitoksen tai yksikön sijaintijäsenvaltion kansallisen turvallisuusviranomaisen asiantuntija-apua.

56.

Kun arviointikäyntejä tehdään unionin elimiin, laitoksiin ja yksiköihin, jotka soveltavat tätä päätöstä tai sen periaatteita, sekä kolmansiin valtioihin ja kansainvälisiin järjestöihin, kansallisilta turvallisuusviranomaisilta voidaan pyytää asiantuntija-apua turvallisuuskomitean sopimien yksityiskohtaisten järjestelyjen mukaisesti.

57.

Arviointikäynnin päätteeksi yksikölle, jossa käytiin, on esitettävä tärkeimmät päätelmät ja suositukset. Tämän jälkeen arviointikäynnistä on laadittava raportti. Jos on ehdotettu korjaavia toimia tai annettu suosituksia, niistä on annettava raportissa riittävästi yksityiskohtaisia tietoja tehtyjen päätelmien tueksi. Raportti on toimitettava sen yksikön asianmukaiselle vastuuhenkilölle, jonne vierailu tehtiin.

58.

Jäsenvaltioiden kansallisissa hallinnoissa suoritettavien arviointikäyntien osalta

Pääsihteeristön turvallisuusviranomaisen (turvallisuusyksikön) vastuulla laaditaan säännöllisin väliajoin raportti, jossa selostetaan tietyn jakson aikana jäsenvaltioissa tehdyistä arviointikäynneistä saadut kokemukset. Turvallisuuskomitea tarkastelee raporttia.

59.

Arviointikäynneistä kolmansiin valtioihin ja kansainvälisiin järjestöihin laadittu raportti jaetaan turvallisuuskomitealle. Raportin turvallisuusluokan on oltava vähintään RESTREINT UE/EU RESTRICTED. Mahdollisten korjaavien toimien toteuttaminen tarkistetaan seurantakäynnillä, ja siitä raportoidaan turvallisuuskomitealle.

60.

Kun arviointikäyntejä tehdään unionin elimiin, laitoksiin ja yksiköihin, jotka soveltavat tätä päätöstä tai sen periaatteita, arviointikäynnistä laadittu raportti jaetaan turvallisuuskomitealle. Arviointikäynnistä laadittu raporttiluonnos toimitetaan asianomaiselle virastolle tai elimelle, joka tarkistaa, että sen sisältämät tiedot ovat oikeita ja että siinä on korkeintaan RESTREINT UE/EU RESTRICTED -turvallisuusluokkaan kuuluvia tietoja. Mahdollisten korjaavien toimien toteuttaminen tarkistetaan seurantakäynnillä, ja siitä raportoidaan turvallisuuskomitealle.

61.

Pääsihteeristön turvallisuusviranomainen suorittaa säännöllisin väliajoin pääsihteeristön organisaatioyksiköiden tarkastuksia 50 kohdan soveltamiseksi.

62.

Pääsihteeristön turvallisuusviranomainen (turvallisuusyksikkö) laatii ja pitää ajan tasalla luettelon kohteista, jotka on tarkastettava arviointikäynnin yhteydessä. Tarkastusluettelo on toimitettava turvallisuuskomitealle.

63.

Luettelon täydentämiseen tarvittavat tiedot on varsinkin käynnin aikana hankittava tarkastettavan yksikön turvallisuushallinnolta. Kun tarkastusluetteloon on lisätty yksityiskohtaiset vastaukset, sille on määriteltävä turvallisuusluokka tarkastetun yksikön suostumuksella. Luetteloa ei liitetä osaksi tarkastusraporttia.

1.

Tässä liitteessä vahvistetaan 10 artiklan täytäntöönpanosäännökset.

2.

Seuraavat tietojen turvaamisen ominaisuudet ja periaatteet ovat olennaisia operaatioiden turvallisuuden ja toimivuuden kannalta viestintä- ja tietojärjestelmissä:

3.

Jäljempänä esitetyt säännökset muodostavat kaikkien EU:n turvallisuusluokiteltuja tietoja käsittelevien viestintä- ja tietojärjestelmien turvallisuuden lähtökohdan. Näiden säännösten täytäntöönpanoa koskevat yksityiskohtaiset vaatimukset määritellään tietojen turvaamista koskevissa turvallisuusperiaatteissa ja turvallisuutta koskevissa suuntaviivoissa.

4.

Turvallisuusriskien hallinnan on oltava erottamaton osa viestintä- ja tietojärjestelmän määrittelyä, kehittämistä, käyttöä ja ylläpitoa. Riskinhallinta (arviointi, käsittely, hyväksyminen ja viestintä) on toteutettava iteroivana prosessina, jossa järjestelmän omistajien edustajien, hankkeesta vastaavien viranomaisten, toiminnasta vastaavien viranomaisten ja turvallisuusjärjestelyt hyväksyvien viranomaisten on osallistuttava toteuttamiseen, ja siinä on käytettävä vakiintunutta, avointa ja täysin ymmärrettävää riskinarviointiprosessia. Viestintä- ja tietojärjestelmän laajuus ja resurssit on määriteltävä selkeästi riskinhallintaprosessin alusta alkaen.

5.

Toimivaltaisten viranomaisten on tarkasteltava viestintä- ja tietojärjestelmiin mahdollisesti kohdistuvia uhkia ja pidettävä yllä ajantasaisia ja tarkkoja uhka-arvioita, jotka perustuvat ajankohtaiseen toimintaympäristöön. Niiden on jatkuvasti päivitettävä haavoittuvuuteen liittyviä kysymyksiä koskevia tietojaan ja tarkistettava säännöllisin väliajoin haavoittuvuusarviota mukautuakseen muuttuvaan tietotekniikkaympäristöön.

6.

Turvallisuusriskin käsittelyllä on pyrittävä toteuttamaan turvatoimien yhdistelmä, jolla saadaan aikaan tyydyttävä tasapaino käyttäjien vaatimusten, kustannusten ja turvallisuuteen kohdistuvan jäännösriskin välillä.

7.

Asiaankuuluvan turvallisuusjärjestelyjen hyväksyntäviranomaisen viestintä- ja tietojärjestelmän hyväksymistä varten määrittämät erityiset vaatimukset, laajuus ja yksityiskohtaisuus on suhteutettava arvioituun riskiin ottaen huomioon kaikki asiaankuuluvat tekijät, myös viestintä- ja tietojärjestelmässä käsiteltyjen EU:n turvallisuusluokiteltujen tietojen turvallisuusluokka. Hyväksyntään on liitettävä vastuuviranomaisen virallinen lausunto jäännösriskistä ja sen hyväksymisestä.

8.

Turvallisuuden varmistamista on pidettävä vaatimuksena koko viestintä- ja tietojärjestelmän elinkaaren ajan sen alullepanosta käytöstä poistamiseen.

9.

Käyttöajan kussakin vaiheessa on määriteltävä kunkin viestintä- ja tietojärjestelmään osallistuvan toimijan tehtävät ja toimijoiden vuorovaikutus järjestelmän turvallisuuden kannalta.

10.

Viestintä- ja tietojärjestelmien turvallisuus, myös niiden tekniset ja muut kuin tekniset turvatoimet, on testattava hyväksymisprosessin aikana sen varmistamiseksi, että asianmukainen turvaamistaso saavutetaan, ja sen tarkistamiseksi, että ne on moitteettomasti toteutettu, integroitu ja konfiguroitu.

11.

Turvallisuutta koskevat arvioinnit, tarkastukset ja uudelleentarkastelut on suoritettava määräajoin viestintä- ja tietojärjestelmän toiminnan ja huollon aikana sekä poikkeuksellisten tilanteiden ilmetessä.

12.

Viestintä- ja tietojärjestelmän turvallisuusasiakirjoja on kehitettävä sen elinkaaren aikana erottamattomana osana muutosten ja asetusten hallintaprosessia.

13.

Pääsihteeristön ja jäsenvaltioiden on tehtävä yhteistyötä parhaiden toimintatapojen kehittämiseksi viestintä- ja tietojärjestelmissä käsiteltävien EU:n turvallisuusluokiteltujen tietojen suojaamista varten. Parhaita toimintatapoja koskevissa suuntaviivoissa on vahvistettava viestintä- ja tietojärjestelmiä koskevat tekniset, fyysiset, organisatoriset ja menettelyyn liittyvät turvatoimet, joiden tehokkuus tiettyjen uhkien ja haavoittuvuuden torjumisessa on todistettu.

14.

Viestintä- ja tietojärjestelmissä käsiteltävien EU:n turvallisuusluokiteltujen tietojen suojaamisessa on hyödynnettävä tietojen turvaamiseen unionissa ja sen ulkopuolella osallistuvien yksiköiden kokemuksia.

15.

Parhaiden toimintatapojen levittämisen ja niiden myöhemmän täytäntöönpanon on edesautettava yhtäläisen turvaamistason aikaansaamista pääsihteeristössä ja jäsenvaltioissa käytettävissä eri viestintä- ja tietojärjestelmissä, joissa käsitellään EU:n turvallisuusluokiteltuja tietoja.

16.

Viestintä- ja tietojärjestelmiin kohdistuvan riskin vähentämiseksi on toteutettava joukko teknisiä ja muita kuin teknisiä turvatoimia, joilla järjestetään monitasoinen puolustus. Tasoja ovat

a)   ennaltaehkäisy: turvatoimet, joilla pyritään torjumaan mahdolliset vihamieliset suunnitelmat hyökätä viestintä- ja tietojärjestelmään;

b)   estäminen: turvatoimet, joilla pyritään vaikeuttamaan hyökkäystä viestintä- ja tietojärjestelmää vastaan tai estämään se;

c)   havaitseminen: turvatoimet, joilla pyritään paljastamaan hyökkäys viestintä- ja tietojärjestelmää vastaan;

d)   vastustuskyky: turvatoimet, joilla pyritään rajoittamaan hyökkäyksen vaikutukset mahdollisimman pieneen osaan tietoja tai viestintä- ja tietojärjestelmän resursseja ja estämään muut vahingot; ja

e)   tilanteen korjaaminen: turvatoimet, joilla pyritään viestintä- ja tietojärjestelmän suojatun tilanteen palauttamiseen.

Tällaisten turvatoimien pakollisuusaste on määriteltävä riskinarvioinnin perusteella.

17.

Kansallisen turvallisuusviranomaisen tai muun toimivaltaisen viranomaisen on huolehdittava siitä, että

18.

Tarpeettoman riskin välttämiseksi on otettava käyttöön vain käyttövaatimusten kannalta olennaiset toiminnot, laitteet ja palvelut.

19.

Viestintä- ja tietojärjestelmän käyttäjille ja automaattisille prosesseille on annettava vain ne tiedot, etuoikeudet tai valtuutukset, jotka ovat niiden tehtävien suorittamiseksi välttämättömiä, jotta rajoitetaan onnettomuuksista, virheistä tai järjestelmän resurssien luvattomasta käytöstä mahdollisesti aiheutuvia vahinkoja.

20.

Jos viestintä- ja tietojärjestelmässä on tarpeen suorittaa kirjaamismenettelyjä, ne on tarkistettava osana hyväksymisprosessia.

21.

Tietoisuus riskeistä ja käytettävissä olevista turvatoimista on viestintä- ja tietojärjestelmien turvallisuuden tärkein puolustamiskeino. Viestintä- ja tietojärjestelmien elinkaareen osallistuvien kaikkien henkilöiden, myös käyttäjien, on erityisesti ymmärrettävä

22.

Sen varmistamiseksi, että turvallisuuteen liittyvät vastuut ymmärretään, koko henkilöstölle, myös johtohenkilöstölle ja viestintä- ja tietojärjestelmien käyttäjille, on annettava pakollinen tiedonturvaamis- ja tietoisuuskoulutus.

23.

Turvatoimilta vaadittava varmuusaste, joka määritellään turvaamistasona, on vahvistettava riskinhallintaprosessin tulosten perusteella asiaankuuluvien turvallisuusperiaatteiden ja turvallisuutta koskevien suuntaviivojen mukaisesti.

24.

Turvaamistaso on tarkistettava käyttämällä kansainvälisesti tunnustettuja tai kansallisesti hyväksyttyjä prosesseja ja menettelytapoja. Näitä ovat pääasiassa arviointi, tarkastukset ja auditointi.

25.

Jäsenvaltion salauslaitteiden hyväksyntäviranomaisen on arvioitava ja hyväksyttävä EU:n turvallisuusluokiteltujen tietojen suojaamisessa käytettävät salaustuotteet.

26.

Ennen kuin salaustuotteiden hyväksymistä suositellaan neuvostolle tai pääsihteerille 10 artiklan 6 kohdan mukaisesti, niiden on läpäistävä jonkin sellaisen jäsenvaltion asianmukaisesti pätevän viranomaisen (AQUA-viranomaisen) ulkopuolinen arviointi, joka ei osallistu laitteiden suunnitteluun eikä valmistukseen. Ulkopuoliselta arvioinnilta edellytettävä yksityiskohtaisuus riippuu korkeimmasta turvallisuusluokasta, johon kuuluvia EU:n turvallisuusluokiteltuja tietoja kyseisillä tuotteilla on tarkoitus suojata. Neuvosto hyväksyy salaustuotteiden arviointia ja hyväksyntää koskevat turvallisuusperiaatteet.

27.

Jos se on perusteltua erityisistä toiminnallisista syistä, neuvosto tai tapauksen mukaan pääsihteeri voi turvallisuuskomitean suosituksesta jättää soveltamatta tämän liitteen 25 tai 26 kohdan mukaisia vaatimuksia ja myöntää tilapäisen hyväksynnän erikseen määritellyksi ajaksi 10 artiklan 6 kohdassa säädetyn menettelyn mukaisesti.

28.

Neuvosto voi turvallisuuskomitean suosituksesta hyväksyä kolmannen valtion tai kansainvälisen järjestön salaustuotteiden arviointi-, valinta- ja hyväksyntämenettelyn ja katsoa tällaiset salaustuotteet hyväksytyiksi kyseiselle kolmannelle valtiolle tai kansainväliselle järjestölle luovutettujen EU:n turvallisuusluokiteltujen tietojen suojaamiseksi.

29.

AQUA-viranomaisen on oltava jäsenvaltion salauslaitteiden hyväksyntäviranomainen, joka on neuvoston vahvistamin perustein hyväksytty suorittamaan EU:n turvallisuusluokiteltujen tietojen suojaamiseen tarkoitettujen salaustuotteiden toinen arviointi.

30.

Neuvosto hyväksyy sellaisten tietoturvallisuustuotteiden vaadittavia ominaisuuksia ja hyväksyntää koskevat turvallisuusperiaatteet, jotka eivät ole salaustuotteita.

31.

Sen estämättä, mitä tässä päätöksessä säädetään, jos EU:n turvallisuusluokiteltujen tietojen lähettäminen tapahtuu turva-alueilla tai hallinnollisilla alueilla, salaamatonta siirtoa tai alemman tason salausta voidaan käyttää riskinhallintaprosessin tulosten perusteella ja turvallisuusjärjestelyjen hyväksyntäviranomaisen luvalla.

32.

Tässä päätöksessä yhteenliittämisellä tarkoitetaan kahden tai useamman tietotekniikkajärjestelmän välitöntä liittämistä toisiinsa tietojen ja muiden tietoresurssien (esimerkiksi viestinnän) jakamiseksi yksi- tai monisuuntaisesti.

33.

Viestintä- ja tietojärjestelmän on käsiteltävä kaikkia siihen liitettyjä tietotekniikkajärjestelmiä epäluotettavina ja toteutettava suojatoimia, joilla valvotaan turvallisuusluokiteltujen tietojen vaihtoa.

34.

Liitettäessä viestintä- ja tietojärjestelmä toiseen tietotekniikkajärjestelmään on seuraavien perusvaatimusten täytyttävä:

35.

Hyväksytyn viestintä- ja tietojärjestelmän ja suojaamattoman tai julkisen verkon välillä ei saa olla yhteenliitäntää, paitsi jos viestintä- ja tietojärjestelmään on asennettu tarkoitusta varten hyväksytyt rajojen suojauspalvelut viestintä- ja tietojärjestelmän ja suojaamattoman tai julkisen verkon välille. Toimivaltaisen tiedonturvaamisviranomaisen on tarkistettava tällaisten yhteenliitäntöjen turvatoimet, ja toimivaltaisen turvallisuusjärjestelyjen hyväksyntäviranomaisen on hyväksyttävä ne.

Jos suojaamatonta tai julkista verkkoa käytetään ainoastaan siirtovälineenä ja tiedot on salattu 10 artiklan mukaisesti hyväksytyllä salaustuotteella, tällaista liitäntää ei pidetä yhteenliitäntänä.

36.

TRÈS SECRET UE/EU TOP SECRET -turvallisuusluokiteltujen tietojen käsittelyyn hyväksytyn viestintä- ja tietojärjestelmän välitön tai porrastettu yhteenliitäntä suojaamattoman tai julkisen verkon kanssa on kiellettyä.

37.

Atk-tallennevälineet on hävitettävä toimivaltaisen turvallisuusviranomaisen hyväksymien menettelyjen mukaisesti.

38.

Atk-tallennevälineitä voidaan käyttää uudelleen, niiden turvallisuusluokkaa voidaan alentaa tai se voidaan poistaa 6 artiklan 2 kohdan nojalla vahvistettavien turvallisuutta koskevien suuntaviivojen mukaisesti.

39.

Sen estämättä, mitä tässä päätöksessä säädetään, jäljempänä kuvattuja erityismenettelyjä voidaan soveltaa hätätapauksessa, esimerkiksi kriisitilanteen uhatessa tai toteutuessa, konfliktissa, sotatilanteissa taikka poikkeuksellisissa toimintaolosuhteissa.

40.

EU:n turvallisuusluokiteltujen tietojen lähettämisessä voidaan käyttää alempaa turvallisuusluokkaa varten hyväksyttyjä salaustuotteita tai ne voidaan lähettää ilman salausta toimivaltaisen viranomaisen suostumuksella, jos mahdollinen viivästyminen aiheuttaisi selvästi suuremman vahingon kuin turvallisuusluokitellun aineiston mahdollisen paljastumisen aiheuttama vahinko ja jos

41.

Edellä 39 kohdassa esitetyissä olosuhteissa lähetetyissä turvallisuusluokitelluissa tiedoissa ei saa olla mitään merkintöjä eikä mainintoja, jotka erottavat ne turvallisuusluokittelemattomista tiedoista tai tiedoista, jotka voidaan suojata käytettävissä olevalla salaustuotteella. Tietojen vastaanottajille on ilmoitettava turvallisuusluokasta viipymättä muulla tavoin.

42.

Jos 39 kohtaa sovelletaan, toimivaltaiselle viranomaiselle ja turvallisuuskomitealle on annettava asiasta raportti.

43.

Jäsenvaltioiden ja pääsihteeristön on perustettava alla olevat tiedonturvaamistehtävät. Tehtävien hoitaminen ei edellytä erillisiä organisaatioyksiköitä. Niillä on oltava erilliset toimeksiannot. Niillä on oltava erilliset toimeksiannot. Nämä tehtävät ja niihin liittyvät vastuut voidaan kuitenkin yhdistää samaan organisaatioyksikköön tai hajottaa eri organisaatioyksiköille edellyttäen, että sisäiset eturistiriidat tai tehtävien ristiriitaisuus vältetään.

44.

Tiedonturvaamisviranomainen huolehtii

45.

TEMPEST-viranomainen vastaa siitä, että viestintä- ja tietojärjestelmät ovat TEMPEST-periaatteiden ja -suuntaviivojen mukaisia. Se hyväksyy TEMPEST-vastatoimet laitteistoille ja tuotteille, joilla EU:n turvallisuusluokitellut tiedot suojataan määrättyyn turvallisuusluokkaan asti tuotteen käyttöympäristössä.

46.

Salauslaitteiden hyväksyntäviranomainen vastaa sen varmistamisesta, että salaustuotteet ovat kansallisten tai neuvoston salausperiaatteiden mukaisia. Se hyväksyy salaustuotteen, jolla EU:n turvallisuusluokitellut tiedot suojataan määrättyyn turvallisuusluokkaan asti tuotteen käyttöympäristössä. Jäsenvaltioiden osalta salauslaitteiden hyväksyntäviranomainen vastaa lisäksi salaustuotteiden arvioinnista.

47.

Salaisen aineiston jakelusta vastaava viranomainen huolehtii

48.

Kunkin järjestelmän turvallisuusjärjestelyjen hyväksyntäviranomainen huolehtii

49.

Pääsihteeristön turvallisuusjärjestelyjen hyväksyntäviranomainen vastaa kaikkien pääsihteeristön toimivallan puitteissa käytettävien viestintä- ja tietojärjestelmien hyväksymisestä.

50.

Jäsenvaltion asiaankuuluva turvallisuusjärjestelyjen hyväksyntäviranomainen vastaa jäsenvaltion toimivallan puitteissa käytettävien viestintä- ja tietojärjestelmien ja niiden osien hyväksymisestä.

51.

Yhteinen turvallisuusjärjestelyjen hyväksymislautakunta vastaa sekä pääsihteeristön että jäsenvaltioiden turvallisuusjärjestelyjen hyväksyntäviranomaisten toimivallan puitteissa käytettävien viestintä- ja tietojärjestelmien hyväksymisestä. Lautakunnan kokoonpanossa on turvallisuusjärjestelyjen hyväksyntäviranomaisen edustajia kustakin jäsenvaltiosta, ja komission turvallisuusjärjestelyjen hyväksyntäviranomaisen edustaja osallistuu sen kokouksiin. Muut yhteisöt, joilla on solmuja viestintä- ja tietojärjestelmässä, kutsutaan kokouksiin, kun niissä käsitellään kyseistä järjestelmää.

Lautakunnan puheenjohtajana toimii pääsihteeristön turvallisuusjärjestelyjen hyväksyntäviranomaisen edustaja. Lautakunta tekee päätöksensä niiden toimielinten, jäsenvaltioiden ja muiden yksiköiden, joilla on solmuja viestintä- ja tietojärjestelmässä, turvallisuusjärjestelyjen hyväksyntäviranomaisten edustajien yhteisymmärryksellä. Se antaa määräajoin toiminnastaan raportteja turvallisuuskomitealle ja ilmoittaa sille kaikista hyväksymislausunnoista.

52.

Kunkin järjestelmän operatiivinen tiedonturvaamisviranomainen huolehtii

1.

Tässä liitteessä vahvistetaan 11 artiklan täytäntöönpanosäännökset. Siinä vahvistetaan yleiset turvallisuussäännökset, joita sovelletaan yrityksiin tai muihin yhteisöihin sopimusta edeltävissä neuvotteluissa ja pääsihteeristön tekemien turvallisuusluokiteltujen sopimusten koko elinkaaren ajan.

2.

Neuvosto hyväksyy yhteisöturvallisuutta koskevat suuntaviivat, joissa korostetaan erityisesti yhteisöturvallisuusselvitystä, turvallisuutta koskevia lisälausekkeita, vierailuja sekä EU:n turvallisuusluokiteltujen tietojen lähettämistä ja kuljettamista koskevia yksityiskohtaisia vaatimuksia.

3.

Ennen tarjouskilpailun käynnistämistä tai turvallisuusluokitellun sopimuksen tekemistä hankeviranomaisena toimivan pääsihteeristön on määriteltävä tarjouksen tekijöille ja hankeosapuolille toimitettavien tietojen turvallisuusluokka sekä hankeosapuolen tuottamien tietojen turvallisuusluokka. Pääsihteeristön on sitä varten laadittava turvallisuusluokitusopas, jota noudatetaan sopimuksen toimeenpanossa.

4.

Turvallisuusluokitellun sopimuksen eri osien turvallisuusluokan määrittämiseksi sovelletaan seuraavia periaatteita:

5.

Sopimuskohtaiset turvallisuusvaatimukset on ilmoitettava turvallisuutta koskevassa lisälausekkeessa. Turvallisuutta koskevan lisälausekkeen on tarvittaessa sisällettävä turvallisuusluokitusopas, ja sen on oltava erottamaton osa turvallisuusluokiteltua sopimusta tai alihankintasopimusta.

6.

Turvallisuutta koskevassa lisälausekkeessa on oltava määräykset, joiden mukaan hankeosapuolen ja/tai alihankkijan on noudatettava tässä päätöksessä säädettyjä vähimmäisvaatimuksia. Näiden vähimmäisvaatimusten noudattamatta jättäminen voi olla riittävä peruste sopimuksen irtisanomiselle.

7.

EU:n turvallisuusluokiteltuihin tietoihin pääsyä tai tietojen käsittelyä tai säilyttämistä edellyttävien ohjelmien tai hankkeiden soveltamisalasta riippuen niiden hallinnointia varten nimetty hankeviranomainen voi laatia niitä koskevat erityiset turvallisuusohjeet. Ohjelman tai hankkeen turvallisuusohjeille on saatava jäsenvaltioiden kansallisten tai nimettyjen turvallisuusviranomaisten tai muun ohjelmaan tai hankkeeseen osallistuvan toimivaltaisen turvallisuusviranomaisen hyväksyntä, ja niihin voi sisältyä muitakin turvallisuusvaatimuksia.

8.

Yhteisöturvallisuusselvityksen myöntää jäsenvaltion kansallinen tai nimetty turvallisuusviranomainen tai muu sen toimivaltainen turvallisuusviranomainen kansallisten lakien ja asetusten mukaisena osoituksena siitä, että yritys tai muu yhteisö pystyy suojaamaan asianomaiseen turvallisuusluokkaan (CONFIDENTIEL UE/EU CONFIDENTIAL tai SECRET UE/EU SECRET) kuuluvat EU:n turvallisuusluokitellut tiedot toimitiloissaan. Yhteisöturvallisuusselvitys on esitettävä hankeviranomaisena toimivalle pääsihteeristölle, ennen kuin hankeosapuolelle tai alihankkijalle taikka mahdolliselle hankeosapuolelle tai alihankkijalle voidaan luovuttaa EU:n turvallisuusluokiteltuja tietoja tai myöntää pääsy niihin.

9.

Asiaankuuluvan kansallisen tai nimetyn turvallisuusviranomaisen on yhteisöturvallisuusselvityksen myöntämisen yhteydessä vähintään

10.

Hankeviranomaisena toimivan pääsihteeristön on tarvittaessa ilmoitettava asianmukaiselle kansalliselle tai nimetylle turvallisuusviranomaiselle tai muulle toimivaltaiselle turvallisuusviranomaiselle, että yhteisöturvallisuusselvitys vaaditaan sopimuksen tekemistä edeltävässä vaiheessa tai sopimuksen toimeenpanoa varten. Yhteisöturvallisuusselvitys tai henkilöturvallisuusselvitys vaaditaan sopimuksen tekemistä edeltävässä vaiheessa, jos tarjousmenettelyn aikana on annettava CONFIDENTIEL UE/EU CONFIDENTIAL- tai SECRET UE/EU SECRET -turvallisuusluokan tietoja.

11.

Hankeviranomainen ei saa tehdä turvallisuusluokiteltua sopimusta valitun tarjoajan kanssa, ennen kuin se on saanut sen jäsenvaltion kansalliselta tai nimetyltä turvallisuusviranomaiselta tai muulta toimivaltaiselta turvallisuusviranomaiselta, johon asianomainen hankeosapuoli tai alihankkija on rekisteröity, vahvistuksen siitä, että mahdollisesti vaadittava asianmukainen yhteisöturvallisuusselvitys on myönnetty.

12.

Kansallisen tai nimetyn turvallisuusviranomaisen tai muun toimivaltaisen turvallisuusviranomaisen, joka on myöntänyt yhteisöturvallisuusselvityksen, on ilmoitettava hankeviranomaisena toimivalle pääsihteeristölle yhteisöturvallisuusselvitykseen vaikuttavista muutoksista. Kun kyseessä on alihankintasopimus, kansalliselle tai nimetylle turvallisuusviranomaiselle tai muulle toimivaltaiselle turvallisuusviranomaiselle on ilmoitettava vastaavasti.

13.

Jos asiaankuuluva kansallinen tai nimetty turvallisuusviranomainen tai muu toimivaltainen turvallisuusviranomainen peruuttaa yhteisöturvallisuusselvityksen, tämä on hankeviranomaisena toimivalle pääsihteeristölle riittävä peruste irtisanoa turvallisuusluokiteltu sopimus tai sulkea tarjoaja kilpailun ulkopuolelle.

14.

Jos EU:n turvallisuusluokiteltuja tietoja luovutetaan tarjoajalle sopimusta edeltävässä vaiheessa, tarjouspyynnössä on oltava määräys, jolla tarjoaja, joka ei esitä tarjousta tai jonka tarjousta ei valita, velvoitetaan palauttamaan kaikki turvallisuusluokitellut asiakirjat tietyn ajan kuluessa.

15.

Kun turvallisuusluokiteltu sopimus tai alihankintasopimus on tehty, hankeviranomaisena toimivan pääsihteeristön on annettava hankeosapuolen tai alihankkijan kansalliselle tai nimetylle turvallisuusviranomaiselle tai muulle toimivaltaiselle turvallisuusviranomaiselle tiedoksi turvallisuusluokitellun sopimuksen turvallisuusmääräykset.

16.

Kun tällaiset sopimukset irtisanotaan, hankeviranomaisena toimivan pääsihteeristön (ja/tai tapauksen mukaan alihankintasopimuksen ollessa kyseessä kansallisen tai nimetyn turvallisuusviranomaisen tai muun toimivaltaisen turvallisuusviranomaisen) on ilmoitettava asiasta viipymättä hankeosapuolen tai alihankkijan rekisteröintijäsenvaltion kansalliselle tai nimetylle turvallisuusviranomaiselle tai muulle toimivaltaiselle turvallisuusviranomaiselle.

17.

Yleensä hankeosapuolen tai alihankkijan edellytetään palauttavan hankeviranomaiselle turvallisuusluokitellun sopimuksen tai alihankintasopimuksen päättyessä kaikki hallussaan olevat EU:n turvallisuusluokitellut tiedot.

18.

Turvallisuutta koskevaan lisälausekkeeseen on sisällytettävä erityiset määräykset EU:n turvallisuusluokiteltujen tietojen hallussapidosta sopimuksen täytäntöönpanon aikana tai sopimuksen päättyessä.

19.

Jos hankeosapuoli tai alihankkija saa luvan säilyttää EU:n turvallisuusluokiteltuja tietoja sopimuksen päätyttyä, tässä päätöksessä säädettyjä vähimmäisvaatimuksia on edelleen noudatettava, ja hankeosapuolen tai alihankkijan on suojattava EU:n turvallisuusluokiteltujen tietojen luottamuksellisuus.

20.

Tarjouspyynnössä ja sopimuksessa on määriteltävä, millä edellytyksin hankeosapuoli voi tehdä alihankintasopimuksia.

21.

Hankeosapuolen on saatava hankeviranomaisena toimivan pääsihteeristön lupa, ennen kuin se antaa turvallisuusluokitellun sopimuksen mitään osia alihankkijoiden toteutettavaksi. Alihankintasopimuksia ei saa tehdä sellaisten yritysten tai muiden yhteisöjen kanssa, jotka on rekisteröity EU:n ulkopuolisessa valtiossa, joka ei ole tehnyt tietoturvallisuussopimusta unionin kanssa.

22.

Hankeosapuolen on vastattava siitä, että kaikki alihankintatoimet suoritetaan tässä päätöksessä säädettyjen vähimmäisvaatimusten mukaisesti, eikä se saa antaa EU:n turvallisuusluokiteltuja tietoja alihankkijalle ilman hankeviranomaisen kirjallista etukäteissuostumusta.

23.

Jos hankeosapuoli tai alihankkija tuottaa tai käsittelee EU:n turvallisuusluokiteltuja tietoja, hankeviranomainen käyttää tietojen luovuttajan oikeuksia.

24.

Jos pääsihteeristön, hankeosapuolien tai alihankkijoiden henkilöstön on saatava CONFIDENTIEL UE/EU CONFIDENTIAL- tai SECRET UE/EU SECRET -turvallisuusluokan tietoja toistensa toimitiloissa turvallisuusluokitellun sopimuksen toimeenpanemiseksi, vierailuista on sovittava asianomaisten kansallisten tai nimettyjen turvallisuusviranomaisten tai muun toimivaltaisen turvallisuusviranomaisen kanssa. Kansalliset tai nimetyt turvallisuusviranomaiset voivat kuitenkin yksittäisten hankkeiden osalta myös sopia menettelystä, jossa vierailut voidaan järjestää suoraan.

25.

Kaikilla vierailijoilla on oltava asianmukainen turvallisuusselvitys ja tiedonsaantitarve, jotta heille voidaan myöntää pääsy pääsihteeristön tekemään sopimukseen liittyviin EU:n turvallisuusluokiteltuihin tietoihin.

26.

Vierailijoille on annettava pääsy vain käynnin tarkoitukseen liittyviin EU:n turvallisuusluokiteltuihin tietoihin.

27.

EU:n turvallisuusluokiteltujen tietojen lähettämiseen sähköisesti sovelletaan 10 artiklassa ja liitteessä IV olevia asiaankuuluvia säännöksiä.

28.

EU:n turvallisuusluokiteltujen tietojen kuljettamiseen sovelletaan liitteessä III olevia asiaankuuluvia säännöksiä kansallisten lakien ja asetusten mukaisesti.

29.

Kuljetettaessa turvallisuusluokiteltua aineistoa rahtina sovelletaan seuraavia periaatteita turvallisuusjärjestelyjä määritettäessä:

30.

EU:n turvallisuusluokiteltuja tietoja lähetetään kolmansissa valtioissa sijaitseville hankeosapuolille ja alihankkijoille hankeviranomaisena toimivan pääsihteeristön ja sen kolmannen valtion, johon hankeosapuoli on rekisteröity, kansallisen tai nimetyn turvallisuusviranomaisen välillä sovittujen turvatoimien mukaisesti.

31.

Pääsihteeristö voi hankeviranomaisena tehdä tarvittaessa yhdessä jäsenvaltion kansallisen tai nimetyn turvallisuusviranomaisen kanssa tarkastuksia hankeosapuolten tai alihankkijoiden toimitiloihin sopimusmääräysten pohjalta sen tarkastamiseksi, että sopimuksessa edellytetyt tarpeelliset turvatoimet RESTREINT UE/EU RESTRICTED -turvallisuusluokan EU:n turvallisuusluokiteltujen tietojen suojaamiseksi on toteutettu.

32.

Hankeviranomaisena toimivan pääsihteeristön on annettava kansallisille tai nimetyille turvallisuusviranomaisille tai muulle toimivaltaiselle turvallisuusviranomaiselle tiedoksi RESTREINT UE/EU RESTRICTED -turvallisuusluokan tietoja sisältävät sopimukset tai alihankintasopimukset siinä laajuudessa kuin sitä edellytetään kansallisissa laeissa ja asetuksissa.

33.

Hankeosapuolilta tai alihankkijoilta ja niiden henkilöstöltä ei vaadita yhteisöturvallisuusselvitystä eikä henkilöturvallisuusselvitystä sellaisia pääsihteeristön tekemiä sopimuksia varten, joissa on RESTREINT UE/EU RESTRICTED -turvallisuusluokan tietoja.

34.

Hankeviranomaisena toimivan pääsihteeristön on tutkittava tarjouspyyntöihin saadut vastaukset, jos sopimuksen tekeminen edellyttää RESTREINT UE/EU RESTRICTED -turvallisuusluokan tietojen saamista, sellaisten vaatimusten estämättä, joita kansallisissa laeissa ja asetuksissa saattaa olla yhteisöturvallisuusselvityksistä tai henkilöturvallisuusselvityksistä.

35.

Edellytysten, joilla hankeosapuoli voi tehdä alihankintasopimuksia, on oltava 21 kohdan mukaisia.

36.

Jos sopimukseen kuuluu RESTREINT UE/EU RESTRICTED -turvallisuusluokan tietojen käsittelyä hankeosapuolen käyttämässä viestintä- ja tietojärjestelmässä, hankeviranomaisena toimivan pääsihteeristön on varmistettava, että sopimuksessa tai alihankintasopimuksessa määrätään viestintä- ja tietojärjestelmän hyväksymistä koskevista tarvittavista teknisistä ja hallinnollisista vaatimuksista, jotka ovat oikeassa suhteessa arvioituun riskiin ja joissa on otettu huomioon kaikki asiaankuuluvat tekijät. Viestintä- ja tietojärjestelmän hyväksymisen laajuudesta on sovittava hankeviranomaisen ja asianomaisen kansallisen tai nimetyn turvallisuusviranomaisen kesken.

1.

Tässä liitteessä vahvistetaan 13 artiklan täytäntöönpanosäännökset.

2.

Jos neuvosto toteaa, että turvallisuusluokiteltujen tietojen vaihtoon on pitkäaikainen tarve,

13 artiklan 2 kohdan ja III ja IV jakson mukaisesti turvallisuuskomitean suosituksen pohjalta.

3.

Jos YTPP-operaatiota varten tuotettuja EU:n turvallisuusluokiteltuja tietoja on tarkoitus luovuttaa operaatioon osallistuville kolmansille valtioille tai kansainvälisille järjestöille ja jos kumpiakaan 2 kohdassa tarkoitetuista puitteista ei ole olemassa, EU:n turvallisuusluokiteltujen tietojen vaihtoon operaatioon osallistuvan kolmannen valtion tai kansainvälisen järjestön kanssa sovelletaan V jakson mukaisesti

4.

Jos 2 ja 3 kohdassa tarkoitettuja puitteita ei ole olemassa ja jos EU:n turvallisuusluokiteltuja tietoja päätetään poikkeuksellisesti ja tapauskohtaisesti luovuttaa kolmannelle valtiolle tai kansainväliselle järjestölle VI jakson mukaisesti, asianomaiselta kolmannelta valtiolta tai kansainväliseltä järjestöltä on pyydettävä kirjallinen vakuutus sen varmistamiseksi, että se suojaa sille mahdollisesti luovutetut EU:n turvallisuusluokitellut tiedot tässä päätöksessä säädettyjen perusperiaatteiden ja vähimmäisvaatimusten mukaisesti.

5.

Tietoturvallisuussopimuksissa on määrättävä perusperiaatteista ja vähimmäisvaatimuksista, joita sovelletaan turvallisuusluokiteltujen tietojen vaihtoon unionin ja kolmannen valtion tai kansainvälisen järjestön välillä.

6.

Tietoturvallisuussopimuksissa on määrättävä teknisistä täytäntöönpanojärjestelyistä, joista on sovittava unionin asianomaisten toimielinten ja elinten toimivaltaisten turvallisuusviranomaisten ja kyseisen kolmannen valtion tai kansainvälisen järjestön toimivaltaisen turvallisuusviranomaisen kesken. Täytäntöönpanojärjestelyissä on otettava huomioon asianomaisessa kolmannessa valtiossa tai kansainvälisessä järjestössä sovellettavien turvallisuussääntöjen, -rakenteiden ja -menettelyjen tarjoaman suojan taso. Ne on hyväksyttävä turvallisuuskomiteassa.

7.

Tietoturvallisuussopimuksen mukainen EU:n turvallisuusluokiteltujen tietojen vaihto ei saa tapahtua sähköisesti, ellei siitä nimenomaisesti määrätä tietoturvallisuussopimuksessa tai vastaavissa teknisissä täytäntöönpanojärjestelyissä.

8.

Kun neuvosto tekee tietoturvallisuussopimuksen, yksi kunkin osapuolen kirjaamo on nimettävä pääasialliseksi saapumis- ja lähtöpaikaksi turvallisuusluokiteltujen tietojen vaihtoa varten.

9.

Asianomaisen kolmannen valtion tai kansainvälisen järjestön turvallisuussääntöjen, -rakenteiden ja -menettelyjen toimivuuden arvioimiseksi arviointikäyntejä tehdään, mistä on keskinäisesti sovittava asianomaisen kolmannen valtion tai kansainvälisen järjestön kanssa. Arviointikäynnit on tehtävä liitteessä III olevien asiaankuuluvien säännösten mukaisesti, ja niiden perusteella on arvioitava

10.

Arviointikäynnin unionin puolesta tekevän ryhmän on arvioitava, ovatko kyseisen kolmannen maan tai kansainvälisen järjestön turvallisuussäännöt ja -menettelyt riittävät suojaamaan EU:n turvallisuusluokitellut tiedot määrätyssä turvallisuusluokassa.

11.

Arviointikäyntien havainnot on esitettävä raportissa, jonka perusteella turvallisuuskomitea määrittelee korkeimman turvallisuusluokan, johon kuuluvia EU:n turvallisuusluokiteltuja tietoja voidaan vaihtaa asianomaisen kolmannen osapuolen kanssa paperitulosteina ja tarvittaessa sähköisesti, ja vaihtoon kyseisen osapuolen kanssa mahdollisesti sovellettavat erityisedellytykset.

12.

Kyseiseen kolmanteen valtioon tai kansainväliseen järjestöön on kaikin tavoin pyrittävä tekemään täysimääräinen turvallisuuden arviointikäynti, ennen kuin turvallisuuskomitea hyväksyy täytäntöönpanojärjestelyt, jotta selvitettäisiin käytössä olevan turvallisuusjärjestelmän laatu ja toimivuus. Jos tämä ei kuitenkaan ole mahdollista, pääsihteeristön turvallisuusyksikkö toimittaa turvallisuuskomitealle käytössään olevien tietojen perusteella mahdollisimman täydellisen selvityksen, jossa turvallisuuskomitealle tiedotetaan kolmannen valtion tai kansainvälisen järjestön soveltamista turvallisuussäännöistä ja turvallisuusalan järjestelyistä.

13.

EU:n turvallisuusluokiteltuja tietoja ei saa tosiasiallisesti luovuttaa kyseiselle kolmannelle valtiolle tai kansainväliselle järjestölle, ennen kuin arviointikäynnistä laadittu raportti tai, jollei tällaista raporttia ole, 12 kohdassa tarkoitettu raportti on toimitettu turvallisuuskomitealle ja turvallisuuskomitea on hyväksynyt raportin.

14.

Unionin toimielinten ja elinten toimivaltaisten turvallisuusviranomaisten on ilmoitettava kolmannelle valtiolle tai kansainväliselle järjestölle päivä, jona unioni voi luovuttaa tietoturvallisuussopimuksen nojalla EU:n turvallisuusluokiteltuja tietoja, sekä korkein turvallisuusluokka, johon kuuluvia EU:n turvallisuusluokiteltuja tietoja voidaan vaihtaa paperitulosteina tai sähköisesti.

15.

Arviointikäyntien seurantakäyntejä tehdään tarvittaessa erityisesti, jos

16.

Kun tietoturvallisuussopimus on tullut voimaan ja asianomaisen kolmannen valtion tai kansainvälisen järjestön kanssa on alettu vaihtaa turvallisuusluokiteltuja tietoja, turvallisuuskomitea voi päättää muuttaa korkeinta turvallisuusluokkaa, johon kuuluvia EU:n turvallisuusluokiteltuja tietoja voidaan vaihtaa paperitulosteina tai sähköisesti, varsinkin mahdollisten seurantakäyntien perusteella.

17.

Jos on olemassa pitkäaikainen tarve vaihtaa kolmannen valtion tai kansainvälisen järjestön kanssa tietoja, joiden turvallisuusluokka on yleensä korkeintaan RESTREINT UE/EU RESTRICTED, ja jos turvallisuuskomitea on katsonut, että kyseisen osapuolen turvallisuusjärjestelmä ei ole riittävän kehittynyt tietoturvallisuussopimuksen tekemiseksi, pääsihteeri voi neuvoston hyväksyttyä asian sopia pääsihteeristön puolesta hallinnollisesta järjestelystä kyseisen kolmannen valtion tai kansainvälisen järjestön asiaankuuluvien viranomaisten kanssa.

18.

Jos turvallisuusluokiteltujen tietojen vaihtoa varten on kiireellisistä toiminnallisista syistä perustettava puitteet nopeasti, neuvosto voi poikkeuksellisesti päättää, että korkeampaan turvallisuusluokkaan kuuluvien tietojen vaihtoon voidaan käyttää hallinnollista järjestelyä.

19.

Hallinnollisista järjestelyistä sovitaan pääsääntöisesti kirjeenvaihtona.

20.

EU:n turvallisuusluokiteltuja tietoja ei saa tosiasiallisesti luovuttaa kyseiselle kolmannelle valtiolle tai kansainväliselle järjestölle, ennen kuin on tehty 9 kohdassa tarkoitettu arviointikäynti ja ennen kuin arviointikäynnistä laadittu raportti tai, jollei tällaista raporttia ole, 12 kohdassa tarkoitettu raportti on toimitettu turvallisuuskomitealle ja turvallisuuskomitea on hyväksynyt raportin.

21.

Hallinnollisen järjestelyn mukainen EU:n turvallisuusluokiteltujen tietojen vaihto ei saa tapahtua sähköisesti, ellei siitä nimenomaisesti määrätä järjestelyssä.

22.

Kolmansien valtioiden tai kansainvälisten järjestöjen osallistumisesta YTPP-operaatioihin määrätään osallistumista koskevissa puitesopimuksissa. Kyseisiin sopimuksiin on sisällytettävä määräyksiä YTPP-operaatioita varten tuotettujen EU:n turvallisuusluokiteltujen tietojen luovuttamisesta osallistuville kolmansille valtioille tai kansainvälisille järjestöille. Korkein turvallisuusluokka, johon kuuluvia EU:n turvallisuusluokiteltuja tietoja voidaan vaihtaa, saa olla RESTREINT UE/EU RESTRICTED YTPP-siviilioperaatioiden osalta ja CONFIDENTIEL UE/EU CONFIDENTIAL YTPP-sotilasoperaatioiden osalta, jollei kyseisen YTPP-operaation perustamista koskevassa päätöksessä toisin määrätä.

23.

Tiettyä YTPP-operaatiota varten tehtyihin osallistumista koskeviin erillissopimuksiin on sisällytettävä määräyksiä kyseistä operaatiota varten tuotettujen EU:n turvallisuusluokiteltujen tietojen luovuttamisesta osallistuvalle kolmannelle valtiolle tai kansainväliselle järjestölle. Korkein turvallisuusluokka, johon kuuluvia EU:n turvallisuusluokiteltuja tietoja voidaan vaihtaa, saa olla RESTREINT UE/EU RESTRICTED YTPP-siviilioperaatioiden osalta ja CONFIDENTIEL UE/EU CONFIDENTIAL YTPP-sotilasoperaatioiden osalta, jollei kyseisen YTPP-operaation perustamista koskevassa päätöksessä toisin määrätä.

24.

Jos tietoturvallisuussopimusta ei ole eikä osallistumissopimusta ole vielä tehty, operaation toteuttamiseen tarvittavien EU:n turvallisuusluokiteltujen tietojen luovuttamiseen operaatioon osallistuvalle kolmannelle valtiolle tai kansainväliselle järjestölle sovelletaan korkean edustajan sopimaa hallinnollista järjestelyä tai VI jakson mukaisesti tehtyä päätöstä poikkeuksellisesta luovuttamisesta. EU:n turvallisuusluokiteltuja tietoja voidaan vaihtaa tällaisen järjestelyn nojalla, jos kolmannen valtion tai kansainvälisen järjestön on edelleen tarkoitus osallistua operaatioon. Korkein turvallisuusluokka, johon kuuluvia EU:n turvallisuusluokiteltuja tietoja voidaan vaihtaa, saa olla RESTREINT UE/EU RESTRICTED YTPP-siviilioperaatioiden osalta ja CONFIDENTIEL UE/EU CONFIDENTIAL YTPP-sotilasoperaatioiden osalta, jollei kyseisen YTPP-operaation perustamista koskevassa päätöksessä toisin määrätä.

25.

Edellä 22–24 kohdassa tarkoitettujen osallistumista koskevien puitesopimusten, osallistumista koskevien erillissopimusten ja hallinnollisten erillisjärjestelyjen turvallisuusluokiteltuja tietoja koskevissa osissa on määrättävä, että kyseisen kolmannen valtion tai kansainvälisen järjestön on varmistettava, että sen mihin tahansa operaatioon lähettämä henkilöstö suojaa EU:n turvallisuusluokitellut tiedot neuvoston turvallisuussääntöjen sekä toimivaltaisten viranomaisten, myös operaation komentoketjun antamien muiden ohjeiden mukaisesti.

26.

Jos unionin ja osallistuvan kolmannen valtion tai kansainvälisen järjestön välillä tehdään myöhemmin tietoturvallisuussopimus, tietoturvallisuussopimus syrjäyttää mahdollisessa osallistumista koskevassa puitesopimuksessa, osallistumista koskevassa erillissopimuksessa tai hallinnollisessa erillisjärjestelyssä vahvistetut määräykset turvallisuusluokiteltujen tietojen vaihdosta, kun on kyse EU:n turvallisuusluokiteltujen tietojen vaihdosta ja käsittelystä.

27.

EU:n turvallisuusluokiteltuja tietoja ei saa vaihtaa sähköisesti kolmannen valtion tai kansainvälisen järjestön kanssa tehdyn osallistumista koskevan puitesopimuksen, osallistumista koskevan erillissopimuksen eikä hallinnollisen erillisjärjestelyn nojalla, ellei siitä nimenomaisesti määrätä kyseisessä sopimuksessa tai järjestelyssä.

28.

YTPP-operaatiota varten tuotettuja EU:n turvallisuusluokiteltuja tietoja voidaan paljastaa kolmansien valtioiden tai kansainvälisten järjestöjen kyseiseen operaatioon lähettämälle henkilöstölle 22–27 kohdan mukaisesti. Kun tällaiselle henkilöstölle myönnetään pääsy EU:n turvallisuusluokiteltuihin tietoihin YTPP-operaation tiloissa tai viestintä- ja tietojärjestelmässä, on toteutettava toimenpiteitä (mukaan lukien paljastettujen EU:n turvallisuusluokiteltujen tietojen kirjaaminen) tietojen katoamisen tai vaarantumisen riskin vähentämiseksi. Toimenpiteet on määriteltävä suunnittelu- tai operaatioasiakirjoissa.

29.

Jos tietoturvallisuussopimusta ei ole ja ilmenee erityinen ja välitön toiminnallinen tarve, EU:n turvallisuusluokiteltujen tietojen luovuttaminen isäntävaltiolle, jonka alueella YTPP-operaatio toteutetaan, voidaan toteuttaa hallinnollisella erillisjärjestelyllä, josta korkea edustaja sopii. Tästä mahdollisuudesta on määrättävä YTPP-operaation perustamispäätöksessä. Kyseisissä olosuhteissa luovutettavat EU:n turvallisuusluokitellut tiedot on rajoitettava YTPP-operaatiota varten tuotettuihin tietoihin, jotka kuuluvat korkeintaan RESTREINT UE/EU RESTRICTED -turvallisuusluokkaan, ellei korkeammasta luokasta ole säädetty YTPP-operaation perustamispäätöksessä. Isäntävaltion on tällaisessa hallinnollisessa järjestelyssä sitouduttava suojaamaan EU:n turvallisuusluokitellut tiedot sellaisten vähimmäisvaatimusten mukaisesti, jotka ovat vähintään yhtä tiukat kuin tässä päätöksessä säädetyt vaatimukset.

30.

Jos tietoturvallisuussopimusta ei ole, operaation toteuttamiseen tarvittavien EU:n turvallisuusluokiteltujen tietojen luovuttaminen asiaankuuluville, muille kuin YTPP-operaatioon osallistuville kolmansille valtioille tai kansainvälisille järjestöille voidaan toteuttaa korkean edustajan sopiman hallinnollisen järjestelyn kautta. Tästä mahdollisuudesta ja sen mahdollisista ehdoista on tarpeen mukaan määrättävä YTPP-operaation perustamista koskevassa päätöksessä. Kyseisissä olosuhteissa luovutettavat EU:n turvallisuusluokitellut tiedot on rajoitettava YTPP-operaatiota varten tuotettuihin tietoihin, jotka kuuluvat korkeintaan RESTREINT UE/EU RESTRICTED -turvallisuusluokkaan, ellei korkeammasta luokasta ole säädetty YTPP-operaation perustamispäätöksessä. Asianomaisen kolmannen valtion tai kansainvälisen järjestön on tällaisessa hallinnollisessa järjestelyssä sitouduttava suojaamaan EU:n turvallisuusluokitellut tiedot sellaisten vähimmäisvaatimusten mukaisesti, jotka ovat vähintään yhtä tiukat kuin tässä päätöksessä säädetyt vaatimukset.

31.

Ennen EU:n turvallisuusluokiteltujen tietojen luovuttamista koskevien säännösten täytäntöönpanoa 22, 23 ja 24 kohdan yhteydessä ei tarvitse toteuttaa täytäntöönpanojärjestelyjä eikä arviointikäyntejä.

32.

Jos III–V jakson mukaisia puitteita ei ole olemassa ja jos neuvosto tai jokin sen valmisteluelimistä päätyy siihen, että EU:n turvallisuusluokiteltujen tietojen luovuttamiseen kolmannelle valtiolle tai kansainväliselle järjestölle on poikkeuksellinen tarve, pääsihteeristön on

33.

Jos turvallisuuskomitea antaa suosituksen EU:n turvallisuusluokiteltujen tietojen luovuttamiseksi, asia siirretään pysyvien edustajien komitealle (Coreper), joka päättää tietojen luovuttamisesta.

34.

Jos turvallisuuskomitean suosituksessa ei puolleta EU:n turvallisuusluokiteltujen tietojen luovuttamista,

35.

Coreper voi katsoessaan sen asianmukaiseksi ja saatuaan tietojen luovuttajan kirjallisen ennakkosuostumuksen päättää, että turvallisuusluokitellut tiedot voidaan luovuttaa vain osittain tai vain, jos niiden turvallisuusluokka on sitä ennen alennettu tai poistettu, tai että luovutettavat tiedot on valmisteltava niin, ettei niissä viitata lähteeseen eikä alkuperäiseen EU:n turvallisuusluokkaan.

36.

Kun EU:n turvallisuusluokiteltujen tietojen luovuttamisesta on päätetty, pääsihteeristö toimittaa asianomaisen asiakirjan, jonka luovutettavuutta koskevassa merkinnässä mainitaan kolmas valtio tai kansainvälinen järjestö, jolle se on luovutettu. Kyseisen kolmannen osapuolen on ennen tietojen luovuttamista tai luovuttamisen yhteydessä kirjallisesti sitouduttava suojaamaan vastaanottamansa EU:n turvallisuusluokitellut tiedot tässä päätöksessä säädettyjen perusperiaatteiden ja vähimmäisvaatimusten mukaisesti.

37.

Jos turvallisuusluokiteltujen tietojen vaihtamiseksi kolmannen valtion tai kansainvälisen järjestön kanssa on olemassa 2 kohdan mukaiset puitteet, neuvosto tekee päätöksen korkeana edustajana toimivan pääsihteerin valtuuttamisesta luovuttamaan EU:n turvallisuusluokiteltuja tietoja kyseiselle kolmannelle valtiolle tai kansainväliselle järjestölle noudattaen luovuttajan suostumuksen periaatetta. Pääsihteeri voi siirtää tällaisen valtuutuksen pääsihteeristön ylemmille virkamiehille.

38.

Jos 2 kohdan ensimmäisessä alakohdassa tarkoitettu tietoturvallisuussopimus on olemassa, neuvosto voi tehdä päätöksen korkean edustajan valtuuttamiseksi luovuttamaan neuvostossa yhteisen ulko- ja turvallisuuspolitiikan (YUTP) alalla tuotettuja EU:n turvallisuusluokiteltuja tietoja asianmukaiselle kolmannelle valtiolle tai kansainväliselle järjestölle sen jälkeen, kun tietoihin sisältyvän lähdemateriaalin luovuttaja on antanut tähän suostumuksensa. Korkea edustaja voi siirtää tällaisen valtuutuksen ulkosuhdehallinnon johtavassa asemassa oleville virkamiehille tai EU:n erityisedustajille.

39.

Jos turvallisuusluokiteltujen tietojen vaihtamiseksi kolmannen valtion tai kansainvälisen järjestön kanssa on olemassa 2 kohdan tai 3 kohdan mukaiset puitteet, korkea edustaja on toimivaltainen luovuttamaan EU:n turvallisuusluokiteltuja tietoja YTPP-operaation perustamista koskevan päätöksen mukaisesti ja noudattaen luovuttajan suostumuksen periaatetta. Korkea edustaja voi siirtää tällaisen valtuutuksen ulkosuhdehallinnon johtavassa asemassa oleville virkamiehille, EU:n operaation johtajalle, operaation tai joukkojen komentajalle tai EU:n edustuston päällikölle.

’Hyväksynnällä’ tarkoitetaan prosessia, jonka päätteeksi turvallisuusjärjestelyt hyväksyvä viranomainen antaa virallisen lausunnon siitä, että järjestelmä on hyväksytty käytettäväksi määritellyssä turvallisuusluokassa, tiettyä turvallisuuden takaavaa toimintatapaa noudattaen käyttöympäristössään ja hyväksyttävällä riskitasolla, sen pohjalta, että hyväksytyt tekniset, fyysiset, organisatoriset ja menettelyyn liittyvät turvatoimet on toteutettu.

’Resurssilla’ tarkoitetaan kaikkea, millä on arvoa organisaatiolle, sen liiketoimille ja niiden jatkuvuudelle, organisaation tehtävää tukevat tietoresurssit mukaan luettuina.

’Valtuutuksella EU:n turvallisuusluokiteltuihin tietoihin pääsyä varten’ tarkoitetaan pääsihteeristön nimittävän viranomaisen tekemää päätöstä jäsenvaltion toimivaltaisen viranomaisen antaman lausunnon perusteella siitä, että pääsihteeristön virkamiehelle, muuhun henkilöstöön kuuluvalle tai kansalliselle asiantuntijalle voidaan, edellyttäen, että hänen tiedonsaantitarpeensa (need-to-know) on selvitetty ja hänelle on tiedotettu asianmukaisesti hänen velvollisuuksistaan, myöntää pääsy EU:n turvallisuusluokiteltuihin tietoihin tiettyyn turvallisuusluokkaan (CONFIDENTIEL UE/EU CONFIDENTIAL tai sitä korkeampi) ja tiettyyn päivämäärään asti.

’Viestintä- ja tietojärjestelmän elinkaarella’ tarkoitetaan viestintä- ja tietojärjestelmän koko olemassaoloaikaa, johon kuuluvat alullepano, luominen, suunnittelu, vaatimusten analysointi, laatiminen, kehittäminen, koekäyttö, täytäntöönpano, käyttö ja ylläpito sekä käytöstä poistaminen.

’Turvallisuusluokitellulla sopimuksella’ tarkoitetaan pääsihteeristön jonkin hankeosapuolen kanssa tekemää sopimusta, jolla toimitetaan tavaroita, toteutetaan toimeksiantoja tai tarjotaan palveluja, joiden suoritus edellyttää tai sisältää EU:n turvallisuusluokiteltuihin tietoihin pääsemistä tai niiden tuottamista.

’Turvallisuusluokitellulla alihankintasopimuksella’ tarkoitetaan pääsihteeristön jonkin hankeosapuolen toisen hankeosapuolen (eli alihankkijan) kanssa tekemää sopimusta, jolla toimitetaan tavaroita, toteutetaan toimeksiantoja tai tarjotaan palveluja, joiden suoritus edellyttää tai sisältää EU:n turvallisuusluokiteltuihin tietoihin pääsemistä tai niiden tuottamista.

’Viestintä- ja tietojärjestelmällä’ – ks. 10 artiklan 2 kohta.

’Hankeosapuolella’ tarkoitetaan henkilöä tai oikeudellista yhteisöä, joka on oikeudellisesti kelpoinen tekemään sopimuksia.

’Salausaineistolla’ tarkoitetaan salausalgoritmeja, salauslaitteistoja ja -ohjelmistomoduuleja sekä tuotteita, joihin sisältyy täytäntöönpanoa koskevia yksityiskohtia sekä niihin liittyviä asiakirjoja ja avainnusaineistoa.

’Salaustuotteella’ tarkoitetaan tuotetta, jonka ensisijainen ja pääasiallinen tarkoitus on turvallisuuspalvelujen tuottaminen (luottamuksellisuus, eheys, käytettävyys, aitous ja kiistämättömyys) yhden tai useamman salausmenetelmän avulla.

’YTPP-operaatiolla’ tarkoitetaan Euroopan unionin toiminnasta tehdyn sopimuksen V osaston 2 luvun nojalla toteutettavaa sotilas- tai siviilikriisinhallintaoperaatiota.

’Turvallisuusluokan poistamisella’ tarkoitetaan minkä tahansa turvallisuusluokan poistamista.

’Syvyyssuuntaisella turvallisuudella’ tarkoitetaan sitä, että toteutetaan joukko turvatoimia, joilla järjestetään monitasoinen puolustus.

’Nimetyllä turvallisuusviranomaisella’ tarkoitetaan jäsenvaltion kansalliselle turvallisuusviranomaiselle vastuussa olevaa viranomaista, jonka vastuulla on tiedottaa yrityksille tai muille yhteisöille kansallisista periaatteista kaikissa yhteisöturvallisuutta koskevissa asioissa sekä antaa ohjausta ja apua niiden soveltamisessa. Kansallinen turvallisuusviranomainen tai muu toimivaltainen viranomainen voi toimia nimettynä turvallisuusviranomaisena.

’Asiakirjalla’ tarkoitetaan mitä tahansa tallennettua tietoa, riippumatta sen fyysisestä muodosta tai ominaisuuksista.

’Turvallisuusluokan alentamisella’ tarkoitetaan salassapitotason alentamisesta johtuvaa turvallisuusluokan muuttamista.

’EU:n turvallisuusluokitelluilla tiedoilla’ – ks. 2 artiklan 1 kohta.

’Yhteisöturvallisuusselvityksellä’ tarkoitetaan kansallisen tai nimetyn turvallisuusviranomaisen hallinnollista päätöstä, jonka mukaan toimitila tarjoaa turvallisuuden kannalta riittävän suojan tiettyyn turvallisuusluokkaan kuuluville EU:n turvallisuusluokitelluille tiedoille.

EU:n turvallisuusluokiteltujen tietojen ’käsittelyllä’ tarkoitetaan kaikkia mahdollisia toimia, joita EU:n turvallisuusluokiteltuihin tietoihin voidaan kohdistaa niiden elinkaaren aikana. Näitä ovat tietojen tuottaminen, käsittely, kuljettaminen, turvallisuusluokan alentaminen, turvallisuusluokan poistaminen ja hävittäminen. Viestintä- ja tietojärjestelmien osalta toimia ovat myös tietojen kerääminen, näyttäminen, lähettäminen ja säilyttäminen.

Tietojen tai asiakirjojen ’haltijalla’ tarkoitetaan asianmukaisesti valtuutettua henkilöä, jonka tiedonsaantitarve on todettu ja jonka hallussa on EU:n turvallisuusluokiteltu tieto, jonka suojaamisesta hän on tämän mukaisesti vastuussa.

’Yrityksellä tai muulla yhteisöllä’ tarkoitetaan tavaroiden toimittamiseen, toimeksiantojen suorittamiseen tai palvelujen tarjoamiseen osallistuvaa yhteisöä. Kyseessä voi olla teollinen, kaupallinen, palvelu-, tieteellinen, tutkimus-, koulutus- tai kehitysyhteisö taikka itsenäinen ammatinharjoittaja.

’Yhteisöturvallisuudella’ – ks. 11 artiklan 1 kohta.

’Tietojen turvaamisella’ – ks. 10 artiklan 1 kohta.

’Yhteenliittämisellä’ – ks. liitteessä IV oleva 32 kohta.

’Turvallisuusluokiteltujen tietojen hallinnoinnilla’ – ks. 9 artiklan 1 kohta.

’Aineistolla’ tarkoitetaan mitä tahansa asiakirjaa, tietovälinettä tai konetta tai laitetta, joka on valmistettu tai jota ollaan valmistamassa.

’Luovuttajalla’ tarkoitetaan unionin toimielintä, elintä tai laitosta, jäsenvaltiota, kolmatta valtiota tai kansainvälistä järjestöä, jonka alaisuudessa turvallisuusluokiteltuja tietoja on tuotettu ja/tai tuotu unionin rakenteisiin.

’Henkilöstöturvallisuudella’ – ks. 7 artiklan 1 kohta.

’Henkilöturvallisuusselvityksellä’ tarkoitetaan jäsenvaltion toimivaltaisen viranomaisen lausuntoa, joka annetaan jäsenvaltion toimivaltaisten viranomaisten tekemän turvallisuustutkinnan jälkeen ja jonka nojalla henkilölle voidaan myöntää pääsy EU:n turvallisuusluokiteltuihin tietoihin määrättyyn turvallisuusluokkaan (CONFIDENTIEL UE/EU CONFIDENTIAL tai korkeampi) ja tiettyyn päivämäärään saakka.

’Henkilöturvallisuusselvitykseen perustuvalla henkilöturvallisuustodistuksella’ tarkoitetaan toimivaltaisen viranomaisen antamaa todistusta, jossa todetaan henkilön olevan turvallisuusselvitetty ja että tällä on voimassa oleva todistus turvallisuusselvityksestä tai nimittävän viranomaisen lupa EU:n turvallisuusluokiteltuihin tietoihin pääsyä varten ja josta käy ilmi turvallisuusluokka, johon kuuluvien EU:n turvallisuusluokiteltujen tietojen saamiseen asianomaiselle henkilölle voidaan myöntää oikeus (CONFIDENTIEL UE/EU CONFIDENTIAL tai korkeampi), asiaankuuluvan turvallisuusselvityksen voimassaoloaika ja itse todistuksen voimassaolon päättymispäivä.

’Fyysisellä turvallisuudella’ – ks. 8 artiklan 1 kohta.

’Ohjelman tai hankkeen turvallisuusohjeilla’ tarkoitetaan luetteloa turvallisuusmenettelyistä, joita sovelletaan tiettyyn ohjelmaan tai hankkeeseen turvallisuusmenettelyjen yhdenmukaistamiseksi. Turvallisuusohjeita voidaan tarkistaa koko ohjelman tai hankkeen ajan.

’Kirjaamisella’ – ks. liitteessä III oleva 18 kohta.

’Jäännösriskillä’ tarkoitetaan riskiä, joka jää jäljelle, kun turvatoimet on toteutettu, ottaen huomioon, että kaikkia uhkia ei pystytä torjumaan eikä kaikkea haavoittuvuutta voida poistaa.

’Riskillä’ tarkoitetaan mahdollisuutta, että tietty uhka hyötyy organisaation tai minkä tahansa sen käyttämän järjestelmän sisäisestä ja ulkoisesta haavoittuvuudesta ja aiheuttaa tällä tavoin vahinkoa organisaatiolle ja sen aineellisille tai aineettomille resursseille. Sen mittana on uhkien toteutumisen todennäköisyys yhdistettynä niiden vaikutuksiin.

’Turvallisuutta koskevalla lisälausekkeella’ tarkoitetaan hankeviranomaisen määräämää erityissopimusehtojen kokonaisuutta, joka on erottamaton osa pääsyä EU:n turvallisuusluokiteltuihin tietoihin tai niiden tuottamista edellyttävää turvallisuusluokiteltua sopimusta ja jossa yksilöidään turvallisuusvaatimukset tai turvallisuuden suojaamista edellyttävät sopimuksen osat.

’Turvallisuusluokitusoppaalla’ tarkoitetaan asiakirjaa, jossa kuvataan turvallisuusluokitellun ohjelman tai sopimuksen osat ja eritellään sovellettavat turvallisuusluokat. Turvallisuusluokitusopasta voidaan laajentaa ohjelman tai sopimuksen koko keston ajan, ja sen sisältämien tietojen turvallisuusluokat voidaan määritellä uudelleen tai niitä voidaan alentaa. Jos turvallisuusluokitusopas on olemassa, sen on oltava osa turvallisuutta koskevaa lisälauseketta.

’Turvallisuustutkinnalla’ tarkoitetaan tutkintamenettelyjä, jotka jäsenvaltion toimivaltainen kansallinen viranomainen suorittaa kansallisten lakien ja asetusten mukaisesti sen varmistamiseksi, että henkilöstä ei ole tiedossa mitään sellaista kielteistä seikkaa, joka estäisi turvallisuusselvityksen tai valtuutuksen myöntämisen hänelle EU:n turvallisuusluokiteltujen tietojen saamista varten tiettyyn turvallisuusluokkaan saakka (CONFIDENTIEL UE/EU CONFIDENTIAL tai korkeampi).

’Turvallisuuden takaavalla toimintatavalla’ tarkoitetaan viestintä- ja tietojärjestelmän toimintaedellytysten määrittelyä, joka perustuu käsiteltyjen tietojen turvallisuusluokkiin ja turvallisuusselvitystasoihin, järjestelmään pääsyn virallisiin hyväksymisiin ja sen käyttäjien tiedonsaantitarpeeseen. Turvallisuusluokiteltujen tietojen käsittelyssä tai lähettämisessä voidaan käyttää neljää eri toimintatapaa: yleisvaltuutusta, korkean turvallisuustason toimintatapaa, osastokohtaista toimintatapaa ja monitasoista toimintatapaa.

’Turvallisuusriskien hallintaprosessilla’ tarkoitetaan prosessia, jossa yksilöidään, hallitaan ja minimoidaan epävarmoja tapahtumia, jotka saattavat vaikuttaa organisaation tai joidenkin sen käyttämien järjestelmien turvallisuuteen. Se kattaa kaikki riskeihin liittyvät toiminnot, myös arvioinnin, käsittelyn, hyväksymisen ja viestinnän.

’TEMPESTillä’ tarkoitetaan haitallisen elektromagneettisen säteilyn tutkimista ja valvontaa sekä toimenpiteitä sen poistamiseksi.

’Uhalla’ tarkoitetaan mahdollista syytä ei-toivottuun tapahtumaan, joka voi johtaa organisaation tai jonkin sen käyttämän järjestelmän vahingoittumiseen. Uhat voivat olla tahattomia tai tahallisia (vihamielisiä), ja niille ovat ominaisia uhkaavat seikat sekä mahdolliset kohteet ja hyökkäysmenetelmät.

’Haavoittuvuudella’ tarkoitetaan minkä tahansa laatuista heikkoutta, josta yksi tai useampi uhka voi hyötyä. Haavoittuvuus voi johtua laiminlyönnistä tai liittyä heikkouksiin valvonnan tehokkuudessa, täydellisyydessä tai johdonmukaisuudessa, ja se voi olla luonteeltaan teknistä, menettelyyn liittyvää, fyysistä, organisatorista tai toiminnallista.