1.

Šajā pielikumā izklāstīti 7. panta īstenošanas noteikumi. Tajā izklāstīti kritēriji, lai, ņemot vērā personas lojalitāti un uzticamību, noteiktu, vai tai var dot atļauju piekļūt ESKI, un izmeklēšanas un administratīvās procedūras, kas vajadzīgas šim nolūkam.

2.

Personai piešķir piekļuvi klasificētai informācijai vienīgi pēc tam, kad:

3.

Katra dalībvalsts un PĢS apzina tos amatus savās struktūrās, kuriem vajadzīga piekļuve informācijai, kas klasificēta kā CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāk, un tādēļ vajadzīga attiecīga līmeņa drošības pielaide.

4.

Pēc tam, kad saņemts pienācīgi atļauts pieprasījums, VDI vai cita kompetentā valsts iestāde ir atbildīga par to, lai nodrošinātu, ka tiek veiktas drošības izmeklēšanas attiecībā uz valstspiederīgajiem, kam vajadzīga piekļuve informācijai, kura klasificēta kā CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāk. Izmeklēšanas standarti atbilst valsts normatīvajiem aktiem, lai izsniegtu PDP vai lai attiecīgā gadījumā sniegtu apliecinājumu attiecībā uz personu, kurai piešķirama atļauja piekļūt ESKI.

5.

Ja attiecīgā persona dzīvo citas dalībvalsts vai trešās valsts teritorijā, kompetentās valsts iestādes lūdz dzīvesvietas dalībvalsts iestādes palīdzību saskaņā ar valsts normatīvajiem aktiem. Dalībvalstis palīdz cita citai veikt drošības izmeklēšanu saskaņā ar saviem normatīvajiem aktiem.

6.

Ja to atļauj valsts normatīvie akti, VDI vai cita kompetenta valsts iestāde var veikt drošības izmeklēšanu attiecībā uz personām, kas nav valstspiederīgie un lūdz piekļuvi informācijai, kura klasificēta kā CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāk. Izmeklēšanas standarti ir saskaņā ar valsts normatīvajiem aktiem.

7.

Ar drošības izmeklēšanas palīdzību nosaka personas lojalitāti un uzticamību, lai šai personai varētu piešķirt drošības pielaidi ar mērķi piekļūt informācijai, kas klasificēta kā CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāk. Kompetentā valsts iestāde veic vispārēju izvērtējumu, pamatojoties uz drošības izmeklēšanas rezultātiem. Šajā sakarā izmantotajos galvenajos kritērijos ietilpst, ciktāl to atļauj valsts normatīvie akti, izskatīt, vai persona:

8.

Attiecīgos gadījumos un saskaņā ar attiecīgās valsts normatīvajiem aktiem drošības izmeklēšanā var izskatīt arī personas finanšu un medicīnisko vēsturi.

9.

Attiecīgos gadījumos un saskaņā ar attiecīgās valsts normatīvajiem aktiem drošības izmeklēšanā par nozīmīgu var uzskatīt arī laulātā, kopdzīves partnera vai tuva ģimenes locekļa uzvedību un apstākļus.

10.

Sākotnējā drošības pielaide, lai piekļūtu informācijai, kas klasificēta kā CONFIDENTIEL UE/EU CONFIDENTIAL un SECRET UE/EU SECRET, pamatojas uz drošības izmeklēšanu, kura aptver vismaz pēdējos piecus gadus vai laiku no 18 gadu vecuma līdz pašreizējam brīdim, izvēloties īsāko no abiem, un tā ietver šādus elementus:

11.

Sākotnējā drošības pielaide, lai piekļūtu informācijai, kas klasificēta kā TRÈS SECRET UE/EU TOP SECRET, pamatojas uz drošības izmeklēšanu, kura aptver vismaz pēdējos desmit gadus vai laiku no 18 gadu vecuma līdz pašreizējam brīdim, izvēloties īsāko no abiem. Ja atbilstīgi e) apakšpunktam rīko intervijas, informāciju iegūst vismaz par pēdējiem septiņiem gadiem vai par laiku no 18 gadu vecuma līdz pašreizējam brīdim, izvēloties īsāko no abiem. Papildus 7. punktā minētajiem rādītājiem, pirms piešķirt TRÈS SECRET UE/EU TOP SECRET personāla drošības pielaidi, ciktāl to atļauj valsts normatīvie akti, izmeklē turpmāk norādītos elementus; tos var izmeklēt arī, pirms piešķir CONFIDENTIEL UE/EU CONFIDENTIAL vai SECRET UE/EU SECRET personāla drošības pielaidi, ja tas prasīts valsts normatīvajos aktos:

12.

Vajadzības gadījumā un saskaņā ar valsts normatīvajiem aktiem var veikt papildu izmeklēšanu, lai apkopotu visu atbilstīgo pieejamo informāciju par personu un pamatotu vai atspēkotu nelabvēlīgu informāciju.

13.

Kad sākotnēji piešķirta drošības pielaide un ar noteikumu, ka persona nepārtraukti darbojusies valsts pārvaldē vai PĢS un tai joprojām ir vajadzīga piekļuve ESKI, drošības pielaidi pārskata, lai to atjaunotu, ik pēc laikposma, kas nepārsniedz piecus gadus TRÈS SECRET UE/EU TOP SECRET līmeņa pielaidei un desmit gadus SECRET UE/EU SECRET un CONFIDENTIEL UE/EU CONFIDENTIAL līmeņa pielaidei, sākot no dienas, kad paziņots par pēdējās drošības pārbaudes rezultātiem, ar kuru attiecīgā pielaide pamatota. Visas drošības izmeklēšanas, lai atjaunotu drošības pielaidi, veic attiecībā uz laiku kopš iepriekšējās izmeklēšanas.

14.

Drošības pielaides atjaunošanai attiecīgi izmeklē 10. un 11. punktā izklāstītos elementus.

15.

Atjaunošanas pieteikumu iesniedz laikus, ņemot vērā laiku, kas vajadzīgs drošības izmeklēšanai. Tomēr, ja atbildīgā VDI vai cita kompetentā valsts iestāde ir saņēmusi attiecīgo atjaunošanas pieteikumu un personāla drošības anketu pirms drošības pielaides derīguma termiņa beigām, bet vajadzīgā drošības izmeklēšana vēl nav pabeigta, kompetentā valsts iestāde var pagarināt esošās drošības pielaides derīguma termiņu līdz 12 mēnešiem, ja tas atļauts saskaņā ar valsts normatīvajiem aktiem. Ja pēc šā papildu 12 mēnešu termiņa beigām drošības izmeklēšana joprojām nav pabeigta, personai nosaka tādus pienākumus, kuru pildīšanai drošības pielaide nav vajadzīga.

16.

Attiecībā uz PĢS ierēdņiem un pārējiem darbiniekiem PĢS drošības iestāde nosūta aizpildītās personāla drošības anketas tās dalībvalsts VDI, kuras valstspiederīgā ir šī persona, un lūdz veikt drošības izmeklēšanu saistībā ar ESKI līmeni, kuram šai personai vajadzēs piekļūt.

17.

Ja PĢS uzzina informāciju, kas attiecas uz personu, kura ir iesniegusi pieteikumu drošības pielaides saņemšanai, lai piekļūtu ESKI, un kas ir nozīmīga drošības izmeklēšanā, tas rīkojas atbilstīgi attiecīgiem noteikumiem un paziņo attiecīgajai VDI par šo informāciju.

18.

Pēc drošības izmeklēšanas beigām attiecīgā VDI sniedz PĢS drošības iestādei izmeklēšanas rezultātus Drošības komitejas noteiktajā standarta saziņas formātā.

19.

Uz drošības izmeklēšanu kopā ar iegūtajiem rezultātiem attiecas atbilstīgi normatīvie akti, kas ir spēkā attiecīgajā dalībvalstī, tostarp tiesību akti par pārsūdzēšanu. Uz PĢS iecēlējinstitūcijas lēmumiem attiecas pārsūdzēšanas iespēja saskaņā ar Eiropas Savienības Civildienesta noteikumiem un Eiropas Savienības Pārējo darbinieku nodarbināšanas kārtību, kā izklāstīts Padomes Regulā (EEK, Euratom, EOTK) Nr. 259/68 (1) (“Civildienesta noteikumi un Nodarbināšanas kārtība”).

20.

Valsts eksperti, kas ir norīkoti darbam PĢS tādā amatā, kur vajadzīga piekļuve ESKI, kas klasificēta kā CONFIDENTIEL UE/EU CONFIDENTIAL un augstāk, pirms stāšanās amatā iesniedz PĢS drošības iestādei derīgu valsts personāla drošības pielaides apliecību (PDPA), lai nodrošinātu piekļuvi ESKI, uz ko pamatojoties PĢS iecēlējinstitūcija izdod atļauju piekļuvei ESKI.

21.

PĢS akceptēs atļauju piekļūt ESKI, kuru piešķīrusi jebkura cita Savienības iestāde, struktūra vai aģentūra, ar noteikumu, ka tā joprojām ir spēkā. Atļauja būs spēkā attiecībā uz visiem attiecīgās personas uzdevumiem PĢS. Savienības iestāde, struktūra vai aģentūra, kurā persona stājas darbā, paziņos attiecīgajai VDI par darba devēja maiņu.

22.

Ja personas darbs nesākas 12 mēnešos pēc tam, kad PĢS iecēlējinstitūcijai ziņots par drošības izmeklēšanas rezultātiem, vai ja personas darbā iestājas pārtraukums uz 12 mēnešiem un tā šajā laikā neieņem amatu dalībvalsts valsts pārvaldē vai PĢS, izmeklēšanas rezultātus pārsūta attiecīgajai VDI, lai apstiprinātu, ka tie joprojām ir derīgi un izmantojami.

23.

Ja PĢS saņem informāciju, kas attiecas uz drošības risku, kuru izraisa persona, kam ir atļauja piekļūt ESKI, tas rīkojas saskaņā ar attiecīgajiem noteikumiem un paziņo šo informāciju attiecīgajai VDI, un var apturēt piekļuvi ESKI vai atcelt atļauju piekļūt ESKI.

24.

Ja VDI informē PĢS par apstiprinājuma atsaukšanu saskaņā ar 18. punkta a) apakšpunktu attiecībā uz personu, kurai ir atļauja piekļūt ESKI, PĢS iecēlējinstitūcija var lūgt jebkuru paskaidrojumu, ko VDI var sniegt saskaņā ar savas valsts normatīvajiem aktiem. Ja negatīvā informācija tiek apstiprināta, atļauju atsauc, un personai liedz piekļuvi ESKI un amatiem, kuros šāda piekļuve ir iespējama vai kuros minētā persona varētu apdraudēt drošību.

25.

Par jebkuru lēmumu atsaukt vai apturēt PĢS ierēdņa vai cita darbinieka atļauju piekļūt ESKI un attiecīgā gadījumā par tā iemesliem paziņo attiecīgajai personai, kura var lūgt, lai viņu uzklausītu iecēlējinstitūcija. Uz VDI sniegto informāciju attiecas atbilstīgi normatīvie akti, kas ir spēkā attiecīgajā dalībvalstī, tostarp tiesību normas par pārsūdzēšanu. Uz PĢS iecēlējinstitūcijas lēmumiem attiecas pārsūdzēšanas iespēja saskaņā ar Civildienesta noteikumiem un Nodarbināšanas kārtību.

26.

Visas dalībvalstis un PĢS uztur reģistrus attiecīgi par PDP un atļaujām, kas piešķirtas, lai piekļūtu informācijai, kas klasificēta kā CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāk. Šajos reģistros iekļauj vismaz to ESKI klasifikācijas līmeni, kuram personai ir piešķirta piekļuve, drošības pielaides izsniegšanas datumu un derīguma termiņu.

27.

Kompetentā drošības iestāde var izsniegt PDPA, norādot ESKI klasifikācijas līmeni, kuram personai var piešķirt piekļuvi (CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāk), attiecīgās PDP, kas nodrošina piekļuvi ESKI, vai atļaujas, kas nodrošina piekļuvi ESKI, derīguma termiņu un apliecības derīguma beigu datumu.

28.

Tādu personu piekļuvi ESKI, kuras dalībvalstīs saņēmušas pienācīgu atļauju ieņemamā amata dēļ, nosaka saskaņā ar valsts normatīvajiem aktiem; šādas personas informē par drošības pienākumiem saistībā ar ESKI aizsardzību.

29.

Visas personas, kam piešķirta drošības pielaide, rakstiski apliecina, ka ir sapratušas savus pienākumus attiecībā uz ESKI aizsargāšanu un iespējamās sekas, ja ESKI ir apdraudēta. Šādu rakstisku apliecinājumu reģistrus attiecīgi glabā dalībvalsts un PĢS.

30.

Visas personas, kas ir pilnvarotas piekļūt ESKI vai kam jārīkojas ar to, jau sākumā tiek informētas un vēlāk saņem regulāru atgādinājumu par drošības apdraudējumu, un tām ir nekavējoties jāinformē attiecīgās drošības iestādes par jebkuru tuvošanās mēģinājumu vai citu darbību, kas šķiet aizdomīga vai neparasta.

31.

Visas personas, kas beidz pildīt pienākumus, kuri saistīti ar piekļuvi ESKI, iepazīstina ar pienākumu arī turpmāk neizpaust ESKI, un vajadzības gadījumā tās apliecina to rakstiski.

32.

Ja tas atļauts valsts normatīvajos aktos, tad, gaidot PDP izsniegšanu piekļuvei ESKI, valsts ierēdņiem var piešķirt piekļuvi līdzvērtīga līmeņa ESKI, kurš noteikts atbilstības tabulās B papildinājumā, – dalībvalsts kompetentās iestādes piešķir drošības pielaidi piekļūšanai valsts klasificētajai informācijai uz noteiktu laiku, ja šāda pagaidu piekļuve ir Savienības interesēs. VDI informē Drošības komiteju, ja attiecīgās valsts normatīvajos aktos šāda pagaidu piekļuve ESKI nav atļauta.

33.

Ārkārtas apstākļos, ja tas ir dienesta interesēs, un gaidot pilnīgas drošības izmeklēšanas beigas, PĢS iecēlējinstitūcija pēc konsultēšanās ar tās dalībvalsts VDI, kuras valstspiederīgais ir minētā persona, un ievērojot iepriekšējo pārbaužu rezultātus, kas apliecina, ka nav zināma nekāda negatīva informācija, var piešķirt PĢS ierēdņiem un pārējiem darbiniekiem pagaidu atļauju konkrētā darba uzdevumā piekļūt ESKI. Šādas pagaidu atļaujas ir derīgas uz laikposmu, kas nepārsniedz sešus mēnešus, un nesniedz piekļuvi informācijai, kas klasificēta kā TRÈS SECRET UE/EU TOP SECRET. Visas personas, kam piešķirta pagaidu piekļuve, rakstiski apliecina, ka ir sapratušas savus pienākumus attiecībā uz ESKI aizsargāšanu un iespējamās sekas, ja ESKI ir apdraudēta. Šādu rakstisku apliecinājumu reģistrus glabā PĢS.

34.

Ja personu ieceļ amatā, kam vajadzīga augstāka līmeņa drošības pielaide nekā tā, kas tai ir, tad šo personu var iecelt amatā uz laiku ar noteikumu, ka:

35.

Minētās procedūras izmanto vienreizējai piekļuvei ESKI, kas ir klasificēta par vienu līmeni augstāk nekā tā, kuras piekļuvei persona ir izturējusi drošības pārbaudi. Minēto procedūru neizmanto atkārtoti.

36.

Ārkārtas izņēmuma gadījumos, piemēram, misijās naidīgā vidē vai laikā, kad pieaug starptautiskais saspīlējums, ja to prasa ārkārtas pasākumi, jo īpaši – lai glābtu dzīvības, dalībvalstis un ģenerālsekretārs var attiecīgā gadījumā rakstiski piešķirt piekļuvi CONFIDENTIEL UE/EU CONFIDENTIAL vai SECRET UE/EU SECRET līmenī klasificētai informācijai personām, kam nav vajadzīgās drošības pielaides, ja tāda atļauja ir obligāti vajadzīga un nav pamatotu šaubu par attiecīgās personas lojalitāti un uzticamību. Tiek fiksēti dati par piešķirto atļauju, norādot arī tās informācijas aprakstu, kurai ir sniegta piekļuve.

37.

Ja informācija ir klasificēta kā TRÈS SECRET UE/EU TOP SECRET, ārkārtas piekļuvi piešķir tikai Savienības pilsoņiem, kam ir piešķirta piekļuve vai nu TRÈS SECRET UE/EU TOP SECRET līdzvērtīgai valsts klasifikācijai, vai informācijai, kas klasificēta kā SECRET UE/EU SECRET.

38.

Drošības komiteju informē par gadījumiem, kad tiek izmantota 36. un 37. punktā izklāstītā procedūra.

39.

Ja dalībvalsts normatīvajos aktos paredzēti stingrāki noteikumi par pagaidu atļaujām, pagaidu uzdevumiem, vienreizēju piekļuvi vai ārkārtas piekļuvi klasificētai informācijai, šajā iedaļā paredzētās procedūras īsteno tikai tiktāl, ciktāl tas atļauts attiecīgajos valsts normatīvajos aktos.

40.

Drošības komiteja katru gadu saņem ziņojumu par šajā iedaļā izklāstīto procedūru izmantojumu.

41.

Saskaņā ar 28. punktu personas, kas nosūtītas piedalīties Padomes darba sagatavošanas struktūru sanāksmēs, kurās apspriež informāciju, kas klasificēta kā CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāk, var tajās piedalīties tikai tad, ja ir apstiprināts viņu drošības pielaides statuss. Attiecībā uz delegātiem PDP apliecību vai citus drošības pielaides pierādījumus PĢS Drošības birojam nosūta attiecīgās iestādes vai – izņēmuma gadījumā – iesniedz attiecīgais delegāts. Attiecīgā gadījumā var izmantot konsolidētu sarakstu ar personu vārdiem, sniedzot vajadzīgo drošības pielaides pierādījumu.

42.

Kompetentā iestāde informē PĢS, ja drošības apsvērumu dēļ ir atcelta PDP, lai piekļūtu ESKI, personai, kuras pienākumos ietilpst apmeklēt Padomes vai Padomes darba sagatavošanas struktūru sanāksmes.

43.

Kurjeri, apsargi un eskortētāji iziet attiecīga līmeņa drošības pārbaudes, vai attiecībā uz viņiem saskaņā ar valsts normatīvajiem aktiem veic atbilstīgu izmeklēšanu, viņus instruē par ESKI aizsardzības drošības procedūrām un dara viņiem zināmu pienākumu sargāt uzticēto informāciju.

1.

Šajā pielikumā izklāstīti 8. panta īstenošanas noteikumi. Ar šo pielikumu nosaka fiziskās aizsardzības minimuma standartus telpās, ēkās, birojos un citās zonās, kur rīkojas ar ESKI un to glabā, tostarp zonās, kur atrodas KIS.

2.

Fiziskās drošības pasākumi ir paredzēti, lai novērstu neatļautu piekļuvi ESKI:

3.

Fiziskās drošības pasākumus izvēlas, pamatojoties uz kompetento iestāžu veiktu apdraudējuma izvērtējumu. PĢS un dalībvalsts savās telpās ESKI aizsargāšanai piemēro riska pārvaldības procesu, lai nodrošinātu, ka piemēro tāda līmeņa fizisko aizsardzību, kas ir samērīga novērtētajam riskam. Riska pārvaldības procesā ņem vērā visus attiecīgos faktorus, jo īpaši:

4.

Piemērojot pastiprinātas aizsardzības koncepciju, kompetentā drošības iestāde nosaka piemērotu īstenojamo fiziskās drošības pasākumu kopumu. Šajā kopumā var tikt iekļauts viens vai vairāki šādi pasākumi:

5.

Kompetentā drošības iestāde var būt pilnvarota pārmeklēt personas pie ieejas vai izejas, lai novērstu materiālu neatļautu ievešanu vai ESKI neatļautu izvešanu no telpām vai ēkām.

6.

Ja pastāv risks, ka ESKI varētu slepus novērot (pat nejauši), veic atbilstīgus pasākumus, lai novērstu šo risku.

7.

Attiecībā uz jaunām iekārtām fiziskās drošības prasības un to darbības specifikācijas pēc iespējas iekļauj iekārtu plānošanā un izveidē. Jau esošās iekārtās fiziskās drošības prasības īsteno pēc iespējas lielākā apjomā.

8.

Iegādājoties iekārtas (piemēram, seifus, smalcinātājus, durvju slēdzenes, elektroniskas piekļuves kontroles sistēmas, IKS, signalizācijas sistēmas) fiziskai ESKI aizsargāšanai, kompetentā drošības iestāde nodrošina, ka iekārtas atbilst apstiprinātiem tehniskiem standartiem un minimuma prasībām.

9.

Fiziskai ESKI aizsardzībai izmantojamo iekārtu tehniskās specifikācijas ir izklāstītas drošības pamatnostādnēs, kas jāapstiprina Drošības komitejai.

10.

Drošības sistēmas periodiski pārbauda un veic iekārtu regulāru apkopi. Apkopes darbā ņem vērā pārbaužu rezultātus, lai nodrošinātu, ka iekārtas turpina maksimāli efektīvi darboties.

11.

Katrā pārbaudē pārskata atsevišķu drošības pasākumu un visas drošības sistēmas efektivitāti.

12.

Fiziskai ESKI aizsardzībai izveido divu veidu fiziski aizsargātas zonas vai tām līdzvērtīgas valsts zonas:

Šajā lēmumā visas atsauces uz administratīvām zonām un drošības zonām, tostarp tehniski drošām drošības zonām, attiecas arī uz valsts zonām, kas tām līdzvērtīgas.

13.

Kompetentā drošības iestāde nosaka, vai zona atbilst prasībām, lai to varētu kvalificēt kā administratīvo zonu, drošības zonu un tehniski drošu drošības zonu.

14.

Attiecībā uz administratīvām zonām:

15.

Attiecībā uz drošības zonām:

16.

Gadījumos, kad praktiskā nolūkā piekļuve drošības zonām ir saistīta ar tiešu piekļuvi klasificētai informācijai, kas tajā atrodas, piemēro šādus papildu nosacījumus:

17.

Drošības zonas, kuras ir aizsargātas pret slepenu noklausīšanos ar skaņas pārtveršanu, raksturo kā tehniski drošas drošības zonas. Piemēro šādas papildu prasības:

18.

Neatkarīgi no 17. punkta d) apakšpunkta pirms dažādu tipu sakaru iekārtu, elektroiekārtu un elektronisku sakaru iekārtu izmantošanas zonās, kur notiek sanāksmes vai veic darbu ar informāciju, kas klasificēta kā SECRET UE/EU SECRET un augstāk, un apstākļos, kad ESKI apdraudējumu vērtē kā augstu, tās pārbauda kompetentā drošības iestāde, lai nodrošinātu, ka ārpus drošības zonas perimetra ar šādām ierīcēm netīšām vai nelikumīgi nepārraidītu nekādu saprotamu informāciju.

19.

Drošības zonas, kurās dienesta personāls neuzturas visu diennakti, attiecīgā gadījumā pārbauda tūlīt pēc parastā darba laika beigām un nejauši izvēlētos intervālos ārpus parastā darba laika, ja vien tur nav IKS.

20.

Administratīvā zonā uz laiku var izveidot drošības zonas un tehniski drošas drošības zonas, lai organizētu slepenu sanāksmi vai citiem līdzīgiem mērķiem.

21.

Katrai drošības zonai izstrādā drošības darba procedūras, kurās paredz:

22.

Drošības zonās izveido glabātavas. Sienas, grīdas, griestus, logus un aizslēdzamas durvis apstiprina kompetentā drošības iestāde, un tās sniedz aizsardzību, kas ir līdzvērtīga tāda seifa sniegtajai aizsardzībai, kurš apstiprināts tās pašas klasifikācijas līmeņa ESKI glabāšanai.

23.

Ar ESKI, kas klasificēta kā RESTREINT UE/EU RESTRICTED, var rīkoties:

24.

ESKI, kas klasificēta kā RESTREINT UE/EU RESTRICTED, glabā piemērotās aizslēdzamās biroja mēbelēs administratīvā zonā vai drošības zonā. To uz laiku var glabāt ārpus drošības vai administratīvās zonas, ja informācijas turētājs veic kompensācijas pasākumus, kas izklāstīti kompetentās drošības iestādes izdotās drošības instrukcijās.

25.

Ar ESKI, kas klasificēta kā CONFIDENTIEL UE/EU CONFIDENTIAL vai SECRET UE/EU SECRET, var rīkoties:

26.

ESKI, kas klasificēta kā CONFIDENTIEL UE/EU CONFIDENTIAL un SECRET UE/EU SECRET, glabā drošības zonā vai nu seifā, vai glabātavā.

27.

Ar ESKI, kas klasificēta kā TRÈS SECRET UE/EU TOP SECRET, rīkojas drošības zonā.

28.

ESKI, kas klasificēta kā TRÈS SECRET UE/EU TOP SECRET, glabā drošības zonā saskaņā ar vienu no šiem nosacījumiem:

29.

Noteikumi attiecībā uz ESKI pārvietošanu ārpus fiziski aizsargātām zonām ir izklāstīti III pielikumā.

30.

Kompetentā drošības iestāde nosaka procedūras biroju, telpu, glabātavu un seifu atslēgu un kodu kombināciju parametru pārzināšanai. Šādas procedūras aizsargā pret neatļautu piekļuvi.

31.

Seifu kombinācijas jāiegaumē pēc iespējas mazākam to personu skaitam, kas atbilst vajadzības pēc informācijas principam. To seifu un glabātavu kodu kombinācijas, kuros glabājas ESKI, maina:

1.

Šajā pielikumā izklāstīti 9. panta īstenošanas noteikumi. Tajā paredz administratīvus pasākumus ESKI kontrolei visā tās aprites cikla laikā, lai palīdzētu novērst un atklāt tīšu vai netīšu šādas informācijas apdraudējumu vai nozaudēšanu.

2.

Informāciju klasificē, ja tā ir jāaizsargā, lai nodrošinātu tās konfidencialitāti.

3.

ESKI autors atbild par to, lai noteiktu drošības klasifikācijas līmeni saskaņā ar attiecīgajām pamatnostādnēm, un par sākotnējo informācijas izplatīšanu.

4.

ESKI klasifikācijas līmeni nosaka saskaņā ar 2. panta 2. punktu un atsaucoties uz drošības politiku, kas jāapstiprina saskaņā ar 3. panta 3. punktu.

5.

Drošības klasifikāciju norāda skaidri un pareizi neatkarīgi no tā, vai ESKI ir papīra, mutiskā, elektroniskā vai kādā citā veidā.

6.

Konkrēta dokumenta atsevišķām daļām (piemēram, lappusēm, punktiem, iedaļām, pielikumiem, papildinājumiem un pievienojumiem) var būt vajadzīga atšķirīga klasifikācija, un tos attiecīgi marķē, tostarp glabājot elektroniskā formātā.

7.

Vispārējais dokumenta vai lietas klasifikācijas līmenis ir vismaz tikpat augsts, cik tā komponentam ar visaugstāko klasifikāciju. Kad apkopo informāciju no dažādiem avotiem, galaproduktu pārskata, lai noteiktu tā vispārējo drošības klasifikācijas līmeni, jo tas var likt piešķirt augstāku klasifikācijas līmeni nekā atsevišķām tā sastāvdaļām.

8.

Dokumenti, kas ietver daļas ar dažādiem klasifikācijas līmeņiem, pēc iespējas jāveido tā, lai daļas ar dažādiem klasifikācijas līmeņiem varētu viegli identificēt un vajadzības gadījumā atdalīt.

9.

Pavadvēstules vai piezīmes klasifikācija ir tikpat augsta kā tai pievienoto dokumentu visaugstākā klasifikācija. Informācijas autors skaidri norāda, kādā līmenī to klasificē, kad tā ir atdalīta no pievienotajiem dokumentiem, izmantojot atbilstīgu marķējumu, piemēram:

CONFIDENTIEL UE/EU CONFIDENTIAL

Bez pielikuma(-iem) RESTREINT UE/EU RESTRICTED

10.

Papildus vienam no drošības klasifikācijas marķējumiem, kas noteikti 2. panta 2. punktā, uz ESKI var būt šādi papildu marķējumi:

11.

Var izmantot standartizētus klasifikācijas marķējumu saīsinājumus, lai norādītu atsevišķu teksta daļu klasifikācijas līmeni. Saīsinājumi neaizstāj pilnos klasifikācijas marķējumus.

12.

ES klasificētajos dokumentos var izmantot šādus standarta saīsinājumus, lai norādītu tāda teksta iedaļu vai nodaļu klasifikācijas līmeni, kas ir mazāks par vienu lapu:

13.

Gatavojot ES klasificētu dokumentu:

14.

Ja ESKI nav iespējams piemērot 13. punktu, veic citus piemērotus pasākumus saskaņā ar drošības pamatnostādnēm, kuras jāizstrādā, ievērojot 6. panta 2. punktu.

15.

Gatavojot informāciju, tās autors, ja iespējams, un īpaši informācijai, kas klasificēta kā RESTREINT UE/EU RESTRICTED, norāda, vai var pazemināt ESKI slepenības pakāpi vai to deklasificēt konkrētā dienā vai pēc konkrēta notikuma.

16.

PĢS regulāri pārskata ESKI, kas atrodas tā rīcībā, lai pārliecinātos, vai attiecīgais klasifikācijas līmenis joprojām ir piemērots. PĢS izveido sistēmu, lai ne retāk kā ik pēc pieciem gadiem pārskatītu klasifikācijas līmeni ESKI, kas nāk no Padomes Ģenerālsekretariāta. Šādu pārskatu neveic, ja autors jau no sākuma ir norādījis, ka informācijas slepenības pakāpi automātiski pazemina vai deklasificē, un uz informācijas ir attiecīgs marķējums.

17.

Katru PĢS un dalībvalstu valsts pārvaldes organizatorisko vienību, kurā rīkojas ar ESKI, pievieno atbildīgajam reģistram, lai nodrošinātu, ka ar ESKI rīkojas saskaņā ar šo lēmumu. Reģistrus veido kā II pielikumā definētās drošības zonas.

18.

Šajā lēmumā reģistrācija drošības nolūkā (“reģistrācija”) ir tādu procedūru piemērošana, kas reģistrē materiālu aprites ciklu, tostarp tā izplatīšanu un iznīcināšanu.

19.

Visus materiālus, kas klasificēti kā CONFIDENTIEL UE/EU CONFIDENTIAL un augstāk, reģistrē norādītos reģistros, kad tie tiek saņemti organizatoriskā vienībā vai tiek izsūtīti no tās.

20.

PĢS Centrālais reģistrs reģistrē visu klasificēto informāciju, ko Padome un PĢS nodod trešām valstīm un starptautiskām organizācijām, un visu klasificēto informāciju, ko saņem no trešām valstīm un starptautiskām organizācijām.

21.

KIS gadījumā reģistrācijas procedūras var veikt ar procesiem, kas ietilpst pašās KIS.

22.

Padome apstiprina drošības politiku attiecībā uz ESKI reģistrāciju drošības nolūkā.

23.

Dalībvalstīs un PĢS izveido reģistru, un tas darbojas kā galvenā TRÈS SECRET UE/EU TOP SECRET klasificētas informācijas saņemšanas un izplatīšanas iestāde. Vajadzības gadījumā var nozīmēt pakārtotus reģistrus, kurā rīkojas ar šādu informāciju reģistrēšanas nolūkā.

24.

Pakārtoti reģistri bez centrālā TRÈS SECRET UE/EU TOP SECRET informācijas reģistra skaidri izteiktas rakstiskas atļaujas nedrīkst TRÈS SECRET UE/EU TOP SECRET dokumentus tieši nosūtīt ne citiem tā paša centrālā TRÈS SECRET UE/EU TOP SECRET informācijas reģistra pakārtotajiem reģistriem, ne ārējiem reģistriem.

25.

TRÈS SECRET UE/EU TOP SECRET dokumentus nedrīkst kopēt un tulkot bez autora iepriekšējas rakstiskas piekrišanas.

26.

Ja SECRET UE/EU SECRET vai zemākas klasifikācijas dokumenta autors nav noteicis brīdinājumus attiecībā uz minēto dokumentu kopēšanu vai tulkošanu, šādus dokumentus var kopēt vai tulkot pēc to turētāja rīkojuma.

27.

Drošības pasākumi, kas piemērojami oriģināldokumentam, ir piemērojami tā kopijām un tulkojumiem.

28.

Uz ESKI pārvietošanu attiecas aizsardzības pasākumi, kas izklāstīti 30. līdz 41. punktā. Ja ESKI pārvieto ar elektroniskām iekārtām un neatkarīgi no 9. panta 4. punkta turpmāk tekstā izklāstītos aizsardzības pasākumus var papildināt ar attiecīgiem tehniskiem pretpasākumiem, kā to noteikusi kompetentā drošības iestāde, lai cik vien iespējams samazinātu informācijas apdraudējuma vai zaudējuma risku.

29.

PĢS un dalībvalstu kompetentās drošības iestādes dod norādes attiecībā uz ESKI pārvietošanu saskaņā ar šo lēmumu.

30.

Ja ESKI pārvieto ēkā vai noslēgtā ēku grupā, to apsedz, lai novērstu to, ka kāds redz tās saturu.

31.

Informāciju, kas klasificēta kā TRÈS SECRET UE/EU TOP SECRET, ēkā vai noslēgtā ēku grupā pārnēsā nodrošinātā aploksnē, uz kuras ir norādīts tikai adresāta vārds.

32.

ESKI, ko Savienībā pārvieto no vienas ēkas vai telpas uz citu, iepako, lai tā būtu aizsargāta no neatļautas izpaušanas.

33.

Informāciju, kuras klasifikācijas līmenis ir CONFIDENTIEL UE/EU CONFIDENTIAL vai SECRET UE/EU SECRET, Savienībā pārvieto, izmantojot vienu no šādiem veidiem:

Gadījumā, ja veic pārvietošanu no vienas dalībvalsts uz citu dalībvalsti, c) apakšpunkta noteikumus attiecina vienīgi uz informāciju, kas klasificēta līmenī līdz CONFIDENTIEL UE/EU CONFIDENTIAL.

34.

Informāciju, kas klasificēta kā RESTREINT UE/EU RESTRICTED, var pārvietot, arī izmantojot pasta pakalpojumus vai komerciālus kurjeru pakalpojumus. Šādas informācijas parvietošanai kurjera apliecība nav nepieciešama.

35.

Materiālus, kas klasificēti kā CONFIDENTIEL UE/EU CONFIDENTIAL un SECRET UE/EU SECRET (piemēram, iekārtas un mašīnas) un ko nevar pārvietot ar 33. punktā minētajiem līdzekļiem, nogādā, izmantojot kravu pārvadājumus, ko veic komercpārvadātāji saskaņā ar V pielikumu.

36.

Informāciju, kas klasificēta kā TRÈS SECRET UE/EU TOP SECRET, no vienas ēkas vai telpas uz citu Savienībā pārvieto, attiecīgā gadījumā izmantojot militāro, valdības vai diplomātisko kurjeru.

37.

ESKI, ko no Savienības pārvieto uz kādas trešās valsts teritoriju, iepako, lai tā būtu aizsargāta no neatļautas izpaušanas.

38.

Informāciju, kas klasificēta kā CONFIDENTIEL UE/EU CONFIDENTIAL un SECRET UE/EU SECRET, no Savienības uz kādas trešās valsts teritoriju pārvieto šādi:

39.

Informāciju, kas ir klasificēta kā CONFIDENTIEL UE/EU CONFIDENTIAL un SECRET UE/EU SECRET un ko Savienība ir sniegusi trešām valstīm vai starptautiskām organizācijām, pārvieto saskaņā informācijas drošības nolīguma vai administratīvas vienošanās attiecīgajiem noteikumiem, kā noteikts 13. panta 2. punkta a) vai b) apakšpunktā.

40.

Informāciju, kas klasificēta kā RESTREINT UE/EU RESTRICTED, var pārvietot, arī izmantojot pasta pakalpojumus vai komerciālus kurjeru pakalpojumus.

41.

Informāciju, kas klasificēta kā TRÈS SECRET UE/EU TOP SECRET, no Savienības uz kādas trešās valsts teritoriju pārvieto, izmantojot militāro vai diplomātisko kurjeru.

42.

ES klasificētos dokumentus, kas vairs nav vajadzīgi, var iznīcināt, neskarot attiecīgos arhivēšanas noteikumus.

43.

Dokumentus, kurus reģistrē saskaņā ar 9. panta 2. punktu, pēc to turētāja vai kompetentās iestādes rīkojuma iznīcina reģistrs, kas atbild par šiem dokumentiem. Reģistrācijas žurnālus un pārējo reģistrācijas informāciju atbilstīgi atjaunina.

44.

Kā SECRET UE/EU SECRET vai TRÈS SECRET UE/EU TOP SECRET klasificētus dokumentus iznīcina liecinieka klātbūtnē – lieciniekam jābūt vismaz tāda līmeņa pielaidei, kas atbilst iznīcināmā dokumenta klasifikācijas līmenim.

45.

Reģistrētājs un liecinieks, ja ir vajadzīga viņa klātbūtne, paraksta iznīcināšanas sertifikātu, ko iekļauj reģistrā. TRÈS SECRET UE/EU TOP SECRET dokumentu iznīcināšanas sertifikātus reģistrā saglabā vismaz desmit gadus un CONFIDENTIEL UE/EU CONFIDENTIAL un SECRET UE/EU SECRET dokumentu iznīcināšanas sertifikātus – vismaz piecus gadus.

46.

Klasificētos dokumentus, tostarp tos, kas klasificēti kā RESTREINT UE/EU RESTRICTED, iznīcina ar tādām metodēm, kuras atbilst attiecīgiem Savienības vai līdzvērtīgiem standartiem vai kuras apstiprinājusi dalībvalsts saskaņā ar valsts tehniskajiem standartiem, lai novērstu pilnīgu vai daļēju dokumentu atjaunošanu.

47.

ESKI izmantotu elektronisko informācijas nesēju iznīcināšana notiek saskaņā ar IV pielikuma 37. punktu.

48.

Ārkārtas situācijā, ja pastāv nopietns ESKI neatļautas izpaušanas risks, ESKI turētājs to iznīcina tā, lai šo informāciju nevarētu atjaunot pilnīgi vai daļēji. Autoru un izcelsmes reģistru informē par reģistrētās ESKI ārkārtas iznīcināšanu.

49.

Ar terminu “izvērtējuma apmeklējums” turpmāk apzīmē jebkuru:

lai izvērtētu ESKI aizsardzībai īstenoto pasākumu efektivitāti.

50.

Izvērtējuma apmeklējumus veic, lai inter alia:

51.

Pirms katra kalendārā gada beigām Padome pieņem 16. panta 1. punkta c) apakšpunktā noteikto nākamajam gadam paredzēto izvērtējuma apmeklējumu programmu. Faktiskos datumus katram izvērtējuma apmeklējumam nosaka, vienojoties ar attiecīgo Savienības struktūru vai aģentūru, dalībvalsti, trešo valsti vai starptautisko organizāciju.

52.

Izvērtējuma apmeklējumus veic, lai pārbaudītu attiecīgos apmeklētās vienības noteikumus un procedūras un pārliecinātos, vai tās prakse atbilst pamatprincipiem un minimālajiem standartiem, kas paredzēti šajā lēmumā, un noteikumiem, ar ko reglamentē klasificētas informācijas apmaiņu ar šo iestādi.

53.

Izvērtējuma apmeklējumus veic divos posmos. Vajadzības gadījumā pirms paša izvērtējuma apmeklējuma ar konkrēto vienību rīko izvērtējuma sagatavošanas sanāksmi. Pēc šādas sagatavošanas sanāksmes vērtētāju grupa saziņā ar attiecīgo vienību sīki izstrādā izvērtējuma apmeklējuma programmu, aptverot visas drošības jomas. Izvērtējuma apmeklējumu grupai vajadzētu būt piekļuvei visām vietām, jo īpaši reģistriem un KIS punktiem, kur rīkojas ar ESKI.

54.

Izvērtējuma apmeklējumus dalībvalstu valsts pārvaldes iestādēs, trešās valstīs un starptautiskās organizācijās veic pilnīgā sadarbībā ar tās vienības, trešās valsts vai starptautiskās organizācijas ierēdņiem, kuru apmeklē.

55.

Izvērtējuma apmeklējumus Savienības struktūrās, aģentūrās un vienībās, kuras piemēro šo lēmumu vai tā principus, veic ar tās VDI speciālistu palīdzību, kuras teritorijā šī struktūra vai aģentūra atrodas.

56.

Kad veic izvērtējuma apmeklējumus Savienības struktūrās, aģentūrās un vienībās, kuras piemēro šo lēmumu vai tā principus, kā arī trešās valstīs un starptautiskās organizācijās, VDI ekspertu palīdzību un ieguldījumu var lūgt saskaņā ar sīki izstrādātiem noteikumiem, par kuriem jāvienojas Drošības komitejai.

57.

Izvērtējuma apmeklējuma beigās galvenos secinājumus un ieteikumus iesniedz apmeklētajai vienībai. Pēc tam izstrādā izvērtējuma apmeklējuma ziņojumu. Ja ziņojumā ir ierosinātas darbības un ieteikumi trūkumu novēršanai, tajā ietver arī pietiekami sīku aprakstu, lai pamatotu gūtos secinājumus. Ziņojumu nosūta attiecīgajai apmeklētās vienības iestādei.

58.

Attiecībā uz dalībvalstu valsts pārvaldes iestādēs veiktiem izvērtējuma apmeklējumiem:

PĢS drošības iestādes (Drošības biroja) atbildībā regulāri sagatavo ziņojumu, lai izceltu pieredzi, kas gūta konkrētā laikposmā dalībvalstīs veiktajos izvērtējuma apmeklējumos un ko izskatījusi Drošības komiteja.

59.

Trešo valstu un starptautisko organizāciju izvērtējuma apmeklējumu vajadzībām ziņojumu nosūta Drošības komitejai. Ziņojumam piešķir klasifikāciju, kas nav zemāka par RESTREINT UE/EU RESTRICTED. Nākamajos apmeklējumos pārbauda, vai ir veiktas koriģējošas darbības, un par to ziņo Drošības komitejai.

60.

Attiecībā uz to Savienības struktūru, aģentūru un vienību izvērtējuma apmeklējumiem, kuras piemēro šo lēmumu vai tā principus, izvērtējuma apmeklējumu ziņojumus nosūta Drošības komitejai. Izvērtējuma apmeklējuma ziņojuma projektu nosūta attiecīgajai aģentūrai vai struktūrai, lai pārliecinātos, ka tajā uzskaitītie fakti ir pareizi un ka tajā nav informācijas, kas klasificēta ar augstāku slepenības pakāpi nekā RESTREINT UE/EU RESTRICTED. Nākamajos apmeklējumos pārbauda, vai ir veiktas koriģējošas darbības, un par to ziņo Drošības komitejai.

61.

PĢS drošības iestāde PĢS organizatoriskajās vienībās veic regulāras pārbaudes 50. punktā paredzētajos nolūkos.

62.

PĢS drošības iestāde (Drošības birojs) izstrādā un atjaunina tādu priekšmetu kontrolsarakstu, kuri jāpārbauda izvērtējuma apmeklējuma laikā. Šo kontrolsarakstu nosūta Drošības komitejai.

63.

Informāciju, kas vajadzīga kontrolsaraksta aizpildīšanai, iegūst jo īpaši apmeklējuma laikā no pārbaudāmo vienību drošības pārvaldības. Pēc kontrolsaraksta papildināšanas ar detalizētām atbildēm tam, vienojoties ar pārbaudīto vienību, piešķir klasifikāciju. Tas neveido daļu no pārbaudes ziņojuma.

1.

Šajā pielikumā izklāstīti 10. panta īstenošanas noteikumi.

2.

Lai darbības KIS notiktu droši un pareizi, būtiskas ir šādas IA īpašības un koncepcijas:

3.

Turpmāk izklāstītie noteikumi veido jebkuras tādas KIS drošības pamatus, kurā rīkojas ar ESKI. IA drošības politikā un drošības pamatnostādnēs nosaka sīki izstrādātas minēto noteikumu īstenošanas prasības.

4.

Drošības riska pārvaldība ir neatņemama daļa KIS definēšanā, izstrādē, darbībā un uzturēšanā. Riska pārvaldību (izvērtējums, risinājums, pieņemšana, paziņošana) veic kā atkārtotu procesu kopīgi ar sistēmu īpašnieku pārstāvjiem, projekta iestādēm, darbības iestādēm un drošības apstiprināšanas iestādēm, izmantojot apliecinātu, pārskatāmu un pilnīgi izprotamu riska izvērtējuma procesu. KIS darbības jomu un tās materiālus skaidri definē riska pārvaldības procesa sākumā.

5.

Kompetentās iestādes pārskata iespējamos KIS apdraudējumus un uztur aktuālus un precīzus apdraudējumu izvērtējumus, kas atspoguļo pašreizējo darbības vidi. Tās pastāvīgi atjaunina informāciju par ietekmējamību un periodiski pārskata ietekmējamības izvērtējumu, lai atbilstu mainīgajai informāciju tehnoloģiju (IT) videi.

6.

Drošības riska risinājuma mērķis ir piemērot drošības pasākumu kopumu, kuru rezultātā panāk apmierinošu līdzsvaru starp lietotāja vajadzībām, izmaksām un atlikušo drošības risku.

7.

Atbilstīgās DAI noteiktās detalizācijas īpašās prasības, darbības mērogs un pakāpe atbilst novērtētajam riskam, ņemot vērā visus atbilstīgos faktorus, tostarp klasifikācijas līmeni ESKI, ar ko rīkojas KIS. Akreditācijā ietver oficiālu paziņojumu par atlikušo risku un to, ka atbildīgā iestāde pieņem atlikušo risku.

8.

Drošība ir būtiska prasība, kas ir aktuāla visā KIS aprites ciklā no sākuma līdz izņemšanai no aprites.

9.

Katram aprites cikla posmam nosaka katra dalībnieka, kas saistīts ar KIS saistībā ar tās drošību, lomu un sadarbības veidu.

10.

Jebkurā KIS, tostarp tās tehniskajos drošības pasākumos un pasākumos, kas nav tehniski drošības pasākumi, akreditācijas laikā veic drošības pārbaudes, lai pārliecinātos, ka panākts piemērots aizsardzības līmenis, un pārbaudītu, ka tie ir pareizi īstenoti, integrēti un konfigurēti.

11.

KIS darbības posmā un uzturēšanas laikā periodiski, kā arī ja rodas ārkārtas apstākļi, veic drošības izvērtējumus, pārbaudes un pārskatīšanu.

12.

Drošības informācija KIS vajadzībām tās aprites ciklā mainās kā neatņemama pārmaiņu procesa un konfigurācijas vadības daļa.

13.

PĢS un dalībvalstis sadarbojas, lai izveidotu kopīgu aizsardzības paraugpraksi attiecībā uz ESKI, ar kuru rīkojas KIS. Paraugprakses pamatnostādnēs iekļauj KIS tehniskus, fiziskus, organizatoriskus un procedūras drošības pasākumus, kuru iedarbība cīņā pret konkrētiem apdraudējumiem un ietekmējamību ir pierādīta.

14.

ESKI, ar kuru rīkojas KIS, aizsardzībā izmanto pieredzi, ko guvušas IA iesaistītās vienības gan Savienībā, gan ārpus tās.

15.

Paraugprakses izplatīšana un turpmāka īstenošana palīdz panākt līdzvērtīgu aizsardzības līmeni dažādās PĢS un dalībvalstu vadītās KIS, kurās rīkojas ar ESKI.

16.

Lai mazinātu risku komunikāciju un informācijas sistēmai, īsteno plaša spektra tehniskus drošības pasākumus un pasākumus, kas nav tehniski drošības pasākumi, izveidojot daudzslāņainu aizsardzību. Minētie slāņi ir:

a)   atturēšana: drošības pasākumi, lai atturētu no jebkādiem kaitnieciskiem plāniem, kas vērsti pret KIS;

b)   preventīva rīcība: drošības pasākumi, kuru mērķis ir traucēt vai novērst pret KIS vērstu uzbrukumu;

c)   atklāšana: drošības pasākumi, kuru mērķis ir atklāt pret KIS vērstu uzbrukumu;

d)   izturība: drošības pasākumi, kuru mērķis ir maksimāli ierobežot uzbrukuma ietekmi uz informācijas kopumu vai KIS materiāliem un pasargāt tos no turpmākiem bojājumiem; un

e)   reģenerācija: drošības pasākumi, kuru mērķis ir atjaunot drošu KIS stāvokli.

Minēto drošības pasākumu stingrību nosaka pēc riska izvērtējuma.

17.

VDI vai cita kompetentā iestāde nodrošina, ka:

18.

Lai izvairītos no lieka riska, ievieš tikai būtiskās darbībai vajadzīgās funkcijas, iekārtas un dienestus.

19.

KIS lietotājiem un automatizētiem procesiem nodrošina tikai tādu piekļuvi, privilēģijas vai pilnvaras, kas vajadzīgas to pienākumu veikšanai, lai tādējādi ierobežotu negadījumu, kļūdu vai neatļautas KIS resursu izmantošanas rezultātā radušos bojājumus.

20.

Reģistrācijas procedūras, kuras veic KIS, vajadzības gadījumā pārbauda akreditācijas procesa laikā.

21.

Informētība par risku un pieejamiem drošības pasākumiem ir KIS drošības aizsardzības pirmais priekšnoteikums. Visas personas, kas iesaistītas KIS aprites ciklā, tostarp tās lietotāji, saprot:

22.

Lai nodrošinātu, ka atbildība par drošības garantēšanu ir izprasta, viss iesaistītais personāls, tostarp augstākā līmeņa vadība un KIS lietotāji, obligāti saņem izglītību un apmācību par IA.

23.

Vajadzīgo uzticamības līmeni drošības pasākumos, ko definē kā aizsardzības līmeni, nosaka atbilstīgi riska pārvaldības procesā gūtajiem rezultātiem un saskaņā ar attiecīgo drošības politiku un drošības pamatnostādnēm.

24.

Aizsardzības līmeni pārbauda, lietojot starptautiski plaši izmantotus vai valstī apstiprinātus procesus un metodoloģijas. Tas ietver sākotnējo izvērtēšanu, kontroli un revīziju.

25.

ESKI aizsardzībai paredzētos kriptogrāfijas produktus izvērtē un apstiprina dalībvalsts valsts KAI.

26.

Pirms ieteikt Padomei vai ģenerālsekretāram šādus kriptogrāfijas produktus apstiprināt saskaņā ar 10. panta 6. punktu, tos otru reizi veiksmīgi izvērtē tās dalībvalsts atbilstīgi apstiprināta iestāde (AQUA), kas nepiedalās aprīkojuma projektēšanā un ražošanā. Otrās izvērtēšanas detalizācijas pakāpe ir atkarīga no paredzētā maksimālā tādas ESKI klasifikācijas līmeņa, kas jāsargā, izmantojot šos produktus. Padome apstiprina drošības politiku attiecībā uz kriptogrāfijas produktu izvērtēšanu un apstiprināšanu.

27.

Ja tas pamatots ar īpašiem operatīviem apsvērumiem, Padome vai ģenerālsekretārs pēc Drošības komitejas ieteikuma var attiecīgi atteikties no šā pielikuma 25. vai 26. punktā noteiktajām prasībām un saskaņā ar 10. panta 6. punktā noteikto procedūru piešķirt pagaidu apstiprinājumu uz konkrētu laikposmu.

28.

Padome pēc Drošības komitejas ieteikuma var akceptēt trešās valsts vai starptautiskas organizācijas kriptogrāfijas produktu izvērtēšanas, atlases un apstiprināšanas procesu un attiecīgi uzskatīt šādus kriptogrāfijas produktus par apstiprinātiem, lai aizsargātu ESKI, kas nodota minētajai trešai valstij vai starptautiskai organizācijai.

29.

AQUA ir tās dalībvalsts KAI, kas ir akreditēta, pamatojoties uz Padomes noteiktiem kritērijiem, lai uzņemtos tādu kriptogrāfijas produktu otrreizēju izvērtēšanu, ar ko paredzēts aizsargāt ESKI.

30.

Padome apstiprina drošības politiku attiecībā uz tādu IT produktu kvalificēšanu un apstiprināšanu, kas nav saistīti ar kriptogrāfiju.

31.

Neatkarīgi no šā lēmuma noteikumiem, ja ESKI nosūta tikai drošās zonās vai administratīvās zonās, nešifrētu nosūtīšanu vai zemāka līmeņa šifrēšanu var izmantot, pamatojoties uz riska pārvaldības procesa rezultātiem un ar drošības akreditācijas iestādes apstiprinājumu.

32.

Šajā lēmumā sistēmu savstarpējs savienojums ir tieši savienotas divas vai vairākas IT sistēmas, lai dalītos ar datiem un citiem informācijas resursiem (piemēram, saziņu) vienā vai vairākos virzienos.

33.

KIS jebkuru pieslēgtu IT sistēmu uzskata par neuzticamu un ievieš aizsargpasākumus, lai kontrolētu informācijas apmaiņu.

34.

Visi KIS un citas IT sistēmas savstarpēji savienojumi atbilst šādām pamatprasībām:

35.

Nedrīkst savstarpēji savienot akreditētu KIS un neaizsargātu vai publiski pieejamu tīklu, izņemot gadījumus, ja KIS apstiprinājusi šādiem mērķiem ieviesto BPS starp KIS un neaizsargāto vai publiski pieejamo tīklu. Šādu savstarpēju savienojumu drošības pasākumus pārskata kompetentā IAI un apstiprina kompetentā DAI.

Ja neaizsargāto vai publiski pieejamo tīklu izmanto vienīgi tādas informācijas transportēšanai, kura ir šifrēta ar kriptogrāfijas produktu, kas apstiprināts saskaņā ar 10. pantu, šādu savienojumu neuzskata par savstarpēju savienojumu.

36.

Ir aizliegts tādas KIS, kas ir akreditēta rīkoties ar TRÈS SECRET UE/EU TOP SECRET informāciju, tiešs vai pakāpenisks savstarpējs savienojams ar neaizsargātu vai publiski pieejamu tīklu.

37.

Elektroniskus informācijas nesējus iznīcina saskaņā ar kompetentās drošības iestādes apstiprinātām procedūrām.

38.

Elektroniskus informācijas nesējus var izmantot atkārtoti, klasificēt zemākā kategorijā vai deklasificēt saskaņā ar drošības pamatnostādnēm, kas ir jānosaka saskaņā ar 6. panta 2. punktu.

39.

Neatkarīgi no šā lēmuma noteikumiem ārkārtas gadījumā, piemēram, gaidāmas vai notiekošas krīzes laikā, konflikta vai kara situācijā vai ārkārtas operatīvajā situācijā, var piemērot turpmāk aprakstītās īpašās procedūras.

40.

Ar kompetentās iestādes piekrišanu ESKI var pārsūtīt, izmantojot kriptogrāfijas produktus, kas apstiprināti lietošanai zemākam klasifikācijas līmenim, vai nešifrētā veidā, ja kavējumi varētu radīt kaitējumu, kas nepārprotami būtu lielāks par kaitējumu, ko rada klasificēta materiāla izpaušana, un ja:

41.

Klasificētā informācijā, kas nosūtīta 39. punktā izklāstītajos apstākļos, nav atzīmju vai norāžu, kas to ļautu atšķirt no neklasificētas informācijas vai informācijas, ko var aizsargāt ar pieejamu kriptogrāfijas iekārtu. Informācijas saņēmējus par tās klasifikācijas līmeni nekavējoties informē ar citiem līdzekļiem.

42.

Ja tiek izmantota 39. punkta procedūra, kompetentajai iestādei un Drošības komitejai par to sniedz ziņojumu.

43.

Dalībvalstīs un PĢS nosaka šādas IA funkcijas. Minēto funkciju pildīšanai nav vajadzīgas vienotas organizatoriskas vienības. Tām ir atsevišķas pilnvaras. Tomēr šīs funkcijas un ar tām saistītos pienākumus var apvienot vai integrēt vienā un tai pašā organizatoriskajā vienībā vai sadalīt dažādās organizatoriskās vienībās ar noteikumu, ka nerodas iekšēji interešu vai uzdevumu konflikti.

44.

IAI atbildībā ir:

45.

TEMPEST iestāde (TI) atbild par to, lai nodrošinātu KIS atbilstību TEMPEST politikai un pamatnostādnēm. Tā apstiprina TEMPEST pretpasākumus iekārtām un produktiem, lai aizsargātu ESKI līdz noteiktam klasifikācijas līmenim tās ekspluatācijas vidē.

46.

Kriptogrāfijas apstiprinājuma iestāde (KAI) atbild par to, lai nodrošinātu, ka kriptogrāfijas produkti atbilst valsts kriptogrāfijas politikai vai Padomes kriptogrāfijas politikai. Tā apstiprina kriptogrāfijas produkta izmantošanu ESKI aizsargāšanai līdz noteiktam klasifikācijas līmenim tās ekspluatācijas vidē. Attiecībā uz dalībvalstīm KAI ir atbildīga arī par to, lai izvērtētu kriptogrāfijas produktus.

47.

Kriptogrāfijas izplatīšanas iestāde (KII) ir atbildīga par šādiem jautājumiem:

48.

DAI attiecībā uz katru sistēmu atbild par šādiem uzdevumiem:

49.

PĢS DAI atbild par visu to KIS akreditāciju, kuru darbība ir PĢS pārziņā.

50.

Atbilstīgā dalībvalstu DAI ir atbildīga par KIS un tādu KIS sastāvdaļu akreditāciju, kuru darbība ir dalībvalsts pārziņā.

51.

Kopīga drošības akreditācijas valde (SAB) ir atbildīga par tādu KIS akreditāciju, kuras ir gan PĢS DAI, gan dalībvalstu DAI pārziņā. Tās sastāvā ir DAI pārstāvji no katras dalībvalsts, un tās sanāksmēs piedalās Komisijas DAI pārstāvis. Citas vienības, kuras ir iesaistītas KIS, aicina piedalīties diskusijās, kad tiek apspriesta konkrētā sistēma.

SAB vada PĢS DAI pārstāvis. Tā darbojas ar to iestāžu, dalībvalstu un citu vienību pārstāvju konsensu, kuri ir iesaistīti KIS. Tā par savām darbībām periodiski iesniedz ziņojumus Drošības komitejai un informē to par visiem akreditācijas paziņojumiem.

52.

IA operatīvā iestāde attiecībā uz katru sistēmu atbild par šādiem uzdevumiem:

1.

Šajā pielikumā izklāstīti 11. panta īstenošanas noteikumi. Šajā pielikumā izklāstīti vispārēji drošības noteikumi, kas piemērojami rūpniecības vai citām vienībām pirms PĢS piešķirta klasificēta līguma slēgšanas un klasificēto līgumu aprites laikā.

2.

Padome apstiprina industriālās drošības pamatnostādnes, jo īpaši uzsverot sīki izklāstītas prasības attiecībā uz iestādes drošības pielaidēm, drošības aspektu vēstulēm (DAV), apmeklējumiem, ESKI pārsūtīšanu un pārvietošanu.

3.

Pirms izsludināt konkursu vai pirms piešķirt klasificētu līgumu, PĢS kā līgumslēdzēja iestāde nosaka tās informācijas drošības klasifikāciju, kuru sniedz pretendentiem un līgumslēdzējiem, kā arī tās informācijas drošības klasifikāciju, ko sastādīs līgumslēdzējs. Šajā sakarā PĢS sagatavo drošības klasifikācijas rokasgrāmatu (DKR), kas jāizmanto līguma izpildei.

4.

Lai noteiktu dažādu klasificēta līguma elementu drošības klasifikāciju, piemēro šādus principus:

5.

Ar attiecīgo līgumu saistītās drošības prasības izklāsta drošības aspektu vēstulē (DAV). Attiecīgā gadījumā DAV iekļauj DKR, un tā ir neatņemama klasificēta līguma vai apakšlīguma daļa.

6.

DAV iekļauj nosacījumus par to, ka līgumslēdzējam un/vai apakšlīgumslēdzējam ir jānodrošina atbilsme minimālajiem standartiem, kas izklāstīti šajā lēmumā. Neatbilstība šiem minimālajiem standartiem var būt pietiekams pamats līguma izbeigšanai.

7.

Atkarībā no to projektu vai programmu darbības jomas, kurās vajadzīga piekļuve ESKI vai kurās ar to jārīkojas vai jāglabā, līgumslēdzēja iestāde, kurai uzticēta atbildība par minētās programmas vai projekta pārvaldību, var izstrādāt konkrētu PDI. PDI jāapstiprina dalībvalstu VDI/IDI vai kādai citai attiecīgajai kompetentajai drošības iestādei, kas piedalās PDI, un tajās var būt ietvertas papildu drošības prasības.

8.

IDP piešķir dalībvalsts VDI/IDI vai jebkura cita kompetentā iestāde, lai saskaņā ar valsts normatīvajiem aktiem apliecinātu, ka rūpniecības vai cita vienība savās telpās spēj nodrošināt pietiekamu ESKI aizsardzību attiecīgā klasifikācijas līmenī (CONFIDENTIEL UE/EU CONFIDENTIAL vai SECRET UE/EU SECRET). To iesniedz PĢS kā līgumslēdzējai iestādei, pirms līgumslēdzējam vai apakšlīgumslēdzējam vai iespējamam līgumslēdzējam vai apakšlīgumslēdzējam var piešķirt vai nodrošināt piekļuvi ESKI.

9.

Izsniedzot IDP, attiecīgā VDI vai IDI vismaz:

10.

Ja vajadzīgs, PĢS kā līgumslēdzēja iestāde paziņo attiecīgajai VDI/IDI vai jebkurai citai kompetentajai drošības iestādei, ka IDP ir vajadzīga pirms līguma parakstīšanas vai līguma pildīšanas laikā. Pirms līguma parakstīšanas pieprasa IDP vai PDP, ja priekšlikuma iesniegšanas procesā ir jāsniedz ESKI, kas klasificēta kā CONFIDENTIEL UE/EU CONFIDENTIAL vai SECRET UE/EU SECRET.

11.

Līgumslēdzēja iestāde piešķir klasificētu līgumu izraudzītajam pretendentam tikai tad, kad saņemts tās dalībvalsts VDI/IDI vai kādas citas kompetentās drošības iestādes apstiprinājums, kurā reģistrēti iesaistītie līgumslēdzēji vai apakšlīgumslēdzēji, ka viņiem ir izsniegta atbilstīga IDP, ja tas vajadzīgs.

12.

VDI/IDI vai kāda cita kompetentā drošības iestāde, kas izsniegusi IDP, paziņo PĢS kā līgumslēdzējai iestādei par izmaiņām, kas ietekmē IDP. Apakšlīguma gadījumā attiecīgi informē VDI/IDI vai citu kompetento drošības iestādi.

13.

Ja attiecīgā VDI/IDI vai kāda cita kompetentā drošības iestāde atceļ IDP, tas ir pietiekams pamats PĢS kā līgumslēdzējai iestādei izbeigt klasificētu līgumu vai izslēgt attiecīgo pretendentu no konkursa.

14.

Ja pretendentam sniedz ESKI pirms līguma parakstīšanas, aicinājumā piedalīties iekļauj prasību, ka pretendentam, kurš neiesniedz priekšlikumu vai kuru neizvēlas, noteiktā laikposmā ir jāatdod atpakaļ visi klasificētie dokumenti.

15.

Kad klasificētais līgums vai apakšlīgums ir piešķirts, PĢS kā līgumslēdzēja iestāde paziņo līgumslēdzēja vai apakšlīgumslēdzēja VDI/IDI vai jebkurai citai kompetentajai drošības iestādei klasificētā līguma drošības noteikumus.

16.

Kad tāds līgums tiek izbeigts, PĢS kā līgumslēdzēja iestāde (un/vai VDI/IDI vai attiecīgi jebkura cita kompetentā drošības iestāde apakšlīguma gadījumā) nekavējoties par to paziņo tās dalībvalsts VDI/IDI vai jebkurai citai kompetentajai drošības iestādei, kurā līgumslēdzējs vai apakšlīgumslēdzējs reģistrēts.

17.

Parasti līgumslēdzējam vai apakšlīgumslēdzējam jāatgriežas pie līgumslēdzējas iestādes, ja pēc klasificēta līguma vai apakšlīguma beigšanas viņu rīcībā ir ESKI.

18.

Drošības aspektu vēstulē noteikti konkrēti noteikumi attiecībā uz ESKI iznīcināšanu līguma darbības laikā vai pēc tā darbības beigšanās.

19.

Ja līgumslēdzējam vai apakšlīgumslēdzējam ir atļauts saglabāt ESKI pēc līguma darbības beigām, viņš turpina ievērot šajā lēmumā noteiktos minimālos standartus un sargāt ESKI konfidencialitāti.

20.

Nosacījumus par kārtību, kādā līgumslēdzējs var slēgt apakšlīgumu, definē gan izsludinātajā konkursā, gan līgumā.

21.

Pirms līgumslēdzējs atsevišķas klasificēta līguma daļas nodod apakšlīgumslēdzējam, tas saņem atļauju no PĢS kā līgumslēdzējas iestādes. Nedrīkst piešķirt apakšlīgumu rūpniecības vai citām vienībām, kas reģistrētas valstī, kura nav ES dalībvalsts, ja tā nav noslēgusi informācijas drošības nolīgumu ar Savienību.

22.

Līgumslēdzējs ir atbildīgs par to, lai visas apakšlīgumslēdzēja darbības tiktu veiktas saskaņā ar šajā lēmumā noteiktajiem minimālajiem standartiem un lai viņš pārsūta ESKI vai citu materiālu apakšlīgumslēdzējam tikai ar iepriekšēju rakstisku līgumslēdzējas iestādes piekrišanu.

23.

Attiecībā uz ESKI, ko sagatavo vai ar ko rīkojas līgumslēdzējs vai apakšlīgumslēdzējs, līgumslēdzēja iestāde piemēro informācijas autora tiesības.

24.

Ja PĢS, līgumslēdzēju vai apakšlīgumslēdzēju personāls lūdz piekļuvi informācijai, kas klasificēta kā CONFIDENTIEL UE/EU CONFIDENTIAL vai SECRET UE/EU SECRET, viens otra telpās klasificēta līguma darbības laikā, apmeklējumus organizē sadarbībā ar VDI/IDI vai jebkuru citu attiecīgo kompetento drošības iestādi. Tomēr konkrētu projektu gadījumā VDI/IDI var vienoties arī par kārtību, saskaņā ar kuru tādus apmeklējumus var organizēt tieši.

25.

Visiem apmeklētājiem ir attiecīgā PDP, un tie atbilst vajadzības pēc informācijas principam attiecībā uz ESKI, kas saistīta ar PĢS līgumu.

26.

Apmeklētājiem nodrošina piekļuvi tikai tai ESKI, kura saistīta ar apmeklējuma mērķi.

27.

Attiecībā uz ESKI elektronisku nosūtīšanu piemēro 10. panta un IV pielikuma attiecīgos noteikumus.

28.

Attiecībā uz ESKI pārvietošanu piemēro III pielikuma attiecīgos noteikumus saskaņā ar valsts normatīvajiem aktiem.

29.

Nosakot drošības pasākumus klasificēto materiālu pārvietošanai ar kravu pārvadājumiem, piemēro šādus principus:

30.

ESKI pārsūta līgumslēdzējiem vai apakšlīgumslēdzējiem, kas atrodas trešās valstīs, atbilstīgi drošības pasākumiem, par kuriem vienojies PĢS kā līgumslēdzēja iestāde un tās trešās valsts VDI/IDI, kurā līgumslēdzējs reģistrēts.

31.

Sadarbībā ar attiecīgā gadījumā dalībvalsts VDI/IDI PĢS kā līgumslēdzēja iestāde, pamatojoties uz līguma noteikumiem, var veikt pārbaudes līgumslēdzēja/apakšlīgumslēdzēja telpās, lai pārbaudītu, vai tiek īstenoti līgumā noteiktie vajadzīgie drošības pasākumi, lai aizsargātu ESKI, kas klasificēta kā RESTREINT UE/EU RESTRICTED.

32.

Ciktāl tas vajadzīgs saskaņā ar valsts normatīvajiem aktiem, PĢS kā līgumslēdzēja iestāde informē VDI/IDI vai jebkuru citu kompetento drošības iestādi par līgumiem vai apakšlīgumiem, kuros ir iekļauta RESTREINT UE/EU RESTRICTED klasificēta informācija.

33.

Līgumslēdzējam vai apakšlīgumslēdzējam un viņu personālam nav vajadzīga IDP vai PDP attiecībā uz līgumiem, kurus piešķīris PĢS un kuros iekļauta informācija, kas klasificēta kā RESTREINT UE/EU RESTRICTED.

34.

PĢS kā līgumslēdzēja iestāde izskata iesniegtos pieteikumus līgumiem, kuros vajadzīga piekļuve RESTREINT UE/EU RESTRICTED klasificētai informācijai, neatkarīgi no jebkuras prasības saistībā ar IDP vai PDP, kas var būt noteikta valsts normatīvajos aktos.

35.

Nosacījumus par kārtību, kādā līgumslēdzējs var slēgt apakšlīgumu, definē saskaņā ar 21. punktu.

36.

Ja līgumslēdzēja izmantotās komunikāciju un informācijas sistēmās ir ar līgumu saistīta informācija, kas klasificēta kā RESTREINT UE/EU RESTRICTED, tad PĢS kā līgumslēdzēja iestāde nodrošina, ka līgumā vai katrā apakšlīgumā ir noteiktas nepieciešamās tehniskās un administratīvās prasības attiecībā uz KIS akreditāciju, kas ir samērīgas ar novērtēto risku, ņemot vērā visus atbilstīgos faktorus. Līgumslēdzēja iestāde un attiecīgā VDI/IDI savstarpēji vienojas par tādu KIS akreditācijas darbības jomu.

1.

Šajā pielikumā izklāstīti 13. panta īstenošanas noteikumi.

2.

Ja Padome uzskata, ka pastāv ilgtermiņa vajadzība apmainīties ar klasificētu informāciju:

saskaņā ar 13. panta 2. punktu un III un IV iedaļu un pamatojoties uz Drošības komitejas ieteikumu.

3.

Ja ESKI, kas izstrādāta KDAP operācijas vajadzībām, ir jānodod trešām valstīm vai starptautiskām organizācijām, kas piedalās šādā operācijā, un ja neviena no 2. punktā minētajām sistēmām nepastāv, ESKI nodošanu šādai trešai valstij vai starptautiskai organizācijai atbilstīgi V iedaļai reglamentē saskaņā ar:

4.

Ja nav 2. un 3. punktā minētās sistēmas un ja ir pieņemts lēmums nodot ESKI trešai valstij vai starptautiskai organizācijai izņēmuma ad hoc kārtā saskaņā ar VI iedaļu, šo trešo valsti vai starptautisko organizāciju lūdz rakstiski apliecināt, ka tā nodrošina tai nodotās ESKI aizsardzību saskaņā ar šajā lēmumā izklāstītajiem pamatprincipiem un minimālajiem standartiem.

5.

Informācijas drošības nolīgumos paredz pamatprincipus un minimālos standartus, ar ko reglamentē klasificētas informācijas apmaiņu starp Savienību un trešo valsti vai starptautisku organizāciju.

6.

Informācijas drošības nolīgumos nosaka arī tehniskos īstenošanas pasākumus, par kuriem jāvienojas attiecīgo Savienības iestāžu un struktūru kompetentajām drošības iestādēm un trešās valsts vai attiecīgās starptautiskās organizācijas kompetentajai drošības iestādei. Šādos nolīgumos ņem vērā aizsardzības līmeni, kas noteikts trešās valsts vai attiecīgās starptautiskās organizācijas drošības noteikumos, struktūrās un procedūrās. Tos apstiprina Drošības komiteja.

7.

ESKI apmaiņu saskaņā ar informācijas drošības nolīgumu neveic elektroniskā veidā, izņemot gadījumus, kad tas īpaši noteikts nolīgumā vai atbilstīgajos tehniskās īstenošanas pasākumos.

8.

Ja Padome noslēdz informācijas drošības nolīgumu, katrā pusē nosaka reģistru par galveno punktu klasificētas informācijas saņemšanai un sniegšanai.

9.

Lai izvērtētu attiecīgo trešās valsts vai attiecīgās starptautiskās organizācijas drošības noteikumu, struktūru un procedūru efektivitāti, veic izvērtējuma apmeklējumus, savstarpēji vienojoties ar attiecīgo trešo valsti vai starptautisko organizāciju. Minētos izvērtējuma apmeklējumus veic saskaņā ar attiecīgajiem III pielikuma noteikumiem un tajos izvērtē:

10.

Grupa, kas veic izvērtējuma apmeklējumu Savienības vārdā, izvērtē to, vai attiecīgie drošības noteikumi un procedūras trešā valstī vai starptautiskā organizācijā atbilst ESKI aizsardzībai dotajā līmenī.

11.

Šādos apmeklējumos izdarītos secinājumus ietver ziņojumā – pamatojoties uz šo ziņojumu, Drošības komiteja nosaka maksimālo līmeni ESKI, ko attiecīgai trešai personai var izsniegt papīra veidā vai attiecīgā gadījumā elektroniskā formātā, kā arī visus pārējos īpašos noteikumus, ko piemēro informācijas apmaiņai ar minēto pusi.

12.

Veic visas pūles, lai izpildītu pilnīgus drošības izvērtējuma apmeklējumus trešā valstī vai attiecīgā starptautiskā organizācijā, pirms Drošības komiteja ir apstiprinājusi īstenošanas pasākumus, lai noteiktu pastāvošās drošības sistēmas veidu un efektivitāti. Tomēr, ja tas nav iespējams, Drošības komiteja no PĢS Drošības biroja saņem pēc iespējas pilnīgāku ziņojumu, pamatojoties uz tam pieejamo informāciju, ar ko Drošības komiteja tiek informēta par piemērojamiem drošības noteikumiem un drošības pasākumu organizēšanu attiecīgajā trešā valstī vai starptautiskā organizācijā.

13.

Pirms ESKI faktiskās nodošanas attiecīgajai trešai valstij vai starptautiskai organizācijai izvērtējuma apmeklējuma ziņojumu vai, ja šāda ziņojuma nav, 12. punktā minēto ziņojumu nosūta Drošības komitejai, kura to atzīst par apmierinošu.

14.

Savienības iestāžu un struktūru kompetentās drošības iestādes paziņo trešai valstij vai starptautiskai organizācijai dienu, ar kuru Savienība ir tiesīga nodot ESKI saskaņā ar nolīgumu, kā arī maksimālo ESKI līmeni, ar ko var apmainīties papīra formā vai elektroniski.

15.

Turpmākus izvērtējuma apmeklējumus veic vajadzības gadījumā, jo īpaši, ja:

16.

Pēc tam, kad informācijas drošības nolīgums ir stājies spēkā un ir notikusi klasificētas informācijas apmaiņa ar attiecīgo trešo valsti vai starptautisko organizāciju, Drošības komiteja var pieņemt lēmumu grozīt maksimālo tādas ESKI līmeni, ar ko var apmainīties izdrukātā vai elektroniskā veidā, jo īpaši – ņemot vērā turpmākus izvērtējuma apmeklējumus.

17.

Ja pastāv ilgtermiņa vajadzība organizēt tādas klasificētas informācijas apmaiņu ar trešo valsti vai starptautisku organizāciju, kura parasti nav klasificēta augstāk kā RESTREINT UE/EU RESTRICTED, un ja Drošības komiteja konstatējusi, ka attiecīgajai pusei nav pietiekami attīstītas drošības sistēmas, lai tā varētu noslēgt informācijas drošības nolīgumu, ģenerālsekretārs ar Padomes piekrišanu var noslēgt administratīvu vienošanos PĢS vārdā ar attiecīgām trešās valsts iestādēm vai starptautisko organizāciju.

18.

Taču, ja steidzamu operatīvu iemeslu dēļ klasificētas informācijas apmaiņas sistēma ir jāizveido ātri, izņēmuma kārtā Padome var nolemt noslēgt administratīvu vienošanos par augstāka klasifikācijas līmeņa informācijas apmaiņu.

19.

Administratīvās vienošanās parasti noslēdz vēstuļu apmaiņas veidā.

20.

Pirms ESKI faktiskās nodošanas attiecīgajai trešai valstij vai starptautiskai organizācijai veic 9. punktā minēto izvērtējuma apmeklējumu un ziņojumu par to vai, ja šāda ziņojuma nav, 12. punktā minēto ziņojumu nosūta Drošības komitejai, kura to atzīst par apmierinošu.

21.

ESKI apmaiņu saskaņā ar administratīvu vienošanos neveic elektroniskā veidā, izņemot gadījumus, kad tas īpaši noteikts ar minēto vienošanos.

22.

Ar līdzdalības pamatnolīgumiem reglamentē trešo valstu vai starptautisku organizāciju dalību KDAP operācijās. Šādos nolīgumos iekļauj noteikumus par tādas ESKI nodošanu operācijas dalībniecēm trešām valstīm vai starptautiskām organizācijām, kura sagatavota KDAP operāciju vajadzībām. Maksimālais klasifikācijas līmenis ESKI, ar kuru var apmainīties, ir RESTREINT UE/EU RESTRICTED civilo KDAP operāciju vajadzībām un CONFIDENTIEL UE/EU CONFIDENTIAL militāro KDAP operāciju vajadzībām, ja vien lēmumā, ar ko izveido katru KDAP operāciju, nav noteikts citādi.

23.

Ad hoc līdzdalības nolīgumos, kas noslēgti attiecībā uz konkrētu KDAP operāciju, iekļauj noteikumus par tādas ESKI nodošanu operācijas dalībniecēm trešām valstīm vai starptautiskām organizācijām, kura sagatavota attiecīgās operācijas vajadzībām. Maksimālais klasifikācijas līmenis ESKI, ar kuru var apmainīties, ir RESTREINT UE/EU RESTRICTED civilo KDAP operāciju vajadzībām un CONFIDENTIEL UE/EU CONFIDENTIAL militāro KDAP operāciju vajadzībām, ja vien lēmumā, ar ko izveido katru KDAP operāciju, nav noteikts citādi.

24.

Ja nav noslēgts informācijas drošības nolīgums un kamēr nav noslēgts dalības nolīgums, tādas ESKI, kas radīta operācijas nolūkiem, nodošanu trešai valstij vai starptautiskai organizācijai, kas piedalās operācijā, reglamentē ar administratīvu vienošanos, kas jānoslēdz Augstajam pārstāvim, vai uz to attiecas lēmums par ad hoc nodošanu saskaņā ar VI iedaļu. ESKI saskaņā ar šādu vienošanos var nodot tikai tik ilgi, kamēr tiek paredzēta trešās valsts vai starptautiskās organizācijas dalība. Maksimālais klasifikācijas līmenis ESKI, ar kuru var apmainīties, ir RESTREINT UE/EU RESTRICTED civilo KDAP operāciju vajadzībām un CONFIDENTIEL UE/EU CONFIDENTIAL militāro KDAP operāciju vajadzībām, ja vien lēmumā, ar ko izveido katru KDAP operāciju, nav noteikts citādi.

25.

Noteikumos par klasificētas informācijas ietveršanu līdzdalības pamatnolīgumos, ad hoc līdzdalības nolīgumos un ad hoc administratīvajās vienošanās, kas minētas 22. līdz 24. punktā, paredz, ka attiecīgā trešā valsts vai starptautiskā organizācija nodrošina, ka tās personāls, kas norīkots operācijas veikšanai, aizsargās ESKI saskaņā ar Padomes drošības noteikumiem un ar turpmākām kompetento iestāžu, tostarp operācijas komandķēdes, norādēm.

26.

Ja attiecīgā iesaistītā trešā valsts vai starptautiskā organizācija pēc tam noslēdz informācijas drošības nolīgumu ar Savienību, šis informācijas drošības nolīgums, ciktāl tas attiecas uz apmaiņu un rīkošanos ar ESKI, aizstāj noteikumus par klasificētas informācijas apmaiņu, kas izklāstīti jebkurā līdzdalības pamatnolīgumā, ad hoc līdzdalības nolīgumā vai ad hoc administratīvajā vienošanās.

27.

Saskaņā ar trešo valsti vai starptautisko organizāciju noslēgto līdzdalības pamatnolīgumu, ad hoc līdzdalības nolīgumu vai ad hoc administratīvo vienošanos nav atļauts veikt ESKI elektronisku apmaiņu, ja vien tas nav skaidri noteikts attiecīgā nolīguma vai vienošanās tekstā.

28.

ESKI, kas izstrādāta KDAP operācijas vajadzībām, var atklāt personālam, ko trešās valstis vai starptautiskas organizācijas ir norīkojušas darbam minētajā operācijā, saskaņā ar 22. līdz 27. punktu. Sniedzot tādam personālam atļauju piekļūt ESKI KDAP operācijas telpās vai komunikāciju un informācijas sistēmā, ir jāpiemēro pasākumi (tostarp atklātās ESKI reģistrācija), lai mazinātu zuduma vai riska iespēju. Tādus pasākumus definē attiecīgos plānošanas vai misijas dokumentos.

29.

Ja nav noslēgts informācijas drošības nolīgums, ESKI nodošanu specifiskas un tūlītējas operatīvas vajadzības gadījumā uzņēmējvalstij, kuras teritorijā veic KDAP operāciju, var reglamentēt ar administratīvu vienošanos, kas jānoslēdz Augstajam pārstāvim. Šo iespēju paredz lēmumā, ar ko izveido KDAP operāciju. Šādos apstākļos nodod tikai tādu ESKI, kura sagatavota KDAP operācijas vajadzībām un kuras klasifikācija nav augstāka kā RESTREINT UE/EU RESTRICTED, izņemot gadījumus, kad lēmumā, ar ko izveido KDAP operāciju, ir noteikts augstāks klasifikācijas līmenis. Saskaņā ar tādas administratīvās vienošanās tekstu uzņēmējvalsts pienākums ir apņemties aizsargāt ESKI atbilstīgi minimālajiem standartiem, kas nav vājāki par šajā lēmumā noteiktajiem.

30.

Ja nav noslēgts informācijas drošības nolīgums, ESKI nodošanu attiecīgajām trešām valstīm un starptautiskajām organizācijām, kas nav tās, kuras piedalās KDAP operācijā, var reglamentēt ar administratīvu vienošanos, kas jānoslēdz Augstajam pārstāvim. Attiecīgā gadījumā šo iespēju, kā arī jebkurus citus ar to saistītos noteikumus paredz lēmumā, ar ko izveido KDAP operāciju. Šādos apstākļos nodod tikai tādu ESKI, kura sagatavota KDAP operācijas vajadzībām un kuras klasifikācija nav augstāka kā RESTREINT UE/EU RESTRICTED, izņemot gadījumus, kad lēmumā, ar ko izveido KDAP operāciju, ir noteikts augstāks klasifikācijas līmenis. Saskaņā ar tādas administratīvas vienošanās tekstu attiecīgās trešās valsts vai starptautiskās organizācijas pienākums ir apņemties aizsargāt ESKI atbilstīgi minimālajiem standartiem, kas nav vājāki par šajā lēmumā noteiktajiem.

31.

Nav vajadzīgi īstenošanas pasākumi vai izvērtējuma apmeklējumi, pirms nav īstenoti noteikumi par ESKI nodošanu saistībā ar 22., 23. un 24. punktu.

32.

Ja nav nekādas sistēmas atbilstīgi III līdz V iedaļai un ja Padomei vai vienai no tās sagatavošanas struktūrām rodas ārkārtēja vajadzība nodot ESKI trešai valstij vai starptautiskai organizācijai, PĢS:

33.

Ja Drošības komiteja pieņem ieteikumu par labu ESKI nodošanai, attiecīgo lietu nosūta Pastāvīgo pārstāvju komitejai (Coreper), kura pieņem lēmumu par informācijas nodošanu.

34.

Ja Drošības komitejas ieteikumā nav atbalstīta ESKI nodošana:

35.

Ja to uzskata par piemērotu un ja attiecīgā gadījumā ir rakstiski piekritis autors, Coreper var pieņemt lēmumu, ka klasificētu informāciju var nodot tikai daļēji vai tikai tad, ja tās klasifikācijas līmenis ir pamazināts vai tā ir deklasificēta vai ja nododamo informāciju gatavo, nenorādot avotu vai sākotnējo ES klasifikācijas līmeni.

36.

PĢS saskaņā ar lēmumu nodot ESKI nosūta attiecīgo dokumentu ar norādi par trešo valsti vai starptautisko organizāciju, kurai tā ir nodota. Pirms vai pēc faktiskās nodošanas attiecīgā trešā persona rakstiski apņemas aizsargāt saņemto ESKI saskaņā ar šajā lēmumā izklāstītajiem pamatprincipiem un minimālajiem standartiem.

37.

Ja saskaņā ar 2. punktu pastāv sistēma klasificētas informācijas apmaiņai ar kādu trešo valsti vai starptautisku organizāciju, Padome pieņem lēmumu atļaut ģenerālsekretāram saskaņā ar principu par informācijas autora piekrišanu nodot ESKI attiecīgai trešai valstij vai starptautiskai organizācijai. Ģenerālsekretārs var deleģēt šādas atļaujas piešķiršanu PĢS vecākajiem ierēdņiem.

38.

Ja saskaņā ar 2. punkta pirmo ievilkumu ir noslēgts informācijas drošības nolīgums, Padome var pieņemt lēmumu atļaut Augstajam pārstāvim attiecīgajai trešai valstij vai starptautiskajai organizācijai nodot no Padomes nākošu ESKI kopējās ārpolitikas un drošības politikas jomā pēc tam, kad ir iegūta jebkura tajā iekļautā materiāla autora piekrišana. Augstais pārstāvis var deleģēt šādas atļaujas piešķiršanu vecākajiem EĀDD ierēdņiem vai ESĪP.

39.

Ja saskaņā ar 2. punktu vai 3. punktu pastāv sistēma klasificētas informācijas apmaiņai ar kādu trešo valsti vai starptautisku organizāciju, Augstajam pārstāvim ir atļauts nodot ESKI saskaņā ar lēmumu, ar ko izveido KDAP operāciju, un ar principu par informācijas autora piekrišanu. Augstais pārstāvis var deleģēt šādas atļaujas piešķiršanu vecākajiem EĀDD ierēdņiem, ES operācijas, spēku vai misijas komandieriem vai ES misijas vadītājiem.

“akreditācija” ir process, kura rezultāts ir drošības akreditācijas iestādes (DAI) oficiāla deklarācija, ka sistēma ir apstiprināta konkrētas klasifikācijas līmeņa darbam īpašā drošības režīmā savā darbības vidē un pieņemamā riska līmenī, balstoties uz pieņēmumu, ka ir īstenots apstiprināts tehnisku, fizisku, organizatorisku un procedūras drošības pasākumu kopums;

“resursi” ir jebkas, ko organizācija uzskata par vērtīgu savās saimnieciskajās darbībās un to nepārtrauktības nodrošināšanā, tostarp informācijas resursi, kas vajadzīgi organizācijas uzdevuma pildīšanai;

“atļauja piekļūt ESKI” ir PĢS iecēlējinstitūcijas lēmums, kas pieņemts, pamatojoties uz dalībvalsts kompetentās iestādes apliecinājumu, ka ĢPS ierēdnim, citam darbiniekam vai norīkotam valsts ekspertam – ar noteikumu, ka ir apzināta viņa vajadzība pēc informācijas un viņš ir attiecīgi informēts par saviem pienākumiem, – var līdz konkrētam datumam piešķirt piekļuvi ESKI līdz konkrētam līmenim (CONFIDENTIEL UE/EU CONFIDENTIAL vai augstākam);

“KIS aprites cikls” ir viss KIS pastāvēšanas laiks kopā, kurā ietilpst ierosināšana, koncepcijas izstrāde, plānošana, prasību analīze, projektēšana, izstrāde, testēšana, īstenošana, darbība, uzturēšana un likvidēšana;

“klasificēts līgums” ir līgums, kuru PĢS slēdz ar līgumslēdzēju par ražojumu piegādi, darbu veikšanu vai pakalpojumu sniegšanu un kura izpilde prasa vai ir saistīta ar piekļuvi ESKI vai tās sagatavošanu;

“klasificēts apakšlīgums” ir līgums par ražojumu piegādi, darbu veikšanu vai pakalpojumu sniegšanu, kuru PĢS līgumslēdzējs slēdz ar citu līgumslēdzēju (t. i., apakšlīgumslēdzēju) un kura izpilde prasa vai ir saistīta ar piekļuvi ESKI vai tās sagatavošanu;

“komunikāciju un informācijas sistēma” (KIS) – skatīt 10. panta 2. punktu;

“līgumslēdzējs” ir fiziska vai juridiska persona, kura ir tiesīga slēgt līgumus;

“kriptogrāfijas materiāls” ir kriptogrāfijas algoritmi, kriptogrāfijas aparatūras un programmatūras moduļi un produkti, tostarp īstenošanas informācija un ar to saistītā dokumentācija un atslēgu materiāls;

“kriptogrāfijas produkts” ir produkts, kura primārā un galvenā funkcija ir nodrošināt drošības pakalpojumus (konfidencialitāti, integritāti, pieejamību, autentiskumu, pretnoliegšanu), izmantojot vienu vai vairākus kriptogrāfijas mehānismus;

“KDAP operācija” ir krīžu militāras vai civilas pārvarēšanas operācija saskaņā ar LES V sadaļas 2. nodaļu;

“deklasifikācija” ir jebkādas drošības klasifikācijas noņemšana;

“padziļināta aizsardzība” ir dažādu drošības pasākumu piemērošana, izveidojot daudzslāņainu aizsardzību;

“izraudzītā drošības iestāde” (IDI) ir iestāde, kas pakļauta dalībvalsts valsts drošības iestādei (VDI) un ir atbildīga par to, ka rūpniecības vai citas vienības ir informētas par valsts politiku visā industriālās drošības jomā, kā arī par virzību un palīdzību tās īstenošanā. IDI uzdevumus var veikt VDI vai jebkura cita kompetentā iestāde;

“dokuments” ir jebkura ierakstīta informācija neatkarīgi no tās fiziskā veidola vai iezīmēm;

“klasifikācijas līmeņa pazemināšana” ir klasificēšana zemākā drošības pakāpē;

“ES klasificēta informācija” (ESKI) – skatīt 2. panta 1. punktu;

“iestādes drošības pielaide” (IDP) ir IDI vai VDI administratīvs konstatējums, ka no drošības viedokļa iestāde spēj nodrošināt pietiekamu ESKI aizsardzību konkrētā drošības klasifikācijas līmenī;

“rīkošanās” ar ESKI ir visu veidu darbības, ko ar ESKI veic tās aprites laikā. Tajā ietilpst izstrāde, apstrāde, pārvietošana, klasifikācijas līmeņa pazemināšana, deklasifikācija un iznīcināšana. Saistībā ar KIS tajā ietilpst arī ievākšana, uzrādīšana, pārsūtīšana un glabāšana;

“turētājs” ir pienācīgi sertificēta persona, kurai ir oficiāli pierādīta vajadzība pēc informācijas un kuras rīcībā ir ESKI, kas tādējādi dara viņu atbildīgu par aizsardzību;

“rūpniecības vai cita vienība” ir vienība, kas piegādā ražojumus, veic darbu vai sniedz pakalpojumus; tās var būt rūpniecības, komerciālas, pakalpojumu sniedzēju, zinātniskas, pētniecības, izglītības vai attīstības vienības vai pašnodarbināta persona;

“industriālā drošība” – skatīt 11. panta 1. punktu;

“informācijas aizsardzība” – skatīt 10. panta 1. punktu;

“savstarpējs savienojums” – skatīt IV pielikuma 32. punktu;

“klasificētas informācijas pārvaldība” – skatīt 9. panta 1. punktu;

“materiāli” ir jebkurš dokuments, datu nesējs vai iekārtas vai ierīces daļa, kas jau ir izstrādāta vai vēl tiek izstrādāta;

“autors” ir Savienības iestāde, struktūra vai aģentūra, dalībvalsts, trešā valsts vai starptautiska organizācija, kuras pakļautībā klasificēta informācija ir sagatavota un/vai nodota Savienības struktūrām;

“personāla drošība” – skatīt 7. panta 1. punktu;

“personāla drošības pielaide” (PDP) ir dalībvalsts kompetentās iestādes deklarācija, kas pieņemta pēc tam, kad dalībvalsts kompetentās iestādes veikušas drošības izmeklēšanu, un ar ko apliecina, ka personai līdz konkrētam datumam var piešķirt piekļuvi ESKI līdz konkrētam līmenim (CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāk);

“personāla drošības pielaides apliecība” (PDPA) ir kompetentās drošības iestādes izdota apliecība, ar kuru nosaka, ka persona ir saņēmusi drošības pielaidi un tai ir derīga drošības pielaides apliecība vai iecēlējinstitūcijas atļauja piekļūt ESKI, kurā norāda to ESKI klasifikācijas līmeni, līdz kuram personai var piešķirt piekļuvi (CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāk), attiecīgās PDP derīguma termiņu un apliecības derīguma termiņu;

“fiziskā drošība” – skatīt 8. panta 1. punktu;

“programmas/projekta drošības instrukcijas” (PDI) ir to drošības procedūru saraksts, kuras piemēro konkrētai programmai/projektam, lai standartizētu drošības procedūras. To var pārskatīt visā programmas/projekta darbības laikā;

“reģistrācija” – skatīt III pielikuma 18. punktu;

“atlikušais risks” ir risks, kas pastāv pēc drošības pasākumu īstenošanas, ņemot vērā to, ka ne pret visiem apdraudējumiem var cīnīties un ne visu ietekmējamību var likvidēt;

“risks” ir iespēja, ka ar kādu apdraudējumu izmantos iekšēju vai ārēju organizācijas vai kādas tās sistēmas vājo vietu un tādējādi radīs kaitējumu organizācijai un tās materiāliem un nemateriāliem aktīviem. To izsaka kā apdraudējumu iespējamības un to ietekmes apvienojumu:

“drošības aspektu vēstule” (DAV) ir līgumslēdzējas iestādes izdots īpašu līguma nosacījumu kopums, kas ir tāda klasificēta līguma neatņemama sastāvdaļa, kurš saistīts ar piekļuvi ESKI vai ar ESKI sagatavošanu un kurā identificē drošības prasības vai tos līguma elementus, kam vajadzīga drošības aizsardzība;

“drošības klasifikācijas rokasgrāmata” (DKR) ir dokuments, kurā aprakstīti klasificētie programmas vai līguma elementi, precizējot piemērojamos drošības klasifikācijas līmeņus. DKR var paplašināt visā programmas vai līguma darbības laikā un informācijas elementus var pārklasificēt vai klasificēt zemākā kategorijā; ja pastāv DKR, tā ietilpst DAV;

“drošības izmeklēšana” ir izmeklēšanas procedūras, ko saskaņā ar spēkā esošiem valsts normatīvajiem aktiem veic kompetentā dalībvalsts iestāde, lai pārliecinātos, ka nav nekādas nelabvēlīgas informācijas, kas varētu liegt konkrētai personai saņemt PDP vai atļauju piekļūt ESKI, lai tā varētu piekļūt ESKI līdz konkrētam līmenim (CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāk);

“drošības darbības režīms” ir to nosacījumu definēšana, saskaņā ar kuriem darbojas KIS, pamatojoties uz informācijas, ar kuru rīkojas KIS, klasifikāciju un pielaides līmeņiem, oficiāliem piekļuves apstiprinājumiem un tās lietotāju vajadzību pēc informācijas. Rīkošanās procesam ar klasificētu informāciju un tās pārsūtīšanai ir četri darbības režīmi – paredzētais, sistēmiskais, nodalītais un daudzlīmeņu režīms:

“drošības riska pārvaldības process” ir viss process, kurā ietilpst tādu neparedzētu notikumu apzināšana, kontrole un ietekmes samazināšana, kuri var ietekmēt drošību organizācijā vai jebkurā no sistēmām, ko tā izmanto. Tas attiecas uz visām darbībām, kas saistītas ar risku, tostarp tā izvērtēšanu, apstrādi, pieņemšanu un izziņošanu;

“TEMPEST” ir apdraudošu elektromagnētisku emisiju izmeklēšana, izpēte un kontrole un pasākumi to novēršanai;

“apdraudējums” ir iespējams nevēlama atgadījuma cēlonis, kura rezultātā var tikt izdarīts kaitējums organizācijai vai jebkurai sistēmai, ko tajā izmanto; tādi apdraudējumi var būt nejauši vai apzināti (ļaunprātīgi), un tiem ir raksturīgi apdraudējuma elementi, iespējami mērķi un uzbrukuma metodes;

“ietekmējamība” ir jebkura vājā vieta, ko varētu izmantot vienā vai vairākos apdraudējuma gadījumos. Ietekmējamība var būt kāda posma iztrūkums vai var būt saistīta ar vāju vietu kontrolē attiecībā uz tās stiprumu, pilnīgumu vai konsekvenci, un tai var būt tehnisks, procedūras, fizisks, organizatorisks vai operatīvs raksturs.