ISSN 1977-1088
Službeni list
Europske unije
C 126
Hrvatsko izdanje
Informacije i objave
Godište 61.
10. travnja 2018.
|
ISSN 1977-1088 |
||
|
Službeni list Europske unije |
C 126 |
|
|
|
||
|
Hrvatsko izdanje |
Informacije i objave |
Godište 61. |
|
Obavijest br. |
Sadržaj |
Stranica |
|
|
IV. Obavijesti |
|
|
|
OBAVIJESTI INSTITUCIJA, TIJELA, UREDA I AGENCIJA EUROPSKE UNIJE |
|
|
2018/C 126/01 |
|
HR |
|
IV. Obavijesti
OBAVIJESTI INSTITUCIJA, TIJELA, UREDA I AGENCIJA EUROPSKE UNIJE
|
10.4.2018 |
HR |
Službeni list Europske unije |
C 126/1 |
Odluka Visokog predstavnika Unije za vanjske poslove i sigurnosnu politiku оd 19. rujna 2017. o sigurnosnim pravilima Europske službe za vanjsko djelovanje
ADMIN(2017) 10
(2018/C 126/01)
VISOKI PREDSTAVNIK UNIJE ZA VANJSKE POSLOVE I SIGURNOSNU POLITIKU,
uzimajući u obzir Odluku Vijeća 2010/427/EU od 26. srpnja 2010. o organizaciji i funkcioniranju Europske službe za vanjsko djelovanje (1) („ESVD”),
uzimajući u obzir mišljenje Odbora iz članka 9. stavka 6. Odluke Visokog predstavnika od 15. lipnja 2011. o sigurnosnim pravilima Europske službe za vanjsko djelovanje (2),
budući da:
|
(1) |
ESVD, kao funkcionalno neovisno tijelo Europske unije (EU), trebalo bi imati sigurnosna pravila kako je navedeno u članku 10. stavku 1. Odluke Vijeća 2010/427/EU. |
|
(2) |
Visoki predstavnik Unije za vanjske poslove i sigurnosnu politiku (dalje u tekstu „Visoki predstavnik” ili „VP”) trebao bi odlučiti o sigurnosnim pravilima ESVD-a koja obuhvaćaju sve aspekte sigurnosti u pogledu funkcioniranja ESVD-a, kako bi se djelotvorno upravljalo rizicima za osoblje pod njegovom odgovornošću, za njegovu fizičku imovinu, podatke i posjetitelje i u tom pogledu ispunjavale dužnosti pažnje. |
|
(3) |
Određenu razinu zaštite posebno bi trebalo pružati osoblju koje je pod odgovornošću ESVD-a, fizičkoj imovini ESVD-a, uključujući komunikacijske i informacijske sustave, podatke i posjetitelje, što je u skladu s najboljom praksom Vijeća, Komisije, država članica i, prema potrebi, međunarodnih organizacija. |
|
(4) |
Sigurnosna pravila ESVD-a trebala bi pridonijeti postizanju usklađenijeg sveobuhvatnog općeg okvira u EU-u za zaštitu klasificiranih podataka EU-a („EUCI”) i temeljiti se na sigurnosnim pravilima Vijeća Europske unije (dalje u tekstu „Vijeće”) i sigurnosnim pravilima Europske komisije te bi se trebala održavati što veća usklađenost s njima. |
|
(5) |
ESVD, Vijeće i Komisija ustraju u primjenjivanju jednakih sigurnosnih standarda za zaštitu klasificiranih podataka EU-a. |
|
(6) |
Donošenjem ove Odluke ne dovode se u pitanje članci 15. i 16. Ugovora o funkcioniranju Europske unije (UFEU) te instrumenti kojima se ti članci provode. |
|
(7) |
Potrebno je utvrditi organizaciju sigurnosti u ESVD-u i raspodjelu sigurnosnih zadataka u okviru struktura ESVD-a. |
|
(8) |
Visoki predstavnik trebao bi se prema potrebi oslanjati na relevantno stručno znanje u državama članicama, Glavnom tajništvu Vijeća i Komisiji. |
|
(9) |
Visoki predstavnik trebao bi poduzeti sve odgovarajuće mjere koje su potrebne kako bi se ta pravila provela uz potporu država članica, Glavnog tajništva Vijeća i Komisije. |
|
(10) |
Glavni tajnik ESVD-a sigurnosno je tijelo ESVD-a i člankom 1. Odluke ADMIN(2015) 34 od 14. rujna 2015. glavnog tajnika Europske službe za vanjsko djelovanje predviđeno je da sigurnosne funkcije sigurnosnog tijela izvršava glavni direktor za proračun i administraciju, kako je predviđeno sigurnosnim pravilima ESVD-a. |
DONIO JE OVU ODLUKU:
Članak 1.
Svrha i područje primjene
Ovom se Odlukom utvrđuju sigurnosna pravila Europske službe za vanjsko djelovanje (dalje u tekstu „sigurnosna pravila ESVD-a”).
U skladu s člankom 10. stavkom 1. Odluke Vijeća 2010/427/EU od 26. srpnja 2010. o organizaciji i funkcioniranju Europske službe za vanjsko djelovanje, Odluka se primjenjuje na sveukupno osoblje ESVD-a i sveukupno osoblje u delegacijama Unije, bez obzira na njihov administrativni status ili podrijetlo, i njome se uspostavlja opći regulatorni okvir za djelotvorno upravljanje rizicima za osoblje pod odgovornošću ESVD-a, kako je navedeno u članku 2., za prostorije ESVD-a, fizičku imovinu, podatke i posjetitelje.
Članak 2.
Definicije
U smislu ove Odluke primjenjuju se sljedeće definicije:
|
(a) |
„osoblje ESVD-a” znači dužnosnici i ostali službenici ESVD-a, uključujući zaposlenike iz diplomatskih službi država članica koji su imenovani kao privremeni djelatnici, i upućeni nacionalni stručnjaci, kako je definirano u članku 6. Odluke Vijeća 2010/427/EU od 26. srpnja 2010. o organizaciji i funkcioniranju Europske službe za vanjsko djelovanje; |
|
(b) |
„osoblje pod odgovornošću ESVD-a” znači osoblje ESVD-a u sjedištu i delegacijama Unije i svi ostali članovi osoblja u delegacijama Unije, bez obzira na njihov administrativni status ili podrijetlo, kao i, u kontekstu ove Odluke, Visoki predstavnik i prema potrebi ostalo osoblje koje radi u prostorijama sjedišta ESVD-a; |
|
(c) |
„uzdržavanici” znači članovi obitelji osoblja koje je pod odgovornošću ESVD-a u delegacijama Unije, a koji su dio njihovih kućanstava i o kojima je obaviješteno Ministarstvo vanjskih poslova države primateljice; |
|
(d) |
„prostorije ESVD-a” znači sve ustanove ESVD-a, uključujući zgrade, urede, prostorije i ostala područja, kao i područja u kojima su smješteni komunikacijski i informacijski sustavi (uključujući one u kojima se postupa s klasificiranim podacima EU-a), u kojima ESVD provodi trajne ili privremene aktivnosti; |
|
(e) |
„sigurnosni interesi ESVD-a” znači osoblje pod odgovornošću ESVD-a, prostorije ESVD-a, uzdržavanici, fizička imovina, uključujući komunikacijske i informacijske sustave, podatke i posjetitelje; |
|
(f) |
„klasificirani podaci EU-a (EUCI)” znači svaki podatak ili materijal koji je označen stupnjem tajnosti EU-a i čije neovlašteno otkrivanje može prouzročiti različite stupnjeve ugroze interesa Europske unije ili jedne ili više država članica; |
|
(g) |
„delegacija Unije” znači delegacije u trećim zemljama i međunarodnim organizacijama, kako je navedeno u članku 1. stavku 4. Odluke Vijeća 2010/427/EU od 26. srpnja 2010. o organizaciji i funkcioniranju Europske službe za vanjsko djelovanje. |
Ostale definicije navedene su u relevantnim prilozima i u Dodatku A.
Članak 3.
Dužna pažnja
1. Sigurnosnim pravilima ESVD-a nastoje se ispunjavati dužnosti pažnje ESVD-a.
2. Obveza pažnje ESVD-a uključuje dužnu pažnju pri poduzimanju svih razumnih koraka za provođenje sigurnosnih mjera kako bi se spriječila šteta sigurnosnim interesima ESVD-a koja se može razumno predvidjeti.
Obuhvaća elemente sigurnosti i zaštite, uključujući one koji su posljedica izvanrednih situacija ili kriza, bez obzira na njihovu prirodu.
3. Uzimajući u obzir dužnosti pažnje država članica, institucija ili tijela EU-a i drugih strana koje imaju osoblje u delegacijama Unije i/ili prostorijama delegacije Unije ili obvezu koju je ESVD dužan ispuniti kada se delegacije Unije nalaze u prostorijama prethodno navedenih drugih strana, ESVD sklapa administrativne dogovore sa svakim od prethodno navedenih subjekata kojima se utvrđuju njihove uloge i dužnosti te zadaci i mehanizmi suradnje.
Članak 4.
Fizička sigurnost i sigurnost infrastrukture
1. ESVD uspostavlja sve odgovarajuće mjere fizičke sigurnosti (bez obzira jesu li trajne ili privremene), uključujući mehanizme kontrole pristupa, u svim prostorijama ESVD-a radi zaštite sigurnosnih interesa ESVD-a. Te se mjere uzimaju u obzir pri projektiranju i planiranju novih prostorija ili prije unajmljivanja postojećih prostorija.
2. Iz sigurnosnih se razloga tijekom određenog razdoblja i u određenim područjima osoblju koje je pod odgovornošću ESVD-a i njihovim uzdržavanicima mogu odrediti posebne obveze ili ograničenja.
3. Mjere navedene u stavcima 1. i 2. moraju biti razmjerne procijenjenom riziku.
Članak 5.
Izvanredna stanja i upravljanje kriznim situacijama
1. Sigurnosno tijelo ESVD-a, kako je definirano člankom 13. stavkom 1., odjeljkom I., odgovorno je za uvođenje odgovarajućih mjera za izvanredna stanja u slučaju da očekuje prijetnje i incidente koji utječu na sigurnost ESVD-a ili kao odgovor na njih, te za uvođenje mjera potrebnih za upravljanje kriznim situacijama.
2. Mjere za izvanredna stanja iz stavka 1. moraju biti razmjerne razini prijetnje za sigurnost. Stupnjevi izvanrednih stanja definiraju se u bliskoj suradnji s nadležnim službama drugih institucija, agencija i tijela Unije te s nadležnim službama države članice ili država članica u kojima se nalaze prostorije ESVD-a.
3. Sigurnosno tijelo ESVD-a kontaktna je točka za izvanredna stanja i upravljanje kriznim situacijama.
Članak 6.
Zaštita klasificiranih podataka
1. Zaštita klasificiranih podataka EU-a uređena je zahtjevima utvrđenima ovom Odlukom, a posebno Prilogom A. Imatelj bilo kojeg klasificiranog podatka EU-a odgovoran je za njegovu zaštitu u skladu s ovom Odlukom.
2. ESVD osigurava da se pristup klasificiranim podacima odobrava samo pojedincima koji ispunjavaju uvjete utvrđene člankom 5. Priloga A.
3. Uvjete pod kojima lokalno osoblje može imati pristup klasificiranim podacima EU-a utvrđuje i Visoki predstavnik, u skladu s pravilima za zaštitu klasificiranih podataka EU-a utvrđenima u Prilogu A ovoj Odluci.
4. Uprava ESVD-a nadležna za sigurnost upravlja bazom podataka o uvjerenjima o sigurnosnoj provjeri svih članova osoblja koji su pod odgovornošću ESVD-a i njegovih ugovaratelja.
5. Ako države članice uvedu klasificirane podatke s oznakom nacionalnog stupnja tajnosti u strukture ili mreže ESVD-a, ESVD štiti navedene podatke u skladu sa zahtjevima primjenljivima na klasificirane podatke EU-a na jednakoj razini, kao što je navedeno u tablici ekvivalentnosti stupnjeva tajnosti koja se nalazi u Dodatku B ovoj Odluci.
6. Područja ESVD-a u kojima se čuvaju podaci sa stupnjem tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ili više, ili klasificirani prema istovjetnom stupnju tajnosti, utvrđuju se kao sigurnosne zone u skladu s pravilima iz Priloga A II. ovoj Odluci, a odobrava ih sigurnosno tijelo ESVD-a.
7. Postupci za provođenje odgovornosti Visokog predstavnika u okviru sporazuma ili administrativnih dogovora za razmjenu klasificiranih podataka EU-a s trećim državama ili međunarodnim organizacijama opisani su u prilozima A i A VI. ovoj Odluci.
8. Glavni tajnik određuje uvjete pod kojima ESVD može razmjenjivati klasificirane podatke EU-a u njegovu posjedu s drugim institucijama, tijelima, uredima ili agencijama Unije. U tu se svrhu uspostavlja odgovarajući okvir, uključujući sklapanjem međuinstitucijskih sporazuma ili drugih dogovora ako je to potrebno.
9. Takvim okvirom jamči se da su klasificirani podaci EU-a zaštićeni na odgovarajući način u skladu sa stupnjem tajnosti te prema temeljnim načelima i minimalnim standardima koji su jednaki onima utvrđenima u ovoj Odluci.
Članak 7.
Sigurnosni incidenti i krizne situacije
1. Kako bi se osigurao pravovremen i djelotvoran odgovor na sigurnosne incidente, ESVD uspostavlja postupak za izvješćivanje o takvim sigurnosnim incidentima i kriznim situacijama koji je u funkciji dvadeset i četiri sata dnevno, sedam dana u tjednu i obuhvaća sve vrste sigurnosnih incidenata ili prijetnji sigurnosnim interesima ESVD-a (npr. nesreće, sukob, zlonamjerne radnje, kriminalne radnje, otmica i talačke krize, hitni medicinski slučajevi, incidenti u komunikacijskim i informacijskim sustavima, kibernetički napadi itd.).
2. Uspostavljaju se hitni komunikacijski kanali između sjedišta ESVD-a, delegacija Unije, Vijeća, Komisije, posebnih predstavnika EU-a i država članica kako bi im se pružila potpora pri upravljanju sigurnosnim incidentima koji uključuju osoblje i njihovim posljedicama, uključujući planiranje za slučaj nužde.
3. Upravljanje sigurnosnim incidentima među ostalim uključuje:
|
— |
postupke kojima se djelotvorno podupire postupak odlučivanja u vezi sa sigurnosnim incidentima koji uključuju osoblje, što obuhvaća i odluke koje se odnose na izvlačenje ili obustavu misije, i |
|
— |
politiku i postupke za spašavanje osoblja, na primjer u slučaju nestalih osoba ili otmice i talačkih kriza, uzimajući u tom pogledu u obzir posebne odgovornosti država članica, institucija EU-a i ESVD-a. Potreba za posebnim mogućnostima, u okviru upravljanja tim operacijama u ovom pogledu, razmatra se uzimajući u obzir resurse koje mogu pružiti države članice. |
4. ESVD uspostavlja odgovarajuće administrativne dogovore za izvješćivanje o sigurnosnim incidentima u delegacijama Unije. O tome se prema potrebi obavješćuju države članice, Komisija, bilo koje drugo nadležno tijelo te nadležni sigurnosni odbori.
5. Postupke za upravljanje incidentima treba redovito provoditi i preispitivati.
Članak 8.
Sigurnost komunikacijskih i informacijskih sustava
1. ESVD štiti podatke s kojima se postupa u komunikacijskim i informacijskim sustavima („CIS”) od prijetnji u pogledu povjerljivosti, cjelovitosti, dostupnosti, autentičnosti i nepobitnosti.
2. Pravila, sigurnosne smjernice i sigurnosni program za zaštitu svih CIS-ova koje posjeduje ESVD ili kojima on upravlja odobrava sigurnosno tijelo ESVD-a.
3. Pravila, politika i program moraju biti u skladu s pravilima, politikom i programom Vijeća i Komisije i provoditi se u bliskoj koordinaciji s njima, a prema potrebi i sa sigurnosnim politikama koje primjenjuju države članice.
4. Svaki CIS u kojem se postupa s klasificiranim podacima mora proći proces akreditacije. ESVD primjenjuje sustav za upravljanje sigurnosnom akreditacijom u savjetovanju s Glavnim tajništvom Vijeća i Komisijom.
5. Ako su klasificirani podaci EU-a s kojima ESVD postupa zaštićeni kriptografskim proizvodima, te proizvode odobrava tijelo za odobravanje kriptomaterijala ESVD-a na preporuku Sigurnosnog odbora Vijeća.
6. Sigurnosno tijelo ESVD-a, u mjeri u kojoj je to potrebno, uspostavlja sljedeće funkcije informacijske sigurnosti:
|
(a) |
tijelo za informacijsku sigurnost; |
|
(b) |
tijelo za TEMPEST; |
|
(c) |
tijelo za odobravanje kriptomaterijala; |
|
(d) |
tijelo za distribuciju kriptomaterijala. |
7. Sigurnosno tijelo ESVD-a za svaki sustav uspostavlja sljedeće funkcije:
|
(a) |
tijelo za sigurnosnu akreditaciju; |
|
(b) |
operativno tijelo za informacijsku sigurnost. |
8. Odredbe za provedbu ovog članka u pogledu zaštite klasificiranih podataka EU-a utvrđene su u prilozima A i A IV.
Članak 9.
Povrede sigurnosti i ugroza klasificiranih podataka
1. Povreda sigurnosti posljedica je radnje ili propusta pojedinca koji je u suprotnosti sa sigurnosnim pravilima utvrđenima ovom Odlukom i/ili sigurnosnim politikama ili smjernicama u kojima su navedene sve mjere potrebne za njezinu provedbu, kako je odobreno u skladu s člankom 21. stavkom 1.
2. Do ugroze klasificiranih podataka dolazi kada su ti podaci djelomično ili u cijelosti otkriveni neovlaštenim osobama ili subjektima.
3. Svaka povreda ili sumnja u povredu sigurnosti, kao i svaka ugroza ili sumnja u ugrozu klasificiranih podataka odmah se prijavljuje Upravi ESVD-a nadležnoj za sigurnost koja poduzima odgovarajuće mjere utvrđene člankom 11. Priloga A.
4. Protiv svakog pojedinca odgovornog za povredu sigurnosnih pravila utvrđenih ovom Odlukom ili za ugrožavanje klasificiranih podataka, može se pokrenuti disciplinski i/ili pravni postupak u skladu s mjerodavnim zakonima, pravilima i propisima, kako je utvrđeno člankom 11. stavkom 3. Priloga A.
Članak 10.
Istraga incidenata, povreda i/ili ugroza u pogledu sigurnosti i korektivne mjere
1. Ne dovodeći u pitanje članak 86. (disciplinske mjere) i Prilog IX. Pravilnika o osoblju (3), Uprava ESVD-a nadležna za sigurnost može provoditi sigurnosne istrage:
|
(a) |
u slučaju mogućeg neovlaštenog otkrivanja klasificiranih podataka EU-a, klasificiranih podataka Euratoma ili osjetljivih neklasificiranih podataka, krivog postupanja s tim podacima ili njihova ugrožavanja; |
|
(b) |
radi suzbijanja napada neprijateljskih obavještajnih službi na ESVD i njegovo osoblje; |
|
(c) |
radi suzbijanja terorističkih napada na ESVD i njegovo osoblje; |
|
(d) |
u slučaju kibernetičkih incidenata; |
|
(e) |
u slučaju ostalih incidenata koji utječu ili mogu utjecati na opću sigurnost u ESVD-u, uključujući sumnje na kaznena djela. |
2. Uprava ESVD-a nadležna za sigurnost, prema potrebi uz pomoć stručnjaka iz država članica i/ili ostalih institucija EU-a, te nakon ovlaštenja sigurnosnog tijela ESVD-a kada je to nužno, provodi sve potrebne korektivne mjere koje proizlaze iz istraga kada i ako je to primjenjivo.
Ovlast za provedbu i koordinaciju sigurnosnih istraga u ESVD-u može biti povjerena samo osoblju ovlaštenom na temelju mandata koji im je dodijelilo sigurnosno tijelo ESVD-a s obzirom na njihove postojeće dužnosti.
3. Istražitelji imaju pristup svim podacima potrebnima za provođenje tih istraga i u tom im se pogledu pruža potpuna potpora svih službi i članova osoblja ESVD-a.
Istražitelji mogu poduzimati odgovarajuće mjere kako bi štitili trag dokaza na način koji je razmjeran ozbiljnosti pitanja koje istražuju.
4. Ako se pristup podacima odnosi na osobne podatke, uključujući one sadržane u komunikacijskim i informacijskim sustavima, taj pristup mora biti u skladu s Uredbom (EZ) 45/2001 (4).
5. Ako je potrebno uspostaviti bazu podataka o istragama koja sadržava osobne podatke, o tome se obavješćuje Europski nadzornik za zaštitu podataka (EDSP) u skladu s prethodno navedenom Uredbom.
Članak 11.
Upravljanje sigurnosnim rizicima
1. Kako bi se utvrdile zaštitne sigurnosne potrebe, ESVD u bliskoj suradnji s Upravom za sigurnost Komisije i prema potrebi s Uredom za sigurnost Glavnog tajništva Vijeća razvija sveobuhvatnu metodologiju za procjenu sigurnosnih rizika.
2. Rizicima za sigurnosne interese ESVD-a upravlja se kao procesom. Cilj je tog procesa utvrđivanje poznatih sigurnosnih rizika, definiranje sigurnosnih mjera za smanjenje tih rizika na prihvatljivu razinu i primjena navedenih mjera u skladu s konceptom dubinske obrane. Djelotvornost tih mjera neprekidno se ocjenjuje, kao i razina rizika.
3. Ulogama, odgovornostima i zadaćama utvrđenima ovom Odlukom ne dovodi se u pitanje odgovornost svakog člana osoblja koji je pod odgovornošću ESVD-a, a posebno se osoblje EU-a na misijama u trećim zemljama mora oslanjati na zdrav razum i dobru prosudbu u pogledu svoje zaštite i sigurnosti te poštovati sva primjenjiva sigurnosna pravila, propise, postupke i upute.
4. Radi sprječavanja i kontrole rizika za sigurnost, ovlašteno osoblje može provoditi pozadinske provjere osoba na koje se ova Odluka primjenjuje kako bi utvrdilo predstavlja li davanje pristupa tim osobama prostorijama ili podacima ESVD-a prijetnju za sigurnost. U tu svrhu, i u skladu s Uredbom (EZ) br. 45/2001, spomenuto ovlašteno osoblje može učiniti sljedeće: (a) upotrijebiti bilo koji izvor informacija dostupan ESVD-u, uzimajući u obzir pouzdanost izvora informacija; (b) pristupiti osobnim podacima zaposlenika ili podacima koje ESVD ima o osobama koje zapošljava ili planira zaposliti ili o osoblju ugovaratelja kada je to opravdano.
5. ESVD poduzima sve razumne mjere kako bi se osigurala zaštita njegovih sigurnosnih interesa i spriječila šteta koja se može razumno predvidjeti.
6. Sigurnosne mjere ESVD-a za zaštitu klasificiranih podataka EU-a moraju tijekom cijelog životnog ciklusa podataka biti razmjerne njihovu stupnju tajnosti, obliku i količini podataka ili materijala, mjestu i konstrukciji objekata u kojima su smješteni ti podaci te prijetnji, uključujući lokalno procijenjenoj prijetnji, koju predstavljaju zlonamjerne i/ili kriminalne aktivnosti, uključujući špijunažu, sabotažu i terorizam.
Članak 12.
Podizanje svijesti o sigurnosti i obuka
1. Sigurnosno tijelo ESVD-a osigurava sastavljanje i provedbu odgovarajućih programa podizanja svijesti o sigurnosti i obuke te da se osoblju pod odgovornošću ESVD-a te, prema potrebi, njihovim uzdržavanicima, pružaju potrebne upute i obuka koja je razmjerna rizicima na njihovu mjestu rada ili boravišta.
2. Prije nego što im se odobri pristup klasificiranim podacima EU-a te u pravilnim vremenskim razmacima nakon toga, osoblje prima upute o svojim odgovornostima koje se odnose na zaštitu klasificiranih podataka EU-a u skladu s pravilima utvrđenima u članku 6. te ih mora prihvatiti.
Članak 13.
Organizacija sigurnosti u ESVD-u
1. Glavni tajnik sigurnosno je tijelo ESVD-a. U tom svojstvu glavni tajnik osigurava da se:
|
(a) |
sigurnosne mjere prema potrebi koordiniraju s nadležnim tijelima država članica, Glavnim tajništvom Vijeća i Komisijom, a prema potrebi i s trećim državama ili međunarodnim organizacijama u vezi sa svim sigurnosnim pitanjima koja se odnose na aktivnosti ESVD-a, kao i u vezi s prirodom rizika za sigurnosne interese ESVD-a i sredstvima za zaštitu od njih; |
|
(b) |
od samog početka u potpunosti uzimaju u obzir sigurnosni aspekti svih aktivnosti ESVD-a; |
|
(c) |
pristup klasificiranim podacima odobrava samo pojedincima koji ispunjavaju uvjete utvrđene člankom 5. Priloga A; |
|
(d) |
uspostavi sustav registara kojim se osigurava da se s podacima sa stupnjem tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ili višim postupa u skladu s ovom Odlukom unutar ESVD-a, ali i pri objavljivanju državama članicama EU-a, institucijama, tijelima i agencijama EU-a ili drugim ovlaštenim primateljima. Vodi se zasebna evidencija o svim klasificiranim podacima EU-a koje je ESVD objavio trećim državama ili međunarodnim organizacijama te o svim klasificiranim podacima koje je primio od trećih država ili međunarodnih organizacija; |
|
(e) |
poduzimaju sigurnosni inspekcijski pregledi iz članka 16.; |
|
(f) |
provode istrage o svakoj povredi ili sumnji na povredu sigurnosti, kao i o svakoj ugrozi ili sumnji na ugrozu ili gubitak klasificiranih podataka u posjedu ESVD-a ili koji potječu od njega, te da se u takvim istragama zatraži pomoć nadležnih sigurnosnih tijela; |
|
(g) |
uspostave odgovarajući planovi i mehanizmi za upravljanje incidentima i posljedicama kako bi se pravovremeno i djelotvorno reagiralo na sigurnosne incidente; |
|
(h) |
poduzmu odgovarajuće mjere u slučaju da pojedinci ne poštuju ovu Odluku; |
|
(i) |
utvrde odgovarajuće fizičke i organizacijske mjere za zaštitu sigurnosnih interesa ESVD-a. Sigurnosno tijelo ESVD-a u tom pogledu:
|
2. Sigurnosnom tijelu ESVD-a u toj zadaći pomaže Glavna uprava za proračun i administraciju (DGBA), direktor ESVD-a nadležan za sigurnost i, prema potrebi, zamjenik glavnog tajnika za ZSOP i odgovor na krizne situacije.
3. U tom pogledu, glavni tajnik kao sigurnosno tijelo ESVD-a može prema potrebi delegirati zadatke.
4. Svaki voditelj odjela / radne jedinice odgovoran je za provedbu pravila za zaštitu klasificiranih podataka EU-a u svojem odjelu / radnoj jedinici.
Uz prethodno spomenutu odgovornost, svaki voditelj odjela / radne jedinice imenuje člana osoblja koji obavlja funkciju koordinatora za sigurnost unutar odjela, a čiji su resursi razmjerni količini klasificiranih podataka EU-a s kojima se postupa u tom odjelu / radnoj jedinici.
Koordinatori za sigurnost unutar odjela prema potrebi pomažu i pružaju potporu svojem voditelju odjela / radne jedinice u obavljanju sljedećih zadaća koje se odnose na sigurnost:
|
(a) |
razvoj svih dodatnih sigurnosnih zahtjeva u skladu s određenim potrebama odjela / radne jedinice; |
|
(b) |
redovito pružanje sigurnosnih uputa članovima odjela / radne jedinice; |
|
(c) |
osiguravanje da se u njihovu odjelu / radnoj jedinici poštuje princip nužnosti pristupa podacima; |
|
(d) |
ažuriranje popisa sigurnosnih kodova i ključeva; |
|
(e) |
održavanje sigurnosnih postupaka i sigurnosnih mjera; |
|
(f) |
izvješćivanje direktora te Uprave nadležne za sigurnost o svim povredama sigurnosti i/ili ugrozi klasificiranih podataka EU-a; |
|
(g) |
završni sastanci s članovima osoblja koji prestaju raditi u ESVD-u; |
|
(h) |
pružanje redovitih izvješća cijeloj hijerarhiji o sigurnosnim pitanjima koja se odnose na odjel / radnu jedinicu; |
|
(i) |
komunikacija s Upravom ESVD-a nadležnom za sigurnost u vezi sa sigurnosnim pitanjima. |
O svim se aktivnostima ili pitanjima koja bi mogla utjecati na sigurnost pravovremeno obavješćuje Uprava ESVD-a nadležna za sigurnost.
5. Svaki voditelj delegacije odgovoran je za provedbu svih mjera koje se odnose na sigurnost delegacije Unije.
1. ESVD ima Upravu nadležnu za sigurnost. Ta Uprava:
|
(a) |
upravlja, koordinira, nadgleda i/ili provodi sve sigurnosne mjere u svim prostorijama pod odgovornošću ESVD-a, u sjedištu, EU-u i trećim državama; |
|
(b) |
osigurava usklađenost i dosljednost svih aktivnosti koje bi mogle utjecati na zaštitu sigurnosnih interesa ESVD-a s ovom Odlukom i provedbenim odredbama; |
|
(c) |
ima ulogu glavnog savjetnika VP-a, sigurnosnog tijela ESVD-a i zamjenika glavnog tajnika za sva pitanja u vezi sa sigurnošću; |
|
(d) |
ima potporu nadležnih službi država članica, u skladu s člankom 10. stavkom 3. Odluke Vijeća 2010/427/EU o organizaciji i funkcioniranju ESVD-a; |
|
(e) |
podupire aktivnosti tijela za sigurnosnu akreditaciju ESVD-a provođenjem procjena fizičke sigurnosti opće sigurnosne okoline (GSE) / lokalne sigurnosne okoline (LSE) komunikacijskih i informacijskih sustava u kojima se postupa s klasificiranim podacima EU-a i prostorija koje treba odobriti za postupanje s klasificiranim podacima EU-a i njihovo čuvanje. |
2. Direktor ESVD-a nadležan za sigurnost odgovoran je za:
|
(a) |
osiguravanje opće zaštite sigurnosnih interesa ESVD-a; |
|
(b) |
izradu, preispitivanje i ažuriranje sigurnosnih pravila te za koordinaciju sigurnosnih mjera s nadležnim tijelima država članica i, prema potrebi, nadležnim tijelima trećih država i međunarodnim organizacijama koje su s EU-om sklopile sigurnosne sporazume i/ili dogovore; |
|
(c) |
podupiranje rada Sigurnosnog odbora ESVD-a, kako je utvrđeno člankom 15. stavkom 1. ove Odluke; |
|
(d) |
komunikaciju sa svim partnerima i tijelima u vezi sa sigurnosnom pitanjima, osim s onima navedenima pod točkom (b), kada je to potrebno; |
|
(e) |
određivanje prioriteta i podnošenje prijedloga za upravljanje proračunom za sigurnost u sjedištu i u delegacijama Unije. |
3. Voditelj Uprave ESVD-a nadležne za sigurnost:
|
(a) |
osigurava evidentiranje povreda i ugroza sigurnosti te pokretanje i poduzimanje istraga kada i ako je to potrebno; |
|
(b) |
redovito se sastaje, ali i kadgod je to potrebno, s direktorom za sigurnost Glavnog tajništva Vijeća i direktorom Uprave za sigurnost Komisije kako bi raspravljali o područjima od zajedničkog interesa. |
4. Uprava ESVD-a nadležna za sigurnost uspostavlja kontakt i održava blisku suradnju s:
|
— |
odjelima zaduženima za sigurnost u ministarstvima vanjskih poslova država članica, |
|
— |
nacionalnim sigurnosnim tijelima (NSA) i/ili ostalim nadležnim sigurnosnim tijelima država članica, kako bi se potaknula njihova suradnja u pogledu podataka koji su joj potrebni kako bi se procijenile opasnosti i prijetnje s kojima bi se mogao suočiti ESVD, njegovo osoblje, aktivnosti, imovina i resursi te klasificirani podaci na njegovu uobičajenom mjestu poslovanja, |
|
— |
nadležnim sigurnosnim tijelima država članica ili države domaćina na čijem bi teritoriju ESVD mogao provoditi svoje aktivnosti, i to u pogledu svih pitanja koja se odnose na zaštitu njegova osoblja, aktivnosti, imovine i resursa te njegovih klasificiranih podataka dok se nalazi na njihovu teritoriju, |
|
— |
Uredom za sigurnost Glavnog tajništva Vijeća i Upravom za sigurnost Glavne uprave za ljudske resurse i sigurnost Komisije i, prema potrebi, sigurnosnim odjelima ostalih institucija, tijela i agencija EU-a, |
|
— |
sigurnosnim odjelima trećih država ili međunarodnih organizacija radi korisne koordinacije, i |
|
— |
NSA-ovima država članica u pogledu svih pitanja koja se odnose na zaštitu klasificiranih podataka EU-a. |
1. Svaki voditelj delegacije odgovoran je za provedbu svih mjera i upravljanje svim mjerama na lokalnoj razini koje se odnose na zaštitu sigurnosnih interesa ESVD-a u prostorijama i nadležnosti delegacija Unije.
U suradnji s nadležnim tijelima države domaćina prema potrebi poduzima sve razumno izvedive mjere kako bi osigurao uspostavu odgovarajućih fizičkih i organizacijskih mjera u svrhu postizanja tog cilja.
Voditelj delegacije uspostavlja sigurnosne postupke za zaštitu uzdržavanika, kako je definirano u članku 2. točki (c) i prema potrebi uzima u obzir sve administrativne dogovore u skladu s člankom 3. stavkom 3. Voditelj delegacije izvješćuje voditelja Uprave ESVD-a nadležne za sigurnost o svim pitanjima povezanima sa sigurnošću koja su u njegovoj nadležnosti.
U tim mu zadaćama pomaže Uprava ESVD-a nadležna za sigurnost, timovi za upravljanje sigurnošću u delegacijama Unije koji se sastoje od osoblja koje provodi sigurnosne zadaće i funkcije te zaštitarsko osoblje poslano onamo gdje je to potrebno.
Delegacije Unije uspostavljaju redovite kontakte i održavaju blisku suradnju s diplomatskim misijama država članica u pogledu sigurnosnih pitanja.
2. Osim toga, voditelj delegacije:
|
— |
uspostavlja detaljne sigurnosne i krizne planove za delegaciju Unije na temelju generičkih standardnih operativnih postupaka, |
|
— |
upravlja djelotvornim sustavom koji je u funkciji dvadeset i četiri sata dnevno, sedam dana u tjednu, a služi za upravljanje sigurnosnim incidentima i kriznim situacijama u području djelovanja delegacije Unije, |
|
— |
osigurava da je sveukupno osoblje koje je razmješteno u delegaciji Unije pokriveno osiguranjem u skladu s uvjetima na tom području, |
|
— |
osigurava da je sigurnost uključena u obuku u delegaciji Unije koju pri dolasku prolaze svi članovi osoblja razmješteni u delegaciji Unije, i |
|
— |
osigurava provođenje svih preporuka koje su pripremljene na temelju sigurnosnih procjena i u pravilnim razmacima pruža pisana izvješća o njihovoj provedbi i ostalim sigurnosnim pitanjima sigurnosnom tijelu ESVD-a. |
3. Iako je i dalje odgovoran za zaštitu upravljanja sigurnošću, kao i za osiguravanje korporativne otpornosti, za što i odgovara, voditelj delegacije može delegirati izvršavanje svojih sigurnosnih zadaća koordinatoru za sigurnost unutar delegacije („DSC”), koji je zamjenik voditelja delegacije ili, ako on nije imenovan, odgovarajućoj alternativi.
Sljedeće se odgovornosti mogu povjeriti DSC-u:
|
— |
koordinacija sigurnosnih funkcija u delegaciji Unije, |
|
— |
komunikacija s nadležnim tijelima države domaćina i odgovarajućim ekvivalentnim tijelima u veleposlanstvima i diplomatskim misijama država članica o sigurnosnim pitanjima, |
|
— |
provođenje odgovarajućih postupaka za upravljanje sigurnošću koji se odnose na sigurnosne interese ESVD-a, uključujući zaštitu klasificiranih podataka EU-a, |
|
— |
osiguravanje usklađenosti sa sigurnosnim pravilima i uputama, |
|
— |
informiranje osoblja o sigurnosnim pravilima koja se odnose na njih te o specifičnim rizicima u državi domaćinu, |
|
— |
podnošenje zahtjeva Upravi ESVD-a nadležnoj za sigurnosne provjere u vezi s radnim mjestima koja zahtijevaju uvjerenje o sigurnosnoj provjeri osobe (PSC), i |
|
— |
redovito izvješćivanje voditelja delegacije, regionalnog službenika za sigurnost (RSO) i Uprave ESVD-a nadležne za sigurnost u pogledu incidenata ili razvoja događaja na određenom području koji utječu za zaštitu sigurnosnih interesa ESVD-a. |
4. Voditelj delegacije može voditelju administracije ili drugim članovima osoblja delegacije Unije delegirati sigurnosne zadaće administrativne ili tehničke prirode.
5. Delegaciji Unije pomaže regionalni službenik za sigurnost. Regionalni službenici za sigurnost u delegacijama Unije obavljaju uloge koje su definirane u nastavku u svojim geografskim područjima nadležnosti.
U određenim se okolnostima, kada to nalaže prevladavajuća sigurnosna situacija, regionalni službenik za sigurnost može rasporediti u određenu delegaciju Unije kao zaposlenik na puno radno vrijeme.
Od regionalnog službenika za sigurnost može se zatražiti da ode na područje izvan svojeg trenutačnog područja nadležnosti, među ostalim i iz sjedišta, ili čak da na zahtjev Uprave ESVD-a nadležne za sigurnost i u skladu s relevantnom sigurnosnom situacijom stalno boravi i radi u bilo kojoj zemlji.
6. Regionalni službenici za sigurnost pod izravnom su operativnom kontrolom službe u sjedištu ESVD-a koja je zadužena za sigurnost na terenu, ali i pod zajedničkom administrativnom kontrolom voditelja delegacije na njihovu mjestu rada i službe u sjedištu ESVD-a koja je zadužena za sigurnost na terenu. Savjetuju i pomažu voditelju delegacije i osoblju delegacije Unije pri organizaciji i provedbi svih fizičkih, organizacijskih i postupovnih mjera koje se odnose na sigurnost u delegaciji Unije.
7. Regionalni službenici za sigurnost savjetuju i podupiru voditelja delegacije i osoblje delegacije Unije. Prema potrebi, a posebno kada regionalni službenik za sigurnost stalno boravi i radi na određenom mjestu, on pomaže delegaciji Unije pri upravljanju i provođenju sigurnosti, uključujući pripremu sigurnosnih ugovora, upravljanje akreditacijama i sigurnosnim provjerama.
Članak 14.
Operacije ZSOP-a i posebni predstavnici EU-a
Uprava ESVD-a nadležna za sigurnost savjetuje direktora Uprave za upravljanje krizama i planiranje (UUKP), glavnog direktora Vojnog stožera EU-a (EUMS), zapovjednika civilnih operacija koji je na čelu civilne sposobnosti planiranja i vođenja (CPCC) i zapovjednike vojnih operacija EU-a o sigurnosnim aspektima operacija ZSOP-a, a posebne predstavnike EU-a o sigurnosnim aspektima njihova mandata, što nadopunjuje određene postojeće odredbe u tom pogledu u mjerodavnim politikama koje je donijelo Vijeće.
Članak 15.
Sigurnosni odbor ESVD-a
1. Uspostavlja se Sigurnosni odbor ESVD-a.
Njime predsjeda sigurnosno tijelo ESVD-a ili imenovani izaslanik, a sastaje se po uputi predsjednika odbora ili na zahtjev jednog od članova. Uprava ESVD-a nadležna za sigurnost podupire predsjednika u toj funkciji i prema potrebi pruža administrativnu pomoć radu Odbora.
2. Sigurnosni odbor ESVD-a sastoji se od predstavnika:
|
— |
svih država članica, |
|
— |
Ureda za sigurnost Glavnog tajništva Vijeća, |
|
— |
Uprave za sigurnost Glavne uprave za ljudske resurse i sigurnost Komisije. |
Delegacija države članice u Sigurnosnom odboru ESVD-a može se sastojati od članova:
|
— |
nacionalnog sigurnosnog tijela i/ili zaduženog sigurnosnog tijela, |
|
— |
odjela zaduženih za sigurnost u ministarstvima vanjskih poslova. |
3. Ako to smatraju potrebnim, predstavnike Odbora mogu pratiti i savjetovati stručnjaci. Na sastanke se mogu pozvati predstavnici ostalih institucija, agencija ili tijela EU-a kada se raspravlja o pitanjima bitnima za njihovu sigurnost.
4. Ne dovodeći u pitanje stavak 5. u nastavku, Sigurnosni odbor ESVD-a pomaže ESVD-u tako što ga savjetuje o svim sigurnosnim pitanjima koja su bitna za aktivnosti ESVD-a te za sjedište i delegacije Unije.
Ne dovodeći u pitanje stavak 5. u nastavku, Sigurnosni odbor ESVD-a posebno:
|
(a) |
pruža mišljenje o:
|
|
(b) |
prema potrebi može pružiti mišljenje ili ga se može obavijestiti o pitanjima koja se odnose na sigurnost osoblja i imovine u sjedištu ESVD-a i delegacijama Unije, čime se ne dovodi u pitanje članak 3. stavak 3.; |
|
(c) |
prima obavijesti o svim ugrozama ili gubicima klasificiranih podataka EU-a do kojih je došlo u ESVD-u. |
5. Svaka promjena pravila koja se odnose na zaštitu klasificiranih podataka EU-a navedenih u ovoj Odluci i njezinu Prilogu A zahtijeva jednoglasno pozitivno mišljenje predstavnika država članica u Sigurnosnom odboru ESVD-a. Takvo jednoglasno pozitivno mišljenje potrebno je i prije:
|
— |
početka pregovora o administrativnim dogovorima, kako je navedeno u članku 10. stavku 1. točki (b) Priloga A, |
|
— |
objavljivanja klasificiranih podataka u iznimnim okolnostima iz stavaka 9., 11. i 12. Priloga A VI., |
|
— |
preuzimanja odgovornosti onoga od kojeg podaci potječu u okolnostima navedenima u članku 10. stavku 6. zadnjoj rečenici Priloga A. |
Kada se zahtijeva jednoglasno pozitivno mišljenje, taj je uvjet ispunjen ako za vrijeme rada Odbora nijedna delegacija država članica nije uložila prigovor.
6. Sigurnosni odbor ESVD-a u potpunosti vodi računa o sigurnosnim politikama i smjernicama koje su na snazi u Vijeću i u Komisiji.
7. Sigurnosnom odboru ESVD-a dostavlja se popis godišnjih inspekcijskih pregleda ESVD-a te izvješća o inspekcijskim pregledima nakon njihova dovršenja.
8. Organizacija sastanaka:
|
— |
Sigurnosni odbor ESVD-a sastaje se najmanje dvaput godišnje. Predsjednik Odbora može organizirati dodatne sastanke, bilo u punom sastavu ili u sigurnosnom obliku pri čemu sudjeluju i NSA-ovi/DSA-ovi ili ministarstva vanjskih poslova, a mogu ih zatražiti i članovi Odbora, |
|
— |
Sigurnosni odbor ESVD-a organizira svoje aktivnosti tako da može davati preporuke za specifična područja sigurnosti. Prema potrebi može utvrditi i druga stručna potpodručja. Sastavlja opis poslova za takva stručna potpodručja i prima izvješća o njihovim aktivnostima, |
|
— |
Uprava ESVD-a nadležna za sigurnost odgovorna je za pripremu točaka dnevnog reda o kojima će se raspravljati. Predsjednik Odbora za svaki sastanak sastavlja okvirni dnevni red. Članovi Odbora mogu predlagati dodatne točke dnevnog reda o kojima će se raspravljati. |
Članak 16.
Sigurnosni inspekcijski pregledi
1. Sigurnosno tijelo ESVD-a osigurava redovito poduzimanje sigurnosnih inspekcijskih pregleda u sjedištu ESVD-a i u delegacijama Unije kako bi se procijenila primjerenost sigurnosnih mjera i potvrdila njihova usklađenost s ovom Odlukom. Uprava ESVD-a nadležna za sigurnost prema potrebi može imenovati stručnjake koji će sudjelovati u sigurnosnim inspekcijskim pregledima u agencijama i tijelima EU-a uspostavljenima na temelju glave V. poglavlja 2. UEU-a.
2. Sigurnosni inspekcijski pregledi ESVD-a provode se pod nadležnošću Uprave ESVD-a nadležne za sigurnost i, prema potrebi, uz potporu sigurnosnih stručnjaka koji predstavljaju druge institucije EU-a ili države članice, osobito u kontekstu dogovora iz članka 3. stavka 3.
3. ESVD se prema potrebi može oslanjati na stručno znanje u državama članicama, Glavnom tajništvu Vijeća i Komisiji.
Relevantni sigurnosni stručnjaci iz misija država članica u trećim državama i/ili predstavnici diplomatskih sigurnosnih odjela država članica mogu se prema potrebi pozvati da sudjeluju u sigurnosnom inspekcijskom pregledu u delegaciji Unije.
4. Odredbe za provedbu ovog članka u pogledu zaštite klasificiranih podataka EU-a utvrđene su u Prilogu A III.
Članak 17.
Posjeti radi procjene stanja
Organiziraju se posjeti radi procjene stanja kako bi se utvrdila učinkovitost sigurnosnih mjera uspostavljenih u trećoj državi ili međunarodnoj organizaciji za zaštitu klasificiranih podataka EU-a koji se razmjenjuju u okviru administrativnog dogovora iz članka 10. stavka 1. točke (b) Priloga A.
Uprava ESVD-a nadležna za sigurnost može imenovati stručnjake koji će sudjelovati u posjetima radi procjene stanja u trećim državama ili međunarodnim organizacijama s kojima je EU sklopio sporazum o sigurnosti podataka iz članka 10. stavka 1. točke (a) Priloga A.
Članak 18.
Planiranje kontinuiteta poslovanja
Uprava ESVD-a nadležna za sigurnost pomaže sigurnosnom tijelu ESVD-a pri upravljanju sigurnosnim aspektima procesa kontinuiteta poslovanja ESVD-a, što čini dio cjelokupnog planiranja kontinuiteta poslovanja ESVD-a.
Članak 19.
Putnički savjeti za misije izvan EU-a
Uprava ESVD-a nadležna za sigurnost osigurava dostupnost putničkih savjeta u pogledu misija osoblja pod odgovornošću ESVD-a koje se nalazi izvan EU-a, pri čemu se oslanja na sve mjerodavne službe ESVD-a, a posebno SITROOM, INTCEN, geografske odjele i delegacije Unije.
Uprava ESVD-a nadležna za sigurnost na zahtjev pruža, oslanjajući se pritom na prethodno navedene resurse, specifične putničke savjete u pogledu misija osoblja pod odgovornošću ESVD-a u trećim državama koje su visokorizične ili imaju povišenu razinu rizika.
Članak 20.
Zdravlje i sigurnost
Sigurnosna pravila ESVD-a dopunjuju pravila za zaštitu zdravlja i sigurnosti ESVD-a koje je donio Visoki predstavnik.
Članak 21.
Provedba i preispitivanje
1. Sigurnosno tijelo ESVD-a, prema potrebi nakon savjetovanja sa Sigurnosnim odborom ESVD-a, odobrava sigurnosne smjernice kojima se uspostavljaju mjere potrebne za provedbu ovih pravila u ESVD-u te u bliskoj suradnji s nadležnim sigurnosnim tijelima država članica i uz potporu mjerodavnih službi institucija EU-a ojačava potrebne kapacitete koji obuhvaćaju sve aspekte sigurnosti.
2. U skladu s člankom 4. stavkom 5. Odluke Vijeća 2010/427/EU od 26. srpnja 2010. o organizaciji i funkcioniranju Europske službe za vanjsko djelovanje, mogu se prema potrebi upotrijebiti prijelazni aranžmani, i to sporazumima o razini usluga s mjerodavnim službama Glavnog tajništva Vijeća i Komisije.
3. VP osigurava sveukupnu dosljednost u primjeni ove Odluke i redovito preispituje sigurnosna pravila.
4. Sigurnosna pravila ESVD-a provode se u bliskoj suradnji s nadležnim sigurnosnim tijelima država članica.
5. ESVD osigurava da se svi aspekti sigurnosnog procesa uzimaju u obzir u okviru sustava odgovora na krizu ESVD-a.
6. Glavni tajnik, kao sigurnosno tijelo, i voditelj Uprave ESVD-a nadležne za sigurnost osiguravaju provođenje ove Odluke.
Članak 22.
Zamjena prethodnih odluka
Ovom se Odlukom stavlja izvan snage i zamjenjuje Odluka Visokog predstavnika Unije za vanjske poslove i sigurnosnu politiku od 19. travnja 2013. o sigurnosnim pravilima Europske službe za vanjsko djelovanje (5).
Članak 23.
Završne odredbe
Ova Odluka stupa na snagu na dan njezina potpisivanja.
Objavljuje se u Službenom listu Europske unije.
Nadležna tijela u ESVD-u propisno i pravovremeno obavještavaju sve članove osoblja obuhvaćene područjem primjene ove Odluke i njezinih priloga o sadržaju, stupanju na snagu i svim njezinim naknadnim izmjenama.
Sastavljeno u Bruxellesu 19. rujna 2017.
Federica MOGHERINI
Visoka predstavnica Unije za vanjske poslove i sigurnosnu politiku
(1) SL L 201, 3.8.2010., str. 30.
(2) SL C 304, 15.10.2011., str. 7.
(3) Pravilnik o osoblju za dužnosnike Europske unije i Uvjeti zaposlenja ostalih službenika Europske unije, utvrđeni u Uredbi Vijeća (EEZ, Euratom, EZUČ) br. 259/68 (SL L 56, 4.3.1968., str. 1.), dalje u tekstu „Pravilnik o osoblju”.
(4) Uredba (EZ) br. 45/2001 Europskog parlamenta i Vijeća od 18. prosinca 2000. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama i tijelima Zajednice i o slobodnom kretanju takvih podataka (SL L 8, 12.1.2001., str. 1.).
(5) SL C 190, 29.6.2013., str. 1.
PRILOG A
NAČELA I STANDARDI ZA ZAŠTITU KLASIFICIRANIH PODATAKA EU-A
Članak 1.
Svrha, područje primjene i definicije
1. Ovim se Prilogom utvrđuju osnovna načela i minimalni standardi sigurnosti za zaštitu klasificiranih podataka EU-a.
2. Ta osnovna načela i minimalni standardi primjenjuju se na ESVD i na osoblje koje je pod odgovornošću ESVD-a kako je navedeno i definirano u članku 1. i članku 2. ove Odluke.
Članak 2.
Definicija klasificiranih podataka EU-a, stupnjeva i oznaka tajnosti
1. „Klasificirani podaci EU-a” znače svaki podatak ili materijal koji je označen stupnjem tajnosti EU-a i čije neovlašteno otkrivanje može uzrokovati različite stupnjeve prijetnje nanošenjem štete interesima Europske unije ili jedne ili više država članica.
2. Klasificirani podaci EU-a klasificiraju se prema sljedećim stupnjevima tajnosti:
(a) TRÈS SECRET UE/EU TOP SECRET: podaci i materijali čije neovlašteno otkrivanje može izuzetno ozbiljno ugroziti bitne interese Europske unije ili jedne ili više država članica;
(b) SECRET UE/EU SECRET: podaci i materijali čije neovlašteno otkrivanje može nanijeti ozbiljnu štetu bitnim interesima Europske unije ili jedne ili više država članica;
(c) CONFIDENTIEL UE/EU CONFIDENTIAL: podaci i materijali čije neovlašteno otkrivanje može nanijeti štetu bitnim interesima Europske unije ili jedne ili više država članica;
(d) RESTREINT UE/EU RESTRICTED: podaci i materijali čije neovlašteno otkrivanje može dovesti u nepovoljan položaj interese Europske unije ili jedne ili više država članica.
3. Klasificirani podaci EU-a moraju biti označeni stupnjem tajnosti u skladu sa stavkom 2. Mogu nositi i dodatne oznake kojima se utvrđuje područje djelatnosti na koje se odnose, određuje onog od kojeg potječu, ograničava distribucija, ograničava uporaba ili naznačuje mogućnost objavljivanja.
Članak 3.
Upravljanje klasifikacijom
1. ESVD osigurava da su klasificirani podaci EU-a klasificirani na odgovarajući način, da su jasno određeni kao klasificirani podaci i da zadrže svoj stupanj tajnosti samo onoliko dugo koliko je to potrebno.
2. Bez prethodne pisane suglasnosti onog od kojeg potječu, ne smije se smanjiti stupanj tajnosti klasificiranih podataka EU-a, klasificirani podaci EU-a ne smiju se deklasificirati niti se smije promijeniti ili ukloniti ijedna oznaka iz članka 2. stavka 3.
3. U skladu s člankom 15. stavkom 5. ove Odluke, sigurnosno tijelo ESVD-a odobrava sigurnosne smjernice o stvaranju klasificiranih podataka EU-a koje uključuju praktičan vodič za klasificiranje nakon savjetovanja sa Sigurnosnim odborom ESVD-a.
Članak 4.
Zaštita klasificiranih podataka
1. Klasificirani podaci EU-a štite se u skladu s ovom Odlukom.
2. Imatelj klasificiranog podatka EU-a odgovoran je za njegovu zaštitu u skladu s ovom Odlukom.
3. Ako države članice uvedu klasificirane podatke s oznakom nacionalnog stupnja tajnosti u strukture ili mreže ESVD-a, ESVD štiti navedene podatke u skladu sa zahtjevima primjenljivima na klasificirane podatke EU-a na jednakoj razini prema tablici ekvivalentnosti stupnjeva tajnosti sadržanoj u Dodatku B.
ESVD uspostavlja odgovarajuće postupke za održavanje točnih evidencija o onome od kojeg potječu
|
— |
klasificirani podaci koje prima ESVD, i |
|
— |
izvorni materijal koji je uključen u klasificirane podatke koji potječu od ESVD-a. |
O tim se postupcima obavješćuje Sigurnosni odbor ESVD-a.
4. Velike količine ili zbirka klasificiranih podataka EU-a mogu zahtijevati stupanj zaštite koji odgovara višem stupnju tajnosti od njihovih pojedinačnih dijelova.
Članak 5.
Sigurnost koja se odnosi na osobe koje postupaju s klasificiranim podacima EU-a
1. Sigurnost koja se odnosi na osobe primjena je mjera kojima se osigurava odobravanje pristupa klasificiranim podacima EU-a samo pojedincima:
|
— |
kojima je nužno osigurati pristup podacima, |
|
— |
koji, za podatke klasificirane stupnjem CONFIDENTIEL UE/EU CONFIDENTIAL ili višim, imaju sigurnosno ovlaštenje do odgovarajuće razine ili su na drugi način propisno ovlašteni na temelju svojih funkcija u skladu s nacionalnim zakonima i propisima, i |
|
— |
koji su upoznati sa svojim odgovornostima. |
2. Postupcima za sigurnosnu provjeru osoba utvrđuje se može li se određenu osobu, na temelju njezine lojalnosti, vjerodostojnosti i pouzdanosti, ovlastiti za pristup klasificiranim podacima EU-a.
3. Prije nego što im se odobri pristup klasificiranim podacima EU-a i u pravilnim vremenskim razmacima nakon toga, svi pojedinci primaju upute i u pisanom obliku prihvaćaju svoje odgovornosti u pogledu zaštite klasificiranih podataka EU-a u skladu s ovom Odlukom.
4. Odredbe za provedbu ovog članka utvrđene su u Prilogu A I.
Članak 6.
Fizička sigurnost klasificiranih podataka EU-a
1. Fizička sigurnost primjena je fizičkih i tehničkih zaštitnih mjera za suzbijanje neovlaštenog pristupa klasificiranim podacima EU-a.
2. Svrha je mjera fizičke sigurnosti sprečavanje tajnog ili nasilnog ulaska neovlaštenih osoba, odvraćanje od neovlaštenih radnji, njihovo sprečavanje i otkrivanje te omogućavanje razlikovanja osoblja s obzirom na pristup klasificiranim podacima EU-a prema nužnosti pristupa. Takve se mjere određuju na temelju procesa upravljanja rizicima.
3. Mjere fizičke sigurnosti uspostavljaju se za sve prostorije, zgrade, urede, sobe i druga područja u kojima se postupa s klasificiranim podacima EU-a ili se ondje čuvaju, uključujući područja u kojima su smješteni komunikacijski i informacijski sustavi kako je određeno u članku 8. stavku 2. Priloga A.
4. Područja u kojima se čuvaju klasificirani podaci EU-a sa stupnjem tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ili višim utvrđuju se kao sigurnosne zone u skladu s Prilogom A II., a odobrava ih sigurnosno tijelo ESVD-a.
5. Za zaštitu klasificiranih podataka EU-a sa stupnjem tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ili višim koristi se samo odobrena oprema ili uređaji.
6. Odredbe za provedbu ovog članka utvrđene su u Prilogu A II.
Članak 7.
Upravljanje klasificiranim podacima
1. Upravljanje klasificiranim podacima primjena je administrativnih mjera za kontrolu klasificiranih podataka EU-a tijekom njihova životnog ciklusa kojima se dopunjuju mjere iz članaka 5., 6. i 8. i pri tome pomaže pri odvraćanju, otkrivanju i oporavku od namjerne ili slučajne ugroze ili gubitka takvih podataka. Takve se mjere posebno odnose na stvaranje, upis, umnožavanje, prevođenje, prijevoz, postupanje, čuvanje i uništavanje klasificiranih podataka EU-a.
2. Podaci klasificirani stupnjem tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ili višim registriraju se iz sigurnosnih razloga prije distribucije i po primitku. U tu svrhu nadležna tijela u ESVD-u uspostavljaju sustav registara. Podaci klasificirani stupnjem tajnosti TRES SECRET UE/EU TOP SECRET upisuju se u za to predviđene registre.
3. Službe i prostorije u kojima se postupa s klasificiranim podacima EU-a ili se ondje čuvaju podliježu redovitim inspekcijama koje provodi sigurnosno tijelo ESVD-a.
4. Klasificirani podaci EU-a prenose se između službi i prostorija izvan fizički zaštićenih područja na sljedeći način:
|
(a) |
u pravilu, klasificirani podaci EU-a prenose se elektroničkim sredstvima koja su zaštićena kriptografskim proizvodima odobrenima u skladu s člankom 7. stavkom 5. ove Odluke i u skladu s jasno definiranim sigurnosno-operativnim postupcima (SecOP-i); |
|
(b) |
ako se ne upotrebljavaju sredstva iz točke (a), klasificirani podaci EU-a prenose se:
|
5. Odredbe za provedbu ovog članka utvrđene su u Prilogu A III.
Članak 8.
Zaštita klasificiranih podataka EU-a s kojima se postupa u komunikacijskim i informacijskim sustavima
1. Informacijska sigurnost (IA) u području komunikacijskih i informacijskih sustava jest povjerenje da će ti sustavi štititi podatke s kojima postupaju i da će funkcionirati onako kako trebaju i kada trebaju, pod nadzorom zakonitih korisnika. Učinkoviti IA osigurava odgovarajuće razine tajnosti, cjelovitosti, dostupnosti, nepobitnosti i autentičnosti. IA se temelji na procesu upravljanja rizicima.
2. „Komunikacijski i informacijski sustav” (CIS) znači svaki sustav koji omogućuje postupanje s podacima u elektroničkom obliku. Komunikacijski i informacijski sustav obuhvaća sva sredstva potrebna za njegovo funkcioniranje, uključujući infrastrukturu, organizaciju, osoblje i informacijske resurse. Ovaj se Prilog primjenjuje na svaki CIS u kojem se postupa s klasificiranim podacima EU-a.
3. CIS postupa s klasificiranim podacima EU-a u skladu s konceptom IA-a.
4. Svaki CIS u kojem se postupa s klasificiranim podacima EU-a prolazi proces akreditacije. Cilj je akreditacije pribavljanje potvrde da su sve odgovarajuće sigurnosne mjere provedene i da je ostvarena dostatna razina zaštite klasificiranih podataka EU-a i CIS-a u skladu s ovom Odlukom. U izjavi o akreditaciji određuju se najviši stupanj tajnosti podataka s kojima se može postupati u CIS-u i odgovarajući uvjeti.
5. CIS u kojem se postupa s podacima klasificiranima stupnjem CONFIDENTIEL UE/EU CONFIDENTIAL i višim zaštićen je tako da podaci ne mogu biti ugroženi nenamjernim elektromagnetskim zračenjem („sigurnosne mjere TEMPEST”).
6. Ako su klasificirani podaci EU-a zaštićeni kriptografskim proizvodima, takvi proizvodi odobravaju se u skladu s člankom 8. stavkom 5. ove Odluke.
7. Tijekom prijenosa klasificiranih podataka EU-a elektroničkim sredstvima rabe se odobreni kriptografski proizvodi. Neovisno o tom zahtjevu, u izvanrednim se okolnostima ili posebnim tehničkim konfiguracijama navedenima u Prilogu A IV. mogu primjenjivati posebni postupci.
8. U skladu s člankom 8. stavkom 6. ove Odluke, uspostavljaju se, u mjeri u kojoj je to potrebno, sljedeće funkcije IA-a:
|
(a) |
tijelo za IA (IAA); |
|
(b) |
tijelo za TEMPEST (TA); |
|
(c) |
tijelo za odobravanje kriptomaterijala (CAA); |
|
(d) |
tijelo za distribuciju kriptomaterijala (CDA). |
9. U skladu s člankom 8. stavkom 7. ove Odluke, za svaki se sustav uspostavlja:
|
(a) |
tijelo za sigurnosnu akreditaciju (SAA); |
|
(b) |
operativno tijelo za IA. |
10. Odredbe za provedbu ovog članka utvrđene su u Prilogu A IV.
Članak 9.
Gospodarska sigurnost
1. Gospodarska sigurnost primjena je mjera kojima se osigurava da ugovaratelji ili podugovaratelji štite klasificirane podatke EU-a u pregovorima prije sklapanja ugovora i tijekom životnog ciklusa klasificiranih ugovora. Takvi ugovori u pravilu ne uključuju pristup podacima koji su klasificirani kao TRÈS SECRET UE/EU TOP SECRET.
2. ESVD može na temelju ugovora povjeriti zadaće koje obuhvaćaju ili uključuju pristup ili postupanje s klasificiranim podacima EU-a ili njihovo čuvanje gospodarskim ili drugim subjektima registriranima u državi članici ili trećoj državi s kojom je sklopljen sporazum o sigurnosti podataka ili administrativni dogovor iz članka 10. stavka 1. Priloga A.
3. ESVD, kao tijelo za ugovaranje, osigurava poštovanje minimalnih standarda o gospodarskoj sigurnosti utvrđenih u ovoj Odluci, i iz ugovora, pri sklapanju klasificiranih ugovora s gospodarskim ili drugim subjektima. Osigurava usklađenost s takvim minimalnim standardima preko nadležnih NSA-ova/DSA-ova.
4. Ugovaratelji ili podugovaratelji koji su registrirani u državi članici i koji sudjeluju u klasificiranim ugovorima ili podugovorima koji zahtijevaju postupanje i čuvanje podataka klasificiranih kao CONFIDENTIEL UE/EU CONFIDENTIAL ili SECRET UE/EU SECRET unutar svojih objekata, bilo tijekom izvršenja takvih ugovora ili u fazi prije sklapanja ugovora, moraju posjedovati uvjerenje o sigurnosnoj provjeri pravne osobe (FSC) za odgovarajući stupanj tajnosti, koje odobrava NSA, DSA ili bilo koje drugo nadležno sigurnosno tijelo navedene države članice.
5. Osoblje ugovaratelja ili podugovaratelja koje za izvršenje klasificiranog ugovora treba pristup podacima klasificiranima kao CONFIDENTIEL UE/EU CONFIDENTIAL ili SECRET UE/EU SECRET mora imati PSC koji je odobrilo nacionalno sigurnosno tijelo (NSA), zaduženo sigurnosno tijelo (DSA) ili bilo koje drugo nadležno sigurnosno tijelo u skladu s nacionalnim zakonima i propisima te minimalnim standardima utvrđenima u Prilogu A I.
6. Odredbe za provedbu ovog članka utvrđene su u Prilogu A V.
Članak 10.
Razmjena klasificiranih podataka s trećim državama i međunarodnim organizacijama
1. ESVD može razmjenjivati klasificirane podatke EU-a s trećom državom ili međunarodnom organizacijom samo ako je:
|
(a) |
na snazi sporazum o sigurnosti podataka između EU-a i te treće države ili međunarodne organizacije koji je sklopljen u skladu s člankom 37. UEU-a i člankom 218. UFEU-a; ili |
|
(b) |
na snagu stupio administrativni dogovor između VP-a i nadležnih sigurnosnih tijela te treće države ili međunarodne organizacije o razmjeni podataka čiji stupanj tajnosti u pravilu nije viši od RESTREINT UE/EU RESTRICTED, a koji je sklopljen u skladu s postupkom utvrđenim člankom 15. stavkom 5. ove Odluke; ili |
|
(c) |
primjenjiv okvirni ili ad hoc sporazum o sudjelovanju između EU-a i te treće države u kontekstu operacije upravljanja krizom ZSOP-a koji je sklopljen u skladu s člankom 37. UEU-a i člankom 218. UFEU-a; |
i ako su ispunjeni uvjeti utvrđeni tim instrumentom.
Iznimke od prethodno navedenog općeg pravila utvrđene su u odjeljku V. Priloga A VI.
2. Administrativni dogovori iz stavka 1. točke (b) sadrže odredbe kojima se osigurava da se klasificiranim podacima EU-a koje primi treća država ili međunarodna organizacija pruži zaštiti koja je u skladu s njihovim stupnjem tajnosti i minimalnim standardima koji nisu manje strogi od minimalnih standarda utvrđenih ovom Odlukom.
Podaci razmijenjeni na temelju dogovora iz stavka 1. točke (c) ograničeni su na podatke koji se odnose na operacije ZSOP-a u kojima predmetna treća država sudjeluje na temelju tih dogovora i u skladu s njihovim odredbama.
3. Ako Unija i sudjelujuća treća država ili međunarodna organizacija naknadno sklope sporazum o sigurnosti podataka, sporazum o sigurnosti podataka zamjenjuje odredbu o razmjeni klasificiranih podataka utvrđenu u svakom okvirnom sporazumu o sudjelovanju, ad hoc sporazumu o sudjelovanju ili ad hoc administrativnom dogovoru u pogledu razmjene klasificiranih podataka EU-a i postupanja s njima.
4. Klasificirani podaci EU-a izrađeni za potrebe operacije ZSOP-a mogu se otkriti osoblju koje su treće države ili međunarodne organizacije uputile toj operaciji u skladu sa stavcima od 1. do 3. i Prilogom A VI. Kada se takvo osoblje ovlašćuje za pristup klasificiranim podacima EU-a u prostorijama ili CIS-u operacije ZSOP-a, primjenjuju se mjere (uključujući vođenje evidencije o otkrivenim klasificiranim podacima EU-a) za ublažavanje rizika od gubitka ili ugroze. Takve su mjere određene u odgovarajućim dokumentima o planiranju ili misijama.
5. Posjeti radi procjene stanja u trećim državama ili međunarodnim organizacijama, koji su navedeni u članku 17. ove Odluke, organiziraju se kako bi se utvrdila učinkovitost sigurnosnih mjera koje su uspostavljene za zaštitu razmijenjenih klasificiranih podataka EU-a.
6. Odluka o objavljivanju klasificiranih podataka EU-a u posjedu ESVD-a trećoj državi ili međunarodnoj organizaciji donosi se od slučaja do slučaja, u skladu s prirodom i sadržajem takvih podataka, nužnosti primatelja za pristupom podacima i koristi koju će imati EU.
Kako bi se utvrdilo da se ne protive njihovu objavljivanju, ESVD traži pisanu suglasnost svih subjekata koji su pružili klasificirane podatke kao izvorni materijal za klasificirane podatke EU-a koji potječu od ESVD-a.
Ako klasificirani podaci koji se žele objaviti ne potječu od ESVD-a, ESVD najprije mora zatražiti pisanu suglasnost za objavljivanje od onog od kojeg podaci potječu.
Međutim, ako ESVD ne može utvrditi od koga ti podaci potječu, sigurnosno tijelo ESVD-a preuzima odgovornost onoga od kojeg podaci potječu nakon pribavljanja jednoglasnog pozitivnog mišljenja predstavnika država članica u Sigurnosnom odboru ESVD-a.
7. Odredbe za provedbu ovog članka utvrđene su u Prilogu A VI.
Članak 11.
Povrede sigurnosti i ugroza klasificiranih podataka
1. Svaka povreda ili sumnja u povredu sigurnosti, kao i svaka ugroza ili sumnja u ugrozu klasificiranih podataka odmah se prijavljuje Upravi ESVD-a nadležnoj za sigurnost koja prema potrebi obavješćuje jednu ili više država članica i sve druge subjekte kojih se to tiče.
2. Ako je poznato ili ako postoje opravdani razlozi na temelju kojih se može pretpostaviti da su klasificirani podaci ugroženi ili izgubljeni, Uprava ESVD-a nadležna za sigurnost obavješćuje NSA jedne ili više država članica kojih se to tiče i poduzima sve odgovarajuće mjere u skladu s mjerodavnim zakonima i propisima kako bi se:
|
(a) |
zaštitili dokazi; |
|
(b) |
osiguralo da istragu predmeta, radi utvrđivanja činjenica, provodi osoblje koje nije neposredno povezano s povredom ili ugrozom; |
|
(c) |
odmah obavijestilo onog od kojeg podaci potječu ili bilo koji drugi subjekt kojeg se to tiče; |
|
(d) |
poduzelo odgovarajuće mjere za sprečavanje ponovne povrede; |
|
(e) |
procijenila moguća šteta nanesena interesima EU-a ili država članica; i |
|
(f) |
obavijestila odgovarajuća tijela o posljedicama stvarnih ili pretpostavljenih ugroza i o mjerama koje su poduzete. |
3. Protiv svakog člana osoblja pod odgovornošću ESVD-a koji je odgovoran za povredu sigurnosnih pravila utvrđenih ovom Odlukom može se pokrenuti disciplinski postupak u skladu s primjenjivim pravilima i propisima.
Protiv svakog pojedinca odgovornog za ugrozu ili gubitak klasificiranih podataka pokreće se disciplinski i/ili pravni postupak u skladu s primjenjivim zakonima, pravilima i propisima.
4. Voditelj Uprave ESVD-a nadležne za sigurnost može pojedincima oduzeti ovlaštenje za pristup klasificiranim podacima EU-a ili prostorijama ESVD-a za vrijeme istrage povrede i/ili ugroze. Uprava za sigurnost Glavne uprave za ljudske resurse i sigurnost Komisije, Ured za sigurnost Glavnog tajništva Vijeća ili nacionalno sigurnosno tijelo države članice ili drugog subjekta kojeg se to tiče odmah se obavješćuje o toj odluci.
PRILOG A I.
SIGURNOST KOJA SE ODNOSI NA OSOBE
I. UVOD
|
1. |
Ovim se Prilogom utvrđuju odredbe za provedbu članka 5. Priloga A. U njemu se posebno utvrđuju kriteriji koje ESVD primjenjuje kako bi se odredilo može li se pojedincu, s obzirom na njegovu lojalnost, vjerodostojnost i pouzdanost, odobriti pristup klasificiranim podacima EU-a te istražni i administrativni postupci kojih se u tu svrhu treba držati. |
|
2. |
„Uvjerenje o sigurnosnoj provjeri osobe” (PSC) za pristup klasificiranim podacima EU-a znači izjava nadležnog tijela države članice koja je sačinjena nakon završetka sigurnosne istrage koju provode nadležna tijela države članice i kojom se potvrđuje da se pojedincu može, uz uvjet da je za njega utvrđena nužnost pristupa podacima, odobriti pristup klasificiranim podacima EU-a do određenog stupnja tajnosti (CONFIDENTIEL UE/EU CONFIDENTIAL ili višeg) do određenog datuma; za tako opisanog pojedinca kaže se da je „prošao sigurnosnu provjeru”. |
|
3. |
„Certifikat o sigurnosnoj provjeri osobe” (PSCC) znači certifikat koji izdaje sigurnosno tijelo ESVD-a i kojim se utvrđuje da je pojedinac prošao sigurnosnu provjeru i u kojem je naveden stupanj tajnosti klasificiranih podataka EU-a do kojeg se pojedincu može odobriti pristup, datum valjanosti odgovarajućeg PSC-a i datum isteka samog certifikata. |
|
4. |
„Ovlaštenje za pristup klasificiranim podacima EU-a” ovlaštenje je sigurnosnog tijela ESVD-a koje je doneseno u skladu s ovom Odlukom nakon što su nadležna tijela države članice izdala PSC kojim se potvrđuje da se pojedincu može, uz uvjet da je za njega utvrđena nužnost pristupa podacima, odobriti pristup klasificiranim podacima EU-a do određenog stupnja tajnosti (CONFIDENTIEL UE/EU CONFIDENTIAL ili višeg) do određenog datuma; za tako opisanog pojedinca kaže se da je „prošao sigurnosnu provjeru”. |
II. ODOBRAVANJE PRISTUPA KLASIFICIRANIM PODACIMA EU-a
|
5. |
Pristup podacima klasificiranima stupnjem tajnosti RESTREINT UE/EU RESTRICTED ne zahtijeva sigurnosnu provjeru i odobrava se nakon što je:
|
|
6. |
Pojedincu se odobrava pristup podacima sa stupnjem tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ili višim isključivo nakon što je:
|
|
7. |
ESVD utvrđuje radna mjesta u svojoj strukturi za koja je potreban pristup podacima sa stupnjem tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ili višim i koja prema tome zahtijevaju PSC za odgovarajući stupanj tajnosti, kako je navedeno u prethodnom stavku 4. |
|
8. |
Članovi osoblja ESVD-a izjavljuju jesu li državljani jedne ili više zemalja. |
Postupci podnošenja zahtjeva za izdavanje PSC-a u ESVD-u
|
9. |
Za osoblje ESVD-a, sigurnosno tijelo ESVD-a prosljeđuje popunjeni upitnik za sigurnosnu provjeru osobe NSA-u države članice čiji je pojedinac državljanin sa zahtjevom da se provede sigurnosna istraga za stupanj tajnosti klasificiranih podataka EU-a za koje će pojedinac trebati pristup. |
|
10. |
Ako je pojedinac državljanin više od jedne zemlje, zahtjev za izdavanje podnosi se NSA-u zemlje čije je državljanstvo osoba prijavila u trenutku zaposlenja. |
|
11. |
Ako ESVD-u postanu poznati podaci važni za sigurnosnu istragu povezani s pojedincem koji se prijavio za PSC, ESVD, djelujući u skladu s mjerodavnim pravilima i propisima o tome obavješćuje nadležni NSA. |
|
12. |
Po završetku sigurnosne istrage, nadležni NSA obavješćuje Upravu ESVD-a nadležnu za sigurnost o ishodu takve istrage.
|
|
13. |
Sigurnosna istraga zajedno s dobivenim rezultatima, na čemu ESVD temelji svoju odluku o tome hoće li izdati ovlaštenje za pristup klasificiranim podacima EU-a, podliježe mjerodavnim zakonima i propisima koji su na snazi u predmetnoj državi članici, uključujući one koji se odnose na žalbe. Odluke sigurnosnog tijela ESVD-a podliježu žalbama u skladu s Pravilnikom o osoblju. |
|
14. |
Jamstvo na kojem se temelji PSC, pod uvjetom da je valjan, obuhvaća sve zadatke predmetnog pojedinca u ESVD-u, Glavnom tajništvu Vijeća ili Komisiji. |
|
15. |
ESVD prihvaća ovlaštenje za pristup klasificiranim podacima EU-a koje je izdala bilo koja druga institucija, tijelo ili agencija Europske unije pod uvjetom da je valjano. Ovlaštenje obuhvaća sva zaduženja predmetnog pojedinca u ESVD-u. Institucija, tijelo ili agencija Europske unije u kojoj se osoba zapošljava obavješćuje nadležni NSA o promjeni poslodavca. |
|
16. |
Ako pojedinac ne započne službu u roku od 12 mjeseci od obavijesti o ishodu sigurnosne istrage upućene sigurnosnom tijelu ESVD-a ili ako prekid radnog staža pojedinca traje 12 mjeseci ili više tijekom kojih nije zaposlen u ESVD-u, u drugim institucijama, agencijama ili tijelima EU-a ili na položaju u nacionalnoj administraciji države članice za koji je potreban pristup klasificiranim podacima, navedeni se ishod upućuje nadležnom NSA-u kako bi potvrdio da je još uvijek valjan i primjeren. |
|
17. |
Ako ESVD-u postanu poznati podaci o sigurnosnom riziku povezanom s pojedincem koji posjeduje valjani PSC, ESVD, djelujući u skladu s mjerodavnim pravilima i propisima, o tome obavješćuje nadležni NSA te može obustaviti pristup klasificiranim podacima EU-a ili oduzeti ovlaštenje za pristup klasificiranim podacima EU-a. Ako NSA obavijesti ESVD o povlačenju potvrde izdane u skladu sa stavkom 12. točkom (a) za pojedinca koji posjeduje valjano ovlaštenje za pristup klasificiranim podacima EU-a, sigurnosno tijelo ESVD-a može zatražiti svako objašnjenje koje NSA može dati u skladu sa svojim nacionalnim zakonima i propisima. Ako se štetni podaci potvrde, prethodno navedeno ovlaštenje se oduzima, a pojedincu se onemogućuje pristup klasificiranim podacima EU-a i uklanja se s položaja na kojem je takav pristup moguć ili na kojem bi mogao ugroziti sigurnost. |
|
18. |
Obavijest o svakoj odluci o oduzimanju ovlaštenja za pristup klasificiranim podacima EU-a članu osoblja ESVD-a i, prema potrebi, razlozima takvog postupka upućuje se predmetnom pojedincu, koji može zatražiti saslušanje pred sigurnosnim tijelom ESVD-a. Podaci koje je dostavio NSA podliježu mjerodavnim zakonima i propisima koji su na snazi u predmetnoj državi članici, uključujući one koji se odnose na žalbe. Odluke sigurnosnog tijela ESVD-a podliježu žalbama u skladu s Pravilnikom o osoblju. |
|
19. |
Nacionalni stručnjaci upućeni na radno mjesto u ESVD-u za koje je potreban pristup podacima sa stupnjem tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ili višim moraju sigurnosnom tijelu ESVD-a predočiti valjani PSC za pristup klasificiranim podacima EU-a do odgovarajućeg stupnja tajnosti prije nego što preuzmu svoje dužnosti. Prethodno navedenim postupkom upravlja država članica koja ga upućuje. |
Evidencija PSC-a
|
20. |
ESVD održava bazu podataka o uvjerenjima o sigurnosnoj provjeri svih članova osoblja koji su pod odgovornošću ESVD-a te osoblja ugovaratelja ESVD-a. Navedena evidencija mora sadržavati stupanj tajnosti klasificiranih podataka EU-a do kojeg se pojedincu odobrava pristup (CONFIDENTIEL UE/EU CONFIDENTIAL ili viši), datum odobrenja PSC-a i njegov rok valjanosti. |
|
21. |
Uspostavljaju se odgovarajući postupci koordinacije s državama članicama i ostalim institucijama, agencijama i tijelima EU-a kako bi se osiguralo da ESVD posjeduje točnu i sveobuhvatnu evidenciju uvjerenja o sigurnosnoj provjeri svih članova osoblja koji su pod odgovornošću ESVD-a te osoblja ugovaratelja ESVD-a. |
|
22. |
Sigurnosno tijelo ESVD-a može izdati certifikat o sigurnosnoj provjeri osobe (PSCC) koji pokazuje stupanj tajnosti klasificiranih podataka EU-a do kojeg se pojedincu može odobriti pristup (CONFIDENTIEL UE/EU CONFIDENTIAL ili viši), datum valjanosti odgovarajućeg PSC-a ili ovlaštenja i datum isteka samog certifikata. |
Iznimke od zahtjeva povezanih s PSC-om
|
23. |
Pojedince koji su propisno ovlašteni za pristup klasificiranim podacima EU-a na temelju svojih funkcija u skladu s nacionalnim zakonima i propisima Uprava ESVD-a nadležna za sigurnost prema potrebi informira o njihovim sigurnosnim obvezama u pogledu zaštite klasificiranih podataka EU-a. |
III. OBRAZOVANJE I PODIZANJE SVIJESTI O SIGURNOSTI
|
24. |
Prije nego što im se odobri pristup klasificiranim podacima EU-a, svi pojedinci u pisanom obliku potvrđuju da su razumjeli svoje obveze u pogledu zaštite klasificiranih podataka EU-a i posljedice ugroze klasificiranih podataka EU-a. ESVD čuva evidenciju o tim pisanim potvrdama. |
|
25. |
Sve pojedince koji imaju ovlaštenje za pristup ili od kojih se zahtijeva postupanje s klasificiranim podacima EU-a na početku se upozorava, a zatim ih se periodično upućuje u sigurnosne prijetnje te su dužni odgovarajućim sigurnosnim tijelima odmah prijaviti svaki pokušaj približavanja ili aktivnost koju smatraju sumnjivom ili neuobičajenom. |
|
26. |
Svi pojedinci kojima je odobren pristup klasificiranim podacima EU-a moraju podlijegati stalnim mjerama sigurnosti koje se odnose na osobe (npr. kontrola) tijekom cijelog razdoblja u kojem postupaju s klasificiranim podacima EU-a. Za stalnu sigurnost koja se odnosi na osobe odgovorni su:
|
|
27. |
Sve osobe koje prestanu obavljati dužnosti za koje je potreban pristup klasificiranim podacima EU-a upoznaje se s njihovim obvezama u pogledu daljnje zaštite klasificiranih podataka EU-a, a ako je potrebno, dužne su podnijeti i pisanu izjavu u tom smislu. |
IV. IZNIMNE OKOLNOSTI
|
28. |
Zbog hitnosti, ako je to propisno opravdano interesima ESVD-a i do završetka potpune sigurnosne istrage, sigurnosno tijelo ESVD-a može, nakon savjetovanja s NSA-om države članice čije je pojedinac državljanin i ovisno o ishodu prethodnih provjera kojima se provjerava nepostojanje štetnih podataka, izdati privremeno ovlaštenje dužnosnicima ESVD-a i drugim službenicima za pristup klasificiranim podacima EU-a za posebnu funkciju. Punu sigurnosnu istragu treba završiti što je prije moguće. Takva privremena ovlaštenja valjana su najviše šest mjeseci i njima se ne dopušta pristup podacima klasificiranima kao TRES SECRET UE/EU TOP SECRET. Svi pojedinci kojima je izdano privremeno ovlaštenje u pisanom obliku potvrđuju da su razumjeli svoje obveze u pogledu zaštite klasificiranih podataka EU-a i posljedice ugroze klasificiranih podataka EU-a. ESVD čuva evidenciju o tim pisanim potvrdama. |
|
29. |
Ako se pojedinac upućuje na položaj za koji je potreban PSC s jednim stupnjem tajnosti višim od PSC-a koji pojedinac trenutačno posjeduje, moguće je privremeno zaduženje uz uvjet da:
|
|
30. |
Prethodno opisani postupak primjenjuje se za jednokratni pristup klasificiranim podacima EU-a sa stupnjem tajnosti za jedan stupanj višim od onog za koji je pojedinac prošao sigurnosnu provjeru. Taj se postupak ne smije primjenjivati učestalo. |
|
31. |
U vrlo iznimnim okolnostima, kao što su misije u neprijateljskom okruženju ili u vrijeme povećanja međunarodne napetosti kada to zahtijevaju hitne mjere, a posebno radi spašavanja života, VP, sigurnosno tijelo ili Glavna uprava za proračun i administraciju ESVD-a mogu odobriti, ako je moguće u pisanom obliku, pristup podacima sa stupnjem tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ili SECRET UE/EU SECRET pojedincima koji ne posjeduju potreban PSC, uz uvjet da je takvo dopuštenje apsolutno nužno. Vodi se evidencija o takvom dopuštenju u kojoj su opisani podaci za koje je odobren pristup. |
|
32. |
U slučaju podataka klasificiranih kao TRÈS SECRET UE/EU TOP SECRET, hitni je pristup ograničen na građane EU-a kojima je odobren pristup nacionalnom ekvivalentu podataka sa stupnjem tajnosti TRÈS SECRET UE/EU TOP SECRET ili podacima klasificiranima kao SECRET UE/EU SECRET. |
|
33. |
Sigurnosni odbor ESVD-a obavješćuje se o slučajevima primjene postupka navedenog u stavcima 31. i 32. |
|
34. |
Sigurnosni odbor ESVD-a prima godišnje izvješće o primjeni postupaka navedenih u ovom odjeljku. |
V. PRISUSTVOVANJE SASTANCIMA U SJEDIŠTU ESVD-a I DELEGACIJAMA UNIJE
|
35. |
Pojedinci upućeni na sudjelovanje na sastancima u sjedištu ESVD-a i delegacijama Unije na kojima se raspravlja o podacima sa stupnjem tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ili višim mogu sudjelovati samo nakon potvrde statusa pojedinca u vezi s uvjerenjem o sigurnosnoj provjeri. Za predstavnike država članica te dužnosnike iz GSC-a i Komisije odgovarajuća tijela prosljeđuju PSCC ili drugi dokaz o PSC-u Upravi ESVD-a nadležnoj za sigurnost, koordinatoru za sigurnost unutar delegacije Unije ili ih iznimno može podnijeti predmetna osoba. Ako je to primjenljivo, može se koristiti konsolidirani popis imena s odgovarajućim dokazom o PSC-u. |
|
36. |
Ako je PSC za pristup klasificiranim podacima EU-a oduzet pojedincu koji zbog svojih dužnosti sudjeluje na sastancima u sjedištu ESVD-a ili delegaciji Unije na kojima se raspravlja o podacima sa stupnjem tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ili višim, nadležno tijelo o tome obavješćuje ESVD. |
VI. MOGUĆI PRISTUP KLASIFICIRANIM PODACIMA EU-a
|
37. |
Ako se zapošljavaju pojedinci u okolnostima u kojima mogu imati pristup podacima sa stupnjem tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ili višim, moraju proći odgovarajuću sigurnosnu provjeru ili stalno imati pratnju. |
|
38. |
Kuriri, zaštitari i pratnja moraju proći sigurnosnu provjeru za odgovarajuću razinu ili drugu vrstu odgovarajuće istrage u skladu s nacionalnim zakonima i propisima, moraju se redovito upućivati u sigurnosne postupke za zaštitu klasificiranih podataka EU-a i u njihove dužnosti povezane sa zaštitom takvih podataka koji su im povjereni ili kojima bi mogli pristupiti nenamjerno. |
PRILOG A II.
FIZIČKA SIGURNOST KLASIFICIRANIH PODATAKA EU-a
I. UVOD
|
1. |
Ovim se Prilogom utvrđuju odredbe za provedbu članka 6. Priloga A. U njemu se utvrđuju minimalni zahtjevi za fizičku zaštitu prostorija, zgrada, ureda, soba i drugih područja u kojima se postupa s klasificiranim podacima EU-a ili se čuvaju, uključujući područja u kojima je smješten CIS. |
|
2. |
Mjere fizičke sigurnosti namijenjene su sprečavanju neovlaštenog pristupa klasificiranim podacima EU-a tako da se:
|
II. ZAHTJEVI I MJERE POVEZANE S FIZIČKOM SIGURNOŠĆU
|
3. |
Za zaštitu klasificiranih podataka EU-a u svojim prostorijama ESVD primjenjuje proces upravljanja rizicima kako bi osigurao da je razina fizičke zaštite razmjerna procijenjenim rizicima. U procesu upravljanja rizicima u obzir se uzimaju svi važni čimbenici, a posebno:
|
|
4. |
Primjenjujući koncept dubinske obrane, sigurnosno tijelo ESVD-a određuje odgovarajuću kombinaciju mjera fizičke sigurnosti koje će provesti. One mogu obuhvaćati jednu ili više sljedećih mjera:
|
|
5. |
Uprava ESVD-a nadležna za sigurnost može provoditi pretrage prilikom ulaska i izlaska radi odvraćanja od neovlaštenog unosa materijala ili neovlaštenog odnošenja klasificiranih podataka EU-a iz prostorija ili objekata. |
|
6. |
Ako postoji rizik od uvida u klasificirane podatke EU-a, čak i slučajno, poduzimaju se odgovarajuće mjere za suzbijanje rizika. |
|
7. |
Za nove se objekte zahtjevi u pogledu fizičke sigurnosti i njihove funkcionalne specifikacije definiraju u okviru planiranja i projektiranja objekata. U postojećim se objektima zahtjevi u pogledu fizičke sigurnosti provode u najvećoj mogućoj mjeri. |
III. OPREMA ZA FIZIČKU ZAŠTITU KLASIFICIRANIH PODATAKA EU-a
|
8. |
Pri nabavi opreme (kao što su sigurnosni spremnici, uništavači papira, brave za vrata, elektronički sustavi za kontrolu pristupa, IDS, sustavi uzbunjivanja) za fizičku zaštitu klasificiranih podataka EU-a, sigurnosno tijelo ESVD-a osigurava da oprema ispunjava odobrene tehničke norme i minimalne zahtjeve. |
|
9. |
Tehničke specifikacije opreme koja služi za fizičku zaštitu klasificiranih podataka EU-a utvrđuju se u sigurnosnim smjernicama koje odobrava Sigurnosni odbor ESVD-a. |
|
10. |
Sigurnosni se sustavi pregledavaju u pravilnim vremenskim razmacima, a oprema se redovito održava. Radovi održavanja u skladu su s ishodom inspekcija kako bi se osigurao daljnji optimalni rad opreme. |
|
11. |
Učinkovitost pojedinačnih sigurnosnim mjera i cjelokupnog sigurnosnog sustava ponovno se ocjenjuje tijekom svake inspekcije. |
IV. FIZIČKI ZAŠTIĆENA PODRUČJA
|
12. |
Za fizičku zaštitu klasificiranih podataka EU-a utvrđene su dvije vrste fizički zaštićenih područja ili njihovih nacionalnih ekvivalenata:
|
|
13. |
Sigurnosno tijelo ESVD-a određuje da određeno područje ispunjava zahtjeve te ga se stoga može odrediti kao administrativnu zonu, sigurnosnu zonu ili tehnički zaštićenu sigurnosnu zonu. |
|
14. |
Za administrativne zone:
|
|
15. |
Za sigurnosne zone:
|
|
16. |
Ako se ulazak u sigurnosnu zonu može u svakom smislu smatrati izravnim pristupom u njoj sadržanim klasificiranim podacima, primjenjuju se sljedeći dodatni zahtjevi:
|
|
17. |
Sigurnosne zone zaštićene od prisluškivanja označene su kao tehnički zaštićene sigurnosne zone. Primjenjuju se sljedeći dodatni zahtjevi:
|
|
18. |
Neovisno o točki (d) stavka 17., prije upotrebe u zonama u kojima se održavaju sastanci ili obavlja posao koji obuhvaća podatke klasificirane stupnjem tajnosti SECRET UE/EU SECRET ili višim i u kojima je prijetnja klasificiranim podacima EU-a ocijenjena kao visoka, sve komunikacijske uređaje i električnu ili elektroničku opremu najprije ispituje sigurnosno tijelo ESVD-a radi sprečavanja slučajnog ili nedopuštenog prijenosa razumljivih podataka s pomoću takve opreme izvan perimetra sigurnosne zone. |
|
19. |
Sigurnosne zone u kojima osoblje nije prisutno 24 sata dnevno pregledavaju se, prema potrebi, na kraju redovitog radnog vremena i u nasumičnim vremenskim razmacima izvan redovitog radnog vremena, osim ako je zona opremljena IDS-om. |
|
20. |
Sigurnosne zone i tehnički zaštićene sigurnosne zone mogu se privremeno uspostaviti unutar administrativne zone koja se koristi za povjerljive sastanke ili u druge slične svrhe. |
|
21. |
Za svaku se sigurnosnu zonu sastavljaju sigurnosno-operativni postupci kojima se određuju:
|
|
22. |
Unutar sigurnosnih zona moraju se izgraditi trezori. Sigurnosno tijelo ESVD-a odobrava zidove, podove, stropove, prozore i vrata koja se mogu zaključati, koji osiguravaju zaštitu jednaku sigurnosnom spremniku odobrenom za čuvanje klasificiranih podataka EU-a istog stupnja tajnosti. |
V. FIZIČKE MJERE ZAŠTITE ZA POSTUPANJE S KLASIFICIRANIM PODACIMA EU-a I NJIHOVO ČUVANJE
|
23. |
S podacima EU-a klasificiranim stupnjem tajnosti RESTREINT UE/EU RESTRICTED može se postupati:
|
|
24. |
Podaci EU-a klasificirani stupnjem tajnosti RESTREINT UE/EU RESTRICTED čuvaju se u primjerenom uredskom namještaju pod ključem u administrativnoj ili sigurnosnoj zoni. Privremeno se mogu čuvati izvan sigurnosne ili administrativne zone uz uvjet da se imatelj obvezao poštovati kompenzacijske mjere utvrđene u sigurnosnim uputama koje izdaje sigurnosno tijelo ESVD-a. |
|
25. |
S podacima EU-a klasificiranim stupnjem tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ili SECRET UE/EU SECRET može se postupati:
|
|
26. |
Podaci EU-a klasificirani stupnjem tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ili SECRET UE/EU SECRET čuvaju se unutar sigurnosne zone u sigurnosnom spremniku ili trezoru. |
|
27. |
S klasificiranim podacima EU-a sa stupnjem tajnosti TRÈS SECRET UE/EU TOP SECRET postupa se u sigurnosnoj zoni. |
|
28. |
Klasificirani podaci EU-a sa stupnjem tajnosti TRÈS SECRET UE/EU TOP SECRET čuvaju se u sigurnosnoj zoni u sjedištu uz jedan od sljedećih uvjeta:
|
|
29. |
Pravila kojima se uređuje prijenos klasificiranih podataka EU-a izvan fizički zaštićenih područja utvrđena su u Prilogu A III. |
VI. KONTROLA KLJUČEVA I KOMBINACIJA ZA ZAŠTITU KLASIFICIRANIH PODATAKA EU-a
|
30. |
Sigurnosno tijelo ESVD-a određuje postupke za upravljanje ključevima i postavkama kombinacija za urede, sobe, trezore i sigurnosne spremnike. Takvi postupci predstavljaju zaštitu od neovlaštenog pristupa. |
|
31. |
Kombinacije pamti najmanji mogući broj osoba koje ih moraju znati. Kombinacije za sigurnosne spremnike i trezore u kojima se čuvaju klasificirani podaci EU-a mijenjaju se:
|
PRILOG A III.
UPRAVLJANJE KLASIFICIRANIM PODACIMA
I. UVOD
|
1. |
Ovim se Prilogom utvrđuju odredbe za provedbu članka 7. Priloga A. U njemu se utvrđuju upravne mjere za kontrolu klasificiranih podataka EU-a tijekom njihova životnog ciklusa, radi lakšeg odvraćanja, otkrivanja ili oporavka od namjerne ili slučajne ugroze ili gubitka takvih podataka. |
II. UPRAVLJANJE KLASIFIKACIJOM
Klasifikacija i oznake
|
2. |
Podaci se klasificiraju ako je potrebna zaštita u pogledu njihove tajnosti. |
|
3. |
Onaj od kojeg potječu klasificirani podaci EU-a odgovoran je za utvrđivanje stupnja tajnosti u skladu s odgovarajućim smjernicama za klasifikaciju te za širenje podataka. |
|
4. |
Stupanj tajnosti klasificiranih podataka EU-a određuje se u skladu s člankom 2. stavkom 2. Priloga A i pozivom na sigurnosne smjernice koja se odobrava u skladu s člankom 3. stavkom 3. Priloga A. |
|
5. |
Klasificiranim podacima koje su države članice razmijenile s ESVD-om osigurava se ista razina zaštite kao klasificiranim podacima EU-a koji su označeni istovjetnim stupnjem tajnosti. Tablica ekvivalentnosti nalazi se u Dodatku B ovoj Odluci. |
|
6. |
Stupanj tajnosti i, prema potrebi, datum ili određeni događaj nakon kojega se stupanj tajnosti može smanjiti ili se podaci mogu deklasificirati, navode se jasno i pravilno, bez obzira na to jesu li klasificirani podaci EU-a u papirnatom, usmenom, elektroničkom ili nekom drugom obliku. |
|
7. |
Pojedinačni dijelovi određenog dokumenta (npr. stranice, stavci, odjeljci, prilozi, dodaci i privici) mogu zahtijevati drugačiju klasifikaciju te stoga moraju biti označeni na odgovarajući način, uključujući dijelove pohranjene u elektroničkom obliku. |
|
8. |
Koliko je to moguće, dokumenti koji sadržavaju dijelove s različitim stupnjevima tajnosti strukturiraju se tako da se dijelovi s različitim stupnjevima tajnosti mogu lako identificirati i prema potrebi odvojiti. |
|
9. |
Cjelokupni stupanj tajnosti dokumenta ili spisa mora biti najmanje jednako visok kao njegov dio s najvišim stupnjem tajnosti. Ako se spajaju podaci iz različitih izvora, konačni se proizvod pregledava kako bi se utvrdio njegov cjelokupni stupanj tajnosti jer može zahtijevati stupanj tajnosti viši od onog koji imaju njegovi sastavni dijelovi. |
|
10. |
Stupanj tajnosti popratnog pisma ili napomene koji se šalju uz privitke mora biti jednak najvišem stupnju tajnosti privitaka. Onaj od kojeg podaci potječu odgovarajućim oznakama jasno navodi stupanj tajnosti popratnog pisma ili napomene kada se odvoje od svojih privitaka, npr.: CONFIDENTIEL UE/EU CONFIDENTIAL Bez privitaka RESTREINT UE/EU RESTRICTED |
Označivanje
|
11. |
Uz jednu od oznaka stupnja tajnosti utvrđenih člankom 2. stavkom 2. Priloga A, klasificirani podaci EU-a mogu nositi dodatne oznake kao što su:
|
|
12. |
Nakon odluke o otkrivanju klasificiranih podataka EU-a trećoj državi ili međunarodnoj organizaciji, Uprava ESVD-a nadležna za sigurnost prosljeđuje predmetne klasificirane podatke s oznakom mogućnosti objavljivanja na kojoj je navedena treća država ili međunarodna organizacija kojoj se objavljuje taj dokument. |
|
13. |
Sigurnosno tijelo ESVD-a donijet će popis odobrenih oznaka. |
Skraćene oznake stupnja tajnosti
|
14. |
Mogu se rabiti standardizirane skraćene oznake stupnja tajnosti kojima se navodi stupanj tajnosti pojedinačnih odlomaka u tekstu. Kratice ne zamjenjuju potpunu oznaku stupnja tajnosti. |
|
15. |
U klasificiranim dokumentima EU-a mogu se koristiti sljedeće standardne kratice kojima se označuje stupanj tajnosti odjeljaka ili dijelova teksta kraćih od jedne stranice:
|
Stvaranje klasificiranih podataka EU-a
|
16. |
Pri stvaranju klasificiranog dokumenta EU-a:
|
|
17. |
Ako se stavak 16. ne može primijeniti na klasificirane podatke EU-a, poduzimaju se druge odgovarajuće mjere u skladu sa sigurnosnim smjernicama koje se utvrđuju u skladu s ovom Odlukom. |
Smanjenje stupnja tajnosti i deklasifikacija klasificiranih podataka EU-a
|
18. |
U trenutku njihova stvaranja onaj od kojeg podaci potječu navodi, ako je to moguće, a posebno za podatke klasificirane kao RESTREINT UE/EU RESTRICTED, može li se stupanj tajnosti klasificiranih podataka EU-a smanjiti, odnosno mogu li se oni deklasificirati na određeni datum ili nakon određenog događaja. |
|
19. |
ESVD redovito pregledava klasificirane podatke EU-a u svojem posjedu kako bi utvrdio primjenjuje li se još uvijek stupanj tajnosti. ESVD uspostavlja sustav za pregled stupnja tajnosti registriranih klasificiranih podataka EU-a koji potječu od njega najmanje svakih pet godina. Takav pregled nije potreban ako je onaj od kojeg podaci potječu na početku naveo određeno vrijeme kada će se stupanj tajnosti podataka automatski smanjiti ili će se podaci automatski deklasificirati te ako su podaci označeni u skladu s time. |
III. UPIS KLASIFICIRANIH PODATAKA EU-a U SIGURNOSNE SVRHE
|
20. |
Središnji registar uspostavlja se u sjedištu. Za svaki organizacijski subjekt u ESVD-u u kojem se postupa s klasificiranim podacima EU-a uspostavlja se odgovorni registar koji ima ulogu podregistra u odnosu na središnji registar, kako bi se osiguralo da se s klasificiranim podacima EU-a postupa u skladu s ovom Odlukom. Registri se uspostavljaju kao sigurnosne zone kako je određeno u Prilogu A. Svaka delegacije Unije uspostavlja svoj registar klasificiranih podataka EU-a. Sigurnosno tijelo ESVD-a za te registre imenuje glavnog voditelja registra. |
|
21. |
Za potrebe ove Odluke, upis u sigurnosne svrhe (dalje u tekstu „upis”) znači primjenu postupaka za bilježenje životnog ciklusa podataka, uključujući njihovo širenje i uništavanje. U slučaju CIS-a, postupak upisa provodi se kroz procese unutar samog CIS-a. |
|
22. |
Svi materijali klasificirani stupnjem tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ili višim upisuju se kada stignu u organizacijski subjekt ili iz njega odlaze, uključujući delegacije Unije. Podaci klasificirani stupnjem tajnosti TRES SECRET UE/EU TOP SECRET upisuju se u za to predviđene registre. |
|
23. |
Središnji registar u sjedištu ESVD-a glavna je točka ulaska i izlaska za razmjenu klasificiranih podataka s trećim državama i međunarodnim organizacijama. U njemu se vodi evidencija o svim tim razmjenama. |
|
24. |
Sigurnosno tijelo ESVD-a odobrava sigurnosne smjernice za upis klasificiranih podataka EU-a u sigurnosne svrhe u skladu s člankom 14. ove Odluke. |
Registri za podatke klasificirane kao TRES SECRET UE/EU TOP SECRET
|
25. |
U sjedištu ESVD-a određuje se središnji registar koji djeluje kao središnje tijelo za primanje i slanje podataka klasificiranih stupnjem tajnosti TRES SECRET UE/EU TOP SECRET. Prema potrebi, mogu se odrediti podregistri za postupanje s takvim podacima u svrhu njihova upisa. |
|
26. |
Takvi podregistri ne smiju izravno prenositi dokumente klasificirane kao TRES SECRET UE/EU TOP SECRET u druge podregistre istog središnjeg registra za podatke klasificirane kao TRES SECRET UE/EU TOP SECRET ili izvan njega bez izričitog pisanog odobrenja potonjeg. |
IV. UMNOŽAVANJE I PREVOĐENJE KLASIFICIRANIH DOKUMENATA EU-a
|
27. |
Dokumenti klasificirani stupnjem tajnosti TRES SECRET UE/EU TOP SECRET ne smiju se umnožavati ili prevoditi bez prethodne pisane suglasnosti onoga od kojeg podaci potječu. |
|
28. |
Ako autor dokumenata klasificiranih stupnjem tajnosti SECRET UE/EU SECRET ili nižim nije odredio upozorenja u pogledu umnožavanja ili prijevoda, takvi se dokumenti mogu umnožavati ili prevoditi prema uputi imatelja. |
|
29. |
Sigurnosne mjere primjenjive na izvorni dokument primjenjuju se i na njegove preslike i prijevode. Preslike sa stupnjem tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ili višim izrađuje isključivo mjerodavan (pod)registar i to osiguranim strojem za umnožavanje. Kopije se moraju upisati. |
V. PRIJENOS KLASIFICIRANIH PODATAKA EU-a
|
30. |
Prijenos klasificiranih podataka EU-a podliježe zaštitnim mjerama utvrđenima stavcima od 32. do 42. Ako se klasificirani podaci EU-a prenose na elektroničkim medijima i neovisno o članku 7. stavku 4. Priloga A, zaštitne mjere utvrđene u nastavku mogu se dopuniti odgovarajućim tehničkim protumjerama koje je propisalo sigurnosno tijelo ESVD-a kako bi se umanjio rizik od gubitka ili ugroze. |
|
31. |
Sigurnosno tijelo ESVD-a izdaje upute o prijenosu klasificiranih podataka EU-a u skladu s ovom Odlukom. |
Unutar zgrade ili kompleksa zgrada
|
32. |
Klasificirani podaci EU-a koji se prenose unutar zgrade ili kompleksa zgrada moraju biti pokriveni kako bi se spriječilo promatranje njihova sadržaja. |
|
33. |
Osoblje koje je prošlo odgovarajuću sigurnosnu provjeru prenosi podatke klasificirane kao TRES SECRET UE/EU TOP SECRET unutar zgrade ili kompleksa zgrada u zaštićenoj omotnici na kojoj je navedeno samo ime adresata. |
Unutar EU-a
|
34. |
Klasificirani podaci EU-a koji se prenose između zgrada ili prostorija unutar EU-a zapakirani su tako da su zaštićeni od neovlaštenog otkrivanja. |
|
35. |
Podaci sa stupnjem tajnosti SECRET UE/EU SECRET prenose se unutar EU-a na jedan od sljedećih načina:
U slučaju prijenosa iz jedne države članice u drugu, odredbe točke (c) ograničene su na podatke stupnja tajnosti do CONFIDENTIEL UE/EU CONFIDENTIAL. |
|
36. |
Materijal klasificiran kao CONFIDENTIEL UE/EU CONFIDENTIAL i SECRET UE/EU SECRET (npr. oprema ili strojevi) koji se ne može prenositi sredstvima navedenima u stavku 34. prevoze komercijalni prijevoznici kao teret u skladu s Prilogom A V. |
|
37. |
Podaci klasificirani kao TRES SECRET UE/EU TOP SECRET prenose se između zgrada ili prostorija unutar EU-a po vojnom, vladinom ili diplomatskom kuriru, ovisno o slučaju. |
Iz EU-a na državno područje treće države ili između subjekata EU-a u trećim državama
|
38. |
Klasificirani podaci EU-a koji se iz Unije prenose na državno područje treće države ili između subjekata EU-a u trećim državama zapakirani su tako da su zaštićeni od neovlaštenog otkrivanja. |
|
39. |
Prijenos podataka klasificiranih kao CONFIDENTIEL UE/EU CONFIDENTIAL i SECRET UE/EU SECRET iz Unije na državno područje treće države te prijenos klasificiranih podataka EU-a do stupnja tajnosti SECRET UE/EU SECRET između subjekata EU-a u trećim državama provodi se na jedan od sljedećih načina:
|
|
40. |
Prijenos podataka sa stupnjem tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL i SECRET UE/EU SECRET koje je EU-a objavila trećoj državi ili međunarodnoj organizaciji usklađena je s odgovarajućim odredbama sporazuma o sigurnosti podataka ili administrativnog dogovora u skladu s člankom 10. stavkom 2. Priloga A. |
|
41. |
Podaci klasificirani kao RESTREINT UE/EU RESTRICTED mogu se isto tako prenositi iz EU-a na teritorij treće države poštanskom službom ili komercijalnom kurirskom službom. |
|
42. |
Podaci klasificirani kao TRES SECRET UE/EU TOP SECRET prenose se iz EU-a na teritorij treće države ili između subjekata EU-u u trećim državama po vojnom ili diplomatskom kuriru. |
VI. UNIŠTAVANJE KLASIFICIRANIH PODATAKA EU-a
|
43. |
Klasificirani dokumenti EU-a koji više nisu potrebni mogu se uništiti ne dovodeći u pitanje mjerodavna pravila i propise o arhiviranju. |
|
44. |
Dokumente koji podliježu upisu u skladu s člankom 7. stavkom 2. Priloga A uništava odgovorni registar prema uputi imatelja ili nadležnog tijela. Očevidnici i drugi podaci o upisu ažuriraju se u skladu s tim. |
|
45. |
Dokumenti klasificirani kao SECRET UE/EU SECRET ili TRES SECRET UE/EU TOP SECRET uništavaju se u nazočnosti svjedoka koji je prošao sigurnosnu provjeru najmanje za stupanj tajnosti dokumenta koji se uništava. |
|
46. |
Tajnik i svjedok, ako je potrebna nazočnost potonjeg, potpisuju potvrdu o uništavanju koja se pohranjuje u registru. Registar čuva potvrde o uništavanju dokumenata klasificiranih kao TRES SECRET UE/EU TOP SECRET najmanje deset godina, a dokumenata klasificiranih kao CONFIDENTIEL UE/EU CONFIDENTIAL i SECRET UE/EU SECRET najmanje pet godina. |
|
47. |
Klasificirani dokumenti, uključujući dokumente klasificirane kao RESTREINT UE/EU RESTRICTED, uništavaju se na načine koji ispunjavaju odgovarajuće standarde EU-a ili jednake standarde ili koje su odobrile države članice u skladu s nacionalnim tehničkim normama radi sprečavanja rekonstrukcije u cijelosti ili djelomično. |
|
48. |
Računalni nosači podataka koji su se koristili za klasificirane podatke EU-a uništavaju se u skladu s postupcima koje je odobrilo sigurnosno tijelo ESVD-a. |
VII. SIGURNOSNI INSPEKCIJSKI PREGLEDI
Sigurnosni inspekcijski pregledi ESVD-a
|
49. |
U skladu s člankom 16. ove Odluke, sigurnosni inspekcijski pregledi ESVD-a obuhvaćaju:
|
Provedba sigurnosnih inspekcijski pregleda ESVD-a i izvješćivanje o njima
|
50. |
Sigurnosne inspekcijske preglede ESVD-a provodi inspekcijski tim Uprave ESVD-a nadležne za sigurnost kojem se prema potrebi pridružuju sigurnosni stručnjaci iz drugih institucija EU-a ili država članica. Inspekcijski tim ima pristup svim lokacijama na kojima se postupa s klasificiranim podacima EU-a, a posebno registrima i točkama pristupa CIS-u. |
|
51. |
Sigurnosni inspekcijski pregledi ESVD-a u delegacijama Unije mogu se, ako je to potrebno, provoditi uz potporu službenika za sigurnost iz veleposlanstava država članica u trećim državama. |
|
52. |
Prije završetka svake kalendarske godine sigurnosno tijelo ESVD-a donosi program sigurnosnih inspekcijskih pregleda za ESVD za sljedeću godinu. |
|
53. |
Ako je to potrebno, sigurnosno tijelo ESVD-a može organizirati sigurnosne inspekcijske preglede koji nisu predviđeni prethodno navedenim programom. |
|
54. |
Na kraju inspekcijskog pregleda pregledanom se subjektu predstavljaju glavni zaključci i preporuke. Inspekcijski tim nakon toga sastavlja izvješće o inspekcijskom pregledu. Ako su predložene korektivne mjere i preporuke, doneseni se zaključci moraju dovoljno podrobno potkrijepiti u izvješću. Izvješće se prosljeđuje sigurnosnom tijelu ESVD-a i voditelju pregledanog subjekta. Uprava ESVD-a nadležna za sigurnost odgovorna je za pripremu redovitog izvješća u kojem se ističu pouke naučene iz inspekcijskih pregleda provedenih u određenom razdoblju i koje pregledava Sigurnosni odbor ESVD-a. |
Provedba sigurnosnih inspekcijskih pregleda u agencijama i tijelima EU-a uspostavljenima na temelju glave V. poglavlja 2. UEU-a i izvješćivanje o njima
|
55. |
Uprava ESVD-a nadležna za sigurnost prema potrebi može imenovati stručnjake koji će sudjelovati u zajedničkim inspekcijskim timovima EU-a koji provode inspekcijske preglede u agencijama i tijelima EU-a uspostavljenima na temelju glave V. poglavlja 2. UEU-a. |
Kontrolna lista sigurnosnih inspekcijskih pregleda ESVD-a
|
56. |
Uprava ESVD-a nadležna za sigurnost sastavlja i ažurira kontrolnu listu stavki za sigurnosne inspekcijske preglede koje se provjeravaju tijekom sigurnosnog inspekcijskog pregleda ESVD-a. Ta se kontrolna lista prosljeđuje Sigurnosnom odboru ESVD-a. |
|
57. |
Podaci za popunjavanje kontrolne liste dobivaju se posebno tijekom inspekcijskog pregleda od rukovodstva za sigurnost subjekta koji se pregledava. Nakon što se ispuni podrobnim odgovorima, kontrolna se lista klasificira u dogovoru s pregledanim subjektom. Ona ne čini dio izvješća o inspekciji. |
PRILOG A IV.
ZAŠTITA KLASIFICIRANIH PODATAKA EU-a S KOJIMA SE POSTUPA U CIS-u
I. UVOD
|
1. |
Ovim se Prilogom utvrđuju odredbe za provedbu članka 8. Priloga A. |
|
2. |
Sljedeća svojstva i pojmovi informacijske sigurnosti (IA) bitni su za sigurnost i pravilno funkcioniranje aktivnosti u komunikacijskim i informacijskim sustavima (CIS):
|
II. NAČELA INFORMACIJSKE SIGURNOSTI
|
3. |
Odredbe navedene u nastavku čine osnovu sigurnosti svakog CIS-a u kojem se postupa s klasificiranim podacima EU-a. Podrobni zahtjevi za provedbu ovih odredaba određeni su u sigurnosnim smjernicama za IA. |
Upravljanje sigurnosnim rizicima
|
4. |
Upravljanje sigurnosnim rizicima sastavni je dio definiranja, razvoja, rada i održavanja CIS-a. Upravljanje rizicima (procjena, postupanje, prihvaćanje i obavješćivanje) proces je koji se ponavlja i provodi zajedno s predstavnicima vlasnika sustava, tijela za projekte, operativnih tijela i tijela za sigurnosno odobrenje uz primjenu provjerenog, transparentnog i potpuno razumljivog procesa procjene rizika. Područje primjene CIS-a i njegovih sastavnih dijelova mora biti jasno određeno od samog početka procesa upravljanja rizicima. |
|
5. |
Nadležna tijela ESVD-a pregledavaju moguće prijetnje CIS-u i održavaju ažurirane i točne procjene prijetnji koje odražavaju trenutačno radno okruženje. Neprestano ažuriraju svoje znanje o pitanjima osjetljivosti i periodično pregledavaju procjene osjetljivosti kako bi držala korak s promjenljivim okruženjem informacijskih tehnologija (IT). |
|
6. |
Cilj je upravljanja sigurnosnim rizicima primjena skupa sigurnosnih mjera koje će rezultirati zadovoljavajućom ravnotežom između zahtjeva imatelja i preostalog sigurnosnog rizika. |
|
7. |
Posebni zahtjevi, opseg i stupanj podrobnosti koje je odredilo nadležno tijelo za sigurnosnu akreditaciju CIS-a razmjerni su procijenjenom riziku, uzimajući u obzir sve važne čimbenike, uključujući stupanj tajnosti klasificiranih podataka EU-a s kojima se postupa u CIS-u. Akreditacija obuhvaća službenu izjavu o preostalom riziku koju daje odgovorno tijelo i time prihvaća preostali rizik. |
Sigurnost tijekom cijelog životnog ciklusa CIS-a
|
8. |
Osiguravanje sigurnosti zahtjev je koji je na snazi tijekom cijelog životnog ciklusa CIS-a, od njegova pokretanja do povlačenja iz uporabe. |
|
9. |
Uloga i međudjelovanje svakog činitelja uključenog u CIS-u pogledu njegove sigurnosti određuju se za svaku fazu životnog ciklusa. |
|
10. |
Svaki CIS, uključujući njegove tehničke i netehničke sigurnosne mjere, podliježe sigurnosnom testiranju tijekom procesa akreditacije, kako bi se osigurala odgovarajuća razina sigurnosti provedenih sigurnosnih mjera i provjerilo je li ispravno proveden, integriran i konfiguriran. |
|
11. |
Sigurnosne procjene, inspekcije i pregledi provode se periodično tijekom rada i održavanja CIS-a i ako nastupe izvanredne okolnosti. |
|
12. |
Sigurnosna dokumentacija za CIS razrađuje se tijekom životnog ciklusa CIS-a kao sastavni dio procesa upravljanja promjenama i konfiguracijom. |
Najbolja praksa
|
13. |
ESVD surađuje s GSC-om, Komisijom i državama članicama kako bi razvili najbolje prakse za zaštitu klasificiranih podataka EU-a s kojima se postupa u CIS-u. U smjernicama za najbolje prakse utvrđuju se tehničke, fizičke, organizacijske i postupovne sigurnosne mjere za CIS koje su dokazano učinkovite u suzbijanju navedenih prijetnji i osjetljivosti. |
|
14. |
Zaštita klasificiranih podataka EU-a s kojima se postupa u CIS-u oslanja se na iskustvo koje su subjekti uključeni u IA stekli unutar i izvan EU-a. |
|
15. |
Širenje i naknadna provedba najboljih praksi pomaže u postizanju jednake razine sigurnosti za različite CIS-ove kojima upravlja ESVD, a u kojima se postupa s klasificiranim podacima EU-a. |
Dubinska obrana
|
16. |
Kako bi se ublažio rizik za CIS, provodi se niz tehničkih i netehničkih sigurnosnih mjera organiziranih kao višestruki slojevi obrane. Navedeni slojevi obuhvaćaju: (a) odvraćanje : sigurnosne mjere namijenjene odvraćanju neprijatelja od planiranja napada na CIS; (b) prevenciju : sigurnosne mjere namijenjene ometanju ili zaustavljanju napada na CIS; (c) otkrivanje : sigurnosne mjere namijenjene otkrivanju pojave napada na CIS; (d) otpornost : sigurnosne mjere namijenjene ograničavanju učinka napada na najmanji skup podataka ili sastavnih dijelova CIS-a i sprečavanju daljnje štete; i (e) oporavak : sigurnosne mjere namijenjene ponovnoj uspostavi sigurne situacije za CIS. Stupanj strogoće i primjenjivosti takvih sigurnosnih mjera određuje se nakon procjene rizika. |
|
17. |
Nadležna tijela ESVD-a osiguravaju mogućnost odgovaranja na incidente koji mogu prelaziti organizacijske i državne granice radi koordinacije odgovora i razmjene podataka o navedenim incidentima i povezanim rizicima (sposobnost odgovora na izvanredne situacije u području računarstva). |
Načelo minimalnosti i najmanjih povlastica
|
18. |
Radi izbjegavanja nepotrebnih rizika provode se samo funkcionalnosti, uređaji i usluge potrebni da bi se zadovoljili operativni zahtjevi. |
|
19. |
Korisnicima CIS-a i automatiziranim procesima daju se pristup, povlastice ili ovlaštenja koja su im potrebna za obavljanje zadaća kako bi se ograničila svaka šteta nastala kao rezultat nezgoda, pogrešaka ili neovlaštene uporabe resursa CIS-a. |
|
20. |
Postupci upisa koje provodi CIS provjeravaju se, prema potrebi, u okviru procesa akreditacije. |
Svijest o informacijskoj sigurnosti
|
21. |
Svijest o rizicima i raspoloživim sigurnosnim mjerama prva je linija obrane sigurnosti CIS-a. Cjelokupno osoblje uključeno u životni ciklus CIS-a, uključujući imatelje, mora posebno razumjeti:
|
|
22. |
Kako bi se osiguralo razumijevanje odgovornosti u pogledu sigurnosti, obrazovanje o IA-u i obuka za podizanje svijesti o IA-u obvezni su za cjelokupno uključeno osoblje, uključujući više rukovodstvo i korisnike CIS-a. |
Ocjenjivanje i odobravanje proizvoda za IT sigurnost
|
23. |
Potreban stupanj povjerenja u sigurnosne mjere, definiran kao razina sigurnosti, određuje se nakon ishoda procesa upravljanja rizicima i u skladu s mjerodavnim sigurnosnim politikama i sigurnosnim smjernicama. |
|
24. |
Razina sigurnosti provjerava se uporabom međunarodno priznatih ili nacionalno odobrenih procesa i metodologija. Navedeno prvenstveno uključuje ocjenjivanje, kontrole i reviziju. |
|
25. |
Kriptografske proizvode za zaštitu klasificiranih podataka EU-a ocjenjuje i odobrava nacionalno tijelo za odobravanje kriptomaterijala (CAA) države članice. |
|
26. |
Prije no što se preporuče tijelu za odobravanje kriptomaterijala ESVD-a u skladu s člankom 8. stavkom 5. ove Odluke, takvi kriptografski proizvodi moraju uspješno proći drugo ocjenjivanje koje provodi odgovarajuće kvalificirano tijelo (AQUA) države članice koje nije uključeno u projektiranje ili proizvodnju opreme. Stupanj detalja potreban u drugom ocjenjivanju ovisi o najvišem predviđenom stupnju tajnosti klasificiranih podataka EU-a koji će se štiti navedenim proizvodima. |
|
27. |
Ako je to opravdano posebnim operativnim razlozima, tijelo za odobravanje kriptomaterijala ESVD-a može na preporuku Sigurnosnog odbora Vijeća ukinuti zahtjeve iz stavaka 25. i 26. i dati privremeno odobrenje za određeno razdoblje u skladu s člankom 8. stavkom 5. ove Odluke. |
|
28. |
AQUA je CAA države članice koja je, na temelju kriterija koje je utvrdilo Vijeće, ovlaštena za provođenje drugog ocjenjivanja kriptografskih proizvoda za zaštitu klasificiranih podataka EU-a. |
|
29. |
Visoki predstavnik odobrava sigurnosnu politiku za kvalifikaciju i odobravanje nekriptografskih proizvoda za IT sigurnost. |
Slanje unutar sigurnosnih zona
|
30. |
Neovisno o odredbama ove Odluke, ako je slanje klasificiranih podataka EU-a ograničeno na sigurnosne zone ili administrativne zone, može se upotrijebiti distribucija u nešifriranom obliku ili šifriranje na nižoj razini na temelju ishoda procesa upravljanja rizicima i ovisno o odobrenju tijela za sigurnosnu akreditaciju (SAA). |
Sigurno međusobno povezivanje CIS-a
|
31. |
Za potrebe ove Odluke međusobno povezivanje znači izravno povezivanje dvaju ili više IT sustava u svrhu razmjene podataka i drugih informacijskih resursa (npr. komunikacije) u jednom ili više smjerova. |
|
32. |
CIS sa svim međusobno povezanim IT sustavima postupa kao da su nepouzdani i provodi mjere zaštite radi kontrole razmjene klasificiranih podataka. |
|
33. |
Za svako međusobno povezivanje CIS-a s drugim IT sustavom moraju se ispuniti sljedeći osnovni zahtjevi:
|
|
34. |
Nema međusobnog povezivanja između akreditiranog CIS-a i nezaštićene ili javne mreže, osim ako CIS ima odobreni BPS instaliran u tu svrhu između CIS-a i nezaštićene ili javne mreže. Sigurnosne mjere za takvo međusobno povezivanje pregledava nadležno tijelo za informacijsku sigurnost (IAA) i odobrava nadležni SAA. Ako se nezaštićena ili javna mreža rabi samo za prijenos i ako su podaci kodirani s pomoću kriptografskog proizvoda odobrenog u skladu s člankom 8. stavkom 5. ove Odluke, takvo se povezivanje ne smatra međusobnim povezivanjem. |
|
35. |
Zabranjeno je izravno ili kaskadno međusobno povezivanje CIS-a s akreditacijom za postupanje s podacima klasificiranima kao TRES SECRET UE/EU TOP SECRET s nezaštićenom ili javnom mrežom. |
Mediji za pohranu podataka
|
36. |
Mediji za pohranu podataka uništavaju se u skladu s postupcima koje je odobrilo sigurnosno tijelo ESVD-a. |
|
37. |
Računalni mediji za pohranu podataka ponovno se rabe, njihov se stupanj tajnosti smanjuje ili deklasificira u skladu sa sigurnosnim smjernicama koje se utvrđuju u skladu s člankom 8. stavkom 2. ove Odluke. |
Izvanredne okolnosti
|
38. |
Neovisno o odredbama ove Odluke, posebni postupci opisani u nastavku mogu se u ograničenom razdoblju primjenjivati u izvanrednoj situaciji, na primjer, u vrijeme prijeteće ili stvarne krize, sukoba, rata ili u izvanrednim operativnim okolnostima. |
|
39. |
Klasificirani podaci EU-a mogu se slati s pomoću kriptografskih proizvoda odobrenih za niži stupanj tajnosti ili bez kodiranja uz suglasnost nadležnog tijela ako bi zbog bilo kakve odgode mogla nastati šteta koja bi neupitno bila veća od štete uzrokovane otkrivanjem klasificiranih materijala i ako:
|
|
40. |
Klasificirani podaci preneseni u okolnostima utvrđenima u stavku 39. nemaju nikakve oznake ili pokazatelje prema kojima se razlikuju od podataka koji nisu klasificirani ili koji se mogu zaštiti raspoloživim kriptografskim proizvodom. Primatelje se bez odgode obavješćuje o stupnju tajnosti drugim sredstvima. |
|
41. |
Ako se primjenjuje stavak 39., Upravi za sigurnost ESVD-a, a time i Sigurnosnom odboru ESVD-a, podnosi se naknadno izvješće. U tom se izvješću navode barem sljedeći podaci: pošiljatelj, primatelj i onaj od kojeg potječe svaki klasificirani podatak EU-a. |
III. FUNKCIJE I NADLEŽNA TIJELA ZA INFORMACIJSKU SIGURNOST
|
42. |
U ESVD-u se utvrđuju sljedeće funkcije IA-a. Navedene funkcije ne zahtijevaju pojedinačne organizacijske subjekte. One imaju odvojene mandate. Međutim, navedene funkcije te njihove pripadajuće odgovornosti mogu se kombinirati ili integrirati u isti organizacijski subjekt ili podijeliti na različite organizacijske subjekte uz uvjet da se spriječi pojava unutarnjih sukoba interesa. |
Tijelo za informacijsku sigurnost (IAA)
|
43. |
IAA je odgovoran za:
|
Tijelo za TEMPEST
|
44. |
Tijelo za TEMPEST (TA) odgovorno je za osiguravanje usklađenosti CIS-a s politikama i smjernicama za TEMPEST. Ono odobrava protumjere TEMPEST-a za instalacije i proizvode za zaštitu klasificiranih podataka EU-a do određenog stupnja tajnosti u njihovu operativnom okruženju. |
Tijelo za odobravanje kriptomaterijala (CAA)
|
45. |
CAA je odgovoran za osiguravanje usklađenosti kriptografskih proizvoda s odgovarajućim kriptografskim smjernicama. Odobrava kriptografske proizvode za zaštitu klasificiranih podataka EU-a do određenog stupnja tajnosti u njihovu operativnom okruženju. |
Tijelo za distribuciju kriptomaterijala (CDA)
|
46. |
CDA je odgovoran za:
|
Tijelo za sigurnosnu akreditaciju (SAA)
|
47. |
Za svaki je sustav SAA odgovoran za:
|
|
48. |
Tijelo za sigurnosnu akreditaciju ESVD-a odgovorno je za akreditaciju svih CIS-ova koji rade u nadležnosti ESVD-a. |
Odbor za sigurnosnu akreditaciju (SAB)
|
49. |
Zajednički odbor za sigurnosnu akreditaciju (SAB) odgovoran je za akreditaciju CIS-a u nadležnosti tijela za sigurnosnu akreditaciju ESVD-a i tijela za sigurnosnu akreditaciju država članica. Sastavljen je od predstavnika SAA-a iz svake države članice, a u njegovu radu sudjeluje predstavnik tijela za sigurnosnu akreditaciju GSC-a i Komisije. Drugi subjekti s čvorovima na CIS-u pozivaju se na sudjelovanje kada se raspravlja o navedenom sustavu. Odborom za sigurnosnu akreditaciju predsjeda predstavnik tijela za sigurnosnu akreditaciju ESVD-a. SAB donosi odluke konsenzusom predstavnika SAA-a u institucijama, država članicama i drugim subjektima s čvorovima na CIS-u. O svojim aktivnostima periodično izvješćuje Sigurnosni odbor ESVD-a i obavješćuje ga o svim izjavama o akreditaciji. |
Operativno tijelo za informacijsku sigurnost
|
50. |
Za svaki sustav operativno tijelo za IA odgovorno je za:
|
PRILOG A V.
GOSPODARSKA SIGURNOST
I. UVOD
|
1. |
Ovim se Prilogom utvrđuju odredbe za provedbu članka 9. Priloga A. U njemu se utvrđuju opće sigurnosne odredbe koje se primjenjuju na gospodarske ili druge subjekte u pregovorima prije sklapanja ugovora i tijekom životnog ciklusa ugovora koje sklopi ESVD. |
|
2. |
Sigurnosno tijelo ESVD-a odobrava smjernice o gospodarskoj sigurnosti u kojima se posebno podrobno opisuju zahtjevi povezani s uvjerenjima o sigurnosnoj provjeri pravne osobe (FSC-ovi), pismima o sigurnosnim aspektima (SAL-ovi), posjetima te slanju i prijenosu klasificiranih podataka EU-a. |
II. SIGURNOSNI ELEMENTI U KLASIFICIRANOM UGOVORU
Vodič za stupnjeve tajnosti (SCG)
|
3. |
Prije pokretanja natječaja ili sklapanja klasificiranog ugovora, ESVD kao tijelo za ugovaranje određuje stupanj tajnosti svakog podataka koji će se dati ponuditeljima i ugovarateljima te stupanj tajnosti svakog podatka koji će stvoriti ugovaratelj. U tu svrhu ESVD priprema SCG kojim će se koristiti za izvršenje ugovora. |
|
4. |
Za određivanje stupnja tajnosti različitih elemenata klasificiranog ugovora primjenjuju se sljedeća načela:
|
Pismo o sigurnosnim aspektima (SAL)
|
5. |
U SAL-u se opisuju sigurnosni zahtjevi specifični za ugovor. Prema potrebi, SAL sadržava SCG i čini sastavni dio klasificiranog ugovora ili podugovora. |
|
6. |
SAL sadrži odredbe kojima se od ugovaratelja i/ili podugovaratelja zahtijeva poštovanje minimalnih standarda utvrđenih ovom Odlukom. Nepoštovanje minimalnih standarda može predstavljati dovoljan razlog za prekid ugovora. |
Sigurnosni naputak za program/projekt (PSI)
|
7. |
Ovisno o području primjene programa ili projekata koji uključuju pristup klasificiranim podacima EU-a, postupanje s njima ili njihovo čuvanje, tijelo za ugovaranje određeno za upravljanje programom ili projektom može pripremiti poseban sigurnosni naputak za program/projekt (PSI). PSI zahtijeva odobrenje NSA-ova/DSA-ova države članice ili drugog nadležnog sigurnosnog tijela koje sudjeluje u programu/projektu i može sadržavati dodatne sigurnosne zahtjeve. |
III. UVJERENJE O SIGURNOSNOJ PROVJERI PRAVNE OSOBE (FSC)
|
8. |
Uprava ESVD-a nadležna za sigurnost traži od NSA-a ili DSA-a ili drugog nadležnog sigurnosnog tijela predmetne države članice da odobri FSC kako bi se naznačilo da, u skladu s nacionalnim zakonima i propisima, gospodarski ili drugi subjekt može zaštititi klasificirane podatke EU-a s odgovarajućim stupnjem tajnosti (CONFIDENTIEL UE/EU CONFIDENTIAL ili SECRET UE/EU SECRET) unutar svojih objekata. Klasificirani podaci ESVD-a ne pružaju se ugovaratelju, podugovaratelju ili potencijalnom ugovaratelju ili podugovaratelju ili im se ne odobrava pristup njima dok se dokaz o FSC-u ne dostavi ESVD-u. |
|
9. |
Gdje je to važno, ESVD, kao tijelo za ugovaranje, obavješćuje odgovarajući NSA/DSA ili drugo nadležno sigurnosno tijelo o tome da je potreban FSC u fazi prije sklapanja ugovora ili za izvršenje ugovora. FSC ili PSC je potreban u fazi prije sklapanja ugovora ako se klasificirani podaci EU-a sa stupnjem tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ili SECRET UE/EU SECRET moraju dostaviti tijekom procesa nadmetanja. |
|
10. |
ESVD kao tijelo za ugovaranje ne sklapa klasificirani ugovor s najboljim ponuditeljem prije nego što primi potvrdu od NSA-a/DSA-a ili drugog nadležnog sigurnosnog tijela države članice u kojoj je predmetni ugovaratelj ili podugovaratelj registriran da je, prema potrebi, izdan odgovarajući FSC. |
|
11. |
ESVD kao tijelo za ugovaranje traži od NSA-a/DSA-a ili bilo kojeg drugog nadležnog sigurnosnog tijela koje je izdalo FSC da ga obavijesti o svim štetnim podacima koji utječu na FSC. U slučaju podugovora potrebno je na odgovarajući način obavijestiti NSA/DSA ili drugo nadležno sigurnosno tijelo. |
|
12. |
Ako nadležni NSA/DSA ili drugo nadležno sigurnosno tijelo ukine FSC, ESVD kao tijelo za ugovaranje ima dovoljan razlog za raskid klasificiranog ugovora ili isključivanje ponuditelja iz nadmetanja. |
IV. SIGURNOSNE PROVJERE OSOBA (PSC) ZA OSOBLJE UGOVARATELJA
|
13. |
Svi članovi osoblja koji rade za ugovaratelje koji zahtijevaju pristup podacima sa stupnjem tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ili višim moraju proći odgovarajuću sigurnosnu provjeru i imati nužnost pristupa podacima. Iako PSC nije potreban za pristup klasificiranim podacima sa stupnjem tajnosti RESTREINT UE/EU RESTRICTED, mora postojati nužnost pristupa podacima. |
|
14. |
Prijave za izdavanje PSC-a za osoblje ugovaratelja podnose se NSA-u/DSA-u nadležnom za taj subjekt. |
|
15. |
ESVD napominje ugovarateljima koji žele zaposliti državljanina treće države na radno mjesto za koje je potreban pristup klasificiranim podacima EU-a da NSA/DSA države članice u kojoj se nalazi subjekt koji zapošljava i u kojoj je inkorporiran mora utvrditi može li se pojedincu odobriti pristup takvim podacima, u skladu s ovom Odlukom, i prije nego što odobri pristup, mora potvrditi je li onaj od kojeg podaci potječu dao svoj pristanak. |
V. KLASIFICIRANI UGOVORI I PODUGOVORI
|
16. |
Ako se klasificirani podaci EU-a dostave ponuditelju u fazi prije sklapanja ugovora, poziv za podnošenje ponude mora sadržavati odredbu kojom se ponuditelja koji ne dostavi ponudu ili ne bude izabran obvezuje na vraćanje svih klasificiranih dokumenata unutar određenog vremenskog razdoblja. |
|
17. |
Nakon sklapanja klasificiranog ugovora ili podugovora, ESVD, kao tijelo za ugovaranje, obavješćuje NSA/DSA ili drugo nadležno sigurnosno tijelo ugovaratelja ili podugovaratelja o sigurnosnim odredbama klasificiranog ugovora. |
|
18. |
Kada se takvi ugovori raskidaju ili isteknu, ESVD, kao tijelo za ugovaranje (i/ili NSA/DSA ili bilo koje drugo nadležno sigurnosno tijelo, prema potrebi, za podugovor), odmah obavješćuje NSA/DSA ili drugo nadležno sigurnosno tijelo države članice u kojoj je registriran ugovaratelj ili podugovaratelj. |
|
19. |
U pravilu se od ugovaratelja ili podugovaratelja zahtijeva da po raskidu ili isteku klasificiranog ugovora ili podugovora tijelu za ugovaranje vrati sve klasificirane podatke EU-a u svojem posjedu. |
|
20. |
Posebne odredbe za raspolaganje klasificiranim podacima EU-a tijekom izvršenja ugovora ili nakon njegova raskida ili isteka utvrđuju se u SAL-u. |
|
21. |
Ako je ugovaratelj ili podugovaratelj ovlašten za zadržavanje klasificiranih podataka EU-a po raskidu ili isteku ugovora, ugovaratelj ili podugovaratelj dužan je i dalje poštovati minimalne standarde sadržane u ovoj Odluci te štititi tajnost klasificiranih podataka EU-a. |
|
22. |
Uvjeti uz koje ugovaratelj može sklopiti podugovor određuju se u pozivu za podnošenje ponude i ugovoru. |
|
23. |
Ugovaratelj je dužan od ESVD-a, kao tijela za ugovaranje, pribaviti dopuštenje prije podugovaranja dijela klasificiranog ugovora. Ne može se sklopiti podugovor s gospodarskim ili drugim subjektima registriranima u državi koja nije članica EU-a i koja nije sklopila sporazum o sigurnosti podataka s EU-om. |
|
24. |
Ugovaratelj mora osigurati da su sve aktivnosti podugovaranja poduzete u skladu s minimalnim standardima utvrđenima ovom Odlukom i ne smije dostavljati klasificirane podatke EU-a podugovaratelju bez prethodne pisane suglasnosti tijela za ugovaranje. |
|
25. |
Što se tiče klasificiranih podataka EU-a koje je stvorio ili s kojima postupa ugovaratelj ili podugovaratelj, tijelo za ugovaranje ostvaruje prava koja pripadaju onom od kojeg podaci potječu. |
VI. POSJETI POVEZANI S KLASIFICIRANIM UGOVORIMA
|
26. |
Ako ESVD, ugovaratelji ili podugovaratelji trebaju pristup podacima klasificiranima kao CONFIDENTIEL UE/EU CONFIDENTIAL ili SECRET UE/EU SECRET u prostorijama jednih ili drugih za izvršenje klasificiranog ugovora, posjeti se organiziraju u dogovoru s predmetnim NSA-om/DSA-om ili drugim nadležnim sigurnosnim tijelom. Time se ne dovodi u pitanje pravo NSA-ova/DSA-ova da se u kontekstu određenih projekata suglase o postupku kojim se takvi posjeti mogu izravno dogovarati. |
|
27. |
Svi posjetitelji moraju imati odgovarajući PSC te nužnost pristupa podacima za pristup klasificiranim podacima EU-a povezanima s ugovorom s ESVD-om. |
|
28. |
Posjetitelji imaju pristup samo onim klasificiranim podacima EU-a koji su povezani sa svrhom njihova posjeta. |
VII. SLANJE I PRIJENOS KLASIFICIRANIH PODATAKA EU-a
|
29. |
U pogledu slanja klasificiranih podataka EU-a elektroničkim sredstvima, primjenjuju se odgovarajuće odredbe članka 8. Priloga A i Priloga A IV. |
|
30. |
U pogledu prijenosa klasificiranih podataka EU-a, primjenjuju se odgovarajuće odredbe Priloga A III. u skladu s nacionalnim zakonima i propisima. |
|
31. |
Pri određivanju sigurnosnih mjera za prijevoz klasificiranog materijala kao tereta primjenjuju se sljedeća načela:
|
VIII. PRIJENOS KLASIFICIRANIH PODATAKA EU-a UGOVARATELJIMA SMJEŠTENIM U TREĆIM DRŽAVAMA
|
32. |
Klasificirani podaci EU-a prenose se ugovarateljima i podugovarateljima smještenima u trećim državama koje imaju valjani sigurnosni sporazum s EU-om u skladu sa sigurnosnim mjerama dogovorenima između ESVD-a, kao tijela za ugovaranje, i NSA-a/DSA-a predmetne treće države u kojoj je ugovaratelj registriran. |
IX. POSTUPANJE S PODACIMA KLASIFICIRANIM KAO RESTREINT UE/EU RESTRICTED I NJIHOVO ČUVANJE
|
33. |
ESVD, kao tijelo za ugovaranje, prema potrebi ima pravo, u suradnji s NSA-om/DSA-om države članice, provoditi posjete objektima ugovaratelja/podugovaratelja na temelju ugovornih odredaba kako bi provjerio jesu li uspostavljene odgovarajuće sigurnosne mjere za zaštitu klasificiranih podataka EU-a sa stupnjem tajnosti RESTREINT UE/EU RESTRICTED u skladu sa zahtjevima iz ugovora. |
|
34. |
U mjeri u kojoj je to potrebno prema nacionalnim zakonima i propisima, ESVD, kao tijelo za ugovaranje, obavješćuje NSA-ove/DSA-ove ili bilo koje drugo nadležno sigurnosno tijelo o ugovorima ili podugovorima koji sadržavaju podatke klasificirane kao RESTREINT UE/EU RESTRICTED. |
|
35. |
FSC ili PSC za ugovaratelje ili podugovaratelje i njihovo osoblje nije potreban za ugovore sklopljene s ESVD-om koji sadržavaju podatke klasificirane kao RESTREINT UE/EU RESTRICTED. |
|
36. |
ESVD, kao tijelo za ugovaranje, ispituje odgovore na pozive za sudjelovanje u natječaju za ugovore koji zahtijevaju pristup podacima klasificiranima kao RESTREINT UE/EU RESTRICTED, neovisno o bilo kojem zahtjevu povezanom s FSC-om ili PSC-om prema nacionalnim zakonima i propisima. |
|
37. |
Uvjeti pod kojima ugovaratelj može sklopiti podugovor moraju biti u skladu sa stavcima od 22. do 24. |
|
38. |
Ako ugovor uključuje postupanje s podacima klasificiranima kao RESTREINT UE/EU RESTRICTED u CIS-u kojim upravlja ugovaratelj, ESVD, kao tijelo za ugovaranje, osigurava da su u ugovoru ili svakom podugovoru navedeni nužni tehnički i upravni zahtjevi u pogledu akreditacije CIS-a razmjerni procijenjenom riziku, uzimajući u obzir sve važne čimbenike. Tijelo za ugovaranje i nadležni NSA/DSA dogovaraju područje primjene akreditacije takvog CIS-a. |
PRILOG A VI.
RAZMJENA KLASIFICIRANIH PODATAKA S TREĆIM DRŽAVAMA I MEĐUNARODNIM ORGANIZACIJAMA
I. UVOD
|
1. |
Ovim se Prilogom utvrđuju odredbe za provedbu članka 10. Priloga A. |
II. OKVIRI KOJIMA SE UREĐUJE RAZMJENA KLASIFICIRANIH PODATAKA
|
2. |
ESVD može razmjenjivati klasificirane podatke EU-a s trećim državama ili međunarodnim organizacijama u skladu s člankom 10. stavkom 1. Priloga A. Kako bi se VP-u pružila potpora pri izvršavanju odgovornosti utvrđenih člankom 218. UFEU-a:
|
|
3. |
Ako se sporazumima o sigurnosti podataka predviđaju tehnički provedbeni mehanizmi koje sklapa Uprava ESVD-a nadležna za sigurnost, u koordinaciji s Upravom za sigurnost Glavne uprave za ljudske resurse i sigurnost Komisije i Uredom za sigurnost Glavnog tajništva Vijeća, s nadležnim sigurnosnim tijelom predmetne treće države ili međunarodne organizacije, takvim se mehanizmima uzima u obzir razina zaštite koju pružaju sigurnosni propisi, strukture i postupci uspostavljeni u predmetnoj trećoj državi ili međunarodnoj organizaciji. |
|
4. |
Ako postoji dugoročna potreba da ESVD razmjenjuje podatke čiji stupanj tajnosti u pravilu nije viši od RESTREINT UE/EU RESTRICTED s trećom državom ili međunarodnom organizacijom i ako je utvrđeno da predmetna strana nema dovoljno razvijen sigurnosni sustav za sklapanje sporazuma o sigurnosti podataka, VP može, uz uvjet da pribavi jednoglasno pozitivno mišljenje Sigurnosnog vijeća ESVD-a u skladu s člankom 15. stavkom 5. ove Odluke, sklopiti administrativni dogovor s nadležnim sigurnosnim tijelima predmetne treće države ili međunarodne organizacije. |
|
5. |
Nijedan se klasificirani podatak EU-a ne smije razmjenjivati s trećom državom ili međunarodnom organizacijom elektroničkim sredstvima, osim ako je to izričito predviđeno sporazumom o sigurnosti podataka ili administrativnim dogovorom. |
|
6. |
U okviru administrativnog dogovora o razmjeni klasificiranih podataka ESVD i treća država ili međunarodna organizacija zasebno imenuju registar koji će biti glavna točka ulaska i izlaska za razmijenjene klasificirane podatke. To će za ESVD biti središnji registar ESVD-a. |
|
7. |
Administrativni dogovor u pravilu ima oblik razmjene pisama. |
III. POSJETI RADI PROCJENE STANJA
|
8. |
Posjeti radi procjene stanja iz članka 17. ove Odluke provode se na temelju uzajamnog sporazuma s trećom državom ili međunarodnom organizacijom i tijekom njih procjenjuje se sljedeće:
|
|
9. |
Nijedan klasificirani podatak EU-a ne smije se razmijeniti prije nego što se provede posjet radi procjene stanja i utvrdi razina na kojoj se mogu razmjenjivati klasificirani podaci između dviju strana na temelju istovjetnosti razine zaštite koja će im biti osigurana. Ako se u očekivanju takvog posjeta radi procjene stanja VP-a obavijesti o bilo kakvim iznimnim ili hitnim razlozima za razmjenu klasificiranih informacija, ESVD:
Ako ESVD ne može utvrditi od koga ti podaci potječu, sigurnosno tijelo ESVD-a preuzima odgovornost onoga od kojeg podaci potječu nakon pribavljanja jednoglasnog pozitivnog mišljenja Sigurnosnog odbora ESVD-a. |
IV. OVLAŠTENJE ZA OBJAVLJIVANJE KLASIFICIRANIH PODATAKA EU-a TREĆIM DRŽAVAMA ILI MEĐUNARODNIM ORGANIZACIJAMA
|
10. |
Ako postoji okvir u skladu s člankom 10. stavkom 1. Priloga A za razmjenu klasificiranih podataka s trećom državom ili međunarodnom organizacijom, sigurnosno tijelo ESVD-a odlučuje hoće li ESVD objaviti klasificirane podatke EU-a trećoj državi ili međunarodnoj organizaciji, a to ovlaštenje može prenijeti na više dužnosnike ESVD-a ili druge osobe pod njegovom odgovornošću. |
|
11. |
Ako ESVD nije onaj od kojeg potječu podaci koji se objavljuju, uključujući one od kojih potječe izvorni materijal koji bi ti podaci mogli sadržavati, ESVD prvo traži pisanu suglasnost onoga od kojeg podaci potječu kako bi se utvrdilo da se ne protivi objavljivanju. Ako ESVD ne može utvrditi od koga ti podaci potječu, sigurnosno tijelo ESVD-a preuzima odgovornost onoga od kojeg podaci potječu nakon pribavljanja jednoglasnog pozitivnog mišljenja predstavnika država članica u Sigurnosnom odboru ESVD-a. |
V. IZNIMNO AD HOC OBJAVLJIVANJE KLASIFICIRANIH PODATAKA EU-a
|
12. |
U nedostatku jednog od okvira iz članka 10. stavka 1. Priloga A i ako interesi EU-a ili jedne ili više država članica zahtijevaju objavljivanje klasificiranih podataka EU-a iz političkih, operativnih ili hitnih razloga, klasificirani podaci EU-a iznimno se mogu objaviti trećim državama ili međunarodnim organizacijama nakon poduzimanja sljedećih mjera. Uprava ESVD-a nadležna za sigurnost, nakon što osigura da su ispunjeni uvjeti iz prethodnog stavka 11.:
|
|
13. |
U nedostatku jednog od okvira iz članka 10. stavka 1. Priloga A, predmetna treća strana mora se u pisanom obliku obvezati da će na odgovarajući način štititi klasificirane podatke EU-a. |
Dodatak A
Definicije
Za potrebe ove Odluke primjenjuju se sljedeće definicije:
|
|
„akreditacija” znači proces koji rezultira službenom izjavom tijela za sigurnosnu akreditaciju (SAA-a) o odobrenju sustava za rad s određenim stupnjem tajnosti, u posebno sigurnom načinu rada u svom radnom okruženju i uz prihvatljiv stupanj rizika, uz pretpostavku da je proveden odobreni skup tehničkih, fizičkih, organizacijskih i postupovnih sigurnosnih mjera; |
|
|
„sredstvo” znači sve što je od vrijednosti organizaciji, njezine poslovne aktivnosti i njihova neprekidnost, uključujući informacijske resurse koji podupiru misiju organizacije; |
|
|
„ovlaštenje za pristup klasificiranim podacima EU-a” ovlaštenje je sigurnosnog tijela ESVD-a koje je doneseno u skladu s ovom Odlukom nakon što su nadležna tijela države članice izdala PSC kojim se potvrđuje da se pojedincu može, uz uvjet da je za njega utvrđena nužnost pristupa podacima, odobriti pristup klasificiranim podacima EU-a do određenog stupnja tajnosti (CONFIDENTIEL UE/EU CONFIDENTIAL ili višeg) do određenog datuma – vidjeti članak 2. Priloga A I.; |
|
|
„povreda sigurnosti” posljedica je radnje ili propusta pojedinca koji je u suprotnosti sa sigurnosnim pravilima utvrđenima ovom Odlukom i/ili sigurnosnim politikama ili smjernicama u kojima su utvrđene sve mjere potrebne za njezinu provedbu; |
|
|
„životni ciklus CIS-a” znači cjelokupno trajanje postojanja CIS-a, što uključuje pokretanje, koncept, planiranje, analizu zahtjeva, projektiranje, razvoj, ispitivanje, provedbu, rad, održavanje i stavljanje izvan pogona; |
|
|
„klasificirani ugovor” znači ugovor sklopljen između ESVD-a i ugovaratelja za isporuku robe, izvođenje radova ili pružanje usluga, a čije izvršenje zahtijeva ili uključuje pristup klasificiranim podacima EU-a ili njihovo stvaranje; |
|
|
„klasificirani podugovor” znači ugovor sklopljen između ugovaratelja ESVD-a i drugog ugovaratelja (tj. podugovaratelja) za isporuku robe, izvođenje radova ili pružanje usluga, a čije izvršenje zahtijeva ili uključuje pristup klasificiranim podacima EU-a ili njihovo stvaranje; |
|
|
„komunikacijski i informacijski sustav” (CIS) znači svaki sustav koji omogućuje postupanje s podacima u elektroničkom obliku. Komunikacijski i informacijski sustav obuhvaća sva sredstva potrebna za njegovo funkcioniranje, uključujući infrastrukturu, organizaciju, osoblje i informacijske resurse – vidjeti članak 8. stavak 2. Priloga A; |
|
|
„ugroza klasificiranih podataka EU-a” znači potpuno ili djelomično otkrivanje klasificiranih podataka EU-a neovlaštenim osobama ili subjektima – vidjeti članak 9. stavak 2.; |
|
|
„ugovaratelj” znači pojedinac ili pravni subjekt koji ima pravnu sposobnost za ugovorno obvezivanje; |
|
|
„kriptografski proizvodi (kriptoproizvodi)” znači kriptografski algoritmi, kriptografski hardverski i softverski moduli i proizvodi, uključujući detalje o provedbi te povezanu dokumentaciju i kriptografske ključeve; |
|
|
„operacija ZSOP-a” znači vojna ili civilna operacija upravljanja u kriznim situacijama uspostavljena na temelju glave V. poglavlja 2 UEU-a; |
|
|
„deklasifikacija” znači uklanjanje svakog stupnja tajnosti; |
|
|
„dubinska obrana” znači primjena niza sigurnosnih mjera koje su organizirane kao višestruki slojevi obrane; |
|
|
„zaduženo sigurnosno tijelo” (DSA) znači tijelo odgovorno nacionalnom sigurnosnom tijelu (NSA) države članice koje je odgovorno za obavješćivanje gospodarskih i drugih subjekata o nacionalnoj politici u pogledu svih pitanja gospodarske sigurnosti te za usmjeravanje i pružanje pomoći u njezinoj provedbi. Funkciju DSA-a može obavljati NSA ili bilo koje drugo nadležno tijelo; |
|
|
„dokument” znači svaki zapis podataka bez obzira na njegov fizički oblik ili značajke; |
|
|
„smanjenje stupnja tajnosti” znači smanjenje razine stupnja tajnosti; |
|
|
„klasificirani podaci EU-a” (EUCI) znači svaki podatak ili materijal koji je označen stupnjem tajnosti EU-u i čije neovlašteno otkrivanje može uzrokovati različite stupnjeve prijetnje nanošenjem štete interesima Europske unije ili jedne ili više država članica – vidjeti članak 2. točku (f); |
|
|
„uvjerenje o sigurnosnoj provjeri pravne osobe” (FSC) znači administrativno utvrđivanje koje provodi NSA ili DSA da, sa stajališta sigurnosti, pravna osoba može pružiti odgovarajuću razinu zaštite klasificiranim podacima EU-a određenog stupnja tajnosti te da je njezino osoblje koje traži pristup klasificiranim podacima EU-a prošlo odgovarajuću sigurnosnu provjeru i da je upućeno u odgovarajuće sigurnosne zahtjeve potrebne za pristup klasificiranim podacima EU-a i njihovu zaštitu; |
|
|
„postupanje” s klasificiranim podacima EU-a znači sve moguće radnje kojima klasificirani podaci EU-a mogu biti izloženi tijekom svog životnog ciklusa. Ono obuhvaća njihovo stvaranje, obradu, prijenos, smanjenje stupnja tajnosti, deklasifikaciju i uništavanje. U pogledu CIS-a ono obuhvaća i njihovo prikupljanje, prikaz, slanje i čuvanje; |
|
|
„imatelj” znači propisno ovlaštena osoba s utvrđenom nužnošću pristupa podacima koja je u posjedu klasificiranog podatka EU-a te je, prema tome, odgovorna za njegovu zaštitu; |
|
|
„gospodarski ili drugi subjekt” znači subjekt uključen u isporuku robe, izvođenje radova ili pružanje usluga; to može biti gospodarski, komercijalni, uslužni, znanstveni, istraživački, obrazovni ili razvojni subjekt ili samozaposlena osoba; |
|
|
„gospodarska sigurnost” primjena je mjera kojima se osigurava da ugovaratelji ili podugovaratelji štite klasificirane podatke EU-a u pregovorima prije sklapanja ugovora i tijekom životnog ciklusa klasificiranih ugovora – vidjeti članak 9. stavak 1. Priloga A; |
|
|
„informacijska sigurnost” u području komunikacijskih i informacijskih sustava jest povjerenje da će ti sustavi štititi podatke s kojima postupaju i da će funkcionirati onako kako trebaju i kada trebaju, pod nadzorom zakonitih korisnika. Učinkoviti IA osigurava odgovarajuće razine tajnosti, cjelovitosti, dostupnosti, nepobitnosti i autentičnosti. IA se temelji na procesu upravljanja rizicima – vidjeti članak 8. stavak 1. Priloga A; |
|
|
„međusobno povezivanje” za potrebe ove Odluke znači izravno povezivanje dvaju ili više IT sustava u svrhu razmjene podataka i drugih informacijskih resursa (npr. komunikacije) u jednom ili više smjerova – vidjeti stavak 31. Priloga A IV.; |
|
|
„upravljanje klasificiranim podacima” primjena je administrativnih mjera za kontrolu klasificiranih podataka EU-a tijekom njihova životnog ciklusa kojima se dopunjuju mjere iz članaka 5., 6. i 8. i pri tome pomaže pri odvraćanju, otkrivanju i oporavku od namjerne ili slučajne ugroze ili gubitka takvih podataka. Takve se mjere posebno odnose na stvaranje, upis, umnožavanje, prevođenje, prijevoz, postupanje, čuvanje i uništavanje klasificiranih podataka EU-a – vidjeti članak 7. stavak 1. Priloga A; |
|
|
„materijal” znači svaki dokument ili dio stroja ili opreme, bilo da je proizveden ili u procesu proizvodnje; |
|
|
„onaj od kojeg podaci potječu” znači institucija, agencija ili tijelo EU-a, država članica, treća zemlja ili međunarodna organizacija u čijoj su nadležnosti stvoreni i/ili u strukture EU-a uvedeni klasificirani podaci; |
|
|
„sigurnost koja se odnosi na osobe” primjena je mjera kojima se osigurava odobravanje pristupa klasificiranim podacima EU-a samo pojedincima:
vidjeti članak 5. stavak 1. Priloga A; |
|
|
„uvjerenje o sigurnosnoj provjeri osobe” (PSC) za pristup klasificiranim podacima EU-a znači izjavu nadležnog tijela države članice koja je sačinjena nakon završetka sigurnosne istrage koju provode nadležna tijela države članice i kojom se potvrđuje da se pojedincu može, uz uvjet da je za njega utvrđena nužnost pristupa podacima, odobriti pristup klasificiranim podacima EU-a do određenog stupnja tajnosti (CONFIDENTIEL UE/EU CONFIDENTIAL ili višeg) do određenog datuma; za tako opisanog pojedinca kaže se da je „prošao sigurnosnu provjeru”; |
|
|
„certifikat o sigurnosnoj provjeri osobe” (PSCC) znači certifikat koji izdaje nadležno tijelo i kojim se utvrđuje da je pojedinac prošao sigurnosnu provjeru i da ima valjani PSC ili ovlaštenje voditelja Uprave nadležne za sigurnost za pristup klasificiranim podacima EU-a te u kojem je naveden stupanj tajnosti klasificiranih podataka EU-a do kojeg se pojedincu može odobriti pristup (CONFIDENTIEL UE/EU CONFIDENTIAL ili viši), datum valjanosti odgovarajućeg PSC-a i datum isteka samog certifikata; |
|
|
„fizička sigurnost” primjena je fizičkih i tehničkih zaštitnih mjera za suzbijanje neovlaštenog pristupa klasificiranim podacima EU-a – vidjeti članak 6. Priloga A; |
|
|
„sigurnosni naputak za program/projekt” (PSI) znači popis sigurnosnih postupaka koji se primjenjuju na određeni program/projekt radi standardizacije sigurnosnih postupaka. Može se izmijeniti tijekom programa/projekta; |
|
|
„upis” znači primjena postupaka za bilježenje životnog ciklusa podataka, uključujući njihovo širenje i uništavanje – vidjeti stavak 21. Priloga A III.; |
|
|
„preostali rizik” znači rizik koji ostaje nakon provedbe sigurnosnih mjera, s obzirom na to da se ne mogu suzbiti sve prijetnje i ukloniti sve slabe točke; |
|
|
„rizik” znači mogućnost da će određena prijetnja iskoristiti unutarnje i vanjske osjetljivosti organizacije ili bilo kojeg od sustava koje organizacija upotrebljava i pri tome uzrokovati štetu organizaciji i njezinoj materijalnoj i nematerijalnoj imovini. Mjeri se kao kombinacija vjerojatnosti pojave prijetnji i njihova učinka; |
|
|
„prihvaćanje rizika” jest odluka o tome da je preostali rizik i dalje prisutan nakon postupanja s rizicima; |
|
|
„procjena rizika” sastoji se od prepoznavanja prijetnji i slabih točaka te provedbe povezane analize rizika, tj. analize vjerojatnosti pojave i učinka; |
|
|
„obavješćivanje o rizicima” sastoji se od razvijanja svijesti o rizicima u zajednicama korisnika CIS-a, informiranja tijela za odobrenja o takvim rizicima i izvješćivanja operativnih tijela o njima; |
|
|
„proces upravljanja rizicima” znači cjelokupni proces prepoznavanja, kontrole i smanjivanja pojave sigurnosnih događaja koji mogu utjecati na sigurnost organizacije ili bilo kojeg sustava kojima se organizacija koristi. Obuhvaća sve aktivnosti povezane s rizicima, uključujući procjenu, obradu, prihvaćanje i obavješćivanje; |
|
|
„postupanje s rizicima” znači ublažavanje, otklanjanje, smanjivanje (odgovarajućom kombinacijom tehničkih, fizičkih, organizacijskih ili postupovnih mjera), prijenos ili praćenje rizika; |
|
|
„pismo o sigurnosnim aspektima” (SAL) znači skup posebnih ugovornih uvjeta koji izdaje tijelo za ugovaranje, a koji čini sastavni dio klasificiranog ugovora koji uključuje pristup klasificiranim podacima EU-a ili njihovo stvaranje i kojim se utvrđuju sigurnosni zahtjevi ili oni elementi ugovora za koje je potrebna sigurnosna zaštita – vidjeti odjeljak II. Priloga A V.; |
|
|
„vodič za stupnjeve tajnosti” (SCG) znači dokument u kojem su opisani klasificirani elementi programa ili ugovora te navedeni primjenljivi stupnjevi tajnosti. SCG se može proširivati tijekom trajanja programa ili ugovora, a elementi podataka mogu se ponovno klasificirati ili se može smanjiti njihov stupanj tajnosti; ako postoji SCG, on čini dio SAL-a – vidjeti odjeljak II. Priloga A V.; |
|
|
„sigurnosna istraga” znači istražni postupci koje provodi nadležno tijelo države članice u skladu s nacionalnim zakonima i propisima radi dobivanja jamstva da ne postoji ništa štetno zbog čega se pojedincu ne bi odobrio nacionalni ili EU PSC za pristup klasificiranim podacima EU-a do određenog stupnja tajnosti (CONFIDENTIEL UE/EU CONFIDENTIAL ili višeg); |
|
|
„sigurnosno-operativni postupci” (SecOP) znači opis provedbe sigurnosne politike koju treba donijeti, operativnih postupaka koje treba slijediti i odgovornosti osoblja; |
|
|
„osjetljivi neklasificirani podaci” znači podaci ili materijali koje ESVD mora zaštititi zbog pravnih obveza utvrđenih Ugovorima ili aktima donesenima radi njihove provedbe i/ili zbog njihove osjetljivosti. Osjetljivi neklasificirani podaci uključuju, ali nisu ograničeni na, podatke ili materijale obuhvaćene obvezom profesionalne tajne, kako je navedeno u članku 339. UFEU-a, podatke obuhvaćene interesima zaštićenima u članku 4. Uredbe (EZ) br. 1049/2001 Europskog parlamenta i Vijeća (1) koji se trebaju tumačiti zajedno s relevantnom sudskom praskom Suda Europske unije ili osobne podatke u okviru područja primjene Uredbe (EZ) br. 45/2001.; |
|
|
„izjava o sigurnosnim zahtjevima za specifični sustav” (SSRS) znači obvezujući skup sigurnosnih načela kojih se treba pridržavati i podrobnih sigurnosnih zahtjeva koje treba provesti, a koji čine temelj postupka izdavanja certifikata i akreditacije CIS-a; |
|
|
„TEMPEST” znači istraživanje, proučavanje i nadzor štetnog elektromagnetnog zračenja i mjere za njegovo suzbijanje; |
|
|
„prijetnja” znači mogući uzrok neželjenog incidenta koji može rezultirati štetom za organizaciju ili bilo koji od sustava koje organizacija upotrebljava; takve prijetnje mogu bili slučajne ili namjerne (zlonamjerne), a karakteriziraju ih prijeteći elementi, mogući ciljevi i načini napada; |
|
|
„osjetljivost” znači slabost bilo koje vrste koju može iskoristiti jedna ili više prijetnji. Osjetljivost može značiti propust ili se može odnositi na slabost kontrola u smislu njihove snage, cjelovitosti ili dosljednosti i može biti tehničke, postupovne, fizičke, organizacijske ili operativne naravi. |
(1) Uredba (EZ) br. 1049/2001 Europskog parlamenta i Vijeća od 30. svibnja 2001. o javnom pristupu dokumentima Europskog parlamenta, Vijeća i Komisije (SL L 145, 31.5.2001., str. 43.).
Dodatak B
Ekvivalentnost stupnjeva tajnosti
|
EU |
TRES SECRET UE/EU TOP SECRET |
SECRET UE/EU SECRET |
CONFIDENTIEL UE/EU CONFIDENTIAL |
RESTREINT UE/EU RESTRICTED |
|
EURATOM |
EURA TOP SECRET |
EURA SECRET |
EURA CONFIDENTIAL |
EURA RESTRICTED |
|
Belgija |
Très Secret (Loi 11.12.1998.) Zeer Geheim (Wet 11.12.1998.) |
Secret (Loi 11.12.1998.) Geheim (Wet 11.12.1998.) |
Confidentiel (Loi 11.12.1998.) Vertrouwelijk (Wet 11.12.1998.) |
Napomena (1) dolje |
|
Bugarska |
Cтpoгo ceкретно |
Ceкретно |
Поверително |
За служебно ползване |
|
Češka |
Přísně tajné |
Tajné |
Důvěrné |
Vyhrazené |
|
Danska |
Yderst hemmeligt |
Hemmeligt |
Fortroligt |
Til tjenestebrug |
|
Njemačka |
STRENG GEHEIM |
GEHEIM |
VS (2) — VERTRAULICH |
VS — NUR FÜR DEN DIENSTGEBRAUCH |
|
Estonija |
Täiesti salajane |
Salajane |
Konfidentsiaalne |
Piiratud |
|
Irska |
Top Secret |
Secret |
Confidential |
Restricted |
|
Grčka |
Άκρως Απόρρητο Kratica: ΑΑΠ |
Απόρρητο Kratica: (ΑΠ) |
Εμπιστευτικό Kratica: (ΕΜ) |
Περιορισμένης Χρήσης Kratica: (ΠΧ) |
|
Španjolska |
SECRETO |
RESERVADO |
CONFIDENCIAL |
DIFUSIÓN LIMITADA |
|
Francuska |
Très Secret Défense |
Secret Défense |
Confidentiel Défense |
Napomena (3) dolje |
|
Hrvatska |
VRLO TAJNO |
TAJNO |
POVJERLJIVO |
OGRANIČENO |
|
Italija |
Segretissimo |
Segreto |
Riservatissimo |
Riservato |
|
Cipar |
Άκρως Απόρρητο Kratica: (AΑΠ) |
Απόρρητο Kratica: (ΑΠ) |
Εμπιστευτικό Kratica: (ΕΜ) |
Περιορισμένης Χρήσης Kratica: (ΠΧ) |
|
Latvija |
Sevišķi slepeni |
Slepeni |
Konfidenciāli |
Dienesta vajadzībām |
|
Litva |
Visiškai slaptai |
Slaptai |
Konfidencialiai |
Riboto naudojimo |
|
Luksemburg |
Très Secret Lux |
Secret Lux |
Confidentiel Lux |
Restreint Lux |
|
Mađarska |
„Szigorúan titkos!” |
„Titkos!” |
„Bizalmas!” |
„Korlátozott terjesztésű!” |
|
Malta |
L-Ogħla Segretezza |
Sigriet |
Kunfidenzjali |
Ristrett |
|
Nizozemska |
Stg. ZEER GEHEIM |
Stg. GEHEIM |
Stg. CONFIDENTIEEL |
Dep. VERTROUWELIJK |
|
Austrija |
Streng Geheim |
Geheim |
Vertraulich |
Eingeschränkt |
|
Poljska |
Ściśle Tajne |
Tajne |
Poufne |
Zastrzeżone |
|
Portugal |
Muito Secreto |
Secreto |
Confidencial |
Reservado |
|
Rumunjska |
Strict secret de importanță deosebită |
Strict secret |
Secret |
Secret de serviciu |
|
Slovenija |
Strogo tajno |
Tajno |
Zaupno |
Interno |
|
Slovačka |
Prísne tajné |
Tajné |
Dôverné |
Vyhradené |
|
Finska |
ERITTÄIN SALAINEN YTTERST HEMLIG |
SALAINEN HEMLIG |
LUOTTAMUKSELLINEN KONFIDENTIELL |
KÄYTTÖ RAJOITETTU BEGRÄNSAD TILLGÅNG |
|
Švedska (4) |
HEMLIG/TOP SECRET |
HEMLIG/SECRET |
HEMLIG/CONFIDENTIAL |
HEMLIG/RESTRICTED |
|
HEMLIG AV SYNNERLIG BETYDELSE FÖR RIKETS SÄKERHET |
HEMLIG |
HEMLIG |
HEMLIG |
|
|
Ujedinjena Kraljevina |
UK TOP SECRET |
UK SECRET |
Nema ekvivalenta (5) |
UK OFFICIAL — SENSITIVE |
(1) Diffusion Restreinte/Beperkte Verspreiding nije stupanj tajnosti u Belgiji. Belgija postupa s podacima klasificiranima kao „RESTREINT UE/EU RESTRICTED” te ih štiti na način koji nije ništa manje strog od standarda i postupaka opisanih u sigurnosnim pravilima Vijeća Europske unije.
(2) Njemačka: VS = Verschlusssache.
(3) Francuska u svojem nacionalnom sustavu ne upotrebljava stupanj tajnosti „RESTREINT”. Francuska postupa s podacima klasificiranima kao „RESTREINT UE/EU RESTRICTED” te ih štiti na način koji nije ništa manje strog od standarda i postupaka opisanih u sigurnosnim pravilima Vijeća Europske unije.
(4) Švedska: oznake stupnjeva tajnosti u gornjem redu upotrebljavaju obrambena tijela, dok oznake u donjem redu upotrebljavaju druga tijela.
(5) Ujedinjena Kraljevina s podacima EU-a klasificiranima kao „CONFIDENTIEL UE/EU CONFIDENTIAL” postupa i štiti ih u skladu sa zaštitnim sigurnosnim zahtjevima za stupanj tajnosti „UK SECRET”.