РЕШЕНИЕ (ЕС, Евратом) 2015/444 НА КОМИСИЯТА

от 13 март 2015 година

относно правилата за сигурност за защита на класифицираната информация на EC

ЕВРОПЕЙСКАТА КОМИСИЯ,

като взе предвид Договора за функционирането на Европейския съюз, и по-специално член 249 от него,

като взе предвид Договора за създаване на Европейската общност за атомна енергия, и по-специално член 106 от него,

като взе предвид приложения към Договорите Протокол № 7 за привилегиите и имунитетите на Европейските общности, и по-специално член 18 от него,

като има предвид, че:

ПРИЕ НАСТОЯЩОТО РЕШЕНИЕ:

ГЛАВА 1

ОСНОВНИ ПРИНЦИПИ И МИНИМАЛНИ СТАНДАРТИ

Член 1

Определения

За целите на настоящото решение се прилагат следните определения:

Член 2

Предмет и приложно поле

1.   С настоящото решение се установяват основните принципи и минималните стандарти за сигурност с оглед защитата на КИЕС.

2.   Настоящото решение се прилага от всички служби на Комисията и във всички помещения на Комисията.

3.   Независимо от евентуални конкретни указания, касаещи специфични групи служители, настоящото решение се прилага за членовете на Комисията, служителите на Комисията, попадащи в обхвата на Правилника за длъжностните лица и Условията за работа на другите служители на ЕС, командированите национални експерти (КНЕ) в Комисията, доставчиците на услуги и техните служители, стажантите и всички лица, имащи достъп до сгради или други активи на Комисията или до информация, с която Комисията работи.

4.   Разпоредбите на настоящото решение не засягат Решение 2002/47/ЕО (ЕОВС, Евратом) и Решение 2004/563/ЕО (Евратом).

Член 3

Определение за КИЕС, нива на класификация за сигурност и грифове

1.   „Класифицирана информация на Европейския съюз“ (КИЕС) означава всяка информация или материал, носещи гриф за сигурност на ЕС, неразрешеното разкриване на които би могло да увреди в различна степен интересите на Европейския съюз или на една или повече от държавите членки.

2.   Всяка КИЕС се класифицира на някое от следните нива:

а)   TRÈS SECRET UE/EU TOP SECRET: информация и материали, неразрешеното разкриване на които би могло да увреди изключително сериозно съществените интереси на Европейския съюз или на една или повече от държавите членки.

б)   SECRET UE/EU SECRET: информация и материали, неразрешеното разкриване на които би могло да увреди сериозно съществените интереси на Европейския съюз или на една или повече от държавите членки.

в)   CONFIDENTIEL UE/EU CONFIDENTIAL: информация и материали, неразрешеното разкриване на които би могло да увреди съществените интереси на Европейския съюз или на една или повече от държавите членки.

г)   RESTREINT UE/EU RESTRICTED: информация и материали, неразрешеното разкриване на които би се отразило неблагоприятно на интересите на Европейския съюз или на една или повече от държавите членки.

3.   КИЕС носи гриф за сигурност в съответствие с параграф 2. Може да се добавят и допълнителни обозначения, които не представляват гриф за сигурност, но имат за цел да се посочи сферата на дейност, до която се отнася класифицираната информация, да се идентифицира създателят ѝ, да се ограничи разпределението ѝ, да се ограничи ползването ѝ или да се обозначи доколко тази информация подлежи на предоставяне.

Член 4

Управление на класификацията

1.   Всеки член на Комисията или служба на Комисията прави необходимото създаваната от тях КИЕС да бъде подходящо класифицирана, ясно обозначена като КИЕС и да запазва нивото си на класификация само докато това е необходимо.

2.   Без да се засяга член 26 по-долу, нивото на класификация на КИЕС не се понижава или тя не се декласифицира, нито някой от посочените в член 3, параграф 2 грифове се изменя или премахва без предварителното писмено съгласие на създателя на информацията.

3.   Където това е подходящо, в съответствие с член 60 по-долу се приемат правила за прилагане по отношение на КИЕС, включително практически насоки за класифициране на информацията.

Член 5

Защита на класифицираната информация

1.   На КИЕС се осигурява защита в съответствие с настоящото решение и правилата за неговото прилагане.

2.   Притежателят на КИЕС отговаря за нейната защита, в съответствие с разпоредбите на настоящото решение и правилата за неговото прилагане, съгласно правилата, посочени в Глава 4 по-долу.

3.   Когато държавите членки въвеждат в структурите или мрежите на Комисията класифицирана информация, обозначена с национален гриф за сигурност, Комисията осигурява защита на тази информация в съответствие с изискванията, приложими към КИЕС на съответстващото ниво, съгласно съдържащата се в Приложение I таблица на съответствията на нивата на класификация за сигурност.

4.   За даден масив от КИЕС може да се наложи защита на по-високо ниво на класификация отколкото на отделните му компоненти.

Член 6

Управление на риска за сигурността

1.   Мерките за сигурност за защита на КИЕС за целия ѝ жизнен цикъл съответстват по-конкретно на нивото на класификацията ѝ за сигурност, формата и обема на информацията или материалите, местоположението и конструкцията на структурите, в които се намира КИЕС, както и оценката на местно ниво на риска от злонамерени и/или престъпни действия, включително шпионаж, саботаж и тероризъм.

2.   Плановете за действие при извънредни ситуации отчитат необходимостта от защита на КИЕС в извънредни ситуации, за да се предотврати неразрешен достъп, разкриване или загуба на интегритета или наличността.

3.   В плановете за непрекъснатост на дейността на всички служби се включват мерки за предотвратяване и възстановяване с оглед да се намали въздействието на сериозни системни грешки или инциденти при работа с КИЕС и нейното съхранение.

Член 7

Прилагане на настоящото решение

1.   Където това е необходимо, в съответствие с член 60 по-долу се приемат правила за прилагане в допълнение или в подкрепа на настоящото решение.

2.   Службите на Комисията предприемат всички необходими мерки в рамките на техните правомощия, за да гарантират прилагането на настоящото решение и на съответните правила за прилагане при работа с КИЕС или при нейното съхраняване.

3.   Мерките за сигурност, предприемани при прилагането на настоящото решение съответстват на принципите на сигурността в Комисията, заложени в член 3 на Решение 2015/443 (ЕС, Евратом).

4.   Генералният директор на ГД „Човешки ресурси и сигурност“ създава орган по сигурността на Комисията в рамките на ГД „Човешки ресурси и сигурност“. Органът по сигурността на Комисията изпълнява задълженията, възложени му с настоящото решение и правилата за неговото прилагане.

5.   Местният служител по сигурността (МСС) на всяка служба на Комисията, посочен в член 20 на Решение 2015/443 (ЕС, Евратом), изпълнява следните общи дейности по защитата на КИЕС в съответствие с настоящото решение, в тясно сътрудничество с генералния директор на ГД „Човешки ресурси и сигурност“:

Член 8

Нарушения на сигурността и компрометиране на КИЕС

1.   До нарушение на сигурността се стига в резултат на действие или бездействие от физическо лице, което противоречи на правилата за сигурност, установени в настоящото решение и правилата за неговото прилагане.

2.   Компрометиране на КИЕС е налице когато в резултат от нарушение на сигурността тя бъде изцяло или частично разкрита пред неоправомощени лица.

3.   Всяко нарушение на сигурността или подозрение за такова нарушение се докладва незабавно на органа по сигурността на Комисията.

4.   Когато е известно или когато има достатъчно основания да се приеме, че КИЕС е компрометирана или изгубена, се осъществява проучване за надеждност в съответствие с член 13 на Решение 2015/443 (ЕС, Евратом).

5.   Предприемат се всички необходими мерки за:

6.   На всяко лице, отговорно за нарушение на правилата за сигурност, установени в настоящото решение, могат да бъдат наложени дисциплинарни мерки в съответствие с Правилника за длъжностните лица. Всяко лице, отговорно за компрометиране или загуба на КИЕС, подлежи на дисциплинарно и/или съдебно производство в съответствие с приложимите закони, правила и подзаконови актове.

ГЛАВА 2

МЕРКИ ЗА СИГУРНОСТ ПО ОТНОШЕНИЕ НА ПЕРСОНАЛА

Член 9

Определения

За целите на настоящата глава се прилагат следните определения:

Член 10

Основни принципи

1.   Физическо лице получава достъп до класифицирана информация само след като:

2.   Всички лица, на които за изпълнение на служебните задължения може да е необходим достъп до КИЕС с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL или по-високо, преминават проучване за надеждност за съответното ниво, преди да им бъде предоставен достъп до такава КИЕС. Засегнатото лице декларира в писмен вид, че е съгласно да бъде подложено на проучване за надеждност за издаване на разрешение за достъп. Липсата на подобно съгласие означава, че лицето не може да бъде назначено да изпълнява длъжност, функция или задача, включваща достъп до информация с ниво на класификация CONFIDENTIEL UE/EU CONFIDENTIAL или по-високо.

3.   Процедурите за проучване на персонала за надеждност имат за цел да се определи дали може да се даде разрешение за достъп до КИЕС на дадено физическо лице, като се имат предвид неговата лоялност и надеждност.

4.   Лоялността и надеждността на дадено лице за целите на издаването на разрешение за достъп до информация с ниво на класификация CONFIDENTIEL UE/EU CONFIDENTIAL или по-високо се определят чрез провеждане на проучване за надеждност от компетентните органи на държава членка в съответствие с нейните национални законови и подзаконови актове.

5.   Органът по сигурността на Комисията единствен отговаря за връзките с националните органи за сигурност (НОС) или други компетентни национални органи в контекста на всички въпроси, свързани с проучванията за надеждност. Всички контакти между службите на Комисията и НОС и други компетентни органи се осъществяват посредством органа по сигурността на Комисията.

Член 11

Процедура за издаване на разрешение за достъп

1.   Всеки генерален директор или ръководител на служба в рамките на Комисията определя длъжностите в неговата служба, за които заемащите ги лица трябва да имат достъп до информация с ниво на класификация CONFIDENTIEL UE/EU CONFIDENTIAL или по-високо, за да изпълняват своите задължения и поради това е необходимо да им бъде издадено разрешение за достъп.

2.   Непосредствено след като бъде установено, че дадено лице предстои да бъде назначено на длъжност, изискваща достъп до информация с ниво на класификация CONFIDENTIEL UE/EU CONFIDENTIAL или по-високо, МСС на съответната служба на Комисията уведомява органа по сигурността на Комисията, който предава въпросника за проучването за надеждност на лицето, съставен от НОС на държавата членка, чийто гражданин е лицето, назначено в структурите на европейските институции. Лицето декларира в писмен вид съгласието си да бъде подложено на процедурата на проучването за надеждност и в най-кратък срок връща на органа по сигурността на Комисията попълнения въпросник.

3.   Органът по сигурността на Комисията препраща попълнения въпросник за проучването за надеждност на НОС на държавата членка, чийто гражданин е лицето, назначено в структурите на европейските институции, с искане за провеждане на проучване за надеждност за нивото на класификация на КИЕС, за което е лицето се нуждае от разрешение за достъп.

4.   Когато на органа по сигурността на Комисията стане известна информация от значение за проучването за надеждност на лице, подало искане за разрешение за достъп, органът по сигурността на Комисията уведомява за това съответния НОС в съответствие с приложимите правила и разпоредби.

5.   След приключването на проучването за надеждност и във възможно най-кратък срок след като бъде уведомен от съответния НОС за цялостната му оценка на резултатите от проучването за надеждност органът по сигурността на Комисията:

6.   Проучването за надеждност заедно с получените резултати се подчиняват на действащите законови и подзаконови актове на съответната държава членка в тази област, включително на актовете, отнасящи се до обжалването. Решенията на органа по сигурността на Комисията подлежат на обжалване в съответствие с Правилника за длъжностните лица.

7.   Комисията приема разрешенията за достъп до КИЕС, издадени от всяка друга институция, орган или агенция на Съюза, при условие че тези разрешения все още са валидни. Разрешението обхваща всяка задача, възложена на съответното лице в рамките на Комисията. Институцията, органът или агенцията на Съюза, в която лицето започва работа, уведомява съответния НОС за промяната на работодателя.

8.   Ако лицето не започне работа в рамките на 12 месеца от съобщаването на резултата от проучването за надеждност на органа по сигурността на Комисията или когато е налице прекъсване от 12 месеца, през които то не е било на работа в Комисията или в друга институция, орган или агенция на Съюза или в националната администрация на държава членка, органът по сигурността на Комисията се обръща към съответния НОС за потвърждаване на валидността и целесъобразността на разрешението за достъп.

9.   Когато на органа по сигурността на Комисията стане известна информация, че физическо лице, притежател на валидно разрешение за достъп, представлява риск за сигурността, органът по сигурността уведомява за това компетентния НОС в съответствие с приложимите правила и разпоредби.

10.   Когато НОС уведоми органа по сигурността на Комисията, че оттегля уверение, дадено в съответствие с параграф 5, буква а) за лице, разполагащо с валидно разрешение за достъп до КИЕС, органът по сигурността на Комисията може да отправи искане за всякакъв вид пояснения, които НОС може да предостави съгласно националните законови и подзаконови актове. Ако неблагоприятната информация бъде потвърдена от съответния НОС, разрешението за достъп се оттегля и лицето се изключва от достъп до КИЕС и от длъжности, където е възможен такъв достъп или където то може да представлява опасност за сигурността.

11.   Всяко решение за отнемане или временно преустановяване на разрешение за достъп до КИЕС на всяко лице, попадащо в приложното поле на настоящото решение и, когато това е уместно, основанията за него, се съобщават на засегнатото лице, което може да поиска да бъде изслушано от органа по сигурността на Комисията. Информацията, предоставена от НОС, се подчинява на действащите законови и подзаконови актове на съответната държава членка. Решенията, взети в тази връзка от органа по сигурността на Комисията, подлежат на обжалване в съответствие с Правилника за длъжностните лица.

12.   Службите на Комисията се уверяват, че националните експерти, командировани в тях на длъжност, изискваща разрешение за достъп до КИЕС, са предоставили преди назначаването си валидно РДС или удостоверение за разрешение за достъп на служител (УРДС), в съответствие с националните законови и подзаконови актове, на органа по сигурността на Комисията, който на основание на това разрешение издава разрешение за достъп до КИЕС до нивото на класификация, посочено в националното разрешение за достъп, като валидността му не може да надвишава продължителността на командироването.

13.   Членовете на Комисията, които имат достъп до КИЕС по силата на изпълняваните от тях функции въз основа на Договора преминават инструктаж във връзка със задълженията им по защитата на КИЕС.

14.   Документите, свързани с проучванията за надеждност и издадените разрешения за достъп до КИЕС се съхраняват от органа по сигурността на Комисията в съответствие с настоящото решение. Като минимум регистрите съдържат информация за нивото на КИЕС, до което може да бъде даден достъп на лицето, датата на издаване на разрешението за достъп и срокът му на валидност.

15.   Органът по сигурността на Комисията може да издаде УРДС, в което са посочени нивото на класификация на КИЕС, до което лицето може да получи достъп (CONFIDENTIEL UE/EU CONFIDENTIAL или по-високо), срокът на валидност на съответното разрешение за достъп до КИЕС и датата на изтичане на валидността на самото удостоверение.

16.   След първоначалното издаване на разрешение за достъп и при условие че лицето не е прекъсвало работата си в Европейската комисия или в друга институция, орган или агенция на Съюза и все още има нужда от достъп до КИЕС, разрешението за достъп до КИЕС се подлага на преразглеждане с цел неговото подновяване, което по правило се извършва на всеки пет години, считано от датата на уведомлението за последното проучване за надеждност, въз основа на което е издадено.

17.   Органът по сигурността на Комисията може да удължи срока на валидност на издадено разрешение за достъп с до 12 месеца, ако от съответния НОС не е получена неблагоприятна информация в рамките на два месеца, считано от датата на представяне на искането за подновяване и съответния въпросник за проучването за надеждност. В случай, че при изтичането на този 12-месечен срок съответният НОС или компетентен национален орган не е уведомил органа по сигурността на Комисията за своето становище, на лицето се възлагат задачи, за чието изпълнение не е необходимо разрешение за достъп.

Член 12

Инструктажи във връзка с издаването на разрешение за достъп

1.   След преминаването на инструктаж във връзка с издаването на разрешение за достъп, организиран от органа по сигурността на Комисията, всички лица, на които е издадено разрешение за достъп декларират писмено, че са запознати със задълженията си по отношение на защитата на КИЕС и последиците от компрометиране на КИЕС. Органът по сигурността на Комисията съхранява тези декларации.

2.   Всички лица, които имат разрешение за достъп до КИЕС или от които се изисква да работят с КИЕС, получават първоначална информация и биват впоследствие редовно информирани относно заплахите за сигурността и са длъжни незабавно да докладват на органа по сигурността на Комисията за всеки подход или дейност, които считат за подозрителни или необичайни.

3.   Всички лица, които престават да изпълняват задължения, изискващи достъп до КИЕС, биват информирани за задълженията им да продължат да опазват КИЕС, за което при нужда подписват декларация.

Член 13

Временни разрешения за достъп

1.   При извънредни обстоятелства, когато това е надлежно оправдано от интереса на работата и до завършване на цялостното проучване за надеждност, органът по сигурността на Комисията, след консултация с НОС на държавата членка, чийто гражданин е лицето и в зависимост от резултата от предварителната проверка за удостоверяване, че няма неблагоприятна информация, може да разреши на лицето временен достъп до КИЕС за изпълнение на конкретни задължения, без това да засяга разпоредбите относно подновяването на разрешенията за достъп. Временното разрешение за достъп до КИЕС има еднократна валидност, която не надвишава шест месеца и не дава право на достъп до информация с ниво на класификация за сигурност TRES SECRET UE/EU TOP SECRET.

2.   След като преминат инструктаж в съответствие с член 12, параграф 1, всички лица, на които е издадено временно разрешение за достъп декларират писмено, че са запознати със задълженията си по отношение на защитата на КИЕС и последиците от компрометирането на КИЕС. Органът по сигурността на Комисията съхранява тези декларации.

Член 14

Участие в класифицирани заседания, организирани от Комисията

1.   Службите на Комисията, отговарящи за организирането на заседания, на които ще се обсъжда информация с ниво на класификация CONFIDENTIEL UE/EU CONFIDENTIAL или по-високо информират чрез своя МСС или чрез организатора на заседанието органа по сигурността на Комисията достатъчно рано за датата, часа, мястото и участниците в такива заседания.

2.   При спазване на разпоредбите на член 11, параграф 13 лица, на които е възложено да участват в заседания, организирани от Комисията, на които ще се обсъжда информация с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL или по-високо, се допускат до участие само след потвърждаване на статуса им на лица с разрешение за достъп. Достъп до такива заседания се отказва на лица, за които на органа по сигурността на Комисията не е представен УРДС или друго доказателство за наличие на разрешение за достъп, както и на участници от Комисията, които не притежават разрешение за достъп.

3.   Преди организирането на класифицирано заседание отговорникът за организирането му или МСС на службата на Комисията, която организира заседанието, изискват от външните участници да представят на органа по сигурността на Комисията УРДС или друго доказателство за наличие на разрешение за достъп. Органът по сигурността на Комисията информира МСС или организатора на заседанието за получените УРДС или други доказателства за разрешения за достъп. Когато е приложимо, може да се използва единен списък с имена, който да предоставя съответно доказателство за разрешение за достъп.

4.   Когато компетентните органи уведомят органа по сигурността на Комисията за оттегляне на УДС на лице, чиито задължения налагат участието му в заседания, организирани от Комисията, органът по сигурността на Комисията уведомява МСС на службата на Комисията, отговорна за организирането на заседанието.

Член 15

Потенциален достъп до КИЕС

Куриерите, охранителите и придружителите преминават през проучване за надеждност на съответното ниво или се проучват по други начини в съответствие с националните законови и подзаконови актове, биват инструктирани относно процедурите за сигурност за защита на КИЕС и получават указания за задълженията им във връзка със защитата на поверената им информация.

ГЛАВА 3

ФИЗИЧЕСКА СИГУРНОСТ ЗА ЗАЩИТА НА КЛАСИФИЦИРАНА ИНФОРМАЦИЯ

Член 16

Основни принципи

1.   Мерките за физическа сигурност са предназначени за предотвратяване на тайно или насилствено проникване на нарушител, за възпиране, препятстване и разкриване на неразрешени действия и за даване на възможност за категоризиране на персонала по отношение на достъпа до КИЕС на основата на принципа „необходимост да се знае“. Тези мерки се определят чрез процедура за оценка на риска, в съответствие с настоящото решение и правилата за неговото прилагане.

2.   По-конкретно, мерките за физическа сигурност са предназначени да предотвратяват неразрешен достъп до КИЕС, като:

3.   Мерки за физическа сигурност се въвеждат във всички помещения, сгради, офиси, зали и други зони, в които се работи с КИЕС или се съхранява такава, включително в зони, в които се помещават комуникационни и информационни системи съгласно определението в Глава 5.

4.   Зони, в които се съхранява КИЕС с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL или по-високо, се определят като зони за сигурност в съответствие с настоящата глава и се одобряват от органа по акредитиране сигурността на Комисията.

5.   За защита на КИЕС с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL или по-високо се използват единствено устройства или оборудване одобрени от органа по сигурността на Комисията.

Член 17

Изисквания и мерки за физическа сигурност

1.   Мерките за физическа сигурност се избират въз основа на оценка на заплахите, изготвена от органа по сигурността на Комисията, при необходимост в консултация с други служби на Комисията, други институции, агенции или органи на Съюза и/или компетентните органи на държавите членки. Комисията прилага процес на управление на риска за защита на КИЕС в помещенията си, за да гарантира, че съобразно оценения риск се осигурява съразмерно равнище на физическа защита. В процеса на управление на риска се вземат предвид всички необходими фактори, и по-специално:

2.   Органът по сигурността на Комисията, като прилага концепцията за защита в дълбочина, определя подходящото съчетание от мерки за физическа сигурност, които да се приложат. За тази цел органът по сигурността на Комисията разработва минимални стандарти, норми и критерии, посочени в правилата за прилагане.

3.   Органът по сигурността на Комисията има право да извършва претърсване на влизащите или излизащите, което действа като възпиращ фактор по отношение на неразрешено внасяне на материали или изнасяне на КИЕС от помещения или сгради.

4.   При наличие на риск от пренебрегване на КИЕС, било то по случайност, съответните служби на Комисията предприемат подходящи мерки, определени от органа по сигурността на Комисията, за справяне с този риск.

5.   Изискванията за физическа сигурност и функционалните спецификации на нови съоръжения се определят със съгласието на органа по сигурността на Комисията като част от планирането и проектирането на тези съоръжения. Изискванията за физическа сигурност на съществуващи съоръжения се прилагат в съответствие с минималните стандарти, нормите и критериите, посочени в правилата за прилагане.

Член 18

Оборудване за физическа защита на КИЕС

1.   За физическа защита на КИЕС се създават два вида физически защитени зони:

2.   Органът по акредитиране на сигурността на Комисията определя дали дадена зона отговаря на изискванията за административна зона, зона за сигурност или техническа зона за сигурност.

3.   За административните зони:

4.   За зоните за сигурност:

5.   Когато влизането в зона за сигурност представлява на практика пряк достъп до класифицираната информация в нея, се прилагат следните допълнителни изисквания:

6.   Зони за сигурност, защитени срещу подслушване, се определят за технически зони за сигурност. Прилагат се следните допълнителни изисквания:

7.   Независимо от параграф 6, буква г), преди да се използват в зони, в които се провеждат заседания или се извършва дейност, включваща работа с информация с ниво на класификация за сигурност SECRET UE/EU SECRET и по-високо, и където степента на заплаха за КИЕС се оценява като висока, комуникационните средства и електрическото или електронното оборудване най-напред се проверяват от органа по сигурността на Комисията, за да се гарантира, че с това оборудване не може да се предаде, неволно или неправомерно, разбираема информация отвъд периметъра на зоната за сигурност.

8.   Зоните за сигурност, в които няма денонощно присъствие на дежурен персонал, се проверяват, когато това е уместно, в края на установеното работно време и на произволни интервали извън установеното работно време, освен ако не е инсталирана алармена система против проникване.

9.   Зони за сигурност и технически зони за сигурност могат да бъдат временно създадени в рамките на административна зона за целите на класифицирано заседание или други подобни цели.

10.   МСС на съответната служба на Комисията изготвя оперативни процедури за сигурност (ОПС) за всяка зона за сигурност, за която отговаря, като посочва, в съответствие с разпоредбите на настоящото решение и правилата за неговото прилагане:

11.   В рамките на зоните за сигурност се изграждат блиндирани помещения. Стените, подовете, таваните, прозорците и вратите с ключалки се одобряват от органа по сигурността на Комисията и осигуряват защита, равностойна на тази на сейф от категорията, одобрена за съхранение на КИЕС със същото ниво на класификация за сигурност.

Член 19

Физически защитни мерки за работна с КИЕС и нейното съхранение

1.   С КИЕС с ниво на класификация за сигурност RESTREINT UE/EU RESTRICTED може да се работи:

2.   КИЕС с ниво на класификация за сигурност RESTREINT UE/EU RESTRICTED се съхранява в подходящи заключващи се офис мебели в административна зона или в зона за сигурност. Тя може да се съхранява временно извън административна зона или зона за сигурност, при условие че притежателят се е ангажирал да спазва компенсаторните мерки, посочени в правилата за прилагане.

3.   С КИЕС с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL или SECRET UE/EU SECRET може да се работи:

4.   КИЕС с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL и SECRET UE/EU SECRET се съхранява в зона за сигурност в сейф или блиндирано помещение.

5.   С КИЕС с ниво на класификация за сигурност TRES SECRET UE/EU TOP SECRET се работи в зона за сигурност, създадена и поддържана от органа по сигурността на Комисията и акредитирана за това ниво на класификация от органа по акредитиране на сигурността на Комисията.

6.   КИЕС с ниво на класификация за сигурност TRÉS SECRET UE/EU TOP SECRET се съхранява в зона за сигурност, акредитирана за това ниво на класификация от органа по акредитиране на сигурността на Комисията, при някое от следните условия:

Член 20

Контрол на ключовете и комбинациите, използвани за защита на КИЕС

1.   Процедурите за контрол на ключовете и шифровите комбинации за офисите, залите, блиндираните помещения и сейфовете се установяват в правилата за прилагане в съответствие с член 60 по-долу. Тези процедури осигуряват защита срещу неразрешен достъп.

2.   Шифровите комбинации се запаметяват от възможно най-малък брой лица на основание „необходимост да се знае“. Шифровите комбинации за сейфовете и блиндираните помещения, в които се съхранява КИЕС, се променят:

ГЛАВА 4

УПРАВЛЕНИЕ НА КЛАСИФИЦИРАНА ИНФОРМАЦИЯ НА ЕС

Член 21

Основни принципи

1.   Всички документи, представляващи КИЕС, се управляват в съответствие с политиката на Комисията по отношение на управлението на документацията и впоследствие се регистрират, завеждат, съхраняват и накрая се унищожават, прави им се извадка или се прехвърлят в историческия архив в съответствие с общия за Комисията списък за съхранение на досиета на Европейската комисия.

2.   Информация с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL или по-високо се регистрира за целите на сигурността преди нейното разпространение и при получаването ѝ. Информация с ниво на класификация за сигурност TRÉS SECRET UE/EU TOP SECRET се регистрира в специални регистратури.

3.   В Комисията се създава система от регистратури на КИЕС в съответствие с разпоредбите на член 27.

4.   Службите и помещенията на Комисията, в които се работи с КИЕС или се съхранява такава, подлежат на редовни проверки от органа по сигурността на Комисията.

5.   КИЕС се предава между различните служби и помещения извън физически защитените зони, както следва:

Член 22

Класификация и обозначения

1.   Информацията се класифицира, когато е необходимо да бъде защитена от съображения за поверителност, в съответствие с член 3, параграф 1.

2.   Създателят на КИЕС отговаря за определянето на нивото на класификацията за сигурност, в съответствие със съответните правила за прилагане, както и за първоначалното разпространение на информацията.

3.   Нивото на класификация на КИЕС се определя в съответствие с член 3, параграф 2 и при спазване на съответните правила за прилагане.

4.   Класификацията за сигурност се посочва ясно и точно, независимо дали КИЕС е на хартия, в устна, електронна или друга форма.

5.   Отделни части от даден документ (т.е. страници, параграфи, раздели, приложения, допълнения, добавки и притурки) може да изискват различно ниво на класификация за сигурност, за което се поставя съответният гриф, включително когато се съхраняват в електронен вид.

6.   Нивото, на което се класифицира даден документ или файл, е не по-ниско от най-високото ниво на класификация за сигурност на негов елемент. Когато се обединява информация от различни източници, се прави преглед на окончателния продукт, за да се определи цялостното ниво на класификация за сигурност, тъй като може да е необходимо той да бъде с по-високо ниво на класификация от това на съставните му части.

7.   Доколкото е възможно, документите, съдържащи части с различни нива на класификация, се структурират така, че частите с различни нива на класификация да могат лесно да се идентифицират и отделят при необходимост.

8.   Класификацията на писмо или записка, включващи приложения, съответства на най-високата степен на класификация на тези приложения. Създателят ясно обозначава нивото на класификация на основния документ без приложенията, като използва подходящ гриф, например:

Член 23

Обозначения

В допълнение към един от грифовете за сигурност, посочени в член 3, параграф 2, КИЕС може да носи допълнителни обозначения, като:

Член 24

Съкратено обозначаване на класификацията

1.   За обозначаване на нивото на класификация на отделни параграфи от текста могат да се използват стандартни съкращения на нивата на класификация. Пълното название на грифовете за сигурност не се заменя със съкратени обозначения.

2.   В класифицирани документи на ЕС за обозначаване на нивото на класификация на раздели или части от текст, по-малки от една страница, могат да се използват следните стандартни съкращения:

Член 25

Създаване на КИЕС

1.   При създаване на класифициран документ на ЕС:

2.   При невъзможност за прилагане на параграф 1 към КИЕС се вземат други подходящи мерки в съответствие с правилата за прилагане.

Член 26

Понижаване на нивото на класификация и декласификация на КИЕС

1.   При създаването на информацията създателят обозначава, когато е възможно, дали класификацията на КИЕС може да бъде понижена или премахната на определена дата или след настъпване на определено събитие.

2.   Всяка служба на Комисията извършва редовен преглед на КИЕС, на която е създател, за да установи дали нивото на класификация продължава да е приложимо. Посредством правилата за прилагане се създава система за преразглеждане на нивото на класификация на регистрираната КИЕС, създадена от Комисията, не по-рядко от всеки пет години. Такъв преглед не се налага, ако от самото начало създателят е посочил, че нивото на класификация на информацията ще бъде автоматично понижено или че класификацията ще бъде премахната и информацията носи съответното обозначение.

3.   Информация с ниво на класификация за сигурност RESTREINT UE/EU RESTRICTED, създадена от Комисията, се декласифицира автоматично след тридесет години, в съответствие с Регламент (ЕИО, Евратом) № 354/83 на Съвета, изменен с Регламент (ЕО, Евратом) № 1700/2003 на Съвета (10).

Член 27

Система от регистратури на КИЕС в Комисията

1.   Без да се засягат разпоредбите на член 52, параграф 5 по-долу, във всяка служба на Комисията, която работи с КИЕС или съхранява КИЕС с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL и SECRET UE/EU SECRET, се създава местна регистратура на КИЕС, за да се гарантира, че с КИЕС се работи в съответствие с разпоредбите на настоящото решение.

2.   Управляваната от генералния секретариат регистратура на КИЕС е централната регистратура на КИЕС на Комисията. Тя действа като:

3.   Органът по сигурността на Комисията определя регистратура, която да играе ролята на централен орган за получаване и изпращане на информация с ниво на класификация за сигурност TRÉS SECRET UE/EU TOP SECRET. При необходимост могат да се определят и подчинени регистратури, в които да се работи с такава информация с цел регистрация.

4.   Тези подчинени регистратури не могат да предават документи с ниво на класификация за сигурност TRÉS SECRET UE/EU TOP SECRET пряко на други регистратури, подчинени на същата централна регистратура за документи с класификация TRÉS SECRET UE/EU TOP SECRET, или на външни получатели без изричното писмено одобрение на последната.

5.   Регистратурите на КИЕС имат статут на зони за сигурност по смисъла на Глава 3 и се акредитират от органа по акредитиране на сигурността на Комисията (ОАС).

Член 28

Ръководител на регистратурата

1.   Всяка регистратура на КИЕС се управлява от ръководител на регистратурата (РР).

2.   Ръководителят на регистратурата е преминал подходяща проверка за надеждност.

3.   МСС на съответната служба на комисията осъществява надзор върху работата на ръководителя на регистратурата по отношение на прилагането на разпоредбите относно работата с КИЕС и спазването на приложимите правила, стандарти и насоки за сигурност.

4.   Като част от задълженията си по управлението на поверената му регистратура на КИЕС ръководителят на регистратурата поема следните общи задачи в съответствие с разпоредбите на настоящото решение и съответните правила за прилагане, стандарти и насоки:

Член 29

Регистрация на КИЕС за целите на сигурността

1.   За целите на настоящото решение регистрация за целите на сигурността (наричана по-долу „регистрация“) означава прилагането на процедури за отбелязване на жизнения цикъл на КИЕС, включително нейното разпространение.

2.   Всяка информация или материал с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL и по-високо се регистрира в определени за целта регистратури при постъпването ѝ в дадена организационна единица и при излизането ѝ от нея.

3.   При работа с КИЕС или при съхраняване на КИЕС посредством комуникационна и информационна система (КИС), процедурите по регистрацията може да се изпълняват от процеси в самата КИС.

4.   Регистрацията на КИЕС за целите на сигурността е уредена по-подробно в правилата за прилагане.

Член 30

Копиране и превеждане на класифицирани документи на ЕС

1.   Документи с ниво на класификация за сигурност TRÉS SECRET UE/EU TOP SECRET не може да се копират или превеждат без предварителното писмено съгласие на създателя им.

2.   Когато създателят на документи с ниво на класификация за сигурност SECRET UE/EU SECRET и по-ниско не е поставил предупредителни обозначения за тяхното копиране или превеждане, документите могат да бъдат копирани или превеждани по указание на притежателя.

3.   Мерките за сигурност, приложими към оригиналния документ, се прилагат и за неговите копия и преводи.

Член 31

Пренасяне на КИЕС

1.   КИЕС се пренася по начин, който я предпазва от неразрешено разкриване по време на пренасянето.

2.   При пренасянето на КИЕС се предприемат защитни мерки, които:

3.   Тези защитни мерки се уреждат подробно в правилата за прилагане или, в случай на проекти и програми по смисъла на член 42, като неразделна част от съответните инструкции за сигурност на програмата или проекта (ИСП).

4.   Правилата за прилагане или ИСП включват разпоредби, съразмерни с нивото на класификация на КИЕС, относно:

5.   Когато КИЕС се пренася на електронен носител и независимо от разпоредбите на член 21, параграф 5, защитните мерки, посочени в съответните правила за прилагане могат да бъдат допълнени с подходящи технически контрамерки, одобрени от органа по сигурността на Комисията, така че да се сведе до минимум рискът тя да бъде загубена или компрометирана.

Член 32

Унищожаване на КИЕС

1.   Класифицирани документи на ЕС, които вече не са необходими, могат да бъдат унищожени, като се вземат предвид разпоредбите за архивиране и правилата и разпоредбите на Комисията за управлението на документацията и архивирането, и по-специално общият за Комисията списък за съхранение.

2.   КИЕС с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL и по-високо се унищожават от ръководителя на отговарящата за тях регистратура на КИЕС по указание на притежателя или на компетентен орган. Ръководителят на регистратурата актуализира съответно дневниците и останалата информация за регистрацията.

3.   Унищожаването на документи с ниво на класификация за сигурност SECRET UE/EU SECRET или TRÉS SECRET UE/EU TOP SECRET се извършва от ръководителя на регистратурата в присъствието на свидетел, който притежава разрешение за достъп до ниво на класификация за сигурност най-малко на нивото на документа, който се унищожава.

4.   Регистраторът и свидетелят, когато се изисква присъствие на такъв, подписват удостоверение за унищожаване, което се завежда в регистратурата. Ръководителят на съответната регистратура на КИЕС съхранява удостоверенията за унищожаване на документи с ниво на класификация за сигурност TRÉS SECRET UE/EU TOP SECRET за срок от най-малко 10 години, а на документи с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL или SECRET UE/EU SECRET — за срок от най-малко пет години.

5.   Класифицирани документи, включително с ниво на класификация за сигурност RESTREINT UE/EU RESTRICTED, се унищожават по начини, определени в правилата за прилагане и отговарящи на съответните стандарти на ЕС или равностойни на тях.

6.   Компютърни средства за съхранение на КИЕС се унищожават в съответствие с процедурите, установени в правилата за прилагане.

Член 33

Унищожаване на КИЕС в извънредни ситуации

1.   Службите на Комисията, които притежават КИЕС, изготвят планове въз основа на местните условия за опазване на класифицирани материали на ЕС при криза, включващи при необходимост планове за спешно унищожаване и евакуация. Те издават необходимите указания за предотвратяване на попадането на КИЕС в ръцете на неоправомощени лица.

2.   Мерките за безопасно съхраняване и/или унищожаване на материали с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL и SECRET UE/EU SECRET по време на криза не следва при никакви обстоятелства да се отразяват неблагоприятно на безопасното съхраняване или на унищожаването на материали с ниво на класификация са сигурност TRÉS SECRET UE/EU TOP SECRET, включително и на шифриращото оборудване, чието третиране има предимство пред всички останали задачи.

3.   При извънредна ситуация и наличие на непосредствен риск от неразрешено разкриване КИЕС се унищожава от притежателя ѝ по начин, който прави невъзможно цялостното или частичното възстановяване на информацията. Създателят на информацията и регистърът, от който е получена информацията, биват информирани за извънредната ситуация, наложила унищожаването на КИЕС.

4.   Унищожаването на КИЕС е уредено по-подробно в правилата за прилагане.

ГЛАВА 5

ЗАЩИТА НА КЛАСИФИЦИРАНА ИНФОРМАЦИЯ НА ЕС В КОМУНИКАЦИОННИ И ИНФОРМАЦИОННИ СИСТЕМИ (КИС)

Член 34

Основни принципи на осигуреността на информацията

1.   Осигуреност на информацията (ОИ) в областта на комуникационните и информационните системи е увереността, че тези системи ще осигурят защита на информацията, с която се работи в тях, и че ще функционират както и когато е необходимо, под контрола на легитимни ползватели.

2.   Ефективната осигуреност на информацията гарантира подходящи равнища на:

3.   ОИ се основава на процес за управление на риска.

Член 35

Определения

За целите на настоящата глава се прилагат следните определения:

Член 36

Работа с КИЕС в КИС

1.   КИС работят с КИЕС в съответствие с концепцията за ОИ.

2.   За КИС, в които се работи с КИЕС, съответствието с политиката на сигурност по отношение на информационните системи на Комисята, посочена в Решение C(2006) 3602 (11) на Комисията, означава че:

3.   Всички служители, участващи в проектирането, разработването, изпитването, функционирането, управлението или ползването на КИС, в които се работи с КИЕС, уведомяват ОАС за всички потенциални слабости в сигурността, инциденти, нарушения на сигурността или случаи на компрометиране на сигурността, които биха могли да окажат въздействие върху защитата на КИС и/или съдържащата се в тях КИЕС.

4.   Когато защитата на КИЕС се осигурява от криптографски продукти, такива продукти се одобряват, както следва:

5.   При предаване, обработване и съхраняване на КИЕС чрез електронни средства се използват одобрени криптографски продукти. Въпреки това изискване, при извънредни обстоятелства могат да се прилагат специфични процедури или специфични технически конфигурации след одобряването им от ОКО.

6.   С цел защита на КИС, в които се работи с информация с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL или по-високо по начин, който да не допуска информацията да бъде компрометирана чрез неумишлени електромагнитни излъчвания се прилагат мерки за сигурност на информацията („мерки за сигурност по TEMPEST“). Тези мерки за сигурност са съизмерими с риска от експлоатация и нивото на класификация на информацията.

7.   Органът по сигурността на Комисията изпълнява следните функции:

8.   Органът по сигурността на Комисията определя оперативен орган по ОИ за всяка система.

9.   Отговорностите на функциите, описани в параграфи 7 и 8, се определят в правилата за прилагане.

Член 37

Акредитация на КИС, работещи с КИЕС

1.   Всички КИС, в които се работи с КИЕС, преминават през процес на акредитация, основаващ се на принципите на ОИ, чиято задълбоченост трябва да бъде съразмерна с равнището на необходимата защита.

2.   Процесът на акредитация включва официално валидиране от органа по акредитиране на сигурността на плана за сигурност на съответната КИС, за да се получат гаранции, че:

3.   Органът по акредитиране на сигурността на Комисията издава декларация за акредитация, в която се определя най-високото ниво на класификация за сигурност на КИЕС, с която може да се работи в дадена КИС, както и съответните изисквания и условия за това. Това не засяга задачите, възложени на Съвета по акредитиране на сигурността по смисъла на член 11 от Регламент (ЕС) № 512/2014 на Европейския парламент и на Съвета (12).

4.   Акредитацията на КИС на Комисията, в които участват няколко страни, се извършва от съвместен Съвет по акредитиране на сигурността (САС). Той се състои от представител на ОАС на всяка участваща страна и се председателства от представител на ОАС на Комисията.

5.   Процесът на акредитация се състои от редица задачи, които се изпълняват от участващите страни. Отговорност за изготвянето на акредитационните досиета и документи носи изцяло собственикът на КИС.

6.   Отговорност за акредитацията носи ОАС на Комисията, който във всеки момент от жизнения цикъл на КИС има право:

7.   Процесът на акредитация се установява чрез стандарт за процес на акредитация на КИС, в които се работи с КИЕС, който се приема в съответствие с член 10, параграф 3 от Решение C(2006) 3602.

Член 38

Извънредни обстоятелства

1.   Независимо от разпоредбите на настоящата глава, описаните по-долу специални процедури могат да се прилагат в извънредни ситуации, например по време на предстояща или настояща криза, конфликт, състояние на война или при извънредни оперативни обстоятелства.

2.   КИЕС може да се предава, като се използват криптографски продукти, одобрени за по-ниско ниво на класификация за сигурност, или без да се криптира, със съгласието на компетентния орган, в случай че евентуално забавяне би причинило очевидно по-голяма вреда от тази, произтичаща от разкриване на класифицирания материал, и ако:

3.   Класифицираната информация, предавана при описаните в параграф 1 обстоятелства, не носи грифове за сигурност или обозначения, които да я отличават от некласифицираната информация или от информацията, която може да бъде защитена с наличен криптографски продукт. Получателите се уведомяват незабавно за нивото на класификация с други средства.

4.   Впоследствие се изготвя доклад до компетентния орган и до Експертната група по сигурността на Комисията.

ГЛАВА 6

ИНДУСТРИАЛНА СИГУРНОСТ

Член 39

Основни принципи

1.   Индустриалната сигурност представлява прилагане на мерки за гарантиране на защитата на КИЕС

2.   Такива договори или споразумения за безвъзмездно финансиране не включват информация с ниво на класификация за сигурност TRES SECRET UE/EU TOP SECRET.

3.   Освен ако не е посочено друго, разпоредбите на настоящата глава по отношение на класифицираните договори или изпълнителите се прилагат и за класифицираните договори за подизпълнение или подизпълнителите.

Член 40

Определения

За целите на настоящата глава се прилагат следните определения:

Член 41

Процедура за класифицирани договори или споразумени за безвъзмездно финансиране

1.   Всяка служба на Комисията, в качеството си на възложител, гарантира, че при възлагане на класифицирани договори или споразумения за безвъзмездно финансиране в договора са включени минималните стандарти за индустриална сигурност, установени в настоящата глава, или е направена препратка към тях.

2.   За целите на параграф 1 компетентните служби на Комисията се консултират с генерална дирекция „Човешки ресурси и сигурност“, и по-специално с дирекция „Сигурност“ в нея, за да се уверят, че моделите на договори за изпълнение и подизпълнение и моделите на споразумения за безвъзмездно финансиране включват разпоредби, отразяващи основните принципи и минималните стандарти за защита на КИЕС, които трябва да се спазват от изпълнителите и подизпълнителите и от бенефициерите на споразуменията за безвъзмездно финансиране.

3.   Комисията сътрудничи тясно с НОС, ООС или всеки друг компетентен орган на съответните държави членки.

4.   Когато възложител има намерение да обяви процедура за възлагане на класифициран договор или сключване на споразумение за безвъзмездно финансиране, той се консултира с органа по сигурността на Комисията по въпросите, свързани с класифицирания характер и елементи на процедурата на всички етапи от нея.

5.   Моделите и примерите за класифицирани договори за изпълнение и подизпълнение, класифицирани споразумения за безвъзмездно финансиране, обявления за поръчки, насоки за обстоятелствата, при които се изисква „удостоверение за сигурност на структура“ (УСС), инструкции за сигурност на проект или програма (ИСП), приложения относно аспектите на сигурността (ПАС), посещения, предаване и пренасяне на КИЕС по класифицириани договори или класифицирани споразумения за безвъзмездно финансиране се установяват в правилата за прилагане по отношение на индустриалната сигурност, след консултация с Експертната група по сигурността на Комисията.

6.   Комисията може да сключи класифицирани договори или споразумения за безвъзмездно финансиране, с които се възлага изпълнението на задачи, включващи или налагащи достъп до КИЕС или работа с КИЕС или съхранение на КИЕС от икономически оператори, регистрирани в държава членка или в трета държава, която е сключила споразумение или административна договореност в съответствие с Глава 7 от настоящото решение.

Член 42

Елементи на сигурността в класифициран договор или споразумение за безвъзмездно финансиране

1.   Класифицираните договори или споразумения за безвъзмездно финансиране включват следните елементи на сигурността:

Инструкции за сигурност на програмата или проекта

Приложение относно аспектите на сигурността

2.   Ръководството за класифициране за целите на сигурността (РКЦС) е задължителен елемент на сигурността и се включва в ИПС и ПАС:

Член 43

Достъп до КИЕС на служителите на изпълнителите и бенефициерите

Възложителят или органът, отпускащ безвъзмездното финансиране, гарантира, че класифицираният договор или класифицираното споразумение за безвъзмездно финансиране включва разпоредби, в които се посочва, че служителите на изпълнител, подизпълнител или бенефициер, които се нуждаят от достъп до КИЕС за целите на изпълнението на класифицирания договор за изпълнение или подизпълнение или на споразумението за безвъзмездно финансиране, ще получат такъв достъп само ако:

Член 44

Удостоверение за сигурност на структура

1.   „Удостоверение за сигурност на структура“ (УСС) означава административно определяне от НОС, ООС или друг компетентен орган, че дадена структура може да осигури адекватна защита на КИЕС на определено ниво на класификация за сигурност.

2.   УСС, издадено от НОС или ООС или друг компетентен орган на държава членка в уверение на това, че в съответствие с националните законови и подзаконови актове определен икономически оператор може да защити КИЕС на подходящо ниво на класификация (CONFIDENTIEL UE/EU CONFIDENTIAL или SECRET UE/EU SECRET) в своите структури се предоставя на органа по сигурността на Комисията, който го препраща на службата на Комисията, изпълняваща ролята на възложител или орган, отпускащ безвъзмездното финансиране, преди на кандидат, участник в търг, изпълнител или кандидат за безвъзмездно финансиране да бъде предоставена КИЕС или да му бъде даден достъп до такава.

3.   Когато е уместно, възложителят уведомява, посредством органа по сигурността на Комисията, съответния НОС, ООС или друг компетентен орган по сигурността, че за изпълнението на договора се изисква удостоверение за сигурност на структура. УСС или РДС се изисква когато в процеса на възлагане на договора или на сключване на споразумението за безвъзмездно финансиране трябва да се предостави КИЕС с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL или SECRET UE/EU SECRET.

4.   Възложителят или органът, отпускащ безвъзмездното финансиране не сключва класифициран договор или споразумение за безвъзмездно финансиране с предпочитан участник в търга или кандидат, преди да е получил потвърждение от НОС, ООС или друг компетентен орган по сигурността на държавата членка, в която е регистриран съответният изпълнител или подизпълнител, че е издадено съответното удостоверение за сигурност на структура, ако такова е необходимо.

5.   Когато органът по сигурността на Комисията бъде уведомен от НОС, ООС или друг компетентен орган, издал УСС, за настъпването на промени, засягащи УСС, той информира службата на Комисията, изпълняваща функциите на възложител или орган, отпускащ безвъзмездно финансиране. При договори за подизпълнение се уведомява съответно НОС, ООС или друг компетентен орган по сигурността.

6.   Оттеглянето на УСС от съответния НОС, ООС или друг компетентен орган по сигурността представлява достатъчно основание за възложителя или органа, отпускащ безвъзмездното финансиране да прекрати класифициран договор или да изключи от процедурата по възлагането кандидат, оферент или участник. При съставянето на моделите на договори и споразумения за безвъзмездно финансиране се включва разпоредба в този смисъл.

Член 45

Разпоредби за класифицирани договори и споразумени за безвъзмездно финансиране

1.   Когато по време на процедурата по възлагане на кандидат, оферент или участник се предоставя КИЕС, поканата за представяне на оферта съдържа разпоредба, задължаваща кандидата, оферента или участника, който не е представил оферта или предложение или не е избран, да върне всички класифицирани документи в рамките на определен период от време.

2.   Възложителят или органът, отпускащ безвъзмездното финансиране уведомяват, посредством органа по сигурността на Комисията, компетентния НОС, ООС или друг компетентен орган по сигурността за възлагането на класифициран договор или споразумение за безвъзмездно финансиране, както и за съответните данни, като името на изпълнителя или изпълнителите или бенефициерите, срокът на изпълнение на договора и максималното ниво на класификация.

3.   При прекратяване на такива договори или споразумения за безвъзмездно финансиране възложителят или органът, отпускащ безвъзмездното финансиране уведомява своевременно, посредством органа по сигурността на Комисията, НОС, ООС или друг компетентен орган на държавата членка, в която е регистриран изпълнителят или бенефициерът.

4.   По правило при прекратяване на класифициран договор или споразумение за безвъзмездно финансиране от изпълнителя или бенефициера се изисква да върне на възложителя или на органа, отпускащ безвъзмездното финансиране всяка държана от него КИЕС.

5.   Конкретните разпоредби за разпореждането с КИЕС по време на изпълнението на класифицирания договора или класифицираното споразумение за безвъзмездно финансиране или при неговото прекратяване се посочват в ПАС.

6.   Когато на изпълнителя или бенефициера бъде разрешено да задържи КИЕС след прекратяването на класифицирания договор или споразумение за безвъзмездно финансиране, изпълнителят или бенефициерът продължава да спазва минималните стандарти, съдържащи се в настоящото решение и да защитава конфиденциалността на КИЕС.

Член 46

Специфични разпоредби за класифицирани договори

1.   Условията, свързани със защитата на КИЕС, при които изпълнителят може да възлага договора за подизпълнение, се определят в условията за търга и в класифицирания договор.

2.   За да предостави за подизпълнение части от класифициран договор, изпълнителят получава разрешение от възложителя. Договор за подизпълнение, включващ достъп до КИЕС не може да се сключва с подизпълнител, регистриран в трета страна, освен ако не е налице регулаторна рамка за сигурността на информацията по смисъла на Глава 7.

3.   Изпълнителят носи отговорност за осигуряване на спазването на установените в настоящото решение минимални стандарти за сигурност по време на извършването на всички подизпълнителски дейности и не предоставя КИЕС на подизпълнителя без предварителното писмено съгласие на възложителя.

4.   За създател на КИЕС, създадена от изпълнител или подизпълнител или с която те работят, се счита Комисията, а правата на създателя се упражняват от възложителя.

Член 47

Посещения във връзка с класифицирани договори

1.   Когато за изпълнението на класифициран договор или споразумение за безвъзмездно финансиране служители на Комисията или на изпълнителите или на бенефициерите е необходимо да получат на взаимна основа достъп до информация с ниво на класификация за сигурност CONFIDENTIEL UE/EU CONFIDENTIAL или SECRET UE/EU SECRET в помещенията си, се уреждат посещения, като се поддържа връзка с НОС, ООС или друг съответен компетентен орган по сигурността. Органът по сигурността на Комисията се уведомява за тези посещения. В контекста на конкретни програми и проекти, обаче, НОС, ООС или друг компетентен орган по сигурността може договори също така процедура за пряко организиране на такива посещения.

2.   Всички посетители притежават подходящо разрешение за достъп и отговарят на изискването за „необходимост да се знае“ за достъп до КИЕС, свързана с класифицирани договор.

3.   На посетителите се дава достъп единствено до КИЕС, свързана с целите на посещението.

4.   По-подробни разпоредби се съдържат в правилата за прилагане.

5.   Спазването на разпоредбите по отношение на посещенията във връзка с класифицирани договори, установени с настоящото решение и правилата за неговото прилагане, посочени в параграф 4, е задължително.

Член 48

Предаване и пренасяне на КИЕС във връзка с класифицирани договори или класифицирани споразумения за безвъзмездно финансиране

1.   По отношение на предаването на КИЕС чрез електронни средства се прилагат съответните разпоредби на Глава 5 от настоящото решение.

2.   По отношение на пренасянето на КИЕС се прилагат съответните разпоредби на Глава 4 от настоящото решение и правилата за неговото прилагане, в съответствие с националните законови и подзаконови актове.

3.   При определяне на мерките за сигурност при транспортиране на класифицирани материали като товар се прилагат следните принципи:

Член 49

Предаване на КИЕС на изпълнители или бенефициери, намиращи се в трети държави

Предаването на КИЕС на изпълнители и подизпълнители, намиращи се в трети държави, се извършва в съответствие с мерките за сигурност, договорени между органа по сигурността на Комисията, службата на Комисията, изпълняваща ролята на възложител или орган, отпускащ безвъзмездно финансиране и НОС, ООС или друг компетентен орган по сигурността на съответната трета държава, в която е регистриран изпълнителят или бенефициерът.

Член 50

Работа с информация с ниво на класифиция за сигурност RESTREINT UE/EU RESTRICTED във връзка с класифицирани договори или класифицирани споразумения за безвъзмездно финансиране

1.   Защитата на информация с ниво на класификация за сигурност RESTREINT UE/EU RESTRICTED, с която се работи или която се съхранява по класифицирани договори или споразумения за безвъзмездно финансиране, се основава на принципите на пропорционалността и разходната ефективност.

2.   Във връзка с класифицирани договори или класифицирани споразумения за безвъзмездно финансиране, включващи работа с информация с ниво на класификация за сигурност RESTREINT UE/EU RESTRICTED или съхраняване на такава, не се изисква УСС или РДС.

3.   Когато даден договор или споразумение за безвъзмездно финансиране включва работа с информация с ниво на класификация за сигурност RESTREINT UE/EU RESTRICTED в рамките на КИС, с която оперира изпълнител или бенефициер, възложителят или органът, отпускащ безвъзмездното финансиране, след като се консултира с органа по сигурността на Комисията, гарантира включването в договора или споразумението за безвъзмездно финансиране на необходимите технически и административни изисквания за акредитацията или одобряването на въпросната КИС, съизмерими с оценката на риска, като се вземат предвид всички приложими фактори. Обхватът на акредитацията или одобрението на такава КИС се договаря между органа по сигурността на Комисията и съответния НОС или ООС.

ГЛАВА 7

ОБМЕН НА КЛАСИФИЦИРАНА ИНФОРМАЦИЯ С ДРУГИ ИНСТИТУЦИИ, АГЕНЦИИ, ОРГАНИ И СЛУЖБИ НА СЪЮЗА, С ДЪРЖАВИ ЧЛЕНКИ, С ТРЕТИ ДЪРЖАВИ И МЕЖДУНАРОДНИ ОРГАНИЗАЦИИ

Член 51

Основни принципи

1.   Когато Комисията или нейна служба установи необходимост от обмен на КИЕС с друга институция, агенция, орган или служба на Съюза или с трета държава или международна организация, се предприемат необходимите действия за създаване на подходяща правна или административна рамка, която може да включва споразумения за сигурността на информацията или административни договорености, които се сключват в съответствие с приложимите разпоредби.

2.   Без да се засяга член 57, КИЕС се обменя с друга институция, агенция, орган или служба на Съюза или с трета държава или международна организация единствено ако е налице такава подходяща правна или административна рамка и ако има достатъчно гаранции, че институцията, агенцията, органът или службата на Съюза или третата държава или международната организация прилага равностойно основни принципи за защита на класифицираната информация.

Член 52

Обмен на КИЕС с други институции, агенции, органи и служби на Съюза

1.   Преди да сключи административни договорености за обмен на КИЕС с друга институция, агенция, орган или служба на Съюза, Комисията иска гаранции, че съответната институция, агенция, орган или служба на Съюза:

2.   Генерална дирекция „Човешки ресурси и сигурност“, в тясно сътрудничество с други компетентни отдели на Комисията, е водещата служба на Комисията при сключването на административни договорености за обмен на КИЕС с други институции, агенции, органи или служби.

3.   По правило административните договорености се сключват чрез размяна на писма, подписани от генералния директор на ГД „Човешки ресурси и сигурност“ от името на Комисията.

4.   Преди сключване на административна договореност за обмен на КИЕС органът по сигурността на Комисията извършва посещение за оценка на регулаторната рамка за защита на КИЕС и за да се увери в ефективността на мерките, прилагани за защита на КИЕС. Административната договореност влиза в сила и обменът на КИЕС започва само ако резултатът от това посещение за оценка е задоволителен и направените при него препоръки са изпълнени. Провеждат се редовни последващи посещения за проверка на спазването на административната договореност и дали съществуващите мерки за сигурност продължават да отговарят на договорените основни принципи и минимални стандарти.

5.   В Комисията по правило регистратурата на КИЕС, която се управлява от генералния секретариат, е основният входен и изходен пункт при обмен на класифицирана информация с други институции, агенции, органи и служби на Съюза. При все това, когато това е по-целесъобразно за защитата на КИЕС по съображения, свързани със сигурността, организацията или оперативната дейност, като входни и изходни пунктове за класифицирана информация по въпроси от правомощията на съответните служби на Комисията действат местни регистратури на КИЕС, създадени в службите на Комисията в съответствие с настоящото решение.

6.   Експертната група по сигурността на Комисията бива информирана за процеса на сключване на административни договорености по смисъла на параграф 2.

Член 53

Обмен на КИЕС с държави членки

1.   КИЕС може да се обменя с държави членки и да им бъде разкривана, при условие че те защитават тази информация в съответствие с изискванията, приложими към класифицираната информация, обозначена с национален гриф за сигурност на съответното ниво по таблицата за съответствие на нивата на класификация за сигурност в Приложение I.

2.   Когато държавите членки въвеждат в структурите или мрежите на Европейския съюз класифицирана информация, обозначена с национален гриф за сигурност, Комисията осигурява защита на тази информация в съответствие с изискванията, приложими към КИЕС на съответстващото ниво, съгласно съдържащата се в Приложение I таблица на съответствията на нивата на класификация за сигурност.

Член 54

Обмен на класифицирана информация с трети държави и международни организации

1.   Когато Комисията установи наличие на дългосрочна необходимост от обмен на класифицирана информация с трети държави или международни организации, се предприемат необходимите мерки за установяване на подходяща правна или административна рамка за тази цел, която може да включва споразумения за сигурност и информация или административни споразумения, сключени в съответствие с приложимите разпоредби.

2.   Споразуменията за сигурност на информацията и административните договорености, посочени в параграф 1, съдържат разпоредби, които гарантират, че когато трети държави или международни организации получават КИЕС, тя е защитена по начин, съответстващ на нейното ниво на класификация и отговарящ на минимални стандарти, равностойни на установените в настоящото решение.

3.   Комисията може да сключва административни договорености в съответствие с член 56 когато нивото на класификация на КИЕС като правило не надвишава RESTREINT UE/EU RESTRICTED.

4.   Административните договорености за обмен на класифицирана информация, посочени в параграф 3, съдържат разпоредби, които гарантират, че когато трети държави или международни организации получават КИЕС, тя е защитена по начин, съответстващ на нейното ниво на класификация и отговарящ на минимални стандарти, равностойни на установените в настоящото решение. При сключването на споразумения за сигурност на информацията или административни договорености се провеждат консултации с Експертната група по сигурността на Комисията.

5.   Решението да се предостави на трета държава или международна организация КИЕС, създадена в Комисията, се взема от службата на Комисията, която е създател на тази КИЕС, поотделно за всеки конкретен случай, в зависимост от естеството и съдържанието на тази информация, „необходимостта да се знае“ от получателя и предимствата, които това дава на Съюза. Ако исканата класифицирана информация или съдържащият се в нея изходен материал не са създадени от Комисията, службата на Комисията, която притежава тази класифицирана информация най-напред иска писмено съгласие за нейното предоставяне от създателя на информацията. В случай, че създателят на информацията не може да бъде установен, службата на Комисията, която притежава тази класифицирана информация поема неговите задължения след консултация с Експертната група по сигурността на Комисията.

Член 55

Споразумения за сигурност на информацията

1.   Споразумения за сигурност на информацията с трети държави или международни организации се сключват в съответствие с разпоредбите на член 218 от ДФЕС.

2.   Споразуменията за сигурност на информацията:

3.   Когато бъде установена необходимост от обмен на класифицирана информация съгласно член 51, параграф 1, Комисията се консултира с Европейската служба за външна дейност, генералния секретариат на Съвета и други институции и органи на Съюза, ако е целесъобразно, за да определи дали да внесе в Съвета препоръка съгласно член 218, параграф 3 от ДФЕС.

4.   КИЕС не се обменя с електронни средства, освен ако това не е изрично предвидено в споразумението за сигурност на информацията или в договореностите за техническото изпълнение.

5.   В Комисията по правило регистратурата на КИЕС, която се управлява от генералния секретариат, е основният входен и изходен пункт при обмен на класифицирана информация с трети държави и международни организации. При все това, когато това е по-целесъобразно за защитата на КИЕС по съображения, свързани със сигурността, организацията или оперативната дейност, като входни и изходни пунктове за класифицирана информация по въпроси от правомощията на съответните служби на Комисията действат местни регистратури на КИЕС, създадени в службите на Комисията в съответствие с настоящото решение.

6.   За оценка на ефективността на разпоредбите, структурите и процедурите за сигурност в съответната трета държава или международна организация Комисията участва в посещения за оценка в сътрудничество с други институции, агенции или органи на Съюза по взаимно споразумение със съответната трета държава или международна организация. При тези посещения за оценка се оценява:

Член 56

Административни договорености

1.   Когато в контекста на политическата или правната рамка на Съюза е налице дългосрочна необходимост от обмен на информация с ниво на класификация за сигурност по правило не по-високо от RESTREINT UE/EU RESTRICTED с трета държава или международна организация и когато органът по сигурността на Комисията, след консултация с Експертната група по сигурността на Комисията, е установил, че въпросната договаряща страна не разполага с достатъчно развита система за сигурност, за да е възможно тя да встъпи в споразумение за сигурност на информацията, Комисията може да сключи административна договореност със съответните органи на въпросната трета държава или международна организация.

2.   Такива административни договорености по правило се сключват чрез размяна на писма.

3.   Преди сключването на договореност се провежда посещение за оценка. Експертната група по сигурността на Комисията бива информирана за резултата от посещението за оценка. В случай, че извънредни обстоятелства налагат спешен обмен на класифицирана информация, КИЕС може да бъде предоставена при условие че са положени всички усилия за провеждане на посещение за оценка в най-кратък срок.

4.   КИЕС не се обменя чрез електронни средства, освен в случаите, когато това е изрично предвидено в административната договореност.

Член 57

Извънредно ad hoc предоставяне на КИЕС

1.   Когато няма сключено споразумение за сигурност на информацията или административна договореност и когато Комисията или нейна служба установи извънредна необходимост в контекста на политическата или правната рамка на Съюза да бъде предоставена КИЕС на трета държава или на международна организация, органът по сигурността на Комисията, доколкото това е възможно, проверява чрез органите по сигурността на съответната трета държава или международна организация дали нейните разпоредби, структури и процедури по отношение на сигурността са такива, че предоставената ѝ КИЕС ще бъда защитена по стандарти не по-малко строги от установените с настоящото решение.

2.   Решението да се предостави КИЕС на съответната трета държава или международна организация се взема, след консултация с Експертната група по сигурността на Комисията, по предложение от члена на Комисията, отговарящ за въпросите на сигурността.

3.   След като Комисията вземе решение да предостави КИЕС и при условие че е получено писменото одобрение на създателя на информацията, включително създателите на съдържащите се в нея изходни материали, компетентният отдел на Комисията препраща съответната информация с обозначение, че подлежи на предоставяне, в което се посочва третата държава или международната организация, на която се предоставя. Преди или при самото предоставяне на КИЕС въпросната трета страна писмено потвърждава, че поема задължение за защита на получената от нея КИЕС в съответствие с основните принципи и минималните стандарти, установени в настоящото решение.

ГЛАВА 8

ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

Член 58

Замяна на предходно решение

С настоящото решение се отменя и заменя Решение 2001/844/ЕО, ЕОВС, Евратом на Комисията (14).

Член 59

Класифицирана информация, създадена преди влизането в сила на настоящото решение

1.   Цялата КИЕС, класифицирана в съответствие с Решение 2001/844/ЕО, ЕОВС, Евратом продължава да бъде защитена съгласно съответните разпоредби от настоящото решение.

2.   Цялата класифицирана информация, притежавана от Комисията на датата на влизане в сила на Решение 2001/844/ЕО, ЕОВС, Евратом, с изключение на класифицираната информация по Евратом:

Член 60

Правила за прилагане и насоки за сигурност

1.   При необходимост Комисията приема отделно решение, с което оправомощава члена на Комисията, отговарящ за въпросите на сигурността, да приеме правила за прилагане на настоящото решение, при пълно спазване на вътрешния процедурен правилник.

2.   След като бъде оправомощен чрез горепосоченото решение, членът на Комисията, отговарящ за въпросите на сигурността може да разработи насоки за сигурност, с които се установяват указания за сигурност и най-добри практики в обхвата на приложното поле на настоящото решение и правилата за неговото прилагане.

3.   Комисията може да делегира задачите, упоменати в първия и втория параграф на настоящия член на генералния директор на ГД „Човешки ресурси и сигурност“ посредством отделно решение за делегиране, при пълно спазване на вътрешния процедурен правилник.

Член 61

Влизане в сила

Настоящото решение влиза в сила в деня след публикуването му в Официален вестник на Европейския съюз.

(1)  Вж. Arrangement entre le Gouvernement belge et le Parlement européen, le Conseil, la Commission, le Comité économique et social européen, le Comité des régions, la Banque européenne d'investissement en matière de sécurité от 31 декември 2004 г., Accord de sécurité signé entre la Commission et le Gouvernement luxembourgeois от 20 януари 2007 г. и Accordo tra il Governo italiano e la Commissione europea dell'energia atomica (Euratom) per l'istituzione di un Centro comune di ricerche nucleari di competenza generale от 22 юли 1959 г.

(2)  Решение 2002/47/ЕО, ЕОВС, Евратом на Комисията от 23 януари 2002 г. за изменение на нейния процедурен правилник (ОВ L 21, 24.1.2002 г., стр. 23.).

(3)  Решение 2004/563/ЕО, Евратом на Комисията от 7 юли 2004 г. за изменение на нейния процедурен правилник (ОВ L 251, 27.7.2004 г., стр. 9).

(4)  Регламент (Евратом) № 3 от 31 юли 1958 г. за прилагане на член 24 от Договора за създаване на Европейската общност за атомна енергия (ОВ 17, 6.10.1958 г., стр. 406/58).

(5)  Регламент (ЕО) № 1049/2001 на Европейския парламент и на Съвета от 30 май 2001 г. относно публичния достъп до документи на Европейския парламент, на Съвета и на Комисията (ОВ L 145, 31.5.2001 г., стр. 43).

(6)  Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета от 18 декември 2000 година относно защитата на лицата по отношение на обработката на лични данни от институции и органи на Общността и за свободното движение на такива данни (ОВ L 8, 12.1.2001 г., стр. 1).

(7)  Регламент (ЕИО, Евратом) № 354/83 на Съвета от 1 февруари 1983 г. относно отваряне за обществеността на историческите архиви на Европейската икономическа общност и на Европейската общност за атомна енергия (ОВ L 43, 15.2.1983 г., стр. 1).

(8)  Решение 2015/443 (ЕС, Евратом) на Комисията от 13 март 2015 г. относно сигурността в Комисията (вж. страница 41 от настоящия Официален вестник).

(9)  Регламент (ЕИО, Евратом, ЕОВС) № 259/68 на Съвета от 29 февруари 1968 година относно определянето на статута на длъжностните лица на Европейските общности и условията за работа на другите служители, и за създаване на конкретно особени мерки за временно прилагане към длъжностните лица на Комисията (условия за работа на другите служители) (ОВ L 56, 4.3.1968 г., стр. 1).

(10)  Регламент (ЕО, Евратом) № 1700/2003 на Съвета от 22 септември 2003 година за изменение на Регламент (ЕИО, Евратом) № 354/83 относно отваряне за обществеността на историческите архиви на Европейската икономическа общност и на Европейската общност за атомна енергия (ОВ L 243, 27.9.2003 г., стр. 1).

(11)  Решение C(2006) 3602 на Комисията от 16 август 2006 г. относно сигурността на информационните системи, използвани от Европейската комисия.

(12)  Регламент (ЕС) № 512/2014 на Европейския парламент и на Съвета от 16 април 2014 година за изменение на Регламент (ЕС) № 912/2010 за създаване на Европейската агенция за ГНСС (ОВ L 150, 20.5.2014 г., стр. 72).

(13)  Регламент (ЕО, Евратом) № 1605/2002 на Съвета от 25 юни 2002 г. относно Финансовия регламент, приложим за общия бюджет на Европейските общности (ОВ L 248, 16.9.2002 г., стр. 1).

(14)  Решение 2001/844/ЕО, ЕОВС, Евратом на Комисията от 29 ноември 2001 г. за изменение на нейния процедурен правилник (ОВ L 317, 3.12.2001 г., стр. 1).