Dokument je izvleček s spletišča EUR-Lex.
Dokument 02013D0488-20191230
Council Decision of 23 September 2013 on the security rules for protecting EU classified information (2013/488/EU)
Konsolidirano besedilo: Sklep Sveta z dne 23. septembra 2013 o varnostnih predpisih za varovanje tajnih podatkov EU (2013/488/EU)
Sklep Sveta z dne 23. septembra 2013 o varnostnih predpisih za varovanje tajnih podatkov EU (2013/488/EU)
02013D0488 — SL — 30.12.2019 — 002.001
To besedilo je zgolj informativne narave in nima pravnega učinka. Institucije Unije za njegovo vsebino ne prevzemajo nobene odgovornosti. Verodostojne različice zadevnih aktov, vključno z uvodnimi izjavami, so objavljene v Uradnem listu Evropske unije. Na voljo so na portalu EUR-Lex. Uradna besedila so neposredno dostopna prek povezav v tem dokumentu
SKLEP SVETA z dne 23. septembra 2013 o varnostnih predpisih za varovanje tajnih podatkov EU (UL L 274 15.10.2013, str. 1) |
spremenjen z:
|
|
Uradni list |
||
št. |
stran |
datum |
||
L 125 |
72 |
26.4.2014 |
||
L 336 |
291 |
30.12.2019 |
SKLEP SVETA
z dne 23. septembra 2013
o varnostnih predpisih za varovanje tajnih podatkov EU
(2013/488/EU)
Člen 1
Namen, področje uporabe in opredelitev pojmov
1. V tem sklepu so določena temeljna načela in minimalni standardi varovanja tajnih podatkov EU.
2. Ta temeljna načela in minimalni standardi veljajo za Svet in GSS, države članice pa jih morajo spoštovati v skladu z njihovimi nacionalnimi zakoni in predpisi, tako da je vsakemu lahko zajamčeno, da je zagotovljena enakovredna stopnja varovanja tajnih podatkov EU.
3. V tem sklepu se uporabljajo opredelitve pojmov iz Dodatka A.
Člen 2
Opredelitev tajnih podatkov EU, stopenj tajnosti in oznak
1. „Tajni podatek EU“ pomeni vsak podatek ali material z oznako stopnje tajnosti EU, katerega nepooblaščeno razkritje bi lahko v različni meri škodovalo interesom Evropske unije ali eni ali več državam članicam.
2. Tajni podatki EU imajo eno izmed naslednjih stopenj tajnosti:
TRÈS SECRET UE/EU TOP SECRET: podatki in material, katerih nepooblaščeno razkritje bi lahko imelo izjemno težke posledice za vitalne interese Evropske unije ali ene ali več držav članic;
SECRET UE/EU SECRET: podatki in material, katerih nepooblaščeno razkritje bi lahko resno škodovalo vitalnim interesom Evropske unije ali ene ali več držav članic;
CONFIDENTIEL UE/EU CONFIDENTIAL: podatki in material, katerih nepooblaščeno razkritje bi lahko škodovalo vitalnim interesom Evropske unije ali ene ali več držav članic;
RESTREINT UE/EU RESTRICTED: podatki in material, katerih nepooblaščeno razkritje bi lahko bilo škodljivo za interese Evropske unije ali ene ali več držav članic.
3. Tajni podatki EU so označeni s stopnjo tajnosti v skladu z odstavkom 2. Iz njihovih oznak je poleg tega lahko razvidno področje dejavnosti, na katero se nanašajo, organ izvora, omejitev pri razpošiljanju, omejitev uporabe ali možnosti posredovanja.
Člen 3
Sistem določanja stopenj tajnosti
1. Pristojni organi zagotovijo, da so za tajne podatke EU določene ustrezne stopnje tajnosti, da je jasno razvidno, da so podatki tajni, in da njihovo stopnjo tajnosti obdržijo le, dokler je to potrebno.
2. Brez predhodnega pisnega soglasja organa izvora se stopnja tajnosti tajnih podatkov EU ne zniža ali prekliče, niti se ne spremenijo ali odstranijo oznake iz člena 2(3).
3. Svet odobri varnostno politiko o nastajanju tajnih podatkov EU, ki vključuje praktični vodič po stopnjah tajnosti.
Člen 4
Varovanje tajnih podatkov
1. Tajni podatki EU se varujejo v skladu s tem sklepom.
2. Imetnik katerega koli elementa tajnega podatka EU je odgovoren za njegovo varovanje v skladu s tem sklepom.
3. Če države članice v strukture ali omrežja Unije vnesejo tajne podatke z oznako nacionalne stopnje tajnosti, Svet in GSS te podatke varujeta v skladu z zahtevami, ki se uporabljajo za tajne podatke EU enakovredne stopnje, kakor je določeno v preglednici enakovrednih stopenj tajnosti v Dodatku B.
4. Za zbirke tajnih podatkov EU je morda upravičena raven varovanja, ki ustreza višji stopnji tajnosti, kot je stopnja za njihove posamezne sestavne dele.
Člen 5
Obvladovanje varnostnega tveganja
1. Za obvladovanje tveganja, povezanega s tajnimi podatki EU, je predviden postopek. Cilj tega postopka je določiti znana varnostna tveganja, določiti varnostne ukrepe za zmanjšanje takih tveganj na sprejemljivo raven v skladu s temeljnimi načeli in minimalnimi standardi iz tega sklepa ter uporabljati te ukrepe ob upoštevanju koncepta globinske obrambe, kakor je opredeljena v Dodatku A. Učinkovitost takih ukrepov se nenehno ocenjuje.
2. Varnostni ukrepi za varovanje tajnih podatkov EU v njihovem življenjskem ciklu so sorazmerni zlasti z njihovo stopnjo tajnosti, obliko in obsegom podatkov ali materiala, krajem in strukturo objektov, kjer se hranijo tajni podatki EU, ter lokalno oceno nevarnosti zlonamernih in/ali kriminalnih dejavnosti, vključno z vohunstvom, sabotažo in terorizmom.
3. V načrtih za izredne razmere je upoštevana potreba po varovanju tajnih podatkov EU v izrednih razmerah, da se prepreči nepooblaščen dostop, razkritje ali izguba celovitosti podatkov ali razpoložljivost.
4. V načrte za zagotovitev neprekinjenega poslovanja so vključeni preventivni in obnovitveni ukrepi, tako da so posledice velikih napak ali incidentov pri delu s tajnimi podatki EU in njihovi hrambi čim manjše.
Člen 6
Izvajanje tega sklepa
1. Po potrebi Svet na priporočilo Varnostnega odbora odobri varnostne politike, ki določajo ukrepe za izvajanje tega sklepa.
2. Varnostni odbor se lahko na svoji ravni dogovori o varnostnih smernicah, ki bodo dopolnjevale ali podpirale ta sklep in katere koli varnostne politike, ki jih odobri Svet.
Člen 7
Varnost osebja
1. Osebna varnost je izvajanje ukrepov, s katerimi se zagotovi, da imajo dostop do tajnih podatkov EU samo posamezniki, ki:
2. Namen postopkov varnostnega preverjanja osebja je ugotoviti, ali je posameznika ob upoštevanju njegove lojalnosti, vrednosti zaupanja in zanesljivosti mogoče pooblastiti za dostop do tajnih podatkov EU.
3. Vsi posamezniki v GSS, ki morajo zaradi svojih dolžnosti imeti dostop do tajnih podatkov EU stopnje CONFIDENTIEL UE/EU CONFIDENTIAL ali višje, ali se od njih zahteva delo s temi podatki, so varnostno preverjeni na ustrezni stopnji, preden se jim odobri dostop do takih tajnih podatkov EU. Te posameznike mora organ za imenovanje pooblastiti za dostop do tajnih podatkov EU do določene stopnje in do določenega datuma.
4. Osebje držav članic iz člena 15(3), ki mora zaradi svojih dolžnosti morda imeti dostop do tajnih podatkov EU stopnje CONFIDENTIEL UE/EU CONFIDENTIAL ali višje, je varnostno preverjeno na ustrezni stopnji ali drugače pravilno pooblaščeno zaradi svoje funkcije v skladu z nacionalnimi zakoni in predpisi, preden se mu odobri dostop do takih tajnih podatkov EU.
5. Vse posameznike se pouči o njihovi odgovornosti za varovanje tajnih podatkov EU v skladu s tem sklepom ter to tudi potrdijo, preden se jim odobri dostop do tajnih podatkov EU ter nato v rednih presledkih.
6. Določbe za izvajanje tega člena so navedene v Prilogi I.
Člen 8
Fizična varnost
1. Fizična varnost je uporaba fizičnih in tehničnih zaščitnih ukrepov za preprečitev nepooblaščenega dostopa do tajnih podatkov EU.
2. Namen ukrepov fizične varnosti je preprečiti nedovoljen ali nasilen vstop vsiljivcem, odvrniti, ovirati in odkriti nedovoljena dejanja ter omogočiti ločevanje osebja pri dostopu do tajnih podatkov EU glede na potrebo po seznanitvi. Takšni ukrepi se določijo na osnovi postopka obvladovanja tveganja.
3. Fizična varnost se uvede v vseh prostorih, stavbah, pisarnah, sobah in drugih območjih, v katerih se dela s tajnimi podatki EU ali v katerih se jih shranjuje, vključno z območji, kjer so nameščeni komunikacijski in informacijski sistemi, kakor so opredeljeni v členu 10(2).
4. Območja, na katerih se hranijo tajni podatki EU stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ali višje, so določena kot varovana območja v skladu s Prilogo II, odobri pa jih pristojni varnostni organ.
5. Za varovanje tajnih podatkov EU stopnje CONFIDENTIEL UE/EU CONFIDENTIAL ali višje se uporablja le odobrena oprema ali naprave.
6. Določbe za izvajanje tega člena so v Prilogi II.
Člen 9
Obravnavanje tajnih podatkov
1. Obravnavanje tajnih podatkov je uporaba upravnih ukrepov za nadzor nad tajnimi podatki EU v njihovem življenjskem ciklu, ki dopolnjujejo ukrepe iz členov 7, 8 in 10 ter tako prispevajo k odvračanju in odkrivanju namernega in naključnega nepooblaščenega razkritja ali izgube takih podatkov. Taki ukrepi se nanašajo predvsem na nastajanje, vpisovanje, kopiranje, prevajanje, znižanje stopnje tajnosti, preklic stopenj tajnosti, prenašanje in uničenje tajnih podatkov EU.
2. Podatki stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ali višje se iz varnostnih razlogov vpišejo pred razpošiljanjem in ob prejemu. Pristojni organi GSS in držav članic v ta namen vzpostavijo sistem registrov. Podatki stopnje tajnosti TRÈS SECRET UE/EU TOP SECRET se vpišejo v za to namenjenih registrih.
3. Pristojni varnostni organ redno pregleduje službe in prostore, v katerih poteka delo s tajnimi podatki EU ali v katerih se ti hranijo.
4. Tajni podatki EU se med službami in prostori zunaj fizično zaščitenih območij prenašajo:
praviloma se tajni podatki EU pošiljajo z elektronskimi sredstvi, ki so zaščiteni s šifrirnimi izdelki, odobrenimi v skladu s členom 10(6);
če se sredstva iz točke (a) ne uporabijo, se tajni podatki EU prenašajo:
na elektronskih nosilcih (tj. ključi USB, zgoščenke, trdi diski), ki so zaščiteni s šifrirnimi izdelki, odobrenimi v skladu s členom 10(6), ali
v vseh drugih primerih, kakor določi pristojni varnostni organ v skladu z ustreznimi zaščitnimi ukrepi iz Priloge III.
5. Določbe za izvajanje tega člena so navedene v prilogah III in IV.
Člen 10
Zaščita tajnih podatkov EU, s katerimi poteka delo v komunikacijskih in informacijskih sistemih
1. Z zagotavljanjem informacijske varnosti (IA) v komunikacijskih in informacijskih sistemih se zagotovi, da bodo taki sistemi podatke v njih zaščitili, in da bodo delovali tako, kot morajo, kadar morajo, pod nadzorom zakonitih uporabnikov. Pri učinkovitem zagotavljanju varnosti podatkov se zagotovi ustrezna stopnja tajnosti, celovitost, razpoložljivost, nezatajljivost in avtentičnost. Zagotavljanje informacijske varnosti temelji na postopku obvladovanja tveganja.
2. „Komunikacijski in informacijski sistem“ pomeni kakršen koli sistem, ki omogoča delo s podatki v elektronski obliki. Komunikacijski in informacijski sistem zajema vsa sredstva, potrebna za njegovo delovanje, vključno z infrastrukturo, organizacijo, osebjem in informacijskimi viri. Ta sklep se uporablja za komunikacijske in informacijske sisteme (KIS), v katerih poteka delo s tajnimi podatki EU.
3. V komunikacijskih in informacijskih sistemih delo s tajnimi podatki EU poteka v skladu z načelom zagotavljanja informacijske varnosti.
4. Za vse komunikacijske in informacijske sisteme se opravi postopek akreditacije. Namen akreditacije je pridobiti zagotovilo, da so bili izvedeni vsi ustrezni varnostni ukrepi in da je bila dosežena zadostna stopnja varovanja tajnih podatkov EU ter komunikacijskih in informacijskih sistemov v skladu s tem sklepom. V izjavi o akreditaciji so določeni najvišja stopnja tajnosti podatkov, s katerimi se lahko dela v komunikacijskih in informacijskih sistemih, in ustrezni pogoji.
5. Izvajajo se varnostni ukrepi za zaščito komunikacijskih in informacijskih sistemov, v okviru katerih poteka delo s podatki stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL in višje, tako da taki podatki ne morejo biti nepooblaščeno razkriti zaradi nenamernega elektromagnetnega oddajanja (v nadaljnjem besedilu: varnostni ukrepi TEMPEST). Takšni varnostni ukrepi so sorazmerni s tveganjem zlorabe in stopnje tajnosti podatkov.
6. Kjer se zaščita tajnih podatkov EU zagotavlja s šifrirnimi izdelki, se ti izdelki odobrijo, kot sledi:
zaupnost podatkov stopnje tajnosti SECRET UE/EU SECRET in višje se zaščiti s šifrirnimi izdelki, ki jih odobri Svet v vlogi organa za odobritev šifrirnih metod in izdelkov na priporočilo Varnostnega odbora;
zaupnost podatkov stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ali RESTREINT UE/EU RESTRICTED se zaščiti s šifrirnimi izdelki, ki jih odobri generalni sekretar Sveta (v nadaljnjem besedilu: generalni sekretar) v vlogi organa za odobritev šifrirnih metod in izdelkov na priporočilo Varnostnega odbora.
Ne glede na točko (b) se lahko zaupnost tajnih podatkov EU stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ali RESTREINT UE/EU RESTRICTED v nacionalnih sistemih držav članic zaščiti s šifrirnimi izdelki, ki jih odobri organ države članice za odobritev šifrirnih metod in izdelkov.
7. Med pošiljanjem tajnih podatkov EU z elektronskimi sredstvi se uporabljajo odobreni šifrirni izdelki. Ne glede na to zahtevo se lahko v izrednih razmerah ali specifičnih tehničnih konfiguracijah, določenih v Prilogi IV, uporabijo posebni postopki.
8. Pristojni organi GSS in posameznih držav članic ustanovijo naslednje organe za zagotavljanje informacijske varnosti:
organ za zagotavljanje informacijske varnosti (IAA);
organ TEMPEST (TA);
organ za odobritev šifrirnih metod in izdelkov (CAA);
organ za razpošiljanje šifrirnega materiala (CDA).
9. Pristojni organi GSS in posameznih držav članic za vsak sistem ustanovijo:
organ za varnostno akreditacijo (SAA);
operativni organ za zagotavljanje informacijske varnosti (IA).
10. Določbe za izvajanje tega člena so v Prilogi IV.
Člen 11
Industrijska varnost
1. Industrijska varnost je uporaba ukrepov, s katerimi se zagotovi, da izvajalci ali podizvajalci varujejo tajne podatke EU med pogajanji za sklenitev pogodbe in v življenjskem ciklu pogodb s tajnimi podatki. Take pogodbe ne vključujejo dostopa do podatkov stopnje tajnosti TRÈS SECRET UE/EU TOP SECRET.
2. GSS lahko naloge, ki vključujejo ali imajo za posledico dostop do tajnih podatkov EU ali delo z njimi ali njihovo hrambo, s pogodbo prenese na industrijske ali druge subjekte, registrirane v državi članici ali tretji državi, ki je sklenila sporazum ali dogovor o izvajanju v skladu s točko (a) ali (b) člena 13(2).
3. GSS pri dodeljevanju pogodb s tajnimi podatki industrijskim ali drugim subjektom kot naročnik zagotovi, da so izpolnjeni minimalni standardi industrijske varnosti iz tega sklepa in pogodbe.
4. Nacionalni varnostni organ, imenovani varnostni organ ali kateri koli drug pristojni organ vsake države članice zagotovi, kolikor to omogočajo nacionalni zakoni in predpisi, da izvajalci ali podizvajalci, registrirani na ozemlju njihove države članice, v pogajanjih za sklenitev pogodbe ali pri izvajanju pogodbe s tajnimi podatki sprejmejo vse ustrezne ukrepe za varovanje tajnih podatkov EU.
5. Nacionalni varnostni organ, imenovani varnostni organ ali kateri koli drug pristojni organ vsake države članice v skladu z nacionalnimi zakoni in predpisi zagotovi, da imajo izvajalci ali podizvajalci, registrirani v posamezni državi članici, ki sodelujejo pri pogodbah ali podizvajalskih pogodbah s tajnimi podatki, zaradi katerih morajo v svojih prostorih imeti dostop do podatkov stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ali SECRET UE/EU SECRET, bodisi pri izvajanju takšnih pogodb ali v pogajanjih za njihovo sklenitev, varnostno dovoljenje organizacije za zahtevano stopnjo tajnosti.
6. Posamezni nacionalni varnostni organ, imenovani varnostni organ ali kateri koli drug pristojni varnostni organ odobri dovoljenje za dostop do tajnih podatkov osebju izvajalca ali podizvajalca, ki mora zaradi izvajanja pogodbe s tajnimi podatki imeti dostop do podatkov stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ali SECRET UE/EU SECRET, in sicer v skladu z nacionalnimi zakoni in predpisi ter minimalnimi standardi iz Priloge I.
7. Določbe za izvajanje tega člena so v Prilogi V.
Člen 12
Posredovanje tajnih podatkov EU
1. Svet določi pogoje, pod katerimi lahko posreduje tajne podatke EU, ki jih poseduje, drugim institucijam, organom, uradom ali agencijam Unije. V ta namen se lahko vzpostavi ustrezen okvir, vključno s sklenitvijo medinstitucionalnih dogovorov ali drugih ureditev, kjer je to potrebno za ta namen.
2. Vsak tak okvir zagotovi, da so tajni podatki EU ustrezno zavarovani glede na njihovo stopnjo tajnosti in v skladu z osnovnimi načeli in minimalnimi standardi, ki so enakovredni tistim iz tega sklepa.
Člen 13
Izmenjava tajnih podatkov s tretjimi državami in mednarodnimi organizacijami
1. Ko Svet sprejme odločitev o potrebi po izmenjavi tajnih podatkov s tretjo državo ali mednarodno organizacijo, se v ta namen vzpostavi ustrezen okvir.
2. Da bi vzpostavili tak okvir in določili vzajemna pravila za varovanje izmenjanih tajnih podatkov:
Unija s tretjimi državami ali mednarodnimi organizacijami sklene sporazume o varnostnih postopkih za izmenjavo in varovanje tajnih podatkov (v nadaljnjem besedilu: „sporazumi o varnosti podatkov“); ali
generalni sekretar lahko v imenu GSS sklene dogovore o izvajanju v skladu z odstavkom 17 Priloge VI, če stopnja tajnosti tajnih podatkov EU, ki bodo posredovani, praviloma ni višja od RESTREINT UE/EU RESTRICTED.
3. Sporazumi o varnosti podatkov ali dogovori o izvajanju iz odstavka 2 vsebujejo določbe, s katerimi se tajnim podatkom EU, ki jih prejmejo tretje države ali mednarodne organizacije, zagotovi varovanje, ustrezno njihovi stopnji tajnosti v skladu z minimalnimi standardi, ki niso manj strogi od standardov iz tega sklepa.
4. Odločitev o razkritju tajnih podatkov EU z izvorom v Svetu tretji državi ali mednarodni organizaciji sprejme Svet za vsak primer posebej glede na naravo in vsebino takih podatkov, potrebo prejemnika po seznanitvi ter velikosti koristi, ki jih bo imela Unija. Če organ izvora tajnih podatkov, ki jih želi posredovati, ni Svet, GSS ta organ izvora najprej zaprosi za pisno soglasje, da sme posredovati tajni podatek. Če organa izvora ni mogoče ugotoviti, Svet prevzame njegovo odgovornost.
5. Organizirajo se ocenjevalni obiski, s katerimi se ugotovi učinkovitost varnostnih ukrepov, ki se v tretji državi ali mednarodni organizaciji uporabljajo za varovanje zagotovljenih ali izmenjanih tajnih podatkov EU.
6. Določbe za izvajanje tega člena so v Prilogi VI.
Člen 14
Kršitve varnosti in nepooblaščeno razkritje tajnih podatkov EU
1. Kršitev varstva tajnosti je posledica posameznikovega dejanja ali opustitve dejanja v nasprotju z varnostnimi pravili iz tega sklepa.
2. Do nepooblaščenega razkritja tajnih podatkov EU pride, če so ti kot posledica kršitve varovanja tajnosti v celoti ali delno razkriti nepooblaščenim osebam.
3. O vseh kršitvah ali domnevnih kršitvah varnosti se nemudoma obvesti pristojni varnostni organ.
4. Če je bilo ugotovljeno ali če obstajajo utemeljeni razlogi za domnevo, da so bili tajni podatki EU nepooblaščeno razkriti ali izgubljeni, nacionalni varnostni organ ali drugi pristojni organ sprejme vse primerne ukrepe v skladu z ustreznimi zakoni in predpisi ter:
obvesti organ izvora;
zagotovi, da zadevo preišče osebje, ki ni neposredno povezano s kršitvijo, in ugotovi, kakšna so dejstva;
oceni morebitno škodo za interese Unije ali držav članic;
sprejme primerne ukrepe, da se kršitev ne bi ponovila, ter
o sprejetih ukrepih obvesti ustrezne organe.
5. Zoper vsakega posameznika, ki je odgovoren za kršitev varnostnih pravil iz tega sklepa, se lahko uvede disciplinski postopek v skladu z veljavnimi pravili in predpisi. Zoper vsakega posameznika, ki je odgovoren za nepooblaščeno razkritje ali izgubo tajnih podatkov EU, se lahko uvede disciplinski in/ali pravni postopek v skladu z veljavnimi zakoni, pravili in predpisi.
Člen 15
Odgovornost za izvrševanje
1. Svet sprejme vse ustrezne ukrepe, s katerimi zagotovi vsesplošno dosledno uporabo tega sklepa.
2. Generalni sekretar sprejme vse ustrezne ukrepe, s katerimi zagotovi, da v prostorih, ki jih uporablja Svet, in v GSS uradniki in drugi uslužbenci GSS, osebje, ki je nanj napoteno, in njegovi izvajalci pri delu s tajnimi podatki EU ali kakršnimi koli drugimi tajnimi podatki ali njihovi hrambi uporabljajo ta sklep.
3. Države članice sprejmejo vse ustrezne ukrepe v skladu s svojo nacionalno zakonodajo in predpisi, s katerimi zagotovijo, da pri delu s tajnimi podatki EU in njihovi hrambi ta sklep spoštuje(-jo):
osebje stalnih predstavništev držav članic pri Evropski uniji in nacionalni delegati, ki se udeležujejo zasedanj Sveta ali njegovih pripravljalnih teles ali pa sodelujejo pri drugih dejavnostih Sveta;
drugo osebje državnih uprav držav članic, vključno z osebjem, napotenim na te uprave, nameščeno bodisi na ozemlju držav članic ali v tujini;
druge osebe v državah članicah, ki so zaradi svoje funkcije ustrezno pooblaščene za dostop do tajnih podatkov EU, ter
izvajalci držav članic na ozemlju držav članic ali v tujini.
Člen 16
Organiziranost varnosti v Svetu
1. Svet v okviru odgovornosti za zagotavljanje vsesplošne dosledne uporabe tega sklepa potrdi:
sporazume iz člena 13(2)(a);
sklepe o odobritvi ali soglasju za posredovanje tajnih podatkov EU, ki izvirajo v Svetu ali jih ima Svet, tretjim državam in mednarodnim organizacijam, v skladu z načelom soglasja organa izvora;
letni program ocenjevalnih obiskov, ki ga priporoči Varnostni odbor, za ocenjevalne obiske služb in prostorov držav članic, organov, agencij in subjektov Unije, ki uporabljajo ta sklep ali njegova načela, ter za ocenjevalne obiske tretjih držav in mednarodnih organizacij, da bi ugotovil, kako učinkoviti so izvedbeni ukrepi za varovanje tajnih podatkov EU; ter
varnostno politiko, kot je predvideno v členu 6(1).
2. Varnostni organ GSS je generalni sekretar. Generalni sekretar v tej funkciji:
izvaja in preverja varnostno politiko Sveta;
z nacionalnimi varnostnimi organi držav članic usklajuje vse varnostne zadeve v zvezi z varovanjem tajnih podatkov, ki se nanašajo na delovanje Sveta;
uradnikom GSS, drugim uslužbencem in napotenim nacionalnim strokovnjakom podeli pooblastilo za dostop do informacij stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ali višje v skladu s členom 7(3);
po potrebi naroča preiskave dejanskega nepooblaščenega razkritja ali izgube ali suma nepooblaščenega razkritja ali izgube tajnih podatkov, ki jih ima Svet ali z izvorom v Svetu, ter ustrezne varnostne organe prosi za pomoč pri takih preiskavah;
izvaja redne inšpekcijske preglede varnostne ureditve za varovanje tajnih podatkov v prostorih GSS;
izvaja redne preglede za oceno varnostne ureditve za varovanje tajnih podatkov EU v organih, agencijah in subjektih Unije, ki uporabljajo ta sklep ali njegova načela;
skupaj in po dogovoru z zadevnimi nacionalnimi varnostnimi organi izvaja redna ocenjevanja varnostne ureditve za varovanje tajnih podatkov EU v službah in prostorih držav članic;
zagotovi, da so varnostni ukrepi po potrebi usklajeni s pristojnimi organi držav članic, ki so odgovorni za varovanje tajnih podatkov, in po potrebi tretjimi državami ali mednarodnimi organizacijami, vključno glede vrste nevarnosti, ki ogroža tajne podatke EU, in zaščite pred njimi; ter
sklepa dogovore o izvajanju iz člena 13(2)(b).
Varnostni urad GSS je generalnemu sekretarju na razpolago in mu pomaga pri teh nalogah.
3. Države članice morajo za izvajanje člena 15(3):
imenovati nacionalni varnostni organ, ki je naveden v Dodatku C in ki je odgovoren za varnostno ureditev za varovanje tajnih podatkov EU, da:
se tajni podatki EU, ki jih ima katero koli državno ministrstvo, javni ali zasebni organ ali agencija, doma ali v tujini, varujejo v skladu s tem sklepom;
se izvajajo redni inšpekcijski pregledi ali ocenjevanja varnostne ureditve za varovanje tajnih podatkov EU;
so vsi posamezniki, zaposleni v državni upravi ali pri izvajalcu, ki se jim lahko odobri dostop do podatkov stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ali višje, ustrezno varnostno preverjeni ali so zaradi svoje funkcije za to pravilno pooblaščeni v skladu z nacionalnimi zakoni in predpisi;
so po potrebi vzpostavljeni varnostni programi, da se tveganje nepooblaščenega razkritja ali izgube tajnih podatkov EU čim bolj zniža;
so varnostne zadeve, ki se nanašajo na varovanje tajnih podatkov EU, usklajene z drugimi pristojnimi nacionalnimi organi, tudi s tistimi iz tega sklepa, ter
se zagotovi odziv na ustrezne zahteve po varnostnem preverjanju, zlasti katerih koli organov, agencij in subjektov Unije, operacij v okviru poglavja 2 naslova V PEU ter posebnih predstavnikov EU (PPEU) in njihovih ekip, ki uporabljajo ta sklep ali njegova načela;
zagotoviti, da njihovi pristojni organi preskrbijo podatke ter svetujejo svojim vladam in tako tudi Svetu o vrsti nevarnosti, ki ogroža tajne podatke EU, in načinih zaščite pred njimi.
Člen 17
Varnostni odbor
1. Ustanovi se Varnostni odbor. Preučuje in ocenjuje vse zadeve v zvezi z varnostjo v okviru področja uporabe tega sklepa ter po potrebi za Svet pripravi priporočila.
2. Sestavljen je iz predstavnikov nacionalnih varnostnih organov držav članic, njegovih sestankov pa se udeležuje tudi predstavnik Komisije in ESZD. Predseduje mu generalni sekretar ali njegov namestnik. Sestaja se po navodilih Sveta ali na zahtevo generalnega sekretarja ali enega od nacionalnih varnostnih organov.
Predstavnike organov, agencij in subjektov Unije, ki uporabljajo ta sklep ali njegova načela, se lahko povabi k udeležbi, kadar se razpravlja o vprašanjih, ki jih zadevajo.
3. Varnostni odbor svoje dejavnosti organizira tako, da lahko daje priporočila o posebnih varnostnih področjih. Ustanovi strokovno podobmočje za vprašanja zagotavljanja informacijske varnosti, po potrebi pa tudi druga strokovna podobmočja. Zanje določi naloge in pristojnosti, oni pa mu pošiljajo poročila o svojih dejavnostih, ki po potrebi vključujejo tudi morebitna priporočila za Svet.
Člen 18
Nadomestitev prejšnjega sklepa
1. Ta sklep razveljavi in nadomesti Sklep Sveta 2011/292/EU ( 1 ).
2. Varovanje vseh tajnih podatkov EU v skladu s Sklepom Sveta 2001/264/ES ( 2 ) in Sklepom 2011/292/EU se nadaljuje v skladu z ustreznimi določbami tega sklepa.
Člen 19
Začetek veljavnosti
Ta sklep začne veljati na dan objave v Uradnem listu Evropske unije.
PRILOGE
PRILOGA I |
Varnost osebja |
PRILOGA II |
Fizična varnost |
PRILOGA III |
Obravnavanje tajnih podatkov |
PRILOGA IV |
Varovanje tajnih podatkov EU, s katerimi poteka delo v komunikacijskih in informacijskih sistemih |
PRILOGA V |
Industrijska varnost |
PRILOGA VI |
Izmenjava tajnih podatkov s tretjimi državami in mednarodnimi organizacijami |
PRILOGA I
VARNOST OSEBJA
I. UVOD
1. V tej prilogi so določbe za izvajanje člena 7. Določa merila za ugotavljanje, ali je posameznik dovolj lojalen, vreden zaupanja in zanesljiv, da je lahko pooblaščen za dostop do tajnih podatkov EU, ter za preiskovalne in upravne postopke, ki jih je treba izvesti v ta namen.
II. ODOBRITEV DOSTOPA DO TAJNIH PODATKOV EU
2. Posamezniku se odobri dostop do tajnih podatkov le po tem, ko:
je bilo ugotovljeno, da ima potrebo po seznanitvi;
je bil poučen o varnostnih predpisih in postopkih za varovanje tajnih podatkov EU ter je sprejel odgovornost za varovanje takih podatkov; ter
v primeru podatkov stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ali višje:
3. Vse države članice in GSS določijo delovna mesta v svoji strukturi, na katerih je potreben dostop do podatkov stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ali višje in se zato zahteva varnostno preverjanje ustrezne stopnje.
III. ZAHTEVE ZA DOVOLJENJE ZA DOSTOP DO TAJNIH PODATKOV
4. Po prejemu pravilno odobrene prošnje so nacionalni varnostni organi ali drugi pristojni nacionalni organi odgovorni za varnostne preiskave svojih državljanov, ki morajo imeti dostop do podatkov stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ali višje. Standardi za preiskavo so skladni z nacionalnimi zakoni in predpisi, da bi se izdalo dovoljenje za dostop do tajnih podatkov ali zagotovitev, da se posamezniku podeli pooblastilo za dostop do tajnih podatkov EU, kakor je ustrezno.
5. Če zadevni posameznik prebiva na ozemlju druge države članice ali tretje države, pristojni nacionalni organi za pomoč zaprosijo pristojni organ države prebivališča v skladu z nacionalnimi zakoni in predpisi. Države članice si medsebojno pomagajo pri varnostnih preiskavah v skladu z nacionalnimi zakoni in predpisi.
6. Če to dovoljujejo nacionalni zakoni in predpisi, lahko nacionalni varnostni organi ali drugi pristojni nacionalni organi opravijo preiskavo tujih državljanov, ki morajo imeti dostop do podatkov stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ali višje. Standardi za preiskavo so skladni z nacionalnimi zakoni in predpisi.
Merila za varnostno preiskavo
7. Za namene varnostnega preverjanja za dostop do tajnih podatkov stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ali višje se preko varnostne preiskave ugotavlja, ali je posameznik lojalen, vreden zaupanja in zanesljiv. Pristojni nacionalni organ na podlagi ugotovitev take varnostne preiskave pripravi splošno oceno. Med osnovnimi merili za takšno ugotavljanje je, kolikor to dopuščajo nacionalni zakoni in predpisi, preverjanje, ali je posameznik:
storil ali poskušal storiti kaznivo dejanje vohunjenja, terorizma, sabotaže, izdajstva ali upora oziroma sodeloval ali pomagal in nudil podporo pri izvedbi takega kaznivega dejanja;
sodeloval ali še sodeluje z vohuni, teroristi, saboterji ali posamezniki, za katere se upravičeno sumi, da to so, oziroma s predstavniki organizacij tujih držav, vključno s tujimi obveščevalnimi službami, ki lahko ogrozijo varnost Unije in/ali držav članic, razen če je bilo tako sodelovanje odobreno v okviru uradne dolžnosti;
bil ali je še vedno član kakršne koli organizacije, ki skuša z nasilnimi, uničevalnimi ali drugimi nezakonitimi sredstvi med drugim zrušiti vlado določene države članice, spremeniti ustavni red države članice ali zamenjati obliko ali politike njene vlade;
bil ali je še vedno pristaš kakšne izmed organizacij iz točke (c) ali sodeluje oziroma je tesno sodeloval s člani takih organizacij;
namerno zadrževal, napačno razlagal ali potvarjal pomembne podatke, predvsem tajne podatke, ali je namerno lagal pri izpolnjevanju vprašalnika za varnostno preverjanje osebja oziroma pri razgovoru za varnostno preverjanje;
bil obsojen zaradi kaznivega dejanja ali več dejanj;
bil odvisen od alkohola, je uporabljal nedovoljene droge in/ali je kdaj zlorabljal dovoljene droge;
bil ali je še vpleten v dejavnost, ki bi lahko povzročila izpostavljenost izsiljevanju ali pritiskom;
se z dejanji ali besedami izkazal za nepoštenega, nelojalnega, nezanesljivega ali nevrednega zaupanja;
resno ali večkrat kršil varnostne predpise; ali je poskušal izvesti oziroma je uspešno izvedel nepooblaščeno dejavnost v zvezi s komunikacijskimi in informacijskimi sistemi; ter
podvržen pritiskom (npr. ker je državljan ene ali več držav, ki niso članice EU) sorodnikov ali ožjih znancev, ki bi lahko bili dovzetni za sodelovanje s tujimi obveščevalnimi službami, terorističnimi skupinami ali drugimi uničevalnimi organizacijami ali posamezniki, katerih nameni lahko ogrozijo varnostne interese Unije in/ali držav članic.
8. Kadar je to primerno in v skladu z nacionalnimi zakoni in predpisi, je lahko pri varnostni preiskavi pomembno tudi finančno in zdravstveno stanje posameznika.
9. Kadar je to primerno in v skladu z nacionalnimi zakoni in predpisi, so lahko vedenje in okoliščine v zvezi z zakonskim partnerjem, izvenzakonskim partnerjem ali ožjim družinskim članom prav tako pomembni pri varnostni preiskavi.
Preiskovalne zahteve za dostop do tajnih podatkov EU
Prva podelitev dovoljenja za dostop do tajnih podatkov
10. Prvo varnostno preverjanje za dostop do podatkov stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL in SECRET UE/EU SECRET temelji na varnostni preiskavi iz obdobja najmanj zadnjih petih let ali od 18. leta starosti do sedaj, pri čemer se upošteva krajše obdobje, in vključuje naslednje:
izpolnitev nacionalnega vprašalnika za varnostno preverjanje osebja glede dostopa do tajnih podatkov EU tiste stopnje tajnosti, ki jo bo posameznik morda potreboval. Izpolnjeni vprašalnik se pošlje pristojnemu varnostnemu organu;
preverjanje identitete/državljanstva/državljanskega statusa – preverijo se datum in kraj rojstva ter identiteta posameznika. Dokazati je treba pretekli in sedanji državljanski status in/ali državljanstvo posameznika, vključno z oceno kakršne koli izpostavljenosti pritiskom iz zunanjih virov, npr. zaradi prejšnjega prebivališča ali zvez iz preteklosti, ter
preverjanje državnih in lokalnih evidenc – preverijo se državne varnostne in centralne kazenske evidence, če slednje obstajajo, in/ali druge primerljive vladne in policijske evidence. Preverijo se evidence organov pregona, ki imajo sodno pristojnost na območju, kjer je imel posameznik prebivališče ali zaposlitev.
11. Prvo varnostno preverjanje za dostop do podatkov stopnje tajnosti TRÈS SECRET UE/EU TOP SECRET temelji na varnostni preiskavi obdobja najmanj zadnjih 10 let, ali od 18. leta starosti do sedaj, pri čemer se upošteva krajše obdobje. Če razgovori potekajo, kakor je določeno v točki (e) v nadaljevanju besedila, preiskave zajemajo najmanj obdobje zadnjih sedmih let ali od 18. leta do sedaj, pri čemer se upošteva krajše obdobje. Pred izdajo dovoljenja za dostop do tajnih podatkov stopnje tajnosti TRÈS SECRET UE/EU TOP SECRET, se ob upoštevanju meril iz prej navedenega odstavka 7 preveri tudi naslednje, v kolikor to omogočajo nacionalni zakoni in predpisi; če to zahtevajo nacionalni zakoni in predpisi, se to preveri tudi pred izdajo dovoljenja za dostop do tajnih podatkov stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ali SECRET UE/EU SECRET:
finančni status – pridobijo se informacije o posameznikovem finančnem stanju, da se oceni izpostavljenost tujim ali domačim pritiskom zaradi resnih finančnih težav ali zato, da se odkrije nepojasnjen priliv kapitala;
izobrazba – pridobijo se informacije za potrditev izobraževanja posameznika na šolah, univerzah in drugih izobraževalnih ustanovah od dopolnjenega 18. leta starosti ali v ustreznem časovnem obdobju po presoji preiskovalnega varnostnega organa;
zaposlitev – pridobijo se informacije o sedanji zaposlitvi in zaposlitvah v preteklosti, s sklicevanjem na vire, kot so evidence o zaposlitvi, poročila o uspešnosti in učinkovitosti, pa tudi na delodajalce ali nadrejene;
služenje vojaškega roka – kjer je to primerno, se preveri služenje posameznika v oboroženih silah in način odpusta, ter
razgovori – s posameznikom se opravi razgovor, če to določa in dovoljuje nacionalna zakonodaja. Razgovori se opravijo tudi z osebami, ki lahko podajo nepristransko oceno o posameznikovi preteklosti, dejavnostih, lojalnosti ter o tem, ali je vreden zaupanja in zanesljiv. Če je v nacionalni praksi običajno, da preiskovana oseba navede reference, se izvedejo razgovori z referenčnimi osebami, razen če obstajajo upravičeni razlogi, da se tega ne stori.
12. Po potrebi in v skladu z nacionalnimi zakoni in predpisi se lahko opravijo dodatne preiskave za pridobitev vseh ustreznih informacij o posamezniku in za utemeljitev ali ovržbo negativnih informacij.
Podaljšanje dovoljenja za dostop do tajnih podatkov
13. Po izdaji prvega dovoljenja za dostop do tajnih podatkov in pod pogojem, da je posameznik nepretrgoma služboval v državni upravi ali v GSS in še vedno potrebuje dostop do tajnih podatkov EU, se dovoljenje za dostop do tajnih podatkov pregleda zaradi podaljšanja veljavnosti v največ petletnih presledkih za dovoljenje za stopnjo tajnosti TRÈS SECRET UE/EU TOP SECRET in v največ desetletnih presledkih za dovoljenje za stopnjo tajnosti SECRET UE/EU SECRET in CONFIDENTIEL UE/EU CONFIDENTIAL, in sicer z začetkom veljavnosti od datuma uradnega obvestila o zadnji varnostni preiskavi, na podlagi katere je bilo izdano. Vse varnostne preiskave za podaljšanje veljavnosti dovoljenja za dostop do tajnih podatkov zajemajo obdobje od zaključka predhodne tovrstne preiskave.
14. Za podaljšanje veljavnosti dovoljenj za dostop do tajnih podatkov se preiščejo elementi iz odstavkov 10 in 11.
15. Zahteve za podaljšanje veljavnosti se predložijo pravočasno ob upoštevanju časa, ki je potreben za varnostne preiskave. Če pa je zadevni nacionalni varnostni organ ali drug pristojni nacionalni organ prejel zadevno zahtevo za podaljšanje veljavnosti in ustrezni vprašalnik za varnostno preverjanje osebja pred iztekom veljavnosti dovoljenja za dostop do tajnih podatkov in če potrebna varnostna preiskava v tem času še ni zaključena, lahko pristojni nacionalni organ, če to dopuščajo nacionalni zakoni in predpisi, podaljša veljavnost trenutnega dovoljenja za dostop do tajnih podatkov za največ 12 mesecev. Če ob izteku teh 12 mesecev varnostna preiskava še vedno ni zaključena, se posamezniku dodeli take naloge, za katere ne potrebuje dovoljenja za dostop do tajnih podatkov.
Postopki za podelitev pooblastila v GSS
16. Vprašalnike za varnostno preverjanje osebja, ki jih izpolnijo uradniki in drugi uslužbenci v GSS, varnostni organ GSS pošlje nacionalnemu varnostnemu organu države članice, katere državljan je zadevni posameznik, z zahtevkom, da se izvede varnostna preiskava glede dostopa do tajnih podatkov EU tiste stopnje tajnosti, ki jih bo ta posameznik potreboval.
17. Če GSS izve za podatke o posamezniku, ki je zaprosil za varnostno dovoljenje za dostop do tajnih podatkov EU, ki se nanašajo na varnostno preiskavo, o tem v skladu z ustreznimi pravili in predpisi obvesti ustrezni nacionalni varnostni organ.
18. Zadevni nacionalni varnostni organ po opravljeni varnostni preiskavi obvesti varnostni organ GSS o njenem izidu, s standardnim obrazcem, ki ga predpiše varnostni odbor.
Če se z varnostno preiskavo zagotovi, da ni nobenih negativnih informacij, ki bi vzbudile dvome o tem, ali je posameznik lojalen, vreden zaupanja in zanesljiv, lahko organ GSS za imenovanje zadevnemu posamezniku podeli pooblastilo za dostop do tajnih podatkov EU do ustrezne stopnje in do določenega datuma.
Če z varnostno preiskavo tega ni mogoče zagotoviti, organ GSS za imenovanje o tem uradno obvesti zadevnega posameznika, ki lahko zaprosi za zaslišanje pri organu za imenovanje. Slednji lahko zaprosi pristojni nacionalni varnostni organ za vsa dodatna pojasnila, ki jih ta lahko priskrbi skladno z nacionalnimi zakoni in predpisi. Če je izid potrjen, se pooblastilo za dostop do tajnih podatkov EU ne podeli.
19. Za varnostno preiskavo skupaj z dobljenimi rezultati se upoštevajo ustrezni zakoni in predpisi, ki veljajo v zadevni državi članici, vključno s tistimi, ki urejajo pritožbe. Na odločbe organa GSS za imenovanje se je mogoče pritožiti v skladu s Kadrovskimi predpisi za uradnike Evropske unije in Pogoji za zaposlitev drugih uslužbencev Evropske unije iz Uredbe Sveta (EGS, Euratom, ESPJ) št. 259/68 ( 3 ) (v nadaljnjem besedilu: Kadrovski predpisi in Pogoji za zaposlitev).
20. Nacionalni strokovnjaki, ki so napoteni na GSS na delovno mesto, za katero je potreben dostop do tajnih podatkov EU do stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL in višje, pred prevzemom svojih zadolžitev varnostnemu organu GSS predložijo potrdilo za dostop do tajnih podatkov (PSCC), na podlagi katerega organ za imenovanje izda pooblastilo za dostop do tajnih podatkov EU.
21. GSS bo sprejel pooblastilo za dostop do tajnih podatkov EU, ki ga je podelila katera druga institucija, organ ali agencija Unije, pod pogojem, da je veljavno. Pooblastilo bo pokrivalo vse zadolžitve zadevnega posameznika v GSS. Institucija, organ ali agencija Unije, kjer posameznik prevzema zaposlitev, bo uradno obvestila zadevni nacionalni varnostni organ o spremembi delodajalca.
22. Če posameznik ne nastopi službe v roku 12 mesecev po uradnem obvestilu organa GSS za imenovanje o izidu varnostne preiskave, ali če posameznik 12 mesecev ne opravlja službe, med tem časom pa ni zaposlen na delovnem mestu v GSS ali v državni upravi države članice, se ta izid predloži zadevnemu nacionalnemu varnostnemu organu v potrditev, da je še vedno veljaven in ustrezen.
23. Če GSS izve za informacije o nevarnosti, povezani s posameznikom, ki ima pooblastilo za dostop do tajnih podatkov EU, o tem v skladu z ustreznimi pravili in predpisi obvesti ustrezni nacionalni varnostni organ ter lahko začasno prekine dostop do tajnih podatkov EU ali odvzame pooblastilo za dostop do tajnih podatkov EU.
24. Če nacionalni varnostni organ obvesti GSS o preklicu zagotovil, ki so bila v skladu z odstavkom 18(a) dana za posameznika, ki ima pooblastilo za dostop do tajnih podatkov EU, lahko organ GSS za imenovanje zaprosi nacionalni varnostni organ za vsa pojasnila, ki jih slednji lahko zagotovi skladno z nacionalnimi zakoni in predpisi. Če se izkaže, da so negativne informacije resnične, se posamezniku odvzame pooblastilo in se mu onemogoči dostop do tajnih podatkov EU ter se ga umakne z delovnega mesta, na katerem je takšen dostop mogoč ali na katerem bi lahko ogrozil varnost.
25. Vsaka odločitev o odvzemu ali začasni prekinitvi pooblastila uradniku GSS ali drugemu uslužbencu za dostop do tajnih podatkov EU in po potrebi razlogi zanjo se sporočijo zadevnemu posamezniku, ki lahko zaprosi za zaslišanje pri organu za imenovanje. Za informacije, ki jih predloži nacionalni varnostni organ, veljajo ustrezni zakoni in predpisi, ki veljajo v zadevni državi članici, vključno s pravili in predpisi, ki urejajo pritožbe. Na odločbe organa GSS za imenovanje se je mogoče pritožiti v skladu s Kadrovskimi predpisi in Pogoji za zaposlitev.
Evidence dovoljenj za dostop do tajnih podatkov in pooblastil
26. Evidence dovoljenj za dostop do tajnih podatkov in pooblastil, podeljenih za dostop do tajnih podatkov stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ali višje vodi vsaka država članica in GSS. Te evidence vsebujejo najmanj stopnjo tajnosti podatkov EU, do katerih ima lahko posameznik dostop, datum izdaje dovoljenja za dostop do tajnih podatkov in njegovo obdobje veljavnosti.
27. Pristojni varnostni organ lahko izda PSCC, iz katerega so razvidni stopnja tajnih podatkov EU, do katerih ima lahko posameznik dostop (CONFIDENTIEL UE/EU CONFIDENTIAL ali višje), datum veljavnosti zadevnega dovoljenja za dostop do tajnih podatkov EU ali pooblastila za dostop do tajnih podatkov EU in datum izteka veljavnosti samega potrdila.
Izjeme od zahteve glede dovoljenja za dostop do tajnih podatkov
28. V državah članicah je dostop do tajnih podatkov EU za posameznike, ki so zaradi svoje funkcije za to pravilno pooblaščeni, urejen z nacionalnimi zakoni in predpisi; ti posamezniki so poučeni o svojih obveznostih pri varovanju tajnih podatkov EU.
IV. IZOBRAŽEVANJE IN OZAVEŠČANJE O VAROVANJU TAJNOSTI
29. Vsi posamezniki, ki prejmejo dovoljenje za dostop do tajnih podatkov, pisno potrdijo, da razumejo svoje obveznosti glede varovanja tajnih podatkov EU in da se zavedajo posledic, če pride do nepooblaščenega razkritja tajnih podatkov EU. Za vodenje evidence o takih pisnih potrditvah sta odgovorna država članica in GSS, kakor je ustrezno.
30. Vse posameznike, ki imajo pooblastilo za dostop do tajnih podatkov EU ali se od njih zahteva delo s temi podatki, je treba na začetku opozoriti in jih nato redno poučevati glede nevarnosti za varovanje tajnosti; ustrezne varnostne organe so dolžni nemudoma obvestiti o vsakem poskusu približevanja ali ravnanju, ki se jim zdi sumljivo ali nenavadno.
31. Vsi posamezniki, ki prenehajo opravljati naloge, za katere potrebujejo dostop do tajnih podatkov EU, se seznanijo s svojo obveznostjo, da morajo te podatke varovati tudi v prihodnje, in to po potrebi tudi pisno potrdijo.
V. IZJEMNE OKOLIŠČINE
32. Če to dovoljujejo nacionalni zakoni in predpisi, imajo lahko nacionalni uradniki z dovoljenjem pristojnega nacionalnega organa države članice za dostop do nacionalnih tajnih podatkov dostop do tajnih podatkov EU do ustrezne stopnje, določene v preglednici enakovrednih stopenj tajnosti v Dodatku B, dokler jim ne izdajo dovoljenja za dostop do tajnih podatkov EU, če je tak začasen dostop v interesu Unije. Če nacionalna zakonodaja in predpisi ne dovoljujejo takega začasnega dostopa do tajnih podatkov EU, nacionalni varnostni organi o tem obvestijo Varnostni odbor.
33. V nujnih primerih, kadar je to ustrezno utemeljeno v interesu službe in do zaključka celovite varnostne preiskave, organ GSS za imenovanje po posvetovanju z nacionalnim varnostnim organom države članice, katere državljan je posameznik, in ob upoštevanju izida predhodnih pregledov, s katerimi se preveri, da ni nobenih negativnih informacij, uradnikom in drugim uslužbencem GSS izda začasno pooblastilo za dostop do tajnih podatkov EU za določeno funkcijo. Taka začasna pooblastila veljajo največ šest mesecev in ne dovoljujejo dostopa do podatkov stopnje tajnosti TRÈS SECRET UE/EU TOP SECRET. Vsi posamezniki, ki prejmejo začasno pooblastilo, pisno potrdijo, da razumejo svoje obveznosti glede varovanja tajnih podatkov EU in da se zavedajo posledic njihovega nepooblaščenega razkritja. GSS vodi evidenco takšnih pisnih potrditev.
34. Če je posameznik dodeljen na delovno mesto, za katerega je potrebno dovoljenje za dostop do tajnih podatkov, ki je za eno stopnjo višji od stopnje dovoljenja, ki ga trenutno ima, se lahko na to mesto začasno imenuje pod naslednjimi pogoji:
posameznikov nadrejeni mora pisno upravičiti nujno potrebo po dostopu do tajnih podatkov EU na višji stopnji tajnosti;
dostop se omeji na določene podrobnosti iz tajnih podatkov EU, ki so potrebne za izvajanje nalog na tem delovnem mestu;
posameznik ima veljavno dovoljenje za dostop do tajnih podatkov ali pooblastilo za dostop do tajnih podatkov EU;
ukrepi za pridobitev pooblastila za stopnjo dostopa za novo delovno mesto so že v teku;
pristojni organ je dobro preveril, ali ni posameznik kdaj resno ali večkrat kršil varnostnih predpisov;
imenovanje posameznika je odobril pristojni organ; ter
zapisnik o taki izjemi, ki vključuje opis podatkov, do katerih je bil odobren dostop, se hrani v pristojnem registru ali podregistru.
35. Opisani postopek se uporabi za enkraten dostop do tajnih podatkov EU, ki so za eno stopnjo tajnosti višji od tistih, za katere je bil posameznik varnostno preverjen. Ta postopek se ne uporablja prepogosto.
36. V zares izjemnih okoliščinah, kot so misije v sovražnem okolju ali v obdobju naraščajoče mednarodne napetosti, ko je to potrebno zaradi izrednih ukrepov, zlasti če gre za vprašanje življenja ali smrti, lahko države članice in generalni sekretar pisno, če je to mogoče, odobrijo dostop do tajnih podatkov stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ali SECRET UE/EU SECRET posameznikom, ki nimajo ustreznega dovoljenja za dostop do tajnih podatkov, če je tako dovoljenje zares nujno in ni nikakršnih dvomov, da je zadevni posameznik lojalen, vreden zaupanja in zanesljiv. Dodelitev takega dovoljenja se evidentira z opisom podatkov, do katerih je bil odobren dostop.
37. Za podatke stopnje tajnosti TRÈS SECRET UE/EU TOP SECRET se tak nujni dostop omeji na državljane Unije, ki so že pooblaščeni za dostop do bodisi podatkov stopnje, ki je enakovredna TRÈS SECRET UE/EU TOP SECRET na nacionalni ravni, bodisi do podatkov stopnje tajnosti SECRET UE/EU SECRET.
38. Če se uporabi postopek iz odstavkov 36 in 37, se Varnostnemu odboru o tem pošlje obvestilo.
39. Če so glede začasnih pooblastil, začasnega imenovanja posameznikov, njihovega enkratnega dostopa oziroma dostopa do tajnih podatkov v nujnih primerih v nacionalni zakonodaji in predpisih države članice določena strožja pravila, se postopki, predvideni v tem oddelku, izvajajo samo v okviru omejitev iz zadevnih nacionalnih zakonov in predpisov.
40. Varnostni odbor prejme letno poročilo o uporabi postopkov iz tega oddelka.
VI. UDELEŽBA NA ZASEDANJIH IN SESTANKIH V SVETU
41. Posamezniki, ki se udeležijo zasedanj Sveta ali sestankih pripravljalnih teles Sveta, na katerih se obravnavajo podatki stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ali višje, lahko to storijo šele po tem, ko je odobren status njihovega dovoljenja za dostop do tajnih podatkov in ob upoštevanju odstavka 28. Za delegate ustrezni organi pošljejo Varnostnemu uradu GSS potrdilo za dostop do tajnih podatkov ali drug dokaz o varnostnem preverjanju, izjemoma pa ga lahko predloži zadevni delegat. Po potrebi se lahko uporabi zbirni seznam imen z ustreznimi dokazili o opravljenem varnostnem preverjanju.
42. Če je posamezniku, ki mora zaradi nalog, ki jih opravlja, sodelovati na zasedanjih Sveta ali sestankih pripravljalnih teles Sveta, iz varnostnih razlogov odvzeto dovoljenje za dostop do tajnih podatkov EU, pristojni organ o tem obvesti GSS.
VII. MOREBITEN DOSTOP DO TAJNIH PODATKOV EU
43. Kurirji, varnostniki in spremljevalci se varnostno preverijo do ustrezne stopnje ali se o njih opravi drugačna ustrezna preiskava v skladu z nacionalnimi zakoni in predpisi; obveščeni so o varnostnih postopkih za varovanje tajnih podatkov EU ter poučeni o dolžnosti, da varujejo podatke, ki so jim zaupani.
PRILOGA II
FIZIČNA VARNOST
I. UVOD
1. V tej prilogi so določbe za izvajanje člena 8. Določa minimalne zahteve za fizično varovanje prostorov, zgradb, pisarn, sob in drugih območij, kjer poteka delo s tajnimi podatki EU in kjer se ti hranijo, vključno z območji, kjer so nameščeni komunikacijski in informacijski sistemi.
2. Namen ukrepov fizične varnosti je preprečiti nepooblaščen dostop do tajnih podatkov EU:
z zagotovitvijo, da delo s tajnimi podatki EU poteka na ustrezen način in da se ti podatki ustrezno hranijo;
z omogočanjem ločevanja osebja glede na njihov dostop do tajnih podatkov EU na podlagi načela potrebe po seznanitvi in, kjer je to ustrezno, glede na njihovo varnostno preverjenost;
z odvračanjem, oviranjem in odkrivanjem nedovoljenih dejavnosti ter
s preprečevanjem ali zadrževanjem skrivnih ali nasilnih vdorov vsiljivcev.
II. ZAHTEVE IN UKREPI GLEDE FIZIČNE VARNOSTI
3. Ukrepi fizične varnosti se izberejo na podlagi ocene nevarnosti, ki jo opravijo pristojni organi. GSS in države članice v svojih prostorih uporabljajo postopek obvladovanja tveganja za varovanje tajnih podatkov EU, s čimer se zagotovi, da je stopnja fizične varnosti sorazmerna ocenjenemu tveganju. V okviru postopka obvladovanja tveganja se upoštevajo vsi ustrezni dejavniki, zlasti:
stopnja tajnosti tajnih podatkov EU;
oblika in obseg tajnih podatkov EU, ob upoštevanju, da je treba zaradi velike količine ali zbirke tajnih podatkov EU morda uporabiti strožje ukrepe varovanja;
okolica in struktura zgradb ali območij, kjer so tajni podatki EU, ter
ocena nevarnosti, ki jo za Unijo ali države članice pomenijo obveščevalne službe, ter nevarnosti zaradi sabotaže, terorizma, uničevalnih ali drugih kriminalnih dejavnosti.
4. Pristojni varnostni organ na podlagi koncepta globinske obrambe določi ustrezno kombinacijo ukrepov fizične varnosti, ki naj bi se izvedli. Vključujejo lahko enega ali več od naslednjih ukrepov:
pregrada varnostnega perimetra: fizična pregrada, ki varuje mejo območja, na katerem je potrebno varovanje;
sistem odkrivanja vdorov (IDS): IDS se lahko uporablja za izboljšanje stopnje varovanja, ki jo nudi pregrada varnostnega perimetra, ali v sobah in zgradbah namesto varnostnega osebja ali v pomoč temu osebju;
nadzor dostopa: nadzor dostopa se lahko izvaja na lokaciji, v zgradbi ali zgradbah na lokaciji ali na območjih ali v sobah v zgradbi. Nadzor se lahko izvaja z elektronskimi ali elektromehanskimi sredstvi, izvaja ga lahko varnostno osebje in/ali receptor ali pa se izvaja z drugimi fizičnimi sredstvi;
varnostno osebje: tudi za odvračanje posameznikov, ki načrtujejo prikrit vdor, se lahko zaposli usposobljeno, nadzorovano in ustrezno varnostno preverjeno varnostno osebje;
sistem televizije zaprtega kroga (CCTV): CCTV lahko varnostno osebje uporablja za preverjanje incidentov ter alarmov sistema odkrivanja vsiljivcev na obsežnih lokacijah ali v varnostnih perimetrih;
varnostna razsvetljava: varnostna razsvetljava se lahko uporabi za odvračanje morebitnih vsiljivcev ter za zagotavljanje osvetlitve, ki jo za učinkovit nadzor neposredno potrebuje varnostno osebje ali posredno sistem CCTV, ter
vsi drugi ustrezni fizični ukrepi, s katerimi naj bi odvračali ali odkrivali nepooblaščen dostop ali preprečili izgubo ali poškodovanje tajnih podatkov EU.
5. Pristojni organ je lahko pooblaščen za preglede na vhodih in izhodih, kar naj bi odvračalo od nedovoljenega vnosa materiala v prostore ali zgradbe ali od nedovoljene odstranitve tajnih podatkov EU iz njih.
6. Če obstaja tveganje vpogleda v tajne podatke EU, tudi po naključju, se sprejmejo ustrezni ukrepi za preprečitev tega tveganja.
7. Za nove objekte se zahteve glede fizične varnosti in njihove funkcijske specifikacije določijo v sklopu načrtovanja in zasnove objektov. Pri obstoječih objektih se zahteve glede fizične varnosti izvajajo v največji možni meri.
III. OPREMA ZA FIZIČNO ZAŠČITO TAJNIH PODATKOV EU
8. Pri nabavi opreme (kot so blagajne, uničevalci papirja, vratne ključavnice, elektronski sistemi nadzora dostopa, sistemi odkrivanja vsiljivcev, alarmni sistemi) za fizično varovanje tajnih podatkov EU pristojni varnostni organ zagotovi, da oprema izpolnjuje potrjene tehnične standarde in minimalne zahteve.
9. Tehnične specifikacije opreme, ki se bo uporabljala za fizično varovanje tajnih podatkov EU, se določijo v varnostnih smernicah, ki jih odobri Varnostni odbor.
10. Varnosti sistemi se redno inšpekcijsko pregledujejo, oprema pa se redno vzdržuje. Vzdrževalna dela upoštevajo izid inšpekcijskih pregledov, da se zagotovi, da oprema še naprej deluje optimalno.
11. Učinkovitost posameznih varnostnih ukrepov in celotnega varnostnega sistema se med vsakim inšpekcijskim pregledom ponovno oceni.
IV. FIZIČNO ZAŠČITENA OBMOČJA
12. Za fizično zaščito tajnih podatkov EU se vzpostavi dvoje vrst fizično zaščitenih območij ali enakovredna območja na državni ravni:
upravna območja ter
varovana območja (vključno s tehnično varovanimi območji).
Vsako sklicevanje na upravna območja in varovana območja, vključno s tehnično varovanimi območji, v tem sklepu pomeni tudi sklicevanje na enakovredna območja na državni ravni.
13. Pristojni varnostni organ ugotovi, da območje izpolnjuje zahteve in ga je zato mogoče določiti za upravno območje, varovano območje ali tehnično varovano območje.
14. Na upravnih območjih:
se vzpostavi vidno določen varnostni perimeter, ki omogoča preverjanje posameznikov in po možnosti vozil;
se vstop brez spremstva odobri le posameznikom, ki jih je pristojni organ za to ustrezno pooblastil, ter
imajo vsi drugi posamezniki ves čas spremstvo ali so pod enakovrednim nadzorom.
15. Na varovanih območjih:
se vzpostavi vidno določen in zaščiten perimeter, preko katerega se vsi vhodi in izhodi nadzorujejo z uporabo prepustnic ali s sistemom prepoznavanja oseb;
vstop brez spremstva se odobri le posameznikom, ki so varnostno preverjeni in posebej pooblaščeni za vstop na območje na podlagi njihove potrebe po seznanitvi, ter
imajo vsi drugi posamezniki ves čas spremstvo ali so pod enakovrednim nadzorom.
16. Če vstop na varovano območje praktično pomeni neposreden dostop do tajnih podatkov na tem območju, veljajo naslednje dodatne zahteve:
najvišja stopnja tajnosti podatkov, ki so običajno na območju, mora biti jasno označena;
vsi obiskovalci potrebujejo posebno pooblastilo za vstop na območje, imajo ves čas spremstvo in so ustrezno varnostno preverjeni, razen če je z ustreznimi ukrepi zagotovljeno, da dostop do tajnih podatkov EU ni mogoč.
17. Varovana območja, zaščitena pred prisluškovanjem, se določijo za tehnično varovana območja. Veljajo naslednje dodatne zahteve:
taka območja so opremljena s sistemom odkrivanja vsiljivcev in, kadar v prostorih ni nikogar, zaklenjena, sicer pa varovana. Vsi ključi so pod nadzorom skladno z oddelkom VI;
vstop vseh oseb in vnos vsega materiala na taka območja se nadzoruje;
taka območja se redno fizično in/ali tehnično inšpekcijsko pregledujejo, kakor to zahteva pristojni varnostni organ. Ti inšpekcijski pregledi se lahko izvajajo tudi po vsakem nepooblaščenem vstopu ali sumu takšnega vstopa ter
na takih območjih ni nedovoljenih komunikacijskih vodov, nedovoljenih telefonov ali drugih nedovoljenih komunikacijskih naprav ter električne in elektronske opreme.
18. Ne glede na točko (d) odstavka 17 pristojni varnostni organ pred uporabo komunikacijskih naprav ter električne ali elektronske opreme na območjih, kjer potekajo sestanki ali se opravlja delo s podatki stopnje tajnosti SECRET UE/EU SECRET in višje, ter je ocena nevarnosti za tajne podatke EU velika, to opremo najprej preveri, zato da zagotovi, da te naprave ne morejo nehoteno ali nezakonito pošiljati uporabnih podatkov zunaj varnostnega perimetra varovanega območja.
19. Varovana območja, na katerih dežurno osebje ni prisotno 24 ur na dan, se, kjer je to ustrezno, inšpekcijsko pregledajo po zaključku običajnega delovnega časa in v naključnih presledkih pred ali po običajnem delovnem času, razen če ni nameščen sistem za odkrivanje vsiljivcev.
20. V upravnem območju se lahko zaradi tajnega sestanka ali za podobne namene začasno vzpostavijo varovana območja in tehnično varovana območja.
21. Za vsako varovano območje se oblikujejo varnostno-operativni postopki, ki določajo:
stopnjo tajnih podatkov EU, s katerimi lahko poteka delo in se lahko hranijo v tem območju;
uporabljene nadzorne in zaščitne ukrepe;
posameznike, ki so zaradi svoje potrebe po seznanitvi in varnostne preverjenosti pooblaščeni za dostop na območje brez spremstva;
kjer je to ustrezno, postopke v zvezi s spremljanjem ali postopke za varovanje tajnih podatkov EU, ko drugi posamezniki dobijo dovoljenje za dostop na območje; ter
vse druge ustrezne ukrepe in postopke.
22. V varovanih območjih se zgradijo sobe-trezorji. Stene, tla, strope, okna in vrata, ki jih je mogoče zakleniti, odobri pristojni varnostni organ, zagotavljajo pa zaščito, enakovredno blagajni, odobreni za hrambo tajnih podatkov EU enake stopnje tajnosti.
V. FIZIČNI ZAŠČITNI UKREPI ZA DELO S TAJNIMI PODATKI EU IN NJIHOVO HRAMBO
23. Delo s tajnimi podatki stopnje tajnosti RESTREINT UE/EU RESTRICTED lahko poteka:
v varovanem območju;
v upravnem območju, če so tajni podatki EU zaščiteni pred dostopom nepooblaščenih posameznikov, ali
zunaj varovanega ali upravnega območja, če imetnik podatkov prenaša tajne podatke EU v skladu z odstavki 28 do 41 Priloge III in se je zavezal, da bo ravnal v skladu z nadomestnimi ukrepi iz varnostnih navodil pristojnega varnostnega organa, s čimer se zagotovi, da so tajni podatki EU zaščiteni pred dostopom nepooblaščenih oseb.
24. Tajni podatki EU stopnje tajnosti RESTREINT UE/EU RESTRICTED se hranijo v ustrezno zaklenjenem pisarniškem pohištvu v upravnem območju ali v varovanem območju. Začasno se lahko hranijo zunaj varovanega ali upravnega območja, če se je imetnik podatkov zavezal, da bo ravnal v skladu z nadomestnimi ukrepi iz varnostnih navodil pristojnega varnostnega organa.
25. Delo s tajnimi podatki stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ali SECRET UE/EU SECRET lahko poteka:
v varovanem območju;
v upravnem območju, če so tajni podatki EU zaščiteni pred dostopom nepooblaščenih posameznikov, ali
zunaj varovanega ali upravnega območja, če imetnik podatkov:
prenaša tajne podatke EU v skladu z odstavki 28 do 41 Priloge III;
se je zavezal, da bo ravnal v skladu z nadomestnimi ukrepi iz varnostnih navodil pristojnega varnostnega organa, s čimer se zagotovi, da so tajni podatki EU varovani pred dostopom nepooblaščenih oseb, ter
ima tajne podatke EU ves čas pod osebnim nadzorom ter
v primeru dokumentov na papirju o tem obvesti pristojni register.
26. Tajni podatki EU stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL in SECRET UE/EU SECRET se hranijo v varovanem območju v blagajni ali sobi-trezorju.
27. Delo s tajnimi podatki EU stopnje tajnosti TRÈS SECRET UE/EU TOP SECRET poteka v varovanem območju.
28. Tajni podatki EU stopnje tajnosti TRÈS SECRET UE/EU TOP SECRET se hranijo v varovanem območju pod enim od naslednjih pogojev:
v blagajni v skladu z odstavkom 8 z vsaj eno vrsto dodatnega nadzora:
neprekinjeno varovanje ali preverjanje, ki ga izvaja varnostno osebje ali dežurno osebje, ki je bilo ustrezno varnostno preverjeno;
odobren sistem odkrivanja vsiljivcev v kombinaciji z varnostnim osebjem za odzivanje;
v sobi-trezorju, opremljeni s sistemom odkrivanja vsiljivcev, v kombinaciji z varnostnim osebjem za odzivanje.
29. Pravila o prenašanju tajnih podatkov EU zunaj fizično varovanih območij so navedena v Prilogi III.
VI. NADZOR NAD KLJUČI IN KOMBINACIJAMI, KI SE UPORABLJAJO ZA VAROVANJE TAJNIH PODATKOV EU
30. Pristojni varnostni organ določi postopke za ravnanje s ključi in nastavitvami kombinacij za pisarne, sobe, sobe-trezorje in blagajne. Takšni postopki varujejo pred nepooblaščenim dostopom.
31. Nastavitve kombinacij si na pamet zapomni najmanjše možno število posameznikov, ki jih morajo poznati. Nastavitve kombinacij za blagajne in sobe-trezorje, kjer se hranijo tajni podatki EU, se spremenijo:
ob prejemu novega vsebnika;
vedno ko se zamenja osebje, ki pozna kombinacijo;
ob vsakem nepooblaščenem razkritju ali sumu razkritja;
ob vsakem vzdrževanju ali popravilu ključavnice; ter
najmanj vsakih 12 mesecev.
PRILOGA III
UPRAVLJANJE TAJNIH PODATKOV
I. UVOD
1. V tej prilogi so določbe za izvajanje člena 9. V njej so določeni upravni ukrepi za nadzor nad tajnimi podatki EU ves čas njihovega življenjskega cikla, ki so namenjeni odvračanju in odkrivanju takšnih podatkov po naključnem ali namernem nepooblaščenem razkritju ali izgubi.
II. STOPNJE TAJNOSTI
Stopnje tajnosti in oznake
2. Podatkom se stopnja tajnosti določi takrat, kadar jih je treba varovati zaradi njihove tajnosti.
3. Organ izvora tajnih podatkov EU je v skladu z ustreznimi smernicami za razvrstitev pristojen za določanje stopnje tajnosti in za začetno širjenje podatkov.
4. Stopnja tajnosti podatkov EU se določi v skladu s členom 2(2) in ob upoštevanju varnostne politike, ki se odobri v skladu s členom 3(3).
5. Stopnja tajnosti je jasno in pravilno označena, ne glede na to, ali so tajni podatki EU v pisni, ustni, elektronski ali kateri drugi obliki.
6. Posamezni deli nekega dokumenta (tj. strani, odstavki, oddelki, priloge, dodatki ter dodani in priloženi deli) so lahko različnih stopenj tajnosti in se jih ustrezno temu označi, tudi če se hranijo v elektronski obliki.
7. Splošna stopnja tajnosti dokumenta ali datoteke je vsaj tako visoka, kot del istega dokumenta z najvišjo stopnjo tajnosti. Če so podatki zbrani iz različnih virov, se končni izdelek pregleda zaradi dodelitve splošne stopnje tajnosti, saj mu bo morda treba določiti višjo stopnjo tajnosti, kot jo imajo njegovi sestavni deli.
8. Dokumenti z deli, ki so označeni z različnimi stopnjami tajnosti, se, kolikor je to mogoče, oblikujejo tako, da je mogoče dele z različnimi stopnjami tajnosti brez težav najti in po potrebi izločiti.
9. Stopnja tajnosti pisma ali dopisa, ki se nanaša na priloge, je enaka najvišji stopnji tajnosti prilog. Organ izvora mora, če je tak dokument ločen od prilog, jasno navesti njegovo stopnjo tajnosti, in sicer z ustreznimi oznakami, npr.:
CONFIDENTIEL UE/EU CONFIDENTIAL
Brez prilog(-e) RESTREINT UE/EU RESTRICTED
Oznake
10. Tajni podatki EU lahko poleg varnostnih oznak stopnje tajnosti iz člena 2(2) nosijo dodatne oznake, kot na primer:
označba, ki določa organ izvora;
kakršna koli opozorila, kode ali kratice za določitev področja dejavnosti, na katerega se nanaša dokument, ali za posebno razpošiljanje na podlagi potrebe po seznanitvi ali omejitve pri uporabi;
oznake pogojev za posredovanje ali
po potrebi datum ali določen dogodek, po katerem se lahko stopnja tajnosti zniža ali se tajnost prekliče.
Okrajšane oznake stopnje tajnosti
11. Standardizirane okrajšane oznake stopnje tajnosti se lahko uporabijo za navedbo stopnje tajnosti posameznih odstavkov besedila. Okrajšave ne nadomestijo celotnih oznak tajnosti.
12. Spodaj navedene standardizirane okrajšave se tako lahko uporabljajo v tajnih dokumentih EU za označevanje stopnje tajnosti delov ali segmentov besedila, krajših od ene strani:
TRÈS SECRET UE/EU TOP SECRET |
TS-UE/EU-TS |
SECRET UE/EU SECRET |
S-UE/EU-S |
CONFIDENTIEL UE/EU CONFIDENTIAL |
C-UE/EU-C |
RESTREINT UE/EU RESTRICTED |
R-UE/EU-R |
Priprava tajnih podatkov EU
13. Pri pripravi tajnega dokumenta EU:
se vsaka stran jasno označi s stopnjo tajnosti;
se vsaka stran oštevilči;
dokument nosi opravilno številko in ime zadeve, ki pa sama po sebi nista tajni podatek, razen če ni tako označeno;
se dokument datira; ter
pri dokumentih stopnje tajnosti SECRET UE/EU SECRET ali višje je treba na vsaki strani navesti številko kopije, če se razpošiljajo v več izvodih.
14. Če za tajne podatke EU ni mogoče uporabljati odstavka 13, se sprejmejo drugi ustrezni ukrepi v skladu z varnostnimi smernicami iz člena 6(2).
Znižanje stopnje tajnosti in preklic stopenj tajnosti za tajne podatke EU
15. Organ izvora ob nastanku tajnih podatkov EU po možnosti in zlasti za podatke stopnje tajnosti RESTREINT UE/EU RESTRICTED navede, ali se stopnja tajnosti lahko zniža ali prekliče na določen datum ali po določenem dogodku.
16. GSS redno pregleduje svoje tajne podatke EU, da bi ugotovil, ali je stopnja tajnosti še ustrezna. GSS vzpostavi sistem pregledovanja stopnje tajnosti tajnih podatkov EU, ki jih je ustvaril, vsaj vsakih pet let. Takšen pregled ni potreben, če je organ izvora že na začetku navedel, da bo stopnja tajnosti podatkov samodejno znižana ali da bodo preklicane stopnje tajnosti, in če je podatek temu ustrezno označen.
III. VPIS TAJNIH PODATKOV EU IZ VARNOSTNIH RAZLOGOV
17. Za vsak organizacijski subjekt v GSS in državnih upravah držav članic, v katerem poteka delo s tajnimi podatki EU, se določi pristojni register, ki zagotovi, da delo s tajnimi podatki EU poteka v skladu s tem sklepom. Registri se uredijo kot varovana območja, kakor so opredeljena v Prilogi II.
18. Za namene tega sklepa vpis iz varnostnih razlogov (v nadaljnjem besedilu: vpis) pomeni uporabo postopkov, ki evidentirajo življenjski cikel materiala, vključno z njegovim razširjanjem in uničenjem.
19. Ves material stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL in višje se ob prispetju v organizacijski subjekt ali pri odpošiljanju iz njega vpiše pri za to namenjenem registru.
20. Centralni register v GSS vodi evidenco vseh tajnih podatkov, ki jih Svet in GSS dasta tretjim državam in mednarodnim organizacijam, ter vseh tajnih podatkov, ki jih prejmeta od tretjih držav ali mednarodnih organizacij.
21. V primeru komunikacijskega in informacijskega sistema se vpisni postopki lahko opravijo v okviru procesov znotraj samega komunikacijskega in informacijskega sistema.
22. Svet odobri varnostno politiko glede vpisovanja tajnih podatkov EU iz varnostnih razlogov.
Registri za podatke stopnje tajnosti TRÈS SECRET UE/EU TOP SECRET
23. V državah članicah in GSS se določi register, ki deluje kot centralni organ za prejemanje in razpošiljanje podatkov stopnje tajnosti TRÈS SECRET UE/EU TOP SECRET. Po potrebi se lahko določijo podregistri, v katerih delajo s takšnimi podatki za potrebe vpisovanja.
24. Takšni podregistri ne smejo pošiljati dokumentov stopnje tajnosti TRÈS SECRET UE/EU TOP SECRET neposredno drugim podregistrom v sklopu istega centralnega registra za podatke stopnje tajnosti TRÈS SECRET UE/EU TOP SECRET ali zunaj njega brez njegovega izrecnega pisnega dovoljenja.
IV. KOPIRANJE IN PREVAJANJE TAJNIH DOKUMENTOV EU
25. Dokumenti stopnje tajnosti TRÈS SECRET UE/EU TOP SECRET se lahko kopirajo ali prevajajo le s predhodnim pisnim soglasjem organa izvora.
26. Če organ izvora dokumentov stopnje tajnosti SECRET UE/EU SECRET in nižje ni navedel opozoril glede kopiranja ali prevajanja, se lahko po navodilu imetnika takšni dokumenti kopirajo ali prevajajo.
27. Varnostni ukrepi, ki veljajo za izvorni dokument, veljajo tudi za njegove kopije in prevode.
V. PRENAŠANJE TAJNIH PODATKOV EU
28. Za prenašanje tajnih podatkov EU veljajo varnostni ukrepi iz odstavkov 30 do 41. Pri prenašanju tajnih podatkov EU na elektronskih medijih se ukrepi varovanja, navedeni v nadaljevanju, ne glede na člen 9(4) lahko dopolnijo z ustreznimi tehničnimi protiukrepi, ki jih predpiše pristojni varnostni organ, tako da se čim bolj zmanjša nevarnost izgube ali nepooblaščenega razkritja.
29. Pristojni varnostni organi v GSS in državah članicah izdajo navodila za prenašanje tajnih podatkov EU v skladu s tem sklepom.
Znotraj zgradbe ali samostojne skupine zgradb
30. Tajni podatki EU, ki se prenašajo znotraj zgradbe ali samostojne skupine zgradb, se zakrijejo zaradi preprečitve razkritja njihove vsebine.
31. Znotraj zgradbe ali samostojne skupine zgradb se podatki stopnje tajnosti TRÈS SECRET UE/EU TOP SECRET prenašajo v zaščitenih ovojnicah, na katerih je samo ime naslovnika.
Znotraj Unije
32. Tajni podatki EU, ki se prenašajo med zgradbami ali prostori v Uniji, so pakirani tako, da so zaščiteni pred nepooblaščenim razkritjem.
33. Prenašanje podatkov stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ali SECRET UE/EU SECRET znotraj EU poteka na enega izmed naslednjih načinov:
po vojaškem, vladnem ali diplomatskem kurirju, kakor je ustrezno;
ročno, pod pogojem da:
se tajni podatki EU ne dajo iz rok prenašalca, razen če se hranijo v skladu z zahtevami iz Priloge II;
se tajni podatki EU ne odprejo na poti ali berejo na javnih mestih;
so posamezniki poučeni o svoji odgovornosti v zvezi z varovanjem tajnosti; ter
se posameznikom po potrebi zagotovi kurirsko potrdilo;
z uporabo poštnih služb ali komercialnih kurirskih služb, če:
jih je odobril nacionalni varnostni organ v skladu z nacionalnimi zakoni in predpisi; ter
uporabljajo ustrezne ukrepe varovanja v skladu z minimalnimi zahtevami, ki se določijo v varnostnih smernicah iz člena 6(2).
V primeru prenašanja iz ene države članice v drugo se določbe iz točke (c) omejijo na podatke do stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL.
34. Podatki stopnje tajnosti RESTREINT UE/EU RESTRICTED se lahko prenašajo tudi prek poštnih služb ali komercialnih kurirskih služb. Za njihovo prenašanje ni potrebno kurirsko potrdilo.
35. Material stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL in SECRET UE/EU SECRET (npr. oprema ali stroji), ki se ne more prenašati na načine iz odstavka 33, kot tovor prepeljejo komercialne prevozne družbe v skladu s Prilogo V.
36. Podatki stopnje tajnosti TRÈS SECRET UE/EU TOP SECRET se med zgradbami ali prostori v Uniji prenašajo po vojaškem, vladnem ali diplomatskem kurirju, kakor je ustrezno.
Iz Unije na ozemlje tretje države
37. Tajni podatki EU, ki se prenašajo iz Unije na ozemlje tretje države, so pakirani tako, da so zaščiteni pred nepooblaščenim razkritjem.
38. Prenašanje podatkov stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL in SECRET UE/EU SECRET iz Unije na ozemlje tretje države poteka na enega izmed naslednjih načinov:
po vojaškem ali diplomatskem kurirju;
ročno, pod pogojem da:
je na paketu uradna plomba ali je pakiran tako, da nakazuje, da gre za uradno pošiljko, ki ne gre skozi carinski in varnostni pregled;
imajo posamezniki pri sebi kurirsko potrdilo, ki opredeljuje paket in jih pooblašča za njegov prenos;
se tajni podatki EU ne dajo iz rok prenašalca, razen če se hranijo v skladu z zahtevami iz Priloge II;
se tajni podatki EU ne odprejo na poti ali berejo na javnih mestih; ter
so posamezniki poučeni o svoji odgovornosti v zvezi z varnostjo.
39. Pri prenašanju podatkov stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL in SECRET UE/EU SECRET, ki jih Unija posreduje tretji državi ali mednarodni organizaciji, se upoštevajo ustrezne določbe iz sporazuma o varnosti podatkov ali dogovora o izvajanju v skladu s členom 13(2)(a) ali (b).
40. Podatki stopnje tajnosti RESTREINT UE/EU RESTRICTED se lahko prenašajo tudi prek poštnih služb ali komercialnih kurirskih služb.
41. Podatki stopnje tajnosti TRÈS SECRET UE/EU TOP SECRET se iz Unije na ozemlje tretje države prenašajo po vojaškem ali diplomatskem kurirju.
VI. UNIČENJE TAJNIH PODATKOV EU
42. Tajni dokumenti EU, ki niso več potrebni, se lahko uničijo, brez poseganja v ustrezna pravila in predpise o arhiviranju.
43. Dokumente, ki se vpisujejo v skladu s členom 9(2), po navodilu imetnika tajnih podatkov ali pristojnega organa uniči pristojni register. Vpisniki in drugi podatki o vpisu se ustrezno posodobijo.
44. Dokumenti stopnje tajnosti SECRET UE/EU SECRET ali TRÈS SECRET UE/EU TOP SECRET se uničijo v prisotnosti priče, ki je varnostno preverjena vsaj do stopnje tajnosti dokumenta, ki se uničuje.
45. Uradnik registra in priča, če je njena navzočnost obvezna, podpišeta potrdilo o uničenju, ki se shrani v registru. Register potrdila o uničenju dokumentov stopnje TRÈS SECRET UE/EU TOP SECRET hrani vsaj deset let, potrdila o uničenju dokumentov stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL in SECRET UE/EU SECRET pa vsaj pet let.
46. Tajni dokumenti, vključno s tajnimi dokumenti stopnje tajnosti RESTREINT UE/EU RESTRICTED, se uničijo po metodah, ki so skladne z ustreznimi standardi Unije ali enakovrednimi standardi ali so jih odobrile države članice v skladu z nacionalnimi tehničnimi standardi, da se prepreči celovita ali delna obnova.
47. Uničenje računalniških shranjevalnih nosilcev, ki se uporabljajo za tajne podatke EU, poteka v skladu z odstavkom 37 Priloge IV.
48. V primeru izrednih razmer, če obstaja neposredna nevarnost nepooblaščenega razkritja, tajne podatke EU imetnik uniči, tako da jih ni mogoče v celoti ali delno ponovno sestaviti. Organ izvora in izvorni register se obvestita o nujnem uničenju vpisanih tajnih podatkov EU.
VII. OCENJEVALNI OBISKI
49. Izraz „ocenjevalni obisk“ v nadaljevanju pomeni:
inšpekcijski pregled ali ocenjevalni obisk v skladu s členom 9(3) ter točkami (e), (f) in (g) člena 16(2); ali
ocenjevalni obisk v skladu s členom 13(5),
s katerimi se ovrednoti učinkovitost ukrepov, ki se izvajajo za varovanje tajnih podatkov EU.
50. Namen ocenjevalnih obiskov je, med drugim:
zagotoviti spoštovanje zahtevanih minimalnih standardov za varovanje tajnih podatkov EU, določenih v tem sklepu;
izpostaviti pomen varnosti in učinkovitega obvladovanja tveganja v subjektih, kjer poteka inšpekcijski pregled;
priporočiti protiukrepe za blažitev specifičnih posledic izgube zaupnosti, celovitosti ali razpoložljivosti tajnih podatkov ter
okrepiti izobraževalne programe in programe ozaveščanja v teku, ki jih izvajajo varnostni organi.
51. Pred koncem vsakega koledarskega leta Svet sprejme program ocenjevalnih obiskov iz točke (c) člena 16(1) za naslednje leto. Dejanski datum vsakega ocenjevalnega obiska se določi v dogovoru z zadevnim organom ali agencijo Unije, državo članico, tretjo državo ali mednarodno organizacijo.
Opravljanje ocenjevalnih obiskov
52. Z ocenjevalnimi obiski se pri subjektu preverijo ustrezna pravila, predpisi in postopki, preveri se tudi, ali prakse subjekta ustrezajo temeljnim načelom in minimalnim standardom iz tega sklepa in določbam o izmenjavi tajnih podatkov s tem subjektom.
53. Ocenjevalni obiski se izvajajo v dveh fazah. Pred samim obiskom se po potrebi organizira pripravljalni sestanek z zadevnim subjektom, nato pa ekipa ocenjevalnega obiska v dogovoru z zadevnim subjektom pripravi podroben program obiska, ki zajema vsa področja varnosti. Ekipa ocenjevalnega obiska bi morala imeti dostop do vseh lokacij, kjer poteka delo s tajnimi podatki EU, še zlasti pa do registrov in dostopovnih vozlišč komunikacijskih in informacijskih sistemov.
54. Ocenjevalni obiski nacionalnih uprav držav članic, tretjih držav in mednarodnih organizacij se opravijo s polnim sodelovanjem uradnikov subjekta, tretje države ali mednarodne organizacije, kjer se pregledi opravljajo.
55. Ocenjevalni obiski organov, agencij in subjektov Unije, ki uporabljajo ta sklep ali njegova načela, se opravijo s pomočjo strokovnjakov iz nacionalnih varnostnih organov, na ozemlju katerih se organ ali agencija nahaja.
56. V primeru ocenjevalnih obiskov organov, agencij in subjektov Unije, ki uporabljajo ta sklep ali njegova načela, ter v tretjih državah in mednarodnih organizacijah se lahko zaprosi za pomoč in prispevke strokovnjakov nacionalnega varnostnega organa v skladu z natančnimi načrti, o katerih se dogovori Varnostni odbor.
Poročila
57. Ob koncu ocenjevalnega obiska se obiskanemu subjektu predložijo glavni zaključki in priporočila. Nato se pripravi poročilo o ocenjevalnem obisku. Če so bili predlagani korektivni ukrepi in priporočila, se v poročilo vključi dovolj podrobnosti, da je mogoče dosežene zaključke utemeljiti. Poročilo se pošlje ustreznemu organu obiskanega subjekta.
58. Pri ocenjevalnih obiskih, opravljenih v državnih upravah držav članic:
se osnutek ocenjevalnega poročila pošlje zadevnemu nacionalnemu varnostnemu organu, ki preveri, da so dejstva v njem pravilna in da ne vsebuje podatkov višje stopnje od RESTREINT UE/EU RESTRICTED; ter
razen če nacionalni varnostni organ zadevne države članice ne prepove splošnega razpošiljanja, se ocenjevalna poročila pošljejo Varnostnemu odboru; stopnja tajnosti poročila je RESTREINT UE/EU RESTRICTED.
V pristojnosti Varnostnega organa GSS (Varnostnega urada) se pripravi redno poročilo, v katerem se poudarijo dognanja ocenjevalnih obiskov, opravljenih v določenem obdobju v državah članicah; Varnostni odbor to poročilo preuči.
59. Poročila o ocenjevalnih obiskih tretjih držav in mednarodnih organizacij se pošljejo Varnostnemu odboru. Stopnja tajnosti poročila je vsaj RESTREINT UE/EU RESTRICTED. Ob naslednjem obisku se preverijo vsi korektivni ukrepi; o njih se poroča Varnostnemu odboru.
60. V primeru ocenjevalnih obiskov katerega koli organa, agencije in subjekta EU, ki uporablja ta sklep oziroma načela tega sklepa, se poročila o ocenjevalnih obiskih pošljejo Varnostnemu odboru. Osnutek poročila o ocenjevalnem obisku se pošlje zadevni agenciji ali organu, da preveri, ali so dejstva v njem pravilna in ne vsebuje podatkov višje stopnje tajnosti od RESTREINT UE/EU RESTRICTED. Ob naslednjem obisku se preverijo vsi korektivni ukrepi; o njih se poroča Varnostnemu odboru.
61. Varnostni organ GSS izvaja redne inšpekcijske preglede organizacijskih subjektov v GSS za namene iz odstavka 50.
Kontrolni seznam
62. Varnostni organ GSS (Varnostni urad) pripravi in posodablja kontrolni seznam točk, ki jih je treba preveriti med ocenjevalnim obiskom. Ta kontrolni seznam se pošlje Varnostnemu odboru.
63. Informacije za izpolnitev kontrolnega seznama se pridobijo zlasti med obiskom pri osebju za upravljanje varovanja tajnosti subjekta, v katerem se izvaja inšpekcijski pregled. Ko je kontrolni seznam izpolnjen s podrobnimi odgovori, se mu v dogovoru s pregledanim subjektom določi stopnja tajnosti. Ni del poročila o inšpekcijskem pregledu.
PRILOGA IV
VAROVANJE TAJNIH PODATKOV EU, S KATERIMI POTEKA DELO V KOMUNIKACIJSKIH IN INFORMACIJSKIH SISTEMIH
I. UVOD
1. V tej prilogi so določbe za izvajanje člena 10.
2. Za varnost in pravilno delovanje operacij v komunikacijskih in informacijskih sistemih (KIS) so ključne naslednje lastnosti in pojmi v zvezi z zagotavljanjem informacijske varnosti:
avtentičnost |
: |
zagotovilo, da so podatki pravi in iz zaupanja vrednih virov; |
razpoložljivost |
: |
podatki so dostopni ter na voljo za uporabo na zahtevo pooblaščenega subjekta; |
tajnost |
: |
podatki se ne razkrijejo nepooblaščenim posameznikom in subjektom ali ne uporabijo v postopkih, kjer to ni dovoljeno; |
celovitost |
: |
zagotavljanje točnosti in celovitosti podatkov in sestavnih delov; |
nezatajljivost |
: |
zmožnost dokazati, da se je dejanje zgodilo ali da je prišlo do dogodka, tako da tega kasneje ni mogoče zanikati. |
II. NAČELA ZA ZAGOTAVLJANJE INFORMACIJSKE VARNOSTI
3. Določbe v nadaljevanju predstavljajo osnovo za varnost vseh komunikacijskih in informacijskih sistemov, v katerih poteka delo s tajnimi podatki EU. Natančne zahteve za izvajanje teh določb so opredeljene v politikah o zagotavljanju informacijske varnosti in varnostnih smernicah.
Obvladovanje varnostnega tveganja
4. Obvladovanje varnostnega tveganja je sestavni del določanja, razvijanja, delovanja in vzdrževanja komunikacijskih in informacijskih sistemov. Postopek obvladovanja tveganja (ocena, obravnava, sprejemanje in obveščanje) kot ponavljajoč se postopek skupaj izvajajo predstavniki lastnikov sistema, projektni organi, operativni organi in varnostni organi za odobritev, ki uporabljajo preverjen, pregleden ter popolnoma razumljiv postopek ocene tveganja. Področje komunikacijskih in informacijskih sistemov ter njihovih sestavnih delov je jasno določeno na začetku izvajanja postopka za obvladovanje tveganja.
5. Pristojni organi preučijo morebitne nevarnosti za komunikacijske in informacijske sisteme in poskrbijo za posodobljene in natančne ocene nevarnosti, ki odražajo trenutno operativno okolje. Stalno posodabljajo znanje o vprašanjih glede izpostavljenosti in redno pregledujejo ocene ranljivih točk ter tako sledijo spremembam na področju informacijske tehnologije (IT).
6. Namen obravnave varnostnega tveganja je uporabiti sklop varnostnih ukrepov, s čimer se doseže zadovoljivo ravnovesje med zahtevami uporabnikov, stroški in preostalim varnostnim tveganjem.
7. Konkretne zahteve, obseg in stopnja natančnosti, ki jih za akreditacijo komunikacijskih in informacijskih sistemov določi pristojni organ za varnostno akreditacijo, morajo biti sorazmerni z ocenjenim tveganjem ob upoštevanju vseh pomembnih dejavnikov, med drugim stopnje tajnosti podatkov EU v komunikacijskih in informacijskih sistemih. Akreditacija vključuje uradno izjavo pristojnega organa o preostalem tveganju in sprejemanju tega tveganja.
Varnost ves čas življenjskega cikla komunikacijskih in informacijskih sistemov
8. Zagotovitev varnosti je ena od zahtev, ki velja ves čas življenjskega cikla komunikacijskih in informacijskih sistemov od njihove uvedbe do prenehanja delovanja.
9. Za vsako fazo življenjskega cikla komunikacijskega in informacijskega sistema se določita vloga in interakcija, ki jo ima v zvezi z varnostjo sistema vsak akter, ki je vanj vključen.
10. Vsak komunikacijski in informacijski sistem, vključno s tehničnimi in netehničnimi varnostnimi ukrepi, se v okviru akreditacijskega postopka varnostno preskusi, da se zagotovi ustrezna stopnja jamstva in preveri, ali se pravilno izvajajo ter ali so pravilno integrirani in konfigurirani.
11. Varnostne ocene, inšpekcijski pregledi in pregledi se med obratovanjem komunikacijskega in informacijskega sistema in v času njihovega vzdrževanja izvajajo v rednih časovnih presledkih, pa tudi v izjemnih okoliščinah.
12. Varnostna dokumentacija za komunikacijske in informacijske sisteme se razvija ves čas njihovega življenjskega cikla v sklopu spreminjanja in upravljanja konfiguracije.
Najboljša praksa
13. GSS in države članice sodelujejo pri oblikovanju najboljših praks za varovanje tajnih podatkov EU, s katerimi poteka delo v komunikacijskih in informacijskih sistemih. Smernice glede najboljših praks določajo tehnične, fizične, organizacijske in postopkovne varnostne ukrepe za komunikacijske in informacijske sisteme, katerih učinkovitost pri preprečevanju določenih nevarnosti in ranljivih točk je dokazana.
14. K varovanju tajnih podatkov EU, s katerimi poteka delo v komunikacijskih in informacijskih sistemih, prispevajo tudi izkušnje subjektov, ki delujejo na področju zagotavljanja varnosti v Uniji in drugod.
15. Razširjanje najboljše prakse in nato njeno izvajanje prispeva k doseganju enakovredne ravni jamstva pri različnih komunikacijskih in informacijskih sistemih, s katerimi upravljajo GSS in države članice, ki delajo s tajnimi podatki EU.
Globinska obramba
16. Za ublažitev tveganja za komunikacijske in informacijske sisteme se izvaja vrsta tehničnih in netehničnih varnostnih ukrepov, ki so organizirani kot večplastna obramba. Te plasti zajemajo:
(a) |
odvračanje : varnostni ukrepi za odvrnitev od načrtovanja sovražnih napadov na komunikacijske in informacijske sisteme; |
(b) |
preprečevanje : varnostni ukrepi za oviranje ali zaustavitev napadov na komunikacijske in informacijske sisteme; |
(c) |
odkrivanje : varnostni ukrepi za odkrivanje napadov na komunikacijske in informacijske sisteme; |
(d) |
odpornost : varnostni ukrepi za omejitev učinka napadov na najmanjši možen sklop podatkov ali sestavnih delov komunikacijskih in informacijskih sistemov ter preprečevanje nadaljnje škode ter |
(e) |
ponovna vzpostavitev : varnostni ukrepi za ponovno vzpostavitev varnosti v okviru komunikacijskih in informacijskih sistemov. |
Stopnja strogosti takšnih varnostnih ukrepov se določi po oceni tveganja.
17. Nacionalni varnostni organ ali drug pristojni organ zagotovi, da:
se izvajajo zmogljivosti kibernetske obrambe za odziv na nevarnosti, ki lahko presegajo organizacijske in državne meje, ter
se uskladijo odzivi in izmenjajo informacije o teh nevarnostih, dogodkih in z njimi povezanih tveganjih (zmogljivosti odzivanja na izredne razmere na področju informatike).
Načelo minimalnosti in najmanjšega privilegija
18. Izvajajo se le ključne funkcionalnosti, naprave in storitve, potrebne za obratovanje, da ni izpostavljanja nepotrebnim tveganjem.
19. Uporabniki komunikacijskih in informacijskih sistemov ter avtomatizirani postopki dobijo le takšen dostop, privilegije ali pooblastila, ki jih potrebujejo za opravljanje svojih nalog, da se omeji škoda, ki bi nastala zaradi nesreč, napak ali nepooblaščene uporabe virov v komunikacijskih in informacijskih sistemih.
20. Vpisni postopki, ki se po potrebi opravijo v komunikacijskih in informacijskih sistemih, se preverijo kot del postopka akreditacije.
Ozaveščenost o zagotavljanju informacijske varnosti
21. Za varnost komunikacijskih in informacijskih sistemov je v prvi vrsti pomembno poznavanje tveganj in razpoložljivih varnostnih ukrepov. Zlasti vsi člani osebja, vključeni v življenjski cikel komunikacijskih in informacijskih sistemov, vključno z uporabniki, se morajo zavedati:
da lahko kršitve varnosti povzročijo znatno škodo v komunikacijskih in informacijskih sistemih;
morebitne škode za druge, ki lahko nastane zaradi medsebojne povezanosti in soodvisnosti, ter
svojih individualnih obveznosti in odgovornosti v zvezi z varnostjo komunikacijskih in informacijskih sistemov glede na vlogo, ki jo imajo v sistemih in postopkih.
22. Da bi zagotovili ustrezno razumevanje odgovornosti glede varnosti, mora biti izobraževanje o informacijski varnosti in usposabljanje za krepitev ozaveščenosti obvezno za vse ustrezno osebje, vključno z višjim vodstvom in uporabniki komunikacijskih in informacijskih sistemov.
Ocena in odobritev varnostnih izdelkov IT
23. Potrebna stopnja zaupanja v varnostne ukrepe, opredeljena kot stopnja jamstva, se določi glede na rezultat postopka obvladovanja tveganja in v skladu z ustreznimi varnostnimi politikami in varnostnimi smernicami.
24. Stopnja jamstva se preveri z mednarodno priznanimi postopki in metodologijami ali postopki in metodologijami, ki so odobreni na nacionalni ravni. To so predvsem ocena, nadzor in presoja.
25. Šifrirne izdelke za varovanje tajnih podatkov EU oceni in odobri nacionalni organ države članice za odobritev šifrirnih metod in izdelkov (CAA).
26. Preden se v skladu s členom 10(6) takšni šifrirni izdelki priporočijo v odobritev Svetu ali generalnemu sekretarju, jih mora pozitivno oceniti še drug ustrezno usposobljen organ države članice (AQUA), ki ni vključen v načrtovanje ali izdelovanje opreme. Kako natančna mora biti druga ocena, je odvisno od predvidene najvišje stopnje tajnosti tajnih podatkov EU, ki se jih s temi izdelki varuje. Varnostno politiko glede ocene in odobritve šifrirnih izdelkov odobri Svet.
27. Svet oziroma generalni sekretar lahko na priporočilo Varnostnega odbora zaradi posebnih operativnih razlogov opusti zahtevo iz odstavka 25 ali 26 te priloge in za določen čas izda odobritev v skladu s postopkom iz člena 10(6).
28. Svet lahko na priporočilo Varnostnega odbora odobri postopek ocene, izbire in odobritve šifrirnih izdelkov iz tretje države ali mednarodne organizacije ter v skladu s tem odloči, da so taki šifrirni izdelki odobreni za varovanje tajnih podatkov EU, danih tej tretji državi ali mednarodni organizaciji.
29. Ustrezno usposobljen organ je organ države članice za odobritev šifrirnih metod in izdelkov, ki je bil za izvedbo druge ocene šifrirnih izdelkov za varovanje tajnih podatkov EU akreditiran na podlagi meril, ki jih je določil Svet.
30. Svet odobri varnostno politiko glede ustreznosti in odobritve nešifrirnih varnostnih izdelkov IT.
Pošiljanje znotraj varovanih in upravnih območij
31. Ne glede na določbe tega sklepa se v primerih, ko je pošiljanje tajnih podatkov EU omejen na varovana območja ali upravna območja, lahko uporabi nešifrirano pošiljanje ali šifriranje na nižji stopnji, in sicer na podlagi rezultata postopka obvladovanja tveganja in odobritve organa za varnostno akreditacijo.
Varne medsebojne povezave komunikacijskih in informacijskih sistemov
32. V tem sklepu medsebojna povezanost sistemov pomeni neposredno povezavo dveh ali več sistemov IT za namen izmenjave podatkov in drugih informacijskih virov (npr. komunikacija) v eni ali več smereh.
33. Komunikacijski in informacijski sistemi vsak sistem IT, povezan z njimi, samodejno obravnavajo kot nezanesljiv in izvedejo ukrepe varovanja, s katerimi se nadzoruje izmenjavo tajnih podatkov.
34. Povezave komunikacijskih in informacijskih sistemov z drugim sistemom IT ustrezajo naslednjim osnovnim zahtevam:
pristojni organi določijo in odobrijo poslovne ali operativne zahteve za takšne povezane sisteme;
za povezane sisteme se izvedeta postopek obvladovanja tveganja in akreditacijski postopek, odobriti pa jih morajo pristojni organi za varnostno akreditacijo ter
na varnostnem perimetru vseh komunikacijskih in informacijskih sistemov se izvajajo storitve v zvezi z zaščito razmejitve (BPS).
35. Akreditiran komunikacijski in informacijski sistem ter nezavarovano ali javno omrežje ne smeta biti med seboj povezana, razen če ima komunikacijski in informacijski sistem v ta namen med njim ter nezavarovanim ali javnim omrežjem nameščene odobrene storitve v zvezi z zaščito razmejitve. Varnostne ukrepe za takšne medsebojne povezave pregleda pristojni organ za zagotavljanje informacijske varnosti, odobri pa jih pristojni organ za varnostno akreditacijo.
Če se nezaščiteno ali javno omrežje uporablja izključno za prenos in so podatki šifrirani s šifrirnim izdelkom, odobrenim v skladu s členom 10, se takšna povezava ne šteje za medsebojno povezavo.
36. Neposredna ali kaskadna medsebojna povezava komunikacijskega in informacijskega sistema, akreditiranega za delo s podatki stopnje tajnosti TRÈS SECRET UE/EU TOP SECRET, z nezavarovanim ali javnim omrežjem je prepovedana.
Računalniški nosilci podatkov
37. Računalniški nosilci podatkov se uničijo v skladu s postopki, ki jih odobri pristojni varnostni organ.
38. Računalniški nosilci podatkov se lahko ponovno uporabijo, stopnja njihove tajnosti pa se lahko v skladu z varnostnimi smernicami iz člena 6(2) zniža ali prekliče.
Izredne razmere
39. Ne glede na določbe tega sklepa se posebni postopki, opisani v nadaljevanju, lahko uporabijo v izrednih razmerah, kot na primer v času preteče ali dejanske krize, spopada, vojnih razmer ali v izjemnih operativnih okoliščinah.
40. Tajni podatki EU se lahko pošiljajo z uporabo šifrirnih izdelkov, ki so bili odobreni za nižjo stopnjo tajnosti, ali brez šifriranja s soglasjem pristojnega organa, če bi kakršna koli zamuda povzročila škodo, ki bi bila nedvomno večja od škode zaradi razkritja tajnega materiala, in če:
pošiljatelj in prejemnik nimata potrebnih naprav za šifriranje ali nimata nobenih takih naprav ter
tajnega materiala ni mogoče pravočasno poslati na drug način.
41. Tajni podatki, poslani pod pogoji iz odstavka 39, nimajo nikakršnih oznak ali navedb, na podlagi katerih bi jih bilo mogoče ločiti od podatkov, ki niso tajni ali ki se lahko zaščitijo z razpoložljivim šifrirnim izdelkom. Prejemniki so o stopnji tajnosti nemudoma obveščeni, vendar na drugačen način.
42. Če se uporabi odstavek 39, se pristojnemu organu in Varnostnemu odboru naknadno pošlje poročilo.
III. FUNKCIJE IN ORGANI ZA ZAGOTAVLJANJE INFORMACIJSKE VARNOSTI
43. V državah članicah in GSS se določijo naslednje funkcije na področju zagotavljanja informacijske varnosti. Te funkcije ne potrebujejo enotnih organizacijskih subjektov. Imajo ločene naloge. Vendar se lahko te funkcije in odgovornosti združujejo ali vključujejo v isti organizacijski subjekt ali porazdeljujejo po različnih organizacijskih subjektih pod pogojem, da ne pride do notranjih nasprotij interesov ali nalog.
Organ za zagotavljanje informacijske varnosti
44. Organ za zagotavljanje informacijske varnosti je odgovoren za:
razvijanje varnostnih politik in varnostnih smernic za zagotavljanje informacijske varnosti ter spremljanje njihove učinkovitosti in ustreznosti;
varovanje tehničnih informacij, povezanih s šifrirnimi izdelki, ter ravnanje z njimi;
zagotavljanje, da so ukrepi za zagotavljanje informacijske varnosti, izbrani za varovanje tajnih podatkov EU, v skladu z ustreznimi politikami, ki določajo njihovo upravičenost in urejajo njihov izbor;
zagotavljanje, da so šifrirni izdelki izbrani v skladu s politikami, ki določajo njihovo upravičenost in urejajo njihov izbor;
usklajevanje usposabljanja in ozaveščenosti o informacijski varnosti;
posvetovanje s ponudnikom sistema, akterji na varnostnem področju in predstavniki uporabnikov glede varnostnih politik in varnostnih smernic za zagotavljanje informacijske varnosti ter
zagotavljanje razpoložljivosti ustreznega strokovnega znanja v strokovnem podpodročju Varnostnega odbora za vprašanja zagotavljanja informacijske varnosti.
Organ TEMPEST
45. Organ TEMPEST (TA) je pristojen za zagotavljanje, da komunikacijski in informacijski sistemi ustrezajo politikam in smernicam TEMPEST. Organ odobri protiukrepe TEMPEST za namestitev in izdelke za varovanje tajnih podatkov EU do določene stopnje tajnosti v njegovem operativnem okolju.
Organ za odobritev šifrirnih metod in izdelkov
46. Organ za odobritev šifrirnih metod in izdelkov (CAA) zagotavlja, da šifrirni izdelki ustrezajo nacionalni šifrirni politiki ali šifrirni politiki Sveta. Šifrirni izdelek odobri za varovanje tajnih podatkov EU do določene stopnje tajnosti v njegovem operativnem okolju. V državah članicah je organ za odobritev šifrirnih metod in izdelkov poleg tega pristojen za ocenjevanje šifrirnih izdelkov.
Organ za razpošiljanje šifrirnega materiala
47. Organ za razpošiljanje šifrirnega materiala (CDA) je odgovoren za:
upravljanje šifrirnega materiala EU ter vodenje evidenc o tem materialu;
zagotavljanje, da se uporabljajo ustrezni postopki in da so vzpostavljeni ustrezni mehanizmi za vodenje evidenc, varno delo z vsem šifrirnim materialom EU, shranjevanje in razpošiljanje tega materiala, ter
zagotavljanje prenosa šifrirnega materiala EU do in od posameznikov ali služb, ki ga uporabljajo.
Organ za varnostno akreditacijo
48. Organ za varnostno akreditacijo (SAA) za vsak sistem je odgovoren za:
zagotavljanje, da je komunikacijski in informacijski sistem v skladu z ustreznimi varnostnimi politikami in varnostnimi smernicami, dajanje izjave o odobritvi komunikacijskega in informacijskega sistema za delo s tajnimi podatki EU do določene stopnje tajnosti v njegovem operativnem okolju, navajanje pogojev za akreditacijo in meril, v skladu s katerimi je potrebna ponovna odobritev;
vzpostavitev postopka varnostne akreditacije v skladu z ustreznimi politikami, pri čemer jasno določi pogoje za odobritev komunikacijskih in informacijskih sistemov v svoji pristojnosti;
določitev strategije za varnostno akreditacijo, ki določa stopnjo natančnosti za akreditacijski postopek, ki ustreza zahtevani stopnji jamstva;
pregledovanje in odobritev dokumentacije, povezane z varnostjo, tudi izjav o obvladovanju tveganja in preostalem tveganju, izjav o posebnih varnostnih zahtevah, značilnih za sistem (SSRS), dokumentacije o preverjanju varnosti in varnostno-operativnih postopkov (SecOPs), ter zagotavljanje, da je skladna z varnostnimi predpisi in politikami Sveta;
preverjanje izvajanja varnostnih ukrepov v zvezi s komunikacijskimi in informacijskimi sistemi z izvedbo ali naročilom varnostnih ocen, inšpekcijskih pregledov ali pregledov;
določitev varnostnih zahtev (npr. stopnje varnostnega preverjanja osebja) za občutljiva delovna mesta, povezana s komunikacijskimi in informacijskimi sistemi;
potrditev izbora odobrenih šifrirnih izdelkov in izdelkov TEMPEST, ki se uporabljajo za zagotovitev varnosti komunikacijskih in informacijskih sistemov;
odobritev medsebojne povezave komunikacijskega in informacijskega sistema z drugimi komunikacijskimi in informacijskimi sistemi ali, kjer je to ustrezno, sodelovanje pri skupni odobritvi; ter
posvetovanje s ponudnikom sistema, akterji na varnostnem področju in predstavniki uporabnikov o obvladovanju varnostnega tveganja, zlasti preostalega tveganja, in pogojih za izjavo o odobritvi.
49. Organ za varnostno akreditacijo GSS je odgovoren za akreditiranje vseh komunikacijskih in informacijskih sistemov, ki delujejo v pristojnosti GSS.
50. Pristojni organ za varnostno akreditacijo države članice je odgovoren za akreditiranje komunikacijskih in informacijskih sistemov in komponent teh sistemov, ki delujejo v pristojnosti države članice.
51. Skupni odbor za varnostno akreditacijo je odgovoren za akreditacijo komunikacijskih in informacijskih sistemov, ki so v pristojnosti organa GSS za varnostno akreditacijo in organov držav članic za varnostno akreditacijo. Sestavljajo ga po en predstavnik organa za varnostno akreditacijo iz vsake države članice, v njem pa sodeluje tudi predstavnik organa za varnostno akreditacijo Komisije. K sodelovanju se povabijo tudi drugi subjekti z vozlišči na komunikacijskem in informacijskem sistemu, če se razpravlja o tem sistemu.
Odboru za varnostno akreditacijo predseduje predstavnik organa za varnostno akreditacijo GSS. Odločitve sprejema v soglasju s predstavniki organov za varnostno akreditacijo institucij, držav članic in drugih subjektov z vozlišči na zadevnem komunikacijskem in informacijskem sistemu. O svojih dejavnostih redno poroča Varnostnemu odboru in ga obvesti o vseh izjavah o akreditaciji.
Operativni organ za zagotavljanje informacijske varnosti
52. Operativni organ za zagotavljanje informacijske varnosti za vsak sistem je odgovoren za:
pripravo varnostne dokumentacije v skladu z varnostnimi politikami in varnostnimi smernicami, zlasti izjav o posebnih varnostnih zahtevah sistema, vključno z izjavo o preostalem tveganju, varnostno-operativnimi postopki in načrtom za šifriranje v okviru postopku akreditacije komunikacijskega in informacijskega sistema;
sodelovanje pri izboru in preskušanju tehničnih varnostnih ukrepov, naprav in programske opreme, značilnih za sistem, zaradi nadzora nad njihovim izvajanjem in zagotovitve, da so varno nameščeni, konfigurirani in vzdrževani v skladu z ustrezno varnostno dokumentacijo;
sodelovanje pri izboru varnostnih ukrepov in naprav TEMPEST, če tako zahteva izjava o posebnih varnostnih zahtevah, značilnih za sistem, in zagotavljanje, da so varno nameščeni in vzdrževani, v sodelovanju z organom TEMPEST;
spremljanje izvajanja in uporabe varnostno-operativnih postopkov; po potrebi lahko odgovornost v zvezi z varnostjo delovanja prenese na lastnika sistema;
upravljanje šifrirnih izdelkov in delo z njimi, zagotavljanje hrambe šifrirnih in nadzorovanih predmetov ter po potrebi zagotavljanje oblikovanja šifrirnih spremenljivk;
izvedbo pregledov in preskusov varnostnih analiz, zlasti za pripravo ustreznih poročil o tveganju, kakor zahteva organ za varnostno akreditacijo;
pripravo usposabljanja o zagotavljanju varnosti podatkov v komunikacijskih in informacijskih sistemih; ter
izvajanje in vodenje varnostnih ukrepov za komunikacijske in informacijske sisteme.
PRILOGA V
INDUSTRIJSKA VARNOST
I. UVOD
1. V tej prilogi so določbe za izvajanje člena 11. Opredeljene so splošne varnostne določbe, ki veljajo za industrijske ali druge subjekte v pogajanjih pred sklenitvijo pogodbe in ves čas življenjskega cikla pogodb s tajnimi podatki, ki jih sklene GSS.
2. Svet odobri smernice o industrijski varnosti, v katerih so podrobno opisane predvsem zahteve glede varnostnih dovoljenj organizacij, listin o varnostnih vidikih, obiskih, pošiljanju in prenašanju tajnih podatkov EU.
II. VARNOSTNI ELEMENTI V POGODBAH S TAJNIMI PODATKI
Vodič po stopnjah tajnosti
3. Pred objavo razpisa ali sklenitvijo pogodbe s tajnimi podatki GSS kot naročnik določi stopnjo tajnosti podatkov, ki se posredujejo ponudnikom in izvajalcem, pa tudi stopnjo tajnosti podatkov, ki jih bo ustvaril izvajalec. GSS za ta namen pripravi vodič po stopnjah tajnosti, ki se uporablja pri izvajanju pogodbe.
4. Za določitev stopnje tajnosti različnih delov pogodbe s tajnimi podatki veljajo naslednja načela:
GSS pri pripravi vodiča po stopnjah tajnosti upošteva vse pomembne varnostne vidike, tudi stopnjo tajnosti, določeno za zagotovljene in odobrene podatke, ki jih organ izvora potrebuje za namene pogodbe;
splošna stopnja tajnosti posamezne pogodbe ne sme biti nižja od najvišje stopnje tajnosti katerega koli izmed njenih elementov; ter
GSS se, če pride do kakršnih koli sprememb v zvezi s stopnjo tajnosti podatkov, ki so nastali pri izvajalcih ali so jim bili predloženi pri izvajanju pogodbe, ali ob kakršni koli naknadni spremembi vodiča po stopnjah tajnosti, po potrebi poveže z zadevnimi nacionalnimi varnostnimi organi/imenovanimi varnostnimi organi države članice ali katerim koli drugim pristojnim varnostnim organom.
Listina o varnostnih vidikih
5. Varnostne zahteve, povezane s posamezno pogodbo, so opisane v listini o varnostnih vidikih. Tej listini je po potrebi dodan vodič po stopnjah tajnosti in je sestavni del pogodbe s tajnimi podatki ali podizvajalske pogodbe s tajnimi podatki.
6. V listini o varnostnih vidikih so določbe, ki od izvajalca in/ali podizvajalca zahtevajo spoštovanje minimalnih standardov iz tega sklepa. Nespoštovanje teh minimalnih standardov je lahko zadosten razlog za prekinitev pogodbe.
Varnostna navodila za program/projekt
7. Odvisno od obsega programov ali projektov, ki vključujejo dostop do tajnih podatkov EU ali delo z njimi ali njihovo hrambo, lahko naročnik, imenovan za vodenje programa ali projekta, pripravi posebna varnostna navodila za program/projekt. Varnostna navodila za program/projekt, ki lahko vsebujejo dodatne varnostne zahteve, morajo odobriti nacionalni varnostni organi/imenovani varnostni organi držav članic ali kateri koli drug pristojni varnostni organ, ki sodeluje pri varnostnih navodilih za program/projekt.
III. VARNOSTNO DOVOLJENJE ORGANIZACIJE
8. Varnostno dovoljenje organizacije izda nacionalni varnostni organ ali imenovani varnostni organ ali kateri koli drug pristojni varnostni organ države članice, kar skladno z nacionalnimi zakoni in predpisi pomeni, da je industrijski ali drug subjekt v svojih prostorih zmožen varovati tajne podatke EU ustrezne stopnje tajnosti (CONFIDENTIEL UE/EU CONFIDENTIAL ali SECRET UE/EU SECRET). Dovoljenje se predloži GSS kot naročniku, še preden se izvajalcu ali podizvajalcu ali morebitnemu izvajalcu ali podizvajalcu zagotovijo tajni podatki EU ali se mu odobri dostop do njih.
9. Pri izdajanju varnostnega dovoljenja organizacije ustrezni nacionalni varnostni organ ali imenovani varnostni organ vsaj:
oceni celovitost industrijskega ali drugega subjekta;
oceni lastništvo, nadzor ali morebitno nedovoljeno vplivanje, ki lahko predstavlja varnostno tveganje;
preveri, da ima industrijski ali drug subjekt v svojih prostorih vzpostavljen varnostni sistem z vsemi ustreznimi varnostnimi ukrepi, potrebnimi za varovanje podatkov ali materiala stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ali SECRET UE/EU SECRET v skladu z zahtevami iz tega sklepa;
preveri, da so člani uprave, lastniki in zaposleni, ki naj bi imeli dostop do podatkov stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ali SECRET UE/EU SECRET, varnostno preverjeni v skladu z zahtevami iz tega sklepa, ter
preveri, da je industrijski ali drug subjekt imenoval svojega varnostnega uradnika, ki vodstvu odgovarja za izvajanje varnostnih obveznosti v takem subjektu.
10. Po potrebi GSS kot naročnik nacionalni varnostni organ/imenovani varnostni organ ali kateri koli drug pristojni varnostni organ uradno obvesti, da se varnostno dovoljenje organizacije zahteva v fazi pred sklenitvijo pogodbe ali za izvajanje pogodbe. Varnostno dovoljenje organizacije ali dovoljenje za dostop do tajnih podatkov se v fazi pred sklenitvijo pogodbe zahteva, če je treba v postopku priprave ponudb predložiti tajne podatke EU stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ali SECRET UE/EU SECRET.
11. Naročnik najustreznejšemu ponudniku ne sme dodeliti pogodbe s tajnimi podatki, dokler mu nacionalni varnostni organ/imenovani varnostni organ ali kateri koli drug pristojni varnostni organ države članice, v kateri je izvajalec ali podizvajalec registriran, ne potrdi, da je bilo, kjer je to potrebno, ponudniku izdano ustrezno varnostno dovoljenje organizacije.
12. Nacionalni varnostni organ/imenovani varnostni organ ali kateri koli drug pristojni varnostni organ, ki je izdal varnostno dovoljenje organizacije, uradno obvesti GSS kot naročnika o spremembah, ki zadevajo varnostno dovoljenje organizacije. V primeru podizvajalske pogodbe se ustrezno obvesti nacionalni varnostni organ/imenovani varnostni organ ali kateri koli drug pristojni varnostni organ.
13. Če nacionalni varnostni organ/imenovani varnostni organ ali kateri koli drug pristojni varnostni organ odvzame varnostno dovoljenje organizacije, ima GSS kot naročnik zadosten razlog za prekinitev pogodbe s tajnimi podatki ali izključitev ponudnika iz natečaja.
IV. POGODBE IN PODIZVAJALSKE POGODBE S TAJNIMI PODATKI
14. Če se tajni podatki EU ponudniku zagotovijo v fazi pred sklenitvijo pogodbe, razpis vsebuje določbo, v skladu s katero mora ponudnik, ki ne predloži ponudbe ali ki ni izbran, v določenem roku vrniti vse tajne dokumente.
15. Ko je pogodba ali podizvajalska pogodba s tajnimi podatki dodeljena, GSS kot naročnik obvesti nacionalni varnostni organ/imenovani varnostni organ ali kateri koli drug pristojni varnostni organ izvajalca ali podizvajalca o varnostnih določbah pogodbe s tajnimi podatki.
16. Ko takšne pogodbe prenehajo veljati, GSS kot naročnik (in/ali nacionalni varnostni organ/imenovani varnostni organ ali po potrebi kateri koli drug pristojni varnostni organ v primeru podizvajalske pogodbe) nemudoma obvesti nacionalni varnostni organ/imenovani varnostni organ ali kateri koli drug pristojni varnostni organ države članice, v kateri je izvajalec ali podizvajalec registriran.
17. Na splošno velja, da mora izvajalec ali podizvajalec naročniku ob prenehanju veljavnosti pogodbe ali podpogodbe s tajnimi podatki vrniti vse tajne podatke EU, ki jih ima.
18. V listini o varnostnih vidikih se zapišejo posebne določbe o razpolaganju s tajnimi podatki EU v času izvajanja pogodbe ali po prenehanju njene veljavnosti.
19. Če smeta izvajalec ali podizvajalec tajne podatke EU obdržati tudi po prenehanju veljavnosti pogodbe, morata še naprej ravnati skladno z minimalnimi standardi iz tega sklepa in varovati tajnost podatkov EU.
20. Pogoji, v skladu s katerimi lahko izvajalec sklene podizvajalsko pogodbo, so določeni v razpisu in v pogodbi.
21. Izvajalec pred oddajo delov pogodbe s tajnimi podatki podizvajalcu pridobi dovoljenje GSS kot naročnika. Nobena podizvajalska pogodba se ne sme dodeliti industrijskim ali drugim subjektom, registriranim v državi, ki ni članica Unije in z Unijo ni sklenila sporazuma o varnosti podatkov.
22. Izvajalec mora zagotoviti, da se vse podizvajalske dejavnosti opravljajo v skladu z minimalnimi standardi iz tega sklepa in podizvajalcu ne zagotovi tajnih podatkov EU brez predhodnega pisnega soglasja naročnika.
23. Kar zadeva tajne podatke, ki nastanejo pri izvajalcu ali podizvajalcu ali izvajalec ali podizvajalec z njimi dela, pravice organa izvora uveljavlja naročnik.
V. OBISKI V ZVEZI S POGODBAMI S TAJNIMI PODATKI
24. Če mora osebje GSS, izvajalcev ali podizvajalcev za izvajanje pogodbe s tajnimi podatki imeti dostop do podatkov stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ali SECRET UE/EU SECRET v prostorih enih ali drugih, se v sodelovanju z zadevnimi nacionalnimi varnostnimi organi/imenovanimi varnostnimi organi ali katerim koli drugim pristojnim varnostnim organom organizirajo obiski. Nacionalni varnostni organi/imenovani varnostni organi pa se lahko za posebne projekte tudi sporazumejo o postopku, na podlagi katerega se je mogoče o takšnih obiskih dogovoriti neposredno.
25. Vsi obiskovalci imajo ustrezno dovoljenje za dostop do tajnih podatkov in imajo potrebo po seznanitvi za dostop do tajnih podatkov EU, povezanih s pogodbo z GSS.
26. Obiskovalci imajo dostop le do tajnih podatkov EU, povezanih z namenom obiska.
VI. POŠILJANJE IN PRENAŠANJE TAJNIH PODATKOV EU
27. Za pošiljanje tajnih podatkov EU z elektronskimi sredstvi se uporabljajo ustrezne določbe iz člena 10 in Priloge IV.
28. Za prenašanje tajnih podatkov EU se v skladu z nacionalnimi zakoni in predpisi uporabljajo ustrezne določbe iz Priloge III.
29. Za prevoz tajnega gradiva kot tovora se pri določanju varnostnega režima upoštevajo naslednja načela:
varnost je zagotovljena v vseh fazah prevoza, od odhodnega kraja do namembnega kraja;
stopnja zaščite se za pošiljko določi na podlagi gradiva z najvišjo stopnjo tajnosti, ki ga pošiljka vsebuje;
za prevoznika se pridobi varnostno dovoljenje organizacije na ustrezni stopnji. V teh primerih mora biti osebje, ki dela s pošiljko, varnostno preverjeno v skladu s Prilogo I;
pošiljatelj pred vsakim premikom materiala stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ali SECRET UE/EU SECRET čez mejo pripravi načrt prevoza, ki ga odobri zadevni nacionalni varnostni organ/imenovani varnostni organ ali kateri koli drug pristojni varnostni organ;
prevozi so, če je le mogoče, brez postanka in se opravijo v najhitrejšem možnem času, ki ga dovoljujejo okoliščine; ter
če je le mogoče, se uporabljajo izključno poti skozi države članice EU. Poti prek držav, ki niso države članice, se uporabijo le, če to odobri nacionalni varnostni organ/imenovani varnostni organ ali kateri koli drug pristojni varnostni organ države pošiljatelja in države prejemnika.
VII. PRENOS TAJNIH PODATKOV EU IZVAJALCEM V TRETJIH DRŽAVAH
30. Prenos tajnih podatkov EU izvajalcem in podizvajalcem v tretjih državah poteka v skladu z varnostnimi ukrepi, dogovorjenimi med GSS kot naročnikom in nacionalnim varnostnim organom/imenovanim varnostnim organom zadevne tretje države, v kateri je registriran izvajalec.
VIII. PODATKI STOPNJE TAJNOSTI RESTREINT UE/EU RESTRICTED
31. GSS kot naročnik sme po potrebi v navezi z nacionalnim varnostnim organom/imenovanim varnostnim organom države članice na podlagi pogodbenih določb izvesti inšpekcijske preglede prostorov izvajalca/podizvajalca in preverjati, ali so bili skladno s pogodbo uvedeni vsi ustrezni ukrepi za varovanje tajnih podatkov EU stopnje tajnosti RESTREINT UE/EU RESTRICTED.
32. Če to zahtevajo nacionalni zakoni in predpisi, GSS kot naročnik uradno obvesti nacionalne varnostne organe/imenovane varnostne organe ali kateri koli drug pristojni varnostni organ o pogodbah ali podizvajalskih pogodbah s podatki stopnje tajnosti RESTREINT UE/EU RESTRICTED.
33. Izvajalci ali podizvajalci in njihovo osebje za pogodbe s podatki stopnje tajnosti RESTREINT UE/EU RESTRICTED, ki jih sklene GSS, ne potrebujejo varnostnega dovoljenja organizacije ali dovoljenja za dostop do tajnih podatkov.
34. GSS kot naročnik preuči ponudbe na razpisu za pogodbe, za katere je treba imeti dostop do podatkov stopnje tajnosti RESTREINT UE/EU RESTRICTED, ne glede na kakršne koli zahteve v zvezi z varnostnim dovoljenjem organizacije ali dovoljenjem za dostop do tajnih podatkov v okviru nacionalnih zakonov in predpisov.
35. Izvajalec lahko sklene podizvajalsko pogodbo pod pogoji, ki so skladni z odstavkom 21.
36. Če pogodba vključuje delo s podatki stopnje tajnosti RESTREINT UE/EU RESTRICTED v komunikacijskem in informacijskem sistemu, ki ga upravlja izvajalec, GSS kot naročnik zagotovi, da se v pogodbi ali kakršni koli podizvajalski pogodbi določijo potrebne tehnične in upravne zahteve glede akreditacije komunikacijskega in informacijskega sistema, ki so v sorazmerju z ocenjenim tveganjem ob upoštevanju vseh ustreznih dejavnikov. Naročnik in ustrezni nacionalni varnostni organ/imenovani varnostni organ se dogovorita o obsegu akreditacije takšnega komunikacijskega in informacijskega sistema.
PRILOGA VI
IZMENJAVA TAJNIH PODATKOV S TRETJIMI DRŽAVAMI IN MEDNARODNIMI ORGANIZACIJAMI
I. UVOD
1. V tej prilogi so določbe za izvajanje člena 13.
II. OKVIRI ZA IZMENJAVO TAJNIH PODATKOV
2. Če Svet ugotovi, da obstaja dolgoročna potreba po izmenjavi tajnih podatkov, se sklene
v skladu s členom 13(2) ter oddelkoma III in IV ter na podlagi priporočila Varnostnega odbora.
3. Če je treba tajne podatke EU, ki nastanejo za namene operacije SVOP, zagotoviti tretjim državam ali mednarodnim organizacijam, ki sodelujejo pri tej operaciji, in če ni nobenega okvira iz odstavka 2, izmenjavo tajnih podatkov EU s sodelujočo tretjo državo ali mednarodno organizacijo v skladu z oddelkom V ureja:
4. Če okvira iz odstavkov 2 in 3 ni in je sprejeta odločitev o posredovanju tajnih podatkov EU tretji državi ali mednarodni organizaciji izjemoma na ad hoc podlagi, se v skladu z oddelkom VI od zadevne tretje države ali mednarodne organizacije zahteva pisno jamstvo o tem, da varuje prejete tajne podatke EU v skladu s temeljnimi načeli in minimalnimi standardi iz tega sklepa.
III. SPORAZUMI O VARNOSTI PODATKOV
5. Sporazumi o varnosti podatkov določajo temeljna načela in minimalne standarde, ki urejajo izmenjavo tajnih podatkov med Unijo in tretjo državo ali mednarodno organizacijo.
6. Sporazumi o varnosti podatkov vsebujejo tehnične izvedbene določbe, o katerih se dogovorijo pristojni varnostni organi zadevnih institucij in organov Unije ter pristojni varnostni organ zadevne tretje države ali mednarodne organizacije. Te določbe upoštevajo stopnjo varovanja, ki jo določajo veljavni varnostni predpisi, strukture in postopki v zadevni tretji državi ali mednarodni organizaciji. Odobriti jih mora Varnostni odbor.
7. Nobeni tajni podatki EU se v skladu s sporazumom o varnosti podatkov ne izmenjujejo z elektronskimi sredstvi, razen če ni to izrecno določeno v sporazumu ali ustreznih tehničnih izvedbenih določbah.
8. Kadar Svet sklene sporazum o varnosti podatkov, vsaka stran določi register, ki je glavna točka vstopa in izstopa pri izmenjavi tajnih podatkov.
9. Za oceno učinkovitosti varnostnih predpisov, struktur in postopkov v zadevni tretji državi ali mednarodni organizaciji se v soglasju s tretjo državo ali mednarodno organizacijo opravijo ocenjevalni obiski. Takšni ocenjevalni obiski se izvedejo v skladu z ustreznimi določbami iz Priloge III in ocenijo:
regulativni okvir, ki se uporablja za varstvo tajnih podatkov;
kakršne koli posebne značilnosti varnostne politike in načina varnostne organizacije v tretji državi ali mednarodni organizaciji, ki lahko vplivajo na stopnjo tajnosti podatkov, ki se lahko izmenjajo;
dejanske varnostne ukrepe in postopke ter
postopke varnostnega preverjanja za stopnjo tajnih podatkov EU, ki bodo dani.
10. Skupina, ki opravlja ocenjevalni obisk v imenu EU, oceni, ali so varnostni predpisi in postopki v zadevni tretji državi ali mednarodni organizaciji ustrezni za varovanje tajnih podatkov EU določene stopnje.
11. O ugotovitvah teh obiskov se pripravi poročilo, na podlagi katerega Varnostni odbor določi najvišjo stopnjo tajnih podatkov EU, ki se lahko z zadevno tretjo stranjo izmenjujejo v papirnati in, če je to primerno, v elektronski obliki, ter kakršne koli posebne pogoje za izmenjavo tajnih podatkov s to stranjo.
12. Prizadevati si je treba, da se obisk, namenjen celoviti oceni varnosti v zadevni tretji državi ali mednarodni organizaciji, opravi preden Varnostni odbor odobri izvedbene določbe, da se določita vrsta in učinkovitost obstoječega varnostnega sistema. Če to ni mogoče, varnostni urad GSS predloži Varnostnemu odboru čim bolj celovito poročilo, v katerem ga na podlagi razpoložljivih informacij obvesti o veljavnih varnostnih predpisih in načinu varnostne organizacije v zadevni tretji državi ali mednarodni organizaciji.
13. Preden se tajni podatki EU dejansko posredujejo zadevni tretji državi ali mednarodni organizaciji, se poročilo o ocenjevalnem obisku, ali če takega poročila ni, poročilo iz odstavka 12, pošlje Varnostnemu odboru, ki mora o njem podati pozitivno mnenje.
14. Pristojni varnostni organi institucij in organov Unije tretjo državo ali mednarodno organizacijo obvestijo o datumu, od katerega lahko Unija v skladu s sporazumom posreduje tajne podatke EU, in o najvišji stopnji tajnih podatkov EU, ki se lahko izmenjujejo v papirnati ali elektronski obliki.
15. Po potrebi se izvedejo nadaljnji ocenjevalni obiski, zlasti če:
je treba povišati stopnjo tajnosti podatkov EU, v skladu s katero se ti podatki dajejo;
je bila Unija uradno obveščena o bistvenih spremembah varnostnih ureditev tretje države ali mednarodne organizacije, ki bi lahko imele vpliv na način, s katerim ta stran varuje tajne podatke EU, ali
če je prišlo do resnega dogodka, ki je vključeval nepooblaščeno razkritje tajnih podatkov EU.
16. Ko začne veljati sporazum o varnosti podatkov in se tajni podatki izmenjujejo z zadevno tretjo državo ali mednarodno organizacijo, lahko Varnostni odbor sklene, da bo spremenil najvišjo stopnjo tajnih podatkov EU, ki se lahko izmenjujejo v papirnati ali elektronski obliki, zlasti na podlagi nadaljnjih ocenjevalnih obiskov.
IV. DOGOVORI O IZVAJANJU
17. Če obstaja dolgoročna potreba po izmenjavanju tajnih podatkov, ki praviloma ne presegajo stopnje tajnosti RESTREINT UE/EU RESTRICTED, s tretjo državo ali mednarodno organizacijo, in je Varnostni odbor ugotovil, da zadevna stran nima dovolj razvitega varnostnega sistema, da bi bila zmožna skleniti sporazum o varnosti podatkov, lahko generalni sekretar z odobritvijo Sveta z ustreznimi organi zadevne tretje države ali mednarodne organizacije v imenu GSS sklene dogovor o izvajanju.
18. Če pa je treba iz nujnih operativnih razlogov hitro vzpostaviti okvir za izmenjavo tajnih podatkov, lahko Svet izjemoma odloči, da se sklene dogovor o izvajanju za izmenjavo tajnih podatkov višje stopnje.
19. Praviloma imajo dogovori o izvajanju obliko izmenjave pisem.
20. Preden se tajni podatki EU dejansko posredujejo zadevni tretji državi ali mednarodni organizaciji, se opravi ocenjevalni obisk iz odstavka 9, poročilo, ali če takšnega poročila ni, poročilo iz odstavka 12, pa se pošlje Varnostnemu odboru, ki mora o njem podati pozitivno mnenje.
21. Tajni podatki EU se v okviru dogovora o izvajanju ne izmenjujejo z elektronskimi sredstvi, razen če to ni izrecno določeno v dogovoru.
V. IZMENJAVA TAJNIH PODATKOV V OKVIRU OPERACIJ SVOP
22. Sodelovanje tretjih držav ali mednarodnih organizacij v operacijah SVOP urejajo okvirni sporazumi o sodelovanju. Ti sporazumi vključujejo določbe o posredovanju tajnih podatkov EU, ki nastanejo za namene operacij SVOP, sodelujočim tretjim državam ali mednarodnim organizacijam. Najvišja stopnja tajnosti tajnih podatkov EU, ki se lahko izmenjujejo, je RESTREINT UE/EU RESTRICTED za civilne operacije SVOP in CONFIDENTIEL UE/EU CONFIDENTIAL za vojaške operacije SVOP, razen če je drugače določeno v sklepu o vzpostavitvi posamezne operacije SVOP.
23. Ad hoc sporazumi o sodelovanju, sklenjeni za določeno operacijo SVOP, vključujejo določbe o posredovanju tajnih podatkov EU, ki nastanejo za namene te operacije, sodelujoči tretji državi ali mednarodni organizaciji. Najvišja stopnja tajnosti tajnih podatkov EU, ki se lahko izmenjujejo, je RESTREINT UE/EU RESTRICTED za civilne operacije SVOP in CONFIDENTIEL UE/EU CONFIDENTIAL za vojaške operacije SVOP, razen če je drugače določeno v sklepu o vzpostavitvi posamezne operacije SVOP.
24. Če sporazum o varnosti podatkov ni sklenjen, in do sklenitve sporazuma o sodelovanju, je posredovanje tajnih podatkov EU, ki nastanejo za namene operacij, tej tretji državi ali mednarodni organizaciji, ki sodeluje v operaciji, urejeno z dogovorom o izvajanju, ki ga sklene visoki predstavnik, ali ob upoštevanju odločitve o ad hoc posredovanju v skladu z oddelkom VI. Tajni podatki EU se lahko v okviru takšnega dogovora izmenjujejo le toliko časa, kolikor je predvideno sodelovanje tretje države ali mednarodne organizacije. Najvišja stopnja tajnosti tajnih podatkov EU, ki se lahko izmenjujejo, je RESTREINT UE/EU RESTRICTED za civilne operacije SVOP in CONFIDENTIEL UE/EU CONFIDENTIAL za vojaške operacije SVOP, razen če je drugače določeno v sklepu o vzpostavitvi posamezne operacije SVOP.
25. V določbah o tajnih podatkih, ki se vključijo v okvirne sporazume o sodelovanju, ad hoc sporazume o sodelovanju in ad hoc dogovore o izvajanju iz odstavkov 22 do 24, je predvideno, da zadevna tretja država ali mednarodna organizacija zagotovi, da bo njeno osebje, dodeljeno kateri koli operaciji, varovalo tajne podatke EU v skladu z varnostnimi predpisi Sveta in nadaljnjimi smernicami, ki jih izdajo pristojni organi, vključno s strukturo poveljevanja operacije.
26. Če Unija in sodelujoča tretja država ali mednarodna organizacija naknadno skleneta sporazum o varnosti podatkov, ta sporazum nadomesti določbe o izmenjavi tajnih podatkov iz vsakega okvirnega sporazuma o sodelovanju, ad hoc sporazuma o sodelovanju ali ad hoc dogovora o izvajanju, kar zadeva izmenjavo tajnih podatkov EU in delo z njimi.
27. Izmenjava tajnih podatkov EU z elektronskimi sredstvi ni dovoljena v okvirnem sporazumu o sodelovanju, ad hoc sporazumu o sodelovanju ali ad hoc dogovoru o izvajanju s tretjo državo ali mednarodno organizacijo, razen če je to izrecno določeno v zadevnem sporazumu ali dogovoru.
28. Tajni podatki EU, ki nastanejo za namene operacije SVOP, se lahko v skladu z odstavki 22 do 27 razkrijejo osebju, ki ga tej operaciji dodelijo tretje države ali mednarodne organizacije. Pri odobritvi dostopa temu osebju do tajnih podatkov EU v prostorih ali v komunikacijskem in informacijskem sistemu operacije SVOP je treba uporabiti ukrepe (vključno z evidenco razkritih tajnih podatkov EU), da se zmanjša nevarnost izgube ali nepooblaščenega razkritja. Takšni ukrepi so določeni v ustreznih načrtih ali dokumentih misije.
29. Če sporazum o varnosti podatkov ni sklenjen, je lahko posredovanje tajnih podatkov EU državi gostiteljici, na ozemlju katere se izvaja operacija SVOP, v primeru posebne in nujne operativne potrebe urejeno z dogovorom o izvajanju, ki ga sklene visoki predstavnik. Ta možnost je določena v sklepu o vzpostavitvi operacije SVOP. Pod temi pogoji se posredujejo samo tajni podatki EU, ki nastanejo za namene operacije SVOP in so največ stopnje tajnosti RESTREINT UE/EU RESTRICTED, razen če v sklepu o vzpostavitvi operacije SVOP ni določena višja stopnja tajnosti. V skladu s takšnim dogovorom o izvajanju se mora država gostiteljica zavezati, da bo varovala tajne podatke EU v skladu z minimalnimi standardi, ki niso manj strogi od standardov iz tega sklepa.
30. Če sporazum o varnosti podatkov ni sklenjen, je lahko posredovanje tajnih podatkov EU zadevnim tretjim državam in mednarodnim organizacijam, ki ne sodelujejo v operaciji SVOP, urejeno z dogovorom o izvajanju, ki ga sklene visoki predstavnik. Ta možnost in vsi s tem povezani pogoji so po potrebi določeni v sklepu o vzpostavitvi operacije SVOP. Pod temi pogoji se posredujejo samo tajni podatki EU, ki nastanejo za namene operacije SVOP in so največ stopnje tajnosti RESTREINT UE/EU RESTRICTED, razen če v sklepu o vzpostavitvi operacije SVOP ni določena višja stopnja tajnosti. V skladu s takšnim dogovorom o izvajanju se morata zadevna tretja država ali mednarodna organizacija zavezati, da bosta varovali tajne podatke EU v skladu z minimalnimi standardi, ki niso manj strogi od standardov iz tega sklepa.
31. Pred izvajanjem odločb o posredovanju tajnih podatkov EU v skladu z odstavki 22, 23 in 24 niso potrebne nobene izvedbene ureditve ali ocenjevalni obiski.
VI. AD HOC POSREDOVANJE TAJNIH PODATKOV EU V IZJEMNIH PRIMERIH
32. Če ni okvira v skladu s prej navedenimi oddelki III do V in če Svet ali eno izmed njegovih pripravljalnih teles ugotovi, da obstaja izjemna potreba po posredovanju tajnih podatkov EU tretji državi ali mednarodni organizaciji, GSS:
pri varnostnih organih zadevne tretje države ali mednarodne organizacije, kolikor je to mogoče, preveri, ali njeni varnostni predpisi, strukture in postopki zagotavljajo, da se tajni podatki EU, ki ji bodo dani, varujejo po standardih, ki niso manj strogi od standardov iz tega sklepa; ter
pozove Varnostni odbor, naj na podlagi razpoložljivih informacij izda priporočilo o tem, ali je mogoče zaupati varnostnim predpisom, strukturam in postopkom v tretji državi ali mednarodni organizaciji, ki naj bi prejela tajne podatke EU.
33. Če Varnostni odbor izda pozitivno priporočilo glede posredovanja tajnih podatkov EU, zadevo obravnava Odbor stalnih predstavnikov (Coreper), ki o tem sprejme odločitev.
34. Če je priporočilo Varnostnega odbora glede posredovanja tajnih podatkov EU negativno:
v zadevah v zvezi s SZVP/SVOP o tem vprašanju razpravlja Politični in varnostni odbor, ki oblikuje priporočilo za odločitev Coreperja;
v vseh drugih zadevah o tem razpravlja Coreper, ki sprejme odločitev.
35. Po potrebi in ob predhodnem pisnem soglasju organa izvora lahko Coreper odloči, da se lahko posreduje le del tajnih podatkov, ali le če se najprej zniža ali prekliče njihova stopnja tajnosti, ali če se podatki, ki naj bi jih dali, pripravijo brez navedbe vira ali prvotne stopnje tajnosti EU.
36. GSS po sprejetju odločitve o posredovanju tajnih podatkov EU pošlje zadevni dokument z oznako, da se posredujejo tretji državi ali mednarodni organizaciji. Preden se tajni podatki dejansko posredujejo ali ob njihovi predaji se zadevna tretja stran pisno zaveže, da bo varovala prejete tajne podatke EU v skladu s temeljnimi načeli in minimalnimi standardi iz tega sklepa.
VII. POOBLASTILO ZA POSREDOVANJE TAJNIH PODATKOV EU TRETJIM DRŽAVAM ALI MEDNARODNIM ORGANIZACIJAM
37. Če obstaja okvir za izmenjavo tajnih podatkov s tretjo državo ali mednarodno organizacijo v skladu z odstavkom 2, lahko Svet sprejme odločitev, da se generalni sekretar pooblasti za posredovanje tajnih podatkov EU zadevni tretji državi ali mednarodni organizaciji v skladu z načelom soglasja organa izvora. Generalni sekretar lahko takšno pooblastilo prenese na višje uradnike GSS.
38. Če v skladu s prvo alineo odstavka 2 obstaja sporazum o varnosti podatkov, lahko Svet sprejme odločitev, da pooblasti visokega predstavnika za dajanje tajnih podatkov EU z izvorom v Svetu s področja skupne zunanje in varnostne politike zadevni tretji državi ali mednarodni organizaciji, po pridobitvi dovoljenja organa izvora, ki je dal kakršne koli osnovne podatke iz teh tajnih podatkov EU. Visoki predstavnik lahko takšno pooblastilo prenese na višje uradnike GSS ali posebne predstavnike EU.
39. Če obstaja okvir za izmenjavo tajnih podatkov s tretjo državo ali mednarodno organizacijo v skladu z odstavkom 2 ali odstavkom 3, se visoki predstavnik pooblasti za dajanje tajnih podatkov EU v skladu s sklepom o vzpostavitvi operacije SVOP in načelom o soglasju organa izvora. Visoki predstavnik lahko takšno pooblastilo prenese na višje uradnike GSS, poveljnike operacij, sil ali misij ali vodje misij EU.
Dodatki
Dodatek A |
Opredelitev pojmov |
Dodatek B |
Enakovredne stopnje tajnosti |
Dodatek C |
Seznam nacionalnih varnostnih organov |
Dodatek D |
Seznam kratic |
Dodatek A
OPREDELITEV POJMOV
V tem sklepu se uporabljajo naslednje opredelitve pojmov:
Dodatek B
ENAKOVREDNE STOPNJE TAJNOSTI
EU |
TRÈS SECRET UE/EU TOP SECRET |
SECRET UE/EU SECRET |
CONFIDENTIEL UE/EU CONFIDENTIAL |
RESTREINT UE/EU RESTRICTED |
Belgija |
Très Secret (Loi 11.12.1998) Zeer Geheim (Wet 11.12.1998) |
Secret (Loi 11.12.1998) Geheim (Wet 11.12.1998) |
Confidentiel (Loi 11.12.1998) Vertrouwelijk (Wet 11.12.1998) |
opomba (1) spodaj |
Bolgarija |
Cтpoгo ceкретно |
Ceкретно |
Поверително |
За служебно ползване |
Češka |
Přísně tajné |
Tajné |
Důvěrné |
Vyhrazené |
Danska |
YDERST HEMMELIGT |
HEMMELIGT |
FORTROLIGT |
TIL TJENESTEBRUG |
Nemčija |
STRENG GEHEIM |
GEHEIM |
VS (2)— VERTRAULICH |
VS — NUR FÜR DEN DIENSTGEBRAUCH |
Estonija |
Täiesti salajane |
Salajane |
Konfidentsiaalne |
Piiratud |
Irska |
Top Secret |
Secret |
Confidential |
Restricted |
Grčija |
Άκρως Απόρρητο Okrajšava: ΑΑΠ |
Απόρρητο Okrajšava: (ΑΠ) |
Εμπιστευτικό Okrajšava: (ΕΜ) |
Περιορισμένης Χρήσης Okrajšava: (ΠΧ) |
Španija |
SECRETO |
RESERVADO |
CONFIDENCIAL |
DIFUSIÓN LIMITADA |
Francija |
Très Secret Défense |
Secret Défense |
Confidentiel Défense |
opomba (3) spodaj |
Hrvaška |
VRLO TAJNO |
TAJNO |
POVJERLJIVO |
OGRANIČENO |
Italija |
Segretissimo |
Segreto |
Riservatissimo |
Riservato |
Ciper |
Άκρως Απόρρητο Okrajšava: (ΑΑΠ) |
Απόρρητο Okrajšava: (ΑΠ) |
Εμπιστευτικό Okrajšava: (ΕΜ) |
Περιορισμένης Χρήσης Okrajšava: (ΠΧ) |
Latvija |
Sevišķi slepeni |
Slepeni |
Konfidenciāli |
Dienesta vajadzībām |
Litva |
Visiškai slaptai |
Slaptai |
Konfidencialiai |
Riboto naudojimo |
Luksemburg |
Très Secret Lux |
Secret Lux |
Confidentiel Lux |
Restreint Lux |
Madžarska |
Szigorúan titkos! |
Titkos! |
Bizalmas! |
Korlátozott terjesztésű! |
Malta |
L-Ogħla Segretezza Top Secret |
Sigriet Secret |
Kunfidenzjali Confidential |
Ristrett Restricted (4) |
Nizozemska |
Stg. ZEER GEHEIM |
Stg. GEHEIM |
Stg. CONFIDENTIEEL |
Dep. VERTROUWELIJK |
Avstrija |
Streng Geheim |
Geheim |
Vertraulich |
Eingeschränkt |
Poljska |
Ściśle Tajne |
Tajne |
Poufne |
Zastrzeżone |
Portugalska |
Muito Secreto |
Secreto |
Confidencial |
Reservado |
Romunija |
Strict secret de importanță deosebită |
Strict secret |
Secret |
Secret de serviciu |
Slovenija |
STROGO TAJNO |
TAJNO |
ZAUPNO |
INTERNO |
Slovaška |
Prísne tajné |
Tajné |
Dôverné |
Vyhradené |
Finska |
ERITTÄIN SALAINEN YTTERST HEMLIG |
SALAINEN HEMLIG |
LUOTTAMUKSELLINEN KONFIDENTIELL |
KÄYTTÖ RAJOITETTU BEGRÄNSAD TILLGÅNG |
Švedska |
Kvaliciferat hemlig |
Hemlig |
Konfidentiell |
Begränsat hemlig |
Združeno kraljestvo |
UK TOP SECRET |
UK SECRET |
opomba (5) spodaj |
UK OFFICIAL SENSITIVE |
(1) Diffusion Restreinte/Beperkte Verspreiding ni stopnja tajnosti v Belgiji. Belgija s podatki „RESTREINT UE/EU RESTRICTED“ dela in jih varuje na način, ki ni manj strog od standardov in postopkov iz varnostnih predpisov Sveta Evropske unije. (2) Nemčija: VS = Verschlusssache. (3) Francija v svojem nacionalnem sistemu ne uporablja stopnje tajnosti „RESTREINT“. Francija s podatki stopnje „RESTREINT UE/EU RESTRICTED“ ravna in jih varuje na način, ki ni manj strog od standardov in postopkov iz varnostnih predpisov Sveta Evropske unije. (4) Za Malto se lahko malteške in angleške oznake uporabljajo izmenično. (5) Združeno kraljestvo v svojem nacionalnem sistemu ne uporablja več stopnje tajnosti „UK CONFIDENTIAL“. Združeno kraljestvo s tajnimi podatki „CONFIDENTIEL UE/EU CONFIDENTIAL“ ravna in jih varuje v skladu z varnostnimi zahtevami za stopnjo „UK SECRET“. |
Dodatek C
SEZNAM NACIONALNIH VARNOSTNIH ORGANOV
BELGIJA Autorité nationale de Sécurité SPF Affaires étrangères, Commerce extérieur et Coopération au Développement 15, rue des Petits Carmes 1000 Bruxelles Telefon sekretariata: +32 25014542 Faks: +32 25014596 E-pošta: nvo-ans@diplobel.fed.be |
ESTONIJA National Security Authority Department Estonian Foreign Intelligence Service Rahumäe tee 4B 11316 Tallinn Telefon: +372 693 9211 Faks: +372 693 5001 E-pošta: nsa@fis.gov.ee |
BOLGARIJA State Commission on Information Security 4 Kozloduy Str. 1202 Sofia Telefon: +359 29333600 Faks: +359 29873750 E-pošta: dksi@government.bg Spletno mesto: www.dksi.bg |
IRSKA National Security Authority Department of Foreign Affairs and Trade 76 - 78 Harcourt Street Dublin 2 D02 DX45 Ireland Telefon 1: +353 1 4082842 Telefon 2: +353 1 4082724 E-pošta: nsa@dfa.ie |
ČEŠKA Národní bezpečnostní úřad (National Security Authority) Na Popelce 2/16 150 06 Praha 56 Telefon: +420 257283335 Faks: +420 257283110 E-pošta: oms@nbu.cz Spletno mesto: www.nbu.cz |
GRČIJA Γενικό Επιτελείο Εθνικής Άμυνας (ΓΕΕΘΑ) Διεύθυνση Ασφαλείας και Αντιπληροφοριών ΣΤΓ 1020 -Χολαργός (Αθήνα) Ελλάδα Τηλ.: +30 2106572045 (ώρες γραφείου) +30 2106572009 (ώρες γραφείου) Φαξ: +30 2106536279 +30 2106577612 Hellenic National Defence General Staff (HNDGS) Counter Intelligence and Security Directorate (NSA) 227-231 HOLARGOS STG 1020 ATHENS Telefon: +30 2106572045 +30 2106572009 Faks: +30 2106536279 +30 2106577612 |
DANSKA Politiets Efterretningstjeneste (Danish Security Intelligence Service) Klausdalsbrovej 1 2860 Søborg Telefon: +45 45 15 90 07 Faks: +45 45 15 01 90 Forsvarets Efterretningstjeneste (Danish Defence Intelligence Service) Kastellet 30 2100 Copenhagen Ø Telefon: +45 33325566 Faks: +45 33931320 |
ŠPANIJA Autoridad Nacional de Seguridad Oficina Nacional de Seguridad Calle Argentona, 30 28023 Madrid Telefon: +34 913725000 Faks: +34 913725808 E-pošta: nsa-sp@areatec.com |
NEMČIJA Bundesministerium des Innern, für Bau und Heimat Section ÖS II 5 Alt-Moabit 140 D-10557 Berlin Telefon: +49 30186810 Faks: +49 30186811441 E-pošta 1: OESII5@bmi.bund.de E-pošta 2: PersGS@bmi.bund.de |
FRANCIJA Secrétariat général de la défense et de la sécurité nationale Sous-direction Protection du secret (SGDSN/PSD) 51 Boulevard de la Tour-Maubourg 75700 Paris 07 SP Telefon: +33 171758177 Faks: +33 171758200 |
HRVAŠKA Office of the National Security Council Croatian NSA Jurjevska 34 10000 Zagreb Hrvaška Telefon: +385 14681222 Faks: +385 14686049 E-pošta: NSACroatia@uvns.hr Spletno mesto: www.uvns.hr |
LUKSEMBURG Autorité nationale de Sécurité Boîte postale 2379 1023 Luxembourg Telefon: +352 24782210 centrala Telefon: +352 24782253 direktna številka Faks: +352 24782243 |
ITALIJA Presidenza del Consiglio dei Ministri D.I.S. - U.C.Se Via di Santa Susanna, 15 00187 Roma Telefon: +39 0661174266 Faks: +39 064885273 |
MADŽARSKA Nemzeti Biztonsági Felügyelet (National Security Authority of Hungary) 1024 Budapest, Szilágyi Erzsébet fasor 11/B Poštni naslov: 1399 Budapest, Pf. 710/50 Telefon: +36-1/391-1862 Faks: +36-1/391-1889 E-pošta: nbf@nbf.hu Spletno mesto: www.nbf.hu |
CIPER ΥΠΟΥΡΓΕΙΟ ΑΜΥΝΑΣ ΣΤΡΑΤΙΩΤΙΚΟ ΕΠΙΤΕΛΕΙΟ TΟΥ ΥΠΟΥΡΓΟΥ ΑΜΥΝΑΣ ΕΘΝΙΚΗ ΑΡΧΗ ΑΣΦΑΛΕΙΑΣ (ΕΑΑ) Υπουργείο Άμυνας Λεωφόρος Στροβόλου 172-174, 1432 Λευκωσία Ταχυδρομικός Κώδικας: 2048 Τηλεφωνα: +357 22807569, +357 22807643, +357 22807764 Τηλεομοιότυπ: +357 22302351 Ηλεκτρονικό Ταχυδρομείο: cynsa@mod.gov.cy Ministry of Defence Minister’s Military Staff National Security Authority (NSA) 172-174 Strovolou Avenue, 1432 Nicosia Poštna številka: 2048 Telefon: +357 22807569, +357 22807643, +357 22807764 Faks: +357 22302351 E-pošta: cynsa@mod.gov.cy |
MALTA Ministry for Home Affairs and National Security P.O. Box 146 MT-Valletta Telefon: +356 21249844 Faks: +356 25695321 |
LATVIJA National Security Authority Constitution Protection Bureau of the Republic of Latvia P.O.Box 286 LV-1001 Riga Tel. +371 67025418 E-pošta: ndi@sab.gov.lv |
NIZOZEMSKA Ministerie van Binnenlandse Zaken en Koninkrijksrelaties Postbus 20010 2500 EA Den Haag Telefon: +31 703204400 Faks: +31 703200733 Ministerie van Defensie Beveiligingsautoriteit Postbus 20701 2500 ES Den Haag Telefon: +31 703187060 Faks: +31 703187522 |
LITVA Lietuvos Respublikos paslapčių apsaugos koordinavimo komisija (The Commission for Secrets Protection Coordination of the Republic of Lithuania (National Security Authority) Pilaitės ave. 19 LT-06264 Vilnius Telefon: +370 5 70666128 Faks: +370 706 66700 E-pošta: nsa@vsd.lt |
AVSTRIJA Informationssicherheitskommission Bundeskanzleramt Ballhausplatz 2 1010 Wien Telefon: +43 1 53115 202594 Faks: +43 1 53109 202594 E-pošta: isk@bka.gv.at |
POLJSKA Agencja Bezpieczeństwa Wewnętrznego – ABW (Internal Security Agency) 2A Rakowiecka St. 00-993 Warszawa Telefon: +48 225857663 Faks: +48 225858509 E-pošta: nsa@abw.gov.pl Spletno mesto: www.abw.gov.pl |
SLOVAŠKA Národný bezpečnostný úrad (National Security Authority) Budatínska 30 851 06 Bratislava Telefon: +421 2 6869 1111 Faks: +421 2 6869 1700 E-pošta: podatelna@nbu.gov.sk Spletno mesto: www.nbu.gov.sk |
PORTUGALSKA Presidência do Conselho de Ministros Autoridade Nacional de Segurança Rua da Junqueira, 69 1300-342 Lisboa Telefon: +351 213031710 Faks: +351 213031711 |
FINSKA National Security Authority Ministry for Foreign Affairs P.O. Box 453 FI-00023 Government Telefon: +358 9 16055890 E-pošta: NSA@formin.fi |
ROMUNIJA Oficiul Registrului Național al Informațiilor Secrete de Stat – Romanian NSA – ORNISS National Registry Office for Classified Information Strada Mureș nr. 4 012275 Bucharest Telefon: +40 212075114 Faks: +40 212240714 E-pošta: nsa.romania@nsa.ro Spletno mesto: www.orniss.ro |
ŠVEDSKA Ministry for Foreign Affairs Swedish National Security Authority 103 39 Stockholm Telefon: +46 8 405 10 00 E-pošta: ud-nsa@gov.se |
SLOVENIJA Urad Vlade RS za varovanje tajnih podatkov Gregorčičeva 27 1000 Ljubljana Telefon: +386 14781390 Faks: +386 14781399 E-pošta: gp.uvtp@gov.si |
ZDRUŽENO KRALJESTVO UK National Security Authority Cabinet Office Room 335 70 Whitehall London SW1A 2AS Telefon 1: +44 2072765645 Telefon 2: +44 2072765497 E-pošta: uk-nsa@cabinetoffice.gov.uk |
Dodatek D
SEZNAM KRATIC
Kratica |
Pomen |
AQUA |
ustrezno usposobljen organ (Appropriately Qualified Authority) |
BPS |
storitve v zvezi z zaščito razmejitve (Boundary Protection Services) |
CAA |
Organ za odobritev šifrirnih metod in izdelkov (Crypto Approval Authority) |
CCTV |
sistem televizije zaprtega kroga (Closed Circuit Television) |
CDA |
Organ za razpošiljanje šifrirnega materiala (Crypto Distribution Authority) |
SZVP |
skupna zunanja in varnostna politika |
KIS |
komunikacijski in informacijski sistemi (Communication and Information Systems) |
Coreper |
Odbor stalnih predstavnikov (Commitee of Permanent Representatives) |
SVOP |
skupna varnostna in obrambna politika |
DSA |
pristojni varnostni organ (Designated Security Authority) |
ECSD |
Varnostni direktorat Evropske komisije (European Commission Security Directorate) |
EUCI |
tajni podatki EU (EU Classified Information) |
PPEU |
posebni predstavnik EU |
FSC |
varnostno dovoljenje organizacije (Facility Security Clearance) |
GSS |
generalni sekretariat Sveta |
IA |
informacijska varnost (Information Assurance) |
IAA |
Organ za zagotavljanje informacijske varnosti (Information Assurance Authority) |
IDS |
sistem odkrivanja vdorov (Intrusion Detection System) |
IT |
informacijska tehnologija (Information Technology) |
NSA |
Nacionalni varnostni organ (National Security Authority) |
PSC |
dovoljenje za dostop do tajnih podatkov (Personnel Security Clearance) |
PSCC |
potrdilo za dostop do tajnih podatkov (Personnel Security Clearance Certificate) |
PSI |
varnostna navodila za program/projekt (Programme/Project Security Instructions) |
SAA |
Organ za varnostno akreditacijo (Security Accreditation Authority) |
SAB |
odbor za varnostno akreditacijo (Security Accreditation Board) |
SAL |
listina o varnostnih vidikih (Security Aspects Letter) |
SecOPs |
varnostno-operativni postopki (Security Operating Procedures) |
SCG |
vodič po stopnjah tajnosti (Security Classification Guide) |
SSRS |
izjava o posebnih varnostnih zahtevah, značilnih za sistem (System-Specific Security Requirement Statement) |
TA |
organ TEMPEST |
( 1 ) Sklep Sveta 2011/292/EU z dne 31. marca 2011 o varnostnih predpisih za varovanje tajnih podatkov EU (UL L 141, 27.5.2011, str. 17).
( 2 ) Sklep Sveta 2001/264/ES z dne 19. marca 2001 o sprejetju predpisov Sveta o varovanju tajnosti (UL L 101, 11.4.2001, str. 1).
( 3 ) Uredba Sveta (EGS, Euratom, ESPJ) št. 259/68 z dne 29. februarja 1968 o določitvi Kadrovskih predpisov za uradnike in Pogojev za zaposlitev drugih uslužbencev Evropskih skupnosti in za uvedbo posebnih ukrepov institucij, ki se začasno uporabljajo za uradnike Komisije (UL L 56, 4.3.1968, str. 1).