1.

Šiame priede nustatytos 7 straipsnio įgyvendinimo nuostatos. Jame nustatomi kriterijai, kuriais remiantis nustatoma, ar asmeniui, atsižvelgiant į jo lojalumą ir patikimumą, gali būti leidžiama susipažinti su ESĮI, ir šiuo tikslu taikytinos tikrinimo bei administracinės procedūros.

2.

Leidimas susipažinti su įslaptinta informacija asmeniui suteikiamas tik po to, kai:

3.

Kiekviena valstybė narė ir TGS savo struktūrose nustato tas pareigybes, kurias užimantiems asmenims reikia susipažinti su CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnio laipsnio slaptumo žyma pažymėta informacija ir todėl jų patikimumas turi būti patvirtintas, suteikiant teisę susipažinti su atitinkamo laipsnio slaptumo žyma pažymėta informacija.

4.

NSI ir kitos kompetentingos nacionalinės institucijos, gavusios pagal tinkamus įgaliojimus pateiktą prašymą, privalo užtikrinti, kad būtų vykdomas jų piliečių, kuriems turi būti sudaryta galimybė susipažinti su CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnio laipsnio slaptumo žyma pažymėta informacija, patikimumo tikrinimas. Tikrinimo standartai, siekiant atitinkamai išduoti asmens patikimumo pažymėjimą arba įsitikinti, kad asmeniui galima leisti susipažinti su ESĮI, turi atitikti nacionalinius įstatymus ir kitus teisės aktus.

5.

Jeigu atitinkamas asmuo nuolat gyvena kitos valstybės narės ar trečiosios valstybės teritorijoje, kompetentingos nacionalinės institucijos prašo gyvenamosios vietos valstybės kompetentingos institucijos pagalbos laikydamosi nacionalinių įstatymų ir kitų teisės aktų. Valstybės narės padeda viena kitai vykdyti patikimumo tikrinimą pagal nacionalinius įstatymus ir kitus teisės aktus.

6.

Jei leidžiama pagal nacionalinius įstatymus ir kitus teisės aktus, NSI arba kitos kompetentingos nacionalinės institucijos gali vykdyti ne jų valstybės piliečių, kuriems reikia susipažinti su CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnio laipsnio slaptumo žyma pažymėta informacija, patikimumo tikrinimą. Tikrinimo standartai turi atitikti nacionalinius įstatymus ir kitus teisės aktus.

7.

Asmens lojalumas ir patikimumas, kad jo patikimumas galėtų būti patvirtintas suteikiant teisę susipažinti su CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnio laipsnio slaptumo žyma pažymėta informacija, nustatomas vykdant patikimumo tikrinimą. Kompetentinga nacionalinė institucija atlieka bendrą vertinimą, remdamasi tokio patikimumo tikrinimo išvadomis. Šiuo tikslu taikomi pagrindiniai kriterijai apima, atsižvelgiant į nacionalinius įstatymus ir kitus teisės aktus, nagrinėjimą, ar asmuo:

8.

Vykdant patikimumo tikrinimą, atitinkamais atvejais, vadovaujantis nacionaliniais įstatymais ir kitais teisės aktais, taip pat gali būti svarbi informacija apie asmens finansinę padėtį ir sveikatą.

9.

Vykdant patikimumo tikrinimą, atitinkamais atvejais, vadovaujantis nacionaliniais įstatymais ir kitais teisės aktais, taip pat gali būti svarbūs sutuoktinio, sugyventinio ar artimo šeimos nario elgesys ir gyvenimo aplinkybės.

10.

Pradinis patikimumo pažymėjimas, leidžiantis susipažinti su slaptumo žymomis CONFIDENTIEL UE/ES CONFIDENTIAL ir SECRET UE/ES SECRET pažymėta informacija, grindžiamas patikimumo patikrinimu, apimančiu bent 5 paskutinių metų laikotarpį arba laikotarpį nuo 18 metų amžiaus iki patikrinimo datos, pasirenkant trumpesnį laikotarpį; patikrinimas apima šiuos aspektus:

11.

Pradinis patikimumo pažymėjimas, leidžiantis susipažinti su slaptumo žyma TRES SECRET UE/ES TOP SECRET pažymėta informacija, grindžiamas patikimumo patikrinimu, apimančiu bent dešimt paskutinių metų laikotarpį arba laikotarpį nuo 18 metų amžiaus iki patikrinimo datos, pasirenkant trumpesnį laikotarpį. Jei organizuojami pokalbiai, kaip toliau nurodyta e punkte, patikrinimas apima bent septynerių paskutinių metų laikotarpį arba laikotarpį nuo 18 metų amžiaus iki patikrinimo datos, pasirenkant trumpesnį laikotarpį. Patikimumo pažymėjimų, leidžiančių susipažinti su slaptumo žyma TRES SECRET UE/ES TOP SECRET pažymėta informacija, išdavimui, atsižvelgiant į nacionalinius įstatymus ir kitus teisės aktus, taikomi ne tik 7 punkte nurodyti kriterijai, bet ir tikrinami toliau išvardyti aspektai; jie taip pat gali būti tikrinami prieš išduodant asmens patikimumo pažymėjimus, leidžiančius susipažinti su slaptumo žyma CONFIDENTIEL UE/ES CONFIDENTIAL arba SECRET UE/ES SECRET pažymėta informacija, jei tai privaloma pagal nacionalinius įstatymus ir kitus teisės aktus:

12.

Prireikus vadovaujantis nacionaliniais įstatymais ir kitais teisės aktais gali būti atliekami papildomi patikrinimai, kad būtų surinkta visa svarbi informacija apie asmenį ir kad būtų pagrįsta arba paneigta nepalanki informacija.

13.

Po to, kai patikimumo pažymėjimas suteiktas pirmą kartą, ir jeigu asmuo nuolat dirbo nacionalinėje administracinėje įstaigoje ar TGS bei jam nuolat reikia dirbti su ESĮI, patikimumo pažymėjimas peržiūrimas siekiant jį atnaujinti ne rečiau kaip kas penkerius metus pažymėjimų, leidžiančių susipažinti su slaptumo žyma TRES SECRET UE/ES TOP SECRET pažymėta informacija, atveju ir ne rečiau kaip kas dešimt metų pažymėjimų, leidžiančių susipažinti su slaptumo žymomis SECRET UE/ES SECRET ir CONFIDENTIEL UE/ES CONFIDENTIAL pažymėta informacija, atveju, skaičiuojant nuo paskutinio patikimumo patikrinimo, kuriuo remiantis buvo išduotas pažymėjimas, rezultatų pranešimo datos. Visuose dėl patikimumo pažymėjimo atnaujinimo atliekamuose patikimumo patikrinimuose tikrinamas laikotarpis nuo ankstesnio tikrinimo datos.

14.

Siekiant atnaujinti patikimumo pažymėjimą, tikrinami 10 ir 11 punktuose apibūdinti aspektai.

15.

Prašymai dėl atnaujinimo teikiami laiku, atsižvelgiant į tokiam patikimumo tikrinimui atlikti reikiamą laiką. Tačiau atitinkamai NSI ar kitai kompetentingai nacionalinei institucijai gavus atitinkamą prašymą dėl atnaujinimo ir atitinkamą asmens patikimumo tikrinimo klausimyną nepasibaigus patikimumo pažymėjimo galiojimo laikotarpiui ir dar neužbaigus būtino patikimumo patikrinimo, kompetentinga nacionalinė institucija gali pratęsti turimo patikimumo pažymėjimo galiojimo laikotarpį ne ilgiau kaip 12 mėnesių, jeigu leidžia nacionaliniai įstatymai ir kiti teisės aktai. Jeigu pasibaigus šiam 12 mėnesių laikotarpiui patikimumo patikrinimas dar nebaigtas, asmeniui skiriamos tokios užduotys, kurioms atlikti nereikia turėti patikimumo pažymėjimo.

16.

TGS pareigūnų ir kitų tarnautojų atveju TGS saugumo tarnyba nusiunčia užpildytą asmens patikimumo tikrinimo klausimyną valstybės narės, kurios pilietis asmuo yra, NSI, prašydama atlikti patikimumo patikrinimą, skirtą gauti leidimą naudotis tam tikro slaptumo žymos laipsnio ESĮI, su kuria asmeniui reikės susipažinti.

17.

Jei TGS sužino patikimumo patikrinimui svarbios informacijos apie asmenį, kuris pateikė prašymą dėl patikimumo pažymėjimo, leidžiančio susipažinti su ESĮI, TGS, laikydamasis atitinkamų taisyklių ir teisės aktų, apie tai praneša atitinkamai NSI.

18.

Užbaigusi patikimumo patikrinimą atitinkama NSI praneša TGS saugumo tarnybai tokio patikrinimo rezultatus, naudodama Saugumo komiteto nustatytą korespondencijai skirtą standartinę formą.

19.

Patikimumo tikrinimui bei gautiems rezultatams taikomi atitinkamoje valstybėje narėje galiojantys įstatymai ir kiti teisės aktai, įskaitant su apskundimu susijusius įstatymus ir kitus teisės aktus. TGS paskyrimų tarnybos sprendimai gali būtų apskųsti pagal Europos Sąjungos pareigūnų tarnybos nuostatus ir kitų Europos Sąjungos tarnautojų įdarbinimo sąlygas, nustatytus Tarybos reglamente (EEB, Euratomas, EAPB) Nr. 259/68 (1) (toliau – Tarnybos nuostatai ir įdarbinimo sąlygos).

20.

Į TGS komandiruoti nacionaliniai ekspertai, siekiantys eiti pareigas, kurioms reikia galimybės susipažinti su CONFIDENTIEL UE/ES CONFIDENTIAL ar aukštesnio laipsnio slaptumo žyma pažymėta ES informacija, prieš pradėdami tarnybą TGS saugumo tarnybai pateikia galiojančią asmens patikimumo pažymėjimą patvirtinančią pažymą (APPP), suteikiančią teisę susipažinti su ESĮI, o paskyrimų tarnyba tuo remdamasi suteikia leidimą susipažinti su ESĮI.

21.

TGS pripažįsta kitos Sąjungos institucijos, įstaigos ar agentūros suteiktą leidimą susipažinti su ESĮI, su sąlyga, kad jis tebegalioja. Leidimas galioja visoms užduotims, kurias tas asmuo vykdo TGS. Sąjungos institucija, įstaiga ar agentūra, kurioje asmuo pradeda dirbti, praneša atitinkamai NSI apie darbdavio pasikeitimą.

22.

Jeigu asmens tarnyba neprasideda per 12 mėnesių nuo patikimumo patikrinimo rezultatų pranešimo TGS paskyrimų tarnybai arba jeigu asmens tarnyboje daroma 12 mėnesių pertrauka ir tuo laikotarpiu jis nėra priimtas į pareigybę TGS ar valstybės narės nacionalinėje administracinėje įstaigoje, atitinkamos NSI prašoma patvirtinti, kad rezultatai tebegalioja bei yra tinkami.

23.

Jei TGS sužino informacijos apie tai, kad asmuo, turintis leidimą susipažinti su ESĮI, kelia pavojų saugumui, TGS, laikydamasis atitinkamų taisyklių ir teisės aktų, apie tai praneša atitinkamai NSI ir gali asmeniui laikinai nesuteikti galimybės susipažinti su ESĮI arba panaikinti leidimą susipažinti su ESĮI.

24.

Kai NSI informuoja TGS apie tai, kad pagal 18 punkto a papunktį suteiktas užtikrinimas dėl asmens, turinčio leidimą susipažinti su ESĮI, panaikinamas, TGS paskyrimų tarnyba gali paprašyti pateikti paaiškinimą, kurį NSI gali pateikti pagal nacionalinius įstatymus ir kitus teisės aktus. Jei nepalanki informacija patvirtinama, leidimas panaikinamas, o asmeniui neleidžiama susipažinti su ESĮI ir eiti pareigų, kurias einant jis galėtų susipažinti su ta informacija arba sukelti pavojų saugumui.

25.

Apie sprendimą panaikinti arba sustabdyti TGS pareigūno ar kito tarnautojo leidimą susipažinti su ESĮI ir, atitinkamais atvejais, tokio panaikinimo arba sustabdymo priežastis pranešama atitinkamam pareigūnui, o jis gali prašyti, kad TGS paskyrimų tarnyba jį išklausytų. NSI teikiamą informaciją reglamentuoja atitinkamoje valstybėje narėje galiojantys įstatymai ir kiti teisės aktai, įskaitant su apeliacijomis susijusius įstatymus ir kitus teisės aktus. TGS paskyrimų tarnybos sprendimai gali būtų apskųsti pagal Tarnybos nuostatus ir įdarbinimo sąlygas.

26.

APP ir leidimų, leidžiančių susipažinti su CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnio laipsnio slaptumo žyma pažymėta informacija, registrus tvarko atitinkamai kiekviena valstybė narė ir TGS. Šiuose registruose bent jau nurodoma ESĮI, su kuria tam asmeniui gali būti leista susipažinti, slaptumo žymos laipsnis, patikimumo pažymėjimo išdavimo data ir jo galiojimo laikas.

27.

Kompetentinga saugumo institucija gali išduoti APPP, kurioje nurodomas ESĮI, su kuria tam asmeniui gali būti leista susipažinti, slaptumo žymos laipsnis (CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnio laipsnio slaptumo žyma), atitinkamo APP, leidžiančio susipažinti su ESĮI, ar leidimo susipažinti su ESĮI galiojimo laikas ir pačios pažymos galiojimo laikas.

28.

Teisė susipažinti su ESĮI asmenims, kuriems dėl jų atliekamų funkcijų suteiktas tinkamas leidimas, valstybėse narėse nustatoma pagal nacionalinius įstatymus ir kitus teisės aktus; tokie asmenys informuojami apie jų saugumo įsipareigojimus ESĮI apsaugos srityje.

29.

Visi asmenys, kuriems išduotas patikimumo pažymėjimas, raštu patvirtina, kad jie supranta savo įsipareigojimus saugoti ESĮI ir padarinius, jei ESĮI būtų neteisėtai atskleista. Atitinkamai valstybė narė ir TGS registruoja tokius rašytinius patvirtinimus.

30.

Visi asmenys, kuriems leidžiama susipažinti su ESĮI arba kurie turi dirbti su ESĮI, yra iš pat pradžių informuojami ir paskui reguliariai informuojami apie grėsmes saugumui ir jie turi nedelsdami pranešti atitinkamoms saugumo tarnyboms apie bet kokius bandymus užmegzti kontaktą ar veiklą, kurie, jų nuomone, yra įtartini ar neįprasti.

31.

Visi asmenys, kurie nebeeina pareigų, kurias einant jiems reikia susipažinti su ESĮI, yra informuojami apie jų įsipareigojimus toliau saugoti ESĮI slaptumą ir atitinkamais atvejais jie tai patvirtina raštu.

32.

Kai leidžia nacionaliniai įstatymai ir kiti teisės aktai, valstybės narės kompetentingos nacionalinės institucijos išduotas patikimumo pažymėjimas, kuriuo leidžiama susipažinti su nacionaliniu lygiu įslaptinta informacija, gali laikinai, kol bus išduotas APP susipažinti su ESĮI, suteikti teisę nacionaliniams pareigūnams susipažinti su ne aukštesne nei lygiaverčio slaptumo žymos laipsnio ESĮI, kaip nustatyta B priedėlyje pateiktoje atitikmenų lentelėje, kai Sąjungos interesais būtina suteikti tokią laikiną teisę susipažinti su informacija. NSI informuoja Saugumo komitetą, kai pagal nacionalinius įstatymus ir kitus teisės aktus tokia laikina teisės susipažinti su ESĮI negali būti suteikta.

33.

Dėl skubos priežasčių, kurios pagrįstos tarnybos interesais, laukiant išsamaus patikimumo patikrinimo pabaigos, TGS paskyrimų tarnyba, pasikonsultavusi su valstybės narės, kurios pilietis yra atitinkamas asmuo, NSI ir atsižvelgusi į preliminaraus patikrinimo, skirto patikrinti, ar nėra žinomos nepalankios informacijos apie asmenį, rezultatus, gali TGS pareigūnams ir kitiems tarnautojams išduoti laikiną leidimą susipažinti su ESĮI konkrečiai funkcijai atlikti. Tokie laikini leidimai galioja ne ilgiau kaip šešis mėnesius ir nesuteikia teisės susipažinti su slaptumo žyma TRES SECRET UE/ES TOP SECRET pažymėta informacija. Visi asmenys, kuriems išduotas laikinas leidimas, raštu patvirtina, kad jie supranta savo įsipareigojimus saugoti ESĮI ir ESĮI neteisėto atskleidimo pasekmes. TGS registruoja tokius rašytinius patvirtinimus.

34.

Kai asmuo turi būti paskirtas į pareigybę, kuriai užimti reikalingas vienu laipsniu aukštesnis nei turimas patikimumo pažymėjimas, jis gali būti paskirtas į tą pareigybę laikinai, jeigu:

35.

Pirmiau nurodytos procedūros laikomasi, kai reikia suteikti leidimą vieną kartą susipažinti su vienu laipsniu aukštesne slaptumo žyma pažymėta ESĮI nei ta, su kuria susipažinti jiems buvo leista atlikus patikimumo patikrinimą. Tokia procedūra neturi būti naudojama pakartotinai.

36.

Itin išskirtinėmis aplinkybėmis, tokiomis kaip vykdant užduotis priešiškoje aplinkoje arba kylant tarptautinei įtampai, kai to reikia imantis neatidėliotinų priemonių, visų pirma siekiant išsaugoti žmonių gyvybes, valstybės narės ir Generalinis sekretorius arba Generalinio sekretoriaus pavaduotojas gali, kai įmanoma – raštu, suteikti galimybę susipažinti su slaptumo žyma CONFIDENTIEL UE/ES CONFIDENTIAL arba SECRET UE/ES SECRET pažymėta informacija asmenims, neturintiems reikiamo patikimumo pažymėjimo, jeigu tokio leidimo tikrai reikia ir jeigu nėra pagrįstų abejonių dėl atitinkamo asmens lojalumo ir patikimumo. Toks leidimas registruojamas, kartu aprašant informaciją, su kuria leista susipažinti.

37.

Slaptumo žyma TRES SECRET UE/ES TOP SECRET pažymėtos informacijos atveju toks leidimo suteikimas skubos tvarka taikomas tik tiems Sąjungos piliečiams, kuriems buvo leista susipažinti su nacionaline informacija, atitinkančia TRES SECRET UE/ES TOP SECRET slaptumo laipsnį, arba su slaptumo žyma SECRET UE/ES SECRET pažymėta informacija.

38.

Saugumo komitetas informuojamas apie atvejus, kai naudojamasi 36 ir 37 punktuose išdėstyta procedūra.

39.

Kai valstybės narės nacionaliniai įstatymai ir kiti teisės aktai nustato griežtesnes taisykles dėl laikinų leidimų, laikinų paskyrimų, asmenims susipažinti su įslaptinta informacija vieną kartą ar skubos tvarka leidžiama ir šiame skirsnyje numatytos procedūros taikomos tik nepažeidžiant atitinkamuose įstatymuose ir kituose teisės aktuose nustatytų apribojimų.

40.

Saugumo komitetui pateikiama šiame skirsnyje numatytų procedūrų taikymo metinė ataskaita.

41.

Vadovaujantis 28 punktu, asmenys, paskirti dalyvauti Tarybos arba Tarybos parengiamųjų organų posėdžiuose, kuriuose aptariama CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnio laipsnio slaptumo žyma pažymėta informacija, gali tai daryti tik patvirtinus, kad jie turi patikimumo pažymėjimą. Deleguotų asmenų APPP ar kitus patikimumo pažymėjimo įrodymus atitinkamos institucijos siunčia TGS saugumo tarnybai arba išimtiniais atvejais ją pateikia atitinkamas deleguotas asmuo. Jei taikoma, gali būti naudojamas suvestinis pavardžių sąrašas, kuriame pateikiami atitinkami įrodymai apie patikimumo pažymėjimą.

42.

Kai asmens, kuris eidamas savo pareigas turi dalyvauti Tarybos ir Tarybos parengiamųjų organų posėdžiuose, APP susipažinti su ESĮI panaikinamas saugumo sumetimais, kompetentinga institucija apie tai informuoja TGS.

43.

Kurjerių, apsaugos darbuotojų ir lydinčių asmenų patikimumas turi būti patikrintas atitinkamu lygiu, arba jie turi būti kitaip deramai patikrinti vadovaujantis nacionaliniais įstatymais ir kitais teisės aktais, jie yra supažindinami su ESĮI apsaugai užtikrinti skirtomis saugumo procedūromis ir jiems išdėstomos jų pareigos jiems patikėtos tokios informacijos apsaugos srityje.

1.

Šiame priede nustatytos 8 straipsnio įgyvendinimo nuostatos. Jame išdėstyti būtiniausi reikalavimai, taikomi patalpų, pastatų, kabinetų, salių ir kitų zonų, kuriose tvarkoma ir saugoma ESĮI, įskaitant zonas, kuriose yra RIS, fizinei apsaugai.

2.

Fizinio saugumo priemonės yra skirtos užkirsti kelią leidimo neturintiems asmenims susipažinti su ESĮI:

3.

Fizinio saugumo priemonės parenkamos remiantis grėsmių įvertinimu, kurį atlieka kompetentingos institucijos. ESĮI apsaugai užtikrinti savo patalpose TGS ir valstybės narės taiko rizikos valdymo procesą, kad užtikrintų, jog, atsižvelgiant į įvertintą riziką, būtų taikoma atitinkamo lygio fizinė apsauga. Rizikos valdymo procese atsižvelgiama į visus svarbius veiksnius, visų pirma:

4.

Kompetentinga saugumo tarnyba, taikydama nuodugnios apsaugos sąvoką, nustato tinkamas įgyvendintinas fizinio saugumo priemones. Tai gali būti viena (ar daugiau) iš šių priemonių:

5.

Kompetentinga institucija gali būti įgaliojama apieškoti įeinančius ir išeinančius asmenis siekiant atgrasyti nuo neleistino medžiagos įnešimo arba neleistino ESĮI išnešimo iš patalpų ar pastatų.

6.

Iškilus pavojui, kad ESĮI bus pamatyta, netgi atsitiktinai, imamasi tinkamų priemonių siekiant išvengti šio pavojaus.

7.

Naujos infrastruktūros atveju infrastruktūros planavimo ir projektavimo metu apibrėžiami fizinio saugumo reikalavimai ir jos funkcinės specifikacijos. Esamos infrastruktūros atveju kiek įmanoma įgyvendinami fizinio saugumo reikalavimai.

8.

Įsigydama ESĮI fizinei apsaugai užtikrinti skirtą įrangą (pavyzdžiui, apsaugines talpyklas, naikiklius, durų užraktus, elektronines patekimo kontrolės sistemas, įsibrovimo aptikimo sistemas, signalizacijos sistemas), kompetentinga saugumo institucija užtikrina, kad įranga atitiktų patvirtintus techninius standartus ir būtiniausius reikalavimus.

9.

ESĮI fizinei apsaugai užtikrinti naudotinos įrangos techninės specifikacijos išdėstomos saugumo gairėse, kurias turi patvirtinti Saugumo komitetas.

10.

Saugumo sistemos reguliariai tikrinamos ir reguliariai atliekama įrangos priežiūra. Atliekant priežiūrą atsižvelgiama į patikrinimų rezultatus, kad būtų užtikrinta, jog įrenginiai toliau veiktų optimaliai.

11.

Kiekvieno patikrinimo metu iš naujo vertinamas individualių saugumo priemonių ir visos saugumo sistemos veiksmingumas.

12.

ESĮI fizinės apsaugos tikslais nustatomos dviejų tipų fiziškai apsaugotos zonos arba nacionalinės lygiavertės zonos:

Šiame sprendime visos nuorodos į administracines zonas ir saugumo zonas, įskaitant techniniu požiūriu saugias saugumo zonas, laikomos ir nuorodomis į nacionalines lygiavertes zonas.

13.

Kompetentinga saugumo institucija nustato, kad zona atitinka reikalavimus, jog būtų klasifikuojama kaip administracinė zona, saugumo zona ar techniniu požiūriu saugi saugumo zona.

14.

Administracinių zonų atveju:

15.

Saugumo zonų atveju:

16.

Tais atvejais, kai įėjus į saugumo zoną galima visais praktiniais tikslais tiesiogiai susipažinti su joje laikoma įslaptinta informacija, taikomi tokie papildomi reikalavimai:

17.

Saugumo zonos, kurios turi būti apsaugotos nuo pasiklausymo, klasifikuojamos kaip techniniu požiūriu saugios saugumo zonos. Taikomi šie papildomi reikalavimai:

18.

Nepaisant 17 punkto d papunkčio, prieš naudojantis ryšių prietaisais ir elektros ar elektronine įranga zonose, kuriose rengiami susitikimai ar atliekamas darbas, susijęs su SECRET UE/ES SECRET arba aukštesnio laipsnio slaptumo žyma pažymėta informacija, taip pat, kai grėsmė ESĮI vertinama kaip didelė, tokius prietaisus ir įrangą visų pirma ištiria kompetentinga saugumo institucija, siekdama užtikrinti, kad naudojantis šia įranga nebūtų galima perduoti jokios suprantamos informacijos per neapdairumą ar neteisėtai už saugumo zonos perimetro.

19.

Saugumo zonos, kuriose nėra visą parą budinčio personalo, atitinkamais atvejais tikrinamos pasibaigus įprastai darbo dienai ir atsitiktiniais intervalais ne įprastomis darbo valandomis, išskyrus atvejus, kai įdiegta ĮAS.

20.

Siekiant surengti susitikimą, kuriame naudojama įslaptinta informacija, arba bet kokiu kitu panašiu tikslu administracinėje zonoje gali būti laikinai įrengtos saugumo zonos ir techniniu požiūriu saugios saugumo zonos.

21.

Saugios eksploatacijos taisyklės rengiamos kiekvienai saugumo zonai ir jose nustatoma:

22.

Saugumo zonose įrengiamos saugyklos. Sienos, grindys, lubos, langai ir durys su užraktais turi būti kompetentingos saugumo institucijos patvirtintos ir užtikrinti apsaugą, kurią užtikrina apsauginės talpyklos, patvirtintos to paties laipsnio slaptumo žymos ESĮI saugoti.

23.

Slaptumo žyma RESTREINT UE/ES RESTRICTED pažymėta ESĮI gali būti tvarkoma:

24.

Slaptumo žyma RESTREINT UE/ES RESTRICTED pažymėta ESĮI saugoma tinkamuose rakinamuose biuro balduose administracinėse zonose arba saugumo zonose. Laikinai ji gali būti saugoma ne saugumo zonose ar administracinėse zonose, jeigu turėtojas yra įsipareigojęs taikyti kompensacines priemones, nustatytas kompetentingos saugumo institucijos parengtose saugumo instrukcijose.

25.

Slaptumo žyma CONFIDENTIEL UE/ES CONFIDENTIAL arba SECRET UE/ES SECRET pažymėta ESĮI gali būti tvarkoma:

26.

Slaptumo žyma CONFIDENTIEL UE/ES CONFIDENTIAL ir SECRET UE/ES SECRET pažymėta ESĮI saugoma saugumo zonose esančiose apsauginėse talpyklose arba saugyklose.

27.

Slaptumo žyma TRES SECRET UE/ES TOP SECRET pažymėta ESĮI tvarkoma saugumo zonose.

28.

Slaptumo žyma TRES SECRET UE/ES TOP SECRET pažymėta ESĮI saugoma saugumo zonose laikantis kurios nors iš toliau nurodytų sąlygų:

29.

ESĮI gabenimą už fiziškai apsaugotų zonų ribų reglamentuojančios taisyklės išdėstytos III priede.

30.

Kompetentinga saugumo institucija nustato kabinetų, patalpų, saugyklų ir apsauginių talpyklų raktų bei kodų valdymo procedūras. Tokios procedūros apsaugo nuo neleistino susipažinimo su informacija.

31.

Kodai patikimi kuo mažesniam asmenų skaičiui ir tik tiems asmenims, kuriems reikia juos naudoti; šie asmenys kodus įsimena. Apsauginių talpyklų ir saugyklų, kuriose saugoma ESĮI, kodai keičiami:

1.

Šiame priede nustatytos 9 straipsnio įgyvendinimo nuostatos. Jame išdėstytos administracinės ESĮI kontrolės visą jos gyvavimo ciklą priemonės siekiant atgrasyti nuo tokios informacijos sąmoningo ar atsitiktinio neteisėto atskleidimo arba praradimo ir nustatyti tokius atvejus.

2.

Informacija įslaptinama tuo atveju, jei dėl jos konfidencialumo reikia ją apsaugoti.

3.

ESĮI rengėjas atsako už slaptumo žymos laipsnio nustatymą pagal atitinkamas įslaptinimo gaires ir už pirminį informacijos platinimą.

4.

ESĮI slaptumo žymos laipsnis nustatomas vadovaujantis 2 straipsnio 2 dalimi ir remiantis saugumo politika, kuri turi būti tvirtinama pagal 3 straipsnio 3 dalį.

5.

Slaptumo žyma nurodoma aiškiai ir teisingai, neatsižvelgiant į tai, ar ESĮI yra pateikiama popieriuje, žodžiu, elektronine ar bet kuria kita forma.

6.

Atskiroms dokumento dalims (t. y. puslapiams, dalims, skirsniams, priedams ir priedėliams) gali būti suteikiamos skirtingos slaptumo žymos ir jos atitinkamai pažymimos, taip pat tais atvejais, kai jos saugomos elektronine forma.

7.

Dokumento ar dokumentų bylos bendras slaptumo žymos laipsnis nustatomas pagal aukščiausią slaptumo žymos laipsnį turinčią jo dalį. Kai renkama informacija iš įvairių šaltinių, galutinis dokumentas peržiūrimas siekiant nustatyti jo bendrą slaptumo žymos laipsnį, nes gali paaiškėti, kad jam turi būti suteiktas aukštesnis slaptumo žymos laipsnis nei jo dalims.

8.

Kiek įmanoma, dokumentams, kurių dalys pažymėtos skirtingo laipsnio slaptumo žymomis, suteikiama tokia struktūra, kad skirtingo laipsnio slaptumo žymomis pažymėtas dalis būtų galima lengvai nustatyti ir prireikus atskirti.

9.

Pridedamų dokumentų lydinčiųjų dokumentų slaptumo žymos laipsnis atitinka priedų aukščiausio laipsnio slaptumo žymas. Jei tokie dokumentai pateikiami atskirai nuo priedų, įslaptintos informacijos rengėjas turi aiškiai nurodyti, koks slaptumo žymos laipsnis jiems suteikiamas, naudodamas atitinkamą žymą, pavyzdžiui:

CONFIDENTIEL UE/ES CONFIDENTIAL

Be priedo (-ų) RESTREINT UE/ES RESTRICTED

10.

Be vienos iš slaptumo žymų, nurodytų 2 straipsnio 2 dalyje, ESĮI gali būti pažymėta papildomomis žymomis, pavyzdžiui:

11.

Siekiant nurodyti atskirų teksto pastraipų slaptumo žymos laipsnį, gali būti naudojamos standartinės slaptumo žymų santrumpos. Santrumpos nepakeičia pilnų slaptumo žymų.

12.

ES įslaptintuose dokumentuose gali būti naudojamos šios standartinės santrumpos, kuriomis nurodomas skirsnių arba teksto dalių, užimančių mažiau nei vieną puslapį, slaptumo žymos laipsnis:

13.

Rengiant ES įslaptintą dokumentą:

14.

Kai rengiant ESĮI neįmanoma taikyti 13 punkte išdėstytų reikalavimų, taikomos kitos atitinkamos priemonės vadovaujantis saugumo gairėmis, parengtomis remiantis 6 straipsnio 2 dalimi.

15.

Įslaptintos informacijos rengėjas, kai įmanoma, rengdamas ESĮI, ypač RESTREINT UE/ES RESTRICTED slaptumo žyma pažymėtą informaciją, nurodo, ar tam tikrą dieną arba po tam tikro įvykio galima sumažinti ESĮI slaptumo žymos laipsnį arba ją išslaptinti.

16.

TGS reguliariai peržiūri jo turimą ESĮI, siekdamas įsitikinti, ar slaptumo žymos lygis vis dar taikomas. TGS sukuria sistemą, skirtą peržiūrėti ESĮI, kurią jis parengė, slaptumo žymos laipsnį ne rečiau kaip kas penkeri metai. Tokia peržiūra nėra reikalinga, jeigu įslaptintos informacijos rengėjas iš pat pradžių nurodo, kad informacijos slaptumo žymos laipsnis bus sumažintas arba informacija išslaptinta automatiškai, o informacija buvo atitinkamai pažymėta.

17.

Kiekviename TGS ir valstybių narių nacionalinių administracinių įstaigų organizaciniame vienete, kuriame tvarkoma ESĮI, steigiamos atsakingos registratūros, siekiant užtikrinti, kad ESĮI būtų administruojama pagal šį sprendimą. Registratūros steigiamos kaip II priede apibrėžtos saugumo zonos.

18.

Šiame sprendime registravimas saugumo tikslais (toliau – registravimas) – procedūrų, kuriomis užregistruojamas dokumento gyvavimo ciklas, įskaitant jo platinimą ir sunaikinimą, taikymas.

19.

Kai organizacinis vienetas gauna CONFIDENTIEL UE/ES CONFIDENTIAL ir aukštesnio laipsnio slaptumo žyma pažymėtą medžiagą ir kai ją išsiunčia, visa ši medžiaga registruojama tam skirtose registratūrose.

20.

Centrinė TGS registratūra registruoja visą įslaptintą informaciją, kurią Taryba ir TGS suteikė trečiosioms valstybėms ir tarptautinėms organizacijoms, bei visą įslaptintą informaciją, gautą iš trečiųjų valstybių ir tarptautinių organizacijų.

21.

RIS atveju registravimo procedūros gali būti atliekamos vykdant procesus pačioje RIS.

22.

Taryba patvirtina ESĮI registravimo saugumo tikslais saugumo politiką.

23.

Valstybėse narėse ir TGS paskiriama registratūra, kuri veikia kaip centrinė slaptumo žyma TRES SECRET UE/ES TOP SECRET pažymėtą informaciją gaunanti ir siunčianti tarnyba. Prireikus gali būti paskirtos antrinės registratūros, kurios tvarko tokią informaciją jos registravimo tikslais.

24.

Tokios antrinės registratūros negali perduoti slaptumo žyma TRES SECRET UE/ES TOP SECRET pažymėtų dokumentų tiesiogiai kitoms tos pačios centrinės TRES SECRET UE/ES TOP SECRET registratūros antrinėms registratūroms arba į išorę be aiškaus rašytinio tos registratūros leidimo.

25.

Slaptumo žyma TRES SECRET UE/ES TOP SECRET pažymėti dokumentai kopijuojami arba verčiami tik gavus išankstinį rašytinį įslaptintos informacijos rengėjo sutikimą.

26.

Jeigu SECRET UE/ES SECRET arba žemesnio laipsnio slaptumo žyma pažymėtų dokumentų įslaptintos informacijos rengėjas nenustatė apribojimų dėl jų kopijavimo ar vertimo, dokumento turėtojo nurodymu tokius dokumentus galima kopijuoti arba versti.

27.

Dokumento kopijoms ir vertimams taikomos tos pačios saugumo priemonės, kaip ir dokumento originalui.

28.

Gabenant ESĮI taikomos 30–41 punktuose išdėstytos apsaugos priemonės. Kai ESĮI gabenama elektroninėje laikmenoje ir nepaisant 9 straipsnio 4 dalies, toliau išvardytas apsaugos priemones gali papildyti kompetentingos saugumo institucijos nurodytos atitinkamos techninės kontrpriemonės, kad būtų sumažinta rizika, jog informacija bus prarasta ar atskleista.

29.

TGS ir valstybių narių kompetentingos saugumo institucijos parengia ESĮI gabenimo instrukcijas remdamosi šiuo sprendimu.

30.

Pastate arba uždaroje pastatų grupėje gabenama informacija turi būti uždengta, kad nebūtų galima stebėti jos turinio.

31.

Slaptumo žyma TRES SECRET UE/ES TOP SECRET pažymėta informacija pastate arba uždaroje pastatų grupėje turi būti gabenama apsaugotame voke, ant kurio nurodytas tik gavėjo vardas ir pavardė.

32.

ESĮI, gabenama iš vieno pastato ar patalpos į kitą Sąjungoje, turi būti supakuota taip, kad ji būtų apsaugota nuo neteisėto atskleidimo.

33.

CONFIDENTIEL UE/ES CONFIDENTIAL arba SECRET UE/ES SECRET slaptumo žyma pažymėtą informaciją Sąjungoje gabena:

Gabenimo iš vienos valstybės narės į kitą atveju c punkto nuostatos taikomos tik gabenant informaciją, pažymėtą slaptumo žyma iki CONFIDENTIEL UE/ES CONFIDENTIAL.

34.

Slaptumo žyma RESTREINT UE/ES RESTRICTED pažymėtą informaciją taip pat gali gabenti pašto tarnybos arba komercinės kurjerių pašto tarnybos. Tokios informacijos gabenimui kurjerio pažymėjimas nereikalingas.

35.

CONFIDENTIEL UE/ES CONFIDENTIAL ir SECRET UE/ES SECRET slaptumo žyma pažymėtą medžiagą (pavyzdžiui, įrangą ar įrenginius), kurios negalima gabenti 33 punkte nurodytomis priemonėmis, kaip krovinį pagal V priedą gabena komercinės vežėjų bendrovės.

36.

TRES SECRET UE/ES TOP SECRET slaptumo žyma pažymėtą informaciją iš vieno pastato ar patalpos į kitą Sąjungoje gabena atitinkamai karinis, vyriausybinis ar diplomatinis kurjeris.

37.

ESĮI, gabenama iš Sąjungos į trečiosios valstybės teritoriją, turi būti supakuota taip, kad ji būtų apsaugota nuo neteisėto atskleidimo.

38.

CONFIDENTIEL UE/ES CONFIDENTIAL ir SECRET UE/ES SECRET slaptumo žyma pažymėtą informaciją iš Sąjungos į trečiosios valstybės teritoriją gabena:

39.

Gabenant Sąjungos parengtą trečiajai valstybei ar tarptautinei organizacijai skirtą slaptumo žyma CONFIDENTIEL UE/ES CONFIDENTIAL ir SECRET UE/ES SECRET pažymėtą informaciją laikomasi atitinkamų nuostatų, numatytų susitarime dėl informacijos saugumo arba administraciniame susitarime pagal 13 straipsnio 2 dalies a arba b punktą.

40.

Slaptumo žyma RESTREINT UE/ES RESTRICTED pažymėtą informaciją taip pat gali gabenti pašto tarnybos ar komercinės kurjerių pašto tarnybos.

41.

Slaptumo žyma TRES SECRET UE/ES TOP SECRET pažymėtą informaciją iš Sąjungos į trečiosios valstybės teritoriją gabena karinis ar diplomatinis kurjeris.

42.

Nebereikalingi ES įslaptinti dokumentai gali būti sunaikinti nepažeidžiant atitinkamų taisyklių ir nuostatų dėl archyvavimo.

43.

Dokumentus, kurie turi būti registruojami pagal 9 straipsnio 2 dalį, turėtojo arba kompetentingos institucijos nurodymu sunaikina atsakinga registratūra. Registracijos knygos ir kita registravimo informacija atitinkamai atnaujinama.

44.

Dokumentai, pažymėti SECRET UE/ES SECRET arba TRES SECRET UE/ES TOP SECRET slaptumo žyma, naikinami dalyvaujant liudytojui, kuris turi leidimą susipažinti su ne žemesnio už naikinamo dokumento slaptumo žymos laipsnio įslaptinta informacija.

45.

Atsakingas registratūros darbuotojas ir liudytojas, kai pastarojo dalyvavimas privalomas, pasirašo sunaikinimo aktą, kuris registruojamas atitinkamame registre. Slaptumo žyma TRES SECRET UE/ES TOP SECRET pažymėtų dokumentų sunaikinimo aktai registre saugomi bent dešimt metų, o CONFIDENTIEL UE/ES CONFIDENTIAL ir SECRET UE/ES SECRET slaptumo žyma pažymėtų dokumentų – bent penkerius metus.

46.

Įslaptinti dokumentai, įskaitant pažymėtus slaptumo žyma RESTREINT UE/ES RESTRICTED, sunaikinami tokiais būdais, kurie atitinka atitinkamus Sąjungos arba lygiaverčius standartus arba kuriuos valstybės narės patvirtino laikydamosi nacionalinių techninių standartų, kad jų nebūtų galima visiškai ar iš dalies atkurti.

47.

Kompiuterinių duomenų saugojimo laikmenos, naudotos ESĮI, sunaikinamos vadovaujantis IV priedo 37 punkto nuostatomis.

48.

Ekstremalios situacijos atveju, jei gresia tiesioginis neteisėto atskleidimo pavojus, ESĮI turėtojas sunaikina ją taip, kad ji negalėtų būti atkurta visa arba iš dalies. Rengėjas ir pradinis registras informuojami apie registruotos ESĮI sunaikinimą dėl ekstremalios situacijos.

49.

Sąvoka „įvertinimo vizitas“ toliau vartojama nurodant:

kurių metu vertinamas priemonių, įgyvendintų siekiant apsaugoti ESĮI, veiksmingumas.

50.

Įvertinimo vizitai atliekami, inter alia, siekiant:

51.

Iki kiekvienų kalendorinių metų pabaigos Taryba patvirtina kitų metų įvertinimo vizitų programą, kaip numatyta 16 straipsnio 1 dalies c punkte. Faktinės kiekvieno įvertinimo vizito datos nustatomos suderinus su atitinkama Sąjungos įstaiga ar agentūra, valstybe nare, trečiąja valstybe ar tarptautine organizacija.

52.

Įvertinimo vizitai atliekami siekiant patikrinti lankomo subjekto atitinkamas taisykles, reglamentus ir procedūras, taip pat patikrinti, ar subjekto praktika atitinka šiame sprendime nustatytus pagrindinius principus ir būtiniausius standartus ir keitimąsi įslaptinta informacija su tuo subjektu reglamentuojančias nuostatas.

53.

Įvertinimo vizitai atliekami dviem etapais. Prieš vizitą prireikus organizuojamas parengiamasis susitikimas su atitinkamu subjektu. Po šio parengiamojo susitikimo įvertinimo grupė, suderinusi su atitinkamu subjektu, sudaro išsamią įvertinimo vizito programą, apimančią visas saugumo sritis. Įvertinimo vizito grupei turėtų būti leidžiama patekti į visas vietas, kuriose tvarkoma ESĮI, visų pirma registrus ir RIS įrengimo vietas.

54.

Įvertinimo vizitai į valstybių narių nacionalines administracines įstaigas, trečiąsias valstybes ir tarptautines organizacijas atliekami visapusiškai bendradarbiaujant su subjekto, trečiosios valstybės ar tarptautinės organizacijos, į kuriuos atliekamas vizitas, pareigūnais.

55.

Įvertinimo vizitai į Sąjungos įstaigas, agentūras ir subjektus, taikančius šį sprendimą arba jo principus, atliekami padedant NSI, kurios teritorijoje yra įsikūrusi įstaiga ar agentūra, ekspertams.

56.

Įvertinimo vizitų į Sąjungos įstaigas, agentūras ir subjektus, taikančius šį sprendimą ar jo principus, taip pat į trečiąsias valstybes bei tarptautines organizacijas atveju gali būti prašoma NSI ekspertų pagalbos ir nuomonių, laikantis išsamios tvarkos, dėl kurios turi susitarti Saugumo komitetas.

57.

Pabaigus įvertinimo vizitą subjektui, į kurį atliktas vizitas, pateikiamos pagrindinės išvados ir rekomendacijos. Po to parengiama įvertinimo vizito ataskaita. Jei buvo pasiūlyti taisomieji veiksmai ir pateiktos rekomendacijos, ataskaitoje padarytos išvados turėtų būti pakankamai išsamiai pagrįstos. Ataskaita pateikiama atitinkamai subjekto, į kurį atliktas vizitas, tarnybai.

58.

Jei įvertinimo vizitai atliekami valstybių narių nacionalinėse administracinėse įstaigose:

TGS saugumo tarnyba atsako už tai, kad būtų rengiama reguliari ataskaita, kurioje būtų akcentuojama nurodytu laikotarpiu valstybėse narėse atliktų įvertinimo vizitų metu įgyta patirtis ir kurią išnagrinėtų Saugumo komitetas.

59.

Trečiųjų valstybių ir tarptautinių organizacijų įvertinimo vizitų atveju ataskaita išplatinama Saugumo komitetui. Ataskaita pažymima ne žemesnio laipsnio nei RESTREINT UE/ES RESTRICTED slaptumo žyma. Taisomieji veiksmai patikrinami kito vizito metu ir apie juos pranešama Saugumo komitetui.

60.

Įvertinimo vizitų į Sąjungos įstaigas, agentūras ir subjektus, taikančius šį sprendimą ar jo principus, atveju įvertinimo vizitų ataskaitos išplatinamos Saugumo komitetui. Įvertinimo vizito ataskaitos projektas nusiunčiamas atitinkamai agentūrai ar įstaigai, kad ši patikrintų jame pateikiamų faktų teisingumą, taip pat ar jame nėra jokios informacijos, pažymėtos aukštesnio laipsnio nei RESTREINT UE/ES RESTRICTED slaptumo žyma. Taisomieji veiksmai patikrinami kito vizito metu ir apie juos pranešama Saugumo komitetui.

61.

TGS saugumo tarnyba vykdo reguliarius TGS organizacinių vienetų patikrinimus 50 punkte nustatytais tikslais.

62.

TGS saugumo tarnyba parengia ir atnaujina dalykų, tikrintinų vykdant įvertinimo vizitą, kontrolinį sąrašą. Šis kontrolinis sąrašas pateikiamas Saugumo komitetui.

63.

Kontroliniam sąrašui užpildyti būtina informacija gaunama visų pirma vizito metu iš tikrinamo subjekto saugumo valdymo tarnybų. Išsamiai užpildžius kontrolinį sąrašą, susitarus su tikrinamu subjektu, sąrašas įslaptinamas. Jis negali būti patikrinimo ataskaitos sudedamoji dalis.

1.

Šiame priede nustatytos 10 straipsnio įgyvendinimo nuostatos.

2.

Toliau išdėstytos ISU savybės ir sąvokos yra būtinos saugumui ir tinkamam RIS operacijų vykdymui užtikrinti:

3.

Toliau išdėstytos nuostatos yra RIS, kurioje tvarkoma ESĮI, saugumo užtikrinimo pagrindas. Išsamūs šių nuostatų įgyvendinimo reikalavimai nustatyti ISU saugumo politikoje ir saugumo gairėse.

4.

Saugumo rizikos valdymas yra neatsiejama RIS apibrėžties, kūrimo, veikimo ir priežiūros dalis. Rizikos valdymą (įvertinimą, traktavimą, pripažinimą ir informavimą) kaip kartotinį procesą kartu vykdo sistemos savininkų, projekto institucijų, vykdančiųjų institucijų ir saugumo patvirtinimo institucijų atstovai, taikydami pavirtintą, skaidrų ir visiškai suprantamą rizikos įvertinimo procesą. RIS ir jos turinio taikymo sritis aiškiai apibrėžiama rizikos valdymo proceso pradžioje.

5.

Kompetentingos institucijos peržiūri pavojus, kurie gali kilti RIS, ir nuolat vykdo naujausiais duomenimis grindžiamus ir tikslius pavojų įvertinimus, kurie atspindi esamą sistemos operacinę aplinką. Jos nuolat atnaujina savo žinias pažeidžiamumo klausimais ir reguliariai peržiūri pažeidžiamumo įvertinimą, neatsilikdamos nuo informacinių technologijų (IT) aplinkos pokyčių.

6.

Tvarkant saugumo riziką siekiama taikyti apsaugos priemonių rinkinį, kuris užtikrina tinkamą vartotojų reikalavimų, sąnaudų ir likutinės rizikos, susijusios su saugumu, pusiausvyrą.

7.

RIS akreditavimui taikomi konkretūs reikalavimai, reikalavimai dėl informacijos apimties ir išsamumo, kuriuos nustato atitinkama SAI, turi atitikti įvertintą riziką, atsižvelgiant į visus svarbius veiksnius, įskaitant ESĮI, kuri tvarkoma RIS, slaptumo žymos laipsnį. Akreditavimas apima atsakingos institucijos oficialų pareiškimą dėl likutinės rizikos ir likutinės rizikos pripažinimą.

8.

Saugumas turi būti užtikrintas viso RIS gyvavimo ciklo metu – nuo pradžios iki naudojimosi pabaigos.

9.

Kiekvienu gyvavimo ciklo etapu nustatomas kiekvieno RIS dalyvio ir jo sąveikos su kitais dalyviais vaidmuo saugumo požiūriu.

10.

RIS, įskaitant technines ir netechnines saugumo priemones, bandomos saugumo požiūriu akreditavimo proceso metu siekiant užtikrinti tinkamą saugumo užtikrinimo lygį ir patikrinti, ar jos teisingai įdiegtos, integruotos ir sukonfigūruotos.

11.

Saugumo įvertinimai, patikrinimai ir peržiūros atliekami reguliariai RIS veikimo ir techninės priežiūros metu bei susidarius išskirtinėms aplinkybėms.

12.

RIS saugumo dokumentų atnaujinimas viso jos gyvavimo ciklo metu vykdomas kaip neatsiejama pakeitimų atlikimo ir konfigūracijos tvarkymo proceso dalis.

13.

TGS ir valstybės narės bendradarbiauja rengdami geriausios praktikos pavyzdžius RIS tvarkomai ESĮI apsaugoti. Geriausios praktikos gairėse išdėstomos RIS skirtos techninės, fizinės, organizacinės ir procedūrinės saugumo priemonės, kurių veiksmingumas apsisaugant nuo konkrečių grėsmių ir pažeidžiamumo buvo įrodytas.

14.

RIS tvarkomos ESĮI apsauga grindžiama ir Sąjungoje, ir už jos ribų ISU srityje dirbančių subjektų įgyta patirtimi.

15.

Geriausios praktikos pavyzdžių platinimu ir jų įgyvendinimu prisidedama prie siekio užtikrinti lygiavertį įvairių TGS ir valstybių narių naudojamų RIS, kuriose tvarkoma ESĮI, saugumo užtikrinimo lygį.

16.

Siekiant sušvelninti pavojų RIS, įgyvendinama daug techninių ir netechninių saugumo priemonių, kurios grupuojamos kaip kelios gynybinės linijos. Jos apima:

a)   atgrasymą: saugumo priemones, skirtas įtikinti nerengti priešiškų planų pulti RIS;

b)   prevenciją: saugumo priemones, skirtas apsunkinti RIS puolimą arba jam sutrukdyti;

c)   aptikimą: saugumo priemones, skirtas aptikti RIS puolimo atvejį;

d)   atsparumą: saugumo priemones, skirtas apriboti puolimo poveikį iki mažiausio informacijos rinkinio ar RIS dalių grupės bei užkirsti kelią tolesnei žalai, ir

e)   atstatymą: saugumo priemones, skirtas RIS saugiai padėčiai atkurti.

Tokių saugumo priemonių griežtumo lygis nustatomas atsižvelgiant į rizikos įvertinimą.

17.

NSI ar kita kompetentinga institucija užtikrina, kad:

18.

Įdiegiamos tik atsižvelgiant į operacinius reikalavimus būtinos funkcijos, prietaisai ir paslaugos siekiant išvengti bereikalingos rizikos.

19.

RIS naudotojams ir automatizuotiems procesams suteikiama tik tokia prieiga, privilegijos ar leidimai, kokios jiems reikia savo užduotims atlikti siekiant apriboti žalą, kuri padaroma dėl avarijų, klaidų ar RIS išteklių naudojimo be leidimo.

20.

RIS atliekamos registravimo procedūros prireikus patikrinamos akreditavimo proceso metu.

21.

Informuotumas apie riziką ir turimas saugumo priemones yra pirmoji RIS saugumo gynybos linija. Visų pirma visi personalo nariai, susiję su RIS gyvavimo ciklu, įskaitant naudotojus, suvokia:

22.

Siekiant užtikrinti, kad būtų suvokiama atsakomybė už saugumą visam dalyvaujančiam personalui, įskaitant aukštesniąją vadovybę ir RIS naudotojus, yra privalomi ISU švietimo ir informuotumo mokymai.

23.

Reikiamas saugumo priemonių patikimumo lygis, apibrėžiamas kaip saugumo užtikrinimo lygis, nustatomas remiantis rizikos valdymo proceso rezultatais ir laikantis atitinkamos saugumo politikos bei saugumo gairių.

24.

Saugumo užtikrinimo lygis patikrinamas naudojant tarptautiniu arba nacionaliniu lygiu patvirtintus procesus ir metodus. Tai apima pirminį įvertinimą, kontrolę ir auditą.

25.

ESĮI apsaugai skirtas šifravimo priemones įvertina ir patvirtina valstybės narės nacionalinė KPI.

26.

Prieš rekomenduojant, kad pagal 10 straipsnio 6 dalį jas pavirtintų Taryba arba Generalinis sekretorius, tokias šifravimo priemones turi būti įvertinusi antra šalis, t. y. valstybės narės Tinkamos kvalifikacijos institucija (TKI), kuri nesusijusi su įrangos projektavimu arba gamyba. Reikalaujamas antros šalies įvertinimo išsamumo lygis priklauso nuo numatomo didžiausio ESĮI, kuri bus apsaugoma šiomis priemonėmis, slaptumo žymos laipsnio. Taryba patvirtina šifravimo priemonių vertinimo ir patvirtinimo saugumo politiką.

27.

Atitinkamai Taryba arba Generalinis sekretorius, remdamiesi Saugumo komiteto rekomendacija, gali netaikyti šio priedo 25 arba 26 punkte nustatytų reikalavimų ir tam tikram laikotarpiui suteikti laikiną patvirtinimą laikydamiesi 10 straipsnio 6 dalyje nustatytos tvarkos, kai tai pateisinama dėl konkrečių su veikla susijusių priežasčių.

28.

Taryba, remdamasi Saugumo komiteto rekomendacija, gali pritarti trečiosios valstybės arba tarptautinės organizacijos šifravimo priemonių vertinimo, atrankos ir patvirtinimo procesui ir atitinkamai tokias šifravimo priemones laikyti patvirtintomis, siekiant apsaugoti ESĮI, suteikiamą tai trečiajai valstybei arba tarptautinei organizacijai.

29.

TKI yra valstybės narės KPI, kuri buvo akredituota remiantis Tarybos nustatytais kriterijais antram ESĮI apsaugai skirtų šifravimo priemonių įvertinimui atlikti.

30.

Taryba patvirtina ne šifravimo IT saugumo priemonių reikalavimų atitikimo ir patvirtinimo saugumo politiką.

31.

Nepaisant šio sprendimo nuostatų, kai ESĮI perdavimas vykdomas saugumo zonose arba administracinėse zonose, remiantis rizikos valdymo proceso rezultatais ir SAI pritarus gali būti naudojamas nešifruotas perdavimas arba šifravimas žemesniu lygiu.

32.

Šiame sprendime sistemų tarpusavio sujungimas reiškia tiesioginį dviejų ar daugiau IT sistemų sujungimą siekiant dalytis duomenimis ir kitais informacijos šaltiniais (pavyzdžiui, ryšiais) vienakrypčiu arba daugiakrypčiu būdu.

33.

RIS kiekviena tarpusavyje sujungta IT sistema pirmiausia yra traktuojama kaip nepatikima ir sistemoje įdiegiamos apsaugos priemonės keitimuisi įslaptinta informacija kontroliuoti.

34.

Bet kokio RIS ir kitos IT sistemos tarpusavio sujungimo atveju laikomasi toliau išdėstytų pagrindinių reikalavimų:

35.

Akredituota RIS ir neapsaugotas arba viešas tinklas negali būti tarpusavyje sujungiami, išskyrus atvejus, kai tarp RIS ir neapsaugoto arba viešo tinklo yra šiuo tikslu įdiegtos patvirtintos ribų apsaugos priemonės. Tokiems tarpusavio sujungimams taikytinas saugumo priemones peržiūri kompetentinga ISUI ir patvirtina kompetentinga SAI.

Kai duomenys, perduodami neapsaugotu arba viešu tinklu, yra užšifruojami pagal 10 straipsnį patvirtinta šifravimo priemone, toks sujungimas nelaikomas tarpusavio sujungimu.

36.

Draudžiamas tiesioginis arba pakopinis RIS, akredituotos tvarkyti slaptumo žyma TRES SECFRET UE/ES TOP SECRET pažymėtą informaciją, ir neapsaugoto arba viešo tinklo tarpusavio sujungimas.

37.

Kompiuterinių duomenų saugojimo laikmenos sunaikinamos laikantis kompetentingos saugumo institucijos patvirtintų procedūrų.

38.

Kompiuterinių duomenų saugojimo laikmenos gali būti naudojamos pakartotinai, gali būti sumažintas jų slaptumo žymos laipsnis arba jos gali būti išslaptinamos laikantis saugumo gairių, kurios turi būti nustatytos pagal 6 straipsnio 2 dalį.

39.

Nepaisant šio sprendimo nuostatų, toliau apibūdintos specialios procedūros gali būti taikomos esant nepaprastajai padėčiai, pavyzdžiui, gresiant ar esant krizei, konfliktui ar karinei padėčiai arba susidarius išskirtinėms su eksploatavimu susijusioms sąlygoms.

40.

ESĮI gali būti perduodama naudojant šifravimo priemones, kurios buvo patvirtintos žemesnio įslaptinimo laipsnio informacijai, arba nešifruota kompetentingai institucijai pritarus, jei vėlavimas padarytų aiškiai didesnę žalą, negu įslaptintos medžiagos atskleidimas, ir jei:

41.

39 punkte išdėstytomis aplinkybėmis perduodama įslaptinta informacija nėra pažymėta jokiomis žymomis arba nuorodomis, kurios sudarytų sąlygas ją atskirti nuo neįslaptintos informacijos arba kurią galima apsaugoti naudojant turimas šifravimo priemones. Gavėjams kitomis priemonėmis nedelsiant pranešama apie informacijos slaptumo laipsnį.

42.

Jeigu taikomas 39 punktas, kompetentingai institucijai ir Saugumo komitetui vėliau pateikiama ataskaita.

43.

Valstybėse narėse ir TGS nustatomos toliau išdėstytos su informacijos saugumo užtikrinimu susijusios funkcijos. Šioms funkcijoms nereikalingas vienas bendras organizacinis subjektas. Joms suteikiami atskiri įgaliojimai. Tačiau šios funkcijos ir su jomis susijusi atsakomybė gali būti sujungtos arba integruotos viename organizaciniame vienete arba padalytos skirtingiems organizaciniams vienetams, jei išvengiama vidaus interesų arba užduočių konfliktų.

44.

ISUI atsako už šias sritis:

45.

TEI užtikrina, kad RIS atitiktų TEMPEST politiką ir gaires. Ji patvirtina TEMPEST kontrpriemones, skirtas įrenginiams ir priemonėms, siekiant apsaugoti ESĮI iki nustatyto slaptumo žymos laipsnio operacinėje aplinkoje.

46.

Kriptografijos patvirtinimo institucijos (KPI) pareiga – užtikrinti, kad šifravimo priemonės atitiktų nacionalinę šifravimo politiką arba Tarybos šifravimo politiką. Ji suteikia leidimą naudoti šifravimo priemonę siekiant apsaugoti ESĮI iki nustatyto slaptumo žymos laipsnio operacinėje aplinkoje. Valstybėse narėse KPI papildomai atsako už šifravimo priemonių įvertinimą.

47.

Kriptografijos platinimo institucija atsako už šias sritis:

48.

Kiekvienai sistemai skirta SAI atsako už šias sritis:

49.

TGS SAI atsako už visų TGS kompetencijai priklausančių RIS akreditavimą.

50.

Atitinkama valstybės narės SAI atsako už tos valstybės narės kompetencijai priklausančių RIS ir jų sisteminių komponentų akreditavimą.

51.

Jungtinė saugumo akreditacijos valdyba (SAV) yra atsakinga tiek už TGS SAI žinioje, tiek už valstybių narių SAI žinioje esančių RIS akreditavimą. Ją sudaro po vieną kiekvienos valstybės narės SAI atstovą, o jos posėdžiuose dalyvauja Europos Komisijos atstovas SAI klausimais. Kiti subjektai, turintys prijungimo prie RIS mazgus, kviečiami dalyvauti posėdžiuose, kai svarstomi su ta sistema susiję klausimai.

SAV pirmininkauja TGS SAI atstovas. Ji sprendimus priima institucijų, valstybių narių ir kitų subjektų, turinčių prijungimo prie RIS mazgus, SAI atstovų sutarimu. SAV reguliariai teikia savo veiklos ataskaitas Saugumo komitetui ir jam praneša apie visus pareiškimus dėl akreditavimo.

52.

Kiekvienai sistemai skirta ISU operacinė institucija atsako už šias sritis:

1.

Šiame priede nustatytos 11 straipsnio įgyvendinimo nuostatos. Jame išdėstytos bendros saugumo nuostatos, taikomos pramonės ar kitiems subjektams derybų dėl sutarčių sudarymo metu arba visą TGS sudarytų įslaptintų sutarčių gyvavimo ciklą.

2.

Taryba patvirtina pramoninio saugumo gaires, kuriose visų pirma apibrėžiami išsamūs reikalavimai susiję su ĮPPP, saugumo aspektų paaiškinimais (SAP), vizitais, ESĮI perdavimu ir gabenimu.

3.

Prieš paskelbdamas kvietimą teikti pasiūlymus įslaptintai sutarčiai sudaryti arba prieš sudarydamas įslaptintą sutartį, TGS, kaip perkančioji institucija, nustato visos informacijos, kuri turi būti suteikta konkurso dalyviams ir rangovams, slaptumo žymą, taip pat visos informacijos, kurią turi parengti rangovas, slaptumo žymą. Šiuo tikslu TGS parengia SŽV, kuris turi būti naudojamas vykdant sutartį.

4.

Siekiant nustatyti skirtingų įslaptintos sutarties dalių slaptumo žymą, taikomi toliau nurodyti principai:

5.

Konkrečioms sutartims skirti saugumo reikalavimai aprašomi SAP. Prireikus į SAP įtraukiamas SŽV; SAP yra neatsiejama įslaptintos sutarties ar subrangos sutarties dalis.

6.

SAP nustatomos nuostatos, pagal kurias reikalaujama, kad rangovas ir (arba) subrangovas laikytųsi būtiniausių šiame sprendime nustatytų standartų. Šių būtiniausių standartų nesilaikymas gali būti pakankamas pagrindas sutarčiai nutraukti.

7.

Atsižvelgiant į programų ar projektų, kuriuos vykdant reikia susipažinti su ESĮI arba ją tvarkyti ar saugoti, apimtį, programą ar projektą valdyti paskirta perkančioji institucija gali parengti konkrečios PRSI. PRSI turi patvirtinti valstybių narių NSI/PSI ar kita PRSI dalyvaujanti kompetentinga saugumo institucija; jose gali būti nustatyti papildomi saugumo reikalavimai.

8.

ĮPPP išduoda valstybės narės NSI arba PSI ar kita kompetentinga saugumo institucija ir jame pagal nacionalinius įstatymus ir kitus teisės aktus nurodoma, kad pramonės arba kitas subjektas savo patalpose gali apsaugoti atitinkamo slaptumo žymos (CONFIDENTIEL UE/ES CONFIDENTIAL arba SECRET UE/ES SECRET) laipsnio ESĮI. Prieš rangovui ar subrangovui arba potencialiam rangovui ar subrangovui suteikiant ESĮI arba galimybę susipažinti su ESĮI, TGS, kaip perkančiajai institucijai, turi būti pateikiamas ĮPPP.

9.

Išduodama ĮPPP atitinkama NSI ar PSI, mažų mažiausiai:

10.

Atitinkamais atvejais TGS, kaip perkančioji institucija, praneša atitinkamai NSI/PSI ar kitai kompetentingai saugumo institucijai, kad prieš sudarant sutartį arba sutarties vykdymui reikalingas ĮPPP. ĮPPP arba APP reikalaujama prieš sudarant sutartį, tais atvejais, kai ESĮI, pažymėta CONFIDENTIEL UE/ES CONFIDENTIAL arba SECRET UE/ES SECRET slaptumo žyma, turi būti suteikta paraiškų teikimo proceso metu.

11.

Perkančioji institucija nesudaro įslaptintos sutarties su pasirinktu dalyviu prieš tai negavusi valstybės narės, kurioje yra registruotas atitinkamas rangovas ar subrangovas, NSI/PSI ar kitos kompetentingos saugumo institucijos patvirtinimo, kad reikiamais atvejais yra išduotas tinkamas ĮPPP.

12.

ĮPPP išdavusi NSI/PSI ar kita kompetentinga saugumo institucija praneša TGS, kaip perkančiajai institucijai, apie pasikeitimus, turinčius įtakos ĮPPP. Subrangos sutarties atveju atitinkamai informuojama NSI/PSI ar kita kompetentinga saugumo institucija.

13.

Jeigu atitinkama NSI/PSI ar kita kompetentinga saugumo institucija panaikina ĮPPP, tai yra pakankamas pagrindas TGS, kaip perkančiajai institucijai, nutraukti įslaptintą sutartį arba pašalinti dalyvį iš konkurso.

14.

Tais atvejais, kai ESĮI suteikiama dalyviui prieš sudarant sutartį, kvietime teikti paraiškas numatoma nuostata, kuria paraiškos nepateikęs dalyvis arba dalyvis, kuris nebuvo atrinktas, įpareigojamas per nurodytą laiką grąžinti visus įslaptintus dokumentus.

15.

Sudarius įslaptintą sutartį ar subrangos sutartį, TGS, kaip perkančioji institucija, praneša rangovo ar subrangovo NSI/PSI ar kitai kompetentingai saugumo institucijai tos įslaptintos sutarties saugumo nuostatas.

16.

Nutraukus tokią sutartį, TGS, kaip perkančioji institucija (ir (arba) atitinkamai NSI/PSI ar kita kompetentinga saugumo institucija subrangos sutarties atveju) skubiai apie tai praneša valstybės narės, kurioje registruotas rangovas arba subrangovas, NSI/PSI ar kitai kompetentingai saugumo institucijai.

17.

Paprastai reikalaujama, kad nutraukus įslaptintą sutartį ar subrangos sutartį rangovas arba subrangovas perkančiajai institucijai grąžintų visą turimą ESĮI.

18.

Konkrečios nuostatos dėl ESĮI sunaikinimo vykdant sutartį arba ją nutraukus nustatomos SAP.

19.

Tais atvejais, kai rangovui arba subrangovui duotas leidimas nutraukus sutartį pasilikti ESĮI, rangovas ir subrangovas toliau laikosi šiame sprendime nustatytų būtiniausių standartų bei užtikrina ESĮI konfidencialumą.

20.

Sąlygos, kuriomis rangovas gali sudaryti subrangos sutartis, nurodomos kvietime teikti paraiškas ir sutartyje.

21.

Prieš sudarydamas subrangos sutartis dėl įslaptintos sutarties dalių, rangovas turi gauti TGS, kaip perkančiosios institucijos, leidimą. Su pramonės arba kitais subjektais, registruotais valstybėje, kuri nėra ES valstybė narė ir nėra sudariusi susitarimo dėl informacijos saugumo su Sąjunga, subrangos sutartys negali būti sudaromos.

22.

Rangovas atsako už tai, kad visa subrangos veikla būtų vykdoma laikantis šiame sprendime nustatytų būtiniausių standartų, ir negali suteikti subrangovui ESĮI be išankstinio rašytinio perkančiosios institucijos sutikimo.

23.

ESĮI, kurią parengė ar tvarko rangovas arba subrangovas, atžvilgiu įslaptintos informacijos rengėjo teisėmis naudojasi perkančioji institucija.

24.

Jei, vykdant įslaptintą sutartį, TGS, rangovų ar subrangovų personalui vienas kito patalpose reikia susipažinti su CONFIDENTIEL UE/ES CONFIDENTIAL arba SECRET UE/ES SECRET slaptumo žyma pažymėta informacija, dėl vizitų susitariama palaikant ryšius su NSI/PSI arba kita susijusia kompetentinga saugumo institucija. Tačiau atsižvelgiant į tam tikrus projektus NSI/PSI gali taip pat susitarti dėl tvarkos, pagal kurią dėl tokių vizitų gali būti susitariama tiesiogiai.

25.

Tam, kad būtų leista susipažinti su ESĮI, susijusia su TGS sutartimi, visi lankytojai turi turėti atitinkamą APP ir turi būti vadovaujamasi principu „būtina žinoti“.

26.

Lankytojams leidžiama susipažinti tik su ta ESĮI, kuri yra susijusi su vizito tikslu.

27.

Perduodant ESĮI elektroninėmis priemonėmis taikomos atitinkamos 10 straipsnio ir IV priedo nuostatos.

28.

Gabenant ESĮI taikomos atitinkamos III priedo nuostatos, laikantis nacionalinių įstatymų ir kitų teisės aktų.

29.

Nustatant įslaptintos medžiagos kaip krovinio gabenimui taikomą saugumo tvarką taikomi toliau nurodyti principai:

30.

ESĮI trečiosiose valstybėse įsikūrusiems rangovams ir subrangovams perduodama laikantis saugumo priemonių, dėl kurių susitarė TGS, kaip perkančioji institucija, ir atitinkamos trečiosios valstybės, kurioje registruotas rangovas, NSI/PSI.

31.

Palaikydamas ryšius su valstybės narės NSI/PSI TGS, kaip perkančioji institucija, prireikus turi teisę remiantis sutarties nuostatomis rengti rangovo/subrangovo patalpų patikrinimus, kad įsitikintų, ar įgyvendintos pagal sutartį reikalaujamos tinkamos saugumo priemonės, skirtos apsaugoti RESTREINT UE/ES RESTRICTED laipsnio slaptumo žyma pažymėtą ESĮI.

32.

Kiek būtina pagal nacionalinius įstatymus ir kitus teisės aktus, NSI/PSI ar kitoms kompetentingoms saugumo institucijoms TGS, kaip perkančioji institucija, praneša apie sutartis arba subrangos sutartis, kuriose yra RESTREINT UE/ES RESTRICTED slaptumo žyma pažymėtos informacijos.

33.

TGS sudarytų sutarčių, kuriose yra RESTREINT UE/ES RESTRICTED slaptumo žyma pažymėtos informacijos, atveju rangovai ar subrangovai ir jų personalas neprivalo turėti ĮPPP ar APP.

34.

TGS, kaip perkančioji institucija, išnagrinėja atsakymus į kvietimus dalyvauti konkurse dėl sutarčių, pagal kurias turi būti suteikta galimybė susipažinti su RESTREINT UE/ES RESTRICTED slaptumo žyma pažymėta informacija, neatsižvelgdama į reikalavimus, susijusius su ĮPPP ar APP, kurie gali būti numatyti nacionaliniuose įstatymuose ir kituose teisės aktuose.

35.

Sąlygos, kuriomis rangovas gali sudaryti subrangos sutartis, turi atitikti 21 punkto reikalavimus.

36.

Kai pagal sutartį numatytas informacijos, pažymėtos RESTREINT UE/ES RESTRICTED slaptumo žyma, tvarkymas rangovo naudojamoje RIS, TGS, kaip perkančioji institucija, užtikrina, kad sutartyje arba subrangos sutartyje būtų nustatyti su RIS akreditavimu susiję būtini techniniai ir administraciniai reikalavimai, kurie atitiktų įvertintą riziką, atsižvelgiant į visus svarbius veiksnius. Perkančioji institucija ir atitinkama NSI/PSI susitaria dėl tokio RIS akreditavimo masto.

1.

Šiame priede nustatytos 13 straipsnio įgyvendinimo nuostatos.

2.

Tarybai nustačius, kad yra ilgalaikis poreikis keistis įslaptinta informacija, sudaromas

vadovaujantis 13 straipsnio 2 dalimi ir III bei IV skirsniais bei remiantis Saugumo komiteto rekomendacija.

3.

Tais atvejais, kai BSGP operacijos vykdymui surinkta ESĮI gali būti suteikiama tokioje operacijoje dalyvaujančioms trečiosioms valstybėms ar tarptautinėms organizacijoms, ir jeigu nėra nustatyta 2 punkte nurodyta tvarka, keitimasis ESĮI su dalyvaujančiąja trečiąja valstybe arba tarptautine organizacija vadovaujantis V skirsniu reglamentuojamas:

4.

Jeigu nėra nustatyta 2 ir 3 dalyse nurodyta tvarka ir jeigu priimamas sprendimas vadovaujantis VI skirsniu suteikti ESĮI trečiajai valstybei ar tarptautinei organizacijai išimtine ad hoc tvarka, iš atitinkamos trečiosios valstybės ar tarptautinės organizacijos turi būti gautas raštiškas patvirtinimas, kad ji saugos bet kokią jai suteiktą ESĮI laikydamasi šiame sprendime nustatytų pagrindinių principų ir būtiniausių standartų.

5.

Susitarimais dėl informacijos saugumo nustatomi pagrindiniai principai ir būtiniausi standartai, reglamentuojantys Sąjungos ir trečiosios valstybės ar tarptautinės organizacijos keitimąsi įslaptinta informacija.

6.

Susitarimuose dėl informacijos saugumo numatomi techniniai įgyvendinimo susitarimai, dėl kurių turi susitarti atitinkamų Sąjungos institucijų bei įstaigų kompetentingos saugumo tarnybos ir kompetentinga atitinkamos trečiosios valstybės ar tarptautinės organizacijos saugumo institucija. Tokiuose susitarimuose atsižvelgiama į atitinkamoje trečiojoje valstybėje ar tarptautinėje organizacijoje galiojančiais saugumo nuostatais ir esamomis struktūromis bei procedūromis užtikrinamą apsaugos lygį. Šiuos susitarimus patvirtina Saugumo komitetas.

7.

Keistis ESĮI elektroninėmis priemonėmis pagal susitarimą dėl informacijos saugumo neleidžiama, jei tai nėra aiškiai numatyta susitarime arba atitinkamuose techniniuose įgyvendinimo susitarimuose.

8.

Kai Taryba sudaro susitarimą dėl informacijos saugumo, kiekvienoje šalyje paskiriama po vieną registratūrą, kuri yra pagrindinis įslaptintos informacijos gavimo ir išsiuntimo punktas.

9.

Siekiant įvertinti atitinkamos trečiosios valstybės ar tarptautinės organizacijos saugumo nuostatus, struktūras ir procedūras, abipusiu susitarimu su atitinkama trečiąja valstybe ar tarptautine organizacija rengiami įvertinimo vizitai. Tokie įvertinimo vizitai rengiami laikantis atitinkamų III priedo nuostatų ir jų metu įvertinama:

10.

Sąjungos vardu įvertinimo vizitą atliekanti grupė įvertina, ar atitinkamoje trečiojoje valstybėje arba tarptautinėje organizacijoje saugumo nuostatai ir procedūros yra tinkami, kad būtų apsaugota atitinkamo slaptumo žymos laipsnio ESĮI.

11.

Šių vizitų rezultatai pateikiami ataskaitoje, kuria remdamasis Saugumo komitetas nustato, koks gali būti aukščiausias ESĮI, kuria gali būti keičiamasi su atitinkama trečiąja šalimi popieriuje ir prireikus elektroninėmis priemonėmis, slaptumo žymos laipsnis, bei konkrečias sąlygas, reglamentuojančias keitimąsi šia informacija su ta šalimi.

12.

Būtina dėti visas pastangas, kad būtų surengtas vizitas į atitinkamą trečiąją valstybę arba tarptautinę organizaciją saugumui visapusiškai įvertinti prieš tai, kai Saugumo komitetas patvirtina įgyvendinamuosius susitarimus, siekiant nustatyti taikomos saugumo sistemos pobūdį ir veiksmingumą. Tačiau jei tai nėra įmanoma, TGS saugumo tarnyba Saugumo komitetui pateikia kuo išsamesnę ataskaitą, pagrįstą turima informacija, informuodama Saugumo komitetą apie taikomus saugumo nuostatus ir saugumo organizavimo tvarką atitinkamoje trečiojoje valstybėje arba tarptautinėje organizacijoje.

13.

Atitinkamai trečiajai valstybei ar tarptautinei organizacijai ESĮI faktiškai suteikiama tik po to, kai Saugumui komitetui pateikiama įvertinimo vizito ataskaita arba, jeigu tokios ataskaitos nėra, 12 punkte nurodyta ataskaita ir jis šią ataskaitą teigiamai įvertina.

14.

Sąjungos institucijų ir įstaigų kompetentingos saugumo tarnybos trečiajai valstybei ar tarptautinei organizacijai praneša datą, nuo kurios Sąjunga pagal susitarimą gali suteikti ESĮI, taip pat nurodyti, kokio didžiausio slaptumo žymos laipsnio ESĮI gali būti keičiamasi popieriniu pavidalu arba elektroninėmis priemonėmis.

15.

Prireikus rengiami tolesni įvertinimo vizitai, visų pirma tuo atveju, jei:

16.

Kai susitarimas dėl informacijos saugumo įsigalioja ir keičiamasi įslaptinta informacija su atitinkama trečiąja valstybe ar tarptautine organizacija, Saugumo komitetas gali nuspręsti pakeisti ESĮI, kuria gali būti keičiamasi popieriniu pavidalu ar elektroninėmis priemonėmis, aukščiausią slaptumo žymos laipsnį, visų pirma atsižvelgdamas į tolesnių įvertinimo vizitų rezultatus.

17.

Esant ilgalaikiam poreikiui su trečiąja valstybe ar tarptautine organizacija keistis įslaptinta informacija, kurios slaptumo žymos laipsnis paprastai nėra aukštesnis nei RESTREINT UE/ES RESTRICTED, ir Saugumo komitetui nustačius, kad atitinkama šalis neturi pakankamai išplėtotos tokiai informacijai skirtos saugumo sistemos, kad ta šalis galėtų sudaryti susitarimą dėl informacijos saugumo, Generalinis sekretorius gali, pritarus Tarybai, TGS vardu sudaryti administracinį susitarimą su atitinkamos trečiosios valstybės ar tarptautinės organizacijos atitinkamomis institucijomis.

18.

Tais atvejais, kai dėl skubių operatyvinių priežasčių reikia greitai nustatyti keitimosi įslaptinta informacija tvarką, tik Taryba gali nuspręsti, kad būtų sudarytas administracinis susitarimas siekiant keistis aukštesnio slaptumo žymos laipsnio informacija.

19.

Administraciniai susitarimai paprastai sudaromi pasikeičiant laiškais.

20.

Atitinkamai trečiajai valstybei ar tarptautinei organizacijai ESĮI suteikiama tik po to, kai atliekamas 9 punkte nurodytas įvertinimo vizitas, Saugumo komitetui pateikiama jo ataskaita arba, jeigu tokios ataskaitos nėra, 12 punkte nurodyta ataskaita, ir jis šią ataskaitą teigiamai įvertina.

21.

Keistis ESĮI elektroninėmis priemonėmis pagal administracinį susitarimą neleidžiama, jei tai nėra aiškiai numatyta susitarime.

22.

Trečiųjų valstybių ar tarptautinių organizacijų dalyvavimą BSGP operacijose reglamentuoja susitarimai dėl dalyvavimo bendrųjų sąlygų. Tokiuose susitarimuose nustatomos nuostatos dėl BSGP operacijų vykdymui surinktos ESĮI suteikimo jose dalyvaujančiosioms trečiosioms valstybėms ar tarptautinėms organizacijoms. Aukščiausias ESĮI, kuria gali būti keičiamasi, slaptumo žymos laipsnis yra RESTREINT UE/ES RESTRICTED BSGP civilinėms operacijoms ir CONFIDENTIEL UE/ES CONFIDENTIAL BSGP karinėms operacijoms, išskyrus atvejus, kai nustatyta kitaip sprendime, kuriuo įsteigiama kiekviena BSGP operacija.

23.

Ad hoc susitarimuose dėl dalyvavimo, sudarytuose dėl konkrečios BSGP operacijos, nustatomos nuostatos dėl tos operacijos vykdymui surinktos ESĮI suteikimo joje dalyvaujančiajai trečiajai valstybei ar tarptautinei organizacijai. Aukščiausias ESĮI, kuria gali būti keičiamasi, slaptumo žymos laipsnis yra RESTREINT UE/ES RESTRICTED BSGP civilinėms operacijoms ir CONFIDENTIEL UE/ES CONFIDENTIAL BSGP karinėms operacijoms, išskyrus atvejus, kai nustatyta kitaip sprendime, kuriuo įsteigiama kiekviena BSGP operacija.

24.

Jeigu nėra susitarimo dėl informacijos saugumo, kol nesudarytas susitarimas dėl dalyvavimo, operacijos tikslais parengtos ESĮI suteikimas operacijoje dalyvaujančiai trečiajai valstybei arba tarptautinei organizacijai reglamentuojamas vyriausiojo įgaliotinio sudarytu administraciniu susitarimu arba jam taikomas sprendimas dėl informacijos suteikimo ad hoc tvarka pagal VI skirsnį. Pagal tokį susitarimą ESĮI keičiamasi tik tol, kol vis dar planuojamas trečiosios valstybės arba tarptautinės organizacijos dalyvavimas. Aukščiausias ESĮI, kuria gali būti keičiamasi, slaptumo žymos laipsnis yra RESTREINT UE/ES RESTRICTED BSGP civilinėms operacijoms ir CONFIDENTIEL UE/ES CONFIDENTIAL BSGP karinėms operacijoms, išskyrus atvejus, kai nustatyta kitaip sprendime, kuriuo įsteigiama kiekviena BSGP operacija.

25.

Nuostatose dėl įslaptintos informacijos, kurios turi būti įtrauktos į susitarimus dėl dalyvavimo bendrųjų sąlygų ir į 22–24 punktuose nurodytus ad hoc administracinius susitarimus, nustatoma, kad atitinkama trečioji valstybė ar tarptautinė organizacija užtikrina, kad jos personalas, komandiruotas į bet kokią operaciją, saugos ESĮI pagal Tarybos saugumo taisykles ir vadovaudamasis tolesniais kompetentingų institucijų, įskaitant operacijos vadovavimo grandinės pareigūnus, pateiktais nurodymais.

26.

Jeigu vėliau sudaromas Sąjungos ir dalyvaujančiosios trečiosios valstybės ar tarptautinės organizacijos susitarimas dėl informacijos saugumo, šio susitarimo dėl informacijos saugumo nuostatos yra viršesnės už bet kokiuose susitarimuose dėl dalyvavimo bendrųjų sąlygų, ad hoc susitarimuose dėl dalyvavimo arba ad hoc administraciniuose susitarimuose išdėstytas nuostatas dėl keitimosi įslaptinta informacija, kiek tai susiję su keitimusi ESĮI ir jos apdorojimu.

27.

Keistis ESĮI elektroninėmis priemonėmis pagal susitarimą dėl dalyvavimo bendrųjų sąlygų, ad hoc susitarimą dėl dalyvavimo ar ad hoc administracinį susitarimą su trečiąja valstybe ar tarptautine organizacija neleidžiama, jei tai nėra aiškiai numatyta atitinkamame susitarime arba administraciniame susitarime.

28.

BSGP operacijos vykdymui surinkta ESĮI gali būti suteikiama trečiųjų valstybių ar tarptautinių organizacijų į tą operaciją komandiruotam personalui, vadovaujantis 22–27 punktų nuostatomis. Kai tokiam personalui leidžiama susipažinti su ESĮI BSGP operacijos patalpose ar RIS, turi būti imamasi priemonių (įskaitant suteiktos ESĮI registravimą), kad būtų sumažinta rizika, jog informacija bus prarasta ar atskleista. Tokios priemonės nurodomos atitinkamuose planavimo ar misijos dokumentuose.

29.

Jeigu nėra susitarimo dėl informacijos saugumo, ESĮI suteikimas priimančiajai valstybei, kurios teritorijoje vykdoma BSGP operacija, konkretaus ir neatidėliotino operatyvinio poreikio atveju gali būti reglamentuojamas vyriausiojo įgaliotinio sudarytu administraciniu susitarimu. Ši galimybė numatoma sprendime, kuriuo įsteigiama BSGP operacija. Tokiomis aplinkybėmis suteikiama tik ta ESĮI, kuri buvo surinkta BSGP operacijai vykdyti ir kurios slaptumo žymos laipsnis nėra aukštesnis nei RESTREINT UE/ES RESTRICTED, nebent Sprendime dėl BSGP operacijos įsteigimo yra nurodytas aukštesnis slaptumo žymos laipsnis. Pagal tokį administracinį susitarimą priimančioji valstybė privalo įsipareigoti saugoti ESĮI laikydamasi būtiniausių standartų, kurie turi būti ne mažiau griežti nei nustatytieji šiame sprendime.

30.

Jeigu nėra susitarimo dėl informacijos saugumo, ESĮI suteikimas atitinkamoms trečiosioms valstybėms ir tarptautinėms organizacijoms, išskyrus dalyvaujančias BSGP operacijoje, gali būti reglamentuojamas vyriausiojo įgaliotinio sudarytu administraciniu susitarimu. Atitinkamais atvejais ši galimybė ir jai taikomos sąlygos numatomos sprendime, kuriuo įsteigiama BSGP operacija. Tokiomis aplinkybėmis suteikiama tik ta ESĮI, kuri buvo surinkta BSGP operacijai vykdyti ir kurios slaptumo žymos laipsnis nėra aukštesnis nei RESTREINT UE/ES RESTRICTED, nebent Sprendime dėl BSGP operacijos įsteigimo yra nurodytas aukštesnis slaptumo žymos laipsnis. Pagal tokį administracinį susitarimą atitinkama trečioji valstybė arba tarptautinė organizacija privalo įsipareigoti saugoti ESĮI laikydamasi būtiniausių standartų, kurie turi būti ne mažiau griežti nei nustatytieji šiame sprendime.

31.

Prieš įgyvendinant nuostatas dėl ESĮI suteikimo pagal 22, 23 ir 24 punktus, nėra būtina sudaryti įgyvendinimo susitarimus ar rengti įvertinimo vizitus.

32.

Jei nėra nustatyta galiojančios tvarkos pagal III–V skirsnius ir Tarybai ar vienam iš jos parengiamųjų organų nusprendus, kad išimtiniu atveju reikia suteikti ESĮI trečiajai valstybei ar tarptautinei organizacijai, TGS:

33.

Jeigu Saugumo komitetas pateikia rekomendaciją, kuria pritaria ESĮI suteikimui, klausimas perduodamas Nuolatinių atstovų komitetui (COREPER), kuris priima sprendimą dėl šios ESĮI suteikimo.

34.

Jeigu Saugumo komiteto rekomendacijoje nepritariama ESĮI suteikimui:

35.

Jei manoma, kad tikslinga, ir iš anksto gavus rašytinį įslaptintos informacijos rengėjo sutikimą, Nuolatinių atstovų komitetas gali nuspręsti, kad įslaptinta informacija gali būti suteikta tik iš dalies ir tik tuo atveju, jei prieš tai jos slaptumo žymos laipsnis sumažinamas arba ji išslaptinama, arba kad informacija, kurią suteikti numatyta, turi būti parengta nenurodant šaltinio ar pirminio ES slaptumo žymos laipsnio.

36.

Priėmus sprendimą suteikti ESĮI, TGS perduoda atitinkamą dokumentą, pažymėtą leidimo suteikti informaciją žyma, nurodant trečiąją valstybę ar tarptautinę organizaciją, kuriai ji buvo suteikta. Prieš suteikiant tokią informaciją arba faktinio jos suteikimo metu atitinkama trečioji šalis raštu įsipareigoja apsaugoti ESĮI, kurią ji gauna, pagal šiame sprendime nustatytus pagrindinius principus ir būtiniausius standartus.

37.

Kai yra nustatyta 2 punkte nurodyta tvarka, reglamentuojanti keitimąsi įslaptinta informacija su trečiąja valstybe ar tarptautine organizacija, Taryba priima sprendimą suteikti leidimą Generaliniam sekretoriui suteikti ESĮI atitinkamai trečiajai valstybei ar tarptautinei organizacijai, laikantis principo, kad su tuo turi sutikti įslaptintos informacijos rengėjas. Generalinis sekretorius gali perduoti šią teisę vyresniesiems TGS pareigūnams.

38.

Jei yra sudarytas 2 punkto pirmoje įtraukoje nurodytas susitarimas dėl informacijos saugumo, Taryba gali priimti sprendimą suteikti leidimą vyriausiajam įgaliotiniui Taryboje parengtą bendros saugumo ir gynybos politikos srities ESĮI, gavus joje esančios pradinės medžiagos rengėjo sutikimą, suteikti atitinkamai trečiajai valstybei arba tarptautinei organizacijai. Vyriausiasis įgaliotinis gali perduoti šį leidimą vyresniesiems EIVT pareigūnams arba ES specialiesiems įgaliotiniams.

39.

Kai yra nustatyta 2 arba 3 punkte nurodyta tvarka, reglamentuojanti keitimąsi įslaptinta informacija su trečiąja valstybe ar tarptautine organizacija, vyriausiajam įgaliotiniui suteikiamas leidimas suteikti ESĮI, vadovaujantis tuo sprendimu, kuriuo įsteigiama BSGP operacija, ir laikantis principo, kad su tuo turi sutikti įslaptintos informacijos rengėjas. Vyriausiasis įgaliotinis gali perduoti šį leidimą vyresniesiems EIVT pareigūnams, ES operacijų, pajėgų ar misijų vadams arba ES misijų vadovams.