a) TRÈS SECRET UE/EU TOP SECRET: teave ja materjal, mille loata avaldamine võib väga tõsiselt kahjustada Euroopa Liidu või ühe või mitme liikmesriigi olulisi huve;

b) SECRET UE/EU SECRET: teave ja materjal, mille loata avaldamine võib tõsiselt kahjustada Euroopa Liidu või ühe või mitme liikmesriigi olulisi huve;

c) CONFIDENTIEL UE/EU CONFIDENTIAL: teave ja materjal, mille loata avaldamine võib kahjustada Euroopa Liidu või ühe või mitme liikmesriigi olulisi huve;

d) RESTREINT UE/EU RESTRICTED: teave ja materjal, mille loata avaldamine võib negatiivselt mõjutada Euroopa Liidu või ühe või mitme liikmesriigi huve.

— kellel on teadmisvajadus,

— kes on läbinud vajalikul tasemel julgeolekukontrolli, kui see on asjakohane, ning

— keda on teavitatud nende vastutusest.

a) üldjuhul edastatakse ELi salastatud teave elektrooniliselt, kaitstuna artikli 10 lõike 6 kohaselt heakskiidetud krüptovahenditega;

b) kui punktis a osutatud edastusviisi ei kasutata, veetakse ELi salastatud teavet:

a) SECRET UE/EU SECRET ja kõrgemal tasemel salastatud teabe salajasust kaitstakse krüptovahenditega, mille nõukogu kui krüptovahendite heakskiitmise asutus on julgeolekukomitee soovitusel heaks kiitnud;

b) CONFIDENTIEL UE/EU CONFIDENTIAL või RESTREINT UE/EU RESTRICTED tasemel salastatud teabe salajasust kaitstakse krüptovahenditega, mille nõukogu peasekretär („peasekretär”) kui krüptovahendite heakskiitmise asutus on julgeolekukomitee soovitusel heaks kiitnud.

a) infokindluse asutus;

b) TEMPEST-asutus;

c) krüptovahendite heakskiitmise asutus;

d) krüptomaterjalide jaotamise asutus.

a) turvalisuse akrediteerimise asutus;

b) infokindluse rakendusasutus.

a) sõlmib liit kolmandate riikide või rahvusvaheliste organisatsioonidega lepingu salastatud teabe kaitse ja vahetamise julgeolekukorra kohta („salastatud teabe kaitse leping”) või

b) võib peasekretär sõlmida nõukogu peasekretariaadi nimel VI lisa punkti 17 kohaselt halduskokkuleppe, kui avalikustatav ELi salastatud teave ei ole üldjuhul kõrgemal salastatuse tasemel kui RESTREINT UE/EU RESTRICTED.

a) teavitada teabe koostajat;

b) tagada asjaolude kindlakstegemiseks juhtumi uurimine töötajate poolt, kes ei ole rikkumisega vahetult seotud;

c) hinnata liidu või liikmesriikide huvidele tekitatud võimalikku kahju;

d) võtta sobivaid meetmeid rikkumise kordumise ärahoidmiseks ning

e) teavitada asjaomaseid asutusi võetud meetmetest.

a) Euroopa Liidu juures olevate liikmesriikide alaliste esinduste töötajad ning nõukogu või selle ettevalmistavate organite istungitel või muus nõukogu tegevuses osalevate riiklike delegatsioonide liikmed;

b) muud liikmesriikide valitsusasutuste töötajad, sealhulgas nendesse valitsusasutustesse lähetatud töötajad olenemata sellest, kas nad täidavad oma tööülesandeid asjaomaste liikmesriikide territooriumil või välismaal;

c) muud isikud, kellel on liikmesriikides oma tööülesannete tõttu nõuetekohased volitused juurdepääsuks ELi salastatud teabele, ning

d) liikmesriikidega lepingu sõlminud lepinglased olenemata sellest, kas nad tegutsevad asjaomaste liikmesriikide territooriumil või välismaal.

a) artikli 13 lõike 2 punktis a osutatud lepingud;

b) otsused, millega lubatakse või antakse nõusolek avaldada nõukogust pärit või nõukogus säilitatavat ELi salastatud teavet kolmandatele riikidele ja rahvusvahelistele organisatsioonidele kooskõlas koostaja nõusoleku põhimõttega;

c) julgeolekukomitee soovitatud iga-aastase hindamiskülastuste kava, mis on mõeldud hindamiskülastuste tegemiseks liikmesriikide teenistustesse ja tööruumidesse, käesolevat otsust või selle põhimõtteid kohaldavatesse liidu organitesse, asutustesse ja üksustesse ning hindamiskülastuste tegemiseks kolmandatesse riikidesse ja rahvusvahelistesse organisatsioonidesse, et hinnata ELi salastatud teabe kaitseks rakendatud meetmete tõhusust, ning

d) artikli 6 lõikes 1 sätestatud julgeolekupoliitikad.

a) viib ellu nõukogu julgeolekupoliitikat ja vaatab seda regulaarselt läbi;

b) koordineerib liikmesriikide riiklike julgeolekuasutustega kõiki julgeolekuküsimusi, mis puudutavad nõukogu tegevusega seotud salastatud teabe kaitset;

c) annab vastavalt artikli 7 lõikele 3 nõukogu peasekretariaadi ametnikele, muudele teenistujatele ja riikide lähetatud ekspertidele loa juurdepääsuks CONFIDENTIEL UE/EU CONFIDENTIAL või kõrgemal tasemel salastatud teabele;

d) annab vajaduse korral korralduse uurida kõiki nõukogu valduses oleva või nõukogust pärit salastatud teabe tegeliku või kahtlustatava ohtu sattumise või kadumise juhtumeid ning taotleb, et asjaomased julgeolekuasutused osutaksid selliste uurimiste läbiviimisel abi;

e) kontrollib regulaarselt nõukogu peasekretariaadi tööruumides salastatud teabe kaitseks võetud turvameetmeid;

f) korraldab korrapäraseid külastusi, et hinnata ELi salastatud teabe kaitseks võetud turvameetmeid käesolevat otsust või selle põhimõtteid kohaldavates liidu organites, asutustes ja üksustes;

g) hindab koostöös ja kokkuleppel asjaomase riikliku julgeolekuasutusega regulaarselt liikmesriikide teenistustes ja tööruumides ELi salastatud teabe kaitseks võetud turvameetmeid;

h) tagab vajaduse korral turvameetmete koordineerimise salastatud teabe kaitse eest vastutavate liikmesriikide pädevate asutustega ning vajaduse korral kolmandate riikide või rahvusvaheliste organisatsioonidega, sealhulgas selles osas, mis puudutab ELi salastatud teabe julgeolekut ähvardavate ohtude olemust ja seda, milliste vahenditega end nende ohtude eest kaitsta, ning

i) sõlmib artikli 13 lõike 2 punktis b osutatud halduskokkuleppeid.

a) määrama riikliku julgeolekuasutuse, kes tuuakse ära C liites ja kes vastutab ELi salastatud teabe kaitseks võetavate turvameetmete eest, et:

b) tagama, et nende pädevad asutused annavad riigi valitsusele ja tema kaudu nõukogule teavet ja nõu ELi salastatud teabe julgeolekut ähvardavate ohtude olemuse kohta ja selle kohta, milliste vahenditega salastatud teavet nende ohtude eest kaitsta.

1. Käesolev lisa sisaldab sätteid artikli 7 rakendamise kohta. Lisas sätestatakse kriteeriumid, mille alusel on võimalik kindlaks teha, kas isikule võib tema lojaalsust ja usaldusväärsust arvesse võttes anda loa juurdepääsuks ELi salastatud teabele, ning uurimis- ja haldusmenetlused, mida tuleb sellisel juhul järgida.

2. Isikule antakse juurdepääs salastatud teabele pärast seda, kui:

3. Kõik liikmesriigid ja nõukogu peasekretariaat määravad oma struktuurides kindlaks need ametikohad, mis eeldavad juurdepääsu CONFIDENTIEL UE/EU CONFIDENTIAL või kõrgemal tasemel salastatud teabele ja seetõttu nõuavad asjakohase tasemega julgeolekukontrolli läbimist.

4. Pärast nõuetekohase taotluse saamist vastutavad riiklikud julgeolekuasutused või muud pädevad riiklikud asutused julgeolekukontrolli läbiviimise tagamise eest oma riigi kodanike suhtes, kes vajavad juurdepääsu CONFIDENTIEL UE/EU CONFIDENTIAL või kõrgemal tasemel salastatud teabele. Kontrolli standardid peavad vastama riigisisestele õigusaktidele, et oleks võimalik anda juurdepääsuluba või kinnitus selle kohta, et isikule võib vajaduse korral anda loa juurdepääsuks ELi salastatud teabele.

5. Kui asjaomane isik elab teise liikmesriigi või kolmanda riigi territooriumil, taotlevad pädevad riiklikud asutused abi elukohariigi pädevalt asutuselt vastavalt riigisisestele õigusaktidele. Liikmesriigid abistavad üksteist julgeolekukontrolli läbiviimisel vastavalt riigisisestele õigusaktidele.

6. Kui see on riigisiseste õigusaktide kohaselt lubatud, siis võivad riiklikud julgeolekuasutused või muud pädevad riiklikud asutused läbi viia julgeolekukontrolli mittekodanike suhtes, kes vajavad juurdepääsu CONFIDENTIEL UE/EU CONFIDENTIAL või kõrgemal tasemel salastatud teabele. Kontrolli standardid peavad vastama riigisisestele õigusaktidele.

7. Isiku lojaalsus ja usaldusväärsus seoses tema julgeolekukontrolli läbimisega juurdepääsuks CONFIDENTIEL UE/EU CONFIDENTIAL või kõrgemal tasemel salastatud teabele tehakse kindlaks julgeolekukontrolli abil. Pädev riiklik asutus annab sellise julgeolekukontrolli tulemuste põhjal üldise hinnangu. Julgeolekukontrolli põhikriteeriumid hõlmavad riigisiseste õigusaktidega lubatud ulatuses teavet selle kohta, kas isik:

8. Julgeolekukontrolli käigus võidakse vajaduse korral ja kooskõlas riigisiseste õigusaktidega oluliseks pidada ka asjaomase isiku majanduslikku olukorda ja tervise seisundit.

9. Julgeolekukontrolli käigus võidakse vajaduse korral ja kooskõlas riigisiseste õigusaktidega oluliseks pidada ka abikaasa, elukaaslase või lähedase pereliikme käitumist ja nendega seotud asjaolusid.

10. Esmakordsel CONFIDENTIEL UE/EU CONFIDENTIAL või SECRET UE/EU SECRET tasemel salastatud teabele juurdepääsuloa andmisel lähtutakse julgeolekukontrolli tulemustest vähemalt viimase viie aasta või isiku 18-aastaseks saamisest möödunud aja kohta, olenevalt sellest, kumb periood on lühem, ning kontroll hõlmab järgmist:

11. Esmakordsel TRÈS SECRET UE/EU TOP SECRET tasemel salastatud teabele juurdepääsuloa andmisel lähtutakse julgeolekukontrolli tulemustest vähemalt viimase kümne aasta või isiku 18-aastaseks saamisest möödunud aja kohta, olenevalt sellest, kumb periood on lühem. Alapunktis e sätestatud vestluste läbiviimisel hõlmab kontroll vähemalt viimast seitset aastat või siis isiku 18-aastaseks saamisest möödunud aega, olenevalt sellest, kumb periood on lühem. Lisaks punktis 7 nimetatud kriteeriumitele kontrollitakse TRÈS SECRET UE/EU TOP SECRET taseme juurdepääsulubade andmisel riigisiseste õigusaktidega lubatud ulatuses järgmisi aspekte (neid võib kontrollida ka enne CONFIDENTIEL UE/EU CONFIDENTIAL ja SECRET UE/EU SECRET taseme juurdepääsulubade andmist, kui see on riigisiseste õigusaktidega ette nähtud):

12. Täieliku ülevaate saamiseks isiku kohta olemasolevast asjassepuutuvast teabest ning isiku usaldusväärsust kahjustava teabe kinnitamiseks või kummutamiseks võib vajaduse korral ja kooskõlas riigisiseste õigusaktidega läbi viia lisakontrolle.

13. Pärast juurdepääsuloa esmakordset andmist ja tingimusel, et isik on vaheaegadeta olnud liikmesriigi valitsusasutuse või nõukogu peasekretariaadi teenistuses ja vajab endiselt juurdepääsu ELi salastatud teabele, tuleb juurdepääsuluba kehtivuse pikendamiseks läbi vaadata TRÈS SECRET UE/EU TOP SECRET taseme loa puhul vähemalt iga viie aasta järel ning SECRET UE/EU SECRET ja CONFIDENTIEL UE/EU CONFIDENTIAL taseme lubade puhul vähemalt iga kümne aasta järel alates asjaomaste lubade andmise aluseks olnud viimase julgeolekukontrolli tulemustest teavitamise kuupäevast. Juurdepääsuloa kehtivuse pikendamiseks läbiviidav julgeolekukontroll hõlmab eelmise julgeolekukontrolli läbiviimisest möödunud perioodi.

14. Juurdepääsulubade kehtivuse pikendamisel kontrollitakse punktides 10 ja 11 nimetatud aspekte.

15. Kehtivuse pikendamise taotlused tuleb esitada õigeaegselt, võttes arvesse seda, kui palju aega kulub julgeolekukontrolli läbiviimiseks. Kui asjaomane riiklik julgeolekuasutus või muu pädev riiklik asutus saab asjaomase kehtivuse pikendamise taotluse ja vastava julgeolekuankeedi enne juurdepääsuloa kehtivuse lõppemist ja vajalik julgeolekukontroll ei ole veel lõpule viidud, võib pädev riiklik asutus siiski pikendada olemasoleva juurdepääsuloa kehtivust kuni 12 kuuks, kui see on riigisiseste õigusaktidega lubatud. Kui selle 12-kuulise perioodi lõppedes ei ole julgeolekukontroll ikka veel lõpule viidud, antakse asjaomasele isikule selliseid tööülesandeid, mille täitmine ei nõua juurdepääsuluba.

16. Nõukogu peasekretariaadi ametnike ja muude teenistujate puhul edastab nõukogu peasekretariaadi julgeolekuasutus täidetud julgeolekuankeedi selle liikmesriigi riiklikule julgeolekuasutusele, mille kodanik asjaomane isik on, taotledes sellele ELi salastatud teabe tasemele vastava julgeolekukontrolli läbiviimist, millele asjaomane isik juurdepääsu vajab.

17. Kui nõukogu peasekretariaadile saab teatavaks ELi salajasele teabele juurdepääsuluba taotlevat isikut puudutav julgeolekukontrolli seisukohast oluline teave, teatab nõukogu peasekretariaat asjaomaste õigusaktide kohaselt toimides sellest asjaomasele riiklikule julgeolekuasutusele.

18. Pärast julgeolekukontrolli läbiviimist teatab asjaomane riiklik julgeolekuasutus nõukogu peasekretariaadi julgeolekuasutusele kõnealuse kontrolli tulemusest, kasutades selleks julgeolekukomitee poolt kirjavahetuseks ette nähtud standardvormi.

19. Julgeolekukontrolli, sealhulgas selle tulemuste suhtes kohaldatakse kõnealuses liikmesriigis kehtivaid asjaomaseid õigusakte, sealhulgas edasikaebamise kohta. Nõukogu peasekretariaadi ametisse nimetava asutuse otsuseid võib edasi kaevata vastavalt nõukogu määrusega (EMÜ, Euratom, ESTÜ) nr 259/68 ( 4 ) kehtestatud Euroopa Liidu ametnike personalieeskirjadele ja Euroopa Liidu muude teenistujate teenistustingimustele („personalieeskirjad ja teenistustingimused”).

20. Riiklikud eksperdid, kes on lähetatud nõukogu peasekretariaati CONFIDENTIEL UE/EU CONFIDENTIAL või sellest kõrgemal tasemel ELi salastatud teabele juurdepääsu nõudvale ametikohale, esitavad enne tööle asumist nõukogu peasekretariaadi julgeolekuasutusele kehtiva juurdepääsutõendi juurdepääsuks ELi salastatud teabele, mille alusel ametisse nimetav asutus annab loa juurdepääsuks ELi salastatud teabele.

21. Nõukogu peasekretariaat tunnustab kõigi muude liidu institutsioonide, organite ja asutuste antud luba juurdepääsuks ELi salastatud teabele, eeldusel et see on kehtiv. Luba hõlmab kõiki tööülesandeid, mida asjaomane isik nõukogu peasekretariaadis täidab. Liidu institutsioon, organ või asutus, kus isik tööle asub, teatab asjaomasele riiklikule julgeolekuasutusele tööandja muutumisest.

22. Kui isiku teenistusperiood ei alga 12 kuu jooksul julgeolekukontrolli tulemuse teatamisest nõukogu peasekretariaadi ametisse nimetavale asutusele või kui isiku teenistus katkeb 12 kuuks, mille jooksul ta ei tööta nõukogu peasekretariaadis või liikmesriigi valitsusasutuse ametikohal, siis pöördutakse kõnealuse tulemuse kehtivuse ja nõuetekohasuse kohta kinnituse saamiseks asjaomase riikliku julgeolekuasutuse poole.

23. Kui nõukogu peasekretariaadile saab teatavaks ELi salastatud teabele juurdepääsuks luba omava isikuga seotud turvariski puudutav teave, teatab nõukogu peasekretariaat asjakohaste õigusaktide kohaselt toimides sellest asjaomasele riiklikule julgeolekuasutusele ning võib peatada juurdepääsu ELi salastatud teabele või sellele juurdepääsuks antud loa tühistada.

24. Kui riiklik julgeolekuasutus teatab nõukogu peasekretariaadile ELi salastatud teabele juurdepääsuks luba omava isiku kohta punkti 18 alapunkti a kohaselt antud kinnituse tühistamisest, võib nõukogu peasekretariaadi ametisse nimetav asutus küsida riiklikult julgeolekuasutuselt selgitust, mille andmine on riigisiseste õigusaktide kohaselt võimalik. Kui isiku usaldusväärsust kahjustav teave leiab kinnitust, tühistatakse luba ning isikule keelatakse juurdepääs ELi salastatud teabele ja ametikohtadele, mille puhul selline juurdepääs on võimalik või mille puhul isik võiks ohustada julgeolekut.

25. Nõukogu peasekretariaadi ametnikule või muule teenistujale antud ELi salastatud teabele juurdepääsu loa tühistamise või kehtivuse peatamise otsusest ja vajaduse korral selle põhjustest teavitatakse asjaomast isikut, kes võib taotleda, et ametisse nimetav asutus kuulaks ära tema selgitused. Riikliku julgeolekuasutuse esitatud teabe suhtes kohaldatakse kõnealuses liikmesriigis kehtivaid asjaomaseid õigusakte, sealhulgas edasikaebamise kohta. Nõukogu peasekretariaadi ametisse nimetava asutuse otsuseid võib edasi kaevata vastavalt personalieeskirjadele ja teenistustingimustele.

26. Liikmesriigid ja nõukogu peasekretariaat peavad salastatuse tasemel CONFIDENTIEL UE/EU CONFIDENTIAL või kõrgemal tasemel teabele juurdepääsuks antud juurdepääsulubade ja lubade vastavaid registreid. Kõnealused registrid sisaldavad vähemalt andmeid selle kohta, millisel salastatuse tasemel ELi salastatud teabele võib asjaomasele isikule juurdepääsu lubada, juurdepääsuloa andmise kuupäeva ja kehtivusaja kohta.

27. Pädev julgeolekuasutus võib väljastada juurdepääsutõendi, millel on kirjas, millisel salastatuse tasemel ELi salastatud teabele võib asjaomasele isikule juurdepääsu lubada (CONFIDENTIEL UE/EU CONFIDENTIAL või kõrgem), vastava ELi salastatud teabele juurdepääsu võimaldava juurdepääsuloa või ELi salastatud teabele juurdepääsu loa kehtivuse lõppemise kuupäev ja tõendi enda kehtivuse lõppemise kuupäev.

28. Nende isikute juurdepääs ELi salastatud teabele, kellel on liikmesriikides oma tööülesannete tõttu selleks nõuetekohased volitused, määratakse kindlaks kooskõlas riigisiseste õigusaktidega; selliseid isikuid teavitatakse nende julgeolekualastest kohustustest seoses ELi salastatud teabe kaitsmisega.

29. Kõik juurdepääsuloa saanud isikud kinnitavad kirjalikult, et nad mõistavad oma kohustusi seoses ELi salastatud teabe kaitsmisega ning on teadlikud tagajärgedest, mis kaasnevad ELi salastatud teabe ohtu sattumisega. Nimetatud kirjalike kinnituste registreid peavad vastavalt liikmesriigid ja nõukogu peasekretariaat.

30. Kõigile isikutele, kellel on luba juurdepääsuks ELi salastatud teabele või kes peavad töötlema ELi salastatud teavet, selgitatakse alguses ning tutvustatakse regulaarselt julgeolekuohte ning nad peavad viivitamata teatama asjaomasele julgeolekuasutusele kõigist lähenemiskatsetest, mida nad peavad kahtlustäratavateks või ebatavalisteks.

31. Kõiki isikuid, kelle töökohustused ei eelda enam juurdepääsu ELi salastatud teabele, teavitatakse nende kohustusest jätkuvalt kaitsta ELi salastatud teavet ning vajaduse korral kinnitavad nad seda kirjalikult.

32. Kui see on riigisiseste õigusaktide kohaselt lubatud, võib liikmesriigi pädeva riikliku asutuse väljastatud juurdepääsuloaga, millega antakse juurdepääs riigi salastatud teabele, võimaldada liikmesriigi ametnikele ajutiselt kuni ELi salastatud teabele juurdepääsuloa andmiseni juurdepääsu samaväärse salastatuse tasemega ELi salastatud teabele vastavalt B liites esitatud vastavustabelile, kui selline ajutine juurdepääs on liidu huvides nõutav. Riiklikud julgeolekuasutused teavitavad julgeolekukomiteed, kui sellise ajutise juurdepääsu võimaldamine ELi salastatud teabele ei ole riigisiseste õigusaktide kohaselt lubatud.

33. Olukorra kiireloomulisusest tulenevalt ja juhul, kui see on teenistuse huvide tõttu nõuetekohaselt põhjendatud, võib nõukogu peasekretariaadi ametisse nimetav asutus pärast selle liikmesriigi riikliku julgeolekuasutusega konsulteerimist, mille kodanik asjaomane isik on, ning isiku usaldusväärsust kahjustavate asjaolude puudumise kinnitamiseks läbiviidud eelkontrollide tulemusest olenevalt anda enne täieliku julgeolekukontrolli lõpulejõudmist nõukogu peasekretariaadi ametnikele ja muudele teenistujatele konkreetse ülesande täitmiseks ajutise loa juurdepääsuks ELi salastatud teabele. Nimetatud ajutisi lube antakse kuni kuueks kuuks ja need ei võimalda juurdepääsu TRÈS SECRET UE/EU TOP SECRET tasemel salastatud teabele. Kõik ajutise loa saanud isikud kinnitavad kirjalikult, et nad mõistavad oma kohustusi seoses ELi salastatud teabe kaitsmisega ning on teadlikud tagajärgedest, mis kaasnevad ELi salastatud teabe ohtu sattumisega. Nimetatud kirjalike kinnituste registrit peab nõukogu peasekretariaat.

34. Kui isik kavatsetakse määrata ametikohale, mis nõuab kõrgema tasemega juurdepääsuluba, kui isik hetkel omab, võib isiku ajutiselt ametisse määrata tingimusel, et:

35. Eespool kirjeldatud korda kasutatakse ühekordse juurdepääsu andmiseks ELi salastatud teabele, mille salastatuse tase on ühe astme võrra kõrgem sellest, mille suhtes asjaomane isik on läbinud julgeolekukontrolli. Kõnealust korda ei rakendata korduvalt.

36. Väga erandlike asjaolude korral, näiteks vaenulikus keskkonnas läbiviidavate missioonide või kasvavate rahvusvaheliste pingete ajal, kui erakorralised meetmed seda nõuavad ja eelkõige inimelude päästmise eesmärgil, võivad liikmesriigid ja peasekretär anda võimaluse korral kirjalikult loa juurdepääsuks CONFIDENTIEL UE/EU CONFIDENTIAL või SECRET UE/EU SECRET tasemel salastatud teabele nõutavat juurdepääsuluba mitteomavatele isikutele, tingimusel et selline luba on hädavajalik ning puudub põhjendatud kahtlus asjaomase isiku lojaalsuse ja usaldusväärsuse suhtes. Kõnealuse loa andmisega seotud dokumente, kaasa arvatud kirjeldust teabe kohta, millele juurdepääs võimaldati, säilitatakse registris.

37. TRÈS SECRET UE/EU TOP SECRET tasemel salastatud teabe puhul antakse kõnealune erakorraline juurdepääs üksnes liidu kodanikele, kellele on lubatud juurdepääs TRÈS SECRET UE/EU TOP SECRET tasemel salastatud teabega samaväärsel tasemel riigisiseselt salastatud teabele või SECRET UE/EU SECRET tasemel salastatud teabele.

38. Punktides 36 ja 37 sätestatud korra kasutamise juhtudest teavitatakse julgeolekukomiteed.

39. Kui liikmesriigi õigusaktidega on ajutiste lubade, ajutise ametissemääramise ning isikutele salastatud teabele ühekordse või erakorralise juurdepääsu andmise suhtes kehtestatud rangemad eeskirjad, siis rakendatakse käesolevas jaos ette nähtud menetlusi vaid asjaomastes riigisisestes õigusaktides sätestatud piirides.

40. Julgeolekukomiteele esitatakse aastaaruanne käesolevas jaos sätestatud menetluste kasutamise kohta.

41. Kui punktist 28 ei tulene teisiti, võivad isikud, kellele on tehtud ülesandeks osaleda nõukogu istungitel või nõukogu ettevalmistavate organite koosolekutel, kus käsitletakse CONFIDENTIEL UE/EU CONFIDENTIAL või kõrgemal tasemel salastatud teavet, teha seda alles pärast nende juurdepääsuloa olemasolu kontrollimist. Liikmesriikide esindajate puhul edastavad pädevad asutused juurdepääsutõendi või muud juurdepääsuloa olemasolu kinnitavad tõendid nõukogu peasekretariaadi julgeolekubüroole või erandjuhul esitab selle asjaomane esindaja isiklikult. Vajaduse korral võib kasutada koondnimekirja, milles on esitatud asjaomased juurdepääsuloa olemasolu tõendid.

42. Kui julgeolekuga seotud põhjustel on tühistatud sellise isiku juurdepääsuluba ELi salastatud teabele, kelle tööülesanded nõuavad osalemist nõukogu istungitel või nõukogu ettevalmistavate organite koosolekutel, siis teavitab pädev asutus sellest nõukogu peasekretariaati.

43. Kullerid, valvetöötajad ja saatjad peavad läbima nõuetekohase taseme julgeolekukontrolli või riigisiseste õigusaktidega ette nähtud muu asjakohase kontrolli, neid teavitatakse ELi salastatud teabe kaitseks vajalikest julgeolekumenetlustest ning neile antakse juhtnöörid nende hoolde usaldatud ELi salastatud teabe kaitsmiseks.

1. Käesolev lisa sisaldab sätteid artikli 8 rakendamise kohta. Lisas sätestatakse miinimumnõuded objektide, hoonete, ametiruumide ja muude alade, kus toimub ELi salastatud teabe töötlemine ja säilitamine, sealhulgas side- ja infosüsteeme sisaldavate alade füüsiliseks kaitsmiseks.

2. ELi salastatud teabele volitamata juurdepääsu vältimiseks töötatakse välja füüsilise julgeoleku meetmed, mille eesmärk on:

3. Füüsilise julgeoleku meetmed valitakse välja pädevate asutuste poolt läbiviidava ohtude hinnangu alusel. Nõukogu peasekretariaat ja liikmesriigid kohaldavad ELi salastatud teabe kaitseks oma objektidel riskijuhtimisprotsessi, et tagada sellise tasemega füüsiline kaitse, mis on vastavuses hinnatud riskiga. Riskijuhtimisprotsessis võetakse arvesse kõiki asjakohaseid tegureid, eelkõige:

4. Süvakaitse põhimõttele tuginedes määrab pädev julgeolekuasutus kindlaks, milliseid asjakohaseid füüsilise julgeoleku meetmeid rakendada. Need võivad hõlmata üht või mitut järgmistest meetmetest:

5. Pädeval asutusel võib lubada korraldada sisse- ja väljapääsudes läbiotsimisi, et takistada loata esemete toomist objektidele või hoonetesse või sealt ELi salastatud teabe loata väljaviimist.

6. Kui on oht, et ELi salastatud teavet võidakse jälgida, isegi kui see toimub juhuslikult, võetakse selle takistamiseks asjakohaseid meetmeid.

7. Uute rajatiste puhul määratletakse füüsilise julgeoleku nõuded ja nende funktsionaalne kirjeldus osana rajatiste planeerimise ja projekteerimise protsessist. Olemasolevate rajatiste puhul rakendatakse füüsilise julgeoleku nõudeid võimalikult suures ulatuses.

8. Pädev julgeolekuasutus tagab ELi salastatud teabe füüsiliseks kaitseks vajalike seadmete (nt seifid, paberipurustajad, ukselukud, elektroonilised juurdepääsu kontrollimise süsteemid, sissetungi avastamise süsteemid, häiresüsteemid) hankimisel, et nimetatud seadmed vastavad heakskiidetud tehnilistele standarditele ja miinimumnõuetele.

9. ELi salastatud teabe füüsiliseks kaitsmiseks kasutatavate seadmete tehnilised kirjeldused sätestatakse julgeolekusuunistes, mille kiidab heaks julgeolekukomitee.

10. Turvasüsteemide tööd kontrollitakse korrapäraste ajavahemike järel ja seadmeid hooldatakse regulaarselt. Hooldustööde tegemisel võetakse arvesse kontrollide tulemusi, et tagada seadmete jätkuv töötamine optimaalsel režiimil.

11. Iga kontrolli käigus vaadatakse konkreetsete turvameetmete ja kogu julgeolekusüsteemi tõhusus uuesti läbi.

12. ELi salastatud teabe füüsiliseks kaitsmiseks luuakse kaht tüüpi füüsiliselt kaitstud alad või riigisisese süsteemi kohaselt samaväärsed alad:

Käesolevas otsuses käsitatakse viiteid haldustegevuse aladele ja turvaaladele (sealhulgas tehniliselt kaitstud turvaaladele) ühtlasi ka viidetena riigisisese süsteemi kohaselt samaväärsetele aladele.

13. Pädev julgeolekuasutus tõendab, et ala vastab nõuetele, mille alusel võib selle tunnistada haldustegevuse alaks, turvaalaks või tehniliselt kaitstud turvaalaks.

14. Haldustegevuse alade puhul:

15. Turvaalade puhul:

16. Juhul kui turvaalale sisenemine tähendab praktiliselt otsest juurdepääsu alas asuvale salastatud teabele, kohaldatakse järgmisi täiendavaid nõudeid:

17. Pealtkuulamise vastu kaitstud turvaalad määratakse tehniliselt kaitstud turvaaladena. Kohaldatakse järgmisi täiendavaid nõudeid:

18. Olenemata punkti 17 alapunktist d vaatab pädev julgeolekuasutus enne SECRET UE/EU SECRET ja kõrgemal tasemel salastatud teabega seonduvate koosolekute toimumiseks või töö tegemiseks ette nähtud alade kasutamist, ning kui ohtu ELi salastatud teabele hinnatakse suureks, üle kõik sidevahendid ja elektri- või elektroonikaseadmed, tagamaks et selliste seadmetega ei saa edastada teavet tahtmatult ega varjatult arusaadaval kujul väljapoole turvaala piire.

19. Turvaalasid, kus töötajad ei viibi ööpäevaringselt, kontrollitakse vajaduse korral tavapärase tööaja lõppedes ja pisteliselt väljaspool tavapärast tööaega, välja arvatud juhul, kui alale on paigaldatud sissetungi avastamise süsteem.

20. Haldustegevuse ala piires võib ajutiselt luua turvaalasid või tehniliselt kaitstud turvaalasid salastatud teavet käsitlevate koosolekute pidamiseks või muul samalaadsel eesmärgil.

21. Iga turvaala jaoks töötatakse välja turvanõuete rakendamise kord, milles määratakse kindlaks järgmised asjaolud:

22. Turvaaladele ehitatakse turvakambrid. Turvakambrite seinad, põrandad, laed, aknad ja lukustatavad uksed peavad olema pädeva julgeolekuasutuse poolt heaks kiidetud ja pakkuma samaväärset kaitset kui samal tasemel ELi salastatud teabe säilitamiseks heakskiidetud seifid.

23. RESTREINT UE/EU RESTRICTED tasemel ELi salastatud teavet võib töödelda:

24. RESTREINT UE/EU RESTRICTED tasemel ELi salastatud teavet säilitatakse sobivas lukustatud kontorimööblis haldustegevuse alal või turvaalal. Seda võib ajutiselt säilitada väljaspool turvaala või haldustegevuse ala, tingimusel et valdaja kohustub järgima pädeva julgeolekuasutuse kehtestatud julgeolekujuhistes sätestatud kompenseerivaid meetmeid.

25. CONFIDENTIEL UE/EU CONFIDENTIAL või SECRET UE/EU SECRET tasemel ELi salastatud teavet võib töödelda:

26. CONFIDENTIEL UE/EU CONFIDENTIAL või SECRET UE/EU SECRET tasemel ELi salastatud teavet säilitatakse turvaalal kas seifis või turvakambris.

27. TRÈS SECRET UE/EU TOP SECRET tasemel ELi salastatud teavet töödeldakse turvaalal.

28. TRÈS SECRET UE/EU TOP SECRET tasemel ELi salastatud teavet säilitatakse turvaalal ühel järgmistest tingimustest:

29. Eeskirjad ELi salastatud teabe veo kohta väljaspool füüsiliselt kaitstud alasid on esitatud III lisas.

30. Pädev julgeolekuasutus määrab kindlaks ametiruumide, muude ruumide, turvakambrite ja seifide võtmete ja koodide haldamise korra. Selline kord peab kaitsma volitamata juurdepääsu eest.

31. Koodid tuleb pähe õppida ja koode teadvate isikute arv peab olema võimalikult väike. ELi salastatud teabe säilitamiseks kasutatavate seifide ja turvakambrite koode muudetakse:

1. Käesolev lisa sisaldab sätteid artikli 9 rakendamise kohta. Selles sätestatakse haldusmeetmed ELi salastatud teabe kontrollimiseks kogu selle kasutusaja jooksul, et aidata ära hoida ja avastada sellise teabe teadlik või juhuslik ohtu sattumine või kadumine.

2. Teave peab olema salastatud, kui see vajab kaitset seoses oma salajasusega.

3. ELi salastatud teabe koostaja vastutab selle salastatuse taseme määramise eest vastavalt asjaomastele salastamise suunistele ning teabe esialgse levitamise eest.

4. ELi salastatud teabe salastatuse tase määratakse kindlaks artikli 2 lõike 2 kohaselt ja lähtudes artikli 3 lõike 3 kohaselt heaks kiidetud julgeolekupoliitikast.

5. Salastatuse tase peab olema selgelt ja täpselt märgitud, olenemata sellest, kas ELi salastatud teave on paberkandjal, suuline või elektroonilises või muus vormis.

6. Ühe dokumendi eri osad (st leheküljed, lõigud, jaotised, lisad, liited, manused ja täiendused) võivad vajada erineval tasemel salastamist ning need tähistatakse vastavalt, sealhulgas nende säilitamisel elektroonilises vormis.

7. Dokumendi või faili üldine salastatuse tase on vähemalt sama kõrge kui selle kõige kõrgema salastatuse tasemega osal. Erinevatest allikatest pärineva teabe koondamisel vaadatakse lõpptulemus üle, et määrata kindlaks üldine salastatuse tase, sest vajalikuks võib osutuda dokumendi üksikosadele määratust kõrgem salastatuse tase.

8. Võimaluse korral liigendatakse erinevatel tasemetel salastatud osi sisaldav dokument selliselt, et selle erinevatel tasemetel salastatud osad on kergesti tuvastatavad ja vajaduse korral eraldatavad ülejäänud dokumendist.

9. Kui dokumentidele on lisatud kiri või teade, määratakse sellele kõige kõrgema salastatuse tasemega dokumendi salastatuse tase. Kirja või teate koostaja märgib täpselt, milline on selle salastatuse tase ilma lisatud dokumentideta, kasutades selleks asjakohast märget, näiteks:

CONFIDENTIEL UE/EU CONFIDENTIAL

Manus(t)eta RESTREINT UE/EU RESTRICTED

10. Lisaks ühele artikli 2 lõikes 2 nimetatud salastusmärkele võib ELi salastatud teave kanda täiendavat märget, nagu:

11. Teksti üksikute lõikude salastatuse taseme märkimiseks võib kasutada salastatuse taseme standardlühendeid. Sellised lühendid ei asenda salastusmärke täielikku varianti.

12. ELi salastatud dokumentides võib lühemate kui ühe lehekülje pikkuste tekstilõikude salastatuse taseme märkimisel kasutada järgmisi standardlühendeid:

13. ELi salastatud dokumendi koostamisel:

14. Kui punkti 13 ei ole võimalik ELi salastatud teabe suhtes kohaldada, võetakse vastavalt artikli 6 lõikele 2 koostatavatele julgeolekusuunistele muid sobivaid meetmeid.

15. Teabe koostamise ajal märgib koostaja võimaluse korral ning eelkõige RESTREINT UE/EU RESTRICTED tasemel salastatud teabe puhul, kas ELi salastatud teabe salastatuse taset võib teataval kuupäeval või konkreetse sündmuse järel alandada või selle kustutada.

16. Nõukogu peasekretariaat vaatab korrapäraselt läbi tema valduses oleva ELi salastatud teabe, et teha kindlaks, kas salastatuse tase on jätkuvalt kehtiv. Nõukogu peasekretariaat kehtestab süsteemi, mille abil vaadatakse mitte harvem kui iga viie aasta järel läbi sellise ELi salastatud teabe salastatuse tase, mille on koostanud nõukogu peasekretariaat. Selline läbivaatamine ei ole vajalik, kui teabe koostaja on juba alguses osutanud, et teabe salastatuse taset alandatakse või salastatus kustutatakse automaatselt, ning teave on vastavalt tähistatud.

17. Iga ELi salastatud teavet töötleva nõukogu peasekretariaadi ja liikmesriikide valitsusasutuste struktuuriüksuse jaoks määratakse kindlaks vastutav register, et tagada ELi salastatud teabe töötlemine käesoleva otsuse kohaselt. Registrid luuakse II lisas määratletud turvaaladena.

18. Käesolevas otsuses tähendab julgeolekukaalutlustel registreerimine („registreerimine”) menetluste kohaldamist, mille abil talletatakse andmed materjali kogu kasutusaja iga etapi, sealhulgas selle levitamise ja hävitamise kohta.

19. Kogu CONFIDENTIEL UE/EU CONFIDENTIAL ja sellest kõrgemal tasemel salastatud materjal registreeritakse selleks määratud registrites, kui see saabub asutuse struktuuriüksusesse või kui see sealt välja saadetakse.

20. Nõukogu peasekretariaadi keskregistris peetakse arvet kogu salastatud teabe üle, mida nõukogu ja nõukogu peasekretariaat edastavad kolmandatele riikidele ja rahvusvahelistele organisatsioonidele, ja kogu salastatud teabe üle, mis neilt saadakse.

21. Side- ja infosüsteemi puhul võib registreerimiseks kasutada side- ja infosüsteemis sisalduvaid protsesse.

22. Nõukogu kiidab heaks julgeolekupoliitika ELi salastatud teabe julgeolekukaalutlustel registreerimise kohta.

23. Liikmesriikides ja nõukogu peasekretariaadis määratakse üks register toimima TRÈS SECRET UE/EU TOP SECRET tasemel salastatud teabe keskse vastuvõtva ja edastava asutusena. Vajaduse korral võib määrata allregistreid kõnealust teavet registreerimise eesmärgil töötlema.

24. Sellised allregistrid ei tohi edastada TRÈS SECRET UE/EU TOP SECRET tasemel salastatud dokumente otse teistele sama TRÈS SECRET UE/EU TOP SECRET keskregistri allregistritele või väljapoole ilma nimetatud keskregistri sõnaselge nõusolekuta.

25. TRÈS SECRET UE/EU TOP SECRET tasemel salastatud dokumente ei tohi kopeerida ega tõlkida ilma selle koostaja eelneva kirjaliku nõusolekuta.

26. Kui SECRET UE/EU SECRET ja sellest madalamal tasemel salastatud dokumentide koostaja ei ole seadnud piiranguid nende kopeerimise või tõlkimise suhtes, siis võib dokumendi valdaja ülesandel neid kopeerida või tõlkida.

27. Originaaldokumendi suhtes kohaldatavaid turvameetmeid rakendatakse ka selle dokumendi koopiate ja tõlgete suhtes.

28. ELi salastatud teabe vedamise suhtes kohaldatakse punktides 30–41 ette nähtud kaitsemeetmeid. Kui ELi salastatud teavet veetakse elektroonilisel andmekandjal, ja olenemata artikli 9 lõikest 4, võib allpool esitatud kaitsemeetmeid täiendada asjakohaste tehniliste vastumeetmetega, mis nähakse ette pädeva julgeolekuasutuse poolt, et minimeerida teabe ohtu sattumise või kadumise riski.

29. Pädevad julgeolekuasutused nõukogu peasekretariaadis ja liikmesriikides väljastavad juhised ELi salastatud teabe vedamiseks käesoleva otsuse kohaselt.

30. Hoones või hoone tekompleksis veetav ELi salastatud teave tuleb kinni katta, et vältida selle sisu märkamise võimalust.

31. Hoones või hoonete kompleksis veetakse TRÈS SECRET UE/EU TOP SECRET tasemel salastatud teavet turvaümbrikus, millele on märgitud üksnes adressaadi nimi.

32. Liidu piires hoonete või valduste vahel veetav ELi salastatud teave pakendatakse selliselt, et see on kaitstud teabe loata avaldamise eest.

33. CONFIDENTIEL UE/EU CONFIDENTIAL ja SECRET UE/EU SECRET tasemel salastatud teabe vedu liidus toimub ühel järgmistest viisidest:

Kui vedu toimub ühest liikmesriigist teise, piirdub alapunkti c sätete kohaldamine kuni CONFIDENTIEL UE/EU CONFIDENTIAL tasemeni salastatud teabega.

34. RESTREINT UE/EU RESTRICTED tasemel salastatud teavet võib vedada ka postiteenuste või kommertskullerteenuste kaudu. Sellise teabe vedamiseks kullerisertifikaati ei nõuta.

35. CONFIDENTIEL UE/EU CONFIDENTIAL või SECRET UE/EU SECRET tasemel salastatud materjali (nt seadet või masinat), mida ei saa vedada punktis 33 nimetatud viisidel, tuleb V lisa kohaselt vedada kaubana transpordiettevõtjate poolt.

36. TRÈS SECRET UE/EU TOP SECRET tasemel salastatud teabe vedu liidu piires hoonete või valduste vahel toimub vastavalt vajadusele sõjalise, valitsuse või diplomaatilise kulleriga.

37. Liidust kolmanda riigi territooriumile veetav ELi salastatud teave pakendatakse selliselt, et see on kaitstud teabe loata avaldamise eest.

38. CONFIDENTIEL UE/EU CONFIDENTIAL või SECRET UE/EU SECRET tasemel salastatud teabe vedu liidust kolmanda riigi territooriumile toimub ühel järgmistest viisidest:

39. Liidu poolt kolmandale riigile või rahvusvahelisele organisatsioonile edastatud CONFIDENTIEL UE/EU CONFIDENTIAL või SECRET UE/EU SECRET tasemel salastatud teabe vedu peab vastama artikli 13 lõike 2 punkti a või b kohaselt sõlmitud salastatud teabe kaitse lepingu või halduskokkuleppe asjaomastele sätetele.

40. RESTREINT UE/EU RESTRICTED tasemel salastatud teavet võib vedada ka postiteenuste või kommertskullerteenuste kaudu.

41. TRÈS SECRET UE/EU TOP SECRET tasemel salastatud teabe vedu liidust kolmanda riigi territooriumile toimub sõjalise või diplomaatilise kulleriga.

42. ELi salastatud dokumendid, mida ei ole enam vaja, võib hävitada, ilma et see piiraks arhiveerimist puudutavaid asjaomaseid õigusnorme.

43. Artikli 9 lõike 2 kohaselt registreerimisele kuuluvad dokumendid hävitab vastutav register dokumendi valdaja või pädeva asutuse ülesandel. Registreerimisraamatud ja muu registreerimisteave ajakohastatakse vastavalt.

44. SECRET UE/EU SECRET või TRÈS SECRET UE/EU TOP SECRET tasemel salastatud dokumentide hävitamise juures viibib tunnistaja, kes on läbinud vähemalt hävitatava dokumendi salastatuse tasemele vastava julgeolekukontrolli.

45. Registripidaja ja tunnistaja, kui viimase kohalolek on nõutav, kirjutavad alla dokumendi hävitamisaktile, mis antakse hoiule registrisse. Registris säilitatakse TRÈS SECRET UE/EU TOP SECRET tasemel salastatud dokumentide hävitamisakte vähemalt kümme aastat ja CONFIDENTIEL UE/EU CONFIDENTIAL ning SECRET UE/EU SECRET tasemel salastatud dokumentide hävitamisakte vähemalt viis aastat.

46. Salastatud, sealhulgas RESTREINT UE/EU RESTRICTED tasemel salastatud dokumendid hävitatakse viisil, mis vastab asjakohastele liidu või samaväärsetele standarditele, või mis on liikmesriikide poolt heaks kiidetud vastavalt riigisisestele tehnilistele standarditele, et takistada nende täielikku või osalist taastamist.

47. ELi salastatud teabe salvestamiseks kasutatud elektrooniliste salvestusvahendite hävitamine toimub vastavalt IV lisa punktile 37.

48. Hädaolukorras, kus esineb ELi salastatud teabe otsene loata avalikustamise oht, hävitab teabe valdaja selle viisil, mis teeb võimatuks ELi salastatud teabe tervikliku või osalise taastamise. Koostajat ja päritoluregistrit teavitatakse registreeritud ELi salajase teabe hävitamisest hädaolukorra tõttu.

49. Mõistet „hindamiskülastus” kasutatakse, et tähistada:

mille eesmärk on hinnata ELi salastatud teabe kaitsmiseks rakendatavate meetmete tõhusust.

50. Hindamiskülastustel on muu hulgas järgmised eesmärgid:

51. Enne iga kalendriaasta lõppu võtab nõukogu vastu artikli 16 lõike 1 punktis c ette nähtud hindamiskülastuste kava järgmiseks aastaks. Iga hindamiskülastuse konkreetne kuupäev määratakse kindlaks kokkuleppel asjaomase liidu organi või asutuse, liikmesriigi, kolmanda riigi või rahvusvahelise organisatsiooniga.

52. Hindamiskülastusi korraldatakse selleks, et kontrollida hinnatava üksuse asjakohaste eeskirjade ja menetluste ning ka üksuse töötavade vastavust käesolevas otsuses sätestatud aluspõhimõtetele ja miinimumstandarditele ning kõnealuse üksusega toimuva salastatud teabe vahetamist reguleerivatele sätetele.

53. Hindamiskülastusi korraldatakse kahes osas. Enne tegelikku külastust peetakse vajaduse korral ettevalmistav koosolek asjaomase üksusega. Pärast kõnealust ettevalmistavat koosolekut koostab hindamisrühm kokkuleppel asjaomase üksusega üksikasjaliku hindamiskülastuse kava, mis hõlmab kõiki julgeolekuvaldkondi. Hindamiskülastuse rühmal peaks olema juurdepääs mis tahes kohale, kus töödeldakse ELi salastatud teavet, eelkõige registritele ning side- ja infosüsteemide paiknemise kohtadele.

54. Hindamiskülastused liikmesriikide valitsusasutustesse, kolmandatesse riikidesse ja rahvusvahelistesse organisatsioonidesse toimuvad täielikus koostöös külastatava üksuse, kolmanda riigi või rahvusvahelise organisatsiooni ametnikega.

55. Hindamiskülastusi liidu organitesse, asutustesse ja üksustesse, kus kohaldatakse käesolevat otsust või selle põhimõtteid, viiakse läbi selle liikmesriigi julgeolekuasutuse ekspertide abiga, kelle territooriumil organ või asutus asub.

56. Hindamiskülastuste läbiviimisel liidu organitesse, asutustesse ja üksustesse, kus kohaldatakse käesolevat otsust või selle põhimõtteid, ning kolmandatesse riikidesse ja rahvusvahelistesse organisatsioonidesse võidakse taotleda liikmesriigi julgeolekuasutuste ekspertide abi ja panustamist vastavalt julgeolekukomitee poolt heaks kiidetud üksikasjalikule korrale.

57. Hindamiskülastuse lõpus esitatakse külastatud üksusele peamised järeldused ja soovitused. Seejärel koostatakse aruanne hindamiskülastuse kohta. Juhul kui on tehtud ettepanekuid parandusmeetmeteks või esitatud soovitusi, lisatakse aruandesse piisavalt üksikasjalikku teavet tehtud järelduste toetamiseks. Aruanne edastatakse külastatud üksuse asjaomasele asutusele.

58. Liikmesriikide valitsusasutustes teostatavate hindamiskülastuste puhul:

Nõukogu peasekretariaadi julgeolekuasutuse (julgeolekubüroo) vastutusel koostatakse korrapärane aruanne, milles tuuakse esile liikmesriikides kindlaksmääratud ajavahemiku jooksul teostatud hindamiskülastuste käigus saadud õppetunnid, ning julgeolekukomitee vaatab selle läbi.

59. Kolmandatesse riikidesse ja rahvusvahelistesse organisatsioonidesse tehtud hindamiskülastuste puhul saadetakse aruanne julgeolekukomiteele. Aruanne salastatakse vähemalt RESTREINT UE/EU RESTRICTED tasemel. Parandusmeetmeid kontrollitakse järelkülastuse ajal ning nendest teavitatakse julgeolekukomiteed.

60. Käesolevat otsust või selle põhimõtteid kohaldavatesse liidu organitesse, asutustesse ja üksustesse tehtud hindamiskülastuste puhul saadetakse aruanded julgeolekukomiteele. Hindamiskülastuse aruande kavand edastatakse asjaomasele organile või asutusele, et kontrollida faktide õigsust ja seda, et aruanne ei sisaldaks RESTREINT UE/EU RESTRICTED tasemest kõrgemal tasemel salastatud teavet. Parandusmeetmeid kontrollitakse järelkülastuse ajal ning nendest teavitatakse julgeolekukomiteed.

61. Nõukogu peasekretariaadi julgeolekuasutus kontrollib punktis 50 sätestatud eesmärkidel korrapäraselt nõukogu peasekretariaadi struktuuriüksusi.

62. Hindamiskülastuse käigus kontrollitavate objektide loendi koostab ja seda ajakohastab nõukogu peasekretariaadi julgeolekuasutus (julgeolekubüroo). Kõnealune kontroll-loend edastatakse julgeolekukomiteele.

63. Kontroll-loendi koostamiseks vajalik teave saadakse eelkõige külastuse ajal kontrollitava üksuse julgeolekutöötajatelt. Pärast kontroll-loendi täitmist üksikasjalike vastustega salastatakse see vastavalt kontrollitud üksusega kokku lepitule. Kontroll-loend ei ole kontrolliaruande osa.

1. Käesolev lisa sisaldab sätteid artikli 10 rakendamise kohta.

2. Toimingute julgeoleku tagamiseks ja nõuetekohaseks läbiviimiseks side- ja infosüsteemis on olulised järgmised infokindluse omadused ja mõisted:

3. Allpool esitatavad sätted on iga side- ja infosüsteemi, milles töödeldakse ELi salastatud teavet, turvalisuse aluseks. Kõnealuste sätete rakendamise üksikasjalikud nõuded määratakse kindlaks infokindluse julgeolekupoliitikates ja julgeolekusuunistes.

4. Turvariski juhtimine on side- ja infosüsteemi määratlemise, arendamise, kasutamise ja haldamise lahutamatu osa. Riskijuhtimist (hindamine, käsitlemine, aktsepteerimine ja teavitamine) viiakse läbi süsteemiomanike, projekteerimisasutuste, töötlejate ja julgeolekualase heakskiidu andmise asutuste esindajate poolt ühiselt järkjärgulise protsessina, kasutades tõestatud, läbipaistvat ja täielikult arusaadavat riskihindamise protsessi. Side- ja infosüsteemi ulatus ja selle osad määratakse selgelt kindlaks riskijuhtimisprotsessi alguses.

5. Pädevad asutused käsitlevad side- ja infosüsteeme ähvardavaid võimalikke ohtusid ning koostavad ajakohased ja täpsed riskihinnangud, mis kajastavad olemasolevat töökeskkonda. Nad ajakohastavad pidevalt oma teadmisi süsteemi haavatavuse küsimustes ning vaatavad regulaarselt läbi haavatavust käsitlevad hinnangud, et ajakohastada neid vastavalt muutustele infotehnoloogia valdkonnas.

6. Turvariski käsitlemise eesmärk on kohaldada kindlat hulka turvameetmeid, mis tagavad rahuldava tasakaalu kasutajate nõudmiste, kulude ja turvalisuse jääkriski vahel.

7. Konkreetsed nõuded, nende ulatus ja üksikasjalikkuse aste, mille määrab kindlaks side- ja infosüsteemi akrediteerimise eest vastutav asjaomane turvalisuse akrediteerimise asutus, peavad olema vastavuses hinnatud ohuga, mille puhul on arvesse võetud kõiki olulisi tegureid, sealhulgas side- ja infosüsteemis töödeldava ELi salastatud teabe salastatuse taset. Akrediteerimine hõlmab jääkriski käsitleva ametliku dokumendi koostamist ja jääkriski aktsepteerimist vastutava asutuse poolt.

8. Julgeoleku tagamine on nõutav side- ja infosüsteemi kogu kasutusaja jooksul alates selle kasutusele võtmisest kuni kasutusest kõrvaldamiseni.

9. Side- ja infosüsteemi kogu kasutusaja iga etapi puhul tehakse kindlaks iga sellega seotud osaleja roll ja tegevus seoses nimetatud süsteemi julgeolekuga.

10. Kõigi side- ja infosüsteemide, sealhulgas nende tehniliste ja mittetehniliste turvameetmete suhtes viiakse akrediteerimisprotsessi käigus läbi turvatestid, et tagada, et on saavutatud sobiv kindluse tase, ning teha kindlaks, et need süsteemid on nõuetekohaselt rakendatud, integreeritud ja konfigureeritud.

11. Turvalisuse hindamine, kontrollimine ja läbivaatamine toimub regulaarselt side- ja infosüsteemi kasutamise ja hooldamise ajal ning samuti erakorraliste asjaolude tekkimisel.

12. Side- ja infosüsteemi julgeolekualane dokumentatsioon kujuneb süsteemi kasutusaja jooksul muudatuste ja konfiguratsiooni haldamise protsessi lahutamatu osana.

13. Nõukogu peasekretariaat ja liikmesriigid teevad koostööd, et töötada välja parim tava side- ja infosüsteemis töödeldava ELi salastatud teabe kaitseks. Parimat tava käsitlevates suunistes kirjeldatakse side- ja infosüsteemi tehnilisi, füüsilisi, organisatsioonilisi ja menetluslikke turvameetmeid, mille tõhusus teadaolevate ohtude tõrjumisel ja haavatavuse kõrvaldamisel on tõendatud.

14. Side- ja infosüsteemides töödeldava ELi salastatud teabe kaitsel tuginetakse nii liidus kui ka väljaspool liitu asuvate infokindlusega tegelevate asutuste kogemustele.

15. Parima tava levitamine ja edasine rakendamine aitab saavutada ühtse infokindluse taseme nõukogu peasekretariaadi ja liikmesriikide poolt kasutatavate erinevate side- ja infosüsteemide puhul, milles töödeldakse ELi salastatud teavet.

16. Side- ja infosüsteemidega seotud riskide maandamiseks rakendatakse erinevaid tehnilisi ja mittetehnilisi mitme kaitseliinina võetavaid turvameetmeid. Need kaitseliinid on muu hulgas järgmised:

Selliste turvameetmete tugevusaste määratakse kindlaks vastavalt riskihinnangule.

17. Riiklik julgeolekuasutus või muu pädev asutus tagab järgmise:

18. Toimimiseks vajalike nõuete täitmiseks rakendatakse üksnes hädavajalikke funktsioone, seadmeid ja teenuseid, et vältida asjatut riski.

19. Õnnetusjuhtumitest, vigadest või side- ja infosüsteemi loata kasutamisest tuleneva kahju piiramiseks antakse side- ja infosüsteemi kasutajatele ja automatiseeritud protsessidele vaid selline juurdepääs, õigused ja volitused, mis on neile vajalik oma ülesannete täitmiseks.

20. Side- ja infosüsteemi poolt teostatavat logimist kontrollitakse vajaduse korral akrediteerimisprotsessi käigus.

21. Side- ja infosüsteemide julgeoleku esimeseks kaitseliiniks on riskide teadvustamine ja turvameetmete olemasolu. Eelkõige peavad kõik side- ja infosüsteemiga selle kasutusaja jooksul kokku puutuvad töötajad, sealhulgas kasutajad, mõistma järgmist:

22. Turvalisusega seotud vastutuse mõistmise tagamiseks on infokindluse alane koolitus ja teadlikkust parandav koolitus kohustuslik kõigile asjaomastele töötajatele, sealhulgas kõrgema astme juhtkonnale ning side- ja infosüsteemi kasutajatele.

23. Turvameetmete usaldatavus, mida väljendatakse infokindluse taseme kaudu, määratakse kindlaks riskijuhtimisprotsessi tulemuste põhjal ning kooskõlas asjaomaste julgeolekupoliitikate ja julgeolekusuunistega.

24. Infokindluse taset kontrollitakse rahvusvaheliselt tunnustatud või riiklikult heakskiidetud protsesside ja meetodite abil. See hõlmab esmast hindamist, kontrolli ja auditeerimist.

25. ELi salastatud teabe kaitsmiseks kasutatavaid krüptovahendeid hindab ja annab neile heakskiidu liikmesriigi krüptovahendite heakskiitmise asutus.

26. Enne krüptovahenditele artikli 10 lõike 6 kohase nõukogu või peasekretäri heakskiidu soovitamist on kõnealused krüptovahendid läbinud edukalt sellise liikmesriigi nõuetekohase pädevusega asutuse poolt teostatud teise poole hindamise, kes ei ole seotud seadme väljatöötamise ega tootmisega. Teise poole teostatava hindamise nõutav põhjalikkuse aste sõltub asjaomaste toodete abil kaitstava ELi salastatud teabe maksimaalsest salastatuse tasemest. Nõukogu kiidab heaks julgeolekupoliitika krüptovahendite hindamise ja heakskiitmise kohta.

27. Kui see on õigustatud konkreetsetel operatiivsetel põhjustel, võib vastavalt vajadusele kas nõukogu või peasekretär loobuda julgeolekukomitee soovitusel käesoleva lisa punktis 25 või 26 sätestatud nõuetest ja anda artikli 10 lõikes 6 sätestatud korras konkreetseks tähtajaks ajutise heakskiidu.

28. Nõukogu, kes tegutseb julgeolekukomitee soovitusel, võib aktsepteerida kolmanda riigi või rahvusvahelise organisatsiooni krüptovahendite hindamis-, valiku- ja heakskiitmismenetlust ning lugeda seega sellised krüptovahendid sobivaks kaitsma kõnealusele riigile või rahvusvahelisele organisatsioonile edastatavat ELi salastatud teavet.

29. Nõuetekohase pädevusega asutus on liikmesriigi krüptovahendite heakskiitmise asutus, kes on nõukogu poolt kehtestatud kriteeriumite alusel akrediteeritud teostama teise poolena nende krüptovahendite hindamist, mis on mõeldud ELi salastatud teabe kaitsmiseks.

30. Nõukogu kiidab heaks julgeolekupoliitika mittekrüpteerivate infotehnoloogia turvatoodete kvalifitseerimise ja heakskiitmise kohta.

31. Olenemata käesoleva otsuse sätetest võib ELi salastatud teabe edastamisel turvaalade või haldustegevuse alade piires kasutada siiski riskijuhtimisprotsessi tulemuste alusel ja turvalisuse akrediteerimise asutuse loal teabe krüpteerimata edastamist või madalamal tasemel krüpteerimist.

32. Käesolevas otsuses tähendab omavaheline ühendus kahe või enama infotehnoloogia süsteemi vahelist otseühendust, mille eesmärgiks on andmete ja muude teaberessursside (nt side) ühesuunaline või mitmesuunaline jagamine.

33. Side- ja infosüsteem käsitab igat temaga ühendatud infotehnoloogia süsteemi esialgu ebausaldusväärsena ja rakendab salastatud teabe vahetuse kontrollimiseks kaitsemeetmeid.

34. Kõigi side- ja infosüsteemi mõne teise infotehnoloogia süsteemiga ühendamiste puhul tuleb täita järgmised põhinõuded:

35. Akrediteeritud side- ja infosüsteemi ei ühendata kaitsmata või avaliku võrguga, välja arvatud juhul, kui side- ja infosüsteem on kiitnud heaks kaitseteenuse, mida rakendatakse sellel eesmärgil side- ja infosüsteemi ning kaitsmata või avaliku võrgu vahel. Selliste omavaheliste ühendustega seotud turvameetmed vaatab läbi pädev infokindluse asutus ja kiidab heaks pädev turvalisuse akrediteerimise asutus.

Kui kaitsmata või avalikku võrku kasutatakse üksnes ülekandeks ja andmed on krüpteeritud sellise krüptovahendiga, mis on heaks kiidetud artikli 10 kohaselt, ei loeta sellist ühendust omavaheliseks ühenduseks.

36. TRÈS SECRET UE/EU TOP SECRET tasemel salastatud teabe töötlemiseks akrediteeritud side- ja infosüsteemi vahetu või astmeline ühendamine kaitsmata või avaliku võrguga on keelatud.

37. Elektroonilised salvestuskandjad tuleb hävitada pädeva julgeolekuasutuse poolt heaks kiidetud korra kohaselt.

38. Elektrooniliste salvestuskandjate taaskasutamine, nende salastatuse taseme alandamine või salastatuse kustutamine toimub vastavalt artikli 6 lõikele 2 koostatavatele julgeolekusuunistele.

39. Olenemata käesoleva otsuse sätetest võib erakorraliste asjaolude, nagu ähvardava või reaalse kriisi, konflikti, sõjaolukorra või operatiivsete erakorraliste asjaolude korral rakendada allpool kirjeldatud konkreetseid protseduure.

40. ELi salastatud teavet võib pädeva asutuse nõusolekul edastada, kasutades madalama salastatuse taseme jaoks heakskiidetud krüptovahendeid või krüpteerimata, kui mis tahes viivitus põhjustaks selgelt suuremat kahju kui salastatud teabe avalikuks saamisega kaasnev kahju ja kui:

41. Punktis 39 kirjeldatud asjaolude korral edastatud salastatud teavet ei tähistata märgete või tunnustega, mis eristavad seda salastamata teabest või teabest, mida on võimalik kaitsta olemasoleva krüptovahendiga. Teabe saajaid teavitatakse salastatuse tasemest viivitamatult muude vahendite abil.

42. Kui kohaldatakse punkti 39, esitatakse vastav aruanne pädevale asutusele ja julgeolekukomiteele.

43. Liikmesriikides ja nõukogu peasekretariaadis kehtestatakse järgmised allpool kirjeldatud infokindluse tagamise toimingud. Kõnealused toimingud ei nõua eraldi struktuuriüksuste moodustamist. Neil on eraldi volitused. Siiski võib kõnealuseid toiminguid ja nendega kaasnevaid vastutusi ühendada või integreerida samasse struktuuriüksusesse või jagada erinevatesse struktuuriüksustesse, tingimusel et välditakse sisemist huvide või ülesannete konflikti.

44. Infokindluse asutuse ülesanded on järgmised:

45. TEMPEST-asutus vastutab selle eest, et side- ja infosüsteemid oleksid kooskõlas TEMPESTi poliitika ja suunistega. Asutus kiidab heaks TEMPESTi vastumeetmed selliste seadmete ja toodete jaoks, mis on mõeldud kindlaksmääratud salastatuse tasemel ELi salastatud teabe kaitsmiseks nende töökeskkonnas.

46. Krüptovahendite heakskiitmise asutuse kohustus on tagada, et krüptovahendid oleksid kooskõlas vastavalt liikmesriikide või nõukogu krüpteerimispoliitikaga. Asutus annab ELi salastatud teabe kaitsmiseks mõeldud krüptovahenditele heakskiidu kindlaksmääratud salastatuse tasemel ELi salastatud teabe töötlemiseks nimetatud toote töökeskkonnas. Liikmesriikide puhul vastutab krüptovahendite heakskiitmise asutus lisaks ka krüptovahendite hindamise eest.

47. Krüptomaterjalide jaotamise asutuse ülesanded on järgmised:

48. Süsteemi turvalisuse akrediteerimise asutuse ülesanded on järgmised:

49. Nõukogu peasekretariaadi turvalisuse akrediteerimise asutus vastutab kõigi nõukogu peasekretariaadi pädevusse kuuluvates valdkondades kasutatavate side- ja infosüsteemide akrediteerimise eest.

50. Liikmesriigi asjaomane turvalisuse akrediteerimise asutus vastutab liikmesriigi pädevusse kuuluvates valdkondades kasutatavate side- ja infosüsteemide ning nende osade akrediteerimise eest.

51. Nii nõukogu peasekretariaadi kui ka liikmesriikide turvalisuse akrediteerimise asutuste pädevusse kuuluvatesse valdkondadesse kuuluvate side- ja infosüsteemide puhul vastutab akrediteerimise eest ühine turvalisuse akrediteerimise amet. Sellesse kuulub iga liikmesriigi turvalisuse akrediteerimise asutuse esindaja ja selle tegevustest võtab osa komisjoni turvalisuse akrediteerimise asutuse esindaja. Kõnealuse süsteemi aruteludele kutsutakse osalema muid üksusi, kelle sõlmpunktid on side- ja infosüsteemis.

Ühist turvalisuse akrediteerimise ametit juhib nõukogu peasekretariaadi turvalisuse akrediteerimise asutuse esindaja. Ühine turvalisuse akrediteerimise amet teeb otsuseid side- ja infosüsteemis sõlmpunkte omavate institutsioonide, liikmesriikide ja muude üksuste turvalisuse akrediteerimise asutuste esindajate vahelise konsensuse alusel. Ühine turvalisuse akrediteerimise amet esitab oma tegevuse kohta julgeolekukomiteele korrapäraselt aruandeid ja teavitab julgeolekukomiteed kõigist akrediteerimisteatistest.

52. Süsteemi infokindluse rakendusasutuse ülesanded on järgmised:

1. Käesolev lisa sisaldab sätteid artikli 11 rakendamise kohta. Selles sätestatakse üldised julgeolekunõuded, mida kohaldatakse tööstus- ja muudele ettevõtetele lepingueelsetel läbirääkimistel ja nõukogu peasekretariaadi poolt sõlmitud salastatud lepingute kogu kehtivusaja jooksul.

2. Nõukogu kiidab heaks tööstusjulgeolekut puudutavad suunised, milles visandatakse eelkõige üksikasjalikud nõuded seoses töötlemislubadega, julgeolekuaspekte käsitlevate dokumentidega, külastustega ning ELi salastatud teabe edastamise ja vedamisega.

3. Enne salastatud lepingu sõlmimist või sellise lepingu sõlmimise pakkumismenetluse algatamist määrab nõukogu peasekretariaat kui lepingu sõlmija kindlaks pakkujatele ja lepinglastele edastatava teabe salastatuse taseme ning samuti lepinglaste poolt loodava teabe salastatuse taseme. Selleks koostab nõukogu peasekretariaat lepingu täitmiseks kasutatava salastatuse taseme määramise juhendi.

4. Salastatud lepingu eri osade salastatuse taseme määramisel kohaldatakse järgmisi põhimõtteid:

5. Lepinguga seotud konkreetseid julgeolekunõudeid kirjeldatakse julgeolekuaspekte käsitlevas dokumendis. Julgeolekuaspekte käsitlev dokument sisaldab vajaduse korral salastatuse taseme määramise juhendit ning see on salastatud lepingu või all-lepingu lahutamatu osa.

6. Julgeolekuaspekte käsitlev dokument sisaldab sätteid, milles nõutakse, et lepinglane ja/või all-lepinglane järgiks käesolevas otsuses sätestatud miinimumstandardeid. Kõnealuste miinimumstandardite eiramine võib olla piisav alus lepingu lõpetamiseks.

7. Sõltuvalt ELi salastatud teabele juurdepääsu või selle töötlemist või säilitamist hõlmavate programmide või projektide ulatusest võib programmi või projekti juhtimiseks määratud lepingu sõlmija koostada konkreetsed programmi/projekti julgeolekujuhised. Programmi/projekti julgeolekujuhised peab heaks kiitma liikmesriigi riiklik julgeolekuasutus / määratud julgeolekuasutus või muu programmis/projektis osalev pädev julgeolekuasutus ning need võivad sisaldada täiendavaid julgeolekunõudeid.

8. Töötlemisloa väljastab riiklik julgeolekuasutus / määratud julgeolekuasutus või liikmesriigi muu pädev julgeolekuasutus tõendamaks vastavalt riigisisestele õigusaktidele, et tööstus- või muu üksus suudab oma valdustes kaitsta asjaomasel salastatuse tasemel (CONFIDENTIEL UE/EU CONFIDENTIAL või SECRET UE/EU SECRET) ELi salastatud teavet. See esitatakse nõukogu peasekretariaadile kui lepingu sõlmijale enne, kui lepinglasele või all-lepinglasele või potentsiaalsele lepinglasele või all-lepinglasele tohib edastada ELi salastatud teavet või võimaldada sellele juurdepääsu.

9. Töötlemisloa väljastamisel peab asjaomane riiklik julgeolekuasutus või määratud julgeolekuasutus vähemalt:

10. Kui see on asjakohane, teavitab nõukogu peasekretariaat lepingu sõlmijana asjakohast riiklikku julgeolekuasutust või määratud julgeolekuasutust või muud pädevat julgeolekuasutust sellest, et lepingueelses etapis või lepingu täitmiseks on vaja töötlemisluba. Töötlemis- või juurdepääsuluba on lepingueelses etapis nõutav, kui pakkumismenetluse käigus on vaja väljastada CONFIDENTIEL UE/EU CONFIDENTIAL või SECRET UE/EU SECRET tasemel ELi salastatud teavet.

11. Kui nõutakse töötlemisluba, ei anna lepingu sõlmija eelistatud pakkujale täitmiseks salastatud lepingut enne, kui on saadud kinnitus selle liikmesriigi riiklikult julgeolekuasutuselt, määratud julgeolekuasutuselt või muult pädevalt julgeolekuasutuselt, kus on asjaomase lepinglase või all-lepinglase asukoht, et on väljastatud nõuetekohane töötlemisluba.

12. Töötlemisloa väljastanud riiklik julgeolekuasutus / määratud julgeolekuasutus või muu pädev julgeolekuasutus teavitab nõukogu peasekretariaati kui lepingu sõlmijat kõigist töötlemisloaga seotud muudatustest. All-lepingust teavitatakse julgeolekuasutust / määratud julgeolekuasutust või muud pädevat julgeolekuasutust.

13. Töötlemisloa tühistamine asjaomase riikliku julgeolekuasutuse / määratud julgeolekuasutuse või muu pädeva julgeolekuasutuse poolt on nõukogu peasekretariaadile piisav alus lepingu sõlmijana salastatud lepingu lõpetamiseks või pakkuja hankekonkursilt kõrvaldamiseks.

14. Pakkujale lepingueelses etapis ELi salastatud teabe edastamise korral sisaldab pakkumiskutse sätet, millega kohustatakse osalejat, kes pakkumist ei esita või kes ei osutu väljavalituks, tagastama kindlaksmääratud tähtaja jooksul kõik salastatud dokumendid.

15. Salastatud lepingu või all-lepingu sõlmimise järel teavitab nõukogu peasekretariaat lepingu sõlmijana lepinglase või all-lepinglase riiklikku julgeolekuasutust / määratud julgeolekuasutust või muud pädevat julgeolekuasutust salastatud lepinguga seotud julgeolekusätetest.

16. Salastatud lepingute lõpetamisel teatab nõukogu peasekretariaat lepingu sõlmijana (ja all-lepingu puhul vajaduse korral kas riiklik julgeolekuasutus / määratud julgeolekuasutus või muu pädev julgeolekuasutus) sellest viivitamata selle liikmesriigi riiklikule julgeolekuasutusele / määratud julgeolekuasutusele või muule pädevale julgeolekuasutusele, kus lepinglane või all-lepinglane on registreeritud.

17. Üldiselt nõutakse, et lepinglane või all-lepinglane tagastab salastatud lepingu või all-lepingu lõpetamisel tema valduses oleva ELi salastatud teabe lepingu sõlmijale.

18. Erisätteid ELi salastatud teabe hävitamiseks lepingu täitmise jooksul või lõpetamisel sätestatakse julgeolekuaspekte käsitlevas dokumendis.

19. Kui lepinglasel või all-lepinglasel lubatakse ELi salastatud teavet säilitada pärast lepingu lõppemist, järgib kõnealune lepinglane või all-lepinglane jätkuvalt käesolevas otsuses sisalduvaid miinimumstandardeid ning kaitseb ELi salastatud teabe salajasust.

20. Tingimused, mille alusel lepinglane võib sõlmida all-lepinguid, on määratletud nii pakkumismenetluses kui ka lepingus.

21. Lepinglane taotleb nõukogu peasekretariaadilt kui lepingu sõlmijalt luba enne all-lepingu sõlmimist salastatud lepingu mis tahes osa täitmiseks. All-lepinguid ei tohi sõlmida tööstus- või muude üksustega, mis on registreeritud sellistes Euroopa Liitu mittekuuluvates riikides, mis ei ole sõlminud liiduga salastatud teabe kaitse lepingut.

22. Lepinglane vastutab selle eest, et oleks tagatud kõigi all-lepinguga seotud tegevuste teostamine kooskõlas käesolevas otsuses sätestatud miinimumnõuetega, ning ei anna ELi salastatud teavet all-lepinglasele ilma lepingu sõlmija eelneva kirjaliku nõusolekuta.

23. Lepinglase või all-lepinglase loodud või töödeldava ELi salastatud teabe suhtes teostab teabe koostaja õigusi lepingu sõlmija.

24. Kui nõukogu peasekretariaadi, lepinglase või all-lepinglase töötajatel on salastatud lepingu täitmiseks vaja juurdepääsu CONFIDENTIEL UE/EU CONFIDENTIAL või SECRET UE/EU SECRET tasemel salastatud teabele üksteise ruumides, tuleb külastusi korraldada koostöös riiklike julgeolekuasutuste / määratud julgeolekuasutuste või muude pädevate julgeolekuasutusega. Riiklikud julgeolekuasutused / määratud julgeolekuasutused võivad siiski seoses konkreetsete projektidega kokku leppida korra, mille kohaselt selliseid külastusi võib korraldada otse.

25. Kõigil külastajatel peab olema juurdepääsuluba nõukogu peasekretariaadi lepinguga seotud ELi salastatud teabele ja teadmisvajadus sellise teabe suhtes.

26. Külastajatele võimaldatakse juurdepääs vaid külaskäigu eesmärgiga seotud ELi salastatud teabele.

27. ELi salastatud teabe elektroonilise edastamise suhtes kohaldatakse artikli 10 ja IV lisa asjakohaseid sätteid.

28. ELi salastatud teabe veo suhtes kohaldatakse III lisa asjakohaseid sätteid kooskõlas riigisiseste õigusaktidega.

29. Salastatud materjali vedamisel kaubana kohaldatakse julgeolekukorra kindlaksmääramisel järgmisi põhimõtteid:

30. ELi salastatud teave edastatakse kolmandates riikides paiknevatele lepinglastele ja all-lepinglastele vastavalt turvameetmetele, mis on kokku lepitud nõukogu peasekretariaadi kui lepingu sõlmija ning selle asjaomase kolmanda riigi riikliku julgeolekuasutuse / määratud julgeolekuasutuse vahel, kus lepinglane on registreeritud.

31. Nõukogu peasekretariaadil kui lepingu sõlmijal on vastavalt vajadusele kooskõlas liikmesriigi riikliku julgeolekuasutuse / määratud julgeolekuasutusega lepingu tingimuste alusel õigus korraldada kontrolle lepinglaste/all-lepinglaste valdustesse, et kontrollida, kas lepingus nõutud asjakohased turvameetmed RESTREINT UE/EU RESTRICTED tasemel ELi salastatud teabe kaitsmiseks on kasutusele võetud.

32. Nõukogu peasekretariaat teavitab lepingu sõlmijana riiklikke julgeolekuasutusi / määratud julgeolekuasutusi või muid pädevaid julgeolekuasutusi RESTREINT UE/EU RESTRICTED tasemel salastatud teavet sisaldavatest lepingutest niivõrd, kuivõrd seda nõutakse riigisiseste õigusaktide kohaselt.

33. Lepinglastelt või all-lepinglastelt ja nende töötajatelt ei nõuta töötlemis- või juurdepääsuluba nõukogu peasekretariaadi poolt sõlmitud lepingute puhul, mis sisaldavad RESTREINT UE/EU RESTRICTED tasemel salastatud teavet.

34. Lepingu sõlmijana vaatab nõukogu peasekretariaat läbi RESTREINT UE/EU RESTRICTED tasemel salastatud teabele juurdepääsu eeldavate lepingute pakkumiskutsetele laekunud vastused, ilma et see piiraks töötlemis- või juurdepääsulubade suhtes riigisiseste õigusaktide kohaselt kehtestatud võimalike nõuete kohaldamist.

35. Tingimused, mille alusel lepinglane võib all-lepinguid sõlmida, peavad olema kooskõlas punktiga 21.

36. Kui leping hõlmab RESTREINT UE/EU RESTRICTED tasemel salastatud teabe töötlemist lepinglase side- ja infosüsteemis, tagab nõukogu peasekretariaat lepingu sõlmijana, et lepingus või mis tahes all-lepingus täpsustatakse side- ja infosüsteemi akrediteerimiseks vajalikud tehnilised ja haldusnõuded, mis on vastavuses hinnatud riskiga ja milles on arvesse võetud kõik olulised tegurid. Sellise side- ja infosüsteemi akrediteerimise ulatus lepitakse kokku lepingu sõlmija ja asjaomase julgeolekuasutuse / määratud julgeolekuasutuse vahel.

1. Käesolev lisa sisaldab sätteid artikli 13 rakendamise kohta.

2. Kui nõukogu otsustab, et on pikaajaline vajadus vahetada salastatud teavet:

vastavalt artikli 13 lõikele 2 ning III ja IV jaole ning julgeolekukomitee soovituse alusel.

3. Kui ÜJKP operatsiooni eesmärgil loodud ELi salastatud teavet tuleb esitada kõnealusel operatsioonil osalevatele kolmandatele riikidele või rahvusvahelistele organisatsioonidele ning kui ei ole kumbagi punktis 2 osutatud raamistikku, reguleeritakse ELi salastatud teabe vahetamist osaleva kolmanda riigi või rahvusvahelise organisatsiooniga V jao kohaselt vastavalt järgnevale:

4. Punktides 2 ja 3 osutatud raamistiku puudumisel, ja kui on otsustatud edastada ELi salastatud teavet kolmandale riigile või rahvusvahelisele organisatsioonile erakorralistel ja ajutistel alustel VI jao kohaselt, palutakse asjaomasel kolmandal riigil või rahvusvahelisel organisatsioonil esitada kirjalik kinnitus, et nad kaitsevad neile edastatud ELi salastatud teavet käesolevas otsuses sätestatud aluspõhimõtete ja miinimumstandardite kohaselt.

5. Salastatud teabe kaitse lepingutega kehtestatakse ELi ja kolmanda riigi või rahvusvahelise organisatsiooni vahelist salastatud teabe vahetamist reguleerivad aluspõhimõtted ja miinimumstandardid.

6. Salastatud teabe kaitse lepingutega nähakse ette asjaomaste liidu institutsioonide ja organite pädevate julgeolekuasutuste ning asjaomase kolmanda riigi või rahvusvahelise organisatsiooni pädeva julgeolekuasutuse vaheline tehniline rakenduskord. Sellises rakenduskorras võetakse arvesse asjaomases kolmandas riigis või rahvusvahelises organisatsioonis kehtivate julgeolekueeskirjade, -struktuuride ja -menetlustega tagatud kaitsetaset. Rakenduskorra kiidab heaks julgeolekukomitee.

7. ELi salastatud teavet vahetatakse salastatud teabe kaitse lepingu alusel elektrooniliselt vaid juhul, kui see on lepinguga või vastava tehnilise rakenduskorraga sõnaselgelt ette nähtud.

8. Kui nõukogu sõlmib salastatud teabe kaitse lepingu, määratakse iga lepinguosalise juures kindlaks register, millest saab teabevahetuse jaoks peamine salastatud teabe vastuvõtmise ja väljastamise koht.

9. Selleks et hinnata julgeolekueeskirjade, -struktuuride ja -menetluste tõhusust asjaomases kolmandas riigis või rahvusvahelises organisatsioonis, korraldatakse vastastikusel kokkuleppel asjaomase kolmanda riigi või rahvusvahelise organisatsiooniga hindamiskülastusi. Sellised hindamiskülastused toimuvad vastavalt III lisa asjakohastele sätetele ja nende käigus hinnatakse järgmisi aspekte:

10. Liidu nimel hindamiskülastust teostav töörühm hindab seda, kas asjaomase kolmanda riigi või rahvusvahelise organisatsiooni julgeolekualased õigusaktid ja menetlused on piisavad asjaomasel salastatuse tasemel ELi salastatud teabe kaitsmiseks.

11. Selliste külastuste tulemused esitatakse aruandes, mille alusel julgeolekukomitee määrab kindlaks, kui kõrgel tasemel ELi salastatud teavet võib asjaomase kolmanda poolega vahetada paberkandjal ja vajaduse korral elektrooniliselt, ning samuti mis tahes eritingimused, mis puudutavad teabevahetust kõnealuse poolega.

12. Enne kui julgeolekukomitee rakenduskorra heaks kiidab, püütakse igal juhul korraldada täielik julgeoleku hindamiskülastus asjaomasesse kolmandasse riiki või rahvusvahelisse organisatsiooni, et teha kindlaks seal kasutatava julgeolekusüsteemi laad ja tõhusus. Kui seda korraldada ei ole siiski võimalik, esitab nõukogu peasekretariaadi julgeolekubüroo julgeolekukomiteele talle kättesaadavale teabele tuginedes võimalikult põhjaliku aruande, milles teavitatakse julgeolekukomiteed kolmandas riigis või rahvusvahelises organisatsioonis kohaldatavatest julgeolekueeskirjadest ja julgeoleku korraldusest.

13. Enne ELi salastatud teabe tegelikku edastamist asjaomasele kolmandale riigile või rahvusvahelisele organisatsioonile edastatakse hindamiskülastuse aruanne või sellise aruande puudumisel punktis 12 osutatud aruanne julgeolekukomiteele, kes selle rahuldavaks tunnistab.

14. Liidu institutsioonide ja organite pädevad julgeolekuasutused teatavad kolmandale riigile või rahvusvahelisele organisatsioonile kuupäeva, millest alates on liidul võimalik lepingu alusel ELi salastatud teavet edastada, ning samuti ELi salastatud teabe kõrgeima salastatuse taseme, millesse kuuluvat teavet võib paberkandjal elektroonilisel teel vahetada.

15. Järelhindamiskülastusi korraldatakse vastavalt vajadusele, eelkõige juhul, kui:

16. Pärast salastatud teabe kaitse lepingu jõustumist ja salastatud teabe vahetamist asjaomase kolmanda riigi või rahvusvahelise organisatsiooniga võib julgeolekukomitee otsustada muuta kõrgeimat salastatuse taset, millesse kuuluvat teavet võib paberkandjal või elektrooniliselt vahetada, võttes eelkõige arvesse võimalike järelkülastuste tulemusi.

17. Kui esineb pikaajaline vajadus vahetada kolmanda riigi või rahvusvahelise organisatsiooniga teavet, mille salastatuse tase ei ületa üldjuhul taset RESTREINT UE/EU RESTRICTED ja kui julgeolekukomitee on teinud kindlaks, et kõnealuse poole julgeolekusüsteem ei ole salastatud teabe kaitse lepingu sõlmimiseks nõuetekohasel tasemel, võib peasekretär nõukogu heakskiidul sõlmida nõukogu peasekretariaadi nimel halduskokkuleppe kõnealuse kolmanda riigi või rahvusvahelise organisatsiooni asjaomase asutusega.

18. Kui kiireloomulistel operatiivpõhjustel on vaja kiiresti kehtestada salastatud teabe vahetamise raamistik, võib nõukogu erakorraliselt otsustada, et sõlmitavat halduskokkulepet kasutatakse kõrgemal tasemel salastatud teabe vahetamiseks.

19. Halduskokkulepped sõlmitakse üldjuhul kirjavahetuse vormis.

20. Enne ELi salastatud teabe tegelikku edastamist kõnealusele kolmandale riigile või rahvusvahelisele organisatsioonile korraldatakse punktis 9 kirjeldatud hindamiskülastus ning edastatakse külastuse aruanne või sellise aruande puudumisel punktis 12 osutatud aruanne julgeolekukomiteele, kes selle rahuldavaks tunnistab.

21. Halduskokkuleppe alusel ei vahetata ELi salastatud teavet elektrooniliselt, välja arvatud juhul, kui see on kokkuleppes sõnaselgelt ette nähtud.

22. Kolmandate riikide või rahvusvaheliste organisatsioonide osalemist ÜJKP operatsioonidel reguleerivad kriisiohjamisoperatsioonides osalemise raamlepingud. Sellised lepingud sisaldavad sätteid ÜJKP operatsioonide eesmärgil loodud ELi salastatud teabe edastamise kohta osalevatele kolmandatele riikidele või rahvusvahelistele organisatsioonidele. Kõrgeim salastatuse tase, millesse kuuluvat ELi salastatud teavet võib vahetada, on RESTREINT UE/EU RESTRICTED ÜJKP tsiviiloperatsioonide jaoks ja CONFIDENTIEL UE/EU CONFIDENTIAL ÜJKP sõjaliste operatsioonide jaoks, kui konkreetse ÜJKP operatsiooni loomist käsitlevas otsuses ei ole sätestatud teisiti.

23. Konkreetse ÜJKP operatsiooni jaoks sõlmitud ajutised osalemislepingud sisaldavad sätteid kõnealuse operatsiooni eesmärgil loodud ELi salastatud teabe edastamise kohta osalevale kolmandale riigile või rahvusvahelisele organisatsioonile. Kõrgeim salastatuse tase, millesse kuuluvat ELi salastatud teavet võib vahetada, on RESTREINT UE/EU RESTRICTED ÜJKP tsiviiloperatsioonide jaoks ja CONFIDENTIEL UE/EU CONFIDENTIAL ÜJKP sõjaliste operatsioonide jaoks, kui konkreetse ÜJKP operatsiooni loomist käsitlevas otsuses ei ole sätestatud teisiti.

24. Salastatud teabe kaitse lepingu puudumise korral ja kuni osalemislepingu sõlmimiseni edastatakse operatsiooni eesmärgil loodud ELi salastatud teavet operatsioonis osalevale kolmandale riigile või rahvusvahelisele organisatsioonile kõrge esindaja poolt sõlmitud halduskokkuleppe või VI jao kohaselt teabe edastamise ajutise otsuse alusel. ELi salastatud teavet võib sellise korra alusel vahetada üksnes kolmanda riigi või rahvusvahelise organisatsiooni operatsioonis osalemiseks kavandatud aja lõpuni. Kõrgeim salastatuse tase, millesse kuuluvat ELi salastatud teavet võib vahetada, on RESTREINT UE/EU RESTRICTED ÜJKP tsiviiloperatsioonide jaoks ja CONFIDENTIEL UE/EU CONFIDENTIAL ÜJKP sõjaliste operatsioonide jaoks, kui konkreetse ÜJKP operatsiooni loomist käsitlevas otsuses ei ole sätestatud teisiti.

25. Punktides 22–24 osutatud osalemise raamlepingutes, ajutistes osalemislepingutes ja ajutistes halduskokkulepetes sisalduvates salastatud teavet käsitlevates sätetes nähakse ette, et asjaomane kolmas riik või rahvusvaheline organisatsioon tagab selle, et tema poolt operatsioonile lähetatud isikkoosseisu liikmed kaitsevad ELi salastatud teavet vastavalt nõukogu julgeolekueeskirjadele ja täiendavatele juhenditele, mis väljastatakse pädevate asutuste poolt, sealhulgas operatsiooni käsuliinis.

26. Kui liidu ja osaleva kolmanda riigi või rahvusvahelise organisatsiooni vahel sõlmitakse hiljem salastatud teabe kaitse leping, asendab salastatud teabe kaitse leping ELi salastatud teabe vahetamise ja töötlemise puhul osalemise raamlepingus, ajutises osalemiselepingus või ajutises halduskokkuleppes sisalduvad salastatud teabe vahetamist käsitlevad sätted.

27. ELi salastatud teabe elektrooniline vahetamine kolmanda riigi või rahvusvahelise organisatsiooniga sõlmitud osalemise raamlepingu, ajutise osalemiselepingu või ajutise halduskokkuleppe alusel ei ole lubatud, välja arvatud juhul, kui see on asjaomases lepingus või kokkuleppes selgesõnaliselt ette nähtud.

28. ÜJKP operatsiooni eesmärgil loodud ELi salastatud teavet võib avalikustada kõnealusele operatsioonile lähetatud kolmandate riikide või rahvusvaheliste organisatsioonide personalile vastavalt punktidele 22–27. Kui kõnealusele personalile antakse juurdepääs ELi salastatud teabele ÜJKP operatsiooni tööruumides või side- ja infosüsteemis, tuleb kohaldada meetmeid (sealhulgas avalikustatud ELi salastatud teabe registreerimine), et vähendada teabekao või teabe ohtu sattumise riski. Sellised meetmed määratakse kindlaks asjaomastes planeerimis- ja missioonidokumentides.

29. Salastatud teabe kaitse lepingu puudumisel võib ELi salastatud teabe edastamine ÜJKP operatsiooni toimumiskoha riigile konkreetse ja vahetu operatiivvajaduse korral toimuda kõrge esindaja sõlmitud halduskokkuleppe alusel. Selline võimalus nähakse ette ÜJKP operatsiooni käsitlevas otsuses. Sellistel asjaoludel edastatud ELi salastatud teave on piiratud ÜJKP operatsiooni eesmärkidel koostatud teabega ja selle salastatuse tase ei ole kõrgem kui RESTREINT UE/EU RESTRICTED, välja arvatud juhul, kui ÜJKP operatsiooni loomist käsitlevas otsuses ei ole ette nähtud kõrgemat salastatuse taset. Sellise halduskokkuleppe kohaselt peab operatsiooni toimumiskoha riik kohustuma kaitsma ELi salastatud teavet miinimumstandardite kohaselt, mis on vähemalt sama ranged kui käesolevas otsuses sätestatud miinimumstandardid.

30. Salastatud teabe kaitse lepingu puudumise korral võib ELi salastatud teavet edastada kolmandatele riikidele ja rahvusvahelistele organisatsioonidele, kes ÜJKP operatsioonis ei osale, kõrge esindaja sõlmitud halduskokkuleppe alusel. Vajaduse korral nähakse selline võimalus ja sellega seonduvad tingimused ette ÜVJP operatsiooni loomist käsitlevas otsuses. Sellistel asjaoludel edastatud ELi salastatud teave on piiratud ÜJKP operatsiooni eesmärkidel koostatud teabega ja selle salastatuse tase ei ole kõrgem kui RESTREINT UE/EU RESTRICTED, välja arvatud juhul, kui ÜJKP operatsiooni loomist käsitlevas otsuses ei ole ette nähtud kõrgemat salastatuse taset. Kõnealuse halduskokkuleppe kohaselt peab asjaomane kolmas riik või rahvusvaheline organisatsioon kohustuma kaitsma ELi salastatud teavet miinimumstandardite kohaselt, mis on vähemalt sama ranged kui käesolevas otsuses sätestatud miinimumstandardid.

31. Enne punktide 22, 23 ja 24 kohast ELi salastatud teabe edastamist käsitlevate sätete rakendamist ei ole vaja sätestada rakenduskorda või teha hindamiskülastusi.

32. Kui puudub III–V jao kohane raamistik ja kui nõukogu või mõni nõukogu ettevalmistavatest organitest määrab kindlaks, et esineb erakorraline vajadus edastada ELi salastatud teavet kolmandale riigile või rahvusvahelisele organisatsioonile, toimib nõukogu peasekretariaat järgmiselt:

33. Kui julgeolekukomitee esitab ELi salastatud teabe edastamist toetava soovituse, edastatakse küsimus arutamiseks alaliste esindajate komiteele (Coreper), kes langetab otsuse teabe edastamise kohta.

34. Kui julgeolekukomitee soovituses ei toetata ELi salastatud teabe edastamist:

35. Vajaduse korral, ja kui selleks on teabe koostaja eelnev kirjalik nõusolek, võib Coreper otsustada, et salastatud teavet võib edastada vaid osaliselt või juhul, kui selle salastatuse taset eelnevalt alandatakse või salastatus kustutatakse, või et edastatav teave koostatakse viiteta allikale või algsele ELi salastatuse tasemele.

36. ELi salastatud teabe edastamise otsuse järel edastab nõukogu peasekretariaat asjaomase dokumendi, mis varustatakse avaldatavuse märkega kolmanda riigi või rahvusvahelise organisatsiooni kohta, kellele see on edastatud. Enne teabe tegelikku edastamist võtab asjaomane kolmas pool endale kirjalikult kohustuse kaitsta saadavat ELi salastatud teavet vastavalt käesolevas otsuses sätestatud aluspõhimõtetele ja miinimumstandarditele.

37. Kui salastatud teabe vahetamiseks kolmanda riigi või rahvusvahelise organisatsiooniga on olemas punkti 2 kohane raamistik, võtab nõukogu vastu otsuse anda peasekretärile volitused edastada asjaomasele kolmandale riigile või rahvusvahelisele organisatsioonile ELi salastatud teavet, järgides koostaja nõusoleku põhimõtet. Peasekretär võib delegeerida sellised volitused nõukogu peasekretariaadi kõrgematele ametnikele.

38. Kui punkti 2 esimese taande kohane salastatud teabe kaitse leping on olemas, võib nõukogu teha otsuse anda kõrgele esindajale volitused nõukogust pärit ühise välis- ja julgeolekupoliitika alase ELi salastatud teabe edastamiseks asjaomasele kolmandale riigile või rahvusvahelisele organisatsioonile, kui selles teabes sisalduva mis tahes allikmaterjali koostaja on andnud selleks oma nõusoleku. Kõrge esindaja võib delegeerida sellised volitused Euroopa välisteenistuse kõrgetele ametnikele või ELi eriesindajatele.

39. Kui salastatud teabe vahetamiseks kolmanda riigi või rahvusvahelise organisatsiooniga on olemas punkti 2 või 3 kohane raamistik, antakse kõrgele esindajale volitused edastada ELi salastatud teavet vastavalt ÜJKP operatsiooni loomist käsitlevale otsusele ja järgides koostaja nõusoleku põhimõtet. Kõrge esindaja võib delegeerida sellised volitused Euroopa välisteenistuse kõrgetele ametnikele, ELi operatsioonide, relvajõudude või missioonide ülematele või ELi missioonide juhtidele.