1. В настоящото приложение се съдържат разпоредбите за изпълнение на член 7. В него се установяват критерии, с които се определя дали на дадено лице, отчитайки неговата лоялност и благонадеждност, може да бъде дадено разрешение за достъп до КИЕС, както и проучвателните и административните процедури, които се следват за тази цел.

2. Физическо лице получава достъп до класифицирана информация, след като:

3. Всяка държава членка и ГСС определят в рамките на своите структури длъжностите, които изискват достъп до информация с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL или по-високо и за които по тази причина е необходимо разрешение за достъп за съответното ниво.

4. След получаване на надлежно разрешено искане националните органи по сигурността или други компетентни национални органи отговарят за осигуряване извършването на проучване за надеждност на свои граждани, които кандидатстват за достъп до информация с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL или по-високо. Стандартите за проучването са в съответствие с националните законови и подзаконови актове за издаване на РДП или за предоставяне на уверение, за да може лицето да получи разрешение за достъп до КИЕС по целесъобразност.

5. В случай че съответното физическо лице пребивава на територията на друга държава членка или на трета държава, компетентните национални органи се обръщат за съдействие към компетентния орган на държавата по пребиваване в съответствие с националните законови и подзаконови актове. Държавите членки взаимно си съдействат при извършване на проучвания за надеждност в съответствие с националните законови и подзаконови актове.

6. Когато това е допустимо съгласно националните законови и подзаконови актове, националните органи по сигурността или други компетентни национални органи могат да извършат проучване на граждани на други държави, които искат достъп до информация с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL или по-високо. Стандартите на проучването са в съответствие с националните законови и подзаконови актове.

7. За да получи дадено физическо лице разрешение за достъп до информация с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL или по-високо, неговата лоялност и надеждност се определят посредством проучване за надеждност. Компетентният национален орган прави обща преценка на базата на констатациите от такова проучване за надеждност. Основните критерии, използвани за целта, включват, във възможната според националните законови и подзаконови актове степен, проверка дали въпросното физическо лице:

8. Когато е уместно и в съответствие с националните законови и подзаконови актове, финансовото и медицинското състояние на лицето също могат да бъдат взети предвид при проучването за надеждност.

9. Когато е уместно и в съответствие с националните законови и подзаконови актове, поведението на съпруга(ата) и обстоятелствата, свързани с него(нея), както и тези на лицето, с което проучваното лице живее на съпружески начала, или на близък член на семейството му също могат да бъдат взети предвид по време на проучването за надеждност.

10. Първоначалното разрешение за достъп до информация с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL и SECRET UE/EU SECRET се основава на проучване за надеждност, което обхваща най-малко последните пет години или периода от навършване на 18-годишна възраст на лицето до настоящия момент (което от двете е по-кратко) и включва следното:

11. Първоначалното разрешение за достъп до информация с ниво на класификация за сигурност TRÉS SECRET UE/EU TOP SECRET се основава на проучване, което обхваща най-малко последните десет години или периода от навършване на 18-годишна възраст на лицето до настоящия момент (което от двете е по-кратко). Когато събеседванията се провеждат съгласно буква д), проучванията обхващат най-малко последните седем години или периода след навършване на 18-годишна възраст на лицето, което от двете е по-кратко. В допълнение на критериите, посочени в точка 7 по-горе, се проучват и изложените по-долу елементи, във възможната според националните законови и подзаконови актове степен, преди да бъде дадено разрешение за достъп до информация с ниво на класификация за сигурност TRÉS SECRET UE/EU TOP SECRET; те могат да бъдат проучени и преди предоставяне на РДП с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL или SECRET UE/EU SECRET, когато това се изисква от националните законови и подзаконови актове:

12. При нужда и в съответствие с националните законови и подзаконови актове могат да се извършат допълнителни проучвания за разработване на цялата относима информация, налична за лицето, и да се потвърди или обори неблагоприятна информация.

13. След първоначалното предоставяне на разрешение за достъп и при условие че лицето е работило непрекъснато в националната администрация или в ГСС и продължава да се нуждае от достъп до КИЕС, разрешението за достъп се преразглежда с цел подновяване за периоди, които не надвишават пет години за ниво на класификация за сигурност TRÉS SECRET UE/EU TOP SECRET и десет години за ниво на класификация за сигурност SECRET UE/EU SECRET и CONFIDENTIEL UE/EU CONFIDENTIAL, считано от датата на уведомлението за резултатите от последното проучване за надеждност, на което те се основават. Всички проучвания за надеждност за подновяване на разрешение за достъп обхващат периода след предишното такова проучване.

14. За подновяване на разрешение за достъп се проучват посочените в точки 10 и 11 елементи.

15. Исканията за подновяване се отправят своевременно, като се отчита времето, необходимо за проучванията за надеждност. Независимо от това, ако съответният НОС или друг компетентен национален орган е получил съответното искане за подновяване и съответния въпросник за проучване на надеждността на лицето преди изтичане на разрешение за достъп, а необходимото проучване за надеждност все още не е приключило, компетентният национален орган може, когато това е допустимо по националните законови и подзаконови актове, да удължи срока на валидност на съществуващото разрешение за достъп за период до 12 месеца. Ако при изтичането на този допълнителен 12-месечен срок проучването за надеждност все още не е завършило, на лицето се възлагат единствено задачи, за които не се изисква разрешение за достъп.

16. За длъжностните лица и други служители, работещи в ГСС, органът на ГСС по сигурността изпраща попълнения въпросник за проучване на надеждността на персонала на НОС на държавата членка, чийто гражданин е лицето, с молба да се предприеме проучване за надеждност за нивото на класификация на КИЕС, до което лицето ще има нужда от достъп.

17. Когато на ГСС стане известна информация от значение за проучването за надеждност на лице, подало искане за разрешение за достъп до КИЕС, ГСС уведомява за това съответния НОС в съответствие с приложимите правила и разпоредби.

18. След приключване на проучването за надеждност съответният НОС уведомява органа по сигурността на ГСС за резултата от това проучване, като използва утвърдения от Комитета по сигурността стандартен образец за кореспонденция.

19. Проучването за надеждност заедно с получените резултати се подчиняват на действащите законови и подзаконови актове на съответната държава членка в тази област, включително на актовете, отнасящи се до обжалването. Решенията на назначаващия орган на ГСС подлежат на обжалване в съответствие с Правилника за длъжностните лица на Европейския съюз и Условията за работа на другите служители на Европейския съюз, установени в Регламент (ЕИО, Евратом, ЕОВС) № 259/68 на Съвета ( 3 ) („Правилник и условия за работа“).

20. Националните експерти, командировани в ГСС на длъжност, изискваща достъп до КИЕС с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL или по-високо, преди да поемат функциите си, представят на органа на ГСС по сигурността валидно удостоверение за разрешение за достъп на персонала (УРДП) за достъп до КИЕС, въз основа на което назначаващият орган издава разрешение за достъп до КИЕС.

21. ГСС приема разрешения за достъп до КИЕС, издадени от всяка друга институция, орган или агенция на Съюза, при условие че тези разрешения все още са валидни. Разрешението обхваща всяка задача, възложена на съответното лице в рамките на ГСС. Институцията, органът или агенцията на Съюза, в която лицето започва работа, уведомява съответния НОС за промяната на работодателя.

22. Ако лицето не започне работа в рамките на 12 месеца от съобщаването на резултата от проучването за надеждност на назначаващия орган на ГСС или когато е налице прекъсване от 12 месеца, през които то не е било на работа в ГСС или в националната администрация на държава членка, резултатът се изпраща на съответния национален орган по сигурността за потвърждаване на валидността и целесъобразността му.

23. Когато на ГСС стане известна информация, свързана с риск за сигурността, породен от лице, което разполага с разрешение за достъп до КИЕС, ГСС уведомява за това съответния НОС в съответствие с приложимите правила и разпоредби и може временно да преустанови достъпа до КИЕС или да оттегли разрешението за достъп до КИЕС.

24. Когато НОС уведоми ГСС, че оттегля уверение, дадено в съответствие с точка 18, буква а) за лице, разполагащо с разрешение за достъп до КИЕС, назначаващият орган на ГСС може да отправи искане за всякакъв вид пояснения, които НОС може да предостави съгласно националните законови и подзаконови актове. Ако неблагоприятната информация бъде потвърдена, разрешението се оттегля и лицето се изключва от достъп до КИЕС и от длъжности, където е възможен такъв достъп или където то може да представлява опасност за сигурността.

25. Всяко решение за отнемане или временно преустановяване на разрешение от длъжностно лице или друг служител на ГСС за достъп до КИЕС и, когато това е уместно, основанията за него се съобщават на заинтересованото лице, което може да поиска да бъде изслушано от назначаващия орган. Информацията, предоставена от НОС, се подчинява на действащите законови и подзаконови актове на съответната държава членка в тази област, включително на актовете, отнасящи се до обжалването. Решенията на назначаващия орган на ГСС подлежат на обжалване в съответствие с Правилника и Условията за работа.

26. Всяка държава членка и съответно ГСС водят регистри на РДП и на предоставените разрешения за достъп до информация с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL или по-високо. Като минимум регистрите съдържат информация за нивото на КИЕС, до което може да бъде даден достъп на физическото лице, датата на разрешението за достъп и срока му на валидност.

27. Компетентният орган по сигурността може да издаде УРДП, на което са означени нивото на класификация на КИЕС, до което лицето има достъп (CONFIDENTIEL UE/EU CONFIDENTIAL или по-високо), срокът на валидност на съответното РДП за достъп до КИЕС или разрешение за достъп до КИЕС и датата на изтичане на валидността на самото удостоверение.

28. Достъпът до КИЕС на лица в държавите членки, които са надлежно оправомощени по силата на изпълняваните от тях функции, се определя в съответствие с националните законови и подзаконови актове; тези лица се информират за задълженията им в областта на сигурността, свързани със защитата на КИЕС.

29. Всички лица, които притежават удостоверение за надеждност, декларират писмено, че са запознати със задълженията си по отношение на защитата на КИЕС и последиците от компрометиране на КИЕС. Тези писмени декларации се регистрират съответно от държавите членки и ГСС.

30. Всички лица, които имат разрешение за достъп до КИЕС или от които се изисква да работят с КИЕС, получават първоначална информация и биват впоследствие редовно информирани относно заплахите за сигурността и са длъжни незабавно да докладват на съответните органи по сигурността за всеки подход или дейност, които считат за подозрителни или необичайни.

31. Всички лица, които престават да изпълняват задължения, свързани с достъп до КИЕС, биват информирани за задълженията им да продължат да опазват КИЕС, за което при нужда подписват декларация.

32. Когато това е допустимо съгласно националните законови и подзаконови актове, разрешение за достъп до национална класифицирана информация, предоставено от компетентен национален орган на държава членка, може временно — за периода до издаване на РДП до КИЕС — да дава на национални длъжностни лица достъп до КИЕС на равностойното ниво, посочено в таблицата на съответствието в допълнение Б, когато такъв временен достъп се изисква в интерес на Съюза. Националните органи по сигурността информират Комитета по сигурността, ако националните законови и подзаконови актове не позволяват такъв временен достъп до КИЕС.

33. При неотложни случаи, когато това е надлежно оправдано от интереса на работата, и до завършване на цялостното проучване за надеждност назначаващият орган на ГСС, след консултация с НОС на държавата членка, чийто гражданин е лицето, и в зависимост от резултата от предварителната проверка за удостоверяване, че няма неблагоприятна информация, може да разреши временно на длъжностни лица и други служители на ГСС достъп до КИЕС за изпълнение на конкретни задължения. Временното разрешение важи за период, който не надвишава шест месеца и не дава право на достъп до информация с ниво на класификация за сигурност TRÉS SECRET UE/EU TOP SECRET. Всички лица, които притежават временно разрешение, декларират писмено, че са запознати със задълженията си по отношение на защитата на КИЕС и последиците от компрометирането на КИЕС. ГСС регистрира тези писмени декларации.

34. Когато предстои дадено лице да бъде назначено на длъжност, изискваща разрешение за достъп, една степен по-високо от притежаваното от него, лицето може да бъде назначено временно, при условие че:

35. Посочената по-горе процедура се използва за еднократен достъп до КИЕС на ниво с една степен по-високо от това, до което лицето е получило достъп. До тази процедура не се прибягва редовно.

36. В крайно изключителни обстоятелства, като мисии във враждебна среда или в периоди на нарастващо международно напрежение, когато това се налага за предприемане на неотложни мерки, особено с цел спасяване на човешки живот, държавите членки и генералният секретар могат, по възможност в писмена форма, да предоставят достъп до информация с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL или SECRET UE/EU SECRET на лица, които не разполагат с необходимото разрешение за достъп, при условие че такова разрешение е абсолютно необходимо и липсват основателни съмнения относно лоялността и надеждността на съответното лице. Даденото разрешение се регистрира, като се описва информацията, до която е одобрен достъп.

37. При информация с ниво на класификация за сигурност TRÉS SECRET UE/EU TOP SECRET извънредният достъп се ограничава до граждани на Съюза, на които е разрешен достъп до информация с национално ниво на класификация за сигурност, равностойно на TRÉS SECRET UE/EU TOP SECRET, или до информация с ниво на класификация за сигурност SECRET UE/EU SECRET.

38. Комитетът по сигурността се информира за случаите, в които се прибягва до процедурата, установена в точки 36 и 37.

39. Когато в националните законови и подзаконови актове на дадена държава членка се предвиждат по-строги правила по отношение на временни разрешения и еднократен или извънреден достъп на лица до класифицирана информация, предвидените в настоящия раздел процедури се прилагат единствено в рамките на ограниченията, посочени в съответните национални законови и подзаконови актове.

40. Комитетът по сигурността получава годишен доклад относно използването на процедурите, установени в настоящия раздел.

41. При условията на точка 28 лица, на които е възложено да участват в заседания на Съвета или на неговите подготвителни органи, на които се обсъжда информация с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL или по-високо, се допускат до участие само след потвърждаване на статуса им на лица с разрешение за достъп. За участниците се изпраща УРДП или друго доказателство за разрешение за достъп от съответните органи до службата на ГСС по сигурността или, по изключение, УРД се представя лично от самия участник. Когато е приложимо, може да се използва единен списък с имена, който да предоставя съответно доказателство за разрешение за достъп.

42. Когато от съображения за сигурност бъде оттеглено РДП до КИЕС на лице, чиито задължения изискват присъствието му на заседания на Съвета или на подготвителните органи на Съвета, компетентният орган уведомява ГСС за това.

43. Куриерите, охранителите и придружителите преминават през проучване за надеждност на съответното ниво или се проучват по други начини в съответствие с националните законови и подзаконови актове, биват инструктирани относно процедурите за сигурност за защита на КИЕС и получават указания за задълженията им във връзка със защитата на поверената им КИЕС.

1. В настоящото приложение се съдържат разпоредбите за изпълнение на член 8. В него се установяват минималните изисквания за физическа защита на помещения, сгради, офиси, зали и други зони, в които се работи с КИЕС и се съхранява такава, включително на зоните, в които се помещават КИС.

2. Мерките за физическа сигурност са предназначени да предотвратяват неразрешен достъп до КИЕС, като:

3. Мерките за физическа сигурност се подбират въз основа на извършена от компетентните органи оценка на заплахата. ГСС и държавите членки прилагат процес на управление на риска за защита на КИЕС в техните обекти, за да гарантират, че се осигурява ниво на физическа защита, което е съизмеримо с оценката на риска. В процеса на управление на риска се вземат предвид всички необходими фактори, и по-специално:

4. Компетентният орган по сигурността, като прилага концепцията за защита в дълбочина, определя необходимото съчетание от мерки за физическа сигурност, които да се приложат. То може да включва една или повече от следните мерки:

5. Компетентните органи по сигурността могат да имат разрешение да извършват претърсвания на влизащите или излизащите, което действа като възпиращ фактор по отношение на неразрешено внасяне на материали или изнасяне на КИЕС от дадено помещение или сграда.

6. Когато съществува риск от пропуски, дори случайни, по отношение на КИЕС, се вземат необходимите мерки за неутрализиране на риска.

7. За нови структури изискванията за физическа сигурност и техните функционални спецификации се определят като част от планирането и разработката на тези структури. За съществуващи структури изискванията за физическа сигурност се осъществяват в максималната възможна степен.

8. При придобиване на оборудване (като сейфове, машини за унищожаване на хартиени документи, ключалки за врати, електронни системи за контрол на достъпа, системи против проникване, алармени системи) за физическа защита на КИЕС компетентният орган по сигурността гарантира, че оборудването отговаря на одобрените технически стандарти и минимални изисквания.

9. Техническите спецификации на оборудването, което се използва за физическа защита на КИЕС, се посочват в насоките за сигурност, които се одобряват от Комитета по сигурността.

10. Системите за сигурност се проверяват периодично, като оборудването подлежи на редовна поддръжка. Поддръжката е съобразена с резултатите от проверките, за да се гарантира постоянно оптимално функциониране на оборудването.

11. При всяка проверка се прави преоценка на ефективността на отделните мерки и на цялата система за сигурност.

12. За физическа защита на КИЕС се създават два вида физически защитени зони или националните им еквиваленти:

13. Компетентният орган по сигурността определя дали дадена зона отговаря на изискванията за административна зона, зона за сигурност или техническа зона за сигурност.

14. За административните зони:

15. За зоните за сигурност:

16. Когато влизането в зона за сигурност представлява на практика пряк достъп до класифицираната информация в нея, се прилагат следните допълнителни изисквания:

17. Зони за сигурност, защитени срещу подслушване, се определят за технически зони за сигурност. Прилагат се следните допълнителни изисквания:

18. Независимо от точка 17, буква г), преди да се използва в зони, където се провеждат заседания или се извършва дейност, включваща работа с информация с ниво на класификация за сигурност SECRET UE/EU SECRET и по-високо, и където степента на заплаха за КИЕС се оценява като висока, комуникационните средства и електрическото или електронното оборудване най-напред се проверяват от компетентния орган по сигурността, за да се гарантира, че с това оборудване не може да се предаде, неволно или неправомерно, разбираема информация отвъд периметъра на зоната за сигурност.

19. Зоните за сигурност, в които няма денонощно присъствие на дежурен персонал, се проверяват, когато това е уместно, в края на установеното работно време и на произволни интервали извън установеното работно време, освен ако не е инсталирана система против проникване.

20. Зони за сигурност и технически зони за сигурност могат да бъдат временно създадени в рамките на административна зона за целите на класифицирано заседание или други подобни цели.

21. За всяка зона за сигурност се изготвят оперативни процедури за сигурност, в които се определят:

22. В рамките на зоните за сигурност се изграждат блиндирани помещения. Стените, подовете, таваните, прозорците и вратите с ключалки се одобряват от компетентния орган по сигурността и осигуряват защита, равностойна на тази на сейф от категорията, одобрена за съхранение на КИЕС със същото ниво на класификация за сигурност.

23. С КИЕС с ниво на класификация за сигурност RESTREINT UE/EU RESTRICTED може да се работи:

24. КИЕС с ниво на класификация за сигурност RESTREINT UE/EU RESTRICTED се съхранява в подходящи заключващи се офис мебели в административна зона или в зона за сигурност. Тя може да се съхранява временно извън зона за сигурност или административна зона, при условие че притежателят се е ангажирал да спазва компенсаторните мерки, установени в инструкциите за сигурност, издадени от компетентния орган по сигурността.

25. С КИЕС с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL или SECRET UE/EU SECRET може да се работи:

26. КИЕС с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL и SECRET UE/EU SECRET се съхранява в зона за сигурност в сейф или в блиндирано помещение.

27. С КИЕС с ниво на класификация за сигурност TRÉS SECRET UE/EU TOP SECRET се работи в зона за сигурност.

28. КИЕС с ниво на класификация за сигурност TRÉS SECRET UE/EU TOP SECRET се съхранява в зона за сигурност при някое от следните условия:

29. Правилата, уреждащи преноса на КИЕС извън физически защитените зони, се съдържат в приложение III.

30. Компетентният орган по сигурността определя процедурите за управление на ключовете и шифровите комбинации за офисите, помещенията, блиндираните помещения и сейфовете. Тези процедури осигуряват защита срещу неразрешен достъп.

31. Шифровите комбинации се запаметяват от възможно най-малък брой лица на основание „необходимост да се знае“. Шифровите комбинации за сейфовете и блиндираните помещения, в които се съхранява КИЕС, се променят:

1. В настоящото приложение се съдържат разпоредбите за изпълнение на член 9. В него се установяват административните мерки за контрол на КИЕС през жизнения ѝ цикъл с цел да се съдейства за възпиране и разкриване на умишлено или случайно компрометиране или загуба на такава информация.

2. Информацията се класифицира, когато е необходимо да бъде защитена от съображения за поверителност.

3. Създателят на КИЕС отговаря за определянето на нивото на класификацията за сигурност, в съответствие със съответните насоки за класификация, както и за първоначалното разпространение на информацията.

4. Нивото на класификация на КИЕС се определя в съответствие с член 2, параграф 2 и при спазване на политиката за сигурност, която се одобрява в съответствие с член 3, параграф 3.

5. Класификацията за сигурност се посочва ясно и точно, независимо дали КИЕС е на хартия, в устна, електронна или друга форма.

6. Отделни части от даден документ (т.е. страници, параграфи, раздели, приложения, допълнения, добавки и притурки) може да изискват различно ниво на класификация за сигурност, за което се поставя съответният гриф, включително когато се съхраняват в електронен вид.

7. Нивото, на което се класифицира даден документ или файл, е не по-ниско от най-високото ниво на класификация за сигурност на негов елемент. Когато се обединява информация от различни източници, се прави преглед на окончателния продукт, за да се определи цялостното ниво на класификация за сигурност, тъй като може да е необходимо той да бъде с по-високо ниво на класификация от това на съставните му части.

8. Доколкото е възможно, документите, съдържащи части с различни нива на класификация, се структурират така, че частите с различни нива на класификация да могат лесно да се идентифицират и отделят при необходимост.

9. Класификацията на писмо или записка, включващи приложения, съответства на най-високата степен на класификация на тези приложения. Създателят ясно обозначава нивото на класификация на основния документ без приложенията, като използва подходящ гриф, например:

10. В допълнение към един от грифовете за сигурност, посочени в член 2, параграф 2, КИЕС може да носи допълнително обозначение, като:

11. За обозначаване на нивото на класификация на отделни параграфи от текста могат да се използват стандартни съкращения на нивата на класификация. Пълното название на грифовете за сигурност не се заменя със съкратени обозначения.

12. В класифицирани документи на ЕС за обозначаване на нивото на класификация на раздели или части от текст, по-малки от една страница, могат да се използват следните стандартни съкращения:

13. При създаване на класифициран документ на ЕС:

14. Когато не е възможно да се приложи точка 13 към КИЕС, се вземат други подходящи мерки в съответствие с насоките за сигурност, които се определят съгласно член 6, параграф 2.

15. При създаване на информацията създателят обозначава, когато е възможно, и особено за информация с ниво на класификация за сигурност RESTREINT UE/EU RESTRICTED, дали нивото на класификация на КИЕС може да бъде понижено или класификацията може да бъде премахната на определена дата или след настъпване на определено събитие.

16. ГСС прави редовен преглед на КИЕС, с която разполага, за да установи дали нивото на класификация продължава да е приложимо. ГСС установява система за преразглеждане на нивото на класификация на КИЕС, чийто създател е той, не по-рядко от веднъж на пет години. Такъв преглед не се налага, ако от самото начало създателят е посочил, че нивото на класификация на информацията ще бъде автоматично понижено или че класификацията ще бъде премахната и че информацията носи съответното обозначение.

17. За всяка организационна единица в рамките на ГСС и в националните администрации на държавите членки, в която се работи с КИЕС, се определя отговаряща регистратура, за да гарантира, че с КИЕС се работи в съответствие с настоящото решение. Регистратурите се обособяват като зони за сигурност съгласно посоченото в приложение II.

18. За целите на настоящото решение регистрация за целите на сигурността („регистрация“) означава прилагането на процедури за отбелязване на жизнения цикъл на материалите, включително тяхното разпространение и унищожаване.

19. Всички материали с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL и по-високо се регистрират в определени за целта регистратури при постъпването им в дадена организационна единица и при излизането им от нея.

20. Централната регистратура в ГСС поддържа регистри на цялата класифицирана информация, която се предоставя от Съвета и ГСС на трети държави и международни организации, както и за цялата класифицирана информация, която се получава от трети държави или международни организации.

21. По отношение на КИС процедурите за регистрация могат да се изпълнят като процес в рамките на самата КИС.

22. Съветът одобрява политика за сигурност при регистриране на КИЕС за целите на сигурността.

23. В държавите членки и в ГСС се определя регистратура, която да играе ролята на централен орган за получаване и изпращане на информация с ниво на класификация за сигурност TRÉS SECRET UE/EU TOP SECRET. При необходимост могат да се определят и подчинени регистратури, в които да се работи с такава информация с цел регистрация.

24. Тези подчинени регистратури не могат да предават документи с ниво на класификация за сигурност TRÉS SECRET UE/EU TOP SECRET пряко на други регистратури, подчинени на същата централна регистратура TRÉS SECRET UE/EU TOP SECRET, или на външни получатели без изричното писмено одобрение на последната.

25. Документите с ниво на класификация за сигурност TRÉS SECRET UE/EU TOP SECRET не се копират или превеждат без предварителното писмено съгласие на създателя.

26. Когато създателят на документи с ниво на класификация за сигурност SECRET UE/EU SECRET и по-ниско не е поставил предупредителни обозначения за тяхното копиране или превод, документите могат да бъдат копирани или превеждани по указание на притежателя.

27. Мерките за сигурност, приложими към оригиналния документ, се прилагат и за неговите копия и преводи.

28. Преносът на КИЕС подлежи на защитните мерки, уредени в точки 30—41. Когато КИЕС се пренася на електронен носител и независимо от разпоредбите на член 9, параграф 4, изложените по-долу защитни мерки могат да бъдат допълнени с подходящи технически контрамерки, предписани от компетентния орган по сигурността, така че да се сведе до минимум рискът тя да бъде загубена или компрометирана.

29. Компетентните органи по сигурността в ГСС и в държавите членки издават инструкции за преноса на КИЕС в съответствие с настоящото решение.

30. В рамките на отделна сграда или самостоятелна група от сгради КИЕС се покрива при пренасяне, така че да не се вижда нейното съдържание.

31. В рамките на отделна сграда или самостоятелна група от сгради информацията с ниво на класификация за сигурност TRÉS SECRET UE/EU TOP SECRET се пренася в защитен плик, на който е обозначено само името на получателя.

32. Когато се пренася между сгради или обекти в рамките на Съюза, КИЕС се опакова по такъв начин, че да е защитена от неразрешено разкриване.

33. Преносът на информация с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL или SECRET UE/EU SECRET в рамките на Съюза се извършва по един от следните начини:

34. Информация с ниво на класификация за сигурност RESTREINT UE/EU RESTRICTED може също да се пренася чрез пощенски служби или платени куриерски услуги. За преноса на такава информация не се изисква удостоверение за куриер.

35. Материали с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL и SECRET UE/EU SECRET (например оборудване или машини), които не могат да бъдат пренесени по посочените в точка 33 начини, се пренасят като товар от транспортни дружества в съответствие с приложение V.

36. Преносът на информация с ниво на класификация за сигурност TRÉS SECRET UE/EU TOP SECRET между сгради и обекти в рамките на Съюза се извършва с военен, правителствен или дипломатически куриер, в зависимост от случая.

37. Когато се пренася от територията на Съюза до територията на трета държава, КИЕС се опакова по такъв начин, че да е защитена от неразрешено разкриване

38. Преносът на информация с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL и SECRET UE/EU SECRET от територията на Съюза до територията на трета държава се извършва по един от следните начини:

39. При пренос на информация с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL и SECRET UE/EU SECRET, предоставена от Съюза на трета държава или международна организация, се спазват съответните разпоредби на споразумение за сигурност на информацията или на административна договореност в съответствие с член 13, параграф 2, буква а) или б).

40. Информация с ниво на класификация за сигурност RESTREINT UE/EU RESTRICTED може също да се пренася чрез пощенски служби или платени куриерски услуги.

41. Преносът на информация с ниво на класификация за сигурност TRÉS SECRET UE/EU TOP SECRET от територията на Съюза до територията на трета държава се извършва с военен или дипломатически куриер.

42. Класифицирани документи на ЕС, които вече не са необходими, могат да бъдат унищожени, при условие че не се засягат съответните правила и разпоредби за архивиране.

43. Документи, подлежащи на регистрация в съответствие с член 9, параграф 2, се унищожават от отговарящата за тях регистратурата по указание на притежателя или на компетентен орган. Регистрите и друга регистрационна информация се актуализират съответно.

44. Унищожаването на документи с ниво на класификация за сигурност SECRET UE/EU SECRET или TRÉS SECRET UE/EU TOP SECRET се извършва в присъствието на свидетел, който притежава разрешение за достъп до ниво на класификация за сигурност най-малко на нивото на документа, който се унищожава.

45. Регистраторът и свидетелят, когато се изисква присъствие на такъв, подписват удостоверение за унищожаване, което се завежда в регистратурата. Удостоверенията за унищожаване на документи с ниво на класификация за сигурност TRÉS SECRET UE/EU TOP SECRET се съхраняват в регистратурата за срок от най-малко 10 години, а на документи с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL и SECRET UE/EU SECRET — за срок от най-малко пет години.

46. Класифицирани документи, включително документи с ниво на класификация за сигурност RESTREINT UE/EU RESTRICTED, се унищожават по методи, отговарящи на съответните стандарти на Съюза или равностойни на тях стандарти, или по методи, одобрени от държавите членки в съответствие с националните технически стандарти, така че да се предотврати цялостното им или частичното им възстановяване.

47. Унищожаването на компютърните средства за съхранение на КИЕС се извършва в съответствие с точка 37 от приложение IV.

48. При извънредна ситуация и наличие на непосредствен риск от нерегламентирано разкриване КИЕС се унищожава от притежателя ѝ по начин, който прави невъзможно цялостното или частичното възстановяване на информацията. Създателят на информацията и регистърът, от който е получена информацията, биват информирани за извънредната ситуация, наложила унищожаването на КИЕС.

49. Понятието „посещение за оценка“ се използва по-нататък в текста за обозначаване на всички:

50. Посещенията за оценка се извършват, inter alia, с цел:

51. Преди изтичането на всяка календарна година Съветът приема програма за посещения за оценка за следващата година, както е предвидено в член 16, параграф 1, буква в). Точната дата на всяко посещение за оценка се определя по споразумение със съответния орган или агенция на Съюза, държава членка, трета държава или международна организация.

52. Посещенията за оценка се извършват с цел проверка на съответните правила, разпоредби и процедури на посетената организационна единица и проверки за установяване дали практиките на тази единица съответстват на основните принципи и на минималните стандарти, установени в настоящото решение и в разпоредбите, уреждащи обмена на класифицирана информация с тази единица.

53. Посещенията за оценка се извършват на два етапа. Преди самото посещение се провежда подготвително заседание, при необходимост с участието на съответната единица. След това подготвително заседание екипът за оценка изготвя подробна програма за посещението за оценка, която обхваща всички области на сигурността и е съгласувана с посочената единица. Екипът за посещението за оценка следва да получи достъп до всички помещения, в които се работи с КИЕС, и по-специално до регистратурите и точките за достъп до КИС.

54. Посещенията за оценка в националните администрации на държавите членки, в трети държави и международни организации се извършват при пълно сътрудничество от страна на служителите на посетената структура, трета държава или международна организация.

55. Посещенията за оценка в органи, агенции и структури на Съюза, които прилагат настоящото решение или неговите принципи, се извършват със съдействието на експерти от НОС на държавата членка, на чиято територия са разположени органът или агенцията.

56. При извършване на посещения за оценка в органи, агенции и структури на Съюза, които прилагат настоящото решение или неговите принципи, и в трети държави и международни организации може да бъде отправено искане за съдействие и участие на експерти от националния орган по сигурността, в съответствие с подробни договорености, по които Комитетът по сигурността постига съгласие.

57. При приключване на посещението за оценка основните заключения и препоръки се представят на посетената структура. Впоследствие се изготвя доклад за посещението за оценка. Когато се предлагат коригиращи действия и се отправят препоръки, в доклада се включват достатъчно подробности в подкрепа на достигнатите заключения. Докладът се изпраща на съответния орган на посетената структура.

58. При посещения за оценка, извършени в националните администрации на държавите членки:

59. При посещения за оценка в трети държави и в международни организации докладът се изпраща на Комитета по сигурността. Докладът получава ниво на сигурност най-малко RESTREINT UE/EU RESTRICTED. Всички коригиращи мерки се проверяват чрез последващо посещение и се докладват на Комитета по сигурността.

60. При посещения за оценка в органи, агенции и структури на Съюза, които прилагат настоящото решение или неговите принципи, докладът за посещението за оценка се изпраща на Комитета по сигурността. Проектът на доклада за посещението за оценка се изпраща на съответната агенция или орган, за да се удостовери фактическата му точност, както и че не съдържа информация с ниво на класификация за сигурност, по-високо от RESTREINT UE/EU RESTRICTED. Всички коригиращи мерки се проверяват чрез последващо посещение и се докладват на Комитета по сигурността.

61. Органът на ГСС по сигурността извършва редовни проверки на организационните единици в ГСС за целите, посочени в точка 50.

62. Органът по сигурността на ГСС (службата по сигурността на ГСС) изготвя и актуализира контролен списък, който се попълва по време на посещението за оценка. Контролният списък се изпраща на Комитета по сигурността.

63. Предоставя се необходимата за попълване на контролния списък информация, особено по време на посещението от службите за управление на сигурността на проверяваната единица. След като бъдат дадени подробни отговори на въпросите от контролния списък, той се класифицира по споразумение с проверяваната структура. Той не представлява част от доклада за проверката.

1. В настоящото приложение се съдържат разпоредбите за изпълнение на член 10.

2. Следните понятия и характеристики на ОИ имат основно значение за сигурността и правилното протичане на операциите в КИС:

3. Установените по-долу разпоредби съставляват основните параметри за сигурността на всяка КИС, в която се работи с класифицирана информация на ЕС. Подробните изисквания за изпълнение на тези разпоредби се определят в политиките и насоките за сигурност относно осигуреността на информацията.

4. Управлението на риска за сигурността е неразделна част от определянето, разработването, функционирането и поддръжката на КИС. Управлението на риска (оценка, третиране, приемане и съобщаване) се осъществява съвместно, като повтарящ се процес, от представители на собствениците на системата, органите по проекта, оперативните органи и органите за одобрение на сигурността чрез използване на доказан, прозрачен и напълно разбираем процес на оценка на риска. Обхватът на КИС и нейните активи се определят ясно в началото на процеса на оценка на риска.

5. Компетентните органи правят преглед на потенциалните заплахи за КИС и поддържат актуализирани и точни оценки на заплахите, които отразяват състоянието на оперативната среда към дадения момент. Те постоянно актуализират своите познания по въпросите, свързани с уязвимите места, и периодично правят преглед на оценката на уязвимостта в отговор на променящата се информационно-технологична среда.

6. Целта на третирането на риска за сигурността е да се приложи съвкупност от мерки за сигурност, които да доведат до задоволителен баланс между изискванията на ползвателите, разходите и остатъчния риск за сигурността.

7. Специфичните изисквания, мащаб и степен на задълбоченост, определени от съответния ОАС за акредитация на КИС, съответстват на оценката на риска, като се вземат предвид всички релевантни фактори, включително нивото на класификация на КИЕС, с която се работи в КИС. Акредитацията включва формална декларация за остатъчен риск и приемане на остатъчния риск от отговорния орган.

8. Гарантирането на сигурността е изискване, което важи през целия жизнен цикъл на КИС, от решението за нейното създаване до извеждането ѝ от експлоатация.

9. Ролята на участниците в КИС и взаимодействието между тях по отношение на сигурността на системата се определят за всеки етап от жизнения цикъл.

10. Всяка КИС, включително техническите и нетехническите мерки за нейната сигурност, се подлага на изпитване за сигурност по време на процеса на акредитация, за да се гарантира, че е постигнато необходимото ниво на осигуреност и да се удостовери, че тези мерки са правилно приложени, интегрирани и конфигурирани.

11. Оценки на сигурността, проверки и прегледи се извършват периодично по време на функционирането и поддръжката на КИС, както и при възникване на извънредни обстоятелства.

12. Документацията по сигурността на КИС се развива по време на жизнения цикъл на системата като неразделна част от процеса за управление на промените и на конфигурацията.

13. ГСС и държавите членки си сътрудничат за разработване на най-добри практики за защита на КИЕС, с която се работи в КИС. Насоките за най-добри практики съдържат технически, физически, организационни и процедурни мерки за сигурност на КИС с доказана ефективност за противодействие на определени заплахи и уязвими места.

14. Защитата на КИЕС, с която се работи в КИС, се усъвършенства въз основа на изводите, направени от организационните единици, ангажирани с осигуреността на информацията в рамките на Съюза и извън него.

15. Разпространението и последващото прилагане на най-добри практики допринася за постигане на равностойно ниво на осигуреност на използваните от ГСС и държавите членки различни видове КИС, които работят с КИЕС.

16. С оглед намаляване на риска за КИС се прилага съвкупност от технически и нетехнически мерки за сигурност, организирани под формата на многослойна защита. Те включват:

17. НОС или друг компетентен национален орган отговаря за:

18. С цел да се избегне ненужно излагане на риск, в отговор на оперативните изисквания се прилагат само основни функционални възможности, съоръжения и услуги.

19. На ползвателите и автоматизираните процеси на КИС се дава само такъв достъп, привилегии или разрешения, които са необходими за изпълнение на задачите им, с оглед ограничаване на вредите в резултат от инциденти, грешки или неразрешено използване на ресурси на КИС.

20. При необходимост изпълняваните от КИС процедури за регистрация се проверяват в рамките на процеса на акредитация.

21. Познаването на риска и на наличните мерки за сигурност представлява първата линия на защита на сигурността на КИС. По-конкретно всички служители, които имат отношение към жизнения цикъл на КИС, включително ползвателите, разбират:

22. Обучението и повишаването на осведомеността по въпросите на ОИ са задължителни за всички участващи служители, включително висшите служители и ползвателите на КИС, с цел да се гарантира, че те осъзнават своите отговорности по отношение на сигурността.

23. Необходимата степен на доверие в мерките за сигурност, определена като степен на осигуреност, се определя в съответствие с резултатите от процеса на управление на риска, съобразно съответните политики и насоки за сигурност.

24. Степента на осигуреност се удостоверява чрез международно признати или национално одобрени процеси и методологии. Тук се включват преди всичко оценката, контролът и одитът.

25. Криптографските продукти за защита на КИЕС се оценяват и одобряват от националния орган за криптографско одобрение на държавата членка.

26. Преди да бъдат препоръчани за одобрение от Съвета или от генералния секретар в съответствие с член 10, параграф 6, такива криптографски продукти преминават успешно втора оценка от страна на достатъчно квалифициран и компетентен орган (ДККО) на държава членка, която не участва в проектирането или производството на оборудването. Изискваната степен на задълбоченост при оценката от втори орган зависи от предвиденото максимално ниво на класификация за сигурност на КИЕС, която да бъде защитена с тези продукти. Съветът одобрява политика за сигурност по отношение на оценката и одобрението на криптографски продукти.

27. Когато за това има специфични оперативни основания, Съветът или съответно генералният секретар може, по препоръка на Комитета по сигурността, да отмени изискванията по точка 25 или 26 от настоящото приложение и да предостави временно одобрение за определен период, в съответствие с процедурата, изложена в член 10, параграф 6.

28. По препоръка на Комитета по сигурността Съветът може да приеме процеса по оценка, избор и одобрение на криптографски продукти, проведен в трета държава или международна организация, и следователно да обяви тези криптографски продукти за одобрени за защита на КИЕС, предоставена на въпросната трета държава или международна организация.

29. ДККО е органът на държавата членка за криптографско одобрение, който на базата на определени от Съвета критерии е получил акредитация да извършва втората оценка на криптографски продукти за защита на КИЕС.

30. Съветът одобрява политика за сигурност при квалифицирането и одобряването на некриптографски информационно-технологични продукти за сигурност.

31. Независимо от разпоредбите на настоящото решение, когато предаването на КИЕС е ограничено в рамките на зони за сигурност или административни зони, може да се прибегне до некриптирано предаване или криптиране на по-ниско ниво въз основа на резултатите от процеса на управление на риска и с одобрението на ОАС.

32. За целите на настоящото решение взаимна свързаност означава пряка връзка между две или повече информационно-технологични системи с цел обмен на данни и други информационни ресурси (напр. комуникация) в еднопосочен или многопосочен план.

33. КИС третира всички взаимосвързани информационно-технологични системи като ненадеждни и прилага защитни мерки за контрол на обмена на класифицирана информация.

34. По отношение на всички взаимни връзки на КИС с друга информационно-технологична система се спазват следните основни изисквания:

35. Не се допуска взаимна свързаност между акредитирана КИС и незащитена или обществена мрежа, освен в случаите, когато КИС разполага с одобрени мерки за защита на периметъра, инсталирани за тази цел между КИС и незащитената или обществената мрежа. Мерките за сигурност при такива взаимни връзки се разглеждат от компетентния по въпросите на осигуреността на информацията орган и се одобряват от компетентния ОАС.

36. Забранява се пряка или каскадна взаимна свързаност между КИС, акредитирана да работи с информация с ниво на класификация за сигурност TRÉS SECRET UE/EU TOP SECRET, и незащитена или обществена мрежа.

37. Компютърните средства за съхранение се унищожават в съответствие с процедури, одобрени от компетентния орган по сигурността.

38. Повторното използване, понижаването на нивото на класификация или декласификацията на компютърните средства за съхранение се извършва в съответствие с насоки за сигурност, които се определят съгласно член 6, параграф 2.

39. Независимо от разпоредбите на настоящото решение описаните по-долу специални процедури могат да се прилагат в извънредни ситуации, например по време на предстояща или настояща криза, конфликт, състояние на война или при извънредни оперативни обстоятелства.

40. КИЕС може да се предава, като се използват криптографски продукти, одобрени за по-ниско ниво на класификация за сигурност, или без да се криптира, със съгласието на компетентния орган, в случай че евентуално забавяне би причинило очевидно по-голяма вреда от тази, произтичаща от разкриване на класифицирания материал, и ако:

41. Класифицираната информация, предавана при описаните в точка 39 обстоятелства, няма грифове за сигурност или обозначения, които да я отличават от некласифицирана информация или от информация, която може да бъде защитена с наличен криптографски продукт. Получателите се уведомяват незабавно за нивото на класификация с други средства.

42. След случаи на прилагане на точка 39 се изготвя доклад до компетентния орган и до Комитета по сигурността.

43. В държавите членки и в ГСС се установяват следните функции във връзка с ОИ. Тези функции не изискват самостоятелни организационни единици. Единиците имат самостоятелни мандати. Функциите обаче и съпътстващите ги отговорности могат да бъдат комбинирани или интегрирани в една и съща организационна единица или да бъдат разделени в различни организационни единици, при условие че се избягват вътрешни конфликти на интереси или задачи.

44. ООИ отговаря за:

45. Органът по Tempest (ОТ) отговаря за осигуряване на съответствие на КИС с политиките и насоките по Tempest. Той одобрява контрамерки по Tempest за инсталации и продукти за защита на КИЕС до определено ниво на класификация за сигурност в съответната оперативна среда.

46. Органът за криптографско одобрение (ОКО) отговаря за осигуряване на съответствие на криптографските продукти с националната криптографска политика или криптографската политика на Съвета. Този орган одобрява криптографски продукти за защита на КИЕС до определено ниво на класификация за сигурност в съответната оперативна среда. По отношение на държавите членки органът за криптографско одобрение отговаря също така за оценката на криптографските продукти.

47. Органът за разпределение на криптографски материали (ОРКМ) отговаря за:

48. За всяка система ОАС отговоря за:

49. ОАС на ГСС отговаря за акредитацията на всички КИС, които функционират в сферата на компетентност на ГСС.

50. Съответният ОАС на държава членка отговаря за акредитацията на КИС и техните компоненти, които функционират в сферата на компетентност на тази държава членка.

51. Съвместен съвет по акредитиране на сигурността (САС) отговаря за акредитацията на КИС, попадащи в сферата на компетентност както на ОАС на ГСС, така и на ОАС на държавите членки. Той е съставен от по един представител на ОАС на всяка държава членка и на заседанията му присъства представител на ОАС на Комисията. Канят се и други организационни единици, които имат електронна свързаност с дадена КИС, когато се обсъждат въпроси във връзка с тази система.

52. За всяка система оперативният орган по ОИ отговаря за:

1. В настоящото приложение се съдържат разпоредбите за изпълнение на член 11. В него се излагат общите разпоредби по сигурността, приложими към индустриалните или други единици по време на преговорите за сключване на договор и през жизнения цикъл на класифицираните договори, възложени от ГСС.

2. Съветът одобрява насоки в областта на индустриалната сигурност, задаващи по-специално подробни изисквания за удостоверенията за сигурност на структура, приложенията относно аспектите на сигурността (ПАС), посещенията, предаването и преноса на КИЕС.

3. Преди да обяви търг за възлагане на класифициран договор или да възложи такъв договор, ГСС, в качеството си на възложител, определя класификацията за сигурност на информацията, която се предоставя на участниците в търга и на изпълнителите, както и класификацията за сигурност на информацията, която се създава от изпълнителя. За тази цел ГСС изготвя ръководство за класифициране за целите на сигурността (РКЦС), което да се ползва при изпълнението на договора.

4. При определяне на нивото на класификация за сигурност на различните елементи на класифицирания договор се прилагат следните принципи:

5. Свързаните с договора изисквания за сигурност се описват в ПАС. Когато това е уместно, ПАС включва ръководството за класифициране за целите на сигурността и представлява неразделна част от класифицирания договор за изпълнение или подизпълнение.

6. В ПАС се съдържат разпоредби, изискващи от изпълнителя и/или подизпълнителя да спазва минималните стандарти, установени в настоящото решение. Неспазването на тези минимални стандарти може да представлява достатъчно основание за прекратяване на договора.

7. В зависимост от обхвата на програмите или проектите, включващи достъп до, работа със или съхранение на КИЕС, определеният за управление на програмата или проекта орган възложител може да изготви специфични ИСП. ИСП изискват одобрение от страна на националните органи по сигурността/определените органи по сигурността на държавите членки или друг компетентен орган по сигурността, участващ в ИСП, и могат да съдържат допълнителни изисквания за сигурност.

8. Удостоверение за сигурност на структура се издава от националния орган по сигурността/определения орган по сигурността или друг компетентен орган по сигурността на държавата членка, за да удостовери в съответствие с националните законови и подзаконови актове, че индустриална или друга единица може да осигури в рамките на структурите си защита на КИЕС на съответното ниво на класификация за сигурност (CONFIDENTIEL UE/EU CONFIDENTIAL или SECRET UE/EU SECRET). Това удостоверение се представя на ГСС в качеството му на възложител, преди на изпълнителя или подизпълнителя, или на потенциалния изпълнител или подизпълнител да бъде предоставен или даден достъп до КИЕС.

9. Когато издава удостоверение за сигурност на структура, съответният национален орган по сигурността или определеният орган по сигурността извършва най-малко следното:

10. Когато е уместно, ГСС, в качеството си на възложител, уведомява съответния национален орган по сигурността/определения орган по сигурността или друг компетентен орган по сигурността, че на предварителния етап или за изпълнение на договора се изисква удостоверение за сигурност на структура. Удостоверение за сигурност на структура или разрешение за достъп на персонала се изисква на предварителния етап, ако в процеса на представяне на оферта трябва да се предостави КИЕС с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL или SECRET UE/EU SECRET.

11. Органът възложител не възлага класифициран договор на предпочитан участник в търга, преди да е получил потвърждение от националния орган по сигурността/определения орган по сигурността или друг компетентен орган по сигурността на държавата членка, в която е регистриран съответният изпълнител или подизпълнител, че е издадено съответното удостоверение за сигурност на структура, ако такова е необходимо.

12. Националният орган по сигурността/определеният орган по сигурността или друг компетентен орган по сигурността, издал удостоверението за сигурност на структура, уведомява ГСС, в качеството му на възложител, за всички промени, засягащи удостоверението за сигурност на структура. При договори за подизпълнение се уведомяват съответно националният орган по сигурността/определеният орган по сигурността или друг компетентен орган по сигурността.

13. Отнемането на удостоверението за сигурност на структура от съответния национален орган по сигурността/определения орган по сигурността или друг компетентен орган по сигурността представлява достатъчно основание за ГСС, в качеството му на възложител, да прекрати класифициран договор или да изключи участник от търга.

14. Когато КИЕС се предоставя на участник в търга на преддоговорния етап, поканата за представяне на оферта съдържа разпоредба, задължаваща участника в търга, който не е представил оферта или не е избран, да върне всички класифицирани документи в рамките на определен период от време.

15. След възлагането на класифициран договор за изпълнение или подизпълнение ГСС, в качеството си на възложител, уведомява националния орган по сигурността/определения орган по сигурността или друг компетентен орган по сигурността на изпълнителя или подизпълнителя за разпоредбите за сигурност на класифицирания договор.

16. При прекратяване на такива договори ГСС, в качеството си на възложител (и/или националният орган по сигурността/определеният орган по сигурността или съответно друг компетентен орган по сигурността при договори за подизпълнение), уведомява своевременно националния орган по сигурността/определения орган по сигурността или съответно друг компетентен орган по сигурността на държавата членка, в която е регистриран изпълнителят или подизпълнителят.

17. Като общо правило при прекратяване на класифицирания договор за изпълнение или подизпълнение от изпълнителя или подизпълнителя се изисква да върне на възложителя всяка държана от него КИЕС.

18. Конкретните разпоредби за разпореждане с КИЕС по време на изпълнението на договора или при неговото прекратяване се посочват в приложението относно аспектите на сигурността.

19. В случаите когато на изпълнител или подизпълнител е разрешено да задържи КИЕС след прекратяване на договора, той продължава да спазва установените в настоящото решение минимални стандарти и да осигурява защита на поверителността на КИЕС.

20. Условията, при които изпълнителят може да възлага договора за подизпълнение, се определят в условията за търга и в договора.

21. За да предостави за подизпълнение части от класифициран договор, изпълнителят получава разрешение от ГСС в качеството му на възложител. Договор за подизпълнение не може да бъде възлаган на индустриални или други единици, регистрирани в държава извън ЕС, която не е сключила споразумение за сигурност на информацията със Съюза.

22. Изпълнителят носи отговорност за осигуряване на спазването на установените в настоящото решение минимални стандарти за сигурност по време на извършването на всички подизпълнителски дейности и не предоставя КИЕС на подизпълнителя без предварителното писмено съгласие на възложителя.

23. По отношение на КИЕС, която е създадена от изпълнител или подизпълнител или с която те работят, правата на създател се упражняват от възложителя.

24. Когато за изпълнение на класифициран договор на служители на ГСС, на изпълнители и подизпълнители е необходимо да получат на взаимна основа достъп до информация с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL или SECRET UE/EU SECRET в помещенията си, се уреждат посещения, като се поддържа връзка с националните органи по сигурността/определените органи по сигурността или друг съответен компетентен орган по сигурността. В контекста на конкретни проекти обаче националните органи по сигурността/определените органи по сигурността могат да постигнат също така съгласие по процедура, при която такива посещения да могат да се организират пряко.

25. Всички посетители разполагат със съответното РДП и отговарят на изискването за „необходимост да се знае“ за получаване на достъп до КИЕС, свързана с договора на ГСС.

26. На посетителите се дава достъп единствено до КИЕС, свързана с целите на посещението.

27. По отношение на предаването на КИЕС чрез електронни средства се прилагат съответните разпоредби на член 10 и приложение IV.

28. По отношение на преноса на КИЕС се прилагат съответните разпоредби на приложение III в съответствие с националните законови и подзаконови актове.

29. При определяне на мерките за сигурност при транспортиране на класифицирани материали като товар се прилагат следните принципи:

30. Предаването на КИЕС на изпълнители и подизпълнители, разположени в трети държави, се извършва в съответствие с мерките за сигурност, договорени между ГСС, в качеството му на възложител, и националния орган по сигурността/определения орган по сигурността на съответната трета държава, в която е регистриран изпълнителят.

31. Като поддържа връзка съответно с националния орган по сигурността/определения орган по сигурността на държавата членка, ГСС, в качеството си на възложител, има право да извършва проверки на структурите на изпълнителя/подизпълнителя на основание на договорните разпоредби с цел да се увери, че са осъществени необходимите мерки за сигурност за защита на КИЕС с ниво на класификация за сигурност RESTREINT UE/EU RESTRICTED, както се изисква съгласно сключения договор.

32. В необходимата по националните законови и подзаконови актове степен националните органи по сигурността/определените органи по сигурността или други компетентни органи по сигурността биват уведомявани от ГСС в качеството му на орган възложител относно договори за изпълнение и подизпълнение, съдържащи информация с ниво на класификация за сигурност RESTREINT UE/EU RESTRICTED.

33. Не се изисква удостоверение за сигурност на структура, нито разрешение за достъп за изпълнители или подизпълнители и техния персонал за договори, възлагани от ГСС, които съдържат информация с ниво на класификация за сигурност RESTREINT UE/EU RESTRICTED.

34. ГСС, в качеството си на възложител, разглежда отговорите на поканите за представяне на оферти за договори, изискващи достъп до информация с ниво на класификация за сигурност RESTREINT UE/EU RESTRICTED, независимо от изискванията за удостоверения за сигурност на структура или разрешения за достъп на персонала, които съществуват съгласно националните законови и подзаконови актове.

35. Условията, при които изпълнителят може да възлага изпълнението на договор за подизпълнение, са в съответствие с точка 21.

36. Когато даден договор включва работа с информация с ниво на класификация за сигурност RESTREINT UE/EU RESTRICTED в рамките на КИС, с която оперира изпълнител, ГСС, в качеството си на възложител, гарантира включването в договора за изпълнение или подизпълнение на необходимите технически и административни изисквания за акредитация на въпросната КИС, съизмерими с оценката на риска, като се вземат предвид всички свързани с въпроса фактори. Обхватът на акредитацията на такава КИС се договаря между възложителя и съответния национален орган по сигурността/определен орган по сигурността.

1. В настоящото приложение се съдържат разпоредбите за изпълнение на член 13.

2. Когато Съветът е установил, че съществува дългосрочна необходимост от обмен на класифицирана информация:

3. В случаите, когато КИЕС, създадена за целите на операция по линия на ОПСО, трябва да се предостави на трети държави или международни организации, участващи в такава операция, и когато не съществува никоя от посочените в точка 2 рамки, обменът на КИЕС с участващата трета държава или международна организация се урежда, в съответствие с раздел V, чрез:

4. При отсъствие на посочената в точки 2 и 3 рамка и в случаите, когато се взема решение за извънредно ad hoc предоставяне на КИЕС на трета държава или международна организация съгласно раздел VI, от съответната трета държава или международна организация се изискват писмени уверения с оглед да се гарантира, че тя осигурява защита на предоставената ѝ КИЕС в съответствие с основните принципи и минималните стандарти, определени в настоящото решение.

5. Споразуменията за сигурност на информацията установяват основните принципи и минималните стандарти, които регулират обмена на класифицирана информация между Съюза и дадена трета държава или международна организация.

6. В тези споразумения се предвиждат договорености за техническото изпълнение, които се постигат между компетентните органи по сигурността на съответните институции и органи на Съюза и компетентния орган по сигурността на въпросната трета държава или международна организация. Тези договорености отчитат нивото на защита, предоставено от прилаганите в съответната трета държава или международна организация разпоредби, структури и процедури за сигурност. Те се одобряват от Комитета по сигурността.

7. КИЕС не се обменя с електронни средства по линия на споразумение за сигурност на информацията, освен ако това не е изрично предвидено в споразумението или в съответните договорености за техническото изпълнение.

8. Когато Съветът сключва споразумение за сигурност на информацията, всяка от страните определя регистратура, която служи като главна входяща и изходяща точка за обмен на класифицирана информация.

9. За оценка на ефективността на разпоредбите, структурите и процедурите за сигурност в съответната трета държава или международна организация се провеждат посещения за оценка по взаимно споразумение със съответната трета държава или международна организация. Такива посещения за оценка се провеждат съгласно съответните разпоредби на приложение III и при провеждането им се извършва оценка на:

10. Екипът, извършващ посещението за оценка от името на Съюза, прави преценка дали разпоредбите и процедурите за сигурност във въпросната трета държава или международна организация са на необходимото равнище за защита на КИЕС с определено ниво на класификация за сигурност.

11. Констатациите от такива посещения се оформят в доклад, въз основа на който Комитетът по сигурността определя максималното ниво на КИЕС, която може да бъде обменяна на хартиен носител, и съответно с електронни средства, с въпросната трета страна, както и други специфични условия, уреждащи обмена на информация с тази страна.

12. Полагат се всички усилия за извършване на посещение за пълна оценка на сигурността във въпросната трета държава или международна организация, преди Комитетът по сигурността да одобри договореностите за изпълнение, за да се установят естеството и ефективността на въведените системи за сигурност. Когато обаче това е невъзможно, службата на ГСС по сигурността предоставя на Комитета по сигурността възможно най-изчерпателен доклад, изготвен въз основа на информацията, с която разполага, с който го информира за приложимите разпоредби относно сигурността и за начина, по който е организирана сигурността във въпросната трета държава или международна организация.

13. Преди КИЕС да бъде реално предоставена на въпросната трета държава или международна организация, докладът за посещението за оценка или при липса на такъв — докладът, посочен в точка 12, се изпраща на Комитета по сигурността, който го преценява като удовлетворителен.

14. Компетентните органи по сигурността на институциите и органите на Съюза съобщават на третата държава или международната организация датата, от която Съюзът ще е в състояние да предостави КИЕС по линия на споразумението, както и максималното ниво на класификация на КИЕС, която може да бъде обменяна на хартиен носител или чрез електронни средства.

15. При необходимост се провеждат последващи посещения за оценка, особено ако:

16. След като споразумението за сигурност на информацията влезе в сила и започне обменът на класифицирана информация със съответната трета държава или международна организация, Комитетът по сигурността може да вземе решение за промяна на максималното ниво на класификация на КИЕС, която може да бъде обменяна на хартиен носител или с електронни средства, по-специално с оглед на евентуални последващи посещения за оценка.

17. Когато е налице дългосрочна необходимост от обмен на информация с ниво на класификация за сигурност като общо правило не по-високо от RESTREINT UE/EU RESTRICTED с трета държава или международна организация и когато Комитетът по сигурността е установил, че въпросната договаряща страна не разполага с достатъчно развита система за сигурност, за да е възможно тя да встъпи в споразумение за сигурност на информацията, генералният секретар може, след одобрение от страна на Съвета, да встъпи, от името на ГСС, в административна договореност със съответните органи на въпросната трета държава или международна организация.

18. Когато по неотложни оперативни причини е необходимо бързо да се създаде рамка за обмен на класифицирана информация, Съветът по изключение може да реши, че за обмен на информация с по-високо ниво на класификация за сигурност може да се постигне административна договореност.

19. Административните договорености като правило се осъществяват под формата на размяна на писма.

20. Преди КИЕС да бъде реално предоставена на въпросната трета държава или международна организация, се извършва посещение за оценка съгласно точка 9 и съответният доклад или, при липса на такъв — докладът, посочен в точка 12, се изпраща на Комитета по сигурността, който го преценява като удовлетворителен.

21. КИЕС не се обменя чрез електронни средства по линия на административна договореност, освен в случаите, когато това е изрично предвидено в тази договореност.

22. Участието на трети държави или международни организации в операции по линия на ОПСО се регулира от рамкови споразумения за участие. Тези споразумения съдържат разпоредби относно предоставянето на КИЕС, създадена за целите на операциите по линия на ОПСО, на участващите в тях трети държави или международни организации. Най-високото ниво на класификация за сигурност, на което може да бъде обменяна КИЕС, е RESTREINT UE/EU RESTRICTED за граждански операции по линия на ОПСО и CONFIDENTIEL UE/EU CONFIDENTIAL за военни операции по линия на ОПСО, освен ако в решението за създаване на дадена операция по линия на ОПСО не е предвидено друго.

23. В аd hoc споразумения за участие, сключени по повод на конкретна операция по линия на ОПСО, се включват разпоредби относно предоставянето на КИЕС, създадена за целите на операцията, на участващата в нея трета държава или международна организация. Най-високото ниво на класификация за сигурност, на което може да бъде обменяна КИЕС, е RESTREINT UE/EU RESTRICTED за граждански операции по линия на ОПСО и CONFIDENTIEL UE/EU CONFIDENTIAL за военни операции по линия на ОПСО, освен ако в решението за създаване на дадена операция по линия на ОПСО не е предвидено друго.

24. При липса на споразумение за сигурност на информацията и предстоящо сключване на споразумение за участие предоставянето на КИЕС, създадена за целите на операцията, на трета държава или международна организация, която участва в операцията, се регламентира от административна договореност, сключвана от върховния представител или по силата на решение за ad hoc предоставяне съгласно раздел VI. КИЕС се обменя по линия на подобна договореност единствено доколкото плановете за участие на третата държава или международната организация продължават да са валидни. Най-високото ниво на класификация за сигурност, на което може да бъде обменяна КИЕС, е RESTREINT UE/EU RESTRICTED за граждански операции по линия на ОПСО и CONFIDENTIEL UE/EU CONFIDENTIAL за военни операции по линия на ОПСО, освен ако в решението за създаване на дадена операция по линия на ОПСО не е предвидено друго.

25. Разпоредбите относно класифицираната информация, които се включват в рамковите споразумения за участие, ad hoc споразуменията за участие и ad hoc административните договорености, посочени в точки 22—24, предвиждат въпросната трета държава или международна организация да гарантира, че нейният личен състав, командирован за участие в дадена операция, осигурява защита на КИЕС в съответствие с правилата за сигурност на Съвета и допълнителните насоки, издадени от компетентните органи, включително от командната верига на операцията.

26. Ако впоследствие между Съюза и участващата трета държава или международна организация бъде сключено споразумение за сигурност на информацията, споразумението за сигурност на информацията заменя разпоредбите относно обмена на класифицирана информация, установени в рамково споразумение за участие, ad hoc споразумение за участие или ad hoc административна договореност, що се отнася до обмена на КИЕС и работата с нея.

27. По силата на рамково споразумение за участие, ad hoc споразумение за участие или ad hoc административна договореност с трета държава или международна организация не се разрешава обмен на КИЕС чрез електронни средства, освен ако това не е изрично предвидено във въпросното споразумение или договореност.

28. КИЕС, създадена за целите на операция по линия на ОПСО, може да бъде разкрита на членове на личния състав, командирован за участие в съответната операция от трети държави или международни организации в съответствие с точки 22—27. Когато на такива членове на личния състав се разрешава достъп до КИЕС в помещенията или в КИС на операция по линия на ОПСО, се прилагат мерки (включително регистриране на разкритата КИЕС) за намаляване на риска от загуба или компрометиране на информация. Тези мерки се определят в съответните документи за планиране или осъществяване на мисията.

29. При липса на споразумение за сигурност на информацията предаването на КИЕС в случай на конкретна и непосредствена оперативна необходимост на приемащата държава, на чиято територия се провежда операцията по линия на ОПСО, може да се регламентира от административна договореност, сключвана от върховния представител. Такава възможност се предвижда в решението за създаване на съответната операция по линия на ОПСО. Предоставената при тези обстоятелства КИЕС се ограничава до информацията, създадена за целите на операцията по линия на ОПСО, и е с ниво на класификация за сигурност, не по-високо от RESTREINT UE/EU RESTRICTED, освен ако в решението за създаване на операцията по линия на ОПСО не е предвидено по-високо ниво на класификация за сигурност. По силата на такава административна договореност от приемащата държава се изисква да осигури защита на КИЕС съобразно минимални стандарти, които са не по-малко стриктни от установените в настоящото решение.

30. При липса на споразумение за сигурност на информацията предоставянето на КИЕС на имащи отношение трети държави или международни организации, които не са сред участващите в операция по линия на ОПСО, може да се регламентира от административна договореност, сключвана от върховния представител. Ако е целесъобразно, тази възможност и условията, с които тя е обвързана, се посочват в решението за създаване на операцията по линия на ОПСО. Предоставената при тези обстоятелства КИЕС се ограничава до информацията, създадена за целите на операцията по линия на ОПСО и е с ниво на класификация за сигурност, не по-високо от RESTREINT UE/EU RESTRICTED, освен ако в решението за създаване на операцията по линия на ОПСО не е предвидено по-високо ниво на класификация за сигурност. По силата на такава административна договореност от въпросната трета държава или международната организация се изисква да осигури защита на КИЕС съобразно минимални стандарти, които са не по-малко стриктни от установените в настоящото решение.

31. Не се изискват договорености за изпълнение или посещения за оценка, преди да бъдат приложени разпоредбите за предоставяне на КИЕС в контекста на точки 22, 23 и 24.

32. Когато не е създадена рамка в съответствие с раздели III—V и когато Съветът или някой от подготвителните му органи преценят, че е налице извънредна необходимост от предоставяне на КИЕС на трета държава или международна организация, ГСС:

33. Ако Комитетът по сигурността издаде препоръка в полза на предоставянето на КИЕС, въпросът се отнася до Комитета на постоянните представители (Корепер), който взема решение за предоставяне на информацията.

34. Ако в препоръката на Комитета по сигурността не се подкрепя предоставянето на КИЕС:

35. Когато се счете за целесъобразно и с предварителното писмено съгласие на създателя, Корепер може да реши класифицираната информация да бъде предоставена само частично или само ако предварително бъде понижено или премахнато нивото на класификацията ѝ, или да реши информацията, която се предоставя, да бъде изготвена без позоваване на източника или на първоначалното ниво на класификация за сигурност на ЕС.

36. След решение за предоставяне на КИЕС ГСС изпраща съответния документ с обозначение, че подлежи на предоставяне, в което се посочва третата държава или международната организация, на която се предоставя. Преди или при самото предоставяне на КИЕС въпросната трета страна писмено потвърждава, че поема задължение за защита на получената от нея КИЕС в съответствие с основните принципи и минималните стандарти, установени в настоящото решение.

37. Когато съществува рамка в съответствие с точка 2 за обмен на класифицирана информация с трета държава или международна организация, Съветът взема решение да оправомощи генералния секретар, в съответствие с принципа на съгласие на създателя на информацията, за предоставяне на КИЕС на въпросната трета държава или международна организация. Генералният секретар може да делегира такова правомощие на висши служители на ГСС.

38. При наличие на споразумение за сигурност на информацията в съответствие с точка 2, първо тире Съветът може да вземе решение за упълномощаване на върховния представител да предостави на съответната трета държава или международна организация КИЕС, създадена от Съвета в областта на Общата външна политика и политика на сигурност, след получаване на съгласието на създателя на всеки материал, използван в информацията. Върховният представител може да делегира това правомощие на висши служители на ЕСВД или на специални представители на ЕС.

39. При наличие на рамка в съответствие с точка 2 или точка 3 за обмен на класифицирана информация с трета държава или международна организация върховният представител се оправомощава да предоставя КИЕС съгласно решението за създаване на съответната операция по линия на ОПСО и принципа на съгласие на създателя на информацията. Върховният представител може да делегира това правомощие на висши служители на ЕСВД, на командващи операции, сили или мисии на ЕС или на ръководителите на мисии на ЕС.