Az Unió külügyi és biztonságpolitikai főképviselőjének határozata

(2011. június 15.)

az Európai Külügyi Szolgálat biztonsági szabályairól

2011/C 304/05

AZ UNIÓ KÜLÜGYI ÉS BIZTONSÁGPOLITIKAI FŐKÉPVISELŐJE,

tekintettel az Európai Külügyi Szolgálat (EKSZ) szervezetének és működésének a megállapításáról szóló 2010/427/EU tanácsi határozatra és különösen annak 10. cikkére,

tekintettel a fenti tanácsi határozat 10. cikke (1) bekezdésében említett bizottság véleményére,

mivel:

ELFOGADTA EZT A HATÁROZATOT:

1. cikk

Tárgy és hatály

(1)   A határozat az Európai Külügyi Szolgálat biztonsági és védelmi szabályait fekteti le (a továbbiakban: az EKSZ biztonsági szabályai). Létrehozza a személyzetet, a fizikai eszközöket és az adatokat veszélyeztető kockázati tényezők kezeléséhez, valamint e tekintetben a gondossági kötelezettség ellátásához szükséges általános szabályozási keretet.

(2)   Az EKSZ biztonsági szabályai az EKSZ teljes személyzetére (tisztviselők és más alkalmazottak, kirendelt nemzeti szakértők és helyi alkalmazottak) és az Unió küldöttségeinek teljes személyzetére alkalmazandók, függetlenül az egyes személyek jogállásától vagy származásától (a továbbiakban: személyzet).

(3)   A főképviselő minden szükséges intézkedést megtesz e szabályok EKSZ-en belüli végrehajtása érdekében, és kiépíti a biztonság minden szempontjának lefedéséhez szükséges kapacitásokat a tagállamok, a Tanács Főtitkársága és a Bizottság vonatkozó szolgálatainak támogatásával.

(4)   E határozat hatálybalépésétől a Tanács Főtitkársága és a Bizottság vonatkozó szolgálataival kötött szolgálat szintű megállapodások útján szükség esetén átmeneti intézkedések alkalmazhatók.

(5)   A főképviselő folyamatosan felülvizsgálja ezeket a biztonsági szabályokat. A főképviselő biztosítja a határozat alkalmazásának általános konzisztenciáját.

(6)   Amennyiben szükséges, a főképviselő a 9. cikk (6) bekezdésében említett bizottság ajánlására e határozat végrehajtását szolgáló intézkedéseket meghatározó biztonsági politikákat hagy jóvá. Ez a bizottság saját szintjén e határozatot kiegészítő vagy támogató biztonsági iránymutatásokat állapíthat meg.

(7)   A (6) bekezdés végrehajtása során a bizottság teljes mértékben figyelembe veszi a Tanács és az Európai Bizottság hatályos biztonsági politikáit és iránymutatásait az EKSZ, a Tanács és a Bizottság megfelelő biztonsági intézkedései közötti konzisztencia fenntartása érdekében.

2. cikk

Biztonsági kockázatkezelés

(1)   Védelmi biztonsági szükségleteinek meghatározása érdekében az EKSZ-nek átfogó biztonsági kockázatértékelési módszereket kell alkalmaznia, konzultálva a Tanács Főtitkárságának Biztonsági Hivatalával és az Európai Bizottság Biztonsági Igazgatóságával. E módszerek EKSZ-en belüli alkalmazásáról konzultálni kell a 9. cikk (6) bekezdésében szereplő bizottsággal.

(2)   A személyzetet, a fizikai eszközöket és az információkat veszélyeztető kockázati tényezőket folyamatként kell kezelni. E folyamat célja az ismert biztonsági kockázatok meghatározása, az ilyen kockázatok elfogadható szintre csökkentését szolgáló biztonsági intézkedések meghatározása, valamint az alapos védelem elvével összhangban álló intézkedések alkalmazása. Az ilyen intézkedések hatékonyságát folyamatosan értékelni kell.

(3)   A határozatban rögzített szerepek, felelősségek és feladatok nem sértik az EKSZ személyzete minden egyes tagjának azon felelősségét, hogy saját védelme és biztonsága tekintetében a józan észre és ítélőképességére hagyatkozzon, továbbá azt a követelményt, hogy megfeleljen minden alkalmazandó biztonsági szabálynak, előírásnak, eljárásnak és útmutatásnak.

(4)   Az EKSZ megtesz minden ésszerű intézkedést a személyzet, a fizikai eszközök és az adatok biztonságának és védelmének biztosítása, valamint azok előre látható károsodásának ésszerű megakadályozása érdekében, az 1. cikk (3) bekezdése alapján.

(5)   Az EKSZ-ben a minősített adatok teljes életciklusa során biztosított védelem érdekében hozott intézkedéseknek arányosnak kell lenniük különösen a biztonsági minősítés fokával, az adat vagy az anyag formájával és terjedelmével, a minősített információ tárolására szolgáló létesítmények elhelyezkedésével és építésével, valamint a fenyegetéssel, ideértve a helyi szinten észlelt fenyegetést, a kártékony és/vagy bűncselekménynek minősülő tevékenységeket, köztük a kémkedést, a szabotázst és a terrorizmust is.

3. cikk

Az adatok védelme

(1)   Az Európai Külügyi Szolgálat szervezetének és működésének a megállapításáról szóló 2010/427/EU tanácsi határozat 10. cikkének (1) bekezdésében említett bizottsággal való konzultációt követően a főképviselő dönt a minősített adatoknak az EU-minősített adatok védelmét szolgáló biztonsági szabályokról szóló 2011/292/EU tanácsi határozatban foglaltakkal azonos védelmére vonatkozó szabályokról (1). E szabályok elfogadásáig az EKSZ a Tanács fent említett megfelelő biztonsági szabályait alkalmazza. A főképviselő az 1. cikk (3) bekezdése alapján megtesz minden szükséges intézkedést e szabályok EKSZ-ben való végrehajtása érdekében.

(2)   Ha egy tagállam nemzeti biztonsági minősítési jelzéssel ellátott minősített adatot visz be az EKSZ struktúráiba vagy hálózatába, az EKSZ az EU-minősített adatokra alkalmazandó, megfelelő szintű előírásoknak megfelelően védi az ilyen adatokat, a 3. cikk (1) bekezdés alapján alkalmazandó szabályok szerint.

(3)   Az érzékeny de nem minősített adatok védelme tekintetében az EKSZ-en belüli biztonsági intézkedéseknek arányban kell állniuk az adatok érzékenységével és/vagy engedély nélküli közzétételüknek az EU érdekeire gyakorolt hatásával.

4. cikk

Fizikai biztonság

(1)   Megfelelő fizikai biztonsági intézkedéseket, köztük hozzáférés-ellenőrzési intézkedéseket kell foganatosítani az EKSZ minden helyiségében, épületében, irodájában, szobájában vagy más területén, továbbá az olyan területeken, amelyek minősített adatokat kezelő kommunikációs és információs rendszereknek adnak helyet. Az ilyen intézkedéseket figyelembe kell venni az épületek kialakítása és tervezése során.

(2)   Szükség esetén az alkalmazottakat és hozzátartozóikat védő fizikai biztonsági intézkedéseket kell foganatosítani.

(3)   Az (1) és (2) bekezdésben említett intézkedéseknek arányosnak kell lenniük a személyzetre és látogatókra, a fizikai eszközökre és az adatokra vonatkozó kockázatokkal.

(4)   Az EKSZ CONFIDENTIEL UE/EU CONFIDENTIAL vagy ennél magasabb, vagy ezeknek megfelelő minősítésű dokumentumok tárolására szolgáló helyiségeit biztonsági területként alakítják ki a 3. cikk (1) bekezdéséből következő szabályoknak megfelelően, amelyeket az EKSZ hatáskörrel rendelkező biztonsági hatóságának jóvá kell hagyni.

5. cikk

Személyzeti biztonsági tanúsítvány

(1)   A minősített adatokhoz való hozzáférést és a személyzeti biztonsági tanúsítványokkal kapcsolatos eljárásokat a 3. cikk (1) bekezdésén alapuló szabályokban lefektetett előírások szabályozzák.

(2)   A személyzet minden olyan tagjának, akinek a feladatai megkövetelhetik az CONFIDENTIEL UE/EU CONFIDENTIAL vagy ennél magasabb, illetve ezeknek megfelelő minősítésű adatokhoz való hozzáférést, megfelelő szintű biztonsági vizsgálaton kell átmennie, mielőtt hozzáférést kap az ilyen minősítésű adatokhoz. Helyi alkalmazottak azonban nem kapnak hozzáférést EU-minősített adatokhoz, kivéve a 3. cikk (1) bekezdésén alapuló szabályokban lefektetett feltételeknek megfelelően.

(3)   Az EKSZ személyzetére vonatkozó személyzeti biztonsági tanúsítványok eljárását a 3. cikk (1) bekezdésén alapuló szabályok fektetik le. Ezek az eljárások az Európai Bizottságban és a Tanács Főtitkárságán alkalmazott eljárások ellenőrzési szintjével azonosak.

6. cikk

A kommunikációs és információs rendszerek biztonsága

(1)   Az EKSZ védelmet biztosít a kommunikációs és információs rendszerek által kezelt adatoknak a bizalmas kezelésüket, sértetlenségüket, hozzáférhetőségüket, hitelességüket és letagadhatatlanságukat érintő fenyegetések ellen.

(2)   Minden minősített adatot kezelő kommunikációs és információs rendszert hitelesítési eljárásnak kell alávetni. Az EKSZ a Tanács Főtitkárságával és az Európai Bizottsággal konzultálva a biztonsági hitelesítést irányító rendszert alkalmaz.

(3)   Ha az EU-minősített adatok védelmét kriptográfiai termékekkel biztosítják, az ilyen termékeket az EKSZ kriptográfiai jóváhagyó hatósága hagyja jóvá az Európai Külügyi Szolgálat szervezetének és működésének a megállapításáról szóló 2010/427/EU tanácsi határozat 10. cikkének (1) bekezdésében említett bizottság ajánlása alapján, összhangban az EU-minősített adatok védelmét szolgáló biztonsági szabályokról szóló 2011/292/EU tanácsi határozat 10. cikkével.

(4)   A főképviselő a 3. cikk (1) bekezdése alapján a szükséges mértékig a következő információvédelmi feladatköröket hozza létre:

(5)   Minden rendszerhez a főképviselő a következő tisztségeket hozza létre a 3. cikk (1) bekezdése alapján:

7. cikk

A biztonsági problémákkal kapcsolatos tudatosság és képzés

(1)   A főképviselő biztosítja, hogy az EKSZ-ben megfelelő biztonság-tudatossági és képzési programok készülnek és valósulnak meg, és hogy a személyzet – és adott esetben hozzátartozóik – megfelelő, a lakóhelyükön tapasztalható kockázatokkal arányban álló felvilágosítást és képzést kapnak a biztonsági problémákról.

(2)   Mielőtt hozzáférést kapnának a minősített adatokhoz, valamint ezt követően rendszeres időközönként, a személyzet tájékoztatást kap és vállalja a felelősséget az EU-minősített adatok védelméért a 3. cikk (1) bekezdésén alapuló szabályokkal összhangban.

8. cikk

A biztonsági szabályok megsértése és az EU-minősített adatok illetéktelen tudomására jutása

(1)   A biztonságot ért bármely támadást vagy gyanított támadást azonnal jelenteni kell az EKSZ Biztonsági Igazgatóságának, amely szükség esetén tájékoztatja a Bizottság, a Tanács Főtitkársága és a tagállamok vonatkozó hatóságait.

(2)   Amennyiben ismert vagy alapos okkal gyanítható az EU-minősített adatok illetéktelen tudomására jutása vagy elvesztése, az EKSZ Biztonsági Igazgatósága tájékoztatja az Európai Bizottságot, a Tanács Főtitkárságát vagy a tagállamokat, és megtesz minden vonatkozó intézkedést a 3. cikk (1) bekezdésén alapuló szabályoknak megfelelően.

(3)   A személyzet e határozatban megállapított biztonsági szabályokat megsértő tagja a vonatkozó szabályok és rendelkezések szerint fegyelmi eljárás alá vonható. Az minősített adatok illetéktelen tudomására jutásáért vagy elvesztéséért felelős személy a vonatkozó jogszabályok és rendelkezések szerint fegyelmi és/vagy jogi eljárás alá vonható.

9. cikk

Az EKSZ biztonsági szervezete

(1)   A főképviselő az EKSZ biztonsági hatósága. E minőségében a főképviselő biztosítja, hogy:

(2)   A főképviselő szükség szerint adminisztratív megállapodásokat köthet, különösen a minősített adatok harmadik államokkal vagy nemzetközi szervezetekkel való cseréje tekintetében, az Európai Unió működéséről szóló szerződés 218. cikke (3) bekezdésének sérelme nélkül. E megállapodások kötése előtt konzultálni kell a 9. cikk (6) bekezdésében szereplő bizottsággal.

(3)   Az EKSZ ügyvezető főtitkára biztosítja, hogy megfelelő fizikai és szervezeti intézkedések történnek a személyzet és a látogatók, a fizikai eszközök és az adatok biztonsága és védelme érdekében az EKSZ valamennyi helyiségében. Az ügyvezető főtitkárt e feladat ellátásában az operatív igazgató és az EKSZ Biztonsági Igazgatósága segíti.

(4)   Az EKSZ Biztonsági Igazgatósággal rendelkezik, amely felelős az EKSZ-en belüli valamennyi biztonsági kérdés megszervezéséért, és amely a főképviselő megbízatásával összhangban a főképviselő rendelkezésére áll, és szükség esetén jelentést tesz neki. Az Európai Külügyi Szolgálat szervezetének és működésének a megállapításáról szóló 2010/427/EU tanácsi határozat 10. cikkének (3) bekezdésével összhangban a Biztonsági Igazgatóságot a tagállamok illetékes szolgálatai segítik.

(5)   Az Unió küldöttségének vezetői felelősek a küldöttség biztonságával kapcsolatos valamennyi intézkedés végrehajtásáért, és ők irányítják a küldöttség személyzetének és a látogatóknak, a fizikai eszközöknek és az adatoknak a védelmét és biztonságát. A küldöttségvezetőt e feladatok ellátásában az EKSZ Biztonsági Igazgatósága, a küldöttség ilyen feladatok és funkciók ellátására kijelölt személyzete, valamint szükség esetén külön kirendelt biztonsági személyzet segíti.

(6)   Létrejön a Biztonsági Bizottság. A főképviselő tanácsot kér a Biztonsági Bizottságtól, amely e határozat hatályán belül bármilyen biztonsági kérdést megvizsgál és értékel, és adott esetben ajánlásokat tesz. A Biztonsági Bizottság az egyes tagállamokat, a Tanács Főtitkárságát és az Európai Bizottság Biztonsági Igazgatóságát képviselő biztonsági szakértőkből áll. A Biztonsági Bizottság elnöke a főképviselő, vagy kijelölt képviselője; e bizottság a főképviselő utasítására vagy bármely tagjának kérésére ülésezik. A Biztonsági Bizottságnak úgy kell megszerveznie tevékenységét, hogy a biztonság e határozat hatálya eső bármely speciális területe tekintetében ajánlásokat tudjon tenni.

(7)   Az EKSZ Biztonsági Igazgatóságának vezetője rendszeresen találkozik a Tanács Főtitkárságának Biztonsági Igazgatójával és az Európai Bizottság Biztonsági Igazgatóságának igazgatójával, és amikor szükséges, egyeztetnek a közös érdeklődésre számot tartó kérdésekről.

10. cikk

A KBVP-misszióknak és az EU különleges képviselőinek biztonsága

Minden misszióvezetőnek vagy uniós különleges képviselőnek (EUKK) a misszió vagy a csapat biztonságáért viselt felelősségét a misszió létrehozásáról vagy az EUKK kinevezéséről szóló tanácsi határozat rögzíti. Minden misszióvezetőt vagy EUKK-t segítheti az EKSZ Biztonsági Igazgatósága annak biztosításában, hogy megfelelően végrehajtásra kerüljön az Európai Unióról szóló szerződés V. címe 2. fejezete szerint a Tanács által jóváhagyott szakpolitika az EU-n kívül műveleti minőségben alkalmazott személyi állomány biztonsága tekintetében. E célból megfelelő összeköttetési mechanizmusokat kell létrehozni.

11. cikk

Biztonsági ellenőrzések

(1)   A főképviselő biztosítja, hogy biztonsági ellenőrzésekre kerül sor a személyzet, a fizikai eszközök és az adatok védelmét az EKSZ-en belüli és misszió esetén biztosító biztonsági szabályok és rendeletek betartásának ellenőrzése érdekében, az EUSZ V. címének 2. fejezete szerint.

(2)   Az EKSZ szükség esetén a tagállamok, a Tanács Főtitkársága és az Európai Bizottság szakértelmére támaszkodhat.

(3)   A főképviselő éves biztonsági ellenőrzési programot fogad el.

12. cikk

Üzletmenet-folytonossági tervezés

Az EKSZ általános üzletmenet-folytonossági tervezése részeként az EKSZ Biztonsági Igazgatósága segíti az ügyvezető főtitkárt az EKSZ üzleti folyamatai biztonsághoz kapcsolódó kérdéseinek kezelésében.

13. cikk

Hatálybalépés

Ez a határozat az aláírása napján lép hatályba.

(1)  A Tanács 2011. március 31-i 2011/292/EU határozata az EU-minősített adatok védelmét szolgáló biztonsági szabályokról, (HL L 141., 2011.5.27., 17. o.).