KOMISJA EUROPEJSKA
Bruksela, dnia 22.3.2022
COM(2022) 119 final
2022/0084(COD)
Wniosek
ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY
w sprawie bezpieczeństwa informacji w instytucjach, organach, urzędach i agencjach Unii
{SWD(2022) 65 final} - {SWD(2022) 66 final}
UZASADNIENIE
1.KONTEKST WNIOSKU
•Przyczyny i cele wniosku
Niniejszy wniosek jest częścią strategii UE w zakresie unii bezpieczeństwa 1 przyjętej przez Komisję w dniu 24 lipca 2020 r. i zawierającej zobowiązanie do wniesienia przez Unię Europejską wartości dodanej w krajowe dążenia w obszarze bezpieczeństwa. Jednym z elementów tego zaangażowania jest inicjatywa mająca na celu usprawnienie wewnętrznych ram prawnych dotyczących bezpieczeństwa informacji we wszystkich instytucjach i organach Unii.
Głównym elementem Programu strategicznego na lata 2019–2024, przyjętego przez Radę Europejską w czerwcu 2019 r., jest ochrona naszych społeczeństw przed stale zmieniającymi się zagrożeniami, na jakie narażone są informacje przetwarzane przez instytucje i organy. W swoich konkluzjach 2 Rada Europejska zwróciła się w szczególności do „instytucji UE, aby wraz z państwami członkowskimi pracowały nad środkami na rzecz zwiększenia odporności i poprawy kultury bezpieczeństwa UE w obliczu cyberzagrożeń i zagrożeń hybrydowych spoza UE, a także na rzecz skuteczniejszej ochrony unijnych sieci informacyjnych i komunikacyjnych oraz unijnych procesów decyzyjnych przed wszelkiego rodzaju złośliwymi działaniami”.
W podobnym duchu Rada do Spraw Ogólnych stwierdziła na posiedzeniu w grudniu 2019 r. 3 , że instytucje i organy UE powinny przy wsparciu ze strony państw członkowskich opracować i wdrożyć kompleksowy zestaw środków w celu zapewnienia własnego bezpieczeństwa. Jest to odzwierciedleniem podnoszonego od dawna przez Komitet ds. Bezpieczeństwa Rady wniosku o zbadanie wspólnego „rdzenia” przepisów bezpieczeństwa w odniesieniu do Rady, Komisji i Europejskiej Służby Działań Zewnętrznych 4 .
Obecnie instytucje i organy Unii albo dysponują własnymi przepisami dotyczącymi bezpieczeństwa informacji, opartymi na ich regulaminach lub aktach założycielskich, albo w ogóle takich przepisów nie stosują. Dotyczy to głównie niektórych małych podmiotów, w których nie obowiązuje formalna polityka bezpieczeństwa informacji.
Ze względu na stale rosnącą ilość szczególnie chronionych informacji jawnych i informacji niejawnych UE („EUCI”), które instytucje i organy Unii muszą udostępniać sobie nawzajem, oraz biorąc pod uwagę gwałtowny wzrost poziomu zagrożenia, administracja europejska jest narażona na ataki we wszystkich obszarach swojej działalności. Informacje przetwarzane przez nasze instytucje i organy są niezwykle atrakcyjne dla podmiotów stanowiących zagrożenie i muszą być odpowiednio chronione. Wymaga to szybkiego działania mającego na celu wzmocnienie ochrony informacji.
W związku z tym niniejsza inicjatywa, dążąc do zwiększenia ochrony informacji przetwarzanych przez administrację europejską, służy usprawnieniu poszczególnych ram prawnych instytucji i organów Unii w tym obszarze, poprzez:
•ustanowienie zharmonizowanych i kompleksowych kategorii informacji, a także wspólnych przepisów w zakresie przetwarzania dla wszystkich instytucji i organów Unii;
•utworzenie uproszczonego systemu współpracy w zakresie bezpieczeństwa informacji między instytucjami i organami Unii, który umożliwiłby propagowanie spójnej kultury bezpieczeństwa informacji w całej administracji europejskiej;
•aktualizację polityki bezpieczeństwa informacji na wszystkich poziomach klauzuli tajności/kategoryzacji, we wszystkich instytucjach i organach Unii, z uwzględnieniem transformacji cyfrowej i rozwoju telepracy jako praktyki stanowiącej stały element struktury.
•Spójność z przepisami obowiązującymi w tej dziedzinie polityki
Inicjatywa ta jest zgodna z wieloma strategiami UE w dziedzinie bezpieczeństwa ogólnego i bezpieczeństwa informacji.
W 2016 r. Parlament Europejski i Rada przyjęły dyrektywę 5 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii. Dyrektywa ta była pierwszym ogólnounijnym środkiem prawnym mającym na celu zwiększenie współpracy między państwami członkowskimi w zakresie cyberbezpieczeństwa. W grudniu 2020 r. Komisja przyjęła wniosek dotyczący przeglądu tego aktu, przewidując w nim środki nadzoru organów krajowych, jednak administracja Unii pozostaje poza jego zakresem.
Z tego samego względu, a także w celu uzupełnienia wysiłków podejmowanych przez państwa członkowskie w obszarze bezpieczeństwa, niezwykle istotne jest, aby dla zapewnienia bezpieczeństwa informacji instytucje i organy Unii osiągnęły wysoki poziom ochrony swoich informacji oraz powiązanych z nimi systemów teleinformatycznych.
W lipcu 2020 r. Komisja przyjęła strategię w zakresie unii bezpieczeństwa 6 , w ramach której UE podjęła kompleksowe zobowiązanie do uzupełnienia dążeń państw członkowskich we wszystkich dziedzinach bezpieczeństwa. Strategia ta jest realizowana w latach 2020–2025 i określa cztery główne filary działania: środowisko bezpieczeństwa, które wytrzyma próbę czasu, działanie w obliczu zmieniających się zagrożeń, ochronę Europejczyków przed terroryzmem i przestępczością zorganizowaną oraz silny europejski ekosystem bezpieczeństwa. Niektóre z kwestii uwzględnionych w tych filarach koncentrują się na bezpieczeństwie informacji, cyberbezpieczeństwie, współpracy i wymianie informacji oraz infrastrukturze krytycznej.
Zgodnie ze strategią w zakresie unii bezpieczeństwa Komisja Europejska proponuje utworzenie wspólnego minimalnego zbioru przepisów dotyczących bezpieczeństwa informacji we wszystkich instytucjach i organach Unii, co spowoduje wprowadzenie bezwzględnie obowiązujących, wysokich wspólnych standardów w zakresie bezpiecznej wymiany informacji. Inicjatywa ta jest wyrazem zaangażowania instytucji i organów na rzecz ustanowienia w administracji europejskiej takiego samego poziomu ambicji w obszarze bezpieczeństwa, jaki wymagany jest od państw członkowskich.
W dniu 16 grudnia 2020 r. Komisja i Wysoki Przedstawiciel Unii do Spraw Zagranicznych i Polityki Bezpieczeństwa przedstawili nową unijną strategię cyberbezpieczeństwa 7 . Określa ona priorytety i najważniejsze działania mające na celu zwiększenie odporności Europy, jej autonomii, przywództwa i zdolności operacyjnych w obliczu nasilających się i złożonych zagrożeń dla jej systemów sieciowych i informatycznych, a także wspieranie globalnej i otwartej cyberprzestrzeni oraz związanych z nią partnerstw międzynarodowych. Równie istotne jest, aby do realizowania tych priorytetów, przyczyniły się instytucje i organy Unii, ustanawiając równoważne wymogi zarówno w obszarze bezpieczeństwa informacji, jak i cyberbezpieczeństwa.
Niniejszy wniosek wraz z wnioskiem dotyczącym rozporządzenia ustanawiającego środki na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w instytucjach, organach, urzędach i agencjach Unii mają na celu uzupełnienie regulacyjnych ram strategii w zakresie unii bezpieczeństwa o specjalne wymogi wobec administracji europejskiej. Mając na uwadze wzajemne powiązania między bezpieczeństwem informacji a cyberbezpieczeństwem, należy zapewnić spójne podejście do ochrony informacji jawnych w obu wspomnianych wnioskach.
•Spójność z innymi politykami Unii
W niniejszej inicjatywie uwzględniono również inne polityki Unii, które są istotne dla bezpieczeństwa informacji.
W obszarze ochrony danych obowiązuje rozporządzenie (UE) 2018/1725 8 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych, które ma zastosowanie do administracji Unii Europejskiej i Europejskiej Wspólnoty Energii Atomowej („Euratom”). Jednocześnie należy wspomnieć, że w przypadku niektórych instytucji i organów Unii prawodawcy Unii przyjęli odpowiednie szczegółowe przepisy dotyczące ochrony danych osobowych.
Jeżeli chodzi o przejrzystość, niniejszy wniosek opiera się na zasadach zapisanych w rozporządzeniu (WE) nr 1049/2001 9 w sprawie publicznego dostępu do dokumentów Parlamentu Europejskiego, Rady i Komisji, a także na innych odpowiednich przepisach.
2.PODSTAWA PRAWNA, POMOCNICZOŚĆ I PROPORCJONALNOŚĆ
•Podstawa prawna
Biorąc pod uwagę cel i treść niniejszego wniosku, jego najwłaściwszą podstawą prawną jest art. 298 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE) oraz art. 106a Traktatu ustanawiającego Europejską Wspólnotę Energii Atomowej.
Art. 298 TFUE został wprowadzony Traktatem z Lizbony i umożliwia prawodawcom ustanawianie przepisów mających na celu stworzenie efektywnej i niezależnej administracji, która będzie wspierać instytucje, organy i jednostki organizacyjne w wykonywaniu ich zadań.
Podstawą efektywnej i niezależnej administracji jest bezpieczeństwo jej informacji. Dążąc do realizacji swojej misji, instytucje i organy Unii korzystają z bezpiecznego środowiska informacji, które są przez nie każdego dnia przetwarzane oraz przechowywane. Ponadto zapewnienie wspólnego podstawowego zestawu standardów bezwzględnie obowiązujących wszystkich zagwarantowałoby wysoki poziom bezpieczeństwa, zmniejszyłoby ryzyko wystąpienia słabych punktów we wspieraniu interoperacyjności między instytucjami i organami oraz pozwoliłoby na wykorzystanie synergii, zwiększając tym samym odporność administracji na zmieniające się zagrożenia.
Co więcej, mając na uwadze ogólny cel, jakim jest osiągnięcie wysokiego wspólnego poziomu bezpieczeństwa EUCI i informacji jawnych przetwarzanych i przechowywanych przez instytucje i organy Unii, niniejszy wniosek umożliwia administracji europejskiej lepszą ochronę przed ingerencją z zewnątrz i działalnością szpiegowską.
Art. 298 TFUE umożliwia Unii ustanowienie wspólnych przepisów obowiązujących całą administrację europejską z myślą o zapewnieniu, aby wszystkie instytucje i organy Unii w podobny sposób postępowały z EUCI i informacjami jawnymi. W związku z tym w niniejszym rozporządzeniu określono przepisy mające zastosowanie do administracji. Pośrednio może ono nałożyć obowiązki wyłącznie na jednostki wykonujące zadania w imieniu tej administracji lub na podstawie umowy (z wyłączeniem komisarzy, przedstawicieli państw członkowskich działających w ramach Rady, posłów do Parlamentu Europejskiego, sędziów sądów Unii lub członków Europejskiego Trybunału Obrachunkowego).
Zgodnie z art. 298 TFUE Parlament Europejski i Rada stanowią w drodze rozporządzenia i zgodnie ze zwykłą procedurą ustawodawczą.
Niniejszy wniosek wymaga zastosowania dodatkowej podstawy prawnej, ponieważ obejmuje również informacje związane z niektórymi działaniami Europejskiej Wspólnoty Energii Atomowej. Informacje te nie są informacjami niejawnymi Euratomu, ale są traktowane przez instytucje i organy Unii zgodnie z ogólnym systemem EUCI.
Wspomnianą dodatkową podstawą prawną jest art. 106a Traktatu ustanawiającego Europejską Wspólnotę Energii Atomowej, dzięki któremu art. 298 TFUE ma zastosowanie również do wyżej wspomnianych działań Euratomu.
•Pomocniczość (w przypadku kompetencji niewyłącznych)
Zgodnie z zasadą pomocniczości, określoną w art. 5 ust. 3 Traktatu o Unii Europejskiej, UE powinna podejmować działania tylko wówczas, gdy cele zamierzonego działania nie mogą zostać osiągnięte w sposób wystarczający przez państwa członkowskie i jeśli ze względu na rozmiary lub skutki proponowanego działania możliwe jest lepsze ich osiągnięcie na poziomie Unii.
Ponieważ jedynie Unia może przyjąć przepisy regulujące EUCI i szczególnie chronione informacje jawne przetwarzane i przechowywane przez instytucje i organy Unii, zasada pomocniczości nie ma zastosowania.
•Proporcjonalność
Ustanowienie wspólnego podstawowego poziomu bezpieczeństwa informacji we wszystkich instytucjach i organach Unii jest niezbędne dla zwiększenia niezależności i efektywności administracji.
Zgodnie z zasadą proporcjonalności przewidzianą w art. 5 ust. 4 TUE przepisy rozporządzenia nie mają nadmiernie nakazowego charakteru i pozostawiają miejsce na konkretne działania na różnych poziomach zgodnie z poziomem dojrzałości wszystkich instytucji i organów Unii w zakresie bezpieczeństwa.
Ponadto rozwiązanie to ma ograniczony wpływ na prawa podstawowe jednostek. W związku z tym wniosek nie wykracza poza to, co jest konieczne do rozwiązania problemu, jakim jest brak wspólnego zestawu przepisów dotyczących bezpieczeństwa informacji obowiązujących wszystkie instytucje i organy Unii.
•Wybór instrumentu
Za właściwy instrument prawny uznaje się rozporządzenie na podstawie art. 298 TFUE.
Jest to uzasadnione przewagą elementów wymagających jednolitego stosowania, które nie pozostawia instytucjom i organom Unii marginesu wdrożenia i tworzy minimalne ramy horyzontalne.
3.WYNIKI OCEN EX POST, KONSULTACJI Z ZAINTERESOWANYMI STRONAMI I OCEN SKUTKÓW
•Oceny ex post/oceny adekwatności obowiązującego prawodawstwa
Nie dotyczy
•Konsultacje z zainteresowanymi stronami
Komisja przeprowadziła szerokie konsultacje z głównymi zainteresowanymi stronami na temat różnych aspektów związanych z przepisami dotyczącymi bezpieczeństwa informacji obowiązującymi w instytucjach i organach Unii. Ogólnym celem działań konsultacyjnych było uzyskanie stosownych uwag na potrzeby przygotowania inicjatywy ustawodawczej w sprawie przepisów dotyczących bezpieczeństwa informacji wspólnych dla wszystkich instytucji i organów Unii. Konsultacje miały na celu uzyskanie uwag na temat:
•problemów związanych z obowiązującymi ramami bezpieczeństwa informacji w instytucjach i organach Unii, dla których – zdaniem zainteresowanych stron – inicjatywa powinna znaleźć rozwiązanie;
•znaczenia, skuteczności, efektywności i wartości dodanej inicjatywy;
•przewidywanych skutków inicjatywy i potencjalnych innych konsekwencji dla zainteresowanych stron.
Przygotowując niniejszy wniosek ustawodawczy, Komisja przeprowadziła konsultacje z następującymi kategoriami zainteresowanych stron:
1.instytucjami, organami, urzędami i agencjami Unii;
2.krajowymi władzami bezpieczeństwa z państw członkowskich;
3.specjalistami analitykami z JRC.
Ze względu na szczególny charakter niniejszej inicjatywy, która ma zastosowanie wyłącznie do instytucji i organów Unii, a jej wpływ na obywateli i przedsiębiorstwa Unii jest niewielki, służby Komisji postanowiły priorytetowo potraktować gromadzenie opinii od właściwych grup zainteresowanych stron. W związku z tym nie przeprowadzono konsultacji publicznych poświęconych konkretnie niniejszej inicjatywie ustawodawczej.
W trakcie całego procesu konsultacji służby Komisji korzystały z następujących metod i form konsultacji:
1.możliwości przekazania przez wszystkie zainteresowane strony informacji zwrotnych na temat wstępnej oceny skutków za pośrednictwem platformy Komisji „Wyraź swoją opinię”;
2.ukierunkowanego kwestionariusza skierowanego do ekspertów ds. bezpieczeństwa informacji z instytucji i organów Unii za pośrednictwem internetowego narzędzia „EU Survey”;
3.ukierunkowanego kwestionariusza skierowanego do krajowych władz bezpieczeństwa państw członkowskich za pośrednictwem internetowego narzędzia „EU Survey”;
4.wniosku o przeprowadzenie dostosowanej oceny ryzyka w odniesieniu do podstawowych zasobów związanych z bezpieczeństwem informacji oraz
5.szeregu spotkań i wymian poglądów z partnerami reprezentującymi instytucje, organy, urzędy i agencje, a także z krajowymi władzami bezpieczeństwa państw członkowskich.
Jako najważniejsze uwagi uzyskane w czasie konsultacji Komisja podkreśla następujące kwestie:
•rozproszenie odpowiednich ram prawnych między naszymi instytucjami i organami prowadzi do znacznego powielania starań na rzecz ustanowienia i utrzymania w mocy przepisów wewnętrznych, a także do braku interoperacyjności praktyk w zakresie przetwarzania informacji. W przypadku państw członkowskich zróżnicowanie tych przepisów zwiększa ryzyko ich niezrozumienia, stosowania ich błędnej wykładni i nieprzestrzegania;
•ustanowienie podstawowego poziomu bezpieczeństwa informacji we wszystkich instytucjach i organach Unii umożliwiłoby stworzenie ekosystemu, w którym obowiązywałyby ujednolicone przepisy bezpieczeństwa i wdrożone zostałyby najlepsze praktyki, należy jednak wziąć pod uwagę różnorodność i poszczególne otoczenia biznesowe wszystkich instytucji i organów Unii oraz zezwolić na rozwiązania na szczeblu lokalnym;
•w ramach niniejszej inicjatywy należy uszanować autonomię i poszczególne poziomy dojrzałości wszystkich instytucji i organów Unii w zakresie bezpieczeństwa, które pozostaną w pełni odpowiedzialne za organizację bezpieczeństwa informacji w swoich strukturach.
•Gromadzenie i wykorzystanie wiedzy eksperckiej
Do przeprowadzenia konsultacji z zainteresowanymi stronami Komisja wykorzystała własne zasoby. Prace związane z ankietami, wideokonferencjami i innymi warsztatami wykonała Dyrekcja ds. Bezpieczeństwa Dyrekcji Generalnej ds. Zasobów Ludzkich i Bezpieczeństwa. Zadanie to polegało zarówno na wyborze uczestników, jak i na organizacji wydarzeń oraz przetwarzaniu otrzymanych uwag.
Ocenę ryzyka w odniesieniu do głównych zasobów związanych z bezpieczeństwem informacji, która posłużyła za podstawę oceny skutków, przeprowadziło Wspólne Centrum Badawcze (JRC).
•Ocena skutków
Niniejsza inicjatywa jest skierowana wyłącznie do instytucji i organów Unii i ma ograniczony wpływ na państwa członkowskie i jednostki. W związku z tym przeprowadzenie całościowej oceny skutków nie było konieczne, ponieważ nie stwierdzono wyraźnych ani znaczących skutków dla obywateli i przedsiębiorstw. W portalu Europa opublikowano kompleksowy plan działania, w ramach którego uzyskano informacje zwrotne od odpowiednich zainteresowanych stron.
•Sprawność regulacyjna i uproszczenie
Nie dotyczy
•Prawa podstawowe
UE jest zobowiązana do zapewnienia wysokich standardów ochrony praw podstawowych. Niniejsza inicjatywa gwarantuje pełne przestrzeganie następujących praw podstawowych zapisanych w Karcie praw podstawowych Unii Europejskiej 10 :
•Prawo do dobrej administracji 11
Zwiększając bezpieczeństwo informacji podczas zajmowania się sprawami obywateli Unii, instytucje i organy Unii przyczyniają się do realizacji zasady dobrej administracji.
•Ochrona danych osobowych 12
Wszelkie przetwarzanie danych osobowych w ramach niniejszego wniosku odbywałoby się w zaufanym otoczeniu i z pełnym poszanowaniem rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725.
•Prawo dostępu do dokumentów 13
Publiczny dostęp do EUCI i szczególnie chronionych dokumentów jawnych jest nadal w pełni uregulowany rozporządzeniem (WE) nr 1049/2001 Parlamentu Europejskiego i Rady.
•Prawo własności intelektualnej 14
Przetwarzając i przechowując informacje jawne i EUCI, instytucje i organy Unii chronią własność intelektualną zgodnie z dyrektywą 2001/29/WE Parlamentu Europejskiego i Rady 15 .
•Wolność wypowiedzi i informacji 16
Każdy ma prawo do wolności otrzymywania i wymiany informacji i poglądów bez ingerencji władz publicznych, nie może to jednak uniemożliwiać Unii ustanawiania warunków dostępu do niektórych rodzajów informacji, ich przetwarzania i przechowywania, w zależności od poziomu ich poufności.
Korzystanie z tych wolności może podlegać warunkom i ograniczeniom przewidzianym w prawie i niezbędnym w społeczeństwie demokratycznym, co pozwala zapobiec ujawnianiu informacji poufnych oraz leży w interesie bezpieczeństwa UE.
4.WPŁYW NA BUDŻET
Niniejszy wniosek wiąże się z koniecznością przydzielenia jednego urzędnika w grupie funkcyjnej AD i jednego asystenta w grupie funkcyjnej AST do stałego sekretariatu grupy koordynacyjnej prowadzonego przez Komisję w Dyrekcji ds. Bezpieczeństwa Dyrekcji Generalnej ds. Zasobów Ludzkich i Bezpieczeństwa.
W przypadku instytucji i organów przewiduje się oszczędności kosztów ze względu na wspólne zadania i współpracę, a także dzięki zwiększeniu bezpieczeństwa informacji, a tym samym zapobieganiu potencjalnym szkodom ekonomicznym wynikającym z incydentów związanych z bezpieczeństwem informacji. Z drugiej strony nakłady finansowe niezbędne do wdrożenia nowych przepisów mogą zostać pokryte w ramach programów zwiększania bezpieczeństwa informacji realizowanych w poszczególnych instytucjach i organach Unii.
5.ELEMENTY FAKULTATYWNE
•Plany wdrożenia i monitorowanie, ocena i sprawozdania
Wniosek przewiduje zobowiązanie Komisji do składania co 3 lata Parlamentowi Europejskiemu i Radzie sprawozdania z wdrożenia niniejszego rozporządzenia, w tym z funkcjonowania systemu zarządzania ustanowionego na mocy niniejszego rozporządzenia.
Ponadto co 5 lat Komisja przeprowadza ocenę niniejszego rozporządzenia w celu określenia jego faktycznego wykonania i ustalenia na tej podstawie, czy konieczne jest wprowadzenie jakichkolwiek zmian w prawodawstwie.
•Szczegółowe objaśnienia poszczególnych przepisów wniosku
Niniejszy wniosek jest skonstruowany wokół wymogów w zakresie przetwarzania i przechowywania informacji jawnych i EUCI, które są głównym przedmiotem inicjatywy i których lepsza ochrona jest jej podstawowym celem.
Przedmiot i zakres (art. 1 i art. 2)
Niniejsze rozporządzenie ma na celu ustanowienie minimalnego zestawu przepisów dotyczących bezpieczeństwa informacji obowiązujących wszystkie instytucje i organy Unii.
Ma ono zastosowanie do wszystkich informacji przetwarzanych i przechowywanych przez instytucje i organy Unii, w tym informacji związanych z działalnością Europejskiej Wspólnoty Energii Atomowej innych niż informacje niejawne Euratomu. Zakres niniejszego rozporządzenia obejmuje zarówno informacje jawne, jak i EUCI.
Definicje i zasady ogólne (art. 3–5)
Definicje podane w art. 3 są oparte na obowiązujących przepisach dotyczących bezpieczeństwa informacji przyjętych osobno przez instytucje i organy Unii.
Oprócz ogólnych zasad odnoszących się do przepisów Unii – przejrzystości, proporcjonalności, efektywności i rozliczalności – niniejsze rozporządzenie przewiduje główne wiążące wytyczne, takie jak oddzielny proces zarządzania ryzykiem związanym z bezpieczeństwem informacji przeprowadzany przez wszystkie instytucje i organy Unii oraz ocena ich informacji w celu nadania im odpowiedniej kategorii.
Zarządzanie i organizacja bezpieczeństwa (art. 6–8)
Wszystkie instytucje i organy Unii współpracują w ramach międzyinstytucjonalnej grupy koordynacyjnej ds. bezpieczeństwa informacji, która działa na zasadzie konsensusu i we wspólnym interesie instytucji i organów Unii.
W skład grupy koordynacyjnej wchodzą organy ds. bezpieczeństwa wszystkich instytucji i organów; grupa ta opracowuje wytyczne dotyczące wdrażania niniejszego rozporządzenia. Utrzymuje ponadto regularne kontakty z krajowymi władzami bezpieczeństwa państw członkowskich należącymi do Komitetu ds. Bezpieczeństwa Informacji.
W celu usprawnienia procedur ze względu na inne praktyczne aspekty związane z bezpieczeństwem informacji zostanie powołanych pięć podgrup, w skład których wejdą eksperci reprezentujący różne instytucje i organy.
Każda instytucja i każdy organ Unii ma obowiązek wyznaczyć organ ds. bezpieczeństwa, który jest odpowiedzialny za określenie wewnętrznej polityki w zakresie bezpieczeństwa informacji oraz za jej realizację. Organ ds. bezpieczeństwa ustanawia określone funkcje, takie jak organ ds. zabezpieczania informacji, operacyjny organ ds. zabezpieczania informacji, organ ds. akredytacji bezpieczeństwa, organ ds. TEMPEST, organ ds. zatwierdzania produktów kryptograficznych i organ ds. dystrybucji produktów kryptograficznych, które mogą być delegowane do innej instytucji lub organu ze względów związanych z efektywnością lub zasobami.
Zabezpieczanie informacji oraz systemy teleinformatyczne (art. 9–11)
W rozporządzeniu ustanawia się podgrupę ds. zabezpieczania informacji, której zadaniem jest zwiększenie – we wszystkich instytucjach i organach Unii – spójności między przepisami dotyczącymi bezpieczeństwa informacji a podstawowym poziomem cyberbezpieczeństwa przewidzianym w rozporządzeniu ustanawiającym środki na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w instytucjach, organach, urzędach i agencjach Unii.
Instytucje i organy Unii są zobowiązane do przestrzegania zasad wymienionych w tych artykułach oraz do przyjmowania odrębnych przepisów wewnętrznych dotyczących szczególnych środków bezpieczeństwa dostosowanych do ich własnego środowiska bezpieczeństwa.
Informacje jawne (art. 12–17 i załącznik I)
Rozporządzenie przewiduje 3 kategorie informacji jawnych: informacje do użytku publicznego, informacje zwykłe i szczególnie chronione informacje jawne. Wszystkie kategorie zostały zdefiniowane, określono ponadto oznaczenia i warunki przetwarzania w celu ochrony takich informacji.
Z myślą o koordynacji prac nad odpowiednikami konkretnych kategorii ustanowionych przez niektóre instytucje i organy Unii oraz wspólnych kategorii określonych w rozporządzeniu, we wniosku przewidziano utworzenie podgrupy ds. informacji jawnych.
EUCI (art. 18–58 i załączniki II–VI)
Ponieważ rozdział ten jest najobszerniejszym rozdziałem wniosku, podzielono go na siedem następujących części: przepisy ogólne, bezpieczeństwo osobowe, bezpieczeństwo fizyczne, zarządzanie EUCI, ochrona w systemach teleinformatycznych, bezpieczeństwo przemysłowe oraz udostępnianie EUCI i wymiana informacji niejawnych.
W części dotyczącej przepisów ogólnych określono cztery poziomy klauzuli tajności EUCI: TRES SECRET UE/EU TOP SECRET, SECRET UE/EU SECRET, CONFIDENTIEL UE/EU CONFIDENTIAL, RESTREINT UE/EU RESTRICTED i przewidziano obowiązek stosowania przez instytucje i organy Unii niezbędnych środków bezpieczeństwa zgodnie z wynikami procesu zarządzania ryzykiem związanym z bezpieczeństwem informacji.
W każdej z pozostałych części skoncentrowano się na standardach ochrony EUCI odnoszących się do konkretnego obszaru. Szczegółowe informacje na temat ochrony EUCI znajdują się w załącznikach II–V. W załączniku VI zamieszczono tabelę odpowiedników EUCI wraz z klauzulami tajności państw członkowskich i Europejskiej Wspólnoty Energii Atomowej.
Aby usprawnić odnośne procesy w tym obszarze i uniknąć powielania starań, w rozporządzeniu ustanowiono podgrupy ds. zabezpieczania informacji, ds. informacji jawnych, ds. bezpieczeństwa fizycznego, ds. akredytacji systemów teleinformatycznych, w których przetwarza się i przechowuje EUCI, oraz ds. udostępniania EUCI i wymiany informacji niejawnych.
Przepisy końcowe (art. 59–62)
Przepisy końcowe zapewniają przejście z obecnie obowiązujących przepisów i procedur do nowych ram prawnych ustanowionych niniejszym rozporządzeniem. Dotyczą one wewnętrznych przepisów dotyczących bezpieczeństwa informacji, które mają obecnie zastosowanie w instytucjach i organach Unii, uznawania wizyt oceniających prowadzonych przed rozpoczęciem stosowania rozporządzenia, podejścia do zawartych wcześniej porozumień administracyjnych i kontynuacji szczególnych uregulowań w zakresie bezpieczeństwa stosowanych w przypadku umów o udzielenie dotacji.
Niniejsze rozporządzenie ma być stosowane po dwóch latach od jego dnia wejścia w życie.
2022/0084 (COD)
Wniosek
ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY
w sprawie bezpieczeństwa informacji w instytucjach, organach, urzędach i agencjach Unii
PARLAMENT EUROPEJSKI I RADA UNII EUROPEJSKIEJ,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 298,
uwzględniając Traktat ustanawiający Europejską Wspólnotę Energii Atomowej, w szczególności jego art. 106a,
uwzględniając wniosek Komisji Europejskiej,
po przekazaniu projektu aktu ustawodawczego parlamentom narodowym,
stanowiąc zgodnie ze zwykłą procedurą ustawodawczą,
a także mając na uwadze, co następuje:
(1)Instytucje i organy Unii dysponują obecnie własnymi przepisami dotyczącymi bezpieczeństwa informacji, opartymi na ich regulaminach lub aktach założycielskich, lub w ogóle takich przepisów nie stosują. W tym kontekście każda instytucja i każdy organ Unii wkłada wiele starań w przyjmowanie różnych strategii, co prowadzi do sytuacji, w której wymiana informacji jest nie zawsze wiarygodna. Brak wspólnego podejścia utrudnia wdrażanie wspólnych narzędzi opartych na uzgodnionym zestawie przepisów w zależności od potrzeb w zakresie bezpieczeństwa informacji, które należy objąć ochroną.
(2)Poczyniono pewne postępy w kontekście większej spójności przepisów dotyczących ochrony informacji niejawnych UE („EUCI”) i informacji jawnych, jednak nadal ograniczona jest interoperacyjność odpowiednich systemów, co uniemożliwia płynne przekazywanie informacji między poszczególnymi instytucjami i organami Unii. Należy zatem podjąć dalsze starania w celu umożliwienia zastosowania międzyinstytucjonalnego podejścia do udostępniania EUCI i szczególnie chronionych informacji jawnych, które przewidywałoby wspólne kategorie informacji i wspólne podstawowe zasady ich przetwarzania. Należy również przewidzieć podstawowe zasady prowadzące do uproszczenia procedur wzajemnego udostępniania EUCI i szczególnie chronionych informacji jawnych przez instytucje i organy Unii oraz państwa członkowskie.
(3)W związku z tym należy określić właściwe przepisy zapewniające wspólny poziom bezpieczeństwa informacji we wszystkich instytucjach i organach Unii. Powinny stanowić one kompleksowe i spójne ramy ogólne służące ochronie EUCI i informacji jawnych oraz zapewniać równoważność podstawowych zasad i minimalnych standardów.
(4)Niedawna pandemia spowodowała istotne zmiany w metodach pracy, przy czym regułą stało się korzystanie z narzędzi służących zdalnej komunikacji. W związku z tym wiele procedur opierających się, przynajmniej częściowo, na dokumentach papierowych przystosowano szybko w taki sposób, aby umożliwić elektroniczne przetwarzanie i elektroniczną wymianę informacji. Taki rozwój sytuacji wymaga zmian w przetwarzaniu i ochronie informacji. W niniejszym rozporządzeniu uwzględniono nowe metody pracy.
(5)Niniejsze rozporządzenie wprowadza minimalny wspólny poziom ochrony EUCI i informacji jawnych, a tym samym przyczynia się do zapewnienia, aby instytucje i organy Unii, realizując swoją misję, korzystały ze wsparcia efektywnej i niezależnej administracji. Jednocześnie każda instytucja i każdy organ Unii zachowuje autonomię w ustalaniu sposobu wdrożenia przepisów określonych w niniejszym rozporządzeniu, zgodnie ze swoimi potrzebami w zakresie ochrony. Niniejsze rozporządzenie w żadnym wypadku nie uniemożliwia instytucjom i organom Unii wypełniania swoich zadań powierzonych na podstawie prawa UE ani nie ingeruje w ich autonomię instytucjonalną.
(6)Niniejsze rozporządzenie pozostaje bez uszczerbku dla rozporządzenia (Euratom) nr 3/1958 17 , rozporządzenia nr 31 (EWG), 11 (EWEA), ustanawiającego regulamin pracowniczy urzędników i warunki zatrudnienia innych pracowników Europejskiej Wspólnoty Gospodarczej i Europejskiej Wspólnoty Energii Atomowej 18 , rozporządzenia (WE) nr 1049/2001 Parlamentu Europejskiego i Rady 19 , rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 20 , rozporządzenia Rady (EWG, Euratom) nr 354/83 21 , rozporządzenia Parlamentu Europejskiego i Rady (UE, Euratom) 2018/1046 22 , rozporządzenia Parlamentu Europejskiego i Rady (UE) 2021/697 23 , rozporządzenia Parlamentu Europejskiego i Rady (UE) [...] 24 ustanawiającego środki na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w instytucjach, organach, urzędach i agencjach Unii – oczekuje na przyjęcie.
(7)Mając na uwadze zachowanie szczególnego charakteru działań Europejskiej Wspólnoty Energii Atomowej uregulowanych rozporządzeniem Rady Europejskiej Wspólnoty Energii Atomowej nr 3/1958 25 , niniejszego rozporządzenia nie należy stosować do informacji niejawnych Euratomu. Zakresem stosowania niniejszego rozporządzenia powinny jednak zostać objęte wszystkie informacje związane z innymi działaniami Euratomu niewchodzącymi w zakres stosowania rozporządzenia nr 3/1958.
(8)Mając na celu ustanowienie formalnej struktury współpracy między instytucjami i organami Unii w dziedzinie bezpieczeństwa informacji, należy utworzyć grupę ds. koordynacji międzyinstytucjonalnej („grupę koordynacyjną”), w której reprezentowane będą wszystkie organy ds. bezpieczeństwa instytucji i organów Unii. Grupa koordynacyjna nie posiada uprawnień decyzyjnych, powinna natomiast przyczyniać się do zwiększania spójności polityki w dziedzinie bezpieczeństwa informacji i do ujednolicania procedur i narzędzi służących bezpieczeństwu informacji we wszystkich instytucjach i organach Unii.
(9)Praca grupy koordynacyjnej wymaga wsparcia ekspertów z różnych obszarów bezpieczeństwa informacji: kategoryzacji i oznaczania, systemów teleinformatycznych, akredytacji, bezpieczeństwa fizycznego oraz udostępniania EUCI i wymiany informacji niejawnych. Aby zapobiec powielaniu starań podejmowanych w poszczególnych instytucjach i organach Unii, należy utworzyć podgrupy tematyczne. Ponadto w razie potrzeby grupa koordynacyjna powinna móc utworzyć inne podgrupy, którym powierzy szczególne zadania.
(10)Grupa koordynacyjna powinna ściśle współpracować z krajowymi władzami bezpieczeństwa państw członkowskich, aby poprawić bezpieczeństwo informacji w Unii. Należy zatem ustanowić Komitet ds. Bezpieczeństwa Informacji państw członkowskich, który zapewni grupie koordynacyjnej doradztwo.
(11)Ustanawianie wspólnych organów reprezentujących wszystkie instytucje i organy Unii odbywa się w oparciu o zasadę współpracy, jednak każda instytucja i każdy organ powinny zachować pełną odpowiedzialność za bezpieczeństwo informacji w obrębie swojej organizacji. Każda instytucja i każdy organ Unii powinny posiadać swój organ ds. bezpieczeństwa i, w stosownych przypadkach, inne organy, na których spoczywają szczególne obowiązki związane z bezpieczeństwem informacji.
(12)Centralny element polityki, jaką każda instytucja i każdy organ Unii ma opracować w tej dziedzinie, powinna stanowić zasada zarządzania ryzykiem związanym z bezpieczeństwem informacji. Minimalne wymogi określone w niniejszym rozporządzeniu muszą być przestrzegane, zaś każda instytucja i każdy organ Unii powinny przyjąć specjalne środki ochrony informacji zgodnie z wynikami wewnętrznej oceny ryzyka. Podobnie, środki techniczne służące ochronie informacji powinny zostać dostosowane do konkretnej sytuacji danej instytucji i danego organu.
(13)Biorąc pod uwagę różnorodność kategorii informacji jawnych, które instytucje i organy Unii opracowały na podstawie swoich własnych przepisów w zakresie bezpieczeństwa informacji, oraz aby uniknąć opóźnień we wdrażaniu niniejszego rozporządzenia, instytucje lub organy Unii powinny mieć możliwość zachowania własnego systemu oznaczania do celów wewnętrznych lub na potrzeby wymiany informacji ze swoimi konkretnymi odpowiednikami z innych instytucji i organów lub z państw członkowskich.
(14)W celu dostosowania nowych praktyk związanych z telepracą należy wdrożyć odpowiednie środki bezpieczeństwa, aby chronić sieci wykorzystywane do łączenia się z usługami dostępu zdalnego instytucji lub organu Unii.
(15)Ponieważ instytucje i organy Unii często korzystają z usług wykonawców i z outsourcingu, istotne jest ustanowienie wspólnych przepisów dotyczących personelu wykonawców realizującego zadania związane z bezpieczeństwem informacji.
(16)Przepisy prawa materialnego dotyczące dostępu do EUCI ujęte w przepisach wewnętrznych różnych instytucji i organów Unii są obecnie dostosowane, istnieją jednak znaczne różnice dotyczące nazewnictwa i wymaganych procedur. Taki stan rzeczy powoduje obciążenie dla krajowych władz bezpieczeństwa państw członkowskich, które muszą dostosować się do różnych wymogów. Konieczne jest zatem przygotowanie wspólnego glosariusza i wspólnych procedur w obszarze bezpieczeństwa osobowego, co ułatwi współpracę z krajowymi władzami bezpieczeństwa państw członkowskich i ograniczy ryzyko naruszenia bezpieczeństwa EUCI.
(17)Biorąc pod uwagę zróżnicowanie zasobów wśród instytucji i organów Unii oraz mając na celu usprawnienie ich odpowiednich procedur i praktyk, zadania związane z poświadczaniem bezpieczeństwa mogą zostać powierzone Komisji, co pozwoli zapewnić kontynuację wieloletniej praktyki w dziedzinie poświadczania bezpieczeństwa i przyczyni się do centralizacji zadań przypisanych poszczególnym organom ds. bezpieczeństwa.
(18)Ochronę EUCI zapewnia się również za pomocą środków technicznych i organizacyjnych stosowanych w pomieszczeniach instytucji i organów Unii, w ich budynkach, salach, biurach lub obiektach, na terenie których EUCI są omawiane, przetwarzane i przechowywane. W niniejszym rozporządzeniu przewidziano wdrożenie procesu zarządzania bezpieczeństwem informacji w obszarze bezpieczeństwa fizycznego, co umożliwiłoby instytucjom i organom Unii wybór odpowiednich środków bezpieczeństwa na ich terenie.
(19)Wszystkie instytucje i organy Unii przetwarzające i przechowujące EUCI powinny utworzyć na swoim terenie strefy chronione fizycznie, aby zapewnić jednolity poziom ochrony w odniesieniu do stosownych poziomów klauzuli tajności EUCI, które są na ich terenie przetwarzane i przechowywane. Strefy te należy określić strefami administracyjnymi i strefami bezpieczeństwa; powinny one spełniać minimalne wspólne standardy ochrony EUCI.
(20)Istotną zasadę zarządzania EUCI stanowi zasada kontroli wytwórcy, należy ją zatem jasno określić i opracować. W tym względzie wytworzenie EUCI wiąże się z powierzeniem twórcy odpowiedzialności, która powinna obowiązywać przez cały cykl życia danego dokumentu zawierającego EUCI.
(21)W przeszłości instytucje i organy Unii opracowywały swoje systemy teleinformatyczne niezależnie, nie poświęcając wystarczającej uwagi ich interoperacyjności wśród wszystkich instytucji i organów Unii. Konieczne jest zatem ustanowienie minimalnych wymogów w zakresie bezpieczeństwa dotyczących systemów teleinformatycznych (CIS) przetwarzających i przechowujących zarówno EUCI, jak i informacje jawne. Pozwoli to zagwarantować płynną wymianę informacji z odpowiednimi zainteresowanymi stronami.
(22)Dążąc do osiągnięcia jednolitego standardu akredytacji CIS przetwarzających i przechowujących EUCI, instytucje i organy Unii powinny współpracować w ramach utworzonej w tym celu grupy. Zaleca się, aby wszystkie instytucje i organy Unii stosowały ten standard, aby wspólnie przyczynić się do osiągnięcia ogólnego poziomu ochrony EUCI. Decyzje dotyczące autonomii organizacyjnej pozostają jednak w gestii właściwego organu każdej instytucji lub każdego organu.
(23)Udzielając zamówienia w ramach umowy niejawnej lub umowy o udzielenie dotacji i realizując takie umowy, wszystkie instytucje i organy Unii powinny działać zgodnie z tymi samymi procedurami i stosować te same środki. Konieczne jest zatem jasne określenie zarówno obowiązkowych, jak i fakultatywnych elementów umów niejawnych i umów o udzielenie dotacji. Środki służące ochronie EUCI w związku z umowami niejawnymi i umowami o udzielenie dotacji powinny jednak uwzględniać przepisy, które instytucje i organy Unii opracowały już odrębnie w tym obszarze wraz z państwami członkowskimi.
(24)Ścisła współpraca między instytucjami i organami Unii, jak również mnogość wypracowanych przez nie synergii wymaga udostępniania dużych ilości informacji. Dla dobra bezpieczeństwa informacji niejawnych wiarygodność instytucji lub organu Unii powinna zostać oceniona, zanim taka instytucja lub taki organ będzie przetwarzać i przechowywać EUCI o określonym poziomie klauzuli tajności.
(25)Ponadto również udostępnianie EUCI między instytucjami i organami Unii oraz wymiana informacji niejawnych z organizacjami międzynarodowymi i państwami trzecimi powinny podlegać regulacjom w ramach odpowiednich środków bezpieczeństwa dotyczących ochrony tych informacji. Jeżeli przewiduje się zawieranie umów dotyczących bezpieczeństwa informacji, zastosowanie powinny mieć postanowienia art. 218 Traktatu.
(26)Umowy dotyczące bezpieczeństwa informacji mają na celu zapewnienie ogólnych ram prawnych dotyczących wymiany informacji niejawnych Unii z państwami trzecimi i organizacjami międzynarodowymi; należy również zapewnić, aby na potrzeby wymiany EUCI instytucje i organy Unii mogły zawierać porozumienia administracyjne z konkretnym odpowiednikiem państwa trzeciego lub organizacji międzynarodowej.
27)Niniejsze rozporządzenie ustanawia wspólne ramy dla wszystkich instytucji i organów Unii. Aby uniknąć nakładania na instytucje i organy Unii nadmiernego obciążenia administracyjnego w procesie przystosowywania ich wewnętrznych przepisów w zakresie bezpieczeństwa do przepisów określonych w niniejszym rozporządzeniu, niniejsze rozporządzenie powinno być stosowane po upływie dwóch lat od chwili jego wejścia w życie.
(28)Zgodnie z pkt 22 i 23 porozumienia międzyinstytucjonalnego z dnia 13 kwietnia 2016 r. w sprawie lepszego stanowienia prawa 26 Komisja powinna dokonać ewaluacji niniejszego rozporządzenia, aby ocenić jego realne skutki i potrzebę ewentualnego dalszego działania. Komisja powinna przedstawić Parlamentowi Europejskiemu i Radzie sprawozdanie z wykonania niniejszego rozporządzenia najpóźniej trzy lata od daty rozpoczęcia stosowania.
(29)Zgodnie z art. 42 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 27 skonsultowano się z Europejskim Inspektorem Ochrony Danych, który wydał opinię dnia [...],
PRZYJMUJĄ NINIEJSZE ROZPORZĄDZENIE:
Rozdział 1
Przepisy ogólne
Artykuł 1
Przedmiot
1.Niniejsze rozporządzenie określa przepisy dotyczące bezpieczeństwa informacji, które obowiązują wszystkie instytucje i organy Unii.
Artykuł 2
Zakres
1.Niniejsze rozporządzenie ma zastosowanie do wszystkich informacji przetwarzanych i przechowywanych przez instytucje i organy Unii, w tym informacji związanych z działalnością Europejskiej Wspólnoty Energii Atomowej, innych niż informacje niejawne Euratomu.
2.Ma ono zastosowanie do następujących poziomów poufności informacji:
a)trzech poziomów informacji jawnych: informacji do użytku publicznego, informacji zwykłych i szczególnie chronionych informacji jawnych;
b)czterech poziomów informacji niejawnych UE: RESTREINT UE/EU RESTRICTED, CONFIDENTIEL UE/EU CONFIDENTIAL, SECRET UE/EU SECRET, TRES SECRET UE/EU TOP SECRET.
3.Poziomy te opierają się na stopniu, w jakim ich nieuprawnione ujawnienie może zaszkodzić uzasadnionym interesom prywatnym i publicznym, w tym interesom Unii, instytucji i organów Unii i państw członkowskich lub innych zainteresowanych stron, tak aby można było zastosować odpowiednie środki ochrony.
Artykuł 3
Definicje
Do celów niniejszego rozporządzenia stosuje się następujące definicje:
a)„informacje” oznaczają wszelkie dane w formie ustnej, wizualnej, elektronicznej, magnetycznej lub fizycznej, lub też w formie materiałów, sprzętu lub technologii i obejmują reprodukcje, tłumaczenia i materiały w trakcie opracowywania;
b)„bezpieczeństwo informacji” oznacza zapewnienie autentyczności, dostępności, poufności, integralności i niezaprzeczalności informacji;
c)„przetwarzanie” informacji oznacza wszystkie możliwe działania, jakim mogą podlegać informacje w całym cyklu życia; obejmuje ono tworzenie informacji, ich gromadzenie, rejestrację, przypisanie im poziomu poufności, ich przetwarzanie, wyświetlanie, przeglądanie, przewożenie, przekazywanie, obniżenie klauzuli tajności, zniesienie klauzuli tajności, archiwizację i zniszczenie;
d)„przechowywanie” oznacza akt trzymania informacji na dowolnym nośniku w celu zapewnienia jego dostępności na potrzeby przyszłego wykorzystania;
e)„instytucje i organy Unii” oznaczają instytucje, organy, urzędy i agencje Unii ustanowione Traktatem o Unii Europejskiej, Traktatem o funkcjonowaniu Unii Europejskiej, Traktatem ustanawiającym Europejską Wspólnotę Energii Atomowej lub aktem ustawodawczym, bądź na ich podstawie;
f)„informacje niejawne Euratomu” oznaczają informacje w rozumieniu rozporządzenia Rady Europejskiej Wspólnoty Energii Atomowej nr 3/1958;
g)„organ ds. bezpieczeństwa” oznacza funkcję bezpieczeństwa każdej instytucji i każdego organu Unii wyznaczoną zgodnie z ich regulaminem wewnętrznym lub aktem założycielskim;
h)„proces zarządzania ryzykiem związanym z bezpieczeństwem informacji” oznacza całość procesu określania, kontrolowania i minimalizowania niepewnych zdarzeń, które mogą wpłynąć na bezpieczeństwo danej organizacji lub używanego przez nią systemu; obejmuje on całość działań związanych z ryzykiem, w tym ocenę, zmniejszanie, akceptację i powiadamianie;
i)„zasób” oznacza każdy element, który ma wartość dla instytucji lub organu Unii, ich operacji i ciągłości tych operacji, w tym zasoby informacji służące wspieraniu ich misji;
j)„procedury bezpiecznej eksploatacji systemu” oznaczają zestaw udokumentowanych procedur, o których mowa w załączniku III, służących do obsługi strefy bezpieczeństwa, systemu teleinformatycznego lub innego zasobu bądź usługi związanych z bezpieczeństwem celem zapewnienia ich skuteczności;
k)„system teleinformatyczny” lub „CIS” oznacza każdy system umożliwiający przetwarzanie i przechowywanie informacji w formie elektronicznej, w tym wszystkie zasoby niezbędne do jego działania;
l)„zabezpieczenie informacji” oznacza pewność, że systemy teleinformatyczne będą chronić informacje, które są w nich przetwarzane i przechowywane, i będą działać zgodnie z przeznaczeniem, w razie potrzeby pod kontrolą uprawnionych użytkowników, przy jednoczesnym zapewnieniu odpowiedniego poziomu autentyczności, dostępności, poufności, integralności i niezaprzeczalności;
m)„akredytacja” oznacza formalną autoryzację systemu teleinformatycznego do przetwarzania EUCI o określonym uprzednio poziomie poufności lub strefy bezpieczeństwa do przechowywania takich EUCI, udzielaną przez organ ds. akredytacji bezpieczeństwa;
n)„procedura akredytacji” oznacza kroki i zadania wymagane przez uzyskaniem akredytacji;
o)„środki bezpieczeństwa TEMPEST” oznaczają środki mające na celu ochronę każdego CIS przetwarzającego i przechowującego informacje niejawne opatrzone klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższą przed naruszeniem tych informacji z powodu niezamierzonych emisji elektromagnetycznych;
p)„CERT-UE” oznacza zespół reagowania na incydenty komputerowe w instytucjach i organach UE w rozumieniu rozporządzenia Parlamentu Europejskiego i Rady [...] ustanawiającego środki na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w instytucjach, organach, urzędach i agencjach Unii;
q)„incydent związany z bezpieczeństwem informacji” oznacza każde zdarzenie potencjalnie narażające na szwank autentyczność, dostępność, poufność, integralność lub niezaprzeczalność przechowywanych, przekazywanych lub przetwarzanych informacji;
r)„zasada ograniczonego dostępu” oznacza konieczność uzyskania dostępu przez daną osobę do określonych informacji przetwarzanych lub przechowywanych przez instytucję lub organ Unii w celu zrealizowania zadania tej konkretnej instytucji lub tego konkretnego organu Unii;
s)„zero trust” oznacza model bezpieczeństwa, zestaw zasad projektowania systemu i skoordynowaną strategię cyberbezpieczeństwa i zarządzania systemem opartą na uznaniu faktu występowania zagrożenia w tradycyjnych granicach sieci i poza nimi;
t)„oznaczenie” oznacza etykietę stosowaną do informacji na potrzeby zapewnienia zastosowania odpowiednich środków bezpieczeństwa;
u)„klauzula tajności” oznacza oznaczenie wskazujące stopień poufności danej informacji;
v)„oznaczenie dotyczące dystrybucji” to oznaczenie wskazujące zamierzonych odbiorców informacji wewnątrz instytucji lub organu Unii, z których informacje te pochodzą;
w)„oznaczenie dotyczące możliwości udostępniania” to oznaczenie wskazujące dozwolonych odbiorców informacji poza instytucją lub organem Unii, z których informacje te pochodzą;
x)„właściciel systemu” oznacza osobę odpowiedzialną za całość zamówienia, opracowania, integracji, modyfikacji, obsługi, obsługi technicznej i wycofania systemu teleinformatycznego;
y)„zagrożenie bezpieczeństwa informacji” oznacza zdarzenie lub czynnik, odnośnie do których można zasadnie oczekiwać, że wpłyną negatywnie na bezpieczeństwo informacji w przypadku niezareagowania na nie lub nieobjęcia ich kontrolą;
z)„podatność” oznacza słabość, wrażliwość lub wadę zasobu, systemu, procesu lub kontroli, które mogą być wykorzystane przez co najmniej jedno zagrożenie;
aa)„ryzyko” oznacza potencjalny negatywny skutek wynikający z danego zagrożenia, ewentualnie wykorzystującego wewnętrzną lub zewnętrzną podatność instytucji lub organu Unii lub wykorzystywanych przez nie systemów, szkodzący uzasadnionym interesom publicznym i prywatnym, mierzony jako połączenie prawdopodobieństwa pojawienia się zagrożeń i ich skutków;
ab)„ryzyko szczątkowe” oznacza ryzyko, które pozostaje po wdrożeniu środków bezpieczeństwa;
ac)„ocena ryzyka” oznacza określanie zagrożeń i podatności oraz przeprowadzenie odpowiedniej analizy ryzyka, tj. analizy prawdopodobieństwa i skutków;
ad)„zmniejszanie ryzyka” oznacza łagodzenie, usuwanie lub redukowanie ryzyka (przy pomocy odpowiedniego połączenia środków technicznych, fizycznych, organizacyjnych lub proceduralnych), przenoszenie lub monitorowanie ryzyka;
ae)„europejski certyfikat cyberbezpieczeństwa” oznacza certyfikat w rozumieniu art. 2 ust. 11 rozporządzenia UE 2019/881 28 ;
af)„posiadacz” oznacza należycie upoważnioną osobę spełniającą zasadę ograniczonego dostępu, która jest w posiadaniu informacji wymagającej ochrony, i jest odpowiednio odpowiedzialna za ochronę tej informacji;
ag)„materiały” oznaczają dowolny dokument, nośnik danych lub urządzenie bądź sprzęt, wytworzone albo będące w trakcie wytwarzania;
ah)„informacje niejawne UE” lub „EUCI” oznaczają wszelkie informacje lub materiały opatrzone klauzulą tajności UE, których nieuprawnione ujawnienie mogłoby w różnym stopniu zaszkodzić interesom Unii lub interesom co najmniej jednego państwa członkowskiego;
ai)„upoważnienie do dostępu do EUCI” oznacza decyzję władzy bezpieczeństwa, zgodnie z którą urzędnik, inny pracownik lub oddelegowany ekspert krajowy instytucji lub organu Unii może przez określony czas uzyskać dostęp do EUCI do określonego poziomu poufności;
aj)„krajowa władza bezpieczeństwa” lub „KWB” oznacza organ rządowy państwa członkowskiego ostatecznie odpowiedzialny za bezpieczeństwo informacji niejawnych w tym państwie członkowskim;
ak)„wyznaczona władza bezpieczeństwa” lub „WWB” oznacza organ państwa członkowskiego (KWB lub dowolny właściwy organ), który odpowiada za kierowanie wdrażaniem bezpieczeństwa przemysłowego lub procedurami poświadczania i za udzielanie wsparcia w tych obszarach;
al)„postępowanie sprawdzające” oznacza procedury sprawdzające przeprowadzane przez właściwy organ państwa członkowskiego zgodnie z jego krajowymi przepisami ustawowymi i wykonawczymi w celu uzyskania pewności, że nie istnieją żadne znane niekorzystne okoliczności, które mogłyby stanowić przeszkodę w wydaniu danej osobie poświadczenia bezpieczeństwa do określonego poziomu klauzuli tajności (CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższego);
am)„bezpieczeństwo fizyczne” oznacza zastosowanie środków fizycznych, technicznych i organizacyjnych w pomieszczeniach instytucji lub organu Unii, ich budynkach, salach, biurach lub obiektach, które wymagają ochrony przed nieuprawnionym dostępem do przetwarzanych, przechowywanych lub omawianych tam informacji;
an)„teren” oznacza pomieszczenia instytucji lub organu Unii, ich budynki, sale, biura lub obiekty;
ao)„ochrona w głąb” oznacza rodzaj ochrony polegający na wykorzystaniu wielu niezależnych warstw kontroli bezpieczeństwa w celu zapewnienia, aby w przypadku zawodności jednej z nich, zadziałała inna;
ap)„materiał kryptograficzny” oznacza algorytmy kryptograficzne, sprzęt i oprogramowanie kryptograficzne, a także produkty zawierające szczegóły stosowania i związaną z nim dokumentację oraz klucze;
aq)„produkt kryptograficzny” oznacza produkt, którego podstawowa i główna funkcjonalność polega na świadczeniu usług w zakresie bezpieczeństwa (autentyczności, dostępności, poufności, integralności i niezaprzeczalności) za pośrednictwem co najmniej jednego mechanizmu kryptograficznego;
ar)„wytwórca” oznacza instytucję lub organ Unii, państwo członkowskie, państwo trzecie lub organizację międzynarodową, w ramach właściwości których wytworzono informacje niejawne lub wprowadzono je do struktur Unii;
as)„dokument” oznacza dowolną treść, niezależnie od jej nośnika (papier, forma elektroniczna, magnetyczna lub inna), w formie pisemnej lub w formie nagrania wizualnego lub audiowizualnego;
at)„rejestracja ze względów bezpieczeństwa” oznacza stosowanie procedur rejestrowania etapów cyklu życia materiału, w tym jego upowszechniania i zniszczenia;
au)„zniesienie klauzuli tajności” oznacza zniesienie wszelkiej klauzuli tajności;
av)„obniżenie klauzuli tajności” oznacza obniżenie poziomu klauzuli tajności;
aw)„umowa niejawna” oznacza umowę ramową lub umowę, o której mowa w rozporządzeniu Parlamentu Europejskiego i Rady (UE, Euratom) 2018/1046, zawieraną przez instytucję lub organ Unii z wykonawcą na dostawę ruchomości lub nieruchomości, wykonanie robót lub świadczenie usług, której wykonanie wymaga przetwarzania, w tym wytwarzania lub przechowywania EUCI lub wiąże się z tymi czynnościami;
ax)„niejawna umowa o udzielenie dotacji” oznacza umowę, na podstawie której instytucja lub organ Unii przyznaje dotację, jak określono w tytule VIII rozporządzenia (UE, Euratom) 2018/1046, której wykonanie wymaga przetwarzania, w tym wytwarzania lub przechowywania EUCI lub wiąże się z tymi czynnościami;
ay)„niejawna umowa o podwykonawstwo” oznacza umowę zawieraną przez wykonawcę lub beneficjenta instytucji lub organu Unii z podwykonawcą na dostawę ruchomości lub nieruchomości, wykonanie robót lub świadczenie usług, której wykonanie wymaga przetwarzania, w tym wytwarzania lub przechowywania EUCI lub wiąże się z tymi czynnościami;
az)„instrukcje bezpieczeństwa programu lub projektu” lub „IBP” oznaczają wykaz procedur bezpieczeństwa stosowanych w odniesieniu do określonego programu lub projektu w celu normalizacji procedur bezpieczeństwa;
ba)„dokument określający aspekty bezpieczeństwa” lub „DOAB” oznacza zbiór specjalnych warunków umownych, wydany przez instytucję zamawiającą lub udzielającą dotacji, stanowiący integralną część każdej umowy niejawnej lub umowy o udzielenie dotacji obejmującej dostęp do EUCI lub ich wytwarzanie, określający wymogi bezpieczeństwa i wskazujący te elementy umowy lub dotacji, których bezpieczeństwo wymaga ochrony;
bb)„przewodnik nadawania klauzul” lub „PNK” oznacza dokument opisujący niejawne elementy programu, projektu, umowy lub umowy o udzielenie dotacji, określający obowiązujące poziomy klauzuli tajności;
Artykuł 4
Przepisy ogólne
1.Każda instytucja i każdy organ Unii odpowiada za wdrożenie przepisów niniejszego rozporządzenia w obrębie swojej organizacji z uwzględnieniem własnego procesu zarządzania ryzykiem związanym z bezpieczeństwem informacji.
2. Niedostosowanie się do niniejszego rozporządzenia, w szczególności nieuprawnione ujawnienie informacji o poziomach poufności, o których mowa w art. 2 ust. 2, z wyjątkiem informacji do użytku publicznego, będzie objęte dochodzeniem i może poskutkować pociągnięciem pracowników do odpowiedzialności zgodnie z Traktatami lub odpowiednimi regulaminami pracowniczymi.
3.Instytucje i organy Unii oceniają wszystkie przetwarzane i przechowywane przez siebie informacje, aby nadać im kategorie zgodnie z poziomami poufności, o których mowa w art. 2 ust. 2.
4.Instytucje i organy Unii określają potrzeby w zakresie bezpieczeństwa w odniesieniu do wszystkich przetwarzanych i przechowywanych przez siebie informacji, uwzględniając następujące aspekty:
a)autentyczność: gwarancja, że informacje są prawdziwe i pochodzą z rzetelnych źródeł;
b)dostępność: cecha polegająca na tym, że informacje są dostępne i gotowe do wykorzystania na wniosek uprawnionego podmiotu;
c)poufność: nieujawnianie informacji nieupoważnionym osobom, podmiotom ani na potrzeby nieuprawnionego przetwarzania;
d)integralność: fakt, że informacje są kompletne, a ich kompletność nie została naruszona;
e)niezaprzeczalność: możliwość udowodnienia, że działanie lub zdarzenie miało miejsce, aby następnie nie można było zaprzeczyć wystąpieniu tego działania lub zdarzenia.
5.Instytucje i organy Unii określają, w odniesieniu do każdego systemu teleinformatycznego podlegającego ich odpowiedzialności, najwyższy poziom poufności informacji, jakie taki system teleinformatyczny może przetwarzać i przechowywać, przeprowadzają ocenę ryzyka związanego z bezpieczeństwem informacji i regularnie monitorują potrzeby związane z bezpieczeństwem i właściwe wdrażanie określonych środków ochrony.
6.Wszystkie instytucje i organy Unii zapewniają szkolenia i działania zwiększające świadomość dotyczące sposobu przetwarzania i przechowywania informacji jawnych i EUCI.
Instytucje i organy Unii przetwarzające i przechowujące EUCI co najmniej co pięć lat organizują obowiązkowe szkolenie dla wszystkich osób upoważnionych do dostępu do EUCI. Instytucje i organy Unii, których to dotyczy, organizują specjalne szkolenia dla konkretnych organów, którym powierzono zadania dotyczące bezpieczeństwa informacji.
Instytucja lub organ Unii może koordynować takie działania szkoleniowe i zwiększające świadomość wraz z innymi instytucjami i organami Unii.
Artykuł 5
Proces zarządzania ryzykiem związanym z bezpieczeństwem informacji
1.Każda instytucja i każdy organ Unii ustanawia proces zarządzania ryzykiem związanym z bezpieczeństwem informacji służący ochronie informacji przetwarzanych i przechowywanych przez taką instytucję i taki organ.
2.Proces zarządzania ryzykiem związanym z bezpieczeństwem informacji obejmuje następujące etapy:
a)identyfikacja zagrożenia i podatności;
b)ocena ryzyka;
c)zmniejszanie ryzyka;
d)akceptacja ryzyka;
e)komunikacja ryzyka.
3.Proces zarządzania ryzykiem związanym z bezpieczeństwem informacji uwzględnia wszelkie czynniki istotne dla danej instytucji lub danego organu, a w szczególności:
a)poziom poufności informacji i powiązane z nim zobowiązania prawne;
b)formę i ilość informacji oraz obiekty lub CIS, w których informacje są przetwarzane i przechowywane;
c)osoby mające dostęp do informacji na danym terenie lub w sposób zdalny;
d)otoczenie i struktura budynków lub obszarów, w obrębie których przechowywane są informacje;
e)zagrożenia ukierunkowane na Unię, instytucje i organy Unii lub państwa członkowskie wynikające z cyberataków, ataków na łańcuchy dostaw, szpiegostwa, sabotażu, działań terrorystycznych, wywrotowych lub innej działalności przestępczej;
f)ciągłość działania i przywrócenie gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej;
g)w stosownych przypadkach: wyniki inspekcji, kontroli lub wizyt oceniających.
Rozdział 2
Zarządzanie i organizacja bezpieczeństwa
Artykuł 6
Międzyinstytucjonalna grupa koordynacyjna ds. bezpieczeństwa informacji
1.Ustanawia się międzyinstytucjonalną grupę koordynacyjną ds. bezpieczeństwa informacji („grupę koordynacyjną”).
Składa się ona ze wszystkich organów ds. bezpieczeństwa instytucji i organów Unii i posiada uprawnienia do określenia ich wspólnej polityki w obszarze bezpieczeństwa informacji.
2.Działając na zasadzie zgody i we wspólnym interesie wszystkich instytucji i organów Unii, grupa koordynacyjna:
a)uchwala swój regulamin wewnętrzny i przyjmuje wspólne roczne cele i priorytety;
b)przyjmuje decyzje dotyczące utworzenia podgrup tematycznych i ich zakresu zadań;
c)ustala wytyczne w sprawie wdrażania niniejszego rozporządzenia, w stosownych przypadkach we współpracy z międzyinstytucjonalną radą ds. cyberbezpieczeństwa, o której mowa w art. 9 rozporządzenia UE [...] ustanawiającego środki na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w instytucjach, organach, urzędach i agencjach Unii;
d)ustanawia specjalne platformy służące wymianie najlepszych praktyk i wiedzy w zakresie wspólnych tematów związanych z bezpieczeństwem informacji, a także zapewnianiu pomocy w przypadku incydentów związanych z bezpieczeństwem informacji;
e)zapewnia koordynację środków bezpieczeństwa mających na celu ochronę EUCI, w razie konieczności wraz z właściwymi krajowymi władzami bezpieczeństwa.
3.Grupa koordynacyjna wyznacza spośród swoich członków przewodniczącego i dwóch wiceprzewodniczących na okres trzech lat.
4.Grupa koordynacyjna spotyka się co najmniej raz w roku z inicjatywy swoich przewodniczących lub na wniosek instytucji lub organu Unii.
5.Grupa koordynacyjna korzysta ze wsparcia administracyjnego stałego sekretariatu zapewnianego przez Komisję.
6.Każda instytucja lub każdy organ Unii są odpowiednio reprezentowane w grupie koordynacyjnej i, w stosownych przypadkach, w podgrupach tematycznych.
7.Instytucje i organy Unii zwracają uwagę grupy koordynacyjnej na wszelkie istotne zmiany w polityce bezpieczeństwa informacji w obrębie ich organizacji.
8.Wykonując zadania, o których mowa w ust. 2 lit. e), grupa koordynacyjna korzysta z wsparcia Komitetu ds. Bezpieczeństwa Informacji. Komitet ten składa się z jednego przedstawiciela z każdej krajowej władzy bezpieczeństwa, a i przewodniczy mu sekretariat grupy koordynacyjnej, o którym mowa w ust. 5. Komitet ds. Bezpieczeństwa Informacji pełni rolę doradczą.
Artykuł 7
Podgrupy tematyczne
1.Grupa koordynacyjna powołuje następujące stałe podgrupy tematyczne w celu ułatwienia wdrażania niniejszego rozporządzenia:
a)podgrupa ds. zabezpieczania informacji;
b)podgrupa ds. informacji jawnych;
c)podgrupa ds. bezpieczeństwa fizycznego;
d)podgrupa ds. akredytacji systemów teleinformatycznych, w których przetwarza się i przechowuje EUCI;
e)podgrupa ds. udostępniania EUCI i wymiany informacji niejawnych.
2.W stosownych przypadkach grupa koordynacyjna może utworzyć podgrupy ad hoc na potrzeby realizacji konkretnego zadania i na ograniczony okres.
3.O ile regulamin wewnętrzny nie przewiduje inaczej, podgrupy funkcjonują na zasadzie otwartego uczestnictwa, reprezentującego zainteresowaną instytucję lub zainteresowany organ Unii. Członkami podgrup są eksperci w odpowiednich dziedzinach leżących w zakresie ich kompetencji.
4.Sekretariat grupy koordynacyjnej, o którym mowa w art. 5 ust. 5, wspiera prace wszystkich podgrup i zapewnia komunikację między ich członkami.
Artykuł 8
Organizacja bezpieczeństwa
1.Każda instytucja i każdy organ Unii wyznacza organ ds. bezpieczeństwa, który przyjmuje obowiązki przypisane mu na podstawie niniejszego rozporządzenia i, w stosownych przypadkach, w wewnętrznych przepisach w zakresie bezpieczeństwa danej instytucji lub danego organu. Realizując swoje zadania, każdy organ ds. bezpieczeństwa korzysta ze wsparcia departamentu lub urzędnika, który odpowiada za zadania związane z bezpieczeństwem informacji.
2.W stosownych przypadkach organ ds. bezpieczeństwa każdej instytucji i każdego organu Unii przyjmuje wewnętrzne przepisy wykonawcze dotyczące ochrony informacji, zgodnie ze swoimi zadaniami, powierzonymi na mocy prawa UE i na podstawie własnej autonomii instytucjonalnej.
3.W razie potrzeby każdy organ ds. bezpieczeństwa przyjmuje również następujące funkcje:
a)organu ds. zabezpieczania informacji odpowiedzialnego za opracowanie polityki bezpieczeństwa w zakresie zabezpieczania informacji i wytycznych w zakresie bezpieczeństwa oraz za monitorowanie ich skuteczności i adekwatności;
b)operacyjnego organu ds. zabezpieczania informacji odpowiedzialnego za opracowanie dokumentacji dotyczącej bezpieczeństwa, w szczególności procedur bezpiecznej eksploatacji systemu i planu kryptograficznego w ramach procesu akredytacji systemów teleinformatycznych;
c)organu ds. akredytacji bezpieczeństwa odpowiedzialnego za akredytację stref bezpieczeństwa i CIS, w których są przetwarzane i przechowywane EUCI;
d)organu ds. TEMPEST odpowiedzialnego za zatwierdzanie środków podejmowanych w celu ochrony przeciwko naruszeniu EUCI za sprawą niezamierzonych emisji elektromagnetycznych;
e)organu ds. zatwierdzania produktów kryptograficznych odpowiedzialnego za zatwierdzanie korzystania z technologii szyfrujących na podstawie wniosku właściciela systemu;
f)organu ds. dystrybucji produktów kryptograficznych odpowiedzialnego za dystrybucję materiałów kryptograficznych wykorzystywanych do ochrony EUCI (sprzętu kryptograficznego, kluczy kryptograficznych, certyfikatów i powiązanych elementów uwierzytelniających) wśród zainteresowanych użytkowników.
4.Obowiązki związane z co najmniej jedną z funkcji, o których mowa w ust. 3, można powierzyć innej instytucji lub innemu organowi Unii, o ile zdecentralizowane zapewnianie bezpieczeństwa przynosi korzyści pod względem wydajności, zasobów lub oszczędności czasu.
Rozdział 3
Zabezpieczanie informacji oraz systemy teleinformatyczne (CIS)
Artykuł 9
Zasady zabezpieczania informacji
1.W przypadku wszystkich CIS, w tym CIS wewnętrznych, zlecanych na zewnątrz i hybrydowych, ocenę potrzeb związanych z bezpieczeństwem informacji uwzględnia się od początku ich tworzenia lub na etapie udzielania zamówienia.
2.Każdy CIS przetwarzający i przechowujący EUCI podlega akredytacji zgodnie z rozdziałem 5 sekcja 5. Wszystkie CIS przetwarzające i przechowujące szczególnie chronione informacje jawne są zgodne z minimalnymi wymogami dotyczącymi szczególnie chronionych informacji jawnych w CIS, określonymi w rozdziale 4.
Artykuł 10
Podgrupa ds. zabezpieczania informacji
1.Podgrupa ds. zabezpieczania informacji, o której mowa w art. 7 ust. 1 lit. a), ma następujące role i obowiązki:
a)dostarczanie wytycznych i najlepszych praktyk w sprawie oznaczania, przetwarzania i przechowywania informacji w CIS w ścisłej współpracy z międzyinstytucjonalną radą ds. cyberbezpieczeństwa, o której mowa w art. 9 rozporządzenia UE [XXX] ustanawiającego środki na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w instytucjach, organach, urzędach i agencjach Unii;
b)podczas wzajemnego łączenia odpowiednich CIS – tworzenie systemu metadanych na użytek oznaczania oraz wszystkich niezbędnych informacji technicznych umożliwiających interoperacyjną i płynną wymianę informacji między instytucjami i organami Unii;
c)zwiększanie spójności między przepisami dotyczącymi bezpieczeństwa informacji a podstawowym poziomem cyberbezpieczeństwa we wszystkich instytucjach i organach Unii, o którym mowa w art. 5 rozporządzenia UE [XXX] ustanawiającym środki na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w instytucjach, organach, urzędach i agencjach Unii.
Artykuł 11
Wymogi dotyczące systemów teleinformatycznych
1.Instytucje i organy Unii informują użytkowników o poziomach poufności informacji, które można przetwarzać i przechowywać w CIS. Jeżeli CIS przetwarza i przechowuje informacje na wielu poziomach poufności, stosuje się metadane i wizualne oznaczenia, aby zapewnić możliwość rozróżnienia poszczególnych poziomów.
2.Instytucje i organy Unii identyfikują użytkowników CIS przed udzieleniem im dostępu do jakichkolwiek poziomów poufności innych niż użytek publiczny. Użytkownicy podlegają uwierzytelnieniu na poziomie pewności odpowiadającym poziomowi poufności. W stosownych przypadkach stosuje się wspólny bezpieczny system identyfikacji.
3.W przypadku wszystkich CIS prowadzone są odpowiednie rejestry bezpieczeństwa, aby możliwe było przeprowadzenie szybkiego dochodzenia w przypadku naruszeń lub wycieków informacji. Rejestry takie utrzymuje się przez okres ustanowiony w ocenie wpływu na działalność lub w odpowiedniej polityce bezpieczeństwa, w sposób niezaprzeczalny.
Jeżeli w CIS są przetwarzane i przechowywane EUCI, rejestry związane z zasadą ograniczonego dostępu i dostępem do informacji utrzymuje się do momentu zniesienia klauzuli tajności danych informacji. Organ ds. bezpieczeństwa ma możliwość przeszukiwania rejestrów bezpieczeństwa i dostępu do nich.
4.Instytucje i organy Unii przyjmują wewnętrzne przepisy dotyczące bezpieczeństwa CIS, aby określić odpowiednie środki bezpieczeństwa zgodnie z potrzebami związanymi z bezpieczeństwem dotyczącymi informacji, które mają być przetwarzane i przechowywane, oraz przy uwzględnieniu jurysdykcji, w ramach których informacje są przechowywane, przekazywane i przetwarzane. W stosownych przypadkach środki te obejmują:
a)ograniczenia dotyczące geograficznej lokalizacji;
b)uwzględnienie możliwych konfliktów interesów, bojkotów lub kar związanych z wykonawcami;
c)postanowienia umowne służące zapewnieniu bezpieczeństwa informacji;
d)szyfrowanie danych odłożonych i przewożonych;
e)ograniczenia dotyczące dostępności informacji instytucji i organów Unii dla personelu wykonawcy;
f)ochrona danych osobowych zgodnie z mającymi zastosowanie przepisami w sprawie ochrony danych.
5.Instytucje i organy Unii zarządzają swoimi CIS zgodnie z następującymi zasadami:
a)każdy CIS posiada właściciela systemu lub operacyjny organ ds. zabezpieczania informacji, który odpowiada za jego bezpieczeństwo;
b)prowadzony jest proces zarządzania ryzykiem związanym z bezpieczeństwem informacji obejmujący kwestie związane z bezpieczeństwem informacji;
c)wymogi dotyczące bezpieczeństwa i procedury bezpiecznej eksploatacji systemu podlegają formalnemu zdefiniowaniu, wdrożeniu, kontroli i przeglądowi;
d)incydenty związane z bezpieczeństwem informacji są formalnie rejestrowane i następują po nich działania następcze zgodnie z rozporządzeniem UE [XXX] ustanawiającym środki na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w instytucjach, organach, urzędach i agencjach Unii.
Rozdział 4
Informacje jawne
Artykuł 12
Informacje do użytku publicznego
1.Informacje przeznaczone do użytku publicznego lub oficjalne publikacje bądź informacje już ujawnione, które można udostępniać bez ograniczeń w obrębie instytucji i organów Unii lub poza nimi, podlegają takiej kategoryzacji oraz takiemu przetwarzaniu i przechowywaniu, jak informacje do użytku publicznego.
2.Instytucje i organy Unii mogą oznaczyć informacje, o których mowa w ust. 1, etykietą „PUBLIC USE”.
3.Wszystkie instytucje i organy Unii zapewniają integralność i dostępność informacji do użytku publicznego, stosując odpowiednie środki opierające się na potrzebach związanych z bezpieczeństwem.
Artykuł 13
Informacje zwykłe
1.Informacje przeznaczone do użytku przez instytucję lub organ Unii w ramach wykonywania ich funkcji, które nie są ani szczególnie chronionymi informacjami jawnymi, ani informacjami do użytku publicznego, kategoryzuje się, przetwarza i przechowuje jako informacje zwykłe. Kategoria ta obejmuje wszystkie zwykłe informacje na poziomie roboczym, przetwarzane przez daną instytucję lub dany organ Unii.
2.Gdy konieczne jest zapewnienie ochrony informacji zwykłych, szczególnie w przypadku ich udostępniania poza instytucjami i organami Unii, można oznakować je wizualnie lub w postaci metadanych. W takim przypadku stosuje się oznaczenie „EU NORMAL” lub „nazwa lub nazwa skrócona instytucji lub organu Unii NORMAL” (dostosowane w poszczególnych przypadkach).
3.Instytucje i organy Unii definiują standardowe środki ochrony dotyczące informacji zwykłych, uwzględniając wskazówki podgrupy ds. informacji jawnych i wszelkie szczególne ryzyko związane z ich zadaniami i działaniami.
4.W wymianie informacji zwykłych poza instytucjami i organami Unii uczestniczą wyłącznie osoby fizyczne lub prawne podlegające zasadzie ograniczonego dostępu.
Artykuł 14
Szczególnie chronione informacje jawne
1.Instytucje i organy Unii kategoryzują, przetwarzają i przechowują jako szczególnie chronione informacje jawne wszystkie informacje, które nie są niejawne, lecz które muszą chronić ze względu na zobowiązanie prawne lub ponieważ ich nieuprawnione ujawnienie może zaszkodzić uzasadnionym interesom prywatnym i publicznym, w tym interesom instytucji i organów Unii, państw członkowskich lub poszczególnych osób.
2.Każda instytucja i każdy organ Unii identyfikuje szczególnie chronione informacje jawne, stosując widoczne oznaczenie bezpieczeństwa, i określa odpowiednie instrukcje dotyczące przetwarzania zgodnie z załącznikiem I.
3.Instytucje i organy Unii chronią szczególnie chronione informacje jawne, stosując odpowiednie środki dotyczące przetwarzania i przechowywania. Informacje takie można udostępnić wyłącznie wewnątrz instytucji i organów Unii osobom podlegającym zasadzie ograniczonego dostępu na potrzeby wykonania powierzonych im zadań.
4.W wymianie szczególnie chronionych informacji jawnych poza instytucjami i organami Unii uczestniczą wyłącznie osoby fizyczne i prawne podlegające zasadzie ograniczonego dostępu, przestrzegając instrukcji dotyczących przetwarzania, które towarzyszą informacjom. Wszystkie zaangażowane strony otrzymują instrukcje dotyczące odpowiedniego przetwarzania informacji.
Artykuł 15
Ochrona informacji jawnych i interoperacyjność
1.Instytucje i organy Unii ustanawiają procedury dotyczące zgłaszania wszelkich incydentów lub podejrzewanych incydentów, które mogą prowadzić do naruszenia bezpieczeństwa informacji jawnych, oraz procedury zarządzania takimi incydentami.
2.W razie konieczności instytucje i organy Unii stosują oznaczenia przewidziane w art. 12, 13 i 14. W drodze wyjątku mogą zastosować inne równoważne oznaczenia do użytku wewnętrznego i w stosunku do ich konkretnych odpowiedników z innych instytucji i organów Unii lub z państw członkowskich, jeżeli wszystkie strony wyrażą na to zgodę. Wyjątek taki należy zgłosić podgrupie ds. informacji jawnych, o której mowa w art. 7 ust. 1 lit. b).
3.W celu zapewnienia ochrony informacji zwykłych i szczególnie chronionych informacji jawnych przetwarzanych w ramach usług zlecanych na zewnątrz, ustanawia się zabezpieczenia umowne. Zabezpieczenia mają na celu zagwarantować poziom ochrony co najmniej równoważny z poziomem przewidzianym w niniejszym rozporządzeniu i obejmują zobowiązania do zachowania poufności, które muszą podpisać wszyscy właściwi usługodawcy uczestniczący w dostawie zleconych na zewnątrz systemów.
Artykuł 16
Podgrupa ds. informacji jawnych
1.Podgrupa ds. informacji jawnych, o której mowa w art. 7 ust. 1 lit. b), ma następujące role i obowiązki:
a)usprawnienie procedur związanych z przetwarzaniem i przechowywaniem informacji jawnych i przygotowanie odpowiednich wskazówek;
b)koordynacja działań z podgrupą ds. zabezpieczania informacji, o której mowa w art. 7 ust. 1 lit. a), dotycząca kwestii związanych z systemami przetwarzającymi i przechowującymi informacje jawne;
c)przygotowanie instrukcji przetwarzania w odniesieniu do poszczególnych poziomów poufności informacji jawnych;
d)udzielanie pomocy instytucjom i organom Unii w ustanowieniu równowagi między ich konkretnymi kategoriami informacji jawnych a kategoriami przewidzianymi w art. 12, 13 i 14;
e)ułatwianie wymiany informacji jawnych między instytucjami i organami Unii dzięki zapewnianiu pomocy i wskazówek.
Artykuł 17
Przetwarzanie i przechowywanie szczególnie chronionych informacji jawnych w CIS
1.Instytucje i organy Unii zapewniają, aby podczas przetwarzania i przechowywania szczególnie chronionych informacji jawnych CIS spełniały następujące minimalne wymogi:
a)wdrożenie silnego uwierzytelnienia na potrzeby uzyskania dostępu do szczególnie chronionych informacji jawnych, i szyfrowanie szczególnie chronionych informacji jawnych podczas przekazywania i przechowywania;
b)za klucze kryptograficzne stosowane do celów przechowywania odpowiada instytucja lub organ Unii odpowiedzialne za obsługę CIS;
c)przechowywanie i przetwarzanie szczególnie chronionych informacji jawnych odbywa się w Unii;
d)postanowienia umowne dotyczące personelu, zasobów i informacji są ujęte we wszystkich umowach w sprawie outsourcingu;
e)stosuje się interoperacyjne metadane w celu zarejestrowania poziomu poufności dokumentów elektronicznych oraz dla ułatwienia automatyzacji środków bezpieczeństwa;
f)instytucje i organy Unii wdrażają środki służące zapobieganiu wyciekom danych oraz wykrywaniu takich wycieków, aby chronić szczególnie chronione informacje jawne;
g)w miarę dostępności wykorzystuje się sprzęt bezpieczeństwa z europejskim certyfikatem cyberbezpieczeństwa;
h)wdrożenie środków bezpieczeństwa opartych na zasadach ograniczonego dostępu i modelu zero trust w celu zminimalizowania dostępu usługodawców i wykonawców do szczególnie chronionych informacji jawnych.
2.Wszelkie odstępstwa od minimalnych wymogów określonych w ust. 1 podlegają zatwierdzeniu na odpowiednim szczeblu zarządzania daną instytucją lub danym organem Unii na podstawie oceny ryzyka obejmującej prawne i techniczne zagrożenie dla bezpieczeństwa szczególnie chronionych informacji jawnych.
3.Organ ds. zabezpieczania informacji danej instytucji lub danego organu Unii może w dowolnym momencie cyklu życia CIS skontrolować zgodność z zasadami określonymi w ust. 1.
Rozdział 5
EUCI
Sekcja 1
Przepisy ogólne
Artykuł 18
Klauzule tajności i oznaczenia
1.EUCI otrzymują jedną z następujących klauzul tajności i uzyskają następujące etykiety:
a)TRES SECRET UE/EU TOP SECRET: informacje i materiały, których nieuprawnione ujawnienie mogłoby wyrządzić wyjątkowo poważną szkodę podstawowym interesom Unii lub co najmniej jednego państwa członkowskiego;
b)SECRET UE/EU SECRET: informacje i materiały, których nieuprawnione ujawnienie mogłoby poważnie zaszkodzić podstawowym interesom Unii lub co najmniej jednego państwa członkowskiego;
c)CONFIDENTIEL UE/EU CONFIDENTIAL: informacje i materiały, których nieuprawnione ujawnienie mogłoby zaszkodzić podstawowym interesom Unii lub co najmniej jednego państwa członkowskiego;
d)RESTREINT UE/EU RESTRICTED: informacje i materiały, których nieuprawnione ujawnienie mogłoby być niekorzystne dla interesów Unii lub co najmniej jednego państwa członkowskiego.
2.Grupa koordynacyjna przyjmuje wytyczne dotyczące tworzenia i klasyfikacji EUCI.
Artykuł 19
Odpowiednie przystosowanie do przetwarzania i przechowywania EUCI
1.Każda instytucja i każdy organ Unii może przetwarzać i przechowywać EUCI, jeżeli spełnione są następujące warunki:
a)ustanowiono w nich przepisy i procedury zgodne z niniejszym rozporządzeniem, zapewniające ochronę informacji wobec danego poziomu klauzuli tajności; oraz
b)przeszły one wizytę oceniającą zgodnie z art. 53, a następnie uzyskały certyfikację, że mogą chronić EUCI zgodnie z niniejszym rozporządzeniem i, w stosownych przypadkach, z wszelkimi innymi właściwymi przepisami i procedurami.
2.Warunki określone w ust. 1 uznaje się za domyślnie spełnione przez członków podgrupy ds. udostępniania EUCI i wymiany informacji niejawnych, o której mowa w art. 7 ust. 1 lit. e).
Artykuł 20
Ochrona EUCI
1.Posiadacz jakiejkolwiek EUCI odpowiada za jej ochronę.
2.Jeżeli państwo członkowskie wprowadza informacje niejawne opatrzone krajową klauzulą tajności do struktur i sieci instytucji lub organu Unii, ta instytucja lub ten organ chronią przedmiotowe informacje zgodnie z odpowiednim oznaczeniem klauzuli tajności określonym w Umowie między państwami członkowskimi Unii Europejskiej, zebranymi w Radzie, w sprawie ochrony informacji niejawnych wymienianych w interesie Unii Europejskiej 29 . Właściwa tabela odpowiedników znajduje się w załączniku VI do niniejszego rozporządzenia.
3.Zagregowane EUCI mogą wymagać poziomu ochrony odpowiadającego wyższej klauzuli tajności, niż ma to miejsce w przypadku pojedynczego elementu.
Artykuł 21
Proces zarządzania ryzykiem związanym z bezpieczeństwem EUCI
1.Organ ds. bezpieczeństwa każdej instytucji i każdego organu Unii zatwierdza środki bezpieczeństwa dotyczące ochrony EUCI podczas całego cyklu życia zgodnie z wynikiem oceny ryzyka przeprowadzonej przez odpowiednią instytucję lub odpowiedni organ Unii.
2.Środki bezpieczeństwa podejmowane przez każdą instytucję i każdy organ Unii są proporcjonalne w stosunku do poziomu klauzuli tajności przetwarzanych i przechowywanych informacji, ich formy i wielkości, oraz lokalizacji i cech ochrony obiektów, w których EUCI są przetwarzane i przechowywane, a także w stosunku do lokalnie ocenianego zagrożenia polegającego na szkodliwych działaniach lub działalności przestępczej.
3.Wszystkie instytucje i organy Unii ustanawiają:
a)plany awaryjne służące zapewnieniu bezpieczeństwa EUCI w sytuacjach nadzwyczajnych;
b)plany ciągłości działania obejmujące środki zapobiegawcze i naprawcze służące zminimalizowaniu skutków poważnych niedopatrzeń lub incydentów związanych z bezpieczeństwem dotyczących przetwarzania i przechowywania EUCI.
Artykuł 22
Naruszenie i narażenie na szwank bezpieczeństwa EUCI
1.Działanie lub zaniechanie instytucji lub organu Unii lub osoby fizycznej, które narusza niniejsze rozporządzenie, uznaje się za naruszenie bezpieczeństwa.
2.Uznaje się, że doszło do narażenia EUCI na szwank, jeżeli w wyniku naruszenia ujawniono je, w całości lub w części, co najmniej jednej osobie, która nie jest uprawniona do dostępu do tych informacji.
3.Każde narażenie EUCI na szwank lub podejrzenie takiego narażenia jest niezwłocznie zgłaszane organowi ds. bezpieczeństwa właściwej instytucji lub właściwego organu Unii, który prowadzi dochodzenie w sprawie bezpieczeństwa i podejmuje co najmniej następujące działania:
a)informuje wytwórcę informacji;
b)zapewnia zbadanie przedmiotowego przypadku przez personel niezwiązany bezpośrednio z tym naruszeniem w celu ustalenia przebiegu wydarzeń;
c)ocenia potencjalne szkody dla interesów Unii lub państw członkowskich;
d)wdraża właściwe środki w celu zapobieżenia powtórzeniu się podobnego przypadku;
e)powiadamia właściwe organy o rzeczywistym lub potencjalnym narażeniu i podjętych działaniach.
Sekcja 2
Bezpieczeństwo osobowe
Artykuł 23
Podstawowe zasady
1.Organ ds. bezpieczeństwa instytucji lub organu Unii może przyznać osobom fizycznym dostęp do EUCI, jeżeli spełnione są wszystkie następujące warunki:
a)osoby te podlegają zasadzie ograniczonego dostępu;
b)osoby te zostały poinformowane o przepisach i procedurach bezpieczeństwa służących ochronie EUCI oraz o odpowiednich standardach bezpieczeństwach i wytycznych, a także potwierdziły na piśmie, że zapoznały się ze swoimi obowiązkami w zakresie ochrony takich informacji;
c)w przypadku informacji z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższą – osobom tym wydano odpowiednie poświadczenie bezpieczeństwa lub otrzymały one upoważnienie do odpowiedniego poziomu.
2.Instytucje i organy Unii biorą pod uwagę lojalność, wiarygodność i rzetelność danej osoby określone w drodze postępowania sprawdzającego przeprowadzonego przez właściwe organy państwa członkowskiego, którego obywatelem jest wnioskodawca.
3.Instytucje i organy Unii mogą akceptować poświadczenia bezpieczeństwa wydane przez państwa trzecie i organizacje międzynarodowe, z którymi Unia zawarła umowę o bezpieczeństwie informacji.
4.Instytucje i organy Unii mogą zarządzać procesami poświadczenia bezpieczeństwa niezależnie lub starać się o zawarcie umowy o gwarantowanym poziomie usług z Komisją do celów poświadczenia bezpieczeństwa.
W przypadku zawarcia umowy o gwarantowanym poziomie usług organ ds. bezpieczeństwa Komisji jest punktem kontaktowym między biurami bezpieczeństwa danej instytucji i danego organu Unii a właściwymi organami krajowymi państw członkowskich w kontekście kwestii związanych z poświadczeniem bezpieczeństwa.
5.Organ ds. bezpieczeństwa każdej instytucji i każdego organu Unii prowadzi rejestr swoich poświadczeń bezpieczeństwa, instrukcji, pisemnych oświadczeń i upoważnień do dostępu do EUCI.
6.Instytucje i organy Unii, które zawierają umowę o gwarantowanym poziomie usług z Komisją, udostępniają organowi ds. bezpieczeństwa Komisji odpowiednie rejestry zawierające co najmniej informacje o poziomie klauzuli tajności EUCI, do których dana osoba może mieć dostęp, dacie przyznania upoważnienia do dostępu do EUCI i okresie jego ważności. W uzasadnionych przypadkach rejestry te są dostępne dla innych instytucji i organów Unii, które zawarły umowę o gwarantowanym poziomie usług.
Artykuł 24
Upoważnienie do dostępu do EUCI
1.Każda instytucja i każdy organ Unii określa stanowiska w swojej organizacji wymagające dostępu do informacji z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższą, aby dana osoba mogła wykonywać swoje obowiązki.
2.W każdym przypadku gdy dana osoba musi zostać upoważniona do dostępu do informacji z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższą, dana instytucja lub dany organ informuje o tym właściwy organ ds. bezpieczeństwa, który dopełnia formalności wymaganych w załączniku II pkt 1.
3.Organ ds. bezpieczeństwa każdej instytucji i każdego organu Unii jest odpowiedzialny za udzielanie, zawieszanie, cofanie i przedłużanie ważności upoważnień do dostępu do EUCI dla pracowników tej instytucji i tego organu.
4.W wyjątkowych okolicznościach, jeżeli jest to należycie uzasadnione interesem służby i do czasu zakończenia pełnego postępowania sprawdzającego, organ ds. bezpieczeństwa instytucji lub organu Unii może udzielić osobom tymczasowego upoważnienia do dostępu do EUCI na określonym stanowisku, nie naruszając przepisów dotyczących przedłużania ważności upoważnienia do dostępu do EUCI oraz po weryfikacji przez właściwą krajową władzę bezpieczeństwa.
5.Instytucje i organy Unii stosują procedury zarządzania upoważnieniami do dostępu do EUCI określone w załączniku II.
Artykuł 25
Uznawanie upoważnień do dostępu do EUCI
1.Upoważnienie do dostępu do EUCI do określonego poziomu jest ważne w każdej instytucji lub w każdym organie Unii, do których dana osoba jest oddelegowana.
2.Instytucje i organy Unii akceptują upoważnienia do dostępu do EUCI udzielone przez inną instytucję lub inny organ Unii.
3.W przypadku gdy posiadacz upoważnienia do dostępu do EUCI podejmuje pracę w innej instytucji lub innym organie Unii, ta instytucja lub ten organ Unii powiadamia odpowiednią KWB o zmianie pracodawcy za pośrednictwem właściwego organu ds. bezpieczeństwa.
Artykuł 26
Instrukcje dotyczące EUCI
1.Organ ds. bezpieczeństwa instytucji lub organu Unii udziela wszystkim osobom, które potrzebują dostępu do EUCI, instrukcji o wszelkich zagrożeniach dla bezpieczeństwa oraz o spoczywającym na nich obowiązku zgłaszania jakiejkolwiek podejrzanej działalności. Instruktaż odbywa się przed udzieleniem dostępu do EUCI, a następnie co najmniej raz na pięć lat.
2.Po otrzymaniu instrukcji, o których mowa w ust. 1, wszystkie zainteresowane osoby oświadczają na piśmie, że zrozumiały spoczywające na nich obowiązki w zakresie ochrony EUCI i konsekwencje narażenia na szwank bezpieczeństwa EUCI.
3.Instrukcje, o których mowa w ust. 1, obejmują następujące informacje:
a)każda osoba odpowiedzialna za naruszenie przepisów bezpieczeństwa określonych w niniejszym rozporządzeniu może podlegać postępowaniu dyscyplinarnemu zgodnie z obowiązującymi zasadami i przepisami wykonawczymi;
b)każda osoba odpowiedzialna za narażenie na szwank bezpieczeństwa EUCI lub za ich utratę może podlegać postępowaniu dyscyplinarnemu lub sądowemu zgodnie z obowiązującymi przepisami ustawowymi, zasadami i przepisami wykonawczymi.
4.W przypadku gdy osoby, którym udzielono upoważnienia do dostępu do EUCI, nie potrzebują już takiego dostępu, instytucje i organy Unii zapewniają, aby osoby te wiedziały o spoczywających na nich obowiązkach dalszej ochrony EUCI oraz aby w stosownych przypadkach potwierdziły świadomość tego obowiązku na piśmie.
5.Zadanie opracowywania instrukcji dotyczących EUCI i zarządzania tymi instrukcjami może być dzielone między instytucje i organy Unii, pod warunkiem że uwzględnione zostaną ich szczególne wymogi.
Sekcja 3
Bezpieczeństwo fizyczne
Artykuł 27
Podstawowe zasady
1.Każda instytucja i każdy organ Unii określa środki bezpieczeństwa fizycznego odpowiednie dla swojego terenu, zgodnie z załącznikiem III i zasadą ochrony w głąb, na podstawie oceny ryzyka przeprowadzonej przez jej władzę bezpieczeństwa. Środki te zapewniają osiągnięcie następujących celów:
a)uniemożliwienie dostępu do EUCI lub wtargnięcia osoby nieupoważnionej z użyciem siły;
b)jak najszybsze powstrzymanie od podjęcia nieuprawnionych działań, udaremnienie ich, ich wykrywanie oraz reagowanie na incydenty związane z bezpieczeństwem;
c)umożliwienie podziału pracowników pod względem dostępu do EUCI zgodnie z zasadą ograniczonego dostępu oraz, w stosownych przypadkach, na podstawie poświadczenia bezpieczeństwa.
2.Instytucje i organy Unii wprowadzają środki bezpieczeństwa fizycznego na wszystkich terenach, na których EUCI są omawiane, przechowywane lub przetwarzane, w tym na obszarach, w których znajdują się systemy teleinformatyczne, o których mowa w sekcji 5 niniejszego rozdziału.
3.Do fizycznej ochrony informacji z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższą wykorzystuje się wyłącznie bezpieczny sprzęt zatwierdzony przez organ ds. bezpieczeństwa instytucji lub organu Unii.
4.Po zawarciu umowy instytucje i organy Unii mogą dzielić się strefami bezpieczeństwa, o których mowa w załączniku III, do celów przetwarzania i przechowywania EUCI.
Artykuł 28
Podgrupa ds. bezpieczeństwa fizycznego
1.Podgrupa ds. bezpieczeństwa fizycznego, o której mowa w art. 7 ust. 1 lit. c), ma następujące role i obowiązki:
a)przygotowywanie wytycznych dotyczących kwestii bezpieczeństwa fizycznego;
b)określanie ogólnych kryteriów bezpieczeństwa na potrzeby nabywania sprzętu służącego do fizycznej ochrony EUCI, takiego jak: zabezpieczone szafy, niszczarki, zamki do drzwi, elektroniczne systemy kontroli dostępu, systemy sygnalizacji włamania i napadu oraz systemy alarmowe;
c)wspieranie instytucji i organów Unii w określaniu odpowiednich środków bezpieczeństwa obowiązujących na ich terenie;
d)proponowanie środków równoważnych służących ochronie EUCI w przypadku przetwarzania EUCI poza fizycznie chronionymi strefami instytucji i organu Unii.
Artykuł 29
Fizyczna ochrona EUCI
1.Aby zapewnić fizyczną ochronę EUCI, instytucje i organy Unii ustanawiają następujące strefy chronione fizycznie:
a)strefy administracyjne, o których mowa w załączniku III;
b)w stosownych przypadkach strefy bezpieczeństwa, w tym strefy klasy I, strefy klasy II i strefy technicznie zabezpieczone, o których mowa w załączniku III.
2.Organ ds. bezpieczeństwa danej instytucji i danego organu Unii przeprowadza kontrolę wewnętrzną w celu sprawdzenia, czy spełnione są warunki ustanowienia danej strefy jako strefy administracyjnej lub strefy bezpieczeństwa, określonej w załączniku III. Jeżeli ze sprawozdania z kontroli wynika, że warunki są spełnione, organ ds. bezpieczeństwa może wydać akredytację dla strefy bezpieczeństwa na potrzeby ochrony EUCI do określonego poziomu na okres nieprzekraczający 5 lat.
Organ ds. bezpieczeństwa danej instytucji lub danego organu Unii jest odpowiedzialny za przeprowadzenie procedury ponownej akredytacji swoich stref bezpieczeństwa przed wygaśnięciem akredytacji lub za każdym razem, gdy w strefie akredytowanej wprowadzono zmiany.
3.Każda instytucja i każdy organ Unii przyjmują procedury zarządzania kluczami i kodami do biur, pomieszczeń, wzmocnionych pomieszczeń i zabezpieczonych szaf w odniesieniu do poziomu CONFIDENTIEL UE/EU-CONFIDENTIAL i wyższych poziomów.
4.Organ ds. bezpieczeństwa może zezwolić na przeszukiwanie osób wchodzących i wychodzących celem zniechęcania do nieuprawnionego wnoszenia materiałów lub nieuprawnionego wynoszenia EUCI z terenu oraz wykrywania takich przypadków.
5.Instytucje i organy Unii ustanawiają środki ochrony fizycznej EUCI zgodnie z załącznikiem III.
Sekcja 4
Zarządzanie EUCI
Artykuł 30
Podstawowe zasady
1.Instytucje i organy Unii rejestrują, umieszczają w dokumentacji, przechowują i ostatecznie usuwają, wyrywkowo kontrolują lub przekazują do odpowiednich archiwów swoje dokumenty zawierające EUCI zgodnie z polityką zatrzymywania i przepisami właściwymi dla akt każdej instytucji i każdego organu Unii.
2.Każda instytucja i każdy organ Unii, które są wytwórcą EUCI, określają klauzulę tajności tych informacji po ich wytworzeniu i zgodnie z art. 18 ust. 1.
3.Instytucje i organy Unii wyraźnie komunikują odbiorcom poziom klauzuli tajności, oznaczając klauzulę tajności albo komunikując, jeżeli informacja jest przekazywana ustnie.
4.Środki bezpieczeństwa, które stosuje się do oryginału dokumentu, mają zastosowanie do jego projektów, kopii i tłumaczeń.
5.Instytucje i organy Unii ustanawiają środki zarządzania EUCI zgodnie z załącznikiem IV.
Artykuł 31
Wytwarzanie EUCI
2. Instytucje i organy Unii, w ramach właściwości których wytwarzane są EUCI, zapewniają spełnienie następujących wymogów:
a)każdą stronę wyraźnie oznacza się klauzulą tajności;
b)numeruje się każdą stronę;
c)na dokumencie umieszcza się numer referencyjny, w stosownych przypadkach numer referencyjny i temat, który sam w sobie nie stanowi EUCI, chyba że z jego oznaczenia wynika inaczej;
d)na dokumencie umieszcza się datę jego wytworzenia;
e)w miarę możliwości na pierwszej stronie wymienia się wszystkie załączniki i dodatki;
f)na każdej stronie dokumentów z klauzulą tajności SECRET UE/EU SECRET lub wyższą, które mają zostać rozpowszechnione w kilku kopiach, umieszcza się numer kopii. Kopie elektroniczne rozpowszechniane poza systemem posiadacza są opatrzone niepowtarzalnym identyfikatorem opartym na podpisie elektronicznym.
Artykuł 32
Kontrola wytwórcy
1.Instytucja lub organ Unii, w ramach właściwości których wytwarzany jest dokument zawierający EUCI, sprawuje nad tym dokumentem kontrolę wytwórcy. Wytwórca określa poziom klauzuli tajności dokumentu i jest odpowiedzialny za jego początkową dystrybucję. Nie naruszając przepisów rozporządzenia (WE) nr 1049/2001, uzyskuje się uprzednią pisemną zgodę wytwórcy przed:
a)zniesieniem lub obniżeniem klauzuli tajności wobec informacji;
b)wykorzystaniem tych informacji do celów innych niż cele ustalone przez wytwórcę;
c)przekazaniem tych informacji jakiemukolwiek podmiotowi spoza instytucji lub organu Unii dysponujących informacjami, w tym państwu trzeciemu lub organizacji międzynarodowej, innej instytucji lub innemu organowi Unii, państwom członkowskim, wykonawcy lub potencjalnemu wykonawcy, beneficjentowi lub potencjalnemu beneficjentowi;
d)skopiowaniem i przetłumaczeniem tych informacji w przypadku klauzuli tajności TRES SECRET-UE/EU-TOP SECRET.
2.Jeżeli nie można zidentyfikować wytwórcy dokumentu zawierającego EUCI, kontrolę wytwórcy sprawuje instytucja lub organ Unii dysponujące tymi informacjami niejawnymi.
3.Wytwórcy wszelkich dokumentów zawierających EUCI prowadzą rejestr wszelkich niejawnych źródeł wykorzystywanych do tworzenia dokumentów niejawnych, w tym szczegółowych informacji o źródłach pochodzących pierwotnie z państw członkowskich, organizacji międzynarodowych lub państw trzecich. W stosownych przypadkach zagregowane informacje niejawne są oznakowane w taki sposób, aby zachować identyfikację wytwórców wykorzystanych niejawnych materiałów źródłowych.
Artykuł 33
Oznaczenia klauzul tajności
1.W stosownych przypadkach dokumenty zawierające EUCI mogą być opatrzone, w uzupełnieniu jednej z klauzul tajności, dodatkowymi oznaczeniami, takimi jak oznaczenia dotyczące dystrybucji lub możliwości udostępniania bądź wskazujące wytwórcę.
2.Różne części dokumentu zawierającego EUCI mogą wymagać nadania różnych klauzul tajności i są odpowiednio oznaczane. Ogólny poziom klauzuli tajności dokumentu lub pliku jest co najmniej tak wysoki jak poziom klauzuli tajności tej części dokumentu, która została oznaczona najwyższą klauzulą tajności.
3.Dokumenty, których częściom nadaje się różne poziomy klauzuli tajności, są sporządzane w taki sposób, aby części oznaczone różnymi poziomami można było łatwo zidentyfikować i w razie potrzeby oddzielić.
Artykuł 34
System kancelarii tajnych UE
1.Wszystkie instytucje i organy Unii, które przetwarzają i przechowują informacje z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIEL lub wyższą, ustanawiają co najmniej jedną kancelarię tajną UE w celu zapewnienia ich rejestracji na potrzeby bezpieczeństwa w momencie ich wpłynięcia do instytucji lub organu Unii lub w momencie ich wyjścia z instytucji lub organu Unii.
2.Wszystkie kancelarie tajne UE muszą być ustanowione w strefach bezpieczeństwa, o których mowa w załączniku III.
3.Instytucje i organy Unii wyznaczają urzędnika kontroli kancelarii do zarządzania każdą kancelarią tajną UE. Urzędnik kontroli kancelarii musi posiadać odpowiednie poświadczenie bezpieczeństwa i być upoważniony zgodnie z art. 24. Instytucje i organy Unii zapewniają odpowiednie szkolenie dla swoich urzędników kontroli kancelarii.
Artykuł 35
Obniżanie i znoszenie klauzul tajności
1.Informacje są niejawne tak długo, jak długo wymagają ochrony. W przypadku EUCI, które nie potrzebują już pierwotnej klauzuli tajności, klauzulę tę obniża się do niższego poziomu. W przypadku EUCI, których nie trzeba już uważać za niejawne, znosi się klauzulę tajności.
2.W momencie wytwarzania EUCI wytwórca wskazuje, o ile to możliwe, a w szczególności w odniesieniu do informacji z klauzulą tajności RESTREINT UE/EU RESTRICTED, czy z daną datą lub w następstwie konkretnego wydarzenia klauzula tajności EUCI może zostać obniżona lub zniesiona.
3.Instytucja lub organ Unii, które tworzą dokument zawierający EUCI, są odpowiedzialne za decyzję, czy można wobec niego obniżyć lub znieść klauzulę tajności. Dokonują one przeglądu tych informacji i oceniają ryzyko regularnie i przynajmniej co 5 lat w celu określenia, czy pierwotny poziom klauzuli tajności nadal ma zastosowanie.
4.Instytucje i organy Unii dysponujące EUCI, których nie są wytwórcami, nie obniżają ani nie znoszą klauzuli tajności przedmiotowego dokumentu, nie zmieniają one ponadto ani nie usuwają żadnych oznaczeń, o których mowa w art. 18 ust. 1, bez uprzedniej pisemnej zgody wytwórcy.
5.Instytucje i organy Unii mogą częściowo obniżyć lub znieść klauzulę tajności wytworzonego przez siebie EUCI. W takich przypadkach sporządza się wyciąg z obniżoną lub zniesioną klauzulą tajności.
6.Instytucje i organy Unii informują organizację będącą odbiorcą EUCI o obniżeniu lub zniesieniu klauzuli tajności przedmiotowych informacji.
Artykuł 36
Oznaczenia na dokumentach o obniżonej i zniesionej klauzuli tajności
1.W przypadku gdy instytucje i organy Unii podejmują decyzję o zniesieniu klauzuli tajności dokumentu zawierającego EUCI, rozważa się, czy dokument powinien być opatrzony oznaczeniem dotyczącym dystrybucji szczególnie chronionych informacji jawnych.
2.Oryginalne oznaczenie klauzuli tajności na górze i na dole każdej strony jest wyraźnie przekreślone przy użyciu funkcji „skreślenie” w formatach elektronicznych lub ręcznie w przypadku wydruków. Nie usuwa się oryginalnego oznaczenia klauzuli tajności.
3.Na pierwszej stronie lub stronie tytułowej zamieszcza się stempel z informacją, że klauzula tajności została obniżona lub zniesiona, i uzupełnia się ją danymi organu odpowiedzialnego za obniżenie lub zniesienie klauzuli tajności oraz odpowiednią datą. Obniżenie lub zniesienie klauzuli tajności dokumentów elektronicznych zawierających EUCI potwierdza się podpisem elektronicznym z upoważnienia wytwórcy.
Artykuł 37
Niszczenie i usuwanie EUCI
1.Co najmniej raz na 5 lat instytucje i organy Unii dokonują przeglądu EUCI, zarówno w formie papierowej, jak i zawartych w CIS, w celu ustalenia, czy należy je zniszczyć lub usunąć. W przypadku zniszczenia lub usunięcia EUCI przekazują one instrukcje wszystkim, którzy wcześniej otrzymali przedmiotowe EUCI.
2.Instytucje i organy Unii mogą niszczyć duplikaty EUCI, które nie są już potrzebne, biorąc pod uwagę odpowiednie przepisy dotyczące zarządzania dokumentami w odniesieniu do oryginałów.
3.Instytucje i organy Unii niszczą wszelkie informacje z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższą, sporządzone w formie papierowej, wyłącznie za pośrednictwem swojego urzędnika kontroli kancelarii. Urzędnik kontroli kancelarii odpowiednio aktualizuje rejestry i inne informacje dotyczące rejestracji, zachowując podstawowe metadane zniszczonego dokumentu.
Dokumenty z klauzulą tajności SECRET UE/EU SECRET i wyższą są niszczone przez urzędnika kontroli kancelarii wyłącznie w obecności świadka posiadającego poświadczenie bezpieczeństwa co najmniej na poziomie klauzuli tajności niszczonego dokumentu.
4.Urzędnik kontroli kancelarii oraz, w stosownych przypadkach, świadek, podpisują protokół zniszczenia, który zostaje umieszczony w dokumentacji kancelarii tajnej. Protokół przechowuje się przez co najmniej 5 lat w przypadku informacji z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL i SECRET-UE/EU-SECRET oraz przez co najmniej 10 lat w przypadku informacji z klauzulą tajności TRES SECRET-UE/EU-TOP SECRET.
Artykuł 38
Ewakuacja i niszczenie EUCI w sytuacjach nadzwyczajnych
1.Każda instytucja i każdy organ Unii opracowują plany ewakuacji i niszczenia w sytuacjach nadzwyczajnych, uwzględniając warunki lokalne, w celu zabezpieczenia EUCI, które są narażone na znaczne ryzyko znalezienia się w niepowołanych rękach.
Szczegóły operacyjne planów ewakuacji i niszczenia w sytuacjach nadzwyczajnych same objęte są klauzulą tajności RESTREINT UE/EU RESTRICTED.
2.W sytuacji nadzwyczajnej, gdy istnieje bezpośrednie ryzyko nieuprawnionego ujawnienia EUCI, instytucje i organy Unii ewakuują EUCI.
Jeżeli ewakuacja nie jest możliwa, EUCI niszczy się w taki sposób, aby nie mogły zostać odtworzone w całości ani częściowo.
3.Wytwórca i kancelaria tajna wytwórcy zostają powiadomieni o ewakuacji lub zniszczeniu w trybie nagłym zarejestrowanych EUCI.
4.Po uruchomieniu planów na wypadek sytuacji nadzwyczajnej priorytetowo traktowana jest ewakuacja lub niszczenie w pierwszej kolejności EUCI oznaczonych wyższymi poziomami klauzuli tajności, w tym sprzętu szyfrującego.
Artykuł 39
Archiwizacja
1.Instytucje i organy Unii podejmują decyzję o tym, czy i kiedy dokonywać archiwizacji EUCI, a także o odpowiednich środkach praktycznych, zgodnie ze swoją polityką dotyczącą zarządzania dokumentami.
2.Dokumentów zawierających EUCI nie przekazuje się do Archiwów Historycznych Unii Europejskiej.
Sekcja 5
Ochrona EUCI w systemach teleinformatycznych (CIS)
Artykuł 40
Podgrupa ds. akredytacji systemów teleinformatycznych, w których przetwarza i przechowuje się EUCI
Podgrupa ds. akredytacji CIS, w których przetwarza i przechowuje się EUCI, o której mowa w art. 7 ust. 1 lit. d), ma następujące role i obowiązki:
a)wspieranie instytucji i organów Unii w ich procedurach akredytacji;
b)zalecanie normy akredytacji, której powinny przestrzegać wszystkie instytucje i organy Unii;
c)rozpowszechnianie i wymiana najlepszych praktyk i wytycznych dotyczących akredytacji CIS.
Artykuł 41
Systemy teleinformatyczne
Instytucje i organy Unii muszą spełniać następujące wymogi w odniesieniu do CIS, w których przetwarza się i przechowuje EUCI:
a)przed opracowaniem lub zamówieniem CIS do celów przetwarzania i przechowywania EUCI lub przed umożliwieniem przetwarzania i przechowywania EUCI przez CIS właściciel systemu lub operacyjny organ ds. zabezpieczania informacji konsultuje się z organem ds. akredytacji bezpieczeństwa w celu określenia wymogów akredytacji;
b)kluczowe zasady bezpieczeństwa dotyczące projektowania CIS w zakresie przetwarzania i przechowywania EUCI mają zastosowanie w momencie rozpoczęcia projektu, jako element procesu zarządzania ryzykiem związanym z bezpieczeństwem informacji, z uwzględnieniem zasad ograniczonego dostępu, minimalnej funkcjonalności, ochrony w głąb, przydzielania jak najmniejszych uprawnień, rozdzielenia obowiązków i zasady „dwóch par oczu”;
c)dotyczące pamięci, centralnego przetwarzania i zarządzania siecią elementy CIS, w którym przetwarza i przechowuje się EUCI, są zainstalowane w strefie bezpieczeństwa, o której mowa w załączniku III;
d)wdrożone są „środki bezpieczeństwa TEMPEST”, które są proporcjonalne do ryzyka nieprawidłowego wykorzystania informacji i do poziomu klauzuli tajności;
e)wszyscy pracownicy zaangażowani w funkcjonowanie CIS, w którym przetwarza i przechowuje się EUCI, zgłaszają organowi ds. bezpieczeństwa i odpowiedniemu właścicielowi systemu lub operacyjnemu organowi ds. zabezpieczania informacji wszelkie ewentualne niedoskonałości w zakresie bezpieczeństwa, incydenty, przypadki naruszenia bezpieczeństwa lub narażenia na szwank systemu, które mogą mieć wpływ na ochronę CIS lub znajdującego się w nim EUCI;
f)w stosownych przypadkach organ ds. bezpieczeństwa powiadamia władze bezpieczeństwa wszelkich innych zainteresowanych instytucji i organów Unii o ewentualnych niedoskonałościach w zakresie bezpieczeństwa lub incydentach mogących mieć wpływ na ich CIS, w których przetwarza i przechowuje się EUCI.
Artykuł 42
Produkty kryptograficzne
1.Do przekazywania EUCI drogą elektroniczną i przechowywania ich na nośnikach elektronicznych stosuje się zatwierdzone produkty kryptograficzne. Rada prowadzi wykaz zatwierdzonych produktów kryptograficznych na podstawie informacji przekazanych przez krajowe władze bezpieczeństwa.
2.W przypadku gdy wykaz, o którym mowa w ust. 1, nie zawiera żadnego produktu odpowiedniego do zamierzonego celu, organ ds. zatwierdzania produktów kryptograficznych danej instytucji lub danego organu Unii zwraca się do Rady o tymczasowe zatwierdzenie. W miarę możliwości wybiera się produkt kryptograficzny zatwierdzony przez krajową władzę bezpieczeństwa państwa członkowskiego.
Rada podejmuje niezbędne kroki, aby zapewnić dodanie odpowiedniego produktu do wykazu.
3.Zatwierdzenie produktów kryptograficznych jest ważne przez okres nie dłuższy niż 5 lat, a po tym czasie jest co roku poddawane przeglądowi.
4.Rada usuwa z wykazu zatwierdzonych produktów kryptograficznych każdy produkt kryptograficzny, w przypadku którego zatwierdzenie krajowe zostało cofnięte lub wygasło.
5.Grupa koordynacyjna co roku informuje Radę o wszelkich produktach kryptograficznych, które zaleca do poddania ocenie przez organ ds. zatwierdzania produktów kryptograficznych państwa członkowskiego na podstawie badania przeprowadzonego w instytucjach i organach Unii.
Artykuł 43
Akredytacja CIS, w których przetwarza i przechowuje się EUCI
1.Akredytując CIS, w których przetwarza i przechowuje się EUCI, instytucje i organy Unii potwierdzają, że zastosowano wszystkie odpowiednie środki bezpieczeństwa i że osiągnięto wystarczający poziom ochrony EUCI i CIS zgodnie z niniejszym rozporządzeniem.
2.Właściciel CIS lub operacyjny organ ds. zabezpieczania informacji jest odpowiedzialny za przygotowanie dokumentacji akredytacyjnej i innego rodzaju dokumentacji, w tym podręczników dla różnych grup użytkowników.
3.Organ ds. akredytacji bezpieczeństwa każdej instytucji i każdego organu Unii jest odpowiedzialny za ustanowienie procedury akredytacji przebiegającej na jasno określonych warunkach, która wymaga zatwierdzenia, w odniesieniu do wszystkich CIS podlegających właściwości tych instytucji i organów.
4.Jeżeli w CIS, w którym przetwarza i przechowuje się EUCI, zaangażowane są zarówno instytucje i organy Unii, jak i krajowe władze bezpieczeństwa, dane instytucje i organy Unii ustanawiają, w drodze dalszych przepisów wykonawczych przyjętych na podstawie art. 8 ust. 2, wspólną radę ds. akredytacji bezpieczeństwa odpowiedzialną za akredytację tego systemu. Rada ta składa się z przedstawicieli organów ds. akredytacji bezpieczeństwa zaangażowanych stron, a przewodniczy jej organ ds. akredytacji bezpieczeństwa instytucji lub organu Unii, które są właścicielem CIS.
Artykuł 44
Procedura akredytacji CIS, w którym przetwarza i przechowuje się EUCI
1.Wszystkie CIS, w których przetwarza i przechowuje się EUCI, poddawane są procedurze akredytacji opartej na zasadach zabezpieczania informacji, której stopień szczegółowości jest proporcjonalny do wymaganego poziomu ochrony.
2.W wyniku procedury akredytacji wydawane jest świadectwo akredytacji, w którym określa się najwyższy poziom klauzuli tajności informacji, które mogą być przetwarzane i przechowywane w danym CIS, oraz odpowiednie warunki. Świadectwo akredytacji opiera się na formalnym zatwierdzeniu oceny ryzyka i środków bezpieczeństwa wdrożonych w odniesieniu do danego CIS, zapewniającego pewność odnośnie do następujących elementów:
a)proces zarządzania ryzykiem związanym z bezpieczeństwem informacji został odpowiednio przeprowadzony;
b)właściciel systemu lub właściciel ryzyka świadomie zaakceptował ryzyko szczątkowe;
c)osiągnięto wystarczający poziom ochrony CIS oraz przetwarzanych i przechowywanych w nim EUCI zgodnie z niniejszym rozporządzeniem.
3.Świadectwo akredytacji formalnie zatwierdza organ ds. akredytacji bezpieczeństwa instytucji lub organu Unii. Po pomyślnym zatwierdzeniu organ ds. akredytacji bezpieczeństwa wydaje zezwolenie na działanie CIS, określające najwyższy poziom klauzuli tajności EUCI, które mogą być przetwarzane w danym CIS, jak również odpowiednie warunki działania CIS. Zezwolenie jest wydawane na określony czas. Jeżeli co najmniej jeden z wymaganych środków bezpieczeństwa nie jest wdrożony, lecz nie ma to znaczącego wpływu na ogólne bezpieczeństwo, może zostać wydane tymczasowe zezwolenie na działanie, w którym określa się punkty wymagające udoskonalenia.
4.W każdym momencie cyklu życia CIS organ ds. akredytacji bezpieczeństwa danej instytucji lub danego organu Unii może podjąć następujące działania:
a)zastosować procedurę akredytacji;
b)przeprowadzić audyt lub inspekcję CIS;
c)zażądać opracowania i skutecznego wdrożenia planu poprawy bezpieczeństwa w ściśle określonym terminie, ewentualnie cofając zezwolenie na działanie CIS do czasu spełnienia warunków działania – w sytuacji, gdy warunki działania przestały uchodzić za spełnione, np. gdy incydent związany z bezpieczeństwem ujawnił znaczącą podatność CIS na zagrożenia.
5.Właściciel systemu lub operacyjny organ ds. zabezpieczania informacji co roku w okresie ważności zezwolenia działania składa organowi ds. akredytacji bezpieczeństwa formalne sprawozdanie zawierające podsumowanie wszelkich istotnych incydentów, zmian i czynników ryzyka.
Artykuł 45
Okoliczności nadzwyczajne
1.Instytucje i organy Unii mogą stosować szczególne procedury przekazywania lub przechowywania EUCI w okolicznościach nadzwyczajnych, takich jak zbliżające się lub trwające kryzysy, konflikty, stan wojny, bądź w wyjątkowych sytuacjach operacyjnych, po zatwierdzeniu przez ich organ ds. zatwierdzania produktów kryptograficznych.
2.W okolicznościach, o których mowa w ust. 1, EUCI można przekazywać z wykorzystaniem produktów kryptograficznych zatwierdzonych dla niższego poziomu klauzuli tajności lub w postaci niezaszyfrowanej za zgodą właściwego organu, jeżeli jakakolwiek zwłoka spowodowałaby szkody wyraźnie większe od szkód, które mogłoby spowodować ujawnienie materiałów niejawnych, oraz jeżeli:
a)nadawca lub odbiorca nie posiadają wymaganego urządzenia szyfrującego;
b)materiały niejawne nie mogą być dostarczone na czas w inny sposób.
3.Informacje niejawne przekazywane zgodnie z ust. 2 nie są opatrzone żadnymi oznaczeniami ani wskazaniami odróżniającymi je od informacji jawnych lub informacji, które mogą być chronione przy pomocy dostępnego urządzenia szyfrującego. Odbiorcy są bezzwłocznie powiadamiani za pomocą innych środków o poziomie klauzuli tajności.
4.Właściwemu organowi ds. bezpieczeństwa przedkładane jest następnie sprawozdanie z przekazania EUCI w okolicznościach, o których mowa w ust. 1.
Sekcja 6
Bezpieczeństwo przemysłowe
Artykuł 46
Podstawowe zasady
1.Każda instytucja lub każdy organ Unii, jako instytucja zamawiająca lub udzielająca dotacji, zapewnia, aby w umowach niejawnych lub niejawnych umowach o udzielenie dotacji znajdowało się odesłanie do minimalnych norm bezpieczeństwa przemysłowego określonych w niniejszej sekcji oraz do warunków ochrony EUCI ustalonych w niejawnych umowach i niejawnych umowach o udzielenie dotacji określonych w załączniku V lub aby były one tam zawarte, oraz aby były one w momencie zawierania tych umów spełnione.
2.Bezpieczeństwo przemysłowe oznacza stosowanie środków mających zapewnić ochronę EUCI przez następujące osoby lub podmioty:
a)w trybie zarządzania bezpośredniego 30 , w ramach umów niejawnych, przez:
i)kandydatów lub oferentów w procedurze przetargowej i w postępowaniu o udzielenie zamówienia;
(ii)wykonawców i podwykonawców na wszystkich etapach cyklu życia umów niejawnych;
b)w trybie zarządzania bezpośredniego 31 , w ramach niejawnych umów o udzielenie dotacji, przez:
i)wnioskodawców przez cały okres trwania procedury udzielania dotacji;
(ii)beneficjentów lub podwykonawców na wszystkich etapach cyklu życia niejawnych umów o udzielenie dotacji;
c)w trybie zarządzania pośredniego, w ramach ramowych umów o partnerstwie finansowym i powiązanych umów o przyznanie wkładu – przez podmioty, którym powierzono wykonanie zadań, przez cały cykl życia tych umów.
3.Jako podmiot powierzający wykonanie zadań instytucja lub organ Unii opisuje szczegółowe wymogi bezpieczeństwa w odniesieniu do podmiotu, któremu powierzono wykonanie zadań, w rozdziale ramowej umowy o partnerstwie finansowym na temat bezpieczeństwa i w powiązanych umowach o przyznanie wkładu. Wymogi te opierają się na zasadach i przepisach dotyczących bezpieczeństwa zawartych w niniejszym rozporządzeniu w odniesieniu do umów niejawnych i niejawnych umów o udzielenie dotacji, które stosuje się odpowiednio.
4.Umowy niejawne i niejawne umowy o udzielenie dotacji niejawnych nie obejmują informacji z klauzulą tajności TRES SECRET UE/EU TOP SECRET.
5.Przepisy niniejszego rozdziału odnoszące się do umów niejawnych lub ich wykonawców bądź do dotacji niejawnych lub ich beneficjentów mają również zastosowanie do niejawnych umów o podwykonawstwo lub ich podwykonawców w rozumieniu, odpowiednio, umów niejawnych lub dotacji niejawnych.
6.Instytucje i organy Unii, jako organy zamawiające lub udzielające dotacji, ściśle współpracują z władzami bezpieczeństwa lub wszelkimi innymi właściwymi organami państwa, na którego terytorium zarejestrowano stronę umowy lub odbiorcę dotacji, a także z władzami bezpieczeństwa lub wszelkimi innymi właściwymi organami organizacji międzynarodowej, z którą zawarto umowę lub której udzielono dotacji.
7.Instytucje i organy Unii, jako organy zamawiające lub udzielające dotacji, komunikują się z władzami bezpieczeństwa lub wszelkimi innymi właściwymi organami za pośrednictwem swoich organów ds. bezpieczeństwa.
8.Instytucje i organy Unii, jako instytucje zamawiające lub udzielające dotacji, powiadamiają władze lub organy, o których mowa w ust. 6, za pośrednictwem swojego organu ds. bezpieczeństwa, o każdym podpisaniu umowy niejawnej lub niejawnej umowy o udzielenie dotacji.
Powiadomienie zawiera odpowiednie dane, takie jak imiona i nazwiska lub nazwy wykonawcy lub beneficjentów, okres obowiązywania umowy niejawnej lub niejawnej umowy o udzielenie dotacji oraz najwyższy poziom klauzuli tajności.
Instytucje i organy Unii, jako instytucje zamawiające lub udzielające dotacji, powiadamiają również władze lub organy, o których mowa w ust. 6, o każdym przypadku przedwczesnego rozwiązania umów niejawnych lub niejawnych umów o udzielenie dotacji.
9.Instytucje i organy Unii, jako instytucje zamawiające lub udzielające dotacji, mogą zawierać umowy niejawne wyłącznie z podmiotami zarejestrowanymi w tych państwach trzecich lub utworzonymi przez te organizacje międzynarodowe, które zawarły z Unią umowę o bezpieczeństwie informacji, lub mogą udzielać niejawnych części dotacji wyłącznie takim podmiotom. Jeżeli dane EUCI zawierają dane osobowe, wszelkie przekazywanie tych informacji państwu trzeciemu lub organizacji międzynarodowej musi odbywać się zgodnie z rozporządzeniem (UE) 2018/1725.
Artykuł 47
Elementy dotyczące bezpieczeństwa w umowie niejawnej lub niejawnej umowie o udzielenie dotacji
1.Umowy niejawne i niejawne umowy o udzielenie dotacji obejmują następujące elementy dotyczące bezpieczeństwa:
a)przewodnik nadawania klauzul;
b)dokument określający aspekty bezpieczeństwa.
2.Umowy niejawne lub niejawne umowy o udzielenie dotacji mogą obejmować instrukcje bezpieczeństwa programu lub projektu.
Artykuł 48
Przewodnik nadawania klauzul
1.Przed podpisaniem umowy niejawnej lub niejawnej umowy o udzielenie dotacji instytucja lub organ Unii, jako instytucja zamawiająca lub udzielająca dotacji, określa klauzulę tajności wszelkich informacji, które mają być wytworzone przez wykonawców lub beneficjentów, lub ich podwykonawców. W tym celu instytucja lub organ Unii przygotowuje przewodnik nadawania klauzul, który należy stosować podczas wykonywania umowy niejawnej lub niejawnej umowy o udzielenie dotacji.
2.Przewodnik nadawania klauzul może być zmieniany przez cały okres trwania programu lub projektu, o którym mowa w art. 50, umowy lub umowy o udzielenie dotacji, a klauzule tajności dla części informacji mogą zostać zmienione lub obniżone.
3.Do określania klauzuli tajności poszczególnych elementów umowy niejawnej lub niejawnej umowy o udzielenie dotacji zastosowanie mają następujące zasady:
a)opracowując przewodnik nadawania klauzul, instytucja lub organ Unii, jako instytucja zamawiająca lub udzielająca dotacji, uwzględnia wszystkie odpowiednie aspekty bezpieczeństwa, w tym klauzulę tajności nadaną informacjom przekazanym przez ich wytwórcę i zatwierdzonym przez niego do wykorzystania do celów umowy niejawnej lub niejawnej umowy o udzielenie dotacji;
b)ogólny poziom klauzuli tajności umowy niejawnej lub niejawnej dotacji nie może być niższy niż najwyższa klauzula któregokolwiek z jej elementów;
c)w stosownych przypadkach dana instytucja lub dany organ Unii, jako instytucja zamawiająca lub udzielająca dotacji, komunikuje się za pośrednictwem swoich organów ds. bezpieczeństwa z władzami bezpieczeństwa lub wszelkimi innymi właściwymi organami danego państwa w przypadku wprowadzania jakichkolwiek zmian do przewodnika nadawania klauzul.
Artykuł 49
Dokument określający aspekty bezpieczeństwa
1.Każda instytucja lub każdy organ Unii, jako instytucja zamawiająca lub udzielająca dotacji, opisuje w dokumencie określającym aspekty bezpieczeństwa szczegółowe wymogi bezpieczeństwa określone w umowie niejawnej lub niejawnej dotacji. Dokument ten zawiera przewodnik nadawania klauzul i stanowi integralną część umowy niejawnej, niejawnej umowy o udzielenie dotacji lub niejawnej umowy o podwykonawstwo.
2.Dokument określający aspekty bezpieczeństwa zawiera przepisy zobowiązujące wykonawcę lub beneficjenta i ich podwykonawców do przestrzegania przepisów niniejszego rozporządzenia i wszelkich dalszych przepisów wykonawczych przyjętych na podstawie art. 8 ust. 2 w odniesieniu do bezpieczeństwa przemysłowego. W dokumencie określającym aspekty bezpieczeństwa wyraźnie wskazuje się, że nieprzestrzeganie takich przepisów może stanowić wystarczający powód do rozwiązania umowy niejawnej lub niejawnej umowy o udzielenie dotacji.
Artykuł 50
Instrukcja bezpieczeństwa programu lub projektu
1.Instytucje i organy Unii, jako instytucje zamawiające lub udzielające dotacji, mogą opracować instrukcję bezpieczeństwa programu lub projektu, w ścisłej współpracy ze swoimi władzami bezpieczeństwa, zwłaszcza w odniesieniu do programów i projektów charakteryzujących się znacznym zakresem, skalą lub złożonością, bądź mnogością lub zróżnicowaniem wykonawców, beneficjentów i innych zaangażowanych partnerów i zainteresowanych stron.
2.Organ ds. bezpieczeństwa każdej instytucji lub każdego organu Unii, jako instytucji zamawiającej lub udzielającej dotacji, przedkłada szczegółową instrukcję bezpieczeństwa programu lub projektu odpowiedniemu organowi doradczemu ds. bezpieczeństwa państwa członkowskiego, w skład którego wchodzą krajowe władze bezpieczeństwa lub wyznaczone władze bezpieczeństwa, w celu uzyskania konsultacji.
Jeżeli instytucja lub organ Unii nie posiada takiego organu doradczego, instrukcję bezpieczeństwa programu lub projektu przedkłada się Komitetowi ds. Bezpieczeństwa Informacji, o którym mowa w art. 6 ust. 8.
Sekcja 7
Udostępnianie EUCI i wymiana informacji niejawnych
Artykuł 51
Podstawowe zasady
1.Wszystkie instytucje i organy Unii mogą udostępniać EUCI innym instytucjom lub organom Unii na warunkach określonych w art. 54.
2.Instytucje i organy Unii mogą udostępniać EUCI państwom członkowskim i Europejskiej Wspólnocie Energii Atomowej, pod warunkiem że państwa te chronią informacje zgodnie z odpowiednim oznaczeniem klauzuli tajności określonym w Umowie między państwami członkowskimi Unii Europejskiej, zebranymi w Radzie, w sprawie ochrony informacji niejawnych wymienianych w interesie Unii Europejskiej, oraz w odpowiedniej tabeli zawartej w załączniku VI do niniejszego rozporządzenia.
3.Instytucje i organy Unii wymieniają informacje niejawne wyłącznie z państwami trzecimi lub organizacjami międzynarodowymi, z którymi zawarto umowę o bezpieczeństwie informacji lub porozumienie administracyjne zgodnie z art. 55 i 56.
Takie umowy i porozumienia muszą zawierać postanowienia zapewniające, aby państwa trzecie lub organizacje międzynarodowe otrzymujące EUCI chroniły takie informacje w sposób odpowiadający ich poziomowi klauzuli tajności i zgodny z minimalnymi normami, które nie mogą być mniej rygorystyczne niż normy określone w niniejszym rozporządzeniu.
4.Jeżeli nie zawarto umowy o bezpieczeństwie informacji ani porozumienia administracyjnego, instytucja lub organ Unii może, w wyjątkowych okolicznościach, udostępnić EUCI innej instytucji lub innemu organowi Unii, państwu trzeciemu lub organizacji międzynarodowej zgodnie z art. 58.
5.Instytucje i organy Unii wyznaczają takie rejestry stanowiące główne punkty, do których wpływają i z których przekazywane są EUCI wymieniane z innymi instytucjami lub organami Unii lub informacje niejawne wymieniane z państwami trzecimi i organizacjami międzynarodowymi.
Artykuł 52
Podgrupa ds. udostępniania EUCI i wymiany informacji niejawnych
1.Podgrupa ds. udostępniania EUCI i wymiany informacji niejawnych, o której mowa w art. 7 ust. 1 lit. e), ma następujące role i obowiązki:
a)organizowanie wizyt oceniających w instytucjach i organach Unii, państwach trzecich i organizacjach międzynarodowych oraz przyjmowanie rocznych programów wizyt;
b)przygotowywanie i przeprowadzanie wizyt oceniających;
c)sporządzanie sprawozdań z wyniku wizyt, o których mowa w lit. a),
z wyjątkiem przypadków, o których mowa w art. 56 ust. 2.
2.W skład podgrupy ds. udostępniania EUCI i wymiany informacji niejawnych wchodzą przedstawiciele Komisji, Rady i Europejskiej Służby Działań Zewnętrznych, a działa ona na zasadzie konsensusu.
Artykuł 53
Wizyty oceniające związane z udostępnianiem EUCI
1.Podgrupa ds. udostępniania EUCI i wymiany informacji niejawnych przeprowadza wizyty oceniające w pełnej współpracy z urzędnikami instytucji lub organu Unii, w których przeprowadzana jest wizyta. Może ona zwrócić się o pomoc do KWB, na której terytorium znajduje się instytucja lub organ Unii.
2.Wizyty oceniające w danych instytucjach i organach Unii służą następującym celom:
a)sprawdzeniu, czy spełnione są wymogi dotyczące ochrony EUCI określone w niniejszym rozporządzeniu, a tym samym – czy wdrożone środki są skuteczne;
b)podkreśleniu znaczenia bezpieczeństwa i skutecznego zarządzania ryzykiem wewnątrz organizacji, w której przeprowadza się wizytę;
c)zaleceniu środków zaradczych mających złagodzić konkretne skutki, jakie może powodować utrata dostępności, poufności lub integralności informacji niejawnych;
d)ulepszeniu istniejących programów szkoleń i upowszechniania wiedzy w dziedzinie bezpieczeństwa, opracowanych przez organy ds. bezpieczeństwa.
3.Na zakończenie wizyty oceniającej podgrupa ds. udostępniania EUCI i wymiany informacji niejawnych wykonuje następujące zadania:
a)sporządza sprawozdanie zawierające główne wnioski z oceny;
b)zasięga opinii Komitetu ds. Bezpieczeństwa Informacji, o którym mowa w art. 6 ust. 8, na temat sprawozdania;
c)przesyła sprawozdanie organowi ds. bezpieczeństwa instytucji lub organu Unii, w których przeprowadzono wizytę, na potrzeby podjęcia działań następczych.
4.Jeżeli w sprawozdaniu zaproponowano działania naprawcze lub przedstawiono zalecenia, organizuje się wizytę kontrolną w celu sprawdzenia, czy podjęto takie działania lub czy zastosowano się do zaleceń.
Artykuł 54
Udostępnianie EUCI
1.Instytucja lub organ Unii może udostępniać EUCI innej instytucji lub innemu organowi Unii, jeżeli spełnione są następujące warunki:
a)istnieje udowodniona potrzeba wymiany informacji;
b)w danej instytucji lub danym organie Unii przeprowadzono wizytę oceniającą zgodnie z art. 53, której wynik potwierdza zdolność tej instytucji lub tego organu Unii do przetwarzania i przechowywania EUCI o określonym poziomie klauzuli tajności;
c)władza bezpieczeństwa danej instytucji lub danego organu Unii postanawia, że może dokonywać wymiany informacji niejawnych do określonego poziomu klauzuli tajności z innymi takimi certyfikowanymi instytucjami i organami Unii.
2.Sekretariat grupy koordynacyjnej sporządza wykaz poziomów EUCI, które mogą być przetwarzane i przechowywane przez każdą instytucję i każdy organ Unii spełniające warunki określone w ust. 1 lit. b) i c). Regularnie aktualizuje on ten wykaz.
Artykuł 55
Umowy o bezpieczeństwie informacji
1.W przypadku gdy konieczna jest długoterminowa wymiana informacji niejawnych z państwem trzecim lub organizacją międzynarodową, właściwa instytucja lub właściwy organ dążą do wynegocjowania i zawarcia umowy o bezpieczeństwie informacji zgodnie z art. 218 Traktatu o funkcjonowaniu Unii Europejskiej.
2.W umowie o bezpieczeństwie informacji ustanawia się podstawowe zasady i minimalne normy mające zastosowanie do wymiany informacji niejawnych między Unią a państwem trzecim lub organizacją międzynarodową.
3.Umowy o bezpieczeństwie informacji przewidują techniczne uzgodnienia wykonawcze, dokonywane przez właściwe organy ds. bezpieczeństwa odpowiednich instytucji i organów Unii oraz właściwą władzę bezpieczeństwa danego państwa trzeciego lub danej organizacji międzynarodowej.
4.Przed zatwierdzeniem technicznych uzgodnień wykonawczych, o których mowa w ust. 3, podgrupa ds. udostępniania EUCI i wymiany informacji niejawnych przeprowadza wizytę oceniającą zgodnie z art. 57.
Artykuł 56
Porozumienia administracyjne z państwami trzecimi i organizacjami międzynarodowymi
1.Jeżeli regulamin wewnętrzny lub akty założycielskie instytucji i organów Unii przewidują taką możliwość, wspomniane instytucje i organy mogą zawrzeć porozumienie administracyjne ze swoimi odpowiednikami w państwie trzecim lub organizacji międzynarodowej po poinformowaniu o tym fakcie podgrupy ds. udostępniania EUCI i wymiany informacji niejawnych, jeżeli spełnione są następujące warunki:
a)dana instytucja lub dany organ Unii musi prowadzić ze swoim odpowiednikiem w państwie trzecim lub organizacji międzynarodowej długoterminową wymianę informacji z klauzulą tajności co do zasady nie wyższą niż RESTREINT UE/EU RESTRICTED;
b)dana instytucja lub dany organ Unii spełnia warunki określone w art. 54 ust. 1;
c)sprawozdanie z wizyty oceniającej, o której mowa w art. 57, poświadcza, że właściwy odpowiednik w danym państwie trzecim lub danej organizacji międzynarodowej jest w stanie przetwarzać i przechowywać EUCI o określonym poziomie klauzuli tajności.
2.Przed zawarciem porozumienia administracyjnego przeprowadza się wizytę oceniającą zgodnie z zasadami określonymi w art. 57. Instytucja lub organ Unii dążące do zawarcia porozumienia administracyjnego mogą zwrócić się do podgrupy ds. udostępniania EUCI i wymiany informacji niejawnych o przeprowadzenie w ich imieniu wizyty oceniającej lub uczestniczenie w tej wizycie.
3.Organ ds. bezpieczeństwa instytucji lub organu Unii, które dążą do zawarcia porozumienia administracyjnego, decyduje o wszelkich szczególnych warunkach regulujących wymianę oraz o najwyższym poziomie klauzuli tajności EUCI, które mogą podlegać wymianie. Poziom ten nie może być wyższy niż poziom określony w odniesieniu do udostępniania EUCI innym instytucjom i organom Unii zgodnie z art. 54 i, w stosownych przypadkach, nie powinien być wyższy niż poziom przewidziany w umowie o bezpieczeństwie informacji zawartej z tym samym państwem trzecim lub tą samą organizacją międzynarodową.
Artykuł 57
Wizyty oceniające na potrzeby wymiany informacji niejawnych z państwami trzecimi i organizacjami międzynarodowymi
1.Wizytę oceniającą w państwie trzecim lub organizacji międzynarodowej przeprowadza się w celu ustalenia, czy instytucja lub organ Unii może wymieniać informacje niejawne z danym państwem trzecim lub daną organizacją międzynarodową.
2.Celem wizyty oceniającej jest ocena skuteczności przepisów i procedur dotyczących bezpieczeństwa w danym państwie trzecim lub danej organizacji międzynarodowej w odniesieniu do ochrony EUCI o określonym poziomie klauzuli tajności. Wizytę oceniającą przeprowadza się w porozumieniu z danym państwem trzecim lub daną organizacją międzynarodową.
3.W ramach wizyt oceniających ocenia się co najmniej następujące elementy:
a)ramy prawne mające zastosowanie do ochrony informacji niejawnych oraz ich adekwatność w kontekście ochrony EUCI o określonym poziomie klauzuli tajności;
b)wszelkie cechy charakterystyczne polityki bezpieczeństwa oraz sposób, w jaki zorganizowana jest polityka bezpieczeństwa w państwie trzecim lub organizacji międzynarodowej, co może mieć wpływ na poziom tajności informacji niejawnych, które mogą być wymieniane;
c)stosowane faktycznie środki i procedury bezpieczeństwa;
d)procedury sprawdzające w zakresie poświadczenia bezpieczeństwa odpowiadające klauzuli tajności EUCI, które mają być udostępniane.
4.Zanim EUCI zostaną faktycznie udostępnione danemu państwu trzeciemu lub danej organizacji międzynarodowej Komitet ds. Bezpieczeństwa Informacji, o którym mowa w art. 6 ust. 8, otrzymuje sprawozdanie z ustaleń z takich wizyt. W stosownych przypadkach sprawozdanie udostępnia się również danej instytucji lub danemu organowi Unii.
5.Organy ds. bezpieczeństwa instytucji lub organu Unii informują państwo trzecie lub organizację międzynarodową o dacie, od której ta instytucja lub ten organ jest w stanie udostępnić EUCI, a także o najwyższym poziomie klauzuli tajności EUCI, które mogą być wymieniane w formie papierowej lub drogą elektroniczną.
6.Wizyty kontrolne organizuje się, jeżeli spełnione są następujące warunki:
a)konieczne jest podniesienie poziomu klauzuli tajności EUCI, które mogą być przedmiotem wymiany;
b)dana instytucja lub dany organ Unii zostały powiadomione o fundamentalnych zmianach w zabezpieczeniach stosowanych przez państwo trzecie lub organizację międzynarodową, które to zmiany mogły mieć wpływ na sposób ochrony EUCI;
c)doszło do poważnego incydentu związanego z bezpieczeństwem informacji dotyczącego nieuprawnionego ujawnienia EUCI.
Artykuł 58
Wyjątkowe udostępnianie EUCI ad hoc
1.W przypadku braku umowy o bezpieczeństwie informacji lub porozumienia administracyjnego, jeżeli instytucja lub organ Unii stwierdzi, że istnieje wyjątkowa potrzeba udostępnienia EUCI innej instytucji lub innemu organowi Unii lub państwu trzeciemu lub organizacji międzynarodowej; lub
w przypadku gdy zawarto umowę o bezpieczeństwie informacji lub porozumienia administracyjnego, a instytucja lub organ Unii stwierdzi, że istnieje wyjątkowa potrzeba udostępnienia EUCI oznaczonych poziomami klauzuli tajności wyższymi niż te przewidziane w umowie lub porozumieniu, instytucja lub organ Unii przekazujące EUCI podejmuje następujące kroki:
a)w miarę możliwości weryfikuje z pomocą władz bezpieczeństwa państwa trzeciego, organizacji międzynarodowej bądź otrzymującej instytucji lub otrzymującego organu Unii, czy ich przepisy, struktury i procedury dotyczące bezpieczeństwa mogą zapewnić ochronę udostępnianych EUCI zgodnie z normami nie mniej rygorystycznymi niż normy określone w niniejszym rozporządzeniu;
b)zasięga opinii Komitetu ds. Bezpieczeństwa Informacji, o którym mowa w art. 6 ust. 8, na podstawie weryfikacji przeprowadzonej na podstawie lit. a), chyba że okoliczności operacyjne wymagają natychmiastowego udostępnienia ad hoc, w którym to przypadku Komitet ds. Bezpieczeństwa Informacji jest informowany później.
2.Wszystkie dokumenty udostępnione na podstawie niniejszego artykułu są opatrzone oznaczeniem dotyczącym możliwości udostępniania wskazującym państwo trzecie, organizację międzynarodową bądź instytucję lub organ Unii, którym zostają udostępnione.
3.Przed faktycznym udostępnieniem lub w momencie faktycznego udostępniania instytucja lub organ Unii przekazujące EUCI zwracają się do strony otrzymującej o pisemne zobowiązanie się do ochrony EUCI, które są przez nią otrzymane. W stosownych przypadkach wzywa się stronę otrzymującą do zobowiązania się do ochrony EUCI zgodnie z podstawowymi zasadami i minimalnymi normami określonymi w niniejszym rozporządzeniu.
Rozdział 6
Przepisy końcowe
Artykuł 59
Wykonanie
1.Grupa koordynacyjna ustanawia wytyczne dotyczące bezpieczeństwa informacji na potrzeby wykonania niniejszego rozporządzenia.
2.W zależności od swoich szczególnych potrzeb instytucje i organy Unii mogą przyjmować przepisy wewnętrzne do celów wykonania niniejszego rozporządzenia, zgodnie z art. 8 ust. 2.
Artykuł 60
Przepisy przejściowe
1.Wewnętrzne przepisy dotyczące bezpieczeństwa informacji przyjęte przez poszczególne instytucje lub organy Unii przed dniem [dd/mm/rrrr – data rozpoczęcia stosowania] podlegają przeglądowi najpóźniej do dnia [3 lata po wejściu w życie niniejszego rozporządzenia].
2.Wszystkie instytucje i organy Unii, które Komisja, Rada lub ESDZ oceniły przed dniem [dd/mm/rrrr – data rozpoczęcia stosowania] jako odpowiednie do przetwarzania i przechowywania EUCI, uznaje się za spełniające warunki, o których mowa w art. 19 ust. 1.
3.Wszelkie porozumienia administracyjne zawarte przez instytucje i organy Unii z państwami trzecimi i organizacjami międzynarodowymi przed dniem [dd/mm/rrrr – data rozpoczęcia stosowania] pozostają ważne.
4.W przypadku gdy państwa członkowskie, na których terytorium znajdują się beneficjenci umowy z Komisją o udzielenie dotacji w ramach Europejskiego programu rozwoju przemysłu obronnego, zdecydują się na ustanowienie szczegółowych ram bezpieczeństwa do celów ochrony krajowych informacji niejawnych dotyczących danej umowy o udzielenie dotacji oraz do celów przetwarzania tych informacji, przy stosowaniu procedur bezpieczeństwa przemysłowego zawartych w niniejszym rozporządzeniu Komisja będzie przestrzegać tych ram bezpieczeństwa do końca cyklu życia umowy o udzielenie dotacji.
Artykuł 61
Monitorowanie i ewaluacja
1.Najpóźniej do dnia [dd/mm/rrrr 3 lata od daty rozpoczęcia stosowania] Komisja przedkłada Parlamentowi Europejskiemu i Radzie sprawozdanie z wykonania niniejszego rozporządzenia.
2.Nie wcześniej niż [5 lat od daty rozpoczęcia stosowania], a następnie co pięć lat Komisja przeprowadza ocenę niniejszego rozporządzenia i przedkłada Parlamentowi Europejskiemu i Radzie sprawozdanie z najważniejszych ustaleń tej oceny.
Artykuł 62
Wejście w życie i rozpoczęcie stosowania
1.Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
2.Niniejsze rozporządzenie stosuje się od dnia [data: pierwszy dzień miesiąca następującego po okresie dwóch lat od daty wejścia w życie] r.
Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.
Sporządzono w Brukseli dnia […] r.
W imieniu Parlamentu Europejskiego W imieniu Rady
Przewodnicząca Przewodniczący
[...] [...]
OCENA SKUTKÓW FINANSOWYCH REGULACJI
1.STRUKTURA WNIOSKU/INICJATYWY
1.1.Tytuł wniosku/inicjatywy
1.2.Obszary polityki, których dotyczy wniosek/inicjatywa
1.3.Wniosek/inicjatywa dotyczy:
1.4.Cel(e)
1.4.1.Cel(e) ogólny(e)
1.4.2.Cel(e) szczegółowy(e)
1.4.3.Oczekiwane wyniki i wpływ
1.4.4.Wskaźniki dotyczące realizacji celów
1.5.Uzasadnienie wniosku/inicjatywy
1.5.1.Potrzeby, które należy zaspokoić w perspektywie krótko- lub długoterminowej, w tym szczegółowy terminarz przebiegu realizacji inicjatywy
1.5.2.Wartość dodana z tytułu zaangażowania Unii Europejskiej (może wynikać z różnych czynników, na przykład korzyści koordynacyjnych, pewności prawa, większej efektywności lub komplementarności). Na potrzeby tego punktu „wartość dodaną z tytułu zaangażowania Unii” należy rozumieć jako wartość wynikającą z unijnej interwencji, wykraczającą poza wartość, która zostałaby wytworzona przez same państwa członkowskie.
1.5.3.Główne wnioski wyciągnięte z podobnych działań
1.5.4.Spójność z wieloletnimi ramami finansowymi oraz możliwa synergia z innymi właściwymi instrumentami
1.5.5.Ocena różnych dostępnych możliwości finansowania, w tym zakresu przegrupowania środków
1.6.Czas trwania i wpływ finansowy wniosku/inicjatywy
1.7.Planowane tryby zarządzania
2.ŚRODKI ZARZĄDZANIA
2.1.Zasady nadzoru i sprawozdawczości
2.2.System zarządzania i kontroli
2.2.1.Uzasadnienie dla systemu zarządzania, mechanizmów finansowania wykonania, warunków płatności i proponowanej strategii kontroli
2.2.2.Informacje dotyczące zidentyfikowanego ryzyka i systemów kontroli wewnętrznej ustanowionych w celu jego ograniczenia
2.2.3.Oszacowanie i uzasadnienie efektywności kosztowej kontroli (relacja kosztów kontroli do wartości zarządzanych funduszy powiązanych) oraz ocena prawdopodobnego ryzyka błędu (przy płatności i przy zamykaniu)
2.3.Środki zapobiegania nadużyciom finansowym i nieprawidłowościom
3.SZACUNKOWY WPŁYW FINANSOWY WNIOSKU/INICJATYWY
3.1.Działy wieloletnich ram finansowych i linie budżetowe po stronie wydatków, na które wniosek/inicjatywa ma wpływ
3.2.Szacunkowy wpływ finansowy wniosku na środki
3.2.1.Podsumowanie szacunkowego wpływu na środki operacyjne
3.2.2.Przewidywany produkt finansowany ze środków operacyjnych
3.2.3.Podsumowanie szacunkowego wpływu na środki administracyjne
3.2.4.Zgodność z obowiązującymi wieloletnimi ramami finansowymi
3.2.5.Udział osób trzecich w finansowaniu
3.3.Szacunkowy wpływ na dochody
OCENA SKUTKÓW FINANSOWYCH REGULACJI
1.STRUKTURA WNIOSKU/INICJATYWY
1.1.Tytuł wniosku/inicjatywy
Wniosek dotyczący ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY w sprawie bezpieczeństwa informacji w instytucjach, organach, urzędach i agencjach Unii
1.2.Obszary polityki, których dotyczy wniosek/inicjatywa
Europejska administracja publiczna
Przepisy instytucji i organów Unii dotyczące bezpieczeństwa informacji powinny łącznie stanowić kompleksowe i spójne ogólne ramy w administracji europejskiej służące ochronie informacji oraz powinny zapewniać, aby podstawowe zasady i minimalne normy były równoważne. Poziom ochrony informacji powinien również być równoważny we wszystkich instytucjach i organach Unii.
1.3.Wniosek/inicjatywa dotyczy:
nowego działania
◻ nowego działania, będącego następstwem projektu pilotażowego/działania przygotowawczego 32
◻ przedłużenia bieżącego działania
◻ połączenia lub przekształcenia co najmniej jednego działania pod kątem innego/nowego działania
1.4.Cel(e)
1.4.1.Cel(e) ogólny(e)
Ogólnym celem inicjatywy jest utworzenie przepisów dotyczących bezpieczeństwa informacji dla wszystkich instytucji i organów Unii w celu zapewnienia lepszej i spójnej ochrony przed zmieniającymi się zagrożeniami, na jakie narażone są ich informacje.
1.4.2.Cel(-e) szczegółowy(-e)
• CEL SZCZEGÓŁOWY nr 1: Ustanowienie zharmonizowanych i kompleksowych kategorii informacji, a także wspólnych wymogów dotyczących przetwarzania w odniesieniu do wszystkich informacji przetwarzanych przez administrację europejską oraz ułatwienie bezpiecznej wymiany informacji między instytucjami i organami Unii przy jednoczesnym zminimalizowaniu wpływu na państwa członkowskie.
CEL SZCZEGÓŁOWY nr 2: Zapewnienie, aby wszystkie instytucje i organy Unii zidentyfikowały w swoich procesach wszelkie luki związane z bezpieczeństwem i wdrożyły środki niezbędne do zapewnienia równych warunków działania w zakresie bezpieczeństwa informacji.
CEL SZCZEGÓŁOWY nr 3: Utworzenie uproszczonego systemu współpracy w zakresie bezpieczeństwa informacji między instytucjami i organami Unii, który umożliwiłby propagowanie spójnej kultury bezpieczeństwa informacji w całej administracji europejskiej.
CEL SZCZEGÓŁOWY nr 4: Aktualizacja polityki bezpieczeństwa informacji na wszystkich poziomach klauzuli tajności/kategoryzacji, we wszystkich instytucjach i organach Unii, z uwzględnieniem transformacji cyfrowej i rozwoju telepracy jako praktyki strukturalnej.
1.4.3.Oczekiwane wyniki i wpływ
Należy wskazać, jakie efekty przyniesie wniosek/inicjatywa beneficjentom/grupie docelowej.
Wniosek przyniesie następujące efekty instytucjom i organom Unii:
–przegląd ich wewnętrznych przepisów i procedur w celu dostosowania ich do rozporządzenia;
–kategoryzacja wszystkich informacji przetwarzanych zgodnie z systemem przewidzianym w rozporządzeniu;
–zapewnienie, aby ich systemy teleinformatyczne były zgodne z wymogami określonymi w rozporządzeniu;
–udział w międzyinstytucjonalnej grupie koordynacyjnej ds. bezpieczeństwa informacji („grupa koordynacyjna”).
Państwa członkowskie skorzystają dzięki niniejszemu rozporządzeniu, ponieważ współpraca z instytucjami i organami Unii we wszystkich odpowiednich dziedzinach (bezpieczeństwo osobowe, bezpieczeństwo przemysłowe lub udostępnianie informacji) opierałaby się na tych samych pojęciach, przepisach i procedurach.
1.4.4.Wskaźniki dotyczące realizacji celów
Należy wskazać wskaźniki stosowane do monitorowania postępów i osiągnięć.
Wskaźniki istotne dla celu szczegółowego nr 1
–Przyjęcie odpowiednich wytycznych
–Wdrożenie nowych oznaczeń
–Publikacja zaktualizowanych instrukcji dotyczących przetwarzania w odniesieniu do wszystkich kategorii informacji
–Wdrożenie wspólnych systemów przetwarzania szczególnie chronionych informacji jawnych oraz EUCI
Wskaźniki istotne dla celu szczegółowego nr 2
–Liczba wydanych/zrealizowanych zaleceń
–Liczba wycieków informacji z instytucji i organów
Wskaźniki istotne dla celu szczegółowego nr 3
–Statystyki dotyczące centralnych i lokalnych zamówień publicznych
–Sprawozdania z kontroli
–Liczba zapytań rozpatrzonych przez sekretariat grupy koordynacyjnej ds. bezpieczeństwa informacji
Wskaźniki istotne dla celu szczegółowego nr 4
–Liczba użytkowników, którzy przeszli szkolenie
–Poziom wiedzy pracowników w zakresie przepisów dotyczących bezpieczeństwa informacji
–Odsetek pracowników, którym umożliwiono pracę z wykorzystaniem bezpiecznego sprzętu do telepracy
1.5.Uzasadnienie wniosku/inicjatywy
1.5.1.Potrzeby, które należy zaspokoić w perspektywie krótko- lub długoterminowej, w tym szczegółowy terminarz przebiegu realizacji inicjatywy
Wdrożenie niniejszej inicjatywy będzie przebiegać etapami w następujący sposób:
–2022/2023: przyjęcie rozporządzenia, wejście w życie
–2024/2025: przeprowadzony przez wszystkie instytucje i organy Unii przegląd ich wewnętrznych przepisów dotyczących bezpieczeństwa informacji w celu dostosowania ich do rozporządzenia
–2025: prace organizacyjne na potrzeby ustanowienia grupy koordynacyjnej i jej sekretariatu, jak również podgrup technicznych
–2024/2025: rozpoczęcie stosowania rozporządzenia
–2025/2026: przyjęcie regulaminu wewnętrznego grupy koordynacyjnej i podgrup technicznych
–2026–2028: prace nad wytycznymi wspomagającymi wdrożenie rozporządzenia, wymiana najlepszych praktyk między instytucjami i organami
–2029/2030: przygotowanie pierwszej oceny rozporządzenia (co 5 lat od daty rozpoczęcia stosowania)
–2030: pierwsza ocena rozporządzenia
1.5.2.Wartość dodana z tytułu zaangażowania Unii Europejskiej (może wynikać z różnych czynników, na przykład korzyści koordynacyjnych, pewności prawa, większej efektywności lub komplementarności). Na potrzeby tego punktu „wartość dodaną z tytułu zaangażowania Unii” należy rozumieć jako wartość wynikającą z unijnej interwencji, wykraczającą poza wartość, która zostałaby wytworzona przez same państwa członkowskie.
Inicjatywa przyczyni się do zapewnienia, aby instytucje i organy Unii były wspierane w wykonywaniu zadań przez otwartą, efektywną i niezależną administrację.
Stanowi ona uzupełnienie ogólnych krajowych działań państw członkowskich w obszarze bezpieczeństwa UE poprzez ochronę instytucji i organów przed ingerencją z zewnątrz i działalnością szpiegowską.
1.5.3.Główne wnioski wyciągnięte z podobnych działań
Nie dotyczy
1.5.4.Spójność z wieloletnimi ramami finansowymi oraz możliwa synergia z innymi właściwymi instrumentami
Projekt będzie wymagać realokacji/przydzielenia dwóch EPC do sekretariatu grupy koordynacyjnej ds. bezpieczeństwa informacji.
Inne projekty, takie jak opracowanie wspólnych narzędzi i centralizacja niektórych działań, już są częściowo realizowane i objęte umowami o gwarantowanym poziomie usług i umowami ramowymi.
1.5.5.Ocena różnych dostępnych możliwości finansowania, w tym zakresu przegrupowania środków
Zob. poprzednia sekcja.
1.6.Czas trwania i wpływ finansowy wniosku/inicjatywy
◻ Ograniczony czas trwania
–◻ Okres trwania wniosku/inicjatywy: od [DD/MM]RRRR r. do [DD/MM]RRRR r.
–◻ Okres trwania wpływu finansowego: od RRRR r. do RRRR r. w odniesieniu do środków na zobowiązania oraz od RRRR r. do RRRR r. w odniesieniu do środków na płatności.
– Nieograniczony czas trwania
1.7.Planowane tryby zarządzania 33
Bezpośrednie zarządzanie przez Komisję oraz każdą instytucję i każdy organ Unii
– w ramach jej służb, w tym za pośrednictwem jej pracowników w delegaturach Unii;
–◻ przez agencje wykonawcze
◻ Zarządzanie dzielone z państwami członkowskimi
◻ Zarządzanie pośrednie poprzez przekazanie zadań związanych z wykonaniem budżetu:
–◻ państwom trzecim lub organom przez nie wyznaczonym;
–◻ organizacjom międzynarodowym i ich agencjom (należy wyszczególnić);
–◻ EBI oraz Europejskiemu Funduszowi Inwestycyjnemu;
–◻ organom, o których mowa w art. 70 i 71 rozporządzenia finansowego;
–◻ organom prawa publicznego;
–◻ podmiotom podlegającym prawu prywatnemu, które świadczą usługi użyteczności publicznej, o ile są im zapewnione odpowiednie gwarancje finansowe;
–◻ podmiotom podlegającym prawu prywatnemu państwa członkowskiego, którym powierzono realizację partnerstwa publiczno-prywatnego i zapewniono odpowiednie gwarancje finansowe;
–◻ osobom odpowiedzialnym za wykonanie określonych działań w dziedzinie wspólnej polityki zagranicznej i bezpieczeństwa na mocy tytułu V Traktatu o Unii Europejskiej oraz określonym we właściwym podstawowym akcie prawnym.
–W przypadku wskazania więcej niż jednego trybu należy podać dodatkowe informacje w części „Uwagi”.
Uwagi
2.ŚRODKI ZARZĄDZANIA
2.1.Zasady nadzoru i sprawozdawczości
Określić częstotliwość i warunki
Co 5 lat rozporządzenie będzie poddawane ocenie, a Komisja będzie przekazywała swoje ustalenia Radzie i Parlamentowi Europejskiemu.
2.2.System zarządzania i kontroli
2.2.1.Uzasadnienie dla systemu zarządzania, mechanizmów finansowania wykonania, warunków płatności i proponowanej strategii kontroli
Rozporządzenie określa przepisy dotyczące bezpieczeństwa informacji mające zastosowanie do wszystkich instytucji i organów Unii. Monitorowanie jego prawidłowego wdrożenia będzie odbywać się za pośrednictwem grupy koordynacyjnej obejmującej wszystkie władze bezpieczeństwa instytucji i organów.
Pełna odpowiedzialność za bezpieczeństwo nadal spoczywa na władzy bezpieczeństwa poszczególnych instytucji lub organów i podlega istniejącym ramom kontroli wewnętrznej każdej instytucji lub każdego organu.
2.2.2.Informacje dotyczące zidentyfikowanego ryzyka i systemów kontroli wewnętrznej ustanowionych w celu jego ograniczenia
Rozporządzenie ustanowi podstawowe przepisy dotyczące bezpieczeństwa informacji i zapewni przejrzystość środków bezpieczeństwa w odniesieniu do wymiany informacji między instytucjami i organami Unii, a tym samym ograniczy ryzyko związane z bezpieczeństwem informacji we wszystkich dziedzinach.
Rozporządzenie jest zgodne ze standardami kontroli wewnętrznej oraz uwzględnia oparte na analizie ryzyka podejście do kształtowania polityki.
2.2.3.Oszacowanie i uzasadnienie efektywności kosztowej kontroli (relacja kosztów kontroli do wartości zarządzanych funduszy powiązanych) oraz ocena prawdopodobnego ryzyka błędu (przy płatności i przy zamykaniu)
Zastosowanie będą miały istniejące mechanizmy kontroli instytucji i organów. Zgodność z rozporządzeniem i ryzyka związane z bezpieczeństwem informacji należy zgłaszać w ramach sprawozdawczości rocznej instytucji i organów dotyczącej ryzyka.
2.3.Środki zapobiegania nadużyciom finansowym i nieprawidłowościom
Określić istniejące lub przewidywane środki zapobiegania i ochrony, np. ze strategii zwalczania nadużyć finansowych.
Nie dotyczy
3.SZACUNKOWY WPŁYW FINANSOWY WNIOSKU/INICJATYWY
3.1.Działy wieloletnich ram finansowych i linie budżetowe po stronie wydatków, na które wniosek/inicjatywa ma wpływ
·Istniejące linie budżetowe
Według działów wieloletnich ram finansowych i linii budżetowych
|
Dział wieloletnich ram finansowych |
Linia budżetowa |
Rodzaj
|
Wkład |
|||
|
Numer
|
Zróżn. / niezróżn. 34 |
państw EFTA 35 |
krajów kandydujących 36 |
państw trzecich |
w rozumieniu art. 21 ust. 2 lit. b) rozporządzenia finansowego |
|
|
H7 |
20 01 02 01 |
Środki niezróżnicowane |
NIE |
NIE |
NIE |
NIE |
·Proponowane nowe linie budżetowe
Według działów wieloletnich ram finansowych i linii budżetowych
|
Dział wieloletnich ram finansowych |
Linia budżetowa |
Rodzaj
|
Wkład |
|||
|
Numer
|
Zróżn./ niezróżn. |
państw EFTA |
krajów kandydujących |
państw trzecich |
w rozumieniu art. 21 ust. 2 lit. b) rozporządzenia finansowego |
|
|
brak |
TAK/NIE |
TAK/NIE |
TAK/NIE |
TAK/NIE |
||
3.2.Szacunkowy wpływ finansowy wniosku na środki
3.2.1.Podsumowanie szacunkowego wpływu na środki operacyjne
– Wniosek/inicjatywa nie wiąże się z koniecznością wykorzystania środków operacyjnych
– Wniosek/inicjatywa wiąże się z koniecznością wykorzystania środków operacyjnych, jak określono poniżej:
w mln EUR (do trzech miejsc po przecinku)
|
Dział wieloletnich ram finansowych |
Numer |
|
Dyrekcja Generalna: <…….> |
Rok
|
Rok
|
Rok
|
Rok
|
Wprowadzić taką liczbę kolumn dla poszczególnych lat, jaka jest niezbędna, by odzwierciedlić cały okres wpływu (por. pkt 1.6) |
OGÓŁEM |
|||||
|
•Środki operacyjne |
|||||||||||
|
Linia budżetowa 38 |
Środki na zobowiązania |
(1a) |
|||||||||
|
Środki na płatności |
(2a) |
||||||||||
|
Linia budżetowa |
Środki na zobowiązania |
(1b) |
|||||||||
|
Środki na płatności |
(2b) |
||||||||||
|
Środki administracyjne finansowane ze środków przydzielonych na określone programy 39 |
|||||||||||
|
Linia budżetowa |
(3) |
||||||||||
|
OGÓŁEM środki
|
Środki na zobowiązania |
=1a+1b+3 |
|||||||||
|
Środki na płatności |
=2a+2b +3 |
||||||||||
|
|
Środki na zobowiązania |
(4) |
||||||||
|
Środki na płatności |
(5) |
|||||||||
|
• OGÓŁEM środki administracyjne finansowane ze środków przydzielonych na określone programy |
(6) |
|||||||||
|
OGÓŁEM środki
|
Środki na zobowiązania |
=4+ 6 |
||||||||
|
Środki na płatności |
=5+ 6 |
|||||||||
Jeżeli wpływ wniosku/inicjatywy nie ogranicza się do jednego działu operacyjnego, należy powtórzyć powyższą część:
|
• OGÓŁEM środki operacyjne (wszystkie działy operacyjne) |
Środki na zobowiązania |
(4) |
||||||||
|
Środki na płatności |
(5) |
|||||||||
|
OGÓŁEM środki administracyjne finansowane ze środków przydzielonych na określone programy (wszystkie działy operacyjne) |
(6) |
|||||||||
|
OGÓŁEM środki
|
Środki na zobowiązania |
=4+ 6 |
||||||||
|
Środki na płatności |
=5+ 6 |
|||||||||
|
|
7 |
„Wydatki administracyjne” |
Niniejszą część uzupełnia się przy użyciu „danych budżetowych o charakterze administracyjnym”, które należy najpierw wprowadzić do załącznika do oceny skutków finansowych regulacji (załącznika V do zasad wewnętrznych), przesyłanego do DECIDE w celu konsultacji między służbami.
w mln EUR (do trzech miejsc po przecinku)
|
Rok
|
Rok
|
Rok
|
Rok
|
Rok
|
OGÓŁEM |
|||
|
Dyrekcja Generalna: HR |
||||||||
|
• Zasoby ludzkie |
0,314 |
0,314 |
0,314 |
0,314 |
0,314 |
1,570 |
||
|
• Pozostałe wydatki administracyjne |
||||||||
|
OGÓŁEM Dyrekcja Generalna <….> |
Środki |
0,314 |
0,314 |
0,314 |
0,314 |
0,314 |
1,570 |
|
|
OGÓŁEM środki
|
(Środki na zobowiązania ogółem = środki na płatności ogółem) |
0,314 |
0,314 |
0,314 |
0,314 |
0,314 |
1,570 |
w EUR (do trzech miejsc po przecinku)
|
Rok
|
Rok
|
Rok
|
Rok
|
Rok
|
OGÓŁEM |
|||
|
OGÓŁEM środki
|
Środki na zobowiązania |
0,314 |
0,314 |
0,314 |
0,314 |
0,314 |
1,570 |
|
|
Środki na płatności |
0,314 |
0,314 |
0,314 |
0,314 |
0,314 |
1,570 |
||
3.2.2.Przewidywany produkt finansowany ze środków operacyjnych
Środki na zobowiązania w mln EUR (do trzech miejsc po przecinku)
|
Określić cele i produkty ⇩ |
Rok
|
Rok
|
Rok
|
Rok
|
Wprowadzić taką liczbę kolumn dla poszczególnych lat, jaka jest niezbędna, by odzwierciedlić cały okres wpływu (por. pkt 1.6) |
OGÓŁEM |
|||||||||||||
|
PRODUKT |
|||||||||||||||||||
|
Rodzaj 40 |
Średni koszt |
Liczba |
Koszt |
Liczba |
Koszt |
Liczba |
Koszt |
Liczba |
Koszt |
Liczba |
Koszt |
Liczba |
Koszt |
Liczba |
Koszt |
Liczba ogółem |
Koszt całkowity |
||
|
CEL SZCZEGÓŁOWY nr 1 41 … |
|||||||||||||||||||
|
- Produkt |
|||||||||||||||||||
|
- Produkt |
|||||||||||||||||||
|
- Produkt |
|||||||||||||||||||
|
Cel szczegółowy nr 1 – suma cząstkowa |
|||||||||||||||||||
|
CEL SZCZEGÓŁOWY nr 2 |
|||||||||||||||||||
|
- Produkt |
|||||||||||||||||||
|
Cel szczegółowy nr 2 – suma cząstkowa |
|||||||||||||||||||
|
OGÓŁEM |
|||||||||||||||||||
3.2.3.Podsumowanie szacunkowego wpływu na środki administracyjne
–◻ Wniosek/inicjatywa nie wiąże się z koniecznością wykorzystania środków administracyjnych
–Wniosek/inicjatywa wiąże się z koniecznością wykorzystania środków administracyjnych, jak określono poniżej:
w mln EUR (do trzech miejsc po przecinku)
|
Rok
|
Rok
|
Rok
|
Rok
|
Rok
|
OGÓŁEM |
|
DZIAŁ 7
|
||||||
|
Zasoby ludzkie |
0,314 |
0,314 |
0,314 |
0,314 |
0,314 |
1,570 |
|
Pozostałe wydatki administracyjne |
||||||
|
Suma cząstkowa DZIAŁU 7
|
0,314 |
0,314 |
0,314 |
0,314 |
0,314 |
1,570 |
|
Poza DZIAŁEM 7
42
|
||||||
|
Zasoby ludzkie |
||||||
|
Pozostałe wydatki
|
||||||
|
Suma cząstkowa
|
|
OGÓŁEM |
0,314 |
0,314 |
0,314 |
0,314 |
0,314 |
1,570 |
Potrzeby w zakresie środków na zasoby ludzkie i inne wydatki o charakterze administracyjnym zostaną pokryte z zasobów dyrekcji generalnej już przydzielonych na zarządzanie tym działaniem lub przesuniętych w ramach dyrekcji generalnej, uzupełnionych w razie potrzeby wszelkimi dodatkowymi zasobami, które mogą zostać przydzielone zarządzającej dyrekcji generalnej w ramach procedury rocznego przydziału środków oraz w świetle istniejących ograniczeń budżetowych.
3.2.3.1.Szacowane zapotrzebowanie na zasoby ludzkie
–◻ Wniosek/inicjatywa nie wiąże się z koniecznością wykorzystania zasobów ludzkich.
–Wniosek/inicjatywa wiąże się z koniecznością wykorzystania zasobów ludzkich, jak określono poniżej:
Wartości szacunkowe należy wyrazić w ekwiwalentach pełnego czasu pracy
|
Rok
|
Rok
|
Rok 2025 |
Rok 2026 |
Rok 2027 |
||
|
20 01 02 01 (w centrali i w biurach przedstawicielstw Komisji) |
2 |
2 |
2 |
2 |
2 |
|
|
20 01 02 03 (w delegaturach) |
||||||
|
01 01 01 01 (pośrednie badania naukowe) |
||||||
|
01 01 01 11 (bezpośrednie badania naukowe) |
||||||
|
Inna linia budżetowa (określić) |
||||||
|
20 02 01 (CA, SNE, INT z globalnej koperty finansowej) |
||||||
|
20 02 03 (CA, LA, SNE, INT i JPD w delegaturach) |
||||||
|
XX 01 xx yy zz 43 |
- w centrali |
|||||
|
- w delegaturach |
||||||
|
01 01 01 02 (CA, SNE, INT – pośrednie badania naukowe) |
||||||
|
01 01 01 12 (CA, INT, SNE – bezpośrednie badania naukowe) |
||||||
|
Inna linia budżetowa (określić) |
||||||
|
OGÓŁEM |
2 |
2 |
2 |
2 |
2 |
|
XX oznacza odpowiedni obszar polityki lub odpowiedni tytuł w budżecie.
Potrzeby w zakresie zasobów ludzkich zostaną pokryte z zasobów dyrekcji generalnej już przydzielonych na zarządzanie tym działaniem lub przesuniętych w ramach dyrekcji generalnej, uzupełnionych w razie potrzeby wszelkimi dodatkowymi zasobami, które mogą zostać przydzielone zarządzającej dyrekcji generalnej w ramach procedury rocznego przydziału środków oraz w świetle istniejących ograniczeń budżetowych.
Opis zadań do wykonania:
|
Urzędnicy i pracownicy zatrudnieni na czas określony |
Sekretariat grupy koordynacyjnej ds. bezpieczeństwa informacji: 1 urzędnik AD + 1 urzędnik AST |
|
Personel zewnętrzny |
3.2.4.Zgodność z obowiązującymi wieloletnimi ramami finansowymi
Wniosek/inicjatywa:
–może zostać w pełni sfinansowany(a) przez przegrupowanie środków w ramach odpowiedniego działu wieloletnich ram finansowych (WRF).
Wniosek wymaga przydzielenia dwóch pracowników do stałego sekretariatu grupy ds. koordynacji międzyinstytucjonalnej zlokalizowanego w Dyrekcji ds. Bezpieczeństwa w Dyrekcji Generalnej ds. Zasobów Ludzkich i Bezpieczeństwa Komisji Europejskiej.
–◻ wymaga zastosowania nieprzydzielonego marginesu środków w ramach odpowiedniego działu WRF lub zastosowania specjalnych instrumentów zdefiniowanych w rozporządzeniu w sprawie WRF.
Należy wyjaśnić, który wariant jest konieczny, określając działy i linie budżetowe, których ma dotyczyć, odpowiadające im kwoty oraz proponowane instrumenty, które należy zastosować.
–◻ wymaga rewizji WRF.
Należy wyjaśnić, który wariant jest konieczny, określając linie budżetowe, których ma on dotyczyć, oraz podając odpowiednie kwoty.
3.2.5.Udział osób trzecich w finansowaniu
Wniosek/inicjatywa:
– nie przewiduje współfinansowania ze strony osób trzecich
–◻ przewiduje współfinansowanie ze strony osób trzecich szacowane zgodnie z poniższymi szacunkami:
środki w mln EUR (do trzech miejsc po przecinku)
|
Rok
|
Rok
|
Rok
|
Rok
|
Ogółem |
|
|
Określić organ współfinansujący |
|||||
|
OGÓŁEM środki objęte współfinansowaniem |
Uwaga: wniosek doprowadzi do nasilenia bieżącej współpracy w zakresie bezpieczeństwa informacji w ramach umów o gwarantowanym poziomie usług.
3.3.Szacunkowy wpływ na dochody
–Wniosek/inicjatywa nie ma wpływu finansowego na dochody
–◻ Wniosek/inicjatywa ma wpływ finansowy określony poniżej:
wpływ na zasoby własne
wpływ na dochody inne
Wskazać, czy dochody są przypisane do linii budżetowej po stronie wydatków
w mln EUR (do trzech miejsc po przecinku)
|
Linia budżetowa po stronie dochodów |
Środki zapisane w budżecie na bieżący rok budżetowy |
Wpływ wniosku/inicjatywy 45 |
|||
|
Rok
|
Rok
|
Rok
|
Rok
|
||
W przypadku wpływu na dochody przeznaczone na określony cel należy wskazać linie budżetowe po stronie wydatków, które ten wpływ obejmie.
Pozostałe uwagi (np. metoda/wzór użyte do obliczenia wpływu na dochody albo inne informacje).
KOMISJA EUROPEJSKA
Bruksela, dnia 22.3.2022
COM(2022) 119 final
ZAŁĄCZNIKI
do
Wniosku dotyczącego ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY
w sprawie bezpieczeństwa informacji w instytucjach, organach, urzędach i agencjach Unii
{SWD(2022) 65 final} - {SWD(2022) 66 final}
ZAŁĄCZNIK I
Środki ochronne dotyczące przetwarzania szczególnie chronionych informacji jawnych
Oznakowanie i przetwarzanie szczególnie chronionych informacji jawnych
1.Dokumenty zawierające szczególnie chronione informacje jawne muszą być opatrzone klauzulą tajności oraz, w stosownych przypadkach, co najmniej jednym oznaczeniem dotyczącym dystrybucji lub oznaczeniami wskazującymi odpowiednio grupę docelową. Standardowa klauzula tajności ma postać słowa „SENSITIVE” pisanego dużymi literami, z wyjątkiem przypadków, o których mowa w art. 15 ust. 2.
2.Dokumenty zawierające szczególnie chronione informacje jawne muszą być dostępne odbiorcom do celów urzędowych wyłącznie na zasadzie ograniczonego dostępu. W przypadku stosowania oznaczeń dotyczących dystrybucji należy zwrócić się do instytucji lub organu Unii, które wytworzyły dany dokument, o zezwolenie na rozszerzenie dystrybucji tego dokumentu.
3.Wszystkie osoby przetwarzające szczególnie chronione informacje jawne muszą zostać powiadomione o instrukcjach dotyczących przetwarzania.
4.Klauzula tajności dokumentów oznaczonych jako „SENSITIVE” zostaje obniżona do poziomu „EU NORMAL” lub „PUBLIC USE” poprzez usunięcie lub przekreślenie tego oznakowania.
5.W przypadku gdy instytucje i organy Unii niszczą dokumenty zawierające szczególnie chronione informacje jawne, dokumenty te muszą zostać zniszczone w taki sposób, by nie mogły zostać łatwo odtworzone. Kopie papierowe muszą zostać zniszczone w niszczarce, a kopie elektroniczne muszą zostać bezpiecznie nadpisane lub fizycznie zniszczone bądź należy uniemożliwić ich odzyskanie w inny sposób.
Ochrona szczególnie chronionych informacji jawnych podczas pracy poza terenem instytucji i organów Unii
6.Szczególnie chronione informacje jawne muszą być chronione przed podsłuchem i obserwacją podczas telepracy i wykonywania zadań poza biurem i nie mogą być przetwarzane ani przechowywane publicznie.
7.Dokumenty zawierające szczególnie chronione informacje jawne mogą być przetwarzane i przechowywane wyłącznie na sprzęcie lub aplikacjach, które są odpowiednio zabezpieczone, za co odpowiedzialność spoczywa na instytucjach i organach Unii.
8.Instytucje i organy Unii muszą zapewnić środki uniemożliwiające osobom nieupoważnionym, w tym krewnym, dostęp do szczególnie chronionych informacji jawnych przetwarzanych lub przechowywanych na sprzęcie instytucji lub organu Unii podczas pracy poza miejscem zatrudnienia.
9.Instytucje i organy Unii muszą poinstruować swoich pracowników, aby:
a)chronili sprzęt instytucji lub organów Unii służący do przetwarzania szczególnie chronionych informacji jawnych przed kradzieżą, utratą i uszkodzeniem oraz niezwłocznie zgłaszali wszelkie niekorzystne zdarzenia związane z bezpieczeństwem mające wpływ na ich urządzenia lub zawarte na nich informacje;
b)nie udostępniali swoich urządzeń żadnym nieupoważnionym osobom;
c)nie używali sprzętu do działań niezwiązanych z pracą.
10.Instytucje i organy Unii muszą zapewnić, aby do przetwarzania i przechowywania wszelkich szczególnie chronionych dokumentów jawnych w formacie elektronicznym poza ich terenem w miarę możliwości wykorzystywany był ich sprzęt lub ich odpowiednio zabezpieczone aplikacje. Należy unikać przetwarzania fizycznych kopii szczególnie chronionych dokumentów jawnych poza biurem.
11.W przypadku korzystania z narzędzi do tele- lub wideokonferencji instytucje i organy Unii muszą zminimalizować ryzyko oglądania lub słuchania dyskusji przez osoby nieupoważnione poprzez odpowiednie uwierzytelnianie uczestników i korzystanie z narzędzi szyfrowanej komunikacji zgodnych z zasadą ograniczonego dostępu.
12.Instytucje i organy Unii zapewniają wszystkim pracownikom pracującym zdalnie szkolenie w zakresie przetwarzania szczególnie chronionych informacji jawnych podczas pracy poza biurem.
Udostępnianie szczególnie chronionych informacji jawnych
13.Dokumenty zawierające szczególnie chronione informacje jawne mogą być udostępniane instytucjom i organom Unii bez dodatkowych formalności.
14.Instytucje i organy Unii mogą udostępniać dokumenty zawierające szczególnie chronione informacje jawne poza wszystkimi instytucjami i organami Unii wyłącznie na podstawie zobowiązania, które zobowiązuje strony do przestrzegania instrukcji dotyczących przetwarzania.
15.Instytucje i organy Unii muszą powiadamiać odbiorców szczególnie chronionych informacji jawnych o obowiązku nieudostępniania informacji jakimkolwiek stronom spoza kręgu odbiorców wskazanego za pomocą oznaczeń dotyczących dystrybucji, chyba że jest to dozwolone przez wytwórcę.
16.Instytucje i organy Unii muszą chronić szczególnie chronione informacje jawne, które są przekazywane lub udostępniane drogą elektroniczną, za pomocą odpowiednich środków bezpieczeństwa, w tym szyfrowania danych w trakcie przesyłania przy użyciu odpowiednich mechanizmów kryptograficznych.
KOMISJA EUROPEJSKA
Bruksela, dnia 22.3.2022
COM(2022) 119 final
ZAŁĄCZNIK
do
Wniosku dotyczącego ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY
w sprawie bezpieczeństwa informacji w instytucjach, organach, urzędach i agencjach Unii
{SWD(2022) 65 final} - {SWD(2022) 66 final}
ZAŁĄCZNIK II
Procedury zarządzania upoważnieniami do dostępu do informacji niejawnych UE („EUCI”)
Definicje
Na użytek niniejszego załącznika stosuje się następujące definicje:
1) „poświadczenie bezpieczeństwa osobowego” lub „PBO” oznacza oświadczenie właściwego organu państwa członkowskiego wydawane po przeprowadzeniu przez właściwy organ postępowania sprawdzającego, w którym to oświadczeniu stwierdza się, że danej osobie można przyznać dostęp do EUCI do określonego poziomu klauzuli tajności (CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższej) i na określony czas;
2) „zaświadczenie potwierdzające posiadanie poświadczenia bezpieczeństwa osobowego” oznacza zaświadczenie wydane przez właściwy organ, potwierdzające, że dana osoba posiada ważne poświadczenie bezpieczeństwa lub jego odpowiednik lub upoważnienie w zakresie bezpieczeństwa oraz zawierające informację o poziomie klauzuli tajności EUCI, do których dana osoba może uzyskać dostęp (CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższym), okresie ważności odpowiedniego poświadczenia bezpieczeństwa lub upoważnienia w zakresie bezpieczeństwa oraz dacie ważności samego zaświadczenia;
Udzielanie upoważnienia do dostępu do EUCI
1.Przed przesłaniem wypełnionego kwestionariusza postępowania sprawdzającego krajowej władzy bezpieczeństwa państwa członkowskiego, którego obywatelstwo posiada dana osoba, organ ds. bezpieczeństwa danej instytucji i danego organu Unii musi uzyskać pisemną zgodę wnioskodawcy na przeprowadzenie procedur sprawdzających w zakresie poświadczenia bezpieczeństwa.
2.Jeżeli instytucja lub organ Unii znajdzie się w posiadaniu informacji istotnej w odniesieniu do postępowania sprawdzającego prowadzonego wobec osoby, która złożyła wniosek o poświadczenie bezpieczeństwa dotyczące dostępu do EUCI, właściwy organ ds. bezpieczeństwa musi powiadomić o tym odpowiednią krajową władzę bezpieczeństwa, działając zgodnie z niniejszym rozporządzeniem.
3.Po otrzymaniu powiadomienia o ogólnej ocenie wniosków z postępowania sprawdzającego dokonanej przez odpowiednią krajową władzę bezpieczeństwa, właściwy organ ds. bezpieczeństwa:
a)może przyznać danej osobie upoważnienie do dostępu do EUCI do odpowiedniego poziomu na określony czas, jeżeli w wyniku postępowania sprawdzającego stwierdzono lojalność, wiarygodność i rzetelność danej osoby;
b)jeżeli w wyniku postępowania sprawdzającego nie uzyskano takiej gwarancji – musi powiadomić o tym fakcie wnioskodawcę, zgodnie z odpowiednimi przepisami wewnętrznymi.
4.Jeżeli dana osoba rozpocznie wykonywanie obowiązków służbowych po upływie co najmniej 12 miesięcy od daty powiadomienia o wyniku postępowania sprawdzającego lub jeżeli w pełnieniu obowiązków przez daną osobę występuje 12-miesięczna przerwa, właściwy organ ds. bezpieczeństwa musi wystąpić do odpowiedniej krajowej władzy bezpieczeństwa o potwierdzenie ważności poświadczenia bezpieczeństwa.
Zawieszenie i cofnięcie upoważnienia
5.Jeżeli dana instytucja lub dany organ Unii znajdzie się w posiadaniu informacji o ryzyku naruszenia zasad bezpieczeństwa przez osobę, która posiada upoważnienie do dostępu do EUCI, organ ds. bezpieczeństwa tej instytucji lub tego organu Unii musi powiadomić o tym odpowiednią krajową władzę bezpieczeństwa i może zawiesić prawo danej osoby do dostępu do EUCI lub wycofać upoważnienie do dostępu do EUCI.
6.Jeżeli krajowa władza bezpieczeństwa powiadomi odpowiednią instytucję lub odpowiedni organ Unii o utracie pewności w odniesieniu do osoby posiadającej dostęp do EUCI, organ ds. bezpieczeństwa danej instytucji lub danego organu Unii musi cofnąć upoważnienie w zakresie bezpieczeństwa i odebrać danej osobie prawo do dostępu do EUCI, zgodnie ze swoimi odpowiednimi przepisami wewnętrznymi.
Odnowienie zezwolenia
7.Po wydaniu pierwszego upoważnienia w zakresie bezpieczeństwa oraz pod warunkiem że w zatrudnieniu danej osoby w instytucji lub organie Unii nie wystąpiły przerwy, a dostęp do EUCI jest jej stale potrzebny, przedłużenie ważności upoważnienia do dostępu do EUCI musi zostać rozpatrzone przed jego wygaśnięciem.
8.Organ ds. bezpieczeństwa danej instytucji i danego organu Unii może przedłużyć ważność obowiązującego upoważnienia do dostępu do EUCI na okres nieprzekraczający 12 miesięcy, jeżeli w okresie dwóch miesięcy od daty przekazania wniosku o przedłużenie ważności i właściwego kwestionariusza bezpieczeństwa odpowiednia krajowa władza bezpieczeństwa lub inny właściwy organ krajowy nie przekazał żadnych niekorzystnych informacji.
Jeżeli na koniec tego 12-miesięcznego okresu, o którym mowa w akapicie pierwszym, nadal nie zakończono postępowania sprawdzającego, danej osobie nie wolno powierzyć obowiązków, które wymagają posiadania poświadczenia bezpieczeństwa.
9.Po każdym przedłużeniu poświadczenia bezpieczeństwa dana osoba musi odbyć kurs utrwalający wiedzę w zakresie wykorzystywania i przechowywania EUCI.
Wyjątkowe tymczasowe upoważnienie w zakresie bezpieczeństwa
10.Organ ds. bezpieczeństwa danej instytucji lub danego organu Unii może wyjątkowo udzielić tymczasowego upoważnienia do dostępu do EUCI, pod warunkiem że właściwa krajowa władza bezpieczeństwa w oparciu o wypełnioną i przekazaną ankietę bezpieczeństwa dokonała wstępnego sprawdzenia, aby upewnić się, czy nie są znane żadne niekorzystne informacje.
11.Tymczasowe upoważnienia do dostępu do EUCI mogą zachować ważność przez jeden okres nieprzekraczający sześciu miesięcy i nie mogą uprawniać do dostępu do informacji niejawnych z klauzulą tajności TRÈS SECRET UE/EU TOP SECRET.
12.Po instruktażu przeprowadzonym zgodnie z art. 26 wszystkie osoby, którym przyznano tymczasowe upoważnienie do dostępu do EUCI, muszą oświadczyć na piśmie, że zrozumiały spoczywające na nich obowiązki w zakresie ochrony EUCI i konsekwencje narażenia na szwank bezpieczeństwa EUCI. Wykaz takich pisemnych oświadczeń musi być przechowywany przez organ ds. bezpieczeństwa danej instytucji lub danego organu Unii.
Eksperci krajowi oddelegowani do instytucji i organów Unii
13.Wszystkie instytucje i organy Unii muszą zapewnić, aby eksperci krajowi oddelegowani do nich na stanowisko wymagające poświadczenia bezpieczeństwa przedstawiali, przed rozpoczęciem realizacji swoich zadań, właściwemu organowi ds. bezpieczeństwa ważne poświadczenie bezpieczeństwa osobowego lub zaświadczenie potwierdzające posiadanie poświadczenia bezpieczeństwa osobowego („ZPBO”) zgodnie z krajowymi przepisami ustawowymi i wykonawczymi. Jeżeli spełniono wymogi określone w art. 23 ust. 1, organ ds. bezpieczeństwa może przyznać upoważnienie do dostępu do EUCI do poziomu odpowiadającego poziomowi określonemu w krajowym poświadczeniu bezpieczeństwa nie dłużej niż na okres wykonywania ich zadań.
Dostęp do posiedzeń niejawnych
14.W przypadku organizacji posiedzeń, podczas których mają być omawiane informacje z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższą, instytucje i organy Unii muszą zapewnić, aby wszyscy uczestnicy uzyskali poświadczenie bezpieczeństwa lub aby znany był status ich upoważnienia w zakresie bezpieczeństwa.
15.Na podstawie dokumentacji dotyczącej dostępu do EUCI właściwy organ ds. bezpieczeństwa danej instytucji lub danego organu Unii może wydać danej osobie zaświadczenie potwierdzające posiadanie poświadczenia bezpieczeństwa osobowego, jeżeli jest ono niezbędne do udziału w posiedzeniach poza tą instytucją lub tym organem Unii. Zaświadczenie potwierdzające posiadanie poświadczenia bezpieczeństwa osobowego musi zawierać informacje o poziomie klauzuli tajności EUCI, do których dana osoba może mieć dostęp (CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższy), okresie ważności odpowiedniego upoważnienia do dostępu do EUCI oraz dacie ważności samego zaświadczenia.
KOMISJA EUROPEJSKA
Bruksela, dnia 22.3.2022
COM(2022) 119 final
ZAŁĄCZNIKI
do
wniosku dotyczącego ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY
w sprawie bezpieczeństwa informacji w instytucjach, organach, urzędach i agencjach Unii
{SWD(2022) 65 final} - {SWD(2022) 66 final}
ZAŁĄCZNIK III
Środki służące fizycznej ochronie informacji niejawnych UE („EUCI”)
Sprzęt i środki organizacyjne służące fizycznej ochronie EUCI
1.Strefa administracyjna musi spełniać następujące wymagania:
a)wyraźnie określona musi być jej granica umożliwiająca kontrolę osób i, jeżeli to możliwe, pojazdów;
b)należy zapewnić, aby okna, które mogłyby umożliwić wizualny dostęp podmiotom nieuprawnionym do EUCI znajdujących się w tej strefie, były nieprzezroczyste lub wyposażone w żaluzje, zasłony lub inne osłony;
c)dostęp bez eskorty przyznaje się tylko osobom, które są odpowiednio upoważnione przez organ ds. bezpieczeństwa danej instytucji lub danego organu Unii;
d)wszystkim innym osobom przez cały czas towarzyszy eskorta lub poddaje się je równorzędnej kontroli.
2.Oprócz wymogów określonych w pkt 1 strefa bezpieczeństwa musi spełniać następujące wymogi:
a)wyraźnie określone i chronione muszą być jej granice, których przekraczanie w obie strony jest kontrolowane przez cały czas;
b)nie mogą się w niej znajdować niezatwierdzone linie komunikacyjne, niezatwierdzone telefony, inne niezatwierdzone urządzenia komunikacyjne ani sprzęt elektryczny lub elektroniczny;
c)musi być wyposażona w system kontroli dostępu i system sygnalizacji włamania i napadu w czasie rzeczywistym („SSWiN”) obsługiwany przez pracowników ochrony odpowiedzialnych za bezpieczeństwo;
d)musi być poddawana inspekcji na koniec normalnych godzin pracy i w przypadkowych odstępach czasu poza tymi godzinami, jeżeli w strefie tej nie pracują w systemie całodobowym pracownicy pełniący dyżur ani nie ma w niej SSWiN monitorującego w czasie rzeczywistym;
e)muszą nią zarządzać przeszkoleni, nadzorowani i odpowiednio sprawdzeni pracownicy ochrony;
f)w strefie bezpieczeństwa muszą obowiązywać procedury bezpiecznej eksploatacji, obejmujące następujące elementy:
(i)poziom klauzuli tajności EUCI, które można wykorzystywać, omawiać i przechowywać w tej strefie;
(ii)środki nadzoru i ochrony, które należy stosować;
(iii)osoby upoważnione do wejścia do strefy bez eskorty ze względu na posiadane upoważnienie do dostępu do EUCI i zasadę ograniczonego dostępu;
(iv)w odpowiednich przypadkach procedury dotyczące eskort lub ochrony EUCI, jeżeli zezwala się na wejście do strefy innym osobom;
(v)wszelkie inne odpowiednie środki i procedury.
3.Jeżeli wejście do strefy bezpieczeństwa jest równoznaczne z bezpośrednim dostępem do informacji niejawnych znajdujących się w tej strefie, strefę tę należy uznać za strefę klasy I, a w przeciwnym razie – za strefę klasy II.
W przypadku obu klas strefy bezpieczeństwa, o których mowa w akapicie pierwszym, oraz w uzupełnieniu wymogów określonych w pkt 2, departament bezpieczeństwa / pełnomocnik ochrony danej instytucji lub danego organu Unii musi wyraźnie określić najwyższą klauzulę tajności, którą przyznano informacjom zwykle przechowywanym w tej strefie, oraz musi wyraźnie określić granicę umożliwiającą kontrolę osób i, jeżeli to możliwe, pojazdów.
Instytucje i organy Unii muszą zapewnić, aby osoby mające dostęp do strefy bezpieczeństwa spełniały następujące kryteria:
a)muszą posiadać specjalne upoważnienie do wejścia do tej strefy;
b)przez cały czas musi im towarzyszyć eskorta;
c)muszą być odpowiednio sprawdzone, chyba że podjęte zostały kroki służące zapewnieniu, aby dostęp do EUCI był niemożliwy.
4.Za strefę technicznie zabezpieczoną musi być uznana strefa bezpieczeństwa chroniona przed podsłuchem pasywnym i aktywnym. Oprócz wymogów dotyczących stref bezpieczeństwa obowiązują następujące wymogi:
a)strefy takie muszą być wyposażone w SSWiN, zamknięte na klucz, gdy nikt w nich nie przebywa, i chronione, gdy ktoś w nich przebywa. Zarządzanie wszystkimi kluczami odbywa się zgodnie z art. 29 ust. 3;
b)muszą być poddawane regularnym inspekcjom fizycznym lub technicznych lub obu rodzajom inspekcji, przeprowadzanym przez organ ds. bezpieczeństwa danej instytucji lub danego organu Unii. Inspekcje takie muszą być przeprowadzane także po każdorazowym nieuprawnionym wejściu do strefy lub w przypadku podejrzenia, że takie wejście miało miejsce;
c)muszą posiadać odpowiednią ochronę akustyczną i ochronę TEMPEST.
5.Wszystkie osoby wchodzące do stref technicznie zabezpieczonych muszą spełniać wymogi określone w pkt 3.
6.Strefy bezpieczeństwa oraz strefy technicznie zabezpieczone mogą być tworzone tymczasowo na terenie stref administracyjnych w celu zorganizowania niejawnego posiedzenia lub w jakimkolwiek innym podobnym celu.
7.W obrębie stref bezpieczeństwa muszą być budowane wzmocnione pomieszczenia. Wzmocnione pomieszczenie to pomieszczenie o wzmocnionej konstrukcji fizycznej, w którym organ ds. bezpieczeństwa danej instytucji lub danego organu Unii zatwierdza ściany, podłogi, sufity, okna i wyposażone w zamek drzwi. Pomieszczenia takie zapewniają ochronę równoważną zabezpieczonym szafom zatwierdzonym do celów przechowywania EUCI o tym samym poziomie klauzuli tajności.
Fizyczne środki ochronne dotyczące korzystania z EUCI i ich przechowywania
8.Wykorzystywanie i przetwarzanie EUCI z klauzulą tajności RESTREINT UE/EU RESTRICTED musi się odbywać w którejkolwiek z następujących stref:
a)w strefie bezpieczeństwa;
b)w strefie administracyjnej, pod warunkiem że EUCI są chronione przed dostępem osób nieupoważnionych;
c)poza strefą bezpieczeństwa lub strefą administracyjną, pod warunkiem że posiadacz zobowiązał się do zastosowania środków równoważnych określonych przez organ ds. bezpieczeństwa każdej instytucji i każdego organu Unii.
9.EUCI z klauzulą tajności RESTREINT UE/EU RESTRICTED muszą być przechowywane w zamkniętym meblu biurowym w strefie administracyjnej lub strefie bezpieczeństwa. Mogą być one tymczasowo przechowywane poza strefą administracyjną lub strefą bezpieczeństwa, pod warunkiem że posiadacz zobowiązał się do przechowywania danych dokumentów w odpowiednim zamkniętym meblu biurowym, gdy nie są one czytane ani omawiane.
10.Instytucje i organy Unii mogą wykorzystywać i przechowywać informacje z klauzulą tajności RESTREINT UE/EU RESTRICTED poza swoimi siedzibami, pod warunkiem że istotne informacje są odpowiednio chronione. W tym celu instytucje i organy Unii muszą stosować środki określone w pkt 8 lit. c).
11.Wykorzystywanie i przechowywanie informacji z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL i SECRET UE/EU SECRET musi odbywać się w jednej z następujących stref:
a)w strefie bezpieczeństwa;
b)w strefie administracyjnej, pod warunkiem że EUCI są chronione przed dostępem osób nieupoważnionych;
c)poza strefą bezpieczeństwa lub strefą administracyjną, w przypadku gdy ich ilość i czas wykorzystywania i przechowywania są ograniczone oraz pod warunkiem, że posiadacz zobowiązał się do zastosowania środków równoważnych określonych przez organ ds. bezpieczeństwa danej instytucji lub danego organu Unii. Ponadto posiadacz EUCI musi podjąć następujące działania:
(i)powiadamia odpowiednią kancelarię o fakcie, że z dokumentów niejawnych korzysta się poza strefami chronionymi;
(ii)zapewnia, aby dokumenty znajdowały się przez cały czas pod jego kontrolą.
12.Informacje z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL i SECRET UE/EU SECRET muszą być przechowywane w strefie bezpieczeństwa akredytowanej na tym poziomie tajności przez właściwy organ ds. akredytacji bezpieczeństwa danej instytucji lub danego organu Unii, w zabezpieczonej szafie albo we wzmocnionym pomieszczeniu.
13.Dokumenty z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższą mogą być kopiowane tylko przez odpowiednią kancelarię.
14.Wykorzystywanie i przechowywanie informacji z klauzulą tajności TRES SECRET UE/EU TOP SECRET musi odbywać się w strefie bezpieczeństwa posiadającej akredytację dotyczącą tego poziomu klauzuli tajności. W tym celu instytucje i organy Unii mogą dokonać niezbędnych ustaleń, aby korzystać ze strefy bezpieczeństwa wizytowanej i akredytowanej na odpowiednim poziomie tajności przez organ ds. akredytacji bezpieczeństwa innej instytucji i innego organu Unii.
15.Informacje z klauzulą tajności TRES SECRET UE/EU TOP SECRET muszą być przechowywane w strefie bezpieczeństwa akredytowanej na tym poziomie tajności przez organ ds. akredytacji bezpieczeństwa właściwej instytucji lub właściwego organu Unii, przy spełnieniu jednego z następujących warunków:
a)są one przechowywane w zabezpieczonej szafie zatwierdzonej przez organ ds. bezpieczeństwa każdej instytucji i każdego organu Unii, której towarzyszy co najmniej jedno z następujących zabezpieczeń dodatkowych:
(i)stała ochrona lub kontrola przez odpowiednio sprawdzonych pracowników ochrony lub pracowników pełniących dyżur;
(ii)zatwierdzony SSWiN w połączeniu z obecnością pracowników odpowiedzialnych za bezpieczeństwo;
b)są one przechowywane we wzmocnionym pomieszczeniu wyposażonym w SSWiN w połączeniu z obecnością pracowników odpowiedzialnych za bezpieczeństwo.
KOMISJA EUROPEJSKA
Bruksela, dnia 22.3.2022
COM(2022) 119 final
ZAŁĄCZNIK
do
Wniosku dotyczącego ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY
w sprawie bezpieczeństwa informacji w instytucjach, organach, urzędach i agencjach Unii
{SWD(2022) 65 final} - {SWD(2022) 66 final}
ZAŁĄCZNIK IV
Środki bezpieczeństwa służące zarządzaniu informacjami niejawnymi UE („EUCI”)
Do celów niniejszego załącznika „kurier komercyjny” oznacza krajowych operatorów pocztowych i przewoźników prywatnych oferujących usługę, w ramach której dokumenty są odpłatnie dostarczane i przekazywane osobiście albo śledzone.
Przenoszenie EUCI
1.W miarę możliwości instytucje i organy Unii, które przekazują EUCI poza strefy bezpieczeństwa lub strefy administracyjne, muszą przesyłać je drogą elektroniczną za pomocą odpowiednich akredytowanych środków lub muszą chronić je za pomocą zatwierdzonych produktów kryptograficznych.
2.Przy przenoszeniu EUCI instytucje i organy Unii muszą stosować środki ochronne spełniające następujące wymogi:
a)proporcjonalne do poziomu klauzuli tajności przenoszonych EUCI;
b)dostosowane do szczególnych warunków ich przenoszenia, a także do charakteru i formy przenoszonych EUCI.
3.Jeżeli EUCI są przenoszone fizycznie w postaci dokumentów papierowych lub na przenośnych nośnikach informacji, muszą pozostać w posiadaniu osoby je przenoszącej i nie mogą być otwierane do czasu dotarcia do miejsca przeznaczenia.
4.Osoby lub kurierzy przenoszący informacje z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższą muszą być upoważnieni w zakresie bezpieczeństwa, poinstruowani o swoich obowiązkach w zakresie bezpieczeństwa oraz – w stosownych przypadkach – muszą posiadać list kurierski wydany przez kancelarię tajną UE właściwego departamentu.
5.Strażnicy i eskorta muszą być odpowiednio sprawdzani do celów dostępu do informacji o odpowiedniej klauzuli tajności oraz informowani o procedurach bezpieczeństwa w zakresie ochrony EUCI.
6.W przypadku korzystania z przenośnych nośników informacji instytucje i organy Unii muszą albo chronić nośniki przy użyciu produktu szyfrującego, albo szyfrować same dokumenty.
Pakowanie EUCI
7.Jeżeli chodzi o opakowanie EUCI, instytucje i organy Unii muszą zapewnić, aby zawartość nie była widoczna.
8.Informacje z klauzulą tajności RESTREINT UE/EU RESTRICTED muszą być przenoszone w co najmniej jednowarstwowym nieprzezroczystym opakowaniu, takim jak koperty, nieprzezroczyste teczki lub aktówka. Informacje z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższą muszą być przenoszone w dwuwarstwowym nieprzezroczystym opakowaniu.
9.Na zewnętrznym opakowaniu nie można umieszczać żadnego oznaczenia wskazującego na rodzaj lub poziom klauzuli tajności zawartości. Na wewnętrznej warstwie opakowania musi znajdować się oznaczenie EUCI. Na obu warstwach musi znajdować się imię i nazwisko docelowego odbiorcy, stanowisko i adres, a także adres zwrotny na wypadek braku możliwości dostawy.
Transport przez kurierów komercyjnych
10.Kurierzy komercyjni mogą dostarczać informacje z klauzulą tajności RESTREINT UE/EU RESTRICTED i CONFIDENTIEL UE/EU CONFIDENTIAL w obrębie danego państwa członkowskiego i z jednego państwa członkowskiego do innego państwa członkowskiego. Kurierzy komercyjni mogą dostarczać informacje z klauzulą tajności SECRET UE/EU SECRET tylko w obrębie państwa członkowskiego oraz pod warunkiem, że zatwierdzi ich właściwa krajowa władza bezpieczeństwa. EUCI z klauzulą tajności TRES SECRET UE/EU TOP SECRET nie można powierzać kurierom komercyjnym.
11.Komercyjne firmy kurierskie muszą dostarczać przesyłki z informacjami z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższą wyłącznie urzędnikowi kontroli kancelarii, jego należycie upoważnionemu zastępcy lub docelowemu odbiorcy. W wewnętrznej kopercie lub w wewnętrznej warstwie opakowania należy umieścić formularz potwierdzenia rejestracji, aby odbiorca mógł go wypełnić i zwrócić. Potwierdzenie rejestracji, które samo w sobie nie jest objęte klauzulą tajności, musi zawierać numer referencyjny, datę i numer kopii dokumentu, ale nie temat.
12.Potwierdzenia odbioru muszą znajdować się w zewnętrznej kopercie lub w opakowaniu zewnętrznym. Potwierdzenie odbioru, które samo w sobie nie jest objęte klauzulą tajności, musi zawierać numer referencyjny, datę i numer kopii dokumentu, ale nie temat.
13.Komercyjna firma kurierska musi uzyskać i dostarczyć nadawcy potwierdzenie odbioru przesyłki za pokwitowaniem i zestawienie ewidencyjne lub kurier musi uzyskać potwierdzenia lub numery paczek.
14.Nadawca musi skontaktować się ze wskazanym odbiorcą przed wysłaniem przesyłki w celu ustalenia odpowiedniej daty i godziny dostawy.
15.Kurierzy komercyjni mogą korzystać z usług podwykonawcy.
16.W przypadku EUCI nie można korzystać z usług oferowanych przez komercyjnych kurierów, którzy zapewniają przekazywanie przesyłek poleconych zawierających dokumenty drogą elektroniczną.
Środki związane z posiedzeniami niejawnymi
17.Instytucje i organy Unii muszą uprzedzić uczestników o zamiarze omawiania podczas posiedzenia tematów niejawnych oraz o odpowiednich środkach bezpieczeństwa, które będą miały zastosowanie.
18.Instytucje i organy Unii muszą sprawdzić, czy uczestnicy posiedzeń niejawnych posiadają dostęp w ramach zasady ograniczonego dostępu oraz, w stosownych przypadkach, czy otrzymali poświadczenie bezpieczeństwa lub upoważnienie do celów dostępu do informacji z odpowiednią klauzulą tajności.
19.Omawianie informacji z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIEL lub wyższą przez instytucje i organy Unii, musi odbywać się wyłącznie w sali posiedzeń, która uzyskała akredytację na odpowiednim lub wyższym poziomie. Podobnie w przypadku przekazywania informacji niejawnych podczas posiedzenia należy korzystać wyłącznie z akredytowanego sprzętu informatycznego. Przewodniczący musi zapewnić, aby niedozwolone przenośne urządzenia elektroniczne pozostawiono poza salą konferencyjną.
20.Organizatorzy posiedzeń instytucji i organów Unii muszą informować swój organ ds. bezpieczeństwa o wszelkich osobach odwiedzających z zewnątrz, które wezmą udział w posiedzeniu z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższą w pomieszczeniach danej instytucji lub organu Unii.
21.W przypadku przekazywania informacji niejawnych podczas posiedzeń wirtualnych można wykorzystywać wyłącznie akredytowane systemy teleinformatyczne zgodnie z rozdziałem 5 sekcja 5 niniejszego rozporządzenia.
KOMISJA EUROPEJSKA
Bruksela, dnia 22.3.2022
COM(2022) 119 final
ZAŁĄCZNIKI
do
Wniosku dotyczącego ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY
w sprawie bezpieczeństwa informacji w instytucjach, organach, urzędach i agencjach Unii
{SWD(2022) 65 final} - {SWD(2022) 66 final}
ZAŁĄCZNIK V
Ochrona informacji niejawnych UE („EUCI”) w umowach niejawnych i niejawnych umowach o udzielenie dotacji
Do celów niniejszego załącznika oprócz definicji zawartych w załącznikach II i IV „świadectwo bezpieczeństwa przemysłowego” lub „SBP” oznacza oświadczenie wydane w trybie administracyjnym przez krajową władzę bezpieczeństwa, wyznaczoną władzę bezpieczeństwa lub jakikolwiek inny właściwy organ bezpieczeństwa, że z punktu widzenia bezpieczeństwa dany obiekt jest w stanie zapewnić odpowiedni poziom ochrony EUCI do określonego poziomu klauzuli tajności.
Dostęp pracowników wykonawców i beneficjentów do EUCI
1.Każda instytucja lub każdy organ Unii, jako instytucja zamawiająca lub udzielająca dotacji, zapewnia, aby umowy niejawne lub niejawne umowy o udzielenie dotacji zawierały postanowienia wskazujące, że pracownicy wykonawcy, podwykonawcy lub beneficjent, którzy do wykonania umowy niejawnej, niejawnej umowy o podwykonawstwo lub niejawnej umowy o udzielenie dotacji potrzebują dostępu do EUCI, mogą uzyskać taki dostęp wyłącznie wtedy, gdy spełnione są następujące warunki:
a)ustalono, że pracownicy ci kierują się zasadą ograniczonego dostępu;
b)otrzymali od krajowej władzy bezpieczeństwa, wyznaczonej władzy bezpieczeństwa lub jakiegokolwiek innego właściwego organu bezpieczeństwa poświadczenie bezpieczeństwa osobowego („PBO”) do odpowiedniego poziomu informacji z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET;
c)zostali poinformowani o obowiązujących przepisach bezpieczeństwa służących ochronie EUCI i potwierdzili, że zapoznali się ze swoimi obowiązkami w zakresie ochrony takich informacji.
2.Jeżeli wykonawca lub beneficjent zamierza zatrudnić obywatela państwa trzeciego na stanowisku wymagającym dostępu do EUCI z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET, zadaniem beneficjenta lub podwykonawcy jest wszczęcie procedury sprawdzającej w zakresie poświadczenia bezpieczeństwa wobec takiej osoby zgodnie z krajowymi przepisami ustawowymi i wykonawczymi obowiązującymi w miejscu, w którym ma zostać udzielony dostęp do EUCI.
Świadectwo bezpieczeństwa przemysłowego („SBP”)
3.Świadectwo bezpieczeństwa przemysłowego („SBP”) wydawane jest przez krajową władzę bezpieczeństwa, wyznaczoną władzę bezpieczeństwa lub jakikolwiek inny właściwy organ bezpieczeństwa państwa członkowskiego w celu zaświadczenia, że zgodnie z krajowymi przepisami ustawowymi i wykonawczymi dany podmiot jest w stanie zapewnić w swoich obiektach ochronę EUCI odpowiadającą określonemu poziomowi klauzuli tajności (CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET).
4.Jeżeli SBP jest wymagane do wykonania umowy lub umowy o udzielenie dotacji, instytucja lub organ Unii, jako instytucja zamawiająca lub udzielająca dotacji, musi powiadomić za pośrednictwem swojego organu ds. bezpieczeństwa odpowiednią krajową władzę bezpieczeństwa lub wyznaczoną władzę bezpieczeństwa, lub jakikolwiek inny właściwy organ bezpieczeństwa.
5.SBP jest wymagane, jeżeli podczas postępowania o udzielenie zamówień lub podczas procedury przyznawania dotacji informacje z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET mają być dostarczone do obiektów kandydatów, oferentów lub wnioskodawców.
6.Instytucja lub organ Unii, jako instytucja zamawiająca lub udzielająca dotacji, musi przed udzieleniem dostępu do EUCI kandydatowi, oferentowi lub wykonawcy bądź wnioskodawcy lub beneficjentowi otrzymać, za pośrednictwem swojego organu ds. bezpieczeństwa, ich potwierdzenie SBP.
7.W przypadku gdy państwa członkowskie nie wydają SBP określonym instytucjom na podstawie przepisów prawa krajowego, instytucja zamawiająca lub udzielająca dotacji musi sprawdzić u danej krajowej władzy bezpieczeństwa lub wyznaczonej władzy bezpieczeństwa, czy te instytucje są w stanie korzystać z EUCI na wymaganym poziomie.
8.Z wyjątkiem przypadków, o których mowa w pkt 7, instytucja lub organ Unii, jako instytucja zamawiająca lub udzielająca dotacji, nie może zawrzeć umowy niejawnej lub niejawnej umowy o udzielenie dotacji przed otrzymaniem potwierdzenia za pośrednictwem swojego organu ds. bezpieczeństwa, od właściwej krajowej władzy bezpieczeństwa, wyznaczonej władzy bezpieczeństwa lub jakiegokolwiek innego właściwego krajowego organu bezpieczeństwa, że odpowiednie SBP zostało wydane.
9.Cofnięcie SBP przez odpowiednią krajową władzę bezpieczeństwa/wyznaczoną władzę bezpieczeństwa lub jakikolwiek inny właściwy organ bezpieczeństwa stanowi dla instytucji zamawiającej lub udzielającej dotacji wystarczający powód do rozwiązania umowy niejawnej lub niejawnej umowy o udzielenie dotacji bądź wykluczenia kandydata, oferenta lub wnioskodawcy z postępowania.
Przepisy dotyczące przetargów oraz realizacji umów niejawnych i niejawnych umów o udzielenie dotacji
10.Jeżeli kandydatowi, oferentowi lub wnioskodawcy podczas postępowania o udzielenie zamówień publicznych lub procedury wyboru przekazywane są EUCI, zaproszenie do składania ofert lub zaproszenie do składania wniosków musi zawierać postanowienie zobowiązujące kandydata, oferenta lub wnioskodawcę, który nie zostanie wybrany, do zwrotu wszystkich dokumentów niejawnych w określonym terminie.
11.Od wykonawcy lub beneficjenta dotacji wymaga się z reguły zwrotu wszelkich posiadanych przez niego EUCI do instytucji zamawiającej lub udzielającej dotacji po rozwiązaniu umowy niejawnej lub niejawnej umowy o udzielenie dotacji lub po zakończeniu uczestnictwa przez beneficjenta dotacji.
12.Przepisy szczegółowe dotyczące usuwania EUCI podczas wykonywania umowy niejawnej lub niejawnej umowy o udzielenie dotacji bądź po jej rozwiązaniu muszą zostać ustanowione w dokumencie określającym aspekty bezpieczeństwa.
13.Jeżeli wykonawca lub beneficjent dotacji są upoważnieni do zachowania EUCI po rozwiązaniu umowy niejawnej lub niejawnej umowy o udzielenie dotacji, wykonawca lub beneficjent dotacji muszą nadal przestrzegać minimalnych standardów zawartych w niniejszym rozporządzeniu oraz nadal chronić poufność EUCI.
14.W zaproszeniu do składania ofert lub w zaproszeniu do składania wniosków oraz w umowie niejawnej lub niejawnej umowie o udzielenie dotacji muszą być określone istotne dla ochrony EUCI warunki, na których wykonawca lub beneficjent może zlecić podwykonawstwo.
15.Przed zleceniem podwykonawstwa którychkolwiek części umowy niejawnej lub niejawnej umowy o udzielenie dotacji wykonawca lub beneficjent musi uzyskać zgodę instytucji zamawiającej lub udzielającej dotacji.
16.Wykonawca lub beneficjent musi odpowiadać za zapewnienie zgodności wszystkich podejmowanych w ramach podwykonawstwa czynności z minimalnymi normami określonymi w niniejszym rozporządzeniu i nie może dostarczać EUCI podwykonawcy bez uprzedniej pisemnej zgody instytucji zamawiającej lub udzielającej dotacji.
17.Jeżeli chodzi o EUCI wytworzone przez wykonawcę lub beneficjenta, instytucja lub organ Unii będące instytucją zamawiającą lub udzielającą dotacji są uznawane za ich wytwórcę i wykonują prawa przysługujące wytwórcy.
18.Jeżeli na podstawie krajowych przepisów ustawowych i wykonawczych państwa członkowskie wymagają posiadania SBP lub poświadczenia bezpieczeństwa osobowego w odniesieniu do umów, umów o udzielenie dotacji lub umów o podwykonawstwo na poziomie RESTREINT UE/EU RESTRICTED, instytucje i organy Unii, jako instytucje zamawiające lub udzielające dotacji, nie mogą wykorzystywać tych wymogów krajowych, aby nakładać dodatkowe obowiązki na pozostałe państwa członkowskie ani aby wykluczać oferentów, wnioskodawców, wykonawców, beneficjentów lub podwykonawców z państw członkowskich, w których nie obowiązują takie wymogi dotyczące SBP lub poświadczenia bezpieczeństwa osobowego w zakresie dostępu do informacji z klauzulą tajności RESTREINT UE/EU RESTRICTED, z wykonania powiązanych umów, umów o udzielenie dotacji lub umów o podwykonawstwo lub z procedury ubiegania się o takie umowy.
Wizyty związane z umowami niejawnymi i niejawnymi umowami o udzielenie dotacji
19.Jeżeli w kontekście wykonania umowy niejawnej lub niejawnej umowy o udzielenie dotacji instytucjom i organom Unii, wykonawcom, beneficjentom lub podwykonawcom niezbędny jest dostęp do informacji z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET w ich obiektach, we współpracy z krajowymi władzami bezpieczeństwa, wyznaczonymi władzami bezpieczeństwa lub jakimikolwiek innymi właściwymi organami bezpieczeństwa muszą zostać zorganizowane wizyty.
20.Wizyty, o których mowa w pkt 19, podlegają następującym wymogom:
a)wizyta musi być przeprowadzana w celach oficjalnych związanych z umową niejawną lub niejawną umową o udzielenie dotacji;
b)każda osoba wizytująca musi posiadać poświadczenie bezpieczeństwa osobowego na wymaganym poziomie i kierować się zasadą ograniczonego dostępu do EUCI wykorzystywanych lub generowanych w toku realizacji umowy niejawnej lub niejawnej umowy o udzielenie dotacji;
c)co najmniej 15 dni przed datą wizyty właściwej dla obiektu krajowej władzy bezpieczeństwa lub wyznaczonej władzy bezpieczeństwa, lub organowi ds. bezpieczeństwa danej instytucji lub danego organu Unii musi zostać przedłożony formalny wniosek o wizytę.
21.W kontekście konkretnych projektów właściwa krajowa władza bezpieczeństwa lub wyznaczona władza bezpieczeństwa i organ ds. bezpieczeństwa danej instytucji lub danego organu Unii mogą uzgodnić procedurę, zgodnie z którą pełnomocnik ochrony osoby wizytującej i pełnomocnik ochrony wizytowanego obiektu mogą bezpośrednio organizować wizyty dotyczące konkretnej umowy lub dotacji niejawnej. Taka szczególna procedura musi być określona w instrukcji bezpieczeństwa programu lub projektu lub w ramach innego rodzaju szczególnych ustaleń.
22.Wizyty obejmujące dostęp do informacji z klauzulą tajności RESTREINT UE/EU RESTRICTED muszą być organizowane bezpośrednio między podmiotami wysyłającymi i wizytowanymi.
Przekazywanie EUCI drogą elektroniczną w związku z umowami niejawnymi i niejawnymi umowami o udzielenie dotacji
23.Elektroniczne przetwarzanie i przekazywanie EUCI musi odbywać się zgodnie z rozdziałem 5 sekcja 5.
Systemy teleinformatyczne będące własnością wykonawcy, beneficjenta lub podwykonawcy i używane do przetwarzania i przechowywania EUCI na potrzeby wykonania umowy lub umowy o udzielenie dotacji muszą podlegać akredytacji przez odpowiedzialny organ ds. akredytacji bezpieczeństwa (SAA) państwa lub organizacji międzynarodowej, w ramach właściwości których funkcjonuje wykonawca, beneficjent lub podwykonawca.
Wszelkie przekazywanie EUCI drogą elektroniczną w kontekście umów niejawnych i niejawnych umów o udzielenie dotacji musi podlegać ochronie przy użyciu produktów kryptograficznych zatwierdzonych zgodnie z art. 42.
24.Akredytację bezpieczeństwa CIS wykonawców lub beneficjentów, w którym przetwarza się EUCI z klauzulą tajności RESTREINT UE/EU RESTRICTED, oraz jakichkolwiek jego połączeń międzysystemowych można zlecić pełnomocnikowi ochrony wykonawcy lub beneficjenta, jeżeli krajowe przepisy ustawowe i wykonawcze dopuszczają taką możliwość.
Jeżeli zadanie akredytacji bezpieczeństwa zostaje zlecone podwykonawcy, wykonawca lub beneficjent musi odpowiadać za wdrożenie wymogów bezpieczeństwa opisanych w dokumencie określającym aspekty bezpieczeństwa przy przetwarzaniu informacji z klauzulą tajności RESTREINT UE/EU RESTRICTED za pomocą CIS. Odpowiednie krajowe władze bezpieczeństwa lub krajowe władze bezpieczeństwa oraz SAA pozostają odpowiedzialne za ochronę informacji z klauzulą tajności RESTREINT UE/EU RESTRICTED, które przetwarza lub przechowuje wykonawca lub beneficjent, i zachowują prawo do kontroli środków bezpieczeństwa wprowadzonych przez wykonawcę lub beneficjenta.
Ponadto wykonawca lub beneficjent musi przekazać instytucji lub organowi Unii, jako instytucji zamawiającej lub udzielającej dotacji, a jeżeli jest to wymagane zgodnie z krajowymi przepisami ustawowymi i wykonawczymi, właściwemu krajowemu SAA, stwierdzenie zgodności poświadczające, że CIS wykonawcy lub beneficjenta i związane z nim połączenia międzysystemowe otrzymały akredytację do przetwarzania i przechowywania EUCI z klauzulą tajności RESTREINT UE/EU RESTRICTED.
Osobiste przenoszenie EUCI w związku z umowami niejawnymi i niejawnymi umowami o udzielenie dotacji
25.Osobiste przenoszenie informacji niejawnych związane z umowami niejawnymi i niejawnymi umowami o udzielenie dotacji musi podlegać rygorystycznym wymogom bezpieczeństwa.
26.Pracownicy wykonawcy lub beneficjenta w Unii Europejskiej mogą osobiście przenosić informacje z klauzulą tajności RESTREINT UE/EU RESTRICTED, pod warunkiem że spełnione są następujące wymogi:
a)zastosowano nieprzezroczyste opakowanie lub kopertę bez żadnych oznaczeń wskazujących, że w środku znajdują się informacje niejawne;
b)EUCI przez cały czas znajdują się w posiadaniu osoby je przenoszącej;
c)koperta lub opakowanie nie są otwierane, dopóki osoba przenosząca nie dotrze do swojego miejsca przeznaczenia.
27.W odniesieniu do informacji z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET warunki osobistego przenoszenia przez pracowników wykonawcy lub beneficjenta na terenie państwa członkowskiego są ustalane z wyprzedzeniem przez podmiot wysyłający i otrzymujący.
Organ lub obiekt przesyłający przekazuje organowi lub obiektowi otrzymującemu informacje na temat przesyłki, w tym numer referencyjny, poziom klauzuli tajności, oczekiwany czas otrzymania oraz imię i nazwisko kuriera. Osobiste przenoszenie jest dozwolone, pod warunkiem że spełnione są następujące wymogi:
a)informacje niejawne przenoszone są w dwóch kopertach lub opakowaniach;
b)zewnętrzne opakowanie lub koperta są zabezpieczone i nie zawierają żadnych oznaczeń wskazujących na poziom klauzuli tajności zawartości, który wskazano na wewnętrznej kopercie
c)EUCI przez cały czas znajdują się w posiadaniu osoby je przenoszącej;
d)koperta lub opakowanie nie są otwierane, dopóki osoba przenosząca nie dotrze do swojego miejsca przeznaczenia;
e)koperta lub opakowanie są przenoszone w aktówce wyposażonej w zamek lub w podobnym zatwierdzonym pojemniku o takim rozmiarze i masie, że może on przez cały czas znajdować się w posiadaniu osoby go przenoszącej;
f)kurier ma przy sobie list kurierski wydany przez właściwy organ bezpieczeństwa, któremu podlega, upoważniający kuriera do przewozu wskazanej przesyłki niejawnej.
28.W przypadku osobistego przenoszenia informacji z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET przez pracowników wykonawcy lub beneficjenta z jednego państwa członkowskiego do innego oprócz wymogów określonych w pkt 27 zastosowanie mają następujące przepisy dodatkowe:
a)kurier odpowiada za bezpieczne przechowanie materiałów niejawnych do momentu ich przekazania odbiorcy;
b)w przypadku naruszenia bezpieczeństwa krajowa władza bezpieczeństwa lub wyznaczona władza bezpieczeństwa właściwa dla nadawcy może żądać od organów państwa, w którym doszło do naruszenia bezpieczeństwa, przeprowadzenia dochodzenia, przedstawienia ustaleń z takiego dochodzenia oraz w stosownych przypadkach wszczęcia postępowania sądowego lub podjęcia innych działań;
c)przed przejęciem przesyłki kurier musi zostać powiadomiony o wszystkich obowiązkach dotyczących bezpieczeństwa, których należy przestrzegać podczas przenoszenia informacji, i podpisać stosowne oświadczenia;
d)do listu kurierskiego załączona zostaje instrukcja przeznaczona dla kuriera;
e)kurier musi otrzymać opis przesyłki i trasy podróży;
f)list kurierski i powiązane dokumenty muszą zostać zwrócone wydającej je krajowej władzy bezpieczeństwa lub wyznaczonej władzy bezpieczeństwa po zakończeniu podróży lub odbiorca listu kurierskiego przechowuje je i udostępnia do celów monitorowania;
g)jeżeli organy celne, imigracyjne lub policja graniczna zażądają okazania przesyłki do kontroli, należy im zezwolić na otwarcie i zobaczenie części przesyłki wystarczających do stwierdzenia, że zawiera ona wyłącznie zadeklarowane materiały;
h)organy celne należy wezwać do uhonorowania faktu wystawienia przez władzę publiczną dokumentów przewozowych i dokumentów uwierzytelniających posiadanych przez kuriera.
Jeżeli organy celne otwierają przesyłkę, powinno to się odbywać poza zasięgiem wzroku osób nieupoważnionych i w miarę możliwości w obecności kuriera. Kurier musi poprosić o ponowne zapakowanie przesyłki i zażądać od organów przeprowadzających kontrolę ponownego zapieczętowania przesyłki i pisemnego potwierdzenia, że przesyłka została otwarta przez te organy.
29.Osobiste przenoszenie przez pracowników wykonawcy lub beneficjenta informacji z klauzulą tajności SECRET UE/EU SECRET do państwa trzeciego lub do organizacji międzynarodowej podlega postanowieniom umowy o bezpieczeństwie informacji zawartej między Unią Europejską a takim państwem trzecim albo taką organizacją międzynarodową.
Transport EUCI przez kurierów komercyjnych i jako ładunek w związku z umowami niejawnymi i niejawnymi umowami o udzielenie dotacji
30.Transport EUCI przez kurierów komercyjnych musi odbywać się zgodnie z odpowiednimi przepisami załącznika IV.
31.W przypadku transportu materiałów niejawnych jako ładunku do określania zabezpieczeń muszą być stosowane następujące zasady:
a)na wszystkich etapach przewozu, począwszy od miejsca wyjazdu do miejsca przeznaczenia, musi być zapewnione bezpieczeństwo;
b)stopień ochrony, którym objęto przesyłkę, musi być określany według najwyższego poziomu klauzuli tajności materiałów zawartych w przesyłce;
c)przedsiębiorstwa dokonujące przewozu muszą uzyskać SBP na stosownym poziomie. W takich przypadkach pracownicy zajmujący się przesyłką muszą zostać odpowiednio sprawdzeni;
d)przed jakimkolwiek transgranicznym przewożeniem materiałów z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET nadawca musi sporządzić plan przewozu, który jest zatwierdzany przez krajową władzę bezpieczeństwa, wyznaczoną władzę bezpieczeństwa lub jakikolwiek inny właściwy organ bezpieczeństwa;
e)przejazdy muszą odbywać się w miarę możliwości bezpośrednio między dwoma punktami i kończyć się tak szybko, jak pozwolą na to okoliczności;
f)jeżeli jest to możliwe, trasy muszą przebiegać wyłącznie przez terytoria państw członkowskich. Transport trasami przebiegającymi przez terytoria państw trzecich musi się odbywać wyłącznie pod warunkiem zatwierdzenia przez krajową władzę bezpieczeństwa, wyznaczoną władzę bezpieczeństwa lub jakikolwiek inny właściwy organ bezpieczeństwa zarówno państwa nadawcy, jak i państwa odbiorcy.
KOMISJA EUROPEJSKA
Bruksela, dnia 22.3.2022
COM(2022) 119 final
Proposal for a
ZAŁĄCZNIK
do
ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY
w sprawie bezpieczeństwa informacji w instytucjach, organach, urzędach i agencjach Unii
{SWD(2022) 65 final} - {SWD(2022) 66 final}
ZAŁĄCZNIK VI
Równoważność klauzul tajności
Równoważne klauzule tajności państw członkowskich i EURATOM
|
UE |
TRES SECRET UE/EU TOP SECRET |
SECRET UE/EU SECRET |
CONFIDENTIEL UE/EU CONFIDENTIAL |
RESTREINT UE/EU RESTRICTED |
|
EURATOM |
EURA TOP SECRET |
EURA SECRET |
EURA CONFIDENTIAL |
EURA RESTRICTED |
|
Belgia |
Très Secret (Loi 11.12.1998) Zeer Geheim (Wet 11.12.1998) |
Secret (Loi 11.12.1998) Geheim (Wet 1.12.1998) |
Confidentiel (Loi 11.12.1998) Vertrouwelijk (Wet 11.12.1998) |
Zob. przypis 1 . |
|
Bułgaria |
Cтpoгo ceкретно |
Ceкретно |
Поверително |
За служебно ползване |
|
Republika Czeska |
Přísně tajné |
Tajné |
Důvěrné |
Vyhrazené |
|
Dania |
YDERST HEMMELIGT |
HEMMELIGT |
FORTROLIGT |
TIL TJENESTEBRUG |
|
Niemcy |
STRENG GEHEIM |
GEHEIM |
VS 2 — VERTRAULICH |
VS — NUR FÜR DEN DIENSTGEBRAUCH |
|
Estonia |
Täiesti salajane |
Salajane |
Konfidentsiaalne |
Piiratud |
|
Irlandia |
Top Secret |
Secret |
Confidential |
Restricted |
|
Grecja |
Άκρως Απόρρητο Skr. ΑΑΠ |
Απόρρητο Skr. (ΑΠ) |
Εμπιστευτικό Skr. (ΕΜ) |
Περιορισμένης Χρήσης Skr. (ΠΧ) |
|
Hiszpania |
SECRETO |
RESERVADO |
CONFIDENCIAL |
DIFUSIÓN LIMITADA |
|
Francja |
TRÈS SECRET TRÈS SECRET DÉFENSE 3 |
SECRET SECRET DÉFENSE(3) |
CONFIDENTIEL DÉFENSE (3) 4 |
Zob. przypis 5 . |
|
Chorwacja |
VRLO TAJNO |
TAJNO |
POVJERLJIVO |
OGRANIČENO |
|
Włochy |
Segretissimo |
Segreto |
Riservatissimo |
Riservato |
|
Cypr |
Άκρως Απόρρητο Skr. (ΑΑΠ) |
Απόρρητο Skr. (ΑΠ) |
Εμπιστευτικό Skr. (ΕΜ) |
Περιορισμένης Χρήσης Skr. (ΠΧ) |
|
Łotwa |
Sevišķi slepeni |
Slepeni |
Konfidenciāli |
Dienesta vajadzībām |
|
Litwa |
Visiškai slaptai |
Slaptai |
Konfidencialiai |
Riboto naudojimo |
|
Luksemburg |
Très Secret Lux |
Secret Lux |
Confidentiel Lux |
Restreint Lux |
|
Węgry |
„Szigorúan titkos!” |
„Titkos!” |
„Bizalmas!” |
„Korlátozott terjesztésű!” |
|
Malta |
L-Ogħla Segretezza Top Secret |
Sigriet Secret |
Kunfidenzjali Confidential |
Ristrett Restricted 6 |
|
Niderlandy |
Stg. ZEER GEHEIM |
Stg. GEHEIM |
Stg. CONFIDENTIEEL |
Dep. VERTROUWELIJK |
|
Austria |
Streng Geheim |
Geheim |
Vertraulich |
Eingeschränkt |
|
Polska |
Ściśle Tajne |
Tajne |
Poufne |
Zastrzeżone |
|
Portugalia |
Muito Secreto |
Secreto |
Confidencial |
Reservado |
|
Rumunia |
Strict secret de importanță deosebită |
Strict secret |
Secret |
Secret de serviciu |
|
Słowenia |
STROGO TAJNOt |
TAJNO |
ZAUPNO |
INTERNO |
|
Słowacja |
Prísne tajné |
Tajné |
Dôverné |
Vyhradené |
|
Finlandia |
ERITTÄIN SALAINEN YTTERST HEMLIG |
SALAINEN HEMLIG |
LUOTTAMUKSELLINEN KONFIDENTIELL |
KÄYTTÖ RAJOITETTU BEGRÄNSAD TILLGÅNG |
|
Szwecja |
Kvalificerat hemlig |
Hemlig |
Konfidentiell |
Begränsat hemlig |