1.

Tato příloha stanoví prováděcí pravidla k článku 7. Stanoví zejména kritéria určující, zda určitá osoba může s přihlédnutím k její loajalitě, důvěryhodnosti a spolehlivosti získat oprávnění k přístupu k utajovaným informacím EU, a postupy šetření a správní postupy, jež je třeba za tímto účelem dodržovat.

2.

V celé této příloze (kromě případů, kdy je rozlišení důležité) se pojmem „ osvědčením o bezpečnostní prověrce personálu“ rozumí vnitrostátní osvědčení o bezpečnostní prověrce personálu nebo osvědčení o bezpečnostní prověrce personálu EU, jak jsou vymezena v dodatku A.

3.

Určitou osobu lze oprávnit k přístupu k utajovaným informacím se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším pouze v případě, že:

4.

Každý členský stát a generální sekretariát Rady určí ve svých strukturách pracovní místa, která vyžadují přístup k informacím se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším, a tedy i osvědčení o bezpečnostní prověrce personálu pro odpovídající stupeň utajení.

5.

Poté co vnitrostátní bezpečnostní orgány nebo jiné příslušné vnitrostátní orgány obdrží žádost se všemi náležitostmi, odpovídají za zajištění toho, že budou provedena bezpečnostní šetření týkající se státních příslušníků daného členského státu, kteří žádají o přístup k informacím se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším. Pravidla upravující toto šetření musí být v souladu s vnitrostátními právními předpisy.

6.

Pokud má žádající osoba bydliště na území jiného členského státu nebo třetího státu, příslušné vnitrostátní orgány požádají o spolupráci příslušný orgán státu bydliště v souladu s vnitrostátními právními předpisy. Členské státy jsou si při provádění bezpečnostních šetření vzájemně nápomocny v souladu s vnitrostátními právními předpisy.

7.

Pokud to vnitrostátní právní předpisy dovolují, mohou vnitrostátní bezpečnostní orgány nebo jiné příslušné vnitrostátní orgány provádět bezpečnostní šetření týkající se osob, které nejsou státními příslušníky daného členského státu a žádají o přístup k informacím se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším. Pravidla upravující toto šetření musí být v souladu svnitrostátními právními předpisy.

8.

Loajalita, důvěryhodnost a spolehlivost určité osoby pro účely vydání osvědčení o bezpečnostní prověrce personálu pro přístup k informacím se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším se ověřuje prostřednictvím bezpečnostního šetření. Příslušný vnitrostátní orgán provede celkové hodnocení na základě zjištění tohoto bezpečnostního šetření. Žádné jednotlivé negativní zjištění nemusí být nutně důvodem k odmítnutí vydáníosvědčení o bezpečnostní prověrce personálu. Základní kritéria používaná pro tento účel by měla v rozsahu daném vnitrostátními právními předpisy zahrnovat posouzení, zda dotyčná osoba:

9.

Podle okolností a v souladu s vnitrostátními právními předpisy mohou být při bezpečnostním šetření považovány za významné i finanční situace a zdravotní stav dotyčné osoby.

10.

Podle okolností a v souladu s vnitrostátními právními předpisy mohou být při bezpečnostním šetření považovány za významné i povaha, chování a situace manžela nebo manželky, osoby žijící ve společné domácnosti nebo blízkého člena rodiny.

11.

První osvědčení o bezpečnostní prověrce personálu pro přístup k informacím se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL a SECRET UE /EU SECRET vychází z bezpečnostního šetření zahrnujícího období alespoň posledních pěti let, nebo období od dosažení věku 18 let do současnosti, podle toho, které z nich je kratší, a zahrnuje tato opatření:

12.

První osvědčení o bezpečnostní prověrce personálu pro přístup k informacím se stupněm utajení TRÈS SECRET UE / EU TOP SECRET vychází z bezpečnostního šetření zahrnujícího období alespoň posledních deseti let, nebo období od dosažení věku 18 let do současnosti, podle toho, které z nich je kratší. Provádějí-li se pohovory podle písmene e), zahrnuje šetření období alespoň posledních sedmi let, nebo období od dosažení věku 18 let do současnosti, podle toho, které z nich je kratší. Kromě kritérií uvedených v bodě 8 jsou před vydáním bezpečnostní prověrky personálu pro stupeň utajení TRÈS SECRET UE / EU TOP SECRET v rozsahu daném vnitrostátními právními předpisy prošetřovány níže uvedené skutečnosti; mohou být rovněž prošetřovány před vydáním osvědčení o bezpečnostní prověrce personálu pro stupeň utajení CONFIDENTIEL UE / EU CONFIDENTIAL a SECRET UE / EU SECRET, pokud to vnitrostátní právní předpisy vyžadují:

13.

V případě potřeby a v souladu s vnitrostátními právními předpisy může být vedeno doplňující šetření s cílem propracovat veškeré významné informace, jež jsou o dotyčné osobě dostupné, a negativní informace potvrdit, nebo vyvrátit.

14.

Po prvním vydání osvědčení o bezpečnostní prověrce personálu a za předpokladu, že dotyčná osoba vykonávala nepřetržitou službu ve vnitrostátních správních orgánech nebo v generálním sekretariátu Rady a potřebuje i nadále mít přístup k utajovaným informacím EU, se osvědčení o bezpečnostní prověrce personálu přezkoumá za účelem obnovení jeho platnosti v intervalech, které nepřekročí dobu pěti let u osvědčení pro stupeň utajení TRÈS SECRET UE / EU TOP SECRET a dobu deseti let u osvědčení pro stupeň utajení SECRET UE / EU SECRET a CONFIDENTIEL UE / EU CONFIDENTIAL, s účinkem ode dne oznámení výsledku posledního bezpečnostního šetření, které vedlo k jeho vydání. Veškerá bezpečnostní šetření za účelem obnovení platnosti osvědčení obezpečnostní prověrce personálu zahrnují období od předchozího bezpečnostního šetření.

15.

Za účelem obnovení platnosti osvědčení o bezpečnostní prověrce personálu se prošetřují skutečnosti uvedené v bodech 11 a 12.

16.

Žádosti o obnovení platnosti osvědčení o bezpečnostní prověrce personálu je třeba předkládat včas a zohlednit dobu nezbytnou pro bezpečnostní šetření. Pokud však příslušný vnitrostátní bezpečnostní orgán nebo jiný příslušný vnitrostátní orgán obdrží příslušnou žádost o obnovení platnosti osvědčení o bezpečnostní prověrce personálu a odpovídající bezpečnostní dotazník personálu před skončením platnosti stávající bezpečnostní prověrky personálu a nezbytné bezpečnostní šetření zatím nebylo skončeno, může příslušný vnitrostátní orgán, pokud to dovolují vnitrostátní právní předpisy, prodloužit platnost stávajícího osvědčení o bezpečnostní prověrce personálu o období až 12 měsíců. Nedojde-li k dokončení bezpečnostního šetření do konce této dvanáctiměsíční lhůty, přidělí se dotyčné osobě úkoly, které nevyžadují bezpečnostní prověrku personálu.

17.

V případě úředníků a ostatních zaměstnanců generálního sekretariátu Rady předá bezpečnostní orgán generálního sekretariátu Rady vyplněný bezpečnostní dotazník personálu vnitrostátnímu bezpečnostnímu orgánu členského státu, jehož je dotyčná osoba státním příslušníkem, a požádá o provedení bezpečnostního šetření pro stupeň utajení utajovaných informací EU, k nimž bude dotyčná osoba potřebovat přístup.

18.

Pokud generální sekretariát Rady zjistí v souvislosti s osobou, která požádala o vydání osvědčení o bezpečnostní prověrce personálu EU, informace významné pro bezpečnostní šetření, oznámí tuto skutečnost postupem podle příslušných pravidel a předpisů příslušnému vnitrostátnímu bezpečnostnímu orgánu.

19.

Příslušný vnitrostátní bezpečnostní orgán informuje po skončení bezpečnostního šetření bezpečnostní orgán generálního sekretariátu Rady o výsledku šetření standardní formou stanovenou pro korespondenci Bezpečnostním výborem.

20.

Bezpečnostní šetření spolu se získanými výsledky podléhají příslušným právním předpisům platným v daném členském státě, včetně předpisů týkajících se opravných prostředků. Rozhodnutí orgánu generálního sekretariátu Rady oprávněného ke jmenování podléhají opravným prostředkům v souladu se služebním řádem úředníků Evropské unie a pracovním řádem ostatních zaměstnanců Evropské unie stanoveným nařízením (EHS, Euratom, ESUO) č. 259/68 (1) (dále jen „služební a pracovní řád“).

21.

Závěry, z nichž vychází dané osvědčení o bezpečnostní prověrce personálu EU, za předpokladu, že jsou i nadále platné, se vztahují na veškeré úkoly přidělené dotyčné osobě v rámci generálního sekretariátu Rady nebo Evropské komise.

22.

Nenastoupí-li dotyčná osoba do služby do 12 měsíců od oznámení výsledku bezpečnostního šetření orgánu generálního sekretariátu Rady oprávněnému ke jmenování nebo dojde-li k přerušení služby dotyčné osoby v délce 12 měsíců, během nichž není tato osoba zaměstnána v generálním sekretariátu Rady nebo na pracovním místě ve vnitrostátních správních orgánech některého členského státu, oznámí se tato skutečnost příslušnému vnitrostátnímu bezpečnostnímu orgánu za účelem potvrzení, že je i nadále platná a aktuální.

23.

Pokud generální sekretariát Rady zjistí informace týkající se bezpečnostního rizika, jež představuje osoba, která je držitelem platného osvědčení o bezpečnostní prověrce personálu EU, oznámí tuto skutečnost postupem podle příslušných pravidel a předpisů příslušnému vnitrostátnímu bezpečnostnímu orgánu. Pokud vnitrostátní bezpečnostní orgán informuje generální sekretariát Rady o tom, že již nejsou platné závěry podle bodu 19 písm. a) v případě osoby, která je držitelem platného osvědčení o bezpečnostní prověrce personálu EU, může orgán generálního sekretariátu Rady oprávněný ke jmenování požádat vnitrostátní bezpečnostní orgán, aby v souladu s vnitrostátními právními předpisy poskytl veškerá další možná upřesnění. Pokud se negativní skutečnosti potvrdí, zruší se osvědčení o bezpečnostní prověrce personálu EU a dané osobě se zamezí v přístupu k utajovaným informacím EU a daná osoba je odvolána z pracovních míst, u nichž je přístup k utajovaným informacím EU možný nebo v jejichž rámci by mohla ohrožovat bezpečnost.

24.

Jakékoli rozhodnutí o zrušení osvědčení obezpečnostní prověrce personálu EU v případě úředníka nebo jiného zaměstnance generálního sekretariátu Rady a případné příslušné odůvodnění se oznámí dotyčné osobě, která může požádat o slyšení orgán generálního sekretariátu Rady oprávněný ke jmenování. Informace poskytované vnitrostátním bezpečnostním orgánem podléhají příslušným právním předpisům platným v daném členském státě, včetně předpisů týkajících se opravných prostředků. Rozhodnutí orgánu generálního sekretariátu Rady oprávněného ke jmenování podléhají opravným prostředkům v souladu se služebním řádem a pracovním řádem.

25.

Národní odborníci vyslaní ke generálnímu sekretariátu Rady na pracovní místa vyžadující osvědčení o bezpečnostní prověrce personálu EU předloží bezpečnostnímu orgánu generálního sekretariátu Rady před nástupem do služby platné vnitrostátní osvědčení o bezpečnostní prověrce personálu pro přístup k utajovaným informacím EU.

26.

Každý členský stát vede záznamy o vnitrostátních osvědčeních o bezpečnostní prověrce personálu a generální sekretariát Rady vede záznamy o osvědčeních o bezpečnostní prověrce personálu EU, která byla vydána pro přístup k utajovaným informacím EU. Tyto záznamy obsahují informace alespoň o stupni utajení utajovaných informací EU, k nimž může být dotčené osobě umožněn přístup (stupeň utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšší) a o datu vydání a době platnosti osvědčení o bezpečnostní prověrce personálu.

27.

Příslušný bezpečnostní orgán může vydat potvrzení o bezpečnostní prověrce personálu, v němž uvede stupeň utajení utajovaných informací EU, k nimž může mít tato osoba přístup (stupeň utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšší), dobu platnosti příslušného vnitrostátního osvědčení o bezpečnostní prověrce personálu pro přístup k utajovaným informacím EU nebo osvědčení o bezpečnostní prověrce personálu EU a datum, do kdy je platné samotné potvrzení.

28.

Přístup k utajovaným informacím EU v členských státech ze strany osob, které jsou k tomuto přístupu řádně oprávněny z titulu své funkce, se řídí vnitrostátními právními předpisy; tyto osoby je třeba poučit o jejich bezpečnostních povinnostech ohledně ochrany utajovaných informací EU.

29.

Všechny osoby, které jsou držiteli osvědčení o bezpečnostní prověrce personálu, písemně potvrdí, že chápou, jaké mají povinnosti, pokud jde o ochranu utajovaných informací EU, a jsou si vědomy důsledků v případě ohrožení utajovaných informací EU. Daný členský stát a generální sekretariát Rady vedou záznamy o těchto písemných potvrzeních.

30.

Všechny osoby, které jsou oprávněny k přístupu k utajovaným informacím EU nebo po nichž se vyžaduje, aby s nimi nakládaly, jsou nejprve poučeny a poté pravidelně informovány o možném ohrožení bezpečnosti a musí neprodleně informovat příslušné bezpečnostní orgány o jakémkoli pokusu o kontakt nebo o činnosti, které považují za podezřelé nebo neobvyklé.

31.

Všechny osoby, které přestanou vykonávat pracovní povinnosti vyžadující přístup k utajovaným informacím EU, musí být poučeny o své povinnosti utajované informace EU i nadále chránit a případně tuto skutečnost písemně potvrdí.

32.

Pokud to dovolují vnitrostátní právní předpisy, osvědčení o bezpečnostní prověrce personálu vydané příslušným vnitrostátním orgánem členského státu pro přístup k utajovaným informacím daného státu, může dočasně do vydání vnitrostátního osvědčení o bezpečnostní prověrce personálu pro přístup k utajovaným informacím EU umožnit státním úředníkům přístup k utajovaným informacím EU až do rovnocenné úrovně podle srovnávací tabulky uvedené v dodatku B v případech, kdy je dočasný přístup vyžadován v zájmu EU. Vnitrostátní bezpečnostní orgány informují Bezpečnostní výbor, pokud vnitrostátní právní předpisy dočasný přístup k utajovaným informacím EU nedovolují.

33.

Z naléhavých důvodů, pokud to vyžadují služební zájmy a není-li skončeno bezpečnostní šetření v plném rozsahu, může orgán generálního sekretariátu Rady oprávněný ke jmenování, po konzultaci vnitrostátního bezpečnostního orgánu členského státu, jehož je daná osoba státním příslušníkem, a pod podmínkou, že předběžné šetření potvrdí, že nejsou známy žádné negativní skutečnosti, vydat dočasné oprávnění úředníkům a ostatním zaměstnancům generálního sekretariátu Rady k přístupu k utajovaným informacím EU pro konkrétní úkoly. Dočasná oprávnění jsou platná nejdéle po dobu šesti měsíců a neumožňují přístup k informacím se stupněm utajení TRÈS SECRET UE / EU TOP SECRET. Všechny osoby, kterým bylo vydáno dočasné oprávnění, písemně potvrdí, že chápou, jaké mají povinnosti, pokud jde o ochranu utajovaných informací EU, a a jsou si vědomy důsledků v případě ohrožení utajovaných informací EU. Generální sekretariát Rady vede záznamy o těchto písemných potvrzeních.

34.

Má-li být určitá osoba zařazena na pracovní místo, které vyžaduje osvědčení o bezpečnostní prověrce personálu pro přístup k utajovaným informacím o jeden stupeň utajení vyšší, než je stupeň, pro nějž bylo této osobě vydáno současné osvědčení o bezpečnostní prověrce personálu, lze tuto osobu prozatímně zařadit na toto místo za těchto podmínek:

35.

Výše uvedený postup se použije pro jednorázový přístup k utajovaným informacím EU se stupněm utajení o jeden stupeň vyšším, než je stupeň, pro který byla dotyčná osoba bezpečnostně prověřena. Tento postup nelze použít opakovaně.

36.

Za velmi vyjímečných okolností,jako například během plnění úkolů v nepřátelském prostředí nebo v obdobích stoupajícího mezinárodního napětí, kdy to vyžadují mimořádná opatření, zejména pro záchranu životů, mohou členské státy a generální tajemník Rady, je-li to možné, písemně povolit přístup k informacím se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo SECRET UE / EU SECRET osobám, které nejsou držiteli potřebného osvědčení o bezpečnostní prověrce personálu, pokud je takové povolení bezpodmínečně nutné a neexistují důvodné pochybnosti o loajalitě, důvěryhodnosti a spolehlivosti dotyčné osoby. O povolení včetně popisu informací, k nimž byl přístup povolen, musí být veden záznam.

37.

V případě informací se stupněm utajení TRÈS SECRET UE / EU TOP SECRET je přístup v mimořádných situacích omezen na státní příslušníky EU, jimž byl povolen přístup k informacím se stupněm utajení rovnocenným na vnitrostátní úrovni stupni utajení TRÈS SECRET UE / EU TOP SECRET nebo k informacím se stupněm utajení SECRET UE / EU SECRET.

38.

O případech, kdy se použije postup stanovený v bodech 36 a 37, je informován Bezpečnostní výbor.

39.

Pokud vnitrostátní právní předpisy daného členského státu stanoví přísnější pravidla ohledně dočasného oprávnění, prozatímního zařazení, jednorázového přístupu osob k utajovaným informacím nebo přístupu osob k utajovaným informacím v mimořádných situacích, použijí se postupy stanovené v tomto oddílu pouze v mezích stanovených příslušnými vnitrostátními právními předpisy.

40.

Bezpečnostní výbor obdrží výroční zprávu o použití postupů uvedených v tomto oddíle.

41.

Osoby, které se mají účastnit zasedání Rady nebo přípravných orgánů Rady, v nichž se projednávají informace se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL a vyšším, tak mohou činit pouze po potvrzení statusu svého osvědčení o bezpečnostní prověrce personálu, s výhradou bodu 28. Pokud jde o delegáty, příslušné orgány doručí bezpečnostní kanceláři generálního sekretariátu Rady potvrzení o bezpečnostní prověrce personálu nebo jiný doklad o vydání osvědčení o bezpečnostní prověrce personálu nebo jej ve vyjímečných případech předloží dotyčný delegát. Tam kde je to vhodné, lze použít společný jmenný seznam, v němž jsou uvedeny příslušné informace o osvědčeních o bezpečnostní prověrce personálu.

42.

Pokud je z bezpečnostních důvodů zrušeno vnitrostátní osvědčení o bezpečnostní prověrce personálu pro přístup k utajovaným informacím EU v případě osoby, jejíž povinnosti vyžadují účast na zasedáních Rady nebo přípravných orgánů Rady, oznámí to příslušný orgán generálnímu sekretariátu Rady.

43.

Pokud mají být zaměstnány osoby za situace, v níž by mohly mít případně přístup k informacím se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším, musí být náležitě bezpečnostně prověřeny nebo je třeba pro ně zajistit nepřetržitě doprovod.

44.

Kurýři a členové ostrahy a doprovodu musí být náležitě bezpečnostně prověřeni pro odpovídající stupeň utajení nebo musí být jinak vhodně prověřeni v souladu s vnitrostátními právními předpisy, poučeni o bezpečnostních postupech pro ochranu utajovaných informací EU a seznámeni se svými povinnostmi chránit jim svěřené utajované informace EU.

1.

Tato příloha stanoví prováděcí pravidla k článku 8. Stanoví minimální požadavky na fyzickou ochranu areálů, budov, kanceláří, místností a dalších prostor, v nichž se nakládá s utajovanými informacemi EU a v nichž jsou takové informace ukládány, včetně prostor, v nichž jsou umístěny komunikační a informační systémy.

2.

Opatření fyzické bezpečnosti mají předejít neoprávněnému přístupu k utajovaným informacím EU tím, že:

3.

Výběr opatření fyzické bezpečnosti se provede na základě hodnocení rizika ze strany příslušných orgánů. Generální sekretariát Rady a členské státy uplatňují ve svých prostorách proces řízení rizik na ochranu utajovaných informací EU, aby se poskytla přiměřená úroveň fyzické ochrany vůči vyhodnocenému riziku. V procesu řízení rizik se vezmou v úvahu veškeré důležité okolnosti, zejména:

4.

Příslušný bezpečnostní orgán určí v souladu s koncepcí hloubkové ochrany vhodnou kombinaci opatření fyzické bezpečnosti, jež je třeba uplatňovat. Zahrnují jedno nebo více z těchto opatření:

5.

Příslušný orgán může být oprávněn k provádění prohlídek při vstupu a odchodu, které mají odradit od nedovoleného vnášení materiálů nebo neoprávněného vynášení utajovaných informací EU z areálů nebo budov.

6.

Hrozí-li nebezpečí, že by utajované informace EU mohly být, i neúmyslně, odezírány, přijmou se vhodná opatření, kterými se tomuto riziku zamezí.

7.

U nových zařízení se požadavky na fyzickou bezpečnost a jejich funkční specifikace stanoví jako součást plánování a konstrukce zařízení. U stávajících zařízení se požadavky na fyzickou bezpečnost uplatňují v nejvyšší možné míře.

8.

Při pořizování prostředků fyzické ochrany utajovaných informací EU (například bezpečnostních úschovných objektů, skartovacích přístrojů, dveřních zámků, elektronických systémů kontroly vstupu, systémů detekce narušení, poplašných systémů) zajistí příslušný bezpečnostní orgán, aby tyto prostředky splňovaly schválené technické standardy a minimální požadavky.

9.

Technické specifikace prostředků používaných pro fyzickou ochranu utajovaných informací EU se stanoví v bezpečnostních pokynech, které schválí Bezpečnostní výbor.

10.

Kontrola bezpečnostních systémů a údržba prostředků fyzické ochrany se provádí pravidelně. Při údržbě se zohlední výsledek kontrol, aby se i nadále zajistilo optimální fungování těchto prostředků.

11.

Účinnost jednotlivých bezpečnostních opatření a celého bezpečnostního systému se znovu hodnotí při každé kontrole.

12.

Pro fyzickou ochranu utajovaných informací EU se stanoví dva druhy fyzicky chráněných oblastí nebo jejich vnitrostátní ekvivalenty:

V tomto rozhodnutí je třeba všechny odkazy na administrativní oblasti a zabezpečené oblasti včetně technicky zabezpečených oblastí chápat také jako odkazy na jejich vnitrostátní ekvivalenty.

13.

Příslušný bezpečnostní orgán určí, zda daný prostor splňuje požadavky na to, aby mohl být označen jako administrativní oblast, zabezpečená oblast nebo technicky zabezpečená oblast.

14.

U administrativních oblastí:

15.

U zabezpečených oblastí:

16.

Představuje-li vstup do zabezpečené oblasti de facto přímý přístup k utajovaným informacím, které se v nich nacházejí, musí být dále splněny tyto požadavky:

17.

Zabezpečené oblasti chráněné před odposlechem je třeba označit jako technicky zabezpečené oblasti. U těchto oblastí musí být dále splněny tyto požadavky:

18.

Bez ohledu na bod 17 písm. d) předtím, než se komunikační přístroje a elektrická nebo elektronická zařízení jakéhokoli druhu použijí v oblastech, v nichž se konají zasedání nebo v nichž se pracuje s informacemi se stupněm utajení SECRET UE / EU SECRET nebo vyšším, a v případech, kdy je úroveň ohrožení utajovaných informací EU vyhodnocena jako vysoká, musí být veškeré přístroje a zařízení nejdříve prověřeny příslušným bezpečnostním orgánem za tím účelem, aby prostřednictvím těchto zařízení nemohlo dojít k neúmyslnému či nezákonnému přenášení žádných srozumitelných informací mimo danou zabezpečenou oblast.

19.

Zabezpečené oblasti, které nejsou 24 hodin denně obsazeny pracovníky ve službě, jsou podle potřeby kontrolovány na konci běžné pracovní doby a v náhodně zvolených intervalech mimo běžnou pracovní dobu, není-li zaveden systém detekce narušení.

20.

Zabezpečené oblasti a technicky zabezpečené oblasti mohou být zřízeny dočasně v rámci administrativní oblasti pro uspořádání tajného zasedání nebo pro jiný podobný účel.

21.

Pro každou zabezpečenou oblast se vypracují bezpečnostní provozní směrnice, v nichž se stanoví:

22.

Trezorové místnosti se budují uvnitř zabezpečených oblastí. Stěny, podlahy, stropy, okna a uzamykatelné dveře musí být schváleny příslušným bezpečnostním orgánem a musí poskytovat ochranu na úrovni rovnocenné s bezpečnostním úschovným objektem schváleným pro ukládání utajovaných informací EU se stejným stupněm utajení.

23.

S utajovanými informacemi EU se stupněm utajení RESTREINT UE / EU RESTRICTED lze nakládat:

24.

Utajované informace EU se stupněm utajení RESTREINT UE / EU RESTRICTED se ukládají ve vhodném uzamčeném kancelářském nábytku v administrativní oblasti nebo v zabezpečené oblasti. Dočasně mohou být ukládány mimo zabezpečenou oblast či mimo administrativní oblast za předpokladu, že se držitel informací zavázal k dodržování náhradních opatření stanovených bezpečnostními pokyny vydanými příslušným bezpečnostním orgánem.

25.

S utajovanými informacemi EU se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo SECRET UE / EU SECRET lze nakládat:

26.

Utajované informace EU se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL a SECRET EU / EU SECRET se ukládají v zabezpečené oblasti v bezpečnostním úschovném objektu nebo trezorové místnosti.

27.

S utajovanými informacemi EU se stupněm utajení TRÈS SECRET UE / EU TOP SECRET se nakládá v zabezpečené oblasti.

28.

Utajované informace EU se stupněm utajení TRÈS SECRET UE / EU TOP SECRET se ukládají v zabezpečené oblasti při dodržení jedné z těchto podmínek:

29.

Pravidla pro přenos utajovaných informací EU mimo fyzicky chráněné oblasti jsou stanovena v příloze III.

30.

Příslušný bezpečnostní orgán stanoví postupy pro správu klíčů a nastavení kódů pro kanceláře, místnosti, bezpečnostní trezorové místnosti a bezpečnostní úschovné objekty. Tyto postupy zabrání neoprávněnému přístupu.

31.

Nastavení kódů smí znát co nejmenší možný počet osob, které je potřebují znát. Nastavení kódů pro bezpečnostní úschovné objekty a trezorové místnosti, v nichž se ukládají utajované informace EU, je třeba změnit:

1.

Tato příloha stanoví prováděcí pravidla k článku 9. Stanoví administrativní opatření, která slouží ke kontrolování utajovaných informací EU během celého jejich životního cyklu, a napomáhají tak zabránit úmyslnému či neúmyslnému ohrožení či ztrátě informací, zjistit takové ohrožení nebo ztrátu informací a následně zajistit nápravu.

2.

Informace se utajují pouze v případě, že vyžadují ochranu z důvodu jejich důvěrnosti.

3.

Původce utajovaných informací EU odpovídá za stanovení stupně utajení podle příslušných pokynů pro utajení informací a za počáteční distribuci informací.

4.

Stupeň utajení utajovaných informací EU se stanoví v souladu s čl. 2 odst. 2 a na základě bezpečnostní politiky schválené v souladu s čl. 3 odst. 3.

5.

Stupeň utajení musí být jasně a správně označen bez ohledu na to, zda mají utajované informace EU tištěnou, ústní, elektronickou či jinou podobu.

6.

Jednotlivé části daného dokumentu (tj. stránky, odstavce, oddíly, přílohy, dodatky a připojené části dokumentu) mohou vyžadovat různé stupně utajení a musí být podle toho označeny, a to i v případě, že jsou uloženy v elektronické podobě.

7.

Stupeň utajení dokumentu nebo spisu jako celku musí být alespoň stejně vysoký jako u jeho části s nejvyšším stupněm utajení. Jestliže dokument vznikl sloučením informací z různých zdrojů, konečný produkt se přezkoumá za účelem stanovení celkového stupně utajení, neboť může vyžadovat vyšší stupeň utajení než jeho jednotlivé části.

8.

Dokumenty obsahující části s různými stupni utajení musí být v co nejvyšší míře strukturovány tak, aby části s různým stupněm utajení mohly být v případě potřeby snadno rozpoznány a odděleny.

9.

Stupeň utajení dopisu nebo průvodní poznámky k připojeným částem musí být stejně vysoký jako nejvyšší stupeň utajení těchto připojených částí. Původce jasně vyznačí jejich stupeň utajení, pokud budou odděleny od připojených částí, pomocí odpovídajícího označení, například:

CONFIDENTIEL UE/EU CONFIDENTIAL

Bez příloh(y) RESTREINT UE/EU RESTRICTED

10.

Kromě jednoho z označení stupňů utajení uvedených v čl. 2 odst. 2 mohou utajované informace EU nést doplňující označení, například:

11.

Pro označení stupně utajení jednotlivých odstavců určitého textu lze použít standardizované zkratky označení stupňů utajení. Tyto zkratky nenahrazují úplné označení stupňů utajení.

12.

V utajovaných dokumentech EU je možné použít pro označení stupně utajení oddílů nebo částí textu kratších než jedna strana tyto standardní zkratky:

13.

Při vyhotovování utajovaného dokumentu EU:

14.

Nelze-li na utajované informace EU použít bod 13, přijmou se jiná patřičná opatření podle bezpečnostních pokynů, které se vypracují v souladu s čl. 6 odst. 2.

15.

Je-li to možné, a zejména jedná-li se o informace se stupněm utajení RESTREINT UE/EU RESTRICTED, uvede původce v době vytvoření utajovaných informací EU, zda je možné snížit nebo zrušit jejich stupeň utajení k určitému datu nebo po určité události.

16.

Generální sekretariát Rady pravidelně přezkoumává utajované informace EU, které jsou v jeho držení, za účelem zjištění, zda je příslušný stupeň utajení stále odpovídající. Generální sekretariát Rady zavede systém přezkumu stupně utajení evidovaných utajovaných informací EU, jichž je původcem, který je prováděn nejméně jednou za pět let. Tento přezkum není třeba provést v případě, že původce na počátku uvedl, že u daných informací bude automaticky snížen nebo zrušen stupeň utajení a dané informace jsou odpovídajícím způsobem označeny.

17.

Pro každou organizační složku v rámci generálního sekretariátu Rady a správních orgánů členských států, v nichž se nakládá s utajovanými informacemi EU, se určí odpovědný registr s cílem zajistit, aby se s utajovanými informacemi EU nakládalo v souladu s tímto rozhodnutím. Registry se zřizují jako zabezpečené oblasti podle přílohy II.

18.

Pro účely tohoto rozhodnutí se evidencí z bezpečnostních důvodů (dále jen „evidence“) rozumí uplatňování postupů, kterými se zaznamenává životní cyklus daného materiálu, včetně jeho distribuce a zničení.

19.

Veškerý materiál se stupněm utajení CONFIDENTIEL UE/EU CONFIDENTIAL a vyšším nebo s rovnocenným stupněm utajení je třeba evidovat v určených registrech, kdykoli je doručen určité organizační složce nebo kdykoli ji opouští.

20.

Ústřední registr generálního sekretariátu Rady vede záznamy o všech utajovaných informacích předaných Radou a generálním sekretariátem Rady třetím státům a mezinárodním organizacím a všech utajovaných informacích, které od třetích států a mezinárodních organizací obdrží.

21.

V případě komunikačního a informačního systému mohou být evidenční postupy provedeny přímo v rámci systému.

22.

Rada schválí bezpečnostní politiku pro evidenci utajovaných informací EU z bezpečnostních důvodů.

23.

V členských státech a v generálním sekretariátu Rady se určí registr, který je ústředním orgánem pro příjem a odesílání informací se stupněm utajení TRÈS SECRET UE/EU TOP SECRET. V případě potřeby mohou být určeny podřízené registry pro nakládání s těmito informacemi z důvodů evidence.

24.

Podřízené registry nesmějí bez výslovného písemného souhlasu ústředního registru pro dokumenty se stupněm utajení TRÈS SECRET UE/EU TOP SECRET poskytovat dokumenty se stupněm utajení TRÈS SECRET UE/EU TOP SECRET přímo jiným registrům podřízeným stejnému ústřednímu registru ani externím subjektům.

25.

Dokumenty se stupněm utajení TRÈS SECRET UE/EU TOP SECRET se nesmí kopírovat ani překládat bez předchozího písemného souhlasu původce.

26.

Pokud původce dokumentů se stupněm utajení SECRET UE/EU SECRET a nižším nestanovil omezení týkající se jejich kopírování nebo překladu, mohou být tyto dokumenty kopírovány či překládány podle pokynů držitele.

27.

Pro kopie a překlady dokumentů se použijí bezpečnostní opatření použitá pro původní dokument.

28.

Přenos utajovaných informací EU podléhá ochranným opatřením stanoveným v bodech 30 až 40. V případech, kdy jsou utajované informace EU přenášeny na elektronických záznamových médiích, a to bez ohledu na čl. 9 odst. 4 mohou níže uvedená ochranná opatření doplňovat vhodná technická protiopatření podle pokynů stanovených příslušným bezpečnostním orgánem s cílem minimalizovat riziko ztráty nebo ohrožení.

29.

Příslušné bezpečnostní orgány generálního sekretariátu Rady a členských států vydají pokyny týkající se přenosu utajovaných informací EU v souladu s tímto rozhodnutím.

30.

Utajované informace EU přenášené uvnitř budovy nebo uzavřené skupiny budov musí být zakryty, aby se zamezilo odpozorování jejich obsahu.

31.

Informace se stupněm utajení TRÈS SECRET UE/EU TOP SECRET musí být při přenosu uvnitř budovy nebo uzavřené skupiny budov uloženy v zabezpečené obálce označené pouze jménem příjemce.

32.

Utajované informace EU přenášené mezi budovami či areály v rámci EU jsou uloženy v takovém obalu, aby byly chráněny před neoprávněným vyzrazením.

33.

Přenos informací se stupněm utajení nejvýše SECRET UE/EU SECRET v rámci EU se provádí jedním z těchto způsobů:

V případě přenosu z jednoho členského státu do jiného se ustanovení písmene e) budou vztahovat pouze na informace až do stupně utajení CONFIDENTIEL UE/EU CONFIDENTIAL.

34.

Materiál se stupněm utajení CONFIDENTIEL UE/EU CONFIDENTIAL a SECRET UE/EU SECRET (například vybavení nebo technické zařízení), který nemůže být přenášen způsoby uvedenými v bodě 33, přepravují v souladu s přílohou V obchodní přepravci jako náklad.

35.

Přenos informací se stupněm utajení TRÈS SECRET UE/EU TOP SECRET mezi budovami či areály v rámci EU se provádí vojenským, vládním nebo případně diplomatickým kurýrem.

36.

Utajované informace EU přenášené z EU na území třetího státu jsou uloženy v takovém obalu, aby byly chráněny před neoprávněným vyzrazením.

37.

Přenos informací se stupněm utajení CONFIDENTIEL UE/EU CONFIDENTIAL a SECRET UE/EU SECRET z EU na území třetího státu se provádí jedním z těchto způsobů:

38.

Přenos informací se stupněm utajení CONFIDENTIEL UE/EU CONFIDENTIAL a SECRET UE/EU SECRET, které EU předává třetímu státu nebo mezinárodní organizaci, musí splňovat příslušná ustanovení dohody o bezpečnosti informací či správního ujednání v souladu s čl. 12 odst. 2 písm. a) nebo b).

39.

Informace se stupněm utajení RESTREINT UE/EU RESTRICTED lze přenášet také poštovními službami či komerčními kurýrními službami.

40.

Přenos informací se stupněm utajení TRÈS SECRET UE/EU TOP SECRET z EU na území třetího státu se provádí vojenským nebo diplomatickým kurýrem.

41.

Utajované dokumenty EU, které již nejsou potřebné, mohou být zničeny, aniž jsou dotčena příslušná pravidla a předpisy o archivování.

42.

Ničení dokumentů podléhajících evidenci v souladu s čl. 9 odst. 2 provádí odpovědný registr podle pokynů držitele nebo příslušného orgánu. Administrativní pomůcky a jiné informace o evidenci musí být odpovídajícím způsobem aktualizovány.

43.

Ničení dokumentů se stupněm utajení SECRET UE/EU SECRET nebo TRÈS SECRET UE/EU TOP SECRET se provádí za přítomnosti svědka, který je bezpečnostně prověřen alespoň pro stupeň utajení ničeného dokumentu.

44.

Pracovník registru a svědek, pokud je přítomnost svědka vyžadována, podepíší zápis o zničení, který se uloží v registru. V registru jsou ukládány zápisy o zničení dokumentů se stupněm utajení TRÈS SECRET UE/EU TOP SECRET alespoň po dobu deseti let a dokumentů se stupněm utajení CONFIDENTIEL UE/EU CONFIDENTIAL a SECRET UE/EU SECRET alespoň po dobu pěti let.

45.

Ničení utajovaných dokumentů, včetně dokumentů se stupněm utajení RESTREINT UE/EU RESTRICTED, se provádí postupy, které splňují příslušné normy EU či rovnocenné normy nebo které byly schváleny členskými státy v souladu s vnitrostátními technickými normami tak, aby nebylo možné znovu sestavit celý dokument nebo jeho část.

46.

Ničení počítačových paměťových médií používaných pro utajované informace EU se provádí v souladu s bodem 36 přílohy IV.

47.

Pojem „inspekce“ se dále použije k označení jakékoli

která má vyhodnotit účinnost opatření zavedených na ochranu utajovaných informací EU.

48.

Inspekce se mimo jiné provádějí s cílem:

49.

Před koncem každého kalendářního roku přijme Rada program inspekcí na další rok podle čl. 15 odst. 1 písm. c). Konkrétní data jednotlivých inspekcí se určí po dohodě s dotyčnou agenturou nebo institucí EU, členským státem, třetím státem nebo mezinárodní organizací.

50.

Inspekce se provádějí s cílem prověřit příslušná pravidla, předpisy a postupy v kontrolovaném subjektu a ověřit, zda jsou praktické postupy daného subjektu v souladu se základními zásadami a minimálními standardy stanovenými tímto rozhodnutím a předpisy upravujícími výměnu utajovaných informací s daným subjektem.

51.

Inspekce se provádějí ve dvou fázích. Před vlastní inspekcí je v případě potřeby uspořádáno přípravné jednání s příslušným subjektem. Po tomto přípravném jednání stanoví inspekční tým se souhlasem dotyčného subjektu podrobný program inspekce zahrnující všechny oblasti bezpečnosti. Inspekční tým má přístup do jakéhokoli prostoru, v němž se nakládá s utajovanými informacemi EU, zejména do registrů a k přístupovým bodům komunikačních a informačních systémů.

52.

Inspekce ve správních orgánech členských států jsou prováděny pod vedením společného inspekčního týmu generálního sekretariátu Rady a Evropské komise v plné spolupráci s úředníky kontrolovaného subjektu.

53.

Inspekce ve třetích státech a v mezinárodních organizacích jsou prováděny pod vedením společného inspekčního týmu generálního sekretariátu Rady a Evropské komise v plné spolupráci s úředníky kontrolovaného třetího státu nebo mezinárodní organizace.

54.

Inspekce v agenturách a subjektech EU zřízených podle hlavy V kapitoly 2 Smlouvy o EU, jakož i v Europolu a Eurojustu provádí bezpečnostní kancelář generálního sekretariátu Rady za pomoci odborníků z vnitrostátního bezpečnostního orgánu státu, na jehož území se daná agentura či instituce nachází. Zapojeno může být i bezpečnostní ředitelství Evropské komise, pokud si pravidelně vyměňuje utajované informace EU s danou agenturou nebo subjektem.

55.

V případě inspekcí v agenturách a institucích EU zřízených podle hlavy V kapitoly 2 Smlouvy o EU, jakož i v Europolu a Eurojustu a ve třetích státech a mezinárodních organizacích se o pomoc a příspěvky odborníků z vnitrostátního bezpečnostního orgánu žádá v souladu s podrobnými ujednáními, která schválí Bezpečnostní výbor.

56.

Na konci inspekce jsou kontrolovanému subjektu předloženy hlavní závěry a doporučení. Poté je v rámci pravomocí bezpečnostního orgánu generálního sekretariátu Rady (bezpečnostní kanceláře) vypracována inspekční zpráva. Pokud byla navržena nápravná opatření a doporučení, je třeba do zprávy zahrnout dostatečná odůvodnění závěrů inspekce. Inspekční zpráva se předá příslušnému orgánu kontrolovaného subjektu.

57.

U inspekcí prováděných ve správních orgánech členských států:

V rámci pravomocí bezpečnostního orgánu generálního sekretariátu Rady (bezpečnostní kanceláře) se vypracovává pravidelná zpráva, v níž se zdůrazní poznatky získané z inspekcí provedených v členských státech za určité období; tuto zprávu posoudí Bezpečnostní výbor.

58.

U hodnotících návštěv třetích států a mezinárodních organizací je zpráva zaslána Bezpečnostnímu výboru a bezpečnostnímu ředitelství Evropské komise. Zpráva musí být utajena alespoň stupněm utajení RESTREINT UE/EU RESTRICTED. Veškerá nápravná opatření jsou ověřena během následné návštěvy a oznámena Bezpečnostnímu výboru.

59.

U hodnotících návštěv agentur a subjektů EU zřízených podle hlavy V kapitoly 2 Smlouvy o EU, jakož i Europolu a Eurojustu jsou inspekční zprávy zaslány členům Bezpečnostního výboru a bezpečnostnímu ředitelství Evropské komise. Návrh inspekční zprávy je předložen příslušné agentuře nebo subjektu, která ověří, že zpráva je věcně správná a že neobsahuje žádné informace s vyšším stupněm utajení než RESTREINT UE/EU RESTRICTED. Veškerá nápravná opatření jsou ověřena během následné návštěvy a oznámena Bezpečnostnímu výboru.

60.

Bezpečnostní orgán generálního sekretariátu Rady provádí pravidelné inspekce organizačních složek v rámci generálního sekretariátu Rady pro účely stanovené v bodě 48.

61.

Bezpečnostní orgán generálního sekretariátu Rady (bezpečnostní kancelář) vypracuje a aktualizuje kontrolní seznam pro účely inspekcí obsahující položky, které je třeba ověřit během inspekce. Tento seznam se zasílá Bezpečnostnímu výboru.

62.

Informace pro vyplnění kontrolního seznamu lze získat zejména během inspekce od pracovníků odpovědných za řízení bezpečnosti subjektu, v němž je inspekce prováděna. Jakmile je seznam podrobně vyplněn, stanoví se po dohodě s kontrolovaným subjektem stupeň jeho utajení. Seznam není součástí inspekční zprávy.

1.

Tato příloha stanoví prováděcí pravidla k článku 10.

2.

Pro bezpečné a správné fungování komunikačních a informačních systémů jsou zásadní tyto vlastnosti a koncepce zabezpečení informací:

3.

Níže uvedená ustanovení tvoří minimální požadavky na bezpečnost veškerých komunikačních a informačních systémů nakládajících s utajovanými informacemi EU. Podrobné požadavky na provádění těchto ustanovení se stanoví v bezpečnostních politikách a bezpečnostních pokynech pro zabezpečení informací.

4.

Řízení bezpečnostních rizik je nedílnou součástí vytváření, vývoje, provozování a údržby komunikačních a informačních systémů. Řízení rizik (hodnocení, řešení, přijetí a sdělování) probíhá jako cyklický proces a je prováděno společně zástupci vlastníků systémů, projektovými a provozními orgány a orgány pro schvalování bezpečnosti za využití osvědčeného, transparentního a zcela srozumitelného procesu hodnocení rizika. Oblast působnosti komunikačního a informačního systému a jeho aktiv je třeba jasně určit na počátku procesu řízení rizik.

5.

Příslušné orgány přezkoumají možné hrozby pro komunikační a informační systémy a vypracovávají aktualizovaná a přesná hodnocení hrozeb, která odpovídají stávajícímu provoznímu prostředí. Neustále si doplňují znalosti o otázkách zranitelnosti a pravidelně přezkoumávají hodnocení zranitelnosti, aby mohly odpovídajícím způsobem reagovat na měnící se prostředí informačních technologií.

6.

Cílem řešení bezpečnostních rizik je uplatňovat soubor bezpečnostních opatření, jejichž výsledkem je uspokojivá rovnováha mezi požadavky uživatelů, náklady a zbytkovým bezpečnostním rizikem.

7.

Specifické požadavky, rozsah a míra podrobnosti stanovená příslušným orgánem pro bezpečnostní akreditaci k akreditaci komunikačního a informačního systému musí být přiměřená posouzenému riziku při zohlednění všech příslušných faktorů, včetně stupně utajení utajovaných informací EU, s nimiž se v komunikačním a informačním systému nakládá. Akreditace komunikačního a informačního systému zahrnuje formální prohlášení o zbytkovém riziku a přijetí zbytkového rizika ze strany odpovědného orgánu.

8.

Zajištění bezpečnosti zůstává požadavkem po celý životní cyklus daného komunikačního a informačního systému od uvedení do provozu až do ukončení provozu.

9.

Pro každou fázi životního cyklu komunikačního a informačního systému je třeba v oblasti bezpečnosti stanovit úlohu a způsob zapojení každého aktéra spojeného s daným systémem.

10.

Každý komunikační a informační systém, včetně jeho technických i netechnických bezpečnostních opatření, musí být během akreditačního řízení podroben bezpečnostním testům s cílem zajistit odpovídající úroveň zabezpečení a ověřit, zda je řádně zprovozněn, zapojen a konfigurován.

11.

Hodnocení, kontroly a přezkumy bezpečnosti se provádějí pravidelně během provozu a údržby komunikačního a informačního systému a rovněž za vyjímečných okolností.

12.

Bezpečnostní dokumentace pro daný komunikační a informační systém se vyvíjí během jeho celého životního cyklu jakožto nedílná součást procesu řízení změn a konfigurací.

13.

Generální sekretariát Rady a členské státy spolupracují na vývoji osvědčených postupů na ochranu utajovaných informací EU, s nimiž se nakládá v komunikačních a informačních systémech. Pokyny týkající se osvědčených postupů stanoví technická, fyzická, organizační a procedurální bezpečnostní opatření pro komunikační a informační systémy, která se ukázala jako účinná v boji proti určitým hrozbám a zranitelným místům.

14.

Pro ochranu utajovaných informací EU, s nimiž se nakládá v komunikačních a informačních systémech, se využijí získané poznatky subjektů, které působí v oblasti zabezpečení informací v EU i mimo EU.

15.

Šíření a následné uplatňování osvědčených postupů má napomoci dosažení rovnocenné úrovně zabezpečení jednotlivých komunikačních a informačních systémů, které jsou provozovány generálním sekretariátem Rady a členskými státy a v nichž se nakládá s utajovanými informacemi EU.

16.

V zájmu zmírnění rizika pro komunikační a informační systémy se provádí řada technických a netechnických bezpečnostních opatření, která jsou uspořádána jako několik obranných linií. Tyto linie zahrnují:

a)   odstrašování: bezpečnostní opatření, jež mají odradit od jakéhokoli nepřátelského plánování útoku na komunikační a informační systém;

b)   prevence: bezpečnostní opatření, jež mají zabránit útoku na komunikační a informační systém nebo takový útok znemožnit;

c)   odhalování: bezpečnostní opatření, jež mají odhalit uskutečnění útoku na komunikační a informační systém;

d)   odolnost: bezpečnostní opatření, která mají omezit dopad útoku na co nejmenší soubor informací nebo aktiv komunikačního a informačního systému a předcházet další škodě, a

e)   náprava: bezpečnostní opatření, jež mají vést k obnovení bezpečného stavu systému.

Míra přísnosti bezpečnostních opatření se stanoví na základě hodnocení rizik.

17.

Příslušné orgány zajistí, aby byly schopny reagovat na mimořádné události, které mohou přesahovat organizační a státní hranice, s cílem koordinovat reakce a sdílet informace o těchto mimořádných událostech a souvisejícím riziku (schopnost reakce na počítačové hrozby).

18.

Aby se předešlo zbytečnému riziku, budou prováděny nebo provozovány pouze funkce, zařízení a služby, které jsou nezbytné pro splnění provozních požadavků.

19.

Aby se omezila jakákoli škoda způsobená v důsledku nepředvídaných událostí, chyb nebo neoprávněného používání zdrojů komunikačních a informačních systémů, mají mít uživatelé systémů a automatizované procesy přístup, práva nebo oprávnění pouze v rozsahu nezbytném k plnění svých úkolů.

20.

Je-li v komunikačním a informačním systému vyžadováno provádění evidenčních procedur, musí být tyto procedury ověřeny v akreditačním řízení.

21.

Povědomí o rizicích a dostupných bezpečnostních opatřeních je první obrannou linií zajišťující bezpečnost komunikačních a informačních systémů. Zejména všichni členové personálu zasahující do životního cyklu komunikačního a informačního systému, včetně uživatelů, si musí být vědomi:

22.

Aby se zajistilo pochopení povinností souvisejících s bezpečností, je pro veškerý dotčený personál, včetně vedoucích pracovníků a uživatelů komunikačních a informačních systémů povinné vzdělávání v oblasti zabezpečení informací a školení zaměřené na zvyšování povědomí o zabezpečení informací.

23.

Požadovaná míra důvěry v bezpečnostní opatření, vymezená jako úroveň zabezpečení, se stanoví na základě výsledku procesu řízení rizik a v souladu s příslušnými bezpečnostními politikami a bezpečnostními pokyny.

24.

Úroveň zabezpečení se ověří pomocí mezinárodně uznávaných nebo na vnitrostátní úrovni schválených postupů a metod. To zahrnuje zejména hodnocení, kontroly a audity.

25.

Kryptografické prostředky na ochranu utajovaných informací EU hodnotí a schvaluje vnitrostátní schvalovací orgán členského státu pro kryptografickou ochranu.

26.

Předtím než jsou kryptografické prostředky doporučeny ke schválení Radou nebo generálním tajemníkem Rady v souladu s čl. 10 odst. 6, musí být úspěšné vyhodnoceny druhou stranou, jíž je orgán s odpovídající kvalifikací členského státu, který se nepodílí na vývoji ani výrobě zařízení. Rozsah informací vyžadovaný během hodnocení druhou stranou závisí na předpokládaném nejvyšším stupni utajení utajovaných informací EU, které mají být danými prostředky chráněny. Rada schválí bezpečnostní politiku pro hodnocení a schvalování kryptografických prostředků.

27.

Opravňují-li k tomu zvláštní provozní důvody, může Rada nebo případně generální tajemník Rady na doporučení Bezpečnostního výboru od požadavků podle odstavce 25 nebo 26 upustit a postupem podle čl. 10 odst. 6 udělit dočasné schválení na konkrétní období.

28.

Orgánem s odpovídající kvalifikací je schvalovací orgán členského státu pro kryptografickou ochranu, který byl akreditován na základě kritérií stanovených Radou k provádění druhého hodnocení kryptografických prostředků na ochranu utajovaných informací EU.

29.

Rada schválí bezpečnostní politiku pro způsobilost a schvalování nekryptografických bezpečnostních prostředků informačních technologií.

30.

Bez ohledu na ustanovení tohoto rozhodnutí, je-li přenos utajovaných informací EU omezen na zabezpečené oblasti, může být na základě výsledku procesu řízení rizik a se souhlasem orgánu pro bezpečnostní akreditaci použit přenos nešifrovaný nebo šifrovaný na nižší úrovni.

31.

Pro účely tohoto rozhodnutí se propojením rozumí přímé spojení dvou nebo více informačních systémů za účelem jednosměrného či vícesměrného sdílení údajů a dalších informačních zdrojů (například komunikace).

32.

Komunikační a informační systém považuje každý propojený informační systém za nedůvěryhodný a uplatní ochranná opatření pro kontrolu výměny utajovaných informací.

33.

U všech propojení komunikačních a informačních systémů s jiným systémem informačních technologií je třeba splnit tyto základní požadavky:

34.

Certifikovaný komunikační a informační systém nesmí být propojen s nechráněnou nebo veřejnou sítí, s výjimkou případů, kdy má komunikační a informační systém schválené funkce BPS instalované pro tento účel mezi daným systémem a nechráněnou či veřejnou sítí. Bezpečnostní opatření pro taková propojení přezkoumá příslušný orgán pro zabezpečení informací a schválí je příslušný orgán pro bezpečnostní akreditaci.

Pokud je nechráněná nebo veřejná síť využívána výhradně k přenosu dat a informace jsou zašifrovány pomocí kryptografického prostředku schváleného v souladu s článkem 10, nepovažuje se takové spojení za propojení.

35.

Komunikační a informační systém certifikovaný pro nakládání s informacemi se stupněm utajení TRÈS SECRET UE/EU TOP SECRET nesmí být přímo ani kaskádou propojen s nechráněnou nebo veřejnou sítí.

36.

Počítačová paměťová média se ničí postupy schválenými příslušným bezpečnostním orgánem.

37.

Počítačová paměťová média se znovu použijí nebo se u nich sníží či zruší stupeň utajení v souladu s bezpečnostní politikou, která bude vypracována podle čl. 6 odst. 1.

38.

Bez ohledu na ustanovení tohoto rozhodnutí mohou být za mimořádných okolností, například během hrozící nebo probíhající krize, konfliktu, války nebo za vyjímečných provozních okolností, použity níže popsané zvláštní postupy.

39.

Utajované informace EU mohou být přenášeny za použití kryptografických prostředků schválených pro nižší stupeň utajení nebo v nešifrované podobě se souhlasem příslušného orgánu, pokud by jakékoli zpoždění způsobilo škodu nepochybně převyšující škodu způsobenou případným vyzrazením utajovaných materiálů a pokud:

40.

Za okolností uvedených v bodě 38 nenesou přenášené utajované informace žádná označení ani údaje, které by je odlišovaly od informací, které nejsou utajované nebo mohou být chráněny dostupným kryptografickým prostředkem. Příjemce informací je třeba neprodleně uvědomit o stupni utajení jiným způsobem.

41.

Pokud se použije postup podle bodu 38, podá se následně zpráva příslušnému orgánu a Bezpečnostnímu výboru.

42.

V členských státech a v rámci generálního sekretariátu Rady je třeba zajistit výkon níže uvedených funkcí v oblasti zabezpečení informací. Tyto funkce nevyžadují zřízení samostatných organizačních složek. Jsou plněny v rámci oddělených mandátů. Tyto funkce a související povinnosti mohou být ovšem kombinovány nebo spojeny ve stejné organizační složce nebo rozděleny do různých organizačních složek za podmínky, že se zamezí vnitřním střetům zájmů nebo úkolů.

43.

Orgán pro zabezpečení informací je povinen:

44.

Orgán TEMPEST je povinen zajistit, aby komunikační a informační systémy byly v souladu s politikami a pokyny TEMPEST. Schvaluje protiopatření TEMPEST pro zařízení a prostředky na ochranu utajovaných informací EU do určitého stupně utajení v jeho provozním prostředí.

45.

Schvalovací orgán pro kryptografickou ochranu je povinen zajistit, aby kryptografické prostředky byly v souladu s vnitrostátní politikou v oblasti kryptografické ochrany nebo s politikou Rady v této oblasti. Schvaluje konkrétní kryptografický prostředek na ochranu utajovaných informací EU do určitého stupně utajení v jeho provozním prostředí. Pokud jde o členské státy, odpovídá schvalovací orgán pro kryptografickou ochranu rovněž za hodnocení kryptografických prostředků.

46.

Orgán pro distribuci kryptografických materiálů je povinen:

47.

Orgán pro bezpečnostní akreditaci je povinen:

48.

Orgán pro bezpečnostní akreditaci generálního sekretariátu Rady odpovídá za akreditaci všech komunikačních a informačních systémů provozovaných v rámci generálního sekretariátu Rady.

49.

Příslušný orgán pro bezpečnostní akreditaci členského státu odpovídá za akreditaci komunikačních a informačních systémů a jejich komponent provozovaných v daném členském státě.

50.

Společná komise pro bezpečnostní akreditaci odpovídá za akreditaci komunikačních a informačních systémů v pravomoci orgánu pro bezpečnostní akreditaci generálního sekretariátu Rady i orgánů pro bezpečnostní akreditaci členských států. Každý členský stát je v této komisi zastoupen jedním zástupcem vnitrostátního orgánu pro bezpečnostní akreditaci a jejích zasedání se účastní zástupce orgánu Komise pro bezpečnostní akreditaci. K účasti jsou přizvány také jiné subjekty s uzlovými body připojení k určitému komunikačnímu a informačnímu systému, který je předmětem jednání.

Komisi pro bezpečnostní akreditaci předsedá zástupce orgánu pro bezpečnostní akreditaci generálního sekretariátu Rady. Komise pro bezpečnostní akreditaci jedná na základě shody zástupců orgánů pro bezpečnostní akreditaci orgánů, členských států a jiných subjektů s uzlovými body připojení k danému komunikačnímu a informačnímu systému. Komise pro bezpečnostní akreditaci předkládá pravidelné zprávy o své činnosti Bezpečnostnímu výboru a oznamuje mu veškerá rozhodnutí o akreditaci.

51.

Provozní orgán pro zabezpečení informací každého systému je povinen:

1.

Tato příloha stanoví prováděcí pravidla k článku 11. Stanoví obecná bezpečnostní pravidla použitelná pro průmyslové nebo jiné subjekty pro jednání před uzavřením utajovaných smluv a během celého životního cyklu utajovaných smluv uzavíraných generálním sekretariátem Rady.

2.

Rada schválí politiku v oblasti průmyslové bezpečnosti, v níž stanoví zejména podrobné požadavky, pokud jde o osvědčení o bezpečnostní prověrce zařízení, seznamy bezpečnostních požadavků, návštěvy, přenos a přenášení utajovaných informací EU.

3.

Před zahájením nabídkového řízení na uzavření utajované smlouvy nebo před uzavřením takové smlouvy určí generální sekretariát Rady jakožto zadavatel stupeň utajení veškerých informací, které mají být poskytnuty uchazečům a dodavatelům, a rovněž stupeň utajení veškerých informací, které vytvoří dodavatel. Generální sekretariát Rady k tomuto účelu připraví příručku pro stanovování stupňů utajení, která bude použita pro plnění smlouvy.

4.

Pro stanovení stupně utajení jednotlivých částí utajované smlouvy se použijí tyto zásady:

5.

Bezpečnostní požadavky pro konkrétní smlouvu jsou popsány v seznamu bezpečnostních požadavků. Seznam bezpečnostních požadavků případně zahrnuje příručku pro stanovování stupňů utajení a je nedílnou částí utajované smlouvy nebo utajované subdodavatelské smlouvy.

6.

Seznam bezpečnostních požadavků obsahuje ustanovení, podle nichž musí dodavatel nebo subdodavatel dodržovat minimální standardy stanovené tímto rozhodnutím. Nedodržení těchto minimálních standardů může být dostatečným důvodem k vypovězení smlouvy.

7.

V závislosti na rozsahu programů nebo projektů, které zahrnují přístup k utajovaným informacím EU nebo nakládání s nimi či jejich ukládání, může orgán zadávající zakázku a pověřený řízením programu nebo projektu připravit zvláštní bezpečnostní pokyny k programu/projektu. Tyto pokyny vyžadují schválení ze strany vnitrostátních bezpečnostních orgánů/určených bezpečnostních orgánů členských států nebo kteréhokoli jiného příslušného bezpečnostního orgánu, který se účastní daného programu/projektu, a mohou obsahovat další bezpečnostní požadavky.

8.

Osvědčení o bezpečnostní prověrce zařízení vydává vnitrostátní bezpečnostní orgán nebo určený bezpečnostní orgán nebo jakýkoli jiný příslušný bezpečnostní orgán členského státu v souladu s vnitrostátními právními předpisy jako potvrzení o tom, že průmyslový nebo jiný subjekt může ve svých prostorách zajistit ochranu utajovaných informací EU na odpovídajícím stupni utajení (CONFIDENTIEL UE/EU CONFIDENTIAL nebo SECRET UE/EU SECRET). Je třeba ji předložit generálnímu sekretariátu Rady jakožto zadavateli předtím, než mohou být dodavateli či subdodavateli nebo možnému dodavateli či subdodavateli poskytnuty utajované informace EU nebo než mu je k utajovaným informacím EU umožněn přístup.

9.

Před vydáním osvědčení o bezpečnostní prověrce zařízení vnitrostátní bezpečnostní orgán nebo určený bezpečnostní orgán alespoň:

10.

Generální sekretariát Rady jakožto zadavatel oznámí, pokud to bude nutné, příslušnému vnitrostátnímu bezpečnostnímu orgánu/určenému bezpečnostnímu orgánu nebo kterémukoli jinému příslušnému bezpečnostnímu orgánu, že v předsmluvní fázi nebo při plnění smlouvy bude vyžadováno osvědčení o bezpečnostní prověrce zařízení. V případě, že je během nabídkového řízení třeba poskytovat utajované informace EU se stupněm utajení CONFIDENTIEL UE/EU CONFIDENTIAL nebo SECRET UE/EU SECRET, je v předsmluvní fázi vyžadováno osvědčení o bezpečnostní prověrce zařízení nebo osvědčení o bezpečnostní prověrce personálu.

11.

Zadavatel neuzavře utajovanou smlouvu s upřednostňovaným uchazečem, dokud neobdrží od vnitrostátního bezpečnostního orgánu/určeného bezpečnostního orgánu nebo kteréhokoli jiného příslušného bezpečnostního orgánu členského státu, v němž je dotyčný dodavatel nebo subdodavatel registrován, potvrzení o tom, že bylo v případě, kdy je to vyžadováno, vydáno příslušné osvědčení o bezpečnostní prověrce zařízení.

12.

Vnitrostátní bezpečnostní orgán/určený bezpečnostní orgán nebo kterýkoli jiný příslušný bezpečnostní orgán, který vydal osvědčení o bezpečnostní prověrce zařízení, oznamuje generálnímu sekretariátu Rady jakožto zadavateli změny týkající se osvědčení o bezpečnostní prověrce zařízení. V případě subdodavatelské smlouvy je odpovídajícím způsobem informován vnitrostátní bezpečnostní orgán/určený bezpečnostní orgán nebo kterýkoli jiný příslušný bezpečnostní orgán.

13.

Zrušení osvědčení o bezpečnostní prověrce zařízení příslušným vnitrostátním bezpečnostním orgánem/určeným bezpečnostním orgánem nebo kterýmkoli jiným příslušným bezpečnostním orgánem je dostatečným důvodem k tomu, aby generální sekretariát Rady jakožto zadavatel vypověděl utajovanou smlouvu nebo aby vyloučil určitého uchazeče z nabídkového řízení.

14.

Pokud jsou utajované informace EU poskytovány uchazeči v předsmluvní fázi, musí výzva k předkládání nabídek obsahovat ustanovení o tom, že uchazeč, který nepředloží nabídku nebo jehož nabídka není vybrána, je povinen vrátit ve stanovené lhůtě všechny utajované dokumenty.

15.

Jakmile je zadána zakázka na základě utajované smlouvy nebo utajované subdodavatelské smlouvy, generální sekretariát Rady jakožto zadavatel informuje vnitrostátní bezpečnostní orgán/určený bezpečnostní orgán příslušný pro daného dodavatele nebo subdodavatele nebo jakýkoli jiný příslušný bezpečnostní orgán o bezpečnostních ustanoveních utajované smlouvy.

16.

V případě ukončení platnosti těchto smluv generální sekretariát Rady jakožto zadavatel (nebo v případě subdodavatelské smlouvy případně vnitrostátní bezpečnostní orgán/určený bezpečnostní orgán nebo kterýkoli jiný příslušný bezpečnostní orgán) uvědomí neprodleně vnitrostátní bezpečnostní orgán/určený bezpečnostní orgán nebo kterýkoli jiný příslušný bezpečnostní orgán členského státu, v němž je dodavatel nebo subdodavatel registrován.

17.

Obecně platí, že při ukončení utajované smlouvy nebo utajované subdodavatelské smlouvy musí dodavatel nebo subdodavatel vrátit zadavateli veškeré utajované informace EU v jeho držení.

18.

Zvláštní ustanovení týkající se nakládání s utajovanými informacemi EU během plnění smlouvy nebo při jejím ukončení se stanoví v seznamu bezpečnostních požadavků.

19.

Pokud je dodavatel nebo subdodavatel oprávněn ponechat si utajované informace EU po ukončení smlouvy, dodavatel nebo subdodavatel nadále dodržuje minimální standardy obsažené v tomto rozhodnutí a chrání důvěrnost utajovaných informací EU.

20.

Podmínky, za nichž může dodavatel uzavřít subdodavatelskou smlouvu, jsou stanoveny ve výzvě k předkládání nabídek a ve smlouvě.

21.

Předtím než dodavatel zadá jakékoli části utajované smlouvy subdodavateli, musí získat povolení od generálního sekretariátu Rady jakožto zadavatele. Žádná subdodavatelská smlouva nesmí být uzavřena s průmyslovými nebo jinými subjekty registrovanými ve státě, který není členským státem EU a který s EU neuzavřel smlouvu o bezpečnosti informací.

22.

Dodavatel je povinen zajistit, aby veškeré subdodavatelské činnosti byly prováděny v souladu s minimálními standardy stanovenými tímto rozhodnutím, a nesmí subdodavateli poskytovat utajované informace EU bez předchozího písemného souhlasu zadavatele.

23.

Pokud jde o utajované informace EU, které vytvořil nebo s nimiž nakládá dodavatel nebo subdodavatel, pak práva náležející původci vykonává zadavatel.

24.

Pokud generální sekretariát Rady, dodavatelé či subdodavatelé potřebují pro plnění utajované smlouvy přístup k informacím se stupněm utajení CONFIDENTIEL UE/EU CONFIDENTIAL nebo SECRET UE/EU SECRET v prostorách druhé strany, sjednají se návštěvy ve spolupráci s příslušnými vnitrostátními bezpečnostními orgány/určenými bezpečnostními orgány nebo s kterýmkoli jiným příslušným bezpečnostním orgánem. Vnitrostátní bezpečnostní orgány/určené bezpečnostní orgány se však mohou v rámci konkrétních projektů dohodnout na postupu, kterým se mohou návštěvy sjednávat přímo.

25.

Všechny navštěvující osoby musí být držiteli odpovídajícího osvědčení o bezpečnostní prověrce personálu a musí mít potřebu znát utajované informace EU související se smlouvou uzavřenou generálním sekretariátem Rady.

26.

Navštěvujícím osobám je umožněn přístup pouze k utajovaným informacím EU souvisejícím s účelem návštěvy.

27.

Pokud jde o elektronický přenos utajovaných informací EU, použijí se příslušná ustanovení článku 10 a přílohy IV.

28.

Pokud jde o přenos utajovaných informací EU, použijí se příslušná ustanovení přílohy III v souladu s vnitrostátními právními předpisy.

29.

V případě přepravy utajovaných materiálů jako nákladu se při stanovení bezpečnostních opatření uplatní tyto zásady:

30.

Utajované informace EU jsou dodavatelům a subdodavatelům se sídlem v třetích státech poskytovány v souladu s bezpečnostními opatřeními dohodnutými mezi generálním sekretariátem Rady jakožto zadavatelem a vnitrostátním bezpečnostním orgánem/určeným bezpečnostním orgánem dotyčného třetího státu, v němž je dodavatel registrován.

31.

Generální sekretariát Rady jakožto zadavatel je oprávněn případně ve spojení s vnitrostátním bezpečnostním orgánem/určeným bezpečnostním orgánem dotčeného členského státu vykonávat na základě smluvních ustanovení návštěvy v zařízeních dodavatelů/subdodavatelů s cílem ověřit, že byla zavedena příslušná bezpečnostní opatření na ochranu utajovaných informací EU se stupněm utajení RESTREINT UE/EU RESTRICTED podle požadavků smlouvy.

32.

Generální sekretariát Rady jakožto zadavatel informuje vnitrostátní bezpečnostní orgány/určené bezpečnostní orgány nebo kterýkoli jiný bezpečnostní orgán v rozsahu nezbytném podle vnitrostátních právních předpisů o smlouvách či subdodavatelských smlouváchobsahujících informace se stupněm utajení RESTREINT UE/EU RESTRICTED.

33.

U smluv zadaných generálním sekretariátem Rady a obsahujících informace se stupněm utajení RESTREINT UE/EU RESTRICTED se pro dodavatele nebo subdodavatele a jejich pracovníky nevyžaduje osvědčení o bezpečnostní prověrce zařízení ani osvědčení o bezpečnostní prověrce personálu.

34.

Generální sekretariát Rady jakožto zadavatel posoudí odpovědi na výzvy k předkládání nabídek v souvislosti se zakázkami, které vyžadují přístup k informacím se stupněm utajení RESTREINT UE/EU RESTRICTED, bez ohledu na požadavky týkající se osvědčení o bezpečnostní prověrce zařízení nebo osvědčení o bezpečnostní prověrce personálu, které mohou být stanoveny vnitrostátními právními předpisy.

35.

Podmínky, za nichž může dodavatel uzavřít subdodavatelskou smlouvu, se stanoví v souladu s bodem 21.

36.

Pokud smlouva zahrnuje nakládání s informacemi se stupněm utajení RESTREINT UE/EU RESTRICTED v komunikačním a informačním systému provozovaném dodavatelem, generální sekretariát Rady jakožto zadavatel zajistí, aby ve smlouvě nebo subdodavatelské smlouvě byly uvedeny nezbytné technické a správní požadavky týkající se akreditace komunikačního a informačního systému, které budou přiměřené posouzenému riziku a zohlední všechny příslušné faktory. Zadavatel a příslušný vnitrostátní bezpečnostní orgán/určený bezpečnostní orgán se dohodnou na rozsahu akreditace takového komunikačního a informačního systému.

1.

Tato příloha stanoví prováděcí pravidla k článku 12.

2.

Pokud Rada rozhodne, že existuje dlouhodobá potřeba výměny utajovaných informací,

v souladu s čl. 12 odst. 2 a s oddíly III a IV a na základě doporučení Bezpečnostního výboru.

3.

Pokud mají být utajované informace EU, které byly vytvořeny pro účely operace SBOP, poskytnuty třetím státům nebo mezinárodním organizacím účastnícím se dané operace a neexistuje-li žádný z rámců uvedených v bodě 2, v souladu s oddílem V bude výměna utajovaných informací EU s přispívajícím třetím státem nebo mezinárodní organizací upravena:

4.

Neexistuje-li rámec podle bodů 2 a 3 a rozhodne-li se o vyjímečném ad hoc poskytnutí utajovaných informací EU třetímu státu nebo mezinárodní organizaci v souladu s oddílem VI, vyžádá se od daného třetího státu nebo mezinárodní organizace písemné prohlášení o zárukách s cílem zajistit, že budou poskytnuté utajované informace EU chránit v souladu se základními zásadami a minimálními standardy stanovenými tímto rozhodnutím.

5.

Dohody o bezpečnosti informací stanoví základní zásady a minimální standardy upravující výměnu utajovaných informací mezi EU a třetím státem nebo mezinárodní organizací.

6.

Dohody o bezpečnosti informací stanoví, že bezpečnostní kancelář generálního sekretariátu Rady, bezpečnostní ředitelství Evropské komise a příslušný bezpečnostní orgán dotyčného třetího státu nebo mezinárodní organizace se dohodnou na technických prováděcích pravidlech. Tato pravidla zohlední úroveň ochrany zajišťovanou platnými bezpečnostními předpisy, strukturami a postupy v dotyčném třetím státě nebo mezinárodní organizaci. Schválí je Bezpečnostní výbor.

7.

Utajované informace EU nesmí být vyměňovány elektronickými prostředky, pokud tak výslovně není stanoveno v dohodě o bezpečnosti informací nebo v technických prováděcích pravidlech.

8.

Dohody o bezpečnosti informací stanoví, že před zahájením výměny utajovaných informací v rámci dotyčné dohody se bezpečnostní kancelář generálního sekretariátu Rady a bezpečnostní ředitelství Evropské komise musí shodnout na tom, že přijímající strana je schopna jí poskytované informace řádným způsobem chránit a zabezpečit.

9.

Pokud Rada uzavře dohodu o bezpečnosti informací, každá strana zřídí registr, který je při výměně utajovaných informací hlavním přijímacím a odbavovacím místem.

10.

Za účelem posouzení účinnosti bezpečnostních předpisů, struktur a postupů v dotyčném třetím státě nebo mezinárodní organizaci vykonává bezpečnostní kancelář generálního sekretariátu Rady spolu s bezpečnostním ředitelstvím Evropské komise na základě vzájemné dohody s dotyčným třetím státem nebo mezinárodní organizací hodnotící návštěvy. Hodnotící návštěvy jsou vykonávány v souladu s příslušnými ustanoveními přílohy III a v jejich průběhu se hodnotí:

11.

Tým vykonávající hodnotící návštěvu jménem EU posoudí, zda jsou bezpečnostní předpisy a postupy v dotyčném třetím státě nebo mezinárodní organizaci přiměřené pro zajištění ochrany utajovaných informací EU na příslušné úrovni.

12.

Závěry těchto návštěv se uvedou ve zprávě, na jejímž základě stanoví Bezpečnostní výbor nejvyšší stupeň utajovaných informací EU, které mohou být v tištěné podobě nebo případně elektronicky vyměňovány s dotyčnou třetí stranou, a jakékoli zvláštní podmínky upravující výměnu informací s dotyčnou stranou.

13.

Předtím než Bezpečnostní výbor schválí prováděcí pravidla, učiní se vše pro vykonání hodnotící návštěvy dotyčného třetího státu nebo mezinárodní organizace za účelem podrobného vyhodnocení bezpečnosti, aby se posoudila povaha a účinnost již zavedeného bezpečnostního systému. Pokud však toto není možné, obdrží Bezpečnostní výbor od bezpečnostní kanceláře generálního sekretariátu Rady co nejpodrobnější zprávu vypracovanou na základě jí dostupných informací, v níž Bezpečnostnímu výboru poskytne informace o příslušných bezpečnostních předpisech a o způsobu organizace bezpečnosti v dotyčném třetím státě nebo mezinárodní organizaci.

14.

Bezpečnostní výbor může rozhodnout, že až do posouzení výsledku hodnotící návštěvy nemohou být poskytovány žádné utajované informace EU nebo že mohou být poskytovány utajované informace EU jen do určitého stupně utajení, nebo může stanovit jiné zvláštní podmínky upravující poskytování utajovaných informací EU dotyčnému třetímu státu nebo mezinárodní organizaci. Tuto skutečnost oznámí bezpečnostní kancelář generálního sekretariátu Rady dotyčnému třetímu státu nebo mezinárodní organizaci.

15.

Po vzájemné dohodě s dotyčným třetím státem nebo mezinárodní organizací provádí bezpečnostní kancelář generálního sekretariátu Rady pravidelně následné hodnotící návštěvy s cílem ověřit, že uplatňovaná opatření i nadále splňují dohodnuté minimální standardy.

16.

Poté co dohoda o bezpečnosti informací vstoupí v platnost a s dotyčným třetím státem nebo mezinárodní organizací jsou vyměňovány utajované informace, může Bezpečnostní výbor rozhodnout, že změní nejvyšší stupeň utajení informací EU, které mohou být vyměňovány v tištěné podobě či elektronicky, zejména s ohledem na některou následnou hodnotící návštěvu.

17.

Pokud v případě třetího státu nebo mezinárodní organizace existuje dlouhodobá potřeba výměny informací, jejichž nejvyšší stupeň utajení není zpravidla vyšší než RESTREINT UE/EU RESTRICTED, a pokud Bezpečnostní výbor potvrdil, že dotyčná strana nemá dostatečně rozvinutý bezpečnostní systém, který by jí umožnil uzavřít dohodu o bezpečnosti informací, může generální tajemník Rady s výhradou souhlasu Rady uzavřít s příslušnými orgány dotyčného třetího státu nebo mezinárodní organizace správní ujednání.

18.

Pokud je z naléhavých operativních důvodů třeba urychleně vytvořit rámec pro výměnu utajovaných informací, může Rada ve vyjímečných případech rozhodnout, že správní ujednání lze uzavřít pro výměnu informací s vyšším stupněm utajení.

19.

Správní ujednání mají zpravidla formu výměny dopisů.

20.

Před zahájením vlastního poskytování utajovaných informací EU dotyčnému třetímu státu nebo mezinárodní organizaci je třeba vykonat hodnotící návštěvu uvedenou v bodě 10 a předložit zprávu Bezpečnostnímu výboru, který ji musí vyhodnotit jako uspokojivou. Pokud však existují vyjímečné důvody pro naléhavou výměnu utajovaných informací, na něž je upozorněna Rada, mohou být utajované informace EU poskytovány pod podmínkou, že bude učiněno vše pro to, aby hodnotící návštěva byla vykonána co nejdříve.

21.

Utajované informace EU nesmí být vyměňovány elektronickými prostředky, pokud tak výslovně nestanoví správní ujednání.

22.

Účast třetích států nebo mezinárodních organizací na operacích SBOP upravují rámcové dohody o účasti. Tyto dohody obsahují ustanovení o poskytování utajovaných informací EU vytvořených pro účely operací SBOP přispívajícím třetím státům nebo mezinárodním organizacím. Nejvyšší stupeň utajení utajovaných informací EU, které mohou být vyměňovány, je RESTREINT UE/EU RESTRICTED pro civilní operace SBOP a CONFIDENTIEL UE/EU CONFIDENTIAL pro vojenské operace SBOP, pokud rozhodnutí o zřízení jednotlivé operace SBOP nestanoví jinak.

23.

Ad hoc dohody o účasti uzavřené pro konkrétní operaci SBOP obsahují ustanovení o poskytování utajovaných informací EU vytvořených pro účely dané operace přispívajícímu třetímu státu nebo mezinárodní organizaci. Nejvyšší stupeň utajení utajovaných informací EU, které mohou být vyměňovány, je RESTREINT UE/EU RESTRICTED pro civilní operace SBOP a CONFIDENTIEL UE/EU CONFIDENTIAL pro vojenské operace SBOP, pokud společná akce o zřízení jednotlivé operace SBOP nestanoví jinak.

24.

Ad hoc správní ujednání o účasti třetího státu nebo mezinárodní organizace na konkrétní operaci SBOP mohou mimo jiné upravovat poskytování utajovaných informací EU vytvořených pro účely dané operace dotyčnému třetímu státu nebo mezinárodní organizaci. Tato ad hoc správní ujednání se uzavírají v souladu s postupy uvedenými v bodech 17 a 18 oddílu IV. Nejvyšší stupeň utajení utajovaných informací EU, které mohou být vyměňovány, je RESTREINT UE/EU RESTRICTED pro civilní operace SBOP a CONFIDENTIEL UE/EU CONFIDENTIAL pro vojenské operace SBOP, pokud rozhodnutí o zřízení jednotlivé operace SBOP nestanoví jinak.

25.

Ustanovení o poskytování utajovaných informací EU podle bodů 22, 23 a 24 nevyžadují, aby byly před jejich prováděním přijata prováděcí pravidla nebo uskutečněny hodnotící návštěvy.

26.

Pokud hostitelský stát, na jehož území je operace SBOP vedena, nemá s EU uzavřenou dohodu o bezpečnosti informací ani správní ujednání o výměně utajovaných informací, může být v případě zvláštní nebo okamžité operační potřeby uzavřeno ad hoc správní ujednání. Tato možnost se stanoví v rozhodnutí o zřízení dané operace SBOP. Poskytování utajovaných informací EU za těchto okolností se omezí na informace vytvořené pro účely dané operace SBOP se stupněm utajení nejvýše RESTREINT UE/EU RESTRICTED. V rámci ad hoc správního ujednání se hostitelský stát zaváže k ochraně utajovaných informací EU v souladu s minimálními standardy, které nejsou méně přísné než minimální standardy stanovené v tomto rozhodnutí.

27.

Podle ustanovení o utajovaných informacích, která jsou součástí rámcových dohod o účasti, ad hoc dohod o účasti a ad hoc správních ujednání podle bodů 22 až 24, zajistí dotyčný třetí stát nebo mezinárodní organizace, aby jejich personál vyslaný v rámci kterékoli operace chránil utajované informace EU v souladu s bezpečnostními pravidly Rady a s dalšími pokyny vydanými příslušnými orgány, včetně linie velení operace.

28.

Pokud je mezi EU a přispívajícím třetím státem nebo mezinárodní organizací následně uzavřena dohoda o bezpečnosti informací, nahradí tato dohoda o bezpečnosti informací v otázkách výměny utajovaných informací EU a nakládání s nimi jakoukoli rámcovou dohodu o účasti, ad hoc dohodu o účasti nebo ad hoc správní ujednání.

29.

Podle rámcové dohody o účasti, ad hoc dohody o účasti nebo ad hoc správního ujednání s třetím státem nebo mezinárodní organizací není dovolena žádná výměna utajovaných informací EU elektronicky, pokud tak výslovně nestanoví dotyčná dohoda nebo ujednání.

30.

Utajované informace EU vytvořené pro účely konkrétní operace SBOP mohou být zpřístupěny pracovníkům vyslaným v rámci dané operace třetími státy nebo mezinárodními organizacemi v souladu s body 22 až 29. Při povolování přístupu těchto pracovníků k utajovaným informacím EU v prostorách nebo v komunikačních a informačních systémech dané operace SBOP je třeba uplatňovat opatření (včetně záznamů o zpřístupněných utajovaných informacích EU) ke zmírnění rizika ztráty nebo ohrožení těchto informací. Tato opatření se stanoví v příslušných plánovacích dokumentech nebo v dokumentech mise.

31.

Pokud neexistuje žádný rámec v souladu s oddíly III až V a Rada nebo jeden z jejích přípravných orgánů rozhodne, že je vyjímečně třeba poskytnout utajované informace EU třetímu státu nebo mezinárodní organizaci, generální sekretariát Rady:

32.

Pokud Bezpečnostní výbor vydá ohledně poskytnutí utajovaných informací EU kladné doporučení, postoupí se tato záležitost Výboru stálých zástupců, který přijme rozhodnutí o poskytnutí informací.

33.

Pokud Bezpečnostní výbor ve svém doporučení vyjádří nesouhlas s poskytnutím utajovaných informací EU:

34.

Je-li to považováno za vhodné a vyjádří-li předem písemně souhlas původce, může Výbor stálých zástupců rozhodnout, že utajované informace mohou být poskytnuty pouze v částečném rozsahu nebo za podmínky, že u nich bude nejdříve snížen nebo zrušen stupeň utajení, nebo že informace určené k poskytnutí budou připraveny bez odkazu na zdroj nebo původní stupeň utajení EU.

35.

Po rozhodnutí o poskytnutí utajovaných informací EU předá generální sekretariát Rady dotyčný dokument, který nese označení týkající se způsobilosti k poskytnutí uvádějící třetí stát nebo mezinárodní organizaci, jíž byly informace poskytnuty. Před vlastním poskytnutím informací nebo při jejich poskytnutí se dotyčná třetí strana písemně zaváže k ochraně obdržených utajovaných informací EU v souladu se základními zásadami a minimálními standardy stanovenými tímto rozhodnutím.

36.

Pokud existuje rámec pro výměnu utajovaných informací se třetím státem nebo mezinárodní organizací v souladu s bodem 2, přijme Rada rozhodnutí o zmocnění generálního tajemníka Rady k poskytování utajovaných informací EU dotyčnému třetímu státu nebo mezinárodní organizaci při dodržení zásady souhlasu původce.

37.

Pokud existuje rámec pro výměnu utajovaných informací se třetím státem nebo mezinárodní organizací v souladu s bodem 3, je generální tajemník Rady zmocněn k poskytování utajovaných informací EU v souladu s rozhodnutím o zřízení operace SBOP a při dodržení zásady souhlasu původce.

38.

Generální tajemník Rady může přenést tato pověření na vyšší úředníky generálního sekretariátu Rady nebo na jiné jemu podřízené osoby.

„akreditací“ se rozumí postup, jehož výsledkem je formální rozhodnutí orgánu pro bezpečnostní akreditaci, že určitý systém se schvaluje do provozu s určitým stupněm utajení, v určitém bezpečnostním módu v jeho provozním prostředí a s přijatelnou úrovní rizika na základě předpokladu, že je uplatňován schválený soubor technických, fyzických, organizačních a procedurálních bezpečnostních opatření;

„aktivem“ se rozumí cokoli s významem pro organizaci, její činnosti a jejich kontinuitu, včetně informačních zdrojů podporujících poslání organizace;

„bezpečnostním provozním módem“ se rozumí vymezení podmínek provozu určitého komunikačního a informačního systému na základě stupňů utajení informací, s nimiž se nakládá, a stupňů bezpečnostní prověrky, formálních schválení přístupu a potřeby jeho uživatelů znát utajované informace. Pro nakládání s utajovanými informacemi nebo pro jejich přenos existují čtyři provozní módy: bezpečnostní provozní mód vyhrazený, bezpečnostní provozní mód s nejvyšší úrovní, bezpečnostní provozní mód s nejvyšší úrovní s formálním řízením přístupu k informacím a bezpečnostní provozní mód víceúrovňový;

„bezpečnostním šetřením“ se rozumějí postupy šetření prováděné příslušným orgánem členského státu v souladu s jeho právními předpisy za účelem získání záruky, že nejsou známy žádné negativní skutečnosti, které by bránily tomu, aby bylo určité osobě vydáno vnitrostátní osvědčení o o bezpečnostní prověrce personálu nebo o bezpečnostní prověrce personálu EU pro přístup k utajovaným informacím EU až do konkrétního stupně utajení (CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyššího);

„bezpečnostními pokyny k programu/projektu“ se rozumí seznam bezpečnostních postupů, které se uplatňují u konkrétního programu/projektu s cílem standardizovat bezpečnostní postupy. Tyto pokyny lze revidovat během celé doby trvání programu/projektu;

„dodavatelem“ se rozumí fyzická nebo právnická osoba právně způsobilá k uzavírání smluv;

„dokumentem“ se rozumějí jakékoli zaznamenané informace bez ohledu na jejich fyzickou podobu či povahu;

„držitelem“ se rozumí řádně oprávněná osoba, která jednoznačně potřebuje znát utajované informace EU a má v držení utajované informace EU, a je tedy odpovědná za jejich ochranu;

„evidence“ – viz příloha III bod 18;

„fyzická bezpečnost“ – viz čl. 8 odst. 1;

„hloubkovou ochranou“ se rozumí uplatňování řady bezpečnostních opatření, která jsou uspořádána jako několik obranných linií;

„hrozbou“ se rozumí možná příčina nežádoucího incidentu, jež může vést k poškození určité organizace nebo jakéhokoli systému, který používá; hrozby mohou být neúmyslné či úmyslné (zlovolné) a vyznačují se ohrožujícími prvky, potenciálními cíli a metodami útoku;

„komunikační a informační systém“ – viz čl. 10 odst. 2;

„kryptografickými materiály“ se rozumějí šifrovací algoritmy, hardwarové a softwarové kryptografické moduly a prostředky, včetně prováděcích pravidel a související dokumentace, a klíčový materiál;

„materiálem“ se rozumí jakýkoli dokument nebo část technického zařízení či vybavení, ať vyhotovené, či v procesu zhotovování;

„nakládáním“ s utajovanými informacemi EU se rozumí veškeré možné činnosti, jejichž předmětem mohou být utajované informace EU během celého svého životního cyklu. Zahrnuje jejich vytváření, zpracovávání, přenášení, snížení a zrušení jejich stupně utajení a ničení. V souvislosti s komunikačními a informačními systémy zahrnuje rovněž jejich shromažďování, zobrazení, přenos a ukládání;

„opatřeními TEMPEST“ se rozumí zjišťování, zkoumání a kontrola v souvislosti s kompromitujícím elektromagnetickým vyzařováním a opatření k jeho potlačení;

„operací SBOP“ se rozumí vojenská nebo civilní operace pro řešení krize zřízená podle hlavy V kapitoly 2 Smlouvy o EU;

„osvědčením o bezpečnostní prověrce personálu“ se rozumí jedno z těchto osvědčení nebo obě tato osvědčení:

„osvědčením o bezpečnostní prověrce zařízení“ se rozumí správní rozhodnutí vnitrostátního bezpečnostního orgánu nebo určeného bezpečnostního orgánu, že určité zařízení může z hlediska bezpečnosti zajistit odpovídající úroveň ochrany utajovaných informací EU s určitým stupněm utajení a že pracovníci zařízení, kteří potřebují přístup k utajovaným informacím EU, jsou náležitě bezpečnostně prověřeni a byli poučeni o příslušných bezpečnostních požadavcích nezbytných pro přístup k utajovaným informacím EU a k jejich ochraně;

„personální bezpečnost“ – viz čl. 7 odst. 1;

„potvrzením o bezpečnostní prověrce personálu“ se rozumí potvrzení vydané příslušným orgánem, v němž se uvede, že určitá osoba je bezpečnostně prověřena a je držitelem platného vnitrostátního osvědčení o bezpečnostní prověrce personálu nebo o bezpečnostní prověrce personálu EU, a z něhož je zřejmý stupeň utajení utajovaných informací EU, k nimž může mít tato osoba přístup (CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšší), doba platnosti příslušného osvědčení o bezpečnostní prověrce personálu a datum, do kdy je platné samotné potvrzení;

„procesem řízení bezpečnostních rizik“ se rozumí celý proces rozpoznávání, kontrolování a minimalizace problematických událostí, které mohou ovlivnit bezpečnost organizace nebo jakýchkoli systémů, které používá. Zahrnuje všechny činnosti týkající se rizik, včetně hodnocení, řešení, přijetí a sdělování;

„propojení“ – viz příloha IV bod 31;

„průmyslová bezpečnost“ – viz čl. 11 odst. 1;

„průmyslovým nebo jiným subjektem“ se rozumí subjekt zapojený do dodávek zboží, provádění prací nebo poskytování služeb; může se jednat o subjekt působící v oblasti průmyslu, obchodu, služeb, vědy, výzkumu, vzdělávání či vývoje nebo o samostatně výdělečně činnou osobu;

„původcem“ se rozumí orgán, agentura nebo instituce EU, členský stát, třetí stát nebo mezinárodní organizace, z jejichž pověření byly utajované informace vytvořeny nebo uvedeny do struktur EU;

„příručkou pro stanovování stupňů utajení“ se rozumí dokument popisující prvky programu nebo smlouvy, které jsou utajované, přičemž stanoví použitelné stupně utajení. Příručka pro stanovování stupňů utajení může být rozšiřována během celé doby trvání programu nebo smlouvy a u jednotlivých prvků informací může dojít ke změně stupně utajení nebo ke snížení stupně utajení; pokud existuje příručka pro stanovování stupňů utajení, je součástí seznamu bezpečnostních požadavků;

„rizikem“ se rozumí možnost, že pro účely určité hrozby budou zneužita vnitřní a vnější zranitelná místa organizace nebo kteréhokoli ze systémů, jichž využívá, a dojde tak k poškození organizace a jejích hmotných či nehmotných aktiv. Měří se jako kombinace pravděpodobnosti, že dojde k ohrožením, a dopadu těchto ohrožení;

„seznamem bezpečnostních požadavků“ se rozumí soubor zvláštních smluvních podmínek vydaný zadavatelem, který je nedílnou součástí kterékoli utajované smlouvy, jejíž plnění vyžaduje přístup k utajovaným informacím EU nebo jejich vytváření, a který stanoví bezpečnostní požadavky nebo části smlouvy vyžadující bezpečnostní ochranu;

„snížením stupně utajení“ se rozumí označení informace nižším stupněm utajení;

„správa utajovaných informací“ – viz čl. 9 odst. 1;

„určeným bezpečnostním orgánem“ se rozumí orgán podléhající vnitrostátnímu bezpečnostnímu orgánu členského státu, který odpovídá za informování průmyslových nebo jiných subjektů o vnitrostátní politice ohledně všech otázek průmyslové bezpečnosti a za poskytování pokynů a pomoci při jejím provádění. Funkci určeného bezpečnostního orgánu může vykonávat vnitrostátní bezpečnostní orgán nebo kterýkoli jiný příslušný orgán;

„utajované informace EU“ – viz čl. 2 odst. 1;

„utajovanou smlouvou“ se rozumí smlouva mezi generálním sekretariátem Rady a určitým dodavatelem o dodání zboží, provedení prací nebo poskytnutí služeb, jejíž plnění vyžaduje nebo zahrnuje přístup k utajovaným informacím EU nebo jejich vytváření;

„utajovanou subdodavatelskou smlouvou“ se rozumí smlouva mezi dodavatelem generálního sekretariátu Rady a jiným dodavatelem (tj. subdodavatelem) o dodání zboží, provedení prací nebo poskytnutí služeb, jejíž plnění vyžaduje nebo zahrnuje přístup k utajovaným informacím EU nebo jejich vytváření;

„zabezpečení informací“ – viz čl. 10 odst. 1;

„zbytkovým rizikem“ se rozumí riziko, které přetrvává poté, co byla zavedena bezpečnostní opatření, neboť nelze čelit všem hrozbám a nelze odstranit všechna zranitelná místa;

„zranitelným místem“ se rozumí slabé místo jakékoli povahy, které může být zneužito pro účely jedné nebo několika hrozeb. Zranitelnost může být výsledkem opomenutí nebo může souviset s nedostatky v rámci kontrol, pokud jde o jejich intenzitu, úplnost nebo důslednost, a může být technické, procedurální, fyzické, organizační nebo provozní povahy;

„zrušením stupně utajení“ se rozumí odstranění veškerých stupňů utajení;

„životním cyklem komunikačního a informačního systému“ se rozumí celé období existence komunikačního a informačního systému, které zahrnuje uvedení do provozu, vytvoření koncepce, plánování, analýzu požadavků, vytvoření návrhu, vývoj, testování, zavedení, provoz, údržbu a vyřazení z provozu.

Autorité nationale de Sécurité

SPF Affaires étrangères, Commerce extérieur et Coopération au Développement

15, rue des Petits Carmes

1000 Bruxelles

Tel. sekretariátu: +32 25014542

Fax: +32 25014596

E-mail: nvo-ans@diplobel.fed.be

Politiets Efterretningstjeneste

(Danish Security Intelligence Service)

Klausdalsbrovej 1

2860 Søborg

Tel.: +45 33148888

Fax: +45 33430190

Forsvarets Efterretningstjeneste

(Danish Defence Intelligence Service)

Kastellet 30

DK-2100 Copenhagen Ø

Tel.: +45 3332 55 66

Fax: +45 339313 20

State Commission on Information Security

90 Cherkovna Str.

1505 Sofia

Tel.: +359 29215911

Fax: +359 29873750

E-mail: dksi@government.bg

Website: www.dksi.bg

Bundesministerium des Innern

Referat ÖS III 3

Alt-Moabit 101 D

11014 Berlin

Tel.: +49 30186810

Fax: +49 3018 6811441

E-mail: oesIII3@bmi.bund.de

Národní bezpečnostní úřad

(National Security Authority)

Na Popelce 2/16

150 06 Praha 56 ČESKÁ REPUBLIKA

Tel.: +420 257283335

Fax: +420 257283110

E-mail: czech.nsa@nbu.cz

Website: www.nbu.cz

National Security Authority Department

Estonian Ministry of Defence

Sakala 1

15094 Tallinn

Tel.: +372 7170113, +372 7170117

Fax: +372 7170213

E-mail: nsa@kmin.ee

National Security Authority

Department of Foreign Affairs

76-78 Harcourt Street

Dublin 2 Ireland

Tel.: +353 14780822

Fax: +353 14082959

Autoridad Nacional de Seguridad

Oficina Nacional de Seguridad

Avenida Padre Huidobro s/n

28023 Madrid

Tel.: +34 913725000

Fax: +34 913725808

E-mail: nsa-sp@areatec.com

Γενικό Επιτελείο Εθνικής Άμυνας (ΓΕΕΘΑ)

Διακλαδική Διεύθυνση Στρατιωτικών Πληροφοριών (ΔΔΣΠ)

Διεύθυνση Ασφαλείας και Αντιπληροφοριών

ΣΤΓ 1020 -Χολαργός (Αθήνα)

Ελλάδα

Τηλέφωνα: +30 2106572045 (ώρες γραφείου)

+30 2106572009 (ώρες γραφείου)

Φαξ: +30 2106536279

+30 2106577612

Hellenic National Defence General Staff (HNDGS)

Military Intelligence Sectoral Directorate

Security Counterintelligence Directorate

GR-STG 1020 Holargos – Athens

Tel.: +30 210652045

+30 2106572009

Fax: +30 2106536279

+30 2106577612

Secrétariat général de la défense et de la sécurité nationale

Sous-direction Protection du secret (SGDSN/PSD)

51 Boulevard de la Tour-Maubourg

75700 Paris 07 SP

Tel.: +33 171758177

Fax: +33 171758200

Presidenza del Consiglio dei Ministri

Autorità Nazionale per la Sicurezza

D.I.S. - U.C.Se.

Via di Santa Susanna, 15

00187 Roma

Tel.: +39 0661174266

Fax: +39 064885273

National Security Authority

Constitution Protection Bureau of the Republic of Latvia

P.O.Box 286

Riga, LV- 001

Tel.: +371 67025418

Fax: +371 67025454

Email: ndi@sab.gov.lv

ΥΠΟΥΡΓΕΙΟ ΑΜΥΝΑΣ

ΣΤΡΑΤΙΩΤΙΚΟ ΕΠΙΤΕΛΕΙΟ ΤΟΥ ΥΠΟΥΡΓΟΥ

Εθνική Αρχή Ασφάλειας (ΕΑΑ)

Υπουργείο Άμυνας

Λεωφόρος Εμμανουήλ Ροΐδη 4

1432 Λευκωσία, Κύπρος

Τηλέφωνα: +357 22807569, +357 2287643, +357 22807764

Τηλεομοιότυπο: +357 22302351

Ministry of Defence

Minister's Military Staff

National Security Authority (NSA)

4 Emanuel Roidi street

1432 Nicosia

Tel.: +357 22807569, +357 22807643, +357 22807764

Fax: +357 22302351

E-mail: cynsa@mod.gov.cy

Lietuvos Respublikos paslapčių apsaugos koordinavimo komisija

(The Commission for Secrets Protection Coordination of the Republic of Lithuania

National Security Authority)

Gedimino 40/1

LT-01110 Vilnius

Tel.: +370 52663201, +370 52663202

Fax: +370 52663200

E-mail: nsa@vsd.lt

Autorité nationale de Sécurité

Boîte postale 2379

L-1023 Luxembourg

Tel.: +352 24782210 central

+352 24782253 direct

Fax: +352 24782243

Ministerie van Binnenlandse Zaken en Koninkrijksrelaties

Postbus 20010

2500 EA Den Haag

Tel.: +31 703204400

Fax: +31 703200733

Ministerie van Defensie

Beveiligingsautoriteit

Postbus 20701

NL-2500 ES Den Haag

Tel.: +31 703187060

Fax: +31 703187522

Nemzeti Biztonsági Felügyelet

(National Security Authority)

P.O. Box 2

1357 Budapest

Tel.: +361 3469652

Fax: +361 3469658

E-mail: nbf@nbf.hu

Website: www.nbf.hu

Ministry of Justice and Home Affairs

P.O. Box 146

MT-Valletta

Tel.: +356 21249844

Fax: +356 25695321

Informationssicherheitskommission

Bundeskanzleramt

Ballhausplatz 2

1014 Wien

Tel.: +43 1531152594

Fax: +43 1531152615

E-mail: ISK@bka.gv.at

Agencja Bezpieczeństwa Wewnętrznego – ABW

(Internal Security Agency)

2A Rakowiecka St.

00-993 Warszawa

Tel.: +48 225857360

Fax: +48 225858509

E-mail: nsa@abw.gov.pl

Website: www.abw.gov.pl

Służba Kontrwywiadu Wojskowego

(Military Counter-Intelligence Service)

Classified Information Protection Bureau

Oczki 1

PL-02-007 Warszawa

Tel.: +48 226841247

Fax: +48 226841076

E-mail: skw@skw.gov.pl

Oficiul Registrului Național al Informațiilor Secrete de Stat

(Romanian NSA – ORNISS

National Registry Office for Classified Information)

4 Mures Street

012275 Bucharest

Tel: +40 212245830

Fax: +40 212240714

E-mail: nsa.romania@nsa.ro

Website: www.orniss.ro

Presidência do Conselho de Ministros

Autoridade Nacional de Segurança

Rua da Junqueira, 69

1300-342 Lisboa

Tel: +351 213031710

Fax: +351 213031711

Urad Vlade RS za varovanje tajnih podatkov

Gregorčičeva 27

Sl-1000 Ljubljana

Tel.: +386 14781390

Fax: +386 14781399

Národný bezpečnostný úrad

(National Security Authority)

Budatínska 30

P.O. Box 16

850 07 Bratislava

Tel.: +421 268692314

Fax: +421 26864005

Website: www.nbusr.sk

Utrikesdepartementet

(Ministry for Foreign Affairs)

SSSB

SE-103 39 Stockholm

Tel.: +46 84051000

Fax: +46 87231176

E-mail: ud-nsa@foreign.ministry.se

National Security Authority

Ministry for Foreign Affairs

P.O. Box 453

FI-00023 Government

Telephone 1: +358 916056487

Telephone 2: +358 916056484

Fax: +358 916055140

E-mail: NSA@formin.fi

UK National Security Authority

Room 335, 3rd Floor

70 Whitehall

London

SW1A 2AS

Telephone 1: +44 2072765649

Telephone 2: +44 2072765497

Fax: +44 2072765651

Email: UK-NSA@cabinet-office.x.gsi.gov.uk