This document is an excerpt from the EUR-Lex website
Document 32021D0259
Commission Decision (EU, Euratom) 2021/259 of 10 February 2021 laying down implementing rules on industrial security with regard to classified grants
Komission päätös (EU, Euratom) 2021/259, annettu 10 päivänä helmikuuta 2021, yhteisöturvallisuutta turvallisuusluokiteltujen avustusten yhteydessä koskevista soveltamissäännöistä
Komission päätös (EU, Euratom) 2021/259, annettu 10 päivänä helmikuuta 2021, yhteisöturvallisuutta turvallisuusluokiteltujen avustusten yhteydessä koskevista soveltamissäännöistä
C/2021/999
EUVL L 58, 19.2.2021, p. 55–97
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
19.2.2021 |
FI |
Euroopan unionin virallinen lehti |
L 58/55 |
KOMISSION PÄÄTÖS (EU, Euratom) 2021/259,
annettu 10 päivänä helmikuuta 2021,
yhteisöturvallisuutta turvallisuusluokiteltujen avustusten yhteydessä koskevista soveltamissäännöistä
EUROOPAN KOMISSIO, joka
ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen ja erityisesti sen 249 artiklan,
ottaa huomioon Euroopan atomienergiayhteisön perustamissopimuksen ja erityisesti sen 106 artiklan,
ottaa huomioon unionin yleiseen talousarvioon sovellettavista varainhoitosäännöistä, asetusten (EU) N:o 1296/2013, (EU) N:o 1301/2013, (EU) N:o 1303/2013, (EU) N:o 1304/2013, (EU) N:o 1309/2013, (EU) N:o 1316/2013, (EU) N:o 223/2014, (EU) N:o 283/2014 ja päätöksen N:o 541/2014/EU muuttamisesta sekä asetuksen (EU, Euratom) N:o 966/2012 kumoamisesta 18 päivänä heinäkuuta 2018 annetun Euroopan parlamentin ja neuvoston asetuksen (EU, Euratom) 2018/1046 (1),
ottaa huomioon turvallisuudesta komissiossa 13 päivänä maaliskuuta 2015 annetun komission päätöksen (EU, Euratom) 2015/443 (2),
ottaa huomioon EU:n turvallisuusluokiteltujen tietojen suojaamista koskevista säännöistä 13 päivänä maaliskuuta 2015 annetun komission päätöksen (EU, Euratom) 2015/444 (3),
ottaa huomioon viestintä- ja tietojärjestelmien turvallisuudesta Euroopan komissiossa 10 päivänä tammikuuta 2017 annetun komission päätöksen (EU, Euratom) 2017/46 (4),
on kuullut komission turvallisuusasiantuntijaryhmää päätöksen (EU, Euratom) 2015/444 41 artiklan 5 kohdan mukaisesti,
sekä katsoo seuraavaa:
(1) |
Päätöksen (EU, Euratom) 2015/444 41, 42, 47 ja 48 artiklassa säädetään, että kyseisen päätöksen 6 lukua täydentäviä ja tukevia yksityiskohtaisempia säännöksiä annetaan yhteisöturvallisuutta koskevissa soveltamissäännöissä, jotka koskevat turvallisuusluokiteltujen avustussopimusten myöntämismenettelyn, yhteisöturvallisuusselvitysten, henkilöturvallisuusselvitysten, vierailujen sekä EU:n turvallisuusluokiteltujen tietojen siirron ja kuljetuksen kaltaisia kysymyksiä. |
(2) |
Päätöksessä (EU, Euratom) 2015/444 todetaan, että turvallisuusluokitellut avustussopimukset on pantava täytäntöön tiiviissä yhteistyössä asianomaisen jäsenvaltion kansallisen turvallisuusviranomaisen, nimetyn turvallisuusviranomaisen tai muun toimivaltaisen viranomaisen kanssa. Jäsenvaltiot ovat sopineet varmistavansa, että jokaiselle niiden lainkäyttövaltaan kuuluvalle yksikölle, joka voi saada tai tuottaa komissiosta peräisin olevaa turvallisuusluokiteltua tietoa, on tehty asianmukainen turvallisuusselvitys ja että se kykenee tarjoamaan riittävän suojan, joka on vastaavanlainen kuin se, jota Euroopan unionin neuvoston turvallisuussäännöt edellyttävät sellaisen EU:n turvallisuusluokitellun tiedon suojaamisen osalta, jolla on vastaava luokitusmerkintä, kuten säädetään neuvostossa kokoontuneiden Euroopan unionin jäsenvaltioiden välisessä sopimuksessa Euroopan unionin edun vuoksi vaihdettujen turvallisuusluokiteltujen tietojen suojaamisesta (2011/C 202/05) (5). |
(3) |
Neuvosto, komissio ja unionin ulkoasioiden ja turvallisuuspolitiikan korkea edustaja ovat sopineet varmistavansa, että EU:n turvallisuusluokiteltujen tietojen suojaamista koskevia turvallisuussääntöjä sovelletaan mahdollisimman johdonmukaisesti ja että soveltamisessa otetaan huomioon niiden erityiset institutionaaliset ja organisatoriset tarpeet EU:n turvallisuusluokiteltujen tietojen suojaamista koskevista turvallisuussäännöistä annetun neuvoston päätöksen 2013/488/EU (6) hyväksyneen neuvoston istunnon pöytäkirjaan liitettyjen julkilausumien mukaisesti. |
(4) |
Yhteisöturvallisuutta turvallisuusluokiteltujen avustusten yhteydessä koskevissa komission soveltamissäännöissäkin olisi siksi varmistettava mahdollisimman suuri johdonmukaisuus ja otettava huomioon neuvoston turvallisuuskomitean 13 päivänä joulukuuta 2016 hyväksymät yhteisöturvallisuutta koskevat suuntaviivat. |
(5) |
Komissio antoi 4 päivänä toukokuuta 2016 päätöksen (7), jolla turvallisuusasioista vastaavalle komission jäsenelle annetaan valtuudet hyväksyä komission puolesta ja sen vastuulla komission päätöksen (EU, Euratom) 2015/444 60 artiklassa tarkoitetut soveltamissäännöt, |
ON HYVÄKSYNYT TÄMÄN PÄÄTÖKSEN:
1 LUKU
YLEISET SÄÄNNÖKSET
1 artikla
Kohde ja soveltamisala
1. Tässä päätöksessä säädetään päätöksessä (EU, Euratom) 2015/444 ja erityisesti sen 6 luvussa tarkoitetuista soveltamissäännöistä, jotka koskevat yhteisöturvallisuutta turvallisuusluokiteltujen avustusten yhteydessä.
2. Tässä päätöksessä vahvistetaan erityiset vaatimukset, joilla varmistetaan, että EU:n turvallisuusluokitellut tiedot suojataan ehdotuspyyntöjen julkaisemisen, avustusten myöntämisen ja Euroopan komission tekemien turvallisuusluokiteltujen avustussopimusten täytäntöönpanon yhteydessä.
3. Tätä päätöstä sovelletaan avustuksiin, joihin liittyy seuraaville tasoille luokiteltuja tietoja:
a) |
RESTREINT UE/EU RESTRICTED |
b) |
CONFIDENTIEL UE/EU CONFIDENTIAL |
c) |
SECRET UE/EU SECRET. |
4. Tämän päätöksen soveltamisella ei ole vaikutusta muissa säädöksissä vahvistettuihin erityisiin sääntöihin, jotka koskevat esimerkiksi Euroopan puolustusteollista kehittämisohjelmaa.
2 artikla
Vastuu komissiossa
1. Euroopan parlamentin ja neuvoston asetuksessa (EU, Euratom) 2018/1046 tarkoitetun avustuksen myöntävän viranomaisen toimivaltaisen tulojen ja menojen hyväksyjän vastuisiin kuuluu sen varmistaminen, että turvallisuusluokiteltu avustus on päätöksen (EU, Euratom) 2015/444 ja sen täytäntöönpanosääntöjen mukainen.
2. Asianomaisen tulojen ja menojen hyväksyjän on tätä varten pyydettävä kaikissa vaiheissa komission turvallisuusviranomaiselta neuvoa asioissa, jotka koskevat turvallisuusluokitellun avustussopimuksen, ohjelman tai hankkeen turvallisuutta koskevia osia, ja ilmoitettava paikalliselle turvallisuusvastaavalle allekirjoitetuista turvallisuusluokitelluista avustussopimuksista. Avustuksen myöntävä viranomainen tekee päätöksen erityisten aiheiden turvallisuusluokasta ja ottaa päätöksen tekemisessä asianmukaisesti huomioon turvallisuusluokitteluoppaan.
3. Sovellettaessa 5 artiklan 3 kohdassa tarkoitettuja ohjelman tai hankkeen turvallisuusohjeita avustuksen myöntävän viranomaisen ja komission turvallisuusviranomaisen on hoidettava niille turvallisuusohjeissa annetut tehtävät.
4. Komission turvallisuusviranomainen tekee näiden soveltamissääntöjen vaatimusten noudattamisessa tiivistä yhteistyötä asianomaisten jäsenvaltioiden kansallisten turvallisuusviranomaisten ja nimettyjen turvallisuusviranomaisten kanssa erityisesti yhteisöturvallisuusselvitysten ja henkilöturvallisuusselvitysten, vierailumenettelyjen ja kuljetussuunnitelmien osalta.
5. Silloin kun EU:n toimeenpanovirastot tai muut rahoituselimet hallinnoivat avustuksia eikä 1 artiklan 4 kohdassa tarkoitettuja muissa säädöksissä vahvistettuja erityisiä sääntöjä sovelleta,
a) |
tehtävien siirtämisestä vastaava komission osasto käyttää avustusten yhteydessä tuotettujen EU:n turvallisuusluokiteltujen tietojen luovuttajalle kuuluvia oikeuksia, mikäli siirtämisjärjestelyissä näin määrätään |
b) |
tehtävien siirtämisestä vastaava komission osasto vastaa turvallisuusluokituksen määrittämisestä |
c) |
turvallisuusselvityspyynnöt ja ilmoitukset kansallisille ja/tai nimetyille turvallisuusviranomaisille on tehtävä komission turvallisuusviranomaisen kautta. |
2 LUKU
TURVALLISUUSLUOKITELTUJEN AVUSTUSTEN EHDOTUSPYYNTÖJEN KÄSITTELY
3 artikla
Perusperiaatteet
1. Vain jäsenvaltioon rekisteröityneet avustuksen saajat tai kolmanteen maahan rekisteröityneet tai kansainvälisen järjestön perustamat avustuksen saajat saavat panna täytäntöön avustusten turvallisuusluokitellut osat, kun kyseinen kolmas maa tai kansainvälinen järjestö on tehnyt tietoturvasopimuksen EU:n kanssa tai hallinnollisen järjestelyn komission kanssa (8).
2. Avustuksen myöntävän viranomaisen on ennen turvallisuusluokitellun avustuksen ehdotuspyynnön esittämistä määriteltävä kaikkien hakijoille mahdollisesti annettavien tietojen turvallisuusluokka. Avustuksen myöntävän viranomaisen on myös määriteltävä kaikkien niiden tietojen korkein turvallisuusluokka, joita käytetään tai tuotetaan avustussopimuksen, ohjelman tai hankkeen täytäntöönpanon aikana, tai ainakin tuotettavien tai käsiteltävien tietojen odotettu määrä ja tyyppi sekä se, tarvitaanko turvallisuusluokiteltua viestintä- ja tietojärjestelmää.
3. Avustuksen myöntävän viranomaisen on varmistettava, että turvallisuusluokiteltujen avustusten ehdotuspyynnöissä annetaan tietoa turvallisuusluokiteltuihin tietoihin liittyvistä erityisistä turvallisuusvelvoitteista. Pyyntöasiakirjoissa on selvennettävä aikataulu, jonka puitteissa avustuksen saajien on hankittava mahdollinen yhteisöturvallisuusselvitys. Liitteissä I ja II on esimerkkejä ehdotuspyyntöjä koskevien tietojen mallipohjista.
4. Avustuksen myöntävän viranomaisen on varmistettava, että RESTREINT UE/EU RESTRICTED-, CONFIDENTIEL UE/EU CONFIDENTIAL- ja SECRET UE/EU SECRET -turvallisuusluokkien tietoja annetaan hakijoille vasta sen jälkeen, kun nämä ovat allekirjoittaneet salassapitosopimuksen, jossa hakijat velvoitetaan käsittelemään ja suojaamaan EU:n turvallisuusluokiteltuja tietoja päätöksen (EU, Euratom) 2015/444, sen soveltamissääntöjen ja kansallisten sääntöjen mukaisesti.
5. Jos hakijoille annetaan RESTREINT UE/EU RESTRICTED -tietoja, tämän päätöksen 5 artiklan 7 kohdassa tarkoitetut vähimmäisvaatimukset on liitettävä ehdotuspyyntöön tai salassapitojärjestelyihin, jotka tehdään ehdotusvaiheessa.
6. Tämän artiklan 9 kohdassa mainittuja tapauksia lukuun ottamatta kaikilla hakijoilla ja avustuksen saajilla, joiden edellytetään käsittelevän tai säilyttävän toimitiloissaan CONFIDENTIEL UE/EU CONFIDENTIAL- tai SECRET UE/EU SECRET -turvallisuusluokan tietoja joko ehdotusvaiheessa tai itse turvallisuusluokitellun avustussopimuksen täytäntöönpanon aikana, on oltava tarvittavan turvallisuusluokan mukainen yhteisöturvallisuusselvitys. Seuraavaksi esitetään kolme tilannetta, jotka voivat toteutua CONFIDENTIEL UE/EU CONFIDENTIAL- tai SECRET UE/EU SECRET -tasolle luokiteltuja EU:n turvallisuusluokiteltuja tietoja koskevan turvallisuusluokitellun avustuksen ehdotusvaiheessa:
a) |
CONFIDENTIEL UE/EU CONFIDENTIAL- tai SECRET UE/EU SECRET -tasolle luokiteltuihin EU:n turvallisuusluokiteltuihin tietoihin ei ole pääsyä ehdotusvaiheessa: Jos ehdotuspyyntö koskee avustusta, johon kuuluu CONFIDENTIEL UE/EU CONFIDENTIAL- tai SECRET UE/EU SECRET -tasolle luokiteltuja EU:n turvallisuusluokiteltuja tietoja, mutta hakijan ei edellytetä käsittelevän kyseisiä tietoja ehdotusvaiheessa, hakijaa, jolla ei ole tarvittavaa tasoa koskevaa yhteisöturvallisuusselvitystä, ei suljeta pois hakumenettelystä sillä perusteella, että hakijalla ei ole yhteisöturvallisuusselvitystä. |
b) |
CONFIDENTIEL UE/EU CONFIDENTIAL- tai SECRET UE/EU SECRET -tasolle luokiteltuihin EU:n turvallisuusluokiteltuihin tietoihin on ehdotusvaiheessa pääsy avustuksen myöntävän viranomaisen tiloissa: Pääsy myönnetään hakijan henkilöstölle, jolla on tarvittavaa tasoa koskeva henkilöturvallisuusselvitys sekä tiedonsaantitarve. |
c) |
CONFIDENTIEL UE/EU CONFIDENTIAL- tai SECRET UE/EU SECRET -tasolle luokiteltuja EU:n turvallisuusluokiteltuja tietoja käsitellään tai säilytetään ehdotusvaiheessa hakijan toimitiloissa: Jos ehdotuspyynnössä edellytetään, että hakijat käsittelevät tai säilyttävät EU:n turvallisuusluokiteltuja tietoja toimitiloissaan, hakijalla on oltava tarvittavan tason mukainen yhteisöturvallisuusselvitys. Ennen kuin hakijalle annetaan tällaisessa tilanteessa EU:n turvallisuusluokiteltuja tietoja, avustuksen myöntävän viranomaisen on hankittava komission turvallisuusviranomaisen välityksellä asianomaiselta kansalliselta tai nimetyltä turvallisuusviranomaiselta vakuutus siitä, että hakijalle on myönnetty asianmukainen yhteisöturvallisuusselvitys. Pääsy myönnetään hakijan henkilöstölle, jolla on tarvittavaa tasoa koskeva henkilöturvallisuusselvitys sekä tiedonsaantitarve. |
7. Periaatteessa yhteisöturvallisuusselvitystä tai henkilöturvallisuusselvitystä ei edellytetä RESTREINT UE/EU RESTRICTED -turvallisuusluokan tietoihin pääsyyn ehdotusvaiheessa eikä avustussopimuksen täytäntöönpanossa. Jos jäsenvaltio edellyttää kansallisissa laeissaan ja asetuksissaan yhteisöturvallisuusselvitystä tai henkilöturvallisuusselvitystä RESTREINT UE/EU RESTRICTED -turvallisuusluokan avustussopimusten tai alihankintasopimusten osalta liitteessä IV olevan luettelon mukaisesti, kyseiset kansalliset vaatimukset eivät saa aiheuttaa lisävelvollisuuksia muille jäsenvaltioille eivätkä sulkea pois sellaisissa jäsenvaltioissa toimivia hakijoita, avustuksen saajia tai alihankkijoita, joilla ei ole vastaavia yhteisöturvallisuusselvitystä tai henkilöturvallisuusselvitystä koskevia vaatimuksia asiaan liittyvien avustussopimusten tai alihankintasopimusten tai niitä koskevien kilpailujen RESTREINT UE/EU RESTRICTED -turvallisuusluokan tietoihin pääsemiseksi. Nämä avustussopimukset on pantava jäsenvaltioissa täytäntöön kyseisten jäsenvaltioiden kansallisten lakien ja asetusten mukaisesti.
8. Jos yhteisöturvallisuusselvitystä edellytetään ehdotuspyynnön käsittelyssä tai turvallisuusluokitellun avustussopimuksen soveltamiseksi, avustuksen myöntävän viranomaisen on toimitettava komission turvallisuusviranomaisen välityksellä pyyntö avustuksen saajan kansalliselle tai nimetylle turvallisuusviranomaiselle käyttämällä yhteisöturvallisuusselvityksen tietolomaketta tai jotain vastaavaa vakiintunutta sähköistä toimitustapaa. Liitteessä III olevassa lisäyksessä D on esimerkki tietolomakkeesta (9). Yhteisöturvallisuusselvityksen tietolomakkeeseen vastataan mahdollisuuksien mukaan kymmenen työpäivän kuluessa pyynnöstä.
9. Jos jäsenvaltioiden julkiset laitokset tai valtion hallinnassa olevat laitokset osallistuvat turvallisuusluokiteltuihin avustuksiin, joissa edellytetään yhteisöturvallisuusselvitystä, ja jos tällaisilla laitoksilla ei ole kansallisen lainsäädännön mukaista yhteisöturvallisuusselvitystä, avustuksen myöntävä viranomainen tiedustelee asiasta vastaavalta kansalliselta tai nimetyltä turvallisuusviranomaiselta komission turvallisuusviranomaisen kautta, pystyvätkö kyseiset julkiset laitokset käsittelemään EU:n turvallisuusluokiteltuja tietoja vaadittavalla tasolla.
10. Jos turvallisuusluokitellun avustussopimuksen täytäntöönpano edellyttää henkilöturvallisuusselvitystä ja jos kansallisten sääntöjen nojalla henkilöturvallisuusselvityksen saaminen edellyttää yhteisöturvallisuusselvitystä, avustuksen myöntävä viranomainen varmistaa yhteisöturvallisuusselvityksen tietolomakkeella avustuksen saajan kansalliselta tai nimetyltä turvallisuusviranomaiselta komission turvallisuusviranomaisen kautta, että avustuksen saajalla on yhteisöturvallisuusselvitys tai että yhteisöturvallisuusselvitysprosessi on käynnissä. Tässä tapauksessa komissio ei tee henkilöturvallisuusselvityksen tietolomakkeella henkilöturvallisuusselvityspyyntöjä.
4 artikla
Alihankinta turvallisuusluokitelluissa avustuksissa
1. Ehdot, joiden nojalla avustuksen saaja voi tehdä alihankintasopimuksia toimintaan liittyvistä tehtävistä, joihin kuuluu EU:n turvallisuusluokiteltuja tietoja, määritellään ehdotuspyynnössä ja avustussopimuksessa. Näihin ehtoihin sisältyy muun muassa vaatimus siitä, että kaikki yhteisöturvallisuusselvitysten tietolomakkeet toimitetaan komission turvallisuusviranomaisen kautta. Alihankintasopimuksen tekeminen edellyttää etukäteen annettavaa kirjallista lupaa avustuksen myöntävältä viranomaiselta. Tarvittaessa alihankintasopimuksen on oltava ohjelmaa koskevan perussäädöksen mukainen.
2. Avustusten turvallisuusluokitelluista osista voidaan tehdä alihankintasopimus vain jäsenvaltioon rekisteröityneiden yksiköiden tai kolmanteen maahan rekisteröityneiden tai kansainvälisen järjestön perustamien yksiköiden kanssa, kun kyseinen kolmas maa tai kansainvälinen järjestö on tehnyt tietoturvasopimuksen unionin kanssa tai hallinnollisen järjestelyn komission kanssa. (10)
3 LUKU
TURVALLISUUSLUOKITELTUJEN AVUSTUSTEN KÄSITTELY
5 artikla
Perusperiaatteet
1. Turvallisuusluokiteltua avustusta myönnettäessä avustuksen myöntävän viranomaisen on varmistettava yhdessä komission turvallisuusviranomaisen kanssa, että avustussopimuksen täytäntöönpanossa käytettävien tai tuotettavien EU:n turvallisuusluokiteltujen tietojen suojaamista koskevat avustuksen saajan velvollisuudet ovat olennainen osa avustussopimusta. Avustuskohtaiset turvallisuusvaatimukset on esitettävä turvallisuutta koskevina lisälausekkeina. Liitteessä III on esimerkki turvallisuutta koskevan lisälausekkeen mallipohjasta.
2. Ennen turvallisuusluokitellun avustussopimuksen allekirjoittamista avustuksen myöntävän viranomaisen on hyväksyttävä turvallisuusluokitteluopas joko avustussopimusta sovellettaessa suoritettaville tehtäville ja tuotettaville tiedoille tai tarvittaessa ohjelman tai hankkeen tasolla. Turvallisuusluokitteluoppaan on oltava osa turvallisuutta koskevaa lisälauseketta.
3. Ohjelma- tai hankekohtaiset turvallisuusvaatimukset on esitettävä ohjelman (tai hankkeen) turvallisuusohjeina. Ohjelman tai hankkeen turvallisuusohjeet voidaan laatia käyttämällä liitteessä III esitetyn turvallisuutta koskevan lisälausekkeen säännöksiä. Ohjelmaa tai hanketta hallinnoivan komission osaston on laadittava ohjelman tai hankkeen turvallisuusohjeet tiiviissä yhteistyössä komission turvallisuusviranomaisen kanssa, ja ne on toimitettava komission turvallisuusasiantuntijaryhmälle neuvojen saamiseksi. Jos avustussopimus on osa ohjelmaa tai hanketta, jolla on omat ohjelman tai hankkeen turvallisuusohjeet, avustussopimuksen turvallisuutta koskeva lisälauseke on yksinkertaistetussa muodossa ja siinä viitataan ohjelman tai hankkeen turvallisuusohjeissa vahvistettuihin turvallisuussäännöksiin.
4. Edellä 3 artiklan 9 kohdassa mainittuja tapauksia lukuun ottamatta turvallisuusluokiteltua avustussopimusta ei allekirjoiteta ennen kuin hakijan kansallinen tai nimetty turvallisuusviranomainen on vahvistanut hakijan yhteisöturvallisuusselvityksen tai, jos turvallisuusluokiteltu avustussopimus myönnetään konsortiolle, ennen kuin konsortion sisällä vähintään yhden hakijan tai tarvittaessa useamman hakijan kansallinen tai nimetty turvallisuusviranomainen on vahvistanut hakijan yhteisöturvallisuusselvityksen.
5. Avustuksen myöntävä viranomainen katsotaan periaatteessa avustussopimuksen soveltamisen yhteydessä tuotettavien EU:n turvallisuusluokiteltujen tietojen luovuttajaksi, ellei muissa asiaa koskevissa säännöissä muuta määrätä.
6. Avustuksen myöntävän viranomaisen on ilmoitettava komission turvallisuusviranomaisen välityksellä kaikkien avustuksen saajien ja alihankkijoiden kansallisille ja/tai nimetyille turvallisuusviranomaisille turvallisuusluokiteltujen avustussopimusten tai alihankintasopimusten allekirjoittamisesta ja kaikista kyseisten avustussopimusten tai alihankintasopimusten jatkamisista tai ennenaikaisista päättymisistä. Liitteessä IV on luettelo maakohtaisista vaatimuksista.
7. Avustussopimuksissa, jotka koskevat RESTREINT UE/EU RESTRICTED -turvallisuusluokan tietoja, on oltava turvalauseke, jonka nojalla liitteessä III olevassa lisäyksessä E vahvistetuista säännöksistä tehdään avustuksen saajaa sitovia. Kyseisissä avustussopimuksissa on oltava turvallisuutta koskeva lisälauseke, jossa vahvistetaan vähintään RESTREINT UE/EU RESTRICTED -tietojen käsittelyvaatimukset, mukaan lukien tietojen turvaamista koskevat näkökohdat sekä erityisvaatimukset, jotka avustuksen saajan on täytettävä, jotta sen RESTREINT UE/EU RESTRICTED -tietoja käsittelevä viestintä- ja tietojärjestelmä hyväksytään.
8. Jos tätä edellytetään jäsenvaltioiden kansallisissa laeissa ja asetuksissa, kansalliset tai nimetyt turvallisuusviranomaiset varmistavat, että niiden oikeudenkäyttöalueeseen kuuluvat avustuksen saajat tai alihankkijat noudattavat RESTREINT UE/EU RESTRICTED -tietojen suojaamiseksi sovellettavia turvallisuussäännöksiä, ja tekevät tarkastuskäyntejä alueellaan sijaitseviin avustuksen saajan tai alihankkijan toimitiloihin. Jos kansallisilla tai nimetyillä turvallisuusviranomaisilla ei ole tällaista velvollisuutta, avustuksen myöntävän viranomaisen on varmistettava, että avustuksen saajat panevat täytäntöön liitteessä III olevassa lisäyksessä E vahvistetut tarvittavat turvallisuusäännökset.
6 artikla
Avustuksen saajien ja alihankkijoiden henkilöstön pääsy EU:n turvallisuusluokiteltuihin tietoihin
1. Avustuksen myöntävän viranomaisen on varmistettava, että turvallisuusluokiteltujen avustussopimusten säännöksissä ilmoitetaan, että avustuksen saajan tai alihankkijan henkilöstölle, joka tarvitsee turvallisuusluokitellun avustussopimuksen tai alihankintasopimuksen täytäntöönpanoa varten pääsyn EU:n turvallisuusluokiteltuihin tietoihin, voidaan myöntää pääsy vain, jos
a) |
kyseisen henkilöstön tiedonsaantitarve on vahvistettu |
b) |
asianomainen kansallinen tai nimetty turvallisuusviranomainen tai muu toimivaltainen turvallisuusviranomainen on tehnyt kyseiselle henkilöstölle asianmukaisen turvallisuusselvityksen CONFIDENTIEL UE/EU CONFIDENTIAL- tai SECRET UE/EU SECRET -turvallisuusluokan tietojen osalta |
c) |
henkilöstölle on selvitetty EU:n turvallisuusluokiteltujen tietojen suojaamiseen sovellettavat turvallisuussäännöt ja henkilöstö on vahvistanut ymmärtävänsä tällaisten tietojen suojaamista koskevan vastuunsa. |
2. Tarvittaessa pääsyssä EU:n turvallisuusluokiteltuihin tietoihin on noudatettava myös ohjelman perussäädöstä ja otettava huomioon mahdolliset turvallisuusluokitteluoppaassa määritellyt lisämerkinnät.
3. Jos avustuksen saaja tai alihankkija haluaa käyttää EU:n ulkopuolisen maan kansalaista tehtävässä, joka edellyttää pääsyä CONFIDENTIEL UE/EU CONFIDENTIAL- tai SECRET UE/EU SECRET -tasolle luokiteltuihin EU:n turvallisuusluokiteltuihin tietoihin, avustuksen saajan tai alihankkijan on käynnistettävä kyseisen henkilön turvallisuusselvitysmenettely niiden kansallisten lakien ja asetusten mukaisesti, joita sovelletaan paikassa, joissa pääsy EU:n turvallisuusluokiteltuihin tietoihin on määrä myöntää.
7 artikla
Tarkastuksiin ja uudelleenarviointeihin osallistuvien asiantuntijoiden pääsy EU:n turvallisuusluokiteltuihin tietoihin
1. Kun avustuksen myöntävän viranomaisen tarkastuksiin ja uudelleenarviointeihin tai avustuksen saajien tuloksellisuuden arviointiin osallistuu ulkopuolisia henkilöitä, jäljempänä ’asiantuntijat’, jotka tarvitsevat pääsyn CONFIDENTIEL UE/EU CONFIDENTIAL- tai SECRET UE/EU SECRET -tasolle luokiteltuihin tietoihin, niiden kanssa voidaan tehdä sopimus vain, jos asianomainen kansallinen tai nimetty turvallisuusviranomainen tai muu toimivaltainen turvallisuusviranomainen on tehnyt niille asianmukaisen turvallisuusselvityksen. Avustuksen myöntävä viranomainen tarkastaa komission turvallisuusviranomaisen välityksellä asiantuntijoiden taustat ja tarvittaessa pyytää kansallista tai nimettyä turvallisuusviranomaista käynnistämään taustojen tarkastusmenettelyn vähintään kuusi kuukautta ennen asiantuntijoiden sopimusten alkamista.
2. Ennen sopimusten allekirjoittamista asiantuntijoille on selvitettävä EU:n turvallisuusluokiteltujen tietojen suojaamiseen sovellettavat turvallisuussäännöt ja asiantuntijoiden on vahvistettava ymmärtävänsä tällaisten tietojen suojaamista koskevan vastuunsa.
4 LUKU
TURVALLISUUSLUOKITELTUIHIN AVUSTUSSOPIMUKSIIN LIITTYVÄT VIERAILUT
8 artikla
Perusperiaatteet
1. Jos avustuksen myöntävän viranomaisen, asiantuntijoiden, avustuksen saajien tai alihankkijoiden on saatava toistensa tiloissa pääsy CONFIDENTIEL UE/EU CONFIDENTIAL- tai SECRET UE/EU SECRET -turvallisuusluokan tietoihin turvallisuusluokitellun avustussopimuksen täytäntöön panemiseksi, vierailuista on sovittava asianomaisten kansallisten tai nimettyjen turvallisuusviranomaisten tai muun toimivaltaisen turvallisuusviranomaisen kanssa.
2. Edellä 1 kohdassa tarkoitettuja vierailuja koskevat seuraavat vaatimukset:
a) |
Vierailulla on oltava virallinen tarkoitus, joka liittyy turvallisuusluokiteltuun avustukseen. |
b) |
Kaikilla vierailijoilla on oltava tarvittavan tason mukainen henkilöturvallisuusselvitys sekä tiedonsaantitarve, jotta he voivat päästä turvallisuusluokitellun avustuksen täytäntöönpanossa käytettyihin tai tuotettuihin EU:n turvallisuusluokiteltuihin tietoihin. |
9 artikla
Vierailupyynnöt
1. Toisten avustuksen saajien tai alihankkijoiden toimitiloihin tai avustuksen myöntävän viranomaisen tiloihin tehtävät avustuksen saajien tai alihankkijoiden vierailut, joihin kuuluu pääsy CONFIDENTIEL UE/EU CONFIDENTIAL- tai SECRET UE/EU SECRET -turvallisuusluokan tietoihin, on järjestettävä seuraavan menettelyn mukaisesti:
a) |
Vierailijan lähettävän toimitilan turvallisuusvastaavan on täytettävä kaikki vierailupyyntölomakkeen asiaankuuluvat osat ja toimitettava pyyntö kyseisen toimitilan kansalliselle tai nimetylle turvallisuusviranomaiselle. Liitteessä III olevassa lisäyksessä C on vierailupyyntölomakkeen mallipohja. |
b) |
Lähettävän toimitilan kansallisen tai nimetyn turvallisuusviranomaisen on vahvistettava vierailijan henkilöturvallisuusselvitys ennen vierailupyynnön lähettämistä vastaanottavan toimitilan kansalliselle tai nimetylle turvallisuusviranomaiselle (tai komission turvallisuusviranomaiselle, jos vierailu tehdään avustuksen myöntävän viranomaisen tiloihin). |
c) |
Lähettävän toimitilan turvallisuusvastaavan on sitten saatava kansalliselta tai nimetyltä turvallisuusviranomaiseltaan vastaanottavan toimitilan kansallisen tai nimetyn turvallisuusviranomaisen (tai komission turvallisuusviranomaisen) vastaus, jossa joko hyväksytään tai hylätään vierailupyyntö. |
d) |
Vierailupyyntö katsotaan hyväksytyksi, jos vastalauseita ei esitetä viittä työpäivää ennen vierailupäivää. |
2. Avustuksen saajien tai alihankkijoiden toimitiloihin tehtävät avustuksen myöntävän viranomaisen virkamiesten tai asiantuntijoiden tai tarkastajien vierailut, joihin kuuluu pääsy CONFIDENTIEL UE/EU CONFIDENTIAL- tai SECRET UE/EU SECRET -turvallisuusluokan tietoihin, on järjestettävä seuraavan menettelyn mukaisesti:
a) |
Vierailijan on täytettävä kaikki vierailupyyntölomakkeen asiaankuuluvat osat ja toimitettava se komission turvallisuusviranomaiselle. |
b) |
Komission turvallisuusviranomaisen on vahvistettava vierailijan henkilöturvallisuusselvitys ennen vierailupyynnön toimittamista vastaanottavan toimitilan kansalliselle tai nimetylle turvallisuusviranomaiselle. |
c) |
Komission turvallisuusviranomaisen on saatava vastaanottavan toimitilan kansalliselta tai nimetyltä turvallisuusviranomaiselta vastaus, jossa joko hyväksytään tai hylätään vierailupyyntö. |
d) |
Vierailupyyntö katsotaan hyväksytyksi, jos vastalauseita ei esitetä viittä työpäivää ennen vierailupäivää. |
3. Vierailupyyntö voi koskea yhtä vierailua tai toistuvia vierailuja. Jos kyse on toistuvista vierailusta, vierailupyyntö voi olla voimassa enintään yhden vuoden pyydetystä aloituspäivästä.
4. Vierailupyynnön voimassaoloaika ei saa ylittää vierailijan henkilöturvallisuusselvityksen voimassaoloaikaa.
5. Vierailupyyntö tulisi yleensä toimittaa vastaanottavan toimitilan toimivaltaiselle turvallisuusviranomaiselle vähintään 15 työpäivää ennen vierailupäivää.
10 artikla
Vierailumenettelyt
1. Ennen kuin vierailijoille annetaan pääsy EU:n turvallisuusluokiteltuihin tietoihin, vastaanottavan toimitilan turvallisuusvastaavan on noudatettava kaikkia vierailuun liittyviä turvallisuusmenettelyjä ja sääntöjä, jotka sen kansallinen tai nimetty turvallisuusviranomainen on vahvistanut.
2. Vierailijoiden on todistettava henkilöllisyytensä saapuessaan vastaanottavaan toimitilaan esittämällä voimassa oleva henkilökortti tai passi. Näiden henkilötietojen on vastattava vierailupyynnössä toimitettuja tietoja.
3. Vastaanottavan toimitilan on varmistettava, että kaikista vierailijoista pidetään rekisteriä, joka sisältää vierailijoiden nimet, heidän edustamansa organisaation, henkilöturvallisuusselvityksen voimassaolon päättymispäivän, vierailupäivän ja niiden henkilöiden nimet, joiden luona on vierailtu. Tällaista rekisteriä säilytetään vähintään viisi vuotta tai pidempään, jos sitä edellytetään sen maan kansallisissa säännöissä ja asetuksissa, jossa vastaanottava toimitila sijaitsee.
11 artikla
Suoraan järjestetyt vierailut
1. Tiettyjen hankkeiden yhteydessä asianomaiset kansalliset tai nimetyt turvallisuusviranomaiset tai komission turvallisuusviranomainen voivat sopia menettelystä, jossa nimenomaista turvallisuusluokiteltua avustusta koskevia vierailuja voidaan järjestää suoraan vierailijan turvallisuusvastaavan ja vierailun kohteena olevan toimitilan turvallisuusvastaavan välillä. Liitteessä III olevassa lisäyksessä C esitetään tätä varten käytettävän lomakkeen mallipohja. Tällainen poikkeuksellinen menettely on vahvistettava ohjelman tai hankkeen turvallisuusohjeissa tai muissa erityisjärjestelyissä. Tällaisissa tapauksissa ei sovelleta 9 artiklassa ja 10 artiklan 1 kohdassa säädettyjä menettelyjä.
2. Vierailuista, joihin kuuluu pääsy RESTREINT UE/EU RESTRICTED -turvallisuusluokan tietoihin, on sovittava suoraan lähettävän ja vastaanottavan yhteisön välillä, eikä 9 artiklassa ja 10 artiklan 1 kohdassa säädettyjä menettelyjä tarvitse noudattaa.
5 LUKU
EU:N TURVALLISUUSLUOKITELTUJEN TIETOJEN SIIRTO JA KULJETUS TURVALLISUUSLUOKITELTUJEN AVUSTUSSOPIMUSTEN TÄYTÄNTÖÖNPANOSSA
12 artikla
Perusperiaatteet
Avustuksen myöntävän viranomaisen on varmistettava, että kaikki EU:n turvallisuusluokiteltujen tietojen siirtoon ja kuljetukseen liittyvät päätökset ovat päätöksen (EU, Euratom) 2015/444 ja sen soveltamissääntöjen sekä turvallisuusluokitellun avustussopimuksen ehtojen, myös luovuttajan suostumuksen, mukaisia.
13 artikla
Sähköinen käsittely
1. EU:n turvallisuusluokiteltujen tietojen sähköinen käsittely ja siirto on tehtävä päätöksen (EU, Euratom) 2015/444 5 ja 6 luvun ja päätöksen soveltamissääntöjen mukaisesti.
Vastuussa olevan turvallisuusjärjestelyjen hyväksyntäviranomaisen on hyväksyttävä avustuksen saajan omistamat viestintä- ja tietojärjestelmät, joita käytetään EU:n turvallisuusluokiteltujen tietojen käsittelyyn avustussopimuksen täytäntöönpanossa, jäljempänä ’avustuksen saajan viestintä- ja tietojärjestelmät’. EU:n turvallisuusluokiteltujen tietojen sähköinen siirto on suojattava kokonaisuudessaan päätöksen (EU, Euratom) 2015/444 36 artiklan 4 kohdan mukaisesti hyväksytyillä salaustuotteilla. TEMPEST-turvatoimet on pantava täytäntöön kyseisen päätöksen 36 artiklan 6 kohdan mukaisesti.
2. RESTREINT UE/EU RESTRICTED -tasolle luokiteltuja EU:n turvallisuusluokiteltuja tietoja käsittelevän avustuksen saajan viestintä- ja tietojärjestelmän ja sen liitäntöjen turvallisuusjärjestelyjen hyväksyntä voidaan siirtää avustuksen saajan turvallisuusvastaavalle, jos se sallitaan kansallisissa laeissa ja asetuksissa. Siinä tapauksessa, että tämä tehtävä siirretään, avustuksen saajan on vastattava turvallisuutta koskevassa lisälausekkeessa kuvattujen vähimmäisturvallisuusvaatimusten täytäntöönpanosta, kun sen viestintä- ja tietojärjestelmässä käsitellään RESTREINT UE/EU RESTRICTED -turvallisuusluokan tietoja. Asianomaisilla kansallisilla tai nimetyillä turvallisuusviranomaisilla ja turvallisuusjärjestelyjen hyväksyntäviranomaisilla säilyy kuitenkin vastuu avustuksen saajan käsittelemien RESTREINT UE/EU RESTRICTED -turvallisuusluokan tietojen suojaamisesta sekä oikeus tarkastaa avustuksen saajan toteuttamat turvallisuustoimenpiteet. Avustuksen saajan on lisäksi annettava avustuksen myöntävälle viranomaiselle ja, kansallisten lakien ja asetusten niin edellyttäessä, toimivaltaiselle kansalliselle turvallisuusjärjestelyjen hyväksyntäviranomaiselle vaatimustenmukaisuuslausunto, jossa vahvistetaan, että avustuksen saajan viestintä- ja tietojärjestelmä ja siihen liittyvät liitännät on hyväksytty RESTREINT UE/EU RESTRICTED -tasolle luokiteltujen EU:n turvallisuusluokiteltujen tietojen käsittelyyn (11).
14 artikla
Kuljetus kaupallisten kuriirien avulla
EU:n turvallisuusluokiteltujen tietojen kuljetuksessa kaupallisten kuriirien avulla on noudatettava luokkaan RESTREINT UE/EU RESTRICTED kuuluvien tietojen käsittelyä koskevista soveltamissäännöistä annetun komission päätöksen (EU, Euratom) 2019/1962 (12) ja luokkiin CONFIDENTIEL UE/EU CONFIDENTIAL ja SECRET UE/EU SECRET kuuluvien tietojen käsittelyä koskevista soveltamissäännöistä annetun komission päätöksen (EU, Euratom) 2019/1961 (13) asiaankuuluvia säännöksiä.
15 artikla
Henkilökohtainen kuljetus
1. Turvallisuusluokiteltujen tietojen kuljettamiseen henkilökohtaisesti sovelletaan tiukkoja turvallisuusvaatimuksia.
2. Avustuksen saajan henkilöstö voi kuljettaa RESTREINT UE/EU RESTRICTED -tietoja henkilökohtaisesti EU:ssa edellyttäen, että seuraavat vaatimukset täytetään:
a) |
Käytettävä kirjekuori tai pakkaus on läpinäkymätön eikä siinä ilmoiteta sisällön turvallisuusluokitusta. |
b) |
Turvallisuusluokitellut tiedot pysyvät koko ajan kuljettajan hallussa. |
c) |
Kirjekuorta tai pakkausta ei avata matkalla. |
3. Kun avustuksen saajan henkilöstö kuljettaa henkilökohtaisesti CONFIDENTIEL UE/EU CONFIDENTIAL- ja SECRET UE/EU SECRET -turvallisuusluokan tietoja jonkin jäsenvaltion sisällä, kuljetuksesta sovitaan etukäteen lähettävän ja vastaanottavan yhteisön välillä. Lähettävä viranomainen tai toimitila ilmoittaa vastaanottavalle viranomaiselle tai toimitilalle lähetyksen tiedot, muun muassa viitteen, luokituksen, arvioidun saapumisajan ja kuriirin nimen. Tällainen henkilökohtainen kuljetus on sallittu, jos seuraavat vaatimukset täytetään:
a) |
Turvallisuusluokitellut tiedot kuljetetaan kaksinkertaisessa kirjekuoressa tai pakkauksessa. |
b) |
Ulompi kirjekuori on sinetöity eikä siihen ole merkitty sisällön luokitusta, ja sisempään kirjekuoreen on merkitty turvallisuusluokka. |
c) |
EU:n turvallisuusluokitellut tiedot pysyvät koko ajan kuljettajan hallussa. |
d) |
Kirjekuorta tai pakkausta ei avata matkalla. |
e) |
Kirjekuorta tai pakkausta kuljetetaan lukitussa salkussa tai vastaavassa hyväksytyssä säiliössä, joka on sen kokoinen ja painoinen, että kuljettaja voi pitää sitä jatkuvasti hallussaan eikä sitä jätetä matkatavarakuljetukseen. |
f) |
Kuriirilla on toimivaltaisen turvallisuusviranomaisensa myöntämä kuriiritodistus siitä, että hänellä on lupa kuljettaa kyseistä turvallisuusluokiteltua lähetystä. |
4. Kun avustuksen saajan henkilöstö kuljettaa henkilökohtaisesti CONFIDENTIEL UE/EU CONFIDENTIAL- ja SECRET UE/EU SECRET -turvallisuusluokan tietoja yhdestä jäsenvaltiosta toiseen, sovelletaan seuraavia lisäsääntöjä:
a) |
Kuriiri vastaa turvallisuusluokitellun aineiston turvallisesta tallessapidosta siihen asti, että se luovutetaan vastaanottajalle. |
b) |
Jos turvallisuutta loukataan, lähettäjän kansallinen tai nimetty turvallisuusviranomainen voi pyytää sen maan viranomaisia, jossa loukkaus tapahtui, suorittamaan tutkinnan, ilmoittamaan havainnoista ja ryhtymään tarvittaessa oikeudellisiin tai muihin toimiin. |
c) |
Kuriirille on selvitetty kaikki turvallisuusvelvoitteet, joita on noudatettava kuljetuksen aikana, ja hänen on pitänyt allekirjoittaa asianmukainen vahvistus. |
d) |
Kuriirin ohjeet on liitettävä kuriiritodistukseen. |
e) |
Kuriirille on annettu kuvaus lähetyksestä ja reitistä. |
f) |
Asiakirjat on palautettava ne antaneelle kansalliselle tai nimetylle turvallisuusviranomaiselle, kun matka(t) on saatettu loppuun, tai vastaanottajan on pidettävä ne saatavilla seurantaa varten. |
g) |
Jos tulli, maahanmuuttoviranomaiset tai rajapoliisi haluaa tutkia ja tarkastaa lähetyksen, niille on annettava lupa avata lähetys ja havainnoida sen osia riittävästi, jotta voidaan vahvistaa, että siinä ei ole muuta kuin ilmoitettua aineistoa. |
h) |
Tulliviranomaisia olisi kehotettava kunnioittamaan kuljetettavien asiakirjojen ja kuriirin lupa-asiakirjojen virallista asemaa. |
Jos tulli avaa lähetyksen, se olisi tehtävä valtuuttamattomien henkilöiden näkymättömissä ja kuriirin läsnä ollessa, jos se on mahdollista. Kuriirin on pyydettävä, että lähetys pakataan uudelleen ja että tarkastuksen tehneet viranomaiset sinetöivät lähetyksen uudelleen ja vahvistavat kirjallisesti avanneensa lähetyksen.
5. Kun avustuksen saajan henkilöstö kuljettaa henkilökohtaisesti RESTREINT UE/EU RESTRICTED-, CONFIDENTIEL UE/EU CONFIDENTIAL- ja SECRET UE/EU SECRET -turvallisuusluokan tietoja kolmanteen maahan tai kansainväliseen järjestöön, sovelletaan unionin ja kyseisen kolmannen maan tai kansainvälisen järjestön tekemän tietoturvasopimuksen tai komission ja kyseisen kolmannen maan tai kansainvälisen järjestön tekemän hallinnollisen järjestelyn säännöksiä.
6 LUKU
TOIMINNAN JATKUVUUSSUUNNITTELU
16 artikla
Varautumissuunnitelmat ja korjaavat toimet
Avustuksen myöntävän viranomaisen on varmistettava turvallisuusluokitellun avustussopimuksen edellyttävän, että avustuksen saaja laatii toiminnan jatkuvuussuunnitelmia turvallisuusluokitellun avustuksen yhteydessä käsiteltävien EU:n turvallisuusluokiteltujen tietojen suojaamiseksi hätätilanteissa ja ottaa toiminnan jatkuvuussuunnittelun yhteydessä käyttöön ennalta ehkäiseviä ja korjaavia toimia, jotta häiriöiden vaikutus EU:n turvallisuusluokiteltujen tietojen käsittelyyn ja säilyttämiseen voidaan minimoida. Avustuksen saajan on vahvistettava avustuksen myöntävälle viranomaiselle, että sillä on käytössä toiminnan jatkuvuussuunnitelma.
17 artikla
Voimaantulo
Tämä päätös tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.
Tehty Brysselissä 10 päivänä helmikuuta 2021.
Komission puolesta
Puheenjohtajan nimissä
Johannes HAHN
Komission jäsen
(1) EUVL L 193, 30.7.2018, s. 1.
(2) EUVL L 72, 17.3.2015, s. 41.
(3) EUVL L 72, 17.3.2015, s. 53.
(4) EUVL L 6, 11.1.2017, s. 40.
(5) EUVL C 202, 8.7.2011, s. 13.
(6) Neuvoston päätös 2013/488/EU, annettu 23 päivänä syyskuuta 2013, EU:n turvallisuusluokiteltujen tietojen suojaamista koskevista turvallisuussäännöistä (EUVL L 274, 15.10.2013, s. 1).
(7) Komission päätös, annettu 4 päivänä toukokuuta 2016, turvallisuuteen liittyvästä valtuutuksesta (C(2016) 2797 final).
(8) Komission verkkosivustolla on luettelo EU:n tekemistä sopimuksista ja Euroopan komission tekemistä hallinnollisista järjestelyistä, joiden nojalla EU:n turvallisuusluokiteltuja tietoja voidaan vaihtaa kolmansien maiden ja kansainvälisten järjestöjen kanssa.
(9) Muiden käytettävien lomakkeiden muotoilu voi poiketa näissä soveltamissäännöissä esitetystä esimerkistä.
(10) Komission verkkosivustolla on luettelo EU:n tekemistä sopimuksista ja Euroopan komission tekemistä hallinnollisista järjestelyistä, joiden nojalla EU:n turvallisuusluokiteltuja tietoja voidaan vaihtaa kolmansien maiden ja kansainvälisten järjestöjen kanssa.
(11) Liitteessä III olevassa lisäyksessä E esitetään RESTREINT UE/EU RESTRICTED -tasolle luokiteltuja EU:n turvallisuusluokiteltuja tietoja käsittelevien viestintä- ja tietojärjestelmien vähimmäisvaatimukset.
(12) Komission päätös (EU, Euratom) 2019/1962, annettu 17 päivänä lokakuuta 2019, luokkaan RESTREINT UE/EU RESTRICTED kuuluvien tietojen käsittelyä koskevista soveltamissäännöistä (EUVL L 311, 2.12.2019, s. 21).
(13) Komission päätös (EU, Euratom) 2019/1961, annettu 17 päivänä lokakuuta 2019, luokkiin CONFIDENTIEL UE/EU CONFIDENTIAL ja SECRET UE/EU SECRET kuuluvien tietojen käsittelyä koskevista soveltamissäännöistä (EUVL L 311, 2.12.2019, s. 1).
LIITE I
EHDOTUSPYYNTÖJEN VAKIOTIEDOT
(muokataan käytettävän ehdotuspyynnön mukaan)
Turvallisuus
Hankkeille, joissa käsitellään EU:n turvallisuusluokiteltuja tietoja, on tehtävä turvallisuustarkastelu rahoituksen vahvistamiseksi, ja niihin voidaan soveltaa erityisiä turvallisuussääntöjä (tarkemmat tiedot avustussopimuksen liitteenä olevassa turvallisuutta koskevassa lisälausekkeessa).
Näissä säännöissä (joista säädetään komission päätöksessä (EU, Euratom) 2015/444 (1) ja/tai kansallisissa säännöissä) edellytetään esimerkiksi seuraavaa:
— |
Hankkeita, joissa käsitellään TRES SECRET UE/EU TOP SECRET -turvallisuusluokan (tai vastaavia) tietoja, EI voida rahoittaa. |
— |
Turvallisuusluokitellut tiedot on merkittävä turvallisuutta koskevan lisälausekkeen sisältämien sovellettavien turvallisuusohjeiden mukaisesti. |
— |
Tietoja, jotka kuuluvat CONFIDENTIEL UE/EU CONFIDENTIAL -turvallisuusluokkaan tai sitä ylempään turvallisuusluokkaan (sekä RESTREINT UE/EU RESTRICTED -luokkaan, jos kansalliset säännöt sitä edellyttävät)
|
— |
Avustussopimuksen päättyessä turvallisuusluokitellut tiedot joko palautetaan tai niiden suojaamista jatketaan sovellettavien sääntöjen mukaisesti. |
— |
Toimintaan liittyvistä tehtävistä, joihin kuuluu EU:n turvallisuusluokiteltuja tietoja, saa tehdä alihankintasopimuksia vain avustuksen myöntävän viranomaisen etukäteen antamalla kirjallisella luvalla ja vain sellaisen yhteisön kanssa, joka on sijoittautunut johonkin EU:n jäsenvaltioon tai EU:n ulkopuoliseen maahan, joka on tehnyt tietoturvasopimuksen EU:n kanssa (tai hallinnollisen järjestelyn komission kanssa). |
— |
EU:n turvallisuusluokiteltujen tietojen luovuttaminen kolmansille osapuolille edellyttää avustuksen myöntävän viranomaisen kirjallista etukäteissuostumusta. |
Huom. Toiminnan tyypistä riippuen ennen avustuksen allekirjoittamista saatetaan vaatia yhteisöturvallisuusvarmistusta. Avustuksen myöntävä viranomainen arvioi yhteisöturvallisuusvarmistuksen tarpeen tapauskohtaisesti ja määrää sen toimittamispäivän avustuksen valmisteluvaiheessa. Huom. Missään olosuhteissa ei voida allekirjoittaa avustussopimusta, ennen kuin vähintään yhdelle konsortioon kuuluvista avustuksen saajista on tehty yhteisöturvallisuusvarmistus.
Avustussopimukseen voidaan lisätä muita turvallisuussuosituksia turvallisuustuotosten muodossa (esim. perustetaan turvallisuuden neuvontaryhmä, rajoitetaan yksityiskohtaisuuden tasoa, harjoitellaan kuvitellulla tilanteella, suljetaan pois turvallisuusluokiteltujen tietojen käyttö).
Avustuksen saajien on varmistettava, että niiden hankkeisiin ei sovelleta kansallisia tai kolmansien maiden turvallisuusvaatimuksia, jotka voisivat haitata toteuttamista tai kyseenalaistaa avustuksen myöntämisen (esim. teknologian rajoitukset, kansallinen turvallisuusluokka). Myöntävälle viranomaiselle on ilmoitettava välittömästi mahdollisista turvallisuusongelmista.
[Puitekumppanuussopimuksia koskeva lisäVAIHTOEHTO: Puitekumppanuuksissa turvallisuustarkastelu saatetaan tehdä sekä puitekumppanuushakemuksille että avustushakemuksille.]
(1) Ks. komission päätös (EU, Euratom) 2015/444, annettu 13 päivänä maaliskuuta 2015, EU:n turvallisuusluokiteltujen tietojen suojaamista koskevista säännöistä (EUVL L 72, 17.3.2015, s. 53).
LIITE II
AVUSTUSSOPIMUSTEN VAKIOLAUSEKKEET
(muokataan käytettävän avustussopimuksen mukaan)
13.2 Turvallisuus – turvallisuusluokitellut tiedot
Osapuolten on käsiteltävä (sekä EU:n että kansallisia) turvallisuusluokiteltuja tietoja niihin sovellettavan EU:n tai kansallisen lainsäädännön (erityisesti komission päätöksen (EU, Euratom) 2015/444 (1) ja sen soveltamissääntöjen) mukaisesti.
(Mahdolliset) erityiset turvallisuussäännöt on esitetty liitteessä 5.
LIITE 5
Turvallisuus – EU:n turvallisuusluokitellut tiedot
[VAIHTOEHTO toimille, joihin sisältyy EU:n turvallisuusluokiteltuja tietoja (vakio): Jos toimessa käytetään tai tuotetaan EU:n turvallisuusluokiteltuja tietoja, niitä on käsiteltävä liitteessä 1 olevien turvallisuusluokitteluoppaan (SCG) ja turvallisuutta koskevan lisälausekkeen sekä päätöksen (EU, Euratom) 2015/444 ja sen soveltamissääntöjen mukaisesti, kunnes tietojen turvaluokitus poistetaan.
Kaikki turvallisuusluokiteltuja tietoja sisältävät tuotokset on toimitettava avustuksen myöntävän viranomaisen kanssa sovittujen erityismenettelyjen mukaisesti.
Toimintaan liittyvistä tehtävistä, joihin kuuluu EU:n turvallisuusluokiteltuja tietoja, saa tehdä alihankintasopimuksia vain avustuksen myöntävän viranomaisen etukäteen erikseen antamalla kirjallisella luvalla ja vain sellaisen yhteisön kanssa, joka on sijoittautunut johonkin EU:n jäsenvaltioon tai EU:n ulkopuoliseen maahan, joka on tehnyt tietoturvasopimuksen EU:n kanssa (tai hallinnollisen järjestelyn komission kanssa).
EU:n turvallisuusluokiteltuja tietoja ei saa paljastaa kolmansille osapuolille (ei edes toimen toteuttamiseen osallistuville tahoille) ilman avustuksen myöntävän viranomaisen etukäteen antamaa nimenomaista kirjallista lupaa.]
(1) Komission päätös (EU, Euratom) 2015/444, annettu 13 päivänä maaliskuuta 2015, EU:n turvallisuusluokiteltujen tietojen suojaamista koskevista säännöistä (EUVL L 72, 17.3.2015, s. 53).
LIITE III
[(...:n) liite IV]
TURVALLISUUTTA KOSKEVA LISÄLAUSEKE (1)
[malli]
Lisäys A
TURVALLISUUSVAATIMUKSET
Avustuksen myöntävän viranomaisen on sisällytettävä seuraavat turvallisuusvaatimukset turvallisuutta koskevaan lisälausekkeeseen. Joitakin lausekkeita ei ehkä sovelleta avustussopimukseen. Ne esitetään hakasulkeissa.
Lausekeluettelo ei ole tyhjentävä. Lisälausekkeita voidaan lisätä turvallisuusluokitellun avustuksen luonteen mukaan.
YLEISET EHDOT [Huom. Sovelletaan kaikkiin turvallisuusluokiteltuihin avustussopimuksiin]
1. |
Tämä turvallisuutta koskeva lisälauseke on olennainen osa turvallisuusluokiteltua avustussopimusta [tai alihankintasopimusta], ja siinä kuvataan avustussopimuskohtaiset turvallisuusvaatimukset. Näiden vaatimusten laiminlyönti voi olla riittävä syy avustussopimuksen irtisanomiseen. |
2. |
Kaikki komission päätöksessä (EU, Euratom) 2015/444 (2), jäljempänä ’päätös 2015/444’, ja sen soveltamissäännöissä (3) vahvistetut velvollisuudet koskevat avustuksen saajia. Jos avustuksen saajalla on ongelmia asiaan sovellettavan lainsäädännön soveltamisessa jäsenvaltiossa, sen on ilmoitettava tästä komission turvallisuusviranomaiselle ja kansalliselle turvallisuusviranomaiselle tai nimetylle turvallisuusviranomaiselle. |
3. |
Avustussopimuksen täytäntöönpanossa tuotetut turvallisuusluokitellut tiedot on merkittävä EU:n turvallisuusluokitelluiksi tiedoiksi turvallisuusluokituksen tasolle, joka on määritelty tämän lausekkeen lisäyksessä B olevassa turvallisuusluokitteluoppaassa. Turvallisuusluokitteluoppaassa määrätystä turvallisuusluokituksen tasosta saa poiketa vain avustuksen myöntävän viranomaisen kirjallisella luvalla. |
4. |
Komissio käyttää avustuksen myöntävänä viranomaisena oikeuksia, jotka kuuluvat turvallisuusluokitellun avustussopimuksen täytäntöönpanossa luotujen ja käsiteltyjen EU:n turvallisuusluokiteltujen tietojen luovuttajalle. |
5. |
Avustuksen saaja tai alihankkija ei saa ilman avustuksen myöntävän viranomaisen kirjallista suostumusta käyttää avustuksen myöntävän viranomaisen antamia tai kyseisen viranomaisen puolesta tuotettuja tietoja tai aineistoja mihinkään muuhun tarkoitukseen kuin avustussopimusta varten. |
6. |
Jos avustussopimuksen täytäntöönpanossa edellytetään yhteisöturvallisuusselvitystä, avustuksen saajan on pyydettävä avustuksen myöntävää viranomaista käsittelemään yhteisöturvallisuusselvityspyyntö. |
7. |
Avustuksen saajan on tutkittava kaikki EU:n turvallisuusluokiteltuihin tietoihin liittyvät turvallisuuden loukkaukset ja ilmoitettava niistä avustuksen myöntävälle viranomaiselle niin pian kuin se on käytännössä mahdollista. Avustuksen saajan tai alihankkijan on ilmoitettava välittömästi vastuulliselle kansalliselle turvallisuusviranomaiselleen tai nimetylle turvallisuusviranomaiselleen ja, jos se on sallittua kansallisissa laeissa ja asetuksissa, komission turvallisuusviranomaiselle kaikista tapauksista, joissa tiedetään tai on syytä epäillä, että avustussopimuksen nojalla annettuja tai tuotettuja EU:n turvallisuusluokiteltuja tietoja on kadonnut tai luovutettu valtuuttamattomille henkilöille. |
8. |
Avustussopimuksen päätyttyä avustuksen saajan tai alihankkijan on palautettava kaikki hallussaan olevat EU:n turvallisuusluokitellut tiedot avustuksen myöntävälle viranomaiselle mahdollisimman pian. Avustuksen saaja tai alihankkija voi palauttamisen sijasta tuhota EU:n turvallisuusluokitellut tiedot, jos se on käytännössä mahdollista. Tämä on tehtävä sen maan kansallisten lakien ja asetusten mukaan, jossa avustuksen saaja sijaitsee, komission turvallisuusviranomaisen etukäteissuostumuksella ja sen ohjeiden mukaisesti. EU:n turvallisuusluokitellut tiedot on tuhottava siten, että niitä ei voida ennallistaa kokonaan eikä osittain. |
9. |
Jos avustuksen saajalla tai alihankkijalla on lupa säilyttää EU:n turvallisuusluokiteltuja tietoja avustussopimuksen päättymisen tai tekemisen jälkeen, EU:n turvallisuusluokitellut tiedot on suojattava komission päätöksen 2015/444 ja sen soveltamissääntöjen (4) mukaisesti. |
10. |
Kaikessa EU:n turvallisuusluokiteltujen tietojen sähköisessä käsittelyssä, muokkaamisessa ja siirtämisessä on noudatettava komission päätöksen 2015/444 5 ja 6 luvun säännöksiä. Niihin kuuluu muun muassa vaatimus siitä, että avustuksen saajan omistamien viestintä- ja tietojärjestelmien, joita käytetään EU:n turvallisuusluokiteltujen tietojen käsittelyyn avustussopimusta varten, jäljempänä ’avustuksen saajan viestintä- ja tietojärjestelmä’, on saatava hyväksyntä (5). Lisäksi EU:n turvallisuusluokiteltujen tietojen sähköinen siirto on suojattava kokonaisuudessaan salaustuotteilla, jotka on hyväksytty komission päätöksen 2015/444 36 artiklan 4 kohdan mukaisesti, ja TEMPEST-turvatoimet on pantava täytäntöön komission päätöksen 2015/444 36 artiklan 6 kohdan mukaisesti. |
11. |
Avustuksen saajalla tai alihankkijalla on oltava toiminnan jatkuvuussuunnitelmat, joilla suojataan kaikki turvallisuusluokitellun avustussopimuksen täytäntöönpanossa käsiteltävät EU:n turvallisuusluokitellut tiedot hätätilanteissa. Lisäksi sen on otettava käyttöön ennalta ehkäiseviä ja korjaavia toimia, joilla voidaan minimoida häiriöiden vaikutus EU:n turvallisuusluokiteltujen tietojen käsittelyyn ja säilyttämiseen. Avustuksen saajan tai alihankkijan on tiedotettava avustuksen myöntävälle viranomaiselle toiminnan jatkuvuussuunnitelmastaan. |
AVUSTUSSOPIMUKSET, JOTKA EDELLYTTÄVÄT PÄÄSYÄ RESTREINT UE/EU RESTRICTED -TURVALLISUUSLUOKAN TIETOIHIN
12. |
Periaatteessa tämän avustussopimuksen noudattaminen ei edellytä henkilöturvallisuusselvitystä (6). RESTREINT UE/EU RESTRICTED -turvallisuusluokan tietojen tai aineiston on kuitenkin oltava vain avustuksen saajan sellaisen henkilöstön käytettävissä, joka tarvitsee kyseisiä tietoja avustussopimuksen panemiseksi täytäntöön (tiedonsaantitarpeen periaate), jolle avustuksen saajan turvallisuusvastaava on selvittänyt vastuun ja seuraukset kyseisten tietojen turvallisuuden mahdollisesta vaarantamisesta tai loukkaamisesta ja joka on vahvistanut kirjallisesti ymmärtävänsä EU:n turvallisuusluokiteltujen tietojen suojaamisen laiminlyönnistä aiheutuvat seuraukset. |
13. |
Avustuksen saaja tai alihankkija ei saa antaa pääsyä RESTREINT UE/EU RESTRICTED -turvallisuusluokan tietoihin tai aineistoon millekään muulle yhteisölle tai henkilölle kuin omalle henkilöstölleen, jolla on tiedonsaantitarve, ellei avustuksen myöntävä viranomainen ole antanut kirjallista suostumustaan. |
14. |
Avustuksen saajan tai alihankkijan on säilytettävä avustussopimuksen täytäntöönpanon aikana tuotettujen tai annettujen turvallisuusluokiteltujen tietojen turvallisuusluokitusmerkinnät, eikä tietojen turvallisuusluokitusta saa poistaa ilman avustuksen myöntävän viranomaisen kirjallista suostumusta. |
15. |
RESTREINT UE/EU RESTRICTED -turvallisuusluokan tietoja tai aineistoa on säilytettävä lukitussa toimistokalusteessa, kun niitä ei käytetä. Kuljetuksen aikana asiakirjoja on kuljetettava läpinäkymättömässä kirjekuoressa. Asiakirjojen on oltava koko ajan kuljettajan hallussa, eikä niitä saa avata matkalla. |
16. |
Avustuksen saaja tai alihankkija voi siirtää RESTREINT UE/EU RESTRICTED -turvallisuusluokan asiakirjoja avustuksen myöntävälle viranomaiselle käyttämällä kaupallisia kuriiriyrityksiä, postipalveluja, henkilökohtaista kuljetusta tai sähköisiä keinoja. Avustuksen saajan tai alihankkijan on tätä varten noudatettava komission antamia ohjelman (tai hankkeen) turvallisuusohjeita ja/tai yhteisöturvallisuutta turvallisuusluokiteltujen avustusten yhteydessä koskevia komission soveltamissääntöjä (7). |
17. |
Kun RESTREINT UE/EU RESTRICTED -turvallisuusluokan tietoja ei enää tarvita, ne on tuhottava siten, että niitä ei voida ennallistaa kokonaan eikä osittain. |
18. |
RESTREINT UE/EU RESTRICTED -tasolle luokiteltuja EU:n turvallisuusluokiteltuja tietoja käsittelevän avustuksen saajan viestintä- ja tietojärjestelmän ja sen liitäntöjen turvallisuusjärjestelyjen hyväksyntä voidaan siirtää avustuksen saajan turvallisuusvastaavalle, jos se sallitaan kansallisissa laeissa ja asetuksissa. Jos hyväksyntä siirretään tällä tavalla, asianomaisilla kansallisilla tai nimetyillä turvallisuusviranomaisilla tai turvallisuusjärjestelyjen hyväksyntäviranomaisilla säilyy vastuu avustuksen saajan käsittelemien RESTREINT UE/EU RESTRICTED -turvallisuusluokan tietojen suojaamisesta sekä oikeus tarkastaa avustuksen saajan toteuttamat turvallisuustoimenpiteet. Avustuksen saajan on lisäksi annettava avustuksen myöntävälle viranomaiselle ja, kansallisten lakien ja asetusten niin edellyttäessä, toimivaltaiselle kansalliselle turvallisuusjärjestelyjen hyväksyntäviranomaiselle vaatimustenmukaisuuslausunto, jossa vahvistetaan, että avustuksen saajan viestintä- ja tietojärjestelmä ja siihen liittyvät liitännät on hyväksytty RESTREINT UE/EU RESTRICTED -tasolle luokiteltujen EU:n turvallisuusluokiteltujen tietojen käsittelyyn. |
RESTREINT UE/EU RESTRICTED -TURVALLISUUSLUOKAN TIETOJEN KÄSITTELY VIESTINTÄ- JA TIETOJÄRJESTELMISSÄ
19. |
RESTREINT UE/EU RESTRICTED -turvallisuusluokan tietoja käsittelevän viestintä- ja tietojärjestelmän vähimmäisvaatimukset vahvistetaan tämän turvallisuutta koskevan lisälausekkeen lisäyksessä E. |
EHDOT, JOIDEN NOJALLA AVUSTUKSEN SAAJA VOI TEHDÄ ALIHANKINTASOPIMUKSEN
20. |
Ennen kuin turvallisuusluokitellun avustussopimuksen mistään osasta tehdään alihankintasopimus, avustuksen saajan on saatava avustuksen myöntävältä viranomaiselta lupa. |
21. |
Alihankintasopimusta ei voida tehdä EU:n ulkopuoliseen maahan rekisteröityneen yhteisön kanssa eikä kansainväliseen järjestöön kuuluvan yksikön kanssa, jos kyseinen EU:n ulkopuolinen maa tai kansainvälinen järjestö ei ole tehnyt tietoturvasopimusta EU:n kanssa tai hallinnollista järjestelyä komission kanssa. |
22. |
Jos avustuksen saaja on tehnyt alihankintasopimuksen, avustussopimuksen turvallisuussäännöksiä on sovellettava soveltuvin osin alihankkijaan/alihankkijoihin ja sen/niiden henkilöstöön. Tällaisessa tapauksessa on avustuksen saajan vastuulla varmistaa, että kaikki alihankkijat soveltavat näitä periaatteita omiin alihankintajärjestelyihinsä. Turvallisuuden asianmukaisen valvonnan varmistamiseksi komission turvallisuusviranomaisen on ilmoitettava avustuksen saajan ja alihankkijan kansallisille ja/tai nimetyille turvallisuusviranomaisille kaikkien CONFIDENTIEL UE/EU CONFIDENTIAL- ja SECRET UE/EU SECRET -tasoille luokiteltujen, asiaan liittyvien turvallisuusluokiteltujen alihankintasopimusten tekemisestä. Tarvittaessa avustuksen saajan ja alihankkijan kansallisille ja/tai nimetyille turvallisuusviranomaisille on annettava jäljennös alihankintasopimuskohtaisista turvallisuussäännöksistä. Kansalliset ja nimetyt turvallisuusviranomaiset, joille on ilmoitettava RESTREINT UE/EU RESTRICTED -tason turvallisuusluokiteltujen avustussopimusten turvallisuussäännöksistä, luetellaan yhteisöturvallisuutta turvallisuusluokiteltujen avustussopimusten yhteydessä koskevien komission soveltamissääntöjen (8) liitteessä. |
23. |
Avustuksen saaja ei saa luovuttaa EU:n turvallisuusluokiteltuja tietoja alihankkijalle ilman avustuksen myöntävän viranomaisen etukäteen antamaa kirjallista lupaa. Jos EU:n turvallisuusluokiteltuja tietoja on määrä lähettää alihankkijalle usein tai rutiininomaisesti, avustuksen myöntävä viranomainen voi antaa luvan tietyksi ajaksi (esim. 12 kuukautta) tai alihankintasopimuksen keston ajaksi. |
VIERAILUT
Jos vierailuihin, joihin kuuluu CONFIDENTIEL UE/EU CONFIDENTIAL- tai SECRET UE/EU SECRET -turvallisuusluokan tietoja, on määrä soveltaa vierailupyyntöä koskevaa vakiomenettelyä, avustuksen myöntävän viranomaisen on sisällytettävä 24, 25 ja 26 kohta ja poistettava 27 kohta. Jos vierailuista, joihin kuuluu CONFIDENTIEL UE/EU CONFIDENTIAL- tai SECRET UE/EU SECRET -turvallisuusluokan tietoja, sovitaan suoraan lähettävän ja vastaanottavan laitoksen välillä, avustuksen myöntävän viranomaisen on poistettava 25 ja 26 kohta ja sisällytettävä vain 27 kohta.
24. |
Vierailuista, joihin kuuluu tai voi kuulua pääsy RESTREINT UE/EU RESTRICTED -turvallisuusluokan tietoihin, on sovittava suoraan lähettävän ja vastaanottavan laitoksen välillä, eikä jäljempänä 25–27 kohdassa kuvattua menettelyä tarvitse noudattaa. |
[25. |
Vierailuihin, joihin kuuluu tai voi kuulua pääsy CONFIDENTIEL UE/EU CONFIDENTIAL- tai SECRET UE/EU SECRET -turvallisuusluokan tietoihin, sovelletaan seuraavaa menettelyä:
|
[26. |
Ennen kuin vierailijalle (vierailijoille) annetaan pääsy CONFIDENTIEL UE/EU CONFIDENTIAL- tai SECRET UE/EU SECRET -turvallisuusluokan tietoihin, vastaanottavan toimitilan on pitänyt saada lupa kansalliselta tai nimetyltä turvallisuusviranomaiseltaan.] |
[27. |
Vierailuista, joihin kuuluu tai voi kuulua pääsy CONFIDENTIEL UE/EU CONFIDENTIAL- tai SECRET UE/EU SECRET -turvallisuusluokan tietoihin, on sovittava suoraan lähettävän ja vastaanottavan laitoksen välillä (lisäyksessä C on esimerkki lomakkeesta, jota voidaan käyttää tätä varten).] |
28. |
Vierailijoiden on todistettava henkilöllisyytensä saapuessaan vastaanottavaan toimitilaan esittämällä voimassa oleva henkilökortti tai passi. |
29. |
Vierailun vastaanottavan toimitilan on pidettävä rekisteriä kaikista vierailijoista. Rekisterin täytyy sisältää vierailijoiden nimet, heidän edustamansa organisaatio, henkilöturvallisuusselvityksen voimassaolon päättymispäivä (tarvittaessa), vierailupäivä ja sen henkilön nimi, jonka (niiden henkilöiden nimet, joiden) luona on vierailtu. Kyseistä rekisteriä on säilytettävä vähintään viisi vuotta tai tarvittaessa kansallisten sääntöjen ja asetusten mukaisesti, sanotun kuitenkaan rajoittamatta EU:n tietosuojasääntöjen soveltamista. |
ARVIOINTIKÄYNNIT
30. |
Komission turvallisuusviranomainen voi yhteistyössä asianomaisten kansallisten tai nimettyjen turvallisuusviranomaisten kanssa tehdä avustuksen saajan tai alihankkijan toimitiloihin käyntejä, joilla tarkastetaan, että EU:n turvallisuusluokiteltujen tietojen käsittelyä koskevia turvallisuusvaatimuksia noudatetaan. |
TURVALLISUUSLUOKITTELUOPAS
31. |
Turvallisuusluokitteluoppaassa on luettelo kaikista avustussopimuksen osista, jotka on turvallisuusluokiteltu tai jotka on määrä turvallisuusluokitella avustussopimuksen täytäntöönpanon aikana, säännöt sen tekemiselle ja sovellettavia turvallisuusluokitustasoja koskevat eritelmät. Turvallisuusluokitteluopas on tämän avustussopimuksen olennainen osa, ja se on tämän liitteen lisäyksessä B. |
Lisäys B
TURVALLISUUSLUOKITTELUOPAS
[nimenomainen teksti, jota muokataan avustussopimuksen aiheen mukaan]
Lisäys C
VIERAILUPYYNTÖ (MALLI)
YKSITYISKOHTAISET OHJEET VIERAILUPYYNNÖN TEKEMISEEN
(Hakemus voidaan toimittaa vain englanniksi)
HEADING |
Rastitetaan vierailun ja tietojen tyyppiä koskevat ruudut ja ilmoitetaan, miten monessa toimitilassa on määrä vierailla, sekä vierailijoiden määrä. |
||||||
|
Pyynnön esittävä kansallinen tai nimetty turvallisuusviranomainen täyttää. |
||||||
|
Annetaan koko nimi ja jakeluosoite. Annetaan tarvittaessa postinumero, postitoimipaikka ja valtio. |
||||||
|
Annetaan koko nimi ja jakeluosoite. Annetaan postinumero, postitoimipaikka, valtio, teleksi- tai faksinumero (tarvittaessa), puhelinnumero ja sähköpostiosoite. Annetaan pääyhteyspisteen tai sen henkilön nimi ja puhelin-/faksinumerot ja sähköpostiosoite, jonka kanssa vierailusta on sovittu. Huomautukset:
|
||||||
|
Annetaan tosiasiallinen vierailupäivä tai -jakso (mistä mihin) muodossa ”päivä – kuukausi – vuosi”. Tarvittaessa annetaan vaihtoehtoinen päivä tai jakso sulkeissa. |
||||||
|
Kerrotaan, onko vierailussa ollut aloitteen tekijänä pyynnön esittävä organisaatio tai toimitila vai perustuuko se vierailun kohteena olevan toimitilan kutsuun. |
||||||
|
Kerrotaan hankkeen, sopimuksen tai ehdotuspyynnön koko nimi käyttäen vain yleisesti käytettäviä lyhenteitä. |
||||||
|
Kuvataan lyhyesti vierailun syy(t). Lyhenteitä ei saa käyttää selittämättä niitä. Huomautukset: Jos kyse on toistuvista vierailuista, tämän kohdan dataelementin ensimmäisinä sanoina on oltava toistuvia vierailuja tarkoittava ”Recurring visits” (esim. Recurring visits to discuss _______). |
||||||
|
Mainitaan tilanteen mukaan SECRET UE/EU SECRET (S-UE/EU-S) tai CONFIDENTIEL UE/EU CONFIDENTIAL (C-UE/EU-C). |
||||||
|
Huomautus: Kun vierailuun osallistuu enemmän kuin kaksi vierailijaa, käytetään liitettä 2. |
||||||
|
Tähän kohtaan on täytettävä pyynnön esittävän toimitilan turvallisuusvastaavan nimi, puhelinnumero, faksinumero ja sähköpostiosoite. |
||||||
|
Todentamisviranomainen täyttää tämän kentän. Huomautukset todentamisviranomaiselle:
|
||||||
|
Kansallinen tai nimetty turvallisuusviranomainen täyttää tämän kentän. Huomautus kansalliselle tai nimetylle turvallisuusviranomaiselle:
|
Kaikki kentät on täytettävä ja lomake toimitettava hallitustenvälisten kanavien kautta (9)
REQUEST FOR VISIT (MODEL) TO: _______________________________________ |
|||||||||||||||||||||||
|
|
|
|||||||||||||||||||||
|
|
|
|||||||||||||||||||||
For an amendment, insert the NSA/DSA original RFV Reference No_____________ |
|
No of sites: _______ No of visitors: _____ |
|||||||||||||||||||||
|
|||||||||||||||||||||||
Requester: To: |
NSA/DSA RFV Reference No________________ Date (dd/mm/yyyy): _____/_____/_____ |
||||||||||||||||||||||
NAME: POSTAL ADDRESS: E-MAIL ADDRESS: |
|||||||||||||||||||||||
FAX NO: |
TELEPHONE NO: |
||||||||||||||||||||||
|
|||||||||||||||||||||||
|
|||||||||||||||||||||||
|
|||||||||||||||||||||||
|
|||||||||||||||||||||||
|
|||||||||||||||||||||||
|
|||||||||||||||||||||||
|
|||||||||||||||||||||||
NAME: TELEPHONE NO: E-MAIL ADDRESS: SIGNATURE: |
|||||||||||||||||||||||
|
|||||||||||||||||||||||
NAME: ADDRESS: TELEPHONE NO: E-MAIL ADDRESS: |
|
||||||||||||||||||||||
SIGNATURE: |
DATE (dd/mm/yyyy): _____/_____/_____ |
||||||||||||||||||||||
|
|||||||||||||||||||||||
NAME: ADDRESS: TELEPHONE NO: E-MAIL ADDRESS: |
|
||||||||||||||||||||||
SIGNATURE: |
DATE (dd/mm/yyyy): _____/_____/_____ |
||||||||||||||||||||||
|
<Tähän tulee viittaus sovellettavaan henkilötietojen suojaa koskevaan lainsäädäntöön ja linkki rekisteröidyille annettaviin pakollisiin tietoihin esim. siitä, miten yleisen tietosuoja-asetuksen (10) 13 artikla pannaan täytäntöön.>
VIERAILUPYYNTÖLOMAKKEEN LIITE 1
ORGANISATION(S) OR INDUSTRIAL FACILITY(IES) TO BE VISITED |
1. NAME: ADDRESS: TELEPHONE NO: FAX NO: NAME OF POINT OF CONTACT: E-MAIL: TELEPHONE NO: NAME OF SECURITY OFFICER OR SECONDARY POINT OF CONTACT: E-MAIL: TELEPHONE NO: |
2. NAME: ADDRESS: TELEPHONE NO: FAX NO: NAME OF POINT OF CONTACT: E-MAIL: TELEPHONE NO: NAME OF SECURITY OFFICER OR SECONDARY POINT OF CONTACT: E-MAIL: TELEPHONE NO: (Continue as required) |
<Tähän tulee viittaus sovellettavaan henkilötietojen suojaa koskevaan lainsäädäntöön ja linkki rekisteröidyille annettaviin pakollisiin tietoihin esim. siitä, miten yleisen tietosuoja-asetuksen (11 12) 13 artikla pannaan täytäntöön.>
VIERAILUPYYNTÖLOMAKKEEN LIITE 2
PARTICULARS OF VISITOR(S) |
1. SURNAME: FIRST NAMES (as per passport): DATE OF BIRTH (dd/mm/yyyy):____/____/____ PLACE OF BIRTH: NATIONALITY: SECURITY CLEARANCE LEVEL: PP/ID NUMBER: POSITION: COMPANY/ORGANISATION: |
2. SURNAME: FIRST NAMES (as per passport): DATE OF BIRTH (dd/mm/yyyy):____/____/____ PLACE OF BIRTH: NATIONALITY: SECURITY CLEARANCE LEVEL: PP/ID NUMBER: POSITION: COMPANY/ORGANISATION: (Continue as required) |
<Tähän tulee viittaus sovellettavaan henkilötietojen suojaa koskevaan lainsäädäntöön ja linkki rekisteröidyille annettaviin pakollisiin tietoihin esim. siitä, miten yleisen tietosuoja-asetuksen (11 12) 13 artikla pannaan täytäntöön.>
Lisäys D
YHTEISÖTURVALLISUUSSELVITYKSEN TIETOLOMAKE (MALLI)
1. JOHDANTO
1.1 |
Liitteenä on esimerkki yhteisöturvallisuusselvityksen tietolomakkeesta, jonka avulla kansallisen tai nimetyn turvallisuusviranomaisen, muiden toimivaltaisten kansallisten turvallisuusviranomaisten ja (avustuksen myöntävien viranomaisten puolesta toimivan) komission turvallisuusviranomaisen välillä voidaan vaihtaa nopeasti tietoja, jotka koskevat turvallisuusluokiteltujen avustusten tai alihankintasopimusten hakemisessa ja täytäntöönpanossa mukana olevan toimitilan yhteisöturvallisuusselvitystä. |
1.2 |
Tietolomake on voimassa vain, jos siinä on asianomaisen kansallisen tai nimetyn turvallisuusviranomaisen tai muun toimivaltaisen viranomaisen leima. |
1.3 |
Tietolomake on jaettu pyyntö- ja vastausosioon, ja sitä voidaan käyttää edellä määritettyihin tarkoituksiin tai mihin tahansa muuhun tarkoitukseen, johon tarvitaan tietyn toimitilan yhteisöturvallisuusselvityksen tila. Pyynnön esittävän kansallisen tai nimetyn turvallisuusviranomaisen on esitettävä tiedustelun syy pyyntöosion kentässä 7. |
1.4 |
Tietolomakkeen sisältämät tiedot eivät tavallisesti ole turvallisuusluokiteltuja. Siksi tietolomake pitäisi lähettää asianomaisten kansallisten tai nimettyjen turvallisuusviranomaisten tai komission välillä mieluiten sähköisesti. |
1.5 |
Kansallisten tai nimettyjen turvallisuusviranomaisten olisi pyrittävä parhaansa mukaan vastaamaan tietolomakepyyntöön kymmenen työpäivän kuluessa. |
1.6 |
Jos tämän vakuutuksen yhteydessä siirretään turvallisuusluokiteltuja tietoja, myönnetään avustus tai tehdään alihankintasopimus, siitä on ilmoitettava lähettävälle kansalliselle tai nimetylle turvallisuusviranomaiselle. |
Yhteisöturvallisuusselvityksen tietolomakkeen käyttöä koskevat menettelyt ja ohjeet
Nämä yksityiskohtaiset ohjeet on tarkoitettu kansalliselle tai nimetylle turvallisuusviranomaiselle tai avustuksen myöntävälle viranomaiselle ja komission turvallisuusviranomaiselle, jotka täyttävät tietolomakkeen. Pyynnön täyttämisessä kehotetaan käyttämään suuraakkosia.
YLÄTUNNISTE |
Pyynnön esittäjä antaa kansallisen tai nimetyn turvallisuusviranomaisen koko nimen ja maan nimen. |
||||||||
|
Pyynnön esittävä avustuksen myöntävä viranomainen valitsee tietolomakkeen pyynnön tyyppiä koskevan asianmukaisen valintaruudun. Annetaan tarvittava turvallisuusselvityksen taso. On käytettävä seuraavia lyhenteitä:
|
||||||||
|
Kentät 1–6 ovat itsestään selviä. Kentässä 4 on käytettävä kaksikirjaimista vakiomaakoodia. Kenttä 5 on valinnainen. |
||||||||
|
Annetaan pyynnön tarkka syy, hankkeen indikaattorit sekä ehdotuspyynnön tai avustuksen numero. Ilmoitetaan tallennusvalmiuksien tarve, viestintä- ja tietojärjestelmän luokitus jne. On esitettävä kaikki määräajat / umpeutumisajat / myöntämispäivämäärät, joilla voi olla vaikutusta yhteisöturvallisuusselvityksen loppuunsaattamiseen. |
||||||||
|
Annetaan (kansallisen tai nimetyn turvallisuusviranomaisen puolesta) pyynnön tosiasiallisen esittäjän nimi ja pyynnön päivämäärä numeroina (pp/kk/vvvv). |
||||||||
|
Kentät 1–5: valitaan asianmukaiset kentät. Kenttä 2: jos yhteisöturvallisuusselvitys on käsiteltävänä, kehotetaan antamaan pyynnön esittäjälle tieto tarvittavasta käsittelyajasta (jos se on tiedossa). Kenttä 6:
|
||||||||
|
Voidaan antaa lisätietoja yhteisöturvallisuusselvityksestä, toimitilasta tai edellä olevista kohdista. |
||||||||
|
Annetaan (kansallisen tai nimetyn turvallisuusviranomaisen puolesta) myöntävän viranomaisen nimi ja vastauksen päivämäärä numeroina (pp/kk/vvvv). |
YHTEISÖTURVALLISUUSSELVITYKSEN TIETOLOMAKE (MALLI)
Kaikki kentät on täytettävä ja lomake toimitettava hallitustenvälisten tai hallituksen ja kansainvälisen järjestön välisten kanavien kautta.
PYYNTÖ YHTEISÖTURVALLISUUSSELVITYSTÄ KOSKEVAN VAKUUTUKSEN SAAMISEKSI VASTAANOTTAJA: ____________________________________ (Kansallinen tai nimetty turvallisuusviranomainen, maa) |
|||||||||||||||
Vastauslaatikot täytetään soveltuvin osin:
Varmistetaan jäljempänä lueteltujen toimitilan tietojen paikkansapitävyys ja tehdään tarvittaessa korjauksia/lisäyksiä. |
|||||||||||||||
|
Korjaukset/lisäykset: |
||||||||||||||
… |
… |
||||||||||||||
|
|||||||||||||||
… |
… |
||||||||||||||
|
|||||||||||||||
… |
… |
||||||||||||||
|
|||||||||||||||
… |
… |
||||||||||||||
|
|||||||||||||||
|
|||||||||||||||
… |
… |
||||||||||||||
|
|||||||||||||||
Pyynnön esittävä kansallinen tai nimetty turvallisuusviranomainen tai avustuksen myöntävä viranomainen: Nimi: … |
Päivämäärä: (pp/kk/vvvv): … |
||||||||||||||
VASTAUS (kymmenen työpäivän kuluessa) |
|||||||||||||||
Täten todistetaan, että
|
|||||||||||||||
Myöntävä kansallinen tai nimetty turvallisuusviranomainen Nimi:… |
Päivämäärä: (pp/kk/vvvv)… |
<Tähän tulee viittaus sovellettavaan henkilötietojen suojaa koskevaan lainsäädäntöön ja linkki rekisteröidyille annettaviin pakollisiin tietoihin esim. siitä, miten yleisen tietosuoja-asetuksen (13) 13 artikla pannaan täytäntöön.>
Lisäys E
Avustuksen saajan viestintä- ja tietojärjestelmässä käsiteltävien, sähköisessä muodossa olevien RESTREINT UE/EU RESTRICTED -tasolle luokiteltujen EU:n turvallisuusluokiteltujen tietojen suojaamista koskevat vähimmäisvaatimukset
Yleistä
1. |
Avustuksen saajan on vastattava sen varmistamisesta, että RESTREINT UE/EU RESTRICTED -tietojen suojaamisessa noudatetaan tässä turvallisuuslausekkeessa vahvistettuja vähimmäisturvallisuusvaatimuksia ja kaikkia muita lisävaatimuksia, joita avustuksen myöntävä viranomainen tai tarvittaessa kansallinen turvallisuusviranomainen tai nimetty turvallisuusviranomainen on esittänyt. |
2. |
Tässä asiakirjassa määritettyjen turvallisuusvaatimusten täytäntöönpano on avustuksen saajan vastuulla. |
3. |
Tässä asiakirjassa viestintä- ja tietojärjestelmällä tarkoitetaan kaikkia laitteita, joita käytetään EU:n turvallisuusluokiteltujen tietojen käsittelemiseen, tallentamiseen ja siirtämiseen, muun muassa työasemia, tulostimia, kopiokoneita, fakseja, palvelimia, verkonhallintajärjestelmiä, verkon ohjaimia ja viestinnän ohjaimia, kannettavia tietokoneita, sylimikroja, taulutietokoneita, älypuhelimia ja erillisiä tallennusvälineitä, kuten USB-muistitikkuja, CD-levyjä ja SD-kortteja. |
4. |
Erityislaitteet, kuten salaustuotteet, on suojattava niitä koskevien turvallisuusmenettelyjen mukaisesti. |
5. |
Avustuksen saajien on perustettava rakenne, joka vastaa RESTREINT UE/EU RESTRICTED -turvallisuusluokan tietoja käsittelevän viestintä- ja tietojärjestelmän turvallisuushallinnasta, ja nimettävä asianomaisesta toimitilasta vastaava turvallisuusvastaava. |
6. |
RESTREINT UE/EU RESTRICTED -tietojen tallentamisessa tai käsittelyssä ei saa käyttää avustuksen saajan henkilöstön yksityisesti omistamia IT-ratkaisuja (laitteita, ohjelmistoja tai palveluja). |
7. |
Asianomaisen jäsenvaltion turvallisuusjärjestelyjen hyväksyntäviranomaisen on hyväksyttävä RESTREINT UE/EU RESTRICTED -turvallisuusluokan tietoja käsittelevän avustuksen saajan viestintä- ja tietojärjestelmän hyväksyntä, tai hyväksynnän voi siirtää avustuksen saajan turvallisuusvastaavalle, jos se sallitaan kansallisissa laeissa ja asetuksissa. |
8. |
Vain RESTREINT UE/EU RESTRICTED -turvallisuusluokan tietoja, jotka on salattu hyväksytyillä salaustuotteilla, voidaan käsitellä, tallentaa tai siirtää (kaapelilla tai langattomasti) samaan tapaan kuin muita avustussopimukseen kuuluvia turvallisuusluokittelemattomia tietoja. Tällaisten salaustuotteiden on oltava EU:n tai jäsenvaltion hyväksymiä. |
9. |
Huolto- ja korjaustyöhön osallistuvilla ulkoisilla toimijoilla on oltava sopimukseen perustuva velvollisuus noudattaa RESTREINT UE/EU RESTRICTED -turvallisuusluokan tietojen käsittelyyn sovellettavia säännöksiä tämän asiakirjan mukaisesti. |
10. |
Avustuksen saajan on todistettava avustussopimuksen turvallisuuslausekkeen noudattaminen avustuksen myöntävän viranomaisen tai asianomaisen kansallisen tai nimetyn turvallisuusviranomaisen tai turvallisuusjärjestelyjen hyväksyntäviranomaisen pyynnöstä. Jos näiden vaatimusten noudattamisen varmistamiseksi edellytetään myös avustuksen saajan prosessien ja toimitilojen tarkastamista ja tutkimista, avustuksen saajan on sallittava, että avustuksen myöntävän viranomaisen, kansallisen tai nimetyn turvallisuusviranomaisen ja/tai turvallisuusjärjestelyjen hyväksyntäviranomaisen tai asianomaisen EU:n turvallisuusviranomaisen edustajat tekevät tällaisen tarkastuksen ja tutkimuksen. |
Fyysinen turvallisuus
11. |
Alueista, joilla viestintä- ja tietojärjestelmää käytetään RESTREINT UE/EU RESTRICTED -tietojen näyttämiseen, tallentamiseen, käsittelemiseen tai siirtämiseen, tai alueista, joilla on kyseisen viestintä- ja tietojärjestelmän ylläpitopalvelimia, verkonhallintajärjestelmä, verkon ohjaimia ja viestinnän ohjaimia, olisi tehtävä erillisiä ja valvottuja alueita, joilla on asianmukainen kulunvalvontajärjestelmä. Pääsy näille erillisille ja valvotuille alueille olisi rajattava henkilöihin, joilla on erikoislupa. Edellä 3 kohdassa kuvattuja laitteita on säilytettävä kyseisillä erillisillä ja valvotuilla alueilla, sanotun kuitenkaan rajoittamatta 8 kohdan soveltamista. |
12. |
Tietokoneiden erillisten tallennuslaitteiden (kuten USB-muistitikkujen, massamuistilaitteiden tai CD-RW-levyjen) käyttöönotto tai liittäminen viestintä- ja tietojärjestelmän osiin edellyttää turvallisuusmekanismien ja/tai -menettelyjen täytäntöönpanoa. |
Pääsy viestintä- ja tietojärjestelmään
13. |
Pääsy EU:n turvallisuusluokiteltuja tietoja käsittelevään avustuksen saajan viestintä- ja tietojärjestelmään on sallittua ainoastaan tiedonsaantitarpeen ja henkilöstölle annetun luvan nojalla. |
14. |
Kaikissa viestintä- ja tietojärjestelmissä on oltava ajan tasalla olevat luettelot luvan saaneista käyttäjistä. Kaikki käyttäjät on todennettava kunkin käsittelyistunnon aluksi. |
15. |
Salasanoissa, jotka ovat osa useimpia tunnistamista ja todentamista koskevia turvallisuustoimenpiteitä, on oltava vähintään yhdeksän merkkiä. Niissä on oltava numeroita ja erikoismerkkejä (jos järjestelmä sallii sen) sekä kirjaimia. Salasanat on vaihdettava vähintään 180 päivän välein. Ne on vaihdettava heti, jos ne ovat vaarantuneet tai paljastuneet valtuuttamattomalle henkilölle, tai jos vaarantumista tai paljastumista epäillään. |
16. |
Kaikissa viestintä- ja tietojärjestelmissä on oltava sisäinen pääsynvalvonta, jotta valtuuttamattomat käyttäjät eivät pääse RESTREINT UE/EU RESTRICTED -turvallisuusluokan tietoihin eivätkä pysty muokkaamaan niitä tai järjestelmän ja turvallisuuden ohjaimia. Käyttäjät on kirjattava automaattisesti ulos viestintä- ja tietojärjestelmästä, jos heidän päätteensä ovat olleet käyttämättä tietyn ennalta määrätyn ajan, tai viestintä- ja tietojärjestelmän on käynnistettävä salasanalla suojattu näytönsäästäjä 15 minuutin käyttämättömyyden jälkeen. |
17. |
Kullekin viestintä- ja tietojärjestelmän käyttäjälle osoitetaan yksilöllinen käyttäjätili ja käyttäjätunnus. Käyttäjätilien täytyy lukittua automaattisesti, kun on tehty vähintään viisi epäonnistunutta sisäänkirjautumisyritystä. |
18. |
Kaikkia viestintä- ja tietojärjestelmän käyttäjiä on valistettava heidän vastuistaan ja menettelyistä, joita on noudatettava RESTREINT UE/EU RESTRICTED -turvallisuusluokan tietojen suojaamiseksi viestintä- ja tietojärjestelmässä. Vastuut ja noudatettavat menettelyt on dokumentoitava, ja käyttäjien on hyväksyttävä ne kirjallisesti. |
19. |
Turvallisuusmenettelyjen on oltava käyttäjien ja ylläpitäjien saatavilla, ja niissä on oltava kuvaus turvallisuutta koskevista rooleista ja niihin liittyvistä tehtävistä, ohjeista ja suunnitelmista. |
Kirjanpito, tarkastus ja poikkeamiin reagoiminen
20. |
Jokainen viestintä- ja tietojärjestelmään pääsy on kirjattava. |
21. |
Seuraavat tapahtumat on rekisteröitävä:
|
22. |
Kaikista edellä luetelluista tapahtumista on ilmoitettava vähintään seuraavat tiedot:
|
23. |
Kirjanpitorekisterin tarkoituksena on auttaa turvallisuusvastaavaa tutkimaan mahdolliset turvallisuuspoikkeamat. Sitä voidaan käyttää myös oikeudellisten tutkintojen tukena turvallisuuspoikkeamien yhteydessä. Kaikki turvallisuusrekisterit olisi tarkastettava säännöllisesti mahdollisten turvallisuuspoikkeamien havaitsemiseksi. Kirjanpitorekisterit on suojattava luvattomalta poistamiselta tai muuttamiselta. |
24. |
Avustuksen saajalla on oltava vakiintunut reagointistrategia turvallisuuspoikkeamiin puuttumiseksi. Käyttäjiä ja ylläpitäjiä on ohjeistettava siitä, miten poikkeamiin reagoidaan, miten niistä ilmoitetaan ja mitä hätätilanteessa tehdään. |
25. |
RESTREINT UE/EU RESTRICTED -turvallisuusluokan tietojen vaarantumisesta tai epäillystä vaarantumisesta on ilmoitettava avustuksen myöntävälle viranomaiselle. Ilmoituksessa on oltava kuvaus asiaan liittyvistä tiedoista ja kuvaus vaarantumisen tai epäillyn vaarantumisen olosuhteista. Kaikkia viestintä- ja tietojärjestelmän käyttäjiä on valistettava siitä, miten todellisista tai epäillyistä turvallisuuspoikkeamista ilmoitetaan turvallisuusvastaavalle. |
Verkostoituminen ja yhteenliittäminen
26. |
Kun RESTREINT UE/EU RESTRICTED -turvallisuusluokan tietoja käsittelevä avustuksen saajan viestintä- ja tietojärjestelmä liitetään viestintä- ja tietojärjestelmään, jota ei ole hyväksytty, tämä lisää huomattavasti uhkaa sekä viestintä- ja tietojärjestelmän turvallisuudelle että kyseisen viestintä- ja tietojärjestelmän käsittelemille RESTREINT UE/EU RESTRICTED -tiedoille. Tämä koskee internetiä sekä muita julkisia tai yksityisiä viestintä- ja tietojärjestelmiä, kuten avustuksen saajan tai alihankkijan omistamia muita viestintä- ja tietojärjestelmiä. Tässä tapauksessa avustuksen saajan on tehtävä riskinarviointi, jossa määritetään lisäturvallisuusvaatimukset, jotka on pantava täytäntöön osana turvallisuushyväksyntäprosessia. Avustuksen saajan on annettava avustuksen myöntävälle viranomaiselle ja, kansallisten lakien ja asetusten niin edellyttäessä, toimivaltaiselle turvallisuusjärjestelyjen hyväksyntäviranomaiselle vaatimustenmukaisuuslausunto, jossa vahvistetaan, että avustuksen saajan viestintä- ja tietojärjestelmä ja siihen liittyvät liitännät on hyväksytty RESTREINT UE/EU RESTRICTED -tasolle luokiteltujen EU:n turvallisuusluokiteltujen tietojen käsittelyyn. |
27. |
Lähiverkkopalvelujen etäkäyttö muista järjestelmistä (esim. sähköpostin etäkäyttö ja etäjärjestelmätuki) on kielletty, paitsi jos täytäntöön on pantu erityisiä turvallisuustoimenpiteitä ja avustuksen myöntävä viranomainen on hyväksynyt ne ja, jos sitä edellytetään kansallisissa laeissa ja asetuksissa, toimivaltainen turvallisuusjärjestelyjen hyväksyntäviranomainen hyväksyy ne. |
Konfiguraationhallinta
28. |
Hyväksyntäasiakirjoissa kuvatun, laitteiston ja ohjelmiston yksityiskohtaisen konfiguraation (myös järjestelmä- ja verkkokaavioiden) on oltava saatavilla, ja sitä on ylläpidettävä säännöllisesti. |
29. |
Avustuksen saajan turvallisuusvastaavan on tehtävä laitteistolle ja ohjelmistolle konfiguraatiotarkastuksia, jotta voidaan varmistaa, että luvattomia laitteistoja tai ohjelmistoja ei ole otettu käyttöön. |
30. |
Avustuksen saajan viestintä- ja tietojärjestelmän muutosten turvallisuusvaikutukset on arvioitava, ja turvallisuusvastaavan ja, jos sitä edellytetään kansallisissa laeissa ja asetuksissa, turvallisuusjärjestelyjen hyväksyntäviranomaisen on hyväksyttävä ne. |
31. |
Järjestelmässä on kartoitettava kaikki turvallisuuteen liittyvät haavoittuvuudet vähintään neljännesvuosittain. Haittaohjelmistot havaitseva ohjelmisto on asennettava ja sitä on päivitettävä. Mahdollisuuksien mukaan kyseisellä ohjelmistolla pitäisi olla kansallinen tai tunnustettu kansainvälinen hyväksyntä, tai muutoin sen pitäisi olla alalla laajasti hyväksytty. |
32. |
Avustuksen saajan on laadittava toiminnan jatkuvuussuunnitelma. Seuraavista varmistusmenettelyistä on huolehdittava:
|
Puhdistus ja tuhoaminen
33. |
Viestintä- ja tietojärjestelmissä tai tietojen tallennusvälineissä, joissa on joskus pidetty RESTREINT UE/EU RESTRICTED -tietoja, on tehtävä seuraava puhdistus koko järjestelmälle tai tallennusvälineelle ennen sen hävittämistä:
|
34. |
RESTREINT UE/EU RESTRICTED -turvallisuusluokan tiedot on puhdistettava kaikilta tietojen tallennusvälineiltä, ennen kuin ne annetaan taholle, jolla ei ole lupaa päästä RESTREINT UE/EU RESTRICTED -turvallisuusluokan tietoihin (esim. huolto). |
(1) Tätä turvallisuutta koskevan lisälausekkeen mallia sovelletaan silloin, kun komission katsotaan olevan avustussopimuksen täytäntöönpanon aikana luotujen ja käsiteltyjen turvallisuusluokiteltujen tietojen luovuttaja. Jos avustussopimuksen täytäntöönpanon aikana luotujen ja käsiteltyjen turvallisuusluokiteltujen tietojen luovuttaja ei ole komissio ja jos avustukseen osallistuvat jäsenvaltiot ovat ottaneet käyttöön perustaneet erityiset turvallisuuspuitteet, saatetaan soveltaa muita turvallisuutta koskevia lisälausekkeita.
(2) Komission päätös (EU, Euratom) 2015/444, annettu 13 päivänä maaliskuuta 2015, EU:n turvallisuusluokiteltujen tietojen suojaamista koskevista säännöistä (EUVL L 72, 17.3.2015, s. 53).
(3) Avustuksen myöntävän viranomaisen on lisättävä viitteet, kun soveltamissäännöt on hyväksytty.
(4) Avustuksen myöntävän viranomaisen on lisättävä viitteet, kun soveltamissäännöt on hyväksytty.
(5) Hyväksyntää hakevan osapuolen on annettava avustuksen myöntävälle viranomaiselle vaatimustenmukaisuuslausunto komission turvallisuusviranomaisen välityksellä ja yhteistyössä asianomaisen kansallisen turvallisuusjärjestelyjen hyväksyntäviranomaisen kanssa.
(6) Jos avustuksen saajat ovat jäsenvaltioista, jotka edellyttävät henkilö- ja/tai yhteisöturvallisuusselvitystä RESTREINT UE/EU RESTRICTED -turvallisuusluokan avustuksille, avustuksen myöntävä viranomainen kirjaa kyseiseen avustuksen saajaan sovellettavat henkilö- ja yhteisöturvallisuusselvitysvaatimukset turvallisuutta koskevaan lisälausekkeeseen.
(7) Avustuksen myöntävän viranomaisen on lisättävä viitteet, kun soveltamissäännöt on hyväksytty.
(8) Avustuksen myöntävän viranomaisen on lisättävä viitteet, kun soveltamissäännöt on hyväksytty.
(9) Jos on sovittu, että vierailuista, joihin kuuluu tai voi kuulua pääsy CONFIDENTIEL UE/EU CONFIDENTIAL- ja SECRET UE/EU SECRET -tasolle luokiteltuihin EU:n turvallisuusluokiteltuihin tietoihin, voidaan sopia suoraan, täytetty lomake voidaan toimittaa suoraan vierailun kohteena olevan laitoksen turvallisuusvastaavalle.
(10) Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1).
(11) Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1).
(12) Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1).
(13) Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1).
LIITE IV
Yhteisö- ja henkilöturvallisuusselvitys avustuksen saajille tai alihankkijoille, jotka käsittelevät RESTREINT UE/EU RESTRICTED -tietoja, ja kansalliset tai nimetyt turvallisuusviranomaiset, jotka edellyttävät ilmoitusta RESTREINT UE/EU RESTRICTED -tasolle luokitelluista turvallisuusluokitelluista avustussopimuksista (1)
Jäsenvaltio |
YHTEISÖTURVALLISUUSSELVITYS |
Ilmoitus avustussopimuksesta tai alihankintasopimuksesta, johon kuuluu R-UE/EU-R-tietoa, kansalliselle ja/tai nimetylle turvallisuusviranomaiselle |
HENKILÖTURVALLISUUSSELVITYS |
|||
KYLLÄ |
EI |
KYLLÄ |
EI |
KYLLÄ |
EI |
|
Belgia |
|
X |
|
X |
|
X |
Bulgaria |
|
X |
|
X |
|
X |
Tšekki |
|
X |
|
X |
|
X |
Tanska |
X |
|
X |
|
X |
|
Saksa |
|
X |
|
X |
|
X |
Viro |
X |
|
X |
|
|
X |
Irlanti |
|
X |
|
X |
|
X |
Kreikka |
X |
|
|
X |
X |
|
Espanja |
|
X |
X |
|
|
X |
Ranska |
|
X |
|
X |
|
X |
Kroatia |
|
X |
X |
|
|
X |
Italia |
|
X |
X |
|
|
X |
Kypros |
|
X |
X |
|
|
X |
Latvia |
|
X |
|
X |
|
X |
Liettua |
X |
|
X |
|
|
X |
Luxemburg |
X |
|
X |
|
X |
|
Unkari |
|
X |
|
X |
|
X |
Malta |
|
X |
|
X |
|
X |
Alankomaat |
X (vain puolustukseen liittyvät avustussopimukset ja alihankintasopimukset) |
|
X (vain puolustukseen liittyvät avustussopimukset ja alihankintasopimukset) |
|
|
X |
Itävalta |
|
X |
|
X |
|
X |
Puola |
|
X |
|
X |
|
X |
Portugali |
|
X |
|
X |
|
X |
Romania |
|
X |
|
X |
|
X |
Slovenia |
X |
|
X |
|
|
X |
Slovakia |
X |
|
X |
|
|
X |
Suomi |
|
X |
|
X |
|
X |
Ruotsi |
|
X |
|
X |
|
X |
(1) Nämä kansalliset vaatimukset, jotka koskevat yhteisö- ja henkilöturvallisuusselvityksiä ja ilmoituksia avustussopimuksista, joissa käsitellään RESTREINT UE/EU RESTRICTED -tietoja, eivät saa aiheuttaa lisävelvollisuuksia muille jäsenvaltioille tai niiden oikeudenkäyttöalueella toimiville avustuksen saajille.
Huom. Ilmoitukset avustussopimuksista, joihin kuuluu CONFIDENTIEL UE/EU CONFIDENTIAL- ja SECRET UE/EU SECRET -tietoja, ovat pakollisia.
LIITE V
LUETTELO KANSALLISEN TURVALLISUUSVIRANOMAISEN / NIMETYN TURVALLISUUSVIRANOMAISEN OSASTOISTA, JOTKA VASTAAVAT YHTEISÖTURVALLISUUTEEN LIITTYVISTÄ KÄSITTELYMENETTELYISTÄ
BELGIA
National Security Authority |
FPS Foreign Affairs |
Rue des Petits Carmes/Karmelietenstraat 15 |
1000 Bruxelles/Brussel |
Puhelin: +32 25014542 (sihteeristö)
Faksi: +32 25014596
Sähköposti: nvo-ans@diplobel.fed.be
BULGARIA
1. |
Puhelin: +359 29835775 Faksi: +359 29873750 Sähköposti: dksi@government.bg |
2. |
Puhelin: +359 29227002 Faksi: +359 29885211 Sähköposti: office@iksbg.org |
3. |
Puhelin: +359 29813221 Faksi: +359 29862706 Sähköposti: office@dar.bg |
4. |
Puhelin: +359 29824971 Faksi: +359 29461339 Sähköposti: dato@dato.bg |
(Edellä luetellut toimivaltaiset viranomaiset suorittavat tarkastusmenettelyjä yhteisöturvallisuusselvitysten myöntämiseksi oikeushenkilöille, jotka tekevät tarjouksen turvallisuusluokitellusta sopimuksesta, ja henkilöturvallisuusselvitysten myöntämiseksi yksityishenkilöille, jotka panevat turvallisuusluokitellun sopimuksen täytäntöön näiden viranomaisten tarpeiden mukaan.)
5. |
Puhelin: +359 28147109 Faksi: +359 29632188, +359 28147441 Sähköposti: dans@dans.bg |
(Edellä mainittu turvallisuusyksikkö suorittaa tarkastusmenettelyjä yhteisö- ja henkilöturvallisuusselvitysten myöntämiseksi kaikille muille maan oikeushenkilöille ja yksityishenkilöille, jotka tekevät tarjouksen turvallisuusluokitellusta sopimuksesta tai turvallisuusluokitellusta avustussopimuksesta tai panevat turvallisuusluokitellun sopimuksen tai turvallisuusluokitellun avustussopimuksen täytäntöön.)
TŠEKKI
National Security Authority |
Industrial Security Department |
PO BOX 49 |
150 06 Praha 56 |
Puhelin: +420 257283129
Sähköposti: sbr@nbu.cz
TANSKA
1. |
Puhelin: +45 33148888 Faksi: +45 33430190 |
2. |
Puhelin: +45 33325566 Faksi: +45 33931320 |
SAKSA
1. |
Puhelin: +49 228996154028 Faksi: +49 228996152676 Sähköposti: dsagermany-rs3@bmwi.bund.de (viraston sähköpostiosoite) |
2. |
Puhelin: +49 228996152401 Faksi: +49 228996152603 Sähköposti: rs2-international@bmwi.bund.de (viraston sähköpostiosoite) |
3. |
Puhelin: +49 2289995826052 Faksi: +49 228991095826052 Sähköposti: NDAEU@bsi.bund.de |
VIRO
National Security Authority Department |
Estonian Foreign Intelligence Service |
Rahumäe tee 4B |
11316 Tallinn |
Puhelin: +372 6939211
Faksi: +372 6935001
Sähköposti: nsa@fis.gov.ee
IRLANTI
National Security Authority Ireland |
Department of Foreign Affairs and Trade |
76–78 Harcourt Street |
Dublin 2 |
D02 DX45 |
Puhelin: +353 14082724
Sähköposti: nsa@dfa.ie
KREIKKA
Hellenic National Defence General Staff |
E’ Division (Security INTEL, CI BRANCH) |
E3 Directorate |
Industrial Security Office |
227–231 Mesogeion Avenue |
15561 Holargos, Athens |
Puhelin: +30 2106572022, +30 2106572178
Faksi: +30 2106527612
Sähköposti: daa.industrial@hndgs.mil.gr
ESPANJA
Autoridad Nacional de Seguridad |
Oficina Nacional de Seguridad |
Calle Argentona 30 |
28023 Madrid |
Puhelin: +34 912832583, +34 912832752, +34 913725928
Faksi: +34 913725808
Sähköposti: nsa-sp@areatec.com
Turvallisuusluokiteltuja ohjelmia koskevat tiedot: programas.ons@areatec.com
Henkilöturvallisuusselvitystä koskevat asiat: hps.ons@areatec.com
Kuljetussuunnitelmat ja kansainväliset vierailut: sp-ivtco@areatec.com
RANSKA
National Security Authority (NSA) (käytännöt ja täytäntöönpano muilla aloilla kuin puolustusteollisuudessa) |
Secrétariat général de la défense et de la sécurité nationale |
Sous-direction Protection du secret (SGDSN/PSD) |
51 boulevard de la Tour-Maubourg |
75700 Paris 07 SP |
Puhelin: +33 171758193
Faksi: +33 171758200
Sähköposti: ANSFrance@sgdsn.gouv.fr
Designated Security Authority (täytäntöönpano puolustusteollisuudessa) |
Direction Générale de l’Armement |
Service de la Sécurité de Défense et des systèmes d’Information (DGA/SSDI) |
60 boulevard du général Martial Valin |
CS 21623 |
75509 Paris CEDEX 15 |
Puhelin: +33 988670421
Sähköposti: lomakkeet ja lähtevät vierailupyynnöt: dga-ssdi.ai.fct@intradef.gouv.fr
saapuvat vierailupyynnöt: dga-ssdi.visit.fct@intradef.gouv.fr
KROATIA
Office of the National Security Council |
Croatian NSA |
Jurjevska 34 |
10000 Zagreb |
Puhelin: +385 14681222
Faksi: +385 14686049
Sähköposti: NSACroatia@uvns.hr
ITALIA
Presidenza del Consiglio dei Ministri |
D.I.S. – U.C.Se. |
Via di Santa Susanna 15 |
00187 Roma |
Puhelin: +39 0661174266
Faksi: +39 064885273
KYPROS
ΥΠΟΥΡΓΕΙΟ ΑΜΥΝΑΣ |
Εθνική Αρχή Ασφάλειας (ΕΑΑ) |
Λεωφόρος Στροβόλου, 172–174 |
Στρόβολος, 2048, Λευκωσία |
Τηλέφωνα: +357 22807569, +357 22807764
Τηλεομοιότυπο: +357 22302351
Sähköposti: cynsa@mod.gov.cy
Ministry of Defence |
National Security Authority (NSA) |
172–174, Strovolos Avenue |
2048 Strovolos, Nicosia |
Puhelin: +357 22807569, +357 22807764
Faksi: +357 22302351
Sähköposti: cynsa@mod.gov.cy
LATVIA
National Security Authority |
Constitution Protection Bureau of the Republic of Latvia |
P.O. Box 286 |
Riga LV-1001 |
Puhelin: +371 67025418, +371 67025463
Faksi: +371 67025454
Sähköposti: ndi@sab.gov.lv, ndi@zd.gov.lv
LIETTUA
Lietuvos Respublikos paslapčių apsaugos koordinavimo komisija |
(The Commission for Secrets Protection Coordination of the Republic of Lithuania) |
National Security Authority |
Pilaitės pr. 19 |
LT-06264 Vilnius |
Puhelin: +370 70666128
Sähköposti: nsa@vsd.lt
LUXEMBURG
Autorité Nationale de Sécurité |
207, route d’Esch |
L-1471 Luxembourg |
Puhelin: +352 24782210
Sähköposti: ans@me.etat.lu
UNKARI
National Security Authority of Hungary |
H-1399 Budapest P.O. Box 710/50 |
H-1024 Budapest, Szilágyi Erzsébet fasor 11/B |
Puhelin: +36 13911862
Faksi: +36 13911889
Sähköposti: nbf@nbf.hu
ΜΑLTA
Director of Standardisation |
Designated Security Authority for Industrial Security |
Standards & Metrology Institute |
Malta Competition and ConsumerAffairs Authority |
Mizzi House |
National Road |
Blata I-Bajda HMR9010 |
Puhelin: +356 23952000
Faksi: +356 21242406
Sähköposti: certification@mccaa.org.mt
ALANKOMAAT
1. |
Puhelin: +31 703204400 Faksi: +31 703200733 Sähköposti: nsa-nl-industry@minbzk.nl |
2. |
Puhelin: +31 704419407 Faksi: +31 703459189 Sähköposti: indussec@mindef.nl |
ITÄVALTA
1. |
Puhelin: +43 153115202594 Sähköposti: isk@bka.gv.at |
2. |
Sähköposti: abwa@bmlvs.gv.at |
PUOLA
Internal Security Agency |
Department for the Protection of Classified Information |
Rakowiecka 2A |
00-993 Warsaw |
Puhelin: +48 225857944
Faksi: +48 225857443
Sähköposti: nsa@abw.gov.pl
PORTUGALI
Gabinete Nacional de Segurança |
Serviço de Segurança Industrial |
Rua da Junqueira no 69 |
1300-342 Lisbon |
Puhelin: +351 213031710
Faksi: +351 213031711
Sähköposti: sind@gns.gov.pt, franco@gns.gov.pt
ROMANIA
Oficiul Registrului Național al Informațiilor Secrete de Stat – ORNISS |
Romanian NSA – ORNISS – National Registry Office for Classified Information |
Strada Mureș 4 |
012275 Bucharest |
Puhelin: +40 212075115
Faksi: +40 212245830
Sähköposti: relatii.publice@orniss.ro, nsa.romania@nsa.ro
SLOVENIA
Urad Vlade RS za varovanje tajnih podatkov |
Gregorčičeva 27 |
1000 Ljubljana |
Puhelin: +386 14781390
Faksi: +386 14781399
Sähköposti: gp.uvtp@gov.si
SLOVAKIA
Národný bezpečnostný úrad |
(National Security Authority) |
Security Clearance Department |
Budatínska 30 |
851 06 Bratislava |
Puhelin: +421 268691111
Faksi: +421 268691700
Sähköposti: podatelna@nbu.gov.sk
SUOMI
Kansallinen turvallisuusviranomainen |
Ulkoasiainministeriö |
PL 453 |
FI-00023 Valtioneuvosto |
Sähköposti: NSA@formin.fi
RUOTSI
1. |
Puhelin: +46 84051000 Faksi: +46 87231176 Sähköposti: ud-nsa@gov.se |
2. |
Puhelin: +46 87824000 Faksi: +46 87826900 Sähköposti: security@fmv.se |