1.

V tejto prílohe sa uvádzajú vykonávacie ustanovenia k článku 7. Stanovujú sa v nej predovšetkým kritériá, na základe ktorých sa určuje, či osobe pri zohľadnení jej lojality, dôveryhodnosti a spoľahlivosti možno povoliť prístup k utajovaným skutočnostiam EÚ, a preverovacie a správne postupy, ktoré sa majú v tejto súvislosti dodržiavať.

2.

V celej tejto prílohe pojem previerka personálnej bezpečnosti znamená národnú previerku personálnej bezpečnosti (ďalej len „národná PSC“) a/alebo previerku personálnej bezpečnosti EÚ (ďalej len „PSC EÚ“) v zmysle definícií v dodatku A okrem prípadov, keď je dôležité medzi týmito dvoma pojmami rozlišovať.

3.

Osobe sa môže povoliť prístup k utajovaným skutočnostiam so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL alebo vyšším len potom, ako:

4.

Každý členský štát a GSR určia v rámci svojej štruktúry pozície, ktoré si vyžadujú prístup k utajovaným skutočnostiam so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL alebo vyšším a ktoré si teda vyžadujú PSC pre príslušný stupeň.

5.

NSA alebo iné príslušné vnútroštátne orgány sú na základe doručenej a riadne autorizovanej žiadosti zodpovedné za zabezpečenie vykonávania bezpečnostných previerok svojich štátnych príslušníkov, ktorí potrebujú prístup k utajovaným skutočnostiam so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL alebo vyšším. Normy vykonania týchto previerok sú stanovené vnútroštátnymi zákonmi a inými právnymi predpismi.

6.

Ak má príslušná osoba bydlisko na území iného členského štátu alebo tretieho štátu, príslušné vnútroštátne orgány spolupracujú v súlade s vnútroštátnymi zákonmi a inými právnymi predpismi s príslušným orgánom štátu bydliska. Členské štáty si v súlade s vnútroštátnymi zákonmi a inými právnymi predpismi pri vykonávaní bezpečnostných previerok navzájom pomáhajú.

7.

Ak to vnútroštátne zákony a iné právne predpisy umožňujú, NSA alebo iné príslušné vnútroštátne orgány môžu vykonávať previerky cudzích štátnych príslušníkov, ktorí potrebujú prístup k utajovaným skutočnostiam so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL alebo vyšším. Normy vykonania týchto previerok sú stanovené vnútroštátnymi zákonmi a inými právnymi predpismi.

8.

Skutočnosť, či je osoba lojálna, dôveryhodná a spoľahlivá na účely udelenia PSC na prístup k utajovaným skutočnostiam so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL alebo vyšším, sa stanovuje prostredníctvom bezpečnostného vyšetrovania. Príslušný vnútroštátny orgán uskutoční na základe zistení z tohto bezpečnostného vyšetrovania celkové vyhodnotenie. Jednotlivé negatívne zistenia nemusia nevyhnutne predstavovať dôvod na zamietnutie PSC. Prostredníctvom hlavných kritérií, ktoré sa na tento účel uplatňujú, by sa v rozsahu, v ktorom to umožňujú vnútroštátne zákony a iné právne predpisy, malo okrem iného preverovať, či osoba:

9.

Keď je to vhodné, pri bezpečnostnom vyšetrovaní sa môže v súlade s vnútroštátnymi zákonmi a inými právnymi predpismi prihliadať aj na finančnú situáciu a zdravotný stav osoby.

10.

Keď je to vhodné, pri bezpečnostnom vyšetrovaní sa môže v súlade s vnútroštátnymi zákonmi a inými právnymi predpismi prihliadať aj na charakter, konanie a okolnosti manžela/manželky, druha/družky alebo blízkeho rodinného príslušníka.

11.

Prvá PSC na účely prístupu k utajovaným skutočnostiam so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL a SECRET UE/EU SECRET sa zakladá na bezpečnostnom vyšetrovaní, ktoré pokrýva najmenej posledných päť rokov alebo obdobie od dosiahnutia veku 18 rokov do súčasnosti podľa toho, ktoré z týchto období je kratšie, a zahŕňa:

12.

Prvá PSC na účely prístupu k utajovaným skutočnostiam so stupňom utajenia TRÉS SECRET UE/EU TOP SECRET sa zakladá na bezpečnostnom vyšetrovaní, ktoré pokrýva najmenej posledných desať rokov alebo obdobie od dosiahnutia veku 18 rokov do súčasnosti podľa toho, ktoré z týchto období je kratšie. Ak sa uskutočňujú pohovory v zmysle písmena e), vyšetrovanie pokrýva minimálne posledných sedem rokov alebo obdobie od dosiahnutia veku 18 rokov do súčasnosti podľa toho, ktoré z týchto období je kratšie. Okrem kritérií uvedených v bode 8 sa pred udelením PSC pre stupeň utajenia TRÉS SECRET UE/EU TOP SECRET tieto prvky preveria v rozsahu, ktorý umožňujú vnútroštátne zákony a iné právne predpisy; možno ich preveriť aj pred udelením PSC pre stupeň utajenia CONFIDENTIEL UE/EU CONFIDENTIAL a SECRET UE/EU SECRET, ak sa to vyžaduje vo vnútroštátnych zákonoch a iných právnych predpisoch:

13.

V súlade s vnútroštátnymi zákonmi a inými právnymi predpismi sa môže v prípade potreby uskutočniť dodatočné vyšetrovanie zamerané na získanie všetkých dôležitých dostupných informácií o osobe a na preukázanie alebo vyvrátenie negatívnych informácií.

14.

Po prvom udelení PSC a za predpokladu, že osoba neprerušila svoju službu vo verejnej správe alebo v GSR a naďalej potrebuje prístup k utajovaným skutočnostiam EÚ, sa táto PSC preskúma na účely predĺženia v lehotách, ktoré neprekračujú päť rokov v prípade previerky pre stupeň utajenia TRÉS SECRET UE/EU TOP SECRET a 10 rokov v prípade previerky pre stupeň utajenia SECRET UE/EU SECRET a CONFIDENTIEL UE/EU CONFIDENTIAL, ktoré začínajú plynúť od oznámenia výsledku posledného bezpečnostného vyšetrovania, o ktoré sa tieto previerky opierajú. Vo všetkých bezpečnostných vyšetrovaniach na účely predĺženia platnosti PSC sa vyhodnocuje obdobie, ktoré uplynulo od predchádzajúceho vyšetrovania.

15.

Na účely predĺženia platnosti PSC sa preverujú prvky uvedené v bodoch 11 a 12.

16.

Žiadosti o predĺženie platnosti sa podávajú včas tak, aby sa zohľadnil čas potrebný na vykonanie bezpečnostných vyšetrovaní. V prípade, že bola príslušnému NSA alebo inému príslušnému vnútroštátnemu orgánu doručená príslušná žiadosť o predĺženie a zodpovedajúci osobný bezpečnostný dotazník predtým, ako uplynie platnosť PSC, ale potrebné bezpečnostné vyšetrovanie sa ešte neukončilo, príslušný vnútroštátny orgán môže predĺžiť obdobie platnosti PSC o obdobie do 12 mesiacov, ak to umožňujú vnútroštátne zákony a iné právne predpisy. Ak sa ku koncu tohto 12 mesačného obdobia ešte stále bezpečnostné vyšetrovanie neukončilo, osobe sa pridelia úlohy, ktoré si nevyžadujú PSC.

17.

V prípade úradníkov a iných zamestnancov GSR zasiela vyplnený osobný bezpečnostný dotazník národnému bezpečnostnému orgánu členského štátu, ktorého je osoba štátnym príslušníkom, bezpečnostný orgán GSR, ktorý požiada o vykonanie bezpečnostnej previerky pre stupeň utajenia utajovaných skutočností EÚ, ku ktorým bude táto osoba potrebovať prístup.

18.

Ak GSR zistí o osobe, ktorá požiadala o vydanie PSC EÚ, relevantné informácie z hľadiska bezpečnostnej previerky, oznámi túto skutočnosť v súlade s príslušnými pravidlami a predpismi príslušnému NSA.

19.

Po ukončení bezpečnostného vyšetrovania príslušný NSA oznámi bezpečnostnému orgánu GSR výsledok tohto vyšetrovania, a to v príslušnom formáte pre korešpondenciu stanovenom Bezpečnostným výborom.

20.

Na bezpečnostné vyšetrovanie a získané výsledky sa vzťahujú príslušné zákony a iné právne predpisy, ktoré sú platné v dotknutom členskom štáte, vrátane tých, ktoré sa týkajú odvolania. Proti rozhodnutiam menovacieho orgánu GSR možno podať odvolanie v súlade so Služobným poriadkom úradníkov Európskej Únie a podmienkami zamestnávania ostatných zamestnancov Európskej Únie stanovenými v nariadení (EHS, Euratom, ESUO) č. 259/68 (1) (ďalej len „služobný poriadok a podmienky zamestnávania“).

21.

Ubezpečenie, z ktorého PSC EÚ vychádza, je platné pre každú funkciu, ktorú dotknutá osoba vykonáva v GSR alebo v Komisii, za predpokladu, že zostáva platné.

22.

Ak sa obdobie služby osoby nezačne do 12 mesiacov od oznámenia výsledku bezpečnostného vyšetrovania menovaciemu orgánu GSR alebo ak sa služba osoby preruší na obdobie 12 mesiacov, počas ktorých táto osoba nie je zamestnaná v GSR ani na pozícii vo verejnej správe členského štátu, platnosť a náležitosť tohto výsledku sa overí u príslušného NSA.

23.

Ak sa GSR oboznámi s informáciami týkajúcimi sa bezpečnostných rizík, ktoré predstavuje osoba, ktorá je držiteľom platnej PSC EÚ, GSR konajúci v súlade s príslušnými pravidlami a predpismi to oznámi príslušnému NSA. Ak NSA informuje GSR o odňatí ubezpečenia udeleného v súlade s bodom 19 písm. a) osobe, ktorá je držiteľom platnej PSC EÚ, menovací orgán GSR môže požiadať o akékoľvek podrobnosti, ktoré NSA môže na základe vnútroštátnych zákonov a iných právnych predpisov poskytnúť. Ak sa negatívne informácie potvrdia, PSC EÚ sa odníme a osobe sa zruší možnosť prístupu k utajovaným skutočnostiam EÚ a preradí sa z pozícií, kde takáto možnosť prístupu existuje alebo kde by táto osoba mohla predstavovať bezpečnostné riziko.

24.

Každé rozhodnutie o odňatí PSC EÚ úradníka alebo iného zamestnanca GSR a ak je to vhodné, jeho dôvody sa oznámia dotknutej osobe, ktorá môže požiadať o pohovor s menovacím orgánom. Na informácie, ktoré poskytuje NSA, sa vzťahujú príslušné zákony a iné právne predpisy, ktoré sú platné v dotknutom členskom štáte, vrátane tých, ktoré sa týkajú odvolania. Proti rozhodnutiam menovacieho orgánu GSR možno podať odvolanie v súlade so služobným poriadkom a podmienkami zamestnávania.

25.

Od národných expertov vyslaných pracovať v GSR na pozícii, ktorá si vyžaduje PSC EÚ, sa požaduje, aby pred začatím vykonávania funkcie predložili bezpečnostnému orgánu GSR platné národné PSC na účely prístupu k utajovaným skutočnostiam EÚ.

26.

Záznamy o národných PSC, resp. PSC EÚ udelených na účely prístupu k utajovaným skutočnostiam EÚ uchovávajú členské štáty, resp. GSR. Tieto záznamy obsahujú aspoň stupeň utajenia utajovaných skutočností EÚ, ku ktorému sa osobe môže udeliť prístup (CONFIDENTIEL UE/EU CONFIDENTIAL alebo vyšší), dátum udelenia PSC a obdobie platnosti.

27.

Príslušný bezpečnostný orgán môže vydať certifikát o previerke personálnej bezpečnosti (ďalej len PSCC – Personnel Security Clearance Certificate), v ktorom sa uvádza stupeň utajenia utajovaných skutočností EÚ, ku ktorým môže osobe udeliť prístup (CONFIDENTIEL UE/EU CONFIDENTIAL alebo vyšší), dátum platnosti príslušnej národnej PSC na účely prístupu k utajovaným skutočnostiam EÚ, resp. PSC EÚ a dátum ukončenia platnosti samotného certifikátu.

28.

Prístup k utajovaným skutočnostiam EÚ v členských štátoch zo strany osôb, ktoré majú náležité povolenie na základe povahy svojej funkcie, sa stanovuje na základe vnútroštátnych zákonov a iných právnych predpisov; takéto osoby sú poučené o bezpečnostných povinnostiach v súvislosti s ochranou utajovaných skutočností EÚ.

29.

Každá osoba, ktorej sa udelila PSC, písomne potvrdí, že porozumela svojim povinnostiam týkajúcim sa ochrany utajovaných skutočností EÚ a následkom v prípade ich vyzradenia. Záznam o takomto písomnom potvrdení uchováva členský štát, resp. GSR.

30.

Každá osoba, ktorá má povolený prístup k utajovaným skutočnostiam EÚ alebo od ktorej sa vyžaduje, aby s nimi manipulovala, je na začiatku informovaná a ďalej pravidelne poučovaná o ohrozeniach je povinná bezodkladne oznámiť príslušným bezpečnostným orgánom každý kontakt alebo aktivitu, ktoré považujú za podozrivý a neobvyklý.

31.

Každá osoba, ktorá ukončila zamestnanie vyžadujúce si prístup k utajovaným skutočnostiam EÚ, je poučená o svojich povinnostiach naďalej chrániť utajované skutočnosti EÚ, čo potvrdí písomne, ak je to potrebné.

32.

Ak to umožňujú vnútroštátne zákony a iné právne predpisy, previerka personálnej bezpečnosti, ktorú príslušný vnútroštátny orgán členského štátu udelil na účely prístupu k vnútroštátnym utajovaným skutočnostiam, môže na čas, kým sa neudelí národná PSC na prístup k utajovaným skutočnostiam EÚ, úradníkom členského štátu umožniť prístup k utajovaným skutočnostiam EÚ do rovnocenného stupňa utajenia stanoveného podľa ekvivalenčnej tabuľky uvedenej v dodatku B, ak je tento dočasný prístup potrebný z hľadiska záujmov EÚ. V prípade, že vnútroštátne zákony a iné právne predpisy takýto dočasný prístup k utajovaným skutočnostiam EÚ neumožňujú, NSA o tom informujú Bezpečnostný výbor.

33.

V naliehavých prípadoch, ktoré sú náležite odôvodnené záujmami útvaru, môže menovací orgán GSR po porade s NSA členského štátu, ktorého je osoba štátnym príslušníkom, do ukončenia úplnej bezpečnostnej previerky a na základe predbežných preverení slúžiacich na overenie, či nie sú známe negatívne skutočnosti, udeliť dočasné povolenie úradníkom a iným zamestnancom GSR na prístup k utajovaným skutočnostiam EÚ pre konkrétnu úlohu. Takéto dočasné povolenie je platné počas obdobia, ktoré nepresahuje šesť mesiacov, a nemôže sa ním povoliť prístup k utajovaným skutočnostiam so stupňom utajenia TRÉS SECRET UE/EU TOP SECRET. Každá osoba, ktorej sa udelilo dočasné oprávnenie, písomne potvrdí, že porozumela svojim povinnostiam týkajúcim sa ochrany utajovaných skutočností EÚ a následkom v prípade ich vyzradenia. Záznam o takomto písomnom potvrdení uchováva GSR.

34.

Ak má byť osoba pridelená na pozíciu, ktorá si vyžaduje PSC pre stupeň utajenia, ktorý je o jeden stupeň vyšší ako stupeň utajenia, ktorého je osoba v súčasnosti držiteľom, táto osoba sa dočasne na túto pozíciu môže prideliť, ak:

35.

Uvedený postup sa používa v prípade jednorazového prístupu k utajovaným skutočnostiam EÚ so stupňom utajenia o jeden stupeň vyšším ako stupeň, pre ktorý bola osoba bezpečnostne preverená. Tento postup sa nevyužíva opakovane.

36.

Za veľmi výnimočných okolností, t. j. pri misiách v nepriateľskom prostredí alebo počas obdobia rastúceho medzinárodného napätia, keď si to vyžadujú núdzové opatrenia, predovšetkým na účely záchrany životov, môžu členské štáty a generálny tajomník alebo jeho zástupca udeliť, ak je to možné písomne, prístup k utajovaným skutočnostiam so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL alebo SECRET UE/EU SECRET osobám, ktoré nie sú držiteľmi potrebnej PSC pod podmienkou, že takéto povolenie je absolútne nevyhnutné a neexistujú nijaké odôvodnené pochybnosti o lojalite, dôveryhodnosti a spoľahlivosti dotknutej osoby. O takomto povolení sa uchováva záznam s uvedením utajovaných skutočností, ku ktorým bol schválený prístup.

37.

V prípade utajovaných skutočností so stupňom utajenia TRÉS SECRET UE/EU TOP SECRET sa povolenie takéhoto núdzového prístupu obmedzuje na štátnych príslušníkov EÚ, ktorým bol udelený prístup k utajovaným skutočnostiam, ktorých stupeň utajenia na vnútroštátnej úrovni je rovnocenný stupňu utajenia TRÉS SECRET UE/EU TOP SECRET alebo SECRET UE/EU SECRET.

38.

V prípade uplatnenia postupu stanoveného v bodoch 36 a 37 sa o tejto skutočnosti informuje Bezpečnostný výbor.

39.

Ak vnútroštátne zákony a iné právne predpisy členských štátov ustanovujú v súvislosti s dočasným povolením, dočasným pridelením, jednorazovým prístupom alebo núdzovým prístupom osôb k utajovaným skutočnostiam prísnejšie pravidlá, postupy ustanovené v tomto oddiele sa vykonávajú v rámci akýchkoľvek obmedzení stanovených v príslušných vnútroštátnych zákonoch a iných právnych predpisoch.

40.

Bezpečnostnému výboru sa zasiela výročná správa o využívaní postupov uvedených v tomto oddiele.

41.

S výhradou bodu 28 osoby poverené, aby sa zúčastňovali na zasadnutiach Rady alebo jej prípravných orgánov, na ktorých sa rokuje o utajovaných skutočnostiach so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL alebo vyšším, sa môžu na týchto zasadnutiach zúčastňovať, len ak sa potvrdil stav ich PSC. Za delegátov zasielajú PSCC alebo iné doklady o PSC Bezpečnostnému úradu GSR príslušné orgány, alebo vo výnimočných prípadoch ich predkladá dotknutý delegát. V prípade potreby sa môže použiť súhrnný zoznam mien, ktorý poskytuje príslušný doklad o PSC.

42.

Ak sa PSC na prístup k utajovaným skutočnostiam EÚ z bezpečnostných dôvodov odňala osobe, ktorej povinnosti si vyžadujú jej účasť na zasadnutiach Rady alebo jej prípravných orgánov, príslušný orgán o tom informuje GSR.

43.

Ak by osoby, ktoré sa prijmú do zamestnania, mohli pri jeho výkone mať potenciálne prístup k utajovaným skutočnostiam so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL alebo vyšším, tieto osoby sa náležite bezpečnostne preveria alebo majú nepretržitý sprievod.

44.

Kuriéri, príslušníci bezpečnostnej služby a sprievodu sú bezpečnostne preverení pre príslušný stupeň utajenia alebo preverení iným vhodným spôsobom v súlade s vnútroštátnymi zákonmi a inými právnymi predpismi, poučení o bezpečnostných postupoch na ochranu utajovaných skutočností EÚ a informovaní o svojich povinnostiach v súvislosti s ochranou takýchto utajovaných skutočností, ktoré sú im zverené.

1.

V tejto prílohe sa uvádzajú vykonávacie ustanovenia k článku 8. Stanovujú sa v nej minimálne požiadavky fyzickej ochrany objektov, budov, kancelárií, miestností a iných priestorov, v ktorých sa manipuluje s utajovanými skutočnosťami EÚ a v ktorých sa uchovávajú, ako aj priestorov, v ktorých sa nachádzajú CIS.

2.

Na zabránenie neoprávnenému prístupu k utajovaným skutočnostiam EÚ sa vytvoria opatrenia fyzickej bezpečnosti, ktorými sa:

3.

Opatrenia fyzickej bezpečnosti sa zvolia na základe posúdenia ohrozenia, ktoré vykonajú príslušné orgány. Na zabezpečenie úrovne fyzickej ochrany zodpovedajúcej vyhodnotenému riziku uplatňujú GSR a členské štáty vo svojich objektoch proces riadenia rizík na ochranu utajovaných skutočností EÚ. V procese riadenia rizík sa zohľadnia všetky relevantné faktory, a najmä na:

4.

Príslušný bezpečnostný orgán určuje na základe koncepcie hĺbkovej ochrany vhodnú kombináciu opatrení fyzickej bezpečnosti, ktoré sa uplatnia. Môže medzi ne patriť jedno alebo viaceré z týchto kritérií:

5.

Príslušný orgán môže byť oprávnený vykonávať pri vstupe a výstupe prehliadky, ktorých cieľom je odradiť od nepovoleného prinesenia vecí alebo nepovoleného odnesenia utajovaných skutočností EÚ z objektu alebo budovy.

6.

Ak existuje riziko nahliadnutia do utajovaných skutočností EÚ, aj keď len náhodného, musia sa prijať primerané opatrenia na zabránenie tomuto riziku.

7.

V prípade nových zariadení sa požiadavky fyzickej bezpečnosti definujú vo fáze plánovania a projektovania zariadení. V prípade existujúcich zariadení sa požiadavky fyzickej bezpečnosti uplatňujú v čo najväčšom rozsahu.

8.

Pri obstarávaní technických zariadení na fyzickú ochranu utajovaných skutočností EÚ (napríklad bezpečnostných úschovných objektov, skartovacích strojov, zámok do dverí, elektronických systémov na kontrolu vstupu, IDS, poplachových systémov atď.) príslušný bezpečnostný orgán zabezpečuje, že toto zariadenie spĺňa schválené technické normy a minimálne požiadavky.

9.

Technické špecifikácie zariadení na fyzickú ochranu utajovaných skutočností EÚ sa ustanovia v bezpečnostných usmerneniach, ktoré schváli Bezpečnostný výbor.

10.

Bezpečnostné systémy podliehajú pravidelnej inšpekcii a na zariadeniach sa vykonáva pravidelná údržba. Pri údržbových prácach sa prihliada na výsledok inšpekcií, aby sa zabezpečilo, že zariadenie naďalej funguje optimálnym spôsobom.

11.

Pri každej inšpekcii sa opätovne posudzuje účinnosť jednotlivých bezpečnostných opatrení a celého bezpečnostného systému.

12.

Na účely fyzickej ochrany utajovaných skutočností EÚ sa zriadia dva typy fyzicky chránených priestorov alebo im rovnocenných priestorov na vnútroštátnej úrovni:

Všetky odkazy na administratívne zóny a zabezpečené priestory vrátane technicky zabezpečených priestorov v tomto rozhodnutí sa vzťahujú aj na rovnocenné priestory na vnútroštátnej úrovni.

13.

Príslušný bezpečnostný orgán ustanoví, že priestor spĺňa požiadavky na označenie ako administratívna zóna, zabezpečený priestor alebo technicky zabezpečený priestor.

14.

Pokiaľ ide o administratívne zóny:

15.

Pokiaľ ide o zabezpečené priestory:

16.

Ak vstup do zabezpečeného priestoru predstavuje zo všetkých praktických hľadísk priamy prístup k utajovaným skutočnostiam, ktoré obsahuje, uplatňujú sa tieto dodatočné požiadavky:

17.

Zabezpečené priestory chránené proti aktívnemu odpočúvaniu sú ustanovené za technicky zabezpečené priestory. Tieto dodatočné požiadavky sa vzťahujú na:

18.

Bez ohľadu na bod 17 písm. d) v prípade, že sa ohrozenie utajovaných skutočností EÚ vyhodnotí ako vysoké, skontroluje príslušný bezpečnostný orgán všetky komunikačné zariadenia a elektrické alebo elektronické vybavenie predtým, ako sa použijú v priestoroch, kde sa konajú zasadnutia alebo kde sa pracuje s utajovanými skutočnosťami so stupňom utajenia SECRET UE/EU SECRET a vyšším, aby sa zaistilo, že sa týmito zariadeniami neúmyselne alebo neoprávnene neprenesú za perimeter príslušného zabezpečeného priestoru žiadne zrozumiteľné informácie.

19.

V zabezpečených priestoroch, v ktorých nevykonáva službukonajúci personál službu 24 hodín denne, sa podľa potreby vykonávajú kontroly na konci bežného pracovného času a v náhodných intervaloch mimo bežných pracovných hodín, pokiaľ nie je nainštalovaný systém IDS.

20.

V prípade stretnutia s cieľom prerokovať utajované skutočnosti alebo na iné podobné účely sa zabezpečené priestory a technicky zabezpečené priestory môžu dočasne zriadiť v rámci administratívnej zóny.

21.

Pre každý zabezpečený priestor sa vypracujú operačné bezpečnostné postupy, v ktorých sa stanoví:

22.

V zabezpečených priestoroch sa vybudujú komorové trezory. Steny, podlahy, stropy, okná a uzamykateľné dvere musia byť schválené príslušným bezpečnostným orgánom a musia poskytovať ochranu, ktorá je rovnocenná ochrane poskytovanej bezpečnostnými úschovnými objektmi schválenými na uchovávanie utajovaných skutočností EÚ s rovnakým stupňom utajenia.

23.

S utajovanými skutočnosťami so stupňom utajenia RESTREINT UE/EU RESTRICTED sa môže manipulovať:

24.

Utajované skutočnosti EÚ so stupňom utajenia RESTREINT UE/EU RESTRICTED sa uchovávajú vo vhodnom uzamknutom kancelárskom nábytku v administratívnej zóne alebo zabezpečenom priestore. Dočasne je možné ich uchovávať mimo zabezpečeného priestoru alebo administratívnej zóny za predpokladu, že držiteľ týchto utajovaných skutočností sa zaviazal dodržiavať kompenzačné opatrenia ustanovené v bezpečnostných pokynoch, ktoré vydal príslušný bezpečnostný orgán.

25.

S utajovanými skutočnosťami EÚ so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL alebo SECRET UE/EU SECRET sa môže manipulovať:

26.

Utajované skutočnosti EÚ so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL a SECRET UE/EU SECRET sa v zabezpečenom priestore uchovávajú v bezpečnostnom úschovnom objekte alebo komorovom trezore.

27.

S utajovanými skutočnosťami EÚ so stupňom utajenia TRÉS SECRET UE/EU TOP SECRET sa manipuluje v zabezpečenom priestore.

28.

Utajované skutočnosti EÚ so stupňom utajenia TRÉS SECRET UE/EU TOP SECRET sa uchovávajú v zabezpečenom priestore, pričom musí byť splnená jedna z týchto podmienok:

29.

Pravidlá, ktorými sa spravuje prenos utajovaných skutočností EÚ medzi fyzicky chránenými priestormi, sú stanovené v prílohe III.

30.

Príslušný bezpečnostný orgán definuje postupy pre správu kľúčov a nastavení kombinácií na prístup do kancelárií, miestností, komorových trezorov a bezpečnostných úschovných objektov. Tieto postupy sú určené na ochranu proti neoprávnenému prístupu k utajovaným skutočnostiam EÚ.

31.

Nastavenia kombinácií do pamäte ukladá čo najmenší možný počet osôb, ktoré ich potrebujú na výkon služobných povinností. Nastavenia kombinácií do bezpečnostných úschovných objektov a komorových trezorov, v ktorých sa uchovávajú utajované skutočnosti EÚ, sa menia:

1.

V tejto prílohe sa uvádzajú vykonávacie ustanovenia k článku 9. Stanovujú sa v nej administratívne opatrenia pre správu utajovaných skutočností EÚ počas ich životného cyklu, ktorých cieľom je pomôcť pri odradení od úmyselného alebo náhodného vyzradenia alebo straty takýchto utajovaných skutočností, zistení tohto vyzradenia alebo straty a pri obnove bezpečnosti.

2.

Informácie sa utajujú, ak je to potrebné na ochranu ich dôvernosti.

3.

Zodpovednosť za určenie stupňa utajenia v súlade s príslušnými usmerneniami pre utajovanie a za prvú distribúciu utajovanej skutočnosti EÚ nesie jej pôvodca.

4.

Stupeň utajenia utajovanej skutočnosti EÚ sa stanovuje podľa článku 2 ods. 2 na základe bezpečnostnej politiky, ktorá sa schváli v súlade s článkom 3 ods. 3.

5.

Stupeň utajenia sa uvádza jasne a správne bez ohľadu na to, či má utajovaná skutočnosť EÚ písomnú, ústnu, elektronickú či inú podobu.

6.

Jednotlivé časti daného dokumentu (napr. stránky, odseky, oddiely, doplnky, dodatky, pripojenia a prílohy) si môžu vyžadovať rôzny stupeň utajenia a podľa toho sa aj označujú, a to aj keď sa uchovávajú v elektronickej podobe.

7.

Celkový stupeň utajenia dokumentu alebo spisu zodpovedá minimálne najvyššiemu stupňu utajenia jeho jednotlivej časti. Keď sa spájajú utajované skutočnosti z rôznych zdrojov, konečný produkt sa preskúma s cieľom určiť celkový stupeň utajenia, pretože si môže vyžadovať vyšší stupeň utajenia ako jeho jednotlivé časti.

8.

Dokumenty, ktoré obsahujú časti podliehajúce rozdielnym stupňom utajenia, sa v maximálnej možnej miere usporadúvajú tak, aby sa časti s iným stupňom utajenia dali ľahko identifikovať a v prípade potreby oddeliť.

9.

Stupeň utajenia listu alebo sprievodného listu obsahujúceho prílohy zodpovedá najvyššiemu stupňu utajenia príloh. Pôvodca príslušným označením jednoznačne uvedie stupeň jeho utajenia bez príloh, napríklad:

CONFIDENTIEL UE/EU CONFIDENTIAL

Bez prílohy (príloh) RESTREINT UE/EU RESTRICTED

10.

Okrem niektorého z označení stupňa utajenia podľa článku 2 ods. 2, môžu mať utajované skutočnosti EÚ aj doplňujúce označenie, napríklad:

11.

Na označenie stupňa utajenia jednotlivých odsekov textu sa môžu používať štandardné skrátené označenia stupňov utajenia. Skratky nenahrádzajú plné označenia stupňov utajenia.

12.

Na označenie stupňa utajenia oddielov alebo častí textu, ktoré sú kratšie ako jedna strana, možno v utajených dokumentoch EÚ používať tieto štandardné skratky:

13.

Pri vytvorení utajovaného dokumentu EÚ:

14.

Ak na utajovanú skutočnosť EÚ nie je možné uplatniť bod 13, prijmú sa iné primerané opatrenia v súlade s bezpečnostnými usmerneniami podľa článku 6 ods. 2.

15.

Ak je to možné, a predovšetkým v prípade utajovaných skutočností so stupňom utajenia RESTREINT UE/EU RESTRICTED pôvodca v čase vytvorenia utajovanej skutočnosti EÚ uvedie, či je možné znížiť jej stupeň utajenia alebo utajenie zrušiť k určitému dátumu alebo po istej udalosti. Pôvodcovia utajovanej skutočnosti so stupňom utajenia RESTREINT UE/EU RESTRICTED uvádzajú dátum alebo konkrétnu udalosť, keď sa utajenie zrušuje, s výnimkou prípadov, keď je neuvedenie riadne odôvodnené.

16.

GSR vykonáva pravidelné posúdenie utajovaných skutočností EÚ, ktorých je držiteľom, aby stanovil, či je naďalej potrebný daný stupeň utajenia. GSR zriadi systém, ktorým minimálne každých päť rokov posudzuje stupeň utajenia evidovaných utajovaných skutočností EÚ, ktorých je pôvodcom. Takéto posúdenie nie je potrebné, keď pôvodca hneď na začiatku uviedol, že sa stupeň utajenia danej utajovanej skutočnosti automaticky zníži alebo sa utajenie zruší, a utajovaná skutočnosť bola príslušne označená.

17.

Pre každú organizačnú jednotku GSR a verejnej správy členského štátu, ktorá manipuluje s utajovanými skutočnosťami EÚ, sa určí príslušný register, aby sa zabezpečila manipulácia s utajovanými skutočnosťami EÚ v súlade s týmto rozhodnutím. Registre sa zriadia ako zabezpečené priestory podľa prílohy II.

18.

Na účely tohto rozhodnutia znamená evidencia na bezpečnostné účely (ďalej len „evidencia“) uplatňovanie postupov, ktorými sa zaznamenáva životný cyklus veci vrátane jej distribúcie a zničenia.

19.

Všetky veci so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL a vyšším sa evidujú v určených registroch, keď sa doručia alebo keď opúšťajú organizačnú jednotku.

20.

Centrálny register v rámci GSR vedie evidenciu o všetkých utajovaných skutočnostiach, ktoré Rada a GSR poskytujú tretím štátom a medzinárodným organizáciám, ako aj o všetkých utajovaných skutočnostiach, ktoré od tretích štátov alebo medzinárodných organizácií prijímajú.

21.

V prípade CIS sa evidenčné postupy môžu vykonávať v rámci samotného CIS.

22.

Rada schvaľuje bezpečnostnú politiku pre oblasť evidencie utajovaných skutočností EÚ na bezpečnostné účely.

23.

V členských štátoch a GSR sa určí centrálny register ako centrálny orgán na prijímanie a odosielanie utajovaných skutočností so stupňom utajenia TRÉS SECRET UE/EU TOP SECRET. V prípade potreby sa môžu zriadiť podriadené registre, aby s týmito utajovanými skutočnosťami manipulovali na účely evidencie.

24.

Tieto podriadené registre nesmú priamo odosielať dokumenty so stupňom utajenia TRÉS SECRET UE/EU TOP SECRET iným podriadeným registrom toho istého centrálneho registra TRÉS SECRET UE/EU TOP SECRET alebo navonok, pokiaľ to uvedený centrálny register výslovne písomne nepovolí.

25.

Dokumenty so stupňom utajenia TRÉS SECRET UE/EU TOP SECRET sa nesmú rozmnožovať alebo prekladať bez predchádzajúceho písomného súhlasu pôvodcu.

26.

Keď pôvodca dokumentov so stupňom utajenia SECRET UE/EU SECRET alebo nižším neuviedol nijakú výhradu týkajúcu sa rozmnožovania alebo prekladu, takéto dokumenty sa môžu na základe pokynu držiteľa rozmnožovať alebo prekladať.

27.

Bezpečnostné opatrenia uplatniteľné na pôvodný dokument sa uplatňujú aj na kópie a preklady.

28.

Na prenos utajovaných skutočností EÚ fyzickými prostriedkami sa vzťahujú ochranné opatrenia uvedené v bodoch 30 až 40. Bez ohľadu na článok 9 ods. 4 pri prenose utajovaných skutočností EÚ na elektronických médiách možno ochranné opatrenia uvedené ďalej doplniť podľa pokynov príslušného bezpečnostného orgánu o príslušné technické protiopatrenia s cieľom minimalizovať riziko straty alebo vyzradenia.

29.

Príslušné bezpečnostné orgány v GSR a členských štátoch vydáva pokyny, ktoré sa týkajú prenosu utajovaných skutočností EÚ, v súlade s týmto rozhodnutím.

30.

Utajovaná skutočnosť EÚ prenášaná v rámci budovy alebo samostatnej skupiny budov sa prenáša zakrytá tak, aby nebolo možné zahliadnuť jej obsah.

31.

Utajované skutočnosti so stupňom utajenia TRÉS SECRET UE/EU TOP SECRET sa v rámci budovy alebo samostatnej skupiny budov prenášajú v zabezpečenej obálke, na ktorej je uvedené len meno adresáta.

32.

Utajovaná skutočnosť EÚ prenášaná fyzickými prostriedkami medzi budovami alebo objektmi v rámci EÚ sa musí zabaliť tak, aby sa ochránila pred neoprávnenou manipuláciou.

33.

Prenos utajovaných skutočností so stupňom utajenia SECRET UE/EU SECRET alebo nižším fyzickými prostriedkami v rámci EÚ sa uskutočňuje takto:

V prípade prenosu fyzickými prostriedkami z jedného členského štátu do iného sa písmeno c) vzťahuje len na utajované skutočnosti po stupeň utajenia CONFIDENTIEL UE/EU CONFIDENTIAL.

34.

Veci so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL a SECRET UE/EU SECRET (napr. zariadenia alebo stroje), ktoré nemožno prenášať spôsobom uvedeným v bode 33, sa prepravujú ako náklad obchodnými dopravnými spoločnosťami v súlade s prílohou V.

35.

Prenos utajovaných skutočností so stupňom utajenia TRÉS SECRET UE/EU TOP SECRET fyzickými prostriedkami medzi budovami alebo objektmi v rámci jedného členského štátu sa uskutočňuje vojenským, vládnym alebo prípadne diplomatickým kuriérom.

36.

Utajovaná skutočnosť EÚ prenášaná z EÚ na územie tretieho štátu sa zabalí tak, aby sa ochránila pred neoprávnenou manipuláciou.

37.

Fyzický prenos utajovaných skutočností so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL a SECRET UE/EU SECRET z EÚ na územie tretieho štátu sa uskutočňuje takto:

38.

Prenos informácií so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL a SECRET UE/EU SECRET, ktoré EÚ sprístupní tretiemu štátu alebo medzinárodnej organizácii, sa uskutočňuje v súlade s príslušnými ustanoveniami dohody o bezpečnosti utajovaných skutočností alebo administratívneho dojednania podľa článku 12 ods. 2 písm. a) alebo b).

39.

Utajované skutočnosti so stupňom utajenia RESTREINT UE/EU RESTRICTED sa môžu prenášať aj poštovou alebo komerčnou kuriérskou službou.

40.

Prenos utajovaných skutočností so stupňom utajenia TRÉS SECRET UE/EU TOP SECRET z EÚ fyzickými prostriedkami na územie tretieho štátu sa uskutočňuje vojenským alebo diplomatickým kuriérom.

41.

Utajované dokumenty EÚ, ktoré už nie sú potrebné, sa môžu zničiť bez toho, aby boli dotknuté príslušné pravidlá a predpisy týkajúce sa archivácie.

42.

Príslušný register ničí dokumenty, ktoré sa musia evidovať v súlade s článkom 9 ods. 2, na základe pokynu držiteľa alebo príslušného orgánu. Denníky a ostatné evidenčné záznamy sa príslušným spôsobom aktualizujú.

43.

Pokiaľ ide o utajované dokumenty so stupňom utajenia SECRET UE/EU SECRET alebo TRÉS SECRET UE/EU TOP SECRET, ničenie sa vykonáva za prítomnosti svedka, ktorý je preverený minimálne pre stupeň utajenia dokumentu, ktorý sa ničí.

44.

Pracovník registra a v prípade potreby aj svedok, ak sa vyžaduje jeho prítomnosť, podpíšu protokol o zničení, ktorý sa archivuje v registri. Register uchováva protokoly o zničení dokumentov so stupňom utajenia TRÉS SECRET UE/EU TOP SECRET po dobu najmenej desiatich rokov a dokumentov so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL a SECRET UE/EU SECRET po dobu najmenej piatich rokov.

45.

Utajované dokumenty vrátane dokumentov so stupňom utajenia RESTREINT UE/EU RESTRICTED sa ničia metódami, ktoré spĺňajú príslušné normy EÚ alebo rovnocenné normy alebo ktoré boli schválené členskými štátmi podľa národných technických noriem, aby sa zabránilo celkovej alebo čiastočnej rekonštrukcii dokumentu.

46.

Médiá na elektronické uchovávanie používané na uchovávanie utajovaných skutočností EÚ sa ničia v súlade s bodom 36 prílohy IV.

47.

Pojmom „inšpekcia“ sa ďalej označuje každá:

ktorých cieľom je posúdiť účinnosť opatrení prijatých na ochranu utajovaných skutočností EÚ.

48.

Inšpekcie sa okrem iného vykonávajú na to, aby sa:

49.

Rada pred koncom každého kalendárneho roka prijme inšpekčný program uvedený v článku 15 ods. 1 písm. c) na nasledujúci rok. Konkrétne dátumy každej inšpekcie sa stanovia po dohode s dotknutou agentúrou alebo orgánom EÚ, členským štátom, tretím štátom alebo medzinárodnou organizáciou.

50.

Inšpekcie sa vykonávajú s cieľom skontrolovať všetky príslušné pravidlá, predpisy a postupy preverovaného subjektu a overiť, či sú postupy subjektu v súlade so základnými zásadami a minimálnymi štandardmi ustanovenými v tomto rozhodnutí a v ustanoveniach, ktorými sa spravuje výmena utajovaných skutočností s týmto subjektom.

51.

Inšpekcie sa vykonávajú v dvoch etapách. Pred samotnou inšpekciou sa usporiada prípravné zasadnutie, v prípade potreby aj za účasti dotknutého subjektu. Po tomto prípravnom zasadnutí vytvorí inšpekčný tím po dohode s príslušným subjektom podrobný inšpekčný program, ktorý zahŕňa všetky bezpečnostné oblasti. Inšpekčné tímy majú prístup na všetky miesta, kde sa manipuluje s utajovanými skutočnosťami EÚ, najmä do registrov a k prístupovým bodom do CIS.

52.

Zodpovednosť za inšpekcie verejnej správy členských štátov nesie spoločný inšpekčný tím GSR a Komisie a tieto inšpekcie sa vykonávajú v plnej spolupráci s úradníkmi preverovaného subjektu.

53.

Zodpovednosť za inšpekcie tretích štátov a medzinárodných organizácií nesie spoločný inšpekčný tím GSR a Komisie a tieto inšpekcie sa vykonávajú v plnej spolupráci s úradníkmi preverovaného tretieho štátu alebo medzinárodnej organizácie.

54.

Inšpekcie agentúr a orgánov EÚ zriadených na základe hlavy V kapitoly 2 Zmluvy o EÚ, ako aj Europolu a Eurojustu vykonáva Bezpečnostný úrad GSR s pomocou expertov z NSA, na území ktorého sa agentúra alebo orgán nachádza. Na inšpekcii sa môže podieľať riaditeľstvo Európskej komisie pre bezpečnosť (ďalej len „ECSD“ – European Commission Security Directorate), ak si s danou agentúrou alebo orgánom pravidelne vymieňa utajované skutočnosti EÚ.

55.

V prípade inšpekcií agentúr a orgánov EÚ zriadených na základe hlavy V kapitoly 2 Zmluvy o EÚ, ako aj Europolu a Eurojustu a tretích štátov a medzinárodných organizácií sa v súlade s podrobnými pravidlami, ktoré schváli Bezpečnostný výbor, vyžiada pomoc a príspevky odborníkov NSA.

56.

Na konci inšpekcie sa preverovanému subjektu predkladajú hlavné závery a odporúčania. Neskôr sa pripraví inšpekčná správa, za ktorú zodpovedá bezpečnostný orgán GSR (Bezpečnostný úrad). Ak sa navrhli nápravné opatrenia alebo odporúčania, do správy by sa mali na odôvodnenie záverov zahrnúť dostatočne podrobné informácie. Správa sa zasiela príslušnému orgánu preverovaného subjektu.

57.

V prípade inšpekcií verejnej správy členských štátov:

Bezpečnostný orgán GSR (Bezpečnostný úrad) zodpovedá za vypracovanie pravidelnej správy, v ktorej sa vyzdvihnú skúsenosti získané počas inšpekcií v členských štátoch v konkrétnom období a ktorú preskúma Bezpečnostný výbor.

58.

V prípade hodnotiacich návštev v tretích štátoch a medzinárodných organizáciách sa správa zasiela Bezpečnostnému výboru a ECSD. Táto správa sa utajuje minimálne na stupni utajenia RESTREINT UE/EU RESTRICTED. Každé nápravné opatrenie sa preverí počas nasledujúcej návštevy a podá sa o ňom správa Bezpečnostnému výboru.

59.

V prípade inšpekcií agentúr a orgánov EÚ zriadených na základe hlavy V kapitoly 2 Zmluvy o EÚ, ako aj Europolu a Eurojustu sa inšpekčná správa zasiela členom Bezpečnostného výboru a ECSD. Návrh inšpekčnej správy sa zasiela dotknutej agentúre alebo orgánu, ktoré skontrolujú, či je obsahovo správna a neobsahuje skutočnosti so stupňom utajenia vyšším ako RESTREINT UE/EU RESTRICTED. Každé nápravné opatrenie sa preverí počas nasledujúcej návštevy a podá sa o ňom správa Bezpečnostnému výboru.

60.

Bezpečnostný orgán GSR vykonáva na účely ustanovené v bode 48 pravidelné inšpekcie organizačných jednotiek GSR.

61.

Bezpečnostný orgán GSR (Bezpečnostný úrad) vypracuje a aktualizuje inšpekčný kontrolný zoznam obsahujúci body, ktoré je potrebné skontrolovať počas inšpekcie. Tento kontrolný zoznam sa zasiela Bezpečnostnému výboru.

62.

Informácie potrebné na vyplnenie kontrolného zoznamu sa získavajú predovšetkým počas inšpekcie od vedúcich bezpečnostných pracovníkov subjektu, v ktorom sa vykonáva inšpekcia. Po vyplnení podrobnými odpoveďami sa kontrolný zoznam po dohode so subjektom, v ktorom sa vykonáva inšpekcia, utajuje. Netvorí súčasť inšpekčnej správy.

1.

V tejto prílohe sa uvádzajú vykonávacie ustanovenia článku 10.

2.

Na účely bezpečnosti a správneho fungovania operácií v CIS sú dôležité tieto vlastnosti a pojmy IA:

3.

Ustanovenia uvedené nižšie predstavujú základ bezpečnosti každého CIS, v ktorom sa manipuluje s utajovanými skutočnosťami EÚ. Podrobné požiadavky, ktorými sa vykonávajú tieto ustanovenia, sa vymedzia v bezpečnostných politikách a bezpečnostných usmerneniach pre IA.

4.

Riadenie bezpečnostných rizík tvorí neoddeliteľnú súčasť činností pri definovaní, rozvíjaní, prevádzke a údržbe CIS. Riadenie rizík (hodnotenie, zabezpečenie, akceptácia, oznamovanie) spoločne vykonávajú ako nepretržitý proces zástupcovia vlastníkov systému, projektových orgánov, operačných orgánov a orgánov schvaľujúcich bezpečnosť, ktoré uplatňujú overený, transparentný a plne pochopiteľný proces vyhodnotenia rizík. Na začiatku procesu riadenia rizík sa jednoznačne vymedzí rozsah CIS a jeho majetku.

5.

Príslušné orgány preskúmajú potenciálne hrozby pre CIS a zabezpečujú aktualizované a presné posúdenie hrozieb, ktoré zohľadňuje aktuálne operačné prostredie. Nepretržite aktualizujú svoje poznatky o slabinách a pravidelne preverujú posúdenie slabín s cieľom reagovať na meniace sa prostredie v oblasti informačných technológií (IT).

6.

Cieľom zabezpečenia sa proti bezpečnostným rizikám je uplatňovať súbor bezpečnostných opatrení, čím sa zabezpečí rovnováha medzi požiadavkami používateľov, nákladmi a zvyškovým bezpečnostným rizikom.

7.

Špecifické požiadavky, rozsah a miera podrobnosti stanovená príslušným SAA na certifikáciu CIS zodpovedajú vyhodnotenému riziku, pričom sa zohľadňujú všetky relevantné faktory vrátane stupňa utajenia utajovaných skutočností, s ktorými sa v CIS manipuluje. Certifikácia zahŕňa formálne vyhlásenie o zvyškovom riziku a akceptáciu zvyškového rizika zo strany zodpovedného orgánu.

8.

Zaistenie bezpečnosti predstavuje požiadavku, ktorá musí byť splnená počas celého životného cyklu CIS od jeho spustenia do prevádzky po vyradenie.

9.

Pre každú fázu životného cyklu sa stanoví úloha a interakcia každého účastníka podieľajúceho sa na činnosti CIS, pokiaľ ide o jeho bezpečnosť.

10.

Každý CIS vrátane technických a iných bezpečnostných opatrení podlieha počas certifikácie bezpečnostnému testovaniu, ktorého cieľom je zaručiť, že sa dosiahla náležitá úroveň bezpečnosti, a overiť, že je správne implementovaný, integrovaný a konfigurovaný.

11.

Počas prevádzky a údržby CIS, ako aj v prípade vzniku výnimočných okolností sa pravidelne vykonávajú bezpečnostné hodnotenia, inšpekcie a previerky.

12.

Vývoj bezpečnostnej dokumentácie pre CIS počas jeho životného cyklu je neoddeliteľnou súčasťou procesu riadenia zmien a konfigurácií.

13.

GSR a členské štáty spolupracujú na vypracovaní najlepších postupov na ochranu utajovaných skutočností EÚ, s ktorými sa manipuluje v CIS. Najlepšie postupy vymedzujú technické, fyzické, organizačné a procesné bezpečnostné opatrenia pre CIS s overenou účinnosťou proti daným ohrozeniam a slabinám.

14.

Pri ochrane utajovaných skutočností EÚ, s ktorými sa manipuluje v CIS, sa využívajú skúsenosti, ktoré získali subjekty zabezpečujúce IA v EÚ i mimo nej.

15.

Šírenie a následné zavedenie najlepších postupov pomáhajú dosiahnuť rovnocennú úroveň bezpečnosti rôznych CIS, ktoré prevádzkujú GSR a členské štáty, ktoré manipulujú s utajovanými skutočnosťami EÚ.

16.

Na zníženie rizika pre CIS sa zavádza škála technických a iných bezpečnostných opatrení, ktoré sa organizujú do viacerých vrstiev. Tieto opatrenia zahŕňajú:

a)   odradenie: bezpečnostné opatrenia zamerané na odradenie protivníka od plánovania útoku na CIS;

b)   predchádzanie: bezpečnostné opatrenia zamerané na zabránenie alebo zastavenie útoku na CIS;

c)   detekciu: bezpečnostné opatrenia zamerané na zistenie výskytu útoku na CIS;

d)   odolnosť: bezpečnostné opatrenia zamerané na obmedzenie následkov útoku na minimálny súbor informácií/majetku CIS a zabránenie ďalším škodám a

e)   obnovu: bezpečnostné opatrenia zamerané na znovunastolenie bezpečnej situácie CIS.

Stupeň prísnosti takýchto bezpečnostných opatrení sa stanovuje na základe vyhodnotenia rizika.

17.

Príslušné orgány zabezpečujú spôsobilosť reagovať na incidenty, ktoré môžu prekročiť organizačné a štátne hranice, koordinovať svoju reakciu a vymieňať si informácie o týchto incidentoch a súvisiacich rizikách (spôsobilosť núdzovej reakcie v súvislosti s počítačmi).

18.

S cieľom vyhnúť sa zbytočnému riziku sa implementujú len základné funkcie, zariadenia a služby potrebné na splnenie operačných požiadaviek.

19.

Aby sa obmedzili akékoľvek škody vyplývajúce z porúch, omylov alebo neoprávneného využívania zdrojov CIS, majú používatelia CIS a automatizovaných procesov len taký prístup, práva alebo oprávnenia, ktoré potrebujú na plnenie svojich úloh.

20.

Postupy na účely evidencie, ktoré vykonáva CIS, sa v prípade potreby preveria v rámci certifikačného postupu.

21.

Prvou obrannou líniou bezpečnosti CIS je informovanosť o rizikách a dostupných bezpečnostných opatreniach. Najmä všetci členovia personálu, ktorí prichádzajú do kontaktu s CIS počas jeho životného cyklu, majú byť poučení:

22.

Na zabezpečenie pochopenia bezpečnostných povinností sa povinne vykonáva informačno-bezpečnostné vzdelávanie a odborná príprava pre dotknutý personál, ako aj vyšších riadiacich pracovníkov a používateľov CIS.

23.

Požadovaná úroveň spoľahlivosti bezpečnostných opatrení, vymedzená ako úroveň ubezpečenia, sa stanovuje na základe procesu riadenia rizík a v súlade s príslušnými bezpečnostnými politikami a bezpečnostnými usmerneniami.

24.

Tento stupeň spoľahlivosti sa preverí pomocou medzinárodne uznávaných alebo vnútroštátne schválených postupov a metodík. Tie predovšetkým zahŕňajú hodnotenie, kontroly a audit.

25.

Kryptografické produkty na ochranu utajovaných skutočností EÚ vyhodnotí a schváli vnútroštátny CAA členského štátu.

26.

Predtým, ako sa v súlade s článkom 10 ods. 6 odporučia na schválenie Rade alebo generálnemu tajomníkovi, tieto kryptografické produkty najprv prejdú úspešným hodnotením druhou stranou vykonaným náležite kvalifikovaným orgánom (ďalej len „AQUA“ – Appropriately Qualified Authority) členského štátu, ktorý nebol zapojený do projektu ani výroby tohto zariadenia. Podrobnosť hodnotenia druhou stranou závisí od predpokladaného najvyššieho stupňa utajenia utajovaných skutočností EÚ, ktoré sa majú týmito produktmi chrániť. Rada schváli bezpečnostnú politiku pre oblasť hodnotenia a schvaľovania kryptografických produktov.

27.

Ak si to vyžadujú osobitné operačné okolnosti, môže Rada, prípadne generálny tajomník na základe odporúčania Bezpečnostného výboru upustiť od požiadaviek uvedených v bodoch 25 alebo 26 a udeliť v súlade s postupom podľa článku 10 ods. 6 dočasné schválenie na určité obdobie.

28.

AQUA je CAA členského štátu certifikovaný na základe kritérií stanovených Radou na vykonanie druhého hodnotenia kryptografických produktov na ochranu utajovaných skutočností EÚ.

29.

Rada schvaľuje bezpečnostnú politiku pre oblasť kvalifikovania a schvaľovania nekryptografických bezpečnostných produktov IT.

30.

Bez ohľadu na ustanovenia tohto rozhodnutia sa pri prenose utajovaných skutočností EÚ, ktorý sa uskutočňuje len v rámci zabezpečených priestorov, môže používať nešifrovaná distribúcia alebo šifrovanie na nižšej úrovni, ak to umožňuje výsledok procesu riadenia rizík a ak to schválil SAA.

31.

Na účely tohto rozhodnutia znamená prepojenie priame spojenie dvoch alebo viacerých systémov IT na účely spoločného využívania údajov a iných informačných zdrojov (napr. komunikačných), ktoré môže byť jednosmerné alebo viacsmerné.

32.

CIS v prvej fáze pristupuje ku každému pripojenému systému IT ako nedôveryhodnému a na výmenu utajovaných skutočností uplatňuje ochranné opatrenia.

33.

Všetky prepojenia CIS s iným systémom IT spĺňajú tieto základné požiadavky:

34.

Certifikovaný CIS nesmie mať nijaké prepojenie s nechránenou alebo verejnou sieťou okrem prípadu, ak má CIS schválenú ochranu BPS nainštalovanú na tento účel na rozhraní medzi týmto CIS a nechránenou alebo verejnou sieťou. Bezpečnostné opatrenia týkajúce sa takéhoto prepojenia prehodnocuje príslušný IAA a schvaľuje príslušný SAA.

Keď sa nechránená alebo verejná sieť používa výhradne ako nosič dát, ktoré sú šifrované kryptografickým produktom schváleným v súlade s článkom 10, toto spojenie sa nepovažuje za prepojenie.

35.

Priame alebo kaskádové prepojenie CIS certifikovaného na manipuláciu s utajovanými skutočnosťami so stupňom utajenia TRÉS SECRET UE/EU TOP SECRET s nechránenou alebo verejnou sieťou je zakázané.

36.

Elektronické médiá na uchovávanie sa zničia v súlade s postupom schváleným príslušným bezpečnostným orgánom.

37.

Elektronické médiá na uchovávanie možno opätovne používať a ich stupeň utajenia znížiť alebo zrušiť v súlade s postupom ustanoveným v súlade s článkom 6 ods. 1.

38.

Bez ohľadu na ustanovenia tohto rozhodnutia sa môžu v núdzových situáciách, ako napríklad pri bezprostredne hroziacej kríze alebo počas krízy, vojnového stavu alebo pri výnimočných operačných okolnostiach, uplatňovať osobitné postupy uvedené nižšie.

39.

Utajované skutočnosti EÚ sa môžu so súhlasom príslušného orgánu prenášať šifrované kryptografickými produktmi, ktoré boli schválené pre nižší stupeň utajenia, alebo nešifrované, pokiaľ by akékoľvek zdržanie spôsobilo škody, ktoré jednoznačne prevyšujú škodu spôsobenú neoprávnenou manipuláciou s utajovanou vecou, a ak

40.

Utajované skutočnosti prenášané za okolností uvedených v bode 38 nesmú mať žiadne označenia alebo odkazy, ktorými by sa odlišovali od neutajovanej skutočnosti alebo skutočnosti , ktorá sa môže chrániť dostupným šifrovacím produktom. Príjemcovia sa o stupni utajenia skutočnosti bezodkladne informujú iným spôsobom.

41.

V prípade uplatnenia ustanovení bodu 38 sa následne zasiela správa príslušnému orgánu a Bezpečnostnému výboru.

42.

V členských štátoch a GSR sa zriadia nižšie uvedené funkcie v oblasti IA. Tieto funkcie nemusia byť združené v jedinej organizačnej jednotke. Majú samostatné mandáty. Tieto funkcie a s nimi spojené povinnosti sa však môžu spojiť alebo zlúčiť do jednej organizačnej jednotky alebo rozdeliť do rôznych organizačných jednotiek pod podmienkou, že nedochádza ku vnútornému konfliktu záujmov alebo úloh.

43.

IAA zodpovedá za:

44.

Orgán pre TEMPEST (ďalej len „TA“) zodpovedá za zabezpečenie súladu CIS s politikami a usmerneniami TEMPEST-u. Schvaľuje protiopatrenia TEMPEST-u pre zariadenia a produkty na ochranu utajovaných skutočností EÚ pre určený stupeň utajenia v danom operačnom prostredí.

45.

Kryptografický schvaľovací orgán (ďalej len „CAA“ – Crypto Approval Authority) zabezpečuje, že kryptografické produkty sú v súlade s národnou kryptografickou politikou, resp. kryptografickou politikou Rady. Schvaľuje kryptografické produkty na ochranu utajovaných skutočností EÚ pre určený stupeň utajenia v danom operačnom prostredí. Pokiaľ ide o členské štáty, CAA je okrem toho zodpovedný za posudzovanie kryptografických produktov.

46.

Kryptografický distribučný orgán (CDA) zodpovedá za:

47.

SAA každého systému zodpovedá za:

48.

SAA Generálneho sekretariátu Rady je zodpovedný za certifikáciu všetkých CIS v rámci pôsobnosti GSR.

49.

Príslušný SAA členského štátu je zodpovedný za certifikáciu CIS a jeho komponentov, ktoré sa používajú v rámci pôsobnosti členského štátu.

50.

Spoločná komisia pre bezpečnostnú certifikáciu (ďalej len „SAB“ – Security Accreditation Board) je zodpovedná za certifikáciu CIS, ktoré patria zároveň do pôsobnosti SAA Generálneho sekretariátu Rady aj SAA členských štátov. Skladá sa zo zástupcu SAA každého členského štátu a na jej zasadnutiach je prítomný zástupca SAA Komisie. Iné subjekty s uzlami v CIS sa prizývajú na zasadnutie, keď sa rokuje o danom systéme.

Predsedom SAB je zástupca SAA Generálneho sekretariátu Rady. SAB sa uznáša konsenzom zástupcov SAA inštitúcií, členských štátov a iných subjektov s uzlami v danom CIS. Podáva pravidelné správy o svojej činnosti Bezpečnostnému výboru a rovnako mu oznamuje všetky vydané potvrdenia o certifikácii.

51.

Operačný orgán pre IA každého systému zodpovedá za:

1.

V tejto prílohe sa uvádzajú vykonávacie ustanovenia k článku 11. Obsahuje všeobecné bezpečnostné ustanovenia uplatniteľné na priemyselné alebo iné subjekty počas rokovaní pred uzavretím zmluvy a počas celého životného cyklu utajovanej zmluvy s GSR.

2.

Rada schvaľuje politiku pre oblasť priemyselnej bezpečnosti, v ktorej uvádza predovšetkým podrobné požiadavky týkajúce sa FSC, bezpečnostných doložiek („SAL“ – Security Aspects Letter), návštev a prenosu utajovaných skutočností EÚ.

3.

Pred začatím výberového konania alebo uzavretím utajovanej zmluvy určí GSR ako verejný obstarávateľ stupeň utajenia všetkých utajovaných skutočností, ktoré sa majú poskytnúť predkladateľom ponuky a dodávateľom, ako aj stupeň utajenia všetkých utajovaných skutočností, ktoré dodávateľ vytvorí. GSR na tento účel pripraví SCG, ktoré sa budú uplatňovať pri plnení zmluvy.

4.

Pri určovaní stupňa utajenia rôznych prvkov utajenej zmluvy sa uplatňujú tieto zásady:

5.

Bezpečnostné požiadavky špecifické pre zmluvu sa opíšu v SAL. Ak je to vhodné, SAL obsahuje SCG a tvorí neoddeliteľnú súčasť utajovanej zmluvy alebo subdodávateľskej zmluvy.

6.

SAL obsahuje ustanovenia, podľa ktorých musí dodávateľ a/alebo subdodávateľ dodržiavať minimálne normy ustanovené v tomto rozhodnutí. Nedodržanie týchto minimálnych noriem sa môže považovať za dostatočný dôvod na vypovedanie zmluvy.

7.

V závislosti od rozsahu programov alebo projektov, ktorých súčasťou je prístup k utajovaným skutočnostiam EÚ alebo manipulácia s nimi alebo ich uchovávanie, verejný obstarávateľ určený na riadenie programu alebo projektu môže pripraviť špecifické bezpečnostné pokyny pre program/projekt (ďalej len „PSI“ – Programme/Project Security Instructions). PSI musí schváliť NSA/DSA alebo akýkoľvek iný príslušný bezpečnostný orgán členských štátov zapojený do programu/projektu a môžu obsahovať dodatočné bezpečnostné požiadavky.

8.

NSA alebo DSA alebo akýkoľvek iný príslušný bezpečnostný orgán členského štátu udelí FSC, aby v súlade s vnútroštátnymi zákonmi a inými právnymi predpismi preukázal, že priemyselný alebo iný subjekt je schopný vo svojich zariadeniach chrániť utajované skutočnosti EÚ na príslušnom stupni utajenia (CONFIDENTIEL UE/EU CONFIDENTIAL alebo SECRET UE/EU SECRET). Skôr, ako sa dodávateľovi alebo subdodávateľovi, alebo potenciálnemu dodávateľovi alebo subdodávateľovi poskytne alebo udelí prístup k utajovaným skutočnostiam EÚ, FSC sa predloží GSR ako verejnému obstarávateľovi.

9.

Príslušný NSA alebo DSA pri vydávaní FSC aspoň:

10.

V prípade potreby GSR ako verejný obstarávateľ oznámi príslušnému NSA/DSA alebo akémukoľvek inému príslušnému bezpečnostnému orgánu, že FSC je potrebné počas fázy pred uzavretím zmluvy alebo na účely plnenia zmluvy. FSC alebo PSC sa vyžaduje počas fázy pred uzavretím zmluvy, ak sa počas predkladania ponúk musia poskytnúť utajované skutočnosti so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL alebo SECRET UE/EU SECRET.

11.

Verejný obstarávateľ neuzavrie utajovanú zmluvu s predkladateľom ponuky, ktorého uprednostňuje, kým mu NSA/DSA alebo akýkoľvek iný príslušný bezpečnostný orgán členského štátu, v ktorom má dotknutý dodávateľ alebo subdodávateľ sídlo, nepotvrdí, že príslušné FSC bolo v potrebných prípadoch vydané.

12.

Príslušný NSA/DSA alebo akýkoľvek iný príslušný bezpečnostný orgán, ktorý vydal FSC, oznamuje GSR ako verejnému obstarávateľovi všetky zmeny, ktoré majú vplyv na FSC. V prípade subdodávateľskej zmluvy sa NSA/DSA alebo akýkoľvek iný príslušný bezpečnostný orgán informuje zodpovedajúcim spôsobom.

13.

Odňatie FSC príslušným NSA/DSA alebo akýmkoľvek iným príslušným bezpečnostným orgánom predstavuje pre GSR ako verejného obstarávateľa dostatočný dôvod na vypovedanie utajovanej zmluvy alebo na vylúčenie účastníka zo súťaže.

14.

V prípade, že sa utajované skutočnosti EÚ predkladateľovi ponuky poskytujú počas fázy pred uzavretím zmluvy, výzva obsahuje ustanovenie, že predkladateľ ponuky, ktorý nepredloží ponuku alebo nie je vybratý, je povinný v stanovenej lehote vrátiť všetky utajované dokumenty.

15.

Po uzavretí utajovanej zmluvy alebo subdodávateľskej zmluvy GSR ako verejný obstarávateľ oznámi NSA/DSA alebo akémukoľvek inému príslušnému bezpečnostnému orgánu daného dodávateľa alebo subdodávateľa bezpečnostné ustanovenia utajovanej zmluvy.

16.

Keď sa takéto zmluvy vypovedajú, GSR ako verejný obstarávateľ (a/alebo NSA/DSA alebo prípadne akýkoľvek iný príslušný bezpečnostný orgán v prípade subdodávateľskej zmluvy) to bezodkladne oznámi NSA/DSA alebo akémukoľvek inému príslušnému bezpečnostnému orgánu členského štátu, v ktorom má dodávateľ alebo subdodávateľ sídlo.

17.

Od dodávateľov alebo subdodávateľov sa spravidla požaduje, aby po ukončení utajovanej zmluvy alebo subdodávateľskej zmluvy vrátili verejnému obstarávateľovi všetky utajované skutočnosti EÚ, ktorých sú držiteľmi.

18.

V SAL sa ustanovia špecifické ustanovenia týkajúce sa manipulácie s utajovanými skutočnosťami EÚ počas plnenia zmluvy alebo po jej ukončení.

19.

Ak sa dodávateľovi alebo subdodávateľovi povolí, aby si ponechal utajované skutočnosti EÚ po ukončení zmluvy, dodávateľ alebo subdodávateľ musí naďalej spĺňať minimálne normy uvedené v tomto rozhodnutí a chrániť dôvernosť utajovaných skutočností EÚ.

20.

Podmienky, za ktorých môže dodávateľ uzatvárať subdodávateľské zmluvy, sa musia vymedziť vo výzve na predkladanie ponúk a v zmluve.

21.

Dodávateľ musí získať povolenie od GSR ako verejného obstarávateľa skôr, ako zadá niektorú z častí utajovanej zmluvy subdodávateľom. S priemyselnými alebo inými subjektmi so sídlom v štáte, ktorý nie je členským štátom EÚ a neuzavrel s EÚ dohodu o bezpečnosti utajovaných skutočností, sa nesmie uzavrieť žiadna subdodávateľská zmluva.

22.

Dodávateľ je zodpovedný za zabezpečenie toho, aby boli všetky subdodávateľské činnosti realizované v súlade s minimálnymi normami stanovenými v tomto rozhodnutí, a nesmie poskytnúť utajované skutočnosti EÚ subdodávateľovi bez predchádzajúceho písomného súhlasu verejného obstarávateľa.

23.

Pokiaľ ide o utajované skutočnosti EÚ, ktoré vytvoril alebo s ktorými manipuluje dodávateľ alebo subdodávateľ, práva pôvodcu vykonáva verejný obstarávateľ.

24.

Ak GSR, dodávatelia a subdodávatelia potrebujú na účely plnenia utajovanej zmluvy prístup k utajovaným skutočnostiam so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL a SECRET UE/EU SECRET v objektoch druhej strany, spoločne organizujú návštevy svojich objektov v spolupráci s NSA/DSA alebo akýmkoľvek iným dotknutým príslušným bezpečnostným orgánom. V súvislosti so špecifickými projektmi však NSA/DSA môžu súhlasiť aj s postupom, pri ktorom sa takéto návštevy môžu organizovať priamo.

25.

Všetci návštevníci sú držiteľmi príslušných PSC a majú potrebu poznať na účely prístupu k utajovaným skutočnostiam EÚ, ktoré sa týkajú zmluvy s GSR.

26.

Návštevníkom sa udelí prístup len k utajovaným skutočnostiam EÚ, ktoré sa týkajú účelu návštevy.

27.

Pokiaľ ide o prenos utajovaných skutočností EÚ elektronickými prostriedkami, uplatňujú sa príslušné ustanovenia článku 10 a prílohy IV.

28.

Pokiaľ ide o prenos utajovaných skutočností EÚ fyzickými prostriedkami, uplatňujú sa príslušné ustanovenia prílohy III v súlade s vnútroštátnymi zákonmi a inými právnymi predpismi.

29.

Pri určovaní bezpečnostných opatrení pre prepravu utajovaných vecí ako nákladu sa uplatňujú tieto zásady:

30.

Postúpenie utajovaných skutočností EÚ dodávateľom a subdodávateľom, ktorí sa nachádzajú v tretích štátoch, sa uskutočňuje v súlade s bezpečnostnými opatreniami dohodnutými medzi GSR ako verejným obstarávateľom a NSA/DSA dotknutého tretieho štátu, v ktorom má dodávateľ sídlo.

31.

GSR ako verejný obstarávateľ môže podľa potreby v spolupráci s NSA/DSA členského štátu a na základe zmluvných ustanovení vykonávať návštevy zariadení dodávateľa/subdodávateľa s cieľom preveriť, či sa uplatňujú príslušné bezpečnostné opatrenia potrebné na ochranu utajovaných skutočností EÚ so stupňom utajenia RESTREINT UE/EU RESTRICTED, ako sa to požaduje v zmluve.

32.

GSC ako verejný obstarávateľ informuje NSA/DSA alebo akékoľvek iné príslušné bezpečnostné orgány o zmluvách alebo subdodávateľských zmluvách, ktoré obsahujú utajované skutočnosti so stupňom utajenia RESTREINT UE/EU RESTRICTED, v takom rozsahu, ako to ukladajú vnútroštátne zákony a iné právne predpisy.

33.

FSC ani PSC pre dodávateľov alebo subdodávateľov a ich personál sa nevyžaduje pre zmluvy GSR, ktoré obsahujú utajované skutočnosti so stupňom utajenia RESTREINT UE/EU RESTRICTED.

34.

Bez ohľadu na akékoľvek požiadavky ustanovené vo vnútroštátnych zákonoch a iných právnych predpisoch, ktoré sa týkajú FSC alebo PSC, GSR ako verejný obstarávateľ preskúma odpovede na výzvy na predloženie ponuky, ktoré sa týkajú zmlúv, v rámci ktorých je potrebný prístup k utajovaným skutočnostiam so stupňom utajenia RESTREINT UE/EU RESTRICTED.

35.

Podmienky, za ktorých môže dodávateľ uzatvárať subdodávateľské zmluvy, sú v súlade s bodom 21.

36.

Ak sa v rámci zmluvy manipuluje s utajovanými skutočnosťami so stupňom utajenia RESTREINT UE/EU RESTRICTED v CIS, ktorý prevádzkuje dodávateľ, GSR ako verejný obstarávateľ zabezpečí, aby sa v zmluve alebo subdodávateľskej zmluve uviedli potrebné technické a administratívne požiadavky týkajúce sa certifikácie CIS zodpovedajúce vyhodnotenému riziku, pričom sa zohľadnia všetky relevantné faktory. Rozsah certifikácie takého CIS dohodnú verejný obstarávateľ a príslušný NSA/DSA.

1.

V tejto prílohe sa uvádzajú vykonávacie ustanovenia k článku 12.

2.

Ak Rada rozhodne o dlhodobej potrebe výmeny utajovaných skutočností:

v súlade s článkom 12 ods. 2 a oddielov III a IV na základe odporúčania Bezpečnostného výboru.

3.

Ak sa majú utajované skutočnosti EÚ vytvorené na účely operácie SBOP poskytnúť tretiemu štátu alebo medzinárodnej organizácii, ktorá alebo ktorý sa zúčastňujú na tejto operácii, a keď neexistuje ani jeden z rámcov uvedených v bode 2, výmena utajovaných skutočností EÚ s prispievajúcim tretím štátom alebo medzinárodnou organizáciou sa v súlade s oddielom V spravuje:

4.

Ak neexistuje ani jeden z rámcov uvedených v bodoch 2 a 3 a ak sa prijalo rozhodnutie o výnimočnom poskytnutí utajovaných skutočností EÚ tretiemu štátu alebo medzinárodnej organizácii ad hoc v súlade s oddielom VI, vyžiada sa písomné ubezpečenie, v ktorom sa dotknutý tretí štát alebo medzinárodná organizácia zaviažu, že budú chrániť všetky utajované skutočnosti EÚ, ktoré sa im poskytnú, v súlade s základnými zásadami a minimálnymi štandardmi stanovenými v tomto rozhodnutí.

5.

V dohodách o bezpečnosti utajovaných skutočností sa ustanovujú základné zásady a minimálne štandardy, ktorými sa riadi výmena utajovaných skutočností medzi EÚ a tretím štátom alebo medzinárodnou organizáciou.

6.

V dohodách o bezpečnosti utajovaných skutočností sa ustanovujú technické vykonávacie dojednania, ktoré sa dohodnú medzi Bezpečnostným úradom GSR, ECSD a príslušným bezpečnostným orgánom dotknutého tretieho štátu alebo medzinárodnej organizácie. V týchto dojednaniach sa prihliada na úroveň ochrany zabezpečenú uplatňovanými bezpečnostnými predpismi a zavedenými bezpečnostnými štruktúrami a postupmi v dotknutom treťom štáte alebo medzinárodnej organizácii. Schvaľuje ich Bezpečnostný výbor.

7.

Utajované skutočnosti EÚ sa nesmú vymieňať elektronickými prostriedkami, pokiaľ sa to výslovne neustanoví v dohode o bezpečnosti utajovaných skutočností alebo technických vykonávacích dojednaniach.

8.

V dohodách o bezpečnosti utajovaných skutočností sa ustanovuje, že predtým, ako sa uskutoční výmena utajovaných skutočností na základe danej dohody, Bezpečnostný úrad GSR a ECSD odsúhlasia, že prijímajúca strana je schopná poskytnuté utajované skutočnosti primerane chrániť a zabezpečovať.

9.

Keď Rada uzavrie dohodu o bezpečnosti utajovaných skutočností, pre každú stranu sa určí register, ktorý je hlavným vstupným a výstupným bodom na výmenu utajovaných skutočností.

10.

Na účely posúdenia účinnosti bezpečnostných predpisov, štruktúr a postupov v dotknutom treťom štáte alebo medzinárodnej organizácii uskutočňuje Bezpečnostný úrad GSR spolu s ECSD a po vzájomnej dohode s dotknutým tretím štátom alebo medzinárodnou organizáciou hodnotiace návštevy. Tieto hodnotiace návštevy sa vykonávajú podľa príslušných ustanovení prílohy III a posudzuje sa počas nich:

11.

Tím, ktorý v mene EÚ uskutočňuje hodnotiacu návštevu, posúdi, či bezpečnostné predpisy a postupy v danom treťom štáte alebo medzinárodnej organizácii sú vhodné na účely ochrany utajovaných skutočností EÚ s daným stupňom utajenia.

12.

Zistenia z takýchto návštev sa uvádzajú v správe, na základe ktorej Bezpečnostný výbor stanoví najvyšší stupeň utajenia utajovaných skutočností EÚ, ktoré sa môžu s dotknutou treťou stranou vymieňať vo papierovej podobe, a ak je to vhodné, elektronickými prostriedkami, ako aj akékoľvek osobitné podmienky pre výmenu utajovaných skutočností s touto stranou.

13.

Predtým, ako Bezpečnostný výbor schváli vykonávacie dojednania, vynaloží sa maximálne úsilie na to, aby sa s cieľom určiť charakter a účinnosť uplatňovaného bezpečnostného systému vykonala plnohodnotná bezpečnostná hodnotiaca návšteva daného tretieho štátu alebo medzinárodnej organizácie. V prípade, že to nie je možné, však Bezpečnostný úrad GSR poskytne Bezpečnostnému výboru čo najúplnejšiu správu, opierajúcu sa o informácie, ktoré má k dispozícii, v ktorej ho informuje o uplatniteľných bezpečnostných predpisoch a spôsobe organizácie bezpečnosti v dotknutom treťom štáte alebo medzinárodnej organizácii.

14.

Bezpečnostný výbor môže rozhodnúť, že predtým, ako preskúma výsledok hodnotiacej návštevy, danému tretiemu štátu alebo medzinárodnej organizácii sa nesmú poskytnúť nijaké utajované skutočnosti EÚ alebo sa takéto utajované skutočnosti môžu poskytnúť len do určeného stupňa utajenia, alebo môže pre poskytovanie utajovaných skutočností EÚ tomuto štátu alebo organizácii ustanoviť iné osobitné podmienky. Daný tretí štát alebo medzinárodnú organizáciu o tom informuje Bezpečnostný úrad GSR.

15.

Po vzájomnej dohode s dotknutým tretím štátom alebo medzinárodnou organizáciou vykonáva Bezpečnostný úrad GSR pravidelné následné hodnotiace návštevy s cieľom overiť, že uplatňované dojednania aj naďalej spĺňajú dohodnuté minimálne normy.

16.

Po nadobudnutí platnosti dohody o bezpečnosti utajovaných skutočností a začatí výmeny utajovaných skutočností s dotknutým tretím štátom alebo medzinárodnou organizáciou môže Bezpečnostný výbor rozhodnúť o zmene najvyššieho stupňa utajenia utajovaných skutočností EÚ, ktoré sa môžu v papierovej podobe alebo elektronickými prostriedkami vymieňať, a to najmä na základe ktorejkoľvek následnej hodnotiacej návštevy.

17.

V prípade dlhodobej potreby výmeny utajovaných skutočností s tretím štátom alebo medzinárodnou organizáciou so stupňom utajenia spravidla nie vyšším ako RESTREINT UE/EU RESTRICTED a v prípade, že Bezpečnostný výbor stanovil, že daná strana nemá dostatočne rozvinutý bezpečnostný systém na to, aby sa s ňou mohla uzavrieť dohoda o bezpečnosti utajovaných skutočností, môže generálny tajomník na základe súhlasu Rady uzavrieť s príslušnými orgánmi daného tretieho štátu alebo medzinárodnej organizácie správne dojednanie.

18.

Ak je z naliehavých operačných dôvodov potrebné urýchlene ustanoviť rámec pre výmenu utajovaných skutočností, Rada môže vo výnimočných prípadoch rozhodnúť, že sa správne dojednanie uzatvorí na účely výmeny utajovaných skutočností s vyšším stupňom utajenia.

19.

Správne dojednania majú spravidla formu výmeny listov.

20.

Skôr, ako sa skutočne poskytnú utajované skutočnosti EÚ danému tretiemu štátu alebo medzinárodnej organizácii, vykoná sa hodnotiaca návšteva uvedená v bode 10 a Bezpečnostnému výboru sa predloží správa, ktorú tento musí považovať za uspokojivú. Ak však existujú výnimočné dôvody na naliehavú výmenu utajovaných skutočností, ktoré sa dajú na vedomie Rade, utajované skutočnosti EÚ sa môžu poskytnúť, pokiaľ sa vynaloží plné úsilie, aby sa takáto hodnotiaca návšteva uskutočnila čo najskôr.

21.

Elektronickými prostriedkami sa neuskutočňuje nijaká výmena utajovaných skutočností EÚ, pokiaľ sa to v správnom dojednaní výslovne neustanoví.

22.

Účasť tretích štátov a medzinárodných organizácií na operáciách SBOP sa spravuje rámcovými dohodami o účasti. Tieto dohody obsahujú ustanovenia o poskytovaní utajovaných skutočností EÚ vytvorených na účely operácií SBOP prispievajúcim tretím štátom alebo medzinárodným organizáciám. Najvyšší stupeň utajenia utajovaných skutočností EÚ, ktoré sa môžu vymieňať, je RESTREINT UE/EU RESTRICTED pre civilné operácie SBOP a CONFIDENTIEL UE/EU CONFIDENTIAL pre vojenské operácie SBOP, pokiaľ sa v rozhodnutí, ktorým sa daná operácia SBOP zriaďuje, neustanoví inak.

23.

Dohody o účasti ad hoc uzatvorené na účely konkrétnej operácie SBOP obsahujú ustanovenia o poskytovaní utajovaných skutočností EÚ vytvorených na účely tejto operácie prispievajúcemu tretiemu štátu alebo medzinárodnej organizácii. Najvyšší stupeň utajenia utajovaných skutočností EÚ, ktoré sa môžu vymieňať, je RESTREINT UE/EU RESTRICTED pre civilné operácie SBOP a CONFIDENTIEL UE/EU CONFIDENTIAL pre vojenské operácie SBOP, pokiaľ sa v rozhodnutí, ktorým sa daná operácia SBOP zriaďuje, neustanoví inak.

24.

Správne dojednania ad hoc o účasti tretieho štátu alebo medzinárodnej organizácie na konkrétnej operácii SBOP sa môžu okrem iného týkať poskytnutia utajovaných skutočností EÚ vytvorených na účely tejto operácie danému tretiemu štátu alebo medzinárodnej organizácii. Takéto správne dojednania ad hoc sa uzatvárajú v súlade s postupmi ustanovenými v bodoch 17 a 18 oddielu IV. Najvyšší stupeň utajenia utajovaných skutočností EÚ, ktoré sa môžu vymieňať, je RESTREINT UE/EU RESTRICTED pre civilné operácie SBOP a CONFIDENTIEL UE/EU CONFIDENTIAL pre vojenské operácie SBOP, pokiaľ sa v rozhodnutí, ktorým sa daná operácia SBOP zriaďuje, neustanoví inak.

25.

Pred začatím vykonávania ustanovení o poskytovaní utajovaných skutočností EÚ na základe bodov 22, 23 a 24 sa nevyžadujú nijaké vykonávacie dojednania ani hodnotiace návštevy.

26.

V prípade, keď hostiteľský štát, na ktorého území sa operácia SBOP vykonáva, neuzavrel dohodu o bezpečnosti utajovaných skutočností ani nemá správne dojednanie s EÚ na výmenu utajovaných skutočností a nastane konkrétna a okamžitá operačná potreba, môže sa ustanoviť správne dojednanie ad hoc. Táto možnosť sa musí ustanoviť v rozhodnutí, ktorým sa táto operácia SBOP zriaďuje. Poskytovanie utajovaných skutočností EÚ za takýchto okolností sa obmedzuje na utajované skutočnosti, ktoré sa vytvorili na účely operácie SBOP a ktorých stupeň utajenia nie je vyšší ako RESTREINT UE/EU RESTRICTED. Na základe takéhoto správneho dojednania ad hoc sa hostiteľský štát zaviaže chrániť utajované skutočnosti EÚ v súlade s minimálnymi normami, ktoré nie sú menej prísne ako minimálne normy stanovené v tomto rozhodnutí.

27.

V ustanoveniach o utajovaných skutočnostiach, ktoré sa vkladajú do rámcových dohôd o účasti, dohôd o účasti ad hoc a správnych dojednaní ad hoc uvedených v bodoch 22 až 24, sa ustanovuje, že dotknutý tretí štát alebo medzinárodná organizácia zabezpečia, že ich personál vyslaný do akejkoľvek operácie bude chrániť utajované skutočnosti EÚ v súlade s bezpečnostnými predpismi Rady a ďalšími pokynmi, ktoré vydajú príslušné orgány vrátane velenia operácie.

28.

Ak sa neskôr medzi EÚ a prispievajúcim tretím štátom alebo medzinárodnou organizáciou uzavrie dohoda o bezpečnosti utajovaných skutočností, má prednosť pred každou rámcovou dohodou o účasti, dohodou o účasti ad hoc alebo správnym dojednaním ad hoc, pokiaľ ide o výmenu utajovaných skutočností EÚ a manipuláciu s nimi.

29.

Na základe rámcovej dohody o účasti, dohody o účasti ad hoc alebo správneho dojednania ad hoc s tretím štátom alebo medzinárodnou organizáciou nie je povolená nijaká výmena utajovaných skutočností EÚ elektronickými prostriedkami, pokiaľ sa to v dotknutej dohode alebo dojednaní výslovne neustanoví.

30.

Utajované skutočnosti EÚ vytvorené na účely operácie SBOP sa môžu sprístupniť personálu vyslanému v rámci danej operácie tretími štátmi alebo medzinárodnými organizáciami v súlade s bodmi 22 až 29. Pri povoľovaní prístupu takéhoto personálu k utajovaným skutočnostiam EÚ v objektoch alebo CIS operácie SBOP sa musia uplatňovať opatrenia (vrátane zaznamenávania sprístupnených utajovaných skutočností EÚ) s cieľom znížiť riziko straty alebo vyzradenia. Takéto opatrenia sa stanovia v príslušných plánovacích dokumentoch alebo dokumentoch misie.

31.

V prípade, keď neexistuje nijaký rámec v zmysle oddielov III až V a keď Rada alebo jeden z jej prípravných orgánov rozhodnú o výnimočnej potrebe poskytnutia utajovaných skutočností EÚ tretiemu štátu alebo medzinárodnej organizácii, GSR:

32.

Ak Bezpečnostný výbor vydá v súvislosti s poskytnutím utajovaných skutočností EÚ kladné odporúčanie, záležitosť sa postúpi Výboru stálych predstaviteľov (COREPER), ktorý prijme rozhodnutie o ich poskytnutí.

33.

Ak Bezpečnostný výbor vydá v súvislosti s poskytnutím utajovaných skutočností EÚ záporné odporúčanie:

34.

V prípade potreby a pod podmienkou predchádzajúceho písomného súhlasu pôvodcu môže COREPER rozhodnúť o tom, že sa môže poskytnúť len časť utajovaných skutočností, alebo že sa tieto utajované skutočnosti môžu poskytnúť len v prípade, že sa najprv zníži alebo zruší stupeň ich utajenia, alebo že sa utajované skutočnosti, ktoré sa majú poskytnúť, pripravia bez toho, aby sa odkázalo na zdroj alebo pôvodný stupeň utajenia EÚ.

35.

Po rozhodnutí o poskytnutí utajovanej skutočnosti EÚ postúpi GSR dotknutý dokument, na ktorom sa uvedie označenie prístupnosti tretieho štátu alebo medzinárodnej organizácie, ktorej sa poskytuje. Pred vlastným poskytnutím alebo pri ňom sa dotknutá tretia strana písomne zaviaže, že bude utajované skutočnosti EÚ, s ktorými sa oboznámi, chrániť v súlade so základnými zásadami a minimálnymi štandardmi stanovenými v tomto rozhodnutí.

36.

V prípade, keď na výmenu utajovaných skutočností s tretím štátom alebo medzinárodnou organizáciou existuje rámec podľa bodu 2, Rada prijme rozhodnutie, ktorým udelí generálny tajomník právomoc poskytovať utajované skutočnosti EÚ v súlade so zásadou súhlasu pôvodcu danému tretiemu štátu alebo medzinárodnej organizácii.

37.

V prípade, keď na výmenu utajovaných skutočností s tretím štátom alebo medzinárodnou organizáciou existuje rámec podľa bodu 3, právomoc poskytovať utajované skutočnosti EÚ v súlade s rozhodnutím, ktorým sa operácia SBOP zriaďuje, a v súlade so zásadou súhlasu pôvodcu má generálny tajomník.

38.

Generálny tajomník môže tieto právomoci delegovať na vyšších úradníkov GSR alebo iné osoby, ktoré patria do jeho právomoci.

„bezpečnostná doložka“ (SAL) je súbor osobitných zmluvných podmienok vydaných verejným obstarávateľom, v ktorom sa stanovujú bezpečnostné požiadavky alebo prvky zmluvy vyžadujúce si bezpečnostnú ochranu a ktorý tvorí neoddeliteľnú súčasť každej utajovanej zmluvy, ktorá si vyžaduje prístup k utajovaným skutočnostiam EÚ alebo v rámci ktorej sa takéto utajované skutočnosti tvoria;

„bezpečnostné vyšetrovanie“ sú vyšetrovacie postupy vykonávané v súlade so zákonmi a inými právnymi predpismi dotknutého členského štátu príslušným vnútroštátnym orgánom členského štátu s cieľom získať ubezpečenie, že nie je známe nič, čo by bránilo udeliť tejto osobe národnú PSC alebo PSC EÚ, ktorou sa danej osobe udeľuje prístup k utajovaným skutočnostiam EÚ do stanoveného stupňa utajenia (CONFIDENTIEL UE/EU CONFIDENTIAL alebo vyššieho);

„bezpečnostný pokyn pre program/projekt“ (PSI) je zoznam bezpečnostných postupov, ktoré sa uplatňujú v rámci konkrétneho programu/projektu s cieľom štandardizovať bezpečnostné postupy. V priebehu programu/projektu sa môže revidovať;

„bezpečnostný režim prevádzky“ je vymedzenie podmienok, za ktorých CIS vykonáva činnosť, na základe stupňa utajenia utajovaných skutočností, s ktorými sa v ňom manipuluje, a stupňov previerok, formálnych schválení prístupu a potreby poznať týkajúcej sa jeho používateľov. Pri manipulácii s utajovanými skutočnosťami a ich prenose existujú štyri bezpečnostné režimy: vyhradený režim, režim vysokej bezpečnosti, režim kompartmentácie a viacúrovňový bezpečnostný režim prevádzky;

„certifikácia“ je proces, ktorý vedie k formálnemu vyhláseniu orgánu bezpečnostnej certifikácie (SAA), že za predpokladu, že sa zaviedol schválený súbor technických, fyzických, organizačných a procesných bezpečnostných opatrení, je systém v konkrétnom bezpečnostnom režime vo svojom operačnom prostredí schválený na činnosť s definovaným stupňom utajenia na prijateľnej úrovni rizika;

„certifikát o previerke personálnej bezpečnosti“ (Personnel Security Clearance Certificate – PSCC) je certifikát vydaný príslušným orgánom, ktorým sa potvrdzuje, že osoba je bezpečnostne preverená a je držiteľom platnej národnej PSC alebo PSC EÚ, a v ktorom sa uvádza stupeň utajenia utajovaných skutočností EÚ, ku ktorým sa môže tejto osobe udeliť prístup (CONFIDENTIEL UE/EU CONFIDENTIAL alebo vyšší), dátum platnosti príslušnej PSC a dátum skončenia platnosti samotného certifikátu;

„dodávateľ“ je fyzická alebo právnická osoba právne spôsobilá uzatvárať zmluvy;

„dokument“ je každá zaznamenaná informácia bez ohľadu na jej podobu alebo vlastnosti;

„držiteľ“ je riadne oprávnená osoba, u ktorej sa zistila potreba poznať a ktorá má v držbe položku utajovaných skutočností EÚ, a preto zodpovedá za jej ochranu;

„evidencia“ – pozri prílohu III bod 18;

„fyzická bezpečnosť“ – pozri článok 8 ods. 1;

„hĺbková ochrana“ je uplatňovanie škály bezpečnostných opatrení, ktoré sa organizujú do viacerých vrstiev;

„informačná bezpečnosť“ – pozri článok 10 ods. 1;

„komunikačný a informačný systém“ („CIS“) – pozri článok 10 ods. 2;

„kryptografický materiál“ sú kryptografické algoritmy, kryptografický hardvér a softvérové moduly a produkty vrátane údajov o ich implementácii a príslušnej dokumentácie a kryptografické kľúče;

„majetok“ je všetko, čo má pre organizáciu, jej činnosť a existenciu hodnotu, vrátane informačných zdrojov, ktoré slúžia na podporu plnenia jej úloh;

„manipulácia“ s utajovanými skutočnosťami EÚ je akýkoľvek úkon v súvislosti s utajovanými skutočnosťami EÚ, ktorý sa môže vykonať počas ich životného cyklu. Patrí sem vytváranie, spracúvanie, prenos, zníženie stupňa utajenia, zrušenie utajenia a zničenie. V súvislosti s CIS sem patrí aj zhromažďovanie, zobrazovanie, prenášanie a uchovávanie;

„ohrozenie“ je potenciálna príčina neželaného incidentu, ktorého výsledkom môže byť poškodenie organizácie alebo akéhokoľvek systému, ktorý používa; takéto ohrozenia môžu byť náhodné alebo úmyselné (so zlým úmyslom) a sú charakterizované svojimi prvkami hrozby, potenciálnymi cieľmi a metódami útoku;

„operácia SBOP“ je vojenská alebo civilná operácia krízového riadenia na základe hlavy V Zmluvy;

„personálna bezpečnosť“ – pozri článok 7 ods. 1;

„pôvodca“ je inštitúcia, agentúra alebo orgán EÚ, členský štát, tretí štát alebo medzinárodná organizácia, v ktorej právomoci sa utajované skutočnosti vytvorili a/alebo zaviedli do štruktúr EÚ;

„prepojenie“ pozri prílohu IV bod 31;

„previerka bezpečnosti zariadenia“ (FSC) je správne rozhodnutie NSA alebo DSA, že z hľadiska bezpečnosti poskytuje zariadenie primeranú ochranu utajovaných skutočností EÚ pre určený stupeň utajenia a jeho zamestnanci, ktorí potrebujú prístup k utajovaným skutočnostiam EÚ, boli primerane bezpečnostne preverení a poučení o príslušných bezpečnostných požiadavkách pre prístup k utajovaným skutočnostiam EÚ a ich ochranu;

„previerka personálnej bezpečnosti“ (PSC) je jeden z týchto pojmov alebo obidva:

„priemyselná bezpečnosť“ – pozri článok 11 ods. 1;

„priemyselný a iný subjekt“ je subjekt, ktorý dodáva tovar, vykonáva práce alebo poskytuje služby; môže zahŕňať subjekty pôsobiace v oblasti priemyslu, obchodu, služieb, vedy, výskumu, vzdelávania alebo rozvoja alebo samostatne zárobkovo činnú osobu;

„proces riadenia bezpečnostných rizík“ je celkový proces zameraný na určenie, kontrolu a minimalizáciu neistých udalostí, ktoré môžu mať vplyv na bezpečnosť organizácie alebo akéhokoľvek systému, ktorý používa. Zahŕňa všetky činnosti vzťahujúce sa na riziká vrátane ich vyhodnocovania, zabezpečenia sa proti nim, akceptácie a oznamovania;

„riziko“ je možnosť, že dané ohrozenie využije vnútorné a vonkajšie slabiny organizácie alebo niektorého zo systémov, ktorý táto organizácia používa, a tým spôsobí organizácii a jej hmotnému alebo nehmotnému majetku škodu. Meria sa kombináciou pravdepodobnosti, že sa ohrozenia naplnia, a ich následkov.

„slabina“ je slabá stránka akejkoľvek povahy, ktorú môže zneužiť jedno alebo viacero ohrození. Slabinu môže predstavovať opomenutie alebo sa môže týkať nedostatočnosti kontroly z hľadiska jej intenzity, úplnosti alebo súdržnosti a môže byť technického, procesného, fyzického, organizačného alebo operačného charakteru;

„správa utajovaných skutočností“ – pozri článok 9 ods. 1;

„TEMPEST“ je vyšetrovanie, skúmanie a kontrola elektromagnetického žiarenia predstavujúceho ohrozenie a opatrenia na jeho potlačenie;

„určený bezpečnostný orgán“ (DSA) je orgán podliehajúci národnému bezpečnostnému orgánu (NSA) členského štátu, ktorý je zodpovedný za informovanie priemyselných alebo iných subjektov o vnútroštátnej politike vo všetkých záležitostiach priemyselnej bezpečnosti a za usmerňovanie a podporu pri jej vykonávaní. Úlohu DSA môže vykonávať NSA alebo iný príslušný orgán;

„usmernenia pre určovanie stupňa utajenia“ (SCG) je dokument, v ktorom sa opisujú prvky programu alebo zmluvy, ktoré sa utajujú, s uvedením uplatniteľných bezpečnostných stupňov utajenia. SCG sa môžu v priebehu existencie programu alebo zmluvy rozšíriť a stupeň utajenia prvkov utajovaných skutočností sa môže zmeniť alebo znížiť; ak SCG existujú, tvoria súčasť doložky SAL;

„utajovaná skutočnosť EÚ“ – pozri článok 2 ods. 1;

„utajovaná subdodávateľská zmluva“ je zmluva medzi dodávateľom GSR a iným dodávateľom (t. j. subdodávateľom) o dodaní tovaru, vykonaní prác alebo poskytnutí služieb, ktorej plnenie si vyžaduje alebo zahŕňa prístup k utajovaným skutočnostiam EÚ alebo ich vytvorenie;

„utajovaná zmluva“ je zmluva medzi GSR a dodávateľom o dodaní tovaru, vykonaní prác alebo poskytnutí služieb, ktorej plnenie si vyžaduje alebo zahŕňa prístup k utajovaným skutočnostiam EÚ alebo ich vytvorenie;

„vec“ je každý dokument alebo prístroj či zariadenie vyrobené alebo v procese výroby;

„zníženie stupňa utajenia“ je zníženie úrovne utajenia;

„zrušenie utajenia“ je odstránenie akéhokoľvek stupňa utajenia;

„zvyškové riziko“ je riziko, ktoré zostáva po uplatnení bezpečnostných opatrení, vzhľadom na to, že nie je zabezpečená ochrana proti všetkým ohrozeniam a nie je možné odstrániť všetky slabiny;

„životný cyklus CIS“ je celkové trvanie existencie CIS, ktoré zahŕňa prvotný zámer, koncept, plánovanie, analýzu požiadaviek, projektovanie, vývoj, testovanie, uvedenie do prevádzky, prevádzku, údržbu a vyradenie.

Autorité nationale de Sécurité

SPF Affaires étrangères, Commerce extérieur et Coopération au Développement

15, rue des Petits Carmes

1000 Bruxelles

Tel. sekretariát: +32 25014542

Fax: +32 25014596

E-mail: nvo-ans@diplobel.fed.be

Politiets Efterretningstjeneste

(Danish Security Intelligence Service)

Klausdalsbrovej 1

2860 Søborg

Tel.: +45 33148888

Fax: +45 33430190

Forsvarets Efterretningstjeneste

(Danish Defence Intelligence Service)

Kastellet 30

2100 Copenhagen Ø

Tel.: +45 33325566

Fax: +45 33931320

State Commission on Information Security

90 Cherkovna Str.

1505 Sofia

Tel.: +359 29215911

Fax: +359 29873750

E-mail: dksi@government.bg

Website: www.dksi.bg

Bundesministerium des Innern

Referat ÖS III 3

Alt-Moabit 101 D

11014 Berlin

Tel.: +49 3018681 0

Fax: +49 30186811441

E-mail: oesIII3@bmi.bund.de

Národní bezpečnostní úřad

(National Security Authority)

Na Popelce 2/16

150 06 Praha 56

Tel.: +420 257283335

Fax: +420 257283110

E-mail: czech.nsa@nbu.cz

Website: www.nbu.cz

National Security Authority Department

Estonian Ministry of Defence

Sakala 1

15094 Tallinn

Tel.: +372 7170113, +372 7170117

Fax: +372 7170213

E-mail: nsa@kmin.ee

National Security Authority

Department of Foreign Affairs

76 - 78 Harcourt Street

Dublin 2 Ireland

Tel.: +353 14780822

Fax: +353 14082959

Autoridad Nacional de Seguridad

Oficina Nacional de Seguridad

Avenida Padre Huidobro s/n

28023 Madrid

Tel.: +34 913725000

Fax: +34 913725808

E-mail: nsa-sp@areatec.com

Γενικό Επιτελείο Εθνικής Άμυνας (ΓΕΕΘΑ)

Διακλαδική Διεύθυνση Στρατιωτικών Πληροφοριών (ΔΔΣΠ)

Διεύθυνση Ασφαλείας και Αντιπληροφοριών

ΣΤΓ 1020 -Χολαργός (Αθήνα)

Ελλάδα

Τηλέφωνα: +30 2106572045 (ώρες γραφείου)

+ 30/210/657 20 09 (ώρες γραφείου)

Φαξ: +30 2106536279

+30 2106577612

Hellenic National Defence General Staff (HNDGS)

Military Intelligence Sectoral Directorate

Security Counterintelligence Directorate

STG 1020 Holargos – Athens

Tel.: +30 2106572045

+30 2106572009

Fax: +30 2106536279

+30 2106577612

Secrétariat général de la défense et de la sécurité nationale

Sous-direction Protection du secret (SGDSN/PSD)

51 Boulevard de la Tour-Maubourg

75700 Paris 07 SP

Tel.: +33 1/71758177

Fax: +33 171758200

Presidenza del Consiglio dei Ministri

Autorità Nazionale per la Sicurezza

D.I.S. - U.C.Se.

Via di Santa Susanna, 15

00187 Roma

Tel.: +39 0661174266

Fax: +39 064885273

National Security Authority

Constitution Protection Bureau of the Republic of Latvia

P.O.Box 286

1001 Riga

Tel.: +371 67025418

Fax: +371 67025454

Email: ndi@sab.gov.lv

ΥΠΟΥΡΓΕΙΟ ΑΜΥΝΑΣ

ΣΤΡΑΤΙΩΤΙΚΟ ΕΠΙΤΕΛΕΙΟ ΤΟΥ ΥΠΟΥΡΓΟΥ

Εθνική Αρχή Ασφάλειας (ΕΑΑ)

Υπουργείο Άμυνας

Λεωφόρος Εμμανουήλ Ροΐδη 4

1432 Λευκωσία, Κύπρος

Τηλέφωνα: +357 22807569, +357 22807643, +357 22807764

Τηλεομοιότυπο: +357 22302351

Ministry of Defence

Minister's Military Staff

National Security Authority (NSA)

4 Emanuel Roidi street

1432 Nicosia

Tel.: +357 22807569, +357 22807643, +357 22807764

Fax: +357 22302351

E-mail: cynsa@mod.gov.cy

Lietuvos Respublikos paslapčių apsaugos koordinavimo komisija

(The Commission for Secrets Protection Coordination of the Republic of Lithuania

National Security Authority)

Gedimino 40/1

01110 Vilnius

Tel.: +370 52663201, +370 52663202

Fax: +370 52663200

E-mail: nsa@vsd.lt

Autorité nationale de Sécurité

Boîte postale 2379

1023 Luxembourg

Tel.: +352 24782210 central

+352 24782253 direct

Fax: +352 24782243

Ministerie van Binnenlandse Zaken en Koninkrijksrelaties

Postbus 20010

2500 EA Den Haag

Tel.: +31 703204400

Fax: +31 703200733

Ministerie van Defensie

Beveiligingsautoriteit

Postbus 20701

2500 ES Den Haag

Tel.: +31 703187060

Fax: +31 703187522

Nemzeti Biztonsági Felügyelet

(National Security Authority)

P.O. Box 2

1357 Budapest

Tel.: +361 3469652

Fax: +361 3469658

E-mail: nbf@nbf.hu

Website: www.nbf.hu

Ministry of Justice and Home Affairs

P.O. Box 146

Valletta

Tel.: +356 21249844

Fax: +356 25695321

Informationssicherheitskommission

Bundeskanzleramt

Ballhausplatz 2

1014 Wien

Tel.: +43 1531152594

Fax: +43 1531152615

E-mail: ISK@bka.gv.at

Agencja Bezpieczeństwa Wewnętrznego – ABW

(Internal Security Agency)

2A Rakowiecka St.

00-993 Warszawa

Tel.: +48 225857360

Fax: +48 225858509

E-mail: nsa@abw.gov.pl

Website: www.abw.gov.pl

Służba Kontrwywiadu Wojskowego

(Military Counter-Intelligence Service)

Classified Information Protection Bureamu

Oczki 1

02-007 Warszawa

Tel.: +48 226841247

Fax: +48 226841076

E-mail: skw@skw.gov.pl

Oficiul Registrului Național al Informațiilor Secrete de Stat

(Romanian NSA – ORNISS

National Registry Office for Classified Information)

4 Mures Street

012275 Bucharest

Tel.: +40 212245830

Fax: +40 212240714

E-mail: nsa.romania@nsa.ro

Website: www.orniss.ro

Presidência do Conselho de Ministros

Autoridade Nacional de Segurança

Rua da Junqueira, 69

1300-342 Lisboa

Tel.: +351 213031710

Fax: +351 213031711

Urad Vlade RS za varovanje tajnih podatkov

Gregorčičeva 27

1000 Ljubljana

Tel.: +386 14781390

Fax: +386 14781399

Národný bezpečnostný úrad

(National Security Authority)

Budatínska 30

P.O. Box 16

850 07 Bratislava

Tel.: +421 268692314

Fax: +421 263824005

Website: www.nbusr.sk

Utrikesdepartementet

(Ministry for Foreign Affairs)

SSSB

103 39 Stockholm

Tel.: +46 84051000

Fax: +46 87231176

E-mail: ud-nsa@foreign.ministry.se

National Security Authority

Ministry for Foreign Affairs

P.O. Box 453

00023 Government

Tel. 1: +358 916056487

Tel. 2: +358 916056484

Fax: +358 916055140

E-mail: NSA@formin.fi

UK National Security Authority

Room 335, 3rd Floor

70 Whitehall

London

SW1A 2AS

Tel. 1: +44 2072765649

Tel. 2: +44 2072765697

Fax: +44 2072765651

Email: UK-NSA@cabinet-office.x.gsi.gov.uk