This document is an excerpt from the EUR-Lex website
Document 32013D0488
2013/488/EU: Council Decision of 23 September 2013 on the security rules for protecting EU classified information
2013/488/EU: Neuvoston päätös, annettu 23 päivänä syyskuuta 2013 , EU:n turvallisuusluokiteltujen tietojen suojaamista koskevista turvallisuussäännöistä
2013/488/EU: Neuvoston päätös, annettu 23 päivänä syyskuuta 2013 , EU:n turvallisuusluokiteltujen tietojen suojaamista koskevista turvallisuussäännöistä
EUVL L 274, 15.10.2013, p. 1–50
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force: This act has been changed. Current consolidated version: 01/07/2021
Relation | Act | Comment | Subdivision concerned | From | To |
---|---|---|---|---|---|
Repeal | 32011D0292 | ||||
Modifies | 32013R0517 | Ositt. kum. |
Relation | Act | Comment | Subdivision concerned | From | To |
---|---|---|---|---|---|
Corrected by | 32013D0488R(01) | (DE) | |||
Corrected by | 32013D0488R(02) | (SV) | |||
Corrected by | 32013D0488R(03) | (LT) | |||
Modified by | 32014D0233 | Korvaus | APP B | 26/04/2014 | |
Modified by | 32019D2247 | Korvaus | lisäys B | 30/12/2019 | |
Modified by | 32019D2247 | Korvaus | lisäys C | 30/12/2019 | |
Modified by | 32021D1075 | Korvaus | lisäys B | 01/07/2021 | |
Modified by | 32021D1075 | Korvaus | lisäys C | 01/07/2021 |
15.10.2013 |
FI |
Euroopan unionin virallinen lehti |
L 274/1 |
NEUVOSTON PÄÄTÖS,
annettu 23 päivänä syyskuuta 2013,
EU:n turvallisuusluokiteltujen tietojen suojaamista koskevista turvallisuussäännöistä
(2013/488/EU)
EUROOPAN UNIONIN NEUVOSTO, joka
ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen ja erityisesti sen 240 artiklan 3 kohdan,
ottaa huomioon neuvoston työjärjestyksen vahvistamisesta 1 päivänä joulukuuta 2009 tehdyn neuvoston päätöksen 2009/937/EU (1) ja erityisesti sen 24 artiklan,
sekä katsoo seuraavaa:
(1) |
Neuvoston toiminnan kehittämiseksi kaikilla turvallisuusluokiteltujen tietojen käsittelyä edellyttävillä aloilla on asianmukaista perustaa turvallisuusluokiteltujen tietojen suojaamiseksi kattava turvallisuusjärjestelmä, joka koskee neuvostoa, sen pääsihteeristöä ja jäsenvaltioita. |
(2) |
Tätä päätöstä olisi sovellettava, kun neuvosto, sen valmisteluelimet ja neuvoston pääsihteeristö käsittelevät EU:n turvallisuusluokiteltuja tietoja. |
(3) |
Jäsenvaltioiden olisi kansallisten lakiensa ja asetustensa mukaisesti ja neuvoston toiminnan edellyttämässä määrin noudatettava tätä päätöstä, kun niiden toimivaltaiset viranomaiset, henkilöstö tai hankeosapuolet käsittelevät EU:n turvallisuusluokiteltuja tietoja, jotta kaikki osapuolet voivat olla vakuuttuneita siitä, että EU:n turvallisuusluokiteltujen tietojen suojaamisessa noudatetaan vastaavaa tasoa. |
(4) |
Neuvosto, komissio ja Euroopan ulkosuhdehallinto (EUH) ovat sitoutuneet soveltamaan vastaavia turvallisuusvaatimuksia EU:n turvallisuusluokiteltujen tietojen suojaamiseen. |
(5) |
Neuvosto korostaa sitä, että Euroopan parlamentti ja unionin muut toimielimet, elimet, laitokset ja yksiköt on tärkeää saada tarvittaessa mukaan noudattamaan turvallisuusluokiteltujen tietojen suojaamista koskevia periaatteita, vaatimuksia ja sääntöjä, jotka ovat välttämättömiä unionin ja sen jäsenvaltioiden etujen suojaamiseksi. |
(6) |
Neuvoston olisi määriteltävä asianmukaiset puitteet neuvoston hallussa olevien EU:n turvallisuusluokiteltujen tietojen jakamiseksi tapauksen mukaan unionin muiden toimielinten, elinten, laitosten ja yksiköiden kanssa tämän päätöksen ja voimassa olevien toimielinten välisten järjestelyjen mukaisesti. |
(7) |
Euroopan unionista tehdyn sopimuksen V osaston 2 luvun nojalla perustettujen unionin elinten ja yksiköiden sekä Europolin ja Eurojustin olisi sovellettava omassa organisaatiossaan tässä päätöksessä säädettyjä perusperiaatteita ja vähimmäisvaatimuksia EU:n turvallisuusluokiteltujen tietojen suojaamiseksi, jos tästä on säädetty niiden perustamissäädöksessä. |
(8) |
Euroopan unionista tehdyn sopimuksen V osaston 2 luvun nojalla perustettujen kriisinhallintaoperaatioiden ja niiden henkilöstön olisi sovellettava turvallisuussääntöjä, jotka neuvosto on hyväksynyt EU:n turvallisuusluokiteltujen tietojen suojaamiseksi, jos tästä on säädetty niiden perustamista koskevassa neuvoston säädöksessä. |
(9) |
EU:n erityisedustajien ja heidän alaisuudessaan työskentelevien henkilöiden olisi sovellettava turvallisuussääntöjä, jotka neuvosto on hyväksynyt EU:n turvallisuusluokiteltujen tietojen suojaamiseksi, jos tästä on säädetty asiaa koskevassa neuvoston säädöksessä. |
(10) |
Tämän päätöksen hyväksyminen ei rajoita Euroopan unionin toiminnasta tehdyn sopimuksen 15 ja 16 artiklan eikä niiden täytäntöönpanosäädösten soveltamista. |
(11) |
Tämän päätöksen hyväksyminen ei rajoita jäsenvaltioiden olemassa olevien käytäntöjen soveltamista niiden tiedottaessa kansallisille parlamenteilleen unionin toiminnasta. |
(12) |
Jotta varmistetaan EU:n turvallisuusluokiteltujen tietojen suojaamiseksi vahvistettujen turvallisuussääntöjen oikea-aikainen soveltaminen Kroatian tasavallan Euroopan unioniin liittyminen huomioon ottaen, tämän päätöksen olisi tultava voimaan päivänä, jona se julkaistaan, |
ON HYVÄKSYNYT TÄMÄN PÄÄTÖKSEN:
1 artikla
Kohde, soveltamisala ja määritelmät
1. Tällä päätöksellä säädetään EU:n turvallisuusluokiteltujen tietojen suojaamista koskevat perusperiaatteet ja vähimmäisvaatimukset.
2. Näitä perusperiaatteita ja vähimmäisvaatimuksia sovelletaan neuvostoon ja neuvoston pääsihteeristöön, jäljempänä ’pääsihteeristö’, ja jäsenvaltioiden on noudatettava niitä kansallisten lakiensa ja asetustensa mukaisesti, jotta kaikki osapuolet voivat olla vakuuttuneita siitä, että EU:n turvallisuusluokiteltujen tietojen suojaamisessa noudatetaan vastaavaa tasoa.
3. Tässä päätöksessä sovelletaan lisäyksessä A säädettyjä määritelmiä.
2 artikla
EU:n turvallisuusluokiteltujen tietojen määrittely, turvallisuusluokat ja merkinnät
1. ’EU:n turvallisuusluokitelluilla tiedoilla’ tarkoitetaan mitä tahansa tietoja tai aineistoja, joille on määritelty EU:n turvallisuusluokka ja joiden luvaton ilmitulo saattaisi vaihtelevassa määrin vahingoittaa Euroopan unionin tai yhden tai useamman jäsenvaltion etuja.
2. EU:n turvallisuusluokitellut tiedot jaetaan seuraaviin turvallisuusluokkiin:
a) |
TRÈS SECRET UE/EU TOP SECRET: tiedot ja aineistot, joiden luvaton ilmitulo saattaisi vahingoittaa poikkeuksellisen vakavasti Euroopan unionin tai yhden tai useamman jäsenvaltion olennaisia etuja; |
b) |
SECRET UE/EU SECRET: tiedot ja aineistot, joiden luvaton ilmitulo saattaisi vahingoittaa vakavasti Euroopan unionin tai yhden tai useamman jäsenvaltion olennaisia etuja; |
c) |
CONFIDENTIEL UE/EU CONFIDENTIAL: tiedot ja aineistot, joiden luvaton ilmitulo saattaisi vahingoittaa Euroopan unionin tai yhden tai useamman jäsenvaltion olennaisia etuja; |
d) |
RESTREINT UE/EU RESTRICTED: tiedot ja aineistot, joiden luvattomasta ilmitulosta saattaisi olla haittaa Euroopan unionin tai yhden tai useamman jäsenvaltion eduille. |
3. EU:n turvallisuusluokiteltuihin tietoihin lisätään turvallisuusluokitusmerkintä 2 kohdan mukaisesti. Niissä voi olla myös muita merkintöjä, jotka liittyvät toimialaan, jota tiedot koskevat, tai joilla ilmoitetaan luovuttaja, rajoitetaan jakelua, rajoitetaan käyttöä tai ilmoitetaan luovutettavuus.
3 artikla
Turvallisuusluokittelun hallinnointi
1. Toimivaltaisten viranomaisten on varmistettava, että EU:n turvallisuusluokitellut tiedot on asianmukaisesti turvallisuusluokiteltu, että ne on selkeästi määritelty turvallisuusluokitelluiksi tiedoiksi ja että niiden turvallisuusluokka säilytetään vain niin kauan kuin se on tarpeen.
2. EU:n turvallisuusluokiteltujen tietojen turvallisuusluokkaa ei saa alentaa eikä poistaa eikä niissä olevia 2 artiklan 3 kohdassa tarkoitettuja merkintöjä saa muuttaa eikä poistaa ilman tietojen luovuttajan kirjallista etukäteissuostumusta.
3. Neuvosto hyväksyy EU:n turvallisuusluokiteltujen tietojen tuottamisessa noudatettavat turvallisuusperiaatteet, joihin sisältyy käytännön turvallisuusluokitusopas.
4 artikla
Turvallisuusluokiteltujen tietojen suojaaminen
1. EU:n turvallisuusluokiteltujen tietojen suojaamisessa on noudatettava tätä päätöstä.
2. Minkä tahansa EU:n turvallisuusluokitellun tiedon haltija on vastuussa sen suojaamisesta tämän päätöksen mukaisesti.
3. Jäsenvaltioiden tuodessa unionin rakenteisiin tai verkostoihin turvallisuusluokiteltuja tietoja, joissa on kansallinen turvallisuusluokitusmerkintä, neuvosto ja neuvoston pääsihteeristö noudattavat kyseisten tietojen suojaamisessa vastaavan tason EU:n turvallisuusluokiteltuihin tietoihin sovellettavia vaatimuksia lisäyksessä B olevan turvallisuusluokkien vastaavuustaulukon mukaisesti.
4. EU:n turvallisuusluokiteltujen tietojen kooste voi edellyttää korkeampaan turvallisuusluokkaan sovellettavaa suojaa kuin sen yksittäisten osien suoja.
5 artikla
Turvallisuusriskien hallinta
1. EU:n turvallisuusluokiteltuihin tietoihin kohdistuvia riskejä on hallittava prosessina. Prosessissa on pyrittävä määrittelemään tunnetut turvallisuusriskit ja turvatoimet niiden vähentämiseksi hyväksyttävälle tasolle tässä päätöksessä säädettyjen perusperiaatteiden ja vähimmäisvaatimusten mukaisesti sekä soveltamaan kyseisiä turvatoimia lisäyksessä A määritellyn syvyyssuuntaisen turvallisuuden käsitteen pohjalta. Turvatoimien tehokkuutta on arvioitava jatkuvasti.
2. Turvatoimet EU:n turvallisuusluokiteltujen tietojen suojaamiseksi koko niiden elinkaaren ajan on suhteutettava erityisesti tietojen tai aineistojen turvallisuusluokitukseen, muotoon ja määrään, EU:n turvallisuusluokiteltujen tietojen sijoitustilojen sijaintiin ja rakentamiseen sekä paikallisesti arvioituun vihamielisen ja/tai rikollisen toiminnan uhkaan, vakoilu, sabotaasi ja terrorismi mukaan luettuina.
3. Varautumissuunnitelmissa on otettava huomioon tarve suojata EU:n turvallisuusluokitellut tiedot hätätilanteissa, jotta estetään luvaton pääsy tietoihin, tietojen ilmitulo tai niiden eheyden tai käytettävyyden menettäminen.
4. Toiminnan jatkuvuussuunnitelmiin on sisällytettävä ennalta ehkäiseviä ja korjaavia toimenpiteitä, jotta minimoitaisiin merkittävien toimintahäiriöiden tai poikkeuksellisten tapahtumien vaikutukset EU:n turvallisuusluokiteltujen tietojen käsittelyyn ja säilyttämiseen.
6 artikla
Tämän päätöksen täytäntöönpano
1. Neuvosto hyväksyy turvallisuuskomitean suosituksesta tarvittaessa turvallisuusperiaatteita, joissa esitetään toimenpiteitä tämän päätöksen panemiseksi täytäntöön.
2. Turvallisuuskomitean tasolla voidaan hyväksyä turvallisuutta koskevia suuntaviivoja, joilla täydennetään tai tuetaan tätä päätöstä ja neuvoston mahdollisesti hyväksymiä turvallisuusperiaatteita.
7 artikla
Henkilöstöturvallisuus
1. Henkilöstöturvallisuudella tarkoitetaan toimenpiteitä sen varmistamiseksi, että pääsy EU:n turvallisuusluokiteltuihin tietoihin myönnetään ainoastaan henkilöille
— |
joilla on tiedonsaantitarve (need-to-know), |
— |
joille on tarvittaessa tehty asianmukaisen tason turvallisuusselvitys, ja |
— |
joille on tiedotettu heidän vastuustaan. |
2. Henkilöturvallisuusselvitystä koskevien menettelyjen tarkoituksena on selvittää, voidaanko henkilölle hänen lojaaliutensa, rehellisyytensä ja luotettavuutensa huomioon ottaen myöntää pääsy EU:n turvallisuusluokiteltuihin tietoihin.
3. Kaikista pääsihteeristössä työskentelevistä henkilöistä, joilla on tehtäviensä suorittamiseksi oltava pääsy CONFIDENTIEL UE/EU CONFIDENTIAL- tai sitä korkeamman tason EU:n turvallisuusluokiteltuihin tietoihin tai joiden on käsiteltävä niitä, on tehtävä asianmukaisen tason turvallisuusselvitys, ennen kuin heille myönnetään pääsy kyseisiin EU:n turvallisuusluokiteltuihin tietoihin. Kyseisillä henkilöillä on oltava neuvoston pääsihteeristön nimittävän viranomaisen valtuutus päästä EU:n turvallisuusluokiteltuihin tietoihin tiettyyn turvallisuusluokkaan ja tiettyyn päivämäärään saakka.
4. Jäljempänä 15 artiklan 3 kohdassa tarkoitetusta jäsenvaltioiden henkilöstöstä, joiden tehtävien suorittaminen voi edellyttää pääsyä CONFIDENTIEL UE/EU CONFIDENTIAL- tai sitä korkeamman tason EU:n turvallisuusluokiteltuihin tietoihin, on tehtävä asianmukaisen tason turvallisuusselvitys tai heillä on oltava tehtäviensä vuoksi muu kansallisten lakien ja asetusten mukainen asianmukainen valtuutus, ennen kuin heille myönnetään pääsy kyseisiin EU:n turvallisuusluokiteltuihin tietoihin.
5. Kaikille henkilöille on selvitettävä heidän vastuunsa ja heidän on annettava vakuutus vastuustaan suojata EU:n turvallisuusluokitellut tiedot tämän päätöksen mukaisesti, ennen kuin heille myönnetään pääsy EU:n turvallisuusluokiteltuihin tietoihin; tämä on uusittava säännöllisin väliajoin.
6. Tämän artiklan täytäntöönpanosäännökset vahvistetaan liitteessä I.
8 artikla
Fyysinen turvallisuus
1. Fyysisellä turvallisuudella tarkoitetaan fyysisten ja teknisten suojatoimenpiteiden toteuttamista niin, että estetään luvaton pääsy EU:n turvallisuusluokiteltuihin tietoihin.
2. Fyysisten turvatoimien tarkoituksena on estää tunkeutuminen salaa tai väkisin, ehkäistä, estää ja havaita luvattomat toimet ja mahdollistaa henkilöstön luokitus ja pääsy EU:n turvallisuusluokiteltuihin tietoihin sen perusteella, mikä heidän tiedonsaantitarpeensa on. Tällaiset toimet on määriteltävä riskinhallintaprosessin perusteella.
3. Fyysiset turvatoimet on toteutettava kaikissa tiloissa, rakennuksissa, toimistoissa, huoneissa ja muissa paikoissa, joissa EU:n turvallisuusluokiteltuja tietoja käsitellään tai säilytetään, 10 artiklan 2 kohdassa määritellyt viestintä- ja tietojärjestelmien sijoitusalueet mukaan luettuina.
4. Alueet, joilla säilytetään CONFIDENTIEL UE/EU CONFIDENTIAL- tai sitä korkeamman tason EU:n turvallisuusluokiteltuja tietoja, on määriteltävä turva-alueiksi liitteen II mukaisesti, ja toimivaltaisen turvallisuusviranomaisen on hyväksyttävä ne.
5. CONFIDENTIEL UE/EU CONFIDENTIAL- tai sitä korkeamman tason EU:n turvallisuusluokiteltujen tietojen suojaamiseen saa käyttää vain hyväksyttyjä välineitä tai laitteita.
6. Tämän artiklan täytäntöönpanosäännökset vahvistetaan liitteessä II.
9 artikla
Turvallisuusluokiteltujen tietojen hallinnointi
1. Turvallisuusluokiteltujen tietojen hallinnoinnilla tarkoitetaan hallinnollisten toimenpiteiden soveltamista EU:n turvallisuusluokiteltujen tietojen valvomiseksi koko niiden elinkaaren ajan niin, että täydennetään 7, 8 ja 10 artiklassa säädettyjä toimenpiteitä ja siten autetaan estämään ja havaitsemaan tällaisten tietojen tahallinen tai tahaton vaarantuminen tai katoaminen. Tällaiset toimenpiteet liittyvät erityisesti EU:n turvallisuusluokiteltujen tietojen tuottamiseen, kirjaamiseen, jäljentämiseen, kääntämiseen, turvallisuusluokan alentamiseen, turvallisuusluokan poistamiseen, tietojen kuljettamiseen ja hävittämiseen.
2. CONFIDENTIEL UE/EU CONFIDENTIAL- tai sitä korkeamman turvallisuusluokan tiedot on turvallisuussyistä kirjattava ennen niiden jakelua ja niiden vastaanottamisen yhteydessä. Pääsihteeristön ja jäsenvaltioiden toimivaltaisten viranomaisten on perustettava tätä varten kirjaamisjärjestelmä. TRÈS SECRET UE/EU TOP SECRET -turvallisuusluokan tiedot on kirjattava niille tarkoitetuissa kirjaamoissa.
3. Toimivaltaisen turvallisuusviranomaisen on tarkastettava säännöllisin väliajoin yksiköt ja tilat, joissa käsitellään tai säilytetään EU:n turvallisuusluokiteltuja tietoja.
4. EU:n turvallisuusluokiteltujen tietojen siirtämisessä yksiköiden ja tilojen välillä fyysisesti suojattujen alueiden ulkopuolella on noudatettava seuraavaa:
a) |
Yleisenä sääntönä on, että EU:n turvallisuusluokitellut tiedot on siirrettävä sähköisillä välineillä, jotka on suojattu 10 artiklan 6 kohdan mukaisesti hyväksytyillä salaustuotteilla. |
b) |
Jos a alakohdassa tarkoitettuja välineitä ei käytetä, EU:n turvallisuusluokitellut tiedot on kuljetettava joko
|
5. Tämän artiklan täytäntöönpanosäännökset vahvistetaan liitteessä III ja IV.
10 artikla
Viestintä- ja tietojärjestelmissä käsiteltävien EU:n turvallisuusluokiteltujen tietojen suojaaminen
1. Tietojen turvaamisella tarkoitetaan viestintä- ja tietojärjestelmien alalla varmuutta siitä, että kyseiset järjestelmät suojaavat tiedot, joita niissä käsitellään, ja toimivat tarkoituksenmukaisella tavalla, oikeaan aikaan ja oikeutettujen käyttäjien valvonnassa. Tehokkaalla tietojen turvaamisella varmistetaan asianmukainen luottamuksellisuuden, eheyden, käytettävyyden, kiistämättömyyden ja aitouden taso. Tietojen turvaaminen perustuu riskinhallintaprosessiin.
2. Viestintä- ja tietojärjestelmällä tarkoitetaan järjestelmää, joka mahdollistaa tietojen käsittelyn sähköisessä muodossa. Viestintä- ja tietojärjestelmä käsittää kaikki toimintansa kannalta tarpeelliset resurssit, myös infrastruktuurin, organisaation, henkilöstön ja tietoresurssit. Tätä päätöstä sovelletaan viestintä- ja tietojärjestelmiin, joissa käsitellään EU:n turvallisuusluokiteltuja tietoja.
3. Viestintä- ja tietojärjestelmissä on käsiteltävä EU:n turvallisuusluokiteltuja tietoja tietojen turvaamisen periaatteen mukaisesti.
4. Kaikkien viestintä- ja tietojärjestelmien on läpikäytävä hyväksymisprosessi. Hyväksymisellä pyritään varmistamaan, että kaikki asiaankuuluvat turvatoimet on pantu täytäntöön ja että on saavutettu riittävä EU:n turvallisuusluokiteltujen tietojen ja viestintä- ja tietojärjestelmän suojaustaso tämän päätöksen säännösten mukaisesti. Hyväksymislausunnossa on määriteltävä niiden tietojen korkein sallittu turvallisuusluokka, joita viestintä- ja tietojärjestelmässä voidaan käsitellä, ja sitä koskevat ehdot ja edellytykset.
5. Turvatoimia toteutetaan viestintä- ja tietojärjestelmissä käsiteltävien CONFIDENTIEL UE/EU CONFIDENTIAL- ja sitä korkeamman turvallisuusluokan tietojen suojaamiseksi niin, että tahattomat sähkömagneettiset vuodot eivät vaaranna tietoja (TEMPEST-turvatoimet). Nämä turvatoimet on suhteutettava tietojen hyväksikäytön vaaraan ja turvallisuusluokan tasoon.
6. Jos EU:n turvallisuusluokiteltujen tietojen suojaamiseen käytetään salaustuotteita, tällaiset tuotteet on hyväksyttävä seuraavasti:
a) |
SECRET UE/EU SECRET- tai sitä korkeamman turvallisuusluokan tietojen luottamuksellisuus on suojattava salaustuotteilla, jotka salauslaitteiden hyväksyntäviranomaisena toimiva neuvosto on hyväksynyt turvallisuuskomitean suosituksesta; |
b) |
CONFIDENTIEL UE/EU CONFIDENTIAL- tai RESTREINT UE/EU RESTRICTED -turvallisuusluokan tietojen luottamuksellisuus on suojattava salaustuotteilla, jotka salauslaitteiden hyväksyntäviranomaisena toimiva neuvoston pääsihteeri, jäljempänä ’pääsihteeri’, on hyväksynyt turvallisuuskomitean suosituksesta. |
Sen estämättä, mitä b alakohdassa säädetään, EU:n CONFIDENTIEL UE/EU CONFIDENTIAL- tai RESTREINT UE/EU RESTRICTED -turvallisuusluokiteltujen tietojen luottamuksellisuus voidaan suojata jäsenvaltioiden kansallisissa järjestelmissä salaustuotteilla, jotka on hyväksynyt jäsenvaltion salauslaitteiden hyväksyntäviranomainen.
7. Lähetettäessä EU:n turvallisuusluokiteltuja tietoja sähköisesti on käytettävä hyväksyttyjä salaustuotteita. Tästä vaatimuksesta poiketen poikkeuksellisissa olosuhteissa tai tiettyjen liitteessä IV säädettyjen teknisten määritysten osalta voidaan soveltaa erityisiä menettelyjä.
8. Pääsihteeristön ja jäsenvaltioiden toimivaltaisten viranomaisten on molempien perustettava seuraavat tiedonturvaamistehtävät:
a) |
tiedonturvaamisviranomainen; |
b) |
TEMPEST-viranomainen; |
c) |
salauslaitteiden hyväksyntäviranomainen; |
d) |
salatun aineiston jakelusta vastaava viranomainen. |
9. Pääsihteeristön ja jäsenvaltioiden toimivaltaisten viranomaisten on molempien perustettava kutakin järjestelmää varten
a) |
turvallisuusjärjestelyjen hyväksyntäviranomainen; |
b) |
operatiivinen tiedonturvaamisviranomainen. |
10. Tämän artiklan täytäntöönpanosäännökset vahvistetaan liitteessä IV.
11 artikla
Yhteisöturvallisuus
1. Yhteisöturvallisuudella tarkoitetaan toimenpiteiden toteuttamista sen varmistamiseksi, että hankeosapuolet tai alihankkijat varmistavat EU:n turvallisuusluokiteltujen tietojen suojaamisen sopimusta edeltävissä neuvotteluissa ja turvallisuusluokiteltujen sopimusten koko elinkaaren ajan. Tällaisiin sopimuksiin ei saa kuulua pääsyä TRÈS SECRET UE/EU TOP SECRET -turvallisuusluokan tietoihin.
2. Pääsihteeristö voi antaa jäsenvaltioon tai sellaiseen kolmanteen valtioon, jonka kanssa EU on tehnyt 13 artiklan 2 kohdan a tai b alakohdan mukaisen sopimuksen tai hallinnollisen järjestelyn, rekisteröidyille yrityksille tai muille yhteisöille sopimuksella toimeksiantoja, joihin sisältyy tai liittyy pääsy EU:n turvallisuusluokiteltuihin tietoihin tai niiden käsittely tai säilyttäminen.
3. Pääsihteeristön on hankeviranomaisena varmistettava, että tässä päätöksessä säädettyjä ja sopimuksessa tarkoitettuja yhteisöturvallisuutta koskevia vähimmäisvaatimuksia noudatetaan tehtäessä turvallisuusluokiteltuja sopimuksia yritysten tai muiden yhteisöjen kanssa.
4. Kunkin jäsenvaltion kansallisen turvallisuusviranomaisen, nimetyn turvallisuusviranomaisen tai muun toimivaltaisen viranomaisen on kansallisten lakien ja asetusten antamien mahdollisuuksien mukaisesti varmistettava, että sen alueelle rekisteröidyt hankeosapuolet ja alihankkijat toteuttavat kaikki asianmukaiset toimenpiteet EU:n turvallisuusluokiteltujen tietojen suojaamiseksi sopimusta edeltävien neuvottelujen aikana tai turvallisuusluokitellun sopimuksen toimeenpanovaiheessa.
5. Kunkin jäsenvaltion kansallisen turvallisuusviranomaisen, nimetyn turvallisuusviranomaisen tai muun toimivaltaisen turvallisuusviranomaisen on kansallisten lakien ja asetusten mukaisesti varmistettava, että kyseiseen jäsenvaltioon rekisteröidyillä hankeosapuolilla tai alihankkijoilla, jotka ovat osapuolina turvallisuusluokitelluissa sopimuksissa tai alihankintasopimuksissa, jotka edellyttävät CONFIDENTIEL UE/EU CONFIDENTIAL- tai SECRET UE/EU SECRET -turvallisuusluokan tietojen saamista niiden toimitiloissa joko sopimusten toimeenpanovaiheessa tai sopimuksia edeltävien neuvottelujen aikana, on asiaankuuluvan turvallisuusluokitustason yhteisöturvallisuusselvitys.
6. Asianomaisen kansallisen turvallisuusviranomaisen, nimetyn turvallisuusviranomaisen tai muun toimivaltaisen turvallisuusviranomaisen on myönnettävä henkilöturvallisuusselvitys hankeosapuolen tai alihankkijan henkilöstölle, jolla on oltava pääsy CONFIDENTIEL UE/EU CONFIDENTIAL- tai SECRET UE/EU SECRET -turvallisuusluokan tietoihin turvallisuusluokitellun sopimuksen toimeenpanemiseksi, kansallisten lakien ja asetusten sekä liitteessä I säädettyjen vähimmäisvaatimusten mukaisesti.
7. Tämän artiklan täytäntöönpanosäännökset vahvistetaan liitteessä V.
12 artikla
EU:n turvallisuusluokiteltujen tietojen jakaminen
1. Neuvosto määrittelee, millä edellytyksillä se voi jakaa hallussaan olevia EU:n turvallisuusluokiteltuja tietoja unionin muiden toimielinten, elinten, laitosten tai yksiköiden kanssa. Tarkoitusta varten voidaan perustaa asianmukaiset puitteet muun muassa tekemällä toimielinten välisiä sopimuksia tai muita järjestelyjä tarpeen mukaan.
2. Näissä puitteissa on varmistettava, että EU:n turvallisuusluokitellut tiedot suojataan niiden turvallisuusluokkaa vastaavasti ja että suojaan sovelletaan tässä päätöksessä säädettyä tasoa vastaavia perusperiaatteita ja vähimmäisvaatimuksia.
13 artikla
Turvallisuusluokiteltujen tietojen vaihto kolmansien valtioiden ja kansainvälisten järjestöjen kanssa
1. Jos neuvosto toteaa, että jonkin kolmannen valtion tai kansainvälisen järjestön kanssa on tarpeen vaihtaa EU:n turvallisuusluokiteltuja tietoja, tätä varten on perustettava asianmukaiset puitteet.
2. Tällaisten puitteiden perustamiseksi ja vaihdettavien turvallisuusluokiteltujen tietojen suojaamista koskevien vastavuoroisten sääntöjen määrittelemiseksi
a) |
unioni tekee kolmansien valtioiden tai kansainvälisten järjestöjen kanssa sopimuksia turvallisuusluokiteltujen tietojen vaihtoa ja suojaamista koskevista turvallisuusmenettelyistä, jäljempänä ’tietoturvallisuussopimukset’; tai |
b) |
pääsihteeri voi liitteessä VI olevan 17 kohdan mukaisesti sopia neuvoston pääsihteeristön puolesta hallinnollisista järjestelyistä, jos luovutettavien EU:n turvallisuusluokiteltujen tietojen turvallisuusluokka on yleensä korkeintaan RESTREINT UE/EU RESTRICTED. |
3. Edellä 2 kohdassa tarkoitettuihin tietoturvallisuussopimuksiin tai hallinnollisiin järjestelyihin on sisällytettävä määräyksiä, joilla varmistetaan, että kolmansien valtioiden tai kansainvälisten järjestöjen vastaanottaessa EU:n turvallisuusluokiteltuja tietoja nämä tiedot suojataan niiden turvallisuusluokan edellyttämällä tavalla ja sellaisten vaatimusten mukaisesti, jotka ovat vähintään yhtä tiukkoja kuin tässä päätöksessä vahvistetut vähimmäisvaatimukset.
4. Neuvosto tekee päätöksen neuvostosta peräisin olevien EU:n turvallisuusluokiteltujen tietojen luovuttamisesta kolmannelle valtiolle tai kansainväliselle järjestölle tapauskohtaisesti kyseisten tietojen luonteen ja sisällön, vastaanottajan tiedonsaantitarpeen ja unionille koituvan edun arvioinnin perusteella. Jos luovutuspyynnön kohteena olevien turvallisuusluokiteltujen tietojen luovuttaja ei ole neuvosto, pääsihteeristön on ensin saatava tietojen luovuttajan kirjallinen suostumus luovutukselle. Jos luovuttajaa ei tiedetä, neuvosto ottaa luovuttajan vastuun itselleen.
5. Luovutettujen tai vaihdettujen EU:n turvallisuusluokiteltujen tietojen suojaamiseksi kolmannessa valtiossa tai kansainvälisessä järjestössä toteutettujen turvatoimien tehokkuus on varmistettava järjestämällä arviointikäyntejä.
6. Tämän artiklan täytäntöönpanosäännökset vahvistetaan liitteessä VI.
14 artikla
Tietoturvaloukkaukset ja EU:n turvallisuusluokiteltujen tietojen vaarantuminen
1. Tietoturvaloukkaus tapahtuu, kun henkilö ei noudata tässä päätöksessä säädettyjä turvallisuussääntöjä tai laiminlyö niitä.
2. EU:n turvallisuusluokitellut tiedot vaarantuvat, kun ne ovat tietoturvaloukkauksen seurauksena paljastuneet kokonaisuudessaan tai osittain sivullisille henkilöille.
3. Tapahtuneesta tai epäillystä tietoturvaloukkauksesta on ilmoitettava välittömästi toimivaltaiselle turvallisuusviranomaiselle.
4. Jos EU:n turvallisuusluokiteltujen tietojen tiedetään tai voidaan perustellusti olettaa vaarantuneen tai kadonneen, kansallisen turvallisuusviranomaisen tai muun toimivaltaisen viranomaisen on toteutettava kaikki asiaankuuluvien lakien ja asetusten mukaiset tarpeelliset toimenpiteet
a) |
ilmoittaakseen asiasta tietojen luovuttajalle; |
b) |
varmistaakseen, että henkilöstö, joka ei ole välittömästi tekemisissä tietoturvaloukkauksen kanssa, tutkii tapauksen tosiasioiden selvittämiseksi; |
c) |
arvioidakseen unionin tai jäsenvaltioiden eduille aiheutuneen mahdollisen vahingon; |
d) |
toteuttaakseen tarvittavat toimenpiteet tapahtuneen toistumisen estämiseksi; ja |
e) |
ilmoittaakseen asianmukaisille viranomaisille toteutetuista toimista. |
5. Henkilölle, joka on vastuussa tässä päätöksessä säädettyjen turvallisuussääntöjen rikkomisesta, voidaan määrätä kurinpitoseuraamus asiaankuuluvien sääntöjen ja määräysten mukaisesti. Henkilöön, joka on aiheuttanut EU:n turvallisuusluokiteltujen tietojen vaarantumisen tai katoamisen, kohdistetaan kurinpidollisia ja/tai oikeudellisia toimenpiteitä sovellettavien lakien, sääntöjen ja määräysten mukaisesti.
15 artikla
Täytäntöönpanovastuu
1. Neuvosto toteuttaa kaikki tarpeelliset toimenpiteet varmistaakseen tämän päätöksen yleisesti johdonmukaisen soveltamisen.
2. Pääsihteeri toteuttaa kaikki tarpeelliset toimenpiteet sen varmistamiseksi, että käsiteltäessä tai säilytettäessä EU:n tai muita turvallisuusluokiteltuja tietoja neuvoston käyttämissä tiloissa ja pääsihteeristössä pääsihteeristön virkamiehet ja muu henkilöstö, pääsihteeristöön lähetetty henkilöstö ja pääsihteeristön hankeosapuolet soveltavat tätä päätöstä.
3. Jäsenvaltioiden on toteutettava kaikki asianmukaiset toimenpiteet kansallisten lakiensa ja asetustensa mukaisesti sen varmistamiseksi, että seuraavat noudattavat tätä päätöstä käsitellessään tai säilyttäessään EU:n turvallisuusluokiteltuja tietoja:
a) |
jäsenvaltioiden Euroopan unionissa olevien pysyvien edustustojen henkilöstö sekä neuvoston tai sen valmisteluelinten kokouksiin tai neuvoston muuhun toimintaan osallistuvat kansallisten valtuuskuntien jäsenet; |
b) |
muu jäsenvaltioiden kansallisen hallinnon henkilöstö, myös kyseisiin hallintoihin lähetetty henkilöstö, riippumatta siitä, ovatko henkilöt palveluksessa jäsenvaltioiden alueella vai ulkomailla; |
c) |
muut jäsenvaltioissa olevat henkilöt, joilla on tehtäviensä vuoksi asianmukainen valtuutus päästä EU:n turvallisuusluokiteltuihin tietoihin; ja |
d) |
jäsenvaltioiden hankeosapuolet riippumatta siitä, ovatko ne kyseisten jäsenvaltioiden alueella vai ulkomailla. |
16 artikla
Turvallisuusjärjestelyt neuvostossa
1. Osana tehtäväänsä varmistaa tämän päätöksen soveltamisen yleinen johdonmukaisuus neuvosto hyväksyy
a) |
13 artiklan 2 kohdan a alakohdassa tarkoitetut sopimukset; |
b) |
päätökset, joilla valtuutetaan luovuttamaan kolmansille valtioille tai kansainvälisille järjestöille neuvostosta peräisin olevia tai neuvoston hallussa olevia EU:n turvallisuusluokiteltuja tietoja tai joilla annetaan tähän suostumus noudattaen luovuttajan suostumuksen periaatetta; |
c) |
turvallisuuskomitean suositteleman vuosittaisen arviointikäyntiohjelman, jonka mukaan järjestetään käyntejä ja arvioidaan jäsenvaltioiden yksiköt ja tilat, ne unionin elimet, laitokset ja yksiköt, jotka soveltavat tätä päätöstä tai sen periaatteita, ja tehdään arviointikäyntejä kolmansiin valtioihin ja kansainvälisiin järjestöihin EU:n turvallisuusluokiteltujen tietojen suojaamiseksi toteutettujen toimenpiteiden tehokkuuden varmistamiseksi; ja |
d) |
edellä 6 artiklan 1 kohdassa tarkoitetut turvallisuusperiaatteet. |
2. Pääsihteeri toimii pääsihteeristön turvallisuusviranomaisena. Siinä ominaisuudessa hän
a) |
panee täytäntöön neuvoston turvallisuusperiaatteet ja arvioi niitä; |
b) |
koordinoi jäsenvaltioiden kansallisten turvallisuusviranomaisten kanssa kaikki turvallisuusasiat, jotka liittyvät neuvoston toiminnan kannalta merkityksellisten turvallisuusluokiteltujen tietojen suojaamiseen; |
c) |
myöntää neuvoston pääsihteeristön virkamiehille, muulle henkilöstölle ja kansallisille asiantuntijoille luvan päästä CONFIDENTIEL UE/EU CONFIDENTIAL- tai sitä korkeamman turvallisuusluokan tietoihin 7 artiklan 3 kohdan mukaisesti; |
d) |
määrää tarvittaessa tutkinnasta, joka koskee neuvoston hallussa olevien tai neuvostosta peräisin olevien EU:n turvallisuusluokiteltujen tietojen todettua tai epäiltyä vaarantumista tai katoamista, ja pyytää asiaankuuluvia turvallisuusviranomaisia auttamaan tällaisessa tutkinnassa; |
e) |
huolehtii turvallisuusluokiteltujen tietojen suojaamiseksi toteutettujen turvallisuusjärjestelyjen määräaikaistarkastuksista pääsihteeristön tiloissa; |
f) |
tekee säännöllisesti käyntejä unionin elinten, laitosten ja yksiköiden, jotka soveltavat tätä päätöstä tai sen periaatteita, EU:n turvallisuusluokiteltujen tietojen suojaamiseksi toteuttamien turvallisuusjärjestelyjen arvioimiseksi; |
g) |
huolehtii yhdessä ja keskinäisestä sopimuksesta asianomaisten kansallisten turvallisuusviranomaisten kanssa EU:n turvallisuusluokiteltujen tietojen suojaamiseksi toteutettujen turvallisuusjärjestelyjen määräaikaisarvioinneista jäsenvaltioiden yksiköissä ja tiloissa; |
h) |
varmistaa, että turvatoimet koordinoidaan tarpeen mukaan jäsenvaltioiden ja tarvittaessa kolmansien valtioiden tai kansainvälisten järjestöjen turvallisuusluokiteltujen tietojen suojaamisen osalta toimivaltaisten viranomaisten kanssa, ottaen huomioon myös EU:n turvallisuusluokiteltuihin tietoihin kohdistuvien turvallisuusuhkien luonne ja keinot suojautua niitä vastaan; ja |
i) |
sopii 13 artiklan 2 kohdan b alakohdassa tarkoitetuista hallinnollisista järjestelyistä. |
Pääsihteeristön turvallisuusyksikkö on pääsihteerin käytettävissä näissä tehtävissä avustamiseen.
3. Jäsenvaltioiden olisi 15 artiklan 3 kohdan täytäntöön panemiseksi
a) |
nimettävä lisäyksessä C lueteltu kansallinen turvallisuusviranomainen, joka vastaa turvallisuusjärjestelyistä EU:n turvallisuusluokiteltujen tietojen suojaamiseksi niin, että
|
b) |
varmistettava, että niiden toimivaltaiset viranomaiset antavat hallituksilleen ja sitä kautta neuvostolle tietoja ja neuvoja EU:n turvallisuusluokiteltuihin tietoihin kohdistuvien turvallisuusuhkien luonteesta ja keinoista suojautua niitä vastaan. |
17 artikla
Turvallisuuskomitea
1. Perustetaan turvallisuuskomitea. Turvallisuuskomitea tutkii ja arvioi tämän päätöksen soveltamisalaan kuuluvia turvallisuusasioita ja antaa tarvittaessa neuvostolle suosituksia.
2. Turvallisuuskomitea muodostuu jäsenvaltioiden kansallisten turvallisuusviranomaisten edustajista, ja komission ja Euroopan ulkosuhdehallinnon edustaja osallistuu sen kokouksiin. Komitean puheenjohtajana toimii pääsihteeri tai hänen nimeämänsä henkilö. Se kokoontuu neuvoston toimeksiannosta tai pääsihteerin taikka kansallisen turvallisuusviranomaisen pyynnöstä.
Unionin elinten, laitosten ja yksiköiden, jotka soveltavat tätä päätöstä tai sen periaatteita, edustajia voidaan pyytää osallistumaan kokouksiin, kun käsitellään niitä koskevia kysymyksiä.
3. Turvallisuuskomitea järjestää toimintansa niin, että se voi antaa suosituksia erityisillä turvallisuuden aloilla. Se muodostaa tiedonturvaamisasioita käsittelevän asiantuntijakokoonpanon ja muita asiantuntijakokoonpanoja tarpeen mukaan. Se laatii tällaisten asiantuntijakokoonpanojen toimeksiannot ja sille toimitetaan niiden toimintakertomukset sekä niiden neuvostolle osoittamat mahdolliset suositukset.
18 artikla
Aiemman päätöksen korvaaminen
1. Tällä päätöksellä kumotaan ja korvataan neuvoston päätös 2011/292/EU (2).
2. Kaikki neuvoston päätöksen 2001/264/EY (3) ja päätöksen 2011/292/EU mukaisesti luokitellut EU:n turvallisuusluokitellut tiedot suojataan edelleen tämän päätöksen asiaankuuluvien säännösten mukaisesti.
19 artikla
Voimaantulo
Tämä päätös tulee voimaan päivänä, jona se julkaistaan Euroopan unionin virallisessa lehdessä.
Tehty Brysselissä 23 päivänä syyskuuta 2013.
Neuvoston puolesta
Puheenjohtaja
V. JUKNA
(1) EUVL L 325, 11.12.2009, s. 35.
(2) Neuvoston päätös 2011/292/EU, tehty 31 päivänä maaliskuuta 2011, turvallisuussäännöistä EU:n turvallisuusluokiteltujen tietojen suojaamiseksi (EUVL L 141, 27.5.2011, s. 17).
(3) Neuvoston päätös 2001/264/EY, tehty 19 päivänä maaliskuuta 2001, neuvoston turvallisuussääntöjen vahvistamisesta (EYVL L 101, 11.4.2001, s. 1).
LIITTEET
LIITE I
Henkilöstöturvallisuus
LIITE II
Fyysinen turvallisuus
LIITE III
Turvallisuusluokiteltujen tietojen hallinnointi
LIITE IV
Viestintä- ja tietojärjestelmissä käsiteltävien EU:n turvallisuusluokiteltujen tietojen suojaaminen
LIITE V
Yhteisöturvallisuus
LIITE VI
Turvallisuusluokiteltujen tietojen vaihto kolmansien valtioiden ja kansainvälisten järjestöjen kanssa
LIITE I
HENKILÖSTÖTURVALLISUUS
I JOHDANTO
1. |
Tässä liitteessä vahvistetaan 7 artiklan täytäntöönpanosäännökset. Siinä säädetään perusteista sen päättämiseksi, voidaanko henkilölle hänen lojaaliutensa, rehellisyytensä ja luotettavuutensa huomioon ottaen myöntää pääsy EU:n turvallisuusluokiteltuihin tietoihin, sekä asiassa noudatettavista tutkinta- ja hallinnollisista menettelyistä. |
II PÄÄSYN MYÖNTÄMINEN EU:N TURVALLISUUSLUOKITELTUIHIN TIETOIHIN
2. |
Henkilölle voidaan myöntää pääsy turvallisuusluokiteltuihin tietoihin vasta sen jälkeen, kun
|
3. |
Kunkin jäsenvaltion ja pääsihteeristön on määriteltävä omissa hallintorakenteissaan ne tehtävät, jotka edellyttävät pääsyä CONFIDENTIEL UE/EU CONFIDENTIAL- tai sitä korkeamman turvallisuusluokan tietoihin ja siksi asiaankuuluvan tason turvallisuusselvitystä. |
III HENKILÖTURVALLISUUSSELVITYSTÄ KOSKEVAT VAATIMUKSET
4. |
Vastaanotettuaan asianmukaisesti valtuutetun pyynnön kansalliset turvallisuusviranomaiset tai muut toimivaltaiset kansalliset viranomaiset vastaavat siitä, että niiden kansalaisista, joilla on oltava pääsy CONFIDENTIEL UE/EU CONFIDENTIAL- tai sitä korkeamman turvallisuusluokan tietoihin, tehdään turvallisuustutkinta. Tutkintaa koskevien vaatimusten on oltava kansallisten lakien ja asetusten mukaisia turvallisuusselvityksen myöntämiseksi tai lausunnon antamiseksi siitä, että henkilölle myönnetään pääsy EU:n turvallisuusluokiteltuihin tietoihin, tapauksen mukaan. |
5. |
Jos asianomainen henkilö asuu toisen jäsenvaltion tai kolmannen valtion alueella, toimivaltaisten kansallisten viranomaisten on pyydettävä apua asuinvaltion toimivaltaisilta viranomaisilta kansallisten lakien ja asetusten mukaisesti. Jäsenvaltioiden on autettava toisiaan turvallisuustutkinnan tekemisessä kansallisten lakien ja asetusten mukaisesti. |
6. |
Kansallisten lakien ja asetusten salliessa kansalliset turvallisuusviranomaiset tai muut toimivaltaiset kansalliset viranomaiset voivat tehdä tutkinnan muista kuin omista kansalaisistaan, joilla on oltava pääsy CONFIDENTIEL UE/EU CONFIDENTIAL- tai sitä korkeamman turvallisuusluokan tietoihin. Tutkintaa koskevien vaatimusten on oltava kansallisten lakien ja asetusten mukaisia. |
Turvallisuustutkinnan perusteet
7. |
Henkilön lojaalius, rehellisyys ja luotettavuus on määritettävä tekemällä turvallisuustutkinta, jonka perusteella hänelle voidaan tehdä turvallisuusselvitys ja myöntää pääsy CONFIDENTIEL UE/EU CONFIDENTIAL- tai sitä korkeamman turvallisuusluokan tietoihin. Toimivaltaisen kansallisen viranomaisen on tehtävä kokonaisarvio turvallisuustutkinnasta saatujen tietojen perusteella. Turvallisuustutkinnan pääasiallisiin perusteisiin kuuluu kansallisten lakien ja asetusten mukaisesti mahdollisimman laaja tutkinta sen selvittämiseksi,
|
8. |
Tarvittaessa ja kansallisten lakien ja asetusten mukaisesti myös henkilön taloudellista ja lääketieteellistä taustaa voidaan pitää merkityksellisenä turvallisuustutkintaa tehtäessä. |
9. |
Tarvittaessa ja kansallisten lakien ja asetusten mukaisesti puolison, avopuolison tai läheisen perheenjäsenen käyttäytyminen ja olosuhteet voidaan myös katsoa merkityksellisiksi turvallisuustutkintaa tehtäessä. |
Tutkintavaatimukset pääsyn myöntämiseksi EU:n turvallisuusluokiteltuihin tietoihin
Ensimmäisen turvallisuusselvityksen myöntäminen
10. |
Ensimmäisen turvallisuusselvityksen CONFIDENTIEL UE/EU CONFIDENTIAL- ja SECRET UE/EU SECRET -turvallisuusluokan tietoihin pääsyä varten on perustuttava turvallisuustutkintaan, joka kattaa vähintään viimeiset viisi vuotta tai ajanjakson 18 vuoden iästä nykyhetkeen riippuen siitä, kumpi ajanjakso on lyhyempi, ja johon sisältyy seuraavaa:
|
11. |
Ensimmäisen turvallisuusselvityksen TRÈS SECRET UE/EU TOP SECRET -turvallisuusluokan tietoihin pääsyä varten on perustuttava turvallisuustutkintaan, joka kattaa vähintään viimeiset kymmenen vuotta tai ajanjakson 18 vuoden iästä nykyhetkeen riippuen siitä, kumpi ajanjakso on lyhyempi. Jos tehdään haastatteluja tämän kohdan e alakohdan mukaisesti, tutkinnan on katettava vähintään viimeiset seitsemän vuotta tai ajanjakso 18 vuoden iästä nykyhetkeen riippuen siitä, kumpi ajanjakso on lyhyempi. Ennen TRÈS SECRET UE/EU TOP SECRET -turvallisuusselvityksen myöntämistä on tutkittava edellä 7 kohdassa mainittujen perusteiden lisäksi mahdollisimman laajasti kansallisten lakien ja asetusten mukaisesti seuraavia seikkoja, joita voidaan tutkia myös ennen CONFIDENTIEL UE/EU CONFIDENTIAL- ja SECRET UE/EU SECRET -turvallisuusselvityksen myöntämistä, jos sitä vaaditaan kansallisissa laeissa ja asetuksissa:
|
12. |
Tarvittaessa ja kansallisten lakien ja asetusten mukaisesti voidaan suorittaa lisätutkimuksia, jotta selvitetään kaikki saatavilla olevat merkitykselliset tiedot asianomaisesta henkilöstä ja voidaan näyttää toteen tai osoittaa vääriksi kielteiset tiedot. |
Turvallisuusselvityksen uusiminen
13. |
Sen jälkeen, kun ensimmäinen turvallisuusselvitys on myönnetty ja edellyttäen, että henkilö on ollut yhtäjaksoisesti kansallisen hallinnon tai pääsihteeristön palveluksessa ja että hänen tehtävänsä edellyttävät edelleen pääsyä EU:n turvallisuusluokiteltuihin tietoihin, turvallisuusselvitys on uusittava viimeistään viiden vuoden välein, jos kyse on TRÈS SECRET UE/EU TOP SECRET -turvallisuusselvityksestä, ja viimeistään kymmenen vuoden välein, jos kyse on SECRET UE/EU SECRET- ja CONFIDENTIEL UE/EU CONFIDENTIAL -turvallisuusselvityksistä, laskettuna selvityksen perustana olleen viimeisen turvallisuustutkinnan tulosten tiedoksiantamisajankohdasta. Kaikki turvallisuusselvityksen uusimista varten tehtävät turvallisuustutkinnat on tehtävä ajalta, joka alkaa siitä, mihin edellinen selvitys päättyi. |
14. |
Turvallisuusselvitysten uusimiseksi on tutkittava 10 ja 11 kohdassa esitetyt seikat. |
15. |
Uusimispyynnöt on esitettävä hyvissä ajoin ottaen huomioon turvallisuustutkinnan edellyttämä aika. Jos asiaankuuluva kansallinen turvallisuusviranomainen tai muu toimivaltainen kansallinen viranomainen on vastaanottanut asiaankuuluvan uusimispyynnön ja vastaavan henkilöstöturvallisuutta koskevan kyselylomakkeen ennen turvallisuusselvityksen voimassaolon päättymistä ja jos tarvittava turvallisuustutkinta ei ole vielä valmistunut, toimivaltainen kansallinen viranomainen voi kuitenkin jatkaa voimassa olevan turvallisuusselvityksen voimassaoloa korkeintaan 12 kuukaudella, jos se sallitaan kansallisissa laeissa ja asetuksissa. Jos turvallisuustutkinta ei ole vielä tämän 12 kuukauden ajan päättyessä valmistunut, asianomainen henkilö on siirrettävä hoitamaan tehtäviä, joissa ei vaadita turvallisuusselvitystä. |
Valtuutusmenettelyt pääsihteeristössä
16. |
Pääsihteeristön virkamiesten ja muun henkilöstön osalta pääsihteeristön turvallisuusviranomainen toimittaa henkilöstöturvallisuutta koskevan kyselylomakkeen täytettynä sen jäsenvaltion kansalliselle turvallisuusviranomaiselle, jonka kansalainen asianomainen henkilö on, ja pyytää turvallisuustutkinnan tekemistä EU:n turvallisuusluokiteltujen tietojen sen luokan osalta, johon henkilön on tarpeen päästä. |
17. |
Jos pääsihteeristön tietoon tulee turvallisuustutkinnan kannalta merkityksellisiä tietoja henkilöstä, joka on hakenut turvallisuusselvitystä EU:n turvallisuusluokiteltuihin tietoihin pääsyä varten, pääsihteeristön on ilmoitettava siitä asianomaiselle kansalliselle turvallisuusviranomaiselle asiaankuuluvien sääntöjen mukaisesti. |
18. |
Turvallisuustutkinnan valmistuttua asiaankuuluvan kansallisen turvallisuusviranomaisen on annettava tutkinnan tulokset pääsihteeristön turvallisuusviranomaiselle tiedoksi turvallisuuskomitean kirjeenvaihtoa varten määräämässä vakiomuodossa.
|
19. |
Turvallisuustutkintaan ja sen tuloksiin sovelletaan kyseisessä jäsenvaltiossa voimassa olevia asiaa koskevia lakeja ja asetuksia mahdolliset muutoksenhakukeinot mukaan luettuina. Pääsihteeristön nimittävän viranomaisen päätöksiin voi hakea muutosta asetuksessa (ETY, Euratom, EHTY) N:o 259/68 (1) säädettyjen Euroopan unionin virkamiehiin sovellettavien henkilöstösääntöjen ja Euroopan unionin muuhun henkilöstöön sovellettavien palvelussuhteen ehtojen mukaisesti, jäljempänä ’henkilöstösäännöt ja palvelussuhteen ehdot’. |
20. |
Kansallisten asiantuntijoiden, jotka lähetetään pääsihteeristöön tehtäviin, jotka edellyttävät pääsyä EU:n CONFIDENTIEL UE/EU CONFIDENTIAL- ja sitä korkeamman tason turvallisuusluokiteltuihin tietoihin, on esitettävä ennen tehtäviensä aloittamista pääsihteeristön turvallisuusviranomaiselle voimassa oleva EU:n turvallisuusluokiteltuihin tietoihin pääsyyn oikeuttava henkilöturvallisuusselvitykseen perustuva todistus, jonka nojalla nimittävä viranomainen antaa valtuutuksen EU:n turvallisuusluokiteltuihin tietoihin pääsyä varten. |
21. |
Pääsihteeristö hyväksyy kaikkien muiden unionin toimielinten, elinten tai laitosten antaman valtuutuksen EU:n turvallisuusluokiteltuihin tietoihin pääsyä varten edellyttäen, että se on voimassa. Valtuutus kattaa kaikki asianomaisen henkilön pääsihteeristössä suorittamat tehtävät. Unionin toimielin, elin tai laitos, jossa henkilö ottaa työn vastaan, ilmoittaa asiaankuuluvalle kansalliselle turvallisuusviranomaiselle työnantajan vaihtumisesta. |
22. |
Jos henkilön palvelusaika ei ala 12 kuukauden kuluessa siitä, kun turvallisuustutkinnan tulokset on annettu tiedoksi pääsihteeristön nimittävälle viranomaiselle, tai jos henkilön palveluksessaolo keskeytyy 12 kuukaudeksi eikä hän sinä aikana ole pääsihteeristön eikä minkään jäsenvaltion kansallisen hallinnon palveluksessa, tulosten johdosta on otettava yhteyttä asiaankuuluvaan kansalliseen turvallisuusviranomaiseen niiden voimassa pysymisen ja asianmukaisuuden vahvistamiseksi. |
23. |
Jos pääsihteeristön tietoon tulee, että henkilö, jolla on valtuutus EU:n turvallisuusluokiteltuihin tietoihin pääsyä varten, saattaa aiheuttaa turvallisuusriskin, pääsihteeristön on asiaankuuluvien sääntöjen ja määräysten mukaisesti ilmoitettava siitä asianomaiselle kansalliselle turvallisuusviranomaiselle, ja se voi estää pääsyn EU:n turvallisuusluokiteltuihin tietoihin tai peruuttaa valtuutuksen EU:n turvallisuusluokiteltuihin tietoihin pääsyä varten. |
24. |
Jos kansallinen turvallisuusviranomainen ilmoittaa pääsihteeristölle sellaista henkilöä koskevan 18 kohdan a alakohdan mukaisesti annetun lausunnon peruuttamisesta, jolla on valtuutus EU:n turvallisuusluokiteltuihin tietoihin pääsyä varten, pääsihteeristön nimittävä viranomainen voi pyytää sellaista selvennystä, jonka kansallinen turvallisuusviranomainen voi antaa jäsenvaltionsa lakien ja asetusten mukaisesti. Jos kielteinen tieto vahvistetaan, valtuutus on peruutettava, henkilöltä on evättävä pääsy EU:n turvallisuusluokiteltuihin tietoihin ja hänet on siirrettävä pois tehtävistä, joissa niihin pääsy on mahdollista tai joissa turvallisuus voisi hänen vuokseen vaarantua. |
25. |
Kaikki pääsihteeristön virkamiehen tai muun henkilöstön jäsenen EU:n turvallisuusluokiteltuihin tietoihin pääsyä koskevan valtuutuksen peruuttamista tai keskeyttämistä koskevat päätökset ja tapauksen mukaan niiden perusteet on annettava tiedoksi asianomaiselle henkilölle, joka voi pyytää, että nimittävä viranomainen kuulee häntä. Kansallisen turvallisuusviranomaisen toimittamiin tietoihin sovelletaan kyseisessä jäsenvaltiossa voimassa olevia asiaa koskevia lakeja ja asetuksia mahdolliset muutoksenhakukeinot mukaan luettuina. Pääsihteeristön nimittävän viranomaisen päätöksiin voi hakea muutosta henkilöstösääntöjen ja palvelussuhteen ehtojen mukaisesti. |
Turvallisuusselvitysten ja valtuutusten rekisterit
26. |
Kukin jäsenvaltio ja pääsihteeristö pitävät yllä rekistereitä turvallisuusselvityksistä ja pääsyä CONFIDENTIEL UE/EU CONFIDENTIAL- tai sitä korkeamman tason turvallisuusluokiteltuihin tietoihin koskevista valtuutuksista. Rekisteriin on merkittävä vähintään korkein turvallisuusluokka, johon kuuluviin EU:n turvallisuusluokiteltuihin tietoihin henkilölle voidaan myöntää pääsy, turvallisuusselvityksen myöntämispäivä ja sen voimassaoloaika. |
27. |
Toimivaltainen turvallisuusviranomainen voi antaa henkilöturvallisuusselvitykseen perustuvan todistuksen, josta käyvät ilmi turvallisuusluokka, johon kuuluviin EU:n turvallisuusluokiteltuihin tietoihin asianomaiselle henkilölle voidaan myöntää pääsy (CONFIDENTIEL UE/EU CONFIDENTIAL tai korkeampi), EU:n turvallisuusluokiteltuihin tietoihin pääsyä varten tarvittavan turvallisuusselvityksen tai EU:n turvallisuusluokiteltuihin tietoihin pääsyä varten tarvittavan valtuutuksen voimassaoloaika ja itse todistuksen voimassaolon päättymispäivä. |
Vapautukset turvallisuusselvitystä koskevasta vaatimuksesta
28. |
Jäsenvaltioissa tehtäviensä vuoksi asianmukaisesti valtuutettujen henkilöiden pääsy EU:n turvallisuusluokiteltuihin tietoihin määritellään kansallisten lakien ja asetusten mukaisesti. Kyseisille henkilöille on selvitettävä heidän turvallisuusvelvoitteensa EU:n turvallisuusluokiteltujen tietojen suojaamisen osalta. |
IV TURVALLISUUSKOULUTUS JA -TIETOISUUS
29. |
Kaikkien henkilöiden, joille on myönnetty turvallisuusselvitys, on kirjallisesti vakuutettava ymmärtävänsä velvollisuutensa suojata EU:n turvallisuusluokitellut tiedot sekä seuraukset, joihin EU:n turvallisuusluokiteltujen tietojen vaarantuminen johtaa. Jäsenvaltiot ja tapauksen mukaan pääsihteeristö rekisteröivät tällaiset kirjalliset vakuutukset. |
30. |
Kaikille henkilöille, joille on myönnetty pääsy EU:n turvallisuusluokiteltuihin tietoihin tai joiden edellytetään käsittelevän niitä, on aluksi selvitettävä turvallisuusuhat ja heille on säännöllisin väliajoin tiedotettava niistä, ja heidän on ilmoitettava välittömästi asianomaisille turvallisuusviranomaisille epäilyttävinä tai epätavanomaisina pitämistään yhteydenotoista tai toimista. |
31. |
Kaikille henkilöille, jotka siirtyvät pois tehtävistä, jotka edellyttävät pääsyä EU:n turvallisuusluokiteltuihin tietoihin, on selvitettävä heidän velvollisuutensa EU:n turvallisuusluokiteltujen tietojen jatkuvan suojaamisen osalta, ja heidän on tarvittaessa annettava siitä kirjallinen vakuutus. |
V POIKKEUKSELLISET OLOSUHTEET
32. |
Jäsenvaltion toimivaltaisen kansallisen viranomaisen kansallisiin turvallisuusluokiteltuihin tietoihin pääsyä varten myöntämä turvallisuusselvitys voidaan tilapäisesti siihen saakka, kunnes pääsyä EU:n turvallisuusluokiteltuihin tietoihin koskeva turvallisuusselvitys on myönnetty, sallia kansallisten virkamiesten pääsyn EU:n turvallisuusluokiteltuihin tietoihin lisäyksessä B olevassa vastaavuustaulukossa määriteltyyn vastaavaan turvallisuusluokkaan saakka, jos se on sallittua kansallisten lakien ja asetusten mukaisesti ja jos tällainen tilapäinen pääsy on unionin etujen vuoksi tarpeen. Kansallisten turvallisuusviranomaisten on ilmoitettava turvallisuuskomitealle, jos tällainen tilapäinen pääsy EU:n turvallisuusluokiteltuihin tietoihin ei ole kansallisten lakien ja asetusten mukaan sallittua. |
33. |
Jos se on yksikön etujen vuoksi asianmukaisesti perusteltua ja jos täydellistä turvallisuustutkintaa ei ole vielä saatu päätökseen, pääsihteeristön nimittävä viranomainen voi kiireellisyyssyistä ja kuultuaan sen jäsenvaltion kansallista turvallisuusviranomaista, jonka kansalainen henkilö on, ja riippuen kielteisten seikkojen olemassaoloa koskevien alustavien tarkistusten tuloksista, myöntää pääsihteeristön virkamiehille ja muun henkilöstön jäsenille tilapäisen valtuutuksen ja pääsyn EU:n turvallisuusluokiteltuihin tietoihin tietyn tehtävän suorittamiseksi. Tällaiset tilapäiset valtuutukset ovat voimassa korkeintaan kuusi kuukautta, eivätkä ne oikeuta pääsemään TRÈS SECRET UE/EU TOP SECRET -turvallisuusluokan tietoihin. Kaikkien henkilöiden, joille on myönnetty tilapäinen valtuutus, on kirjallisesti vakuutettava ymmärtävänsä velvollisuutensa suojata EU:n turvallisuusluokitellut tiedot sekä seuraukset, jos EU:n turvallisuusluokitellut tiedot vaarantuvat. Pääsihteeristö rekisteröi tällaiset kirjalliset vakuutukset. |
34. |
Jos henkilö on määrä asettaa tehtävään, joka edellyttää yhtä tasoa korkeamman tason turvallisuusselvitystä kuin hänellä tuolloin on, tehtävään asettaminen voidaan tehdä väliaikaisesti edellyttäen, että
|
35. |
Edellä kuvattua menettelyä on käytettävä myönnettäessä henkilölle kertaluonteisesti pääsy EU:n turvallisuusluokiteltuihin tietoihin, jotka on luokiteltu yhtä turvallisuusluokkaa korkeammalle kuin se, jota hänen turvallisuusselvityksensä koskee. Tätä menettelyä ei saa käyttää toistuvasti. |
36. |
Erittäin poikkeuksellisissa olosuhteissa, kuten toteutettaessa operaatioita vihamielisessä ympäristössä tai kasvavien kansainvälisten jännitteiden aikana, jäsenvaltiot ja pääsihteeri voivat kiireellisten toimenpiteiden niin edellyttäessä ja erityisesti ihmishenkien pelastamiseksi myöntää mahdollisuuksien mukaan kirjallisesti pääsyn CONFIDENTIEL UE/EU CONFIDENTIAL- tai SECRET UE/EU SECRET -turvallisuusluokan tietoihin henkilöille, joilla ei ole vaadittua turvallisuusselvitystä edellyttäen, että tällainen lupa on ehdottoman välttämätön eikä asianomaisen henkilön lojaaliudesta, rehellisyydestä ja luotettavuudesta ole perusteltua epäilystä. Tällaisesta luvasta on säilytettävä rekisterissä tieto ja kuvaus tiedoista, joihin pääsy on hyväksytty. |
37. |
TRÈS SECRET UE/EU TOP SECRET -turvallisuusluokan tietojen osalta kiireellisyyssyistä myönnetty pääsy on rajattava unionin kansalaisiin, joille on myönnetty pääsy joko TRÈS SECRET UE/EU TOP SECRET -turvallisuusluokkaa vastaavan kansallisen turvallisuusluokan tietoihin tai SECRET UE/EU SECRET -turvallisuusluokan tietoihin. |
38. |
Turvallisuuskomitealle on ilmoitettava tapauksista, joissa käytetään 36 ja 37 kohdan mukaista menettelyä. |
39. |
Jos jäsenvaltion laeissa ja asetuksissa säädetään tiukemmista säännöistä tilapäisten valtuutusten osalta, väliaikaisista nimityksistä tai henkilöille myönnettävästä pääsystä turvallisuusluokiteltuihin tietoihin kertaluonteisesti tai kiireellisessä tapauksessa, tässä jaksossa kuvattuja menettelyjä on sovellettava ainoastaan asiaankuuluvissa kansallisissa laeissa ja asetuksissa säädetyissä rajoissa. |
40. |
Turvallisuuskomitealle on toimitettava vuosittain selvitys tässä jaksossa säädettyjen menettelyjen käytöstä. |
VI NEUVOSTOSSA PIDETTÄVIIN KOKOUKSIIN OSALLISTUMINEN
41. |
Jollei 28 kohdasta muuta johdu, henkilöiden, joille on annettu tehtäväksi osallistua neuvoston istuntoihin tai neuvoston valmisteluelinten kokouksiin, joissa käsitellään CONFIDENTIEL UE/EU CONFIDENTIAL- tai sitä korkeamman turvallisuusluokan tietoja, on ensin esitettävä vahvistus turvallisuusselvityksestään. Valtuuskuntien jäsenten osalta asianomaisten viranomaisten on toimitettava turvallisuusselvitykseen perustuva henkilöturvallisuustodistus tai muu todiste turvallisuusselvityksestä pääsihteeristön turvallisuusyksikölle, tai asianomainen valtuuskunnan jäsen voi poikkeuksellisesti esittää sen henkilökohtaisesti. Tarvittaessa voidaan käyttää ajantasaista nimiluetteloa, joka on asianmukainen näyttö turvallisuusselvityksestä. |
42. |
Jos henkilön, jonka tehtävät edellyttävät osallistumista neuvoston tai neuvoston valmisteluelinten kokouksiin, turvallisuusselvitys EU:n turvallisuusluokiteltuihin tietoihin pääsemiseksi perutaan turvallisuussyistä, toimivaltaisen viranomaisen on ilmoitettava asiasta pääsihteeristölle. |
VII MAHDOLLINEN PÄÄSY EU:N TURVALLISUUSLUOKITELTUIHIN TIETOIHIN
43. |
Kuriireilla, vartijoilla ja saattajilla on oltava asiaankuuluvan tason turvallisuusselvitys tai heidän on oltava muulla tavoin asianmukaisesti tutkittuja kansallisten lakien ja asetusten mukaisesti, ja heille on selvitettävä EU:n turvallisuusluokiteltujen tietojen suojaamista koskevat turvallisuusmenettelyt ja annettava ohjeet heille uskottujen tällaisten tietojen suojaamiseen liittyvistä tehtävistään. |
(1) Neuvoston asetus (ETY, Euratom, EHTY) N:o 259/68, annettu 29 päivänä helmikuuta 1968, Euroopan yhteisöjen virkamiehiin sovellettavien henkilöstösääntöjen ja näiden yhteisöjen muuta henkilöstöä koskevien palvelussuhteen ehtojen vahvistamisesta ja komission virkamiehiin väliaikaisesti sovellettavista erityistoimenpiteistä (EYVL L 56, 4.3.1968, s. 1).
LIITE II
FYYSINEN TURVALLISUUS
I JOHDANTO
1. |
Tässä liitteessä vahvistetaan 8 artiklan täytäntöönpanosäännökset. Siinä vahvistetaan EU:n turvallisuusluokiteltujen tietojen käsittelyyn ja säilyttämiseen käytettyjen tilojen, rakennusten, toimistojen, huoneiden ja muiden alueiden, viestintä- ja tietojärjestelmien sijoitusalueet mukaan luettuina, fyysistä suojaamista koskevat vähimmäisvaatimukset. |
2. |
Fyysisten turvatoimien tarkoituksena on estää luvaton pääsy EU:n turvallisuusluokiteltuihin tietoihin
|
II FYYSISET TURVALLISUUSVAATIMUKSET JA TURVATOIMET
3. |
Fyysisten turvatoimien valinnan on perustuttava toimivaltaisten viranomaisten tekemään uhka-arvioon. Pääsihteeristön ja jäsenvaltioiden on sovellettava riskinhallintaprosessia EU:n turvallisuusluokiteltujen tietojen suojaamiseksi tiloissaan, jotta varmistetaan, että fyysisen suojelun taso vastaa arvioitua riskiä. Riskinhallintaprosessissa on otettava huomioon kaikki asiaankuuluvat tekijät, erityisesti seuraavat:
|
4. |
Toimivaltaisen turvallisuusviranomaisen on syvyyssuuntaisen turvallisuuden käsitettä soveltaen määriteltävä asianmukainen fyysisten turvatoimien yhdistelmä. Ne voivat käsittää yhden tai useampia seuraavista:
|
5. |
Toimivaltainen viranomainen voidaan valtuuttaa tekemään sisään- ja ulostulotarkastuksia, millä estetään aineiston luvaton tuonti tai EU:n turvallisuusluokiteltujen tietojen luvaton poisvienti tiloista tai rakennuksista. |
6. |
Jos EU:n turvallisuusluokiteltuihin tietoihin kohdistuu salakatselun riski, vahingossa tapahtuva salakatselu mukaan luettuna, on toteutettava asianmukaiset toimenpiteet tällaisen riskin torjumiseksi. |
7. |
Uusien toimitilojen osalta fyysisten turvallisuusvaatimusten ja niiden toiminnallisten eritelmien määrittelyn on oltava osa toimitilojen suunnittelua ja rakenteita. Jo olemassa olevien toimitilojen osalta fyysiset turvallisuusvaatimukset on pantava täytäntöön mahdollisimman täydellisesti. |
III EU:N TURVALLISUUSLUOKITELTUJEN TIETOJEN FYYSISEEN SUOJELUUN TARKOITETUT LAITTEET
8. |
Hankittaessa EU:n turvallisuusluokiteltujen tietojen fyysiseen suojeluun tarkoitettuja laitteita (esimerkiksi turvakaappeja, paperisilppureita, ovilukkoja, elektronisia kulunvalvontajärjestelmiä, tunkeutumisenhavaitsemisjärjestelmiä ja hälytysjärjestelmiä) toimivaltaisen turvallisuusviranomaisen on varmistettava, että laitteet ovat hyväksyttyjen teknisten standardien ja vähimmäisvaatimusten mukaisia. |
9. |
EU:n turvallisuusluokiteltujen tietojen fyysiseen suojeluun käytettyjen laitteiden tekniset eritelmät on esitettävä turvallisuutta koskevissa suuntaviivoissa, jotka turvallisuuskomitea hyväksyy. |
10. |
Turvallisuusjärjestelmät on tarkastettava määräajoin, ja laitteet on huollettava säännöllisin väliajoin. Huolto on tehtävä suoritettujen tarkastusten tulokset huomioon ottaen, jotta varmistetaan laitteiden optimaalinen suoritustaso myös jatkossa. |
11. |
Yksittäisten turvatoimien ja koko turvallisuusjärjestelmän tehokkuus on arvioitava uudelleen kunkin tarkastuksen yhteydessä. |
IV FYYSISESTI SUOJATUT ALUEET
12. |
EU:n turvallisuusluokiteltujen tietojen fyysiseksi suojaamiseksi on perustettava kahdentyyppisiä fyysisesti suojattuja alueita tai vastaavia kansallisia alueita:
Kaikkia tässä päätöksessä olevia viittauksia hallinnollisiin alueisiin ja turva-alueisiin, teknisesti suojatut turva-alueet mukaan luettuina, on pidettävä viittauksina myös niitä vastaaviin kansallisiin alueisiin. |
13. |
Toimivaltaisen turvallisuusviranomaisen on todettava, että alue täyttää vaatimukset, jotka koskevat nimeämistä hallinnolliseksi alueeksi, turva-alueeksi tai teknisesti suojatuksi turva-alueeksi. |
14. |
Hallinnollisiin alueisiin sovelletaan seuraavaa:
|
15. |
Turva-alueisiin sovelletaan seuraavaa:
|
16. |
Jos turva-alueelle tulo merkitsee käytännössä välitöntä pääsyä sillä oleviin turvallisuusluokiteltuihin tietoihin, sovelletaan lisäksi seuraavia vaatimuksia:
|
17. |
Salakuuntelulta suojatut turva-alueet on nimettävä teknisesti suojatuiksi turva-alueiksi. Lisäksi sovelletaan seuraavia vaatimuksia:
|
18. |
Sen estämättä, mitä 17 kohdan d alakohdassa säädetään, toimivaltaisen turvallisuusviranomaisen on tarkastettava kaikki viestintä-, sähkö- tai elektroniset laitteet, ennen kuin niitä käytetään alueilla, joilla pidetään SECRET UE/EU SECRET- tai sitä korkeamman turvallisuusluokan tietoihin liittyviä kokouksia tai tehdään tällaisiin tietoihin liittyvää työtä, silloin kun EU:n turvallisuusluokiteltuihin tietoihin kohdistuva uhka arvioidaan korkeaksi, ja näin varmistettava, ettei niillä voi tahattomasti eikä laittomasti välittää ymmärrettävässä muodossa olevia tietoja turva-alueen rajojen ulkopuolelle. |
19. |
Turva-alueet, joilla ei ole henkilöstöä palveluksessa vuorokauden ympäri, on tarvittaessa tarkastettava normaalin työajan päätteeksi ja satunnaisiin aikoihin sen ulkopuolella, paitsi jos alueelle on asennettu tunkeutumisenhavaitsemisjärjestelmä. |
20. |
Turva-alueita ja teknisesti suojattuja turva-alueita voidaan tilapäisesti perustaa hallinnolliselle alueelle turvallisuusluokiteltua kokousta tai muuta vastaavaa tarkoitusta varten. |
21. |
Kullekin turva-alueelle on laadittava turvallisuusmenettelyt, joissa on määräykset seuraavista:
|
22. |
Turva-alueille on rakennettava kassaholveja. Toimivaltaisen turvallisuusviranomaisen on hyväksyttävä seinät, lattiat, katot, ikkunat ja lukittavat ovet, joiden on tarjottava sama turvallisuustaso kuin sen, jonka saman turvallisuusluokan EU:n turvallisuusluokiteltujen tietojen säilyttämiseen hyväksytyt turvakaapit tarjoavat. |
V EU:N TURVALLISUUSLUOKITELTUJEN TIETOJEN KÄSITTELYSSÄ JA SÄILYTTÄMISESSÄ NOUDATETTAVAT FYYSISET SUOJATOIMENPITEET
23. |
EU:n turvallisuusluokiteltuja tietoja, jotka kuuluvat RESTREINT UE/EU RESTRICTED -turvallisuusluokkaan, voidaan käsitellä
|
24. |
EU:n turvallisuusluokitellut tiedot, jotka kuuluvat RESTREINT UE/EU RESTRICTED -turvallisuusluokkaan, on säilytettävä soveltuvissa lukituissa toimistokalusteissa hallinnollisella alueella tai turva-alueella. Niitä voidaan tilapäisesti säilyttää turva-alueen tai hallinnollisen alueen ulkopuolella, jos tietojen haltija on sitoutunut noudattamaan toimivaltaisen turvallisuusviranomaisen antamissa turvallisuusohjeissa määrättyjä korvaavia toimenpiteitä. |
25. |
EU:n turvallisuusluokiteltuja tietoja, jotka kuuluvat CONFIDENTIEL UE/EU CONFIDENTIAL tai SECRET UE/EU SECRET -turvallisuusluokkaan, voidaan käsitellä
|
26. |
EU:n turvallisuusluokiteltuja tietoja, jotka kuuluvat CONFIDENTIEL UE/EU CONFIDENTIAL- ja SECRET UE/EU SECRET -turvallisuusluokkaan, on säilytettävä turva-alueella joko turvakaapissa tai kassaholvissa. |
27. |
EU:n turvallisuusluokiteltuja tietoja, jotka kuuluvat TRÈS SECRET UE/EU TOP SECRET -turvallisuusluokkaan, on käsiteltävä turva-alueella. |
28. |
EU:n turvallisuusluokitellut tiedot, jotka kuuluvat TRÈS SECRET UE/EU TOP SECRET -turvallisuusluokkaan, on säilytettävä turva-alueella noudattaen toista seuraavista ehdoista:
|
29. |
EU:n turvallisuusluokiteltujen tietojen kuljettamista fyysisesti suojattujen alueiden ulkopuolella koskevat säännöt vahvistetaan liitteessä III. |
VI EU:N TURVALLISUUSLUOKITELTUJEN TIETOJEN SUOJAAMISEEN KÄYTETTYJEN AVAINTEN JA NUMEROYHDISTELMIEN VALVONTA
30. |
Toimivaltaisen turvallisuusviranomaisen on määriteltävä toimistojen, huoneiden, kassaholvien ja turvakaappien avainten ja numeroyhdistelmien hallinnointimenettelyt. Näillä menettelyillä ne suojataan luvattomalta pääsyltä. |
31. |
Numeroyhdistelmät on annettava mahdollisimman harvoille sellaisille henkilöille, joiden on tarpeen tietää ne, ja heidän on osattava ne ulkoa. EU:n turvallisuusluokiteltuja tietoja sisältävien turvakaappien ja kassaholvien numeroyhdistelmät on vaihdettava
|
LIITE III
TURVALLISUUSLUOKITELTUJEN TIETOJEN HALLINNOINTI
I JOHDANTO
1. |
Tässä liitteessä vahvistetaan 9 artiklan täytäntöönpanosäännökset. Siinä vahvistetaan hallinnolliset toimenpiteet, jotka koskevat EU:n turvallisuusluokiteltujen tietojen valvomista koko niiden elinkaaren ajan, jotta autetaan estämään ja havaitsemaan tällaisten tietojen tahallinen tai tahaton vaarantuminen tai katoaminen. |
II TURVALLISUUSLUOKITTELUN HALLINNOINTI
Turvallisuusluokat ja merkinnät
2. |
Tiedot turvallisuusluokitellaan, jos niiden luottamuksellisuus on suojattava. |
3. |
EU:n turvallisuusluokiteltujen tietojen luovuttaja vastaa tietojen turvallisuusluokan määrittelystä turvallisuusluokittelua koskevien asiaankuuluvien ohjeiden mukaisesti, sekä niiden alustavasta jakelusta. |
4. |
EU:n turvallisuusluokiteltujen tietojen turvallisuusluokka määritellään 2 artiklan 2 kohdan mukaisesti ja soveltaen turvallisuusperiaatteita, jotka hyväksytään 3 artiklan 3 kohdan mukaisesti. |
5. |
Turvallisuusluokka on merkittävä selkeästi ja oikein riippumatta siitä, ovatko EU:n turvallisuusluokitellut tiedot paperi-, suullisessa, sähköisessä vai jossakin muussa muodossa. |
6. |
Tietyn asiakirjan yksittäiset osat (sivut, kohdat, jaksot, liitteet, lisäykset, saatteet ja oheistukset) saattavat edellyttää eri turvallisuusluokkia, ja ne on merkittävä sen mukaisesti, myös silloin, kun ne tallennetaan sähköisesti. |
7. |
Koko asiakirjan tai tiedoston turvallisuusluokan on oltava vähintään yhtä korkea kuin sen korkeimpaan turvallisuusluokkaan määritellyn osan turvallisuusluokka. Jos eri lähteistä peräisin olevia tietoja yhdistetään, lopputuote on tarkistettava sen kokonaisturvallisuusluokan määrittämiseksi, koska asiakirja voi edellyttää korkeampaa turvallisuusluokkaa kuin sen muodostavat osat. |
8. |
Asiakirjat, jotka sisältävät eri turvallisuusluokkiin kuuluvia osia, on mahdollisuuksien mukaan laadittava niin, että eri turvallisuusluokkiin kuuluvat osat voidaan helposti tunnistaa ja tarvittaessa poistaa. |
9. |
Liitteitä sisältävän kirjeen tai ilmoituksen turvallisuusluokan on oltava yhtä korkea kuin sen liitteiden korkein turvallisuusluokka. Luovuttajan on ilmoitettava selvästi tällaisen asiakirjan turvallisuusluokka ilman liitteitä asianmukaisella merkinnällä esimerkiksi seuraavasti: CONFIDENTIEL UE/EU CONFIDENTIAL Ilman liitteitä RESTREINT UE/EU RESTRICTED |
Merkinnät
10. |
2 artiklan 2 kohdassa säädettyjen turvallisuusluokitusmerkintöjen lisäksi EU:n turvallisuusluokitelluissa tiedoissa voi olla muita merkintöjä, esimerkiksi
|
Turvallisuusluokitusmerkintöjen lyhenteet
11. |
Tekstiin kuuluvien yksittäisten kappaleiden turvallisuusluokan merkitsemiseen voidaan käyttää vakiomuotoisia turvallisuusluokitusmerkintöjen lyhenteitä. Täydellisiä turvallisuusluokitusmerkintöjä ei saa korvata lyhenteillä. |
12. |
EU:n turvallisuusluokitelluissa asiakirjoissa voidaan käyttää seuraavia vakiomuotoisia lyhenteitä, joilla ilmoitetaan alle yhden sivun mittaisten jaksojen tai tekstin osien turvallisuusluokka:
|
EU:n turvallisuusluokiteltujen tietojen tuottaminen
13. |
Tuotettaessa EU:n turvallisuusluokiteltua asiakirjaa
|
14. |
Jos EU:n turvallisuusluokiteltuihin tietoihin ei voida soveltaa 13 kohtaa, on toteutettava muita asianmukaisia toimenpiteitä 6 artiklan 2 kohdan nojalla laadittavien turvallisuutta koskevien suuntaviivojen mukaisesti. |
EU:n turvallisuusluokiteltujen tietojen turvallisuusluokan alentaminen ja poistaminen
15. |
Tietoja tuottaessaan luovuttajan on mahdollisuuksien mukaan ja erityisesti RESTREINT UE/EU RESTRICTED -turvallisuusluokan tietojen osalta ilmoitettava, voidaanko EU:n turvallisuusluokiteltujen tietojen turvallisuusluokkaa alentaa tai turvallisuusluokitus poistaa tiettynä päivänä tai tietyn tapahtuman jälkeen. |
16. |
Pääsihteeristön on tarkistettava hallussaan olevat EU:n turvallisuusluokitellut tiedot säännöllisin väliajoin sen selvittämiseksi, onko turvallisuusluokka edelleen asianmukainen. Pääsihteeristön on perustettava järjestelmä sen luovuttamien EU:n turvallisuusluokiteltujen tietojen turvallisuusluokan tarkistamiseksi vähintään joka viides vuosi. Tarkistaminen ei ole tarpeen, jos tietojen luovuttaja on alun perin ilmoittanut, että tietojen turvallisuusluokkaa alennetaan tai että se poistetaan ilman eri toimenpiteitä, ja jos tiedot on merkitty tämän mukaisesti. |
III TURVALLISUUSTARKOITUKSIA VARTEN TAPAHTUVA EU:N TURVALLISUUSLUOKITELTUJEN TIETOJEN KIRJAAMINEN
17. |
Kaikille pääsihteeristön ja jäsenvaltioiden kansallisten hallintojen organisaatioyksiköille, joissa EU:n turvallisuusluokiteltuja tietoja käsitellään, on määriteltävä vastaava kirjaamo sen varmistamiseksi, että tietoja käsitellään tämän päätöksen mukaisesti. Kirjaamot on perustettava liitteessä II määritellyn mukaisiksi turva-alueiksi. |
18. |
Turvallisuustarkoituksia varten tapahtuvalla kirjaamisella, jäljempänä ’kirjaaminen’, tarkoitetaan tässä päätöksessä sellaisten menettelyjen soveltamista, joilla rekisteröidään aineiston elinkaari, myös sen jakelu ja hävittäminen. |
19. |
Kaikki CONFIDENTIEL UE/EU CONFIDENTIAL- tai sitä korkeamman turvallisuusluokan aineisto on kirjattava sille tarkoitetuissa kirjaamoissa, kun aineisto saapuu organisaatioyksikköön tai lähtee siitä. |
20. |
Pääsihteeristön keskuskirjaamo rekisteröi kaikki neuvoston ja pääsihteeristön kolmansille valtioille ja kansainvälisille järjestöille luovuttamat turvallisuusluokitellut tiedot sekä kaikki kolmansilta valtioilta tai kansainvälisiltä järjestöiltä vastaanotetut turvallisuusluokitellut tiedot. |
21. |
Jos kyseessä on viestintä- ja tietojärjestelmä, kirjaamismenettelyt voidaan suorittaa tämän järjestelmän omien prosessien avulla. |
22. |
Neuvosto turvallisuustarkoituksia varten kirjattavia EU:n turvallisuusluokiteltuja tietoja koskevat turvallisuusperiaatteet. |
TRÈS SECRET UE/EU TOP SECRET -turvallisuusluokan tietojen kirjaamot
23. |
Jäsenvaltioihin ja pääsihteeristöön on nimettävä kirjaamo, joka toimii TRÈS SECRET UE/EU TOP SECRET -turvallisuusluokan tietojen keskitettynä vastaanottaja- ja lähettäjäviranomaisena. Tarvittaessa voidaan nimetä alakirjaamoja tällaisten tietojen käsittelemiseksi kirjaamistarkoituksiin. |
24. |
TRÈS SECRET UE/EU TOP SECRET -asiakirjoja ei saa toimittaa suoraan saman TRÈS SECRET UE /EU TOP SECRET -keskuskirjaamon alakirjaamosta toiseen tai niiden ulkopuolelle ilman keskuskirjaamon nimenomaista kirjallista hyväksyntää. |
IV EU:N TURVALLISUUSLUOKITELTUJEN ASIAKIRJOJEN JÄLJENTÄMINEN JA KÄÄNTÄMINEN
25. |
TRÈS SECRET UE/EU TOP SECRET -asiakirjoja ei saa jäljentää eikä kääntää ilman niiden luovuttajan kirjallista etukäteissuostumusta. |
26. |
Jos SECRET UE/EU SECRET- ja sitä alemman turvallisuusluokan asiakirjojen luovuttaja ei ole kieltänyt jäljentämästä tai kääntämästä asiakirjoja, ne voidaan jäljentää tai kääntää niiden haltijan pyynnöstä. |
27. |
Jäljennöksiin ja käännöksiin sovelletaan alkuperäistä asiakirjaa koskevia turvatoimia. |
V EU:N TURVALLISUUSLUOKITELTUJEN TIETOJEN KULJETTAMINEN
28. |
EU:n turvallisuusluokiteltujen tietojen fyysiseen kuljettamiseen sovelletaan 30–41 kohdassa esitettyjä suojatoimenpiteitä. Jos EU:n turvallisuusluokiteltuja tietoja siirretään sähköisillä tallennusvälineillä ja sen estämättä, mitä 9 artiklan 4 kohdassa säädetään, jäljempänä esitettyjä suojatoimenpiteitä voidaan täydentää toimivaltaisen turvallisuusviranomaisen määräämillä asianmukaisilla teknisillä vastatoimenpiteillä, jotta minimoidaan katoamisen tai vaarantumisen riski. |
29. |
Pääsihteeristön ja jäsenvaltioiden toimivaltaisten turvallisuusviranomaisten on annettava ohjeet EU:n turvallisuusluokiteltujen tietojen kuljettamisesta tämän päätöksen mukaisesti. |
Rakennuksen tai suljetun rakennusryhmän sisällä
30. |
Rakennuksen tai suljetun rakennusryhmän sisällä kuljetettavat EU:n turvallisuusluokitellut tiedot on peitettävä niin, ettei niiden sisältö ole näkyvissä. |
31. |
TRÈS SECRET UE/EU TOP SECRET -turvallisuusluokan tiedot on kuljetettava rakennuksen tai suljetun rakennusryhmän sisällä sinetöidyssä kirjekuoressa, johon on merkitty vain vastaanottajan nimi. |
Unionin alueella
32. |
Unionin alueella rakennusten tai tilojen välillä kuljetettavat EU:n turvallisuusluokitellut tiedot on pakattava niin, että ne on suojattu luvattomalta ilmitulolta. |
33. |
CONFIDENTIEL UE/EU CONFIDENTIAL- ja SECRET UE/EU SECRET -turvallisuusluokan tiedot on kuljetettava unionin alueella jollakin seuraavista tavoista:
Kuljetettaessa tietoja jäsenvaltiosta toiseen c alakohdan säännökset koskevat korkeintaan CONFIDENTIEL UE/EU CONDIFENTIAL -turvallisuusluokan tietoja. |
34. |
RESTREINT UE/EU RESTRICTED -turvallisuusluokan tietoja voidaan kuljettaa myös postipalvelujen tai kaupallisten kuriiripalvelujen välityksellä. Tällaisten tietojen kuljettamiseen ei vaadita kuriiritodistusta. |
35. |
CONFIDENTIEL UE/EU CONFIDENTIAL- ja SECRET UE/EU SECRET -turvallisuusluokkiin kuuluva aineisto (esimerkiksi laitteet tai koneet), joita ei voida kuljettaa 33 kohdassa tarkoitetuilla tavoilla, on kuljetettava rahtina kaupallisten rahdinkuljettajien välityksellä liitteen V mukaisesti. |
36. |
TRÈS SECRET UE/EU TOP SECRET -turvallisuusluokan tiedot on kuljetettava rakennusten tai tilojen välillä unionin alueella tapauksen mukaan sotilaskuriirilla, valtion kuriirilla tai diplomaattikuriirilla. |
Unionista kolmannen valtion alueelle
37. |
Unionista kolmannen valtion alueelle kuljetettavat EU:n turvallisuusluokitellut tiedot on pakattava niin, että ne on suojattu luvattomalta ilmitulolta. |
38. |
CONFIDENTIEL UE/EU CONFIDENTIAL- ja SECRET UE/EU SECRET -turvallisuusluokkien tiedot on kuljetettava unionista kolmannen valtion alueelle jollakin seuraavista tavoista:
|
39. |
Kuljetettaessa unionin kolmannelle valtiolle tai kansainväliselle järjestölle luovuttamia CONFIDENTIEL UE/EU CONFIDENTIAL- ja SECRET UE/EU SECRET -turvallisuusluokkien tietoja on noudatettava 13 artiklan 2 kohdan a alakohdan mukaisen tietoturvallisuussopimuksen tai b alakohdan mukaisen hallinnollisen järjestelyn asiaankuuluvia määräyksiä. |
40. |
RESTREINT UE/EU RESTRICTED -turvallisuusluokan tietoja voidaan kuljettaa myös postipalvelujen tai kaupallisten kuriiripalvelujen välityksellä. |
41. |
TRÈS SECRET UE/EU TOP SECRET -turvallisuusluokan tiedot on kuljetettava unionista kolmannen valtion alueelle sotilas- tai diplomaattikuriirilla. |
VI EU:N TURVALLISUUSLUOKITELTUJEN TIETOJEN HÄVITTÄMINEN
42. |
EU:n turvallisuusluokitellut tiedot, joita ei enää tarvita, voidaan hävittää, sanotun kuitenkaan rajoittamatta arkistointia koskevien sääntöjen ja määräysten soveltamista. |
43. |
Asiakirjat, jotka on kirjattava 9 artiklan 2 kohdan mukaisesti, on hävitettävä niistä vastaavassa kirjaamossa niiden haltijan tai toimivaltaisen viranomaisen määräyksestä. Päiväkirjat ja muut kirjaustiedot on päivitettävä vastaavasti. |
44. |
SECRET UE/EU SECRET- tai TRÈS SECRET UE/EU TOP SECRET -turvallisuusluokan asiakirjojen hävittäminen on suoritettava todistajan läsnä ollessa. Todistajalla on oltava vähintään hävitettävän asiakirjan turvallisuusluokkaa vastaava turvallisuusselvitys. |
45. |
Sekä kirjaajan että todistajan, jos jälkimmäisen läsnäoloa vaaditaan, on allekirjoitettava hävittämistodistus, joka tallennetaan kirjaamoon. Kirjaamon on säilytettävä TRÈS SECRET UE/EU TOP SECRET -asiakirjojen hävittämistodistukset vähintään kymmenen vuoden ajan sekä CONFIDENTIEL UE/EU CONFIDENTIAL ja SECRET UE/EU SECRET -asiakirjojen hävittämistodistukset vähintään viiden vuoden ajan. |
46. |
Turvallisuusluokiteltujen asiakirjojen, myös RESTREINT UE/EU RESTRICTED -turvallisuusluokan asiakirjojen, hävittämisessä on käytettävä menetelmiä, jotka vastaavat asiaankuuluvia unionin tai vastaavia standardeja tai jotka jäsenvaltiot ovat hyväksyneet kansallisten teknisten standardien mukaisesti, jotta estetään tietojen kokoaminen uudelleen kokonaan tai osittain. |
47. |
EU:n turvallisuusluokiteltujen tietojen tallentamiseen käytetyt atk-tallennevälineet on hävitettävä liitteessä IV olevan 37 kohdan mukaisesti. |
48. |
Hätätapauksessa, jos on olemassa EU:n turvallisuusluokiteltujen tietojen luvattoman ilmitulon välitön vaara, haltijan on tuhottava tiedot niin, että niitä ei voida palauttaa ennalleen kokonaan eikä osittain. Tietojen luovuttajalle ja rekisterin ylläpitäjälle on ilmoitettava rekisteröityjen EU:n turvallisuusluokiteltujen tietojen hävittämisestä hätätapauksessa. |
VII ARVIOINTIKÄYNNIT
49. |
’Arviointikäynnillä’ tarkoitetaan jäljempänä
jossa arvioidaan EU:n turvallisuusluokiteltujen tietojen suojaamiseksi toteutettujen toimenpiteiden tehokkuutta. |
50. |
Arviointikäyntejä tehdään muun muassa
|
51. |
Neuvosto hyväksyy ennen kunkin kalenterivuoden loppua 16 artiklan 1 kohdan c alakohdassa tarkoitetun arviointikäyntiohjelman seuraavaksi vuodeksi. Kunkin arviointikäynnin ajankohdasta sovitaan kyseisen unionin elimen tai laitoksen, jäsenvaltion, kolmannen valtion tai kansainvälisen järjestön kanssa. |
Arviointikäyntien suorittaminen
52. |
Arviointikäynneillä on käytävä läpi käynnin kohteena olevan yksikön asiaankuuluvat säännöt, määräykset ja menettelyt sekä tarkistettava, ovatko yksikön toimintatavat tässä päätöksessä ja turvallisuusluokiteltujen tietojen vaihtoa kyseisen yksikön kanssa koskevissa säännöksissä säädettyjen perusperiaatteiden ja vähimmäisvaatimusten mukaisia. |
53. |
Arviointikäynnit on suoritettava kahdessa vaiheessa. Ennen varsinaista käyntiä asianomaisen yksikön kanssa on tarvittaessa pidettävä valmistelukokous. Valmistelukokouksen jälkeen arviointiryhmän on laadittava yhteisymmärryksessä kyseisen yksikön kanssa yksityiskohtainen arviointikäyntiohjelma, joka kattaa kaikki turvallisuuden alat. Arviointiryhmän olisi päästävä kaikkiin paikkoihin, joissa EU:n turvallisuusluokiteltuja tietoja käsitellään, erityisesti kirjaamoihin sekä viestintä- ja tietojärjestelmien sijoituspaikkoihin. |
54. |
Jäsenvaltioiden kansallisiin hallintoihin, kolmansiin valtioihin ja kansainvälisiin järjestöihin tehtävät arviointikäynnit tehdään täydessä yhteistyössä käynnin kohteena olevan yksikön, kolmannen valtion tai kansainvälisen järjestön virkamiesten kanssa. |
55. |
Unionin elimiin, laitoksiin ja yksiköihin, jotka soveltavat tätä päätöstä tai sen periaatteita, tehtävät arviointikäynnit tehdään käyttäen elimen, laitoksen tai yksikön sijaintijäsenvaltion kansallisen turvallisuusviranomaisen asiantuntija-apua. |
56. |
Kun arviointikäyntejä tehdään unionin elimiin, laitoksiin ja yksiköihin, jotka soveltavat tätä päätöstä tai sen periaatteita, sekä kolmansiin valtioihin ja kansainvälisiin järjestöihin, kansallisilta turvallisuusviranomaisilta voidaan pyytää asiantuntija-apua turvallisuuskomitean sopimien yksityiskohtaisten järjestelyjen mukaisesti. |
Raportit
57. |
Arviointikäynnin päätteeksi yksikölle, jossa käytiin, on esitettävä tärkeimmät päätelmät ja suositukset. Tämän jälkeen arviointikäynnistä on laadittava raportti. Jos on ehdotettu korjaavia toimia tai annettu suosituksia, niistä on annettava raportissa riittävästi yksityiskohtaisia tietoja tehtyjen päätelmien tueksi. Raportti on toimitettava sen yksikön asianmukaiselle vastuuhenkilölle, jonne vierailu tehtiin. |
58. |
Jäsenvaltioiden kansallisissa hallinnoissa suoritettavien arviointikäyntien osalta
Pääsihteeristön turvallisuusviranomaisen (turvallisuusyksikön) vastuulla laaditaan säännöllisin väliajoin raportti, jossa selostetaan tietyn jakson aikana jäsenvaltioissa tehdyistä arviointikäynneistä saadut kokemukset. Turvallisuuskomitea tarkastelee raporttia. |
59. |
Arviointikäynneistä kolmansiin valtioihin ja kansainvälisiin järjestöihin laadittu raportti jaetaan turvallisuuskomitealle. Raportin turvallisuusluokan on oltava vähintään RESTREINT UE/EU RESTRICTED. Mahdollisten korjaavien toimien toteuttaminen tarkistetaan seurantakäynnillä, ja siitä raportoidaan turvallisuuskomitealle. |
60. |
Kun arviointikäyntejä tehdään unionin elimiin, laitoksiin ja yksiköihin, jotka soveltavat tätä päätöstä tai sen periaatteita, arviointikäynnistä laadittu raportti jaetaan turvallisuuskomitealle. Arviointikäynnistä laadittu raporttiluonnos toimitetaan asianomaiselle virastolle tai elimelle, joka tarkistaa, että sen sisältämät tiedot ovat oikeita ja että siinä on korkeintaan RESTREINT UE/EU RESTRICTED -turvallisuusluokkaan kuuluvia tietoja. Mahdollisten korjaavien toimien toteuttaminen tarkistetaan seurantakäynnillä, ja siitä raportoidaan turvallisuuskomitealle. |
61. |
Pääsihteeristön turvallisuusviranomainen suorittaa säännöllisin väliajoin pääsihteeristön organisaatioyksiköiden tarkastuksia 50 kohdan soveltamiseksi. |
Tarkastusluettelo
62. |
Pääsihteeristön turvallisuusviranomainen (turvallisuusyksikkö) laatii ja pitää ajan tasalla luettelon kohteista, jotka on tarkastettava arviointikäynnin yhteydessä. Tarkastusluettelo on toimitettava turvallisuuskomitealle. |
63. |
Luettelon täydentämiseen tarvittavat tiedot on varsinkin käynnin aikana hankittava tarkastettavan yksikön turvallisuushallinnolta. Kun tarkastusluetteloon on lisätty yksityiskohtaiset vastaukset, sille on määriteltävä turvallisuusluokka tarkastetun yksikön suostumuksella. Luetteloa ei liitetä osaksi tarkastusraporttia. |
LIITE IV
VIESTINTÄ- JA TIETOJÄRJESTELMISSÄ KÄSITELTÄVIEN EU:N TURVALLISUUSLUOKITELTUJEN TIETOJEN SUOJAAMINEN
I JOHDANTO
1. |
Tässä liitteessä vahvistetaan 10 artiklan täytäntöönpanosäännökset. |
2. |
Seuraavat tietojen turvaamisen ominaisuudet ja periaatteet ovat olennaisia operaatioiden turvallisuuden ja toimivuuden kannalta viestintä- ja tietojärjestelmissä:
|
II TIEDON TURVAAMISEN PERIAATTEET
3. |
Jäljempänä esitetyt säännökset muodostavat kaikkien EU:n turvallisuusluokiteltuja tietoja käsittelevien viestintä- ja tietojärjestelmien turvallisuuden lähtökohdan. Näiden säännösten täytäntöönpanoa koskevat yksityiskohtaiset vaatimukset määritellään tietojen turvaamista koskevissa turvallisuusperiaatteissa ja turvallisuutta koskevissa suuntaviivoissa. |
Turvallisuusriskien hallinta
4. |
Turvallisuusriskien hallinnan on oltava erottamaton osa viestintä- ja tietojärjestelmän määrittelyä, kehittämistä, käyttöä ja ylläpitoa. Riskinhallinta (arviointi, käsittely, hyväksyminen ja viestintä) on toteutettava iteroivana prosessina, jossa järjestelmän omistajien edustajien, hankkeesta vastaavien viranomaisten, toiminnasta vastaavien viranomaisten ja turvallisuusjärjestelyt hyväksyvien viranomaisten on osallistuttava toteuttamiseen, ja siinä on käytettävä vakiintunutta, avointa ja täysin ymmärrettävää riskinarviointiprosessia. Viestintä- ja tietojärjestelmän laajuus ja resurssit on määriteltävä selkeästi riskinhallintaprosessin alusta alkaen. |
5. |
Toimivaltaisten viranomaisten on tarkasteltava viestintä- ja tietojärjestelmiin mahdollisesti kohdistuvia uhkia ja pidettävä yllä ajantasaisia ja tarkkoja uhka-arvioita, jotka perustuvat ajankohtaiseen toimintaympäristöön. Niiden on jatkuvasti päivitettävä haavoittuvuuteen liittyviä kysymyksiä koskevia tietojaan ja tarkistettava säännöllisin väliajoin haavoittuvuusarviota mukautuakseen muuttuvaan tietotekniikkaympäristöön. |
6. |
Turvallisuusriskin käsittelyllä on pyrittävä toteuttamaan turvatoimien yhdistelmä, jolla saadaan aikaan tyydyttävä tasapaino käyttäjien vaatimusten, kustannusten ja turvallisuuteen kohdistuvan jäännösriskin välillä. |
7. |
Asiaankuuluvan turvallisuusjärjestelyjen hyväksyntäviranomaisen viestintä- ja tietojärjestelmän hyväksymistä varten määrittämät erityiset vaatimukset, laajuus ja yksityiskohtaisuus on suhteutettava arvioituun riskiin ottaen huomioon kaikki asiaankuuluvat tekijät, myös viestintä- ja tietojärjestelmässä käsiteltyjen EU:n turvallisuusluokiteltujen tietojen turvallisuusluokka. Hyväksyntään on liitettävä vastuuviranomaisen virallinen lausunto jäännösriskistä ja sen hyväksymisestä. |
Viestintä- ja tietojärjestelmän turvallisuus koko elinkaaren ajan
8. |
Turvallisuuden varmistamista on pidettävä vaatimuksena koko viestintä- ja tietojärjestelmän elinkaaren ajan sen alullepanosta käytöstä poistamiseen. |
9. |
Käyttöajan kussakin vaiheessa on määriteltävä kunkin viestintä- ja tietojärjestelmään osallistuvan toimijan tehtävät ja toimijoiden vuorovaikutus järjestelmän turvallisuuden kannalta. |
10. |
Viestintä- ja tietojärjestelmien turvallisuus, myös niiden tekniset ja muut kuin tekniset turvatoimet, on testattava hyväksymisprosessin aikana sen varmistamiseksi, että asianmukainen turvaamistaso saavutetaan, ja sen tarkistamiseksi, että ne on moitteettomasti toteutettu, integroitu ja konfiguroitu. |
11. |
Turvallisuutta koskevat arvioinnit, tarkastukset ja uudelleentarkastelut on suoritettava määräajoin viestintä- ja tietojärjestelmän toiminnan ja huollon aikana sekä poikkeuksellisten tilanteiden ilmetessä. |
12. |
Viestintä- ja tietojärjestelmän turvallisuusasiakirjoja on kehitettävä sen elinkaaren aikana erottamattomana osana muutosten ja asetusten hallintaprosessia. |
Parhaat toimintatavat
13. |
Pääsihteeristön ja jäsenvaltioiden on tehtävä yhteistyötä parhaiden toimintatapojen kehittämiseksi viestintä- ja tietojärjestelmissä käsiteltävien EU:n turvallisuusluokiteltujen tietojen suojaamista varten. Parhaita toimintatapoja koskevissa suuntaviivoissa on vahvistettava viestintä- ja tietojärjestelmiä koskevat tekniset, fyysiset, organisatoriset ja menettelyyn liittyvät turvatoimet, joiden tehokkuus tiettyjen uhkien ja haavoittuvuuden torjumisessa on todistettu. |
14. |
Viestintä- ja tietojärjestelmissä käsiteltävien EU:n turvallisuusluokiteltujen tietojen suojaamisessa on hyödynnettävä tietojen turvaamiseen unionissa ja sen ulkopuolella osallistuvien yksiköiden kokemuksia. |
15. |
Parhaiden toimintatapojen levittämisen ja niiden myöhemmän täytäntöönpanon on edesautettava yhtäläisen turvaamistason aikaansaamista pääsihteeristössä ja jäsenvaltioissa käytettävissä eri viestintä- ja tietojärjestelmissä, joissa käsitellään EU:n turvallisuusluokiteltuja tietoja. |
Syvyyssuuntainen turvallisuus
16. |
Viestintä- ja tietojärjestelmiin kohdistuvan riskin vähentämiseksi on toteutettava joukko teknisiä ja muita kuin teknisiä turvatoimia, joilla järjestetään monitasoinen puolustus. Tasoja ovat a) ennaltaehkäisy: turvatoimet, joilla pyritään torjumaan mahdolliset vihamieliset suunnitelmat hyökätä viestintä- ja tietojärjestelmään; b) estäminen: turvatoimet, joilla pyritään vaikeuttamaan hyökkäystä viestintä- ja tietojärjestelmää vastaan tai estämään se; c) havaitseminen: turvatoimet, joilla pyritään paljastamaan hyökkäys viestintä- ja tietojärjestelmää vastaan; d) vastustuskyky: turvatoimet, joilla pyritään rajoittamaan hyökkäyksen vaikutukset mahdollisimman pieneen osaan tietoja tai viestintä- ja tietojärjestelmän resursseja ja estämään muut vahingot; ja e) tilanteen korjaaminen: turvatoimet, joilla pyritään viestintä- ja tietojärjestelmän suojatun tilanteen palauttamiseen. Tällaisten turvatoimien pakollisuusaste on määriteltävä riskinarvioinnin perusteella. |
17. |
Kansallisen turvallisuusviranomaisen tai muun toimivaltaisen viranomaisen on huolehdittava siitä, että
|
Vähimmäistoimintojen ja pienimmän mahdollisen etuoikeuden periaate
18. |
Tarpeettoman riskin välttämiseksi on otettava käyttöön vain käyttövaatimusten kannalta olennaiset toiminnot, laitteet ja palvelut. |
19. |
Viestintä- ja tietojärjestelmän käyttäjille ja automaattisille prosesseille on annettava vain ne tiedot, etuoikeudet tai valtuutukset, jotka ovat niiden tehtävien suorittamiseksi välttämättömiä, jotta rajoitetaan onnettomuuksista, virheistä tai järjestelmän resurssien luvattomasta käytöstä mahdollisesti aiheutuvia vahinkoja. |
20. |
Jos viestintä- ja tietojärjestelmässä on tarpeen suorittaa kirjaamismenettelyjä, ne on tarkistettava osana hyväksymisprosessia. |
Tietojen turvaamisen merkityksen tiedostaminen
21. |
Tietoisuus riskeistä ja käytettävissä olevista turvatoimista on viestintä- ja tietojärjestelmien turvallisuuden tärkein puolustamiskeino. Viestintä- ja tietojärjestelmien elinkaareen osallistuvien kaikkien henkilöiden, myös käyttäjien, on erityisesti ymmärrettävä
|
22. |
Sen varmistamiseksi, että turvallisuuteen liittyvät vastuut ymmärretään, koko henkilöstölle, myös johtohenkilöstölle ja viestintä- ja tietojärjestelmien käyttäjille, on annettava pakollinen tiedonturvaamis- ja tietoisuuskoulutus. |
Tietoturvallisuustuotteiden arviointi ja hyväksyntä
23. |
Turvatoimilta vaadittava varmuusaste, joka määritellään turvaamistasona, on vahvistettava riskinhallintaprosessin tulosten perusteella asiaankuuluvien turvallisuusperiaatteiden ja turvallisuutta koskevien suuntaviivojen mukaisesti. |
24. |
Turvaamistaso on tarkistettava käyttämällä kansainvälisesti tunnustettuja tai kansallisesti hyväksyttyjä prosesseja ja menettelytapoja. Näitä ovat pääasiassa arviointi, tarkastukset ja auditointi. |
25. |
Jäsenvaltion salauslaitteiden hyväksyntäviranomaisen on arvioitava ja hyväksyttävä EU:n turvallisuusluokiteltujen tietojen suojaamisessa käytettävät salaustuotteet. |
26. |
Ennen kuin salaustuotteiden hyväksymistä suositellaan neuvostolle tai pääsihteerille 10 artiklan 6 kohdan mukaisesti, niiden on läpäistävä jonkin sellaisen jäsenvaltion asianmukaisesti pätevän viranomaisen (AQUA-viranomaisen) ulkopuolinen arviointi, joka ei osallistu laitteiden suunnitteluun eikä valmistukseen. Ulkopuoliselta arvioinnilta edellytettävä yksityiskohtaisuus riippuu korkeimmasta turvallisuusluokasta, johon kuuluvia EU:n turvallisuusluokiteltuja tietoja kyseisillä tuotteilla on tarkoitus suojata. Neuvosto hyväksyy salaustuotteiden arviointia ja hyväksyntää koskevat turvallisuusperiaatteet. |
27. |
Jos se on perusteltua erityisistä toiminnallisista syistä, neuvosto tai tapauksen mukaan pääsihteeri voi turvallisuuskomitean suosituksesta jättää soveltamatta tämän liitteen 25 tai 26 kohdan mukaisia vaatimuksia ja myöntää tilapäisen hyväksynnän erikseen määritellyksi ajaksi 10 artiklan 6 kohdassa säädetyn menettelyn mukaisesti. |
28. |
Neuvosto voi turvallisuuskomitean suosituksesta hyväksyä kolmannen valtion tai kansainvälisen järjestön salaustuotteiden arviointi-, valinta- ja hyväksyntämenettelyn ja katsoa tällaiset salaustuotteet hyväksytyiksi kyseiselle kolmannelle valtiolle tai kansainväliselle järjestölle luovutettujen EU:n turvallisuusluokiteltujen tietojen suojaamiseksi. |
29. |
AQUA-viranomaisen on oltava jäsenvaltion salauslaitteiden hyväksyntäviranomainen, joka on neuvoston vahvistamin perustein hyväksytty suorittamaan EU:n turvallisuusluokiteltujen tietojen suojaamiseen tarkoitettujen salaustuotteiden toinen arviointi. |
30. |
Neuvosto hyväksyy sellaisten tietoturvallisuustuotteiden vaadittavia ominaisuuksia ja hyväksyntää koskevat turvallisuusperiaatteet, jotka eivät ole salaustuotteita. |
Tietojen lähettäminen turva-alueilla ja hallinnollisilla alueilla
31. |
Sen estämättä, mitä tässä päätöksessä säädetään, jos EU:n turvallisuusluokiteltujen tietojen lähettäminen tapahtuu turva-alueilla tai hallinnollisilla alueilla, salaamatonta siirtoa tai alemman tason salausta voidaan käyttää riskinhallintaprosessin tulosten perusteella ja turvallisuusjärjestelyjen hyväksyntäviranomaisen luvalla. |
Viestintä- ja tietojärjestelmien suojattu yhteenliittäminen
32. |
Tässä päätöksessä yhteenliittämisellä tarkoitetaan kahden tai useamman tietotekniikkajärjestelmän välitöntä liittämistä toisiinsa tietojen ja muiden tietoresurssien (esimerkiksi viestinnän) jakamiseksi yksi- tai monisuuntaisesti. |
33. |
Viestintä- ja tietojärjestelmän on käsiteltävä kaikkia siihen liitettyjä tietotekniikkajärjestelmiä epäluotettavina ja toteutettava suojatoimia, joilla valvotaan turvallisuusluokiteltujen tietojen vaihtoa. |
34. |
Liitettäessä viestintä- ja tietojärjestelmä toiseen tietotekniikkajärjestelmään on seuraavien perusvaatimusten täytyttävä:
|
35. |
Hyväksytyn viestintä- ja tietojärjestelmän ja suojaamattoman tai julkisen verkon välillä ei saa olla yhteenliitäntää, paitsi jos viestintä- ja tietojärjestelmään on asennettu tarkoitusta varten hyväksytyt rajojen suojauspalvelut viestintä- ja tietojärjestelmän ja suojaamattoman tai julkisen verkon välille. Toimivaltaisen tiedonturvaamisviranomaisen on tarkistettava tällaisten yhteenliitäntöjen turvatoimet, ja toimivaltaisen turvallisuusjärjestelyjen hyväksyntäviranomaisen on hyväksyttävä ne. Jos suojaamatonta tai julkista verkkoa käytetään ainoastaan siirtovälineenä ja tiedot on salattu 10 artiklan mukaisesti hyväksytyllä salaustuotteella, tällaista liitäntää ei pidetä yhteenliitäntänä. |
36. |
TRÈS SECRET UE/EU TOP SECRET -turvallisuusluokiteltujen tietojen käsittelyyn hyväksytyn viestintä- ja tietojärjestelmän välitön tai porrastettu yhteenliitäntä suojaamattoman tai julkisen verkon kanssa on kiellettyä. |
Atk-tallennevälineet
37. |
Atk-tallennevälineet on hävitettävä toimivaltaisen turvallisuusviranomaisen hyväksymien menettelyjen mukaisesti. |
38. |
Atk-tallennevälineitä voidaan käyttää uudelleen, niiden turvallisuusluokkaa voidaan alentaa tai se voidaan poistaa 6 artiklan 2 kohdan nojalla vahvistettavien turvallisuutta koskevien suuntaviivojen mukaisesti. |
Hätätilanteet
39. |
Sen estämättä, mitä tässä päätöksessä säädetään, jäljempänä kuvattuja erityismenettelyjä voidaan soveltaa hätätapauksessa, esimerkiksi kriisitilanteen uhatessa tai toteutuessa, konfliktissa, sotatilanteissa taikka poikkeuksellisissa toimintaolosuhteissa. |
40. |
EU:n turvallisuusluokiteltujen tietojen lähettämisessä voidaan käyttää alempaa turvallisuusluokkaa varten hyväksyttyjä salaustuotteita tai ne voidaan lähettää ilman salausta toimivaltaisen viranomaisen suostumuksella, jos mahdollinen viivästyminen aiheuttaisi selvästi suuremman vahingon kuin turvallisuusluokitellun aineiston mahdollisen paljastumisen aiheuttama vahinko ja jos
|
41. |
Edellä 39 kohdassa esitetyissä olosuhteissa lähetetyissä turvallisuusluokitelluissa tiedoissa ei saa olla mitään merkintöjä eikä mainintoja, jotka erottavat ne turvallisuusluokittelemattomista tiedoista tai tiedoista, jotka voidaan suojata käytettävissä olevalla salaustuotteella. Tietojen vastaanottajille on ilmoitettava turvallisuusluokasta viipymättä muulla tavoin. |
42. |
Jos 39 kohtaa sovelletaan, toimivaltaiselle viranomaiselle ja turvallisuuskomitealle on annettava asiasta raportti. |
III TIEDONTURVAAMISTEHTÄVÄT JA -VIRANOMAISET
43. |
Jäsenvaltioiden ja pääsihteeristön on perustettava alla olevat tiedonturvaamistehtävät. Tehtävien hoitaminen ei edellytä erillisiä organisaatioyksiköitä. Niillä on oltava erilliset toimeksiannot. Niillä on oltava erilliset toimeksiannot. Nämä tehtävät ja niihin liittyvät vastuut voidaan kuitenkin yhdistää samaan organisaatioyksikköön tai hajottaa eri organisaatioyksiköille edellyttäen, että sisäiset eturistiriidat tai tehtävien ristiriitaisuus vältetään. |
Tiedonturvaamisviranomainen
44. |
Tiedonturvaamisviranomainen huolehtii
|
TEMPEST-viranomainen
45. |
TEMPEST-viranomainen vastaa siitä, että viestintä- ja tietojärjestelmät ovat TEMPEST-periaatteiden ja -suuntaviivojen mukaisia. Se hyväksyy TEMPEST-vastatoimet laitteistoille ja tuotteille, joilla EU:n turvallisuusluokitellut tiedot suojataan määrättyyn turvallisuusluokkaan asti tuotteen käyttöympäristössä. |
Salauslaitteiden hyväksyntäviranomainen
46. |
Salauslaitteiden hyväksyntäviranomainen vastaa sen varmistamisesta, että salaustuotteet ovat kansallisten tai neuvoston salausperiaatteiden mukaisia. Se hyväksyy salaustuotteen, jolla EU:n turvallisuusluokitellut tiedot suojataan määrättyyn turvallisuusluokkaan asti tuotteen käyttöympäristössä. Jäsenvaltioiden osalta salauslaitteiden hyväksyntäviranomainen vastaa lisäksi salaustuotteiden arvioinnista. |
Salatun aineiston jakelusta vastaava viranomainen
47. |
Salaisen aineiston jakelusta vastaava viranomainen huolehtii
|
Turvallisuusjärjestelyjen hyväksyntäviranomainen
48. |
Kunkin järjestelmän turvallisuusjärjestelyjen hyväksyntäviranomainen huolehtii
|
49. |
Pääsihteeristön turvallisuusjärjestelyjen hyväksyntäviranomainen vastaa kaikkien pääsihteeristön toimivallan puitteissa käytettävien viestintä- ja tietojärjestelmien hyväksymisestä. |
50. |
Jäsenvaltion asiaankuuluva turvallisuusjärjestelyjen hyväksyntäviranomainen vastaa jäsenvaltion toimivallan puitteissa käytettävien viestintä- ja tietojärjestelmien ja niiden osien hyväksymisestä. |
51. |
Yhteinen turvallisuusjärjestelyjen hyväksymislautakunta vastaa sekä pääsihteeristön että jäsenvaltioiden turvallisuusjärjestelyjen hyväksyntäviranomaisten toimivallan puitteissa käytettävien viestintä- ja tietojärjestelmien hyväksymisestä. Lautakunnan kokoonpanossa on turvallisuusjärjestelyjen hyväksyntäviranomaisen edustajia kustakin jäsenvaltiosta, ja komission turvallisuusjärjestelyjen hyväksyntäviranomaisen edustaja osallistuu sen kokouksiin. Muut yhteisöt, joilla on solmuja viestintä- ja tietojärjestelmässä, kutsutaan kokouksiin, kun niissä käsitellään kyseistä järjestelmää. Lautakunnan puheenjohtajana toimii pääsihteeristön turvallisuusjärjestelyjen hyväksyntäviranomaisen edustaja. Lautakunta tekee päätöksensä niiden toimielinten, jäsenvaltioiden ja muiden yksiköiden, joilla on solmuja viestintä- ja tietojärjestelmässä, turvallisuusjärjestelyjen hyväksyntäviranomaisten edustajien yhteisymmärryksellä. Se antaa määräajoin toiminnastaan raportteja turvallisuuskomitealle ja ilmoittaa sille kaikista hyväksymislausunnoista. |
Operatiivinen tiedonturvaamisviranomainen
52. |
Kunkin järjestelmän operatiivinen tiedonturvaamisviranomainen huolehtii
|
LIITE V
YHTEISÖTURVALLISUUS
I JOHDANTO
1. |
Tässä liitteessä vahvistetaan 11 artiklan täytäntöönpanosäännökset. Siinä vahvistetaan yleiset turvallisuussäännökset, joita sovelletaan yrityksiin tai muihin yhteisöihin sopimusta edeltävissä neuvotteluissa ja pääsihteeristön tekemien turvallisuusluokiteltujen sopimusten koko elinkaaren ajan. |
2. |
Neuvosto hyväksyy yhteisöturvallisuutta koskevat suuntaviivat, joissa korostetaan erityisesti yhteisöturvallisuusselvitystä, turvallisuutta koskevia lisälausekkeita, vierailuja sekä EU:n turvallisuusluokiteltujen tietojen lähettämistä ja kuljettamista koskevia yksityiskohtaisia vaatimuksia. |
II TURVALLISUUSLUOKITELLUN SOPIMUKSEN TURVALLISUUTTA KOSKEVAT OSAT
Turvallisuusluokitusopas
3. |
Ennen tarjouskilpailun käynnistämistä tai turvallisuusluokitellun sopimuksen tekemistä hankeviranomaisena toimivan pääsihteeristön on määriteltävä tarjouksen tekijöille ja hankeosapuolille toimitettavien tietojen turvallisuusluokka sekä hankeosapuolen tuottamien tietojen turvallisuusluokka. Pääsihteeristön on sitä varten laadittava turvallisuusluokitusopas, jota noudatetaan sopimuksen toimeenpanossa. |
4. |
Turvallisuusluokitellun sopimuksen eri osien turvallisuusluokan määrittämiseksi sovelletaan seuraavia periaatteita:
|
Turvallisuutta koskeva lisälauseke
5. |
Sopimuskohtaiset turvallisuusvaatimukset on ilmoitettava turvallisuutta koskevassa lisälausekkeessa. Turvallisuutta koskevan lisälausekkeen on tarvittaessa sisällettävä turvallisuusluokitusopas, ja sen on oltava erottamaton osa turvallisuusluokiteltua sopimusta tai alihankintasopimusta. |
6. |
Turvallisuutta koskevassa lisälausekkeessa on oltava määräykset, joiden mukaan hankeosapuolen ja/tai alihankkijan on noudatettava tässä päätöksessä säädettyjä vähimmäisvaatimuksia. Näiden vähimmäisvaatimusten noudattamatta jättäminen voi olla riittävä peruste sopimuksen irtisanomiselle. |
Ohjelman tai hankkeen turvallisuusohjeet
7. |
EU:n turvallisuusluokiteltuihin tietoihin pääsyä tai tietojen käsittelyä tai säilyttämistä edellyttävien ohjelmien tai hankkeiden soveltamisalasta riippuen niiden hallinnointia varten nimetty hankeviranomainen voi laatia niitä koskevat erityiset turvallisuusohjeet. Ohjelman tai hankkeen turvallisuusohjeille on saatava jäsenvaltioiden kansallisten tai nimettyjen turvallisuusviranomaisten tai muun ohjelmaan tai hankkeeseen osallistuvan toimivaltaisen turvallisuusviranomaisen hyväksyntä, ja niihin voi sisältyä muitakin turvallisuusvaatimuksia. |
III YHTEISÖTURVALLISUUSSELVITYS
8. |
Yhteisöturvallisuusselvityksen myöntää jäsenvaltion kansallinen tai nimetty turvallisuusviranomainen tai muu sen toimivaltainen turvallisuusviranomainen kansallisten lakien ja asetusten mukaisena osoituksena siitä, että yritys tai muu yhteisö pystyy suojaamaan asianomaiseen turvallisuusluokkaan (CONFIDENTIEL UE/EU CONFIDENTIAL tai SECRET UE/EU SECRET) kuuluvat EU:n turvallisuusluokitellut tiedot toimitiloissaan. Yhteisöturvallisuusselvitys on esitettävä hankeviranomaisena toimivalle pääsihteeristölle, ennen kuin hankeosapuolelle tai alihankkijalle taikka mahdolliselle hankeosapuolelle tai alihankkijalle voidaan luovuttaa EU:n turvallisuusluokiteltuja tietoja tai myöntää pääsy niihin. |
9. |
Asiaankuuluvan kansallisen tai nimetyn turvallisuusviranomaisen on yhteisöturvallisuusselvityksen myöntämisen yhteydessä vähintään
|
10. |
Hankeviranomaisena toimivan pääsihteeristön on tarvittaessa ilmoitettava asianmukaiselle kansalliselle tai nimetylle turvallisuusviranomaiselle tai muulle toimivaltaiselle turvallisuusviranomaiselle, että yhteisöturvallisuusselvitys vaaditaan sopimuksen tekemistä edeltävässä vaiheessa tai sopimuksen toimeenpanoa varten. Yhteisöturvallisuusselvitys tai henkilöturvallisuusselvitys vaaditaan sopimuksen tekemistä edeltävässä vaiheessa, jos tarjousmenettelyn aikana on annettava CONFIDENTIEL UE/EU CONFIDENTIAL- tai SECRET UE/EU SECRET -turvallisuusluokan tietoja. |
11. |
Hankeviranomainen ei saa tehdä turvallisuusluokiteltua sopimusta valitun tarjoajan kanssa, ennen kuin se on saanut sen jäsenvaltion kansalliselta tai nimetyltä turvallisuusviranomaiselta tai muulta toimivaltaiselta turvallisuusviranomaiselta, johon asianomainen hankeosapuoli tai alihankkija on rekisteröity, vahvistuksen siitä, että mahdollisesti vaadittava asianmukainen yhteisöturvallisuusselvitys on myönnetty. |
12. |
Kansallisen tai nimetyn turvallisuusviranomaisen tai muun toimivaltaisen turvallisuusviranomaisen, joka on myöntänyt yhteisöturvallisuusselvityksen, on ilmoitettava hankeviranomaisena toimivalle pääsihteeristölle yhteisöturvallisuusselvitykseen vaikuttavista muutoksista. Kun kyseessä on alihankintasopimus, kansalliselle tai nimetylle turvallisuusviranomaiselle tai muulle toimivaltaiselle turvallisuusviranomaiselle on ilmoitettava vastaavasti. |
13. |
Jos asiaankuuluva kansallinen tai nimetty turvallisuusviranomainen tai muu toimivaltainen turvallisuusviranomainen peruuttaa yhteisöturvallisuusselvityksen, tämä on hankeviranomaisena toimivalle pääsihteeristölle riittävä peruste irtisanoa turvallisuusluokiteltu sopimus tai sulkea tarjoaja kilpailun ulkopuolelle. |
IV TURVALLISUUSLUOKITELLUT SOPIMUKSET JA ALIHANKINTASOPIMUKSET
14. |
Jos EU:n turvallisuusluokiteltuja tietoja luovutetaan tarjoajalle sopimusta edeltävässä vaiheessa, tarjouspyynnössä on oltava määräys, jolla tarjoaja, joka ei esitä tarjousta tai jonka tarjousta ei valita, velvoitetaan palauttamaan kaikki turvallisuusluokitellut asiakirjat tietyn ajan kuluessa. |
15. |
Kun turvallisuusluokiteltu sopimus tai alihankintasopimus on tehty, hankeviranomaisena toimivan pääsihteeristön on annettava hankeosapuolen tai alihankkijan kansalliselle tai nimetylle turvallisuusviranomaiselle tai muulle toimivaltaiselle turvallisuusviranomaiselle tiedoksi turvallisuusluokitellun sopimuksen turvallisuusmääräykset. |
16. |
Kun tällaiset sopimukset irtisanotaan, hankeviranomaisena toimivan pääsihteeristön (ja/tai tapauksen mukaan alihankintasopimuksen ollessa kyseessä kansallisen tai nimetyn turvallisuusviranomaisen tai muun toimivaltaisen turvallisuusviranomaisen) on ilmoitettava asiasta viipymättä hankeosapuolen tai alihankkijan rekisteröintijäsenvaltion kansalliselle tai nimetylle turvallisuusviranomaiselle tai muulle toimivaltaiselle turvallisuusviranomaiselle. |
17. |
Yleensä hankeosapuolen tai alihankkijan edellytetään palauttavan hankeviranomaiselle turvallisuusluokitellun sopimuksen tai alihankintasopimuksen päättyessä kaikki hallussaan olevat EU:n turvallisuusluokitellut tiedot. |
18. |
Turvallisuutta koskevaan lisälausekkeeseen on sisällytettävä erityiset määräykset EU:n turvallisuusluokiteltujen tietojen hallussapidosta sopimuksen täytäntöönpanon aikana tai sopimuksen päättyessä. |
19. |
Jos hankeosapuoli tai alihankkija saa luvan säilyttää EU:n turvallisuusluokiteltuja tietoja sopimuksen päätyttyä, tässä päätöksessä säädettyjä vähimmäisvaatimuksia on edelleen noudatettava, ja hankeosapuolen tai alihankkijan on suojattava EU:n turvallisuusluokiteltujen tietojen luottamuksellisuus. |
20. |
Tarjouspyynnössä ja sopimuksessa on määriteltävä, millä edellytyksin hankeosapuoli voi tehdä alihankintasopimuksia. |
21. |
Hankeosapuolen on saatava hankeviranomaisena toimivan pääsihteeristön lupa, ennen kuin se antaa turvallisuusluokitellun sopimuksen mitään osia alihankkijoiden toteutettavaksi. Alihankintasopimuksia ei saa tehdä sellaisten yritysten tai muiden yhteisöjen kanssa, jotka on rekisteröity EU:n ulkopuolisessa valtiossa, joka ei ole tehnyt tietoturvallisuussopimusta unionin kanssa. |
22. |
Hankeosapuolen on vastattava siitä, että kaikki alihankintatoimet suoritetaan tässä päätöksessä säädettyjen vähimmäisvaatimusten mukaisesti, eikä se saa antaa EU:n turvallisuusluokiteltuja tietoja alihankkijalle ilman hankeviranomaisen kirjallista etukäteissuostumusta. |
23. |
Jos hankeosapuoli tai alihankkija tuottaa tai käsittelee EU:n turvallisuusluokiteltuja tietoja, hankeviranomainen käyttää tietojen luovuttajan oikeuksia. |
V TURVALLISUUSLUOKITELTUIHIN SOPIMUKSIIN LIITTYVÄT VIERAILUT
24. |
Jos pääsihteeristön, hankeosapuolien tai alihankkijoiden henkilöstön on saatava CONFIDENTIEL UE/EU CONFIDENTIAL- tai SECRET UE/EU SECRET -turvallisuusluokan tietoja toistensa toimitiloissa turvallisuusluokitellun sopimuksen toimeenpanemiseksi, vierailuista on sovittava asianomaisten kansallisten tai nimettyjen turvallisuusviranomaisten tai muun toimivaltaisen turvallisuusviranomaisen kanssa. Kansalliset tai nimetyt turvallisuusviranomaiset voivat kuitenkin yksittäisten hankkeiden osalta myös sopia menettelystä, jossa vierailut voidaan järjestää suoraan. |
25. |
Kaikilla vierailijoilla on oltava asianmukainen turvallisuusselvitys ja tiedonsaantitarve, jotta heille voidaan myöntää pääsy pääsihteeristön tekemään sopimukseen liittyviin EU:n turvallisuusluokiteltuihin tietoihin. |
26. |
Vierailijoille on annettava pääsy vain käynnin tarkoitukseen liittyviin EU:n turvallisuusluokiteltuihin tietoihin. |
VI EU:N TURVALLISUUSLUOKITELTUJEN TIETOJEN LÄHETTÄMINEN JA KULJETTAMINEN
27. |
EU:n turvallisuusluokiteltujen tietojen lähettämiseen sähköisesti sovelletaan 10 artiklassa ja liitteessä IV olevia asiaankuuluvia säännöksiä. |
28. |
EU:n turvallisuusluokiteltujen tietojen kuljettamiseen sovelletaan liitteessä III olevia asiaankuuluvia säännöksiä kansallisten lakien ja asetusten mukaisesti. |
29. |
Kuljetettaessa turvallisuusluokiteltua aineistoa rahtina sovelletaan seuraavia periaatteita turvallisuusjärjestelyjä määritettäessä:
|
VII EU:N TURVALLISUUSLUOKITELTUJEN TIETOJEN LÄHETTÄMINEN KOLMANSISSA VALTIOISSA SIJAITSEVILLE HANKEOSAPUOLILLE
30. |
EU:n turvallisuusluokiteltuja tietoja lähetetään kolmansissa valtioissa sijaitseville hankeosapuolille ja alihankkijoille hankeviranomaisena toimivan pääsihteeristön ja sen kolmannen valtion, johon hankeosapuoli on rekisteröity, kansallisen tai nimetyn turvallisuusviranomaisen välillä sovittujen turvatoimien mukaisesti. |
VIII RESTREINT UE/EU RESTRICTED -LUOKITELLUT TIEDOT
31. |
Pääsihteeristö voi hankeviranomaisena tehdä tarvittaessa yhdessä jäsenvaltion kansallisen tai nimetyn turvallisuusviranomaisen kanssa tarkastuksia hankeosapuolten tai alihankkijoiden toimitiloihin sopimusmääräysten pohjalta sen tarkastamiseksi, että sopimuksessa edellytetyt tarpeelliset turvatoimet RESTREINT UE/EU RESTRICTED -turvallisuusluokan EU:n turvallisuusluokiteltujen tietojen suojaamiseksi on toteutettu. |
32. |
Hankeviranomaisena toimivan pääsihteeristön on annettava kansallisille tai nimetyille turvallisuusviranomaisille tai muulle toimivaltaiselle turvallisuusviranomaiselle tiedoksi RESTREINT UE/EU RESTRICTED -turvallisuusluokan tietoja sisältävät sopimukset tai alihankintasopimukset siinä laajuudessa kuin sitä edellytetään kansallisissa laeissa ja asetuksissa. |
33. |
Hankeosapuolilta tai alihankkijoilta ja niiden henkilöstöltä ei vaadita yhteisöturvallisuusselvitystä eikä henkilöturvallisuusselvitystä sellaisia pääsihteeristön tekemiä sopimuksia varten, joissa on RESTREINT UE/EU RESTRICTED -turvallisuusluokan tietoja. |
34. |
Hankeviranomaisena toimivan pääsihteeristön on tutkittava tarjouspyyntöihin saadut vastaukset, jos sopimuksen tekeminen edellyttää RESTREINT UE/EU RESTRICTED -turvallisuusluokan tietojen saamista, sellaisten vaatimusten estämättä, joita kansallisissa laeissa ja asetuksissa saattaa olla yhteisöturvallisuusselvityksistä tai henkilöturvallisuusselvityksistä. |
35. |
Edellytysten, joilla hankeosapuoli voi tehdä alihankintasopimuksia, on oltava 21 kohdan mukaisia. |
36. |
Jos sopimukseen kuuluu RESTREINT UE/EU RESTRICTED -turvallisuusluokan tietojen käsittelyä hankeosapuolen käyttämässä viestintä- ja tietojärjestelmässä, hankeviranomaisena toimivan pääsihteeristön on varmistettava, että sopimuksessa tai alihankintasopimuksessa määrätään viestintä- ja tietojärjestelmän hyväksymistä koskevista tarvittavista teknisistä ja hallinnollisista vaatimuksista, jotka ovat oikeassa suhteessa arvioituun riskiin ja joissa on otettu huomioon kaikki asiaankuuluvat tekijät. Viestintä- ja tietojärjestelmän hyväksymisen laajuudesta on sovittava hankeviranomaisen ja asianomaisen kansallisen tai nimetyn turvallisuusviranomaisen kesken. |
LIITE VI
TURVALLISUUSLUOKITELTUJEN TIETOJEN VAIHTO KOLMANSIEN VALTIOIDEN JA KANSAINVÄLISTEN JÄRJESTÖJEN KANSSA
I JOHDANTO
1. |
Tässä liitteessä vahvistetaan 13 artiklan täytäntöönpanosäännökset. |
II TURVALLISUUSLUOKITELTUJEN TIETOJEN VAIHDON PUITTEET
2. |
Jos neuvosto toteaa, että turvallisuusluokiteltujen tietojen vaihtoon on pitkäaikainen tarve,
13 artiklan 2 kohdan ja III ja IV jakson mukaisesti turvallisuuskomitean suosituksen pohjalta. |
3. |
Jos YTPP-operaatiota varten tuotettuja EU:n turvallisuusluokiteltuja tietoja on tarkoitus luovuttaa operaatioon osallistuville kolmansille valtioille tai kansainvälisille järjestöille ja jos kumpiakaan 2 kohdassa tarkoitetuista puitteista ei ole olemassa, EU:n turvallisuusluokiteltujen tietojen vaihtoon operaatioon osallistuvan kolmannen valtion tai kansainvälisen järjestön kanssa sovelletaan V jakson mukaisesti
|
4. |
Jos 2 ja 3 kohdassa tarkoitettuja puitteita ei ole olemassa ja jos EU:n turvallisuusluokiteltuja tietoja päätetään poikkeuksellisesti ja tapauskohtaisesti luovuttaa kolmannelle valtiolle tai kansainväliselle järjestölle VI jakson mukaisesti, asianomaiselta kolmannelta valtiolta tai kansainväliseltä järjestöltä on pyydettävä kirjallinen vakuutus sen varmistamiseksi, että se suojaa sille mahdollisesti luovutetut EU:n turvallisuusluokitellut tiedot tässä päätöksessä säädettyjen perusperiaatteiden ja vähimmäisvaatimusten mukaisesti. |
III TIETOTURVALLISUUSSOPIMUKSET
5. |
Tietoturvallisuussopimuksissa on määrättävä perusperiaatteista ja vähimmäisvaatimuksista, joita sovelletaan turvallisuusluokiteltujen tietojen vaihtoon unionin ja kolmannen valtion tai kansainvälisen järjestön välillä. |
6. |
Tietoturvallisuussopimuksissa on määrättävä teknisistä täytäntöönpanojärjestelyistä, joista on sovittava unionin asianomaisten toimielinten ja elinten toimivaltaisten turvallisuusviranomaisten ja kyseisen kolmannen valtion tai kansainvälisen järjestön toimivaltaisen turvallisuusviranomaisen kesken. Täytäntöönpanojärjestelyissä on otettava huomioon asianomaisessa kolmannessa valtiossa tai kansainvälisessä järjestössä sovellettavien turvallisuussääntöjen, -rakenteiden ja -menettelyjen tarjoaman suojan taso. Ne on hyväksyttävä turvallisuuskomiteassa. |
7. |
Tietoturvallisuussopimuksen mukainen EU:n turvallisuusluokiteltujen tietojen vaihto ei saa tapahtua sähköisesti, ellei siitä nimenomaisesti määrätä tietoturvallisuussopimuksessa tai vastaavissa teknisissä täytäntöönpanojärjestelyissä. |
8. |
Kun neuvosto tekee tietoturvallisuussopimuksen, yksi kunkin osapuolen kirjaamo on nimettävä pääasialliseksi saapumis- ja lähtöpaikaksi turvallisuusluokiteltujen tietojen vaihtoa varten. |
9. |
Asianomaisen kolmannen valtion tai kansainvälisen järjestön turvallisuussääntöjen, -rakenteiden ja -menettelyjen toimivuuden arvioimiseksi arviointikäyntejä tehdään, mistä on keskinäisesti sovittava asianomaisen kolmannen valtion tai kansainvälisen järjestön kanssa. Arviointikäynnit on tehtävä liitteessä III olevien asiaankuuluvien säännösten mukaisesti, ja niiden perusteella on arvioitava
|
10. |
Arviointikäynnin unionin puolesta tekevän ryhmän on arvioitava, ovatko kyseisen kolmannen maan tai kansainvälisen järjestön turvallisuussäännöt ja -menettelyt riittävät suojaamaan EU:n turvallisuusluokitellut tiedot määrätyssä turvallisuusluokassa. |
11. |
Arviointikäyntien havainnot on esitettävä raportissa, jonka perusteella turvallisuuskomitea määrittelee korkeimman turvallisuusluokan, johon kuuluvia EU:n turvallisuusluokiteltuja tietoja voidaan vaihtaa asianomaisen kolmannen osapuolen kanssa paperitulosteina ja tarvittaessa sähköisesti, ja vaihtoon kyseisen osapuolen kanssa mahdollisesti sovellettavat erityisedellytykset. |
12. |
Kyseiseen kolmanteen valtioon tai kansainväliseen järjestöön on kaikin tavoin pyrittävä tekemään täysimääräinen turvallisuuden arviointikäynti, ennen kuin turvallisuuskomitea hyväksyy täytäntöönpanojärjestelyt, jotta selvitettäisiin käytössä olevan turvallisuusjärjestelmän laatu ja toimivuus. Jos tämä ei kuitenkaan ole mahdollista, pääsihteeristön turvallisuusyksikkö toimittaa turvallisuuskomitealle käytössään olevien tietojen perusteella mahdollisimman täydellisen selvityksen, jossa turvallisuuskomitealle tiedotetaan kolmannen valtion tai kansainvälisen järjestön soveltamista turvallisuussäännöistä ja turvallisuusalan järjestelyistä. |
13. |
EU:n turvallisuusluokiteltuja tietoja ei saa tosiasiallisesti luovuttaa kyseiselle kolmannelle valtiolle tai kansainväliselle järjestölle, ennen kuin arviointikäynnistä laadittu raportti tai, jollei tällaista raporttia ole, 12 kohdassa tarkoitettu raportti on toimitettu turvallisuuskomitealle ja turvallisuuskomitea on hyväksynyt raportin. |
14. |
Unionin toimielinten ja elinten toimivaltaisten turvallisuusviranomaisten on ilmoitettava kolmannelle valtiolle tai kansainväliselle järjestölle päivä, jona unioni voi luovuttaa tietoturvallisuussopimuksen nojalla EU:n turvallisuusluokiteltuja tietoja, sekä korkein turvallisuusluokka, johon kuuluvia EU:n turvallisuusluokiteltuja tietoja voidaan vaihtaa paperitulosteina tai sähköisesti. |
15. |
Arviointikäyntien seurantakäyntejä tehdään tarvittaessa erityisesti, jos
|
16. |
Kun tietoturvallisuussopimus on tullut voimaan ja asianomaisen kolmannen valtion tai kansainvälisen järjestön kanssa on alettu vaihtaa turvallisuusluokiteltuja tietoja, turvallisuuskomitea voi päättää muuttaa korkeinta turvallisuusluokkaa, johon kuuluvia EU:n turvallisuusluokiteltuja tietoja voidaan vaihtaa paperitulosteina tai sähköisesti, varsinkin mahdollisten seurantakäyntien perusteella. |
IV HALLINNOLLISET JÄRJESTELYT
17. |
Jos on olemassa pitkäaikainen tarve vaihtaa kolmannen valtion tai kansainvälisen järjestön kanssa tietoja, joiden turvallisuusluokka on yleensä korkeintaan RESTREINT UE/EU RESTRICTED, ja jos turvallisuuskomitea on katsonut, että kyseisen osapuolen turvallisuusjärjestelmä ei ole riittävän kehittynyt tietoturvallisuussopimuksen tekemiseksi, pääsihteeri voi neuvoston hyväksyttyä asian sopia pääsihteeristön puolesta hallinnollisesta järjestelystä kyseisen kolmannen valtion tai kansainvälisen järjestön asiaankuuluvien viranomaisten kanssa. |
18. |
Jos turvallisuusluokiteltujen tietojen vaihtoa varten on kiireellisistä toiminnallisista syistä perustettava puitteet nopeasti, neuvosto voi poikkeuksellisesti päättää, että korkeampaan turvallisuusluokkaan kuuluvien tietojen vaihtoon voidaan käyttää hallinnollista järjestelyä. |
19. |
Hallinnollisista järjestelyistä sovitaan pääsääntöisesti kirjeenvaihtona. |
20. |
EU:n turvallisuusluokiteltuja tietoja ei saa tosiasiallisesti luovuttaa kyseiselle kolmannelle valtiolle tai kansainväliselle järjestölle, ennen kuin on tehty 9 kohdassa tarkoitettu arviointikäynti ja ennen kuin arviointikäynnistä laadittu raportti tai, jollei tällaista raporttia ole, 12 kohdassa tarkoitettu raportti on toimitettu turvallisuuskomitealle ja turvallisuuskomitea on hyväksynyt raportin. |
21. |
Hallinnollisen järjestelyn mukainen EU:n turvallisuusluokiteltujen tietojen vaihto ei saa tapahtua sähköisesti, ellei siitä nimenomaisesti määrätä järjestelyssä. |
V TURVALLISUUSLUOKITELTUJEN TIETOJEN VAIHTO YTPP-OPERAATIOIDEN YHTEYDESSÄ
22. |
Kolmansien valtioiden tai kansainvälisten järjestöjen osallistumisesta YTPP-operaatioihin määrätään osallistumista koskevissa puitesopimuksissa. Kyseisiin sopimuksiin on sisällytettävä määräyksiä YTPP-operaatioita varten tuotettujen EU:n turvallisuusluokiteltujen tietojen luovuttamisesta osallistuville kolmansille valtioille tai kansainvälisille järjestöille. Korkein turvallisuusluokka, johon kuuluvia EU:n turvallisuusluokiteltuja tietoja voidaan vaihtaa, saa olla RESTREINT UE/EU RESTRICTED YTPP-siviilioperaatioiden osalta ja CONFIDENTIEL UE/EU CONFIDENTIAL YTPP-sotilasoperaatioiden osalta, jollei kyseisen YTPP-operaation perustamista koskevassa päätöksessä toisin määrätä. |
23. |
Tiettyä YTPP-operaatiota varten tehtyihin osallistumista koskeviin erillissopimuksiin on sisällytettävä määräyksiä kyseistä operaatiota varten tuotettujen EU:n turvallisuusluokiteltujen tietojen luovuttamisesta osallistuvalle kolmannelle valtiolle tai kansainväliselle järjestölle. Korkein turvallisuusluokka, johon kuuluvia EU:n turvallisuusluokiteltuja tietoja voidaan vaihtaa, saa olla RESTREINT UE/EU RESTRICTED YTPP-siviilioperaatioiden osalta ja CONFIDENTIEL UE/EU CONFIDENTIAL YTPP-sotilasoperaatioiden osalta, jollei kyseisen YTPP-operaation perustamista koskevassa päätöksessä toisin määrätä. |
24. |
Jos tietoturvallisuussopimusta ei ole eikä osallistumissopimusta ole vielä tehty, operaation toteuttamiseen tarvittavien EU:n turvallisuusluokiteltujen tietojen luovuttamiseen operaatioon osallistuvalle kolmannelle valtiolle tai kansainväliselle järjestölle sovelletaan korkean edustajan sopimaa hallinnollista järjestelyä tai VI jakson mukaisesti tehtyä päätöstä poikkeuksellisesta luovuttamisesta. EU:n turvallisuusluokiteltuja tietoja voidaan vaihtaa tällaisen järjestelyn nojalla, jos kolmannen valtion tai kansainvälisen järjestön on edelleen tarkoitus osallistua operaatioon. Korkein turvallisuusluokka, johon kuuluvia EU:n turvallisuusluokiteltuja tietoja voidaan vaihtaa, saa olla RESTREINT UE/EU RESTRICTED YTPP-siviilioperaatioiden osalta ja CONFIDENTIEL UE/EU CONFIDENTIAL YTPP-sotilasoperaatioiden osalta, jollei kyseisen YTPP-operaation perustamista koskevassa päätöksessä toisin määrätä. |
25. |
Edellä 22–24 kohdassa tarkoitettujen osallistumista koskevien puitesopimusten, osallistumista koskevien erillissopimusten ja hallinnollisten erillisjärjestelyjen turvallisuusluokiteltuja tietoja koskevissa osissa on määrättävä, että kyseisen kolmannen valtion tai kansainvälisen järjestön on varmistettava, että sen mihin tahansa operaatioon lähettämä henkilöstö suojaa EU:n turvallisuusluokitellut tiedot neuvoston turvallisuussääntöjen sekä toimivaltaisten viranomaisten, myös operaation komentoketjun antamien muiden ohjeiden mukaisesti. |
26. |
Jos unionin ja osallistuvan kolmannen valtion tai kansainvälisen järjestön välillä tehdään myöhemmin tietoturvallisuussopimus, tietoturvallisuussopimus syrjäyttää mahdollisessa osallistumista koskevassa puitesopimuksessa, osallistumista koskevassa erillissopimuksessa tai hallinnollisessa erillisjärjestelyssä vahvistetut määräykset turvallisuusluokiteltujen tietojen vaihdosta, kun on kyse EU:n turvallisuusluokiteltujen tietojen vaihdosta ja käsittelystä. |
27. |
EU:n turvallisuusluokiteltuja tietoja ei saa vaihtaa sähköisesti kolmannen valtion tai kansainvälisen järjestön kanssa tehdyn osallistumista koskevan puitesopimuksen, osallistumista koskevan erillissopimuksen eikä hallinnollisen erillisjärjestelyn nojalla, ellei siitä nimenomaisesti määrätä kyseisessä sopimuksessa tai järjestelyssä. |
28. |
YTPP-operaatiota varten tuotettuja EU:n turvallisuusluokiteltuja tietoja voidaan paljastaa kolmansien valtioiden tai kansainvälisten järjestöjen kyseiseen operaatioon lähettämälle henkilöstölle 22–27 kohdan mukaisesti. Kun tällaiselle henkilöstölle myönnetään pääsy EU:n turvallisuusluokiteltuihin tietoihin YTPP-operaation tiloissa tai viestintä- ja tietojärjestelmässä, on toteutettava toimenpiteitä (mukaan lukien paljastettujen EU:n turvallisuusluokiteltujen tietojen kirjaaminen) tietojen katoamisen tai vaarantumisen riskin vähentämiseksi. Toimenpiteet on määriteltävä suunnittelu- tai operaatioasiakirjoissa. |
29. |
Jos tietoturvallisuussopimusta ei ole ja ilmenee erityinen ja välitön toiminnallinen tarve, EU:n turvallisuusluokiteltujen tietojen luovuttaminen isäntävaltiolle, jonka alueella YTPP-operaatio toteutetaan, voidaan toteuttaa hallinnollisella erillisjärjestelyllä, josta korkea edustaja sopii. Tästä mahdollisuudesta on määrättävä YTPP-operaation perustamispäätöksessä. Kyseisissä olosuhteissa luovutettavat EU:n turvallisuusluokitellut tiedot on rajoitettava YTPP-operaatiota varten tuotettuihin tietoihin, jotka kuuluvat korkeintaan RESTREINT UE/EU RESTRICTED -turvallisuusluokkaan, ellei korkeammasta luokasta ole säädetty YTPP-operaation perustamispäätöksessä. Isäntävaltion on tällaisessa hallinnollisessa järjestelyssä sitouduttava suojaamaan EU:n turvallisuusluokitellut tiedot sellaisten vähimmäisvaatimusten mukaisesti, jotka ovat vähintään yhtä tiukat kuin tässä päätöksessä säädetyt vaatimukset. |
30. |
Jos tietoturvallisuussopimusta ei ole, operaation toteuttamiseen tarvittavien EU:n turvallisuusluokiteltujen tietojen luovuttaminen asiaankuuluville, muille kuin YTPP-operaatioon osallistuville kolmansille valtioille tai kansainvälisille järjestöille voidaan toteuttaa korkean edustajan sopiman hallinnollisen järjestelyn kautta. Tästä mahdollisuudesta ja sen mahdollisista ehdoista on tarpeen mukaan määrättävä YTPP-operaation perustamista koskevassa päätöksessä. Kyseisissä olosuhteissa luovutettavat EU:n turvallisuusluokitellut tiedot on rajoitettava YTPP-operaatiota varten tuotettuihin tietoihin, jotka kuuluvat korkeintaan RESTREINT UE/EU RESTRICTED -turvallisuusluokkaan, ellei korkeammasta luokasta ole säädetty YTPP-operaation perustamispäätöksessä. Asianomaisen kolmannen valtion tai kansainvälisen järjestön on tällaisessa hallinnollisessa järjestelyssä sitouduttava suojaamaan EU:n turvallisuusluokitellut tiedot sellaisten vähimmäisvaatimusten mukaisesti, jotka ovat vähintään yhtä tiukat kuin tässä päätöksessä säädetyt vaatimukset. |
31. |
Ennen EU:n turvallisuusluokiteltujen tietojen luovuttamista koskevien säännösten täytäntöönpanoa 22, 23 ja 24 kohdan yhteydessä ei tarvitse toteuttaa täytäntöönpanojärjestelyjä eikä arviointikäyntejä. |
VI EU:N TURVALLISUUSLUOKITELTUJEN TIETOJEN POIKKEUKSELLINEN LUOVUTTAMINEN TAPAUSKOHTAISESTI
32. |
Jos III–V jakson mukaisia puitteita ei ole olemassa ja jos neuvosto tai jokin sen valmisteluelimistä päätyy siihen, että EU:n turvallisuusluokiteltujen tietojen luovuttamiseen kolmannelle valtiolle tai kansainväliselle järjestölle on poikkeuksellinen tarve, pääsihteeristön on
|
33. |
Jos turvallisuuskomitea antaa suosituksen EU:n turvallisuusluokiteltujen tietojen luovuttamiseksi, asia siirretään pysyvien edustajien komitealle (Coreper), joka päättää tietojen luovuttamisesta. |
34. |
Jos turvallisuuskomitean suosituksessa ei puolleta EU:n turvallisuusluokiteltujen tietojen luovuttamista,
|
35. |
Coreper voi katsoessaan sen asianmukaiseksi ja saatuaan tietojen luovuttajan kirjallisen ennakkosuostumuksen päättää, että turvallisuusluokitellut tiedot voidaan luovuttaa vain osittain tai vain, jos niiden turvallisuusluokka on sitä ennen alennettu tai poistettu, tai että luovutettavat tiedot on valmisteltava niin, ettei niissä viitata lähteeseen eikä alkuperäiseen EU:n turvallisuusluokkaan. |
36. |
Kun EU:n turvallisuusluokiteltujen tietojen luovuttamisesta on päätetty, pääsihteeristö toimittaa asianomaisen asiakirjan, jonka luovutettavuutta koskevassa merkinnässä mainitaan kolmas valtio tai kansainvälinen järjestö, jolle se on luovutettu. Kyseisen kolmannen osapuolen on ennen tietojen luovuttamista tai luovuttamisen yhteydessä kirjallisesti sitouduttava suojaamaan vastaanottamansa EU:n turvallisuusluokitellut tiedot tässä päätöksessä säädettyjen perusperiaatteiden ja vähimmäisvaatimusten mukaisesti. |
VII TOIMIVALTA LUOVUTTAA EU:N TURVALLISUUSLUOKITELTUJA TIETOJA KOLMANSILLE VALTIOILLE TAI KANSAINVÄLISILLE JÄRJESTÖILLE
37. |
Jos turvallisuusluokiteltujen tietojen vaihtamiseksi kolmannen valtion tai kansainvälisen järjestön kanssa on olemassa 2 kohdan mukaiset puitteet, neuvosto tekee päätöksen korkeana edustajana toimivan pääsihteerin valtuuttamisesta luovuttamaan EU:n turvallisuusluokiteltuja tietoja kyseiselle kolmannelle valtiolle tai kansainväliselle järjestölle noudattaen luovuttajan suostumuksen periaatetta. Pääsihteeri voi siirtää tällaisen valtuutuksen pääsihteeristön ylemmille virkamiehille. |
38. |
Jos 2 kohdan ensimmäisessä alakohdassa tarkoitettu tietoturvallisuussopimus on olemassa, neuvosto voi tehdä päätöksen korkean edustajan valtuuttamiseksi luovuttamaan neuvostossa yhteisen ulko- ja turvallisuuspolitiikan (YUTP) alalla tuotettuja EU:n turvallisuusluokiteltuja tietoja asianmukaiselle kolmannelle valtiolle tai kansainväliselle järjestölle sen jälkeen, kun tietoihin sisältyvän lähdemateriaalin luovuttaja on antanut tähän suostumuksensa. Korkea edustaja voi siirtää tällaisen valtuutuksen ulkosuhdehallinnon johtavassa asemassa oleville virkamiehille tai EU:n erityisedustajille. |
39. |
Jos turvallisuusluokiteltujen tietojen vaihtamiseksi kolmannen valtion tai kansainvälisen järjestön kanssa on olemassa 2 kohdan tai 3 kohdan mukaiset puitteet, korkea edustaja on toimivaltainen luovuttamaan EU:n turvallisuusluokiteltuja tietoja YTPP-operaation perustamista koskevan päätöksen mukaisesti ja noudattaen luovuttajan suostumuksen periaatetta. Korkea edustaja voi siirtää tällaisen valtuutuksen ulkosuhdehallinnon johtavassa asemassa oleville virkamiehille, EU:n operaation johtajalle, operaation tai joukkojen komentajalle tai EU:n edustuston päällikölle. |
Lisäykset
Lisäys A
Määritelmät
Lisäys B
Turvallisuusluokkien vastaavuus
Lisäys C
Luettelo kansallisista turvallisuusviranomaisista
Lisäys D
Lyhenneluettelo
Lisäys A
MÄÄRITELMÄT
Tässä päätöksessä sovelletaan seuraavia määritelmiä:
|
’Hyväksynnällä’ tarkoitetaan prosessia, jonka päätteeksi turvallisuusjärjestelyt hyväksyvä viranomainen antaa virallisen lausunnon siitä, että järjestelmä on hyväksytty käytettäväksi määritellyssä turvallisuusluokassa, tiettyä turvallisuuden takaavaa toimintatapaa noudattaen käyttöympäristössään ja hyväksyttävällä riskitasolla, sen pohjalta, että hyväksytyt tekniset, fyysiset, organisatoriset ja menettelyyn liittyvät turvatoimet on toteutettu. |
|
’Resurssilla’ tarkoitetaan kaikkea, millä on arvoa organisaatiolle, sen liiketoimille ja niiden jatkuvuudelle, organisaation tehtävää tukevat tietoresurssit mukaan luettuina. |
|
’Valtuutuksella EU:n turvallisuusluokiteltuihin tietoihin pääsyä varten’ tarkoitetaan pääsihteeristön nimittävän viranomaisen tekemää päätöstä jäsenvaltion toimivaltaisen viranomaisen antaman lausunnon perusteella siitä, että pääsihteeristön virkamiehelle, muuhun henkilöstöön kuuluvalle tai kansalliselle asiantuntijalle voidaan, edellyttäen, että hänen tiedonsaantitarpeensa (need-to-know) on selvitetty ja hänelle on tiedotettu asianmukaisesti hänen velvollisuuksistaan, myöntää pääsy EU:n turvallisuusluokiteltuihin tietoihin tiettyyn turvallisuusluokkaan (CONFIDENTIEL UE/EU CONFIDENTIAL tai sitä korkeampi) ja tiettyyn päivämäärään asti. |
|
’Viestintä- ja tietojärjestelmän elinkaarella’ tarkoitetaan viestintä- ja tietojärjestelmän koko olemassaoloaikaa, johon kuuluvat alullepano, luominen, suunnittelu, vaatimusten analysointi, laatiminen, kehittäminen, koekäyttö, täytäntöönpano, käyttö ja ylläpito sekä käytöstä poistaminen. |
|
’Turvallisuusluokitellulla sopimuksella’ tarkoitetaan pääsihteeristön jonkin hankeosapuolen kanssa tekemää sopimusta, jolla toimitetaan tavaroita, toteutetaan toimeksiantoja tai tarjotaan palveluja, joiden suoritus edellyttää tai sisältää EU:n turvallisuusluokiteltuihin tietoihin pääsemistä tai niiden tuottamista. |
|
’Turvallisuusluokitellulla alihankintasopimuksella’ tarkoitetaan pääsihteeristön jonkin hankeosapuolen toisen hankeosapuolen (eli alihankkijan) kanssa tekemää sopimusta, jolla toimitetaan tavaroita, toteutetaan toimeksiantoja tai tarjotaan palveluja, joiden suoritus edellyttää tai sisältää EU:n turvallisuusluokiteltuihin tietoihin pääsemistä tai niiden tuottamista. |
|
’Viestintä- ja tietojärjestelmällä’ – ks. 10 artiklan 2 kohta. |
|
’Hankeosapuolella’ tarkoitetaan henkilöä tai oikeudellista yhteisöä, joka on oikeudellisesti kelpoinen tekemään sopimuksia. |
|
’Salausaineistolla’ tarkoitetaan salausalgoritmeja, salauslaitteistoja ja -ohjelmistomoduuleja sekä tuotteita, joihin sisältyy täytäntöönpanoa koskevia yksityiskohtia sekä niihin liittyviä asiakirjoja ja avainnusaineistoa. |
|
’Salaustuotteella’ tarkoitetaan tuotetta, jonka ensisijainen ja pääasiallinen tarkoitus on turvallisuuspalvelujen tuottaminen (luottamuksellisuus, eheys, käytettävyys, aitous ja kiistämättömyys) yhden tai useamman salausmenetelmän avulla. |
|
’YTPP-operaatiolla’ tarkoitetaan Euroopan unionin toiminnasta tehdyn sopimuksen V osaston 2 luvun nojalla toteutettavaa sotilas- tai siviilikriisinhallintaoperaatiota. |
|
’Turvallisuusluokan poistamisella’ tarkoitetaan minkä tahansa turvallisuusluokan poistamista. |
|
’Syvyyssuuntaisella turvallisuudella’ tarkoitetaan sitä, että toteutetaan joukko turvatoimia, joilla järjestetään monitasoinen puolustus. |
|
’Nimetyllä turvallisuusviranomaisella’ tarkoitetaan jäsenvaltion kansalliselle turvallisuusviranomaiselle vastuussa olevaa viranomaista, jonka vastuulla on tiedottaa yrityksille tai muille yhteisöille kansallisista periaatteista kaikissa yhteisöturvallisuutta koskevissa asioissa sekä antaa ohjausta ja apua niiden soveltamisessa. Kansallinen turvallisuusviranomainen tai muu toimivaltainen viranomainen voi toimia nimettynä turvallisuusviranomaisena. |
|
’Asiakirjalla’ tarkoitetaan mitä tahansa tallennettua tietoa, riippumatta sen fyysisestä muodosta tai ominaisuuksista. |
|
’Turvallisuusluokan alentamisella’ tarkoitetaan salassapitotason alentamisesta johtuvaa turvallisuusluokan muuttamista. |
|
’EU:n turvallisuusluokitelluilla tiedoilla’ – ks. 2 artiklan 1 kohta. |
|
’Yhteisöturvallisuusselvityksellä’ tarkoitetaan kansallisen tai nimetyn turvallisuusviranomaisen hallinnollista päätöstä, jonka mukaan toimitila tarjoaa turvallisuuden kannalta riittävän suojan tiettyyn turvallisuusluokkaan kuuluville EU:n turvallisuusluokitelluille tiedoille. |
|
EU:n turvallisuusluokiteltujen tietojen ’käsittelyllä’ tarkoitetaan kaikkia mahdollisia toimia, joita EU:n turvallisuusluokiteltuihin tietoihin voidaan kohdistaa niiden elinkaaren aikana. Näitä ovat tietojen tuottaminen, käsittely, kuljettaminen, turvallisuusluokan alentaminen, turvallisuusluokan poistaminen ja hävittäminen. Viestintä- ja tietojärjestelmien osalta toimia ovat myös tietojen kerääminen, näyttäminen, lähettäminen ja säilyttäminen. |
|
Tietojen tai asiakirjojen ’haltijalla’ tarkoitetaan asianmukaisesti valtuutettua henkilöä, jonka tiedonsaantitarve on todettu ja jonka hallussa on EU:n turvallisuusluokiteltu tieto, jonka suojaamisesta hän on tämän mukaisesti vastuussa. |
|
’Yrityksellä tai muulla yhteisöllä’ tarkoitetaan tavaroiden toimittamiseen, toimeksiantojen suorittamiseen tai palvelujen tarjoamiseen osallistuvaa yhteisöä. Kyseessä voi olla teollinen, kaupallinen, palvelu-, tieteellinen, tutkimus-, koulutus- tai kehitysyhteisö taikka itsenäinen ammatinharjoittaja. |
|
’Yhteisöturvallisuudella’ – ks. 11 artiklan 1 kohta. |
|
’Tietojen turvaamisella’ – ks. 10 artiklan 1 kohta. |
|
’Yhteenliittämisellä’ – ks. liitteessä IV oleva 32 kohta. |
|
’Turvallisuusluokiteltujen tietojen hallinnoinnilla’ – ks. 9 artiklan 1 kohta. |
|
’Aineistolla’ tarkoitetaan mitä tahansa asiakirjaa, tietovälinettä tai konetta tai laitetta, joka on valmistettu tai jota ollaan valmistamassa. |
|
’Luovuttajalla’ tarkoitetaan unionin toimielintä, elintä tai laitosta, jäsenvaltiota, kolmatta valtiota tai kansainvälistä järjestöä, jonka alaisuudessa turvallisuusluokiteltuja tietoja on tuotettu ja/tai tuotu unionin rakenteisiin. |
|
’Henkilöstöturvallisuudella’ – ks. 7 artiklan 1 kohta. |
|
’Henkilöturvallisuusselvityksellä’ tarkoitetaan jäsenvaltion toimivaltaisen viranomaisen lausuntoa, joka annetaan jäsenvaltion toimivaltaisten viranomaisten tekemän turvallisuustutkinnan jälkeen ja jonka nojalla henkilölle voidaan myöntää pääsy EU:n turvallisuusluokiteltuihin tietoihin määrättyyn turvallisuusluokkaan (CONFIDENTIEL UE/EU CONFIDENTIAL tai korkeampi) ja tiettyyn päivämäärään saakka. |
|
’Henkilöturvallisuusselvitykseen perustuvalla henkilöturvallisuustodistuksella’ tarkoitetaan toimivaltaisen viranomaisen antamaa todistusta, jossa todetaan henkilön olevan turvallisuusselvitetty ja että tällä on voimassa oleva todistus turvallisuusselvityksestä tai nimittävän viranomaisen lupa EU:n turvallisuusluokiteltuihin tietoihin pääsyä varten ja josta käy ilmi turvallisuusluokka, johon kuuluvien EU:n turvallisuusluokiteltujen tietojen saamiseen asianomaiselle henkilölle voidaan myöntää oikeus (CONFIDENTIEL UE/EU CONFIDENTIAL tai korkeampi), asiaankuuluvan turvallisuusselvityksen voimassaoloaika ja itse todistuksen voimassaolon päättymispäivä. |
|
’Fyysisellä turvallisuudella’ – ks. 8 artiklan 1 kohta. |
|
’Ohjelman tai hankkeen turvallisuusohjeilla’ tarkoitetaan luetteloa turvallisuusmenettelyistä, joita sovelletaan tiettyyn ohjelmaan tai hankkeeseen turvallisuusmenettelyjen yhdenmukaistamiseksi. Turvallisuusohjeita voidaan tarkistaa koko ohjelman tai hankkeen ajan. |
|
’Kirjaamisella’ – ks. liitteessä III oleva 18 kohta. |
|
’Jäännösriskillä’ tarkoitetaan riskiä, joka jää jäljelle, kun turvatoimet on toteutettu, ottaen huomioon, että kaikkia uhkia ei pystytä torjumaan eikä kaikkea haavoittuvuutta voida poistaa. |
|
’Riskillä’ tarkoitetaan mahdollisuutta, että tietty uhka hyötyy organisaation tai minkä tahansa sen käyttämän järjestelmän sisäisestä ja ulkoisesta haavoittuvuudesta ja aiheuttaa tällä tavoin vahinkoa organisaatiolle ja sen aineellisille tai aineettomille resursseille. Sen mittana on uhkien toteutumisen todennäköisyys yhdistettynä niiden vaikutuksiin.
|
|
’Turvallisuutta koskevalla lisälausekkeella’ tarkoitetaan hankeviranomaisen määräämää erityissopimusehtojen kokonaisuutta, joka on erottamaton osa pääsyä EU:n turvallisuusluokiteltuihin tietoihin tai niiden tuottamista edellyttävää turvallisuusluokiteltua sopimusta ja jossa yksilöidään turvallisuusvaatimukset tai turvallisuuden suojaamista edellyttävät sopimuksen osat. |
|
’Turvallisuusluokitusoppaalla’ tarkoitetaan asiakirjaa, jossa kuvataan turvallisuusluokitellun ohjelman tai sopimuksen osat ja eritellään sovellettavat turvallisuusluokat. Turvallisuusluokitusopasta voidaan laajentaa ohjelman tai sopimuksen koko keston ajan, ja sen sisältämien tietojen turvallisuusluokat voidaan määritellä uudelleen tai niitä voidaan alentaa. Jos turvallisuusluokitusopas on olemassa, sen on oltava osa turvallisuutta koskevaa lisälauseketta. |
|
’Turvallisuustutkinnalla’ tarkoitetaan tutkintamenettelyjä, jotka jäsenvaltion toimivaltainen kansallinen viranomainen suorittaa kansallisten lakien ja asetusten mukaisesti sen varmistamiseksi, että henkilöstä ei ole tiedossa mitään sellaista kielteistä seikkaa, joka estäisi turvallisuusselvityksen tai valtuutuksen myöntämisen hänelle EU:n turvallisuusluokiteltujen tietojen saamista varten tiettyyn turvallisuusluokkaan saakka (CONFIDENTIEL UE/EU CONFIDENTIAL tai korkeampi). |
|
’Turvallisuuden takaavalla toimintatavalla’ tarkoitetaan viestintä- ja tietojärjestelmän toimintaedellytysten määrittelyä, joka perustuu käsiteltyjen tietojen turvallisuusluokkiin ja turvallisuusselvitystasoihin, järjestelmään pääsyn virallisiin hyväksymisiin ja sen käyttäjien tiedonsaantitarpeeseen. Turvallisuusluokiteltujen tietojen käsittelyssä tai lähettämisessä voidaan käyttää neljää eri toimintatapaa: yleisvaltuutusta, korkean turvallisuustason toimintatapaa, osastokohtaista toimintatapaa ja monitasoista toimintatapaa.
|
|
’Turvallisuusriskien hallintaprosessilla’ tarkoitetaan prosessia, jossa yksilöidään, hallitaan ja minimoidaan epävarmoja tapahtumia, jotka saattavat vaikuttaa organisaation tai joidenkin sen käyttämien järjestelmien turvallisuuteen. Se kattaa kaikki riskeihin liittyvät toiminnot, myös arvioinnin, käsittelyn, hyväksymisen ja viestinnän. |
|
’TEMPESTillä’ tarkoitetaan haitallisen elektromagneettisen säteilyn tutkimista ja valvontaa sekä toimenpiteitä sen poistamiseksi. |
|
’Uhalla’ tarkoitetaan mahdollista syytä ei-toivottuun tapahtumaan, joka voi johtaa organisaation tai jonkin sen käyttämän järjestelmän vahingoittumiseen. Uhat voivat olla tahattomia tai tahallisia (vihamielisiä), ja niille ovat ominaisia uhkaavat seikat sekä mahdolliset kohteet ja hyökkäysmenetelmät. |
|
’Haavoittuvuudella’ tarkoitetaan minkä tahansa laatuista heikkoutta, josta yksi tai useampi uhka voi hyötyä. Haavoittuvuus voi johtua laiminlyönnistä tai liittyä heikkouksiin valvonnan tehokkuudessa, täydellisyydessä tai johdonmukaisuudessa, ja se voi olla luonteeltaan teknistä, menettelyyn liittyvää, fyysistä, organisatorista tai toiminnallista. |
Lisäys B
TURVALLISUUSLUOKKIEN VASTAAVUUS
EU |
TRÈS SECRET UE/EU TOP SECRET |
SECRET UE/EU SECRET |
CONFIDENTIEL UE/EU CONFIDENTIAL |
RESTREINT UE/EU RESTRICTED |
Belgia |
Très Secret (Loi 11.12.1998) Zeer Geheim (Wet 11.12.1998) |
Secret (Loi 11.12.1998) Geheim (Wet 11.12.1998) |
Confidentiel (Loi 11.12.1998) Vertrouwelijk (Wet 11.12.1998) |
ks. huomautus (1) jäljempänä |
Bulgaria |
Cтpoгo ceкретно |
Ceкретно |
Поверително |
За служебно ползване |
Tšekki |
Přísně tajné |
Tajné |
Důvěrné |
Vyhrazené |
Tanska |
YDERST HEMMELIGT |
HEMMELIGT |
FORTROLIGT |
TIL TJENESTEBRUG |
Saksa |
STRENG GEHEIM |
GEHEIM |
VS (2)– VERTRAULICH |
VS – NUR FÜR DEN DIENSTGEBRAUCH |
Viro |
Täiesti salajane |
Salajane |
Konfidentsiaalne |
Piiratud |
Irlanti |
Top Secret |
Secret |
Confidential |
Restricted |
Kreikka |
Άκρως Απόρρητο Abr: ΑΑΠ |
Απόρρητο Abr: (ΑΠ) |
Εμπιστευτικό Αbr: (ΕΜ) |
Περιορισμένης Χρήσης Abr: (ΠΧ) |
Espanja |
SECRETO |
RESERVADO |
CONFIDENCIAL |
DIFUSIÓN LIMITADA |
Ranska |
Très Secret Défense |
Secret Défense |
Confidentiel Défense |
ks. huomautus (3) jäljempänä |
Kroatia |
VRLO TAJNO |
TAJNO |
POVJERLJIVO |
OGRANIČENO |
Italia |
Segretissimo |
Segreto |
Riservatissimo |
Riservato |
Kypros |
Άκρως Απόρρητο Αbr: (ΑΑΠ) |
Απόρρητο Αbr: (ΑΠ) |
Εμπιστευτικό Αbr: (ΕΜ) |
Περιορισμένης Χρήσης Αbr: (ΠΧ) |
Latvia |
Sevišķi slepeni |
Slepeni |
Konfidenciāli |
Dienesta vajadzībām |
Liettua |
Visiškai slaptai |
Slaptai |
Konfidencialiai |
Riboto naudojimo |
Luxemburg |
Très Secret Lux |
Secret Lux |
Confidentiel Lux |
Restreint Lux |
Unkari |
Szigorúan titkos! |
Titkos! |
Bizalmas! |
Korlátozott terjesztésű! |
Malta |
L-Ogħla Segretezza Top Secret |
Sigriet Secret |
Kunfidenzjali Confidential |
Ristrett Restricted (4) |
Alankomaat |
Stg. ZEER GEHEIM |
Stg. GEHEIM |
Stg. CONFIDENTIEEL |
Dep. VERTROUWELIJK |
Itävalta |
Streng Geheim |
Geheim |
Vertraulich |
Eingeschränkt |
Puola |
Ściśle Tajne |
Tajne |
Poufne |
Zastrzeżone |
Portugali |
Muito Secreto |
Secreto |
Confidencial |
Reservado |
Romania |
Strict secret de importanță deosebită |
Strict secret |
Secret |
Secret de serviciu |
Slovenia |
STROGO TAJNO |
TAJNO |
ZAUPNO |
INTERNO |
Slovakia |
Prísne tajné |
Tajné |
Dôverné |
Vyhradené |
Suomi |
ERITTÄIN SALAINEN YTTERST HEMLIG |
SALAINEN HEMLIG |
LUOTTAMUKSELLINEN KONFIDENTIELL |
KÄYTTÖ RAJOITETTU BEGRÄNSAD TILLGÅNG |
Ruotsi (5) |
HEMLIG/TOP SECRET HEMLIG AV SYNNERLIG BETYDELSE FÖR RIKETS SÄKERHET |
HEMLIG/SECRET HEMLIG |
HEMLIG/CONFIDENTIAL HEMLIG |
HEMLIG/RESTRICTED HEMLIG |
Yhdistynyt kuningaskunta |
UK TOP SECRET |
UK SECRET |
UK CONFIDENTIAL |
UK RESTRICTED |
(1) Diffusion Restreinte/Beperkte Verspreiding ei ole Belgiassa turvallisuusluokka. Belgia käsittelee ja suojaa RESTREINT UE/EU RESTRICTED -tiedot vähintään yhtä tiukasti kuin Euroopan unionin neuvoston turvallisuussäännöissä kuvatut vaatimukset ja menettelyt edellyttävät.
(2) Saksa: VS = Verschlusssache.
(3) Ranska ei käytä turvallisuusluokkaa RESTREINT kansallisessa järjestelmässään. Ranska käsittelee ja suojaa RESTREINT UE/EU RESTRICTED -tiedot vähintään yhtä tiukasti kuin Euroopan unionin neuvoston turvallisuussäännöissä kuvatut vaatimukset ja menettelyt edellyttävät.
(4) Maltassa voidaan käyttää sekä maltan- että englanninkielisiä merkintöjä.
(5) Ruotsi: ylemmällä rivillä olevia turvallisuusluokitusmerkintöjä käyttävät puolustusviranomaiset, ja alemmalla rivillä olevia merkintöjä käyttävät muut viranomaiset.
Lisäys C
LUETTELO KANSALLISISTA TURVALLISUUSVIRANOMAISISTA
BELGIA
|
VIRO
|
||||||||||||||||||||||||
BULGARIA
|
IRLANTI
|
||||||||||||||||||||||||
TŠEKKI
|
KREIKKA
|
||||||||||||||||||||||||
TANSKA
|
ESPANJA
|
||||||||||||||||||||||||
SAKSA
|
RANSKA
|
||||||||||||||||||||||||
KROATIA
|
LUXEMBURG
|
||||||||||||||||||||||||
ITALIA
|
UNKARI
|
||||||||||||||||||||||||
KYPROS
|
MALTA
|
||||||||||||||||||||||||
LATVIA
|
ALANKOMAAT
|
||||||||||||||||||||||||
LIETTUA
|
ITÄVALTA
|
||||||||||||||||||||||||
PUOLA
|
SLOVAKIA
|
||||||||||||||||||||||||
PORTUGALI
|
SUOMI
|
||||||||||||||||||||||||
ROMANIA
|
RUOTSI
|
||||||||||||||||||||||||
SLOVENIA
|
YHDISTYNYT KUNINGASKUNTA
|
Lisäys D
LYHENNELUETTELO
Lyhenne |
Merkitys |
AQUA |
asianmukaisesti pätevä viranomainen |
Coreper |
pysyvien edustajien komitea |
SecOPs |
turvallisuusjärjestelyjen täytäntöönpanon tarkistusasiakirjat ja turvamenettelyt |
SSRS |
järjestelmäkohtainen turvavaatimusilmoitus |
YTPP |
yhteinen turvallisuus- ja puolustuspolitiikka |