32013D0629(03)

EUR-Lex

Acces la dreptul Uniunii Europene

Acest document este un extras de pe site-ul EUR-Lex

EUROPA
EUR-Lex Prima pagină
Päätös - 19 April 2013 - RO - EUR-Lex

Asistenţă

Recomandări pentru căutare

Aveți nevoie de mai multe opțiuni de căutare? Utilizați Căutare avansată

Document 32013D0629(03)

Asistenţă

Unionin ulkoasioiden ja turvallisuuspolitiikan korkean edustajan päätös, annettu 19 päivänä huhtikuuta 2013 , Euroopan ulkosuhdehallinnon turvallisuussäännöistä

EUVL C 190, 29.6.2013, p. 1-46 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Statutul juridic al documentului care nu mai este în vigoare, Data încetării: 18/09/2017; Kumoaja 32018D0410(01)

HTML

PDF

Jurnalul Oficial

29.6.2013

Euroopan unionin virallinen lehti

C 190/1

UNIONIN ULKOASIOIDEN JA TURVALLISUUSPOLITIIKAN KORKEAN EDUSTAJAN PÄÄTÖS,

annettu 19 päivänä huhtikuuta 2013,

Euroopan ulkosuhdehallinnon turvallisuussäännöistä

(2013/C 190/01)

UNIONIN ULKOASIOIDEN JA TURVALLISUUSPOLITIIKAN KORKEA EDUSTAJA, joka

ottaa huomioon Euroopan ulkosuhdehallinnon (jäljempänä ’EUH’) organisaatiosta ja toiminnasta 26 päivänä heinäkuuta 2010 annetun neuvoston päätöksen 2010/427/EU (1),

ottaa huomioon Euroopan ulkosuhdehallinnon turvallisuussäännöistä 15 päivänä kesäkuuta 2011 annetun korkean edustajan päätöksen (2) 9 artiklan 6 kohdassa tarkoitetun komitean lausunnon,

ottaa huomioon Euroopan ulkosuhdehallinnon organisaatiosta ja toiminnasta 26 päivänä heinäkuuta 2010 annetun neuvoston päätöksen 2010/427/EU 10 artiklan 1 kohdassa tarkoitetun komitean lausunnon,

sekä katsoo seuraavaa:

(1)	EUH:lla olisi toiminnallisesti itsenäisenä Euroopan unionin (EU) elimenä oltava neuvoston päätöksen 2010/427/EU 10 artiklan 1 kohdassa tarkoitetut turvallisuussäännöt.

(2)

Unionin ulkoasioiden ja turvallisuuspolitiikan korkean edustajan (jäljempänä ’korkea edustaja’) olisi päätettävä kaikki turvallisuuden osa-alueet kattavista EUH:n turvallisuussäännöistä, jotta EUH voi hallita tehokkaasti vastuullaan olevaan henkilöstöönsä, fyysiseen omaisuuteensa, tietoihin ja vierailijoihin kohdistuvat riskit ja täyttää tätä koskevan huolellisuusvelvoitteensa.

(3)

EUH:n vastuulla olevalle henkilöstölle, fyysiselle omaisuudelle, viestintä- ja tietojärjestelmät mukaan lukien, tiedoille ja vierailijoille olisi tarjottava sellainen suojelutaso, joka on neuvoston, komission, jäsenvaltioiden ja soveltuvin osin kansainvälisten järjestöjen parhaiden käytäntöjen mukainen.

(4)

EUH:n turvallisuussääntöjen olisi edistettävä yhdenmukaisemman kattavan yleiskehyksen muodostamista EU:n turvallisuusluokiteltujen tietojen suojaamiseksi Euroopan unionissa, ja sääntöjen olisi perustuttava Euroopan unionin neuvoston (jäljempänä ’neuvosto’) turvallisuussääntöihin ja Euroopan komission turvallisuussäännöksiin ja oltava mahdollisimman pitkälti niiden mukaisia.

(5)	EUH, neuvosto ja komissio ovat sitoutuneet soveltamaan vastaavia turvallisuusvaatimuksia EU:n turvallisuusluokiteltujen tietojen suojaamiseen.

(6)	Tämä päätös ei rajoita Euroopan unionin toiminnasta tehdyn sopimuksen (jäljempänä ’SEUT-sopimus’) 15 ja 16 artiklan eikä niiden täytäntöönpanosäädösten soveltamista.

(7)	On tarpeen vahvistaa EUH:n turvallisuusjärjestelyt ja turvallisuuteen liittyvien tehtävien jako EUH:n yksiköissä.

(8)	Korkean edustajan olisi tarvittaessa hyödynnettävä jäsenvaltioiden, neuvoston pääsihteeristön ja komission asiaan liittyvää asiantuntemusta.

(9)	Korkean edustajan olisi toteutettava kaikki asianmukaiset toimenpiteet näiden sääntöjen panemiseksi täytäntöön jäsenvaltioiden, neuvoston pääsihteeristön ja komission tuella,

ON HYVÄKSYNYT TÄMÄN PÄÄTÖKSEN:

1 artikla

Tarkoitus ja soveltamisala

Tällä päätöksellä säädetään Euroopan ulkosuhdehallinnon turvallisuutta koskevista säännöistä (jäljempänä ’EUH:n turvallisuussäännöt’).

Euroopan ulkosuhdehallinnon organisaatiosta ja toiminnasta 26 päivänä heinäkuuta 2010 annetun neuvoston päätöksen 2010/427/EU 10 artiklan 1 kohdan nojalla sitä sovelletaan kaikkiin EUH:n henkilöstöön kuuluviin ja kaikkiin unionin edustustojen henkilöstön jäseniin heidän hallinnollisesta asemastaan tai alkuperästään riippumatta ja sillä vahvistetaan yleinen sääntelykehys, jolla hallitaan tehokkaasti jäljempänä 2 artiklassa tarkoitettuun EUH:n vastuulla olevaan henkilöstöön, EUH:n tiloihin, fyysiseen omaisuuteen, tietoihin ja vierailijoihin kohdistuvia riskejä.

2 artikla

Määritelmät

Tässä päätöksessä tarkoitetaan

(a)

’EUH:n henkilöstöllä’ EUH:n virkamiehiä ja muuta henkilöstöä, mukaan lukien väliaikaisiksi toimihenkilöiksi nimitetyt jäsenvaltioiden ulkoasiainhallinnon henkilöstöön kuuluvat työntekijät, sekä lähetettyjä kansallisia asiantuntijoita Euroopan ulkosuhdehallinnon organisaatiosta ja toiminnasta 26 päivänä heinäkuuta 2010 annetun neuvoston päätöksen 2010/427/EU 6 artiklan määritelmän mukaisesti;

(b)	’EUH:n vastuulla olevalla henkilöstöllä’ EUH:n henkilöstöä ja kaikkia unionin edustustojen henkilöstön jäseniä heidän hallinnollisesta asemastaan tai alkuperästään riippumatta sekä tämän päätöksen yhteydessä korkeaa edustajaa ja tarvittaessa muuta EUH:n päätoimipaikassa työskentelevää henkilöstöä;

(c)	’huollettavilla’ unionin edustustoissa EUH:n vastuulla olevan henkilöstön perheenjäseniä, jotka kuuluvat heidän kotitalouteensa ja jotka on ilmoitettu vastaanottajavaltion ulkoasiainministeriölle;

(d)	’EUH:n tiloilla’ kaikkia EUH:n toimitiloja, mukaan lukien rakennukset, toimistot, huoneet ja muut paikat, sekä viestintä- ja tietojärjestelmien, myös turvallisuusluokiteltujen tietojen käsittelyssä käytettävien järjestelmien, sijoitusalueet, joissa EUH harjoittaa pysyvää tai väliaikaista toimintaa;

(e)	’EUH:n turvallisuuseduilla’ EUH:n vastuulla olevaa henkilöstöä, EUH:n tiloja, huollettavia, fyysistä omaisuutta, viestintä- ja tietojärjestelmät mukaan lukien, tietoja ja vierailijoita;

(f)	’EU:n turvallisuusluokitelluilla tiedoilla’ tarkoitetaan mitä tahansa tietoja tai aineistoja, joille on määritelty EU:n turvallisuusluokka ja joiden luvaton ilmitulo saattaisi vaihtelevassa määrin vahingoittaa Euroopan unionin tai sen yhden tai useamman jäsenvaltion etuja.

Muut määritelmät luetellaan asianomaisissa liitteissä ja lisäyksessä A.

3 artikla

Huolellisuusvelvoite

1. EUH:n turvallisuussäännöillä pyritään täyttämään EUH:n huolellisuusvelvoite.

2. EUH:n huolellisuusvelvoite sisältää kaikkien kohtuullisten turvallisuustoimenpiteiden toteuttamisen asianmukaisella huolellisuudella EUH:n turvallisuusetuihin kohdistuvien, kohtuullisesti ennakoitavissa olevien vahinkojen ehkäisemiseksi.

Se sisältää sekä turvallisuus- että turvaamisnäkökohdat, myös ne, jotka johtuvat hätätilanteista tai kriiseistä näiden luonteesta riippumatta.

3. Ottaen huomioon niiden jäsenvaltioiden, EU:n toimielinten tai elinten ja muiden osapuolten huolellisuusvelvoitteet, joilla on henkilöstöä unionin edustustoissa ja/tai niiden tiloissa, tai EUH:lle kuuluvan huolellisuusvelvoitteen, kun unionin edustustot sijaitsevat edellä mainittujen muiden osapuolten tiloissa, EUH sopii kunkin edellä mainitun toimijan kanssa hallinnollisista järjestelyistä, joissa määritellään kunkin osapuolen rooli, vastuut, tehtävät ja yhteistyömekanismit.

4 artikla

Fyysinen ja infrastruktuurien turvallisuus

1. EUH toteuttaa kaikki (niin pysyvät kuin väliaikaiset) asianmukaiset fyysiset turvatoimet, mukaan lukien kulunvalvontajärjestelyt, kaikissa EUH:n tiloissa EUH:n turvallisuusetujen suojelemiseksi. Nämä turvatoimet on otettava huomioon uusien toimitilojen rakenteissa ja suunnittelussa ja ennen olemassa olevien toimitilojen vuokraamista.

2. Myös kolmansissa maissa EUH toteuttaa kaikki tarvittavat pysyvät tai väliaikaiset fyysiset turvatoimet turvallisuusetujensa suojelemiseksi.

Tätä varten EUH:n vastuulla olevalle henkilöstölle ja huollettaville voidaan turvallisuussyistä asettaa määräajaksi ja tietyillä alueilla erityisiä velvoitteita tai rajoituksia.

3. Edellä 1 ja 2 kohdassa tarkoitettujen toimenpiteiden on oltava oikeassa suhteessa arvioituun riskiin.

5 artikla

Turvallisuusluokiteltujen tietojen suojaaminen

1. EU:n turvallisuusluokiteltujen tietojen suojaamiseen sovelletaan tässä päätöksessä ja erityisesti liitteessä A säädettyjä vaatimuksia. Minkä tahansa EU:n turvallisuusluokitellun tiedon haltija on vastuussa sen suojaamisesta näiden vaatimusten mukaisesti.

2. EUH varmistaa, että pääsy turvallisuusluokiteltuihin tietoihin myönnetään vain henkilöille, jotka täyttävät liitteessä A olevassa 5 artiklassa asetetut edellytykset.

3. Korkea edustaja asettaa edellytykset, joilla paikallisille toimihenkilöille voidaan myöntää pääsy EU:n turvallisuusluokiteltuihin tietoihin tämän päätöksen liitteessä A säädettyjen EU:n turvallisuusluokiteltujen tietojen suojaamista koskevien sääntöjen mukaisesti.

4. EUH:n turvallisuusosasto hallinnoi tietokantaa kaikkien EUH:n vastuulla olevan henkilöstön ja EUH:n hankeosapuolten työntekijöiden turvallisuusselvityksistä.

5. Jäsenvaltioiden tuodessa EUH:n rakenteisiin tai verkostoihin turvallisuusluokiteltuja tietoja, joissa on kansallinen turvallisuusluokitusmerkintä, EUH noudattaa kyseisten tietojen suojaamisessa vastaavan tason EU:n turvallisuusluokiteltuihin tietoihin sovellettavia vaatimuksia tämän päätöksen liitteessä A säädettyjen sääntöjen mukaisesti.

6. EUH:n tiloissa sijaitsevat alueet, joilla säilytetään CONFIDENTIEL UE/EU CONFIDENTIAL tai sitä korkeamman tason tai vastaavalle tasolle luokiteltuja tietoja, on määriteltävä turva-alueiksi tämän päätöksen liitteessä A säädettyjen sääntöjen mukaisesti, ja EUH:n turvallisuusosaston on hyväksyttävä ne.

7. Menettelyt, joilla korkea edustaja hoitaa tehtäviään kolmansien maiden tai kansainvälisten järjestöjen kanssa tehtävää EU:n turvallisuusluokiteltujen tietojen vaihtoa koskevien sopimusten tai hallinnollisten järjestelyjen puitteissa, kuvataan tämän päätöksen liitteissä A ja A VI.

6 artikla

Vaaratilanteet ja hätätilanteet

1. Jotta vaaratilanteisiin voidaan reagoida nopeasti ja tehokkaasti, EUH laatii järjestelmän tällaisten tilanteiden ja hätätilanteiden ilmoittamiseksi. Järjestelmä on toiminnassa 24 tuntia vuorokaudessa seitsemänä päivänä viikossa, ja se kattaa kaikki vaaratilanteet tai EUH:n turvallisuusetuihin kohdistuvat uhat (esim. onnettomuudet, konfliktit, vihamieliset teot, rikolliset teot, kidnappaus- ja panttivankitilanteet, lääketieteelliset hätätapaukset, viestintä- ja tietojärjestelmiä vaarantavat tilanteet ja verkkohyökkäykset).

2. Perustetaan EUH:n päätoimipaikan, unionin edustustojen, neuvoston, komission, EU:n erityisedustajien ja jäsenvaltioiden välille hätätilanteissa käytettävä yhteysjärjestelmä, joka auttaa niitä hallitsemaan henkilöstön turvallisuutta koskevia vaaratilanteita ja niiden seurauksia ja joka käsittää myös valmiussuunnittelun.

3. Tämä vaaratilanteiden hallintajärjestelmä sisältää muun muassa

—	menettelyt, joilla tuetaan tehokkaasti päätöksentekoa, joka liittyy henkilöstön turvallisuutta uhkaavaan vaaratilanteeseen, operaation peruuttamiseen tai keskeyttämiseen liittyvät päätökset mukaan luettuina, ja

—

toimintatapa ja menettelyt, joita jäsenvaltioiden, EU:n toimielinten ja EUH:n erityisvastuun huomioon ottaen noudatetaan henkilöstön jäsenten takaisin saamiseksi esimerkiksi tapauksissa, joissa heitä on kateissa, kidnapattuina tai panttivankeina. Erityisvoimavarojen tarve tällaisissa operaatioissa arvioidaan ottaen huomioon ne resurssit, joita jäsenvaltiot voivat antaa käyttöön.

4. EUH laatii tarvittavat hallinnolliset järjestelyt unionin edustustoissa tapahtuvien vaaratilanteiden ilmoittamiseksi. Niistä ilmoitetaan tarvittaessa jäsenvaltioille, komissiolle, muille asiaankuuluville viranomaisille sekä asianomaisille turvallisuuskomiteoille.

5. Vaaratilanteiden hallintajärjestelmien käyttöä on harjoiteltava ja niitä on arvioitava säännöllisesti.

7 artikla

Viestintä- ja tietojärjestelmien turvallisuus

1. EUH suojaa viestintä- ja tietojärjestelmissä käsitellyt tiedot luottamuksellisuutta, eheyttä, saatavuutta, aitoutta ja kiistattomuutta koskevia uhkia vastaan.

2. Tämän päätöksen 12 artiklan I jakson 1 kohdassa määritelty EUH:n turvallisuusviranomainen hyväksyy kaikkien EUH:n omistamien tai käyttämien viestintä- ja tietojärjestelmien suojaamista koskevat säännöt, turvallisuuspolitiikan ja turvallisuusohjelman.

3. Sääntöjen, politiikan ja ohjelman on oltava neuvoston ja komission sääntöjen, politiikan ja ohjelman mukaisia ja niiden täytäntöönpano on koordinoitava tiiviisti niiden sekä tarvittaessa jäsenvaltioiden soveltamien turvallisuuspolitiikkojen kanssa.

4. Kaikkien turvallisuusluokiteltujen tietojen käsittelyssä käytettävien viestintä- ja tietojärjestelmien on läpikäytävä hyväksymisprosessi. EUH soveltaa turvallisuusjärjestelyjen hyväksymiseen hallintajärjestelmää neuvoston pääsihteeristöä ja komissiota kuullen.

5. Kun EUH:n käsittelemät EU:n turvallisuusluokitellut tiedot suojataan salaustuotteilla, tuotteilta edellytetään, että EUH:n salauslaitteiden hyväksyntäviranomainen on hyväksynyt ne neuvoston turvallisuuskomitean suosituksesta.

6. EUH:n turvallisuusviranomaisen on tarpeen mukaan perustettava seuraavat tiedonturvaamistehtävät:

(a)	tiedonturvaamisviranomainen;

(b)	TEMPEST-viranomainen;

(c)	salauslaitteiden hyväksyntäviranomainen;

(d)	salatun aineiston jakelusta vastaava viranomainen.

7. EUH:n turvallisuusviranomaisen on perustettava kutakin järjestelmää varten seuraavat tehtävät:

(a)	turvallisuusjärjestelyjen hyväksyntäviranomainen;

(b)	operatiivinen tiedonturvaamisviranomainen.

8. Tämän artiklan täytäntöönpanosäännökset vahvistetaan EU:n turvallisuusluokiteltujen tietojen osalta liitteissä A ja A IV.

8 artikla

Tietoturvaloukkaukset ja turvallisuusluokiteltujen tietojen vaarantuminen

1. Tietoturvaloukkaus tapahtuu, kun henkilö ei noudata tai laiminlyö tässä päätöksessä säädettyjä turvallisuussääntöjä ja/tai 20 artiklan 1 kohdan mukaisesti hyväksyttyjä turvallisuuspolitiikkoja tai -ohjeita, jossa vahvistetaan päätöksen täytäntöönpanon edellyttämät toimet.

2. Turvallisuusluokitellut tiedot vaarantuvat, kun ne on kokonaisuudessaan tai osittain annettu tiedoksi muille kuin luvan saaneille henkilöille tai yhteisöille.

3. Tapahtuneesta tai epäillystä tietoturvaloukkauksesta ja tapahtuneesta tai epäillystä turvallisuusluokiteltujen tietojen vaarantumisesta on ilmoitettava välittömästi EUH:n turvallisuusosastolle, joka toteuttaa liitteessä A vahvistetut asianmukaiset toimenpiteet.

4. Henkilöön, joka on vastuussa tässä päätöksessä säädettyjen turvallisuussääntöjen rikkomisesta tai turvallisuusluokiteltujen tietojen vaarantumisesta, voidaan kohdistaa kurinpidollisia ja/tai oikeudellisia toimenpiteitä sovellettavien lakien, sääntöjen ja määräysten mukaisesti liitteessä A olevan 11 artiklan 3 kohdan nojalla.

9 artikla

Vaaratilanteiden, tietoturvaloukkausten ja/tai turvallisuusluokiteltujen tietojen vaarantumisten tutkinta ja korjaavat toimet

1. Saatuaan hallintopääjohtajalta mahdollisesti tarvittavan luvan EUH:n turvallisuusosasto, jota tarvittaessa avustavat jäsenvaltioiden ja/tai muiden EU:n toimielinten avustajat,

(a)

suorittaa tarvittaessa tutkimuksia tai tarkastuksia

(i)	siinä tapauksessa, että EUH:n kannalta merkityksellisten turvallisuusluokiteltujen tietojen tiedetään tai voidaan perustellusti olettaa vaarantuneen tai kadonneen;

(ii)	kaikista tapahtuneista tai epäillyistä tietoturvaloukkauksista tai muista vaaratilanteista tai EUH:n turvallisuusetuihin kohdistuvista uhista;

(b)	toteuttaa tarpeen mukaan tutkimusten perusteella tarvittavat korjaavat toimet.

2. Tutkijoiden on saatava kaikki tällaisten tutkimusten suorittamiseksi tarvittavat tiedot sekä kaikkien EUH:n yksiköiden täysi tuki.

Tutkijat voivat toteuttaa tarvittavat toimet turvatakseen todisteketjun tavalla, joka on oikeassa suhteessa tutkittavan asian vakavuuteen.

3. Kun tietojen saanti koskee henkilötietoja, viestintä- ja tietojärjestelmiin sisältyvät henkilötiedot mukaan lukien, pääsy tällaisiin tietoihin myönnetään asetuksen (EY) N:o 45/2001 mukaisesti.

4. Jos on tarpeen perustaa henkilötietoja sisältävä tutkintatietokanta, siitä on ilmoitettava Euroopan tietosuojavaltuutetulle edellä mainitun asetuksen mukaisesti.

10 artikla

Turvallisuusriskien hallinta

1. Määrittääkseen turvallisuuden suojaamista koskevat tarpeensa EUH laatii tiiviissä yhteistyössä komission turvallisuusosaston ja tarvittaessa neuvoston pääsihteeristön turvallisuusyksikön kanssa kattavan turvallisuusriskien arviointimenetelmän.

2. EUH:n turvallisuusetuihin kohdistuvia riskejä on hallittava prosessina. Prosessissa on pyrittävä määrittelemään tunnetut turvallisuusriskit ja turvatoimet niiden vähentämiseksi hyväksyttävälle tasolle sekä soveltamaan turvatoimia syvyyssuuntaisen turvallisuuden käsitteen pohjalta. Turvatoimien tehokkuutta ja riskitasoa on arvioitava jatkuvasti.

3. Tällä päätöksellä vahvistetut roolit, vastuualueet ja tehtävät eivät rajoita EUH:n vastuulla olevan henkilöstön kaikkien jäsenten vastuuta; etenkin kolmansissa maissa työmatkalla olevan EU:n henkilöstön on käytettävä tervettä järkeä ja arvostelukykyä omaan turvallisuuteensa ja turvaamiseensa liittyvissä asioissa ja noudatettava kaikkia sovellettavia turvallisuussääntöjä, -määräyksiä, -menettelyjä ja -ohjeita.

4. EUH toteuttaa kaikki kohtuulliset toimenpiteet varmistaakseen turvallisuusetujensa suojaamisen ja ehkäistäkseen kohtuullisesti ennakoitavissa olevien vahinkojen aiheutumisen niille.

5. EUH:n turvatoimet EU:n turvallisuusluokiteltujen tietojen suojaamiseksi koko niiden elinkaaren ajan on suhteutettava erityisesti tietojen tai aineistojen turvallisuusluokitukseen, muotoon ja määrään, EU:n turvallisuusluokiteltujen tietojen sijoitustilojen sijaintiin ja rakentamiseen sekä vihamielisen ja/tai rikollisen toiminnan uhkaan, myös paikallisesti arvioituun uhkaan, vakoilu, sabotaasi ja terrorismi mukaan luettuina.

11 artikla

Turvallisuustietoisuus ja -koulutus

1. EUH:n turvallisuusviranomaisen on varmistettava, että laaditaan ja pannaan täytäntöön asianmukaiset turvallisuustietoisuus- ja turvallisuuskoulutusohjelmat ja että EUH:n vastuulla olevan henkilöstön jäsenet ja tarvittaessa heidän huollettavansa saavat työskentely- tai asuinpaikkaansa liittyviin riskeihin suhteutetun tarvittavan turvallisuustietoisuutta koskevan ohjeistuksen ja koulutuksen.

2. Henkilöstön jäsenille on selvitettävä ja heidän on tunnustettava vastuunsa suojata EU:n turvallisuusluokitellut tiedot 5 artiklan sääntöjen mukaisesti ennen kuin heille myönnetään pääsy EU:n turvallisuusluokiteltuihin tietoihin; tämä on uusittava säännöllisin väliajoin.

12 artikla

Turvallisuusjärjestelyt EUH:ssa

1. Hallintopääjohtaja toimii EUH:n turvallisuusviranomaisena. Siinä ominaisuudessa hän varmistaa, että

(a)

EUH:n toiminnan kannalta merkityksellisiin turvallisuusasioihin, myös EUH:n turvallisuusetuihin kohdistuvien uhkien luonteeseen ja keinoihin suojautua niitä vastaan, liittyvät turvatoimet koordinoidaan tarpeen mukaan jäsenvaltioiden, neuvoston pääsihteeristön ja komission sekä soveltuvin osin kolmansien maiden tai kansainvälisten järjestöjen toimivaltaisten viranomaisten kanssa;

(b)	turvallisuusnäkökohdat otetaan täysimääräisesti huomioon alusta alkaen kaikessa EUH:n toiminnassa;

(c)	pääsy turvallisuusluokiteltuihin tietoihin myönnetään vain henkilöille, jotka täyttävät liitteessä A olevassa 5 artiklassa asetetut edellytykset;

(d)

perustetaan kirjaamisjärjestelmä, jolla varmistetaan, että CONFIDENTIEL UE/EU CONFIDENTIAL tai sitä korkeammalle turvallisuustasolle luokiteltuja tietoja käsitellään tämän päätöksen mukaisesti EUH:ssa ja kun ne luovutetaan EU:n jäsenvaltioille, EU:n toimielimille, elimille tai virastoille tai muille luvan saaneille vastaanottajille. Kaikki EUH:n kolmansille maille ja kansainvälisille järjestöille luovuttamat sekä niiltä vastaanottamat turvallisuusluokitellut tiedot on rekisteröitävä erikseen;

(e)	15 artiklassa tarkoitetut turvallisuustarkastukset suoritetaan;

(f)	todettua tai epäiltyä tietoturvaloukkausta tai EUH:n hallussa tai EUH:sta peräisin olevien turvallisuusluokiteltujen tietojen todettua tai epäiltyä vaarantumista tai katoamista koskeva tutkinta suoritetaan ja että asiaankuuluvia turvallisuusviranomaisia pyydetään avustamaan tällaisessa tutkinnassa;

(g)	vaaratilanteiden ja niiden seurausten hallintaa koskevat asianmukaiset suunnitelmat ja järjestelmät laaditaan, jotta tilanteisiin voidaan reagoida nopeasti ja tehokkaasti;

(h)	toteutetaan tarvittavat toimet, jos henkilöt eivät noudata tätä päätöstä;

(i)

EUH:n turvallisuusetujen suojaamiseksi toteutetaan tarvittavat fyysiset ja organisatoriset toimenpiteet.

Tätä varten hallintopääjohtaja toimeenpanevaa pääsihteeriä kuultuaan

—	määrittää yhteistyössä komission kanssa edustustojen turvallisuusluokituksen,

—	päättää korkeaa edustajaa kuultuaan, milloin edustuston henkilöstö on evakuoitava, jos turvallisuustilanne sitä edellyttää,

—	päättää tarvittaessa huollettavien suojaamiseksi sovellettavista toimenpiteistä ottaen huomioon 3 artiklan 3 kohdassa tarkoitetut järjestelyt EU:n toimielinten kanssa,

—	hyväksyy viestinnän salausta koskevan politiikan ja etenkin salaustuotteiden asennusohjelman ja salausjärjestelmän.

2. Tässä tehtävässä hallintopääjohtajaa avustavat hallinnosta ja taloudesta vastaava pääjohtaja, EUH:n turvallisuusosaston päällikkö ja tarvittaessa kriisitoiminnan ja operatiivisen koordinoinnin pääjohtaja.

3. EUH:n turvallisuusviranomaisen ominaisuudessa hallintopääjohtaja voi tarvittaessa delegoida tähän liittyviä tehtäviä.

4. Kunkin osaston/jaoston päällikkö vastaa EU:n turvallisuusluokiteltujen tietojen suojaamista koskevien sääntöjen täytäntöönpanosta osastossaan/jaostossaan.

Vaikka kukin osaston/jaoston päällikkö on vastuussa edellä esitetyn mukaisesti, he nimeävät jonkun henkilöstön jäsenen osaston turvallisuuskoordinaattoriksi, jonka resurssit suhteutetaan kyseisen osaston/jaoston käsittelemien EU:n turvallisuusluokiteltujen tietojen määrään.

Osastojen turvallisuuskoordinaattorit avustavat ja tukevat tarpeen mukaan osastojen/jaostojen päällikköjä turvallisuuteen liittyvissä tehtävissä, joita ovat muun muassa seuraavat:

(a)	osaston/jaoston erityistarpeita vastaavien ylimääräisten turvallisuusvaatimusten laatiminen;

(b)	turvallisuusohjeistuksen antaminen säännöllisesti osaston/jaoston jäsenille;

(c)	tiedonsaantitarpeen periaatteen noudattamisen varmistaminen osastossa/jaostossa;

(d)	ajantasaisen luettelon pitäminen turvakoodeista ja -avaimista;

(e)	turvallisuusmenettelyjen ja turvatoimien ylläpitäminen;

(f)	tietoturvaloukkausten ja/tai EU:n turvallisuusluokiteltujen tietojen vaarantumisen ilmoittaminen sekä osaston/jaoston johtajalle että turvallisuusosastolle;

(g)	jälkiselvittely työntekijöiden kanssa, joiden palvelussuhde EUH:ssa päättyy;

(h)	säännöllinen raportointi esimiehille osaston/jaoston turvallisuusasioista;

(i)	yhteydenpito EUH:n turvallisuusosastoon turvallisuuskysymyksistä.

Kaikista toimista tai kysymyksistä, jotka saattavat vaikuttaa turvallisuuteen, on ilmoitettava ajoissa EUH:n turvallisuusosastolle.

5. Kunkin unionin edustuston päällikkö vastaa kaikkien unionin edustuston turvallisuuteen liittyvien toimenpiteiden täytäntöönpanosta.

1. EUH:lla on turvallisuusosasto. Se

(a)	hallinnoi, koordinoi, valvoo ja/tai toteuttaa kaikki turvatoimet kaikissa EUH:n vastuulla olevissa tiloissa niin päätoimipaikassa, EU:n alueella kuin kolmansissa maissa;

(b)	varmistaa, että kaikenlainen toiminta, joka saattaa vaikuttaa EUH:n turvallisuusetujen suojaamiseen, on yhdenmukaista ja johdonmukaista tämän päätöksen ja sen täytäntöönpanosäännösten kanssa;

(c)	toimii korkean edustajan, toimeenpanevan pääsihteerin ja hallintopääjohtajan tärkeimpänä neuvonantajana kaikissa turvallisuuskysymyksissä;

(d)	saa apua jäsenvaltioiden toimivaltaisilta yksiköiltä Euroopan ulkosuhdehallinnon organisaatiosta ja toiminnasta annetun neuvoston päätöksen 2010/427/EU 10 artiklan 3 kohdan mukaisesti;

(e)

tukee EUH:n turvallisuusjärjestelyjen hyväksyntäviranomaisen toimintaa suorittamalla EU:n turvallisuusluokiteltujen tietojen käsittelyssä käytettävien viestintä- ja tietojärjestelmien ja tällaisten tietojen käsittelyyn ja säilyttämiseen hyväksyttävien tilojen yleisen ja paikallisen turvallisuusympäristön fyysisiä turvallisuusarviointeja.

2. EUH:n turvallisuusosaston päällikkö vastaa seuraavista tehtävistä:

(a)	EUH:n turvallisuusetujen yleinen suojaaminen;

(b)

turvallisuussääntöjen laatiminen, tarkistus ja päivittäminen sekä turvatoimien koordinointi jäsenvaltioiden toimivaltaisten viranomaisten ja tarvittaessa sellaisten kolmansien maiden tai kansainvälisten järjestöjen toimivaltaisten viranomaisten kanssa, joita yhdistävät Euroopan unioniin turvallisuussopimukset ja/tai -järjestelyt;

(c)	EUH:n turvallisuuskomitean työskentelyn tukeminen tämän päätöksen 14 artiklan 1 kohdan mukaisesti;

(d)	turvallisuusasioita koskeva yhteydenpito tarvittaessa muiden kuin b alakohdassa tarkoitettujen kumppanien tai viranomaisten kanssa;

(e)	päätoimipaikan ja unionin edustustojen turvallisuusmäärärahojen hallinnointia koskevien ehdotusten priorisointi ja esittäminen.

3. EUH:n turvallisuusosaston päällikkö

(a)	varmistaa tietoturvaloukkausten ja tietojen vaarantumisen kirjaamisen ja tarvittaessa tutkimusten käynnistämisen ja suorittamisen;

(b)	tapaa säännöllisesti ja aina tarvittaessa neuvoston pääsihteeristön turvallisuusjohtajaa ja Euroopan komission turvallisuusosaston johtajaa keskustellakseen yhteisen edun mukaisista asioista.

4. EUH:n turvallisuusosasto luo yhteydet ja ylläpitää tiiviitä yhteistyösuhteita

—	jäsenvaltioiden ulkoasiainministeriöiden turvallisuudesta vastaaviin osastoihin

—

jäsenvaltioiden kansallisiin turvallisuusviranomaisiin ja/tai muihin toimivaltaisiin turvallisuusviranomaisiin saadakseen niiltä tietoja, joita se tarvitsee arvioidakseen vaaroja ja uhkia, joita EUH:hon ja sen henkilöstöön, toimintaan, omaisuuteen ja resursseihin sekä sen turvallisuusluokiteltuihin tietoihin saattaa kohdistua sen tavanomaisessa toimipaikassa;

—

niiden jäsenvaltioiden tai asemamaiden toimivaltaisiin turvallisuusviranomaisiin, joiden alueella EUH saattaa harjoittaa toimintaansa, kaikista kysymyksistä, jotka liittyvät EUH:n henkilöstön, toiminnan, omaisuuden ja resurssien sekä sen turvallisuusluokiteltujen tietojen suojaamiseen niiden alueella;

—	neuvoston pääsihteeristön turvallisuusyksikköön ja komission henkilöstöhallinnon ja turvallisuuden pääosaston turvallisuusosastoon sekä tarvittaessa muiden EU:n toimielinten, elinten ja virastojen turvallisuusosastoihin;

—	kolmansien maiden tai kansainvälisten järjestöjen turvallisuusosastoihin mahdollista hyödyllistä koordinointia silmällä pitäen; ja

—	jäsenvaltioiden kansallisiin turvallisuusviranomaisiin kaikista EU:n turvallisuusluokiteltujen tietojen suojaamista koskevista asioista.

1. Kunkin unionin edustuston päällikkö vastaa kaikkien EUH:n turvallisuusetujen suojaamiseen liittyvien toimenpiteiden paikallisesta täytäntöönpanosta ja hallinnoinnista unionin edustuston toimitiloissa ja sen toimivaltaan kuuluvissa asioissa.

Hän toteuttaa, tarvittaessa yhteistyössä asemamaan toimivaltaisten viranomaisten kanssa, kaikki kohtuullisesti toteutettavissa olevat toimenpiteet varmistaakseen, että asianmukaiset fyysiset ja organisatoriset toimenpiteet toteutetaan tämän saavuttamiseksi.

Edustuston päällikkö laatii turvallisuusmenettelyt 2 artiklan c alakohdassa määriteltyjen huollettavien suojaamiseksi tarvittaessa ottaen huomioon mahdolliset 3 artiklan 3 kohdassa tarkoitetut hallinnolliset järjestelyt. Edustuston päällikkö raportoi vuosittain kaikista hänen toimivaltaansa kuuluvista turvallisuuskysymyksistä EUH:n turvallisuusosaston päällikölle.

Päällikköä avustaa näissä tehtävissä EUH:n turvallisuusosasto, erityisiä turvallisuustoimeksiantoja ja -tehtäviä suorittava edustustossa työskentelevä EUH:n henkilöstö ja tarvittaessa palkattu erityinen turvallisuushenkilöstö.

2. Lisäksi edustuston päällikkö

—	laatii yksityiskohtaisia edustuston turvallisuus- ja valmiussuunnitelmia yleisten toimintaohjeiden perusteella;

—	käyttää tehokasta ympärivuorokautista vaara- ja hätätilanteiden hallintajärjestelmää edustuston toiminta-alueella;

—	varmistaa, että kaikilla edustuston työntekijöillä on alueen olosuhteiden edellyttämä vakuutussuoja;

—	varmistaa, että turvallisuus on osa unionin edustuston perehdyttämiskoulutusta, jota annetaan kaikille edustuston työntekijöille heidän saavuttuaan edustustoon tai ennen sitä; ja

—	varmistaa, että turvallisuusarviointien perusteella annetut suositukset pannaan täytäntöön, ja toimittaa säännöllisin väliajoin kirjallisia raportteja niiden täytäntöönpanosta ja muista turvallisuuskysymyksistä EUH:n turvallisuusviranomaiselle.

3. Vaikka edustuston päällikkö on vastuussa ja vastuuvelvollinen turvallisuusjohtamisesta sekä edustuston vastustuskyvyn varmistamisesta, hän voi delegoida tehtäviensä suorittamisen edustuston turvallisuuskoordinaattorille, joka on edustuston apulaispäällikkö, tai jos apulaispäällikköä ei ole nimitetty, sopivalle muulle työntekijälle.

Edustuston turvallisuuskoordinaattorin hoidettavaksi voidaan antaa erityisesti seuraavat tehtävät:

—	turvallisuuskysymyksiä koskeva yhteydenpito asemamaan toimivaltaisten viranomaisten sekä jäsenvaltioiden suurlähetystöjen ja diplomaattilähetystöjen vastaavien viranomaisten kanssa;

—	EUH:n turvallisuusetuihin liittyvien tarvittavien turvallisuusjohtamismenettelyjen täytäntöönpano, EU:n turvallisuusluokiteltujen tietojen suojaaminen mukaan lukien;

—	henkilöstön ohjeistaminen siihen sovellettavista turvallisuussäännöistä ja asemamaan erityisistä riskeistä;

—	henkilöturvallisuusselvitystä edellyttäviä toimia koskevien pyyntöjen esittäminen EUH:n turvallisuusosastolle; ja

—	edustuston päällikön, alueellisen turvallisuusvastaavan ja EUH:n turvallisuusosaston pitäminen jatkuvasti ajan tasalla EUH:n turvallisuusetuihin vaikuttavista tapahtumista tai kehityssuuntauksista alueella.

4. Edustuston päällikkö voi delegoida luonteeltaan hallinnollisia tai teknisiä turvallisuuteen liittyviä tehtäviä hallintopäällikölle ja muille edustuston henkilöstön jäsenille.

5. Unionin edustustoa avustaa alueellinen turvallisuusvastaava. Alueelliset turvallisuusvastaavat hoitavat jäljempänä määriteltyjä tehtäviä edustustoissa maantieteellisillä vastuualueillaan.

Tietyissä olosuhteissa turvallisuustilanteen niin edellyttäessä tiettyyn edustustoon voidaan asettaa siellä kokoaikaisesti toimiva alueellinen turvallisuusvastaava.

Alueellinen turvallisuusvastaava saattaa joutua muuttamaan nykyisen vastuualueensa ulkopuolelle, myös Brysselissä sijaitsevaan päätoimipaikkaan, tai jopa hoitamaan vakituista tointa missä tahansa maassa sen turvallisuustilanteen ja EUH:n turvallisuusosaston tarpeiden mukaan.

6. Alueelliset turvallisuusvastaavat ovat hierarkkisesti EUH:n turvallisuusosaston välittömässä alaisuudessa, mutta toiminnallisesti ja hallinnollisesti kyseisen edustuston päällikön välittömässä alaisuudessa. He auttavat edustuston päällikköä ja henkilöstöä järjestämään ja toteuttamaan kaikki fyysiset, organisatoriset ja menettelylliset toimenpiteet, jotka liittyvät kaikkien edustuston henkilöstön jäsenten turvallisuuteen näiden hallinnollisesta alkuperästä riippumatta.

7. Alueelliset turvallisuusvastaavat antavat edustuston päällikölle ja henkilöstölle neuvoja ja tukea. Tarvittaessa, ja varsinkin jos alueellinen turvallisuusvastaava työskentelee edustustossa kokoaikaisesti, hän voi avustaa unionin edustustoa turvallisuusjohtamisessa ja turvallisuuden toteuttamissa, turvallisuussopimusten valmistelu sekä hyväksyntöjen ja turvallisuusselvitysten hallinnointi mukaan lukien.

13 artikla

YTPP-operaatiot ja EU:n erityisedustajat

EUH:n turvallisuusosasto antaa apua ja neuvoja kriisinhallinta- ja suunnitteluosaston johtajalle, EU:n sotilasesikunnan (EUSE) pääjohtajalle, siviilikriisinhallinnan suunnittelu- ja toteutusvoimavarasta (CPCC) vastaavalle siviilioperaatioiden komentajalle sekä EU:n sotilasoperaatioiden komentajille YTPP-operaatioiden turvallisuusnäkökohdista sekä EU:n erityisedustajille näiden toimeksiantojen turvallisuusnäkökohdista niiden erityissäännösten lisäksi, jotka sisältyvät neuvoston alalla omaksumiin politiikkoihin.

14 artikla

EUH:n turvallisuuskomitea

1. Perustetaan EUH:n turvallisuuskomitea.

Sen puheenjohtajana toimii hallintopääjohtaja tai hänen nimeämänsä henkilö, ja se kokoontuu puheenjohtajan toimeksiannosta tai jonkun sen jäsenen pyynnöstä. EUH:n turvallisuusosasto tukee puheenjohtajaa hänen tehtävässään ja avustaa tarvittaessa hallinnollisesti komitean työskentelyä.

2. EUH:n turvallisuuskomitea koostuu

—	kunkin jäsenvaltion edustajista;

—	neuvoston pääsihteeristön turvallisuusyksikön edustajista;

—	komission henkilöstöhallinnon ja turvallisuuden pääosaston turvallisuusosaston edustajista.

Jäsenvaltiota EUH:n turvallisuuskomiteassa edustava valtuuskunta voi koostua

—	kansallisen turvallisuusviranomaisen ja/tai nimetyn turvallisuusviranomaisen jäsenistä;

—	jäsenvaltioiden ulkoasiainministeriöiden turvallisuudesta vastaavien osastojen jäsenistä.

3. Komitean jäsenet voivat käyttää asiantuntijoita neuvonantajina, jos he katsovat tämän olevan tarpeen. Muiden EU:n toimielinten, virastojen tai elinten edustajia voidaan kutsua kokouksiin, kun niissä käsitellään niiden turvallisuuden kannalta merkityksellisiä kysymyksiä.

4. EUH:n turvallisuuskomitea avustaa kuulemisten avulla EUH:ta kaikissa EUH:n toimintaa, päätoimipaikkaa ja unionin edustustoja koskevissa turvallisuuskysymyksissä, sanotun rajoittamatta 5 kohdan soveltamista.

Rajoittamatta 5 kohdan soveltamista

(a)

EUH:n turvallisuuskomiteaa on kuultava

—	turvallisuuspolitiikoista, -ohjeista, -käsitteistä tai muista turvallisuuteen liittyvistä menetelmiä koskevista asiakirjoista varsinkin turvallisuusluokiteltujen tietojen suojaamisen ja niiden toimenpiteiden osalta, joita toteutetaan, jos EUH:n henkilöstö ei noudata turvallisuussääntöjä;

—	teknisistä turvallisuusnäkökohdista, jotka saattavat vaikuttaa korkean edustajan päätökseen antaa neuvostolle liitteessä A olevan 10 artiklan 1 kohdan a alakohdassa tarkoitettuja tietoturvallisuussopimuksia koskevien neuvottelujen aloittamista koskeva suositus;

—	tähän päätökseen tehtävistä muutoksista.

(b)	EUH:n turvallisuuskomiteaa voidaan kuulla tai sille voidaan ilmoittaa EUH:n päätoimipaikan ja unionin edustustojen henkilöstön ja omaisuuden turvallisuuteen liittyvistä kysymyksistä, sanotun kuitenkaan rajoittamatta 3 artiklan 3 kohdan soveltamista.

(c)	EUH:n turvallisuuskomitealle on ilmoitettava kaikista EUH:ssa tapahtuneista EU:n turvallisuusluokiteltujen tietojen vaarantumisista tai katoamisista.

5. Kaikki tähän päätökseen ja sen liitteeseen A sisältyviin EU:n turvallisuusluokiteltujen tietojen suojaamista koskeviin sääntöihin tehtävät muutokset edellyttävät EUH:n turvallisuuskomiteassa edustettuina olevien jäsenvaltioiden yksimielistä puoltavaa lausuntoa. Tällaista yksimielistä puoltavaa lausuntoa edellytetään myös ennen

—	liitteessä A olevan 10 artiklan 1 kohdan b alakohdassa tarkoitettuja hallinnollisia järjestelyjä koskevien neuvottelujen aloittamista;

—	turvallisuusluokiteltujen tietojen luovuttamista liitteessä A VI olevissa 9, 11 ja 12 kohdassa tarkoitetuissa poikkeuksellisissa olosuhteissa;

—	tietojen luovuttajan vastuun ottamista liitteessä A olevan 10 artiklan 4 kohdan viimeisessä virkkeessä tarkoitetuissa olosuhteissa.

Yksimielisen puoltavan lausunnon ehto täyttyy, jos jäsenvaltioiden valtuuskunnat eivät esitä vastalauseita komitean työskentelyn aikana.

6. EUH:n turvallisuuskomitea ottaa täysin huomioon neuvostossa ja komissiossa voimassa olevat turvallisuuspolitiikat ja -ohjeet.

7. EUH:n turvallisuuskomitealle toimitetaan luettelo EUH:n vuosittaisista tarkastuksista sekä tarkastusraportit niiden valmistuttua.

8. Kokousten järjestäminen:

—

EUH:n turvallisuuskomitea kokoontuu vähintään kaksi kertaa vuodessa. Ylimääräisiä kokouksia joko komitean täydessä kokoonpanossa tai kansallisten turvallisuusviranomaisten ja/tai nimettyjen turvallisuusviranomaisten jäsenistä tai ulkoasiainministeriöiden edustajista koostuvissa kokoonpanoissa voidaan järjestää puheenjohtajan toimeksiannosta tai komitean jäsenten pyynnöstä.

—	EUH:n turvallisuuskomitea järjestää toimintansa niin, että se voi antaa suosituksia erityisillä turvallisuuden aloilla. Se voi tarvittaessa muodostaa muita asiantuntijakokoonpanoja. Se laatii kyseisten asiantuntijakokoonpanojen toimeksiannot ja sille toimitetaan niiden toimintakertomukset.

—	EUH:n turvallisuusosasto vastaa käsiteltävien aiheiden valmistelusta. Puheenjohtaja laatii kutakin kokousta varten ehdotuksen esityslistaksi. Komitean jäsenet voivat ehdottaa muita käsiteltäviä aiheita.

15 artikla

Turvallisuustarkastukset

1. EUH:n turvallisuusviranomainen varmistaa, että EUH:n päätoimipaikassa ja unionin edustustoissa suoritetaan säännöllisesti turvallisuustarkastuksia sen varmistamiseksi, että turvatoimet ovat asianmukaisia ja tämän päätöksen mukaisia. EUH:n turvallisuusosasto voi tarvittaessa nimetä asiantuntijoita, jotka osallistuvat SEU-sopimuksen V osaston 2 luvun nojalla perustettujen EU:n virastojen ja elinten turvallisuustarkastuksiin.

2. EUH:n turvallisuustarkastukset suoritetaan EUH:n turvallisuusosaston johdolla ja tarvittaessa muita EU:n toimielimiä tai jäsenvaltioita edustavien turvallisuusasiantuntijoiden tuella erityisesti 3 artiklan 3 kohdassa tarkoitettujen järjestelyjen yhteydessä.

3. EUH voi tarvittaessa hyödyntää jäsenvaltioiden, neuvoston pääsihteeristön ja komission asiantuntemusta.

Jäsenvaltioiden kolmansissa maissa olevissa lähetystöissä toimivia turvallisuusasiantuntijoita ja/tai jäsenvaltioiden diplomaattipalvelujen turvallisuusosastojen edustajia voidaan kutsua osallistumaan unionin edustustojen turvallisuustarkastuksiin.

4. Tämän artiklan täytäntöönpanosäännökset vahvistetaan EU:n turvallisuusluokiteltujen tietojen osalta liitteessä A III.

16 artikla

Arviointikäynnit

Liitteessä A olevan 10 artiklan 1 kohdan b alakohdassa tarkoitetun hallinnollisen järjestelyn nojalla vaihdettujen EU:n turvallisuusluokiteltujen tietojen suojaamiseksi kolmannessa maassa tai kansainvälisessä järjestössä toteutettujen turvatoimien tehokkuus on varmistettava järjestämällä arviointikäyntejä.

EUH:n turvallisuusosasto voi nimetä asiantuntijoita, jotka osallistuvat sellaisiin kolmansiin maihin tai kansainvälisiin järjestöihin tehtäviin arviointikäynteihin, joiden kanssa EU on tehnyt liitteessä A olevan 10 artiklan 1 kohdan a alakohdassa tarkoitetun tietoturvallisuussopimuksen.

17 artikla

Toiminnan jatkuvuuden suunnittelu

EUH:n turvallisuusosasto avustaa hallintopääjohtajaa EUH:n toiminnan jatkuvuuteen liittyvien turvallisuusnäkökohtien hallinnassa osana yleistä EUH:n toiminnan jatkuvuuden suunnittelua.

18 artikla

Matkustusohjeet EU:n ulkopuolelle suuntautuvia työmatkoja varten

EUH:n turvallisuusosasto varmistaa, että saatavilla on matkustusohjeita EUH:n vastuulla olevan henkilöstön EU:n ulkopuolelle suuntautuvia työmatkoja varten, ja hyödyntää tätä varten kaikkien EUH:n asianomaisten yksiköiden – erityisesti tilannekeskusten, tiedusteluanalyysikeskuksen, maantieteellisten osastojen ja unionin edustustojen – resursseja.

EUH:n turvallisuusosasto antaa pyynnöstä ja edellä mainittuja resursseja hyödyntäen erityisiä matkustusohjeita sellaisia EUH:n vastuulla olevan henkilöstön työmatkoja varten, jotka kohdistuvat kolmansiin maihin, joissa riski on suuri tai kohonnut.

19 artikla

Terveys ja turvallisuus

EUH:n turvallisuussäännöt täydentävät korkean edustajan hyväksymiä terveyden ja turvallisuuden suojelua koskevia EUH:n sääntöjä.

20 artikla

Täytäntöönpano ja tarkastelu

1. EUH:n turvallisuusviranomainen hyväksyy, tarvittaessa EUH:n turvallisuuskomiteaa kuultuaan, turvallisuuspolitiikkoja tai -ohjeita, joissa vahvistetaan näiden sääntöjen täytäntöönpanon EUH:ssa edellyttämät toimet, ja luo tarvittavat valmiudet kaikkien turvallisuuden osa-alueiden kattamiseksi läheisessä yhteistyössä jäsenvaltioiden toimivaltaisten turvallisuusviranomaisten kanssa ja EU:n toimielinten asianomaisten yksikköjen tuella.

2. Euroopan ulkosuhdehallinnon organisaatiosta ja toiminnasta 26 päivänä heinäkuuta 2010 annetun neuvoston päätöksen 2010/427/EU 4 artiklan 5 kohdan mukaisesti voidaan tarvittaessa käyttää siirtymäjärjestelyjä neuvoston pääsihteeristön ja komission asiaankuuluvien yksiköiden kanssa tehtävillä palvelutasosopimuksilla.

3. Korkea edustaja varmistaa, että tätä päätöstä sovelletaan yhdenmukaisesti, ja tarkastelee näitä turvallisuussääntöjä uudelleen.

4. EUH:n turvallisuussäännöt on pantava täytäntöön läheisessä yhteistyössä jäsenvaltioiden toimivaltaisten turvallisuusviranomaisten, neuvoston pääsihteeristön turvallisuusyksikön ja komission henkilöstöhallinnon ja turvallisuuden pääosaston turvallisuusosaston kanssa.

5. EUH varmistaa, että kaikki turvallisuusprosessin näkökohdat otetaan huomioon EUH:n kriisitoimijärjestelmässä.

6. Turvallisuusviranomaisena toimiva hallintopääjohtaja sekä EUH:n turvallisuusosaston päällikkö varmistavat, että tämä päätös pannaan täytäntöön.

21 artikla

Aiempien päätösten korvaaminen

1. Tällä päätöksellä kumotaan ja korvataan Euroopan ulkosuhdehallinnon turvallisuussäännöistä 15 päivänä kesäkuuta 2011 annettu unionin ulkoasioiden ja turvallisuuspolitiikan korkean edustajan päätös (3).

2. Tällä päätöksellä kumotaan ja korvataan Euroopan ulkosuhdehallinnon valtuutetun turvallisuusviranomaisen nimittämisestä ja tehtävistä 23 päivänä helmikuuta 2011 annettu unionin ulkoasioiden ja turvallisuuspolitiikan korkean edustajan päätös.

22 artikla

Loppusäännökset

Tämä päätös tulee voimaan päivänä, jona se allekirjoitetaan.

Se julkaistaan Euroopan unionin virallisessa lehdessä.

EUH:n toimivaltaiset viranomaiset tiedottavat asianmukaisesti ja oikea-aikaisesti kaikille tämän päätöksen ja sen liitteiden soveltamisalaan kuuluville työntekijöille sen sisällöstä, voimaantulosta ja mahdollisista myöhemmistä muutoksista.

Tehty Brysselissä 19 päivänä huhtikuuta 2013.

Korkea edustaja

C. ASHTON

(1) EUVL L 201, 3.8.2010, s. 30.

(2) EUVL C 304, 15.10.2011, s. 7.

(3) EUVL C 304, 15.10.2011, s. 7.

LIITE A

EU:N TURVALLISUUSLUOKITELTUJEN TIETOJEN SUOJAAMISTA KOSKEVAT PERIAATTEET JA VAATIMUKSET

1 artikla

Kohde, soveltamisala ja määritelmät

1. Tässä liitteessä määritellään EU:n turvallisuusluokiteltujen tietojen suojaamista koskevat perusperiaatteet ja vähimmäisvaatimukset.

2. Näitä perusperiaatteita ja vähimmäisvaatimuksia sovelletaan EUH:hon ja tämän päätöksen 1 ja 2 artiklassa tarkoitettuun ja määriteltyyn EUH:n vastuulla olevaan henkilöstöön.

2 artikla

EU:n turvallisuusluokiteltujen tietojen määritelmä sekä turvallisuusluokat ja merkinnät

1. ’EU:n turvallisuusluokitelluilla tiedoilla’ tarkoitetaan mitä tahansa tietoja tai aineistoja, joille on määritelty EU:n turvallisuusluokka ja joiden luvaton ilmitulo saattaisi vaihtelevassa määrin vahingoittaa Euroopan unionin tai yhden tai useamman jäsenvaltion etuja.

2. EU:n turvallisuusluokitellut tiedot jaetaan seuraaviin turvallisuusluokkiin:

(a)	TRES SECRET UE/EU TOP SECRET: tiedot ja aineistot, joiden luvaton ilmitulo saattaisi vahingoittaa poikkeuksellisen vakavasti Euroopan unionin tai yhden tai useamman jäsenvaltion olennaisia etuja.

(b)	SECRET UE/EU SECRET: tiedot ja aineistot, joiden luvaton ilmitulo saattaisi vahingoittaa vakavasti Euroopan unionin tai yhden tai useamman jäsenvaltion olennaisia etuja.

(c)	CONFIDENTIEL UE/EU CONFIDENTIAL: tiedot ja aineistot, joiden luvaton ilmitulo saattaisi vahingoittaa Euroopan unionin tai yhden tai useamman jäsenvaltion olennaisia etuja.

(d)	RESTREINT UE/EU RESTRICTED: tiedot ja aineistot, joiden luvattomasta ilmitulosta saattaisi olla haittaa Euroopan unionin tai yhden tai useamman jäsenvaltion eduille.

3. EU:n turvallisuusluokiteltuihin tietoihin lisätään turvallisuusluokitusmerkintä 2 kohdan mukaisesti. Niissä voi olla myös muita merkintöjä, jotka liittyvät toimialaan, jota tiedot koskevat, tai joilla ilmoitetaan luovuttaja, rajoitetaan jakelua, rajoitetaan käyttöä tai ilmoitetaan luovutettavuus.

3 artikla

Turvallisuusluokittelun hallinnointi

1. EUH:n on varmistettava, että EU:n turvallisuusluokitellut tiedot on asianmukaisesti turvallisuusluokiteltu, että ne on selkeästi määritelty turvallisuusluokitelluiksi tiedoiksi ja että niiden turvallisuusluokka säilytetään vain niin kauan kuin se on tarpeen.

2. EU:n turvallisuusluokiteltujen tietojen turvallisuusluokkaa ei saa alentaa eikä poistaa eikä niissä olevia 2 artiklan 3 kohdassa tarkoitettuja merkintöjä saa muuttaa eikä poistaa ilman tietojen luovuttajan kirjallista etukäteissuostumusta.

3. EUH:n turvallisuusviranomainen hyväksyy EUH:n turvallisuuskomiteaa tämän päätöksen 14 artiklan 5 kohdan mukaisesti kuultuaan EU:n turvallisuusluokiteltujen tietojen tuottamisessa noudatettavan turvallisuuspolitiikan ja käytännön turvallisuusluokitusoppaan.

4 artikla

Turvallisuusluokiteltujen tietojen suojaaminen

1. EU:n turvallisuusluokiteltujen tietojen suojaamisessa on noudatettava tätä päätöstä.

2. Minkä tahansa EU:n turvallisuusluokitellun tiedon haltija on vastuussa sen suojaamisesta tämän päätöksen mukaisesti.

3. Jäsenvaltioiden tuodessa EUH:n rakenteisiin tai verkostoihin turvallisuusluokiteltuja tietoja, joissa on kansallinen turvallisuusluokitusmerkintä, EUH noudattaa kyseisten tietojen suojaamisessa vastaavan tason EU:n turvallisuusluokiteltuihin tietoihin sovellettavia vaatimuksia turvallisuussäännöistä EU:n turvallisuusluokiteltujen tietojen suojaamiseksi 31 päivänä maaliskuuta 2011 tehdyn neuvoston päätöksen 2011/292/EU lisäyksessä B olevan turvallisuusluokkien vastaavuustaulukon mukaisesti.

EUH ottaa käyttöön asianmukaiset menettelyt pitääkseen tarkkaa rekisteriä

—	EUH:n vastaanottamien turvallisuusluokiteltujen tietojen luovuttajista; ja

—	EUH:sta peräisin oleviin turvallisuusluokiteltuihin tietoihin sisältyvän lähdeaineiston luovuttajista.

EUH:n turvallisuuskomitealle tiedotetaan näistä menettelyistä.

4. Jos EU:n turvallisuusluokiteltuja tietoja on suuria määriä tai jos niitä kootaan, ne voivat edellyttää yksittäisten tietojen turvallisuusluokkaa korkeampaan turvallisuusluokkaan sovellettavaa suojaa.

5 artikla

Henkilöstöturvallisuus EU:n turvallisuusluokiteltujen tietojen käsittelyssä

1. Henkilöstöturvallisuudella tarkoitetaan toimenpiteitä sen varmistamiseksi, että pääsy EU:n turvallisuusluokiteltuihin tietoihin myönnetään ainoastaan henkilöille

—	joilla on tiedonsaantitarve;

—	joille on tehty asianmukainen turvallisuusselvitys tai joilla on tehtäviensä vuoksi muu kansallisten lakien ja asetusten mukainen asianmukainen valtuutus päästä käsiksi CONFIDENTIEL UE/EU CONFIDENTIAL tai sitä korkeamman turvallisuusluokan tietoihin;

—	joille on tiedotettu heidän vastuustaan.

2. Henkilöturvallisuusselvitystä koskevien menettelyjen tarkoituksena on selvittää, voidaanko henkilölle myöntää pääsy EU:n turvallisuusluokiteltuihin tietoihin hänen lojaaliutensa, rehellisyytensä ja luotettavuutensa huomioon ottaen.

3. Kaikille henkilöille on selvitettävä heidän vastuunsa suojata EU:n turvallisuusluokitellut tiedot tämän päätöksen mukaisesti ja heidän on tunnustettava tämä vastuu kirjallisesti ennen kuin heille myönnetään pääsy EU:n turvallisuusluokiteltuihin tietoihin; tämä on uusittava säännöllisin väliajoin.

4. Tämän artiklan täytäntöönpanosäännökset vahvistetaan liitteessä A I.

6 artikla

EU:n turvallisuusluokiteltujen tietojen fyysinen turvallisuus

1. Fyysisellä turvallisuudella tarkoitetaan fyysisten ja teknisten suojatoimenpiteiden toteuttamista niin, että estetään luvaton pääsy EU:n turvallisuusluokiteltuihin tietoihin.

2. Fyysisten turvatoimien tarkoituksena on estää salaa tai väkisin tapahtuva tunkeutuminen, ehkäistä, estää ja havaita luvattomat toimet sekä mahdollistaa tiedonsaantitarpeeseen perustuva henkilöstön erittely pääsyssä EU:n turvallisuusluokiteltuihin tietoihin. Tällaiset toimet on määriteltävä riskinhallintaprosessin perusteella.

3. Fyysiset turvatoimet on toteutettava kaikissa tiloissa, rakennuksissa, toimistoissa, huoneissa ja muissa paikoissa, joissa EU:n turvallisuusluokiteltuja tietoja käsitellään tai säilytetään, 8 artiklan 2 kohdassa määritellyt viestintä- ja tietojärjestelmien sijoitusalueet mukaan luettuina.

4. Alueet, joilla säilytetään CONFIDENTIEL UE/EU CONFIDENTIAL tai sitä korkeamman tason EU:n turvallisuusluokiteltuja tietoja, on määriteltävä turva-alueiksi liitteen A II mukaisesti, ja EUH:n turvallisuusviranomaisen on hyväksyttävä ne.

5. CONFIDENTIEL UE/EU CONFIDENTIAL tai sitä korkeamman tason EU:n turvallisuusluokiteltujen tietojen suojaamiseen saa käyttää vain hyväksyttyjä välineitä tai laitteita.

6. Tämän artiklan täytäntöönpanosäännökset vahvistetaan liitteessä A II.

7 artikla

Turvallisuusluokiteltujen tietojen hallinnointi

1. Turvallisuusluokiteltujen tietojen hallinnoinnilla tarkoitetaan hallinnollisten toimenpiteiden soveltamista EU:n turvallisuusluokiteltujen tietojen valvomiseksi koko niiden elinkaaren ajan niin, että täydennetään 5, 6 ja 8 artiklassa säädettyjä toimenpiteitä ja siten autetaan estämään ja havaitsemaan tällaisten tietojen tahallinen tai tahaton vaarantuminen tai katoaminen sekä korjaamaan vaarantumis- tai katoamistilanne. Tällaiset toimenpiteet liittyvät erityisesti EU:n turvallisuusluokiteltujen tietojen tuottamiseen, kirjaamiseen, jäljentämiseen, kääntämiseen, kuljettamiseen, käsittelyyn, säilyttämiseen ja hävittämiseen.

2. CONFIDENTIEL UE/EU CONFIDENTIAL- tai sitä korkeamman turvallisuusluokan tiedot on turvallisuussyistä kirjattava ennen niiden jakelua ja niiden vastaanottamisen yhteydessä. EUH:n toimivaltaisten viranomaisten on perustettava tätä varten kirjaamisjärjestelmä. TRÈS SECRET UE/EU TOP SECRET -turvallisuusluokan tiedot on kirjattava niille tarkoitetuissa kirjaamoissa.

3. EUH:n turvallisuusviranomaisen on tarkastettava säännöllisin väliajoin yksiköt ja tilat, joissa käsitellään tai säilytetään EU:n turvallisuusluokiteltuja tietoja.

4. EU:n turvallisuusluokiteltujen tietojen siirtämisessä yksiköiden ja tilojen välillä fyysisesti suojattujen alueiden ulkopuolella on noudatettava seuraavaa:

(a)	Yleisenä sääntönä on, että EU:n turvallisuusluokitellut tiedot on siirrettävä sähköisillä välineillä, jotka on suojattu tämän päätöksen 7 artiklan 5 kohdan mukaisesti hyväksytyillä salaustuotteilla ja selvästi määriteltyjä turvallisuusmenettelyjä noudattaen.

(b)

Jos a alakohdassa tarkoitettuja välineitä ei käytetä, EU:n turvallisuusluokitellut tiedot on kuljetettava joko

(i)	tämän päätöksen 7 artiklan 5 kohdan mukaisesti hyväksytyillä salaustuotteilla suojatuilla sähköisillä välineillä (kuten USB-muistitikut, CD-levyt, kiintolevyt); tai

(ii)	kaikissa muissa tapauksissa EUH:n turvallisuusviranomaisen antamien ohjeiden ja liitteessä A III olevassa V jaksossa säädettyjen suojatoimenpiteiden mukaisesti.

5. Tämän artiklan täytäntöönpanosäännökset vahvistetaan liitteessä A III.

8 artikla

Viestintä- ja tietojärjestelmissä käsiteltävien EU:n turvallisuusluokiteltujen tietojen suojaaminen

1. Tietojen turvaamisella tarkoitetaan viestintä- ja tietojärjestelmien alalla varmuutta siitä, että kyseiset järjestelmät suojaavat tiedot, joita niissä käsitellään, ja toimivat tarkoituksenmukaisella tavalla, oikeaan aikaan ja oikeutettujen käyttäjien valvonnassa. Tehokkaalla tietojen turvaamisella varmistetaan asianmukainen luottamuksellisuuden, eheyden, saatavuuden, kiistattomuuden ja aitouden taso. Tietojen turvaaminen perustuu riskinhallintaprosessiin.

2. ’Viestintä- ja tietojärjestelmällä’ tarkoitetaan järjestelmää, joka mahdollistaa tietojen käsittelyn sähköisessä muodossa. Viestintä- ja tietojärjestelmä käsittää kaikki toimintansa kannalta tarpeelliset resurssit, myös infrastruktuurin, organisaation, henkilöstön ja tietoresurssit. Tätä liitettä sovelletaan kaikkiin EUH:n viestintä- ja tietojärjestelmiin, joissa käsitellään EU:n turvallisuusluokiteltuja tietoja.

3. Viestintä- ja tietojärjestelmissä on käsiteltävä EU:n turvallisuusluokiteltuja tietoja tietojen turvaamisen periaatteen mukaisesti.

4. Kaikkien viestintä- ja tietojärjestelmien, joissa käsitellään EU:n turvallisuusluokiteltuja tietoja, on läpikäytävä hyväksymisprosessi. Hyväksymisellä pyritään varmistamaan, että kaikki asiaankuuluvat turvatoimet on pantu täytäntöön ja että on saavutettu riittävä EU:n turvallisuusluokiteltujen tietojen ja viestintä- ja tietojärjestelmän suojaustaso tämän päätöksen säännösten mukaisesti. Hyväksymislausunnossa on määriteltävä niiden tietojen korkein sallittu turvallisuusluokka, joita viestintä- ja tietojärjestelmässä voidaan käsitellä, ja sitä koskevat ehdot ja edellytykset.

5. Viestintä- ja tietojärjestelmät, joissa käsitellään CONFIDENTIEL UE/EU CONFIDENTIAL- ja sitä korkeamman turvallisuusluokan tietoja, on suojattava niin, etteivät tahattomat sähkömagneettiset vuodot vaaranna tietoja (TEMPEST-turvatoimet).

6. Jos EU:n turvallisuusluokiteltujen tietojen suojaamiseen käytetään salaustuotteita, tällaiset tuotteet on hyväksyttävä tämän päätöksen 7 artiklan 5 kohdan mukaisesti.

7. EU:n turvallisuusluokiteltuja tietoja sähköisesti lähetettäessä on käytettävä hyväksyttyjä salaustuotteita. Tästä vaatimuksesta poiketen poikkeuksellisissa olosuhteissa tai tiettyjen liitteessä A IV säädettyjen teknisten määritysten osalta voidaan soveltaa erityisiä menettelyjä.

8. Tämän päätöksen 7 artiklan 6 kohdan nojalla perustetaan tarpeen mukaan seuraavat tiedonturvaamistoimet:

(a)	tiedonturvaamisviranomainen;

(b)	TEMPEST-viranomainen;

(c)	salauslaitteiden hyväksyntäviranomainen;

(d)	salatun aineiston jakelusta vastaava viranomainen.

9. Tämän päätöksen 7 artiklan 7 kohdan nojalla kutakin järjestelmää varten perustetaan

(a)	turvallisuusjärjestelyjen hyväksyntäviranomainen;

(b)	operatiivinen tiedonturvaamisviranomainen.

10. Tämän artiklan täytäntöönpanosäännökset vahvistetaan liitteessä A IV.

9 artikla

Yhteisöturvallisuus

1. Yhteisöturvallisuudella tarkoitetaan toimenpiteiden toteuttamista sen varmistamiseksi, että hankeosapuolet tai alihankkijat varmistavat EU:n turvallisuusluokiteltujen tietojen suojaamisen sopimusta edeltävissä neuvotteluissa ja turvallisuusluokiteltujen sopimusten koko elinkaaren ajan. Yleensä kyseisiin sopimuksiin ei saa kuulua pääsyä TRES SECRET UE/EU TOP SECRET -turvallisuusluokan tietoihin.

2. EUH voi antaa jäsenvaltioon tai sellaiseen kolmanteen maahan, jonka kanssa on tehty liitteessä A olevan 10 artiklan 1 kohdan mukainen tietoturvallisuussopimus tai hallinnollinen järjestely, rekisteröidyille yrityksille tai muille yhteisöille sopimuksella toimeksiantoja, joihin sisältyy tai liittyy pääsy EU:n turvallisuusluokiteltuihin tietoihin tai niiden käsittelyä tai säilyttämistä.

3. EUH:n on hankeviranomaisena varmistettava, että tässä päätöksessä säädettyjä ja sopimuksessa tarkoitettuja yhteisöturvallisuutta koskevia vähimmäisvaatimuksia noudatetaan tehtäessä turvallisuusluokiteltuja sopimuksia yritysten tai muiden yhteisöjen kanssa. Se varmistaa tällaisten vähimmäisvaatimusten noudattamisen asianomaisen kansallisen turvallisuusviranomaisen tai nimetyn turvallisuusviranomaisen avulla.

4. Jäsenvaltioon rekisteröidyillä hankeosapuolilla tai alihankkijoilla, jotka ovat osapuolina turvallisuusluokitelluissa sopimuksissa tai alihankintasopimuksissa, jotka edellyttävät CONFIDENTIEL UE/EU CONFIDENTIAL- tai SECRET UE/EU SECRET -turvallisuusluokan tietojen käsittelyä ja säilyttämistä niiden toimitiloissa joko sopimuksen toimeenpanovaiheessa tai sopimusta edeltävässä vaiheessa, on oltava kansallisen turvallisuusviranomaisen, nimetyn turvallisuusviranomaisen tai muun kyseisen jäsenvaltion toimivaltaisen viranomaisen myöntämä asiaankuuluvan turvallisuusluokitustason yhteisöturvallisuusselvitys.

5. Hankeosapuolen tai alihankkijan henkilöstöllä, jolla on oltava pääsy CONFIDENTIEL UE/EU CONFIDENTIAL- tai SECRET UE/EU SECRET -turvallisuusluokan tietoihin turvallisuusluokitellun sopimuksen toimeenpanemiseksi, on oltava asianomaisen kansallisen tai nimetyn turvallisuusviranomaisen tai muun toimivaltaisen turvallisuusviranomaisen kansallisten lakien ja asetusten sekä liitteessä A I säädettyjen vähimmäisvaatimusten mukaisesti myöntämä henkilöturvallisuusselvitys.

6. Tämän artiklan täytäntöönpanosäännökset vahvistetaan liitteessä A V.

10 artikla

Turvallisuusluokiteltujen tietojen vaihto kolmansien maiden ja kansainvälisten järjestöjen kanssa

1. EUH voi vaihtaa EU:n turvallisuusluokiteltuja tietoja kolmannen maan tai kansainvälisen järjestön kanssa vain, jos

(a)	EU:n ja kyseisen kolmannen maan tai kansainvälisen järjestön välillä on voimassa oleva, SEU-sopimuksen 37 artiklan ja SEUT-sopimuksen 218 artiklan mukaisesti tehty tietoturvallisuussopimus;

(b)

korkean edustajan ja kyseisen kolmannen maan tai kansainvälisen järjestön välinen, tämän päätöksen 14 artiklan 5 kohdan mukaisesti tehty hallinnollinen järjestely periaatteessa korkeintaan RESTREINT UE/EU RESTRICTED -turvallisuusluokkaan kuuluvien turvallisuusluokiteltujen tietojen vaihtamiseksi on tullut voimaan; tai

(c)	jos sovelletaan YTPP-kriisinhallintaoperaation yhteydessä EU:n ja kyseisen kolmannen maan tai kansainvälisen järjestön välillä SEU-sopimuksen 37 artiklan ja SEUT-sopimuksen 218 artiklan mukaisesti tehtyä osallistumista koskevaa puitesopimusta tai erillissopimusta;

ja kyseisessä asiakirjassa vahvistetut edellytykset täyttyvät.

Edellä esitetyn yleissäännön poikkeuksista säädetään liitteessä A VI olevassa V jaksossa.

2. Edellä 1 kohdan b alakohdassa tarkoitettuihin hallinnollisiin järjestelyihin on sisällytettävä määräyksiä, joilla varmistetaan, että kolmansien maiden tai kansainvälisten järjestöjen vastaanottaessa EU:n turvallisuusluokiteltuja tietoja kyseiset tiedot suojataan niiden turvallisuusluokan edellyttämällä tavalla ja tasoltaan vähintään tässä päätöksessä vahvistettuja vähimmäisvaatimuksia vastaavien vaatimusten mukaisesti.

Edellä 1 kohdan c alakohdassa tarkoitettujen sopimusten nojalla vaihdetut tiedot rajataan tietoihin, jotka koskevat YTPP-operaatioita, joihin kyseinen kolmas maa osallistuu kyseisten sopimusten nojalla ja niiden määräysten mukaisesti.

3. Vaihdettujen EU:n turvallisuusluokiteltujen tietojen suojaamiseksi kolmannessa maassa tai kansainvälisessä järjestössä toteutettujen turvatoimien tehokkuus on varmistettava järjestämällä tämän päätöksen 16 artiklassa tarkoitettuja arviointikäyntejä.

4. Päätös EUH:n hallussa olevien EU:n turvallisuusluokiteltujen tietojen luovuttamisesta kolmannelle maalle tai kansainväliselle järjestölle tehdään tapauskohtaisesti kyseisten tietojen luonteen ja sisällön, vastaanottajan tiedonsaantitarpeen ja EU:lle koituvan edun perusteella.

EUH:n on saatava turvallisuusluokiteltuja tietoja EUH:sta peräisin olevien EU:n turvallisuusluokiteltujen tietojen lähdeaineistoksi toimittaneen yhteisön kirjallinen suostumus, jotta varmistetaan, ettei luovuttamiselle ole esteitä.

Jos luovutuspyynnön kohteena olevien turvallisuusluokiteltujen tietojen luovuttaja ei ole EUH, EUH:n on ensin saatava tietojen luovuttajan kirjallinen suostumus luovutukselle.

Jos EUH ei kuitenkaan voi selvittää, kuka on luovuttaja, EUH:n turvallisuusviranomainen ottaa luovuttajan vastuun itselleen saatuaan EUH:n turvallisuuskomiteassa edustettuina olevien jäsenvaltioiden yksimielisen puoltavan lausunnon.

5. Tämän artiklan täytäntöönpanosäännökset vahvistetaan liitteessä A VI.

11 artikla

Tietoturvaloukkaukset ja turvallisuusluokiteltujen tietojen vaarantuminen

1. Tapahtuneesta tai epäillystä tietoturvaloukkauksesta ja turvallisuusluokiteltujen tietojen vaarantumisesta on ilmoitettava välittömästi EUH:n turvallisuusosastolle, joka ilmoittaa siitä tapauksen mukaan komission henkilöstöhallinnon ja turvallisuuden pääosaston turvallisuusosastolle, neuvoston pääsihteeristön turvallisuusyksikölle, asianomaiselle/asianomaisille jäsenvaltio(i)lle tai muille asianomaisille toimijoille.

2. Jos turvallisuusluokiteltujen tietojen tiedetään tai voidaan perustellusti epäillä vaarantuneen tai kadonneen, EUH:n turvallisuusosasto ilmoittaa tästä tapauksen mukaan komission henkilöstöhallinnon ja turvallisuuden pääosaston turvallisuusosastolle, neuvoston pääsihteeristön turvallisuusyksikölle tai asianomais(t)en jäsenvaltio(ide)n kansallisille turvallisuusviranomaisille tai muille asianomaisille toimijoille ja toteuttaa kaikki asiaankuuluvien lakien ja asetusten mukaiset tarpeelliset toimenpiteet

(a)	arvioidakseen EU:n tai jäsenvaltioiden eduille aiheutuneen mahdollisen vahingon;

(b)	toteuttaakseen tarvittavat toimenpiteet tapahtuneen toistumisen estämiseksi;

(c)	säilyttääkseen todistusaineiston;

(d)	varmistaakseen, että henkilöstö, joka ei ole välittömästi tekemisissä tietoturvaloukkauksen kanssa, tutkii tapauksen tosiasioiden selvittämiseksi;

(e)	ilmoittaakseen asianmukaisille viranomaisille tapahtuneen vaikutuksista ja toteutetuista toimista; ja

(f)	ilmoittaakseen tietojen luovuttajalle.

3. EUH:n vastuulla olevan henkilöstön jäsenelle, joka on vastuussa tässä päätöksessä säädettyjen turvallisuussääntöjen rikkomisesta, voidaan määrätä kurinpitoseuraamus asiassa sovellettavien sääntöjen ja määräysten mukaisesti.

Henkilöön, joka on aiheuttanut turvallisuusluokiteltujen tietojen vaarantumisen tai katoamisen, voidaan kohdistaa kurinpidollisia ja/tai oikeudellisia seuraamuksia asiassa sovellettavien lakien, sääntöjen ja määräysten mukaisesti.

Tästä on ilmoitettava välittömästi tapauksen mukaan komission henkilöstöhallinnon ja turvallisuuden pääosaston turvallisuusosastolle, neuvoston pääsihteeristön turvallisuusyksikölle tai asianomais(te)n jäsenvaltio(ide)n kansallisille turvallisuusviranomaisille tai muille asianomaisille toimijoille.

4. Tietoturvaloukkauksen ja/tai turvallisuusluokiteltujen tietojen vaarantumisen tutkinnan ollessa käynnissä EUH:n turvallisuusosaston päällikkö voi tilapäisesti peruuttaa henkilön pääsyn EU:n turvallisuusluokiteltuihin tietoihin ja EUH:n tiloihin. Tällaisesta päätöksestä on ilmoitettava välittömästi komission henkilöstöhallinnon ja turvallisuuden pääosaston turvallisuusosastolle, neuvoston pääsihteeristön turvallisuusyksikölle tai asianomais(t)en jäsenvaltio(ide)n kansallisille turvallisuusviranomaisille tai muille asianomaisille toimijoille.

LIITE A I

HENKILÖSTÖTURVALLISUUS

I JOHDANTO

Tässä liitteessä vahvistetaan liitteessä A olevan 5 artiklan täytäntöönpanosäännökset. Siinä säädetään erityisesti perusteista, joita EUH:n on sovellettava sen päättämiseksi, voidaanko henkilölle hänen lojaaliutensa, rehellisyytensä ja luotettavuutensa huomioon ottaen myöntää pääsy EU:n turvallisuusluokiteltuihin tietoihin, sekä asiassa noudatettavista tutkinta- ja hallinnollisista menettelyistä.

’Henkilöturvallisuusselvitys’ EU:n turvallisuusluokiteltujen tietojen saamista varten on jäsenvaltion toimivaltaisen viranomaisen lausunto, joka annetaan jäsenvaltion toimivaltaisten viranomaisten tekemän turvallisuustutkinnan jälkeen ja jonka nojalla henkilölle voidaan myöntää oikeus saada EU:n turvallisuusluokiteltuja tietoja määrättyyn turvallisuusluokkaan (CONFIDENTIEL UE/EU CONFIDENTIAL tai korkeampi) ja tiettyyn päivämäärään saakka edellyttäen, että hänen tiedonsaantitarpeensa on todettu; tällaisen henkilön sanotaan olevan ”turvallisuusselvitetty”.

’Henkilöturvallisuusselvitykseen perustuvalla todistuksella’ tarkoitetaan EUH:n turvallisuusviranomaisen antamaa todistusta, jossa todetaan henkilön olevan turvallisuusselvitetty ja josta käy ilmi turvallisuusluokka, johon kuuluvien EU:n turvallisuusluokiteltujen tietojen saamiseen asianomaiselle henkilölle voidaan myöntää oikeus, asiaankuuluvan henkilöturvallisuusselvityksen voimassaoloaika ja itse todistuksen voimassaolon päättymispäivä.

’Lupa saada EU:n turvallisuusluokiteltuja tietoja’ on EUH:n turvallisuusviranomaisen myöntämä lupa, joka annetaan tämän päätöksen mukaisesti ja jäsenvaltion toimivaltaisten viranomaisten tekemän henkilöturvallisuusselvityksen jälkeen ja jonka nojalla henkilölle voidaan myöntää oikeus saada EU:n turvallisuusluokiteltuja tietoja määrättyyn turvallisuusluokkaan (CONFIDENTIEL UE/EU CONFIDENTIAL tai korkeampi) ja tiettyyn päivämäärään saakka edellyttäen, että hänen tiedonsaantitarpeensa on todettu; tällaisen henkilön sanotaan olevan ”turvallisuusselvitetty”.

II PÄÄSYN MYÖNTÄMINEN EU:N TURVALLISUUSLUOKITELTUIHIN TIETOIHIN

Pääsy RESTREINT UE/EU RESTRICTED -turvallisuusluokiteltuihin tietoihin ei edellytä turvallisuusselvitystä, ja se myönnetään sen jälkeen, kun

(a)	henkilön lakisääteinen tai sopimussuhde EUH:hon on todettu;

(b)	hänen tiedonsaantitarpeensa on selvitetty;

(c)	hänelle on selvitetty EU:n turvallisuusluokiteltujen tietojen suojaamista koskevat turvallisuussäännöt ja -menettelyt ja hän on tunnustanut kirjallisesti tällaisten tietojen suojaamista koskevan vastuunsa tämän päätöksen mukaisesti.

Henkilölle voidaan myöntää pääsy CONFIDENTIEL UE/EU CONFIDENTIAL- tai sitä korkeamman turvallisuusluokan tietoihin vasta sen jälkeen, kun

(a)	hänen tiedonsaantitarpeensa on selvitetty;

(b)	hänelle on myönnetty asianmukaisen tason henkilöturvallisuusselvitys tai hänet on muulla tavoin tehtäviensä vuoksi asianmukaisesti valtuutettu kansallisten lakien ja asetusten mukaisesti; ja

(c)	hänelle on selvitetty EU:n turvallisuusluokiteltujen tietojen suojaamista koskevat turvallisuussäännöt ja -menettelyt ja hän on tunnustanut kirjallisesti tällaisten tietojen suojaamista koskevan vastuunsa.

EUH:n on määritettävä rakenteissaan ne tehtävät, jotka edellyttävät pääsyä CONFIDENTIEL UE/EU CONFIDENTIAL- tai sitä korkeamman turvallisuusluokan tietoihin ja siksi edellä 4 artiklassa tarkoitettua asiaankuuluvan tason turvallisuusselvitystä.

EUH:n henkilöstön jäsenien on ilmoitettava, onko heillä useamman kuin yhden maan kansalaisuus.

Henkilöturvallisuusselvityspyyntöjä koskevat menettelyt EUH:ssa

EUH:n henkilöstön osalta EUH:n nimittävä viranomainen toimittaa henkilöstöturvallisuutta koskevan kyselylomakkeen täytettynä sen jäsenvaltion kansalliselle turvallisuusviranomaiselle, jonka kansalainen asianomainen henkilö on, ja pyytää turvallisuustutkinnan tekemistä EU:n turvallisuusluokiteltujen tietojen sen luokan osalta, johon henkilön on tarpeen päästä.

10.

Jos henkilöllä on useamman kuin yhden maan kansalaisuus, turvallisuustutkintapyyntö osoitetaan sen maan kansalliselle turvallisuusviranomaiselle, jonka kansalaisena henkilö on otettu palvelukseen.

11.

Jos EUH:n tietoon tulee turvallisuustutkinnan kannalta merkityksellisiä tietoja henkilöstä, joka on hakenut henkilöturvallisuusselvitystä, EUH:n on ilmoitettava siitä asianomaiselle kansalliselle turvallisuusviranomaiselle asiaankuuluvien sääntöjen ja määräysten mukaisesti.

12.

Turvallisuustutkinnan valmistuttua asiaankuuluvan kansallisen turvallisuusviranomaisen on annettava tutkinnan tulokset EUH:n turvallisuusosastolle tiedoksi.

(a)

Jos turvallisuustutkinnan päätteeksi annetaan lausunto siitä, ettei henkilöstä ole tiedossa mitään sellaista kielteistä seikkaa, jonka perusteella voitaisiin epäillä hänen lojaaliuttaan, rehellisyyttään ja luotettavuuttaan, EUH:n turvallisuusviranomainen voi myöntää asianomaiselle henkilölle pääsyn EU:n turvallisuusluokiteltuihin tietoihin asiaankuuluvaan turvallisuusluokkaan ja määrättyyn päivään asti.

(b)	EUH toteuttaa kaikki tarvittavat toimenpiteet varmistaakseen, että kansallisen turvallisuusviranomaisen asettamia ehtoja tai rajoituksia noudatetaan asianmukaisesti. Kansalliselle turvallisuusviranomaiselle ilmoitetaan tuloksesta.

(c)

Jos turvallisuustutkinnan päätteeksi ei anneta tällaista lausuntoa, EUH:n turvallisuusviranomainen ilmoittaa siitä asianomaiselle henkilölle, joka voi pyytää, että EUH:n turvallisuusviranomainen kuulee häntä. EUH:n turvallisuusviranomainen voi pyytää mahdollista lisäselvitystä toimivaltaiselta kansalliselta turvallisuusviranomaiselta sen kansallisten lakien ja asetusten mukaisesti. Jos tulos vahvistetaan, lupaa saada EU:n turvallisuusluokiteltuja tietoja ei myönnetä. Siinä tapauksessa EUH toteuttaa kaikki tarvittavat toimenpiteet varmistaakseen, että hakijalta evätään pääsy EU:n turvallisuusluokiteltuihin tietoihin.

13.

Turvallisuustutkintaan ja sen tuloksiin, joiden perusteella EUH päättää, myöntääkö se luvan EU:n turvallisuusluokiteltujen tietojen saamista varten, sovelletaan kyseisessä jäsenvaltiossa voimassa olevia asiaa koskevia lakeja ja asetuksia, myös muutoksenhakua koskevia säädöksiä. EUH:n turvallisuusviranomaisen päätöksiin voi hakea muutosta neuvoston asetuksessa (ETY, Euratom, EHTY) N:o 259/68 (1) säädettyjen Euroopan unionin virkamiehiin sovellettavien henkilöstösääntöjen ja Euroopan unionin muuhun henkilöstöön sovellettavien palvelussuhteen ehtojen (jäljempänä ’henkilöstösäännöt’) mukaisesti.

14.

Henkilöturvallisuusselvityksen on katettava kaikki asianomaisen henkilön EUH:ssa, neuvoston pääsihteeristössä tai komissiossa suorittamat tehtävät edellyttäen, että turvallisuusselvityksen perustana oleva lausunto on edelleen pätevä.

15.

Jos henkilön palvelusaika ei ala 12 kuukauden kuluessa siitä, kun turvallisuustutkinnan tulokset on annettu tiedoksi EUH:n turvallisuusviranomaiselle, tai jos henkilön palveluksessaolo keskeytyy vähintään 12 kuukaudeksi eikä hän sinä aikana ole EUH:n eikä minkään muun EU:n toimielimen, viraston tai elimen eikä minkään jäsenvaltion kansallisen hallinnon palveluksessa tehtävissä, jotka edellyttävät pääsyä turvallisuusluokiteltuihin tietoihin, tuloksista on otettava yhteyttä asiaankuuluvaan kansalliseen turvallisuusviranomaiseen niiden voimassapysymisen ja asianmukaisuuden vahvistamiseksi.

16.

Jos EUH:n tietoon tulee, että voimassa olevan henkilöturvallisuusselvityksen haltija saattaa aiheuttaa turvallisuusriskin, EUH:n on ilmoitettava siitä asianomaiselle kansalliselle turvallisuusviranomaiselle asiaankuuluvien sääntöjen ja määräysten mukaisesti. Jos kansallinen turvallisuusviranomainen ilmoittaa EUH:lle voimassa olevan EU:n turvallisuusluokiteltujen tietojen saantiluvan haltijalle 12 kohdan a alakohdan mukaisesti annetun lausunnon peruuttamisesta, EUH:n turvallisuusviranomainen voi pyytää selvennystä, jonka kansallinen turvallisuusviranomainen voi antaa jäsenvaltionsa lakien ja asetusten mukaisesti. Jos kielteinen seikka vahvistetaan, edellä mainittu lupa on peruutettava, henkilöltä on evättävä pääsy EU:n turvallisuusluokiteltuihin tietoihin ja hänet on siirrettävä pois tehtävistä, joissa niihin pääsy on mahdollista tai joissa turvallisuus voisi hänen vuokseen vaarantua.

17.

Kaikki EUH:n henkilöstön jäsenen EU:n turvallisuusluokiteltujen tietojen saantiluvan peruuttamista koskevat päätökset ja tapauksen mukaan niiden perusteet on annettava tiedoksi asianomaiselle henkilölle, joka voi pyytää, että EUH:n turvallisuusviranomainen kuulee häntä. Kansallisen turvallisuusviranomaisen toimittamiin tietoihin sovelletaan kyseisessä jäsenvaltiossa voimassa olevia asiaa koskevia lakeja ja asetuksia, myös muutoksenhakua koskevia säädöksiä. EUH:n turvallisuusviranomaisen päätöksiin voi hakea muutosta henkilöstösääntöjen mukaisesti.

18.

Kansallisten asiantuntijoiden, jotka lähetetään EUH:hon CONFIDENTIEL UE/EU CONFIDENTIAL- tai sitä korkeamman turvallisuusluokan tietoihin pääsyä edellyttäviin tehtäviin, on esitettävä EUH:n turvallisuusviranomaiselle voimassa oleva asianmukaisen tason henkilöturvallisuusselvitys EU:n turvallisuusluokiteltuihin tietoihin pääsemistä varten ennen tehtäviensä aloittamista. Edellä mainittua prosessia hallinnoi lähettävä jäsenvaltio.

Henkilöturvallisuusselvityksiä koskevat rekisterit

19.

EUH ylläpitää tietokantaa kaikkien EUH:n vastuulla olevan henkilöstön jäsenten ja EUH:n hankeosapuolten työntekijöiden turvallisuusselvityksistä. Tähän rekisteriin on merkittävä turvallisuusluokka, johon kuuluviin EU:n turvallisuusluokiteltuihin tietoihin henkilölle voidaan myöntää pääsy (CONFIDENTIEL UE/EU CONFIDENTIAL tai korkeampi), henkilöturvallisuusselvityksen myöntämispäivä ja sen voimassaoloaika.

20.

Jäsenvaltioiden sekä muiden EU:n toimielinten, virastojen ja elinten kanssa on otettava käyttöön tarvittavat koordinointimenettelyt, jotta varmistetaan, että EUH:lla on paikkansapitävä ja kattava rekisteri kaikkien EUH:n vastuulla olevan henkilöstön jäsenten ja EUH:n hankeosapuolten työntekijöiden turvallisuusselvityksistä.

21.

EUH:n turvallisuusviranomainen voi antaa henkilöturvallisuusselvitykseen perustuvan todistuksen, josta käyvät ilmi turvallisuusluokka, johon kuuluviin EU:n turvallisuusluokiteltuihin tietoihin asianomaiselle henkilölle voidaan myöntää pääsy (CONFIDENTIEL UE/EU CONFIDENTIAL tai korkeampi), asiaankuuluvan henkilöturvallisuusselvityksen voimassaoloaika ja itse todistuksen voimassaolon päättymispäivä.

Vapautukset henkilöturvallisuusselvitysvaatimuksesta

22.

EUH:n turvallisuusosasto selvittää tarvittaessa henkilöille, joilla on tehtäviensä vuoksi kansallisten lakien ja asetusten mukainen asianmukainen valtuutus päästä EU:n turvallisuusluokiteltuihin tietoihin, heidän turvallisuusvelvoitteensa EU:n turvallisuusluokiteltujen tietojen suojaamisen osalta.

III TURVALLISUUSKOULUTUS JA -TIETOISUUS

23.

Kaikkien henkilöiden on kirjallisesti vakuutettava ymmärtävänsä velvollisuutensa suojata EU:n turvallisuusluokitellut tiedot sekä seuraukset, jos EU:n turvallisuusluokitellut tiedot vaarantuvat, ennen kuin heille myönnetään pääsy EU:n turvallisuusluokiteltuihin tietoihin. EUH rekisteröi tällaiset kirjalliset vakuutukset.

24.

Kaikille henkilöille, joille on myönnetty pääsy EU:n turvallisuusluokiteltuihin tietoihin tai joiden edellytetään käsittelevän niitä, on aluksi selvitettävä turvallisuusuhat ja säännöllisin väliajoin tiedotettava niistä, ja heidän on ilmoitettava välittömästi asianomaisille turvallisuusviranomaisille epäilyttävinä tai epätavanomaisina pitämistään yhteydenotoista tai toimista.

25.

Kaikkiin henkilöihin, joille on myönnetty pääsy EU:n turvallisuusluokiteltuihin tietoihin, on sovellettava jatkuvia henkilöstöturvallisuustoimenpiteitä (ns. jälkihoito) sinä aikana, jona he käsittelevät EU:n turvallisuusluokiteltuja tietoja. Jatkuvasta henkilöturvallisuudesta vastaavat seuraavat toimijat:

Henkilöt, joille on myönnetty pääsy EU:n turvallisuusluokiteltuihin tietoihin: Henkilöt ovat itse vastuussa omasta turvallisuuskäyttäytymisestään, ja heidän on ilmoitettava välittömästi asianomaisille turvallisuusviranomaisille epäilyttävinä tai epätavanomaisina pitämistään yhteydenotoista tai toimista sekä sellaisista henkilökohtaisen tilanteensa muutoksista, jotka saattavat vaikuttaa heidän henkilöturvallisuusselvitykseensä tai EU:n turvallisuusluokiteltujen tietojen saantilupaansa.

Esimiehet: Esimiehet huolehtivat siitä, että heidän henkilöstönsä on tietoinen turvatoimista ja EU:n turvallisuusluokiteltujen tietojen suojaamista koskevasta vastuusta, valvovat henkilöstönsä turvallisuuskäyttäytymistä ja joko puuttuvat itse huolestuttaviin turvallisuuskysymyksiin tai ilmoittavat asianomaisille turvallisuusviranomaisille kaikista kielteisistä seikoista, jotka saattavat vaikuttaa heidän henkilöstönsä henkilöturvallisuusselvityksiin tai lupiin saada EU:n turvallisuusluokiteltuja tietoja.

Tämän päätöksen 12 artiklassa tarkoitetut EUH:n turvallisuusorganisaation toimijat: He vastaavat turvallisuustietoisuutta koskevan ohjeistuksen säännöllisestä antamisesta alueensa henkilöstölle, vahvan turvallisuuskulttuurin luomisesta vastuualueellaan, henkilöstön turvallisuuskäyttäytymistä seuraavien toimenpiteiden toteuttamisesta ja kaikkien sellaisten kielteisten seikkojen ilmoittamisesta asianomaisille turvallisuusviranomaisille, jotka saattavat vaikuttaa jonkun henkilön henkilöturvallisuusselvitykseen.

d)	EUH ja jäsenvaltiot: Ne ottavat käyttöön tarvittavat viestintäkanavat sellaisten tietojen välittämiseksi, jotka saattavat vaikuttaa henkilöiden henkilöturvallisuusselvityksiin tai lupiin saada EU:n turvallisuusluokiteltuja tietoja.

26.

Kaikille henkilöille, jotka siirtyvät pois pääsyä EU:n turvallisuusluokiteltuihin tietoihin edellyttävistä tehtävistä, on selvitettävä heidän velvollisuutensa edelleen suojata EU:n turvallisuusluokitellut tiedot, ja heidän on tarvittaessa annettava siitä kirjallinen vakuutus.

IV POIKKEUKSELLISET OLOSUHTEET

27.

Jos se on EUH:n etujen vuoksi asianmukaisesti perusteltua ja jos täydellistä turvallisuustutkintaa ei ole vielä saatu päätökseen, EUH:n turvallisuusviranomainen voi kiireellisyyssyistä ja kuultuaan sen jäsenvaltion kansallista turvallisuusviranomaista, jonka kansalainen henkilö on, ja riippuen kielteisten seikkojen olemassaoloa koskevien alustavien tarkistusten tuloksista, myöntää EUH:n virkamiehille ja muille työntekijöille tilapäisen valtuutuksen päästä EU:n turvallisuusluokiteltuihin tietoihin tietyn tehtävän suorittamiseksi. Täydellinen turvallisuustutkinta olisi saatettava päätökseen mahdollisimman pian. Tilapäiset valtuutukset ovat voimassa korkeintaan kuusi kuukautta, eivätkä ne oikeuta pääsemään TRES SECRET UE/EU TOP SECRET -turvallisuusluokan tietoihin. Kaikkien henkilöiden, joille on myönnetty tilapäinen valtuutus, on kirjallisesti vakuutettava ymmärtävänsä velvollisuutensa suojata EU:n turvallisuusluokitellut tiedot sekä seuraukset, jos EU:n turvallisuusluokitellut tiedot vaarantuvat. EUH rekisteröi tällaiset kirjalliset vakuutukset.

28.

Jos henkilö on määrä asettaa tehtävään, joka edellyttää yhtä tasoa korkeamman tason henkilöturvallisuusselvitystä kuin hänellä jo on, hänet voidaan asettaa tehtävään väliaikaisesti edellyttäen, että

(a)	henkilön esimies perustelee kirjallisesti pakottavan tarpeen päästä korkeamman turvallisuusluokan EU:n turvallisuusluokiteltuihin tietoihin;

(b)	pääsy rajataan koskemaan tiettyjä erikseen määriteltyjä EU:n turvallisuusluokiteltuja tietoja tehtävän hoitamisen edellyttämällä tavalla;

(c)	henkilöllä on voimassa oleva henkilöturvallisuusselvitys;

(d)	on ryhdytty toimiin valtuutuksen saamiseksi tehtävän edellyttämää tiedonsaantitasoa varten;

(e)	toimivaltainen viranomainen on riittävin tarkistuksin varmistanut, että henkilö ei ole vakavasti tai toistuvasti rikkonut turvallisuussääntöjä;

(f)	toimivaltainen EUH:n viranomainen hyväksyy henkilön asettamisen tehtävään;

(g)	henkilön turvallisuusselvityksen myöntänyttä kansallista tai nimettyä turvallisuusviranomaista on kuultu eikä esteitä ole ilmennyt; ja

(h)	asiasta vastaavassa keskuskirjaamossa tai alakirjaamossa säilytetään tieto poikkeuksesta ja kuvaus tiedoista, joihin pääsy on sallittu.

29.

Edellä kuvattua menettelyä on käytettävä myönnettäessä henkilölle kertaluonteisesti pääsy EU:n turvallisuusluokiteltuihin tietoihin, jotka on luokiteltu yhtä turvallisuusluokkaa korkeammalle kuin se, jota hänen turvallisuusselvityksensä koskee. Menettelyä ei saa käyttää toistuvasti.

30.

Erittäin poikkeuksellisissa olosuhteissa, kuten toteutettaessa operaatioita vihamielisessä ympäristössä tai kasvavien kansainvälisten jännitteiden aikana, korkea edustaja, toimeenpaneva pääsihteeri tai hallintopääjohtaja voi kiireellisten toimenpiteiden niin edellyttäessä ja erityisesti ihmishenkien pelastamiseksi myöntää mahdollisuuksien mukaan kirjallisesti pääsyn CONFIDENTIEL UE/EU CONFIDENTIAL- tai SECRET UE/EU SECRET -turvallisuusluokan tietoihin henkilöille, joilla ei ole vaadittua henkilöturvallisuusselvitystä edellyttäen, että kyseinen lupa on ehdottoman välttämätön eikä asianomaisen henkilön lojaaliudesta, rehellisyydestä ja luotettavuudesta ole perusteltua epäilystä. Tällaisesta luvasta on säilytettävä rekisteri ja kuvaus tiedoista, joihin pääsy on hyväksytty.

31.

TRES SECRET UE/EU TOP SECRET -turvallisuusluokan tietojen osalta kiireellisyyssyistä myönnetty pääsy on rajattava EU:n kansalaisiin, joille on myönnetty pääsy joko TRES SECRET UE/EU TOP SECRET -turvallisuusluokkaa vastaavan kansallisen turvallisuusluokan tietoihin tai SECRET UE/EU SECRET -turvallisuusluokan tietoihin.

32.

EUH:n turvallisuuskomitealle on ilmoitettava tapauksista, joissa käytetään 29 ja 30 kohdan mukaista menettelyä.

33.

EUH:n turvallisuuskomitealle on toimitettava vuosittain selvitys tässä jaksossa säädettyjen menettelyjen käytöstä.

V EUH:N PÄÄTOIMIPAIKASSA JA UNIONIN EDUSTUSTOISSA PIDETTÄVIIN KOKOUKSIIN OSALLISTUMINEN

34.

Henkilöiden, joille on annettu tehtäväksi osallistua EUH:n päätoimipaikassa ja unionin edustustoissa pidettäviin kokouksiin, joissa keskustellaan CONFIDENTIEL UE/EU CONFIDENTIAL- tai sitä korkeamman turvallisuusluokan tiedoista, on ensin esitettävä todiste henkilöturvallisuusselvityksestään. Jäsenvaltioiden edustajien sekä neuvoston pääsihteeristön ja komission virkamiesten osalta asianomaisten viranomaisten on toimitettava henkilöturvallisuusselvitykseen perustuva todistus tai muu todiste henkilöturvallisuusselvityksestä EUH:n turvallisuusosastolle tai unionin edustuston turvallisuuskoordinaattorille, tai asianomainen henkilö voi poikkeuksellisesti esittää sen henkilökohtaisesti. Tarvittaessa voidaan käyttää ajantasaista nimiluetteloa, joka on asianmukainen näyttö henkilöturvallisuusselvityksestä.

35.

Jos henkilön, jonka tehtävät edellyttävät osallistumista EUH:n päätoimipaikassa ja unionin edustustoissa pidettäviin kokouksiin, joissa keskustellaan CONFIDENTIEL UE/EU CONFIDENTIAL- tai sitä korkeamman turvallisuusluokan tiedoista, henkilöturvallisuusselvitys EU:n turvallisuusluokiteltuihin tietoihin pääsemiseksi perutaan, toimivaltaisen viranomaisen on ilmoitettava asiasta EUH:lle.

VI MAHDOLLINEN PÄÄSY EU:N TURVALLISUUSLUOKITELTUIHIN TIETOIHIN

36.

Jos henkilöiden on määrä suorittaa tehtäviä olosuhteissa, joissa heillä on mahdollisesti pääsy CONFIDENTIEL UE/EU CONDIDENTIAL- tai sitä korkeamman turvallisuusluokan tietoihin, heillä on oltava asianmukainen turvallisuusselvitys tai heillä on aina oltava saattaja.

37.

Kuriireilla, vartijoilla ja saattajilla on oltava asiaankuuluvan tason turvallisuusselvitys tai heidän on oltava muulla tavoin asianmukaisesti tutkittuja kansallisten lakien ja asetusten mukaisesti, ja heille on säännöllisin väliajoin selvitettävä EU:n turvallisuusluokiteltujen tietojen suojaamista koskevat turvallisuusmenettelyt ja annettava ohjeet heille uskottujen tai heidän tahattomasti saamiensa tietojen suojaamiseen liittyvistä tehtävistään.

(1) EYVL L 56, 4.3.1968, s. 1.

LIITE A II

EU:N TURVALLISUUSLUOKITELTUJEN TIETOJEN FYYSINEN TURVALLISUUS

I JOHDANTO

Tässä liitteessä vahvistetaan liitteessä A olevan 6 artiklan täytäntöönpanosäännökset. Siinä vahvistetaan EU:n turvallisuusluokiteltujen tietojen käsittelyyn ja säilyttämiseen käytettyjen tilojen, rakennusten, toimistojen, huoneiden ja muiden alueiden, viestintä- ja tietojärjestelmien sijoitusalueet mukaan luettuina, fyysistä suojaamista koskevat vähimmäisvaatimukset.

Fyysisten turvatoimien tarkoituksena on estää luvaton pääsy EU:n turvallisuusluokiteltuihin tietoihin

(a)	varmistamalla, että EU:n turvallisuusluokiteltuja tietoja käsitellään ja säilytetään asianmukaisesti;

(b)	mahdollistamalla henkilöstön eriyttäminen pääsyssä EU:n turvallisuusluokiteltuihin tietoihin sen perusteella, mikä heidän tiedonsaantitarpeensa on, ja tarvittaessa henkilöiden turvallisuusselvitysten perusteella;

(c)	ehkäisemällä, estämällä ja havaitsemalla luvattomat toimet;

(d)	estämällä tunkeutuminen salaa tai väkisin tai viivyttämällä sitä.

II FYYSISET TURVALLISUUSVAATIMUKSET JA TURVATOIMET

EUH:n on sovellettava riskinhallintaprosessia EU:n turvallisuusluokiteltujen tietojen suojaamiseksi tiloissaan, jotta varmistettaisiin, että fyysisen suojelun taso vastaa arvioitua riskiä. Riskinhallintaprosessissa on otettava huomioon kaikki asiaankuuluvat tekijät, erityisesti seuraavat:

(a)	EU:n turvallisuusluokiteltujen tietojen turvallisuusluokka;

(b)	EU:n turvallisuusluokiteltujen tietojen muoto ja määrä pitäen mielessä, että niiden suuri määrä tai kokoaminen yhteen voi edellyttää tiukempien suojatoimenpiteiden soveltamista;

(c)	EU:n turvallisuusluokiteltujen tietojen sijoitusrakennusten tai -alueiden ympäristö ja rakenne;

(d)	tiedusteluanalyysikeskuksen erityisesti unionin edustuston raporttien perusteella laatima kolmannen maan uhka-arvio; ja

(e)	niiden tiedustelupalvelujen muodostama arvioitu uhka, jotka kohdistavat toimiaan EU:hun tai jäsenvaltioihin, ja sabotaasin, terrorismin ja kumouksellisen tai muun rikollisen toiminnan uhka.

EUH:n turvallisuusviranomaisen on syvyyssuuntaisen turvallisuuden käsitettä soveltaen määriteltävä asianmukainen fyysisten turvatoimien yhdistelmä. Ne voivat käsittää yhden tai useampia seuraavista:

(a)	kehäsuojaus: fyysinen este, jolla suojattava alue rajataan;

(b)	tunkeutumisenhavaitsemisjärjestelmät: kehäsuojauksen tarjoaman turvallisuustason parantamiseksi voidaan käyttää tunkeutumisenhavaitsemisjärjestelmää. Sellaista voidaan käyttää myös huoneissa ja rakennuksissa turvallisuushenkilöstön sijasta tai sen tueksi;

(c)

kulunvalvonta: kulunvalvontaa voidaan soveltaa alueeseen, alueen yhteen tai useampaan rakennukseen tai rakennuksen alueisiin tai huoneisiin. Valvonta voidaan toteuttaa sähköisin tai sähkömekaanisin välinein, turvallisuushenkilöstön ja/tai vastaanottovirkailijan toimesta tai muunlaisin fyysisin keinoin;

(d)	turvallisuushenkilöstö: koulutettua, valvottua ja tarvittaessa asianmukaisesti turvallisuusselvitettyä turvallisuushenkilöstöä voidaan ottaa palvelukseen muun muassa tunkeutumista suunnittelevien henkilöiden aikeiden torjumiseksi;

(e)	kameravalvonta: turvallisuushenkilöstö voi käyttää kameravalvontaa tilanteiden ja tunkeutumisenhavaitsemisjärjestelmien hälytysten todentamiseksi laajoilla alueilla tai rajatuilla alueilla;

(f)	turvavalaistus: mahdollisia tunkeutujia voidaan estää käyttämällä turvavalaistusta, jonka ansiosta turvallisuushenkilöstö voi myös valvoa aluetta tehokkaasti joko suoraan tai kameravalvontajärjestelmän välityksellä;

(g)	muut asianmukaiset fyysiset toimenpiteet, joiden tarkoituksena on luvattoman pääsyn estäminen ja havaitseminen tai EU:n turvallisuusluokiteltujen tietojen katoamisen tai vahingoittumisen ehkäiseminen.

EUH:n turvallisuusosasto voi tehdä sisään- ja ulostulotarkastuksia, millä estetään aineiston luvaton tuonti tai EU:n turvallisuusluokiteltujen tietojen luvaton poisvienti tiloista tai rakennuksista.

Jos EU:n turvallisuusluokiteltuihin tietoihin kohdistuu salakatselun riski, vahingossa tapahtuva salakatselu mukaan luettuna, on toteutettava asianmukaiset toimenpiteet riskin torjumiseksi.

Uusien toimitilojen osalta fyysisten turvallisuusvaatimusten ja niiden toiminnallisten eritelmien määrittelyn on oltava osa toimitilojen suunnittelua ja rakenteita. Jo olemassa olevien toimitilojen osalta fyysiset turvallisuusvaatimukset on pantava täytäntöön mahdollisimman täydellisesti.

III EU:N TURVALLISUUSLUOKITELTUJEN TIETOJEN FYYSISEEN SUOJELUUN TARKOITETUT LAITTEET

Hankittaessa EU:n turvallisuusluokiteltujen tietojen fyysiseen suojeluun tarkoitettuja laitteita (esimerkiksi turvakaappeja, paperisilppureita, ovilukkoja, elektronisia kulunvalvontajärjestelmiä, tunkeutumisenhavaitsemisjärjestelmiä ja hälytysjärjestelmiä) EUH:n turvallisuusviranomaisen on varmistettava, että laitteet ovat hyväksyttyjen teknisten standardien ja vähimmäisvaatimusten mukaisia.

EU:n turvallisuusluokiteltujen tietojen fyysiseen suojeluun käytettyjen laitteiden tekniset eritelmät on esitettävä turvallisuutta koskevissa suuntaviivoissa, jotka EUH:n turvallisuuskomitea hyväksyy.

10.

Turvallisuusjärjestelmät on tarkastettava määräajoin, ja laitteet on huollettava säännöllisin väliajoin. Huolto on tehtävä suoritettujen tarkastusten tulokset huomioon ottaen, jotta varmistettaisiin laitteiden optimaalinen suoritustaso myös jatkossa.

11.

Yksittäisten turvatoimien ja koko turvallisuusjärjestelmän tehokkuus on arvioitava uudelleen kunkin tarkastuksen yhteydessä.

IV FYYSISESTI SUOJATUT ALUEET

12.

EU:n turvallisuusluokiteltujen tietojen fyysiseksi suojaamiseksi on perustettava kahdentyyppisiä fyysisesti suojattuja alueita tai vastaavia kansallisia alueita:

(a)	hallinnollisia alueita; ja

(b)	turva-alueita (teknisesti suojatut turva-alueet mukaan luettuina).

13.

EUH:n turvallisuusviranomaisen on todettava, että alue täyttää vaatimukset, jotka koskevat nimeämistä hallinnolliseksi alueeksi, turva-alueeksi tai teknisesti suojatuksi turva-alueeksi.

14.

Hallinnollisiin alueisiin sovelletaan seuraavaa:

(a)	alueella on oltava selkeästi määritellyt näkyvät rajat, joilla henkilöt ja mahdollisuuksien mukaan ajoneuvot voidaan tarkastaa;

(b)	vain EUH:n turvallisuusosaston asianmukaisesti valtuuttamilla henkilöillä on pääsy alueelle ilman saattajaa; ja

(c)	kaikilla muilla henkilöillä on aina oltava saattaja tai heille on tehtävä vastaavat tarkastukset.

15.

Turva-alueisiin sovelletaan seuraavaa:

(a)	alueella on oltava selkeästi määritellyt ja suojatut rajat, joilla valvotaan kaikkea kulkua sisään ja ulos kulkuluvin tai henkilökohtaisesti tunnistamalla;

(b)	pääsy alueelle ilman saattajaa on vain henkilöillä, joilla on asianmukainen turvallisuusselvitys ja erityinen lupa tulla alueelle tiedonsaantitarpeensa perusteella;

(c)	kaikilla muilla henkilöillä on aina oltava saattaja tai heille on tehtävä vastaavat tarkastukset.

16.

Jos turva-alueelle tulo merkitsee käytännössä välitöntä pääsyä sillä oleviin turvallisuusluokiteltuihin tietoihin, sovelletaan lisäksi seuraavia vaatimuksia:

(a)	alueella tavanomaisesti säilytettyjen tietojen korkein turvallisuusluokka on ilmoitettava selkeästi;

(b)	kaikilla vierailijoilla on oltava erityinen lupa tulla alueelle, heillä on aina oltava saattaja ja heillä on oltava asianmukainen turvallisuusselvitys, paitsi jos on toteutettu toimia sen varmistamiseksi, ettei EU:n turvallisuusluokiteltuihin tietoihin ole pääsyä;

(c)	elektroniset laitteet on jätettävä alueen ulkopuolelle.

17.

Salakuuntelulta suojatut turva-alueet on nimettävä teknisesti suojatuiksi turva-alueiksi. Lisäksi sovelletaan seuraavia vaatimuksia:

(a)	alueilla on oltava tunkeutumisenhavaitsemisjärjestelmä, ne on pidettävä lukittuina silloin, kun niitä ei käytetä, ja niitä on vartioitava silloin, kun ne ovat käytössä. Avaimia on valvottava tämän liitteen VI jakson mukaisesti;

(b)	alueille tulevia henkilöitä ja aineistoja on valvottava;

(c)	alueet on tarkastettava fyysisesti ja/tai teknisesti säännöllisin väliajoin EUH:n turvallisuusviranomaisen vaatimusten mukaisesti. Tällaiset tarkastukset on suoritettava myös mahdollisen luvattoman sisäänpääsyn tai sen epäilyn johdosta; ja

(d)	alueilla ei saa olla luvattomia tietoliikenneyhteyksiä, luvattomia puhelimia eikä muita luvattomia viestintävälineitä eikä sähkö- tai elektronisia laitteita.

18.

Sen estämättä, mitä 17 kohdan d alakohdassa säädetään, EUH:n turvallisuusviranomaisen on tarkastettava kaikki viestintä-, sähkö- tai elektroniset laitteet ennen kuin niitä käytetään alueilla, joilla pidetään SECRET UE/EU SECRET- tai sitä korkeamman turvallisuusluokan tietoihin liittyviä kokouksia tai tehdään tällaisiin tietoihin liittyvää työtä, silloin kun EU:n turvallisuusluokiteltuihin tietoihin kohdistuva uhka arvioidaan korkeaksi ja näin varmistettava, ettei niillä voi tahattomasti eikä laittomasti välittää ymmärrettävässä muodossa olevia tietoja turva-alueen rajojen ulkopuolelle.

19.

Turva-alueet, joilla ei ole henkilöstöä palveluksessa vuorokauden ympäri, on tarvittaessa tarkastettava normaalin työajan päätteeksi ja satunnaisiin aikoihin sen ulkopuolella paitsi, jos alueelle on asennettu tunkeutumisenhavaitsemisjärjestelmä.

20.

Turva-alueita ja teknisesti suojattuja turva-alueita voidaan tilapäisesti perustaa hallinnolliselle alueelle turvallisuusluokiteltua kokousta tai muuta vastaavaa tarkoitusta varten.

21.

Kullekin turva-alueelle on laadittava turvallisuusmenettelyt, joissa on määräykset seuraavista:

(a)	EU:n turvallisuusluokiteltujen tietojen, joita alueella voidaan käsitellä ja säilyttää, turvallisuusluokka;

(b)	sovellettavat valvonta- ja suojatoimenpiteet;

(c)	henkilöt, joilla on pääsy alueelle ilman saattajaa tiedonsaantitarpeensa ja turvallisuusselvityksensä perusteella;

(d)	tarvittaessa menettelyt saattajien käyttämiseksi tai EU:n turvallisuusluokiteltujen tietojen suojaamiseksi silloin, kun muille henkilöille myönnetään pääsy alueelle;

(e)	muut asiaankuuluvat toimenpiteet ja menettelyt.

22.

Turva-alueille on rakennettava kassaholveja. EUH:n turvallisuusviranomaisen on hyväksyttävä seinät, lattiat, katot, ikkunat ja lukittavat ovet ja määrättävä niiden suojaamisesta samalla tasolla kuin saman turvallisuusluokan EU:n turvallisuusluokiteltujen tietojen säilyttämiseen hyväksytyt turvakaapit.

V EU:N TURVALLISUUSLUOKITELTUJEN TIETOJEN KÄSITTELYSSÄ JA SÄILYTTÄMISESSÄ NOUDATETTAVAT FYYSISET SUOJATOIMENPITEET

23.

RESTREINT UE/EU RESTRICTED -turvallisuusluokan EU:n turvallisuusluokiteltuja tietoja voidaan käsitellä

(a)	turva-alueella,

(b)	hallinnollisella alueella, jos pääsy EU:n turvallisuusluokiteltuihin tietoihin on suojattu sivullisilta, tai

(c)

turva-alueen tai hallinnollisen alueen ulkopuolella, jos tietojen haltija kuljettaa EU:n turvallisuusluokiteltuja tietoja liitteessä A III olevien 30–42 kohdan mukaisesti ja hän on sitoutunut noudattamaan EUH:n turvallisuusviranomaisen antamissa turvallisuusohjeissa määrättyjä korvaavia toimenpiteitä sen varmistamiseksi, että pääsy EU:n turvallisuusluokiteltuihin tietoihin on suojattu sivullisilta.

24.

RESTREINT UE/EU RESTRICTED -turvallisuusluokan EU:n turvallisuusluokiteltuja tietoja on säilytettävä soveltuvissa lukituissa toimistokalusteissa hallinnollisella alueella tai turva-alueella. Niitä voidaan tilapäisesti säilyttää turva-alueen tai hallinnollisen alueen ulkopuolella, jos tietojen haltija on sitoutunut noudattamaan EUH:n turvallisuusviranomaisen antamissa turvallisuusohjeissa määrättyjä korvaavia toimenpiteitä.

25.

CONFIDENTIEL UE/EU CONFIDENTIAL- tai SECRET UE/EU SECRET -turvallisuusluokan EU:n turvallisuusluokiteltuja tietoja voidaan käsitellä

(a)	turva-alueella,

(b)	hallinnollisella alueella, jos pääsy EU:n turvallisuusluokiteltuihin tietoihin on suojattu sivullisilta, tai

(c)

turva-alueen tai hallinnollisen alueen ulkopuolella, jos tietojen haltija

(i)	kuljettaa EU:n turvallisuusluokiteltuja tietoja liitteessä A III olevien 30–42 kohdan mukaisesti;

(ii)	on sitoutunut noudattamaan EUH:n turvallisuusviranomaisen antamissa turvallisuusohjeissa määrättyjä korvaavia toimenpiteitä sen varmistamiseksi, että pääsy EU:n turvallisuusluokiteltuihin tietoihin on suojattu sivullisilta;

(iii)

pitää EU:n turvallisuusluokitellut tiedot kaikkina aikoina henkilökohtaisessa valvonnassaan; ja

(iv)	on ilmoittanut asiasta asiaankuuluvalle kirjaamolle, jos kyseessä ovat paperimuodossa olevat asiakirjat.

26.

CONFIDENTIEL UE/EU CONFIDENTIAL- ja SECRET UE/EU SECRET -turvallisuusluokan EU:n turvallisuusluokitellut tiedot on säilytettävä turva-alueella turvakaapissa tai kassaholvissa.

27.

TRES SECRET UE/EU TOP SECRET -turvallisuusluokan EU:n turvallisuusluokiteltuja tietoja on käsiteltävä turva-alueella.

28.

TRES SECRET UE/EU TOP SECRET -turvallisuusluokan EU:n turvallisuusluokiteltuja tietoja on säilytettävä päätoimipaikassa turva-alueella seuraavien ehtojen mukaisesti:

(a)

turvakaapissa 8 kohdan mukaisesti soveltaen yhtä tai useampaa seuraavaa lisävalvontaa:

(i)	jatkuva suojaus tai turvallisuusselvitetyn turvallisuushenkilöstön tai päivystyshenkilöstön säännölliset tarkastukset;

(ii)	hyväksytty tunkeutumisenhavaitsemisjärjestelmä ja hälytyksiin vastaava turvallisuushenkilöstö;

tai

(b)	tunkeutumisenhavaitsemisjärjestelmällä varustetussa kassaholvissa, minkä lisäksi turvallisuushenkilöstö vastaa hälytyksiin.

29.

Säännöt EU:n turvallisuusluokiteltujen tietojen kuljettamisesta fyysisesti suojattujen alueiden ulkopuolella vahvistetaan liitteessä A III.

VI EU:N TURVALLISUUSLUOKITELTUJEN TIETOJEN SUOJAAMISEEN KÄYTETTYJEN AVAINTEN JA NUMEROYHDISTELMIEN VALVONTA

30.

EUH:n turvallisuusviranomaisen on määriteltävä toimistojen, huoneiden, kassaholvien ja turvakaappien avainten ja numeroyhdistelmien hallinnointimenettelyt. Tällaisilla menettelyillä on suojattava ne luvattomalta pääsyltä.

31.

Numeroyhdistelmät on annettava mahdollisimman harvoille henkilöille, joiden on tarpeen tietää ne, ja heidän on osattava ne ulkoa. EU:n turvallisuusluokiteltuja tietoja sisältävien turvakaappien ja kassaholvien numeroyhdistelmät on vaihdettava

(a)	uuden turvakaapin vastaanoton yhteydessä;

(b)	aina, kun numeroyhdistelmän tuntevassa henkilöstössä tapahtuu muutos;

(c)	aina, kun tiedot ovat vaarantuneet tai kun niiden epäillään vaarantuneen;

(d)	kun jokin lukoista on huollettu tai korjattu; ja

(e)	vähintään 12 kuukauden välein.

LIITE A III

TURVALLISUUSLUOKITELTUJEN TIETOJEN HALLINNOINTI

I JOHDANTO

Tässä liitteessä vahvistetaan liitteessä A olevan 7 artiklan täytäntöönpanosäännökset. Siinä vahvistetaan hallinnolliset toimenpiteet EU:n turvallisuusluokiteltujen tietojen valvomiseksi koko niiden elinkaaren ajan, jotta autetaan estämään ja havaitsemaan tällaisten tietojen tahallinen tai tahaton vaarantuminen tai katoaminen ja korjaamaan vaarantumis- tai katoamistilanne.

II TURVALLISUUSLUOKITTELUN HALLINNOINTI

Turvallisuusluokat ja merkinnät

Tiedot turvallisuusluokitellaan, jos niiden luottamuksellisuus on suojattava.

EU:n turvallisuusluokiteltujen tietojen luovuttajan on vastattava tietojen turvallisuusluokan määrittelystä turvallisuusluokittelua koskevien ohjeiden mukaisesti sekä tietojen jakelusta.

EU:n turvallisuusluokiteltujen tietojen turvallisuusluokka määritellään liitteessä A olevan 2 artiklan 2 kohdan mukaisesti ja soveltaen turvallisuuspolitiikkaa, joka hyväksytään liitteessä A olevan 3 artiklan 3 kohdan mukaisesti.

EUH:n kanssa vaihdetuille jäsenvaltioiden turvallisuusluokitelluille tiedoille annetaan sama suojaustaso kuin vastaavan tason EU:n turvallisuusluokitelluille tiedoille. Turvallisuussäännöistä EU:n turvallisuusluokiteltujen tietojen suojaamiseksi 31 päivänä maaliskuuta 2011 tehdyn neuvoston päätöksen 2011/292/EU lisäyksessä B on tätä koskeva turvallisuusluokkien vastaavuustaulukko.

Turvallisuusluokka sekä tarvittaessa ajankohta tai tietty tapahtuma, jonka jälkeen tietojen turvallisuusluokka voidaan alentaa tai poistaa, on merkittävä selkeästi ja oikein riippumatta siitä, ovatko EU:n turvallisuusluokitellut tiedot paperi-, suullisessa, sähköisessä vai jossakin muussa muodossa.

Tietyn asiakirjan yksittäiset osat (sivut, kohdat, jaksot, liitteet, lisäykset, saatteet ja oheistukset) saattavat edellyttää eri turvallisuusluokkia, ja ne on merkittävä vastaavasti, myös silloin, kun ne tallennetaan sähköisesti.

Asiakirjat, jotka sisältävät eri turvallisuusluokkiin kuuluvia osia, on mahdollisuuksien mukaan laadittava niin, että eri turvallisuusluokkiin kuuluvat osat voidaan helposti tunnistaa ja tarvittaessa poistaa.

Koko asiakirjan tai tiedoston turvallisuusluokan on oltava vähintään yhtä korkea kuin sen korkeimpaan turvallisuusluokkaan määritellyn osan turvallisuusluokka. Jos eri lähteistä peräisin olevia tietoja yhdistetään, lopputuote on tarkistettava sen kokonaisturvallisuusluokan määrittämiseksi, koska asiakirja voi edellyttää korkeampaa turvallisuusluokkaa kuin sen muodostavat osat.

10.

Liitteitä sisältävän kirjeen tai ilmoituksen turvallisuusluokan on oltava yhtä korkea kuin sen liitteiden korkein turvallisuusluokka. Luovuttajan on ilmoitettava selvästi asiakirjan turvallisuusluokka ilman liitteitä asianmukaisella merkinnällä esimerkiksi seuraavasti:

CONFIDENTIEL UE/EU CONFIDENTIAL

Ilman liitteitä RESTREINT UE/EU RESTRICTED

Merkinnät

11.

Liitteessä A olevan 2 artiklan 2 kohdassa säädettyjen turvallisuusluokitusmerkintöjen lisäksi EU:n turvallisuusluokitelluissa tiedoissa voi olla muita merkintöjä, esimerkiksi

(a)	tunniste, joka osoittaa tietojen luovuttajan;

(b)	varoitusmerkintöjä, koodisanoja tai lyhenteitä, joilla tarkennetaan asiakirjan aihealue, erityisjakelu tiedonsaantitarpeen perusteella tai käyttörajoitukset;

(c)	luovutettavuutta koskevia merkintöjä.

12.

Kun EU:n turvallisuusluokiteltujen tietojen luovuttamisesta kolmannelle maalle tai kansainväliselle järjestölle on päätetty, EUH:n turvallisuusosasto toimittaa asianomaiset turvallisuusluokitellut tiedot, joiden luovutettavuutta koskevassa merkinnässä mainitaan kolmas valtio tai kansainvälinen järjestö, jolle se luovutetaan.

13.

EUH:n turvallisuusviranomainen hyväksyy luettelon sallituista merkinnöistä.

Turvallisuusluokitusmerkintöjen lyhenteet

14.

Tekstiin kuuluvien yksittäisten kappaleiden turvallisuusluokan merkitsemiseen voidaan käyttää vakiomuotoisia turvallisuusluokitusmerkintöjen lyhenteitä. Täydellisiä turvallisuusluokitusmerkintöjä ei saa korvata lyhenteillä.

15.

EU:n turvallisuusluokitelluissa asiakirjoissa voidaan käyttää seuraavia vakiomuotoisia lyhenteitä, joilla ilmoitetaan alle yhden sivun mittaisten jaksojen tai tekstin osien turvallisuusluokka:

TRES SECRET UE/EU TOP SECRET	TS-UE/EU-TS
SECRET UE/EU SECRET	S-UE/EU-S
CONFIDENTIEL UE/EU CONFIDENTIAL	C-UE/EU-C
RESTREINT UE/EU RESTRICTED	R-UE/EU-R

EU:n turvallisuusluokiteltujen tietojen tuottaminen

16.

Tuotettaessa EU:n turvallisuusluokiteltua asiakirjaa

(a)	turvallisuusluokka on merkittävä selvästi jokaiselle sivulle;

(b)	jokainen sivu on numeroitava;

(c)	asiakirjalla on oltava viitenumero ja aihe, joka ei ole turvallisuusluokiteltua tietoa, ellei sitä ole merkitty sellaiseksi;

(d)	asiakirja on päivättävä;

(e)	CONFIDENTIEL UE/EU CONFIDENTIAL- ja sitä korkeamman turvallisuusluokan asiakirjojen jokaiselle sivulle on merkittävä jäljennöksen numero, jos ne on tarkoitus jakaa useampana kappaleena.

17.

Jos EU:n turvallisuusluokiteltuihin tietoihin ei voida soveltaa 15 kohtaa, on toteutettava muita asianmukaisia toimenpiteitä tämän päätöksen nojalla laadittavien turvallisuusohjeiden mukaisesti.

EU:n turvallisuusluokiteltujen tietojen turvallisuusluokan alentaminen ja poistaminen

18.

Tietoja tuottaessaan luovuttajan on mahdollisuuksien mukaan ja erityisesti RESTREINT UE/EU RESTRICTED -turvallisuusluokan tietojen osalta ilmoitettava, voidaanko EU:n turvallisuusluokiteltujen tietojen turvallisuusluokkaa alentaa tai turvallisuusluokitus poistaa tiettynä päivänä tai tietyn tapahtuman jälkeen.

19.

EUH:n on tarkistettava hallussaan olevat EU:n turvallisuusluokitellut tiedot säännöllisin väliajoin sen selvittämiseksi, onko turvallisuusluokka edelleen asianmukainen. EUH:n on perustettava järjestelmä sen luovuttamien kirjattujen EU:n turvallisuusluokiteltujen tietojen turvallisuusluokan tarkistamiseksi vähintään joka viides vuosi. Tarkistaminen ei ole tarpeen, jos tietojen luovuttaja on alun perin ilmoittanut tietyn ajankohdan, jona tietojen turvallisuusluokkaa alennetaan tai se poistetaan ilman eri toimenpiteitä, ja jos tiedot on merkitty tämän mukaisesti.

III EU:N TURVALLISUUSLUOKITELTUJEN TIETOJEN KIRJAAMINEN TURVALLISUUSTARKOITUKSIIN

20.

Päätoimipaikkaan perustetaan keskuskirjaamo. Kaikille EUH:n organisaatioyksiköille, joissa EU:n turvallisuusluokiteltuja tietoja käsitellään, on perustettava vastuullinen alakirjaamo sen varmistamiseksi, että EU:n turvallisuusluokiteltuja tietoja käsitellään tämän päätöksen mukaisesti. Kirjaamot on perustettava liitteessä A määritellyn mukaisiksi turva-alueiksi.

Kukin unionin edustusto perustaa oman EU:n turvallisuusluokiteltujen tietojen kirjaamon.

EUH:n turvallisuusviranomainen nimittää näille kirjaamoille ylikirjaajan.

21.

Tässä päätöksessä kirjaamisella turvallisuustarkoituksiin (jäljempänä ’kirjaaminen’) tarkoitetaan sellaisten menettelyjen soveltamista, joilla kirjataan aineiston elinkaari, myös sen jakelu ja hävittäminen. Jos kyseessä on viestintä- ja tietojärjestelmä, kirjaamismenettelyt voidaan suorittaa sen omien prosessien avulla.

22.

Kaikki CONFIDENTIEL UE/EU CONFIDENTIAL- tai sitä korkeamman turvallisuusluokan aineisto on kirjattava, kun aineisto saapuu organisaatioyksikköön, unionin edustustot mukaan lukien, tai lähtee siitä. TRÈS SECRET UE/EU TOP SECRET -turvallisuusluokan tiedot on kirjattava niille tarkoitetuissa kirjaamoissa.

23.

Keskuskirjaamo on EUH:n päätoimipaikan pääasiallinen saapumis- ja lähtöpaikka kolmansien maiden ja kansainvälisten järjestöjen kanssa tapahtuvaa turvallisuusluokiteltujen tietojen vaihtoa varten. Se pitää kirjaa kaikesta tällaisesta tietojen vaihdosta.

24.

Korkea edustaja hyväksyy turvallisuustarkoituksiin kirjattavia EU:n turvallisuusluokiteltuja tietoja koskevan turvallisuuspolitiikan tämän päätöksen 14 artiklan mukaisesti.

Tres secret UE/EU top secret -turvallisuusluokan tietojen kirjaamot

25.

EUH:n päätoimipaikkaan on nimettävä keskuskirjaamo, joka toimii TRES SECRET UE/EU TOP SECRET -turvallisuusluokan tietojen keskitettynä vastaanottaja- ja lähettäjäviranomaisena. Tarvittaessa voidaan nimetä alakirjaamoja tällaisten tietojen käsittelemiseksi kirjaamistarkoituksiin.

26.

TRES SECRET UE/EU TOP SECRET -asiakirjoja ei saa toimittaa suoraan saman TRES SECRET UE /EU TOP SECRET -keskuskirjaamon alakirjaamosta toiseen tai niiden ulkopuolelle ilman keskuskirjaamon nimenomaista kirjallista hyväksyntää.

IV EU:N TURVALLISUUSLUOKITELTUJEN ASIAKIRJOJEN JÄLJENTÄMINEN JA KÄÄNTÄMINEN

27.

TRES SECRET UE/EU TOP SECRET -asiakirjoja ei saa jäljentää eikä kääntää ilman niiden luovuttajan kirjallista etukäteissuostumusta.

28.

Jos SECRET UE/EU SECRET- ja sitä alemman turvallisuusluokan asiakirjojen luovuttaja ei ole kieltänyt jäljentämästä tai kääntämästä asiakirjoja, ne voidaan jäljentää tai kääntää niiden haltijan pyynnöstä.

29.

Jäljennöksiin ja käännöksiin sovelletaan alkuperäistä asiakirjaa koskevia turvatoimia. Jäljennöksiä CONFIDENTIEL UE/EU CONFIDENTIAL- ja sitä ylemmän turvallisuusluokan asiakirjoista saa luoda vain asianomainen (ala)kirjaamo varmennetulla kopiokoneella. Jäljennökset on kirjattava.

V EU:N TURVALLISUUSLUOKITELTUJEN TIETOJEN KULJETTAMINEN

30.

EU:n turvallisuusluokiteltujen tietojen fyysiseen kuljettamiseen sovelletaan 31–41 kohdassa säädettyjä suojatoimenpiteitä. Jos EU:n turvallisuusluokiteltuja tietoja siirretään sähköisillä tallennusvälineillä ja sen estämättä, mitä liitteessä A olevan 7 artiklan 4 kohdassa säädetään, jäljempänä esitettyjä suojatoimenpiteitä voidaan täydentää EUH:n turvallisuusviranomaisen määräämillä asianmukaisilla teknisillä vastatoimenpiteillä, jotta minimoitaisiin katoamisen tai vaarantumisen riski.

31.

EUH:n turvallisuusviranomaisen on annettava ohjeet EU:n turvallisuusluokiteltujen tietojen kuljettamisesta tämän päätöksen mukaisesti.

Rakennuksen tai suljetun rakennusryhmän sisällä

32.

Rakennuksen tai suljetun rakennusryhmän sisällä kuljetettavat EU:n turvallisuusluokitellut tiedot on peitettävä niin, ettei niiden sisältö ole näkyvissä.

33.

TRES SECRET UE/EU TOP SECRET -turvallisuusluokan tietoja saavat kuljettaa rakennuksen tai suljetun rakennusryhmän sisällä vain asianmukaisesti turvallisuusselvitetyt henkilöt, ja ne on kuljetettava sinetöidyssä kirjekuoressa, johon on merkitty vain vastaanottajan nimi.

EU:n alueella

34.

EU:n alueella rakennusten tai tilojen välillä kuljetettavat EU:n turvallisuusluokitellut tiedot on pakattava niin, että ne on suojattu luvattomalta ilmitulolta.

35.

SECRET UE/EU SECRET- tai sitä alemman turvallisuusluokan tiedot on kuljetettava EU:n alueella jollakin seuraavista tavoista:

(a)	sotilaskuriirilla, valtion kuriirilla tai diplomaattikuriirilla tapauksen mukaan;

(b)

henkilökohtaisesti, jos

(i)	EU:n turvallisuusluokitellut tiedot ovat koko ajan kuljettajansa hallussa, paitsi jos ne on tallennettu liitteessä A II säädettyjen vaatimusten mukaisesti;

(ii)	EU:n turvallisuusluokiteltuja tietoja ei avata matkalla eikä lueta julkisilla paikoilla;

(iii)

henkilöillä on asianmukainen turvallisuusselvitys, ja heille selvitetään heidän turvallisuutta koskeva vastuunsa;

(iv)	henkilöille annetaan tarvittaessa kuriiritodistus;

(c)

postipalvelujen tai kaupallisten kuriiripalvelujen välityksellä, jos

(i)	asiaankuuluva kansallinen turvallisuusviranomainen on hyväksynyt ne kansallisten lakien ja asetusten mukaisesti;

(ii)	ne soveltavat asianmukaisia suojatoimenpiteitä tämän päätöksen 20 artiklan 1 kohdan nojalla laadittavissa turvallisuusohjeissa asetettavien vähimmäisvaatimusten mukaisesti.

Kuljetettaessa tietoja jäsenvaltiosta toiseen c alakohdan säännökset koskevat korkeintaan CONFIDENTIEL UE/EU CONDIFENTIAL -turvallisuusluokan tietoja.

36.

CONFIDENTIEL UE/EU CONFIDENTIAL- ja SECRET UE/EU SECRET -turvallisuusluokkiin kuuluva aineisto (esimerkiksi laitteet tai koneet), joita ei voida kuljettaa 34 kohdassa tarkoitetuilla tavoilla, on kuljetettava rahtina kaupallisten rahdinkuljettajien välityksellä liitteen A V mukaisesti.

37.

TRES SECRET UE/EU TOP SECRET -turvallisuusluokan tiedot on kuljetettava rakennusten tai tilojen välillä EU:n alueella tapauksen mukaan sotilaskuriirilla, valtion kuriirilla tai diplomaattikuriirilla.

EU:sta kolmannen maan alueelle tai EU:n yksikköjen välillä kolmansissa maissa

38.

EU:sta kolmannen maan alueelle tai EU:n yksikköjen välillä kolmansissa maissa kuljetettavat EU:n turvallisuusluokitellut tiedot on pakattava niin, että ne on suojattu luvattomalta ilmitulolta.

39.

CONFIDENTIEL UE/EU CONFIDENTIAL- ja SECRET UE/EU SECRET -turvallisuusluokkien tiedot, joita kuljetetaan EU:sta kolmannen maan alueelle, ja SECRET UE/EU SECRET -turvallisuusluokan tiedot, joita kuljetetaan EU:n yksikköjen välillä kolmansissa maissa, on kuljetettava jollakin seuraavista tavoista:

(a)	sotilas- tai diplomaattikuriirilla;

(b)

henkilökohtaisesti, jos

(i)	pakkauksessa on virallinen sinetti tai siitä käy ilmi, että kyseessä on virallinen lähetys, jolle ei tehdä tulli- tai turvallisuustarkastusta;

(ii)	henkilöillä on kuriiritodistus, jossa yksilöidään pakkaus ja valtuutetaan henkilöt kuljettamaan sitä;

(iii)

EU:n turvallisuusluokitellut tiedot ovat koko ajan kuljettajansa hallussa, paitsi jos ne on tallennettu liitteessä A II säädettyjen vaatimusten mukaisesti;

(iv)	EU:n turvallisuusluokiteltuja tietoja ei avata matkalla eikä lueta julkisilla paikoilla; ja

(v)	henkilöillä on asianmukainen turvallisuusselvitys, ja heille selvitetään heidän turvallisuutta koskeva vastuunsa.

40.

Kuljetettaessa EU:n kolmannelle maalle tai kansainväliselle järjestölle luovuttamia CONFIDENTIEL UE/EU CONFIDENTIAL- ja SECRET UE/EU SECRET -turvallisuusluokkien tietoja on noudatettava liitteessä A olevan 10 artiklan 2 kohdan mukaisen tietoturvallisuussopimuksen tai hallinnollisen järjestelyn asiaankuuluvia määräyksiä.

41.

RESTREINT UE/EU RESTRICTED -turvallisuusluokan tietoja voidaan kuljettaa EU:sta kolmannen maan alueelle myös postipalvelujen tai kaupallisten kuriiripalvelujen välityksellä.

42.

TRES SECRET UE/EU TOP SECRET -turvallisuusluokan tiedot on kuljetettava EU:sta kolmannen valtion alueelle tai EU:n yksikköjen välillä kolmansissa maissa sotilas- tai diplomaattikuriirilla.

VI EU:N TURVALLISUUSLUOKITELTUJEN TIETOJEN HÄVITTÄMINEN

43.

EU:n turvallisuusluokitellut tiedot, joita ei enää tarvita, voidaan hävittää, sanotun kuitenkaan rajoittamatta arkistointia koskevia sääntöjä ja määräyksiä.

44.

Asiakirjat, jotka on kirjattava liitteessä A olevan 7 artiklan 2 kohdan mukaisesti, on hävitettävä niistä vastaavassa kirjaamossa niiden haltijan tai toimivaltaisen viranomaisen määräyksestä. Lokikirjat ja muut kirjaustiedot on päivitettävä vastaavasti.

45.

SECRET UE/EU SECRET- tai TRES SECRET UE/EU TOP SECRET -turvallisuusluokan asiakirjojen hävittäminen on suoritettava todistajan läsnä ollessa; todistajalla on oltava vähintään hävitettävän asiakirjan turvallisuusluokkaa vastaava turvallisuusselvitys.

46.

Sekä kirjaajan että todistajan, jos jälkimmäisen läsnäoloa vaaditaan, on allekirjoitettava hävittämistodistus, joka tallennetaan kirjaamoon. Kirjaamon on säilytettävä TRES SECRET UE/EU TOP SECRET -asiakirjojen hävittämistodistukset vähintään kymmenen vuoden ajan sekä CONFIDENTIEL UE/EU CONFIDENTIAL ja SECRET UE/EU SECRET -asiakirjojen hävittämistodistukset vähintään viiden vuoden ajan.

47.

Turvallisuusluokiteltujen asiakirjojen, myös RESTREINT UE/EU RESTRICTED -turvallisuusluokan asiakirjojen, hävittämisessä on käytettävä menetelmiä, jotka vastaavat asiaankuuluvia EU- tai vastaavia standardeja tai jotka jäsenvaltiot ovat hyväksyneet kansallisten teknisten standardien mukaisesti, jotta estetään tietojen kokoaminen uudelleen kokonaan tai osittain.

48.

EU:n turvallisuusluokiteltujen tietojen tallentamiseen käytetyt atk-tallennevälineet on hävitettävä liitteessä A IV olevan 36 kohdan mukaisesti.

VII TURVALLISUUSTARKASTUKSET

EUH:n turvallisuustarkastukset

49.

Tämän päätöksen 15 artiklan mukaisesti EUH:n turvallisuustarkastukset käsittävät

(a)	yleiset turvallisuustarkastukset, joiden tarkoituksena on arvioida EUH:n päätoimipaikan, unionin edustustojen ja kaikkien niistä riippuvaisten tai niihin liittyvien tilojen yleinen turvallisuustaso ja etenkin EUH:n turvallisuusetujen suojaamiseksi toteutettujen toimenpiteiden tehokkuus;

(b)

EU:n turvallisuusluokiteltujen tietojen turvallisuustarkastukset, joiden tarkoituksena on, yleensä hyväksyntää varten, arvioida EUH:n päätoimipaikassa ja unionin edustustoissa EU:n turvallisuusluokiteltujen tietojen suojaamiseksi toteutettujen toimenpiteiden tehokkuus.

Tarkastuksia tehdään muun muassa

(i)	sen varmistamiseksi, että tässä päätöksessä säädettyjä EU:n turvallisuusluokiteltujen tietojen suojaamista koskevia vähimmäisvaatimuksia noudatetaan;

(ii)	turvallisuuden ja tehokkaan riskinhallinnan merkityksen korostamiseksi tarkastetuissa yksiköissä;

(iii)

vastatoimien suosittelemiseksi niiden erityisten vaikutusten lieventämiseksi, joita turvallisuusluokiteltujen tietojen luottamuksellisuuden, eheyden tai saatavuuden menetyksellä on; ja

(iv)	turvallisuusviranomaisten jatkuvan turvallisuuskoulutuksen ja turvallisuustietoisuutta lisäävien ohjelmien tehostamiseksi.

EUH:n turvallisuustarkastusten suorittaminen ja niistä raportointi

50.

EUH:n turvallisuustarkastuksia suorittaa EUH:n turvallisuusosaston tarkastusryhmä tarvittaessa muiden EU:n toimielinten tai jäsenvaltioiden turvallisuusasiantuntijoiden tuella.

Tarkastusryhmän on päästävä kaikkiin paikkoihin, joissa EU:n turvallisuusluokiteltuja tietoja käsitellään, erityisesti kirjaamoihin ja viestintä- ja tietojärjestelmien sijoituspaikkoihin.

51.

EUH:n turvallisuustarkastuksia unionin edustustoissa voidaan suorittaa aina tarvittaessa kolmansissa maissa olevien jäsenvaltioiden suurlähetystöjen turvallisuusvastaavien tuella.

52.

EUH:n turvallisuusviranomainen hyväksyy ennen kunkin kalenterivuoden loppua EUH:n tarkastusohjelman seuraavaksi vuodeksi.

53.

EUH:n turvallisuusviranomainen voi järjestää edellä mainittuun ohjelmaan sisältymättömiä turvallisuustarkastuksia aina tarvittaessa.

54.

Tarkastuksen päätteeksi tarkastetulle yksikölle on esitettävä tärkeimmät päätelmät ja suositukset. Tämän jälkeen tarkastusryhmän on laadittava tarkastuksesta raportti. Jos on ehdotettu korjaavia toimia tai annettu suosituksia, niistä on annettava raportissa riittävästi yksityiskohtaisia tietoja tehtyjen päätelmien tueksi. Raportti on toimitettava EUH:n turvallisuusviranomaiselle ja tarkastetun yksikön päällikölle.

EUH:n turvallisuusosaston vastuulla on laatia säännöllisin väliajoin raportti, jossa selostetaan tietyn jakson aikana suoritetuista tarkastuksista saatuja kokemuksia. EUH:n turvallisuuskomitea tarkastelee raporttia.

SEU-sopimuksen V osaston 2 luvun nojalla perustettujen EU:n virastojen ja elinten turvallisuustarkastusten suorittaminen ja niistä raportointi

55.

EUH:n turvallisuusosasto voi tarvittaessa nimetä asiantuntijoita, jotka osallistuvat SEU-sopimuksen V osaston 2 luvun nojalla perustettujen EU:n virastojen ja elinten turvallisuustarkastuksia suorittaviin EU:n yhteisiin tarkastusryhmiin.

EUH:n turvallisuustarkastusten tarkastusluettelo

56.

EUH:n turvallisuusosasto laatii ja pitää ajan tasalla luettelon asioista, jotka on tarkastettava EUH:n turvallisuustarkastuksen yhteydessä. Tarkastusluettelo on toimitettava EUH:n turvallisuuskomitealle.

57.

Tarkastusluettelon täydentämiseen tarvittavat tiedot on varsinkin tarkastuksen aikana hankittava tarkastettavan yksikön turvallisuushallinnolta. Kun tarkastusluetteloon on lisätty yksityiskohtaiset vastaukset, sille on määriteltävä turvallisuusluokka tarkastetun yksikön suostumuksella. Luetteloa ei liitetä osaksi tarkastusraporttia.

LIITE A IV

VIESTINTÄ- JA TIETOJÄRJESTELMISSÄ KÄSITELTÄVIEN EU:N TURVALLISUUSLUOKITELTUJEN TIETOJEN SUOJAAMINEN

I JOHDANTO

Tässä liitteessä vahvistetaan liitteessä A olevan 8 artiklan täytäntöönpanosäännökset.

Seuraavat tietojen turvaamisen ominaisuudet ja käsitteet ovat olennaisia operaatioiden turvallisuuden ja asianmukaisen toiminnan kannalta viestintä- ja tietojärjestelmissä:

Aitous	:	tae siitä, että tiedot ovat aitoja ja vilpittömässä mielessä toimivista lähteistä;
Saatavuus	:	ominaisuus, että tiedot ovat pyynnöstä valtuutetun yksikön saatavilla ja käytettävissä;
Luottamuksellisuus	:	ominaisuus, että tiedot eivät paljastu sivullisille henkilöille, yksiköille eikä prosesseille;
Eheys	:	ominaisuus, että tietojen ja resurssien oikeellisuus ja täydellisyys turvataan;
Kiistattomuus	:	kyky todistaa tietty toimi tai tapahtuma tapahtuneeksi niin, ettei sitä voida myöhemmin kiistää.

II TIEDONTURVAAMISPERIAATTEET

Jäljempänä esitetyt säännökset muodostavat kaikkien EU:n turvallisuusluokiteltuja tietoja käsittelevien viestintä- ja tietojärjestelmien turvallisuuden lähtökohdan. Säännösten täytäntöönpanoa koskevat yksityiskohtaiset vaatimukset määritellään tietojen turvaamista koskevissa turvallisuuspolitiikoissa ja turvallisuusohjeissa.

Turvallisuusriskien hallinta

Turvallisuusriskien hallinnan on oltava erottamaton osa viestintä- ja tietojärjestelmän määrittelyä, kehittämistä, käyttöä ja ylläpitoa. Riskinhallinta (arviointi, käsittely, hyväksyminen ja viestintä) on toteutettava iteroivana prosessina, johon osallistuu järjestelmän omistajien, hankkeesta vastaavien viranomaisten, toiminnasta vastaavien viranomaisten ja turvallisuusjärjestelyt hyväksyvien viranomaisten edustajia, ja siinä on käytettävä vakiintunutta, avointa ja täysin ymmärrettävää riskinarviointiprosessia. Viestintä- ja tietojärjestelmän laajuus ja resurssit on määriteltävä selkeästi riskinhallintaprosessin aluksi.

EUH:n toimivaltaisten viranomaisten on arvioitava viestintä- ja tietojärjestelmiin mahdollisesti kohdistuvia uhkia ja pidettävä yllä ajantasaisia ja tarkkoja uhka-arvioita, jotka perustuvat senhetkiseen toimintaympäristöön. Niiden on jatkuvasti päivitettävä haavoittuvuusasioita koskevia tietojaan ja tarkistettava säännöllisin väliajoin haavoittuvuusarviota mukautuakseen muuttuvaan tietotekniikkaympäristöön.

Turvallisuusriskin hallinnalla on pyrittävä toteuttamaan turvatoimien yhdistelmä, jolla saadaan aikaan tyydyttävä tasapaino käyttäjien vaatimusten ja turvallisuuteen kohdistuvan jäännösriskin välillä.

Asiaankuuluvan turvallisuusjärjestelyjen hyväksyntäviranomaisen viestintä- ja tietojärjestelmän hyväksymistä varten määrittämät erityiset vaatimukset, laajuus ja yksityiskohtaisuus on suhteutettava arvioituun riskiin ottaen huomioon kaikki asiaankuuluvat tekijät, myös viestintä- ja tietojärjestelmässä käsiteltyjen EU:n turvallisuusluokiteltujen tietojen turvallisuusluokka. Hyväksyntään on liitettävä vastuuviranomaisen virallinen lausunto jäännösriskistä ja sen hyväksymisestä.

Viestintä- ja tietojärjestelmän turvallisuus sen koko elinkaaren ajan

Turvallisuuden varmistamista on pidettävä vaatimuksena koko viestintä- ja tietojärjestelmän elinkaaren ajan sen alullepanosta käytöstä poistamiseen.

Elinkaaren kussakin vaiheessa on määriteltävä kunkin viestintä- ja tietojärjestelmään osallistuvan toimijan tehtävät ja toimijoiden vuorovaikutus järjestelmän turvallisuuden kannalta.

10.

Viestintä- ja tietojärjestelmien turvallisuus, myös niiden tekniset ja muut kuin tekniset turvatoimet, on testattava hyväksymisprosessin aikana sen varmistamiseksi, että asianmukainen turvaamistaso saavutetaan, ja sen tarkistamiseksi, että ne on moitteettomasti toteutettu, integroitu ja konfiguroitu.

11.

Turvallisuutta koskevat arvioinnit, tarkastukset ja uudelleentarkastelut on suoritettava määräajoin viestintä- ja tietojärjestelmän toiminnan ja huollon aikana sekä poikkeuksellisten tilanteiden ilmetessä.

12.

Viestintä- ja tietojärjestelmän turvallisuusasiakirjoja on kehitettävä sen elinkaaren aikana erottamattomana osana muutosten ja asetusten hallintaprosessia.

Parhaat toimintatavat

13.

EUH:n on tehtävä yhteistyötä neuvoston pääsihteeristön, komission ja jäsenvaltioiden kanssa parhaiden toimintatapojen kehittämiseksi viestintä- ja tietojärjestelmissä käsiteltävien EU:n turvallisuusluokiteltujen tietojen suojaamista varten. Parhaita toimintatapoja koskevissa ohjeissa on vahvistettava viestintä- ja tietojärjestelmiä koskevat tekniset, fyysiset, organisatoriset ja menettelyyn liittyvät turvatoimet, joiden tehokkuus tiettyjen uhkien ja haavoittuvuuksien torjumisessa on todistettu.

14.

Viestintä- ja tietojärjestelmissä käsiteltävien EU:n turvallisuusluokiteltujen tietojen suojaamisessa on hyödynnettävä tietojen turvaamiseen EU:ssa ja sen ulkopuolella osallistuvien yksiköiden kokemuksia.

15.

Parhaiden toimintatapojen levittämisen ja niiden myöhemmän noudattamisen on edesautettava yhtäläisen turvaamistason aikaansaamista EUH:n käyttämissä eri viestintä- ja tietojärjestelmissä, joissa käsitellään EU:n turvallisuusluokiteltuja tietoja.

Syvyyssuuntainen turvallisuus

16.

Viestintä- ja tietojärjestelmiin kohdistuvan riskin vähentämiseksi on toteutettava joukko teknisiä ja muita turvatoimia, joilla järjestetään monitasoinen puolustus. Tasoja ovat

(a) ennaltaehkäisy: turvatoimet, joilla pyritään torjumaan mahdolliset vihamieliset suunnitelmat viestintä- ja tietojärjestelmään kohdistuvasta hyökkäyksestä;

(b) estäminen: turvatoimet, joilla pyritään vaikeuttamaan hyökkäystä viestintä- ja tietojärjestelmää vastaan tai estämään se;

(d) vastustuskyky: turvatoimet, joilla pyritään rajoittamaan hyökkäyksen vaikutukset mahdollisimman pieneen osaan tietoja tai viestintä- ja tietojärjestelmän resursseja ja estämään muut vahingot;

(e) tilanteen korjaaminen: turvatoimet, joilla pyritään viestintä- ja tietojärjestelmän suojatun tilanteen palauttamiseen.

Tällaisten turvatoimien pakollisuus- ja sovellettavuusaste on määriteltävä riskinarvioinnin perusteella.

17.

EUH:n toimivaltaisten viranomaisten on varmistettava, että ne voivat käsitellä poikkeuksellisia tapahtumia, jotka saattavat ulottua organisaatioiden ja kansallisten rajojen ulkopuolelle, jotta voidaan koordinoida vastatoimia ja jakaa tapahtumia ja niihin liittyviä riskejä koskevia tietoja (tietotekniset hätävalmiudet).

Vähimmäistoimintojen ja pienimmän mahdollisen etuoikeuden periaate

18.

Tarpeettoman riskin välttämiseksi on otettava käyttöön vain käyttövaatimusten kannalta olennaiset toiminnot, laitteet ja palvelut.

19.

Viestintä- ja tietojärjestelmän käyttäjille ja automaattisille prosesseille on annettava vain ne tiedot, etuoikeudet tai valtuutukset, jotka ovat niiden tehtävien suorittamiseksi välttämättömiä, jotta rajoitettaisiin onnettomuuksista, virheistä tai järjestelmän resurssien luvattomasta käytöstä mahdollisesti aiheutuvia vahinkoja.

20.

Jos viestintä- ja tietojärjestelmässä on tarpeen suorittaa kirjaamismenettelyjä, ne on tarkistettava osana hyväksymisprosessia.

Tietojen turvaamisen merkityksen tiedostaminen

21.

Tietoisuus riskeistä ja käytettävissä olevista turvatoimista on viestintä- ja tietojärjestelmien turvallisuuden tärkein puolustamiskeino. Viestintä- ja tietojärjestelmien elinkaareen osallistuvien kaikkien henkilöiden, myös käyttäjien, on erityisesti ymmärrettävä

(a)	että turvallisuuden vaarantuminen voi merkittävästi vahingoittaa viestintä- ja tietojärjestelmiä ja koko organisaatiota;

(b)	että yhteenliitettävyydestä ja keskinäisestä riippuvuudesta saattaa aiheutua vahinkoa muille;

(c)	henkilökohtainen vastuunsa ja tilivelvollisuutensa viestintä- ja tietojärjestelmien turvallisuudesta sen mukaan, mikä on heidän tehtävänsä järjestelmissä ja prosesseissa.

22.

Sen varmistamiseksi, että turvallisuuteen liittyvät vastuut ymmärretään, koko henkilöstölle, myös johtohenkilöstölle ja viestintä- ja tietojärjestelmien käyttäjille, on annettava pakollista koulutusta tiedonturvaamisesta ja sen tiedostamisesta.

Tietoturvallisuustuotteiden arviointi ja hyväksyntä

23.

Turvatoimilta vaadittava varmuusaste, joka määritellään turvaamistasona, on vahvistettava riskinhallintaprosessin tulosten perusteella asiaankuuluvien turvallisuuspolitiikkojen ja -ohjeiden mukaisesti.

24.

Turvaamistaso on tarkistettava käyttämällä kansainvälisesti tunnustettuja tai kansallisesti hyväksyttyjä prosesseja ja menettelytapoja. Näitä ovat pääasiassa arviointi, tarkastukset ja auditointi.

25.

Jäsenvaltion kansallisen salauslaitteiden hyväksyntäviranomaisen on arvioitava ja hyväksyttävä EU:n turvallisuusluokiteltujen tietojen suojaamisessa käytettävät salaustuotteet.

26.

Ennen kuin salaustuotteiden hyväksymistä suositellaan EUH:n salaustuotteiden hyväksyntäviranomaiselle tämän päätöksen 7 artiklan 5 kohdan mukaisesti, niiden on läpäistävä jonkin sellaisen jäsenvaltion asianmukaisesti pätevän viranomaisen (AQUA-viranomaisen) ulkopuolinen arviointi, joka ei osallistu laitteiden suunnitteluun eikä valmistukseen. Ulkopuoliselta arvioinnilta edellytettävä yksityiskohtaisuus riippuu korkeimmasta turvallisuusluokasta, johon kuuluvia EU:n turvallisuusluokiteltuja tietoja kyseisillä tuotteilla on tarkoitus suojata.

27.

Jos se on perusteltua erityisistä toiminnallisista syistä, EUH:n salaustuotteiden hyväksyntäviranomainen voi neuvoston turvallisuuskomitean suosituksesta jättää soveltamatta 25 tai 26 kohdan mukaisia vaatimuksia ja myöntää tilapäisen hyväksynnän erikseen määritellyksi ajaksi tämän päätöksen 7 artiklan 5 kohdan mukaisesti.

28.

AQUA-viranomaisen on oltava jäsenvaltion salauslaitteiden hyväksyntäviranomainen, joka on neuvoston vahvistamin perustein hyväksytty suorittamaan EU:n turvallisuusluokiteltujen tietojen suojaamiseen tarkoitettujen salaustuotteiden ulkopuolinen arviointi.

29.

Korkea edustaja hyväksyy sellaisilta tietoturvallisuustuotteilta vaadittavia ominaisuuksia ja kyseisten tuotteiden hyväksyntää koskevan turvallisuuspolitiikan, jotka eivät ole salaustuotteita.

Tietojen lähettäminen turva-alueilla

30.

Sen estämättä, mitä tässä päätöksessä säädetään, jos EU:n turvallisuusluokiteltujen tietojen lähettäminen tapahtuu turva-alueilla, salaamatonta jakelua tai alemman tason salausta voidaan käyttää riskinhallintaprosessin tulosten perusteella ja turvallisuusjärjestelyjen hyväksyntäviranomaisen luvalla.

Viestintä- ja tietojärjestelmien suojattu yhteenliittäminen

31.

Tässä päätöksessä yhteenliittämisellä tarkoitetaan kahden tai useamman tietotekniikkajärjestelmän välitöntä liittämistä toisiinsa tietojen ja muiden tietoresurssien (esimerkiksi viestinnän) jakamiseksi yksi- tai monisuuntaisesti.

32.

Viestintä- ja tietojärjestelmän on käsiteltävä kaikkia toisiinsa liitettyjä tietotekniikkajärjestelmiä epäluotettavina ja toteutettava suojatoimia, joilla valvotaan turvallisuusluokiteltujen tietojen vaihtoa.

33.

Liitettäessä viestintä- ja tietojärjestelmä toiseen tietotekniikkajärjestelmään seuraavien perusvaatimusten on täytyttävä:

(a)	toimivaltaisten viranomaisten on todettava ja hyväksyttävä yhteenliittämistä koskevat toiminta- tai käyttövaatimukset;

(b)	yhteenliittämisen on käytävä läpi riskinhallinta- ja hyväksyntäprosessi, ja se on hyväksytettävä toimivaltaisella turvallisuusjärjestelyjen hyväksyntäviranomaisella; ja

(c)	kaikkien viestintä- ja tietojärjestelmien turva-alueella on toteutettava rajojen suojauspalvelut.

34.

Hyväksytyn viestintä- ja tietojärjestelmän ja suojaamattoman tai julkisen verkon välillä ei saa olla yhteenliitäntää, paitsi jos viestintä- ja tietojärjestelmään on asennettu tarkoitusta varten hyväksytyt rajojen suojauspalvelut viestintä- ja tietojärjestelmän ja suojaamattoman tai julkisen verkon välille. Toimivaltaisen tiedonturvaamisviranomaisen on tarkistettava tällaisten yhteenliitäntöjen turvatoimet, ja toimivaltaisen turvallisuusjärjestelyjen hyväksyntäviranomaisen on hyväksyttävä ne.

Jos suojaamatonta tai julkista verkkoa käytetään ainoastaan siirtovälineenä ja tiedot on salattu tämän päätöksen 7 artiklan 5 kohdan mukaisesti hyväksytyllä salaustuotteella, tällaista liitäntää ei pidetä yhteenliitäntänä.

35.

TRES SECRET UE/EU TOP SECRET -turvallisuusluokiteltujen tietojen käsittelyyn hyväksytyn viestintä- ja tietojärjestelmän välitön tai porrastettu yhteenliitäntä suojaamattoman tai julkisen verkon kanssa on kiellettyä.

Atk-tallennevälineet

36.

Atk-tallennevälineet on hävitettävä EUH:n turvallisuusviranomaisen hyväksymien menettelyjen mukaisesti.

37.

Atk-tallennevälineitä voidaan käyttää uudelleen, niiden turvallisuusluokkaa voidaan alentaa tai se voidaan poistaa tämän päätöksen 7 artiklan 2 kohdan nojalla vahvistettavan turvallisuuspolitiikan mukaisesti.

Hätätilanteet

38.

Sen estämättä, mitä tässä päätöksessä säädetään, jäljempänä kuvattuja erityismenettelyjä voidaan soveltaa rajoitetun ajan hätätapauksessa, esimerkiksi kriisitilanteen uhatessa tai toteutuessa, konfliktissa, sotatilanteissa taikka poikkeuksellisissa toimintaolosuhteissa.

39.

EU:n turvallisuusluokiteltujen tietojen lähettämisessä voidaan käyttää alempaa turvallisuusluokkaa varten hyväksyttyjä salaustuotteita tai ne voidaan lähettää ilman salausta toimivaltaisen viranomaisen suostumuksella, jos viivästyminen aiheuttaisi selvästi suuremman vahingon kuin turvallisuusluokitellun aineiston mahdollisen paljastumisen aiheuttama vahinko ja jos

(a)	lähettäjällä ja vastaanottajalla ei ole vaadittua salauslaitetta tai ei mitään salauslaitetta; ja

(b)	turvallisuusluokiteltua aineistoa ei voida toimittaa perille ajoissa muulla tavoin.

40.

Edellä 39 kohdassa esitetyissä olosuhteissa lähetetyissä turvallisuusluokitelluissa tiedoissa ei saa olla mitään merkintöjä eikä mainintoja, jotka erottavat ne turvallisuusluokittelemattomista tiedoista tai tiedoista, jotka voidaan suojata käytettävissä olevalla salaustuotteella. Tietojen vastaanottajille on ilmoitettava turvallisuusluokasta viipymättä muulla tavoin.

41.

Jos 39 kohtaa sovelletaan, EUH:n turvallisuusosastolle ja sen välityksellä EUH:n turvallisuuskomitealle on annettava asiasta raportti. Raportissa on mainittava ainakin kunkin EU:n turvallisuusluokitellun tiedon lähettäjä, vastaanottaja ja luovuttaja.

III TIEDONTURVAAMISTEHTÄVÄT JA -VIRANOMAISET

42.

EUH:n on perustettava alla olevat tiedonturvaamistehtävät. Näiden tehtävien hoitamista varten ei ole tarpeen perustaa erillisiä organisaatioyksiköitä. Niillä on oltava erilliset toimeksiannot. Nämä tehtävät ja niihin liittyvät vastuut voidaan kuitenkin yhdistää samaan organisaatioyksikköön tai hajottaa eri organisaatioyksiköille edellyttäen, että sisäiset eturistiriidat tai tehtävien ristiriitaisuus vältetään.

Tiedonturvaamisviranomainen

43.

Tiedonturvaamisviranomainen huolehtii

(a)	tietojen turvaamista koskevien turvallisuuspolitiikkojen ja -ohjeiden laatimisesta sekä niiden toimivuuden ja asianmukaisuuden valvomisesta;

(b)	salaustuotteisiin liittyvien teknisten tietojen tallessa pitämisestä ja hallinnoinnista;

(c)	sen varmistamisesta, että EU:n turvallisuusluokiteltujen tietojen suojaamiseksi valitut tiedonturvaamistoimenpiteet ovat niiden kelpoisuutta ja valintaa koskevien politiikkojen mukaisia;

(d)	sen varmistamisesta, että salaustuotteiden valinnassa noudatetaan niiden kelpoisuutta ja valintaa koskevia politiikkoja;

(e)	tietojen turvaamista koskevan koulutuksen ja tietoisuuden koordinoinnista;

(f)	järjestelmän toimittajan, turvallisuusalan toimijoiden ja käyttäjien edustajien kuulemisesta tietojen turvaamista koskevien turvallisuuspolitiikkojen ja -ohjeiden osalta;

(g)	sen varmistamisesta, että tiedonturvaamisasioita käsittelevän EUH:n turvallisuuskomitean asiantuntijakokoonpanon käytettävissä on riittävä asiantuntemus.

TEMPEST-viranomainen

44.

TEMPEST-viranomainen vastaa siitä, että viestintä- ja tietojärjestelmät ovat TEMPEST-politiikan ja -ohjeiden mukaisia. Se hyväksyy TEMPEST-vastatoimet laitteistoille ja tuotteille, joilla EU:n turvallisuusluokitellut tiedot suojataan määrättyyn turvallisuusluokkaan asti tuotteen käyttöympäristössä.

Salauslaitteiden hyväksyntäviranomainen

45.

Salauslaitteiden hyväksyntäviranomainen vastaa sen varmistamisesta, että salaustuotteet ovat kulloisenkin salauspolitiikan mukaisia. Se hyväksyy salaustuotteen, jolla EU:n turvallisuusluokitellut tiedot suojataan määrättyyn turvallisuusluokkaan asti tuotteen käyttöympäristössä.

Salaisen aineiston jakelusta vastaava viranomainen

46.

Salaisen aineiston jakelusta vastaava viranomainen huolehtii

(a)	EU:n salausaineiston hallinnoinnista ja kirjanpidosta;

(b)	sen varmistamisesta, että EU:n salausaineiston kirjanpidossa, suojatussa käsittelyssä, säilyttämisessä ja jakelussa käytetään asianmukaisia menettelyjä ja että sitä varten on perustettu asianmukaiset kanavat;

(c)	EU:n salausaineiston siirtämisestä sitä käyttäville henkilöille tai yksiköille tai sitä käyttäviltä henkilöiltä tai yksiköiltä.

Turvallisuusjärjestelyjen hyväksyntäviranomainen

47.

Kunkin järjestelmän turvallisuusjärjestelyjen hyväksyntäviranomainen huolehtii

(a)

sen varmistamisesta, että viestintä- ja tietojärjestelmä on asiaankuuluvien turvallisuuspolitiikkojen ja -ohjeiden mukainen, ja lausunnon antamisesta viestintä- ja tietojärjestelmän hyväksymisestä, minkä nojalla EU:n turvallisuusluokiteltuja tietoja voidaan käsitellä tiettyyn turvallisuusluokkaan asti järjestelmän käyttöympäristössä; lausunnossa on ilmoitettava hyväksynnän ehdot ja edellytykset sekä perusteet, joiden täyttyessä järjestelmä on hyväksyttävä uudelleen;

(b)	asiaankuuluvien periaatteiden mukaisen turvallisuusjärjestelyjen hyväksymisprosessin perustamisesta sekä alaisuudessaan olevien viestintä- ja tietojärjestelmien hyväksymisedellytysten ilmoittamisesta selkeästi;

(c)	sellaisen turvallisuushyväksyntästrategian määrittelemisestä, jossa määritetään hyväksymisprosessin yksityiskohtaisuus niin, että se on suhteutettu vaadittuun turvaamistasoon;

(d)

turvallisuuteen liittyvien asiakirjojen tarkastelusta ja hyväksymisestä, riskinhallintaa ja jäännösriskiä koskevat lausunnot, järjestelmäkohtaiset turvavaatimusilmoitukset (jäljempänä ’SSRS’), turvallisuusjärjestelyjen täytäntöönpanon tarkistusasiakirjat ja turvamenettelyt mukaan luettuina, ja sen varmistamisesta, että ne ovat EUH:n turvallisuussääntöjen ja -politiikkojen mukaisia;

(e)	viestintä- ja tietojärjestelmiin liittyvien turvatoimien täytäntöönpanon tarkistamisesta tekemällä tai teettämällä turvallisuutta koskevia arviointeja, tarkastuksia tai uudelleentarkasteluja;

(f)	viestintä- ja tietojärjestelmään liittyvien arkaluonteisten tehtävien turvallisuusvaatimusten (esimerkiksi henkilöturvallisuusselvitysten tasojen) määrittelemisestä;

(g)	viestintä- ja tietojärjestelmän turvallisuuden varmistamiseen käytettyjen hyväksyttyjen salaus- ja TEMPEST-tuotteiden valinnan vahvistamisesta;

(h)	viestintä- ja tietojärjestelmän muihin viestintä- ja tietojärjestelmiin liittämisen hyväksymisestä tai tapauksen mukaan osallistumisesta sen yhteiseen hyväksymiseen; ja

(i)	järjestelmän toimittajan, turvallisuusalan toimijoiden ja käyttäjien edustajien kuulemisesta turvallisuusriskien hallinnasta, erityisesti jäännösriskistä, ja hyväksymislausunnon ehdoista ja edellytyksistä.

48.

EUH:n turvallisuusjärjestelyjen hyväksyntäviranomainen vastaa kaikkien EUH:n toimivallan puitteissa käytettävien viestintä- ja tietojärjestelmien hyväksymisestä.

Turvallisuusjärjestelyjen hyväksymislautakunta

49.

Yhteinen turvallisuusjärjestelyjen hyväksymislautakunta vastaa sekä EUH:n että jäsenvaltioiden turvallisuusjärjestelyjen hyväksyntäviranomaisten toimivallan puitteissa käytettävien viestintä- ja tietojärjestelmien hyväksymisestä. Lautakunnan kokoonpanossa on turvallisuusjärjestelyjen hyväksyntäviranomaisen edustaja kustakin jäsenvaltiosta, ja neuvoston pääsihteeristön ja komission turvallisuusjärjestelyjen hyväksyntäviranomaisten edustajat osallistuvat sen kokouksiin. Muut yhteisöt, joilla on solmuja viestintä- ja tietojärjestelmässä, kutsutaan kokouksiin, kun niissä käsitellään kyseistä järjestelmää.

Lautakunnan puheenjohtajana toimii EUH:n turvallisuusjärjestelyjen hyväksyntäviranomaisen edustaja. Lautakunta tekee päätöksensä niiden toimielinten, jäsenvaltioiden ja muiden yksiköiden, joilla on solmuja viestintä- ja tietojärjestelmässä, turvallisuusjärjestelyjen hyväksyntäviranomaisten edustajien konsensuksella. Se antaa määräajoin toiminnastaan raportteja EUH:n turvallisuuskomitealle ja ilmoittaa sille kaikista hyväksymislausunnoista.

Operatiivinen tiedonturvaamisviranomainen

50.

Kunkin järjestelmän operatiivinen tiedonturvaamisviranomainen huolehtii

(a)	turvallisuusasiakirjojen laatimisesta turvallisuuspolitiikan ja -ohjeiden mukaisesti, erityisesti SSRS:n ja siihen kuuluvan jäännösriskiä koskevan lausunnon, turvamenettelyjen ja viestintä- ja tietojärjestelmän hyväksymisprosessiin kuuluvan salaussuunnitelman laatimisesta;

(b)

osallistumisesta järjestelmäkohtaisten teknisten turvatoimien, -laitteiden ja -ohjelmistojen valintaan ja testaamiseen niiden täytäntöönpanon valvomiseksi ja sen varmistamiseksi, että ne on asennettu ja konfiguroitu turvallisesti ja että niitä ylläpidetään asiaankuuluvien turvallisuusasiakirjojen mukaisesti;

(c)	osallistumisesta TEMPEST-turvatoimien ja -laitteiden valintaan, jos sitä edellytetään SSRS:ssä, ja sen varmistamisesta, että laitteet on asennettu turvallisesti ja että niitä ylläpidetään yhteistyössä TEMPEST-viranomaisen kanssa;

(d)	Turvamenettelyjen täytäntöönpanon ja soveltamisen valvomisesta sekä tarvittaessa operatiivisen turvallisuusvastuun siirtämisestä järjestelmän omistajalle;

(e)	salaustuotteiden hallinnoinnista ja käsittelystä, salausvälineiden ja valvottujen esineiden hallussapidon varmistamisesta ja tarvittaessa salauksessa käytettävien muuttujien generoinnin varmistamisesta;

(f)	turvallisuusanalyysien tarkistusten ja testien suorittamisesta erityisesti turvallisuusjärjestelyjen hyväksyntäviranomaisen vaatimien asiaankuuluvien riskiraporttien laatimiseksi;

(g)	viestintä- ja tietojärjestelmäkohtaisen tiedonturvaamiskoulutuksen antamisesta;

(h)	viestintä- ja tietojärjestelmäkohtaisten turvatoimien toteuttamisesta ja käytöstä.

LIITE A V

YHTEISÖTURVALLISUUS

I JOHDANTO

Tässä liitteessä vahvistetaan liitteessä A olevan 9 artiklan täytäntöönpanosäännökset. Siinä vahvistetaan yleiset turvallisuussäännökset, joita sovelletaan yrityksiin tai muihin yhteisöihin sopimusta edeltävissä neuvotteluissa ja EUH:n tekemien turvallisuusluokiteltujen sopimusten koko elinkaaren ajan.

Korkea edustaja hyväksyy yhteisöturvallisuutta koskevan politiikan, jossa esitetään erityisesti yhteisöturvallisuusselvitystä, turvallisuutta koskevia lisälausekkeita, vierailuja sekä EU:n turvallisuusluokiteltujen tietojen lähettämistä ja kuljettamista koskevat yksityiskohtaiset vaatimukset.

II TURVALLISUUSLUOKITELLUN SOPIMUKSEN TURVALLISUUTTA KOSKEVAT OSAT

Turvallisuusluokitusopas

Ennen tarjouskilpailun käynnistämistä tai turvallisuusluokitellun sopimuksen tekemistä hankeviranomaisena toimivan EUH:n on määriteltävä tarjouksen tekijöille ja hankeosapuolille toimitettavien tietojen turvallisuusluokka sekä hankeosapuolen tuottamien tietojen turvallisuusluokka. EUH:n on sitä varten laadittava turvallisuusluokitusopas, jota noudatetaan sopimuksen toimeenpanossa.

Turvallisuusluokitellun sopimuksen eri osien turvallisuusluokan määrittämiseksi sovelletaan seuraavia periaatteita:

(a)	turvallisuusluokitusopasta laatiessaan EUH:n on otettava huomioon kaikki asiaankuuluvat turvallisuusnäkökohdat, mukaan lukien turvallisuusluokka, jonka tietojen luovuttaja on antanut niille ja hyväksynyt sopimuksen osalta;

(b)	koko sopimuksen turvallisuusluokka ei voi olla alempi kuin sen minkä tahansa osan korkein turvallisuusluokka;

(c)

EUH:n on tarvittaessa oltava yhteydessä jäsenvaltioiden kansallisiin tai nimettyihin turvallisuusviranomaisiin tai muuhun asianomaiseen toimivaltaiseen turvallisuusviranomaiseen siinä tapauksessa, että sopimusta toimeenpantaessa hankeosapuolten tuottamien tai niille toimitettujen tietojen turvallisuusluokkaa muutetaan ja että turvallisuusluokitusoppaaseen tehdään tämän vuoksi muutoksia.

Turvallisuutta koskeva lisälauseke

Sopimuskohtaiset turvallisuusvaatimukset on ilmoitettava turvallisuutta koskevassa lisälausekkeessa. Turvallisuutta koskevan lisälausekkeen on tarvittaessa sisällettävä turvallisuusluokitusopas, ja sen on oltava erottamaton osa turvallisuusluokiteltua sopimusta tai alihankintasopimusta.

Turvallisuutta koskevassa lisälausekkeessa on oltava määräykset, joiden mukaan hankeosapuolen ja/tai alihankkijan on noudatettava tässä päätöksessä säädettyjä vähimmäisvaatimuksia. Näiden vähimmäisvaatimusten noudattamatta jättäminen voi olla riittävä peruste sopimuksen irtisanomiselle.

Ohjelman tai hankkeen turvallisuusohjeet

EU:n turvallisuusluokiteltuihin tietoihin pääsyä tai tietojen käsittelyä tai säilyttämistä edellyttävien ohjelmien tai hankkeiden soveltamisalasta riippuen niiden hallinnointia varten nimetty hankeviranomainen voi laatia niitä koskevat erityiset turvallisuusohjeet. Ohjelman tai hankkeen turvallisuusohjeille on saatava jäsenvaltioiden kansallisten tai nimettyjen turvallisuusviranomaisten tai muun ohjelmaan tai hankkeeseen osallistuvan toimivaltaisen turvallisuusviranomaisen hyväksyntä, ja niihin voi sisältyä muitakin turvallisuusvaatimuksia.

III YHTEISÖTURVALLISUUSSELVITYS

EUH:n turvallisuusosaston on pyydettävä jäsenvaltion kansallista tai nimettyä turvallisuusviranomaista tai muuta toimivaltaista turvallisuusviranomaista myöntämään yhteisöturvallisuusselvityksen kansallisten lakien ja asetusten mukaisena osoituksena siitä, että yritys tai muu yhteisö pystyy suojaamaan asianomaiseen turvallisuusluokkaan (CONFIDENTIEL UE/EU CONFIDENTIAL tai SECRET UE/EU SECRET) kuuluvat EU:n turvallisuusluokitellut tiedot toimitiloissaan. Hankeosapuolelle tai alihankkijalle taikka mahdolliselle hankeosapuolelle tai alihankkijalle ei voida luovuttaa EU:n turvallisuusluokiteltuja tietoja tai myöntää pääsyä niihin ennen kuin EUH:lle on toimitettu todiste yhteisöturvallisuusselvityksestä.

Hankeviranomaisena toimivan EUH:n on tarvittaessa ilmoitettava asianmukaiselle kansalliselle tai nimetylle turvallisuusviranomaiselle tai muulle toimivaltaiselle turvallisuusviranomaiselle, että yhteisöturvallisuusselvitys vaaditaan sopimuksen tekemistä edeltävässä vaiheessa tai sopimuksen toimeenpanoa varten. Yhteisöturvallisuusselvitys tai henkilöturvallisuusselvitys vaaditaan sopimuksen tekemistä edeltävässä vaiheessa, jos tarjousmenettelyn aikana on annettava CONFIDENTIEL UE/EU CONFIDENTIAL- tai SECRET UE/EU SECRET -turvallisuusluokan tietoja.

10.

Hankeviranomaisena toimiva EUH ei saa tehdä turvallisuusluokiteltua sopimusta valitun tarjoajan kanssa ennen kuin se on saanut sen jäsenvaltion kansalliselta tai nimetyltä turvallisuusviranomaiselta tai muulta toimivaltaiselta turvallisuusviranomaiselta, johon asianomainen hankeosapuoli tai alihankkija on rekisteröity, vahvistuksen siitä, että mahdollisesti vaadittava asianmukainen yhteisöturvallisuusselvitys on myönnetty.

11.

Hankeviranomaisena toimivan EUH:n on pyydettävä kansallista tai nimettyä turvallisuusviranomaista tai muuta toimivaltaista turvallisuusviranomaista, joka on myöntänyt yhteisöturvallisuusselvityksen, ilmoittamaan sille kaikista yhteisöturvallisuusselvitykseen vaikuttavista kielteisistä seikoista. Kun kyseessä on alihankintasopimus, kansalliselle tai nimetylle turvallisuusviranomaiselle tai muulle toimivaltaiselle turvallisuusviranomaiselle on annettava vastaava ilmoitus.

12.

Jos asiaankuuluva kansallinen tai nimetty turvallisuusviranomainen tai muu toimivaltainen turvallisuusviranomainen peruuttaa yhteisöturvallisuusselvityksen, se antaa hankeviranomaisena toimivalle EUH:lle riittävän perusteen irtisanoa turvallisuusluokiteltu sopimus tai sulkea tarjoaja kilpailun ulkopuolelle.

IV HANKEOSAPUOLTEN TYÖNTEKIJÖIDEN HENKILÖTURVALLISUUSSELVITYKSET

13.

Kaikista hankeosapuolten työntekijöistä, joilla on tehtäviensä suorittamiseksi oltava pääsy CONFIDENTIEL UE/EU CONFIDENTIAL- tai sitä korkeamman tason EU:n turvallisuusluokiteltuihin tietoihin, on tehtävä asianmukainen turvallisuusselvitys, ja heillä on oltava heidän tiedonsaantitarpeeseensa perustuva pääsy tietoihin. Vaikka RESTREINT UE/EU RESTRICTED -turvallisuusluokan EU:n turvallisuusluokiteltujen tietoihin pääsy ei edellytä henkilöturvallisuusselvitystä, sitä varten on oltava tiedonsaantitarve.

14.

Hankeosapuolten työntekijöiden henkilöturvallisuusselvityksiä koskevat hakemukset on tehtävä kyseisestä yhteisöstä vastaavalle kansalliselle tai nimetylle turvallisuusviranomaiselle.

15.

EUH:n on selvitettävä hankeosapuolille, jotka haluavat ottaa palvelukseensa kolmannen maan kansalaisen pääsyä EU:n turvallisuusluokiteltuihin tietoihin edellyttävään tehtävään, että palvelukseen ottavan yhteisön sijainti- ja rekisteröintijäsenvaltion kansallisen tai nimetyn turvallisuusviranomaisen tehtävänä on määrittää, voidaanko henkilölle tämän päätöksen mukaisesti myöntää pääsy tällaisiin tietoihin, ja varmistaa, että luovuttaja on antanut suostumuksensa ennen kuin tällainen pääsy myönnetään.

V TURVALLISUUSLUOKITELLUT SOPIMUKSET JA ALIHANKINTASOPIMUKSET

16.

Jos EU:n turvallisuusluokiteltuja tietoja luovutetaan tarjoajalle sopimusta edeltävässä vaiheessa, tarjouspyynnössä on oltava määräys, jolla tarjoaja, joka ei esitä tarjousta tai jonka tarjousta ei valita, velvoitetaan palauttamaan kaikki turvallisuusluokitellut asiakirjat tietyn ajan kuluessa.

17.

Kun turvallisuusluokiteltu sopimus tai alihankintasopimus on tehty, hankeviranomaisena toimivan EUH:n on annettava hankeosapuolen tai alihankkijan kansalliselle tai nimetylle turvallisuusviranomaiselle tai muulle toimivaltaiselle turvallisuusviranomaiselle tiedoksi turvallisuusluokitellun sopimuksen turvallisuusmääräykset.

18.

Kun tällaiset sopimukset irtisanotaan tai niiden voimassaolo päättyy, hankeviranomaisena toimivan EUH:n (ja/tai tapauksen mukaan alihankintasopimuksen ollessa kyseessä kansallisen tai nimetyn turvallisuusviranomaisen tai muun toimivaltaisen turvallisuusviranomaisen) on ilmoitettava asiasta viipymättä hankeosapuolen tai alihankkijan rekisteröintijäsenvaltion kansalliselle tai nimetylle turvallisuusviranomaiselle tai muulle toimivaltaiselle turvallisuusviranomaiselle.

19.

Yleensä hankeosapuolen tai alihankkijan edellytetään palauttavan hankeviranomaiselle turvallisuusluokitellun sopimuksen tai alihankintasopimuksen päättyessä kaikki hallussaan olevat EU:n turvallisuusluokitellut tiedot.

20.

Turvallisuutta koskevaan lisälausekkeeseen on sisällytettävä erityiset säännökset EU:n turvallisuusluokiteltujen tietojen hallussapidosta sopimuksen täytäntöönpanon aikana tai irtisanomisen tai päättymisen ajankohtana.

21.

Jos hankeosapuoli tai alihankkija saa luvan säilyttää EU:n turvallisuusluokiteltuja tietoja sopimuksen irtisanomisen tai päättymisen jälkeen, tässä päätöksessä säädettyjä vähimmäisvaatimuksia on yhä noudatettava, ja hankeosapuolen tai alihankkijan on suojattava EU:n turvallisuusluokiteltujen tietojen luottamuksellisuus.

22.

Tarjouspyynnössä ja sopimuksessa on määriteltävä, millä edellytyksin hankeosapuoli voi tehdä alihankintasopimuksia.

23.

Hankeosapuolen on saatava hankeviranomaisena toimivan EUH:n lupa ennen kuin se antaa turvallisuusluokitellun sopimuksen mitään osia alihankkijoiden toteutettavaksi. Alihankintasopimuksia ei saa tehdä sellaisten yritysten tai muiden yhteisöjen kanssa, jotka on rekisteröity EU:n ulkopuolisessa valtiossa, joka ei ole tehnyt tietoturvallisuussopimusta EU:n kanssa.

24.

Hankeosapuolen on vastattava siitä, että kaikki alihankintatoimet suoritetaan tässä päätöksessä säädettyjen vähimmäisvaatimusten mukaisesti, eikä se saa antaa EU:n turvallisuusluokiteltuja tietoja alihankkijalle ilman hankeviranomaisen kirjallista etukäteissuostumusta.

25.

Jos hankeosapuoli tai alihankkija tuottaa tai käsittelee EU:n turvallisuusluokiteltuja tietoja, hankeviranomainen käyttää tietojen luovuttajan oikeuksia.

VI TURVALLISUUSLUOKITELTUIHIN SOPIMUKSIIN LIITTYVÄT VIERAILUT

26.

Jos EUH:n, hankeosapuolien tai alihankkijoiden on saatava CONFIDENTIEL UE/EU CONFIDENTIAL- tai SECRET UE/EU SECRET -turvallisuusluokan tietoja toistensa toimitiloissa turvallisuusluokitellun sopimuksen toimeenpanemiseksi, vierailuista on sovittava asianomaisten kansallisten tai nimettyjen turvallisuusviranomaisten tai muun toimivaltaisen turvallisuusviranomaisen kanssa. Tämä ei rajoita kansallisten tai nimettyjen turvallisuusviranomaisten oikeutta sopia erityisten hankkeiden yhteydessä menettelystä, jota noudattaen vierailut voidaan järjestää suoraan.

27.

Kaikilla vierailijoilla on oltava asianmukainen henkilöturvallisuusselvitys ja tiedonsaantitarve, jotta heille voidaan myöntää pääsy EUH:n sopimukseen liittyviin EU:n turvallisuusluokiteltuihin tietoihin.

28.

Vierailijoille on annettava pääsy vain käynnin tarkoitukseen liittyviin EU:n turvallisuusluokiteltuihin tietoihin.

VII EU:N TURVALLISUUSLUOKITELTUJEN TIETOJEN LÄHETTÄMINEN JA KULJETTAMINEN

29.

EU:n turvallisuusluokiteltujen tietojen lähettämiseen sähköisesti sovelletaan liitteessä A olevassa 8 artiklassa ja liitteessä A IV olevia asiaankuuluvia säännöksiä.

30.

EU:n turvallisuusluokiteltujen tietojen kuljettamiseen sovelletaan liitteessä A III olevia asiaankuuluvia säännöksiä kansallisten lakien ja asetusten mukaisesti.

31.

Kuljetettaessa turvallisuusluokiteltua aineistoa rahtina sovelletaan seuraavia periaatteita turvallisuusjärjestelyjä määritettäessä:

(a)	turvallisuus on taattava kuljetuksen kaikissa vaiheissa lähtöpisteestä lopulliseen määräpaikkaan saakka;

(b)	lähetyksen suojan taso on määriteltävä siinä olevan aineiston korkeimman turvallisuusluokan mukaan;

(c)

kuljetuksen suorittaville yrityksille on hankittava asianmukaisen tason yhteisöturvallisuusselvitys, jos kuljetukseen sisältyy myös turvallisuusluokiteltujen tietojen säilyttämistä hankeosapuolen toimitiloissa. Joka tapauksessa lähetystä käsittelevällä henkilöstöllä on oltava liitteen A I mukainen turvallisuusselvitys;

(d)

lähettäjän on ennen CONFIDENTIEL UE/EU CONFIDENTIAL- tai SECRET UE/EU SECRET -turvallisuusluokitellun aineiston rajatylittäviä siirtoja laadittava kuljetussuunnitelma, joka EUH:n on hyväksyttävä tarvittaessa yhdessä sekä lähettäjän valtion että vastaanottajan valtion kansallisen tai nimetyn turvallisuusviranomaisen tai muun asianomaisen toimivaltaisen turvallisuusviranomaisen kanssa;

(e)	kuljetusmatkojen on oltava mahdollisuuksien mukaan yhtäjaksoisia, ja ne on suoritettava niin nopeasti kuin olosuhteet sallivat;

(f)	reittien olisi mahdollisuuksien mukaan kuljettava ainoastaan jäsenvaltioiden kautta. Muiden kuin jäsenvaltioiden kautta kulkevia reittejä olisi käytettävä ainoastaan, kun niihin on EUH:n tai sekä lähettäjän valtion että vastaanottajan valtion muun toimivaltaisen turvallisuusviranomaisen lupa.

VIII EU:N TURVALLISUUSLUOKITELTUJEN TIETOJEN LÄHETTÄMINEN KOLMANSISSA MAISSA SIJAITSEVILLE HANKEOSAPUOLILLE

32.

EU:n turvallisuusluokiteltuja tietoja lähetetään sellaisissa kolmansissa maissa sijaitseville hankeosapuolille ja alihankkijoille, joilla on EU:n kanssa voimassa oleva turvallisuussopimus, hankeviranomaisena toimivan EUH:n ja sen kolmannen maan, johon hankeosapuoli on rekisteröity, kansallisen tai nimetyn turvallisuusviranomaisen välillä sovittujen turvatoimien mukaisesti.

IX RESTREINT UE/EU RESTRICTED -TURVALLISUUSLUOKAN TIETOJEN KÄSITTELY JA SÄILYTTÄMINEN

33.

EUH voi hankeviranomaisena yhdessä jäsenvaltion kansallisen tai nimetyn turvallisuusviranomaisen kanssa tehdä tarvittaessa vierailuja hankeosapuolten tai alihankkijoiden toimitiloihin sopimusmääräysten pohjalta sen varmistamiseksi, että sopimuksessa edellytetyt tarpeelliset turvatoimet RESTREINT UE/EU RESTRICTED -turvallisuusluokan EU:n turvallisuusluokiteltujen tietojen suojaamiseksi on toteutettu.

34.

Hankeviranomaisena toimivan EUH:n on annettava kansallisille tai nimetyille turvallisuusviranomaisille tai muulle toimivaltaiselle turvallisuusviranomaiselle tiedoksi RESTREINT UE/EU RESTRICTED -turvallisuusluokan tietoja sisältävät sopimukset tai alihankintasopimukset siinä laajuudessa kuin sitä edellytetään kansallisissa laeissa ja asetuksissa.

35.

Hankeosapuolilta tai alihankkijoilta ja niiden henkilöstöltä ei vaadita yhteisöturvallisuusselvitystä eikä henkilöturvallisuusselvitystä sellaisia EUH:n tekemiä sopimuksia varten, joissa on RESTREINT UE/EU RESTRICTED -turvallisuusluokan tietoja.

36.

Hankeviranomaisena toimivan EUH:n on tutkittava tarjouspyyntöihin saadut vastaukset, jos sopimuksen tekeminen edellyttää RESTREINT UE/EU RESTRICTED -turvallisuusluokan tietojen saamista, sanotun kuitenkaan rajoittamatta kansallisiin lakeihin ja asetuksiin mahdollisesti sisältyvien, yhteisöturvallisuusselvityksiä tai henkilöturvallisuusselvityksiä koskevien vaatimusten soveltamista.

37.

Edellytysten, joilla hankeosapuoli voi tehdä alihankintasopimuksia, on oltava 22–24 kohdan mukaisia.

38.

Jos sopimukseen kuuluu RESTREINT UE/EU RESTRICTED -turvallisuusluokan tietojen käsittelyä hankeosapuolen käyttämässä viestintä- ja tietojärjestelmässä, hankeviranomaisena toimivan EUH:n on varmistettava, että sopimuksessa tai alihankintasopimuksessa määrätään viestintä- ja tietojärjestelmän hyväksymistä koskevista tarvittavista teknisistä ja hallinnollisista vaatimuksista, jotka ovat oikeassa suhteessa arvioituun riskiin ja joissa on otettu huomioon kaikki asiaankuuluvat tekijät. Viestintä- ja tietojärjestelmän hyväksymisen laajuudesta on sovittava hankeviranomaisen ja asianomaisen kansallisen tai nimetyn turvallisuusviranomaisen kesken.

LIITE A VI

TURVALLISUUSLUOKITELTUJEN TIETOJEN VAIHTO KOLMANSIEN VALTIOIDEN JA KANSAINVÄLISTEN JÄRJESTÖJEN KANSSA

I. JOHDANTO

Tässä liitteessä vahvistetaan liitteessä A olevan 10 artiklan täytäntöönpanosäännökset.

II. TURVALLISUUSLUOKITELTUJEN TIETOJEN VAIHDON PUITTEET

EUH voi vaihtaa EU:n turvallisuusluokiteltuja tietoja kolmansien valtioiden tai kansainvälisten järjestöjen kanssa liitteessä A olevan 10 artiklan 1 kohdan mukaisesti.

Korkean edustajan tukemiseksi tämän suorittaessa SEUT-sopimuksen 218 artiklassa määrättyjä tehtäviä

(a)	asianomaisen EUH:n maantieteellisen tai temaattisen osaston on yhteistyössä EUH:n turvallisuusosaston kanssa tarvittaessa määriteltävä pitkän aikavälin tarve vaihtaa EU:n turvallisuusluokiteltuja tietoja kyseisen kolmannen maan tai kansainvälisen järjestön kanssa;

(b)	EUH:n turvallisuusosaston on yhteistyössä asianomaisen EUH:n maantieteellisen osaston kanssa tarvittaessa toimitettava korkealle edustajalle SEUT-sopimuksen 218 artiklan 3, 5 ja 6 kohdan nojalla neuvostolle ehdotettavat luonnostekstit;

(c)	EUH:n turvallisuusosaston on yhteistyössä komission ja neuvoston pääsihteeristön asianomaisten yksiköiden kanssa tuettava korkeaa edustajaa neuvottelujen käymisessä;

(d)

liitteessä A olevan 10 artiklan 1 kohdan c alakohdassa tarkoitettujen kolmansien valtioiden kanssa tehtävien, kyseisten maiden osallistumista YTPP-kriisinhallintaoperaatioihin koskevien sopimusten tai järjestelyjen osalta EUH:n kriisinhallinta- ja suunnitteluosaston on toimitettava asianomaisia EUH:n yksiköitä kuultuaan SEUT-sopimuksen 218 artiklan 3, 5 ja 6 kohdan nojalla neuvostolle ehdotettavat luonnostekstit ja tuettava korkeaa edustajaa neuvottelujen käymisessä yhteistyössä EUH:n ja neuvoston pääsihteeristön asianomaisten yksiköiden kanssa.

Jos tietoturvallisuussopimuksissa määrätään, että EUH:n turvallisuusosaston on – yhteistyössä komission henkilöstöhallinnon ja turvallisuuden pääosaston turvallisuusosaston ja neuvoston pääsihteeristön turvallisuusyksikön kanssa – sovittava teknisistä täytäntöönpanojärjestelyistä kyseisen kolmannen valtion tai kansainvälisen järjestön toimivaltaisen turvallisuusviranomaisen kanssa, kyseisissä järjestelyissä on otettava huomioon asianomaisessa kolmannessa maassa tai kansainvälisessä järjestössä sovellettavien turvallisuusmääräysten, -rakenteiden ja -menettelyjen tarjoaman suojan taso.

Jos EUH:lla on pitkäaikainen tarve vaihtaa kolmannen maan tai kansainvälisen järjestön kanssa tietoja, joiden turvallisuusluokka on korkeintaan RESTREINT UE/EU RESTRICTED, ja jos on todettu, että kyseisen osapuolen turvallisuusjärjestelmä ei ole riittävän kehittynyt tietoturvallisuussopimuksen tekemiseksi, korkea edustaja voi saatuaan EUH:n turvallisuuskomitean yksimielisen puoltavan lausunnon tämän päätöksen 14 artiklan 5 kohdan mukaisesti sopia hallinnollisesta järjestelystä kyseisen kolmannen maan tai kansainvälisen järjestön toimivaltaisten turvallisuusviranomaisten kanssa.

EU:n turvallisuusluokiteltuja tietoja ei saa vaihtaa sähköisesti kolmannen maan tai kansainvälisen järjestön kanssa, ellei siitä nimenomaisesti määrätä tietoturvallisuussopimuksessa tai hallinnollisessa järjestelyssä.

Turvallisuusluokiteltujen tietojen vaihtoa koskevan hallinnollisen järjestelyn nojalla EUH:n ja kolmannen maan tai kansainvälisen järjestön on kunkin nimettävä yksi kirjaamo pääasialliseksi saapumis- ja lähtöpaikaksi turvallisuusluokiteltujen tietojen vaihtoa varten. EUH:n osalta tämä on EUH:n keskuskirjaamo.

Hallinnollisista järjestelyistä sovitaan pääsääntöisesti kirjeenvaihtona.

III ARVIOINTIKÄYNNIT

Tämän päätöksen 16 artiklassa tarkoitetut arviointikäynnit on suoritettava asianomaisen kolmannen valtion tai kansainvälisen järjestön kanssa tehdyn keskinäisen sopimuksen perusteella, ja niissä on arvioitava

(a)	turvallisuusluokiteltujen tietojen suojaamiseen sovellettavia sääntelypuitteita;

(b)	kolmannen valtion tai kansainvälisen järjestön turvallisuuslainsäädännön, -määräysten, -politiikan ja -menettelyjen erityispiirteitä, jotka saattavat vaikuttaa mahdollisesti vaihdettavien turvallisuusluokiteltujen tietojen korkeimpaan turvallisuusluokkaan;

(c)	turvallisuusluokiteltujen tietojen suojaamiseksi sillä hetkellä käytössä olevia turvatoimia ja turvallisuusmenettelyjä;

(d)	luovutettavien EU:n turvallisuusluokiteltujen tietojen turvallisuusluokkaan sovellettavia turvallisuusselvitysmenettelyjä.

EU:n turvallisuusluokiteltuja tietoja ei saa vaihtaa, ennen kuin arviointikäynti on tehty ja osapuolien välillä vaihdettavien turvallisuusluokiteltujen tietojen turvallisuusluokka on määritelty sille annettavan suojan tason vastaavuuden perusteella.

Jos korkean edustajan tietoon tulee ennen tällaisen arviointikäynnin suorittamista poikkeuksellisia tai kiireellisiä syitä vaihtaa turvallisuusluokiteltuja tietoja, EUH:n on

(a)	ensin saatava tietojen luovuttajan kirjallinen suostumus, jotta varmistetaan, ettei luovuttamiselle ole esteitä;

(b)	annettava asia EUH:n turvallisuusviranomaisen käsiteltäväksi, joka voi päättää luovuttaa tiedot, jos EUH:n turvallisuuskomiteassa edustettuina olevilta jäsenvaltioilta on saatu yksimielinen puoltava lausunto.

Jos EUH ei voi selvittää, kuka on luovuttaja, EUH:n turvallisuusviranomainen ottaa luovuttajan vastuun itselleen saatuaan EUH:n turvallisuuskomiteassa edustettuina olevien jäsenvaltioiden yksimielisen puoltavan lausunnon.

IV VALTA LUOVUTTAA EU:N TURVALLISUUSLUOKITELTUJA TIETOJA KOLMANSILLE VALTIOILLE TAI KANSAINVÄLISILLE JÄRJESTÖILLE

10.

Jos turvallisuusluokiteltujen tietojen vaihtamiseksi kolmannen maan tai kansainvälisen järjestön kanssa on olemassa liitteessä A olevan 10 artiklan 1 kohdan mukaiset puitteet, päätöksen siitä, että EUH luovuttaa EU:n turvallisuusluokiteltuja tietoja kyseiselle kolmannelle maalle tai kansainväliselle järjestölle, tekee EUH:n turvallisuusviranomainen, joka voi siirtää tällaisen valtuutuksen EUH:n ylemmille virkamiehille tai muille alaisuudessaan oleville henkilöille.

11.

Jos luovutettavien turvallisuusluokiteltujen tietojen ja niiden mahdollisesti sisältämän lähdeaineiston luovuttaja ei ole EUH, EUH:n on ensin saatava tietojen luovuttajan kirjallinen suostumus varmistaakseen, ettei luovuttamiselle ole esteitä. Jos EUH ei voi selvittää, kuka on luovuttaja, EUH:n turvallisuusviranomainen ottaa luovuttajan vastuun itselleen saatuaan EUH:n turvallisuuskomiteassa edustettuina olevien jäsenvaltioiden yksimielisen puoltavan lausunnon.

V EU:N TURVALLISUUSLUOKITELTUJEN TIETOJEN POIKKEUKSELLINEN LUOVUTTAMINEN TAPAUSKOHTAISESTI

12.

Jos yksiäkään liitteessä A olevan 10 artiklan 1 kohdassa tarkoitettuja puitteita ei ole olemassa ja jos EU:n tai yhden tai useamman sen jäsenvaltion edut edellyttävät EU:n turvallisuusluokiteltujen tietojen luovuttamista poliittisista, toiminnallisista tai kiireellisistä syistä, EU:n turvallisuusluokiteltuja tietoja voidaan poikkeuksellisesti luovuttaa kolmannelle valtiolle tai kansainväliselle järjestölle, kun seuraavat toimenpiteet on toteutettu.

Varmistettuaan, että 11 kohdassa tarkoitetut edellytykset täyttyvät, EUH:n turvallisuusosaston on

(a)

mahdollisuuksien mukaan tarkistettava asianomaisen kolmannen maan tai kansainvälisen järjestön turvallisuusviranomaisilta, että sen turvallisuusmääräyksillä, -rakenteilla ja -menettelyillä pystytään takaamaan sille luovutettujen EU:n turvallisuusluokiteltujen tietojen suojaaminen vähintään yhtä tiukkojen vaatimusten kuin tässä päätöksessä säädettyjen vaatimusten mukaisesti;

(b)	pyydettävä EUH:n turvallisuuskomiteaa antamaan käytettävissä olevien tietojen pohjalta lausunto turvallisuusmääräysten, -rakenteiden ja -menettelyjen luotettavuudesta kolmannessa maassa tai kansainvälisessä järjestössä, jolle EU:n turvallisuusluokiteltuja tietoja on tarkoitus luovuttaa;

(c)	annettava asia EUH:n turvallisuusviranomaisen käsiteltäväksi, joka voi päättää luovuttaa tiedot, jos EUH:n turvallisuuskomiteassa edustettuina olevilta jäsenvaltioilta on saatu yksimielinen puoltava lausunto.

13.

Jos yksiäkään liitteessä A olevan 10 artiklan 1 kohdassa tarkoitettuja puitteita ei ole olemassa, kyseisen kolmannen osapuolen on kirjallisesti sitouduttava suojaamaan EU:n turvallisuusluokitellut tiedot asianmukaisesti.

LISÄYS A

MÄÄRITELMÄT

Tässä päätöksessä sovelletaan seuraavia määritelmiä:

’Aineistolla’ tarkoitetaan mitä tahansa asiakirjaa tai konetta tai laitetta, joka on valmistettu tai jota ollaan valmistamassa.

’Asiakirjalla’ tarkoitetaan mitä tahansa tallennettua tietoa, riippumatta sen fyysisestä muodosta tai ominaisuuksista.

’EU:n turvallisuusluokitelluilla tiedoilla’ tarkoitetaan mitä tahansa tietoa tai aineistoa, jolle on määritelty EU:n turvallisuusluokka ja jonka luvaton ilmitulo saattaisi vaihtelevassa määrin vahingoittaa Euroopan unionin tai sen yhden tai useamman jäsenvaltion etuja – ks. 2 artiklan f alakohta.

’EU:n turvallisuusluokiteltujen tietojen käsittelyllä’ tarkoitetaan kaikkia mahdollisia toimia, joita EU:n turvallisuusluokiteltuihin tietoihin voidaan kohdistaa niiden elinkaaren aikana. Näitä ovat tietojen tuottaminen, käsittely, kuljettaminen, turvallisuusluokan alentaminen, turvallisuusluokan poistaminen ja hävittäminen. Viestintä- ja tietojärjestelmien osalta toimia ovat myös tietojen kerääminen, näyttäminen, lähettäminen ja säilyttäminen.

’EU:n turvallisuusluokiteltujen tietojen vaarantumisella’ tarkoitetaan EU:n turvallisuusluokiteltujen tietojen ilmituloa kokonaisuudessaan tai osittain sivullisille henkilöille tai yhteisöille – ks. 8 artiklan 2 kohta.

’Fyysisellä turvallisuudella’ tarkoitetaan fyysisten ja teknisten suojatoimenpiteiden toteuttamista niin, että estetään luvaton pääsy EU:n turvallisuusluokiteltuihin tietoihin – ks. liitteessä A oleva 6 artikla.

’Haavoittuvuudella’ tarkoitetaan minkä tahansa laatuista heikkoutta, josta yksi tai useampi uhka voi hyötyä. Haavoittuvuus voi johtua laiminlyönnistä tai liittyä heikkouksiin valvonnan tehokkuudessa, täydellisyydessä tai johdonmukaisuudessa, ja se voi olla luonteeltaan teknistä, menettelyyn liittyvää, fyysistä, organisatorista tai toiminnallista.

’Haltijalla’ tarkoitetaan asianmukaisesti valtuutettua henkilöä, jonka tiedonsaantitarve on todettu ja jonka hallussa on EU:n turvallisuusluokiteltu tieto, jonka suojaamisesta hän on tämän mukaisesti vastuussa.

’Hankeosapuolella’ tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, joka on oikeudellisesti kelpoinen tekemään sopimuksia.

’Henkilöstöturvallisuudella’ tarkoitetaan toimenpiteitä sen varmistamiseksi, että pääsy EU:n turvallisuusluokiteltuihin tietoihin myönnetään ainoastaan henkilöille

—	joilla on tiedonsaantitarve;

—	joille on tehty asianmukainen turvallisuusselvitys tai joilla on tehtäviensä vuoksi muu kansallisten lakien ja asetusten mukainen asianmukainen valtuutus, jotta he saavat pääsyn CONFIDENTIEL UE/EU CONFIDENTIAL- tai sitä korkeamman turvallisuusluokan tietoihin;

—	joille on tiedotettu heidän vastuustaan –

ks. liitteessä A olevan 5 artiklan 1 kohta.

’Henkilöturvallisuusselvitykseen perustuvalla todistuksella’ tarkoitetaan toimivaltaisen viranomaisen antamaa todistusta, jossa todetaan, että henkilö on turvallisuus-selvitetty ja että tällä on voimassa oleva henkilöturvallisuusselvitys, ja josta käy ilmi turvallisuusluokka, johon kuuluvien EU:n turvallisuusluokiteltujen tietojen saamiseen asianomaiselle henkilölle voidaan myöntää oikeus (CONFIDENTIEL UE/EU CONFIDENTIAL tai korkeampi), asiaankuuluvan henkilöturvallisuusselvityksen voimassaoloaika ja itse todistuksen voimassaolon päättymispäivä.

’Henkilöturvallisuusselvityksellä’ EU:n turvallisuusluokiteltujen tietojen saamista varten tarkoitetaan jäsenvaltion toimivaltaisen viranomaisen lausuntoa, joka annetaan jäsenvaltion toimivaltaisten viranomaisten tekemän turvallisuustutkinnan jälkeen ja jonka nojalla henkilölle voidaan myöntää oikeus saada EU:n turvallisuusluokiteltuja tietoja määrättyyn turvallisuusluokkaan (CONFIDENTIEL UE/EU CONFIDENTIAL tai korkeampi) ja tiettyyn päivämäärään saakka edellyttäen, että hänen tiedonsaantitarpeensa on todettu. Henkilön katsotaan tämän jälkeen olevan ”turvallisuusselvitetty”.

’Hyväksynnällä’ tarkoitetaan prosessia, jonka päätteeksi turvallisuusjärjestelyjen hyväksyntäviranomainen antaa virallisen lausunnon siitä, että järjestelmä on hyväksytty käytettäväksi määritellyssä turvallisuusluokassa, tiettyä turvallisuuden takaavaa toimintatapaa käyttöympäristössään noudattaen ja hyväksyttävällä riskitasolla, sen pohjalta, että hyväksytyt tekniset, fyysiset, organisatoriset ja menettelyyn liittyvät turvatoimet on toteutettu.

’Järjestelmäkohtaisilla turvavaatimusilmoituksilla’ (SSRS) tarkoitetaan noudatettavien turvallisuusperiaatteiden ja yksityiskohtaisten turvallisuusvaatimusten sitovaa kokonaisuutta, johon viestintä- ja tietojärjestelmän sertifiointi ja hyväksyntä perustuu.

’Jäännösriskillä’ tarkoitetaan riskiä, joka jää jäljelle, kun turvatoimet on toteutettu, ottaen huomioon, että kaikkia uhkia ei pystytä torjumaan eikä kaikkea haavoittuvuutta voida poistaa.

’Kirjaamisella’ tarkoitetaan sellaisten menettelyjen soveltamista, joilla kirjataan tietojen elinkaari, myös niiden jakelu ja hävittäminen – ks. liitteessä A III oleva 21 kohta.

’Luovuttajalla’ tarkoitetaan EU:n toimielintä, virastoa tai elintä, jäsenvaltiota, kolmatta maata tai kansainvälistä järjestöä, jonka alaisuudessa turvallisuusluokiteltuja tietoja on tuotettu ja/tai tuotu EU:n rakenteisiin.

’Luvalla saada EU:n turvallisuusluokiteltuja tietoja’ tarkoitetaan EUH:n turvallisuusviranomaisen myöntämää lupaa, joka annetaan jäsenvaltion toimivaltaisten viranomaisten myöntämän henkilöturvallisuusselvityksen jälkeen ja jonka nojalla henkilölle voidaan myöntää pääsy EU:n turvallisuusluokiteltuihin tietoihin määrättyyn turvallisuusluokkaan (CONFIDENTIEL UE/EU CONFIDENTIAL tai korkeampi) ja tiettyyn päivämäärään saakka edellyttäen, että hänen tiedonsaantitarpeensa on todettu – ks. liitteessä A I oleva 2 artikla.

’Nimetyllä turvallisuusviranomaisella’ tarkoitetaan jäsenvaltion kansalliselle turvallisuusviranomaiselle vastuussa olevaa viranomaista, jonka vastuulla on tiedottaa yrityksille tai muille yhteisöille kansallisesta politiikasta kaikissa yhteisöturvallisuutta koskevissa asioissa sekä antaa ohjausta ja apua sen soveltamisessa. Kansallinen turvallisuusviranomainen tai muu toimivaltainen viranomainen voi toimia nimettynä turvallisuusviranomaisena.

’Ohjelman tai hankkeen turvallisuusohjeilla’ tarkoitetaan luetteloa turvallisuusmenettelyistä, joita sovelletaan tiettyyn ohjelmaan tai hankkeeseen turvallisuusmenettelyjen yhdenmukaistamiseksi. Turvallisuusohjeita voidaan tarkistaa koko ohjelman tai hankkeen ajan.

’Resurssilla’ tarkoitetaan kaikkea, millä on arvoa organisaatiolle, sen liiketoimille ja niiden jatkuvuudelle, organisaation tehtävää tukevat tietoresurssit mukaan luettuina.

’Riskien hallintaprosessilla’ tarkoitetaan prosessia, jossa yksilöidään, hallitaan ja minimoidaan epävarmoja tapahtumia, jotka saattavat vaikuttaa organisaation tai joidenkin sen käyttämien järjestelmien turvallisuuteen. Se kattaa kaikki riskeihin liittyvät toiminnot, myös arvioinnin, käsittelyn, hyväksymisen ja viestinnän.

’Riskillä’ tarkoitetaan mahdollisuutta, että tietty uhka hyötyy organisaation tai minkä tahansa sen käyttämän järjestelmän sisäisestä ja ulkoisesta haavoittuvuudesta ja aiheuttaa tällä tavoin vahinkoa organisaatiolle ja sen aineellisille tai aineettomille resursseille. Sen mittana on uhkien toteutumisen todennäköisyys yhdistettynä niiden vaikutuksiin.

’Riskinarviointi’ koostuu uhkien ja haavoittuvuuden tunnistamisesta ja niihin liittyvän riskianalyysin eli todennäköisyyden ja vaikutusten analyysin tekemisestä.

’Riskin hyväksyminen’ on päätös hyväksyä jäännösriskin olemassaolo riskin käsittelyn jälkeen.

’Riskin käsittely’ muodostuu riskin lieventämisestä, poistamisesta, vähentämisestä (sopivalla yhdistelmällä teknisiä, fyysisiä, organisatorisia tai menettelyyn liittyviä toimenpiteitä), siirtämisestä ja seurannasta.

’Riskiviestintää’ ovat viestintä- ja tietojärjestelmien käyttäjien riskitietoisuuden lisääminen, riskeistä tiedottaminen hyväksyntäviranomaisille ja niistä raportoiminen toiminnasta vastaaville viranomaisille.

’Salaustuotteilla’ tarkoitetaan salausalgoritmeja, salauslaitteistoja ja -ohjelmistomoduuleja sekä tuotteita, joihin sisältyy täytäntöönpanoa koskevia yksityiskohtia sekä niihin liittyviä asiakirjoja ja avainnusaineistoa.

’Syvyyssuuntaisella turvallisuudella’ tarkoitetaan sitä, että toteutetaan joukko turvatoimia, joilla järjestetään monitasoinen puolustus.

’TEMPESTillä’ tarkoitetaan haitallisen elektromagneettisen säteilyn tutkimista ja valvontaa sekä toimenpiteitä sen poistamiseksi.

’Tietojen turvaamisella’ tarkoitetaan viestintä- ja tietojärjestelmien alalla varmuutta siitä, että kyseiset järjestelmät suojaavat tiedot, joita niissä käsitellään, ja toimivat tarkoituksenmukaisella tavalla, oikeaan aikaan ja oikeutettujen käyttäjien valvonnassa. Tehokkaalla tietojen turvaamisella varmistetaan asianmukainen luottamuksellisuuden, eheyden, saatavuuden, kiistattomuuden ja aitouden taso. Tietojen turvaaminen perustuu riskinhallintaprosessiin – ks. liitteessä A olevan 8 artiklan 1 kohta.

’Tietoturvaloukkaus’ tapahtuu, kun henkilö ei noudata tässä päätöksessä säädettyjä turvallisuussääntöjä tai laiminlyö niitä ja/tai turvallisuuspolitiikkaa tai -ohjeita, joissa vahvistetaan päätöksen täytäntöönpanon edellyttämät toimet.

’Turvallisuusluokan alentamisella’ tarkoitetaan turvallisuusluokituksen tason alentamista.

’Turvallisuusluokan poistamisella’ tarkoitetaan minkä tahansa turvallisuusluokan poistamista.

’Turvallisuusluokitellulla alihankintasopimuksella’ tarkoitetaan EUH:n hankeosapuolen toisen hankeosapuolen (eli alihankkijan) kanssa tekemää sopimusta, jolla toimitetaan tavaroita, toteutetaan toimeksiantoja tai tarjotaan palveluja, joiden suoritus edellyttää tai sisältää EU:n turvallisuusluokiteltuihin tietoihin pääsemistä tai niiden tuottamista

’Turvallisuusluokitellulla sopimuksella’ tarkoitetaan EUH:n jonkin hankeosapuolen kanssa tekemää sopimusta, jolla toimitetaan tavaroita, toteutetaan toimeksiantoja tai tarjotaan palveluja, joiden suoritus edellyttää tai sisältää EU:n turvallisuusluokiteltuihin tietoihin pääsemistä tai niiden tuottamista.

’Turvallisuusluokiteltujen tietojen hallinnoinnilla’ tarkoitetaan hallinnollisten toimenpiteiden soveltamista EU:n turvallisuusluokiteltujen tietojen valvomiseksi koko niiden elinkaaren ajan niin, että täydennetään 5, 6 ja 8 artiklassa säädettyjä toimenpiteitä ja siten autetaan estämään ja havaitsemaan tällaisten tietojen tahallinen tai tahaton vaarantuminen tai katoaminen sekä korjaamaan vaarantumis- tai katoamistilanne. Tällaiset toimenpiteet liittyvät erityisesti EU:n turvallisuusluokiteltujen tietojen tuottamiseen, kirjaamiseen, jäljentämiseen, kääntämiseen, kuljettamiseen, käsittelyyn, säilyttämiseen ja hävittämiseen – ks. liitteessä A olevan 7 artiklan 1 kohta.

’Turvallisuusluokitusoppaalla’ tarkoitetaan asiakirjaa, jossa kuvataan turvallisuusluokitellun ohjelman tai sopimuksen osat ja eritellään sovellettavat turvallisuusluokat. Turvallisuusluokitusopasta voidaan laajentaa ohjelman tai sopimuksen koko keston ajan, ja sen sisältämien tietojen turvallisuusluokat voidaan määritellä uudelleen tai niitä voidaan alentaa. Jos turvallisuusluokitusopas on olemassa, sen on oltava osa turvallisuutta koskevaa lisälauseketta – ks. liitteessä A V oleva II jakso.

’Turvallisuustutkinnalla’ tarkoitetaan tutkintamenettelyjä, jotka jäsenvaltion toimivaltainen viranomainen suorittaa kansallisten lakien ja asetusten mukaisesti sen varmistamiseksi, että henkilöstä ei ole tiedossa mitään sellaista kielteistä seikkaa, joka estäisi kansallisen tai EU-turvallisuusselvityksen myöntämisen hänelle EU:n turvallisuusluokiteltujen tietojen saamista varten tiettyyn turvallisuusluokkaan saakka (CONFIDENTIEL UE/EU CONFIDENTIAL tai korkeampi).

’Turvallisuutta koskevalla lisälausekkeella’ tarkoitetaan hankeviranomaisen määräämää erityissopimusehtojen kokonaisuutta, joka on erottamaton osa pääsyä EU:n turvallisuusluokiteltuihin tietoihin tai niiden tuottamista edellyttävää turvallisuusluokiteltua sopimusta ja jossa yksilöidään turvallisuusvaatimukset tai ne sopimuksen osat, joiden turvallisuus on suojattava – ks. liitteessä A V oleva II jakso.

’Turvamenettelyillä’ tarkoitetaan kuvausta harjoitettavan turvallisuusperiaatteiden täytäntöönpanosta, noudatettavista menettelyistä ja henkilöstön velvollisuuksista.

’Uhalla’ tarkoitetaan mahdollista syytä ei-toivottuun tapahtumaan, joka voi johtaa organisaation tai jonkin sen käyttämän järjestelmän vahingoittumiseen. Uhat voivat olla tahattomia tai tahallisia (vihamielisiä), ja niille ovat ominaisia uhkaavat seikat sekä mahdolliset kohteet ja hyökkäysmenetelmät.

’Viestintä- ja tietojärjestelmällä’ tarkoitetaan järjestelmää, joka mahdollistaa tietojen käsittelyn sähköisessä muodossa. Viestintä- ja tietojärjestelmä käsittää kaikki toimintansa kannalta tarpeelliset resurssit, myös infrastruktuurin, organisaation, henkilöstön ja tietoresurssit – ks. liitteessä A olevan 8 artiklan 2 kohta.

’Viestintä- ja tietojärjestelmän elinkaarella’ tarkoitetaan viestintä- ja tietojärjestelmän koko olemassaoloaikaa, johon kuuluvat alullepano, luominen, suunnittelu, vaatimusten analysointi, laatiminen, kehittäminen, koekäyttö, täytäntöönpano, käyttö ja ylläpito sekä käytöstä poistaminen.

’Yhteenliittämisellä’ tarkoitetaan tässä päätöksessä kahden tai useamman tietotekniikkajärjestelmän välitöntä liittämistä toisiinsa tietojen ja muiden tietoresurssien (esimerkiksi viestintä) jakamiseksi yksi- tai monisuuntaisesti – ks. liitteessä A IV oleva 31 kohta.

’Yhteisöturvallisuudella’ tarkoitetaan toimenpiteiden toteuttamista sen varmistamiseksi, että hankeosapuolet tai alihankkijat varmistavat EU:n turvallisuusluokiteltujen tietojen suojaamisen sopimusta edeltävissä neuvotteluissa ja turvallisuusluokiteltujen sopimusten koko elinkaaren ajan – ks. liitteessä A olevan 9 artiklan 1 kohta.

’Yhteisöturvallisuusselvityksellä’ tarkoitetaan kansallisen tai nimetyn turvallisuusviranomaisen hallinnollista päätöstä, jonka mukaan yhteisö tarjoaa turvallisuuden kannalta riittävän suojan tiettyyn turvallisuusluokkaan kuuluville EU:n turvallisuusluokitelluille tiedoille ja jonka mukaan kyseisessä yhteisössä työskentelevälle henkilöstölle, jonka tehtävät edellyttävät EU:n turvallisuusluokiteltuihin tietoihin pääsemistä, on tehty asianmukainen turvallisuusselvitys ja selvitetty EU:n turvallisuusluokiteltuihin tietoihin pääsemisen ja niiden suojaamisen edellyttämät asiaankuuluvat turvallisuusvaatimukset.

’Yrityksellä tai muulla yhteisöllä’ tarkoitetaan tavaroiden toimittamiseen, toimeksiantojen suorittamiseen tai palvelujen tarjoamiseen osallistuvaa yhteisöä. Kyseessä voi olla teollinen, kaupallinen, palvelu-, tieteellinen, tutkimus-, koulutus- tai kehitysyhteisö taikka itsenäinen ammatinharjoittaja.

’YTPP-operaatiolla’ tarkoitetaan SEU-sopimuksen V osaston 2 luvun nojalla toteutettavaa sotilaallista tai siviilikriisinhallintaoperaatiota.

Sus

Alegeți funcționalitățile experimentale pe care doriți să le testați