а)

TRÈS SECRET UE/EU TOP SECRET: информация и материали, чието неразрешено разкриване би могло да увреди изключително сериозно съществените интереси на Европейския съюз или на една или повече от държавите членки;

б)

SECRET UE/EU SECRET: информация и материали, чието неразрешено разкриване би могло да увреди сериозно съществените интереси на Европейския съюз или на една или повече от държавите членки;

в)

CONFIDENTIEL UE/EU CONFIDENTIAL: информация и материали, чието неразрешено разкриване би могло да увреди съществените интереси на Европейския съюз или на една или повече от държавите членки;

г)

RESTREINT UE/EU RESTRICTED: информация и материали, чието неразрешено разкриване би се отразило неблагоприятно на интересите на Европейския съюз или на една или повече от държавите членки.

—

класифицираната информация, която ЕСВД получава; както и

—

изходния материал, включен в класифицираната информация с произход от ЕСВД.

—

е необходимо да знаят,

—

за достъп до информация с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL или по-високо, са преминали проучване за надеждност за съответното ниво или са съответно надлежно оправомощени по силата на своите функции, в съответствие с националните законови и подзаконови актове; както и

—

са информирани за отговорностите си.

а)

като общо правило КИЕС се предава чрез електронни средства, защитени чрез криптографски продукти, одобрени в съответствие с член 7, параграф 5 от настоящото решение, и съгласно ясно определени оперативни процедури за сигурност (ОПС);

б)

когато не се използват средствата, посочени в буква а), КИЕС се пренася или:

а)

орган по ОИ (ООИ);

б)

орган по TEMPEST (ОТ);

в)

орган за криптографско одобрение (ОКО);

г)

орган за разпределение на криптографски материали (ОРКМ).

а)

орган по акредитиране на сигурността (ОАС);

б)

оперативен орган по ОИ.

а)

има влязло в сила споразумение за сигурност на информацията между ЕС и тази трета държава или международна организация, сключено в съответствие с член 37 от Договора за ЕС и член 218 от ДФЕС; или

б)

се прилага административна договореност между ВП и компетентните органи по сигурността на тази трета държава или международна организация, касаеща обмен на информация с ниво на класификация за сигурност, което по принцип не е по-високо от RESTREINT UE/EU RESTRICTED, сключена в съответствие с процедурата съгласно член 14, параграф 5 от настоящото решение; или

в)

се прилага рамково или ad hoc споразумение за участие между ЕС и тази трета държава в контекста на операция по управление на кризи по линия на ОПСО, сключено в съответствие с член 37 от Договора за ЕС и член 218 от ДФЕС,

а)

извършване на оценка на потенциалните вреди, причинени на интересите на ЕС или на държавите членки;

б)

предприемане на необходимите мерки за предотвратяване на повторно нарушение;

в)

запазване на доказателствата;

г)

осигуряване на разследване на случая от служители, които нямат непосредствено отношение към нарушението, с оглед установяване на фактите;

д)

уведомяване на съответните органи за последствията от събитието и предприетите действия; както и

е)

информиране на създателя на информацията.

1.

В настоящото приложение се определят разпоредби за прилагането на член 5 от приложение A. В него се установяват по-специално критериите, прилагани от ЕСВД, с които се определя дали на дадено физическо лице, отчитайки неговата лоялност и надеждност, може да бъде дадено разрешение за достъп до КИЕС, както и проучвателните и административните процедури, които да се следват за тази цел.

2.

„Разрешение за достъп на персонала“ (РДП) до КИЕС означава изявление на компетентен орган на държава членка, което се прави след приключване на проучване за надеждност, извършено от компетентните органи на държавата членка, с което се удостоверява, че дадено лице може да получи достъп до КИЕС на определено ниво (CONFIDENTIEL UE/EU CONFIDENTIAL или по-високо) с определен срок, при условие че бъде установена „необходимост да се знае“; така описаното лице се смята за „лице с разрешение за достъп“.

3.

„Удостоверение за разрешение за достъп на персонала“ (УРДП) означава удостоверение, издадено от органа по сигурността на ЕСВД, с което се удостоверява, че дадено лице е преминало през проучване за надеждност и се посочва нивото на КИЕС, до което лицето може да получи достъп, срокът на валидност на съответното РДП и датата на изтичане на валидността на самото удостоверение.

4.

„Разрешение за достъп до КИЕС“ означава разрешение от органа по сигурността на ЕСВД, дадено в съответствие с настоящото решение след издаване на РДП от компетентните органи на държава членка и с което се удостоверява, че дадено лице може да получи достъп до КИЕС на определено ниво (CONFIDENTIEL UE/EU CONFIDENTIAL или по-високо) с определен срок, при условие че бъде установена „необходимост да се знае“; така описаното лице се смята за „лице с разрешение за достъп“.

5.

Достъпът до информация с ниво на класификация RESTREINT UE/EU RESTRICTED не изисква проучване за надеждност и се предоставя след като:

6.

Физическо лице получава разрешение за достъп до информация с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL или по-високо, след като:

7.

ЕСВД определя длъжностите в своите структури, които изискват достъп до информация с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL или по-високо, и в съответствие с това изисква РДП до необходимото ниво, както е определено в член 4 по-горе.

8.

Служителите на ЕСВД обявяват дали са граждани на повече от една държава.

9.

За персонала на ЕСВД назначаващият орган на ЕСВД изпраща попълнения въпросник за проучване на надеждността на персонала на НОС на държавата членка, чийто гражданин е лицето, с молба да се предприеме проучване за надеждност за нивото на класификация на КИЕС, до което лицето ще има нужда от достъп.

10.

Когато дадено лице е гражданин на повече от една държава, молбата се подава до НОС на държавата, за гражданин на която се е определило лицето при наемането си.

11.

Когато на ЕСВД стане известна информация от значение за проучването за надеждност на лице, подало искане за РДП, ЕСВД уведомява за това съответния НОС в съответствие с приложимите правила и разпоредби.

12.

След приключване на проучването за надеждност съответният НОС уведомява дирекция „Сигурност“ на ЕСВД за резултата от проучването.

13.

Проучването за надеждност и получените резултати, въз основа на които ЕСВД издава своето решение дали да предостави разрешение за достъп до КИЕС, подлежат на съответните законови и подзаконови актове в сила в съответната държава членка, включително по отношение на обжалването. Решенията на органа по сигурността на ЕСВД подлежат на обжалване в съответствие с Правилника за длъжностните лица на Европейския съюз и Условията за работа на другите служители на Европейския съюз, установени в Регламент (ЕИО, Евратом, ЕОВС) № 259/68 (1) (наричан по-долу „Правилник за длъжностните лица“).

14.

Уверението, на което се основава РДП, при положение че остава валидно, обхваща всички задачи за изпълнение от съответното лице в рамките на ЕСВД, Генералния секретариат на Съвета или Комисията.

15.

Ако лицето не започне работа в рамките на 12 месеца от съобщаването на резултата от проучването за надеждност на органа по сигурността на ЕСВД или когато е налице прекъсване от 12 месеца или повече, през които то не е било на работа в ЕСВД, в други институции, агенции или органи на ЕС или в националната администрация на държава членка на длъжност, която изисква достъп до класифицирана информация, резултатът от проучването се изпраща на съответния НОС за потвърждаване на валидността и целесъобразността му.

16.

Когато на ЕСВД стане известна информация, че физическо лице, притежател на валидно РДП, представлява риск за сигурността, ЕСВД уведомява за това съответния НОС в съответствие с приложимите правила и разпоредби. Когато НОС уведоми ЕСВД, че оттегля уверение, дадено в съответствие с точка 12, буква а) за лице, притежател на валидно разрешение за достъп до КИЕС, органът по сигурността на ЕСВД може да отправи искане за всякакъв вид пояснения, които НОС може да предостави съгласно националните законови и подзаконови актове. Ако неблагоприятната информация бъде потвърдена, горепосоченото разрешение се оттегля и лицето се изключва от достъп до КИЕС и от длъжности, където е възможен такъв достъп или където то може да представлява опасност за сигурността.

17.

Всяко решение за отнемане на разрешение за достъп до КИЕС от длъжностно лице или ЕСВД и, когато това е уместно, основанията за него се съобщават на заинтересованото лице, което може да поиска да бъде изслушано от органа по сигурността на ЕСВД. Информацията, предоставена от НОС, се подчинява на действащите законови и подзаконови актове на съответната държава членка, включително на актовете, отнасящи се до обжалването. Решенията на органа по сигурността на ЕСВД подлежат на обжалване в съответствие с Правилника за длъжностните лица.

18.

Националните експерти, командировани в ЕСВД на длъжност, изискваща достъп до информация с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL или по-високо, представят валидно РДП за достъп до КИЕС на съответното ниво пред органа по сигурността на ЕСВД преди да приемат назначението. Горепосоченият процес се управлява от изпращащата държава членка.

19.

ЕСВД поддържа база данни относно статуса на разрешение за достъп на целия персонал под отговорността на ЕСВД и персонала на изпълнителите на ЕСВД. Тези регистри съдържат информация за нивото на КИЕС, до което се дава достъп на физическото лице (CONFIDENTIEL UE/EU CONFIDENTIAL или по-високо), датата на предоставяне на РДП и срока му на валидност.

20.

Въвеждат се подходящи процедури за координация с държавите членки и другите институции, агенции и органи на ЕС, за да се гарантира, че ЕСВД разполага с точен и цялостен регистър на статуса на разрешение за достъп на целия персонал под отговорността на ЕСВД и персонала на изпълнителите на ЕСВД.

21.

Органът по сигурността на ЕСВД може да издава удостоверение за разрешение за достъп на персонала (УРДП), в което се посочва нивото на КИЕС, до което лицето може да получи достъп (CONFIDENTIEL UE/EU CONFIDENTIAL или по-високо), срокът на валидност на съответното РДП и датата на изтичане на валидността на самото удостоверение.

22.

Лицата, които са надлежно оправомощени да осъществяват достъп до КИЕС по силата на изпълняваните от тях функции в съответствие с националните законови и подзаконови актове, по целесъобразност се информират за задълженията си за защитата на КИЕС от дирекция „Сигурност“ на ЕСВД.

23.

Преди да получат разрешение за достъп до КИЕС всички лица декларират писмено, че са запознати със задълженията си по отношение на защитата на КИЕС и последиците от излагането на риск на КИЕС. ЕСВД регистрира тези писмени декларации.

24.

Всички лица, които имат разрешение за достъп до КИЕС или от които се изисква да работят с КИЕС, получават първоначална информация и биват впоследствие редовно информирани относно заплахите за сигурността и са длъжни незабавно да докладват на съответните органи по сигурността за всеки подход или дейност, които считат за подозрителни или необичайни.

25.

Всички лица, на които е предоставен достъп до КИЕС, подлежат на текущи мерки за сигурност, свързана с персонала, (т.е. последващи мерки) за времето, в което работят с КИЕС. Текущата сигурност, свързана с персонала, е отговорност на:

26.

Всички лица, които престават да изпълняват задължения, свързани с достъп до КИЕС, биват информирани за задълженията им да продължат да опазват КИЕС и по целесъобразност декларират писмено, че са запознати със своите задължения.

27.

При неотложни случаи, когато това е надлежно оправдано от интересите на ЕСВД, и до завършване на цялостното проучване за надеждност органът по сигурността на ЕСВД, след консултация с НОС на държавата членка, чийто гражданин е лицето, и в зависимост от резултата от предварителната проверка за удостоверяване, че няма неблагоприятна информация, може да разреши временно на длъжностни лица и други служители на ЕСВД достъп до КИЕС за изпълнение на конкретни задължения. Възможно най-скоро се извършва пълно проучване за надеждност. Временното разрешение важи за период, който не надвишава шест месеца и не дава право на достъп до информация с ниво на класификация за сигурност TRÉS SECRET UE/EU TOP SECRET. Всички лица, които притежават временно разрешение, декларират писмено, че са запознати със задълженията си по отношение на защитата на КИЕС и последиците от излагането на риск на КИЕС. ЕСВД регистрира тези писмени декларации.

28.

Когато предстои дадено лице да бъде назначено на длъжност, изискваща РДП на ниво, една степен по-високо от притежаваното от него, лицето може да бъде назначено временно, при условие че:

29.

Посочената по-горе процедура се използва за еднократен достъп до КИЕС на ниво с една степен по-високо от това, до което лицето е получило достъп. До тази процедура не се прибягва редовно.

30.

В крайно изключителни обстоятелства, като мисии във враждебна среда или в периоди на нарастващо международно напрежение, когато това се налага за предприемане на неотложни мерки, особено с цел спасяване на човешки живот, ВП, изпълнителният генерален секретар или главният оперативен служител могат, по възможност в писмена форма, да предоставят достъп до информация с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL или SECRET UE/EU SECRET на лица, които не разполагат с необходимото РДП, при условие че такова разрешение е абсолютно необходимо и липсват основателни съмнения относно лоялността и надеждността на съответното лице. Даденото разрешение се регистрира, като се описва информацията, до която е одобрен достъп.

31.

При информация с ниво на класификация за сигурност TRÉS SECRET UE/EU TOP SECRET извънредният достъп се ограничава до граждани на ЕС, на които е разрешен достъп до информация с национално ниво на класификация за сигурност, равностойно на TRÉS SECRET UE/EU TOP SECRET, или до информация с ниво на класификация за сигурност SECRET UE/EU SECRET.

32.

Комитетът по сигурността на ЕСВД се информира за случаите, в които се прибягва до процедурата, установена в точки 29 и 30.

33.

Комитетът по сигурността на ЕСВД получава годишен доклад относно използването на процедурите, установени в настоящия раздел.

34.

Лица, на които е възложено да участват в заседания в централата на ЕСВД или делегациите на Съюза, на които се обсъжда информация с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL или по-високо, се допускат до участие само след потвърждаване на статуса им на лица с РДП. За представителите на държавите членки, длъжностни лица от ГСС и Комисията се изпраща УРДП или друго доказателство за РДП от съответните органи до дирекция „Сигурност“ на ЕСВД, координатора на сигурността на делегацията на Съюза или, по изключение, УРД се представя лично от самия участник. Когато е приложимо, може да се използва единен списък с имена, който да предоставя съответно доказателство за РДП.

35.

Когато бъде оттеглено РДП за достъп до КИЕС на лице, чиито задължения изискват присъствието му на заседания в централата на ЕСВД или делегациите на Съюза, на които се обсъжда информация с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL или по-високо, компетентният орган уведомява ЕСВД за това.

36.

Когато предстои дадени лица да бъдат наети на работа при обстоятелства, при които те могат потенциално да имат достъп до информация с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL или по-високо, те преминават през съответното проучване за надеждност или биват придружавани непрекъснато.

37.

Куриерите, охранителите и придружителите преминават през проучване за надеждност на съответното ниво или се проучват по други начини в съответствие с националните законови и подзаконови актове, биват редовно инструктирани относно процедурите за сигурност за защита на КИЕС и получават указания за задълженията им във връзка със защитата на информацията, която им е поверена или до която неволно имат достъп.

1.

В настоящото приложение се съдържат разпоредбите за изпълнение на член 6 от приложение A. В него се установяват минималните изисквания за физическа защита на помещения, сгради, офиси, зали и други зони, в които се работи с КИЕС и се съхранява такава, включително на зоните, в които се помещават КИС.

2.

Мерките за физическа сигурност са предназначени да предотвратяват неразрешен достъп до КИЕС, като:

3.

ЕСВД прилага процес на управление на риска за защита на КИЕС в своите помещения, за да гарантира, че се осигурява ниво на физическа защита, което е съизмеримо с оценката на риска. В процеса на управление на риска се вземат предвид всички необходими фактори, и по-специално:

4.

Органът по сигурността на ЕСВД, като прилага концепцията за защита в дълбочина, определя необходимото съчетание от мерки за физическа сигурност, които да се приложат. То може да включва една или повече от следните мерки:

5.

Дирекция „Сигурност“ на ЕСВД може да извършва претърсвания на влизащите или излизащите, което действа като възпиращ фактор по отношение на неразрешено внасяне на материали или неразрешено изнасяне на КИЕС от дадено помещение или сграда.

6.

Когато съществува риск от пропуски, дори случайни, по отношение на КИЕС, се вземат необходимите мерки за неутрализиране на риска.

7.

За нови структури изискванията за физическа сигурност и техните функционални спецификации се определят като част от планирането и дизайна на тези структури. За съществуващи структури изискванията за физическа сигурност се осъществяват в максималната възможна степен.

8.

При придобиване на оборудване (като сейфове, машини за унищожаване на хартиени документи, ключалки за врати, електронни системи за контрол на достъпа, системи против проникване, алармени системи) за физическа защита на КИЕС органът по сигурността на ЕСВД гарантира, че оборудването отговаря на одобрените технически стандарти и минимални изисквания.

9.

Техническите спецификации на оборудването, което се използва за физическата защита на КИЕС, се посочват в насоките за сигурност, които се одобряват от Комитета по сигурността на ЕСВД.

10.

Системите за сигурност се проверяват периодично, като оборудването подлежи на редовна поддръжка. Поддръжката е съобразена с резултатите от проверките, за да се гарантира постоянно оптимално функциониране на оборудването.

11.

При всяка проверка се прави преоценка на ефективността на отделните мерки и на цялата система за сигурност.

12.

За физическа защита на КИЕС се създават два вида физически защитени зони или националните им еквиваленти:

13.

Органът по сигурността на ЕСВД определя дали дадена зона отговаря на изискванията за административна зона, зона за сигурност или техническа зона за сигурност.

14.

За административните зони:

15.

За зоните за сигурност:

16.

Когато влизането в зона за сигурност представлява на практика пряк достъп до класифицираната информация в нея, се прилагат следните допълнителни изисквания:

17.

Зони за сигурност, защитени срещу подслушване, се определят за технически зони за сигурност. Прилагат се следните допълнителни изисквания:

18.

Независимо от точка 17, буква г), преди да се използва в зони, където се провеждат заседания или се извършва дейност, включваща работа с информация с ниво на класификация за сигурност SECRET UE/EU SECRET и по-високо, и където степента на заплаха за КИЕС се оценява като висока, комуникационните средства и електрическото или електронното оборудване най-напред се проверяват от органа по сигурността на ЕСВД, за да се гарантира, че с това оборудване не може да се предаде, неволно или неправомерно, разбираема информация отвъд периметъра на зоната за сигурност.

19.

Зоните за сигурност, в които няма денонощно присъствие на дежурен персонал, се проверяват, когато това е уместно, в края на установеното работно време и на произволни интервали извън установеното работно време, освен ако е инсталирана система против проникване.

20.

Зони за сигурност и технически зони за сигурност могат да бъдат временно създадени в рамките на административна зона за целите на класифицирано заседание или други подобни цели.

21.

За всяка зона за сигурност се изготвят оперативни процедури за сигурност, в които се определят:

22.

В рамките на зоните за сигурност се изграждат блиндирани помещения. Стените, подовете, таваните, прозорците и вратите с ключалки се одобряват от органа по сигурността на ЕСВД и осигуряват защита, равностойна на тази на сейф от категорията, одобрена за съхранение на КИЕС със същото ниво на класификация за сигурност.

23.

С КИЕС с ниво на класификация за сигурност RESTREINT UE/EU RESTRICTED може да се работи:

24.

КИЕС с ниво на класификация за сигурност RESTREINT UE/EU RESTRICTED се съхранява в подходящи заключващи се офис мебели в административна зона или в зона за сигурност. Тя може да се съхранява временно извън зона за сигурност или административна зона, при условие че притежателят се е ангажирал да спазва компенсаторните мерки, установени в инструкциите за сигурност, издадени от органа по сигурността на ЕСВД.

25.

С КИЕС с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL или SECRET UE/EU SECRET може да се работи:

26.

КИЕС с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL и SECRET UE/EU SECRET се съхранява в зона за сигурност в сейф или блиндирано помещение.

27.

С КИЕС с ниво на класификация за сигурност TRÉS SECRET UE/EU TOP SECRET се работи в зона за сигурност.

28.

КИЕС с ниво на класификация за сигурност TRÉS SECRET UE/EU TOP SECRET се съхранява в зона за сигурност в централата в съответствие с едно от следните условия:

29.

Правилата, уреждащи преноса на КИЕС извън физически защитените зони, се съдържат в приложение А III.

30.

Органът по сигурността на ЕСВД определя процедурите за управление на ключовете и шифровите комбинации за офисите, помещенията, блиндираните помещения и сейфовете. Тези процедури осигуряват защита срещу неразрешен достъп.

31.

Шифровите комбинации се запаметяват от възможно най-малък брой лица на основание „необходимост да се знае“. Шифровите комбинации за сейфовете и блиндираните помещения, в които се съхранява КИЕС, се променят:

1.

В настоящото приложение се съдържат разпоредбите за изпълнение на член 7 от приложение А. В него се установяват административните мерки за контрол на КИЕС през жизнения ѝ цикъл с цел да се съдейства за възпиране и разкриване на умишлено или случайно излагане на риск или загуба на такава информация, както и за последващото ѝ възстановяване.

2.

Информацията се класифицира, когато е необходимо да бъде защитена от съображения за поверителност.

3.

Създателят на КИЕС отговаря за определянето на нивото на класификацията за сигурност в съответствие със съответните насоки за класификация, както и за разпространението на информацията.

4.

Нивото на класификация на КИЕС се определя в съответствие с член 2, параграф 2 от приложение А и при спазване на политиката за сигурност, която се одобрява в съответствие с член 3, параграф 3 от приложение А.

5.

Класифицирана информация на държавите членки, която се обменя с ЕСВД, получава същото ниво на защита като КИЕС с равностойно ниво на класификация. В допълнение Б към Решение 2011/292/ЕС на Съвета от 31 март 2011 г. относно правилата за сигурност за защита на класифицирана информация на ЕС се съдържа таблица на съответствията.

6.

Класификацията за сигурност и по целесъобразност датата или конкретното събитие, след които нивото на класификация може да бъде понижено или премахнато, се посочват ясно и правилно независимо дали КИЕС е на хартиен носител, в устна, електронна или друга форма.

7.

Отделни части от даден документ (т.е. страници, параграфи, раздели, приложения, допълнения, добавки и притурки) може да изискват различно ниво на класификация за сигурност, за което се поставя съответният гриф, включително когато се съхраняват в електронен вид.

8.

Доколкото е възможно, документите, съдържащи части с различни нива на класификация, се структурират така, че частите с различни нива на класификация да могат лесно да се идентифицират и отделят при необходимост.

9.

Нивото, на което се класифицира даден документ или файл, е не по-ниско от най-високото ниво на класификация за сигурност на негов елемент. Когато се обединява информация от различни източници, се прави преглед на окончателния продукт, за да се определи цялостното ниво на класификация за сигурност, тъй като може да е необходимо той да бъде с по-високо ниво на класификация от това на съставните му части.

10.

Класификацията на писмо или записка, включващи приложения, съответства на най-високата степен на класификация на тези приложения. Създателят ясно обозначава нивото на класификация на основния документ без приложенията, като използва подходящ гриф, например:

CONFIDENTIEL UE/EU CONFIDENTIAL

Без приложение(я) RESTREINT UE/EU RESTRICTED

11.

В допълнение към един от грифовете за сигурност, посочени в член 2, параграф 2 от приложение А, КИЕС може да носи допълнително обозначение, като:

12.

След решение за предоставяне на КИЕС на трета държава или международна организация дирекция „Сигурност“ на ЕСВД изпраща съответната класифицирана информация с обозначение, че подлежи на предоставяне, в което се посочва третата държава или международната организация, на която се предоставя.

13.

Органът по сигурността на ЕСВД приема списък с разрешени обозначения.

14.

За обозначаване на нивото на класификация на отделни параграфи от текста могат да се използват стандартни съкращения на нивата на класификация. Пълното название на грифовете за сигурност не се заменя със съкратени обозначения.

15.

В класифицирани документи на ЕС за обозначаване на нивото на класификация на раздели или части от текст, по-малки от една страница, могат да се използват следните стандартни съкращения:

16.

При създаване на класифициран документ на ЕС:

17.

Когато не е възможно да се приложи точка 15 към КИЕС, се вземат други подходящи мерки в съответствие с насоките за сигурност, които се определят съгласно настоящото решение.

18.

При създаване на информацията създателят обозначава, когато е възможно, и особено за информация с ниво на класификация за сигурност RESTREINT UE/EU RESTRICTED, дали нивото на класификация на КИЕС може да бъде понижено или класификацията може да бъде премахната на определена дата или след настъпване на определено събитие.

19.

ЕСВД прави редовен преглед на КИЕС, с която разполага, за да установи дали нивото на класификация продължава да е приложимо. ЕСВД установява система за преразглеждане на нивото на класификация на регистрираната КИЕС, чийто създател е тя, не по-рядко от веднъж на пет години. Такъв преглед не се налага, ако от самото начало създателят е посочил конкретен момент, в който нивото на класификация на информацията ще бъде автоматично понижено или класификацията ще бъде премахната и информацията носи съответното обозначение.

20.

В централата се създава централен регистър. За всяка организационна единица в рамките на ЕСВД, която работи с КИЕС, се създава съответен регистър, подчинен на централния регистър, за да се гарантира, че КИЕС се обработва в съответствие с настоящото решение. Регистрите се обособяват като зони за сигурност съгласно посоченото в приложение А.

Всяка делегация на Съюза създава свой собствен регистър на КИЕС.

Органът по сигурността на ЕСВД определя завеждащ регистъра служител за тези регистри.

21.

За целите на настоящото решение регистрация за целите на сигурността (наричана по-долу „регистрация“) означава прилагането на процедури за отбелязване на жизнения цикъл на информацията, включително нейното разпространение и унищожаване. По отношение на КИС процедурите за регистрация могат да се изпълнят като процес в рамките на самата КИС.

22.

Всички материали с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL и по-високо се регистрират при постъпването им в дадена организационна единица и при излизането им от нея, включително делегациите на Съюза. Информация с ниво на класификация за сигурност TRÉS SECRET UE/EU TOP SECRET се регистрира в специални регистри.

23.

Централният регистър, разположен в централата на ЕСВД, е основната входна и изходна точка за обмен на класифицирана информация с трети държави и международни организации. В него се поддържа регистър на всички случаи на обмен.

24.

ВП одобрява политика на сигурност относно регистрацията на КИЕС за цели, свързани със сигурността, в съответствие с член 14 от настоящото решение.

25.

В централата на ЕСВД се определя централен регистър, който да играе ролята на централен орган за получаване и изпращане на информация с ниво на класификация за сигурност TRÉS SECRET UE/EU TOP SECRET. При необходимост могат да се определят и подчинени регистри, в които да се работи с такава информация с цел регистрация.

26.

Тези подчинени регистри не могат да предават документи с ниво на класификация за сигурност TRÉS SECRET UE/EU TOP SECRET пряко на други регистри, подчинени на същия централен регистър за информация с класификация за сигурност TRÉS SECRET UE/EU TOP SECRET, или на външни получатели без изричното писмено одобрение на последния.

27.

Документите с ниво на класификация за сигурност TRÉS SECRET UE/EU TOP SECRET не се копират или превеждат без предварителното писмено съгласие на създателя.

28.

Когато създателят на документи с ниво на класификация за сигурност SECRET UE/EU SECRET и по-ниско не е поставил предупредителни обозначения за тяхното копиране или превод, документите могат да бъдат копирани или превеждани по указание на притежателя.

29.

Мерките за сигурност, приложими към оригиналния документ, се прилагат и за неговите копия и преводи. Копия на информация с ниво на класификация CONFIDENTIEL UE/EU CONFIDENTIAL или по-високо се създават само от съответния регистър/подрегистър на защитена копирна машина. Копията трябва да се регистрират.

30.

Преносът на КИЕС подлежи на защитните мерки, уредени в точки 31—41. Когато КИЕС се пренася на електронен носител и независимо от разпоредбите на член 7, параграф 4 от приложение А, изложените по-долу защитни мерки могат да бъдат допълнени с подходящи технически контрамерки, предписани от органа по сигурността на ЕСВД, така че да се сведе до минимум рискът тя да бъде загубена или изложена на риск.

31.

Органът по сигурността на ЕСВД издава инструкции относно преноса на КИЕС в съответствие с настоящото решение.

32.

В рамките на отделна сграда или самостоятелна група от сгради КИЕС се покрива при пренасяне, така че да не се вижда нейното съдържание.

33.

В рамките на отделна сграда или самостоятелна група от сгради информацията с ниво на класификация за сигурност TRÉS SECRET UE/EU TOP SECRET се пренася в защитен плик, на който е обозначено само името на получателя, от съответно проучени за надеждност лица.

34.

Когато се пренася между сгради или обекти в рамките на ЕС, КИЕС се опакова по такъв начин, че да е защитена от неразрешено разкриване.

35.

Преносът на информация с ниво на класификация за сигурност до SECRET UE/EU SECRET в рамките на ЕС се извършва по един от следните начини:

В случай на пренос от една държава членка към друга разпоредбите на буква в) се ограничават до информация с ниво на класификация за сигурност до CONFIDENTIEL UE/EU CONFIDENTIAL.

36.

Материали с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL и SECRET UE/EU SECRET (например оборудване или машини), които не могат да бъдат пренасяни по посочените в точка 34 начини, се пренасят като товар от транспортни дружества в съответствие с приложение А V.

37.

Преносът на информация с ниво на класификация за сигурност TRÉS SECRET UE/EU TOP SECRET между сгради или обекти в рамките на ЕС се извършва с военен, правителствен или дипломатически куриер, в зависимост от случая.

38.

Когато се пренася от територията на ЕС до територията на трета държава или между институции на ЕС в трети държави, КИЕС се опакова по такъв начин, че да е защитена от неразрешено разкриване.

39.

Преносът на информация с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL и SECRET UE/EU SECRET от територията на ЕС до територията на трета държава и преносът на КИЕС с ниво на класификация за сигурност до SECRET UE/EU SECRET между институции на ЕС в трети държави се извършва по един от следните начини:

40.

При пренос на информация с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL и SECRET UE/EU SECRET, предоставена от ЕС на трета държава или международна организация, се спазват съответните разпоредби на споразумение за сигурност на информацията или на административна договореност в съответствие с член 10, параграф 2 от приложение А.

41.

Информация с ниво на класификация за сигурност RESTREINT UE/EU RESTRICTED може също да се пренася от територията на ЕС до територията на трета държава чрез пощенски служби или платени куриерски услуги.

42.

Преносът на информация с ниво на класификация за сигурност TRÉS SECRET UE/EU TOP SECRET от територията на ЕС до територията на трета държава или между институции на ЕС в трети държави се извършва с военен или дипломатически куриер.

43.

Класифицирани документи на ЕС, които вече не са необходими, могат да бъдат унищожени, при условие че не се засягат съответните правила и разпоредби за архивиране.

44.

Документи, подлежащи на регистрация в съответствие с член 7, параграф 2 от приложение А, се унищожават от отговарящия за тях регистър по указание на притежателя или на компетентен орган. Регистрите и друга регистрационна информация се актуализират съответно.

45.

Унищожаването на документи с ниво на класификация за сигурност SECRET UE/EU SECRET или TRÉS SECRET UE/EU TOP SECRET се извършва в присъствието на свидетел, който притежава разрешение за достъп до ниво на класификация за сигурност най-малко на нивото на документа, който се унищожава.

46.

Регистраторът и свидетелят, когато се изисква присъствие на такъв, подписват удостоверение за унищожаване, което се завежда в регистъра. Удостоверенията за унищожаване на документи с ниво на класификация за сигурност TRÉS SECRET UE/EU TOP SECRET се съхраняват в регистъра за срок от най-малко десет години, а на документи с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL и SECRET UE/EU SECRET — за срок от най-малко пет години.

47.

Класифицирани документи, включително документи с ниво на класификация за сигурност RESTREINT UE/EU RESTRICTED, се унищожават по методи, отговарящи на съответните стандарти на ЕС или равностойни на тях стандарти, или по методи, одобрени от държавите членки в съответствие с националните технически стандарти, така че да се предотврати цялостното им или частичното им възстановяване.

48.

Унищожаването на компютърните средства за съхранение на КИЕС се извършва в съответствие с точка 36 от приложение А IV.

49.

В съответствие с член 15 от настоящото решение проверките на сигурността на ЕСВД обхващат:

50.

Проверките на сигурността на ЕСВД се провеждат от екип за проверка от дирекция „Сигурност“ на ЕСВД и с подкрепата на експерти по сигурността от други институции на ЕС или държавите членки, ако е необходимо.

Екипът за проверка получава достъп до всички помещения, в които се работи с КИЕС, и по-специално до регистрите и точките за достъп до КИС.

51.

Когато е необходимо, проверките на сигурността на ЕСВД в делегациите на Съюза могат да се извършват с подкрепата на служителите по сигурността на посолствата на държавите членки, разположени в трети държави.

52.

Преди края на всяка календарна година органът по сигурността на ЕСВД приема програма за проверки на сигурността за ЕСВД за следващата година.

53.

Когато е необходимо, органът по сигурността на ЕСВД може да организира проверки на сигурността, които не са предвидени в горепосочената програма.

54.

При приключване на проверката на сигурността основните заключения и препоръки се представят на проверяваната единица. След това екипът за проверка изготвя доклад за проверката. Когато се предлагат коригиращи действия и се отправят препоръки, в доклада се включват достатъчно подробности в подкрепа на достигнатите заключения. Докладът се представя на органа по сигурността на ЕСВД и на ръководителя на проверяваната единица.

Под ръководството на дирекция „Сигурност“ на ЕСВД се изготвят редовно доклади, в които се посочват изводите от проверките, извършени през даден период и разгледани от Комитета по сигурността на ЕСВД.

55.

По целесъобразност дирекция „Сигурност“ на ЕСВД може да определи експерти за оказване на принос, които да участват в съвместни екипи за проверка на ЕС, извършващи проверки в агенции и органи на ЕС, създадени съгласно дял V, глава 2 от Договора за ЕС.

56.

Дирекция „Сигурност“ на ЕСВД изготвя и актуализира контролен списък за проверка на сигурността, съдържащ въпроси, които да се установят по време на проверката на сигурността на ЕСВД. Контролният списък се изпраща на Комитета по сигурността на ЕСВД.

57.

Предоставя се необходимата за попълване на контролния списък информация, особено по време на проверка от службите за управление на сигурността на проверяваната единица. След като бъдат дадени подробни отговори на въпросите от контролния списък, той се класифицира по споразумение с проверяваната единица Той не представлява част от доклада за проверката.

1.

В настоящото приложение се съдържат разпоредбите за изпълнение на член 8 от приложение А.

2.

Следните понятия и характеристики на осигуреност на информацията (ОИ) имат основно значение за сигурността и правилното протичане на операциите в комуникационните и информационните системи (КИС):

3.

Установените по-долу разпоредби съставляват основните параметри за сигурността на всяка КИС, в която се работи с КИЕС. Подробните изисквания за изпълнение на тези разпоредби се определят в политиките и насоките за сигурност за ОИ.

4.

Управлението на риска за сигурността е неразделна част от определянето, разработването, функционирането и поддръжката на КИС. Управлението на риска (оценка, третиране, приемане и съобщаване) се осъществява съвместно, като повтарящ се процес, от представители на собствениците на системата, органите по проекта, оперативните органи и органите за одобрение на сигурността, чрез използване на доказан, прозрачен и напълно разбираем процес на оценка на риска. Обхватът на КИС и нейните активи се определят ясно в началото на процеса на оценка на риска.

5.

Компетентните органи на ЕСВД правят преглед на потенциалните заплахи за КИС и поддържат актуализирани и точни оценки на заплахите, които отразяват състоянието на оперативната среда към дадения момент. Те постоянно актуализират своите познания по въпросите, свързани с уязвимите места, и периодично правят преглед на оценката на уязвимостта в отговор на променящата се информационно-технологична среда.

6.

Целта на управлението на риска за сигурността е да се приложи съвкупност от мерки за сигурност, които да доведат до задоволителен баланс между изискванията на ползвателите и остатъчния риск за сигурността.

7.

Специфичните изисквания, мащаб и степен на задълбоченост, определени от съответния орган по акредитиране на сигурността (ОАС) за акредитация на КИС, съответстват на оценката на риска, като се вземат предвид всички уместни фактори, включително нивото на класификация на КИЕС, с която се работи в КИС. Акредитацията включва формална декларация за остатъчен риск и приемане на остатъчния риск от отговорния орган.

8.

Гарантирането на сигурността е изискване, което важи през целия жизнен цикъл на КИС, от решението за нейното създаване до извеждането ѝ от експлоатация.

9.

Ролята на участниците в КИС и взаимодействието между тях по отношение на сигурността на системата се определят за всеки етап от жизнения цикъл.

10.

Всяка КИС, включително техническите и нетехническите мерки за нейната сигурност, се подлага на изпитване за сигурност по време на процеса на акредитация, за да се гарантира, че е постигнато необходимото ниво на осигуреност на предприетите мерки за сигурност и да се удостовери, че тези мерки са правилно приложени, интегрирани и конфигурирани.

11.

Оценки на сигурността, проверки и прегледи се извършват периодично по време на функционирането и поддръжката на КИС, както и при възникване на извънредни обстоятелства.

12.

Документацията по сигурността на КИС се развива по време на жизнения цикъл на системата като неразделна част от процеса за управление на промените и на конфигурацията.

13.

ЕСВД си сътрудничи с ГСС, Комисията и държавите членки за разработване на най-добри практики за защита на КИЕС, с която се работи в КИС. Насоките за най-добри практики съдържат технически, физически, организационни и процедурни мерки за сигурност на КИС с доказана ефективност за противодействие на определени заплахи и уязвими места.

14.

Защитата на КИЕС, с която се работи в КИС, се усъвършенства въз основа на изводите, направени от организационните единици, ангажирани с осигуреността на информацията в рамките на ЕС и извън него.

15.

Разпространението и последващото прилагане на най-добри практики допринася за постигане на равностойно ниво на осигуреност на използваните от ЕСВД различни видове КИС, които работят с КИЕС.

16.

С оглед намаляване на риска за КИС се прилага съвкупност от технически и нетехнически мерки за сигурност, организирани под формата на многослойна защита. Те включват:

а)   Възпиране: мерки за сигурност, имащи за цел възпиране на евентуален противник, който планира атака срещу КИС;

б)   Превенция: мерки за сигурност, имащи за цел възпрепятстване или блокиране на атаки срещу КИС;

в)   Детекция: мерки за сигурност, имащи за цел откриване на извършена атака срещу КИС;

г)   Устойчивост: мерки за сигурност, имащи за цел ограничаване на въздействието на извършена атака в рамките на минимално количество информация или активи на КИС и предотвратяване на по-нататъшни вреди; както и

д)   Възстановяване: мерки за сигурност, имащи за цел възстановяване на сигурната среда за работа на КИС.

Степента на стриктност и приложимост на тези мерки за сигурност се определя въз основа на оценка на риска.

17.

Компетентните органи на ЕСВД гарантират, че могат да реагират на инциденти, които е възможно да надхвърлят организационните и националните граници, като координират ответните реакции и обменят информация за тези инциденти и свързаните с тях рискове (компютърни способности за реагиране при извънредни обстоятелства).

18.

С цел да се избегне ненужно излагане на риск, се използват само функционалните възможности, устройства и услуги, с които се изпълняват оперативните изисквания.

19.

На ползвателите и автоматизираните процеси на КИС се дава само такъв достъп, привилегии или разрешения, които са необходими за изпълнение на задачите им, с оглед ограничаване на вредите в резултат от инциденти, грешки или неразрешено използване на ресурси на КИС.

20.

При необходимост изпълняваните от КИС процедури за регистрация се проверяват в рамките на процеса на акредитация.

21.

Познаването на риска и на наличните мерки за сигурност представлява първата линия на защита на сигурността на КИС. По-конкретно всички служители, които имат отношение към жизнения цикъл на КИС, включително ползвателите, разбират:

22.

Обучението и повишаването на осведомеността по въпросите на ОИ са задължителни за всички участващи служители, включително висшите служители и ползвателите на КИС, с цел да се гарантира, че те осъзнават своите отговорности по отношение на сигурността.

23.

Необходимата степен на доверие в мерките за сигурност, определена като степен на осигуреност, се определя в съответствие с резултатите от процеса на управление на риска и съобразно съответните политики и насоки за сигурност.

24.

Степента на осигуреност се удостоверява чрез международно признати или национално одобрени процеси и методологии. Тук се включват преди всичко оценката, контролът и одитът.

25.

Криптографските продукти за защита на КИЕС се оценяват и одобряват от националния орган за криптографско одобрение (НОКО) на държавата членка.

26.

Преди да бъдат препоръчани за одобрение от НОКО на ЕСВД в съответствие с член 7, параграф 5 от настоящото решение, такива криптографски продукти преминават успешно втора оценка от страна на достатъчно квалифициран и компетентен орган (ДККО) на държава членка, която не участва в проектирането или производството на оборудването. Изискваната степен на задълбоченост при оценката от втори орган зависи от предвиденото максимално ниво на класификация за сигурност на КИЕС, която да бъде защитена с тези продукти.

27.

Когато за това има специфични оперативни основания, НОКО на ЕСВД може, по препоръка на Комитета по сигурността на Съвета, да отмени изискванията по точка 25 или 26 и да предостави временно одобрение за определен период в съответствие с член 7, параграф 5 от настоящото решение.

28.

ДККО е органът на държавата членка за криптографско одобрение, който на базата на определени от Съвета критерии е получил акредитация да извършва втората оценка на криптографски продукти за защита на КИЕС.

29.

Върховният представител одобрява политика за сигурност при квалифицирането и одобряването на некриптографски информационно-технологични продукти за сигурност.

30.

Независимо от разпоредбите на настоящото решение, когато предаването на КИЕС е ограничено в рамките на зони за сигурност, може да се прибегне до некриптирано разпространение или криптиране на по-ниско ниво въз основа на резултатите от процеса на управление на риска и с одобрението на ОАС.

31.

За целите на настоящото решение взаимна свързаност означава пряка връзка между две или повече информационно-технологични системи с цел обмен на данни и други информационни ресурси (например комуникация) в еднопосочен или многопосочен план.

32.

КИС третира всички взаимосвързани информационно-технологични системи като ненадеждни и прилага защитни мерки за контрол на обмена на класифицирана информация.

33.

По отношение на всички взаимни връзки на КИС с друга информационно-технологична система се спазват следните основни изисквания:

34.

Не се допуска взаимна свързаност между акредитирана КИС и незащитена или обществена мрежа, освен в случаите, когато КИС разполага с одобрени МЗП, инсталирани за тази цел между КИС и незащитената или обществената мрежа. Мерките за сигурност при такива взаимни връзки се разглеждат от компетентния по въпросите на осигуреността на информацията орган (ООИ) и се одобряват от компетентния ОАС.

Когато незащитената или обществената мрежа се използва единствено като преносител и данните са криптирани чрез криптографски продукт, одобрен в съответствие с член 7, параграф 5 от настоящото решение, такава връзка не се счита за взаимна свързаност.

35.

Забранява се пряка или каскадна взаимна свързаност между КИС, акредитирана да работи с информация с ниво на класификация за сигурност TRÉS SECRET UE/EU TOP SECRET, и незащитена или обществена мрежа.

36.

Компютърните средства за съхранение се унищожават в съответствие с процедури, одобрени от органа по сигурността на ЕСВД.

37.

Повторното използване, понижаването на нивото на класификация или декласификацията на компютърните средства за съхранение се извършва в съответствие с политика за сигурност, която се определя съгласно член 7, параграф 2 от настоящото решение.

38.

Независимо от разпоредбите на настоящото решение описаните по-долу специални процедури могат да се прилагат за ограничен период в извънредни ситуации, например по време на предстояща или настояща криза, конфликт, състояние на война или при извънредни оперативни обстоятелства.

39.

КИЕС може да се предава, като се използват криптографски продукти, одобрени за по-ниско ниво на класификация за сигурност, или без да се криптира, със съгласието на компетентния орган, в случай че евентуално забавяне би причинило очевидно по-голяма вреда от тази, произтичаща от разкриване на класифицирания материал, и ако:

40.

Класифицираната информация, предавана при описаните в точка 39 обстоятелства, няма грифове за сигурност или обозначения, които да я отличават от некласифицирана информация или от информация, която може да бъде защитена с наличен криптографски продукт. Получателите се уведомяват незабавно за нивото на класификация с други средства.

41.

След случаи на прилагане на точка 39 се изготвя доклад до дирекция „Сигурност“ на ЕСВД и от нея до Комитета по сигурността на ЕСВД. В този доклад като минимум се посочва изпращачът, получателят и създателят на всеки елемент на КИЕС.

42.

В ЕСВД се установяват следните функции във връзка с ОИ. Тези функции не изискват самостоятелни организационни единици. Единиците имат самостоятелни мандати. При все това функциите и съпътстващите ги отговорности могат да бъдат комбинирани или интегрирани в една и съща организационна единица или разделени в различни организационни единици, при условие че се избягват вътрешни конфликти на интереси или задачи.

43.

ООИ отговаря за:

44.

Органът по TEMPEST (ОТ) отговаря за осигуряване на съответствие на КИС с политиките и насоките по TEMPEST. Той одобрява контрамерки по TEMPEST за инсталации и продукти за защита на КИЕС до определено ниво на класификация за сигурност в своята оперативна среда.

45.

ОКО отговаря за осигуряване на съответствие на криптографските продукти със съответната криптографска политика. Този орган одобрява криптографски продукти за защита на КИЕС до определено ниво на класификация за сигурност в своята оперативна среда.

46.

ОРКМ отговаря за:

47.

За всяка система ОАС отговоря за:

48.

ОАС на ЕСВД отговаря за акредитацията на всички КИС, които функционират в сферата на компетентност на ЕСВД.

49.

Съвместният съвет по акредитиране на сигурността (САС) отговаря за акредитацията на КИС, попадащи в сферата на компетентност както на ОАС на ЕСВД, така и на ОАС на държавите членки. Той е съставен от по един представител на ОАС на всяка държава членка и на заседанията му присъства представител на ОАС на ГСС и Комисията. Канят се и други организационни единици, които имат електронна свързаност с дадена КИС, когато се обсъждат въпроси във връзка с тази система.

САС се председателства от представител на ОАС на ЕСВД. Той действа с консенсус на представителите на ОАС на институциите, държавите членки и други единици, които имат електронна свързаност с дадената КИС. САС изготвя периодични доклади за дейността си до Комитета по сигурността на ЕСВД и го уведомява за всички декларации за акредитация.

50.

За всяка система оперативният орган по ОИ отговаря за:

1.

В настоящото приложение се съдържат разпоредбите за изпълнение на член 9 от приложение A. В него се излагат общите разпоредби по сигурността, приложими към индустриалните или други единици по време на преговорите за сключване на договор и през жизнения цикъл на класифицираните договори, възложени от ЕСВД.

2.

Върховният представител одобрява политика в областта на индустриалната сигурност, очертаваща по-специално подробни изисквания за удостоверенията за сигурност на структура (УСС), приложенията относно аспектите на сигурността (ПАС), посещенията, предаването и преноса на КИЕС.

3.

Преди да обяви търг за възлагане на класифициран договор или да възложи такъв договор, ЕСВД, в качеството си на възложител, определя класификацията за сигурност на информацията, която се предоставя на участниците в търга и на изпълнителите, както и класификацията за сигурност на информацията, която се създава от изпълнителя. За тази цел ЕСВД изготвя ръководство за класифициране за целите на сигурността (РКЦС), което да се ползва при изпълнението на договора.

4.

При определяне на нивото на класификация за сигурност на различните елементи на класифицирания договор се прилагат следните принципи:

5.

Свързаните с договора изисквания за сигурност се описват в ПАС. Когато това е уместно, ПАС включва РКЦС и представлява неразделна част от класифицирания договор за изпълнение или подизпълнение.

6.

В ПАС се съдържат разпоредби, изискващи от изпълнителя и/или подизпълнителя да спазва минималните стандарти, установени в настоящото решение. Неспазването на тези минимални стандарти може да представлява достатъчно основание за прекратяване на договора.

7.

В зависимост от обхвата на програмите или проектите, включващи достъп до, работа със или съхранение на КИЕС, определеният за управление на програмата или проекта възложител може да изготви специфични инструкции за сигурност на програмата/проекта (ИСП). ИСП изискват одобрение от страна на НОС/ООС на държавите членки или друг компетентен орган по сигурността, участващ в програмата/проекта, и могат да съдържат допълнителни изисквания за сигурност.

8.

Дирекция „Сигурност“ на ЕСВД отправя искане до НОС, ООС или друг компетентен орган по сигурността на съответната държава членка за издаване на УСС, за да удостовери в съответствие с националните законови и подзаконови актове, че индустриална или друга единица може да осигури в рамките на структурите си защита на КИЕС на съответното ниво на класификация за сигурност (CONFIDENTIEL UE/EU CONFIDENTIAL или SECRET UE/EU SECRET). На изпълнителя, подизпълнителя или на потенциалния изпълнител или подизпълнител не се предоставя достъп до КИЕС до момента, в който на ЕСВД бъде представено доказателство за УСС.

9.

Когато е уместно, ЕСВД, в качеството си на възложител, уведомява съответния НОС/ООС или друг компетентен орган по сигурността, че на предварителния етап или за изпълнение на договора се изисква УСС. УСС или РДП се изисква на предварителния етап, ако в процеса на представяне на оферта трябва да се предостави КИЕС с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL или SECRET UE/EU SECRET.

10.

В качеството си на възложител ЕСВД не възлага класифициран договор на предпочитан участник в търга, преди да е получил потвърждение от НОС/ООС или друг компетентен орган по сигурността на държавата членка, в която е регистриран съответният изпълнител или подизпълнител, че е издадено съответното УСС, ако такова е необходимо.

11.

В качеството си на възложител ЕСВД отправя искане до НОС/ООС или друг компетентен орган по сигурността, който е издал УСС, да го уведоми за всяка неблагоприятна информация, засягаща УСС. При договори за подизпълнение се уведомяват съответно НОС/ООС или друг компетентен орган по сигурността.

12.

Отнемането на УСС от съответния НОС/ООС или друг компетентен орган по сигурността представлява достатъчно основание за ЕСВД, в качеството му на възложител, да прекрати класифициран договор или да изключи участник от търга.

13.

Всички наети от изпълнителите служители, които се нуждаят от достъп до КИЕС с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL или по-високо, преминават през подходящо проучване за надеждност и получават достъп до информация на основата на принципа „необходимост да се знае“. Макар че не се изисква РДП за достъп до КИЕС с ниво на класификация за сигурност RESTREINT UE/EU RESTRICTED, за такъв достъп се прилага принципът „необходимост да се знае“.

14.

Заявления за РДП за персонала на изпълнителя се отправят към НОС/ООС, който е отговорен за тази единица.

15.

ЕСВД изтъква пред изпълнителите, които желаят да наемат гражданин на трета държава на длъжност, изискваща достъп до КИЕС, че НОС/ООС на държавата членка, в която е разположена и учредена наемащата единица, е отговорен да определи дали на това лице може да се предостави достъп до такава информация в съответствие с настоящото решение и да потвърди, че преди предоставянето на такъв достъп трябва да се получи съгласието на създателя на информацията.

16.

Когато КИЕС се предоставя на участник в търга на преддоговорния етап, поканата за представяне на оферта съдържа разпоредба, задължаваща участника в търга, който не е представил оферта или не е избран, да върне всички класифицирани документи в рамките на определен период от време.

17.

След възлагането на класифициран договор за изпълнение или подизпълнение ЕСВД, в качеството си на възложител, уведомява НОС/ООС или друг компетентен орган по сигурността на изпълнителя или подизпълнителя за разпоредбите за сигурност на класифицирания договор.

18.

При прекратяване или изтичане на такива договори ЕСВД, в качеството си на възложител (и/или НОС/ООС или съответно друг компетентен орган по сигурността при договори за подизпълнение), уведомява своевременно НОС/ООС или друг компетентен орган по сигурността на държавата членка, в която е регистриран изпълнителят или подизпълнителят.

19.

Като общо правило при прекратяване или изтичане на класифицирания договор за изпълнение или подизпълнение от изпълнителя или подизпълнителя се изисква да върне на възложителя всяка държана от него КИЕС.

20.

Конкретните разпоредби за разпореждане с КИЕС по време на изпълнението на договора или при неговото прекратяване или изтичане се посочват в ПАС.

21.

В случаите, когато на изпълнител или подизпълнител е разрешено да задържи КИЕС след прекратяване или изтичане на договора, той продължава да спазва установените в настоящото решение минимални стандарти и да осигурява защита на поверителността на КИЕС.

22.

Условията, при които изпълнителят може да възлага договор за подизпълнение, се определят в условията за търга и в договора.

23.

Преди да предостави за подизпълнение части от класифициран договор, изпълнителят получава разрешение от ЕСВД в качеството му на възложител. Договор за подизпълнение не може да бъде възлаган на индустриални или други единици, регистрирани в държава извън ЕС, която не е сключила споразумение за сигурност на информацията с ЕС.

24.

Изпълнителят носи отговорност за осигуряване на спазването на установените в настоящото решение минимални стандарти по време на извършването на всички подизпълнителски дейности и не предоставя КИЕС на подизпълнителя без предварителното писмено съгласие на възложителя.

25.

По отношение на КИЕС, която е създадена от изпълнител или подизпълнител или с която те работят, правата на създател се упражняват от възложителя.

26.

Когато за изпълнение на класифициран договор на ЕСВД, изпълнители и подизпълнители е необходимо да получат на взаимна основа достъп до информация с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL или SECRET UE/EU SECRET в помещенията си, се уреждат посещения, като се поддържа връзка с НОС/ООС или друг съответен компетентен орган по сигурността. Това не засяга прерогативите на НОС/ООС в контекста на конкретни проекти да одобряват процедури, съгласно които такива посещения могат да се организират пряко.

27.

Всички посетители разполагат със съответното РДП и отговарят на изискването за „необходимост да се знае“ за получаване на достъп до КИЕС, свързана с договора на ЕСВД.

28.

На посетителите се дава достъп единствено до КИЕС, свързана с целите на посещението.

29.

По отношение на предаването на КИЕС чрез електронни средства се прилагат съответните разпоредби на член 8 от приложение А и приложение А IV.

30.

По отношение на преноса на КИЕС се прилагат съответните разпоредби на приложение А III в съответствие с националните законови и подзаконови актове.

31.

При определяне на мерките за сигурност при транспортиране на класифицирани материали като товар се прилагат следните принципи:

32.

Предаването на КИЕС на изпълнители и подизпълнители, разположени в трети държави с валидно споразумение за сигурност с ЕС, се извършва в съответствие с мерките за сигурност, договорени между ЕСВД, в качеството му на възложител, и НОС/ООС на съответната трета държава, в която е регистриран изпълнителят.

33.

Като поддържа връзка съответно с НОС/ООС на държавата членка, ЕСВД, в качеството си на възложител, има право да извършва посещения на структурите на изпълнителя/подизпълнителя на основание на договорните разпоредби с цел да се увери, че са осъществени необходимите мерки за сигурност за защита на КИЕС с ниво на класификация за сигурност RESTREINT UE/EU RESTRICTED, както се изисква съгласно сключения договор.

34.

В необходимата по националните законови и подзаконови актове степен НОС/ООС или други компетентни органи по сигурността биват уведомявани от ЕСВД, в качеството му на възложител, относно договори за изпълнение и подизпълнение, съдържащи информация с ниво на класификация за сигурност RESTREINT UE/EU RESTRICTED.

35.

Не се изисква УСС, нито РДП за изпълнители или подизпълнители и техния персонал за договори, възлагани от ЕСВД, които съдържат информация с ниво на класификация за сигурност RESTREINT UE/EU RESTRICTED.

36.

ЕСВД, в качеството си на възложител, разглежда отговорите на поканите за представяне на оферти за договори, изискващи достъп до информация с ниво на класификация за сигурност RESTREINT UE/EU RESTRICTED, независимо от изискванията за УСС или РДП, които съществуват съгласно националните законови и подзаконови актове.

37.

Условията, при които изпълнителят може да възлага изпълнението на договор на подизпълнител, са в съответствие с точки 22—24.

38.

Когато даден договор включва работа с информация с ниво на класификация за сигурност RESTREINT UE/EU RESTRICTED в рамките на КИС, с която оперира изпълнител, ЕСВД, в качеството си на възложител, гарантира включването в договора за изпълнение или подизпълнение на необходимите технически и административни изисквания за акредитация на въпросната КИС, съизмерими с оценката на риска, като се вземат предвид всички свързани с въпроса фактори. Обхватът на акредитацията на такава КИС се договаря между възложителя и съответния НОС/ООС.

1.

В настоящото приложение се съдържат разпоредбите за изпълнение на член 10 от приложение А.

2.

ЕСВД може да обменя КИЕС с трети държави или международни организации в съответствие с член 10, параграф 1 от приложение A.

С оглед да се подпомогне ВП в изпълнението на отговорностите, определени в член 218 от ДФЕС:

3.

Когато в споразуменията за сигурност на информацията се предвиждат технически договорености за изпълнение, които се договарят между дирекция „Сигурност“ на ЕСВД — в координация с дирекция „Сигурност“ на ГД „Човешки ресурси и сигурност“ на Комисията и Службата за сигурност на Генералния секретариат на Съвета — и компетентния орган по сигурността на съответната трета държава или международна организация, в тези договорености се отчита нивото на защита, предвидено във въведените разпоредби, структури и процедури за сигурност в съответната трета държава или международна организация.

4.

Когато за ЕСВД съществува дългосрочна нужда от обмен на информация с ниво на класификация, не по-високо от RESTREINT UE/EU RESTRICTED, с трета държава или международна организация и когато е установено, че въпросната страна не разполага с достатъчно развита система за сигурност, за да е възможно да сключи споразумение за сигурност на информацията, ВП може след получаване на единодушно положително становище от Комитета по сигурността на ЕСВД в съответствие с член 14, параграф 5 от настоящото решение да сключи административна договореност с компетентните органи по сигурността на въпросната трета държава или международна организация.

5.

КИЕС не се обменя по електронен път с трета държава или международна организация, освен ако това изрично е предвидено в споразумението за сигурност на информацията или административната договореност.

6.

В съответствие с административна договореност за обмен на класифицирана информация ЕСВД и третата държава или международната организация определят регистър като основна входна и изходна точка за обмен на класифицирана информация. За ЕСВД това е централният регистър на ЕСВД.

7.

Административните договорености като правило се осъществяват под формата на размяна на писма.

8.

Посещенията за оценка, посочени в член 16 от настоящото решение, се провеждат по взаимно споразумение със съответната трета държава или международна организация и се извършва оценка на:

9.

КИЕС не се обменя преди да се извърши посещение за оценка и да се определи нивото, на което може да се обменя класифицирана информация между страните, въз основа на равностойността на нивото на защита, с което ще бъде обозначена.

Ако преди посещението за оценка ВП узнае за извънредни или неотложни причини, които налагат обмен на класифицирана информация, ЕСВД извършва следните действия:

Ако ЕСВД не може да определи създателя на информацията, органът по сигурността на ЕСВД поема отговорността на създателя след като получи единодушно положително становище от Комитета по сигурността на ЕСВД.

10.

Когато е въведена рамка в съответствие с член 10, параграф 1 от приложение A за обмен на класифицирана информация с трета държава или международна организация, решението за предоставяне на КИЕС от ЕСВД на трета държава или международна организация се взема от органа по сигурността на ЕСВД, който може да делегира това разрешение на висши длъжностни лица на ЕСВД или други лица под негово ръководство.

11.

Ако класифицираната информация, която ще бъде предоставена, включително изходния материал, който може да се съдържа, не е създадена от ЕСВД, ЕСВД първо иска писмено съгласие от създателя на информацията, за да се увери, че няма възражения срещу предоставянето на информацията. Ако ЕСВД не може да установи създателя на информацията, органът по сигурността на ЕСВД поема отговорността на създателя след като получи единодушно положително становище от държавите членки, представени в Комитета по сигурността на ЕСВД.

12.

В отсъствието на една от рамките, посочени в член 10, параграф 1 от приложение А, и когато интересите на ЕС или една или повече от държавите членки налагат предоставяне на КИЕС по политически, оперативни или неотложни причини, КИЕС може по изключение да бъде предоставена на трета държава или международна организация след предприемане на описаните по-долу действия.

След като гарантира, че са спазени условията, посочени в точка 11 по-горе, дирекция „Сигурност“ на ЕСВД извършва следните действия:

13.

В отсъствието на една от рамките, посочени в член 10, параграф 1 от приложение А, съответната трета страна предприема писмено подходящи действия за защита на КИЕС.

„Акредитация“ означава процес, който води до официално произнасяне на органа по акредитиране на сигурността (ОАС) в уверение на това, че дадена система е одобрена да функционира на определено ниво на класификация за сигурност, при определен режим на сигурност в своята операционна среда и при приемливо ниво на риск, въз основа на предпоставката, че е осъществен одобрен комплекс от технически, физически, организационни и процедурни мерки за сигурност.

„Актив“ е всичко, което представлява ценност за дадена организация, нейните бизнес операции и тяхната непрекъснатост, включително информационните ресурси в подкрепа на мисията на организацията.

„Разрешение за достъп до КИЕС“ означава разрешение от органа по сигурността на ЕСВД, дадено в съответствие с настоящото решение след издаване на РДП от компетентните органи на държава членка, с което се удостоверява, че дадено лице може да получи достъп до КИЕС на определено ниво (CONFIDENTIEL UE/EU CONFIDENTIAL или по-високо) до конкретна дата, при условие че бъде установена „необходимост да се знае“ — вж. член 2 от приложение A I.

„Нарушение на сигурността“ означава действие или бездействие от физическо лице, което противоречи на правилата за сигурност, установени в настоящото решение, и/или политиките или насоките за сигурност, в които се определят всички необходими мерки за изпълнението му.

„Жизнен цикъл на КИС“ означава целият период на съществуване на КИС, който включва нейното създаване, концепция, планиране, анализ на изискванията, разработка, развитие, изпитване, въвеждане, функциониране, поддръжка и извеждане от експлоатация.

„Класифициран договор“ означава договор, сключен от ЕСВД с изпълнител за доставка на стоки, извършване на строително-ремонтни дейности или предоставяне на услуги, изпълнението на който изисква или включва достъп до КИЕС или създаване на КИЕС.

„Класифициран договор за подизпълнение“ означава договор, сключен от изпълнител на ЕСВД с друг изпълнител (т.е. подизпълнител) за доставка на стоки, извършване на строително-ремонтни дейности или предоставяне на услуги, изпълнението на който изисква или включва достъп до КИЕС или създаване на КИЕС.

„Комуникационна и информационна система“ (КИС) означава всяка система, даваща възможност за работа с информация в електронна форма. Една комуникационна и информационна система обхваща всички активи, необходими за нейното функциониране, включително инфраструктура, организация, персонал и информационни ресурси — вж. член 8, параграф 2 от приложение A.

„Излагане на риск на КИЕС“ означава цялостно или частично разкриване на КИЕС на неоправомощени лица или субекти — вж. член 8, параграф 2.

„Изпълнител“ означава физическо или юридическо лице, което е правоспособно да сключва договори.

„Криптографски (крипто) продукти“ означава криптографски алгоритми, криптографски хардуерни и софтуерни модули и продукти, включително данни за прилагането им и свързаната с това документация и материали, служещи за заключване/отключване на информацията.

„Операция по линия на ОПСО“ означава военна или гражданска операция по управление на кризи съгласно дял V, глава 2 от ДЕС.

„Декласификация“ означава премахване на всякаква класификация за сигурност.

„Защита в дълбочина“ означава прилагане на съвкупност от мерки за сигурност, организирани под формата на многослойна защита.

„Определен орган по сигурността“ (ООС) означава орган, отговорен пред националния орган по сигурността (НОС) на държава членка, който отговаря за информиране на индустриални или други единици за националната политика по всички въпроси на индустриалната сигурност и за предоставяне на указания и съдействие при нейното изпълнение. Функциите на ООС се изпълняват от НОС или от друг компетентен орган.

„Документ“ означава всяка записана информация, независимо от нейната физическа форма или характеристики.

„Понижаване нивото на класификация“ означава понижаване на нивото на класификацията за сигурност.

„Класифицирана информация на ЕС“ (КИЕС) означава всяка информация или материал, носещи гриф за сигурност на ЕС, неразрешеното разкриване на които би могло да увреди в различна степен интересите на Европейския съюз или на една или повече от държавите членки — вж. член 2, буква е).

„Удостоверение за сигурност на структура“ (УСС) означава административно определяне от НОС или ООС, че от гледна точка на сигурността дадена структура може да осигури адекватна защита на КИЕС на определено ниво на класификация за сигурност и че персоналът на тази структура, който се нуждае от достъп до КИЕС, е бил проучен за надеждност по подходящ начин и е информиран за съответните изисквания за сигурност, необходими за достъп до КИЕС и за нейната защита.

„Работа“ с КИЕС означава всички възможни действия, на които може да бъде подложена КИЕС в рамките на нейния жизнен цикъл. Това включва нейното създаване, обработка и пренос, понижаването на нивото на класификацията ѝ, декласификацията ѝ и нейното унищожаване. По отношение на КИС това включва и нейното събиране, излагане, предаване и съхранение.

„Притежател“ означава надлежно оправомощено лице с добре установена „необходимост да се знае“, което притежава дадена КИЕС и носи съответно отговорност за нейната защита.

„Индустриална или друга единица“ означава единица, която участва в процеса на снабдяване със стоки, извършване на строително-ремонтни дейности или предоставяне на услуги; това може да бъде единица от сферата на промишлеността, търговията, услугите, научноизследователската дейност, образованието или развойната дейност или самостоятелно заето лице.

„Индустриална сигурност“ е прилагането на мерки за гарантиране на защитата на КИЕС от изпълнители или подизпълнители по време на преговори за сключване на договор и през целия жизнен цикъл на класифицирани договори — вж. член 9, параграф 1 от приложение A.

„Осигуреност на информацията“ в областта на комуникационните и информационните системи е увереността, че тези системи ще осигурят защита на информацията, с която се работи в тях, и че ще функционират както и когато е необходимо, под контрола на легитимни ползватели. Ефективната ОИ гарантира необходимите нива на поверителност, интегритет, наличност, невъзможност за отказ и автентичност. ОИ се основава на процес за управление на риска — вж. член 8, параграф 1 от приложение A.

„Взаимна свързаност“ за целите на настоящото решение означава пряка връзка между две или повече информационно-технологични системи с цел обмен на данни и други информационни ресурси (например комуникация) в еднопосочен или многопосочен план — вж. приложение A IV, точка 31.

„Управление на класифицирана информация“ представлява прилагане на административни мерки за контрол на КИЕС през жизнения ѝ цикъл в допълнение към мерките, предвидени в членове 5, 6 и 8, като по този начин се съдейства за възпиране и разкриване на умишлено или случайно излагане на риск или загуба на такава информация и нейното възстановяване. Тези мерки се отнасят по-конкретно до създаването, регистрирането, копирането, превода, преноса, работата със, съхранението и унищожаването на КИЕС — вж. член 7, параграф 1 от приложение A.

„Материал“ означава документ или част от машина или оборудване, която е вече произведена или е в процес на производство.

„Създател на информация“ означава институция, агенция или орган на ЕС, държава членка, трета държава или международна организация, под чието ръководство е създадена и/или въведена в структурите на ЕС класифицирана информация.

„Сигурност, свързана с персонала“ означава прилагане на мерки за гарантиране, че достъп до КИЕС се предоставя единствено на лица, които:

вж. член 5, параграф 1 от приложение A.

„Разрешение за достъп на персонала“ (РДП) до КИЕС означава изявление на компетентния орган на държава членка, което се прави след приключване на проучване за надеждност, извършено от компетентните органи на държавата членка, с което се удостоверява, че дадено лице може да получи достъп до КИЕС на определено ниво (CONFIDENTIEL UE/EU CONFIDENTIAL или по-високо) до конкретна дата, при условие че бъде установена „необходимост да се знае“; така описаното лице се смята за „лице с разрешение за достъп“.

„Удостоверение за разрешение за достъп на персонала“ (УРДП) означава удостоверение, издадено от компетентен орган, с което се удостоверява, че дадено лице е преминало проучване за надеждност и притежава валидно РДП, в което се посочва нивото на класификация на КИЕС, до което лицето може да има достъп (CONFIDENTIEL UE/EU CONFIDENTIAL или по-високо), датата, до която е валидно съответното РДП, и датата, на която изтича валидността на самото удостоверение.

„Физическа сигурност“ означава прилагане на физически и технически защитни мерки за предотвратяване на неразрешен достъп до КИЕС — вж. член 6 от приложение A.

„Инструкции за сигурност на програмата/проекта“ (ИСП) означава списък от процедури за сигурност, които се прилагат за конкретна програма/проект с цел стандартизиране на процедурите за сигурност. Инструкциите могат да бъдат преработени, докато трае осъществяването на програмата/проекта.

„Регистрация“ означава прилагането на процедури за отбелязване на жизнения цикъл на информацията, включително нейното разпространение и унищожаване. Вж. приложение A III, точка 21.

„Остатъчен риск“ означава рискът, който продължава да съществува след прилагане на мерките за сигурност, при положение че не може да се противодейства на всички заплахи и че не всички видове уязвимост могат да бъдат премахнати.

„Риск“ означава възможността дадена заплаха да използва вътрешните и външните видове уязвимост на дадена организация или на някоя от системите, които тази организация използва, и по този начин да нанесе вреди на организацията и на нейните материални или нематериални активи. Рискът се измерва като съчетание от вероятността от осъществяване на заплахи и тяхното въздействие.

„Приемане на риска“ означава решение за приемане на продължаващото съществуване на остатъчен риск след третиране на риска.

„Оценка на риска“ означава установяване на заплахите и видовете уязвимост и извършване на анализ на свързаните с тях рискове, т.е. анализ на вероятността и въздействието.

„Съобщаване за риска“ — изразява се в повишаване на осведомеността за рисковете сред общностите от ползватели на КИС, информиране за такива рискове на органите, които дават одобрение, и докладване за тях на оперативните органи.

„Процес на управление на риска“ означава целият процес на идентифициране, контрол и свеждане до минимум на неопределени събития, които могат да засегнат сигурността на дадена организация или на която и да е от използваните от нея системи. Този процес обхваща всички дейности, свързани с риска, включително оценка, третиране, приемане и съобщаване.

„Третиране на риска“ — изразява се в смекчаване, отстраняване, намаляване (чрез подходяща комбинация от технически, физически, организационни или процедурни мерки), прехвърляне или наблюдение на риска.

„Приложение относно аспектите на сигурността“ (ПАС) означава съвкупност от специални договорни условия, изготвени от възложителя, които представляват неразделна част от всеки класифициран договор, включващ достъп до КИЕС или създаване на такава информация, и в които се определят изискванията за сигурност или елементите на договора, изискващи защита на сигурността — вж. приложение A V, раздел II.

„Ръководство за класифициране за целите на сигурността“ (РКЦС) означава документ, който описва елементите на програма или договор, които са класифицирани, като определя приложимите нива на класификация за сигурност. РКЦС може да бъде разширявано през целия период на програмата или договора и елементите на информацията могат да бъдат прекласифицирани или да преминат в по-ниско ниво на сигурност; РКЦС, в случай че такова съществува, е част от ПАС — вж. приложение A V, раздел II.

„Проучване за надеждност“ означава процедури за проучване, извършвани от компетентния орган на държава членка в съответствие с нейните национални законови и подзаконови актове с цел да се получи уверение, че не е известна неблагоприятна информация, която да попречи на дадено лице да бъде издадено национално РДП или РДП на ЕС за достъп до КИЕС на определено ниво на класификация за сигурност (CONFIDENTIEL UE/EU CONFIDENTIAL или по-високо).

„Оперативни процедури за сигурност“ (ОПС) означава описание на изпълнението на политиката на сигурност, която следва да бъде приета, оперативните процедури, които трябва да се следват, и отговорностите на персонала.

„Правилник за специфичните изисквания за сигурност“ (ПСИС) означава задължителен набор от принципи за сигурност и подробни изисквания за сигурност, които трябва да се спазват и които са в основата на процеса на сертифициране и акредитация на КИС.

„TEMPEST“ означава разследване, проучване и контрол на излагащи на риск електромагнитни излъчвания и мерките за тяхното отстраняване.

„Заплаха“ означава потенциална причина за нежелан инцидент, който може да доведе до вредни последици за дадена организация или за която и да е от използваните от нея системи; такива заплахи могат да бъдат инцидентни или умишлени (злонамерени) и имат характерни елементи на заплаха, потенциални цели и методи за нападение.

„Уязвимост“ означава слабост от каквото и да било естество, която може да бъде използвана от една или повече заплахи. Уязвимостта може да бъде пропуск или да бъде свързана със слабости в режима на контрол във връзка с неговата стриктност, всеобхватност или съгласуваност и може да има технически, процедурен, физически, организационен или оперативен характер.