32001D0844

Rozhodnutí Komise

ze dne 29. listopadu 2001,

kterým se mění její jednací řád

(oznámeno pod číslem K(2001) 3031)

(2001/844/ES, ESUO, Euratom)

KOMISE EVROPSKÝCH SPOLEČENSTVÍ,

s ohledem na Smlouvu o založení Evropského společenství, a zejména na čl. 218 odst. 2 této smlouvy,

s ohledem na Smlouvu o založení Evropského společenství uhlí a oceli, a zejména na článek 16 této smlouvy,

s ohledem na Smlouvu o založení Evropského společenství pro atomovou energii, a zejména na článek 131 této smlouvy,

s ohledem na Smlouvu o Evropské unii, a zejména na čl. 28 odst. 1 a čl. 41 odst. 1 této smlouvy,

ROZHODLA TAKTO:

Článek 1

Bezpečnostní předpisy Komise, jejichž text je obsažen v příloze k tomuto rozhodnutí, se připojují jako příloha k jednacímu řádu Komise.

Článek 2

Toto rozhodnutí vstupuje v platnost dnem vyhlášení v Úředním věstníku Evropských společenství.

Použije se ode dne 1. prosince 2001.

V Bruselu dne 29. listopadu 2001.

Za Komisi

Romano Prodi

předseda Komise

--------------------------------------------------

PŘÍLOHA

BEZPEČNOSTNÍ PŘEDPISY KOMISE

Vzhledem k těmto důvodům:

(1) Pro rozvoj činností Komise v oblastech, které vyžadují určitý stupeň utajení, je důležité vytvořit souborný bezpečnostní systém pro Komisi, další orgány, instituce, úřady a agentury zřízené Smlouvou o založení ES či Smlouvou o Evropské unii nebo na základě těchto smluv, pro členské státy, jakož i pro všechny ostatní příjemce informací Evropské unie, které podléhají utajení (dále jen "utajované skutečnosti EU").

(2) K zajištění účinnosti takto vytvořeného bezpečnostního systému zpřístupní Komise utajované skutečnosti EU pouze těm vnějším subjektům, které skýtají záruky, že přijaly veškerá nezbytná opatření pro uplatnění pravidel zcela odpovídajících těmto předpisům.

(3) Přijetím těchto předpisů nejsou dotčena nařízení č. 3 ze dne 31. července 1958, kterým se provádí článek 24 Smlouvy o založení Evropského společenství pro atomovou energii [1], nařízení Rady (ES) č. 1588/90 ze dne 11. června 1990 o předávání údajů, na které se vztahuje statistická důvěrnost, Statistickému úřadu Evropských společenství [2] a rozhodnutí Komise K (95) 1510 v konečném znění ze dne 23. listopadu 1995 o ochraně informačních systémů.

(4) Aby byl zajištěn řádný chod rozhodovacích postupů v Unii, je bezpečnostní systém Komise založen na zásadách stanovených v rozhodnutí Rady 2001/264/ES ze dne 19. března 2001, kterým se přijímají bezpečnostní předpisy Rady [3].

(5) Komise upozorňuje, jak je důležité, aby se i ostatní orgány případně připojily k plnění předpisů a norem pro zachování důvěrnosti, které jsou nezbytné pro ochranu zájmů Unie a jejích členských států.

(6) Komise uznává nezbytnost vytvoření své vlastní koncepce bezpečnosti, přičemž bere v úvahu všechny prvky bezpečnosti a zvláštní povahu Komise jakožto orgánu.

(7) Těmito předpisy nejsou dotčeny článek 255 Smlouvy a nařízení Evropského parlamentu a Rady (ES) č. 1049/2001 ze dne 30. května 2001 o přístupu veřejnosti k dokumentům Evropského parlamentu, Rady a Komise [4].

Článek 1

Bezpečnostní předpisy Komise jsou uvedeny v příloze.

Článek 2

1. Člen Komise odpovědný za bezpečnostní otázky přijme vhodná opatření, aby zajistil, že při nakládání s utajovanými skutečnostmi EU budou v Komisi úředníci Komise a ostatní zaměstnanci i personál přidělený ke Komisi dodržovat pravidla uvedená v článku 1, a rovněž aby zajistil jejich dodržování na všech pracovištích Komise, včetně jejích zastoupení a kanceláří v Unii a jejích delegací ve třetích zemích, a aby je dodržovali externí smluvní partneři Komise.

2. Členské státy, ostatní orgány jakož i instituce, úřady a agentury zřízené Smlouvami nebo na jejich základě mohou získat utajované skutečnosti EU pod podmínkou, že zajistí, aby se v rámci jejich úřadoven a prostor při práci s utajovanými skutečnostmi dodržovala pravidla zcela odpovídající pravidlům uvedeným v článku 1, což se zejména týká:

a) členů stálých zastoupení členských států při Evropské unii, dále členů národních delegací, kteří se účastní zasedání Komise nebo jejích složek nebo se účastní jiných činností Komise;

b) ostatních členů správních orgánů členských států, kteří nakládají s utajovanými skutečnostmi EU, bez ohledu na to, zda působí na území členských států nebo v cizině;

c) externích smluvních partnerů a přiděleného personálu, kteří nakládají s utajovanými skutečnostmi EU.

Článek 3

Třetím státům, mezinárodním organizacím a dalším orgánům je povoleno získat utajované skutečnosti EU pod podmínkou, že při práci s těmito skutečnostmi zajistí dodržování pravidel zcela odpovídajících pravidlům uvedeným v článku 1.

Článek 4

Při dodržování základních zásad a minimálních bezpečnostních norem uvedených v části I přílohy může člen Komise odpovědný za bezpečnostní otázky přijmout opatření v souladu s částí II přílohy.

Článek 5

Tyto předpisy nahrazují ode dne svého použití:

a) rozhodnutí Komise K (94) 3282 ze dne 30. listopadu 1994 o bezpečnostních opatřeních, která se vztahují na utajované skutečnosti vzniklé nebo předávané v souvislosti s činnostmi Evropské unie;

b) rozhodnutí Komise K (99) 423 ze dne 25. února 1999 o postupech, podle nichž může být úředníkům a ostatním zaměstnancům Evropské komise povolen přístup k utajovaným skutečnostem v držení Komise.

Článek 6

Od dne použití těchto ustanovení platí pro všechny utajované skutečnosti, které jsou k tomuto datu v držení Komise, s výjimkou utajovaných skutečností Euratom, tato pravidla:

a) pokud je vytvořila Komise, považují se za automaticky přeřazené na stupeň utajení EU – VYHRAZENÉ, ledaže autor do 31. ledna 2002 rozhodne o jejich jiném stupni utajení. V takovém případě autor informuje všechny subjekty, jimž je dotčený dokument určen;

b) pokud je vytvořily osoby mimo Komisi, zachová se jejich původní stupeň utajení, a proto se považují za utajované skutečnosti EU odpovídajícího stupně, ledaže autor souhlasí s odtajněním skutečnosti nebo se snížením stupně jejího utajení.

[1] Úř. věst. L 17/58, 6.10.1958, s. 406/58.

[2] Úř. věst. L 151, 15.6.1990, s. 1.

[3] Úř. věst. L 101, 11.4.2001, s. 1.

[4] Úř. věst. L 145, 31.5.2001, s. 43.

--------------------------------------------------

PŘÍLOHA

BEZPEČNOSTNÍ PRAVIDLA

Obsah

ČÁST I: ZÁKLADNÍ ZÁSADY A MINIMÁLNÍ BEZPEČNOSTNÍ NORMY 1. ÚVOD

2. OBECNÉ ZÁSADY

3. ZÁKLADY BEZPEČNOSTI

4. ZÁSADY ZABEZPEČENÍ INFORMACÍ

4.1 Cíle

4.2 Definice

4.3 Utajování

4.4 Cíle bezpečnostních opatření

5. ORGANIZACE BEZPEČENOSTI

5.1 Minimální společné normy

5.2 Organizace

6. BEZPEČNOSTNÍ OPATŘENÍ TÝKAJÍCÍ SE PERSONÁLU

6.1 Bezpečnostní prověrky

6.2 Záznamy o prověrkách personálu

6.3 Bezpečnostní školení personálu

6.4 Odpovědnost vedoucích pracovníků

6.5 Bezpečnostní status personálu

7. FYZICKÁ BEZPEČNOST

7.1. Potřeba ochrany

7.2 Kontrola

7.3 Bezpečnost budov

7.4 Nouzové plány

8. BEZPEČNOST INFORMAČNÍCH SYSTÉMŮ

9. OCHRANA PROTI SABOTÁŽI A KONTROLA JINÝCH FOREM ÚMYSLNÉHO POŠKOZENÍ

10. PŘEDÁVÁNÍ UTAJOVANÝCH SKUTEČNOSTÍ TŘETÍM STÁTŮM NEBO MEZINÁRODNÍM ORGANIZACÍM

ČÁST II: ORGANIZACE BEZPEČNOSTI V KOMISI 11. ČLEN KOMISE ODPOVĚDNÝ ZA BEZPEČNOSTNÍ OTÁZKY

12. PORADNÍ SKUPINA PRO BEZPEČNOSTNÍ POLITIKU KOMISE

13. BEZPEČNOSTNÍ VÝBOR KOMISE

14. BEZPEČNOSTNÍ KANCELÁŘ KOMISE

15. BEZPEČNOSTNÍ KONTROLY

16. STUPNĚ UTAJENÍ, BEZPEČNOSTNÍ SPECIFIKACE A OZNAČENÍ

16.1 Stupně utajení

16.2 Bezpečnostní specifikace

16.3 Značky

16.4 Vyznačení stupně utajení

16.5 Vyznačení bezpečnostní specifikace

17. PRAVIDLA UTAJOVÁNÍ

17.1 Obecně

17.2 Stanovení stupně utajení

17.3 Snížení stupně utajení a odtajnění

18. FYZICKÁ BEZPEČNOST

18.1 Obecně

18.2 Bezpečnostní požadavky

18.3 Fyzická bezpečnostní opatření

18.3.1 Bezpečnostní oblasti

18.3.2 Administrativní oblast

18.3.3 Kontroly vstupů a výstupů

18.3.4 Pochůzky

18.3.5 Bezpečnostní schránky a trezory

18.3.6 Zámky

18.3.7 Kontrola klíčů a kombinací

18.3.8 Zařízení pro odhalování vniknutí

18.3.9 Schválené vybavení

18.3.10 Fyzická ochrana kopírovacích zařízení a faxů

18.4. Opatření proti nahlédnutí a odposlechu

18.4.1 Nahlédnutí

18.4.2 Odposlech

18.4.3 Vnášení elektronického a záznamového zařízení

18.5 Technicky chráněné oblasti

19. OBECNÁ PRAVIDLA TÝKAJÍCÍ SE ZÁSADY "POTŘEBA VĚDĚT" A BEZPEČNOSTNÍCH PROVĚREK PERSONÁLU EU

19.1 Obecně

19.2 Zvláštní pravidla pro přístup ke skutečnostem se stupněm utajení EU – PŘÍSNĚ TAJNÉ

19.3 Zvláštní pravidla pro přístup ke skutečnostem se stupněm utajení EU – TAJNÉ A EU – DŮVĚRNÉ

19.4 Zvláštní pravidla pro přístup ke skutečnostem se stupněm utajení EU – VYHRAZENÉ

19.5. Převedení na jiné místo

19.6 Zvláštní pokyny

20. BEZPEČNOSTNÍ PROVĚRKY ÚŘEDNÍKŮ A OSTATNÍCH ZAMĚSTNANCŮ KOMISE

21. PŘÍPRAVA, ŠÍŘENÍ, PŘENOS, BEZPEČNOST PERSONÁLU ZÁSILKOVÝCH SLUŽEB A DOPLŇKOVÉ VÝTISKY NEBO PŘEKLADY A VÝPISY Z UTAJOVANÝCH DOKUMENTŮ EU

21.1 Příprava

21.2 Šíření

21.3 Přenos utajovaných dokumentů EU

21.3.1 Balení zásilek, potvrzení příjmu

21.3.2 Přenos uvnitř budovy nebo skupiny budov

21.3.3 Přenos uvnitř země

21.3.4 Přenos z jednoho státu do druhého

21.3.5 Přenos dokumentů se stupněm utajení EU – VYHRAZENÉ

21.4 Bezpečnost personálu zásilkových služeb

21.5 Přenos elektronickými a jinými technickými prostředky

21.6 Doplňkové výtisky a překlady a výpisy z utajovaných dokumentů EU

22. SPISOVNY UTAJOVANÝCH SKUTEČNOSTÍ EU, INVENTURY A KONTROLY, ARCHIVACE A NIČENÍ TĚCHTO SKUTEČNOSTÍ

22.1 Místní spisovny utajovaných skutečností

22.2 Spisovna EU – PŘÍSNĚ TAJNÉ

22.2.1 Obecně

22.2.2 Ústřední spisovna EU – PŘÍSNĚ TAJNÉ

22.2.3 Spisovny EU – PŘÍSNĚ TAJNÉ nižší úrovně

22.3 Inventury a kontroly utajovaných dokumentů EU

22.4 Archivace utajovaných skutečností EU

22.5 Ničení utajovaných dokumentů EU

22.6 Zničení v nouzových situacích

23. BEZPEČNOSTNÍ OPATŘENÍ PRO ZVLÁŠTNÍ ZASEDÁNÍ, KTERÁ SE KONAJÍ MIMO PROSTORY KOMISE A KTERÉ SE TÝKAJÍ UTAJOVANÝCH SKUTEČNOSTÍ EU

23.1 Obecně

23.2 Odpovědnost

23.2.1 Bezpečnostní kancelář Komise

23.2.2 Bezpečnostní úředník zasedání

23.3 Bezpečnostní opatření

23.3.1 Bezpečnostní oblasti

23.3.2 Propustky

23.3.3 Kontrola fotografických a záznamových zařízení

23.3.4 Kontrola aktovek, přenosných počítačů a zásilek

23.3.5 Technická bezpečnost

23.3.6 Dokumenty delegací

23.3.7 Bezpečné uložení dokumentů

23.3.8 Kontrola kanceláří

23.3.9 Odstranění utajovaného odpadu EU

24. NARUŠENÍ BEZPEČNOSTI A VYZRAZENÍ UTAJOVANÝCH SKUTEČNOSTÍ EU

24.1 Definice

24.2 Hlášení narušení bezpečnosti

24.3 Právní kroky

25. OCHRANA UTAJOVANÝCH SKUTEČNOSTÍ EU ZPRACOVÁVANÝCH V INFORMAČNÍCH A KOMUNIKAČNÍCH SYSTÉMECH

25.1 Úvod

25.1.1 Obecně

25.1.2 Ohrožení a slabá místa systémů

25.1.3 Hlavní cíl bezpečnostních opatření

25.1.4 Bezpečnostní požadavky vlastní danému systému

25.1.5 Bezpečnostní režimy provozu

25.2 Definice

25.3 Odpovědnost v oblasti bezpečnosti

25.3.1 Obecně

25.3.2 Orgán pro schvalování z hlediska bezpečnosti (SAA)

25.3.3 Orgán pro bezpečnost informačních systémů

25.3.4 Vlastník technického systému (TSO)

25.3.5 Vlastník informací (IO)

25.3.6 Uživatelé

25.3.7 Školení INFOSEC

25.4 Netechnická bezpečnostní opatření

25.4.1 Bezpečnostní opatření týkající se personálu

25.4.2 Fyzická bezpečnost

25.4.3 Kontrola přístupu k systému

25.5 Technická bezpečnostní opatření

25.5.1 Bezpečnost skutečností

25.5.2 Kontrola a odpovědnost za skutečnosti

25.5.3 Nakládání s odnímatelnými nosiči dat a jejich kontrola

25.5.4 Odtajnění a zničení nosičů dat

25.5.5 Bezpečnost komunikací

25.5.6 Bezpečnost instalací a vyzařování

25.6 Bezpečnost během zpracování

25.6.1 Provozní postupy týkající se bezpečnosti (SecOP)

25.6.2 Ochrana softwaru a správa konfigurace

25.6.3 Zjišťování přítomnosti softwaru působícího škodu a počítačových virů

25.6.4 Údržba

25.7 Nabývání

25.7.1 Obecně

25.7.2 Schvalování

25.7.3 Hodnocení a udělení osvědčení

25.7.4 Systematické kontroly bezpečnostních vlastností při prodlužování schválení

25.8 Dočasné nebo příležitostné použití

25.8.1 Bezpečnost mikropočítačů a osobních počítačů

25.8.2 Používání soukromého počítačového vybavení IT k oficiální práci Komise

25.8.3 Používání počítačového vybavení IT smluvního partnera nebo vybavení dodaného vnitrostátním dodavatelem k oficiální práci Komise

26. PŘEDÁVÁNÍ UTAJOVANÝCH SKUTEČNOSTÍ EU TŘETÍM STÁTŮM NEBO MEZINÁRODNÍM ORGANIZACÍM

26.1.1 Zásady, kterými se řídí předávání utajovaných skutečností EU

26.1.2 Stupně

26.1.3 Dohody

DODATEK 1: Srovnávací tabulka vnitrostátních bezpečnostních stupňů DODATEK 2: Praktický průvodce stupni utajení DODATEK 3: Obecné zásady pro předávání utajovaných skutečností EU třetím státům nebo mezinárodním organizacím: spolupráce na úrovni 1 DODATEK 4: Obecné zásady pro předávání utajovaných skutečností EU třetím státům nebo mezinárodním organizacím: spolupráce na úrovni 2 DODATEK 5: Obecné zásady pro předávání utajovaných skutečností EU třetím státům nebo mezinárodním organizacím: spolupráce na úrovni 3 DODATEK 6: Seznam zkratek ČÁST 1: ZÁKLADNÍ ZÁSADY A MINIMÁLNÍ BEZPEČNOSTNÍ NORMY

1. ÚVOD

Tato pravidla vymezují základní zásady a minimální bezpečnostní normy, které musí Komise odpovídajícím způsobem dodržovat na všech svých pracovištích a které jsou povinni dodržovat rovněž všichni příjemci utajovaných skutečností EU tak, aby byla zajištěna bezpečnost a aby měl každý jistotu, že byly vytvořeny společné normy ochrany.

2. OBECNÉ ZÁSADY

Bezpečnostní politika Komise tvoří nedílnou součást její obecné vnitřní řídící strategie, a proto vychází ze zásad, kterými se řídí její obecná politika.

Mezi tyto zásady patří legalita, transparentnost, odpovědnost a subsidiarita (proporcionalita).

Legalita znamená nezbytnost přísného dodržování právního rámce při výkonu bezpečnostních funkcí a nutnost dodržovat požadavky právních norem. V plném rozsahu se použijí ustanovení služebního řádu, zejména jeho článek 17 týkající se povinnosti úředníků zachovávat mlčenlivost o informacích Komise a jeho hlava VI, týkající se disciplinárních opatření. Tento koncept rovněž znamená, že úkoly v oblasti bezpečnosti se musejí opírat o příslušné právní předpisy. Konečně to znamená, že porušení bezpečnosti v rámci odpovědnosti Komise se musí posuzovat způsobem, který odpovídá koncepci disciplinárních postupů Komise a její politice spolupráce s členskými státy v oblasti trestního soudnictví.

Transparentnost znamená jednoduchost všech bezpečnostních pravidel a předpisů, nezbytnost vyváženosti mezi různými službami a různými oblastmi (fyzická bezpečnost versus ochrana informací atd.) a nezbytnost důsledné a strukturované bezpečnostní politiky. Zároveň představuje nezbytnost srozumitelných písemných pokynů pro plnění bezpečnostních opatření.

Odpovědnost znamená nejen, že se úkoly ve sféře bezpečnosti konkrétně vymezí, ale rovně nutnost pravidelného prověřování, zda se tyto úkoly plní správným způsobem.

Subsidiarita či proporcionalita znamená, že se bezpečnost zaručuje na nejnižší možné úrovni a co nejblíže generálním ředitelstvím a službám Komise. Zároveň to znamená, že se bezpečnostní činnosti omezí pouze na ty skutečnosti, které je skutečně potřebují. A konečně, že bezpečnostní opatření jsou přiměřená zájmům, které mají chránit, a skutečnému nebo potenciálnímu ohrožení těchto zájmů, přičemž umožňují obranu, která způsobuje co nejmenší rušivé vlivy.

3. ZÁKLADY BEZPEČNOSTI

Základem pro zajištění spolehlivého systému bezpečnosti je:

a) vnitrostátní bezpečnostní organizace v každém členském státu zajišťující:

1. shromažďování a záznam informací o špionáži, sabotáži, terorismu a jiných podvratných činnostech a

2. poskytování informací vládám a jejich prostřednictvím Komisi o povaze ohrožení bezpečnosti a poskytování rad o prostředcích pro ochranu před ním;

b) v rámci každého členského státu a v rámci Komise technický orgán INFOSEC, který je pověřen spoluprací s příslušným bezpečnostním orgánem při poskytování informací o technickém ohrožení bezpečnosti a při poskytování rad o prostředcích pro ochranu před ním;

c) pravidelná spolupráce mezi útvary vlád a příslušnými útvary Komise s cílem v závislosti na případu určit nebo doporučit:

1. osoby, informace a zdroje, které mají být chráněny a

2. společné normy ochrany;

d) úzká spolupráce mezi bezpečnostní kanceláří Komise a bezpečnostními útvary ostatních orgánů Společenství a Bezpečnostním úřadem NATO (NOS).

4. ZÁSADY BEZPEČNOSTI ÚDAJŮ

4.1 Cíle

Zajištění bezpečnosti údajů má tyto základní cíle:

a) ochrana utajovaných skutečností EU před špionáží, zneužitím nebo neoprávněným zveřejněním;

b) ochrana informací EU, které jsou používány v komunikačních a informačních systémech a sítích, před ohrožením jejich utajení, celistvosti a dostupnosti;

c) ochrana prostor Komise, v nichž jsou informace EU uloženy, před pokusy o sabotáž a úmyslnými snahami o poškození;

d) v případě selhání zhodnocení způsobené škody, omezení jejích důsledků a přijmutí nezbytných nápravných opatření.

4.2 Definice

Pro účely těchto předpisů se výrazem:

a) "utajované skutečnosti EU" rozumějí všechny informace a materiály, jejichž neoprávněné vyzrazení by mohlo v různých stupních ohrozit zájmy EU nebo jednoho či více členských států, a to bez ohledu na to, zda taková informace pochází z EU nebo byla získána z členských států, třetích států nebo mezinárodních organizací;

b) "dokument" rozumí jakýkoli dopis, poznámka, zápis, zpráva, memorandum, signál nebo vzkaz, náčrtek, fotografie, diapozitiv, film, mapa, graf, plán, zápisník, rozmnožovací blána, uhlový papír, páska do psacího stroje nebo do tiskárny, magnetická páska, kazeta, počítačová disketa, CD-ROM nebo jiný fyzický nosič, na kterém jsou informace zaznamenány;

c) "materiál" rozumí dokumenty vymezené v písmenu b) a všechny již vyrobené nebo vyráběné součásti vybavení;

d) "potřeba vědět" rozumí potřeba jednotlivého pracovníka mít přístup k utajovaným skutečnostem EU, aby byl schopen vykonávat funkci nebo provést úkol;

e) "oprávnění" rozumí rozhodnutí předsedy Komise poskytnout individuální přístup k utajované skutečnosti EU, a to až po určitý stupeň utajení, na základě kladného výsledku bezpečnostní prověrky, kterou provádí vnitrostátní bezpečnostní orgán podle vnitrostátních právních předpisů;

f) "utajování" rozumí přiznání určitého stupně ochrany skutečnosti, jejíž neoprávněné zveřejnění by mohlo v určitém rozsahu poškodit zájmy Komise nebo členského státu;

g) "snížení stupně utajení" rozumí zařazení na nižší stupeň utajení;

h) "odtajnění" rozumí odstranění jakéhokoliv utajení;

i) "původce" rozumí řádně pověřený autor utajovaného dokumentu; v rámci Komise mohou pověřit své zaměstnance vytvářením utajovaných skutečností EU vedoucí útvarů;

j) "útvary Komise" rozumějí oddělení a útvary Komise, včetně kabinetů, na všech pracovištích, včetně Společného výzkumného střediska, zastoupení a kanceláří Komise v Evropské unii a delegací ve třetích zemích.

4.3 Utajování

a) V oblasti důvěrných informací jsou pro výběr skutečností a materiálů, které mají být chráněny, a pro stanovení potřebného stupně ochrany nezbytné opatrnost a zkušenost. Stupeň ochrany – a jedná se o základní hledisko – musí odpovídat bezpečnostnímu významu informací a materiálů, které mají být chráněny. S cílem zajistit řádný tok informací musí být přijata opatření, aby nedošlo k zařazení na příliš vysoký nebo příliš nízký stupeň utajení.

b) Systém utajování představuje nástroj, který umožňuje uplatňovat tyto zásady; obdobný systém by měl být přijat pro plánování a organizaci boje proti špionáži, sabotáži, terorismu a jiným hrozbám tak, aby byla chráněna nejdůležitější zařízení, v nichž se nacházejí utajované skutečnosti, a nejcitlivější části těchto zařízení.

c) Za utajení skutečnosti odpovídá výlučně její původce.

d) Stanovení stupně utajení vychází výlučně z obsahu těchto skutečností.

e) V případech spojení několika skutečností do jednoho celku musí stupeň utajení, který se vztahuje na tento celek, odpovídat skutečnosti s nejvyšším stupněm utajení. Soubor skutečností může být ale zařazen na vyšší stupeň utajení, než mají jeho dílčí části.

f) Zařazení do stupně utajení se provádí pouze v nezbytných případech a po dobu nezbytně nutnou.

4.4 Cíle bezpečnostních opatření

Bezpečnostní opatření:

a) se musí vztahovat na všechny osoby, které mají přístup k utajovaným skutečnostem, k prostředkům přenosu utajovaných skutečností, do všech prostor obsahujících takové skutečnosti a ke všem významným zařízením;

b) musí být vytvořena tak, aby určila osoby, jejichž postavení by mohlo ohrozit bezpečnost utajovaných skutečností a významných zařízení obsahujících takové skutečnosti, a zamezit jejich přístupu nebo změnit jejich místo;

c) musí bránit přístupu všech neoprávněných osob k utajovaným skutečnostem nebo zařízením, která je obsahují;

d) musí zajistit, aby utajované skutečnosti byly šířeny výlučně v souladu se zásadou "potřeba vědět", která je základní pro všechna hlediska bezpečnosti;

e) musí zajistit celistvost (tj. zabránit poškození nebo neoprávněné změně nebo neoprávněnému zničení) a dostupnost (tj. přístup nesmí být odmítnut osobám, které se potřebují se skutečnostmi seznámit a jsou k tomu oprávněny) všech skutečností, utajovaných či nikoli a zejména skutečností uložených, zpracovávaných nebo přenášených v elektromagnetické formě.

5. ORGANIZACE BEZPEČNOSTI

5.1 Minimální společné normy

Komise dbá na to, aby všichni příjemci utajovaných skutečností EU, a to jak vnitřní, tak i ti, kteří spadají do její odpovědnosti, jako např. útvary a externí smluvní partneři Komise, dodržovali společné minimální normy bezpečnosti, a aby tak utajované skutečnosti EU mohly být předávány s důvěrou, že zmíněné všichni s nimi budou nakládat stejně obezřetně. Tyto minimální normy musí obsahovat kritéria pro prověřování personálu a opatření, která mají být přijata pro ochranu utajovaných skutečností EU.

Přístup vnějších subjektů k utajovaným skutečnostem EU povolí Komise pouze pod podmínkou, že tyto subjekty zaručí, že při nakládání s těmito skutečnostmi dodrží pravidla přinejmenším odpovídající těmto minimálním normám.

5.2 Organizace

Bezpečnost je v rámci Komise zajišťována na dvou úrovních:

a) Na úrovni Komise jako celku existuje bezpečnostní kancelář Komise s orgánem pro schvalování z hlediska bezpečnosti, který zároveň působí jako orgán pro šifrování (CrA) a jako orgán pro normu TEMPEST, a s orgánem INFOSEC (IA) a jeden nebo více ústředních spisoven utajovaných skutečností EU, z nichž v každé pracuje jeden nebo více kontrolorů spisovny (RCO).

b) Na úrovni útvarů Komise odpovídá za bezpečnost jeden nebo více bezpečnostních pracovníků daného útvaru (LSO), jeden nebo více úředníků pro bezpečnost počítačových systémů na úrovni ústředí (CISO), úředníků pro bezpečnost počítačových systémů na místní úrovni (LISO) a místní spisovny utajovaných informací EU, kde pracuje jeden nebo více kontrolorů spisovny.

c) Ústřední bezpečnostní orgány udílí provozní pokyny bezpečnostním orgánům na úrovni útvarů.

6. BEZPEČNOSTNÍ OPATŘENÍ TÝKAJÍCÍ SE PERSONÁLU

6.1 Bezpečnostní prověrky

Všechny osoby, které mají mít přístup k utajovaným skutečnostem se stupněm utajení EU – DŮVĚRNÉ nebo vyšším, musí nejprve projít řádnou bezpečností prověrkou. Obdobné prověrky se požadují pro osoby, jejichž funkce spočívají v zajišťování technického provozu nebo údržby komunikačních a informačních systémů obsahujících utajované skutečnosti. Při prověrce se musí zjistit, zda:

a) dotčená osoba je nezpochybnitelně loajální;

b) její osobnost a spolehlivost je taková, že není možné nijak zpochybnit její bezúhonnost při nakládání s utajovanými skutečnostmi nebo

c) by mohla ustoupit tlakům ze zahraničních nebo jiných zdrojů.

Zvláštní pozornost musí být věnována provádění prověrek osob, které:

d) mají mít přístup ke skutečnostem se stupněm utajení EU – PŘÍSNĚ TAJNÉ;

e) zastávají funkce, které vyžadují pravidelný přístup k velkému počtu skutečností se stupněm utajení EU – TAJNÉ;

f) mají z důvodu své funkce zvláštní přístup k zabezpečeným komunikačním a informačním systémům a mohou tak získat neoprávněný přístup k velkému počtu utajovaných skutečností EU nebo vážně ohrozit splnění úkolu prostřednictvím technické sabotáže.

V případech uvedených v písmenech d), e) a f) je třeba co nejvíce využívat metody prošetřování minulosti osob.

Pokud má být zaměstnána do funkce, ve které může získat přístup k utajovaným skutečnostem EU (např. kurýři, bezpečnostní zaměstnanci, personál údržby nebo úklidu apod.) osoba, která nemá "potřebu vědět", musí nejprve projít řádnou bezpečnostní prověrkou.

6.2 Záznamy o prověrkách personálu

Všechny útvary Komise, kde se nakládá s utajovanými skutečnostmi EU nebo kde jsou instalovány zabezpečené komunikační nebo informační systémy, musí vést záznamy o prověrkách svého personálu. Každá prověrka musí být ověřena, s ohledem na okolnosti, s cílem zjistit, zda odpovídá stupni utajení skutečností a materiálů, se kterými prověřovaná osoba nakládá; nové prověření je nezbytné, kdykoli některá nová informace naznačuje, že ponechání dotčené osoby na místě, které umožňuje přístup k utajovaným skutečnostem, nadále neodpovídá zájmům bezpečnosti. V rámci své působnosti vede záznamy o prověrkách místní bezpečnostní pracovník daného útvaru Komise.

6.3 Bezpečnostní školení personálu

Všechny osoby v postavení, ve kterém mohou mít přístup k utajovaným skutečnostem, musí před nástupem do funkce a poté v pravidelných intervalech získat podrobný výklad o nezbytných bezpečnostních opatřeních a souvisejících platných postupech. Tyto osoby písemně potvrdí, že si přečetly a plně porozuměly příslušným bezpečnostním předpisů.

6.4 Odpovědnost vedoucích pracovníků

Vedoucí pracovníci musí vědět, kteří z jejich pracovníků nakládají s utajovanými skutečnostmi a kteří mají přístup k zabezpečeným komunikačním a informačním systémům, a musí evidovat a hlásit všechny události nebo zřejmá ohrožení, která by mohla ovlivnit bezpečnost.

6.5 Bezpečnostní status personálu

Měly by být stanoveny postupy umožňující určit, jsou-li zjištěny nepříznivé informace o určité osobě, zda tato osoba vykonává funkci vyžadující přístup k utajovaným skutečnostem nebo zda má přístup k zabezpečeným komunikačním nebo informačním systémům, a uvědomit bezpečnostní kancelář Komise. Zjistí-li se, že tato osoba představuje bezpečnostní riziko, bude odvolána nebo vyřazena z plnění úkolů, při kterém by mohla ohrožovat bezpečnost.

7. FYZICKÁ BEZPEČNOST

7.1 Potřeba ochrany

Stupeň fyzické ochrany, který má být použit pro zajištění ochrany utajovaných skutečností EU, musí odpovídat stupni utajení držených informací a materiálu, jejich objemu a ohrožení, kterému jsou vystaveny. Všichni držitelé utajovaných skutečností EU se řídí jednotnými pravidly utajování a dodržují společné normy ochrany týkající se uchovávání, přenosu a ničení informací a materiálů vyžadujících ochranu.

7.2 Kontrola

Osoby, které odcházejí z prostorů, v nichž se nacházejí jim svěřené utajované skutečnosti EU, se musí ujistit, že jsou bezpečně uloženy a že jsou zapojena všechna bezpečnostní zařízení (zámky, poplašná zařízení atd.). Po pracovní době se provádějí další doplňující kontroly.

7.3 Bezpečnost budov

Budovy, v nichž se nacházejí utajované skutečnosti EU nebo zabezpečené komunikační a informační systémy, musí být chráněny před neoprávněným vstupem. Povaha této ochrany (např. mříže na oknech, zámky na dveřích, stráže u vchodů, automatické systémy kontroly přístupu, bezpečnostní inspekce a hlídky, poplašné systémy, systémy odhalující neoprávněné vniknutí a hlídací psi) závisí na:

a) stupni utajení, objemu a umístění chráněných informací a materiálů v budově;

b) jakosti bezpečnostních schránek obsahujících informace a materiály a

c) technických vlastnostech a umístění budovy.

Povaha ochrany poskytované komunikačním a informačním systémům podobně závisí na určení hodnoty ohrožených informací a materiálů a na případné škodě v případě ohrožení bezpečnosti, na technických vlastnostech a na umístění budovy, v níž se systém nachází, a na umístění systému v budově.

7.4 Nouzové plány

Je třeba předem připravit podrobné plány na ochranu utajovaných skutečností v nouzových případech souvisejících s místní nebo vnitrostátní nouzovou situací.

8. BEZPEČNOST INFORMACÍ

Bezpečnost informací (INFOSEC) souvisí s určením a použitím bezpečnostních opatření na ochranu utajovaných skutečností EU zpracovávaných, uchovávaných nebo přenášených komunikačními, informačními a jinými elektronickými systémy před náhodným i úmyslným ohrožením jejich důvěrnosti, celistvosti nebo dostupnosti. Je třeba přijmout vhodná preventivní opatření, aby se zabránilo přístupu neoprávněných uživatelů k utajovaným skutečnostem EU, odmítnutí přístupu k utajovaným skutečnostem EU oprávněným uživatelům a poškození, neoprávněné změně nebo zničení utajovaných skutečností EU.

9. OCHRANA PROTI SABOTÁŽI A KONTROLA JINÝCH FOREM ÚMYSLNÉHO POŠKOZENÍ

Fyzická opatření jsou nejúčinnější prostředky pro zajištění bezpečnosti a ochrany důležitých zařízení obsahujících utajované skutečnosti proti sabotáži nebo jinému úmyslnému poškození; samotné bezpečnostní prověrky personálu je nemohou účinně nahradit. Vnitrostátní orgán odpovědný za bezpečnost shromažďuje poznatky o špionážních, sabotážních, teroristických a jiných podvratných činnostech.

10. PŘEDÁVÁNÍ UTAJOVANÝCH SKUTEČNOSTÍ TŘETÍM STÁTŮM NEBO MEZINÁRODNÍM ORGANIZACÍM

K předání utajovaných skutečností EU pocházejících od Komise některému třetímu státu nebo mezinárodní organizaci uděluje oprávnění sbor členů Komise. Není-li Komise původcem skutečností, které mají být předány, musí Komise předem získat souhlas původce. Nelze-li původce zjistit, převezme Komise jeho odpovědnost.

Získá-li Komise utajované skutečnosti od třetích států, mezinárodních organizací nebo jiných třetích osob, bude jim poskytnuta ochrana v souladu s jejich stupněm utajení, který bude odpovídat normám stanoveným pro utajované skutečnosti EU v tomto předpise, nebo přísnějším normám, které mohou vyžadovat třetí osoby předávající tyto skutečnosti. Je možno zorganizovat vzájemné kontroly.

Výše zmíněné zásady se uplatňují v souladu s podrobnými ustanoveními uvedenými v části II oddíle 26 a v dodatcích 3, 4 a 5.

ČÁST II: ORGANIZACE BEZPEČNOSTI V KOMISI

11. ČLEN KOMISE ODPOVĚDNÝ ZA BEZPEČNOSTNÍ OTÁZKY

Člen Komise odpovědný za bezpečnostní otázky:

a) provádí bezpečnostní politiku Komise;

b) posuzuje bezpečnostní obtíže, které mu předkládá Komise nebo její příslušné útvary;

c) posuzuje v úzkém spojení s vnitrostátními bezpečnostními orgány (nebo jinými příslušnými orgány) členských států otázky týkající se změn bezpečnostní politiky Komise.

Člen Komise odpovědný za bezpečnostní otázky je pověřen zejména:

a) koordinovat všechny bezpečnostní otázky související s činností Komise;

b) požadovat od vnitrostátních bezpečnostních orgánů členských států, aby zajišťovaly bezpečnostní pověrky personálu zaměstnaného v Komisi v souladu s oddílem 20;

c) vyšetřovat nebo nechat vyšetřit úniky utajovaných skutečností EU, pokud se zdá, že k nim došlo v Komisi;

d) požadovat od příslušných bezpečnostních orgánů, aby zahájily šetření, jestliže se zdá, že k úniku utajovaných skutečností EU došlo vně Komise, a koordinovat vyšetřování, je-li v něm zapojeno více bezpečnostních orgánů;

e) pravidelně posuzovat bezpečnostní opatření přijatá pro ochranu utajovaných skutečností EU;

f) udržovat úzké vztahy se všemi dotčenými bezpečnostními orgány, aby bylo dosaženo celkové koordinace bezpečnosti;

g) trvale posuzovat bezpečnostní politiku a bezpečnostní postupy Komise a případně připravovat vhodná doporučení. V této souvislosti předkládá Komisi její člen odpovědný za bezpečnostní politiku roční plán inspekcí zpracovaný bezpečnostní kanceláří Komise.

12. PORADNÍ SKUPINA PRO BEZPEČNOSTNÍ POLITIKU KOMISE

Zřizuje se poradní skupina pro bezpečnostní politiku Komise. Tvoří ji člen Komise odpovědný za bezpečnostní otázky nebo jeho zástupce, který skupině předsedá, a ze zástupců vnitrostátních bezpečnostních orgánů jednotlivých členských států. Je možno přizvat i zástupce dalších evropských orgánů. Zástupci decentralizovaných institucí ES a EU mohou být rovněž vyzváni, aby se účastnili zasedání, jestliže se jich týkají projednávané otázky.

Poradní skupina pro bezpečnostní politiku Komise se schází na žádost jejího předsedy nebo kteréhokoli z jejích členů. Úkolem skupiny je podle potřeby posuzovat a hodnotit všechny závažné bezpečnostní otázky a předkládat Komisi případná doporučení.

13. BEZPEČNOSTNÍ VÝBOR KOMISE

Zřizuje se bezpečnostní výbor Komise. Skládá se z generálního tajemníka, který výboru předsedá, a z generálních ředitelů právní služby a generálních ředitelství pro personál a administrativu, pro vnější vztahy, pro spravedlnost a vnitřní věci generálního ředitele Společného výzkumného střediska, a dále z vedoucího útvaru interního auditu a z vedoucího bezpečnostní kanceláře Komise. Je možné přizvat další úředníky Komise. Jeho úkolem je hodnocení bezpečnostních opatření v rámci Komise a předkládání doporučení v této oblasti členovi Komise odpovědnému za bezpečnostní otázky.

14. BEZPEČNOSTNÍ KANCELÁŘ KOMISE

Pro plnění úkolů uvedených v oddíle 11 má člen Komise odpovědný za bezpečnostní otázky k dispozici bezpečnostní kancelář Komise, která koordinuje bezpečnostní opatření, dohlíží na ně a provádí je.

Vedoucí bezpečnostní kanceláře Komise je hlavním poradcem člena Komise odpovědného za bezpečnostní otázky a zajišťuje funkci sekretariátu poradní skupiny pro bezpečnostní politiku Komise. V této souvislosti řídí aktualizaci bezpečnostních předpisů a koordinuje bezpečnostní opatření s příslušnými orgány členských států a případně s mezinárodními organizacemi spojenými s Komisí prostřednictvím bezpečnostních dohod. Vykonává při tom úlohu styčné osoby.

Vedoucí bezpečnostní kanceláře Komise odpovídá za schvalování systémů a sítí IT v rámci Komise. Vedoucí bezpečnostní kanceláře Komise po dohodě s dotčenými vnitrostátními bezpečnostními orgány rozhoduje o schválení systémů a sítí IT, v nichž je zapojena Komise na jedné straně a na druhé straně kterýkoli jiný příjemce utajovaných skutečností EU.

15. BEZPEČNOSTNÍ KONTROLY

Bezpečnostní kancelář Komise uskutečňuje pravidelné kontroly předpisů přijatých pro ochranu utajovaných skutečností EU.

Bezpečnostní kanceláři Komise mohou s tímto úkolem pomáhat bezpečnostní služby dalších evropských orgánů EU, které mají v držení utajované informace EU, nebo vnitrostátní bezpečnostní orgány členských států. [1]

Na žádost členského státu provede jeho vnitrostátní bezpečnostní orgán v rámci Komise kontrolu utajovaných skutečností, a to společně s bezpečnostní službou Komise a na základě vzájemné dohody.

16. STUPNĚ UTAJENÍ, BEZPEČNOSTNÍ SPECIFIKACE A OZNAČENÍ

16.1 Stupně utajení [2]

Skutečnosti jsou zařazovány do těchto stupňů utajení (srov. dodatek 2):

EU – PŘÍSNĚ TAJNÉ: tento stupeň se použije výlučně pro informace a materiály, jejichž neoprávněné vyzrazení by mohlo výjimečně závažně poškodit zásadní zájmy Evropské unie nebo jednoho či více jejích členských států.

EU – TAJNÉ: tento stupeň se použije výlučně pro informace a materiály, jejichž neoprávněné vyzrazení by mohlo vážně poškodit základní zájmy Evropské unie nebo jednoho či více členských států.

EU – DŮVĚRNÉ: tento stupeň se použije pro informace a materiály, jejichž neoprávněné vyzrazení by mohlo poškodit základní zájmy Evropské unie nebo jednoho či více jejích členských států.

EU – VYHRAZENÉ: tento stupeň se použije pro informace a materiály, jejichž neoprávněné vyzrazení by mohlo být nevýhodné pro zájmy Evropské unie nebo jednoho či více jejích členských států.

Žádné jiné stupně utajení nejsou přípustné.

16.2 Bezpečnostní specifikace

Za účelem stanovení mezí platnosti utajení (což pro utajované skutečnosti udává automatické snížení stupně utajení nebo přímo odtajnění) se může použít smluvená bezpečnostní specifikace. Jedná se buď o slova "AŽ DO.… (čas/datum)" nebo "AŽ DO.… (určitá událost)".

Další bezpečnostní specifikace, jako jsou například "KRYPTO" (šifrováno) nebo jakékoli jiné bezpečnostní specifikace uznávané EU, se použijí v případech, kdy kromě způsobu nakládání s danou skutečností, který je určen jejím stupněm utajení, existuje navíc potřeba omezeného šíření a zvláštního nakládání.

Bezpečnostní specifikace se mohou použít pouze v kombinací se stupněm utajení.

16.3 Značky

K upřesnění oblasti, které se týká daný dokument, nebo k označení zvláštního rozšiřování na základě "potřeby vědět" nebo (u informací nepodléhajících utajení) k označení konce embarga lze použít značky.

Značka se nepovažuje za stupeň utajení a nesmí se používat místo něho.

Značka EBOP se použije na dokumenty a jejich kopie, které se týkají bezpečnosti a obrany Unie nebo jednoho či více členských států nebo které se týkají vojenského nebo nevojenského řešení krizí.

16.4 Vyznačení stupně utajení

Stupeň utajení se vyznačuje následujícími způsoby:

a) na dokumentech se stupněm utajení EU – VYHRAZENÉ mechanickými nebo elektronickými prostředky;

b) na dokumentech se stupněm utajení EU – DŮVĚRNÉ mechanickými prostředky nebo ručně nebo vytištěním na předem orazítkovaný a evidovaný list;

c) na dokumentech se stupněm utajení EU – TAJNÉ a EU – PŘÍSNĚ TAJNÉ mechanickými prostředky nebo ručně.

16.5 Vyznačení bezpečnostní specifikace

Bezpečnostní specifikace se vyznačují přímo pod stupeň utajení stejnými způsoby, které se používají pro vyznačení stupně utajení.

17. PRAVIDLA UTAJOVÁNÍ

17.1 Obecně

Skutečnost se utajuje pouze, je-li to nezbytné. Utajení je jasně a řádně vyznačeno a trvá pouze po dobu, po kterou skutečnost vyžaduje ochranu.

Odpovědnost za utajení skutečností a za jakékoli následné snížení stupně utajení nebo za odtajnění má výlučně původce dokumentu.

Úředníci a ostatní zaměstnanci Komise utajují skutečnosti, snižují stupeň jejich utajení nebo je odtajňují na pokyn svého vedoucího útvaru nebo s jeho souhlasem.

Podrobné postupy upravující nakládání s utajovanými dokumenty byly vypracovány tak, aby zajišťovaly těmto dokumentům ochranu odpovídající informacím, které obsahují.

Počet osob oprávněných vypracovat dokumenty EU – PŘÍSNĚ TAJNÉ musí být omezen na přísné minimum. Jména těchto osob musí být uvedena na seznamu vytvořeném bezpečnostní kanceláří Komise.

17.2 Stanovení stupně utajení

Stupeň utajení dokumentu se stanoví podle úrovně citlivosti jeho obsahu v souladu s definicemi v oddílu 16. Stupně utajení je nutno používat správně a střídmě. To se týká zvláště stupně EU – PŘÍSNĚ TAJNÉ.

Původce dokumentu, pro který má být stanoven stupeň utajení, musí přihlížet k výše zmíněným pravidlům a potlačit jakoukoli snahu o stanovení příliš vysokého stupně utajení nebo příliš nízkého stupně utajení.

Praktický návod pro stanovení stupně utajení je obsažen v příloze 2.

Stránky, odstavce, oddíly, přílohy, dodatky a připojené části dokumentu mohou vyžadovat různé stupně utajení a musí být podle toho označeny. Stupeň utajení dokumentu jako celku je stanoven podle části s nejvyšším stupněm utajení.

Stupeň utajení průvodního dopisu nebo sdělení k připojeným částem musí být stejně vysoký jako nejvyšší stupeň utajení těchto částí. Původce jasně uvede jejich stupeň utajení, pokud budou odděleny od připojených částí.

Přístup veřejnosti se i nadále řídí nařízením (ES) č. 1049/2001.

17.3 Snížení stupně utajení a odtajnění

Stupeň utajení utajovaného dokumentu EU může být snížen a dokument lze odtajnit pouze se souhlasem jeho původce a, je-li to nezbytné, po konzultaci ostatních zúčastněných stran. Snížení stupně utajení nebo odtajnění musí být potvrzeno písemně. Původce musí uvědomit své příjemce o změně utajení a příjemci jsou povinni na to upozornit další příjemce, kterým předali originál dokumentu nebo jeho kopii.

Je-li to možné, uvede původce na utajovaný dokument datum nebo lhůtu, od kdy lze snížit stupeň utajení skutečnosti, které obsahuje, nebo ji odtajnit. Jinak posuzuje tuto otázku nejpozději každých pět let, aby zjistil, zda je původní stupeň utajení nadále nezbytný.

18. FYZICKÁ BEZPEČENOST

18.1 Obecně

Hlavním cílem fyzických bezpečnostních opatření je zabránit neoprávněným osobám získat přístup k utajovaným informacím nebo materiálům EU, zabránit odcizení a znehodnocení zařízení a dalšího majetku a zabránit obtěžování nebo jinému druhu útoku zaměřeného proti zaměstnancům, ostatním pracovníkům a návštěvníkům.

18.2 Bezpečnostní požadavky

Všechny objekty, oblasti, budovy, kanceláře, místnosti, komunikační a informační systémy atd., ve kterých jsou uloženy utajované informace a materiály EU nebo ve kterých se s takovými informacemi a materiály nakládá, je třeba chránit pomocí vhodných fyzických bezpečnostních opatření.

Při určování stupně fyzické ochrany, který má být zajištěn, je třeba přihlížet ke všem příslušným faktorům, a zejména:

a) ke stupni utajení informací nebo materiálu;

b) k objemu a formě (např. papír, počítačové nosiče dat) uchovávaných skutečností;

c) k místnímu hodnocení ohrožení ze strany zpravodajských služeb, které se zaměřují na EU, členské státy a/nebo jiné orgány nebo třetí osoby, které disponují utajovanými skutečnostmi EU, zejména sabotáže, terorismu a jiné podvratné a/nebo trestné činnosti.

Cílem použitých fyzických bezpečnostních opatření je:

a) zabránit lstivému nebo násilnému vniknutí;

b) odstrašovat neloajální personál (vnitřní špióny) od podvratných činů, bránit jim a odhalovat je;

c) bránit těm, kteří nemají "potřebu vědět", v přístupu k utajovaným skutečnostem EU.

18.3 Fyzická bezpečnostní opatření

18.3.1 Bezpečnostní oblasti

Oblasti, kde jsou zpracovávány a uchovávány skutečnosti se stupněm utajení EU – DŮVĚRNÉ nebo vyšším, musí být organizovány a strukturovány způsobem, který odpovídá jedné z níže uvedených kategorií:

a) bezpečnostní oblast kategorie I: oblast, kde jsou zpracovávány a uchovávány skutečnosti se stupněm utajení EU – DŮVĚRNÉ nebo vyšším takovým způsobem, že vstup do takové oblasti představuje ve skutečnosti přístup k těmto skutečnostem. Tato oblast vyžaduje:

i) jasně vymezit chráněný prostor, jehož vstupy a výstupy jsou kontrolovány;

ii) zavést systém kontroly vstupů, který umožní vstup pouze řádně prověřeným a zvláště oprávněným osobám;

iii) upřesnit stupeň utajení skutečností, které jsou zde obvykle drženy, tj. skutečností, k nimž se vstupem získá přístup.

b) bezpečnostní oblast kategorie II: oblast, kde jsou zpracovávány a uchovávány skutečnosti se stupněm utajení EU – DŮVĚRNÉ nebo vyšším takovým způsobem, že je možné chránit je před přístupem neoprávněných osob prostředky vnitřní kontroly, např. prostory, v nichž jsou umístěny kanceláře, kde jsou pravidelně zpracovávány a uchovávány skutečnosti se stupněm utajení EU – DŮVĚRNÉ nebo vyšším. Tato oblast vyžaduje:

i) jasně vymezit chráněný prostor, jehož vstupy a výstupy jsou kontrolovány;

ii) zavést systém kontroly vstupů, který umožní vstup bez doprovodu pouze řádně prověřeným a zvláště oprávněným osobám. Pro všechny ostatní osoby je nutné zajistit doprovod nebo podobné kontrolní opatření, aby se zabránilo přístupu k utajovaným skutečnostem EU a vstupu do oblastí, které jsou kontrolovány technickým zabezpečením.

Není-li v těchto oblastech personál ve službě 24 hodin denně, provede se ihned po skončení obvyklé pracovní doby kontrola, jejímž cílem je zjistit, zda jsou utajované skutečnosti EU řádně zabezpečeny.

18.3.2 Administrativní oblast

Kolem bezpečnostních oblastí kategorie I a II nebo před nimi lze zřídit administrativní oblast s nižší ochranou. Ta musí obsahovat viditelně vyznačený prostor umožňující kontrolu osob a vozidel. V administrativních oblastech je možné zpracovávat a ukládat pouze skutečnosti se stupněm utajení EU – VYHRAZENÉ a informace nepodléhající utajení.

18.3.3 Kontroly vstupů a výstupů

Vstup do bezpečnostních oblastí kategorií I a II a výstup z nich jsou kontrolovány systémem propustek nebo osobní identifikace pro veškerý personál v těchto oblastech běžně pracující. Je třeba rovněž vytvořit systém kontroly návštěvníků, aby se zabránilo všem neoprávněným přístupům k utajovaným skutečnostem EU. K systému propustek lze připojit systém automatické identifikace, který je třeba považovat za doplněk strážní služby, nikoli však za její úplnou náhradu. Změna hodnocení ohrožení, například v době návštěvy významných osob, může mít za následek zesílení kontrolních opatření při vstupu a výstupu.

18.3.4 Pochůzky

Mimo obvyklou pracovní dobu je třeba provádět v bezpečnostních oblastech kategorie I a II bezpečnostní pochůzky pro ochranu informací a materiálů EU před vyzrazením, poškozením nebo ztrátou. Frekvence pochůzek je určena v závislosti na místních podmínkách, musí však probíhat přibližně každé 2 hodiny.

18.3.5 Bezpečnostní schránky a trezory

Pro uchovávání utajovaných informací EU se používají tři kategorie schránek:

- kategorie A: schránky schválené vnitrostátními normami pro uchovávání skutečností se stupněm utajení EU – PŘÍSNĚ TAJNÉ v bezpečnostní oblasti kategorie I nebo kategorie II;

- kategorie B: schránky schválené vnitrostátními normami pro uchovávání skutečností se stupněm utajení EU – TAJNÉ a EU – DŮVĚRNÉ v bezpečnostní oblasti kategorie I nebo II;

- kategorie C: kancelářský nábytek schválený pro uchovávání skutečností se stupněm utajení EU – VYHRAZENÉ.

Pro trezory instalované v bezpečnostních oblastech kategorie I nebo II a pro všechny bezpečnostní oblasti kategorie I, kde jsou skutečnosti se stupněm utajení EU – DŮVĚRNÉ a vyšším uloženy na otevřených policích nebo jsou uvedeny na plánech, mapách atd., musí být stěny, podlahy, stropy, dveře a zámky schváleny orgánem pro bezpečnostní akreditaci, že poskytují odpovídající ochranu jako bezpečnostní schránka kategorie schválená pro skladování skutečností se stejným stupněm utajení.

18.3.6 Zámky

Zámky na bezpečnostních schránkách a trezorech, ve kterých jsou uloženy utajované skutečnosti EU, musí odpovídat těmto normám:

- skupina A: schválené podle vnitrostátních norem pro schránky kategorie A;

- skupina B: schválené podle vnitrostátních norem pro schránky kategorie B;

- skupina C: vhodné pouze pro kancelářský nábytek kategorie C.

18.3.7 Kontrola klíčů a kombinací

Klíče od bezpečnostních schránek nesmějí být vynášeny mimo budovu. Kombinace se naučí zpaměti pouze osoby, které je potřebují znát. Místní bezpečnostní pracovník má pro případ nouze k dispozici náhradní klíče a záznam jednotlivých kombinací uložené jednotlivě v zapečetěné neprůhledné obálce. Klíče, jejich náhrady a obálky s kombinacemi jsou uchovávány v oddělených bezpečnostních schránkách. Tyto klíče a kombinace musí být chráněny stejně pečlivě jako materiál, ke kterému zajišťují přístup.

Počet osob, které znají kombinace k bezpečnostním schránkám, musí být co nejvíce omezen. Kombinace jsou měněny:

a) při přijetí nové schránky;

b) při jakékoli změně personálu;

c) v případě skutečného vyzrazení nebo vznikne-li podezření z vyzrazení;

d) nejlépe každých šest měsíců a nejméně každých dvanáct měsíců.

18.3.8 Zařízení pro odhalování vniknutí

Používají-li se pro ochranu utajovaných skutečností EU poplašné systémy, uzavřené televizní okruhy a jiná elektrická zařízení, musí být k dispozici nouzové zdroje elektřiny, aby byl zajištěn nepřetržitý provoz systému v případě přerušení dodávky elektrické energie. Dalším základním požadavkem je, aby jakýkoli nedostatek funkce systému nebo jakýkoli pokus o odstavení zmíněných systémů vedly ke spuštění poplachu nebo jiného spolehlivého upozornění pro dohlížející personál.

18.3.9 Schválené vybavení

Bezpečnostní kancelář Komise aktualizuje seznamy, vedené podle typu a modelu, bezpečnostního vybavení, které schválila k přímé nebo nepřímé ochraně utajovaných skutečností za různých okolností a podmínek, které budou upřesněny. Bezpečnostní kancelář Komise vypracuje tyto seznamy mimo jiné na základě informací poskytnutých vnitrostátními bezpečnostními orgány.

18.3.10 Fyzická ochrana kopírovacích zařízení a faxů

Kopírovací zařízení a faxy musí být předmětem opatření fyzické ochrany, která dostatečně zajistí, že je budou moci ke zpracování používat pouze oprávněné osoby a že všechny utajované tisky budou řádně kontrolovány.

18.4 Opatření proti nahlédnutí a odposlechu

18.4.1 Nahlédnutí

Je třeba přijmout všechna nezbytná opatření, která ve dne i v noci zajistí, aby žádná neoprávněná osoba neměla možnost vidět, ani náhodně, utajované skutečnosti EU.

18.4.2 Odposlech

Kanceláře nebo oblasti, ve kterých se pravidelně projednávají utajované skutečnosti se stupněm utajení EU – TAJNÉ nebo vyšším, musí být, odůvodňuje-li to riziko, chráněny před pokusy o pasivní a aktivní odposlech. Hodnocení rizika odposlechů provádí bezpečnostní kancelář Komise případně po konzultaci vnitrostátního bezpečnostního orgánu.

18.4.3 Vnášení elektronického a záznamového zařízení

Do bezpečnostních oblastí nebo technicky zabezpečených prostor není povoleno vnášet mobilní telefony, soukromé počítače, nahrávací zařízení, kamery nebo jiné elektronické či záznamové zařízení bez předchozího povolení vedoucího bezpečnostní kanceláře Komise.

Pro stanovení ochranných opatření, která mají být přijata v citlivých prostorách proti pasivnímu odposlechu (např. izolace stěn, dveří, podlah a stropů, měření vycházejícího hluku) a aktivnímu odposlechu (např. pátrání po mikrofonech), může bezpečnostní kancelář Komise požádat o podporu odborníky z vnitrostátního bezpečnostního orgánu.

Podobně mohou odborníci na bezpečnostní techniku vnitrostátních bezpečnostních orgánů na žádost vedoucího bezpečnostní kanceláře Komise ověřovat telekomunikační zařízení a elektrická nebo elektronická kancelářská zařízení jakéhokoli druhu používaná při zasedáních se stupněm utajení EU – TAJNÉ a vyšším, vyžadují-li to okolnosti.

18.5 Technicky chráněné oblasti

Některé oblasti mohou být určeny jako technicky chráněné oblasti. U vstupu se zde provádějí speciální kontroly. Tyto oblasti musí být uzamčeny, nejsou-li obsazeny, schválenou metodou a se všemi klíči se musí zacházet jako s bezpečnostními klíči. Tyto oblasti musí být pravidelně fyzicky kontrolovány a kontrola musí být provedena také po jakémkoli neoprávněném vstupu nebo při podezření z takového vstupu.

Musí se vést podrobná evidence vybavení a nábytku, aby se zjistil jejich jakýkoli pohyb. Do této oblasti lze vnést jakýkoli nábytek nebo zařízení pouze po pečlivé kontrole speciálně školeným bezpečnostním personálem zaměřené na odhalení jakýchkoli odposlechových zařízení. Obecně není dovoleno instalovat komunikační linky do technicky chráněných oblastí bez předem uděleného souhlasu příslušného orgánu.

19. OBECNÁ PRAVIDLA TÝKAJÍCÍ SE ZÁSADY "POTŘEBA VĚDĚT" A BEZPEČNOSTNÍCH PROVĚREK PERSONÁLU EU

19.1 Obecně

Přístup k utajovaným skutečnostem EU je povolen pouze osobám, které mají pro výkon svých funkcí nebo splnění svého úkolu "potřebu vědět". Přístup ke skutečnostem se stupněm utajení EU – PŘÍSNĚ TAJNÉ, EU – TAJNÉ a EU – DŮVĚRNÉ je povolen pouze osobám, které prošly příslušnou bezpečnostní prověrkou.

"Potřebu vědět" určuje útvar, ve kterém osoba vykonává své funkce.

Za žádosti o prověrku pracovníků odpovídá jednotlivý útvar.

Po provedení prověrky je vydáno "bezpečnostní osvědčení", které upřesňuje stupeň utajovaných skutečností, k nimž může mít prověřovaná osoba přístup, a datum skončení platnosti.

Bezpečnostní osvědčení pracovníka EU vydané pro určitý stupeň může držiteli umožnit přístup ke skutečnostem nižšího stupně.

Jiné osoby než úředníci nebo ostatní zaměstnanci, například externí smluvní partneři, odborníci nebo konzultanti, s nimiž může být nezbytné posuzovat nebo konzultovat utajované skutečnosti EU, musí mít bezpečnostní prověrku pracovníka EU a musí být poučeni o své odpovědnosti v oblasti bezpečnosti.

Přístup veřejnosti se i nadále řídí nařízením (ES) č. 1049/2001.

19.2 Zvláštní pravidla pro přístup ke skutečnostem se stupněm utajení EU – PŘÍSNĚ TAJNÉ

Všechny osoby, které mají mít přístup ke skutečnostem se stupněm utajení EU – PŘÍSNĚ TAJNÉ, musí nejprve projít bezpečnostní prověrkou umožňující přístup k těmto skutečnostem.

Všechny osoby, které potřebují získat přístup ke skutečnostem se stupněm utajení EU – PŘÍSNĚ TAJNÉ, musí být jmenovitě určeny členem Komise odpovědným za bezpečnostní otázky a jejich jména jsou vedena v příslušné spisovně skutečností EU – PŘÍSNĚ TAJNÉ. Tuto spisovnu vytvoří a spravuje bezpečnostní kancelář Komise.

Všechny osoby oprávněné k přístupu ke skutečnostem se stupněm utajení EU – PŘÍSNĚ TAJNÉ musí nejprve podepsat potvrzení, že byly poučeny o bezpečnostních postupech Komise a že plně chápou svou zvláštní odpovědnost za ochranu skutečností EU – PŘÍSNĚ TAJNÉ, jakož i důsledky stanovené v předpisech EU a vnitrostátních právních a správních předpisech pro případ, že se utajované skutečnosti dostanou do neoprávněných rukou, ať už úmyslně, nebo z nedbalosti.

U osob, které mají přístup ke skutečnostem se stupněm utajení EU – PŘÍSNĚ TAJNÉ v průběhu zasedání atd., musí příslušný kontrolní úředník útvaru nebo subjektu, kde jsou zaměstnány, upozornit útvar, který zasedání pořádá, že jsou oprávněny k přístupu ke skutečnostem se stupněm utajení EU – PŘÍSNĚ TAJNÉ.

Jména všech osob, které již nejsou zaměstnány ve funkcích vyžadujících přístup ke skutečnostem se stupněm utajení EU – PŘÍSNĚ TAJNÉ, musí být vyškrtnuta z příslušného seznamu. Kromě toho musí být všechny tyto osoby znovu upozorněny na svou zvláštní odpovědnost za ochranu skutečností se stupněm utajení EU – PŘÍSNĚ TAJNÉ. Musí rovněž podepsat prohlášení, ve kterém se zavazují, že nepoužijí ani nevyzradí skutečnosti se stupněm utajení EU – PŘÍSNĚ TAJNÉ, které jsou jim známy.

19.3 Zvláštní pravidla pro přístup ke skutečnostem se stupněm utajení EU – TAJNÉ A EU – DŮVĚRNÉ

Všechny osoby, které mají mít přístup ke skutečnostem se stupněm utajení EU – TAJNÉ nebo EU – DŮVĚRNÉ, musí nejprve projít bezpečnostní prověrkou odpovídajícího stupně.

Všechny osoby, které mají mít přístup ke skutečnostem se stupněm utajení EU – TAJNÉ a EU – DŮVĚRNÉ, musí být seznámeny s příslušnými bezpečnostními předpisy a s následky případné nedbalosti.

V případě osob, které mají přístup ke skutečnostem se stupněm utajení EU – TAJNÉ nebo EU – DŮVĚRNÉ v průběhu zasedání atd., musí příslušný bezpečnostní pracovník útvaru nebo subjektu, kde jsou zaměstnány, upozornit útvar, který zasedání pořádá, že jsou oprávněny k přístupu k těmto skutečnostem.

19.4 Zvláštní pravidla pro přístup ke skutečnostem se stupněm utajení EU – VYHRAZENÉ

Všechny osoby s přístupem ke skutečnostem se stupněm utajení EU – VYHRAZENÉ musí být upozorněny na tyto bezpečnostní předpisy a na následky případné nedbalosti.

19.5 Převedení na jiné místo

Při převedení personálu z funkce, která vyžaduje nakládání s utajovanými skutečnostmi EU, musí spisovna dohlédnout na řádné předání materiálu mezi odcházejícím a nastupujícím úředníkem.

Pokud je někdo z personálu převeden na jiné pracovní místo, kde přijde do styku s utajovanými materiály EU, místní bezpečnostní pracovník jej odpovídajícím způsobem poučí.

19.6 Zvláštní pokyny

Osoby, které mají mít přístup k utajovaným skutečnostem EU, jsou při nástupu do funkce a potom pravidelně upozorňovány na:

a) ohrožení bezpečnosti neuváženými rozhovory;

b) opatření přijatá pro vztah k tisku a k zástupcům zvláštních zájmových skupin;

c) ohrožení činnostmi zpravodajských služeb, které se zaměřují na EU a členské státy a které se zajímají o utajované skutečnosti a činnosti EU;

d) povinnost okamžitě oznámit příslušným bezpečnostním orgánům všechny pokusy o přiblížení nebo jednání, které vzbuzují podezření, že jde o špionážní činnost, nebo jakékoli neobvyklé okolnosti související s bezpečností.

Všechny osoby, které obvykle přicházejí často do styku se zástupci zemí, jejichž zpravodajské služby se zaměřují na EU a členské státy a zajímají se o utajované skutečnosti a činnosti EU, jsou poučeny o známých technikách různých špionážních služeb.

Neexistují bezpečnostní předpisy Komise pro soukromé cesty, a to nezávisle na jejich cíli, personálu zmocněného pro přístupu k utajovaným skutečnostem EU. Bezpečnostní kancelář Komise však seznámí úředníky a jiné zaměstnance spadající do její působnosti s předpisy platnými pro cestování, které by se jich mohly týkat.

20. BEZPEČNOSTNÍ PROVĚRKY ÚŘEDNÍKŮ A OSTATNÍCH ZAMĚSTNANCŮ KOMISE

a) Přístup k utajovaným skutečnostem EU mají pouze úředníci a ostatní zaměstnanci Komise nebo osoby pracující v rámci Komise, kteří mají z důvodu svých funkcí a pro splnění požadavků daného útvaru znát utajované skutečnosti v držení Komise nebo s nimi nakládat.

b) Pro přístup k utajovaným skutečnostem se stupněm utajení "EU – PŘÍSNĚ TAJNÉ", "EU – TAJNÉ" a "EU – DŮVĚRNÉ" musí všechny osoby uvedené v odstavci a) nejprve získat oprávnění pro tento účel postupem podle odstavců c) a d).

c) Oprávnění se uděluje pouze osobám, které prošly bezpečnostní prověrkou příslušných vnitrostátních orgánů členských států postupem podle odstavců i) až n).

d) Vedoucí bezpečnostní kanceláře Komise odpovídá za udělování oprávnění podle odstavců a) až c).

e) Vedoucí bezpečnostní kanceláře Komise udělí oprávnění po převzetí stanoviska příslušných vnitrostátních orgánů členských států na základě bezpečnostní prověrky provedené v souladu s odstavci i) až n).

f) Bezpečnostní kancelář Komise vede a aktualizuje seznam všech citlivých pracovních míst, která jí nahlásily příslušné útvary Komise, a všech osob, kterým bylo uděleno (dočasné) oprávnění.

g) Oprávnění, které má dobu platnosti pět let, nesmí být uděleno na dobu delší než je doba výkonu funkcí odůvodňujících jeho udělení. Platnost oprávnění může být prodloužena postupem podle odstavce e).

h) Vedoucí bezpečnostní kanceláře Komise odejme oprávnění, má-li za to, že jsou k tomu oprávněné důvody. Jakékoli rozhodnutí o odnětí oprávnění je sděleno dotčené osobě, která může žádat o vyslechnutí vedoucím bezpečnostní kanceláře Komise, a rovněž příslušnému vnitrostátnímu orgánu.

i) Bezpečnostní šetření se provádí s pomocí dotčené osoby a na žádost vedoucího bezpečnostní kanceláře Komise. Za příslušný vnitrostátní orgán, který je oprávněn provádět šetření, se považuje orgán toho členského státu, jehož je osoba, na kterou se vztahuje oprávnění, státním příslušníkem. V případech, kdy dotčená osoba není státním příslušníkem členského státu EU, si vedoucí bezpečnostní kanceláře Komise vyžádá bezpečnostní šetření od členského státu EU, ve kterém má tato osoba bydliště nebo kde se obvykle zdržuje.

j) V rámci šetření je dotčená osoba povinna vyplnit osobní prohlášení.

k) Vedoucí bezpečnostní kanceláře Komise ve své žádosti upřesní typ a stupeň utajení utajovaných skutečností, které má dotčená osoba znát, aby příslušné vnitrostátní orgány mohly provést šetření a vydat své stanovisko k úrovni oprávnění, které má být uděleno dotčené osobě.

l) Pro celý průběh a výsledky bezpečnostního šetření se uplatňují pravidla a předpisy platné v této oblasti v dotčeném členském státu včetně pravidel a předpisů pro případné opravné prostředky.

m) Vydají-li příslušné vnitrostátní orgány členského státu kladné stanovisko, může vedoucí bezpečnostní kanceláře Komise udělit dotčené osobě oprávnění.

n) Vydají-li příslušné vnitrostátní orgány záporné stanovisko, oznámí se smysl tohoto stanoviska dotčené osobě, která může požádat vedoucího bezpečnostní kanceláře Komise o vyslechnutí. Považuje-li to vedoucí bezpečnostní kanceláře Komise za nezbytné, může požádat příslušné vnitrostátní orgány o doplňující vysvětlení, která tyto orgány mohou poskytnout. Je-li záporné stanovisko potvrzeno, nelze oprávnění udělit.

o) Všechny osoby oprávněné ve smyslu odstavců d) a e) dostanou v okamžiku udělení oprávnění a poté v pravidelných intervalech pokyny nezbytné k ochraně utajovaných skutečností a ke způsobu zajištění této ochrany. Tyto osoby podepíší prohlášení potvrzující, že přijaly pokyny a že se zavazují je dodržovat.

p) Vedoucí bezpečnostní kanceláře Komise přijme všechna nezbytná opatření k provedení tohoto oddílu, zejména opatření týkající se úpravy přístupu k seznamu oprávněných osob.

q) Výjimečně a vyžaduje-li to útvar, může vedoucí bezpečnostní kanceláře Komise poté, co předběžně uvědomí vnitrostátní příslušné orgány, a pokud od nich nezíská ve lhůtě jednoho měsíce žádnou reakci, udělit dočasné oprávnění na dobu nepřesahující šest měsíců, dokud nebude znám výsledek šetření uvedeného v odstavci i).

r) Takto udělená prozatímní a dočasná oprávnění neumožňují přístup ke skutečnostem se stupněm utajení EU – PŘÍSNĚ TAJNÉ; přístup k nim je vyhrazen úředníkům, u nichž bylo účinně s kladnými výsledky provedeno šetření v souladu s odstavcem i). Do vydání výsledků šetření mohou úředníci, u kterých se požaduje prověrka pro stupeň EU – PŘÍSNĚ TAJNÉ, dostat dočasné a prozatímní oprávnění pro přístup k utajovaným skutečnostem se stupněm utajení nejvýše EU – TAJNÉ včetně.

21. PŘÍPRAVA, ŠÍŘENÍ, PŘENOS, BEZPEČNOST PERSONÁLU ZÁSILKOVÝCH SLUŽEB A DOPLŇKOVÉ VÝTISKY NEBO PŘEKLADY A VÝPISY Z UTAJOVANÝCH DOKUMENTŮ EU

21.1 Příprava

1. Jak je stanoveno v oddílu 16 a pro stupeň EU – DŮVĚRNÉ a vyšší se uvádějí stupně a označení uprostřed nahoře a dole každé stránky a každá stránka musí být očíslována. Na každém utajovaném dokumentu EU musí být uvedeno spisové číslo a datum. U dokumentů se stupněm utajení EU – PŘÍSNĚ TAJNÉ a EU – TAJNÉ je spisové číslo uvedeno na každé stránce. Mají-li být utajované dokumenty šířeny ve více výtiscích, musí být každý z nich označen na první stránce číslem výtisku a celkovým počtem stránek. Na první stránce dokumentu se stupněm utajení EU – DŮVĚRNÉ nebo vyšším musí být uveden seznam všech příloh a připojených částí.

2. Dokumenty se stupněm utajení EU – DŮVĚRNÉ a vyšším mohou psát na stroji, překládat, archivovat, kopírovat, ukládat na magnetické nosiče nebo na mikrofilmy pouze osoby prověřené pro přístup k utajovaným skutečnostem EU nejméně až do bezpečnostní kategorie odpovídající dotčenému dokumentu.

3. Ustanovení pro zpracování utajovaných dokumentů s využitím výpočetní techniky jsou uvedena v oddíle 25.

21.2 Šíření

1. Utajované skutečnosti EU lze šířit pouze mezi osoby, které mají "potřebu vědět" a prošly příslušnou bezpečnostní prověrkou. Počáteční šíření upřesní původce dokumentu.

2. Dokumenty se stupněm utajení EU – PŘÍSNĚ TAJNÉ se rozšiřují prostřednictvím spisoven EU – PŘÍSNĚ TAJNÉ (viz oddíl 22.2). V případě sdělení se stupněm utajení EU – PŘÍSNĚ TAJNÉ může příslušná spisovna pověřit vedoucího střediska komunikace, aby připravil počet kopií odpovídající seznamu příjemců.

3. Dokumenty se stupněm utajení EU – TAJNÉ a nižším může původní příjemce dále šířit dalším příjemcům na základě "potřeby vědět". Původci dokumentů však musí jasně uvést všechna omezení, která zamýšlejí uložit. Jakmile jsou tato omezení uložena, mohou příjemci dokumenty dále šířit pouze s povolením jejich původce.

4. Všechny dokumenty se stupněm utajení EU – DŮVĚRNÉ a vyšším se evidují při příchodu na generální ředitelství nebo službu a při odchodu z nich. Tento úkol přísluší místní spisovně utajovaných skutečností EU v daném útvaru. Do knihy nebo na speciálně chráněné nosiče dat se zaznamenávají údaje (spisové číslo, datum a případně číslo výtisku), které umožňují dokumenty identifikovat (viz oddíl 22.1).

21.3 Přenos utajovaných dokumentů EU

21.3.1 Balení zásilek, potvrzení příjmu

1. Dokumenty se stupněm utajení EU – DŮVĚRNÉ a vyšším jsou přenášeny v trvanlivých neprůhledných dvojitých obálkách. Vnitřní obálka je orazítkována a označena příslušným stupněm utajení EU a pokud možno všemi údaji o funkci a adrese příjemce.

2. Otevřít vnitřní obálku a potvrdit příjem vložených dokumentů smí pouze kontrolor spisovny (viz oddíl 22.1) nebo jeho zástupce, nemá-li obálka určitého příjemce. V tom případě eviduje příslušná spisovna (viz oddíl 22.1) přijetí obálky a otevřít vnitřní obálku a potvrdit přijetí dokumentů, které obsahuje, smí pouze osoba, které je obálka určena.

3. Do vnitřní obálky se vkládá potvrzení o příjmu. Potvrzení, které není utajovaným dokumentem, obsahuje spisové číslo, datum a číslo výtisku dokumentu, nikdy však předmět.

4. Vnitřní obálka je uzavřena do vnější obálky označené číslem zásilky pro účely převzetí. Za žádných okolností se na vnější obálce nesmí objevit stupeň utajení.

5. K dokumentům se stupněm utajení EU – DŮVĚRNÉ a vyšším stupněm dostanou kurýři a poslíčci potvrzení o příjmu s uvedením čísla zásilky.

21.3.2 Přenos uvnitř budovy nebo skupiny budov

Uvnitř budovy nebo skupiny budov se utajované dokumenty mohou přenášet v jediné uzavřené obálce označené pouze jménem příjemce, pokud je přenáší osoba prověřená pro daný stupeň utajení dokumentů.

21.3.3 Přenos uvnitř země

1. Uvnitř jedné země jsou dokumenty se stupněm utajení EU – PŘÍSNĚ TAJNÉ přenášeny výlučně prostřednictvím úřední zásilkové služby nebo osobami oprávněnými k přístupu ke skutečnostem se stupněm utajení EU – PŘÍSNĚ TAJNÉ.

2. Kdykoli se pro přenos dokumentu se stupněm utajení EU – PŘÍSNĚ TAJNÉ mimo rámec budovy nebo skupiny budov použije zásilková služba, je vhodné použít ustanovení o balení a potvrzování příjmu uvedená v této kapitole. Zásilkové služby mají takový personál, aby bylo zajištěno, že balíčky obsahující dokumenty EU – PŘÍSNĚ TAJNÉ zůstanou pod přímým a stálým dohledem odpovědné osoby.

3. Výjimečně mohou dokumenty se stupněm utajení EU – PŘÍSNĚ TAJNÉ přenášet mimo rámec budovy nebo skupiny budov pro místní použití na zasedáních a jednáních jiní úředníci než kurýři, pokud:

a) je osoba, která je přenáší, oprávněna k přístupu k těmto dokumentům EU – PŘÍSNĚ TAJNÉ;

b) způsob dopravy vyhovuje pravidlům, kterými se řídí přenos dokumentů se stupněm utajení EU – PŘÍSNĚ TAJNÉ;

c) osoba, která je přenáší, nenechává za žádných okolností přenášené dokumenty EU – PŘÍSNĚ TAJNÉ bez dozoru;

d) jsou přijata ustanovení, aby byl seznam takto přenášených dokumentů uložen ve spisovně EU – PŘÍSNĚ TAJNÉ a zaznamenán do rejstříku a umožnil tak kontrolu těchto dokumentů při návratu.

4. Uvnitř jedné země lze dokumenty se stupněm utajení EU – TAJNÉ a EU – DŮVĚRNÉ přenášet jak poštou, je-li tento způsob přenosu povolen podle vnitrostátních právních předpisů a v souladu s nimi, tak zásilkovou službou, nebo osobami oprávněnými pro přístup k utajovaným skutečnostem EU.

5. Bezpečnostní kancelář Komise vypracuje na základě těchto pravidel pokyny pro osobní přenos utajovaných dokumentů EU. Osoba, která dokumenty přenáší, si tyto pokyny přečte a podepíše je. Pokyny zejména jasně stanoví, že dokumenty:

a) musí za všech okolností zůstat v rukou osoby, která je přenáší, ledaže jsou pod dozorem podle ustanovení oddílu 18;

b) nesmějí být ponechány bez dozoru v prostředcích hromadné dopravy ani v soukromých vozidlech ani na veřejných místech, jako jsou restaurace a hotely. Nesmějí být uloženy v hotelových sejfech ani ponechány bez dozoru v hotelových pokojích;

c) nesmějí se číst na veřejných místech, například v letadle nebo ve vlaku.

21.3.4 Přenos z jednoho státu do druhého

1. Materiál se stupněm utajení EU – DŮVĚRNÉ a vyšším je přenášen z jednoho členského státu do jiného diplomatickou nebo vojenskou zásilkovou službou.

2. Přenos materiálu se stupněm utajení EU – TAJNÉ a EU – DŮVĚRNÉ osobami však lze však povolit, poskytují-li opatření přijatá pro přenos záruky, že dokumenty se nemohou dostat do rukou neoprávněné osoby.

3. Člen Komise odpovědný za bezpečnostní otázky může povolit přenos zajišťovaný osobou, pokud nelze využít diplomatické ani vojenské kurýry nebo pokud by jejich využití znamenalo zpoždění schopné poškodit operace EU a pokud příjemce požaduje materiál naléhavě. Bezpečnostní kancelář Komise vypracuje pokyny pro mezinárodní přepravu materiálu se stupněm utajení EU – TAJNÉ včetně jinými osobami, než jsou diplomatičtí a vojenští kurýři. Tyto pokyny vyžadují, aby:

a) osoba, která je přenáší, prošla příslušnou bezpečnostní prověrkou;

b) všechny takto přenášené materiály byly evidovány v příslušném útvaru nebo spisovně;

c) balíky nebo tašky obsahující materiál EU měly oficiální pečeť zamezující nebo předcházející celní kontrole a identifikační nálepky s pokyny pro nálezce;

d) osoba, která je přenáší, byla držitelem osvědčení kurýra nebo pověření k úkolu uznávaného všemi členskými státy EU a opravňujícího k přenosu řádně označeného balíčku;

e) osoba, která je přenáší, nepřekročila při přepravě pozemní cestou hranice ani území třetího státu, ledaže tento stát poskytne odesílajícímu státu zvláštní záruku;

f) pokud jde o místo určení, trasa a dopravní prostředky, odpovídají předpisy týkající se cesty předpisům EU nebo vnitrostátním předpisům, jsou-li přísnější;

g) osoba, která je přenáší, má materiál stále u sebe, ledaže je zajištěn dozor nad ním v souladu s bezpečnostními ustanoveními uvedenými v oddíle 18;

h) materiály nejsou ponechány bez dozoru v prostředcích hromadné dopravy nebo v soukromých vozidlech ani na veřejných místech, jako jsou restaurace nebo hotely. Nesmí se ukládat do hotelových sejfů ani nechávat bez dozoru v hotelových pokojích;

i) pokud přenášený materiál obsahuje dokumenty, nesmějí se číst na veřejných místech (například v letadle, ve vlaku atd.).

4. Osoba pověřená přenosem utajovaného materiálu si musí přečíst a podepsat bezpečnostní pokyny, které obsahují alespoň výše uvedené pokyny a uvádějí postupy pro případy nouze nebo pro případ, že balíček obsahující utajovaný materiál budou kontrolovat celní orgány nebo bezpečnostní orgány na letišti.

21.3.5 Přenos dokumentů se stupněm utajení EU – VYHRAZENÉ

Pro přenos dokumentů se stupněm utajení EU – VYHRAZENÉ nejsou stanovena žádná zvláštní pravidla; pouze musí probíhat tak, aby se nedostaly do rukou neoprávněné osoby.

21.4 Bezpečnost personálu zásilkových služeb

Všichni kurýři a poslíčci používaní pro přenos dokumentů se stupněm utajení EU – TAJNÉ a EU – DŮVĚRNÉ musí projít příslušnou bezpečnostní prověrkou.

21.5 Přenos elektronickými a jiné jinými způsoby technického technickými prostředky

1. Bezpečnostní opatření v oblasti telekomunikací mají zajistit bezpečný přenos utajovaných skutečností EU. Podrobná pravidla, která je třeba dodržovat při přenosu utajovaných skutečností EU, jsou uvedena v oddílu 25.

2. Skutečnosti se stupněm utajení EU – DŮVĚRNÉ a EU – TAJNÉ mohou přenášet pouze schválená přenosová centra a sítě nebo terminály a systémy.

21.6 Doplňkové výtisky a překlady a výpisy z utajovaných dokumentů EU

1. Kopírování nebo překlady dokumentů se stupněm utajení EU – PŘÍSNĚ TAJNÉ může povolit pouze původce dokumentu.

2. Jestliže osoby, které neprošly bezpečnostní prověrkou pro stupeň utajení EU – PŘÍSNĚ TAJNÉ, potřebují informace obsažené v dokumentu se stupněm utajení EU – PŘÍSNĚ TAJNÉ, které však samy o sobě takto zařazeny nejsou, může být vedoucí spisovny EU – PŘÍSNĚ TAJNÉ (viz oddíl 22.2) pověřen vytvořit potřebný počet výpisů z daného dokumentu. Vedoucí zároveň přijme potřebná opatření, aby těmto výpisům byl přidělen odpovídající stupeň utajení.

3. Dokumenty se stupněm utajení EU – TAJNÉ a nižším může rozmnožovat a překládat příjemce v souladu s těmito bezpečnostními opatřeními a za podmínky, že přísně dodržuje zásadu "potřeba vědět". Bezpečnostní opatření vztahující se na původní dokument se rovněž použijí na rozmnoženiny nebo překlady dokumentu.

22. SPISOVNY UTAJOVANÝCH INFORMACÍ SKUTEČNOSTÍ EU, INVENTURY A KONTROLY, ARCHIVACE A NIČENÍ TĚCHTO SKUTEČNOSTÍ

22.1 Místní spisovny utajovaných skutečností

1. V rámci Komise, v případě potřeby v rámci každého útvaru, se vytvoří jedna nebo více místních spisoven pro správu utajovaných skutečností EU. Odpovídají za evidování, rozmnožování, rozesílání, archivaci a ničení dokumentů se stupněm utajení EU – TAJNÉ a EU – DŮVĚRNÉ.

2. Jestliže útvar nemá místní spisovnu utajovaných skutečností EU, tuto činnost vykonává místní spisovna generálního sekretariátu.

3. Místní spisovny utajovaných skutečností EU podávají zprávy vedoucímu útvaru, od kterého dostávají pokyny. Vedoucím těchto spisoven je kontrolor spisovny (RCO).

4. Pokud jde o používání předpisů týkajících se nakládání s dokumenty obsahujícími utajované skutečnosti a o dodržování odpovídajících bezpečnostních opatření, jsou podřízeny bezpečnostnímu pracovníkovi daného útvaru.

5. Úředníci pracující v místních spisovnách utajovaných skutečností EU musí mít oprávnění k přístupu k utajovaným skutečnostem EU v souladu s oddílem 20.

6. Za odpovědnosti příslušného vedoucího útvaru místní spisovny utajovaných skutečností EU:

a) řídí operace, které se týkají evidence, rozmnožování, překladů, přenosu, odesílání a ničení takových skutečností;

b) aktualizují rejstřík utajovaných skutečností;

c) pravidelně prověřují potřebu nadále zachovávat utajení skutečností.

7. Místní spisovny utajovaných informací EU vedou rejstříky obsahující tyto údaje:

a) datum vyhotovení utajované skutečnosti;

b) stupeň utajení;

c) datum skončení utajení;

d) jméno a útvar původce skutečnosti;

e) příjemce nebo příjemci s uvedením pořadového čísla;

f) předmět;

g) číslo;

h) počet rozšiřovaných výtisků;

i) informace o vypracování evidence utajovaných skutečností předložených útvaru;

j) rejstřík, kde jsou zaznamenány operace odtajnění a snížení stupně utajení.

8. Na spisovny utajovaných informací EU se vztahují obecná pravidla uvedená v oddíle 21, aniž jsou tím dotčeny změny vyplývající ze zvláštních pravidel stanovených v tomto oddíle.

22.2 Spisovna EU – PŘÍSNĚ TAJNÉ

22.2.1 Obecně

1. Ústřední spisovna EU – PŘÍSNĚ TAJNÉ zajišťuje evidenci dokumentů se stupněm utajení EU – PŘÍSNĚ TAJNÉ, nakládání s nimi a jejich šíření v souladu s těmito bezpečnostními předpisy. Vedoucím spisovny EU – PŘÍSNĚ TAJNÉ je kontrolor spisovny EU – PŘÍSNĚ TAJNÉ.

2. Ústřední spisovna EU – PŘÍSNĚ TAJNÉ působí jako hlavní orgán pro příjem a šíření pro Komisi, ostatní instituce EU, členské státy, mezinárodní organizace a pro třetí státy, s nimiž Komise uzavřela dohody o bezpečnostních postupech při výměně utajovaných skutečností.

3. Podle potřeby se zřizují spisovny nižší úrovně, které zajišťují vnitřní nakládání s dokumenty se stupněm utajení EU – PŘÍSNĚ TAJNÉ; aktualizují záznamy o každém dokumentu, který mají na starosti.

4. Spisovny EU – PŘÍSNĚ TAJNÉ nižší úrovně se zřizují, jak je uvedeno v oddílu 22.2.3, aby se vyhovělo dlouhodobé potřebě, a jsou napojeny na ústřední spisovnu EU – PŘÍSNĚ TAJNÉ. Je-li potřeba nahlížet do dokumentů se stupněm utajení EU – PŘÍSNĚ TAJNÉ pouze dočasná a příležitostná, lze tyto dokumenty poskytnout, aniž je zřízena spisovna EU – PŘÍSNĚ TAJNÉ nižší úrovně, pokud stanovená pravidla zajišťují, že tyto dokumenty zůstanou pod kontrolou příslušné spisovny EU – PŘÍSNĚ TAJNÉ, a pokud budou dodržována všechna fyzická bezpečnostní opatření a bezpečnostní opatření týkající se personálu.

5. Spisovny nižší úrovně nesmějí bez výslovného souhlasu ústřední spisovny EU – PŘÍSNĚ TAJNÉ předávat dokumenty se stupněm utajení EU – PŘÍSNĚ TAJNÉ přímo jiným spisovnám nižší úrovně podřízeným stejné ústřední spisovně EU – PŘÍSNĚ TAJNÉ.

6. Všechny výměny dokumentů se stupněm utajení EU – PŘÍSNĚ TAJNÉ mezi spisovnami nižší úrovně podřízenými různým ústředním spisovnám se provádějí prostřednictvím ústředních spisoven EU – PŘÍSNĚ TAJNÉ.

22.2.2 Ústřední spisovna EU – PŘÍSNĚ TAJNÉ

Jako kontrolor odpovídá vedoucí spisovny EU – PŘÍSNĚ TAJNÉ za:

a) zajištění přenášení dokumentů se stupněm utajení EU – PŘÍSNĚ TAJNÉ v souladu s pravidly stanovenými v oddíle 21.3;

b) aktualizaci seznamu všech podřízených spisoven EU – PŘÍSNĚ TAJNÉ nižší úrovně spolu se jmény a podpisy pověřených kontrolních úředníků a jejich oprávněných zástupců;

c) uchovávání potvrzení o převzetí od spisoven pro všechny dokumenty se stupněm utajení EU – PŘÍSNĚ TAJNÉ šířené ústřední spisovnou;

d) vedení záznamů o držených a rozšiřovaných dokumentech se stupněm utajení EU – PŘÍSNĚ TAJNÉ;

e) aktualizaci seznamu všech ústředních spisoven EU – PŘÍSNĚ TAJNÉ, s nimiž obvykle udržuje písemný styk, spolu se jmény a podpisy pověřených kontrolorů a jejich oprávněných zástupců;

f) zajištění fyzické bezpečnosti všech dokumentů se stupněm utajení EU – PŘÍSNĚ TAJNÉ držených ve spisovně v souladu s pravidly uvedenými v oddíle 18.

22.2.3 Spisovny EU – PŘÍSNĚ TAJNÉ nižší úrovně

Jako kontrolor odpovídá vedoucí spisovny EU – PŘÍSNĚ TAJNÉ nižší úrovně za:

a) zajištění přenášení dokumentů se stupněm utajení EU – PŘÍSNĚ TAJNÉ v souladu s pravidly vymezenými v oddíle 21.3;

b) aktualizaci seznamu všech osob oprávněných k přístupu ke skutečnostem se stupněm utajení EU – PŘÍSNĚ TAJNÉ, které kontroluje;

c) šíření dokumentů se stupněm utajení EU – PŘÍSNĚ TAJNÉ v souladu s pokyny původce nebo v závislosti na "potřebě vědět", poté co se ujistí, že příjemce prošel bezpečnostní prověrkou požadovaného stupně;

d) aktualizaci seznamu všech dokumentů se stupněm utajení EU – PŘÍSNĚ TAJNÉ držených nebo obíhajících pod jeho kontrolou nebo které byly předány jiným spisovnám EU – PŘÍSNĚ TAJNÉ, a za uchovávání odpovídajících potvrzení o převzetí;

e) aktualizaci seznamu spisoven EU – PŘÍSNĚ TAJNÉ, se kterými je oprávněn vyměňovat dokumenty se stupněm utajení EU – PŘÍSNĚ TAJNÉ, spolu se jmény a podpisy pověřených kontrolorů a jejich oprávněných zástupců;

f) zajištění fyzické bezpečnosti všech dokumentů se stupněm utajení EU – PŘÍSNĚ TAJNÉ uložených ve spisovně nižší úrovně v souladu s pravidly stanovenými v oddíle 18.

22.3 Inventury a kontroly utajovaných dokumentů EU

1. Každý rok provede každá spisovna EU – PŘÍSNĚ TAJNÉ podrobnou inventuru všech dokumentů se stupněm utajení EU – PŘÍSNĚ TAJNÉ. Dokument se považuje za zkontrolovaný, jestliže spisovna dokument fyzicky zkontroluje nebo má potvrzení o převzetí od spisovny EU – PŘÍSNĚ TAJNÉ, které byl dokument předán, nebo zápis o zničení dokumentu nebo pokyn ke snížení stupně utajení daného dokumentu nebo k jeho odtajnění. Spisovny předají výsledky svých ročních inventur členovi Komise odpovědnému za bezpečnostní otázky, a to nejpozději do 1. dubna každého roku.

2. Spisovny EU – PŘÍSNĚ TAJNÉ nižší úrovně předávají výsledky své roční inventury ústřední spisovně, které jsou podřízeny, ke dni stanovenému ústřední spisovnou.

3. Kontrola utajovaných dokumentů EU zařazených do nižšího stupně než je stupeň EU – PŘÍSNĚ TAJNÉ se provádí podle pokynů vydaných členem Komise odpovědným za bezpečnostní otázky.

4. Tyto činnosti poskytují možnost zjistit stanoviska držitelů, zda:

a) je možno snížit stupeň utajení určitých dokumentů nebo je případně odtajnit;

b) lze určité dokumenty zničit.

22.4 Archivace utajovaných skutečností EU

1. Utajované skutečnosti EU se archivují za podmínek odpovídajícím všem příslušným ustanovením uvedeným v oddíle 18.

2. Aby byly obtíže s archivací co nejmenší, jsou všichni kontroloři všech spisoven oprávněni převádět dokumenty se stupněm utajení EU – PŘÍSNĚ TAJNÉ, EU – TAJNÉ a EU – DŮVĚRNÉ na mikrofilmy nebo je uložit na magnetický nebo optický nosič pro účely archivace, pokud:

a) převedení na mikrofilmy nebo archivaci provádějí osoby, které prošly platnou bezpečnostní prověrkou pro odpovídající stupeň utajení;

b) je pro mikrofilmy nebo záznamy zaručena stejná bezpečnost jako pro původní dokumenty;

c) převedení dokumentu se stupněm utajení EU – PŘÍSNĚ TAJNÉ na mikrofilmy nebo archivace jsou oznámeny původci;

d) cívky filmu nebo jiné typy nosiče obsahují pouze dokumenty se stejným stupněm utajení EU – PŘÍSNĚ TAJNÉ, EU – TAJNÉ nebo EU – DŮVĚRNÉ;

e) převedení dokumentů se stupněm utajení EU – PŘÍSNĚ TAJNÉ nebo EU – TAJNÉ na mikrofilm nebo archivace budou jasně vyznačeny v rejstříku používaném při roční inventuře;

f) původní dokumenty, které byly převedeny na mikrofilmy nebo jinak archivovány, se zničí v souladu s pravidly uvedenými v oddíle 22.5.

3. Tato pravidla se rovněž uplatňují na všechny ostatní způsoby povolené archivace, jako jsou například elektromagnetické nosiče a optické disky.

22.5 Ničení utajovaných dokumentů EU

1. Aby se zabránilo zbytečnému hromadění utajovaných dokumentů EU, zničí se dokumenty považované vedoucím subjektu, který je drží, za zastaralé a nadbytečné, jakmile je to možné, těmito způsoby:

a) dokumenty se stupněm utajení EU – PŘÍSNĚ TAJNÉ ničí výlučně ústřední spisovna, která je tím pověřena. Každý zničený dokument je uveden v zápise o zničení podepsaném kontrolorem EU – PŘÍSNĚ TAJNÉ a svědkem, který prošel bezpečnostní prověrkou stupně EU – PŘÍSNĚ TAJNÉ. Zničení je zaznamenáno do knihy;

b) spisovna archivuje zápisy o zničení spolu s doklady o rozdělení po dobu deseti let. Kopie se předávají původci nebo příslušné ústřední spisovně, pouze jsou-li výslovně požadovány;

c) dokumenty se stupněm utajení EU – PŘÍSNĚ TAJNÉ včetně utajovaného odpadu, který vzniká při přípravě těchto dokumentů (např. poškozené výtisky, koncepty, na stroji psané poznámky a diskety) se zničí pod dohledem úředníka prověřeného pro stupeň EU – PŘÍSNĚ TAJNÉ spálením, rozdrcením, roztrháním nebo jiným způsobem tak, aby je nebylo možné identifikovat a znovu sestavit.

2. Dokumenty se stupněm utajení EU – TAJNÉ zničí spisovna, která je tím pověřená, pod dohledem osoby, jež prošla bezpečnostní prověrkou, a to jedním z postupů uvedených v odstavci 1 c). Zničení dokumentů se stupněm utajení EU – TAJNÉ je uvedeno v podepsaných zápisech, které spisovna archivuje spolu s doklady o rozdělení nejméně tři roky.

3. Dokumenty se stupněm utajení EU – DŮVĚRNÉ zničí spisovna, která je tím pověřena, pod dohledem osoby, jež prošla bezpečnostní prověrkou, jedním z postupů uvedených v odstavci 1 c). Jejich zničení se eviduje v souladu s pokyny člena Komise odpovědného za bezpečnostní otázky.

4. Dokumenty se stupněm utajení EU – VYHRAZENÉ zničí spisovna, která je tím pověřena, nebo uživatel v souladu s pokyny člena Komise odpovědného za bezpečnostní otázky.

22.6 Zničení v nouzových situacích

1. Útvary Komise vypracují s ohledem na místní podmínky plány pro zabezpečení utajovaných materiálů EU v případě krize včetně případných plánů na zničení a vyklizení v případech nouze. Vyhlásí pokyny, které považují za nezbytné pro zamezení tomu, aby se utajované skutečnosti EU dostaly do neoprávněných rukou.

2. Ustanovení přijatá pro zabezpečení a/nebo zničení materiálů se stupněm utajení EU – TAJNÉ a EU – DŮVĚRNÉ nesmí za žádných okolností ovlivnit zabezpečení ani zničení materiálů se stupněm utajení EU – PŘÍSNĚ TAJNÉ, zejména kódovacího zařízení, jejichž opatrování má přednost před všemi ostatními úkoly.

3. Opatření, která mají být přijata k zabezpečení a zničení kódovacího zařízení v případě nouze, se řídí zvláštními pokyny.

4. Je nezbytné, aby byly pokyny k dispozici přímo na místě v zapečetěné obálce. K dispozici musí být rovněž prostředky či nástroje určené pro zničení.

23. BEZPEČNOSTNÍ OPATŘENÍ PRO ZVLÁŠTNÍ ZASEDÁNÍ, KTERÁ SE KONAJÍ MIMO PROSTORY KOMISE A KTERÉ SE TÝKAJÍ UTAJOVANÝCH SKUTEČNOSTÍ EU

23.1 Obecně

Konají-li se zasedání Komise nebo jiná významná zasedání mimo prostory Komise v Bruselu a Lucemburku a odůvodňují-li to zvláštní bezpečnostní požadavky vyplývající z vysoké citlivosti projednávaných otázek nebo skutečností, přijmou se níže uvedená opatření. Tato opatření se týkají pouze ochrany utajovaných skutečností EU; může se ukázat jako nezbytné stanovit jiná bezpečnostní opatření.

23.2 Odpovědnost

23.2.1 Bezpečnostní kancelář Komise

Bezpečnostní kancelář Komise spolupracuje s příslušnými orgány členského státu, na jehož území se má zasedání uskutečnit (hostitelský členský stát), s cílem zajistit bezpečnost zasedání Komise nebo jiného významného zasedání a zajistit bezpečnost delegátů a jejich spolupracovníků. V oblasti ochrany bezpečnosti musí zajistit, aby:

a) byly vypracovány plány, které budou řešit ohrožení bezpečnosti a incidenty s bezpečností související, přičemž tato opatření se týkají zejména ochrany utajovaných dokumentů EU uvnitř prostor;

b) byla přijata opatření zajišťující případný přístup k telekomunikačnímu systému Komise za účelem příjmu a zasílání utajovaných sdělení EU. Hostitelský členský stát rovněž zajistí případný přístup k chráněným telefonním systémům.

Bezpečnostní kancelář Komise působí jako poradce v otázkách bezpečnosti při přípravě zasedání; měla by zde být zastoupena, aby podle potřeby pomohla a poradila úředníkovi odpovědnému za bezpečnost zasedání a delegacím.

Každá delegace na zasedání se vyzve k tomu, aby určila jednoho bezpečnostního úředníka, který bude řešit bezpečnostní otázky ve své delegaci a udržovat kontakt s bezpečnostním úředníkem zasedání a se zástupcem bezpečnostní kanceláře Komise.

23.2.2 Bezpečnostní úředník zasedání

Je určen bezpečnostní úředník zasedání, který odpovídá za obecnou přípravu a kontrolu obecných opatření vnitřní bezpečnosti a za koordinaci s ostatními dotčenými bezpečnostními orgány. Opatření, která přijme, se obecně týkají:

a) ochranných opatření v místě zasedání zajišťujících, že zasedání proběhne bez incidentů, které by mohly narušit bezpečnost utajovaných skutečností EU, které se mohou při zasedání používat;

b) kontroly personálu, který má přístup na místo zasedání, do oblastí vyhrazených delegacím a do konferenčních sálů, a kontroly vnesených materiálů;

c) trvalé koordinace s příslušnými orgány hostitelského členského státu a s bezpečnostní kanceláří Komise;

d) zařazení bezpečnostních pokynů do dokumentace k zasedání s ohledem na požadavky stanovené v těchto bezpečnostních předpisech a v jakýchkoli jiných bezpečnostních pokynech považovaných za nezbytné.

23.3 Bezpečnostní opatření

23.3.1 Bezpečnostní oblasti

Vytvářejí se tyto bezpečnostní oblasti:

a) bezpečnostní oblast kategorie II, zahrnující případně redakční místnost, kanceláře a rozmnožovací zařízení Komise a kanceláře delegací;

b) bezpečností oblast kategorie I, zahrnující konferenční místnost a kabiny tlumočníků a zvukových techniků;

c) administrativní oblasti zahrnující zařízení pro tisk a sektory vyhrazené pro administrativu, stravování a ubytování, i oblast bezprostředně přiléhající k tiskovému středisku a k místu zasedání.

23.3.2 Propustky

Úředník odpovědný za bezpečnost zasedání musí vydat visačky příslušného typu podle požadavků delegací. Podle potřeby lze odlišit povolení vstupu do jednotlivých bezpečnostních oblastí.

Bezpečnostní pokyny pro zasedání stanoví, že všechny dotčené osoby musí v místě zasedání neustále nosit svou visačku na viditelném místě, aby je mohl bezpečnostní personál podle potřeby kontrolovat.

Kromě účastníků vybavených visačkou bude přístup na místo zasedání povolen co nejmenšímu počtu osob. Úředník odpovědný za bezpečnost zasedání povolí delegacím států přijímat návštěvy během zasedání pouze na jejich žádost. Návštěvníci dostanou zvláštní visačku pro návštěvníky. Je jim vystavena propustka, která obsahuje jejich jméno a jméno osoby, která je přijme. Návštěvníky musí stále doprovázet bezpečnostní stráž nebo osoba, která je přijme. Propustku návštěvníka nese doprovázející osoba, která ji vrátí spolu s visačkou návštěvníka bezpečnostnímu personálu po odchodu návštěvníka z místa zasedání.

23.3.3 Kontrola fotografických a záznamových zařízení

Do bezpečnostní oblasti kategorie I se nesmějí vnášet žádná fotografická ani záznamová zařízení s výjimkou zařízení vnesených fotografy a zvukovými techniky, kteří mají řádné povolení od úředníka odpovědného za bezpečnost zasedání.

23.3.4 Kontrola aktovek, přenosných počítačů a zásilek

Držitelé propustek, které jim umožňují přístup do určité bezpečnostní oblasti, mohou běžně bez kontroly vnášet své aktovky a přenosné počítače (pouze s vlastním zdrojem energie). Delegace mohou přijímat pro ně určené zásilky, poté co je zkontroluje bezpečnostní úředník delegace nebo speciální zařízení, nebo po otevření bezpečnostním personálem. Považuje-li to úředník odpovědný za bezpečnost zasedání považuje za nezbytné, mohou být stanovena přísnější opatření pro kontroly aktovek a zásilek.

23.3.5 Technická bezpečnost

Technický bezpečnostní tým může zaručit technickou bezpečnost zasedací místnosti a rovněž může zajistit elektronický dozor během zasedání.

23.3.6 Dokumenty delegací

Delegace odpovídají za přepravu utajovaných dokumentů EU na zasedání a z něj. Rovněž odpovídají za kontrolu a bezpečnost těchto dokumentů při jejich používání v prostorách, jež jim jsou přiděleny. Pro přepravu utajovaných dokumentů na zasedání a ze zasedání lze žádat o pomoc hostitelský stát.

23.3.7 Bezpečné uložení dokumentů

Jestliže Komise nebo delegace nejsou schopny uložit své utajované dokumenty v souladu se schválenými normami, mohou tyto dokumenty svěřit v zapečetěné obálce proti potvrzení o převzetí bezpečnostnímu úředníkovi zasedání, který odpovídá za jejich uložení v souladu se schválenými normami.

23.3.8 Kontrola kanceláří

Bezpečnostní úředník zasedání zajistí na konci každého pracovního dne kontroly kanceláří Komise a delegací, aby zajistil, že všechny utajované dokumenty EU jsou bezpečně uloženy; není-li tomu tak, přijme vhodná opatření.

23.3.9 Odstranění utajovaného odpadu EU

Veškerý odpad se považuje za utajovaný odpad EU a koše nebo pytle na papír se předávají Komisi a delegacím ke zničení. Komise a delegace musí před odchodem z místností, které jim byly přiděleny, předat odpad úředníkovi odpovědnému za bezpečnost zasedání, který zajistí jeho zničení podle pravidel.

Na konci zasedání se se všemi dokumenty, které Komise nebo delegace drží, avšak nadále je nepotřebují, zachází jako s odpadem. Před zrušením bezpečnostních opatření přijatých pro zasedání musí být provedena důkladná prohlídka kanceláří Komise a delegací. Dokumenty, ke kterým bylo podepsáno potvrzení o příjmu, musí být podle možností zničeny, jak je uvedeno v oddíle 22.5.

24. NARUŠENÍ BEZPEČNOSTI A VYZRAZENÍ UTAJOVANÝCH SKUTEČNOSTÍ EU

24.1 Definice

K narušení bezpečnosti dochází jednáním nebo opomenutím proti bezpečnostním předpisům Komise nebo vnitrostátním bezpečnostním předpisům, které může ohrozit nebo vyzradit utajované skutečnosti EU.

K vyzrazení utajovaných skutečností EU dojde, pokud se tyto skutečnosti dostanou zcela nebo zčásti do rukou neoprávněných osob, tj. osob, které neprošly příslušnou bezpečnostní prověrkou nebo nemají "potřebu vědět", nebo je-li pravděpodobné, že k takové události došlo.

Utajované skutečnosti EU mohou být vyzrazeny následkem neopatrnosti, nedbalosti nebo nerozvážnosti anebo činností služeb, které se zaměřují na EU nebo členské státy a zajímají se o utajované skutečnosti a činnost EU, nebo činností podvratných organizací.

24.2 Hlášení narušení bezpečnosti

Všechny osoby, které mají nakládat s utajovanými skutečnostmi EU, jsou důkladně poučeny o svých povinnostech v této oblasti. Jsou povinny ihned ohlásit každé narušení bezpečnosti, jakmile se o něm dozvědí.

Zjistí-li bezpečnostní pracovník daného útvaru nebo úředník odpovědný za bezpečnost zasedání nebo je-li upozorněn, že byly porušeny bezpečnostní předpisy týkající se utajovaných skutečností EU nebo že se ztratily nebo zmizely utajované materiály EU, musí neprodleně jednat, aby:

a) zajistil důkazy;

b) zjistil skutkový stav;

c) zhodnotil a snížil na minimum způsobenou škodu;

d) zabránil opakování;

e) uvědomil příslušné orgány o důsledcích narušení bezpečnosti.

V této souvislosti jsou poskytovány tyto informace:

i) popis dotčených skutečností, zejména s upřesněním jejich stupně utajení, spisového čísla a čísla výtisku, data, původce, předmětu a rozsahu dokumentu;

ii) stručný popis okolností narušení bezpečnosti včetně data a období, během něhož mohly být skutečnosti vyzrazeny;

iii) prohlášení uvádějící, zda byl informován původce.

Každý bezpečnostní orgán, jakmile byl upozorněn, že mohlo dojít k narušení bezpečnosti, je povinen skutečnost okamžitě oznámit bezpečnostní kanceláři Komise.

O případech, které se týkají skutečností se stupněm utajení EU – VYHRAZENÉ se podává zpráva, mají-li neobvyklou povahu.

Jakmile je člen Komise odpovědný za bezpečnostní otázky informován o narušení bezpečnosti:

a) oznámí to původci, který utajovanou skutečnost vydal;

b) vyzve příslušné bezpečnostní orgány, aby zahájily vyšetřování;

c) koordinuje vyšetřování, týká-li se věc více bezpečnostních orgánů;

d) získá zprávu o okolnostech narušení, datu nebo období, během kterého mohlo k narušení dojít, o datu a místě jeho zjištění a podrobný popis obsahu a stupně utajení dotčených dokumentů. Rovněž je třeba uvést poškození zájmů EU nebo jednoho či více členských států a opatření přijatá s cílem zabránit jakémukoli opakování.

Původce uvědomí příjemce a dá jim potřebné pokyny.

24.3 Právní kroky

V souladu s příslušnými pravidly a předpisy, zejména s hlavou VI služebního řádu, a aniž je dotčena možnost soudního postihu, mohou být přijata disciplinární opatření proti jakékoli osobě, která je odpovědná za vyzrazení utajovaných skutečností EU.

V odůvodněných případech, na základě zprávy zmíněné v oddíle 24.2 podnikne člen Komise odpovědný za bezpečnostní otázky všechny nezbytné kroky umožňující příslušným vnitrostátním orgánům zahájit trestní stíhání.

25. OCHRANA UTAJOVANÝCH SKUTEČNOSTÍ EU ZPRACOVÁVANÝCH V INFORMAČNÍCH A V KOMUNIKAČNÍCH SYSTÉMECH

25.1 Úvod

25.1.1 Obecně

Bezpečnostní politika a bezpečnostní požadavky se uplatňují na všechny komunikační a informační systémy a sítě (dále jen "systémy"), v nichž se zpracovávají skutečnosti se stupněm utajení EU – DŮVĚRNÉ a vyšším. Použijí se jako doplněk rozhodnutí Komise K (95) 1510 v konečném znění ze dne 23. listopadu 1995 o ochraně informačních systémů.

Systémy, které zpracovávají skutečnosti se stupněm utajení EU – VYHRAZENÉ, vyžadují rovněž uplatňování bezpečnostních opatření na ochranu důvěrnosti těchto skutečností. Všechny systémy vyžadují bezpečnostní opatření umožňující chránit celistvost a dostupnost těchto systémů a skutečností, které obsahují.

Bezpečnostní politika Komise ve vztahu k informačním technologiím (IT) je postavena na následujících základech:

- tvoří nedílnou součást celkového zajištění bezpečnosti a doplňuje všechny prvky zajištění bezpečnosti informací, bezpečnosti personálu a fyzické bezpečnosti,

- rozdělení povinností mezi vlastníky technických systémů, držiteli utajovaných skutečností EU, které jsou uloženy nebo zpracovávány v technických systémech, a odborníky na bezpečnost IT a uživatele,

- popis bezpečnostních zásad a požadavků jednotlivých systémů IT,

- schválení těchto zásad a požadavků pověřeným orgánem,

- zohlednění zvláštních ohrožení a slabých míst v oblasti IT.

25.1.2 Ohrožení a slabá místa systémů

Ohrožení lze vymezit jako možnost náhodného nebo úmyslného narušení bezpečnosti. V případě systémů se toto narušení projevuje ztrátou jedné nebo více vlastností, kterými jsou důvěrnost, celistvost a dostupnost. Slabá místa lze vymezit jako nedostatečnou nebo chybějící kontrolu, která by usnadnila nebo umožnila ohrožení určitého objektu nebo cíle.

Utajované či neutajované skutečnosti EU zpracovávané v systémech v koncentrované podobě, která umožňuje jejich rychlé vyhledání, sdělení a použití, jsou vystaveny mnoha rizikům. Patří mezi ně přístup neoprávněných uživatelů ke skutečnostem nebo naopak odepření přístupu oprávněným uživatelům. Zároveň existují rizika neoprávněného vyzrazení, zkreslení, pozměnění nebo odstranění informací. Kromě toho složité a často choulostivé zařízení je nákladné a často je obtížné rychle jej opravit nebo nahradit.

25.1.3 Hlavní cíl bezpečnostních opatření

Hlavním cílem bezpečnostních opatření uvedených v tomto oddíle je zajistit ochranu před neoprávněným vyzrazením utajovaných skutečností EU (ztráta důvěrnosti) a před ztrátou celistvosti a dostupnosti skutečností. Aby bylo dosaženo náležité ochrany systému, který zpracovává utajované skutečnosti EU, upřesní bezpečnostní kancelář Komise vhodné normy klasické bezpečnosti a vhodné bezpečnostní postupy a techniky vytvořené zvlášť pro každý systém.

25.1.4 Bezpečnostní požadavky vlastní danému systému (SSRS)

Pro všechny systémy, které zpracovávají skutečnosti se stupněm utajení EU – DŮVĚRNÉ a vyšším, musí vlastník technického systému (TSO; viz oddíl 25.3.4) a vlastník informace (viz oddíl 25.3.5), případně s přispěním a za podpory ve osob odpovědných za projekt a bezpečnostní kanceláře Komise (ve funkci orgánu pro bezpečnost informačních systémů – orgánu INFOSEC; viz oddíl 25.3.3), vypracovat stanovení bezpečnostních požadavků vlastních danému systému (SSRS), který schválí orgán pro schvalování z hlediska bezpečnosti (SAA; viz oddíl 25.3.2.).

Stanovení bezpečnostních požadavků vlastních danému systému se rovněž požaduje, považuje-li orgán pro schvalování z hlediska bezpečnosti dostupnost a celistvost skutečností se stupněm utajení EU – VYHRAZENÉ nebo neutajovaných skutečností za podstatnou.

Stanovení bezpečnostních požadavků vlastních danému systému bude vypracováno co nejdříve během vytváření projektu a vyvíjí se a zlepšuje postupně s vývojem projektu; plní přitom v jednotlivých fázích projektu a životního cyklu systému různé úlohy.

25.1.5 Bezpečnostní režimy provozu

Všechny systémy, které zpracovávají skutečnosti se stupněm utajení EU – DŮVĚRNÉ a vyšším stupněm utajení, se schvalují pro jeden z níže uvedených provozních režimů nebo, odůvodňují-li to potřeby v různých obdobích, pro několik provozních režimů nebo pro jejich vnitrostátní protějšek:

a) "dedicated";

b) "system high" a

c) "multi-level".

25.2 Definice

"Schvalovacím řízením" se rozumí: schválení systému, které povoluje jeho používání pro zpracování utajovaných skutečností EU v jeho operačním prostředí.

Poznámka:

Ke schvalovacímu řízení dojde po uplatnění všech vhodných bezpečnostních postupů a po dosažení dostatečné úrovně ochrany systémových zdrojů. Schvalování se obvykle uskutečňuje na základě stanovení bezpečnostních požadavků pro daný systém, zejména těchto skutečností:

a) vymezení cíle schválení systému uvádějící zejména stupně utajení skutečností, které se mají v systému zpracovávat, a režim nebo režimy bezpečnostního provozu navrhované pro systém nebo síť;

b) zhodnocení rizik poukazující na ohrožení a slabá místa a stanovení opatření nezbytných pro jejich předcházení;

c) provozní postupy pro zajištění bezpečnosti (SecOP) s podrobným popisem navrhovaných postupů (např. režimy a služby, které mají být poskytovány), a zejména s popisem bezpečnostních vlastností systému, který bude základem schvalovacího řízení;

d) plán pro zavedení a údržbu bezpečnostních vlastností;

e) plán, kterým se stanoví zkoušky, hodnocení a udělení osvědčení zaměřené na zajištění prvotní a následné bezpečnosti systému nebo sítě a

e) udělení osvědčení, je-li požadováno, spolu s ostatními prvky schvalovacího řízení.

"Úředníkem pro bezpečnost informatiky na úrovni ústředí" (CISO) se rozumí: úředník v ústřední službě IT, který koordinuje a dohlíží na bezpečnostní opatření určená pro centrálně organizované systémy.

"Udělováním osvědčení" se rozumí: vydávání úředního dokumentu na základě nezávislé kontroly chování a výsledků hodnocení, který uvádí míru, v jaké daný systém plní požadavky bezpečnosti nebo v jaké produkt počítačové bezpečnosti odpovídá předem stanoveným bezpečnostním požadavkům v této oblasti.

"Bezpečnostní komunikací" (COMSEC) se rozumí: použití bezpečnostních opatření v telekomunikacích, které znemožní neoprávněným osobám získat skutečnosti, které lze získat z přístupu k telekomunikačnímu provozu a z jeho vyhodnocení, nebo které zajistí autentičnost telekomunikačního provozu.

Poznámka:

Tato opatření se vztahují nejen na bezpečnost šifrovacích prostředků, kódování, přenosu a emisí, ale i na bezpečnost týkající se postupů, fyzických prvků, personálu, dokumentů a počítačového systému.

"Počítačovou bezpečností" (COMPUSEC) se rozumí: zavedení bezpečnostních vlastností hardwaru, firmwaru a softwaru do počítačového systému, aby byl chráněn proti neoprávněnému vyzrazení, úpravě, změnám nebo vymazání skutečností nebo aby jim bylo zabráněno nebo proti odmítnutí přístupu.

"Produktem počítačového zabezpečení" se rozumí: obecný produkt počítačové bezpečnosti, který má být začleněn do IT systému, aby zlepšil nebo zajistil důvěrnost, celistvost nebo dostupnost zpracovávaných skutečností.

"Bezpečnostním provozním režimem dedicated" se rozumí: provozní režim, podle kterého jsou VŠECHNY osoby, které mají přístup k systému, prověřeny pro nejvyšší stupeň utajení skutečností zpracovávaných v rámci systému a mají společnou "potřebu vědět" týkající se VŠECH informací zpracovávaných v rámci systému.

Poznámky:

1. Protože všichni uživatelé mají společnou "potřebu vědět", není nezbytné, aby bezpečnostní technika zajišťovala oddělení skutečností v rámci systému.

2. Ostatní bezpečnostní vlastnosti (např. fyzické, personální a procedurální) musí vyhovovat požadavkům stanoveným pro nejvyšší úroveň utajení a pro všechny kategorie skutečností zpracovávaných v systému.

"Zhodnocením" se rozumí: podrobné technické posouzení provedené příslušným orgánem týkající se aspektů systému, šifrovacích prostředků nebo produktu počítačové bezpečnosti, které souvisejí s jeho bezpečností.

Poznámky:

1. Hodnocení zkoumá přítomnost požadované bezpečnostní funkce, absenci nežádoucích vedlejších účinků vyplývajících z této funkce a její neporušitelnost.

2. Hodnocení určuje míru, do jaké jsou uspokojeny bezpečnostní požadavky systému nebo splněny nároky produktu počítačové bezpečnosti, a stanoví úroveň zajištění systému nebo šifrovacího prostředku nebo funkce produktu počítačové bezpečnosti.

"Vlastníkem informací" (IO) se rozumí orgán (vedoucí útvaru), který nese odpovědnost za vytvoření, zpracování a užívání skutečností, včetně odpovědnosti za rozhodnutí, komu se povolí přístup k těmto informacím.

"Bezpečností informačních systémů" (INFOSEC) se rozumí: uplatňování bezpečnostních opatření pro ochranu zpracovávaných, archivovaných nebo předávaných skutečností v komunikačních, informačních a jiných elektronických systémech před, náhodnou nebo úmyslnou, ztrátou důvěrnosti, celistvosti nebo dostupnosti a pro zamezení ztrátě celistvosti a dostupnosti samotných systémů.

"Opatřeními pro bezpečnost informačních systémů" (opatření INFOSEC) se rozumí: opatření určená pro zabezpečení počítačů, přenosu, vysílání a šifrování a dále opatření ke zjišťování, dokumentaci a obraně proti ohrožení informací a systémů.

"Oblastí IT" se rozumí: oblast s jedním počítačem nebo více počítači, s jejich místními periferiemi a paměťovými jednotkami, s jejich řídícími jednotkami a vyhrazenými síťovými a komunikačními zařízeními.

Poznámka:

Součástí této oblasti není jakákoli oddělená oblast, kde se nacházejí vzdálené terminály/pracovní stanice nebo periferie, i když jsou tato zařízení připojena k oblasti IT.

"Sítí IT" se rozumí: zeměpisně rozptýlený soubor tvořený propojenými IT systémy pro výměnu dat, obsahující různé složky propojených systémů IT a jejich rozhraní s datovými a komunikačními sítěmi, které je doplňují.

Poznámky:

1. Síť IT může využívat služeb jedné nebo více komunikačních sítí pro výměnu dat; více IT sítí může využívat služeb společné komunikační sítě.

2. Spojuje-li síť IT více počítačů nacházejících se na stejném místě, označuje se jako "místní síť".

"Bezpečnostní vlastnosti sítě IT" zahrnují bezpečnostní vlastnosti každého systému IT, který je součástí sítě, ale rovněž doplňující součásti a vlastnosti spojené v síti jako takové nezbytné pro zajištění dostatečné úrovně ochrany utajovaných skutečností (např. komunikace v síti, mechanismy a postupy bezpečnostního označování a identifikace, kontroly přístupu, programy a kontrolní cesty).

"Systémem IT" se rozumí: soubor zařízení, metod a postupů a případně osob, který je uspořádán tak, aby plnil funkce při zpracování informací.

Poznámky:

1. Jedná se o soubor uspořádaných prostředků pro zpracování skutečností v rámci systému.

2. Tyto systémy mohou být používány pro konzultace, řízení, dohled a komunikaci a pro vědecké nebo administrativní uplatnění včetně zpracování textů.

3. Systém je obecně vymezen jako soubor prvků podléhajících kontrole jednoho vlastníka technického systému.

4. Systém IT může obsahovat subsystémy, z nichž některé jsou rovněž systémy IT.

"Bezpečnostní vlastnosti systému IT" zahrnují všechny funkce, charakteristiky a vlastnosti hardwaru/firmwaru/softwaru; provozní postupy a postupy vytváření odpovědnosti a kontroly přístupu, oblast IT, oblast vzdálených terminálů/pracovních stanic a pravidla řízení, fyzická zařízení a strukturu a opatření pro kontrolu personálu a komunikací nezbytných pro zajištění přijatelné úrovně ochrany utajovaných skutečností, které mají být zpracovávány v systému IT.

"Úředníkem pro bezpečnost informatiky na místní úrovni" (LISO) se rozumí: úředník útvaru Komise, který odpovídá za koordinaci a sledování bezpečnostních opatření v rámci jeho působnosti.

"Bezpečnostním provozním režimem multi-level" se rozumí: provozní režim, ve kterém NEMAJÍ VŠECHNY osoby, jež mají přístup k systému, prověření pro nejvyšší stupeň utajení skutečností zpracovávaných v rámci systému a VŠECHNY osoby s přístupem k systému NEMAJÍ společnou "potřebu vědět" týkající se skutečností zpracovávaných v rámci systému.

Poznámky:

1. Tento provozní režim zároveň dovoluje zpracovávání skutečností s různým stupněm utajení a různých kategorií.

2. Vzhledem k tomu, že všichni uživatelé nejsou prověřeni pro nejvyšší stupeň utajení a nemají společnou "potřebu vědět", musí bezpečnostní technika zajistit výběrový přístup ke skutečnostem v rámci systému a oddělení těchto skutečností.

"Oblastí vzdálených terminálů/pracovních stanic" se rozumí: oblast oddělená od oblasti IT obsahující počítačové vybavení, jeho místní periferie nebo terminály/pracovní stanice a jakékoli s nimi spojené komunikační zařízení.

"Bezpečnostními provozními postupy" se rozumí: postupy, sestavené vlastníkem technického systému a vymezující zásady, které se mají zavést v bezpečnostních věcech, provozních postupy, které mají být dodržovány, a povinnosti pracovníků.

"Bezpečnostním provozním režimem system-high" se rozumí: provozní režim, podle kterého jsou VŠECHNY osoby, jež mají přístup k systému, prověřeny pro nejvyšší stupeň utajení skutečností zpracovávaných v rámci systému, avšak VŠECHNY NEMAJÍ společnou "potřebu vědět" týkající se skutečností zpracovávaných v rámci systému.

Poznámky:

1. Vzhledem k tomu, že dotčené osoby nemají společnou "potřebu vědět", musí bezpečnostní technika zajistit výběrový přístup ke skutečnostem v rámci systému a oddělení těchto skutečností.

2. Ostatní bezpečnostní vlastnosti (např. fyzické, personální a procedurální) musí vyhovovat požadavkům stanoveným pro nejvyšší úroveň utajení a pro všechny kategorie skutečností zpracovávaných v systému.

3. Všechny skutečnosti zpracovávané v systému nebo použitelné pro systém v tomto provozním režimu spolu s vytvořeným výstupem musí být chráněny, dokud není prokázán opak, jako by spadaly do kategorie a měly nejvyšší stupeň utajení, ledaže existuje přijatelná úroveň důvěry k některé ze stávajících funkcí označování.

"Bezpečnostními požadavky vlastními danému systému" (SSRS) se rozumí: úplný a výslovný přehled bezpečnostních zásad, které se musí dodržovat, a podrobných bezpečnostních požadavků, které se musí splnit. Vychází z bezpečnostní politiky Komise a z hodnocení rizika, popřípadě jsou sestaveny na základě parametrů jako jsou provozní prostředí, nejnižší úroveň bezpečnostních prověrek pracovníků, nejvyšší stupeň utajení zpracovávaných informací, bezpečnostní provozní režim nebo požadavky uživatelů. Bezpečnostní požadavky vlastní danému systému tvoří nedílnou součást projektové dokumentace předložené příslušným orgánům ke schválení z technického, rozpočtového a bezpečnostního hlediska. Ve své konečné podobě představuje úplný přehled o tom, co představuje zabezpečení systému.

"Vlastníkem technického systému" (TSO) se rozumí: orgán odpovědný za vytvoření, údržbu, provoz a ukončení provozu systému.

Bezpečnostními opatřeními "TEMPEST" (norma pro přechodné elektromagnetické pulzující záření) se rozumí: bezpečnostní opatření určená pro ochranu zařízení a komunikační infrastruktury před vyzrazením utajovaných skutečností neúmyslným elektromagnetickým vyzařováním a vodivostí.

25.3 Odpovědnost v oblasti bezpečnosti

25.3.1 Obecně

Poradenské úkoly poradní skupiny pro bezpečnostní politiku Komise, vymezené v oddíle 12, zahrnují i otázky INFOSEC. Skupina organizuje svou činnost tak, aby mohla poskytovat odborné rady k výše uvedeným otázkám.

Bezpečnostní kancelář Komise odpovídá za vydávání prováděcích předpisů INFOSEC, které vycházejí z ustanovení této kapitoly.

V případě obtíží spojených s bezpečností (incidenty, narušení atd.) přijme bezpečnostní kancelář Komise neprodleně opatření.

V rámci bezpečnostní kanceláře Komise je zřízeno oddělení bezpečnosti informačních systémů (oddělení INFOSEC).

25.3.2 Orgán pro schvalování z hlediska bezpečnosti (SAA)

Vedoucí bezpečnostní kanceláře Komise je pro Komisi orgánem pro schvalování z hlediska bezpečnosti (SAA). Tento orgán odpovídá za celkovou oblast bezpečnosti a za specializované oblasti bezpečnosti informačních systémů, bezpečnosti komunikací, zabezpečení šifrování a zabezpečení na úseku normy TEMPEST.

Orgán pro schvalování z hlediska bezpečnosti odpovídá za soulad systémů s bezpečnostní politikou Komise. Jedním z jeho úkolů je schvalování systému, který má ve svém operačním prostředí zpracovávat utajované skutečnosti EU s určitým stupněm utajení.

Do pravomoci orgánu pro schvalování z hlediska bezpečnosti Komise spadají všechny systémy provozované v prostorách Komise. Spadají-li jednotlivé složky systému do pravomoci orgánu pro schvalování z hlediska bezpečnosti Komise a ostatních orgánů pro schvalování z hlediska bezpečnosti, určí všechny dotčené strany společný výbor pro schvalování, jeho koordinaci bude zajišťovat orgán pro schvalování z hlediska bezpečnosti.

25.3.3 Orgán pro bezpečnost informačních systémů

Vedoucí bezpečnostní kanceláře Komise je pro Komisi orgánem pro bezpečnost informačních systémů (INFOSEC). Orgán INFOSEC odpovídá za:

- poskytování technického poradenství a technické pomoci orgánu pro schvalování z hlediska bezpečnosti,

- pomoc při vypracování stanovení bezpečnostních požadavků pro daný systém,

- kontrolu stanovení bezpečnostních požadavků pro daný systém, aby byla zajištěna jeho slučitelnosti s těmito bezpečnostními předpisy a s politikou INFOSEC a dokumenty týkajícími se jeho architektury,

- účast v komisích nebo výborech pro schvalování podle potřeby a vydávání doporučení INFOSEC pro orgán pro schvalování z hlediska bezpečnosti týkající se schvalování,

- poskytování podpory školicím a vzdělávacím činnostem INFOSEC,

- poskytování technického poradenství při vyšetřování incidentů souvisejících s INFOSEC,

- vypracování obecných zásad s cílem zajistit, že se bude používat pouze povolený software.

25.3.4 Vlastník technického systému (TSO)

Odpovědnost za zavedení kontrol a fungování speciálních bezpečnostních vlastností systému nese vlastník tohoto systému, vlastník technického systému (TSO). Pro centrálně vlastněné systémy je třeba jmenovat úředníka pro bezpečnost informatiky na úrovni ústředí (CISO). Každý útvar podle potřeby jmenuje úředníka pro bezpečnost informatiky na místní úrovni (LISO). K povinnostem vlastníka technického systému patří sestavení provozních postupů pro zajištění bezpečnosti (SecOP) a jeho odpovědnost trvá po celou dobu životnosti systému od stádia návrhu projektu až po jeho ukončení.

Vlastník technického systému určuje bezpečnostní normy a provozní předpisy, které dodavatel systému musí dodržet.

Vlastník technického systému může ve vhodných případech delegovat část svých povinností na úředníka pro bezpečnost informatiky na místní úrovni (LISO). Jedna osoba může vykonávat různé funkce související se bezpečností informačních systémů (INFOSEC).

25.3.5 Vlastník informací (IO)

Vlastník informací (IO) odpovídá za utajované skutečnosti EU (a další skutečnosti), které se mají zavádět do technických systémů a zde se zpracovávat nebo vytvářet. Určuje požadavky týkající se přístupu k těmto skutečnostem v systémech. Může delegovat svou odpovědnost na správce skutečností nebo správce databáze v rámci své působnosti.

25.3.6 Uživatelé

Všichni uživatelé odpovídají za to, že jejich činnosti nepoškodí bezpečnost systému, který používají.

25.3.7 Školení INFOSEC

Vzdělávání a školení v oblasti bezpečnosti informačních systémů je k dispozici všem pracovníkům, kteří jej potřebují.

25.4 Netechnická bezpečnostní opatření

25.4.1 Bezpečnostní opatření týkající se personálu

Uživatelé systému musí projít bezpečnostní prověrkou odpovídající stupni utajení a obsahu zpracovávaných skutečností v jejich systému a musí mít "potřebu vědět". Přístup k některým zařízením nebo informacím specifickým pro bezpečnost systémů vyžaduje zvláštní povolení udělené podle postupů Komise.

Orgán pro schvalování z hlediska bezpečnosti určí všechny citlivé funkce a vymezí stupeň bezpečnostní prověrky a nezbytného dohledu nad pracovníky, kteří tyto funkce vykonávají.

Systémy jsou specifikovány a navrženy tak, aby usnadňovaly rozdělení úkolů a odpovědnosti mezi pracovníky, aby jedna osoba neznala ani zcela nekontrolovala všechny klíčové body systému.

Oblasti IT a oblasti vzdálených terminálů/pracovních stanic, ve kterých lze měnit bezpečnost systému, nesmějí být obsazeny pouze jedním pověřeným úředníkem nebo ostatním zaměstnancem.

Bezpečnostní nastavení systému mohou měnit pouze společně alespoň dva pověření pracovníci.

25.4.2 Fyzická bezpečnost

Oblasti IT a oblasti vzdálených terminálů/pracovních stanic (jak jsou vymezeny v oddíle 25.2), ve kterých jsou skutečnosti se stupněm utajení EU – DŮVĚRNÉ a vyšším zpracovávány prostředky IT nebo ve kterých je možný přístup k těmto skutečnostem, jsou označeny podle skutečnosti jako bezpečnostní oblasti EU kategorie I nebo kategorie II.

25.4.3 Kontrola přístupu k systému

Všechny informace a materiály, které umožňují kontrolu přístupu k systému, jsou chráněny podle ustanovení pro nejvyšší stupeň utajení a pro kategorii skutečností, ke kterým tento systém může poskytovat přístup.

Informace a materiály umožňující kontrolu přístupu, které již nejsou k tomuto účelu používány, se zničí v souladu s ustanoveními oddílu 25.5.4.

25.5 Technická bezpečnostní opatření

25.5.1 Bezpečnost skutečností

Původce informace má za úkol zjistit všechny dokumenty obsahující skutečnosti a přiřadit jim stupeň utajení, ať se jedná o výstupy v podobě papírové kopie nebo o nosiče dat. Na každé stránce papírové kopie je nahoře a dole vyznačen příslušný stupeň utajení. Výstupy, ať už v podobě papírové kopie nebo nosiče dat, mají stejný stupeň utajení jako je nejvyšší stupeň utajení skutečností použitých při jeho vytváření. Způsob, jakým je systém provozován, může mít rovněž vliv na stupeň utajení výstupů tohoto systému.

Útvary Komise a ti, kteří jsou v něm držiteli skutečností, musí posoudit otázky související se souborem jednotlivých prvků skutečností a závěrů, které mohou vyplynout z navzájem svázaných prvků, aby určili, zda pro takto svázané prvky nevyžadují vyšší stupeň utajení.

Skutečnost, že informace může mít zkrácenou kódovanou podobu, podobu přenosového kódu nebo jakoukoli binární podobu, jim nezajišťuje žádnou bezpečnostní ochranu a neměla by proto ovlivnit jejich stupeň utajení.

Při přenosu skutečností z jednoho systému do druhého musí být během přenosu a v přijímajícím systému chráněny způsobem odpovídajícím původnímu stupni utajení a kategorii skutečností.

Všechny nosiče dat musí být zpracovány v souladu s nejvyšším stupněm utajení uchovávaných skutečností nebo označení nosiče dat a po celou dobu musí být přiměřeně chráněny.

Znovu použitelné nosiče dat použité pro záznam utajovaných skutečností EU mají zachován nejvyšší stupeň utajení přidělovaný datům, pro které byly použity, dokud není stupeň utajení těchto skutečností řádně snížen nebo dokud nejsou odtajněny a nosič s takto změněným stupněm utajení není odtajněn nebo zničen podle postupu, který schválil orgán pro schvalování z hlediska bezpečnosti (viz 25.5.4).

25.5.2 Kontrola a odpovědnost za skutečnosti

Přístup ke skutečnostem se stupněm utajení EU – TAJNÉ a vyšším stupněm se zaznamenává automaticky ("audit trails") nebo ručně do rejstříku. Rejstříky se uchovávají v souladu s těmito bezpečnostními předpisy.

Utajované výstupy uvnitř oblasti IT lze považovat za jeden soubor utajovaných skutečností a nemusí se evidovat, pokud jsou odpovídajícím způsobem identifikovány, označeny příslušným stupněm utajení a kontrolovány.

Jsou-li data vycházející ze systému, který zpracovává utajované skutečnosti EU, přenášena z oblasti IT do vzdáleného terminálu/pracovní stanice, stanoví se postupy schválené orgánem pro schvalování z hlediska bezpečnosti pro kontrolu a protokolování takto rozptýlených dat. Pro skutečnosti se stupněm utajení EU – TAJNÉ a vyšším tyto postupy zahrnují zvláštní pokyny pro odpovědnost za skutečnosti.

25.5.3 Nakládání s odnímatelnými nosiči dat a jejich kontrola

Se všemi odnímatelnými nosiči dat se stupněm utajení EU – DŮVĚRNÉ a vyšším se zachází jako s utajovaným materiálem a vztahují se na ně související obecná pravidla. Příslušná identifikace a vyznačení stupně utajení se přizpůsobí jejich fyzickému vzhledu, aby byla jasně rozpoznatelná.

Uživatelé se musí ujistit, že utajované skutečnosti EU jsou zaznamenány na nosičích dat s vyznačením odpovídajícího stupně utajení a že jim je poskytována náležitá ochrana. Je třeba stanovit postupy, kterými se zajistí, že ukládání skutečností na nosiče dat bude probíhat pro všechny úrovně skutečností EU v souladu s těmito bezpečnostními předpisy.

25.5.4 Odtajnění a zničení nosičů dat

Stupeň utajení nosičů dat používaných pro záznam utajovaných skutečností EU může být snížen nebo nosiče mohou být odtajněny v souladu s postupem, který schválil orgán pro schvalování z hlediska bezpečnosti.

Nosiče dat, na nichž byly uloženy skutečnosti se stupněm utajení EU – PŘÍSNĚ TAJNÉ nebo skutečnosti zvláštní kategorie, nelze odtajnit ani použít znovu.

Nosiče dat, která nelze odtajnit ani použít znovu, se zničí v souladu s výše uvedeným postupem.

25.5.5 Bezpečnost komunikací

Vedoucí bezpečnostní kanceláře Komise působí jako orgán pro šifrování.

Jsou-li utajované skutečnosti EU přenášeny elektromagnetickou cestou, je třeba přijmout zvláštní opatření na ochranu důvěrnosti, celistvosti a dostupnosti přenášených skutečností. Orgán pro schvalování z hlediska bezpečnosti stanoví požadavky, které mají být splněny pro ochranu přenosů před případným odhalením a odposloucháváním. Skutečnosti přenášené prostřednictvím komunikačního systému jsou chráněny na základě požadavků nezbytných pro zajištění jejich důvěrnosti, celistvosti a dostupnosti.

Je-li nezbytné pro ochranu důvěrnosti, celistvosti a dostupnosti skutečností využít šifrovací metody, musí být tyto metody nebo s nimi související produkty zvlášť schválené pro tento účel orgánem pro schvalování z hlediska bezpečnosti z pozice orgánu pro šifrování.

Během přenosu je důvěrnost skutečností se stupněm utajení EU – TAJNÉ a vyšším chráněna šifrovacími metodami nebo produkty schválenými členem Komise odpovědným za bezpečnostní otázky po konzultaci s poradní skupinou pro bezpečnostní politiku Komise. Během přenosů je důvěrnost skutečností se stupněm utajení EU – DŮVĚRNÉ nebo EU – VYHRAZENÉ chráněna šifrovacími metodami nebo produkty schválenými orgánem Komise pověřeným šifrováním po konzultaci s poradní skupinou pro bezpečnostní politiku Komise.

Podrobná pravidla uplatňovaná pro přenosy utajovaných skutečností EU musí být uvedena ve zvláštních bezpečnostních pokynech schválených bezpečnostní kanceláří Komise po konzultaci s poradní skupinou pro bezpečnostní politiku Komise.

Za výjimečných okolností lze skutečnosti se stupněm utajení EU – VYHRAZENÉ, EU – DŮVĚRNÉ a EU – TAJNÉ přenášet jako jasný text za podmínky, že každý z těchto přenosů bude zvlášť výslovně schválen a řádně evidován vlastníkem informací. Jedná se o tyto výjimečné podmínky:

(a) případy hrozící nebo skutečné krize, konfliktu nebo války a

(b) v případě výjimečné naléhavosti a nejsou-li k dispozici šifrovací prostředky, má-li se za to, že přenášené skutečnosti nelze včas využít tak, aby ovlivnily probíhající operace.

Systém musí mít schopnost kategoricky zamítnout přístup k utajovaným skutečnostem EU na jednom nebo na všech vzdálených pracovištích nebo terminálech, a to fyzickým odpojením nebo zvláštními funkcemi softwaru schválenými orgánem pro schvalování z hlediska bezpečnosti.

25.5.6 Bezpečnost instalací a vyzařování

Pravidla pro první instalaci systému a jakoukoli významnou následnou změnu stanoví, že práce musí provádět technici s nezbytnou bezpečnostní prověrkou za stálého dohledu technicky kvalifikovaného personálu, který má prověrku potřebnou pro přístup k utajovaným skutečnostem EU stupně odpovídajícího nejvyššímu stupni utajení skutečností, které má systém ukládat a zpracovávat.

Systémy zpracovávající skutečnosti se stupněm utajení EU – DŮVĚRNÉ a vyšším jsou chráněny tak, aby jejich bezpečnost nemohla být ohrožena vyzrazujícím vyzařováním, jehož studium a prevence se označují jako "TEMPEST".

Protiopatření jsou posuzovány a schvalovány schvalovacím orgánem TEMPEST (viz 25.3.2).

25.6 Bezpečnost během zpracování

25.6.1 Provozní postupy pro zajištění bezpečnosti (SecOP)

Provozní postupy pro zajištění bezpečnosti (SecOP) vymezují zásady k přijetí v oblasti bezpečnosti, provozní postupy, které se mají používat, a odpovědnost personálu. Za vypracování provozních postupů pro zajištění bezpečnosti odpovídá vlastník technického systému (TSO).

25.6.2 Ochrana softwaru a správa konfigurace

Úroveň ochrany aplikačních programů se stanoví na základě zhodnocení bezpečnostního stupně vlastního programu spíše než na základě stupně utajení skutečností, které má zpracovávat. Používané verze softwaru musí být pravidelně ověřovány, aby byla zajištěna jejich celistvost a řádné fungování.

Nové nebo pozměněné verze softwaru budou používány pro zpracování utajovaných skutečností EU, až po ověření vlastníkem technických systémů.

25.6.3 Zjišťování přítomnosti softwaru působícího škodu a počítačových virů

Zjišťování přítomnosti softwaru působícího škodu a počítačových virů se provádějí pravidelně v souladu s požadavky orgánu pro schvalování z hlediska bezpečnosti.

Všechny nosiče dat vstupující do Komise musí být před zavedením do jakéhokoli systému ověřeny, zda neobsahují software působící škodu nebo počítačové viry.

25.6.4 Údržba

Smlouvy a postupy pro pravidelnou a mimořádnou údržbu systémů, pro které bylo vypracováno stanovení bezpečnostních požadavků pro daný systém, upřesní požadavky a opatření použitelné pro personál, který údržbu uskutečňuje, a pro jejich zařízení, pokud musí vstoupit do oblasti IT.

Požadavky a postupy musí být jasně uvedeny ve stanovení bezpečnostních požadavků pro daný systém a v provozních postupech pro zajištění bezpečnosti. Údržba prováděná dodavatelem, která vyžaduje použití diagnostických postupů na dálku, je možná pouze za mimořádných okolností a pod přísnou kontrolou a se souhlasem orgánu pro schvalování z hlediska bezpečnosti.

25.7 Nabývání

25.7.1 Obecně

Bezpečnostní produkty, které mají být použity v nabývaném systému, musí být buď zhodnoceny a osvědčeny podle mezinárodně uznávaných kriterií (např. Společná kritéria pro hodnocení bezpečnosti informačních technologií, viz norma ISO 15408), nebo musí probíhat řízení o jejich hodnocení nebo osvědčení příslušným orgánem pro hodnocení nebo osvědčování jednoho z členských států EU Pro získání souhlasu Poradní komise pro nákupy a veřejné zakázky (ACPC) se vyžadují zvláštní postupy.

Při rozhodování, zda má být zařízení, zejména nosiče dat pro ukládání, spíše pronajato než zakoupeno, je třeba přihlédnout ke skutečnosti, že toto zařízení, je-li jednou použito ke zpracování utajovaných skutečností EU, nesmí již opustit prostory, které mu zajišťují požadovanou ochranu, aniž by nejprve bylo se schválením orgánu pro schvalování z hlediska bezpečnosti odtajněno, a že toto schválení nemusí být vždy možné.

25.7.2 Schvalování

Všechny systémy, ke kterým bylo vypracováno stanovení bezpečnostních požadavků pro daný systém, ještě než začnou zpracovávat utajované skutečnosti EU, musí být schváleny orgánem pro schvalování z hlediska bezpečnosti na základě informací ve stanovení bezpečnostních požadavků pro daný systém, v provozních postupech pro zajištění bezpečnosti a v jakékoli jiné dokumentaci. Podsystémy a vzdálené terminály/pracovní stanice musí být schváleny jako součást systémů, ke kterým jsou připojeny. Pokud určitý systém zajišťuje spojení Komise i jiných organizací, dohodne se Komise a dotčené bezpečnostní orgány na otázce schválení.

Schvalovací řízení může probíhat v souladu se schvalovací strategií přijatou pro určitý systém a vymezenou orgánem pro schvalování z hlediska bezpečnosti.

25.7.3 Hodnocení a udělení osvědčení

Před schvalovacím řízením je v určitých případech třeba hodnotit bezpečnostní vlastnosti hardwaru, firmwaru a softwaru a udělit pro ně osvědčení o schopnosti systému chránit skutečnosti na zamýšleném stupni utajení.

Požadavky na hodnocení a vystavení osvědčení jsou zahrnuty do plánování systému a jsou jasně uvedeny ve stanovení bezpečnostních požadavků vlastních danému systému.

Hodnocení a udělování osvědčení provádí v souladu se schválenými směrnicemi personál s nezbytnou technickou kvalifikací, který prošel příslušnými bezpečnostními prověrkami a jedná na účet vlastníka technických systémů.

Personál může poskytnout pověřený orgán pro hodnocení nebo osvědčování některého členského státu nebo jeho pověření zástupci, například příslušný a prověřený smluvní partner.

Hodnocení a udělování osvědčení lze zjednodušit (například mohou se týkat pouze integrace), jsou-li systémy založeny na produktech počítačové bezpečnosti hodnocených a osvědčených na vnitrostátní úrovni.

25.7.4 Systematické kontroly bezpečnostních vlastností při prodlužování schválení

Vlastník technického systému stanoví systematickou kontrolu, která zaručí, že všechny bezpečnostní vlastnosti systému jsou stále platné.

Stanovení bezpečnostních požadavků vlastních danému systému musí jasně zjistit a vyhlásit druhy změn, které by byly důvodem k novému schvalovacímu řízení nebo které vyžadují předběžný souhlas orgánu pro schvalování z hlediska bezpečnosti. Pro zajištění řádného fungování vlastností bezpečnosti provádí vlastník technického systému ověřování po každé změně, opravě nebo poruše, která by mohla ovlivnit bezpečnostní vlastnosti systému. Prodloužení schválení pro systém obvykle závisí na uspokojivém výsledku těchto kontrol.

Orgán pro schvalování z hlediska bezpečnosti provádí pravidelně inspekce a přezkoušení všech systémů, které mají bezpečnostní vlastnosti. U systémů, které zpracovávají skutečnosti se stupněm utajení EU – PŘÍSNĚ TAJNÉ, se inspekce provádějí alespoň jednou ročně.

25.8 Dočasné nebo příležitostné použití

25.8.1 Bezpečnost mikropočítačů a osobních počítačů

Mikropočítače a osobní počítače (PC) s pevnými disky (nebo jinými stálými nosiči dat) používané samostatně nebo v síti a přenosné přístroje (např. osobní počítače a elektronické notebooky) s pevnými disky se považují za elektronické nosiče dat stejně jako diskety nebo jiné vyměnitelné nosiče dat.

Pro přístup, zpracování, ukládání a přepravu je těmto zařízením poskytována stejná úroveň ochrany jako skutečnostem s nejvyšším stupněm utajení, které jsou na nich uchovávány nebo zpracovávány (dokud jim není snížen stupeň utajení nebo nejsou odtajněny v souladu se schválenými postupy).

25.8.2 Používání soukromého počítačového vybavení IT k oficiální práci Komise

Používání soukromých vyměnitelných nosičů dat, softwaru a hardwaru IT (například osobních počítačů a přenosných elektronických zařízení) s pamětí pro zpracování utajovaných skutečností EU je zakázáno.

Soukromý hardware, software a nosiče dat se nesmějí vnášet do bezpečnostních oblastí kategorie I nebo kategorie II, kde se zpracovávají utajované skutečnosti EU, bez písemného povolení vedoucího bezpečnostní kanceláře Komise. Toto povolení se uděluje pouze z technických důvodů ve výjimečných případech.

25.8.3 Používání počítačového vybavení IT smluvního partnera nebo vybavení dodaného vnitrostátním dodavatelem k oficiální práci Komise

Používání počítačového vybavení a softwaru smluvního partnera pro oficiální práci Komise může povolit vedoucí bezpečnostní kanceláře Komise. Používání počítačového vybavení IT a softwaru poskytnutého vnitrostátním dodavatelem může být rovněž povoleno; v tom případě podléhá IT vybavení inventuře Komise. Má-li být IT vybavení použito ke zpracovávání utajovaných skutečností EU, je nutné v každém případě konzultovat příslušný orgán pro schvalování z hlediska bezpečnosti, aby byly řádně zhodnocena a provedena hlediska INFOSEC, která se vztahují na používání tohoto vybavení.

26. PŘEDÁVÁNÍ UTAJOVANÝCH SKUTEČNOSTÍ EU TŘETÍM STÁTŮM NEBO MEZINÁRODNÍM ORGANIZACÍM

26.1.1 Zásady, kterými se řídí předávání utajovaných skutečností EU

Sbor členů Komise může rozhodnout o tom, že poskytne utajované skutečnosti EU třetím státům nebo mezinárodním organizacím na základě:

- povahy a obsahu těchto skutečností,

- "potřeby vědět" příjemce,

- výhodnosti pro EU.

Vyžaduje se předběžný souhlas původce utajovaných skutečností EU, které mají být předány.

Tato rozhodnutí jsou přijímána případ od případu v závislosti na:

- požadovaném stupni spolupráce se třetími státy nebo mezinárodními organizacemi,

- důvěře, kterou je jim možno věnovat a která vyplývá z úrovně bezpečnosti, jakou mají utajované skutečnosti EU svěřené těmto státům a organizacím, a v závislosti na slučitelnosti bezpečnostních předpisů platných v daném státě nebo organizaci s bezpečnostními předpisy uplatňovanými v EU. Poradní skupina pro bezpečnostní politiku Komise předá Komisi technické stanovisko k tomuto bodu.

Přijetí utajovaných skutečností EU třetími státy nebo mezinárodními organizacemi s sebou nese ujištění, že tyto skutečnosti nebudou použity k jiným účelům, než pro které byly předány nebo vyměněny, a že jim tyto státy a organizace poskytnou ochranu požadovanou Komisí.

26.1.2 Úrovně

Jakmile Komise rozhodne, že lze skutečnosti danému státu nebo mezinárodní organizaci předat nebo s nimi vyměnit, stanoví možnou úroveň spolupráce. Ta bude záviset zejména na bezpečnostní politice a právní úpravě uplatňované daným státem nebo organizací.

Rozlišují se tři úrovně spolupráce:

Úroveň 1

Spolupráce se třetími státy nebo s mezinárodními organizacemi, jejichž bezpečnostní politika a předpisy jsou velmi podobné bezpečnostní politice a předpisům EU.

Úroveň 2

Spolupráce se třetími státy nebo s mezinárodními organizacemi, jejichž bezpečnostní politika a předpisy se od bezpečnostní politiky a předpisů EU výrazně liší.

Úroveň 3

Příležitostná spolupráce se třetími státy nebo s mezinárodními organizacemi, jejichž bezpečnostní politiku a předpisy nelze zhodnotit.

Každá úroveň spolupráce určuje postupy a bezpečnostní ustanovení, které jsou podrobně rozvedeny v dodatcích 3, 4 a 5.

26.1.3 Dohody

Rozhodne-li Komise, že existuje stálá nebo dlouhodobá potřeba výměny utajovaných skutečností mezi EU a třetími státy nebo mezinárodními organizacemi, vypracuje s nimi "dohody o bezpečnostních postupech pro výměnu utajovaných skutečností", které vymezí předmět spolupráce a navzájem uplatňovaná pravidla pro ochranu vyměňovaných skutečností.

V případě příležitostné spolupráce na úrovni 3, která je již ze své definice časově a účelově omezena, lze "dohodu o bezpečnostních postupech pro výměnu utajovaných skutečností" nahradit pouhým memorandem o porozumění, které vymezí povahu utajovaných skutečností, které se mají vyměnit, a vzájemné povinnosti s nimi související, není-li stupeň utajení těchto skutečností vyšší než EU – VYHRAZENÉ.

Návrhy dohod o bezpečnostních postupech nebo memorand o porozumění projedná Poradní skupina pro bezpečnostní politiku Komise a poté je předloží Komisi k rozhodnutí.

Člen Komise odpovědný za bezpečnostní otázky si vyžádá veškerou nezbytnou pomoc od vnitrostátního bezpečnostního orgánu členského státu, aby bylo zajištěno, že jsou předávané skutečnosti použity a chráněny v souladu s dohodami o bezpečnostních postupech nebo o memorandech o porozumění.

[1] Tímto není dotčena Vídeňská úmluva o diplomatických vztazích z roku 1961 a Protokol o výsadách a imunitách Evropských společenství ze dne 8. dubna 1965.

[2] Viz srovnávací tabulku bezpečnostních stupňů EU, NATO, Západoevropské unie (WEU) a členských států, která je uvedena v dodatku 1.

--------------------------------------------------