|
26.7.2023 |
LV |
Eiropas Savienības Oficiālais Vēstnesis |
C 263/16 |
SAVIENĪBAS AUGSTĀ PĀRSTĀVJA ĀRLIETĀS UN DROŠĪBAS POLITIKAS JAUTĀJUMOS LĒMUMS
(2023. gada 19. jūnijs)
par Eiropas Ārējās darbības dienesta drošības noteikumiem
(2023/C 263/04)
SAVIENĪBAS AUGSTAIS PĀRSTĀVIS ĀRLIETĀS UN DROŠĪBAS POLITIKAS JAUTĀJUMOS,
ņemot vērā Padomes Lēmumu 2010/427/ES (2010. gada 26. jūlijs), ar ko nosaka Eiropas Ārējās darbības dienesta organizatorisko struktūru un darbību (1) (turpmāk “Padomes Lēmums 2010/427/ES”), un jo īpaši tā 10. panta 1. punktu,
tā kā:
|
(1) |
Eiropas Ārējās darbības dienestam (turpmāk “EĀDD”) kā Eiropas Savienības (turpmāk “ES”) funkcionāli autonomai struktūrai ir jābūt drošības noteikumiem, kā tas paredzēts Padomes Lēmuma 2010/427/ES 10. panta 1. punktā. |
|
(2) |
Savienības Augstajam pārstāvim ārlietās un drošības politikas jautājumos (turpmāk “Augstais pārstāvis” vai “AP”) ir jālemj par EĀDD drošības noteikumiem, kas aptver visus ar EĀDD darbību saistītos drošības aspektus, tā, lai EĀDD varētu efektīvi pārvaldīt riskus attiecībā uz tam pakļautajiem darbiniekiem, materiālajiem līdzekļiem, informāciju un apmeklētājiem un pildīt savu rūpības pienākumu un citus pienākumus šajā sakarā. |
|
(3) |
Konkrēti, EĀDD pakļautajiem darbiniekiem, EĀDD materiālajiem līdzekļiem, tostarp komunikāciju un informācijas sistēmām, informācijai un apmeklētājiem būtu jāpiešķir tāda aizsardzības pakāpe, kāda atbilst Padomes, Komisijas, dalībvalstu un attiecīgā gadījumā starptautisko organizāciju paraugpraksei. |
|
(4) |
EĀDD drošības noteikumiem būtu jāpalīdz panākt saskanīgāku visaptverošu Eiropas Savienības pamatsistēmu ES klasificētas informācijas (turpmāk “ESKI”) aizsardzībai, pamatojoties uz Eiropas Savienības Padomes (turpmāk “Padome”) drošības noteikumiem un Eiropas Komisijas drošības noteikumiem un nodrošinot pēc iespējas lielāku saskaņotību ar tiem. |
|
(5) |
EĀDD, Padome un Komisija apņemas piemērot vienādus drošības standartus attiecībā uz ESKI aizsardzību. |
|
(6) |
Šis lēmums neskar Līguma par Eiropas Savienības darbību (LESD) 15. un 16. pantu un to īstenošanas instrumentus. |
|
(7) |
Ir nepieciešams izveidot EĀDD drošības organizatorisko struktūru un drošības uzdevumu sadali EĀDD struktūrās. |
|
(8) |
Augstajam pārstāvim būtu vajadzības gadījumā jāizmanto attiecīgās īpašās zināšanas dalībvalstīs, Padomes Ģenerālsekretariātā (PĢS) un Komisijā. |
|
(9) |
Augstajam pārstāvim ar dalībvalstu, Padomes Ģenerālsekretariāta un Komisijas atbalstu būtu jāveic visi atbilstīgie pasākumi, kas nepieciešami šo noteikumu īstenošanai. |
|
(10) |
EĀDD drošības iestāde ir EĀDD ģenerālsekretārs, taču ir lietderīgi pārskatīt EĀDD drošības noteikumus, jo īpaši, lai ņemtu vērā Krīzes reaģēšanas centra izveidi un šajā sakarā atceltu un aizstātu Savienības Augstā pārstāvja ārlietās un drošības politikas jautājumos Lēmumu ADMIN (2017) 10 (2017. gada 19. septembris) (2). |
|
(11) |
Saskaņā ar 15. panta 4. punkta a) apakšpunktu Savienības Augstā pārstāvja ārlietās un drošības politikas jautājumos Lēmumā ADMIN(2017) 10 (2017. gada 19. septembris) par Eiropas Ārējās darbības dienesta drošības noteikumiem ir notikusi apspriešanās ar EĀDD Drošības komiteju par paredzētajiem EĀDD drošības noteikumu grozījumiem, |
IR PIEŅĒMIS ŠO LĒMUMU.
1. pants
Priekšmets un darbības joma
Šajā lēmumā ir paredzēti Eiropas Ārējās darbības dienesta drošības noteikumi (turpmāk “EĀDD drošības noteikumi”).
Saskaņā ar Padomes Lēmuma 2010/427/ES 10. panta 1. punktu šo lēmumu piemēro visiem EĀDD darbiniekiem un visiem Savienības delegāciju darbiniekiem neatkarīgi no to administratīvā statusa vai iestādes, kurā tie sākotnēji strādāja, un ar to izveido vispārīgu tiesisko regulējumu šā lēmuma 2. pantā minēto EĀDD pakļauto darbinieku, EĀDD telpu, materiālo līdzekļu, informācijas un apmeklētāju risku efektīvai pārvaldībai.
2. pants
Definīcijas
Šajā lēmumā izmanto šādas definīcijas:
|
a) |
“EĀDD darbinieki” ir EĀDD ierēdņi un citi Eiropas Savienības darbinieki, tostarp dalībvalstu diplomātisko dienestu darbinieki, kas nodarbināti kā pagaidu darbinieki, un norīkotie valstu eksperti, kā attiecīgi definēts Padomes Lēmuma 2010/427/ES 6. panta 2. un 3. punktā; |
|
b) |
“EĀDD pakļautie darbinieki” ir EĀDD darbinieki tā mītnē un Savienības delegācijās un visi citi Savienības delegāciju darbinieki neatkarīgi no to administratīvā statusa vai iestādes, kurā tie sākotnēji strādāja, un šajā lēmumā arī Augstais pārstāvis un attiecīgā gadījumā citi darbinieki, kas uzturas EĀDD mītnes telpās; |
|
c) |
“tiesīgie apgādājamie” ir Savienības delegācijās ietilpstošu EĀDD pakļauto darbinieku ģimenes locekļi, kuri dzīvo kopā ar šiem darbiniekiem un par kuriem ir paziņots uzņēmējas valsts ārlietu ministrijai, un kuri valsts evakuācijas laikā faktiski dzīvo kopā ar šiem darbiniekiem viņu nodarbinātības vietā; |
|
d) |
“EĀDD telpas” ir EĀDD objekti, tostarp ēkas, biroji, telpas un citas zonas, kā arī zonas, kur atrodas komunikāciju un informācijas sistēmas (tostarp ESKI apstrādes sistēmas), kurās EĀDD veic pastāvīgas vai īslaicīgas darbības; |
|
e) |
“EĀDD drošības intereses” ir EĀDD pakļautie darbinieki, EĀDD telpas, apgādājamie, materiālie līdzekļi, tostarp komunikāciju un informācijas sistēmas, informācija un apmeklētāji; |
|
f) |
“ESKI” ir jebkura informācija vai materiāli, kuriem piemērota ES drošības klasifikācija un kuru neatļauta izpaušana var izraisīt dažāda līmeņa apdraudējumu Eiropas Savienības vai vienas vai vairāku tās dalībvalstu interesēm; |
|
g) |
“Savienības delegācija” ir delegācijas trešās valstīs un starptautiskās organizācijās, kā minēts Padomes Lēmuma 2010/427/ES 1. panta 4. punktā, un ES biroji – saskaņā ar Padomes Lēmuma 2010/427/ES 5. pantu. |
Citas šajā lēmumā izmantotās definīcijas ir sniegtas attiecīgajos pielikumos un A papildinājumā.
3. pants
Rūpības pienākums
1. EĀDD drošības noteikumu mērķis ir nodrošināt EĀDD rūpības pienākuma un citu pienākumu izpildi šajā sakarā.
2. EĀDD rūpības pienākums ietver pienācīgu rūpību, veicot visas pamatotās darbības drošības pasākumu īstenošanai, lai novērstu saprātīgi paredzamu kaitējumu EĀDD drošības interesēm.
Tie ietver gan drošības, gan aizsargātības aspektus, tostarp tādus, kuru cēlonis ir jebkāda veida ārkārtas situācijas vai krīzes.
3. Ņemot vērā dalībvalstu, ES iestāžu vai struktūru un citu pušu, kam ir darbinieki Savienības delegācijās un/vai Savienības delegāciju telpās, rūpības pienākumu un EĀDD rūpības pienākumu attiecībā uz Savienības delegācijām, kuras uzņem minēto citu pušu telpās, EĀDD ar katru iepriekš minēto struktūru noslēdz administratīvu vienošanos, kurā ir noteiktas attiecīgās funkcijas, pienākumi, uzdevumi un sadarbības mehānismi.
4. pants
Fiziskā un infrastruktūras drošība
1. EĀDD, lai aizsargātu savas drošības intereses, visās EĀDD telpās īsteno atbilstīgus fiziskās drošības pasākumus (pastāvīgus vai īslaicīgus), tostarp piekļuves kontroles kārtību. Šādus pasākumus ņem vērā jaunu telpu projektēšanā un plānošanā vai pirms pašreizējo telpu nomas.
2. Drošības nolūkā uz noteiktu laikposmu un noteiktās zonās EĀDD pakļautajiem darbiniekiem un viņu apgādājamajiem var noteikt īpašus pienākumus vai ierobežojumus.
3. Šā panta 1. un 2. punktā minētie pasākumi ir atbilstīgi novērtētajam riskam.
5. pants
Trauksmes stāvokļi un krīzes situācijas
1. EĀDD drošības iestāde, kā noteikts 13. panta I iedaļas 1. punktā, ir atbildīga par trauksmes stāvokļa līmeņu noteikšanu un atbilstošu trauksmes stāvokļa pasākumu ieviešanu, lai sagatavotos vai reaģētu uz draudiem un incidentiem, kas ietekmē EĀDD drošību.
2. Trauksmes stāvokļa pasākumi, kas minēti šā panta 1. punktā, ir samērīgi ar draudu līmeni drošībai. Trauksmes stāvokļa līmeņus nosaka EĀDD drošības iestāde ciešā sadarbībā ar citu Savienības iestāžu, aģentūru un struktūru un dalībvalsts(-u), kurā(s) atrodas EĀDD telpas, kompetentajiem dienestiem.
3. EĀDD drošības iestāde ir kontaktpunkts trauksmes stāvokļiem un reaģēšanai uz krīzi. Attiecīgo uzdevumu izpildi – attiecībā uz EĀDD mītni – tā var tālāk deleģēt attiecīgi resursu pārvaldības ģenerāldirektoram, kā minēts Padomes Lēmuma 2010/427/ES 4. panta 3. punkta a) apakšpunkta otrajā ievilkumā, un – attiecībā uz Savienības delegācijām – Krīzes reaģēšanas centra (CRC) direktoram.
6. pants
Klasificētas informācijas aizsardzība
1. ESKI aizsardzību reglamentē šajā lēmumā un jo īpaši tā A pielikumā paredzētās prasības. Jebkādas ESKI turētājs ir atbildīgs par tās pienācīgu aizsardzību.
2. EĀDD nodrošina, ka piekļuvi klasificētai informācijai piešķir tikai tādām personām, kuras atbilst A pielikuma 5. panta nosacījumiem.
3. Augstais pārstāvis, ņemot vērā šā lēmuma A pielikumā paredzētos ESKI aizsardzības noteikumus, paredz arī nosacījumus vietējo darbinieku piekļuvei ESKI.
4. EĀDD nodrošina visu EĀDD pakļauto darbinieku un EĀDD līgumslēdzēju drošības pielaides statusa pārvaldību.
5. Ja dalībvalstis EĀDD struktūrās vai tīklos ievieš klasificētu informāciju, kam uzlikts valsts drošības klasifikācijas marķējums, EĀDD aizsargā šo informāciju saskaņā ar prasībām, kas attiecas uz līdzvērtīga līmeņa ESKI, kā tas izklāstīts šā lēmuma B papildinājumā ietvertajā drošības klasifikāciju atbilsmju tabulā.
6. EĀDD zonas, kur glabā informāciju, kuras klasifikācijas līmenis ir CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāks, vai līdzvērtīgas kategorijas klasificētu informāciju, izveido par drošības zonām saskaņā ar šā lēmuma A II pielikuma noteikumiem, un tās apstiprina EĀDD drošības iestāde.
7. Procedūras, ko Augstais pārstāvis ievēro, pildot pienākumus, kas izriet no attiecīga nolīguma vai administratīvas vienošanās par ESKI apmaiņu ar trešām valstīm vai starptautiskām organizācijām, ir aprakstītas šā lēmuma A un A VI pielikumā.
8. Ģenerālsekretārs paredz nosacījumus, ar kādiem EĀDD var dalīties tā rīcībā esošajā ESKI ar citām ES iestādēm, struktūrām, birojiem vai aģentūrām. Šajā sakarā izveido piemērotu sistēmu, tostarp vajadzības gadījumā šajā nolūkā var slēgt iestāžu nolīgumus vai izstrādāt citu kārtību.
9. Jebkura šāda sistēma nodrošina, ka ESKI tiek aizsargāta atbilstīgi tās klasifikācijas līmenim un saskaņā ar pamatprincipiem un minimālajiem standartiem, kas ir līdzvērtīgi šajā lēmumā noteiktajiem.
7. pants
Drošības incidenti, ārkārtas situācijas un reaģēšana uz krīzēm
1. Lai nodrošinātu savlaicīgu un efektīvu reaģēšanu uz drošības incidentiem, EĀDD izveido procedūru ziņošanai par šādiem drošības incidentiem un ārkārtas situācijām, kuru īsteno 24 stundas dienā septiņas dienas nedēļā un kura attiecas uz visu veidu drošības incidentiem un EĀDD drošības interešu apdraudējumiem (piemēram, nelaimes gadījumiem, konfliktiem, ļaunprātīgām darbībām, noziedzīgām darbībām, nolaupīšanas vai ķīlnieku saņemšanas gadījumiem, ar neatliekamo medicīnisko palīdzību saistītām situācijām, komunikāciju un informācijas sistēmu incidentiem, kiberuzbrukumiem u. c.).
2. Tiek izveidoti EĀDD mītnes, Savienības delegāciju, Padomes, Komisijas, ES īpašo pārstāvju un dalībvalstu ārkārtas sadarbības kanāli, lai palīdzētu tiem nodrošināt reakciju uz krīzēm, drošības incidentiem un ārkārtas situācijām, kurās iesaistīti darbinieki, un to sekām, tostarp situatīvo plānošanu.
3. Šī reaģēšana uz drošības incidentiem / ārkārtas situācijām / krīzēm inter alia ietver:
|
— |
procedūras, ar ko efektīvi veicināt tādu lēmumu pieņemšanu, kas attiecas uz draudiem, drošības incidentiem un ārkārtas situācijām, kurās iesaistīti darbinieki, tostarp par darba braucienā esošu personu izvešanu vai darba brauciena pārtraukšanu; un |
|
— |
personāla atgūšanas politiku un procedūras, piemēram, darbinieku pazušanas, nolaupīšanas vai sagūstīšanas gadījumos, ņemot vērā konkrētus dalībvalstu, ES iestāžu un EĀDD pienākumus šajā jomā. Ņemot vērā resursus, ko varētu nodrošināt dalībvalstis, tiek apzinātas konkrētas spējas, kas vajadzīgas šajā jomā īstenojamu operāciju pārvaldībai. |
4. EĀDD izveido atbilstīgas procedūras ziņošanai par drošības incidentiem Savienības delegācijās. Attiecīgā gadījumā tiek informētas dalībvalstis, Komisija, jebkura cita attiecīga iestāde, kā arī attiecīgās drošības komitejas.
5. Procesus reaģēšanai uz incidentiem, ārkārtas situācijām un krīzēm regulāri izmēģina un pārskata.
8. pants
Komunikāciju un informācijas sistēmu drošība
1. EĀDD aizsargā informāciju, kas apstrādāta komunikāciju un informācijas sistēmās (“KIS”), kā definēts šā lēmuma A pielikumā, pret konfidencialitātes, integritātes, pieejamības, autentiskuma un nenoliedzamības apdraudējumiem.
2. Visu EĀDD īpašumā esošo vai izmantoto KIS aizsardzības noteikumus, drošības pamatnostādnes un drošības programmu apstiprina EĀDD drošības iestāde.
3. Šie noteikumi, politika un programma atbilst attiecīgajiem Padomes un Komisijas noteikumiem, politikai un programmai un to īstenošana tiek ar tiem cieši koordinēta un attiecīgā gadījumā – ar dalībvalstu piemēroto drošības politiku.
4. Visas KIS, kurās apstrādā klasificētu informāciju, akreditē. EĀDD, apspriežoties ar Padomes Ģenerālsekretariātu un Komisiju, īsteno drošības akreditācijas pārvaldības sistēmu.
5. Ja EĀDD apstrādāto ESKI aizsargā ar kriptogrāfijas produktiem, tos pēc Padomes Drošības komitejas ieteikuma apstiprina EĀDD Kriptogrāfijas apstiprinājuma iestāde.
6. EĀDD drošības iestāde, ciktāl tas vajadzīgs, izveido šādas informācijas aizsardzības struktūras:
|
a) |
informācijas aizsardzības iestāde (IAI); |
|
b) |
TEMPEST iestāde (TI); |
|
c) |
kriptogrāfijas apstiprinājuma iestāde (KAI); |
|
d) |
kriptogrāfijas produktu izplatīšanas iestāde (KPII). |
7. EĀDD drošības iestāde katras sistēmas vajadzībām izveido šādas struktūras:
|
a) |
drošības akreditācijas iestāde (DAI); |
|
b) |
informācijas aizsardzības operatīvā iestāde (IAOI). |
8. Noteikumi šā panta īstenošanai ESKI aizsardzības nolūkā ir izklāstīta A un A IV pielikumā.
9. pants
Drošības prasību pārkāpumi un klasificētas informācijas apdraudējums
1. Drošības prasību pārkāpums rodas darbības vai bezdarbības rezultātā, kas ir pretrunā šajā lēmumā noteiktajiem drošības noteikumiem un/vai drošības politikai vai pamatnostādnēm, kurās paredzēti tās īstenošanai vajadzīgie pasākumi, kas apstiprināti saskaņā ar 21. panta 1. punktu.
2. Klasificēta informācija ir apdraudēta, ja tā ir pilnīgi vai daļēji nonākusi nesankcionētu personu vai struktūru rīcībā.
3. Par jebkuriem drošības prasību pārkāpumiem vai iespējamiem drošības prasību pārkāpumiem un jebkuriem klasificētas informācijas apdraudējumiem vai iespējamiem apdraudējumiem nekavējoties ziņo par mītnes drošību un EĀDD informācijas drošību atbildīgajam direktoram, kas veic atbilstīgus A pielikuma 11. pantā paredzētos pasākumus.
4. Personām, kuras ir atbildīgas par šajā lēmumā izklāstīto drošības noteikumu tīšu pārkāpšanu vai par klasificētas informācijas apdraudēšanu, var piemērot disciplināratbildību un/vai kriminālatbildību saskaņā ar spēkā esošajiem normatīvajiem aktiem, kā noteikts A pielikuma 11. panta 3. punktā.
10. pants
Drošības incidentu, pārkāpumu un vai apdraudējumu izmeklēšana un novēršanas darbības
1. Neskarot Civildienesta noteikumu (3) 86. pantu un IX pielikumu, par mītnes drošību un EĀDD informācijas drošību atbildīgais direktorāts var ierosināt un veikt drošības izmeklēšanu:
|
a) |
ESKI, Euratom klasificētas informācijas vai sensitīvas neklasificētas informācijas iespējamas noplūdes, nepareizas rīcības ar to vai apdraudējuma gadījumā; |
|
b) |
lai apkarotu naidīgu izlūkošanas dienestu uzbrukumus EĀDD un tā darbiniekiem; |
|
c) |
lai apkarotu teroristu uzbrukumus EĀDD un tā darbiniekiem; |
|
d) |
kiberincidentu gadījumā; |
|
e) |
citu incidentu gadījumā, kas ietekmē vai var ietekmēt EĀDD vispārējo drošību, tostarp, ja pastāv aizdomas par noziedzīgu nodarījumu. |
2. EĀDD drošības iestāde, kurai attiecīgā gadījumā palīdz par mītnes drošību [...] un EĀDD informācijas drošību atbildīgais direktorāts, par Krīzes reaģēšanas centru (CRC) atbildīgais direktorāts un eksperti no dalībvalstīm un/vai citām ES iestādēm, īsteno visas no izmeklēšanas izrietošās nepieciešamās novēršanas darbības, kad un ja tas vajadzīgs.
Tiesības veikt un koordinēt drošības izmeklēšanu EĀDD var piešķirt tikai darbiniekiem, kam tas atļauts ar EĀDD drošības iestādes individuālu pilnvarojumu, ņemot vērā darbinieka pašreizējos pienākumus.
3. Izmeklētāji var piekļūt visai informācijai, kas vajadzīga šādai izmeklēšanai un šajā jomā saņem visu EĀDD dienestu un darbinieku pilnīgu atbalstu.
Izmeklētāji var veikt attiecīgas darbības, lai aizsargātu pierādījumu izsekojamību atbilstīgi izmeklējamās lietas nopietnībai.
4. Ja ir nepieciešams piekļūt tādai informācijai, kas ir personas dati, tostarp dati komunikāciju un informācijas sistēmās, piekļuvi īsteno saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) 2018/1725 (4).
5. Ja ir nepieciešams izveidot izmeklēšanas datubāzi ar personas datiem, saskaņā ar minēto regulu par to paziņo Eiropas Datu aizsardzības uzraudzītājam (EDAU).
11. pants
Drošības riska pārvaldība
1. Lai noteiktu EĀDD drošības aizsardzības vajadzības, par mītnes drošību un EĀDD informācijas drošību atbildīgais direktorāts un par Krīzes reaģēšanas centru (CRC) atbildīgais direktorāts ciešā sadarbībā ar Komisijas Cilvēkresursu un drošības ģenerāldirektorāta Drošības direktorātu un attiecīgā gadījumā ar Padomes Ģenerālsekretariāta Drošības biroju izstrādā visaptverošu drošības riska novērtējuma metodiku un uztur to aktuālu.
2. EĀDD drošības interešu risku pārvalda kā procesu. Šā procesa mērķis ir noteikt zināmos drošības riskus, noteikt drošības pasākumus, lai šādus riskus mazinātu līdz pieņemamam līmenim, un piemērot pasākumus saskaņā ar padziļinātas aizsardzības koncepciju. Šādu pasākumu efektivitāti un riska līmeni nepārtraukti izvērtē.
3. Šajā lēmumā noteiktās funkcijas, pienākumi un uzdevumi neskar katra EĀDD pakļautā darbinieka atbildību; jo īpaši darba braucienos trešās valstīs nosūtītajiem ES darbiniekiem ir pienākums attiecībā uz pašu aizsargātību un drošību rīkoties pēc veselā saprāta un pareizi novērtējot situāciju, kā arī ievērot visus piemērojamos drošības noteikumus, procedūras un norādījumus.
4. Lai novērstu un kontrolētu drošības riskus, pilnvaroti darbinieki var veikt iepriekšējās darbības pārbaudes par personām, kurām piemērojams šis lēmums, lai noteiktu, vai, piešķirot šīm personām piekļuvi EĀDD telpām vai informācijai, tiek radīti draudi drošībai. Minētajā nolūkā un saskaņā ar Regulu (ES) 2018/1725 attiecīgi pilnvaroti darbinieki var: a) izmantot visus EĀDD pieejamos informācijas avotus, ņemot vērā informācijas avota uzticamību; b) pienācīgi pamatotos gadījumos piekļūt personas lietai vai datiem, kas ir EĀDD rīcībā par personām, ko tas nodarbina vai plāno nodarbināt, vai par darbuzņēmēja darbiniekiem.
5. EĀDD veic visus pamatotos pasākumus, lai nodrošinātu savu drošības interešu aizsardzību un novērstu tām draudošu kaitējumu, kuru iespējams paredzēt.
6. EĀDD drošības pasākumi ESKI aizsardzībai visā tās aprites ciklā jo īpaši atbilst tās drošības klasifikācijas līmenim, informācijas vai materiāla veidam un apjomam, to iekārtu atrašanās vietai un uzbūvei, kurās ESKI atrodas, un ļaunprātīgu un/vai noziedzīgu darbību, tostarp spiegošanas, sabotāžas un terorisma, draudiem, ieskaitot uz vietas novērtētus draudus.
12. pants
Informētība par drošību un apmācība
1. EĀDD drošības iestāde nodrošina, ka par mītnes drošību un EĀDD informācijas drošību atbildīgais direktorāts izstrādā atbilstīgas programmas informētībai par drošību un mācību programmas. Mītnes darbinieki saņem nepieciešamo informāciju par drošību un viņiem piedāvā mācības drošības jomā, ko nodrošina par mītnes drošību un EĀDD informācijas drošību atbildīgā direktorāta drošības izpratnes grupas. Savienības delegāciju darbinieki, kā arī attiecīgā gadījumā viņu tiesīgie apgādājamie saņems nepieciešamo informāciju par drošību un viņiem piedāvās mācības drošības jomā, kas atbilst riskiem viņu darbavietā vai dzīvesvietā un ko nodrošina drošības pārvaldības vienības sadarbībā ar direktorātu, kas atbildīgs par Krīzes reaģēšanas centru (CRC).
2. Darbinieki, pirms tiem piešķir piekļuvi ESKI un pēc tam – regulāri, tiek informēti par pienākumu aizsargāt ESKI atbilstīgi noteikumiem, kas minēti 6. pantā, un tie atzīst šo pienākumu.
13. pants
Drošības organizatoriskā struktūra EĀDD
1. iedaļa Vispārēji noteikumi
1. EĀDD drošības iestāde ir ģenerālsekretārs. Šo funkciju pildot, ģenerālsekretārs nodrošina, ka:
|
a) |
drošības pasākumi vajadzības gadījumā tiek koordinēti ar dalībvalstu, Padomes Ģenerālsekretariāta, Komisijas un attiecīgā gadījumā ar trešo valstu vai starptautisku organizāciju kompetentajām iestādēm visos drošības jautājumos, kas attiecas uz EĀDD darbībām, tostarp attiecībā uz EĀDD drošības interešu risku raksturu un aizsardzības līdzekļiem pret tiem; |
|
b) |
visās EĀDD darbībās no paša sākuma tiek pilnībā ņemti vērā drošības aspekti; |
|
c) |
piekļuvi klasificētai informācijai piešķir tikai tādām personām, kuras atbilst A pielikuma 5. panta noteikumiem; |
|
d) |
tiek veikti atbilstīgi pasākumi, lai pārvaldītu visu EĀDD pakļauto darbinieku un EĀDD līgumslēdzēju drošības pielaides statusu; |
|
e) |
tiek izveidota uzskaites sistēma, lai nodrošinātu, ka informācija, kuras klasifikācijas līmenis ir CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāks, tiek apstrādāta saskaņā ar šo lēmumu un ka tiek veikta uzskaite par šādas informācijas izsniegšanu ES dalībvalstīm, ES iestādēm, struktūrām, aģentūrām vai citiem sankcionētiem saņēmējiem. Tiek veikta atsevišķa uzskaite par visu ESKI, ko EĀDD nodod trešām valstīm vai starptautiskām organizācijām, un par visu klasificēto informāciju, kas tiek saņemta no trešām valstīm vai starptautiskām organizācijām; |
|
f) |
tiek veiktas 16. pantā minētās drošības pārbaudes; |
|
g) |
tiek veikta izmeklēšana par visiem faktiskiem vai iespējamiem drošības prasību pārkāpumiem, kā arī par visiem faktiskiem vai iespējamiem EĀDD rīcībā esošas vai EĀDD sagatavotas klasificētas informācijas apdraudējumiem vai zudumu, un šādā izmeklēšanā tiek lūgta attiecīgo drošības iestāžu palīdzība; |
|
h) |
tiek izveidoti atbilstīgi incidentu un seku pārvaldības plāni un mehānismi, lai savlaicīgi un efektīvi reaģētu uz drošības incidentiem; |
|
i) |
ja personas neievēro šo lēmumu, tiek veikti atbilstīgi pasākumi; |
|
j) |
tiek veikti atbilstīgi fiziski un organizatoriski pasākumi, lai aizsargātu EĀDD drošības intereses. |
Šajā sakarā EĀDD drošības iestāde:
|
— |
apspriežoties ar Komisiju, nosaka Savienības delegāciju drošības kategoriju, |
|
— |
izveido krīzes reaģēšanas mehānismu un nosaka tā uzdevumus un pienākumus, |
|
— |
pēc apspriešanās ar AP attiecīgā gadījumā pieņem lēmumu par Savienības delegācijas darbinieku evakuēšanu, ja tas vajadzīgs drošības nolūkā, |
|
— |
lemj par attiecīgā gadījumā īstenojamiem tiesīgo apgādājamo aizsardzības pasākumiem, ņemot vērā 3. panta 3. punktā minēto vienošanos ar ES iestādēm, |
|
— |
apstiprina šifrētas komunikācijas politiku, jo īpaši kriptogrāfijas produktu un mehānismu iestatīšanas programmu. |
2. Saskaņā ar Padomes Lēmuma 2010/427/ES 10. panta 3. punktu šo uzdevumu veikšanā EĀDD drošības iestādei kopīgi palīdz:
|
(i). |
resursu pārvaldības ģenerāldirektors, kuram palīdz par mītnes drošību un EĀDD informācijas drošību atbildīgais direktors, |
|
(ii). |
Krīzes reaģēšanas centra (CRC) direktors un attiecīgā gadījumā par mieru, drošību un aizsardzību atbildīgais ģenerālsekretāra vietnieks, lai nodrošinātu saskaņotību ar drošības pasākumiem, kas jāveic attiecībā uz KDAP misijām un operācijām. |
3. Attiecīgā gadījumā ģenerālsekretārs kā EĀDD drošības iestāde savus uzdevumus var deleģēt tālāk.
4. Katra departamenta/nodaļas vadītājs ir atbildīgs par minēto noteikumu, kā arī šā lēmuma 21. pantā minēto drošības pamatnostādņu un jebkādu citu tādu procedūru vai pasākumu īstenošanu, kuru mērķis ir ESKI aizsardzība attiecīgajā departamentā/nodaļā.
Saglabājot atbildību par iepriekš minētajiem pienākumiem, katra departamenta/nodaļas vadītājs ieceļ darbinieku, kurš pildīs departamenta drošības koordinatora funkcijas. To darbinieku skaits, kas pilda šādas funkcijas, atbilst attiecīgā departamenta/nodaļas apstrādātās ESKI apmēram.
Departamenta/nodaļas drošības koordinators, kad un ja vajadzīgs, palīdz savam departamenta/nodaļas vadītājam pildīt ar drošību saistītus uzdevumus, piemēram:
|
a) |
izstrādāt departamenta/nodaļas vajadzībām atbilstīgas papildu drošības prasības, apspriežoties ar direktorātu, kas atbildīgs par mītnes drošību un EĀDD informācijas drošību; |
|
b) |
ar informāciju par a) apakšpunktā minētajām papildu drošības prasībām papildināt regulāri sniegtu drošības informāciju, ko attiecīgā departamenta/nodaļas darbiniekiem nodrošina par mītnes drošību un EĀDD informācijas drošību atbildīgais direktorāts; |
|
c) |
nodrošināt vajadzības pēc informācijas principa ievērošanu departamentā/nodaļā; |
|
d) |
attiecīgā gadījumā uzturēt drošības kodu un atslēgu atjauninātu sarakstu; |
|
e) |
attiecīgā gadījumā nodrošināt, ka drošības procedūras un drošības pasākumi ir atjaunināti un faktiski darbojas; |
|
f) |
ziņot par visiem drošības prasību pārkāpumiem un/vai ESKI apdraudējumiem gan savas struktūrvienības direktoram, gan par mītnes drošību un EĀDD informācijas drošību atbildīgajam direktorātam; |
|
g) |
sniegt noslēguma informāciju darbiniekiem, kuri beidz darbu EĀDD; |
|
h) |
regulāri un atbilstīgi to hierarhijai sagatavot ziņojumus par departamenta/nodaļas drošības jautājumiem; |
|
i) |
jebkādos drošības jautājumos sadarboties ar direktorātu, kas atbild par mītnes drošību un EĀDD informācijas drošību. |
Par jebkuru darbību vai jautājumu, kas var ietekmēt drošību, savlaicīgi paziņo par mītnes drošību un EĀDD informācijas drošību atbildīgajam direktorātam.
2. iedaļa Par mītnes drošību un EĀDD informācijas drošību atbildīgais direktorāts
1. Par mītnes drošību un EĀDD informācijas drošību atbildīgais direktorāts ir administratīvi pakļauts Resursu pārvaldības ģenerāldirektorātam. Tas:
|
(a) |
EĀDD mītnē nodrošina EĀDD pienākumu izpildi attiecībā uz rūpības pienākumu un EĀDD mītnē ir atbildīgs par visiem drošības jautājumiem, tostarp attiecībā uz komunikāciju un informācijas sistēmām (KIS) un Savienības delegāciju informācijas drošību; |
|
(b) |
pārvalda, saskaņo, uzrauga un/vai īsteno visus drošības pasākumus visās EĀDD mītnes telpās; |
|
(c) |
nodrošina jebkādas darbības, kas var ietekmēt EĀDD drošības interešu aizsardzību, saskaņotību ar šo lēmumu un īstenošanas noteikumiem un atbilstību tiem; |
|
(d) |
atbalsta EĀDD Drošības akreditācijas iestādes darbības, novērtējot komunikāciju un informācijas sistēmu, ar kurām apstrādā ESKI, vispārējās drošības vides / vietējās drošības vides, kā arī visu EĀDD telpu, ko apstiprina ESKI apstrādei un glabāšanai, fizisko drošību. |
Saskaņā ar Padomes Lēmuma 2010/427/ES 10. panta 3. punktu par mītnes drošību un EĀDD informācijas drošību atbildīgajam direktorātam palīdz dalībvalstu attiecīgie dienesti.
2. Par mītnes drošību un EĀDD informācijas drošību atbildīgā direktora atbildībā ir:
|
(a) |
nodrošināt EĀDD drošības interešu vispārēju aizsardzību par mītnes drošību un EĀDD informācijas drošību atbildīgā direktorāta atbildības jomā; |
|
(b) |
ar Krīzes reaģēšanas centra (CRC) direktoru izstrādāt, pārskatīt un atjaunināt drošības noteikumus, kā arī saskaņot drošības pasākumus ar dalībvalstu kompetentajām iestādēm un attiecīgā gadījumā to trešo valstu un starptautisko organizāciju kompetentajām iestādēm, ko ar ES saista drošības nolīgumi un/vai vienošanās; |
|
(c) |
būt AP, EĀDD drošības iestādes un par mieru, drošību un aizsardzību atbildīgā ģenerālsekretāra vietnieka galvenajam padomniekam visos jautājumos, kas saistīti ar mītnes drošību un EĀDD informācijas drošību; |
|
(d) |
pārvaldīt visu EĀDD pakļauto darbinieku un EĀDD līgumslēdzēju drošības pielaides statusu; |
|
(e) |
pēc EĀDD drošības iestādes norādījuma vadīt EĀDD Drošības komiteju valsts drošības iestāžu (VDI) sastāvā, kā noteikts šā lēmuma 15. panta 1. punktā, un atbalstīt tās darbību; |
|
(f) |
drošības jautājumos sadarboties ar jebkādiem b) apakšpunktā neminētajiem partneriem vai iestādēm par mītnes drošību un EĀDD informācijas drošību atbildīgā direktorāta atbildības jomā; |
|
(g) |
noteikt prioritātes un izteikt priekšlikumus par EĀDD mītnes un Savienības delegāciju drošības budžeta pārvaldību, attiecībā uz pēdējo – koordinējot ar Krīzes reaģēšanas centra (CRC) direktoru; |
|
(h) |
nodrošināt šā lēmuma 9. pantā minēto drošības prasību pārkāpumu un apdraudējumu uzskaiti un, kad un ja vajadzīgs, izmeklēšanas sākšanu un īstenošanu; |
|
(i) |
regulāri un kad vien vajadzīgs, tikties ar Padomes Ģenerālsekretariāta drošības direktoru un Komisijas Cilvēkresursu un drošības ģenerāldirektorāta Drošības direktorāta direktoru, lai apspriestu kopēju interešu jomas. |
3. Par mītnes drošību un EĀDD informācijas drošību atbildīgais direktorāts savā atbildības jomā izveido sakarus un cieši sadarbojas ar:
|
— |
valstu drošības iestādēm (VDI) un/vai citām dalībvalstu kompetentajām drošības iestādēm, lai saņemtu to palīdzību saistībā ar informāciju, kas tam vajadzīga nolūkā novērtēt tādus apdraudējumus un riskus, kas EĀDD parastajā darbības vietā var skart EĀDD, tā darbiniekus, darbības, līdzekļus, resursus un klasificēto informāciju; |
|
— |
to trešo valstu kompetentajām drošības iestādēm, ar kurām ES ir noslēgusi informācijas drošības nolīgumu vai kuru teritorijā Savienība izvieto KDAP misiju vai operāciju; Padomes Ģenerālsekretariāta Drošības biroju un Komisijas Cilvēkresursu un drošības ģenerāldirektorāta Drošības direktorātu un, attiecīgā gadījumā, citu ES iestāžu, struktūru un aģentūru drošības departamentiem; |
|
— |
to starptautisko organizāciju drošības departamentiem, ar kurām ES ir noslēgusi informācijas drošības nolīgumu, un; |
|
— |
dalībvalstu VDI visos ar ESKI aizsardzību saistītos jautājumos, tostarp attiecībā uz personāla drošības pielaidēm (PDP). |
3. iedaļa Par Krīzes reaģēšanas centru (CRC) atbildīgais direktorāts
1. Par Krīzes reaģēšanas centru (CRC) atbildīgais direktorāts:
|
(a) |
Savienības delegācijās nodrošina EĀDD pienākumu izpildi attiecībā uz rūpības pienākumu; |
|
(b) |
ik dienu nodrošina EĀDD pakļauto darbinieku drošību Savienības delegācijās, ierosina pasākumus, kas jāpieņem krīzes gadījumā, lai nodrošinātu darbības nepārtrauktību Savienības delegācijās, un īsteno evakuācijas procedūras ciešā sadarbībā ar Resursu pārvaldības ģenerāldirektorāta Koordinācijas nodaļu; |
|
(c) |
pārvalda, saskaņo, uzrauga un/vai īsteno visus drošības pasākumus EĀDD telpās Savienības delegācijās; |
|
(d) |
CRC atbildības jomā nodrošina jebkādas EĀDD darbības, kas var ietekmēt EĀDD drošības intereses, saskaņotību ar šo lēmumu un īstenošanas noteikumiem un atbilstību tiem; |
|
(e) |
atbalsta EĀDD Drošības akreditācijas iestādes darbības, novērtējot Savienības delegācijas telpu, ko apstiprina ESKI apstrādei un glabāšanai, fizisko drošību. |
2. Krīzes reaģēšanas centra (CRC) direktora atbildībā ir:
|
(a) |
nodrošināt EĀDD drošības interešu vispārēju aizsardzību par Krīzes reaģēšanas centru (CRC) atbildīgā direktorāta atbildības jomā; |
|
(b) |
koordinēt drošības pasākumus un procedūras ar kompetentajām uzņēmēju valstu iestādēm un attiecīgā gadījumā ar attiecīgām starptautiskām organizācijām; |
|
(c) |
nodrošināt EĀDD krīzes reaģēšanas mehānisma aktivizēšanu un pārvaldību; |
|
(d) |
EĀDD izvietošanas spēju (izvietošanas atbalsta vienība, tostarp nepieciešamais aprīkojums) izveide un pārvaldība un to gatavības nodrošināšana jebkurā laikā; |
|
(e) |
būt AP, EĀDD drošības iestādes un par mieru, drošību un aizsardzību atbildīgā ģenerālsekretāra vietnieka galvenajam padomniekam visos jautājumos, kas saistīti ar Savienības delegāciju drošību, un jautājumos, kas saistīti ar reaģēšanu uz krīzi, kura tās ietekmē; |
|
(f) |
pēc EĀDD drošības iestādes norādījuma vadīt EĀDD Drošības komiteju ārlietu ministru (ĀM) sastāvā, kā noteikts šā lēmuma 15. panta 1. punktā, un atbalstīt tās darbību; |
|
(g) |
drošības jautājumos sadarboties ar jebkādiem b) apakšpunktā neminētajiem partneriem vai iestādēm par Krīzes reaģēšanas centru (CRC) atbildīgā direktorāta atbildības jomā; |
|
(h) |
palīdzēt noteikt prioritātes un iesniegt priekšlikumus drošības budžeta pārvaldībai Savienības delegācijās, šo darbu koordinējot par mītnes drošību un EĀDD informācijas drošību atbildīgajam direktoram; |
|
(i) |
nodrošināt, ka drošības prasību pārkāpumi un apdraudējumi par Krīzes reaģēšanas centru (CRC) atbildīgā direktorāta atbildības jomā tiek paziņoti par mītnes drošību un EĀDD informācijas drošību atbildīgajam direktorātam atbilstošu pēcpasākumu veikšanai. |
3. Par Krīzes reaģēšanas centru (CRC) atbildīgais direktorāts savā atbildības jomā izveido sakarus un cieši sadarbojas ar:
|
— |
dalībvalstu ārlietu ministriju attiecīgajiem departamentiem; |
|
— |
ciktāl nepieciešams, to uzņēmēju valstu kompetentajām drošības iestādēm, kuru teritorijā ir izveidotas ES delegācijas, attiecībā uz EĀDD drošības interesēm; |
|
— |
Padomes Ģenerālsekretariāta Drošības biroju un Komisijas Cilvēkresursu un drošības ģenerāldirektorāta Drošības direktorātu un, attiecīgā gadījumā, citu ES iestāžu, struktūru un aģentūru drošības departamentiem to atbildības jomā; |
|
— |
starptautisko organizāciju drošības departamentiem savas kompetences jomā jebkādas noderīgas saskaņošanas nolūkā. |
4. iedaļa Savienības delegācijas
1. Katras delegācijas vadītāja pienākums ir vietējā līmenī īstenot un pārvaldīt visus pasākumus saistībā ar EĀDD drošības interešu aizsardzību Savienības delegāciju telpās un darbības jomās.
Krīzes reaģēšanas centra (CRC) vadībā un vajadzības gadījumā apspriežoties ar uzņēmējas valsts kompetentajām iestādēm, delegācijas vadītājs veic visus praktiski iespējamos pasākumus, lai nodrošinātu, ka tiek īstenoti atbilstīgi fiziski un organizatoriski pasākumi savu pienākumu izpildei attiecībā uz rūpības pienākumu.
Delegācijas vadītājs sagatavo drošības procedūras 2. panta c) apakšpunktā definēto tiesīgo apgādājamo aizsardzībai, attiecīgā gadījumā ņemot vērā visas 3. panta 3. punktā minētās administratīvās vienošanās.
Delegācijas vadītājs par visiem ar rūpības pienākumu saistītiem jautājumiem, kas ietilpst viņa pilnvarās, ziņo Krīzes reaģēšanas centra (CRC) direktoram un attiecībā uz citiem drošības jautājumiem – par mītnes drošību un EĀDD informācijas drošību atbildīgā direktorāta direktoram.
Delegācijas vadītājam palīdz par Krīzes reaģēšanas centru (CRC) atbildīgais direktorāts, Savienības delegācijas drošības pārvaldības vienība, kuras sastāvā ir darbinieki, kas pilda drošības uzdevumus un funkcijas, un vajadzības gadījumā drošības personāls. Par mītnes drošību un EĀDD informācijas drošību atbildīgais direktorāts palīdz savā atbildības jomā.
Savienības delegācijas drošības jautājumos izveido regulārus sakarus un cieši sadarbojas ar dalībvalstu diplomātiskajām misijām.
2. Delegācijas vadītājs turklāt:
|
— |
sadarbībā ar Krīzes reaģēšanas centru (CRC) sagatavo sīki izstrādātus Savienības delegācijas drošības un ārkārtas rīcības plānus, pamatojoties uz vispārējām standarta darba procedūrām; |
|
— |
nodrošina, ka 24 stundas diennaktī septiņas dienas nedēļā darbojas sistēma to drošības incidentu un ārkārtas situāciju pārvaldībai, kas ietilpst Savienības delegācijas darbības jomā; |
|
— |
nodrošina, lai visiem Savienības delegācijas darbiniekiem būtu attiecīgās zonas apstākļiem atbilstīga apdrošināšana; |
|
— |
nodrošina drošības informācijas iekļaušanu Savienības delegācijas ievadmācībās, ko, sākot darbu Savienības delegācijā, apgūst visi Savienības delegācijā norīkotie darbinieki; un |
|
— |
nodrošina visu pēc drošības novērtējumiem sniegto ieteikumu īstenošanu un regulāri sagatavo Krīzes reaģēšanas centra (CRC) direktoram un par mītnes drošību un EĀDD informācijas drošību atbildīgajam direktoram rakstiskus ziņojumus par to īstenošanu. |
3. Saglabājot atbildību un pārskatatbildību par drošības pārvaldības aizsardzību, kā arī par tās ievērošanu delegācijā, delegācijas vadītājs var savu drošības uzdevumu izpildi deleģēt delegācijas drošības koordinatoram (“DDK”), kas ir delegācijas vadītāja vietnieks, vai, ja tāds nav iecelts, piemērotam aizvietotājam.
Jo īpaši var deleģēt šādus pienākumus:
|
— |
drošības funkciju koordinēšana Savienības delegācijā; |
|
— |
sadarbība drošības jautājumos ar uzņēmējas valsts kompetentajām iestādēm un attiecīgajām dalībvalstu vēstniecību un diplomātisko misiju struktūrām; |
|
— |
atbilstīgu, ar EĀDD drošības interesēm, tostarp ESKI aizsardzību, saistītu drošības pārvaldības procedūru īstenošana; |
|
— |
atbilstības drošības noteikumiem un norādījumiem nodrošināšana; |
|
— |
darbinieku informēšana par drošības noteikumiem, kas tiem jāievēro, un par konkrētiem riskiem uzņēmējā valstī; |
|
— |
pieprasījumu iesniegšana par mītnes drošību un EĀDD informācijas drošību atbildīgajam direktorātam attiecībā uz drošības pielaidēm un amatiem, kuru izpildītājiem vajadzīga personāla drošības pielaide (PDP); un |
|
— |
delegācijas vadītāja, reģionālā drošības ierēdņa (RDI) un par Krīzes reaģēšanas centru (CRC) atbildīgā direktorāta pastāvīga informēšana par tādiem incidentiem vai ar drošību saistītiem notikumiem attiecīgajā teritorijā, kas ietekmē EĀDD drošības interešu aizsardzību. |
4. Delegācijas vadītājs var administratīvajam vadītājam un citiem Savienības delegācijas darbiniekiem deleģēt administratīvu un tehnisku drošības uzdevumu izpildi.
5. Savienības delegācijai palīdz reģionālais drošības ierēdnis (RDI). RDI savas ģeogrāfiskās atbildības teritorijās uzņemas turpmāk aprakstīto funkciju izpildi Savienības delegācijās.
Noteiktos apstākļos, ja tas vajadzīgs, ņemot vērā dominējošo drošības situāciju, konkrētai Savienības delegācijai var piešķirt speciālu RDI kā pilna laika darbinieku.
Atkarībā no drošības situācijas konkrētajā valstī un par Krīzes reaģēšanas centru (CRC) atbildīgā direktorāta prasībām RDI var pārcelt uz teritoriju, kas nav tā pašreizējā atbildības teritorija, tostarp uz EĀDD mītni, vai pat uzticēt rezidējošu amata vietu.
6. RDI darbojas EĀDD mītnes par lauka drošību atbildīgā dienesta tiešā operatīvā pakļautībā un savā nodarbinātības vietā darbojošās Savienības delegācijas vadītāja un EĀDD mītnes par lauka drošību atbildīgā dienesta dalītā administratīvā kontrolē. RDI konsultē un palīdz delegācijas vadītājam un Savienības delegācijas darbiniekiem, organizējot un īstenojot visus fiziskus, organizatoriskus un procesuālus pasākumus, kas saistīti ar Savienības delegācijas drošību.
7. RDI konsultē delegācijas vadītāju un Savienības delegācijas darbiniekus un palīdz tiem. Attiecīgā gadījumā un jo īpaši tad, ja RDI ir pilna laika darbinieks, viņam [...] vajadzētu palīdzēt Savienības delegācijai pārvaldīt un īstenot drošību, tostarp sagatavot līgumus par drošību un pārvaldīt akreditācijas un pielaides.
14. pants
KDAP operācijas un ES īpašie pārstāvji
Par mītnes drošību un EĀDD informācijas drošību atbildīgais direktors un Krīzes reaģēšanas centra (CRC) direktors – atbilstoši savu direktorātu attiecīgajām atbildības jomām un vajadzības gadījumā – par kopējo drošības un aizsardzības politiku (KDAP) atbildīgajam rīkotājdirektoram, ES Militārā štāba (ESMŠ) ģenerāldirektoram, viņam esot arī Militārās plānošanas un īstenošanas centra (MPĪC) direktora amatā, un Civilās plānošanas un īstenošanas centra (CPĪC) rīkotājdirektoram sniedz konsultācijas par KDAP misiju un operāciju plānošanas un īstenošanas drošības aspektiem, kā arī konsultē ES īpašos pārstāvjus saistībā ar to funkciju drošības aspektiem papildus īpašajiem noteikumiem, kas šajā jomā ietverti piemērojamās Padomes politikās.
15. pants
EĀDD Drošības komiteja
1. Ar šo izveido EĀDD Drošības komiteju.
Tās priekšsēdētājs ir EĀDD drošības iestāde vai izraudzīts pārstāvis, un komitejas sanāksmes notiek saskaņā ar priekšsēdētāja norādījumiem vai pēc jebkura tās locekļa pieprasījuma. Par mītnes drošību un EĀDD informācijas drošību atbildīgais direktorāts un par Krīzes reaģēšanas centru (CRC) atbildīgais direktorāts savās attiecīgajās atbildības jomās palīdz priekšsēdētājam pildīt savas funkcijas un sniedz vajadzīgo administratīvo palīdzību komitejas darbības īstenošanai.
2. EĀDD Drošības komitejas sastāvā ir pārstāvji no:
|
— |
katras dalībvalsts; |
|
— |
Padomes Ģenerālsekretariāta Drošības biroja; |
|
— |
Komisijas Cilvēkresursu un drošības ģenerāldirektorāta Drošības direktorāta. |
Dalībvalsts delegācijā EĀDD Drošības komitejā var ietilpt pārstāvji no:
|
— |
valsts drošības iestādes (VDI) un/vai izraudzītas drošības iestādes (IDI); |
|
— |
ārlietu ministriju (ĀM) drošības departamentiem. |
3. Ja komitejas pārstāvji to uzskata par vajadzīgu, viņus var pavadīt un konsultēt eksperti. Var uzaicināt piedalīties arī citu ES iestāžu, aģentūru vai struktūru pārstāvjus, ja tiek izskatīti jautājumi, kas attiecas uz to drošību.
4. Neskarot šā panta 5. punktu, EĀDD Drošības komiteja palīdz EĀDD, to konsultējot par visiem ar EĀDD darbībām, EĀDD mītni un Savienības delegācijām saistītiem drošības jautājumiem.
Neskarot šā panta 5. punktu, ar EĀDD Drošības komiteju jo īpaši:
|
a) |
apspriežas par:
|
|
b) |
neskarot šā lēmuma 3. panta 3. punktu, attiecīgā gadījumā var konsultēties vai to informēt par jautājumiem saistībā ar EĀDD mītnes un Savienības delegāciju darbinieku un līdzekļu drošību; |
|
c) |
komiteju informē par visiem ESKI apdraudējumiem un zudumiem, kas notikuši EĀDD. |
5. Lai veiktu jebkādas izmaiņas šā lēmuma un tā A pielikuma noteikumos par ESKI aizsardzību, dalībvalstu pārstāvji EĀDD Drošības komitejā sniedz vienprātīgu piekrišanu. Šāda vienprātīga piekrišana ir vajadzīga, arī pirms:
|
— |
sāk sarunas par A pielikuma 10. panta 1. punkta b) apakšpunktā minēto administratīvo vienošanos, |
|
— |
nodod klasificētu informāciju A VI pielikuma 9., 11. un 12. punktā minētajos ārkārtas gadījumos, |
|
— |
uzņemas informācijas sagatavotāja atbildību A pielikuma 10. panta 6. punkta pēdējā daļā minētajos apstākļos. |
Gadījumos, kad vajadzīga vienprātīga piekrišana, šis nosacījums ir izpildīts, ja komitejas sanāksmju laikā dalībvalstu delegācijas neizsaka iebildumus.
6. EĀDD Drošības komiteja pilnībā ievēro spēkā esošo Padomes un Komisijas drošības politiku un pamatnostādnes.
7. EĀDD Drošības komiteja saņem EĀDD ikgadējo pārbaužu un pārbaužu ziņojumu sarakstu, kad tas ir pabeigts.
8. Sanāksmju organizācija:
|
— |
EĀDD Drošības komitejas sanāksmes notiek vismaz divas reizes gadā. Pēc priekšsēdētāja vai komitejas locekļu pieprasījuma var rīkot papildu sanāksmes vai nu pilnā sastāvā, vai arī ar VDI/IDI vai ĀM drošības departamentu pārstāvjiem, |
|
— |
EĀDD Drošības komiteja organizē savas darbības tā, lai varētu sniegt ieteikumus par konkrētām drošības jomām. Vajadzības gadījumā tā izveido citas ekspertu apakšgrupas. Tā izstrādā darba uzdevumus minētajām ekspertu apakšgrupām un saņem ziņojumus par to darbību, |
|
— |
par mītnes drošību un EĀDD informācijas drošību atbildīgais direktorāts un par Krīzes reaģēšanas centru (CRC) atbildīgais direktorāts katrs savās attiecīgajās atbildības jomās atbild par apspriežamo jautājumu sagatavošanu. Priekšsēdētājs sagatavo katras sanāksmes pagaidu darba kārtību. Komitejas locekļi var ierosināt papildu apspriežamus jautājumus. |
16. pants
Drošības pārbaudes
1. EĀDD drošības iestāde gādā, lai EĀDD mītnē un Savienības delegācijās regulāri veiktu drošības pārbaudes un tādējādi novērtētu drošības pasākumu īstenošanas piemērotību un pārbaudītu to atbilstību šim lēmumam. Par mītnes drošību un EĀDD informācijas drošību atbildīgais direktorāts, sadarbojoties ar direktorātu, kas atbildīgs par Krīzes reaģēšanas centru (CRC), attiecīgā gadījumā var iecelt papildu ekspertus, kas piedalās tādu ES aģentūru un struktūru drošības pārbaudēs, kas izveidotas saskaņā ar LES V sadaļas 2. nodaļu.
2. EĀDD drošības pārbaudes veic par mītnes drošību un EĀDD informācijas drošību atbildīgā direktorāta pakļautībā un attiecīgā gadījumā ar direktorāta, kas atbildīgs par Krīzes reaģēšanas centru (CRC), atbalstu un – saistībā ar 3. panta 3. punktā minēto vienošanos – ar tādu drošības ekspertu atbalstu, kas pārstāv citas ES iestādes vai dalībvalstis.
3. Ja nepieciešams, EĀDD var izmantot dalībvalstu, Padomes Ģenerālsekretariāta un Komisijas speciālās zināšanas.
Ja nepieciešams, Savienības delegācijas var aicināt drošības pārbaudē piedalīties attiecīgus drošības ekspertus, kas darbojas dalībvalstu misijās trešās valstīs, un/vai dalībvalstu diplomātisko drošības departamentu pārstāvjus.
4. Noteikumi šā panta īstenošanai ESKI aizsardzības nolūkā ir izklāstīti A III pielikumā.
17. pants
Izvērtējuma apmeklējumi
Lai pārliecinātos par to drošības pasākumu efektivitāti, kurus piemēro trešā valsts vai starptautiska organizācija ar mērķi aizsargāt to ESKI, ar kuru notiek apmaiņa saskaņā ar A pielikuma 10. panta 1. punkta b) apakšpunktā minēto administratīvo vienošanos, organizē izvērtējuma apmeklējumus.
Par mītnes drošību un EĀDD informācijas drošību atbildīgais direktorāts var iecelt papildu ekspertus, kas piedalās tādu trešo valstu vai starptautisko organizāciju izvērtējuma apmeklējumos, ar kurām ES ir noslēgusi A pielikuma 10. panta 1. punkta a) apakšpunktā minēto informācijas drošības nolīgumu.
18. pants
Darbības nepārtrauktības plānošana
Par mītnes drošību un EĀDD informācijas drošību atbildīgais direktorāts un par Krīzes reaģēšanas centru (CRC) atbildīgais direktorāts palīdz EĀDD drošības iestādei kopējās EĀDD darbības nepārtrauktības plānošanas ietvaros pārvaldīt tos EĀDD darbības nepārtrauktības procesu aspektus, kas ir saistīti ar drošību.
19. pants
Ceļošanas ieteikumi attiecībā uz došanos darba braucienos ārpus ES
Par Krīzes reaģēšanas centru (CRC) atbildīgais direktorāts nodrošina, ka attiecībā uz EĀDD pakļauto darbinieku darba braucieniem ārpus ES ir pieejami ceļošanas ieteikumi, ko izstrādā, izmantojot visu attiecīgo EĀDD dienestu un jo īpaši INTCEN, Resursu pārvaldības ģenerāldirektorāta pretizlūkošanas vienības, ģeogrāfisko departamentu un Savienības delegāciju resursus.
Par Krīzes reaģēšanas centru (CRC) atbildīgais direktorāts pēc pieprasījuma un, izmantojot iepriekš minētos resursus, sniedz konkrētus ceļošanas ieteikumus attiecībā uz EĀDD pakļauto darbinieku darba braucieniem uz trešām valstīm, kurās pastāv liels risks vai paaugstināts riska līmenis.
20. pants
Veselība un drošība
EĀDD drošības noteikumi papildina AP pieņemtos EĀDD noteikumus par veselības un drošības aizsardzību.
21. pants
Īstenošana un pārskatīšana
1. EĀDD drošības iestāde, attiecīgā gadījumā apspriežoties ar EĀDD Drošības komiteju, apstiprina drošības pamatnostādnes, kurās paredzēti visi vajadzīgie pasākumi, lai īstenotu šos noteikumus EĀDD, un, cieši sadarbojoties ar dalībvalstu kompetentajām drošības iestādēm un saņemot ES iestāžu attiecīgo dienestu atbalstu, izveido vajadzīgās spējas saistībā ar visiem drošības aspektiem.
2. Saskaņā ar 4. panta 5. punktu Padomes Lēmumā 2010/427/ES un vajadzības gadījumā EĀDD var noslēgt dienesta līmeņa vienošanos ar attiecīgajiem Padomes Ģenerālsekretariāta un Komisijas dienestiem.
3. AP nodrošina vispārēju saskaņotību šā lēmuma piemērošanā un regulāri pārskata šos drošības noteikumus.
4. EĀDD drošības noteikumus īsteno, cieši sadarbojoties ar dalībvalstu kompetentajām drošības iestādēm.
5. EĀDD nodrošina, ka EĀDD krīžu reaģēšanas sistēmā tiek ņemti vērā visi drošības procesa aspekti.
6. Šā lēmuma īstenošanu nodrošina ģenerālsekretārs kā drošības iestāde, par mītnes drošību un EĀDD informācijas drošību atbildīgā direktorāta direktors un Krīzes reaģēšanas centra (CRC) direktors.
22. pants
Iepriekšējo lēmumu aizstāšana
Ar šo lēmumu atceļ un aizstāj Savienības Augstā pārstāvja ārlietās un drošības politikas jautājumos Lēmumu ADMIN(2017) 10 (2017. gada 19. septembris) par Eiropas Ārējās darbības dienesta drošības noteikumiem (5).
23. pants
Nobeiguma noteikumi
Šis lēmums stājas spēkā tā parakstīšanas dienā.
To publicē Eiropas Savienības Oficiālajā Vēstnesī.
EĀDD drošības iestāde visus darbiniekus, uz kuriem attiecas šā lēmuma un tā pielikumu darbības joma, pienācīgi un savlaicīgi informē par tā saturu, stāšanos spēkā un jebkādiem turpmākiem grozījumiem.
Briselē, 2023. gada 19. jūnijs.
Josep BORRELL FONTELLES
Savienības Augstais pārstāvis
ārlietās un drošības politikas jautājumos
(1) OV L 201, 3.8.2010., 30. lpp.
(2) OV C 126, 10.4.2018., 1. lpp.
(3) Eiropas Savienības Civildienesta noteikumi un Savienības pārējo darbinieku nodarbināšanas kārtība, turpmāk “Civildienesta noteikumi”.
(4) Eiropas Parlamenta un Padomes Regula (ES) Nr. 2018/1725 (2018. gada 23. oktobris) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās un par šādu datu brīvu apriti (OV L 295, 21.11.2018., 39. lpp.).
A PIELIKUMS
ESKI AIZSARDZĪBAS PRINCIPI UN STANDARTI
1. pants
Priekšmets, darbības joma un definīcijas
1. Šajā pielikumā ir izklāstīti ESKI aizsardzības pamatprincipi un minimālie drošības standarti.
2. Minētie pamatprincipi un minimālie standarti attiecas uz EĀDD un EĀDD pakļautajiem darbiniekiem, kas attiecīgi minēti un definēti šā lēmuma 1. un 2. pantā.
2. pants
ESKI, drošības klasifikāciju un marķējumu definīcijas
1. “ES klasificēta informācija” (ESKI) ir jebkura informācija vai materiāli, kuriem piemērota ES drošības klasifikācija un kuru neatļauta izpaušana var izraisīt dažāda līmeņa apdraudējumu Eiropas Savienības vai vienas vai vairāku dalībvalstu interesēm.
2. ESKI piešķir kādu no šādiem klasifikācijas līmeņiem:
|
a) |
TRES SECRET UE/EU TOP SECRET: informācija un materiāli, kuru neatļauta izpaušana var izraisīt ārkārtīgi smagu kaitējumu būtiskām Eiropas Savienības vai vienas vai vairāku dalībvalstu interesēm; |
|
b) |
SECRET UE/EU SECRET: informācija un materiāli, kuru neatļauta izpaušana var izraisīt nopietnu kaitējumu būtiskām Eiropas Savienības vai vienas vai vairāku dalībvalstu interesēm; |
|
c) |
CONFIDENTIEL UE/EU CONFIDENTIAL: informācija un materiāli, kuru neatļauta izpaušana var radīt kaitējumu būtiskām Eiropas Savienības vai vienas vai vairāku dalībvalstu interesēm; |
|
d) |
RESTREINT UE/EU RESTRICTED: informācija un materiāli, kuru neatļauta izpaušana var būt nevēlama Eiropas Savienības vai vienas vai vairāku dalībvalstu interesēm. |
3. ESKI piemēro drošības klasifikācijas marķējumu saskaņā ar 2. punktu. Papildus var piemērot marķējumus, lai norādītu ar dokumentu saistīto darbības jomu, sagatavotāju, ierobežotu izplatīšanu, izmantošanu vai norādītu pieļaujamo izpaušanu.
3. pants
Klasifikācijas pārvaldība
1. EĀDD nodrošina, ka ESKI ir pienācīgi klasificēta, skaidri apzināta kā klasificēta informācija, un saglabā klasifikācijas līmeni vienīgi tik ilgi, cik tas nepieciešams.
2. ESKI klasifikācijas līmeni nepazemina vai to nedeklasificē, un 2. panta 3. punktā minētos marķējumus nemaina vai nesvītro bez sagatavotāja iepriekšējas rakstiskas piekrišanas.
3. EĀDD drošības iestāde, saskaņā ar šā lēmuma 15. panta 5. punktu apspriežoties ar EĀDD Drošības komiteju, apstiprina drošības pamatnostādnes attiecībā uz ESKI izstrādi, kurās ir ietverta praktiskā klasifikācijas rokasgrāmata.
4. pants
Klasificētas informācijas aizsardzība
1. ESKI aizsargā saskaņā ar šo lēmumu.
2. Jebkādas ESKI turētājs ir atbildīgs par tās aizsardzību saskaņā ar šo lēmumu.
3. Ja dalībvalstis EĀDD struktūrās vai tīklos ievieš klasificētu informāciju, kam uzlikts valsts drošības klasifikācijas marķējums, EĀDD aizsargā šo informāciju saskaņā ar prasībām, kas attiecas uz līdzvērtīga līmeņa ESKI, kā tas izklāstīts B papildinājumā ietvertajā drošības klasifikāciju atbilsmju tabulā.
EĀDD izveido atbilstīgas procedūras, lai veiktu precīzu uzskaiti par:
|
— |
EĀDD saņemtās klasificētās informācijas sagatavotāju; un |
|
— |
EĀDD sagatavotās klasificētās informācijas izejmateriāla sagatavotāju. |
Par šīm procedūrām informē EĀDD Drošības komiteju.
4. Lielam ESKI daudzumam vai ESKI apkopojumam var ļaut piešķirt tāda līmeņa aizsardzību, kas atbilst augstākai klasifikācijas kategorijai, nekā noteikts tā sastāvdaļām.
5. pants
ES klasificētas informācijas apstrādes personāla drošība
1. Personāla drošība nozīmē tādu pasākumu piemērošanu, lai nodrošinātu, ka piekļuvi ESKI piešķir tikai tādām personām:
|
— |
kurām ir vajadzība pēc informācijas; |
|
— |
kurām, lai piekļūtu informācijai, kuras klasifikācijas līmenis ir CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāks, ir attiecīga līmeņa drošības pielaide vai ieņemamā amata dēļ ir piešķirta pienācīga atļauja atbilstīgi attiecīgās valsts normatīvajiem aktiem; un |
|
— |
kuras ir informētas par saviem pienākumiem. |
2. Īstenojot personāla drošības pielaides (“PDP”) procedūras, nosaka, vai konkrētai personai drīkst nodrošināt piekļuvi ESKI, ņemot vērā attiecīgās personas lojalitāti un uzticamību.
3. Visas personas, pirms tām piešķir piekļuvi ESKI un pēc tam – regulāri, tiek informētas par pienākumu aizsargāt ESKI atbilstīgi šim lēmumam, un tās rakstiski atzīst šo pienākumu.
4. Šā panta īstenošanas noteikumi ir izklāstīti A I pielikumā.
6. pants
ES klasificētas informācijas fiziskā drošība
1. Fiziskā drošība ir fizisku un tehnisku aizsardzības pasākumu piemērošana, lai novērstu neatļautu piekļuvi ESKI.
2. Fiziskās drošības pasākumu mērķis ir nepieļaut slepenu vai vardarbīgu ielaušanos, novērst, kavēt un atklāt neatļautas darbības un pieļaut personāla diferencēšanu attiecībā uz piekļuvi ESKI, ņemot vērā vajadzības pēc informācijas principu. Šādus pasākumus nosaka, pamatojoties uz riska pārvaldības procesu.
3. Fiziskās drošības pasākumus īsteno visās telpās, ēkās, birojos un citās zonās, kur apstrādā ESKI vai to glabā, tostarp zonās, kur atrodas šā lēmuma A papildinājumā definētās komunikāciju un informācijas sistēmas.
4. Zonas, kurās glabā ESKI, kuras klasifikācijas līmenis ir CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāks, izveido par drošības zonām saskaņā ar A II pielikumu, un tās apstiprina EĀDD drošības iestāde.
5. Lai aizsargātu ESKI, kas klasificēta kā CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāk, izmanto vienīgi apstiprinātas iekārtas vai ierīces.
6. Šā panta īstenošanas noteikumi ir izklāstīti A II pielikumā.
7. pants
Klasificētas informācijas pārvaldība
1. Klasificētas informācijas pārvaldība ir administratīvu pasākumu piemērošana ESKI kontrolei tās aprites cikla laikā, lai papildinātu 5., 6. un 8. pantā minētos pasākumus un tādējādi palīdzētu novērst un atklāt tīšu vai netīšu šādas informācijas apdraudējumu vai atgūt to tīšas vai netīšas nozaudēšanas gadījumā. Šādi pasākumi jo īpaši ir saistīti ar ESKI izstrādi, reģistrāciju, kopēšanu, tulkošanu, pārvietošanu, apstrādi, glabāšanu un iznīcināšanu.
2. Informāciju, kuras klasifikācijas līmenis ir CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāks, drošības nolūkā reģistrē pirms tās izplatīšanas un līdz ar saņemšanu. EĀDD kompetentās iestādes šim nolūkam izveido uzskaites sistēmu. Informāciju, kas klasificēta kā TRES SECRET UE/EU TOP SECRET, reģistrē īpašos reģistros.
3. Dienestus un telpas, kur apstrādā vai glabā ESKI, regulāri pārbauda EĀDD drošības iestāde.
4. ESKI pārvieto starp dienestiem un telpām ārpus fiziski aizsargātām zonām šādā veidā:
|
a) |
parasti ESKI nosūta ar elektroniskiem līdzekļiem, kurus aizsargā ar kriptogrāfijas produktiem, kas apstiprināti saskaņā ar šā lēmuma 7. panta 5. punktu, un saskaņā ar skaidri definētām drošības darba procedūrām (“SecOPs”); |
|
b) |
ja neizmanto a) apakšpunktā minētos līdzekļus, ESKI pārvieto, vai nu:
|
5. Šā panta īstenošanas noteikumi ir izklāstīti A III pielikumā.
8. pants
ESKI aizsardzība, apstrādājot to komunikāciju un informācijas sistēmās
1. Informācijas aizsardzība (turpmāk “IA”) ir pārliecība, ka komunikāciju un informācijas sistēmu jomā aizsargās informāciju, kas tajā atrodas, un darbosies, kā tas ir paredzēts, kad paredzēts un likumīgu lietotāju kontrolē. Ar efektīvu IA nodrošina atbilstīga līmeņa konfidencialitāti, integritāti, pieejamību, nenoliedzamību un autentiskumu. IA pamatā ir riska pārvaldības process.
2. KIS apstrādā ESKI saskaņā ar IA koncepciju.
3. Visas KIS, kurās apstrādā ESKI, akreditē. Akreditācijas mērķis ir saņemt garantiju, ka ir īstenoti visi attiecīgie drošības pasākumi un ka ir sasniegts pietiekams ESKI un KIS aizsardzības līmenis atbilstīgi šim lēmumam. Ar akreditācijas paziņojumu nosaka augstāko informācijas klasifikācijas līmeni, ar kādu atļauts strādāt KIS, kā arī šādas atļaujas nosacījumus.
4. KIS, kurās apstrādā informāciju, kas klasificēta kā CONFIDENTIEL UE/EU CONFIDENTIAL un augstāk, ir aizsargātas pret informācijas apdraudējumu, ko izraisa netīšas elektromagnētiskas emisijas (“TEMPEST drošības pasākumi”).
5. Ja ESKI aizsargā ar kriptogrāfijas produktiem, tos apstiprina saskaņā ar šā lēmuma 8. panta 5. punktu.
6. Nosūtot ESKI elektroniski, izmanto apstiprinātus kriptogrāfijas produktus. Neskarot šo prasību, ārkārtas apstākļos vai īpašās tehniskās konfigurācijās var piemērot īpašas procedūras, kā noteikts A IV pielikumā.
7. Saskaņā ar šā lēmuma 8. panta 6. punktu, ciktāl tas vajadzīgs, tiek izveidotas šādas IA struktūras:
|
a) |
IA iestāde (IAI); |
|
b) |
TEMPEST iestāde (TI); |
|
c) |
kriptogrāfijas apstiprinājuma iestāde (KAI); |
|
d) |
kriptogrāfijas izplatīšanas iestāde (KII). |
8. Saskaņā ar šā lēmuma 8. panta 7. punktu katras sistēmas vajadzībām izveido:
|
a) |
drošības akreditācijas iestādi (DAI); |
|
b) |
IA operatīvo iestādi (IAOI). |
9. Šā panta īstenošanas noteikumi ir izklāstīti A IV pielikumā.
9. pants
Industriālā drošība
1. Industriālā drošība ir pasākumu piemērošana nolūkā nodrošināt, ka līgumslēdzējs vai apakšlīgumslēdzējs aizsargā ESKI sarunu laikā pirms klasificēta līguma slēgšanas un klasificēto līgumu darbības laikā. Parasti šādi līgumi nav saistīti ar piekļuvi informācijai, kas klasificēta kā TRES SECRET UE/EU TOP SECRET.
2. EĀDD līgumā var uzticēt uzdevumus, kas ietver vai ir saistīti ar piekļuvi ESKI vai tās apstrādi vai glabāšanu, ko veic rūpniecības vai citas struktūras, kas reģistrētas dalībvalstī vai trešā valstī, ar kuru ir noslēgts A pielikuma 10. panta 1. punktā minētais informācijas drošības nolīgums vai administratīva vienošanās.
3. EĀDD kā līgumslēdzēja iestāde nodrošina, ka, piešķirot klasificētu līgumu rūpniecības vai citām struktūrām, tiek ievēroti šajā lēmumā izklāstītie un attiecīgajā līgumā minētie industriālās drošības minimālie standarti. Atbilstību šiem minimālajiem standartiem tas nodrošina ar attiecīgo VDI/IDI palīdzību.
4. Dalībvalstī reģistrētajiem līgumslēdzējiem vai apakšlīgumslēdzējiem, kas iesaistīti klasificētos līgumos vai apakšlīgumos un kam savās telpās jāapstrādā un jāglabā informācija, kura klasificēta kā CONFIDENTIEL UE/EU CONFIDENTIAL vai SECRET UE/EU SECRET, minēto līgumu izpildes gaitā vai pirms to parakstīšanas vajadzīga atbilstīga klasifikācijas līmeņa iestādes drošības pielaide (IDP), ko piešķīrusi attiecīgās dalībvalsts VDI, IDI vai cita kompetentā drošības iestāde.
5. Līgumslēdzēja vai apakšlīgumslēdzēja personālam, kas klasificēta līguma darbības laikā piekļūst informācijai, kas klasificēta kā CONFIDENTIEL UE/EU CONFIDENTIAL vai SECRET UE/EU SECRET, ir PDP, ko piešķīrusi attiecīgā VDI, IDI vai kāda cita kompetenta drošības iestāde atbilstīgi valsts normatīvajiem aktiem un minimālajiem drošības standartiem, kas izklāstīti A I pielikumā.
6. Šā panta īstenošanas noteikumi ir izklāstīti A V pielikumā.
10. pants
Klasificētas informācijas apmaiņa ar trešām valstīm un starptautiskām organizācijām
1. EĀDD var veikt ESKI apmaiņu ar trešo valsti vai starptautisku organizāciju tikai tad, ja:
|
a) |
ir spēkā ES un attiecīgās trešās valsts vai starptautiskās organizācijas informācijas drošības nolīgums, kas noslēgts saskaņā ar LES 37. pantu un LESD 218. pantu; vai arī |
|
b) |
ir stājusies spēkā saskaņā ar šā lēmuma 15. panta 5. punktā paredzēto procedūru noslēgta AP un attiecīgās trešās valsts vai starptautiskās organizācijas kompetento drošības iestāžu administratīva vienošanās par tādas klasificētas informācijas apmaiņu, kuras klasifikācijas līmenis parasti nav augstāks par RESTREINT UE/EU RESTRICTED; vai arī |
|
c) |
ir spēkā ES un attiecīgās trešās valsts dalības pamatnolīgums vai ad hoc dalības nolīgums saistībā ar KDAP krīzes pārvarēšanas operāciju, kas noslēgts saskaņā ar LES 37. pantu un LESD 218. pantu, un ir izpildīti minētajā instrumentā paredzētie nosacījumi. Šo vispārīgo noteikumu izņēmumi ir izklāstīti A VI pielikuma V iedaļā. |
2. Šā panta 1. punkta b) apakšpunktā minētās administratīvās vienošanās dokumentos iekļauj noteikumus, lai nodrošinātu, ka gadījumos, kad trešās valstis vai starptautiskās organizācijas saņem ESKI, šai informācijai nodrošina tādu aizsardzību, kas atbilst tās klasifikācijas līmenim un minimālajiem standartiem, kuri ir ne mazāk stingri kā šajā lēmumā paredzētie.
Pamatojoties uz šā panta 1. punkta c) apakšpunktā minēto vienošanos, apmainās tikai ar informāciju par tādām KDAP operācijām, kurās piedalās attiecīgā trešā valsts, pamatojoties uz šo vienošanos un saskaņā ar tās nosacījumiem.
3. Ja attiecīgā iesaistītā trešā valsts vai starptautiskā organizācija pēc tam noslēdz informācijas drošības nolīgumu ar Savienību, šis informācijas drošības nolīgums, ciktāl tas attiecas uz apmaiņu un rīkošanos ar ESKI, aizstāj noteikumu par klasificētas informācijas apmaiņu, kas ietverts jebkura dalības pamatnolīguma, ad hoc dalības nolīguma vai ad hoc administratīvas vienošanās tekstā.
4. ESKI, kas izstrādāta KDAP operācijas nolūkā, var atklāt personālam, ko trešās valstis vai starptautiskas organizācijas ir norīkojušas darbam minētajā operācijā, saskaņā ar A VI pielikuma 1.–3. punktu. Sniedzot tādam personālam atļauju piekļūt ESKI KDAP operācijas telpās vai komunikāciju un informācijas sistēmā, ir jāpiemēro pasākumi (tostarp atklātās ESKI reģistrācija), lai mazinātu zuduma vai apdraudējuma iespēju. Tādus pasākumus definē attiecīgos plānošanas vai misijas dokumentos.
5. Lai pārliecinātos par to drošības pasākumu efektivitāti, kurus piemēro ar mērķi aizsargāt to ESKI, ar kuru notiek apmaiņa, organizē šā lēmuma 17. pantā minētos izvērtējuma apmeklējumus uz attiecīgajām trešām valstīm un starptautiskajām organizācijām.
6. Lēmumu par EĀDD glabātās ESKI nodošanu trešai valstij vai starptautiskai organizācijai pieņem, katru gadījumu izskatot atsevišķi un atbilstīgi šādas informācijas būtībai un saturam, vajadzības pēc informācijas principam attiecībā uz saņēmēju un ES ieguvumam no nodošanas.
EĀDD lūdz rakstisku piekrišanu no jebkuras struktūras, kas sniegusi klasificēto informāciju kā EĀDD sagatavotās ESKI izejmateriālu, lai noskaidrotu, vai tai nav iebildumu pret klasificētās informācijas nodošanu.
Ja EĀDD nav nododamās klasificētās informācijas sagatavotājs, EĀDD vispirms lūdz sagatavotāja rakstisku piekrišanu nodošanai.
Taču, ja EĀDD nevar noteikt sagatavotāju, EĀDD drošības iestāde pēc tam, kad ir saņēmusi dalībvalstu pārstāvju EĀDD Drošības komitejā vienprātīgu piekrišanu, uzņemas sagatavotāja atbildību.
7. Šā panta īstenošanas noteikumi ir izklāstīti A VI pielikumā.
11. pants
Drošības prasību pārkāpumi un klasificētas informācijas apdraudējums
1. Par jebkuriem drošības prasību pārkāpumiem vai iespējamiem drošības prasību pārkāpumiem un jebkuriem klasificētas informācijas apdraudējumiem vai iespējamiem apdraudējumiem nekavējoties ziņo par mītnes drošību un EĀDD informācijas drošību atbildīgajam direktorātam, kas attiecīgā gadījumā informē konkrēto(-ās) dalībvalsti(-is) vai citu(-as) skartu(-as) struktūru(-as).
2. Ja ir zināms vai pastāv pamatotas aizdomas, ka klasificētā informācija ir apdraudēta vai zudusi, par mītnes drošību un EĀDD informācijas drošību atbildīgais EĀDD direktorāts informē konkrētās(-o) dalībvalsts(-u) VDI un atbilstīgi piemērojamiem normatīvajiem aktiem veic visus vajadzīgos pasākumus, lai:
|
a) |
pasargātu pierādījumus; |
|
b) |
nodrošinātu, ka faktu apzināšanas nolūkā lietu izmeklē personāls, kas nav tieši saistīts ar drošības prasību pārkāpumu vai apdraudējumu; |
|
c) |
nekavējoties informētu sagatavotāju vai citas attiecīgās struktūras; |
|
d) |
veiktu attiecīgus pasākumus atkārtošanās novēršanai; |
|
e) |
novērtētu iespējamo kaitējumu, kas nodarīts ES vai dalībvalstu interesēm; un |
|
f) |
ziņotu attiecīgajām iestādēm par faktiskā vai iespējamā apdraudējuma sekām un veiktajiem pasākumiem. |
3. EĀDD pakļautajiem darbiniekiem, kuri ir atbildīgi par šajā lēmumā izklāstīto drošības noteikumu tīšu pārkāpšanu, piemēro disciplināratbildību saskaņā ar spēkā esošajiem noteikumiem.
Personām, kuras ir atbildīgas par klasificētas informācijas apdraudējumu vai zudumu, piemēro disciplināratbildību un/vai kriminālatbildību saskaņā ar spēkā esošajiem normatīvajiem aktiem.
4. Pārkāpuma un/vai apdraudējuma izmeklēšanas laikā par mītnes drošību un EĀDD informācijas drošību atbildīgā EĀDD direktorāta vadītājs var attiecīgajai personai liegt piekļuvi ESKI un EĀDD telpām. Par šādu lēmumu nekavējoties informē Komisijas Cilvēkresursu un drošības ģenerāldirektorāta Drošības direktorātu, Padomes Ģenerālsekretariāta Drošības biroju vai dalībvalsts(-u) VDI, vai citas attiecīgās struktūras.
A I PIELIKUMS
PERSONĀLA DROŠĪBA
I. IEVADS
|
1. |
Šajā pielikumā izklāstīti A pielikuma 5. panta īstenošanas noteikumi. Šeit jo īpaši izklāstīti kritēriji, ko EĀDD izmanto, lai, ņemot vērā personas lojalitāti un uzticamību, noteiktu tās tiesības saņemt atļauju piekļūt ESKI, un izmeklēšanas un administratīvās procedūras, kas vajadzīgas šim nolūkam. |
|
2. |
“Personāla drošības pielaide” (PDP) piekļuvei ESKI ir dalībvalsts kompetentās iestādes deklarācija, kas pieņemta pēc tam, kad dalībvalsts kompetentās iestādes veikušas drošības izmeklēšanu, un ar ko apliecina, ka personai, ja ir apzināta tās vajadzība pēc informācijas, līdz konkrētam datumam var sniegt piekļuvi ESKI līdz konkrētam līmenim (CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāk); var uzskatīt, ka tāda persona ir saņēmusi drošības pielaidi. |
|
3. |
“Personāla drošības pielaides apliecība” (PDPA) ir EĀDD drošības iestādes izdota apliecība, ar kuru nosaka, ka persona ir saņēmusi drošības pielaidi un kurā norāda to ESKI klasifikācijas līmeni, līdz kuram personai var sniegt piekļuvi, attiecīgās PDP derīguma termiņu un apliecības derīguma termiņu. |
|
4. |
“Atļauja piekļūt ESKI” ir atļauja, ko EĀDD drošības iestāde saskaņā ar šo lēmumu piešķir tad, kad dalībvalsts kompetentās iestādes ir piešķīrušas PDP, un ar ko apliecina, ka personai, ja ir apzināta tās vajadzība pēc informācijas, līdz konkrētam datumam var sniegt piekļuvi ESKI līdz konkrētam līmenim (CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāk); var uzskatīt, ka tāda persona ir saņēmusi drošības pielaidi. |
II. ATĻAUJA PIEKĻŪT ESKI
|
5. |
Lai piekļūtu informācijai, kas klasificēta kā RESTREINT UE/EU RESTRICTED, nevajag drošības pielaidi, un personai piešķir atļauju piekļūt šādai informācijai, ja:
|
|
6. |
Personai piešķir atļauju piekļūt informācijai, kas klasificēta kā CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāk, vienīgi ja:
|
|
7. |
EĀDD apzina tos amatus savās struktūrās, kuru izpildītājiem vajadzīga piekļuve informācijai, kas klasificēta kā CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāk, un tādēļ vajadzīga attiecīga līmeņa PDP, kā minēts iepriekš 4. punktā. |
|
8. |
EĀDD darbinieki paziņo, vai tiem ir vairāk nekā vienas valsts pilsonība. |
PDP pieprasīšanas procedūras EĀDD
|
9. |
Attiecībā uz EĀDD darbiniekiem EĀDD drošības iestāde nosūta aizpildītās personāla drošības anketas tās dalībvalsts VDI, kuras valstspiederīgā ir šī persona, un lūdz veikt drošības izmeklēšanu saistībā ar ESKI līmeni, kuram šai personai varētu vajadzēt piekļūt. |
|
10. |
Ja personai ir vairāk nekā vienas valsts pilsonība, pārbaudes pieprasījumu adresē tās valsts VDI, kas personas darbā pieņemšanas brīdī bija norādīta kā tās valstspiederības valsts. |
|
11. |
Ja EĀDD uzzina informāciju, kas attiecas uz personu, kura pieteikusies PDP saņemšanai, un kas ir nozīmīga drošības izmeklēšanā, EĀDD rīkojas atbilstīgi attiecīgiem noteikumiem un šo informāciju paziņo attiecīgajai VDI. |
|
12. |
Pēc drošības izmeklēšanas beigām attiecīgā VDI izmeklēšanas rezultātus sniedz par mītnes drošību un EĀDD informācijas drošību atbildīgajam EĀDD direktorātam.
|
|
13. |
Uz drošības izmeklēšanu kopā ar iegūtajiem rezultātiem, ar kuriem EĀDD drošības iestāde pamato savu lēmumu, par to, vai piešķirt atļauju piekļūt ESKI, attiecas atbilstīgi normatīvie akti, kas ir spēkā attiecīgajā dalībvalstī, tostarp tiesību akti par pārsūdzēšanu. Uz EĀDD drošības iestādes lēmumiem var attiekties pārsūdzēšanas iespēja saskaņā ar Civildienesta noteikumu 90. un 91. pantā paredzētajiem nosacījumiem. |
|
14. |
PDP ir spēkā attiecībā uz visiem attiecīgās personas uzdevumiem EĀDD, Padomes Ģenerālsekretariātā vai Komisijā. |
|
15. |
EĀDD akceptē atļauju piekļūt ESKI, kuru piešķīrusi jebkura cita Eiropas Savienības iestāde, struktūra vai aģentūra, ar nosacījumu, ka tā joprojām ir derīga. Atļauja attiecas uz visiem attiecīgās personas uzdevumiem EĀDD. Eiropas Savienības iestāde, struktūra vai aģentūra, kurā persona stājas darbā, paziņo attiecīgajai VDI par darba devēja maiņu. |
|
16. |
Ja persona nesāk darbu 12 mēnešu laikā pēc tam, kad EĀDD drošības iestādei ziņots par drošības izmeklēšanas rezultātiem, vai ja personas darbā iestājas pārtraukums uz 12 mēnešiem vai ilgāk un tā šajā laikā neieņem amatu EĀDD, citās ES iestādēs, aģentūrās vai struktūrās vai arī dalībvalsts valsts pārvaldē, kura izpildei vajadzīga piekļuve klasificētai informācijai, izmeklēšanas rezultātus pārsūta attiecīgajai VDI, lai apstiprinātu, ka tie joprojām ir derīgi un izmantojami. |
|
17. |
Ja EĀDD saņem informāciju, kas attiecas uz drošības risku, kuru izraisa persona, kam ir derīga PDP, EĀDD rīkojas saskaņā ar attiecīgajiem noteikumiem un paziņo šo informāciju attiecīgajai VDI, un var apturēt piekļuvi ESKI vai atcelt atļauju piekļūt ESKI. Ja VDI informē EĀDD par apstiprinājuma atsaukšanu saskaņā ar 12. punkta a) apakšpunktu attiecībā uz personu, kurai ir derīga atļauja piekļūt ESKI, EĀDD drošības iestāde var lūgt jebkādu paskaidrojumu, ko VDI var sniegt saskaņā ar savas valsts normatīvajiem aktiem. Ja negatīvā informācija tiek apstiprināta, minēto atļauju atsauc un personai liedz piekļuvi ESKI un amatiem, kuros šāda piekļuve ir iespējama vai kuros minētā persona varētu apdraudēt drošību. |
|
18. |
Par jebkuru lēmumu atcelt EĀDD darbinieka atļauju piekļūt ESKI un attiecīgā gadījumā par tā iemesliem paziņo attiecīgajai personai, kura var lūgt, lai to uzklausītu EĀDD drošības iestāde. Uz VDI sniegto informāciju attiecas atbilstīgi normatīvie akti, kas ir spēkā attiecīgajā dalībvalstī, tostarp tiesību normas par pārsūdzēšanu. Uz EĀDD drošības iestādes lēmumiem var attiekties pārsūdzēšanas iespēja saskaņā ar Civildienesta noteikumu 90. un 91. pantā paredzētajiem nosacījumiem. |
|
19. |
Valstu eksperti, kas ir norīkoti darbam EĀDD tādā amatā, kura izpildītājam vajadzīga piekļuve informācijai, kuras klasifikācijas līmenis ir CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāks, pirms stāšanās amatā iesniedz EĀDD drošības iestādei derīgu attiecīga līmeņa PDP, lai nodrošinātu piekļuvi ESKI. Aprakstīto procesu pārvalda nosūtītāja dalībvalsts. |
PDP reģistri
|
20. |
Par mītnes drošību un EĀDD informācijas drošību atbildīgais EĀDD direktorāts uztur datubāzi, kurā norādīts visu EĀDD pakļauto darbinieku un EĀDD līgumslēdzēju personāla drošības pielaides statuss. Šajos reģistros iekļauj to ESKI līmeni, kuram personai var būt piešķirta piekļuve (CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāk), PDP izsniegšanas datumu un derīguma termiņu. |
|
21. |
Lai nodrošinātu, ka EĀDD rīcībā ir precīzs un visaptverošs reģistrs, kurā norādīts visu EĀDD pakļauto darbinieku un EĀDD līgumslēdzēju personāla drošības pielaides statuss, īsteno atbilstīgas procedūras saskaņošanai ar dalībvalstīm un citām ES iestādēm, aģentūrām un struktūrām. |
|
22. |
EĀDD drošības iestāde var izsniegt personāla drošības pielaides apliecību (PDPA), norādot ESKI klasifikācijas līmeni, kuram personai var sniegt piekļuvi (CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāk), attiecīgās PDP vai atļaujas piekļūt ESKI derīguma termiņu un apliecības derīguma termiņu. |
Atbrīvojums no prasības par PDP
|
23. |
Tās personas, kuras ieņemamā amata dēļ saskaņā ar valsts normatīvajiem aktiem saņēmušas pienācīgu atļauju piekļūt ESKI, par mītnes drošību un EĀDD informācijas drošību atbildīgais direktorāts attiecīgi informē par drošības pienākumiem saistībā ar ESKI aizsardzību. |
III. IZGLĪTOŠANA UN INFORMĒŠANA PAR DROŠĪBU
|
24. |
Pirms tiek saņemta atļauja piekļūt ESKI, visas personas rakstiski apliecina, ka ir sapratušas savus pienākumus attiecībā uz ESKI aizsargāšanu un iespējamās sekas ESKI apdraudējuma gadījumā. Šādu rakstisku apliecinājumu reģistrus glabā par mītnes drošību un EĀDD informācijas drošību atbildīgais direktorāts. |
|
25. |
Visas personas, kas ir pilnvarotas piekļūt ESKI vai kurām ar to jāstrādā, jau sākumā tiek informētas un vēlāk saņem regulāru atgādinājumu par drošības apdraudējumu, un tās nekavējoties informē attiecīgos departamenta/delegācijas drošības koordinatorus un par mītnes drošību un EĀDD informācijas drošību atbildīgo direktorātu par jebkuru tuvošanās mēģinājumu vai citu darbību, kas šķiet aizdomīga vai neparasta. |
|
26. |
Visām personām, kam piešķirta piekļuve ESKI, laikposmā, kurā tās strādā ar ESKI, piemēro pastāvīgus personāla drošības pasākumus (t. i., pēcpārbaudi). Par personāla pastāvīgu drošību atbild:
|
|
27. |
Visas personas, kas beidz pildīt pienākumus, kuri saistīti ar piekļuvi ESKI, iepazīstina ar pienākumu arī turpmāk neizpaust ESKI, un vajadzības gadījumā tās to apliecina rakstiski. |
IV. ĀRKĀRTAS GADĪJUMI
|
28. |
Ārkārtas apstākļos, ja tas ir EĀDD interesēs, un gaidot pilnīgas drošības izmeklēšanas beigas, EĀDD drošības iestāde pēc konsultēšanās ar tās dalībvalsts VDI, kuras valstspiederīgais ir minētā persona, un atbilstīgi iepriekšējo pārbaužu rezultātiem, kas apliecina, ka nav zināma nekāda negatīva informācija, var EĀDD ierēdņiem un citiem darbiniekiem piešķirt pagaidu atļauju konkrētā darba uzdevumā piekļūt ESKI. Pilnīgo drošības izmeklēšanu pabeidz, cik vien ātri iespējams. Šādas pagaidu atļaujas ir derīgas uz laikposmu, kas nepārsniedz sešus mēnešus, un nesniedz piekļuvi informācijai, kas klasificēta kā TRES SECRET UE/EU TOP SECRET. Visas personas, kam piešķirta pagaidu piekļuve, rakstiski apliecina, ka ir sapratušas savus pienākumus attiecībā uz ESKI aizsargāšanu un iespējamās sekas ESKI apdraudējuma gadījumā. Šādu rakstisku apliecinājumu reģistrus glabā par mītnes drošību un EĀDD informācijas drošību atbildīgais direktorāts. |
|
29. |
Ja personu ieceļ amatā, kam vajadzīga augstāka līmeņa PDP nekā tā, kas tai ir, tad to var iecelt amatā uz laiku, ja:
|
|
30. |
Minētās procedūras izmanto vienreizējai piekļuvei ESKI, kas ir klasificēta par vienu līmeni augstāk nekā tā, kuras piekļuvei persona ir saņēmusi drošības pielaidi. Minēto procedūru neizmanto atkārtoti. |
|
31. |
Ārkārtas izņēmuma gadījumos, piemēram, darba braucienos naidīgā vidē vai laikā, kad pieaug starptautiskais saspīlējums, ja to prasa ārkārtas pasākumi, jo īpaši – lai glābtu dzīvības, AP, EĀDD drošības iestāde vai resursu pārvaldības ģenerāldirektors var attiecīgā gadījumā rakstiski piešķirt piekļuvi CONFIDENTIEL UE/EU CONFIDENTIAL vai SECRET UE/EU SECRET līmenī klasificētai informācijai tādām personām, kam nav vajadzīgās PDP, ja tāda atļauja ir obligāti vajadzīga. Par mītnes drošību un EĀDD informācijas drošību atbildīgais direktorāts glabā datus par piešķirto atļauju, norādot arī tās informācijas aprakstu, kurai ir sniegta piekļuve. |
|
32. |
Ja informācija ir klasificēta kā TRES SECRET UE/EU TOP SECRET, ārkārtas piekļuvi piešķir tikai ES valstspiederīgajiem, kam ir piešķirta piekļuve vai nu TRES SECRET UE/EU TOP SECRET līdzvērtīgai valsts klasifikācijai vai informācijai, kas klasificēta kā SECRET UE/EU SECRET. |
|
33. |
EĀDD Drošības komiteju informē par gadījumiem, kad tiek izmantota 31. un 32. punktā izklāstītā procedūra. |
|
34. |
EĀDD Drošības komiteja katru gadu saņem ziņojumu par šajā iedaļā izklāstīto procedūru izmantojumu. |
V. SANĀKSMJU APMEKLĒŠANA EĀDD MĪTNĒ UN SAVIENĪBAS DELEGĀCIJĀS
|
35. |
Personas, kas nosūtītas piedalīties sanāksmēs EĀDD mītnē un Savienības delegācijās, kurās apspriež informāciju, kas klasificēta kā CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāk, var tajās piedalīties tikai tad, ja ir apstiprināts to PDP statuss. Attiecībā uz dalībvalstu pārstāvjiem, Padomes Ģenerālsekretariāta un Komisijas amatpersonām PDP apliecību vai citus PDP pierādījumus par mītnes drošību un EĀDD informācijas drošību atbildīgajam direktorātam vai Savienības delegācijas drošības koordinatoram nosūta attiecīgās iestādes vai, izņēmuma gadījumā, iesniedz attiecīgā persona. Attiecīgā gadījumā var izmantot konsolidētu sarakstu ar personu vārdiem un uzvārdiem, sniedzot vajadzīgo PDP pierādījumu. |
|
36. |
Kompetentā iestāde informē par mītnes drošību un EĀDD informācijas drošību atbildīgo direktorātu, ja ir atcelta PDP, lai piekļūtu ESKI, personai, kuras pienākumos ietilpst apmeklēt sanāksmes EĀDD mītnē vai Savienības delegācijās, kurās apspriež informāciju, kuras klasifikācijas līmenis ir CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāks. |
VI. IESPĒJAMA PIEKĻUVE ESKI
|
37. |
Ja darbā jāpieņem personas apstākļos, kad tām var būt piekļuve informācijai, kas klasificēta kā CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāk, tām piemēro pienācīgas drošības pielaides vai arī tās vienmēr eskortē. |
|
38. |
Kurjeri, apsargi un eskortētāji iziet attiecīga līmeņa drošības pārbaudes vai arī attiecībā uz viņiem saskaņā ar valsts normatīvajiem aktiem veic atbilstīgu izmeklēšanu, viņus regulāri instruē par ESKI aizsardzības drošības procedūrām un dara viņiem zināmu pienākumu sargāt uzticēto informāciju vai informāciju, kurai tie var netīši piekļūt. |
A II PIELIKUMS
ES KLASIFICĒTAS INFORMĀCIJAS FIZISKĀ DROŠĪBA
I. IEVADS
|
1. |
Šajā pielikumā izklāstīti A pielikuma 6. panta īstenošanas noteikumi. Ar šo pielikumu nosaka fiziskās aizsardzības obligātos standartus telpās, ēkās, birojos un citās zonās, kur notiek ESKI apstrāde un glabāšana, tostarp zonās, kur atrodas KIS. |
|
2. |
Fiziskās drošības pasākumi ir paredzēti, lai novērstu neatļautu piekļuvi ESKI:
|
II. FIZISKĀS DROŠĪBAS PRASĪBAS UN PASĀKUMI
|
3. |
EĀDD ESKI aizsargāšanai savās telpās piemēro riska pārvaldības procesu, lai nodrošinātu, ka piemēro tāda līmeņa fizisko aizsardzību, kas ir samērīga novērtētajam riskam. Riska pārvaldības procesā ņem vērā visus attiecīgos faktorus, jo īpaši:
|
|
4. |
Piemērojot padziļinātas aizsardzības koncepciju, EĀDD drošības iestāde nosaka atbilstīgu īstenojamo fiziskās drošības pasākumu kopumu. Šajā kopumā var tikt iekļauts viens vai vairāki šādi pasākumi:
|
|
5. |
Par mītnes drošību un EĀDD informācijas drošību atbildīgais direktorāts var pārmeklēt personas pie ieejas vai izejas, lai novērstu materiālu neatļautu ievešanu vai ESKI neatļautu izvešanu no telpām vai ēkām. |
|
6. |
Ja pastāv risks, ka ESKI varētu slepus novērot (pat nejauši), veic atbilstīgus pasākumus, lai novērstu šo risku. |
|
7. |
Attiecībā uz jaunām iekārtām fiziskās drošības prasības un to darbības specifikācijas pēc iespējas iekļauj iekārtu plānošanā un izveidē. Jau esošās iekārtās fiziskās drošības prasības īsteno pēc iespējas lielākā apjomā. |
III. IEKĀRTAS FIZISKAI ESKI AIZSARDZĪBAI
|
8. |
Iegādājoties iekārtas (piemēram, seifus, smalcinātājus, durvju slēdzenes, CCTV, elektroniskas piekļuves kontroles sistēmas, IDS, signalizācijas sistēmas) fiziskai ESKI aizsargāšanai, EĀDD drošības iestāde nodrošina, ka iekārtas atbilst apstiprinātiem tehniskiem standartiem un obligātajām prasībām. |
|
9. |
Fiziskai ESKI aizsardzībai izmantojamo iekārtu tehniskās specifikācijas ir izklāstītas drošības pamatnostādnēs, ko apstiprina EĀDD Drošības komiteja. |
|
10. |
Drošības sistēmas periodiski pārbauda un veic iekārtu regulāru apkopi. Apkopes darbā ņem vērā pārbaužu rezultātus, lai nodrošinātu, ka iekārtas turpina maksimāli efektīvi darboties. |
|
11. |
Katrā pārbaudē pārskata atsevišķu drošības pasākumu un visas drošības sistēmas efektivitāti. |
IV. FIZISKI AIZSARGĀTAS ZONAS
|
12. |
Fiziskai ESKI aizsardzībai izveido divu veidu fiziski aizsargātas zonas vai tām līdzvērtīgas valsts zonas:
|
|
13. |
EĀDD drošības iestāde nosaka, vai zona atbilst prasībām, lai to varētu kvalificēt kā administratīvo zonu, drošības zonu un tehniski drošu drošības zonu. |
|
14. |
Attiecībā uz administratīvām zonām:
|
|
15. |
Attiecībā uz drošības zonām:
|
|
16. |
Gadījumos, kad praktiskā nolūkā piekļuve drošības zonām ir saistīta ar tiešu piekļuvi klasificētai informācijai, kas tajā atrodas, piemēro šādus papildu nosacījumus:
|
|
17. |
Drošības zonas, kuras ir aizsargātas pret slepenu noklausīšanos ar skaņas pārtveršanu, raksturo kā tehniski drošas drošības zonas. Piemēro šādus papildu nosacījumus:
|
|
18. |
Neskarot 17. punkta d) apakšpunktu, pirms dažādu tipu sakaru iekārtu, elektrisku un elektronisku iekārtu izmantošanas zonās, kur notiek sanāksmes vai veic darbu, izmantojot informāciju, kuras klasifikācijas līmenis ir SECRET UE/EU SECRET un augstāks, un apstākļos, kad ESKI apdraudējumu vērtē kā augstu, tās pārbauda par mītnes drošību un EĀDD informācijas drošību atbildīgā direktorāta tehniskās drošības pretpasākumu (TSCM) komanda, lai nodrošinātu, ka ārpus drošības zonas perimetra ar šādām iekārtām netīši vai nelikumīgi nepārraidītu nekādu saprotamu informāciju. |
|
19. |
Drošības zonas, kurās dienesta personāls neuzturas visu diennakti, attiecīgā gadījumā pārbauda tūlīt pēc parastā darba laika beigām un nejauši izvēlētos intervālos ārpus parastā darba laika, ja vien tur nav IKS. |
|
20. |
Administratīvā zonā uz laiku var izveidot drošības zonas un tehniski drošas drošības zonas, lai organizētu slepenu sanāksmi vai citiem līdzīgiem mērķiem. |
|
21. |
Katrai drošības zonai izstrādā drošības darba procedūras (SecOPs), kurās paredz:
|
|
22. |
Drošības zonās vajadzības gadījumā izveido glabātavas. Sienas, grīdas, griestus, logus un aizslēdzamas durvis apstiprina EĀDD drošības iestāde, un tie sniedz aizsardzību, kas ir līdzvērtīga tāda seifa sniegtajai aizsardzībai, kas apstiprināts tās pašas klasifikācijas līmeņa ESKI glabāšanai. |
V. FIZISKĀS AIZSARDZĪBAS PASĀKUMI, RĪKOJOTIES AR ESKI UN TO GLABĀJOT
|
23. |
Ar ESKI, kas klasificēta kā RESTREINT UE/EU RESTRICTED, var rīkoties:
|
|
24. |
ESKI, kas klasificēta kā RESTREINT UE/EU RESTRICTED, glabā piemērotās aizslēdzamās biroja mēbelēs administratīvā zonā vai drošības zonā. To uz laiku var glabāt ārpus drošības vai administratīvās zonas, ja informācijas turētājs veic kompensācijas pasākumus, kas izklāstīti EĀDD drošības iestādes izdotās drošības instrukcijās. |
|
25. |
Ar ESKI, kas klasificēta kā CONFIDENTIEL UE/EU CONFIDENTIAL vai SECRET UE/EU SECRET, var rīkoties:
|
|
26. |
ESKI, kas klasificēta kā CONFIDENTIEL UE/EU CONFIDENTIAL un SECRET UE/EU SECRET, glabā drošības zonā seifā vai glabātavā. |
|
27. |
Ar ESKI, kas klasificēta kā TRES SECRET UE/EU TOP SECRET, rīkojas drošības zonā. |
|
28. |
ESKI, kas klasificēta kā TRES SECRET UE/EU TOP SECRET, glabā EĀDD mītnes drošības zonā, ievērojot vienu no šiem nosacījumiem:
|
|
29. |
Noteikumi attiecībā uz ESKI pārvietošanu ārpus fiziski aizsargātām zonām ir izklāstīti A III pielikumā. |
VI. ESKI AIZSARDZĪBAI IZMANTOTO ATSLĒGU UN KODU KOMBINĀCIJU KONTROLE
|
30. |
EĀDD drošības iestāde nosaka procedūras biroju, telpu, glabātavu un seifu atslēgu un kodu kombināciju iestatījumu pārzināšanai visās EĀDD telpās. Šādas procedūras aizsargā pret neatļautu piekļuvi. |
|
31. |
Seifu kombinācijas jāiegaumē pēc iespējas mazākam to personu skaitam, kas atbilst vajadzības pēc informācijas principam. To seifu un glabātavu kodu kombinācijas, kuros glabājas ESKI, maina:
|
A III PIELIKUMS
KLASIFICĒTAS INFORMĀCIJAS PĀRVALDĪBA
I. IEVADS
|
1. |
Šajā pielikumā izklāstīti A pielikuma 7. panta īstenošanas noteikumi. Ar to paredz administratīvus pasākumus ESKI kontrolei visā tās aprites cikla laikā, lai palīdzētu novērst un atklāt tīšu vai netīšu šādas informācijas apdraudējumu un atgūt to tīšas vai netīšas nozaudēšanas gadījumā. |
II. KLASIFIKĀCIJAS PĀRVALDĪBA
Klasifikācijas un marķējumi
|
2. |
Informāciju klasificē, ja tā ir jāaizsargā, lai nodrošinātu tās konfidencialitāti. |
|
3. |
ESKI sagatavotājs atbild par drošības klasifikācijas līmeņa noteikšanu, par atbilstīgā drošības klasifikācijas marķējuma piemērošanu, par informācijas izplatīšanas paredzētajiem saņēmējiem noteikšanu un par atbilstīgā marķējuma attiecībā uz nodošanu piemērošanu saskaņā ar attiecīgajām ĒĀDD Pamatnostādnēm par ESKI sagatavošanu un apstrādi. |
|
4. |
ESKI klasifikācijas līmeni nosaka saskaņā ar A pielikuma 2. panta 2. punktu un, atsaucoties uz drošības pamatnostādnēm, [...] kas apstiprinātas atbilstīgi A pielikuma 3. panta 3. punktam. |
|
5. |
Dalībvalstu klasificētajai informācijai, ko nodod EĀDD, nodrošina tādu pašu aizsardzības līmeni kā līdzvērtīgi klasificētai ESKI. Atbilstības tabula ir atrodama šā lēmuma B papildinājumā. |
|
6. |
Drošības klasifikāciju un attiecīgā gadījumā datumu vai konkrētu notikumu, pēc kura informāciju var klasificēt zemākā līmenī vai deklasificēt, norāda skaidri un pareizi neatkarīgi no tā, vai ESKI ir papīra, mutiskā, elektroniskā vai kādā citā formā. |
|
7. |
Konkrēta dokumenta atsevišķām daļām (piemēram, lappusēm, punktiem, iedaļām, pielikumiem, papildinājumiem un pievienojumiem) var būt vajadzīga atšķirīga klasifikācija, un tos attiecīgi marķē, tostarp, glabājot elektroniskā formātā. |
|
8. |
Dokumenti, kas ietver daļas ar dažādiem klasifikācijas līmeņiem, pēc iespējas jāveido tā, lai daļas ar dažādiem klasifikācijas līmeņiem varētu viegli identificēt un vajadzības gadījumā atdalīt. |
|
9. |
Vispārējais dokumenta vai lietas klasifikācijas līmenis ir vismaz tikpat augsts, cik tā komponentam ar visaugstāko klasifikāciju. Kad apkopo informāciju no dažādiem avotiem, galaproduktu pārskata, lai noteiktu tā vispārējo drošības klasifikācijas līmeni, jo tas var likt piešķirt augstāku klasifikācijas līmeni nekā tā atsevišķām sastāvdaļām. |
|
10. |
Pavadvēstules vai piezīmes klasifikācija ir tikpat augsta kā tai pievienoto dokumentu visaugstākā klasifikācija. Informācijas sagatavotājs skaidri norāda, kādā līmenī to klasificē, kad tā ir atdalīta no pievienotajiem dokumentiem, izmantojot atbilstīgu marķējumu, piemēram: |
CONFIDENTIEL UE/EU CONFIDENTIAL Bez pievienotā (-ajiem) dokumenta (-iem) RESTREINT UE/EU RESTRICTED
Marķējums
|
11. |
Papildus vienam no drošības klasifikācijas marķējumiem, kas noteikti A pielikuma 2. panta 2. punktā, ESKI var būt šādi papildu marķējumi:
|
|
12. |
Pamatojoties uz lēmumu ESKI nodot trešai valstij vai starptautiskai organizācijai, par mītnes drošību un EĀDD informācijas drošību atbildīgais direktorāts attiecīgo klasificēto informāciju nosūta līdz ar nodošanas pieļaujamības marķējumu attiecībā uz to trešo valsti vai starptautisko organizāciju, kurai to nodod. |
|
13. |
Atļauto marķējumu sarakstu pieņem EĀDD drošības iestāde. |
Klasifikācijas marķējumu saīsinājumi
|
14. |
Var izmantot standartizētus klasifikācijas marķējumu saīsinājumus, lai norādītu atsevišķu teksta daļu klasifikācijas līmeni. Saīsinājumi neaizstāj klasifikācijas pilnos marķējumus. |
|
15. |
ES klasificētajos dokumentos var izmantot šādus standarta saīsinājumus, lai norādītu tāda teksta iedaļu vai nodaļu klasifikācijas līmeni, kas ir mazāks par vienu lapu:
|
ESKI sagatavošana
|
16. |
Gatavojot ES klasificētu dokumentu:
|
|
17. |
Ja ESKI nav iespējams piemērot 16. punktu, veic citus piemērotus pasākumus saskaņā ar drošības pamatnostādnēm, [...] kuras izstrādā, ievērojot šo lēmumu. |
ESKI klasifikācijas līmeņa pazemināšana un deklasifikācija
|
18. |
Gatavojot informāciju, tās sagatavotājs, ja iespējams un īpaši informācijai, kas klasificēta kā RESTREINT UE/EU RESTRICTED, norāda, vai var pazemināt ESKI klasifikācijas līmeni vai to deklasificēt konkrētā dienā vai pēc konkrēta notikuma. |
|
19. |
EĀDD regulāri pārskata ESKI, kas atrodas tā rīcībā, lai pārliecinātos, vai attiecīgais klasifikācijas līmenis joprojām ir piemērots. EĀDD izveido sistēmu, lai ne retāk kā ik pēc pieciem gadiem pārskatītu tās reģistrētās ESKI klasifikācijas līmeni, ko tas sagatavojis. Šādu pārskatīšanu neveic, ja sagatavotājs jau sākotnēji ir norādījis konkrētu laiku, kad informācijas klasifikācijas līmeni automātiski pazemina vai to deklasificē, un uz informācijas ir attiecīgs marķējums. |
III. ESKI REĢISTRĀCIJA DROŠĪBAS NOLŪKĀ
|
20. |
EĀDD mītnē izveido centrālo reģistru. Katrai EĀDD organizatoriskajai struktūrai, kurā apstrādā ESKI, izveido centrālajam reģistram pakļautu atbildīgo reģistru, lai nodrošinātu ESKI apstrādi atbilstīgi šim lēmumam. Reģistrus veido kā A pielikumā definētās drošības zonas.
Katra Savienības delegācija izveido savu ESKI reģistru. EĀDD drošības iestāde ieceļ šo reģistru galveno reģistratoru. |
|
21. |
Šajā lēmumā reģistrācija drošības nolūkā (turpmāk “reģistrācija”) ir tādu procedūru piemērošana, saskaņā ar ko reģistrē informācijas aprites ciklu, tostarp tās izplatīšanu un iznīcināšanu. KIS gadījumā reģistrācijas procedūras var veikt ar procesiem, kas ietilpst pašās KIS. |
|
22. |
Visus materiālus, kuru klasifikācijas līmenis ir CONFIDENTIEL UE/EU CONFIDENTIAL un augstāks, reģistrē īpašos reģistros, kad tie tiek saņemti organizatoriskajā struktūrā, tostarp Savienības delegācijā, vai tiek izsūtīti no tās. Informāciju, kas klasificēta kā TRES SECRET UE/EU TOP SECRET, reģistrē īpašos reģistros. |
|
23. |
Centrālais reģistrs atrodas EĀDD mītnē – galvenajā ieejas un izejas punktā, kurā notiek klasificētas informācijas apmaiņa ar trešām valstīm un starptautiskām organizācijām. Reģistrā reģistrē visus šādas informācijas apmaiņas gadījumus. |
|
24. |
EĀDD drošības iestāde saskaņā ar šā lēmuma 14. pantu apstiprina drošības pamatnostādnes attiecībā uz ESKI reģistrāciju drošības nolūkā. |
TRES SECRET UE/EU TOP SECRET reģistri
|
25. |
EĀDD mītnē izveido centrālo reģistru, un tas darbojas kā TRES SECRET UE/EU TOP SECRET klasificētas informācijas galvenā saņemšanas un izplatīšanas iestāde. Vajadzības gadījumā var izveidot pakārtotus reģistrus, kuros šādu informāciju apstrādā reģistrēšanas nolūkā. |
|
26. |
Pakārtoti reģistri bez skaidras un rakstiskas centrālā TRES SECRET UE/EU TOP SECRET informācijas reģistra atļaujas nedrīkst TRES SECRET UE/EU TOP SECRET dokumentus tieši nosūtīt ne citiem tā paša centrālā TRES SECRET UE/EU TOP SECRET informācijas reģistra pakārtotajiem reģistriem, ne ārējiem reģistriem. |
IV. ES KLASIFICĒTU DOKUMENTU KOPĒŠANA UN TULKOŠANA
|
27. |
TRES SECRET UE/EU TOP SECRET dokumentus nekopē un netulko bez sagatavotāja iepriekšējas rakstiskas piekrišanas. |
|
28. |
Ja SECRET UE/EU SECRET vai zemākas klasifikācijas dokumenta sagatavotājs nav noteicis brīdinājumus attiecībā uz minēto dokumentu kopēšanu vai tulkošanu, šādus dokumentus var kopēt vai tulkot pēc to turētāja rīkojuma. |
|
29. |
Drošības pasākumi, kas piemērojami oriģināldokumentam, ir piemērojami tā kopijām un tulkojumiem. Dokumentus, kuru klasifikācijas līmenis ir CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāks, kopē tikai attiecīgajā (pakārtotajā) reģistrā, un to dara, izmantojot drošu kopēšanas ierīci. Kopijas reģistrē. |
V. ESKI PĀRVIETOŠANA
|
30. |
Uz ESKI pārvietošanu attiecas aizsardzības pasākumi, kas izklāstīti 32.–42. punktā. Ja ESKI pārvieto ar elektroniskām iekārtām un neskarot A pielikuma 7. panta 4. punktu, turpmāk tekstā izklāstītos aizsardzības pasākumus var papildināt ar attiecīgiem tehniskiem pretpasākumiem, kā to noteikusi EĀDD drošības iestāde, lai cik vien iespējams samazinātu informācijas apdraudējuma vai zaudējuma iespēju. |
|
31. |
EĀDD drošības iestāde sniedz norādes attiecībā uz ESKI pārvietošanu atbilstīgi šim lēmumam. |
Pārvietošana ēkā vai noslēgtā ēku grupā
|
32. |
Ja ESKI pārvieto ēkā vai noslēgtā ēku grupā, to apsedz, lai novērstu to, ka kāds redz tās saturu. |
|
33. |
Informāciju, kas klasificēta kā TRES SECRET UE/EU TOP SECRET, ēkā vai noslēgtā ēku grupā pārnēsā personas, kam piešķirta atbilstīga drošības pielaide, un to ievieto nodrošinātā aploksnē, uz kuras ir norādīts tikai adresāta vārds un uzvārds. |
Eiropas Savienībā
|
34. |
ESKI, ko Eiropas Savienībā pārvieto no vienas ēkas vai telpas uz citu, iepako, lai tā būtu aizsargāta no neatļautas izpaušanas. |
|
35. |
Informāciju, kuras klasifikācijas līmenis ir līdz SECRET UE/EU SECRET, Eiropas Savienībā pārvieto šādi:
Gadījumā, ja veic pārvietošanu no vienas dalībvalsts uz citu dalībvalsti, c) apakšpunkta noteikumus attiecina vienīgi uz informāciju, kas klasificēta līmenī līdz CONFIDENTIEL UE/EU CONFIDENTIAL. |
|
36. |
Materiālus, kas klasificēti kā CONFIDENTIEL UE/EU CONFIDENTIAL un SECRET UE/EU SECRET (piemēram, iekārtas un mašīnas) un ko nevar pārvietot ar 34. punktā minētajiem līdzekļiem, nogādā, izmantojot kravu pārvadājumus, ko veic komercpārvadātāji saskaņā ar A V pielikumu. |
|
37. |
Informāciju, kas klasificēta kā TRES SECRET UE/EU TOP SECRET, no vienas ēkas vai telpas uz otru Eiropas Savienībā pārvieto, attiecīgā gadījumā izmantojot militāro, valdības vai diplomātisko kurjeru. |
Pārvietošana no ES uz kādas trešās valsts teritoriju vai starp ES struktūrām trešās valstīs
|
38. |
ESKI, ko no Eiropas Savienības pārvieto uz kādas trešās valsts teritoriju vai starp ES struktūrām trešās valstīs, iepako, lai tā būtu aizsargāta no neatļautas izpaušanas. |
|
39. |
Informāciju, kas klasificēta kā CONFIDENTIEL UE/EU CONFIDENTIAL un SECRET UE/EU SECRET, no ES uz kādas trešās valsts teritoriju un informāciju, kas klasificēta līmenī līdz SECRET UE/EU SECRET, starp ES struktūrām trešās valstīs pārvieto šādi:
|
|
40. |
Informāciju, kas ir klasificēta kā CONFIDENTIEL UE/EU CONFIDENTIAL un SECRET UE/EU SECRET un ko ES ir sniegusi trešām valstīm vai starptautiskām organizācijām, pārvieto saskaņā ar informācijas drošības nolīguma vai administratīvas vienošanās attiecīgajiem noteikumiem, kā noteikts A pielikuma 10. panta 2. punktā. |
|
41. |
Informāciju, kas klasificēta kā RESTREINT UE/EU RESTRICTED, var no ES uz kādas trešās valsts teritoriju pārvietot, arī izmantojot pasta pakalpojumus vai komerciālus kurjeru pakalpojumus. |
|
42. |
Informāciju, kas klasificēta kā TRES SECRET UE/EU TOP SECRET, no ES uz kādas trešās valsts teritoriju vai starp ES struktūrām trešās valstīs pārvieto, izmantojot militāro vai diplomātisko kurjeru. |
VI. ESKI IZNĪCINĀŠANA
|
43. |
ES klasificētos dokumentus, kas vairs nav vajadzīgi, var iznīcināt, neskarot attiecīgos arhivēšanas noteikumus. |
|
44. |
Dokumentus, kurus reģistrē saskaņā ar A pielikuma 7. panta 2. punktu, pēc to turētāja vai kompetentās iestādes rīkojuma iznīcina par šiem dokumentiem atbildīgais reģistrētājs. Reģistrācijas žurnālus un pārējo reģistrācijas informāciju atbilstīgi atjaunina. |
|
45. |
Dokumentus, kas klasificēti kā SECRET UE/EU SECRET vai TRES SECRET UE/EU TOP SECRET, iznīcina liecinieka klātbūtnē. Lieciniekam ir vismaz tāda līmeņa pielaide, kas atbilst iznīcināmā dokumenta klasifikācijas līmenim. |
|
46. |
Reģistrētājs un liecinieks, ja ir vajadzīga viņa klātbūtne, paraksta iznīcināšanas sertifikātu, ko iekļauj reģistrā. TRES SECRET UE/EU TOP SECRET dokumentu iznīcināšanas sertifikātus reģistrā saglabā vismaz desmit gadus, un CONFIDENTIEL UE/EU CONFIDENTIAL un SECRET UE/EU SECRET dokumentu iznīcināšanas sertifikātus – vismaz piecus gadus. |
|
47. |
Klasificētos dokumentus, tostarp tos, kas klasificēti kā RESTREINT UE/EU RESTRICTED, iznīcina ar tādām metodēm, kuras atbilst attiecīgiem ES vai līdzvērtīgiem standartiem vai arī kuras apstiprinājusi dalībvalsts atbilstīgi valsts tehniskajiem standartiem, lai novērstu pilnīgu vai daļēju dokumentu atjaunošanu. |
|
48. |
ESKI vajadzībām izmantotu elektronisko informācijas nesēju iznīcināšana notiek saskaņā ar EĀDD drošības iestādes apstiprinātu procedūru. |
VII. DROŠĪBAS PĀRBAUDES
EĀDD drošības pārbaudes
|
49. |
Saskaņā ar šā lēmuma 16. pantu EĀDD drošības pārbaudes ietver:
|
EĀDD drošības pārbaužu veikšana un ziņošana par tām
|
50. |
EĀDD drošības pārbaudes veic par drošību atbildīgā EĀDD direktorāta pārbaudes grupa, un vajadzības gadījumā tai palīdz citu ES iestāžu vai dalībvalstu drošības eksperti.
Pārbaudes grupai ir piekļuve visām vietām, jo īpaši reģistriem un KIS punktiem, kur notiek ESKI apstrāde. |
|
51. |
EĀDD drošības pārbaudes Savienības delegācijās veic, sadarbojoties ar direktorātu, kas ir atbildīgs par Krīzes reaģēšanas centru, un kad vien vajadzīgs, saņemot trešās valstīs izvietoto dalībvalstu vēstniecību drošības dienestu darbinieku palīdzību. |
|
52. |
Pirms katra kalendārā gada beigām EĀDD drošības iestāde pieņem EĀDD drošības pārbaužu programmu nākamajam gadam. |
|
53. |
Vajadzības gadījumā EĀDD drošības iestāde var organizēt minētajā programmā neparedzētas drošības pārbaudes. |
|
54. |
Drošības pārbaudes beigās galvenos secinājumus un ieteikumus iesniedz pārbaudītajai struktūrai. Pēc tam pārbaudes grupa izstrādā pārbaudes ziņojumu. Ja ziņojumā ir ierosinātas darbības un ieteikumi trūkumu novēršanai, tajā ietver arī pietiekami sīku secinājumu pamatojumu. Ziņojumu par drošības pārbaudēm Savienības delegācijās nosūta EĀDD drošības iestādei, Krīzes reaģēšanas centra direktoram un pārbaudītās struktūras vadītājam.
Par mītnes drošību un EĀDD informācijas drošību atbildīgā direktorāta atbildībā regulāri sagatavo ziņojumu, lai izceltu pieredzi, kas gūta konkrētā laikposmā veiktajās pārbaudēs un ko izskatījusi EĀDD Drošības komiteja. |
Drošības pārbaužu veikšana ES aģentūrās un struktūrās, kas izveidotas saskaņā ar LES V sadaļas 2. nodaļu, un ziņošana par šīm pārbaudēm
|
55. |
Par mītnes drošību un EĀDD informācijas drošību atbildīgais direktorāts attiecīgā gadījumā var piesaistīt papildu ekspertus kopējām ES pārbaudes grupām, kuras veic pārbaudes ES aģentūrās un struktūrās, kas izveidotas saskaņā ar LES V sadaļas 2. nodaļu. |
EĀDD drošības pārbaužu kontrolsaraksts
|
56. |
Par mītnes drošību un EĀDD informācijas drošību atbildīgais direktorāts izstrādā un atjaunina tādu priekšmetu drošības pārbaudes kontrolsarakstu, kuri jāpārbauda EĀDD drošības pārbaužu laikā. Šo kontrolsarakstu nosūta EĀDD Drošības komitejai. |
|
57. |
Informāciju, kas vajadzīga kontrolsaraksta aizpildīšanai, iegūst jo īpaši pārbaudes laikā no pārbaudāmo struktūru drošības pārvaldības. Pēc kontrolsaraksta papildināšanas ar detalizētām atbildēm tam piešķir klasifikāciju, vienojoties ar pārbaudīto struktūru. To neuzskata par pārbaudes ziņojuma daļu. |
A IV PIELIKUMS
ESKI AIZSARDZĪBA, TO APSTRĀDĀJOT KOMUNIKĀCIJU UN INFORMĀCIJAS SISTĒMĀS
I. IEVADS
|
1. |
Šajā pielikumā izklāstīti A pielikuma 8. panta īstenošanas noteikumi. |
|
2. |
Lai darbības komunikāciju un informācijas sistēmās (KIS) notiktu droši un pareizi, būtiskas ir šādas informācijas aizsardzības (IA) īpašības un jēdzieni.
|
II. INFORMĀCIJAS AIZSARDZĪBAS PRINCIPI
|
3. |
Turpmāk izklāstītie noteikumi veido jebkuras tādas KIS drošības pamatus, kurā apstrādā ESKI. Sīki izstrādātas minēto noteikumu īstenošanas prasības nosaka IA drošības pamatnostādnēs. |
Drošības riska pārvaldība
|
4. |
Drošības riska pārvaldība ir neatņemama daļa KIS definēšanā, izstrādē, darbībā un uzturēšanā. Riska pārvaldību (izvērtējumu, risinājumu, pieņemšanu un paziņošanu) veic kā atkārtotu procesu kopīgi ar sistēmu īpašnieku pārstāvjiem, projekta iestādēm, darbības iestādēm un drošības apstiprināšanas iestādēm, izmantojot apliecinātu, pārskatāmu un pilnīgi izprotamu riska novērtējuma procesu. KIS darbības jomu un tās materiālus skaidri definē riska pārvaldības procesa sākumā. |
|
5. |
EĀDD kompetentās iestādes pārskata iespējamos komunikāciju un informācijas sistēmas apdraudējumus un uztur aktuālus un precīzus apdraudējumu izvērtējumus, kas atspoguļo pašreizējo darbības vidi. Tās pastāvīgi atjaunina informāciju par ietekmējamību un periodiski pārskata ietekmējamības izvērtējumu, lai atbilstu mainīgajai informāciju tehnoloģiju (IT) videi. |
|
6. |
Drošības riska pārvaldības mērķis ir piemērot drošības pasākumu kopumu, kuru rezultātā panāk apmierinošu līdzsvaru starp lietotāja vajadzībām un neapzinātu drošības risku. |
|
7. |
Atbilstīgās drošības akreditācijas iestādes (DAI) KIS akreditācijai noteiktās īpašās detalizācijas prasības, darbības mērogs un pakāpe atbilst novērtētajam riskam, ņemot vērā visus atbilstīgos faktorus, tostarp KIS apstrādātās ESKI klasifikācijas līmeni. Akreditācijā ietver oficiālu paziņojumu par neapzinātu risku un to, ka atbildīgā iestāde pieņem neapzinātu risku. |
Drošība visā KIS aprites ciklā
|
8. |
Drošība ir būtiska prasība, kas ir aktuāla visā KIS aprites ciklā no sākuma līdz izņemšanai no aprites. |
|
9. |
Katram aprites cikla posmam nosaka katra dalībnieka, kas saistīts ar KIS saistībā ar tās drošību, lomu un sadarbības veidu. |
|
10. |
Jebkurā KIS, tostarp tās tehniskajos drošības pasākumos un pasākumos, kas nav tehniski drošības pasākumi, akreditācijas laikā veic drošības pārbaudes, lai pārliecinātos, ka ar īstenotajiem drošības pasākumiem ir panākts piemērots aizsardzības līmenis, un pārbaudītu, ka tie ir pareizi īstenoti, integrēti un konfigurēti. |
|
11. |
KIS darbības posmā un uzturēšanas laikā periodiski, kā arī ja rodas ārkārtas apstākļi, veic drošības izvērtējumus, pārbaudes un pārskatīšanu. |
|
12. |
Drošības informācija KIS vajadzībām tās aprites ciklā mainās kā neatņemama pārmaiņu procesa un konfigurācijas vadības daļa. |
Paraugprakse
|
13. |
EĀDD sadarbojas ar PĢS, Komisiju un dalībvalstīm, lai izveidotu kopīgu paraugpraksi KIS apstrādātas ESKI aizsardzībai. Paraugprakses pamatnostādnēs iekļauj KIS tehniskus, fiziskus, organizatoriskus un procedūras drošības pasākumus, kuru iedarbība cīņā pret konkrētiem apdraudējumiem un ietekmējamību ir pierādīta. |
|
14. |
KIS apstrādātas ESKI aizsardzībā izmanto pieredzi, ko guvušas IA iesaistītās struktūras gan ES, gan ārpus tās. |
|
15. |
Paraugprakses izplatīšana un turpmāka īstenošana palīdz panākt līdzvērtīgu aizsardzības līmeni dažādās EĀDD vadītās KIS, kurās apstrādā ESKI. |
Padziļināta aizsardzība
|
16. |
Lai mazinātu risku komunikāciju un informācijas sistēmai, īsteno plaša spektra tehniskus drošības pasākumus un pasākumus, kas nav tehniski drošības pasākumi, izveidojot daudzslāņainu aizsardzību. Minētie slāņi ir:
Minēto drošības pasākumu stingrību un piemērojamību nosaka pēc riska novērtējuma. |
|
17. |
EĀDD kompetentās iestādes nodrošina, ka tās spēj reaģēt uz gadījumiem, kuri var sniegties pāri organizācijas un valsts robežām, lai koordinētu reakciju un sniegtu informāciju par šiem gadījumiem un saistīto risku (ārkārtas reaģēšanas spējas datordrošības jomā). |
Ierobežojumu un mazākās konfidencialitātes pielaides princips
|
18. |
Lai izvairītos no lieka riska, ievieš tikai darbībai vajadzīgās funkcijas, iekārtas un dienestus. |
|
19. |
KIS lietotājiem un automatizētiem procesiem nodrošina tikai tādu piekļuvi, privilēģijas vai pilnvaras, kas vajadzīgas to pienākumu veikšanai, lai tādējādi ierobežotu negadījumu, kļūdu vai bojājumu, vai neatļautas KIS resursu izmantošanas rezultātā radušos bojājumu. |
|
20. |
Reģistrācijas procedūras, kuras veic KIS, vajadzības gadījumā pārbauda akreditācijas procesa laikā. |
Informētība par informācijas aizsardzību
|
21. |
Informētība par risku un pieejamiem drošības pasākumiem ir KIS drošības aizsardzības pirmais priekšnoteikums. Visas personas, kas ir iesaistītas KIS aprites ciklā, tostarp tās lietotāji, saprot:
|
|
22. |
Lai nodrošinātu, ka atbildība par drošības garantēšanu ir izprasta, viss iesaistītais personāls, tostarp augstākā līmeņa vadība un KIS lietotāji, obligāti saņem izglītību un apmācību par IA. |
IT drošības produktu izvērtēšana un apstiprināšana
|
23. |
Vajadzīgo uzticamības līmeni drošības pasākumos, ko definē kā aizsardzības līmeni, nosaka atbilstīgi riska pārvaldības procesā gūtajiem rezultātiem un saskaņā ar attiecīgo drošības politiku un drošības pamatnostādnēm. |
|
24. |
Aizsardzības līmeni pārbauda, lietojot starptautiski plaši izmantotus vai valstī apstiprinātus procesus un metodikas. Tas ietver sākotnējo izvērtēšanu, kontroli un revīziju. |
|
25. |
ESKI aizsardzībai paredzētos kriptogrāfijas produktus izvērtē un apstiprina dalībvalsts valsts kriptogrāfijas apstiprinājuma iestāde (KAI). |
|
26. |
Pirms iesaka EĀDD KAI šādus kriptogrāfijas produktus apstiprināt saskaņā ar šā lēmuma 8. panta 5. punktu, tiem jābūt sekmīgi pārbaudītiem otrās puses veiktā izvērtējumā, ko veikusi tādas dalībvalsts atbilstīgi apstiprināta iestāde (AQUA), kura nav iesaistīta aprīkojuma projektēšanā un ražošanā. Otrās puses veiktas izvērtēšanas detalizācijas pakāpe ir atkarīga no paredzētā maksimālā tādas ESKI klasifikācijas līmeņa, ko aizsargā, izmantojot šos produktus. |
|
27. |
Ja tas pamatots ar īpašiem operatīviem apsvērumiem, EĀDD KAI pēc Padomes Drošības komitejas ieteikuma var atbilstīgi atteikties no 25. vai 26. punktā noteiktajām prasībām un saskaņā ar šā lēmuma 8. panta 5. punktu piešķirt pagaidu apstiprinājumu uz noteiktu laikposmu. |
|
28. |
Atbilstīgi apstiprināta iestāde (AQUA) ir tās dalībvalsts KAI, kas ir akreditēta, pamatojoties uz Padomes noteiktiem kritērijiem, lai uzņemtos tādu kriptogrāfijas produktu otrreizēju izvērtēšanu, ar ko paredzēts aizsargāt ESKI. |
|
29. |
AP apstiprina drošības politiku attiecībā uz tādu IT drošības produktu kvalificēšanu un apstiprināšanu, kas nav saistīti ar kriptogrāfiju. |
Nosūtīšana drošās zonās
|
30. |
Neatkarīgi no šā lēmuma noteikumiem, ja ESKI nosūta tikai drošās zonās vai administratīvās zonās, nešifrētu izplatīšanu vai zemāka līmeņa šifrēšanu var izmantot, pamatojoties uz riska pārvaldības procesa rezultātiem un ar drošības akreditācijas iestādes apstiprinājumu. |
Drošs KIS savstarpējs savienojums
|
31. |
Šajā lēmumā “sistēmu savstarpējs savienojums” ir tieši savienotas divas vai vairākas IT sistēmas, lai dalītos ar datiem un citiem informācijas resursiem (piemēram, saziņu) vienā vai vairākos virzienos. |
|
32. |
KIS jebkuru pieslēgtu IT sistēmu uzskata par neuzticamu un ievieš aizsargpasākumus, lai kontrolētu informācijas apmaiņu. |
|
33. |
Visi KIS un citas IT sistēmas savstarpēji savienojumi atbilst šādām pamatprasībām:
|
|
34. |
Nedrīkst savstarpēji savienot akreditētu KIS un neaizsargātu vai publiski pieejamu tīklu, izņemot gadījumus, ja KIS apstiprinājusi šādiem mērķiem ieviesto BPS starp KIS un neaizsargāto vai publiski pieejamo tīklu. Šādu savstarpēju savienojumu drošības pasākumus pārskata kompetentā informācijas aizsardzības iestāde (IAI) un apstiprina kompetentā drošības akreditācijas iestāde.
Ja neaizsargāto vai publiski pieejamo tīklu izmanto vienīgi tādas informācijas pārvietošanai, kura ir šifrēta ar kriptogrāfijas produktu, kas apstiprināts saskaņā ar šā lēmuma 8. panta 5. punktu, šādu savienojumu neuzskata par savstarpēju savienojumu. |
|
35. |
Ir aizliegts tādas KIS, kas ir akreditēta TRES SECRET UE/EU TOP SECRET informācijas apstrādei, tiešs vai pakāpenisks savstarpējs savienojams ar neaizsargātu vai publiski pieejamu tīklu. |
Elektroniski informācijas nesēji
|
36. |
Elektroniskus informācijas nesējus iznīcina saskaņā ar EĀDD drošības iestādes apstiprinātām procedūrām. |
|
37. |
Elektroniskus informācijas nesējus var izmantot atkārtoti, klasificēt zemākā līmenī vai deklasificēt saskaņā ar EĀDD pamatnostādnēm par ESKI klasifikācijas līmeņa pazemināšanu vai deklasificēšanu, kuras nosaka, ievērojot šā lēmuma 8. panta 2. punktu. |
Ārkārtas apstākļi
|
38. |
Neskarot šā lēmuma noteikumus, ārkārtas gadījumā, piemēram, gaidāmas vai notiekošas krīzes laikā, konflikta vai kara situācijā vai ārkārtas operatīvajā situācijā, var ierobežotā laikposmā piemērot turpmāk aprakstītās īpašās procedūras. |
|
39. |
Ar kompetentās iestādes piekrišanu ESKI var nosūtīt, izmantojot kriptogrāfijas produktus, kas apstiprināti lietošanai zemākam klasifikācijas līmenim, vai nešifrētā veidā, ja kavējumi varētu radīt kaitējumu, kas nepārprotami būtu lielāks par kaitējumu, ko rada klasificēta materiāla izpaušana, un ja:
|
|
40. |
Klasificētā informācijā, kas nosūtīta 39. punktā izklāstītajos apstākļos, nav atzīmju vai norāžu, kas to ļautu atšķirt no neklasificētas informācijas vai informācijas, ko var aizsargāt ar pieejamu kriptogrāfijas produktu. Informācijas saņēmējus par tās klasifikācijas līmeni nekavējoties informē ar citiem līdzekļiem. |
|
41. |
Ja tiek izmantota 39. punktā paredzētā procedūra, par to sniedz ziņojumu direktorātam, kas atbildīgs par mītnes drošību un EĀDD informācijas drošību, un tas iesniedz ziņojumu EĀDD Drošības komitejai. Ziņojumā norāda vismaz katras attiecīgās ESKI daļas sūtītāju, saņēmēju un sagatavotāju. |
III. INFORMĀCIJAS AIZSARDZĪBAS FUNKCIJAS UN IESTĀDES
|
42. |
EĀDD nosaka šādas IA funkcijas. Minēto funkciju pildīšanai nav vajadzīgas vienotas organizatoriskas struktūras. Tām ir atsevišķas pilnvaras. Tomēr šīs funkcijas un ar tām saistītos pienākumus var apvienot vai integrēt vienā un tai pašā organizatoriskajā struktūrā vai sadalīt dažādās organizatoriskās struktūrās ar noteikumu, ka nerodas iekšēji interešu vai uzdevumu konflikti. |
Informācijas aizsardzības iestāde (IAI)
|
43. |
IAI atbildībā ir:
|
TEMPEST iestāde
|
44. |
TEMPEST iestāde (TI) atbild par to, lai nodrošinātu KIS atbilstību TEMPEST politikai un pamatnostādnēm. Tā apstiprina TEMPEST pretpasākumus iekārtām un produktiem, lai aizsargātu ESKI līdz noteiktam klasifikācijas līmenim tās darbības vidē. |
Kriptogrāfijas apstiprinājuma iestāde (KAI)
|
45. |
KAI atbild par to, lai nodrošinātu, ka kriptogrāfijas produkti atbilst attiecīgajām kriptogrāfijas pamatnostādnēm. Tā apstiprina kriptogrāfijas produkta izmantošanu ESKI aizsargāšanai līdz noteiktam klasifikācijas līmenim tās darbības vidē. |
Kriptogrāfijas produktu izplatīšanas iestāde (KPII)
|
46. |
KPII atbildībā ir:
|
Drošības akreditācijas iestāde (DAI)
|
47. |
DAI attiecībā uz katru sistēmu atbild par šādiem uzdevumiem:
|
|
48. |
EĀDD DAI atbild par visu to KIS akreditāciju, kuru darbība ir EĀDD pārziņā. |
Drošības akreditācijas valde (DAV)
|
49. |
Kopīga DAV ir atbildīga par tādu KIS akreditāciju, kuras ir gan EĀDD DAI, gan dalībvalstu DAI pārziņā. Tās sastāvā ir DAI pārstāvji no katras dalībvalsts, un tās sanāksmēs piedalās PĢS un Komisijas DAI pārstāvis. Citas struktūras, kuras ir iesaistītas KIS, aicina piedalīties diskusijās, kad tiek apspriesta konkrētā sistēma.
DAV vada EĀDD DAI pārstāvis. Drošības akreditācijas valde darbojas ar to iestāžu, dalībvalstu un citu vienību pārstāvju konsensu, kuri ir iesaistīti KIS. Tā par savām darbībām periodiski iesniedz ziņojumus EĀDD Drošības komitejai un informē to par visiem akreditācijas paziņojumiem. |
Informācijas aizsardzības operatīvā iestāde
|
50. |
IA operatīvā iestāde attiecībā uz katru sistēmu atbild par šādiem uzdevumiem:
|
A V PIELIKUMS
INDUSTRIĀLĀ DROŠĪBA
I. IEVADS
|
1. |
Šajā pielikumā izklāstīti A pielikuma 9. panta īstenošanas noteikumi. Ar to paredz vispārējus drošības noteikumus, kas piemērojami rūpniecības vai citām struktūrām pirms EĀDD piešķirta klasificēta līguma slēgšanas un klasificēto līgumu aprites laikā. |
|
2. |
EĀDD drošības iestāde apstiprina industriālās drošības pamatnostādnes, jo īpaši sīki izklāstot prasības attiecībā uz iestādes drošības pielaidēm (IDP), drošības aspektu vēstulēm (DAV), apmeklējumiem, ESKI nosūtīšanu un pārvietošanu. |
II. KLASIFICĒTA LĪGUMA DROŠĪBAS ELEMENTI
Drošības klasifikācijas rokasgrāmata (DKR)
|
3. |
Pirms izsludina konkursu vai pirms piešķir klasificētu līgumu, EĀDD kā līgumslēdzēja iestāde nosaka tās informācijas drošības klasifikāciju, kuru sniedz pretendentiem un līgumslēdzējiem, kā arī tās informācijas drošības klasifikāciju, ko sastādīs līgumslēdzējs. Šajā saistībā EĀDD sagatavo drošības klasifikācijas rokasgrāmatu (DKR), ko izmanto līguma izpildei. |
|
4. |
Lai noteiktu dažādu klasificēta līguma elementu drošības klasifikāciju, piemēro šādus principus:
|
Drošības aspektu vēstule (DAV)
|
5. |
Ar attiecīgo līgumu saistītās drošības prasības izklāsta drošības aspektu vēstulē (DAV). Vajadzības gadījumā DAV iekļauj DKR, un tā ir klasificēta līguma vai apakšlīguma neatņemama daļa. |
|
6. |
DAV iekļauj nosacījumus par to, ka līgumslēdzējam un/vai apakšlīgumslēdzējam ir jānodrošina atbilsme minimālajiem standartiem, kas izklāstīti šajā lēmumā. Neatbilstība šiem minimālajiem standartiem var būt pietiekams pamats līguma izbeigšanai. |
Programmas/projekta drošības instrukcijas (PDI)
|
7. |
Atkarībā no to projektu vai programmu darbības jomas, kurās vajadzīga piekļuve ESKI vai kurās to apstrādā vai glabā, līgumslēdzēja iestāde, kurai uzticēta atbildība par minētās programmas vai projekta pārvaldību, var izstrādāt programmas/projekta drošības instrukcijas (PDI). PDI jāapstiprina dalībvalstu VDI vai IDI vai kādai citai attiecīgai kompetentai drošības iestādei, kas piedalās programmā/projektā, un tajās var būt ietvertas papildu drošības prasības. |
III. IESTĀDES DROŠĪBAS PIELAIDE (IDP)
|
8. |
Par mītnes drošību un EĀDD informācijas drošību atbildīgais direktorāts pieprasa attiecīgās dalībvalsts VDI vai IDI, vai jebkurai citai kompetentajai drošības iestādei piešķirt IDP, lai atbilstīgi valsts normatīvajiem aktiem apliecinātu, ka rūpniecības vai cita struktūra savās telpās spēj nodrošināt pietiekamu ESKI aizsardzību attiecīgā klasifikācijas līmenī (CONFIDENTIEL UE/EU CONFIDENTIAL vai SECRET UE/EU SECRET). Līgumslēdzējam, apakšlīgumslēdzējam vai iespējamam līgumslēdzējam nenodrošina vai nepiešķir piekļuvi ESKI, kamēr EĀDD nav saņēmis IDP pierādījumu. |
|
9. |
Ja vajadzīgs, EĀDD kā līgumslēdzēja iestāde paziņo attiecīgajai VDI/IDI vai jebkurai citai kompetentajai drošības iestādei, ka IDP ir vajadzīga pirms līguma parakstīšanas vai līguma pildīšanas laikā. Pirms līguma parakstīšanas pieprasa IDP vai PDP, ja priekšlikuma iesniegšanas procesā ir jāsniedz ESKI, kas klasificēta kā CONFIDENTIEL UE/EU CONFIDENTIAL vai SECRET UE/EU SECRET. |
|
10. |
EĀDD kā līgumslēdzēja iestāde piešķir klasificētu līgumu izraudzītajam pretendentam tikai tad, kad saņemts tās dalībvalsts VDI/IDI vai kādas citas kompetentās drošības iestādes apstiprinājums, kurā reģistrēti iesaistītie līgumslēdzēji vai apakšlīgumslēdzēji, ka viņiem ir izsniegta atbilstīga IDP, ja tas vajadzīgs. |
|
11. |
EĀDD kā līgumslēdzēja iestāde prasa VDI/IDI vai jebkurai citai kompetentajai drošības iestādei, kas izsniegusi IDP, informēt EĀDD par jebkādu negatīvu informāciju, kas ietekmē IDP. Apakšlīguma gadījumā attiecīgi informē VDI/IDI vai citu kompetento drošības iestādi. |
|
12. |
Ja attiecīgā VDI/IDI vai kāda cita kompetentā drošības iestāde atceļ IDP, tas ir pietiekams pamats EĀDD kā līgumslēdzējai iestādei izbeigt klasificētu līgumu vai izslēgt attiecīgo pretendentu no konkursa. |
IV. Personāla drošības pielaides (PDP) līgumslēdzēja darbiniekiem
|
13. |
Visiem to līgumslēdzēju darbiniekiem, kuru pienākumi saistīti ar piekļuvi ESKI, kuras klasifikācijas līmenis ir CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāks, ir piešķirta atbilstīga drošības pielaide un ir vajadzība piekļūt attiecīgajai informācijai. Lai piekļūtu ESKI, kas klasificēta kā RESTREINT UE/EU RESTRICTED, nav vajadzīga PDP, taču jāpastāv vajadzībai zināt attiecīgo informāciju. |
|
14. |
Līgumslēdzēja darbinieku PDP pieteikumus iesniedz par attiecīgo struktūru atbildīgajai VDI/IDI. |
|
15. |
EĀDD norāda līgumslēdzējiem, kuri ar piekļuvi ESKI saistītā amatā vēlas pieņemt darbā trešās valsts valstspiederīgo, ka tās dalībvalsts VDI/IDI, kurā reģistrēta un atrodas struktūra, kas pieņem šo personu darbā, saskaņā ar šo lēmumu nosaka, vai personai var piešķirt piekļuvi šādai informācijai, un apstiprina, ka pirms piekļuves piešķiršanas ir saņemta informācijas sagatavotāja piekrišana. |
V. KLASIFICĒTI LĪGUMI UN APAKŠLĪGUMI
|
16. |
Ja pretendentam sniedz ESKI pirms līguma parakstīšanas, uzaicinājumā iesniegt piedāvājumu iekļauj prasību, ka pretendentam, kurš neiesniedz priekšlikumu vai kuru neizvēlas, noteiktā laikposmā atdod atpakaļ visus klasificētos dokumentus. |
|
17. |
Kad klasificētais līgums vai apakšlīgums ir piešķirts, EĀDD kā līgumslēdzēja iestāde paziņo līgumslēdzēja vai apakšlīgumslēdzēja VDI/IDI vai jebkurai citai kompetentajai drošības iestādei klasificētā līguma drošības noteikumus. |
|
18. |
Kad šāds līgums tiek izbeigts, EĀDD kā līgumslēdzēja iestāde (un/vai VDI/IDI vai attiecīgi jebkura cita kompetentā drošības iestāde apakšlīguma gadījumā) nekavējoties par to paziņo tās dalībvalsts VDI/IDI vai jebkurai citai kompetentajai drošības iestādei, kurā līgumslēdzējs vai apakšlīgumslēdzējs reģistrēts. |
|
19. |
Parasti līgumslēdzējs vai apakšlīgumslēdzējs atgriežas pie līgumslēdzējas iestādes, ja pēc klasificēta līguma vai apakšlīguma pārtraukšanas vai beigām tā rīcībā ir ESKI. |
|
20. |
Drošības aspektu vēstulē noteikti konkrēti noteikumi attiecībā uz ESKI iznīcināšanu līguma darbības laikā vai pēc tā darbības pārtraukšanas vai beigām. |
|
21. |
Ja līgumslēdzējam vai apakšlīgumslēdzējam ir atļauts saglabāt ESKI pēc līguma darbības pārtraukšanas vai beigām, tas turpina ievērot šajā lēmumā noteiktos minimālos standartus un sargāt ESKI konfidencialitāti. |
|
22. |
Nosacījumus par kārtību, kādā līgumslēdzējs var slēgt apakšlīgumu definē gan uzaicinājumā iesniegt piedāvājumu, gan līgumā. |
|
23. |
Pirms līgumslēdzējs atsevišķas klasificēta līguma daļas nodod apakšlīgumslēdzējam, tas saņem atļauju no EĀDD kā līgumslēdzējas iestādes. Nedrīkst piešķirt apakšlīgumu rūpniecības vai citām struktūrām, kas reģistrētas valstī, kura nav ES dalībvalsts, ja tā nav noslēgusi informācijas drošības nolīgumu ar ES. |
|
24. |
Līgumslēdzējs ir atbildīgs par to, lai visas apakšlīgumslēdzēja darbības tiktu veiktas saskaņā ar šajā lēmumā noteiktajiem minimālajiem standartiem un lai tas pārsūta ESKI vai citu materiālu apakšlīgumslēdzējam tikai ar iepriekšēju rakstisku līgumslēdzējas iestādes piekrišanu. |
|
25. |
Attiecībā uz ESKI, ko sagatavo vai apstrādā līgumslēdzējs vai apakšlīgumslēdzējs, līgumslēdzēja iestāde piemēro informācijas sagatavotāja tiesības. |
VI. AR KLASIFICĒTIEM LĪGUMIEM SAISTĪTI APMEKLĒJUMI
|
26. |
Ja EĀDD, līgumslēdzēji vai apakšlīgumslēdzēji līguma pildīšanas nolūkā lūdz piekļuvi informācijai, kas klasificēta kā CONFIDENTIEL UE/EU CONFIDENTIAL vai SECRET UE/EU SECRET, viens otra telpās, apmeklējumus organizē, sadarbojoties ar VDI/IDI vai jebkuru citu attiecīgo kompetento drošības iestādi. Tas neskar VDI/IDI pilnvaras konkrētu projektu gadījumā vienoties par procedūru šādu apmeklējumu tiešai organizēšanai. |
|
27. |
Visiem apmeklētājiem ir attiecīgā PDP, un tie atbilst vajadzības principam attiecībā uz ESKI, kas saistīta ar EĀDD līgumu. |
|
28. |
Apmeklētājiem nodrošina piekļuvi tikai tai ESKI, kura saistīta ar apmeklējuma mērķi. |
VII. ESKI NOSŪTĪŠANA UN PĀRVIETOŠANA
|
29. |
Attiecībā uz ESKI elektronisku nosūtīšanu piemēro A pielikuma 8. panta un A IV pielikuma attiecīgos noteikumus. |
|
30. |
Attiecībā uz ESKI pārvietošanu piemēro A III pielikuma attiecīgos noteikumus atbilstīgi valsts normatīvajiem aktiem. |
|
31. |
Nosakot drošības pasākumus klasificēto materiālu pārvietošanai ar kravu pārvadājumiem, piemēro šādus principus:
|
VIII. ESKI PĀRSŪTĪŠANA LĪGUMSLĒDZĒJIEM TREŠĀS VALSTĪS
|
32. |
Līgumslēdzējiem vai apakšlīgumslēdzējiem, kuri atrodas trešās valstīs, ar kurām ES ir noslēgusi derīgu drošības nolīgumu, ESKI pārsūta, ievērojot drošības pasākumus, par kuriem vienojies EĀDD kā līgumslēdzēja iestāde un tās trešās valsts VDI/IDI, kurā līgumslēdzējs reģistrēts. |
IX. RESTREINT UE/EU RESTRICTED KLASIFICĒTAS INFORMĀCIJAS APSTRĀDE UN GLABĀŠANA
|
33. |
EĀDD kā līgumslēdzēja iestāde, pamatojoties uz līguma noteikumiem, un vajadzības gadījumā sadarbībā ar dalībvalsts VDI/IDI var apmeklēt līgumslēdzēja/apakšlīgumslēdzēja telpas, lai pārbaudītu, vai tiek īstenoti līgumā noteiktie vajadzīgie drošības pasākumi, lai aizsargātu ESKI, kas klasificēta kā RESTREINT UE/EU RESTRICTED. |
|
34. |
Ciktāl tas vajadzīgs atbilstīgi valsts normatīvajiem aktiem, EĀDD kā līgumslēdzēja iestāde informē VDI/IDI vai jebkuru citu kompetento drošības iestādi par līgumiem vai apakšlīgumiem, kuros ir iekļauta informācija, kas klasificēta kā RESTREINT UE/EU RESTRICTED. |
|
35. |
Līgumslēdzējam vai apakšlīgumslēdzējam un to personālam nevajag IDP vai PDP attiecībā uz līgumiem, kurus piešķīris EĀDD un kuros iekļauta informācija, kas klasificēta kā RESTREINT UE/EU RESTRICTED. |
|
36. |
EĀDD kā līgumslēdzēja iestāde izskata iesniegtos pieteikumus līgumiem, kuri ir saistīti ar piekļuvi informācijai, kas klasificēta kā RESTREINT UE/EU RESTRICTED, neskarot prasības saistībā ar IDP vai PDP, kas var būt noteiktas valsts normatīvajos aktos. |
|
37. |
Noteikumus par kārtību, kādā līgumslēdzējs var slēgt apakšlīgumu, definē saskaņā ar 22.–24. punktu. |
|
38. |
Ja līgumā paredzēts, ka līgumslēdzējs komunikāciju un informācijas sistēmās apstrādā informāciju, kas klasificēta kā RESTREINT UE/EU RESTRICTED, EĀDD kā līgumslēdzēja iestāde nodrošina, ka līgumā vai katrā apakšlīgumā ir noteiktas vajadzīgās tehniskās un administratīvās prasības attiecībā uz KIS akreditāciju, kas ir samērīgas ar novērtēto risku, ņemot vērā visus atbilstīgos faktorus. Līgumslēdzēja iestāde un attiecīgā VDI/IDI vienojas par šādu KIS akreditācijas darbības jomu. |
A VI PIELIKUMS
KLASIFICĒTAS INFORMĀCIJAS APMAIŅA AR TREŠĀM VALSTĪM UN STARPTAUTISKĀM ORGANIZĀCIJĀM
I. IEVADS
|
1. |
Šajā pielikumā izklāstīti A pielikuma 10. panta īstenošanas noteikumi. |
II. KLASIFICĒTAS INFORMĀCIJAS APMAIŅAS SISTĒMAS
|
2. |
EĀDD drīkst veikt ESKI apmaiņu ar trešām valstīm vai starptautiskām organizācijām saskaņā ar A pielikuma 10. panta 1. punktu.
Lai palīdzētu AP veikt LESD 218. pantā paredzētos pienākumus:
|
|
3. |
Ja informācijas drošības nolīgumos paredzēti tehniskie īstenošanas pasākumi, par kuriem jāvienojas direktorātam, kas atbildīgs par mītnes drošību un EĀDD informācijas drošību, un attiecīgās trešās valsts vai starptautiskās organizācijas kompetentajai drošības iestādei, tad šādos nolīgumos ņem vērā aizsardzības līmeni, kas noteikts attiecīgās trešās valsts vai starptautiskās organizācijas drošības noteikumos, struktūrās un procedūrās. Attiecībā uz šādiem pasākumiem par mītnes drošību un EĀDD informācijas drošību atbildīgais EĀDD direktorāts veic koordināciju ar Komisijas Cilvēkresursu un drošības ģenerāldirektorāta Drošības direktorātu un Padomes Ģenerālsekretariāta Drošības biroju. |
|
4. |
Ja EĀDD ir ilgtermiņa vajadzība organizēt tādas klasificētas informācijas apmaiņu ar trešo valsti vai starptautisku organizāciju, kura principā nav klasificēta augstāk kā RESTREINT UE/EU RESTRICTED, un ja ir konstatēts, ka iesaistītajai pusei nav pietiekami attīstītas drošības sistēmas, lai tā varētu noslēgt informācijas drošības nolīgumu, AP, saņemot EĀDD Drošības komitejas vienprātīgu piekrišanu saskaņā ar šā lēmuma 15. panta 5. punktu, var noslēgt administratīvu vienošanos ar attiecīgās trešās valsts vai starptautiskās organizācijas kompetentajām drošības iestādēm. |
|
5. |
ESKI elektronisku apmaiņu ar trešo valsti vai starptautisku organizāciju atļauts veikt tikai tad, ja tas ir skaidri noteikts informācijas drošības nolīgumā vai administratīvās vienošanās tekstā. |
|
6. |
Saskaņā ar administratīvu vienošanos par klasificētas informācijas apmaiņu EĀDD un trešā valsts vai starptautiska organizācija katra nosaka reģistru par galveno punktu klasificētas informācijas saņemšanai un sniegšanai. EĀDD gadījumā tas ir EĀDD centrālais reģistrs. |
|
7. |
Administratīvās vienošanās parasti noslēdz vēstuļu apmaiņas veidā. |
III. IZVĒRTĒJUMA APMEKLĒJUMI
|
8. |
Šā lēmuma 17. pantā minētos izvērtējuma apmeklējumus veic, savstarpēji vienojoties ar attiecīgo trešo valsti vai starptautisko organizāciju, un tajos izvērtē:
|
|
9. |
ESKI apmaiņu veic tikai pēc tam, kad ir noticis izvērtējuma apmeklējums un kad ir noteikts tās klasificētās informācijas, ar ko abas puses var apmainīties, līmenis, pamatojoties uz līdzvērtīgu tai nodrošināmo aizsardzības līmeni.
Izvērtējuma apmeklējuma kavēšanās gadījumā AP tiek informēts par jebkādiem izņēmuma vai steidzamiem klasificētas informācijas apmaiņas iemesliem, un EĀDD drošības iestāde:
Ja EĀDD nevar noteikt sagatavotāju, EĀDD drošības iestāde, saņemot EĀDD Drošības komitejas vienprātīgu piekrišanu, uzņemas sagatavotāja atbildību. |
IV. ATĻAUJA NODOT ESKI TREŠĀM VALSTĪM VAI STARPTAUTISKĀM ORGANIZĀCIJĀM
|
10. |
Ja saskaņā ar A pielikuma 10. panta 1. punktu pastāv sistēma klasificētas informācijas apmaiņai ar kādu trešo valsti vai starptautisku organizāciju, lēmumu par to, ka EĀDD var nodot ESKI trešai valstij vai starptautiskai organizācijai, pieņem EĀDD drošības iestāde. |
|
11. |
Ja nododamās klasificētās informācijas, tostarp tās izejmateriālu, sagatavotājs nav EĀDD, tad EĀDD drošības iestāde vispirms lūdz sagatavotāja rakstisku piekrišanu, lai noskaidrotu, vai nav iebildumu pret informācijas nodošanu. Ja EĀDD nevar noteikt sagatavotāju, EĀDD drošības iestāde, saņemot dalībvalstu pārstāvju EĀDD Drošības komitejā vienprātīgu piekrišanu, uzņemas sagatavotāja atbildību. |
V. ESKI ĀRKĀRTĒJA AD HOC NODOŠANA
|
12. |
Ja nav vienas no A pielikuma 10. panta 1. punktā minētajām sistēmām un ja ES vai vienas vai vairāku dalībvalstu interesēs ESKI jānodod politisku, operatīvu vai steidzamu iemeslu dēļ, ESKI izņēmuma kārtā var nodot trešai valstij vai starptautiskajai organizācijai, ja ir veiktas turpmāk minētās darbības.
EĀDD drošības iestāde nodrošina 11. punktā minēto nosacījumu izpildi un:
|
|
13. |
Ja nav nevienas no A pielikuma 10. panta 1. punktā minētajām sistēmām, attiecīgā trešā puse rakstiski apņemas attiecīgi aizsargāt ESKI. |
A papildinājums
DEFINĪCIJAS
Šajā lēmumā piemēro šādas definīcijas:
|
(a) |
“akreditācija” ir process, kura rezultāts ir drošības akreditācijas iestādes (DAI) oficiāla deklarācija, ka sistēma ir apstiprināta konkrētas klasifikācijas līmeņa darbam īpašā drošības režīmā savā darbības vidē un pieņemamā apdraudējuma līmenī, balstoties uz pieņēmumu, ka ir īstenots apstiprināts tehnisku, fizisku, organizatorisku un procedūras drošības pasākumu kopums; |
|
(b) |
“resursi” ir jebkas, ko organizācija uzskata par vērtīgu savās saimnieciskajās darbībās un to nepārtrauktības nodrošināšanā, tostarp informācijas resursi, kas vajadzīgi organizācijas uzdevuma pildīšanai; |
|
(c) |
“atļauja piekļūt ESKI” ir atļauja, ko EĀDD drošības iestāde saskaņā ar šo lēmumu piešķir tad, kad dalībvalsts kompetentās iestādes ir piešķīrušas PDP, un ar ko apliecina, ka personai, ja ir apzināta tās vajadzība pēc informācijas, līdz konkrētam datumam var sniegt piekļuvi ESKI līdz konkrētam līmenim (CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāk) – skatīt A I pielikuma 2. pantu; |
|
(d) |
“pārkāpums” ir tāda personas darbība vai bezdarbība, kas ir pretrunā šajā lēmumā noteiktajiem drošības noteikumiem un/vai drošības politikai vai pamatnostādnēm, kurās paredzēti tās īstenošanai vajadzīgie pasākumi; |
|
(e) |
“KIS aprites cikls” ir viss KIS pastāvēšanas laiks kopā, kurā ietilpst ierosināšana, koncepcijas izstrāde, plānošana, prasību analīze, projektēšana, izstrāde, testēšana, īstenošana, darbība, uzturēšana un likvidēšana; |
|
(f) |
“klasificēts līgums” ir līgums, kuru EĀDD slēdz ar līgumslēdzēju par ražojumu piegādi, darbu veikšanu vai pakalpojumu sniegšanu un kura izpilde prasa vai ir saistīta ar piekļuvi ESKI vai tās sagatavošanu; |
|
(g) |
“klasificēts apakšlīgums” ir līgums par ražojumu piegādi, darbu veikšanu vai pakalpojumu sniegšanu, kuru EĀDD līgumslēdzējs slēdz ar citu līgumslēdzēju (t. i., apakšlīgumslēdzēju) un kura izpilde prasa vai ir saistīta ar piekļuvi ESKI vai tās sagatavošanu; |
|
(h) |
“komunikāciju un informācijas sistēma” (KIS) ir jebkura sistēma, kurā ar informāciju var rīkoties elektroniski. Komunikāciju un informācijas sistēma ietver visus vajadzīgos resursus, lai sistēma darbotos, tostarp infrastruktūru, organizāciju, personālu un informācijas resursus; |
|
(i) |
“ESKI apdraudējums” ir pilnīga vai daļēja ESKI atklāšana nesankcionētām personām vai struktūrām – skatīt 9. panta 2. punktu; |
|
(j) |
“līgumslēdzējs” ir fiziska vai juridiska persona, kura ir tiesīga slēgt līgumus; |
|
(k) |
“kriptogrāfijas produkti” ir kriptogrāfijas algoritmi, kriptogrāfijas aparatūras un programmatūras moduļi un produkti, tostarp īstenošanas informācija un ar to saistītā dokumentācija un atslēgu materiāls; |
|
(l) |
“KDAP operācija” ir krīžu militāras vai civilas pārvarēšanas operācija saskaņā ar LES V sadaļas 2. nodaļu; |
|
(m) |
“deklasifikācija” ir jebkādas drošības klasifikācijas noņemšana; |
|
(n) |
“padziļināta aizsardzība” ir dažādu drošības pasākumu piemērošana, izveidojot daudzslāņainu aizsardzību; |
|
(o) |
“izraudzītā drošības iestāde” (IDI) ir iestāde, kas pakļauta dalībvalsts valsts drošības iestādei (VDI) un ir atbildīga par to, ka rūpniecības vai citas struktūras ir informētas par valsts politiku visā industriālās drošības jomā, kā arī par virzību un palīdzību tās īstenošanā. IDI uzdevumus var veikt VDI vai jebkura cita kompetentā iestāde; |
|
(p) |
“dokuments” ir jebkura ierakstīta informācija neatkarīgi no tās fiziskā veidola vai iezīmēm; |
|
(q) |
“klasifikācijas līmeņa pazemināšana” ir klasificēšana zemākā drošības pakāpē; |
|
(r) |
“ES klasificēta informācija” (ESKI) ir jebkura informācija vai materiāli, kuriem piemērota ES drošības klasifikācija un kuru neatļauta izpaušana var izraisīt dažāda līmeņa apdraudējumu Eiropas Savienības vai vienas vai vairāku tās dalībvalstu interesēm – skatīt 2. panta f) punktu; |
|
(s) |
“iestādes drošības pielaide” (IDP) ir VDI vai IDI administratīvs konstatējums, ka no drošības viedokļa iestāde spēj nodrošināt pietiekamu ESKI aizsardzību konkrētā drošības klasifikācijas līmenī, kā arī to, ka attiecībā uz visiem tās darbiniekiem, kam vajadzīga piekļuve ESKI, ir pienācīgi veikta drošības pārbaude un viņi ir informēti par attiecīgām drošības prasībām, lai piekļūtu ESKI un to aizsargātu; |
|
(t) |
ESKI “apstrāde” ir visu veidu darbības, ko ar ESKI veic tās aprites cikla laikā. Tajā ietilpst izstrāde, apstrāde, pārvietošana, klasifikācijas līmeņa pazemināšana, deklasifikācija un iznīcināšana. Saistībā ar KIS tajā ietilpst arī ievākšana, uzrādīšana, nosūtīšana un glabāšana; |
|
(u) |
“turētājs” ir pienācīgi sertificēta persona, kurai ir oficiāli pierādīta vajadzība pēc informācijas un kuras rīcībā ir ESKI, kas tādējādi dara viņu atbildīgu par aizsardzību; |
|
(v) |
“rūpniecības vai cita struktūra” ir struktūra, kas piegādā ražojumus, veic darbu vai sniedz pakalpojumus; tās var būt rūpniecības, komerciālas, pakalpojumu sniedzēju, zinātniskas, pētniecības, izglītības vai attīstības struktūras vai pašnodarbināta persona; |
|
(w) |
“industriālā drošība” ir pasākumu piemērošana nolūkā nodrošināt, ka līgumslēdzējs vai apakšlīgumslēdzējs aizsargā ESKI sarunu laikā pirms klasificēta līguma slēgšanas un klasificēto līgumu darbības laikā – skatīt A pielikuma 9. panta 1. punktu; |
|
(x) |
“informācijas aizsardzība” ir pārliecība, ka komunikāciju un informācijas sistēmu jomā aizsargās informāciju, kas tajā atrodas, un darbosies, kā tas ir paredzēts, kad paredzēts un likumīgu lietotāju kontrolē. Ar efektīvu IA nodrošina atbilstīga līmeņa konfidencialitāti, integritāti, pieejamību, nenoliedzamību un autentiskumu. IA pamatā ir riska pārvaldības process – skatīt A pielikuma 8. panta 1. punktu; |
|
(y) |
“sistēmu savstarpējs savienojums” šajā lēmumā ir tieši savienotas divas vai vairākas IT sistēmas, lai dalītos ar datiem un citiem informācijas resursiem (piemēram, saziņu) vienā vai vairākos virzienos – skatīt A IV pielikuma 31. punktu; |
|
(z) |
“klasificētas informācijas pārvaldība” ir administratīvu pasākumu piemērošana ESKI kontrolei tās aprites cikla laikā, lai papildinātu 5., 6. un 8. pantā minētos pasākumus un tādējādi palīdzētu novērst un atklāt tīšu vai netīšu šādas informācijas apdraudējumu vai atgūt to tīšas vai netīšas nozaudēšanas gadījumā. Šādi pasākumi jo īpaši ir saistīti ar ESKI izstrādi, reģistrāciju, kopēšanu, tulkošanu, pārvietošanu, apstrādi, glabāšanu un iznīcināšanu – skatīt A pielikuma 7. panta 1. punktu; |
|
(aa) |
“materiāli” ir jebkurš dokuments vai iekārtas vai ierīces daļa, kas jau ir izstrādāta vai vēl tiek izstrādāta; |
|
(bb) |
“sagatavotājs” ir ES iestāde, aģentūra vai struktūra, dalībvalsts, trešā valsts vai starptautiska organizācija, kuras pakļautībā klasificēta informācija ir sagatavota un/vai nodota ES struktūrām; |
|
(cc) |
“personāla drošība” nozīmē tādu pasākumu piemērošanu, lai nodrošinātu, ka piekļuvi ESKI piešķir tikai tādām personām:
saskaņā ar A pielikuma 5. panta 1. punktu; |
|
(dd) |
“personāla drošības pielaide” (PDP) piekļuvei ESKI ir dalībvalsts kompetentās iestādes deklarācija, kas pieņemta pēc tam, kad dalībvalsts kompetentās iestādes veikušas drošības izmeklēšanu, un ar ko apliecina, ka personai, ja ir apzināta tās vajadzība pēc informācijas, līdz konkrētam datumam var sniegt piekļuvi ESKI līdz konkrētam līmenim (CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāk); var uzskatīt, ka tāda persona ir saņēmusi drošības pielaidi. |
|
(ee) |
“personāla drošības pielaides apliecība” (PDPA) ir kompetentās drošības iestādes izdota apliecība, ar kuru nosaka, ka persona ir saņēmusi drošības pielaidi un tai ir derīga PDP vai par mītnes drošību un EĀDD informācijas drošību atbildīgā direktora atļauja piekļūt ESKI, kurā norāda to ESKI klasifikācijas līmeni, līdz kuram personai var sniegt piekļuvi (CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāk), attiecīgās PDP derīguma termiņu un apliecības derīguma termiņu; |
|
(ff) |
“fiziskā drošība” ir fizisku un tehnisku aizsardzības pasākumu piemērošana, lai novērstu neatļautu piekļuvi ESKI – skatīt A pielikuma 6. pantu; |
|
(gg) |
“programmas/projekta drošības instrukcijas” (PDI) ir to drošības procedūru saraksts, kuras piemēro konkrētai programmai/projektam, lai standartizētu drošības procedūras. To var pārskatīt visā programmas/projekta darbības laikā; |
|
(hh) |
“reģistrācija” ir tādu procedūru piemērošana, kas reģistrē informācijas aprites ciklu, tostarp tās izplatīšanu un iznīcināšanu – skatīt A III pielikuma 21. punktu; |
|
(ii) |
“neapzinātais risks” ir risks, kas pastāv pēc drošības pasākumu īstenošanas, ņemot vērā to, ka ne pret visiem apdraudējumiem var cīnīties un ne visu ietekmējamību var likvidēt; |
|
(jj) |
“risks” ir iespēja, ka ar kādu apdraudējumu izmantos iekšēju vai ārēju organizācijas vai kādas tās sistēmas vājo vietu un tādējādi radīs kaitējumu organizācijai un tās materiāliem un nemateriāliem aktīviem. To izsaka kā draudu rašanās iespējamības un to ietekmes apvienojumu; |
|
(kk) |
“riska pieņemšana” ir lēmums pēc riska risinājuma vienoties par neapzināta riska turpmāko pastāvēšanu; |
|
(ll) |
“riska novērtējums” ir apdraudējumu un ietekmējamības noteikšana un saistītu risku analīzes veikšana, t. i., iespējamības un ietekmes analīze; |
|
(mm) |
“ziņojums par apdraudējumu” ir KIS lietotāju kopienu informētības veidošana, informējot apstiprināšanas iestādes par tādiem apdraudējumiem un ziņojot par tiem rīcības iestādēm; |
|
(nn) |
“riska pārvaldības process” ir viss process, kurā ietilpst tādu neparedzētu notikumu apzināšana, kontrole un ietekmes samazināšana, kuri var ietekmēt drošību organizācijā vai jebkurā no sistēmām, ko tā izmanto. Tas attiecas uz visām darbībām, kas saistītas ar apdraudējumu, tostarp tā izvērtēšanu, apstrādi, pieņemšanu un izziņošanu; |
|
(oo) |
“riska risinājums” ir riska ietekmes pavājināšana, tā likvidēšana vai mazināšana (izmantojot atbilstīgu tehnisku, fizisku, pārvaldes vai procedūras pasākumu apvienojumu), riska pārvietošana vai pārraudzība; |
|
(pp) |
“drošības aspektu vēstule” (DAV) ir līgumslēdzējas iestādes izdots īpašu līguma nosacījumu kopums, kas ir tāda klasificēta līguma neatņemama sastāvdaļa, kurš saistīts ar piekļuvi ESKI vai ar ESKI sagatavošanu un kurā identificē drošības prasības vai tos līguma elementus, kam vajadzīga drošības aizsardzība – skatīt A V pielikuma II iedaļu; |
|
(qq) |
“drošības klasifikācijas rokasgrāmata” (DKR) ir dokuments, kurā aprakstīti klasificētie programmas vai līguma elementi, precizējot piemērojamos drošības klasifikācijas līmeņus. DKR var paplašināt visā programmas vai līguma darbības laikā, un informācijas elementus var pārklasificēt vai klasificēt zemākā līmenī; ja pastāv DKR, tā ietilpst drošības aspektu vēstulē – skatīt A V pielikuma II iedaļu; |
|
(rr) |
“drošības izmeklēšana” ir izmeklēšanas procedūras, ko saskaņā ar spēkā esošiem valsts normatīvajiem aktiem veic kompetentā dalībvalsts iestāde, lai pārliecinātos, ka nav nekādas negatīvas informācijas, kas varētu liegt konkrētai personai saņemt ES PDP, lai tā varētu piekļūt ESKI līdz konkrētam līmenim (CONFIDENTIEL UE/EU CONFIDENTIAL vai augstāk); |
|
(ss) |
“drošības darba procedūras” (SecOPs) ir pieņemamās drošības politikas īstenošanas, ievērojamo darba procedūru un darbinieku pienākumu apraksts; |
|
(tt) |
“sensitīva neklasificēta informācija” ir informācija vai materiāli, kas EĀDD ir jāaizsargā līgumos vai aktos, kas pieņemti to īstenošanai, noteikto tiesisko pienākumu ietvaros un/vai informācijas vai materiālu sensitivitātes dēļ. Sensitīva neklasificēta informācija, neaprobežojoties ar šeit uzskaitīto, ietver informāciju un materiālus, uz ko attiecas dienesta noslēpuma glabāšanas pienākums, kā noteikts LESD 339. pantā, informāciju, uz kuru attiecas intereses, kas aizsargātas Regulas (EK) Nr. 1049/2001 (1) 4. pantā, skatot to kopā ar attiecīgo Eiropas Savienības Tiesas judikatūru, vai personas datus, kas ietilpst Regulas (ES) 2018/1725 piemērošanas jomā; |
|
(uu) |
“saistīto drošības prasību izklāsts” (SSRS) ir saistošs ievērojamo drošības principu kopums un detalizētas ievērojamās drošības prasības, kas ir KIS sertificēšanas un akreditācijas pamatā; |
|
(vv) |
“TEMPEST” ir apdraudošu elektromagnētisku emisiju izmeklēšana, izpēte un kontrole un pasākumi to novēršanai; |
|
(ww) |
“apdraudējums” ir iespējams nevēlama atgadījuma cēlonis, kura rezultātā var tikt izdarīts kaitējums organizācijai vai jebkurai sistēmai, ko tajā izmanto. Tādi apdraudējumi var būt nejauši vai apzināti (ļaunprātīgi), un tiem ir raksturīgi apdraudējuma elementi, iespējami mērķi un uzbrukuma metodes; |
|
(xx) |
“ietekmējamība” ir jebkura vājā vieta, ko varētu izmantot vienā vai vairākos apdraudējuma gadījumos. Ietekmējamība var būt kāda posma trūkums vai var būt saistīta ar vāju vietu kontrolē attiecībā uz tās stiprumu, pilnīgumu vai konsekvenci, un tai var būt tehnisks, procedūras, fizisks, organizatorisks vai operatīvs raksturs. |
(1) Eiropas Parlamenta un Padomes Regula (EK) Nr. 1049/2001 (2001. gada 30. maijs) par publisku piekļuvi Eiropas Parlamenta, Padomes un Komisijas dokumentiem (OV L 145, 31.5.2001., 43. lpp.).
B papildinājums
Drošības klasifikāciju atbilstība
|
ES |
TRES SECRET UE/EU TOP SECRET |
SECRET UE/EU SECRET |
CONFIDENTIEL UE/EU CONFIDENTIAL |
RESTREINT UE/EU RESTRICTED |
|
EURATOM |
EURA TOP SECRET |
EURA SECRET |
EURA CONFIDENTIAL |
EURA RESTRICTED |
|
Beļģija |
Très Secret (11.12.1998. likums) Zeer Geheim (11.12.1998. likums) |
Secret (11.12.1998. likums) Geheim (11.12.1998. likums) |
Confidentiel (11.12.1998. likums) Vertrouwelijk (11.12.1998. likums) |
Zemsvītras piezīme (1) |
|
Bulgārija |
Cтpoгo ceкретно |
Ceкретно |
Поверително |
За служебно ползване |
|
Čehijas Republika |
Přísně tajné |
Tajné |
Důvěrné |
Vyhrazené |
|
Dānija |
YDERST HEMMELIGT |
HEMMELIGT |
FORTROLIGT |
TIL TJENESTEBRUG |
|
Vācija |
STRENG GEHEIM |
GEHEIM |
VS (2) – VERTRAULICH |
V – NUR FÜR DEN DIENSTGEBRAUCH |
|
Igaunija |
Täiesti salajane |
Salajane |
Konfidentsiaalne |
Piiratud |
|
Īrija |
Top Secret |
Secret |
Confidential |
Restricted |
|
Grieķija |
Άκρως Απόρρητο Saīs.: ΑΑΠ |
Απόρρητο Saīs.: (ΑΠ) |
Εμπιστευτικό Saīs.: (ΕΜ) |
Περιορισμένης Χρήσης Saīs.: (ΠΧ) |
|
Spānija |
SECRETO |
RESERVADO |
CONFIDENCIAL |
DIFUSIÓN LIMITADA |
|
Francija |
TRÈS SECRET TRÈS SECRET DÉFENSE (3) |
SECRET SECRET DÉFENSE (3) |
Zemsvītras piezīme (5) |
|
|
Horvātija |
VRLO TAJNO |
TAJNO |
POVJERLJIVO |
OGRANIČENO |
|
Itālija |
Segretissimo |
Segreto |
Riservatissimo |
Riservato |
|
Kipra |
Άκρως Απόρρητο Saīs.: (AΑΠ) |
Απόρρητο Saīs.: (ΑΠ) |
Εμπιστευτικό Saīs.: (ΕΜ) |
Περιορισμένης Χρήσης Saīs.: (ΠΧ) |
|
Latvija |
Sevišķi slepeni |
Slepeni |
Konfidenciāli |
Dienesta vajadzībām |
|
Lietuva |
Visiškai slaptai |
Slaptai |
Konfidencialiai |
Riboto naudojimo |
|
Luksemburga |
Très Secret Lux |
Secret Lux |
Confidentiel Lux |
Restreint Lux |
|
Ungārija |
“Szigorúan titkos!” |
“Titkos!” |
“Bizalmas!” |
“Korlátozott terjesztésű!” |
|
Malta |
L-Ogħla Segretezza Top Secret |
Sigriet Secret |
Kunfidenzjali Confidential |
Ristrett Restricted (6) |
|
Nīderlande |
Stg. ZEER GEHEIM |
Stg. GEHEIM |
Stg. CONFIDENTIEEL |
Dep. VERTROUWELIJK |
|
Austria |
Streng Geheim |
Geheim |
Vertraulich |
Eingeschränkt |
|
Polija |
Ściśle Tajne |
Tajne |
Poufne |
Zastrzeżone |
|
Portugāle |
Muito Secreto |
Secreto |
Confidencial |
Reservado |
|
Rumānija |
Strict secret de importanță deosebită |
Strict secret |
Secret |
Secret de serviciu |
|
Slovēnija |
STROGO TAJNO |
TAJNO |
ZAUPNO |
INTERNO |
|
Slovākija |
Prísne tajné |
Tajné |
Dôverné |
Vyhradené |
|
Somija |
ERITTÄIN SALAINEN YTTERST HEMLIG |
SALAINEN HEMLIG |
LUOTTAMUKSELLINEN KONFIDENTIELL |
KÄYTTÖ RAJOITETTU BEGRÄNSAD TILLGÅNG |
|
Zviedrija |
Kvaliciferat hemlig |
Hemlig |
Konfidentiell |
Begränsat hemlig |
(1) Diffusion Restreinte/Beperkte Verspreiding Beļģijā nav drošības klasifikācija. Beļģija ar “RESTREINT UE/EU RESTRICTED” informāciju rīkojas un to aizsargā tikpat stingri, kā noteikts Eiropas Savienības Padomes drošības noteikumu standartos un procedūrās.
(2) Vācijā: VS = Verschlusssache.
(3) Ar informāciju, ko Francija sagatavojusi pirms 2021. gada 1. jūlija un kas klasificēta kā “TRÈS SECRET DÉFENSE”, “SECRET DÉFENSE” un “CONFIDENTIEL DÉFENSE”, turpina rīkoties un to aizsargāt attiecīgi “TRÈS SECRET UE/EU TOP SECRET”, “SECRET UE/EU SECRET” un “CONFIDENTIEL UE/EU CONFIDENTIAL” līdzvērtīgā līmenī.
(4) Francija ar “CONFIDENTIEL UE/EU CONFIDENTIAL” informāciju rīkojas un to aizsargā atbilstīgi “SECRET” informācijas aizsardzībai paredzētiem Francijas drošības pasākumiem.
(5) Francija savā valsts sistēmā nelieto klasifikāciju “RESTREINT”. Francija ar “RESTREINT UE/EU RESTRICTED” informāciju rīkojas un aizsargā to tikpat stingri, kā noteikts Eiropas Savienības Padomes drošības noteikumu standartos un procedūrās.
(6) Malta var pārmaiņus izmantot marķējumu gan maltiešu, gan angļu valodā.