1.   В настоящото решение се определят ролите и отговорностите на основните участници в областта на сигурността, които отговарят за защитата на класифицираната информация на ЕС (КИЕС) в Комисията съгласно решения (ЕС, Евратом) 2015/443 и (ЕС, Евратом) 2015/444.

2.   Настоящото решение се прилага за всички отдели на Комисията и във всички помещения на Комисията.

1.   Директорът на дирекция „Сигурност“ на Генерална дирекция „Човешки ресурси и сигурност“ е органът по сигурността на Комисията, посочен в член 7 от Решение (ЕС, Евратом) 2015/444.

2.   Органът по сигурността на Комисията изпълнява функциите си в следните области, както е посочено в Решение (ЕС, Евратом) 2015/444, в съответствие с членове 3—7 от това решение:

3.   Органът по сигурността на Комисията осигурява задължително обучение за местните служители по сигурността и заместниците им, както и за ръководителите на регистратурата и заместниците им относно техните отговорности и задължения.

1.   Органът по сигурността на Комисията отговаря за акредитацията на зоните за сигурност, които отговарят на изискванията на член 18 от Решение 2015/444, и на КИС за работа с КИЕС.

2.   Отделите на Комисията се консултират с органа по акредитиране на сигурността в координация със своите местни служители по сигурността и ръководители на регистратурата, ако е целесъобразно, когато даден отдел възнамерява:

Органът по акредитиране на сигурността предоставя консултации по отношение на тези дейности както по време на планирането, така и по време на изграждането или разработването.

3.   С КИЕС не се работи в зона за сигурност или КИС, преди органът по акредитиране на сигурността да е издал акредитация на съответното ниво на КИЕС.

4.   Изискванията за акредитиране на зона за сигурност включват:

5.   Изискванията за акредитиране на КИС, работеща с КИЕС, включват:

6.   След успешно изпълнение на изискванията за акредитация органът по акредитация на сигурността издава официално разрешение за работа с КИЕС в зоната за сигурност или КИС за определено максимално ниво на КИЕС и за срок до 5 години в зависимост от нивата на КИЕС, с които се работи, и свързаните с тях рискове.

7.   При уведомление за нарушение на сигурността или значителна промяна в проекта или мерките за сигурност на зона за сигурност или КИС органът по акредитиране на сигурността преразглежда и, ако е необходимо, може да отнеме разрешението за работа с КИЕС, докато не бъдат разрешени всички установени проблеми.

1.   Мерките за сигурност по TEMPEST се прилагат за защита на КИС, работещи с информация с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL или по-високо, и могат да се прилагат за информация с ниво на класификация за сигурност RESTREINT UE/EU RESTRICTED.

2.   Органът по TEMPEST отговаря за одобряването на мерките, предприети за защита против компрометирането на КИЕС чрез непреднамерени електронни излъчвания.

3.   По искане на отговорник на система за КИС, работеща с КИЕС, органът по TEMPEST издава спецификации за мерките за сигурност по TEMPEST, които са подходящи за нивото на класификация на информацията.

4.   Органът по TEMPEST извършва технически изпитвания по време на акредитацията на зоните за сигурност и КИС за работа с КИЕС с ниво на класификация за сигурност CONFIDENTIAL UE/EU CONFIDENTIAL или по-високо и след успешно изпитване издава удостоверение по TEMPEST.

5.   В сертификата по TEMPEST се посочва най-малко следното:

6.   Местен служител по сигурността или организатор на заседание, отговарящ за организирането на класифицирано заседание, в координация с местен служител по сигурността, може да поиска от органа по TEMPEST да тества заседателните зали, за да се гарантира, че те са технически обезопасени.

1.   Органът за криптографско одобрение отговаря за одобряването на използването на технологии за криптиране.

2.   Органът за криптографско одобрение издава насоки относно изискванията за използването и одобряването на технологии за криптиране.

3.   Органът за криптографско одобрение одобрява използването на решения за криптиране въз основа на искане от отговорника на система. Одобрението се дава въз основа на задоволителна оценка най-малко на следното:

4.   Органът за криптографско одобрение води регистър на одобрените решения за криптиране.

1.   Органът за разпределение на криптографски материали отговаря за разпределението на криптографски материали, използвани за защита на КИЕС (главно оборудване за криптиране, криптографски ключове, удостоверения и съответни средства за удостоверяване на автентичността), на:

2.   Органът за разпределение на криптографски материали може да делегира на други отдели разпределението на криптографски материали за трети страни в съответствие с член 17, параграф 3 от Решение 2015/443.

3.   Органът за разпределение на криптографски материали гарантира, че всички криптографски материали се изпращат по сигурни канали, които защитават срещу подправяне и показват доказателства за това, в съответствие с правилата за сигурност, приложими за нивото на класификация на КИЕС, която ще бъде защитена с тези материали.

4.   Органът за разпределение на криптографски материали предоставя насоки на местния служител по сигурността и, когато е приложимо, на местния служител по ИТ сигурността на всеки отдел на Комисията, който участва в производството, разпределението или използването на криптографските материали.

5.   Органът за разпределение на криптографски материали гарантира, че са създадени подходящи оперативни процедури за сигурност за процеса на разпределение.

1.   Всеки началник на отдел назначава:

2.   Началникът на отдела иска одобрение от директора на дирекция „Сигурност“ на Генерална дирекция „Човешки ресурси и сигурност“ преди назначаването на местните служители по сигурността и заместниците им, както и на ръководителите на регистратурата и заместниците им.

3.   Началникът на отдела определя всички длъжности, за които е необходимо разрешение за достъп до КИЕС, като се консултира с местния служител по сигурността. Кандидатите за такива длъжности се уведомяват за изискването за провеждане на проучване за надеждност по време на процеса на набиране на персонал.

4.   Началникът на всеки отдел, притежаващ КИЕС, отговаря за активирането на планове за унищожаване и евакуация при извънредни ситуации, когато това е необходимо. Плановете включват алтернатива за ситуации, при които не може да се осъществи връзка с началника на отдела.

1.   Отговорникът на система се свързва с органа по акредитиране на сигурността на възможно най-ранен етап в рамките на проект за внедряване на КИС, работеща с КИЕС, за да определи съответните стандарти и изисквания за сигурност и да започне процеса на акредитиране на сигурността.

2.   Отговорникът на система гарантира, че мерките за сигурност отговарят на изискванията на органа по акредитиране на сигурността и че КИС не работи с КИЕС, преди да бъде акредитирана.

3.   Отговорникът на система се свързва с органа за криптографско одобрение, за да получи одобрение да използва дадена технология за криптиране. Отговорниците на системи не използват технологии за криптиране в производствените системи без предварително одобрение.

4.   Отговорникът на система се консултира с ръководителя на регистратурата на отдела по въпросите, свързани със сигурността на КИС.

5.   Най-малко веднъж годишно отговорникът на система прави преглед на мерките за сигурност, които се прилагат към дадена система, включително на нейния план за сигурност.

6.   Когато в КИС възникне инцидент, свързан със сигурността, при който се посочва, че КИС вече не може да осигури адекватна защита на КИЕС, отговорникът на система информира местния служител по сигурността и незабавно се свързва с органа по акредитиране на сигурността, за да получи съвет как да се процедира. В този случай акредитацията може да бъде временно прекратена и системата може да бъде извадена от експлоатация, докато не бъдат предприети подходящи коригиращи действия.

7.   Отговорникът на система предоставя на органа по акредитиране на сигурността пълна подкрепа по всяко време за задълженията му, свързани с акредитирането на КИС.

1.   Местните служители по сигурността и заместниците им са длъжностни лица или срочно наети служители.

2.   Всички местни служители по сигурността и заместниците им притежават валидно разрешение за достъп до КИЕС с ниво на класификация за сигурност до ниво SECRET UE/EU SECRET и при необходимост до ниво TRES SECRET UE/EU TOP SECRET. Местните служители по сигурността и заместниците им получават разрешение за достъп преди тяхното назначаване.

3.   Представителствата на Комисията могат да поискат от органа по сигурността на Комисията да предостави изключение от изискванията, посочени в параграфи 1 и 2.

1.   Местният служител по сигурността на съответния отдел на Комисията изготвя оперативни процедури за сигурност за всяка зона за сигурност, за която отговаря.

2.   Местният служител по сигурността гарантира, че оперативните процедури за сигурност включват следните изисквания:

1.   Местният служител по сигурността носи цялата отговорност за осигуряване на правилното боравене и съхранение на ключовете и комбинациите, използвани в зоните за сигурност или за достъп до тях. Ключовете и комбинациите се съхраняват в сейф и са защитени най-малко на същото ниво като материала, до който дават достъп.

2.   Местният служител по сигурността поддържа регистър на сейфовете и блиндираните помещения, заедно с актуален списък на всички служители, които имат достъп до тях без придружител.

3.   Местният служител по сигурността поддържа регистър на ключовете за сейфовете и блиндираните помещения, включително на служителите, на които те са разпределени. За всеки издаден ключ се съхранява разписка, която включва идентификацията на ключа, получателя, датата и часа.

4.   Ключове и комбинации се издават само на служители, които отговарят на условието „необходимост да се знае“ и на които е предоставено съответното разрешение за достъп до КИЕС. Местният служител по сигурността отнема ключовете, когато тези условия вече не са изпълнени.

5.   Местният служител по сигурността съхранява резервни ключове и писмен запис на всяка комбинация в отделни запечатани, непрозрачни, подписани и датирани пликове, които се предоставят от служителя, отговарящ за ключовете. Тези пликове се съхраняват в сейф, който е одобрен за съхранение на материали с най-високо ниво на класификация, които се съхраняват в съответния сейф или в блиндирано помещение.

6.   Ако при промяна на комбинацията или смяна на притежателя на ключа има доказателства за нарушаване на целостта или за повреда на даден плик, местният служител по сигурността третира това като инцидент, свързан със сигурността, и незабавно уведомява органа по сигурността на Комисията.

7.   Промените в шифровите комбинации на сейфовете в зоните за сигурност се извършват под надзора на местния служител по сигурността. Комбинациите се актуализират най-малко на всеки 12 месеца и всеки път, когато:

8.   Местният служител по сигурността води регистър на датите на промените в комбинациите, посочени в параграф 7.

1.   Местният служител по сигурността подпомага ръководителя на отдела при изготвянето на планове за евакуация и унищожаване на КИЕС при извънредни ситуации въз основа на насоките, предоставени от дирекция „Сигурност“ на Генерална дирекция „Човешки ресурси и сигурност“.

2.   Местният служител по сигурността гарантира, че оборудването, необходимо за изпълнението на плановете, предвидени в параграф 1, е леснодостъпно и се поддържа в добро работно състояние.

3.   Местният служител по сигурността, заедно с длъжностните лица, номинирани в плановете, предвидени в параграф 1, прави преглед на степента на готовност на плановете най-малко на всеки 12 месеца и предприема всички необходими действия за актуализирането им.

1.   Местният служител по сигурността поддържа регистър на всички длъжности в отдела, за които се изисква разрешение за достъп от Комисията, и на персонала, заемащ тези длъжности. Провеждането на проучване за надеждност трябва да бъде посочено в обявлението за свободна длъжност по време на процеса на набиране на персонал и да бъде съобщено на кандидата по време на събеседването.

2.   Местният служител по сигурността наблюдава всички искания за разрешения за достъп до КИЕС. Местният служител по сигурността е звеното за контакт в рамките на отдела и поддържа връзка с органа по сигурността на Комисията относно разрешенията за достъп.

3.   Местният служител по сигурността подава искане за започване на процедура за издаване на разрешение за достъп на съответния служител и гарантира, че служителят незабавно връща на органа по сигурността на Комисията въпросника за национално разрешение за достъп до класифицирана информация.

4.   Местният служител по сигурността гарантира, че служителите в отдела, които са преминали проучването за надеждност, посещават задължителното обучение за работа с КИЕС, за да получат разрешението си за достъп.

5.   Местният служител по сигурността поддържа редовна връзка със службата за човешки ресурси на отдела за информация относно всички промени в длъжностите, за които се изисква разрешение за достъп, и незабавно информира органа по сигурността на Комисията за всяка такава промяна.

6.   Местният служител по сигурността уведомява органа по сигурността на Комисията за пристигането на нов служител, притежаващ съществуващо разрешение за достъп до класифицирана информация, за да заеме длъжност, за която е необходим упълномощен служител с достъп.

7.   Местният служител по сигурността гарантира, че служителите в отдела завършват процедурата за подновяване на разрешение за достъп до класифицирана информация в определения срок. Всеки служител, който откаже да приключи процедурата, е длъжен да се премести на длъжност, за която не е необходим упълномощен служител с достъп.

1.   Когато даден отдел управлява регистратура на КИЕС, местният служител по сигурността упражнява надзор върху дейностите на ръководителите на регистратурата, свързани с работата с КИЕС, и спазването на правилата за сигурност за защита на КИЕС.

2.   Местният служител по сигурността извършва следните проверки най-малко на всеки 12 месеца и при смяна на ръководител на регистратурата или негов заместник:

3.   Поне веднъж месечно местният служител по сигурността извършва проверки на място на регистъра на класифицираните документи и на наскоро получените класифицирани документи, за да се увери, че документите се регистрират правилно.

4.   Всички проверки се вписват в дневника на регистъра на класифицираните документи.

1.   Ръководителите на регистратурата и заместниците им са длъжностни лица или срочно наети служители.

2.   Всички ръководители на регистратурата и заместниците им притежават валидно разрешение за достъп до КИЕС с ниво на класификация за сигурност до ниво SECRET UE/EU SECRET и при необходимост до ниво TRES SECRET UE/EU TOP SECRET. Ръководителите на регистратурата и заместниците им получават разрешение за достъп преди тяхното назначаване.

3.   Представителствата на Комисията могат да поискат от органа по сигурността на Комисията да предостави изключение от изискванията, посочени в параграфи 1 и 2.

1.   Ръководителите на регистратурата регистрират информация с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL или по-високо за целите на сигурността в следните случаи:

2.   Ръководителите на регистратурата регистрират всички събития през жизнения цикъл на цялата информация с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL или по-високо. Ръководителите на регистратурата също така гарантират, че се поддържа регистър на цялата информация с ниво на класификация за сигурност RESTREINT UE/EU RESTRICTED или негов еквивалент, която се обменя с трети държави и международни организации. Това се извършва в координация с регистратурата на КИЕС, управлявана от Генералния секретариат.

3.   Ръководителят на регистратурата регистрира документи с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL или по-високо в регистъра на класифицираните документи и гарантира, че те се съхраняват по сигурен начин в регистратурата на КИЕС.

4.   Ръководителят на регистратурата подпомага служителите на Комисията при създаването и изпращането на информация с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL или по-високо.

5.   Когато документи с ниво на класификация CONFIDENTIEL UE/EU CONFIDENTIAL или по-високо се получават от други отдели или външни лица, ръководителят на регистратурата гарантира, че разписката за доставка е надлежно върната на наредителя.

6.   Преди да разреши на даден служител достъп до класифициран документ, съхраняван от регистратурата на КИЕС, ръководителят на регистратурата проверява при местния служител по сигурността дали служителят има разрешение за достъп от органа по сигурността на Комисията.

7.   Ръководителят на регистратурата регистрира всички служители, влизащи и излизащи от регистратурата на КИЕС, които нямат разрешение за достъп без придружител, и ги придружава по време на посещението им.

8.   Когато служител вземе документ за справка извън регистратурата на КИЕС, ръководителят на регистратурата се уверява, че служителят е запознат със съответните компенсаторни мерки за сигурност и че документът е върнат веднага щом вече не е необходим. Ръководителят на регистратурата напомня на служителите да върнат всеки такъв документ във възможно най-кратък срок.

9.   Регистратурата на КИЕС издава удостоверение за куриер, ако класифицираните документи се пренасят на ръка извън държавата, в която се намира регистратурата.

10.   В известието за сигурност се съдържат подробни инструкции за ръководителите на регистратурата относно регистрирането на класифицирани документи.

1.   Ръководителите на регистратурата отговарят за унищожаването на информация с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL и по-високо с одобрени средства, когато е целесъобразно, в присъствието на свидетели с разрешение за достъп.

2.   Ръководителите на регистратурата вписват всяко унищожаване на информация с ниво на класификация CONFIDENTIEL UE/EU CONFIDENTIAL и по-високо в регистъра на класифицираните документи и съхраняват съответните удостоверения за унищожаване в регистъра на КИЕС.

1.   Ръководителят на регистратурата оказва цялото необходимо съдействие на местния служител по сигурността при извършването на надзорни дейности в регистратурата на КИЕС.

2.   Ръководителят на регистратурата докладва всички предполагаеми или действителни инциденти, свързани със сигурността, на местния служител по сигурността, който на свой ред ги докладва на органа по сигурността на Комисията.

3.   Ръководителят на регистратурата на КИЕС на отдел на Комисията, който организира заседание с ниво на класификация CONFIDENTIEL UE/EU CONFIDENTIAL или по-високо, подготвя КИЕС, с която ще се работи по време на заседанието, и координира действията си с организатора на заседанието, за да се гарантира, че всички документи и разписки се обработват в съответствие с приложимите правила.