32023D0726(01)

EUR-Lex

Der Zugang zum EU-Recht

Dieses Dokument ist ein Auszug aus dem EUR-Lex-Portal.

EUROPA
EUR-Lex-Startseite
Rozhodnutí - 19 June 2023 - DE - EUR-Lex

Hilfe

Suchtipps

Brauchen Sie weitere Suchoptionen? Nutzen Sie die Erweiterte Suche

Dokument 32023D0726(01)

Rozhodnutí vysokého představitele Unie pro zahraniční věci a bezpečnostní politiku ze dne 19. června 2023 o bezpečnostních pravidlech pro Evropskou službu pro vnější činnost 2023/C 263/04

Úř. věst. C 263, 26.7.2023, S. 16–73 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Rechtlicher Status des Dokuments In Kraft

HTML

PDF

Amtsblatt

26.7.2023

Úřední věstník Evropské unie

C 263/16

ROZHODNUTÍ VYSOKÉHO PŘEDSTAVITELE UNIE PRO ZAHRANIČNÍ VĚCI A BEZPEČNOSTNÍ POLITIKU

ze dne 19. června 2023

o bezpečnostních pravidlech pro Evropskou službu pro vnější činnost

(2023/C 263/04)

VYSOKÝ PŘEDSTAVITEL UNIE PRO ZAHRANIČNÍ VĚCI A BEZPEČNOSTNÍ POLITIKU,

s ohledem na rozhodnutí Rady 2010/427/EU ze dne 26. července 2010 o organizaci a fungování Evropské služby pro vnější činnost (1) (dále jen „rozhodnutí Rady 2010/427/EU“), a zejména na čl. 10 odst. 1 uvedeného rozhodnutí,

vzhledem k těmto důvodům:

(1)	Evropská služba pro vnější činnost (dále jen „ESVČ“) má mít jakožto funkčně nezávislá instituce Evropské unie (EU) bezpečnostní pravidla, jak je stanoveno v čl. 10 odst. 1 rozhodnutí Rady 2010/427/EU.

(2)

Vysoký představitel Unie pro zahraniční věci a bezpečnostní politiku (dále jen „vysoký představitel“) má rozhodnout o bezpečnostních pravidlech pro ESVČ, která se vztahují na všechny aspekty bezpečnosti související s fungováním ESVČ, aby mohla účinně řídit rizika, jimž jsou vystaveni zaměstnanci, za něž odpovídá, její fyzický majetek, informace a návštěvníci a plnit v tomto ohledu svou povinnost řádné péče a související povinnosti.

(3)	Měla by být zejména zajištěna ochrana zaměstnanců, za něž ESVČ odpovídá, fyzického majetku ESVČ včetně komunikačních a informačních systémů, informací a návštěvníků na úrovni, která je v souladu s osvědčenými postupy v Radě, Komisi, členských státech a případně v mezinárodních organizacích.

(4)

Bezpečnostní pravidla pro ESVČ by měla pomoci vytvořit v EU soudržnější komplexní obecný rámec pro ochranu utajovaných informací EU, přičemž by měla vycházet z bezpečnostních pravidel Rady Evropské unie (dále jen „Rada“) a z bezpečnostních ustanovení Evropské komise a být s nimi v co nejvyšší míře soudržná.

(5)	ESVČ, Rada a Komise se zavázaly k uplatňování rovnocenných bezpečnostních standardů pro ochranu utajovaných informací EU.

(6)	Tímto rozhodnutím nejsou dotčeny články 15 a 16 Smlouvy o fungování Evropské unie (SFEU) a jejich prováděcí akty.

(7)	Je nezbytné stanovit organizaci bezpečnosti v ESVČ a rozdělení bezpečnostních úkolů ve strukturách ESVČ.

(8)	Vysoký představitel by měl podle potřeby čerpat z odborných poznatků členských států, generálního sekretariátu Rady a Komise.

(9)	Vysoký představitel by měl přijmout veškerá vhodná opatření, která jsou nezbytná k provádění těchto pravidel s podporou členských států, generálního sekretariátu Rady a Komise.

(10)

Přestože bezpečnostním orgánem ESVČ je generální tajemník ESVČ, je vhodné přezkoumat bezpečnostní pravidla ESVČ, zejména s cílem zohlednit zřízení Střediska pro reakci na krize (CRC), a za tímto účelem zrušit a nahradit rozhodnutí vysoké představitelky Unie pro zahraniční věci a bezpečnostní politiku ADMIN (2017)10 ze dne 19. září 2017 (2).

(11)

V souladu s čl. 15 odst. 4 písm. a) rozhodnutí vysoké představitelky Unie pro zahraniční věci a bezpečnostní politiku ADMIN(2017) 10 ze dne 19. září 2017 o bezpečnostních pravidlech pro Evropskou službu pro vnější činnost byl ohledně plánovaných změn bezpečnostních pravidel ESVČ konzultován Bezpečnostní výbor ESVČ,

PŘIJAL TOTO ROZHODNUTÍ:

Článek 1

Předmět a oblast působnosti

Toto rozhodnutí stanoví bezpečnostní pravidla pro Evropskou službu pro vnější činnost (dále jen „bezpečnostní pravidla ESVČ“).

Podle čl. 10 odst. 1 rozhodnutí Rady 2010/427/EU se bezpečnostní pravidla vztahují na všechny zaměstnance ESVČ a všechny zaměstnance v delegacích Unie bez ohledu na jejich administrativní zařazení nebo institucionální původ a stanoví obecný regulační rámec pro účinné řízení rizik, jimž jsou vystaveni zaměstnanci, za něž ESVČ odpovídá, uvedení v článku 2, prostory ESVČ, fyzický majetek, informace a návštěvníci.

Článek 2

Definice

Pro účely tohoto rozhodnutí se rozumí:

a)	„zaměstnanci ESVČ“ úředníci ESVČ a ostatní zaměstnanci Evropské unie, včetně členů personálu z diplomatických služeb členských států, kteří působí jako dočasní zaměstnanci, a vyslaní národní odborníci, jak jsou definováni v čl. 6 odst. 2 a 3 rozhodnutí Rady 2010/427/EU;

„zaměstnanci, za něž ESVČ odpovídá“ jsou zaměstnanci ESVČ v ústředí a v delegacích Unie a všichni ostatní zaměstnanci v delegacích Unie bez ohledu na jejich administrativní zařazení nebo institucionální původ a v kontextu tohoto rozhodnutí rovněž vysoký představitel a případně další personál sídlící v prostorách ústředí ESVČ;

c)	„způsobilými závislými osobami“ rodinní příslušníci zaměstnanců, za něž ESVČ odpovídá, v delegacích Unie, kteří s nimi žijí ve společné domácnosti a jsou nahlášeni ministerstvu zahraničních věcí přijímajícího státu a skutečně s nimi žijí v místě zaměstnání v době evakuace ze země;

d)	„prostory ESVČ“ všechna zařízení ESVČ včetně budov, kanceláří, místností a dalších prostor, jakož i prostor, v nichž jsou umístěny komunikační a informační systémy (včetně systémů určených k nakládání s utajovanými informacemi EU), které ESVČ dočasně či trvale využívá k výkonu svých činností;

e)	„bezpečnostními zájmy ESVČ“ zaměstnanci, za něž ESVČ odpovídá, prostory ESVČ, závislé osoby, fyzický majetek včetně komunikačních a informačních systémů, informace a návštěvníci;

f)	„utajovanými informacemi EU“ jakékoli informace nebo materiály označené stupněm utajení EU, jejichž neoprávněné vyzrazení by mohlo různou měrou poškodit zájmy Evropské unie nebo jednoho či více členských států;

g)	„delegací Unie“ delegace ve třetích zemích a při mezinárodních organizacích podle čl. 1 odst. 4 rozhodnutí Rady 2010/427/EU a úřady EU v souladu s článkem 5 rozhodnutí Rady 2010/427/EU.

Další definice pro účely tohoto rozhodnutí jsou uvedeny v příslušných přílohách a v dodatku A.

Článek 3

Povinnost řádné péče

1. Cílem bezpečnostních pravidel ESVČ je zajistit plnění povinnosti řádné péče ze strany ESVČ a jejích souvisejících povinností.

2. Povinnost řádné péče ESVČ znamená, že jsou s náležitou péčí činěny všechny přiměřené kroky za účelem provádění bezpečnostních opatření s cílem předcházet důvodně předvídatelnému poškození bezpečnostních zájmů ESVČ.

Zahrnuje bezpečnostní i ochranná opatření, včetně opatření přijatých v důsledku mimořádných situací nebo krizí bez ohledu na jejich povahu.

3. S ohledem na povinnost řádné péče ze strany členských států, orgánů nebo institucí EU a dalších stran, jejichž zaměstnanci působí v delegacích Unie nebo v prostorách delegací Unie a povinnost řádné péče ze strany ESVČ ve vztahu k delegacím Unie, které jsou umístěny v prostorách výše uvedených dalších stran, uzavře ESVČ s každým z těchto výše uvedených subjektů správní ujednání, v nichž se stanoví příslušné úlohy a povinnosti, úkoly a mechanismy spolupráce.

Článek 4

Fyzická bezpečnost a bezpečnost infrastruktury

1. ESVČ zavede ve všech prostorách ESVČ veškerá vhodná opatření fyzické bezpečnosti (trvalá či dočasná) na ochranu svých bezpečnostních zájmů, včetně opatření pro kontrolu přístupu. Tato opatření je třeba zohlednit při navrhování a plánování nových prostor nebo před pronájmem existujících prostor.

2. Zaměstnancům, za něž ESVČ odpovídá, a závislým osobám mohou být z bezpečnostních důvodů uloženy na určité období a v konkrétně vymezených oblastech zvláštní povinnosti nebo omezení.

3. Opatření uvedená v odstavcích 1 a 2 musejí být přiměřená vyhodnocenému riziku.

Článek 5

Stavy pohotovosti a krizové situace

1. Bezpečnostní orgán ESVČ, jak je definován v čl. 13 odst. 1 oddíle I, odpovídá za stanovení stupňů pohotovosti a za zavedení vhodných opatření pro stavy pohotovosti, kterými se předjímají hrozby či incidenty dotýkající se bezpečnosti v ESVČ nebo se na tyto hrozby či incidenty reaguje.

2. Opatření pro stavy pohotovosti uvedená v odstavci 1 musejí být přiměřená stupni bezpečnostní hrozby. Stupně pohotovosti vymezuje bezpečnostní orgán ESVČ v úzké spolupráci s příslušnými útvary ostatních orgánů, institucí a jiných subjektů Unie a členského státu či členských států, na jejichž území se prostory ESVČ nacházejí.

3. Bezpečnostní orgán ESVČ je kontaktním místem pro stavy pohotovosti a pro reakci na krize. Může dále přenášet související úkoly buď na generálního ředitele pro řízení zdrojů, uvedeného v čl. 4 odst. 3 písm. a) druhé odrážce rozhodnutí Rady 2010/427/UE, v případě ústředí ESVČ, nebo na ředitele Střediska pro reakci na krize (CRC) v případě delegací Unie.

Článek 6

Ochrana utajovaných informací

1. Ochrana utajovaných informací EU se řídí požadavky stanovenými v tomto rozhodnutí, zejména v příloze A. Držitel jakékoli utajované informace EU je odpovědný za její přiměřenou ochranu.

2. ESVČ zajistí, aby byl přístup k utajovaným informacím umožněn pouze osobám, které splňují podmínky stanovené v článku 5 přílohy A.

3. Vysoký představitel stanoví v souladu s pravidly na ochranu utajovaných informací EU podle přílohy A tohoto rozhodnutí rovněž podmínky, za nichž mohou mít přístup k utajovaným informacím EU místní zaměstnanci.

4. ESVČ zajišťuje správu statusu bezpečnostních prověrek všech zaměstnanců, za něž ESVČ odpovídá, a pracovníků dodavatelů ESVČ.

5. Pokud členské státy poskytnou v rámci struktur a sítí ESVČ utajované informace označené vnitrostátním stupněm utajení, ESVČ tyto informace chrání v souladu s požadavky na ochranu utajovaných informací EU na rovnocenné úrovni podle srovnávací tabulky stupňů utajení uvedené v dodatku B tohoto rozhodnutí.

6. Prostory ESVČ, v nichž jsou uchovávány utajované informace se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším nebo informace s rovnocenným stupněm utajení, je třeba zřídit jako zabezpečené oblasti v souladu s pravidly uvedenými v příloze A II tohoto rozhodnutí a musí je schválit bezpečnostní orgán ESVČ.

7. Postupy plnění povinností vysokého představitele v rámci dohod nebo správních ujednání týkajících se výměny utajovaných informací EU se třetími státy nebo mezinárodními organizacemi jsou popsány v přílohách A a A VI tohoto rozhodnutí.

8. Generální tajemník stanoví podmínky, za nichž může ESVČ sdílet utajované informace EU, které má ve svém držení, s ostatními orgány, institucemi a jinými subjekty Unie. Za tímto účelem bude zaveden vhodný rámec, mimo jiné i uzavřením interinstitucionálních dohod či jiných ujednání, pokud je to k uvedenému účelu nezbytné.

9. Každý takový rámec zajistí, aby byla utajovaným informacím EU poskytnuta ochrana odpovídající jejich stupni utajení a v souladu se základními zásadami a minimálními standardy, které musejí být rovnocenné zásadám a standardům stanoveným v tomto rozhodnutí.

Článek 7

Bezpečnostní incidenty, mimořádné události a reakce na krize

1. V zájmu zajištění včasné a účinné reakce na bezpečnostní incidenty stanoví ESVČ postup hlášení takových incidentů a mimořádných událostí, který funguje nepřetržitě a zahrnuje všechny druhy bezpečnostních incidentů nebo ohrožení bezpečnostních zájmů ESVČ (například nehody, konflikty, zlovolné činy, trestné činy, únosy a vzetí rukojmích, mimořádné zdravotní situace, incidenty narušující komunikační a informační systémy, kybernetické útoky atd.).

2. Mezi ústředím ESVČ, delegacemi Unie, Radou, Komisí, zvláštními zástupci EU a členskými státy se zřídí nouzové komunikační kanály, jež jim pomáhají zajišťovat reakci na krize, bezpečnostní incidenty a mimořádné situace dotýkající se personálu a na jejich důsledky, včetně plánování pro nepředvídané události.

3. Tato reakce na bezpečnostní incidenty / mimořádné události / krize zahrnuje mimo jiné:

—	postupy účinné podpory rozhodovacího procesu v souvislosti s hrozbami, bezpečnostními incidenty a mimořádnými událostmi dotýkajícími se personálu, včetně rozhodování v souvislosti se stažením nebo pozastavením mise a

—

politiku a postupy pro záchranu personálu, například v případě nezvěstného personálu nebo únosu a vzetí rukojmích, s přihlédnutím ke zvláštním povinnostem, které mají v tomto ohledu členské státy, orgány EU a ESVČ. V rámci řízení takových operací se v tomto ohledu zváží potřeba specifických schopností, přičemž se zohlední zdroje, které by mohly poskytnout členské státy.

4. ESVČ zavede vhodné postupy hlášení bezpečnostních incidentů v delegacích Unie. V případě potřeby jsou informovány členské státy, Komise, veškeré další příslušné orgány, jakož i příslušné bezpečnostní výbory.

5. Postupy reakce na incidenty, mimořádné události a krize by měly být pravidelně procvičovány a přezkoumávány.

Článek 8

Bezpečnost komunikačních a informačních systémů

1. ESVČ chrání informace, s nimiž se nakládá v komunikačních a informačních systémech, jak jsou definovány v dodatku A tohoto rozhodnutí, před ohrožením důvěrnosti, integrity, dostupnosti, autenticity a nepopiratelnosti.

2. Pravidla, bezpečnostní pokyny a bezpečnostní program na ochranu všech komunikačních a informačních systémů vlastněných nebo provozovaných ESVČ musí schválit bezpečnostní orgán ESVČ.

3. Pravidla, politika a program musejí být v souladu s pravidly, politikou a programem Rady, Komise a případně s bezpečnostními politikami uplatňovanými členskými státy a jejich provádění s nimi musí být úzce koordinováno.

4. Veškeré komunikační a informační systémy nakládající s utajovanými informacemi podléhají akreditačnímu řízení. ESVČ uplatňuje systém řízení bezpečnostní akreditace za konzultace s generálním sekretariátem Rady a Komise.

5. Pokud je ochrana utajovaných informací EU, s nimiž ESVČ nakládá, zajišťována kryptografickými prostředky, schvaluje tyto prostředky schvalovací orgán ESVČ pro kryptografickou ochranu na doporučení Bezpečnostního výboru Rady.

6. Bezpečnostní orgán ESVČ zajistí v nezbytném rozsahu tyto funkce v oblasti zabezpečení informací:

a)	orgán pro zabezpečení informací;

b)	orgán TEMPEST;

c)	schvalovací orgán pro kryptografickou ochranu;

d)	orgán pro distribuci kryptografických materiálů.

7. Bezpečnostní orgán ESVČ stanoví pro každý systém tyto funkce:

a)	orgán pro bezpečnostní akreditaci;

b)	provozní orgán pro zabezpečení informací.

8. Ustanovení pro provádění tohoto článku, pokud jde o ochranu utajovaných informací EU, jsou obsažena v přílohách A a A IV.

Článek 9

Narušení bezpečnosti a ohrožení utajovaných informací

1. K narušení bezpečnosti dochází v důsledku jednání nebo opomenutí, jež je v rozporu s bezpečnostními pravidly stanovenými tímto rozhodnutím nebo s bezpečnostními politikami či pokyny, jimiž se stanoví veškerá opatření nezbytná k jeho provádění, schválené v souladu s čl. 21 odst. 1.

2. K ohrožení utajovaných informací dochází, pokud byly zcela nebo zčásti zpřístupněny neoprávněným osobám nebo subjektům.

3. Jakékoli narušení bezpečnosti nebo podezření na něj a jakékoli ohrožení utajovaných informací nebo podezření na něj se neprodleně oznámí řediteli odpovědnému za bezpečnost ústředí a bezpečnost informací ESVČ, který přijme vhodná opatření podle článku 11 přílohy A.

4. Vůči kterékoli osobě, která je odpovědná za porušení bezpečnostních pravidel stanovených tímto rozhodnutím nebo za ohrožení utajovaných informací, mohou být přijata disciplinární nebo právní opatření v souladu s platnými právními a správními předpisy, jak je stanoveno v čl. 11 odst. 3 přílohy A.

Článek 10

Vyšetřování bezpečnostních incidentů, narušení či ohrožení bezpečnosti a nápravná opatření

1. Aniž jsou dotčen článek 86 a příloha IX služebního řádu (3), může ředitelství odpovědné za bezpečnost ústředí a bezpečnost informací ESVČ zahájit a provádět bezpečnostní šetření:

a)	v případě potenciálního úniku či ohrožení utajovaných informací EU, utajovaných informací Euratomu nebo citlivých neutajovaných informací nebo v případě nesprávného nakládání s nimi;

b)	s cílem čelit nepřátelským útokům zpravodajských služeb proti ESVČ a jejím zaměstnancům;

c)	s cílem čelit teroristickým útokům proti ESVČ a jejím zaměstnancům;

d)	v případě kybernetických incidentů;

e)	v případě jiných incidentů, která mají nebo mohou mít dopad na obecnou bezpečnost ESVČ, včetně podezření ze spáchání trestných činů.

2. Bezpečnostní orgán ESVČ, jemuž je nápomocno ředitelství odpovědné za bezpečnost ústředí [...] a informační bezpečnost ESVČ, ředitelství odpovědné za Středisko pro reakci na krize (CRC) a odborníci z členských států nebo případně z jiných orgánů EU, provede ve vhodných případech a vhodným způsobem veškerá nezbytná nápravná opatření vyplývající z vyšetřování.

Pravomoc provádět a koordinovat bezpečnostní šetření v ESVČ může být svěřena pouze zaměstnancům oprávněným na základě jmenovitého pověření, které jim udělí bezpečnostní orgán ESVČ s ohledem na jejich aktuální povinnosti.

3. Vyšetřovatelé mají přístup ke všem informacím potřebným pro provádění takových šetření a všechny útvary a zaměstnanci ESVČ je v tomto ohledu plně podporují.

Vyšetřovatelé mohou přijmout vhodná opatření k zajištění záznamů o důkazech způsobem, který je přiměřený závažnosti vyšetřované záležitosti.

4. Pokud se přístup k informacím týká osobních údajů, včetně informací obsažených v komunikačních a informačních systémech, uskutečňuje se tento přístup v souladu s nařízením (EU) 2018/1725 (4).

5. Pokud je nutné pro účely šetření zřídit databázi obsahující osobní údaje, je o tom v souladu s výše uvedeným nařízením informován evropský inspektor ochrany údajů.

Článek 11

Řízení bezpečnostních rizik

1. Ředitelství odpovědné za bezpečnost ústředí a bezpečnost informací ESVČ a ředitelství odpovědné za Středisko pro reakci na krize (CRC) v úzké spolupráci s ředitelstvím pro bezpečnost v rámci Generálního ředitelství Komise pro lidské zdroje a bezpečnost a případně s bezpečnostní kanceláří generálního sekretariátu Rady vypracují a průběžně aktualizují komplexní metodiku posuzování bezpečnostních rizik za účelem stanovení potřeb ESVČ v oblasti ochranných bezpečnostních opatření.

2. Rizika pro bezpečnostní zájmy ESVČ jsou řízena jako proces. Cílem tohoto procesu je stanovit známá bezpečnostní rizika, vymezit bezpečnostní opatření ke zmírnění těchto rizik na přijatelnou úroveň a uplatnit opatření v souladu s koncepcí hloubkové ochrany. Účinnost těchto opatření a úroveň rizika se průběžně vyhodnocuje.

3. Úlohami, povinnostmi a úkoly stanovenými v tomto rozhodnutí není dotčena odpovědnost jednotlivých zaměstnanců, za něž ESVČ odpovídá; zejména zaměstnanci EU vyslaní na misi ve třetích zemích musejí uplatňovat rozvahu a dobrý úsudek, pokud jde o jejich vlastní bezpečnost a ochranu, a jednat v souladu s platnými bezpečnostními pravidly, nařízeními, postupy a pokyny.

4. V zájmu prevence a kontroly bezpečnostních rizik mohou pověření zaměstnanci prověřovat spolehlivost osob, jež spadají do oblasti působnosti tohoto rozhodnutí, aby zjistili, zda zpřístupnění prostor či informací ESVČ těmto osobám nepředstavuje bezpečnostní hrozbu. Za tímto účelem a v souladu s nařízením (EU) 2018/1725 mohou dotčení pověření zaměstnanci: a) využívat veškeré informační zdroje, které má ESVČ k dispozici, přičemž berou v potaz jejich spolehlivost; b) nahlížet do osobních spisů či údajů v držení ESVČ týkajících se jednotlivých osob, které zaměstnává či hodlá zaměstnat, a v řádně odůvodněných případech i v případě zaměstnanců smluvních dodavatelů.

5. ESVČ přijme veškerá vhodná opatření, aby zajistila ochranu svých bezpečnostních zájmů a předešla jejich důvodně předvídatelnému poškození.

6. Bezpečnostní opatření v ESVČ na ochranu utajovaných informací EU během celého jejich životního cyklu musejí být přiměřená zejména stupni utajení, podobě a objemu informací nebo materiálů, umístění a konstrukci zařízení, v nichž jsou utajované informace EU uloženy, a místně vyhodnocené hrozbě zlovolných nebo trestných činností včetně vyzvědačství, sabotáže nebo terorismu.

Článek 12

Informovanost a školení v oblasti bezpečnosti

1. Bezpečnostní orgán ESVČ zajistí, aby ředitelství odpovědné za bezpečnost ústředí a bezpečnost informací ESVČ vypracovalo vhodné programy pro zvyšování informovanosti a školení v oblasti bezpečnosti. Zaměstnanci v ústředí absolvují nezbytné informační brífinky a školení zaměřené na bezpečnost, které zajišťují týmy pro zvyšování informovanosti o bezpečnosti působící v rámci ředitelství odpovědného za bezpečnost ústředí a bezpečnost informací ESVČ. Zaměstnanci v delegacích Unie, jakož i případně způsobilé závislé osoby absolvují nezbytné informační brífinky a školení zaměřené na bezpečnost odpovídající rizikům, jimž jsou vystaveni v místě výkonu zaměstnání nebo v místě svého bydliště, které zajišťují týmy pro řízení bezpečnosti v koordinaci s ředitelstvím odpovědným za Středisko pro reakci na krize (CRC).

2. Před udělením přístupu k utajovaným informacím EU a poté v pravidelných intervalech jsou zaměstnanci poučeni o svých povinnostech v souvislosti s ochranou utajovaných informaci EU v souladu s pravidly podle článku 6 a tyto povinnosti vezmou na vědomí.

Článek 13

Organizace bezpečnosti v ESVČ

Oddíl 1: Obecná ustanovení

1. Bezpečnostním orgánem ESVČ je generální tajemník. Generální tajemník v této funkci zajistí, aby:

bezpečnostní opatření byla koordinována podle potřeby s příslušnými orgány členských států, generálním sekretariátem Rady a Komisí a případně se třetími státy nebo mezinárodními organizacemi, pokud jde o všechny bezpečnostní záležitosti, které jsou relevantní pro činnosti ESVČ, včetně povahy rizik pro bezpečnostní zájmy ESVČ a ochranných prostředků proti těmto rizikům;

b)	bezpečnostní aspekty byly plně zohledňovány od začátku vykonávání veškerých činností ESVČ;

c)	přístup k utajovaným informacím byl umožněn pouze osobám, které splňují podmínky stanovené v článku 5 přílohy A;

d)	byla přijata vhodná opatření pro správu statusu bezpečnostních prověrek všech zaměstnanců, za něž ESVČ odpovídá, a pracovníků dodavatelů ESVČ;

byl zřízen registrační systém s cílem zajistit, aby s utajovanými informacemi se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším bylo nakládáno v souladu s tímto rozhodnutím jak v rámci ESVČ, tak při poskytování těchto informací členským státům EU, orgánům, institucím a jiným subjektům EU nebo dalším oprávněným příjemcům. O všech utajovaných informacích EU, které ESVČ poskytla třetím státům nebo mezinárodním organizacím, a o všech utajovaných informacích, které získala od třetích států nebo mezinárodních organizací, se vedou zvláštní záznamy;

f)	byly prováděny bezpečnostní inspekce uvedené v článku 16;

byly vyšetřovány veškeré případy faktického porušení bezpečnosti, jakož i faktické ohrožení či ztráta utajovaných informací, jejichž držitelem nebo původcem je ESVČ, nebo podezření na jejich porušení bezpečnosti, ohrožení či ztrátu, a aby byly příslušné bezpečnostní orgány požádány o spolupráci při takovém vyšetřování;

h)	v zájmu včasné a účinné reakce na bezpečnostní incidenty byly vytvořeny vhodné plány a mechanismy řízení incidentů a důsledků;

i)	byla přijata vhodná opatření pro případ selhání jednotlivých osob, pokud jde o dodržování tohoto rozhodnutí;

j)	byla zavedena vhodná fyzická a organizační opatření na ochranu bezpečnostních zájmů ESVČ.

Bezpečnostní orgán ESVČ v tomto ohledu:

—	po konzultaci s Komisí určuje bezpečnostní kategorii delegací Unie,

—	stanovuje mechanismus reakce na krizi a vymezuje jeho úkoly a povinnosti;

—	po případné konzultaci s vysokým představitelem rozhoduje, kdy by měli být zaměstnanci delegace Unie evakuováni, pokud to vyžaduje bezpečnostní situace;

—	rozhoduje o opatřeních, která mají být případně uplatňována na ochranu způsobilých závislých osob, přičemž se zohledňují ujednání s orgány EU podle čl. 3 odst. 3;

—	schvaluje politiku kryptografické komunikace, zejména program instalace kryptografických prostředků a mechanismů.

2. V souladu s čl. 10 odst. 3 rozhodnutí Rady 2010/427/EU jsou bezpečnostnímu orgánu ESVČ při plnění těchto úkolů společně nápomocni:

(i).	generální ředitel pro řízení zdrojů, kterému je nápomocen ředitel pro bezpečnost ústředí a bezpečnost informací ESVČ,

(ii).

ředitel Střediska pro reakci na krize (CRC)

a případně náměstek generálního tajemníka pro mír, bezpečnost a obranu s cílem zajistit soulad s bezpečnostními opatřeními, která mají být přijata pro mise a operace SBOP.

3. Generální tajemník jakožto bezpečnostní orgán ESVČ může své úkoly případně přenést na další osoby.

4. Každý vedoucí útvaru/oddělení odpovídá za zajištění provádění těchto pravidel, jakož i bezpečnostních pokynů uvedených v článku 21 tohoto rozhodnutí a veškerých dalších postupů nebo opatření, jejichž cílem je chránit utajované informace EU v rámci jeho útvaru/oddělení.

Každý vedoucí útvaru/oddělení, který nadále nese výše uvedenou odpovědnost, jmenuje zaměstnance do funkce bezpečnostního koordinátora oddělení. Počet zaměstnanců v této funkci musí být úměrný množství utajovaných informací EU, s nimiž daný útvar/oddělení nakládá.

Bezpečnostní koordinátoři oddělení jsou případně nápomocni svým vedoucím útvaru/oddělení a podporují je při plnění úkolů souvisejících s bezpečností, jako jsou například:

a)	vypracování veškerých dodatečných bezpečnostních požadavků, které odpovídají zvláštním potřebám útvaru/oddělení, a to za konzultace s ředitelstvím odpovědným za bezpečnost ústředí a bezpečnost informací ESVČ;

b)	rozšiřování pravidelných bezpečnostních brífinků, které zajišťuje ředitelství odpovědné za bezpečnost ústředí a bezpečnost informací ESVČ pro členy jejich útvaru/oddělení, o informace o dodatečných bezpečnostních požadavcích podle písmene a);

c)	zajišťování toho, aby byla v jejich útvaru/oddělení dodržována zásada „vědět jen to nejnutnější“;

d)	v příslušných případech vedení aktuálního seznamu bezpečnostních kódů a klíčů;

e)	případně zajištění toho, aby bezpečnostní postupy a bezpečnostní opatření byly aktuální a účinné;

f)	hlášení veškerých narušení bezpečnosti nebo ohrožení utajovaných informací EU jak svému řediteli, tak i ředitelství odpovědnému za bezpečnost ústředí a bezpečnost informací ESVČ;

g)	závěrečné poučení zaměstnanců, kteří ukončili pracovní poměr v ESVČ;

h)	podávání pravidelných zpráv nadřízeným týkajících se bezpečnostních záležitostí v útvaru/oddělení;

i)	styk s ředitelstvím odpovědným za bezpečnost ústředí a bezpečnost informací ESVČ v souvislosti s veškerými bezpečnostními otázkami.

Každá činnost nebo záležitost, která by mohla mít dopad na bezpečnost, se včas oznámí ředitelství odpovědnému za bezpečnost ústředí a bezpečnost informací ESVČ.

Oddíl 2: Ředitelství odpovědné za bezpečnost ústředí a bezpečnost informací ESVČ

1. Ředitelství odpovědné za bezpečnost ústředí a bezpečnost informací ESVČ spadá administrativně pod generální ředitelství pro řízení zdrojů. Toto ředitelství:

a)	plní povinnost řádné péče ESVČ v ústředí ESVČ a odpovídá za veškeré bezpečnostní záležitosti v ústředí ESVČ, a to i pokud jde o komunikační a informační systémy a bezpečnost informací pro účely delegací Unie;

b)	řídí, koordinuje nebo provádí veškerá bezpečnostní opatření ve všech prostorách ústředí ESVČ a dohlíží na ně;

c)	zajišťuje, aby byly veškeré činnosti, které mohou mít dopad na ochranu bezpečnostních zájmů ESVČ, soudržné a v souladu s tímto rozhodnutím a s příslušnými prováděcími ustanoveními;

podporuje činnosti orgánu pro bezpečnostní akreditaci ESVČ tím, že posuzuje fyzickou bezpečnost obecného bezpečnostního prostředí / místního bezpečnostního prostředí komunikačních a informačních systémů, v nichž se nakládá s utajovanými informacemi EU, a všech prostor ESVČ, které mají být schváleny pro nakládání s utajovanými informacemi EU a jejich uchovávání.

Ředitelství odpovědnému za bezpečnost ústředí a bezpečnost informací ESVČ jsou v souladu s čl. 10 odst. 3 rozhodnutí Rady 2010/427/EU nápomocny příslušné útvary členských států.

2. Ředitel pro bezpečnost ústředí a bezpečnost informací ESVČ odpovídá za:

a)	zajištění celkové ochrany bezpečnostních zájmů ESVČ v oblasti působnosti ředitelství odpovědného za bezpečnost ústředí a bezpečnost informací ESVČ;

navrhování, přezkum a aktualizaci bezpečnostních pravidel, jakož i za koordinaci bezpečnostních opatření s ředitelem Střediska pro reakci na krize (CRC), příslušnými orgány členských států a případně příslušnými orgány třetích států a mezinárodními organizacemi, které s EU uzavřely bezpečnostní dohody nebo ujednání;

c)	výkon své funkce hlavního poradce vysokého představitele, bezpečnostního orgánu ESVČ a náměstka generálního tajemníka pro mír, bezpečnost a obranu ve všech záležitostech souvisejících s bezpečností ústředí a bezpečností informací ESVČ;

d)	správu statusu bezpečnostních prověrek všech zaměstnanců, za něž ESVČ odpovídá, a pracovníků dodavatelů ESVČ;

e)	výkon své funkce předsedajícího Bezpečnostního výboru ESVČ ve složení vnitrostátních bezpečnostních orgánů, jak je stanoveno v čl. 15 odst. 1 tohoto rozhodnutí, na pokyn bezpečnostního orgánu ESVČ a za podporu jeho jednání;

f)	styky s jinými partnery nebo orgány, než jsou partneři nebo orgány uvedené v písmeni b), v souvislosti s bezpečnostními záležitostmi, které spadají do oblasti působnosti ředitelství odpovědného za bezpečnost ústředí a bezpečnost informací ESVČ;

g)	stanovování priorit a předkládání návrhů pro účely řízení rozpočtu vyčleněného na bezpečnost v ústředí a v delegacích Unie, přičemž v případě delegací Unie je tato činnost koordinována s ředitelem Střediska pro reakci na krize (CRC);

h)	zajištění toho, aby byla narušení a ohrožení bezpečnosti podle článku 9 tohoto rozhodnutí zaznamenána a v případě potřeby byla zahájena a provedena vyšetřování;

i)	schůzky věnované oblastem společného zájmu, jež jsou organizovány pravidelně a kdykoli je to nutné s ředitelem pro bezpečnost generálního sekretariátu Rady a s ředitelem ředitelství pro bezpečnost v rámci Generálního ředitelství Komise pro lidské zdroje a bezpečnost.

3. Ředitelství odpovědné za bezpečnost ústředí a bezpečnost informací ESVČ navazuje kontakty a udržuje úzkou spolupráci v oblasti své působnosti:

—

s vnitrostátními bezpečnostními orgány nebo jinými příslušnými bezpečnostními orgány členských států s cílem získat jejich pomoc, pokud jde o informace, jež potřebuje k posouzení rizik a hrozeb, jimž mohou být ESVČ, její zaměstnanci, činnosti, majetek a zdroje a její utajované informace vystaveni v obvyklém místě svého působení,

—

s příslušnými bezpečnostními orgány třetích států, s nimiž EU uzavřela dohodu o bezpečnosti informací nebo na jejichž území Unie vysílá misi nebo operaci SBOP, s bezpečnostní kanceláří generálního sekretariátu Rady a ředitelstvím pro bezpečnost v rámci Generálního ředitelství Komise pro lidské zdroje a bezpečnost a případně s bezpečnostními odděleními dalších orgánů, institucí a jiných subjektů EU,

—	s bezpečnostními oddělení mezinárodních organizací, s nimiž EU uzavřela dohodu o bezpečnosti informací, a

—	s vnitrostátními bezpečnostními orgány členských států, pokud jde o veškeré záležitosti týkající se ochrany utajovaných informací EU, včetně bezpečnostních prověrek personálu.

Oddíl 3: Ředitelství odpovědné za Středisko pro reakci na krize (CRC)

1. Ředitelství odpovědné za Středisko pro reakci na krize (CRC):

a)	plní povinnost řádné péče ESVČ v delegacích Unie;

zajišťuje v delegacích Unie každodenně bezpečnost zaměstnanců, za něž ESVČ odpovídá, navrhuje opatření, která mají být přijata v případě krize, s cílem zajistit kontinuitu činnosti v delegacích Unie a provádí evakuační postupy v úzké koordinaci s koordinačním oddělením generálního ředitelství pro řízení zdrojů;

c)	řídí, koordinuje nebo provádí veškerá bezpečnostní opatření v prostorách ESVČ v rámci delegací Unie a dohlíží na ně;

d)	zajišťuje, aby byly veškeré činnosti ESVČ, které mohou mít dopad na bezpečnostní zájmy ESVČ v oblasti působnosti Střediska pro reakci na krize (CRC), soudržné a v souladu s tímto rozhodnutím a s příslušnými prováděcími ustanoveními;

e)	podporuje činnosti orgánu ESVČ pro bezpečnostní akreditaci při posuzování fyzické bezpečnosti prostor delegací Unie, které mají být schváleny pro nakládání s utajovanými informacemi EU a jejich uchovávání.

2. Ředitel Střediska pro reakci na krize (CRC) odpovídá za:

a)	zajištění celkové ochrany bezpečnostních zájmů ESVČ v oblasti působnosti ředitelství odpovědného za Středisko pro reakci na krize (CRC);

b)	koordinaci bezpečnostních opatření a postupů s příslušnými orgány hostitelských států a případně s příslušnými mezinárodními organizacemi;

c)	zajištění aktivace a řízení mechanismu ESVČ pro reakci na krize;

d)	navrhování a řízení schopnosti nasazení ESVČ (mobilní podpůrný tým, včetně nezbytného vybavení) a za zajištění její neustálé připravenosti;

e)	výkon své funkce hlavního poradce vysokého představitele, bezpečnostního orgánu ESVČ a náměstka generálního tajemníka pro mír, bezpečnost a obranu ve všech záležitostech souvisejících s bezpečností delegací Unie a v otázkách reakce na krizi, která se jich dotýká;

f)	výkon své funkce předsedajícího Bezpečnostního výboru ESVČ ve složení ministrů zahraničních věcí, jak je stanoveno v čl. 15 odst. 1 tohoto rozhodnutí, na pokyn bezpečnostního orgánu ESVČ a za podporu jeho jednání;

g)	styky s jinými partnery nebo orgány, než jsou partneři nebo orgány uvedené v písmeni b), v souvislosti s bezpečnostními záležitostmi, které spadají do oblasti působnosti ředitelství odpovědného za Středisko pro reakci na krize (CRC);

h)	přispívání ke stanovování priorit a předkládání návrhů pro účely řízení rozpočtu vyčleněného na bezpečnost v delegacích Unie, které koordinuje ředitel pro bezpečnost ústředí a bezpečnost informací ESVČ;

i)	zajištění toho, aby byla narušení a ohrožení bezpečnosti v oblasti působnosti ředitelství odpovědného za Středisko pro reakci na krize (CRC) oznámena ředitelství odpovědnému za bezpečnost ústředí a bezpečnost informací ESVČ za účelem přijetí vhodných následných opatření.

3. Ředitelství odpovědné za Středisko pro reakci na krize (CRC) navazuje kontakty a udržuje úzkou spolupráci v oblasti své působnosti:

—	s příslušnými odbory ministerstev zahraničních věcí členských států;

—	v nezbytném rozsahu s příslušnými bezpečnostními orgány hostitelských států, na jejichž území jsou delegace EU usazeny, pokud jde o bezpečnostní zájmy ESVČ;

—	s bezpečnostní kanceláří generálního sekretariátu Rady a ředitelstvím pro bezpečnost v rámci Generálního ředitelství Komise pro lidské zdroje a bezpečnost a případně s bezpečnostními odděleními dalších orgánů, institucí a jiných subjektů EU v oblasti své působnosti;

—	s bezpečnostními odděleními mezinárodních organizací za účelem veškeré užitečné koordinace v oblasti své působnosti.

Oddíl 4: Delegace Unie

1. Každý vedoucí delegace je odpovědný za místní provádění a řízení všech opatření souvisejících s ochranou bezpečnostních zájmů ESVČ v prostorách a v rámci pravomocí delegací Unie.

Pod vedením Střediska pro reakci na krize (CRC) a v případě potřeby po konzultaci s příslušnými orgány hostitelského státu přijme veškerá rozumně proveditelná opatření k zajištění toho, aby byla zavedena vhodná fyzická a organizační opatření k plnění jeho povinnosti řádné péče.

Vedoucí delegace vypracuje případně bezpečnostní postupy na ochranu způsobilých závislých osob ve smyslu v čl. 2 písm. c), přičemž zohlední jakékoli správní ustanovení uvedené v čl. 3 odst. 3.

Vedoucí delegace podává zprávy řediteli Střediska pro reakci na krize (CRC) o všech otázkách souvisejících s povinností řádné péče, které spadají do jeho působnosti, a řediteli ředitelství odpovědného za bezpečnost ústředí a bezpečnost informací ESVČ o jiných bezpečnostních otázkách.

Nápomocno mu je ředitelství odpovědné za Středisko pro reakci na krize (CRC), tým delegace Unie pro řízení bezpečnosti, který sestává ze zaměstnanců vykonávajících úkoly a funkce v oblasti bezpečnosti, a případně bezpečnostní pracovníci. Ředitelství odpovědné za bezpečnost ústředí a bezpečnost informací ESVČ poskytuje pomoc v oblasti své působnosti.

Delegace Unie udržuje pravidelné styky a úzce spolupracuje s diplomatickými misemi členských států, pokud jde o bezpečnostní záležitosti.

2. Vedoucí delegace kromě toho plní tyto úkoly:

—	v koordinaci se Střediskem pro reakci na krize (CRC) vypracovává na základě obecných standardních operačních postupů podrobné bezpečnostní a pohotovostní plány delegací Unie,

—	provozuje nepřetržitě účinný systém zvládání bezpečnostních incidentů a mimořádných událostí v rámci působnosti delegace Unie,

—	zajišťuje, aby všichni zaměstnanci vyslaní do delegací Unie měli pojistné krytí odpovídající podmínkám v dané oblasti,

—	zajišťuje, aby bezpečnost byla součástí úvodních školení v delegacích Unie, která absolvují všichni zaměstnanci bezprostředně po příjezdu do delegace Unie, k níž byli vysláni, a

—	zajišťuje, aby byla prováděna veškerá doporučení vydaná na základě posouzení bezpečnosti, a pravidelně podává písemné zprávy o jejich provádění řediteli Střediska pro reakci na krize (CRC) a řediteli pro bezpečnost ústředí a bezpečnost informací ESVČ.

3. Vedoucí delegace je odpovědný za řízení bezpečnosti, jakož i zajištění odolnosti organizace, může však plněním svých bezpečnostních úkolů pověřit bezpečnostního koordinátora delegace, přičemž tento koordinátor je zástupce vedoucího delegace nebo jiná vhodná osoba, pokud do této funkce nebyl nikdo jmenován.

Bezpečnostní koordinátor delegace může být pověřen především těmito úkoly:

—	koordinací bezpečnostních funkcí v delegaci Unie,

—	navazováním styků s příslušnými orgány hostitelského státu a příslušnými protějšky na velvyslanectvích a diplomatických misích členských států, pokud jde o bezpečnostní otázky,

—	prováděním vhodných postupů řízení bezpečnosti týkajících se bezpečnostních zájmů ESVČ, včetně ochrany utajovaných informací EU,

—	zajišťováním souladu s bezpečnostními pravidly a pokyny,

—	informováním zaměstnanců o bezpečnostních pravidlech, která se na ně vztahují, a o konkrétních rizicích v hostitelském státě,

—	předkládáním žádostí o bezpečnostní prověrky a žádostí týkajících se pozic, které vyžadují bezpečnostní prověrku personálu, ředitelství odpovědnému za bezpečnost ústředí a bezpečnost informací ESVČ, a

—	průběžným informováním vedoucího delegace, regionálního bezpečnostního úředníka a ředitelství odpovědného za Středisko pro reakci na krize (CRC) o incidentech nebo vývoji týkajícím se bezpečnosti v oblasti, které mají vliv na ochranu bezpečnostních zájmů ESVČ.

4. Vedoucí delegace může pověřit plněním bezpečnostních úkolů administrativní nebo technické povahy vedoucího administrativy a další zaměstnance delegace Unie.

5. Delegaci Unie je nápomocen regionální bezpečnostní úředník. Regionální bezpečnostní úředníci plní v delegacích Unie v rámci příslušné zeměpisné oblasti, za niž jsou zodpovědní, níže uvedené úkoly.

Za určitých okolností, pokud je to nutné vzhledem k převažující bezpečnostní situaci, může být ke konkrétní delegaci Unie jako rezident na plný úvazek přidělen zvláštní regionální bezpečnostní úředník.

Od regionálního bezpečnostního úředníka může být vyžadováno, aby se přemístil do oblasti mimo svou stávající oblast působnosti, včetně ústředí, nebo aby se podle příslušné bezpečnostní situace dokonce ujal své funkce jako rezident v kterékoli zemi podle požadavků ředitelství odpovědného za Středisko pro reakci na krize (CRC).

6. Regionální bezpečnostní úředníci podléhají přímému operačnímu řízení útvaru v rámci ústředí ESVČ odpovědného za bezpečnost v terénu, současně však spadají pod sdílenou administrativní kontrolu vedoucího delegace v místě výkonu zaměstnání a útvaru ústředí odpovědného za bezpečnost v terénu. Poskytují poradenství a jsou nápomoci vedoucímu delegace a zaměstnancům delegace Unie při přípravě a provádění všech fyzických, organizačních a procedurálních opatření souvisejících s bezpečností delegace Unie.

7. Regionální bezpečnostní úředníci poskytují poradenství a pomoc vedoucímu delegace a zaměstnancům delegace Unie. Podle potřeby, a zejména v případech, kdy regionální bezpečnostní úředník působí jako rezident na plný úvazek, [...] by měl být delegaci Unie nápomocen při řízení a provádění bezpečnosti, včetně přípravy bezpečnostních smluv, řízení akreditací a prověrek.

Článek 14

Operace SBOP a zvláštní zástupci EU

Ředitel pro bezpečnost ústředí a bezpečnost informací ESVČ a ředitel Střediska pro reakci na krize (CRC) poskytují v rámci příslušných oblastí působnosti svých ředitelství a v případě potřeby poradenství výkonnému řediteli pro společnou bezpečnostní a obrannou politiku (SBOP), generálnímu řediteli Vojenského štábu EU (EUMS) – působícímu rovněž ve funkci ředitele útvaru schopnosti vojenského plánování a vedení (MPCC) – a výkonnému řediteli pro útvar schopnosti civilního plánování a vedení (CPCC) ohledně bezpečnostních aspektů plánování a vedení misí a operací SBOP a zvláštním zástupcům EU ohledně bezpečnostních aspektů jejich mandátu, čímž doplňují zvláštní ustanovení, která v tomto ohledu přijala Rada v příslušných politikách.

Článek 15

Bezpečnostní výbor ESVČ

1. Zřizuje se Bezpečnostní výbor ESVČ.

Výboru předsedá bezpečnostní orgán ESVČ nebo osoba pověřená jeho zastupováním; schází se podle pokynů předsedy nebo na žádost některého ze svých členů. Ředitelství odpovědné za bezpečnost velitelství a bezpečnost informací ESVČ a ředitelství odpovědné za Středisko pro reakci na krize (CRC) podporují v rámci svých příslušných oblastí působnosti předsedu při výkonu této funkce a v případě potřeby poskytují administrativní pomoc pro účely jednání výboru.

2. Bezpečnostní výbor ESVČ se skládá ze zástupců:

—	jednotlivých členských států;

—	bezpečnostní kanceláře generálního sekretariátu Rady;

—	bezpečnostního ředitelství Generálního ředitelství Komise pro lidské zdroje a bezpečnost.

Delegace členského státu při Bezpečnostním výboru ESVČ může být složena z členů:

—	vnitrostátního bezpečnostního orgánu nebo určeného bezpečnostního orgánu;

—	odborů ministerstev zahraničních věcí odpovědných za bezpečnost.

3. Pokud to zástupci ve výboru považují za nutné, mohou být doprovázeni odborníky a mohou využívat jejich poradenství. Zástupci dalších orgánů, institucí a jiných subjektů EU mohou být přizváni k účasti, pokud jsou projednávány otázky související s jejich bezpečností.

4. Aniž je dotčen odstavec 5 níže, Bezpečnostní výbor ESVČ je prostřednictvím konzultací nápomocen ESVČ ve všech bezpečnostních otázkách relevantních pro činnosti ESVČ, ústředí a delegace Unie.

Aniž je dotčen odstavec 5 níže, Bezpečnostní výbor ESVČ:

je konzultován zejména ohledně:

—	bezpečnostních politik, pokynů, koncepcí nebo jiných metodických dokumentů souvisejících s bezpečností, zejména pokud jde o ochranu utajovaných informací a opatření, která mají být přijata v případě nedodržení bezpečnostních pravidel ze strany zaměstnanců ESVČ;

—	technických aspektů bezpečnosti, které by mohly ovlivnit rozhodnutí vysokého představitele předložit Radě doporučení k zahájení jednání o dohodách o bezpečnosti informací uvedených v čl. 10 odst. 1 písm. a) přílohy A;

—	jakýchkoli změn tohoto rozhodnutí;

b)	aniž je dotčen čl. 3 odst. 3, může být případně konzultován nebo informován ohledně otázek souvisejících s bezpečností zaměstnanců a majetku v ústředí ESVČ nebo v delegacích Unie;

c)	je informován o všech případech ohrožení či ztráty utajovaných informací EU, k nimž došlo v rámci ESVČ.

5. Každá změna pravidel souvisejících s ochranou utajovaných informací EU, která jsou obsažena v tomto rozhodnutí a jeho příloze A, vyžaduje jednomyslné kladné stanovisko členských států zastoupených v Bezpečnostním výboru ESVČ. Jednomyslné kladné stanovisko se vyžaduje rovněž před:

—	zahájením jednání o správních ujednáních podle čl. 10 odst. 1 písm. b) přílohy A;

—	poskytnutím utajovaných informací za výjimečných okolností uvedených v odstavcích 9, 11 a 12 přílohy A VI;

—	převzetím odpovědnosti původce informací za okolností uvedených v poslední větě čl. 10 odst. 6 přílohy A.

Podmínka udělení jednomyslného kladného stanoviska bude splněna, pokud delegace členských států během jednání výboru nevznesou žádné námitky.

6. Bezpečnostní výbor ESVČ v plném rozsahu zohledňuje bezpečnostní politiky a pokyny platné v Radě a Komisi.

7. Bezpečnostnímu výboru ESVČ se předkládá seznam ročních inspekcí ESVČ a konečné inspekční zprávy.

8. Organizace zasedání:

—

Bezpečnostní výbor ESVČ zasedá nejméně dvakrát ročně. Z podnětu předsedy nebo na žádost členů výboru mohou být svolána další zasedání, a to buď v úplném složení, nebo ve složení vnitrostátních bezpečnostních orgánů / určených bezpečnostních orgánů nebo příslušných bezpečnostních odborů ministerstev zahraničních věcí.

—	Bezpečnostní výbor ESVČ organizuje svou činnost tak, aby mohl poskytovat doporučení týkající se konkrétních oblastí bezpečnosti. V případě potřeby může zřizovat další odborné podskupiny. Stanovuje mandát pro tyto odborné podskupiny, které mu předkládají zprávy o své činnosti.

—

Ředitelství odpovědné za bezpečnost ústředí a bezpečnost informací ESVČ a ředitelství odpovědné za Středisko pro reakci na krize (CRC) odpovídají za přípravu bodů k jednání v rámci svých příslušných oblastí působnosti. Předseda vypracuje pro každé zasedání předběžný pořad jednání. Členové výboru mohou navrhovat další body k jednání.

Článek 16

Bezpečnostní inspekce

1. Bezpečnostní orgán ESVČ zajistí, aby byly v ústředí ESVČ a v delegacích Unie pravidelně prováděny bezpečnostní inspekce s cílem posoudit přiměřenost provádění bezpečnostních opatření a ověřit jejich soulad s tímto rozhodnutím. Ředitelství odpovědné za bezpečnost ústředí a bezpečnost informací ESVČ může ve spolupráci s ředitelstvím odpovědným za Středisko pro reakci na krize (CRC) ve vhodných případech jmenovat přispívající odborníky, aby se účastnili bezpečnostních inspekcí v agenturách a subjektech EU zřízených podle hlavy V kapitoly 2 Smlouvy o EU.

2. Bezpečnostní inspekce ESVČ jsou prováděny pod vedením ředitelství odpovědného za bezpečnost ústředí a informační bezpečnost ESVČ, případně za podpory Střediska ESVČ pro reakci na krize (CRC), a v souvislosti s opatřeními uvedenými v čl. 3 odst. 3 za podpory bezpečnostních odborníků zastupujících jiné orgány EU nebo členské státy.

3. ESVČ může v případě potřeby čerpat z odborných poznatků členských států, generálního sekretariátu Rady a Komise.

Pokud je to nutné, mohou být k účasti na bezpečnostní inspekci delegace Unie přizváni příslušní bezpečnostní odborníci působící při misích členských států ve třetích státech nebo zástupci diplomatických bezpečnostních oddělení členských států.

4. Ustanovení pro provádění tohoto článku, pokud jde o ochranu utajovaných informací EU, jsou obsažena v příloze A III.

Článek 17

Hodnoticí návštěvy

Za účelem posouzení účinnosti bezpečnostních opatření, která byla zavedena ve třetím státě nebo mezinárodní organizaci na ochranu utajovaných informací EU vyměňovaných v rámci správního ujednání podle čl. 10 odst. 1 písm. b) přílohy A, se provádějí hodnoticí návštěvy.

Ředitelství ESVČ odpovědné za bezpečnost ústředí a bezpečnost informací ESVČ může jmenovat přispívající odborníky, aby se účastnili hodnoticích návštěv ve třetích státech nebo mezinárodních organizacích, s nimiž EU uzavřela dohodu o bezpečnosti informací podle čl. 10 odst. 1 písm. a) přílohy A.

Článek 18

Plánování kontinuity činností

Ředitelství odpovědné za bezpečnost ústředí a bezpečnost informací ESVČ a ředitelství odpovědné za Středisko pro reakci na krize (CRC) napomáhají bezpečnostnímu orgánu ESVČ při řízení aspektů kontinuity činností ESVČ, které souvisejí s bezpečností, v rámci celkového plánování kontinuity činností ESVČ.

Článek 19

Doporučení k cestám pro mise mimo EU

Ředitelství ESVČ odpovědné za Středisko pro reakci na krize (CRC) zajistí, aby pro mise mimo EU, které vykonávají zaměstnanci, za něž ESVČ odpovídá, byla k dispozici doporučení k cestám, a čerpá přitom ze zdrojů všech příslušných útvarů ESVČ, zejména Zpravodajského a informačního centra EU (INTCEN), kontrašpionážní buňky generálního ředitelství pro řízení zdrojů, oddělení zaměřených na danou zeměpisnou oblast a delegací Unie.

Ředitelství ESVČ odpovědné za Středisko pro reakci na krize (CRC) poskytuje na vyžádání a za využití výše uvedených zdrojů konkrétní doporučení k cestám týkající se misí, které vykonávají zaměstnanci, za něž ESVČ odpovídá, ve třetích státech představujících vysoké nebo zvýšené riziko.

Článek 20

Zdraví a bezpečnost

Bezpečnostní pravidla ESVČ doplňují pravidla ESVČ pro ochranu zdraví a bezpečnost, která přijal vysoký představitel.

Článek 21

Provádění a přezkum

1. Bezpečnostní orgán ESVČ případně po konzultaci s Bezpečnostním výborem ESVČ schvaluje bezpečnostní pokyny, jimiž se stanoví opatření nezbytná k provádění těchto pravidel v ESVČ, a buduje potřebné kapacity pokrývající všechny aspekty bezpečnosti, a to v úzké spolupráci s příslušnými bezpečnostními orgány členských států a za podpory příslušných útvarů orgánů EU.

2. V souladu s čl. 4 odst. 5 rozhodnutí Rady 2010/427/EU a podle potřeby může ESVČ uzavírat na úrovni útvarů ujednání s příslušnými útvary generálního sekretariátu Rady a Komise.

3. Vysoký představitel zajistí celkovou soudržnost při uplatňování tohoto rozhodnutí a průběžně provádí přezkum těchto bezpečnostních pravidel.

4. Bezpečnostní pravidla ESVČ musejí být prováděna v úzké spolupráci s příslušnými bezpečnostními orgány členských států.

5. ESVČ zajistí, aby byly všechny aspekty bezpečnostního postupu zohledňovány v rámci jejího systému reakce na krize.

6. Provádění tohoto rozhodnutí zajišťuje generální tajemník jakožto bezpečnostní orgán, ředitel ředitelství odpovědného za bezpečnost ústředí a informační bezpečnost ESVČ a ředitel Střediska pro reakci na krize (CRC).

Článek 22

Nahrazení předchozích rozhodnutí

Tímto rozhodnutím se zrušuje a nahrazuje rozhodnutí vysoké představitelky Unie pro zahraniční věci a bezpečnostní politiku ADMIN (2017) 10 ze dne 19. září 2017 o bezpečnostních pravidlech pro Evropskou službu pro vnější činnost (5).

Článek 23

Závěrečná ustanovení

Toto rozhodnutí vstupuje v platnost dnem podpisu.

Bude vyhlášeno v Úředním věstníku Evropské unie.

Bezpečnostní orgán ESVČ řádně a včas informuje všechny zaměstnance, kteří spadají do oblasti působnosti tohoto rozhodnutí a jeho přílohy, o obsahu, vstupu v platnost a všech jeho pozdějších změnách.

V Bruselu dne 19. června 2023.

Josep BORRELL FONTELLES

vysoký představitel Unie

pro zahraniční věci a bezpečnostní politiku

(1) Úř. věst. L 201, 3.8.2010, s. 30.

(2) Úř. věst. C 126, 10.4.2018, s. 1.

(3) Služební řád úředníků Evropské unie a pracovní řád ostatních zaměstnanců Evropské unie (dále jen „služební řád“).

(4) Nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů (Úř. věst. L 295, 21.11.2018, s. 39).

(5) Úř. věst. C 126, 10.4.2018, s. 1.

PŘÍLOHA A

ZÁSADY A STANDARDY PRO OCHRANU UTAJOVANÝCH INFORMACÍ EU

Článek 1

Účel, oblast působnosti a definice

1. Tato příloha stanoví základní zásady a minimální bezpečnostní standardy pro ochranu utajovaných informací EU.

2. Tyto základní zásady a minimální standardy jsou použitelné pro ESVČ a zaměstnance, za něž ESVČ odpovídá, jak je uvedeno v článku 1 a definováno v článku 2 tohoto rozhodnutí.

Článek 2

Definice utajovaných informací EU, stupně utajení a označení

1. „Utajovanými informacemi EU“ se rozumějí jakékoli informace nebo materiály označené stupněm utajení EU, jejichž neoprávněné vyzrazení by mohlo různou měrou poškodit zájmy Evropské unie nebo jednoho či více členských států.

2. Utajované informace EU jsou utajovány jedním z následujících stupňů utajení:

a)	TRES SECRET UE / EU TOP SECRET: informace a materiály, jejichž neoprávněné vyzrazení by mohlo mimořádně závažně poškodit podstatné zájmy Evropské unie nebo jednoho či více členských států;

b)	SECRET UE / EU SECRET: informace a materiály, jejichž neoprávněné vyzrazení by mohlo závažně poškodit podstatné zájmy Evropské unie nebo jednoho či více členských států;

c)	CONFIDENTIEL UE / EU CONFIDENTIAL: informace a materiály, jejichž neoprávněné vyzrazení by mohlo poškodit podstatné zájmy Evropské unie nebo jednoho či více členských států;

d)	RESTREINT UE / EU RESTRICTED: informace a materiály, jejichž neoprávněné vyzrazení by mohlo být nevýhodné pro zájmy Unie nebo jednoho či více členských států.

3. Utajované informace EU jsou označeny stupněm utajení podle odstavce 2. Mohou nést doplňující označení uvádějící oblast činnosti, k níž se vztahují, identifikující původce, omezující distribuci či použití nebo uvádějící informace o způsobilosti k předání.

Článek 3

Pravidla stanovování stupňů utajení

1. ESVČ zajistí odpovídající utajení utajovaných informací EU, jejich jasné označení jako utajované informace a zachování stupně utajení pouze po nezbytnou dobu.

2. Bez předchozího písemného souhlasu původce nelze snížit ani zrušit stupeň utajení utajovaných informací EU a ani nelze změnit či zrušit žádné z označení uvedených v čl. 2 odst. 3.

3. Bezpečnostní orgán ESVČ po konzultaci s Bezpečnostním výborem ESVČ podle čl. 15 odst. 5 tohoto rozhodnutí schválí bezpečnostní pokyny pro vytváření utajovaných informací EU, které zahrnují praktickou příručku pro stanovování stupňů utajení.

Článek 4

Ochrana utajovaných informací

1. Utajované informace EU jsou chráněny v souladu s tímto rozhodnutím.

2. Držitel jakékoli utajované informace EU je odpovědný za její ochranu v souladu s tímto rozhodnutím.

3. Pokud členské státy poskytnou v rámci struktur a sítí ESVČ utajované informace označené vnitrostátním stupněm utajení, ESVČ tyto informace chrání v souladu s požadavky na ochranu utajovaných informací EU na rovnocenné úrovni podle srovnávací tabulky stupňů utajení uvedené v dodatku B.

ESVČ stanoví přiměřené postupy vedení přesných záznamů, pokud jde o původce:

—	utajovaných informací poskytnutých ESVČ a

—	výchozího materiálu zahrnutého do utajovaných informací, jejichž původcem je ESVČ.

Bezpečnostní výbor ESVČ je o těchto postupech informován.

4. Velké množství či kompilace utajovaných informací EU mohou být důvodem pro ochranu na úrovni, která odpovídá vyššímu stupněm utajení, než je stupeň utajení jednotlivých částí.

Článek 5

Personální bezpečnost při nakládání s utajovanými informacemi EU

1. Personální bezpečností se rozumí uplatňování opatření, jež zajistí, že přístup k utajovaným informacím EU je umožněn pouze osobám, které:

—	utajované informace potřebují znát,

—	jsou pro přístup k utajovaným informacím se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším bezpečnostně prověřeny pro odpovídající stupeň utajení nebo jsou jinak řádně oprávněny z titulu své funkce v souladu s vnitrostátními právními předpisy a

—	byly poučeny o svých povinnostech.

2. Postupy bezpečnostní prověrky personálu určí, zda může být určitá osoba s přihlédnutím k její loajalitě, důvěryhodnosti a spolehlivosti oprávněna k přístupu k utajovaným informacím EU.

3. Před udělením přístupu k utajovaným informacím EU a poté v pravidelných intervalech jsou všechny osoby poučeny o svých povinnostech v souvislosti s ochranou utajovaných informací EU v souladu s tímto rozhodnutím a tyto povinnosti vezmou písemně na vědomí.

4. Prováděcí pravidla k tomuto článku jsou stanovena v příloze A I.

Článek 6

Fyzická bezpečnost utajovaných informací EU

1. Fyzickou bezpečností se rozumí uplatňování fyzických a technických ochranných opatření s cílem zabránit neoprávněnému přístupu k utajovaným informacím EU.

2. Opatření fyzické bezpečnosti mají znemožnit neoprávněný nebo násilný vstup útočníka, odradit od neoprávněných činností a takovým činnostem zabránit a odhalit je a umožnit rozlišování členů personálu, pokud jde o přístup k utajovaným informacím EU, na základě potřeby znát utajované informace. Tato opatření se stanoví na základě procesu řízení rizik.

3. Opatření fyzické bezpečnosti je třeba zavést pro všechny prostory, budovy, kanceláře, místnosti a další oblasti, v nichž se nakládá s utajovanými informacemi EU nebo v nichž jsou takové informace uchovávány, včetně oblastí, v nichž jsou umístěny komunikační a informační systémy, jak jsou definovány v dodatku A tohoto rozhodnutí.

4. Oblasti, v nichž jsou uchovávány utajované informace EU se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším, je třeba zřídit jako zabezpečené oblasti v souladu s přílohou A II a musí je schválit bezpečnostní orgán ESVČ.

5. Na ochranu utajovaných informací EU se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším se použijí pouze schválené prostředky nebo zařízení.

6. Prováděcí pravidla k tomuto článku jsou stanovena v příloze A II.

Článek 7

Správa utajovaných informací

1. Správou utajovaných informací se rozumí uplatňování administrativních opatření ke kontrole utajovaných informací EU během celého jejich životního cyklu, která doplňují opatření stanovená v článcích 5, 6 a 8, a pomáhají tak zabránit úmyslnému či neúmyslnému ohrožení či ztrátě takových informací, odhalit takové ohrožení nebo ztrátu informací a následně zajistit nápravu. Tato opatření se týkají zejména vytváření, evidence, kopírování, překladů, přenášení, uchovávání a ničení utajovaných informací EU a nakládání s nimi.

2. Informace se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším je třeba po jejich obdržení a před jejich distribucí z bezpečnostních důvodů zaevidovat. Příslušné orgány ESVČ zřídí za tímto účelem systém registrů. Informace se stupněm utajení TRES SECRET UE / EU TOP SECRET musejí být zaevidovány v určených registrech.

3. Útvary a prostory, v nichž se nakládá s utajovanými informacemi EU nebo v nichž jsou takové informace uchovávány, podléhají pravidelné inspekci prováděné bezpečnostním orgánem ESVČ.

4. Mimo fyzicky chráněné oblasti se utajované informace EU mezi jednotlivými útvary a prostorami přenášejí tímto způsobem:

a)	utajované informace EU se obecně přenášejí elektronicky při zajištění ochrany kryptografickými prostředky schválenými v souladu s čl. 7 odst. 5 tohoto rozhodnutí a v souladu s jasně definovanými bezpečnostními provozními postupy (SecOPs);

pokud přenos není uskutečňován způsobem uvedeným v písmeni a), přenášejí se utajované informace EU:

i)	na elektronických nosičích informací (například paměťová zařízení USB, kompaktní disky, pevné disky), které jsou chráněny kryptografickými prostředky schválenými v souladu s čl. 8 odst. 5 tohoto rozhodnutí, nebo

ii)	ve všech ostatních případech podle pokynů stanovených bezpečnostním orgánem ESVČ v souladu s příslušnými ochrannými opatřeními stanovenými v oddíle V přílohy A III.

5. Prováděcí pravidla k tomuto článku jsou stanovena v příloze A III.

Článek 8

Ochrana utajovaných informací EU, s nimiž se nakládá v komunikačních a informačních systémech

1. Zabezpečením informací v oblasti komunikačních a informačních systémů se rozumí jistota, že takové systémy ochrání informace, s nimiž nakládají, a že budou fungovat tak, jak je třeba, a kdy je třeba, a to pod dohledem oprávněných uživatelů. Účinné zabezpečení informací zajišťuje příslušnou míru důvěrnosti, integrity, dostupnosti, nepopiratelnosti a autenticity informací. Zabezpečení informací je založeno na procesu řízení rizik.

2. V komunikačních a informačních systémech se s utajovanými informacemi EU nakládá v souladu s koncepcí zabezpečení informací.

3. Veškeré komunikační a informační systémy nakládající s utajovanými informacemi EU podléhají akreditačnímu řízení. Cílem akreditace je získat jistotu, že byla provedena veškerá vhodná bezpečnostní opatření a že byla dosažena dostatečná úroveň ochrany utajovaných informací EU a komunikačních a informačních systémů v souladu s tímto rozhodnutím. Rozhodnutí o akreditaci stanoví nejvyšší stupeň utajení informací, s nimiž lze v daném komunikačním a informačním systému nakládat, a příslušné podmínky.

4. Komunikační a informační systémy nakládající s informacemi se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším jsou chráněny takovým způsobem, aby informace nemohly být ohroženy kompromitujícím elektromagnetickým vyzařováním („bezpečnostní opatření TEMPEST“).

5. Pokud je ochrana utajovaných informací EU zajišťována kryptografickými prostředky, tyto prostředky se schvalují v souladu s čl. 8 odst. 5 tohoto rozhodnutí.

6. Během elektronického přenosu utajovaných informací EU se použijí schválené kryptografické prostředky. Bez ohledu na tento požadavek se za mimořádných okolností nebo v případě zvláštních technických konfigurací mohou použít zvláštní postupy, jak je uvedeno v příloze A IV.

7. Podle čl. 8 odst. 6 tohoto rozhodnutí se v nezbytném rozsahu zajistí tyto funkce v oblasti zabezpečení informací:

a)	orgán pro zabezpečení informací;

b)	orgán TEMPEST;

c)	schvalovací orgán pro kryptografickou ochranu;

d)	orgán pro distribuci kryptografických materiálů.

8. Podle čl. 8 odst. 7 tohoto rozhodnutí se pro každý systém stanoví:

a)	orgán pro bezpečnostní akreditaci;

b)	provozní orgán pro zabezpečení informací.

9. Prováděcí pravidla k tomuto článku jsou stanovena v příloze A IV.

Článek 9

Průmyslová bezpečnost

1. Průmyslovou bezpečností se rozumí uplatňování opatření k zajištění ochrany utajovaných informací EU ze strany dodavatelů nebo subdodavatelů během jednání před uzavřením utajovaných smluv a během celého životního cyklu utajovaných smluv. Tyto smlouvy nesmějí obecně zahrnovat přístup k informacím se stupněm utajení TRES SECRET UE / EU TOP SECRET.

2. ESVČ může na základě smlouvy pověřit plněním úkolů, které zahrnují nebo vyžadují přístup k utajovaným informacím EU nebo nakládání s nimi či jejich uchovávání, průmyslové nebo jiné subjekty registrované v členském státě nebo ve třetím státě, který uzavřel dohodu nebo správní ujednání o bezpečnosti informací podle čl. 10 odst. 1 přílohy A.

3. ESVČ jakožto zadavatel zajistí, aby při zadávání zakázek na základě utajovaných smluv průmyslovým nebo jiným subjektům byly dodržovány minimální standardy průmyslové bezpečnosti, které jsou stanoveny tímto rozhodnutím a na něž dotyčná smlouva odkazuje. Zajistí dodržování těchto minimálních standardů prostřednictvím příslušného vnitrostátního bezpečnostního orgánu / určeného bezpečnostního orgánu.

4. Dodavatelé a subdodavatelé registrovaní v členském státě a účastnící se zakázek na základě utajovaných smluv nebo utajovaných subdodavatelských smluv, od nichž se vyžaduje, aby nakládali s informacemi se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo SECRET UE / EU SECRET a uchovávali je ve svých zařízeních, buď při plnění takových smluv, nebo před jejich uzavřením, musejí být držiteli osvědčení o bezpečnostní prověrce zařízení pro požadovaný stupeň utajení, které vydal vnitrostátní bezpečnostní orgán, určený bezpečnostní orgán nebo kterýkoli jiný příslušný bezpečnostní orgán daného členského státu.

5. Pracovníci dodavatele či subdodavatele, kteří pro plnění utajované smlouvy potřebují přístup k informacím se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo SECRET UE / EU SECRET, musejí být držiteli osvědčení o bezpečnostní prověrce personálu, které vydal příslušný vnitrostátní bezpečnostní orgán, určený bezpečnostní orgán nebo kterýkoli jiný příslušný bezpečnostní orgán v souladu s vnitrostátními právními předpisy a s minimálními standardy stanovenými v příloze A I.

6. Prováděcí pravidla k tomuto článku jsou stanovena v příloze A V.

Článek 10

Výměna utajovaných informací se třetími státy a mezinárodními organizacemi

1. ESVČ si může vyměňovat utajované informace EU se třetími státy nebo mezinárodními organizacemi pouze v případě, že:

a)	je v platnosti dohoda o bezpečnosti informací uzavřená v souladu s článkem 37 SEU a článkem 218 SFEU mezi EU a daným třetím státem nebo mezinárodní organizací, nebo

nabylo účinnosti správní ujednání uzavřené postupem stanoveným v čl. 15 odst. 5 tohoto rozhodnutí mezi vysokým představitelem a příslušnými bezpečnostními orgány daného třetího státu nebo mezinárodní organizace o výměně utajovaných informací, jejichž stupeň utajení v zásadě není vyšší než RESTREINT UE / EU RESTRICTED, nebo

je použitelná rámcová nebo ad hoc dohoda o účasti uzavřená v souladu s článkem 37 SEU a článkem 218 SFEU mezi EU a daným třetím státem v rámci operace SBOP pro řešení krizí

a byly splněny podmínky stanovené v uvedeném nástroji.

Výjimky z výše uvedeného obecného pravidla jsou stanoveny v oddíle V přílohy A VI.

2. Správní ujednání podle odst. 1 písm. b) musejí obsahovat ustanovení, která zaručí, že pokud třetí státy nebo mezinárodní organizace obdrží utajované informace EU, zajistí ochranu těchto informací odpovídající jejich stupni utajení a v souladu s minimálními standardy, které nejsou méně přísné než minimální standardy stanovené tímto rozhodnutím.

Informace vyměňované na základě dohod uvedených v odst. 1 písm. c) se omezují pouze na informace týkající se operací SBOP, jichž se dotyčný třetí stát účastní na základě těchto dohod a v souladu s jejich ustanoveními.

3. Pokud je mezi Unií a přispívajícím třetím státem nebo mezinárodní organizací následně uzavřena dohoda o bezpečnosti informací, nahradí tato dohoda o bezpečnosti informací v otázkách výměny utajovaných informací EU a nakládání s nimi ustanovení o výměně utajovaných informací stanovená v jakékoli rámcové dohodě o účasti, ad hoc dohodě o účasti nebo ad hoc správním ujednání.

4. Utajované informace EU vytvořené pro účely operace SBOP mohou být zpřístupněny personálu vyslanému v rámci dané operace třetími státy nebo mezinárodními organizacemi v souladu s body 1 až 3 a přílohou A VI. Při povolování přístupu těchto členů personálu k utajovaným informacím EU v prostorách nebo v komunikačních a informačních systémech dané operace SBOP je třeba uplatňovat opatření (včetně záznamů o zpřístupněných utajovaných informacích EU) ke zmírnění rizika ztráty nebo ohrožení těchto informací. Tato opatření se stanoví v příslušných plánovacích dokumentech nebo v dokumentech mise.

5. Za účelem zhodnocení účinnosti bezpečnostních opatření, která byla zavedena na ochranu vyměňovaných utajovaných informací EU, se ve třetích státech nebo mezinárodních organizacích provádějí hodnotící návštěvy podle článku 17 tohoto rozhodnutí.

6. Rozhodnutí o poskytnutí utajovaných informací EU v držení ESVČ třetímu státu nebo mezinárodní organizaci se přijímá případ od případu s ohledem na povahu a obsah těchto informací, na základě potřeby příjemce znát utajované informace a s ohledem na míru výhod, které z poskytnutí pro EU vyplývají.

ESVČ si vyžádá písemný souhlas každého subjektu, který poskytl utajované informace jako výchozí materiál pro utajované informace EU, jichž je ESVČ původcem, aby se ujistila, že proti jejich poskytnutí nejsou námitky.

Není-li ESVČ původcem utajovaných informací, které mají být poskytnuty, ESVČ pro poskytnutí informací nejdříve získá písemný souhlas původce.

Nemůže-li ESVČ určit původce, převezme odpovědnost původce bezpečnostní orgán ESVČ poté, co získal jednomyslné kladné stanovisko členských států zastoupených v Bezpečnostním výboru ESVČ.

7. Prováděcí pravidla k tomuto článku jsou stanovena v příloze A VI.

Článek 11

Narušení bezpečnosti a ohrožení utajovaných informací

1. Jakékoli narušení bezpečnosti nebo podezření na něj a jakékoli ohrožení utajovaných informací nebo podezření na něj se neprodleně oznámí ředitelství odpovědnému za bezpečnost ústředí a bezpečnost informací ESVČ, které náležitým způsobem informuje dotčený členský stát (dotčené členské státy) nebo kterýkoli jiný dotčený subjekt.

2. Je-li známo nebo existují-li oprávněné důvody se domnívat, že došlo k ohrožení či ztrátě utajovaných informací, ředitelství odpovědné za bezpečnost ústředí a bezpečnost informací ESVČ informuje vnitrostátní bezpečnostní orgán příslušného členského státu (příslušných členských států) a přijme v souladu s příslušnými právními předpisy veškerá vhodná opatření s cílem:

a)	zajistit důkazy,

b)	zajistit, aby za účelem zjištění faktů byla událost vyšetřena členy personálu, kteří nejsou daným narušením nebo ohrožením bezprostředně dotčeni,

c)	neprodleně informovat původce nebo kterýkoli jiný dotčený subjekt,

d)	přijmout vhodná opatření, která zabrání opakování události,

e)	posoudit možnou škodu z hlediska zájmů EU nebo členských států a

f)	informovat příslušné orgány o důsledcích faktického ohrožení nebo podezření na něj a o přijatých opatřeních.

3. Vůči kterémukoli zaměstnanci, za nějž ESVČ odpovídá, který je odpovědný za porušení bezpečnostních pravidel stanovených tímto rozhodnutím, mohou být přijata disciplinární opatření v souladu s platnými pravidly a předpisy.

Vůči kterékoli osobě, která je odpovědná za ohrožení či ztrátu utajovaných informací, se přijmou disciplinární opatření nebo právní kroky v souladu s platnými právními předpisy a pravidly.

4. Během vyšetřování narušení bezpečnosti nebo ohrožení utajovaných informací může ředitel ředitelství odpovědného za bezpečnost ústředí a bezpečnost informací ESVČ pozastavit dotčené osobě přístup k utajovaným informacím EU a do prostor ESVČ. O tomto rozhodnutí je třeba neprodleně informovat ředitelství pro bezpečnost v rámci Generálního ředitelství Komise pro lidské zdroje a bezpečnost a bezpečnostní kancelář generálního sekretariátu Rady nebo vnitrostátní bezpečnostní orgán příslušného členského státu (příslušných členských států) nebo jiné dotčené subjekty.

PŘÍLOHA A I

PERSONÁLNÍ BEZPEČNOST

I. ÚVOD

Tato příloha stanoví prováděcí pravidla k článku 5 přílohy A. Stanoví zejména kritéria, na jejichž základě ESVČ určí, zda může být určitá osoba s přihlédnutím k její loajalitě, důvěryhodnosti a spolehlivosti oprávněna k přístupu k utajovaným informacím EU, a postupy šetření a správní postupy, jež je třeba za tímto účelem dodržovat.

„Bezpečnostní prověrkou personálu“ pro přístup k utajovaným informacím EU se rozumí prohlášení příslušného orgánu členského státu vydané po skončení bezpečnostního řízení prováděného příslušnými orgány členského státu, kterým se osvědčuje, že určité osobě může být za podmínky, že byla zjištěna potřeba této osoby znát utajované informace, umožněn do konkrétně stanoveného data přístup k utajovaným informacím EU až do konkrétního stupně utajení (CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyššího); osoba odpovídající tomuto popisu se označuje za osobu, která je „bezpečnostně prověřena“.

„Potvrzením o bezpečnostní prověrce personálu“ se rozumí osvědčení vydané bezpečnostním orgánem ESVČ, jímž se potvrzuje, že určitá osoba je bezpečnostně prověřena, a v němž je uveden stupeň utajení utajovaných informací EU, k nimž může mít dotčená osoba přístup, datum platnosti příslušné bezpečnostní prověrky personálu a datum, do kdy je platné samotné potvrzení.

„Oprávněním k přístupu k utajovaným informacím EU“ se rozumí oprávnění udělené bezpečnostním orgánem ESVČ v souladu s tímto rozhodnutím poté, co příslušné orgány členského státu vydaly osvědčení o bezpečnostní prověrce personálu, které osvědčuje, že určité osobě může být za podmínky, že byla zjištěna potřeba této osoby znát utajované informace, umožněn do konkrétně stanoveného data přístup k utajovaným informacím EU až do konkrétního stupně utajení (CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyššího); osoba odpovídající tomuto popisu se označuje za osobu, která je „bezpečnostně prověřena“.

II. OPRÁVNĚNÍ K PŘÍSTUPU K UTAJOVANÝM INFORMACÍM EU

Přístup k informacím se stupněm utajení RESTREINT UE / EU RESTRICTED nevyžaduje bezpečnostní prověrku a je umožněn poté, co:

a)	bylo stanoveno, že dotčená osoba má statutární nebo smluvní vztah k ESVČ,

b)	byla zjištěna potřeba dotčené osoby znát utajované informace,

c)	dotčená osoba byla poučena o bezpečnostních pravidlech a postupech na ochranu utajovaných informací EU a vzala písemně na vědomí své povinnosti ohledně ochrany těchto informací v souladu s tímto rozhodnutím.

Určitou osobu lze oprávnit k přístupu k informacím se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším pouze poté, co:

a)	bylo stanoveno, že dotčená osoba má statutární nebo smluvní vztah k ESVČ,

b)	byla zjištěna potřeba dotčené osoby znát utajované informace,

c)	dotčené osobě bylo vydáno osvědčení o bezpečnostní prověrce personálu pro odpovídající stupeň utajení, nebo pokud je dotčená osoba jinak řádně oprávněna z titulu své funkce v souladu s vnitrostátními právními předpisy, a

d)	dotčená osoba byla poučena o bezpečnostních pravidlech a postupech na ochranu utajovaných informací EU a vzala písemně na vědomí své povinnosti ohledně ochrany těchto informací.

ESVČ určí ve svých strukturách pracovní místa, která vyžadují přístup k informacím se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším, a tedy i bezpečnostní prověrku personálu pro odpovídající stupeň utajení podle bodu 4 výše.

Zaměstnanci ESVČ uvedou, zda mají státní občanství více než jedné země.

Postupy pro žádost o bezpečnostní prověrku personálu v ESVČ

V případě zaměstnanců ESVČ předá bezpečnostní orgán ESVČ vyplněný bezpečnostní dotazník personálu vnitrostátnímu bezpečnostnímu orgánu členského státu, jehož je dotčená osoba státním příslušníkem, a požádá o provedení bezpečnostního řízení pro stupeň utajení utajovaných informací EU, k nimž bude dotčená osoba potřebovat přístup.

10.

Pokud má dotčená osoba státní občanství více než jedné země, žádost o prověrku se předkládá vnitrostátnímu bezpečnostnímu orgánu země, s jejíž státní příslušností byla daná osoba přijata do zaměstnaneckého poměru.

11.

Pokud ESVČ zjistí v souvislosti s osobou, která požádala o bezpečnostní prověrku personálu, informace relevantní pro bezpečnostní řízení, oznámí tuto skutečnost postupem podle příslušných pravidel a předpisů příslušnému vnitrostátnímu bezpečnostnímu orgánu.

12.

Příslušný vnitrostátní bezpečnostní orgán informuje po skončení bezpečnostního řízení o jeho výsledku ředitelství ESVČ odpovědné za bezpečnost ústředí a bezpečnost informací ESVČ.

V případech, kdy je výsledkem bezpečnostního řízení ujištění, že nejsou známy žádné negativní skutečnosti, které by zpochybnily loajalitu, důvěryhodnost a spolehlivost dotčené osoby, může jí bezpečnostní orgán ESVČ udělit oprávnění k přístupu k utajovaným informacím EU až do odpovídajícího stupně utajení s platností do konkrétně stanoveného data.

b)	ESVČ přijme veškerá vhodná opatření k zajištění toho, aby byly řádně plněny podmínky nebo omezení uložené vnitrostátním bezpečnostním orgánem. Vnitrostátní bezpečnostní orgán je o výsledku informován.

Pokud nelze v rámci bezpečnostního řízení získat ujištění, že takové negativní skutečnosti nejsou známy, uvědomí bezpečnostní orgán ESVČ dotčenou osobu, která může tento orgán požádat o slyšení. Bezpečnostní orgán ESVČ může požádat příslušný vnitrostátní bezpečnostní orgán, aby v souladu s vnitrostátními právními předpisy poskytl veškerá další možná upřesnění. Je-li výsledek potvrzen, oprávnění k přístupu k utajovaným informacím EU se neudělí. V takovém případě ESVČ přijme veškerá vhodná opatření k zajištění toho, aby byl žadateli zamítnut jakýkoli přístup k utajovaným informacím EU.

13.

Bezpečnostní řízení spolu se získanými výsledky, o něž se bezpečnostní orgán ESVČ opírá při svém rozhodování o tom, zda udělit oprávnění k přístupu k utajovaným informacím EU, či nikoli, podléhají příslušným právním předpisům platným v daném členském státě, včetně předpisů týkajících se opravných prostředků. Rozhodnutí bezpečnostního orgánu ESVČ mohou podléhat opravným prostředkům za podmínek stanovených v článcích 90 a 91 služebního řádu.

14.

Ujištění, z nichž vychází daná bezpečnostní prověrka personálu, se za předpokladu, že jsou i nadále platná, vztahují na veškeré úkoly přidělené dotčené osobě v rámci ESVČ, generálního sekretariátu Rady nebo Komise.

15.

ESVČ uzná oprávnění k přístupu k utajovaným informacím EU udělené kterýmkoli jiným orgánem, institucí nebo jiným subjektem Evropské unie za předpokladu, že je toto oprávnění i nadále platné. Oprávnění se vztahují na veškeré úkoly přidělené dotčené osobě v rámci ESVČ. Orgán, instituce nebo jiný subjekt Evropské unie, kde dotčená osoba nastupuje k výkonu zaměstnání, vyrozumí příslušný vnitrostátní bezpečnostní orgán o změně zaměstnavatele.

16.

Nenastoupí-li dotčená osoba do služby do 12 měsíců od oznámení výsledku bezpečnostního řízení bezpečnostnímu orgánu ESVČ nebo dojde-li k přerušení služby dotčené osoby v délce 12 měsíců nebo déle, během nichž není tato osoba zaměstnána v ESVČ, v jiném orgánu, instituci či subjektu EU nebo na pracovním místě ve státní správě některého členského státu, které vyžaduje přístup k utajovaným informacím, oznámí se tato skutečnost příslušnému vnitrostátnímu bezpečnostnímu orgánu, aby potvrdil, že výsledek bezpečnostního řízení je i nadále platný a náležitý.

17.

Pokud je ESVČ obeznámena s informacemi, které se týkají se bezpečnostního rizika, jež představuje osoba, která je držitelem platného osvědčení o bezpečnostní prověrce personálu, oznámí tuto skutečnost postupem podle příslušných pravidel a předpisů příslušnému vnitrostátnímu bezpečnostnímu orgánu, přičemž může pozastavit přístup k utajovaným informacím EU nebo odejmout oprávnění k přístupu k utajovaným informacím EU. Pokud vnitrostátní bezpečnostní orgán informuje ESVČ o tom, že již nejsou platná ujištění podle bodu 12 písm. a) v případě osoby, která je držitelem platného oprávnění k přístupu k utajovaným informacím EU, může bezpečnostní orgán ESVČ daný vnitrostátní bezpečnostní orgán požádat, aby v souladu s vnitrostátními právními předpisy poskytl veškerá další možná upřesnění. Pokud se negativní skutečnosti potvrdí, výše uvedené oprávnění se odejme, dotčené osobě se zamezí v přístupu k utajovaným informacím EU a daná osoba je odvolána z pracovních míst, u nichž je přístup k utajovaným informacím EU možný nebo v jejichž rámci by mohla ohrožovat bezpečnost.

18.

Jakékoli rozhodnutí o odejmutí oprávnění k přístupu k utajovaným informacím EU v případě zaměstnance ESVČ a případné odůvodnění se oznámí dotčené osobě, která může požádat o slyšení před bezpečnostním orgánem ESVČ. Informace poskytované vnitrostátním bezpečnostním orgánem podléhají příslušným právním předpisům platným v daném členském státě, včetně předpisů týkajících se opravných prostředků. Rozhodnutí bezpečnostního orgánu ESVČ mohou podléhat opravným prostředkům za podmínek stanovených v článcích 90 a 91 služebního řádu.

19.

Národní odborníci vyslaní k ESVČ na pracovní místa vyžadující přístup k informacím se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším předloží bezpečnostnímu orgánu ESVČ před nástupem do služby platné osvědčení o bezpečnostní prověrce personálu pro přístup k utajovaným informacím EU pro odpovídající stupeň utajení. Výše uvedený proces řídí vysílající členský stát.

Záznamy o bezpečnostních prověrkách personálu

20.

Ředitelství ESVČ odpovědné za bezpečnost ústředí a bezpečnost informací ESVČ spravuje databázi, v níž jsou vedeny záznamy o statusu bezpečnostních prověrek všech zaměstnanců, za něž ESVČ odpovídá, jakož i personálu dodavatelů ESVČ. Tyto záznamy obsahují informace o stupni utajení utajovaných informací EU, k nimž může být dotčené osobě umožněn přístup (stupeň utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšší) a o datu vydání a době platnosti osvědčení o bezpečnostní prověrce personálu.

21.

Budou zavedeny vhodné postupy koordinace s členskými státy a dalšími orgány, institucemi či jinými subjekty EU, aby se zajistilo, že ESVČ povede přesné a úplné záznamy o statusu bezpečnostních prověrek všech zaměstnanců, za něž ESVČ odpovídá, jakož i personálu dodavatelů ESVČ.

22.

Bezpečnostní orgán ESVČ může vydat potvrzení o bezpečnostní prověrce personálu, v němž uvede stupeň utajení utajovaných informací EU, k nimž může mít dotčená osoba přístup (stupeň utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšší), datum platnosti příslušné bezpečnostní prověrky personálu nebo oprávnění a datum, do kdy je platné samotné potvrzení.

Výjimky z požadavku na osvědčení o bezpečnostní prověrce personálu

23.

Osoby, které jsou k přístupu k utajovaným informacím EU řádně oprávněny z titulu své funkce v souladu s vnitrostátními právními předpisy, jsou ředitelstvím odpovědným za bezpečnost ústředí a bezpečnost informací ESVČ odpovídajícím způsobem poučeny o svých bezpečnostních povinnostech ohledně ochrany utajovaných informací EU.

III. VZDĚLÁVÁNÍ A INFORMOVANOST V OBLASTI BEZPEČNOSTI

24.

Před udělením oprávnění k přístupu k utajovaným informacím EU všechny osoby písemně potvrdí, že rozumí svým povinnostem, pokud jde o ochranu utajovaných informací EU, a jsou si vědomy důsledků v případě ohrožení utajovaných informací EU. Ředitelství odpovědné za bezpečnost ústředí a bezpečnost informací ESVČ vede o těchto písemných potvrzeních záznamy.

25.

Všechny osoby, které jsou oprávněny k přístupu k utajovaným informacím EU nebo po nichž se vyžaduje, aby s nimi nakládaly, jsou nejprve poučeny a poté pravidelně informovány o možném ohrožení bezpečnosti a musejí neprodleně informovat příslušné bezpečnostní koordinátory oddělení/delegace a ředitelství odpovědné za bezpečnost ústředí a bezpečnost informací ESVČ o jakémkoli pokusu o kontakt nebo o činnosti, které považují za podezřelé nebo neobvyklé.

26.

Všechny osoby, kterým je umožněn přístup k utajovaným informacím EU, musejí po dobu, kdy nakládají s utajovanými informacemi EU, podléhat průběžným opatřením personální bezpečnosti (tj. následným kontrolním opatřením). Za průběžná opatření personální bezpečnosti nesou odpovědnost:

osoby, kterým je umožněn přístup k utajovaným informacím EU: jednotlivé osoby jsou osobně odpovědné za své chování v oblasti bezpečnosti a musejí neprodleně informovat příslušné bezpečnostní orgány o jakémkoli pokusu o kontakt nebo o činnosti, které považují za podezřelé nebo neobvyklé, a o jakékoli změně jejich osobní situace, která by mohla mít dopad na jejich bezpečnostní prověrku personálu nebo oprávnění k přístupu k utajovaným informacím EU;

přímí nadřízení pracovníci: jsou odpovědní za určení toho, zda jednotlivé osoby potřebují znát utajované informace, a za zajištění toho, aby jejich zaměstnanci znali bezpečnostní opatření a povinnosti související s ochranou utajovaných informací EU, za sledování chování svých zaměstnanců v oblasti bezpečnosti a za přímé řešení jakýchkoli problematických bezpečnostních otázek nebo informování příslušných bezpečnostních orgánů o jakékoli negativní skutečnosti, která by mohla mít dopad na bezpečnostní prověrku jejich zaměstnanců či jejich oprávnění k přístupu k utajovaným informacím EU;

aktéři v oblasti bezpečnosti v rámci bezpečnostní organizace ESVČ ve smyslu článku 12 tohoto rozhodnutí: jsou odpovědní za provádění informačních brífinků zaměřených na bezpečnost s cílem zajistit, aby byli zaměstnanci v jejich oblasti pravidelně informováni, za podporu spolehlivé kultury bezpečnosti v rámci jejich příslušné oblasti působnosti, za zavedení opatření ke sledování chování zaměstnanců v oblasti bezpečnosti a za informování příslušných bezpečnostních orgánů o jakékoli negativní skutečnosti, která by mohla mít dopad na bezpečnostní prověrku kterékoli osoby;

d)	ESVČ a členské státy: zřizují nezbytné komunikační kanály pro sdělování informací, které mohou mít dopad na bezpečnostní prověrku kterékoli osoby nebo jejího oprávnění k přístupu k utajovaným informacím EU.

27.

Všechny osoby, které přestanou vykonávat pracovní povinnosti vyžadující přístup k utajovaným informacím EU, musejí být poučeny o své povinnosti utajované informace EU i nadále chránit a tuto skutečnost případně písemně potvrdí.

IV. VÝJIMEČNÉ OKOLNOSTI

28.

Z naléhavých důvodů, pokud to řádně odůvodňují zájmy ESVČ a není v plném rozsahu skončeno bezpečnostní řízení, může bezpečnostní orgán ESVČ po konzultaci vnitrostátního bezpečnostního orgánu členského státu, jehož je dotčená osoba státním příslušníkem, a pod podmínkou, že předběžné šetření potvrdí, že nejsou známy žádné negativní skutečnosti, udělit úředníkům a ostatním zaměstnancům ESVČ dočasné oprávnění k přístupu k utajovaným informacím EU pro konkrétní úkoly. Bezpečnostní řízení v plném rozsahu by mělo být skončeno co nejdříve. Dočasná oprávnění budou platná nejdéle po dobu šesti měsíců a neumožňují přístup k informacím se stupněm utajení TRES SECRET UE / EU TOP SECRET. Všechny osoby, jimž bylo uděleno dočasné oprávnění, písemně potvrdí, že rozumí svým povinnostem, pokud jde o ochranu utajovaných informací EU, a jsou si vědomy důsledků v případě ohrožení utajovaných informací EU. Ředitelství odpovědné za bezpečnost ústředí a bezpečnost informací ESVČ vede o těchto písemných potvrzeních záznamy.

29.

Má-li být určitá osoba zařazena na pracovní místo, které vyžaduje bezpečnostní prověrku personálu pro přístup k informacím se stupněm utajení o jeden stupeň vyšším, než je stupeň utajení, pro nějž bylo dotčené osobě vydáno současné osvědčení o bezpečnostní prověrce personálu, lze tuto osobu na dané místo zařadit prozatímně za těchto podmínek:

a)	příslušný přímý nadřízený dotčené osoby na příslušné úrovni ředitele / výkonného ředitele / vedoucího delegace písemně odůvodní naléhavou potřebu přístupu k utajovaným informacím EU s vyšším stupněm utajení,

b)	přístup je omezen na konkrétní utajované informace EU nezbytné pro plnění úkolů v rámci daného pracovního místa,

c)	dotčená osoba je držitelem platného osvědčení o bezpečnostní prověrce personálu,

d)	byly zahájeny kroky k získání oprávnění k přístupu k informacím se stupněm utajení, který vyžaduje dané pracovní místo,

e)	příslušný orgán s uspokojivým výsledkem prověřil, že dotčená osoba neporušila závažným nebo opakovaným způsobem bezpečnostní předpisy,

f)	zařazení dotčené osoby schválí příslušný orgán ESVČ,

g)	byl konzultován příslušný vnitrostátní bezpečnostní orgán / určený bezpečnostní orgán a nebyly vzneseny námitky a

h)	v příslušném registru nebo podřízeném registru jsou vedeny záznamy o udělené výjimce, včetně popisu informací, pro něž byl přístup schválen.

30.

Výše uvedený postup se použije pro jednorázový přístup k utajovaným informacím EU se stupněm utajení o jeden stupeň vyšším, než je stupeň utajení, pro nějž byla dotčená osoba bezpečnostně prověřena. Tento postup nelze použít opakovaně.

31.

Za velmi výjimečných okolností, jako například během misí v nepřátelském prostředí nebo v obdobích rostoucího mezinárodního napětí, kdy to vyžadují mimořádná opatření, zejména pro záchranu životů, mohou vysoký představitel, bezpečnostní orgán ESVČ nebo generální ředitel pro řízení zdrojů pokud možno písemně povolit přístup k informacím se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo SECRET UE / EU SECRET osobám, které nejsou držiteli potřebného osvědčení o bezpečnostní prověrce personálu, pokud je takové povolení bezpodmínečně nutné. Ředitelství odpovědné za bezpečnost a bezpečnost informací ESVČ vede o těchto povoleních záznamy s popisem informací, k nimž byl přístup schválen.

32.

V případě informací se stupněm utajení TRES SECRET UE / EU TOP SECRET je přístup v mimořádných situacích omezen na státní příslušníky EU, jimž byl povolen přístup k informacím se stupněm utajení rovnocenným na vnitrostátní úrovni stupni utajení TRES SECRET UE / EU TOP SECRET nebo k informacím se stupněm utajení SECRET UE / EU SECRET.

33.

O případech, kdy byl použit postup stanovený v bodech 31 a 32, je informován Bezpečnostní výbor ESVČ.

34.

Bezpečnostnímu výboru ESVČ se předkládá výroční zpráva o použití postupů uvedených v tomto oddíle.

V. ÚČAST NA ZASEDÁNÍCH V ÚSTŘEDÍ ESVČ A DELEGACÍCH UNIE

35.

Osoby, které se mají účastnit zasedání v ústředí ESVČ a delegacích Unie, na nichž se projednávají informace se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším, tak mohou činit pouze po potvrzení statusu svého osvědčení o bezpečnostní prověrce personálu. Pokud jde o zástupce členských států a úředníky generálního sekretariátu Rady a Komise, příslušné orgány postoupí ředitelství odpovědnému za bezpečnost ústředí a bezpečnost informací ESVČ či bezpečnostnímu koordinátorovi delegace Unie potvrzení o bezpečnostní prověrce personálu nebo jiný doklad o bezpečnostní prověrce personálu, nebo jej ve výjimečných případech předloží dotčená osoba. V náležitých případech lze použít společný jmenný seznam, v němž jsou uvedeny příslušné informace o osvědčeních o bezpečnostní prověrce personálu.

36.

Pokud je odňato osvědčení o bezpečnostní prověrce personálu pro přístup k utajovaným informacím EU v případě osoby, jejíž povinnosti vyžadují účast na zasedáních v ústředí ESVČ nebo delegaci Unie, na nichž se projednávají informace se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším, příslušný orgán tuto skutečnost oznámí ředitelství odpovědnému za bezpečnost ústředí a bezpečnost informací ESVČ.

VI. POTENCIÁLNÍ PŘÍSTUP K UTAJOVANÝM INFORMACÍM EU

37.

Pokud mají být zaměstnány osoby za situace, v níž by mohly mít případně přístup k informacím se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším, musejí být náležitě bezpečnostně prověřeny, nebo je třeba pro ně zajistit nepřetržitě doprovod.

38.

Kurýři, pracovníci ostrahy a doprovázející osoby musejí být bezpečnostně prověřeni pro odpovídající stupeň utajení nebo musejí být jinak vhodně prověřeni v souladu s vnitrostátními právními předpisy, v pravidelných intervalech poučováni o bezpečnostních postupech na ochranu utajovaných informací EU a seznamováni se svými povinnostmi v souvislosti s ochranou utajovaných informací, které jim byly svěřeny nebo neúmyslně zpřístupněny.

PŘÍLOHA A II

FYZICKÁ BEZPEČNOST UTAJOVANÝCH INFORMACÍ EU

I. ÚVOD

Tato příloha obsahuje ustanovení týkající se provádění článku 6 přílohy A. Stanoví minimální požadavky na fyzickou ochranu prostor, budov, kanceláří, místností a dalších oblastí, v nichž se nakládá s utajovanými informacemi EU a v nichž jsou takové informace uchovávány, včetně oblastí, v nichž jsou umístěny komunikační a informační systémy.

Opatření fyzické bezpečnosti mají předejít neoprávněnému přístupu k utajovaným informacím EU tím, že:

a)	zajišťují, aby s utajovanými informacemi EU bylo nakládáno a aby byly uchovávány odpovídajícím způsobem,

b)	umožňují rozdělení členů personálu, pokud jde o přístup k utajovaným informacím EU, na základě jejich potřeby znát utajované informace a případně i na základě jejich bezpečnostní prověrky,

c)	odrazují od neoprávněné činnosti a takové činnosti zabraňují a odhalují ji a

d)	znemožňují nebo zpomalují neoprávněný nebo násilný vstup útočníků.

II. POŽADAVKY NA FYZICKOU BEZPEČNOST A OPATŘENÍ FYZICKÉ BEZPEČNOSTI

ESVČ uplatňuje ve svých prostorách proces řízení rizik na ochranu utajovaných informací EU, aby se zajistila přiměřená úroveň fyzické ochrany s ohledem na vyhodnocené riziko. V procesu řízení rizik se vezmou v úvahu veškeré důležité okolnosti, zejména:

a)	stupeň utajení utajovaných informací EU,

b)	forma a objem utajovaných informací EU, přičemž je třeba brát v úvahu, že velké množství nebo kompilace utajovaných informací EU může vyžadovat uplatňování přísnějších ochranných opatření,

c)	okolní prostředí a uspořádání budov nebo oblastí, v nichž jsou utajované informace EU uloženy,

d)	posouzení hrozeb ze strany třetí země provedené Zpravodajským a informačním centrem EU (INTCEN), kontrašpionážním útvarem ředitelství odpovědného za bezpečnost ústředí a bezpečnost informací ESVČ a na základě zejména zpráv delegací Unie a

e)	vyhodnocená hrozba ze strany zpravodajských služeb, které se zaměřují na EU nebo členské státy, a vyhodnocená hrozba sabotáže a teroristických, podvratných nebo jiných trestných činností.

Bezpečnostní orgán ESVČ určí v souladu s koncepcí hloubkové obrany vhodnou kombinaci opatření fyzické bezpečnosti, jež je třeba uplatňovat. Zahrnují jedno nebo více z těchto opatření:

a)	obvodová bariéra: fyzická překážka, která chrání hranici prostoru, jenž vyžaduje ochranu,

b)	systémy detekce narušení: systém detekce narušení může být používán ke zvýšení úrovně bezpečnosti, kterou poskytuje obvodová bariéra, nebo v místnostech a budovách namísto bezpečnostního personálu nebo jako podpůrný prostředek bezpečnostního personálu,

kontrola vstupu: kontrola vstupu se může týkat určitého areálu, budovy nebo budov v daném areálu nebo oblastí či místností uvnitř budovy. Kontrola může být prováděna elektronickými či elektromechanickými prostředky, bezpečnostním personálem nebo pracovníkem recepce nebo jakýmikoli jinými fyzickými prostředky,

d)	bezpečnostní personál: vyškolený bezpečnostní personál pracující pod dohledem, který je podle potřeby náležitě bezpečnostně prověřen, může být využit mimo jiné s cílem odradit osoby plánující tajné vniknutí,

e)	uzavřený televizní okruh (CCTV): Systém CCTV může být používán bezpečnostním personálem za účelem ověřování incidentů a signalizace systémů detekce narušení v případě rozsáhlých areálů nebo po obvodu určitého prostoru,

f)	bezpečnostní osvětlení: bezpečnostní osvětlení může být používáno s cílem odradit případného útočníka a zajistit osvětlení potřebné pro účinnou ostrahu přímo ze strany bezpečnostního personálu nebo nepřímo prostřednictvím systému CCTV a

g)	jakákoli jiná vhodná fyzická opatření, která mají zabránit neoprávněnému přístupu či takový přístup odhalit nebo předejít ztrátě či poškození utajovaných informací EU.

Ředitelství odpovědné za bezpečnost ústředí a bezpečnost informací ESVČ může provádět při vstupu a odchodu prohlídky, které mají odradit od neoprávněného vnášení materiálů nebo neoprávněného vynášení utajovaných informací EU z prostor nebo budov.

Hrozí-li nebezpečí, že by utajované informace EU mohly být – i neúmyslně – odezírány, přijmou se vhodná opatření, jimiž se tomuto riziku zamezí.

U nových zařízení se požadavky na fyzickou bezpečnost a jejich funkční specifikace stanoví jako součást plánování a konstrukce zařízení. U stávajících zařízení se požadavky na fyzickou bezpečnost uplatňují v nejvyšší možné míře.

III. PROSTŘEDKY FYZICKÉ OCHRANY UTAJOVANÝCH INFORMACÍ EU

Při pořizování prostředků fyzické ochrany utajovaných informací EU (například bezpečnostních úschovných objektů, skartovacích přístrojů, dveřních zámků, systémů CCTV, elektronických systémů kontroly vstupu, systémů detekce narušení, poplašných systémů) zajistí bezpečnostní orgán ESVČ, aby tyto prostředky splňovaly schválené technické normy a minimální požadavky.

Technické specifikace prostředků používaných pro fyzickou ochranu utajovaných informací EU se stanoví v bezpečnostních pokynech, které schválí Bezpečnostní výbor ESVČ.

10.

Kontrola bezpečnostních systémů a údržba prostředků fyzické ochrany se provádí pravidelně. Při údržbě se zohlední výsledek kontrol, aby se i nadále zajistilo optimální fungování těchto prostředků.

11.

Účinnost jednotlivých bezpečnostních opatření a celého bezpečnostního systému se znovu hodnotí při každé kontrole.

IV. FYZICKY CHRÁNĚNÉ OBLASTI

12.

Pro fyzickou ochranu utajovaných informací EU se stanoví dva druhy fyzicky chráněných oblastí nebo jejich vnitrostátní ekvivalenty:

a)	administrativní oblasti a

b)	zabezpečené oblasti (včetně technicky zabezpečených oblastí).

13.

Bezpečnostní orgán ESVČ určí, zda daná oblast splňuje požadavky na to, aby mohla být označena jako administrativní oblast, zabezpečená oblast nebo technicky zabezpečená oblast.

14.

U administrativních oblastí:

a)	musí být viditelně vymezen obvod, který umožňuje kontrolu osob a pokud možno i vozidel,

b)	přístup bez doprovodu je umožněn pouze osobám, které mají řádné oprávnění, přičemž v případě ústředí toto oprávnění uděluje ředitelství odpovědné za bezpečnost ústředí a bezpečnost informací ESVČ a v případě delegací Unie vedoucí delegace, a

c)	pro všechny jiné osoby je třeba zajistit nepřetržitý doprovod nebo rovnocenná kontrolní opatření.

15.

U zabezpečených oblastí:

a)	musí být viditelně vymezen a chráněn obvod, jehož všechny vstupy a východy jsou kontrolovány prostřednictvím průkazů nebo systému osobní identifikace,

b)	přístup bez doprovodu lze umožnit pouze osobám, které jsou bezpečnostně prověřeny pro odpovídající stupeň utajení a jsou ke vstupu do dané oblasti výslovně oprávněny na základě potřeby znát utajované informace,

c)	pro všechny jiné osoby je třeba zajistit nepřetržitý doprovod nebo rovnocenná kontrolní opatření.

16.

Představuje-li vstup do zabezpečené oblasti de facto přímý přístup k utajovaným informacím, které se v ní nacházejí, musejí být dále splněny tyto požadavky:

a)	je třeba jasně uvést nejvyšší stupeň utajení informací, které jsou v dané oblasti zpravidla uchovávány, a

b)	všichni návštěvníci musejí být zvlášť oprávněni ke vstupu do dané oblasti, je třeba pro ně zajistit nepřetržitý doprovod a musejí být náležitě bezpečnostně prověřeni, s výjimkou případů, kdy byla přijata opatření zajišťující, že k utajovaným informací EU není možný přístup,

c)	elektronická zařízení musejí zůstat mimo danou oblast.

17.

Zabezpečené oblasti chráněné před odposlechem je třeba označit jako technicky zabezpečené oblasti. U těchto oblastí musejí být dále splněny tyto požadavky:

a)	tyto oblasti musejí být vybaveny systémy detekce narušení, být uzamčeny v době, kdy nejsou obsazeny, a střeženy v době, kdy obsazeny jsou. Všechny klíče musejí být kontrolovány v souladu s oddílem VI této přílohy,

b)	všechny osoby a materiály musejí být při vstupu do těchto oblastí kontrolovány,

c)	tyto oblasti podléhají pravidelným fyzickým nebo technickým kontrolám podle požadavků ředitelství odpovědného za bezpečnost ústředí a bezpečnost informací ESVČ. Tyto kontroly se rovněž provádějí po jakémkoli neoprávněném vstupu nebo podezření, že k takovému vstupu došlo, a

d)	tyto oblasti nesmějí obsahovat neschválené komunikační vedení, neschválené telefonní či jiné komunikační přístroje a neschválená elektrická nebo elektronická zařízení.

18.

Bez ohledu na bod 17 písm. d) předtím, než se komunikační přístroje a elektrická nebo elektronická zařízení jakéhokoli druhu použijí v oblastech, v nichž se konají zasedání nebo v nichž je vykonávána činnost, jež zahrnuje nakládání s informacemi se stupněm utajení SECRET UE / EU SECRET nebo vyšším, a v případech, kdy je úroveň ohrožení utajovaných informací EU vyhodnocena jako vysoká, musejí být veškeré komunikační přístroje a elektrická a elektronická zařízení nejdříve prověřeny týmem pro protiopatření v oblasti technického zabezpečení, který působí při ředitelství odpovědném za bezpečnost ústředí a bezpečnost informací ESVČ, aby se zajistilo, že prostřednictvím těchto zařízení nemůže dojít k neúmyslnému či nezákonnému přenosu žádných srozumitelných informací za obvod dané zabezpečené oblasti.

19.

Zabezpečené oblasti, které nejsou 24 hodin denně obsazeny pracovníky ve službě, jsou podle potřeby kontrolovány na konci běžné pracovní doby a v náhodně zvolených intervalech mimo běžnou pracovní dobu, není-li zaveden systém detekce narušení.

20.

Zabezpečené oblasti a technicky zabezpečené oblasti mohou být zřízeny dočasně v rámci administrativní oblasti pro uspořádání zasedání zahrnujícího utajované informace nebo pro jiný podobný účel.

21.

Pro každou zabezpečenou oblast se vypracují bezpečnostní provozní postupy (SecOPs), v nichž se stanoví:

a)	stupeň utajení utajovaných informací EU, s nimiž se může nakládat nebo jež mohou být uchovávány v dané oblasti;

b)	ostraha a ochranná opatření, jež je třeba dodržovat;

c)	osoby, které jsou oprávněny k přístupu do dané oblasti bez doprovodu vzhledem k tomu, že potřebují znát utajované informace a jsou bezpečnostně prověřeny;

d)	případně postupy pro zajištění doprovodu nebo pro ochranu utajovaných informací EU při opravňování jiných osob ke vstupu do dané oblasti,

e)	veškerá jiná náležitá opatření a postupy.

22.

Uvnitř zabezpečených oblastí se v případě potřeby budují trezorové místnosti. Stěny, podlahy, stropy, okna a uzamykatelné dveře musejí být schváleny bezpečnostním orgánem ESVČ a musejí poskytovat ochranu na úrovni rovnocenné s bezpečnostním úschovným objektem schváleným pro uchovávání utajovaných informací EU se stejným stupněm utajení.

V. OPATŘENÍ FYZICKÉ BEZPEČNOSTI PRO NAKLÁDÁNÍ S UTAJOVANÝMI INFORMACEMI EU A JEJICH UCHOVÁVÁNÍ

23.

S utajovanými informacemi EU se stupněm utajení RESTREINT UE / EU RESTRICTED lze nakládat:

a)	v zabezpečené oblasti,

b)	v administrativní oblasti za předpokladu, že utajované informace EU jsou chráněny před přístupem neoprávněných osob, nebo

mimo zabezpečenou oblast či mimo administrativní oblast za předpokladu, že držitel informací přenáší utajované informace EU v souladu s body 30 až 42 přílohy A III a že se zavázal k dodržování náhradních opatření stanovených bezpečnostními pokyny vydanými bezpečnostním orgánem ESVČ s cílem zajistit, aby utajované informace EU byly chráněny před přístupem neoprávněných osob.

24.

Utajované informace EU se stupněm utajení RESTREINT UE / EU RESTRICTED se uchovávají ve vhodném uzamčeném kancelářském nábytku v administrativní oblasti nebo v zabezpečené oblasti. Dočasně mohou být uchovávány mimo zabezpečenou oblast či mimo administrativní oblast za předpokladu, že se držitel informací zavázal k dodržování náhradních opatření stanovených bezpečnostními pokyny vydanými bezpečnostním orgánem ESVČ.

25.

S utajovanými informacemi EU se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo SECRET UE / EU SECRET lze nakládat:

a)	v zabezpečené oblasti,

b)	v administrativní oblasti za předpokladu, že utajované informace EU jsou chráněny před přístupem neoprávněných osob, nebo

mimo zabezpečenou oblast či mimo administrativní oblast za předpokladu, že držitel informací:

i)	přenáší utajované informace EU v souladu s body 30 až 42 přílohy A III,

ii)	zavázal se k dodržování náhradních opatření stanovených bezpečnostními pokyny vydanými bezpečnostním orgánem ESVČ s cílem zajistit, aby utajované informace EU byly chráněny před přístupem neoprávněných osob,

iii)	má utajované informace EU neustále pod osobním dohledem a

iv)	v případě dokumentů v tištěné podobě oznámil tuto skutečnost příslušnému registru.

26.

Utajované informace EU se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL a SECRET EU / EU SECRET se uchovávají v zabezpečené oblasti v bezpečnostním úschovném objektu nebo trezorové místnosti.

27.

S utajovanými informacemi EU se stupněm utajení TRES SECRET UE / EU TOP SECRET se nakládá v zabezpečené oblasti.

28.

Utajované informace EU se stupněm utajení TRES SECRET UE / EU TOP SECRET se uchovávají v zabezpečené oblasti v ústředí při dodržení jedné z těchto podmínek:

informace se uchovávají v bezpečnostním úschovném objektu v souladu s bodem 8, přičemž je třeba uplatňovat jedno nebo více těchto dodatečných kontrolních opatření:

i)	nepřetržitá ochrana nebo kontrola ze strany prověřeného bezpečnostního nebo službukonajícího personálu;

ii)	schválený systém detekce narušení v kombinaci s pohotovostním bezpečnostním personálem;

nebo

b)	informace se uchovávají v trezorové místnosti vybavené systémem detekce narušení v kombinaci s pohotovostním bezpečnostním personálem.

29.

Pravidla pro přenášení utajovaných informací EU mimo fyzicky chráněné oblasti jsou stanovena v příloze A III.

VI. KONTROLA KLÍČŮ A KÓDŮ POUŽÍVANÝCH NA OCHRANU UTAJOVANÝCH INFORMACÍ EU

30.

Bezpečnostní orgán ESVČ stanoví postupy pro správu klíčů a nastavení kódů pro kanceláře, místnosti, trezorové místnosti a bezpečnostní úschovné objekty v rámci všech prostor ESVČ. Tyto postupy zabrání neoprávněnému přístupu.

31.

Nastavení kódů si zapamatuje co nejmenší možný počet osob, které je potřebují znát. Nastavení kódů pro bezpečnostní úschovné objekty a trezorové místnosti, v nichž se uchovávají utajované informace EU, je třeba změnit:

a)	při přijetí nového úschovného objektu,

b)	kdykoli se změní personál, který kód zná,

c)	kdykoli dojde k ohrožení informací nebo v případě podezření z ohrožení,

d)	v případě údržby či opravy zámku a

e)	nejméně každých 12 měsíců.

PŘÍLOHA A III

SPRÁVA UTAJOVANÝCH INFORMACÍ

I. ÚVOD

Tato příloha obsahuje ustanovení pro provádění článku 7 přílohy A. Stanoví administrativní opatření, která slouží ke kontrole utajovaných informací EU během celého jejich životního cyklu, a napomáhají tak zabránit úmyslnému či neúmyslnému ohrožení či ztrátě informací, zjistit takové ohrožení nebo ztrátu informací a následně zajistit nápravu.

II. PRAVIDLA STANOVOVÁNÍ STUPŇŮ UTAJENÍ

Stupně utajení a označení

Informace se utajují v případě, že vyžadují ochranu z důvodu jejich důvěrnosti.

Původce utajovaných informací EU odpovídá za stanovení stupně utajení, za použití odpovídajícího označení stupně utajení, za rozhodnutí týkající se distribuce informací zamýšleným příjemcům a za použití odpovídajícího označení způsobilosti k poskytnutí utajovaných informací v souladu s příslušnými pokyny ESVČ pro vytváření utajovaných informací EU a nakládání s nimi.

Stupeň utajení utajovaných informací EU se stanoví v souladu s čl. 2 odst. 2 přílohy A a na základě bezpečnostních pokynů [...] schválených v souladu s čl. 3 odst. 3 přílohy A.

Utajovaným informacím členských států, které jsou vyměňovány s ESVČ, se poskytuje stejná úroveň ochrany jako utajovaným informacím EU s odpovídajícím stupněm utajení. Srovnávací tabulka stupňů utajení je obsažena v dodatku B tohoto rozhodnutí.

Stupeň utajení a případně datum či určitá událost, po nichž lze stupeň utajení informací snížit nebo zrušit, musejí být jasně a správně uvedeny bez ohledu na to, zda mají utajované informace EU tištěnou, ústní, elektronickou či jinou podobu.

Jednotlivé části daného dokumentu (tj. stránky, odstavce, oddíly, přílohy, dodatky a připojené části dokumentu) mohou vyžadovat různé stupně utajení a musejí být podle toho označeny, a to i v případě, že jsou uchovávány v elektronické podobě.

Dokumenty obsahující části s různými stupni utajení musejí být v co nejvyšší míře strukturovány tak, aby části s různým stupněm utajení mohly být v případě potřeby snadno rozpoznány a odděleny.

Stupeň utajení dokumentu nebo spisu jako celku musí být alespoň stejně vysoký jako u jeho části s nejvyšším stupněm utajení. Jestliže dokument vznikl sloučením informací z různých zdrojů, konečný produkt se přezkoumá za účelem stanovení celkového stupně utajení, neboť může vyžadovat vyšší stupeň utajení než jeho jednotlivé části.

10.

Stupeň utajení dopisu nebo průvodní poznámky obsahující přílohy musí být stejně vysoký jako nejvyšší stupeň utajení těchto příloh. Původce jasně uvede jejich stupeň utajení, pokud budou odděleny od příloh, pomocí odpovídajícího označení, například:

CONFIDENTIEL UE/EU CONFIDENTIAL Bez příloh(y) RESTREINT UE / EU RESTRICTED

Označení

11.

Kromě jednoho z označení stupňů utajení uvedených v čl. 2 odst. 2 přílohy A mohou utajované informace EU nést doplňující označení, například:

a)	označení určující původce;

b)	jakákoli upozornění, kódová slova nebo zkratky k upřesnění oblasti činnosti, k níž se daný dokument vztahuje, k označení zvláštního způsobu distribuce na základě potřeby znát utajované informace nebo k omezení použití;

c)	označení způsobilosti k poskytnutí utajovaných informací.

12.

Po rozhodnutí o poskytnutí utajovaných informací EU třetímu státu nebo mezinárodní organizaci předá ředitelství odpovědné za bezpečnost ústředí a bezpečnost informací ESVČ dotčené utajované informace, jež nesou označení způsobilosti k jejich poskytnutí uvádějící, kterému třetímu státu nebo které mezinárodní organizaci mají být informace poskytnuty.

13.

Bezpečnostní orgán ESVČ přijme seznam povolených označení.

Zkratky označení stupňů utajení

14.

Pro označení stupně utajení jednotlivých odstavců určitého textu lze použít standardizované zkratky označení stupňů utajení. Tyto zkratky nenahrazují úplné označení stupňů utajení.

15.

V utajovaných dokumentech EU je možné použít pro označení stupně utajení oddílů nebo částí textu kratších než jedna strana tyto standardní zkratky:

TRES SECRET UE/EU TOP SECRET	TS-UE/EU-TS
SECRET UE/EU SECRET	S-UE/EU-S
CONFIDENTIEL UE/EU CONFIDENTIAL	C-UE/EU-C
RESTREINT UE/EU RESTRICTED	R-UE/EU-R

Vytváření utajovaných informací EU

16.

Při vytváření utajovaného dokumentu EU:

a)	každá strana je jasně označena příslušným stupněm utajení;

b)	každá strana je očíslována;

c)	na dokumentu je uvedeno referenční číslo a předmět, které samy o sobě nejsou utajovanými informacemi, pokud tak nejsou označeny;

d)	na dokumentu je uvedeno datum;

e)	na dokumentech se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším, které mají být distribuovány ve více výtiscích, je na každé straně uvedeno číslo výtisku.

17.

Nelze-li na utajované informace EU použít bod 16, přijmou se jiná vhodná opatření podle bezpečnostních pokynů [...] vypracovaných v souladu s tímto rozhodnutím.

Snížení a zrušení stupně utajení utajovaných informací EU

18.

Je-li to možné, a zejména jedná-li se o informace se stupněm utajení RESTREINT UE / EU RESTRICTED, uvede původce v době vytvoření utajovaných informací EU, zda je možné jejich stupeň utajení k určitému datu nebo po určité události snížit nebo zrušit.

19.

ESVČ pravidelně přezkoumává utajované informace EU, které jsou v jejím držení, za účelem zjištění, zda je příslušný stupeň utajení stále odpovídající. ESVČ zavede systém přezkumu stupně utajení evidovaných utajovaných informací EU, jichž je původcem, který je prováděn nejméně jednou za pět let. Tento přezkum není třeba provést v případě, že původce již na počátku uvedl konkrétní dobu, kdy bude u daných informací stupeň utajení automaticky snížen nebo zrušen, a dané informace jsou odpovídajícím způsobem označeny.

III. EVIDENCE UTAJOVANÝCH INFORMACÍ EU Z BEZPEČNOSTNÍCH DŮVODŮ

20.

V ústředí se zřídí ústřední registr. Pro každou organizační složku v rámci ESVČ, v níž se nakládá s utajovanými informacemi EU, se zřídí odpovědný registr podřízený ústřednímu registru s cílem zajistit, aby se s utajovanými informacemi EU nakládalo v souladu s tímto rozhodnutím. Registry se zřizují jako zabezpečené oblasti podle přílohy A.

Každá delegace EU zřídí svůj vlastní registr utajovaných informací EU.

Bezpečnostní orgán ESVČ jmenuje pro tyto registry vedoucího registru.

21.

Pro účely tohoto rozhodnutí se evidencí z bezpečnostních důvodů (dále jen „evidence“) rozumí uplatňování postupů, jimiž se zaznamenává životní cyklus daných informací včetně jejich distribuce a zničení. V případě komunikačního a informačního systému mohou být evidenční postupy provedeny přímo v rámci daného systému.

22.

Veškerý materiál se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL a vyšším je třeba zaevidovat, kdykoli je doručen určité organizační složce, včetně delegací EU, nebo kdykoli ji opouští. Informace se stupněm utajení TRES SECRET UE / EU TOP SECRET musejí být zaevidovány v určených registrech.

23.

Ústřední registr v ústředí ESVČ je při výměně utajovaných informací se třetími státy a mezinárodními organizacemi hlavním přijímacím a odbavovacím místem. Vede záznamy o všech těchto výměnách.

24.

Bezpečnostní orgán ESVČ schválí v souladu s článkem 14 tohoto rozhodnutí bezpečnostní pokyny pro evidenci utajovaných informací EU z bezpečnostních důvodů.

Registry pro dokumenty se stupněm utajení TRES SECRET UE / EU TOP SECRET

25.

V ústředí ESVČ se určí ústřední registr, který je ústředním orgánem pro příjem a odesílání informací se stupněm utajení TRES SECRET UE / EU TOP SECRET. V případě potřeby mohou být určeny podřízené registry pro nakládání s těmito informacemi pro účely evidence.

26.

Podřízené registry nesmějí bez výslovného písemného souhlasu ústředního registru pro dokumenty se stupněm utajení TRES SECRET UE / EU TOP SECRET poskytovat dokumenty se stupněm utajení TRES SECRET UE / EU TOP SECRET přímo jiným registrům podřízeným stejnému ústřednímu registru ani externím subjektům.

IV. POŘIZOVÁNÍ KOPIÍ A PŘEKLADU UTAJOVANÝCH DOKUMENTŮ EU

27.

Dokumenty se stupněm utajení TRES SECRET UE / EU TOP SECRET se nesmějí kopírovat ani překládat bez předchozího písemného souhlasu původce.

28.

Pokud původce dokumentů se stupněm utajení SECRET UE / EU SECRET a nižším nestanovil omezení týkající se pořizování jejich kopií nebo překladu, mohou být tyto dokumenty kopírovány či překládány podle pokynů držitele.

29.

Pro kopie a překlady těchto dokumentů se použijí bezpečnostní opatření použitelná pro původní dokument. Kopie se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším vytváří pouze příslušný (podřízený) registr na zabezpečeném kopírovacím zařízení. Kopie musejí být zaevidovány.

V. PŘENÁŠENÍ UTAJOVANÝCH INFORMACÍ EU

30.

Přenášení utajovaných informací EU podléhá ochranným opatřením stanoveným v bodech 32 až 42. V případech, kdy jsou utajované informace EU přenášeny na elektronických záznamových médiích, a bez ohledu na čl. 7 odst. 4 přílohy A mohou níže uvedená ochranná opatření doplňovat vhodná technická protiopatření podle pokynů stanovených bezpečnostním orgánem ESVČ s cílem minimalizovat riziko ztráty nebo ohrožení.

31.

Bezpečnostní orgán ESVČ vydá pokyny týkající se přenášení utajovaných informací EU v souladu s tímto rozhodnutím.

Přenášení uvnitř budovy nebo uzavřené skupiny budov

32.

Utajované informace EU přenášené uvnitř budovy nebo uzavřené skupiny budov musejí být zakryty, aby se zamezilo odpozorování jejich obsahu.

33.

Informace se stupněm utajení TRES SECRET UE / EU TOP SECRET musejí být uvnitř budovy nebo uzavřené skupiny budov přenášeny náležitě bezpečnostně prověřenými osobami a uloženy v zabezpečené obálce označené pouze jménem příjemce.

Přenášení v rámci EU

34.

Utajované informace EU přenášené mezi budovami či prostorami v rámci EU jsou uloženy v takovém obalu, aby byly chráněny před neoprávněným vyzrazením.

35.

Přenášení informací se stupněm utajení nejvýše SECRET UE / EU SECRET v rámci EU se provádí jedním z těchto způsobů:

a)	vojenským, vládním nebo případně diplomatickým kurýrem;

osobním přenášením za těchto podmínek:

i)	osoba, která utajované informace EU přenáší, je má stále u sebe, pokud nejsou uloženy v souladu s požadavky stanovenými v příloze A II,

ii)	utajované informace EU nesmějí být během přenášení otevřeny ani čteny na veřejných místech,

iii)	dotčené osoby jsou bezpečnostně prověřeny pro odpovídající stupeň utajení a poučeny o svých povinnostech týkajících se bezpečnosti,

iv)	dotčené osoby musejí být v případě potřeby držiteli kurýrního listu;

poštovními službami nebo komerčními kurýrními službami za těchto podmínek:

i)	příslušný vnitrostátní bezpečnostní orgán je schválil v souladu s vnitrostátními právními předpisy,

ii)	uplatňují odpovídající ochranná opatření v souladu s minimálními požadavky, které budou stanoveny v bezpečnostních pokynech podle čl. 21 odst. 1 tohoto rozhodnutí.

V případě přenášení z jednoho členského státu do jiného se ustanovení písmene c) vztahují pouze na informace se stupněm utajení nejvýše CONFIDENTIEL UE / EU CONFIDENTIAL.

36.

Materiál se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL a SECRET UE / EU SECRET (například vybavení nebo technické zařízení), který nemůže být přenášen způsoby uvedenými v bodě 34, přepravují obchodní přepravci jako náklad v souladu s přílohou A V.

37.

Přenášení informací se stupněm utajení TRES SECRET UE / EU TOP SECRET mezi budovami či prostorami v rámci EU se provádí vojenským, vládním nebo případně diplomatickým kurýrem.

Přenášení z EU na území třetího státu nebo mezi subjekty EU ve třetích státech

38.

Utajované informace EU přenášené z EU na území třetího státu nebo mezi subjekty EU ve třetím státě jsou uloženy v takovém obalu, aby byly chráněny před neoprávněným vyzrazením.

39.

Přenášení informací se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL a SECRET UE / EU SECRET z EU na území třetího státu a přenášení veškerých utajovaných informací EU se stupněm utajení nejvýše SECRET UE / EU SECRET mezi subjekty EU ve třetím státě se provádí jedním z těchto způsobů:

a)	vojenským nebo diplomatickým kurýrem;

osobním přenášením za těchto podmínek:

i)	zásilka je opatřena úřední pečetí nebo je zabalena tak, aby bylo zřejmé, že se jedná o úřední zásilku, která by neměla být předmětem celní nebo bezpečnostní kontroly,

ii)	dotčené osoby jsou držiteli kurýrního listu, který obsahuje identifikační údaje zásilky a opravňuje tyto osoby k jejímu přenášení,

iii)	osoba, která utajované informace EU přenáší, je má stále u sebe, pokud nejsou uloženy v souladu s požadavky stanovenými v příloze A II,

iv)	utajované informace EU nesmějí být během přenášení otevřeny ani čteny na veřejných místech a

v)	dotčené osoby jsou bezpečnostně prověřeny pro odpovídající stupeň utajení a poučeny o svých povinnostech týkajících se bezpečnosti.

40.

Přenášení informací se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL a SECRET UE / EU SECRET, které EU předává třetímu státu nebo mezinárodní organizaci, musí splňovat příslušná ustanovení dohody o bezpečnosti informací či správního ujednání v souladu s čl. 10 odst. 2 přílohy A.

41.

Informace se stupněm utajení RESTREINT UE / EU RESTRICTED lze z EU na území třetího státu přenášet také poštovními službami či komerčními kurýrními službami.

42.

Přenášení informací se stupněm utajení TRES SECRET UE / EU TOP SECRET z EU na území třetího státu nebo mezi subjekty EU ve třetím státě se provádí vojenským nebo diplomatickým kurýrem.

VI. NIČENÍ UTAJOVANÝCH INFORMACÍ EU

43.

Utajované dokumenty EU, které již nejsou potřebné, mohou být zničeny, aniž jsou dotčena příslušná pravidla a předpisy o archivování.

44.

Ničení dokumentů podléhajících evidenci v souladu s čl. 7 odst. 2 přílohy A provádí odpovědný registr podle pokynů držitele nebo příslušného orgánu. Administrativní pomůcky a jiné informace o evidenci musejí být odpovídajícím způsobem aktualizovány.

45.

Ničení dokumentů se stupněm utajení SECRET UE / EU SECRET nebo TRES SECRET UE / EU TOP SECRET se provádí za přítomnosti svědka, který je bezpečnostně prověřen alespoň pro stupeň utajení ničeného dokumentu.

46.

Pracovník registru a svědek, pokud je přítomnost svědka vyžadována, podepíší zápis o zničení, který se uloží v registru. V registru jsou ukládány zápisy o zničení dokumentů se stupněm utajení TRES SECRET UE / EU TOP SECRET alespoň po dobu deseti let a dokumentů se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL a SECRET UE / EU SECRET alespoň po dobu pěti let.

47.

Ničení utajovaných dokumentů, včetně dokumentů se stupněm utajení RESTREINT UE / EU RESTRICTED, se provádí postupy, které splňují příslušné standardy EU či rovnocenné standardy nebo které byly schváleny členskými státy v souladu s vnitrostátními technickými normami tak, aby nebylo možné znovu sestavit celý dokument nebo jeho část.

48.

Ničení počítačových paměťových médií používaných pro utajované informace EU se provádí postupy schválenými bezpečnostním orgánem ESVČ.

VII. BEZPEČNOSTNÍ INSPEKCE

Bezpečnostní inspekce ESVČ

49.

V souladu s článkem 16 tohoto rozhodnutí bezpečnostní inspekce ESVČ zahrnují:

a)	všeobecné bezpečnostní inspekce, jejichž cílem je posoudit obecnou úroveň bezpečnosti ústředí ESVČ, delegací Unie a všech závislých nebo souvisejících prostor, a zejména zhodnotit účinnost bezpečnostních opatření zavedených na ochranu bezpečnostních zájmů ESVČ;

bezpečnostní inspekce utajovaných informací EU, jejichž cílem je zhodnotit – zpravidla s ohledem na akreditaci – účinnost opatření zavedených na ochranu utajovaných informací EU v ústředí ESVČ a delegacích Unie.

Tyto inspekce se provádějí mimo jiné s cílem:

i)	zajistit dodržování požadovaných minimálních standardů pro ochranu utajovaných informací EU stanovených tímto rozhodnutím,

ii)	zdůraznit význam bezpečnosti a účinného řízení rizik u kontrolovaných subjektů,

iii)	doporučit protiopatření za účelem zmírnění konkrétních dopadů, které může přinášet ztráta důvěrnosti, integrity nebo dostupnosti utajovaných informací, a

iv)	posilovat probíhající programy bezpečnostních orgánů v oblasti bezpečnostního vzdělávání a povědomí.

Provádění bezpečnostních inspekcí ESVČ a předkládání souvisejících zpráv

50.

Bezpečnostní inspekce ESVČ provádí inspekční tým ředitelství odpovědného za bezpečnost ústředí a bezpečnost informací ESVČ, v případě potřeby za podpory bezpečnostních odborníků z jiných orgánů EU nebo členských států.

Inspekční tým má přístup do jakéhokoli prostoru, v němž se nakládá s utajovanými informacemi EU, zejména do registrů a k přístupovým bodům komunikačních a informačních systémů.

51.

Bezpečnostní inspekce ESVČ v delegacích Unie se provádějí v koordinaci s ředitelstvím odpovědným za Středisko pro reakci na krize (CRC) a v případě potřeby za podpory bezpečnostních úředníků velvyslanectví členských států umístěných ve třetích zemích.

52.

Před koncem každého kalendářního roku přijme bezpečnostní orgán ESVČ program bezpečnostních inspekcí pro ESVČ na následující rok.

53.

V případě potřeby může bezpečnostní orgán ESVČ uspořádat bezpečnostní inspekce, které nejsou ve výše uvedeném programu naplánovány.

54.

Na konci bezpečnostní inspekce jsou kontrolovanému subjektu předloženy hlavní závěry a doporučení. Inspekční tým poté vypracuje inspekční zprávu. Pokud byla navržena nápravná opatření a doporučení, je třeba do zprávy zahrnout dostatečná odůvodnění závěrů inspekce. Inspekční zpráva se předá bezpečnostnímu orgánu ESVČ, řediteli Střediska pro reakci na krize (CRC), pokud jde o bezpečnostní inspekce v delegacích Unie, a vedoucímu kontrolovaného subjektu.

V rámci pravomocí ředitelství odpovědného za bezpečnost ústředí a bezpečnost informací ESVČ se vypracovává pravidelná zpráva, v níž se zdůrazní poznatky získané na základě inspekcí provedených za určité období; tuto zprávu posoudí Bezpečnostní výbor ESVČ.

Provádění bezpečnostních inspekcí a předkládání souvisejících zpráv v agenturách a subjektech EU zřízených podle hlavy V kapitoly 2 Smlouvy o EU

55.

Ředitelství odpovědné za bezpečnost ústředí a bezpečnost informací ESVČ může případně jmenovat přispívající odborníky, aby se zapojili do společných inspekčních týmů EU, které provádějí inspekce v agenturách a subjektech EU zřízených podle hlavy V kapitoly 2 Smlouvy o EU.

Kontrolní seznam pro účely bezpečnostních inspekcí ESVČ

56.

Ředitelství odpovědné za bezpečnost ústředí a bezpečnost informací ESVČ vypracuje a aktualizuje kontrolní seznam pro účely bezpečnostních inspekcí obsahující položky, které je třeba během bezpečnostní inspekce ESVČ ověřit. Tento kontrolní seznam se zasílá Bezpečnostnímu výboru ESVČ.

57.

Informace týkající se vyplnění kontrolního seznamu lze získat zejména během inspekce od pracovníků odpovědných za řízení bezpečnosti subjektu, v němž je inspekce prováděna. Jakmile je kontrolní seznam podrobně vyplněn, stanoví se po dohodě s kontrolovaným subjektem stupeň jeho utajení. Kontrolní seznam není součástí inspekční zprávy.

PŘÍLOHA A IV

OCHRANA UTAJOVANÝCH INFORMACÍ EU, S NIMIŽ SE NAKLÁDÁ V KOMUNIKAČNÍCH A INFORMAČNÍCH SYSTÉMECH

I. ÚVOD

Tato příloha obsahuje ustanovení pro provádění článku 8 přílohy A.

Pro bezpečné a správné fungování operací v komunikačních a informačních systémech jsou zásadní tyto vlastnosti a koncepce zabezpečení informací:

Autenticita:	záruka, že informace jsou autentické a z důvěryhodných zdrojů;
Dostupnost:	přístupnost a použitelnost informací na žádost oprávněného subjektu;
Důvěrnost:	skutečnost, že informace nejsou zpřístupněny neoprávněným osobám a subjektům nebo pro nedovolené účely;
Integrita:	zajištění přesnosti a úplnosti informací a aktiv;
Nepopiratelnost:	schopnost prokázat zpětně jednání či událost tak, aby dané jednání či událost nemohly být následně popřeny.

II. ZÁSADY ZABEZPEČENÍ INFORMACÍ

Níže uvedená ustanovení tvoří minimální požadavky na bezpečnost veškerých komunikačních a informačních systémů nakládajících s utajovanými informacemi EU. Podrobné požadavky na provádění těchto ustanovení se stanoví v bezpečnostních pokynech pro zabezpečení informací.

Řízení bezpečnostních rizik

Řízení bezpečnostních rizik je nedílnou součástí vymezování, vývoje, provozování a údržby komunikačních a informačních systémů. Řízení rizik (hodnocení, řešení, přijetí a sdělování) probíhá jako nepřetržitý proces prováděný společně zástupci vlastníků systémů, projektovými a provozními orgány a orgány pro schvalování bezpečnosti za využití osvědčeného, transparentního a zcela srozumitelného procesu hodnocení rizika. Na počátku procesu řízení rizik se jednoznačně vymezí oblast působnosti komunikačního a informačního systému a jeho aktiv.

Příslušné orgány ESVČ přezkoumávají potenciální hrozby pro komunikační a informační systémy a vypracovávají aktualizovaná a přesná posouzení hrozeb, která odpovídají stávajícímu provoznímu prostředí. Neustále si doplňují znalosti o otázkách zranitelnosti a pravidelně přezkoumávají posouzení zranitelnosti, aby mohly odpovídajícím způsobem reagovat na měnící se prostředí informačních technologií.

Cílem řízení bezpečnostních rizik je uplatňovat soubor bezpečnostních opatření, jejichž výsledkem je uspokojivá rovnováha mezi požadavky uživatelů a zbytkovým bezpečnostním rizikem.

Specifické požadavky, rozsah a míra podrobnosti stanovené příslušným orgánem pro bezpečnostní akreditaci k akreditaci komunikačního a informačního systému musejí být přiměřené posouzenému riziku při zohlednění všech příslušných faktorů, včetně stupně utajení utajovaných informací EU, s nimiž se v komunikačním a informačním systému nakládá. Akreditace zahrnuje formální prohlášení o zbytkovém riziku a přijetí zbytkového rizika ze strany odpovědného orgánu.

Bezpečnost během celého životního cyklu komunikačního a informačního systému

Zajištění bezpečnosti zůstává požadavkem po celý životní cyklus daného komunikačního a informačního systému od uvedení do provozu až do ukončení provozu.

Pro každou fázi životního cyklu komunikačního a informačního systému je třeba v oblasti bezpečnosti stanovit úlohu a způsob zapojení každého aktéra spojeného s daným systémem.

10.

Každý komunikační a informační systém, včetně jeho technických i netechnických bezpečnostních opatření, musí být během akreditačního řízení podroben bezpečnostním testům s cílem zajistit odpovídající úroveň zabezpečení zavedených bezpečnostních opatření a ověřit, zda je řádně zaveden, integrován a konfigurován.

11.

Posouzení bezpečnosti a bezpečnostní inspekce a revize se provádějí pravidelně během provozu a údržby komunikačního a informačního systému a rovněž za výjimečných okolností.

12.

Bezpečnostní dokumentace pro daný komunikační a informační systém se vyvíjí během jeho celého životního cyklu jakožto nedílná součást procesu řízení změn a konfigurací.

Osvědčené postupy

13.

ESVČ spolupracuje s generálním sekretariátem Rady, Komisí a členskými státy na vývoji osvědčených postupů na ochranu utajovaných informací EU, s nimiž se nakládá v komunikačních a informačních systémech. Pokyny týkající se osvědčených postupů stanoví technická, fyzická, organizační a procedurální bezpečnostní opatření pro komunikační a informační systémy, která se ukázala jako účinná v boji proti určitým hrozbám a zranitelným místům.

14.

Pro ochranu utajovaných informací EU, s nimiž se nakládá v komunikačních a informačních systémech, se využijí získané poznatky subjektů, které působí v oblasti zabezpečení informací v EU i mimo ni.

15.

Šíření a následné uplatňování osvědčených postupů má napomoci dosažení rovnocenné úrovně zabezpečení jednotlivých komunikačních a informačních systémů provozovaných ESVČ, v nichž se nakládá s utajovanými informacemi EU.

Hloubková obrana

16.

V zájmu zmírnění rizika pro komunikační a informační systémy se provádí řada technických a netechnických bezpečnostních opatření, která jsou uspořádána do několika ochranných vrstev. Tyto vrstvy zahrnují:

a)	odstrašování: bezpečnostní opatření, jež mají odradit od jakéhokoli nepřátelského plánování útoku na komunikační a informační systém,

b)	prevence: bezpečnostní opatření, jež mají zabránit útoku na komunikační a informační systém nebo takový útok znemožnit,

c)	odhalování: bezpečnostní opatření, jež mají odhalit uskutečnění útoku na komunikační a informační systém,

d)	odolnost: bezpečnostní opatření, jež mají omezit dopad útoku na co nejmenší soubor informací nebo aktiv komunikačního a informačního systému a předcházet další škodě, a

e)	náprava: bezpečnostní opatření, jež mají vést k obnovení bezpečného stavu komunikačního a informačního systému.

Míra přísnosti bezpečnostních opatření a jejich použitelnost se stanoví na základě posouzení rizik.

17.

Příslušné orgány ESVČ zajistí, aby byly schopny reagovat na incidenty, které mohou přesahovat organizační a státní hranice, s cílem koordinovat reakci a sdílet informace o takových incidentech a souvisejícím riziku (schopnost reakce na počítačové hrozby).

Zásada minimality a minimálních práv

18.

Aby se předešlo zbytečnému riziku, zavádějí se pouze funkce, zařízení a služby, které jsou nezbytné pro splnění provozních požadavků.

19.

Aby se omezila jakákoli škoda způsobená v důsledku nepředvídaných událostí, chyb nebo neoprávněného používání zdrojů komunikačních a informačních systémů, mají uživatelé těchto systémů a automatizované procesy přístup, práva nebo oprávnění pouze v rozsahu nezbytném k plnění svých úkolů.

20.

Je-li v komunikačním a informačním systému vyžadováno provádění evidenčních postupů, musejí být tyto postupy ověřeny v akreditačním řízení.

Povědomí o zabezpečení informací

21.

Povědomí o rizicích a dostupných bezpečnostních opatřeních je první ochrannou vrstvou zajišťující bezpečnost komunikačních a informačních systémů. Zejména všichni členové personálu zapojení do životního cyklu komunikačního a informačního systému, včetně uživatelů, si musejí být vědomi:

a)	že selhání bezpečnosti může významně poškodit komunikační a informační systém a celou organizaci,

b)	možné újmy způsobené jiným subjektům z důvodu vzájemného propojení a vzájemné závislosti a

c)	svých individuálních povinností a odpovědnosti za bezpečnost komunikačního a informačního systému v závislosti na svých konkrétních úlohách v rámci daných systémů a procesů.

22.

Aby se zajistilo pochopení povinností souvisejících s bezpečností, je pro veškerý dotčený personál včetně vedoucích pracovníků a uživatelů komunikačních a informačních systémů povinné vzdělávání v oblasti zabezpečení informací a školení zaměřené na zvyšování povědomí o zabezpečení informací.

Hodnocení a schvalování bezpečnostních prostředků informačních technologií

23.

Požadovaná míra důvěry v bezpečnostní opatření, vymezená jako úroveň zabezpečení, se stanoví na základě výsledku procesu řízení rizik a v souladu s příslušnými bezpečnostními politikami a bezpečnostními pokyny.

24.

Úroveň zabezpečení se ověří pomocí mezinárodně uznávaných nebo na vnitrostátní úrovni schválených postupů a metod. To zahrnuje zejména hodnocení, kontroly a audity.

25.

Kryptografické prostředky na ochranu utajovaných informací EU hodnotí a schvaluje vnitrostátní schvalovací orgán členského státu pro kryptografickou ochranu.

26.

Předtím než jsou kryptografické prostředky doporučeny ke schválení schvalovacím orgánem ESVČ pro kryptografickou ochranu v souladu s čl. 8 odst. 5 tohoto rozhodnutí, musejí být úspěšně vyhodnoceny druhou stranou, jíž je orgán s odpovídající kvalifikací členského státu, který se nepodílí na vývoji ani výrobě zařízení. Rozsah informací vyžadovaný během hodnocení druhou stranou závisí na předpokládaném nejvyšším stupni utajení utajovaných informací EU, které mají být danými prostředky chráněny.

27.

Odůvodňují-li to zvláštní provozní okolnosti, může schvalovací orgán ESVČ pro kryptografickou ochranu na doporučení Bezpečnostního výboru Rady od požadavků podle bodu 25 nebo 26 upustit a podle čl. 8 odst. 5 tohoto rozhodnutí udělit dočasné schválení na konkrétní období.

28.

Orgánem s odpovídající kvalifikací je schvalovací orgán členského státu pro kryptografickou ochranu, který byl akreditován na základě kritérií stanovených Radou k provádění druhého hodnocení kryptografických prostředků na ochranu utajovaných informací EU.

29.

Vysoký představitel schválí bezpečnostní politiku pro způsobilost a schvalování nekryptografických bezpečnostních prostředků informačních technologií.

Přenos v zabezpečených oblastech

30.

Bez ohledu na ustanovení tohoto rozhodnutí, je-li přenos utajovaných informací EU omezen na zabezpečené oblasti nebo administrativní oblasti, může být na základě výsledku procesu řízení rizik a se souhlasem orgánu pro bezpečnostní akreditaci použit přenos nešifrovaný nebo šifrovaný na nižší úrovni.

Bezpečné propojení komunikačních a informačních systémů

31.

Pro účely tohoto rozhodnutí se propojením rozumí přímé spojení dvou nebo více informačních systémů za účelem jednosměrného či vícesměrného sdílení údajů a dalších informačních zdrojů (například komunikace).

32.

Komunikační a informační systém považuje každý propojený informační systém za nedůvěryhodný a za účelem kontroly výměny utajovaných informací uplatňuje ochranná opatření.

33.

U všech propojení komunikačních a informačních systémů s jiným informačním systémem je třeba splnit tyto základní požadavky:

a)	pracovní či provozní požadavky na tato propojení stanovují a schvalují příslušné orgány,

b)	propojení je předmětem procesu řízení rizik a akreditačního řízení a musejí jej schválit příslušné orgány pro bezpečnostní akreditaci a

c)	na vnější hranici všech komunikačních a informačních systémů se použijí funkce ochrany (Boundary Protection Services, BPS).

34.

Akreditovaný komunikační a informační systém nesmí být propojen s nechráněnou či veřejnou sítí, s výjimkou případů, kdy má komunikační a informační systém schválené funkce ochrany BPS instalované pro tento účel mezi daným komunikačním a informačním systémem a nechráněnou či veřejnou sítí. Bezpečnostní opatření pro taková propojení přezkoumává příslušný orgán pro zabezpečení informací a schvaluje je příslušný orgán pro bezpečnostní akreditaci.

Pokud je nechráněná či veřejná síť využívána výhradně k přenosu dat, která jsou zašifrována kryptografickým prostředkem schváleným v souladu s čl. 8 odst. 5 tohoto rozhodnutí, nepovažuje se takové spojení za propojení.

35.

Komunikační a informační systém akreditovaný pro nakládání s informacemi se stupněm utajení TRES SECRET UE / EU TOP SECRET nesmí být přímo ani kaskádově propojen s nechráněnou či veřejnou sítí.

Počítačová paměťová média

36.

Počítačová paměťová média se ničí postupy schválenými bezpečnostním orgánem ESVČ.

37.

Počítačová paměťová média je možné opětovně použít a jejich stupeň utajení lze snížit nebo zrušit v souladu s pokyny ESVČ týkajícími se snížení či zrušení stupně utajení utajovaných informací EU vypracovanými podle čl. 8 odst. 2 tohoto rozhodnutí.

Mimořádné okolnosti

38.

Bez ohledu na ustanovení tohoto rozhodnutí mohou být za mimořádných okolností, například během hrozící nebo probíhající krize, konfliktu, války nebo za výjimečných provozních okolností, po omezenou dobu použity níže popsané zvláštní postupy.

39.

Přenos utajovaných informací EU může být prováděn za použití kryptografických prostředků schválených pro nižší stupeň utajení nebo v nešifrované podobě se souhlasem příslušného orgánu, pokud by jakékoli zpoždění způsobilo škodu nepochybně převyšující škodu způsobenou případným vyzrazením utajovaných materiálů a pokud:

a)	odesílatel a příjemce nemají požadované šifrovací zařízení nebo nemají žádné šifrovací zařízení a

b)	utajované materiály nelze včas předat jiným způsobem.

40.

Za okolností uvedených v bodě 39 nenesou přenášené utajované informace žádná označení ani údaje, které by je odlišovaly od informací, jež nejsou utajované nebo mohou být chráněny dostupným kryptografickým prostředkem. Příjemce informací je třeba neprodleně uvědomit o stupni utajení jiným způsobem.

41.

Pokud se použije postup podle bodu 39, podá se následně zpráva ředitelství odpovědnému za bezpečnost ústředí a bezpečnost informací ESVČ a jeho prostřednictvím Bezpečnostnímu výboru ESVČ. V této zprávě je uveden přinejmenším odesílatel, příjemce a původce každé utajované informace EU.

III. FUNKCE A ORGÁNY V OBLASTI ZABEZPEČENÍ INFORMACÍ

42.

V rámci ESVČ se zřídí níže uvedené funkce v oblasti zabezpečení informací. Tyto funkce nevyžadují zřízení samostatných organizačních složek. Jsou plněny v rámci oddělených mandátů. Tyto funkce a související povinnosti mohou být ovšem kombinovány nebo spojeny ve stejné organizační složce nebo rozděleny do různých organizačních složek za podmínky, že se zamezí vnitřním střetům zájmů nebo úkolů.

Orgán pro zabezpečení informací

43.

Orgán pro zabezpečení informací odpovídá za:

a)	vypracování bezpečnostních pokynů pro zabezpečení informací a monitorování jejich účinnosti a relevance,

b)	zajištění a správu technických informací týkajících se kryptografických prostředků,

c)	zajištění toho, aby opatření pro zabezpečení informací zvolená na ochranu utajovaných informací EU byla v souladu s příslušnými pokyny, jimiž se řídí jejich způsobilost a výběr,

d)	zajištění toho, aby volba kryptografických prostředků byla v souladu s pokyny, jimiž se řídí jejich způsobilost a výběr,

e)	koordinaci školení a zvyšování povědomí o zabezpečení informací,

f)	konzultace s poskytovatelem systému, s aktéry v oblasti bezpečnosti a se zástupci uživatelů ohledně bezpečnostních pokynů pro zabezpečení informací a

g)	zajištění toho, aby v odborné podskupině Bezpečnostního výboru ESVČ pro otázky zabezpečení informací byly k dispozici odpovídající odborné znalosti.

Orgán TEMPEST

44.

Orgán TEMPEST odpovídá za zajištění toho, aby byly komunikační a informační systémy v souladu s politikami a pokyny TEMPEST. Schvaluje protiopatření TEMPEST pro zařízení a prostředky na ochranu utajovaných informací EU do určitého stupně utajení v jeho provozním prostředí.

Schvalovací orgán pro kryptografickou ochranu

45.

Schvalovací orgán pro kryptografickou ochranu je odpovědný za zajištění toho, aby byly kryptografické prostředky v souladu s příslušnými pokyny v oblasti kryptografické ochrany. Schvaluje konkrétní kryptografický prostředek na ochranu utajovaných informací EU do určitého stupně utajení v jeho provozním prostředí.

Orgán pro distribuci kryptografických materiálů

46.

Orgán pro distribuci kryptografických materiálů odpovídá za:

a)	správu a dokládání kryptografických materiálů EU,

b)	zajištění toho, aby byly uplatňovány příslušné postupy a stanoveny způsoby dokládání veškerých kryptografických materiálů EU, bezpečného nakládání s nimi a jejich uchovávání a distribuce, a

c)	zajištění předávání kryptografických materiálů EU osobám či orgánům, které je využívají, a jejich zpětné převzetí od těchto osob či orgánů.

Orgán pro bezpečnostní akreditaci

47.

Orgán pro bezpečnostní akreditaci odpovídá za:

zajištění toho, aby komunikační a informační systémy byly v souladu s příslušnými bezpečnostními pokyny, vydávání rozhodnutí o schválení komunikačních a informačních systémů pro nakládání s utajovanými informacemi EU do určitého stupně utajení v jejich provozním prostředí, v nichž uvede podmínky akreditace a kritéria, na jejichž základě se vyžaduje opětovné schválení,

b)	stanovení postupu bezpečnostní akreditace v souladu s příslušnými pokyny, přičemž jasně uvede podmínky pro schválení komunikačních a informačních systémů v jeho pravomoci,

c)	vymezení strategie bezpečnostní akreditace stanovující míru podrobností vyžadovaných v akreditačním řízení, která je přiměřená požadované úrovni zabezpečení,

posuzování a schvalování bezpečnostní dokumentace, včetně prohlášení o řízení rizik a zbytkovém riziku, prohlášení o bezpečnostních požadavcích pro konkrétní systém (SSRS), dokumentace týkající se ověřování provádění bezpečnostních opatření a bezpečnostních provozních postupů (SecOPs), a zajištění toho, aby tato dokumentace byla v souladu s bezpečnostními pravidly a pokyny ESVČ,

e)	kontrolu provádění bezpečnostních opatření souvisejících s komunikačními a informačními systémy tím, že zadává posouzení bezpečnosti a bezpečnostní inspekce či revize,

f)	stanovování bezpečnostních požadavků (například stupňů utajení, pro něž má být personál bezpečnostně prověřen) pro pracovní místa citlivá z hlediska bezpečnosti daného komunikačního a informačního systému,

g)	potvrzení výběru schválených kryptografických prostředků a prostředků TEMPEST používaných k zajištění bezpečnosti určitého komunikačního a informačního systému,

h)	schvalování propojení určitého komunikačního a informačního systému s jiným komunikačním a informačním systémem nebo případně za účast na společném schvalování takového propojení a

i)	konzultace s poskytovatelem systému, s aktéry v oblasti bezpečnosti a se zástupci uživatelů ohledně řízení bezpečnostních rizik, zejména zbytkového rizika, a podmínek vydání rozhodnutí o schválení.

48.

Orgán pro bezpečnostní akreditaci ESVČ odpovídá za akreditaci všech komunikačních a informačních systémů provozovaných v rámci ESVČ.

Komise pro bezpečnostní akreditaci

49.

Společná komise pro bezpečnostní akreditaci odpovídá za akreditaci komunikačních a informačních systémů, které spadají do působnosti orgánu pro bezpečnostní akreditaci ESVČ i orgánů pro bezpečnostní akreditaci členských států. Každý členský stát je v této komisi zastoupen jedním zástupcem vnitrostátního orgánu pro bezpečnostní akreditaci a jejích zasedání se účastní zástupce orgánu pro bezpečnostní akreditaci generálního sekretariátu Rady a Komise. K účasti na zasedání jsou přizvány jiné subjekty s uzlovými body připojení k určitému komunikačnímu a informačnímu systému, pokud je daný systém předmětem jednání.

Komisi pro bezpečnostní akreditaci předsedá zástupce orgánu pro bezpečnostní akreditaci ESVČ. Komise pro bezpečnostní akreditaci jedná na základě shody zástupců orgánů pro bezpečnostní akreditaci orgánů, členských států a jiných subjektů s uzlovými body připojení k danému komunikačnímu a informačnímu systému. Předkládá pravidelné zprávy o své činnosti Bezpečnostnímu výboru ESVČ a oznamuje mu veškerá vydaná rozhodnutí o akreditaci.

Provozní orgán pro zabezpečení informací

50.

Provozní orgán pro zabezpečení informací každého systému odpovídá za:

vypracování bezpečnostní dokumentace v souladu s bezpečnostními pokyny, zejména prohlášení o bezpečnostních požadavcích pro konkrétní systém (SSRS), včetně prohlášení o zbytkovém riziku, bezpečnostních provozních postupů (SecOPs) a plánu kryptografické ochrany, v rámci akreditačního řízení pro komunikační a informační systémy;

b)	účast na výběru a testování technických bezpečnostních opatření, zařízení a softwaru pro daný systém, dohled nad jejich zaváděním a zajištění jejich bezpečné instalace, konfigurace a údržby v souladu s příslušnou bezpečnostní dokumentací;

c)	účast na výběru bezpečnostních opatření a zařízení TEMPEST, pokud jsou vyžadovány v prohlášeních o bezpečnostních požadavcích pro konkrétní systém (SSRS), a zajištění jejich bezpečné instalace a údržby ve spolupráci s orgánem TEMPEST;

d)	monitorování zavádění a uplatňování bezpečnostních provozních postupů (SecOPs) a případně za pověření vlastníka systému plněním povinností souvisejících s provozní bezpečností;

e)	správu kryptografických prostředků a nakládání s nimi, zajištění úschovy kryptografických a kontrolovaných materiálů, a pokud je to vyžadováno, zajištění generování kryptografických proměnných;

f)	provádění bezpečnostních analýz, revizí a testů, zejména za účelem vypracování příslušných zpráv o rizicích, podle požadavků orgánu pro bezpečnostní akreditaci;

g)	poskytování školení o zabezpečení informací u konkrétních komunikačních a informačních systémů;

h)	zavádění a uplatňování bezpečnostních opatření u konkrétních komunikačních a informačních systémů.

PŘÍLOHA A V

PRŮMYSLOVÁ BEZPEČNOST

I. ÚVOD

Tato příloha obsahuje ustanovení pro provádění článku 9 přílohy A. Stanoví obecná bezpečnostní pravidla použitelná pro průmyslové nebo jiné subjekty při jednáních před uzavřením utajovaných smluv a během celého životního cyklu utajovaných smluv uzavíraných ESVČ.

Bezpečnostní orgán ESVČ schválí pokyny v oblasti průmyslové bezpečnosti, v nichž stanoví zejména podrobné požadavky, pokud jde o bezpečnostní prověrky zařízení, seznamy bezpečnostních požadavků, návštěvy, přenos a přenášení utajovaných informací EU.

II. PRVKY UTAJOVANÉ SMLOUVY TÝKAJÍCÍ SE BEZPEČNOSTI

Příručka pro stanovování stupňů utajení

Před zahájením výzvy k předkládání nabídek na uzavření utajované smlouvy nebo před uzavřením takové smlouvy určí ESVČ jakožto zadavatel stupeň utajení veškerých informací, které mají být poskytnuty uchazečům a dodavatelům, a rovněž stupeň utajení veškerých informací, které má dodavatel vytvořit. ESVČ vypracuje za tímto účelem příručku pro stanovování stupňů utajení, která bude použita pro plnění smlouvy.

Pro stanovení stupně utajení jednotlivých částí utajované smlouvy se použijí tyto zásady:

a)	při přípravě příručky pro stanovování stupňů utajení bere ESVČ v úvahu veškeré důležité bezpečnostní aspekty včetně stupně utajení, který poskytnutým informacím přidělil jejich původce a který původce informací schválil pro použití v souvislosti s danou smlouvou,

b)	stupeň utajení smlouvy jako celku nesmí být nižší než nejvyšší stupeň utajení kterékoli části smlouvy a

ESVČ se v příslušných případech spojí s vnitrostátními bezpečnostními orgány / s určenými bezpečnostními orgány členských států nebo s kterýmkoli jiným příslušným bezpečnostním orgánem, dojde-li k jakýmkoli změnám ohledně stupně utajení informací vytvářených dodavateli nebo poskytovaných dodavatelům při plnění smlouvy a provádějí-li se jakékoli dodatečné změny příručky pro stanovování stupňů utajení.

Seznam bezpečnostních požadavků

Bezpečnostní požadavky pro konkrétní smlouvu jsou popsány v seznamu bezpečnostních požadavků. Seznam bezpečnostních požadavků případně zahrnuje příručku pro stanovování stupňů utajení a je nedílnou součástí utajované smlouvy nebo utajované subdodavatelské smlouvy.

Seznam bezpečnostních požadavků obsahuje ustanovení, podle nichž musí dodavatel nebo subdodavatel dodržovat minimální standardy stanovené tímto rozhodnutím. Nedodržení těchto minimálních standardů může být dostatečným důvodem k vypovězení smlouvy.

Bezpečnostní pokyny k programu/projektu

V závislosti na rozsahu programů nebo projektů, které zahrnují přístup k utajovaným informacím EU nebo nakládání s nimi či jejich uchovávání, může orgán zadávající zakázku a pověřený řízením programu nebo projektu vypracovat bezpečnostní pokyny ke konkrétnímu programu/projektu. Bezpečnostní pokyny k programu/projektu vyžadují schválení ze strany vnitrostátních bezpečnostních orgánů / určených bezpečnostních orgánů členských států nebo kteréhokoli jiného příslušného bezpečnostního orgánu, který se účastní daného programu/projektu, a mohou obsahovat další bezpečnostní požadavky.

III. BEZPEČNOSTNÍ PROVĚRKA ZAŘÍZENÍ

Ředitelství odpovědné za bezpečnost ústředí a bezpečnost informací ESVČ požádá vnitrostátní bezpečnostní orgán nebo určený bezpečnostní orgán nebo kterýkoli jiný příslušný bezpečnostní orgán příslušného členského státu o vydání osvědčení o bezpečnostní prověrce zařízení, které v souladu s vnitrostátními právními předpisy potvrzuje, že průmyslový nebo jiný subjekt může ve svých zařízeních zajistit ochranu utajovaných informací EU na odpovídajícím stupni utajení (CONFIDENTIEL UE / EU CONFIDENTIAL nebo SECRET UE / EU SECRET). Dodavateli, subdodavateli nebo potenciálnímu dodavateli či subdodavateli nejsou poskytnuty utajované informace EU ani mu k utajovaným informacím EU není umožněn přístup, dokud nepředloží ESVČ doklad o bezpečnostní prověrce zařízení.

ESVČ jakožto zadavatel v příslušných případech oznámí příslušnému vnitrostátnímu bezpečnostnímu orgánu / určenému bezpečnostnímu orgánu nebo kterémukoli jinému příslušnému bezpečnostnímu orgánu, že v předsmluvní fázi nebo při plnění smlouvy je vyžadována bezpečnostní prověrka zařízení. V případě, že je během nabídkového řízení třeba poskytovat utajované informace EU se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo SECRET UE / EU SECRET, je v předsmluvní fázi vyžadována bezpečnostní prověrka zařízení nebo bezpečnostní prověrka personálu.

10.

ESVČ jakožto zadavatel neuzavře utajovanou smlouvu s upřednostňovaným uchazečem, dokud neobdrží od vnitrostátního bezpečnostního orgánu / určeného bezpečnostního orgánu nebo kteréhokoli jiného příslušného bezpečnostního orgánu členského státu, v němž je dotyčný dodavatel nebo subdodavatel registrován, potvrzení o tom, že bylo v případě, kdy je to vyžadováno, vydáno příslušné osvědčení o bezpečnostní prověrce zařízení.

11.

ESVČ jakožto zadavatel požádá vnitrostátní bezpečnostní orgán / určený bezpečnostní orgán nebo kterýkoli jiný příslušný bezpečnostní orgán, který vydal osvědčení o bezpečnostní prověrce zařízení, aby jí oznámil jakékoli negativní skutečnosti, které by mohly mít dopad na bezpečnostní prověrku zařízení. V případě subdodavatelské smlouvy je odpovídajícím způsobem informován vnitrostátní bezpečnostní orgán / určený bezpečnostní orgán nebo kterýkoli jiný příslušný bezpečnostní orgán.

12.

Zrušení osvědčení o bezpečnostní prověrce zařízení příslušným vnitrostátním bezpečnostním orgánem / určeným bezpečnostním orgánem nebo kterýmkoli jiným příslušným bezpečnostním orgánem je dostatečným důvodem k tomu, aby ESVČ jakožto zadavatel vypověděla utajovanou smlouvu nebo aby vyloučila určitého uchazeče z nabídkového řízení.

IV. BEZPEČNOSTNÍ PROVĚRKY PERSONÁLU V PŘÍPADĚ PERSONÁLU DODAVATELŮ

13.

Všichni členové personálu pracující pro dodavatele, kteří potřebují přístup k utajovaným informacím EU se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším, musejí být náležitě bezpečnostně prověřeni a musejí mít potřebu znát utajované informace. Ačkoli není vyžadována bezpečnostní prověrka personálu pro přístup k utajovaným informacím EU se stupněm utajení RESTREINT UE / EU RESTRICTED, je tento přístup umožněn jen v případě, že dotčené osoby potřebují tyto informace znát.

14.

Žádosti o bezpečnostní prověrku personálu se v případě personálu dodavatele podávají vnitrostátnímu bezpečnostnímu orgánu / určenému bezpečnostnímu orgánu, který je odpovědný za daný subjekt.

15.

ESVČ upozorní dodavatele, který hodlá zaměstnat státního příslušníka třetího státu na pracovním místě, které vyžaduje přístup k utajovaným informacím EU, že odpovědnost za určení toho, zda může být dané osobě umožněn přístup k těmto informacím v souladu s tímto rozhodnutím, a za potvrzení, že před umožněním přístupu k těmto informacím udělil původce svůj souhlas, nese vnitrostátní bezpečnostní orgán / určený bezpečnostní orgán členského státu, v němž má zaměstnávající subjekt sídlo a kde je zaregistrován.

V. UTAJOVANÉ SMLOUVY A UTAJOVANÉ SUBDODAVATELSKÉ SMLOUVY

16.

Pokud jsou utajované informace EU poskytovány uchazeči v předsmluvní fázi, musí výzva k předkládání nabídek obsahovat ustanovení o tom, že uchazeč, který nepředloží nabídku nebo jehož nabídka není vybrána, je povinen vrátit ve stanovené lhůtě všechny utajované dokumenty.

17.

Jakmile je zadána zakázka na základě utajované smlouvy nebo utajované subdodavatelské smlouvy, ESVČ jakožto zadavatel informuje vnitrostátní bezpečnostní orgán / určený bezpečnostní orgán příslušný pro daného dodavatele nebo subdodavatele nebo kterýkoli jiný příslušný bezpečnostní orgán o bezpečnostních ustanoveních utajované smlouvy.

18.

V případě vypovězení nebo skončení platnosti těchto smluv ESVČ jakožto zadavatel (nebo v případě subdodavatelské smlouvy případně vnitrostátní bezpečnostní orgán / určený bezpečnostní orgán nebo kterýkoli jiný příslušný bezpečnostní orgán) uvědomí neprodleně vnitrostátní bezpečnostní orgán / určený bezpečnostní orgán nebo kterýkoli jiný příslušný bezpečnostní orgán členského státu, v němž je dodavatel nebo subdodavatel registrován.

19.

Obecně platí, že při vypovězení nebo skončení platnosti utajované smlouvy nebo utajované subdodavatelské smlouvy musí dodavatel nebo subdodavatel vrátit zadavateli veškeré utajované informace EU v jeho držení.

20.

Zvláštní ustanovení týkající se nakládání s utajovanými informacemi EU během plnění smlouvy nebo při jejím vypovězení nebo skončení její platnosti se stanoví v seznamu bezpečnostních požadavků.

21.

Pokud je dodavatel nebo subdodavatel oprávněn ponechat si utajované informace EU po vypovězení nebo skončení platnosti smlouvy, dodavatel nebo subdodavatel nadále dodržuje minimální standardy obsažené v tomto rozhodnutí a chrání důvěrnost utajovaných informací EU.

22.

Podmínky, za nichž může dodavatel uzavřít subdodavatelskou smlouvu, jsou stanoveny ve výzvě k předkládání nabídek a ve smlouvě.

23.

Předtím než dodavatel zadá jakékoli části utajované smlouvy subdodavateli, musí získat povolení od ESVČ jakožto zadavatele. Žádná subdodavatelská smlouva nesmí být uzavřena s průmyslovými nebo jinými subjekty registrovanými ve státě, který není členským státem EU a který s EU neuzavřel dohodu o bezpečnosti informací.

24.

Dodavatel je povinen zajistit, aby veškeré subdodavatelské činnosti byly prováděny v souladu s minimálními standardy stanovenými tímto rozhodnutím, a nesmí subdodavateli poskytovat utajované informace EU bez předchozího písemného souhlasu zadavatele.

25.

Pokud jde o utajované informace EU, které vytvořil nebo s nimiž nakládá dodavatel nebo subdodavatel, práva náležející původci vykonává zadavatel.

VI. NÁVŠTĚVY V SOUVISLOSTI S UTAJOVANÝMI SMLOUVAMI

26.

Pokud ESVČ, dodavatelé či subdodavatelé potřebují pro plnění utajované smlouvy přístup k informacím se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo SECRET UE / EU SECRET v prostorách druhé strany, sjednají se návštěvy ve spolupráci s příslušnými vnitrostátními bezpečnostními orgány / určenými bezpečnostními orgány nebo s kterýmkoli jiným příslušným bezpečnostním orgánem. Tímto není dotčena pravomoc vnitrostátních bezpečnostních orgánů / určených bezpečnostních orgánů dohodnout v případě konkrétních projektů postup, jímž lze tyto návštěvy sjednat přímo.

27.

Všichni návštěvníci musejí být držiteli odpovídajícího osvědčení o bezpečnostní prověrce personálu a musejí mít potřebu znát utajované informace EU, které souvisejí se smlouvou uzavřenou ESVČ.

28.

Návštěvníkům je umožněn přístup pouze k utajovaným informacím EU souvisejícím s účelem návštěvy.

VII. PŘENOS A PŘENÁŠENÍ UTAJOVANÝCH INFORMACÍ EU

29.

Pokud jde o elektronický přenos utajovaných informací EU, použijí se příslušná ustanovení článku 8 přílohy A a přílohy A IV.

30.

Pokud jde o přenášení utajovaných informací EU, použijí se příslušná ustanovení přílohy A III v souladu s vnitrostátními právními předpisy.

31.

V případě přepravy utajovaných materiálů jako nákladu se při stanovení bezpečnostních opatření uplatní tyto zásady:

a)	bezpečnost musí být zajištěna během všech fází přepravy z místa původu až po konečné místo určení;

b)	stupeň ochrany poskytovaný zásilce se stanoví podle nejvyššího stupně utajení materiálů, které jsou její součástí;

společnosti zajišťující přepravu musejí být držiteli osvědčení o bezpečnostní prověrce zařízení na odpovídající úrovni, pokud současně platí, že jsou utajované informace uchovávány v zařízeních dodavatele. V každém případě musejí být členové personálu nakládající se zásilkou náležitě bezpečnostně prověřeni v souladu s přílohou A I;

před jakoukoli přeshraniční přepravou materiálů se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo SECRET UE / EU SECRET musí odesílatel vypracovat přepravní plán, který schválí ESVČ případně ve spolupráci s příslušnými vnitrostátními bezpečnostními orgány / určenými bezpečnostními orgány odesílatele i příjemce zásilky nebo s kterýmkoli jiným příslušným bezpečnostním orgánem;

e)	materiály musejí být převáženy v nejvyšší možné míře po přímé trase a přeprava musí být ukončena, jak nejrychleji to okolnosti umožní;

f)	kdykoli je to možné, přepravní trasy by měly vést pouze přes území členských států. Přeprava přes jiné než členské státy by se měla uskutečnit pouze v případě, kdy byla povolena ze strany ESVČ nebo kterýmkoli jiným příslušným bezpečnostním orgánem států odesílatele i příjemce zásilky.

VIII. POSKYTOVÁNÍ UTAJOVANÝCH INFORMACÍ EU DODAVATELŮM SE SÍDLEM V TŘETÍCH STÁTECH

32.

Utajované informace EU jsou dodavatelům a subdodavatelům se sídlem v třetích státech, které mají s EU uzavřenou platnou dohodu o bezpečnosti, poskytovány v souladu s bezpečnostními opatřeními dohodnutými mezi ESVČ jakožto zadavatelem a vnitrostátním bezpečnostním orgánem / určeným bezpečnostním orgánem dotyčného třetího státu, v němž je dodavatel registrován.

IX. NAKLÁDÁNÍ S INFORMACEMI SE STUPNĚM UTAJENÍ REISTREINT UE / EU RESTRICTED A JEJICH UCHOVÁVÁNÍ

33.

ESVČ jakožto zadavatel je oprávněn případně ve spojení s vnitrostátním bezpečnostním orgánem / určeným bezpečnostním orgánem dotčeného členského státu vykonávat na základě smluvních ustanovení návštěvy v zařízeních dodavatelů/subdodavatelů s cílem ověřit, že byla zavedena příslušná bezpečnostní opatření na ochranu utajovaných informací EU se stupněm utajení RESTREINT UE / EU RESTRICTED podle požadavků smlouvy.

34.

ESVČ jakožto zadavatel informuje vnitrostátní bezpečnostní orgány / určené bezpečnostní orgány nebo kterýkoli jiný bezpečnostní orgán v rozsahu nezbytném podle vnitrostátních právních předpisů o smlouvách či subdodavatelských smlouvách obsahujících informace se stupněm utajení RESTREINT UE / EU RESTRICTED.

35.

U smluv uzavíraných ESVČ a obsahujících informace se stupněm utajení RESTREINT UE / EU RESTRICTED se v případě dodavatelů nebo subdodavatelů a jejich personálu nevyžaduje bezpečnostní prověrka zařízení ani bezpečnostní prověrka personálu.

36.

ESVČ jakožto zadavatel posoudí odpovědi na výzvy k předkládání nabídek v souvislosti se smlouvami, které vyžadují přístup k informacím se stupněm utajení RESTREINT UE / EU RESTRICTED, bez ohledu na požadavky týkající se bezpečnostní prověrky zařízení nebo bezpečnostní prověrky personálu, které mohou být stanoveny vnitrostátními právními předpisy.

37.

Podmínky, za nichž může dodavatel uzavřít subdodavatelskou smlouvu, se stanoví v souladu s body 22 až 24.

38.

Pokud smlouva zahrnuje nakládání s informacemi se stupněm utajení RESTREINT UE / EU RESTRICTED v komunikačním a informačním systému provozovaném dodavatelem, ESVČ jakožto zadavatel zajistí, aby ve smlouvě nebo subdodavatelské smlouvě byly uvedeny nezbytné technické a správní požadavky týkající se akreditace komunikačního a informačního systému, které jsou přiměřené posouzenému riziku, přičemž se zohlední všechny příslušné faktory. Zadavatel a příslušný vnitrostátní bezpečnostní orgán / určený bezpečnostní orgán se dohodnou na rozsahu akreditace takového komunikačního a informačního systému.

PŘÍLOHA A VI

VÝMĚNA UTAJOVANÝCH INFORMACÍ SE TŘETÍMI STÁTY A MEZINÁRODNÍMI ORGANIZACEMI

I. ÚVOD

Tato příloha obsahuje ustanovení pro provádění článku 10 přílohy A.

II. RÁMCE UPRAVUJÍCÍ VÝMĚNU UTAJOVANÝCH INFORMACÍ

ESVČ si může vyměňovat utajované informace EU se třetími státy nebo mezinárodními organizacemi v souladu s čl. 10 odst. 1 přílohy A.

S cílem podpořit vysokého představitele při plnění povinností stanovených v článku 218 SFEU:

příslušné oddělení ESVČ zaměřené na danou zeměpisnou nebo tematickou oblast po konzultaci s ředitelstvím odpovědným za bezpečnost ústředí a bezpečnost informací ESVČ ve vhodných případech stanoví, že existuje potřeba dlouhodobé výměny utajovaných informací EU s dotyčným třetím státem nebo mezinárodní organizací;

b)	ředitelství odpovědné za bezpečnost ústředí a bezpečnost informací ESVČ po konzultaci s příslušným oddělením ESVČ zaměřeným na danou zeměpisnou oblast předkládá v příslušných případech podle čl. 218 odst. 3, 5 a 6 SFEU vysokému představiteli návrhy, které mají být předloženy Radě;

c)	ředitelství odpovědné za bezpečnost ústředí a bezpečnost informací ESVČ poskytuje vysokému představiteli podporu při jednáních;

pokud jde o dohody nebo ujednání se třetími státy o jejich účasti na operacích SBOP pro řešení krizí podle čl. 10 odst. 1 písm. c) přílohy A, je ESVČ v souladu s čl. 218 odst. 3, 5 a 6 SFEU nápomocna vysokému představiteli v souvislosti s návrhy, které mají být předloženy Radě, a poskytuje vysokému představiteli podporu při jednáních.

Pokud dohody o bezpečnosti informací vyžadují, aby byla mezi ředitelstvím odpovědným za bezpečnost ústředí a bezpečnost informací ESVČ a příslušným bezpečnostním orgánem dotyčného třetího státu nebo mezinárodní organizace dohodnuta technická prováděcí pravidla, zohlední tato pravidla úroveň ochrany stanovenou bezpečnostními předpisy, strukturami a postupy platnými v dotyčném třetím státě nebo mezinárodní organizaci. Ředitelství odpovědné za bezpečnost ústředí a bezpečnost informací ESVČ koordinuje svou činnost související s těmito pravidly s ředitelstvím pro bezpečnost v rámci Generálního ředitelství Komise pro lidské zdroje a bezpečnost a s bezpečnostní kanceláří generálního sekretariátu Rady.

Pokud mezi ESVČ a třetím státem nebo mezinárodní organizací existuje dlouhodobá potřeba výměny informací, jejichž stupeň utajení v zásadě není vyšší než RESTREINT UE / EU RESTRICTED, a pokud bylo stanoveno, že dotyčná strana nemá dostatečně rozvinutý bezpečnostní systém, který by jí umožnil uzavřít dohodu o bezpečnosti informací, může vysoký představitel na základě jednomyslného kladného stanoviska Bezpečnostního výboru ESVČ v souladu s čl. 15 odst. 5 tohoto rozhodnutí uzavřít s příslušnými bezpečnostními orgány dotyčného třetího státu nebo mezinárodní organizace správní ujednání.

Utajované informace EU nesmějí být vyměňovány se třetím státem nebo mezinárodní organizací elektronickými prostředky, pokud tak není výslovně stanoveno v dohodě o bezpečnosti informací nebo správním ujednání.

V rámci správního ujednání o výměně utajovaných informací určí ESVČ i třetí stát nebo mezinárodní organizace registr, který bude při výměně utajovaných informací hlavním přijímacím a odbavovacím místem. V případě ESVČ je bude jednat o ústřední registr ESVČ.

Správní ujednání mají zpravidla formu výměny dopisů.

III. HODNOTÍCÍ NÁVŠTĚVY

Hodnotící návštěvy podle článku 17 tohoto rozhodnutí se provádějí po vzájemné dohodě s příslušným třetím státem nebo mezinárodní organizací a hodnotí:

a)	regulační rámec použitelný pro ochranu utajovaných informací,

b)	veškeré specifické prvky bezpečnostních právních předpisů, nařízení, politik nebo postupů třetího státu nebo mezinárodní organizace, které by mohly mít vliv na nejvyšší stupeň utajení informací, které je možné vyměňovat,

c)	platná bezpečnostní opatření a postupy ochrany utajovaných informací a

d)	postupy bezpečnostní prověrky pro stupeň utajení utajovaných informací EU, které mají být poskytovány.

Žádné utajované informace EU nesmějí být vyměňovány před uskutečněním hodnotící návštěvy a stanovením úrovně, na které mohou být utajované informace mezi stranami vyměňovány, a to na základě rovnocennosti úrovně ochrany, která jim bude poskytována.

Pokud je vysoký představitel před uskutečněním takové hodnotící návštěvy informován o jakýchkoli výjimečných nebo naléhavých důvodech pro výměnu utajovaných informací, bezpečnostní orgán ESVČ:

a)	nejprve požádá původce o písemný souhlas, že proti poskytnutí informací neexistují námitky;

b)	může rozhodnout o poskytnutí informací za předpokladu, že bylo získáno jednomyslné kladné stanovisko členských států zastoupených v Bezpečnostním výboru ESVČ.

Nemůže-li ESVČ určit původce, převezme odpovědnost původce bezpečnostní orgán ESVČ poté, co získal jednomyslné kladné stanovisko Bezpečnostního výboru ESVČ.

IV. ZMOCNĚNÍ K POSKYTOVÁNÍ UTAJOVANÝCH INFORMACÍ EU TŘETÍM STÁTŮM NEBO MEZINÁRODNÍM ORGANIZACÍM

10.

Pokud existuje rámec pro výměnu utajovaných informací se třetím státem nebo mezinárodní organizací v souladu s čl. 10 odst. 1 přílohy A, rozhodnutí o tom, že ESVČ poskytne třetímu státu nebo mezinárodní organizaci utajované informace EU, přijme bezpečnostní orgán ESVČ.

11.

Pokud původcem utajovaných informací, které mají být poskytnuty, včetně původců výchozího materiálu, který mohou obsahovat, není ESVČ, musí bezpečnostní orgán ESVČ nejprve získat písemný souhlas původce, aby se ujistil, že proti poskytnutí informací neexistují námitky. Nemůže-li ESVČ určit původce, převezme odpovědnost původce bezpečnostní orgán ESVČ poté, co získal jednomyslné kladné stanovisko členských států zastoupených v Bezpečnostním výboru ESVČ.

V. VÝJIMEČNÉ AD HOC POSKYTOVÁNÍ UTAJOVANÝCH INFORMACÍ EU

12.

Neexistuje-li některý z rámců uvedených v čl. 10 odst. 1 přílohy A a vyžadují-li zájmy EU nebo jednoho či více členských států poskytnutí utajovaných informací EU z politických, operačních nebo naléhavých důvodů, mohou být utajované informace EU výjimečně poskytnuty třetímu státu nebo mezinárodní organizaci po přijetí následujících opatření.

Bezpečnostní orgán ESVČ poté, co zajistí splnění podmínek uvedených v bodě 11:

a)	v možném rozsahu ověří u bezpečnostních orgánů dotyčného třetího státu nebo mezinárodní organizace, že jejich bezpečnostní předpisy, struktury a postupy zaručují ochranu poskytnutých utajovaných informací EU v souladu se standardy, které nejsou méně přísné než standardy stanovené tímto rozhodnutím;

b)	požádá Bezpečnostní výbor ESVČ, aby na základě dostupných informací vydal stanovisko ohledně důvěryhodnosti bezpečnostních předpisů, struktur a postupů v třetím státě nebo mezinárodní organizaci, jimž mají být utajované informace EU poskytnuty;

c)	může rozhodnout o poskytnutí informací za předpokladu, že bylo získáno jednomyslné kladné stanovisko členských států zastoupených v Bezpečnostním výboru ESVČ.

13.

Neexistuje-li některý z rámců uvedených v čl. 10 odst. 1 přílohy A, dotyčná třetí strana se písemně zaváže k náležité ochraně utajovaných informací EU.

Dodatek A

Definice

Pro účely tohoto rozhodnutí se rozumí:

(a)

„akreditací“ postup, jehož výsledkem je formální rozhodnutí orgánu pro bezpečnostní akreditaci, že určitý systém se schvaluje do provozu s určitým stupněm utajení, v určitém bezpečnostním módu v jeho provozním prostředí a s přijatelnou úrovní rizika na základě předpokladu, že je uplatňován schválený soubor technických, fyzických, organizačních a procedurálních bezpečnostních opatření;

(b)	„aktivem“ cokoli s významem pro organizaci, její činnosti a jejich kontinuitu, včetně informačních zdrojů podporujících poslání organizace;

(c)

„oprávněním k přístupu k utajovaným informacím EU“ oprávnění udělené bezpečnostním orgánem ESVČ v souladu s tímto rozhodnutím poté, co příslušné orgány členského státu vydaly osvědčení o bezpečnostní prověrce personálu, které osvědčuje, že určité osobě může být za podmínky, že byla zjištěna potřeba této osoby znát utajované informace, umožněn do konkrétně stanoveného data přístup k utajovaným informacím EU až do konkrétního stupně utajení (CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyššího) v souladu s článkem 2 přílohy A I;

(d)	„narušením bezpečnosti“ jednání nebo opomenutí určité osoby, jež je v rozporu s bezpečnostními pravidly stanovenými tímto rozhodnutím nebo s bezpečnostními politikami či pokyny, jimiž se stanoví veškerá opatření nezbytná k jeho provádění;

(e)	„životním cyklem komunikačního a informačního systému“ celé období existence komunikačního a informačního systému, které zahrnuje iniciační fázi, vytvoření koncepce, plánování, analýzu požadavků, vytvoření návrhu, vývoj, testování, uvedení do provozu, provoz, údržbu a vyřazení z provozu;

(f)	„utajovanou smlouvou“ smlouva uzavřená ESVČ s určitým dodavatelem o dodání zboží, provedení prací nebo poskytnutí služeb, jejíž plnění vyžaduje nebo zahrnuje přístup k utajovaným informacím EU nebo jejich vytváření;

(g)	„utajovanou subdodavatelskou smlouvou“ smlouva uzavřená dodavatelem ESVČ s jiným dodavatelem (tj. subdodavatelem) o dodání zboží, provedení prací nebo poskytnutí služeb, jejíž plnění vyžaduje nebo zahrnuje přístup k utajovaným informacím EU nebo jejich vytváření;

(h)	„komunikačním a informačním systémem“ jakýkoli systém, který umožňuje nakládat s informacemi v elektronické podobě. Komunikační a informační systém zahrnuje všechna aktiva nezbytná k jeho fungování, včetně infrastruktury, organizace, personálu a informačních zdrojů;

(i)	„ohrožením utajovaných informací EU“ úplné nebo částečné zpřístupnění utajovaných informací EU neoprávněným osobám nebo subjektům – viz čl. 9 odst. 2;

(j)	„dodavatelem“ fyzická nebo právnická osoba právně způsobilá k uzavírání smluv;

(k)	„kryptografickými prostředky“ šifrovací algoritmy, hardwarové a softwarové kryptografické moduly a prostředky, včetně prováděcích pravidel a související dokumentace, a klíčový materiál;

(l)	„operací SBOP“ vojenská nebo civilní operace pro řešení krize zřízená podle hlavy V kapitoly 2 Smlouvy o EU;

(m)	„zrušením stupně utajení“ odstranění veškerých stupňů utajení;

(n)	„hloubkovou obranou“ uplatňování řady bezpečnostních opatření, která jsou uspořádána do několika ochranných vrstev;

(o)

„určeným bezpečnostním orgánem“ orgán podléhající vnitrostátnímu bezpečnostnímu orgánu členského státu, který odpovídá za informování průmyslových nebo jiných subjektů o vnitrostátní politice ohledně všech otázek průmyslové bezpečnosti a za poskytování pokynů a pomoci při jejím provádění. Funkci určeného bezpečnostního orgánu může vykonávat vnitrostátní bezpečnostní orgán nebo kterýkoli jiný příslušný orgán;

(p)	„dokumentem“ jakékoli zaznamenané informace bez ohledu na jejich fyzickou podobu či povahu;

(q)	„snížením stupně utajení“ označení informace nižším stupněm utajení;

(r)	„utajovanými informacemi EU“ jakékoli informace nebo materiály označené stupněm utajení EU, jejichž neoprávněné vyzrazení by mohlo různou měrou poškodit zájmy Evropské unie nebo jednoho či více členských států – viz čl. 2 písm. f);

(s)

„bezpečnostní prověrkou zařízení“ správní rozhodnutí vnitrostátního bezpečnostního orgánu nebo určeného bezpečnostního orgánu, že určité zařízení může z hlediska bezpečnosti zajistit odpovídající úroveň ochrany utajovaných informací EU s určitým stupněm utajení a že členové personálu zařízení, kteří potřebují přístup k utajovaným informacím EU, jsou náležitě bezpečnostně prověřeni a byli poučeni o příslušných bezpečnostních požadavcích nezbytných pro přístup k utajovaným informacím EU a k jejich ochraně;

(t)

„nakládáním“ s utajovanými informacemi EU veškeré možné činnosti, jejichž předmětem mohou být utajované informace EU během celého svého životního cyklu. Zahrnuje jejich vytváření, zpracovávání, přenášení, snížení a zrušení jejich stupně utajení a jejich ničení. V souvislosti s informačními a komunikačními systémy zahrnuje rovněž jejich shromažďování, zobrazení, přenos a uchovávání;

(u)	„držitelem“ řádně oprávněná osoba, která jednoznačně potřebuje znát utajované informace EU a má v držení utajované informace EU, a je tedy odpovědná za jejich ochranu;

(v)	„průmyslovým nebo jiným subjektem“ subjekt zapojený do dodávek zboží, provádění prací nebo poskytování služeb. Může se jednat o subjekt působící v oblasti průmyslu, obchodu, služeb, vědy, výzkumu, vzdělávání či vývoje nebo o samostatně výdělečně činnou osobu;

(w)	„průmyslovou bezpečností“ uplatňování opatření k zajištění ochrany utajovaných informací EU ze strany dodavatelů nebo subdodavatelů během jednání před uzavřením utajovaných smluv a během celého životního cyklu utajovaných smluv – viz čl. 9 odst. 1 přílohy A;

(x)

„zabezpečením informací“ v oblasti komunikačních a informačních systémů se rozumí jistota, že takové systémy ochrání informace, s nimiž nakládají, a že budou fungovat tak, jak je třeba, a kdy je třeba, a to pod dohledem oprávněných uživatelů. Účinné zabezpečení informací zajišťuje příslušnou míru důvěrnosti, integrity, dostupnosti, nepopiratelnosti a autenticity informací. Zabezpečení informací je založeno na procesu řízení rizik – viz čl. 8 odst. 1 přílohy A;

(y)	„propojením“ přímé spojení dvou nebo více informačních systémů za účelem jednosměrného či vícesměrného sdílení údajů a dalších informačních zdrojů (například komunikace) – viz bod 31 přílohy A IV;

(z)

„správou utajovaných informací“ uplatňování administrativních opatření ke kontrole utajovaných informací EU během celého jejich životního cyklu, která doplňují opatření stanovená v článcích 5, 6 a 8, a pomáhají tak zabránit úmyslnému či neúmyslnému ohrožení či ztrátě takových informací, odhalit takové ohrožení nebo ztrátu informací a následně zajistit nápravu. Tato opatření se týkají zejména vytváření, evidence, kopírování, překladů, přenášení, uchovávání a ničení utajovaných informací EU a nakládání s nimi – viz čl. 7 odst. 1 přílohy A;

(aa)	„materiálem“ jakýkoli dokument nebo část technického zařízení či vybavení, ať vyhotovené, či v procesu zhotovování;

(bb)	„původcem“ orgán, instituce nebo jiný subjekt EU, členský stát, třetí stát nebo mezinárodní organizace, z jejichž pověření byly utajované informace vytvořeny nebo uvedeny do struktur EU;

(cc)

„personální bezpečností“ uplatňování opatření, jež zajistí, že přístup k utajovaným informacím EU je umožněn pouze osobám, které:

—	utajované informace potřebují znát,

—	jsou pro přístup k utajovaným informacím se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším bezpečnostně prověřeny pro odpovídající stupeň utajení nebo jsou jinak řádně oprávněny z titulu své funkce v souladu s vnitrostátními právními předpisy a

—	byly poučeny o svých povinnostech

v souladu s čl. 5 odst. 1 přílohy A;

(dd)

„bezpečnostní prověrkou personálu“ pro přístup k utajovaným informacím EU prohlášení příslušného orgánu členského státu vydané po skončení bezpečnostního řízení prováděného příslušnými orgány členského státu, kterým se osvědčuje, že určité osobě může být za podmínky, že byla zjištěna potřeba této osoby znát utajované informace, umožněn do konkrétně stanoveného data přístup k utajovaným informacím EU až do konkrétního stupně utajení (CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyššího); osoba odpovídající tomuto popisu se označuje za osobu, která je „bezpečnostně prověřena“;

(ee)

„potvrzením o bezpečnostní prověrce personálu“ osvědčení vydané příslušným orgánem, jímž se potvrzuje, že určitá osoba je bezpečnostně prověřena a je držitelem platného osvědčení o bezpečnostní prověrce personálu nebo oprávnění vydaného ředitelem pro bezpečnost ústředí a bezpečnost informací ESVČ, a v němž je uveden stupeň utajení utajovaných informací EU, k nimž může mít dotčená osoba přístup (CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšší), datum platnosti příslušné bezpečnostní prověrky personálu a datum, do kdy je platné samotné potvrzení;

(ff)	„fyzickou bezpečností“ uplatňování fyzických a technických ochranných opatření s cílem zabránit neoprávněnému přístupu k utajovaným informacím EU – viz článek 6 přílohy A;

(gg)	„bezpečnostními pokyny k programu/projektu“ seznam bezpečnostních postupů, které se uplatňují u konkrétního programu/projektu s cílem standardizovat bezpečnostní postupy. Tyto pokyny lze revidovat během celé doby trvání programu/projektu;

(hh)	„evidencí“ uplatňování postupů, jimiž se zaznamenává životní cyklus informací včetně jejich distribuce a zničení – viz bod 21 přílohy A III;

(ii)	„zbytkovým rizikem“ riziko, které přetrvává poté, co byla zavedena bezpečnostní opatření, neboť nelze čelit všem hrozbám a nelze odstranit všechna zranitelná místa;

(jj)	„rizikem“ možnost, že v případě určité hrozby budou zneužita vnitřní a vnější zranitelná místa organizace nebo kteréhokoli ze systémů, jichž využívá, a dojde tak k poškození organizace a jejích hmotných či nehmotných aktiv. Měří se jako kombinace pravděpodobnosti výskytu hrozeb a jejich dopadu;

(kk)	„přijetím rizika“ rozhodnutí akceptovat, že po řešení rizika i nadále existuje zbytkové riziko;

(ll)	„posouzením rizik“ určení hrozeb a zranitelných míst a provedení analýzy souvisejících rizik, tj. analýzy pravděpodobnosti a dopadu;

(mm)	„sdělováním rizika“ šíření informovanosti o rizicích v rámci skupin uživatelů komunikačních a informačních systémů, informování schvalovacích orgánů o těchto rizicích a podávání zpráv o těchto rizicích provozním orgánům;

(nn)	„procesem řízení rizik“ celý proces určování, kontrolování a minimalizace problematických událostí, které mohou ovlivnit bezpečnost organizace nebo jakýchkoli systémů, které používá. Zahrnuje všechny činnosti týkající se rizik, včetně jejich posouzení, řešení, přijetí a sdělování;

(oo)	„řešením rizika“ zmírnění, odstranění a omezení rizika (prostřednictvím vhodné kombinace technických, fyzických, organizačních nebo procedurálních opatření), přenesení rizika nebo jeho monitorování;

(pp)

„seznamem bezpečnostních požadavků“ soubor zvláštních smluvních podmínek vydaný orgánem zadávajícím zakázku, který je nedílnou součástí kterékoli utajované smlouvy, jejíž plnění zahrnuje přístup k utajovaným informacím EU nebo jejich vytváření, a který stanoví bezpečnostní požadavky nebo části smlouvy vyžadující bezpečnostní ochranu – viz oddíl II přílohy A V;

(qq)

„příručkou pro stanovování stupňů utajení“ dokument popisující prvky programu nebo smlouvy, které jsou utajované, přičemž stanoví použitelné stupně utajení. Příručka pro stanovování stupňů utajení může být rozšiřována během celé doby trvání programu nebo smlouvy a u jednotlivých prvků informací může dojít ke změně nebo ke snížení stupně utajení; pokud příručka pro stanovování stupně utajení existuje, je součástí seznamu bezpečnostních požadavků – viz oddíl II přílohy A V;

(rr)

„bezpečnostním řízením“ postupy šetření prováděné příslušným orgánem členského státu v souladu s jeho vnitrostátními právními předpisy za účelem získání záruky, že nejsou známy žádné negativní skutečnosti, které by bránily tomu, aby bylo určité osobě vydáno vnitrostátní osvědčení o bezpečnostní prověrce personálu nebo osvědčení EU o bezpečnostní prověrce personálu pro přístup k utajovaným informacím EU až do konkrétního stupně utajení (CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyššího);

(ss)	„bezpečnostními provozními postupy“ (SecOPs) popis provádění bezpečnostní politiky, která má být přijata, provozních postupů, které se mají dodržovat, a povinností personálu;

(tt)

„citlivými neutajovanými informacemi“ informace nebo materiál, které musí ESVČ chránit s ohledem na právní povinnosti stanovené ve Smlouvách nebo v aktech přijatých v rámci provádění Smluv nebo s ohledem na jejich citlivost. Mezi citlivé neutajované informace patří například, nikoli však výhradně, informace nebo materiály, které jsou profesním tajemstvím, jak je stanoveno v článku 339 SFEU, informace, které jsou předmětem zájmů chráněných článkem 4 nařízení (ES) č. 1049/2001 (1) ve spojení s příslušnou judikaturou Soudního dvora Evropské unie, nebo osobní údaje v rámci oblasti působnosti nařízení (ES) č. 2018/1725;

(uu)	„prohlášením o bezpečnostních požadavcích pro konkrétní systém“ závazný soubor bezpečnostních zásad, které mají být dodržovány, a podrobných bezpečnostních požadavků, které mají být splněny; jsou základem certifikace a akreditace komunikačních a informačních systémů;

(vv)	„opatřeními TEMPEST“ zjišťování, zkoumání a kontrola kompromitujícího elektromagnetického vyzařování a opatření k jeho potlačení;

(ww)	„hrozbou“ možná příčina nežádoucího incidentu, který může vést k poškození určité organizace nebo jakéhokoli systému, který používá. Hrozby mohou být neúmyslné či úmyslné (zlovolné) a vyznačují se ohrožujícími prvky, potenciálními cíli a metodami útoku;

(xx)

„zranitelným místem“ slabé místo jakékoli povahy, které může být zneužito pro účely jedné nebo několika hrozeb. Zranitelné místo může být výsledkem opomenutí nebo může souviset s nedostatky v rámci kontrol, pokud jde o jejich intenzitu, úplnost nebo důslednost, a může být technické, procedurální, fyzické, organizační nebo provozní povahy.

(1) Nařízení Evropského parlamentu a Rady (ES) č. 1049/2001 ze dne 30. května 2001 o přístupu veřejnosti k dokumentům Evropského parlamentu, Rady a Komise (Úř. věst. L 145, 31.5.2001, s. 43).

Dodatek B

Srovnávací tabulka stupňů utajení

EU	TRES SECRET UE / EU TOP SECRET	SECRET UE / EU SECRET	CONFIDENTIEL UE / EU CONFIDENTIAL	RESTREINT UE / EU RESTRICTED
EURATOM	EURA TOP SECRET	EURA SECRET	EURA CONFIDENTIAL	EURA RESTRICTED
Belgie	Très Secret (Loi 11.12.1998) Zeer Geheim (Wet 11.12.1998)	Secret (Loi 11.12.1998) Geheim (Wet 11.12.1998)	Confidentiel (Loi 11.12.1998) Vertrouwelijk (Wet 11.12.1998)	viz poznámka (1) níže
Bulharsko	Cтpoгo ceкретно	Ceкретно	Поверително	За служебно ползване
Česká republika	Přísně tajné	Tajné	Důvěrné	Vyhrazené
Dánsko	YDERST HEMMELIGT	HEMMELIGT	FORTROLIGT	TIL TJENESTEBRUG
Německo	STRENG GEHEIM	GEHEIM	VS (2) — VERTRAULICH	VS — NUR FÜR DEN DIENSTGEBRAUCH
Estonsko	Täiesti salajane	Salajane	Konfidentsiaalne	Piiratud
Irsko	Top Secret	Secret	Confidential	Restricted
Řecko	Άκρως Απόρρητο zkratka: ΑΑΠ	Απόρρητο zkratka: (ΑΠ)	Εμπιστευτικό zkratka: (ΕΜ)	Περιορισμένης Χρήσης zkratka: (ΠΧ)
Španělsko	SECRETO	RESERVADO	CONFIDENCIAL	DIFUSIÓN LIMITADA
Francie	TRÈS SECRET TRÈS SECRET DÉFENSE (3)	SECRET SECRET DÉFENSE (3)	CONFIDENTIEL DÉFENSE (3) (4)	viz poznámka (5) níže
Chorvatsko	VRLO TAJNO	TAJNO	POVJERLJIVO	OGRANIČENO
Itálie	Segretissimo	Segreto	Riservatissimo	Riservato
Kypr	Άκρως Απόρρητο zkratka: (AΑΠ)	Απόρρητο zkratka: (ΑΠ)	Εμπιστευτικό zkratka: (ΕΜ)	Περιορισμένης Χρήσης zkratka: (ΠΧ)
Lotyšsko	Sevišķi slepeni	Slepeni	Konfidenciāli	Dienesta vajadzībām
Litva	Visiškai slaptai	Slaptai	Konfidencialiai	Riboto naudojimo
Lucembursko	Très Secret Lux	Secret Lux	Confidentiel Lux	Restreint Lux
Maďarsko	„Szigorúan titkos!“	„Titkos!“	„Bizalmas!“	„Korlátozott terjesztésű!“
Malta	L-Ogħla Segretezza Top Secret	Sigriet Secret	Kunfidenzjali Confidential	Ristrett Restricted (6)
Nizozemsko	Stg. ZEER GEHEIM	Stg. GEHEIM	Stg. CONFIDENTIEEL	Dep. VERTROUWELIJK
Rakousko	Streng Geheim	Geheim	Vertraulich	Eingeschränkt
Polsko	Ściśle Tajne	Tajne	Poufne	Zastrzeżone
Portugalsko	Muito Secreto	Secreto	Confidencial	Reservado
Rumunsko	Strict secret de importanță deosebită	Strict secret	Secret	Secret de serviciu
Slovinsko	STROGO TAJNO	TAJNO	ZAUPNO	INTERNO
Slovensko	Prísne tajné	Tajné	Dôverné	Vyhradené
Finsko	ERITTÄIN SALAINEN YTTERST HEMLIG	SALAINEN HEMLIG	LUOTTAMUKSELLINEN KONFIDENTIELL	KÄYTTÖ RAJOITETTU BEGRÄNSAD TILLGÅNG
Švédsko	Kvaliciferat hemlig	Hemlig	Konfidentiell	Begränsat hemlig

(1) Diffusion Restreinte / Beperkte Verspreiding není v Belgii stupněm utajení. Belgie nakládá s informacemi se stupněm utajení „RESTREINT UE / EU RESTRICTED“ a chrání je způsobem, který není méně přísný než standardy a postupy uvedené v bezpečnostních pravidlech Rady Evropské unie.

(2) Německo: VS = Verschlusssache.

(3) S informacemi vytvořenými Francií před 1. červencem 2021, které mají stupeň utajení „TRÈS SECRET DÉFENSE“, „SECRET DÉFENSE“ a „CONFIDENTIEL DÉFENSE“, se nadále nakládá a jsou chráněny na úrovni rovnocenné stupni utajení „TRÈS SECRET UE / EU TOP SECRET“, „SECRET UE / EU SECRET“ a „CONFIDENTIEL UE / EU CONFIDENTIAL“.

(4) Francie nakládá s informacemi se stupněm utajení „CONFIDENTIEL UE / EU CONFIDENTIAL“ a chrání je způsobem, který je v souladu s francouzskými bezpečnostními opatřeními na ochranu informací se stupněm utajení „SECRET“.

(5) Francie ve svém vnitrostátním systému nepoužívá stupeň utajení „RESTREINT“. Francie nakládá s informacemi se stupněm utajení „RESTREINT UE / EU RESTRICTED“ a chrání je způsobem, který není méně přísný než standardy a postupy uvedené v bezpečnostních pravidlech Rady Evropské unie.

(6) Na Maltě mohou být bez rozdílu používána označení v maltštině i angličtině.

nach oben

Wählen Sie die experimentellen Funktionen, die Sie testen möchten.