SAVIENĪBAS AUGSTĀ PĀRSTĀVJA ĀRLIETĀS UN DROŠĪBAS POLITIKAS JAUTĀJUMOS LĒMUMS

SAVIENĪBAS AUGSTAIS PĀRSTĀVIS ĀRLIETĀS UN DROŠĪBAS POLITIKAS JAUTĀJUMOS,

ņemot vērā Padomes 2010. gada 26. jūlija Lēmumu 2010/427/ES, ar ko nosaka Eiropas Ārējās darbības dienesta (EĀDD) organizatorisko struktūru un darbību (1),

ņemot vērā Augstā pārstāvja 2011. gada 15. jūnija Lēmuma par Eiropas Ārējās darbības dienesta drošības noteikumiem (2) 9. panta 6. punktā minētās komitejas atzinumu,

ņemot vērā Padomes 2010. gada 26. jūlija Lēmuma 2010/427/ES, ar ko nosaka EĀDD organizatorisko struktūru un darbību, 10. panta 1. punktā minētās komitejas atzinumu,

Šajā lēmumā paredzēti Eiropas Ārējās darbības dienesta drošības noteikumi (turpmāk “EĀDD drošības noteikumi”).

Saskaņā ar Padomes 2010. gada 26. jūlija Lēmuma 2010/427/ES, ar ko nosaka Eiropas Ārējās darbības dienesta organizatorisko struktūru un darbību, 10. panta 1. punktu noteikumus piemēro EĀDD darbiniekiem un visiem Savienības delegāciju darbiniekiem neatkarīgi no to administratīvā statusa vai iestādes, kurā tie sākotnēji strādāja, un ar šiem noteikumiem izveido vispārīgu regulējumu šā lēmuma 2. pantā minēto EĀDD pakļauto darbinieku, EĀDD telpu, materiālo līdzekļu, informācijas un apmeklētāju risku efektīvai pārvaldībai.

Pārējās definīcijas ir sniegtas attiecīgajos pielikumos un A papildinājumā.

1. EĀDD drošības noteikumu mērķis ir nodrošināt EĀDD pienākumu izpildi attiecībā uz pienācīgu rūpību.

2. EĀDD pienākumi attiecībā uz pienācīgu rūpību ietver pietiekamu izpēti, veicot pamatotas darbības drošības pasākumu īstenošanai, lai novērstu saprātīgi paredzamu kaitējumu EĀDD drošības interesēm.

Tie ietver gan drošības, gan aizsargātības aspektus, tostarp tādus, kuru cēlonis ir jebkāda veida ārkārtas situācijas vai krīzes.

3. Ņemot vērā dalībvalstu, ES iestāžu vai struktūru un citu pušu, kam ir darbinieki Savienības delegācijās un/vai Savienības delegāciju telpās, pienākumus attiecībā uz pienācīgu rūpību vai šādus EĀDD pienākumus gadījumos, kad minēto citu pušu telpās uzņem Savienības delegācijas, EĀDD ar katru iepriekš minēto struktūru noslēdz administratīvu vienošanos, kurā ir noteiktas attiecīgās funkcijas, pienākumi, uzdevumi un sadarbības mehānismi.

1. EĀDD, lai aizsargātu savas drošības intereses, visās EĀDD telpās īsteno atbilstīgus fiziskās drošības pasākumus (pastāvīgus vai īslaicīgus), tostarp piekļuves kontroles kārtību. Šādus pasākumus ņem vērā jaunu telpu projektēšanā un plānošanā vai pirms pašreizējo telpu nomas.

2. Lai aizsargātu savas drošības intereses, EĀDD pastāvīgi vai īslaicīgi īsteno jebkādus atbilstīgus fiziskās drošības papildu pasākumus arī trešās valstīs.

Tāpēc drošības nolūkā uz noteiktu laikposmu un noteiktās zonās EĀDD pakļautajiem darbiniekiem un viņu apgādājamajiem var noteikt īpašus pienākumus vai ierobežojumus.

3. Šā panta 1. un 2. punktā minētie pasākumi ir atbilstīgi novērtētajam riskam.

1. ESKI aizsardzību reglamentē šajā lēmumā un jo īpaši tā A pielikumā paredzētās prasības. Jebkādas ESKI turētājs ir atbildīgs par tās pienācīgu aizsardzību.

2. EĀDD nodrošina, ka piekļuvi klasificētai informācijai piešķir tikai tādām personām, kuras atbilst A pielikuma 5. panta nosacījumiem.

3. Augstais pārstāvis, ņemot vērā šā lēmuma A pielikumā paredzētos ESKI aizsardzības noteikumus, paredz arī nosacījumus vietējo darbinieku piekļuvei ESKI.

4. EĀDD Drošības direktorāts pārvalda datubāzi, kurā norādīts visu EĀDD pakļauto darbinieku un EĀDD līgumslēdzēju drošības pielaides statuss.

5. Ja dalībvalstis EĀDD iestādēs vai tīklos ievieš klasificētu informāciju, kam piemērots valsts drošības klasifikācijas marķējums, EĀDD aizsargā šo informāciju saskaņā ar prasībām, kas attiecas uz līdzvērtīgas kategorijas ESKI, kā tas izklāstīts šā lēmuma A pielikuma piemērojamos noteikumos.

6. EĀDD zonas, kur glabā informāciju, kuras klasifikācijas līmenis ir CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāks, vai līdzvērtīgas kategorijas klasificētu informāciju, izveido par drošības zonām saskaņā ar šā lēmuma A pielikuma noteikumiem, un tās apstiprina EĀDD drošības iestāde.

7. Procedūras, ko Augstais pārstāvis ievēro, pildot pienākumus, kas izriet no attiecīga nolīguma vai administratīvas vienošanās par ESKI apmaiņu ar trešām valstīm vai starptautiskām organizācijām, ir aprakstītas šā lēmuma A un A VI pielikumā.

1. Lai nodrošinātu savlaicīgu un efektīvu reaģēšanu uz drošības incidentiem, EĀDD izveido procedūru ziņošanai par šādiem drošības incidentiem un ārkārtas situācijām, kuru īsteno 24 stundas dienā septiņas dienas nedēļā un kura attiecas uz visu veidu drošības incidentiem un EĀDD drošības interešu apdraudējumiem (piemēram, nelaimes gadījumiem, konfliktiem, ļaunprātīgām darbībām, noziedzīgām darbībām, nolaupīšanas vai ķīlnieku saņemšanas gadījumiem, ar neatliekamo medicīnisko palīdzību saistītām situācijām, komunikāciju un informācijas sistēmu incidentiem, kiberuzbrukumiem u. c.).

2. Tiek izveidoti EĀDD mītnes, Savienības delegāciju, Padomes, Komisijas, ES īpašo pārstāvju un dalībvalstu ārkārtas sadarbības kanāli, lai palīdzētu tiem pārvaldīt drošības incidentus, kuros iesaistīti darbinieki, un to sekas, tostarp situatīvo plānošanu.

4. EĀDD izveido atbilstīgus administratīvus pasākumus ziņošanai par drošības incidentiem Savienības delegācijās. Attiecīgā gadījumā informē dalībvalstis, Komisiju, jebkuru citu kompetento iestādi, kā arī attiecīgās drošības komitejas.

1. EĀDD aizsargā komunikāciju un informācijas sistēmās (“KIS”) apstrādāto informāciju pret konfidencialitātes, integritātes, pieejamības, autentiskuma un nenoliedzamības apdraudējumiem.

2. Visu EĀDD īpašumā esošo vai izmantoto KIS aizsardzības noteikumus, drošības politiku un drošības programmu apstiprina EĀDD drošības iestāde, kā noteikts lēmuma 12. panta I iedaļas 1. punktā.

3. Šos noteikumus, politiku un programmu, kā arī to īstenošanu cieši saskaņo ar attiecīgajiem Padomes un Komisijas noteikumiem, politiku un programmu un attiecīgā gadījumā ar dalībvalstu piemēroto drošības politiku.

4. Visas KIS, kurās apstrādā klasificētu informāciju, akreditē. EĀDD, apspriežoties ar Padomes Ģenerālsekretariātu un Komisiju, īsteno drošības akreditācijas pārvaldības sistēmu.

5. Ja EĀDD apstrādāto ESKI aizsargā ar kriptogrāfijas produktiem, tos pēc Padomes Drošības komitejas ieteikuma apstiprina EĀDD Kriptogrāfijas apstiprinājuma iestāde.

6. EĀDD drošības iestāde, ciktāl tas vajadzīgs, izveido šādas informācijas aizsardzības struktūras:

7. EĀDD drošības iestāde katras sistēmas vajadzībām izveido šādas struktūras:

8. Noteikumi šā panta īstenošanai ESKI aizsardzības nolūkā ir izklāstīta A un A IV pielikumā.

1. Drošības prasību pārkāpums rodas personas darbības vai bezdarbības rezultātā, kas ir pretrunā šajā lēmumā noteiktajiem drošības noteikumiem un/vai drošības politikai vai pamatnostādnēm, kurās paredzēti tās īstenošanai vajadzīgie pasākumi, kas apstiprināti saskaņā ar 20. panta 1. punktu.

2. Klasificēta informācija ir apdraudēta, ja tā ir pilnīgi vai daļēji nonākusi nesankcionētu personu vai struktūru rīcībā.

3. Par jebkuriem drošības prasību pārkāpumiem vai iespējamiem drošības prasību pārkāpumiem un jebkuriem klasificētas informācijas apdraudējumiem vai iespējamiem apdraudējumiem nekavējoties ziņo EĀDD Drošības direktorātam, kas veic atbilstīgus A pielikumā paredzētos pasākumus.

4. Personām, kuras ir atbildīgas par šajā lēmumā izklāstīto drošības noteikumu tīšu pārkāpšanu vai par klasificētas informācijas apdraudēšanu, var piemērot disciplināratbildību un/vai kriminālatbildību saskaņā ar spēkā esošajiem normatīvajiem aktiem, kā noteikts A pielikuma 11. panta 3. punktā.

Drošības incidentu, pārkāpumu un vai apdraudējumu izmeklēšana un novēršanas darbības

1. EĀDD Drošības direktorāts ar dalībvalstu ekspertu un/vai attiecīgā gadījumā citu ES iestāžu ekspertu palīdzību un, ja vajadzīgs, saņemot galvenā izpilddirektora atļauju:

2. Izmeklētāji var piekļūt visai informācijai, kas vajadzīga šādai izmeklēšanai un šajā jomā saņem visu EĀDD dienestu pilnīgu atbalstu.

Izmeklētāji var veikt attiecīgas darbības, lai aizsargātu pierādījumu izsekojamību atbilstīgi izmeklējamās lietas nopietnībai.

3. Ja ir nepieciešams piekļūt tādai informācijai, kas ir personas dati, tostarp dati komunikāciju un informācijas sistēmās, piekļuve notiek saskaņā ar Regulu (EK) 45/2001.

4. Ja ir nepieciešams izveidot izmeklēšanas datubāzi ar personas datiem, saskaņā ar minēto regulu par to paziņo Eiropas Datu aizsardzības uzraudzītājam (EDAU).

1. Lai noteiktu savas drošības aizsardzības vajadzības, EĀDD, cieši sadarbojoties ar Komisijas Drošības direktorātu un attiecīgā gadījumā ar Padomes Ģenerālsekretariāta Drošības biroju, izstrādā visaptverošu drošības riska izvērtējuma metodiku.

2. EĀDD drošības interešu risku pārvalda kā procesu. Šā procesa mērķis ir noteikt zināmos drošības riskus, noteikt drošības pasākumus, lai šādus riskus mazinātu līdz pieņemamam līmenim, un piemērot pasākumus saskaņā ar pastiprinātas aizsardzības koncepciju. Šādu pasākumu efektivitāti un riska līmeni nepārtraukti izvērtē.

3. Šajā lēmumā noteiktās funkcijas, pienākumi un uzdevumi neskar katra EĀDD pakļautā darbinieka atbildību; jo īpaši darba braucienos trešās valstīs nosūtītajiem ES darbiniekiem ir pienākums attiecībā uz pašu aizsargātību un drošību rīkoties pēc veselā saprāta un pareizi novērtējot situāciju, kā arī ievērot visus piemērojamos drošības noteikumus, procedūras un norādījumus.

4. EĀDD veic visus pamatotos pasākumus, lai nodrošinātu savu drošības interešu aizsardzību un novērstu tām draudošu kaitējumu, kuru iespējams paredzēt.

5. EĀDD drošības pasākumi ESKI aizsardzībai visā tās aprites laikā jo īpaši atbilst tās drošības klasifikācijas līmenim, informācijas vai materiāla veidam un apjomam, to iekārtu atrašanās vietai un uzbūvei, kurās ESKI atrodas, un ļaunprātīgu un/vai noziedzīgu darbību, tostarp, spiegošanas, sabotāžas un terorisma, draudiem, ieskaitot uz vietas novērtētus draudus.

1. EĀDD drošības iestāde nodrošina, ka tiek izstrādātas un īstenotas atbilstīgas programmas informētībai par drošību un mācību programmas un ka EĀDD pakļautie darbinieki un attiecīgā gadījumā viņu apgādājamie saņem nepieciešamo informāciju un apmācību par drošības jautājumiem, kas atbilst riskiem viņu darbavietā vai dzīvesvietā.

2. Darbinieki, pirms tiem piešķir piekļuvi ESKI un pēc tam — regulāri, tiek informēti par pienākumu aizsargāt ESKI atbilstīgi noteikumiem, kas minēti 5. pantā, un tie atzīst šo pienākumu.

1. EĀDD drošības iestāde ir galvenais izpilddirektors (“GI”). Šo funkciju pildot, GI nodrošina, ka:

2. Šā uzdevuma veikšanā galvenajam izpilddirektoram palīdz administrācijas un finanšu rīkotājdirektors, EĀDD Drošības direktorāta vadītājs un attiecīgā gadījumā rīkotājdirektors reakcijas uz krīzi jautājumos un operatīvais koordinators.

3. Attiecīgā gadījumā GI kā EĀDD drošības iestāde šajā jomā īstenojamos uzdevumus var deleģēt.

4. Katra departamenta/nodaļas vadītājs ir atbildīgs par ESKI aizsardzības noteikumu īstenošanu savā departamentā/nodaļā.

Saglabājot atbildību par iepriekš minētajiem pienākumiem, katra departamenta/nodaļas vadītājs ieceļ darbinieku, kurš pildīs departamenta drošības koordinatora funkcijas un kuram pieejamie resursi atbilst attiecīgā departamenta/nodaļas apstrādātās ESKI apmēram.

Departamenta/nodaļas drošības koordinators, kad un ja vajadzīgs, palīdz savam departamenta/nodaļas vadītājam pildīt ar drošību saistītus uzdevumus, piemēram:

Par jebkuru darbību vai jautājumu, kas var ietekmēt drošību, savlaicīgi paziņo EĀDD Drošības direktorātam.

5. Katras Savienības delegācijas vadītājs ir atbildīgs par visu ar Savienības delegācijas drošību saistīto pasākumu īstenošanu.

1. Katras Savienības delegācijas vadītāja pienākums ir vietējā līmenī īstenot un pārvaldīt visus pasākumus saistībā ar EĀDD drošības interešu aizsardzību Savienības delegācijas telpās un darbības jomās.

Vajadzības gadījumā apspriežoties ar uzņēmējas valsts kompetentajām iestādēm, vadītājs veic visus praktiski iespējamos pasākumus, lai nodrošinātu, ka šā mērķa sasniegšanas nolūkā tiek īstenoti atbilstīgi fiziski un organizatoriski pasākumi.

Delegācijas vadītājs sagatavo drošības procedūras 2. panta c) apakšpunktā definēto apgādājamo aizsardzībai, attiecīgā gadījumā ņemot vērā visas 3. panta 3. punktā minētās administratīvās vienošanās. Delegācijas vadītājs reizi gadā EĀDD Drošības direktorāta vadītājam ziņo par visiem ar drošību saistītiem jautājumiem, kas ietilpst tā pilnvarās.

Delegācijas vadītājam šo uzdevumu izpildē palīdz EĀDD Drošības direktorāts, EĀDD darbinieki, kas delegācijā pilda konkrēti noteiktus drošības uzdevumus un funkcijas, kā arī vajadzības gadījumā norīkotie īpašie drošības darbinieki.

3. Saglabājot atbildību un pārskatatbildību par drošības pārvaldības aizsardzību, kā arī par tās ievērošanu delegācijā, delegācijas vadītājs var savu drošības uzdevumu izpildi deleģēt delegācijas drošības koordinatoram (“DDK”), kas ir delegācijas vadītāja vietnieks, vai, ja tāds nav iecelts, piemērotai alternatīvai personai.

4. Delegācijas vadītājs var administratīvajam vadītājam un citiem delegācijas darbiniekiem deleģēt administratīvu un tehnisku drošības uzdevumu izpildi.

5. Savienības delegācijai palīdz RDI. RDI savās ģeogrāfiskajās atbildības teritorijās uzņemas turpmāk aprakstīto funkciju izpildi delegācijās.

Noteiktos apstākļos, ja tas vajadzīgs, ņemot vērā dominējošo drošības situāciju, konkrētai delegācijai var piešķirt speciālu RDI kā pilna laika darbinieku.

Atkarībā no drošības situācijas konkrētajā valstī un EĀDD Drošības direktorāta vajadzībām RDI var pārcelt uz teritoriju, kas nav tā pašreizējā atbildības teritorija, tostarp uz EĀDD mītni Briselē, vai pat uzticēt rezidējošu amata vietu.

6. RDI darbojas EĀDD Drošības direktorāta tiešā hierarhiskā pakļautībā un attiecīgā delegācijas vadītāja funkcionālā un administratīvā tiešā kontrolē. RDI palīdz delegācijas vadītājam un delegācijas darbiniekiem organizēt un īstenot visus fiziskos, organizatoriskos un procesuālos pasākumus saistībā ar visu delegācijas darbinieku (neatkarīgi no iestādes, kurā tie strādājuši) drošību.

7. RDI konsultē delegācijas vadītāju un delegācijas darbiniekus un palīdz tiem. Attiecīgā gadījumā un jo īpaši tad, ja speciālais RDI ir pilna laika darbinieks, viņš var palīdzēt Savienības delegācijai pārvaldīt un īstenot drošību, tostarp sagatavot līgumus par drošību un pārvaldīt akreditācijas un pielaides.

EĀDD Drošības direktorāts sniedz palīdzību un konsultācijas Krīžu pārvarēšanas un plānošanas direktorāta (“KPPD”) direktoram, ES Militārā štāba (“ESMŠ”) ģenerāldirektoram, civilo operāciju komandierim, kas vada Civilās plānošanas un īstenošanas centru (“CPĪC”), un ES militāro operāciju komandieriem par KDAP operāciju drošības aspektiem, kā arī palīdz ES īpašajiem pārstāvjiem un tos konsultē saistībā ar to funkciju drošības aspektiem papildus īpašajiem noteikumiem, kas šajā jomā ietverti piemērojamās Padomes politikās.

Tās priekšsēdētājs ir GI vai izraudzīts pārstāvis, un komitejas sanāksmes notiek saskaņā ar priekšsēdētāja norādījumiem vai pēc jebkura tās locekļa pieprasījuma. EĀDD Drošības direktorāts palīdz priekšsēdētājam pildīt tā funkcijas un sniedz vajadzīgo administratīvo palīdzību komitejas darbības īstenošanai.

3. Ja komitejas pārstāvji to uzskata par vajadzīgu, viņus var pavadīt un konsultēt eksperti. Var uzaicināt piedalīties arī citu ES iestāžu, aģentūru vai struktūru pārstāvjus, ja tiek izskatīti jautājumi, kas attiecas uz to drošību.

4. Neskarot šā panta 5. punktu, EĀDD Drošības komiteja palīdz EĀDD, to konsultējot par visiem ar EĀDD darbībām, EĀDD mītni un Savienības delegācijām saistītiem drošības jautājumiem.

5. Lai veiktu jebkādas izmaiņas šā lēmuma un tā A pielikuma noteikumos par ESKI aizsardzību, dalībvalstu pārstāvji EĀDD Drošības komitejā sniedz vienprātīgu piekrišanu. Šāda vienprātīga piekrišana ir vajadzīga arī, pirms:

Gadījumos, kad vajadzīga vienprātīga piekrišana, šis nosacījums ir izpildīts, ja komitejas sanāksmju laikā dalībvalstu delegācijas neizsaka iebildumus.

6. EĀDD Drošības komiteja pilnībā ievēro spēkā esošo Padomes un Komisijas drošības politiku un pamatnostādnes.

7. EĀDD Drošības komiteja saņem EĀDD ikgadējo pārbaužu un pārbaužu ziņojumu sarakstu, kad tas ir pabeigts.

1. EĀDD drošības iestāde gādā, lai EĀDD mītnē un Savienības delegācijās regulāri veiktu drošības pārbaudes un tādējādi novērtētu drošības pasākumu piemērotību un pārbaudītu to atbilstību šim lēmumam. EĀDD Drošības direktorāts attiecīgā gadījumā var iecelt papildu ekspertus, kas piedalās tādu ES aģentūru un struktūru drošības pārbaudēs, kas izveidotas saskaņā ar LES V sadaļas 2. nodaļu.

2. EĀDD drošības pārbaudes veic EĀDD Drošības direktorāta pakļautībā un attiecīgā gadījumā ar tādu drošības ekspertu atbalstu, kas pārstāv citas ES iestādes vai dalībvalstis, jo īpaši saistībā ar 3. panta 3. punktā minēto vienošanos.

3. Ja nepieciešams, EĀDD var izmantot dalībvalstu, Padomes Ģenerālsekretariāta un Komisijas speciālās zināšanas.

Ja nepieciešams, Savienības delegācijas var aicināt drošības pārbaudē piedalīties attiecīgus drošības ekspertus, kas darbojas dalībvalstu misijās trešās valstīs, un/vai dalībvalstu diplomātisko drošības departamentu pārstāvjus.

4. Noteikumi šā panta īstenošanai ESKI aizsardzības nolūkā ir izklāstīti A III pielikumā.

Lai pārliecinātos par to drošības pasākumu efektivitāti, kurus piemēro trešā valsts vai starptautiska organizācija ar mērķi aizsargāt to ESKI, ar kuru notiek apmaiņa saskaņā ar A pielikuma 10. panta 1. punkta b) apakšpunktā minēto administratīvo vienošanos, organizē izvērtējuma apmeklējumus.

EĀDD Drošības direktorāts var iecelt papildu ekspertus, kas piedalās tādu trešo valstu vai starptautisko organizāciju izvērtējuma apmeklējumos, ar kurām ES ir noslēgusi A pielikuma 10. panta 1. punkta a) apakšpunktā minēto informācijas drošības nolīgumu.

EĀDD Drošības direktorāts palīdz GI kopējās EĀDD darbības nepārtrauktības plānošanas ietvaros pārvaldīt tos EĀDD darbības nepārtrauktības procesu aspektus, kas ir saistīti ar drošību.

EĀDD Drošības direktorāts nodrošina, ka attiecībā uz EĀDD pakļauto darbinieku darba braucieniem ārpus ES ir pieejami ceļošanas ieteikumi, ko izstrādā, izmantojot visu attiecīgo EĀDD dienestu un jo īpaši SITROOM, INTCEN, ģeogrāfisko departamentu un Savienības delegāciju resursus.

EĀDD Drošības direktorāts pēc pieprasījuma un, izmantojot iepriekš minētos resursus, sniedz konkrētus ceļošanas ieteikumus attiecībā uz EĀDD pakļauto darbinieku darba braucieniem uz trešām valstīm, kurās pastāv liels risks vai paaugstināts riska līmenis.

EĀDD drošības noteikumi papildina AP pieņemtos EĀDD noteikumus par veselības un drošības aizsardzību.

1. EĀDD drošības iestāde, attiecīgā gadījumā apspriežoties ar EĀDD Drošības komiteju, apstiprina drošības politiku vai pamatnostādnes, kurās paredzēti visi vajadzīgie pasākumi, lai īstenotu šos noteikumus EĀDD, un, cieši sadarbojoties ar dalībvalstu kompetentajām drošības iestādēm un saņemot ES iestāžu attiecīgo dienestu atbalstu, izveido vajadzīgās spējas saistībā ar visiem drošības aspektiem.

2. Saskaņā ar 4. panta 5. punktu Padomes 2010. gada 26. jūlija Lēmumā 2010/427/ES, ar ko nosaka Eiropas Ārējās darbības dienesta organizatorisko struktūru un darbību, vajadzības gadījumā var izmantot pagaidu mehānismus, noslēdzot dienesta līmeņa vienošanos ar attiecīgajiem Padomes Ģenerālsekretariāta un Komisijas dienestiem.

3. AP nodrošina vispārēju saskaņotību šā lēmuma piemērošanā un regulāri pārskata šos drošības noteikumus.

4. EĀDD drošības noteikumus īsteno, cieši sadarbojoties ar dalībvalstu kompetentajām drošības iestādēm, Padomes Ģenerālsekretariāta Drošības biroju un Komisijas Cilvēkresursu un drošības ģenerāldirektorāta Drošības direktorātu.

5. EĀDD nodrošina, ka EĀDD krīžu reaģēšanas sistēmā tiek ņemti vērā visi drošības procesa aspekti.

6. Šā lēmuma īstenošanu nodrošina GI kā drošības iestāde un EĀDD Drošības direktorāta vadītājs.

1. Ar šo lēmumu atceļ un aizstāj Savienības Augstā pārstāvja ārlietās un drošības politikas jautājumos 2011. gada 15. gada jūnija Lēmumu par Eiropas Ārējās darbības dienesta drošības noteikumiem (3).

2. Ar šo lēmumu atceļ Savienības Augstā pārstāvja ārlietās un drošības politikas jautājumos 2011. gada 23. februāra Lēmumu par Eiropas Ārējās darbības dienesta deleģētās drošības iestādes iecelšanu un uzdevumiem.

A PIELIKUMS

ESKI AIZSARDZĪBAS PRINCIPI UN STANDARTI

1. pants

Priekšmets, darbības joma un definīcijas

1. Šajā pielikumā ir izklāstīti ESKI aizsardzības pamatprincipi un obligātie drošības standarti.

2. Minētie pamatprincipi un obligātie standarti attiecas uz EĀDD un EĀDD pakļautajiem darbiniekiem, kas attiecīgi minēti un definēti šā lēmuma 1. un 2. pantā.

2. pants

ESKI, drošības klasifikāciju un marķējumu definīcijas

1. “ES klasificēta informācija” (ESKI) ir jebkura informācija vai materiāli, kuriem piemērota ES drošības klasifikācija un kuru neatļauta izpaušana var izraisīt dažāda līmeņa apdraudējumu Eiropas Savienības vai vienas vai vairāku tās dalībvalstu interesēm.

2. ESKI piešķir kādu no šiem klasifikācijas līmeņiem:

a)	TRES SECRET UE/EU TOP SECRET: informācija un materiāli, kuru neatļauta izpaušana var izraisīt ārkārtīgi smagu kaitējumu būtiskām Eiropas Savienības vai vienas vai vairāku dalībvalstu interesēm;

b)	SECRET UE/EU SECRET: informācija un materiāli, kuru neatļauta izpaušana var izraisīt nopietnu kaitējumu būtiskām Eiropas Savienības vai vienas vai vairāku dalībvalstu interesēm;

c)	CONFIDENTIEL UE/EU CONFIDENTIAL: informācija un materiāli, kuru neatļauta izpaušana var izraisīt kaitējumu būtiskām Eiropas Savienības vai vienas vai vairāku dalībvalstu interesēm;

d)	RESTREINT UE/EU RESTRICTED: informācija un materiāli, kuru neatļauta izpaušana var būt nevēlama Eiropas Savienības vai vienas vai vairāku dalībvalstu interesēm.

3. ESKI piemēro drošības klasifikācijas marķējumu saskaņā ar 2. punktu. Papildus var piemērot marķējumus, norādot ar dokumentu saistīto darbības jomu, sagatavotāju, izplatīšanas ierobežojumus, ierobežojot izmantošanu vai norādot izpaušanu.

3. pants

Klasifikācijas pārvaldība

1. EĀDD nodrošina, ka ESKI ir pienācīgi klasificēta, skaidri apzināta kā klasificēta informācija, un saglabā klasifikācijas līmeni vienīgi tik ilgi, cik tas nepieciešams.

2. ESKI neklasificē zemākā līmenī vai deklasificē un 2. panta 3. punktā minētos marķējumus nemaina vai nesvītro bez sagatavotāja iepriekšējas rakstiskas piekrišanas.

3. EĀDD Drošības iestāde, saskaņā ar šā lēmuma 14. panta 5. punktu apspriežoties ar EĀDD Drošības komiteju, apstiprina drošības politiku attiecībā uz ESKI izstrādi, kurā ir ietverta praktiskā klasifikācijas rokasgrāmata.

4. pants

Klasificētas informācijas aizsardzība

1. ESKI aizsargā atbilstīgi šim lēmumam.

2. Jebkādas ESKI turētājs ir atbildīgs par tās aizsardzību atbilstīgi šim lēmumam.

3. Ja dalībvalstis EĀDD iestādēs vai tīklos ievieš klasificētu informāciju, kam ir piemērots valsts drošības klasifikācijas marķējums, EĀDD šo informāciju aizsargā saskaņā ar prasībām, kas attiecas uz līdzvērtīgas kategorijas ESKI, kā tas izklāstīts drošības klasifikāciju atbilsmju tabulā, kas paredzēta Padomes 2011. gada 31. marta Lēmuma 2011/292/ES par drošības noteikumiem ES klasificētas informācijas aizsardzībai B papildinājumā.

EĀDD izveido atbilstīgas procedūras, lai veiktu precīzu uzskaiti par:

—	EĀDD saņemtās klasificētās informācijas sagatavotāju; un

—	EĀDD sagatavotās klasificētās informācijas izejmateriāla sagatavotāju.

Par šīm procedūrām informē EĀDD Drošības komiteju.

4. Lielam ESKI daudzumam vai ESKI apkopojumam var ļaut piešķirt tāda līmeņa aizsardzību, kas atbilst augstākai klasifikācijas kategorijai, nekā noteikts tā sastāvdaļām.

5. pants

ES klasificētas informācijas apstrādes personāla drošība

1. Personāla drošība nozīmē tādu pasākumu piemērošanu, lai nodrošinātu, ka piekļuvi ESKI piešķir tikai tādām personām:

—	kurām ir vajadzība pēc informācijas;

—	kurām, lai piekļūtu informācijai, kuras klasifikācijas līmenis ir CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāks, ir attiecīga līmeņa drošības pielaide vai ieņemamā amata dēļ ir piešķirta pienācīga atļauja atbilstīgi attiecīgās valsts normatīvajiem aktiem; un

—	kuras ir informētas par viņu pienākumiem.

2. Īstenojot personāla drošības pielaides (“PDP”) procedūras, nosaka, vai konkrētai personai drīkst nodrošināt piekļuvi ESKI, ņemot vērā attiecīgās personas lojalitāti un uzticamību.

3. Visas personas, pirms tām piešķir piekļuvi ESKI, un pēc tam — regulāri tiek informētas par pienākumu aizsargāt ESKI atbilstīgi šim lēmumam, un tās rakstiski atzīst šo pienākumu.

4. Šā panta īstenošanas noteikumi ir izklāstīti A I pielikumā.

6. pants

ES klasificētas informācijas fiziskā drošība

1. Fiziskā drošība ir fizisku un tehnisku aizsardzības pasākumu piemērošana, lai novērstu neatļautu piekļuvi ESKI.

2. Fiziskās drošības pasākumu mērķis ir nepieļaut slepenu vai vardarbīgu ielaušanos, novērst, kavēt un atklāt neatļautas darbības un pieļaut personāla diferencēšanu attiecībā uz piekļuvi ESKI, ņemot vērā informācijas vajadzības principu. Šādus pasākumus nosaka, pamatojoties uz riska pārvaldības procesu.

3. Fiziskās drošības pasākumus īsteno visās telpās, ēkās, birojos un citās zonās, kur tiek glabāta vai apstrādāta ESKI, tostarp zonās, kur atrodas 8. panta 2. punktā definētās komunikāciju un informācijas sistēmas.

4. Zonas, kurās glabā ESKI, kuras klasifikācijas līmenis ir CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāks, izveido par drošības zonām saskaņā ar A II pielikumu, un tās apstiprina EĀDD drošības iestāde.

5. Lai aizsargātu ESKI, kuras klasifikācijas līmenis ir CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāks, izmanto vienīgi apstiprinātas iekārtas vai ierīces.

6. Šā panta īstenošanas noteikumi ir izklāstīti A II pielikumā.

7. pants

Klasificētas informācijas pārvaldība

1. Klasificētas informācijas pārvaldība ir administratīvu pasākumu piemērošana ESKI kontrolei tās aprites cikla laikā, lai papildinātu 5., 6. un 8. pantā minētos pasākumus un tādējādi palīdzētu novērst un atklāt šādas informācijas tīšu vai netīšu apdraudējumu vai to atgūt tīšas vai netīšas nozaudēšanas gadījumā. Šādi pasākumi jo īpaši ir saistīti ar ESKI izstrādi, reģistrāciju, kopēšanu, tulkošanu, pārvietošanu, apstrādi, glabāšanu un iznīcināšanu.

2. Informāciju, kuras klasifikācijas līmenis ir CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāks, drošības nolūkā reģistrē pirms tās izplatīšanas un līdz ar saņemšanu. EĀDD kompetentās iestādes šim nolūkam izveido uzskaites sistēmu. Informāciju, kas klasificēta kā TRES SECRET UE/EU TOP SECRET, reģistrē īpašos reģistros.

3. Dienestus un telpas, kur apstrādā vai glabā ESKI, regulāri pārbauda EĀDD drošības iestāde.

4. ESKI pārvieto starp dienestiem un telpām ārpus fiziski aizsargātām zonām šādā veidā:

a)	parasti ESKI pārsūta ar elektroniskiem līdzekļiem, kurus aizsargā ar kriptogrāfijas produktiem, kas apstiprināti saskaņā ar šā lēmuma 7. panta 5. punktu, un saskaņā ar skaidri definētām drošības darba procedūrām (“SecOPs”);

ja neizmanto a) apakšpunktā minētos līdzekļus, ESKI pārvieto:

i)	izmantojot elektroniskus informācijas nesējus (piemēram, zibatmiņas, kompaktdiskus, cietos diskus), kurus aizsargā ar kriptogrāfijas produktiem, kas apstiprināti atbilstīgi šā lēmuma 7. panta 5. punktam; vai arī

ii)	visos citos gadījumos — kā to nosaka EĀDD drošības iestāde saskaņā ar A III pielikuma V iedaļā izklāstītajiem attiecīgajiem aizsardzības pasākumiem.

5. Šā panta īstenošanas noteikumi ir izklāstīti A III pielikumā.

8. pants

Elektroniskas ESKI aizsardzība, to apstrādājot komunikāciju un informācijas sistēmās

1. Informācijas aizsardzība (IA) komunikāciju un informācijas sistēmu jomā ir pārliecība, ka šīs sistēmas aizsargās informāciju, kas tajās atrodas, un darbosies, kā tas ir paredzēts, kad tas ir paredzēts un likumīgu lietotāju kontrolē. Ar efektīvu IA nodrošina atbilstīga līmeņa konfidencialitāti, integritāti, pieejamību, nenoliedzamību un autentiskumu. IA pamatā ir riska pārvaldības process.

2. “Komunikāciju un informācijas sistēma” (KIS) ir jebkura sistēma, ar kuru var elektroniski apstrādāt informāciju. Komunikāciju un informācijas sistēma ietver visus vajadzīgos resursus, lai sistēma darbotos, tostarp infrastruktūru, organizāciju, personālu un informācijas resursus. Šo pielikumu piemēro visām EĀDD KIS, kurās apstrādā ESKI.

3. KIS apstrādā ESKI atbilstīgi IA koncepcijai.

4. Visas KIS, ar ko apstrādā ESKI, akreditē. Akreditācijas mērķis ir saņemt garantiju, ka ir īstenoti visi attiecīgie drošības pasākumi un ka ir sasniegts pietiekams ESKI un KIS aizsardzības līmenis atbilstīgi šim lēmumam. Ar akreditācijas paziņojumu nosaka augstāko informācijas klasifikācijas līmeni, ar kādu atļauts strādāt KIS, kā arī šādas atļaujas nosacījumus.

5. KIS, kurās apstrādā informāciju, kuras klasifikācijas līmenis ir CONFIDENTIEL UE/EU CONFIDENTIAL un augstāks, ir aizsargātas pret informācijas apdraudējumu, ko izraisa netīšas elektromagnētiskas emisijas (“TEMPEST drošības pasākumi”).

6. Ja ESKI aizsargā ar kriptogrāfijas produktiem, tos apstiprina saskaņā ar šā lēmuma 7. panta 5. punktu.

7. Pārsūtot ESKI elektroniski, izmanto apstiprinātus kriptogrāfijas produktus. Neskarot šo prasību, ārkārtas apstākļos vai īpašās tehniskās konfigurācijās var piemērot īpašas procedūras, kā noteikts A IV pielikumā.

8. Saskaņā ar šā lēmuma 7. panta 6. punktu, ciktāl tas vajadzīgs, tiek izveidotas šādas IA struktūras:

a)	IA iestāde (IAI);

b)	TEMPEST iestāde (TI);

c)	kriptogrāfijas apstiprinājuma iestāde (KAI);

d)	kriptogrāfijas produktu izplatīšanas iestāde (KPII).

9. Saskaņā ar šā lēmuma 7. panta 7. punktu katras sistēmas vajadzībām izveido:

a)	drošības akreditācijas iestādi (DAI);

b)	IA operatīvo iestādi.

10. Šā panta īstenošanas noteikumi ir izklāstīti A IV pielikumā.

9. pants

Industriālā drošība

1. Industriālā drošība ir pasākumu piemērošana nolūkā nodrošināt, ka līgumslēdzējs vai apakšlīgumslēdzējs aizsargā ESKI sarunu laikā pirms klasificēta līguma slēgšanas un klasificēto līgumu darbības laikā. Parasti tādi līgumi nav saistīti ar piekļuvi informācijai, kas klasificēta kā TRES SECRET UE/EU TOP SECRET.

2. EĀDD līgumā var uzticēt uzdevumus, kas ietver vai ir saistīti ar piekļuvi ESKI vai tās apstrādi vai glabāšanu, ko veic rūpniecības vai citas struktūras, kas reģistrētas dalībvalstī vai trešā valstī, ar kuru ir noslēgts A pielikuma 10. panta 1. punktā minētais informācijas drošības nolīgums vai administratīva vienošanās.

3. EĀDD kā līgumslēdzēja iestāde nodrošina, ka, piešķirot klasificētu līgumu rūpniecības vai citām struktūrām, tiek ievēroti šajā lēmumā izklāstītie un attiecīgajā līgumā minētie industriālās drošības obligātie standarti. Atbilstību šiem obligātajiem standartiem tā nodrošina ar attiecīgo VDI/IDI palīdzību.

4. Dalībvalstī reģistrētajiem līgumslēdzējiem vai apakšlīgumslēdzējiem, kas iesaistīti klasificētos līgumos vai apakšlīgumos un kas savās telpās apstrādā un glabā informāciju, kura klasificēta kā CONFIDENTIEL UE/EU CONFIDENTIAL vai SECRET UE/EU SECRET, minēto līgumu izpildes gaitā vai pirms to parakstīšanas vajadzīga atbilstīga klasifikācijas līmeņa iestādes drošības pielaide (IDP), ko piešķīrusi attiecīgās dalībvalsts VDI, IDI vai cita kompetentā drošības iestāde.

5. Līgumslēdzēja vai apakšlīgumslēdzēja personālam, kas klasificēta līguma darbības laikā piekļūst informācijai, kas klasificēta kā CONFIDENTIEL UE/EU CONFIDENTIAL vai SECRET UE/EU SECRET, ir PDP, ko piešķīrusi attiecīgā VDI, IDI vai kāda cita kompetenta drošības iestāde atbilstīgi valsts normatīvajiem aktiem un obligātajiem drošības standartiem, kas izklāstīti A I pielikumā.

6. Noteikumi šā panta īstenošanai ir izklāstīti A V pielikumā.

10. pants

Klasificētas informācijas apmaiņa ar trešām valstīm un starptautiskām organizācijām

1. EĀDD var veikt ESKI apmaiņu ar trešo valsti vai starptautisku organizāciju tikai tad, ja:

a)	ir spēkā ES un attiecīgās trešās valsts vai starptautiskās organizācijas informācijas drošības nolīgums, kas noslēgts saskaņā ar LES 37. pantu un LESD 218. pantu; vai

ir stājusies spēkā saskaņā ar šā lēmuma 14. panta 5. punktā paredzēto procedūru noslēgta AP un attiecīgās trešās valsts vai starptautiskās organizācijas kompetento drošības iestāžu administratīva vienošanās par tādas klasificētas informācijas apmaiņu, kuras klasifikācijas līmenis parasti nav augstāks par RESTREINT UE/EU RESTRICTED; vai arī

c)	ja ir spēkā ES un attiecīgās trešās valsts nolīgums par līdzdalību vai ad hoc līdzdalību KDAP krīzes pārvarēšanas operācijās, kas noslēgts saskaņā ar LES 37. pantu un LESD 218. pantu,

un ir izpildīti attiecīgajā instrumentā paredzētie nosacījumi.

Šo vispārīgo noteikumu izņēmumi ir izklāstīti A VI pielikuma V iedaļā.

2. Šā panta 1. punkta b) apakšpunktā minētās administratīvās vienošanās dokumentos iekļauj noteikumus, lai nodrošinātu, ka gadījumos, kad trešās valstis vai starptautiskās organizācijas saņem ESKI, šai informācijai nodrošina tādu aizsardzību, kas atbilst tās klasifikācijas līmenim un obligātajiem standartiem, kuri ir ne mazāk stingri kā šajā lēmumā paredzētie.

Pamatojoties uz šā panta 1. punkta c) apakšpunktā minēto vienošanos, apmainās tikai ar informāciju par tādām KDAP operācijām, kurās piedalās attiecīgā trešā valsts, pamatojoties uz šo vienošanos un saskaņā ar tās nosacījumiem.

3. Lai pārliecinātos par to drošības pasākumu efektivitāti, kurus piemēro ar mērķi aizsargāt to ESKI, ar kuru notiek apmaiņa, organizē šā lēmuma 16. pantā minētos izvērtējuma apmeklējumus uz attiecīgajām trešām valstīm un starptautiskajām organizācijām.

4. Lēmumu par EĀDD glabātās ESKI nodošanu trešai valstij vai starptautiskai organizācijai pieņem, katru gadījumu izskatot atsevišķi un atbilstīgi šādas informācijas būtībai un saturam, informācijas vajadzības principam attiecībā uz saņēmēju un ES ieguvumam no nodošanas.

EĀDD lūdz rakstisku piekrišanu no jebkuras struktūras, kas sniegusi klasificēto informāciju kā EĀDD sagatavotās ESKI izejmateriālu, lai noskaidrotu, vai tai nav iebildumu pret klasificētās informācijas nodošanu.

Ja EĀDD nav nododamās klasificētās informācijas sagatavotājs, EĀDD vispirms lūdz sagatavotāja rakstisku piekrišanu nodošanai.

Taču, ja EĀDD nevar noteikt sagatavotāju, EĀDD drošības iestāde pēc tam, kad ir saņēmusi dalībvalstu pārstāvju EĀDD Drošības komitejā vienprātīgu piekrišanu, uzņemas sagatavotāja atbildību.

5. Šā panta īstenošanas noteikumi ir izklāstīti A VI pielikumā.

11. pants

Drošības prasību pārkāpumi un klasificētas informācijas apdraudējums

1. Par jebkuriem drošības prasību pārkāpumiem vai iespējamiem drošības prasību pārkāpumiem un jebkuriem klasificētas informācijas apdraudējumiem vai iespējamiem apdraudējumiem nekavējoties ziņo EĀDD Drošības direktorātam, kas attiecīgi informē Komisijas Cilvēkresursu un drošības Ģenerāldirektorāta Drošības direktorātu un Padomes Ģenerālsekretariāta Drošības biroju, attiecīgo(-ās) dalībvalsti(-is) vai attiecīgo struktūru.

2. Ja ir zināms vai pastāv pamatotas aizdomas, ka klasificētā informācija ir apdraudēta vai zudusi, EĀDD Drošības direktorāts informē attiecīgi Komisijas Drošības direktorātu, Padomes Ģenerālsekretariāta Drošības biroju vai konkrētās(-o) dalībvalsts(-u) VDI vai citu attiecīgo struktūru un atbilstīgi piemērojamiem normatīvajiem aktiem veic visus vajadzīgos pasākumus, lai:

a)	novērtētu iespējamo kaitējumu, kas nodarīts ES vai dalībvalstu interesēm;

b)	veiktu attiecīgus pasākumus atkārtošanās novēršanai;

c)	aizsargātu pierādījumus;

d)	nodrošinātu, ka faktu apzināšanas nolūkā lietu izmeklē personāls, kas nav tieši saistīts ar drošības apdraudējumu;

e)	ziņotu attiecīgajām iestādēm par notikuma sekām un veiktajiem pasākumiem; un

f)	informētu informācijas sagatavotāju.

3. EĀDD pakļautajiem darbiniekiem, kuri ir atbildīgi par šajā lēmumā izklāstīto drošības noteikumu tīšu pārkāpšanu, piemēro disciplināratbildību saskaņā ar spēkā esošajiem noteikumiem.

Personām, kuras ir atbildīgas par klasificētas informācijas apdraudējumu vai zudumu, piemēro disciplināratbildību un/vai kriminālatbildību saskaņā ar spēkā esošajiem normatīvajiem aktiem.

Attiecīgā gadījumā nekavējoties informē Komisijas Cilvēkresursu un drošības ģenerāldirektorāta Drošības direktorātu un Padomes Ģenerālsekretariāta Drošības biroju vai konkrētās(-o) dalībvalsts(-u) VDI vai citas attiecīgās struktūras.

4. Pārkāpuma un/vai apdraudējuma izmeklēšanas laikā EĀDD Drošības direktorāta vadītājs var attiecīgajai personai liegt piekļuvi ESKI un EĀDD telpām. Par šādu lēmumu nekavējoties informē Komisijas Cilvēkresursu un drošības ģenerāldirektorāta Drošības direktorātu, Padomes Ģenerālsekretariāta Drošības biroju vai dalībvalsts(-u) VDI, vai citas attiecīgās struktūras.

A I PIELIKUMS

PERSONĀLA DROŠĪBA

I. IEVADS

Šajā pielikumā ir izklāstīti A pielikuma 5. panta īstenošanas noteikumi. Šeit jo īpaši izklāstīti kritēriji, ko EĀDD izmanto, lai, ņemot vērā personas lojalitāti un uzticamību, noteiktu tās tiesības saņemt atļauju piekļūt ESKI, un izmeklēšanas un administratīvās procedūras, kas vajadzīgas šim nolūkam.

“Personāla drošības pielaide” (PDP) piekļuvei ESKI ir dalībvalsts kompetentās iestādes deklarācija, kas pieņemta pēc tam, kad dalībvalsts kompetentās iestādes veikušas drošības izmeklēšanu, un ar ko apliecina, ka personai, ja ir apzināta viņas vajadzība pēc informācijas, līdz konkrētam datumam var sniegt piekļuvi ESKI līdz konkrētam līmenim (CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāk); var uzskatīt, ka tāda persona ir saņēmusi drošības pielaidi.

“Personāla drošības pielaides apliecība” (PDPA) ir EĀDD drošības iestādes izdota apliecība, ar kuru nosaka, ka persona ir saņēmusi drošības pielaidi un kurā norāda to ESKI klasifikācijas līmeni, līdz kuram personai var sniegt piekļuvi, attiecīgās PDP derīguma termiņu un apliecības derīguma termiņu.

“Atļauja piekļūt ESKI” ir atļauja, ko EĀDD drošības iestāde saskaņā ar šo lēmumu piešķir tad, kad dalībvalsts kompetentās iestādes ir piešķīrušas PDP, un ar ko apliecina, ka personai, ja ir apzināta viņas vajadzība pēc informācijas, līdz konkrētam datumam var sniegt piekļuvi ESKI līdz konkrētam līmenim (CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāk); var uzskatīt, ka tāda persona ir saņēmusi drošības pielaidi.

II. ATĻAUJA PIEKĻŪT ESKI

Lai piekļūtu informācijai, kas klasificēta kā RESTREINT UE/EU RESTRICTED, nevajag drošības pielaidi, un personai piešķir atļauju piekļūt šādai informācijai, ja:

a)	ir noteikta personas likumiskā vai līgumiskā saistība ar EĀDD,

b)	noskaidrota personas vajadzība pēc informācijas;

c)	persona ir iepazīstināta ar ESKI aizsardzībai paredzētajiem drošības noteikumiem un procedūrām un ir rakstiski atzinusi savus pienākumus aizsargāt ESKI saskaņā ar šo lēmumu.

Personai piešķir atļauju piekļūt informācijai, kas klasificēta kā CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāk, vienīgi ja:

a)	noskaidrota personas vajadzība pēc informācijas;

b)	personai piešķirta attiecīgā līmeņa PDP vai saņemta cita pienācīga atļauja ieņemamā amata dēļ atbilstīgi valsts normatīvajiem aktiem; un

c)	persona ir iepazīstināta ar ESKI aizsardzībai paredzētajiem drošības noteikumiem un procedūrām un ir rakstiski atzinusi savus pienākumus saistībā ar šādas informācijas aizsargāšanu.

EĀDD apzina tos amatus savās struktūrās, kuru izpildītājiem vajadzīga piekļuve informācijai, kas klasificēta kā CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāk, un tādēļ vajadzīga attiecīga līmeņa PDP, kā minēts 4. pantā.

EĀDD darbinieki paziņo, vai tie ir vairāku valstu pilsoņi.

PDP pieprasīšanas procedūras EĀDD

Attiecībā uz EĀDD darbiniekiem EĀDD iecēlējinstitūcija nosūta aizpildītās personāla drošības anketas tās dalībvalsts VDI, kuras valstspiederīgā ir šī persona, un lūdz veikt drošības izmeklēšanu saistībā ar ESKI līmeni, kuram šai personai varētu vajadzēt piekļūt.

10.

Ja persona ir vairāku valstu pilsonis, pārbaudes pieprasījumu adresē tās valsts VDI, kas personas darbā pieņemšanas brīdī bija norādīta kā tās valstspiederības valsts.

11.

Ja EĀDD uzzina informāciju, kas attiecas uz personu, kura pieteikusies PDP saņemšanai, un kas ir nozīmīga drošības izmeklēšanā, EĀDD rīkojas atbilstīgi attiecīgiem noteikumiem un šo informāciju paziņo attiecīgajai VDI.

12.

Pēc drošības izmeklēšanas beigām attiecīgā VDI izmeklēšanas rezultātus sniedz EĀDD Drošības direktorātam.

a)	Ja drošības izmeklēšanas rezultātā apstiprinās, ka nav zināms nekas negatīvs, kā dēļ varētu apšaubīt personas lojalitāti un uzticamību, EĀDD drošības iestāde var attiecīgajai personai piešķirt atļauju līdz konkrētam datumam piekļūt kāda attiecīga līmeņa ESKI.

b)	EĀDD veic visus vajadzīgos pasākumus, lai nodrošinātu VDI izvirzīto nosacījumu vai ierobežojumu pienācīgu īstenošanu. VDI informē par rezultātu.

Ja drošības izmeklēšanas rezultātā nerodas šāda pārliecība, EĀDD drošības iestāde dara to zināmu attiecīgajai personai, kura var lūgt, lai EĀDD drošības iestāde viņu uzklausītu. EĀDD drošības iestāde var lūgt kompetentajai VDI papildu skaidrojumus, ko tā drīkst sniegt saskaņā ar savas valsts normatīvajiem aktiem. Ja negatīvo atzinumu apstiprina, atļauju piekļūt ESKI nepiešķir. Tādā gadījumā EĀDD veic visus vajadzīgos pasākumus, lai nodrošinātu, ka kandidātam tiek liegta jebkāda piekļuve ESKI.

13.

Uz drošības izmeklēšanu kopā ar iegūtajiem rezultātiem, ar kuriem EĀDD pamato savu lēmumu, par to, vai piešķirt atļauju piekļūt ESKI, attiecas atbilstīgi normatīvie akti, kas ir spēkā attiecīgajā dalībvalstī, tostarp tiesību akti par pārsūdzēšanu. Uz EĀDD drošības iestādes lēmumiem attiecas pārsūdzēšanas iespēja saskaņā ar Eiropas Savienības Civildienesta noteikumiem un Eiropas Savienības Pārējo darbinieku nodarbināšanas kārtību, kā izklāstīts Regulā (EEK, Euratom, EOTK) Nr. 259/68 (1) (turpmāk “Civildienesta noteikumi”).

14.

PDP ir spēkā attiecībā uz visiem attiecīgās personas uzdevumiem EĀDD, Padomes Ģenerālsekretariātā vai Komisijā.

15.

Ja persona nesāk darbu 12 mēnešu laikā pēc tam, kad EĀDD drošības iestādei ziņots par drošības izmeklēšanas rezultātiem, vai ja personas darbā iestājas pārtraukums uz 12 mēnešiem vai ilgāk un tā šajā laikā neieņem amatu EĀDD, citās ES iestādēs, aģentūrās vai struktūrās vai arī dalībvalsts valsts pārvaldē, kura izpildei vajadzīga piekļuve klasificētai informācijai, izmeklēšanas rezultātus pārsūta attiecīgajai VDI, lai apstiprinātu, ka tie joprojām ir derīgi un izmantojami.

16.

Ja EĀDD saņem informāciju, kas attiecas uz drošības apdraudējumu, ko izraisa persona, kurai ir derīga PDP, tas rīkojas atbilstīgi attiecīgiem noteikumiem un šo informāciju paziņo kompetentajai VDI. Ja VDI informē EĀDD par apstiprinājuma atsaukšanu saskaņā ar 12. punkta a) apakšpunktu attiecībā uz personu, kurai ir derīga atļauja piekļūt ESKI, EĀDD drošības iestāde var lūgt jebkādu paskaidrojumu, ko VDI var sniegt saskaņā ar savas valsts normatīvajiem aktiem. Ja negatīvā informācija tiek apstiprināta, minēto atļauju atsauc un personai liedz piekļuvi ESKI un amatiem, kuros šāda piekļuve ir iespējama vai kuros minētā persona varētu apdraudēt drošību.

17.

Par jebkuru lēmumu atcelt EĀDD darbinieka atļauju piekļūt ESKI un attiecīgā gadījumā par tā iemesliem paziņo attiecīgajai personai, kura var lūgt, lai viņu uzklausītu EĀDD drošības iestāde. Uz VDI sniegto informāciju attiecas atbilstīgi normatīvie akti, kas ir spēkā attiecīgajā dalībvalstī, tostarp tiesību normas par pārsūdzēšanu. Uz EĀDD drošības iestādes lēmumiem attiecas pārsūdzēšanas iespēja saskaņā ar Civildienesta noteikumiem.

18.

Valsts eksperti, kas ir norīkoti darbam EĀDD tādā amatā, kura izpildītājam vajadzīga piekļuve informācijai, kuras klasifikācijas līmenis ir CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāks, pirms stāšanās amatā iesniedz EĀDD drošības iestādei derīgu attiecīga līmeņa PDP, lai nodrošinātu piekļuvi ESKI. Aprakstīto procesu pārvalda nosūtītāja dalībvalsts.

PDP reģistri

19.

EĀDD uztur datubāzi, kurā norādīts visu EĀDD pakļauto darbinieku un EĀDD līgumslēdzēju personāla drošības pielaides statuss. Šajos reģistros iekļauj to ESKI līmeni, kuram personai var būt piešķirta piekļuve (CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāk), PDP izsniegšanas datumu un derīguma termiņu.

20.

Lai nodrošinātu, ka EĀDD rīcībā ir precīzs un visaptverošs reģistrs, kurā norādīts visu EĀDD pakļauto darbinieku un EĀDD līgumslēdzēju personāla drošības pielaides statuss, īsteno atbilstīgas procedūras saskaņošanai ar dalībvalstīm un citām ES iestādēm, aģentūrām un struktūrām.

21.

EĀDD drošības iestāde var izsniegt personāla drošības pielaides apliecību (PDPA), norādot ESKI klasifikācijas līmeni, kuram personai var sniegt piekļuvi (CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāk), attiecīgās PDP derīguma termiņu un apliecības derīguma termiņu.

Atbrīvojums no prasības par PDP

22.

Tās personas, kuras ieņemamā amata dēļ saskaņā ar valsts normatīvajiem aktiem saņēmušas pienācīgu atļauju piekļūt ESKI, EĀDD Drošības direktorāts attiecīgi informē par drošības pienākumiem saistībā ar ESKI aizsardzību.

III. IZGLĪTOŠANA UN INFORMĒŠANA PAR DROŠĪBU

23.

Pirms tiek saņemta atļauja piekļūt ESKI, visas personas rakstiski apliecina, ka ir sapratušas savus pienākumus attiecībā uz ESKI aizsargāšanu un iespējamās sekas ESKI apdraudējuma gadījumā. Šādu rakstisku apliecinājumu reģistrus glabā EĀDD.

24.

Visas personas, kas ir pilnvarotas piekļūt ESKI vai kurām ar to jāstrādā, jau sākumā tiek informētas un vēlāk saņem regulāru atgādinājumu par drošības apdraudējumu, un tās nekavējoties informē attiecīgās drošības iestādes par jebkuru tuvošanās mēģinājumu vai citu darbību, kas šķiet aizdomīga vai neparasta.

25.

Visām personām, kam piešķirta piekļuve ESKI, laikposmā, kurā tās strādā ar ESKI, piemēro pastāvīgus personāla drošības pasākumus (t. i., pēcpārbaudi). Par personāla pastāvīgu drošību atbild:

personas, kurām piešķirta piekļuve ESKI, ir personīgi atbildīgas par savas rīcības drošību, un nekavējoties informē attiecīgās drošības iestādes par jebkuru tuvošanās mēģinājumu vai darbību, kas šķiet aizdomīga vai neparasta, kā arī personīgo apstākļu izmaiņām, kas var ietekmēt to PDP vai atļauju piekļūt ESKI;

nodaļu vadītāju pienākums ir nodrošināt, lai viņu darbinieki būtu informēti par drošības pasākumiem un pienākumiem attiecībā uz ESKI aizsargāšanu, uzraudzīt savu darbinieku rīcības drošību un vai nu risināt attiecīgos drošības jautājumus pašiem, vai arī sniegt attiecīgajām drošības iestādēm jebkādu negatīvu informāciju, kas var ietekmēt viņu darbinieku PDP vai atļauju piekļūt ESKI;

šā lēmuma 12. pantā minēto EĀDD drošības organizācijas drošības sistēmas dalībnieku pienākums ir sniegt informāciju par drošību, lai nodrošinātu attiecīgās jomas darbinieku regulāru informēšanu, veidot spēcīgu drošības kultūru viņu darbības jomā, izveidot darbinieku rīcības drošības uzraudzības pasākumus, kā arī sniegt attiecīgajām drošības iestādēm jebkādu negatīvu informāciju, kas var ietekmēt kādas personas PDP;

d)	EĀDD un dalībvalstis izveido vajadzīgos kanālus, lai sniegtu informāciju, kas var ietekmēt kādas personas PDP vai atļauju piekļūt ESKI.

26.

Visas personas, kas beidz pildīt pienākumus, kuri saistīti ar piekļuvi ESKI, iepazīstina ar pienākumu arī turpmāk neizpaust ESKI, un vajadzības gadījumā viņas to apliecina rakstiski.

IV. ĀRKĀRTAS GADĪJUMI

27.

Ārkārtas apstākļos, ja tas ir EĀDD interesēs, un gaidot pilnīgas drošības izmeklēšanas beigas, EĀDD drošības iestāde pēc konsultēšanās ar tās dalībvalsts VDI, kuras valstspiederīgais ir minētā persona, un atbilstīgi iepriekšējo pārbaužu rezultātiem, kas apliecina, ka nav zināma nekāda negatīva informācija, var EĀDD ierēdņiem un citiem darbiniekiem piešķirt pagaidu atļauju konkrētā darba uzdevumā piekļūt ESKI. Pilnīgo drošības izmeklēšanu pabeidz, cik vien ātri iespējams. Šādas pagaidu atļaujas ir derīgas uz laikposmu, kas nepārsniedz sešus mēnešus, un nesniedz piekļuvi informācijai, kas klasificēta kā TRES SECRET UE/EU TOP SECRET. Visas personas, kam piešķirta pagaidu piekļuve, rakstiski apliecina, ka ir sapratušas savus pienākumus attiecībā uz ESKI aizsargāšanu un iespējamās sekas, ja ESKI ir apdraudēta. Šādu rakstisku apliecinājumu reģistrus glabā EĀDD.

28.

Ja personu ieceļ amatā, kam vajadzīga augstāka līmeņa PDP nekā tā, kas šai personai ir piešķirta, viņu var iecelt amatā pagaidu kārtībā, ja:

a)	personas tiešais priekšnieks rakstiski pamato obligāto vajadzību piekļūt augstāka līmeņa ESKI;

b)	piekļuve attiecas tikai uz konkrētām ESKI daļām, kas vajadzīgas uzdevumam;

c)	personai jau ir derīga PDP;

d)	ir sāktas darbības, lai iegūtu attiecīgajam amatam vajadzīgā līmeņa atļauju;

e)	kompetentā iestāde ir veikusi pietiekamas pārbaudes un pārliecinājusies, ka persona nav nopietni vai atkārtoti pārkāpusi drošības noteikumus;

f)	personas iecelšanu ir apstiprinājusi kompetentā EĀDD amatpersona; un

g)	ir notikusi apspriešanās ar to VDI/IDI, kura piešķīra personai PDP, un tā nav izteikusi iebildumus;

h)	attiecīgā reģistrā vai pakārtotā reģistrā fiksē datus par izņēmuma gadījumu, ietverot tās informācijas aprakstu, kurai ir apstiprināta piekļuve.

29.

Minētās procedūras izmanto vienreizējai piekļuvei ESKI, kas ir klasificēta par vienu līmeni augstāk nekā tā, kuras piekļuvei persona ir izturējusi drošības pārbaudi. Minēto procedūru neizmanto atkārtoti.

30.

Ārkārtas izņēmuma gadījumos, piemēram, darba braucienos naidīgā vidē vai laikā, kad pieaug starptautiskais saspīlējums, ja to prasa ārkārtas pasākumi, jo īpaši — lai glābtu dzīvības, AP, izpildu ģenerālsekretārs vai galvenais izpilddirektors var attiecīgā gadījumā rakstiski piešķirt piekļuvi CONFIDENTIEL UE/EU CONFIDENTIAL vai SECRET UE/EU SECRET līmenī klasificētai informācijai tādām personām, kam nav vajadzīgās PDP, ja tāda atļauja ir obligāti vajadzīga un nav pamatotu šaubu par attiecīgās personas lojalitāti un uzticamību. Tiek fiksēti dati par piešķirto atļauju, norādot arī tās informācijas aprakstu, kurai ir sniegta piekļuve.

31.

Ja informācija ir klasificēta kā TRES SECRET UE/EU TOP SECRET, ārkārtas piekļuvi piešķir tikai ES valstspiederīgajiem, kam ir piešķirta piekļuve vai nu TRES SECRET UE/EU TOP SECRET līdzvērtīgai valsts klasifikācijai, vai informācijai, kas klasificēta kā SECRET UE/EU SECRET.

32.

EĀDD Drošības komiteju informē par gadījumiem, kad tiek izmantota 29. un 30. punktā izklāstītā procedūra.

33.

EĀDD Drošības komiteja katru gadu saņem ziņojumu par šajā iedaļā izklāstīto procedūru izmantojumu.

V. SANĀKSMJU APMEKLĒŠANA EĀDD MĪTNĒ UN SAVIENĪBAS DELEGĀCIJĀS

34.

Personas, kas nosūtītas piedalīties sanāksmēs EĀDD mītnē un Savienības delegācijās, kurās apspriež informāciju, kas klasificēta kā CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāk, var tajās piedalīties tikai tad, ja ir apstiprināts viņu PDP statuss. Attiecībā uz dalībvalstu pārstāvjiem, PĢS un Komisijas amatpersonām PDP apliecību vai citus PDP pierādījumus EĀDD Drošības direktorātam vai Savienības delegācijas drošības koordinatoram nosūta attiecīgās iestādes vai, izņēmuma gadījumā, iesniedz attiecīgā persona. Attiecīgā gadījumā var izmantot konsolidētu sarakstu ar personu vārdiem un uzvārdiem, sniedzot vajadzīgo PDP pierādījumu.

35.

Kompetentā iestāde informē EĀDD, ja ir atcelta PDP, lai piekļūtu ESKI, personai, kuras pienākumos ietilpst apmeklēt sanāksmes EĀDD mītnē vai Savienības delegācijās, kurās apspriež informāciju, kuras klasifikācijas līmenis ir CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāks.

VI. IESPĒJAMA PIEKĻUVE ESKI

36.

Ja personas pieņem darbā, kas veicams apstākļos, kuros tām var būt piekļuve informācijai, kuras klasifikācijas līmenis ir CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāks, tām piemēro pienācīgas drošības pielaides vai arī tās vienmēr eskortē.

37.

Kurjeri, apsargi un eskortētāji iziet attiecīga līmeņa drošības pārbaudes vai arī attiecībā uz viņiem saskaņā ar valsts normatīvajiem aktiem veic atbilstīgu izmeklēšanu, viņus regulāri instruē par ESKI aizsardzības drošības procedūrām un dara viņiem zināmu pienākumu sargāt uzticēto informāciju vai informāciju, kurai tie var netīši piekļūt.

(1) OV L 56, 4.3.1968., 1. lpp.

A II PIELIKUMS

ES KLASIFICĒTAS INFORMĀCIJAS FIZISKĀ DROŠĪBA

I. IEVADS

Šajā pielikumā izklāstīti A pielikuma 6. panta īstenošanas noteikumi. Ar šo pielikumu nosaka fiziskās aizsardzības obligātos standartus telpās, ēkās, birojos un citās zonās, kur notiek ESKI apstrāde un glabāšana, tostarp zonās, kur atrodas KIS.

Fiziskās drošības pasākumi ir paredzēti, lai novērstu neatļautu piekļuvi ESKI:

a)	nodrošinot pienācīgu ESKI apstrādi un glabāšanu;

b)	pieļaujot personāla nošķiršanu atbilstīgi pielaidei ESKI, ņemot vērā informācijas vajadzības principu un attiecīgā gadījumā personāla drošības pielaidi;

c)	novēršot, kavējot un atklājot neatļautas darbības; un

d)	neatļaujot vai aizkavējot iekļūšanu slepus vai vardarbīgā veidā.

II. FIZISKĀS DROŠĪBAS PRASĪBAS UN PASĀKUMI

EĀDD ESKI aizsargāšanai savās telpās piemēro riska pārvaldības procesu, lai nodrošinātu, ka piemēro tāda līmeņa fizisko aizsardzību, kas ir samērīga novērtētajam riskam. Riska pārvaldības procesā ņem vērā visus attiecīgos faktorus, jo īpaši:

a)	ESKI klasifikācijas līmeni;

b)	ESKI veidu un apjomu, ņemot vērā, ka liela ESKI daudzuma vai apkopojuma gadījumā var būt nepieciešami stingrāki aizsardzības pasākumi;

c)	apkārtējo vidi un to ēku un zonu uzbūvi, kurās atrodas ESKI; un

d)	trešo valstu apdraudējuma novērtējumu, ko, jo īpaši pamatojoties uz Savienības delegāciju ziņojumiem, izstrādājis INTCEN; un

e)	novērtēto apdraudējumu, ko rada izlūkošanas dienesti, kuri vēršas pret ES vai dalībvalstīm, un sabotāža, terorisms un citas graujošas vai noziedzīgas darbības.

Piemērojot pastiprinātas aizsardzības koncepciju, EĀDD drošības iestāde nosaka atbilstīgu īstenojamo fiziskās drošības pasākumu kopumu. Šajā kopumā var tikt iekļauts viens vai vairāki šādi pasākumi:

a)	perimetra barjera — fiziska barjera, ar kuru nosaka aizsargājamās zonas robežas;

b)	ielaušanās konstatācijas sistēma (IDS) — IDS var izmantot uz perimetra, lai pastiprinātu barjeras sniegto drošību, vai arī to var izmantot telpās un ēkās drošības personāla vietā vai tā atbalstam;

c)	piekļuves kontrole — piekļuves kontroli var veikt noteiktā vietā, ēkā vai ēkās, kuras atrodas noteiktā vietā, vai zonās vai telpās ēkas iekšienē. Kontrole var būt elektroniska vai elektromehāniska, to var veikt drošības personāls un/vai sekretārs, vai ar citiem fiziskiem līdzekļiem;

d)	drošības personāls — var pieņemt darbā drošības personālu, kas ir apmācīts, uzraudzīts un vajadzības gadījumā ar atbilstīgu pielaidi, inter alia, lai novērstu iespējamu ielaušanos;

e)	videonovērošanas sistēma (CCTV) — drošības personāls var izmantot CCTV, lai pārbaudītu incidentus un IDS trauksmes signālus plašās vietās vai uz perimetra;

f)	drošības apgaismojums — var izmantot drošības apgaismojumu, lai novērstu iespējamu ielaušanos, kā arī nodrošinātu apgaismojumu, kas vajadzīgs efektīvai uzraudzībai, ko drošības personāls veic vai nu tieši, vai arī netieši, izmantojot CCTV sistēmu; un

g)	citi atbilstīgi fiziski pasākumi, kas paredzēti neatļautas piekļuves novēršanai un atklāšanai vai ESKI zuduma vai bojājuma novēršanai.

EĀDD Drošības direktorāts var pārmeklēt personas pie ieejas vai izejas, lai novērstu materiālu neatļautu ievešanu vai ESKI neatļautu izvešanu no telpām vai ēkām.

Ja pastāv draudi, ka ESKI varētu slepus novērot (arī nejauši), veic atbilstīgus pasākumus, lai novērstu šo apdraudējumu.

Attiecībā uz jaunām iekārtām fiziskās drošības prasības un to darbības specifikācijas pēc iespējas iekļauj iekārtu plānošanā un izveidē. Jau esošās iekārtās fiziskās drošības prasības īsteno pēc iespējas lielākā apjomā.

III. IEKĀRTAS FIZISKAI ESKI AIZSARDZĪBAI

Iegādājoties iekārtas (piemēram, seifus, smalcinātājus, durvju slēdzenes, elektroniskas piekļuves kontroles sistēmas, IDS, signalizācijas sistēmas) fiziskai ESKI aizsargāšanai, EĀDD drošības iestāde nodrošina, ka iekārtas atbilst apstiprinātiem tehniskiem standartiem un obligātajām prasībām.

Fiziskai ESKI aizsardzībai izmantojamo iekārtu tehniskās specifikācijas ir izklāstītas drošības pamatnostādnēs, ko apstiprina EĀDD Drošības komiteja.

10.

Drošības sistēmas periodiski pārbauda un veic iekārtu regulāru apkopi. Apkopes darbā ņem vērā pārbaužu rezultātus, lai nodrošinātu, ka iekārtas turpina maksimāli efektīvi darboties.

11.

Katrā pārbaudē pārskata atsevišķu drošības pasākumu un visas drošības sistēmas efektivitāti.

IV. FIZISKI AIZSARGĀTAS ZONAS

12.

Fiziskai ESKI aizsardzībai izveido divu veidu fiziski aizsargātas zonas vai tām līdzvērtīgas valsts zonas:

a)	administratīvās zonas un

b)	drošības zonas (tostarp tehniski drošas drošības zonas).

13.

EĀDD drošības iestāde nosaka, vai zona atbilst prasībām, lai to varētu kvalificēt kā administratīvo zonu, drošības zonu un tehniski drošu drošības zonu.

14.

Attiecībā uz administratīvām zonām:

a)	izveido redzami nodalītu perimetru, pie kura var pārbaudīt personas un, ja iespējams, transportlīdzekļus;

b)	piekļuvi bez eskorta piešķir tikai personām, kurām ir pienācīga EĀDD Drošības direktorāta izsniegta atļauja; un

c)	visas pārējās personas vienmēr eskortē vai tām piemēro līdzvērtīgu kontroli.

15.

Attiecībā uz drošības zonām:

a)	izveido redzami nodalītu un aizsargātu perimetru, kurā visu veidu iekļūšanu un izkļūšanu kontrolē ar caurlaižu vai individuālās identifikācijas sistēmu;

b)	piekļuvi bez eskorta var piešķirt tikai personām, kurām ir atbilstīga līmeņa drošības pielaide un īpaša atļauja iekļūt zonā, pamatojoties uz informācijas vajadzības principu;

c)	visas pārējās personas vienmēr eskortē vai tām piemēro līdzvērtīgu kontroli.

16.

Gadījumos, kad praktisku apsvērumu dēļ piekļuve drošības zonām ir saistīta ar tiešu piekļuvi klasificētai informācijai, kas tajā atrodas, piemēro šādus papildu nosacījumus:

a)	skaidri norāda augstāko tās informācijas drošības klasifikācijas līmeni, kura parasti atrodas šajā zonā;

b)	visiem apmeklētājiem ir nepieciešama īpaša atļauja iekļūt zonā, viņus vienmēr eskortē un viņiem ir nepieciešama pienācīga drošības pielaide, ja vien nav veikti pasākumi, lai nodrošinātu, ka nav iespējama jebkāda veida piekļuve ESKI;

c)	elektroniskās ierīces atstāj ārpus šīs zonas.

17.

Drošības zonas, kuras ir aizsargātas pret slepenu noklausīšanos ar skaņas pārtveršanu, raksturo kā tehniski drošas drošības zonas. Piemēro šādus papildu nosacījumus:

a)	šādas zonas ir aprīkotas ar IDS, aizslēgtas, kad tajās neviens neuzturas, vai apsargātas, kad tajās kāds uzturas. Visas atslēgas pārbauda saskaņā ar šā pielikuma VI iedaļu;

b)	pārbauda visas personas, kas ienāk šajās zonās, un materiālus, ko tajās ienes;

c)	šādās zonās veic regulāras fiziskas un/vai tehniskas pārbaudes, kā to nosaka EĀDD drošības iestāde. Minētās pārbaudes veic arī katru reizi pēc jebkādas neatļautas iekļuves vai aizdomām par šādu iekļuvi; un

d)	šādās zonās neizmanto neatļautas sakaru līnijas, neatļautus tālruņus vai citas neatļautas sakaru iekārtas, elektriskas vai elektroniskas iekārtas.

18.

Neskarot 17. punkta d) apakšpunktu, pirms dažādu tipu sakaru iekārtu, elektrisku un elektronisku iekārtu izmantošanas zonās, kur notiek sanāksmes vai veic darbu, izmantojot informāciju, kuras klasifikācijas līmenis ir SECRET UE/EU SECRET un augstāks, un apstākļos, kad ESKI apdraudējumu vērtē kā augstu, tās pārbauda EĀDD drošības iestāde, lai nodrošinātu, ka ārpus drošības zonas perimetra ar šādām iekārtām netīši vai nelikumīgi nepārraidītu nekādu saprotamu informāciju.

19.

Ja drošības zonas, kurās dienesta personāls neuzturas visu diennakti, nav aprīkotas ar ielaušanās atklāšanas sistēmu, tās attiecīgā gadījumā pārbauda tūlīt pēc parastā darba laika beigām un nejauši izvēlētos intervālos ārpus parastā darba laika.

20.

Administratīvā zonā uz laiku var izveidot drošības zonas un tehniski drošas drošības zonas, lai organizētu slepenu sanāksmi vai citiem līdzīgiem mērķiem.

21.

Katrai drošības zonai izstrādā drošības darba procedūras, kurās paredz:

a)	zonā apstrādātās vai glabātās ESKI klasifikācijas līmeni;

b)	veicamos pārraudzības un aizsardzības pasākumus;

c)	personas, kurām ir atļauts iekļūt zonā bez eskorta, pamatojoties uz informācijas vajadzības principu un drošības pielaidi;

d)	vajadzības gadījumā — eskortēšanas vai ESKI aizsardzības procedūras, kad piekļūt zonai ir atļauts citām personām;

e)	citus attiecīgus pasākumus un procedūras.

22.

Drošības zonās izveido glabātavas. Sienas, grīdas, griestus, logus un aizslēdzamas durvis apstiprina EĀDD drošības iestāde, un tie sniedz aizsardzību, kas ir līdzvērtīga tāda seifa sniegtajai aizsardzībai, kas apstiprināts tās pašas klasifikācijas līmeņa ESKI glabāšanai.

V. FIZISKĀS AIZSARDZĪBAS PASĀKUMI ESKI APSTRĀDĒ UN GLABĀŠANĀ

23.

ESKI, kas klasificēta kā RESTREINT UE/EU RESTRICTED, drīkst apstrādāt:

a)	drošības zonā;

b)	administratīvā zonā, ja ESKI ir aizsargāta pret nesankcionētu personu piekļuvi; vai

ārpus drošības vai administratīvās zonas, ja informācijas turētājs pārvieto ESKI saskaņā ar A III pielikuma 30.–42. punktu un ja viņš veic kompensācijas pasākumus, kas izklāstīti EĀDD drošības iestādes izdotās drošības instrukcijās, lai nodrošinātu, ka ESKI ir aizsargāta pret nesankcionētu personu piekļuvi.

24.

ESKI, kas klasificēta kā RESTREINT UE/EU RESTRICTED, glabā piemērotās aizslēdzamās biroja mēbelēs administratīvā zonā vai drošības zonā. To uz laiku var glabāt ārpus drošības vai administratīvās zonas, ja informācijas turētājs veic kompensācijas pasākumus, kas izklāstīti EĀDD drošības iestādes izdotās drošības instrukcijās.

25.

ESKI, kas klasificēta kā CONFIDENTIEL UE/EU CONFIDENTIAL vai SECRET UE/EU SECRET, drīkst apstrādāt:

a)	drošības zonā;

b)	administratīvā zonā, ja ESKI ir aizsargāta pret nesankcionētu personu piekļuvi; vai

ārpus drošības vai administratīvās zonas, ja informācijas turētājs:

i)	pārvieto ESKI saskaņā ar A III pielikuma 30.–42. punktu;

ii)	veic kompensācijas pasākumus, kas izklāstīti EĀDD drošības iestādes izdotās drošības instrukcijās, lai nodrošinātu, ka ESKI ir aizsargāta pret nesankcionētu personu piekļuvi;

iii)	nodrošina, ka ESKI vienmēr ir viņa personīgā kontrolē; un

iv)	gadījumā, ja dokumenti ir papīra formā, par šo faktu ir informējis atbilstīgo reģistru.

26.

ESKI, kas klasificēta kā CONFIDENTIEL UE/EU CONFIDENTIAL un SECRET UE/EU SECRET, glabā drošības zonā seifā vai glabātavā.

27.

ESKI, kas klasificēta kā TRES SECRET UE/EU TOP SECRET, apstrādā drošības zonā.

28.

ESKI, kas klasificēta kā TRES SECRET UE/EU TOP SECRET, glabā EĀDD mītnes drošības zonā, ievērojot vienu no šiem nosacījumiem:

saskaņā ar 8. punktu seifā ar vienu vai vairākiem papildu kontroles pasākumiem:

i)	drošības pārbaudi izturējuša drošības personāla vai dienesta personāla veikta nepārtraukta aizsardzība vai pārbaudes;

ii)	apstiprināta IDS kopā ar drošības darbiniekiem;

vai

b)	glabātavā, kas aprīkota ar IDS, kopā ar drošības darbiniekiem.

29.

Noteikumi attiecībā uz ESKI pārvietošanu ārpus fiziski aizsargātām zonām ir izklāstīti A III pielikumā.

VI. ESKI AIZSARDZĪBAI IZMANTOTO ATSLĒGU UN KODU KOMBINĀCIJU KONTROLE

30.

EĀDD drošības iestāde nosaka procedūras biroju, telpu, glabātavu un seifu atslēgu un kodu kombināciju iestatījumu pārzināšanai. Šādas procedūras aizsargā pret neatļautu piekļuvi.

31.

Seifu kodu kombinācijas iegaumē pēc iespējas mazāks to personu skaits, kuras atbilst informācijas vajadzības principam. To seifu un glabātavu kodu kombinācijas, kuros glabājas ESKI, maina:

a)	saņemot jaunu seifu;

b)	ja ir mainījies personāls, kas zina šo kodu kombināciju;

c)	ja ir īstenojies apdraudējums vai ir aizdomas, ka tas ir īstenojies;

d)	veicot slēdzenes apkopi vai remontu; un

e)	vismaz reizi 12 mēnešos.

A III PIELIKUMS

KLASIFICĒTAS INFORMĀCIJAS PĀRVALDĪBA

I. IEVADS

Šajā pielikumā ir izklāstīti A pielikuma 7. panta īstenošanas noteikumi. Ar to paredz administratīvus pasākumus ESKI kontrolei visā tās aprites cikla laikā, lai palīdzētu novērst un atklāt tīšu vai netīšu šādas informācijas apdraudējumu un atgūt to tīšas vai netīšas nozaudēšanas gadījumā.

II. KLASIFIKĀCIJAS PĀRVALDĪBA

Klasifikācijas un marķējumi

Informāciju klasificē, ja tā ir jāaizsargā, lai nodrošinātu tās konfidencialitāti.

ESKI sagatavotājs atbild par drošības klasifikācijas līmeņa noteikšanu saskaņā ar attiecīgajām pamatnostādnēm un par informācijas izplatīšanu.

ESKI klasifikācijas līmeni nosaka saskaņā ar A pielikuma 2. panta 2. punktu un, atsaucoties uz drošības politiku, kas apstiprināta atbilstīgi A pielikuma 3. panta 3. punktam.

Dalībvalstu klasificētajai informācijai, ko nodod EĀDD, nodrošina tādu pašu aizsardzības līmeni kā līdzvērtīgi klasificētai ESKI. Atbilsmju tabula ir pieejama Padomes 2011. gada 31. marta Lēmuma 2011/292/ES par drošības noteikumiem ES klasificētas informācijas aizsardzībai B papildinājumā.

Drošības klasifikāciju un attiecīgā gadījumā datumu vai konkrētu notikumu, pēc kura informāciju var klasificēt zemākā līmenī vai deklasificēt, norāda skaidri un pareizi neatkarīgi no tā, vai ESKI ir papīra, mutiskā, elektroniskā vai kādā citā formā.

Konkrēta dokumenta atsevišķām daļām (piemēram, lappusēm, punktiem, iedaļām, pielikumiem, papildinājumiem un pievienojumiem) var būt vajadzīga atšķirīga klasifikācija, un tos attiecīgi marķē, tostarp glabājot elektroniskā formātā.

Dokumentus, kas ietver daļas ar dažādiem klasifikācijas līmeņiem, pēc iespējas veido tā, lai daļas ar dažādiem klasifikācijas līmeņiem varētu viegli identificēt un vajadzības gadījumā atdalīt.

Vispārējais dokumenta vai lietas klasifikācijas līmenis ir vismaz tikpat augsts, cik tā komponentam ar visaugstāko klasifikāciju. Kad apkopo informāciju no dažādiem avotiem, galaproduktu pārskata, lai noteiktu tā vispārējo drošības klasifikācijas līmeni, jo tas var likt piešķirt augstāku klasifikācijas līmeni nekā tā atsevišķām sastāvdaļām.

10.

Pavadvēstules vai piezīmes klasifikācija ir tikpat augsta kā tai pievienoto dokumentu visaugstākā klasifikācija. Informācijas sagatavotājs skaidri norāda, kādā līmenī to klasificē, kad tā ir atdalīta no pievienotajiem dokumentiem, izmantojot atbilstīgu marķējumu, piemēram:

CONFIDENTIEL UE/EU CONFIDENTIAL

Bez pielikuma(-iem) RESTREINT UE/EU RESTRICTED

Marķējums

11.

Papildus vienam no drošības klasifikācijas marķējumiem, kas noteikti A pielikuma 2. panta 2. punktā, ESKI var būt šādi papildu marķējumi:

a)	identifikatori, ar ko norāda informācijas sagatavotāju;

b)	brīdinājumi, kodu vārdi vai akronīmi, ar ko precizē darbības jomu, uz kuru attiecas dokuments, vai lai norādītu konkrētu izplatīšanu, pamatojoties uz vajadzību pēc informācijas, vai lietošanas ierobežojumus;

c)	marķējumi attiecībā uz nodošanu.

12.

Pamatojoties uz lēmumu ESKI nodot trešai valstij vai starptautiskai organizācijai, EĀDD Drošības direktorāts attiecīgo klasificēto informāciju nosūta līdz ar nodošanas pieļaujamības marķējumu attiecībā uz to trešo valsti vai starptautisko organizāciju, kurai to nodod.

13.

Atļauto marķējumu sarakstu pieņem EĀDD drošības iestāde.

Klasifikācijas marķējumu saīsinājumi

14.

Var izmantot standartizētus klasifikācijas marķējumu saīsinājumus, lai norādītu atsevišķu teksta daļu klasifikācijas līmeni. Saīsinājumi neaizstāj klasifikācijas pilnos marķējumus.

15.

ES klasificētajos dokumentos var izmantot šādus standarta saīsinājumus, lai norādītu tāda teksta iedaļu vai nodaļu klasifikācijas līmeni, kas ir mazāks par vienu lapu:

TRES SECRET UE/EU TOP SECRET	TS-UE/EU-TS
SECRET UE/EU SECRET	S-UE/EU-S
CONFIDENTIEL UE/EU CONFIDENTIAL	C-UE/EU-C
RESTREINT UE/EU RESTRICTED	R-UE/EU-R

ESKI sagatavošana

16.

Gatavojot ES klasificētu dokumentu:

a)	katru lappusi skaidri marķē atbilstīgi klasifikācijas līmenim;

b)	katru lappusi numurē;

c)	uz dokumenta raksta atsauces numuru un tematu, kas pats par sevi nav klasificēta informācija, ja vien tas nav marķēts kā klasificēta informācija;

d)	dokumentu datē;

e)	dokumentiem, kuru klasifikācijas līmenis ir CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāks, katrā lappusē norāda kopijas numuru, ja tos izplata vairākos eksemplāros.

17.

Ja ESKI nav iespējams piemērot 15. punktu, veic citus piemērotus pasākumus saskaņā ar drošības pamatnostādnēm, kuras izstrādā, ievērojot šo lēmumu.

ESKI klasifikācijas līmeņa pazemināšana un deklasifikācija

18.

Gatavojot informāciju, tās sagatavotājs, ja iespējams, un īpaši informācijai, kas klasificēta kā RESTREINT UE/EU RESTRICTED, norāda, vai ir iespējams pazemināt ESKI klasifikācijas līmeni vai to deklasificēt konkrētā datumā vai pēc konkrēta notikuma.

19.

EĀDD regulāri pārskata ESKI, kas atrodas tā rīcībā, lai pārliecinātos, vai attiecīgais klasifikācijas līmenis joprojām ir piemērots. EĀDD izveido sistēmu, lai ne retāk kā ik pēc pieciem gadiem pārskatītu tās reģistrētās ESKI klasifikācijas līmeni, ko tas sagatavojis. Šādu pārskatīšanu neveic, ja sagatavotājs jau sākotnēji ir norādījis konkrētu laiku, kad informācijas klasifikācijas līmeni automātiski pazemina vai to deklasificē, un uz informācijas ir attiecīgs marķējums.

III. ESKI REĢISTRĀCIJA DROŠĪBAS NOLŪKĀ

20.

EĀDD mītnē izveido centrālo reģistru. Katrai EĀDD organizatoriskajai struktūrai, kurā apstrādā ESKI, izveido centrālajam reģistram pakļautu atbildīgo reģistru, lai nodrošinātu ESKI apstrādi atbilstīgi šim lēmumam. Reģistrus veido kā A pielikumā definētās drošības zonas.

Katra Savienības delegācija izveido savu ESKI reģistru.

EĀDD drošības iestāde ieceļ šo reģistru galveno reģistratoru.

21.

Šajā lēmumā reģistrācija drošības nolūkā (turpmāk “reģistrācija”) ir tādu procedūru piemērošana, saskaņā ar ko reģistrē informācijas aprites ciklu, tostarp tās izplatīšanu un iznīcināšanu. KIS gadījumā reģistrācijas procedūras var veikt ar procesiem, kas ietilpst pašās KIS.

22.

Visus materiālus, kuru klasifikācijas līmenis ir CONFIDENTIEL UE/EU CONFIDENTIAL un augstāks, reģistrē īpašos reģistros, kad tie tiek saņemti organizatoriskajā struktūrā, tostarp Savienības delegācijā, vai tiek izsūtīti no tās. Informāciju, kas klasificēta kā TRES SECRET UE/EU TOP SECRET, reģistrē īpašos reģistros.

23.

Centrālais reģistrs atrodas EĀDD mītnē — galvenajā ieejas un izejas punktā, kurā notiek klasificētas informācijas apmaiņa ar trešām valstīm un starptautiskām organizācijām. Reģistrā reģistrē visus šādas informācijas apmaiņas gadījumus.

24.

AP saskaņā ar šā lēmuma 14. pantu apstiprina drošības politiku attiecībā uz ESKI reģistrāciju drošības nolūkā.

Tres secret UE/EU top secret reģistri

25.

EĀDD mītnē izveido centrālo reģistru, un tas darbojas kā TRES SECRET UE/EU TOP SECRET klasificētas informācijas galvenā saņemšanas un izplatīšanas iestāde. Vajadzības gadījumā var izveidot pakārtotus reģistrus, kuros šādu informāciju apstrādā reģistrēšanas nolūkā.

26.

Pakārtoti reģistri bez skaidras un rakstiskas centrālā TRES SECRET UE/EU TOP SECRET informācijas reģistra atļaujas nedrīkst TRES SECRET UE/EU TOP SECRET dokumentus tieši nosūtīt ne citiem tā paša centrālā TRES SECRET UE/EU TOP SECRET informācijas reģistra pakārtotajiem reģistriem, ne ārējiem reģistriem.

IV. ES KLASIFICĒTU DOKUMENTU KOPĒŠANA UN TULKOŠANA

27.

Kopēt un tulkot TRES SECRET UE/EU TOP SECRET dokumentus drīkst tikai ar sagatavotāja iepriekšēju rakstisku piekrišanu.

28.

Ja SECRET UE/EU SECRET vai zemākas klasifikācijas dokumenta sagatavotājs nav noteicis brīdinājumus attiecībā uz minēto dokumentu kopēšanu vai tulkošanu, šādu dokumentu turētājs tos var kopēt vai tulkot.

29.

Drošības pasākumi, kas piemērojami oriģināldokumentam, ir piemērojami tā kopijām un tulkojumiem. Dokumentus, kuru klasifikācijas līmenis ir CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāks, kopē tikai attiecīgajā (pakārtotajā) reģistrā, un to dara, izmantojot drošu kopēšanas ierīci. Kopijas reģistrē.

V. ESKI PĀRVIETOŠANA

30.

Uz ESKI pārvietošanu attiecas aizsardzības pasākumi, kas ir izklāstīti 31.–41. punktā. Ja ESKI pārvieto ar elektroniskām iekārtām un neskarot A pielikuma 7. panta 4. punktu, turpmāk tekstā izklāstītos aizsardzības pasākumus var papildināt ar attiecīgiem tehniskiem pretpasākumiem, kā to noteikusi EĀDD drošības iestāde, lai cik vien iespējams samazinātu informācijas apdraudējuma vai zaudējuma iespēju.

31.

EĀDD drošības iestāde sniedz norādes attiecībā uz ESKI pārvietošanu atbilstīgi šim lēmumam.

Pārvietošana ēkā vai noslēgtā ēku grupā

32.

Ja ESKI pārvieto ēkā vai noslēgtā ēku grupā, to apsedz, lai novērstu to, ka kāds ierauga tās saturu.

33.

Informāciju, kas klasificēta kā TRES SECRET UE/EU TOP SECRET, ēkā vai noslēgtā ēku grupā pārnēsā personas, kam piešķirta atbilstīga drošības pielaide, un to ievieto nodrošinātā aploksnē, uz kuras ir norādīts tikai adresāta vārds un uzvārds.

Eiropas Savienībā

34.

ESKI, ko Eiropas Savienībā pārvieto no vienas ēkas vai telpas uz citu, iepako, lai tā būtu aizsargāta no neatļautas izpaušanas.

35.

Informāciju, kuras klasifikācijas līmenis ir līdz SECRET UE/EU SECRET, Eiropas Savienībā pārvieto šādi:

a)	attiecīgā gadījumā izmantojot militāro, valdības vai diplomātisko kurjeru;

rokas bagāžā ar nosacījumu, ka:

i)	ESKI visu laiku atrodas pārnēsātāja valdījumā, izņemot glabāšanu atbilstīgi A II pielikuma noteikumiem;

ii)	ESKI pārnēsāšanas laikā neatver vai nelasa publiskās vietās;

iii)	personas ir saņēmušas atbilstīga līmeņa drošības pielaidi un informētas par pienākumiem saistībā ar drošību;

iv)	vajadzības gadījumā personām izsniedz kurjera apliecību;

izmantojot pasta pakalpojumus vai komerciālus kurjeru pakalpojumus ar nosacījumu, ka:

i)	valsts drošības iestādes tos ir apstiprinājušas saskaņā ar attiecīgās valsts normatīvajiem aktiem;

ii)	tiem piemēro atbilstīgus aizsargpasākumus saskaņā ar obligātajām prasībām, kas noteiktas drošības pamatnostādnēs, ievērojot šā lēmuma 20. panta 1. punktu.

Gadījumā, ja veic pārvietošanu no vienas dalībvalsts uz citu dalībvalsti, c) apakšpunkta noteikumus attiecina vienīgi uz informāciju, kas klasificēta līmenī līdz CONFIDENTIEL UE/EU CONFIDENTIAL.

36.

Materiālus, kas klasificēti kā CONFIDENTIEL UE/EU CONFIDENTIAL un SECRET UE/EU SECRET (piemēram, iekārtas un mašīnas) un ko nevar pārvietot ar 34. punktā minētajiem līdzekļiem, nogādā, izmantojot kravu pārvadājumus, ko veic komercpārvadātāji saskaņā ar A V pielikumu.

37.

Informāciju, kas klasificēta kā TRES SECRET UE/EU TOP SECRET, no vienas ēkas vai telpas uz citu Eiropas Savienībā pārvieto, attiecīgā gadījumā izmantojot militāro, valdības vai diplomātisko kurjeru.

Pārvietošana no ES uz kādas trešās valsts teritoriju vai starp ES struktūrām trešās valstīs

38.

ESKI, ko no Eiropas Savienības pārvieto uz kādas trešās valsts teritoriju vai starp ES struktūrām trešās valstīs, iepako, lai tā būtu aizsargāta no neatļautas izpaušanas.

39.

Informāciju, kas klasificēta kā CONFIDENTIEL UE/EU CONFIDENTIAL un SECRET UE/EU SECRET, no ES uz kādas trešās valsts teritoriju un informāciju, kas klasificēta līmenī līdz SECRET UE/EU SECRET, starp ES struktūrām trešās valstīs pārvieto šādi:

a)	izmantojot militāro vai diplomātisko kurjeru;

rokas bagāžā ar nosacījumu, ka:

i)	uz iepakojuma ir oficiāls zīmogs vai informācija ir iepakota tā, lai norādītu, ka tas ir oficiāls sūtījums un tam nebūtu jāpiemēro muitas vai drošības pārbaudes;

ii)	personām ir kurjera apliecība, ar ko identificē sūtījumu un ļauj šai personai to pārvietot;

iii)	ESKI visu laiku atrodas pārnēsātāja valdījumā, izņemot glabāšanu atbilstīgi A II pielikuma noteikumiem;

iv)	ESKI pārnēsāšanas laikā neatver vai nelasa publiskās vietās; un

v)	personas ir saņēmušas atbilstīga līmeņa drošības pielaidi un informētas par pienākumiem saistībā ar drošību.

40.

Informāciju, kas ir klasificēta kā CONFIDENTIEL UE/EU CONFIDENTIAL un SECRET UE/EU SECRET un ko ES ir sniegusi trešām valstīm vai starptautiskām organizācijām, pārvieto saskaņā ar informācijas drošības nolīguma vai administratīvas vienošanās attiecīgajiem noteikumiem, kā noteikts A pielikuma 10. panta 2. punktā.

41.

Informāciju, kas klasificēta kā RESTREINT UE/EU RESTRICTED, var no ES uz kādas trešās valsts teritoriju pārvietot, arī izmantojot pasta pakalpojumus vai komerciālus kurjeru pakalpojumus.

42.

Informāciju, kas klasificēta kā TRES SECRET UE/EU TOP SECRET, no ES uz kādas trešās valsts teritoriju vai starp ES struktūrām trešās valstīs pārvieto, izmantojot militāro vai diplomātisko kurjeru.

VI. ESKI IZNĪCINĀŠANA

43.

ES klasificētos dokumentus, kas vairs nav vajadzīgi, var iznīcināt, neskarot attiecīgos arhivēšanas noteikumus.

44.

Dokumentus, kurus reģistrē saskaņā ar A pielikuma 7. panta 2. punktu, pēc to turētāja vai kompetentās iestādes rīkojuma iznīcina par šiem dokumentiem atbildīgais reģistrētājs. Reģistrācijas žurnālus un pārējo reģistrācijas informāciju atbilstīgi atjaunina.

45.

Dokumentus, kas klasificēti kā SECRET UE/EU SECRET vai TRES SECRET UE/EU TOP SECRET, iznīcina liecinieka klātbūtnē. Lieciniekam ir vismaz tāda līmeņa pielaide, kas atbilst iznīcināmā dokumenta klasifikācijas līmenim.

46.

Ja ir vajadzīga reģistrētāja un liecinieka klātbūtne, šīs personas paraksta iznīcināšanas sertifikātu, ko iekļauj reģistrā. TRES SECRET UE/EU TOP SECRET dokumentu iznīcināšanas sertifikātus reģistrā saglabā vismaz desmit gadus, un CONFIDENTIEL UE/EU CONFIDENTIAL un SECRET UE/EU SECRET dokumentu iznīcināšanas sertifikātus — vismaz piecus gadus.

47.

Klasificētos dokumentus, tostarp tos, kas klasificēti kā RESTREINT UE/EU RESTRICTED, iznīcina ar tādām metodēm, kuras atbilst attiecīgiem ES vai līdzvērtīgiem standartiem vai arī kuras apstiprinājusi dalībvalsts atbilstīgi valsts tehniskajiem standartiem, lai novērstu dokumentu pilnīgu vai daļēju atjaunošanu.

48.

ESKI vajadzībām izmantotu elektronisko informācijas nesēju iznīcināšana notiek saskaņā ar A IV pielikuma 36. punktu.

VII. DROŠĪBAS PĀRBAUDES

EĀDD drošības pārbaudes

49.

Saskaņā ar šā lēmuma 15. pantu EĀDD drošības pārbaudes ietver:

a)	vispārējas drošības pārbaudes, lai novērtētu EĀDD mītnes, Savienības delegāciju un visu no tām atkarīgo vai ar tām saistīto telpu vispārējo drošību un jo īpaši lai novērtētu to drošības pasākumu efektivitāti, ko īsteno EĀDD drošības interešu aizsardzības nolūkos;

ESKI drošības pārbaudes, lai novērtētu — parasti no akreditācijas skatupunkta — to pasākumu efektivitāti, ar ko nodrošina ESKI aizsardzību EĀDD mītnē un Savienības delegācijās.

Šādas pārbaudes jo īpaši veic, lai inter alia:

i)	nodrošinātu, ka tiek ievēroti šajā lēmumā ESKI aizsardzībai noteiktie obligātie standarti;

ii)	uzsvērtu, cik svarīga ir drošība un iedarbīga riska pārvaldība pārbaudāmajās struktūrās;

iii)	konkrētos gadījumos ieteiktu pretpasākumus, lai samazinātu kaitējumu, ko rada klasificētas informācijas konfidencialitātes, integritātes vai piekļuves režīma neievērošana; un

iv)	stiprinātu pašreizējās programmas, ko drošības iestādes īsteno, izglītojot un informējot par dažādiem jautājumiem drošības jomā.

EĀDD drošības pārbaužu veikšana un ziņošana par tām

50.

EĀDD drošības pārbaudes veic EĀDD Drošības direktorāta pārbaudes grupa, un vajadzības gadījumā tai palīdz citu ES iestāžu vai dalībvalstu drošības eksperti.

Pārbaudes grupai ir piekļuve visām vietām, jo īpaši reģistriem un KIS punktiem, kur notiek ESKI apstrāde.

51.

EĀDD drošības pārbaudes Savienības delegācijās var veikt, kad vien vajadzīgs, saņemot trešās valstīs izvietoto dalībvalstu vēstniecību drošības dienestu darbinieku palīdzību.

52.

Pirms katra kalendārā gada beigām EĀDD drošības iestāde pieņem EĀDD drošības pārbaužu programmu nākamajam gadam.

53.

Vajadzības gadījumā EĀDD drošības iestāde var organizēt minētajā programmā neparedzētas drošības pārbaudes.

54.

Drošības pārbaudes beigās galvenos secinājumus un ieteikumus iesniedz pārbaudītajai struktūrai. Pēc tam pārbaudes grupa izstrādā pārbaudes ziņojumu. Ja ziņojumā ir ierosinātas darbības un ieteikumi trūkumu novēršanai, tajā ietver arī pietiekami sīku secinājumu pamatojumu. Ziņojumu nosūta EĀDD drošības iestādei un pārbaudītās struktūras vadītājam.

EĀDD Drošības direktorāta atbildībā regulāri sagatavo ziņojumu, lai izceltu pieredzi, kas gūta konkrētā laikposmā veiktajās pārbaudēs un ko izskatījusi EĀDD Drošības komiteja.

Drošības pārbaužu veikšana ES aģentūrās un struktūrās, kas izveidotas saskaņā ar LES V sadaļas 2. nodaļu, un ziņošana par šīm pārbaudēm

55.

EĀDD Drošības direktorāts attiecīgā gadījumā var piesaistīt papildu ekspertus kopējām ES pārbaudes grupām, kuras veic pārbaudes ES aģentūrās un struktūrās, kas izveidotas saskaņā ar LES V sadaļas 2. nodaļu.

EĀDD drošības pārbaužu kontrolsaraksts

56.

EĀDD Drošības direktorāts izstrādā un atjaunina tādu priekšmetu drošības pārbaudes kontrolsarakstu, kuri jāpārbauda EĀDD drošības pārbaužu laikā. Šo kontrolsarakstu nosūta EĀDD Drošības komitejai.

57.

Informāciju, kas vajadzīga kontrolsaraksta aizpildīšanai, jo īpaši pārbaudes laikā iegūst no pārbaudāmo struktūru drošības pārvaldības darbiniekiem. Pēc kontrolsaraksta papildināšanas ar detalizētām atbildēm tam piešķir klasifikāciju, vienojoties ar pārbaudīto struktūru. To neuzskata par pārbaudes ziņojuma daļu.

A IV PIELIKUMS

ESKI AIZSARDZĪBA, TO APSTRĀDĀJOT KOMUNIKĀCIJU UN INFORMĀCIJAS SISTĒMĀS

I. IEVADS

Šajā pielikumā izklāstīti A pielikuma 8. panta īstenošanas noteikumi.

Lai darbības komunikāciju un informācijas sistēmās (KIS) notiktu droši un pareizi, būtiskas ir šādas informācijas aizsardzības (IA) īpašības un jēdzieni.

Autentiskums	:	garantija, ka informācija ir īsta un saņemta no bona fide avotiem.
Pieejamība	:	tai var piekļūt un to var izmantot pēc pilnvarotas iestādes pieprasījuma.
Konfidencialitāte	:	informāciju neatklāj nesankcionētām personām, iestādēm un procesiem.
Integritāte	:	spēja nosargāt informācijas un materiālu precizitāti un pilnīgumu.
Nenoliedzamība	:	spēja pierādīt, ka darbība vai notikums ir noticis, lai vēlāk šādu notikumu vai darbību nevarētu noliegt.

II. INFORMĀCIJAS AIZSARDZĪBAS PRINCIPI

Turpmāk izklāstītie noteikumi veido jebkuras tādas KIS drošības pamatus, kurā apstrādā ESKI. IA drošības politikā un drošības pamatnostādnēs nosaka sīki izstrādātas minēto noteikumu īstenošanas prasības.

Drošības riska pārvaldība

Drošības riska pārvaldība ir neatņemama daļa komunikāciju un informācijas sistēmas definēšanā, izstrādē, darbībā un uzturēšanā. Riska pārvaldību (izvērtējumu, risinājumu, pieņemšanu, paziņošanu) veic kā atkārtotu procesu kopīgi ar sistēmu īpašnieku pārstāvjiem, projekta iestādēm, darbības iestādēm un drošības apstiprināšanas iestādēm, izmantojot apliecinātu, pārskatāmu un pilnīgi izprotamu riska izvērtējuma procesu. KIS darbības jomu un tās materiālus skaidri definē riska pārvaldības procesa sākumā.

EĀDD kompetentās iestādes pārskata iespējamos komunikāciju un informācijas sistēmas apdraudējumus un uztur aktuālus un precīzus apdraudējumu izvērtējumus, kas atspoguļo pašreizējo darbības vidi. Tās pastāvīgi atjaunina informāciju par ietekmējamību un periodiski pārskata ietekmējamības izvērtējumu, lai atbilstu mainīgajai informāciju tehnoloģiju (IT) videi.

Drošības riska pārvaldības mērķis ir piemērot drošības pasākumu kopumu, kuru rezultātā panāk apmierinošu līdzsvaru starp lietotāja vajadzībām un neapzinātu drošības risku.

Atbilstīgās drošības akreditācijas iestādes (DAI) noteiktās īpašās detalizācijas prasības, darbības mērogs un pakāpe atbilst novērtētajam riskam, ņemot vērā visus atbilstīgos faktorus, tostarp KIS apstrādātās ESKI klasifikācijas līmeni. Akreditācijā ietver oficiālu paziņojumu par neapzinātu risku un to, ka atbildīgā iestāde pieņem neapzinātu risku.

Drošība visā KIS aprites ciklā

Drošība ir būtiska prasība, kas ir aktuāla visā KIS aprites ciklā no sākuma līdz izņemšanai no aprites.

Katram aprites cikla posmam nosaka katra dalībnieka, kas saistīts ar KIS, lomu un sadarbības veidu saistībā ar KIS drošību.

10.

Jebkurā KIS, tostarp tās tehniskajos drošības pasākumos un pasākumos, kas nav tehniski drošības pasākumi, akreditācijas laikā veic drošības pārbaudes, lai pārliecinātos, ka ar īstenotajiem drošības pasākumiem ir panākts piemērots aizsardzības līmenis, un pārbaudītu, ka tie ir pareizi īstenoti, integrēti un konfigurēti.

11.

KIS darbības posmā un uzturēšanas laikā periodiski, kā ārkārtas gadījumos veic drošības novērtējumus, pārbaudes un pārskatīšanu.

12.

Drošības informācija KIS vajadzībām tās aprites ciklā mainās kā pārmaiņu procesa un konfigurācijas vadības neatņemama daļa.

Paraugprakse

13.

EĀDD sadarbojas ar PĢS, Komisiju un dalībvalstīm, lai izveidotu kopīgu paraugpraksi KIS apstrādātas ESKI aizsardzībai. Paraugprakses pamatnostādnēs iekļauj KIS tehniskus, fiziskus, organizatoriskus un procedūras drošības pasākumus, kuru iedarbība cīņā pret konkrētiem apdraudējumiem un ietekmējamību ir pierādīta.

14.

KIS apstrādātas ESKI aizsardzībā izmanto pieredzi, ko guvušas IA iesaistītās struktūras gan ES, gan ārpus tās.

15.

Paraugprakses izplatīšana un turpmāka īstenošana palīdz panākt līdzvērtīgu aizsardzības līmeni dažādās EĀDD vadītās KIS, kurās apstrādā ESKI.

Pastiprināta aizsardzība

16.

Lai mazinātu apdraudējumu KIS, īsteno plaša spektra tehniskus drošības pasākumus un pasākumus, kas nav tehniski drošības pasākumi, izveidojot daudzslāņainu aizsardzību. Minētie slāņi ir:

a) atturēšana: drošības pasākumi, lai atturētu no jebkādiem kaitnieciskiem plāniem, kas vērsti pret KIS;

b) preventīva rīcība: drošības pasākumi, kuru mērķis ir traucēt vai novērst pret KIS vērstu uzbrukumu;

c) atklāšana: drošības pasākumi, kuru mērķis ir atklāt pret KIS vērstu uzbrukumu;

d) izturība: drošības pasākumi, kuru mērķis ir maksimāli ierobežot uzbrukuma ietekmi uz informācijas kopumu vai KIS materiāliem un tos pasargāt no turpmākiem bojājumiem; un

e) atjaunošana: drošības pasākumi, kuru mērķis ir atjaunot drošu KIS stāvokli.

Minēto drošības pasākumu stingrību un piemērojamību nosaka pēc riska izvērtējuma.

17.

EĀDD kompetentās iestādes nodrošina, ka tās spēj reaģēt uz gadījumiem, kuri var sniegties pāri organizācijas un valsts robežām, lai koordinētu reakciju un sniegtu informāciju par šiem gadījumiem un saistīto risku (ārkārtas reaģēšanas spējas datordrošības jomā).

Ierobežojumu un mazākās konfidencialitātes pielaides princips

18.

Lai izvairītos no lieka riska, ievieš tikai darbībai vajadzīgās funkcijas, iekārtas un dienestus.

19.

KIS lietotājiem un automatizētiem procesiem nodrošina tikai tādu piekļuvi, privilēģijas vai pilnvaras, kas vajadzīgas to pienākumu veikšanai, lai tādējādi ierobežotu negadījumu, kļūdu vai bojājumu, vai neatļautas KIS resursu izmantošanas rezultātā radušos bojājumu.

20.

Reģistrācijas procedūras, kuras veic KIS, vajadzības gadījumā pārbauda akreditācijas procesa laikā.

Informētība par informācijas aizsardzību

21.

Informētība par risku un pieejamiem drošības pasākumiem ir KIS drošības aizsardzības pirmais priekšnoteikums. Visas personas, kas ir iesaistītas KIS aprites ciklā, tostarp tās lietotāji, saprot:

a)	ka trūkumi drošības sistēmā var būtiski kaitēt KIS un visai organizācijai;

b)	ka savstarpējās savienojamības un atkarības dēļ kaitējums var tikt nodarīts arī citiem; un

c)	ka tās personiski atbild un atskaitās par KIS drošību saskaņā ar saviem pienākumiem sistēmās un procesos.

22.

Lai nodrošinātu, ka atbildība par drošības garantēšanu ir izprasta, viss iesaistītais personāls, tostarp augstākā līmeņa vadība un KIS lietotāji, obligāti saņem izglītību un apmācību par IA.

IT drošības produktu izvērtēšana un apstiprināšana

23.

Vajadzīgo uzticamības līmeni drošības pasākumos, ko definē kā aizsardzības līmeni, nosaka atbilstīgi riska pārvaldības procesā gūtajiem rezultātiem un saskaņā ar attiecīgo drošības politiku un drošības pamatnostādnēm.

24.

Aizsardzības līmeni pārbauda, lietojot starptautiski plaši izmantotus vai valstī apstiprinātus procesus un metodikas. Tas ietver sākotnējo izvērtēšanu, kontroli un revīziju.

25.

ESKI aizsardzībai paredzētos kriptogrāfijas produktus izvērtē un apstiprina dalībvalsts valsts kriptogrāfijas apstiprinājuma iestāde (KAI).

26.

Pirms iesaka EĀDD KAI šādus kriptogrāfijas produktus apstiprināt saskaņā ar šā lēmuma 7. panta 5. punktu, tiem jābūt sekmīgi pārbaudītiem otrās puses veiktā izvērtējumā, ko veikusi tādas dalībvalsts atbilstīgi apstiprināta iestāde (AQUA), kura nav iesaistīta aprīkojuma projektēšanā un ražošanā. Otrās puses veiktas izvērtēšanas detalizācijas pakāpe ir atkarīga no paredzētā maksimālā tādas ESKI klasifikācijas līmeņa, ko aizsargā, izmantojot šos produktus.

27.

Ja tas pamatots ar īpašiem operatīviem apsvērumiem, EĀDD KAI pēc Padomes Drošības komitejas ieteikuma var atbilstīgi atteikties no 25. vai 26. punktā noteiktajām prasībām un saskaņā ar šā lēmuma 7. panta 5. punktu piešķirt pagaidu apstiprinājumu uz noteiktu laikposmu.

28.

Atbilstīgi apstiprināta iestāde ir tās dalībvalsts KAI, kas ir akreditēta, pamatojoties uz Padomes noteiktiem kritērijiem, lai uzņemtos tādu kriptogrāfijas produktu otrreizēju izvērtēšanu, ar ko paredzēts aizsargāt ESKI.

29.

AP apstiprina drošības politiku attiecībā uz tādu IT drošības produktu kvalificēšanu un apstiprināšanu, kas nav saistīti ar kriptogrāfiju.

Pārsūtīšana drošās zonās

30.

Neskarot šā lēmuma noteikumus, ja ESKI nosūta tikai drošās zonās, nešifrētu izplatīšanu vai zemāka līmeņa šifrēšanu var izmantot, pamatojoties uz riska pārvaldības procesa rezultātiem un ar drošības akreditācijas iestādes apstiprinājumu.

Drošs KIS savstarpējs savienojums

31.

Šajā lēmumā “sistēmu savstarpējs savienojums” ir tieši savienotas divas vai vairākas IT sistēmas, lai dalītos ar datiem un citiem informācijas resursiem (piemēram, saziņu) vienā vai vairākos virzienos.

32.

KIS jebkuru pieslēgtu IT sistēmu uzskata par neuzticamu un ievieš aizsargpasākumus, lai kontrolētu klasificētas informācijas apmaiņu.

33.

Visi KIS un citas IT sistēmas savstarpēji savienojumi atbilst šādām pamatprasībām:

a)	kompetentās iestādes nosaka un apstiprina šādu savstarpēju savienojumu darbības vai operatīvās prasības;

b)	savstarpējam savienojumam piemēro riska pārvaldības un akreditācijas procesu, un to apstiprina kompetentās drošības akreditācijas iestādes; un

c)	visu KIS perimetrā izvieto robežu aizsardzības dienestus (BPS).

34.

Nedrīkst savstarpēji savienot akreditētu KIS un neaizsargātu vai publiski pieejamu tīklu, izņemot gadījumus, ja KIS apstiprinājusi šādiem mērķiem ieviesto BPS starp KIS un neaizsargāto vai publiski pieejamo tīklu. Šādu savstarpēju savienojumu drošības pasākumus pārskata kompetentā informācijas aizsardzības iestāde (IAI) un apstiprina kompetentā drošības akreditācijas iestāde.

Ja neaizsargāto vai publiski pieejamo tīklu izmanto vienīgi tādas informācijas pārvietošanai, kura ir šifrēta ar kriptogrāfijas produktu, kas apstiprināts saskaņā ar šā lēmuma 7. panta 5. punktu, šādu savienojumu neuzskata par savstarpēju savienojumu.

35.

Ir aizliegts tādas KIS, kas ir akreditēta TRES SECRET UE/EU TOP SECRET informācijas apstrādei, tiešs vai pakāpenisks savstarpējs savienojams ar neaizsargātu vai publiski pieejamu tīklu.

Elektroniski informācijas nesēji

36.

Elektroniskus informācijas nesējus iznīcina saskaņā ar EĀDD drošības iestādes apstiprinātām procedūrām.

37.

Elektroniskus informācijas nesējus var izmantot atkārtoti, klasificēt zemākā līmenī vai deklasificēt saskaņā ar drošības politiku, ko nosaka atbilstīgi šā lēmuma 7. panta 2. punktam.

Ārkārtas apstākļi

38.

Neskarot šā lēmuma noteikumus, ārkārtas gadījumā, piemēram, gaidāmas vai notiekošas krīzes laikā, konflikta vai kara situācijā vai ārkārtas operatīvajā situācijā, var ierobežotā laikposmā piemērot turpmāk aprakstītās īpašās procedūras.

39.

Ar kompetentās iestādes piekrišanu ESKI var pārsūtīt, izmantojot kriptogrāfijas produktus, kas apstiprināti lietošanai zemākam klasifikācijas līmenim, vai nešifrētā veidā, ja kavējumi varētu radīt kaitējumu, kas nepārprotami būtu lielāks par kaitējumu, ko rada klasificēta materiāla izpaušana, un ja:

a)	sūtītājam un saņēmējam nav vajadzīgo kriptogrāfijas iekārtu vai nekādu kriptogrāfijas iekārtu; un

b)	klasificēto materiālu nevar nodot laikā, izmantojot citus līdzekļus.

40.

Klasificētā informācijā, kas nosūtīta 39. punktā izklāstītajos apstākļos, nav atzīmju vai norāžu, kas to ļautu atšķirt no neklasificētas informācijas vai informācijas, ko var aizsargāt ar pieejamu kriptogrāfijas produktu. Informācijas saņēmējus par tās klasifikācijas līmeni nekavējoties informē ar citiem līdzekļiem.

41.

Ja tiek izmantota 39. punktā paredzētā procedūra, par to sniedz ziņojumu EĀDD Drošības direktorātam, un tas iesniedz ziņojumu EĀDD Drošības komitejai. Ziņojumā norāda vismaz katras attiecīgās ESKI daļas sūtītāju, saņēmēju un sagatavotāju.

III. INFORMĀCIJAS AIZSARDZĪBAS FUNKCIJAS UN IESTĀDES

42.

EĀDD nosaka šādas IA funkcijas. Minēto funkciju pildīšanai nav vajadzīgas vienotas organizatoriskas struktūras. Tām ir atsevišķas pilnvaras. Tomēr šīs funkcijas un ar tām saistītos pienākumus var apvienot vai integrēt vienā un tai pašā organizatoriskajā struktūrā vai sadalīt dažādās organizatoriskās struktūrās ar noteikumu, ka nerodas iekšēji interešu vai uzdevumu konflikti.

Informācijas aizsardzības iestāde (IAI)

43.

IAI atbildībā ir:

a)	izstrādāt IA drošības politiku un drošības pamatnostādnes un pārraudzīt to efektivitāti un atbilstību;

b)	nodrošināt un administrēt tehnisko informāciju, kas attiecas uz kriptogrāfijas produktiem;

c)	nodrošināt, ka ESKI aizsardzībai izraudzītie IA pasākumi atbilst attiecīgajai politikai, kas nosaka to atbilstību un atlasi;

d)	nodrošināt, ka kriptogrāfijas produktus izraugās saskaņā ar politiku, kas nosaka to atbilstību un atlasi;

e)	koordinēt apmācību un informēšanu par IA;

f)	konsultēties ar sistēmas sniedzēju, drošības dalībniekiem un lietotāju pārstāvjiem par IA drošības politiku un drošības pamatnostādnēm; un

g)	nodrošināt, ka EĀDD Drošības komitejas apakšgrupā ir pieejami piemēroti IA jautājumu eksperti.

TEMPEST iestāde

44.

TEMPEST iestāde (TI) atbild par to, lai nodrošinātu KIS atbilstību TEMPEST politikai un pamatnostādnēm. Tā apstiprina TEMPEST pretpasākumus iekārtām un produktiem, lai aizsargātu ESKI līdz noteiktam klasifikācijas līmenim tās ekspluatācijas vidē.

Kriptogrāfijas apstiprinājuma iestāde (KAI)

45.

KAI atbild par to, lai nodrošinātu, ka kriptogrāfijas produkti atbilst attiecīgajai kriptogrāfijas politikai. Tā apstiprina kriptogrāfijas produkta izmantošanu ESKI aizsargāšanai līdz noteiktam klasifikācijas līmenim tās ekspluatācijas vidē.

Kriptogrāfijas produktu izplatīšanas iestāde (KPII)

46.

KPII ir atbildīga par šādiem jautājumiem:

a)	ES kriptogrāfiskā materiāla pārvaldība un uzskaite;

b)	nodrošināt, ka tiek īstenotas atbilstīgas procedūras un tiek izveidoti kanāli ES kriptogrāfiskā materiāla uzskaitei, drošai apstrādei, glabāšanai un izplatīšanai; un

c)	nodrošināt ES kriptogrāfiskā materiāla nosūtīšanu atsevišķām personām vai dienestiem, kas tos izmanto, vai saņemot minētos materiālus no tiem.

Drošības akreditācijas iestāde (DAI)

47.

Drošības akreditācijas iestāde (DAI) attiecībā uz katru sistēmu atbild par šādiem uzdevumiem:

nodrošināt, ka KIS atbilst attiecīgajai drošības politikai un drošības pamatnostādnēm, sniegt paziņojumus par to, ka KIS ir apstiprināta savā ekspluatācijas vidē apstrādāt ESKI līdz konkrētam klasifikācijas līmenim, norādīt akreditācijas noteikumus un kritērijus, pēc kādiem nosaka vajadzību veikt atkārtotu apstiprināšanu;

b)	izstrādāt drošības akreditācijas procesu atbilstīgi attiecīgajai politikai, skaidri nosakot apstiprināšanas noteikumus KIS, par ko tā ir atbildīga;

c)	noteikt drošības akreditācijas stratēģiju, paredzot akreditācijas procesa sarežģītības pakāpi, kas ir samērīga ar vajadzīgo aizsardzības līmeni;

izskatīt un apstiprināt ar drošību saistītu dokumentāciju, tostarp riska pārvaldību un paziņojumus par neapzinātu risku, katras sistēmas drošības prasību izklāstus (turpmāk “SSRS”), drošības īstenošanas pārbaudes dokumentus un drošības darba procedūras (turpmāk “SecOPs”), un nodrošināt, ka tas atbilst EĀDD drošības noteikumiem un politikai;

e)	pārbaudīt, kā tiek īstenoti ar KIS saistīti drošības pasākumi, veicot vai atbalstot drošības novērtējumus, pārbaudes vai pārskatus;

f)	noteikt ar KIS saistītas drošības prasības (piemēram, personāla pielaides līmeņus) palielināta riska amatos;

g)	apstiprināt tādu kriptogrāfijas un TEMPEST produktu atlasi, ko izmanto, lai garantētu KIS drošību;

h)	apstiprināt vai attiecīgā gadījumā kopīgi apstiprināt KIS savienošanu ar citām KIS; un

i)	sniegt konsultācijas sistēmas sniedzējam, drošības sistēmas dalībniekiem un lietotāju pārstāvjiem attiecībā uz drošības riska pārvaldību, jo īpaši par neapzināto risku, un apstiprināšanas paziņojuma noteikumiem.

48.

EĀDD DAI atbild par visu to KIS akreditāciju, kuru darbība ir EĀDD pārziņā.

Drošības akreditācijas valde (DAV)

49.

Kopīga DAV ir atbildīga par tādu KIS akreditāciju, kuras ir gan EĀDD DAI, gan dalībvalstu DAI pārziņā. Tās sastāvā ir DAI pārstāvji no katras dalībvalsts, un tās sanāksmēs piedalās PĢS un Komisijas DAI pārstāvis. Citas struktūras, kuras ir iesaistītas KIS, aicina piedalīties diskusijās, kad tiek apspriesta konkrētā sistēma.

DAV vada EĀDD DAI pārstāvis. Tā darbojas, panākot KIS iesaistīto iestāžu, dalībvalstu un citu struktūru DAI pārstāvju vienprātību. Tā par savām darbībām periodiski iesniedz ziņojumus EĀDD Drošības komitejai un informē to par visiem akreditācijas paziņojumiem.

Informācijas aizsardzības operatīvā iestāde

50.

IA operatīvā iestāde attiecībā uz katru sistēmu atbild par šādiem uzdevumiem:

a)	izstrādāt drošības dokumentāciju saskaņā ar drošības politiku un drošības pamatnostādnēm, jo īpaši katras sistēmas drošības prasību izklāstu (SSRS), tostarp paziņojumu par neapzinātu risku, drošības darba procedūras (SecOPs) un kriptogrāfijas plānu saistībā ar KIS akreditācijas procesu;

b)	piedalīties katrai sistēmai īpašu tehnisku drošības pasākumu, iekārtu un programmatūras izvēlē un pārbaudē, uzraudzīt to īstenošanu un nodrošināt, ka tās tiek droši instalētas, konfigurētas un uzturētas atbilstīgi attiecīgajiem drošības dokumentiem;

c)	piedalīties TEMPEST drošības pasākumu un iekārtu izvēlē, ja tas pieprasīts SSRS, un sadarbībā ar TI nodrošināt, ka tās droši uzstāda un uztur;

d)	uzraudzīt SecOps īstenošanu un piemērošanu un attiecīgā gadījumā atbildību par operatīvo drošību deleģēt sistēmas īpašniekam;

e)	pārvaldīt un darboties ar kriptogrāfijas produktiem, nodrošinot šifrētu un kontrolētu materiālu uzraudzību, un vajadzības gadījumā nodrošināt kriptogrāfisku mainīgo veidošanu;

f)	veikt drošības analīzes pārskatus un pārbaudes, jo īpaši, lai sagatavotu vajadzīgos riska ziņojumus, kādus pieprasa DAI;

g)	sniegt IA apmācību attiecībā uz katru KIS;

h)	īstenot un izpildīt drošības pasākumus attiecībā uz katru KIS.

A V PIELIKUMS

INDUSTRIĀLĀ DROŠĪBA

I. IEVADS

Šajā pielikumā izklāstīti A pielikuma 9. panta īstenošanas noteikumi. Šajā pielikumā izklāstīti vispārēji drošības noteikumi, kas piemērojami rūpniecības vai citām struktūrām pirms EĀDD piešķirta klasificēta līguma slēgšanas un klasificēto līgumu aprites laikā.

Augstais pārstāvis apstiprina industriālās drošības politiku, jo īpaši sīki izklāstītās prasības attiecībā uz iestādes drošības pielaidēm (IDP), drošības aspektu vēstulēm (DAV), apmeklējumiem, ESKI pārsūtīšanu un pārvietošanu.

II. KLASIFICĒTA LĪGUMA DROŠĪBAS ELEMENTI

Drošības klasifikācijas rokasgrāmata (DKR)

Pirms izsludina konkursu vai pirms piešķir klasificētu līgumu, EĀDD kā līgumslēdzēja iestāde nosaka tās informācijas drošības klasifikāciju, kuru sniedz pretendentiem un līgumslēdzējiem, kā arī tās informācijas drošības klasifikāciju, ko sastādīs līgumslēdzējs. Šajā saistībā EĀDD sagatavo drošības klasifikācijas rokasgrāmatu (DKR), ko izmanto līguma izpildei.

Lai noteiktu dažādu klasificēta līguma elementu drošības klasifikāciju, piemēro šādus principus:

a)	izstrādājot DKR, EĀDD ņem vērā visus attiecīgos drošības aspektus, tostarp drošības klasifikāciju, ko informācijas sagatavotājs uz informāciju attiecinājis un apstiprinājis;

b)	vispārējais līguma klasifikācijas līmenis nedrīkst būt zemāks par augstāko jebkura tā elementa klasifikāciju; un

c)	vajadzības gadījumā EĀDD sadarbojas ar dalībvalstu VDI/IDI vai kādu citu attiecīgo kompetento drošības iestādi, ja mainās tādas informācijas klasifikācija, ko līgumslēdzēji sagatavojuši vai kas tiem sniegta līguma izpildei, un ja jāveic ar to saistītas izmaiņas DKR.

Drošības aspektu vēstule (DAV)

Ar attiecīgo līgumu saistītās drošības prasības izklāsta drošības aspektu vēstulē (DAV). Vajadzības gadījumā DAV iekļauj DKR, un tā ir neatņemama klasificēta līguma vai apakšlīguma daļa.

DAV iekļauj nosacījumus par to, ka līgumslēdzējam un/vai apakšlīgumslēdzējam ir jānodrošina atbilsme obligātajiem standartiem, kas izklāstīti šajā lēmumā. Neatbilstība šiem obligātajiem standartiem var būt pietiekams pamats līguma darbības pārtraukšanai.

Programmas/projekta drošības instrukcijas (PDI)

Atkarībā no to projektu vai programmu darbības jomas, kurās vajadzīga piekļuve ESKI vai kurās to apstrādā vai glabā, līgumslēdzēja iestāde, kurai uzticēta atbildība par minētās programmas vai projekta pārvaldību, var izstrādāt programmas/projekta drošības instrukcijas (PDI). PDI apstiprina dalībvalstu VDI/IDI vai kāda cita kompetenta drošības iestāde, kas piedalās programmā/projektā, un tajās var būt ietvertas papildu drošības prasības.

III. IESTĀDES DROŠĪBAS PIELAIDE (IDP)

EĀDD Drošības direktorāts pieprasa attiecīgās dalībvalsts VDI vai IDI, vai jebkurai citai kompetentajai drošības iestādei piešķirt IDP, lai atbilstīgi valsts normatīvajiem aktiem apliecinātu, ka rūpniecības vai cita struktūra savās telpās spēj nodrošināt pietiekamu ESKI aizsardzību attiecīgā klasifikācijas līmenī (CONFIDENTIEL UE/EU CONFIDENTIAL vai SECRET UE/EU SECRET). Līgumslēdzējam, apakšlīgumslēdzējam vai iespējamam līgumslēdzējam nenodrošina vai nepiešķir piekļuvi ESKI, kamēr EĀDD nav saņēmis IDP pierādījumu.

Ja vajadzīgs, EĀDD kā līgumslēdzēja iestāde paziņo attiecīgajai VDI/IDI vai jebkurai citai kompetentajai drošības iestādei, ka IDP ir vajadzīga pirms līguma parakstīšanas vai līguma pildīšanas laikā. Pirms līguma parakstīšanas pieprasa IDP vai PDP, ja priekšlikuma iesniegšanas procesā ir jāsniedz ESKI, kas klasificēta kā CONFIDENTIEL UE/EU CONFIDENTIAL vai SECRET UE/EU SECRET.

10.

EĀDD kā līgumslēdzēja iestāde piešķir klasificētu līgumu izraudzītajam pretendentam tikai tad, kad saņemts tās dalībvalsts VDI/IDI vai kādas citas kompetentās drošības iestādes apstiprinājums, kurā reģistrēti iesaistītie līgumslēdzēji vai apakšlīgumslēdzēji, ka viņiem ir izsniegta atbilstīga IDP, ja tas vajadzīgs.

11.

EĀDD kā līgumslēdzēja iestāde prasa VDI/IDI vai jebkurai citai kompetentajai drošības iestādei, kas izsniegusi IDP, informēt EĀDD par jebkādu negatīvu informāciju, kas ietekmē IDP. Apakšlīguma gadījumā atbilstīgi informē VDI/IDI vai jebkuru citu kompetento drošības iestādi.

12.

Ja attiecīgā VDI/IDI vai kāda cita kompetentā drošības iestāde atceļ IDP, tas ir pietiekams pamats EĀDD kā līgumslēdzējai iestādei izbeigt klasificētu līgumu vai izslēgt attiecīgo pretendentu no konkursa.

IV. PERSONĀLA DROŠĪBAS PIELAIDES (PDP) LĪGUMSLĒDZĒJA DARBINIEKIEM

13.

Visiem to līgumslēdzēju darbiniekiem, kuru pienākumi saistīti ar piekļuvi ESKI, kuras klasifikācijas līmenis ir CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāks, ir piešķirta atbilstīga drošības pielaide un ir vajadzība piekļūt attiecīgajai informācijai. Lai piekļūtu ESKI, kas klasificēta kā RESTREINT UE/EU RESTRICTED, nav vajadzīga PDP, taču jāpastāv vajadzībai zināt attiecīgo informāciju.

14.

Līgumslēdzēja darbinieku PDP pieteikumus iesniedz par attiecīgo struktūru atbildīgajai VDI/IDI.

15.

EĀDD norāda līgumslēdzējiem, kuri ar piekļuvi ESKI saistītā amatā vēlas pieņemt darbā trešās valsts valstspiederīgo, ka tās dalībvalsts VDI/IDI, kurā reģistrēta un atrodas struktūra, kas pieņem šo personu darbā, saskaņā ar šo lēmumu nosaka, vai personai var piešķirt piekļuvi šādai informācijai, un apstiprina, ka pirms piekļuves piešķiršanas ir saņemta informācijas sagatavotāja piekrišana.

V. KLASIFICĒTI LĪGUMI UN APAKŠLĪGUMI

16.

Ja pretendentam sniedz ESKI pirms līguma parakstīšanas, uzaicinājumā iesniegt piedāvājumu iekļauj prasību, ka pretendentam, kurš neiesniedz priekšlikumu vai kuru neizvēlas, noteiktā laikposmā atdod atpakaļ visus klasificētos dokumentus.

17.

Kad klasificētais līgums vai apakšlīgums ir piešķirts, EĀDD kā līgumslēdzēja iestāde paziņo līgumslēdzēja vai apakšlīgumslēdzēja VDI/IDI vai jebkurai citai kompetentajai drošības iestādei klasificētā līguma drošības noteikumus.

18.

Kad tāds līgums tiek izbeigts, EĀDD kā līgumslēdzēja iestāde (un/vai VDI/IDI vai attiecīgi jebkura cita kompetentā drošības iestāde apakšlīguma gadījumā) nekavējoties par to paziņo tās dalībvalsts VDI/IDI vai jebkurai citai kompetentajai drošības iestādei, kurā līgumslēdzējs vai apakšlīgumslēdzējs reģistrēts.

19.

Parasti līgumslēdzējs vai apakšlīgumslēdzējs atgriežas pie līgumslēdzējas iestādes, ja pēc klasificēta līguma vai apakšlīguma pārtraukšanas vai beigām viņu rīcībā ir ESKI.

20.

Drošības aspektu vēstulē noteikti konkrēti noteikumi attiecībā uz ESKI iznīcināšanu līguma darbības laikā vai pēc tā darbības pārtraukšanas vai beigām.

21.

Ja līgumslēdzējam vai apakšlīgumslēdzējam ir atļauts saglabāt ESKI pēc līguma darbības pārtraukšanas vai beigām, viņš turpina ievērot šajā lēmumā noteiktos obligātos standartus un sargāt ESKI konfidencialitāti.

22.

Nosacījumus par kārtību, kādā līgumslēdzējs var slēgt apakšlīgumu definē gan uzaicinājumā iesniegt piedāvājumu, gan līgumā.

23.

Pirms līgumslēdzējs atsevišķas klasificēta līguma daļas nodod apakšlīgumslēdzējam, tas saņem atļauju no EĀDD kā līgumslēdzējas iestādes. Nedrīkst piešķirt apakšlīgumu rūpniecības vai citām struktūrām, kas reģistrētas valstī, kura nav ES dalībvalsts, ja tā nav noslēgusi informācijas drošības nolīgumu ar ES.

24.

Līgumslēdzējs ir atbildīgs par to, lai visas apakšlīgumslēdzēja darbības tiktu veiktas saskaņā ar šajā lēmumā noteiktajiem obligātajiem standartiem un lai viņš sniegtu ESKI apakšlīgumslēdzējam tikai ar iepriekšēju līgumslēdzējas iestādes rakstisku piekrišanu.

25.

Attiecībā uz ESKI, ko sagatavo vai apstrādā līgumslēdzējs vai apakšlīgumslēdzējs, līgumslēdzēja iestāde piemēro informācijas sagatavotāja tiesības.

VI. AR KLASIFICĒTIEM LĪGUMIEM SAISTĪTI APMEKLĒJUMI

26.

Ja EĀDD, līgumslēdzēji vai apakšlīgumslēdzēji līguma pildīšanas nolūkā lūdz piekļuvi informācijai, kas klasificēta kā CONFIDENTIEL UE/EU CONFIDENTIAL vai SECRET UE/EU SECRET, viens otra telpās, apmeklējumus organizē, sadarbojoties ar VDI/IDI vai jebkuru citu attiecīgo kompetento drošības iestādi. Tas neskar VDI/IDI pilnvaras konkrētu projektu gadījumā vienoties par procedūru šādu apmeklējumu tiešai organizēšanai.

27.

Visiem apmeklētājiem ir attiecīgā PDP, un tie atbilst vajadzības principam attiecībā uz ESKI, kas saistīta ar EĀDD līgumu.

28.

Apmeklētājiem nodrošina piekļuvi tikai ar apmeklējuma mērķi saistītajai ESKI.

VII. ESKI NOSŪTĪŠANA UN PĀRVIETOŠANA

29.

Attiecībā uz ESKI elektronisku nosūtīšanu piemēro A pielikuma 8. panta un A IV pielikuma attiecīgos noteikumus.

30.

Attiecībā uz ESKI pārvietošanu piemēro A III pielikuma attiecīgos noteikumus atbilstīgi valsts normatīvajiem aktiem.

31.

Nosakot drošības pasākumus klasificētu materiālu pārvietošanai ar kravu pārvadājumiem, piemēro šādus principus:

a)	drošību garantē visos posmos sūtīšanas laikā no sagatavošanas vietas līdz galamērķim;

b)	sūtījumam piešķirto drošības līmeni nosaka augstākais iekļauto materiālu klasifikācijas līmenis;

c)	uzņēmumi, kas nodrošina sūtīšanu, ja tās ietvaros klasificētu informāciju arī glabā līgumslēdzēja telpās, saņem atbilstīga līmeņa IDP. Personālam, kas apstrādā sūtījumu, vienmēr veic drošības pārbaudi atbilstīgi A I pielikumam;

d)	pirms materiālu, kas klasificēts kā CONFIDENTIEL UE/EU CONFIDENTIAL vai SECRET UE/EU SECRET, pārvieto pāri robežām, sūtītājs sagatavo sūtīšanas plānu, un to apstiprina EĀDD, attiecīgā gadījumā sadarbojoties ar sūtītāja un saņēmēja VDI/IDI vai jebkuru citu kompetento drošības iestādi;

e)	maršruti, cik vien iespējams, ir tieši no izcelsmes vietas līdz galamērķim, un tos veic tik ātri, cik to apstākļi pieļauj;

f)	ja iespējams, maršruti ved tikai caur ES dalībvalstīm. Maršruti caur valstīm, kas nav ES dalībvalstis, būtu jāizvēlas tikai tad, kad ir saņemta atļauja no EĀDD vai jebkuras citas gan sūtītāja, gan arī saņēmēja dalībvalsts kompetentās drošības iestādes.

VIII. ESKI PĀRSŪTĪŠANA LĪGUMSLĒDZĒJIEM TREŠĀS VALSTĪS

32.

Līgumslēdzējiem vai apakšlīgumslēdzējiem, kuri atrodas trešās valstīs, ar kurām ES ir noslēgusi derīgu drošības nolīgumu, ESKI pārsūta, ievērojot drošības pasākumus, par kuriem vienojies EĀDD kā līgumslēdzēja iestāde un tās trešās valsts VDI/IDI, kurā līgumslēdzējs reģistrēts.

IX. RESTREINT UE/EU RESTRICTED KLASIFICĒTAS INFORMĀCIJAS APSTRĀDE UN GLABĀŠANA

33.

EĀDD kā līgumslēdzēja iestāde, pamatojoties uz līguma noteikumiem, un vajadzības gadījumā sadarbībā ar dalībvalsts VDI/IDI var apmeklēt līgumslēdzēja/apakšlīgumslēdzēja telpas, lai pārbaudītu, vai tiek īstenoti līgumā noteiktie vajadzīgie drošības pasākumi, lai aizsargātu ESKI, kas klasificēta kā RESTREINT UE/EU RESTRICTED.

34.

Ciktāl tas vajadzīgs atbilstīgi valsts normatīvajiem aktiem, EĀDD kā līgumslēdzēja iestāde informē VDI/IDI vai jebkuru citu kompetento drošības iestādi par līgumiem vai apakšlīgumiem, kuros ir iekļauta informācija, kas klasificēta kā RESTREINT UE/EU RESTRICTED.

35.

Līgumslēdzējam vai apakšlīgumslēdzējam un viņu personālam nevajag IDP vai PDP attiecībā uz līgumiem, kurus piešķīris EĀDD un kuros iekļauta informācija, kas klasificēta kā RESTREINT UE/EU RESTRICTED.

36.

EĀDD kā līgumslēdzēja iestāde izskata iesniegtos pieteikumus līgumiem, kuri ir saistīti ar piekļuvi informācijai, kas klasificēta kā RESTREINT UE/EU RESTRICTED, neskarot prasības saistībā ar IDP vai PDP, kas var būt noteiktas valsts normatīvajos aktos.

37.

Noteikumus par kārtību, kādā līgumslēdzējs var slēgt apakšlīgumu, definē saskaņā ar 22.–24. punktu.

38.

Ja līgumā paredzēts, ka līgumslēdzējs komunikāciju un informācijas sistēmās apstrādā informāciju, kas klasificēta kā RESTREINT UE/EU RESTRICTED, EĀDD kā līgumslēdzēja iestāde nodrošina, ka līgumā vai katrā apakšlīgumā ir noteiktas vajadzīgās tehniskās un administratīvās prasības attiecībā uz KIS akreditāciju, kas ir samērīgas ar novērtēto risku, ņemot vērā visus atbilstīgos faktorus. Līgumslēdzēja iestāde un attiecīgā VDI/IDI vienojas par šādu KIS akreditācijas darbības jomu.

A VI PIELIKUMS

KLASIFICĒTAS INFORMĀCIJAS APMAIŅA AR TREŠĀM VALSTĪM UN STARPTAUTISKĀM ORGANIZĀCIJĀM

I. IEVADS

Šajā pielikumā izklāstīti A pielikuma 10. panta īstenošanas noteikumi.

II. KLASIFICĒTAS INFORMĀCIJAS APMAIŅAS SISTĒMAS

EĀDD drīkst veikt ESKI apmaiņu ar trešām valstīm vai starptautiskām organizācijām saskaņā ar A pielikuma 10. panta 1. punktu.

Lai palīdzētu AP veikt LESD 218. pantā paredzētos pienākumus:

a)	attiecīgais EĀDD ģeogrāfiskais vai tematiskais departaments, apspriežoties ar EĀDD Drošības direktorātu, attiecīgā gadījumā apzina vajadzību veikt ESKI ilgtermiņa apmaiņu ar attiecīgo trešo valsti vai starptautisko organizāciju;

b)	EĀDD Drošības direktorāts, apspriežoties ar attiecīgo EĀDD ģeogrāfisko departamentu, attiecīgā gadījumā iesniedz AP Padomei iesniedzamo priekšlikumu projektus saskaņā ar LESD 218. panta 3., 5. un 6. pantu;

c)	EĀDD Drošības direktorāts palīdz AP īstenot sarunas, veicot saskaņošanu ar attiecīgajiem Komisijas un Padomes Ģenerālsekretariāta dienestiem;

saistībā ar nolīgumiem vai vienošanos ar trešām valstīm par to līdzdalību KDAP krīzes pārvarēšanas operācijās, kā minēts A pielikuma 10. panta 1. punkta c) apakšpunktā, EĀDD Krīžu pārvarēšanas un plānošanas direktorāts, apspriežoties ar attiecīgajiem EĀDD dienestiem, attiecīgā gadījumā iesniedz AP Padomei iesniedzamo priekšlikumu projektus saskaņā ar LESD 218. panta 3., 5. un 6. pantu un palīdz AP īstenot sarunas, veicot saskaņošanu ar attiecīgajiem EĀDD un Padomes Ģenerālsekretariāta dienestiem.

Ja informācijas drošības nolīgumos paredzēti tehniskie īstenošanas pasākumi, par kuriem vienojas EĀDD Drošības direktorāts — veicot saskaņošanu ar Komisijas Cilvēkresursu un drošības ģenerāldirektorāta Drošības direktorātu un Padomes Ģenerālsekretariāta Drošības biroju — un attiecīgās trešās valsts vai starptautiskās organizācijas kompetentā drošības iestāde, šādos nolīgumos ņem vērā aizsardzības līmeni, kas noteikts attiecīgās trešās valsts vai starptautiskās organizācijas drošības noteikumos, struktūrās un procedūrās.

Ja EĀDD ir ilgtermiņa vajadzība organizēt tādas klasificētas informācijas apmaiņu ar trešo valsti vai starptautisku organizāciju, kura nav klasificēta augstāk kā RESTREINT UE/EU RESTRICTED, un ja ir konstatēts, ka iesaistītajai pusei nav pietiekami attīstītas drošības sistēmas, lai tā varētu noslēgt informācijas drošības nolīgumu, AP, saņemot EĀDD Drošības komitejas vienprātīgu piekrišanu saskaņā ar šā lēmuma 14. panta 5. punktu, var noslēgt administratīvu vienošanos ar attiecīgās trešās valsts vai starptautiskās organizācijas kompetentajām drošības iestādēm.

ESKI elektronisku apmaiņu ar trešo valsti vai starptautisku organizāciju atļauts veikt tikai tad, ja tas ir skaidri noteikts informācijas drošības nolīgumā vai administratīvās vienošanās tekstā.

Saskaņā ar administratīvu vienošanos par klasificētas informācijas apmaiņu EĀDD un trešā valsts vai starptautiska organizācija katra nosaka reģistru par galveno punktu klasificētas informācijas saņemšanai un sniegšanai. EĀDD gadījumā tas ir EĀDD centrālais reģistrs.

Administratīvās vienošanās parasti noslēdz vēstuļu apmaiņas veidā.

III. IZVĒRTĒJUMA APMEKLĒJUMI

Šā lēmuma 16. pantā minētos izvērtējuma apmeklējumus veic, savstarpēji vienojoties ar attiecīgo trešo valsti vai starptautisko organizāciju, un tajos izvērtē:

a)	normatīvos aktus, ko piemēro klasificētas informācijas aizsardzībai;

b)	trešās valsts vai starptautiskās organizācijas drošības noteikumu, politikas vai procedūru īpašos rādītājus, kas var maksimāli ietekmēt tādas klasificētas informācijas līmeni, ar kuru var apmainīties;

c)	pašreizējos drošības pasākumus un procedūras klasificētas informācijas aizsardzībai; un

d)	drošības pielaides procedūras tāda līmeņa ESKI, kura jānodod.

ESKI apmaiņu veic tikai pēc tam, kad ir noticis izvērtējuma apmeklējums un kad ir noteikts tās klasificētās informācijas, ar ko abas puses var apmainīties, līmenis, pamatojoties uz līdzvērtīgu tai nodrošināmo aizsardzības līmeni.

Izvērtējuma apmeklējuma kavēšanās gadījumā AP tiek informēts par jebkādiem izņēmuma vai steidzamiem klasificētas informācijas apmaiņas iemesliem, un EĀDD:

a)	vispirms lūdz sagatavotāja rakstisku piekrišanu, lai noskaidrotu, vai nav iebildumu pret informācijas nodošanu;

b)	vēršas pie EĀDD drošības iestādes, kura var nolemt nodot informāciju, ja ir saņēmusi dalībvalstu pārstāvju EĀDD Drošības komitejā vienprātīgu piekrišanu.

Ja EĀDD nevar noteikt sagatavotāju, EĀDD drošības iestāde, saņemot EĀDD Drošības komitejas vienprātīgu piekrišanu, uzņemas sagatavotāja atbildību.

IV. ATĻAUJA NODOT ESKI TREŠĀM VALSTĪM VAI STARPTAUTISKĀM ORGANIZĀCIJĀM

10.

Ja saskaņā ar A pielikuma 10. panta 1. punktu pastāv sistēma klasificētas informācijas apmaiņai ar kādu trešo valsti vai starptautisku organizāciju, lēmumu par to, ka EĀDD var nodot ESKI trešai valstij vai starptautiskai organizācijai, pieņem EĀDD drošības iestāde, kura var deleģēt šādas pilnvaras vecākajiem EĀDD darbiniekiem vai citām tai pakļautajām personām.

11.

Ja nododamās klasificētās informācijas, tostarp tās izejmateriālu, sagatavotājs nav EĀDD, EĀDD vispirms lūdz sagatavotāja rakstisku piekrišanu, lai noskaidrotu, vai nav iebildumu pret informācijas nodošanu. Ja EĀDD nevar noteikt sagatavotāju, EĀDD drošības iestāde, saņemot dalībvalstu pārstāvju EĀDD Drošības komitejā vienprātīgu piekrišanu, uzņemas sagatavotāja atbildību.

V. ESKI ĀRKĀRTĒJA AD HOC NODOŠANA

12.

Ja nav vienas no A pielikuma 10. panta 1. punktā minētajām sistēmām un ja ES vai vienas vai vairāku dalībvalstu interesēs ESKI jānodod politisku, operatīvu vai steidzamu iemeslu dēļ, ESKI izņēmuma kārtā var nodot trešai valstij vai starptautiskajai organizācijai, ja ir veiktas turpmāk minētās darbības.

EĀDD Drošības direktorāts nodrošina 11. punktā minēto nosacījumu izpildi un:

a)	cik vien iespējams, konsultējas ar attiecīgās trešās valsts vai starptautiskās organizācijas drošības iestādēm par to, vai tās drošības noteikumi, struktūras un procedūras garantētu tai nodotās ESKI aizsardzību atbilstīgi standartiem, kas nav mazāk stingri par šajā lēmumā noteiktajiem standartiem;

b)	lūdz EĀDD Drošības komiteju, pamatojoties uz pieejamo informāciju, sagatavot atzinumu par tās trešās valsts vai starptautiskās organizācijas, kurām ESKI nodos, drošības regulu, struktūru un procedūru uzticamību;

c)	vēršas pie EĀDD drošības iestādes, kura var nolemt nodot informāciju, ja ir saņēmusi dalībvalstu pārstāvju EĀDD Drošības komitejā vienprātīgu piekrišanu.

13.

Ja nav nevienas no A pielikuma 10. panta 1. punktā minētajām sistēmām, attiecīgā trešā puse rakstiski apņemas attiecīgi aizsargāt ESKI.

A PAPILDINĀJUMS

DEFINĪCIJAS

Šajā lēmumā piemēro šādas definīcijas:

“akreditācija” ir process, kura rezultāts ir drošības akreditācijas iestādes (DAI) oficiāla deklarācija, ka sistēma ir apstiprināta konkrētas klasifikācijas līmeņa darbam īpašā drošības režīmā savā darbības vidē un pieņemamā apdraudējuma līmenī, balstoties uz pieņēmumu, ka ir īstenots apstiprināts tehnisku, fizisku, organizatorisku un procedūras drošības pasākumu kopums;

“apdraudējums” ir iespējams nevēlama pārkāpuma cēlonis, kura rezultātā var tikt izdarīts kaitējums organizācijai vai jebkurai sistēmai, ko tajā izmanto; tādi apdraudējumi var būt nejauši vai apzināti (ļaunprātīgi), un tiem ir raksturīgi draudu elementi, iespējami mērķi un uzbrukuma metodes;

“atļauja piekļūt ESKI” ir atļauja, ko EĀDD drošības iestāde saskaņā ar šo lēmumu piešķir tad, kad dalībvalsts kompetentās iestādes ir piešķīrušas PDP, un ar ko apliecina, ka personai, ja ir apzināta viņas vajadzība pēc informācijas, līdz konkrētam datumam var sniegt piekļuvi ESKI līdz konkrētam līmenim (CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāk); skatīt A I pielikuma 2. pantu;

“deklasifikācija” ir jebkādas drošības klasifikācijas noņemšana;

“dokuments” ir jebkura ierakstīta informācija neatkarīgi no tās fiziskā veidola vai iezīmēm;

“drošības aspektu vēstule” (DAV) ir līgumslēdzējas iestādes izdots īpašu līguma nosacījumu kopums, kas ir tāda klasificēta līguma neatņemama sastāvdaļa, kurš saistīts ar piekļuvi ESKI vai ar ESKI sagatavošanu un kurā identificē drošības prasības vai tos līguma elementus, kam vajadzīga drošības aizsardzība; skatīt A V pielikumu II iedaļu;

“drošības darba procedūras” (SecOPs) ir pieņemamās drošības politikas īstenošanas, ievērojamo darba procedūru un darbinieku pienākumu apraksts;

“drošības izmeklēšana” ir izmeklēšanas procedūras, ko saskaņā ar spēkā esošiem valsts normatīvajiem aktiem veic kompetentā dalībvalsts iestāde, lai pārliecinātos, ka nav nekādas negatīvas informācijas, kas varētu liegt konkrētai personai saņemt ES PDP, lai viņa varētu piekļūt ESKI līdz konkrētam līmenim (CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāk);

“drošības klasifikācijas rokasgrāmata” (DKR) ir dokuments, kurā aprakstīti klasificētie programmas vai līguma elementi, precizējot piemērojamos drošības klasifikācijas līmeņus. DKR var paplašināt visā programmas vai līguma darbības laikā, un informācijas elementus var pārklasificēt vai klasificēt zemākā līmenī; ja pastāv DKR, tā ietilpst drošības aspektu vēstulē; skatīt A V pielikuma II iedaļu;

“ESKI apdraudējums” ir pilnīga vai daļēja ESKI atklāšana nesankcionētām personām vai struktūrām; skatīt 8. panta 2. punktu;

ESKI “apstrāde” ir visu veidu darbības, ko ar ESKI veic tās aprites laikā. Tajā ietilpst sagatavošana, apstrāde, pārvietošana, klasifikācijas līmeņa pazemināšana, deklasifikācija un iznīcināšana. Saistībā ar KIS tajā ietilpst arī ievākšana, uzrīdīšana, pārsūtīšana un glabāšana;

“ES klasificēta informācija” (ESKI) ir jebkura informācija vai materiāli, kuriem piemērota ES drošības klasifikācija un kuru neatļauta izpaušana var izraisīt dažāda līmeņa apdraudējumu Eiropas Savienības vai vienas vai vairāku tās dalībvalstu interesēm; skatīt 2. panta f) apakšpunktu;

“fiziskā drošība” ir fizisku un tehnisku aizsardzības pasākumu piemērošana, lai novērstu neatļautu piekļuvi ESKI; skatīt A pielikuma 6. pantu;

“iestādes drošības pielaide” (IDP) ir VDI vai IDI administratīvs konstatējums, ka no drošības viedokļa iestāde spēj nodrošināt pietiekamu ESKI aizsardzību konkrētā drošības klasifikācijas līmenī, kā arī to, ka attiecībā uz visiem tās darbiniekiem, kam vajadzīga piekļuve ESKI, ir pienācīgi veikta drošības pārbaude un viņi ir informēti par attiecīgām drošības prasībām, lai piekļūtu ESKI un to aizsargātu;

“ietekmējamība” ir jebkura vājā vieta, ko varētu izmantot vienā vai vairākos apdraudējuma gadījumos. Ietekmējamība var būt kāda posma trūkums vai var būt saistīta ar vāju vietu kontrolē attiecībā uz tās stiprumu, pilnīgumu vai konsekvenci, un tai var būt tehnisks, procedūras, fizisks, organizatorisks vai operatīvs raksturs.

“industriālā drošība” ir pasākumu piemērošana nolūkā nodrošināt, ka līgumslēdzējs vai apakšlīgumslēdzējs aizsargā ESKI sarunu laikā pirms klasificēta līguma slēgšanas un klasificēto līgumu darbības laikā; skatīt A pielikuma 9. panta 1. punktu;

“informācijas aizsardzība” ir pārliecība, ka komunikāciju un informācijas sistēmu jomā aizsargās informāciju, kas tajā atrodas, un darbosies, kā tas ir paredzēts, kad paredzēts un likumīgu lietotāju kontrolē. Ar efektīvu IA nodrošina atbilstīga līmeņa konfidencialitāti, integritāti, pieejamību, nenoliedzamību un autentiskumu. IA pamatā ir riska pārvaldības process; skatīt A pielikuma 8. panta 1. punktu;

“izraudzītā drošības iestāde” (IDI) ir iestāde, kas pakļauta dalībvalsts valsts drošības iestādei (VDI) un ir atbildīga par to, ka rūpniecības vai citas struktūras ir informētas par valsts politiku visā industriālās drošības jomā, kā arī par virzību un palīdzību tās īstenošanā. IDI uzdevumus var veikt VDI vai jebkura cita kompetentā iestāde. IDI uzdevumus var veikt VDI vai jebkura cita kompetentā iestāde;

“KDAP operācija” ir krīžu militāras vai civilas pārvarēšanas operācija saskaņā ar LES V sadaļas 2. nodaļu;

“KIS aprites cikls” ir viss KIS pastāvēšanas laiks kopā, kurā ietilpst ierosināšana, koncepcijas izstrāde, plānošana, prasību analīze, projektēšana, izstrāde, testēšana, īstenošana, darbība, uzturēšana un likvidēšana;

“klasificēts apakšlīgums” ir līgums par ražojumu piegādi, darbu veikšanu vai pakalpojumu sniegšanu, kuru EĀDD līgumslēdzējs slēdz ar citu līgumslēdzēju (t. i., apakšlīgumslēdzēju) un kura izpilde prasa vai ir saistīta ar piekļuvi ESKI vai tās sagatavošanu;

“klasificētas informācijas pārvaldība” ir administratīvu pasākumu piemērošana ESKI kontrolei tās aprites cikla laikā, lai papildinātu 5., 6. un 8. pantā minētos pasākumus un tādējādi palīdzētu novērst un atklāt tīšu vai netīšu šādas informācijas apdraudējumu vai atgūt to tīšas vai netīšas nozaudēšanas gadījumā. Šādi pasākumi jo īpaši ir saistīti ar ESKI sagatavošanu, reģistrāciju, kopēšanu, tulkošanu, pārvietošanu, apstrādi, glabāšanu un iznīcināšanu; skatīt A pielikuma 7. panta 1. punktu;

“klasificēts līgums” ir līgums, kuru EĀDD slēdz ar līgumslēdzēju par ražojumu piegādi, darbu veikšanu vai pakalpojumu sniegšanu un kura izpilde prasa vai ir saistīta ar piekļuvi ESKI vai tās sagatavošanu;

“klasifikācijas līmeņa pazemināšana” ir klasificēšana zemākā drošības pakāpē;

“komunikāciju un informācijas sistēma” (KIS) ir jebkura sistēma, ar kuru informāciju var apstrādāt elektroniski; Komunikāciju un informācijas sistēma ietver visus vajadzīgos resursus, lai sistēma darbotos, tostarp infrastruktūru, organizāciju, personālu un informācijas resursus; skatīt A pielikuma 8. panta 2. punktu;

“kriptogrāfijas produkti” ir kriptogrāfijas algoritmi, kriptogrāfijas aparatūras un programmatūras moduļi un produkti, tostarp īstenošanas informācija un ar to saistītā dokumentācija un atslēgu materiāls;

“līgumslēdzējs” ir fiziska vai juridiska persona, kura ir tiesīga slēgt līgumus;

“materiāli” ir jebkurš dokuments vai iekārtas vai ierīces daļa, kas jau ir izstrādāta vai vēl tiek izstrādāta;

“neapzinātais risks” ir risks, kas pastāv pēc drošības pasākumu īstenošanas, ņemot vērā to, ka ne pret visiem apdraudējumiem var cīnīties un ne visu ietekmējamību var likvidēt;

“pastiprināta aizsardzība” ir dažādu drošības pasākumu piemērošana, izveidojot daudzslāņainu aizsardzību;

“pārkāpums” ir tāda personas darbība vai bezdarbība, kas ir pretrunā šajā lēmumā noteiktajiem drošības noteikumiem un/vai drošības politikai vai pamatnostādnēm, kurās paredzēti tās īstenošanai vajadzīgie pasākumi;

“personāla drošība” nozīmē tādu pasākumu piemērošanu, lai nodrošinātu, ka piekļuvi ESKI piešķir tikai tādām personām:

—	kurām ir vajadzība pēc informācijas;

—	kurām, lai piekļūtu informācijai, kuras klasifikācijas līmenis ir CONFIDENTIEL UE/U CONFIDENTIAL vai augstāks, ir attiecīga līmeņa drošības pielaide vai ieņemamā amata dēļ ir piešķirta pienācīga atļauja atbilstīgi attiecīgās valsts normatīvajiem aktiem; un

—	kuras ir informētas par viņu pienākumiem;

skatīt A pielikuma 5. panta 1. punktu;

“personāla drošības pielaide” (PDP) piekļuvei ESKI ir dalībvalsts kompetentās iestādes deklarācija, kas pieņemta pēc tam, kad dalībvalsts kompetentās iestādes veikušas drošības izmeklēšanu, un ar ko apliecina, ka personai, ja ir apzināta viņas vajadzība pēc informācijas, līdz konkrētam datumam var sniegt piekļuvi ESKI līdz konkrētam līmenim (CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāk); var uzskatīt, ka tāda persona ir saņēmusi drošības pielaidi;

“personāla drošības pielaides apliecība” (PDPA) ir kompetentās iestādes izdota apliecība, ar kuru nosaka, ka persona ir saņēmusi drošības pielaidi un ka tai ir derīga PDP, un kurā norāda to ESKI klasifikācijas līmeni, līdz kuram personai var sniegt piekļuvi (CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāks), attiecīgās PDP derīguma termiņu un apliecības derīguma termiņu;

“programmas/projekta drošības instrukcijas” (PDI) ir to drošības procedūru saraksts, kuras piemēro konkrētai programmai/projektam, lai standartizētu drošības procedūras. To var pārskatīt visā programmas/projekta darbības laikā;

“resursi” ir jebkas, ko organizācija uzskata par vērtīgu savās saimnieciskajās darbībās un to nepārtrauktības nodrošināšanā, tostarp informācijas resursi, kas vajadzīgi organizācijas uzdevuma pildīšanai;

“reģistrācija” ir tādu procedūru piemērošana, kas reģistrē informācijas aprites ciklu, tostarp tās izplatīšanu un iznīcināšanu; skatīt A III pielikuma 21. punktu;

“risks” ir iespēja, ka ar kādu apdraudējumu izmantos iekšēju vai ārēju organizācijas vai kādas tās sistēmas vājo vietu un tādējādi radīs kaitējumu organizācijai un tās materiāliem un nemateriāliem aktīviem. To izsaka kā apdraudējumu iespējamības un to ietekmes apvienojumu;

“riska izvērtējums” ir apdraudējumu un ietekmējamības noteikšana un saistītu risku analīzes veikšana, t. i., iespējamības un ietekmes analīze;

“riska pārvaldības process” ir viss process, kurā ietilpst tādu neparedzētu notikumu apzināšana, kontrole un ietekmes samazināšana, kuri var ietekmēt drošību organizācijā vai jebkurā no sistēmām, ko tā izmanto. Tas attiecas uz visām darbībām, kas saistītas ar apdraudējumu, tostarp tā izvērtēšanu, apstrādi, pieņemšanu un izziņošanu;

“riska pieņemšana” ir lēmums pēc riska risinājuma vienoties par neapzināta riska turpmāko pastāvēšanu;

“riska risinājums” ir riska ietekmes pavājināšana, tā likvidēšana vai mazināšana (izmantojot atbilstīgu tehnisku, fizisku, pārvaldes vai procedūras pasākumu apvienojumu), riska pārvietošana vai pārraudzība;

“rūpniecības vai cita struktūra” ir struktūra, kas piegādā ražojumus, veic darbu vai sniedz pakalpojumus; tās var būt rūpniecības, komerciālas, pakalpojumu sniedzēju, zinātniskas, pētniecības, izglītības vai attīstības struktūras vai pašnodarbināta persona;

“sagatavotājs” ir ES iestāde, aģentūra vai struktūra, dalībvalsts, trešā valsts vai starptautiska organizācija, kuras pakļautībā klasificēta informācija ir sagatavota un/vai nodota ES struktūrām;

“saistīto drošības prasību izklāsts” (SSRS) ir saistošs ievērojamo drošības principu kopums un detalizētas ievērojamās drošības prasības, kas ir KIS sertificēšanas un akreditācijas pamatā;

“sistēmu savstarpējs savienojums” šajā lēmumā ir tieši savienotas divas vai vairākas IT sistēmas, lai dalītos ar datiem un citiem informācijas resursiem (piemēram, saziņu) vienā vai vairākos virzienos; skatīt A IV pielikuma 31. punktu;

“TEMPEST” ir apdraudošu elektromagnētisku emisiju izmeklēšana, izpēte un kontrole un pasākumi to novēršanai;

“turētājs” ir pienācīgi sertificēta persona, kurai ir oficiāli pierādīta vajadzība pēc informācijas un kuras rīcībā ir ESKI, kas tādējādi dara viņu atbildīgu par aizsardzību;

“ziņojums par apdraudējumu” ir KIS lietotāju kopienu informētības veidošana, informējot apstiprināšanas iestādes par tādiem apdraudējumiem un ziņojot par tiem rīcības iestādēm.