EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32023D0726(01)
Decision of the High Representative of the Union for Foreign Affairs and Security Policy of 19 June 2023 on the security rules for the European External Action Service 2023/C 263/04
Az Unió külügyi és biztonságpolitikai főképviselőjének határozata (2023. június 19.) az Európai Külügyi Szolgálat biztonsági szabályairól 2023/C 263/04
Az Unió külügyi és biztonságpolitikai főképviselőjének határozata (2023. június 19.) az Európai Külügyi Szolgálat biztonsági szabályairól 2023/C 263/04
HL C 263., 2023.7.26, p. 16–73
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
2023.7.26. |
HU |
Az Európai Unió Hivatalos Lapja |
C 263/16 |
AZ UNIÓ KÜLÜGYI ÉS BIZTONSÁGPOLITIKAI FŐKÉPVISELŐJÉNEK HATÁROZATA
(2023. június 19.)
az Európai Külügyi Szolgálat biztonsági szabályairól
(2023/C 263/04)
AZ UNIÓ KÜLÜGYI ÉS BIZTONSÁGPOLITIKAI FŐKÉPVISELŐJE,
Tekintettel az Európai Külügyi Szolgálat szervezetének és működésének a megállapításáról szóló, 2010. július 26-i 2010/427/EU tanácsi határozatra (1) (a továbbiakban: a 2010/427/EU tanácsi határozat) és különösen annak 10. cikke (1) bekezdésére,
mivel:
|
(1) |
Az Európai Külügyi Szolgálatnak (a továbbiakban: EKSZ) az Európai Unió önálló, függetlenül működő szerveként a 2010/427/EU tanácsi határozat 10. cikkének (1) bekezdésében előírtaknak megfelelően biztonsági szabályokkal kell rendelkeznie. |
|
(2) |
Az Unió külügyi és biztonságpolitikai főképviselője (a továbbiakban: főképviselő) határoz az EKSZ működésének valamennyi biztonsági szempontjára kiterjedően az EKSZ biztonsági szabályairól, annak érdekében, hogy az EKSZ hatékonyan tudja kezelni a felelőssége alá tartozó személyzettel, a fizikai eszközeivel és a birtokában lévő információkkal, valamint a látogatóival kapcsolatos kockázatokat, továbbá hogy eleget tudjon tenni az e tekintetben fennálló gondossági kötelezettségének és felelősségi köreinek. |
|
(3) |
Különösen az EKSZ felelőssége alá tartozó személyzet, az EKSZ fizikai eszközei – köztük a kommunikációs és információs rendszerek –, a birtokában lévő információk és a látogatói számára kell olyan szintű védelmet biztosítani, amely összhangban áll a Tanács, a Bizottság, a tagállamok és adott esetben a nemzetközi szervezetek bevált gyakorlataival. |
|
(4) |
Az EKSZ biztonsági szabályainak elő kell segíteniük az EU-minősített adatok védelmére vonatkozó, koherensebb átfogó, általános keret kialakítását az Európai Unión belül, az Európai Unió Tanácsa (a továbbiakban: a Tanács) biztonsági szabályai és a Bizottság biztonsági rendelkezései alapján, és azokkal a lehető legösszehangoltabb módon. |
|
(5) |
Az EKSZ, a Tanács és a Bizottság elkötelezett aziránt, hogy egyenértékű biztonsági előírásokat alkalmazzanak az EU-minősített adatok védelmére vonatkozóan. |
|
(6) |
Ez a határozat nem érinti az Európai Unió működéséről szóló szerződés (EUMSZ) 15. és 16. cikkét, valamint az azokat végrehajtó jogi eszközöket. |
|
(7) |
Szükség van az EKSZ-en belüli biztonsági szervezet kialakítására, valamint a biztonsági feladatoknak az EKSZ szervezetén belüli felosztására. |
|
(8) |
A főképviselőnek szükség szerint igénybe kell vennie a tagállamok, a Tanács Főtitkársága és a Bizottság révén rendelkezésre álló megfelelő szakértelmet. |
|
(9) |
A főképviselőnek a tagállamok, a Tanács Főtitkársága és a Bizottság támogatásával meg kell tennie az e szabályok végrehajtásához szükséges valamennyi megfelelő intézkedést. |
|
(10) |
Még akkor is, ha az EKSZ főtitkára az EKSZ biztonsági hatósága, helyénvaló felülvizsgálni az EKSZ biztonsági szabályait, különösen a válságreagálási központ létrehozásának figyelembevétele, valamint – e célból – az Unió külügyi és biztonságpolitikai főképviselője 2017. szeptember 19-i ADMIN(2017) 10 határozatának (2) hatályon kívül helyezése és felváltása érdekében. |
|
(11) |
Az Unió külügyi és biztonságpolitikai főképviselőjének az Európai Külügyi Szolgálat biztonsági szabályairól szóló, 2017. szeptember 19-i ADMIN(2017) 10 határozata 15. cikke (4) bekezdésének a) pontjával összhangban konzultációra került sor az EKSZ Biztonsági Bizottságával az EKSZ biztonsági szabályainak tervezett módosításairól, |
ELFOGADTA EZT A HATÁROZATOT:
1. cikk
Tárgy és hatály
E határozat megállapítja az Európai Külügyi Szolgálat biztonsági szabályait (a továbbiakban: az EKSZ biztonsági szabályai).
A 2010/427/EU tanácsi határozat 10. cikkének (1) bekezdése értelmében e határozat az EKSZ teljes személyzetére és az Unió küldöttségeinek teljes személyzetére alkalmazandó, függetlenül az egyes személyek jogállásától vagy kinevezésének módjától, valamint létrehozza az EKSZ felelőssége alá tartozó, a 2. cikkben említett személyzettel, az EKSZ helyiségeivel, fizikai eszközeivel, a birtokában lévő információkkal és látogatóival kapcsolatos kockázatok hatékony kezelésére irányuló általános szabályozási keretet.
2. cikk
Fogalommeghatározások
E határozat alkalmazásában:
|
a) |
„az EKSZ személyzete”: az EKSZ tisztviselői és az Európai Unió egyéb alkalmazottai, beleértve a tagállamok diplomáciai szolgálatainak ideiglenes alkalmazotti státuszban foglalkoztatott személyzetét és a kirendelt nemzeti szakértőket is, a 2010/427/EU tanácsi határozat 6. cikkének (2), illetve (3) bekezdésében meghatározottaknak megfelelően;. |
|
b) |
„az EKSZ felelőssége alá tartozó személyzet”: az EKSZ-nek az EKSZ székhelyén és az Unió küldöttségein foglalkoztatott személyzete, valamint az Unió küldöttségeinek teljes egyéb személyzete, függetlenül az egyes személyek jogállásától vagy kinevezésének módjától, továbbá e határozattal összefüggésben a főképviselő és adott esetben az EKSZ székhelyének helyiségeiben tevékenykedő egyéb személyzet; |
|
c) |
„jogosult eltartottak”: az Unió küldöttségein az EKSZ felelőssége alá tartozó személyzet tagja háztartásának részét képező családtagok, a fogadó állam külügyminisztériumának tett bejelentésnek megfelelően, és akik a személyzet e tagjával az országból való evakuáláskor az alkalmazási helyen ténylegesen együtt élnek; |
|
d) |
„az EKSZ helyiségei”: az EKSZ összes olyan létesítménye, beleértve az épületeket, az irodákat, a termeket és az egyéb területeket, valamint a kommunikációs és információs rendszereknek – így többek között az EU-minősített adatokat kezelő rendszereknek – helyet biztosító területeket is, ahol az EKSZ állandó vagy ideiglenes tevékenységet végez; |
|
e) |
„az EKSZ biztonsági érdekei”: az EKSZ felelőssége alá tartozó személyzet, az EKSZ helyiségei, az eltartottak, a fizikai eszközök – köztük a kommunikációs és információs rendszerek –, az EKSZ birtokában lévő információk és a látogatók; |
|
f) |
„EU-minősített adat”: bármely olyan EU biztonsági minősítéssel ellátott adat és anyag, amelynek engedély nélküli hozzáférhetővé tétele különböző mértékben sértheti az Európai Unió, illetve egy vagy több tagállam érdekeit; |
|
g) |
„az Unió küldöttsége”: harmadik országokban és nemzetközi szervezetekben működő, a 2010/427/EU tanácsi határozat 1. cikkének (4) bekezdésében említett küldöttségek, valamint a 2010/427/EU tanácsi határozat 5. cikke szerinti uniós hivatalok. |
Az e határozat alapján alkalmazandó további fogalommeghatározások a vonatkozó mellékletekben és az A. függelékben találhatók.
3. cikk
Gondossági kötelezettség
(1) Az EKSZ biztonsági szabályainak célja, hogy eleget tegyenek az EKSZ gondossági kötelezettségének és az EKSZ e tekintetben fennálló felelősségi köreinek.
(2) Az EKSZ gondossági kötelezettségébe beletartozik a kellő gondosságnak az EKSZ biztonsági érdekeit érintő, észszerűen előre látható károk megelőzését célzó biztonsági intézkedések végrehajtását szolgáló valamennyi észszerű lépés megtétele során történő érvényesítése.
Ez magában foglal biztonsági és védelmi elemeket egyaránt, beleértve a vészhelyzetből vagy válságból adódóakat is, azok jellegétől függetlenül.
(3) Figyelembe véve a tagállamok, az uniós intézmények vagy szervek, valamint az Unió küldöttségein és/vagy az Unió küldöttségeinek helyiségeiben személyzettel rendelkező egyéb felek gondossági kötelezettségét, továbbá az EKSZ-nek az Unió azon küldöttségei összefüggésében fennálló gondossági kötelezettségét, amelyeknek a fent említett egyéb felek helyiségei adnak otthont, az EKSZ a fenti szervezetek mindegyikével igazgatási megállapodásokat köt, amelyekben ki kell térni az egyes felek szerepére, felelősségi köreire, feladataira és az együttműködési mechanizmusokra.
4. cikk
Fizikai és infrastruktúra-biztonság
(1) Az EKSZ a biztonsági érdekeinek védelme érdekében megteszi az összes megfelelő (állandó vagy ideiglenes) fizikai biztonsági intézkedést – beleértve a hozzáférés-ellenőrzési intézkedéseket – az EKSZ minden helyiségében. Az ilyen intézkedéseket figyelembe kell venni az új helyiségek kialakításánál és tervezésénél, vagy meglévő helyiségek bérlése előtt.
(2) Az EKSZ felelőssége alá tartozó személyzet és az eltartottak tekintetében biztonsági okokból különleges kötelezettségek vagy korlátozások írhatók elő, meghatározott időszakra és meghatározott területekre vonatkozóan.
(3) Az (1) és a (2) bekezdésben említett intézkedéseknek arányosnak kell lenniük a becsült kockázattal.
5. cikk
Riasztási fokozatok és válsághelyzetek
(1) Az EKSZ-nek az I. szakasz 13. cikke (1) bekezdésében meghatározott biztonsági hatósága felel a riasztási fokozatok szintjeinek meghatározásáért és a riasztási fokozatokra vonatkozó megfelelő intézkedések bevezetéséért, az EKSZ-en belüli biztonságot érintő fenyegetésekre és eseményekre való felkészülés vagy az azokra való reagálás keretében.
(2) Az (1) bekezdésben említett, a riasztási fokozatokra vonatkozó intézkedéseknek arányosnak kell lenniük a biztonsági fenyegetés szintjével. A riasztási fokozatok szintjeit az EKSZ biztonsági hatósága határozza meg, az egyéb uniós intézmények, hivatalok és szervek, valamint az EKSZ helyiségeinek otthont adó tagállam(ok) illetékes szolgálataival szorosan együttműködve.
(3) A riasztási fokozatok és a válságreagálás tekintetében az EKSZ biztonsági hatósága a kapcsolattartó pont. A biztonsági hatóság a kapcsolódó feladatokat átruházhatja, az EKSZ székhelye esetében a 2010/427/EU tanácsi határozat 4. cikke (3) bekezdése a) pontjának második francia bekezdésében említett erőforrás-gazdálkodási főigazgatóra, az Unió küldöttségei esetében pedig a válságreagálási központ igazgatójára.
6. cikk
A minősített adatok védelme
(1) Az EU-minősített adatok védelmére az e határozatban és különösen az A. mellékletben megállapított követelmények az irányadók. Az EU-minősített adatok birtokosai felelősek az adatok ennek megfelelő védelméért.
(2) Az EKSZ biztosítja, hogy csak olyan személyek kapjanak hozzáférést a minősített adatokhoz, akik megfelelnek az A. melléklet 5. cikkében előírt feltételeknek.
(3) A főképviselő szintén meghatározza azokat a feltételeket, amelyek alapján a helyi alkalmazottak hozzáférhetnek az EU-minősített adatokhoz, az e határozat A. mellékletében előírt, az EU-minősített adatok védelmére vonatkozó szabályokkal összhangban.
(4) Az EKSZ gondoskodik az EKSZ felelőssége alá tartozó teljes személyzet és az EKSZ-szel szerződéses jogviszonyban álló vállalkozók biztonsági tanúsítványa státuszának a kezeléséről.
(5) Amennyiben a tagállamok nemzeti minősítési jelöléssel ellátott minősített adatokat visznek be az EKSZ struktúráiba vagy hálózataiba, az EKSZ ezeket az adatokat az azonos szintű EU-minősített adatokra alkalmazandó előírásoknak megfelelően védi a biztonsági minősítések e határozat B. függelékében szereplő egyenértékűségi táblázatban foglaltak szerint.
(6) Az e határozat A.II. mellékletében foglalt szabályoknak megfelelően biztonsági területként kell meghatározni, és az EKSZ biztonsági hatóságának jóvá kell hagynia az EKSZ-en belüli azon területeket, ahol CONFIDENTIEL UE/EU CONFIDENTIAL vagy magasabb, illetve ezeknek megfelelő minősítéssel rendelkező adatokat tárolnak.
(7) Az EU-minősített adatok harmadik államokkal vagy nemzetközi szervezetekkel történő megosztására vonatkozó megállapodások vagy igazgatási megállapodások keretében a főképviselőre háruló felelősségi körök ellátására vonatkozó eljárások leírása e határozat A. és A.VI. mellékletében szerepel.
(8) A főtitkár meghatározza, hogy az EKSZ milyen feltételek mellett oszthat meg a tulajdonában lévő EU-minősített adatokat más uniós intézményekkel, szervekkel és hivatalokkal. Ehhez létre kell hozni egy megfelelő keretet, amelynek részét képezi intézményközi, illetve egyéb megállapodások megkötése, amennyiben az ennek érdekében szükséges.
(9) Ennek a keretnek biztosítania kell, hogy az EU-minősített adatok a minősítési szintjüknek megfelelő, valamint az e határozatban megállapított alapelvekkel és minimumszabályokkal egyenértékű alapelveknek és minimumszabályoknak megfelelő védelemben részesüljenek.
7. cikk
Biztonsági események, szükséghelyzetek és válságelhárítás
(1) A biztonsági eseményekre való időben történő és hatékony reagálás érdekében az EKSZ kialakítja az ilyen eseményekre és vészhelyzetekre vonatkozó jelentéstételi eljárást, amelynek a hét minden napján, napi huszonnégy órában működnie kell, és ki kell terjednie az EKSZ biztonsági érdekeit érintő bármely biztonsági eseményre vagy fenyegetésre (például baleset, konfliktus, rosszhiszemű cselekmény, bűncselekmény, emberrablás és túszejtés, egészségügyi vészhelyzet, a kommunikációs és információs rendszerrel kapcsolatos események, kibertámadások stb.).
(2) Vészhelyzeti kapcsolattartási csatornákat kell létrehozni az EKSZ székhelye, az Unió küldöttségei, a Tanács, a Bizottság, az EU különleges képviselői és a tagállamok között, a személyzetet érintő válsághelyzetekre, biztonsági eseményekre és vészhelyzetekre, illetve azok következményeire való reagálásuk támogatása érdekében, beleértve a vészhelyzeti tervezést is.
(3) A biztonsági eseményekre/vészhelyzetekre/válsághelyzetekre való reagálásnak többek között a következőket kell magában foglalnia:
|
— |
a személyzetet érintő fenyegetésekkel, biztonsági eseményekkel és vészhelyzetekkel kapcsolatos döntéshozatali eljárás hatékony támogatását szolgáló eljárások, beleértve a misszió kivonásával vagy felfüggesztésével kapcsolatos döntéseket is; valamint |
|
— |
a személyi állomány mentésére vonatkozó politika és eljárások – pl. a személyzet tagjainak eltűnése vagy emberrablás és túszejtés esetén –, figyelembe véve a tagállamok, az uniós intézmények és az EKSZ e tekintetben fennálló különleges felelősségeit. Az ilyen műveletek irányítása során esetleg felmerülő, konkrét képességek iránti igényt a tagállamok által rendelkezésre bocsátható források szem előtt tartásával kell mérlegelni. |
(4) Az EKSZ megfelelő eljárásokat vezet be az Unió küldöttségein bekövetkező biztonsági eseményekről való jelentéstételre vonatkozóan. Szükség esetén a tagállamoknak, a Bizottságnak, bármely egyéb érintett hatóságnak, valamint az érintett biztonsági bizottságoknak tájékoztatást kell kapniuk.
(5) Az eseményekre, vészhelyzetekre és válságokra való reagálásra vonatkozó eljárásokat rendszeresen gyakorolni kell és felül kell azokat vizsgálni.
8. cikk
A kommunikációs és információs rendszerek biztonsága
(1) Az EKSZ gondoskodik az ezen határozat A. függelékében meghatározott kommunikációs és információs rendszerekben (CIS) kezelt adatok védelméről a bizalmas kezelésüket, sértetlenségüket, hozzáférhetőségüket, hitelességüket és letagadhatatlanságukat érintő fenyegetésekkel szemben.
(2) Az EKSZ tulajdonában lévő vagy általa üzemeltetett valamennyi CIS védelmére vonatkozó szabályokat, biztonsági iránymutatásokat és biztonsági programot az EKSZ biztonsági hatósága hagyja jóvá.
(3) A szabályoknak, a politikának és a programnak összhangban kell állniuk és végrehajtásukat szorosan össze kell hangolni a Tanács és a Bizottság szabályaival, politikáival és programjaival és adott esetben a tagállamok által alkalmazott biztonsági politikákkal.
(4) A minősített adatot kezelő valamennyi CIS-t akkreditációs eljárásnak kell alávetni. Az EKSZ a Tanács Főtitkárságával és a Bizottsággal konzultálva a biztonsági akkreditációt kezelő rendszert alkalmaz.
(5) Ha az EKSZ által kezelt EU-minősített adatok védelmét kriptográfiai termékekkel biztosítják, az ilyen termékeket az EKSZ kriptográfiai jóváhagyó hatósága hagyja jóvá a Tanács Biztonsági Bizottságának ajánlása alapján.
(6) Az EKSZ biztonsági hatósága a szükséges mértékig a következő információvédelmi funkciókat hozza létre:
|
a) |
információvédelmi hatóság; |
|
b) |
TEMPEST-hatóság; |
|
c) |
kriptográfiai jóváhagyó hatóság; |
|
d) |
kriptográfiai terjesztési hatóság. |
(7) Az EKSZ biztonsági hatósága minden rendszer tekintetében létrehozza a következő funkciókat:
|
a) |
biztonsági akkreditációs hatóság; |
|
b) |
információvédelmi üzemeltetési hatóság. |
(8) Az e cikk végrehajtására vonatkozó rendelkezéseket az EU-minősített adatok védelmének tekintetében az A. és az A.IV. melléklet tartalmazza.
9. cikk
A biztonsági szabályok megsértése és az EU-minősített adatok illetéktelenek tudomására jutása
(1) A biztonsági szabályok megsértése az e határozatban foglalt biztonsági szabályokkal és/vagy az annak végrehajtásához szükséges intézkedéseket megállapító, a 21. cikk (1) bekezdésével összhangban jóváhagyott biztonsági politikákkal vagy iránymutatásokkal ellentétes cselekmény vagy mulasztás eredményeként következik be.
(2) Az EU-minősített adatok illetéktelenek tudomására jutása akkor következik be, ha az adatok részben vagy egészben illetéktelen személyek vagy felek tudomására jutnak.
(3) A biztonsági szabályok megsértését vagy annak gyanúját, illetve a minősített adatok illetéktelenek tudomására jutását vagy annak gyanúját minden esetben haladéktalanul jelenteni kell a székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatónak, aki az A. melléklet 11. cikkében előírtak alapján megteszi a szükséges intézkedéseket.
(4) Az e határozatban megállapított biztonsági szabályok megsértéséért vagy a minősített adatok illetéktelenek tudomására jutásáért felelős bármely egyén a vonatkozó jogszabályok, rendelkezések és szabályzatok szerint fegyelmi és/vagy jogi eljárás alá vonható, az A. melléklet 11. cikke (3) bekezdésének megfelelően.
10. cikk
A biztonsági eseményekre, a biztonsági szabályok megsértésére és/vagy a minősített adatok illetéktelenek tudomására jutására vonatkozó ellenőrzés, valamint a korrekciós intézkedések
(1) A személyzeti szabályzat (3) 86. cikkének és IX. mellékletének sérelme nélkül a székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatóság biztonsági vizsgálatokat kezdeményezhet és végezhet:
|
a) |
EU-minősített vagy Euratom-minősített adatok, vagy nem minősített érzékeny adatok lehetséges kiszivárgása, helytelen kezelése vagy illetéktelenek tudomására jutása esetén; |
|
b) |
az EKSZ és annak személyzete ellen irányuló, hírszerző szolgálatok által végrehajtott ellenséges támadások elhárítása érdekében; |
|
c) |
az EKSZ és annak személyzete ellen irányuló terrorista támadások elhárítása érdekében; |
|
d) |
kiberbiztonsági események esetén; |
|
e) |
az EKSZ általános biztonságát érintő vagy potenciálisan érintő egyéb események – többek között bűncselekmény gyanúja – esetén. |
(2) Az EKSZ biztonsági hatósága – a székhely biztonságáért [...] és az EKSZ információbiztonságáért felelős igazgatóság, a válságreagálási központért felelős igazgatóság, valamint adott esetben a tagállamok és/vagy más uniós intézmények szakértőinek segítségével – végrehajtja az ellenőrzések nyomán szükségessé vált korrekciós intézkedéseket, amikor és amennyiben azokra szükség van.
Az EKSZ-en belüli biztonsági ellenőrzések koordinálására vonatkozó hatáskörrel kizárólag az EKSZ biztonsági hatósága által ráruházott, névre szóló megbízás alapján felhatalmazással rendelkező személyzetet lehet, jelenlegi feladatkörére tekintettel, megbízni.
(3) Az ellenőrzést végző személyeknek hozzá kell férniük az ilyen ellenőrzés lefolytatásához szükséges valamennyi adathoz, és e tekintetben meg kell kapniuk minden támogatást az EKSZ valamennyi szolgálatától és teljes személyzetétől.
Az ellenőrzést végző személyek megfelelő intézkedéseket tehetnek a bizonyítéksor oly módon történő megóvása érdekében, amely arányos az ellenőrzés tárgyát képező kérdés súlyával.
(4) Amennyiben az adatokhoz való hozzáférés személyes adatokhoz kapcsolódik, beleértve a kommunikációs és információs rendszerekben tárolt adatokat is, az ilyen hozzáférést az (EU) 2018/1725 rendelettel (4) összhangban kell kezelni.
(5) Amennyiben az ellenőrzéshez személyes adatokat tartalmazó adatbázis létrehozására van szükség, a fent említett rendelettel összhangban értesíteni kell az európai adatvédelmi biztost.
11. cikk
A biztonsági kockázatok kezelése
(1) Az EKSZ védelmi biztonsági igényeinek meghatározása érdekében a székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatóság, valamint a válságreagálási központért felelős igazgatóság a Bizottság Humánerőforrásügyi és Biztonsági Főigazgatóságának Biztonsági Igazgatóságával és adott esetben a Tanács Főtitkárságának Biztonsági Hivatalával szoros együttműködésben naprakész, átfogó biztonsági kockázatértékelési módszertant dolgoz ki és tart fenn.
(2) Az EKSZ biztonsági érdekeit fenyegető kockázatok folyamatként kezelendők. E folyamat célja az ismert biztonsági kockázatok meghatározása, az ilyen kockázatok elfogadható szintre való csökkentését szolgáló biztonsági intézkedések kialakítása, valamint a mélységi védelem elvével összhangban álló intézkedések alkalmazása. A fenti intézkedések hatékonyságát, valamint a kockázat mértékét folyamatosan értékelni kell.
(3) Az e határozatban rögzített szerepek, felelősségi körök és feladatok nem érintik az EKSZ felelőssége alá tartozó személyzet egyes tagjainak felelősségét, különös tekintettel a harmadik országokban kiküldetésben lévő uniós személyzetre, amelynek saját védelme és biztonsága tekintetében a józan észre és ítélőképességre kell hagyatkoznia, és be kell tartania az összes vonatkozó biztonsági szabályt, előírást, eljárást és utasítást.
(4) A biztonsági kockázatok megelőzése és ellenőrzése érdekében a megbízott személyzet az e határozat hatálya alá tartozó személyek tekintetében háttérellenőrzést végezhet annak megállapítása érdekében, hogy ezen személyek számára az EKSZ helyiségeihez vagy adataihoz való hozzáférés engedélyezése biztonsági fenyegetést jelent-e. E célból – és az (EU) 2018/1725 rendelettel összhangban – az érintett megbízott személyzet: a) felhasználhatja az EKSZ rendelkezésére álló bármely információforrást, az információforrás megbízhatóságának figyelembevételével; b) megfelelően indokolt esetben hozzáférhet az EKSZ által foglalkoztatott vagy foglalkoztatni kívánt személyek vagy vállalkozók alkalmazottainak az EKSZ birtokában levő személyzeti aktájához vagy adataihoz.
(5) Az EKSZ megtesz minden észszerű intézkedést biztonsági érdekei védelmének garantálása, valamint azok észszerűen előre látható károsodásának megakadályozása érdekében.
(6) Az EKSZ-ben az EU-minősített adatok teljes életciklusuk alatti védelmét szolgáló biztonsági intézkedéseknek arányban kell állniuk különösen az adatok minősítési szintjével, az adat vagy az anyag formájával és mennyiségével, az EU-minősített adatok tárolására használt létesítmények elhelyezkedésével és felépítésével, valamint a rossz szándékú és/vagy bűncselekménynek minősülő tevékenységek – köztük a kémkedés, a szabotázs és a terrorizmus – jelentette fenyegetéssel, ideértve a helyi szinten fennálló fenyegetést is.
12. cikk
Biztonságtudatosság és képzés
(1) Az EKSZ biztonsági hatósága biztosítja, hogy a székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatóság megfelelő biztonságtudatossági, illetve képzési programokat dolgozzon ki. A székhelyen dolgozó személyzetnek meg kell kapnia a szükséges biztonságtudatossági tájékoztatókat és képzéseket, amelyeket a székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatóság biztonságtudatossági csoportjai tartanak. Az Unió küldöttségeinek személyzete, valamint adott esetben azok jogosult eltartottjai is részt vesznek a szükséges biztonságtudatossági tájékoztatókon és képzéseken, a munkahelyükön vagy lakóhelyükön fennálló kockázatokkal arányos módon; a tájékoztatókat és képzéseket a biztonságirányítási csapatok tartják a válságreagálási központért felelős igazgatósággal együttműködésben.
(2) Az EU-minősített adatokhoz való hozzáférés engedélyezését megelőzően, valamint ezt követően rendszeres időközönként a személyzetet tájékoztatni kell az EU-minősített adatoknak a 6. cikk szerinti védelmével kapcsolatos felelősségről, amelyet e személyzetnek tudomásul kell venni.
13. cikk
Az EKSZ biztonsági szervezete
1. szakasz Általános rendelkezések
(1) A főtitkár az EKSZ biztonsági hatósága. E minőségében a főtitkár biztosítja, hogy:
|
a) |
a biztonsági intézkedéseket szükség szerint összehangolják a tagállamok illetékes hatóságaival, a Tanács Főtitkárságával és a Bizottsággal, valamint adott esetben harmadik államok illetékes hatóságaival vagy nemzetközi szervezetekkel az EKSZ tevékenysége szempontjából fontos valamennyi biztonsági kérdésben, ideértve az EKSZ biztonsági érdekeit érintő kockázatok jellegét és az ezek elleni védekezés eszközeit is; |
|
b) |
a biztonsági szempontokat kezdettől teljes mértékben figyelembe vegyék az EKSZ minden tevékenysége során; |
|
c) |
a minősített adatokhoz való hozzáférést csak olyan személyeknek adják meg, akik megfelelnek az A. melléklet 5. cikkében előírt feltételeknek; |
|
d) |
megfelelő intézkedéseket hozzanak annak érdekében, hogy kezeljék az EKSZ felelőssége alá tartozó teljes személyzet és az EKSZ-szel szerződéses jogviszonyban álló vállalkozók biztonsági tanúsítványának státuszát; |
|
e) |
létrehozzanak egy nyilvántartási rendszert, hogy biztosítsák, hogy a CONFIDENTIEL UE/EU CONFIDENTIAL vagy ennél szigorúbb minősítésű adatok EKSZ-en belüli kezelése, valamint az uniós tagállamokkal, uniós intézményekkel, szervekkel vagy hivatalokkal, illetve az engedéllyel rendelkező egyéb címzettekkel történő közlése e határozattal összhangban történjen. Külön nyilvántartást kell vezetni az EKSZ által harmadik államok vagy nemzetközi szervezetek rendelkezésére bocsátott valamennyi EU-minősített adatról, valamint a harmadik államoktól vagy nemzetközi szervezetektől kapott valamennyi minősített adatról; |
|
f) |
megvalósuljanak a 16. cikkben említett biztonsági ellenőrzések; |
|
g) |
a biztonsági szabályok bármely tényleges vagy feltételezett megszegése esetében, valamint az EKSZ birtokában lévő vagy az EKSZ-től származó minősített adatok illetéktelenek tudomására jutásának vagy elvesztésének tényleges vagy feltételezett eseteiben ellenőrzésre kerüljön sor, és a releváns biztonsági hatóságok felkérést kapjanak az ellenőrzésben való részvételre; |
|
h) |
megfelelő esemény- és következménykezelési terveket és mechanizmusokat dolgozzanak ki a biztonsági eseményekre való megfelelő időben történő és hatékony reagálás érdekében; |
|
i) |
megfelelő intézkedéseket hozzanak abban az esetben, ha egyének nem tartják be az e határozatban foglaltakat; |
|
j) |
megfelelő fizikai és szervezeti intézkedések garantálják az EKSZ biztonsági érdekeinek védelmét. |
E tekintetben az EKSZ biztonsági hatósága:
|
— |
a Bizottsággal konzultálva meghatározza az Uniós küldöttségeinek biztonsági kategóriáját, |
|
— |
válságreagálási mechanizmust hoz létre, és meghatározza annak feladatait és felelősségi köreit, |
|
— |
dönt – adott esetben a főképviselővel folytatott konzultációt követően – az Unió küldöttségein dolgozó személyzet evakuálásának időpontjáról, amennyiben a biztonsági helyzet megköveteli azt, |
|
— |
dönt a jogosult eltartottak védelme érdekében alkalmazandó intézkedésekről, adott esetben figyelembe véve az uniós intézményekkel kötött, a 3. cikk (3) bekezdésében említettek szerinti megállapodásokat, |
|
— |
jóváhagyja a kriptográfiai kommunikációra vonatkozó politikát, különösen a kriptográfiai termékek és mechanizmusok telepítésének programját. |
(2) A 2010/427/EU tanácsi határozat 10. cikkének (3) bekezdésével összhangban az EKSZ biztonsági hatóságát e feladatok ellátásában közösen a következők segítik:
|
(i). |
az erőforrás-gazdálkodásért felelős főigazgató, akit a székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgató segít, |
|
(ii). |
a válságreagálási központ igazgatója, valamint adott esetben a békéért, a biztonságért és a védelemért felelős főtitkárhelyettes, a KBVP-missziók és -műveletek tekintetében meghozandó biztonsági intézkedésekkel való összhang biztosítása érdekében. |
(3) A főtitkár az EKSZ biztonsági hatóságaként adott esetben átruházhatja feladatait.
(4) Valamennyi osztály-/részlegvezető felelős az említett szabályok, az e határozat 21. cikkében említett biztonsági iránymutatások, valamint a szervezeti egységén/részlegén belül az EU-minősített adatok védelmét célzó bármely egyéb eljárás vagy intézkedés végrehajtásáért.
Az osztály-/részlegvezető – a fent említetteknek megfelelő felelőssége fenntartása mellett – kijelöli a szervezeti egység biztonsági koordinátori feladatait ellátó személyzetet. Az ezen feladatot ellátó személyzet létszámának arányosnak kell lennie az adott szervezeti egység/részleg által kezelt EU-minősített adatok mennyiségével.
Az osztály biztonsági koordinátorai, amikor és amennyiben szükséges, segítik és támogatják osztály-/részlegvezetőjüket a biztonsággal kapcsolatos feladatok ellátásában, például:
|
a) |
kidolgozzák az osztály/részleg sajátos igényeinek megfelelő további biztonsági követelményeket a székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatósággal konzultálva; |
|
b) |
kiegészítik a székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatóság által az osztályuk/részlegük tagjainak nyújtott rendszeres biztonsági tájékoztatókat az a) pontban említett további biztonsági követelményekre vonatkozó információkkal; |
|
c) |
biztosítják a szükséges ismeret elvének tiszteletben tartását az osztályon/részlegen belül; |
|
d) |
szükség szerint vezetik a biztonságos kódok és kulcsok naprakész listáját; |
|
e) |
adott esetben biztosítják, hogy a biztonsági eljárások és a biztonsági intézkedések naprakészek és hatékonyak legyenek; |
|
f) |
jelentést tesznek mind az igazgatójuknak, mind a székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatóságnak a biztonsági szabályok megsértéséről és/vagy az EU-minősített adatok illetéktelenek tudomására jutásáról; |
|
g) |
tájékoztatják a személyzet azon tagjait, akiknek megszűnik alkalmazotti státusza az EKSZ-nél; |
|
h) |
rendszeresen jelentést tesznek a vezetőik útján az osztályt/részleget érintő biztonsági kérdésekben; |
|
i) |
kapcsolatot tartanak a székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatósággal minden, a biztonságot érintő kérdéseket illetően. |
Bármely olyan tevékenységről vagy kérdésről, amely hatással lehet a biztonságra, időben tájékoztatni kell a székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatóságot.
2. szakasz A székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatóság
(1) A székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatóság igazgatási szempontból az Erőforrás-gazdálkodási Főigazgatóságon belül helyezkedik el. A székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatóság:
|
a) |
ellátja az EKSZ gondossági kötelezettségét az EKSZ székhelyén, és felel az EKSZ székhelyén felmerülő valamennyi biztonsági kérdésért, többek között a kommunikációs és információs rendszereknek (CIS) és az Unió küldöttségeinek az információbiztonsága tekintetében; |
|
b) |
irányítja, koordinálja, felügyeli és/vagy végrehajtja az összes biztonsági intézkedést az EKSZ székhelyén található valamennyi helyiségben; |
|
c) |
biztosítja a koherenciát és következetességet e határozattal és bármely olyan tevékenység végrehajtási rendelkezéseivel, amelynek hatása lehet az EKSZ biztonsági érdekeinek védelmére; |
|
d) |
támogatja az EKSZ biztonsági akkreditációs hatóságának tevékenységét az EU-minősített adatokat kezelő kommunikációs és információs rendszerek, valamint az EU-minősített adatok kezelésére és tárolására engedélyezett összes EKSZ-helyiség általános biztonsági környezetének (GSE) / helyi biztonsági környezetének (LSE) fizikai biztonságára vonatkozó értékelés elvégzése révén. |
A székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatóságot a 2010/427/EU tanácsi határozat 10. cikkének (3) bekezdésével összhangban a tagállamok illetékes szolgálatai segítik.
(2) A székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgató látja el az alábbi feladatokat:
|
a) |
biztosítja az EKSZ biztonsági érdekeinek általános védelmét a székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatóság hatáskörébe tartozó területen; |
|
b) |
kidolgozza, felülvizsgálja és frissíti a biztonsági szabályokat, valamint összehangolja a biztonsági intézkedéseket a válságreagálási központ igazgatójával, a tagállamok illetékes hatóságaival, valamint adott esetben harmadik államok illetékes hatóságaival és nemzetközi szervezetekkel, amelyek biztonsági megállapodásokkal és/vagy intézkedésekkel kapcsolódnak az EU-hoz; |
|
c) |
a főképviselő, az EKSZ biztonsági hatósága, valamint a békéért, a biztonságért és a védelemért felelős főtitkárhelyettes főtanácsadójaként jár el valamennyi, a székhely biztonságával és az EKSZ információbiztonságával kapcsolatos kérdésben; |
|
d) |
kezeli az EKSZ felelőssége alá tartozó teljes személyzet és az EKSZ-szel szerződéses jogviszonyban álló vállalkozók biztonsági tanúsítványának státuszát; |
|
e) |
az EKSZ biztonsági hatóságának utasítására elnököl az e határozat 15. cikkének (1) bekezdésében meghatározott EKSZ Biztonsági Bizottság nemzeti biztonsági hatósági formációjában tartott ülésein, és támogatja a Biztonsági Bizottság eljárásait; |
|
f) |
kapcsolatot tart a fenti b) pontban említettektől eltérő partnerekkel vagy hatóságokkal a székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatóság hatáskörébe tartozó biztonsági ügyekben; |
|
g) |
rangsorolja a biztonsági költségvetés kezelését a székhelyen és az Unió küldöttségein – utóbbit a válságreagálási központ igazgatójával együttműködésben –, valamint javaslatokat terjeszt elő azt illetően; |
|
h) |
biztosítja, hogy az ezen határozat 9. cikkében említett, a biztonsági szabályok megsértésének és az EU-minősített adatok illetéktelenek tudomására jutásának eseteit rögzítsék, és szükség esetén vizsgálatot indítsanak és folytassanak le; |
|
i) |
rendszeresen – és amikor szükséges – találkozik a Tanács Főtitkárságának biztonsági igazgatójával és a Bizottság Humánerőforrásügyi és Biztonsági Főigazgatósága Biztonsági Igazgatóságának igazgatójával, hogy egyeztessenek a közös érdeklődésre számot tartó kérdésekről. |
(3) A székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatóság a hatáskörébe tartozó területen kapcsolatokat épít ki és szoros együttműködést tart fenn az alábbiakkal:
|
— |
a tagállamok nemzeti biztonsági hatóságai és/vagy egyéb illetékes biztonsági hatóságai – segítségüket azon információk tekintetében veszi igénybe, amelyekre szüksége van az EKSZ-t, annak személyzetét, tevékenységeit, eszközeit és forrásait, valamint minősített adatait érintő veszélyek és fenyegetések értékeléséhez, |
|
— |
azon harmadik államok illetékes biztonsági hatóságai, amelyekkel az EU adatbiztonsági megállapodást kötött, vagy amelyek területére az Unió KBVP-missziót vagy -műveletet telepített; a Tanács Főtitkárságának Biztonsági Hivatala és a Bizottság Humánerőforrásügyi és Biztonsági Főigazgatóságának Biztonsági Igazgatósága, valamint adott esetben az egyéb uniós intézmények, szervek és hivatalok biztonságért felelős szervezeti egységei, |
|
— |
azon nemzetközi szervezetek biztonsági osztálya, amelyekkel az EU adatbiztonsági megállapodást kötött, valamint |
|
— |
a tagállamok nemzeti biztonsági hatóságai, az EU-minősített adatok védelmével kapcsolatos kérdések tekintetében, ideértve a személyi biztonsági tanúsítványokat (PSC-ket) is. |
3. szakasz A válságreagálási központért felelős igazgatóság
(1) A válságreagálási központért felelős igazgatóság:
|
a) |
eleget tesz az EKSZ gondossági kötelezettségének az Unió küldöttségein; |
|
b) |
biztosítja az EKSZ felelőssége alá tartozó személyzet biztonságát napi szinten az Unió küldöttségein, válság esetén elfogadandó, az Unió küldöttségei üzletmenet-folytonosságának biztosítását szolgáló intézkedéseket terjeszt elő, valamint végrehajtja az evakuálási eljárásokat az Erőforrás-gazdálkodási Főigazgatóság koordinációs osztályával szoros együttműködésben; |
|
c) |
irányítja, koordinálja, felügyeli és/vagy végrehajtja az összes biztonsági intézkedést az Unió küldöttségein található EKSZ-helyiségekben; |
|
d) |
biztosítja a koherenciát és következetességet e határozattal és bármely olyan, az EKSZ által végzett tevékenység végrehajtási rendelkezéseivel, amelynek hatása lehet az EKSZ biztonsági érdekeire a válságreagálási központ felelősségi körében; |
|
e) |
támogatja az EKSZ Biztonsági Akkreditációs Hatóságának tevékenységeit az Unió küldöttségei azon helyiségeinek fizikai biztonsági értékelése során, amelyek engedélyt kell, hogy kapjanak EU-minősített adatok kezelésére és tárolására; |
(2) A válságreagálási központ igazgatója látja el az alábbi feladatokat:
|
(a) |
biztosítja az EKSZ biztonsági érdekeinek általános védelmét a válságreagálási központért felelős igazgatóság hatáskörébe tartozó területen; |
|
(b) |
összehangolja a biztonsági intézkedéseket és eljárásokat a fogadó államok illetékes hatóságaival és adott esetben az érintett nemzetközi szervezetekkel; |
|
(c) |
biztosítja az EKSZ válságreagálási mechanizmusának aktiválását és irányítását; |
|
(d) |
megtervezi és irányítja az EKSZ telepíthetőségi képességét (bevethető támogató csoport, beleértve a szükséges felszerelést) és biztosítja, hogy az folyamatosan készenlétben álljon; |
|
(e) |
a főképviselő, az EKSZ biztonsági hatósága, valamint a békéért, a biztonságért és a védelemért felelős főtitkárhelyettes főtanácsadójaként jár el valamennyi, az Unió küldöttségeinek biztonságával, valamint a küldöttségeket érintő válságokra való reagálással kapcsolatos kérdésekben; |
|
(f) |
vezeti az e határozat 15. cikkének (1) bekezdésében meghatározott EKSZ Biztonsági Bizottság külügyminiszteri formációjának üléseit az EKSZ biztonsági hatóságának utasítására, és támogatja annak eljárásait; |
|
(g) |
kapcsolatot tart a fenti b) pontban említettektől eltérő partnerekkel vagy hatóságokkal a válságreagálási központért felelős igazgatóság hatáskörébe tartozó biztonsági ügyekben; |
|
(h) |
hozzájárul az Unió küldöttségeinek a székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgató által koordinált biztonsági költségvetése kezelését illető rangsoroláshoz, illetve az arra irányuló javaslattételhez; |
|
(i) |
biztosítja, hogy a válságreagálási központért felelős igazgatóság felelőségi körében előforduló biztonságiszabály-sértésekről és EU-minősített adatok illetéktelenek tudomására jutásáról értesítést kapjon a székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatóság, a megfelelő követő intézkedések meghozatala érdekében. |
(3) A válságreagálási központért felelős igazgatóság a hatáskörébe tartozó területen kapcsolatokat épít ki és szoros együttműködést tart fenn az alábbiakkal:
|
— |
a tagállami külügyminisztériumok megfelelő szervezeti egységei; |
|
— |
a szükséges mértékben azon fogadó államok illetékes biztonsági hatóságai, amelyek területén az Unió küldöttségei találhatók, az EKSZ biztonsági érdekei tekintetében; |
|
— |
a Tanács Főtitkárságának Biztonsági Hivatala és a Bizottság Humánerőforrásügyi és Biztonsági Főigazgatóságának Biztonsági Igazgatósága, valamint adott esetben az egyéb uniós intézmények, szervek és hivatalok biztonságért felelős szervezeti egységei, a válságreagálási központért felelős igazgatóság hatáskörébe tartozó területen; |
|
— |
a nemzetközi szervezetek biztonsági osztályai, az igazgatóság saját felelősségi körén belül végzett esetleges hasznos koordináció céljából. |
4. szakasz Az Unió küldöttségei
(1) A küldöttségvezetők felelősek az EKSZ biztonsági érdekeinek védelmével kapcsolatos valamennyi intézkedés helyi végrehajtásáért és irányításáért az Unió küldöttségeinek helyiségein és hatáskörén belül.
A válságreagálási központ iránymutatása alapján és szükség esetén a fogadó állam illetékes hatóságaival konzultálva minden észszerű és megvalósítható intézkedést megtesz annak biztosítása érdekében, hogy megfelelő fizikai és szervezeti intézkedések álljanak rendelkezésre a gondossági kötelezettségének teljesítéséhez.
A küldöttségvezető kidolgozza a 2. cikk c) pontja szerinti jogosult eltartottak védelme érdekében alkalmazandó biztonsági eljárásokat, adott esetben figyelembe véve a 3. cikk (3) bekezdésében említett igazgatási megállapodásokat.
A küldöttségvezető a hatáskörébe tartozó, a gondossági kötelezettséghez kapcsolódó valamennyi problémáról jelentést tesz a válságreagálási központ igazgatójának, egyéb biztonsági kérdések tekintetében pedig a székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatóság igazgatójának.
A küldöttségvezetőt e feladatok ellátásában a válságreagálási központért felelős igazgatóság, az Unió küldöttségének – biztonsági feladatokat és funkciókat ellátó személyzetet tömörítő – biztonságirányítási csapata, valamint szükség esetén biztonsági személyzet segíti. A székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatóság saját felelősségi körén belül támogatást nyújt.
Az Unió küldöttsége a biztonsági kérdések tekintetében rendszeres kapcsolatot tart fenn és szoros együttműködést folytat a tagállamok diplomáciai misszióival.
(2) Ezen túlmenően a küldöttségvezető:
|
— |
a válságreagálási központtal együttműködve általános állandó érvényű eljárások alapján részletes biztonsági és vészhelyzeti terveket dolgoz ki az Unió küldöttségeinek a számára, |
|
— |
az Unió küldöttségének tevékenységi körében felmerülő biztonsági események és vészhelyzetek kezelésére a hét minden napján huszonnégy órában rendelkezésre álló hatékony rendszert működtet, |
|
— |
biztosítja, hogy az Unió küldöttségének teljes személyzete rendelkezzen a helyi feltételek által megkövetelt biztosítással, |
|
— |
biztosítja, hogy az Unió küldöttsége személyzetének valamennyi tagja megfelelő biztonsági felkészítő képzésben részesüljön az Unió küldöttségére való megérkezésekor, valamint |
|
— |
biztosítja a biztonsági értékeléseket követően tett ajánlások végrehajtását, és rendszeres időközönként írásos jelentést nyújt be a válságreagálási központ igazgatójának, valamint a székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatónak. |
(3) Bár továbbra is felelős és elszámoltatható a biztonság megőrzéséért, valamint a testületi reziliencia biztosításáért, a küldöttségvezető átruházhatja biztonsággal kapcsolatos feladatainak végrehajtását a küldöttség biztonsági koordinátorára, aki a küldöttség helyettes vezetője vagy – amennyiben nem kerül sor annak kijelölésére – egy másik megfelelő személy.
Különösen a következő feladatok ruházhatók át:
|
— |
biztonsági feladatok koordinációja az Unió küldöttségén belül, |
|
— |
kapcsolattartás biztonsági kérdésekben a fogadó állam illetékes hatóságaival, valamint a megfelelő partnerekkel a tagállamok nagykövetségein és diplomáciai képviseletein, |
|
— |
az EKSZ biztonsági érdekeivel kapcsolatos megfelelő biztonságirányítási eljárások végrehajtása, beleértve az EU-minősített adatok védelmét, |
|
— |
a biztonsági szabályoknak és útmutatásoknak való megfelelés biztosítása, |
|
— |
a személyzet tájékoztatása a rájuk vonatkozó biztonsági előírásokról, valamint a fogadó államban fennálló sajátos kockázatokról, |
|
— |
biztonsági ellenőrzés iránti kérelmek benyújtása a székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatósághoz, valamint a személyi biztonsági tanúsítványt igénylő álláshelyekre vonatkozó kérelmek benyújtása, valamint |
|
— |
a küldöttségvezető, a regionális biztonsági tisztviselő és a válságreagálási központért felelős igazgatóság folyamatos tájékoztatása azokról az eseményekről vagy biztonsági fejleményekről a térségben, amelyek hatással vannak az EKSZ biztonsági érdekeinek védelmére. |
(4) A küldöttségvezető átruházhatja az adminisztratív vagy technikai jellegű biztonsági feladatokat az adminisztratív vezetőre vagy az Unió küldöttsége személyzetének más tagjaira.
(5) Az Unió küldöttségének munkáját egy regionális biztonsági tisztviselő segíti. A regionális biztonsági tisztviselők az alább meghatározott szerepeket töltik be az Unió küldöttségén a megfelelő földrajzi illetékességi körükön belül.
Bizonyos körülmények között, amennyiben a fennálló biztonsági helyzet megköveteli, az Unió egy adott küldöttségéhez kiküldhető egy kijelölt regionális biztonsági tisztviselő, állandó ott-tartózkodással.
A regionális biztonsági tisztviselő áthelyezhető az aktuális felelősségi körén kívüli területre, akár a székhelyre is, vagy felkérhető egy állandó tartózkodással járó álláshely betöltésére a releváns biztonsági helyzet függvényében bármely országban, valamint a válságreagálási központért felelős igazgatóság igényeinek megfelelően.
(6) A regionális biztonsági tisztviselők az EKSZ helyszíni biztonságért felelős székhelyi szolgálatának közvetlen operatív ellenőrzése alá, ugyanakkor az alkalmazásuk helye szerinti küldöttségvezető és a helyszíni biztonságért felelős székhelyi szolgálat megosztott adminisztratív ellenőrzése alá tartoznak. A regionális biztonsági tisztviselők tanácsadással és segítségnyújtással támogatják a küldöttségvezetőt és az Unió küldöttségének személyzetét az Unió küldöttségének biztonságával kapcsolatos valamennyi fizikai, szervezeti és eljárási biztonsági intézkedés megszervezésében és végrehajtásában.
(7) A regionális biztonsági tisztviselők tanácsadással és támogatásnyújtással segítik a küldöttségvezetőt és az Unió küldöttségének személyzetét. A regionális biztonsági tisztviselőnek adott esetben – különösen, amennyiben állandóan ott tartózkodik – segítenie kell az Unió küldöttségét a biztonságirányításban és a végrehajtásban, beleértve a biztonsági szerződések előkészítését, valamint az akkreditációk és biztonsági tanúsítványok kezelését.
14. cikk
KBVP-műveletek és az EU különleges képviselői
A székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgató, valamint a válságreagálási központ igazgatója – szükség szerint és az igazgatóságuk felelősségi körébe eső területeken – tanácsot ad a KBVP-missziók és -műveletek tervezésének és lebonyolításának biztonsági vonatkozásaival kapcsolatban a közös biztonság- és védelempolitika (KBVP) ügyvezető igazgatójának, az Európai Unió Katonai Törzse (EUKT) főigazgatójának – úgy is mint a Katonai Tervezési és Végrehajtási Szolgálat (MPCC) igazgatójának – és a Polgári Tervezési és Végrehajtási Szolgálat ügyvezető igazgatójának, illetve az EU különleges képviselőinek a megbízatásuk biztonsági vonatkozásaival kapcsolatban, kiegészítve a Tanács által elfogadott vonatkozó politikákban e tekintetben meglévő konkrét rendelkezéseket.
15. cikk
Az EKSZ Biztonsági Bizottsága
(1) Létrejön az EKSZ Biztonsági Bizottsága.
A Biztonsági Bizottság elnöke az EKSZ biztonsági hatósága vagy annak kijelölt képviselője; és a Biztonsági Bizottság az elnök utasítására vagy bármely tagjának kérésére ülésezik. A székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatóság, valamint a válságreagálási központért felelős igazgatóság saját felelősségi körén belül támogatja az elnököt ebben a feladatkörben, és szükség esetén adminisztratív segítséget nyújt a bizottsági eljárásokhoz.
(2) Az EKSZ Biztonsági Bizottságának tagjai az alábbiak képviselői:
|
— |
az egyes tagállamok, |
|
— |
a Tanács Főtitkárságának Biztonsági Hivatala, |
|
— |
a Bizottság Humánerőforrásügyi és Biztonsági Főigazgatóságának Biztonsági Igazgatósága. |
Az EKSZ Biztonsági Bizottságához delegált tagállami küldöttségek az alábbiak tagjaiból állhatnak:
|
— |
a nemzeti biztonsági hatóság és/vagy a kijelölt biztonsági hatóság, |
|
— |
a külügyminisztérium biztonságért felelős szervezeti egységei. |
(3) A Biztonsági Bizottság képviselőit, amennyiben szükségesnek ítélik, szakértők segíthetik és tanácsokkal láthatják el. Más uniós intézmények, ügynökségek vagy szervek képviselői is meghívást kaphatnak az üléseken való részvételre, ha a biztonságukat érintő kérdések kerülnek napirendre.
(4) Az alábbi (5) bekezdés sérelme nélkül az EKSZ Biztonsági Bizottsága segíti az EKSZ-t, az EKSZ tevékenységeivel, a székhellyel és az Unió küldöttségeivel kapcsolatos valamennyi biztonsági kérdésről való konzultáció útján.
Az alábbi (5) bekezdés sérelme nélkül
|
a) |
az EKSZ Biztonsági Bizottságával a következő kérdésekben kell konzultálni:
|
|
b) |
az EKSZ Biztonsági Bizottságával konzultálhatnak vagy adott esetben tájékoztathatják a Biztonsági Bizottságot az EKSZ-nek a székhelyen vagy az Unió küldöttségein lévő személyzete és eszközei biztonságával kapcsolatos kérdésekről, a 3. cikk (3) bekezdésének sérelme nélkül; |
|
c) |
az EKSZ Biztonsági Bizottságát tájékoztatni kell arról, ha EU-minősített adatok jutottak illetéktelenek tudomására vagy vesztek el az EKSZ-en belül. |
(5) Az EU-minősített adatok védelmével kapcsolatos, az e határozatban és annak A. mellékletében szereplő szabályok bármely módosításához az EKSZ Biztonsági Bizottságában képviselt tagállamok egyhangúlag kedvező véleményére van szükség. Az ilyen egyhangú véleményre az alábbiakat megelőzően is szükség van:
|
— |
az A. melléklet 10. cikke (1) bekezdésének b) pontjában említett igazgatási megállapodások megkötésére irányuló tárgyalások megkezdése, |
|
— |
minősített adatok átadása az A.VI. melléklet 9., 11. és 12. pontjaiban említett rendkívüli körülmények között, |
|
— |
felelősségvállalás az adatkibocsátásért az A. melléklet 10. cikke (6) bekezdésének utolsó mondatában említett körülmények között. |
Amennyiben egyhangúlag kedvező véleményre van szükség, ez a feltétel akkor teljesül, ha a tagállami delegációk nem emelnek kifogást a bizottsági eljárás során.
(6) Az EKSZ Biztonsági Bizottsága teljes mértékben figyelembe veszi a Tanács és a Bizottság hatályos biztonsági politikáit és iránymutatásait.
(7) Az EKSZ Biztonsági Bizottsága megkapja az EKSZ által végzett éves ellenőrzések listáját, valamint az ellenőrzésekről szóló jelentéseket, azok lezárását követően.
(8) Az ülések szervezése:
|
— |
Az EKSZ Biztonsági Bizottsága évente legalább két alkalommal ülésezik. Az elnök szervezésében vagy a Biztonsági Bizottság tagjainak kérésére további ülésekre kerülhet sor, akár teljes összetételben, akár a nemzeti biztonsági hatóságok/kijelölt biztonsági hatóságok vagy a külügyminisztérium biztonságért felelős részlegeinek részvételével. |
|
— |
Az EKSZ Biztonsági Bizottsága úgy szervezi tevékenységét, hogy a biztonság konkrét területeire vonatkozó ajánlásokat tudjon tenni. A Biztonsági Bizottság szükség esetén egyéb szakértői alcsoportokat hozhat létre. Meghatározza a szakértői alcsoportok feladatait, és jelentést kap tőlük a tevékenységeikről. |
|
— |
A székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatóság, valamint a válságreagálási központért felelős igazgatóság feladata a felelősségi körükbe tartozó napirendi pontok előkészítése. Az elnök minden ülésre ideiglenes napirendet készít. A Biztonsági Bizottság tagjai további napirendi pontokra tehetnek javaslatot. |
16. cikk
Biztonsági ellenőrzések
(1) Az EKSZ biztonsági hatósága biztosítja, hogy rendszeresen sor kerüljön biztonsági ellenőrzésekre az EKSZ székhelyén és az Unió küldöttségein belül a biztonsági intézkedések végrehajtása megfelelőségének értékelése és e határozatnak való megfelelésük ellenőrzése érdekében. A székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatóság a válságreagálási központért felelős igazgatósággal együttműködve szükség esetén szakértőket jelölhet ki az EUSZ V. címének 2. fejezete alapján létrehozott uniós hivataloknál és szerveknél lefolytatandó biztonsági ellenőrzésekben való részvételre.
(2) Az EKSZ biztonsági ellenőrzéseire a székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatóság felügyelete mellett kerül sor, adott esetben az EKSZ válságreagálási központjának támogatásával, valamint – a 3. cikk (3) bekezdésében említett megállapodásokkal összefüggésben – más uniós intézményeket vagy tagállamokat képviselő biztonsági szakértők támogatásával.
(3) Az EKSZ szükség esetén a tagállamok, a Tanács Főtitkársága és a Bizottság szakértelmére támaszkodhat.
Szükség esetén a harmadik államokban működő tagállami képviseleteken dolgozó biztonsági szakértők és/vagy a tagállamok diplomáciai biztonsági szervezeti egységeinek képviselői is meghívást kaphatnak az Unió küldöttségének biztonsági ellenőrzésében való részvételre.
(4) Az e cikk végrehajtására vonatkozó rendelkezéseket az EU-minősített adatok védelmének tekintetében az A.III. melléklet tartalmazza.
17. cikk
Értékelő látogatások
A harmadik államokban vagy nemzetközi szervezeteknél az A. melléklet 10. cikke (1) bekezdésének b) pontja szerint egy igazgatási megállapodás értelmében megosztott EU-minősített adatok védelmére bevezetett biztonsági intézkedések hatékonyságának megállapítása céljából értékelő látogatásokra kerül sor.
A székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatóság szakértőket jelölhet ki az olyan harmadik államokban vagy nemzetközi szervezeteknél esedékes értékelő látogatásokon való részvételre, amelyekkel az EU az A. melléklet 10. cikke (1) bekezdésének a) pontjában említett adatbiztonsági megállapodást kötött.
18. cikk
Üzletmenet-folytonossági tervezés
Az EKSZ általános üzletmenet-folytonossági tervezésének részeként a székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatóság, valamint a válságreagálási központért felelős igazgatóság segítséget nyújt az EKSZ biztonsági hatóságának az EKSZ üzletmenet-folytonossági eljárásai biztonsággal kapcsolatos vonatkozásainak kezelésében.
19. cikk
Az EU-n kívüli kiküldetésekkel kapcsolatos utazási tanácsok
A válságreagálási központért felelős igazgatóság biztosítja az EKSZ felelőssége alá tartozó személyzet EU-n kívüli kiküldetéseire vonatkozó utazási tanácsok elérhetőségét, az EKSZ valamennyi releváns szolgálatának – különösen az INTCEN, az erőforrás-gazdálkodási főigazgatóság elhárítási egysége, a földrajzi szervezeti egységek és az Unió küldöttségeinek – forrásaira támaszkodva.
A válságreagálási központért felelős igazgatóság kérésre, és a fent említett forrásokra támaszkodva, konkrét utazási tanácsokat nyújt az EKSZ felelőssége alá tartozó személyzet olyan harmadik országokba irányuló missziói tekintetében, amelyek nagy kockázatot vagy fokozott kockázati szintet jelentenek.
20. cikk
Egészség és biztonság
Az EKSZ biztonsági szabályai kiegészítik az EKSZ-nek a főképviselő által elfogadott, az egészség és biztonság védelmére vonatkozó szabályait.
21. cikk
Végrehajtás és felülvizsgálat
(1) Az EKSZ biztonsági hatósága, adott esetben az EKSZ Biztonsági Bizottságával folytatott konzultációt követően, jóváhagyja az e szabályoknak az EKSZ-en belüli végrehajtásához szükséges intézkedéseket meghatározó biztonsági iránymutatásokat, és kiépíti a biztonság minden szempontjának lefedéséhez szükséges kapacitásokat, szorosan együttműködve a tagállamok illetékes biztonsági hatóságaival és az uniós intézmények releváns szolgálatainak támogatásával.
(2) A 2010/427/EU tanácsi határozat 4. cikke (5) bekezdésével összhangban, illetve szükség szerint az EKSZ a szolgáltatási szintre vonatkozó megállapodásokat köthet a Tanács Főtitkársága és a Bizottság érintett szolgálataival.
(3) A főképviselő biztosítja e határozat alkalmazásának általános következetességét, és folyamatosan felülvizsgálja ezeket a biztonsági szabályokat.
(4) Az EKSZ biztonsági szabályait a tagállamok illetékes biztonsági hatóságaival szorosan együttműködve kell végrehajtani.
(5) Az EKSZ biztosítja, hogy a védelmi folyamat valamennyi szempontját figyelembe vegyék az EKSZ válságelhárítási rendszerén belül.
(6) E határozat végrehajtását a főtitkár mint biztonsági hatóság, a székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatóság igazgatója és a válságreagálási központ igazgatója biztosítja.
22. cikk
Korábbi határozatok hatályon kívül helyezése
Ez a határozat hatályon kívül helyezi az Unió külügyi és biztonságpolitikai főképviselőjének az Európai Külügyi Szolgálat biztonsági szabályairól szóló, 2017. szeptember 19-i ADMIN(2017) 10 határozatát (5), és annak helyébe lép.
23. cikk
Záró rendelkezések
Ez a határozat az aláírása napján lép hatályba.
A határozatot az Európai Unió Hivatalos Lapjában ki kell hirdetni.
Az EKSZ biztonsági hatósága megfelelő módon és időben tájékoztatja a határozat és mellékletei hatálya alá tartozó személyzet valamennyi tagját a határozat és mellékletei tartalmáról, hatálybalépéséről és esetleges későbbi módosításairól.
Kelt Brüsszelben, 2023. június 19-én.
Josep BORRELL FONTELLES
az Unió külügyi és biztonságpolitikai főképviselője
(1) HL L 201., 2010.8.3., 30. o.
(2) HL C 126, 2018.4.10., 1. o.
(3) Az Európai Unió tisztviselőinek személyzeti szabályzata és az Európai Unió egyéb alkalmazottaira vonatkozó alkalmazási feltételek (a továbbiakban: a személyzeti szabályzat).
(4) Az Európai Parlament és a Tanács (EU) 2018/1725 rendelete (2018. október 23.) a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról (HL L 295., 2018.11.21., 39. o.).
A. MELLÉKLET
AZ EU-MINŐSÍTETT ADATOK VÉDELMÉRE VONATKOZÓ ELVEK ÉS NORMÁK
1. cikk
Cél, hatály és fogalommeghatározások
(1) E melléklet megállapítja az EU-minősített adatok védelmére vonatkozó biztonsági alapelveket és minimumszabályokat.
(2) Ezen alapelvek és minimumszabályok az EKSZ-re és az EKSZ felelőssége alá tartozó személyzetre alkalmazandók az e határozat 1., illetve 2. cikkében említettek és meghatározottak szerint.
2. cikk
Az EU-minősített adat fogalmának meghatározása, minősítési szintek és minősítési jelölések
(1) „EU-minősített adat”: bármely olyan EU biztonsági minősítéssel ellátott adat és anyag, amelynek engedély nélküli hozzáférhetővé tétele különböző mértékben sértheti az Európai Unió, illetve egy vagy több tagállam érdekeit.
(2) Az EU-minősített adatok minősítési szintjei a következők:
|
a) |
TRES SECRET UE/EU TOP SECRET: olyan adatok és anyagok, amelyeknek engedély nélküli hozzáférhetővé tétele rendkívül súlyosan sértheti az Európai Unió, illetve egy vagy több tagállam alapvető érdekeit. |
|
b) |
SECRET UE/EU SECRET: olyan adatok és anyagok, amelyeknek engedély nélküli hozzáférhetővé tétele súlyosan sértheti az Európai Unió vagy egy vagy több tagállam alapvető érdekeit. |
|
c) |
CONFIDENTIEL UE/EU CONFIDENTIAL: olyan adatok és anyagok, amelyeknek engedély nélküli hozzáférhetővé tétele sértheti az Európai Unió vagy egy vagy több tagállam alapvető érdekeit. |
|
d) |
RESTREINT UE/EU RESTRICTED: olyan adatok és anyagok, amelyeknek engedély nélküli hozzáférhetővé tétele hátrányosan érintheti az Európai Unió vagy egy vagy több tagállam alapvető érdekeit. |
(3) Az EU-minősített adatokat a (2) bekezdés szerinti biztonsági minősítési szintnek megfelelő jelöléssel kell ellátni. Az adatok ezenkívül tartalmazhatnak az érintett tevékenységi terület és a kibocsátó azonosítására, a terjesztés, valamint a felhasználás korlátozására vagy az átadhatóságra vonatkozó jelöléseket.
3. cikk
A minősítés szabályai
(1) Az EKSZ biztosítja az EU-minősített adatok megfelelő minősítését, minősített adatokként való egyértelmű azonosítását és azt, hogy minősítési szintjüket csak a szükséges ideig őrizzék meg.
(2) A kibocsátó előzetes írásbeli hozzájárulása nélkül nem lehet az EU-minősített adatokat visszaminősíteni vagy a minősítés alól feloldani, továbbá nem lehet azoknak a 2. cikk (3) bekezdésében említett jelöléseit módosítani vagy eltávolítani.
(3) Az EKSZ biztonsági hatósága az EKSZ Biztonsági Bizottságával folytatott konzultációt követően az e határozat 15. cikkének (5) bekezdésével összhangban jóváhagyja az EU-minősített adatok létrehozására vonatkozó biztonsági iránymutatásokat, amelyek gyakorlati minősítési útmutatót is tartalmaznak.
4. cikk
A minősített adatok védelme
(1) Az EU-minősített adatokat e határozattal összhangban kell védeni.
(2) Az EU-minősített adatok birtokosai felelősek az adatok e határozat szerinti védelméért.
(3) Amennyiben a tagállamok nemzeti minősítési jelöléssel ellátott minősített adatokat visznek be az EKSZ struktúráiba vagy hálózataiba, az EKSZ ezeket az adatokat az azonos szintű EU-minősített adatokra alkalmazandó előírásoknak megfelelően védi a biztonsági minősítések e határozat B. függelékében szereplő egyenértékűségi táblázatában foglaltak szerint.
Az EKSZ megfelelő eljárásokat alakít ki a következők kibocsátóira vonatkozó pontos nyilvántartás érdekében:
|
— |
az EKSZ-nek eljuttatott minősített adatok, valamint |
|
— |
az EKSZ által kibocsátott minősített adatokban felhasznált forrásanyagok. |
Az EKSZ Biztonsági Bizottsága tájékoztatást kap ezekről az eljárásokról.
(4) Nagy mennyiségű EU-minősített adat vagy ilyen adatok gyűjteménye az egyes adatelemek esetében szükségeshez képest magasabb minősítési szintnek megfelelő védelmet tehet indokolttá.
5. cikk
Személyi biztonság az EU-minősített adatok kezelésére vonatkozóan
(1) A személyi biztonság körébe olyan intézkedések alkalmazása tartozik, amelyek biztosítják, hogy csak azok a személyek kapjanak hozzáférést az EU-minősített adatokhoz,
|
— |
akiknek esetében a „szükséges ismeret” feltétele teljesül, |
|
— |
akik átestek a CONFIDENTIEL UE/EU CONFIDENTIAL vagy magasabb minősítési szintű információkhoz való hozzáféréshez szükséges megfelelő szintű biztonsági ellenőrzésen, vagy a nemzeti jogszabályokkal és rendelkezésekkel összhangban más módon, feladatkörüknél fogva megfelelő hozzáférési engedélyt kaptak, valamint |
|
— |
akiket tájékoztattak felelősségükről. |
(2) A személyi biztonsági tanúsítvánnyal (PSC) kapcsolatos eljárások során meg kell határozni, hogy egy adott személy számára – lojalitását, szavahihetőségét és megbízhatóságát figyelembe véve – engedélyezhető-e az EU-minősített adatokhoz való hozzáférés.
(3) Az EU-minősített adatokhoz való hozzáférés engedélyezését megelőzően, majd azt követően rendszeres időközönként minden egyes személyt tájékoztatni kell az EU-minősített adatok e határozat szerinti védelmével kapcsolatos felelősségéről, amelyet e személyeknek írásban kell tudomásul venniük.
(4) Az e cikk végrehajtására vonatkozó rendelkezéseket az A.I. melléklet tartalmazza.
6. cikk
Az EU-minősített adatok fizikai biztonsága
(1) A fizikai biztonság az EU-minősített adatokhoz való illetéktelen hozzáférés megakadályozását célzó fizikai és technikai védelmi intézkedések alkalmazása.
(2) A fizikai biztonsági intézkedések célja jogosulatlan személyek titokban történő vagy erőszakos behatolásának a megakadályozása, jogosulatlan cselekményektől való elrettentés, azok megakadályozása és észlelése, valamint a személyzet tagjainak megkülönböztetése az EU-minősített adatokhoz való hozzáférés tekintetében, a szükséges ismeret elve alapján. Ezeket az intézkedéseket kockázatkezelési eljárás alapján kell meghatározni.
(3) Fizikai biztonsági intézkedéseket kell bevezetni valamennyi helyiségben, épületben, irodában, teremben és egyéb területen, ahol EU-minősített adatokat kezelnek vagy tárolnak, ideértve azon területeket is, ahol az ezen határozat A. függelékében meghatározott kommunikációs és információs rendszereket tárolják.
(4) Az A.II. mellékletnek megfelelően biztonsági területként kell meghatározni és az EKSZ biztonsági hatóságának jóvá kell hagynia azokat a területeket, ahol CONFIDENTIEL UE/EU CONFIDENTIAL vagy magasabb minősítéssel rendelkező EU-minősített adatot tárolnak.
(5) A CONFIDENTIEL UE/EU CONFIDENTIAL vagy magasabb minősítési szintű EU-minősített adatok védelmére kizárólag jóváhagyott berendezés vagy eszköz használható fel.
(6) Az e cikk végrehajtására vonatkozó rendelkezéseket az A.II. melléklet tartalmazza.
7. cikk
A minősített adatok kezelése
(1) A minősített adatok kezelése az EU-minősített adatok teljes életcikluson keresztüli ellenőrzésére szolgáló adminisztratív intézkedések alkalmazása, amelyek kiegészíti az 5., 6. és 8. cikkben meghatározott intézkedéseket, és ezáltal hozzájárulnak az ilyen adatoknak a szándékosan vagy véletlenszerűen illetéktelenek tudomására jutásától vagy elvesztésétől való elrettentéshez, annak észleléséhez és a kár helyreállításához. Ezek az intézkedések különösen az EU-minősített adatok előállítására, nyilvántartásba vételére, másolására, fordítására, szállítására, kezelésére, tárolására és megsemmisítésére vonatkoznak.
(2) A CONFIDENTIEL UE/EU CONFIDENTIAL vagy magasabb szintű minősített adatokat továbbítás előtt és kézhezvételkor biztonsági célokból nyilvántartásba kell venni. Az EKSZ illetékes hatóságai gondoskodnak az erre a célra szolgáló nyilvántartási rendszer kiépítéséről. A TRES SECRET UE/EU TOP SECRET minősítésű adatokat erre kijelölt nyilvántartásokban rögzítik.
(3) Az EKSZ biztonsági hatósága rendszeresen ellenőrzi azokat a szerveket és helyiségeket, ahol EU-minősített adatokat kezelnek vagy tárolnak.
(4) Az EU-minősített adatoknak a szervek és helyiségek között történő, a fizikailag védett területeken kívüli továbbítása az alábbiak szerint történik:
|
a) |
az EU-minősített adatokat – főszabályként – az e határozat 7. cikke (5) bekezdésével összhangban jóváhagyott kriptográfiai termékekkel védett elektronikus úton és egyértelműen meghatározott biztonsági üzemeltetési eljárások (SecOp) szerint kell továbbítani; |
|
b) |
amennyiben nem használnak az a) pontban említett eszközöket, az EU-minősített adatok szállításának az alábbiak szerint kell történnie:
|
(5) Az e cikk végrehajtására vonatkozó rendelkezéseket az A.III. melléklet tartalmazza.
8. cikk
A kommunikációs és információs rendszerekben kezelt EU-minősített adatok védelme
(1) Az információvédelem a kommunikációs és információs rendszerek tekintetében azt jelenti, hogy az ilyen rendszerek megvédik az általuk kezelt adatokat, továbbá a szükséges módon, a szükséges időben, a jogszerű felhasználók ellenőrzése alatt működnek. A hatékony információvédelemnek biztosítania kell az adatok megfelelő bizalmasságát, sértetlenségét, rendelkezésre állását, letagadhatatlanságát és hitelességét. Az információvédelemnek kockázatkezelési eljáráson kell alapulnia.
(2) A CIS az információvédelem koncepciójával összhangban kezeli az EU-minősített adatokat.
(3) Az EU-minősített adatokat kezelő valamennyi CIS-t akkreditálni kell. Az akkreditáció célja annak biztosítása, hogy e határozattal összhangban minden megfelelő biztonsági intézkedés végrehajtásra kerüljön, valamint az EU-minősített adatok és a CIS megfelelő szintű védelemben részesüljön. Az akkreditációs nyilatkozatnak meg kell határoznia az adatoknak azt a megengedett legmagasabb minősítési szintjét, amelyet a CIS kezelhet, valamint a kapcsolódó feltételeket.
(4) A CONFIDENTIEL UE/EU CONFIDENTIAL vagy magasabb minősítési szintű adatokat kezelő CIS-ket olyan módon kell védeni, hogy az adatok bizalmassága nem szándékos elektromágneses kisugárzás következtében ne sérülhessen („TEMPEST biztonsági intézkedések”).
(5) Amennyiben az EU-minősített adatok védelmét kriptográfiai termékek biztosítják, e termékek jóváhagyásának e határozat 8. cikkének (5) bekezdésével összhangban kell történnie.
(6) EU-minősített adatok elektronikus eszközökkel történő továbbítása során jóváhagyott kriptográfiai termékeket kell használni. E követelmény ellenére vészhelyzet esetén vagy az A.IV. mellékletben meghatározott speciális technikai konfigurációk esetén különleges eljárások alkalmazhatók.
(7) E határozat 8. cikkének (6) bekezdése értelmében a következő információvédelmi funkciók jönnek létre, a szükséges mértékben:
|
a) |
információvédelmi hatóság; |
|
b) |
TEMPEST-hatóság; |
|
c) |
kriptográfiai jóváhagyó hatóság; |
|
d) |
kriptográfiai terjesztési hatóság. |
(8) E határozat 8. cikkének (7) bekezdése értelmében minden rendszer tekintetében létre kell hozni az alábbiakat:
|
a) |
biztonsági akkreditációs hatóság; |
|
b) |
információvédelmi üzemeltetési hatóság. |
(9) Az e cikk végrehajtására vonatkozó rendelkezéseket az A.IV. melléklet tartalmazza.
9. cikk
Iparbiztonság
(1) Az iparbiztonság olyan intézkedések alkalmazása, amelyek célja az EU-minősített adatok védelmének vállalkozók vagy alvállalkozók általi biztosítása a minősített szerződések megkötését megelőző tárgyalások és az ilyen szerződések teljes életciklusa során. Az ilyen szerződések – főszabályként – nem járhatnak TRES SECRET UE/EU TOP SECRET minősítésű adatokhoz való hozzáféréssel.
(2) Az EKSZ az EU-minősített adatokhoz való hozzáférést, illetve azok kezelését vagy tárolását magukban foglaló vagy azzal járó feladatokkal szerződés keretében olyan gazdálkodó vagy más szervezetet bízhat meg, amely valamely tagállamban vagy olyan harmadik államban van bejegyezve, amellyel az A. melléklet 10. cikkének (1) bekezdése szerinti adatbiztonsági megállapodást vagy igazgatási megállapodást kötött.
(3) Az EKSZ – mint szerződő hatóság – a minősített szerződések gazdálkodó vagy egyéb szervezetek részére történő odaítélésekor gondoskodik arról, hogy az iparbiztonságnak az e határozatban és a szerződésben foglalt minimumszabályait betartsák. Az ilyen minimumszabályok betartását az érintett nemzeti biztonsági hatóság/kijelölt biztonsági hatóság útján biztosítja.
(4) Egy tagállamban nyilvántartásba vett, minősített vállalkozói vagy alvállalkozói szerződésekben részt vevő vállalkozóknak vagy alvállalkozóknak, amelyeknek saját létesítményeikben CONFIDENTIEL UE/EU CONFIDENTIAL vagy SECRET UE/EU SECRET minősítésű adatokat kell kezelniük és tárolniuk, akár e szerződések teljesítése, akár a szerződéskötést megelőző szakaszban rendelkezniük kell az adott tagállam nemzeti biztonsági hatósága, kijelölt biztonsági hatósága vagy egyéb illetékes biztonsági hatósága által kibocsátott, megfelelő minősítési szintű telephelybiztonsági tanúsítvánnyal.
(5) A vállalkozók vagy alvállalkozók azon személyzetének, akinek a minősített szerződés teljesítéséhez CONFIDENTIEL UE/EU CONFIDENTIAL vagy SECRET UE/EU SECRET minősítésű adatokhoz való hozzáférésre van szüksége, rendelkeznie kell az adott nemzeti biztonsági hatóság, kijelölt biztonsági hatóság vagy bármely más illetékes biztonsági hatóság által a nemzeti jogszabályokkal és rendelkezésekkel, valamint az A.I. mellékletben foglalt biztonsági minimumszabályokkal összhangban kibocsátott személyi biztonsági tanúsítvánnyal (PSC).
(6) Az e cikk végrehajtására vonatkozó rendelkezéseket az A.V. melléklet tartalmazza.
10. cikk
Minősített adatok cseréje harmadik államokkal és nemzetközi szervezetekkel
(1) Az EKSZ csak abban az esetben oszthat meg EU-minősített adatokat harmadik állammal vagy nemzetközi szervezettel, ha:
|
a) |
az EU és az adott harmadik állam vagy nemzetközi szervezet között az EUSZ 37. cikkével és az EUMSZ 218. cikkével összhangban megkötött adatbiztonsági megállapodás van hatályban; vagy |
|
b) |
a főképviselő és az adott harmadik állam vagy nemzetközi szervezet illetékes hatósága között elvben legfeljebb RESTREINT UE/EU RESTRICTED minősítési szintű adatok megosztására vonatkozó, e határozat 15. cikkének (5) bekezdésével összhangban megkötött igazgatási megállapodás hatályba lépett; vagy |
|
c) |
az EU és az adott harmadik állam között egy válságkezelési KBVP-művelet összefüggésében az EUSZ 37. cikkével és az EUMSZ 218. cikkével összhangban megkötött, részvételről szóló keretmegállapodás vagy részvételről szóló ad hoc megállapodás alkalmazandó, és az ebben az eszközben előírt feltételek teljesülnek. A fenti főszabályra vonatkozó kivételeket az A.VI. melléklet V. szakasza tartalmazza. |
(2) A (1) bekezdés b) pontjában említett igazgatási megállapodásoknak rendelkezéseket kell tartalmazniuk annak biztosítása érdekében, hogy amennyiben harmadik állam vagy nemzetközi szervezet EU-minősített adatot kap, az ilyen adatot a minősítési szintjének és az e határozatban foglaltakkal legalább azonos szintű minimumszabályoknak megfelelő védelemben részesítsék.
Az (1) bekezdés c) pontjában említett megállapodások alapján megosztott adatokat e megállapodások alapján és azok rendelkezéseivel összhangban az olyan KBVP-műveletekre vonatkozó adatokra kell korlátozni, amelyekben a szóban forgó harmadik állam részt vesz.
(3) Ha ezt követően az Unió és a részt vevő harmadik állam vagy nemzetközi szervezet adatbiztonsági megállapodást köt, az adatbiztonsági megállapodás az EU-minősített adatok cseréje és kezelése tekintetében hatálytalanít minden részvételi keretmegállapodásban, ad hoc részvételi megállapodásban és ad hoc igazgatási megállapodásban megállapított, a minősített adatok megosztására vonatkozó rendelkezést.
(4) KBVP-művelet céljára előállított EU-minősített adatok az A.VI. melléklet 1–3. pontjával összhangban tehetők hozzáférhetővé a harmadik államok vagy nemzetközi szervezetek által az adott művelethez kirendelt személyi állomány számára. A KBVP-művelet helyszínén vagy CIS-ében az ilyen személyzet EU-minősített adatokhoz való hozzáférésének engedélyezésekor megfelelő intézkedéseket kell alkalmazni (beleértve a hozzáférhetővé tett EU-minősített adatok naplózását) az adatok elvesztése vagy illetéktelenek tudomására jutása kockázatának csökkentésére. Ezeket az intézkedéseket a megfelelő tervezési vagy missziós dokumentumokban kell meghatározni.
(5) A harmadik államokban vagy nemzetközi szervezeteknél az e határozat 17. cikkében említettek szerinti értékelő látogatásokat kell végezni a megosztott EU-minősített adatok védelmére bevezetett biztonsági intézkedések hatékonyságának megállapítása céljából.
(6) Az EKSZ birtokában lévő EU-minősített adatok harmadik állam vagy nemzetközi szervezet részére történő átadásáról eseti alapon kell dönteni, az adatok jellegétől és tartalmától, az átvevő számára szükséges ismerettől, valamint az EU számára jelentkező előnyök mértékétől függően.
Az EKSZ törekszik írásbeli hozzájárulást szerezni bármely olyan szervezettől, amely az EKSZ-nél keletkezett EU-minősítésű adatok forrásanyagaként minősített adatokat szolgáltatott, az átadással szembeni kifogások kizárása érdekében.
Ha az átadásra szánt minősített adat kibocsátója nem az EKSZ, akkor az EKSZ az adat átadása előtt írásbeli beleegyezést kér a kibocsátótól.
Ha azonban az EKSZ nem tudja azonosítani a kibocsátót, akkor az EKSZ biztonsági hatósága vállalja magára a kibocsátó felelősségét, miután megkapta az EKSZ Biztonsági Bizottságában képviselt tagállamok egyhangúlag kedvező véleményét.
(7) Az e cikk végrehajtására vonatkozó rendelkezéseket az A.VI. melléklet tartalmazza.
11. cikk
A biztonsági szabályok megsértése és a minősített adatok illetéktelenek tudomására jutása
(1) A biztonsági szabályok megsértését vagy annak gyanúját, illetve a minősített adatok illetéktelenek tudomására jutását vagy annak gyanúját minden esetben haladéktalanul jelenteni kell a székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatóságnak, amely adott esetben értesíti az érintett tagállamo(ka)t, illetve az egyéb érintett feleket.
(2) Amennyiben ismert vagy alapos okkal gyanítható a minősített adatok illetéktelenek tudomására jutása vagy elvesztése, a székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatóság tájékoztatja az érintett tagállam(ok) nemzeti biztonsági hatóságát, és a vonatkozó jogszabályokkal és rendelkezésekkel összhangban minden szükséges intézkedést megtesz:
|
a) |
a bizonyítékok megőrzésére; |
|
b) |
annak biztosítására, hogy a tények megállapítása érdekében az esetet olyan személyek vizsgálják ki, akiket közvetlenül nem érint a biztonsági szabályok megsértése vagy az adatok illetéktelenek tudomására jutása; |
|
c) |
a kibocsátó vagy bármely más érintett fél azonnali tájékoztatására; |
|
d) |
az ismételt előfordulás megelőzésére; |
|
e) |
az Unió vagy a tagállamok érdekei tekintetében okozott esetleges károk felmérésére; valamint |
|
f) |
a megfelelő hatóságok értesítésére az adatok illetéktelenek tudomására jutásának tényleges vagy feltételezett esetével járó hatásokról és a megtett lépésekről. |
(3) Az EKSZ felelőssége alá tartozó személyzet e határozatban megállapított biztonsági szabályokat megsértő tagja a vonatkozó szabályok és rendelkezések szerint fegyelmi eljárás alá vonható.
A minősített adatok illetéktelenek tudomására jutásáért vagy elvesztéséért felelős bármely személy a vonatkozó jogszabályok és rendelkezések szerint fegyelmi és/vagy jogi eljárás alá vonható.
(4) A biztonsági szabályok megsértésével és/vagy illetéktelenek tudomására jutásával kapcsolatos vizsgálatok alatt a székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatóság vezetője felfüggesztheti az adott személy hozzáférését az EU-minősített adatokhoz és EKSZ helyiségeihez. E döntésről haladéktalanul tájékoztatni kell a Bizottság Humánerőforrásügyi és Biztonsági Főigazgatóságának Biztonsági Igazgatóságát, a Tanács Főtitkárságának Biztonsági Hivatalát vagy az érintett tagállam(ok) nemzeti biztonsági hatóságát, illetve más érintett szervezeteket.
A.I. MELLÉKLET
SZEMÉLYI BIZTONSÁG
I. BEVEZETÉS
|
1. |
Ez a melléklet az A. melléklet 5. cikkének végrehajtására vonatkozó rendelkezéseket határoz meg. Konkrétan az EKSZ által annak meghatározására alkalmazandó kritériumokat állapítja meg, hogy egy adott személy – lojalitását, szavahihetőségét és megbízhatóságát figyelembe véve – engedélyt kaphat-e EU-minősített adatokhoz való hozzáférésre, és tartalmazza az e célból követendő vizsgálati és adminisztratív eljárásokat. |
|
2. |
Az EU-minősített adatokhoz való hozzáféréshez szükséges „személyi biztonsági tanúsítvány (PSC)” a valamely tagállam illetékes hatóságai által elvégzett biztonsági ellenőrzést követően a tagállam valamely illetékes hatósága által tett nyilatkozat, amely tanúsítja, hogy egy adott személy részére – amennyiben a szükséges ismeret feltétele teljesül – meghatározott (CONFIDENTIEL UE/EU CONFIDENTIAL vagy magasabb) szintig és meghatározott időpontig hozzáférés biztosítható EU-minősített adatokhoz; a fentieknek megfelelő személy „biztonsági ellenőrzésen átesett” személynek minősül. |
|
3. |
A „személyi biztonsági tanúsítványról szóló igazolás” (PSCC) az EKSZ biztonsági hatósága által kiadott igazolás, amely tartalmazza, hogy az adott személy biztonsági ellenőrzésen átesett, továbbá azt, hogy milyen szintű EU-minősített adatokhoz férhet hozzá, valamint a vonatkozó PSC érvényességi idejét és a tanúsítvány lejártának időpontját. |
|
4. |
Az „EU-minősített adatokhoz való hozzáférés engedélyezése” az EKSZ biztonsági hatósága által e határozattal összhangban, a PSC tagállami illetékes hatóságai általi kiadását követően megadott engedély, amely tanúsítja, hogy egy adott személy részére – amennyiben a szükséges ismeret feltétele teljesül – meghatározott (CONFIDENTIEL UE/EU CONFIDENTIAL vagy magasabb) szintig és meghatározott időpontig hozzáférés biztosítható az EU-minősített adatokhoz; a fentieknek megfelelő személy „biztonsági ellenőrzésen átesett” személynek minősül. |
II. AZ EU-MINŐSÍTETT ADATOKHOZ VALÓ HOZZÁFÉRÉS ENGEDÉLYEZÉSE
|
5. |
A RESTREINT UE/EU RESTRICTED minősítésű adatokhoz való hozzáférés esetében nem kötelező a személyi biztonsági tanúsítvány, és a hozzáférést megadják, ha:
|
|
6. |
Egy adott személy számára csak akkor engedélyezhető a CONFIDENTIEL UE/EU CONFIDENTIAL vagy magasabb minősítési szintű adatokhoz való hozzáférés, ha:
|
|
7. |
Az EKSZ meghatározza szervezeti felépítésében azokat a beosztásokat, amelyek CONFIDENTIEL UE/EU CONFIDENTIAL vagy magasabb szintű minősített adathoz való hozzáférést tesznek szükségessé, és ezért megfelelő szintű PSC-t igényelnek a fenti 4. ponttal összhangban. |
|
8. |
Az EKSZ személyzetének nyilatkoznia kell arról, hogy egynél több ország állampolgárságával rendelkezik-e. |
A PSC iránti kérelemmel kapcsolatos eljárások az EKSZ-ben
|
9. |
Az EKSZ személyzete tekintetében az EKSZ biztonsági hatósága küldi el a kitöltött személyi biztonsági kérdőívet az érintett személy állampolgársága szerinti tagállam nemzeti biztonsági hatóságának, és kéri, hogy végezzenek olyan minősítési szintű biztonsági ellenőrzést, amilyen szintű EU-minősített adatokhoz az érintett személynek hozzá kell férnie. |
|
10. |
Amennyiben az adott személy több mint egy ország állampolgárságával rendelkezik, az átvilágításra irányuló kérelmet annak az országnak a nemzeti biztonsági hatóságához intézik, amelynek állampolgáraként az adott személyt felvették. |
|
11. |
Amennyiben olyan személy biztonsági ellenőrzésével kapcsolatos releváns információ jut az EKSZ tudomására, aki PSC-ért folyamodott, az EKSZ a vonatkozó szabályokkal és rendelkezésekkel összhangban értesíti erről az érintett nemzeti biztonsági hatóságot. |
|
12. |
A biztonsági ellenőrzés elvégzését követően az érintett nemzeti biztonsági hatóságnak értesítenie kell az EKSZ-nek a székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatóságát a vizsgálat eredményéről.
|
|
13. |
A biztonsági ellenőrzésre és a kapott eredményekre – amelyekre az EKSZ biztonsági hatósága azon döntését alapozza, hogy engedélyezi-e vagy sem az EU-minősített adatokhoz való hozzáférést – az érintett tagállamban hatályos megfelelő jogszabályok és rendelkezések vonatkoznak, beleértve a jogorvoslattal kapcsolatos rendelkezéseket is. Az EKSZ biztonsági hatóságának határozatai ellen a személyzeti szabályzat 90. és 91. cikkében meghatározott feltételek szerint lehet fellebbezni. |
|
14. |
A PSC az érintett által az EKSZ-ben, a Tanács Főtitkárságán vagy a Bizottságban végzett valamennyi feladat tekintetében érvényes, amennyiben az annak alapját képező vizsgálat megállapításai továbbra is érvényesek. |
|
15. |
Az EKSZ elfogadja a más uniós intézmény, szerv vagy hivatal által az EU-minősített adatokhoz való hozzáférést lehetővé tevő engedélyt, feltéve, hogy az továbbra is érvényes. Az engedély az érintett személy által az EKSZ-ben végzett valamennyi feladata tekintetében érvényes. Az érintett személyt alkalmazó európai uniós intézmény, szerv vagy hivatal értesíti a megfelelő nemzeti biztonsági hatóságot a munkáltató megváltozásáról. |
|
16. |
Amennyiben az adott személy szolgálati jogviszonya a biztonsági ellenőrzés eredményéről az EKSZ biztonsági hatóságának küldött értesítés dátumától számított 12 hónapon belül nem kezdődik meg, vagy amennyiben a szolgálati jogviszony 12 hónapig vagy annál hosszabb ideig szünetel, és ez idő alatt a személy nem áll alkalmazásban az EKSZ-nél, más uniós intézménynél, hivatalnál vagy szervnél vagy valamely tagállam olyan nemzeti közigazgatási szervénél, ahol szükség van minősített adatokhoz való hozzáférésre, az érintett nemzeti biztonsági hatóságtól kell kérni annak megerősítését, hogy az eredmény továbbra is érvényes és megfelelő. |
|
17. |
Amennyiben olyan információ jut az EKSZ tudomására, hogy egy érvényes PSC-vel rendelkező személy biztonsági kockázatot jelent, az EKSZ a vonatkozó szabályokkal és rendelkezésekkel összhangban értesíti erről az érintett nemzeti biztonsági hatóságot, és felfüggesztheti az EU-minősített adatokhoz való hozzáférést vagy visszavonhatja az ezt lehetővé tevő engedélyt. Ha valamely nemzeti biztonsági hatóság olyan személyre vonatkozó, a 12. pont a) alpontjával összhangban tett megállapítás visszavonásáról értesíti az EKSZ-t, aki érvényes engedéllyel rendelkezik az EU-minősített adatokhoz való hozzáférésre, az EKSZ biztonsági hatósága felkérheti az illetékes nemzeti biztonsági hatóságot, hogy ha a nemzeti jogszabályok és rendelkezések alapján módjában áll, adjon további felvilágosítást. Ha a kedvezőtlen információkat megerősítik, a fent említett engedélyt vissza kell vonni, és a személyt ki kell zárni az EU-minősített adatokhoz való hozzáférésből, valamint azokból a beosztásokból, amelyekben az ilyen hozzáférés lehetséges, vagy amelyekben a személy a biztonságot veszélyeztetheti. |
|
18. |
Az EU-minősített adatokhoz való hozzáférésre vonatkozó engedélynek az EKSZ-személyzet tagjától való visszavonásáról szóló határozatot és adott esetben annak indokait közölni kell az érintett személlyel, aki kérheti az EKSZ biztonsági hatósága általi meghallgatását. A nemzeti biztonsági hatóságok által rendelkezésre bocsátott információkra az adott tagállamban hatályos megfelelő jogszabályoknak és rendelkezéseknek kell vonatkozniuk, beleértve a jogorvoslattal kapcsolatos rendelkezéseket is. Az EKSZ biztonsági hatóságának határozatai ellen a személyzeti szabályzat 90. és 91. cikkében meghatározott feltételek szerint lehet fellebbezni. |
|
19. |
Az EKSZ-hez CONFIDENTIEL UE/EU CONFIDENTIAL vagy magasabb minősítési szintű adatokhoz való hozzáférést igénylő beosztásba kirendelt nemzeti szakértőknek tevékenységük megkezdését megelőzően a megfelelő szintű EU-minősített adathoz való hozzáféréshez szükséges, érvényes PSC-t kell benyújtaniuk az EKSZ biztonsági hatóságához. A fenti eljárást a küldő tagállam folytatja le. |
A személyi biztonsági tanúsítványok nyilvántartása
|
20. |
Az EKSZ-nek a székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatósága nyilvántartást vezet a felelőssége alá tartozó személyzet és a vele szerződéses jogviszonyban álló vállalkozók személyzete biztonsági tanúsítványának állapotáról. E nyilvántartásnak tartalmaznia kell azon EU-minősített adatok minősítési szintjét (CONFIDENTIEL UE/EU CONFIDENTIAL vagy magasabb), amelyhez az adott személy részére hozzáférés biztosítható, valamint a PSC kibocsátásának dátumát és érvényességének időtartamát. |
|
21. |
Megfelelő koordinációs eljárásokat kell bevezetni a tagállamokkal és más uniós intézményekkel, hivatalokkal és szervekkel annak biztosítása érdekében, hogy az EKSZ pontos és átfogó nyilvántartást vezessen a felelőssége alá tartozó személyzet és a vele szerződéses jogviszonyban álló vállalkozók személyzete biztonsági tanúsítványának állapotáról. |
|
22. |
Az EKSZ biztonsági hatósága személyi biztonsági tanúsítványról szóló igazolást (PSCC) adhat ki, amely tartalmazza, hogy az adott személy milyen szintű EU-minősített adatokhoz rendelkezik hozzáféréssel (CONFIDENTIEL UE/EU CONFIDENTIAL vagy magasabb), valamint tartalmazza a vonatkozó PSC vagy engedély érvényességi idejét és a tanúsítvány lejáratának időpontját. |
Mentességek a PSC-re vonatkozó követelmények alól
|
23. |
A feladatkörüknél fogva az EU-minősített adatokhoz való hozzáférésre a nemzeti jogszabályokkal és rendelkezésekkel összhangban megfelelően felhatalmazott személyeket a székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatóság adott esetben tájékoztatja az EU-minősített adatok védelmével kapcsolatos biztonsági kötelezettségeikről. |
III. BIZTONSÁGI OKTATÁS ÉS TUDATOSSÁG
|
24. |
Az EU-minősített adatokhoz való hozzáférés engedélyezése előtt valamennyi személynek írásban nyilatkoznia kell arról, hogy megértette az EU-minősített adatok védelmével kapcsolatos kötelezettségeit, valamint az EU-minősített adatok illetéktelen személy tudomására jutásának következményeit. Az ilyen írásbeli nyilatkozatokról a székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatóságnak nyilvántartást kell vezetnie. |
|
25. |
Mindazon személyekben, akik engedéllyel rendelkeznek EU-minősített adatokhoz való hozzáférésre, vagy akiknek ilyen adatokat kell kezelniük, kezdetben, majd később rendszeres időközönként tudatosítani kell a biztonságot fenyegető veszélyeket, és e személyeknek haladéktalanul jelenteniük kell a megfelelő osztály/küldöttség biztonsági koordinátorának, valamint a székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatóságnak az általuk gyanúsnak vagy szokatlannak ítélt közeledést vagy tevékenységet. |
|
26. |
Mindazon személyek tekintetében, akik számára engedélyezték az EU-minősített adatokhoz való hozzáférést, folyamatos személyi biztonsági ellenőrzéseket kell végezni (utógondozás) az EU-minősített adatok kezelésének ideje alatt. A folyamatos személyi biztonsági ellenőrzés a következők felelősségi körébe tartozik:
|
|
27. |
Bármely személyben, akit nem alkalmaznak tovább az EU-minősített adatokhoz való hozzáférést megkövetelő feladatok ellátására, tudatosítani kell az EU-minősített adatok folyamatos védelmével kapcsolatos kötelezettségét, és adott esetben az érintett személyeknek erről írásbeli nyilatkozatot kell tenniük. |
IV. RENDKÍVÜLI KÖRÜLMÉNYEK
|
28. |
Az EKSZ biztonsági hatósága – sürgős esetben, amennyiben azt az EKSZ érdekei kellően indokolják, és a teljes biztonsági ellenőrzés lezárulásáig az érintett állampolgársága szerinti tagállam nemzeti biztonsági hatóságával folytatott konzultációt követően, valamint a kizáró tényezők hiányát kereső első vizsgálatok eredményére is figyelemmel – meghatározott feladat tekintetében ideiglenesen engedélyt adhat az EKSZ tisztviselőinek és egyéb alkalmazottainak EU-minősített adatokhoz való hozzáférésre. A teljes biztonsági ellenőrzést a lehető leghamarabb el kell végezni. Az ideiglenes engedély érvényességének időtartama legfeljebb hat hónap lehet, és nem teheti lehetővé a TRES SECRET UE/EU TOP SECRET minősítésű adatokhoz való hozzáférést. Minden ideiglenes engedéllyel rendelkező személynek írásban nyilatkoznia kell arról, hogy megértette az EU-minősített adatok védelmével kapcsolatos kötelezettségeit, valamint az EU-minősített adatok illetéktelenek tudomására jutásának következményeit. Az ilyen írásbeli nyilatkozatokról a székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatóságnak nyilvántartást kell vezetnie. |
|
29. |
Amennyiben egy adott személyt olyan beosztásba készülnek kinevezni, amelyhez az érintett által jelenleg birtokoltnál eggyel magasabb szintű személyi biztonsági tanúsítvány szükséges, a kinevezés ideiglenes jelleggel végrehajtható, amennyiben:
|
|
30. |
A fenti eljárás az annál eggyel magasabb szintű EU-minősített adatokhoz való hozzáférés megadására alkalmazandó, mint amilyen szintre vonatkozóan a személy biztonsági ellenőrzését elvégezték. Ez az eljárás nem alkalmazható ismétlődő jelleggel. |
|
31. |
Különösen kivételes körülmények között – például ellenséges környezetben végrehajtott kiküldetések során vagy növekvő nemzetközi feszültség idején, amennyiben a sürgősségi intézkedések ezt megkívánják, különösen életmentés céljából – a főképviselő, az EKSZ biztonsági hatósága vagy az erőforrás-gazdálkodásért felelős főigazgató lehetőség szerint írásban hozzáférést adhat CONFIDENTIEL UE/EU CONFIDENTIAL vagy SECRET UE/EU SECRET minősítésű adatokhoz olyan személyek számára, akik nem rendelkeznek a szükséges PSC-vel, feltéve, hogy ez az engedély feltétlenül szükséges. A megadott engedélyt a biztonságért és az EKSZ információbiztonságáért felelős igazgatóságnak nyilvántartásba kell vennie, és fel kell jegyeznie, hogy milyen adatokhoz adtak hozzáférést. |
|
32. |
A TRES SECRET UE/EU TOP SECRET minősítésű adat esetében az ilyen sürgősségi hozzáférést olyan uniós polgárokra kell korlátozni, akik a TRES SECRET UE/EU TOP SECRET szint nemzeti megfelelőjéhez vagy SECRET UE/EU SECRET minősítésű adatokhoz hozzáféréssel rendelkeznek. |
|
33. |
A EKSZ Biztonsági Bizottságát tájékoztatni kell azon esetekről, amikor a 31. és a 32. pontban foglalt eljárást ismétlődő jelleggel alkalmazzák. |
|
34. |
Az EKSZ Biztonsági Bizottsága részére éves jelentést kell készíteni az e szakaszban meghatározott eljárások alkalmazásáról. |
V. AZ EKSZ SZÉKHELYÉN ÉS AZ UNIÓ KÜLDÖTTSÉGEIN TARTOTT ÜLÉSEKEN VALÓ RÉSZVÉTEL
|
35. |
Az EKSZ székhelyén és az Unió küldöttségein tartott, CONFIDENTIEL UE/EU CONFIDENTIAL vagy magasabb minősítési szintű adatokat tárgyaló üléseken való részvétellel megbízott személyek csak a PSC-jük állapotának megerősítését követően vehetnek részt. A tagállamok képviselői, a Tanács Főtitkársága és a Bizottság tisztviselői esetében a PSCC-t vagy a PSC egyéb bizonyítékát a megfelelő hatóságoknak továbbítaniuk kell a székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatóságnak, az Unió küldöttsége biztonsági koordinátorának vagy azt kivételes esetben az érintett személy is benyújthatja. Adott esetben összesített névjegyzék használható, amely a PSC meglétét bizonyítja. |
|
36. |
Amennyiben az EU-minősített adatokhoz való hozzáféréshez szükséges PSC-t visszavonják egy olyan személytől, akinek feladatai megkövetelik az EKSZ székhelyén vagy az Unió küldöttségein tartott, CONFIDENTIEL UE/EU CONFIDENTIAL vagy magasabb minősítési szintű adatokat tárgyaló üléseken való részvételt, az illetékes hatóság tájékoztatja erről a székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatóságot. |
VI. AZ EU-MINŐSÍTETT ADATOKHOZ VALÓ POTENCIÁLIS HOZZÁFÉRÉS
|
37. |
Amennyiben egyes személyeket olyan körülmények között alkalmaznak, amelyek között potenciálisan hozzáférhetnek CONFIDENTIEL UE/EU CONFIDENTIAL vagy magasabb minősítési szintű adatokhoz, e személyeknek megfelelő biztonsági ellenőrzésen kell átesniük, vagy állandó kíséretet kell biztosítani számukra. |
|
38. |
A futároknak, a biztonsági őröknek és a kísérőknek megfelelő szintű biztonsági ellenőrzésen, vagy a nemzeti jogszabályoknak és rendelkezéseknek megfelelő egyéb vizsgálaton kell átesniük, rendszeres időközönként tájékoztatni kell őket az EU-minősített adatok védelmére szolgáló biztonsági eljárásokról és az olyan minősített adatok védelmét érintő feladataikról, amelyeket rájuk bíztak vagy amelyekhez véletlen folytán hozzáférhetnek. |
A.II. MELLÉKLET
AZ EU-MINŐSÍTETT ADATOK FIZIKAI BIZTONSÁGA
I. BEVEZETÉS
|
1. |
Ez a melléklet az A. melléklet 6. cikkének végrehajtására vonatkozó rendelkezéseket határoz meg. Megállapítja az olyan helyiségek, épületek, irodák, termek és egyéb területek – többek között a kommunikációs és információs rendszernek helyet adó területek – fizikai védelmének minimumkövetelményeit, ahol EU-minősített adatokat kezelnek és tárolnak. |
|
2. |
A fizikai biztonsági intézkedések célja az EU-minősített adatokhoz való jogosulatlan hozzáférés megakadályozása az alábbiak révén:
|
II. FIZIKAI BIZTONSÁGI KÖVETELMÉNYEK ÉS INTÉZKEDÉSEK
|
3. |
Az EKSZ kockázatkezelési eljárást alkalmaz az EU-minősített adatoknak a saját helyiségein belüli védelmére, a becsült kockázattal arányos mértékű fizikai védelem biztosítása érdekében. A kockázatkezelési folyamatnak figyelembe kell vennie az összes vonatkozó tényezőt, különösen az alábbiakat:
|
|
4. |
Az EKSZ biztonsági hatósága a mélységi védelem elvének alkalmazásával meghatározza a végrehajtandó fizikai biztonsági intézkedések megfelelő kombinációját. Ezek közé az alábbiakban felsoroltak közül egy vagy több tartozhat:
|
|
5. |
A székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatóság a be- és kiléptetéskor átvizsgálást végezhet a nem engedélyezett anyagok bevitelétől vagy EU-minősített adatoknak a helyiségből vagy épületből történő engedély nélküli kivitelétől való elrettentés céljából. |
|
6. |
Amennyiben EU-minősített adatokat – akár véletlenszerűen is – rálátás veszélye fenyeget, megfelelő intézkedéseket kell hozni e veszély kivédésére. |
|
7. |
Az új létesítmények esetében a fizikai biztonsági követelményeket és azok funkcionális jellemzőit már a létesítmények tervezése során meg kell határozni. A már meglevő létesítmény esetében a fizikai biztonsági követelményeket a lehető legteljesebb mértékben meg kell valósítani. |
III. AZ EU-MINŐSÍTETT ADATOK FIZIKAI VÉDELMÉRE SZOLGÁLÓ FELSZERELÉSEK
|
8. |
Az EU-minősített adatok fizikai védelmét szolgáló felszerelések (például biztonsági tárolóeszközök, iratmegsemmisítő gépek, ajtózárak, elektronikus beléptető rendszerek, behatolásjelző rendszerek, riasztórendszerek) beszerzésekor az EKSZ biztonsági hatósága biztosítja, hogy a felszerelések megfeleljenek a jóváhagyott műszaki szabványoknak és minimumkövetelményeknek. |
|
9. |
Az EU-minősített adatok fizikai védelmét szolgáló felszerelések műszaki jellemzőit az EKSZ Biztonsági Bizottsága által jóváhagyandó biztonsági iránymutatások tartalmazzák. |
|
10. |
A biztonsági rendszereket rendszeres időközönként ellenőrizni kell, a felszereléseket pedig rendszeresen karban kell tartani. A karbantartás során figyelembe kell venni az ellenőrzések eredményét annak biztosítása érdekében, hogy a felszerelések továbbra is a lehető leghatékonyabban működjenek. |
|
11. |
Az egyes biztonsági intézkedések és a teljes biztonsági rendszer hatékonyságát minden ellenőrzés során újra kell értékelni. |
IV. FIZIKAI VÉDELEMBEN RÉSZESÜLŐ TERÜLETEK
|
12. |
Az EU-minősített adatok fizikai védelmére két típusú, fizikai védelemben részesülő terület – vagy azok nemzeti megfelelői – kerül megállapításra:
|
|
13. |
Az EKSZ biztonsági hatósága megállapítja, hogy az adott terület megfelel-e az igazgatási területként, biztonsági területként, technikailag biztosított biztonsági területként való kijelölés követelményeinek. |
|
14. |
Az igazgatási területek esetében:
|
|
15. |
A biztonsági területek esetében:
|
|
16. |
Amennyiben a biztosított területre való belépés az ott található minősített adatokhoz való közvetlen – bármilyen gyakorlati célt szolgáló – hozzáférést tesz lehetővé, az alábbi kiegészítő követelmények alkalmazandók:
|
|
17. |
A lehallgatás ellen védett biztonsági területek a technikailag biztosított biztonsági terület megjelölést kapják. E területekre a következő kiegészítő követelmények alkalmazandók:
|
|
18. |
A 17. pont d) alpontja ellenére minden kommunikációs, elektromos vagy elektronikus berendezést – mielőtt olyan területen használnák őket, ahol SECRET UE/EU SECRET vagy magasabb minősítési szintű adatokat érintő üléseket tartanak vagy munkát végeznek, valamint ahol az EU-minősített adatot fenyegető, nagy kockázatúnak értékelt veszély esetén – először a székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatóságon belül működő, a műszaki biztonsági ellenintézkedésekkel (Technical Security Counter Measures – TSCM) foglalkozó csoportnak meg kell vizsgálnia annak biztosítása érdekében, hogy ilyen berendezés révén véletlenül vagy tiltott módon ne közvetíthessenek értelmezhető adatokat az adott biztosított területen kívülre. |
|
19. |
Azokat a biztosított területeket, ahol nem tartózkodik napi 24 órán át munkavégző személyzet, adott esetben a rendes munkaidő végén ellenőrizni, valamint a rendes munkaidőn kívül szúrópróbaszerűen ellenőrizni kell, amennyiben az említett területeken nem működik behatolásjelző rendszer. |
|
20. |
Biztonsági területeket és technikailag biztosított biztonsági területeket ideiglenesen is fel lehet állítani valamely igazgatási területen belül, minősített üléshez vagy más hasonló célból. |
|
21. |
Minden egyes biztonsági terület tekintetében ki kell dolgozni a biztonsági szabályzatot, amely az alábbiakat tartalmazza:
|
|
22. |
A biztonsági területeken szükség esetén megerősített helyiségeket kell kialakítani. Az EKSZ biztonsági hatósága jóváhagyja a falakat, padlókat, plafonokat, ablakokat és zárható ajtókat, amelyeknek az ugyanilyen minősítési szintű EU-minősített adat tárolására jóváhagyott biztonsági tárolóeszköz által nyújtottal egyenértékű védelmet kell biztosítaniuk. |
V. AZ EU-MINŐSÍTETT ADAT KEZELÉSÉRE ÉS TÁROLÁSÁRA VONATKOZÓ FIZIKAI VÉDELMI INTÉZKEDÉSEK
|
23. |
A RESTREINT UE/EU RESTRICTED minősítésű EU-minősített adatokat az alábbi helyeken lehet kezelni:
|
|
24. |
A RESTREINT UE/EU RESTRICTED minősítésű EU-minősített adatokat megfelelően zárható irodabútorokban kell tárolni igazgatási vagy biztosított területen. Ideiglenesen biztosított területen vagy igazgatási területen kívül is lehet tárolni, amennyiben az adat birtokosa vállalta, hogy eleget tesz az EKSZ biztonsági hatósága által kiadott biztonsági utasításokban foglalt kiegészítő intézkedéseknek. |
|
25. |
A CONFIDENTIEL UE/EU CONFIDENTIAL vagy SECRET UE/EU SECRET minősítésű EU-minősített adatokat az alábbi helyeken lehet kezelni:
|
|
26. |
A CONFIDENTIEL UE/EU CONFIDENTIAL és SECRET UE/EU SECRET minősítésű adatot biztonsági területen belül kell tárolni biztonsági tárolóeszközben vagy megerősített helyiségben. |
|
27. |
A TRES SECRET UE/EU TOP SECRET minősítésű adatokat biztonsági területen kell kezelni. |
|
28. |
A TRES SECRET UE/EU TOP SECRET minősítésű EU-minősített adatokat a székhely biztonsági területén az alábbi módok valamelyike szerint kell tárolni:
|
|
29. |
Az EU-minősített adatok fizikailag védett területeken kívüli szállítására vonatkozó szabályokat az A.III. melléklet tartalmazza. |
VI. AZ EU-MINŐSÍTETT ADATOK VÉDELMÉRE SZOLGÁLÓ KULCSOK ÉS KOMBINÁCIÓK ELLENŐRZÉSE
|
30. |
Az EKSZ biztonsági hatósága meghatározza az EKSZ helyiségein belüli irodák, termek, megerősített helyiségek és biztonsági tárolóeszközök kulcsainak és kombinációinak kezelésére vonatkozó eljárásokat. Ezeknek az eljárásoknak védelmet kell biztosítaniuk a jogosulatlan hozzáféréssel szemben. |
|
31. |
A kombinációkat kívülről meg kell tanulnia annak a lehető legkisebb számú személyzetnek, akinek azokat ismernie kell. Az EU-minősített adatok tárolására szolgáló biztonsági tárolóeszközök és megerősített helyiségek kombinációit az alábbi esetekben meg kell változtatni:
|
III.A. MELLÉKLET
A MINŐSÍTETT ADATOK KEZELÉSE
I. BEVEZETÉS
|
1. |
Ez a melléklet az A. melléklet 7. cikkének végrehajtására vonatkozó rendelkezéseket határoz meg. Megállapítja az EU-minősített adat teljes életciklusán keresztüli ellenőrzésére szolgáló adminisztratív intézkedéseket az ilyen adat – szándékos vagy véletlenszerű módon – illetéktelenek tudomására jutásától vagy elvesztésétől való elrettentéshez, annak észleléséhez és a kár helyreállításához való hozzájárulás érdekében. |
II. A MINŐSÍTÉS SZABÁLYAI
Minősítések és jelölések
|
2. |
Az adatokat akkor kell minősíteni, ha a titkosságuk biztosításához védelemre van szükségük. |
|
3. |
Az EU-minősített adatok minősítési szintjének a megfelelő minősítési útmutató szerinti meghatározásáért, a megfelelő minősítési jelölés alkalmazásáért, az adatoknak a tervezett címzettekhez történő továbbításának meghatározásáért és a kiadhatóságra vonatkozó megfelelő jelölések alkalmazásáért – az EKSZ vonatkozó, az EU-minősített adatok létrehozására és kezelésére vonatkozó iránymutatásaival összhangban – az adat kibocsátójának kell felelnie. |
|
4. |
Az EU-minősített adatok minősítési szintjét az A. melléklet 2. cikkének (2) bekezdésével összhangban, valamint az A. melléklet 3. cikkének (3) bekezdésével összhangban jóváhagyott [...] biztonsági iránymutatásokra hivatkozással kell meghatározni. |
|
5. |
A tagállamok EKSZ-szel megosztott minősített adatai számára ugyanolyan szintű védelmet kell biztosítani, mint az egyenértékű minősítésű EU-minősített adatok számára. E határozat B. függelékében egyenértékűségi táblázat található. |
|
6. |
A minősítést – és adott esetben azon időpontot vagy konkrét eseményt, amelyet követően a minősített adat visszaminősíthető vagy a minősítés megszüntethető – egyértelműen és helyesen fel kell tüntetni, tekintet nélkül arra, hogy az EU-minősített adat papír, szóbeli, elektronikus vagy egyéb formájú. |
|
7. |
Egy adott dokumentum egyes részei (például oldalai, bekezdései, szakaszai, mellékletei, függelékei, toldalékai és csatolmányai) eltérő minősítést igényelhetnek, és ennek megfelelő jelölést kell kapniuk, többek között az elektronikus formában történő tárolásuk alkalmával. |
|
8. |
A különböző minősítési szintű részeket tartalmazó dokumentumokat lehetőség szerint úgy kell szerkeszteni, hogy az eltérő minősítésű részek könnyen felismerhetők és szükség esetén leválaszthatók legyenek. |
|
9. |
A dokumentum vagy a fájl egészének a legmagasabb minősítési szintű rész minősítését kell kapnia. Ha egy dokumentumot különböző forrásokból származó adatokból állítanak össze, a kész anyagot a minősítési szint meghatározása céljából át kell nézni, mivel összességében magasabb szintű minősítést igényelhet, mint egyes részei külön-külön. |
|
10. |
A mellékleteket kísérő levélnek vagy feljegyzésnek ugyanolyan minősítést kell kapnia, mint a legmagasabb minősítési szintű mellékletének. A kibocsátónak megfelelő jelöléssel egyértelműen jeleznie kell, hogy a kísérő levél vagy feljegyzés milyen szintű minősítést kap, ha a mellékleteitől elválasztják, például a következő formában: |
CONFIDENTIEL UE/EU CONFIDENTIAL A RESTREINT UE/EU RESTRICTED minősítésű melléklet(ek) nélkül
Jelölések
|
11. |
Az A. melléklet 2. cikkének (2) bekezdésében meghatározott minősítési jelölések mellett az EU-minősített adatok további jelölésekkel láthatók el, úgymint:
|
|
12. |
Az EU-minősített adatok harmadik állam vagy nemzetközi szervezet részére történő átadására vonatkozó döntést követően a székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatóság továbbítja az érintett minősített adatokat, amelyeken szerepel az átvevő harmadik államot vagy nemzetközi szervezetet feltüntető, kiadhatóságra jogosító jelölés is. |
|
13. |
Az EKSZ biztonsági hatósága el fogja fogadni az engedélyezett jelölések listáját. |
Rövidített minősítési jelölések
|
14. |
Egy adott szöveg egyes bekezdései minősítési szintjének jelölésére egységes rövidített minősítési jelölések használhatók. A rövidítések nem helyettesíthetik a teljesen kiírt minősítési jelöléseket. |
|
15. |
Az EU-minősített dokumentumokon belül a szöveg egy oldalnál kisebb terjedelmű szakaszainak vagy részeinek minősítési szintje a következő egységes rövidítésekkel jelölhető:
|
EU-minősített adatok létrehozása
|
16. |
EU-minősített dokumentum létrehozásakor:
|
|
17. |
Amennyiben az EU-minősített adatokra a 16. pont nem alkalmazható, az e határozat értelmében kialakított [...] biztonsági iránymutatásoknak megfelelő egyéb intézkedéseket kell hozni. |
EU-minősített adatok visszaminősítése és a minősítés megszüntetése
|
18. |
Az adat létrehozásakor – amennyiben lehetséges és különösen RESTREINT UE/EU RESTRICTED minősítésű adat esetén – a kibocsátónak jelölnie kell, hogy adott időpontban vagy konkrét eseményt követően az EU-minősített adat visszaminősíthető-e vagy minősítése megszüntethető-e. |
|
19. |
Az EKSZ rendszeresen felülvizsgálja az általa őrzött EU-minősített adatokat annak megállapítására, hogy minősítésük még érvényes-e. Az EKSZ kialakít egy rendszert az általa kibocsátott, nyilvántartásba vett EU-minősített adatok minősítési szintjének legalább ötévenkénti felülvizsgálatára. Nincs szükség ilyen felülvizsgálatra akkor, ha a kibocsátó már kezdetben jelezte, hogy egy adott időpontban az adatot automatikusan vissza fogják minősíteni vagy a minősítését meg fogják szüntetni, és az adatot ennek megfelelően jelölték. |
III. EU-MINŐSÍTETT ADATOK BIZTONSÁGI CÉLÚ NYILVÁNTARTÁSBA VÉTELE
|
20. |
A székhelyen központi nyilvántartót kell létrehozni. Az EKSZ keretében működő, EU-minősített adatot kezelő valamennyi szervezeti egységnél egy, a központi nyilvántartónak alárendelt felelős nyilvántartót kell kialakítani, amely biztosítja, hogy az EU-minősített adatok kezelése e határozattal összhangban történjen. A nyilvántartókat az A. mellékletben meghatározott biztonsági területeken kell létrehozni.
Az Unió egyes küldöttségei létrehozzák az EU-minősített adatokat rögzítő saját nyilvántartójukat. Az EKSZ biztonsági hatósága kijelöli e nyilvántartók vezető iktatási tisztviselőjét. |
|
21. |
E határozat alkalmazásában a biztonsági célú nyilvántartásba vétel (a továbbiakban: a nyilvántartásba vétel) olyan eljárások alkalmazása, amelyek során rögzítésre kerül az adat életciklusa, beleértve a továbbítását és a megsemmisítését is. CIS esetében a végrehajtandó nyilvántartási eljárások a CIS-beli folyamatok keretében is elvégezhetők. |
|
22. |
Valamennyi CONFIDENTIEL UE/EU CONFIDENTIAL és annál magasabb minősítésű anyagot a szervezeti egységhez – köztük az Unió küldöttségeihez – való beérkezés vagy az onnan történő elküldés alkalmával külön erre a célra szolgáló nyilvántartásokban kell kezelni. A TRES SECRET UE/EU TOP SECRET minősítésű adatokat elkülönített nyilvántartásokban kell kezelni. |
|
23. |
Az EKSZ székhelyén található központi nyilvántartó a minősített adatok harmadik államokkal és nemzetközi szervezetekkel való megosztásának fő beérkezési és kiküldési helyeként működik. A központi nyilvántartó valamennyi ilyen adatcserét rögzít. |
|
24. |
Az EKSZ biztonsági hatósága jóváhagyja az EU-minősített adatok biztonsági célú nyilvántartásba vételére vonatkozó biztonsági iránymutatásokat, e határozat 14. cikkével összhangban. |
TRES SECRET UE/EU TOP SECRET nyilvántartók
|
25. |
Az EKSZ székhelyén ki kell jelölni a TRES SECRET UE/EU TOP SECRET minősítésű adatok kézhezvételével és elosztásával megbízott központi nyilvántartót. Szükség esetén ennek alárendelt nyilvántartók is kijelölhetők ezen adatok nyilvántartására és kezelésére. |
|
26. |
Az alárendelt nyilvántartók nem továbbíthatnak közvetlenül TRES SECRET UE/EU TOP SECRET dokumentumokat az ugyanazon TRES SECRET UE/EU TOP SECRET minősítéssel rendelkező, központi nyilvántartóhoz tartozó többi alárendelt nyilvántartó számára vagy kifelé e központi nyilvántartó kifejezett írásbeli jóváhagyása nélkül. |
IV. EU-MINŐSÍTETT DOKUMENTUMOK MÁSOLÁSA ÉS FORDÍTÁSA
|
27. |
A TRES SECRET EU/EU TOP SECRET minősítésű dokumentumok kizárólag a kibocsátó előzetes írásbeli hozzájárulásával másolhatók vagy fordíthatók le. |
|
28. |
Amennyiben a SECRET UE/EU SECRET és ennél alacsonyabb minősítésű dokumentumok kibocsátója a másolásra vagy fordításra vonatkozóan nem szabott korlátozásokat, e dokumentumok a titokbirtokos utasítására másolhatók vagy fordíthatók. |
|
29. |
Az eredeti dokumentumra vonatkozó biztonsági intézkedéseket a másolatokra és a fordításokra is alkalmazni kell. A CONFIDENTIEL UE/EU CONFIDENTIAL vagy magasabb minősítési szintű dokumentumokról kizárólag a vonatkozó (alárendelt) nyilvántartás készíthet másolatot biztonságos másológéppel. A másolatokat nyilvántartásba kell venni. |
V. EU-MINŐSÍTETT ADATOK SZÁLLÍTÁSA
|
30. |
Az EU-minősített adatok szállítására a 32–42. pontban szereplő védelmi intézkedések vonatkoznak. Az EU-minősített adatok elektronikus eszközökön történő szállítása során – az A. melléklet 7. cikkének (4) bekezdésétől eltérően – az alább előírt védelmi intézkedéseket – az elvesztés vagy az illetéktelen tudomására jutás kockázatának minimalizálása érdekében – kiegészíthetik az EKSZ biztonsági hatósága által előírt, megfelelő technikai ellenintézkedések. |
|
31. |
Az EKSZ biztonsági hatósága utasításokat bocsát ki az EU-minősített adatok e határozattal összhangban történő szállítására vonatkozóan. |
Épületen vagy zárt épületcsoporton belül
|
32. |
A valamely épületen vagy zárt épületcsoporton belül szállított EU-minősített adatokat az azok tartalmába való betekintés megakadályozása érdekében le kell takarni. |
|
33. |
TRES SECRET UE/EU TOP SECRET minősítésű adatokat adott épületen vagy zárt épületcsoporton belül megfelelő biztonsági ellenőrzésen átesett személyeknek kell szállítaniuk egy lezárt borítékban, amelyen kizárólag a címzett neve tüntethető fel. |
Az Európai Unión belül
|
34. |
Az EU-n belül épületek vagy létesítmények között szállított EU-minősített adatokat úgy kell becsomagolni, hogy azok védettek legyenek az illetéktelen hozzáféréstől. |
|
35. |
A legfeljebb SECRET UE/EU SECRET minősítési szintű adatok EU-n belüli szállításának az alábbi módok valamelyikén kell történnie:
Egyik tagállamból a másikba történő szállítás esetén a c) pont rendelkezései kizárólag a CONFIDENTIEL UE/EU CONFIDENTIAL és annál alacsonyabb minősítésű adatokra alkalmazandók. |
|
36. |
Az olyan CONFIDENTIEL UE/EU CONFIDENTIAL és SECRET UE/EU SECRET minősítésű anyagokat (pl. gépek vagy berendezések), amelyek a 34. pontban említett módon nem szállíthatók, kereskedelmi fuvarozóknak rakományként kell szállítaniuk az A.V. mellékletnek megfelelően. |
|
37. |
Az EU-n belül a TRES SECRET UE/EU TOP SECRET minősítésű adatok épületek vagy létesítmények közötti szállításának az adott esetnek megfelelően katonai, kormányzati vagy diplomáciai futár révén kell történnie. |
Az EU-ból egy harmadik állam területére, vagy harmadik államokban található uniós szervezeti egységek között
|
38. |
Az EU-ból egy harmadik állam területére, vagy harmadik államokban található uniós szervezeti egységek között szállított EU-minősített adatokat úgy kell becsomagolni, hogy védve legyenek az illetéktelen hozzáféréstől. |
|
39. |
A CONFIDENTIEL UE/EU CONFIDENTIAL és a SECRET UE/EU SECRET minősítésű adatoknak az EU-ból valamely harmadik állam területére, valamint a legfeljebb SECRET UE/EU SECRET minősítési szintű EU-minősített adatoknak a harmadik államokban lévő uniós szervezeti egységek között történő szállításának az alábbi módok valamelyikén kell történnie:
|
|
40. |
A CONFIDENTIEL UE/EU CONFIDENTIAL és a SECRET UE/EU SECRET minősítésű, az EU által harmadik állam vagy nemzetközi szervezet részére átadott adatok szállításának az A. melléklet 10. cikkének (2) bekezdése szerinti adatbiztonsági megállapodások vagy igazgatási megállapodások vonatkozó rendelkezéseivel összhangban kell történnie. |
|
41. |
A RESTREINT UE/EU RESTRICTED minősítésű adatok az EU-ból valamely harmadik állam területére postaszolgálatok vagy kereskedelmi futárszolgálatok révén is szállíthatók. |
|
42. |
A TRES SECRET UE/EU TOP SECRET minősítésű adatok EU-ból harmadik állam területére, vagy harmadik államokban lévő uniós szervezeti egységek között történő szállításának katonai vagy diplomáciai futár útján kell történnie. |
VI. EU-MINŐSÍTETT ADATOK MEGSEMMISÍTÉSE
|
43. |
A már nem szükséges EU-minősített dokumentumok – az archiválásra vonatkozó szabályok és rendelkezések sérelme nélkül – megsemmisíthetők. |
|
44. |
A dokumentumok birtokosának vagy az illetékes hatóságnak az utasítására a felelős nyilvántartásnak kell megsemmisítenie azokat a dokumentumokat, amelyeket az A. melléklet 7. cikkének (2) bekezdésével összhangban nyilvántartásba kell venni. Az iktatókönyveket és az egyéb nyilvántartási adatokat ennek megfelelően aktualizálni kell. |
|
45. |
A SECRET UE/EU SECRET vagy TRES SECRET UE/EU TOP SECRET minősítésű dokumentumok esetében a megsemmisítést tanú jelenlétében kell végrehajtani, akinek a megsemmisítendő dokumentum minősítési szintjével legalább megegyező szintre vonatkozó személyi biztonsági tanúsítvánnyal kell rendelkeznie. |
|
46. |
Az ügykezelőnek és – amennyiben annak jelenléte kötelező – a tanúnak alá kell írnia a megsemmisítési tanúsítványt, amelyet iktatni kell a nyilvántartásban. A nyilvántartásnak a megsemmisítési tanúsítványokat TRES SECRET UE/EU TOP SECRET minősítésű dokumentumok esetében legalább tíz évig, CONFIDENTIEL UE/EU CONFIDENTIAL és SECRET UE/EU SECRET minősítésű dokumentumok esetében pedig legalább öt évig kell megőriznie. |
|
47. |
A minősített dokumentumokat – köztük a RESTREINT UE/EU RESTRICTED minősítéssel rendelkezőket – a vonatkozó uniós vagy azzal egyenértékű szabványoknak, vagy a tagállamok által a nemzeti műszaki szabványokkal összhangban jóváhagyott szabványoknak megfelelően kell megsemmisíteni, ezáltal megakadályozva az adott dokumentum egészének vagy egy részének helyreállítását. |
|
48. |
Az EU-minősített adatok tárolására szolgáló számítógépes adathordozókat az EKSZ biztonsági hatósága által jóváhagyott eljárásokkal összhangban kell megsemmisíteni. |
VII. BIZTONSÁGI ELLENŐRZÉSEK
Az EKSZ biztonsági ellenőrzései
|
49. |
Az EKSZ biztonsági ellenőrzései e határozat 16. cikkével összhangban a következőket ölelik fel:
|
Az EKSZ biztonsági ellenőrzéseinek lefolytatása és az ezekről szóló jelentéstétel
|
50. |
Az EKSZ biztonsági ellenőrzéseit a székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatóság ellenőrző csoportja végzi, szükség esetén más uniós intézmények vagy a tagállamok biztonsági szakértőinek támogatásával.
Az ellenőrző csoportnak hozzáféréssel kell rendelkeznie minden olyan helyszínhez, ahol EU-minősített adatokat kezelnek, különösen a nyilvántartásokhoz és a kommunikációs és információs rendszerek kapcsolódási pontjaihoz. |
|
51. |
Az EKSZ biztonsági ellenőrzéseit az Unió küldöttségein a válságreagálási központért felelős igazgatósággal koordinálva, szükség esetén a tagállamok harmadik országokban működő nagykövetségein dolgozó biztonsági tisztviselők segítségével kell elvégezni. |
|
52. |
Az EKSZ biztonsági hatósága minden naptári év végéig elfogadja az EKSZ következő évre vonatkozó biztonsági ellenőrzési programját. |
|
53. |
Az EKSZ biztonsági hatósága szükség esetén a fenti programban nem szereplő biztonsági ellenőrzéseket is végezhet. |
|
54. |
A biztonsági ellenőrzés végeztével a fő következtetéseket és ajánlásokat ismertetni kell az ellenőrzött szervezettel. Ezt követően az ellenőrző csoport jelentést készít az ellenőrzésről. Amennyiben korrekciós intézkedéseket javasolnak és ajánlásokat fogalmaznak meg, úgy a jelentésnek elegendő adatot kell tartalmaznia a levont következtetések alátámasztására. A jelentést továbbítani kell az EKSZ biztonsági hatóságának, az Unió küldöttségeinek biztonsági ellenőrzései tekintetében a válságreagálási központ igazgatójának, valamint az ellenőrzött szervezet vezetőjének.
A székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatóság felelőssége mellett rendszeresen jelentést kell készíteni az adott időszakban végrehajtott ellenőrzésekből levont tanulságok bemutatása céljából, amely jelentést az EKSZ Biztonsági Bizottsága megvizsgálja. |
Az EUSZ V. címének 2. fejezete alapján létrehozott uniós ügynökségeknél és szerveknél végzett biztonsági ellenőrzések lefolytatása és az ezekről szóló jelentéstétel
|
55. |
A székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatóság szükség esetén szakértőket jelölhet ki az EUSZ V. címének 2. fejezete alapján létrehozott uniós ügynökségeknél és szerveknél ellenőrzéseket végző közös uniós ellenőrző csoportokban való részvételre. |
Az EKSZ biztonsági ellenőrzései során használt ellenőrző lista
|
56. |
A székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatóság összeállítja és naprakészen tartja az EKSZ biztonsági ellenőrzései során ellenőrizendő elemeket tartalmazó ellenőrző listát. Az ellenőrző listát továbbítani kell az EKSZ Biztonsági Bizottsága részére. |
|
57. |
Az ellenőrző lista kitöltéséhez szükséges adatokat – különösen az ellenőrzés során – az ellenőrzött szervezet biztonsági vezetőitől kell beszerezni. Az ellenőrző listát a részletes kitöltést követően az ellenőrzött szervezettel egyetértésben minősíteni kell. E lista nem képezheti az ellenőrzési jelentés részét. |
A.IV. MELLÉKLET
A KOMMUNIKÁCIÓS ÉS INFORMÁCIÓS RENDSZERBEN KEZELT EU-MINŐSÍTETT ADATOK VÉDELME
I. BEVEZETÉS
|
1. |
Ez a melléklet meghatározza az A. melléklet 8. cikkének végrehajtására vonatkozó rendelkezéseket. |
|
2. |
A kommunikációs és információs rendszerekben (CIS) végzett műveletek biztonsága és helyes működése érdekében alapvető fontosságúak az információvédelem következő jellemzői és szempontjai:
|
II. INFORMÁCIÓVÉDELMI ELVEK
|
3. |
Az alábbiakban foglalt rendelkezések képezik az EU-minősített adatokat kezelő minden CIS biztonságosságának alapját. E rendelkezések végrehajtásának részletes követelményeit az információvédelmi biztonsági iránymutatások határozzák meg. |
A biztonsági kockázatok kezelése
|
4. |
A biztonsági kockázatok kezelésének a kommunikációs és információs rendszer meghatározásának, kialakításának, működtetésének és fenntartásának szerves részét kell képeznie. A kockázatkezelést (értékelés, kezelés, elfogadás és kommunikáció) ismétlődő folyamatként kell elvégezni, a rendszertulajdonosok, a projekthatóságok, a működtető hatóságok és a biztonsági jóváhagyó hatóságok képviselőivel közösen, egy bevált, átlátható és teljes mértékben érthető kockázatértékelési eljárást alkalmazva. A kommunikációs és információs rendszer alkalmazási körét és eszközeit a kockázatkezelési folyamat kezdetekor egyértelműen meg kell határozni. |
|
5. |
Az EKSZ illetékes hatóságai áttekintik a CIS-t fenyegető potenciális veszélyeket, valamint naprakész és pontos, az aktuális működési környezetet tükröző fenyegetésértékelést készítenek. A változó információtechnológiai környezettel való lépéstartás érdekében folyamatosan frissíteniük kell a sebezhetőségi kérdésekkel kapcsolatos ismereteiket, és rendszeresen felül kell vizsgálniuk a sebezhetőségi értékeléseket. |
|
6. |
A biztonsági kockázatok kezelésének célja olyan biztonsági intézkedések alkalmazása, melyek kielégítő egyensúlyt teremtenek a felhasználók igényei és a fennmaradó biztonsági kockázatok között. |
|
7. |
Egy adott kommunikációs és információs rendszer akkreditálása tekintetében a megfelelő biztonsági akkreditációs hatóságnak (SAA) olyan konkrét követelményeket, hatókört és részletességet kell meghatároznia, amelyek arányban állnak a valamennyi vonatkozó tényezőt – köztük a kommunikációs és információs rendszerben kezelt EU-minősített adatok minősítési szintjét – figyelembe véve megállapított kockázattal. Az akkreditációnak magában kell foglalnia a fennmaradó kockázat hivatalos megállapítását és a fennmaradó kockázatnak valamely felelős hatóság általi elfogadását. |
Biztonság a kommunikációs és információs rendszer teljes életciklusán keresztül
|
8. |
A biztonságról a CIS teljes életciklusa alatt gondoskodni kell, az indítástól kezdve egészen a működésből való kivonásig. |
|
9. |
Az életciklus minden szakaszára vonatkozóan meg kell állapítani a CIS-ben érintett egyes résztvevők biztonsági szerepét és a biztonság tekintetében a többi résztvevővel folytatott interakcióját. |
|
10. |
A kommunikációs és információs rendszereket – a technikai és nem technikai biztonsági intézkedéseket is beleértve – az akkreditációs folyamat során biztonsági tesztelésnek kell alávetni a végrehajtott biztonsági intézkedések kellő biztonsági szintjéről való meggyőződés érdekében, valamint annak ellenőrzése céljából, hogy azokat helyesen telepítették, integrálták és konfigurálták. |
|
11. |
A CIS működése és karbantartása során, valamint rendkívüli körülmények felmerülése esetén rendszeresen el kell végezni a biztonsági értékeléseket, ellenőrzéseket és felülvizsgálatokat. |
|
12. |
A CIS biztonsági dokumentációjának a változás- és konfigurációkezelés szerves részeként a rendszer életciklusa során folyamatosan fejlődnie kell. |
Bevált gyakorlat
|
13. |
Az EKSZ együttműködik a Tanács Főtitkárságával, a Bizottsággal és a tagállamokkal a kommunikációs és információs rendszerben kezelt EU-minősített adatok védelmére vonatkozó bevált gyakorlat kialakítása érdekében. A bevált gyakorlatra vonatkozó iránymutatásoknak tartalmazniuk kell a kommunikációs és információs rendszerrel kapcsolatos, az adott fenyegetésekkel és sebezhetőségekkel szemben bizonyítottan hatékony technikai, fizikai, szervezeti és eljárási biztonsági intézkedéseket. |
|
14. |
A CIS-ben kezelt EU-minősített adatok védelmének az információvédelemben részt vevő – az EU-n belüli és kívüli – szervezetek által levont tanulságokra kell épülnie. |
|
15. |
A bevált gyakorlat terjesztésének és azt követő végrehajtásának hozzá kell járulnia az EKSZ által működtetett, EU-minősített adatokat kezelő különböző kommunikációs és információs rendszerek azonos biztonsági szintjének eléréséhez. |
Mélységi védelem
|
16. |
A CIS-t fenyegető veszélyek csökkentése érdekében technikai és nem technikai biztonsági intézkedéseket kell végrehajtani, amelyeknek többszörös biztonsági réteget kell alkotniuk. E rétegek az alábbiak:
Az ilyen biztonsági intézkedések szigorúságának és alkalmazhatóságának mértékét kockázatértékelés alapján kell meghatározni. |
|
17. |
Az EKSZ illetékes hatóságai biztosítják, hogy képesek legyenek reagálni a szervezeti vagy nemzeti határokon esetlegesen átnyúló eseményekre, a válaszintézkedések összehangolása, valamint az ilyen eseményekről és a kapcsolódó kockázatokról való információcsere érdekében (számítógépes veszélyhelyzet-reagálási képességek). |
A minimalitás és a legkisebb kiváltság elve
|
18. |
A szükségtelen kockázat elkerülése érdekében kizárólag a működési követelmények teljesítéséhez szükséges funkcionalitásokat, eszközöket és szolgáltatásokat kell megvalósítani. |
|
19. |
A balesetekből, a hibákból vagy a CIS-erőforrások illetéktelen felhasználásából eredő károk korlátozása érdekében a CIS felhasználói és az automatizált folyamatok kizárólag a feladataik elvégzéséhez szükséges hozzáférésekkel, kiváltságokkal vagy engedélyekkel rendelkezhetnek. |
|
20. |
A CIS által végrehajtott nyilvántartási eljárásokat – szükség esetén – az akkreditációs folyamat részeként ellenőrizni kell. |
Információvédelmi tudatosság
|
21. |
A CIS biztonsága védelmének első vonalát a kockázatok és a rendelkezésre álló biztonsági intézkedések ismerete képezi. A CIS életciklusában érintett valamennyi személynek – a felhasználókat is beleértve – tudatában kell lennie különösen annak, hogy:
|
|
22. |
A biztonsággal kapcsolatos felelősség ismeretének biztosítása érdekében valamennyi érintett személy – beleértve a vezető tisztviselőket és a CIS-felhasználókat is – számára kötelező részt venni információvédelmi oktatáson és tudatosító képzésen. |
Az IT biztonsági termékek értékelése és jóváhagyása
|
23. |
A biztonsági intézkedések – védelmi szintként meghatározott – szükséges megbízhatósági szintjét a kockázatkezelési eljárás eredménye alapján és a vonatkozó biztonsági előírásokkal és biztonsági iránymutatásokkal összhangban kell meghatározni. |
|
24. |
A védelmi szintet nemzetközileg elismert vagy nemzeti szinten jóváhagyott folyamatok és módszerek alkalmazásával kell ellenőrizni. Ez elsősorban értékelés, ellenőrzés és auditálás lehet. |
|
25. |
Az EU-minősített adatok védelmére szolgáló kriptográfiai termékeket valamely tagállam nemzeti kriptográfiai jóváhagyó hatóságának (CAA) kell értékelnie és jóváhagynia. |
|
26. |
Az EKSZ kriptográfiai jóváhagyó hatósága általi jóváhagyásra irányuló ajánlást megelőzően, e határozat 8. cikke (5) bekezdésének megfelelően ezeket a kriptográfiai termékeket a berendezés tervezésében vagy gyártásában részt nem vevő tagállam megfelelő minősítéssel rendelkező hatósága (AQUA) által végzett, második fél általi értékelésnek kell alávetni, amelyen azoknak meg kell felelniük. A második fél általi értékelés során a vizsgálat részletességének az érintett termékek által védendő EU-minősített adatok tervezett legmagasabb minősítési szintjétől kell függenie. |
|
27. |
Az EKSZ kriptográfiai jóváhagyó hatósága – konkrét működési indokok alapján – a Tanács Biztonsági Bizottságának ajánlására figyelmen kívül hagyhatja a 25. és a 26. pontban foglalt követelményeket, és meghatározott időtartamra ideiglenes jóváhagyást biztosíthat e határozat 8. cikkének (5) bekezdésével összhangban. |
|
28. |
A megfelelő minősítéssel rendelkező hatóság valamely tagállam kriptográfiai jóváhagyó hatósága, amely a Tanács által meghatározott szempontok alapján akkreditációt nyert az EU-minősített adatok védelmére szolgáló kriptográfiai termékek második értékelésének elvégzésére. |
|
29. |
A főképviselő jóváhagyja a nem kriptográfiai IT biztonsági termékek minősítésére és jóváhagyására vonatkozó biztonsági politikát. |
Adattovábbítás biztonságos területeken belül
|
30. |
E határozat rendelkezései ellenére, amennyiben az EU-minősített adatok továbbítása biztonságos területekre vagy igazgatási területekre korlátozódik, titkosítás nélküli továbbítás vagy alacsonyabb szintű rejtjelezés alkalmazható a kockázatkezelési folyamat eredményére alapozva és a biztonsági akkreditációs hatóság jóváhagyásával. |
A CIS-ek biztonságos összekapcsolása
|
31. |
E határozat alkalmazásában a rendszerek összekapcsolása két vagy több informatikai rendszer adatok és egyéb információforrások megosztása (pl. kommunikáció) céljából történő, egyirányú vagy többirányú, közvetlen összekapcsolását jelenti. |
|
32. |
A CIS-eknek a velük összekapcsolt informatikai rendszereket nem megbízhatóknak kell tekinteniük, és a minősített adatok cseréjének ellenőrzése céljából védelmi intézkedéseket kell foganatosítaniuk. |
|
33. |
A CIS-ek más informatikai rendszerrel való minden összekapcsolása tekintetében a következő alapkövetelményeknek kell eleget tenni:
|
|
34. |
Akkreditált CIS nem kapcsolható össze nem védett vagy nyilvános hálózattal, kivéve, ha a CIS jóváhagyott, a CIS és a nyilvános hálózat között e célból telepített határvédelmi szolgáltatással rendelkezik. Az illetékes információvédelmi hatóságnak felül kell vizsgálnia az ilyen összekapcsolásokra vonatkozó biztonsági intézkedéseket, az illetékes biztonsági akkreditációs hatóságnak pedig jóvá kell hagynia azokat.
Amennyiben a nem védett vagy nyilvános hálózatot kizárólag adatközvetítésre használják, és az adatokat az e határozat 8. cikke (5) bekezdésének megfelelően jóváhagyott kriptográfiai termékkel titkosították, az ilyen kapcsolat nem tekintendő összekapcsolásnak. |
|
35. |
Tilos a TRES SECRET UE/EU TOP SECRET minősítésű adatok kezelésére akkreditált CIS közvetlen vagy láncba kapcsolt módon való összekapcsolása nem védett vagy nyilvános hálózattal. |
Számítógépes adathordozók
|
36. |
A számítógépes adathordozókat az EKSZ biztonsági hatósága által jóváhagyott eljárásokkal összhangban kell megsemmisíteni. |
|
37. |
A számítógépes adathordozókat az EKSZ-nek az EU-minősített adatok visszaminősítéséről és a minősítésük feloldásáról szóló, az e határozat 8. cikkének (2) bekezdése szerint kidolgozott iránymutatásaival összhangban kell újrafelhasználni, visszaminősíteni, illetve a minősítésüket feloldani. |
Szükséghelyzet
|
38. |
Az e határozatban foglalt rendelkezések ellenére, szükséghelyzetben – például fenyegető vagy ténylegesen fennálló válság-, konfliktus- vagy háborús helyzetben – vagy rendkívüli üzemeltetési körülmények között korlátozott ideig az alábbiakban leírt különös eljárások alkalmazhatók. |
|
39. |
EU-minősített adatok az illetékes hatóság beleegyezésével továbbíthatók alacsonyabb minősítési szintre jóváhagyott kriptográfiai termékek felhasználásával vagy titkosítás nélkül, amennyiben a késedelem által okozott kár egyértelműen meghaladná a minősített adatok illetéktelen hozzáférhetővé tétele által okozott kárt, és ha:
|
|
40. |
A 39. pontban meghatározott körülmények esetén továbbított minősített adat nem látható el olyan jelöléssel vagy jelzéssel, amely azt a nem minősített adatoktól vagy elérhető kriptográfiai termék által védhető adattól megkülönbözteti. A címzetteket késedelem nélkül, egyéb módon értesíteni kell a minősítési szintről. |
|
41. |
Amennyiben a 39. pontban említett eljárás alkalmazására kerül sor, ezt követően jelentést kell tenni a székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatóságnak, ennek pedig az EKSZ Biztonsági Bizottságának. A jelentésben minden egyes EU-minősített adatra vonatkozóan meg kell jelölni legalább a küldőt, a címzettet és a kibocsátót. |
III. INFORMÁCIÓVÉDELMI FELADATKÖRÖK ÉS HATÓSÁGOK
|
42. |
Az EKSZ-nél a következő információvédelmi feladatköröket kell létrehozni. E feladatkörök nem igényelnek külön szervezeti egységeket. Külön megbízatással kell rendelkezniük. Mindazonáltal e feladatkörök és a hozzájuk tartozó felelősségi körök ugyanazon szervezeti egységen belül kombinálhatók vagy integrálhatók, vagy különböző szervezeti egységek között megoszthatók, feltéve, hogy ez nem vezet belső összeférhetetlenséghez vagy a feladatok ütközéséhez. |
Információvédelmi hatóság (IAA)
|
43. |
Az információvédelmi hatóság felelős a következőkért:
|
TEMPEST-hatóság
|
44. |
A TEMPEST-hatóság felelős annak biztosításáért, hogy a CIS megfeleljen a TEMPEST-politikáknak és -iránymutatásoknak. Jóvá kell hagynia a TEMPEST-ellenintézkedéseket azokra a berendezésekre és termékekre vonatkozóan, amelyek működési környezetükben meghatározott minősítési szintig biztosítják az EU-minősített adatok védelmét. |
Kriptográfiai jóváhagyó hatóság (CAA)
|
45. |
A kriptográfiai jóváhagyó hatóság felel annak biztosításáért, hogy a kriptográfiai termékek megfeleljenek a vonatkozó kriptográfiai iránymutatásoknak. Jóvá kell hagynia a kriptográfiai termékeket, amelyek működési környezetükben meghatározott minősítési szintig biztosítják az EU-minősített adatok védelmét. |
Kriptográfiai terjesztési hatóság (CDA)
|
46. |
A kriptográfiai terjesztési hatóság felelős a következőkért:
|
Biztonsági akkreditációs hatóság (SAA)
|
47. |
Minden egyes rendszer biztonsági akkreditációs hatósága a következőkért felelős:
|
|
48. |
Az EKSZ biztonsági akkreditációs hatósága felel az EKSZ hatáskörében működő valamennyi CIS akkreditálásáért. |
Biztonsági akkreditációs bizottság (SAB)
|
49. |
A mind az EKSZ, mind a tagállamok biztonsági akkreditációs hatóságainak hatáskörébe tartozó CIS akkreditálásáért egy közös biztonsági akkreditációs bizottságnak (SAB) kell felelnie. Az SAB-nak az egyes tagállamok biztonsági akkreditációs hatóságainak képviselőiből kell állnia, ülésein pedig részt vesz a Főtitkárság és a Bizottság biztonsági akkreditációs hatóságának egy képviselője. A valamely CIS-hez kapcsolódó egyéb szervezeteket meg kell hívni az adott rendszerrel foglalkozó ülésekre.
Az SAB elnöki tisztét az EKSZ biztonsági akkreditációs hatósága egy képviselőjének kell betöltenie. Az SAB-nak a CIS-hez kapcsolódó intézmények, tagállamok és más szervezetek biztonsági akkreditációs hatóságai képviselőinek konszenzusos határozatai alapján kell eljárnia. Rendszeres időközönként jelentést kell tennie tevékenységeiről az EKSZ Biztonsági Bizottságának, és azt értesítenie kell valamennyi akkreditációs tanúsítványról. |
Információvédelmi üzemeltetési hatóság
|
50. |
Minden egyes rendszer információvédelmi üzemeltetési hatósága felelős a következőkért:
|
A.V. MELLÉKLET
IPARBIZTONSÁG
I. BEVEZETÉS
|
1. |
Ez a melléklet rendelkezéseket határoz meg az A. melléklet 9. cikkének végrehajtására vonatkozóan. Meghatározza továbbá az EKSZ által odaítélt minősített szerződések megkötését megelőző tárgyalások és a szerződések teljes életciklusa során az ipari és egyéb szervezetekre alkalmazandó általános biztonsági rendelkezéseket. |
|
2. |
Az EKSZ biztonsági hatósága jóváhagyja az iparbiztonságra vonatkozó iránymutatásokat, amelyek felvázolják különösen a telephelybiztonsági tanúsítványokra, a biztonsági vonatkozások záradékára, a látogatásokra, valamint az EU-minősített adatok továbbítására és szállítására vonatkozó részletes követelményeket. |
II. A MINŐSÍTETT SZERZŐDÉSEKBEN TALÁLHATÓ BIZTONSÁGI ELEMEK
Minősítési útmutató (SCG)
|
3. |
A pályázati felhívás kiírását vagy a minősített szerződés odaítélését megelőzően az EKSZ szerződő hatóságként meghatározza a pályázók és a vállalkozók részére nyújtandó bármely adat biztonsági minősítését, valamint a vállalkozó által létrehozandó bármely adat biztonsági minősítését. E célból az EKSZ elkészíti a szerződés teljesítése során alkalmazandó SCG-t. |
|
4. |
A minősített szerződés különféle elemeire vonatkozó biztonsági minősítések meghatározása érdekében az alábbi elveket kell alkalmazni:
|
Biztonsági vonatkozások záradéka (SAL)
|
5. |
A szerződésspecifikus biztonsági követelményeket az SAL-ben kell rögzíteni. Adott esetben az SAL-nek tartalmaznia kell az SCG-t, és a minősített vállalkozói vagy alvállalkozói szerződés szerves részét kell képeznie. |
|
6. |
Az SAL-nek tartalmaznia kell a vállalkozók és/vagy alvállalkozók részére az e határozatban foglalt minimumszabályok teljesítését előíró rendelkezéseket. A minimumszabályok be nem tartása elegendő indokot jelenthet a szerződés felbontására. |
Program-/projektbiztonsági utasítások (PSI)
|
7. |
Az EU-minősített adatokhoz való hozzáférést, vagy azok kezelését vagy tárolását magában foglaló programok vagy projektek hatályának függvényében a program vagy projekt irányítására kijelölt szerződő hatóság kidolgozhatja az adott programra/projektre vonatkozó biztonsági utasításokat (PSI). A PSI-hez a tagállamoknak a programban/projektben részt vevő nemzeti biztonsági hatósága/kijelölt biztonsági hatósága vagy bármely más illetékes biztonsági hatóság általi jóváhagyás szükséges, emellett a PSI további biztonsági követelményeket is tartalmazhat. |
III. TELEPHELYBIZTONSÁGI TANÚSÍTVÁNY (FSC)
|
8. |
A székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatóságnak a kérésére az érintett tagállam nemzeti biztonsági hatósága/kijelölt biztonsági hatósága vagy bármely más illetékes biztonsági hatósága FSC-t bocsát ki annak jelzésére, hogy – a nemzeti jogszabályokkal és rendelkezésekkel összhangban – egy ipari vagy egyéb szervezet képes az EU-minősített adatok megfelelő minősítési szinten (CONFIDENTIEL UE/EU CONFIDENTIAL vagy SECRET UE/EU SECRET) való védelmére a létesítményein belül. Az FSC EKSZ-nek történő bemutatásáig a vállalkozó, alvállalkozó vagy potenciális vállalkozó vagy alvállalkozó számára nem biztosítják vagy engedélyezik az EU-minősített adatokhoz való hozzáférést. |
|
9. |
Adott esetben az EKSZ szerződő hatóságként értesíti a megfelelő nemzeti biztonsági hatóságot/kijelölt biztonsági hatóságot vagy bármely más illetékes biztonsági hatóságot arról, hogy a szerződéskötést megelőző szakaszban vagy a szerződés teljesítéséhez FSC-re van szükség. FSC-re vagy PSC-re akkor van szükség a szerződéskötést megelőző szakaszban, ha a pályázati eljárás során CONFIDENTIEL UE/EU CONFIDENTIAL vagy SECRET UE/EU SECRET minősítésű adatot kell átadni. |
|
10. |
Az EKSZ szerződő hatóságként nem köthet minősített szerződést a megfelelőnek tartott pályázóval azt megelőzően, hogy szükség esetén kézhez kapná az érintett vállalkozó vagy alvállalkozó bejegyzésének helye szerinti tagállam nemzeti biztonsági hatósága/kijelölt biztonsági hatósága vagy bármely más illetékes biztonsági hatósága által kiállított megerősítést a megfelelő FSC kibocsátásáról. |
|
11. |
Az EKSZ szerződő hatóságként felkéri az FSC-t kibocsátó nemzeti biztonsági hatóságot/kijelölt biztonsági hatóságot vagy bármely más illetékes biztonsági hatóságot, hogy értesítse az EKSZ-t az FSC-t érintő bármely kedvezőtlen információról. Alvállalkozói szerződés esetén a nemzeti biztonsági hatóságot/kijelölt biztonsági hatóságot, illetve bármely egyéb illetékes biztonsági hatóságot ennek megfelelően tájékoztatni kell. |
|
12. |
Az FSC-nek az adott nemzeti biztonsági hatóság/kijelölt biztonsági hatóság vagy bármely más illetékes biztonsági hatóság általi visszavonása elegendő indokot szolgáltat az EKSZ-nek mint szerződő hatóságnak a minősített szerződés felbontására vagy a pályázó versenyből való kizárására. |
IV. A vállalkozók személyzetének személyi biztonsági tanúsítványa (PSC)
|
13. |
A CONFIDENTIEL UE/EU CONFIDENTIAL vagy magasabb minősítési szintű EU-minősített adatokhoz való hozzáférést igénylő munkát végző, vállalkozók alkalmazásában álló személyzet valamennyi tagja esetében megfelelő biztonsági ellenőrzést kell végezni, és esetükben az adatokhoz való hozzáférés tekintetében teljesülnie kell a „szükséges ismeret” feltételének. Bár a PSC megléte nem előfeltétele a RESTREINT UE/EU RESTRICTED minősítésű EU-minősített adatokhoz való hozzáférésnek, az ilyen hozzáféréshez is teljesülnie kell a „szükséges ismeret” feltételének. |
|
14. |
A vállalkozók személyzetére vonatkozó PSC-kre irányuló kérelmeket a szervezetért felelős nemzeti biztonsági hatósághoz/kijelölt biztonsági hatósághoz kell benyújtani. |
|
15. |
Az EKSZ hangsúlyozza azon vállalkozóknak, akik harmadik állambeli állampolgárt kívánnak foglalkoztatni egy EU-minősített adatokhoz való hozzáférést megkövetelő beosztásban, hogy az érintett személyt alkalmazó szervezet helye és bejegyzése szerinti tagállam nemzeti biztonsági hatósága/kijelölt biztonsági hatósága felelős annak megállapításáért, hogy e határozat szerint az érintett személynek megadható-e az ilyen adatokhoz való hozzáférés, valamint annak megerősítéséért, hogy a kibocsátónak hozzájárulását kellett adnia az ilyen hozzáférés engedélyezése előtt. |
V. MINŐSÍTETT VÁLLALKOZÓI ÉS ALVÁLLALKOZÓI SZERZŐDÉSEK
|
16. |
Amikor egy pályázó részére a szerződéskötést megelőző szakaszban EU-minősített adatot adnak át, a pályázati felhívásnak tartalmaznia kell egy olyan kitételt, miszerint az a pályázó, aki végül nem nyújtja be pályázatát, vagy akit nem választanak ki, köteles adott időn belül valamennyi minősített dokumentumot visszaszolgáltatni. |
|
17. |
Amint sor kerül egy minősített vállalkozói vagy alvállalkozói szerződés odaítélésére, az EKSZ szerződő hatóságként értesíti a vállalkozó vagy alvállalkozó nemzeti biztonsági hatóságát/kijelölt biztonsági hatóságát vagy bármely más illetékes biztonsági hatóságot a minősített szerződésre vonatkozó biztonsági rendelkezésekről. |
|
18. |
Amennyiben egy ilyen szerződést felmondanak vagy az lejár, az EKSZ szerződő hatóságként (és/vagy a nemzeti biztonsági hatóság/kijelölt biztonsági hatóság vagy adott esetben bármely más illetékes biztonsági hatóság, alvállalkozói szerződés esetén) késedelem nélkül értesíti azon tagállam nemzeti biztonsági hatóságát/kijelölt biztonsági hatóságát vagy bármely más illetékes biztonsági hatóságát, amelyben a vállalkozót vagy alvállalkozót bejegyezték. |
|
19. |
A vállalkozó vagy alvállalkozó a minősített vállalkozói vagy alvállalkozói szerződés felmondását vagy lejártát követően általános szabályként köteles valamennyi EU-minősített adatot visszaszolgáltatni a szerződő hatóságnak. |
|
20. |
Az EU-minősített adatoknak a szerződés teljesítése során vagy a szerződés felmondásával vagy lejártával történő megsemmisítésére vonatkozó egyedi rendelkezéseket az SAL-ben kell lefektetni. |
|
21. |
Amennyiben a vállalkozó vagy alvállalkozó engedélyt kap arra, hogy valamely szerződés felmondását vagy lejártát követően megőrizzen EU-minősített adatokat, a vállalkozónak vagy alvállalkozónak továbbra is eleget kell tennie az e határozatban foglalt minimumszabályoknak, és védenie kell az EU-minősített adatok bizalmasságát. |
|
22. |
A pályázati felhívásban és a szerződésben kell meghatározni azokat a feltételeket, amelyek szerint a vállalkozó alvállalkozói szerződést köthet. |
|
23. |
Mielőtt a vállalkozó a minősített szerződés bármely részére alvállalkozót szerződtetne, ehhez engedélyt kell kérnie az EKSZ-től mint szerződő hatóságtól. Nem köthető alvállalkozói szerződés az olyan harmadik országokban bejegyzett ipari vagy más szervezettel, amely nem kötött adatbiztonsági megállapodást az EU-val. |
|
24. |
A vállalkozónak kell felelnie annak biztosításáért, hogy minden alvállalkozói tevékenység az e határozatban foglalt minimumszabályokkal összhangban valósuljon meg, és az alvállalkozó részére nem adhat át EU-minősített adatot a szerződő hatóság előzetes írásbeli engedélye nélkül. |
|
25. |
A vállalkozó vagy az alvállalkozó által létrehozott vagy kezelt EU-minősített adatok tekintetében a kibocsátót megillető jogokat a szerződő hatóság gyakorolja. |
VI. MINŐSÍTETT SZERZŐDÉSEKKEL KAPCSOLATOS LÁTOGATÁSOK
|
26. |
Amennyiben az EKSZ-nek, a vállalkozóknak vagy az alvállalkozóknak egy minősített szerződés teljesítéséhez CONFIDENTIEL UE/EU CONFIDENTIAL vagy SECRET UE/EU SECRET minősítésű adathoz kell hozzáférniük egymás létesítményeiben, a látogatásokat a nemzeti biztonsági hatóságok/kijelölt biztonsági hatóságok vagy bármely más érintett illetékes biztonsági hatóság bevonásával kell megszervezni. Ez nem érinti a nemzeti biztonsági hatóságok/kijelölt biztonsági hatóságok azon jogát, hogy egyes konkrét projektekre vonatkozóan megállapodjanak az ilyen látogatások közvetlen megszervezését lehetővé tevő eljárásról. |
|
27. |
Minden látogatónak megfelelő PSC-vel kell rendelkeznie, és teljesítenie kell a „szükséges ismeret” feltételét az EKSZ szerződésével kapcsolatos EU-minősített adatokhoz való hozzáférés tekintetében. |
|
28. |
A látogatók csak a látogatás céljához kapcsolódó EU-minősített adatokhoz kaphatnak hozzáférést. |
VII. EU-MINŐSÍTETT ADATOK TOVÁBBÍTÁSA ÉS SZÁLLÍTÁSA
|
29. |
Az EU-minősített adatok elektronikus úton történő továbbítása tekintetében az A. melléklet 8. cikkében és az A.IV. mellékletben foglalt vonatkozó rendelkezéseket kell alkalmazni. |
|
30. |
Az EU-minősített adatok szállítására az A.III. melléklet vonatkozó rendelkezéseit kell alkalmazni, a nemzeti jogszabályokkal és rendelkezésekkel összhangban. |
|
31. |
Az EU-minősített adatok szállítmányként való szállítása biztonsági előírásainak meghatározása során az alábbi elveket kell alkalmazni:
|
VIII. EU-MINŐSÍTETT ADATOK ÁTADÁSA HARMADIK ÁLLAMOKBAN MŰKÖDŐ VÁLLALKOZÓKNAK
|
32. |
Az EU-minősített adatok olyan harmadik államokban működő vállalkozók vagy alvállalkozók részére való átadásának, amelyeknek érvényes biztonsági megállapodása van az EU-val, az EKSZ mint szerződő hatóság és a vállalkozó bejegyzési helye szerinti harmadik állam nemzeti biztonsági hatósága/kijelölt biztonsági hatósága által elfogadott biztonsági intézkedésekkel összhangban kell történnie. |
IX. A RESTREINT UE/EU RESTRICTED MINŐSÍTÉSŰ ADATOK KEZELÉSE ÉS TÁROLÁSA
|
33. |
Az EKSZ mint szerződő hatóság adott esetben a tagállam nemzeti biztonsági hatóságával/kijelölt biztonsági hatóságával egyeztetve a szerződésben foglalt rendelkezések alapján látogatásokat tehet a vállalkozók/alvállalkozók létesítményeibe annak ellenőrzése céljából, hogy meghozták-e a RESTREINT UE/EU RESTRICTED minősítési szintű EU-minősített adatok védelméhez szükséges, szerződésben előírt biztonsági intézkedéseket. |
|
34. |
A nemzeti jogszabályok és rendelkezések szerint szükséges mértékben az EKSZ-nek mint szerződő hatóságnak értesítenie kell a nemzeti biztonsági hatóságokat/kijelölt biztonsági hatóságokat vagy bármely más illetékes biztonsági hatóságot a RESTREINT UE/EU RESTRICTED minősítésű adatot tartalmazó szerződésekről és alvállalkozói szerződésekről. |
|
35. |
A RESTREINT UE/EU RESTRICTED minősítésű adatot magukban foglaló, az EKSZ által odaítélt szerződések esetében az FSC, illetve PSC nem kötelező a vállalkozók, alvállalkozók és a személyzetük számára. |
|
36. |
Az EKSZ mint szerződő hatóság megvizsgálja az olyan szerződésekre kiírt pályázati felhívásokra érkezett válaszokat, amelyek RESTREINT UE/EU RESTRICTED minősítésű adatokhoz való hozzáférést igényelnek, a nemzeti jogszabályok és rendelkezések értelmében az FSC-vel és a PSC-vel kapcsolatban esetleg meglévő bármely követelmény sérelme nélkül. |
|
37. |
Azon feltételeknek, amelyek alapján a vállalkozó alvállalkozót szerződtethet, összhangban kell állniuk a 22–24. ponttal. |
|
38. |
Amennyiben egy adott szerződés RESTREINT UE/EU RESTRICTED minősítésű adatoknak a vállalkozó által működtetett CIS-ben való kezelésére is kiterjed, az EKSZ mint szerződő hatóság biztosítja, hogy a szerződésben vagy alvállalkozói szerződésben szerepeljenek a CIS akkreditálásához szükséges, az összes releváns tényező alapján megállapított kockázattal arányos technikai és adminisztratív követelmények. Az ilyen CIS akkreditációjának hatályáról a szerződő hatóságnak és az érintett nemzeti biztonsági hatóságnak/kijelölt biztonsági hatóságnak kell megállapodnia. |
A.VI. MELLÉKLET
MINŐSÍTETT ADATOK CSERÉJE HARMADIK ÁLLAMOKKAL ÉS NEMZETKÖZI SZERVEZETEKKEL
I. BEVEZETÉS
|
1. |
Ez a melléklet az A. melléklet 10. cikkének végrehajtására vonatkozó rendelkezéseket határozza meg. |
II. A MINŐSÍTETT ADATOK CSERÉJÉT SZABÁLYOZÓ KERETEK
|
2. |
Az EKSZ EU-minősített adatokat cserélhet harmadik államokkal vagy nemzetközi szervezetekkel az A. melléklet 10. cikke (1) bekezdésének megfelelően.
A főképviselőnek az EUMSZ 218. cikkében előírt feladatok ellátása terén történő támogatása érdekében:
|
|
3. |
Amennyiben az adatbiztonsági megállapodások rendelkeznek technikai végrehajtási szabályokról, amelyeket a székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatóság és a szóban forgó harmadik állam vagy nemzetközi szervezet illetékes biztonsági hatósága közösen alakít ki, az ilyen szabályok keretében figyelembe kell venni az érintett harmadik állam vagy nemzetközi szervezet hatályos biztonsági szabályzata, struktúrái és eljárásai által biztosított védelmi szintet. E szabályok tekintetében a székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgatóság egyeztet a Bizottság Humánerőforrásügyi és Biztonsági Főigazgatóságának Biztonsági Igazgatóságával és a Tanács Főtitkárságának Biztonsági Hivatalával. |
|
4. |
Amennyiben az EKSZ esetében harmadik állammal vagy nemzetközi szervezettel elvileg legfeljebb RESTREINT UE/EU RESTRICTED minősítésű adatok cseréjének hosszú távú igénye áll fenn, és amennyiben megállapítást nyert, hogy a szóban forgó fél nem rendelkezik kellőképpen fejlett biztonsági rendszerrel adatbiztonsági megállapodás megkötéséhez, a főképviselő – azt követően, hogy megkapta az EKSZ Biztonsági Bizottságának e határozat 15. cikkének (5) bekezdése szerinti, egyhangúlag kedvező véleményét – igazgatási megállapodást köthet a szóban forgó harmadik állam vagy nemzetközi szervezet illetékes biztonsági hatóságaival. |
|
5. |
Az EU-minősített adatok elektronikus eszközökkel történő cseréje harmadik állammal vagy nemzetközi szervezettel nem engedélyezett, kivéve ha az adatbiztonsági megállapodás vagy igazgatási megállapodás erről kifejezetten rendelkezik. |
|
6. |
A minősített adatok cseréjéről szóló igazgatási megállapodás értelmében mind az EKSZ, mind pedig a harmadik állam vagy nemzetközi szervezet kijelöli a minősített adatok cseréjének fő beérkezési és kiküldési pontjaként működő nyilvántartást. Az EKSZ esetében ezt a szerepet az EKSZ központi nyilvántartása tölti be. |
|
7. |
Az igazgatási megállapodásokat általános szabályként levélváltás formájában kell megkötni. |
III. ÉRTÉKELŐ LÁTOGATÁSOK
|
8. |
Az e határozat 17. cikkében említett értékelő látogatásokat az érintett harmadik állammal vagy nemzetközi szervezettel való kölcsönös megállapodás alapján kell lefolytatni, és e látogatások keretében az alábbiakat kell értékelni:
|
|
9. |
Nem kerülhet sor EU-minősített adatok cseréjére értékelő látogatás lefolytatását és azt megelőzően, hogy meghatározásra került a felek között kicserélhető minősített adatok szintje, az ilyen adatok számára biztosítandó védelem szintjének egyenértékűsége alapján.
Amennyiben az értékelő látogatást megelőzően a főképviselő tudomására jut a minősített adatok cseréjére vonatkozó kivételes vagy sürgős indok, az EKSZ biztonsági hatósága a következők szerint jár el:
Ha az EKSZ nem tudja azonosítani a kibocsátót, a kibocsátó felelősségét az EKSZ biztonsági hatósága vállalja magára azt követően, hogy megkapta az EKSZ Biztonsági Bizottságának egyhangúlag kedvező véleményét. |
IV. EU-MINŐSÍTETT ADATOK HARMADIK ÁLLAMOK VAGY NEMZETKÖZI SZERVEZETEK RÉSZÉRE VALÓ ÁTADÁSÁRA VONATKOZÓ FELHATALMAZÁS
|
10. |
Amennyiben létezik a minősített adatok harmadik államokkal vagy nemzetközi szervezetekkel való cseréjének az A. melléklet 10. cikkének (1) bekezdése szerinti kerete, az EU-minősített adatoknak harmadik állam vagy nemzetközi szervezet részére az EKSZ által történő átadásáról az EKSZ biztonsági hatósága határoz. |
|
11. |
Ha az átadandó minősített adatok kibocsátója – beleértve az azokban esetlegesen szereplő forrásanyagok kibocsátóját is – nem az EKSZ, az EKSZ biztonsági hatósága először a kibocsátó írásbeli beleegyezését kéri annak megállapításához, hogy az nem emel kifogást az átadással szemben. Ha az EKSZ nem tudja azonosítani a kibocsátót, a kibocsátó felelősségét az EKSZ biztonsági hatósága vállalja magára azt követően, hogy megkapta az EKSZ Biztonsági Bizottságában képviselt tagállamok egyhangúlag kedvező véleményét. |
V. EU-MINŐSÍTETT ADATOK RENDKÍVÜLI AD HOC ÁTADÁSA
|
12. |
Az A. melléklet 10. cikkének (1) bekezdésében említett keretek egyikének hiányában, és amennyiben az EU, illetve egy vagy több tagállam érdekei politikai, operatív vagy sürgősségi okokból megkövetelik az EU-minősített adatok átadását, az EU-minősített adatok kivételesen átadhatók harmadik államnak vagy nemzetközi szervezetnek azt követően, hogy meghozták az alábbi intézkedéseket.
Az EKSZ biztonsági hatósága a fenti (11) bekezdésben említett feltételek teljesülésének biztosítását követően:
|
|
13. |
Az A. melléklet 10. cikkének (1) bekezdésében említett keretek egyikének hiányában a szóban forgó harmadik fél írásban vállalja az EU-minősített adatok megfelelő védelmének biztosítását. |
A. függelék
FOGALOMMEGHATÁROZÁSOK
E határozat alkalmazásában:
|
a) |
„akkreditáció”: a biztonsági akkreditációs hatóság (SAA) arra vonatkozó hivatalos nyilatkozatának kiadásával záruló eljárás, hogy egy adott rendszer jóváhagyást kapott arra, hogy működési környezetében egy meghatározott minősítési szinten, konkrét biztonsági üzemmódban és elfogadható kockázati szinten működjön, annak feltételezésén alapulva, hogy bevezetésre kerültek jóváhagyott műszaki, fizikai, szervezeti és eljárási biztonsági intézkedések; |
|
b) |
„eszköz”: bármi, ami valamely szervezet, annak szokásos tevékenységei és e tevékenységek folytonossága szempontjából értéket képvisel, beleértve a szervezet küldetését támogató információforrásokat is; |
|
c) |
„EU-minősített adatokhoz való hozzáférési engedély”: az EKSZ biztonsági hatósága által e határozattal összhangban, a PSC tagállami illetékes hatóságai általi kiadását követően megadott engedély, amely tanúsítja, hogy egy adott személy részére – amennyiben a szükséges ismeret feltétele teljesül – az A.I. melléklet 2. cikke szerinti meghatározott (CONFIDENTIEL UE/EU CONFIDENTIAL vagy magasabb) szintig és meghatározott időpontig hozzáférés biztosítható az EU-minősített adatokhoz; |
|
d) |
„biztonsági szabályok megsértése”: az e határozatban foglalt biztonsági szabályokkal és/vagy e határozat végrehajtásához szükséges intézkedéseket megállapító biztonsági politikákkal vagy iránymutatásokkal ellentétes, valamely egyén által elkövetett cselekmény vagy mulasztás; |
|
e) |
„a CIS életciklusa”: a CIS létezésének teljes időtartama, amely magában foglalja a következőket: javaslat kezdeményezése, koncepció, tervezés, követelményelemzés, kidolgozás, kifejlesztés, tesztelés, végrehajtás, üzemeltetés, karbantartás és leállítás; |
|
f) |
„minősített szerződés”: az EKSZ által egy adott vállalkozóval árubeszerzés, munkálatok elvégzése vagy szolgáltatásnyújtás céljából kötött szerződés, amelynek teljesítése EU-minősített adatokhoz való hozzáférést vagy ilyen adatok létrehozását teszi szükségessé vagy foglalja magában; |
|
g) |
„minősített alvállalkozói szerződés”: az EKSZ-szel szerződéses viszonyban álló vállalkozó által egy másik vállalkozóval (azaz alvállalkozóval) árubeszerzés, munkálatok elvégzése vagy szolgáltatásnyújtás céljából kötött szerződés, amelynek teljesítése EU-minősített adatokhoz való hozzáférést vagy ilyen adatok létrehozását teszi szükségessé vagy foglalja magában; |
|
h) |
„kommunikációs és információs rendszer” (CIS): elektronikus formában történő információkezelést lehetővé tevő rendszer. A kommunikációs és információs rendszernek magában kell foglalnia a működéséhez szükséges valamennyi eszközt, beleértve az infrastruktúrát, a szervezetet, a személyzetet és az információforrásokat; |
|
i) |
„EU-minősített adatok illetéktelenek tudomására jutása”: az EU-minősített adatok teljes vagy részleges felfedése illetéktelen személyek vagy szervezetek számára – lásd a 9. cikk (2) bekezdését; |
|
j) |
„vállalkozó”: szerződéskötési képességgel rendelkező természetes vagy jogi személy; |
|
k) |
„kriptográfiai termékek”: kriptográfiai algoritmusok, kriptográfiai hardver- és szoftvermodulok, valamint kriptográfiai termékek, beleértve a végrehajtás leírását és a kapcsolódó dokumentációt, továbbá a kulcs generálására szolgáló anyagokat; |
|
l) |
„KBVP-művelet”: az EUSZ V. címének 2. fejezete szerinti katonai vagy polgári válságkezelési művelet; |
|
m) |
„a minősítés feloldása”: bármely biztonsági minősítés hatályának megszüntetése; |
|
n) |
„mélységi védelem”: többszintű védelembe szervezett biztonsági intézkedések alkalmazása; |
|
o) |
„kijelölt biztonsági hatóság”: egy adott tagállam nemzeti biztonsági hatóságának (NSA) felelősséggel tartozó hatóság, amelynek feladata az ipari és egyéb szervezetek tájékoztatása az iparbiztonságot érintő ügyekre vonatkozó nemzeti politikáról, valamint iránymutatás és segítségnyújtás biztosítása e politikák végrehajtása során. A kijelölt biztonsági hatóság feladatait az NSA vagy bármely más illetékes hatóság is elláthatja; |
|
p) |
„dokumentum”: bármilyen rögzített adat, fizikai formájától vagy jellemzőitől függetlenül; |
|
q) |
„visszaminősítés”: a minősítési szint leszállítása; |
|
r) |
„EU-minősített adat”: bármely olyan EU biztonsági minősítéssel ellátott adat vagy anyag, amelynek engedély nélküli hozzáférhetővé tétele különböző mértékben sértheti az Európai Unió, illetve egy vagy több tagállam érdekeit – lásd a 2. cikk f) pontját; |
|
s) |
„telephelybiztonsági tanúsítvány”: annak az NSA vagy a kijelölt biztonsági hatóság által történő hivatalos meghatározása, hogy egy adott létesítmény biztonsági szempontból megfelelő szintű védelmet tud-e nyújtani meghatározott biztonsági minősítési szintű EU-minősített adatoknak, valamint hogy az EU-minősített adatokhoz hozzáférést igénylő személyzet átesett-e a megfelelő biztonsági ellenőrzésen, és kapott-e tájékoztatást az EU-minősített adatokhoz való hozzáféréshez és azok védelméhez szükséges vonatkozó biztonsági követelményekről; |
|
t) |
EU-minősített adat „kezelése”: minden olyan lehetséges tevékenység, amelynek az EU-minősített adat életciklusa során ki lehet téve. Beletartozik az adat létrehozása, feldolgozása, szállítása, visszaminősítése, a rá vonatkozó minősítés feloldása és az adat megsemmisítése. A CIS-sel összefüggésben ezenfelül az adat gyűjtését, megjelenítését, átadását és tárolását is magában foglalja; |
|
u) |
„birtokos”: olyan, megfelelő engedéllyel rendelkező, a „szükséges ismeret” feltételének eleget tévő személy, aki EU-minősített adat birtokában van, és ennek megfelelően felel annak védelméért; |
|
v) |
„ipari vagy egyéb szervezet”: árubeszerzésben, munkálatok elvégzésében vagy szolgáltatásnyújtásban érintett szervezet; ez magában foglalhat ipari, kereskedelmi, szolgáltatói, tudományos, kutatási, oktatási vagy fejlesztési tevékenységet végző szervezeteket, vagy önálló vállalkozói tevékenységet végző személyt; |
|
w) |
„iparbiztonság”: olyan intézkedések alkalmazása, amelyek célja az EU-minősített adatok védelmének vállalkozók vagy alvállalkozók általi biztosítása a minősített szerződések megkötését megelőző tárgyalások és az ilyen szerződések teljes életciklusa során – lásd az A. melléklet 9. cikkének (1) bekezdését; |
|
x) |
„információvédelem”: a kommunikációs és információs rendszerek tekintetében az arra vonatkozó bizonyosságot jelenti, hogy az ilyen rendszerek megvédik az általuk kezelt adatokat, továbbá a szükséges módon, a szükséges időben, a jogszerű felhasználók ellenőrzése alatt működnek. A hatékony információvédelem biztosítja az adatok megfelelő bizalmassági szintjét, sértetlenségét, rendelkezésre állását, letagadhatatlanságát és hitelességét. Az információvédelemnek kockázatkezelési eljáráson kell alapulnia – lásd az A. melléklet 8. cikkének (1) bekezdését; |
|
y) |
„összekapcsolás”: e határozat alkalmazásában két vagy több információtechnológiai rendszer egyirányú vagy többirányú, közvetlen összekapcsolása adatok és egyéb információforrások (pl. kommunikáció) megosztása céljából – lásd az A.IV. melléklet 31. pontját; |
|
z) |
„a minősített adatok kezelése”: az EU-minősített adatok teljes életcikluson keresztüli ellenőrzésére szolgáló adminisztratív intézkedések alkalmazása az 5., 6. és 8. cikkben meghatározott intézkedések kiegészítéseként, és ezáltal hozzájárulva az ilyen adatok – szándékos vagy véletlenszerű módon – illetéktelenek tudomására jutásától vagy elvesztésétől való elrettentéshez, annak észleléséhez és a kár helyreállításához. Ezek az intézkedések különösen az EU-minősített adat létrehozására, nyilvántartásba vételére, másolására, fordítására, szállítására, kezelésére, tárolására és megsemmisítésére vonatkoznak – lásd az A. melléklet 7. cikkének (1) bekezdését; |
|
aa) |
„anyag”: bármely dokumentum, vagy készre gyártott vagy gyártás alatt álló bármely gép vagy berendezés; |
|
bb) |
„kibocsátó”: olyan uniós intézmény, hivatal vagy szerv, tagállam, harmadik állam vagy nemzetközi szervezet, amelynek fennhatósága alatt minősített adatokat hoztak létre és/vagy vittek be az uniós struktúrákba; |
|
cc) |
„személyi biztonság”: olyan intézkedések alkalmazása, amelyek biztosítják, hogy csak azok a személyek kapjanak hozzáférést az EU-minősített adatokhoz:
az A. melléklet 5. cikkének (1) bekezdésével összhangban; |
|
dd) |
az EU-minősített adatokhoz való hozzáféréshez szükséges „személyi biztonsági tanúsítvány” (PSC): a valamely tagállam illetékes hatóságai által elvégzett biztonsági ellenőrzést követően egy tagállam illetékes hatósága által tett nyilatkozat, amely tanúsítja, hogy egy adott személy részére – amennyiben a szükséges ismeret feltétele teljesül – meghatározott (CONFIDENTIEL UE/EU CONFIDENTIAL vagy magasabb) szintig és meghatározott időpontig biztosítható EU-minősített adatokhoz való hozzáférés; a fentieknek megfelelő személy „biztonsági ellenőrzésen átesett” személynek minősül; |
|
ee) |
„személyi biztonsági tanúsítványról szóló igazolás” (PSCC): valamely illetékes hatóság által kiadott igazolás, amely tartalmazza, hogy az adott személy biztonsági ellenőrzésen átesett, és érvényes személyi biztonsági tanúsítvánnyal vagy a székhely biztonságáért és az EKSZ információbiztonságáért felelős igazgató által kiadott, az EU-minősített adatokhoz való hozzáférést lehetővé tevő engedéllyel rendelkezik, továbbá azt, hogy milyen szintű EU-minősített adatokhoz férhet hozzá (CONFIDENTIEL UE/EU CONFIDENTIAL vagy magasabb), valamint a vonatkozó PSC érvényességi idejét és a tanúsítvány lejártának időpontját; |
|
ff) |
„fizikai biztonság”: az EU-minősített adatokhoz való illetéktelen hozzáférés megakadályozását célzó fizikai és technikai védelmi intézkedések alkalmazása – lásd az A. melléklet 6. cikkét; |
|
gg) |
„adott programra/projektre vonatkozó biztonsági utasítások” (PSI): adott programra/projektre alkalmazandó biztonsági eljárások felsorolása, melyek célja a biztonsági eljárások egységesítése. A felsorolás a program/projekt teljes időtartama alatt felülvizsgálható; |
|
hh) |
„nyilvántartásba vétel”: olyan eljárások alkalmazása, amelyek során rögzítésre kerül az adat életciklusa, beleértve terjesztését és megsemmisítését is – lásd az A.III. melléklet 21. pontját; |
|
ii) |
„fennmaradó kockázat”: biztonsági intézkedések végrehajtását követően fennmaradó kockázat, tekintve, hogy nem lehet minden fenyegetést elhárítani és minden sebezhetőséget megszüntetni; |
|
jj) |
„kockázat”: annak lehetősége, hogy egy adott fenyegetés kihasználja valamely szervezet vagy az általa használt rendszerek belső, illetve külső sebezhetőségét, és ezáltal kárt okoz az adott szervezetnek, illetve kárt tesz annak tárgyi eszközeiben vagy immateriális javaiban. Mérése a fenyegetések bekövetkezése valószínűségének és hatásának kombinációjával történik. |
|
kk) |
„kockázatelfogadás”: a kockázatkezelést követően fennmaradó kockázat további meglétéhez való hozzájárulásra vonatkozó döntés; |
|
ll) |
„kockázatértékelés”: a fenyegetések és sebezhetőségek azonosításából, valamint a kapcsolódó kockázatelemzésből, azaz a valószínűség és a hatás elemzéséből áll; |
|
mm) |
„kockázatkommunikáció”: a CIS felhasználói közösségei körében a kockázatokkal kapcsolatos tudatosság növelése, a jóváhagyó hatóságok tájékoztatása a kockázatokról és jelentéstétel azokról a működtető hatóságok részére; |
|
nn) |
„kockázatkezelési eljárás”: egy adott szervezet vagy az általa használt bármely rendszer biztonságát esetleg érintő, bizonytalan események azonosítására, ellenőrzésére és minimálisra csökkentésére irányuló folyamat egésze. Ez kiterjed valamennyi kockázati vonatkozású tevékenységre, az értékelést, kezelést, elfogadást és kommunikációt is beleértve; |
|
oo) |
„kockázatkezelés”: a kockázat (megfelelő technikai, fizikai, szervezeti vagy eljárási intézkedések kombinálásával történő) enyhítése, megszüntetése, csökkentése, illetve annak átruházása vagy figyelemmel kísérése; |
|
pp) |
„biztonsági vonatkozások záradéka” (SAL): különös szerződéses feltételek szerződő hatóság által összeállított jegyzéke, amely szerves részét képezi az EU-minősített adathoz való hozzáférést vagy ilyen adat létrehozását magában foglaló minősített szerződésnek, és amely meghatározza a biztonsági követelményeket vagy a szerződésnek a biztonsági védelmet igénylő elemeit – lásd az A.V. melléklet II. szakaszát; |
|
qq) |
„minősítési útmutató” (SCG): olyan dokumentum, amely – az alkalmazandó biztonsági minősítési szint meghatározása mellett – leírja egy program vagy szerződés minősített elemeit. Az SCG kiterjeszthető a program vagy a szerződés teljes időtartamára, az egyes adatelemek pedig újra- vagy visszaminősíthetők; amennyiben létezik SCG, az az SAL része kell, hogy legyen – lásd az A.V. melléklet II. szakaszát; |
|
rr) |
„biztonsági ellenőrzés”: valamely tagállam illetékes hatósága által a nemzeti jogszabályokkal és rendelkezésekkel összhangban lefolytatott vizsgálati eljárás, amelynek célja annak megállapítása, hogy egy adott személy tekintetében nem ismeretes olyan kizáró információ, amely megakadályozná, hogy meghatározott (CONFIDENTIEL UE/EU CONFIDENTIAL vagy magasabb) szintig EU-minősített adatokhoz való hozzáférést lehetővé tévő nemzeti vagy uniós PSC-t kapjon; |
|
ss) |
„biztonsági üzemeltetési eljárások”: az elfogadandó biztonsági politika végrehajtásának, a követendő biztonsági üzemeltetési eljárásoknak és a személyzet feladatkörének a leírása; |
|
tt) |
„nem minősített érzékeny adat”: olyan adat vagy anyag, amelyet az EKSZ-nek védelemben kell részesítenie a Szerződésekben vagy az azok végrehajtása során elfogadott jogi aktusokban megállapított jogi kötelezettségekből adódóan, és/vagy a szóban forgó adat érzékeny jellege miatt. A nem minősített érzékeny adatok közé tartoznak többek között az EUMSZ 339. cikkében említett, szolgálati titoktartás követelménye alá eső információk és anyagok, az 1049/2001/EK (1) rendeletnek az Európai Unió Bírósága vonatkozó ítélkezési gyakorlatával összefüggésben értelmezett 4. cikke alapján védelemben részesített érdekek körébe tartozó adatok, vagy az (EU) 2018/1725 rendelet hatálya alá tartozó személyes adatok. |
|
uu) |
„rendszerspecifikus biztonsági követelmények” (SSRS): egy sor kötelezően betartandó biztonsági elv és végrehajtandó részletes biztonsági követelmény, amely a CIS tanúsítási és akkreditációs eljárásának alapját képezi; |
|
vv) |
„TEMPEST”: illetéktelenek tudomására jutást lehetővé tevő elektromágneses kisugárzások felderítése, vizsgálata és ellenőrzése, valamint a visszaszorításukra irányuló intézkedések; |
|
ww) |
„fenyegetés”: egy adott szervezet vagy az általa használt bármely rendszerben esetlegesen károsodást eredményező, nem kívánt esemény lehetséges okozása; a fenyegetések lehetnek véletlenszerűek vagy szándékosak (rosszindulatúak), és azokat fenyegető elemek, potenciális célpontok és támadási módszerek jellemzik; |
|
xx) |
„sebezhetőség”: bármilyen jellegű sérülékenység, amelyet egy vagy több fenyegetés kihasználhat. A sebezhetőség oka lehet mulasztás, vagy az összefügghet az ellenőrzés gyengeségével, hiányosságával vagy következetlenségével, továbbá lehet technikai, eljárási, fizikai, szervezeti vagy üzemeltetési jellegű. |
(1) Az Európai Parlament és a Tanács 2001. május 30-i 1049/2001/EK rendelete az Európai Parlament, a Tanács és a Bizottság dokumentumaihoz való nyilvános hozzáférésről (HL L 145., 2001.5.31., 43. o.).
B. függelék
Biztonsági minősítések egyenértékűsége
|
EU |
TRES SECRET UE/EU TOP SECRET |
SECRET UE/EU SECRET |
CONFIDENTIEL UE/EU CONFIDENTIAL |
RESTREINT UE/EU RESTRICTED |
|
EURATOM |
EURA TOP SECRET |
EURA SECRET |
EURA CONFIDENTIAL |
EURA RESTRICTED |
|
Belgium |
Très Secret (Loi 11.12.1998) Zeer Geheim (Wet 11.12.1998) |
Secret (Loi 11.12.1998) Geheim (Wet 11.12.1998) |
Confidentiel (Loi 11.12.1998) Vertrouwelijk (Wet 11.12.1998) |
Lásd alább az (1) lábjegyzetet |
|
Bulgária |
Cтpoгo ceкретно |
Ceкретно |
Поверително |
За служебно ползване |
|
Cseh Köztársaság |
Přísně tajné |
Tajné |
Důvěrné |
Vyhrazené |
|
Dánia |
YDERST HEMMELIGT |
HEMMELIGT |
FORTROLIGT |
TIL TJENESTEBRUG |
|
Németország |
STRENG GEHEIM |
GEHEIM |
VS (2) — VERTRAULICH |
VS — NUR FÜR DEN DIENSTGEBRAUCH |
|
Észtország |
Täiesti salajane |
Salajane |
Konfidentsiaalne |
Piiratud |
|
Írország |
Top Secret |
Secret |
Confidential |
Restricted |
|
Görögország |
Άκρως Απόρρητο röv.: ΑΑΠ |
Απόρρητο röv.: (ΑΠ) |
Εμπιστευτικό röv.: (ΕΜ) |
Περιορισμένης Χρήσης röv.: (ΠΧ) |
|
Spanyolország |
SECRETO |
RESERVADO |
CONFIDENCIAL |
DIFUSIÓN LIMITADA |
|
Franciaország |
TRÈS SECRET TRÈS SECRET DÉFENSE (3) |
SECRET SECRET DÉFENSE (3) |
Lásd alább az (5) lábjegyzetet |
|
|
Horvátország |
VRLO TAJNO |
TAJNO |
POVJERLJIVO |
OGRANIČENO |
|
Olaszország |
Segretissimo |
Segreto |
Riservatissimo |
Riservato |
|
Ciprus |
Άκρως Απόρρητο röv.: (AΑΠ) |
Απόρρητο röv.: (ΑΠ) |
Εμπιστευτικό röv.: (ΕΜ) |
Περιορισμένης Χρήσης röv.: (ΠΧ) |
|
Lettország |
Sevišķi slepeni |
Slepeni |
Konfidenciāli |
Dienesta vajadzībām |
|
Litvánia |
Visiškai slaptai |
Slaptai |
Konfidencialiai |
Riboto naudojimo |
|
Luxemburg |
Très Secret Lux |
Secret Lux |
Confidentiel Lux |
Restreint Lux |
|
Magyarország |
„Szigorúan titkos!” |
„Titkos!” |
„Bizalmas!” |
„Korlátozott terjesztésű!” |
|
Málta |
L-Ogħla Segretezza Top Secret |
Sigriet Secret |
Kunfidenzjali Confidential |
Ristrett Restricted (6) |
|
Hollandia |
Stg. ZEER GEHEIM |
Stg. GEHEIM |
Stg. CONFIDENTIEEL |
Dep. VERTROUWELIJK |
|
Ausztria |
Streng Geheim |
Geheim |
Vertraulich |
Eingeschränkt |
|
Lengyelország |
Ściśle Tajne |
Tajne |
Poufne |
Zastrzeżone |
|
Portugália |
Muito Secreto |
Secreto |
Confidencial |
Reservado |
|
Románia |
Strict secret de importanță deosebită |
Strict secret |
Secret |
Secret de serviciu |
|
Szlovénia |
STROGO TAJNO |
TAJNO |
ZAUPNO |
INTERNO |
|
Szlovákia |
Prísne tajné |
Tajné |
Dôverné |
Vyhradené |
|
Finnország |
ERITTÄIN SALAINEN YTTERST HEMLIG |
SALAINEN HEMLIG |
LUOTTAMUKSELLINEN KONFIDENTIELL |
KÄYTTÖ RAJOITETTU BEGRÄNSAD TILLGÅNG |
|
Svédország |
Kvaliciferat hemlig |
Hemlig |
Konfidentiell |
Begränsat hemlig |
(1) A „Diffusion Restreinte/Beperkte Verspreiding” Belgiumban nem biztonsági minősítés. Belgium a „RESTREINT UE/EU RESTRICTED” minősítésű adatokat az Európai Unió Tanácsának biztonsági szabályzatában leírt előírásoknál és eljárásoknál nem kevésbé szigorú módon kezeli és védi.
(2) Németország: VS = Verschlusssache.
(3) A Franciaország által 2021. július 1-jét megelőzően előállított, „TRÈS SECRET DÉFENSE”, „SECRET DÉFENSE” és „CONFIDENTIEL DÉFENSE” minősítésű adatokat továbbra is a „TRÈS SECRET UE/EU TOP SECRET”, „SECRET UE/EU SECRET”, illetve „CONFIDENTIEL UE/EU CONFIDENTIAL” minősítéssel egyenértékű szinten kezelik és védik.
(4) Franciaország a „CONFIDENTIEL UE/EU CONFIDENTIAL” minősítésű adatokat a „SECRET” minősítésű adatok védelmét szolgáló francia biztonsági intézkedéseknek megfelelően kezeli és védi.
(5) Franciaország nem alkalmazza a „RESTREINT” minősítést nemzeti rendszerében. Franciaország a „RESTREINT UE/EU RESTRICTED” minősítésű adatokat az Európai Unió Tanácsának biztonsági szabályzatában leírt előírásoknál és eljárásoknál nem kevésbé szigorú módon kezeli és védi.
(6) Málta esetében a máltai és az angol nyelvű jelzések egyaránt használhatók.