1.

Ez a melléklet meghatározza az A. melléklet 5. cikkének végrehajtására vonatkozó rendelkezéseket. Konkrétan megállapítja az EKSZ által annak meghatározására alkalmazandó kritériumokat, hogy egy adott személy számára – lojalitását, szavahihetőségét és megbízhatóságát figyelembe véve – engedélyezhető-e az EU-minősített adatokhoz való hozzáférés, és rögzíti az e célból követendő vizsgálati és adminisztratív eljárásokat.

2.

Az EU-minősített adatokhoz való hozzáféréshez szükséges „személyi biztonsági tanúsítvány” (PSC) a valamely tagállam illetékes hatóságai által elvégzett biztonsági ellenőrzést követően egy tagállami illetékes hatóság által tett nyilatkozat, amely tanúsítja, hogy egy adott személy részére – amennyiben a szükséges ismeret feltétele teljesül – meghatározott (CONFIDENTIEL UE/EU CONFIDENTIAL vagy magasabb) szintig és meghatározott időpontig biztosítható az EU-minősített adatokhoz való hozzáférés; a fentieknek megfelelő személy „biztonsági ellenőrzésen átesett” személynek minősül.

3.

A „személyi biztonsági tanúsítványról szóló igazolás” (PSCC) az EKSZ biztonsági hatósága által kiadott igazolás, amely tartalmazza, hogy az adott személy biztonsági ellenőrzésen átesett, hogy milyen szintű EU-minősített adatokhoz férhet hozzá, valamint rögzíti a vonatkozó személyi biztonsági tanúsítvány érvényességi idejét és az igazolás lejártának időpontját.

4.

Az „EU-minősített adatokhoz való hozzáférés engedélyezése” az EKSZ biztonsági hatósága által e határozattal összhangban, a személyi biztonsági tanúsítvány tagállami illetékes hatóságai általi kiadását követően adott engedély, amely tanúsítja, hogy egy adott személy részére – amennyiben a szükséges ismeret feltétele teljesül – meghatározott (CONFIDENTIEL UE/EU CONFIDENTIAL vagy magasabb) szintig és meghatározott időpontig biztosítható az EU-minősített adatokhoz való hozzáférés; a fentieknek megfelelő személy „biztonsági ellenőrzésen átesett” személynek minősül.

5.

A RESTREINT UE/EU RESTRICTED minősítésű adatokhoz való hozzáférés esetében nem kötelező a személyi biztonsági tanúsítvány, és a hozzáférést megadják, ha:

6.

Egy adott személy számára csak akkor engedélyezhető a CONFIDENTIEL UE/EU CONFIDENTIAL vagy magasabb minősítési szintű adatokhoz való hozzáférés, ha:

7.

Az EKSZ meghatározza szervezeti felépítésében azokat a beosztásokat, amelyek szükségessé teszik a CONFIDENTIEL UE/EU CONFIDENTIAL vagy magasabb minősítési szintű adatokhoz való hozzáférést, és ezért megfelelő szintű személyi biztonsági tanúsítványt igényelnek a fenti (4) bekezdéssel összhangban.

8.

Az EKSZ személyzete nyilatkozik arról, hogy rendelkezik-e egynél több ország állampolgárságával.

9.

Az EKSZ személyzete tekintetében az EKSZ biztonsági hatósága elküldi a kitöltött személyi biztonsági kérdőívet az érintett személy állampolgársága szerinti tagállam nemzeti biztonsági hatóságának, és kéri, hogy végezzenek olyan minősítési szintű biztonsági ellenőrzést, amilyen szintű EU-minősített adatokhoz az érintett személynek hozzá kell férnie.

10.

Amennyiben az adott személy több mint egy ország állampolgárságával rendelkezik, az átvilágításra irányuló kérelmet annak az országnak a nemzeti biztonsági hatóságához intézik, amelynek állampolgáraként az adott személyt felvették.

11.

Amennyiben olyan személy biztonsági ellenőrzésével kapcsolatos releváns információ jut az EKSZ tudomására, aki személyi biztonsági tanúsítványért folyamodott, az EKSZ a vonatkozó szabályokkal és rendelkezésekkel összhangban értesíti erről az érintett nemzeti biztonsági hatóságot.

12.

A biztonsági ellenőrzés elvégzését követően az érintett nemzeti biztonsági hatóság értesíti az EKSZ Biztonsági Igazgatóságát a vizsgálat eredményéről.

13.

A biztonsági ellenőrzésre és a kapott eredményekre – amelyekre az EKSZ azon döntését alapozza, hogy engedélyezi-e vagy sem az EU-minősített adatokhoz való hozzáférést – az érintett tagállamban hatályos megfelelő jogszabályok és rendelkezések vonatkoznak, beleértve a jogorvoslattal kapcsolatos rendelkezéseket is. Az EKSZ biztonsági hatóságának határozata ellen a személyzeti szabályzattal összhangban lehet fellebbezni.

14.

A személyes biztonsági tanúsítvány, amennyiben az annak alapját képező ellenőrzés megállapításai továbbra is érvényesek, az érintett személy által az EKSZ-ben, a Tanács Főtitkárságán vagy a Bizottságban végzett valamennyi feladat tekintetében érvényes.

15.

Az EKSZ elfogadja a más uniós intézmény, szerv vagy ügynökség által adott engedélyt az EU-minősített adatokhoz való hozzáférésre, feltéve, hogy az továbbra is érvényes. Az engedély az érintett személy Bizottságban végzett valamennyi feladata tekintetében érvényes. Az érintett személyt alkalmazó uniós intézmény, szerv vagy ügynökség értesíti a megfelelő nemzeti biztonsági hatóságot a munkáltató megváltozásáról.

16.

Amennyiben az adott személy szolgálati időszaka a biztonsági ellenőrzés eredményéről az EKSZ biztonsági hatóságának küldött értesítés dátumától számított 12 hónapon belül nem kezdődik meg, vagy amennyiben szolgálati jogviszonya 12 hónapig vagy annál hosszabb ideig szünetel, és ez idő alatt a személy nem áll alkalmazásban az EKSZ-nél, más uniós intézménynél, ügynökségnél vagy szervnél vagy valamely tagállami nemzeti közigazgatási szervnél, ahol szükség van minősített adatokhoz való hozzáférésre, az illetékes nemzeti biztonsági hatóságtól megerősítést kell kérni arra vonatkozóan, hogy az ellenőrzés eredménye továbbra is érvényes és helytálló.

17.

Amennyiben arra vonatkozó információ jut az EKSZ tudomására, hogy egy érvényes személyi biztonsági tanúsítvánnyal rendelkező személy biztonsági kockázatot jelent, az EKSZ a vonatkozó szabályokkal és rendelkezésekkel összhangban értesíti erről az érintett nemzeti biztonsági hatóságot, és felfüggesztheti az EU-minősített adatokhoz való hozzáférést vagy visszavonhatja az ezt lehetővé tevő engedélyt. Ha valamely nemzeti biztonsági hatóság egy EU-minősített adatokhoz való hozzáférésre jogosító, érvényes engedéllyel rendelkező személyre vonatkozóan a (12) bekezdés a) pontjával összhangban tett megállapítás visszavonásáról értesíti az EKSZ-t, az EKSZ biztonsági hatósága felkérheti az illetékes nemzeti biztonsági hatóságot, hogy – ha a nemzeti jogszabályok és rendelkezések alapján módjában áll – adjon további felvilágosítást. Ha a kedvezőtlen információk megerősítést nyernek, a fent említett engedélyt visszavonják, és a személyt kizárják az EU-minősített adatokhoz való hozzáférésből, valamint azokból a beosztásokból, amelyekben az ilyen hozzáférés lehetséges, vagy amelyekben a személy veszélyeztetheti a biztonságot.

18.

Az EU-minősített adatokhoz való hozzáférésre vonatkozó engedélynek az EKSZ-személyzet tagjától való visszavonásáról szóló határozatról és adott esetben annak indokairól tájékoztatják az érintett személyt, aki kérheti az EKSZ biztonsági hatósága általi meghallgatását. A nemzeti biztonsági hatóságok által rendelkezésre bocsátott információkra az adott tagállamban hatályos megfelelő jogszabályok és rendelkezések vonatkoznak, beleértve a jogorvoslattal kapcsolatos rendelkezéseket is. Az EKSZ biztonsági hatóságának határozatai ellen a személyzeti szabályzattal összhangban lehet fellebbezni.

19.

Az EKSZ-hez CONFIDENTIEL UE/EU CONFIDENTIAL vagy magasabb minősítési szintű adatokhoz való hozzáférést igénylő beosztásba kirendelt nemzeti szakértőknek tevékenységük megkezdését megelőzően a megfelelő szintű EU-minősített adathoz való hozzáféréshez szükséges, érvényes személyi biztonsági tanúsítványt kell benyújtaniuk az EKSZ biztonsági hatóságához. A fenti eljárást a küldő tagállam folytatja le.

20.

Az EKSZ nyilvántartást vezet a felelőssége alá tartozó személyzet és a vele szerződéses jogviszonyban álló vállalkozók személyzete biztonsági tanúsítványának állapotáról. E nyilvántartás tartalmazza, hogy az adott személy számára milyen minősítési szintű EU-minősített adatokhoz biztosítható hozzáférés (CONFIDENTIEL UE/EU CONFIDENTIAL vagy magasabb), valamint a személyi biztonsági tanúsítvány kibocsátásának dátumát és érvényességi idejét.

21.

Megfelelő koordinációs eljárásokat vezetnek be a tagállamokkal és más uniós intézményekkel, ügynökségekkel és szervekkel annak biztosítása érdekében, hogy az EKSZ pontos és átfogó nyilvántartást vezessen a felelőssége alá tartozó személyzet és a vele szerződéses jogviszonyban álló vállalkozók személyzete biztonsági tanúsítványának állapotáról.

22.

Az EKSZ biztonsági hatósága személyi biztonsági tanúsítványról szóló igazolást (PSCC) adhat ki, amely tartalmazza, hogy az adott személy számára milyen minősítési szintű EU-minősített adatokhoz biztosítható hozzáférés (CONFIDENTIEL UE/EU CONFIDENTIAL vagy magasabb), valamint a vonatkozó személyi biztonsági tanúsítvány érvényességi idejét és az igazolás lejáratának időpontját.

23.

A feladatkörüknél fogva az EU-minősített adatokhoz való hozzáférésre a nemzeti jogszabályokkal és rendelkezésekkel összhangban megfelelően felhatalmazott személyeket az EKSZ Biztonsági Igazgatósága adott esetben tájékoztatja az EU-minősített adatok védelmével kapcsolatos biztonsági kötelezettségeikről.

24.

Az EU-minősített adatokhoz való hozzáférés engedélyezése előtt valamennyi személynek írásban kell nyilatkoznia arról, hogy megértette az EU-minősített adatok védelmével kapcsolatos kötelezettségeit, valamint az EU-minősített adatok illetéktelenek tudomására jutásának következményeit. Az ilyen írásbeli nyilatkozatokról az EKSZ nyilvántartást vezet.

25.

Mindazon személyekkel, akik engedéllyel rendelkeznek EU-minősített adatokhoz való hozzáférésre, vagy akiknek ilyen adatokat kell kezelniük, kezdetben, majd később rendszeres időközönként ismertetik a biztonságot fenyegető veszélyeket, és e személyeknek haladéktalanul jelenteniük kell a megfelelő biztonsági hatóságoknak bármilyen, általuk gyanúsnak vagy szokatlannak ítélt magatartást vagy tevékenységet.

26.

Mindazon személyek tekintetében, akik számára engedélyezték az EU-minősített adatokhoz való hozzáférést, folyamatos személyi biztonsági ellenőrzéseket kell végezni (utógondozás) az EU-minősített adatok kezelésének ideje alatt. A folyamatos személyi biztonsági ellenőrzés a következők felelősségi körébe tartozik:

27.

Valamennyi személlyel, akit nem alkalmaznak tovább az EU-minősített adatokhoz való hozzáférést megkövetelő feladatok ellátására, ismertetik az EU-minősített adatok folyamatos védelmének tiszteletben tartására vonatkozó kötelezettségét, és adott esetben az érintett személyeknek ezt írásban tudomásul kell venniük.

28.

Az EKSZ biztonsági hatósága – sürgős esetben, amennyiben azt az EKSZ érdekei kellően indokolják, és a teljes körű biztonsági ellenőrzés lezárulásáig – az érintett állampolgársága szerinti tagállam nemzeti biztonsági hatóságával folytatott konzultációt követően, valamint a kizáró tényezők hiányát ellenőrző előzetes vizsgálatok eredményétől függően egy meghatározott feladat tekintetében ideiglenesen engedélyezheti az EKSZ tisztviselői és egyéb alkalmazottai számára az EU-minősített adatokhoz való hozzáférést. A teljes körű biztonsági ellenőrzést a lehető leghamarabb el kell végezni. Az ideiglenes engedély érvényességének időtartama legfeljebb hat hónap lehet, és nem teheti lehetővé a TRES SECRET UE/EU TOP SECRET minősítésű adatokhoz való hozzáférést. Minden ideiglenes engedéllyel rendelkező személynek írásban nyilatkoznia kell arról, hogy megértette az EU-minősített adatok védelmével kapcsolatos kötelezettségeit, valamint az EU-minősített adatok illetéktelenek tudomására jutásának következményeit. Az ilyen írásbeli nyilatkozatokról az EKSZ nyilvántartást vezet.

29.

Amennyiben egy adott személyt olyan beosztásba készülnek kinevezni, amelyhez az érintett által jelenleg birtokoltnál eggyel magasabb szintű személyi biztonsági tanúsítvány szükséges, a kinevezés átmeneti alapon végrehajtható, amennyiben:

30.

A fenti eljárás az annál eggyel magasabb szintű EU-minősített adatokhoz való hozzáférés megadására alkalmazandó, mint amilyen szintre vonatkozóan a személy biztonsági ellenőrzésen átesett. Ez az eljárás nem alkalmazható ismétlődő jelleggel.

31.

Különösen kivételes körülmények között – például ellenséges környezetben végrehajtott kiküldetések során vagy növekvő nemzetközi feszültség idején, amennyiben a biztonsági intézkedések ezt megkívánják, különösen életmentés céljából – a főképviselő, az EKSZ biztonsági hatósága vagy a költségvetésért és igazgatásért felelős főigazgatóság lehetőség szerint írásban hozzáférést adhat CONFIDENTIEL UE/EU CONFIDENTIAL vagy SECRET UE/EU SECRET minősítésű adatokhoz olyan személyek számára, akik nem rendelkeznek a szükséges személyi biztonsági tanúsítvánnyal, feltéve, hogy ez az engedély feltétlenül szükséges. A megadott engedélyt nyilvántartásba veszik, és bejegyzik azon adatok leírását, amelyekhez a hozzáférést jóváhagyták.

32.

A TRES SECRET UE/EU TOP SECRET minősítésű adatok esetében az ilyen sürgősségi hozzáférés olyan uniós polgárokra korlátozódik, akik számára engedélyezték a TRES SECRET UE/EU TOP SECRET szint nemzeti megfelelőjéhez vagy a SECRET UE/EU SECRET minősítésű adatokhoz való hozzáférést.

33.

Az EKSZ Biztonsági Bizottságát tájékoztatják azokról az esetekről, amikor a (31) és (32) bekezdésben foglalt eljárást alkalmazzák.

34.

Az EKSZ Biztonsági Bizottsága részére éves jelentést készítenek az e szakaszban meghatározott eljárások alkalmazásáról.

35.

Az EKSZ székhelyén és az uniós küldöttségeken tartott, CONFIDENTIEL UE/EU CONFIDENTIAL vagy magasabb minősítési szintű adatokat tárgyaló üléseken való részvétellel megbízott személyek csak személyi biztonsági tanúsítványuk állapotának megerősítését követően vehetnek részt. A tagállamok képviselői, a Tanács Főtitkársága és a Bizottság tisztviselői esetében a személyi biztonsági tanúsítványról szóló igazolást vagy a személyi biztonsági tanúsítvány egyéb bizonyítékát a megfelelő hatóságok továbbítják az EKSZ Biztonsági Igazgatóságának, az uniós küldöttség biztonsági koordinátorának vagy azt kivételes esetben az érintett személy is benyújthatja. Adott esetben összesített névjegyzék használható, amely a személyi biztonsági tanúsítvány meglétét bizonyítja.

36.

Amennyiben az EU-minősített adatokhoz való hozzáféréshez szükséges személyi biztonsági tanúsítványt visszavonják egy olyan személytől, akinek feladatai megkövetelik az EKSZ székhelyén vagy az uniós küldöttségeken tartott, CONFIDENTIEL UE/EU CONFIDENTIAL vagy magasabb minősítési szintű adatokat tárgyaló üléseken való részvételt, az illetékes hatóság tájékoztatja erről az EKSZ-t.

37.

Amennyiben egyes személyeket olyan körülmények között alkalmaznak, amelyek között potenciálisan CONFIDENTIEL UE/EU CONFIDENTIAL vagy magasabb minősítési szintű adatokhoz férhetnek hozzá, e személyeknek megfelelő biztonsági ellenőrzésen kell átesniük, vagy állandó kíséretet kell biztosítani számukra.

38.

A futároknak, a biztonsági őröknek és a kísérőknek megfelelő szintű biztonsági ellenőrzésen, vagy a nemzeti jogszabályoknak és rendelkezéseknek megfelelő egyéb vizsgálaton kell átesniük, rendszeres időközönként tájékoztatni kell őket az EU-minősített adatok védelmét célzó biztonsági eljárásokról és az olyan minősített adatok védelmét érintő feladataikról, amelyeket rájuk bíztak vagy amelyekhez véletlen folytán hozzáférhetnek.

1.

Ez a melléklet meghatározza az A. melléklet 6. cikkének végrehajtására vonatkozó rendelkezéseket. Megállapítja az olyan helyiségek, épületek, irodák, termek és egyéb területek – többek között a kommunikációs és információs rendszernek helyet adó területek – fizikai védelmének minimumkövetelményeit, ahol EU-minősített adatokat kezelnek és tárolnak.

2.

A fizikai biztonsági intézkedések célja az EU-minősített adatokhoz való jogosulatlan hozzáférés megakadályozása az alábbiak révén:

3.

Az EKSZ kockázatkezelési eljárást alkalmaz az EU-minősített adatoknak a saját helyiségein belüli védelmére, a becsült kockázattal arányos mértékű fizikai védelem biztosítása érdekében. A kockázatkezelési folyamat figyelembe veszi az összes vonatkozó tényezőt, különösen az alábbiakat:

4.

Az EKSZ biztonsági hatósága a mélységi védelem elvének alkalmazásával meghatározza a végrehajtandó fizikai biztonsági intézkedések megfelelő kombinációját. Ezek egy vagy több, alább felsorolt intézkedést foglalhatnak magukban:

5.

Az EKSZ Biztonsági Igazgatósága a be- és kilépéskor átvizsgálást végezhet a nem engedélyezett anyagok bevitelétől vagy EU-minősített adatoknak a helyiségből vagy épületből történő engedély nélküli kivitelétől való elrettentés céljából.

6.

Amennyiben fennáll az EU-minősített adatokba történő – akár véletlenszerű – betekintés kockázata, megfelelő intézkedéseket kell hozni annak kivédésére.

7.

Az új létesítmények esetében a fizikai biztonsági követelményeket és azok funkcionális jellemzőit a létesítmények tervezése és kialakítása során meg kell határozni. A már meglevő létesítmények esetében a fizikai biztonsági követelményeket a lehető legteljesebb mértékben kell érvényesíteni.

8.

Az EU-minősített adatok fizikai védelmét szolgáló felszerelések (például biztonsági tárolóeszközök, iratmegsemmisítő gépek, ajtózárak, elektronikus beléptető rendszerek, behatolásjelző-rendszerek, riasztórendszerek) beszerzésekor az EKSZ biztonsági hatósága biztosítja, hogy a felszerelések megfeleljenek a jóváhagyott műszaki szabványoknak és minimumkövetelményeknek.

9.

Az EU-minősített adatok fizikai védelmére szolgáló felszerelések műszaki jellemzőit az EKSZ Biztonsági Bizottsága által jóváhagyandó biztonsági iránymutatások tartalmazzák.

10.

A biztonsági rendszereket rendszeres időközönként ellenőrizni kell, a felszereléseket pedig rendszeresen karban kell tartani. A karbantartás során figyelembe kell venni az ellenőrzések eredményét annak biztosítása érdekében, hogy a felszerelések továbbra is optimálisan működjenek.

11.

Az egyes biztonsági intézkedések és a teljes biztonsági rendszer hatékonyságát minden ellenőrzés során újra kell értékelni.

12.

Az EU-minősített adatok fizikai védelmére a fizikai védelemben részesülő területek – vagy azok nemzeti megfelelői – két típusa kerül kialakításra:

13.

Az EKSZ biztonsági hatósága megállapítja, hogy egy adott terület megfelel-e az adminisztratív területként, biztonsági területként vagy technikailag biztosított biztonsági területként való kijelölés követelményeinek.

14.

Adminisztratív területek esetében:

15.

Biztonsági területek esetében:

16.

Amennyiben a biztosított területre való belépés lehetővé teszi az ott található minősített adatokhoz való közvetlen – bármilyen gyakorlati célt szolgáló – hozzáférést, az alábbi kiegészítő követelményeket kell alkalmazni:

17.

A lehallgatás ellen védett biztonsági területek a technikailag biztosított biztonsági terület megjelölést kapják. E területekre a következő kiegészítő követelmények vonatkoznak:

18.

A (17) bekezdés d) pontja ellenére minden kommunikációs, elektromos vagy elektronikus berendezést – mielőtt olyan területen használnák őket, ahol SECRET UE/EU SECRET vagy magasabb minősítési szintű adatokat érintő üléseket tartanak vagy munkát végeznek, valamint ahol az EU-minősített adatokat fenyegető kockázat magasnak minősül – először az EKSZ biztonsági hatósága megvizsgál annak biztosítása érdekében, hogy ilyen berendezés révén véletlenül vagy tiltott módon ne továbbíthassanak értelmezhető adatokat az adott biztosított területen kívülre.

19.

Azokat a biztosított területeket, ahol nem tartózkodik napi 24 órán át munkavégző személyzet, adott esetben a rendes munkaidő végén ellenőrzik, a rendes munkaidőn kívül pedig szúrópróbaszerűen ellenőrzik, amennyiben az említett területeken nem működik behatolásjelző rendszer.

20.

Biztonsági területek és technikailag biztosított biztonsági területek ideiglenesen is létrehozhatók egy adminisztratív területen belül, minősített üléshez vagy más hasonló célból.

21.

Minden egyes biztonsági terület tekintetében kidolgozzák a biztonsági üzemeltetési eljárásokat, amelyek az alábbiakat tartalmazzák:

22.

A biztonsági területeken biztosított helyiségeket kell kialakítani. Az EKSZ biztonsági hatósága jóváhagyja a falakat, padlókat, plafonokat, ablakokat és zárható ajtókat, amelyek az ugyanilyen minősítési szintű EU-minősített adatok tárolására jóváhagyott biztonsági tárolóeszköz által nyújtottal egyenértékű védelmet biztosítanak.

23.

A RESTREINT UE/EU RESTRICTED minősítésű EU-minősített adatok kezelhetők:

24.

A RESTREINT UE/EU RESTRICTED minősítésű EU-minősített adatokat megfelelően zárható irodabútorokban kell tárolni az adminisztratív vagy a biztosított területen belül. Ezek az adatok ideiglenesen biztosított területen vagy igazgatási területen kívül is tárolhatók, amennyiben az adat birtokosa vállalta, hogy eleget tesz az EKSZ biztonsági hatósága által kiadott biztonsági utasításokban foglalt kiegészítő intézkedéseknek.

25.

A CONFIDENTIEL UE/EU CONFIDENTIAL vagy SECRET UE/EU SECRET minősítésű EU-minősített adatok kezelhetők:

26.

A CONFIDENTIEL UE/EU CONFIDENTIAL és SECRET UE/EU SECRET minősítésű adatokat a biztonsági területen belül kell tárolni biztonsági tárolóeszközben vagy biztosított helyiségben.

27.

A TRES SECRET UE/EU TOP SECRET minősítésű adatokat biztonsági területen kell kezelni.

28.

A TRES SECRET UE/EU TOP SECRET minősítésű EU-minősített adatokat a székhely biztonsági területén az alábbi módok valamelyikének megfelelően kell tárolni:

29.

Az EU-minősített adatok fizikailag védett területeken kívüli szállítására vonatkozó szabályokat az A.III. melléklet tartalmazza.

30.

Az EKSZ biztonsági hatósága meghatározza az irodák, termek, biztosított helyiségek és biztonsági tárolóeszközök kulcsainak és kombinációinak kezelésére vonatkozó eljárásokat. Ezek az eljárások biztosítják a jogosulatlan hozzáféréssel szembeni védelmet.

31.

A kombinációkat kívülről meg kell tanulnia annak a lehető legkisebb számú személynek, akinek azokat ismernie kell. Az EU-minősített adatok tárolására szolgáló biztonsági tárolóeszközök és biztosított helyiségek kombinációit az alábbi esetekben meg kell változtatni:

1.

Ez a melléklet meghatározza az A. melléklet 7. cikkének végrehajtására vonatkozó rendelkezéseket. Megállapítja az EU-minősített adatok teljes életcikluson keresztüli ellenőrzésére szolgáló adminisztratív intézkedéseket, amelyek hozzájárulnak az ilyen adatok illetéktelenek tudomására jutásától vagy elvesztésétől való elrettentéshez – szándékos vagy véletlenszerű esetekben egyaránt –, annak észleléséhez és a kár helyreállításához.

2.

Az adatokat akkor kell minősíteni, ha a titkosságuk biztosításához védelemre van szükségük.

3.

Az EU-minősített adatok minősítési szintjének a megfelelő minősítési útmutató szerinti meghatározásáért és a címzettekhez történő továbbításáért az adat kibocsátója felel.

4.

Az EU-minősített adatok minősítési szintjét az A. melléklet 2. cikkének (2) bekezdésével összhangban, valamint az A. melléklet 3. cikkének (3) bekezdésével összhangban jóváhagyandó biztonsági iránymutatásokra hivatkozva kell meghatározni.

5.

A tagállamok EKSZ-szel megosztott minősített adatai számára ugyanolyan szintű védelmet kell biztosítani, mint az egyenértékű minősítésű EU-minősített adatok számára. E határozat B. függelékében egyenértékűségi táblázat található.

6.

A biztonsági minősítést – és adott esetben azon időpontot vagy konkrét eseményt, amelyet követően a minősített adat visszaminősíthető vagy a minősítés feloldható – egyértelműen és helyesen fel kell tüntetni, attól függetlenül, hogy az EU-minősített adat papíralapú, szóbeli, elektronikus vagy más formátumú.

7.

Egy adott dokumentum egyes részei (például oldalai, bekezdései, szakaszai, mellékletei, függelékei, toldalékai és csatolmányai) eltérő minősítést igényelhetnek, és ennek megfelelő jelölést kell kapniuk, az elektronikus formában történő tárolás esetén is.

8.

A különböző minősítési szintű részeket tartalmazó dokumentumokat lehetőség szerint úgy kell szerkeszteni, hogy az eltérő minősítésű részek könnyen felismerhetők és szükség esetén leválaszthatók legyenek.

9.

A dokumentum vagy az akta egésze legalább a legmagasabb minősítési szintű részével megegyező minősítését kap. Ha egy dokumentumot különböző forrásokból származó adatokból állítanak össze, a kész anyagot az átfogó minősítési szint meghatározása céljából át kell nézni, mivel összességében indokolt lehet az egyes részekhez képest magasabb minősítési szint.

10.

A mellékleteket kísérő levél vagy feljegyzés ugyanolyan minősítést kap, mint a legmagasabb minősítési szintű melléklete. A kibocsátó megfelelő jelöléssel egyértelműen jelzi, hogy a kísérő levél vagy feljegyzés milyen szintű minősítést kap, ha a mellékleteitől elválasztják, például a következő formában:

CONFIDENTIEL UE/EU CONFIDENTIAL

Melléklet(ek) nélküli minősítés: RESTREINT UE/EU RESTRICTED

11.

Az A. melléklet 2. cikkének (2) bekezdésében meghatározott biztonsági minősítési jelölések mellett az EU-minősített adatok további jelölésekkel láthatók el, úgymint:

12.

Az EU-minősített adatok harmadik állam vagy nemzetközi szervezet részére történő átadására vonatkozó döntést követően az EKSZ Biztonsági Igazgatósága továbbítja az érintett minősített adatokat, amelyeken szerepel az átvevő harmadik államot vagy nemzetközi szervezetet feltüntető, átadásra jogosító jelölés is.

13.

Az EKSZ biztonsági hatósága el fogja fogadni az engedélyezett jelölések listáját.

14.

Egy adott szöveg egyes bekezdései minősítési szintjének jelölésére egységes rövidített minősítési jelölések használhatók. A rövidítések nem helyettesítik a teljesen kiírt minősítési jelöléseket.

15.

Az EU-minősített dokumentumokon belül a szöveg egy oldalnál kisebb terjedelmű szakaszainak vagy részeinek minősítési szintje a következő egységes rövidítésekkel jelölhető:

16.

EU-minősített dokumentum létrehozásakor:

17.

Amennyiben az EU-minősített adatokra a (16) bekezdés nem alkalmazható, az e határozat értelmében kialakítandó biztonsági iránymutatásoknak megfelelő egyéb intézkedéseket kell hozni.

18.

Az adat létrehozásakor – amennyiben lehetséges, és különösen a RESTREINT UE/EU RESTRICTED minősítésű adat esetén – a kibocsátó jelöli, hogy egy adott időpontban vagy egy konkrét eseményt követően az EU-minősített adat visszaminősíthető-e vagy minősítése feloldható-e.

19.

Az EKSZ rendszeresen felülvizsgálja a birtokában lévő EU-minősített adatokat annak megállapítása céljából, hogy minősítési szintjük továbbra is érvényes-e. Az EKSZ kialakít egy rendszert az általa kibocsátott, nyilvántartásba vett EU-minősített adatok minősítési szintjének legalább ötévenkénti felülvizsgálatára. Nincs szükség ilyen felülvizsgálatra akkor, ha a kibocsátó már kezdetben jelezte, hogy egy adott időpontban az adatot automatikusan vissza fogják minősíteni vagy a minősítését fel fogják oldani, és az adatot ennek megfelelően jelölték.

20.

A székhelyen központi nyilvántartást hoznak létre. Az EKSZ keretében működő, EU-minősített adatot kezelő valamennyi szervezeti egységnél létrehoznak egy, a központi nyilvántartásnak alárendelt felelős nyilvántartást annak biztosítása érdekében, hogy az EU-minősített adatok kezelése e határozattal összhangban történjen. A nyilvántartásokat az A. mellékletben meghatározott biztonsági területeken hozzák létre.

Az egyes uniós küldöttségek létrehozzák az EU-minősített adatokat rögzítő saját nyilvántartásukat.

Az EKSZ biztonsági hatósága kijelöli e nyilvántartások vezető iktatási tisztviselőjét.

21.

E határozat alkalmazásában a biztonsági célú nyilvántartásba vétel (a továbbiakban: nyilvántartásba vétel) olyan eljárások alkalmazása, amelyek során rögzítésre kerül az adat életciklusa, beleértve a terjesztését és a megsemmisítését is. Kommunikációs és információs rendszer esetében a nyilvántartási eljárások a kommunikációs és információs rendszeren belüli folyamatok keretében is elvégezhetők.

22.

Valamennyi CONFIDENTIEL UE/EU CONFIDENTIAL és annál magasabb minősítésű anyagot a szervezeti egységhez – köztük az uniós küldöttségekhez – való beérkezéskor vagy az onnan történő továbbításkor nyilvántartásba vesznek. A TRES SECRET UE/EU TOP SECRET minősítésű adatokat erre kijelölt nyilvántartásokban rögzítik.

23.

Az EKSZ székhelyén található központi nyilvántartás a minősített adatok harmadik államokkal és nemzetközi szervezetekkel való megosztásának fő beérkezési és kiküldési pontjaként működik. A központi nyilvántartás valamennyi ilyen adatcserét rögzíti.

24.

Az EKSZ biztonsági hatósága jóváhagyja az EU-minősített adatok biztonsági célú nyilvántartásba vételére vonatkozó biztonsági iránymutatásokat, e határozat 14. cikkével összhangban.

25.

Az EKSZ székhelyén kijelölik a TRES SECRET UE/EU TOP SECRET minősítésű adatok központi átvételéért és továbbításáért felelős hatóságként működő központi nyilvántartást. Szükség esetén ennek alárendelt nyilvántartások is kijelölhetők ezen adatok nyilvántartási célú kezelésére.

26.

Az alárendelt nyilvántartások a központi nyilvántartás kifejezett írásbeli jóváhagyása nélkül nem továbbíthatnak közvetlenül TRES SECRET UE/EU TOP SECRET minősítésű dokumentumokat az ugyanazon TRES SECRET UE/EU TOP SECRET központi nyilvántartásnak alárendelt többi nyilvántartás számára vagy külső feleknek.

27.

A TRES SECRET EU/EU TOP SECRET minősítésű dokumentumok nem másolhatók vagy fordíthatók a kibocsátó előzetes írásbeli hozzájárulása nélkül.

28.

Amennyiben a SECRET UE/EU SECRET és ennél alacsonyabb minősítésű dokumentumok kibocsátója a másolásra vagy fordításra vonatkozóan nem határozott meg korlátozásokat, e dokumentumok az adatbirtokos utasítására másolhatók vagy fordíthatók.

29.

Az eredeti dokumentumra vonatkozó biztonsági intézkedések a másolatokra és a fordításokra is alkalmazandók. A CONFIDENTIEL UE/EU CONFIDENTIAL vagy magasabb minősítési szintű dokumentumokról kizárólag a vonatkozó (alárendelt) nyilvántartás készíthet másolatot biztonságos másológéppel. A másolatokat nyilvántartásba kell venni.

30.

Az EU-minősített adatok szállítására a (32)–(42) bekezdésben szereplő védelmi intézkedések vonatkoznak. Az EU-minősített adatok elektronikus eszközökön történő szállítása során – az A. melléklet 7. cikkének (4) bekezdésétől eltérően – az elvesztés vagy az illetéktelenek tudomására jutás kockázatának minimalizálása érdekében az alább meghatározott védelmi intézkedéseket kiegészíthetik az EKSZ biztonsági hatósága által előírt, megfelelő technikai ellenintézkedések.

31.

Az EKSZ biztonsági hatósága utasításokat bocsát ki az EU-minősített adatok e határozattal összhangban történő szállítására vonatkozóan.

32.

A valamely épületen vagy zárt épületcsoporton belül szállított EU-minősített adatokat a tartalmukba való betekintés megakadályozása érdekében el kell takarni.

33.

TRES SECRET UE/EU TOP SECRET minősítésű adatokat adott épületen vagy zárt épületcsoporton belül megfelelő biztonsági ellenőrzésen átesett személyeknek kell szállítaniuk egy lezárt borítékban, amelyen kizárólag a címzett neve tüntethető fel.

34.

Az EU-n belül épületek vagy létesítmények között szállított EU-minősített adatokat úgy kell becsomagolni, hogy azok védettek legyenek az illetéktelen hozzáféréstől.

35.

A legfeljebb SECRET UE/EU SECRET minősítési szintű adatok EU-n belüli szállítása az alábbi módok valamelyikén történik:

Egyik tagállamból a másikba történő szállítás esetén a c) pont rendelkezései kizárólag a CONFIDENTIEL UE/EU CONFIDENTIAL és annál alacsonyabb minősítésű adatokra alkalmazandók.

36.

Az olyan CONFIDENTIEL UE/EU CONFIDENTIAL és SECRET UE/EU SECRET minősítésű anyagokat (pl. gépek vagy berendezések), amelyek a (34) bekezdésben említett módon nem szállíthatók, kereskedelmi fuvarozók rakományként szállítják az A.V. mellékletnek megfelelően.

37.

A TRES SECRET UE/EU TOP SECRET minősítésű adatok EU-n belüli szállítása épületek vagy létesítmények között az adott esetnek megfelelően katonai, kormányzati vagy diplomáciai futár révén történik.

38.

Az EU-ból egy harmadik állam területére, vagy harmadik államokban található uniós szervezeti egységek között szállított EU-minősített adatokat úgy kell becsomagolni, hogy védve legyenek az illetéktelen hozzáféréstől.

39.

A CONFIDENTIEL UE/EU CONFIDENTIAL és a SECRET UE/EU SECRET minősítésű adatoknak az EU-ból valamely harmadik állam területére, valamint a legfeljebb SECRET UE/EU SECRET minősítési szintű EU-minősített adatoknak a harmadik államokban lévő uniós szervezeti egységek között történő szállítása az alábbi módok valamelyikén történik:

40.

A CONFIDENTIEL UE/EU CONFIDENTIAL és a SECRET UE/EU SECRET minősítésű, az EU által harmadik állam vagy nemzetközi szervezet részére átadott adatok szállítása az A. melléklet 10. cikkének (2) bekezdése szerinti adatbiztonsági megállapodások vagy igazgatási megállapodások vonatkozó rendelkezéseivel összhangban történik.

41.

A RESTREINT UE/EU RESTRICTED minősítésű adatok az EU-ból valamely harmadik állam területére postaszolgálatok vagy kereskedelmi futárszolgálatok révén is szállíthatók.

42.

A TRES SECRET UE/EU TOP SECRET minősítésű adatoknak az EU-ból harmadik állam területére, vagy harmadik államokban lévő uniós szervezeti egységek között történő szállítása katonai vagy diplomáciai futár útján történik.

43.

A már nem szükséges EU-minősített dokumentumok – az archiválásra vonatkozó szabályok és rendelkezések sérelme nélkül – megsemmisíthetők.

44.

A dokumentumok birtokosának vagy az illetékes hatóságnak az utasítására a felelős nyilvántartás semmisíti meg azokat a dokumentumokat, amelyeket az A. melléklet 7. cikkének (2) bekezdésével összhangban nyilvántartásba kell venni. Az iktatókönyveket és az egyéb nyilvántartási adatokat ennek megfelelően aktualizálják.

45.

A SECRET UE/EU SECRET vagy TRES SECRET UE/EU TOP SECRET minősítésű dokumentumok esetében a megsemmisítést tanú jelenlétében hajtják végre, aki a megsemmisítendő dokumentum minősítési szintjével legalább megegyező szintre vonatkozó személyi biztonsági tanúsítvánnyal rendelkezik.

46.

Az ügykezelő és – amennyiben annak jelenléte kötelező – a tanú aláírja a megsemmisítési tanúsítványt, amelyet iktatnak a nyilvántartásban. A nyilvántartás a megsemmisítési tanúsítványokat TRES SECRET UE/EU TOP SECRET minősítésű dokumentumok esetében legalább tíz évig, CONFIDENTIEL UE/EU CONFIDENTIAL és SECRET UE/EU SECRET minősítésű dokumentumok esetében pedig legalább öt évig megőrzi.

47.

A minősített dokumentumokat – köztük a RESTREINT UE/EU RESTRICTED minősítéssel rendelkezőket – a vonatkozó uniós vagy azzal egyenértékű szabványoknak, vagy a tagállamok által a nemzeti műszaki szabványokkal összhangban jóváhagyott szabványoknak megfelelően kell megsemmisíteni, ezáltal megakadályozva az adott dokumentum egészének vagy egy részének helyreállítását.

48.

Az EU-minősített adatok tárolására szolgáló számítógépes adathordozókat az EKSZ biztonsági hatósága által jóváhagyott eljárásokkal összhangban kell megsemmisíteni.

49.

Az EKSZ biztonsági ellenőrzései e határozat 16. cikkével összhangban a következőket ölelik fel:

50.

Az EKSZ biztonsági ellenőrzéseit az EKSZ Biztonsági Igazgatóságának ellenőrző csoportja végzi, szükség esetén más uniós intézmények vagy a tagállamok biztonsági szakértőinek támogatásával.

Az ellenőrző csoport hozzáféréssel rendelkezik minden olyan helyszínhez, ahol EU-minősített adatokat kezelnek, különösen a nyilvántartásokhoz és a kommunikációs és információs rendszerek kapcsolódási pontjaihoz.

51.

Az EKSZ biztonsági ellenőrzéseit az uniós küldöttségeken szükség esetén a tagállamok harmadik országokban működő nagykövetségein dolgozó biztonsági tisztviselők segítségével végezhetik.

52.

Az EKSZ biztonsági hatósága minden naptári év végéig elfogadja az EKSZ következő évre vonatkozó biztonsági ellenőrzési programját.

53.

Az EKSZ biztonsági hatósága szükség esetén a fenti programban nem szereplő biztonsági ellenőrzéseket is végezhet.

54.

A biztonsági ellenőrzés végeztével a fő következtetéseket és ajánlásokat ismertetik az ellenőrzött szervezettel. Ezt követően az ellenőrző csoport jelentést készít az ellenőrzésről. Amennyiben korrekciós intézkedéseket javasolnak és ajánlásokat fogalmaznak meg, úgy a jelentésnek elegendő adatot kell tartalmaznia a levont következtetések alátámasztására. A jelentést továbbítják az EKSZ biztonsági hatósága és az ellenőrzött szervezet vezetője részére.

Az EKSZ Biztonsági Igazgatóságának felelőssége alatt rendszeresen jelentés készül az adott időszakban végrehajtott ellenőrzésekből levont tanulságok bemutatása céljából, amely jelentést az EKSZ Biztonsági Bizottsága megvizsgálja.

55.

Az EKSZ Biztonsági Bizottsága szükség esetén szakértőket jelölhet ki az EUSZ V. címének 2. fejezete alapján létrehozott uniós ügynökségeknél és szerveknél biztonsági ellenőrzéseket végző közös uniós ellenőrző csoportokban való részvételre.

56.

Az EKSZ Biztonsági Igazgatósága összeállítja és naprakészen tartja az EKSZ biztonsági ellenőrzései során használandó, az ellenőrizendő elemeket tartalmazó ellenőrző listát. Az ellenőrző listát továbbítják az EKSZ Biztonsági Bizottsága részére.

57.

Az ellenőrző lista kitöltéséhez szükséges adatokat – különösen az ellenőrzés során – az ellenőrzött szervezet biztonsági vezetőitől kell beszerezni. Az ellenőrző listát a részletes kitöltést követően az ellenőrzött szervezettel egyetértésben minősítik. E lista nem képezi az ellenőrzési jelentés részét.

1.

Ez a melléklet meghatározza az A. melléklet 8. cikkének végrehajtására vonatkozó rendelkezéseket.

2.

A kommunikációs és információs rendszerekben (CIS) végzett műveletek biztonsága és helyes működése érdekében alapvető fontosságúak az információvédelem következő jellemzői és szempontjai:

3.

Az alábbiakban foglalt rendelkezések képezik az EU-minősített adatokat kezelő bármely kommunikációs és információs rendszer biztonságosságának alapját. E rendelkezések végrehajtásának részletes követelményeit az információvédelmi biztonsági iránymutatások határozzák meg.

4.

A biztonsági kockázatkezelés a kommunikációs és információs rendszer meghatározásának, kialakításának, működtetésének és fenntartásának szerves része. A kockázatkezelést (értékelés, tulajdonképpeni kezelés, elfogadás és kommunikáció) ismétlődő folyamatként kell elvégezni, a rendszertulajdonosok, a projekthatóságok, a működtető hatóságok és a biztonsági jóváhagyó hatóságok képviselőivel közösen, egy bevált, átlátható és teljes mértékben érthető kockázatértékelési eljárást alkalmazva. A kommunikációs és információs rendszer alkalmazási körét és eszközeit a kockázatkezelési folyamat kezdetekor egyértelműen meg kell határozni.

5.

Az EKSZ illetékes hatóságai áttekintik a kommunikációs és információs rendszert fenyegető potenciális veszélyeket, valamint naprakész és pontos, az aktuális működési környezetet tükröző fenyegetésértékelést készítenek. A változó információtechnológiai környezettel való lépéstartás érdekében folyamatosan frissíteniük kell a sebezhetőségi kérdésekkel kapcsolatos ismereteiket, és rendszeresen felül kell vizsgálniuk a sebezhetőségi értékeléseket.

6.

A biztonsági kockázatkezelés célja olyan biztonsági intézkedések alkalmazása, melyek kielégítő egyensúlyt teremtenek a felhasználók igényei és a fennmaradó biztonsági kockázatok között.

7.

Egy adott kommunikációs és információs rendszer akkreditálása tekintetében a megfelelő biztonsági akkreditációs hatóság (SAA) olyan konkrét követelményeket, hatókört és részletességet határoz meg, amelyek arányban állnak a valamennyi vonatkozó tényezőt – köztük a kommunikációs és információs rendszerben kezelt EU-minősített adatok minősítési szintjét – figyelembe véve megállapított kockázattal. Az akkreditáció magában foglalja a fennmaradó kockázat hivatalos megállapítását és a fennmaradó kockázatnak a felelős hatóság általi elfogadását.

8.

A biztonság a kommunikációs és információs rendszer teljes életciklusa alatt követelmény, az indulástól kezdve egészen a működésből való kivonásig.

9.

Az életciklus minden szakasza tekintetében meg kell állapítani a kommunikációs és információs rendszerben érintett egyes felek biztonsági szerepét és a többi résztvevővel folytatott interakcióját.

10.

A kommunikációs és információs rendszereket – a technikai és nem technikai biztonsági intézkedéseket is beleértve – az akkreditációs folyamat során biztonsági tesztelésnek kell alávetni a végrehajtott biztonsági intézkedések kellő biztonsági szintjéről való meggyőződés érdekében, valamint annak ellenőrzése céljából, hogy azokat helyesen telepítették, integrálták és konfigurálták.

11.

A biztonsági értékeléseket, ellenőrzéseket és felülvizsgálatokat a kommunikációs és információs rendszer működése és karbantartása során, valamint rendkívüli körülmények felmerülése esetén rendszeresen ismételni kell.

12.

A kommunikációs és információs rendszer biztonsági dokumentációja az életciklusa alatt a változás- és konfigurációkezelés szerves részeként folyamatosan fejlődik.

13.

Az EKSZ együttműködik a Tanács Főtitkárságával, a Bizottsággal és a tagállamokkal a kommunikációs és információs rendszerben kezelt EU-minősített adatok védelmére vonatkozó bevált gyakorlat kialakítása érdekében. A bevált gyakorlatra vonatkozó iránymutatások tartalmazzák a kommunikációs és információs rendszerrel kapcsolatos, az adott fenyegetésekkel és sebezhetőségekkel szemben bizonyítottan hatékony technikai, fizikai, szervezeti és eljárási biztonsági intézkedéseket.

14.

A kommunikációs és információs rendszerben kezelt EU-minősített adatok védelme az információvédelemben részt vevő – az EU-n belüli és kívüli – szervezetek által levont tanulságokra épül.

15.

A bevált gyakorlat terjesztése és azt követő végrehajtása hozzájárul az EKSZ által működtetett, EU-minősített adatokat kezelő különböző kommunikációs és információs rendszerek azonos biztonsági szintjének eléréséhez.

16.

A kommunikációs és információs rendszert fenyegető veszélyek enyhítése érdekében technikai és nem technikai biztonsági intézkedéseket hajtanak végre, amelyek többszörös biztonsági réteget alkotnak. E rétegek az alábbiak:

a)    elrettentés : a kommunikációs és információs rendszer elleni támadást tervező bármely ellenség elrettentését célzó biztonsági intézkedések;

b)    megelőzés : a kommunikációs és információs rendszer elleni támadás megakadályozását célzó biztonsági intézkedések;

c)    észlelés : a kommunikációs és információs rendszer elleni támadás észlelését célzó biztonsági intézkedések;

d)    ellenálló képesség : a támadás hatásának az információk vagy kommunikációs és információs rendszerbeli eszközök minimumára való korlátozását és a további kár megelőzését célzó biztonsági intézkedések; valamint

e)    helyreállítás : a kommunikációs és információs rendszer biztonságos helyzetének helyreállítását célzó biztonsági intézkedések.

Az ilyen biztonsági intézkedések szigorúságának és alkalmazhatóságának mértékét kockázatértékelés alapján kell meghatározni.

17.

Az EKSZ illetékes hatóságai biztosítják, hogy képesek legyenek a szervezeti vagy nemzeti határokon esetlegesen átnyúló eseményekre való reagálásra, a válaszintézkedések összehangolása, valamint az ilyen incidensekről és a kapcsolódó kockázatokról való információcsere érdekében (számítógépes vészhelyzet-reagálási képesség).

18.

A szükségtelen kockázat elkerülése érdekében kizárólag a működési követelmények teljesítéséhez szükséges funkcionalitásokat, eszközöket és szolgáltatásokat kell végrehajtani.

19.

A kommunikációs és információs rendszer felhasználói és az automatizált folyamatok kizárólag a feladataik elvégzéséhez szükséges hozzáférésekkel, kiváltságokkal vagy engedélyekkel rendelkezhetnek a balesetek, hibák vagy a kommunikációs és információs rendszer erőforrásainak illetéktelen felhasználásából eredő károk korlátozása érdekében.

20.

A kommunikációs és információs rendszer által végrehajtott nyilvántartási eljárásokat – szükség esetén – az akkreditációs folyamat részeként ellenőrzik.

21.

A kommunikációs és információs rendszer biztonsága védelmének első vonalát a kockázatok és a rendelkezésre álló biztonsági intézkedések ismerete képezi. A kommunikációs és információs rendszer életciklusában érintett valamennyi személynek – a felhasználókat is beleértve – tudatában kell lennie különösen annak, hogy:

22.

A biztonsággal kapcsolatos felelősség ismeretének biztosítása érdekében a személyzet valamennyi érintett tagja – köztük a felső vezetés és a kommunikációs és információs rendszer felhasználói – számára kötelező információvédelmi oktatást és tudatosságnövelő képzést kell szervezni.

23.

A biztonsági intézkedések – védelmi szintként meghatározott – szükséges megbízhatósági szintjét a kockázatkezelési eljárás eredménye alapján és a vonatkozó biztonsági előírásokkal és biztonsági iránymutatásokkal összhangban határozzák meg.

24.

A védelmi szintet nemzetközileg elismert vagy nemzeti szinten jóváhagyott folyamatok és módszerek alkalmazásával ellenőrzik. Ezek elsősorban az értékelést, ellenőrzést és auditot foglalják magukban.

25.

Az EU-minősített adatok védelmére szolgáló kriptográfiai termékeket valamely tagállam nemzeti kriptográfiai jóváhagyó hatósága (CAA) értékeli és hagyja jóvá.

26.

Az EKSZ kriptográfiai jóváhagyó hatósága általi jóváhagyásra irányuló ajánlást megelőzően, az e határozat 8. cikke (5) bekezdésének megfelelően, az ilyen kriptográfiai termékeknek sikeresen át kell esniük a berendezés tervezésében vagy gyártásában részt nem vevő tagállam megfelelő minősítéssel rendelkező hatósága (AQUA) által végzett második értékelésen. A második értékelés során a vizsgálat részletessége az érintett termékek által védendő EU-minősített adatok tervezett legmagasabb minősítési szintjétől függ.

27.

Az EKSZ kriptográfiai jóváhagyó hatósága – konkrét operatív indokok alapján – a Tanács Biztonsági Bizottságának ajánlása nyomán figyelmen kívül hagyhatja a (25) és a (26) bekezdésben foglalt követelményeket, és meghatározott időtartamra ideiglenes jóváhagyást biztosíthat e határozat 8. cikkének (5) bekezdésével összhangban.

28.

A megfelelő minősítéssel rendelkező hatóság valamely tagállam kriptográfiai jóváhagyó hatósága, amely a Tanács által meghatározott szempontok alapján akkreditációt szerzett az EU-minősített adatok védelmére szolgáló kriptográfiai termékek második értékelésének elvégzésére.

29.

A főképviselő jóváhagyja a nem kriptográfiai információtechnológiai biztonsági termékek minősítésére és jóváhagyására vonatkozó biztonsági politikát.

30.

E határozat rendelkezései ellenére, amennyiben az EU-minősített adatok továbbítása biztonságos területekre vagy adminisztratív területekre korlátozódik, titkosítás nélküli továbbítás vagy alacsonyabb szintű titkosítás alkalmazható a kockázatkezelési folyamat eredményére alapozva és a biztonsági akkreditációs hatóság jóváhagyásával.

31.

E határozat alkalmazásában a rendszerek összekapcsolása két vagy több információtechnológiai rendszer adatok és egyéb információforrások megosztása (pl. kommunikáció) céljából történő, egyirányú vagy többirányú, közvetlen összekapcsolását jelenti.

32.

A kommunikációs és információs rendszer valamennyi vele összekapcsolt információtechnológiai rendszert nem megbízhatóként kezel, és a minősített adatok cseréjének ellenőrzése céljából védelmi intézkedéseket hajt végre.

33.

A kommunikációs és információs rendszer más információtechnológiai rendszerrel való bármely összekapcsolása esetében a következő alapkövetelményeknek kell eleget tenni:

34.

Akkreditált kommunikációs és információs rendszer nem kapcsolható össze nem védett vagy nyilvános hálózattal, kivéve, ha a kommunikációs és információs rendszer jóváhagyott, a közte és a nyilvános hálózat között e célból telepített határvédelmi szolgáltatással rendelkezik. Az ilyen összekapcsolásra vonatkozó biztonsági intézkedéseket az illetékes információvédelmi hatóság felülvizsgálja, és az illetékes biztonsági akkreditációs hatóság jóváhagyja.

Amennyiben a nem védett vagy nyilvános hálózatot kizárólag adatközvetítésre használják, és az adatokat az e határozat 8. cikke (5) bekezdésének megfelelően jóváhagyott kriptográfiai termékkel titkosították, az ilyen kapcsolat nem tekintendő összekapcsolásnak.

35.

Tilos a TRES SECRET UE/EU TOP SECRET minősítésű adatok kezelésére akkreditált kommunikációs és információs rendszer közvetlen vagy lépcsőzetes összekapcsolása nem védett vagy nyilvános hálózattal.

36.

A számítógépes adathordozókat az EKSZ biztonsági hatósága által jóváhagyott eljárásokkal összhangban kell megsemmisíteni.

37.

A számítógépes adathordozókat az e határozat 8. cikkének (2) bekezdése szerint kidolgozandó biztonsági iránymutatásokkal összhangban kell újrafelhasználni, visszaminősíteni vagy minősítését feloldani.

38.

Az e határozatban foglalt rendelkezések ellenére veszélyhelyzetben – például fenyegető vagy ténylegesen fennálló válság-, konfliktus- vagy háborús helyzetben – vagy rendkívüli üzemeltetési körülmények között korlátozott ideig az alábbiakban leírt különös eljárások alkalmazhatók.

39.

EU-minősített adatok az illetékes hatóság beleegyezésével továbbíthatók alacsonyabb minősítési szintre jóváhagyott kriptográfiai termékek felhasználásával vagy titkosítás nélkül, amennyiben a késedelem által okozott kár egyértelműen meghaladná a minősített adatok hozzáférhetővé tétele által okozott kárt, és ha:

40.

A (39) bekezdésben meghatározott körülmények között továbbított minősített adat nem látható el olyan jelöléssel vagy jelzéssel, amely azt a nem minősített adatoktól vagy elérhető kriptográfiai eszköz által védhető adattól megkülönbözteti. A címzetteket késedelem nélkül, egyéb módon értesíteni kell a minősítési szintről.

41.

Amennyiben a (39) bekezdésben említett eljárás alkalmazására kerül sor, ezt követően jelentést kell tenni az EKSZ Biztonsági Igazgatóságának és így az EKSZ Biztonsági Bizottságának is. A jelentés minden egyes EU-minősített adatra vonatkozóan megjelöli legalább a küldőt, a címzettet és a kibocsátót.

42.

Az EKSZ-nél a következő információvédelmi feladatköröket hozzák létre. E feladatkörök nem igényelnek külön szervezeti egységeket. Külön megbízatással kell rendelkezniük. Mindazonáltal, e feladatkörök és a hozzájuk tartozó felelősségi körök ugyanazon szervezeti egységen belül kombinálhatók vagy integrálhatók, vagy különböző szervezeti egységek között megoszthatók, feltéve, hogy ez nem vezet belső összeférhetetlenséghez vagy a feladatok ütközéséhez.

43.

Az információvédelmi hatóság felelős az alábbiakért:

44.

A TEMPEST-hatóság felelős azért, hogy a kommunikációs és információs rendszerek megfeleljenek a TEMPEST-politikáknak és -iránymutatásoknak. Jóváhagyja a TEMPEST-ellenintézkedéseket azokra a berendezésekre és termékekre vonatkozóan, amelyek működési környezetükben meghatározott minősítési szintig biztosítják az EU-minősített adatok védelmét.

45.

A kriptográfiai jóváhagyó hatóság felel annak biztosításáért, hogy a kriptográfiai termékek megfeleljenek a vonatkozó kriptográfiai iránymutatásoknak. Jóváhagyja a kriptográfiai termékeket, amelyek működési környezetükben meghatározott minősítési szintig biztosítják az EU-minősített adatok védelmét.

46.

A kriptográfiai terjesztési hatóság a következőkért felelős:

47.

Az egyes rendszerek biztonsági akkreditációs hatósága a következőkért felelős:

48.

Az EKSZ biztonsági akkreditációs hatósága felel az EKSZ hatáskörében működő valamennyi kommunikációs és információs rendszer akkreditálásáért.

49.

Közös biztonsági akkreditációs bizottság (SAB) felel a mind az EKSZ, mind a tagállamok biztonsági akkreditációs hatóságainak hatáskörébe tartozó kommunikációs és információs rendszerek akkreditálásáért. A biztonsági akkreditációs bizottság az egyes tagállamok biztonsági akkreditációs hatóságainak képviselőiből áll, és ülésein részt vesz a Főtitkárság és a Bizottság biztonsági akkreditációs hatóságának egy képviselője. A kommunikációs és információs rendszerekhez kapcsolódó egyéb szervezetek meghívást kapnak az adott rendszerrel foglalkozó ülésekre.

A biztonsági akkreditációs bizottság elnöke az EKSZ biztonsági akkreditációs hatóságának a képviselője. A biztonsági akkreditációs bizottság a kommunikációs és információs rendszerhez kapcsolódó intézmények, tagállamok és más szervezetek biztonsági akkreditációs hatóságai képviselőinek konszenzusos döntése alapján jár el. Rendszeres időközönként jelentést tesz tevékenységeiről az EKSZ Biztonsági Bizottságának, és azt valamennyi akkreditációs tanúsítványról értesíti.

50.

Az egyes rendszerek információvédelmi üzemeltetési hatósága felelős az alábbiakért:

1.

Ez a melléklet meghatározza az A. melléklet 9. cikkének végrehajtására vonatkozó rendelkezéseket. Meghatározza az EKSZ által odaítélt minősített szerződések megkötését megelőző tárgyalások és a szerződések teljes életciklusa során a gazdálkodó vagy más szervezetekre alkalmazandó általános biztonsági rendelkezéseket.

2.

Az EKSZ biztonsági hatósága jóváhagyja az iparbiztonságra vonatkozó iránymutatásokat, amelyek felvázolják különösen a telephelybiztonsági tanúsítványokra, a biztonsági vonatkozások záradékára, a látogatásokra, valamint az EU-minősített adatok továbbítására és szállítására vonatkozó részletes követelményeket.

3.

A pályázati felhívás kiírását vagy a minősített szerződés odaítélését megelőzően az EKSZ szerződő hatóságként meghatározza a pályázók és vállalkozók részére nyújtandó bármely adat biztonsági minősítését, valamint a vállalkozó által létrehozandó bármely adat biztonsági minősítését. E célból az EKSZ elkészíti a szerződés teljesítése során alkalmazandó SCG-t.

4.

A minősített szerződés különféle elemeire vonatkozó biztonsági minősítések meghatározása érdekében az alábbi elveket kell alkalmazni:

5.

A szerződésspecifikus biztonsági követelményeket a SAL-ban rögzítik. Adott esetben a SAL tartalmazza az SCG-t, és a minősített vállalkozói vagy alvállalkozói szerződés szerves részét képezi.

6.

A SAL tartalmazza a vállalkozók és/vagy alvállalkozók részére az e határozatban foglalt minimumszabályok teljesítését előíró rendelkezéseket. A minimumszabályok be nem tartása elegendő indokot jelenthet a szerződés felbontására.

7.

Az EU-minősített adatokhoz való hozzáférést, vagy azok kezelését vagy tárolását magában foglaló program vagy projekt hatályának függvényében a program vagy projekt irányítására kijelölt szerződő hatóság kidolgozhatja az adott programra/projektre vonatkozó biztonsági utasításokat (PSI). A PSI-hez a tagállamoknak a programban/projektben részt vevő nemzeti biztonsági hatósága/kijelölt biztonsági hatósága vagy bármely más illetékes biztonsági hatóság általi jóváhagyás szükséges, és a PSI további biztonsági követelményeket tartalmazhat.

8.

Az EKSZ Biztonsági Igazgatóságának kérésére az érintett tagállam nemzeti biztonsági hatósága/kijelölt biztonsági hatósága vagy bármely más illetékes biztonsági hatósága FSC-t bocsát ki annak jelzésére, hogy – a nemzeti jogszabályokkal és rendelkezésekkel összhangban – egy gazdálkodó vagy más szervezet képes az EU-minősített adatok megfelelő minősítési szinten (CONFIDENTIEL UE/EU CONFIDENTIAL vagy SECRET UE/EU SECRET) való védelmére a létesítményein belül. Az FSC EKSZ-nek történő bemutatásáig a vállalkozó, alvállalkozó vagy potenciális vállalkozó vagy alvállalkozó számára nem biztosítják vagy engedélyezik az EU-minősített adatokhoz való hozzáférést.

9.

Adott esetben az EKSZ szerződő hatóságként értesíti a megfelelő nemzeti biztonsági hatóságot/kijelölt biztonsági hatóságot vagy bármely más illetékes biztonsági hatóságot arról, hogy a szerződést megelőző szakaszban vagy a szerződés teljesítéséhez FSC-re van szükség. FSC-re vagy PSC-re akkor van szükség a szerződéskötés előtti szakaszban, ha a pályázati eljárás során CONFIDENTIEL UE/EU CONFIDENTIAL vagy SECRET UE/EU SECRET minősítésű adatot kell átadni.

10.

Az EKSZ szerződő hatóságként nem köthet minősített szerződést a megfelelőnek tartott pályázóval azt megelőzően, hogy szükség esetén kézhez kapná az érintett vállalkozó vagy alvállalkozó bejegyzésének helye szerinti tagállam nemzeti biztonsági hatósága/kijelölt biztonsági hatósága vagy bármely más illetékes biztonsági hatósága által kiállított megerősítést a megfelelő FSC kibocsátásáról.

11.

Az EKSZ szerződő hatóságként felkéri az FSC-t kibocsátó nemzeti biztonsági hatóságot/kijelölt biztonsági hatóságot vagy bármely más illetékes biztonsági hatóságot, hogy értesítse az EKSZ-t az FSC-t érintő bármely kedvezőtlen információról. Alvállalkozói szerződés esetén a nemzeti biztonsági hatóságot/kijelölt biztonsági hatóságot, illetve bármely egyéb illetékes biztonsági hatóságot ennek megfelelően tájékoztatni kell.

12.

Az FSC-nek az adott nemzeti biztonsági hatóság/kijelölt biztonsági hatóság vagy bármely más illetékes biztonsági hatóság általi visszavonása elegendő indokot szolgáltat az EKSZ-nek mint szerződő hatóságnak a minősített szerződés felbontására vagy a pályázó versenyből való kizárására.

13.

A CONFIDENTIEL UE/EU CONFIDENTIAL vagy magasabb minősítési szintű EU-minősített adatokhoz való hozzáférést igénylő munkát végző, vállalkozók alkalmazásában álló személyzet valamennyi tagja esetében megfelelő biztonsági ellenőrzést kell végezni, és teljesülnie kell a „szükséges ismeret” feltételének. Bár a PSC megléte nem előfeltétele a RESTREINT UE/EU RESTRICTED minősítésű EU-minősített adatokhoz való hozzáférésnek, az ilyen hozzáféréshez is teljesülnie kell a „szükséges ismeret” feltételének.

14.

A vállalkozók személyzetére vonatkozó PSC-kérelmeket a szervezetért felelős nemzeti biztonsági hatósághoz/kijelölt biztonsági hatósághoz kell benyújtani.

15.

Az EKSZ hangsúlyozza azon vállalkozóknak, akik harmadik állambeli állampolgárt kívánnak foglalkoztatni egy EU-minősített adatokhoz való hozzáférést megkövetelő beosztásban, hogy az érintett személyt alkalmazó szervezet helye szerinti tagállam nemzeti biztonsági hatósága/kijelölt biztonsági hatósága felelős annak megállapításáért, hogy e határozat szerint az érintett személynek megadható-e az ilyen adatokhoz való hozzáférés, valamint annak megerősítéséért, hogy a kibocsátónak hozzájárulását kellett adnia az ilyen hozzáférés engedélyezése előtt.

16.

Amikor egy pályázó részére a szerződést megelőző szakaszban EU-minősített adatot adnak át, a pályázati felhívásnak tartalmaznia kell egy olyan kitételt, miszerint az a pályázó, aki végül nem nyújtja be pályázatát, vagy akit nem választanak ki, köteles adott időn belül valamennyi minősített dokumentumot visszaszolgáltatni.

17.

Amint sor kerül egy minősített vállalkozói vagy alvállalkozói szerződés odaítélésére, az EKSZ szerződő hatóságként értesíti a vállalkozó vagy alvállalkozó nemzeti biztonsági hatóságát/kijelölt biztonsági hatóságát vagy bármely más illetékes biztonsági hatóságát a minősített szerződésre vonatkozó biztonsági rendelkezésekről.

18.

Amennyiben egy ilyen szerződést felmondanak vagy az lejár, az EKSZ szerződő hatóságként (és/vagy a nemzeti biztonsági hatóság/kijelölt biztonsági hatóság vagy adott esetben bármely más illetékes biztonsági hatóság, alvállalkozói szerződés esetén) késedelem nélkül értesíti azon tagállam nemzeti biztonsági hatóságát/kijelölt biztonsági hatóságát vagy bármely más illetékes biztonsági hatóságát, amelyben a vállalkozót vagy alvállalkozót bejegyezték.

19.

Általános szabály, hogy a vállalkozó vagy alvállalkozó a minősített vállalkozói vagy alvállalkozói szerződés felmondását vagy lejártát követően köteles valamennyi EU-minősített adatot visszaszolgáltatni a szerződő hatóságnak.

20.

Az EU-minősített adatoknak a szerződés teljesítése során vagy a szerződés felmondásával vagy lejártával történő megsemmisítésére vonatkozó egyedi rendelkezéseket a SAL-ban kell lefektetni.

21.

Amennyiben a vállalkozó vagy alvállalkozó engedélyt kap az EU-minősített adatok megtartására a szerződés felmondását vagy lejártát követően, a vállalkozónak vagy alvállalkozónak továbbra is eleget kell tennie az e határozatban foglalt minimumszabályoknak, és védenie kell az EU-minősített adatok bizalmasságát.

22.

A pályázati felhívás és a szerződés határozza meg azon feltételeket, amelyek szerint a vállalkozó alvállalkozói szerződést köthet.

23.

Mielőtt a vállalkozó a minősített szerződés bármely részére alvállalkozót szerződtetne, ehhez engedélyt kér az EKSZ-től mint szerződő hatóságtól. Nem köthető alvállalkozói szerződés az olyan harmadik országokban bejegyzett ipari vagy más szervezettel, amely nem kötött adatbiztonsági megállapodást az EU-val.

24.

A vállalkozó felel annak biztosításáért, hogy minden alvállalkozói tevékenység az e határozatban foglalt minimumszabályokkal összhangban valósuljon meg, és az alvállalkozó részére nem ad át EU-minősített adatot a szerződő hatóság előzetes írásbeli engedélye nélkül.

25.

A vállalkozó vagy az alvállalkozó által létrehozott vagy kezelt EU-minősített adatok tekintetében a kibocsátót megillető jogokat a szerződő hatóság gyakorolja.

26.

Amennyiben az EKSZ-nek, a vállalkozóknak vagy az alvállalkozóknak egy minősített szerződés teljesítéséhez CONFIDENTIEL UE/EU CONFIDENTIAL vagy SECRET UE/EU SECRET minősítésű adathoz kell hozzáférniük egymás létesítményeiben, a látogatásokat a nemzeti biztonsági hatóságok/kijelölt biztonsági hatóságok vagy bármely más érintett illetékes biztonsági hatóság bevonásával kell megszervezni. Ez nem érinti a nemzeti biztonsági hatóságok/kijelölt biztonsági hatóságoknak azon jogát, hogy egyes konkrét projektekre vonatkozóan megállapodjanak az ilyen látogatások közvetlen megszervezését lehetővé tevő eljárásról.

27.

Minden látogatónak megfelelő PSC-vel kell rendelkeznie, és teljesítenie kell a „szükséges ismeret” feltételét az EKSZ szerződésével kapcsolatos EU-minősített adatokhoz való hozzáférés tekintetében.

28.

A látogatók csak a látogatás céljához kapcsolódó EU-minősített adatokhoz kapnak hozzáférést.

29.

Az EU-minősített adatok elektronikus úton történő továbbítása tekintetében az A. melléklet 8. cikkében és az A.IV. mellékletben foglalt vonatkozó rendelkezéseket kell alkalmazni.

30.

Az EU-minősített adatok szállítására az A.III. melléklet vonatkozó rendelkezéseit kell alkalmazni, a nemzeti jogszabályokkal és rendelkezésekkel összhangban.

31.

A minősített anyagok szállítmányként való szállítására vonatkozó biztonsági előírások meghatározása során az alábbi elveket kell alkalmazni:

32.

Az EU-minősített adatok olyan harmadik államokban működő vállalkozók vagy alvállalkozók részére való átadása, amelyeknek érvényes biztonsági megállapodása van az EU-val, az EKSZ mint szerződő hatóság és a vállalkozó bejegyzési helye szerinti harmadik állam nemzeti biztonsági hatósága/kijelölt biztonsági hatósága által elfogadott biztonsági intézkedésekkel összhangban történik.

33.

Az EKSZ mint szerződő hatóság adott esetben a tagállam nemzeti biztonsági hatóságával/kijelölt biztonsági hatóságával egyeztetve a szerződésben foglalt rendelkezések alapján látogatásokat tehet a vállalkozók/alvállalkozók létesítményeibe annak ellenőrzése céljából, hogy meghozták-e a RESTREINT UE/EU RESTRICTED minősítési szintű adatok védelméhez szükséges, szerződésben előírt biztonsági intézkedéseket.

34.

A nemzeti jogszabályok és rendelkezések szerint szükséges mértékben az EKSZ-nek mint szerződő hatóságnak értesítenie kell a nemzeti biztonsági hatóságokat/kijelölt biztonsági hatóságokat vagy bármely más illetékes biztonsági hatóságot a RESTREINT UE/EU RESTRICTED minősítésű adatot tartalmazó szerződésekről és alvállalkozói szerződésekről.

35.

A RESTREINT UE/EU RESTRICTED minősítésű adatot magukban foglaló, az EKSZ által odaítélt szerződések esetében az FSC, illetve PSC nem kötelező a vállalkozók, alvállalkozók és személyzetük számára.

36.

Az EKSZ mint szerződő hatóság megvizsgálja az olyan szerződésekre kiírt pályázati felhívásokra érkezett válaszokat, amelyek RESTREINT UE/EU RESTRICTED minősítésű adatokhoz való hozzáférést igényelnek, a nemzeti jogszabályok és rendelkezések értelmében az FSC-vel és a PSC-vel kapcsolatban esetleg meglévő bármely követelmény sérelme nélkül.

37.

Azon feltételeknek, amelyek alapján a vállalkozó alvállalkozót szerződtethet, összhangban kell állniuk a (22)–(24) bekezdéssel.

38.

Amennyiben egy adott szerződés RESTREINT UE/EU RESTRICTED minősítésű adatoknak a vállalkozó által működtetett kommunikációs és információs rendszerben való kezelésére is kiterjed, az EKSZ mint szerződő hatóság biztosítja, hogy a szerződésben vagy alvállalkozói szerződésben szerepeljenek a kommunikációs és információs rendszer akkreditálásához szükséges, az összes releváns tényező alapján megállapított kockázattal arányos technikai és adminisztratív követelmények. Az ilyen kommunikációs és információs rendszer akkreditációjának hatályáról a szerződő hatóság és az érintett nemzeti biztonsági hatóság/kijelölt biztonsági hatóság állapodik meg.

1.

Ez a melléklet meghatározza az A. melléklet 10. cikkének végrehajtására vonatkozó rendelkezéseket.

2.

Az EKSZ EU-minősített adatokat cserélhet harmadik államokkal vagy nemzetközi szervezetekkel az A. melléklet 10. cikkének (1) bekezdésének értelmében.

Az EUMSZ 218. cikkében előírt feladatok ellátása terén a főképviselő támogatása érdekében:

3.

Amennyiben az adatbiztonsági megállapodások rendelkeznek technikai végrehajtási szabályokról is, amelyeket az EKSZ Biztonsági Igazgatósága – a Bizottság Humánerőforrásügyi és Biztonsági Főigazgatóságának Biztonsági Igazgatóságával, valamint a Tanács Főtitkárságának Biztonsági Hivatalával egyeztetve – és a szóban forgó harmadik állam vagy nemzetközi szervezet illetékes biztonsági hatósága közösen alakít ki, az ilyen megállapodások figyelembe veszik az érintett harmadik állam vagy nemzetközi szervezet hatályos biztonsági szabályai, struktúrái és eljárásai által biztosított védelmi szintet.

4.

Amennyiben az EKSZ esetében harmadik állammal vagy nemzetközi szervezettel elvileg legfeljebb RESTREINT UE/EU RESTRICTED minősítésű adatok hosszú távú cseréjére van szükség, és amennyiben megállapítást nyert, hogy az érintett fél nem rendelkezik kellőképpen fejlett biztonsági rendszerrel az adatbiztonsági megállapodás megkötéséhez, a főképviselő – miután megkapta az EKSZ Biztonsági Bizottságának egyhangúlag kedvező véleményét e határozat 15. cikkének (5) bekezdésével összhangban – igazgatási megállapodást köthet a szóban forgó harmadik állam vagy nemzetközi szervezet illetékes biztonsági hatóságaival.

5.

Az EU-minősített adatok elektronikus eszközökkel történő cseréje harmadik állammal vagy nemzetközi szervezettel nem megengedett, kivéve ha az adatbiztonsági megállapodás vagy igazgatási megállapodás erről kifejezetten rendelkezik.

6.

A minősített adatok cseréjéről szóló igazgatási megállapodás értelmében mind az EKSZ, mind a harmadik állam vagy nemzetközi szervezet kijelöli a minősített adatok cseréjének fő beérkezési és kiküldési pontjaként működő nyilvántartást. Az EKSZ esetében ezt a szerepet az EKSZ központi nyilvántartása tölti be.

7.

Az igazgatási megállapodás megkötésére főszabályként levélváltás formájában kerül sor.

8.

Az e határozat 17. cikkében említett értékelő látogatásokra az érintett harmadik állammal vagy nemzetközi szervezettel való kölcsönös megállapodás alapján kerül sor, és a látogatások során az alábbiakat értékelik:

9.

Nem kerülhet sor EU-minősített adatok cseréjére értékelő látogatás előtt, valamint azt megelőzően, hogy a felek meghatározzák a kicserélhető minősített adatok szintjét, az ilyen adatok számára biztosítandó védelem szintjének egyenértékűsége alapján.

Amennyiben az értékelő látogatást megelőzően a minősített adatok cseréjét indokoló kivételes vagy sürgős ok jut a főképviselő tudomására, az EKSZ a következők szerint jár el:

Ha az EKSZ nem tudja azonosítani a kibocsátót, a kibocsátó felelősségét az EKSZ biztonsági hatósága vállalja magára, miután megkapta az EKSZ Biztonsági Bizottságában képviselt tagállamok egyhangúlag kedvező véleményét.

10.

Amennyiben létezik a minősített adatok harmadik államokkal vagy nemzetközi szervezetekkel való cseréjének az A. melléklet 10. cikkének (1) bekezdése szerinti kerete, az EU-minősített adatoknak az érintett harmadik állam vagy nemzetközi szervezet részére történő átadásáról az EKSZ biztonsági hatósága határoz, amely ezt a feladatot átruházhatja az EKSZ valamely vezető tisztviselőjére vagy a felügyelete alatt álló más személyre.

11.

Ha az átadni kért minősített adatok – köztük adott esetben az azokban foglalt forrásanyagok – kibocsátója nem az EKSZ, akkor az EKSZ először a kibocsátó írásbeli beleegyezését kéri, hogy az nem emel kifogást az átadással kapcsolatban. Ha az EKSZ nem tudja azonosítani a kibocsátót, a kibocsátó felelősségét az EKSZ biztonsági hatósága vállalja magára, miután megkapta az EKSZ Biztonsági Bizottságában képviselt tagállamok egyhangúlag kedvező véleményét.

12.

Az A. melléklet 10. cikkének (1) bekezdésében említett keretek egyikének hiányában, és amennyiben az Európai Unió, illetve egy vagy több tagállam érdekei politikai, operatív vagy sürgősségi okokból megkövetelik az EU-minősített adatok átadását, az EU-minősített adatok kivételesen átadhatók harmadik államnak vagy nemzetközi szervezetnek, miután meghozták a következő intézkedéseket.

Az EKSZ Biztonsági Igazgatósága a fenti (11) bekezdésben említett feltételek teljesülésének biztosítását követően:

13.

Az A. melléklet 10. cikkének (1) bekezdésében említett keretek egyikének hiányában a szóban forgó harmadik fél írásban vállalja az EU-minősített adatok megfelelő védelmének biztosítását.