EIROPAS KOMISIJA

Briselē, 22.3.2022

COM(2022) 119 final

2022/0084(COD)

Priekšlikums

EIROPAS PARLAMENTA UN PADOMES REGULA

par informācijas drošību Savienības iestādēs, struktūrās, birojos un aģentūrās

{SWD(2022) 65 final} - {SWD(2022) 66 final}

PASKAIDROJUMA RAKSTS

1.PRIEKŠLIKUMA KONTEKSTS

•Priekšlikuma pamatojums un mērķi

Šis priekšlikums ietilpst ES Drošības savienības stratēģijā 1 , kuru Komisija pieņēma 2020. gada 24. jūlijā un kurā pausta apņemšanās sniegt Eiropas Savienības pievienoto vērtību valstu centieniem drošības jomā. Daļa no šīs apņemšanās ir iekšējā tiesiskā regulējuma racionalizēšanas iniciatīva informācijas drošības jomā visās Savienības iestādēs un struktūrās.

Eiropadomes 2019. gada jūnijā pieņemtās Stratēģiskās programmas 2019.–2024. gadam svarīga sastāvdaļa ir mūsu sabiedrības aizsardzība no pieaugošajiem draudiem, kas vērsti pret iestāžu un struktūru apstrādāto informāciju. Eiropadome savos secinājumos 2 jo īpaši aicināja “ES iestādes kopā ar dalībvalstīm strādāt pie pasākumiem, lai uzlabotu ES drošības kultūru un palielinātu tās spēju izturēt kiberdraudus un hibrīddraudus, kuri rodas ārpus ES, un lai ES informācijas un sakaru tīklus un lēmumu pieņemšanas procesus labāk aizsargātu pret visu veidu ļaunprātīgām darbībām.”

Tāpat Vispārējo lietu padome 2019. gada decembrī 3 secināja, ka ES iestādēm un struktūrām ar dalībvalstu atbalstu būtu jāizstrādā un jāīsteno visaptverošs pasākumu kopums savas drošības nostiprināšanai. Tas atbilst Padomes Drošības komitejas jau sen izteiktam pieprasījumam izpētīt, kādi varētu būt Padomei, Komisijai un Eiropas Ārējās darbības dienestam kopīgi drošības pamatnoteikumi 4 .

Pašlaik Savienības iestādēm un struktūrām ir vai nu savi informācijas drošības noteikumi, kuru pamatā ir to reglaments vai dibināšanas akts, vai arī to nav vispār. Tas galvenokārt attiecas uz vairākām mazām struktūrām, kurām nav oficiālas informācijas drošības politikas. 

Tā kā arvien pieaug sensitīvas neklasificētas un Eiropas Savienības klasificētas informācijas (ESKI) apjoms, ar ko savstarpēji jāapmainās Savienības iestādēm un struktūrām, un ņemot vērā apdraudējumu rakstura ārkārtīgi dinamisko attīstību, Eiropas administrācija ir pakļauta uzbrukumiem visās savās darbības jomās. Mūsu iestāžu un struktūru apstrādātā informācija ir ļoti pievilcīga apdraudējuma radītājiem, un tā ir pienācīgi jāaizsargā. Līdz ar to ir strauji jārīkojas, lai uzlabotu tās aizsardzību.

Tāpēc un lai palielinātu Eiropas administrācijas apstrādātās informācijas aizsardzību, šīs iniciatīvas mērķis ir saskaņot Savienības iestāžu un struktūru dažādos tiesiskos regulējumus šajā jomā:

•izveidot saskaņotas un visaptverošas informācijas kategorijas, kā arī kopējus tās apstrādes noteikumus visām Savienības iestādēm un struktūrām; 

•izveidot vienkāršu sadarbības sistēmu informācijas drošības jomā starp Savienības iestādēm un struktūrām, kas spētu veicināt saskaņotu informācijas drošības kultūru visā Eiropas administrācijā;

•modernizēt informācijas drošības politiku visos klasifikācijas/kategorizācijas līmeņos visām Savienības iestādēm un struktūrām, ņemot vērā digitālo pārkārtošanos un tāldarba kā ierastas prakses attīstību.

•Saskanība ar pašreizējiem noteikumiem konkrētajā politikas jomā

Šī iniciatīva atbilst plašam ES politikas virzienu lokam drošības un informācijas drošības jomā.

Vēl 2016. gadā Eiropas Parlaments un Padome pieņēma Direktīvu 5 par pasākumiem nolūkā panākt vienādi augsta līmeņa tīklu un informācijas sistēmu drošību visā Savienībā. Šī direktīva bija pirmais ES mēroga likumdošanas pasākums ar mērķi paplašināt dalībvalstu sadarbību kiberdrošības jomā. Lai gan Komisija 2020. gada decembrī pieņēma priekšlikumu par šā instrumenta pārskatīšanu, ieviešot uzraudzības pasākumus valstu iestādēm, Savienības administrācija joprojām ir ārpus tā darbības jomas. 

Līdzīgi, lai atbalstītu dalībvalstu centienus drošības jomā, ir ārkārtīgi svarīgi, lai Savienības iestādes un struktūras sasniegtu augstu savas informācijas un ar tām saistīto informācijas un sakaru sistēmu aizsardzības līmeni nolūkā nodrošināt informācijas drošību.

Komisija 2020. gada jūlijā pieņēma Drošības savienības stratēģiju 6 ar visaptverošu ES apņemšanos papildināt dalībvalstu centienus visās drošības jomās. Šīs stratēģijas darbības laiks ir no 2020. līdz 2025. gadam, un tajā ir izklāstīti četri galvenie darbības pīlāri: nākotnes prasībām atbilstoša drošības vide, vēršanās pret jauniem apdraudējumiem, Eiropas iedzīvotāju aizsardzība pret terorismu un organizēto noziedzību un spēcīga Eiropas drošības ekosistēma. Vairāki šo pīlāru ietvaros aplūkotie temati ir koncentrēti uz informācijas drošību, kiberdrošību, sadarbību un informācijas apmaiņu, kā arī kritisko infrastruktūru.

Atbilstoši Drošības savienības stratēģijai Eiropas Komisija ierosina izveidot minimālo noteikumu kopumu informācijas drošības jomā visās Savienības iestādēs un struktūrās, tādējādi nosakot obligātus un augstus kopīgus drošas informācijas apmaiņas standartus. Šī iniciatīva atspoguļo iestāžu un struktūru apņemšanos Eiropas administrācijā drošības jomā noteikt tikpat vērienīgus mērķus, kādi tiek uzstādīti dalībvalstīm.

2020. gada 16. decembrī Komisija un Augstais pārstāvis ārlietās un drošības politikas jautājumos nāca klajā ar jaunu ES kiberdrošības stratēģiju 7 . Tajā ir izklāstītas prioritātes un svarīgākās darbības, ar ko palielināt Eiropas noturību, autonomiju, līderību un operatīvo spēju, saskaroties ar pieaugošiem un sarežģītiem draudiem tās tīkliem un informācijas sistēmām, un veicināt globālu un atvērtu kibertelpu un tās starptautiskās partnerības šajā telpā. Savienības iestādēm un struktūrām ir vienlīdz svarīgi veicināt šo prioritāšu sasniegšanu, nosakot līdzvērtīgas prasības gan informācijas drošības, gan kiberdrošības jomā. 

Ar šo priekšlikumu un priekšlikumu Regulai, ar ko paredz pasākumus nolūkā panākt vienādi augsta līmeņa kiberdrošību Savienības iestādēs, struktūrās, birojos un aģentūrās, notiek centieni papildināt Drošības savienības stratēģijas regulatīvo kopumu ar īpašām prasībām Eiropas administrācijai. Ņemot vērā informācijas drošības un kiberdrošības savstarpējo saikni, šajos divos priekšlikumos būtu jānodrošina saskaņota pieeja neklasificētas informācijas aizsardzībai.

•Saskanība ar citām Savienības politikas jomām

Šajā iniciatīvā ir ņemti vērā arī citi Savienības politikas virzieni, kas attiecas uz informācijas drošību. 

Datu aizsardzības jomā ir Regula (ES) 2018/1725 8 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās un par šādu datu brīvu apriti, kura ir piemērojama Eiropas Savienības un Eiropas Atomenerģijas kopienas (Euratom) administrācijai. Šeit arī jāpiemin, ka attiecībā uz dažām Savienības iestādēm un struktūrām ES likumdevēji ir pieņēmuši īpašus attiecīgus noteikumus par personas datu aizsardzību.

Pārredzamības jomā šis priekšlikums balstās uz principiem, kas noteikti Regulā (EK) Nr. 1049/2001 9 par publisku piekļuvi Eiropas Parlamenta, Padomes un Komisijas dokumentiem, ņemot vērā citus attiecīgus noteikumus.

2.JURIDISKAIS PAMATS, SUBSIDIARITĀTE UN PROPORCIONALITĀTE

•Juridiskais pamats

Ņemot vērā šā priekšlikuma mērķi un saturu, vispiemērotākais tā juridiskais pamats ir Līguma par Eiropas Savienības darbību (LESD) 298. pants un Eiropas Atomenerģijas kopienas dibināšanas līguma 106.a pants. 

LESD 298. pants tika ieviests ar Lisabonas līgumu, un tas ļauj likumdevējiem pieņemt noteikumus, lai izveidotu efektīvu un neatkarīgu administrāciju, kas atbalsta iestādes, struktūras, birojus un aģentūras to uzdevumu izpildē.  

Efektīva un neatkarīga administrācija balstās uz savas informācijas drošību. Savienības iestādēm un struktūrām savu uzdevumu izpildei ir pieejama droša vide informācijai, ko tās apstrādā un glabā ikdienā. Turklāt kopīgu, visiem obligātu pamatstandartu noteikšana garantētu augstu drošības līmeni, samazinātu vājo posmu risku iestāžu un struktūru sadarbspējas atbalstīšanā un palielinātu sinerģiju, tādējādi uzlabojot administrācijas noturību pret mainīgiem apdraudējumiem.  

Turklāt, tā kā vispārējais mērķis ir panākt kopīgu augsta līmeņa drošību ESKI un neklasificētai informācijai, ko apstrādā un glabā Savienības iestādes un struktūras, šis priekšlikums ļauj Eiropas administrācijai labāk aizsargāties pret ārēju iejaukšanos un spiegošanas darbībām. 

LESD 298. pants ļauj Savienībai noteikt kopīgus noteikumus visai Eiropas administrācijai, lai nodrošinātu, ka visas Savienības iestādes un struktūras vienādi apstrādā ESKI un neklasificētu informāciju. Tādējādi šajā regulā paredzētie noteikumi ir piemērojami administrācijai, un ar to var netieši uzlikt pienākumus tikai personām, kas veic uzdevumus šīs administrācijas vārdā vai uz līguma pamata (neieskaitot komisārus, dalībvalstu pārstāvjus, kas darbojas Padomē, Eiropas Parlamenta locekļus, Savienības tiesu tiesnešus vai Eiropas Revīzijas palātas locekļus).

Saskaņā ar LESD 298. pantu Eiropas Parlaments un Padome pieņem regulu saskaņā ar parasto likumdošanas procedūru. 

Šim priekšlikumam ir vajadzīgs papildu juridiskais pamats, jo tas attiecas arī uz informāciju, kas saistīta ar dažām Eiropas Atomenerģijas kopienas darbībām. Tas neattiecas uz Euratom klasificēto informāciju, bet ar to Savienības iestādes un struktūras rīkojas saskaņā ar vispārējo ESKI režīmu.  

Šis papildu juridiskais pamats ir Eiropas Atomenerģijas kopienas dibināšanas līguma 106.a pants, saskaņā ar kuru LESD 298. pants ir piemērojams arī iepriekš minētajām Euratom darbībām.  

•Subsidiaritāte (neekskluzīvas kompetences gadījumā)

Saskaņā ar subsidiaritātes principu, kā noteikts Līguma par Eiropas Savienību 5. panta 3. punktā, ES līmenī būtu jārīkojas tikai tad, ja iecerētos mērķus nevar pietiekami labi sasniegt dalībvalstis vienas pašas un tāpēc ierosinātās darbības mēroga vai iedarbības dēļ tie ir labāk sasniedzami ES līmenī. 

Tā kā noteikumus, kas reglamentē ESKI un sensitīvu neklasificētu informāciju, kuru apstrādā un glabā Savienības iestādes un struktūras, var pieņemt tikai Savienība, subsidiaritātes principu nepiemēro.

•Proporcionalitāte

Lai veicinātu neatkarīgu un efektīvu pārvaldību, ir jāizveido visām Savienības iestādēm un struktūrām kopīgs informācijas drošības pamats.

Saskaņā ar LES 5. panta 4. punktā noteikto proporcionalitātes principu regulas noteikumi nav pārāk ierobežojoši un pieļauj dažādus konkrētas rīcības līmeņus saskaņā ar katras Savienības iestādes un struktūras drošības brieduma līmeni.

Turklāt risinājuma ietekme uz personu pamattiesībām ir ierobežota. Tādējādi priekšlikums paredz vienīgi nepieciešamos pasākumus, lai risinātu problēmu, ka visām Savienības iestādēm un struktūrām trūkst vienotu informācijas drošības noteikumu kopuma.

•Juridiskā instrumenta izvēle

Par piemērotu juridisko instrumentu tiek uzskatīta regula, kuras pamatā ir LESD 298. pants.

To pamato tādu elementu pārsvars, kuriem nepieciešama vienota piemērošana, kas neatstāj atšķirīgas īstenošanas iespējas Savienības iestādēm un struktūrām un rada minimālu horizontālo satvaru.

3.EX POST NOVĒRTĒJUMU, APSPRIEŠANĀS AR IEINTERESĒTAJĀM PERSONĀM UN IETEKMES NOVĒRTĒJUMU REZULTĀTI

•Ex post novērtējumi / spēkā esošo tiesību aktu atbilstības pārbaudes

Nepiemēro

•Apspriešanās ar ieinteresētajām personām

Komisija ir veikusi plašu apspriešanos ar galvenajām ieinteresētajām personām par dažādiem aspektiem saistībā ar Savienības iestāžu un struktūru informācijas drošības noteikumiem. Apspriešanās pasākumu vispārējais mērķis bija apkopot attiecīgo informāciju, lai sagatavotu likumdošanas iniciatīvu par informācijas drošības noteikumiem, kas ir kopīgi visām Savienības iestādēm un struktūrām. Apspriešanās mērķis bija apkopot viedokļus par:

•tām problēmām saistībā ar pašreizējo informācijas drošības sistēmu Savienības iestādēs un struktūrās, kuras, pēc ieinteresēto personu domām, būtu jārisina ar šo iniciatīvu;

•iniciatīvas atbilstību, efektivitāti, lietderību un pievienoto vērtību;

•iniciatīvas paredzamo ietekmi un iespējamo citu ietekmi uz ieinteresētajām personām.

Gatavojot šo tiesību akta priekšlikumu, Komisija apspriedās ar šādām ieinteresēto personu kategorijām:

1.Savienības iestādes, struktūras, biroji un aģentūras; 

2.valsts drošības iestādes dalībvalstīs;

3.pētniecības eksperti no Kopīgā pētniecības centra.

Ņemot vērā šīs iniciatīvas īpašās iezīmes (attiecas tikai uz Savienības iestādēm un struktūrām, un ietekme uz Eiropas iedzīvotājiem un uzņēmumiem ir maza), Komisijas dienesti izvēlējās par prioritāti noteikt atbilstošo ieinteresēto personu grupu viedokļu apkopošanu. Tāpēc par šo likumdošanas iniciatīvu netika rīkota īpaša sabiedriskā apspriešana.

Apspriešanās procesā Komisijas dienesti izmantoja šādas apspriešanās metodes un veidus.

1.Iespēja visām ieinteresētajām personām sniegt atsauksmes par sākotnējo ietekmes novērtējumu, izmantojot Komisijas platformu “Izsakiet viedokli”.

2.Mērķorientēta anketa, kas adresēta informācijas drošības ekspertiem Savienības iestādēs un struktūrās, izmantojot ES tiešsaistes aptauju.

3.Mērķorientēta anketa, kas adresēta dalībvalstu valsts drošības iestādēm, izmantojot ES tiešsaistes aptauju.

4.Pieprasījums veikt pielāgotu riska novērtējumu attiecībā uz galvenajiem informācijas drošības aktīviem.

5.Vairākas sanāksmes un viedokļu apmaiņa ar kolēģiem no iestādēm, struktūrām, birojiem un aģentūrām, kā arī no dalībvalstu valsts drošības iestādēm.

Kā galveno apspriešanās pasākumu pienesumu Komisija uzsver šādus aspektus.

•Attiecīgā tiesiskā regulējuma sadrumstalotība starp mūsu iestādēm un struktūrām rada ievērojamu iekšējo noteikumu izstrādes un uzturēšanas centienu dublēšanos, kā arī nesadarbspējīgu informācijas apstrādes praksi. Dalībvalstīm šo noteikumu dažādība palielina pārpratumu, nepareizas interpretācijas un neatbilstības risku.

•Nosakot informācijas drošības pamatus visām Savienības iestādēm un struktūrām, tiktu radīta ekosistēma ar standartizētiem drošības noteikumiem un īstenotu paraugpraksi, tomēr jāņem vērā katras Savienības iestādes un struktūras savdabība un atšķirīgā darbības vide un būtu jāpieļauj vietējie risinājumi.

•Šajā iniciatīvā ir jāievēro katras Savienības iestādes un struktūras autonomija un atšķirīgie drošības brieduma līmeņi, jo tās arī turpmāk būs pilnībā atbildīgas par savu informācijas drošības organizāciju.

•Ekspertu atzinumu pieprasīšana un izmantošana

Komisija izmantoja savus resursus, lai veiktu apspriešanos ar ieinteresētajām personām. Attiecīgo darbu pie apsekojumiem, videokonferencēm un citiem darbsemināriem paveica Cilvēkresursu un drošības ĢD Drošības direktorāts. Tas attiecas gan uz dalībnieku atlasi, gan uz pasākumu organizēšanu un saņemto datu apstrādi.

Kopīgais pētniecības centrs (JRC) veica galveno informācijas drošības aktīvu riska novērtējumu, kas tika izmantots par pamatu ietekmes novērtējumam.

•Ietekmes novērtējums

Šī iniciatīva skar tikai Savienības iestādes un struktūras, un tai ir ierobežota ietekme uz dalībvalstīm un privātpersonām. Tāpēc nebija nepieciešams veikt pilnīgu ietekmes novērtējumu, jo nebija skaidri nosakāmas vai būtiskas ietekmes uz iedzīvotājiem un uzņēmumiem. Europa tīmekļa vietnē tika publicēts visaptverošs ceļvedis, un tika apkopotas attiecīgo ieinteresēto personu atsauksmes.

•Normatīvā atbilstība un vienkāršošana

Nepiemēro

•Pamattiesības

ES ir apņēmusies nodrošināt augstus standartus pamattiesību aizsardzības jomā. Šī iniciatīva nodrošina pilnīgu atbilstību šādām pamattiesībām, kas noteiktas Eiropas Savienības Pamattiesību hartā 10 .

•Tiesības uz labu pārvaldību 11

Uzlabojot tās informācijas drošību, kuru Savienības iestādes un struktūras apstrādā, darbojoties ar Eiropas pilsoņu lietām, tās palīdz ievērot labas pārvaldības principus.

•Personas datu aizsardzība 12  

Jebkāda personas datu apstrāde saistībā ar šo priekšlikumu tiktu veikta uzticamā vidē un pilnībā ievērojot Eiropas Parlamenta un Padomes Regulu (ES) 2018/1725.

•Tiesības piekļūt dokumentiem 13

Publisku piekļuvi ESKI un sensitīviem neklasificētiem dokumentiem joprojām pilnībā reglamentē Eiropas Parlamenta un Padomes Regula (EK) Nr. 1049/2001.

•Tiesības uz intelektuālo īpašumu 14

Apstrādājot un glabājot neklasificētu informāciju un ESKI, Savienības iestādes un struktūras aizsargā intelektuālo īpašumu saskaņā ar Eiropas Parlamenta un Padomes Direktīvu 2001/29/EK 15 .

•Vārda un informācijas brīvība 16

Lai gan ikvienam ir brīvība saņemt un dalīties ar informāciju un idejām bez valsts iestāžu iejaukšanās, tas neliedz Savienībai paredzēt nosacījumus par piekļuvi noteikta veida informācijai, tās apstrādi un glabāšanu, pamatojoties uz tās konfidencialitātes līmeni.

Uz šo brīvību izmantošanu var attiecināt likumā paredzētus nosacījumus un ierobežojumus, kas demokrātiskā sabiedrībā ir nepieciešami, lai novērstu tādas informācijas izpaušanu, kas iegūta konfidenciāli un ES drošības interesēs.

4.IETEKME UZ BUDŽETU

Šis priekšlikums paredz iecelt vienu AD ierēdni un vienu AST asistentu Koordinācijas grupas pastāvīgajā sekretariātā, ko Cilvēkresursu un drošības ģenerāldirektorāta Drošības direktorātā nodrošina Komisija.

Paredzams, ka iestādēm un struktūrām samazināsies kopīgo un sadarbības uzdevumu veikšanas izmaksas, kā arī informācijas drošības uzlabojumu rezultātā tiks novērsti iespējamie ekonomiskie zaudējumi, ko varētu radīt drošības incidenti. Savukārt jauno tiesību aktu īstenošanai nepieciešamos izdevumus var segt no esošo informācijas drošības uzlabošanas programmu līdzekļiem katrā Savienības iestādē un struktūrā.

5.CITI ELEMENTI

•Īstenošanas plāni un uzraudzīšanas, izvērtēšanas un ziņošanas kārtība

Priekšlikumā Komisijai paredzēts pienākums ik pēc trim gadiem ziņot Eiropas Parlamentam un Padomei par šīs regulas īstenošanu, t. sk. par to, kā darbojas ar šo regulu izveidotā pārvaldība.

Turklāt ik pēc pieciem gadiem Komisija izvērtē šo regulu no tās faktiskās darbības viedokļa un, pamatojoties uz to, lemj, vai tiesību aktos ir nepieciešami grozījumi.

•Detalizēts konkrētu priekšlikuma noteikumu skaidrojums

Šis priekšlikums ir strukturēts saskaņā ar neklasificētas informācijas un ESKI apstrādes un glabāšanas prasībām, kas ir iniciatīvas būtiskākais saturs, un kuras pastiprināta aizsardzība ir tās galvenais mērķis.

Priekšmets un darbības joma (1. un 2. pants)

Ar šo regulu tiek plānots noteikt informācijas drošības noteikumu minimumu, kas piemērojams visām Savienības iestādēm un struktūrām. 

To piemēro visai informācijai, kuru apstrādā un glabā Savienības iestādes un struktūras, tostarp informācijai, kas saistīta ar Eiropas Atomenerģijas kopienas darbībām, izņemot Euratom klasificēto informāciju. Šī regula attiecas gan uz neklasificētu informāciju, gan uz ESKI.

Definīcijas un vispārīgie principi (3. līdz 5. pants)

Definīcijas, kas minētas 3. pantā, ir balstītas uz pašreizējiem informācijas drošības noteikumiem, kurus Savienības iestādes un struktūras ir pieņēmušas atsevišķi.  

Papildus Savienības tiesību aktu vispārējiem principiem – pārredzamībai, proporcionalitātei, efektivitātei un pārskatatbildībai – šajā regulā ir noteiktas galvenās saistošās vadlīnijas, piemēram, atsevišķs informācijas drošības riska pārvaldības process katrai Savienības iestādei un struktūrai un to informācijas novērtējums pienācīgai iedalīšanai kategorijās.

Drošības pārvaldība un organizācija (6.–8. pants)

Visas Savienības iestādes un struktūras sadarbojas Iestāžu informācijas drošības koordinācijas grupā, kas darbojas pēc vienprātības principa un Savienības iestāžu un struktūru kopējās interesēs. 

Koordinācijas grupa pulcē visu iestāžu un struktūru drošības iestādes un izstrādā norādes par šīs regulas īstenošanu. Tā regulāri sadarbojas ar dalībvalstu valsts drošības iestādēm, kas nosūta pārstāvjus uz Informācijas drošības komiteju.

Lai saskaņotu procedūras un citus praktiskus ar informācijas drošību saistītus aspektus, ir izveidotas piecas apakšgrupas ar ekspertiem no dažādām iestādēm un struktūrām. 

Katrai Savienības iestādei un struktūrai ir jāizraugās drošības iestāde, kas ir atbildīga par iekšējās informācijas drošības politikas noteikšanu un tās īstenošanu. Drošības iestāde nosaka konkrētas funkcijas (piemēram, informācijas aizsardzības iestādi, informācijas aizsardzības operatīvo iestādi, drošības akreditācijas iestādi, TEMPEST iestādi, kriptogrāfijas apstiprinājuma iestādi un kriptogrāfijas izplatīšanas iestādi), kuras efektivitātes vai resursu apsvērumu dēļ var deleģēt citai iestādei vai struktūrai.

Informācijas aizsardzības un komunikācijas un informācijas sistēmas (9.–11. pants)

Ar šo regulu izveido informācijas aizsardzības apakšgrupu, kuras mērķis ir uzlabot saskaņotību starp Savienības iestādēm un struktūrām attiecībā uz informācijas drošības noteikumiem un kiberdrošības pamatiem, kā noteikts Regulā, ar ko paredz pasākumus nolūkā panākt vienādi augsta līmeņa kiberdrošību Savienības iestādēs, struktūrās, birojos un aģentūrās.

Savienības iestādēm un struktūrām ir jāievēro šajos pantos minētie principi un jāpieņem atsevišķi iekšējie noteikumi par konkrētiem drošības pasākumiem, kas pielāgoti to drošības videi.

Neklasificēta informācija (12.–17. pants un I pielikums)

Regulā ir paredzētas trīs neklasificētas informācijas kategorijas: informācija publiskai lietošanai, parasta informācija un sensitīva neklasificēta informācija. Ir definētas visas kategorijas, un ir noteikti marķējumi un apstrādes nosacījumi šādas informācijas aizsardzībai. 

Lai koordinētu darbu saistībā ar dažu Savienības iestāžu un struktūru noteiktu kategoriju atbilstību regulā paredzētajām kopējām kategorijām, ar priekšlikumu izveido neklasificētas informācijas apakšgrupu.

ESKI (18.–58.pants un II–VI pielikums)

Šī ir priekšlikuma visapjomīgākā nodaļa, kas ir sadalīta šādās septiņās iedaļās: Vispārīgi noteikumi, Personāla drošība, Fiziskā drošība, ESKI pārvaldība, ESKI aizsardzība sakaru un informācijas sistēmās, Industriālā drošība un Dalīšanās ar ESKI un klasificētas informācijas apmaiņa. 

Iedaļā par vispārīgiem noteikumiem ir paredzēti četri ESKI līmeņi: TRES SECRET UE/EU TOP SECRET, SECRET UE/EU SECRET, CONFIDENTIEL UE/EU CONFIDENTIAL, RESTREINT UE/EU RESTRICTED. Iedaļā paredzēts Savienības iestāžu un struktūru pienākums veikt vajadzīgos drošības pasākumus saskaņā ar informācijas drošības riska pārvaldības procesa rezultātiem.

Katrā no pārējām iedaļām galvenā uzmanība pievērsta ESKI aizsardzības standartiem, kas saistīti ar to konkrēto jomu. Sīkāka informācija par ESKI aizsardzību ir norādīta II–V pielikumā. VI pielikumā ir tabula par ESKI atbilstību dalībvalstu un Eiropas Atomenerģijas kopienas drošības klasifikācijai.

Lai saskaņotu attiecīgos procesus šajā jomā un izvairītos no centienu dublēšanās, ar regulu izveido apakšgrupas informācijas aizsardzībai, neklasificētai informācijai, fiziskajai drošībai, tādu sakaru un informācijas sistēmu akreditācijai, kurās apstrādā un glabā ESKI, kā arī dalīšanās ar ESKI un klasificētas informācijas apmaiņas apakšgrupu.

Nobeiguma noteikumi (59.–62. pants)

Ar nobeiguma noteikumiem nodrošina pāreju no pašreizējiem noteikumiem un procedūrām uz jauno tiesisko regulējumu, kas noteikts ar šo regulu. Tie attiecas uz iekšējiem noteikumiem par informācijas drošību, ko pašlaik piemēro Savienības iestādēs un struktūrās, uz tādu izvērtējuma apmeklējumu atzīšanu, kuri veikti pirms regulas piemērošanas sākuma, uz iepriekš noslēgtu administratīvu vienošanos apstrādi un uz dotāciju nolīgumiem piemērojamu īpašu drošības satvaru turpināšanu.

Šo regulu paredzēts piemērot pēc diviem gadiem no tās spēkā stāšanās dienas.

2022/0084 (COD)

Priekšlikums

EIROPAS PARLAMENTA UN PADOMES REGULA

par informācijas drošību Savienības iestādēs, struktūrās, birojos un aģentūrās

EIROPAS PARLAMENTS UN EIROPAS SAVIENĪBAS PADOME,

ņemot vērā Līgumu par Eiropas Savienības darbību un jo īpaši tā 298. pantu,

ņemot vērā Eiropas Atomenerģijas kopienas dibināšanas līgumu un jo īpaši tā 106.a pantu,

ņemot vērā Eiropas Komisijas priekšlikumu,

pēc leģislatīvā akta projekta nosūtīšanas valstu parlamentiem, 

saskaņā ar parasto likumdošanas procedūru,

tā kā:

(1)Savienības iestādēm un struktūrām pašlaik ir savi informācijas drošības noteikumi, kuru pamatā ir to reglaments vai dibināšanas akts, vai to nav vispār. Šādā situācijā katra Savienības iestāde un struktūra iegulda ievērojamas pūles, lai pieņemtu dažādas pieejas, tādējādi radot situāciju, kad informācijas apmaiņa ne vienmēr ir uzticama. Kopīgas pieejas trūkums kavē tādu kopīgu rīku ieviešanu, kuru pamatā ir saskaņots noteikumu kopums atkarībā no aizsargājamās informācijas drošības vajadzībām.

(2)Lai gan ir gūti panākumi saskanīgāku noteikumu izstrādē attiecībā uz Eiropas Savienības klasificētās informācijas (ESKI) un neklasificētas informācijas aizsardzību, attiecīgo sistēmu sadarbspēja joprojām ir ierobežota, līdz ar to nevar gludi pārsūtīt informāciju starp dažādām Savienības iestādēm un struktūrām. Tādēļ būtu jāpieliek papildu pūles, lai nodrošinātu starpiestāžu pieeju ESKI un sensitīvas neklasificētas informācijas apmaiņai, paredzot vienotas informācijas kategorijas un kopējus galvenos apstrādes principus. Būtu jāparedz arī pamats, kas ļautu vienkāršot procedūras ESKI un sensitīvas neklasificētas informācijas apmaiņai starp Savienības iestādēm un struktūrām un ar dalībvalstīm.

(3)Tādēļ būtu jāparedz attiecīgi noteikumi, kas nodrošina vienotu informācijas drošības līmeni visās Savienības iestādēs un struktūrās. Tiem būtu jāveido visaptveroša un saskaņota vispārēja sistēma ESKI un neklasificētas informācijas aizsardzībai un jānodrošina pamatprincipu un minimālo standartu atbilstība. 

(4)Nesenā pandēmija būtiski mainīja darba praksi, un par normu kļuva attālinātas komunikācijas rīki. Tāpēc daudzas procedūras, kas vismaz daļēji vēl notika papīra formā, tika ātri pielāgotas, lai nodrošinātu elektronisku apstrādi un informācijas apmaiņu. Šīs norises prasa izmaiņas informācijas apstrādē un aizsardzībā. Šajā regulā ir ņemta vērā jaunā darba prakse. 

(5)Nosakot kopēju minimālo aizsardzības līmeni ESKI un neklasificētai informācijai, šī regula palīdz nodrošināt, ka Savienības iestādes un struktūras, kas veic savus uzdevumus, atbalsta efektīva un neatkarīga administrācija. Tajā pašā laikā katra Savienības iestāde un struktūra saglabā autonomiju, nosakot, kā īstenot šajā regulā paredzētos noteikumus saskaņā ar savām drošības vajadzībām. Šī regula nekādā gadījumā neliedz Savienības iestādēm un struktūrām pildīt savus uzdevumus, kas tām uzticēti saskaņā ar ES tiesību aktiem, un neaizskar to institucionālo autonomiju.

(6)Šī regula neskar Regulu (Euratom) Nr. 3/1958 17 , Regulu Nr. 31 (EEK), 11 (EAEK), ar kuru nosaka Eiropas Ekonomikas kopienas un Eiropas Atomenerģijas kopienas Civildienesta noteikumus un pārējo darbinieku nodarbināšanas kārtību 18 , Eiropas Parlamenta un Padomes Regulu (EK) Nr. 1049/2001 19 , Eiropas Parlamenta un Padomes Regulu (ES) 2018/1725 20 , Padomes Regulu (EEK, Euratom) Nr. 354/83 21 , Eiropas Parlamenta un Padomes Regulu (ES, Euratom) 2018/1046 22 , Eiropas Parlamenta un Padomes Regulu (ES) 2021/697 23 , Eiropas Parlamenta un Padomes Regulu [...] 24 , ar ko paredz pasākumus nolūkā panākt vienādi augsta līmeņa kiberdrošību Savienības iestādēs, struktūrās, birojos un aģentūrās.

(7)Lai saglabātu Eiropas Atomenerģijas kopienas darbību specifiku, ko reglamentē Eiropas Atomenerģijas kopienas Padomes Regula 3/1958 25 , šī regula nebūtu jāpiemēro Euratom klasificētajai informācijai. Tomēr visai informācijai, kas saistīta ar citām Euratom darbībām, uz kurām neattiecas Regula 3/1958, būtu jāietilpst šīs regulas darbības jomā.

(8)Lai radītu oficiālu struktūru sadarbībai starp Savienības iestādēm un struktūrām informācijas drošības jomā, nepieciešams izveidot Iestāžu koordinācijas grupu (“Koordinācijas grupa”), kurā ir pārstāvētas visas Savienības iestāžu un struktūru drošības iestādes. Koordinācijas grupai, kurai nebūtu lēmumu pieņemšanas pilnvaru, būtu jāuzlabo politikas saskaņotība informācijas drošības jomā un jāveicina informācijas drošības procedūru un rīku saskaņošana visās Savienības iestādēs un struktūrās.

(9)Koordinācijas grupas darbam nepieciešams ekspertu atbalsts dažādās informācijas drošības jomās: kategorizēšana un marķēšana, komunikācijas un informācijas sistēmas, akreditācija, fiziskā drošība un dalīšanās ar ESKI un klasificētas informācijas apmaiņa. Tāpēc, lai novērstu centienu dublēšanos Savienības iestādēs un struktūrās, būtu jāizveido tematiskās apakšgrupas. Turklāt nepieciešamības gadījumā Koordinācijas grupai vajadzētu būt iespējai izveidot citas apakšgrupas ar konkrētiem uzdevumiem.

(10)Koordinācijas grupai būtu cieši jāsadarbojas ar dalībvalstu valsts drošības iestādēm, lai uzlabotu informācijas drošību Savienībā. Tādēļ būtu jāizveido dalībvalstu informācijas drošības komiteja, kas sniegtu konsultācijas Koordinācijas grupai.

(11)Lai gan, pamatojoties uz sadarbības principu, ir izveidotas kopīgās struktūras, kas pārstāv visas Savienības iestādes un struktūras, katrai iestādei un struktūrai arī turpmāk vajadzētu būt pilnībā atbildīgai par informācijas drošību savā organizācijā. Katrai Savienības iestādei un struktūrai vajadzētu būt drošības iestādei un vajadzības gadījumā citām iestādēm, kas atbild par konkrētiem pienākumiem saistībā ar informācijas drošību.

(12)Informācijas drošības riska pārvaldības principam vajadzētu būt tās politikas pamatā, ko šajā jomā izstrādā katra Savienības iestāde un struktūra. Šajā regulā noteiktās minimālās prasības ir jāievēro, taču katrai Savienības iestādei un struktūrai būtu jāpieņem īpaši drošības pasākumi informācijas aizsardzībai saskaņā ar iekšējā riska novērtējuma rezultātiem. Tāpat informācijas aizsardzības tehniskie līdzekļi būtu jāpielāgo katras iestādes un struktūras konkrētajai situācijai.

(13)Ņemot vērā to, cik dažādas ir neklasificētas informācijas kategorijas, ko Savienības iestādes un struktūras ir ieviesušas, pamatojoties uz saviem drošības informācijas noteikumiem, un lai izvairītos no kavēšanās šīs regulas īstenošanā, Savienības iestādēm vai struktūrām vajadzētu būt iespējai saglabāt savu marķēšanas sistēmu iekšējām vajadzībām vai informācijas apmaiņai ar saviem konkrētajiem partneriem no citām iestādēm un struktūrām vai no dalībvalstīm.  

(14)Tīkli, ko izmanto, lai pieslēgtos Savienības iestādes vai struktūras attālinātas piekļuves pakalpojumiem, būtu jāaizsargā ar atbilstošiem drošības pasākumiem ar mērķi pielāgoties jaunajai tāldarba praksei.

(15)Tā kā Savienības iestādes un struktūras bieži izmanto darbuzņēmējus un ārpakalpojumus, ir svarīgi izstrādāt kopīgus noteikumus par līgumslēdzēju personālu, kas veic ar informācijas drošību saistītus uzdevumus.

(16)Dažādu Savienības iestāžu un struktūru iekšējos noteikumos pašlaik ir saskaņotas materiālo tiesību normas par piekļuvi ESKI, taču pastāv būtiskas atšķirības attiecībā uz apzīmējumiem un nepieciešamajām procedūrām. Tas rada slogu dalībvalstu valsts drošības iestādēm, kurām jāpielāgojas dažādām prasībām. Tādēļ nepieciešams paredzēt kopēju glosāriju un kopējas procedūras personāla drošības jomā, tādējādi vienkāršojot sadarbību ar dalībvalstu valsts drošības iestādēm un ierobežojot risku apdraudēt ESKI.

(17)Ņemot vērā resursu atšķirības starp Savienības iestādēm un struktūrām un lai racionalizētu to attiecīgās procedūras un praksi, drošības pārbaudes uzdevumus var uzticēt Komisijai, lai nodrošinātu ilglaicīgas prakses turpināšanu drošības pārbaudes jomā un veicinātu katrai drošības iestādei uzticēto uzdevumu centralizāciju.

(18)ESKI aizsardzību nodrošina arī ar tehniskiem un organizatoriskiem pasākumiem, kas attiecas uz to Savienības iestāžu un struktūru celtnēm, ēkām, telpām, birojiem vai objektiem, kurās ESKI apspriež, apstrādā vai glabā. Šī regula paredz īstenot informācijas drošības pārvaldības procesu fiziskās drošības jomā, kurš ļautu Savienības iestādēm un struktūrām izvēlēties savām atrašanās vietām piemērotus drošības pasākumus.

(19)Visām Savienības iestādēm un struktūrām, kas apstrādā un glabā ESKI, savās atrašanās vietās būtu jāizveido fiziski aizsargātas zonas, lai nodrošinātu vienādu aizsardzības līmeni attiecīgo klasifikācijas līmeņu ESKI, ko tur apstrādā un glabā. Minētās zonas būtu jāapzīmē kā administratīvās zonas un drošības zonas, un tajās būtu jāievēro kopīgi minimālie ESKI aizsardzības standarti.

(20)Autora kontrole ir svarīgs princips ESKI pārvaldībā, tāpēc nepieciešams to skaidri noteikt un pilnveidot. Šajā ziņā ESKI izveide uzliek autoram atbildību, kurai būtu jāaptver viss attiecīgā ESKI dokumenta aprites cikls.

(21)Savienības iestādes un struktūras tradicionāli ir attīstījušas savas sakaru un informācijas sistēmas autonomi un nav pievērušas pietiekamu uzmanību to sadarbspējai ar visām Savienības iestādēm un struktūrām. Tādēļ nepieciešams noteikt minimālās drošības prasības attiecībā uz sakaru un informācijas sistēmām (SIS), kurās apstrādā un glabā gan ESKI, gan neklasificētu informāciju, lai garantētu netraucētu informācijas apmaiņu ar attiecīgajām ieinteresētajām personām. 

(22)Lai panāktu vienotu akreditācijas standartu SIS, kurās apstrādā un glabā ESKI, Savienības iestādēm un struktūrām būtu jāsadarbojas šim nolūkam izveidotā grupā. Tām visām ir ieteicams izmantot šo standartu, lai veicinātu vispārēja ESKI aizsardzības līmeņa sasniegšanu. Tomēr attiecībā uz organizatorisko autonomiju lēmums paliek katras iestādes vai struktūras kompetentās iestādes ziņā.

(23)Piešķirot un īstenojot klasificētus līgumus vai dotāciju nolīgumus, visām Savienības iestādēm un struktūrām būtu jāievēro vienas un tās pašas procedūras un jāpiemēro vieni un tie paši pasākumi. Tādējādi nepieciešams skaidri noteikt klasificēto līgumu un dotāciju nolīgumu obligātos un fakultatīvos elementus. Tomēr ESKI aizsardzības pasākumos saistībā ar klasificētiem līgumiem un dotāciju nolīgumiem būtu jāņem vērā noteikumi, ko Savienības iestādes un struktūras kopā ar dalībvalstīm jau ir izstrādājušas atsevišķi šajā jomā.

(24)Ciešā sadarbība starp Savienības iestādēm un struktūrām, kā arī augstais sinerģijas līmenis to starpā nozīmē liela informācijas apjoma apmaiņu. Klasificētas informācijas drošības labad būtu jānovērtē Savienības iestādes vai struktūras uzticamība, pirms tā apstrādā un glabā noteikta līmeņa ESKI. 

(25)Turklāt ESKI apmaiņa starp Savienības iestādēm un struktūrām un klasificētas informācijas apmaiņa ar starptautiskām organizācijām un trešām valstīm arī būtu jāreglamentē ar atbilstīgiem drošības pasākumiem minētās informācijas aizsardzībai. Ja ir iecerēti nolīgumi par informācijas drošību, būtu jāpiemēro Līguma 218. panta noteikumi. 

(26)Nolīgumi par informācijas drošību ir paredzēti, lai nodrošinātu vispārējo tiesisko regulējumu Savienības klasificētas informācijas apmaiņai ar trešām valstīm un starptautiskām organizācijām; ir jāparedz arī iespēja Savienības iestādēm un struktūrām noslēgt administratīvas vienošanās ar konkrētu partneri no trešās valsts vai starptautiskas organizācijas, lai apmainītos ar ESKI. 

(27)Ar šo regulu izveido visām Savienības iestādēm un struktūrām kopīgu sistēmu. Lai izvairītos no pārmērīga administratīvā sloga radīšanas Savienības iestādēm un struktūrām, kamēr tās pielāgo savus iekšējās drošības noteikumus šajā regulā paredzētajiem noteikumiem, šī regula būtu jāsāk piemērot divus gadus pēc tās stāšanās spēkā.

(28)Saskaņā ar 2016. gada 13. aprīļa Iestāžu nolīguma par labāku likumdošanas procesu 26 22. un 23. punktu Komisijai būtu jāizvērtē šī regula, lai novērtētu tās faktisko ietekmi un vajadzību pēc turpmākas rīcības. Komisijai vēlākais trīs gadus pēc piemērošanas dienas būtu jāiesniedz Eiropas Parlamentam un Padomei ziņojums par šīs regulas īstenošanu.

(29)Notika apspriešanās ar Eiropas Datu aizsardzības uzraudzītāju saskaņā ar Eiropas Parlamenta un Padomes Regulas (ES) 2018/1725 27 42. pantu, un tas sniedza atzinumu...,

IR PIEŅĒMUŠI ŠO REGULU.

1. nodaļa
Vispārīgi noteikumi

1. pants

Priekšmets 

1.Ar šo regulu nosaka informācijas drošības noteikumus visām Savienības iestādēm un struktūrām.

2. pants

Darbības joma

1.Šo regulu piemēro visai informācijai, kuru apstrādā un glabā Savienības iestādes un struktūras, tostarp informācijai, kas saistīta ar Eiropas Atomenerģijas kopienas darbībām, izņemot Euratom klasificēto informāciju.

2.To piemēro šādiem informācijas konfidencialitātes līmeņiem:

a)trim neklasificētas informācijas līmeņiem: informācijai publiskai lietošanai, parastai un sensitīvai neklasificētai informācijai;

b)četriem ES klasificētas informācijas līmeņiem: RESTREINT UE/EU RESTRICTED, CONFIDENTIEL UE/EU CONFIDENTIAL, SECRET UE/EU SECRET, TRES SECRET UE/EU TOP SECRET.

3.Nosakot šos līmeņus, tiek ņemts vērā kaitējums, ko neatļauta izpaušana var radīt likumīgām privātām un sabiedriskām interesēm, tostarp Savienības, Savienības iestāžu un struktūru un dalībvalstu vai citu ieinteresēto personu interesēm, lai varētu piemērot atbilstošus aizsardzības pasākumus.

3. pants

Definīcijas

Šajā regulā piemēro šādas definīcijas:

a)“informācija” ir jebkādi dati mutiskā, vizuālā, elektroniskā, magnētiskā vai fiziskā formā, vai arī materiāla, iekārtas vai tehnoloģijas formā un ietver reprodukcijas, tulkojumus un materiālu izstrādes procesā;

b)“informācijas drošība” ir informācijas autentiskuma, pieejamības, konfidencialitātes, integritātes un nenoliedzamības nodrošināšana;

c)“apstrāde” ir visu veidu darbības, ko ar ESKI veic tās aprites laikā. Tā ietver informācijas izveidi, vākšanu, reģistrāciju, konfidencialitātes līmeņa piešķiršanu, apstrādi, attēlošanu, aplūkošanu, pārvadāšanu, pārsūtīšanu, klasifikācijas pazemināšanu, deklasifikāciju, arhivēšanu un iznīcināšanu;

d)“glabāšana” ir informācijas turēšana jebkurā datu nesējā, lai nodrošinātu tās pieejamību turpmākai izmantošanai;

e)“Savienības iestādes un struktūras” ir Savienības iestādes, struktūras, biroji un aģentūras, kas izveidotas ar Līgumu par Eiropas Savienību, Līgumu par Eiropas Savienības darbību, Eiropas Atomenerģijas kopienas dibināšanas līgumu vai tiesību aktu, vai pamatojoties uz tiem;

f)“Euratom klasificēta informācija” ir informācija Eiropas Atomenerģijas kopienas Padomes Regulas Nr. 3/1958 izpratnē;

g)“drošības iestāde” ir drošības amatpienākums katrā Savienības iestādē un struktūrā, kas nozīmēta saskaņā ar tās reglamentu vai dibināšanas aktu;

h)“informācijas drošības riska pārvaldības process” ir viss process, kurā ietilpst tādu neparedzētu notikumu apzināšana, kontrole un ietekmes mazināšana, kuri var ietekmēt drošību organizācijā vai kādā no sistēmām, ko tā izmanto. Tas attiecas uz visām darbībām, kas saistītas ar risku, tostarp tā izvērtēšanu, apstrādi, pieņemšanu un izziņošanu;

i)“resursi” ir viss, kas uzskatāms par vērtīgu Savienības iestādei vai struktūrai, tās darbībām un to nepārtrauktības nodrošināšanai, t. sk. informācijas resursi, kuri vajadzīgi to uzdevuma pildīšanai;

j)“drošības darba procedūras” ir dokumentētu procedūru kopums saskaņā ar III pielikumu drošības zonas darbībai, sakaru un informācijas sistēmai vai citam ar drošību saistītam aktīvam vai pakalpojumam, kas nodrošina tā efektivitāti;

k)“sakaru un informācijas sistēma” jeb “SIS” ir jebkura sistēma, kas ļauj apstrādāt informāciju un to glabāt elektroniskā formā, ieskaitot visus aktīvus, kuri vajadzīgi tās darbībai;

l)“informācijas aizsardzība” ir pārliecība, ka sakaru un informācijas sistēmas aizsargās tajās apstrādāto un glabāto informāciju un likumīgo lietotāju kontrolē darbosies kā tas vajadzīgs un kad tas vajadzīgs, vienlaikus nodrošinot pienācīgu autentiskuma, pieejamības, konfidencialitātes, integritātes un nenoliedzamības līmeni;

m)“akreditācija” ir drošības akreditācijas iestādes oficiāla atļauja sakaru un informācijas sistēmai apstrādāt vai drošības zonai glabāt iepriekš noteiktu ESKI līmeni;

n)“akreditācijas process” ir pasākumi un uzdevumi, kas jāveic pirms akreditācijas;

o)“TEMPEST drošības pasākumi” ir pasākumi, kuru mērķis ir aizsargāt SIS, kurās apstrādā un glabā informāciju, kas klasificēta CONFIDENTIEL UE/EU CONFIDENTIAL vai augstākā līmenī, pret šādas informācijas apdraudējumu, kuru rada netīšas elektromagnētiskas emisijas;

p)“CERT-EU” ir Savienības iestāžu un struktūru kiberdrošības centrs Eiropas Parlamenta un Padomes Regulas (ES) [...], ar ko paredz pasākumus nolūkā panākt vienādi augsta līmeņa kiberdrošību Savienības iestādēs, struktūrās, birojos un aģentūrās, nozīmē;

q)“informācijas drošības incidents” ir jebkurš notikums, kas var apdraudēt glabātās, pārsūtītās vai apstrādātās informācijas autentiskumu, pieejamību, konfidencialitāti, integritāti vai nenoliedzamību;

r)“nepieciešamība zināt” ir personas vajadzība piekļūt konkrētai Savienības iestādes vai struktūras apstrādātai vai glabātai informācijai, lai pildītu konkrētās Savienības iestādes vai struktūras uzdevumus;

s)“nulles uzticēšanās” ir drošības modelis, sistēmas izstrādes principu kopums un koordinēta kiberdrošības un sistēmas pārvaldības stratēģija, kuras pamatā ir draudu esības atzīšana tradicionāla tīkla robežās un ārpus tām;

t)“marķējums” ir etiķete, ko piešķir informācijai, lai nodrošinātu, ka tiek piemēroti atbilstīgi drošības pasākumi;

u)“drošības marķējums” ir marķējums, kas norāda uz informācijas konfidencialitātes līmeni;

v)“izplatīšanas marķējums” ir marķējums, kas norāda iecerētos informācijas adresātus izcelsmes Savienības iestādē vai struktūrā;

w)“nodošanas marķējums” ir marķējums, kas norāda atļautos adresātus ārpus izcelsmes Savienības iestādes vai struktūras;

x)“sistēmas īpašnieks” ir persona, kas ir atbildīga par sakaru un informācijas sistēmas vispārējo iepirkumu, izstrādi, integrāciju, modifikāciju, ekspluatāciju, uzturēšanu un norakstīšanu;

y)“informācijas drošības apdraudējums” ir notikums vai aģents, par kuru ir pamats uzskatīt, ka tas negatīvi ietekmēs informācijas drošību, ja uz to nereaģēs un to nekontrolēs;  

z)“ievainojamība” ir aktīva, sistēmas, procesa vai kontroles vājā vieta, ietekmējamība vai trūkums, ko varētu izmantot viena vai vairāku apdraudējumu gadījumos;

aa)“risks” ir iespējamā nelabvēlīgā ietekme, ko rada konkrēts apdraudējums, iespējams, izmantojot Savienības iestādes vai struktūras vai tās lietoto sistēmu iekšējo un ārējo ievainojamību, kas nodara kaitējumu likumīgajām sabiedrības un privātajām interesēm un ko mēra kā draudu rašanās iespējamības un to ietekmes kombināciju;

ab)“atlikušais risks” ir risks, kas saglabājas pēc drošības pasākumu īstenošanas;

ac)“riska izvērtējums” ir apdraudējumu un ievainojamību noteikšana un ar tiem saistītu risku analīzes veikšana, t. i., varbūtību un ietekmes analīze;

ad)“riska risinājums” ir riska ietekmes vājināšana, tā likvidēšana vai mazināšana (izmantojot atbilstīgu tehnisku, fizisku, pārvaldes vai procedūras pasākumu apvienojumu), riska pārvietošana vai pārraudzība;

ae)“Eiropas kiberdrošības sertifikāts” ir sertifikāts Regulas (ES) 2019/881 28 2. panta 11. punkta nozīmē;

af)“turētājs” ir pienācīgi pilnvarota persona, kurai ir pierādīta nepieciešamība zināt, kuras rīcībā ir aizsargājamas informācijas vienība un kura tādējādi ir atbildīga par tās aizsardzību;

ag)“materiāls” ir jebkurš dokuments, datu nesējs vai iekārtas vai ierīces daļa, kas jau ir izstrādāta vai vēl tiek izstrādāta;

ah)“Eiropas Savienības klasificēta informācija” jeb “ESKI” ir jebkura informācija vai materiāli, kuriem piemērota ES drošības klasifikācija un kuru neatļauta izpaušana varētu izraisīt dažāda līmeņa apdraudējumu Savienības vai vienas vai vairāku tās dalībvalstu interesēm;

ai)“atļauja piekļūt ESKI” ir drošības iestādes lēmums par to, ka Savienības iestādes vai struktūras ierēdnim, citam darbiniekam vai norīkotam valsts ekspertam uz noteiktu laiku var piešķirt piekļuvi noteikta līmeņa ESKI;

aj)“valsts drošības iestāde” jeb “VDI” ir dalībvalsts valdības iestāde, kas ir pilnībā atbildīga par klasificētas informācijas drošību minētajā dalībvalstī;

ak)“izraudzītā drošības iestāde” jeb “IDI” ir dalībvalsts iestāde (VDI vai jebkura cita kompetenta iestāde), kas ir atbildīga par norādījumu sniegšanu un palīdzību industriālās drošības īstenošanā un/vai pielaides procedūrās;

al)“drošības izmeklēšana” ir izmeklēšanas procedūras, ko saskaņā ar spēkā esošiem valsts normatīvajiem aktiem veic dalībvalsts kompetentā iestāde, lai pārliecinātos, ka nav nekādas nelabvēlīgas informācijas, kura varētu liegt konkrētai personai saņemt drošības pielaidi līdz konkrētam līmenim (CONFIDENTIEL UE/EU CONFIDENTIAL vai augstākam);

am)“fiziskā drošība” ir fizisku, tehnisku un organizatorisku pasākumu piemērošana Savienības iestādes vai struktūras celtnēm, ēkām, telpām, birojiem vai objektiem, kam nepieciešama aizsardzība pret neatļautu piekļuvi informācijai, kuru tur apstrādā, glabā vai apspriež;

an)“atrašanās vietas” ir Savienības iestādes vai struktūras celtnes, ēkas, telpas, biroji vai objekti;

ao)“padziļināta aizsardzība” ir drošības veids, kuram izmanto vairākus neatkarīgus drošības kontroles slāņus, lai nodrošinātu, ka tad, ja viens nenostrādā, darbojas cits;

ap)“kriptogrāfijas materiāls” ir kriptogrāfijas algoritmi, kriptogrāfijas aparatūras un programmatūras moduļi un produkti, tostarp īstenošanas informācija un ar to saistītā dokumentācija un atslēgu materiāls;

aq)“kriptogrāfijas produkts” ir produkts, kura primārā un galvenā funkcija ir nodrošināt drošības pakalpojumus (autentiskumu, pieejamību, konfidencialitāti, integritāti un nonoliedzamību), izmantojot vienu vai vairākus kriptogrāfijas mehānismus;

ar)“autors” ir Savienības iestāde vai struktūra, dalībvalsts, trešā valsts vai starptautiska organizācija, kuras pakļautībā klasificēta informācija ir izveidota vai nodota Savienības struktūrām;

as)“dokuments” ir jebkurš saturs neatkarīgi no tā nesēja (papīra, elektronisks, magnētisks vai cits) rakstiskā vai vizuāla vai audiovizuāla ieraksta formā;

at)“reģistrācija drošības nolūkā” ir tādu procedūru piemērošana, kas reģistrē materiālu aprites ciklu, tostarp tā izplatīšanu un iznīcināšanu;

au)“deklasifikācija” ir drošības klasifikācijas noņemšana;

av)“klasifikācijas līmeņa pazemināšana” ir klasificēšana zemākā drošības pakāpē;

aw)“klasificēts līgums” ir pamatlīgums vai līgums, kas minēts Eiropas Parlamenta un Padomes Regulā (EK, Euratom) Nr. 2018/1046, par kustamu vai nekustamu aktīvu piegādi, būvdarbu veikšanu vai pakalpojumu sniegšanu, kuru Komisija vai kāds no tās dienestiem ir noslēdzis ar darbuzņēmēju un kura izpildei ir nepieciešama vai kura izpilde ir saistīta ar ESKI apstrādi, t. sk. tās izveidi vai glabāšanu;

ax)“klasificēts dotācijas nolīgums” ir nolīgums, ar ko Savienības iestāde vai struktūra piešķir dotāciju, kā minēts VIII daļā Regulā (EK, Euratom) 2018/1046, kura izpildei ir nepieciešama vai kura izpilde ir saistīta ar ESKI apstrādi, t. sk. tās izveidi vai glabāšanu;

ay)“klasificēts apakšuzņēmuma līgums” ir līgums par kustamu vai nekustamu aktīvu piegādi, būvdarbu veikšanu vai pakalpojumu sniegšanu, kuru Komisijas vai kāda tās dienesta darbuzņēmējs vai labuma guvējs ir noslēdzis ar apakšuzņēmēju un kura izpildei ir nepieciešama vai kura izpilde ir saistīta ar ESKI apstrādi, t. sk. tās izveidi vai glabāšanu;

az)“Programmas vai projekta drošības instrukcija” jeb “PDI” ir to drošības procedūru saraksts, kuras piemēro konkrētai programmai vai projektam, lai standartizētu drošības procedūras;

ba)“Drošības aspektu vēstule” jeb “DAV” ir līgumslēdzējas vai piešķīrējas iestādes izdots īpašu līguma nosacījumu kopums, kas ir tāda klasificēta līguma vai dotācijas nolīguma neatņemama sastāvdaļa, kurš saistīts ar piekļuvi ESKI vai ar ESKI izveidi, un kurā identificē drošības prasības un tos līguma vai dotācijas elementus, kam vajadzīga drošības aizsardzība;

bb)“drošības klasifikācijas rokasgrāmata” jeb “DKR” ir dokuments, kurā raksturotas programmas, līguma vai dotācijas nolīguma klasificētās sastāvdaļas, norādot piemērojamos drošības klasifikācijas līmeņus.

4. pants

Vispārīgie principi 

1.Katra Savienības iestāde un struktūra ir atbildīga par šīs regulas noteikumu īstenošanu savā organizācijā, ņemot vērā savu informācijas drošības riska pārvaldības procesu.

2.     Par šīs regulas neievērošanu, jo īpaši 2. panta 2. punktā minēto konfidencialitātes līmeņu informācijas izpaušanu, izņemot informāciju publiskai lietošanai, tiek veikta izmeklēšana un var iestāties personāla atbildība saskaņā ar Līgumiem vai attiecīgajiem personāla noteikumiem.

3.Savienības iestādes un struktūras izvērtē visu informāciju, ko tās apstrādā un glabā, un klasificē to pa kategorijām saskaņā ar 2. panta 2. punktā minētajiem konfidencialitātes līmeņiem.

4.Savienības iestādes un struktūras nosaka visas tās informācijas drošības vajadzības, kuru tās apstrādā un kuru glabā, ņemot vērā šādus aspektus: 

a)autentiskums: garantija, ka informācija ir īsta un saņemta no bona fide avotiem;

b)pieejamība: iespēja piekļūt informācijai un to izmantot pēc pilnvarotas vienības pieprasījuma;

c)konfidencialitāte: informācijas neizpaušana nepilnvarotām personām, vienībām vai procesiem;

d)integritāte: fakts, ka informācija ir pilnīga un tās pilnīgums nav mainīts;

e)nenoliedzamība: spēja pierādīt, ka darbība vai notikums ir noticis, lai vēlāk nevarētu noliegt, ka šāds notikums vai darbība ir notikusi.

5.Attiecībā uz katru sakaru un informācijas sistēmu, par ko atbild Savienības iestādes un struktūras, tās nosaka augstāko konfidencialitātes līmeni, kuru šādā sakaru un informācijas sistēmā var apstrādāt un glabāt, veic informācijas drošības riska izvērtējumu un regulāri uzrauga drošības vajadzības un noteikto aizsardzības pasākumu pareizu īstenošanu. 

6.Visas Savienības iestādes un struktūras nodrošina mācības un informētības veicināšanas pasākumus par to, kā apstrādāt neklasificētu informāciju un ESKI un to glabāt. 

Savienības iestādes un struktūras, kas apstrādā un glabā ESKI, organizē obligātas mācības vismaz reizi piecos gados visām personām, kam atļauts piekļūt ESKI. Attiecīgās Savienības iestādes un struktūras organizē īpašas mācības īpašajām funkcijām, kurām uzticēti informācijas drošības uzdevumi.

Savienības iestāde vai struktūra var koordinēt šādus apmācības un informētības veicināšanas pasākumus ar citām Savienības iestādēm un struktūrām.

5. pants

Informācijas drošības riska pārvaldības process

1.Katra Savienības iestāde un struktūra izveido informācijas drošības riska pārvaldības procesu, lai aizsargātu informāciju, ko tā apstrādā un glabā.

2.Informācijas drošības riska pārvaldības process ietver šādus posmus:

a)draudu un ievainojamības noteikšana;

b)riska novērtējums;

c)riska risinājums;

d)riska pieņemšana;

e)riska paziņošana.

3.Informācijas drošības riska pārvaldības procesā ņem vērā visus faktorus, kas ir būtiski attiecīgajai iestādei vai struktūrai, jo īpaši:

a)informācijas konfidencialitātes līmeni un ar to saistītās juridiskās saistības;

b)informācijas formu un daudzumu, kā arī objektus vai SIS, kurās apstrādā un glabā informāciju;

c)personas, kas piekļūst informācijai atrašanās vietās vai attālināti;

d)apkārtējo vidi un to ēku vai zonu uzbūvi, kurās tiek glabāta ESKI;

e)draudus, kas vērsti pret Savienību, Savienības iestādēm un struktūrām vai dalībvalstīm un ko rada kiberuzbrukumi, uzbrukumi piegādes ķēdei, spiegošana, sabotāža, teroristu, graujošas vai citas noziedzīgas darbības;

f)darbības nepārtrauktību un negadījumu seku novēršanu;

g)attiecīgā gadījumā – inspekciju, revīziju vai izvērtējuma apmeklējumu rezultātus.

2. nodaļa
Drošības pārvaldība un organizācija

6. pants

Iestāžu informācijas drošības koordinācijas grupa

1.Tiek izveidota Iestāžu informācijas drošības koordinācijas grupa (“Koordinācijas grupa”).

To veido visas Savienības iestāžu un struktūru drošības iestādes, un tai ir pilnvaras noteikt to kopīgo politiku informācijas drošības jomā.

2.Rīkojoties ar visu Savienības iestāžu un struktūru piekrišanu un to kopējās interesēs, Koordinācijas grupa:

a)pieņem savu reglamentu un gada kopīgos mērķus un prioritātes;

b)pieņem lēmumus par tematisko apakšgrupu izveidi un to pilnvarām;

c)attiecīgā gadījumā sadarbībā ar Iestāžu Kiberdrošības padomi, kas minēta 9. pantā Regulā (ES) [...], ar ko paredz pasākumus nolūkā panākt vienādi augsta līmeņa kiberdrošību Savienības iestādēs, struktūrās, birojos un aģentūrās, izstrādā norādes par šīs regulas īstenošanu; 

d)izveido īpašas platformas paraugprakses un zināšanu apmaiņai par kopīgiem tematiem, kas saistīti ar informācijas drošību, kā arī palīdzības sniegšanai informācijas drošības incidentu gadījumā;

e)nodrošina, ka drošības pasākumi vajadzības gadījumā tiek koordinēti ar kompetentajām valsts drošības iestādēm, lai aizsargātu ESKI.

3.Koordinācijas grupa no savu locekļu vidus uz trim gadiem ieceļ priekšsēdētāju un divus priekšsēdētāja vietniekus.

4.Koordinācijas grupa sanāk pēc priekšsēdētāja iniciatīvas vai Savienības iestādes vai struktūras pieprasījuma vismaz vienreiz gadā.

5.Koordinācijas grupu pastāvīgi administratīvi atbalsta sekretariāts, ko nodrošina Komisija.

6.Katra Savienības iestāde vai struktūra ir pienācīgi pārstāvēta Koordinācijas grupā un attiecīgā gadījumā – tematiskajās apakšgrupās.

7.Savienības iestādes un struktūras vienmēr informē Koordinācijas grupu par būtiskām informācijas drošības politikas izmaiņām savā organizācijā.

8.Šā panta 2. punkta e) apakšpunktā minēto uzdevumu veikšanā Koordinācijas grupai palīdz informācijas drošības komiteja.  Minētajā komitejā ir pa vienam pārstāvim no katras valsts drošības iestādes, un to vada 5. punktā minētais Koordinācijas grupas sekretariāts. Informācijas drošības komitejai ir padomdevēja loma.

7. pants

Tematiskās apakšgrupas

1.Lai sekmētu šīs regulas īstenošanu, Koordinācijas grupa izveido šādas pastāvīgas tematiskās apakšgrupas:

a)informācijas aizsardzības apakšgrupa;

b)neklasificētas informācijas apakšgrupa;

c)fiziskās drošības apakšgrupa;

d)apakšgrupa to sakaru un informācijas sistēmu akreditācijai, kurās apstrādā un glabā ESKI;

e)dalīšanās ar ESKI un klasificētas informācijas apmaiņas apakšgrupa.

2.Vajadzības gadījumā Koordinācijas grupa var izveidot ad hoc apakšgrupas konkrēta uzdevuma veikšanai un uz ierobežotu laiku.

3.Ja vien apakšgrupu pilnvarās nav noteikts citādi, dalība tajās ir atvērta attiecīgās Savienības iestādes vai struktūras pārstāvjiem. Apakšgrupu locekļi ir attiecīgo kompetences jomu eksperti.

4.Koordinācijas grupas sekretariāts, kas minēts 5. panta 5. punktā, atbalsta visu apakšgrupu darbu un nodrošina saziņu starp to locekļiem.                                 

8. pants

Drošības organizēšana

1.Katra Savienības iestāde un struktūra izraugās drošības iestādi, kas uzņemas šajā regulā un attiecīgā gadījumā tās iekšējās drošības noteikumos noteiktos pienākumus. Veicot savus uzdevumus, katra drošības iestāde saņem tās struktūrvienības vai amatpersonas atbalstu, kurai uzticēti informācijas drošības uzdevumi.

2.Vajadzības gadījumā katras Savienības iestādes un struktūras drošības iestāde pieņem iekšējus īstenošanas noteikumus informācijas aizsardzībai saskaņā ar saviem īpašajiem uzdevumiem, kas tai uzticēti atbilstoši ES tiesību aktiem, un pamatojoties uz savu institucionālo autonomiju.

3.Attiecīgā gadījumā katra drošības iestāde uzņemas arī šādas funkcijas:

a)informācijas aizsardzības iestāde, kuras pienākums ir izstrādāt informācijas aizsardzības drošības politiku un drošības pamatnostādnes un pārraudzīt to efektivitāti un piemērotību;

b)informācijas aizsardzības operatīvā iestāde, kas atbild par drošības dokumentācijas izstrādi, jo īpaši par drošības darba procedūrām un kriptogrāfijas plānu sakaru un informācijas sistēmu akreditācijas procesā;

c)drošības akreditācijas iestāde, kas atbild par to drošības zonu un sakaru un informācijas sistēmu akreditēšanu, kurās apstrādā un glabā ESKI;

d)TEMPEST iestāde, kas ir atbildīga par pasākumu apstiprināšanu ESKI aizsardzībai pret apdraudējumu, kurus rada netīšas elektroniskas emisijas;

e)kriptogrāfijas apstiprinājuma iestāde, kas ir atbildīga par šifrēšanas tehnoloģiju izmantošanas apstiprināšanu, pamatojoties uz sistēmas īpašnieka pieprasījumu;

f)kriptogrāfijas izplatīšanas iestāde, kas ir atbildīga par kriptogrāfisku materiālu izplatīšanu attiecīgajiem lietotājiem ESKI aizsardzībai (šifrēšanas iekārtas, kriptogrāfiskās atslēgas, sertifikāti un saistītie autentificētāji).

4.Ja decentralizēta drošības nodrošināšana dod būtiskus efektivitātes, resursu vai laika ietaupījumus, vienas vai vairāku 3. punktā minēto funkciju pienākumus var deleģēt citai Savienības iestādei vai struktūrai.

3. nodaļa
Informācijas aizsardzība un sakaru un informācijas sistēmas (SIS)

9. pants

Informācijas aizsardzības principi

1.Informācijas drošības vajadzību novērtējumu attiecībā uz visām SIS, t. sk. iekšējām, ārpakalpojumā nodotajām un hibrīda SIS, ņem vērā no izveides sākuma vai iepirkuma posmā.

2.Visas SIS, kurās apstrādā un glabā ESKI, akreditē saskaņā ar 5. nodaļas 5. iedaļu. Visas SIS, kurās apstrādā un glabā sensitīvu neklasificētu informāciju, atbilst minimālajām prasībām attiecībā uz sensitīvu neklasificētu informāciju sakaru un informācijas sistēmās, kā izklāstīts 4. nodaļā.

10. pants

Informācijas aizsardzības apakšgrupa

1.Informācijas aizsardzības apakšgrupai, kas minēta 7. panta 1. punkta a) apakšpunktā, ir šādi uzdevumi un pienākumi:

a)ciešā sadarbībā ar Iestāžu Kiberdrošības padomi, kas minēta 9. pantā Regulā (ES) [XXX], ar ko paredz pasākumus nolūkā panākt vienādi augsta līmeņa kiberdrošību Savienības iestādēs, struktūrās, birojos un aģentūrās, sniegt norādes un paraugpraksi par informācijas marķēšanu, apstrādi un glabāšanu sakaru un informācijas sistēmās;

b)izveidot metadatu shēmu marķējumiem un visu nepieciešamo tehnisko informāciju, lai veicinātu sadarbspējīgu un gludu informācijas apmaiņu starp Savienības iestādēm un struktūrām, savstarpēji savienojot to attiecīgās SIS;

c)veicināt saskaņotību starp informācijas drošības noteikumiem un kiberdrošības pamatiem visās Savienības iestādēs un struktūrās, kuras minētas 5. pantā Regulā (ES) [XXX], ar ko paredz pasākumus nolūkā panākt vienādi augsta līmeņa kiberdrošību Savienības iestādēs, struktūrās, birojos un aģentūrās.

11. pants

Prasības sakaru un informācijas sistēmām

1.Savienības iestādes un struktūras informē lietotājus par tās informācijas konfidencialitātes līmeni, kuru var apstrādāt un glabāt noteiktā sakaru un informācijas sistēmā. Ja noteikta SIS apstrādā un glabā vairākus konfidencialitātes līmeņus, ir jāizmanto metadati un vizuālais marķējums, lai nodrošinātu, ka šos dažādos līmeņus var atšķirt.

2.Savienības iestādes un struktūras identificē SIS lietotājus, pirms tiem piešķir piekļuvi jebkādiem konfidencialitātes līmeņiem, izņemot informāciju publiskai lietošanai. Lietotājus autentificē tādā uzticamības līmenī, kas atbilst attiecīgajam konfidencialitātes līmenim. Vajadzības gadījumā izmanto drošu kopēju identifikācijas shēmu.

3.Visās SIS uztur atbilstīgus drošības reģistrus, lai nodrošinātu ātru izmeklēšanu pārkāpumu vai informācijas noplūdes gadījumā. Šādu reģistru datus nenoliedzamā formā glabā tik ilgi, cik noteikts darbības ietekmes novērtējumā vai attiecīgajā drošības politikā. 

Ja SIS apstrādā un glabā ESKI, reģistru datus, kas saistīti ar nepieciešamību zināt un piekļuvi informācijai, glabā līdz brīdim, kad informācija tiek deklasificēta. Drošības iestāde var meklēt drošības reģistra datos un tiem piekļūt.

4.Savienības iestādes un struktūras pieņem iekšējos noteikumus par SIS drošību, lai noteiktu atbilstīgus drošības pasākumus saskaņā ar apstrādājamās un glabājamās informācijas drošības vajadzībām un ņemot vērā jurisdikcijas, kurās informācija tiek glabāta, pārsūtīta un apstrādāta.  Vajadzības gadījumā šie pasākumi ietver:

a)ģeogrāfiskās atrašanās vietas ierobežojumus;

b)apsvērumus par iespējamiem interešu konfliktiem, boikotiem vai sodiem attiecībā uz darbuzņēmējiem;

c)līguma noteikumus informācijas drošības nodrošināšanai;

d)informācijas šifrēšanu glabāšanas un pārsūtīšanas laikā;

e)ierobežojumus attiecībā uz darbuzņēmēja personāla piekļuvi Savienības iestāžu un struktūru informācijai;

f)personas datu aizsardzību saskaņā ar piemērojamajiem datu aizsardzības tiesību aktiem. 

5.Savienības iestādes un struktūras pārvalda savas sakaru un informācijas sistēmas, ievērojot šādus principus:  

a)katrai SIS ir sistēmas īpašnieks vai informācijas aizsardzības operatīvā iestāde, kas ir atbildīga par tās drošību;

b)veic informācijas drošības riska pārvaldības procesu, kas aptver informācijas drošības aspektus;

c)oficiāli nosaka, īsteno, pārbauda un pārskata drošības prasības un drošības darba procedūras;

d)informācijas drošības incidentus oficiāli reģistrē un tiem seko saskaņā ar Regulu (ES) [XXX], ar ko paredz pasākumus nolūkā panākt vienādi augsta līmeņa kiberdrošību Savienības iestādēs, struktūrās, birojos un aģentūrās.

4. nodaļa
Neklasificēta informācija

12. pants

Informācija publiskai lietošanai

1.Informāciju, kas paredzēta publiskai lietošanai vai oficiālai publikācijai vai kas jau ir izpausta un ar ko bez ierobežojumiem var dalīties Savienības iestādēs un struktūrās vai ārpus tām, klasificē un glabā kā informāciju publiskai lietošanai.

2.Savienības iestādes un struktūras 1. punktā minēto informāciju var marķēt kā “PUBLIC USE”.

3.Visas Savienības iestādes un struktūras nodrošina informācijas publiskai lietošanai integritāti un pieejamību, veicot atbilstīgus pasākumus, kuru pamatā ir to drošības vajadzības.

13. pants

Parastā informācija

1.Informācijai, kas paredzēta Savienības iestādes vai struktūras izmantošanai savu funkciju izpildē un kas nav ne sensitīva neklasificēta, ne paredzēta publiskai lietošanai, piešķir kategoriju, to apstrādā un glabā kā parastu informāciju. Šajā kategorijā ietilpst visa parastā darba līmeņa informācija, ko apstrādā attiecīgajā Savienības iestādē vai struktūrā.

2.Parasto informāciju var marķēt vizuāli vai metadatos, ja tas nepieciešams, lai nodrošinātu tās aizsardzību, jo īpaši, ja ar to dalās ārpus Savienības iestādēm un struktūrām. Šādā gadījumā izmanto marķējumu “EU NORMAL” vai “[Savienības iestādes vai struktūras nosaukums vai akronīms] NORMAL” (piemēro pēc vajadzības).

3.Savienības iestādes un struktūras nosaka standarta aizsardzības pasākumus parastajai informācijai, ņemot vērā neklasificētas informācijas apakšgrupas norādes un konkrētos riskus, kas saistīti ar to uzdevumiem un darbībām.

4.Ar parasto informāciju ārpus Savienības iestādēm un struktūrām apmainās tikai ar fiziskām vai juridiskām personām, kurām ir nepieciešamība zināt.                                                                                                                                                            

14. pants

Sensitīva neklasificēta informācija

1.Savienības iestādes un struktūras klasificē, apstrādā un glabā kā sensitīvu neklasificētu informāciju jebkuru informāciju, kas nav klasificēta, bet kas tām ir jāaizsargā juridisku saistību dēļ vai tāda kaitējuma dēļ, kurš var tikt nodarīts likumīgām privātām un publiskām interesēm, t. sk. Savienības iestāžu un struktūru, dalībvalstu vai privātpersonu interesēm, to neatļauti atklājot.

2.Katra Savienības iestāde un struktūra identificē sensitīvu neklasificētu informāciju, izmantojot redzamu drošības marķējumu, un nosaka attiecīgās apstrādes instrukcijas saskaņā ar I pielikumu.

3.Savienības iestādes un struktūras aizsargā sensitīvu neklasificētu informāciju, piemērojot atbilstīgus pasākumus attiecībā uz tās apstrādi un glabāšanu.  Šādu informāciju Savienības iestādēs un struktūrās var darīt pieejamu tikai personām, kurām ir nepieciešamība zināt, lai tās varētu pildīt uzticētos pienākumus.

4.Ar sensitīvu neklasificētu informāciju ārpus Savienības iestādēm un struktūrām apmainās tikai ar fiziskām un juridiskām personām, kurām ir nepieciešamība zināt, vienlaikus ievērojot informācijai pievienotās apstrādes instrukcijas. Visas iesaistītās puses tiek informētas par attiecīgajām apstrādes instrukcijām.

15. pants

Neklasificētas informācijas aizsardzība un sadarbspēja

1.Savienības iestādes un struktūras izveido procedūras ziņošanai par tādiem incidentiem vai varbūtējiem incidentiem un to pārvaldībai, kas varētu apdraudēt neklasificētas informācijas drošību.

2.Vajadzības gadījumā Savienības iestādes un struktūras izmanto 12., 13. un 14. pantā paredzētos marķējumus. Izņēmuma kārtā iekšēji un saziņā ar atbilstošajiem partneriem no citām Savienības iestādēm un struktūrām vai no dalībvalstīm var izmantot citus līdzvērtīgus marķējumus, ja visas puses tam piekrīt. Par šādu izņēmumu paziņo neklasificētas informācijas apakšgrupai, kā minēts 7. panta 1. punkta b) apakšpunktā.

3.Lai nodrošinātu tādas parastas un sensitīvas neklasificētas informācijas aizsardzību, ko apstrādā, izmantojot ārpakalpojumus, līgumos iekļauj aizsardzības pasākumus.  Šos aizsardzības pasākumus izstrādā tā, lai garantētu vismaz līdzvērtīgu aizsardzības līmeni tam, kas paredzēts šajā regulā, un tie ietver konfidencialitātes un informācijas neizpaušanas saistības, kuras jāparaksta visiem attiecīgajiem pakalpojumu sniedzējiem, kas iesaistīti ārpakalpojumu sistēmu nodrošināšanā.

16. pants

Neklasificētas informācijas apakšgrupa 

1.Neklasificētas informācijas apakšgrupai, kas minēta 7. panta 1. punkta b) apakšpunktā, ir šādi uzdevumi un pienākumi:

a)racionalizēt procedūras, kas saistītas ar neklasificētas informācijas apstrādi un glabāšanu un attiecīgo norāžu sagatavošanu;

b)koordinēt ar 7. panta 1. punkta a) apakšpunktā minēto informācijas aizsardzības apakšgrupu jautājumus, kas saistīti ar sistēmām, kurās apstrādā un glabā neklasificētu informāciju;

c)sagatavot apstrādes instrukcijas neklasificētas informācijas dažādajiem konfidencialitātes līmeņiem;

d)palīdzēt Savienības iestādēm un struktūrām noteikt to konkrēto neklasificētās informācijas kategoriju atbilstību 12., 13. un 14. pantā paredzētajām kategorijām;

e)atvieglot neklasificētas informācijas apmaiņu starp Savienības iestādēm un struktūrām, sniedzot palīdzību un norādes.

17. pants

Sensitīvas neklasificētas informācijas apstrāde un glabāšana sakaru un informācijas sistēmās

1.Savienības iestādes un struktūras nodrošina, ka, apstrādājot un glabājot sensitīvu neklasificētu informāciju (SNI), SIS atbilst šādām minimālajām prasībām:

a)lai piekļūtu SNI, nepieciešama droša autentifikācija, un pārraidot un glabājot SNI, to šifrē;

b)par glabāšanā izmantotajām šifrēšanas atslēgām ir atbildīga Savienības iestāde vai struktūra, kas atbild par SIS darbību;

c)SNI glabā un apstrādā Savienībā;

d)ārpakalpojumu līgumos iekļauj noteikumus par personāla, aktīvu un informācijas drošību;

e)elektronisko dokumentu konfidencialitātes līmeņa reģistrācijai un drošības pasākumu automatizācijas atvieglošanai izmanto sadarbspējīgus metadatus;

f)Savienības iestādes un struktūras īsteno pasākumus datu noplūdes novēršanai un atklāšanai, lai aizsargātu sensitīvu neklasificētu informāciju;

g)izmanto drošības aprīkojumu ar Eiropas kiberdrošības sertifikātu, ja tāds ir pieejams;

h)īsteno drošības pasākumus, pamatojoties uz principu “nepieciešamība zināt” un “nulles uzticēšanās”, lai līdz minimumam samazinātu pakalpojumu sniedzēju un darbuzņēmēju piekļuvi sensitīvai neklasificētai informācijai.

2.Jebkuru atkāpi no 1. punktā noteiktajām minimālajām prasībām apstiprina attiecīgās Savienības iestādes vai struktūras atbilstīga līmeņa vadība, pamatojoties uz riska novērtējumu, kas aptver juridiskos un tehniskos riskus sensitīvas neklasificētas informācijas drošībai.

3.Attiecīgās Savienības iestādes vai struktūras informācijas aizsardzības iestāde jebkurā SIS dzīves cikla posmā var pārbaudīt atbilstību 1. punktā izklāstītajiem principiem.

5. nodaļa
ESKI

1. iedaļa
Vispārīgi noteikumi

18. pants

Drošības klasifikācija un marķējumi

1.ESKI piešķir kādu no šādiem klasifikācijas līmeņiem un to marķē šādi:

a)TRÈS SECRET UE/EU TOP SECRET (ES sevišķi slepeni): informācija un materiāli, kuru neatļauta izpaušana var radīt ārkārtīgi nopietnu kaitējumu būtiskām Savienības vai vienas vai vairāku dalībvalstu interesēm;

b)SECRET UE/EU SECRET (ES slepeni): informācija un materiāli, kuru neatļauta izpaušana var radīt nopietnu kaitējumu būtiskām Savienības vai vienas vai vairāku dalībvalstu interesēm;

c)CONFIDENTIEL UE/EU CONFIDENTIAL (ES konfidenciāli): informācija un materiāli, kuru neatļauta izpaušana var radīt kaitējumu būtiskām Savienības vai vienas vai vairāku dalībvalstu interesēm;

d)RESTREINT UE/EU RESTRICTED (ES ierobežoti); informācija un materiāli, kuru neatļauta izpaušana varētu būt nevēlama Savienības vai vienas vai vairāku dalībvalstu interesēm.

2.Koordinācijas grupa pieņem norāžu dokumentus par ESKI izveidi un klasifikāciju.

19. pants

Piemērotība ESKI apstrādei un glabāšanai

1.Jebkura Savienības iestāde un struktūra var apstrādāt un glabāt ESKI, ja ir izpildīti šādi nosacījumi:

a)tā paredz noteikumus un procedūras saskaņā ar šo regulu, nodrošinot informācijas aizsardzību konkrētam klasifikācijas līmenim, kā arī

b)tajā ir veikts izvērtējuma apmeklējums saskaņā ar 53. pantu, un pēc tam ir apliecināts, ka tā var aizsargāt ESKI saskaņā ar šo regulu un attiecīgā gadījumā jebkuriem citiem attiecīgiem noteikumiem un procedūrām.

2.Uzskata, ka 7. panta 1. punkta e) apakšpunktā minētās dalīšanās ar ESKI un klasificētas informācijas apmaiņas apakšgrupas locekļi pēc noklusējuma ir izpildījuši 1. punktā izklāstītos nosacījumus.

20. pants

ESKI aizsardzība

1.Jebkuras ESKI vienības turētājs ir atbildīgs par tās aizsardzību.

2.Ja dalībvalsts Savienības iestādes vai struktūras sistēmās vai tīklos ievieto klasificētu informāciju ar valsts drošības klasifikācijas marķējumu, šī iestāde vai struktūra aizsargā minēto informāciju saskaņā ar attiecīgo klasifikācijas marķējumu, kas noteikts Padomē sanākušo Eiropas Savienības dalībvalstu nolīgumā par tādas klasificētās informācijas aizsardzību, ar kuru apmainās Eiropas Savienības interesēs 29 . Attiecīgā atbilstības tabula ir atrodama šīs regulas VI pielikumā.

3.ESKI kopumam var ļaut piešķirt tāda līmeņa aizsardzību, kas atbilst augstākai klasifikācijas kategorijai nekā tās atsevišķajiem komponentiem piešķirtā klasifikācijas kategorija.

21. pants

ESKI drošības riska pārvaldības process

1.Katras Savienības iestādes un struktūras drošības iestāde apstiprina drošības pasākumus ESKI aizsardzībai visā tās aprites ciklā saskaņā ar attiecīgās Savienības iestādes vai struktūras veiktā riska izvērtējuma rezultātiem.

2.Drošības pasākumi, ko veic katra Savienības iestāde un struktūra, ir samērīgi ar apstrādātās un glabātās informācijas klasifikācijas līmeni, tās veidu un apjomu, ar to objektu atrašanās vietu un aizsardzības elementiem, kuros apstrādā un glabā ESKI, kā arī uz vietas novērtētiem ļaunprātīgu vai noziedzīgu darbību draudiem.

3.Visas Savienības iestādes un struktūras izveido:

a)ārkārtas rīcības plānus, lai nodrošinātu ESKI drošību ārkārtas situācijās;

b)darbības nepārtrauktības plānus, t. sk. preventīvus un atgūšanas pasākumus, lai mazinātu ietekmi, ko rada smagas kļūmes vai drošības incidenti saistībā ar ESKI apstrādi un glabāšanu.                           

22. pants

Drošības prasību pārkāpumi un ESKI apdraudējums

1.Savienības iestādes vai struktūras, vai personas darbību vai bezdarbību, kas ir šīs regulas pārkāpums, uzskata par drošības pārkāpumu. 

2.ESKI uzskata par apdraudētu, ja pārkāpuma rezultātā tā ir pilnībā vai daļēji izpausta vienai vai vairākām personām, kurām nav atļauts piekļūt minētajai informācijai.

3.Par jebkādu ESKI apdraudējumu vai iespējamu apdraudējumu nekavējoties ziņo attiecīgās Savienības iestādes vai struktūras drošības iestādei, kas uzsāk drošības izmeklēšanu un veic vismaz šādus pasākumus:

a)informē informācijas autoru;

b)nodrošina, ka faktu apzināšanas nolūkā lietu izmeklē personāls, kas nav tieši saistīts ar drošības apdraudējumu;

c)novērtē iespējamo kaitējumu, kas nodarīts Savienības vai dalībvalstu interesēm;

d)veic attiecīgus pasākumus, lai nepieļautu atkārtošanos;

e)ziņo kompetentajām iestādēm par faktiskā vai iespējamā apdraudējuma sekām un veiktajiem pasākumiem. 

2. iedaļa
Personāla drošība 

23. pants

Pamatprincipi

1.Savienības iestādes vai struktūras drošības iestāde var piešķirt personām piekļuvi ESKI, ja ir izpildīti visi turpmāk minētie nosacījumi:

a)šīm personām ir nepieciešamība zināt;

b)personas ir iepazīstinātas ar ESKI aizsardzībai paredzētajiem drošības noteikumiem un procedūrām un atbilstošajiem drošības standartiem un vadlīnijām un ir rakstiski atzinušas savus pienākumus attiecībā uz šādas informācijas aizsargāšanu;

c)attiecībā uz informāciju, kas klasificēta kā CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāk, personām ir piešķirta drošības pielaide un piešķirta attiecīga līmeņa atļauja.

2.Savienības iestādes un struktūras ņem vērā personas lojalitāti, uzticamību un godprātību, kuru apstiprinājusi drošības izmeklēšana, ko veic tās dalībvalsts kompetentās iestādes, kuras pilsonis vai valstspiederīgais ir pieteikuma iesniedzējs. 

3.Savienības iestādes un struktūras var pieņemt drošības pielaides no trešām valstīm un starptautiskām organizācijām, ar kurām Savienība ir noslēgusi informācijas drošības nolīgumu.

4.Savienības iestādes un struktūras var organizēt pielaides izsniegšanas procesus autonomi vai noslēgt pakalpojumu līmeņa vienošanos (SLA) ar Komisiju.

Ja tiek noslēgta pakalpojumu līmeņa vienošanās, Komisijas drošības iestāde ir kontaktpunkts starp attiecīgās Savienības iestādes un struktūras drošības birojiem un dalībvalstu kompetentajām iestādēm saistībā ar drošības pielaides jautājumiem. 

5.Katras Savienības iestādes un struktūras drošības iestāde reģistrē savas drošības pielaides, instruktāžu, rakstiskus apliecinājumus un atļaujas piekļūt ESKI.

6.Savienības iestādes un struktūras, kas noslēdz pakalpojumu līmeņa vienošanos ar Komisiju, padara Komisijas drošības iestādei pieejamus vismaz šādus attiecīgos ierakstus: ESKI līmeni, kuram personai var piešķirt piekļuvi, atļaujas piekļūt ESKI izdošanas datumu un tās derīguma termiņu. Minētie ieraksti pamatotos gadījumos ir pieejami citām Savienības iestādēm un struktūrām, kurām ir pakalpojumu līmeņa vienošanās.

24. pants

Atļauja piekļūt ESKI

1.Katra Savienības iestāde un struktūra nosaka amatus savā organizācijā, kuriem vajadzīga piekļuve informācijai, kas klasificēta kā CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāk, lai tās turētājs varētu pildīt savus pienākumus.

2.Ja personai ir vajadzīga atļauja piekļūt informācijai, kas klasificēta kā CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāk, attiecīgā iestāde vai struktūra informē kompetento drošības iestādi, kura veic II pielikuma 1. punktā paredzētās formalitātes.

3.Katras Savienības iestādes un struktūras drošības iestāde ir atbildīga par atļaujas piekļūt ESKI piešķiršanu, apturēšanu, atsaukšanu un atjaunošanu saviem darbiniekiem.

4.Izņēmuma gadījumos, ja tam ir pienācīgs pamatojums dienesta interesēs un kamēr drošības izmeklēšana nav pilnībā pabeigta, Savienības iestādes vai struktūras drošības iestāde var piešķirt personām pagaidu atļauju piekļūt ESKI konkrēta amata vajadzībām, neskarot noteikumus par atļaujas atjaunošanu piekļūt ESKI un pēc attiecīgās valsts drošības iestādes pārbaudes.

5.Savienības iestādes un struktūras pārvalda atļauju piekļūt ESKI saskaņā ar II pielikumā izklāstītajām procedūrām. 

25. pants

Atļauju piekļūt ESKI atzīšana

1.Atļauja piekļūt ESKI līdz noteiktam līmenim ir derīga jebkurā Savienības iestādē vai struktūrā, kurā persona ir norīkota.

2.Savienības iestādes un struktūras pieņem atļaujas piekļūt ESKI, ko piešķīrusi cita Savienības iestāde vai struktūra. 

3.Ja atļaujas piekļūt ESKI turētājs sāk darbu citā Savienības iestādē vai struktūrā, minētā Savienības iestāde vai struktūra ar kompetentās drošības iestādes starpniecību paziņo attiecīgajai VDI par darba devēja maiņu.

26. pants

ESKI instruktāža

1.Savienības iestādes vai struktūras drošības iestāde informē visas personas, kurām vajadzīga piekļuve ESKI, par jebkuriem draudiem drošībai un par viņu pienākumu ziņot par jebkādām aizdomīgām darbībām.  Instruktāžu veic pirms piekļuves ESKI piešķiršanas un pēc tam vismaz reizi piecos gados. 

2.Pēc tam, kad ir saņemta 1. punktā minētā instruktāža, visas personas rakstiski apliecina, ka ir sapratušas savus pienākumus attiecībā uz ESKI aizsargāšanu un iespējamās sekas ESKI apdraudējuma gadījumā.

3.Šā panta 1. punktā minētajā instruktāžā iekļauj šādu informāciju:

a)jebkurai personai, kura ir atbildīga par šajā regulā izklāstīto drošības noteikumu pārkāpšanu, var piemērot disciplināratbildību saskaņā ar spēkā esošajām normām un noteikumiem; 

b)jebkurai personai, kura ir atbildīga par ESKI apdraudējumu vai zudumu, var piemērot disciplināratbildību vai uzsākt pret viņu tiesvedību saskaņā ar spēkā esošajiem normatīvajiem aktiem, normām un noteikumiem.

4.Ja personām, kurām ir piešķirtas atļaujas piekļūt ESKI, šāda piekļuve vairs nav vajadzīga, Savienības iestādes un struktūras nodrošina, ka minētās personas zina un attiecīgā gadījumā rakstiski apliecina savus pienākumus attiecībā uz ESKI aizsardzības turpināšanu.

5.Uzdevumu izveidot un vadīt ESKI instruktāžu Savienības iestādes un struktūras var veikt kopīgi ar noteikumu, ka tiek ņemtas vērā to īpašās prasības. 

3. iedaļa
Fiziskā drošība

27. pants

Pamatprincipi

1.Katra Savienības iestāde un struktūra nosaka saviem objektiem piemērotus fiziskās drošības pasākumus saskaņā ar III pielikumu un pastiprinātas aizsardzības principu, pamatojoties uz tās drošības iestādes veikto riska novērtējumu. Šo pasākumu mērķi ir šādi:

a)liegt piekļuvi ESKI vai vardarbīgas ielaušanās iespēju;

b)novērst, kavēt un atklāt neatļautas darbības un pēc iespējas ātrāk reaģēt uz drošības incidentiem;

c)ļaut veikt personāla nošķiršanu atbilstīgi piekļuvei ESKI, ņemot vērā nepieciešamību zināt un attiecīgā gadījumā – personāla drošības pielaidi. 

2.Savienības iestādes un struktūras ievieš fiziskās drošības pasākumus visur, kur ESKI tiek apspriesta, glabāta vai apstrādāta, t. sk. zonās, kurās atrodas šīs nodaļas 5. iedaļā minētās sakaru un informācijas sistēmas.

3.Lai fiziski aizsargātu informāciju, kas klasificēta kā CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāk, izmanto tikai Savienības iestādes vai struktūras drošības iestādes apstiprinātas drošības iekārtas.

4.Savienības iestādes un struktūras pēc nolīguma noslēgšanas var kopīgi izmantot III pielikumā minētās drošības zonas ESKI apstrādei un glabāšanai.

28. pants

Fiziskās drošības apakšgrupa

1.Fiziskās drošības apakšgrupai, kas minēta 7. panta 1. punkta c) apakšpunktā, ir šādi uzdevumi un pienākumi:

a)sagatavot norāžu dokumentus par fiziskās drošības jautājumiem;

b)noteikt vispārējos drošības kritērijus tādu iekārtu iegādei kā seifi, smalcināšanas ierīces, durvju slēdzenes, elektroniskās piekļuves kontroles sistēmas, ielaušanās atklāšanas sistēmas un signalizācijas sistēmas ESKI fiziskai aizsardzībai;

c)palīdzēt Savienības iestādēm un struktūrām noteikt to objektiem piemērotus drošības pasākumus;

d)ierosināt kompensējošus pasākumus ESKI aizsardzībai, ja ESKI apstrādā ārpus Savienības iestādes vai struktūras fiziski aizsargātajām zonām. 

29. pants

ESKI fiziskā aizsardzība

1.Lai nodrošinātu ESKI fizisku aizsardzību, Savienības iestādes un struktūras izveido šādas fiziski aizsargātas zonas:

a)III pielikumā minētās administratīvās zonas;

b)attiecīgā gadījumā – drošības zonas, t. sk. I šķiras, II šķiras un tehniski drošas zonas, kā minēts III pielikumā.

2.Attiecīgās Savienības iestādes un struktūras drošības iestāde veic iekšēju pārbaudi, lai noskaidrotu, vai ir izpildīti III pielikumā izklāstītie nosacījumi, lai noteiktu zonu kā administratīvo zonu vai drošības zonu. Ja inspekcijas ziņojumā norādīts, ka nosacījumi ir izpildīti, drošības iestāde var izdot drošības zonas akreditāciju ESKI aizsardzībai līdz noteiktajam līmenim uz laikposmu, kas nepārsniedz piecus gadus.

Attiecīgās Savienības iestādes vai struktūras drošības iestāde ir atbildīga par savu drošības zonu atkārtotas akreditācijas procesa veikšanu pirms akreditācijas termiņa beigām vai ikreiz, kad akreditētajā zonā ir ieviestas izmaiņas. 

3.Katra Savienības iestāde un struktūra pieņem procedūras CONFIDENTIEL UE/EU-CONFIDENTIAL un augstāku līmeņu biroju, telpu, glabātavu un seifu atslēgu un kodu kombināciju pārvaldībai.

4.Drošības iestāde var uzdot pārmeklēt personas pie ieejas un izejas, lai novērstu un atklātu materiālu neatļautu ienešanu vai ESKI neatļautu iznešanu no objektiem.

5.Savienības iestādes un struktūras nosaka pasākumus ESKI fiziskai aizsardzībai saskaņā ar III pielikumu.                                       

4. iedaļa
ESKI pārvaldība

30. pants

Pamatprincipi

1.Savienības iestādes un struktūras reģistrē, kārto, glabā un ar laiku iznīcina, patur kā paraugus vai pārsūta savus ESKI dokumentus attiecīgajiem arhīviem saskaņā ar saglabāšanas politiku un noteikumiem, kas attiecas uz katras Savienības iestādes un struktūras lietām. 

2.Jebkura Savienības iestāde un struktūra, kas ir ESKI autors, nosaka minētās informācijas drošības klasifikāciju līdz ar tās izveidošanu un saskaņā ar 18. panta 1. punktu.

3.Savienības iestādes un struktūras skaidri paziņo klasifikācijas līmeni saņēmējiem, izmantojot klasifikācijas marķējumu vai paziņojumu, ja informācija tiek sniegta mutiski.

4.Drošības pasākumi, kas piemērojami oriģināldokumentam, ir piemērojami tā projektiem, kopijām un tulkojumiem.

5.Savienības iestādes un struktūras nosaka pasākumus ESKI pārvaldībai saskaņā ar III pielikumu. 

31. pants

ESKI sagatavošana

2. Savienības iestādes un struktūras, kuru pakļautībā tiek sagatavota ESKI, nodrošina, ka ir izpildītas šādas prasības:

a)katru lappusi skaidri marķē atbilstīgi klasifikācijas līmenim;

b)katru lappusi numurē;

c)uz dokumenta norāda atsauces numuru, vajadzības gadījumā – reģistrācijas numuru un tematu, kas pats par sevi nav ESKI, ja vien tas nav attiecīgi marķēts;

d)dokumentā norāda tā izveides datumu;

e)uzskaita visus pielikumus un papildinājumus, ja iespējams, pirmajā lappusē;

f)dokumentiem, kas klasificēti kā SECRET UE/EU SECRET vai augstāk, katrā lappusē norāda kopijas numuru, ja tie jāizplata vairākos eksemplāros. Elektroniskām kopijām, ko izplata ārpus turēšanas sistēmas, ir unikāls identifikators, kura pamatā ir elektroniskais paraksts.

32. pants

Autora kontrole

1.Savienības iestādei vai struktūrai, kuras pakļautībā ESKI dokuments ir izveidots, pieder autora kontrole pār minēto dokumentu. Dokumenta autors nosaka dokumenta klasifikācijas līmeni un ir atbildīgs par tā sākotnējo izplatīšanu. Neskarot Regulu (EK) Nr. 1049/2001, informācijas autora iepriekšēju rakstisku piekrišanu iegūst, pirms informācija tiek:

a)deklasificēta vai klasificēta zemākā līmenī;

b)izmantota citiem mērķiem, nevis tiem, kurus noteicis autors;

c)nosūtīta jebkurai vienībai ārpus Savienības iestādes vai struktūras, kura ir šīs informācijas turētāja, t. sk. trešai valstij vai starptautiskai organizācijai, citai Savienības iestādei vai struktūrai, dalībvalstīm, darbuzņēmējam vai iespējamam līgumslēdzējam, labuma guvējam vai potenciālajam labuma guvējam;

d)TRES SECRET-UE/EU-TOP SECRET līmeņa gadījumā – kopēta un tulkota.

2.Ja ESKI dokumenta autoru nevar identificēt, autora kontroli īsteno Savienības iestāde vai struktūra, kura ir šīs klasificētās informācijas turētāja.

3.Jebkura ESKI dokumenta autori reģistrē visus klasificētos avotus, kas izmantoti klasificēto dokumentu sagatavošanā, tostarp ziņas par avotiem, kas sākotnēji iegūti no dalībvalstīm, starptautiskām organizācijām vai trešām valstīm. Apkopotu klasificētu informāciju attiecīgā gadījumā marķē tā, lai tiktu saglabāta izmantoto klasificēto avotu autoru identifikācija.

33. pants

Klasifikācijas marķējumi

1.Vajadzības gadījumā papildus vienam no drošības klasifikācijas marķējumiem ESKI dokumentiem var būt papildu marķējums, piemēram, izplatīšanas vai nodošanas marķējums, vai norāde par dokumenta autoru.

2.Dažādām ESKI dokumenta daļām var būt vajadzīga atšķirīga klasifikācija, un tās attiecīgi marķē. Vispārējais dokumenta vai lietas klasifikācijas līmenis ir vismaz tikpat augsts, cik tā komponentam ar visaugstāko klasifikāciju.

3.Dokumenti, kuru daļām ir dažādi klasifikācijas līmeņi, jāveido tā, lai daļas ar dažādiem klasifikācijas līmeņiem varētu viegli identificēt un vajadzības gadījumā atdalīt.

34. pants

ESKI reģistra sistēma

1.Visas Savienības iestādes un struktūras, kas apstrādā un glabā informāciju, kura klasificēta kā CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāk, izveido vienu vai vairākus ESKI reģistrus, lai drošības nolūkos nodrošinātu informācijas reģistrāciju, kad tā nonāk Savienības iestādē vai struktūrā vai tiek nosūtīta no tās.

2.Visus ESKI reģistrus veido kā II pielikumā definētās drošības zonas.

3.Savienības iestādes un struktūras katra ESKI reģistra pārvaldībai norīko reģistra kontrolieri (RCO).  Reģistra kontrolierim ir atbilstoša drošības pielaide, un viņu apstiprina saskaņā ar 24. pantu. Savienības iestādes un struktūras savam reģistra kontrolierim nodrošina pienācīgu apmācību.

35. pants

Klasifikācijas līmeņa pazemināšana un deklasificēšana

1.Informācija ir klasificējama tikai tik ilgi, kamēr tai nepieciešama aizsardzība.  ESKI, kurai vairs nav vajadzīga sākotnējā klasifikācija, to pazemina uz zemāku līmeni. ESKI, kas vairs nav jāuzskata par klasificētu, deklasificē.

2.Sagatavojot ESKI, tās autors, ja iespējams, un jo īpaši informācijai, kas klasificēta kā RESTREINT UE/EU RESTRICTED, norāda, vai ESKI slepenības pakāpi var pazemināt vai to deklasificēt konkrētā dienā vai pēc konkrēta notikuma.

3.Lēmumu par to, vai ESKI dokumenta slepenības pakāpi var pazemināt vai to deklasificēt, pieņem Savienības iestāde vai struktūra, kas ir dokumenta autors.  Tā regulāri un vismaz reizi piecos gados pārskata informāciju un izvērtē riskus, lai noteiktu, vai sākotnējais klasifikācijas līmenis joprojām ir atbilstīgs.

4.Ja Savienības iestādes un struktūras ir ESKI turētājs, bet nav tās autors, tās bez autora iepriekšējas rakstiskas piekrišanas nepazemina vai nedeklasificē minēto dokumentu un neizmaina vai nenoņem nevienu no 18. panta 1. punktā minētajiem marķējumiem.

5.Savienības iestādes un struktūras var daļēji pazemināt vai deklasificēt savu sagatavoto ESKI. Šādos gadījumos sagatavo klasifikācijas līmeņa pazemināšanas vai deklasificēšanas izrakstu.

6.Savienības iestādes un struktūras informē ESKI saņēmēju organizāciju par tās klasifikācijas līmeņa pazemināšanu vai deklasificēšanu.

36. pants

Marķējumi uz dokumentiem ar pazeminātu klasifikācijas pakāpi un deklasificētiem dokumentiem

1.Ja Savienības iestādes un struktūras nolemj deklasificēt ESKI dokumentu, apsver, vai uz tā jābūt sensitīvas neklasificētas informācijas izplatīšanas marķējumam.

2.Katras lapas augšā un apakšā izvietoto sākotnējo klasifikācijas marķējumu redzami pārsvītro, izmantojot funkciju “pārsvītrojums” (strikethrough) elektroniska formāta dokumentos vai manuāli – izdrukātos dokumentos. Sākotnējo klasifikācijas marķējumu nenoņem.

3.Pirmo lapu jeb titullapu apzīmogo, norādot, ka dokumenta klasifikācijas līmenis ir pazemināts vai ka dokuments ir deklasificēts, un tajā papildus norāda informāciju par iestādi, kas ir atbildīga par klasifikācijas līmeņa pazemināšanu vai dokumenta deklasificēšanu, un attiecīgo datumu. Elektronisko ESKI dokumentu klasifikācijas pazemināšanu vai deklasifikāciju apliecina ar elektronisku parakstu, ko apstiprina dokumenta autors.

37. pants

ESKI iznīcināšana un dzēšana

1.Savienības iestādes un struktūras pārskata ESKI gan papīra formā, gan sakaru un informācijas sistēmās vismaz reizi piecos gados, lai noteiktu, vai tā ir jāiznīcina vai jādzēš. Ja ESKI iznīcina vai dzēš, tās informē ikvienu personu, kas iepriekš saņēmusi minēto ESKI.

2.Savienības iestādes un struktūras var iznīcināt ESKI dublikātus, kas vairs nav vajadzīgi, ņemot vērā atbilstošos noteikumus par dokumentu pārvaldību attiecībā uz oriģināleksemplāriem.

3.Savienības iestādes un struktūras iznīcina tikai tādas informācijas papīra eksemplārus, kuru klasificēšanu kā CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāk veicis to reģistra kontrolieris. Reģistra kontrolieris attiecīgi atjaunina reģistrācijas žurnālus un citu reģistrācijas informāciju, saglabājot iznīcinātā dokumenta būtiskos metadatus.

Dokumentus, kas klasificēti kā SECRET UE/EU SECRET vai augstāk, iznīcina tikai reģistra kontrolieris liecinieka klātbūtnē – lieciniekam jābūt vismaz tāda līmeņa pielaidei, kas atbilst iznīcināmā dokumenta klasifikācijas līmenim.

4.Reģistra kontrolieris un attiecīgā gadījumā liecinieks paraksta iznīcināšanas sertifikātu, ko iekļauj reģistrā. Šo sertifikātu glabā vismaz piecus gadus attiecībā uz informāciju, kas klasificēta kā CONFIDENTIEL UE/EU CONFIDENTIAL un SECRET-UE/EU-SECRET, un vismaz 10 gadus attiecībā uz informāciju, kas klasificēta TRES SECRET-UE/EU-TOP SECRET līmenī.

38. pants

ESKI evakuācija un iznīcināšana ārkārtas situācijā

1.Katra Savienības iestāde un struktūra izstrādā ārkārtas evakuācijas un iznīcināšanas plānus, pamatojoties uz vietējiem apstākļiem, lai aizsargātu ESKI, kas ir pakļauta būtiskam riskam nonākt neatļautās rokās.

Ārkārtas evakuācijas un iznīcināšanas plānu operatīvās detaļas klasificē RESTREINT UE/EU RESTRICTED līmenī.

2.Ārkārtas situācijā, ja pastāv nenovēršams ESKI neatļautas izpaušanas risks, Savienības iestādes un struktūras ESKI evakuē. 

Ja evakuācija nav iespējama, ESKI iznīcina tā, lai to nevarētu pilnībā vai daļēji rekonstruēt.

3.Autoru un izcelsmes reģistru informē par reģistrētās ESKI ārkārtas evakuāciju vai iznīcināšanu.

4.Ja tiek aktivizēti ārkārtas rīcības plāni, prioritāri vispirms evakuējami vai iznīcināmi augstākie ESKI līmeņi, tostarp šifrēšanas aprīkojums. 

39. pants

Arhivēšana

1.Savienības iestādes un struktūras lemj par to, vai un kad arhivēt ESKI, un par attiecīgajiem praktiskajiem pasākumiem saskaņā ar savu dokumentu pārvaldības politiku.

2.ESKI dokumentus nenodod Eiropas Savienības Vēstures arhīvam.

5. iedaļa
ESKI aizsardzība sakaru un informācijas sistēmās (SIS)

40. pants

Apakšgrupa to sakaru un informācijas sistēmu akreditācijai, kurās apstrādā un glabā ESKI

Apakšgrupai to sakaru un informācijas sistēmu akreditācijai, kurās apstrādā un glabā ESKI, kas minēta 7. panta 1. punkta d) apakšpunktā, ir šādi uzdevumi un pienākumi:

a)palīdzēt Savienības iestādēm un struktūrām to akreditācijas procesos;

b)ieteikt akreditācijas standartu, kas jāievēro visām Savienības iestādēm un struktūrām;

c)izplatīt un dalīties ar paraugpraksi un norādēm par SIS akreditāciju.

41. pants

Sakaru un informācijas sistēmas

Savienības iestādes un struktūras izpilda šādas prasības attiecībā uz SIS, kurās apstrādā un glabā ESKI:

a)sistēmas īpašnieks vai informācijas aizsardzības operatīvā iestāde apspriežas ar drošības akreditācijas iestādi pirms SIS izstrādes, iegādes vai piemērošanas ESKI apstrādei un glabāšanai, lai noteiktu akreditācijas prasības;

b)galvenos drošības principus SIS, kurās apstrādā un glabā ESKI, piemēro projekta sākumā kā daļu no informācijas drošības riska pārvaldības procesa un ņemot vērā nepieciešamību zināt, minimālo funkcionalitāti, pastiprinātu aizsardzību, mazāko tiesību, pienākumu nošķiršanas un četru acu principu;

c)SIS, kurās apstrādā un glabā ESKI, glabāšanas, centralizētās apstrādes un tīkla pārvaldības komponentus uzstāda drošības zonā, kā minēts III pielikumā;

d)ievieš TEMPEST drošības pasākumus, kas ir samērīgi ar ekspluatācijas risku un informācijas klasifikācijas līmeni;

e)visi darbinieki, kas iesaistīti tādas SIS darbībā, kurā apstrādā un glabā ESKI, paziņo drošības iestādei un attiecīgajam sistēmas īpašniekam vai informācijas aizsardzības operatīvajai iestādei par iespējamām drošības nepilnībām, incidentiem, drošības pārkāpumiem vai sistēmas kompromitējumiem, kas var ietekmēt SIS vai tajā esošās ESKI aizsardzību;

f)attiecīgā gadījumā drošības iestāde paziņo jebkuras citas attiecīgās Savienības iestādes vai struktūras drošības iestādēm par iespējamām drošības nepilnībām vai incidentiem, kas varētu ietekmēt to sakaru un informācijas sistēmas, kuras apstrādā un glabā ESKI.

42. pants

Kriptogrāfijas produkti

1.ESKI elektroniskai nosūtīšanai un glabāšanai izmanto apstiprinātus kriptogrāfijas produktus. Apstiprinātu kriptogrāfijas produktu sarakstu uztur Padome, pamatojoties uz valsts drošības iestāžu sniegto informāciju.

2.Ja 1. punktā minētajā sarakstā nav iekļauts neviens paredzētajam nolūkam piemērots produkts, attiecīgās Savienības iestādes vai struktūras kriptogrāfijas apstiprinājuma iestāde pieprasa Padomei pagaidu apstiprinājumu. Ja iespējams, izvēlas kriptogrāfijas produktu, ko apstiprinājusi dalībvalsts valsts drošības iestāde.

Padome veic vajadzīgos pasākumus, lai nodrošinātu, ka sarakstam tiek pievienots piemērots produkts.

3.Kriptogrāfijas produktu apstiprinājumi ir spēkā ne ilgāk kā piecus gadus, un pēc tam tos pārskata katru gadu.

4.Padome svītro no apstiprināto kriptogrāfijas produktu saraksta visus kriptogrāfijas produktus, kuriem valsts apstiprinājums ir atsaukts vai derīguma termiņš ir beidzies.

5.Koordinācijas grupa katru gadu informē Padomi par kriptogrāfijas produktiem, kurus tā iesaka izvērtēšanai dalībvalsts kriptogrāfijas iestādē, pamatojoties uz Savienības iestādēs un struktūrās veiktu aptauju.

43. pants

To SIS akreditācija, kuras apstrādā un glabā ESKI

1.Akreditējot SIS, kurā apstrādā un glabā ESKI, Savienības iestādes un struktūras apstiprina, ka ir īstenotas visas attiecīgās drošības procedūras un ka ir sasniegts pietiekams ESKI un SIS aizsardzības līmenis saskaņā ar šo Regulu.

2.SIS īpašnieks vai informācijas aizsardzības operatīvā iestāde ir atbildīga par akreditācijas lietu un dokumentācijas sagatavošanu, t. sk. par dažādu veidu lietotājiem paredzētu rokasgrāmatu sagatavošanu.

3.Katras Savienības iestādes un struktūras drošības akreditācijas iestāde ir atbildīga par akreditācijas procesa izveidi visām savā pakļautībā esošajām SIS, ietverot skaidrus nosacījumus, kas jāapstiprina.

4.Ja sakaru un informācijas sistēmās, kurās apstrādā un glabā ESKI, ir iesaistītas gan Savienības iestādes un struktūras, gan valsts drošības iestādes, attiecīgās Savienības iestādes un struktūras, izmantojot papildu īstenošanas noteikumus, kas pieņemti saskaņā ar 8. panta 2. punktu, izveido kopīgu drošības akreditācijas padomi, kura atbild par sistēmas akreditāciju. Minētās padomes sastāvā ir iesaistīto pušu drošības akreditācijas iestādes pārstāvji, un to vada Savienības iestādes vai struktūras, kurai pieder SIS, drošības akreditācijas iestāde.

44. pants

To SIS akreditācijas process, kurās apstrādā un glabā ESKI

1.Visām SIS, kurās apstrādā un glabā ESKI, veic akreditācijas procesu, kura pamatā ir informācijas aizsardzības principi un kura detalizācijas pakāpe ir samērīga ar nepieciešamo aizsardzības līmeni.

2.Akreditācijas procesa rezultātā tiek izveidots akreditācijas paziņojums, ar ko nosaka augstāko klasifikācijas līmeni informācijai, kādu atļauts apstrādāt un glabāt SIS, kā arī attiecīgos darbības noteikumus un nosacījumus. Akreditācijas paziņojuma pamatā ir riska novērtējuma un drošības pasākumu, kas īstenoti saistībā ar attiecīgo SIS, oficiāla validācija, kura rada pārliecību par šādiem elementiem:

a)informācijas drošības riska pārvaldības process ir pienācīgi īstenots;

b)sistēmas īpašnieks vai riska īpašnieks ir apzināti uzņēmies atlikušo risku; 

c)atbilstoši šai regulai ir panākts pietiekams SIS un tajā apstrādātās un glabātās ESKI aizsardzības līmenis.

3.Akreditācijas paziņojumu oficiāli validē Savienības iestādes vai struktūras drošības akreditācijas iestāde. Pēc sekmīgas validācijas drošības akreditācijas iestāde izsniedz darbības atļauju, kurā nosaka augstāko ESKI klasifikācijas līmeni, ar kādu atļauts strādāt SIS, kā arī attiecīgos darbības noteikumus un nosacījumus. Šo atļauju izsniedz uz noteiktu laiku. Ja viens vai vairāki no nepieciešamajiem drošības pasākumiem nav ieviesti, bet tas būtiski neietekmē vispārējo drošību, var izdot pagaidu darbības atļauju, norādot, kas ir uzlabojams.

4.Jebkurā SIS darbības cikla brīdī attiecīgās Savienības iestādes vai struktūras drošības akreditācijas iestāde var veikt šādas darbības:

a)piemērot akreditācijas procesu;

b)revidēt vai pārbaudīt SIS;

c)ja vairs netiek izpildīti darbības nosacījumi, piemēram, ja drošības incidents ir atklājis būtisku SIS neaizsargātību, pieprasīt izstrādāt un efektīvi īstenot drošības uzlabošanas plānu precīzi noteiktā termiņā, iespējams, atsaucot atļauju ekspluatēt SIS, kamēr darbības nosacījumi nav izpildīti.

5.Sistēmas īpašnieks vai informācijas aizsardzības operatīvā iestāde darbības atļaujas derīguma periodā ik gadu iesniedz oficiālu ziņojumu drošības akreditācijas iestādei, t. sk. kopsavilkumu par būtiskiem incidentiem, izmaiņām un riska faktoriem.

45. pants

Ārkārtas apstākļi

1.Savienības iestādes un struktūras pēc kriptogrāfijas apstiprinājuma iestādes apstiprinājuma saņemšanas var piemērot īpašas procedūras klasificētas ESKI pārsūtīšanai vai glabāšanai ārkārtas situācijās, piemēram, gaidāmo vai faktisko krīžu, konfliktu, kara situāciju vai ārkārtas darbības apstākļos.

2.Panta 1. punktā minētajos apstākļos ar kompetentās iestādes piekrišanu ESKI var pārsūtīt, izmantojot kriptogrāfijas produktus, kas apstiprināti lietošanai zemākam klasifikācijas līmenim, vai nešifrētā veidā, ja kavēšanās varētu radīt kaitējumu, kurš būtu nepārprotami lielāks par kaitējumu, ko rada klasificēta materiāla izpaušana, un ar šādiem nosacījumiem:

a)sūtītājam vai saņēmējam nav vajadzīgo kriptogrāfijas iekārtu; 

b)klasificēto materiālu nevar nodot laikā ar citiem līdzekļiem.

3.Klasificētā informācijā, kas pārsūtīta saskaņā ar 2. punktu, nav marķējuma vai norāžu, kas to ļautu atšķirt no neklasificētas informācijas vai informācijas, ko var aizsargāt ar pieejamu kriptogrāfijas produktu. Informācijas saņēmējus par tās klasifikācijas līmeni nekavējoties informē ar citiem līdzekļiem.

4.Par ESKI nosūtīšanu 1. punktā minētajos apstākļos pēc tam iesniedz ziņojumu attiecīgajai drošības iestādei.

6. iedaļa
Industriālā drošība

46. pants

Pamatprincipi

1.Katra Savienības iestāde vai struktūra kā līgumslēdzēja vai piešķīrēja iestāde nodrošina, ka šajā iedaļā izklāstītie minimālie industriālās drošības standarti un V pielikumā izklāstītie ESKI aizsardzības nosacījumi klasificētos līgumos un dotāciju nolīgumos ir minēti vai iekļauti līgumos vai dotāciju līgumos un tiek ievēroti, piešķirot klasificētus līgumus vai dotāciju nolīgumus.

2.Industriālā drošība ir pasākumu piemērošana ESKI aizsardzības nodrošināšanai, ko veic šādas personas vai vienības:

a)tiešā pārvaldībā 30 klasificētu līgumu ietvaros:

i)kandidāti vai konkursa pretendenti visā konkursa un līguma slēgšanas procedūras laikā;

ii)darbuzņēmēji vai apakšuzņēmēji visā klasificēto līgumu aprites ciklā;

b)tiešā pārvaldībā 31 klasificētu dotāciju nolīgumu ietvaros:

i)pieteikumu iesniedzēji dotāciju piešķiršanas procedūras laikā;

ii)labuma guvēji vai apakšuzņēmēji visā klasificēto dotāciju nolīgumu aprites ciklā;

c)netiešā pārvaldībā – saskaņā ar finanšu pamatpartnerības nolīgumiem (FFPA) un saistītajiem iemaksu nolīgumiem – pilnvarotās struktūras visā šo nolīgumu darbības laikā.

3.Savienības iestāde vai struktūra kā pilnvarotā struktūra FFPA drošības nodaļā un saistītajos iemaksu nolīgumos apraksta pilnvarotās struktūras īpašās drošības prasības. Šo prasību pamatā ir drošības principi un noteikumi, kas ietverti šajā regulā attiecībā uz klasificētiem līgumiem un dotāciju nolīgumiem, kurus piemēro mutatis mutandis.

4.Klasificētos līgumos vai dotāciju nolīgumos netiek iekļauta informācija, kas klasificēta kā TRES SECRET UE/EU TOP SECRET.

5.Šīs nodaļas noteikumi, kas attiecas uz klasificētiem līgumiem vai darbuzņēmējiem, vai uz klasificētām dotācijām vai labuma guvējiem, attiecas arī uz klasificētiem apakšuzņēmuma līgumiem vai apakšuzņēmējiem attiecīgi klasificētu līgumu vai dotāciju nozīmē.

6.Savienības iestādes un struktūras kā līgumslēdzējas vai piešķīrējas iestādes cieši sadarbojas ar tās valsts drošības iestādēm vai citām kompetentajām iestādēm, kuras teritorijā līgumslēdzēja puse vai dotācijas saņēmējs ir reģistrēts, kā arī ar nolīgtās starptautiskās organizācijas vai dotācijas saņēmējas starptautiskās organizācijas drošības vai citām kompetentajām iestādēm.

7.Savienības iestādes un struktūras kā līgumslēdzējas vai piešķīrējas iestādes sazinās ar šīm drošības iestādēm vai jebkurām citām kompetentajām iestādēm ar savu drošības iestāžu starpniecību.

8.Savienības iestādes un struktūras kā līgumslēdzējas iestādes vai piešķīrējas iestādes ar savas drošības iestādes starpniecību paziņo 6. punktā minētajām iestādēm ikreiz, kad ir parakstīts klasificēts līgums vai dotācijas nolīgums.

Paziņojumā iekļauj attiecīgos datus, piemēram, darbuzņēmēja vai labuma guvēju vārdus vai nosaukumus, klasificētā līguma vai dotācijas nolīguma darbības ilgumu un klasifikācijas augstāko līmeni.

Savienības iestādes un struktūras kā līgumslēdzējas iestādes vai piešķīrējas iestādes arī paziņo 6. punktā minētajām iestādēm ikreiz, kad klasificēts līgums vai dotācijas nolīgums tiek priekšlaikus izbeigts.

9.Savienības iestādes un struktūras kā līgumslēdzējas iestādes vai piešķīrējas iestādes var piešķirt klasificētus līgumus vai dotāciju klasificētas daļas tikai subjektiem, kas reģistrēti tajās trešās valstīs vai ko izveidojušas tās starptautiskās organizācijas, kuras ir noslēgušas informācijas drošības nolīgumu ar Savienību. Ja attiecīgā ESKI satur personas datus, to nosūtīšanu trešai valstij vai starptautiskai organizācijai veic saskaņā ar Regulu (ES) 2018/1725.

47. pants

Drošības elementi klasificētā līgumā vai dotācijas nolīgumā

1.Klasificētos līgumos vai dotāciju nolīgumos iekļauj šādus drošības elementus:

a)drošības klasifikācijas rokasgrāmatu;

b)drošības aspektu vēstuli.

2.Klasificētos līgumos vai dotāciju nolīgumos var iekļaut programmas vai projekta drošības instrukciju.

48. pants

Drošības klasifikācijas rokasgrāmata 

1.Pirms klasificēta līguma vai dotācijas nolīguma parakstīšanas Savienības iestāde vai struktūra kā līgumslēdzēja vai piešķīrēja iestāde nosaka tās informācijas drošības klasifikāciju, ko sagatavo darbuzņēmēji vai labuma guvēji, vai to apakšuzņēmēji. Šajā nolūkā tā sagatavo drošības klasifikācijas rokasgrāmatu, ko izmanto klasificētā līguma vai dotācijas nolīguma izpildē.

2.Drošības klasifikācijas rokasgrāmatā var izdarīt izmaiņas visā programmas vai projekta, kā minēts 50. pantā, līguma vai dotācijas nolīguma darbības laikā, un informācijas sastāvdaļas var pārklasificēt vai pazemināt to klasifikācijas līmeni. 

3.Lai noteiktu dažādu klasificēta līguma vai dotācijas nolīguma elementu drošības klasifikāciju, piemēro šādus principus:

a)izstrādājot drošības klasifikācijas rokasgrāmatu, Savienības iestāde vai struktūra kā līgumslēdzēja vai piešķīrēja iestāde ņem vērā visus attiecīgos drošības aspektus, tostarp drošības klasifikāciju, ko informācijas autors piešķīris informācijai, kura paredzēta un apstiprināta izmantošanai klasificētā līgumā vai dotācijas nolīgumā;

b)vispārējais klasificēta līguma vai dotācijas nolīguma klasifikācijas līmenis nedrīkst būt zemāks par augstāko jebkura tā elementa klasifikāciju; 

c)vajadzības gadījumā, ja tiek izdarītas izmaiņas drošības klasifikācijas rokasgrāmatā, attiecīgā Savienības iestāde vai struktūra kā līgumslēdzēja vai piešķīrēja iestāde ar savas drošības iestādes starpniecību sazinās ar attiecīgās valsts drošības iestādēm vai citām kompetentām iestādēm.

49. pants

Drošības aspektu vēstule

1.Katra Savienības iestāde vai struktūra kā līgumslēdzēja vai piešķīrēja iestāde drošības aspektu vēstulē apraksta klasificētā līguma vai dotācijas īpašās drošības prasības. Šajā vēstulē iekļauj drošības klasifikācijas rokasgrāmatu, un tā ir neatņemama klasificēta līguma vai dotācijas nolīguma, vai apakšlīguma daļa.

2.Drošības aspektu vēstulē ietver noteikumus, kas paredz, ka darbuzņēmējam vai labuma guvējam un to apakšuzņēmējiem ir jāievēro šajā regulā paredzētie noteikumi un visi turpmākie īstenošanas noteikumi attiecībā uz industriālo drošību, kuri pieņemti saskaņā ar 8. panta 2. punktu. Drošības aspektu vēstulē skaidri norāda, ka šo noteikumu neievērošana var būt pietiekams pamats klasificētā līguma vai dotācijas nolīguma izbeigšanai.

50. pants

Programmas vai projekta drošības instrukcija 

1.Savienības iestādes un struktūras kā līgumslēdzējas iestādes vai piešķīrējas iestādes ciešā sadarbībā ar savām drošības iestādēm var izstrādāt programmas vai projekta drošības instrukciju, sevišķi programmām un projektiem, ko raksturo ievērojams apjoms, mērogs vai sarežģītība vai darbuzņēmēju, labuma guvēju un citu iesaistīto partneru un ieinteresēto personu ievērojams skaits vai daudzveidība.

2.Katras Savienības iestādes vai struktūras kā līgumslēdzējas vai piešķīrējas iestādes drošības iestāde konsultāciju nolūkā iesniedz konkrēto programmas vai projekta drošības instrukciju attiecīgajai dalībvalsts konsultatīvajai drošības struktūrai, ko veido to valsts drošības iestādes un/vai izraudzītās drošības iestādes.

Ja Savienības iestādei vai struktūrai nav šādas padomdevējas struktūras, programmas vai projekta drošības instrukciju iesniedz 6. panta 8. punktā minētajai informācijas drošības komitejai.

7. iedaļa
Dalīšanās ar ESKI un klasificētas informācijas apmaiņa

51. pants

Pamatprincipi

1.Visas Savienības iestādes un struktūras var dalīties ar ESKI ar citām Savienības iestādēm vai struktūrām saskaņā ar 54. pantā izklāstītajiem nosacījumiem.

2.Savienības iestādes un struktūras var dalīties ar ESKI ar dalībvalstīm un Eiropas Atomenerģijas kopienu ar noteikumu, ka tās aizsargā minēto informāciju saskaņā ar attiecīgo klasifikācijas marķējumu, kas noteikts Padomē sanākušo Savienības dalībvalstu nolīgumā par tādas klasificētas informācijas aizsardzību, ar kuru apmainās Savienības interesēs, un attiecīgo tabulu šīs regulas VI pielikumā.  

3.Savienības iestādes un struktūras apmainās ar klasificētu informāciju tikai ar tām trešām valstīm vai starptautiskām organizācijām, ar kurām ir noslēgts informācijas drošības nolīgums vai administratīva vienošanās saskaņā ar 55. un 56. pantu.

Šādos nolīgumos un vienošanās dokumentos iekļauj noteikumus, kas nodrošina, ka trešās valstis vai starptautiskās organizācijas, kuras saņem ESKI, šai informācijai nodrošina tādu aizsardzību, kas ir samērīga ar tās klasifikācijas līmeni un atbilst minimālajiem standartiem, kuri ir ne mazāk stingri kā šajā regulā paredzētie.

4.Ja nav noslēgts informācijas drošības nolīgums vai administratīva vienošanās, Savienības iestāde vai struktūra ārkārtas apstākļos var nodot ESKI citai Savienības iestādei vai struktūrai, trešai valstij vai starptautiskai organizācijai saskaņā ar 58. pantu.

5.Savienības iestādes un struktūras izraugās tos reģistrus, kas ir galvenie ieejas un izejas punkti ESKI, ar kuru dalās ar citām Savienības iestādēm vai struktūrām, vai klasificētai informācijai, ar kuru apmainās ar trešām valstīm un starptautiskām organizācijām.  

52. pants

Dalīšanās ar ESKI un klasificētas informācijas apmaiņas apakšgrupa

1.Dalīšanās ar ESKI un klasificētas informācijas apmaiņas apakšgrupai, kas minēta 7. panta 1. punkta e) apakšpunktā, ir šādi uzdevumi un pienākumi:

a)organizēt izvērtējuma apmeklējumus Savienības iestādēs un struktūrās, trešās valstīs un starptautiskās organizācijās un pieņemt ikgadējo apmeklējumu programmu;

b)sagatavot un veikt izvērtējuma apmeklējumus;

c)sagatavot ziņojumu par a) apakšpunktā minēto apmeklējumu rezultātiem, 

izņemot gadījumus, kas minēti 56. panta 2. punktā.

2.Dalīšanās ar ESKI un klasificētas informācijas apmaiņas apakšgrupu veido Komisijas, Padomes un Eiropas Ārējās darbības dienesta pārstāvji, un tā darbojas pēc vienprātības principa. 

53. pants

Izvērtējuma apmeklējumi saistībā ar dalīšanos ar ESKI

1.Dalīšanās ar ESKI un klasificētas informācijas apmaiņas apakšgrupa veic izvērtējuma apmeklējumus, pilnībā sadarbojoties ar apmeklētās Savienības iestādes vai struktūras ierēdņiem. Tā var lūgt palīdzību VDI, kuras teritorijā atrodas Savienības iestāde vai struktūra.

2.Izvērtējuma apmeklējumi attiecīgajās Savienības iestādēs un struktūrās notiek ar šādiem mērķiem:

a)pārbaudīt, vai šajā regulā noteiktās ESKI aizsardzības prasības ir ievērotas un līdz ar to – vai īstenotie pasākumi ir efektīvi;

b)uzsvērt, cik svarīga apmeklētajā organizācijā ir drošība un efektīva riska pārvaldība;

c)ieteikt pretpasākumus, lai samazinātu konkrēto kaitējumu, ko rada klasificētas informācijas konfidencialitātes vai integritātes, vai piekļuves tai zaudēšana; 

d)stiprināt pašreizējās drošības iestāžu programmas izglītošanai un informēšanai par drošību.

3.Izvērtējuma apmeklējuma beigās dalīšanās ar ESKI un klasificētas informācijas apmaiņas apakšgrupa veic šādus uzdevumus:

a)sagatavo ziņojumu ar galvenajiem izvērtējuma secinājumiem;

b)lūdz 6. panta 8. punktā minētās informācijas drošības komitejas atzinumu par šo ziņojumu;

c)nosūta ziņojumu apmeklētās Savienības iestādes vai struktūras drošības iestādei tālāko pasākumu veikšanai.

4.Ja ziņojumā ir ierosināti koriģējoši pasākumi vai sniegti ieteikumi, tiek organizēts vēl viens apmeklējums, lai pārbaudītu, vai šie pasākumi ir veikti vai ieteikumi ir ievēroti.

54. pants

Dalīšanās ar ESKI

1.Savienības iestāde vai struktūra var dalīties ar ESKI ar citu Savienības iestādi vai struktūru, ja ir izpildīti šādi nosacījumi:

a)ir pierādīts, ka dalīšanās ir vajadzīga;

b)attiecīgajā Savienības iestādē vai struktūrā ir veikts izvērtējuma apmeklējums saskaņā ar 53. pantu, kura rezultāts apliecina minētās Savienības iestādes vai struktūras spēju apstrādāt un glabāt konkrētu ESKI līmeni;

c)attiecīgās Savienības iestādes vai struktūras drošības iestāde nolemj, ka tā var dalīties ar informāciju, kas klasificēta līdz noteiktam līmenim, ar citām šādām sertificētām Savienības iestādēm un struktūrām.

2.Koordinācijas grupas sekretariāts izveido sarakstu ar ESKI līmeņiem, kurus var apstrādāt un glabāt katra Savienības iestāde un struktūra, kas atbilst 1. punkta b) un c) apakšpunkta nosacījumiem.  Tā regulāri atjauno minēto sarakstu. 

55. pants

Informācijas drošības nolīgumi

1.Ja klasificētas informācijas apmaiņa ar trešo valsti vai starptautisku organizāciju ir vajadzīga ilgtermiņā, kompetentā iestāde vai struktūra cenšas panākt vienošanos un noslēgt informācijas drošības nolīgumu saskaņā ar Līguma par Eiropas Savienības darbību 218. pantu.

2.Informācijas drošības nolīgumā paredz pamatprincipus un minimālos standartus, ar ko reglamentē klasificētas informācijas apmaiņu starp Savienību un trešo valsti vai starptautisku organizāciju.

3.Informācijas drošības nolīgumos nosaka arī tehniskos īstenošanas pasākumus, par kuriem jāvienojas attiecīgo Savienības iestāžu un struktūru kompetentajām drošības iestādēm un trešās valsts vai attiecīgās starptautiskās organizācijas kompetentajai drošības iestādei.

4.Pirms 3. punktā minētās tehniskās īstenošanas kārtības apstiprināšanas dalīšanās ar ESKI un klasificētas informācijas apmaiņas apakšgrupa veic izvērtējuma apmeklējumu saskaņā ar 57. pantu.

56. pants

Administratīvās vienošanās ar trešām valstīm un starptautiskām organizācijām

1.Ja to reglamentā vai dibināšanas aktos ir paredzēta šāda iespēja, Savienības iestādes un struktūras pēc tam, kad ir informējušas dalīšanās ar ESKI un klasificētas informācijas apmaiņas apakšgrupu, var noslēgt administratīvu vienošanos ar saviem partneriem trešā valstī vai starptautiskā organizācijā, ja ir izpildīti šādi nosacījumi:

a)attiecīgajai Savienības iestādei vai struktūrai ar partneri trešā valstī vai starptautiskā organizācijā ilgtermiņā jāapmainās ar informāciju, kuras klasifikācijas līmenis parasti nav augstāks par RESTREINT UE/EU RESTRICTED;

b)attiecīgā Savienības iestāde vai struktūra atbilst 54. panta 1. punktā izklāstītajiem nosacījumiem;

c)izvērtējuma apmeklējuma ziņojums, kas minēts 57. pantā, apliecina, ka attiecīgajam partnerim attiecīgajā trešā valstī vai starptautiskajā organizācijā ir spēja apstrādāt un glabāt konkrētu ESKI līmeni.

2.Pirms administratīvas vienošanās noslēgšanas veic izvērtējuma apmeklējumu saskaņā ar 57. pantā minētajiem principiem. Savienības iestāde vai struktūra, kas vēlas noslēgt administratīvu vienošanos, var lūgt dalīšanās ar ESKI apakšgrupu veikt izvērtējuma apmeklējumu tās vārdā vai piedalīties apmeklējumā. 

3.Savienības iestādes vai struktūras, kas vēlas noslēgt administratīvu vienošanos, drošības iestāde lemj par īpašiem nosacījumiem attiecībā uz apmaiņu, kā arī par maksimālo ESKI līmeni, ar kuru var apmainīties. Minētais līmenis nepārsniedz līmeni, kas noteikts ESKI apmaiņai ar citām Savienības iestādēm un struktūrām saskaņā ar 54. pantu, un attiecīgā gadījumā tam nevajadzētu būt augstākam par līmeni, kurš paredzēts informācijas drošības nolīgumā ar minēto trešo valsti vai starptautisko organizāciju.  

57. pants

Izvērtējuma apmeklējumi nolūkā veikt klasificētas informācijas apmaiņu ar trešām valstīm un starptautiskām organizācijām

1.Izvērtējuma apmeklējumu trešā valstī vai starptautiskā organizācijā veic, lai noteiktu, vai Savienības iestāde vai struktūra var apmainīties ar klasificētu informāciju ar attiecīgo trešo valsti vai starptautisko organizāciju.

2.Izvērtējuma apmeklējuma mērķis ir novērtēt drošības noteikumu un procedūru efektivitāti konkrētajā trešā valstī vai starptautiskajā organizācijā attiecībā uz ESKI aizsardzību konkrētā līmenī. Izvērtējuma apmeklējumu veic, savstarpēji vienojoties ar attiecīgo trešo valsti vai starptautisko organizāciju.

3.Izvērtējuma apmeklējumā analizē vismaz šādu informāciju:

a)tiesisko regulējumu, ko piemēro klasificētas informācijas aizsardzībai, un tā piemērotību ESKI aizsardzībai konkrētā līmenī;

b)drošības politikas īpašās iezīmes un drošības organizēšanas veidu trešā valstī vai starptautiskā organizācijā, kurš varētu ietekmēt tādas klasificētas informācijas līmeni, ar kuru var apmainīties;

c)spēkā esošos drošības pasākumus un procedūras; 

d)drošības pielaides procedūras attiecībā uz nododamās ESKI līmeni.

4.Informācijas drošības komiteja, kas minēta 6. panta 8. punktā, saņem ziņojumu par šādu apmeklējumu rezultātiem, pirms ESKI tiek faktiski nodota attiecīgajai trešai valstij vai starptautiskajai organizācijai. Attiecīgā gadījumā ziņojumu nosūta arī attiecīgajai Savienības iestādei vai struktūrai.

5.Attiecīgās Savienības iestādes vai struktūras drošības iestādes paziņo trešai valstij vai starptautiskai organizācijai dienu, ar kuru Savienība ir tiesīga dalīties ar ESKI, kā arī maksimālo ESKI līmeni, ar ko var apmainīties papīra formā vai elektroniski.

6.Papildu apmeklējumus organizē šādos gadījumos:

a)ir nepieciešams paaugstināt tās ESKI līmenis, ar kuru var apmainīties;

b)attiecīgajai Savienības iestādei vai struktūrai ir paziņots par būtiskām izmaiņām trešās valsts vai starptautiskās organizācijas drošības pasākumos, kas varētu ietekmēt ESKI aizsardzību; 

c)ir noticis nopietns informācijas drošības incidents, kas saistīts ar neatļautu ESKI izpaušanu.  

58. pants

ESKI ārkārtas ad hoc nodošana

1.Ja nav noslēgts informācijas drošības nolīgums vai administratīva vienošanās, bet Savienības iestāde vai struktūra konstatē, ka ir ārkārtēja vajadzība nodot ESKI citai Savienības iestādei vai struktūrai vai trešai valstij vai starptautiskai organizācijai, vai

ja ir noslēgts informācijas drošības nolīgums vai administratīva vienošanās un Savienības iestāde vai struktūra konstatē, ka ir ārkārtēja vajadzība nodot ESKI augstākā līmenī, nekā jau paredzēts nolīgumā vai vienošanās, Savienības iestāde vai struktūra, kas nodod ESKI, veic šādus pasākumus:

a)ciktāl iespējams, trešās valsts, starptautiskās organizācijas vai saņēmējas Savienības iestādes vai struktūras drošības iestādēs pārbauda, vai to drošības noteikumi, sistēmas un procedūras var nodrošināt tādas ESKI aizsardzību, kas nodota atbilstīgi standartiem, kuri nav mazāk stingri par šajā regulā noteiktajiem standartiem;

b)lūdz 6. panta 8. punktā minētās informācijas drošības komitejas atzinumu, pamatojoties uz pārbaudi, kas veikta saskaņā ar a) apakšpunktu, ja vien operatīvo apstākļu dēļ nav vajadzīga tūlītēja ad hoc nodošana; tādā gadījumā informācijas drošības komiteju par to informē pēc tam.

2.Uz visiem dokumentiem, kas tiek nodoti saskaņā ar šo pantu, ir nodošanas marķējums, kurā norādīta trešā valsts, starptautiskā organizācija vai Savienības iestāde vai struktūra, kurai informācija nodota.

3.Pirms faktiskās nodošanas vai tās brīdī Savienības iestāde vai struktūra, kas sniedz ESKI, lūdz saņēmējai pusei rakstiski apliecināt, ka tā aizsargās saņemto ESKI.  Attiecīgā gadījumā tai pieprasa apņemties aizsargāt ESKI saskaņā ar šajā regulā izklāstītajiem pamatprincipiem un minimālajiem standartiem.

6. nodaļa
Nobeiguma noteikumi

59. pants

Īstenošana

1.Koordinācijas grupa izstrādā informācijas drošības norādes šīs regulas īstenošanai.

2.Savienības iestādes un struktūras, pamatojoties uz savām specifiskajām vajadzībām, var pieņemt iekšējus noteikumus šīs regulas īstenošanai saskaņā ar 8. panta 2. punktu.

60. pants

Pārejas noteikumi

1.Iekšējos noteikumus par informācijas drošību, ko atsevišķas Savienības iestādes vai struktūras pieņēmušas pirms [dd/mm/gggg piemērošanas dienas], pārskata vēlākais līdz [3 gadi pēc šīs regulas stāšanās spēkā].

2.Uzskata, ka visas Savienības iestādes un struktūras, ko Komisija, Padome vai EĀDD pirms [dd/mm/gggg piemērošanas dienas] ir novērtējušas kā piemērotas ESKI apstrādei un glabāšanai, atbilst 19. panta 1. punktā minētajiem nosacījumiem.

3.Visas administratīvās vienošanās, ko Savienības iestādes un struktūras noslēgušas ar trešām valstīm un starptautiskām organizācijām līdz [dd/mm/gggg piemērošanas dienai], paliek spēkā.

4.Ja dalībvalstis, kuru teritorijā Komisijas dotāciju nolīguma labuma guvēji saskaņā ar Eiropas aizsardzības rūpniecības attīstības programmu ir nolēmuši izveidot īpašu drošības sistēmu tādas valsts klasificētas informācijas aizsardzībai un apstrādei, kas saistīta ar attiecīgo dotācijas nolīgumu, Komisija, piemērojot šajā regulā paredzētās industriālās drošības procedūras, ievēros šo drošības regulējumu līdz dotācijas nolīguma darbības cikla beigām.

61. pants

Uzraudzība un novērtēšana

1.Vēlākais līdz [dd/mm/gggg 3 gadus pēc piemērošanas dienas] Komisija iesniedz Eiropas Parlamentam un Padomei ziņojumu par šīs regulas īstenošanu.

2.Ne ātrāk kā [5 gadus pēc piemērošanas dienas] un pēc tam ik pēc pieciem gadiem Komisija veic novērtējumu par šo regulu un iesniedz ziņojumu par galvenajiem konstatējumiem Eiropas Parlamentam un Padomei.

62. pants

Stāšanās spēkā un piemērošana

1.Šī regula stājas spēkā divdesmitajā dienā pēc tās publicēšanas Eiropas Savienības Oficiālajā Vēstnesī.

2.To piemēro no [datums: tā mēneša pirmā diena, kas seko divu gadu periodam pēc spēkā stāšanās dienas].

Šī regula uzliek saistības kopumā un ir tieši piemērojama visās dalībvalstīs.

Briselē,

TIESĪBU AKTA PRIEKŠLIKUMA FINANŠU PĀRSKATS

1.PRIEKŠLIKUMA/INICIATĪVAS KONTEKSTS

1.1.Priekšlikuma/iniciatīvas nosaukums

1.2.Attiecīgā rīcībpolitikas joma

1.3.Priekšlikums/iniciatīva attiecas uz:

1.4.Mērķi

1.4.1.Vispārīgie mērķi

1.4.2.Konkrētie mērķi

1.4.3.Paredzamie rezultāti un ietekme

1.4.4.Snieguma rādītāji

1.5.Priekšlikuma/iniciatīvas pamatojums

1.5.1.Īstermiņā vai ilgtermiņā izpildāmās vajadzības, tostarp sīki izstrādāts iniciatīvas izvēršanas grafiks

1.5.2.Savienības iesaistīšanās pievienotā vērtība (tās pamatā var būt dažādi faktori, piemēram, koordinēšanas radītie ieguvumi, juridiskā noteiktība, lielāka rezultativitāte vai komplementaritāte). Šā punkta izpratnē “Savienības iesaistīšanās pievienotā vērtība” ir vērtība, kas veidojas Savienības iesaistīšanās rezultātā un kas papildina vērtību, kura veidotos, ja dalībvalstis rīkotos atsevišķi.

1.5.3.Līdzīgas līdzšinējās pieredzes rezultātā gūtās atziņas

1.5.4.Saderība ar daudzgadu finanšu shēmu un iespējamā sinerģija ar citiem atbilstošiem instrumentiem

1.5.5.Dažādo pieejamo finansēšanas iespēju, tostarp pārdales iespējas, novērtējums

1.6.Priekšlikuma/iniciatīvas ilgums un finansiālā ietekme

1.7.Paredzētie pārvaldības veidi

2.PĀRVALDĪBAS PASĀKUMI

2.1.Uzraudzības un ziņošanas noteikumi

2.2.Pārvaldības un kontroles sistēma

2.2.1.Ierosināto pārvaldības veidu, finansējuma apgūšanas mehānismu, maksāšanas kārtības un kontroles stratēģijas pamatojums

2.2.2.Informācija par apzinātajiem riskiem un risku mazināšanai izveidoto iekšējās kontroles sistēmu

2.2.3.Kontroles izmaksefektivitātes (kontroles izmaksu attiecība pret attiecīgo pārvaldīto līdzekļu vērtību) aplēse un pamatojums un gaidāmā kļūdu riska līmeņa novērtējums (maksājumu izdarīšanas brīdī un slēgšanas brīdī)

2.3.Krāpšanas un pārkāpumu novēršanas pasākumi

3.PRIEKŠLIKUMA/INICIATĪVAS APLĒSTĀ FINANSIĀLĀ IETEKME

3.1.Attiecīgās daudzgadu finanšu shēmas izdevumu kategorijas un budžeta izdevumu pozīcijas

3.2.Priekšlikuma aplēstā finansiālā ietekme uz apropriācijām

3.2.1.Kopsavilkums par aplēsto ietekmi uz darbības apropriācijām

3.2.2.Aplēstais iznākums, ko dos finansējums no darbības apropriācijām

3.2.3.Kopsavilkums par aplēsto ietekmi uz administratīvajām apropriācijām

3.2.4.Saderība ar pašreizējo daudzgadu finanšu shēmu

3.2.5.Trešo personu iemaksas

3.3.Aplēstā ietekme uz ieņēmumiem

TIESĪBU AKTA PRIEKŠLIKUMA FINANŠU PĀRSKATS

1.PRIEKŠLIKUMA/INICIATĪVAS KONTEKSTS 

1.1.Priekšlikuma/iniciatīvas nosaukums

1.2.Attiecīgā rīcībpolitikas joma 

1.3.Priekšlikums/iniciatīva attiecas uz: 

jaunu darbību 

◻ jaunu darbību, pamatojoties uz izmēģinājuma projektu/sagatavošanas darbību 32  

◻ esošas darbības pagarināšanu 

◻ vienas vai vairāku darbību apvienošanu vai pārorientēšanu uz citu/jaunu darbību 

1.4.Mērķi

1.4.1.Vispārīgie mērķi

1.4.2.Konkrētie mērķi

1.4.3.Paredzamie rezultāti un ietekme

Norādīt, kāda ir priekšlikuma/iniciatīvas iecerētā ietekme uz labuma guvējiem/mērķgrupām.

–Iekšējo noteikumu un procedūru pārskatīšana, lai pielāgotos regulai.

–Visas saskaņā ar regulā paredzēto shēmu apstrādātās informācijas kategorizācija.

–To sakaru un informācijas sistēmas atbilstības regulā noteiktajām prasībām nodrošināšana.

–Dalība Iestāžu informācijas drošības koordinācijas grupā (“Koordinācijas grupa”).

1.4.4.Snieguma rādītāji

Norādīt, pēc kādiem rādītājiem seko līdzi progresam un sasniegumiem.

–Atbilstošu vadlīniju pieņemšana

–Jaunu marķējumu ieviešana

–Atjauninātu apstrādes instrukciju publicēšana attiecībā uz visām informācijas kategorijām

–Kopīgu sistēmu ieviešana sensitīvas neklasificētas informācijas un ESKI apstrādei

–Sniegto/īstenoto ieteikumu skaits

–Informācijas noplūžu skaits iestādēs un struktūrās

–Statistika par centralizētiem iepirkumiem pretstatā vietējiem iepirkumiem

–Pārbaudes ziņojumi

–Informācijas drošības koordinācijas grupas sekretariāta izskatīto jautājumu skaits

–Apmācāmo lietotāju skaits

–Darbinieku informētības līmenis par informācijas drošības noteikumiem

–To darbinieku procentuālā daļa, kuri spēj strādāt ar drošu tāldarba aprīkojumu

1.5.Priekšlikuma/iniciatīvas pamatojums 

1.5.1.Īstermiņā vai ilgtermiņā izpildāmās vajadzības, tostarp sīki izstrādāts iniciatīvas izvēršanas grafiks

–2022./2023. g.: regulas pieņemšana, tās stāšanās spēkā

–2024./2025. g.: visas Savienības iestādes un struktūras pārskata savus iekšējos noteikumus par informācijas drošību, lai tos pielāgotu regulai

–2025. g.: koordinācijas grupas un tās sekretariāta, kā arī tehnisko apakšgrupu izveides organizatoriskais darbs

–2024./2025. g.: regulas piemērošanas sākums

–2025./2026. g.: koordinācijas grupas un tehnisko apakšgrupu reglamenta pieņemšana

–2026.–2028. g.: darbs pie norāžu dokumentiem kā atbalsts regulas īstenošanai, paraugprakses apmaiņa starp iestādēm un struktūrām

–2029./2030. g.: regulas pirmā novērtējuma sagatavošana (ik pēc pieciem gadiem no piemērošanas dienas)

–2030. g.: regulas pirmā novērtēšana

1.5.2.Savienības iesaistīšanās pievienotā vērtība (tās pamatā var būt dažādi faktori, piemēram, koordinēšanas radītie ieguvumi, juridiskā noteiktība, lielāka rezultativitāte vai komplementaritāte). Šā punkta izpratnē “Savienības iesaistīšanās pievienotā vērtība” ir vērtība, kas veidojas Savienības iesaistīšanās rezultātā un kas papildina vērtību, kura veidotos, ja dalībvalstis rīkotos atsevišķi.

1.5.3.Līdzīgas līdzšinējās pieredzes rezultātā gūtās atziņas

1.5.4.Saderība ar daudzgadu finanšu shēmu un iespējamā sinerģija ar citiem atbilstošiem instrumentiem

1.5.5.Dažādo pieejamo finansēšanas iespēju, tostarp pārdales iespējas, novērtējums

1.6.Priekšlikuma/iniciatīvas ilgums un finansiālā ietekme

◻ ierobežots ilgums

–◻    Priekšlikuma/iniciatīvas darbības laiks: [DD.MM.]GGGG.–[DD.MM.]GGGG.

–◻    Finansiālā ietekme uz saistību apropriācijām – no GGGG. līdz GGGG. gadam, uz maksājumu apropriācijām – no GGGG. līdz GGGG. gadam.

– Beztermiņa

1.7.Paredzētie pārvaldības veidi 33   

  Tieša pārvaldība, ko īsteno Komisija un katra Savienības iestāde un struktūra

–    ko veic tās struktūrvienības, tostarp personāls Savienības delegācijās

–◻    ko veic izpildaģentūras

◻ Dalīta pārvaldība kopā ar dalībvalstīm

◻ Netieša pārvaldība, kurā budžeta izpildes uzdevumi uzticēti:

–◻ trešām valstīm vai to izraudzītām struktūrām;

–◻ starptautiskām organizācijām un to aģentūrām (precizēt);

–◻ EIB un Eiropas Investīciju fondam;

–◻ Finanšu regulas 70. un 71. pantā minētajām struktūrām;

–◻ publisko tiesību subjektiem;

–◻ privāttiesību subjektiem, kas veic sabiedrisko pakalpojumu sniedzēju uzdevumus, tādā mērā, kādā tiem ir pienācīgas finanšu garantijas;

–◻ dalībvalstu privāttiesību subjektiem, kuriem ir uzticēta publiskā un privātā sektora partnerības īstenošana un kuriem ir sniegtas pienācīgas finanšu garantijas;

–◻ personām, kurām, ievērojot Līguma par Eiropas Savienību V sadaļu, uzticēts īstenot konkrētas KĀDP darbības un kuras ir noteiktas attiecīgajā pamataktā.

–Ja norādīti vairāki pārvaldības veidi, sniedziet papildu informāciju iedaļā “Piezīmes”.

Piezīmes

2.PĀRVALDĪBAS PASĀKUMI 

2.1.Uzraudzības un ziņošanas noteikumi 

Norādīt biežumu un nosacījumus.

2.2.Pārvaldības un kontroles sistēma 

2.2.1.Ierosināto pārvaldības veidu, finansējuma apgūšanas mehānismu, maksāšanas kārtības un kontroles stratēģijas pamatojums

2.2.2.Informācija par apzinātajiem riskiem un risku mazināšanai izveidoto iekšējās kontroles sistēmu

2.2.3.Kontroles izmaksefektivitātes (kontroles izmaksu attiecība pret attiecīgo pārvaldīto līdzekļu vērtību) aplēse un pamatojums un gaidāmā kļūdu riska līmeņa novērtējums (maksājumu izdarīšanas brīdī un slēgšanas brīdī) 

2.3.Krāpšanas un pārkāpumu novēršanas pasākumi 

Norādīt esošos vai plānotos novēršanas pasākumus un citus pretpasākumus, piemēram, krāpšanas apkarošanas stratēģijā iekļautos pasākumus.

3.PRIEKŠLIKUMA/INICIATĪVAS APLĒSTĀ FINANSIĀLĀ IETEKME 

3.1.Attiecīgās daudzgadu finanšu shēmas izdevumu kategorijas un budžeta izdevumu pozīcijas 

·Esošās budžeta pozīcijas

Sarindotas pa daudzgadu finanšu shēmas izdevumu kategorijām un budžeta pozīcijām

·Jaunveidojamās budžeta pozīcijas

Sarindotas pa daudzgadu finanšu shēmas izdevumu kategorijām un budžeta pozīcijām

3.2.Priekšlikuma aplēstā finansiālā ietekme uz apropriācijām 

3.2.1.Kopsavilkums par aplēsto ietekmi uz darbības apropriācijām 

–    Priekšlikumam/iniciatīvai nav vajadzīgas darbības apropriācijas

–        Priekšlikumam/iniciatīvai ir vajadzīgas šādas darbības apropriācijas:

miljonos EUR (trīs zīmes aiz komata)

Ja priekšlikums/iniciatīva ietekmē vairāk nekā vienu darbības izdevumu kategoriju, atkārtot iepriekš minēto iedaļu:

Šī iedaļa būtu jāaizpilda, izmantojot administratīva rakstura budžeta datu izklājlapu, kas vispirms jānoformē tiesību akta finanšu pārskata pielikumā (iekšējo noteikumu V pielikums), kurš starpdienestu konsultāciju vajadzībām tiek augšupielādēts sistēmā DECIDE.

miljonos EUR (trīs zīmes aiz komata)

EUR (trīs zīmes aiz komata)

3.2.2.Aplēstais iznākums, ko dos finansējums no darbības apropriācijām 

Saistību apropriācijas miljonos EUR (trīs zīmes aiz komata)

3.2.3.Kopsavilkums par aplēsto ietekmi uz administratīvajām apropriācijām 

–◻    Priekšlikumam/iniciatīvai nav vajadzīgas administratīvās apropriācijas

–Priekšlikumam/iniciatīvai ir vajadzīgas šādas administratīvās apropriācijas:

miljonos EUR (trīs zīmes aiz komata)

Vajadzīgās cilvēkresursu un citu administratīvu izdevumu apropriācijas tiks nodrošinātas no ĢD apropriācijām, kas jau ir piešķirtas darbības pārvaldībai un/vai ir pārdalītas attiecīgajā ĢD, vajadzības gadījumā izmantojot arī vadošajam ĢD gada budžeta sadales procedūrā piešķirtus papildu resursus un ņemot vērā budžeta ierobežojumus.

3.2.3.1.Aplēstās cilvēkresursu vajadzības

–◻    Priekšlikumam/iniciatīvai nav vajadzīgi cilvēkresursi

–Priekšlikumam/iniciatīvai ir vajadzīgi šādi cilvēkresursi:

Aplēse izsakāma ar pilnslodzes ekvivalentu

XX ir attiecīgā politikas joma vai budžeta sadaļa.

Nepieciešamie cilvēkresursi tiks nodrošināti, izmantojot attiecīgā ĢD darbiniekus, kuri jau ir iesaistīti konkrētās darbības pārvaldībā un/vai ir pārgrupēti attiecīgajā ĢD, vajadzības gadījumā izmantojot arī vadošajam ĢD gada budžeta sadales procedūrā piešķirtos papildu resursus un ņemot vērā budžeta ierobežojumus.

Veicamo uzdevumu apraksts

3.2.4.Saderība ar pašreizējo daudzgadu finanšu shēmu 

Priekšlikumam/iniciatīvai:

–pilnībā pietiek ar līdzekļu pārvietošanu daudzgadu finanšu shēmas (DFS) attiecīgajā izdevumu kategorijā

–◻    jāizmanto no DFS attiecīgās izdevumu kategorijas nepiešķirtās rezerves un/vai īpašie instrumenti, kas noteikti DFS regulā.

–◻    jāpārskata DFS.

3.2.5.Trešo personu iemaksas 

Priekšlikumam/iniciatīvai:

–    neparedz trešo personu līdzfinansējumu

–◻    paredz trešo personu sniegtu līdzfinansējumu atbilstoši šādai aplēsei:

Apropriācijas miljonos EUR (trīs zīmes aiz komata)

 
Piezīme: priekšlikums pastiprinās pašreizējo sadarbību informācijas drošības jomā, izmantojot pakalpojumu līmeņa vienošanās.

3.3.Aplēstā ietekme uz ieņēmumiem 

–Priekšlikums/iniciatīva finansiāli neietekmē ieņēmumus.

–◻    Priekšlikums/iniciatīva finansiāli ietekmē:

pašu resursus

citus ieņēmumus

Atzīmējiet, ja ieņēmumi ir piešķirti izdevumu pozīcijām

miljonos EUR (trīs zīmes aiz komata)

Attiecībā uz piešķirtajiem ieņēmumiem norādīt attiecīgās budžeta izdevumu pozīcijas.

Citas piezīmes (piemēram, metode/formula, ko izmanto, lai aprēķinātu ietekmi uz ieņēmumiem, vai jebkura cita informācija).

(1)    Paziņojums par ES Drošības savienības stratēģiju, COM(2020) 605, (2020. gada 24. jūlijs) (stratēģiskā prioritāte “Nākotnes prasībām atbilstoša drošības vide”).

(2)    EUCO 9/19.

(3)    14972/19.

(4)    WK 10563/2018 INIT, 9. iedaļa.

(5)    Eiropas Parlamenta un Padomes Direktīva (ES) 2016/1148 (2016. gada 6. jūlijs) par pasākumiem nolūkā panākt vienādi augsta līmeņa tīklu un informācijas sistēmu drošību visā Savienībā (OV L 194/1).

(6)    C(2020)605.

(7)    ES kiberdrošības stratēģija digitālajai desmitgadei Eiropas digitālās nākotnes veidošana (europa.eu), kopīgs paziņojums ar Savienības Augsto pārstāvi ārlietās un drošības politikas jautājumos (JOIN(2020)18), kā arī pārskatītā Tīklu un informācijas drošības (TID) direktīva (COM(2020)823).

(8)    Eiropas Parlamenta un Padomes Regula (ES) 2018/1725 (2018. gada 23. oktobris) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās un par šādu datu brīvu apriti un ar ko atceļ Regulu (EK) Nr. 45/2001 un Lēmumu Nr. 1247/2002/EK (OV L 295, 21.11.2018., 39. lpp.).

(9)    Eiropas Parlamenta un Padomes Regula (EK) Nr. 1049/2001 (2001. gada 30. maijs) par publisku piekļuvi Eiropas Parlamenta, Padomes un Komisijas dokumentiem (OV L 145, 31.5.2001., 43. lpp.).

(10)    Eiropas Savienības Pamattiesību harta, OV C 326, 26.10.2012., 391. lpp.

(11)    Eiropas Savienības Pamattiesību hartas 41. pants.

(12)    Eiropas Savienības Pamattiesību hartas 8. pants.

(13)    Eiropas Savienības Pamattiesību hartas 42. pants.

(14)    Eiropas Savienības Pamattiesību hartas 17. pants.

(15)    Eiropas Parlamenta un Padomes Direktīva 2001/29/EK (2001. gada 22. maijs) par dažu autortiesību un blakustiesību aspektu saskaņošanu informācijas sabiedrībā (OV L 167, 22.6.2001., 10. lpp.).

(16)    Eiropas Savienības Pamattiesību hartas 11. pants.

(17)    Regula (Euratom) Nr. 3/1958 par Eiropas Atomenerģijas kopienas dibināšanas līguma 24. panta piemērošanu (OV 17, 6.10.1958, 406. lpp.).

(18)    OV 45, 14.6.1962., 1385. lpp.

(19)    Eiropas Parlamenta un Padomes Regula (EK) Nr. 1049/2001 (2001. gada 30. maijs) par publisku piekļuvi Eiropas Parlamenta, Padomes un Komisijas dokumentiem (OV L 145, 31.5.2001., 43. lpp.).

(20)    Eiropas Parlamenta un Padomes Regula (ES) 2018/1725 (2018. gada 23. oktobris) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās un par šādu datu brīvu apriti un ar ko atceļ Regulu (EK) Nr. 45/2001 un Lēmumu Nr. 1247/2002/EK (OV L 295, 21.11.2018., 39. lpp.).

(21)    Padomes Regula (EEK, Euratom) Nr. 354/83 (1983. gada 1. februāris) par Eiropas Ekonomikas kopienas un Eiropas Atomenerģijas kopienas vēsturisko arhīva materiālu nodošanu atklātībai un secīgie grozījumi tajā (OV L 43, 15.2.1983., 1. lpp.).

(22)    Eiropas Parlamenta un Padomes Regula (ES, Euratom) 2018/1046 (2018. gada 18. jūlijs) par finanšu noteikumiem, ko piemēro Savienības vispārējam budžetam, ar kuru groza Regulas (ES) Nr. 1296/2013, (ES) Nr. 1301/2013, (ES) Nr. 1303/2013, (ES) Nr. 1304/2013, (ES) Nr. 1309/2013, (ES) Nr. 1316/2013, (ES) Nr. 223/2014, (ES) Nr. 283/2014 un Lēmumu Nr. 541/2014/ES un atceļ Regulu (ES, Euratom) Nr. 966/2012 (OV L 193, 30.7.2018., 1. lpp.).

(23)    Eiropas Parlamenta un Padomes Regula (ES) 2021/697 (2021. gada 29. aprīlis), ar ko izveido Eiropas Aizsardzības fondu un atceļ Regulu (ES) 2018/1092 (OV L 170, 12.5.2021., 149. lpp.).

(24)    Eiropas Parlamenta un Padomes Regula [...], ar ko paredz pasākumus nolūkā panākt vienādi augsta līmeņa kiberdrošību Savienības iestādēs, struktūrās, birojos un aģentūrās (tiks pieņemta).

(25)    EAEK Padome: Regula Nr. 3 par Eiropas Atomenerģijas kopienas dibināšanas līguma 24. panta piemērošanu (OV 17, 6.10.1958, 406. lpp.).

(26)    Iestāžu nolīgums starp Eiropas Parlamentu, Eiropas Savienības Padomi un Eiropas Komisiju par labāku likumdošanas procesu (OV L 123, 12.5.2016., 1. lpp.).

(27)    Eiropas Parlamenta un Padomes Regula (ES) 2018/1725 (2018. gada 23. oktobris) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās un par šādu datu brīvu apriti un ar ko atceļ Regulu (EK) Nr. 45/2001 un Lēmumu Nr. 1247/2002/EK (OV L 295, 21.11.2018.).

(28)    Eiropas Parlamenta un Padomes Regula (ES) 2019/881 (2019. gada 17. aprīlis) par ENISA (Eiropas Savienības Kiberdrošības aģentūra) un par informācijas un komunikācijas tehnoloģiju kiberdrošības sertifikāciju, un ar ko atceļ Regulu (ES) Nr. 526/2013 (Kiberdrošības akts) (OV L 151, 7.6.2019., 15. lpp.).

(29)    OV C 202, 8.7.2011., 13. lpp.

(30)    Eiropas Parlamenta un Padomes Regula (ES, Euratom) 2018/1046.

(31)    Turpat.

(32)    Kā paredzēts Finanšu regulas 58. panta 2. punkta a) vai b) apakšpunktā.

(33)    Sīkāku informāciju par pārvaldības veidiem un atsauces uz Finanšu regulu sk. BudgWeb tīmekļa vietnē: https://myintracomm.ec.europa.eu/budgweb/EN/man/budgmanag/Pages/budgmanag.aspx  

(34)    Dif. = diferencētās apropriācijas, nedif. = nediferencētās apropriācijas.

(35)    EBTA – Eiropas Brīvās tirdzniecības asociācija.

(36)    Kandidātvalstis un attiecīgā gadījumā potenciālās kandidātvalstis no Rietumbalkāniem.

(37)    N gads ir gads, kurā priekšlikumu/iniciatīvu sāk īstenot. Aizstājiet “N” ar paredzēto pirmo īstenošanas gadu (piemēram, 2021.) Tas pats attiecas uz turpmākajiem gadiem.

(38)    Saskaņā ar oficiālo budžeta nomenklatūru.

(39)    Tehniskais un/vai administratīvais atbalsts un ES programmu un/vai darbību īstenošanas atbalsta izdevumi (kādreizējās BA pozīcijas), netiešā pētniecība, tiešā pētniecība.

(40)    Iznākumi ir attiecīgie produkti vai pakalpojumi (piemēram, finansēto studentu apmaiņu skaits, uzbūvēto ceļu garums kilometros utt.).

(41)    Kā aprakstīts 1.4.2. punktā “Konkrētie mērķi”.

(42)    Tehniskais un/vai administratīvais atbalsts un ES programmu un/vai darbību īstenošanas atbalsta izdevumi (kādreizējās BA pozīcijas), netiešā pētniecība, tiešā pētniecība.

(43)    Ārštata darbiniekiem paredzēto maksimālo summu finansē no darbības apropriācijām (kādreizējām BA pozīcijām).

(44)    N gads ir gads, kurā priekšlikumu/iniciatīvu sāk īstenot. Aizstājiet “N” ar paredzēto pirmo īstenošanas gadu (piemēram, 2021.) Tas pats attiecas uz turpmākajiem gadiem.

(45)    Norādītajām tradicionālo pašu resursu (muitas nodokļi, cukura nodevas) summām jābūt neto summām, t. i., bruto summām, no kurām atskaitītas iekasēšanas izmaksas 20 % apmērā.

EIROPAS KOMISIJA

Briselē, 22.3.2022

COM(2022) 119 final

PIELIKUMS

dokumentam

Priekšlikums EIROPAS PARLAMENTA UN PADOMES REGULAI

par informācijas drošību Savienības iestādēs, struktūrās, birojos un aģentūrās

{SWD(2022) 65 final} - {SWD(2022) 66 final}

I PIELIKUMS […]

Aizsardzības pasākumi, rīkojoties ar sensitīvu neklasificētu informāciju

Sensitīvas neklasificētas informācijas marķēšana un apstrāde

1.Dokumenti, kas satur sensitīvu neklasificētu informāciju, jāmarķē, izmantojot drošības marķējumu un attiecīgā gadījumā vienu vai vairākus izplatīšanas marķējumu vai marķējumus, pēc vajadzības norādot mērķauditoriju. Standarta drošības marķējums ir vārds “SENSITIVE” lielajiem burtiem, izņemot 15. panta 2. punktā minētos gadījumus.

2.Dokumentiem, kas satur sensitīvu neklasificētu informāciju, jābūt pieejamiem tikai saņēmējiem, kuriem ir nepieciešamība zināt oficiālām vajadzībām. Ja tiek izmantoti izplatīšanas marķējumi, no Savienības iestādes vai struktūras, kas ir dokumenta autors, ir jāsaņem atļauja dokumentu izplatīt plašāk.

3.Visām personām, kas apstrādā sensitīvu neklasificētu informāciju, ir jāsaņem apstrādes instrukcijas.

4.Dokumentus ar marķējumu SENSITIVE pazemina līdz EU NORMAL vai PUBLIC USE līmenim, noņemot vai izsvītrojot marķējumus.

5.Ja Savienības iestādes un struktūras iznīcina dokumentus, kas satur sensitīvu neklasificētu informāciju, tas jādara tā, lai tos nevarētu viegli atjaunot.  Papīra eksemplāri ir jāsasmalcina, bet elektroniskie eksemplāri droši jāpārraksta, fiziski jāiznīcina vai citādi jāpadara neatgūstami.

Sensitīvas neklasificētas informācijas aizsardzība, strādājot ārpus Savienības iestāžu un struktūru telpām 

6.Sensitīva neklasificēta informācija ir jāaizsargā pret noklausīšanos un novērošanu tāldarba laikā un komandējumos ārpus biroja, un to nedrīkst apstrādāt vai glabāt publiski.

7.Dokumenti, kas satur sensitīvu neklasificētu informāciju, ir jāapstrādā tikai ar iekārtām vai lietojumprogrammām, kas ir pienācīgi nodrošinātas Savienības iestāžu un struktūru atbildībā.

8.Savienības iestādēm un struktūrām ir jānodrošina līdzekļi, lai nepieļautu, ka nepiederošas personas, t. sk. radinieki, piekļūst sensitīvai neklasificētai informācijai, kuru apstrādā vai glabā Savienības iestādes vai struktūras aprīkojumā, ko izmanto, strādājot ārpus darba vietas.

9.Savienības iestādēm un struktūrām jāuzdod saviem darbiniekiem:

a)aizsargāt Savienības iestāžu vai struktūru aprīkojumu, kurā apstrādā sensitīvu neklasificētu informāciju, no zādzības, nozaudēšanas un bojājuma un nekavējoties ziņot par jebkādiem drošību apdraudošiem notikumiem, kas ietekmē to ierīces vai tajās esošo informāciju;

b)neļaut nepiederošām personām lietot savas ierīces;

c)neizmantot aprīkojumu ar darbu nesaistītām darbībām.

10.Savienības iestādēm un struktūrām ir jānodrošina, ka sensitīvu neklasificētu dokumentu apstrādei un glabāšanai elektroniskā formātā ārpus to telpām pēc iespējas tiek izmantotas to iekārtas vai pienācīgi drošas lietojumprogrammas. No sensitīvu neklasificētu dokumentu papīra eksemplāru apstrādes ārpus biroja ir jāizvairās.

11.Ja tiek izmantoti telekonferenču vai videokonferenču rīki, Savienības iestādēm un struktūrām līdz minimumam jāsamazina risks, ka nepiederošas personas varētu redzēt vai dzirdēt diskusijas, pienācīgi autentificējot dalībniekus un izmantojot šifrētu sakaru rīkus, kas atbilst principam “nepieciešamība zināt”.

12.Visiem darbiniekiem, kas strādā attālināti, Savienības iestādes un struktūras nodrošina apmācību par sensitīvas neklasificētas informācijas apstrādi, strādājot ārpus biroja.

Dalīšanās ar sensitīvu neklasificētu informāciju

13.Ar dokumentiem, kas satur sensitīvu neklasificētu informāciju, Savienības iestādes un struktūras var savstarpēji dalīties bez papildu formalitātēm.

14.Savienības iestādes un struktūras drīkst dalīties ar dokumentiem, kas satur sensitīvu neklasificētu informāciju, ārpus visām Savienības iestādēm un struktūrām, tikai pamatojoties uz saistībām, kas pusēm uzliek par pienākumu ievērot apstrādes instrukcijas.

15.Savienības iestādēm un struktūrām ir jāinformē sensitīvas neklasificētas informācijas saņēmēji par pienākumu nedalīties ar šo informāciju ar personām ārpus izplatīšanas marķējumā norādītās auditorijas, ja vien informācijas autors to nav atļāvis.

16.Savienības iestādēm un struktūrām ir jāaizsargā sensitīva neklasificēta informācija, kas tiek sniegta vai ar ko dalās elektroniski, izmantojot atbilstošus drošības pasākumus, t. sk. šifrēšanu pārsūtot ar piemērotiem kriptogrāfijas mehānismiem.