Unionin ulkoasioiden ja turvallisuuspolitiikan korkean edustajan päätös,

annettu 15 päivänä kesäkuuta 2011,

Euroopan ulkosuhdehallinnon turvallisuussäännöistä

2011/C 304/05

KORKEA EDUSTAJA, joka

ottaa huomioon Euroopan ulkosuhdehallinnon organisaatiosta ja toiminnasta annetun neuvoston päätöksen 2010/427/EU ja erityisesti sen 10 artiklan,

ottaa huomioon edellä mainitun neuvoston päätöksen 10 artiklan 1 kohdassa tarkoitetun komitean lausunnon,

sekä katsoo seuraavaa:

ON HYVÄKSYNYT TÄMÄN PÄÄTÖKSEN:

1 artikla

Kohde ja soveltamisala

1.   Tällä päätöksellä säädetään Euroopan ulkosuhdehallinnon turvallisuutta ja turvaamista koskevista säännöistä, jäljempänä ’EUH:n turvallisuussäännöt’. Päätöksellä vahvistetaan yleinen sääntelykehys, jolla hallitaan tehokkaasti henkilöstöön, fyysiseen omaisuuteen ja tietoihin kohdistuvia riskejä ja täytetään tätä koskevat huolellisuusvelvoitteet.

2.   EUH:n turvallisuussääntöjä sovelletaan kaikkiin EUH:n henkilöstöön kuuluviin (eli virkamiehet ja muut toimihenkilöt, lähetetyt kansalliset asiantuntijat ja paikalliset toimihenkilöt) ja kaikkiin unionin edustustojen henkilöstön jäseniin, jäljempänä ’henkilöstö’, heidän hallinnollisesta asemastaan tai alkuperästään riippumatta.

3.   Korkea edustaja toteuttaa kaikki asianmukaiset toimenpiteet näiden sääntöjen panemiseksi täytäntöön EUH:ssa ja ottaa käyttöön tarvittavat valmiudet kaikkien turvallisuuden osa-alueiden kattamiseksi jäsenvaltioiden, neuvoston pääsihteeristön ja komission asianomaisten yksikköjen tuella.

4.   Tämän päätöksen voimaantulosta alkaen voidaan tarvittaessa soveltaa siirtymäjärjestelyjä tekemällä palvelutasosopimuksia neuvoston pääsihteeristön ja komission asianomaisten yksiköiden kanssa.

5.   Korkea edustaja tarkastelee näitä turvallisuussääntöjä uudelleen. Korkea edustaja varmistaa, että tätä päätöstä sovelletaan yhdenmukaisesti.

6.   Korkea edustaja hyväksyy tarvittaessa 9 artiklan 6 kohdassa tarkoitetun komitean suosituksesta turvallisuusperiaatteet, joissa esitetään toimenpiteet tämän päätöksen panemiseksi täytäntöön. Kyseisen komitean tasolla voidaan hyväksyä turvallisuutta koskevia suuntaviivoja, joilla täydennetään tai tuetaan tätä päätöstä.

7.   Komitea ottaa 6 kohdan täytäntöönpanossa täysimääräisesti huomioon neuvostossa ja Euroopan komissiossa voimassa olevat turvallisuusperiaatteet ja -suuntaviivat, jotta EUH:n, neuvoston ja komission vastaavien turvallisuustoimenpiteiden välinen johdonmukaisuus voidaan säilyttää.

2 artikla

Turvallisuusriskien hallinta

1.   Määrittääkseen turvallisuuden suojaamista koskevat tarpeensa EUH soveltaa kattavaa turvallisuusriskien arviointimenetelmää neuvoston pääsihteeristön turvallisuusyksikköä ja Euroopan komission turvallisuusosastoa kuullen. Jäljempänä 9 artiklan 6 kohdassa tarkoitettua komiteaa kuullaan menetelmän soveltamisesta EUH:ssa.

2.   Henkilöstöön, fyysiseen omaisuuteen ja tietoihin kohdistuvia riskejä on hallittava prosessina. Prosessissa on pyrittävä määrittelemään tunnetut turvallisuusriskit ja turvatoimet niiden vähentämiseksi hyväksyttävälle tasolle sekä soveltamaan turvatoimia syvyyssuuntaisen turvallisuuden käsitteen pohjalta. Turvatoimien tehokkuutta on arvioitava jatkuvasti.

3.   Tällä päätöksellä vahvistettavat roolit, vastuualueet ja tehtävät eivät rajoita EUH:n henkilöstön kaikkien jäsenten vastuuta käyttää tervettä järkeä ja arvostelukykyä omaan turvallisuuteensa ja turvaamiseensa liittyvissä asioissa, eivätkä heille asetettua vaatimusta noudattaa kaikkia sovellettavia turvallisuussääntöjä, -määräyksiä, -menettelyjä ja -ohjeita

4.   EUH toteuttaa 1 artiklan 3 kohdan mukaisesti kaikki kohtuulliset toimenpiteet varmistaakseen henkilöstönsä, fyysisen omaisuutensa ja tietojensa turvallisuuden ja turvaamisen ja ehkäistäkseen kohtuullisesti ennakoitavissa olevien vahinkojen aiheutumisen niille.

5.   EUH:n turvatoimet turvallisuusluokiteltujen tietojen suojaamiseksi koko niiden elinkaaren ajan on suhteutettava erityisesti tietojen tai aineistojen turvallisuusluokitukseen, muotoon ja määrään, turvallisuusluokiteltujen tietojen sijoitustilojen sijaintiin ja rakentamiseen sekä vihamielisen ja/tai rikollisen toiminnan uhkaan, myös niiden paikallisesti arvioituun uhkaan, vakoilu, sabotaasi ja terrorismi mukaan luettuina.

3 artikla

Tietojen suojaaminen

1.   Korkea edustaja päättää Euroopan ulkosuhdehallinnon organisaatiosta ja toiminnasta annetun neuvoston päätöksen 2010/427/EU 10 artiklan 1 kohdassa tarkoitettua komiteaa kuultuaan turvallisuusluokiteltujen tietojen suojaamista koskevista säännöistä, jotka vastaavat turvallisuussäännöistä EU:n turvallisuusluokiteltujen tietojen suojaamiseksi annetussa neuvoston päätöksessä 2011/292/EU (1) hyväksyttyjä sääntöjä. EUH soveltaa edellä mainittuja neuvoston turvallisuussääntöjä soveltuvin osin, kunnes nämä säännöt hyväksytään. Korkea edustaja toteuttaa kaikki asianmukaiset toimenpiteet pannakseen kyseiset säännöt täytäntöön EUH:ssa 1 artiklan 3 kohdan mukaisesti.

2.   Jäsenvaltioiden tuodessa EUH:n rakenteisiin tai verkostoihin turvallisuusluokiteltuja tietoja, joissa on kansallinen turvallisuusluokitusmerkintä, EUH noudattaa kyseisten tietojen suojaamisessa vastaavan tason EU:n turvallisuusluokiteltuihin tietoihin sovellettavia vaatimuksia 3 artiklan 1 kohdassa tarkoitettujen sovellettavien sääntöjen mukaisesti.

3.   EUH:n turvatoimet arkaluonteisten turvaluokittelemattomien tietojen suojaamiseksi suhteutetaan tietojen arkaluonteisuuteen ja/tai vaikutuksiin, joita niiden luvaton ilmitulo aiheuttaisi EU:n etuihin.

4 artikla

Fyysinen turvallisuus

1.   Asianmukaiset fyysiset turvatoimet, mukaan lukien kulunvalvontajärjestelyt, toteutetaan kaikissa EUH:n tiloissa, rakennuksissa, toimistoissa, huoneissa ja muissa paikoissa, mukaan lukien turvallisuusluokiteltujen tietojen käsittelyssä käytettävien viestintä- ja tietojärjestelmien sijoitusalueet. Nämä turvatoimet on otettava huomioon toimitilojen rakenteissa ja suunnittelussa.

2.   Fyysisiä turvatoimenpiteitä toteutetaan tarvittaessa henkilöstön jäsenten ja heidän huollettaviensa suojaamiseksi.

3.   Edellä 1 ja 2 kohdassa tarkoitetut toimet suhteutetaan henkilöstöön ja vierailijoihin, fyysiseen omaisuuteen ja tietoihin kohdistuvaan arvioituun riskiin.

4.   EUH:n alueet, joilla säilytetään CONFIDENTIEL UE/EU CONFIDENTIAL- tai sitä korkeamman tason tai sitä vastaavan tason turvallisuusluokiteltuja tietoja, on määriteltävä turva-alueiksi 3 artiklan 1 kohdan sääntöjen mukaisesti, ja EUH:n toimivaltaisen turvallisuusviranomaisen on hyväksyttävä ne.

5 artikla

Henkilöstön turvallisuusselvitykset

1.   Turvallisuusluokiteltuihin tietoihin pääsyyn ja henkilöstön turvallisuusselvitysmenettelyihin sovelletaan 3 artiklan 1 kohdan mukaisissa säännöissä asetettuja vaatimuksia.

2.   Kaikista henkilöstön jäsenistä, joilla on tehtäviensä suorittamiseksi oltava pääsy CONFIDENTIEL UE/EU CONFIDENTIAL- tai sitä korkeamman tason tai sitä vastaavan tason turvallisuusluokiteltuihin tietoihin, on tehtävä asianmukaisen tason turvallisuusselvitys ennen kuin heille myönnetään pääsy kyseisiin turvallisuusluokiteltuihin tietoihin. Paikallisille toimihenkilöille myönnetään pääsy EU:n turvallisuusluokiteltuihin tietoihin ainoastaan 3 artiklan 1 kohdan mukaisissa säännöissä asetetuin edellytyksin.

3.   EUH:n henkilöstöön sovellettavat henkilöturvallisuusselvitysmenettelyt vahvistetaan 3 artiklan 1 kohdan mukaisia sääntöjä noudattaen. Näiden menettelyjen on tarjottava turvaamistaso, joka vastaa Euroopan komissiossa ja neuvoston pääsihteeristössä sovellettavien menettelyjen tasoa.

6 artikla

Viestintä- ja tietojärjestelmien turvallisuus

1.   EUH suojaa viestintä- ja tietojärjestelmissä käsitellyt tiedot luottamuksellisuutta, eheyttä, käytettävyyttä, aitoutta ja kiistämättömyyttä koskevia uhkia vastaan.

2.   Kaikkien turvallisuusluokiteltujen tietojen käsittelyssä käytettävien viestintä- ja tietojärjestelmien on läpikäytävä hyväksymisprosessi. EUH soveltaa turvallisuusjärjestelyjen hyväksymiseen hallintajärjestelmää neuvoston pääsihteeristöä ja Euroopan komissiota kuullen.

3.   Kun EU:n turvallisuusluokitellut tiedot suojataan salaustuotteilla, tuotteilta edellytetään, että EUH:n salauslaitteiden hyväksyntäviranomainen on hyväksynyt ne Euroopan ulkosuhdehallinnon organisaatiosta ja toiminnasta annetun neuvoston päätöksen 2010/427/EU 10 artiklan 1 kohdassa tarkoitetun komitean suosituksesta EU:n turvallisuusluokiteltujen tietojen suojaamiseksi annetun neuvoston päätöksen 2011/292/EU 10 artiklan mukaisesti.

4.   Korkean edustajan on tarpeen mukaan perustettava seuraavat tiedonturvaamistehtävät 3 artiklan 1 kohdan mukaisesti:

5.   Korkean edustajan on perustettava kutakin järjestelmää varten seuraavat tehtävät 3 artiklan 1 kohdan mukaisesti:

7 artikla

Turvallisuustietoisuus ja -koulutus

1.   Korkea edustaja varmistaa, että EUH:ssa otetaan käyttöön ja pannaan täytäntöön asianmukaiset turvallisuustietoisuus- ja turvallisuuskoulutusohjelmat ja että henkilöstön jäsenet ja heidän huollettavansa saavat asuinpaikkaansa liittyviin riskeihin suhteutetun tarvittavan turvallisuustietoisuutta koskevan ohjeistuksen ja koulutuksen.

2.   Henkilöstön jäsenille on selvitettävä heidän vastuunsa ja heidän on annettava vakuutus vastuustaan suojata turvallisuusluokitellut tiedot 3 artiklan 1 kohdan sääntöjen mukaisesti ennen kuin heille myönnetään pääsy turvallisuusluokiteltuihin tietoihin; tämä on uusittava säännöllisin väliajoin.

8 artikla

Tietoturvaloukkaukset ja turvallisuusluokiteltujen tietojen vaarantuminen

1.   Tapahtuneesta tai epäillystä tietoturvaloukkauksesta on ilmoitettava välittömästi EUH:n turvallisuusosastolle, joka asiasta ilmoittaa komission, neuvoston pääsihteeristön tai tarvittaessa jäsenvaltioiden vastaaville viranomaisille.

2.   Jos turvallisuusluokiteltujen tietojen tiedetään tai voidaan perustellusti olettaa vaarantuneen tai kadonneen, EUH:n turvallisuusosaston on ilmoitettava siitä Euroopan komission turvallisuusosastolle, neuvoston pääsihteeristölle tai soveltuvin osin jäsenvaltioille ja toteutettava kaikki 3 artiklan 1 kohdan sääntöjen mukaiset tarpeelliset toimenpiteet.

3.   Henkilöstön jäsenelle, joka on vastuussa tässä päätöksessä säädettyjen turvallisuussääntöjen rikkomisesta, voidaan määrätä kurinpitoseuraamus asiaankuuluvien sääntöjen ja määräysten mukaisesti. Henkilöön, joka on aiheuttanut turvallisuusluokiteltujen tietojen vaarantumisen tai katoamisen, voidaan kohdistaa kurinpidollisia ja/tai oikeudellisia toimenpiteitä sovellettavien lakien, sääntöjen ja määräysten mukaisesti.

9 artikla

Turvallisuusjärjestelyt EUH:ssa

1.   Korkea edustaja toimii EUH:n turvallisuusviranomaisena. Siinä ominaisuudessa hän varmistaa erityisesti, että

2.   Korkea edustaja voi tarvittaessa sopia hallinnollisista järjestelyistä turvallisuusluokiteltujen tietojen vaihtamiseksi erityisesti kolmansien valtioiden ja kansainvälisten järjestöjen kanssa, sanotun kuitenkaan rajoittamatta Euroopan unionin toiminnasta tehdyn sopimuksen 218 artiklan 3 kohdan soveltamista. Jäljempänä 9 artiklan 6 kohdassa tarkoitettua komiteaa kuullaan ennen järjestelyjen toteuttamista.

3.   Toimeenpaneva pääsihteeri varmistaa, että kaikki asianmukaiset fyysiset ja organisatoriset toimenpiteet toteutetaan henkilöstön ja vierailijoiden, fyysisen omaisuuden ja tietojen turvallisuutta ja turvaamista varten kaikissa EUH:n tiloissa. Toimeenpanevaa pääsihteeriä avustaa tässä tehtävässä hallintopääjohtaja ja EUH:n turvallisuusosasto.

4.   EUH:lla on turvallisuusosasto, joka vastaa kaikista turvallisuusasioihin liittyvistä järjestelyistä EUH:ssa ja joka on korkean edustajan käytettävissä ja voi tarvittaessa raportoida korkealle edustajalle tehtäviensä mukaisesti. Euroopan ulkosuhdehallinnon organisaatiosta ja toiminnasta annetun neuvoston päätöksen 2010/427/EU 10 artiklan 3 kohdan mukaisesti turvallisuusosastoa avustavat jäsenvaltioiden toimivaltaiset yksiköt.

5.   Kunkin unionin edustuston päällikkö on vastuussa kaikista edustuston turvallisuuteen liittyvistä toimenpiteistä ja vastaa edustuston henkilöstön ja vierailijoiden, fyysisen omaisuuden ja tietojen turvallisuudesta ja turvaamisesta. Päällikköä avustaa näissä tehtävissä EUH:n turvallisuusosasto, erityistoimeksiantoja ja -tehtäviä suorittava edustuston henkilöstö ja tarvittaessa palkattu erityinen turvallisuushenkilöstö.

6.   Perustetaan turvallisuuskomitea. Korkea edustaja pyytää neuvoja turvallisuuskomitealta, joka tutkii ja arvioi kaikki tämän päätöksen soveltamisalaan kuuluvat turvallisuusasiat ja antaa tarvittaessa suosituksia. Turvallisuuskomitea koostuu kutakin jäsenvaltiota, neuvoston pääsihteeristöä ja Euroopan komission turvallisuusosastoa edustavista turvallisuusalan asiantuntijoista. Turvallisuuskomitean puheenjohtajana toimii korkea edustaja tai hänen nimeämänsä henkilö. Turvallisuuskomitea järjestää toimintansa niin, että se voi antaa suosituksia tämän päätöksen soveltamisalaan kuuluvilla erityisillä turvallisuuden aloilla.

7.   EUH:n turvallisuusosaston päällikkö tapaa säännöllisesti ja tarvittaessa neuvoston pääsihteeristön turvallisuustoimen johtajan ja Euroopan komission turvallisuusosaston johtajan neuvotellakseen yhteisesti kiinnostavista kysymyksistä.

10 artikla

ETPP-operaatioiden ja EU:n erityisedustajien turvallisuus

ETTP-operaation johtajan vastuu operaation tai EU:n erityisedustajan vastuu hänen alaisinaan työskentelevien henkilöiden turvallisuudesta määritetään operaation perustamista tai erityisedustajan nimittämistä koskevassa neuvoston päätöksessä. EUH:n turvallisuusosasto voi avustaa operaation johtajaa tai erityisedustajaa sen varmistamisessa, että Euroopan unionista tehdyn sopimuksen V osaston 2 luvun nojalla EU:n ulkopuolisiin operaatioihin lähetetyn henkilöstön turvallisuutta koskevaa neuvoston politiikkaa noudatetaan asianmukaisesti. Tätä varten otetaan käyttöön asianmukaiset yhteistyöjärjestelyt.

11 artikla

Turvallisuustarkastukset

1.   Korkea edustaja varmistaa, että turvallisuustarkastuksia suoritetaan sen tarkastamiseksi, että turvallisuussääntöjä ja -määräyksiä henkilöstön, fyysisen omaisuuden ja tietojen suojaamiseksi EUH:ssa ja SEU-sopimuksen V osaston 2 luvun mukaisissa operaatioissa noudatetaan.

2.   EUH voi tarvittaessa hyödyntää jäsenvaltioiden, neuvoston pääsihteeristön ja Euroopan komission asiantuntemusta.

3.   Korkea edustaja vahvistaa vuosittaisen turvallisuustarkastusohjelman.

12 artikla

Toiminnan jatkuvuuden suunnittelu

EUH:n turvallisuusosasto avustaa toimeenpanevaa pääsihteeriä EUH:n toimintaan liittyvien turvallisuusnäkökohtien hallinnassa osana yleistä EUH:n toiminnan jatkuvuuden suunnittelua.

13 artikla

Voimaantulo

Tämä päätös tulee voimaan päivänä, jona se allekirjoitetaan.

(1)  Neuvoston päätös 2011/292/EU, annettu 31 päivänä maaliskuuta 2011, turvallisuussäännöistä EU:n turvallisuusluokiteltujen tietojen suojaamiseksi, (EUVL L 141, 27.5.2011, s. 17).