a)

TRÉS SECRET UE/EU TOP SECRET: informácia alebo vec, ktorej neoprávnené prezradenie by mohlo mimoriadne vážne poškodiť základné záujmy Európskej únie alebo jedného či viacerých jej členských štátov;

b)

SECRET UE/EU SECRET: informácia alebo vec, ktorej neoprávnené prezradenie by mohlo vážne poškodiť základné záujmy Európskej únie alebo jedného či viacerých jej členských štátov;

c)

CONFIDENTIEL UE/EU CONFIDENTIAL: informácia alebo vec, ktorej neoprávnené prezradenie by mohlo poškodiť základné záujmy Európskej únie alebo jedného či viacerých jej členských štátov;

d)

RESTREINT UE/EU RESTRICTED: informácia alebo vec, ktorej neoprávnené prezradenie by mohlo byť nevýhodné pre záujmy Európskej únie alebo jedného či viacerých jej členských štátov.

—

utajovaných skutočností, ktoré sa poskytnú ESVČ,

—

zdrojovej veci zahrnutej do utajovanej skutočnosti, ktorej pôvodcom je ESVČ.

—

musia tieto skutočnosti poznať (zásada „need-to-know“),

—

boli pre prístup k informáciám utajovaným na stupni CONFIDENTIEL UE/EU CONFIDENTIAL alebo vyššom bezpečnostne preverené pre príslušný stupeň alebo majú iné náležité oprávnenie, ktoré vyplýva z povahy ich funkcie v súlade s vnútroštátnymi zákonmi a inými právnymi predpismi,

—

boli poučené o svojich povinnostiach.

a)

vo všeobecnosti sa utajované skutočnosti EÚ prenášajú elektronickými prostriedkami, ktoré sú chránené kryptografickými produktmi schválenými v súlade s článkom 7 ods. 5 tohto rozhodnutia a v súlade s jasne vymedzenými bezpečnostnými prevádzkovými postupmi;

b)

keď sa prostriedky uvedené v písmene a) nepoužívajú, utajované skutočnosti EÚ sa prenášajú buď:

a)

orgán pre informačnú bezpečnosť;

b)

orgán pre TEMPEST;

c)

kryptografický schvaľovací orgán;

d)

kryptografický distribučný orgán.

a)

orgán bezpečnostnej certifikácie;

b)

operačný orgán pre informačnú bezpečnosť.

a)

platí dohoda o bezpečnosti informácií uzatvorená medzi EÚ a treťou krajinou alebo medzinárodnou organizáciou v súlade s článkom 37 Zmluvy o EÚ a článkom 218 ZFEÚ, alebo

b)

nadobudla účinnosť administratívna dohoda medzi VP a príslušnými bezpečnostnými orgánmi danej tretej krajiny alebo medzinárodnej organizácie o výmene utajovaných skutočností v zásade s maximálnym stupňom utajenia RESTREINT UE/EU RESTRICTED, ktorá bola uzatvorená v súlade s postupom stanoveným v článku 14 ods. 5 tohto rozhodnutia, alebo

c)

medzi EÚ a treťou krajinou sa uplatňuje rámcová dohoda alebo dohoda ad hoc o účasti, pokiaľ ide o informačnú bezpečnosť v situácii operácie krízového riadenia SBOP, ktorá bola uzatvorená v súlade s článkom 37 Zmluvy o EÚ a článkom 218 ZFEÚ,

a)

posúdiť možné poškodenie záujmov EÚ alebo členských štátov;

b)

prijať vhodné opatrenia na predchádzanie opakovaniu;

c)

ochrániť dôkazy;

d)

zabezpečiť, že na účely zistenia skutočností prípad vyšetria členovia personálu, ktorých sa narušenie bezpečnosti netýka bezprostredne;

e)

informovať príslušné orgány o dôsledkoch danej udalosti a prijatých opatreniach;

f)

informovať pôvodcu.

1.

V tejto prílohe sa uvádzajú ustanovenia na účely vykonávania článku 5 prílohy A. Stanovujú sa v nej predovšetkým kritériá, na základe ktorých ESVČ určuje, či osobe pri zohľadnení jej lojality, dôveryhodnosti a spoľahlivosti možno udeliť prístup k utajovaným skutočnostiam EÚ, ako aj vyšetrovacie a správne postupy, ktoré sa majú v tejto súvislosti dodržiavať.

2.

„Previerka personálnej bezpečnosti“ na prístup k utajovaným skutočnostiam EÚ je vyhlásenie príslušného orgánu členského štátu, ktoré sa vydáva na základe ukončeného bezpečnostného vyšetrovania vykonaného príslušnými orgánmi členského štátu a ktorým sa potvrdzuje, že osobe možno za predpokladu, ak sa zistila jej potreba poznať, do určeného dátumu udeliť prístup k utajovaným skutočnostiam EÚ do určeného stupňa utajenia (CONFIDENTIEL UE/EU CONFIDENTIAL alebo vyššieho); takáto osoba sa označuje ako „bezpečnostne preverená“.

3.

„Certifikát o previerke personálnej bezpečnosti“ je certifikát vydaný bezpečnostným orgánom ESVČ, ktorým sa potvrdzuje, že osoba je bezpečnostne preverená, a v ktorom sa uvádza stupeň utajenia utajovaných skutočností EÚ, ku ktorému sa môže tejto osobe udeliť prístup, dátum platnosti príslušnej previerky personálnej bezpečnosti a dátum ukončenia platnosti samotného certifikátu.

4.

„Povolenie prístupu k utajovaným skutočnostiam EÚ“ je povolenie bezpečnostného orgánu ESVČ, ktoré sa vydáva na základe tohto rozhodnutia a ukončenej bezpečnostnej previerky vykonanej príslušnými orgánmi členského štátu a ktorým sa potvrdzuje, že osobe možno za predpokladu, ak sa zistila jej potreba poznať informácie, do určeného dátumu udeliť prístup k utajovaným skutočnostiam EÚ do určeného stupňa utajenia (CONFIDENTIEL UE/EU CONFIDENTIAL alebo vyššieho); takáto osoba sa označuje ako „bezpečnostne preverená“.

5.

Prístup k utajovaným skutočnostiam označeným stupňom utajenia RESTREINT UE/EU RESTRICTED nevyžaduje bezpečnostnú previerku a udeľuje sa na základe:

6.

Osobe sa môže povoliť prístup k utajovaným skutočnostiam so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL alebo vyšším len potom, ako:

7.

V rámci štruktúry ESVČ sa určia pozície, ktoré vyžadujú prístup k utajovaným skutočnostiam so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL alebo vyšším a ktoré v zmysle článku 4 vyžadujú previerky personálnej bezpečnosti pre príslušný stupeň.

8.

Členovia personálu ESVČ predkladajú vyhlásenie o tom, či majú štátnu príslušnosť viac ako jednej krajiny.

9.

V prípade personálu ESVČ zasiela menovací orgán ESVČ vyplnený osobný bezpečnostný dotazník národnému bezpečnostnému orgánu členského štátu, ktorého je osoba štátnym príslušníkom, a požiada o vykonanie bezpečnostného vyšetrovania pre stupeň utajenia utajovaných skutočností EÚ, ku ktorému bude táto osoba potrebovať prístup.

10.

Ak je daná osoba štátny príslušník viac ako jednej krajiny, žiadosť o preverovanie bude adresovaná NBÚ tej krajiny, s ktorej štátnou príslušnosťou bola daná osoba prijatá do zamestnaneckého pomeru.

11.

Ak ESVČ zistí o osobe, ktorá požiadala o vydanie previerky personálnej bezpečnosti, informácie relevantné z hľadiska bezpečnostného vyšetrovania, oznámi túto skutočnosť v súlade s príslušnými pravidlami a nariadeniami príslušnému NBÚ.

12.

Po ukončení bezpečnostného vyšetrovania príslušný NBÚ oznámi riaditeľstvu ESVČ pre bezpečnosť jeho výsledok.

13.

Na bezpečnostné vyšetrovanie a získané výsledky, na ktorých sa zakladá rozhodnutie ESVČ o udelení alebo neudelení povolenia na prístup k utajovaným skutočnostiam EÚ, sa vzťahujú príslušné zákony a iné právne predpisy platné v dotknutom členskom štáte vrátane tých, ktoré sa týkajú odvolania. Proti rozhodnutiam bezpečnostného orgánu ESVČ možno podať odvolanie v súlade so Služobným poriadkom úradníkov Európskej Únie a podmienkami zamestnávania ostatných zamestnancov Európskej únie stanoveným v nariadení (EHS, Euratom, ESUO) č. 259/68 (1) (ďalej len „služobný poriadok“).

14.

Ubezpečenie, z ktorého previerka personálnej bezpečnosti vychádza, za predpokladu, že zostáva v platnosti, je platné pre každú funkciu, ktorú dotknutá osoba vykonáva v ESVČ, na Generálnom sekretariáte Rady alebo v Komisii.

15.

Ak sa obdobie služby osoby nezačne do 12 mesiacov od oznámenia výsledku bezpečnostného vyšetrovania bezpečnostnému orgánu ESVČ alebo ak sa služba danej osoby preruší na obdobie 12 mesiacov, počas ktorých táto osoba nie je zamestnaná v ESVČ, v iných inštitúciách, agentúrach alebo orgánoch EÚ ani na pozícii vo verejnej správe členského štátu, ktorá vyžaduje prístup k utajovaným skutočnostiam, platnosť a náležitosť tohto výsledku sa overí u príslušného NBÚ.

16.

Ak sa ESVČ oboznámi s informáciami týkajúcimi sa bezpečnostných rizík, ktoré predstavuje osoba, ktorá je držiteľom platnej previerky personálnej bezpečnosti, ESVČ v súlade s príslušnými pravidlami a predpismi oznámi túto skutočnosť príslušnému NBÚ. Ak NBÚ informuje ESVČ o odňatí záruky udelenej v súlade s ods. 12 písm. a) osobe, ktorá je držiteľom povolenia na prístup k utajovaným skutočnostiam EÚ, bezpečnostný orgán ESVČ môže požiadať o akékoľvek podrobnosti, ktoré NBÚ môže poskytnúť na základe vnútroštátnych zákonov a iných právnych predpisov. Ak sa negatívne informácie potvrdia, uvedené povolenie sa odníme, danej osobe sa zruší možnosť prístupu k utajovaným skutočnostiam EÚ a táto osoba bude preradená z pozície, kde takáto možnosť prístupu existuje alebo kde by táto osoba mohla predstavovať bezpečnostné riziko.

17.

Každé rozhodnutie o odňatí povolenia na prístup k utajovaným skutočnostiam EÚ členovi personálu ESVČ a podľa okolností dôvody takéhoto odňatia sa oznámia danému členovi, ktorý môže požiadať bezpečnostný orgán ESVČ o vypočutie. Na informácie, ktoré poskytuje NBÚ, sa vzťahujú príslušné zákony a iné právne predpisy platné v dotknutom členskom štáte vrátane tých, ktoré sa týkajú odvolania. Proti rozhodnutiam bezpečnostného orgánu ESVČ možno podať odvolanie v súlade so služobným poriadkom.

18.

Od národných expertov vyslaných do ESVČ na pozícii, ktorá vyžaduje prístup k utajovaným skutočnostiam na stupni utajenia CONFIDENTIEL UE/EU CONFIDENTIAL alebo vyššom, sa požaduje, aby pred začatím vykonávania funkcie predložili bezpečnostnému orgánu ESVČ platné národné previerky personálnej bezpečnosti na účely prístupu k utajovaným skutočnostiam EÚ na príslušnom stupni. Uvedený postup je riadený vysielajúcim členským štátom.

19.

ESVČ spravuje databázu týkajúcu sa štatútu bezpečnostnej previerky všetkého personálu ESVČ, ako aj personálu jej zmluvných partnerov. V týchto záznamoch sa uvádza stupeň utajenia utajovaných skutočností EÚ, ku ktorému sa osobe môže udeliť prístup (CONFIDENTIEL UE/EU CONFIDENTIAL alebo vyšší), dátum udelenia previerky personálnej bezpečnosti a obdobie platnosti.

20.

V členských štátoch a ostatných inštitúciách, agentúrach a orgánoch EÚ sa zavedú príslušné postupy koordinácie s cieľom zaistiť, aby ESVČ mala k dispozícii presné a súhrnné záznamy o štatúte bezpečnostnej previerky celého svojho personálu, ako aj personálu zmluvných partnerov.

21.

Bezpečnostný orgán ESVČ môže vydať certifikát o previerke personálnej bezpečnosti, v ktorom sa uvádza stupeň utajenia utajovaných skutočností EÚ, ku ktorým možno udeliť danej osobe prístup (CONFIDENTIEL UE/EU CONFIDENTIAL alebo vyšší), dátum platnosti príslušnej previerky personálnej bezpečnosti a dátum ukončenia platnosti samotného certifikátu.

22.

Osoby, ktoré majú náležité povolenie na prístup k utajovaným skutočnostiam EÚ z dôvodu svojej funkcie v súlade s vnútroštátnymi zákonmi a inými právnymi predpismi, sú podľa okolností poučené riaditeľstvom pre bezpečnosť ESVČ o svojich bezpečnostných povinnostiach, pokiaľ ide o ochranu utajovaných skutočností EÚ.

23.

Každá osoba pred udelením povolenia na prístup k utajovaným skutočnostiam EÚ písomne potvrdí, že porozumela svojim povinnostiam týkajúcim sa ochrany utajovaných skutočností EÚ a následkom v prípade ich úniku. Záznam o takomto písomnom potvrdení uchováva ESVČ.

24.

Každá osoba, ktorá má povolený prístup k utajovaným skutočnostiam EÚ alebo od ktorej sa vyžaduje, aby s nimi manipulovala, je na začiatku informovaná a ďalej pravidelne poučovaná o ohrozeniach bezpečnosti a je povinná bezodkladne oznámiť príslušným bezpečnostným orgánom každý kontakt alebo aktivitu, ktorú považuje za podozrivú alebo neobvyklú.

25.

Na všetky osoby, ktorým bol udelený prístup k utajovaným skutočnostiam EÚ, sa musia v čase, keď manipulujú s utajenými skutočnosťami EÚ, vzťahovať nepretržité opatrenia v oblasti personálnej bezpečnosti (t. j. následná kontrola). Za nepretržité opatrenia personálnej bezpečnosti zodpovedajú:

26.

Každá osoba, ktorá ukončila zamestnanie vyžadujúce prístup k utajovaným skutočnostiam EÚ, je poučená o svojich povinnostiach naďalej chrániť utajované skutočnosti EÚ, čo v prípade potreby potvrdí písomne.

27.

V naliehavých prípadoch, ktoré sú náležite odôvodnené záujmami ESVČ, môže bezpečnostný orgán ESVČ po porade s NBÚ členského štátu, ktorého je osoba štátnym príslušníkom, do ukončenia úplného bezpečnostného vyšetrovania a na základe predbežných preverení slúžiacich na overenie, či nie sú známe negatívne informácie, udeliť dočasné povolenie úradníkom a iným zamestnancom ESVČ na prístup k utajovaným skutočnostiam EÚ pre konkrétnu úlohu. Úplné bezpečnostné vyšetrovanie sa dokončí čo najskôr. Takéto dočasné povolenie je platné počas obdobia, ktoré nepresahuje šesť mesiacov, a nemôže sa ním povoliť prístup k utajovaným skutočnostiam so stupňom utajenia TRES SECRET UE/EU TOP SECRET. Každá osoba, ktorej sa udelilo dočasné povolenie, písomne potvrdí, že porozumela svojim povinnostiam týkajúcim sa ochrany utajovaných skutočností EÚ a následkom v prípade ich úniku. Záznam o takomto písomnom potvrdení uchováva ESVČ.

28.

Ak má byť osoba pridelená na pozíciu, ktorá vyžaduje previerku personálnej bezpečnosti pre stupeň utajenia, ktorý je o jeden stupeň vyšší ako stupeň utajenia, ktorého je osoba v súčasnosti držiteľom, táto osoba sa dočasne na túto pozíciu môže prideliť, ak:

29.

Uvedený postup sa používa v prípade jednorazového prístupu k utajovaným skutočnostiam EÚ so stupňom utajenia o jeden stupeň vyšším ako stupeň, pre ktorý bola osoba bezpečnostne preverená. Tento postup sa nevyužíva opakovane.

30.

Za veľmi výnimočných okolností, napríklad pri misiách v nepriateľskom prostredí alebo počas obdobia rastúceho medzinárodného napätia, keď to vyžadujú núdzové opatrenia, predovšetkým na účely záchrany životov, môže VP, výkonný generálny tajomník alebo výkonný riaditeľ udeliť, podľa možností písomne, prístup k utajovaným skutočnostiam so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL alebo SECRET UE/EU SECRET osobám, ktoré nie sú držiteľmi potrebnej previerky personálnej bezpečnosti, pod podmienkou, že takéto povolenie je absolútne nevyhnutné a neexistujú nijaké opodstatnené pochybnosti o lojalite, dôveryhodnosti a spoľahlivosti dotknutej osoby. O takomto povolení sa uchováva záznam s uvedením utajovaných skutočností, ku ktorým bol schválený prístup.

31.

V prípade utajovaných skutočností so stupňom utajenia TRES SECRET UE/EU TOP SECRET sa povolenie takéhoto núdzového prístupu obmedzuje na štátnych príslušníkov EÚ, ktorým bol udelený prístup k utajovaným skutočnostiam, ktorých stupeň utajenia na vnútroštátnej úrovni je rovnocenný stupňu utajenia TRES SECRET UE/EU TOP SECRET alebo SECRET UE/EU SECRET.

32.

V prípade uplatnenia postupu stanoveného v bodoch 29 a 30 sa o tejto skutočnosti informuje Bezpečnostný výbor ESVČ.

33.

Bezpečnostnému výboru ESVČ sa zasiela výročná správa o využívaní postupov uvedených v tomto oddiele.

34.

Osoby poverené, aby sa zúčastňovali na zasadnutiach v ústredí ESVČ a v delegáciách Únie, na ktorých sa rokuje o utajovaných skutočnostiach so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL alebo vyšším, sa môžu na týchto zasadnutiach zúčastňovať len na základe potvrdenia o štatúte ich previerky personálnej bezpečnosti. Certifikát o previerke personálnej bezpečnosti alebo iný doklad o previerke personálnej bezpečnosti zástupcov členských štátov a úradníkov z Generálneho sekretariátu Rady a Komisie zasielajú príslušné orgány riaditeľstvu ESVČ pre bezpečnosť, koordinátorovi pre bezpečnosť v delegácii Únie, len vo výnimočných prípadoch ich predkladá dotknutá osoba. V prípade potreby sa môže použiť súhrnný zoznam mien, ktorý poskytuje príslušný doklad o previerke personálnej bezpečnosti.

35.

Ak bola previerka personálnej bezpečnosti na prístup k utajovaným skutočnostiam EÚ odňatá osobe poverenej účasťou na zasadnutiach v ústredí ESVČ a v delegáciách Únie, na ktorých sa rokuje o utajovaných skutočnostiach so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL alebo vyšším, príslušný orgán o tejto skutočnosti okamžite informuje ESVČ.

36.

Ak by osoby, ktoré sa prijmú do zamestnania, mohli pri jeho výkone prípadne získať prístup k utajovaným skutočnostiam so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL alebo vyšším, tieto osoby sa náležite bezpečnostne preveria alebo majú nepretržitý sprievod.

37.

Kuriéri, príslušníci bezpečnostnej služby a sprievodu sú bezpečnostne preverení pre príslušný stupeň utajenia alebo preverení iným vhodným spôsobom v súlade s vnútroštátnymi zákonmi a inými právnymi predpismi, pravidelne poučovaní o bezpečnostných postupoch na ochranu utajovaných skutočností EÚ a informovaní o svojich povinnostiach v súvislosti s ochranou takýchto skutočností, ktoré sú im zverené alebo ku ktorým by mohli neúmyselne získať prístup.

1.

V tejto prílohe sa uvádzajú ustanovenia na vykonávanie článku 6 prílohy A. Stanovujú sa ňou minimálne požiadavky na fyzickú ochranu objektov, budov, kancelárií, miestností a iných oblastí, v ktorých sa manipuluje s utajovanými skutočnosťami EÚ alebo sa v nich uchovávajú, vrátane priestorov, v ktorých sa nachádzajú komunikačné a informačné systémy.

2.

Na zabránenie neoprávnenému prístupu k utajovaným skutočnostiam EÚ sa vypracujú opatrenia fyzickej bezpečnosti, ktorými sa:

3.

Na zabezpečenie úrovne fyzickej ochrany zodpovedajúcej vyhodnotenému riziku uplatňuje ESVČ vo svojich objektoch proces riadenia rizík na ochranu utajovaných skutočností EÚ. V procese riadenia rizík sa zohľadnia všetky relevantné faktory, a to najmä:

4.

Bezpečnostný orgán ESVČ určuje na základe koncepcie hĺbkovej ochrany vhodnú kombináciu opatrení fyzickej bezpečnosti, ktoré sa budú uplatňovať. Môže medzi ne patriť jedno alebo viaceré z týchto kritérií:

5.

Riaditeľstvo ESVČ pre bezpečnosť môže vykonávať pri vstupe a výstupe prehliadky, ktorých cieľom je odradiť od nepovoleného prinesenia vecí alebo nepovoleného odnesenia utajovaných skutočností EÚ z objektov alebo budov.

6.

Ak existuje riziko nahliadnutia do utajených skutočností EÚ, aj keď len náhodného, musia sa prijať primerané opatrenia na zabránenie tomuto riziku.

7.

V prípade nových zariadení sa požiadavky fyzickej bezpečnosti a funkčnej špecifikácie definujú vo fáze plánovania a projektovania zariadení. V prípade existujúcich zariadení sa požiadavky fyzickej bezpečnosti uplatňujú v čo najväčšom rozsahu.

8.

Pri obstarávaní technických zariadení na fyzickú ochranu utajovaných skutočností EÚ (napríklad bezpečnostných úschovných objektov, skartovacích strojov, zámok do dverí, elektronických systémov na kontrolu vstupu, detekčných systémov proti narušeniu, poplachových systémov atď.) bezpečnostný orgán ESVČ zabezpečí, aby takéto zariadenie spĺňalo schválené technické normy a minimálne požiadavky.

9.

Technické špecifikácie zariadení na fyzickú ochranu utajovaných skutočností EÚ sa stanovia v bezpečnostných usmerneniach, ktoré schvaľuje Bezpečnostný výbor ESVČ.

10.

Bezpečnostné systémy podliehajú pravidelnej inšpekcii a na zariadeniach sa vykonáva pravidelná údržba. Pri údržbových prácach sa prihliada na výsledok inšpekcií, aby sa zabezpečilo, že zariadenie stále funguje optimálnym spôsobom.

11.

Pri každej inšpekcii sa opätovne posudzuje účinnosť jednotlivých bezpečnostných opatrení a celého bezpečnostného systému.

12.

Na účely fyzickej ochrany utajovaných skutočností EÚ sa zriadia dva typy fyzicky chránených priestorov alebo rovnocenných priestorov na vnútroštátnej úrovni:

13.

Bezpečnostný orgán ESVČ stanoví, že priestor spĺňa požiadavky na označenie ako administratívny priestor, zabezpečený priestor alebo technicky zabezpečený priestor.

14.

Pokiaľ ide o administratívne priestory:

15.

Pokiaľ ide o zabezpečené priestory:

16.

Ak vstup do zabezpečeného priestoru predstavuje zo všetkých praktických hľadísk priamy prístup k utajovaným skutočnostiam, ktoré obsahuje, uplatňujú sa tieto dodatočné požiadavky:

17.

Zabezpečené priestory chránené proti aktívnemu odpočúvaniu sú označené ako technicky zabezpečené priestory. Uplatňujú sa tieto dodatočné požiadavky:

18.

Bez ohľadu na bod 17 písm. d) bezpečnostný orgán ESVČ skontroluje v prípade, že sa ohrozenie utajovaných skutočností EÚ vyhodnotí ako vysoké, všetky komunikačné zariadenia a elektrické alebo elektronické vybavenie skôr, ako sa použijú v priestoroch, kde sa konajú zasadnutia alebo kde sa pracuje s utajovanými skutočnosťami so stupňom utajenia SECRET UE/EU SECRET a vyšším, aby sa zaistilo, že sa týmito zariadeniami neúmyselne alebo neoprávnene neprenesú za obvod príslušného zabezpečeného priestoru nijaké zrozumiteľné informácie.

19.

V zabezpečených priestoroch, v ktorých nevykonáva personál službu 24 hodín denne, sa podľa potreby vykonávajú kontroly na konci bežného pracovného času a v náhodných intervaloch mimo bežných pracovných hodín, pokiaľ nie je nainštalovaný detekčný systém proti narušeniu.

20.

V prípade stretnutia na účely prerokovania utajovaných skutočností alebo na iné podobné účely sa zabezpečené priestory a technicky zabezpečené priestory môžu dočasne zriadiť v rámci administratívneho priestoru.

21.

Pre každý zabezpečený priestor sa vypracujú operačné bezpečnostné postupy stanovujúce:

22.

V zabezpečených priestoroch sa vybudujú komorové trezory. Steny, podlahy, stropy, okná a uzamykateľné dvere musia byť schválené bezpečnostným orgánom ESVČ a musia poskytovať ochranu, ktorá je rovnocenná ochrane poskytovanej bezpečnostnými úschovnými objektmi schválenými na uchovávanie utajovaných skutočností EÚ s rovnakým stupňom utajenia.

23.

S utajovanými skutočnosťami so stupňom utajenia RESTREINT UE/EU RESTRICTED sa môže manipulovať:

24.

Utajované skutočnosti EÚ so stupňom utajenia RESTREINT UE/EU RESTRICTED sa uchovávajú vo vhodnom uzamknutom kancelárskom nábytku v administratívnom alebo zabezpečenom priestore. Dočasne sa môžu uchovávať mimo zabezpečeného alebo administratívneho priestoru za predpokladu, že držiteľ sa zaviazal dodržiavať kompenzačné opatrenia stanovené v bezpečnostných pokynoch, ktoré vydal bezpečnostný orgán ESVČ.

25.

S utajovanými skutočnosťami EÚ so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL alebo SECRET UE/EU SECRET sa môže manipulovať:

26.

Utajované skutočnosti EÚ so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL a SECRET UE/EU SECRET sa v zabezpečenom priestore uchovávajú v bezpečnostnom úschovnom objekte alebo komorovom trezore.

27.

S utajovanými skutočnosťami EÚ so stupňom utajenia TRES SECRET UE/EU TOP SECRET sa manipuluje v zabezpečenom priestore.

28.

Utajované skutočnosti EÚ so stupňom utajenia TRES SECRET UE/EU TOP SECRET sa uchovávajú v zabezpečenom priestore v ústredí, pričom musí byť splnená jedna z týchto podmienok:

29.

Pravidlá, ktorými sa upravuje prenos utajovaných údajov EÚ medzi fyzicky chránenými priestormi, sa stanovujú v prílohe A III.

30.

Bezpečnostný orgán ESVČ definuje postupy pre správu kľúčov a nastavení kombinácií na prístup do kancelárií, miestností, komorových trezorov a bezpečnostných úschovných objektov. Tieto postupy sú určené na ochranu pred neoprávneným prístupom.

31.

Nastavenia kombinácií do pamäte ukladá čo najmenší možný počet osôb, ktoré ich potrebujú poznať. Nastavenia kombinácií do bezpečnostných úschovných objektov a komorových trezorov, v ktorých sa uchovávajú utajované skutočnosti EÚ, sa menia:

1.

V tejto prílohe sa uvádzajú ustanovenia na vykonávanie článku 7 prílohy A. Stanovujú sa v nej administratívne opatrenia na kontrolu utajovaných skutočností EÚ počas ich životného cyklu s cieľom pomôcť pri odradení od úmyselného alebo náhodného úniku alebo straty takýchto skutočností, zistení tohto úniku alebo straty a pri obnove bezpečnosti.

2.

Informácie sa utajujú, ak je to potrebné na ochranu ich dôvernosti.

3.

Zodpovednosť za určenie stupňa utajenia v súlade s príslušnými usmerneniami pre utajovanie a za šírenie utajovanej skutočnosti EÚ nesie jej pôvodca.

4.

Stupeň utajenia utajovanej skutočnosti EÚ sa stanovuje podľa článku 2 ods. 2 prílohy A a na základe bezpečnostnej politiky, ktorá sa schvaľuje v súlade s článkom 3 ods. 3 prílohy A.

5.

Utajované skutočnosti členských štátov vymieňané s ESVČ sa chránia rovnakým stupňom utajenia ako utajované skutočnosti EÚ s rovnocenným stupňom utajenia. Ekvivalenčná tabuľka je uvedená v prílohe B k rozhodnutiu Rady 2011/292/EÚ z 31. marca 2011 o bezpečnostných predpisoch na ochranu utajovaných skutočností EÚ.

6.

Stupeň utajenia a tam, kde je to vhodné, dátum alebo konkrétna udalosť, po ktorej sa stupeň utajenia môže znížiť alebo zrušiť, sa uvádza jasne a správne bez ohľadu na to, či má utajovaná skutočnosť EÚ písomnú, ústnu, elektronickú či inú podobu.

7.

Jednotlivé časti daného dokumentu (napr. stránky, odseky, oddiely, doplnky, dodatky, pripojenia a prílohy) môžu vyžadovať rôzny stupeň utajenia a podľa toho sa označujú, a to aj vtedy, keď sa uchovávajú v elektronickej podobe.

8.

Dokumenty, ktoré obsahujú časti podliehajúce rozdielnym stupňom utajenia, sa v maximálnej možnej miere usporadúvajú tak, aby sa časti s iným stupňom utajenia dali ľahko identifikovať a v prípade potreby oddeliť.

9.

Celkový stupeň utajenia dokumentu alebo spisu zodpovedá minimálne najvyššiemu stupňu utajenia jeho jednotlivej časti. Keď sa spájajú utajované skutočnosti z rôznych zdrojov, konečný produkt sa preskúma s cieľom určiť celkový stupeň utajenia, keďže môže vyžadovať vyšší stupeň utajenia ako jeho jednotlivé časti.

10.

Stupeň utajenia listu alebo sprievodného listu obsahujúceho prílohy zodpovedá najvyššiemu stupňu utajenia príloh. Pôvodca jednoznačne uvedie stupeň utajenia listu bez príloh, a to príslušným označením, napríklad:

CONFIDENTIEL UE/EU CONFIDENTIAL

Bez prílohy (príloh) RESTREINT UE/EU RESTRICTED

11.

Okrem niektorého z označení stupňa utajenia podľa článku 2 ods. 2 prílohy A môžu mať utajované skutočnosti EÚ aj doplňujúce označenie, napríklad:

12.

Riaditeľstvo ESVČ pre bezpečnosť na základe rozhodnutia o poskytnutí utajovaných skutočností EÚ tretej krajine alebo medzinárodnej organizácii zašle príslušnú utajovanú skutočnosť, ktorá bude obsahovať označenie prístupnosti pre tretiu krajinu alebo medzinárodnú organizáciu, ktorej sa poskytuje.

13.

Bezpečnostný orgán ESVČ prijme zoznam povolených označení.

14.

Na označenie stupňa utajenia jednotlivých odsekov textu sa môžu používať štandardné skrátené označenia stupňov utajenia. Skratky nenahrádzajú plné označenia stupňov utajenia.

15.

Na označenie stupňa utajenia oddielov alebo častí textu, ktoré sú kratšie ako jedna strana, možno v utajených dokumentoch EÚ používať tieto štandardné skratky:

16.

Pri vytvorení utajovaného dokumentu EÚ:

17.

Ak na utajovanú skutočnosť EÚ nemožno uplatniť bod 15, prijmú sa iné primerané opatrenia v súlade s bezpečnostnými usmerneniami, ktoré sa stanovia v zmysle tohto rozhodnutia.

18.

Ak je to možné, predovšetkým v prípade utajovaných skutočností so stupňom utajenia RESTREINT UE/EU RESTRICTED, pôvodca v čase vytvorenia utajovanej skutočnosti EÚ uvedie, či je možné znížiť jej stupeň utajenia alebo utajenie zrušiť k určitému dátumu alebo po istej udalosti.

19.

ESVČ vykonáva pravidelné preskúmanie utajovaných skutočností EÚ, ktorých je držiteľom, aby stanovila, či je naďalej potrebný daný stupeň utajenia. ESVČ zriadi systém, ktorým sa minimálne každých päť rokov posudzuje stupeň utajenia evidovaných utajovaných skutočností EÚ, ktorých je ESVČ pôvodcom. Takéto preskúmanie nie je potrebné, keď pôvodca hneď na začiatku uviedol konkrétny dátum, kedy sa stupeň utajenia danej utajovanej skutočnosti automaticky zníži alebo sa utajenie zruší a utajovaná skutočnosť bola príslušným spôsobom označená.

20.

V ústredí sa zriadi centrálny register. Pre každú organizačnú jednotku ESVČ, v ktorej sa manipuluje s utajovanými skutočnosťami EÚ, sa určí príslušný register podriadený centrálnemu registru s cieľom zabezpečiť manipuláciu s utajovanými skutočnosťami EÚ v súlade s týmto rozhodnutím. Registre sa zriadia ako zabezpečené priestory podľa prílohy A.

V každej delegácii Únie sa zriadi vlastný register utajovaných skutočností EÚ.

Bezpečnostný orgán ESVČ menuje pre tieto registre vedúceho registra.

21.

Na účely tohto rozhodnutia znamená evidencia na bezpečnostné účely (ďalej len „evidencia“) uplatňovanie postupov, ktorými sa zaznamenáva životný cyklus veci vrátane jej distribúcie a zničenia. V prípade komunikačných a informačných systémov sa evidenčné postupy môžu vykonávať v rámci samotného komunikačného a informačného systému.

22.

Všetky veci so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL a vyšším sa evidujú v registroch, keď sa doručia alebo keď opúšťajú organizačnú jednotku vrátane delegácií Únie. Utajované skutočnosti so stupňom utajenia TRES SECRET UE/EU TOP SECRET sa evidujú v osobitných registroch.

23.

Centrálny register predstavuje v rámci ústredia ESVČ hlavné miesto vstupu a výstupu pre výmenu utajovaných skutočností s tretími krajinami a medzinárodnými organizáciami. Uchovávajú sa v ňom záznamy o všetkých výmenách.

24.

VP schvaľuje bezpečnostnú politiku pre oblasť evidencie utajovaných skutočností EÚ na bezpečnostné účely v súlade s článkom 14 tohto rozhodnutia.

25.

V ústredí ESVČ sa určí centrálny register ako centrálny orgán na prijímanie a odosielanie utajovaných skutočností so stupňom utajenia TRES SECRET UE/EU TOP SECRET. V prípade potreby sa môžu zriadiť podriadené registre, aby sa s týmito utajovanými skutočnosťami manipulovalo na účely evidencie.

26.

Tieto podriadené registre nesmú priamo odosielať dokumenty so stupňom utajenia TRES SECRET UE/EU TOP SECRET iným podriadeným registrom toho istého centrálneho registra TRES SECRET UE/EU TOP SECRET alebo externe, pokiaľ to uvedený centrálny register výslovne písomne nepovolí.

27.

Dokumenty so stupňom utajenia TRES SECRET UE/EU TOP SECRET sa nesmú rozmnožovať alebo prekladať bez predchádzajúceho písomného súhlasu pôvodcu.

28.

Keď pôvodca dokumentov so stupňom utajenia SECRET UE/EU SECRET alebo nižším neuvedie nijakú výhradu týkajúcu sa rozmnožovania alebo prekladu, takéto dokumenty sa môžu rozmnožovať alebo prekladať na základe pokynu držiteľa.

29.

Bezpečnostné opatrenia uplatniteľné na pôvodný dokument sa uplatňujú aj na kópie a preklady. Kópie so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL alebo vyšším sa vytvárajú len príslušným registrom (podriadeným registrom) pomocou zabezpečeného kopírovacieho zariadenia. Kópie musia byť evidované.

30.

Na prenos utajovaných skutočností EÚ sa vzťahujú ochranné opatrenia uvedené v bodoch 31 až 41. Bez ohľadu na článok 7 ods. 4 prílohy A je pri prenose utajovaných skutočností EÚ na elektronických médiách možné rozšíriť ochranné opatrenia uvedené ďalej o príslušné technické protiopatrenia podľa pokynov bezpečnostného orgánu ESVČ s cieľom minimalizovať riziko straty alebo úniku.

31.

Bezpečnostný orgán ESVČ vydáva pokyny, ktoré sa týkajú prenosu utajovaných skutočností EÚ, v súlade s týmto rozhodnutím.

32.

Utajované skutočnosti EÚ prenášané v rámci budovy alebo samostatnej skupiny budov sa prenášajú zakryté tak, aby nebolo možné zahliadnuť ich obsah.

33.

Utajované skutočnosti so stupňom utajenia TRES SECRET UE/EU TOP SECRET prenášajú v rámci budovy alebo samostatnej skupiny budov náležite bezpečnostne preverené osoby v zabezpečenej obálke, na ktorej je uvedené len meno adresáta.

34.

Utajované skutočnosti EÚ prenášané medzi budovami alebo objektmi v rámci EÚ sa musia zabaliť tak, aby sa ochránili pred neoprávneným sprístupnením.

35.

Prenos utajovaných skutočností so stupňom utajenia SECRET UE/EU SECRET alebo nižším v rámci EÚ sa uskutočňuje jedným z týchto spôsobov:

V prípade prenosu z jedného členského štátu do iného sa ustanovenia písmena c) vzťahujú len na utajované skutočnosti po stupeň utajenia CONFIDENTIEL UE/EU CONFIDENTIAL.

36.

Veci so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL a SECRET UE/EU SECRET (napr. zariadenia alebo stroje), ktoré nemožno prenášať spôsobom uvedeným v bode 34, sa prepravujú ako náklad obchodnými dopravnými spoločnosťami v súlade s prílohou A V.

37.

Prenos utajovaných skutočností so stupňom utajenia TRES SECRET UE/EU TOP SECRET medzi budovami alebo objektmi v rámci EÚ sa uskutočňuje podľa okolností vojenským, vládnym alebo diplomatickým kuriérom.

38.

Utajované skutočnosti EÚ prenášané z EÚ na územie tretej krajiny alebo medzi subjektmi EÚ v tretích krajinách sa zabalia tak, aby boli chránené pred neoprávneným sprístupnením.

39.

Prenos utajovaných skutočností so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL a SECRET UE/EU SECRET z EÚ na územie tretej krajiny a prenos utajovaných skutočností EÚ až do stupňa utajenia SECRET UE/EU SECRET medzi subjektmi EÚ v tretích krajinách sa uskutočňuje jedným z týchto spôsobov:

40.

Prenos skutočností so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL a SECRET UE/EU SECRET, ktoré EÚ sprístupní tretej krajine alebo medzinárodnej organizácii, sa uskutočňuje v súlade s príslušnými ustanoveniami dohody o bezpečnosti informácií alebo administratívnej dohody podľa článku 10 ods. 2 prílohy A.

41.

Utajované skutočnosti so stupňom utajenia RESTREINT UE/EU RESTRICTED sa môžu prenášať z územia EÚ na územie tretej krajiny aj poštovou alebo komerčnou kuriérskou službou.

42.

Prenos utajovaných skutočností so stupňom utajenia TRES SECRET UE/EU TOP SECRET z EÚ na územie tretej krajiny alebo medzi subjektmi EÚ v tretích krajinách sa uskutočňuje vojenským alebo diplomatickým kuriérom.

43.

Utajované dokumenty EÚ, ktoré už nie sú potrebné, sa môžu zničiť bez toho, aby boli dotknuté príslušné pravidlá a predpisy týkajúce sa archivácie.

44.

Príslušný register ničí dokumenty, ktoré sa musia evidovať v súlade s článkom 7 ods. 2 prílohy A, na základe pokynu držiteľa alebo príslušného orgánu. Denníky a ostatné evidenčné záznamy sa príslušným spôsobom aktualizujú.

45.

Pokiaľ ide o utajované dokumenty so stupňom utajenia SECRET UE/EU SECRET alebo TRES SECRET UE/EU TOP SECRET, ničenie sa vykonáva za prítomnosti svedka, ktorý je preverený minimálne pre stupeň utajenia ničeného dokumentu.

46.

Pracovník registra a svedok, ak sa vyžaduje jeho prítomnosť, podpíšu protokol o zničení, ktorý sa archivuje v registri. V registri sa uchovávajú protokoly o zničení dokumentov so stupňom utajenia TRES SECRET UE/EU TOP SECRET najmenej desať rokov a o zničení dokumentov so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL a SECRET UE/EU SECRET najmenej päť rokov.

47.

Utajované dokumenty vrátane dokumentov so stupňom utajenia RESTREINT UE/EU RESTRICTED sa ničia metódami, ktoré spĺňajú príslušné normy EÚ alebo rovnocenné normy alebo ktoré boli schválené členskými štátmi podľa národných technických noriem, aby sa zabránilo celkovej alebo čiastočnej rekonštrukcii dokumentu.

48.

Médiá na elektronické uchovávanie používané na uchovávanie utajovaných skutočností EÚ sa ničia v súlade s bodom 36 prílohy A IV.

49.

V súlade s článkom 15 tohto rozhodnutia sú do bezpečnostných inšpekcií ESVČ zahrnuté:

50.

Za realizáciu bezpečnostných inšpekcií ESVČ zodpovedá inšpekčný tím riaditeľstva ESVČ pre bezpečnosť, ktorý podľa potreby využíva pomoc bezpečnostných expertov ostatných inštitúcií EÚ alebo členských štátov.

Inšpekčný tím má prístup na všetky miesta, kde sa manipuluje s utajovanými skutočnosťami EÚ, najmä do registrov a k prístupovým bodom do komunikačných a informačných systémov.

51.

Bezpečnostné inšpekcie ESVČ v delegáciách Únie sa môžu vykonávať podľa potreby, s pomocou bezpečnostných úradníkov zastupiteľstiev členských štátov umiestnených v tretích krajinách.

52.

Bezpečnostný orgán ESVČ pred koncom každého kalendárneho roka prijme program inšpekcií ESVČ na nasledujúci rok.

53.

Bezpečnostný orgán ESVČ môže vždy, keď je to potrebné, nariadiť bezpečnostné inšpekcie, ktoré nie sú uvedené v programe.

54.

Po ukončení inšpekcie sa preverovanému subjektu predkladajú hlavné závery a odporúčania. Následne inšpekčný tím vypracuje inšpekčnú správu. Ak sa navrhli nápravné opatrenia alebo odporúčania, do správy sa na účely odôvodnenia záverov zahrnú dostatočne podrobné informácie. Správa sa zasiela bezpečnostnému orgánu ESVČ a vedúcemu preverovaného subjektu.

Riaditeľstvo ESVČ pre bezpečnosť zodpovedá za vypracovanie pravidelnej správy, v ktorej sa vyzdvihnú skúsenosti získané počas inšpekcií v konkrétnom období a ktorú preskúma Bezpečnostný výbor ESVČ.

55.

Riaditeľstvo ESVČ pre bezpečnosť môže podľa okolností poveriť spolupracujúcich expertov, aby sa zapojili do spoločných inšpekčných tímov EÚ vykonávajúcich inšpekcie v agentúrach a orgánoch EÚ zriadených podľa hlavy V kapitoly 2 Zmluvy o EÚ.

56.

Riaditeľstvo ESVČ pre bezpečnosť vypracuje a aktualizuje kontrolný zoznam bezpečnostných inšpekcií obsahujúci body, ktoré je potrebné skontrolovať počas bezpečnostnej inšpekcie ESVČ. Tento kontrolný zoznam sa zasiela Bezpečnostnému výboru ESVČ.

57.

Informácie potrebné na vyplnenie kontrolného zoznamu sa získavajú predovšetkým počas inšpekcie od vedúcich bezpečnostných pracovníkov subjektu, v ktorom sa vykonáva inšpekcia. Po vyplnení podrobných odpovedí sa kontrolný zoznam po dohode so subjektom, v ktorom sa vykonáva inšpekcia, utajuje. Netvorí súčasť inšpekčnej správy.

1.

V tejto prílohe sa uvádzajú vykonávacie ustanovenia k článku 8 prílohy A.

2.

Na účely zaistenia bezpečnosti a správneho fungovania operácií v komunikačných a informačných systémoch sú dôležité tieto vlastnosti a pojmy informačnej bezpečnosti:

3.

Nasledujúce ustanovenia predstavujú základ bezpečnosti každého komunikačného a informačného systému, v ktorom sa manipuluje s utajovanými skutočnosťami EÚ. Podrobné požiadavky na vykonávanie týchto ustanovení sa vymedzia v bezpečnostných politikách a bezpečnostných usmerneniach pre informačnú bezpečnosť.

4.

Riadenie bezpečnostných rizík tvorí neoddeliteľnú súčasť činností pri definovaní, rozvíjaní, prevádzke a údržbe komunikačných a informačných systémov. Riadenie rizík (hodnotenie, zabezpečenie, akceptácia a oznamovanie) spoločne vykonávajú ako nepretržitý proces zástupcovia vlastníkov systému, projektových orgánov, operačných orgánov a orgánov schvaľujúcich bezpečnosť, ktoré uplatňujú overený, transparentný a plne pochopiteľný proces hodnotenia rizík. Na začiatku procesu riadenia rizík sa jednoznačne vymedzí rozsah komunikačného a informačného systému a jeho majetku.

5.

Príslušné orgány ESVČ preskúmajú potenciálne ohrozenia komunikačných a informačných systémov a zabezpečia aktualizované a presné posúdenie ohrození, ktoré zohľadňuje aktuálne operačné prostredie. Nepretržite aktualizujú svoje poznatky o slabinách a pravidelne preverujú posúdenie slabín s cieľom reagovať na meniace sa prostredie v oblasti informačných technológií (IT).

6.

Cieľom riadenia bezpečnostných rizík je uplatňovať súbor bezpečnostných opatrení, čím sa zabezpečí uspokojivá rovnováha medzi požiadavkami používateľov a zvyškovým bezpečnostným rizikom.

7.

Špecifické požiadavky, rozsah a miera podrobnosti stanovená príslušným orgánom bezpečnostnej certifikácie na certifikáciu komunikačného a informačného systému zodpovedajú vyhodnotenému riziku, pričom sa zohľadňujú všetky relevantné faktory vrátane stupňa utajenia utajovaných skutočností, s ktorými sa manipuluje v komunikačnom a informačnom systéme. Certifikácia zahŕňa formálne vyhlásenie o zvyškovom riziku a akceptáciu zvyškového rizika zo strany zodpovedného orgánu.

8.

Zaistenie bezpečnosti predstavuje požiadavku, ktorá musí byť splnená počas celého životného cyklu komunikačného a informačného systému od jeho uvedenia do prevádzky po vyradenie.

9.

Pre každú fázu životného cyklu sa stanoví úloha a interakcia každého účastníka podieľajúceho sa na činnosti komunikačného a informačného systému, pokiaľ ide o jeho bezpečnosť.

10.

Každý komunikačný a informačný systém vrátane technických a iných bezpečnostných opatrení sa počas certifikácie podrobí bezpečnostnému testovaniu, ktorého cieľom je zaručiť, že sa dosiahla náležitá úroveň uplatňovaných bezpečnostných opatrení, a overiť, že tieto opatrenia sa správne vykonávajú, integrujú a konfigurujú.

11.

Počas prevádzky a údržby komunikačného a informačného systému, ako aj v prípade vzniku výnimočných okolností sa pravidelne vykonávajú bezpečnostné hodnotenia, inšpekcie a previerky.

12.

Vývoj bezpečnostnej dokumentácie pre komunikačný a informačný systém počas jeho životného cyklu je neoddeliteľnou súčasťou procesu riadenia zmien a konfigurácií.

13.

ESVČ spolupracuje s GSR, Komisiou a členskými štátmi pri vypracovaní najlepších postupov na ochranu utajovaných skutočností EÚ, s ktorými sa manipuluje v komunikačných a informačných systémoch. Najlepšie postupy vymedzujú technické, fyzické, organizačné a procesné bezpečnostné opatrenia pre komunikačné a informačné systémy s overenou účinnosťou proti daným ohrozeniam a slabinám.

14.

Pri ochrane utajovaných skutočností EÚ, s ktorými sa manipuluje v komunikačných a informačných systémoch, sa využívajú skúsenosti, ktoré získali subjekty zabezpečujúce informačnú bezpečnosť v EÚ i mimo nej.

15.

Šírenie a následné zavádzanie najlepších postupov pomáha dosiahnuť rovnocennú úroveň bezpečnosti rôznych komunikačných a informačných systémov prevádzkovaných ESVČ, v ktorých sa manipuluje s utajovanými skutočnosťami EÚ.

16.

Na zníženie rizika pre komunikačné a informačné systémy sa zavádza škála technických a iných bezpečnostných opatrení, ktoré sa organizujú do viacerých ochranných vrstiev. Tieto opatrenia zahŕňajú:

a)   odradenie: bezpečnostné opatrenia zamerané na odradenie protivníka od plánovania útoku na komunikačný a informačný systém;

b)   predchádzanie: bezpečnostné opatrenia zamerané na zabránenie alebo zastavenie útoku na komunikačný a informačný systém;

c)   detekciu: bezpečnostné opatrenia zamerané na zistenie výskytu útoku na komunikačný a informačný systém;

d)   odolnosť: bezpečnostné opatrenia zamerané na obmedzenie následkov útoku na čo najmenší súbor informácií/majetku komunikačného a informačného systému a zabránenie ďalším škodám; a

e)   obnovu: bezpečnostné opatrenia zamerané na obnovu bezpečnej situácie komunikačného a informačného systému.

Stupeň prísnosti a uplatniteľnosti takýchto bezpečnostných opatrení sa stanovuje na základe hodnotenia rizika.

17.

Príslušné orgány ESVČ zabezpečujú spôsobilosť reagovať na incidenty, ktoré môžu prekročiť hranice organizácie a štátu, koordinovať svoju reakciu a vymieňať si informácie o týchto incidentoch a súvisiacich rizikách (spôsobilosť núdzovej reakcie v súvislosti s počítačmi).

18.

S cieľom vyhnúť sa zbytočnému riziku sa zavádzajú len funkcie, zariadenia a služby potrebné na splnenie operačných požiadaviek.

19.

Používateľom komunikačných a informačných systémov a automatizovaných procesov sa udeľuje len taký prístup, práva alebo oprávnenia, ktoré potrebujú na plnenie svojich úloh, aby sa obmedzili akékoľvek škody vyplývajúce z porúch, omylov alebo neoprávneného využívania zdrojov komunikačných a informačných systémov.

20.

Postupy na účely evidencie, ktorú vykonáva komunikačný a informačný systém, sa v prípade potreby preverujú v rámci certifikačného postupu.

21.

Prvou obrannou líniou bezpečnosti komunikačných a informačných systémov je informovanosť o rizikách a dostupných bezpečnostných opatreniach. Všetci členovia personálu, ktorí prichádzajú do kontaktu s komunikačným a informačným systémom počas jeho životného cyklu, sú poučení:

22.

S cieľom zaistiť pochopenie bezpečnostných povinností sa povinne vykonáva informačno-bezpečnostné vzdelávanie a odborná príprava pre dotknutý personál vrátane vyšších riadiacich pracovníkov a používateľov komunikačných a informačných systémov.

23.

Požadovaná úroveň spoľahlivosti bezpečnostných opatrení, vymedzená ako stupeň spoľahlivosti, sa stanovuje na základe výsledkov procesu riadenia rizík a v súlade s príslušnými bezpečnostnými politikami a bezpečnostnými usmerneniami.

24.

Tento stupeň spoľahlivosti sa preverí pomocou medzinárodne uznávaných alebo vnútroštátne schválených postupov a metodík. Tieto postupy a metodiky predovšetkým zahŕňajú hodnotenie, kontroly a audit.

25.

Kryptografické produkty na ochranu utajovaných skutočností EÚ vyhodnotí a schváli vnútroštátny kryptografický schvaľovací orgán členského štátu.

26.

Predtým, ako sa tieto kryptografické produkty v súlade s článkom 7 ods. 5 tohto rozhodnutia odporučia na schválenie kryptografickému schvaľovaciemu orgánu ESVČ, musia byť úspešne zhodnotené druhou stranou, a to náležite kvalifikovaným orgánom členského štátu, ktorý sa nepodieľal na návrhu ani výrobe zariadenia. Podrobnosť hodnotenia druhou stranou závisí od predpokladaného najvyššieho stupňa utajenia utajovaných skutočností EÚ, ktoré sa majú týmito produktmi chrániť.

27.

Ak si to vyžadujú osobitné operačné okolnosti, kryptografický schvaľovací orgán ESVČ môže na základe odporúčania Bezpečnostného výboru Rady upustiť od požiadaviek uvedených v bodoch 25 alebo 26 a udeliť v súlade článkom 7 ods. 5 tohto rozhodnutia dočasné povolenie na určité obdobie.

28.

Náležite kvalifikovaným orgánom je kryptografický schvaľovací orgán členského štátu certifikovaný na základe kritérií stanovených Radou na vykonanie druhého hodnotenia kryptografických produktov na ochranu utajovaných skutočností EÚ.

29.

Bezpečnostnú politiku pre oblasť kvalifikovania a schvaľovania nekryptografických bezpečnostných produktov IT schvaľuje vysoká predstaviteľka.

30.

Bez ohľadu na ustanovenia tohto rozhodnutia sa pri prenose utajovaných skutočností EÚ, ktorý sa uskutočňuje v rámci zabezpečených priestorov, môže používať nešifrovaná distribúcia alebo šifrovanie na nižšej úrovni, ak to umožňuje výsledok procesu riadenia rizík a ak to schválil orgán bezpečnostnej certifikácie.

31.

Na účely tohto rozhodnutia znamená prepojenie priame spojenie dvoch alebo viacerých systémov IT na účely spoločného využívania údajov a iných informačných zdrojov (napr. komunikačných), ktoré môže byť jednosmerné alebo viacsmerné.

32.

Komunikačný a informačný systém pristupuje ku každému pripojenému systému IT ako k nedôveryhodnému a na kontrolu výmeny utajovaných skutočností uplatňuje ochranné opatrenia.

33.

Všetky prepojenia komunikačných a informačných systémov s iným systémom IT spĺňajú tieto základné požiadavky:

34.

Certifikovaný komunikačný a informačný systém nesmie mať nijaké prepojenie s nechránenou alebo verejnou sieťou okrem prípadov, keď má komunikačný a informačný systém schválenú obvodovú ochranu nainštalovanú na tento účel na rozhraní medzi daným komunikačným a informačným systémom a nechránenou alebo verejnou sieťou. Bezpečnostné opatrenia týkajúce sa takéhoto prepojenia prehodnocuje príslušný orgán pre informačnú bezpečnosť a schvaľuje príslušný orgánu bezpečnostnej certifikácie.

Keď sa nechránená alebo verejná sieť používa výhradne ako nosič dát, ktoré sú šifrované kryptografickým produktom schváleným v súlade s článkom 7 ods. 5 tohto rozhodnutia, toto spojenie sa nepovažuje za prepojenie.

35.

Priame alebo kaskádové prepojenie komunikačného a informačného systému certifikovaného na manipuláciu s utajovanými skutočnosťami so stupňom utajenia TRES SECRET UE/EU TOP SECRET s nechránenou alebo verejnou sieťou je zakázané.

36.

Elektronické médiá na uchovávanie sa zničia v súlade s postupom schváleným bezpečnostným orgánom ESVČ.

37.

Elektronické médiá na uchovávanie je možné opätovne používať a ich stupeň utajenia znížiť alebo zrušiť v súlade s bezpečnostnou politikou stanovenou článkom 7 ods. 2 tohto rozhodnutia.

38.

Bez ohľadu na ustanovenia tohto rozhodnutia sa môžu v mimoriadnych situáciách, ako napríklad pri bezprostredne hroziacej kríze alebo počas krízy, konfliktu, vojnového stavu alebo pri výnimočných operačných okolnostiach, na obmedzený čas uplatňovať osobitné postupy uvedené ďalej v texte.

39.

Utajované skutočnosti EÚ sa môžu so súhlasom príslušného orgánu prenášať šifrované kryptografickými produktmi, ktoré boli schválené pre nižší stupeň utajenia, alebo nešifrované, pokiaľ by akékoľvek zdržanie spôsobilo škody, ktoré jednoznačne prevyšujú škodu spôsobenú neoprávnenou manipuláciou s utajovanou vecou, a ak

40.

Utajované skutočnosti prenášané za okolností uvedených v bode 39 nesmú mať nijaké označenia alebo odkazy, ktorými by sa odlišovali od neutajovanej skutočnosti alebo skutočnosti, ktorá sa môže chrániť dostupným šifrovacím produktom. Príjemcovia sa o stupni utajenia skutočnosti bezodkladne informujú iným spôsobom.

41.

V prípade uplatnenia ustanovení bode 39 sa následne zasiela správa riaditeľstvu ESVČ pre bezpečnosť a prostredníctvom neho Bezpečnostnému výboru ESVČ. V tejto správe sa uvedie aspoň odosielateľ, príjemca a pôvodca jednotlivých utajovaných skutočností EÚ.

42.

V ESVČ sa zriadia nasledujúce orgány v oblasti informačnej bezpečnosti. Tieto funkcie nemusia byť združené v jednej organizačnej jednotke. Majú samostatné mandáty. Tieto funkcie a ich súvisiace povinnosti sa však môžu spojiť alebo zlúčiť do jednej organizačnej jednotky alebo rozdeliť do rôznych organizačných jednotiek pod podmienkou, že nedochádza k vnútornému konfliktu záujmov alebo úloh.

43.

Orgán pre informačnú bezpečnosť zodpovedá za:

44.

Orgán pre TEMPEST zodpovedá za zabezpečenie súladu komunikačných a informačných systémov s politikami a usmerneniami TEMPEST. Schvaľuje protiopatrenia TEMPEST pre zariadenia a produkty na ochranu utajovaných skutočností EÚ pre určený stupeň utajenia v danom operačnom prostredí.

45.

Kryptografický schvaľovací orgán je zodpovedný za zaistenie súladu kryptografických produktov s príslušnou kryptografickou politikou. Schvaľuje kryptografické produkty na ochranu utajovaných skutočností EÚ pre určený stupeň utajenia v danom operačnom prostredí.

46.

Kryptografický distribučný orgán zodpovedá za:

47.

Orgán bezpečnostnej certifikácie každého systému zodpovedá za:

48.

Orgán bezpečnostnej certifikácie ESVČ je zodpovedný za certifikáciu všetkých komunikačných a informačných systémov v rámci pôsobnosti ESVČ.

49.

Spoločná komisia pre bezpečnostnú certifikáciu je zodpovedná za certifikáciu komunikačných a informačných systémov, ktoré patria zároveň do pôsobnosti orgánu bezpečnostnej certifikácie ESVČ a orgánu bezpečnostnej certifikácie členských štátov. Tvoria ju zástupcovia orgánu bezpečnostnej certifikácie jednotlivých členských štátov a na jej zasadnutiach je prítomný zástupca orgánu bezpečnostnej certifikácie GSR a Komisie. Iné subjekty s uzlami v určitom komunikačnom a informačnom systéme sa prizývajú na zasadnutie, keď sa rokuje o danom systéme.

Predsedom komisie pre bezpečnostnú certifikáciu je zástupca orgánu bezpečnostnej certifikácie ESVČ. Orgán bezpečnostnej certifikácie sa uznáša konsenzom zástupcov orgánu bezpečnostnej certifikácie inštitúcií, členských štátov a iných subjektov s uzlami v danom komunikačnom a informačnom systéme. Podáva pravidelné správy o svojej činnosti Bezpečnostnému výboru ESVČ a oznamuje mu všetky vydané potvrdenia o certifikácii.

50.

Operačný orgán pre informačnú bezpečnosť každého systému zodpovedá za:

1.

V tejto prílohe sa uvádzajú vykonávacie ustanovenia k článku 9 prílohy A. Stanovujú sa ňou všeobecné bezpečnostné ustanovenia uplatniteľné na priemyselné alebo iné subjekty počas rokovaní pred uzatvorením zmluvy a počas celého životného cyklu utajovanej zmluvy s ESVČ.

2.

Politiku pre oblasť priemyselnej bezpečnosti schvaľuje vysoká predstaviteľka. V tejto politike sú zahrnuté predovšetkým podrobné požiadavky týkajúce sa previerky bezpečnosti zariadenia, bezpečnostných doložiek, návštev a prenosu utajovaných skutočností EÚ.

3.

Pred začatím výberového konania alebo uzatvorením utajovanej zmluvy určí ESVČ ako verejný obstarávateľ stupeň utajenia všetkých utajovaných skutočností, ktoré sa majú poskytnúť uchádzačom a dodávateľom, ako aj stupeň utajenia všetkých skutočností, ktoré dodávateľ vytvorí. ESVČ na tento účel pripraví usmernenia na určovanie stupňa utajenia, ktoré sa budú uplatňovať pri plnení zmluvy.

4.

Pri určovaní stupňa utajenia rôznych prvkov utajovanej zmluvy sa uplatňujú tieto zásady:

5.

V bezpečnostnej doložke sú opísané bezpečnostné požiadavky špecifické pre zmluvu. Ak je to vhodné, bezpečnostná doložka obsahuje usmernenia na určovanie stupňa utajenia a tvorí neoddeliteľnú súčasť utajovanej zmluvy alebo subdodávateľskej zmluvy.

6.

V bezpečnostnej doložke sa uvádzajú ustanovenia, podľa ktorých musí dodávateľ a/alebo subdodávateľ dodržiavať minimálne normy stanovené v tomto rozhodnutí. Nedodržanie týchto minimálnych noriem sa môže považovať za dostatočný dôvod na vypovedanie zmluvy.

7.

V závislosti od rozsahu programov alebo projektov, ktorých súčasťou je manipulácia s utajovanými skutočnosťami EÚ alebo uchovávanie, môže verejný obstarávateľ poverený riadením programu alebo projektu pripraviť špecifické bezpečnostné pokyny pre program/projekt. Bezpečnostné pokyny pre program/projekt si vyžadujú schválenie zo strany NBÚ/povereného bezpečnostného orgánu členského štátu alebo ktoréhokoľvek iného príslušného bezpečnostného orgánu členských štátov zapojeného do programu/projektu a môžu obsahovať dodatočné bezpečnostné požiadavky.

8.

Riaditeľstvo ESVČ pre bezpečnosť požiada NBÚ alebo poverený bezpečnostný orgán alebo iný príslušný bezpečnostný orgán dotknutého členského štátu o udelenie previerky bezpečnosti zariadenia, aby v súlade s vnútroštátnymi zákonmi a inými právnymi predpismi preukázal, že priemyselný alebo iný subjekt je schopný vo svojich zariadeniach chrániť utajované skutočnosti EÚ na príslušnom stupni utajenia (CONFIDENTIEL UE/EU CONFIDENTIAL alebo SECRET UE/EU SECRET). Dodávateľovi, subdodávateľovi alebo potenciálnemu dodávateľovi či subdodávateľovi sa neumožní ani neudelí prístup k utajovaným skutočnostiam EÚ, kým sa ESVČ nedoručí doklad o previerke bezpečnosti zariadenia.

9.

V prípade potreby ESVČ ako verejný obstarávateľ oznámi príslušnému NBÚ/poverenému bezpečnostnému orgánu alebo ktorémukoľvek inému príslušnému bezpečnostnému orgánu, že previerka bezpečnosti zariadenia je potrebná vo fáze pred uzatvorením zmluvy alebo na účely plnenia zmluvy. Previerka bezpečnosti zariadenia alebo previerka personálnej bezpečnosti sa vyžaduje vo fáze pred uzatvorením zmluvy, ak sa počas predkladania ponúk musia poskytnúť utajované skutočnosti EÚ so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL alebo SECRET UE/EU SECRET.

10.

ESVČ ako verejný obstarávateľ neuzatvorí utajovanú zmluvu s uchádzačom, ktorého uprednostňuje, kým mu NBÚ/poverený bezpečnostný orgán alebo ktorýkoľvek iný príslušný bezpečnostný orgán členského štátu, v ktorom má dotknutý dodávateľ alebo subdodávateľ sídlo, nepotvrdí, že príslušná previerka bezpečnosti zariadenia bola v potrebných prípadoch vydaná.

11.

ESVČ ako verejný obstarávateľ požiada príslušný NBÚ/poverený bezpečnostný orgán alebo ktorýkoľvek iný príslušný bezpečnostný orgán, ktorý vydal previerku bezpečnosti zariadenia, aby ju informoval o všetkých negatívnych skutočnostiach, ktoré majú vplyv na previerku bezpečnosti zariadenia. V prípade subdodávateľskej zmluvy sa príslušným spôsobom informuje NBÚ/poverený bezpečnostný orgán alebo ktorýkoľvek iný príslušný bezpečnostný orgán.

12.

Odňatie previerky bezpečnosti zariadenia príslušným NBÚ/povereným bezpečnostným orgánom alebo ktorýmkoľvek iným príslušným bezpečnostným orgánom predstavuje pre ESVČ ako verejného obstarávateľa dostatočný dôvod na vypovedanie utajovanej zmluvy alebo na vylúčenie uchádzača zo súťaže.

13.

Všetci členovia personálu pracujúceho pre dodávateľov, ktorí potrebujú prístup k utajovaným skutočnostiam EÚ so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL alebo vyšším, sú náležite bezpečnostne preverení a potrebujú poznať skutočnosti, ku ktorým majú prístup. Aj keď prístup k utajovaným skutočnostiam EÚ so stupňom utajenia RESTREINT UE/EU RESTRICTED si nevyžaduje previerku personálnej bezpečnosti, zásada potreby poznať je pre takýto prístup platná.

14.

Žiadosti o previerku personálnej bezpečnosti pre personál zmluvného dodávateľa sa predkladajú NBÚ/poverenému bezpečnostnému orgánu zodpovednému za príslušný subjekt.

15.

ESVČ oznámi zmluvným dodávateľom, ktorí chcú zamestnať štátneho príslušníka tretej krajiny vo funkcii vyžadujúcej prístup k utajovaným skutočnostiam EÚ, že za určenie možnosti udeliť danej osobe prístup k takýmto skutočnostiam v súlade s týmto rozhodnutím a za potvrdenie, že pred udelením takéhoto prístupu bol určite poskytnutý súhlas pôvodcu, zodpovedá NBÚ/poverený bezpečnostný orgán členského štátu, v ktorom má zamestnávajúci subjekt sídlo a v ktorom je zapísaný do registra.

16.

V prípade, že sa utajované skutočnosti EÚ uchádzačovi poskytujú vo fáze pred uzatvorením zmluvy, výzva na predkladanie ponúk obsahuje ustanovenie, že predkladateľ ponuky, ktorý nepredloží ponuku alebo nie je vybratý, je povinný v stanovenej lehote vrátiť všetky utajované dokumenty.

17.

Po uzatvorení utajovanej zmluvy alebo subdodávateľskej zmluvy oznámi ESVČ ako verejný obstarávateľ NBÚ/poverenému bezpečnostnému orgán alebo ktorémukoľvek inému príslušnému bezpečnostnému orgánu daného dodávateľa alebo subdodávateľa bezpečnostné ustanovenia utajovanej zmluvy.

18.

Keď sa takéto zmluvy vypovedajú alebo skončí ich účinnosť, ESVČ ako verejný obstarávateľ (a/alebo NBÚ/poverený bezpečnostný orgán alebo podľa okolností ktorýkoľvek iný príslušný bezpečnostný orgán v prípade subdodávateľskej zmluvy) túto skutočnosť bezodkladne oznámi NBÚ/poverenému bezpečnostnému orgánu alebo inému príslušnému bezpečnostnému orgánu členského štátu, v ktorom má dodávateľ alebo subdodávateľ sídlo.

19.

Od dodávateľov alebo subdodávateľov sa spravidla požaduje, aby po vypovedaní utajovanej zmluvy alebo subdodávateľskej zmluvy alebo skončení jej účinnosti vrátili verejnému obstarávateľovi všetky utajované skutočnosti EÚ, ktorých sú držiteľmi.

20.

Osobitné ustanovenia týkajúce sa manipulácie s utajovanými skutočnosťami EÚ počas plnenia zmluvy alebo po jej vypovedaní či skončení jej účinnosti sú uvedené v bezpečnostnej doložke.

21.

Ak sa dodávateľovi alebo subdodávateľovi povolí, aby si ponechal utajované skutočnosti EÚ po vypovedaní zmluvy alebo skončení jej účinnosti, dodávateľ alebo subdodávateľ musí naďalej spĺňať minimálne normy uvedené v tomto rozhodnutí a chrániť dôvernosť utajovaných skutočností EÚ.

22.

Podmienky, za ktorých môže dodávateľ uzatvárať subdodávateľské zmluvy, sa vymedzujú vo výzve na predkladanie ponúk a v zmluve.

23.

Dodávateľ musí získať povolenie od ESVČ ako verejného obstarávateľa pred tým, ako zadá niektorú z častí utajovanej zmluvy subdodávateľom. Nesmie sa uzatvoriť nijaká subdodávateľská zmluva s priemyselnými alebo inými subjektmi so sídlom v štáte, ktorý nie je členským štátom EÚ a neuzavrel s EÚ dohodu o bezpečnosti informácií.

24.

Dodávateľ je zodpovedný za zabezpečenie toho, aby boli všetky subdodávateľské činnosti realizované v súlade s minimálnymi normami stanovenými v tomto rozhodnutí, a nesmie poskytnúť utajované skutočnosti EÚ subdodávateľovi bez predchádzajúceho písomného súhlasu verejného obstarávateľa.

25.

Pokiaľ ide o utajované skutočnosti EÚ, ktoré vytvoril alebo s ktorými manipuluje dodávateľ alebo subdodávateľ, práva pôvodcu vykonáva verejný obstarávateľ.

26.

Ak ESVČ, dodávatelia alebo subdodávatelia potrebujú na účely plnenia utajovanej zmluvy prístup k utajovaným skutočnostiam so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL a SECRET UE/EU SECRET v objektoch druhej strany, spoločne organizujú návštevy v spolupráci s NBÚ/povereným bezpečnostným orgánom alebo ktorýmkoľvek iným dotknutým príslušným bezpečnostným orgánom. NBÚ/povereným bezpečnostným orgánom môže bez toho, aby boli dotknuté jeho osobitné právomoci, súhlasiť v súvislosti so špecifickými projektmi aj s postupom, pri ktorom sa takéto návštevy organizujú priamo.

27.

Všetci návštevníci sú držiteľmi príslušných previerok personálnej bezpečnosti a majú potrebu poznať na účely prístupu k utajovaným skutočnostiam EÚ, ktoré sa týkajú zmluvy s ESVČ.

28.

Návštevníkom sa udelí prístup len k utajovaným skutočnostiam EÚ, ktoré sa týkajú účelu návštevy.

29.

Pokiaľ ide o prenos utajovaných skutočností EÚ elektronickými prostriedkami, uplatňujú sa príslušné ustanovenia článku 8 prílohy A a prílohy A IV.

30.

Pokiaľ ide o prenos utajovaných skutočností EÚ fyzickými prostriedkami, uplatňujú sa príslušné ustanovenia prílohy A III v súlade s vnútroštátnymi zákonmi a inými právnymi predpismi.

31.

Pri určovaní bezpečnostných opatrení na prepravu utajovaných vecí ako nákladu sa uplatňujú tieto zásady:

32.

Postúpenie utajovaných skutočností EÚ dodávateľom a subdodávateľom so sídlom v tretích krajinách, ktoré uzatvorili s EÚ platnú dohodu o bezpečnosti, sa uskutoční v súlade s bezpečnostnými opatreniami dohodnutými medzi ESVČ ako verejným obstarávateľom a NBÚ/povereným bezpečnostným orgánom dotknutej tretej krajiny, v ktorej má dodávateľ sídlo.

33.

ESVČ ako verejný obstarávateľ môže podľa potreby v spolupráci s NBÚ/povereným bezpečnostným orgánom členského štátu a na základe zmluvných ustanovení vykonávať návštevy zariadení dodávateľa/subdodávateľa s cieľom preveriť, či sa uplatňujú príslušné bezpečnostné opatrenia potrebné na ochranu utajovaných skutočností EÚ so stupňom utajenia RESTREINT UE/EU RESTRICTED, ako sa to požaduje v zmluve.

34.

ESVČ ako verejný obstarávateľ informuje NBÚ/poverený bezpečnostný orgán alebo ktorékoľvek iné príslušné bezpečnostné orgány o zmluvách alebo subdodávateľských zmluvách, ktoré obsahujú utajované skutočnosti so stupňom utajenia RESTREINT UE/EU RESTRICTED, a to v takom rozsahu, ako to ukladajú vnútroštátne zákony a iné právne predpisy.

35.

Previerka bezpečnosti zariadenia ani previerka personálnej bezpečnosti pre dodávateľov alebo subdodávateľov a ich personál sa nevyžaduje pre zmluvy ESVČ, ktoré obsahujú utajované skutočnosti so stupňom utajenia RESTREINT UE/EU RESTRICTED.

36.

ESVČ ako verejný obstarávateľ, bez ohľadu na akékoľvek požiadavky stanovené vnútroštátnymi zákonmi a inými právnymi predpismi o previerke bezpečnosti zariadenia alebo previerke personálnej bezpečnosti, preskúma odpovede na výzvy na predloženie ponuky, ktoré sa týkajú zmlúv, v rámci ktorých je potrebný prístup k utajovaným skutočnostiam so stupňom utajenia RESTREINT UE/EU RESTRICTED.

37.

Podmienky, za ktorých môže dodávateľ uzatvárať subdodávateľské zmluvy, sú v súlade s bodmi 22 až 24.

38.

Ak sa v rámci zmluvy manipuluje s utajovanými skutočnosťami so stupňom utajenia RESTREINT UE/EU RESTRICTED v komunikačnom a informačnom systéme, ktorý prevádzkuje dodávateľ, ESVČ ako verejný obstarávateľ zabezpečí, aby sa v zmluve alebo subdodávateľskej zmluve uvádzali potrebné technické a administratívne požiadavky týkajúce sa certifikácie komunikačného a informačného systému zodpovedajúce vyhodnotenému riziku, pričom sa zohľadnia všetky relevantné faktory. Rozsah certifikácie takého komunikačného a informačného systému dohodnú verejný obstarávateľ a príslušný NBÚ/poverený bezpečnostný orgán.

1.

V tejto prílohe sa uvádzajú vykonávacie ustanovenia k článku 10 prílohy A.

2.

ESVČ môže vymieňať utajované skutočnosti EÚ s tretími krajinami alebo medzinárodnými organizáciami v súlade s článkom 10 ods. 1 prílohy A.

S cieľom pomôcť VP pri plnení povinností stanovených v článku 218 ZFEU:

3.

Tam, kde dohody o bezpečnosti informácií stanovujú potrebu dohodnúť technické vykonávacie opatrenia medzi riaditeľstvom ESVČ pre bezpečnosť (v koordinácii s riaditeľstvom pre bezpečnosť Generálneho riaditeľstva Európskej komisie pre ľudské zdroje a bezpečnosť a bezpečnostným úradom Generálneho sekretariátu Rady) a príslušným bezpečnostným orgánom dotknutej tretej krajiny alebo medzinárodnej organizácie, takéto opatrenia zohľadnia úroveň ochrany poskytovanej bezpečnostnými predpismi, štruktúrami a postupmi platnými v dotknutej tretej krajine alebo medzinárodnej organizácii.

4.

V prípade existencie dlhodobej potreby výmeny utajovaných skutočností so stupňom utajenia nie vyšším ako RESTREINT UE/EU RESTRICTED medzi ESVČ a treťou krajinou alebo medzinárodnou organizáciou a ak sa stanovilo, že daná strana nemá dostatočne rozvinutý bezpečnostný systém na to, aby sa s ňou mohla uzatvoriť dohoda o bezpečnosti informácií, môže VP na základe jednomyseľného súhlasu Bezpečnostného výboru ESVČ v súlade s článkom 14 ods. 5 tohto rozhodnutia uzatvoriť s príslušnými bezpečnostnými orgánmi danej tretej krajiny alebo medzinárodnej organizácie administratívnu dohodu.

5.

S treťou krajinou alebo medzinárodnou organizáciou sa nesmú vymieňať nijaké utajované skutočnosti EÚ elektronickými prostriedkami, pokiaľ sa to výslovne nestanoví v dohode o bezpečnosti informácií alebo v administratívnej dohode.

6.

Na základe administratívnej dohody o výmene utajovaných skutočností stanoví ESVČ a tretia krajina alebo medzinárodná organizácia register ako hlavné miesto vstupu a výstupu pre výmenu utajovaných skutočností. V prípade ESVČ to bude centrálny register ESVČ.

7.

Administratívne dohody majú spravidla formu výmeny listov.

8.

Hodnotiace návštevy podľa článku 16 tohto rozhodnutia sa vykonávajú na základe vzájomnej dohody s dotknutým tretím štátom alebo medzinárodnou organizáciou a hodnotia:

9.

Žiadne utajované skutočnosti EÚ nebudú vymenené skôr, ako sa uskutoční hodnotiaca návšteva a nestanoví sa úroveň, na ktorej sa môžu vymieňať utajované skutočnosti medzi stranami, a to na základe rovnocennosti úrovne ochrany, ktorá bude poskytnutá.

Ak je v čase prípravy tejto hodnotiacej návštevy VP informovaný o mimoriadnych alebo naliehavých dôvodoch na výmenu utajovaných skutočností, ESVČ:

Ak ESVČ nemôže určiť pôvodcu, bezpečnostný orgán ESVČ prevezme zodpovednosť pôvodcu po získaní jednomyseľného súhlasného stanoviska Bezpečnostného výboru ESVČ.

10.

Ak existuje rámec v súlade s článkom 10 ods. 1 prílohy A na výmenu utajovaných skutočností s tretím štátom alebo medzinárodnou organizáciou, rozhodnutie o tom, že ESVČ poskytne utajované skutočnosti EÚ tretiemu štátu alebo medzinárodnej organizácii, prijme bezpečnostný orgán ESVČ, ktorý môže túto právomoc delegovať na vyšších úradníkov ESVČ alebo iné osoby, ktorým je nadriadený.

11.

Ak pôvodcom utajovaných skutočností, ktoré sa majú poskytnúť, vrátane pôvodcov zdrojovej veci, ktorú môžu obsahovať, nie je ESVČ, ESVČ najprv získa písomný súhlas pôvodcu s poskytnutím, aby sa určilo, že neexistujú nijaké námietky proti poskytnutiu. Ak ESVČ nemôže určiť pôvodcu, bezpečnostný orgán ESVČ prevezme zodpovednosť pôvodcu po získaní jednomyseľného súhlasného stanoviska zástupcov členských štátov v Bezpečnostnom výbore ESVČ.

12.

Ak neexistuje nijaký z rámcov uvedených v článku 10 ods. 1 prílohy A a ak záujmy EÚ alebo jedného či viacerých členských štátov vyžadujú poskytnutie utajovaných skutočností EÚ z politických, operačných alebo naliehavých dôvodov, výnimočne možno poskytnúť utajované skutočnosti EÚ tretiemu štátu alebo medzinárodnej organizácii po prijatí týchto opatrení.

Bezpečnostné riaditeľstvo ESVČ po zaistení splnenia podmienok uvedených v bode 11:

13.

Ak neexistuje niektorý z rámcov uvedených v článku 10 ods. 1 prílohy A, dotknutá tretia strana sa písomne zaviaže, že bude náležite chrániť utajované skutočnosti EÚ.

„Certifikácia“ je proces vedúci k formálnemu vyhláseniu orgánu bezpečnostnej certifikácie, že systém je schválený na prevádzku so stanoveným stupňom utajenia, v konkrétnom bezpečnostnom režime v príslušnom prevádzkovom prostredí a s prijateľnou mierou rizika, a to za predpokladu, že sa uplatnil schválený súbor technických, fyzických, organizačných a procedurálnych bezpečnostných opatrení.

„Majetok“ je všetko, čo má hodnotu pre organizáciu, jej prevádzkové činnosti a ich kontinuitu vrátane informačných zdrojov, ktoré pomáhajú plniť organizácii jej poslanie.

„Povolenie na prístup k utajovaným skutočnostiam EÚ“ je povolenie bezpečnostného orgánu ESVČ, ktoré sa vydáva na základe tohto rozhodnutia a ukončenej bezpečnostnej previerky vykonanej príslušnými orgánmi členského štátu a ktorým sa potvrdzuje, že osobe sa môže za predpokladu, že sa zistila jej potreba poznať, udeliť prístup k utajovaným skutočnostiam EÚ do určeného stupňa utajenia (CONFIDENTIEL UE/EU CONFIDENTIAL alebo vyššieho) a do určeného dátumu – pozri článok 2 prílohy A I.

„Narušenie bezpečnosti“ je konanie alebo opomenutie zo strany určitej osoby, ktoré je v rozpore s bezpečnostnými pravidlami stanovenými v tomto rozhodnutí a/alebo bezpečnostnými politikami či usmerneniami stanovujúcimi akékoľvek opatrenia potrebné na jeho vykonávanie.

„Životný cyklus komunikačného a informačného systému“ je celkové trvanie existencie komunikačného a informačného systému, ktoré zahŕňa prvotný zámer, koncepciu, plánovanie, analýzu požiadaviek, projektovanie, vývoj, testovanie, uvedenie do prevádzky, prevádzku, údržbu a vyradenie.

„Utajovaná zmluva“ je zmluva medzi ESVČ a dodávateľom o dodaní tovaru, vykonaní prác alebo poskytnutí služieb, ktorej plnenie si vyžaduje alebo zahŕňa prístup k utajovaným skutočnostiam EÚ alebo ich vytvorenie.

„Utajovaná subdodávateľská zmluva“ je zmluva medzi dodávateľom ESVČ a iným dodávateľom (t. j. subdodávateľom) o dodaní tovaru, vykonaní prác alebo poskytnutí služieb, ktorej plnenie si vyžaduje alebo zahŕňa prístup k utajovaným skutočnostiam EÚ alebo ich vytvorenie.

„Komunikačný a informačný systém“ je každý systém, ktorý umožňuje spracovanie informácií v elektronickej podobe. Komunikačný a informačný systém zahŕňa všetky prostriedky potrebné na prevádzku vrátane infraštruktúry, organizácie, ľudských a informačných zdrojov – pozri článok 8 ods. 2 prílohy A.

„Únik utajovaných skutočností EÚ“ je plné alebo čiastočné poskytnutie utajovaných skutočností EÚ neoprávneným osobám alebo subjektom – pozri článok 8 ods. 2.

„Dodávateľ“ je fyzická alebo právnická osoba právne spôsobilá uzatvárať zmluvy.

„Kryptografické produkty“ sú kryptografické algoritmy, kryptografický hardvér a softvérové moduly a produkty vrátane údajov o ich implementácii, príslušnej dokumentácie a kryptografických kľúčov.

„Operácia SBOP“ je operácia vojenského alebo civilného krízového riadenia podľa hlavy V kapitoly 2 Zmluvy o EÚ.

„Zrušenie utajenia“ je odňatie bezpečnostného utajenia.

„Hĺbková ochrana“ je uplatňovanie škály bezpečnostných opatrení, ktoré sa organizujú do viacerých ochranných úrovní.

„Poverený bezpečnostný orgán“ je orgán podliehajúci národnému bezpečnostnému orgánu (NBÚ) členského štátu, ktorý je zodpovedný za informovanie priemyselných alebo iných subjektov o vnútroštátnej politike vo všetkých záležitostiach priemyselnej bezpečnosti a za usmerňovanie a podporu pri jej vykonávaní. Funkcie povereného bezpečnostného orgánu môže vykonávať NBÚ alebo ktorýkoľvek iný príslušný orgán.

„Dokument“ je každá zaznamenaná informácia bez ohľadu na jej podobu alebo vlastnosti.

„Zníženie stupňa utajenia“ je zníženie úrovne utajenia.

„Utajovaná skutočnosť Európskej únie“ (utajovaná skutočnosť EÚ) je každá informácia alebo vec, označená vymedzením stupňa utajenia EÚ, ktorej neoprávnené sprístupnenie by mohlo v rôznej miere poškodiť záujmy Európskej únie alebo jedného či viacerých členských štátov – pozri článok 2 písm. f).

„Previerka bezpečnosti zariadenia“ je správne rozhodnutie NBÚ alebo povereného bezpečnostného orgánu, že z hľadiska bezpečnosti poskytuje zariadenie primeranú ochranu utajovaných skutočností EÚ pre určený stupeň utajenia a jeho zamestnanci, ktorí potrebujú prístup k utajovaným skutočnostiam EÚ, boli primerane bezpečnostne preverení a poučení o príslušných bezpečnostných požiadavkách pre prístup k utajovaným skutočnostiam EÚ a ich ochrane.

„Manipulácia“ s utajovanými skutočnosťami EÚ je akýkoľvek úkon v súvislosti s utajovanými skutočnosťami EÚ, ktorý sa môže vykonať počas ich životného cyklu. Zahŕňa vytvorenie, spracovanie, prenos, zníženie stupňa utajenia, zrušenie utajenia a zničenie. V súvislosti s komunikačnými a informačnými systémami zahŕňa takisto zber, zobrazenie, prenos elektronickými prostriedkami a uchovávanie.

„Držiteľ“ je riadne oprávnená osoba, u ktorej sa zistila potreba poznať a ktorá má v držbe položku utajovaných skutočností EÚ, a preto zodpovedá za jej ochranu.

„Priemyselný alebo iný subjekt“ je subjekt, ktorý dodáva tovar, vykonáva práce alebo poskytuje služby; môže zahŕňať subjekty pôsobiace v oblasti priemyslu, obchodu, služieb, vedy, výskumu, vzdelávania alebo rozvoja alebo samostatne zárobkovo činnú osobu.

„Priemyselná bezpečnosť“ je uplatňovanie opatrení na zabezpečenie ochrany utajovaných skutočností EÚ zo strany dodávateľov alebo subdodávateľov počas rokovaní pred uzatvorením zmluvy a počas celého životného cyklu utajovaných zmlúv – pozri článok 9 ods. 1 prílohy A.

„Informačná bezpečnosť“ v oblasti komunikačných a informačných systémov je záruka, že takéto systémy ochránia informácie, s ktorými sa v nich manipuluje, a budú fungovať vtedy a tak, ako majú, pod dohľadom oprávnených používateľov. Efektívna informačná bezpečnosť zaisťuje primeranú úroveň dôvernosti, integrity, dostupnosti, nespochybniteľnosti a hodnovernosti. Informačná bezpečnosť sa zakladá na procese riadenia rizík – pozri článok 8 ods. 1 prílohy A.

„Prepojenie“ je na účely tohto rozhodnutia priame spojenie dvoch alebo viacerých systémov IT na účely spoločného využívania údajov a iných informačných zdrojov (napr. komunikačných), ktoré môže byť jednosmerné alebo viacsmerné – pozri prílohu A IV bod 31.

„Správa utajovaných skutočností“ je uplatňovanie administratívnych opatrení pri riadení utajovaných skutočností EÚ počas ich životného cyklu s cieľom doplniť opatrenia stanovené v článkoch 5, 6 a 8, a tým pomôcť pri odradení od úmyselného alebo náhodného úniku alebo straty takýchto utajovaných skutočností, pri zistení ich úniku alebo straty a pri obnove bezpečnosti. Takéto opatrenia sa týkajú najmä vytvárania, evidencie, rozmnožovania, prekladu, prenášania, manipulácie uchovávania a ničenia utajovaných skutočností EÚ – pozri článok 7 ods. 1 prílohy A.

„Vec“ je každý dokument alebo položka strojového vybavenia alebo zariadenia, ktorá je vytvorená alebo sa vytvára.

„Pôvodca“ je inštitúcia, agentúra alebo orgán EÚ, členský štát, tretí štát alebo medzinárodná organizácia, v ktorej právomoci sa utajované skutočnosti vytvorili a/alebo zaviedli do štruktúr EÚ.

„Personálna bezpečnosť“ je uplatňovanie opatrení s cieľom zabezpečiť, že sa prístup k utajovaným skutočnostiam EÚ udeľuje len osobám, ktoré:

pozri článok 5 ods. 1 prílohy A.

„Previerka personálnej bezpečnosti“ na prístup k utajovaným skutočnostiam EÚ je vyhlásenie príslušného orgánu členského štátu, ktoré sa vydáva na základe ukončeného bezpečnostného vyšetrovania vykonaného príslušnými orgánmi členského štátu a ktorým sa potvrdzuje, že osobe sa môže za predpokladu, že sa zistila jej potreba poznať, udeliť prístup k utajovaným skutočnostiam EÚ do určeného stupňa utajenia (CONFIDENTIEL UE/EU CONFIDENTIAL alebo vyššieho) a do určeného dátumu; takáto osoba sa označuje ako „bezpečnostne preverená“.

„Certifikát o previerke personálnej bezpečnosti“ je certifikát vydaný príslušným orgánom, ktorým sa potvrdzuje, že osoba je bezpečnostne preverená a je držiteľom platnej národnej previerky personálnej bezpečnosti, a v ktorom sa uvádza stupeň utajenia utajovaných skutočností EÚ, ku ktorým sa môže tejto osobe udeliť prístup (CONFIDENTIEL UE/EU CONFIDENTIAL alebo vyšší), dátum platnosti príslušnej previerky personálnej bezpečnosti a dátum ukončenia platnosti samotného certifikátu.

„Fyzická bezpečnosť“ je uplatňovanie fyzických a technických ochranných opatrení na zamedzenie neoprávneného prístupu k utajovaným skutočnostiam EÚ – pozri článok 6 prílohy A.

„Bezpečnostné pokyny pre program/projekt“ je zoznam bezpečnostných postupov, ktoré sa uplatňujú v rámci konkrétneho programu/projektu s cieľom štandardizovať bezpečnostné postupy. Počas trvania programu/projektu sa môže revidovať.

„Evidencia“ je uplatňovanie postupov, ktoré zaznamenávajú životný cyklus veci vrátane jej šírenia a zničenia, pozri prílohu A III bod 21.

„Zvyškové riziko“ je riziko, ktoré zostáva po uplatnení bezpečnostných opatrení, pokiaľ nie je zabezpečená ochrana proti všetkým ohrozeniam a nie je možné odstrániť všetky slabiny.

„Riziko“ je možnosť, že dané ohrozenie využije vnútorné alebo vonkajšie slabiny organizácie alebo niektorého z používaných systémov a spôsobí tak škodu organizácii a jej hmotnému i nehmotnému majetku. Meria sa ako kombinácia pravdepodobnosti výskytu ohrození a ich vplyvu.

„Akceptácia rizika“ je rozhodnutie znášať ďalšiu existenciu zvyškového rizika po zabezpečení sa proti rizikám.

„Vyhodnotenie rizika“ je určenie ohrození a slabín a vykonanie príslušnej analýzy rizík, t. j. analýzy ich pravdepodobnosti a následkov.

„Oznamovanie rizika“ je rozvíjanie informovanosti o rizikách medzi používateľskými komunitami komunikačných a informačných systémov, informovanie schvaľovacích orgánov o týchto rizikách a podávanie správ o nich operačným orgánom.

„Proces riadenia rizík“ je celkový proces zameraný na určenie, kontrolu a minimalizáciu neistých udalostí, ktoré môžu mať vplyv na bezpečnosť organizácie alebo akéhokoľvek používaného systému. Zahŕňa všetky činnosti vzťahujúce sa na riziká vrátane ich vyhodnocovania, zabezpečenia sa proti nim, akceptácie a oznamovania.

„Zabezpečenie sa proti riziku“ je zmiernenie, odstránenie alebo zmenšenie rizika (prostredníctvom vhodnej kombinácie technických, fyzických, organizačných a procesných opatrení), prenosu rizika alebo jeho monitorovania.

„Bezpečnostná doložka“ je súbor osobitných zmluvných podmienok vydaných zmluvným orgánom, ktorý tvorí neoddeliteľnú súčasť utajovanej zmluvy zahŕňajúcej vytvorenie utajovaných skutočností EÚ alebo prístup k nim a identifikuje bezpečnostné požiadavky alebo prvky vyžadujúce bezpečnostnú ochranu – pozri prílohu A V oddiel II.

„Usmernenia na určovanie stupňa utajenia“ je dokument, v ktorom sa opisujú prvky programu alebo zmluvy, ktoré sa utajujú, s uvedením uplatniteľných bezpečnostných stupňov utajenia. Usmernenia na určovanie stupňa utajenia sa môžu v priebehu programu alebo zmluvy rozšíriť a stupeň utajenia jednotlivých skutočností sa môže zmeniť alebo znížiť. Ak usmernenia na určovanie stupňa utajenia existujú, sú súčasťou bezpečnostnej doložky – pozri prílohu A V oddiel II.

„Bezpečnostné vyšetrovanie“ sú vyšetrovacie postupy vykonávané v súlade so zákonmi a s inými právnymi predpismi dotknutého členského štátu príslušným vnútroštátnym orgánom členského štátu s cieľom získať ubezpečenie, že nie je známe nič, čo by bránilo udeliť osobe národnú previerku personálnej bezpečnosti alebo previerku personálnej bezpečnosti EÚ, ktorou sa danej osobe udeľuje prístup k utajovaným skutočnostiam EÚ do stanoveného stupňa utajenia (CONFIDENTIEL UE/EU CONFIDENTIAL alebo vyššieho).

„Operačné bezpečnostné postupy“ je opis postupu vykonávania bezpečnostnej politiky, ktorá sa prijme, operačných postupov, ktoré sa majú dodržiavať, a povinností personálu.

„Vyhlásenie o bezpečnostných požiadavkách špecifických pre systém“ je záväzný súbor bezpečnostných zásad, ktoré sa majú dodržiavať, a podrobných bezpečnostných požiadaviek, ktoré sa majú vykonať. Tvorí základ certifikácie komunikačných a informačných systémov.

„TEMPEST“ je vyšetrovanie, skúmanie a kontrola elektromagnetického žiarenia predstavujúceho ohrozenie a opatrenia na jeho potlačenie.

„Ohrozenie“ je potenciálna príčina neželaného incidentu, ktorého výsledkom môže byť poškodenie organizácie alebo akéhokoľvek systému, ktorý používa; takéto ohrozenia môžu byť náhodné alebo úmyselné (so zlým úmyslom) a sú charakterizované prvkami hrozby, potenciálnymi cieľmi a metódami útoku.

„Slabina“ je slabá stránka akejkoľvek povahy, ktorú môže zneužiť jedno alebo viacero ohrození. Slabinu môže predstavovať opomenutie alebo sa môže týkať nedostatočnosti kontroly z hľadiska jej intenzity, úplnosti alebo súdržnosti a môže mať technickú, procesnú, fyzickú, organizačnú alebo operačnú povahu.