1.

V tejto prílohe sa uvádzajú vykonávacie ustanovenia k článku 7. Stanovujú sa v nej kritériá, na základe ktorých sa určuje, či osobe pri zohľadnení jej lojality, dôveryhodnosti a spoľahlivosti možno povoliť prístup k utajovaným skutočnostiam EÚ, a vyšetrovacie a správne postupy, ktoré sa majú v tejto súvislosti dodržiavať.

2.

Osobe sa udelí prístup k utajovaným skutočnostiam len potom, ako:

3.

Každý členský štát a GSR určia v rámci svojich štruktúr pozície, ktoré si vyžadujú prístup k utajovaným skutočnostiam so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL alebo vyšším, a ktoré si teda vyžadujú bezpečnostnú previerku pre príslušný stupeň.

4.

NSA alebo iné príslušné vnútroštátne orgány sú na základe doručenej a riadne autorizovanej žiadosti zodpovedné za zabezpečenie vykonávania bezpečnostných vyšetrovaní svojich štátnych príslušníkov, ktorí potrebujú prístup k utajovaným skutočnostiam so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL alebo vyšším. Normy vykonania týchto vyšetrovaní sú stanovené vnútroštátnymi zákonmi a inými právnymi predpismi na účely vydania PSC alebo na účely poskytnutia ubezpečenia jednotlivcovi, že sa mu prípadne udelí povolenie na prístup k utajovaným skutočnostiam EÚ.

5.

Ak má príslušná osoba bydlisko na území iného členského štátu alebo tretieho štátu, príslušné vnútroštátne orgány spolupracujú v súlade s vnútroštátnymi zákonmi a inými právnymi predpismi s príslušným orgánom štátu bydliska. Členské štáty si v súlade s vnútroštátnymi zákonmi a inými právnymi predpismi pri vykonávaní bezpečnostných vyšetrovaní navzájom pomáhajú.

6.

Ak to vnútroštátne zákony a iné právne predpisy umožňujú, NSA alebo iné príslušné vnútroštátne orgány môžu vykonávať vyšetrovania cudzích štátnych príslušníkov, ktorí potrebujú prístup k utajovaným skutočnostiam so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL alebo vyšším. Normy vykonania týchto vyšetrovaní sú v súlade s vnútroštátnymi zákonmi a inými právnymi predpismi.

7.

Skutočnosť, či je osoba lojálna, dôveryhodná a spoľahlivá na účely bezpečnostného preverenia na prístup k utajovaným skutočnostiam so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL alebo vyšším, sa stanovuje prostredníctvom bezpečnostného vyšetrovania. Príslušný vnútroštátny orgán uskutoční na základe zistení z tohto bezpečnostného vyšetrovania celkové vyhodnotenie. Prostredníctvom hlavných kritérií, ktoré sa na tento účel uplatňujú, sa v rozsahu, v ktorom to umožňujú vnútroštátne zákony a iné právne predpisy, sa okrem iného preveruje, či osoba:

8.

Keď je to vhodné, pri bezpečnostnom vyšetrovaní sa môže v súlade s vnútroštátnymi zákonmi a inými právnymi predpismi prihliadať aj na finančnú situáciu a zdravotný stav osoby.

9.

Keď je to vhodné, pri bezpečnostnom vyšetrovaní sa môže v súlade s vnútroštátnymi zákonmi a inými právnymi predpismi prihliadať aj na konanie a okolnosti manžela/manželky, druha/družky alebo blízkeho rodinného príslušníka.

10.

Prvá bezpečnostná previerka na účely prístupu k utajovaným skutočnostiam so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL a SECRET UE/EU SECRET sa zakladá na bezpečnostnom vyšetrovaní, ktoré pokrýva najmenej posledných päť rokov alebo obdobie od dosiahnutia veku 18 rokov do súčasnosti podľa toho, ktoré z týchto období je kratšie a zahŕňa:

11.

Prvá bezpečnostná previerka na účely prístupu k utajovaným skutočnostiam so stupňom utajenia TRÈS SECRET UE/EU TOP SECRET sa zakladá na bezpečnostnom vyšetrovaní, ktoré pokrýva najmenej posledných 10 rokov alebo obdobie od dosiahnutia veku 18 rokov do súčasnosti podľa toho, ktoré z týchto období je kratšie. Ak sa uskutočňujú pohovory v zmysle písmena e), vyšetrovanie pokrýva minimálne posledných 7 rokov alebo obdobie od dosiahnutia veku 18 rokov do súčasnosti podľa toho, ktoré z týchto období je kratšie. Okrem kritérií uvedených v bode 7 sa pred udelením PSC pre stupeň utajenia TRÈS SECRET UE/EU TOP SECRET vyšetria v rozsahu, ktorý umožňujú vnútroštátne zákony a iné právne predpisy, ďalej uvádzané prvky; možno ich vyšetriť aj pred udelením PSC pre stupeň utajenia CONFIDENTIEL UE/EU CONFIDENTIAL alebo SECRET UE/EU SECRET, ak sa to vyžaduje vo vnútroštátnych zákonoch a iných právnych predpisoch:

12.

V súlade s vnútroštátnymi zákonmi a inými právnymi predpismi sa môže v prípade potreby uskutočniť dodatočné vyšetrovanie zamerané na získanie všetkých dôležitých dostupných informácií o osobe a na preukázanie alebo vyvrátenie negatívnych informácií.

13.

Po prvom udelení bezpečnostnej previerky a za predpokladu, že osoba neprerušila svoju službu vo verejnej správe alebo v GSR a naďalej potrebuje prístup k utajovaným skutočnostiam EÚ, sa táto bezpečnostná previerka preskúma na účely predĺženia v lehotách, ktoré neprekračujú 5 rokov v prípade previerky pre stupeň utajenia TRÈS SECRET UE/EU TOP SECRET a 10 rokov v prípade previerky pre stupeň utajenia SECRET UE/EU SECRET a CONFIDENTIEL UE/EU CONFIDENTIAL, ktoré začínajú plynúť od oznámenia výsledku posledného bezpečnostného vyšetrovania, o ktoré sa tieto previerky opierajú. Vo všetkých bezpečnostných vyšetrovaniach na účely predĺženia platnosti bezpečnostnej previerky sa vyhodnocuje obdobie, ktoré uplynulo od predchádzajúceho vyšetrovania.

14.

Na účely predĺženia platnosti bezpečnostných previerok sa vyšetrujú prvky uvedené v bodoch 10 a 11.

15.

Žiadosti o predĺženie platnosti sa podávajú včas tak, aby sa zohľadnil čas potrebný na vykonanie bezpečnostných vyšetrovaní. V prípade, že bola príslušnému NSA alebo inému príslušnému vnútroštátnemu orgánu doručená príslušná žiadosť o predĺženie a zodpovedajúci osobný bezpečnostný dotazník pred tým, ako uplynie platnosť bezpečnostnej previerky, ale potrebné bezpečnostné vyšetrovanie sa ešte neukončilo, príslušný vnútroštátny orgán môže predĺžiť obdobie platnosti existujúcej bezpečnostnej previerky o obdobie až do 12 mesiacov, ak to umožňujú vnútroštátne zákony a iné právne predpisy. Ak sa ku koncu tohto 12-mesačného obdobia bezpečnostné vyšetrovanie ešte stále neukončilo, osobe sa pridelia úlohy, ktoré si nevyžadujú bezpečnostnú previerku.

16.

V prípade úradníkov a iných zamestnancov GSR zasiela vyplnený osobný bezpečnostný dotazník národnému bezpečnostnému orgánu členského štátu, ktorého je osoba štátnym príslušníkom, bezpečnostný orgán GSR, ktorý požiada o vykonanie bezpečnostného vyšetrovania pre stupeň utajenia utajovaných skutočností EÚ, ku ktorým bude táto osoba požadovať prístup.

17.

Ak GSR zistí o osobe, ktorá požiadala o vydanie bezpečnostnej previerky na prístup k utajovaným skutočnostiam EÚ, relevantné informácie z hľadiska bezpečnostného vyšetrovania, oznámi túto skutočnosť v súlade s príslušnými pravidlami a predpismi príslušnému NSA.

18.

Po ukončení bezpečnostného vyšetrovania príslušný NSA oznámi bezpečnostnému orgánu GSR výsledok tohto vyšetrovania, a to v príslušnom formáte pre korešpondenciu, ktorý stanovil Bezpečnostný výbor.

19.

Na bezpečnostné vyšetrovanie a získané výsledky sa vzťahujú príslušné zákony a iné právne predpisy, ktoré sú platné v dotknutom členskom štáte, vrátane tých, ktoré sa týkajú odvolania. Proti rozhodnutiam menovacieho orgánu GSR možno podať odvolanie v súlade so Služobným poriadkom úradníkov Európskej únie a podmienkami zamestnávania ostatných zamestnancov Európskej únie stanovenými v nariadení Rady (EHS, Euratom, ESUO) č. 259/68 (1) (ďalej len „služobný poriadok a podmienky zamestnávania“).

20.

Národní experti vyslaní pracovať v GSR na pozícii, ktorá si vyžaduje prístup k utajovaným skutočnostiam EÚ so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL a vyšším, predložia bezpečnostnému orgánu GSR pred začatím vykonávania funkcie platné osvedčenie o bezpečnostnej previerke osoby (Personnel Security Clearance Certificate – PSCC) na účely prístupu k utajovaným skutočnostiam EÚ, na základe ktorého vydá menovací orgán povolenie na prístup k utajovaným skutočnostiam EÚ.

21.

GSR akceptuje povolenie na prístup k utajovaným skutočnostiam EÚ udelené ktoroukoľvek inou inštitúciou, orgánom alebo agentúrou Únie za predpokladu, že zostáva platné. Povolenie bude platné pre každú funkciu, ktorú dotknutá osoba vykonáva v GSR. Inštitúcia, orgán alebo agentúra EÚ, v ktorej sa osoba zamestná, oznámi príslušnému NSA zmenu zamestnávateľa.

22.

Ak sa obdobie služby osoby nezačne do 12 mesiacov od oznámenia výsledku bezpečnostného vyšetrovania menovaciemu orgánu GSR alebo ak sa služba osoby preruší na obdobie 12 mesiacov, počas ktorých táto osoba nie je zamestnaná v GSR ani na pozícii vo verejnej správe členského štátu, platnosť a náležitosť tohto výsledku sa overí u príslušného NSA.

23.

Ak sa GSR oboznámi s informáciami týkajúcimi sa bezpečnostných rizík, ktoré predstavuje osoba, ktorá má povolenie na prístup k utajovaným skutočnostiam EÚ, GSR konajúci v súlade s príslušnými pravidlami a predpismi to oznámi príslušnému NSA a prístup k utajovaným skutočnostiam EÚ môže pozastaviť alebo môže povolenie na prístup k utajovaným skutočnostiam EÚ odňať.

24.

Ak NSA informuje GSR o odňatí ubezpečenia udeleného v súlade s bodom 18 písm. a) osobe, ktorá má povolenie na prístup k utajovaným skutočnostiam EÚ, menovací orgán GSR môže požiadať o akékoľvek podrobnosti, ktoré NSA môže na základe vnútroštátnych zákonov a iných právnych predpisov poskytnúť. Ak sa negatívne informácie potvrdia, povolenie sa odníme a osobe sa zruší možnosť prístupu k utajovaným skutočnostiam EÚ a preradí sa z pozícií, kde takáto možnosť prístupu existuje alebo kde by táto osoba mohla predstavovať bezpečnostné riziko.

25.

Každé rozhodnutie o odňatí alebo pozastavení povolenia úradníka alebo iného zamestnanca GSR na prístup k utajovaným skutočnostiam EÚ a, ak je to vhodné, jeho dôvody sa oznámia dotknutej osobe, ktorá môže požiadať o pohovor s menovacím orgánom. Na informácie, ktoré poskytuje NSA, sa vzťahujú príslušné zákony a iné právne predpisy, ktoré sú platné v dotknutom členskom štáte, vrátane tých, ktoré sa týkajú odvolania. Proti rozhodnutiam menovacieho orgánu GSR možno podať odvolanie v súlade so služobným poriadkom a podmienkami zamestnávania.

26.

Záznamy o PSC a povoleniach udelených na účely prístupu k utajovaným skutočnostiam so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL a vyšším uchovávajú členské štáty (záznamy o PSC) a GSR (záznamy o povoleniach). Tieto záznamy obsahujú aspoň stupeň utajenia utajovaných skutočností EÚ, ku ktorým sa osobe môže udeliť prístup, dátum udelenia bezpečnostnej previerky a obdobie jej platnosti.

27.

Príslušný bezpečnostný orgán môže vydať PSCC osvedčenie o bezpečnostnej previerke osoby (PSCC), v ktorom sa uvádza stupeň utajenia utajovaných skutočností EÚ, ku ktorým sa môže osobe udeliť prístup (CONFIDENTIEL UE/EU CONFIDENTIAL alebo vyšší), dátum platnosti príslušnej PSC na účely prístupu k utajovaným skutočnostiam EÚ alebo povolenie na prístup k utajovaným skutočnostiam EÚ a dátum ukončenia platnosti samotného certifikátu.

28.

Prístup k utajovaným skutočnostiam EÚ v členských štátoch zo strany osôb, ktoré majú náležité povolenie na základe povahy svojej funkcie, sa stanovuje na základe vnútroštátnych zákonov a iných právnych predpisov; takéto osoby sú poučené o bezpečnostných povinnostiach v súvislosti s ochranou utajovaných skutočností EÚ.

29.

Každá osoba, ktorej sa udelila bezpečnostná previerka, písomne potvrdí, že porozumela svojim povinnostiam týkajúcim sa ochrany utajovaných skutočností EÚ a následkom v prípade ich vyzradenia. Záznam o takomto písomnom potvrdení uchováva členský štát, resp. GSR.

30.

Každá osoba, ktorá má povolený prístup k utajovaným skutočnostiam EÚ alebo od ktorej sa vyžaduje, aby s nimi manipulovala, je na začiatku informovaná a ďalej pravidelne poučovaná o ohrozeniach a je povinná bezodkladne oznámiť príslušným bezpečnostným orgánom všetky kontakty alebo aktivity, ktoré považuje za podozrivé a neobvyklé.

31.

Každá osoba, ktorá ukončila zamestnanie vyžadujúce si prístup k utajovaným skutočnostiam EÚ, je poučená o svojich povinnostiach naďalej chrániť utajované skutočnosti EÚ, čo potvrdí písomne, ak je to potrebné.

32.

Ak to umožňujú vnútroštátne zákony a iné právne predpisy, bezpečnostná previerka, ktorú príslušný vnútroštátny orgán členského štátu udelil na účely prístupu k vnútroštátnym utajovaným skutočnostiam, môže na čas, kým sa neudelí PSC na prístup k utajovaným skutočnostiam EÚ, úradníkom členského štátu umožniť prístup k utajovaným skutočnostiam EÚ do rovnocenného stupňa utajenia stanoveného podľa ekvivalenčnej tabuľky uvedenej v dodatku B, ak je tento dočasný prístup potrebný z hľadiska záujmov Únie. V prípade, že vnútroštátne zákony a iné právne predpisy takýto dočasný prístup k utajovaným skutočnostiam EÚ neumožňujú, NSA o tom informujú Bezpečnostný výbor.

33.

V naliehavých prípadoch, ktoré sú náležite odôvodnené záujmami útvaru, môže menovací orgán GSR po porade s NSA členského štátu, ktorého je osoba štátnym príslušníkom, do ukončenia úplného bezpečnostného vyšetrovania a na základe predbežných preverení slúžiacich na overenie, či nie sú známe negatívne skutočnosti, udeliť dočasné povolenie úradníkom a iným zamestnancom GSR na prístup k utajovaným skutočnostiam EÚ pre konkrétnu úlohu. Takéto dočasné povolenie je platné počas obdobia, ktoré nepresahuje 6 mesiacov, a nemôže sa ním povoliť prístup k utajovaným skutočnostiam so stupňom utajenia TRÈS SECRET UE/EU TOP SECRET. Každá osoba, ktorej sa udelilo dočasné povolenie, písomne potvrdí, že porozumela svojim povinnostiam týkajúcim sa ochrany utajovaných skutočností EÚ a následkom v prípade ich vyzradenia. Záznam o takomto písomnom potvrdení uchováva GSR.

34.

Ak má byť osoba pridelená na pozíciu, ktorá si vyžaduje bezpečnostnú previerku pre stupeň utajenia, ktorý je o jeden stupeň vyšší ako stupeň utajenia, ktorého je osoba v súčasnosti držiteľom, táto osoba sa dočasne na túto pozíciu môže prideliť, ak:

35.

Uvedený postup sa používa v prípade jednorazového prístupu k utajovaným skutočnostiam EÚ so stupňom utajenia o jeden stupeň vyšším ako stupeň, pre ktorý bola osoba bezpečnostne preverená. Tento postup sa nevyužíva opakovane.

36.

Za veľmi výnimočných okolností, napr. pri misiách v nepriateľskom prostredí alebo počas obdobia rastúceho medzinárodného napätia, keď si to vyžadujú núdzové opatrenia, predovšetkým na účely záchrany životov, môžu členské štáty a generálny tajomník alebo jeho zástupca udeliť, ak je to možné písomne, prístup k utajovaným skutočnostiam so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL alebo SECRET UE/EU SECRET osobám, ktoré nie sú držiteľmi potrebnej bezpečnostnej previerky pod podmienkou, že takéto povolenie je absolútne nevyhnutné a neexistujú nijaké odôvodnené pochybnosti o lojalite, dôveryhodnosti a spoľahlivosti dotknutej osoby. O takomto povolení sa uchováva záznam s uvedením utajovaných skutočností, ku ktorým bol schválený prístup.

37.

V prípade utajovaných skutočností so stupňom utajenia TRÈS SECRET UE/EU TOP SECRET sa povolenie takéhoto núdzového prístupu obmedzuje na štátnych príslušníkov Únie, ktorým bol udelený prístup k utajovaným skutočnostiam, ktorých stupeň utajenia na vnútroštátnej úrovni je rovnocenný stupňu utajenia TRÈS SECRET UE/EU TOP SECRET alebo SECRET UE/EU SECRET.

38.

V prípade uplatnenia postupu stanoveného v bodoch 36 a 37 sa o tejto skutočnosti informuje Bezpečnostný výbor.

39.

Ak vnútroštátne zákony a iné právne predpisy členských štátov ustanovujú v súvislosti s dočasným povolením, dočasným pridelením, jednorazovým prístupom alebo núdzovým prístupom osôb k utajovaným skutočnostiam prísnejšie pravidlá, postupy ustanovené v tomto oddiele sa vykonávajú v rámci akýchkoľvek obmedzení stanovených v príslušných vnútroštátnych zákonoch a iných právnych predpisoch.

40.

Bezpečnostnému výboru sa zasiela výročná správa o využívaní postupov uvedených v tomto oddiele.

41.

S výhradou bodu 28 osoby poverené, aby sa zúčastňovali na zasadnutiach Rady alebo jej prípravných orgánov, na ktorých sa rokuje o utajovaných skutočnostiach so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL alebo vyšším, sa môžu na týchto zasadnutiach zúčastňovať, len ak sa potvrdil stav ich bezpečnostnej previerky. Za delegátov zasielajú PSCC alebo iné doklady o bezpečnostnej previerke Bezpečnostnému úradu GSR príslušné orgány, alebo vo výnimočných prípadoch ich predkladá dotknutý delegát. V prípade potreby sa môže použiť súhrnný zoznam mien, ktorý poskytuje príslušný doklad o bezpečnostnej previerke.

42.

Ak sa PSC na prístup k utajovaným skutočnostiam EÚ z bezpečnostných dôvodov odňala osobe, ktorej povinnosti si vyžadujú jej účasť na zasadnutiach Rady alebo jej prípravných orgánov, príslušný orgán o tom informuje GSR.

43.

Kuriéri, príslušníci bezpečnostnej služby a sprievodu sú bezpečnostne preverení pre príslušný stupeň utajenia alebo vyšetrení iným vhodným spôsobom v súlade s vnútroštátnymi zákonmi a inými právnymi predpismi, poučení o bezpečnostných postupoch na ochranu utajovaných skutočností EÚ a informovaní o svojich povinnostiach v súvislosti s ochranou takýchto utajovaných skutočností, ktoré sú im zverené.

1.

V tejto prílohe sa uvádzajú vykonávacie ustanovenia k článku 8. Stanovujú sa v nej minimálne požiadavky fyzickej ochrany objektov, budov, kancelárií, miestností a iných priestorov, v ktorých sa manipuluje s utajovanými skutočnosťami EÚ a v ktorých sa utajované skutočnosti EÚ uchovávajú, ako aj priestorov, v ktorých sa nachádzajú CIS.

2.

Na zabránenie neoprávnenému prístupu k utajovaným skutočnostiam EÚ sa vytvoria opatrenia fyzickej bezpečnosti, ktorými sa:

3.

Opatrenia fyzickej bezpečnosti sa zvolia na základe posúdenia ohrozenia, ktoré vykonajú príslušné orgány. Na zabezpečenie úrovne fyzickej ochrany zodpovedajúcej vyhodnotenému riziku uplatňujú GSR a členské štáty vo svojich objektoch proces riadenia rizík na ochranu utajovaných skutočností EÚ. V procese riadenia rizík sa zohľadnia všetky relevantné faktory, a najmä:

4.

Príslušný bezpečnostný orgán určuje na základe koncepcie hĺbkovej ochrany vhodnú kombináciu opatrení fyzickej bezpečnosti, ktoré sa uplatnia. Môže medzi ne patriť jedno alebo viaceré z týchto kritérií:

5.

Príslušný orgán môže byť oprávnený vykonávať pri vstupe a výstupe prehliadky, ktorých cieľom je odradiť od nepovoleného prinesenia vecí alebo nepovoleného odnesenia utajovaných skutočností EÚ z objektu alebo budov.

6.

Ak existuje riziko nahliadnutia do utajovaných skutočností EÚ, aj keď len náhodného, musia sa prijať primerané opatrenia na zabránenie tomuto riziku.

7.

V prípade nových zariadení sa požiadavky fyzickej bezpečnosti a ich funkčné špecifikácie definujú vo fáze plánovania a projektovania zariadení. V prípade existujúcich zariadení sa požiadavky fyzickej bezpečnosti uplatňujú v čo najväčšom rozsahu.

8.

Pri obstarávaní technických zariadení na fyzickú ochranu utajovaných skutočností EÚ (napríklad bezpečnostných úschovných objektov, skartovacích strojov, zámok do dverí, elektronických systémov na kontrolu vstupu, IDS, poplachových systémov) príslušný bezpečnostný orgán zabezpečuje, že toto zariadenie spĺňa schválené technické normy a minimálne požiadavky.

9.

Technické špecifikácie zariadení na fyzickú ochranu utajovaných skutočností EÚ sa ustanovia v bezpečnostných usmerneniach, ktoré schváli Bezpečnostný výbor.

10.

Bezpečnostné systémy podliehajú pravidelnej inšpekcii a na zariadeniach sa vykonáva pravidelná údržba. Pri údržbových prácach sa prihliada na výsledok inšpekcií, aby sa zabezpečilo, že zariadenie naďalej funguje optimálnym spôsobom.

11.

Pri každej inšpekcii sa opätovne posudzuje účinnosť jednotlivých bezpečnostných opatrení a celého bezpečnostného systému.

12.

Na účely fyzickej ochrany utajovaných skutočností EÚ sa zriadia dva typy fyzicky chránených priestorov alebo im rovnocenných priestorov na vnútroštátnej úrovni:

Všetky odkazy na administratívne zóny a zabezpečené priestory vrátane technicky zabezpečených priestorov v tomto rozhodnutí sa vzťahujú aj na rovnocenné priestory na vnútroštátnej úrovni.

13.

Príslušný bezpečnostný orgán ustanoví, že priestor spĺňa požiadavky na označenie ako administratívna zóna, zabezpečený priestor alebo technicky zabezpečený priestor.

14.

Pokiaľ ide o administratívne zóny:

15.

Pokiaľ ide o zabezpečené priestory:

16.

Ak vstup do zabezpečeného priestoru predstavuje zo všetkých praktických hľadísk priamy prístup k utajovaným skutočnostiam, ktoré obsahuje, uplatňujú sa tieto dodatočné požiadavky:

17.

Zabezpečené priestory chránené proti aktívnemu odpočúvaniu sú ustanovené za technicky zabezpečené priestory. Uplatňujú sa tieto dodatočné požiadavky:

18.

Bez ohľadu na bod 17 písm. d) v prípade, že sa ohrozenie utajovaných skutočností EÚ vyhodnotí ako vysoké, skontroluje príslušný bezpečnostný orgán všetky komunikačné prostriedky a elektrické alebo elektronické vybavenie predtým, ako sa použijú v priestoroch, kde sa konajú zasadnutia alebo kde sa pracuje s utajovanými skutočnosťami so stupňom utajenia SECRET UE/EU SECRET a vyšším, aby sa zaistilo, že sa týmito zariadeniami neúmyselne alebo neoprávnene neprenesú za perimeter príslušného zabezpečeného priestoru žiadne zrozumiteľné informácie.

19.

V zabezpečených priestoroch, v ktorých nevykonáva službukonajúci personál službu 24 hodín denne, sa podľa potreby vykonávajú kontroly na konci bežného pracovného času a v náhodných intervaloch mimo bežných pracovných hodín, pokiaľ nie je nainštalovaný systém IDS.

20.

V prípade stretnutia s cieľom prerokovať utajované skutočnosti alebo na iné podobné účely sa zabezpečené priestory a technicky zabezpečené priestory môžu dočasne zriadiť v rámci administratívnej zóny.

21.

Pre každý zabezpečený priestor sa vypracujú operačné bezpečnostné postupy, v ktorých sa stanoví:

22.

V zabezpečených priestoroch sa vybudujú komorové trezory. Steny, podlahy, stropy, okná a uzamykateľné dvere musia byť schválené príslušným bezpečnostným orgánom a musia poskytovať ochranu, ktorá je rovnocenná ochrane poskytovanej bezpečnostnými úschovnými objektmi schválenými na uchovávanie utajovaných skutočností EÚ s rovnakým stupňom utajenia.

23.

S utajovanými skutočnosťami EÚ so stupňom utajenia RESTREINT UE/EU RESTRICTED sa môže manipulovať:

24.

Utajované skutočnosti EÚ so stupňom utajenia RESTREINT UE/EU RESTRICTED sa uchovávajú vo vhodnom uzamknutom kancelárskom nábytku v administratívnej zóne alebo zabezpečenom priestore. Dočasne je možné ich uchovávať mimo zabezpečeného priestoru alebo administratívnej zóny za predpokladu, že držiteľ týchto utajovaných skutočností sa zaviazal dodržiavať kompenzačné opatrenia ustanovené v bezpečnostných pokynoch, ktoré vydal príslušný bezpečnostný orgán.

25.

S utajovanými skutočnosťami EÚ so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL alebo SECRET UE/EU SECRET sa môže manipulovať:

26.

Utajované skutočnosti EÚ so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL a SECRET UE/EU SECRET sa v zabezpečenom priestore uchovávajú buď v bezpečnostnom úschovnom objekte alebo v komorovom trezore.

27.

S utajovanými skutočnosťami EÚ so stupňom utajenia TRÈS SECRET UE/EU TOP SECRET sa manipuluje v zabezpečenom priestore.

28.

Utajované skutočnosti EÚ so stupňom utajenia TRÈS SECRET UE/EU TOP SECRET sa uchovávajú v zabezpečenom priestore, pričom musí byť splnená jedna z týchto podmienok:

29.

Pravidlá, ktorými sa spravuje prenos utajovaných skutočností EÚ mimo fyzicky chránených priestorov, sú stanovené v prílohe III.

30.

Príslušný bezpečnostný orgán definuje postupy pre správu kľúčov a nastavení kombinácií na prístup do kancelárií, miestností, komorových trezorov a bezpečnostných úschovných objektov. Tieto postupy chránia proti neoprávnenému prístupu.

31.

Nastavenia kombinácií do pamäte ukladá čo najmenší možný počet osôb, ktoré ich potrebujú. Nastavenia kombinácií do bezpečnostných úschovných objektov a komorových trezorov, v ktorých sa uchovávajú utajované skutočnosti EÚ, sa menia:

1.

V tejto prílohe sa uvádzajú vykonávacie ustanovenia k článku 9. Stanovujú sa v nej administratívne opatrenia pre kontrolu utajovaných skutočností EÚ počas ich životného cyklu, ktorých cieľom je pomôcť pri odradení od úmyselného alebo náhodného vyzradenia alebo straty takýchto utajovaných skutočností a zistení tohto vyzradenia alebo straty.

2.

Skutočnosti sa utajujú, ak je to potrebné na ochranu ich dôvernosti.

3.

Zodpovednosť za určenie stupňa utajenia v súlade s príslušnými usmerneniami pre utajovanie a za prvú distribúciu utajovanej skutočnosti EÚ nesie jej pôvodca.

4.

Stupeň utajenia utajovanej skutočnosti EÚ sa stanovuje podľa článku 2 ods. 2 na základe bezpečnostnej politiky, ktorá sa schváli v súlade s článkom 3 ods. 3.

5.

Stupeň utajenia sa uvádza jasne a správne bez ohľadu na to, či má utajovaná skutočnosť EÚ písomnú, ústnu, elektronickú, či inú podobu.

6.

Jednotlivé časti daného dokumentu (napr. stránky, odseky, oddiely, doplnky, dodatky, pripojenia a prílohy) si môžu vyžadovať rôzny stupeň utajenia a podľa toho sa aj označujú, a to aj keď sa uchovávajú v elektronickej podobe.

7.

Celkový stupeň utajenia dokumentu alebo spisu zodpovedá minimálne najvyššiemu stupňu utajenia jeho jednotlivej časti. Keď sa spájajú utajované skutočnosti z rôznych zdrojov, konečný produkt sa preskúma s cieľom určiť celkový stupeň utajenia, pretože si môže vyžadovať vyšší stupeň utajenia ako jeho jednotlivé časti.

8.

Dokumenty, ktoré obsahujú časti podliehajúce rozdielnym stupňom utajenia, sa v maximálnej možnej miere usporadúvajú tak, aby sa časti s iným stupňom utajenia dali ľahko identifikovať a v prípade potreby oddeliť.

9.

Stupeň utajenia listu alebo sprievodného listu obsahujúceho prílohy zodpovedá najvyššiemu stupňu utajenia príloh. Pôvodca príslušným označením jednoznačne uvedie stupeň jeho utajenia bez príloh, napríklad:

CONFIDENTIEL UE/EU CONFIDENTIAL

Bez prílohy (príloh) RESTREINT UE/EU RESTRICTED

10.

Okrem niektorého z označení stupňa utajenia podľa článku 2 ods. 2, môžu mať utajované skutočnosti EÚ aj doplňujúce označenie, napríklad:

11.

Na označenie stupňa utajenia jednotlivých odsekov textu sa môžu používať štandardné skrátené označenia stupňov utajenia. Skratky nenahrádzajú plné označenia stupňov utajenia.

12.

Na označenie stupňa utajenia oddielov alebo častí textu, ktoré sú kratšie ako jedna strana, možno v utajených dokumentoch EÚ používať tieto štandardné skratky:

13.

Pri vytvorení utajovaného dokumentu EÚ:

14.

Ak na utajovanú skutočnosť EÚ nie je možné uplatniť bod 13, prijmú sa iné primerané opatrenia v súlade s bezpečnostnými usmerneniami podľa článku 6 ods. 2.

15.

Ak je to možné, a predovšetkým v prípade utajovaných skutočností so stupňom utajenia RESTREINT UE/EU RESTRICTED pôvodca v čase vytvorenia utajovanej skutočnosti EÚ uvedie, či je možné znížiť jej stupeň utajenia alebo utajenie zrušiť k určitému dátumu alebo po istej udalosti.

16.

GSR vykonáva pravidelné posúdenie utajovaných skutočností EÚ, ktorých je držiteľom, aby stanovil, či je naďalej potrebný daný stupeň utajenia. GSR zriadi systém, ktorým minimálne každých päť rokov posudzuje stupeň utajenia utajovaných skutočností EÚ, ktorých je pôvodcom. Takéto posúdenie nie je potrebné, keď pôvodca hneď na začiatku uviedol, že sa stupeň utajenia danej utajovanej skutočnosti automaticky zníži alebo sa utajenie zruší, a utajovaná skutočnosť bola príslušne označená.

17.

Pre každú organizačnú jednotku GSR a verejnej správy členských štátov, ktorá manipuluje s utajovanými skutočnosťami EÚ, sa určí príslušný register, aby sa zabezpečila manipulácia s utajovanými skutočnosťami EÚ v súlade s týmto rozhodnutím. Registre sa zriadia ako zabezpečené priestory podľa prílohy II.

18.

Na účely tohto rozhodnutia znamená evidencia na bezpečnostné účely (ďalej len „evidencia“) uplatňovanie postupov, ktorými sa zaznamenáva životný cyklus veci vrátane jej distribúcie a zničenia.

19.

Všetky veci so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL a vyšším sa evidujú v určených registroch, keď sa doručia alebo keď opúšťajú organizačnú jednotku.

20.

Centrálny register v rámci GSR vedie evidenciu o všetkých utajovaných skutočnostiach, ktoré Rada a GSR poskytujú tretím štátom a medzinárodným organizáciám, ako aj o všetkých utajovaných skutočnostiach, ktoré od tretích štátov alebo medzinárodných organizácií prijímajú.

21.

V prípade CIS sa evidenčné postupy môžu vykonávať v rámci samotného CIS.

22.

Rada schvaľuje bezpečnostnú politiku pre oblasť evidencie utajovaných skutočností EÚ na bezpečnostné účely.

23.

V členských štátoch a GSR sa určí register plniaci úlohu centrálneho orgánu na prijímanie a odosielanie utajovaných skutočností so stupňom utajenia TRÈS SECRET UE/EU TOP SECRET. V prípade potreby sa môžu zriadiť podriadené registre, aby s týmito utajovanými skutočnosťami manipulovali na účely evidencie.

24.

Tieto podriadené registre nesmú priamo odosielať dokumenty so stupňom utajenia TRÈS SECRET UE/EU TOP SECRET iným podriadeným registrom toho istého centrálneho registra TRÈS SECRET UE/EU TOP SECRET alebo navonok, pokiaľ to uvedený centrálny register výslovne písomne neschváli.

25.

Dokumenty so stupňom utajenia TRÈS SECRET UE/EU TOP SECRET sa nesmú rozmnožovať alebo prekladať bez predchádzajúceho písomného súhlasu pôvodcu.

26.

Keď pôvodca dokumentov so stupňom utajenia SECRET UE/EU SECRET alebo nižším neuviedol nijakú výhradu týkajúcu sa rozmnožovania alebo prekladu, takéto dokumenty sa môžu na základe pokynu držiteľa rozmnožovať alebo prekladať.

27.

Bezpečnostné opatrenia uplatniteľné na pôvodný dokument sa uplatňujú aj na kópie a preklady.

28.

Na prenos utajovaných skutočností EÚ fyzickými prostriedkami sa vzťahujú ochranné opatrenia uvedené v bodoch 30 až 41. Bez ohľadu na článok 9 ods. 4 pri prenose utajovaných skutočností EÚ na elektronických médiách možno ochranné opatrenia uvedené ďalej doplniť podľa pokynov príslušného bezpečnostného orgánu o primerané technické protiopatrenia s cieľom minimalizovať riziko straty alebo vyzradenia.

29.

Príslušné bezpečnostné orgány v GSR a členských štátoch vydávajú pokyny, ktoré sa týkajú prenosu utajovaných skutočností EÚ fyzickými prostriedkami, v súlade s týmto rozhodnutím.

30.

Utajovaná skutočnosť EÚ prenášaná v rámci budovy alebo samostatnej skupiny budov sa prenáša zakrytá tak, aby nebolo možné zahliadnuť jej obsah.

31.

Utajované skutočnosti so stupňom utajenia TRÈS SECRET UE/EU TOP SECRET sa v rámci budovy alebo samostatnej skupiny budov prenášajú v zabezpečenej obálke, na ktorej je uvedené len meno adresáta.

32.

Utajovaná skutočnosť EÚ prenášaná fyzickými prostriedkami medzi budovami alebo objektmi v rámci Únie sa musí zabaliť tak, aby sa ochránila pred neoprávnenou manipuláciou.

33.

Prenos utajovaných skutočností so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL alebo SECRET UE/EU SECRET alebo nižším fyzickými prostriedkami v rámci Únie sa uskutočňuje takto:

V prípade prenosu fyzickými prostriedkami z jedného členského štátu do iného sa ustanovenia písmena c) vzťahujú len na utajované skutočnosti do stupňa utajenia CONFIDENTIEL UE/EU CONFIDENTIAL.

34.

Utajované skutočnosti so stupňom utajenia RESTREINT UE/EU RESTRICTED sa môžu prenášať aj poštovou alebo komerčnou kuriérskou službou. Na prenos takýchto informácií sa nevyžaduje kuriérske osvedčenie.

35.

Veci so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL a SECRET UE/EU SECRET (napr. zariadenia alebo stroje), ktoré nemožno prenášať spôsobom uvedeným v bode 33, sa prepravujú ako náklad obchodnými dopravnými spoločnosťami v súlade s prílohou V.

36.

Prenos utajovaných skutočností so stupňom utajenia TRÈS SECRET UE/EU TOP SECRET fyzickými prostriedkami medzi budovami alebo objektmi v rámci Únie sa uskutočňuje vojenským, vládnym alebo prípadne diplomatickým kuriérom.

37.

Utajovaná skutočnosť EÚ prenášaná z Únie na územie tretieho štátu sa zabalí tak, aby sa ochránila pred neoprávnenou manipuláciou.

38.

Prenos utajovaných skutočností so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL a SECRET UE/EU SECRET fyzickými prostriedkami z Únie na územie tretieho štátu sa uskutočňuje takto:

39.

Prenos informácií so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL a SECRET UE/EU SECRET, ktoré Únia sprístupní tretiemu štátu alebo medzinárodnej organizácii, sa uskutočňuje v súlade s príslušnými ustanoveniami dohody o bezpečnosti utajovaných skutočností alebo administratívneho dojednania podľa článku 13 ods. 2 písm. a) alebo b).

40.

Utajované skutočnosti so stupňom utajenia RESTREINT UE/EU RESTRICTED sa môžu prenášať aj poštovou alebo komerčnou kuriérskou službou.

41.

Prenos utajovaných skutočností so stupňom utajenia TRÈS SECRET UE/EU TOP SECRET fyzickými prostriedkami z Únie na územie tretieho štátu sa uskutočňuje vojenským alebo diplomatickým kuriérom.

42.

Utajované dokumenty EÚ, ktoré už nie sú potrebné, sa môžu zničiť bez toho, aby boli dotknuté príslušné pravidlá a predpisy týkajúce sa archivácie.

43.

Príslušný register ničí dokumenty, ktoré sa musia evidovať v súlade s článkom 9 ods. 2, na základe pokynu držiteľa alebo príslušného orgánu. Denníky a ostatné evidenčné záznamy sa príslušným spôsobom aktualizujú.

44.

Pokiaľ ide o utajované dokumenty so stupňom utajenia SECRET UE/EU SECRET alebo TRÈS SECRET UE/EU TOP SECRET, ničenie sa vykonáva za prítomnosti svedka, ktorý je preverený minimálne pre stupeň utajenia dokumentu, ktorý sa ničí.

45.

Pracovník registra a v prípade potreby aj svedok, ak sa vyžaduje jeho prítomnosť, podpíšu protokol o zničení, ktorý sa archivuje v registri. Register uchováva protokoly o zničení dokumentov so stupňom utajenia TRÈS SECRET UE/EU TOP SECRET po dobu najmenej 10 rokov a dokumentov so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL a SECRET UE/EU SECRET po dobu najmenej päť rokov.

46.

Utajované dokumenty vrátane dokumentov so stupňom utajenia RESTREINT UE/EU RESTRICTED sa ničia metódami, ktoré spĺňajú príslušné normy Únie alebo rovnocenné normy alebo ktoré boli schválené členskými štátmi podľa národných technických noriem, aby sa zabránilo celkovej alebo čiastočnej rekonštrukcii dokumentu.

47.

Médiá na elektronické uchovávanie používané na uchovávanie utajovaných skutočností EÚ sa ničia v súlade s bodom 37 prílohy IV.

48.

V prípade núdzovej situácie, ak hrozí bezprostredné riziko neoprávnenej manipulácie, držiteľ utajované skutočnosti EÚ zničí takým spôsobom, aby ich nebolo možné obnoviť ani v celku ani čiastočne. Pôvodca a register pôvodu sa informujú o núdzovom zničení evidovaných utajovaných skutočností EÚ.

49.

Pojmom „hodnotiaca návšteva“ sa ďalej označujú:

ktorých cieľom je posúdiť účinnosť opatrení prijatých na ochranu utajovaných skutočností EÚ.

50.

Hodnotiace návštevy sa okrem iného vykonávajú na to, aby sa:

51.

Rada pred koncom každého kalendárneho roka prijme program hodnotiacej návštevy uvedený v článku 16 ods. 1 písm. c) na nasledujúci rok. Konkrétne dátumy každej hodnotiacej návštevy sa stanovia po dohode s dotknutou orgánom alebo agentúrou Únie, členským štátom, tretím štátom alebo medzinárodnou organizáciou.

52.

Hodnotiace návštevy sa vykonávajú s cieľom skontrolovať všetky príslušné pravidlá, predpisy a postupy navštíveného subjektu a overiť, či sú postupy subjektu v súlade so základnými zásadami a minimálnymi normami ustanovenými v tomto rozhodnutí a v ustanoveniach, ktorými sa spravuje výmena utajovaných skutočností s týmto subjektom.

53.

Hodnotiace návštevy sa vykonávajú v dvoch etapách. Pred samotnou návštevou sa usporiada prípravné zasadnutie, v prípade potreby aj za účasti dotknutého subjektu. Po tomto prípravnom zasadnutí vytvorí hodnotiaci tím po dohode s príslušným subjektom podrobný program hodnotiacej návštevy, ktorý zahŕňa všetky bezpečnostné oblasti. Hodnotiaci tím by mal mať prístup na všetky miesta, kde sa manipuluje s utajovanými skutočnosťami EÚ, najmä do registrov a k prístupovým bodom do CIS.

54.

Hodnotiace návštevy verejnej správy členských štátov, tretích štátov a medzinárodných organizácií sa vykonávajú v plnej spolupráci s úradníkmi navštíveného subjektu, tretieho štátu alebo medzinárodnej organizácie.

55.

Hodnotiace návštevy orgánov, agentúr a subjektov Únie, ktoré uplatňujú toto rozhodnutie alebo jeho zásady, sa vykonávajú s pomocou expertov z NSA, na ktorého území sa orgán alebo agentúra nachádza.

56.

V prípade hodnotiacich návštev v orgánoch, agentúrach a subjektoch Únie, ktoré uplatňujú toto rozhodnutie alebo jeho zásady, a v tretích štátoch a medzinárodných organizáciách sa v súlade s podrobnými pravidlami, ktoré schváli Bezpečnostný výbor, môže vyžiadať pomoc a príspevky odborníkov NSA.

57.

Na konci hodnotiacej návštevy sa navštívenému subjektu predkladajú hlavné závery a odporúčania. Neskôr sa pripraví správa o hodnotiacej návšteve. Ak sa navrhli nápravné opatrenia alebo odporúčania, do správy by sa mali na odôvodnenie záverov zahrnúť dostatočne podrobné informácie. Správa sa zasiela príslušnému orgánu navštíveného subjektu.

58.

V prípade hodnotiacich návštev verejnej správy členských štátov:

Bezpečnostný orgán GSR (Bezpečnostný úrad) zodpovedá za vypracovanie pravidelnej správy, v ktorej sa vyzdvihnú skúsenosti získané počas hodnotiacich návštev v členských štátoch v konkrétnom období a ktorú preskúma Bezpečnostný výbor.

59.

V prípade hodnotiacich návštev v tretích štátoch a medzinárodných organizáciách sa správa zasiela Bezpečnostnému výboru. Táto správa sa utajuje minimálne na stupni utajenia RESTREINT UE/EU RESTRICTED. Každé nápravné opatrenie sa preverí počas nasledujúcej návštevy a podá sa o ňom správa Bezpečnostnému výboru.

60.

V prípade hodnotiacich návštev v orgánoch, agentúrach a subjektoch Únie, ktoré uplatňujú toto rozhodnutie alebo jeho zásady, sa správy o hodnotiacich návštevách zasielajú Bezpečnostnému výboru. Návrh správy o hodnotiacej návšteve sa zasiela dotknutej agentúre alebo orgánu, ktoré skontrolujú, či je obsahovo správna a neobsahuje skutočnosti so stupňom utajenia vyšším ako RESTREINT UE/EU RESTRICTED. Každé nápravné opatrenie sa preverí počas nasledujúcej návštevy a podá sa o ňom správa Bezpečnostnému výboru.

61.

Bezpečnostný orgán GSR vykonáva na účely ustanovené v bode 50 pravidelné inšpekcie organizačných jednotiek GSR.

62.

Bezpečnostný orgán GSR (Bezpečnostný úrad) vypracuje a aktualizuje kontrolný zoznam obsahujúci body, ktoré je potrebné skontrolovať počas hodnotiacej návštevy. Tento kontrolný zoznam sa zasiela Bezpečnostnému výboru.

63.

Informácie potrebné na vyplnenie kontrolného zoznamu sa získavajú predovšetkým počas návštevy od vedúcich bezpečnostných pracovníkov subjektu, v ktorom sa vykonáva inšpekcia. Po vyplnení podrobnými odpoveďami sa kontrolný zoznam po dohode so subjektom, v ktorom sa vykonáva inšpekcia, utajuje. Netvorí súčasť inšpekčnej správy.

1.

V tejto prílohe sa uvádzajú vykonávacie ustanovenia k článku 10.

2.

Na účely bezpečnosti a správneho fungovania operácií v CIS sú dôležité tieto vlastnosti a pojmy IA:

3.

Ustanovenia uvedené nižšie predstavujú základ bezpečnosti každého CIS, v ktorom sa manipuluje s utajovanými skutočnosťami EÚ. Podrobné požiadavky, ktorými sa vykonávajú tieto ustanovenia, sa vymedzia v bezpečnostných politikách a bezpečnostných usmerneniach pre IA.

4.

Riadenie bezpečnostných rizík tvorí neoddeliteľnú súčasť činností pri definovaní, rozvíjaní, prevádzke a údržbe CIS. Riadenie rizík (hodnotenie, zabezpečenie, akceptácia, oznamovanie) spoločne vykonávajú ako nepretržitý proces zástupcovia vlastníkov systému, projektových orgánov, operačných orgánov a orgánov schvaľujúcich bezpečnosť, ktoré uplatňujú overený, transparentný a plne pochopiteľný proces vyhodnotenia rizík. Na začiatku procesu riadenia rizík sa jednoznačne vymedzí rozsah CIS a jeho majetku.

5.

Príslušné orgány preskúmajú potenciálne hrozby pre CIS a zabezpečujú aktualizované a presné posúdenie hrozieb, ktoré zohľadňuje aktuálne operačné prostredie. Nepretržite aktualizujú svoje poznatky o slabinách a pravidelne preverujú posúdenie slabín s cieľom reagovať na meniace sa prostredie v oblasti informačných technológií (IT).

6.

Cieľom zabezpečenia sa proti bezpečnostným rizikám je uplatňovať súbor bezpečnostných opatrení, čím sa zabezpečí rovnováha medzi požiadavkami používateľov, nákladmi a zvyškovým bezpečnostným rizikom.

7.

Špecifické požiadavky, rozsah a miera podrobnosti stanovená príslušným SAA na certifikáciu CIS zodpovedajú vyhodnotenému riziku, pričom sa zohľadňujú všetky relevantné faktory vrátane stupňa utajenia utajovaných skutočností EÚ, s ktorými sa v CIS manipuluje. Certifikácia zahŕňa formálne vyhlásenie o zvyškovom riziku a akceptáciu zvyškového rizika zo strany zodpovedného orgánu.

8.

Zaistenie bezpečnosti predstavuje požiadavku, ktorá musí byť splnená počas celého životného cyklu CIS od jeho spustenia do prevádzky po vyradenie.

9.

Pre každú fázu životného cyklu sa stanoví úloha a interakcia každého účastníka podieľajúceho sa na činnosti CIS, pokiaľ ide o jeho bezpečnosť.

10.

Každý CIS vrátane technických a iných bezpečnostných opatrení podlieha počas certifikácie bezpečnostnému testovaniu, ktorého cieľom je zaručiť, že sa dosiahla náležitá úroveň bezpečnosti, a overiť, že je správne implementovaný, integrovaný a konfigurovaný.

11.

Počas prevádzky a údržby CIS, ako aj v prípade vzniku výnimočných okolností sa pravidelne vykonávajú bezpečnostné hodnotenia, inšpekcie a previerky.

12.

Vývoj bezpečnostnej dokumentácie pre CIS počas jeho životného cyklu je neoddeliteľnou súčasťou procesu riadenia zmien a konfigurácií.

13.

GSR a členské štáty spolupracujú na vypracovaní najlepších postupov na ochranu utajovaných skutočností EÚ, s ktorými sa manipuluje v CIS. Usmerneniami pre najlepšie postupy sa vymedzujú technické, fyzické, organizačné a procesné bezpečnostné opatrenia pre CIS s overenou účinnosťou proti daným ohrozeniam a slabinám.

14.

Pri ochrane utajovaných skutočností EÚ, s ktorými sa manipuluje v CIS, sa využívajú skúsenosti, ktoré získali subjekty zabezpečujúce IA v Únii i mimo nej.

15.

Šírenie a následné zavedenie najlepších postupov pomáhajú dosiahnuť rovnocennú úroveň bezpečnosti rôznych CIS, ktoré prevádzkujú GSR a členské štáty, ktoré manipulujú s utajovanými skutočnosťami EÚ.

16.

Na zníženie rizika pre CIS sa zavádza škála technických a iných bezpečnostných opatrení, ktoré sa organizujú do viacerých vrstiev. Tieto opatrenia zahŕňajú:

a)   odradenie: bezpečnostné opatrenia zamerané na odradenie protivníka od plánovania útoku na CIS;

b)   predchádzanie: bezpečnostné opatrenia zamerané na zabránenie alebo zastavenie útoku na CIS;

c)   detekciu: bezpečnostné opatrenia zamerané na zistenie výskytu útoku na CIS;

d)   odolnosť: bezpečnostné opatrenia zamerané na obmedzenie následkov útoku na minimálny súbor informácií alebo majetku KIS a zabránenie ďalším škodám a

e)   obnovu: bezpečnostné opatrenia zamerané na znovunastolenie bezpečnej situácie CIS.

Stupeň prísnosti takýchto bezpečnostných opatrení sa stanovuje na základe vyhodnotenia rizika.

17.

NSA alebo iný príslušný orgán zabezpečí, aby:

18.

S cieľom vyhnúť sa zbytočnému riziku sa implementujú len základné funkcie, prostriedky a služby potrebné na splnenie operačných požiadaviek.

19.

Aby sa obmedzili akékoľvek škody vyplývajúce z porúch, omylov alebo neoprávneného využívania zdrojov CIS, majú používatelia CIS a automatizovaných procesov len taký prístup, práva alebo oprávnenia, ktoré potrebujú na plnenie svojich úloh.

20.

Postupy na účely evidencie, ktoré vykonáva CIS, sa v prípade potreby preveria v rámci certifikačného postupu.

21.

Prvou obrannou líniou bezpečnosti CIS je informovanosť o rizikách a dostupných bezpečnostných opatreniach. Najmä všetci členovia personálu, ktorí prichádzajú do kontaktu s CIS počas jeho životného cyklu, majú byť poučení:

22.

Na zabezpečenie pochopenia bezpečnostných povinností sa povinne vykonáva informačno-bezpečnostné vzdelávanie a odborná príprava pre dotknutý personál, ako aj vyšších riadiacich pracovníkov a používateľov CIS.

23.

Požadovaná úroveň spoľahlivosti bezpečnostných opatrení, vymedzená ako úroveň bezpečnosti, sa stanovuje na základe procesu riadenia rizík a v súlade s príslušnými bezpečnostnými politikami a bezpečnostnými usmerneniami.

24.

Táto úroveň bezpečnosti sa preverí pomocou medzinárodne uznávaných alebo vnútroštátne schválených postupov a metodík. Tie predovšetkým zahŕňajú hodnotenie, kontroly a audit.

25.

Kryptografické produkty na ochranu utajovaných skutočností EÚ vyhodnotí a schváli vnútroštátny CAA členského štátu.

26.

Predtým, ako sa v súlade s článkom 10 ods. 6 tieto kryptografické produkty odporučia na schválenie Rade alebo generálnemu tajomníkovi, prejdú úspešným hodnotením druhou stranou, ktoré vykoná náležite kvalifikovaný orgán (AQUA – Appropriately Qualified Authority) členského štátu, ktorý nebol zapojený do projektu ani výroby tohto zariadenia. Podrobnosť hodnotenia druhou stranou závisí od predpokladaného najvyššieho stupňa utajenia utajovaných skutočností EÚ, ktoré sa majú týmito produktmi chrániť. Rada schváli bezpečnostnú politiku pre oblasť hodnotenia a schvaľovania kryptografických produktov.

27.

Ak si to vyžadujú osobitné operačné okolnosti, môže Rada, prípadne generálny tajomník na základe odporúčania Bezpečnostného výboru upustiť od požiadaviek uvedených v bodoch 25 alebo 26 tejto prílohy a udeliť v súlade s postupom podľa článku 10 ods. 6 dočasné schválenie na určité obdobie.

28.

Rada, konajúc na základe odporúčania Bezpečnostného výboru, môže akceptovať postup hodnotenia, výberu a schvaľovania kryptografických produktov tretieho štátu alebo medzinárodnej organizácie a v súlade s tým považovať takéto kryptografické produkty za schválené na ochranu utajovaných skutočností EÚ poskytnutých tomuto tretiemu štátu alebo medzinárodnej organizácii.

29.

AQUA je CAA členského štátu certifikovaný na základe kritérií stanovených Radou na vykonanie druhého hodnotenia kryptografických produktov na ochranu utajovaných skutočností EÚ.

30.

Rada schvaľuje bezpečnostnú politiku pre oblasť kvalifikovania a schvaľovania nekryptografických bezpečnostných produktov IT.

31.

Bez ohľadu na ustanovenia tohto rozhodnutia sa pri prenose utajovaných skutočností EÚ, ktorý sa uskutočňuje len v rámci zabezpečených priestorov alebo administratívnych zón, môže používať nešifrovaný prenos alebo šifrovanie na nižšej úrovni, ak to umožňuje výsledok procesu riadenia rizík a ak to schválil SAA.

32.

Na účely tohto rozhodnutia znamená prepojenie priame spojenie dvoch alebo viacerých systémov IT na účely spoločného využívania údajov a iných informačných zdrojov (napr. komunikačných), ktoré môže byť jednosmerné alebo viacsmerné.

33.

CIS pristupuje ku každému pripojenému systému IT ako k nedôveryhodnému a na kontrolu výmeny utajovaných skutočností uplatňuje ochranné opatrenia.

34.

Všetky prepojenia CIS s iným systémom IT spĺňajú tieto základné požiadavky:

35.

Certifikovaný CIS nesmie mať nijaké prepojenie s nechránenou alebo verejnou sieťou okrem prípadu, ak má CIS schválenú ochranu BPS nainštalovanú na tento účel na rozhraní medzi týmto CIS a nechránenou alebo verejnou sieťou. Bezpečnostné opatrenia týkajúce sa takéhoto prepojenia prehodnocuje príslušný IAA a schvaľuje príslušný SAA.

Keď sa nechránená alebo verejná sieť používa výhradne ako nosič dát, ktoré sú šifrované kryptografickým produktom schváleným v súlade s článkom 10, toto spojenie sa nepovažuje za prepojenie.

36.

Priame alebo kaskádové prepojenie CIS certifikovaného na manipuláciu s utajovanými skutočnosťami so stupňom utajenia TRÈS SECRET UE/EU TOP SECRET s nechránenou alebo verejnou sieťou je zakázané.

37.

Elektronické médiá na uchovávanie sa zničia v súlade s postupom schváleným príslušným bezpečnostným orgánom.

38.

Elektronické médiá na uchovávanie možno opätovne používať a ich stupeň utajenia znížiť alebo zrušiť v súlade s bezpečnostnými usmerneniami ustanoveným v súlade s článkom 6 ods. 2.

39.

Bez ohľadu na ustanovenia tohto rozhodnutia sa môžu v núdzových situáciách, ako napríklad pri bezprostredne hroziacej kríze alebo počas krízy, pri konflikte, vo vojnovom stave alebo pri výnimočných operačných okolnostiach, uplatňovať osobitné postupy uvedené nižšie.

40.

Utajované skutočnosti EÚ sa môžu so súhlasom príslušného orgánu prenášať šifrované kryptografickými produktmi, ktoré boli schválené pre nižší stupeň utajenia, alebo nešifrované, pokiaľ by akékoľvek zdržanie spôsobilo škody, ktoré jednoznačne prevyšujú škodu spôsobenú neoprávnenou manipuláciou s utajovanou vecou, a ak

41.

Utajované skutočnosti prenášané za okolností uvedených v bode 39 nesmú mať žiadne označenia alebo odkazy, ktorými by sa odlišovali od neutajovanej skutočnosti alebo skutočnosti, ktorá sa môže chrániť dostupným kryptografickým produktom. Príjemcovia sa o stupni utajenia skutočnosti bezodkladne informujú iným spôsobom.

42.

V prípade uplatnenia ustanovení bodu 39 sa následne zasiela správa príslušnému orgánu a Bezpečnostnému výboru.

43.

V členských štátoch a GSR sa zriadia nižšie uvedené funkcie v oblasti IA. Tieto funkcie nemusia byť združené v jedinej organizačnej jednotke. Majú samostatné mandáty. Tieto funkcie a s nimi spojené povinnosti sa však môžu spojiť alebo zlúčiť do jednej organizačnej jednotky alebo rozdeliť do rôznych organizačných jednotiek pod podmienkou, že nedochádza ku vnútornému konfliktu záujmov alebo úloh.

44.

IAA zodpovedá za:

45.

Orgán pre TEMPEST (TA – TEMPEST Authority) zodpovedá za zabezpečenie súladu CIS s politikami a usmerneniami TEMPEST-u. Schvaľuje protiopatrenia TEMPEST-u pre zariadenia a produkty na ochranu utajovaných skutočností EÚ pre určený stupeň utajenia v danom operačnom prostredí.

46.

Kryptografický schvaľovací orgán (CAA – Crypto Approval Authority) zabezpečuje, že kryptografické produkty sú v súlade s národnou kryptografickou politikou, resp. kryptografickou politikou Rady. Schvaľuje kryptografické produkty na ochranu utajovaných skutočností EÚ pre určený stupeň utajenia v danom operačnom prostredí. Pokiaľ ide o členské štáty, CAA je okrem toho zodpovedný za posudzovanie kryptografických produktov.

47.

Kryptografický distribučný orgán (CDA) zodpovedá za:

48.

SAA každého systému zodpovedá za:

49.

SAA GSR zodpovedá za certifikáciu všetkých CIS v rámci pôsobnosti GSR.

50.

Príslušný SAA členského štátu zodpovedá za certifikáciu CIS a jeho komponentov, ktoré sa používajú v rámci pôsobnosti členského štátu.

51.

Spoločná komisia pre bezpečnostnú certifikáciu (SAB – Security Accreditation Board) je zodpovedná za certifikáciu CIS, ktoré patria zároveň do pôsobnosti SAA GSR aj SAA členských štátov. Skladá sa zo zástupcu SAA každého členského štátu a na jej zasadnutiach je prítomný zástupca SAA Komisie. Iné subjekty s uzlami v CIS sa prizývajú na zasadnutie, keď sa rokuje o danom systéme.

Predsedom SAB je zástupca SAA GSR. SAB sa uznáša konsenzom zástupcov SAA inštitúcií, členských štátov a iných subjektov s uzlami v danom CIS. Podáva pravidelné správy o svojej činnosti Bezpečnostnému výboru a rovnako mu oznamuje všetky vydané potvrdenia o certifikácii.

52.

Operačný orgán pre IA každého systému zodpovedá za:

1.

V tejto prílohe sa uvádzajú vykonávacie ustanovenia k článku 11. Obsahuje všeobecné bezpečnostné ustanovenia uplatniteľné na priemyselné alebo iné subjekty počas rokovaní pred uzavretím zmluvy a počas celého životného cyklu utajovanej zmluvy s GSR.

2.

Rada schvaľuje usmernenia pre oblasť priemyselnej bezpečnosti, v ktorých uvádza predovšetkým podrobné požiadavky týkajúce sa FSC, bezpečnostných doložiek (SAL – Security Aspects Letter), návštev a prenosu utajovaných skutočností EÚ.

3.

Pred začatím výberového konania alebo uzavretím utajovanej zmluvy určí GSR ako verejný obstarávateľ stupeň utajenia všetkých utajovaných skutočností, ktoré sa majú poskytnúť predkladateľom ponuky a dodávateľom, ako aj stupeň utajenia všetkých utajovaných skutočností, ktoré dodávateľ vytvorí. GSR na tento účel pripraví SCG, ktoré sa budú uplatňovať pri plnení zmluvy.

4.

Pri určovaní stupňa utajenia rôznych prvkov utajenej zmluvy sa uplatňujú tieto zásady:

5.

Bezpečnostné požiadavky špecifické pre zmluvu sa opíšu v SAL. Ak je to vhodné, SAL obsahuje SCG a tvorí neoddeliteľnú súčasť utajovanej zmluvy alebo subdodávateľskej zmluvy.

6.

SAL obsahuje ustanovenia, podľa ktorých musí dodávateľ a/alebo subdodávateľ dodržiavať minimálne normy ustanovené v tomto rozhodnutí. Nedodržanie týchto minimálnych noriem sa môže považovať za dostatočný dôvod na vypovedanie zmluvy.

7.

V závislosti od rozsahu programov alebo projektov, ktorých súčasťou je prístup k utajovaným skutočnostiam EÚ alebo manipulácia s nimi alebo ich uchovávanie, verejný obstarávateľ určený na riadenie programu alebo projektu môže pripraviť špecifické bezpečnostné pokyny pre program/projekt (PSI – Programme/Project Security Instructions). PSI musí schváliť NSA/DSA alebo akýkoľvek iný príslušný bezpečnostný orgán členských štátov zapojený do PSI a môžu obsahovať dodatočné bezpečnostné požiadavky.

8.

NSA alebo DSA alebo akýkoľvek iný príslušný bezpečnostný orgán členského štátu udelí FSC, aby v súlade s vnútroštátnymi zákonmi a inými právnymi predpismi preukázal, že priemyselný alebo iný subjekt je schopný vo svojich zariadeniach chrániť utajované skutočnosti EÚ na príslušnom stupni utajenia (CONFIDENTIEL UE/EU CONFIDENTIAL alebo SECRET UE/EU SECRET). Skôr, ako sa dodávateľovi alebo subdodávateľovi, alebo potenciálnemu dodávateľovi alebo subdodávateľovi poskytne alebo udelí prístup k utajovaným skutočnostiam EÚ, FSC sa predloží GSR ako verejnému obstarávateľovi.

9.

Príslušný NSA alebo DSA pri vydávaní FSC aspoň:

10.

V prípade potreby GSR ako verejný obstarávateľ oznámi príslušnému NSA/DSA alebo akémukoľvek inému príslušnému bezpečnostnému orgánu, že FSC je potrebné počas fázy pred uzavretím zmluvy alebo na účely plnenia zmluvy. FSC alebo PSC sa vyžaduje počas fázy pred uzavretím zmluvy, ak sa počas predkladania ponúk musia poskytnúť utajované skutočnosti so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL alebo SECRET UE/EU SECRET.

11.

Verejný obstarávateľ neuzavrie utajovanú zmluvu s predkladateľom ponuky, ktorého uprednostňuje, kým mu NSA/DSA alebo akýkoľvek iný príslušný bezpečnostný orgán členského štátu, v ktorom má dotknutý dodávateľ alebo subdodávateľ sídlo, nepotvrdí, že príslušné FSC bolo v potrebných prípadoch vydané.

12.

Príslušný NSA/DSA alebo akýkoľvek iný príslušný bezpečnostný orgán, ktorý vydal FSC, oznamuje GSR ako verejnému obstarávateľovi všetky zmeny, ktoré majú vplyv na FSC. V prípade subdodávateľskej zmluvy sa NSA/DSA alebo akýkoľvek iný príslušný bezpečnostný orgán informuje zodpovedajúcim spôsobom.

13.

Odňatie FSC príslušným NSA/DSA alebo akýmkoľvek iným príslušným bezpečnostným orgánom predstavuje pre GSR ako verejného obstarávateľa dostatočný dôvod na vypovedanie utajovanej zmluvy alebo na vylúčenie účastníka zo súťaže.

14.

V prípade, že sa utajované skutočnosti EÚ predkladateľovi ponuky poskytujú počas fázy pred uzavretím zmluvy, výzva obsahuje ustanovenie, že predkladateľ ponuky, ktorý nepredloží ponuku alebo nie je vybratý, je povinný v stanovenej lehote vrátiť všetky utajované dokumenty.

15.

Po uzavretí utajovanej zmluvy alebo subdodávateľskej zmluvy GSR ako verejný obstarávateľ oznámi NSA/DSA alebo akémukoľvek inému príslušnému bezpečnostnému orgánu daného dodávateľa alebo subdodávateľa bezpečnostné ustanovenia utajovanej zmluvy.

16.

Keď sa takéto zmluvy vypovedajú, GSR ako verejný obstarávateľ (a/alebo NSA/DSA alebo prípadne akýkoľvek iný príslušný bezpečnostný orgán v prípade subdodávateľskej zmluvy) to bezodkladne oznámi NSA/DSA alebo akémukoľvek inému príslušnému bezpečnostnému orgánu členského štátu, v ktorom má dodávateľ alebo subdodávateľ sídlo.

17.

Od dodávateľov alebo subdodávateľov sa spravidla požaduje, aby po ukončení utajovanej zmluvy alebo subdodávateľskej zmluvy vrátili verejnému obstarávateľovi všetky utajované skutočnosti EÚ, ktorých sú držiteľmi.

18.

V SAL sa ustanovia osobitné ustanovenia týkajúce sa manipulácie s utajovanými skutočnosťami EÚ počas plnenia zmluvy alebo po jej ukončení.

19.

Ak sa dodávateľovi alebo subdodávateľovi povolí, aby si ponechal utajované skutočnosti EÚ po ukončení zmluvy, dodávateľ alebo subdodávateľ musí naďalej spĺňať minimálne normy uvedené v tomto rozhodnutí a chrániť dôvernosť utajovaných skutočností EÚ.

20.

Podmienky, za ktorých môže dodávateľ uzatvárať subdodávateľské zmluvy, sa musia vymedziť vo výzve na predkladanie ponúk a v zmluve.

21.

Dodávateľ musí získať povolenie od GSR ako verejného obstarávateľa skôr, ako zadá niektorú z častí utajovanej zmluvy subdodávateľom. S priemyselnými alebo inými subjektmi so sídlom v štáte, ktorý nie je členským štátom EÚ a neuzavrel s Úniou dohodu o bezpečnosti utajovaných skutočností, sa nesmie uzavrieť žiadna subdodávateľská zmluva.

22.

Dodávateľ je zodpovedný za zabezpečenie toho, aby boli všetky subdodávateľské činnosti realizované v súlade s minimálnymi normami stanovenými v tomto rozhodnutí, a nesmie poskytnúť utajované skutočnosti EÚ subdodávateľovi bez predchádzajúceho písomného súhlasu verejného obstarávateľa.

23.

Pokiaľ ide o utajované skutočnosti EÚ, ktoré vytvoril alebo s ktorými manipuluje dodávateľ alebo subdodávateľ, práva pôvodcu vykonáva verejný obstarávateľ.

24.

Ak GSR, personál dodávateľov alebo subdodávateľov potrebujú na účely plnenia utajovanej zmluvy prístup k utajovaným skutočnostiam so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL a SECRET UE/EU SECRET v objektoch druhej strany, spoločne organizujú návštevy svojich objektov v spolupráci s NSA/DSA alebo akýmkoľvek iným dotknutým príslušným bezpečnostným orgánom. V súvislosti so špecifickými projektmi však NSA/DSA môžu súhlasiť aj s postupom, pri ktorom sa takéto návštevy môžu organizovať priamo.

25.

Všetci návštevníci sú držiteľmi príslušných PSC a majú potrebu poznať na účely prístupu k utajovaným skutočnostiam EÚ, ktoré sa týkajú zmluvy s GSR.

26.

Návštevníkom sa udelí prístup len k utajovaným skutočnostiam EÚ, ktoré sa týkajú účelu návštevy.

27.

Pokiaľ ide o prenos utajovaných skutočností EÚ elektronickými prostriedkami, uplatňujú sa príslušné ustanovenia článku 10 a prílohy IV.

28.

Pokiaľ ide o prenos utajovaných skutočností EÚ fyzickými prostriedkami, uplatňujú sa príslušné ustanovenia prílohy III v súlade s vnútroštátnymi zákonmi a inými právnymi predpismi.

29.

Pri určovaní bezpečnostných mechanizmov pre prepravu utajovaných vecí ako nákladu sa uplatňujú tieto zásady:

30.

Postúpenie utajovaných skutočností EÚ dodávateľom a subdodávateľom, ktorí sa nachádzajú v tretích štátoch, sa uskutočňuje v súlade s bezpečnostnými opatreniami dohodnutými medzi GSR ako verejným obstarávateľom a NSA/DSA dotknutého tretieho štátu, v ktorom má dodávateľ sídlo.

31.

GSR ako verejný obstarávateľ je podľa potreby v spolupráci s NSA/DSA členského štátu a na základe zmluvných ustanovení oprávnený vykonávať inšpekcie zariadení dodávateľa/subdodávateľa s cieľom preveriť, či sa uplatňujú príslušné bezpečnostné opatrenia potrebné na ochranu utajovaných skutočností EÚ so stupňom utajenia RESTREINT UE/EU RESTRICTED, ako sa to požaduje v zmluve.

32.

GSC ako verejný obstarávateľ informuje NSA/DSA alebo akékoľvek iné príslušné bezpečnostné orgány o zmluvách alebo subdodávateľských zmluvách, ktoré obsahujú utajované skutočnosti so stupňom utajenia RESTREINT UE/EU RESTRICTED, v takom rozsahu, ako to ukladajú vnútroštátne zákony a iné právne predpisy.

33.

FSC ani PSC pre dodávateľov alebo subdodávateľov a ich personál sa nevyžaduje pre zmluvy GSR, ktoré obsahujú utajované skutočnosti so stupňom utajenia RESTREINT UE/EU RESTRICTED.

34.

Bez ohľadu na akékoľvek požiadavky ustanovené vo vnútroštátnych zákonoch a iných právnych predpisoch, ktoré sa týkajú FSC alebo PSC, GSR ako verejný obstarávateľ preskúma odpovede na výzvy na predloženie ponuky, ktoré sa týkajú zmlúv, v rámci ktorých je potrebný prístup k utajovaným skutočnostiam so stupňom utajenia RESTREINT UE/EU RESTRICTED.

35.

Podmienky, za ktorých môže dodávateľ uzatvárať subdodávateľské zmluvy, sú v súlade s bodom 21.

36.

Ak sa v rámci zmluvy manipuluje s utajovanými skutočnosťami so stupňom utajenia RESTREINT UE/EU RESTRICTED v CIS, ktorý prevádzkuje dodávateľ, GSR ako verejný obstarávateľ zabezpečí, aby sa v zmluve alebo subdodávateľskej zmluve uviedli potrebné technické a administratívne požiadavky týkajúce sa certifikácie CIS zodpovedajúce vyhodnotenému riziku, pričom sa zohľadnia všetky relevantné faktory. Rozsah certifikácie takého CIS dohodnú verejný obstarávateľ a príslušný NSA/DSA.

1.

V tejto prílohe sa uvádzajú vykonávacie ustanovenia k článku 13.

2.

Ak Rada rozhodne o dlhodobej potrebe výmeny utajovaných skutočností:

v súlade s článkom 13 ods. 2 a oddielmi III a IV a na základe odporúčania Bezpečnostného výboru.

3.

Ak sa majú utajované skutočnosti EÚ vytvorené na účely operácie SBOP poskytnúť tretím štátom alebo medzinárodnými organizáciám, ktoré sa zúčastňujú na tejto operácii a keď neexistuje ani jeden z rámcov uvedených v bode 2, výmena utajovaných skutočností EÚ s prispievajúcim tretím štátom alebo medzinárodnou organizáciou sa v súlade s oddielom V spravuje:

4.

Ak neexistuje ani jeden z rámcov uvedených v bodoch 2 a 3 a ak sa prijalo rozhodnutie o výnimočnom poskytnutí utajovaných skutočností EÚ tretiemu štátu alebo medzinárodnej organizácii ad hoc v súlade s oddielom VI, vyžiada sa písomné ubezpečenie, v ktorom sa dotknutý tretí štát alebo medzinárodná organizácia zaviažu, že budú chrániť všetky utajované skutočnosti EÚ, ktoré sa im poskytnú, v súlade s základnými zásadami a minimálnymi normami stanovenými v tomto rozhodnutí.

5.

V dohodách o bezpečnosti utajovaných skutočností sa ustanovujú základné zásady a minimálne normy, ktorými sa riadi výmena utajovaných skutočností medzi EÚ a tretím štátom alebo medzinárodnou organizáciou.

6.

V dohodách o bezpečnosti utajovaných skutočností sa ustanovujú technické vykonávacie dojednania, ktoré sa dohodnú medzi príslušnými bezpečnostnými orgánmi dotknutých inštitúcií a orgánov EÚ a príslušným bezpečnostným orgánom dotknutého tretieho štátu alebo medzinárodnej organizácie V týchto dojednaniach sa prihliada na úroveň ochrany zabezpečenú uplatňovanými bezpečnostnými predpismi a zavedenými bezpečnostnými štruktúrami a postupmi v dotknutom treťom štáte alebo medzinárodnej organizácii. Schvaľuje ich Bezpečnostný výbor.

7.

Žiadne utajované skutočnosti EÚ sa podľa dohody o bezpečnosti utajovaných skutočností nesmú vymieňať elektronickými prostriedkami, pokiaľ sa to výslovne neustanoví v dohode alebo zodpovedajúcich technických vykonávacích dojednaniach.

8.

Keď Rada uzavrie dohodu o bezpečnosti utajovaných skutočností, pre každú stranu sa určí register, ktorý je hlavným vstupným a výstupným bodom na výmenu utajovaných skutočností.

9.

Na účely posúdenia účinnosti bezpečnostných predpisov, štruktúr a postupov v dotknutom treťom štáte alebo medzinárodnej organizácii sa po vzájomnej dohode s dotknutým tretím štátom alebo medzinárodnou organizáciou uskutočňujú hodnotiace návštevy. Tieto hodnotiace návštevy sa vykonávajú podľa príslušných ustanovení prílohy III a počas nich sa posudzuje:

10.

Tím, ktorý v mene Únie uskutočňuje hodnotiacu návštevu, posúdi, či bezpečnostné predpisy a postupy v danom treťom štáte alebo medzinárodnej organizácii sú vhodné na účely ochrany utajovaných skutočností EÚ s daným stupňom utajenia.

11.

Zistenia z takýchto návštev sa uvádzajú v správe, na základe ktorej Bezpečnostný výbor stanoví najvyšší stupeň utajenia utajovaných skutočností EÚ, ktoré sa môžu s dotknutou treťou stranou vymieňať v papierovej podobe, a ak je to vhodné, elektronickými prostriedkami, ako aj akékoľvek osobitné podmienky pre výmenu utajovaných skutočností s touto stranou.

12.

Predtým, ako Bezpečnostný výbor schváli vykonávacie dojednania, vynaloží sa maximálne úsilie na to, aby sa s cieľom určiť charakter a účinnosť uplatňovaného bezpečnostného systému vykonala plnohodnotná bezpečnostná hodnotiaca návšteva daného tretieho štátu alebo medzinárodnej organizácie. V prípade, že to nie je možné, však Bezpečnostný úrad GSR poskytne Bezpečnostnému výboru čo najúplnejšiu správu, opierajúcu sa o informácie, ktoré má k dispozícii, v ktorej ho informuje o uplatniteľných bezpečnostných predpisoch a spôsobe organizácie bezpečnosti v dotknutom treťom štáte alebo medzinárodnej organizácii.

13.

Skôr, ako sa utajované skutočnosti EÚ skutočne poskytnú príslušnému tretiemu štátu alebo medzinárodnej organizácii, zašle sa Bezpečnostnému výboru správa o hodnotiacej návšteve alebo, ak takáto správa neexistuje, správa uvedená v bode 12, ktorú výbor musí považovať za uspokojivú.

14.

Príslušné bezpečnostné orgány inštitúcií a orgánov Únie oznámia tretiemu štátu alebo medzinárodnej organizácii dátum, od ktorého Únia môže poskytovať utajované skutočnosti EÚ na základe dohody, ako aj najvyšší stupeň utajenia utajovaných skutočností EÚ, ktoré je možné vymieňať si v papierovej podobe alebo elektronickými prostriedkami.

15.

Nadväzujúce hodnotiace návštevy sa vykonávajú podľa potreby, a predovšetkým ak:

16.

Po nadobudnutí platnosti dohody o bezpečnosti utajovaných skutočností a začatí výmeny utajovaných skutočností s dotknutým tretím štátom alebo medzinárodnou organizáciou môže Bezpečnostný výbor rozhodnúť o zmene najvyššieho stupňa utajenia utajovaných skutočností EÚ, ktoré sa môžu v papierovej podobe alebo elektronickými prostriedkami vymieňať, a to najmä na základe ktorejkoľvek následnej hodnotiacej návštevy.

17.

V prípade dlhodobej potreby výmeny utajovaných skutočností s tretím štátom alebo medzinárodnou organizáciou so stupňom utajenia spravidla nie vyšším ako RESTREINT UE/EU RESTRICTED a v prípade, že Bezpečnostný výbor stanovil, že daná strana nemá dostatočne rozvinutý bezpečnostný systém na to, aby sa s ňou mohla uzavrieť dohoda o bezpečnosti utajovaných skutočností, môže generálny tajomník na základe súhlasu Rady uzavrieť v mene GSR s príslušnými orgánmi daného tretieho štátu alebo medzinárodnej organizácie správne dojednanie.

18.

Ak je z naliehavých operačných dôvodov potrebné urýchlene ustanoviť rámec pre výmenu utajovaných skutočností, Rada môže vo výnimočných prípadoch rozhodnúť, že sa správne dojednanie uzatvorí na účely výmeny utajovaných skutočností s vyšším stupňom utajenia.

19.

Správne dojednania majú spravidla formu výmeny listov.

20.

Skôr, ako sa utajované skutočnosti EÚ skutočne poskytnú príslušnému tretiemu štátu alebo medzinárodnej organizácii, je potrebné vykonať hodnotiacu návštevu uvedenú v bode 9 a zaslať príslušnú správu Bezpečnostnému výboru alebo, ak takáto správa neexistuje, správu uvedenú v bode 12, ktorú výbor musí považovať za uspokojivú.

21.

Elektronickými prostriedkami sa neuskutočňuje nijaká výmena utajovaných skutočností EÚ na základe správneho dojednania, pokiaľ sa to v dojednaní výslovne neustanoví.

22.

Účasť tretích štátov a medzinárodných organizácií na operáciách SBOP sa spravuje rámcovými dohodami o účasti. Tieto dohody obsahujú ustanovenia o poskytovaní utajovaných skutočností EÚ vytvorených na účely operácií SBOP prispievajúcim tretím štátom alebo medzinárodným organizáciám. Najvyšší stupeň utajenia utajovaných skutočností EÚ, ktoré sa môžu vymieňať, je RESTREINT UE/EU RESTRICTED pre civilné operácie SBOP a CONFIDENTIEL UE/EU CONFIDENTIAL pre vojenské operácie SBOP, pokiaľ sa v rozhodnutí, ktorým sa daná operácia SBOP zriaďuje, neustanoví inak.

23.

Dohody o účasti ad hoc uzatvorené na účely konkrétnej operácie SBOP obsahujú ustanovenia o poskytovaní utajovaných skutočností EÚ vytvorených na účely tejto operácie prispievajúcemu tretiemu štátu alebo medzinárodnej organizácii. Najvyšší stupeň utajenia utajovaných skutočností EÚ, ktoré sa môžu vymieňať, je RESTREINT UE/EU RESTRICTED pre civilné operácie SBOP a CONFIDENTIEL UE/EU CONFIDENTIAL pre vojenské operácie SBOP, pokiaľ sa v rozhodnutí, ktorým sa daná operácia SBOP zriaďuje, neustanoví inak.

24.

Ak dohoda o bezpečnosti utajovaných skutočností neexistuje a kým sa uzatvorí dohoda o účasti, spravuje sa poskytovanie utajovaných skutočností EÚ vytvorených na účely operácie tretiemu štátu alebo medzinárodnej organizácii, ktoré sa zúčastňujú na operácii, správnym dojednaním, ktoré uzatvorí vysoký predstaviteľ, alebo podlieha rozhodnutiu o ad hoc poskytovaní v súlade s oddielom VI. Utajované skutočnosti EÚ sa podľa takéhoto dojednania vymieňajú, len ak sa stále predpokladá účasť tretieho štátu alebo medzinárodnej organizácie. Najvyšší stupeň utajenia utajovaných skutočností EÚ, ktoré sa môžu vymieňať, je RESTREINT UE/EU RESTRICTED pre civilné operácie SBOP a CONFIDENTIEL UE/EU CONFIDENTIAL pre vojenské operácie SBOP, pokiaľ sa v rozhodnutí, ktorým sa daná operácia SBOP zriaďuje, neustanoví inak.

25.

V ustanoveniach o utajovaných skutočnostiach, ktoré sa vkladajú do rámcových dohôd o účasti, dohôd o účasti ad hoc a správnych dojednaní ad hoc uvedených v bodoch 22 až 24, sa ustanovuje, že dotknutý tretí štát alebo medzinárodná organizácia zabezpečia, že ich personál vyslaný do akejkoľvek operácie bude chrániť utajované skutočnosti EÚ v súlade s bezpečnostnými predpismi Rady a ďalšími pokynmi, ktoré vydajú príslušné orgány vrátane velenia operácie.

26.

Ak sa neskôr medzi EÚ a prispievajúcim tretím štátom alebo medzinárodnou organizáciou uzavrie dohoda o bezpečnosti utajovaných skutočností, táto dohoda má prednosť pred ustanoveniami o výmene utajovaných skutočností akejkoľvek rámcovej dohody o účasti, dohody o účasti ad hoc alebo správneho dojednania ad hoc, pokiaľ ide o výmenu utajovaných skutočností EÚ a manipuláciu s nimi.

27.

Na základe rámcovej dohody o účasti, dohody o účasti ad hoc alebo správneho dojednania ad hoc s tretím štátom alebo medzinárodnou organizáciou nie je povolená nijaká výmena utajovaných skutočností EÚ elektronickými prostriedkami, pokiaľ sa to v dotknutej dohode alebo dojednaní výslovne neustanoví.

28.

Utajované skutočnosti EÚ vytvorené na účely operácie SBOP sa môžu sprístupniť personálu vyslanému v rámci danej operácie tretími štátmi alebo medzinárodnými organizáciami v súlade s bodmi 22 až 27. Pri povoľovaní prístupu takéhoto personálu k utajovaným skutočnostiam EÚ v objektoch alebo CIS operácie SBOP sa musia uplatňovať opatrenia (vrátane zaznamenávania sprístupnených utajovaných skutočností EÚ) s cieľom znížiť riziko straty alebo vyzradenia. Takéto opatrenia sa stanovia v príslušných plánovacích dokumentoch alebo dokumentoch misie.

29.

Ak dohoda o bezpečnosti utajovaných skutočností neexistuje, v prípade osobitnej a bezprostrednej operačnej potreby sa poskytovanie utajovaných skutočností EÚ hostiteľskému štátu, na ktorého území sa operácia SBOP vykonáva, môže spravovať správnym dojednaním, ktoré uzatvorí vysoký predstaviteľ. Táto možnosť sa musí ustanoviť v rozhodnutí, ktorým sa táto operácia SBOP zriaďuje. Utajované skutočnosti EÚ poskytnuté za týchto okolností, sa obmedzujú iba na tie skutočnosti, ktoré sa vytvorili na účely operácie SBOP a ich stupeň utajenia nie je vyšší ako RESTREINT UE/EU RESTRICTED, pokiaľ sa v rozhodnutí o zriadení operácie SBOP nestanovuje vyšší stupeň utajenia. Na základe takéhoto správneho dojednania sa od hostiteľského štátu požaduje, aby sa zaviazal chrániť utajované skutočnosti EÚ v súlade s minimálnymi normami, ktoré nie sú menej prísne ako minimálne normy stanovené v tomto rozhodnutí.

30.

Ak dohoda o bezpečnosti utajovaných skutočností neexistuje, môže sa poskytovanie utajovaných skutočností EÚ dotknutým tretím štátom a medzinárodným organizáciám, ktoré sa nezúčastňujú na operácii SBOP, spravovať administratívnym dojednaním, ktoré uzatvorí vysoký predstaviteľ. Podľa potreby sa táto možnosť, ako aj s ňou súvisiace podmienky ustanovia v rozhodnutí, ktorým sa operácia SBOP zriaďuje. Za takýchto okolností sa poskytujú len tie utajované skutočnosti EÚ, ktoré sú vytvorené na účely operácie SPOB a ktorých stupeň utajenia nie je vyšší ako RESTREINT UE/EU RESTRICTED, pokiaľ sa v rozhodnutí, ktorým sa operácia SBOP zriaďuje, nestanovuje vyšší stupeň utajenia. Na základe takéhoto správneho dojednania sa od daného tretieho štátu alebo medzinárodnej organizácie požaduje, aby sa zaviazali chrániť utajované skutočnosti EÚ v súlade s minimálnymi normami, ktoré nie sú menej prísne ako minimálne normy stanovené v tomto rozhodnutí.

31.

Pred začatím vykonávania ustanovení o poskytovaní utajovaných skutočností EÚ na základe bodov 22, 23 a 24 sa nevyžadujú nijaké vykonávacie dojednania ani hodnotiace návštevy.

32.

V prípade, keď neexistuje nijaký rámec v zmysle oddielov III až V a keď Rada alebo jeden z jej prípravných orgánov rozhodnú o výnimočnej potrebe poskytnutia utajovaných skutočností EÚ tretiemu štátu alebo medzinárodnej organizácii, GSR:

33.

Ak Bezpečnostný výbor vydá v súvislosti s poskytnutím utajovaných skutočností EÚ kladné odporúčanie, záležitosť sa postúpi Výboru stálych predstaviteľov (Coreper), ktorý prijme rozhodnutie o ich poskytnutí.

34.

Ak Bezpečnostný výbor vydá v súvislosti s poskytnutím utajovaných skutočností EÚ záporné odporúčanie:

35.

V prípade potreby a pod podmienkou predchádzajúceho písomného súhlasu pôvodcu môže Coreper rozhodnúť o tom, že sa môže poskytnúť len časť utajovaných skutočností, alebo že sa tieto utajované skutočnosti môžu poskytnúť len v prípade, že sa najprv zníži alebo zruší stupeň ich utajenia, alebo že sa utajované skutočnosti, ktoré sa majú poskytnúť, pripravia bez toho, aby sa odkazovalo na zdroj alebo pôvodný stupeň utajenia EÚ.

36.

Po rozhodnutí o poskytnutí utajovanej skutočnosti EÚ postúpi GSR dotknutý dokument, na ktorom sa uvedie označenie prístupnosti tretieho štátu alebo medzinárodnej organizácie, ktorým sa poskytuje. Pred vlastným poskytnutím alebo pri ňom sa dotknutá tretia strana písomne zaviaže, že bude utajované skutočnosti EÚ, s ktorými sa oboznámi, chrániť v súlade so základnými zásadami a minimálnymi normami stanovenými v tomto rozhodnutí.

37.

V prípade, keď na výmenu utajovaných skutočností s tretím štátom alebo medzinárodnou organizáciou existuje rámec podľa bodu 2, prijme Rada rozhodnutie, ktorým generálnemu tajomníkovi udelí právomoc poskytovať utajované skutočnosti EÚ v súlade so zásadou súhlasu pôvodcu danému tretiemu štátu alebo medzinárodnej organizácii. Generálny tajomník môže takúto právomoc delegovať na vyšších úradníkov GSR.

38.

Ak v súlade s bodom 2 prvou zarážkou existuje dohoda o bezpečnosti utajovaných skutočností, môže Rada prijať rozhodnutie, ktorým vysokému predstaviteľovi udelí právomoc poskytovať utajované skutočnosti EÚ z oblasti spoločnej zahraničnej a bezpečnostnej politiky, ktoré sa vytvorili v Rade, potom ako k tomu dá súhlas pôvodca akejkoľvek zdrojovej veci, ktorá je ich súčasťou, dotknutému tretiemu štátu alebo medzinárodnej organizácii. Vysoký predstaviteľ môže takúto právomoc delegovať na vyšších úradníkov ESVČ alebo na OZEÚ.

39.

V prípade, keď na výmenu utajovaných skutočností s tretím štátom alebo medzinárodnou organizáciou existuje rámec v súlade s bodom 2 alebo bodom 3, má právomoc poskytovať utajované skutočnosti EÚ v súlade s rozhodnutím, ktorým sa operácia SBOP zriaďuje, a v súlade so zásadou súhlasu pôvodcu vysoký predstaviteľ. Vysoký predstaviteľ môže delegovať takúto právomoc na vyšších úradníkov ESVČ, na veliteľov operácie, ozbrojených síl alebo misie EÚ alebo na vedúceho misie EÚ.

„certifikácia“ je proces, ktorý vedie k formálnemu vyhláseniu orgánu bezpečnostnej certifikácie (SAA), že za predpokladu, že sa zaviedol schválený súbor technických, fyzických, organizačných a procesných bezpečnostných opatrení, je systém v konkrétnom bezpečnostnom režime vo svojom operačnom prostredí a na prijateľnej úrovni rizika schválený na činnosť s definovaným stupňom utajenia;

„majetok“ je všetko, čo má pre organizáciu, jej činnosť a existenciu hodnotu, vrátane informačných zdrojov, ktoré slúžia na podporu plnenia jej úloh;

„povolenie na prístup k utajovaným skutočnostiam EÚ“ je rozhodnutie menovacieho orgánu GSR prijaté na základe ubezpečenia udeleného príslušným orgánom členského štátu o tom, že sa úradníkovi GSR, inému zamestnancovi GSR alebo vyslanému národnému expertovi môže v prípade, ak sa určila jeho potreba poznať a bol náležitým spôsobom poučený o svojich povinnostiach, udeliť prístup k utajovaným skutočnostiam EÚ až do určeného stupňa utajenia (CONFIDENTIEL UE/EU CONFIDENTIAL alebo vyššieho) a až do určeného dňa;

„životný cyklus CIS“ je celkové trvanie existencie CIS, ktoré zahŕňa prvotný zámer, koncept, plánovanie, analýzu požiadaviek, projektovanie, vývoj, testovanie, uvedenie do prevádzky, prevádzku, údržbu a vyradenie;

„utajovaná zmluva“ je zmluva medzi GSR a dodávateľom o dodaní tovaru, vykonaní prác alebo poskytnutí služieb, ktorej plnenie si vyžaduje alebo zahŕňa prístup k utajovaným skutočnostiam EÚ alebo ich vytvorenie;

„utajovaná subdodávateľská zmluva“ je zmluva medzi dodávateľom GSR a iným dodávateľom (t. j. subdodávateľom) o dodaní tovaru, vykonaní prác alebo poskytnutí služieb, ktorej plnenie si vyžaduje alebo zahŕňa prístup k utajovaným skutočnostiam EÚ alebo ich vytvorenie;

„komunikačný a informačný systém“ („CIS“) – pozri článok 10 ods. 2;

„dodávateľ“ je fyzická alebo právnická osoba právne spôsobilá uzatvárať zmluvy;

„kryptografický materiál“ sú kryptografické algoritmy, kryptografický hardvér a softvérové moduly a produkty vrátane údajov o ich implementácii a príslušnej dokumentácie a kryptografické kľúče;

„kryptografický produkt“ je produkt, ktorého primárnou a hlavnou funkciou je poskytovať bezpečnostné služby (dôvernosť, integritu, dostupnosť, hodnovernosť a nespochybniteľnosť) prostredníctvom jedného alebo viacerých kryptografických mechanizmov;

„operácia SBOP“ je vojenská alebo civilná operácia krízového riadenia na základe hlavy V kapitoly 2 Zmluvy o EÚ;

„zrušenie utajenia“ je odstránenie akéhokoľvek stupňa utajenia;

„hĺbková ochrana“ je uplatňovanie škály bezpečnostných opatrení, ktoré sa organizujú do viacerých vrstiev;

„určený bezpečnostný orgán“ (DSA) je orgán podliehajúci národnému bezpečnostnému orgánu (NSA) členského štátu, ktorý je zodpovedný za informovanie priemyselných alebo iných subjektov o vnútroštátnej politike vo všetkých záležitostiach priemyselnej bezpečnosti a za usmerňovanie a podporu pri jej vykonávaní. Funkcie DSA môže vykonávať NSA alebo akýkoľvek iný príslušný orgán;

„dokument“ je každá zaznamenaná informácia bez ohľadu na jej fyzickú podobu alebo vlastnosti;

„zníženie stupňa utajenia“ je zníženie stupňa utajenia;

„utajovaná skutočnosť EÚ“ – pozri článok 2 ods. 1;

„previerka bezpečnosti zariadenia“ (FSC) je správne rozhodnutie NSA alebo DSA, že z hľadiska bezpečnosti poskytuje zariadenie primeranú ochranu utajovaných skutočností EÚ pre určený stupeň utajenia;

„manipulácia“ s utajovanými skutočnosťami EÚ je akýkoľvek úkon v súvislosti s utajovanými skutočnosťami EÚ, ktorý sa môže vykonať počas ich životného cyklu. Patrí sem vytváranie, spracúvanie, prenos, zníženie stupňa utajenia, zrušenie utajenia a zničenie. V súvislosti s CIS sem patrí aj zhromažďovanie, zobrazovanie, prenášanie a uchovávanie;

„držiteľ“ je riadne oprávnená osoba, u ktorej sa zistila potreba poznať a ktorá má v držbe položku utajovaných skutočností EÚ, a preto zodpovedá za jej ochranu;

„priemyselný a iný subjekt“ je subjekt, ktorý dodáva tovar, vykonáva práce alebo poskytuje služby; môže to byť subjekt pôsobiaci v oblasti priemyslu, obchodu, služieb, vedy, výskumu, vzdelávania alebo rozvoja alebo samostatne zárobkovo činná osoba;

„priemyselná bezpečnosť“ – pozri článok 11 ods. 1;

„informačná bezpečnosť“ – pozri článok 10 ods. 1;

„prepojenie“ pozri prílohu IV bod 32;

„správa utajovaných skutočností“ – pozri článok 9 ods. 1;

„vec“ je každý dokument, nosič dát alebo prístroj či zariadenie vyrobené alebo v procese výroby;

„pôvodca“ je inštitúcia, orgán alebo agentúra Únie, členský štát, tretí štát alebo medzinárodná organizácia, v ktorej právomoci sa utajované skutočnosti vytvorili a/alebo zaviedli do štruktúr Únie;

„personálna bezpečnosť“ – pozri článok 7 ods. 1;

„previerka personálnej bezpečnosti“ (PSC) je vyhlásenie príslušného orgánu členského štátu, ktoré sa vydáva na ukončeného bezpečnostného vyšetrovania vykonaného príslušnými orgánmi členského štátu a ktorým sa potvrdzuje, že sa osobe môže do určeného dňa udeliť prístup k utajovaným skutočnostiam EÚ do určeného stupňa utajenia (CONFIDENTIEL UE/EU CONFIDENTIAL alebo vyššieho);

„certifikát o previerke personálnej bezpečnosti“ (PSCC) je certifikát vydaný príslušným orgánom, ktorým sa potvrdzuje, že osoba je bezpečnostne preverená a je držiteľom platného certifikátu o bezpečnostnej previerke alebo povolenia od menovacieho orgánu na prístup k utajovaným skutočnostiam EÚ, a v ktorom sa uvádza stupeň utajenia utajovaných skutočností EÚ, ku ktorým sa môže tejto osobe udeliť prístup (CONFIDENTIEL UE/EU CONFIDENTIAL alebo vyšší), dátum platnosti príslušnej PSC a dátum skončenia platnosti samotného certifikátu;

„fyzická bezpečnosť“ – pozri článok 8 ods. 1;

„bezpečnostný pokyn pre program/projekt“ (PSI) je zoznam bezpečnostných postupov, ktoré sa uplatňujú v rámci konkrétneho programu/projektu s cieľom štandardizovať bezpečnostné postupy. Počas trvania programu/projektu sa môže revidovať;

„registrácia“ – pozri prílohu III ods. 18;

„zvyškové riziko“ je riziko, ktoré zostáva po uplatnení bezpečnostných opatrení, vzhľadom na to, že nie je zabezpečená ochrana proti všetkým ohrozeniam a nie je možné odstrániť všetky slabiny;

„riziko“ je možnosť, že dané ohrozenie využije vnútorné a vonkajšie slabiny organizácie alebo niektorého zo systémov, ktorý táto organizácia používa, a tým spôsobí organizácii a jej hmotnému alebo nehmotnému majetku škodu. Meria sa kombináciou pravdepodobnosti, že sa ohrozenia naplnia, a ich následkov;

„bezpečnostná doložka“ (SAL) je súbor osobitných zmluvných podmienok vydaných verejným obstarávateľom, v ktorom sa stanovujú bezpečnostné požiadavky alebo prvky zmluvy vyžadujúce si bezpečnostnú ochranu a ktorý tvorí neoddeliteľnú súčasť každej utajovanej zmluvy, ktorá si vyžaduje prístup k utajovaným skutočnostiam EÚ alebo v rámci ktorej sa takéto utajované skutočnosti tvoria;

„usmernenia pre určovanie stupňa utajenia“ (SCG) je dokument, v ktorom sa opisujú prvky programu alebo zmluvy, ktoré sa utajujú, s uvedením uplatniteľných bezpečnostných stupňov utajenia. SCG sa môžu v priebehu existencie programu alebo zmluvy rozšíriť a stupeň utajenia prvkov utajovaných skutočností sa môže zmeniť alebo znížiť; ak SCG existujú, tvoria súčasť doložky SAL;

„bezpečnostné vyšetrovanie“ sú vyšetrovacie postupy vykonávané v súlade so zákonmi a inými právnymi predpismi príslušným orgánom členského štátu s cieľom získať ubezpečenie, že nie je známe nič, čo by bránilo udeliť tejto osobe PSC alebo povolenie na prístup k utajovaným skutočnostiam EÚ do určeného stupňa utajenia (CONFIDENTIEL UE/EU CONFIDENTIAL alebo vyššieho);

„bezpečnostný režim prevádzky“ je vymedzenie podmienok, za ktorých CIS vykonáva činnosť, na základe stupňa utajenia utajovaných skutočností, s ktorými sa v ňom manipuluje, a úrovní preverenia, formálnych schválení prístupu a potreby jeho používateľov poznať. Pri manipulácii s utajovanými skutočnosťami a ich prenose existujú štyri bezpečnostné režimy: vyhradený režim, režim vysokej bezpečnosti, režim kompartmentácie a viacúrovňový režim:

„proces riadenia bezpečnostných rizík“ je celkový proces zameraný na určenie, kontrolu a minimalizáciu neistých udalostí, ktoré môžu mať vplyv na bezpečnosť organizácie alebo akéhokoľvek systému, ktorý používa. Zahŕňa všetky činnosti vzťahujúce sa na riziká vrátane ich vyhodnocovania, zabezpečenia sa proti nim, akceptácie a oznamovania;

„TEMPEST“ je vyšetrovanie, skúmanie a kontrola elektromagnetického žiarenia predstavujúceho ohrozenie a opatrenia na jeho potlačenie;

„ohrozenie“ je potenciálna príčina neželaného incidentu, ktorého výsledkom môže byť poškodenie organizácie alebo akéhokoľvek systému, ktorý používa; takéto ohrozenia môžu byť náhodné alebo úmyselné (so zlým úmyslom) a sú charakterizované svojimi prvkami hrozby, potenciálnymi cieľmi a metódami útoku;

„slabina“ je slabá stránka akejkoľvek povahy, ktorú môže zneužiť jedno alebo viacero ohrození. Slabinu môže predstavovať opomenutie alebo sa môže týkať nedostatočnosti kontroly z hľadiska jej intenzity, úplnosti alebo súdržnosti a môže byť technického, procesného, fyzického, organizačného alebo operačného charakteru.