1.   Šiuo sprendimu nustatomos pagrindinių saugumo subjektų, kurie pagal sprendimus (ES, Euratomas) 2015/443 ir (ES, Euratomas) 2015/444 atsako už ES įslaptintos informacijos (toliau – ESĮI) apsaugą Komisijoje, funkcijos ir atsakomybė.

2.   Šis sprendimas taikomas visiems Komisijos padaliniams ir visose Komisijos patalpose.

1.   Žmogiškųjų išteklių ir saugumo generalinio direktorato Saugumo direktorato direktorius atlieka Sprendimo (ES, Euratomas) 2015/444 7 straipsnyje nurodytos Komisijos saugumo institucijos (KSI) funkcijas.

2.   Pagal šio sprendimo 3–7 straipsnius KSI savo funkcijas vykdo šiose Sprendimu (ES, Euratomas) 2015/444 nustatytose srityse:

3.   KSI vietos saugumo pareigūnams (VSP), VSP pavaduotojams, registracijos kontrolės pareigūnams (RKP) ir RKP pavaduotojams rengia privalomus mokymus apie jų atsakomybę ir pareigas.

1.   KSI atsako už Sprendimo 2015/444 18 straipsnio reikalavimus atitinkančių saugių zonų ir ESĮI tvarkyti skirtų RIS akreditavimą.

2.   Komisijos padaliniai, derindami veiksmus su savo VSP ir, kai tinkama, su savo vietos informatikos saugumo pareigūnu (toliau – VISP), konsultuojasi su saugumo akreditavimo institucija, jei padalinys ketina:

Saugumo akreditavimo institucija teikia konsultacijas dėl šios veiklos vykstant tiek planavimo, tiek kūrimo ar plėtros procesams.

3.   ESĮI saugioje zonoje arba RIS tvarkoma tik saugumo akreditavimo institucijai suteikus atitinkamo lygio ESĮI akreditaciją.

4.   Saugios zonos akreditavimo reikalavimai apima:

5.   RIS, kuriose tvarkoma ESĮI, akreditavimo reikalavimai apima:

6.   Sėkmingai įvykdžius akreditavimo reikalavimus, saugumo akreditavimo institucija, atsižvelgdama į tvarkomos ESĮI lygį ir susijusią riziką, išduoda oficialų leidimą tvarkyti ESĮI saugioje zonoje arba RIS nurodytu aukščiausiu tvarkomos ESĮI slaptumo žymos lygiu ir ne ilgiau kaip penkeriems metams.

7.   Gavusi pranešimą apie saugumo pažeidimą arba esminį saugios zonos arba RIS struktūros ar saugumo priemonių pasikeitimą, saugumo akreditavimo institucija peržiūri ir prireikus gali atšaukti leidimą tvarkyti ESĮI, kol bus pašalinti visi nustatyti nesklandumai.

1.   TEMPEST saugumo priemonės taikomos siekiant apsaugoti RIS, kuriose tvarkoma CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnio lygio slaptumo žyma pažymėta informacija, ir gali būti taikomos slaptumo žyma RESTREINT UE/ES RESTRICTED pažymėtai informacijai.

2.   TEMPEST institucija atsako už priemonių, skirtų ESĮI apsaugoti nuo neteisėto atskleidimo dėl netyčinio elektromagnetinio spinduliavimo, patvirtinimą.

3.   RIS, kuriose tvarkoma ESĮI, savininko prašymu TEMPEST institucija parengia TEMPEST saugumo priemonių specifikacijas, atitinkančias informacijos slaptumo žymos lygį.

4.   Saugių zonų ir CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnio lygio slaptumo žyma pažymėtai ESĮI tvarkyti skirtų RIS akreditavimo metu TEMPEST institucija atlieka techninius bandymus ir, jei jie sėkmingi, išduoda TEMPEST sertifikatą.

5.   TEMPEST sertifikate pateikiama bent ši informacija:

6.   VSP arba susitikimo rengėjas, atsakingas už susitikimo, kuriame naudojama įslaptinta informacija, organizavimą, derindamas veiksmus su VSP, gali prašyti TEMPEST institucijos išbandyti susitikimų sales ir taip užtikrinti, kad techniniu požiūriu jos būtų saugios.

1.   Kriptografijos patvirtinimo institucija atsako už šifravimo technologijų naudojimo patvirtinimą.

2.   Kriptografijos patvirtinimo institucija parengia gaires dėl šifravimo technologijų naudojimo ir patvirtinimo reikalavimų.

3.   Kriptografijos patvirtinimo institucija, remdamasi sistemos savininko prašymu, patvirtina šifravimo sprendimų naudojimą. Patvirtinimas grindžiamas patenkinamu bent šių aspektų vertinimu:

4.   Kriptografijos patvirtinimo institucija tvarko patvirtintų šifravimo sprendimų registrą.

1.   Kriptografijos platinimo institucija atsako už kriptografinės medžiagos, naudojamos ESĮI (daugiausia šifravimo įrangos, kriptografinių raktų, sertifikatų ir susijusių autentiškumo patvirtinimo priemonių) apsaugai, platinimą šiems naudotojams:

2.   Pagal Sprendimo 2015/443 17 straipsnio 3 dalį atsakomybę už kriptografinės medžiagos platinimą trečiosioms šalims kriptografijos platinimo institucija gali perduoti kitiems padaliniams.

3.   Kriptografijos platinimo institucija užtikrina, kad visa kriptografinė medžiaga būtų siunčiama saugiais kanalais, apsaugančiais nuo bet kokio klastojimo ir pateikiančiais klastojimo, jei tokio būta, įrodymus, laikantis ESĮI, kuri bus apsaugota ta medžiaga, slaptumo žymos lygiui taikomų saugumo taisyklių.

4.   Kriptografijos platinimo institucija teikia gaires VSP ir, kai tinkama, kiekvieno Komisijos padalinio, dalyvaujančio kuriant, platinant ar naudojant kriptografinę medžiagą, vietos informatikos saugumo pareigūnui.

5.   Kriptografijos platinimo institucija užtikrina, kad būtų nustatytos platinimo procesui tinkamos SecOPs.

1.   Kiekvienas padalinio vadovas skiria:

2.   Prieš paskirdamas VSP, VSP pavaduotojus, RKP ir RKP pavaduotojus, padalinio vadovas prašo Žmogiškųjų išteklių ir saugumo generalinio direktorato Saugumo direktorato direktoriaus patvirtinimo.

3.   Pasikonsultavęs su VSP, padalinio vadovas nustato visas pareigas, kurioms užimti reikalingas patikimumo patikrinimas, kad būtų galima susipažinti su ESĮI. Kandidatai į tokias pareigas informuojami apie tai, kad įdarbinimo proceso metu turi būti patikrintas jų patikimumas.

4.   Bet kurio ESĮI turinčio padalinio vadovas atsako už sunaikinimo ir evakuacijos ekstremaliosios padėties atveju planų aktyvavimą, kai tai būtina. Planuose turi būti numatyta alternatyva tais atvejais, kai su padalinio vadovu susisiekti negalima.

1.   Kad įdiegtų RIS, kurioje tvarkoma ESĮI, ir nustatytų atitinkamus saugumo standartus bei reikalavimus ir pradėtų saugumo akreditavimo procesą, sistemos savininkas kuo ankstesniu projekto vykdymo etapu susisiekia su saugumo akreditavimo institucija.

2.   Sistemos savininkas užtikrina, kad saugumo priemonės atitiktų saugumo akreditavimo institucijos reikalavimus ir kad ESĮI nebūtų tvarkoma RIS, kol ji nėra akredituota.

3.   Sistemos savininkas, norėdamas gauti patvirtinimą naudoti bet kokias šifravimo technologijas, susisiekia su Kriptografijos patvirtinimo institucija. Sistemų savininkai nenaudoja šifravimo technologijų gamybos sistemose be išankstinio patvirtinimo.

4.   Su RIS saugumu susijusiais klausimais sistemos savininkas konsultuojasi su padalinio VISP.

5.   Sistemos savininkas bent kartą per metus peržiūri sistemai taikomas saugumo priemones, įskaitant jos saugumo planą.

6.   Jei RIS įvyksta saugumo incidentas ir nurodoma, kad RIS nebegali tinkamai apsaugoti ESĮI, sistemos savininkas informuoja VSP ir nedelsdamas kreipiasi į saugumo akreditavimo instituciją, prašydamas patarimo dėl tolesnių veiksmų. Tokiu atveju, kol nebus imtasi tinkamų taisomųjų veiksmų, akreditavimo procesas gali būti sustabdytas ir sistemos eksploatavimas gali būti nutrauktas.

7.   Sistemos savininkas visada teikia visapusišką paramą saugumo akreditavimo institucijai vykdant su RIS akreditavimu susijusias pareigas.

1.   VSP ir VSP pavaduotojai yra pareigūnai arba laikinieji darbuotojai.

2.   Visi VSP ir VSP pavaduotojai turi turėti galiojantį saugumo leidimą susipažinti su iki SECRET UE/ES SECRET lygio slaptumo žyma ir atitinkamais atvejais iki TRES SECRET UE/ES TOP SECRET lygio slaptumo žyma pažymėta ESĮI. Prieš paskyrimą VSP arba VSP pavaduotojas gauna saugumo leidimą.

3.   Komisijos atstovybės gali prašyti KSI leisti 1 ir 2 dalyse nustatytiems reikalavimams taikyti išimtį.

1.   Atitinkamo Komisijos padalinio VSP kiekvienai saugiai zonai, už kurią jis atsako, parengia SecOPs.

2.   VSP užtikrina, kad SecOPs apimtų šiuos reikalavimus:

1.   VSP tenka bendra atsakomybė už saugiose zonose ar patekti į jas naudojamų raktų ir kodų deramą priežiūrą ir saugojimą. Raktai ir kodai laikomi apsauginėje talpykloje ir saugomi bent tokiu pat lygiu kaip ir medžiaga, su kuria susipažinti jie suteikia galimybę.

2.   VSP tvarko apsauginių talpyklų ir saugyklų registrą, taip pat atnaujinamą visų darbuotojų, kurie nelydimi gali jomis naudotis, sąrašą.

3.   VSP tvarko apsauginių talpyklų ir saugyklų raktų, įskaitant darbuotojus, kuriems jie išduoti, registrą. Saugomas kiekvieno išduoto rakto kvitas, kuriame nurodomas rakto identifikavimo numeris, gavėjas, data ir laikas.

4.   Raktai ir kodai išduodami tik tiems darbuotojams, kuriems „būtina žinoti“ ir kuriems suteiktas atitinkamas leidimas susipažinti su ESĮI. Kai tos sąlygos nebetenkinamos, VSP pareikalauja raktą grąžinti.

5.   VSP atsarginius raktus ir visų kodų sąrašą saugo atskiruose užantspauduotuose, nepermatomuose, pasirašytuose vokuose su nurodyta data, kuriuos turi parūpinti už raktus atsakingas darbuotojas. Tie vokai laikomi apsauginėje talpykloje, priskirtoje aukščiausio slaptumo žymos lygio medžiagai, laikomai atitinkamoje talpykloje arba saugykloje.

6.   Jei keičiant kodą arba raktą aptinkama voko suklastojimo ar sugadinimo žymių, VSP tai laiko saugumo incidentu ir nedelsdamas apie tai praneša KSI.

7.   Apsauginių talpyklų kodų nustatymai saugiose zonose keičiami prižiūrint VSP. Kodai iš naujo nustatomi ne rečiau kaip kas 12 mėnesių ir visais atvejais:

8.   VSP registruoja 7 dalyje nurodytų kodų pakeitimų datas.

1.   Remdamasis Žmogiškųjų išteklių ir saugumo generalinio direktorato Saugumo direktorato pateiktomis gairėmis, VSP padalinio vadovui padeda parengti ESĮI evakuacijos ir sunaikinimo ekstremaliosios padėties atveju planus.

2.   VSP užtikrina, kad bet kokia įranga, reikalinga 1 dalyje numatytiems planams vykdyti, būtų lengvai prieinama ir geros eksploatacinės būklės.

3.   VSP kartu su pareigūnais, paskirtais 1 dalyje numatytuose planuose, ne rečiau kaip kas 12 mėnesių peržiūri planų parengties būklę ir imasi visų jiems atnaujinti būtinų veiksmų.

1.   VSP registruoja visas padalinio pareigas, kurioms užimti reikalingas Komisijos saugumo leidimas, ir tas pareigas užimančius darbuotojus. Reikalavimas gauti saugumo leidimą turi būti nurodytas įdarbinimo proceso metu pranešime apie laisvą darbo vietą ir apie jį kandidatui turi būti pranešta per pokalbį.

2.   VSP prižiūri visus prašymus išduoti saugumo leidimus susipažinti su ESĮI. VSP yra kontaktinis asmuo padalinyje ir palaiko ryšius su KSI saugumo leidimų klausimais.

3.   VSP pateikia prašymą pradėti saugumo leidimo išdavimo atitinkamam darbuotojui procedūrą ir užtikrina, kad darbuotojas nedelsdamas KSI grąžintų užpildytą nacionalinio asmens patikimumo pažymėjimo klausimyną.

4.   VSP užtikrina, kad padalinio darbuotojai, kurių patikimumas patikrintas, sudalyvautų saugumo leidimui gauti privalomame ESĮI informaciniame susitikime.

5.   Kad gautų informaciją apie visus pasikeitimus, susijusius su pareigų, kurioms užimti reikalingas saugumo leidimas, VSP reguliariai palaiko ryšius su padalinio žmogiškųjų išteklių tarnyba ir apie bet kokį tokį pakeitimą nedelsdamas informuoja KSI.

6.   VSP informuoja KSI apie naujo darbuotojo, turinčio galiojantį asmens patikimumo pažymėjimą, kad galėtų užimti pareigas, kurias eiti gali saugumo leidimą turintis darbuotojas, atvykimą.

7.   VSP užtikrina, kad padalinio darbuotojai iki nustatyto termino užbaigtų asmens patikimumo pažymėjimo atnaujinimo procedūrą. Bet kuris darbuotojas, kuris atsisako užbaigti procedūrą, privalo būti perkeltas į pareigas, kurias eiti gali saugumo leidimo neturintis darbuotojas.

1.   Jei padalinyje veikia ESĮI registratūra, VSP prižiūri RKP veiklą, susijusią su ESĮI tvarkymu ir ESĮI apsaugai užtikrinti skirtų saugumo taisyklių laikymusi.

2.   VSP ne rečiau kaip kas 12 mėnesių ir pasikeitus RKP arba RKP pavaduotojui atlieka šias patikras:

3.   Kad įsitikintų, jog dokumentai yra teisingai registruojami, VSP bent kartą per mėnesį vietoje atlieka įslaptintų dokumentų registro ir neseniai gautų įslaptintų dokumentų patikras.

4.   Visos patikros registruojamos įslaptintų dokumentų registro žurnale.

1.   RKP ir RKP pavaduotojai yra pareigūnai arba laikinieji darbuotojai.

2.   Visi RKP ir RKP pavaduotojai turi turėti galiojantį saugumo leidimą susipažinti su iki SECRET UE/ES SECRET lygio slaptumo žyma ir atitinkamais atvejais iki TRES SECRET UE/ES TOP SECRET lygio slaptumo žyma pažymėta ESĮI. Prieš paskyrimą RKP arba RKP pavaduotojas gauna saugumo leidimą.

3.   Komisijos atstovybės gali prašyti KSI leisti 1 ir 2 dalyse nustatytiems reikalavimams taikyti išimtį.

1.   RKP saugumo sumetimais registruoja CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnio lygio slaptumo žyma pažymėtą informaciją, kai:

2.   RKP registruoja visus įvykius per visą CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnio lygio slaptumo žyma pažymėtos informacijos gyvavimo ciklą. RKP taip pat užtikrina, kad būtų registruojama visa RESTREINT UE/ES RESTRICTED arba lygiaverčio lygio slaptumo žyma pažymėta informacija, kuria keičiamasi su trečiosiomis valstybėmis ir tarptautinėmis organizacijomis. Tai atliekama derinant veiksmus su Generalinio sekretoriato administruojama ESĮI registratūra.

3.   RKP registruoja CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnio lygio slaptumo žyma pažymėtus dokumentus įslaptintų dokumentų registre ir užtikrina, kad jie būtų saugiai laikomi ESĮI registratūroje.

4.   RKP Komisijos darbuotojams padeda rengti ir siųsti CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnio lygio slaptumo žyma pažymėtą informaciją.

5.   Kai CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnio lygio slaptumo žyma pažymėti dokumentai gaunami iš kitų padalinių ar išorės šalių, RKP užtikrina, kad rengėjui būtų tinkamai grąžinta pristatymo patvirtinimo forma.

6.   Prieš leisdamas darbuotojui susipažinti su ESĮI registratūroje saugomu įslaptintu dokumentu, RKP kartu su VSP patikrina, ar darbuotojas yra gavęs KSI saugumo leidimą.

7.   RKP registruoja visus į ESĮI registratūrą įeinančius ir iš jos išeinančius darbuotojus, kuriems nesuteiktas leidimas nelydimiems su tokiais dokumentais susipažinti, ir juos lydi vizito metu.

8.   Kai darbuotojas, norėdamas susipažinti su dokumentu, jį iš ESĮI registratūros išsineša, RKP užtikrina, kad darbuotojas būtų susipažinęs su atitinkamomis kompensacinėmis saugumo priemonėmis ir kad dokumentą, kai tik jo nebereikia, grąžintų. RKP darbuotojams primena visus tokius dokumentus kuo greičiau grąžinti.

9.   Jei įslaptinti dokumentai gabenami už valstybės, kurioje yra registratūra, ribų, ESĮI registratūra išduoda kurjerio pažymėjimą.

10.   Išsamios RKP instrukcijos dėl įslaptintų dokumentų registravimo pateikiamos saugumo pranešime.

1.   RKP atsako už CONFIDENTIEL UE/ES CONFIDENTIAL ir aukštesnio lygio slaptumo žyma pažymėtos informacijos sunaikinimą patvirtintomis priemonėmis, prireikus dalyvaujant liudytojams, kurių patikimumas patikrintas.

2.   Bet kokios CONFIDENTIEL UE/ES CONFIDENTIAL ir aukštesnio lygio slaptumo žyma pažymėtos informacijos sunaikinimą RKP registruoja įslaptintų dokumentų registre, o atitinkamus sunaikinimo aktus saugo ESĮI registratūroje.

1.   VSP vykdant priežiūros veiklą ESĮI registratūroje, RKP teikia VSP visą būtiną pagalbą.

2.   RKP praneša VSP apie visus įtariamus ar faktinius saugumo incidentus, o VSP savo ruožtu apie juos praneša KSI.

3.   Kai Komisijos padalinys rengia susitikimą, kuriame bus naudojama CONFIDENTIEL UE/ES CONFIDENTIAL ar aukštesnio lygio slaptumo žyma pažymėta informacija, to padalinio ESĮI registratūros RKP parengia ESĮI, kuri bus aptarta susitikime, ir su susitikimo rengėju koordinuoja veiklą, kad užtikrintų, jog visi dokumentai ir kvitai būtų tvarkomi laikantis atitinkamų taisyklių.