2001D0844 — SK — 05.08.2006 — 003.001

---

Tento dokument slúži čisto na potrebu dokumentácie a inštitúcie nenesú nijakú zodpovednosť za jeho obsah

►B	ROZHODNUTIE KOMISIE z 29. novembra 2001, ktorým sa mení a dopĺňa jej rokovací poriadok (oznámené pod číslom dokumentu C(2001) 3031) (2001/844/ES, ESUO, Euratom) (Ú. v. ES L 317, 3.12.2001, p.1)

Zmenené a doplnené:

		Úradný vestník
		No	page	date
►M1	ROZHODNUTIE KOMISIE z 3. februára 2005,	L 31	66	4.2.2005
►M2	ROZHODNUTIE KOMISIE z 31. januára 2006,	L 34	32	7.2.2006
►M3	ROZHODNUTIE KOMISIE z 2. augusta 2006,	L 215	38	5.8.2006

---

▼B

ROZHODNUTIE KOMISIE

z 29. novembra 2001,

ktorým sa mení a dopĺňa jej rokovací poriadok

(oznámené pod číslom dokumentu C(2001) 3031)

(2001/844/ES, ESUO, Euratom)

Článok 1

Ustanovenia Komisie o bezpečnosti, ktorých znenie je priložené k tomuto rozhodnutiu, sa týmto pripájajú k rokovaciemu poriadku Komisie ako príloha.

Článok 2

Toto rozhodnutie nadobúda účinnosť v deň jeho uverejnenia v Úradnom vestníku Európskych spoločenstiev.

Uplatňuje sa od 1. decembra 2001.

---

PRÍLOHA

USTANOVENIA KOMISIE O BEZPEČNOSTI

Keďže:

▼M2

▼B

Článok 1

Bezpečnostné predpisy Komisie sú uvedené v prílohe.

Článok 2

1.  Člen Komisie zodpovedný za bezpečnostné záležitosti prijme primerané opatrenia, aby zabezpečil, že úradníci a ostatní zamestnanci Komisie a pridelení zamestnanci Komisie budú pri narábaní s utajovanými skutočnosťami v rámci Komisie rovnako ako v rámci všetkých priestorov Komisie vrátane reprezentácií a úradov v únii a jej delegácií v tretích krajinách, a externí dodávatelia Komisie dodržiavať predpisy uvedené v článku 1.

▼M3

Ak zmluva alebo dohoda o poskytnutí grantu medzi Komisiou a externým dodávateľom alebo príjemcom predpokladá spracovanie utajovaných skutočností EÚ v priestoroch dodávateľa alebo príjemcu, primerané opatrenia, ktoré má uvedený externý dodávateľ alebo príjemca prijať na zabezpečenie dodržania pravidiel podľa článku 1 v prípade narábania s utajovanými skutočnosťami EÚ, tvoria neoddeliteľnú súčasť zmluvy alebo dohody o poskytnutí grantu.

▼B

2.  Členské štáty, iné orgány, inštitúcie, úrady a agentúry zriadené podľa zmlúv alebo na ich základe sú oprávnené obdržať utajované skutočnosti pod podmienkou, že zabezpečia, aby sa pri narábaní s utajovanými skutočnosťami v rámci ich útvarov a priestorov dodržiavali predpisy rovnocenné s predpismi, ktoré sú uvedené v článku 1, najmä, aby ich dodržiavali:

Článok 3

Tretie štáty, organizácie a iné orgány môžu obdržať utajované skutočnosti pod podmienkou, že zabezpečia, aby sa pri narábaní s takýmito utajovanými skutočnosťami dodržiavali predpisy, ktoré sú rovnocenné s predpismi uvedenými v článku 1.

Článok 4

Pri dodržaní základných zásad a minimálnych noriem bezpečnosti uvedených v prvej časti tejto prílohy môže člen Komisie, ktorý je zodpovedný za bezpečnostné záležitosti prijať opatrenia v súlade s druhou časťou tejto prílohy.

Článok 5

Tieto ustanovenie odo dňa ich uplatňovania nahrádzajú:

Článok 6

Od dátumu uplatňovania týchto ustanovení všetky utajované skutočnosti, ktoré má Komisia k dispozícii k tomuto dátumu s výnimkou utajovaných skutočností Euratom:

---

PRÍLOHA

BEZPEČNOSTNÉ PREDPISY

Obsah
PRVÁ I:	ZÁKLADNÉ ZÁSADY A MINIMÁLNE BEZPEČNOSTNÉ NORMY
1.	ÚVOD
2.	VŠEOBECNÉ ZÁSADY
3.	ZÁKLADY BEZPEČNOSTI
4.	ZÁSADY INFORMAČNEJ BEZPEČNOSTI
4.1.	Ciele
4.2.	Vymedzenie pojmov
4.3.	Utajovanie
4.4.	Ciele bezpečnostných opatrení
5.	ORGANIZÁCIA BEZPEČNOSTI
5.1	ORGANIZÁCIA BEZPEČNOSTI
5.2.	Organizácia
6.	PERSONÁLNA BEZPEČNOSŤ
6.1.	Bezpečnostné previerky personálu
6.2.	Záznamy o bezpečnostných previerkach personálu
6.3.	Bezpečnostné pokyny pre personál
6.4.	Zodpovednosti riadenia
6.5.	Bezpečnostné postavenie personálu
7.	FYZICKÁ BEZPEČNOSŤ
7.1.	Potreba ochrany
7.2.	Kontrolovanie
7.3.	Bezpečnosť budov
7.4.	Havarijné plány
8.	BEZPEČNOSŤ UTAJOVANÝCH SKUTOČNOSTÍ
9.	BOJ PROTI SABOTÁŽI A KONTROLA INÝCH FORIEM ZLOMYSEĽNÝCH ŠKÔD
10.	POSKYTNUTIE UTAJOVANÝCH SKUTOČNOSTÍ TRETÍM ŠTÁTOM ALEBO MEDZINÁRODNÝM ORGANIZÁCIÁM
ČASŤ II:	ORGANIZÁCIA BEZPEČNOSTI V KOMISII
11.	ČLEN KOMISIE ZODPOVEDNÝ ZA BEZPEČNOSTNÉ ZÁLEŽITOSTI
12.	PORADNÁ SKUPINA KOMISIE PRE BEZPEČNOSTNÚ POLITIKU
13.	BEZPEČNOSTNÁ RADA KOMISIE
14.	►M2  RIADITEL’STVO KOMISIE PRE BEZPEČNOSŤ ◄
15.	BEZPEČNOSTNÉ INŠPEKCIE
16.	UTAJOVANIE, VYMEDZENIE UTAJENIA A OZNAČOVANIE
16.1.	Stupne utajenia
16.2.	Bezpečnostné vymedzenie utajenia
16.3.	Označovanie
16.4.	Uvedenie utajenia
16.5.	Uvedenie bezpečnostného vymedzenia utajenia
17.	RIADENIE UTAJOVANIA
17.1.	Všeobecne
17.2.	Uplatňovanie utajovania
17.3.	Zníženie stupňa utajenia a zrušenie stupňa utajenia
18.	FYZICKÁ BEZPEČNOSŤ
18.1.	Všeobecne
18.2.	Bezpečnostné požiadavky
18.3.	Fyzické bezpečnostné opatrenia
18.3.1.	Bezpečnostné oblasti
18.3.2.	Administratívny priestor
18.3.3.	Vstupné a výstupné kontroly
18.3.4.	Strážne obhliadky
18.3.5.	Bezpečnostné schránky a zabezpečené miestnosti
18.3.6.	Zámky
18.3.7.	Kontrola kľúčov a kombinácií
18.3.8.	Poplašné detekčné zariadenia
18.3.9.	Schválené zariadenie
18.3.10.	Fyzická ochrana kopírovacích a faxových prístrojov
18.4.	Ochrana proti neoprávnenému nazeraniu a odpočúvaniu
18.4.1.	Neoprávnené nazeranie
18.4.2.	Odpočúvanie
18.4.3.	Zavedenie elektronického a záznamového zariadenia
18.5.	Technicky bezpečné oblasti
19.	VŠEOBECNÉ PRAVIDLÁ ZÁSADY „POTREBA POZNAŤ“ A BEZPEČNOSTNÉ PREVIERKY PERSONÁLU EÚ
19.1.	Všeobecne
19.2.	Osobitné pravidlá o prístupe k utajovaným skutočnostiam ►M1  TRES SECRET UE/EU TOP SECRET ◄
19.3.	Osobitné pravidlá o prístupe k utajovaným skutočnostiam ►M1  SECRET UE ◄ a utajovaným skutočnostiam ►M1  CONFIDENTIEL UE ◄
19.4.	Osobitné pravidlá o prístupe k utajovaným skutočnostiam ►M1  RESTREINT UE ◄
19.5.	Presuny
19.6.	Osobitné pokyny
20.	POSTUP BEZPEČNOSTNÝCH PREVIEROK PRE ÚRADNÍKOV KOMISIE A OSTATNÝCH ZAMESTNANCOV
21.	PRÍPRAVA, DISTRIBÚCIA, ROZŠIROVANIE, BEZPEČNOSŤ KURIÉRSKEHO PERSONÁLU A ZVLÁŠTNE KÓPIE ALEBO PREKLADY A VÝPISY Z UTAJOVANÝCH SKUTOČNOSTÍ EÚ
21.1.	Príprava
21.2.	Distribúcia
21.3.	Prenášanie utajovaných dokumentov EÚ
21.3.1.	Balenie, príjem
21.3.2.	Prenášanie v rámci budovy alebo skupiny budov
21.3.3.	Prenášanie v rámci krajiny
21.3.4.	Prenášanie zo štátu do štátu
21.3.5.	Prenášanie dokumentov EÚ vyhradené
21.4.	Bezpečnosť kuriérov
21.5.	Elektronické a iné prostriedky technického prenosu
21.6.	Zvláštne kópie a preklady výpisov a výpisy z utajovaných dokumentov EÚ
22.	REGISTRE UTAJOVANÝCH SKUTOČNOSTÍ EÚ, PREHLIADKY, KONTROLY, ARCHÍVNE SKLADOVANIE A LIKVIDÁCIA UTAJOVANÝCH SKUTOČNOSTÍ EÚ
22.1.	Miestne registre utajovaných skutočností EÚ
22.2.	Register utajovaných skutočností ►M1  TRES SECRET UE/EU TOP SECRET ◄
22.2.1.	Všeobecne
22.2.2.	Centrálny register utajovaných skutočností ►M1  TRES SECRET UE/EU TOP SECRET ◄
22.2.3.	Vedľajšie registre utajovaných skutočností ►M1  TRES SECRET UE/EU TOP SECRET ◄
22.3.	Súpisy, prehliadky a kontroly utajovaných dokumentov EÚ
22.4.	Archívne skladovanie utajovaných dokumentov EÚ
22.5.	Likvidácia utajovaných dokumentov EÚ
22.6.	Likvidácia v naliehavých situáciách
23.	BEZPEČNOSTNÉ OPATRENIA PRE OSOBITNÉ ZASADNUTIA, KTORÉ SA KONAJÚ MIMO PRIESTOROV KOMISIE A ZAHŔŇAJÚ UTAJOVANÉ SKUTOČNOSTI EÚ
23.1.	Všeobecne
23.2.	Právomoci
23.2.1.	►M2  Riaditeľstvo Komisie pre bezpečnosť ◄
23.2.2.	Bezpečnostný úradník zasadnutia (MSO)
23.3.	Bezpečnostné opatrenia
23.3.1.	Bezpečnostné oblasti
23.3.2.	Priepustky
23.3.3.	Kontrola fotografického a audio zariadenia
23.3.4.	Kontrola aktoviek, prenosných počítačov a balíkov
23.3.5.	Technická bezpečnosť
23.3.6.	Dokumenty delegácií
23.3.7.	Bezpečná úschova dokumentov
23.3.8.	Inšpekcia kancelárií
23.3.9.	Likvidácia odpadu utajovaných skutočností EÚ
24.	PORUŠENIE BEZPEČNOSTI A OHROZENIE UTAJOVANÝCH SKUTOČNOSTÍ EÚ
24.1.	Vymedzenie pojmov
24.2.	Hlásenie porušenia bezpečnosti
24.3.	Právne opatrenia
25.	OCHRANA UTAJOVANÝCH SKUTOČNOSTÍ EÚ, S KTORÝMI SA NARÁBA V INFORMAČNEJ TECHNOLÓGII A KOMUNIKAČNÝCH SYSTÉMOCH
25.1.	Úvod
25.1.1.	Všeobecne
25.1.2.	Hrozby a zraniteľnosť systémov
25.1.3.	Hlavný účel bezpečnostných opatrení
25.1.4.	Vyhlásenie o osobitnej systémovej bezpečnostnej požiadavke (OSBP)
25.1.5.	Bezpečnostné režimy prevádzky
25.2.	Vymedzenie pojmov
25.3.	Bezpečnostné právomoci
25.3.1.	Všeobecne
25.3.2.	Bezpečnostný akreditačný úrad (BAÚ)
25.3.3.	Úrad INFOBEZ (IÚ)
25.3.4.	Vlastník technických systémov (VTS)
25.3.5.	Vlastník utajovaných skutočností (VUS)
25.3.6.	Užívatelia
25.3.7.	Odborné vzdelávanie INFOBEZ
25.4.	Iné ako technické bezpečnostné opatrenia
25.4.1.	Personálna bezpečnosť
25.4.2.	Fyzická bezpečnosť
25.4.3.	Kontrola prístupu k systému
25.5.	Technické bezpečnostné opatrenia
25.5.1.	Bezpečnosť utajovaných skutočností
25.5.2.	Kontrola a zodpovednosť za utajované skutočnosti
25.5.3.	Manipulácia a kontrola odstrániteľných počítačových úložných médií
25.5.4.	Zrušenie stupňa utajenia a likvidácia počítačových úložných médií
25.5.5.	Komunikačná bezpečnosť
25.5.6.	Inštalačná a radiačná bezpečnosť
25.6.	Bezpečnosť počas manipulácie
25.6.1.	Bezpečnostné prevádzkové postupy
25.6.2.	Riadenie softwarovej ochrany/konfigurácie
25.6.3.	Kontrola prítomnosti škodného softwaru/počítačových vírusov
25.6.4.	Údržba
25.7.	Verejné obstarávanie
25.7.1.	Všeobecne
25.7.2.	Akreditácia
25.7.3.	Vyhodnotenie a certifikácia
25.7.4.	Bežná kontrola bezpečnostných funkcií pre neustálu akreditáciu
25.8.	Dočasné alebo príležitostné použitie
25.8.1.	Bezpečnosť mikropočítačov/osobných počítačov
25.8.2.	Použitie súkromného informačného systému pre oficiálnu prácu Komisie
25.8.3.	Použitie informačnej technológie vo vlastníctve dodávateľov alebo technológie národne dodávanej pre oficiálnu prácu Komisie
26.	POSKYTNUTIE UTAJOVANÝCH SKUTOČNOSTÍ EÚ TRETÍM ŠTÁTOM ALEBO MEDZINÁRODNÝM ORGANIZÁCIÁM
26.1.1.	Zásady, ktorými sa riadi poskytovanie utajovaných skutočností EÚ
26.1.2.	Úrovne
26.1.3.	Dohody o bezpečnosti
DODATOK 1:	Porovnanie národných stupňov bezpečnostného utajenia
DODATOK 2:	Praktický návod na utajovanie
DODATOK 3:	Usmernenia o poskytovaní utajovaných skutočností EÚ tretím štátom alebo medzinárodným organizáciám: Úroveň spolupráce 1
DODATOK 4:	Usmernenia o poskytovaní utajovaných skutočností EÚ tretím štátom alebo medzinárodným organizáciám: Úroveň spolupráce 2
DODATOK 5:	Usmernenia o poskytovaní utajovaných skutočností EÚ tretím štátom alebo medzinárodným organizáciám: Úroveň spolupráce 3
DODATOK 6:	Zoznam skratiek

PRVÁ I:   ZÁKLADNÉ ZÁSADY A MINIMÁLNE BEZPEČNOSTNÉ NORMY

1.   ÚVOD

Tieto ustanovenia určujú základné zásady a minimálne bezpečnostné normy, ktoré Komisia musí primeraným spôsobom rešpektovať na všetkých úrovniach zamestnania, rovnako ako všetci príjemcovia utajovaných skutočnosti EÚ (USEÚ) tak, aby sa zaručila bezpečnosť a všetci zainteresovaní si mohli byť istí, že je zabezpečená spoločná norma ochrany.

2.   VŠEOBECNÉ ZÁSADY

Bezpečnostná politika Komisie tvorí jednotnú časť jej všeobecnej vnútornej politiky riadenia, a preto vychádza zo zásad určujúcich jej všeobecnú politiku.

Tieto zásady zahŕňajú zákonnosť, transparentnosť, zodpovednosť a subsidiaritu (proporcionalitu).

Zákonnosť predstavuje potrebu zostať striktne v právnom rámci pri vykonávaní bezpečnostných funkcií a potrebu byť v súlade s právnymi požiadavkami. Znamená to tiež, že zodpovednosti v oblasti bezpečnosti musia vychádzať z náležitých právnych ustanovení. Ustanovenia v personálnom poriadku sa plne uplatňujú, najmä jeho článok 17 o povinnosti zamestnancov uplatňovať rozvážnosť s ohľadom na utajované skutočnosti Komisie a jeho hlavu VI o disciplinárnych opatreniach. Napokon, zákonnosť znamená, že porušenia bezpečnosti v rámci zodpovednosti Komisie sa musia riešiť spôsobom, ktorý je zhodný s politikou Komisie o disciplinárnych opatreniach a politikou o spolupráci s členskými štátmi v oblasti trestnej legislatívy.

Transparentnosť predstavuje potrebu jednoznačnosti v súvislosti so všetkými bezpečnostnými predpismi, rovnováhy medzi rozličnými útvarmi a rozličnými oblasťami (fyzická bezpečnosť oproti ochrane utajovaných skutočností atď.) a potrebu dôslednej a štruktúrovanej politiky, ktorá sa týka bezpečnostného povedomia. Vymedzuje tiež potrebu jasných písomných usmernení na zavedenie bezpečnostných opatrení.

Zodpovednosť znamená, že zodpovednosti v oblasti bezpečnosti musia byť jednoznačne vymedzené. Okrem toho predstavuje potrebu pravidelne overovať, či sa tieto zodpovednosti vykonávajú správne.

Subsidiarita alebo proporcionalita znamená, že bezpečnosť sa musí organizovať na najnižšej možnej úrovni a čo najbližšie ku generálnym riaditeľstvám a útvarom Komisie. Tiež predstavuje skutočnosť, že bezpečnostné činnosti sa musia obmedziť iba na tie prvky, ktoré ju naozaj vyžadujú. A napokon to znamená, že bezpečnostné opatrenia musia byť úmerné k záujmom, ktoré sa majú chrániť a skutočnej alebo potenciálnej hrozbe pre tieto záujmy, pričom sa zohľadňuje obrana, ktorá spôsobuje čo najmenšie narušenie.

3.   ZÁKLADY BEZPEČNOSTI

Základmi bezpečnosti sú:

4.   ZÁSADY INFORMAČNEJ BEZPEČNOSTI

4.1.   Ciele

Informačná bezpečnosť má tieto hlavné ciele:

4.2.   Vymedzenie pojmov

Na účely týchto ustanovení:

4.3.   Utajovanie

4.4.   Cieľ bezpečnostných opatrení

Bezpečnostné opatrenia:

5.   ORGANIZÁCIA BEZPEČNOSTI

5.1.   Všeobecné minimálne normy

Komisia zabezpečuje, aby všeobecné minimálne normy bezpečnosti dodržiavali všetci príjemcovia USEÚ v vnútri orgánov a podľa svojich právomocí, napríklad všetky úrady a dodávatelia tak, aby utajované skutočnosti EÚ bolo možné odovzdať ako dôverné, s ktorými sa budú oboznamovať s rovnakou starostlivosťou. Takéto minimálne normy zahŕňajú kritériá udeľovania oprávnení pre personál a postupy na ochranu utajovaných skutočnosti EÚ.

Komisia umožní prístup k USEÚ vonkajším orgánom iba za podmienky, že zabezpečia, aby sa pri oboznamovaní sa s USEÚ dodržiavali ustanovenia aspoň na rovnocennej úrovni, ako je úroveň týchto minimálnych noriem.

▼M3

Tieto minimálne normy sa uplatňujú takisto v prípade, ak Komisia na základe zmluvy alebo dohody o poskytnutí grantu zverí úlohy zahŕňajúce, predpokladajúce a/alebo obsahujúce utajované skutočnosti EÚ priemyselným alebo iným subjektom: tieto spoločné minimálne normy sú uvedené v časti II oddiele 27.

▼B

5.2.   Organizácia

V rámci Komisie sa bezpečnosť organizuje na dvoch úrovniach:

6.   PERSONÁLNA BEZPEČNOSŤ

6.1.   Bezpečnostné previerky personálu

Všetky osoby, ktoré žiadajú o prístup k utajovaným skutočnostiam ►M1  CONFIDENTIEL UE ◄ alebo vyššieho stupňa, musia byť primerane preverené skôr, ako sa im takýto prístup povolí. Podobné preverenie sa vyžaduje v prípade osôb, ktorých povinnosti zahŕňajú technickú prevádzku alebo údržbu komunikačných a informačných systémov obsahujúcich utajované skutočnosti. Toto preverenie sa vykonáva tak, aby sa určilo, či takíto jednotlivci:

Osobitná pozornosť pri preverovaní v rámci bezpečnostných previerok sa musí uplatniť v prípade osôb:

Za okolností uvedených vyššie v písm. d), e) a f) sa čo najviac využíva technika vyšetrovanie pozadia.

Ak osoby, u ktorých sa neuplatní zásada „potreba poznať“, sú zamestnané za okolností, pri ktorých môžu mať prístup k utajovaným skutočnostiam EÚ (napríklad kuriéri, bezpečnostní agenti, personál zabezpečujúci údržbu alebo upratovanie atď.), musia sa takéto osoby najprv primerane bezpečnostne preveriť.

6.2.   Záznamy o personálnych previerkach

Všetky úrady Komisie, ktoré sa oboznamujú s utajovanými skutočnosťami EÚ, alebo uchovávajú bezpečnostné komunikačné alebo informačné systémy, musia viesť záznam o previerkach, ktorými prešiel personál pridelený do daného úradu. Všetky previerky sa musia overiť podľa potreby, aby sa zabezpečilo, že sú primerané pre aktuálne pridelenie danej osoby; opätovne sa revidujú podľa potrebnej priority vždy, keď sa prijme nová utajovaná skutočnosť naznačujúca, že pokračujúce pridelenie na práce súvisiace s utajením už nie je viac v súlade so záujmami bezpečnosti. Miestny bezpečnostný úradník úradu Komisie vedie záznam o previerkach v rámci svojej pôsobnosti.

6.3.   Bezpečnostné pokyny pre personál

Všetci členovia personálu, ktorí sú zamestnaní na pozíciách, kde by mohli mať prístup k utajovaným skutočnostiam, musia byť pri prevzatí úlohy dôsledne inštruovaní a v pravidelných intervaloch podľa potreby o bezpečnosti a postupoch zaručujúcich bezpečnosť. Takíto členovia personálu musia písomne potvrdiť, že predložené bezpečnostné opatrenia si prečítali a plne im porozumeli.

6.4.   Zodpovednosti riadenia

Vedúci pracovníci majú povinnosť poznať tých členov svojho personálu, ktorí pri práci prichádzajú do styku s utajovanými skutočnosťami, alebo ktorí majú prístup k bezpečnostným komunikačným alebo informačným systémom, a hlásiť akékoľvek prípady alebo zjavné poruchy, o ktorých je pravdepodobné, že majú dopad na bezpečnosť.

6.5.   Bezpečnostné postavenie personálu

Vypracujú sa postupy, ktoré zabezpečia, že v prípade objavenia sa nepriaznivej informácie o jednotlivcovi, sa určí, či jednotlivec pracuje s utajovanými skutočnosťami alebo má prístup k bezpečnostným komunikačným alebo informačným systémom, a  ►M2  riaditeľ Komisie pre bezpečnosť ◄ je o tejto utajovanej skutočnosti informovaný. Ak sa prijme záver, že takýto jednotlivec predstavuje bezpečnostné riziko, pozastaví sa mu vykonávanie danej činnosti alebo sa mu takáto pracovná činnosť odníme, ak by mohol ohroziť bezpečnosť.

7.   FYZICKÁ BEZPEČNOSŤ

7.1.   Potreba ochrany

Stupeň opatrení fyzickej ochrany, ktoré sa majú uplatňovať, aby sa zabezpečila ochrana utajovaných skutočností EÚ, musí byť primeraný utajeniu, objemu a ohrozeniu vlastnených informácií a materiálu. Všetky osoby, ktoré majú k dispozícii utajované skutočnosti EÚ musia dodržiavať jednotné postupy utajovania skutočností a spĺňať všeobecné normy ochrany ohľadne spravovania, prenosu a likvidovania informácií a materiálov vyžadujúcich si ochranu.

7.2.   Kontrolovanie

Pred zanechaním priestorov obsahujúcich utajované skutočnosti EÚ bez dozoru osoby, ktoré ich spravujú, musia zabezpečiť, aby takéto utajované skutočnosti boli bezpečne uschované a aby sa aktivovali všetky bezpečnostné zariadenia (zámky, poplašné zariadenia atď.). Po skončení pracovného času sa vykonáva ďalšia nezávislá kontrola.

7.3   Bezpečnosť budov

Budovy, v ktorých sa uchovávajú utajované skutočnosti EÚ alebo bezpečnostné komunikačné alebo informačné systémy, sa chránia proti neoprávnenému prístupu. Povaha ochrany vo vzťahu k utajovaným skutočnostiam EÚ, napríklad zamrežovanie okien, zámky na dverách, stráž pri vstupoch, automatizované kontrolné vstupné systémy, bezpečnostné kontroly a pochôdzky, poplašné systémy, detekčné systémy proti vlámaniu a strážne psy, závisia od:

Povaha ochrany vo vzťahu ku komunikačným a informačným systémom podobne závisí od posúdenia hodnoty majetku, o ktorý ide, a potenciálnej škody, ak by došlo k zníženiu stupňa bezpečnosti, od fyzickej povahy a umiestnenia budovy, v ktorej sa systém nachádza, a od umiestnenia systému v rámci budovy.

7.4.   Havarijné plány

Vopred sa musia vypracovať podrobné havarijné plány na ochranu utajovaných skutočností počas miestnej alebo celoštátnej havarijnej situácie.

8.   BEZPEČNOSŤ UTAJOVANÝCH SKUTOČNOSTÍ

Informačná bezpečnosť (INFOBEZ) sa týka identifikovania a uplatnenia bezpečnostných opatrení na ochranu utajovaných skutočností EÚ, ktoré sa spracovávajú, skladujú alebo prenášajú komunikačnými, informačnými alebo inými elektronickými systémami, proti strate dôvernosti, celistvosti alebo dostupnosti, náhodnej alebo úmyselnej. Musia sa prijať primerané protiopatrenia, aby sa zabránil prístup k utajovaným skutočnostiam EÚ nepovolaným užívateľom, zabránilo odmietnutie prístupu k utajovaným skutočnostiam EÚ oprávneným užívateľom, a zabránilo zneužitie alebo neoprávnené upravenie alebo vymazanie utajovaných skutočností EÚ.

9.   BOJ PROTI SABOTÁŽI A KONTROLA INÝCH FORIEM ZLOMYSEĽNÝCH ŠKÔD

Fyzické opatrenia na ochranu dôležitých zariadení uchovávajúcich utajované skutočnosti sú najlepšie ochranné bezpečnostné opatrenia proti sabotáži a zlomyseľnému poškodeniu, a samotné previerky personálu nie sú účinnou náhradou. Príslušný vnútroštátny orgán sa požiada, aby poskytol tajné informácie so zreteľom špionáž, sabotáž, terorizmus a inú podvratnú činnosť.

10.   POSKYTNUTIE UTAJOVANÝCH SKUTOČNOSTÍ TRETÍM ŠTÁTOM ALEBO MEDZINÁRODNÝM ORGANIZÁCIÁM

Rozhodnutie poskytnúť utajované skutočnosti EÚ pochádzajúce od Komisie tretiemu štátu alebo medzinárodnej organizácii prijíma Komisia ako kolégium. Ak pôvodcom utajovanej skutočnosti, o ktorej poskytnutie sa žiada, nie je Komisia, Komisia najprv získa súhlas pôvodcu s poskytnutím. Ak nie je možné určiť pôvodcu, zodpovednosť pôvodcu prevezme Komisia.

Ak Komisia obdrží utajované skutočnosti od tretích štátov, od medzinárodných organizácií alebo od iných tretích strán, týmto utajovaným skutočnostiam sa pridelí ochrana primeraná ich utajeniu a rovnocenná normám stanoveným v týchto ustanoveniach pre utajované skutočnosti EÚ alebo také vyššie normy, ktorých dodržanie môže prípadne požadovať tretia strana, ktorá takéto utajované skutočnosti poskytuje. Je možné dojednať vzájomné kontroly.

Vyššie uvedené zásady sa uplatňujú v súlade s podrobnými ustanoveniami upravenými v druhej časti, oddiel 26 a v dodatkoch 3, 4 a 5.

DRUHÁ II:   ORGANIZÁCIA BEZPEČNOSTI V KOMISII

11.   ČLEN KOMISIE ZODPOVEDNÝ ZA BEZPEČNOSTNÉ ZÁLEŽITOSTI

Člen Komisie zodpovedný za bezpečnostné záležitosti:

Člen Komisie zodpovedný za bezpečnostné záležitosti je zodpovedný najmä za:

12.   PORADNÁ SKUPINA KOMISIE PRE BEZPEČNOSTNÚ POLITIKU

Vytvára sa Poradná skupina Komisie pre bezpečnostnú politiku. Skladá sa z člena Komisie zodpovedného za bezpečnostné záležitosti alebo jeho zástupcu, ktorý a jej predsedá, a zo zástupcu NBÚ každého členského štátu. Zástupcovia ostatných európskych orgánov môžu byť tiež prizvaný. Zástupcovia príslušných decentralizovaných agentúr ES a EÚ sa môžu tiež prizvať na zasadnutie, na ktorom sa rokuje o otázkach, ktoré sa ich týkajú.

Poradná skupina Komisie pre bezpečnostnú politiku sa schádza na žiadosť jej predsedu alebo ktoréhokoľvek jej člena. Skupina má za úlohu preskúmať a posúdiť všetky príslušné bezpečnostné otázky a Komisii podľa potreby predložiť odporúčania.

▼M2

13.   BEZPEČNOSTNÁ RADA KOMISIE

Zriaďuje sa Bezpečnostná rada Komisie. Skladá sa z generálneho riaditeľa pre personál a administratívu, ktorý jej predsedá, člena kabinetu komisára zodpovedného za bezpečnostné záležitosti, člena kabinetu predsedu, zástupcu generálneho tajomníka, ktorý predsedá krízovému manažmentu Komisie, generálneho riaditeľa pre právny útvar, vonkajšie vzťahy, spravodlivosť, slobodu a bezpečnosť, spoločné výskumné centrum, informatiku, Útvaru vnútorného auditu a vedúceho Bezpečnostného úradu Komisie, alebo ich zástupcov. Môžu sa prizvať ostatní úradníci Komisie. V jej právomoci je posúdiť bezpečnostné opatrenia v rámci Komisie a členovi Komisie zodpovednému za bezpečnostné záležitosti predložiť odporúčania v tejto oblasti.

▼B

14.    ►M2  RIADITEL’STVO KOMISIE PRE BEZPEČNOSŤ ◄

Aby sa splnili povinnosti uvedené v oddieli 11, člen Komisie zodpovedný za bezpečnostné záležitosti má k dispozícii na koordinovanie, dohliadanie a zavádzanie bezpečnostných opatrení ►M2  riaditeľstvo Komisie pre bezpečnosť ◄ .

►M2  Riaditeľ riaditeľstva Komisie pre bezpečnosť ◄ je hlavným poradcom člena Komisie zodpovedného za bezpečnostného záležitosti v bezpečnostných záležitostiach a pôsobí ako tajomník Poradnej skupiny pre bezpečnostnú politiku. Z tohto hľadiska riadi aktualizáciu bezpečnostných pravidiel a koordinuje bezpečnostné opatrenia s príslušnými orgánmi členských štátov a podľa potreby s medzinárodnými organizáciami spojenými s Komisiou na základe bezpečnostných dohôd. V tomto zmysle pôsobí ako styčný úradník.

►M2  Riaditeľ riaditeľstva Komisie pre bezpečnosť ◄ je zodpovedný za akreditáciu informačných systémov a sietí v rámci Komisie. ►M2  Riaditeľ riaditeľstva Komisie pre bezpečnosť ◄ rozhoduje po dohode s príslušným NBÚ o akreditácii informačných systémov a sietí, ktoré sa týkajú Komisie na jednej strane a ľubovoľného príjemcu utajovaných skutočností EÚ na strane druhej.

15.   BEZPEČNOSTNÉ INŠPEKCIE

►M2  Riaditeľstvom Komisie pre bezpečnosť ◄ vykonáva pravidelné inšpekcie bezpečnostných zariadení na ochranu utajovaných skutočností EÚ.

►M2  Riaditeľstvom Komisie pre bezpečnosť ◄ môžu pri tejto úlohe pomáhať bezpečnostné útvary ostatných orgánov EÚ, ktoré majú k dispozícii USEÚ, alebo národné bezpečnostné úrady členských štátov ( 5 ).

Na žiadosť ktoréhokoľvek členského štátu môže jeho NBÚ vykonať inšpekciu USEÚ v rámci Komisie spoločne s bezpečnostnou službou Komisie a po vzájomnej dohode.

16.   UTAJOVANIE, VYMEDZENIE UTAJENIA A OZNAČOVANIE

16.1.   Stupne utajenia ( 6 )

Skutočnosti sú utajované v rámci týchto stupňov utajenia (pozri tiež Dodatok č. 2):

Žiadne iné stupne utajenia nie sú povolené.

16.2.   Bezpečnostné vymedzenie utajenia

Na určenie limitov platnosti utajenia (pre utajované skutočnosti predstavujúce automatické zníženie stupňa utajenia alebo zrušenie stupňa utajenia) sa môže použiť dohodnuté vymedzenie utajenia. Takéto vymedzenie je buď „AŽ DO … (čas/dátum)“ alebo „AŽ DO … (udalosť)“.

Dodatočné vymedzenie utajenia ako KÓDOVANIE alebo ľubovoľné iné bezpečnostné utajenie uznané v EÚ sa uplatňuje, ak existuje potreba obmedzenej distribúcie a osobitného narábania s utajovanou skutočnosťou v porovnaní s tým, čo určuje bezpečnostná klasifikácia.

Bezpečnostné vymedzenia utajenia sa používajú iba v kombinácii s utajením.

16.3.   Označovanie

Označovanie sa môže používať iba na špecifikovanie oblasti, na ktorú sa vzťahuje dokument alebo konkrétne distribuovanie na základe princípu potreby poznať alebo (pre neutajované skutočnosti) na označenie konca zákazu.

Označovanie sa nerovná utajovaniu a nesmie sa používať namiesto utajovania.

Označenie EBOP (Európska bezpečnostná a obranná politika) sa vzťahujú na dokumenty a ich kópie, ktoré sa týkajú bezpečnosti a obrany únie alebo jedného alebo viacerých jej členských štátov, alebo ktoré sa týkajú vojenského alebo nevojenského krízového riadenia.

16.4.   Uvedenie utajenia

Utajenie sa uvádza takto:

16.5.   Uvedenie bezpečnostného vymedzenia utajenia

Bezpečnostné vymedzenia utajenia sa uvádzajú priamo pod klasifikáciou utajenia rovnakými prostriedkami ako uvedenie utajenia.

17.   RIADENIE UTAJOVANIA

17.1.   Všeobecne

Skutočnosti sa utajujú iba vtedy, ak je to potrebné. Utajovanie musí byť jasne a správne označené a musí sa ponechať tak dlho, ako to vyžaduje ochrana utajovaných skutočností.

Zodpovednosť za utajovanie skutočností a za následné zníženie stupňa utajenia alebo zrušenie stupňa utajenia spočíva výlučne na pôvodcovi utajovanej skutočnosti.

Úradníci a ostatní zamestnanci Komisie utajujú, znižujú stupne utajenia alebo zrušujú stupne utajenia skutočnosti podľa pokynov alebo po dohode s vedúcim svojho úradu.

Podrobné postupy o oboznamovaní sa s utajovanými dokumentmi sú tak koncipované, aby sa zabezpečilo, že podliehajú ochrane, ktorá zodpovedá utajovanej skutočnosti, ktorú obsahujú.

Počet osôb oprávnených vypracovať dokumenty s  ►M1  TRES SECRET UE/EU TOP SECRET ◄ sa udržuje na minime a ich mená sú uvedené na zozname vypracovanom ►M2  Riaditeľstvo Komisie pre bezpečnosť ◄ .

17.2.   Uplatňovanie utajovania

Utajovanie dokumentov je určené úrovňou citlivosti ich obsahu v súlade s vymedzením v oddieli 16. Je dôležité, aby sa utajovanie používalo správne a obozretne. Uvedené sa vzťahuje najmä na utajovanie ►M1  TRES SECRET UE/EU TOP SECRET ◄ .

Pôvodca dokumentu, ktorý sa má utajovať, musí mať na pamäti pravidlá uvedené vyššie a obmedziť ľubovoľnú tendenciu nadmerného alebo nedostatočného utajovania.

Praktické usmernenie pre utajovanie je uvedené v Dodatku č. 2.

Jednotlivé strany, odseky, oddiely, prílohy, dodatky a doplnky daného dokumentu môžu vyžadovať rozličné utajenie a musia byť podľa toho utajené. Utajovanie dokumentu ako celku sa musí rovnať najprísnejšiemu utajeniu jeho časti.

Utajovanie listu alebo poznámok, ktoré dopĺňajú prílohy, musí byť na takom stupni, na akom je najvyššie utajenie príloh. Pôvodca by mal jasne uviesť, na akom stupni by sa list alebo poznámka mala utajovať, ak sa oddelí od príloh.

Prístup verejnosti sa spravuje nariadením (ES) č. 1049/2001.

17.3.   Zníženie stupňa utajenia a zrušenie stupňa utajenia

Utajovaným dokumentom EÚ sa môžu znížiť stupne utajenia, alebo sa môžu zrušiť stupne utajenia iba so súhlasom pôvodcu a prípadne po diskusii s ostatnými zainteresovanými stranami. Zníženie stupňa utajenia alebo zrušenie stupňa utajenia sa písomne potvrdzuje. Pôvodca je zodpovedný za informovanie adresátov o tejto zmene a adresáti sú zase zodpovední za informovanie o tejto zmene akýchkoľvek iných následných adresátov, ktorým prípadne dokument alebo jeho kópiu zaslali.

Ak je to možné, pôvodcovia určujú na utajovaných dokument dátum, obdobie alebo udalosť, keď sa utajenie obsahu môže utajiť na nižšom stupni, alebo sa s ohľadom na obsah môže zrušiť stupeň utajenia. V ostatných prípadoch revidujú dokumenty aspoň raz za päť rokov, aby sa presvedčili, že pôvodné utajenie je potrebné.

18.   FYZICKÁ BEZPEČNOSŤ

18.1.   Všeobecne

Hlavným cieľom fyzických bezpečnostných opatrení je zabrániť nepovolanej osobe, aby získala prístup k utajovaným informáciám a/alebo materiálom EÚ, zabrániť krádeži a znehodnoteniu zariadenia a iného majetku a zabrániť vyhrážkam alebo ľubovoľnému inému druhu agresie personálu, ostatných zamestnancov a návštevníkov.

18.2.   Bezpečnostné požiadavky

Všetky priestory, plochy, budovy, miestnosti, komunikačné a informačné systémy atď., v ktorých sa uchovávajú utajované informácie a materiály a/alebo v ktorých dochádza k oboznamovaniu sa s utajovanými informáciami a/alebo dokumentmi, musia byť chránené primeranými fyzickými bezpečnostnými opatreniami.

Pri rozhodovaní, aký stupeň fyzickej bezpečnostnej ochrany je potrebný, sa musia zohľadniť všetky príslušné faktory, napríklad:

Uplatňované fyzické bezpečnostné opatrenia musia byť navrhnuté tak, aby:

18.3.   Fyzické bezpečnostné opatrenia

18.3.1.   Bezpečnostné oblasti

Oblasti, kde sú utajované skutočnosti EÚ, klasifikované ako DÔVERNÉ alebo vyššieho stupňa utajenia, skladujú alebo kde sa s nimi dá oboznámiť, musia byť organizované a štruktúrované tak, aby zodpovedali niektorej z týchto tried:

18.3.2.   Administratívny priestor

Okolo bezpečnostných oblastí triedy I alebo triedy II alebo smerom k bezpečnostným oblastiam týchto tried sa môže ustanoviť administratívny priestor menšieho stupňa bezpečnosti. Takýto priestor vyžaduje viditeľne definovanú hranicu, ktorá umožňuje, aby sa personál a vozidlá podrobili kontrolám. V takýchto oblastiach sa môžu skladovať a môže sa oboznamovať iba so skutočnosťami ►M1  RESTREINT UE ◄ a neutajovanými skutočnosťami.

18.3.3.   Vstupné a výstupné kontroly

Vstup a výstup do bezpečnostných oblastí triedy I a triedy II a z bezpečnostných oblastí triedy I a triedy II sa kontroluje rozlišovacím systémom založeným na priepustkách alebo osobným rozlišovacím systémom, ktorý sa uplatňuje na všetkých členov personálu zvyčajne pracujúcich v týchto oblastiach. Musí sa tiež zaviesť systém kontrol návštevníkov navrhnutý tak, aby sa odoprel neoprávnený prístup k utajovaným skutočnostiam EÚ. Systémy priepustiek môžu byť podporené automatizovanou identifikáciou, ktoré sa považuje za doplnok, ale nie úplnú náhradu strážnikov. Zmena v posúdení hrozby môže viesť k posilneniu vstupných a výstupných opatrení, napríklad počas návštevy prominentných osôb.

18.3.4   Strážne obhliadky

Obhliadky bezpečnostných oblastí triedy I a triedy II sa uskutočňujú mimo zvyčajného pracovného času s cieľom chrániť majetok EÚ proti ohrozeniu, škode alebo strate. Frekvencia obhliadok sa určuje podľa miestnych okolností, ale, ako pomôcka, vykonávajú sa raz za dve hodiny.

18.3.5   Bezpečnostné schránky a zabezpečené miestnosti

Na uskladnenie utajovaných skutočností EÚ sa používajú tri triedy schránok:

V zabezpečených miestnostiach vybudovaných v rámci bezpečnostnej oblasti triedy I alebo triedy II a pre všetky bezpečnostné oblasti triedy I, kde sa utajované skutočnosti ►M1  CONFIDENTIEL UE ◄ a vyššieho stupňa utajenia uskladňujú na otvorených policiach alebo sú zobrazené na náčrtoch, mapách atď., musia byť steny, podlahy, stropy a dvere so zámkami certifikované podľa bezpečnostného akreditačného úradu ako možnosti ponúkajúce ekvivalentnú ochranu triedy bezpečnostnej schránky schválenej na uchovávanie utajovaných skutočností rovnakého stupňa utajenia.

18.3.6.   Zámky

Zámky, ktoré sa používajú s bezpečnostnými schránkami a zabezpečenými miestnosťami, kde sa uchovávajú utajované skutočnosti EÚ, musia spĺňať tieto normy:

18.3.7.   Kontrola kľúčov a kombinácií

Kľúče bezpečnostných schránok sa nesmú brať mimo budov Komisie. Nastavenia kombinácií bezpečnostných schránok si osoby, ktoré ich potrebujú vedieť, musia zapamätať. Na použitie v núdzovom prípade je miestny bezpečnostný referent daného úradu Komisie zodpovedný za uchovávanie náhradných kľúčov a vedenie písomného záznamu o všetkých nastavených kombináciách; nastavené kombinácie sa uchovávajú v oddelených nepriehľadných obálkach. Pracovné kľúče, náhradné bezpečnostné kľúče a nastavené kombinácie sa uchovávajú v oddelených bezpečnostných schránkach. Tieto kľúče a nastavené kombinácie by mali mať pridelenú bezpečnostnú ochranu nie menej prísnu ako ochrana materiálu, ku ktorému dávajú prístup.

Oboznámenie sa s nastavenými kombináciami bezpečnostných schránok sa obmedzuje na čo najmenej osôb. Kombinácie sa znovu nastavujú:

18.3.8.   Poplašné detekčné zariadenie

Ak sa na ochranu utajovaných skutočností EÚ používajú poplašné systémy, bezpečnostné kamery a iné elektrické zariadenia, musí byť k dispozícii núdzový zdroj napätia, aby sa zabezpečila kontinuálna prevádzka systému, ak sa hlavný zdroj napätia preruší. Ďalšou základnou požiadavkou je, že zlyhanie takýchto systémov alebo svojvoľná manipulácia s takýmito systémami vedie k poplachu alebo inému spoľahlivému varovaniu pre dozorujúci personál.

18.3.9.   Schválené zariadenie

►M2  Riaditeľstvo Komisie pre bezpečnosť ◄ uchováva aktualizované zoznamy podľa typu a modelu bezpečnostných zariadení, ktoré schválil na ochranu utajovaných skutočností za rozličných špecifikovaných okolností a podmienok. ►M2  Riaditeľstvo Komisie pre bezpečnosť ◄ vychádza pri týchto zoznamoch okrem iného z utajovaných skutočností od národných bezpečnostných úradov.

18.3.10.   Fyzická ochrana kopírovacích a faxových prístrojov

Kopírovacie a faxové prístroje musia byť fyzicky chránené v potrebnom rozsahu, aby sa zabezpečilo, že iba oprávnené osoby ich môžu používať na spracovávanie utajovaných skutočností a že všetky utajované výrobky podliehajú príslušným kontrolám.

18.4.   Ochrana proti neoprávnenému nazeraniu a odpočúvaniu

18.4.1.   Neoprávnené nazeranie

Vo dne aj v noci sa musia dodržiavať všetky primerané opatrenia, aby sa zabezpečilo, že nepovolané osoby nemajú možnosť zazrieť utajované skutočnosti EÚ ani náhodne.

18.4.2.   Odpočúvanie

Služby alebo oblasti, kde sa o utajovaných skutočnostiach ►M1  SECRET UE ◄ a vyššieho stupňa utajenia pravidelne diskutuje, musia byť chránené proti pokusom o pasívne a aktívne odpočúvanie, ak to tak riziká vyžadujú. Posúdenie rizika takýchto pokusov je v právomoci Bezpečnostného úradu Komisie po prípadných porade s národnými bezpečnostnými úradmi.

18.4.3   . Zavedenie elektronického a záznamového zariadenia

Bez predchádzajúceho oprávnenia od vedúceho Bezpečnostného úradu Komisie nie je povolené zavádzať mobilné telefóny, súkromné počítače, záznamové zariadenia, kamery a iné elektronické alebo záznamové zariadenia do bezpečnostných oblastí alebo technicky bezpečnostných oblastí.

Aby sa určili ochranné opatrenia, ktoré sa musia prijať v priestoroch citlivých na pasívne odpočúvanie (izolácia stien, dverí, podláh a stropov, meranie ohrozujúceho vyžarovania) a aktívne odpočúvanie (napríklad pátranie po mikrofónoch), Komisia môže požadovať pomoc od odborníkov národných bezpečnostných úradov.

Podobne, ak tak okolnosti vyžadujú, telekomunikačné zariadenia a elektrické alebo elektronické kancelárske zariadenia ľubovoľného druhu, ktoré sa používajú počas stretnutí na stupni utajenia ►M1  SECRET UE ◄ a vyššom stupni utajenia, sa môžu podrobiť kontrole technických bezpečnostných špecialistov národných bezpečnostných úradov na žiadosť vedúceho Bezpečnostného úradu Komisie.

18.5   Technicky bezpečné oblasti

Určité oblasti možno vyčleniť ako technicky bezpečné oblasti. Vykonáva sa osobitná vstupná kontrola. Takéto oblasti sa určeným spôsobom uzamykajú, ak nie sú obsadené, a so všetkými kľúčmi sa narába ako s bezpečnostnými kľúčmi. Takéto oblasti sú predmetom pravidelných fyzických inšpekcií, ktoré sa tiež vykonávajú po neoprávnenom vstupe alebo pri podozrení z takéhoto vstupu.

Vedie sa podrobný súpis zariadenia a nábytku, aby bolo možné sledovať ich pohyb. Žiadna položka nábytku ani zariadenia sa do takejto oblasti nesmie pridať, pokiaľ sa nevykonala hĺbková inšpekcia osobitne odborne vyškoleného bezpečnostného personálu, ktorá má odhaliť akékoľvek odpočúvacie zariadenia. Vo všeobecnosti, inštalácia komunikačných liniek v technicky bezpečných oblastiach nie je povolená bez predchádzajúceho povolenia príslušného orgánu.

19.   VŠEOBECNÉ PRAVIDLÁ ZÁSADY „POTREBA POZNAŤ“ A BEZPEČNOSTNÉ PREVIERKY PERSONÁLU EÚ

19.1.   Všeobecne

Prístup k utajovaným skutočnostiam EÚ sa udeľuje iba osobám, ktoré majú „potrebu poznať“, aby mohli vykonávať svoje povinnosti alebo úlohy. Prístup k skutočnostiam ►M1  TRES SECRET UE/EU TOP SECRET ◄ , TAJNÉ a DÔVERNÉ sa udeľuje iba osobám, ktoré úspešne prešli príslušnou bezpečnostnou previerkou.

Zodpovednosť za určenie „potreby poznať“ spočíva na úrade, v ktorom daná osoba pracuje.

Žiadosť o preverenie personálu je povinnosťou jednotlivých úradov.

Uvedené vedie k vydaniu „osobného bezpečnostného certifikátu EÚ“, ktorý uvádza stupeň utajenia skutočností, ku ktorým môže mať preverená osoba prístup, a dátum skončenia platnosti.

Osobný bezpečnostný certifikát EÚ pre dané utajenie oprávňuje držiteľa na prístup k utajovaným skutočnostiam s nižším stupňom utajenia.

Osoby iné ako úradníci alebo ostatní zamestnanci, napríklad externí dodávatelia, odborníci alebo konzultanti, s ktorými je prípadne nutné diskutovať, alebo ktorým je potrebné utajované skutočnosti EÚ zverejniť, sa musia podrobiť osobnej bezpečnostnej previerke EÚ, pokiaľ ide o utajované skutočnosti EÚ, a musia byť oboznámení s ich zodpovednosťou za bezpečnosť.

Prístup verejnosti je naďalej upravený nariadením (ES) č. 1049/2001.

19.2.   Osobitné pravidlá prístupu k utajovaným skutočnostiam ►M1  TRES SECRET UE/EU TOP SECRET ◄

Všetky osoby, ktoré majú prístup k utajovaným skutočnostiam ►M1  TRES SECRET UE/EU TOP SECRET ◄ , musia najprv prejsť previerkou na prístup k týmto informáciám.

Všetky osoby, ktoré majú prístup k utajovaným skutočnostiam ►M1  TRES SECRET UE/EU TOP SECRET ◄ , vymenuje člen Komisie zodpovedný za bezpečnostné záležitosti a ich mená sú uvedené v príslušnom registri utajovaných skutočností ►M1  TRES SECRET UE/EU TOP SECRET ◄ . Tento register vytvorí a vedie ►M2  riaditeľstvo Komisie pre bezpečnosť ◄ .

Všetky osoby predtým, ako získajú prístup k utajovaným skutočnostiam ►M1  TRES SECRET UE/EU TOP SECRET ◄ , musia podpísať vyhlásenie, v ktorom uvedú, že boli oboznámené s bezpečnostnými postupmi Komisie a že si plne uvedomujú svoju osobitnú zodpovednosť za ochranu utajovaných skutočností ►M1  TRES SECRET UE/EU TOP SECRET ◄ a dôsledky, ktoré ustanovujú predpisy EÚ a vnútroštátne právne predpisy alebo správne opatrenia, ak sa utajované skutočnosti dostanú do nepovolaných rúk zámerne alebo v dôsledku nedbanlivosti.

V prípade osôb, ktoré majú prístup k utajovaným skutočnostiam ►M1  TRES SECRET UE/EU TOP SECRET ◄ na zasadnutiach atď., príslušný kontrolný úradník danej služby alebo orgánu, kde daná osoba pracuje, upovedomí orgán, ktorý organizuje zasadnutie, že príslušné osoby majú takéto oprávnenie.

Mená všetkých osôb, ktoré už nevykonávajú úlohy vyžadujúce si prístup k utajovaným skutočnostiam ►M1  TRES SECRET UE/EU TOP SECRET ◄ , sa vyškrtnú zo zoznamu ►M1  TRES SECRET UE/EU TOP SECRET ◄ . Okrem toho, všetky takéto osoby sa znova upozornia na ich osobitnú zodpovednosť za ochranu utajovaných skutočností ►M1  TRES SECRET UE/EU TOP SECRET ◄ . Podpíšu tiež vyhlásenie, v ktorom sa uvedie, že nepoužijú ani neposkytnú utajované skutočnosti ►M1  TRES SECRET UE/EU TOP SECRET ◄ , ktoré majú k dispozícii.

19.3.   Osobitné pravidlá o prístupe k utajovaným skutočnostiam ►M1  SECRET UE ◄ alebo ►M1  CONFIDENTIEL UE ◄

Všetky osoby, ktoré majú prístup k utajovaným skutočnostiam ►M1  SECRET UE ◄ alebo ►M1  CONFIDENTIEL UE ◄ , musia najprv prejsť previerkou pre daný stupeň.

Všetky osoby, ktoré majú prístup k utajovaným skutočnostiam ►M1  SECRET UE ◄ alebo ►M1  CONFIDENTIEL UE ◄ , musia byť oboznámené s bezpečnostnými predpismi a musia si byť vedomé následkov ich zanedbania.

V prípade osôb, ktoré majú prístup k utajovaným skutočnostiam ►M1  SECRET UE ◄ alebo ►M1  CONFIDENTIEL UE ◄ na zasadnutiach atď., príslušný bezpečnostný úrad orgánu, kde daná osoba pracuje, upovedomí orgán, ktorý organizuje zasadnutie, že príslušné osoby majú takéto oprávnenie.

19.4.   Osobitné pravidlá prístupu k utajovaným skutočnostiam ►M1  RESTREINT UE ◄

Osoby s prístupom k utajovaným skutočnostiam ►M1  RESTREINT UE ◄ sa oboznámia s týmito bezpečnostnými predpismi a s následkami ich zanedbania.

19.5.   Presuny

Ak je zamestnanec presunutý z miesta, ktoré zahŕňa oboznamovanie sa s utajovanými skutočnosťami EÚ, register dozrie na príslušný presun tohto materiálu od odchádzajúceho zamestnanca k prichádzajúcemu zamestnancovi.

Ak je zamestnanec presunutý na iné miesto, ktoré zahŕňa oboznamovanie sa s utajovaným materiálom EÚ, miestny bezpečnostný úradník ho s uvedenou utajovanou skutočnosťou v príslušnej miere oboznámi.

19.6.   Osobitné pokyny

Osoby, ktoré sa oboznamujú s utajovanými skutočnosťami EÚ, by mali byť oboznámené najprv pri prevzatí svojich povinností a potom pravidelne, o:

Všetky osoby, ktoré sú zvyčajne vystavené častým kontaktom so zástupcami krajín, ktorých tajné služby sa zameriavajú na utajované skutočnosti a činnosti EÚ, sa oboznamujú ś technikami, o ktorých je známe, že ich používajú rozličné tajné služby.

Neexistujú žiadne bezpečnostné predpisy Komisie, ktoré sa týkajú súkromných ciest do akýchkoľvek cieľových miest personálu, ktorý prešiel previerkami pre prístup k utajovaným skutočnostiam EÚ. ►M2  Riaditeľstvo Komisie pre bezpečnosť ◄ však oboznámi úradníkov a ostatných zamestnancov, ktorí patria do jeho právomoci, s predpismi vzťahujúcimi sa na takéto cesty, ktoré sa na nich môžu prípadne vzťahovať.

20.   POSTUP BEZPEČNOSTNÝCH PREVIEROK PRE ÚRADNÍKOV KOMISIE A OSTATNÝCH ZAMESTNANCOV

21.   PRÍPRAVA, DISTRIBÚCIA, ROZŠIROVANIE, BEZPEČNOSŤ KURIÉRSKEHO PERSONÁLU A ZVLÁŠTNE KÓPIE ALEBO PREKLADY A VÝPISY Z UTAJOVANÝCH SKUTOČNOSTÍ EÚ

21.1.   Príprava

21.2.   Distribúcia

21.3.   Prenášanie utajovaných dokumentov EÚ

21.3.1.   Balenie, príjem

21.3.2.   Prenášanie v rámci budovy alebo skupiny budov

V rámci danej budovy alebo skupiny budov sa utajované dokumenty môžu prenášať v zapečatenej obálke, na ktorej je uvedené iba meno adresáta, pokiaľ obálku prenáša osoba, ktorá je preverená pre stupeň utajenia prenášaných dokumentov.

21.3.3.   Prenášanie v rámci krajiny

21.3.4.   Prenášanie zo štátu do štátu

21.3.5   Prenášanie dokumentov ►M1  RESTREINT UE ◄

Pre prenos dokumentov ►M1  RESTREINT UE ◄ nie sú stanovené žiadne osobitné ustanovenia s výnimkou, že by mali byť také, aby sa zabezpečilo, že sa nedostanú do rúk nepovolaných osôb.

21.4.   Bezpečnosť kuriérov

Všetci kuriéri a poslovia, ktorí sú určení na prenos dokumentov ►M1  SECRET UE ◄ a  ►M1  CONFIDENTIEL UE ◄ , musia prejsť príslušnou bezpečnostnou previerkou.

21.5.   Elektronické a iné prostriedky technického prenosu

21.6.   Zvláštne kópie a preklady a výpisy z utajovaných dokumentov EÚ

22.   REGISTRE UTAJOVANÝCH SKUTOČNOSTÍ EÚ, PREHLIADKY, KONTROLY, ARCHÍVNE SKLADOVANIA A LIKVIDÁCIA UTAJOVANÝCH SKUTOČNOSTÍ EÚ

22.1.   Miestne registre utajovaných skutočností EÚ

22.2.   Register utajovaných skutočností ►M1  TRES SECRET UE/EU TOP SECRET ◄

22.2.1.   Všeobecne

22.2.2.   Centrálny register utajovaných skutočností ►M1  TRES SECRET UE/EU TOP SECRET ◄

Vedúci centrálneho registra ►M1  TRES SECRET UE/EU TOP SECRET ◄ je ako kontrolný úradník zodpovedný za:

22.2.3.   Vedľajšie registre ►M1  TRES SECRET UE/EU TOP SECRET ◄

Vedúci vedľajšieho registra ►M1  TRES SECRET UE/EU TOP SECRET ◄ je ako kontrolný úradník zodpovedný za:

22.3.   Súpisy, prehliadky a kontroly utajovaných dokumentov EÚ

22.4.   Archívne skladovanie utajovaných skutočností EÚ

22.5.   Likvidácia utajovaných dokumentov EÚ

22.6.   Likvidácia v naliehavých situáciách

23.   BEZPEČNOSTNÉ OPATRENIA PRE OSOBITNÉ ZASADNUTIA, KTORÉ SA KONAJÚ MIMO PRIESTOROV KOMISIE A ZAHŔŇAJÚ UTAJOVANÉ SKUTOČNOSTI EÚ

23.1.   Všeobecne

Ak sa zasadnutia Komisie alebo iné dôležité zasadnutia konajú mimo priestorov Komisie a ak je to odôvodnené konkrétnymi bezpečnostnými požiadavkami, ktoré sa týkajú vysokej citlivosti diskutovaných záležitostí alebo utajovaných skutočností, prijmú sa bezpečnostné opatrenia, ktoré sú popísané nižšie. Tieto opatrenia sa týkajú iba ochrany utajovaných skutočností EÚ; ostatné bezpečnostné opatrenia bude možno potrebné naplánovať.

23.2.   Právomoci

23.2.1.    ►M2  Riaditeľstvo Komisie pre bezpečnosť ◄

►M2  Riaditeľstvo Komisie pre bezpečnosť ◄ spolupracuje s príslušnými orgánmi členského štátu, na území ktorého sa zasadnutie koná (hostiteľský členský štát), aby sa zaručila bezpečnosť zasadnutia Komisie alebo iných dôležitých zasadnutí a bezpečnosť delegátov a ich personálu. Pokiaľ ide o ochranu bezpečnosti, mala by konkrétne zabezpečiť, aby:

►M2  Riaditeľstvo Komisie pre bezpečnosť ◄ koná ako poradca pre bezpečnosť pri príprave zasadnutia; pri príprave by mal byť zastúpený, aby podľa potreby pomohol a poradil bezpečnostnému úradníkovi zasadnutia a delegáciám.

Každá jednotlivá delegácia na zasadnutí sa vyzve, aby menovala bezpečnostného úradníka, ktorý bude zodpovedný za vybavovanie bezpečnostných záležitostí v rámci svojej delegácie a za vykonávanie funkcie prostredníka s bezpečnostným úradníkom zasadnutia rovnako, ako prípadne so zástupcom ►M2  riaditeľstva Komisie pre bezpečnosť ◄ .

23.2.2.   Bezpečnostný úradník zasadnutia (BÚZ)

Vymenuje sa bezpečnostný úradník zasadnutia, ktorý je zodpovedný za všeobecnú prípravu a kontrolu vnútorných bezpečnostných opatrení a za koordináciu s ostatnými príslušnými bezpečnostnými úradmi. Opatrenia, ktoré prijíma bezpečnostný úradník zasadnutia sa vo všeobecnosti týkajú:

23.3.   Bezpečnostné opatrenia

23.3.1.   Bezpečnostné oblasti

Určujú sa tieto bezpečnostné oblasti:

23.3.2.   Priepustky

Bezpečnostný úradník zasadnutia vydá primerané označenia, ako ich vyžadujú delegácie podľa svojich potrieb. Ak sa tak požaduje, je možné rozlišovať prístupy do rozličných bezpečnostných oblastí.

Bezpečnostné pokyny pre zasadnutie musia vyžadovať, aby všetky príslušné osoby jasne a viditeľne nosili svoje identifikačné označenie po celý čas v rámci miesta zasadnutia tak, aby ich bolo možné v prípade potreby overiť bezpečnostným personálom.

Okrem účastníkov, ktorí majú identifikačné označenie, sa na miesto zasadnutia pripustí čo najmenej ľudí. Bezpečnostný referent zasadnutia povolí národným delegáciám iba na ich žiadosť, aby počas zasadnutia mohli prijať návštevníkov. Návštevy dostanú návštevnícke označenia. Musí sa vyplniť tlačivo pre návštevnícku priepustku, ktoré uvádza meno návštevníka a meno osoby, ktorá návštevu prijme. Návštevníci musia byť po celý čas sprevádzaní členom ochrany alebo navštívenou osobou. Tlačivo návštevníckej priepustky má pri sebe po celý čas sprevádzajúca osoba, ktorá ho vráti spolu s návštevníckym označením bezpečnostnému personálu, keď návšteva opúšťa miesto zasadnutia.

23.3.3.   Kontrola fotografického a audio zariadenia

Do bezpečnostnej oblasti triedy I nie je možné priniesť žiadne fotoaparáty, kamery ani záznamové zariadenia s výnimkou zariadenia, ktoré so sebou doniesli fotografi a zvukoví technici s príslušným povolením od bezpečnostného úradníka zasadnutia.

23.3.4   Kontrola aktoviek, prenosných počítačov a balíkov

Držitelia priepustky, ktorí majú povolený prístup do bezpečnostnej oblasti, si môžu zvyčajne ponechať aktovky a prenosné počítače (len s vlastným zdrojom napätia) bez skontrolovania. V prípade balíkov pre delegácie, delegácia môže prevziať doručený balík, ktorý sa podrobí inšpekcii bezpečnostného úradníka delegácie, preverí osobitným zariadením alebo ho otvorí bezpečnostný personál na inšpekciu. Ak to bezpečnostný úradník zasadnutia považuje za potrebné, môžu sa prijať prísnejšie opatrenia na inšpekciu aktoviek a balíkov.

23.3.5   Technická bezpečnosť

Zasadacia miestnosť sa môže technicky zabezpečiť technickým bezpečnostným tímom, ktorý môže tiež vykonávať elektronický dohľad počas zasadnutia.

23.3.6.   Dokumenty delegácií

Delegácie sú zodpovedné za prinesenie dokumentov na zasadnutie a odnesenie dokumentov zo zasadnutia. Sú tiež zodpovedné za skontrolovanie a bezpečnosť dokumentov počas ich používania v priestoroch, ktoré im boli pridelené. Hostiteľský členský štát môže byť požiadaný o pomoc pri preprave utajovaných dokumentov na miesto zasadnutia a z miesta zasadnutia.

23.3.7.   Bezpečná úschova dokumentov

Ak Komisia alebo delegácie nie sú schopné svoje utajované dokumenty uskladniť v súlade so schválenými normami, môžu takéto dokumenty uložiť v zapečatenej obálke u bezpečnostného úradníka zasadnutia proti potvrdeniu o prijatí tak, aby bezpečnostný úradník zasadnutia mohol príslušné dokumenty uschovávať v súlade so schválenými normami.

23.3.8.   Inšpekcia kancelárií

Bezpečnostný referent zasadnutia zariadi, aby sa kancelárie Komisie a delegácií podrobili inšpekcii na konci každého pracovného dňa, aby sa zabezpečilo, že všetky utajované dokumenty EÚ sa uchovávajú na bezpečnom mieste. Ak tomu tak nie je, bezpečnostný úradník zasadnutia prijme príslušné opatrenia.

23.3.9   Likvidácia odpadu utajovaných skutočností EÚ

Celý odpad sa považuje za utajovaný materiál EÚ a Komisia a delegácie by mali dostať odpadové koše alebo vrecia na papier na jeho likvidáciu. Pred opustením priestorov, ktoré boli Komisii a delegácii pridelené, Komisia a delegácie odovzdajú celý svoj odpad bezpečnostnému úradníkovi zasadnutia, ktorý zabezpečí jeho likvidáciu v súlade s týmito bezpečnostnými predpismi.

Na konci zasadnutia sa všetky dokumenty, ktoré majú Komisia alebo delegácie k dispozícii, avšak ich už nepotrebujú, považujú za odpad. Pred tým, ako sa zrušia bezpečnostné opatrenia prijaté pre zasadnutie, sa vykoná dôkladná prehliadka priestorov Komisie a delegácií. Dokumenty, vo vzťahu ku ktorým sa podpísalo potvrdenie o prijatí, sa podľa možností čo najviac zlikvidujú, ako je uvedené v oddieli 22.5.

24.   PORUŠENIE BEZPEČNOSTI A OHROZENIE UTAJOVANÝCH SKUTOČNOSTÍ EÚ

24.1.   Vymedzenie pojmov

K porušenie bezpečnosti dochádza v dôsledku konania alebo opomenutia v rozpore s bezpečnostnými predpismi Komisie, ktoré by mohlo ohroziť alebo spôsobiť ohrozenie utajovaných skutočností EÚ.

K ohrozeniu utajovaných skutočností EÚ dochádza, keď sa celé alebo ich časť dostanú do rúk nepovolaných osôb, t. j. osôb, ktoré nemajú príslušnú bezpečnostnú previerku alebo nespĺňajú zásadu potreba poznať, alebo ak existuje pravdepodobnosť, že k takejto udalosti došlo.

Utajované skutočnosti EÚ môžu byť ohrozené dôsledkom nedbanlivosti, ľahostajnosti alebo neuváženého konania rovnako ako činnosťou služieb, ktorých cieľom je EÚ alebo jej členské štáty, pokiaľ ide o utajované skutočnosti EÚ a jej činnosti, alebo podvratnými organizáciami.

24.2.   Hlásenie porušenia bezpečnosti

Všetky osoby, ktoré musia narábať s utajovanými skutočnosťami EÚ, sú náležito poučené o svojej zodpovednosti v tejto oblasti. Okamžite musia nahlásiť akékoľvek porušenie bezpečnosti, o ktorom sa dozvedia.

Ak miestny bezpečnostný úradník alebo bezpečnostný úradník zasadnutia objaví alebo je informovaný o porušení bezpečnosti, ktorá sa týka utajovaných skutočností EÚ, alebo o strate alebo zmiznutí utajovaných materiálov EÚ, okamžite podnikne opatrenia na:

Je povinnosťou každého bezpečnostného úradu, aby okamžite po informovaní o tom, že mohlo dôjsť k porušeniu bezpečnosti, túto skutočnosť okamžite nahlásil ►M2  riaditeľstvu Komisie pre bezpečnosť ◄ .

Prípady, ktoré zahŕňajú utajované skutočnosti ►M1  RESTREINT UE ◄ , sa musia hlásiť iba vtedy, ak predstavujú nezvyčajné okolnosti.

Člen Komisie zodpovedný za bezpečnostné záležitosti musí po informovaní, že došlo k porušeniu bezpečnosti:

Úrad, ktorý je pôvodcom danej utajovanej skutočnosti, informuje o udalosti adresátov a dá im vhodné pokyny.

24.3.   Právne opatrenia

Každý jednotlivec, ktorý je zodpovedný za ohrozenie utajovaných skutočností EÚ, podlieha disciplinárnym opatreniam podľa príslušných pravidiel a predpisov, najmä hlavy VI personálneho poriadku. Takéto opatrenie nemá dopad na akékoľvek iné právne opatrenie.

V primeraných prípadoch na základe správy, ktorá je uvedená v oddieli 24.2 člen Komisie zodpovedný za bezpečnostné záležitosti prijme všetky potrebné opatrenia, aby príslušným vnútroštátnym orgánom umožnil začať trestné konanie.

25.   OCHRANA UTAJOVANÝCH SKUTOČNOSTÍ EÚ, S KTORÝMI SA DÁ OBOZNÁMIŤ V INFORMAČNEJ TECHNOLÓGII A KOMUNIKAČNÝCH SYSTÉMOCH

25.1.   Úvod

25.1.1.   Všeobecne

Bezpečnostná politika a požiadavky sa vzťahujú na všetky komunikačné a informačné systémy a siete (ďalej ako systémy), v ktorých sa dá oboznámiť s utajovanými skutočnosťami ►M1  CONFIDENTIEL UE ◄ a vyššieho stupňa utajenia. Uplatňujú sa ako dodatok k rozhodnutiu Komisie C(95) 1510 konečné z 23. novembra 1995 o ochrane informačných systémov.

Systémy, v ktorých sa dá oboznámiť s utajovanými skutočnosťami ►M1  RESTREINT UE ◄ tiež vyžadujú bezpečnostné opatrenia na ochranu dôvernosti týchto utajovaných skutočností. Všetky systémy vyžadujú bezpečnostné opatrenia na ochranu celistvosti a dostupnosti týchto systémov a utajovaných skutočností, ktoré obsahujú.

Bezpečnostná politika pre informačné technológie, ktorú uplatňuje Komisia, má tieto prvky:

25.1.2.   Hrozby a zraniteľnosť systémov

Hrozbu možno vymedziť ako potenciál náhodného alebo úmyselného ohrozenia bezpečnosti. V prípade systémov takéto ohrozenie zahŕňa stratu jednej alebo viacerých z vlastností dôvernosti, celistvosti a dostupnosti. Zraniteľnosť možno vymedziť ako slabinu alebo nedostatok kontroly, ktorý by umožnil alebo povolil vyvolanie hrozby voči určitému majetku alebo cieľu.

Utajované a neutajované skutočnosti EÚ, s ktorými sa narába v systémoch v koncentrovanej forme navrhnutej na rýchle vyhľadanie, komunikáciu a použitie, sú zraniteľné mnohými hrozbami. Tieto hrozby zahŕňajú prístup k utajovaným skutočnostiam nepovolanými užívateľmi, alebo naopak odoprenie prístupu oprávneným osobám. Zahŕňajú tiež riziká neoprávneného sprístupnenia, zneužitia, úpravy alebo vymazania utajovaných skutočností. Okrem toho, zložité a niekedy krehké zariadenia sú drahé a často náročné na rýchlu opravu alebo nahradenie.

25.1.3.   Hlavný účel bezpečnostných opatrení

Hlavným účelom bezpečnostných opatrení uvedených v tomto oddieli je poskytnúť ochranu proti neoprávnenému sprístupneniu utajovaných skutočností EÚ (strata dôvernosti) a proti strate celistvosti a dostupnosti takýchto utajovaných skutočností. Aby sa dosiahla primeraná bezpečnostná ochrana systému, ktorý narába s utajovanými skutočnosťami EÚ, ►M2  riaditeľstvo Komisie pre bezpečnosť ◄ určí primerané normy všeobecnej bezpečnosti spolu s primeranými osobitnými bezpečnostnými postupmi a technikami navrhnutými konkrétne pre každý systém.

25.1.4.   Vyhlásenie o osobitnej systémovej bezpečnostnej požiadavke (OSBP)

V prípade všetkých systémov, v ktorých sa dá oboznámiť s utajovanými skutočnosťami ►M1  CONFIDENTIEL UE ◄ a vyššieho stupňa utajenia, sa od vlastníka technického systému (VTS, pozri oddiel 25.3.4) a vlastník utajovaných skutočností (VUS, pozri oddiel 25.3.5) predložiť vyhlásenie o osobitnej systémovej bezpečnostnej požiadavke, v spolupráci so vstupom a pomocou podľa žiadosti projektového personálu a Bezpečnostného úradu Komisie (ako úrad INFOBEZ – IA, pozri oddiel 25.3.3.) a ako ho schválil Bezpečnostný akreditačný úrad (pozri oddiel 25.3.2).

Vyhlásenie o osobitnej systémovej bezpečnostnej požiadavke sa tiež požaduje, keď Bezpečnostný akreditačný úrad považuje dostupnosť a celistvosť utajovaných skutočností ►M1  RESTREINT UE ◄ alebo neutajovaných skutočností za kritickú.

Vyhlásenie o osobitnej systémovej bezpečnostnej požiadavke sa formuluje v čo najskoršej fáze vzniku projektu a vyvíja sa a zlepšuje sa súčasne, ako sa vyvíja projekt, pričom v rozličných fázach projektového cyklu a životného cyklu systému plní rozličné úlohy.

25.1.5   Bezpečnostné režimy prevádzky

Všetky systémy, ktoré narábajú s utajovanými skutočnosťami ►M1  CONFIDENTIEL UE ◄ a vyššieho stupňa utajenia, musia mať akreditáciu na vykonávanie činnosti v jednom alebo, ak je to odôvodnené požiadavkami počas rozličných časových období, viacerých z nasledujúcich bezpečnostných režimov prevádzky alebo ich vnútroštátnych ekvivalentov:

25.2.   Vymedzenie pojmov

„Akreditácia“ znamená: oprávnenie a schválenie udelené systému na spracovanie utajovaných skutočností EÚ v ich operačnom prostredí.

Poznámka:

Takáto akreditácia by sa mala priznať, ak sa zaviedli všetky primerané bezpečnostné postupy a dosiahla sa dostatočná úroveň ochrany systémových zdrojov. Akreditácia sa zvyčajne udeľuje na základe vyhlásenie o osobitnej systémovej bezpečnostnej požiadavke:

„Centrálny informačný bezpečnostný úradník (CIBÚ)“ znamená úradník v centrálnej službe informačných technológií, ktorý koordinuje a dohliada na bezpečnostné opatrenia pre centrálne organizované systémy.

„Certifikácia“ znamená: vydanie formálneho vyhlásenia, ktoré vychádza z nezávislého preskúmania správania a výsledkov vyhodnotenia, rozsahu, v akom systém spĺňa bezpečnostné požiadavky alebo v akom počítačový bezpečnostný výrobok spĺňa vopred definované bezpečnostné nároky.

„Komunikačná bezpečnosť (KOMBEZ)“ znamená: uplatňovanie bezpečnostných opatrení na telekomunikačné zariadenia, aby sa nepovolaným osobám odopreli utajované skutočnosti so stupňom utajenia, ktoré by sa mohli získať držbou a analýzou takýchto telekomunikačných zariadení, alebo zabezpečenie autentickosti takýchto telekomunikačných zariadení.

Poznámka:

Takéto opatrenia zahŕňajú kódovaciu, prenosovú alebo vysielaciu bezpečnosť a tiež sa vzťahujú na procesnú, personálnu, dokumentačnú a počítačovú bezpečnosť.

„Počítačová bezpečnos“ (POČBEZ) znamená: uplatňovanie bezpečnostných funkcií, ktoré sa týkajú hardwaru, firmwaru a softwaru, na počítačový systém s cieľom ochrany pred alebo zabráneniu neoprávneného sprístupnenia, manipulácie, zmeny/vymazania utajovaných skutočností alebo zamietnutia vstupu do systému.

„Počítačový bezpečnostný výrobok“ znamená: všeobecná počítačová bezpečnostná položka, ktorá je určená na začlenenie do systému informačnej technológie na používane pri zlepšovaní alebo zabezpečovaní dôvernosti, celistvosti alebo dostupnosti utajovaných skutočností, s ktorými sa dá oboznámiť.

„Jednoúčelový bezpečnostný režim prevádzky“ znamená: režim prevádzky, v ktorom sú VŠETCI jednotlivci s prístupom do systému preverení pre najvyšší stupeň utajenia skutočností v rámci systému a so všeobecnou potrebou poznať utajované skutočnosti, s ktorými sa dá oboznámiť v rámci systému.

Poznámky:

„Vyhodnotenie“ znamená: podrobné technické preskúmanie príslušným orgánom bezpečnostných aspektov systému alebo kódovacieho alebo počítačového bezpečnostného výrobku.

Poznámky:

„Vlastník utajovaných skutočností (VUS)“ znamená orgán (vedúci úradu), ktorý je zodpovedný za vytvorenie, spracovanie a použitie utajovaných skutočností vrátane rozhodovania, komu sa umožní prístup k týmto utajovaným skutočnostiam.

„Informačná bezpečnosť“ (INFOBEZ) znamená: uplatňovanie bezpečnostných opatrení na ochranu utajovaných skutočností, ktoré sa spracovávajú, ukladajú alebo prenášajú v komunikačných, informačných a ostatných elektronických systémoch, proti strate dôvernosti, celistvosti alebo dostupnosti, náhodnej alebo zámernej, a na zabránenie proti strate celistvosti a dostupnosti systémov samotných.

„Opatrenia INFOBEZ“ zahŕňajú opatrenia počítačovej, prenosovej, vysielacej a kódovacej bezpečnosti, zistenie a dokumentáciu hrozieb a prechádzanie hrozbám pre utajované skutočnosti a systémy.

„Oblasť informačnej technológie“ znamená: oblasť, ktorá obsahuje jeden alebo viacej počítačov, ich miestne periférne a úložné jednotky, kontrolné jednotky a jednoúčelové sieťové a komunikačné zariadenia.

Poznámka:

Toto nezahŕňa oddelenú oblasť, kde sú umiestnené vzdialené periférne zariadenia alebo terminály/pracovné stanice, aj keď tieto zariadenia sú napojené na zariadenia v oblasti informačných technológií.

„Sieť informačných technológií“ znamená: organizácia, geograficky rozptýlená, systémov informačných technológií prepojených na výmenu údajov, a pozostávajúca z komponentov prepojených systémov informačnej technológie a ich rozhraní s podpornými dátovými alebo komunikačnými sieťami.

Poznámky:

„Sieťové bezpečnostné funkcie informačnej technológie“ zahŕňajú systémové bezpečnostné funkcie informačnej technológie jednotlivých systémov informačnej technológie tvoriacich sieť spolu s dodatočnými komponentmi a funkciami súvisiacimi so sieťou ako takou (napríklad sieťová komunikácia, bezpečnostná identifikácia a mechanizmy na označovanie a postupy, prístupové kontroly, programy a dôsledky auditov) potrebné na zabezpečenie prijateľnej úrovne ochrany utajovaných skutočností.

„Informačný systém“ znamená: súbor zariadení, metód a postupov a prípadne personál, ktorý je organizovaný takým spôsobom, aby mohol vykonávať funkcie spracovávania informácií.

Poznámky:

„Bezpečnostné funkcie informačného systému“ sa skladajú zo všetkých hardwarových/firmwarových/softwarových funkcií, charakteristík a vlastností; operačných postupov, postupov zodpovednosti a kontroly prístupu, oblasti informačných technológií, oblasti vzdialeného terminálu/pracovnej stanice a stálych riadiacich obmedzení, fyzickej štruktúry a zariadení, personálnej a komunikačnej kontroly potrebnej na zabezpečenie prijateľnej úrovne ochrany utajovaných skutočností, s ktorými sa má narábať v informačnom systéme.

„Miestny úradník informačnej bezpečnosti (MÚIB)“ znamená: úradník v úrade Komisie, ktorý je zodpovedný za koordináciu a dohľad nad bezpečnostnými opatreniami v rámci jeho oblasti.

„Viacúrovňový bezpečnostný režim prevádzky“ znamená: režim prevádzky, v ktorom NIE VŠETCI jednotlivci s prístupom do systému sú preverení pre najvyšší stupeň utajenia skutočností, s ktorými sa dá oboznámiť v rámci systému, a NIE VŠETCI jednotlivci s prístupom do systému majú všeobecnú potrebu poznať utajované skutočnosti, s ktorými sa dá oboznámiť v rámci systému.

Poznámky:

„Oblasť vzdialeného terminálu/pracovnej stanice“ znamená: oblasť obsahujúca niektoré počítačové zariadenia, ich miestne periférne zariadenia alebo terminály/pracovné stanice a ľubovoľné pridružené komunikačné zariadenie, ktorá je oddelená od oblasti informačnej technológie.

„Bezpečnostné prevádzkové postupy“ znamená: postupy, ktoré vypracoval vlastník technických systémov a ktoré vymedzujú zásady, ktoré sa majú prijať pre bezpečnostné záležitosti a prevádzkové postupy, ktoré treba dodržiavať, ako aj zodpovednosť personálu.

„Bezpečnostný prevádzkový režim SYSTÉM VYSOKÉHO ZABEZPEČENIA“ znamená: režim prevádzky, v ktorom VŠETCI jednotlivci s prístupom do systému sú preverení pre najvyšší stupeň utajenia skutočností, s ktorými sa dá oboznámiť v rámci systému, ale NIE VŠETCI jednotlivci s prístupom do systému majú všeobecnú potrebu poznať utajované skutočnosti, s ktorými sa dá oboznámiť v rámci systému.

Poznámky:

„Vyhlásenie o osobitnej systémovej bezpečnostnej požiadavke“ je úplné a výslovné vyhlásenie o bezpečnostných zásadách, ktoré treba dodržiavať a o podrobných bezpečnostných požiadavkách, ktoré treba splniť. Vychádza z bezpečnostnej politiky Komisie a rizikového posúdenia, alebo je dané ukazovateľmi, ktoré sa vzťahujú na prevádzkové prostredie, najnižším stupňom personálneho bezpečnostného preverenia, najvyšším stupňom utajenia skutočností, s ktorými sa dá oboznámiť, bezpečnostným režimom prevádzky alebo užívateľskými požiadavkami. Vyhlásenie o osobitnej systémovej bezpečnostnej požiadavke je jednotnou časťou projektovej dokumentácie, ktorá sa predkladá príslušným orgánom z technických, rozpočtových a bezpečnostných schvaľovacích dôvodov. Vo svojej konečnej forme vyhlásenie o osobitnej systémovej bezpečnostnej požiadavke predstavuje úplné vyhlásenie o tom, čo to znamená, že systém je bezpečný.

„Vlastník technických systémov (VTS)“ znamená orgán, ktorý je zodpovedný za tvorbu, údržbu, prevádzku a uzatvorenie systému.

„Tempest (spôsob zaručenia bezpečnosti elektromagnetického impulzu terminálu)“ protiopatrenia: bezpečnostné opatrenia určené na ochranu zariadenia a komunikačnej infraštruktúry proti ohrozeniu utajovaných skutočností v dôsledku neúmyselného elektromagnetického žiarenia a v dôsledku vodivosti.

25.3.   Bezpečnostné právomoci

25.3.1.   Všeobecne

Poradné právomoci Poradnej skupiny Komisie pre bezpečnostnú politiku, vymedzenej v oddieli 12, zahŕňajú záležitosti INFOBEZ. Táto skupina organizuje svoje činnosti tak, aby mohla poskytovať odborné rady vo vyššie uvedených záležitostiach.

►M2  Riaditeľstvo Komisie pre bezpečnosť ◄ je zodpovedný za vydávanie podrobných ustanovení INFOBEZ podľa ustanovení tejto kapitoly.

V prípade problémov, ktoré sa týkajú bezpečnosti (nehody, porušenia atď.) ►M2  Riaditeľstvo Komisie pre bezpečnosť ◄ okamžite prijme opatrenia.

►M2  Riaditeľstvo Komisie pre bezpečnosť ◄ má jednotku INFOBEZ.

25.3.2.   Bezpečnostný akreditačný úrad (BAÚ)

Vedúci bezpečnostného úradu je Bezpečnostný akreditačný úrad pre Komisiu. Bezpečnostný akreditačný úrad má právomoci vo všeobecnej oblasti bezpečnosti a v špecializovaných oblastiach INFOBEZ, komunikačnej bezpečnosti, bezpečnosti kódovania a bezpečnosti rušivých vplyvov.

Bezpečnostný akreditačný úrad je zodpovedný za zabezpečenie súladu systémov s bezpečnostnou politikou Komisie. Jedna z jeho úloh je udeľovať schválenia systému na prácu s utajovanými skutočnosťami EÚ po stanovený stupeň utajenia v jeho operačnom prostredí.

Právomoc Bezpečnostného akreditačného úradu Komisie sa vzťahuje na všetky systémy v prevádzke v rámci priestorov Komisie. Ak sa pod právomoc Bezpečnostného akreditačného úradu Komisie a ostatných akreditačných úradov dostanú rozličné súčasti systému, všetky zúčastnené strany môžu vymenovať spoločnú akreditačnú radu pod koordinovaním Bezpečnostného akreditačného úradu Komisie.

25.3.3.   Úrad INFOBEZ (IÚ)

Vedúci jednotky INFOBEZ ►M2  riaditeľstva Komisie pre bezpečnosť ◄ je INFOBEZ orgánom pre Komisiu. Úrad INFOBEZ je zodpovedný za:

25.3.4.   Vlastník technických systémov (VTS)

Zodpovednosť za zavedenie a vykonávanie kontroly a osobitných bezpečnostných funkcií systému spočíva na vlastníkovi tohto systému, vlastníkovi technických systémov (VTS). V prípade centrálne vlastnených systémov sa vymenuje úradník pre centrálnu informačnú bezpečnosť. Každý úrad vymenuje podľa potreby miestneho úradníka pre informačnú bezpečnosť. Zodpovednosť vlastníka technických systémov zahŕňa tvorbu bezpečnostných prevádzkových postupov a vzťahuje sa na celý životný cyklus systému od projektového plánu až po konečnú likvidáciu.

Vlastník technických systémov určuje bezpečnostné normy a prax, ktoré musí dodávateľ systému splniť.

Vlastník technických systémov môže prípadne delegovať časť svojich právomocí na miestneho úradníka pre informačnú bezpečnosť. Jedna osoba môže vykonávať rôzne funkcie INFOBEZ.

25.3.5.   Vlastník utajovaných skutočností (VUS)

Vlastník utajovaných skutočností je zodpovedný za utajované skutočnosti EÚ (a ostatné skutočnosti), ktoré sa musia zaviesť, spracovať a vyrobiť v technických systémoch. Vymedzuje požiadavky na prístup k týmto utajovaným skutočnostiam v systémoch. Túto právomoc môže delegovať na informačného správcu alebo databázového správcu v rámci svojej oblasti.

25.3.6.   Užívatelia

Všetci užívatelia sú zodpovední za zabezpečenie toho, aby ich činnosti neovplyvňovali nepriaznivo bezpečnosť systému, ktorý užívajú.

25.3.7.   Odborné vzdelávanie INFOBEZ

Všeobecné vzdelávanie a odborné vzdelávanie v oblasti INFOBEZ musí byť dostupné pre všetkých zamestnancov, ktorí ho potrebujú.

25.4.   Iné ako technické bezpečnostné opatrenia

25.4.1.   Personálna bezpečnosť

Užívatelia systému sú preverení a majú potrebu poznať, ako to vyžaduje utajenie a obsah utajovaných skutočností, s ktorými sa dá oboznámiť v rámci určitého systému. Na prístup k určitému zariadeniu alebo utajovaným skutočnostiam osobitným pre bezpečnosť systémov sa vyžaduje osobitné preverenie, ktoré sa prideľuje podľa postupov Komisie.

Bezpečnostný akreditačný úrad menuje všetky citlivé pracovné miesta a špecifikuje stupeň preverenia a dohľadu, ktorá sa vyžaduje od všetkých členov personálu, ktorí sú na týchto pracovných miestach.

Systémy sa špecifikujú a navrhujú tak, aby sa umožnilo prideľovanie povinností a právomocí personálu, a tak sa zabránilo tomu, aby jedna osoba mala úplnú vedomosť alebo kontrolu nad kľúčovými bodmi systémovej bezpečnosti.

Oblasti informačnej technológie a vzdialených terminálov/pracovných staníc, kde je možné modifikovať bezpečnosť systému, nesmie zastávať iba jeden oprávnený úradník alebo iný zamestnanec.

Na zmenu bezpečnostného nastavenia systému sú potrební aspoň dvaja oprávnení členovia personálu, ktorí pracujú spoločne.

25.4.2.   Fyzická bezpečnosť

Oblasti informačnej technológie a vzdialených terminálov/pracovných staníc (ako sú vymedzené v oddieli 25.2), v ktorých sa narába s utajovanými skutočnosťami ►M1  CONFIDENTIEL UE ◄ a vyššieho stupňa utajenia s prostriedkami informačných technológií, alebo kde je možný potenciálny prístup k takýmto utajovaným skutočnostiam, sa musia stanoviť ako bezpečnostné oblasti utajovaných skutočností EÚ triedy I prípadne triedy II.

25.4.3.   Kontrola prístupu k systému

Všetky informácie a materiál, ktoré umožňujú kontrolovať prístup k systému sú chránené opatreniami, ktoré sú rovnocenné opatreniam najvyššieho stupňa utajenia a určením kategórie utajovaných skutočností, ku ktorým môžu povoliť prístup.

Ak sa už prístupové kontrolné informácie a materiál viac nepoužívajú, zničia sa podľa ustanovení uvedených v oddieli 25.5.4.

25.5.   Technické bezpečnostné opatrenia

25.5.1.   Bezpečnosť utajovaných skutočností

Je povinnosťou pôvodcu utajovaných skutočností, aby identifikoval a klasifikoval všetky dokumenty, ktoré obsahujú utajované skutočnosti, bez ohľadu na to, či sú výstupy v tlačenej forme alebo uložené na počítačových médiách. Každá strana tlačenej formy musí byť označená stupňom utajenia v hornej a dolnej časti. Výstup v tlačenej forme alebo uložený na počítačovom médiu musí mať taký istý stupeň utajenia ako utajovaná skutočnosť, ktorá sa použila na jeho tvorbu. Spôsob operácie systému tiež môže mať dopad na utajenie výstupov z tohto systému.

Je povinnosťou úradov Komisie a tých, ktorí majú utajované skutočnosti k dispozícii, aby zohľadnili problémy hromadenia sa jednotlivých prvkov utajovaných skutočností a ich vzájomného pôsobenia, ktoré možno získať z príbuzných prvkov, a stanovili, či nie je pre výsledný súhrn utajovaných skutočností primeraný vyšší stupeň utajenia.

Skutočnosť, že utajovaná skutočnosť môže byť v skrátenom kóde, prenosovom kóde alebo akokoľvek inak dvojako vyjadrená, nepredstavuje žiadnu bezpečnostnú ochranu, a preto by nemala mať vplyv na utajovanie skutočností.

Ak sa utajované skutočnosti prenášajú z jedného systému do iného, utajovaná skutočnosť musí byť chránená počas prenosu a v prijímajúcom systéme spôsobom, ktorý je rovnocenný pôvodnému utajeniu a kategorizácii utajovaných skutočností.

So všetkými úložnými počítačovými médiami sa musí narábať spôsobom, ktorý je rovnocenný najvyššiemu stupňu utajenia uložených utajovaných skutočností alebo označeniu média, a musia byť sústavne primerane chránené.

Opakovane použiteľné počítačové úložné médiá používané na záznam utajovaných skutočností EÚ si musia zachovať najvyšší stupeň utajenia, pre ktoré boli použité, až kým sa nezníži stupeň utajenia príslušnej utajovanej skutočnosti alebo s ohľadom na túto utajovanú skutočnosť nedošlo k zrušeniu stupňa utajenia, a príslušne médiá preklasifikované alebo vo vzťahu ku ktorým sa zrušil stupeň utajenia alebo zničené v súlade s postupom schváleným bezpečnostným akreditačným úradom (pozri 25.5.4).

25.5.2.   Kontrola a zodpovednosť za utajované skutočnosti

Ako záznamy o prístupe k utajovaným skutočnostiam so stupňom utajenia ►M1  SECRET UE ◄ a vyšším sa vedú automatizované (audítorské reťazce) alebo manuálne záznamové knihy. Tieto záznamy sa uchovávajú v súlade s týmito bezpečnostnými predpismi.

S výstupmi utajovaných skutočností EÚ, ktoré sa uchovávajú v oblasti informačných technológií, sa môže narábať ako s utajenou položkou a nemusia sa registrovať, ak je materiál identifikovaný, označený stupňom utajenia a príslušne riadený.

Ak systém, v ktorom sa dá oboznámiť s utajovanými skutočnosťami EÚ generuje výstup, ktorý sa z oblasti informačnej technológie prenáša do oblasti vzdialeného terminálu/pracovnej stanice, musia sa stanoviť postupy odsúhlasené bezpečnostným akreditačným úradom, na riadenie a zapisovanie výstupu do záznamovej knihy. V prípade utajovaných skutočností ►M1  SECRET UE ◄ a vyššieho stupňa utajenia takéto postupy zahŕňajú osobitné pokyny s ohľadom na zodpovednosť za utajované skutočnosti.

25.5.3.   Manipulácia a kontrola odstrániteľných počítačových úložných médií

Všetky odstrániteľné počítačové úložné médiá klasifikované ako utajované skutočnosti ►M1  CONFIDENTIEL UE ◄ a vyššieho stupňa utajenia sa považujú za materiál, na ktorý sa vzťahujú všeobecné pravidlá. Konkrétny fyzický vzhľad médií sa upraví prostredníctvom príslušnej identifikácie a stupňa utajenia tak, aby sa umožnilo ich jednoduché rozlíšenie.

Užívatelia sú zodpovední za zabezpečenie, že všetky utajované skutočnosti EÚ sa ukladajú na médiách s príslušným označením a ochranou. Ustanovia sa postupy, aby sa zaručilo, že pre všetky stupne utajovaných skutočností EÚ sa ukladanie týchto utajovaných skutočností na počítačových úložných médiách vykonáva v súlade s týmito bezpečnostnými predpismi.

25.5.4   Zrušenie stupňa utajenia a likvidácia počítačových úložných médií

V prípade počítačových úložných médií používaných na záznam utajovaných skutočností EÚ sa môže znížiť stupeň utajenia alebo môže byť zrušený stupeň utajenia v súlade s postupom, ktorý schválil Bezpečnostný akreditačný úrad.

V prípade počítačových úložných médií, na ktorých boli uložené utajované skutočnosti ►M1  TRES SECRET UE/EU TOP SECRET ◄ alebo inej osobitnej kategórie, nesmie byť zrušený stupeň utajenia ani sa nesmú opakovane používať.

Ak v prípade počítačových úložných médií nie je možné zrušiť stupeň utajenia alebo sa nesmú opakovane použiť, musia sa zlikvidovať v súlade s vyššie uvedeným postupom.

25.5.5.   Komunikačná bezpečnosť

►M2  Riaditeľ riaditeľstva Komisie pre bezpečnosť ◄ je šifrovacím úradom.

Ak sa utajované skutočnosti EÚ prenášajú elektromagneticky, zavedú sa osobitné opatrenia na ochranu dôvernosti, celistvosti a dostupnosti takýchto prenosov. Bezpečnostný akreditačný úrad určí požiadavky na ochranu prenosov pred odhalením a zachytením utajovaných skutočností. Utajované skutočnosti, ktoré sa prenášajú v komunikačnom systéme, sa musia chrániť podľa požiadaviek na dôvernosť, celistvosť a dostupnosť.

Ak sa vyžadujú šifrovacie metódy na zabezpečenie dôvernosti, celistvosti a dostupnosti, takéto metódy a súvisiace výrobky musia byť osobitne schválené na daný účel bezpečnostným akreditačným úradom ako šifrovacím úradom.

Počas prenosu sa dôvernosť utajovaných skutočností ►M1  SECRET UE ◄ a vyššieho stupňa utajenia chráni šifrovacími metódami alebo výrobkami schválenými členom Komisie zodpovedným za bezpečnostné záležitosti po porade s Poradnou skupinou Komisie pre bezpečnostnú politiku. Počas prenosu sa dôvernosť utajovaných skutočností ►M1  CONFIDENTIEL UE ◄ alebo ►M1  RESTREINT UE ◄ chráni šifrovacími metódami alebo výrobkami schválenými šifrovacím úradom Komisie po porade s Poradnou skupinou Komisie pre bezpečnostnú politiku.

Podrobné pravidlá, ktoré sa vzťahujú na prenos utajovaných skutočností EÚ sú uvedené v osobitných bezpečnostných pokynoch schválených ►M2  riaditeľstvom Komisie pre bezpečnosť ◄ po porade s Poradnou skupinou Komisie pre bezpečnostnú politiku.

Za výnimočných okolností je možné utajované skutočnosti ►M1  RESTREINT UE ◄ , ►M1  CONFIDENTIEL UE ◄ a  ►M1  SECRET UE ◄ prenášať v nešifrovanom texte za predpokladu, že každý takýto konkrétny prenos je výslovne schválený a primerane registrovaný vlastníkom utajovaných skutočností. Takýmito výnimočnými okolnosťami sú:

Systém musí mať schopnosť pozitívneho odmietnutia prístupu k utajovaným skutočnostiam EÚ na ktorejkoľvek zo všetkých pracovných staníc alebo vzdialených terminálov, ak sa požaduje fyzickým odpojením alebo zvláštnymi softwarovými funkciami schválenými bezpečnostným akreditačným úradom.

25.5.6   Inštalačná a radiačná bezpečnosť

Počiatočná inštalácia systémov a ľubovoľné väčšie zmeny inštalácie musia byť tak špecifikované, že inštaláciu vykonávajú inštalatéri s bezpečnostnými previerkami za sústavného dozoru technicky kvalifikovaného personálu, ktorý je preverený pre prístup k utajovaným skutočnostiam EÚ až do stupňa, ktorý sa rovná najvyššiemu stupňu utajenia, s ktorými sa má v systéme oboznámiť a ktoré sa majú v systéme uchovávať.

Systémy, v ktorých sa dá oboznámiť s utajovanými skutočnosťami ►M1  CONFIDENTIEL UE ◄ a vyššieho stupňa utajenia musia byť chránené tak, aby ich bezpečnosť nebolo možné ohroziť nebezpečným žiarením a/alebo vodivosťou, pričom analýza a kontrola týchto faktorov sa označuje ako „Tempest (spôsob zaručenia bezpečnosti elektromagnetického impulzu terminálu)“.

Protiopatrenia súvisiace so spôsobom zaručenia bezpečnosti elektromagnetického impulzu terminálu (Tempest) skúma a schvaľuje Úrad pre spôsob zaručenia bezpečnosti elektromagnetického impulzu terminálu (Úrad Tempest, pozri 25.3.2).

25.6.   Bezpečnosť počas manipulácie

25.6.1.   Bezpečnostné prevádzkové postupy (BEZPP)

Bezpečnostné prevádzkové postupy vymedzujú zásady, ktoré sa prijímajú s ohľadom na bezpečnostné záležitosti, prevádzkové postupy, ktoré sa musia dodržiavať, a zodpovednosť personálu. Bezpečnostné prevádzkové postupy sa pripravujú v rámci zodpovednosti vlastníka technických systémov (VTS).

25.6.2.   Riadenie softwarovej ochrany/konfigurácie

Bezpečnostná ochrana aplikačných programov sa určuje na základe posúdenia bezpečnostného utajenia samotného programu, a nie utajenia jednotlivých utajovaných skutočností, ktoré sa majú spracovať. Softwarové verzie, ktoré sa používajú, sa overujú v pravidelných intervaloch, aby sa zabezpečila ich celistvosť a správne fungovanie.

Nové ani modifikované verzie softwaru sa na prácu s utajovanými skutočnosťami EÚ nesmú používať, pokiaľ nie sú overené VTS.

25.6.3.   Kontrola prítomnosti škodného softwaru/počítačových vírusov

Kontrola zameraná na zisťovanie, či nie je prítomný škodný software/počítačové vírusy, sa vykonáva pravidelne v súlade s požiadavkami BAÚ.

Všetky počítačové úložné médiá prichádzajúce do Komisie sa predtým, ako sa zavedú do ktoréhokoľvek systému, musia overiť, či neobsahujú škodný software alebo počítačové vírusy.

25.6.4.   Údržba

Zmluvy a postupy pre plánovanú a pohotovostnú údržbu systémov, pre ktoré boli vytvorené vyhlásenia o OSBP, musia špecifikovať požiadavky a opatrenia pre údržbárov a ich súvisiace zariadenie, ktoré vstupuje do oblasti informačných technológií.

Požiadavky musia byť vo vyhláseniach o OSBP zreteľne uvedené, ako aj postupy v BEZPP. Dodávateľská údržba, ktorá vyžaduje postupy pre vzdialený diagnostický prístup, je povolená iba vo výnimočných prípadoch za prísnej bezpečnostnej kontroly a iba so súhlasom BAÚ.

25.7.   Verejné obstarávanie

25.7.1.   Všeobecne

Ľubovoľný bezpečnostný produkt na používanie so systémom, ktorý sa má obstarať, musí byť vyhodnotený a certifikovaný, alebo práve v procese vyhodnocovania a certifikovania príslušným vyhodnocujúcim alebo certifikačným orgánom niektorého z členských štátov podľa medzinárodne uznaných kritérií (ako napríklad Spoločné kritériá pre bezpečnostné vyhodnotenie informačnej technológie, ISO 15 408). Aby sa získal súhlas Poradného výboru pre obstarávanie a zmluvy, sú potrebné konkrétne postupy.

Pri rozhodovaní, či by sa zariadenie, najmä počítačové úložné médiá, mali prenajať, a nie zakúpiť, sa musí pamätať na to, že takéto zariadenie, keď sa už používalo na prácu s utajovanými skutočnosťami EÚ, nie je možné uvoľniť mimo primerane bezpečnostného prostredia bez toho, aby sa najprv nezrušil stupeň utajenia so súhlasom BAÚ a že takýto súhlas nie je vždy možný.

25.7.2.   Akreditácia

Všetky systémy, pre ktoré je nutné vypracovať vyhlásenia o OSBP, musia byť pred prácou s utajovanými skutočnosťami EÚ akreditované BAÚ podľa informácií uvedených vo vyhláseniach o OSBP, BEZPP a iných príslušných dokumentoch. Vedľajšie systémy a vzdialené terminály/pracovné stanice musia byť akreditované ako časť všetkých systémov, na ktoré sú pripojené. Ak systém podporuje Komisiu aj iné organizácie, Komisia a príslušné bezpečnostné úrady sa spoločne dohodnú na akreditácii.

Proces akreditácie sa môže vykonať v súlade s akreditačnou stratégiou primeranou pre daný systém a definovaným zo strany BAÚ.

25.7.3.   Vyhodnotenie a certifikácia

Pred akreditáciou sa v niektorých prípadoch musí vyhodnotiť systémové bezpečnostné funkcie softwaru, firmwaru a hardwaru a certifikovať ako schopné chrániť utajované skutočnosti na určenom stupni utajenia.

Požiadavky na vyhodnotenie a certifikáciu sa musia zahrnúť do systémového plánovania a jasne uviesť vo vyhláseniach o OSBP.

Procesy vyhodnotenia a certifikácie sa musia vykonávať v súlade so schválenými usmerneniami a technicky kvalifikovanými a príslušne prevereným personálom, ktorý koná v mene VTS.

Tímy môže poskytnúť vymenovaný hodnotiaci alebo certifikačný úrad členského štátu alebo jeho vymenovaní zástupcovia, napríklad kvalifikovaný a preverený dodávateľ.

Stupeň procesov vyhodnotenia a certifikovania môže byť znížený (napríklad zahŕňajúci iba integračné aspekty), ak sú systémy založené na existujúcich národne vyhodnotených a certifikovaných počítačových bezpečnostných výrobkoch.

25.7.4.   Bežná kontrola bezpečnostných funkcií pre stálu akreditáciu

VTS vypracuje bežné kontrolné postupy, ktoré zabezpečia, aby boli všetky bezpečnostné funkcie stále platné.

Typy zmien, ktoré by viedli k novej akreditácii, alebo vyžadujú predchádzajúce schválenie BAÚ, musia byť jednoznačne určené a uvedené vo vyhláseniach o OSBP. Po ľubovoľnej modifikácii, oprave alebo zlyhaní, ktoré by mohli ovplyvniť bezpečnostné funkcie systému, VTS zabezpečí, aby sa skontrolovala správna operácia bezpečnostných funkcií. Stála akreditácia systému zvyčajne závisí od uspokojivého ukončenia kontrol.

Všetky systémy, v ktorých sa zaviedli bezpečnostné funkcie, BAÚ pravidelne preveruje a preskúmava. V prípade systémov, v ktorých sa dá oboznámiť s utajovanými skutočnosťami ►M1  TRES SECRET UE/EU TOP SECRET ◄ , sa inšpekcie vykonávajú aspoň raz ročne.

25.8   Dočasné alebo príležitostné použitie

25.8.1.   Bezpečnosť mikropočítačov/osobných počítačov

Mikropočítače/osobné počítače s pevnými diskami (alebo inými úložnými médiami udržujúcimi dáta aj pri výpadku prúdu), ktoré sú operačné v samostatnom režime alebo v sieťovej konfigurácii, a prenosné počítačové zariadenia (napríklad prenosné osobné počítače a elektronické notebooky) s pevnými diskami sa považujú za informačné úložné médiá v rovnakom zmysle ako diskety alebo iné odstrániteľné počítačové úložné médiá.

Zariadeniu sa priraďuje stupeň ochrany z hľadiska prístupu, manipulácie, ukladania a prepravy, ktorý je rovnocenný s najvyšším stupňom utajenia skutočností, v akom vôbec boli tieto utajované skutočnosti ukladané alebo spracovávané (až pokiaľ nedôjde k zníženiu stupňa utajenia alebo k zrušeniu stupňa utajenia v súlade so schválenými postupmi).

25.8.2.   Použitie súkromného informačného systému pre oficiálnu prácu Komisie

Zakázané je použitie súkromných prenosných počítačových úložných médií, softwaru a hardwaru (napríklad osobné počítač a prenosné počítačové zariadenia) s úložnými kapacitami na manipuláciu s utajovanými skutočnosťami EÚ.

Súkromný software, hardware a médiá sa nesmú prinášať do oblasti triedy I alebo triedy II, kde sa narába s utajovanými skutočnosťami EÚ, bez písomného oprávnenia ►M2  riaditel' riaditeľstva Komisie pre bezpečnosť ◄ . Toto oprávnenie je možné poskytnúť iba vo výnimočných prípadoch z technických dôvodov.

25.8.3.   Použitie informačnej technológie vo vlastníctve dodávateľov alebo technológie národne dodávanej pre oficiálnu prácu Komisie

Použitie informačnej technológie a softwaru vo vlastníctve dodávateľov v organizáciách na podporu oficiálnej práce Komisie môže povoliť iba ►M2  riaditel' riaditeľstva Komisie pre bezpečnosť ◄ . Použitie národne poskytovaného zariadenia informačnej technológie a softwaru sa môže tiež povoliť. V takomto prípade sa zariadenie informačnej technológie musí zahrnúť pod kontrolu príslušného inventárneho spísania Komisie. V ktoromkoľvek prípade, ak sa zariadenie informačnej technológie má používať na manipuláciu s utajovanými skutočnosťami EÚ, musí sa konzultovať s BAÚ, aby sa primerane zohľadnili a zaviedli prvky INFOBEZ, ktoré sa vzťahujú na použitie daného zariadenia.

26.   POSKYTNUTIE UTAJOVANÝCH SKUTOČNOSTÍ TRETÍM ŠTÁTOM ALEBO MEDZINÁRODNÝM ORGANIZÁCIÁM

26.1.1.   Zásady, ktorými sa riadi poskytovanie utajovaných skutočností EÚ

Komisia ako kolektívny orgán rozhoduje o poskytnutí utajovaných skutočností EÚ tretím štátom alebo medzinárodným organizáciám na základe:

Pôvodca utajovaných skutočností EÚ, ktoré sa majú poskytnúť, sa požiada o súhlas.

Tieto rozhodnutia sa prijímajú podľa jednotlivých prípadov a v závislosti od:

Prijatie utajovaných skutočností EÚ tretími štátmi alebo medzinárodnými organizáciami v sebe zahŕňa uistenie, že sa utajované skutočnosti nebudú používať na iné účely, ako sú účely, na ktoré sa dané utajované skutočnosti poskytli alebo vymenili, a že sa zabezpečí ochrana týchto utajovaných skutočností v miere, ktorú požaduje Komisia.

26.1.2.   Úrovne

Komisia po svojom rozhodnutí, že utajované skutočnosti EÚ možno poskytnúť alebo si vymeniť s daným štátom alebo medzinárodnou organizáciou, rozhodne o úrovni spolupráce, ktorá je možná. Toto bude závisieť najmä od bezpečnostnej politiky a právnych predpisov, ktoré uplatňuje daný štát alebo organizácia.

Existujú tri úrovne spolupráce:

26.1.3.   Dohody o bezpečnosti

Komisia po svojom rozhodnutí, že existuje stála alebo dlhodobá potreba výmeny utajovaných skutočností medzi Komisiou a tretími štátmi alebo inými medzinárodnými organizáciami, vypracuje s nimi „dohody o bezpečnostných postupoch pre výmenu utajovaných skutočností“, ktoré vymedzia účel spolupráce a recipročné pravidlá o ochrane vymenených utajovaných skutočností.

V prípade úrovne 3, občasná spolupráca, ktorá je svojím vymedzením obmedzená časom a účelom, môže jednorázové memorandum o porozumení vymedzujúce povahu utajovaných skutočností, ktoré sa majú vymieňať a recipročné povinnosti ohľadne týchto utajovaných skutočností, nahradiť „dohodu o postupoch pre výmenu utajovaných skutočností“ za podmienky, že utajované skutočnosti nemajú vyšší stupeň utajenia ako ►M1  RESTREINT UE ◄ .

Predtým, ako sa návrhy dohôd o bezpečnostných postupoch alebo memoránd o porozumení predložia Komisii na rozhodnutie, musí ich prerokovať Poradná skupina Komisie pre bezpečnostnú politiku.

Člen Komisie zodpovedný za bezpečnostné záležitosti požiada o akúkoľvek pomoc od národného bezpečnostného úradu členského štátu potrebnú na zabezpečenie toho, aby utajované skutočnosti, ktoré sa majú poskytnúť, používali a chránili v súlade s ustanoveniami dohôd o bezpečnostných postupoch alebo v súlade s memorandom o porozumení.

▼M3

27.   SPOLOČNÉ MINIMÁLNE NORMY PRE PRIEMYSELNÚ BEZPEČNOSŤ

27.1.   Úvod

Tento oddiel sa zaoberá bezpečnostnými aspektmi priemyselnej činnosti špecifickými pre rokovanie o zmluvách alebo dohodách o poskytnutí grantu, na základe ktorých sa zverujú úlohy zahŕňajúce, predpokladajúce a/alebo obsahujúce utajované skutočnosti EÚ, pre ich zadávanie, ako aj vykonávanie priemyselnými alebo inými subjektmi, vrátane poskytnutia alebo sprístupnenia utajovaných skutočností EÚ v rámci procesu verejného obstarávania a výziev na predkladanie ponúk (obdobie predkladania ponúk a rokovania pred uzatvorením zmluvy).

27.2.   Vymedzenie pojmov

Na účely týchto spoločných minimálnych noriem platia nasledujúce definície:

27.3.   Organizácia

27.4.   Zmluvy podliehajúce utajeniu a rozhodnutia o grantoch

27.5.   Návštevy

Návštevy zamestnancov Komisie uskutočňované v členských štátoch v súvislosti so zmluvami podliehajúcimi utajeniu u priemyselných alebo iných subjektov realizujúcich zmluvy podliehajúce utajeniu EÚ sa musia pripraviť v spolupráci s dotknutým NBÚ/UBÚ. Návštevy zamestnancov priemyselných alebo iných subjektov v rámci zmlúv podliehajúcich utajeniu EÚ sa musia pripraviť v spolupráci medzi dotknutými NBÚ/UBÚ. NBÚ/UBÚ, ktorých sa týka zmluva podliehajúca utajeniu EÚ, sa však môžu dohodnúť na postupe, pri ktorom sa návštevy zamestnancov priemyselných alebo iných subjektov môžu pripravovať priamo.

27.6.   Odovzdávanie a preprava utajovaných skutočností EÚ

▼M1

---

Dodatok 1

▼B

---

Dodatok 2

PRAKTICKÝ NÁVOD NA UTAJOVANIE

Tento návod je iba orientačný a nie je ho možné chápať tak, že mení podstatné ustanovenia, ktoré sú upravené v oddieloch 16, 17, 20 a 21.

---

Dodatok 3

Usmernenia o poskytovaní utajovaných skutočností EÚ tretím štátom alebo medzinárodným organizáciám: Úroveň spolupráce 1

POSTUPY

BEZPEČNOSTNÉ PREDPISY, KTORÉ MUSIA UPLATŇOVAŤ PRÍJEMCOVIA

5.	Člen Komisie zodpovedný za bezpečnostné záležitosti oznámi prijímajúcim štátom alebo medzinárodným organizáciám rozhodnutie Komisie o schválení poskytnutia utajovaných skutočností EÚ.

6.	Rozhodnutie nadobúda účinnosť až vtedy, keď príjemcovia predložia písomné uistenie, že: — nepoužijú utajované skutočnosti na iné ako dohodnuté účely, — utajované skutočnosti budú chrániť v súlade s týmito bezpečnostnými predpismi, najmä osobitnými pravidlami uvedenými nižšie.

7.

Personál a) Počet úradníkov s prístupom k utajovaným skutočnostiam EÚ musí byť podľa zásady potreba poznať obmedzený výlučne na tie osoby, ktorých povinnosti takýto prístup vyžadujú. b) Všetci úradníci alebo štátni príslušníci, ktorí majú oprávnenie na prístup k utajovaným skutočnostiam ►M1  CONFIDENTIEL UE ◄ alebo vyššieho stupňa utajenia, musia mať potvrdenie o bezpečnostnej previerke pre príslušný stupeň alebo potvrdenie o rovnocennej previerke, ktoré vydala vláda ich vlastného štátu.

8.

Prenos dokumentov a) Praktické postupy pre prenos dokumentov sa ustanovia v dohode. Až do uzavretia takejto dohody sa uplatňujú ustanovenia oddielu 21. Dohoda musí najmä určiť registre, ktorým musia byť utajované skutočnosti postúpené. b) Ak utajované skutočnosti, ktorých poskytnutie Komisia povolila, zahŕňajú utajované skutočnosti ►M1  TRES SECRET UE/EU TOP SECRET ◄ , prijímajúci štát alebo medzinárodná organizácia založí centrálny register EÚ a prípadne vedľajšie registre EÚ. Tieto registre musia dôsledne uplatňovať predpisy, ktoré sú rovnocenné s ustanoveniami v oddieli 22 týchto bezpečnostných predpisov.

9.

Registrácia Len čo register obdrží dokument EÚ utajený ako ►M1  CONFIDENTIEL UE ◄ alebo na vyššom stupni utajenia, zaeviduje dokument v osobitnom registri, ktorý má organizácia a ktorý obsahuje stĺpce pre dátumy prijatia, údaje o dokumente (dátum, referenčné číslo a číslo kópie), jeho utajenie, názov, meno alebo postavenie príjemcu, dátum vrátenia potvrdenia o príjme a dátum vrátenia dokumentu pôvodcovi v EÚ a dátum likvidácie.

10.

Likvidácia a) utajované dokumenty EÚ sa likvidujú v súlade s pokynmi uvedenými v oddieli 22 týchto bezpečnostných predpisov. Kópie potvrdení o likvidácii pre dokumenty ►M1  SECRET UE ◄ a  ►M1  TRES SECRET UE/EU TOP SECRET ◄ sa zasielajú do registra EÚ, ktorý dokumenty postúpil. b) utajované dokumenty musia byť zahrnuté v plánoch likvidácie v núdzových situáciách pre vlastné utajované dokumenty orgánov príjemcu.

11.	Ochrana dokumentu Musia sa prijať všetky potrebné opatrenia, aby sa zabránilo prístupu nepovolaných osôb k utajovaným skutočnostiam EÚ.

12.

Kópie, preklady a výpisy Bez oprávnenia vedúceho príslušnej bezpečnostnej organizácie sa nesmú robiť žiadne fotokópie ani preklad dokumentu ►M1  CONFIDENTIEL UE ◄ alebo ►M1  SECRET UE ◄ a ani výpisy z takéhoto dokumentu. Vedúci dotknutej bezpečnostnej organizácie zaeviduje a skontroluje kópie, preklady alebo výpisy z nich a podľa potreby ich opečiatkuje. Reprodukciu alebo preklad dokumentu ►M1  TRES SECRET UE/EU TOP SECRET ◄ môže povoliť iba úrad pôvodcu, ktorý určí počet oprávnených kópií; ak úrad pôvodcu nie je možné určiť, žiadosť sa postúpi Bezpečnostnej službe Komisie.

13.

Porušenie bezpečnosti Ak dôjde k porušeniu bezpečnosti, ktoré zahŕňa utajovaný dokument EÚ, alebo vzniklo podozrenie, že k takémuto porušeniu došlo, okamžite sa prijmú nasledujúce opatrenia, ktoré podliehajú uzavretiu dohody o bezpečnosti: a) záležitosť sa prešetrí, aby sa stanovili okolnosti, za ktorých došlo k porušeniu bezpečnosti; b) upovedomí sa ►M2  riaditeľstvo Komisie pre bezpečnosť ◄ , príslušný národný bezpečnostný úrad a úrad pôvodcu, alebo sa jasne uvedie, že úrad pôvodcu nebol oboznámený, ak k tomu nedošlo; c) prijmú sa opatrenia na minimalizovanie účinkov porušenia bezpečnosti; d) opätovne sa zvážia a zavedú opatrenia, aby sa zabránilo opakovaniu; e) zavedú sa akékoľvek opatrenia, ktoré odporúča ►M2  riaditeľstvo Komisie pre bezpečnosť ◄ na zabránenia opakovania.

14.	Inšpekcie Na základe dohôd s danými štátmi alebo medzinárodnými organizáciami sa povolí, aby ►M2  riaditeľstvo Komisie pre bezpečnosť ◄ posúdil účinnosť opatrení na ochranu poskytnutých utajovaných skutočností EÚ.

15.	Podávanie správ Za predpokladu uzavretia dohody o bezpečnosti, pokiaľ daný štát alebo organizácia má k dispozícii utajované skutočnosti EÚ, ročne predkladá v termíne určenom pri poskytnutí utajovaných skutočností správu, ktorá potvrdí, že sa tieto bezpečnostné predpisy naďalej dodržiavajú.

---

Dodatok 4

Usmernenia o poskytovaní utajovaných skutočností EÚ tretím štátom alebo medzinárodným organizáciám: Úroveň spolupráce 2

POSTUPY

BEZPEČNOSTNÉ PREDPISY, KTORÉ MUSIA UPLATŇOVAŤ PRÍJEMCOVIA

7.	Člen Komisie zodpovedný za bezpečnostné záležitosti oznámi prijímajúcim štátom alebo medzinárodným organizáciám rozhodnutie Komisie o schválení poskytnutia utajovaných skutočností EÚ a jeho obmedzeniach.

8.	Rozhodnutie nadobúda účinnosť až vtedy, keď príjemcovia predložia písomné uistenie, že: — nepoužijú utajované skutočnosti na iné ako dohodnuté účely, — utajované skutočnosti budú chrániť v súlade s bezpečnostnými predpismi, ktoré určí Komisia.

9.	Uplatňujú sa nasledujúce pravidlá ochrany, ak Komisia po získaní technického stanoviska Poradnej skupiny Komisie pre bezpečnostnú politiku nerozhodne o určitom postupe pre oboznamovanie sa s utajovanými dokumentmi EÚ (odstránenia označenia utajenia EÚ, osobitné znaky atď.).

10.

Personál a) počet úradníkov s prístupom k utajovaným skutočnostiam EÚ musí byť podľa zásady potreba poznať obmedzený výlučne na tie osoby, ktorých povinnosti takýto prístup vyžadujú; b) všetci úradníci alebo štátni príslušníci, ktorí majú oprávnenie na prístup k utajovanými skutočnostiam EÚ, musia mať potvrdenie o národnej bezpečnostnej previerke alebo oprávnenia na prístup na zodpovedajúcom stupni utajenia, ktoré je porovnateľné so stupňom utajenia EÚ, ako je vymedzené v porovnávacej tabuľke; c) tieto národné bezpečnostné previerky sa postupujú ►M2  riaditeľovi riaditeľstva Komisie pre bezpečnosť ◄ na informáciu.

11.

Prenos dokumentov Praktické postupy pre prenos dokumentov sa ustanovia v dohode. Až do uzavretia takejto dohody sa uplatňujú ustanovenia oddielu 21. Dohoda musí najmä určiť registre, ktorým musia byť utajované skutočnosti postúpené a presné adresy, na ktoré sa dokumenty zašlú, rovnako ako kuriérske služby alebo poštové služby, ktoré sa na prenos utajovaných skutočností EÚ použijú.

12.

Registrácia pri príchode Národný bezpečnostný úrad štátu adresáta alebo zodpovedajúci v štáte, ktorý obdrží v mene vlády utajované skutočnosti postúpené Komisiou, alebo bezpečnostný úrad prijímajúcej medzinárodnej organizácie vytvoria osobitný register na zaznamenávanie utajovaných skutočností EÚ pri ich príchode. Register obsahuje stĺpce uvádzajúce dátum prijatia, údaje o dokumente (dátum, referenčné číslo a číslo kópie), jeho utajenie, názov, meno adresáta alebo jeho postavenie, dátum návratu potvrdenia o prijatí a dátum návratu dokumentu do EÚ alebo dátum jeho likvidácie.

13.	Návrat dokumentov Keď príjemca vráti utajovaný dokument Komisii, postupuje, ako je uvedené v odseku „Prenos dokumentov“ vyššie.

14.

Ochrana a) Ak sa dokumenty nepoužívajú, skladujú sa v bezpečnostných schránkach, ktoré sú schválené na skladovanie vnútroštátnych utajovaných materiálov rovnakého stupňa utajenia. Schránka nenesie žiadne označenie svojho obsahu. Ak sa používajú kombinačné zámky, kombinácie sú známe iba tým úradníkom v danom štáte alebo organizácii, ktorí majú prístup k utajovaným skutočnostiam EÚ uloženým v schránke. Kombinácie sa menia každých šesť mesiacov alebo častejšie, ak je niektorý úradník preložený, ak sa odoberie bezpečnostné preverenie niektorému z úradníkov, ktorý poznal kombináciu, alebo ak vznikne nebezpečenstvo odcudzenia. b) Utajené dokumenty EÚ odstraňujú z bezpečnostnej schránky iba tí úradníci, ktorí sú preverení na prístup k utajovaným skutočnostiam EÚ a majú potrebu poznať. Sú naďalej zodpovední za uschovávanie týchto dokumentov, pokiaľ ich majú k dispozícii, a najmä za zabezpečenie toho, aby žiadna nepovolaná osoba nemala prístup k dokumentom. Zabezpečujú tiež, aby sa dokumenty po ich konzultovaní a po pracovných hodinách uložili do bezpečnostnej schránky. c) Bez oprávnenia ►M2  riaditeľstva Komisie pre bezpečnosť ◄ sa nesmú robiť žiadne fotokópie ani výpisy dokumentov klasifikovaných ako ►M1  CONFIDENTIEL UE ◄ a vyššieho stupňa utajenia. d) Postup pre rýchlu a úplnú likvidáciu dokumentov v núdzovom stave určí a potvrdí ►M2  riaditeľstvo Komisie pre bezpečnosť ◄ .

15.

Fyzická bezpečnosť a) bezpečnostné schránky, keď sa nepoužívajú na skladovanie utajovaných dokumentov EÚ, sa uchovávajú sústavne zamknuté; b) ak je potrebné, aby do miestnosti, kde sa nachádzajú bezpečnostné schránky, vstúpil údržbársky alebo čistiaci personál, alebo aby takýto personál pracoval v takýchto miestnostiach, musí byť sústavne sprevádzaný členom bezpečnostnej služby daného štátu alebo organizácie, alebo úradníkom zvlášť zodpovedným za dohľad nad bezpečnosťou danej miestnosti; c) mimo zvyčajných pracovných hodín (v noci, cez víkendy a v dni štátnych sviatkov), bezpečnostné schránky obsahujúce utajované dokumenty EÚ musia byť chránené strážnou službou alebo automatickým poplašným zariadením.

16.

Porušenie bezpečnosti Ak dôjde k porušeniu bezpečnosti, ktoré zahŕňa utajovaný dokument EÚ, alebo vzniklo podozrenie, že k takémuto porušeniu došlo, okamžite sa prijmú tieto opatrenia: a) okamžite sa predloží správa ►M2  Riaditeľstvu Komisie pre bezpečnosť ◄ alebo národnému bezpečnostnému úradu členského štátu, ktorý dal podnet na zaslanie dokumentov (s kópiou ►M2  Riaditeľstvu Komisie pre bezpečnosť ◄ ); b) vykoná sa vyšetrovanie a o tomto vyšetrovní sa predloží správa bezpečnostnému orgánu (pozri a) vyššie). Potom sa prijmú opatrenia potrebné na nápravu situácie.

17.	Inšpekcie Na základe dohôd s danými štátmi alebo medzinárodnými organizáciami sa povolí, aby ►M2  riaditeľstvo Komisie pre bezpečnosť ◄ vykonal posúdenie účinnosti opatrení na ochranu poskytnutých utajovaných skutočností EÚ.

18.	Podávanie správ Za predpokladu uzavretia dohody o bezpečnosti, pokiaľ daný štát alebo organizácia má k dispozícii utajované skutočnosti EÚ, ročne predkladá v termíne určenom pri poskytnutí utajovaných skutočností správu, ktorá potvrdí, že sa tieto bezpečnostné predpisy naďalej dodržiavajú.

---

Dodatok 5

Usmernenia o poskytnutí utajovaných skutočností EÚ tretím štátom alebo medzinárodným organizáciám: Úroveň spolupráce 3

POSTUPY

1.	Komisia môže mať za určitých okolností z času na čas záujem o spoluprácu so štátmi a organizáciami, ktoré nemôže poskytnúť uistenia požadované týmito predpismi, ale takáto spolupráca môže vyžadovať poskytnutie utajovaných skutočností EÚ.

2.

Oprávnenie poskytnúť utajované skutočnosti EÚ tretím štátom alebo medzinárodným organizáciám, ktorých bezpečnostná politika a právne predpisy sú výrazne odlišné od politiky a právnych aktov EÚ, spočíva výlučne na pôvodcovi. Oprávnenie poskytnúť utajované skutočnosti EÚ, ktoré vznikli v rámci Komisie, spočíva výlučne na Komisii ako kolektívnom orgáne. V zásade sa jedná o skutočnosti utajené až do stupňa utajenia ►M1  SECRET UE ◄ vrátane; nevzťahuje sa to na utajované skutočnosti chránené osobitnými bezpečnostnými označeniami a znakmi.

3.	Komisia zváži primeranosť poskytnutia utajovaných skutočností, posúdi potrebu príjemcu poznať a rozhodne o povahe utajovaných skutočností, ktoré sa môžu odoslať.

4.

Ak Komisia vyjadrí súhlas, člen Komisie zodpovedný za bezpečnostné záležitosti — získa stanovisko pôvodcov utajovaných skutočností EÚ, ktoré sa majú poskytnúť, — zabezpečí zasadnutie Poradnej skupiny Komisie pre bezpečnostnú politiku alebo v rámci tichého postupu, ak je to potrebné, sa informuje u národných bezpečnostných úradov členských štátov v súvislosti so získaním stanoviska Poradnej skupiny Komisie pre bezpečnostnú politiku.

5.

Stanovisko Poradnej skupiny Komisie pre bezpečnostnú politiku sa týka: a) vyhodnotenia bezpečnostných rizík, ktoré vzniknú EÚ alebo jej členským štátom; b) stupňa utajenia skutočností, ktoré sa môžu poskytnúť; c) zníženia stupňa utajenia alebo zrušenie stupňa utajenia pred tým, ako sa utajované skutočnosti poskytnú; d) postupov pre oboznamovanie sa s dokumentmi, ktoré sa majú poskytnúť (pozri odsek nižšie); e) možných spôsobov prenosu (použitie verejných poštových služieb, verejných alebo bezpečnostných telekomunikačných systémov, diplomatickej pošty, preverených kuriérov atď.).

6.

Dokumenty, ktoré sa poskytnú štátom alebo organizáciám, na ktoré sa vzťahuje tento dodatok, musia byť v zásade pripravené bez odkazu na zdroj alebo utajenie EÚ. Poradná skupina Komisie pre bezpečnostnú politiku môže odporúčať: — použitie osobitného označenia alebo kódového mena, — použitie osobitného systému klasifikácie, ktorý spája citlivosť utajovaných skutočností s požadovanými kontrolnými opatreniami spôsobov príjemcu na prenos dokumentov.

7.	►M2  Člen Komisie zodpovedný za bezpečnostné záležitosti ◄ postúpi Komisii stanovisko Poradnej skupiny Komisie pre bezpečnostnú politiku na rozhodnutie.

8.

Po schválení Komisie, ktoré sa týka poskytnutia utajovaných skutočností EÚ a praktických vykonávajúcich postupov, ►M2  riaditeľstvo Komisie pre bezpečnosť ◄ zabezpečí potrebné spojenie s bezpečnostným úradom daného štátu alebo organizácie, aby sa umožnilo uplatnenie predpokladaných bezpečnostných opatrení.

9.	Člen Komisie zodpovedný za bezpečnostné opatrenia informuje členské štáty o povahe a stupni utajenia utajovaných skutočností, pričom uvedie zoznam krajín a organizácií, ktorým sa dané utajované skutočnosti môžu poskytnúť, ako o tom rozhodla Komisia.

10.	►M2  Riaditeľstvo Komisie pre bezpečnosť ◄ prijme všetky potrebné opatrenia, aby sa umožnil odhad následnej škody a preskúmali postupy. Ak sa zmenia podmienky spolupráce, Komisia záležitosť opätovne zváži.

BEZPEČNOSTNÉ PREDPISY, KTORÉ MUSIA UPLATŇOVAŤ PRÍJEMCOVIA

11.

Člen Komisie zodpovedný za bezpečnostné záležitosti oznámi prijímajúcim štátom alebo medzinárodným organizáciám rozhodnutie Komisie o schválení poskytnutia utajovaných skutočností EÚ a jeho obmedzeniach, spolu s podrobnými pravidlami ochrany, ktoré navrhla a schválila Poradná skupina Komisie pre bezpečnostnú politiku.

12.	Rozhodnutie nadobúda účinnosť až vtedy, keď príjemcovia predložia písomné uistenie, že: — nepoužijú utajované skutočnosti na iné účely ako sú účely, o ktorých rozhodla Komisia, — utajované skutočnosti budú chrániť tak, ako to vyžaduje Komisia.

13.

Prenos dokumentov a) dohodnú sa praktické postupy na prenos dokumentov medzi ►M2  riaditeľstvom Komisie pre bezpečnosť ◄ a bezpečnostnými úradmi prijímajúcich štátov alebo medzinárodných organizácií. Takéto postupy špecifikujú najmä presné adresy, na ktoré sa dohody musia doručovať; b) dokumenty ►M1  CONFIDENTIEL UE ◄ a vyššieho stupňa utajenia sa musia prenášať v dvojitom obale. Vnútorná obálka je označená zvláštnou pečiatkou alebo kódovým označením, o ktorom sa rozhodne, a uvádza osobitné utajenie schválené pre dokument. Pre každý utajený dokument sa zvlášť priloží tlačivo o prijatí. Tlačivo o prijatí, ktoré samo o sebe nie je utajené, uvádza iba údaje o dokumente (jeho referenčné označenie, dátum, číslo kópie) a jazyk, ale nie názov; c) do vonkajšej obálky sa potom vloží vnútorná obálka. Na vonkajšej obálke je uvedené číslo zásielky na účely prijatia. Bezpečnostné utajenie nie je na vonkajšej obálke uvedené; d) kuriérom sa vždy odovzdá potvrdenie o prijatí, na ktorom je uvedené číslo zásielky.

14.

Registrácia pri príchode Národný bezpečnostný úrad štátu adresáta alebo zodpovedajúci orgán v štáte, ktorý obdrží v mene vlády utajované skutočnosti postúpené Komisiou, alebo bezpečnostný úrad prijímajúcej medzinárodnej organizácie vytvoria osobitný register na zaznamenávanie utajovaných skutočností EÚ pri ich príchode. Register obsahuje stĺpce uvádzajúce dátum prijatia, údaje od dokumente (dátum, referenčné číslo a číslo kópie), jeho utajenie, názov, meno adresáta alebo jeho postavenie, dátum návratu potvrdenia o prijatí a dátum návratu dokumentu do EÚ alebo dátum jeho likvidácie.

15.

Použitie a ochrana vymenených utajovaných skutočností a) s utajovanými skutočnosťami so stupňom utajenia ►M1  SECRET UE ◄ sa oboznamujú osobitne určení úradníci, ktorí majú oprávnenie na prístup k utajovaným skutočnostiam s takýmto stupňom utajenia. Uschovávajú sa v kvalitných bezpečnostných kartotékach, ktoré môžu otvoriť iba osoby s oprávnením na prístup k utajovaným skutočnostiam, ktoré obsahujú. Oblasti, v ktorých sú takéto kartotéky umiestnené, musia byť sústavne strážené a musí byť zavedený overovací systém, aby sa zabezpečilo, že iba príslušne oprávnené osoby vstúpia do tejto oblasti. Utajované skutočnosti so stupňom utajenia ►M1  SECRET UE ◄ sa doručujú diplomatickou poštou, bezpečnostnými poštovými službami alebo bezpečnostnými komunikáciami. Dokument ►M1  SECRET UE ◄ sa môže kopírovať iba s písomným súhlasom úradu pôvodcu. Všetky kópie musia byť zaregistrované a monitorujú sa. Pre všetky operácie, ktoré sa týkajú dokumentov ►M1  SECRET UE ◄ sa vydávajú potvrdenia o prijatí; b) s utajovanými skutočnosťami ►M1  CONFIDENTIEL UE ◄ sa oboznamujú náležito vymenovaní úradníci, ktorí sú oprávnení na získanie informácií o danom predmete. Dokumenty sa uschovávajú v uzamknutých bezpečnostných kartotékach v kontrolovaných oblastiach; Utajované skutočnosti so stupňom utajenia DÔVERNÉ sa doručujú diplomatickou poštou, bezpečnostnými poštovými službami alebo bezpečnostnými komunikáciami. Kópie dokumentov môže prijímajúci orgán urobiť, pričom počty kópií a ich distribúcia sa zaznamenáva v osobitných registroch; c) s utajovanými skutočnosťami ►M1  RESTREINT UE ◄ sa dá oboznámiť v priestoroch, ku ktorým nemajú prístup mepovolané osoby, a uschovávajú sa v uzavretých schránkach. Dokumenty sa môžu zasielať verejnými poštovými službami ako doporučená pošta v dvojitej obálke a v núdzových situáciách počas operácií nechránenými verejnými telekomunikačnými systémami. Príjemcovia môžu zhotovovať kópie; d) neutajené skutočnosti nevyžadujú osobitné ochranné opatrenia a môžu sa zasielať poštovými službami a verejnými telekomunikačnými systémami. Adresáti môžu zhotovovať kópie.

16.

Likvidácia Dokumenty, ktoré už nie sú potrebné, sa musia zlikvidovať. V prípade dokumentov ►M1  RESTREINT UE ◄ a  ►M1  CONFIDENTIEL UE ◄ sa vykoná príslušný záznam v osobitnom registri. V prípade dokumentov ►M1  SECRET UE ◄ sa vydávajú potvrdenia o likvidácii, ktoré podpíšu dve osoby, ktoré boli svedkami likvidácie.

17.

Porušenie bezpečnosti Ak sa utajované skutočnosti ►M1  CONFIDENTIEL UE ◄ alebo ►M1  SECRET UE ◄ odcudzia, alebo ak existuje podozrenie z odcudzenia, národný bezpečnostný úrad daného štátu alebo vedúci bezpečnosti príslušnej organizácie uskutočnia vyšetrovanie okolností odcudzenia. ►M2  Riaditeľstvu Komisie pre bezpečnosť ◄ sa oznámi výsledok vyšetrovania. Prijmú sa potrebné opatrenia na odstránenie nevhodných postupov alebo spôsobov skladovania, ak takéto postupy alebo spôsoby boli príčinou odcudzenia.

---

Dodatok 6

---

( 1 ) Ú. v. ES 17/58, 6.10.1958, s. 406/58.

( 2 ) Ú. v. ES L 151, 15.6.1990, s. 1.

( 3 ) Ú. v. ES L 101, 11.4.2001, s. 1.

( 4 ) Ú. v. ES L 145, 31.5.2001, s. 43.

( 5 ) Bez toho, aby bol dotknutý Viedenský dohovor z roku 1961 o diplomatických stykoch a Protokol o výsadách a imunitách Európskych spoločenstiev z 8. apríla 1965.

( 6 ) Pozri komparatívnu tabuľku bezpečnostných klasifikácií EÚ, NATO, ZEÚ a členských štátov v Dodatku 1.