1.

V tej prilogi so določbe za izvajanje člena 7. Določa merila za ugotavljanje, ali je posameznik dovolj lojalen, vreden zaupanja in zanesljiv, da je lahko pooblaščen za dostop do tajnih podatkov EU, ter za preiskovalne in upravne postopke, ki jih je treba izvesti v ta namen.

2.

Posamezniku se odobri dostop do tajnih podatkov le po tem, ko:

3.

Vse države članice in GSS določijo delovna mesta v svoji strukturi, na katerih je potreben dostop do podatkov stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ali višje in se zato zahteva varnostno preverjanje ustrezne stopnje.

4.

Po prejemu pravilno odobrene prošnje so nacionalni varnostni organi ali drugi pristojni nacionalni organi odgovorni za varnostne preiskave svojih državljanov, ki morajo imeti dostop do podatkov stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ali višje. Standardi za preiskavo so skladni z nacionalnimi zakoni in predpisi, da bi se izdalo dovoljenje za dostop do tajnih podatkov ali zagotovitev, da se posamezniku podeli pooblastilo za dostop do tajnih podatkov EU, kakor je ustrezno.

5.

Če zadevni posameznik prebiva na ozemlju druge države članice ali tretje države, pristojni nacionalni organi za pomoč zaprosijo pristojni organ države prebivališča v skladu z nacionalnimi zakoni in predpisi. Države članice si medsebojno pomagajo pri varnostnih preiskavah v skladu z nacionalnimi zakoni in predpisi.

6.

Če to dovoljujejo nacionalni zakoni in predpisi, lahko nacionalni varnostni organi ali drugi pristojni nacionalni organi opravijo preiskavo tujih državljanov, ki morajo imeti dostop do podatkov stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ali višje. Standardi za preiskavo so skladni z nacionalnimi zakoni in predpisi.

7.

Za namene varnostnega preverjanja za dostop do tajnih podatkov stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ali višje se preko varnostne preiskave ugotavlja, ali je posameznik lojalen, vreden zaupanja in zanesljiv. Pristojni nacionalni organ na podlagi ugotovitev take varnostne preiskave pripravi splošno oceno. Med osnovnimi merili za takšno ugotavljanje je, kolikor to dopuščajo nacionalni zakoni in predpisi, preverjanje, ali je posameznik:

8.

Kadar je to primerno in v skladu z nacionalnimi zakoni in predpisi, je lahko pri varnostni preiskavi pomembno tudi finančno in zdravstveno stanje posameznika.

9.

Kadar je to primerno in v skladu z nacionalnimi zakoni in predpisi, so lahko vedenje in okoliščine v zvezi z zakonskim partnerjem, izvenzakonskim partnerjem ali ožjim družinskim članom prav tako pomembni pri varnostni preiskavi.

10.

Prvo varnostno preverjanje za dostop do podatkov stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL in SECRET UE/EU SECRET temelji na varnostni preiskavi iz obdobja najmanj zadnjih petih let ali od 18. leta starosti do sedaj, pri čemer se upošteva krajše obdobje, in vključuje naslednje:

11.

Prvo varnostno preverjanje za dostop do podatkov stopnje tajnosti TRÈS SECRET UE/EU TOP SECRET temelji na varnostni preiskavi obdobja najmanj zadnjih 10 let, ali od 18. leta starosti do sedaj, pri čemer se upošteva krajše obdobje. Če razgovori potekajo, kakor je določeno v točki (e) v nadaljevanju besedila, preiskave zajemajo najmanj obdobje zadnjih sedmih let ali od 18. leta do sedaj, pri čemer se upošteva krajše obdobje. Pred izdajo dovoljenja za dostop do tajnih podatkov stopnje tajnosti TRÈS SECRET UE/EU TOP SECRET, se ob upoštevanju meril iz prej navedenega odstavka 7 preveri tudi naslednje, v kolikor to omogočajo nacionalni zakoni in predpisi; če to zahtevajo nacionalni zakoni in predpisi, se to preveri tudi pred izdajo dovoljenja za dostop do tajnih podatkov stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ali SECRET UE/EU SECRET:

12.

Po potrebi in v skladu z nacionalnimi zakoni in predpisi se lahko opravijo dodatne preiskave za pridobitev vseh ustreznih informacij o posamezniku in za utemeljitev ali ovržbo negativnih informacij.

13.

Po izdaji prvega dovoljenja za dostop do tajnih podatkov in pod pogojem, da je posameznik nepretrgoma služboval v državni upravi ali v GSS in še vedno potrebuje dostop do tajnih podatkov EU, se dovoljenje za dostop do tajnih podatkov pregleda zaradi podaljšanja veljavnosti v največ petletnih presledkih za dovoljenje za stopnjo tajnosti TRÈS SECRET UE/EU TOP SECRET in v največ desetletnih presledkih za dovoljenje za stopnjo tajnosti SECRET UE/EU SECRET in CONFIDENTIEL UE/EU CONFIDENTIAL, in sicer z začetkom veljavnosti od datuma uradnega obvestila o zadnji varnostni preiskavi, na podlagi katere je bilo izdano. Vse varnostne preiskave za podaljšanje veljavnosti dovoljenja za dostop do tajnih podatkov zajemajo obdobje od zaključka predhodne tovrstne preiskave.

14.

Za podaljšanje veljavnosti dovoljenj za dostop do tajnih podatkov se preiščejo elementi iz odstavkov 10 in 11.

15.

Zahteve za podaljšanje veljavnosti se predložijo pravočasno ob upoštevanju časa, ki je potreben za varnostne preiskave. Če pa je zadevni nacionalni varnostni organ ali drug pristojni nacionalni organ prejel zadevno zahtevo za podaljšanje veljavnosti in ustrezni vprašalnik za varnostno preverjanje osebja pred iztekom veljavnosti dovoljenja za dostop do tajnih podatkov in če potrebna varnostna preiskava v tem času še ni zaključena, lahko pristojni nacionalni organ, če to dopuščajo nacionalni zakoni in predpisi, podaljša veljavnost trenutnega dovoljenja za dostop do tajnih podatkov za največ 12 mesecev. Če ob izteku teh 12 mesecev varnostna preiskava še vedno ni zaključena, se posamezniku dodeli take naloge, za katere ne potrebuje dovoljenja za dostop do tajnih podatkov.

16.

Vprašalnike za varnostno preverjanje osebja, ki jih izpolnijo uradniki in drugi uslužbenci v GSS, varnostni organ GSS pošlje nacionalnemu varnostnemu organu države članice, katere državljan je zadevni posameznik, z zahtevkom, da se izvede varnostna preiskava glede dostopa do tajnih podatkov EU tiste stopnje tajnosti, ki jih bo ta posameznik potreboval.

17.

Če GSS izve za podatke o posamezniku, ki je zaprosil za varnostno dovoljenje za dostop do tajnih podatkov EU, ki se nanašajo na varnostno preiskavo, o tem v skladu z ustreznimi pravili in predpisi obvesti ustrezni nacionalni varnostni organ.

18.

Zadevni nacionalni varnostni organ po opravljeni varnostni preiskavi obvesti varnostni organ GSS o njenem izidu, s standardnim obrazcem, ki ga predpiše varnostni odbor.

19.

Za varnostno preiskavo skupaj z dobljenimi rezultati se upoštevajo ustrezni zakoni in predpisi, ki veljajo v zadevni državi članici, vključno s tistimi, ki urejajo pritožbe. Na odločbe organa GSS za imenovanje se je mogoče pritožiti v skladu s Kadrovskimi predpisi za uradnike Evropske unije in Pogoji za zaposlitev drugih uslužbencev Evropske unije iz Uredbe Sveta (EGS, Euratom, ESPJ) št. 259/68 (1) (v nadaljnjem besedilu: Kadrovski predpisi in Pogoji za zaposlitev).

20.

Nacionalni strokovnjaki, ki so napoteni na GSS na delovno mesto, za katero je potreben dostop do tajnih podatkov EU do stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL in višje, pred prevzemom svojih zadolžitev varnostnemu organu GSS predložijo potrdilo za dostop do tajnih podatkov (PSCC), na podlagi katerega organ za imenovanje izda pooblastilo za dostop do tajnih podatkov EU.

21.

GSS bo sprejel pooblastilo za dostop do tajnih podatkov EU, ki ga je podelila katera druga institucija, organ ali agencija Unije, pod pogojem, da je veljavno. Pooblastilo bo pokrivalo vse zadolžitve zadevnega posameznika v GSS. Institucija, organ ali agencija Unije, kjer posameznik prevzema zaposlitev, bo uradno obvestila zadevni nacionalni varnostni organ o spremembi delodajalca.

22.

Če posameznik ne nastopi službe v roku 12 mesecev po uradnem obvestilu organa GSS za imenovanje o izidu varnostne preiskave, ali če posameznik 12 mesecev ne opravlja službe, med tem časom pa ni zaposlen na delovnem mestu v GSS ali v državni upravi države članice, se ta izid predloži zadevnemu nacionalnemu varnostnemu organu v potrditev, da je še vedno veljaven in ustrezen.

23.

Če GSS izve za informacije o nevarnosti, povezani s posameznikom, ki ima pooblastilo za dostop do tajnih podatkov EU, o tem v skladu z ustreznimi pravili in predpisi obvesti ustrezni nacionalni varnostni organ ter lahko začasno prekine dostop do tajnih podatkov EU ali odvzame pooblastilo za dostop do tajnih podatkov EU.

24.

Če nacionalni varnostni organ obvesti GSS o preklicu zagotovil, ki so bila v skladu z odstavkom 18(a) dana za posameznika, ki ima pooblastilo za dostop do tajnih podatkov EU, lahko organ GSS za imenovanje zaprosi nacionalni varnostni organ za vsa pojasnila, ki jih slednji lahko zagotovi skladno z nacionalnimi zakoni in predpisi. Če se izkaže, da so negativne informacije resnične, se posamezniku odvzame pooblastilo in se mu onemogoči dostop do tajnih podatkov EU ter se ga umakne z delovnega mesta, na katerem je takšen dostop mogoč ali na katerem bi lahko ogrozil varnost.

25.

Vsaka odločitev o odvzemu ali začasni prekinitvi pooblastila uradniku GSS ali drugemu uslužbencu za dostop do tajnih podatkov EU in po potrebi razlogi zanjo se sporočijo zadevnemu posamezniku, ki lahko zaprosi za zaslišanje pri organu za imenovanje. Za informacije, ki jih predloži nacionalni varnostni organ, veljajo ustrezni zakoni in predpisi, ki veljajo v zadevni državi članici, vključno s pravili in predpisi, ki urejajo pritožbe. Na odločbe organa GSS za imenovanje se je mogoče pritožiti v skladu s Kadrovskimi predpisi in Pogoji za zaposlitev.

26.

Evidence dovoljenj za dostop do tajnih podatkov in pooblastil, podeljenih za dostop do tajnih podatkov stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ali višje vodi vsaka država članica in GSS. Te evidence vsebujejo najmanj stopnjo tajnosti podatkov EU, do katerih ima lahko posameznik dostop, datum izdaje dovoljenja za dostop do tajnih podatkov in njegovo obdobje veljavnosti.

27.

Pristojni varnostni organ lahko izda PSCC, iz katerega so razvidni stopnja tajnih podatkov EU, do katerih ima lahko posameznik dostop (CONFIDENTIEL UE/EU CONFIDENTIAL ali višje), datum veljavnosti zadevnega dovoljenja za dostop do tajnih podatkov EU ali pooblastila za dostop do tajnih podatkov EU in datum izteka veljavnosti samega potrdila.

28.

V državah članicah je dostop do tajnih podatkov EU za posameznike, ki so zaradi svoje funkcije za to pravilno pooblaščeni, urejen z nacionalnimi zakoni in predpisi; ti posamezniki so poučeni o svojih obveznostih pri varovanju tajnih podatkov EU.

29.

Vsi posamezniki, ki prejmejo dovoljenje za dostop do tajnih podatkov, pisno potrdijo, da razumejo svoje obveznosti glede varovanja tajnih podatkov EU in da se zavedajo posledic, če pride do nepooblaščenega razkritja tajnih podatkov EU. Za vodenje evidence o takih pisnih potrditvah sta odgovorna država članica in GSS, kakor je ustrezno.

30.

Vse posameznike, ki imajo pooblastilo za dostop do tajnih podatkov EU ali se od njih zahteva delo s temi podatki, je treba na začetku opozoriti in jih nato redno poučevati glede nevarnosti za varovanje tajnosti; ustrezne varnostne organe so dolžni nemudoma obvestiti o vsakem poskusu približevanja ali ravnanju, ki se jim zdi sumljivo ali nenavadno.

31.

Vsi posamezniki, ki prenehajo opravljati naloge, za katere potrebujejo dostop do tajnih podatkov EU, se seznanijo s svojo obveznostjo, da morajo te podatke varovati tudi v prihodnje, in to po potrebi tudi pisno potrdijo.

32.

Če to dovoljujejo nacionalni zakoni in predpisi, imajo lahko nacionalni uradniki z dovoljenjem pristojnega nacionalnega organa države članice za dostop do nacionalnih tajnih podatkov dostop do tajnih podatkov EU do ustrezne stopnje, določene v preglednici enakovrednih stopenj tajnosti v Dodatku B, dokler jim ne izdajo dovoljenja za dostop do tajnih podatkov EU, če je tak začasen dostop v interesu Unije. Če nacionalna zakonodaja in predpisi ne dovoljujejo takega začasnega dostopa do tajnih podatkov EU, nacionalni varnostni organi o tem obvestijo Varnostni odbor.

33.

V nujnih primerih, kadar je to ustrezno utemeljeno v interesu službe in do zaključka celovite varnostne preiskave, organ GSS za imenovanje po posvetovanju z nacionalnim varnostnim organom države članice, katere državljan je posameznik, in ob upoštevanju izida predhodnih pregledov, s katerimi se preveri, da ni nobenih negativnih informacij, uradnikom in drugim uslužbencem GSS izda začasno pooblastilo za dostop do tajnih podatkov EU za določeno funkcijo. Taka začasna pooblastila veljajo največ šest mesecev in ne dovoljujejo dostopa do podatkov stopnje tajnosti TRÈS SECRET UE/EU TOP SECRET. Vsi posamezniki, ki prejmejo začasno pooblastilo, pisno potrdijo, da razumejo svoje obveznosti glede varovanja tajnih podatkov EU in da se zavedajo posledic njihovega nepooblaščenega razkritja. GSS vodi evidenco takšnih pisnih potrditev.

34.

Če je posameznik dodeljen na delovno mesto, za katerega je potrebno dovoljenje za dostop do tajnih podatkov, ki je za eno stopnjo višji od stopnje dovoljenja, ki ga trenutno ima, se lahko na to mesto začasno imenuje pod naslednjimi pogoji:

35.

Opisani postopek se uporabi za enkraten dostop do tajnih podatkov EU, ki so za eno stopnjo tajnosti višji od tistih, za katere je bil posameznik varnostno preverjen. Ta postopek se ne uporablja prepogosto.

36.

V zares izjemnih okoliščinah, kot so misije v sovražnem okolju ali v obdobju naraščajoče mednarodne napetosti, ko je to potrebno zaradi izrednih ukrepov, zlasti če gre za vprašanje življenja ali smrti, lahko države članice in generalni sekretar pisno, če je to mogoče, odobrijo dostop do tajnih podatkov stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ali SECRET UE/EU SECRET posameznikom, ki nimajo ustreznega dovoljenja za dostop do tajnih podatkov, če je tako dovoljenje zares nujno in ni nikakršnih dvomov, da je zadevni posameznik lojalen, vreden zaupanja in zanesljiv. Dodelitev takega dovoljenja se evidentira z opisom podatkov, do katerih je bil odobren dostop.

37.

Za podatke stopnje tajnosti TRÈS SECRET UE/EU TOP SECRET se tak nujni dostop omeji na državljane Unije, ki so že pooblaščeni za dostop do bodisi podatkov stopnje, ki je enakovredna TRÈS SECRET UE/EU TOP SECRET na nacionalni ravni, bodisi do podatkov stopnje tajnosti SECRET UE/EU SECRET.

38.

Če se uporabi postopek iz odstavkov 36 in 37, se Varnostnemu odboru o tem pošlje obvestilo.

39.

Če so glede začasnih pooblastil, začasnega imenovanja posameznikov, njihovega enkratnega dostopa oziroma dostopa do tajnih podatkov v nujnih primerih v nacionalni zakonodaji in predpisih države članice določena strožja pravila, se postopki, predvideni v tem oddelku, izvajajo samo v okviru omejitev iz zadevnih nacionalnih zakonov in predpisov.

40.

Varnostni odbor prejme letno poročilo o uporabi postopkov iz tega oddelka.

41.

Posamezniki, ki se udeležijo zasedanj Sveta ali sestankih pripravljalnih teles Sveta, na katerih se obravnavajo podatki stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ali višje, lahko to storijo šele po tem, ko je odobren status njihovega dovoljenja za dostop do tajnih podatkov in ob upoštevanju odstavka 28. Za delegate ustrezni organi pošljejo Varnostnemu uradu GSS potrdilo za dostop do tajnih podatkov ali drug dokaz o varnostnem preverjanju, izjemoma pa ga lahko predloži zadevni delegat. Po potrebi se lahko uporabi zbirni seznam imen z ustreznimi dokazili o opravljenem varnostnem preverjanju.

42.

Če je posamezniku, ki mora zaradi nalog, ki jih opravlja, sodelovati na zasedanjih Sveta ali sestankih pripravljalnih teles Sveta, iz varnostnih razlogov odvzeto dovoljenje za dostop do tajnih podatkov EU, pristojni organ o tem obvesti GSS.

43.

Kurirji, varnostniki in spremljevalci se varnostno preverijo do ustrezne stopnje ali se o njih opravi drugačna ustrezna preiskava v skladu z nacionalnimi zakoni in predpisi; obveščeni so o varnostnih postopkih za varovanje tajnih podatkov EU ter poučeni o dolžnosti, da varujejo podatke, ki so jim zaupani.

1.

V tej prilogi so določbe za izvajanje člena 8. Določa minimalne zahteve za fizično varovanje prostorov, zgradb, pisarn, sob in drugih območij, kjer poteka delo s tajnimi podatki EU in kjer se ti hranijo, vključno z območji, kjer so nameščeni komunikacijski in informacijski sistemi.

2.

Namen ukrepov fizične varnosti je preprečiti nepooblaščen dostop do tajnih podatkov EU:

3.

Ukrepi fizične varnosti se izberejo na podlagi ocene nevarnosti, ki jo opravijo pristojni organi. GSS in države članice v svojih prostorih uporabljajo postopek obvladovanja tveganja za varovanje tajnih podatkov EU, s čimer se zagotovi, da je stopnja fizične varnosti sorazmerna ocenjenemu tveganju. V okviru postopka obvladovanja tveganja se upoštevajo vsi ustrezni dejavniki, zlasti:

4.

Pristojni varnostni organ na podlagi koncepta globinske obrambe določi ustrezno kombinacijo ukrepov fizične varnosti, ki naj bi se izvedli. Vključujejo lahko enega ali več od naslednjih ukrepov:

5.

Pristojni organ je lahko pooblaščen za preglede na vhodih in izhodih, kar naj bi odvračalo od nedovoljenega vnosa materiala v prostore ali zgradbe ali od nedovoljene odstranitve tajnih podatkov EU iz njih.

6.

Če obstaja tveganje vpogleda v tajne podatke EU, tudi po naključju, se sprejmejo ustrezni ukrepi za preprečitev tega tveganja.

7.

Za nove objekte se zahteve glede fizične varnosti in njihove funkcijske specifikacije določijo v sklopu načrtovanja in zasnove objektov. Pri obstoječih objektih se zahteve glede fizične varnosti izvajajo v največji možni meri.

8.

Pri nabavi opreme (kot so blagajne, uničevalci papirja, vratne ključavnice, elektronski sistemi nadzora dostopa, sistemi odkrivanja vsiljivcev, alarmni sistemi) za fizično varovanje tajnih podatkov EU pristojni varnostni organ zagotovi, da oprema izpolnjuje potrjene tehnične standarde in minimalne zahteve.

9.

Tehnične specifikacije opreme, ki se bo uporabljala za fizično varovanje tajnih podatkov EU, se določijo v varnostnih smernicah, ki jih odobri Varnostni odbor.

10.

Varnosti sistemi se redno inšpekcijsko pregledujejo, oprema pa se redno vzdržuje. Vzdrževalna dela upoštevajo izid inšpekcijskih pregledov, da se zagotovi, da oprema še naprej deluje optimalno.

11.

Učinkovitost posameznih varnostnih ukrepov in celotnega varnostnega sistema se med vsakim inšpekcijskim pregledom ponovno oceni.

12.

Za fizično zaščito tajnih podatkov EU se vzpostavi dvoje vrst fizično zaščitenih območij ali enakovredna območja na državni ravni:

Vsako sklicevanje na upravna območja in varovana območja, vključno s tehnično varovanimi območji, v tem sklepu pomeni tudi sklicevanje na enakovredna območja na državni ravni.

13.

Pristojni varnostni organ ugotovi, da območje izpolnjuje zahteve in ga je zato mogoče določiti za upravno območje, varovano območje ali tehnično varovano območje.

14.

Na upravnih območjih:

15.

Na varovanih območjih:

16.

Če vstop na varovano območje praktično pomeni neposreden dostop do tajnih podatkov na tem območju, veljajo naslednje dodatne zahteve:

17.

Varovana območja, zaščitena pred prisluškovanjem, se določijo za tehnično varovana območja. Veljajo naslednje dodatne zahteve:

18.

Ne glede na točko (d) odstavka 17 pristojni varnostni organ pred uporabo komunikacijskih naprav ter električne ali elektronske opreme na območjih, kjer potekajo sestanki ali se opravlja delo s podatki stopnje tajnosti SECRET UE/EU SECRET in višje, ter je ocena nevarnosti za tajne podatke EU velika, to opremo najprej preveri, zato da zagotovi, da te naprave ne morejo nehoteno ali nezakonito pošiljati uporabnih podatkov zunaj varnostnega perimetra varovanega območja.

19.

Varovana območja, na katerih dežurno osebje ni prisotno 24 ur na dan, se, kjer je to ustrezno, inšpekcijsko pregledajo po zaključku običajnega delovnega časa in v naključnih presledkih pred ali po običajnem delovnem času, razen če ni nameščen sistem za odkrivanje vsiljivcev.

20.

V upravnem območju se lahko zaradi tajnega sestanka ali za podobne namene začasno vzpostavijo varovana območja in tehnično varovana območja.

21.

Za vsako varovano območje se oblikujejo varnostno-operativni postopki, ki določajo:

22.

V varovanih območjih se zgradijo sobe-trezorji. Stene, tla, strope, okna in vrata, ki jih je mogoče zakleniti, odobri pristojni varnostni organ, zagotavljajo pa zaščito, enakovredno blagajni, odobreni za hrambo tajnih podatkov EU enake stopnje tajnosti.

23.

Delo s tajnimi podatki stopnje tajnosti RESTREINT UE/EU RESTRICTED lahko poteka:

24.

Tajni podatki EU stopnje tajnosti RESTREINT UE/EU RESTRICTED se hranijo v ustrezno zaklenjenem pisarniškem pohištvu v upravnem območju ali v varovanem območju. Začasno se lahko hranijo zunaj varovanega ali upravnega območja, če se je imetnik podatkov zavezal, da bo ravnal v skladu z nadomestnimi ukrepi iz varnostnih navodil pristojnega varnostnega organa.

25.

Delo s tajnimi podatki stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ali SECRET UE/EU SECRET lahko poteka:

26.

Tajni podatki EU stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL in SECRET UE/EU SECRET se hranijo v varovanem območju v blagajni ali sobi-trezorju.

27.

Delo s tajnimi podatki EU stopnje tajnosti TRÈS SECRET UE/EU TOP SECRET poteka v varovanem območju.

28.

Tajni podatki EU stopnje tajnosti TRÈS SECRET UE/EU TOP SECRET se hranijo v varovanem območju pod enim od naslednjih pogojev:

29.

Pravila o prenašanju tajnih podatkov EU zunaj fizično varovanih območij so navedena v Prilogi III.

30.

Pristojni varnostni organ določi postopke za ravnanje s ključi in nastavitvami kombinacij za pisarne, sobe, sobe-trezorje in blagajne. Takšni postopki varujejo pred nepooblaščenim dostopom.

31.

Nastavitve kombinacij si na pamet zapomni najmanjše možno število posameznikov, ki jih morajo poznati. Nastavitve kombinacij za blagajne in sobe-trezorje, kjer se hranijo tajni podatki EU, se spremenijo:

1.

V tej prilogi so določbe za izvajanje člena 9. V njej so določeni upravni ukrepi za nadzor nad tajnimi podatki EU ves čas njihovega življenjskega cikla, ki so namenjeni odvračanju in odkrivanju takšnih podatkov po naključnem ali namernem nepooblaščenem razkritju ali izgubi.

2.

Podatkom se stopnja tajnosti določi takrat, kadar jih je treba varovati zaradi njihove tajnosti.

3.

Organ izvora tajnih podatkov EU je v skladu z ustreznimi smernicami za razvrstitev pristojen za določanje stopnje tajnosti in za začetno širjenje podatkov.

4.

Stopnja tajnosti podatkov EU se določi v skladu s členom 2(2) in ob upoštevanju varnostne politike, ki se odobri v skladu s členom 3(3).

5.

Stopnja tajnosti je jasno in pravilno označena, ne glede na to, ali so tajni podatki EU v pisni, ustni, elektronski ali kateri drugi obliki.

6.

Posamezni deli nekega dokumenta (tj. strani, odstavki, oddelki, priloge, dodatki ter dodani in priloženi deli) so lahko različnih stopenj tajnosti in se jih ustrezno temu označi, tudi če se hranijo v elektronski obliki.

7.

Splošna stopnja tajnosti dokumenta ali datoteke je vsaj tako visoka, kot del istega dokumenta z najvišjo stopnjo tajnosti. Če so podatki zbrani iz različnih virov, se končni izdelek pregleda zaradi dodelitve splošne stopnje tajnosti, saj mu bo morda treba določiti višjo stopnjo tajnosti, kot jo imajo njegovi sestavni deli.

8.

Dokumenti z deli, ki so označeni z različnimi stopnjami tajnosti, se, kolikor je to mogoče, oblikujejo tako, da je mogoče dele z različnimi stopnjami tajnosti brez težav najti in po potrebi izločiti.

9.

Stopnja tajnosti pisma ali dopisa, ki se nanaša na priloge, je enaka najvišji stopnji tajnosti prilog. Organ izvora mora, če je tak dokument ločen od prilog, jasno navesti njegovo stopnjo tajnosti, in sicer z ustreznimi oznakami, npr.:

CONFIDENTIEL UE/EU CONFIDENTIAL

Brez prilog(-e) RESTREINT UE/EU RESTRICTED

10.

Tajni podatki EU lahko poleg varnostnih oznak stopnje tajnosti iz člena 2(2) nosijo dodatne oznake, kot na primer:

11.

Standardizirane okrajšane oznake stopnje tajnosti se lahko uporabijo za navedbo stopnje tajnosti posameznih odstavkov besedila. Okrajšave ne nadomestijo celotnih oznak tajnosti.

12.

Spodaj navedene standardizirane okrajšave se tako lahko uporabljajo v tajnih dokumentih EU za označevanje stopnje tajnosti delov ali segmentov besedila, krajših od ene strani:

13.

Pri pripravi tajnega dokumenta EU:

14.

Če za tajne podatke EU ni mogoče uporabljati odstavka 13, se sprejmejo drugi ustrezni ukrepi v skladu z varnostnimi smernicami iz člena 6(2).

15.

Organ izvora ob nastanku tajnih podatkov EU po možnosti in zlasti za podatke stopnje tajnosti RESTREINT UE/EU RESTRICTED navede, ali se stopnja tajnosti lahko zniža ali prekliče na določen datum ali po določenem dogodku.

16.

GSS redno pregleduje svoje tajne podatke EU, da bi ugotovil, ali je stopnja tajnosti še ustrezna. GSS vzpostavi sistem pregledovanja stopnje tajnosti tajnih podatkov EU, ki jih je ustvaril, vsaj vsakih pet let. Takšen pregled ni potreben, če je organ izvora že na začetku navedel, da bo stopnja tajnosti podatkov samodejno znižana ali da bodo preklicane stopnje tajnosti, in če je podatek temu ustrezno označen.

17.

Za vsak organizacijski subjekt v GSS in državnih upravah držav članic, v katerem poteka delo s tajnimi podatki EU, se določi pristojni register, ki zagotovi, da delo s tajnimi podatki EU poteka v skladu s tem sklepom. Registri se uredijo kot varovana območja, kakor so opredeljena v Prilogi II.

18.

Za namene tega sklepa vpis iz varnostnih razlogov (v nadaljnjem besedilu: vpis) pomeni uporabo postopkov, ki evidentirajo življenjski cikel materiala, vključno z njegovim razširjanjem in uničenjem.

19.

Ves material stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL in višje se ob prispetju v organizacijski subjekt ali pri odpošiljanju iz njega vpiše pri za to namenjenem registru.

20.

Centralni register v GSS vodi evidenco vseh tajnih podatkov, ki jih Svet in GSS dasta tretjim državam in mednarodnim organizacijam, ter vseh tajnih podatkov, ki jih prejmeta od tretjih držav ali mednarodnih organizacij.

21.

V primeru komunikacijskega in informacijskega sistema se vpisni postopki lahko opravijo v okviru procesov znotraj samega komunikacijskega in informacijskega sistema.

22.

Svet odobri varnostno politiko glede vpisovanja tajnih podatkov EU iz varnostnih razlogov.

23.

V državah članicah in GSS se določi register, ki deluje kot centralni organ za prejemanje in razpošiljanje podatkov stopnje tajnosti TRÈS SECRET UE/EU TOP SECRET. Po potrebi se lahko določijo podregistri, v katerih delajo s takšnimi podatki za potrebe vpisovanja.

24.

Takšni podregistri ne smejo pošiljati dokumentov stopnje tajnosti TRÈS SECRET UE/EU TOP SECRET neposredno drugim podregistrom v sklopu istega centralnega registra za podatke stopnje tajnosti TRÈS SECRET UE/EU TOP SECRET ali zunaj njega brez njegovega izrecnega pisnega dovoljenja.

25.

Dokumenti stopnje tajnosti TRÈS SECRET UE/EU TOP SECRET se lahko kopirajo ali prevajajo le s predhodnim pisnim soglasjem organa izvora.

26.

Če organ izvora dokumentov stopnje tajnosti SECRET UE/EU SECRET in nižje ni navedel opozoril glede kopiranja ali prevajanja, se lahko po navodilu imetnika takšni dokumenti kopirajo ali prevajajo.

27.

Varnostni ukrepi, ki veljajo za izvorni dokument, veljajo tudi za njegove kopije in prevode.

28.

Za prenašanje tajnih podatkov EU veljajo varnostni ukrepi iz odstavkov 30 do 41. Pri prenašanju tajnih podatkov EU na elektronskih medijih se ukrepi varovanja, navedeni v nadaljevanju, ne glede na člen 9(4) lahko dopolnijo z ustreznimi tehničnimi protiukrepi, ki jih predpiše pristojni varnostni organ, tako da se čim bolj zmanjša nevarnost izgube ali nepooblaščenega razkritja.

29.

Pristojni varnostni organi v GSS in državah članicah izdajo navodila za prenašanje tajnih podatkov EU v skladu s tem sklepom.

30.

Tajni podatki EU, ki se prenašajo znotraj zgradbe ali samostojne skupine zgradb, se zakrijejo zaradi preprečitve razkritja njihove vsebine.

31.

Znotraj zgradbe ali samostojne skupine zgradb se podatki stopnje tajnosti TRÈS SECRET UE/EU TOP SECRET prenašajo v zaščitenih ovojnicah, na katerih je samo ime naslovnika.

32.

Tajni podatki EU, ki se prenašajo med zgradbami ali prostori v Uniji, so pakirani tako, da so zaščiteni pred nepooblaščenim razkritjem.

33.

Prenašanje podatkov stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ali SECRET UE/EU SECRET znotraj EU poteka na enega izmed naslednjih načinov:

V primeru prenašanja iz ene države članice v drugo se določbe iz točke (c) omejijo na podatke do stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL.

34.

Podatki stopnje tajnosti RESTREINT UE/EU RESTRICTED se lahko prenašajo tudi prek poštnih služb ali komercialnih kurirskih služb. Za njihovo prenašanje ni potrebno kurirsko potrdilo.

35.

Material stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL in SECRET UE/EU SECRET (npr. oprema ali stroji), ki se ne more prenašati na načine iz odstavka 33, kot tovor prepeljejo komercialne prevozne družbe v skladu s Prilogo V.

36.

Podatki stopnje tajnosti TRÈS SECRET UE/EU TOP SECRET se med zgradbami ali prostori v Uniji prenašajo po vojaškem, vladnem ali diplomatskem kurirju, kakor je ustrezno.

37.

Tajni podatki EU, ki se prenašajo iz Unije na ozemlje tretje države, so pakirani tako, da so zaščiteni pred nepooblaščenim razkritjem.

38.

Prenašanje podatkov stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL in SECRET UE/EU SECRET iz Unije na ozemlje tretje države poteka na enega izmed naslednjih načinov:

39.

Pri prenašanju podatkov stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL in SECRET UE/EU SECRET, ki jih Unija posreduje tretji državi ali mednarodni organizaciji, se upoštevajo ustrezne določbe iz sporazuma o varnosti podatkov ali dogovora o izvajanju v skladu s členom 13(2)(a) ali (b).

40.

Podatki stopnje tajnosti RESTREINT UE/EU RESTRICTED se lahko prenašajo tudi prek poštnih služb ali komercialnih kurirskih služb.

41.

Podatki stopnje tajnosti TRÈS SECRET UE/EU TOP SECRET se iz Unije na ozemlje tretje države prenašajo po vojaškem ali diplomatskem kurirju.

42.

Tajni dokumenti EU, ki niso več potrebni, se lahko uničijo, brez poseganja v ustrezna pravila in predpise o arhiviranju.

43.

Dokumente, ki se vpisujejo v skladu s členom 9(2), po navodilu imetnika tajnih podatkov ali pristojnega organa uniči pristojni register. Vpisniki in drugi podatki o vpisu se ustrezno posodobijo.

44.

Dokumenti stopnje tajnosti SECRET UE/EU SECRET ali TRÈS SECRET UE/EU TOP SECRET se uničijo v prisotnosti priče, ki je varnostno preverjena vsaj do stopnje tajnosti dokumenta, ki se uničuje.

45.

Uradnik registra in priča, če je njena navzočnost obvezna, podpišeta potrdilo o uničenju, ki se shrani v registru. Register potrdila o uničenju dokumentov stopnje TRÈS SECRET UE/EU TOP SECRET hrani vsaj deset let, potrdila o uničenju dokumentov stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL in SECRET UE/EU SECRET pa vsaj pet let.

46.

Tajni dokumenti, vključno s tajnimi dokumenti stopnje tajnosti RESTREINT UE/EU RESTRICTED, se uničijo po metodah, ki so skladne z ustreznimi standardi Unije ali enakovrednimi standardi ali so jih odobrile države članice v skladu z nacionalnimi tehničnimi standardi, da se prepreči celovita ali delna obnova.

47.

Uničenje računalniških shranjevalnih nosilcev, ki se uporabljajo za tajne podatke EU, poteka v skladu z odstavkom 37 Priloge IV.

48.

V primeru izrednih razmer, če obstaja neposredna nevarnost nepooblaščenega razkritja, tajne podatke EU imetnik uniči, tako da jih ni mogoče v celoti ali delno ponovno sestaviti. Organ izvora in izvorni register se obvestita o nujnem uničenju vpisanih tajnih podatkov EU.

49.

Izraz „ocenjevalni obisk“ v nadaljevanju pomeni:

s katerimi se ovrednoti učinkovitost ukrepov, ki se izvajajo za varovanje tajnih podatkov EU.

50.

Namen ocenjevalnih obiskov je, med drugim:

51.

Pred koncem vsakega koledarskega leta Svet sprejme program ocenjevalnih obiskov iz točke (c) člena 16(1) za naslednje leto. Dejanski datum vsakega ocenjevalnega obiska se določi v dogovoru z zadevnim organom ali agencijo Unije, državo članico, tretjo državo ali mednarodno organizacijo.

52.

Z ocenjevalnimi obiski se pri subjektu preverijo ustrezna pravila, predpisi in postopki, preveri se tudi, ali prakse subjekta ustrezajo temeljnim načelom in minimalnim standardom iz tega sklepa in določbam o izmenjavi tajnih podatkov s tem subjektom.

53.

Ocenjevalni obiski se izvajajo v dveh fazah. Pred samim obiskom se po potrebi organizira pripravljalni sestanek z zadevnim subjektom, nato pa ekipa ocenjevalnega obiska v dogovoru z zadevnim subjektom pripravi podroben program obiska, ki zajema vsa področja varnosti. Ekipa ocenjevalnega obiska bi morala imeti dostop do vseh lokacij, kjer poteka delo s tajnimi podatki EU, še zlasti pa do registrov in dostopovnih vozlišč komunikacijskih in informacijskih sistemov.

54.

Ocenjevalni obiski nacionalnih uprav držav članic, tretjih držav in mednarodnih organizacij se opravijo s polnim sodelovanjem uradnikov subjekta, tretje države ali mednarodne organizacije, kjer se pregledi opravljajo.

55.

Ocenjevalni obiski organov, agencij in subjektov Unije, ki uporabljajo ta sklep ali njegova načela, se opravijo s pomočjo strokovnjakov iz nacionalnih varnostnih organov, na ozemlju katerih se organ ali agencija nahaja.

56.

V primeru ocenjevalnih obiskov organov, agencij in subjektov Unije, ki uporabljajo ta sklep ali njegova načela, ter v tretjih državah in mednarodnih organizacijah se lahko zaprosi za pomoč in prispevke strokovnjakov nacionalnega varnostnega organa v skladu z natančnimi načrti, o katerih se dogovori Varnostni odbor.

57.

Ob koncu ocenjevalnega obiska se obiskanemu subjektu predložijo glavni zaključki in priporočila. Nato se pripravi poročilo o ocenjevalnem obisku. Če so bili predlagani korektivni ukrepi in priporočila, se v poročilo vključi dovolj podrobnosti, da je mogoče dosežene zaključke utemeljiti. Poročilo se pošlje ustreznemu organu obiskanega subjekta.

58.

Pri ocenjevalnih obiskih, opravljenih v državnih upravah držav članic:

V pristojnosti Varnostnega organa GSS (Varnostnega urada) se pripravi redno poročilo, v katerem se poudarijo dognanja ocenjevalnih obiskov, opravljenih v določenem obdobju v državah članicah; Varnostni odbor to poročilo preuči.

59.

Poročila o ocenjevalnih obiskih tretjih držav in mednarodnih organizacij se pošljejo Varnostnemu odboru. Stopnja tajnosti poročila je vsaj RESTREINT UE/EU RESTRICTED. Ob naslednjem obisku se preverijo vsi korektivni ukrepi; o njih se poroča Varnostnemu odboru.

60.

V primeru ocenjevalnih obiskov katerega koli organa, agencije in subjekta EU, ki uporablja ta sklep oziroma načela tega sklepa, se poročila o ocenjevalnih obiskih pošljejo Varnostnemu odboru. Osnutek poročila o ocenjevalnem obisku se pošlje zadevni agenciji ali organu, da preveri, ali so dejstva v njem pravilna in ne vsebuje podatkov višje stopnje tajnosti od RESTREINT UE/EU RESTRICTED. Ob naslednjem obisku se preverijo vsi korektivni ukrepi; o njih se poroča Varnostnemu odboru.

61.

Varnostni organ GSS izvaja redne inšpekcijske preglede organizacijskih subjektov v GSS za namene iz odstavka 50.

62.

Varnostni organ GSS (Varnostni urad) pripravi in posodablja kontrolni seznam točk, ki jih je treba preveriti med ocenjevalnim obiskom. Ta kontrolni seznam se pošlje Varnostnemu odboru.

63.

Informacije za izpolnitev kontrolnega seznama se pridobijo zlasti med obiskom pri osebju za upravljanje varovanja tajnosti subjekta, v katerem se izvaja inšpekcijski pregled. Ko je kontrolni seznam izpolnjen s podrobnimi odgovori, se mu v dogovoru s pregledanim subjektom določi stopnja tajnosti. Ni del poročila o inšpekcijskem pregledu.

1.

V tej prilogi so določbe za izvajanje člena 10.

2.

Za varnost in pravilno delovanje operacij v komunikacijskih in informacijskih sistemih (KIS) so ključne naslednje lastnosti in pojmi v zvezi z zagotavljanjem informacijske varnosti:

3.

Določbe v nadaljevanju predstavljajo osnovo za varnost vseh komunikacijskih in informacijskih sistemov, v katerih poteka delo s tajnimi podatki EU. Natančne zahteve za izvajanje teh določb so opredeljene v politikah o zagotavljanju informacijske varnosti in varnostnih smernicah.

4.

Obvladovanje varnostnega tveganja je sestavni del določanja, razvijanja, delovanja in vzdrževanja komunikacijskih in informacijskih sistemov. Postopek obvladovanja tveganja (ocena, obravnava, sprejemanje in obveščanje) kot ponavljajoč se postopek skupaj izvajajo predstavniki lastnikov sistema, projektni organi, operativni organi in varnostni organi za odobritev, ki uporabljajo preverjen, pregleden ter popolnoma razumljiv postopek ocene tveganja. Področje komunikacijskih in informacijskih sistemov ter njihovih sestavnih delov je jasno določeno na začetku izvajanja postopka za obvladovanje tveganja.

5.

Pristojni organi preučijo morebitne nevarnosti za komunikacijske in informacijske sisteme in poskrbijo za posodobljene in natančne ocene nevarnosti, ki odražajo trenutno operativno okolje. Stalno posodabljajo znanje o vprašanjih glede izpostavljenosti in redno pregledujejo ocene ranljivih točk ter tako sledijo spremembam na področju informacijske tehnologije (IT).

6.

Namen obravnave varnostnega tveganja je uporabiti sklop varnostnih ukrepov, s čimer se doseže zadovoljivo ravnovesje med zahtevami uporabnikov, stroški in preostalim varnostnim tveganjem.

7.

Konkretne zahteve, obseg in stopnja natančnosti, ki jih za akreditacijo komunikacijskih in informacijskih sistemov določi pristojni organ za varnostno akreditacijo, morajo biti sorazmerni z ocenjenim tveganjem ob upoštevanju vseh pomembnih dejavnikov, med drugim stopnje tajnosti podatkov EU v komunikacijskih in informacijskih sistemih. Akreditacija vključuje uradno izjavo pristojnega organa o preostalem tveganju in sprejemanju tega tveganja.

8.

Zagotovitev varnosti je ena od zahtev, ki velja ves čas življenjskega cikla komunikacijskih in informacijskih sistemov od njihove uvedbe do prenehanja delovanja.

9.

Za vsako fazo življenjskega cikla komunikacijskega in informacijskega sistema se določita vloga in interakcija, ki jo ima v zvezi z varnostjo sistema vsak akter, ki je vanj vključen.

10.

Vsak komunikacijski in informacijski sistem, vključno s tehničnimi in netehničnimi varnostnimi ukrepi, se v okviru akreditacijskega postopka varnostno preskusi, da se zagotovi ustrezna stopnja jamstva in preveri, ali se pravilno izvajajo ter ali so pravilno integrirani in konfigurirani.

11.

Varnostne ocene, inšpekcijski pregledi in pregledi se med obratovanjem komunikacijskega in informacijskega sistema in v času njihovega vzdrževanja izvajajo v rednih časovnih presledkih, pa tudi v izjemnih okoliščinah.

12.

Varnostna dokumentacija za komunikacijske in informacijske sisteme se razvija ves čas njihovega življenjskega cikla v sklopu spreminjanja in upravljanja konfiguracije.

13.

GSS in države članice sodelujejo pri oblikovanju najboljših praks za varovanje tajnih podatkov EU, s katerimi poteka delo v komunikacijskih in informacijskih sistemih. Smernice glede najboljših praks določajo tehnične, fizične, organizacijske in postopkovne varnostne ukrepe za komunikacijske in informacijske sisteme, katerih učinkovitost pri preprečevanju določenih nevarnosti in ranljivih točk je dokazana.

14.

K varovanju tajnih podatkov EU, s katerimi poteka delo v komunikacijskih in informacijskih sistemih, prispevajo tudi izkušnje subjektov, ki delujejo na področju zagotavljanja varnosti v Uniji in drugod.

15.

Razširjanje najboljše prakse in nato njeno izvajanje prispeva k doseganju enakovredne ravni jamstva pri različnih komunikacijskih in informacijskih sistemih, s katerimi upravljajo GSS in države članice, ki delajo s tajnimi podatki EU.

16.

Za ublažitev tveganja za komunikacijske in informacijske sisteme se izvaja vrsta tehničnih in netehničnih varnostnih ukrepov, ki so organizirani kot večplastna obramba. Te plasti zajemajo:

(a)   odvračanje: varnostni ukrepi za odvrnitev od načrtovanja sovražnih napadov na komunikacijske in informacijske sisteme;

(b)   preprečevanje: varnostni ukrepi za oviranje ali zaustavitev napadov na komunikacijske in informacijske sisteme;

(c)   odkrivanje: varnostni ukrepi za odkrivanje napadov na komunikacijske in informacijske sisteme;

(d)   odpornost: varnostni ukrepi za omejitev učinka napadov na najmanjši možen sklop podatkov ali sestavnih delov komunikacijskih in informacijskih sistemov ter preprečevanje nadaljnje škode ter

(e)   ponovna vzpostavitev: varnostni ukrepi za ponovno vzpostavitev varnosti v okviru komunikacijskih in informacijskih sistemov.

Stopnja strogosti takšnih varnostnih ukrepov se določi po oceni tveganja.

17.

Nacionalni varnostni organ ali drug pristojni organ zagotovi, da:

18.

Izvajajo se le ključne funkcionalnosti, naprave in storitve, potrebne za obratovanje, da ni izpostavljanja nepotrebnim tveganjem.

19.

Uporabniki komunikacijskih in informacijskih sistemov ter avtomatizirani postopki dobijo le takšen dostop, privilegije ali pooblastila, ki jih potrebujejo za opravljanje svojih nalog, da se omeji škoda, ki bi nastala zaradi nesreč, napak ali nepooblaščene uporabe virov v komunikacijskih in informacijskih sistemih.

20.

Vpisni postopki, ki se po potrebi opravijo v komunikacijskih in informacijskih sistemih, se preverijo kot del postopka akreditacije.

21.

Za varnost komunikacijskih in informacijskih sistemov je v prvi vrsti pomembno poznavanje tveganj in razpoložljivih varnostnih ukrepov. Zlasti vsi člani osebja, vključeni v življenjski cikel komunikacijskih in informacijskih sistemov, vključno z uporabniki, se morajo zavedati:

22.

Da bi zagotovili ustrezno razumevanje odgovornosti glede varnosti, mora biti izobraževanje o informacijski varnosti in usposabljanje za krepitev ozaveščenosti obvezno za vse ustrezno osebje, vključno z višjim vodstvom in uporabniki komunikacijskih in informacijskih sistemov.

23.

Potrebna stopnja zaupanja v varnostne ukrepe, opredeljena kot stopnja jamstva, se določi glede na rezultat postopka obvladovanja tveganja in v skladu z ustreznimi varnostnimi politikami in varnostnimi smernicami.

24.

Stopnja jamstva se preveri z mednarodno priznanimi postopki in metodologijami ali postopki in metodologijami, ki so odobreni na nacionalni ravni. To so predvsem ocena, nadzor in presoja.

25.

Šifrirne izdelke za varovanje tajnih podatkov EU oceni in odobri nacionalni organ države članice za odobritev šifrirnih metod in izdelkov (CAA).

26.

Preden se v skladu s členom 10(6) takšni šifrirni izdelki priporočijo v odobritev Svetu ali generalnemu sekretarju, jih mora pozitivno oceniti še drug ustrezno usposobljen organ države članice (AQUA), ki ni vključen v načrtovanje ali izdelovanje opreme. Kako natančna mora biti druga ocena, je odvisno od predvidene najvišje stopnje tajnosti tajnih podatkov EU, ki se jih s temi izdelki varuje. Varnostno politiko glede ocene in odobritve šifrirnih izdelkov odobri Svet.

27.

Svet oziroma generalni sekretar lahko na priporočilo Varnostnega odbora zaradi posebnih operativnih razlogov opusti zahtevo iz odstavka 25 ali 26 te priloge in za določen čas izda odobritev v skladu s postopkom iz člena 10(6).

28.

Svet lahko na priporočilo Varnostnega odbora odobri postopek ocene, izbire in odobritve šifrirnih izdelkov iz tretje države ali mednarodne organizacije ter v skladu s tem odloči, da so taki šifrirni izdelki odobreni za varovanje tajnih podatkov EU, danih tej tretji državi ali mednarodni organizaciji.

29.

Ustrezno usposobljen organ je organ države članice za odobritev šifrirnih metod in izdelkov, ki je bil za izvedbo druge ocene šifrirnih izdelkov za varovanje tajnih podatkov EU akreditiran na podlagi meril, ki jih je določil Svet.

30.

Svet odobri varnostno politiko glede ustreznosti in odobritve nešifrirnih varnostnih izdelkov IT.

31.

Ne glede na določbe tega sklepa se v primerih, ko je pošiljanje tajnih podatkov EU omejen na varovana območja ali upravna območja, lahko uporabi nešifrirano pošiljanje ali šifriranje na nižji stopnji, in sicer na podlagi rezultata postopka obvladovanja tveganja in odobritve organa za varnostno akreditacijo.

32.

V tem sklepu medsebojna povezanost sistemov pomeni neposredno povezavo dveh ali več sistemov IT za namen izmenjave podatkov in drugih informacijskih virov (npr. komunikacija) v eni ali več smereh.

33.

Komunikacijski in informacijski sistemi vsak sistem IT, povezan z njimi, samodejno obravnavajo kot nezanesljiv in izvedejo ukrepe varovanja, s katerimi se nadzoruje izmenjavo tajnih podatkov.

34.

Povezave komunikacijskih in informacijskih sistemov z drugim sistemom IT ustrezajo naslednjim osnovnim zahtevam:

35.

Akreditiran komunikacijski in informacijski sistem ter nezavarovano ali javno omrežje ne smeta biti med seboj povezana, razen če ima komunikacijski in informacijski sistem v ta namen med njim ter nezavarovanim ali javnim omrežjem nameščene odobrene storitve v zvezi z zaščito razmejitve. Varnostne ukrepe za takšne medsebojne povezave pregleda pristojni organ za zagotavljanje informacijske varnosti, odobri pa jih pristojni organ za varnostno akreditacijo.

Če se nezaščiteno ali javno omrežje uporablja izključno za prenos in so podatki šifrirani s šifrirnim izdelkom, odobrenim v skladu s členom 10, se takšna povezava ne šteje za medsebojno povezavo.

36.

Neposredna ali kaskadna medsebojna povezava komunikacijskega in informacijskega sistema, akreditiranega za delo s podatki stopnje tajnosti TRÈS SECRET UE/EU TOP SECRET, z nezavarovanim ali javnim omrežjem je prepovedana.

37.

Računalniški nosilci podatkov se uničijo v skladu s postopki, ki jih odobri pristojni varnostni organ.

38.

Računalniški nosilci podatkov se lahko ponovno uporabijo, stopnja njihove tajnosti pa se lahko v skladu z varnostnimi smernicami iz člena 6(2) zniža ali prekliče.

39.

Ne glede na določbe tega sklepa se posebni postopki, opisani v nadaljevanju, lahko uporabijo v izrednih razmerah, kot na primer v času preteče ali dejanske krize, spopada, vojnih razmer ali v izjemnih operativnih okoliščinah.

40.

Tajni podatki EU se lahko pošiljajo z uporabo šifrirnih izdelkov, ki so bili odobreni za nižjo stopnjo tajnosti, ali brez šifriranja s soglasjem pristojnega organa, če bi kakršna koli zamuda povzročila škodo, ki bi bila nedvomno večja od škode zaradi razkritja tajnega materiala, in če:

41.

Tajni podatki, poslani pod pogoji iz odstavka 39, nimajo nikakršnih oznak ali navedb, na podlagi katerih bi jih bilo mogoče ločiti od podatkov, ki niso tajni ali ki se lahko zaščitijo z razpoložljivim šifrirnim izdelkom. Prejemniki so o stopnji tajnosti nemudoma obveščeni, vendar na drugačen način.

42.

Če se uporabi odstavek 39, se pristojnemu organu in Varnostnemu odboru naknadno pošlje poročilo.

43.

V državah članicah in GSS se določijo naslednje funkcije na področju zagotavljanja informacijske varnosti. Te funkcije ne potrebujejo enotnih organizacijskih subjektov. Imajo ločene naloge. Vendar se lahko te funkcije in odgovornosti združujejo ali vključujejo v isti organizacijski subjekt ali porazdeljujejo po različnih organizacijskih subjektih pod pogojem, da ne pride do notranjih nasprotij interesov ali nalog.

44.

Organ za zagotavljanje informacijske varnosti je odgovoren za:

45.

Organ TEMPEST (TA) je pristojen za zagotavljanje, da komunikacijski in informacijski sistemi ustrezajo politikam in smernicam TEMPEST. Organ odobri protiukrepe TEMPEST za namestitev in izdelke za varovanje tajnih podatkov EU do določene stopnje tajnosti v njegovem operativnem okolju.

46.

Organ za odobritev šifrirnih metod in izdelkov (CAA) zagotavlja, da šifrirni izdelki ustrezajo nacionalni šifrirni politiki ali šifrirni politiki Sveta. Šifrirni izdelek odobri za varovanje tajnih podatkov EU do določene stopnje tajnosti v njegovem operativnem okolju. V državah članicah je organ za odobritev šifrirnih metod in izdelkov poleg tega pristojen za ocenjevanje šifrirnih izdelkov.

47.

Organ za razpošiljanje šifrirnega materiala (CDA) je odgovoren za:

48.

Organ za varnostno akreditacijo (SAA) za vsak sistem je odgovoren za:

49.

Organ za varnostno akreditacijo GSS je odgovoren za akreditiranje vseh komunikacijskih in informacijskih sistemov, ki delujejo v pristojnosti GSS.

50.

Pristojni organ za varnostno akreditacijo države članice je odgovoren za akreditiranje komunikacijskih in informacijskih sistemov in komponent teh sistemov, ki delujejo v pristojnosti države članice.

51.

Skupni odbor za varnostno akreditacijo je odgovoren za akreditacijo komunikacijskih in informacijskih sistemov, ki so v pristojnosti organa GSS za varnostno akreditacijo in organov držav članic za varnostno akreditacijo. Sestavljajo ga po en predstavnik organa za varnostno akreditacijo iz vsake države članice, v njem pa sodeluje tudi predstavnik organa za varnostno akreditacijo Komisije. K sodelovanju se povabijo tudi drugi subjekti z vozlišči na komunikacijskem in informacijskem sistemu, če se razpravlja o tem sistemu.

Odboru za varnostno akreditacijo predseduje predstavnik organa za varnostno akreditacijo GSS. Odločitve sprejema v soglasju s predstavniki organov za varnostno akreditacijo institucij, držav članic in drugih subjektov z vozlišči na zadevnem komunikacijskem in informacijskem sistemu. O svojih dejavnostih redno poroča Varnostnemu odboru in ga obvesti o vseh izjavah o akreditaciji.

52.

Operativni organ za zagotavljanje informacijske varnosti za vsak sistem je odgovoren za:

1.

V tej prilogi so določbe za izvajanje člena 11. Opredeljene so splošne varnostne določbe, ki veljajo za industrijske ali druge subjekte v pogajanjih pred sklenitvijo pogodbe in ves čas življenjskega cikla pogodb s tajnimi podatki, ki jih sklene GSS.

2.

Svet odobri smernice o industrijski varnosti, v katerih so podrobno opisane predvsem zahteve glede varnostnih dovoljenj organizacij, listin o varnostnih vidikih, obiskih, pošiljanju in prenašanju tajnih podatkov EU.

3.

Pred objavo razpisa ali sklenitvijo pogodbe s tajnimi podatki GSS kot naročnik določi stopnjo tajnosti podatkov, ki se posredujejo ponudnikom in izvajalcem, pa tudi stopnjo tajnosti podatkov, ki jih bo ustvaril izvajalec. GSS za ta namen pripravi vodič po stopnjah tajnosti, ki se uporablja pri izvajanju pogodbe.

4.

Za določitev stopnje tajnosti različnih delov pogodbe s tajnimi podatki veljajo naslednja načela:

5.

Varnostne zahteve, povezane s posamezno pogodbo, so opisane v listini o varnostnih vidikih. Tej listini je po potrebi dodan vodič po stopnjah tajnosti in je sestavni del pogodbe s tajnimi podatki ali podizvajalske pogodbe s tajnimi podatki.

6.

V listini o varnostnih vidikih so določbe, ki od izvajalca in/ali podizvajalca zahtevajo spoštovanje minimalnih standardov iz tega sklepa. Nespoštovanje teh minimalnih standardov je lahko zadosten razlog za prekinitev pogodbe.

7.

Odvisno od obsega programov ali projektov, ki vključujejo dostop do tajnih podatkov EU ali delo z njimi ali njihovo hrambo, lahko naročnik, imenovan za vodenje programa ali projekta, pripravi posebna varnostna navodila za program/projekt. Varnostna navodila za program/projekt, ki lahko vsebujejo dodatne varnostne zahteve, morajo odobriti nacionalni varnostni organi/imenovani varnostni organi držav članic ali kateri koli drug pristojni varnostni organ, ki sodeluje pri varnostnih navodilih za program/projekt.

8.

Varnostno dovoljenje organizacije izda nacionalni varnostni organ ali imenovani varnostni organ ali kateri koli drug pristojni varnostni organ države članice, kar skladno z nacionalnimi zakoni in predpisi pomeni, da je industrijski ali drug subjekt v svojih prostorih zmožen varovati tajne podatke EU ustrezne stopnje tajnosti (CONFIDENTIEL UE/EU CONFIDENTIAL ali SECRET UE/EU SECRET). Dovoljenje se predloži GSS kot naročniku, še preden se izvajalcu ali podizvajalcu ali morebitnemu izvajalcu ali podizvajalcu zagotovijo tajni podatki EU ali se mu odobri dostop do njih.

9.

Pri izdajanju varnostnega dovoljenja organizacije ustrezni nacionalni varnostni organ ali imenovani varnostni organ vsaj:

10.

Po potrebi GSS kot naročnik nacionalni varnostni organ/imenovani varnostni organ ali kateri koli drug pristojni varnostni organ uradno obvesti, da se varnostno dovoljenje organizacije zahteva v fazi pred sklenitvijo pogodbe ali za izvajanje pogodbe. Varnostno dovoljenje organizacije ali dovoljenje za dostop do tajnih podatkov se v fazi pred sklenitvijo pogodbe zahteva, če je treba v postopku priprave ponudb predložiti tajne podatke EU stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ali SECRET UE/EU SECRET.

11.

Naročnik najustreznejšemu ponudniku ne sme dodeliti pogodbe s tajnimi podatki, dokler mu nacionalni varnostni organ/imenovani varnostni organ ali kateri koli drug pristojni varnostni organ države članice, v kateri je izvajalec ali podizvajalec registriran, ne potrdi, da je bilo, kjer je to potrebno, ponudniku izdano ustrezno varnostno dovoljenje organizacije.

12.

Nacionalni varnostni organ/imenovani varnostni organ ali kateri koli drug pristojni varnostni organ, ki je izdal varnostno dovoljenje organizacije, uradno obvesti GSS kot naročnika o spremembah, ki zadevajo varnostno dovoljenje organizacije. V primeru podizvajalske pogodbe se ustrezno obvesti nacionalni varnostni organ/imenovani varnostni organ ali kateri koli drug pristojni varnostni organ.

13.

Če nacionalni varnostni organ/imenovani varnostni organ ali kateri koli drug pristojni varnostni organ odvzame varnostno dovoljenje organizacije, ima GSS kot naročnik zadosten razlog za prekinitev pogodbe s tajnimi podatki ali izključitev ponudnika iz natečaja.

14.

Če se tajni podatki EU ponudniku zagotovijo v fazi pred sklenitvijo pogodbe, razpis vsebuje določbo, v skladu s katero mora ponudnik, ki ne predloži ponudbe ali ki ni izbran, v določenem roku vrniti vse tajne dokumente.

15.

Ko je pogodba ali podizvajalska pogodba s tajnimi podatki dodeljena, GSS kot naročnik obvesti nacionalni varnostni organ/imenovani varnostni organ ali kateri koli drug pristojni varnostni organ izvajalca ali podizvajalca o varnostnih določbah pogodbe s tajnimi podatki.

16.

Ko takšne pogodbe prenehajo veljati, GSS kot naročnik (in/ali nacionalni varnostni organ/imenovani varnostni organ ali po potrebi kateri koli drug pristojni varnostni organ v primeru podizvajalske pogodbe) nemudoma obvesti nacionalni varnostni organ/imenovani varnostni organ ali kateri koli drug pristojni varnostni organ države članice, v kateri je izvajalec ali podizvajalec registriran.

17.

Na splošno velja, da mora izvajalec ali podizvajalec naročniku ob prenehanju veljavnosti pogodbe ali podpogodbe s tajnimi podatki vrniti vse tajne podatke EU, ki jih ima.

18.

V listini o varnostnih vidikih se zapišejo posebne določbe o razpolaganju s tajnimi podatki EU v času izvajanja pogodbe ali po prenehanju njene veljavnosti.

19.

Če smeta izvajalec ali podizvajalec tajne podatke EU obdržati tudi po prenehanju veljavnosti pogodbe, morata še naprej ravnati skladno z minimalnimi standardi iz tega sklepa in varovati tajnost podatkov EU.

20.

Pogoji, v skladu s katerimi lahko izvajalec sklene podizvajalsko pogodbo, so določeni v razpisu in v pogodbi.

21.

Izvajalec pred oddajo delov pogodbe s tajnimi podatki podizvajalcu pridobi dovoljenje GSS kot naročnika. Nobena podizvajalska pogodba se ne sme dodeliti industrijskim ali drugim subjektom, registriranim v državi, ki ni članica Unije in z Unijo ni sklenila sporazuma o varnosti podatkov.

22.

Izvajalec mora zagotoviti, da se vse podizvajalske dejavnosti opravljajo v skladu z minimalnimi standardi iz tega sklepa in podizvajalcu ne zagotovi tajnih podatkov EU brez predhodnega pisnega soglasja naročnika.

23.

Kar zadeva tajne podatke, ki nastanejo pri izvajalcu ali podizvajalcu ali izvajalec ali podizvajalec z njimi dela, pravice organa izvora uveljavlja naročnik.

24.

Če mora osebje GSS, izvajalcev ali podizvajalcev za izvajanje pogodbe s tajnimi podatki imeti dostop do podatkov stopnje tajnosti CONFIDENTIEL UE/EU CONFIDENTIAL ali SECRET UE/EU SECRET v prostorih enih ali drugih, se v sodelovanju z zadevnimi nacionalnimi varnostnimi organi/imenovanimi varnostnimi organi ali katerim koli drugim pristojnim varnostnim organom organizirajo obiski. Nacionalni varnostni organi/imenovani varnostni organi pa se lahko za posebne projekte tudi sporazumejo o postopku, na podlagi katerega se je mogoče o takšnih obiskih dogovoriti neposredno.

25.

Vsi obiskovalci imajo ustrezno dovoljenje za dostop do tajnih podatkov in imajo potrebo po seznanitvi za dostop do tajnih podatkov EU, povezanih s pogodbo z GSS.

26.

Obiskovalci imajo dostop le do tajnih podatkov EU, povezanih z namenom obiska.

27.

Za pošiljanje tajnih podatkov EU z elektronskimi sredstvi se uporabljajo ustrezne določbe iz člena 10 in Priloge IV.

28.

Za prenašanje tajnih podatkov EU se v skladu z nacionalnimi zakoni in predpisi uporabljajo ustrezne določbe iz Priloge III.

29.

Za prevoz tajnega gradiva kot tovora se pri določanju varnostnega režima upoštevajo naslednja načela:

30.

Prenos tajnih podatkov EU izvajalcem in podizvajalcem v tretjih državah poteka v skladu z varnostnimi ukrepi, dogovorjenimi med GSS kot naročnikom in nacionalnim varnostnim organom/imenovanim varnostnim organom zadevne tretje države, v kateri je registriran izvajalec.

31.

GSS kot naročnik sme po potrebi v navezi z nacionalnim varnostnim organom/imenovanim varnostnim organom države članice na podlagi pogodbenih določb izvesti inšpekcijske preglede prostorov izvajalca/podizvajalca in preverjati, ali so bili skladno s pogodbo uvedeni vsi ustrezni ukrepi za varovanje tajnih podatkov EU stopnje tajnosti RESTREINT UE/EU RESTRICTED.

32.

Če to zahtevajo nacionalni zakoni in predpisi, GSS kot naročnik uradno obvesti nacionalne varnostne organe/imenovane varnostne organe ali kateri koli drug pristojni varnostni organ o pogodbah ali podizvajalskih pogodbah s podatki stopnje tajnosti RESTREINT UE/EU RESTRICTED.

33.

Izvajalci ali podizvajalci in njihovo osebje za pogodbe s podatki stopnje tajnosti RESTREINT UE/EU RESTRICTED, ki jih sklene GSS, ne potrebujejo varnostnega dovoljenja organizacije ali dovoljenja za dostop do tajnih podatkov.

34.

GSS kot naročnik preuči ponudbe na razpisu za pogodbe, za katere je treba imeti dostop do podatkov stopnje tajnosti RESTREINT UE/EU RESTRICTED, ne glede na kakršne koli zahteve v zvezi z varnostnim dovoljenjem organizacije ali dovoljenjem za dostop do tajnih podatkov v okviru nacionalnih zakonov in predpisov.

35.

Izvajalec lahko sklene podizvajalsko pogodbo pod pogoji, ki so skladni z odstavkom 21.

36.

Če pogodba vključuje delo s podatki stopnje tajnosti RESTREINT UE/EU RESTRICTED v komunikacijskem in informacijskem sistemu, ki ga upravlja izvajalec, GSS kot naročnik zagotovi, da se v pogodbi ali kakršni koli podizvajalski pogodbi določijo potrebne tehnične in upravne zahteve glede akreditacije komunikacijskega in informacijskega sistema, ki so v sorazmerju z ocenjenim tveganjem ob upoštevanju vseh ustreznih dejavnikov. Naročnik in ustrezni nacionalni varnostni organ/imenovani varnostni organ se dogovorita o obsegu akreditacije takšnega komunikacijskega in informacijskega sistema.

1.

V tej prilogi so določbe za izvajanje člena 13.

2.

Če Svet ugotovi, da obstaja dolgoročna potreba po izmenjavi tajnih podatkov, se sklene

v skladu s členom 13(2) ter oddelkoma III in IV ter na podlagi priporočila Varnostnega odbora.

3.

Če je treba tajne podatke EU, ki nastanejo za namene operacije SVOP, zagotoviti tretjim državam ali mednarodnim organizacijam, ki sodelujejo pri tej operaciji, in če ni nobenega okvira iz odstavka 2, izmenjavo tajnih podatkov EU s sodelujočo tretjo državo ali mednarodno organizacijo v skladu z oddelkom V ureja:

4.

Če okvira iz odstavkov 2 in 3 ni in je sprejeta odločitev o posredovanju tajnih podatkov EU tretji državi ali mednarodni organizaciji izjemoma na ad hoc podlagi, se v skladu z oddelkom VI od zadevne tretje države ali mednarodne organizacije zahteva pisno jamstvo o tem, da varuje prejete tajne podatke EU v skladu s temeljnimi načeli in minimalnimi standardi iz tega sklepa.

5.

Sporazumi o varnosti podatkov določajo temeljna načela in minimalne standarde, ki urejajo izmenjavo tajnih podatkov med Unijo in tretjo državo ali mednarodno organizacijo.

6.

Sporazumi o varnosti podatkov vsebujejo tehnične izvedbene določbe, o katerih se dogovorijo pristojni varnostni organi zadevnih institucij in organov Unije ter pristojni varnostni organ zadevne tretje države ali mednarodne organizacije. Te določbe upoštevajo stopnjo varovanja, ki jo določajo veljavni varnostni predpisi, strukture in postopki v zadevni tretji državi ali mednarodni organizaciji. Odobriti jih mora Varnostni odbor.

7.

Nobeni tajni podatki EU se v skladu s sporazumom o varnosti podatkov ne izmenjujejo z elektronskimi sredstvi, razen če ni to izrecno določeno v sporazumu ali ustreznih tehničnih izvedbenih določbah.

8.

Kadar Svet sklene sporazum o varnosti podatkov, vsaka stran določi register, ki je glavna točka vstopa in izstopa pri izmenjavi tajnih podatkov.

9.

Za oceno učinkovitosti varnostnih predpisov, struktur in postopkov v zadevni tretji državi ali mednarodni organizaciji se v soglasju s tretjo državo ali mednarodno organizacijo opravijo ocenjevalni obiski. Takšni ocenjevalni obiski se izvedejo v skladu z ustreznimi določbami iz Priloge III in ocenijo:

10.

Skupina, ki opravlja ocenjevalni obisk v imenu EU, oceni, ali so varnostni predpisi in postopki v zadevni tretji državi ali mednarodni organizaciji ustrezni za varovanje tajnih podatkov EU določene stopnje.

11.

O ugotovitvah teh obiskov se pripravi poročilo, na podlagi katerega Varnostni odbor določi najvišjo stopnjo tajnih podatkov EU, ki se lahko z zadevno tretjo stranjo izmenjujejo v papirnati in, če je to primerno, v elektronski obliki, ter kakršne koli posebne pogoje za izmenjavo tajnih podatkov s to stranjo.

12.

Prizadevati si je treba, da se obisk, namenjen celoviti oceni varnosti v zadevni tretji državi ali mednarodni organizaciji, opravi preden Varnostni odbor odobri izvedbene določbe, da se določita vrsta in učinkovitost obstoječega varnostnega sistema. Če to ni mogoče, varnostni urad GSS predloži Varnostnemu odboru čim bolj celovito poročilo, v katerem ga na podlagi razpoložljivih informacij obvesti o veljavnih varnostnih predpisih in načinu varnostne organizacije v zadevni tretji državi ali mednarodni organizaciji.

13.

Preden se tajni podatki EU dejansko posredujejo zadevni tretji državi ali mednarodni organizaciji, se poročilo o ocenjevalnem obisku, ali če takega poročila ni, poročilo iz odstavka 12, pošlje Varnostnemu odboru, ki mora o njem podati pozitivno mnenje.

14.

Pristojni varnostni organi institucij in organov Unije tretjo državo ali mednarodno organizacijo obvestijo o datumu, od katerega lahko Unija v skladu s sporazumom posreduje tajne podatke EU, in o najvišji stopnji tajnih podatkov EU, ki se lahko izmenjujejo v papirnati ali elektronski obliki.

15.

Po potrebi se izvedejo nadaljnji ocenjevalni obiski, zlasti če:

16.

Ko začne veljati sporazum o varnosti podatkov in se tajni podatki izmenjujejo z zadevno tretjo državo ali mednarodno organizacijo, lahko Varnostni odbor sklene, da bo spremenil najvišjo stopnjo tajnih podatkov EU, ki se lahko izmenjujejo v papirnati ali elektronski obliki, zlasti na podlagi nadaljnjih ocenjevalnih obiskov.

17.

Če obstaja dolgoročna potreba po izmenjavanju tajnih podatkov, ki praviloma ne presegajo stopnje tajnosti RESTREINT UE/EU RESTRICTED, s tretjo državo ali mednarodno organizacijo, in je Varnostni odbor ugotovil, da zadevna stran nima dovolj razvitega varnostnega sistema, da bi bila zmožna skleniti sporazum o varnosti podatkov, lahko generalni sekretar z odobritvijo Sveta z ustreznimi organi zadevne tretje države ali mednarodne organizacije v imenu GSS sklene dogovor o izvajanju.

18.

Če pa je treba iz nujnih operativnih razlogov hitro vzpostaviti okvir za izmenjavo tajnih podatkov, lahko Svet izjemoma odloči, da se sklene dogovor o izvajanju za izmenjavo tajnih podatkov višje stopnje.

19.

Praviloma imajo dogovori o izvajanju obliko izmenjave pisem.

20.

Preden se tajni podatki EU dejansko posredujejo zadevni tretji državi ali mednarodni organizaciji, se opravi ocenjevalni obisk iz odstavka 9, poročilo, ali če takšnega poročila ni, poročilo iz odstavka 12, pa se pošlje Varnostnemu odboru, ki mora o njem podati pozitivno mnenje.

21.

Tajni podatki EU se v okviru dogovora o izvajanju ne izmenjujejo z elektronskimi sredstvi, razen če to ni izrecno določeno v dogovoru.

22.

Sodelovanje tretjih držav ali mednarodnih organizacij v operacijah SVOP urejajo okvirni sporazumi o sodelovanju. Ti sporazumi vključujejo določbe o posredovanju tajnih podatkov EU, ki nastanejo za namene operacij SVOP, sodelujočim tretjim državam ali mednarodnim organizacijam. Najvišja stopnja tajnosti tajnih podatkov EU, ki se lahko izmenjujejo, je RESTREINT UE/EU RESTRICTED za civilne operacije SVOP in CONFIDENTIEL UE/EU CONFIDENTIAL za vojaške operacije SVOP, razen če je drugače določeno v sklepu o vzpostavitvi posamezne operacije SVOP.

23.

Ad hoc sporazumi o sodelovanju, sklenjeni za določeno operacijo SVOP, vključujejo določbe o posredovanju tajnih podatkov EU, ki nastanejo za namene te operacije, sodelujoči tretji državi ali mednarodni organizaciji. Najvišja stopnja tajnosti tajnih podatkov EU, ki se lahko izmenjujejo, je RESTREINT UE/EU RESTRICTED za civilne operacije SVOP in CONFIDENTIEL UE/EU CONFIDENTIAL za vojaške operacije SVOP, razen če je drugače določeno v sklepu o vzpostavitvi posamezne operacije SVOP.

24.

Če sporazum o varnosti podatkov ni sklenjen, in do sklenitve sporazuma o sodelovanju, je posredovanje tajnih podatkov EU, ki nastanejo za namene operacij, tej tretji državi ali mednarodni organizaciji, ki sodeluje v operaciji, urejeno z dogovorom o izvajanju, ki ga sklene visoki predstavnik, ali ob upoštevanju odločitve o ad hoc posredovanju v skladu z oddelkom VI. Tajni podatki EU se lahko v okviru takšnega dogovora izmenjujejo le toliko časa, kolikor je predvideno sodelovanje tretje države ali mednarodne organizacije. Najvišja stopnja tajnosti tajnih podatkov EU, ki se lahko izmenjujejo, je RESTREINT UE/EU RESTRICTED za civilne operacije SVOP in CONFIDENTIEL UE/EU CONFIDENTIAL za vojaške operacije SVOP, razen če je drugače določeno v sklepu o vzpostavitvi posamezne operacije SVOP.

25.

V določbah o tajnih podatkih, ki se vključijo v okvirne sporazume o sodelovanju, ad hoc sporazume o sodelovanju in ad hoc dogovore o izvajanju iz odstavkov 22 do 24, je predvideno, da zadevna tretja država ali mednarodna organizacija zagotovi, da bo njeno osebje, dodeljeno kateri koli operaciji, varovalo tajne podatke EU v skladu z varnostnimi predpisi Sveta in nadaljnjimi smernicami, ki jih izdajo pristojni organi, vključno s strukturo poveljevanja operacije.

26.

Če Unija in sodelujoča tretja država ali mednarodna organizacija naknadno skleneta sporazum o varnosti podatkov, ta sporazum nadomesti določbe o izmenjavi tajnih podatkov iz vsakega okvirnega sporazuma o sodelovanju, ad hoc sporazuma o sodelovanju ali ad hoc dogovora o izvajanju, kar zadeva izmenjavo tajnih podatkov EU in delo z njimi.

27.

Izmenjava tajnih podatkov EU z elektronskimi sredstvi ni dovoljena v okvirnem sporazumu o sodelovanju, ad hoc sporazumu o sodelovanju ali ad hoc dogovoru o izvajanju s tretjo državo ali mednarodno organizacijo, razen če je to izrecno določeno v zadevnem sporazumu ali dogovoru.

28.

Tajni podatki EU, ki nastanejo za namene operacije SVOP, se lahko v skladu z odstavki 22 do 27 razkrijejo osebju, ki ga tej operaciji dodelijo tretje države ali mednarodne organizacije. Pri odobritvi dostopa temu osebju do tajnih podatkov EU v prostorih ali v komunikacijskem in informacijskem sistemu operacije SVOP je treba uporabiti ukrepe (vključno z evidenco razkritih tajnih podatkov EU), da se zmanjša nevarnost izgube ali nepooblaščenega razkritja. Takšni ukrepi so določeni v ustreznih načrtih ali dokumentih misije.

29.

Če sporazum o varnosti podatkov ni sklenjen, je lahko posredovanje tajnih podatkov EU državi gostiteljici, na ozemlju katere se izvaja operacija SVOP, v primeru posebne in nujne operativne potrebe urejeno z dogovorom o izvajanju, ki ga sklene visoki predstavnik. Ta možnost je določena v sklepu o vzpostavitvi operacije SVOP. Pod temi pogoji se posredujejo samo tajni podatki EU, ki nastanejo za namene operacije SVOP in so največ stopnje tajnosti RESTREINT UE/EU RESTRICTED, razen če v sklepu o vzpostavitvi operacije SVOP ni določena višja stopnja tajnosti. V skladu s takšnim dogovorom o izvajanju se mora država gostiteljica zavezati, da bo varovala tajne podatke EU v skladu z minimalnimi standardi, ki niso manj strogi od standardov iz tega sklepa.

30.

Če sporazum o varnosti podatkov ni sklenjen, je lahko posredovanje tajnih podatkov EU zadevnim tretjim državam in mednarodnim organizacijam, ki ne sodelujejo v operaciji SVOP, urejeno z dogovorom o izvajanju, ki ga sklene visoki predstavnik. Ta možnost in vsi s tem povezani pogoji so po potrebi določeni v sklepu o vzpostavitvi operacije SVOP. Pod temi pogoji se posredujejo samo tajni podatki EU, ki nastanejo za namene operacije SVOP in so največ stopnje tajnosti RESTREINT UE/EU RESTRICTED, razen če v sklepu o vzpostavitvi operacije SVOP ni določena višja stopnja tajnosti. V skladu s takšnim dogovorom o izvajanju se morata zadevna tretja država ali mednarodna organizacija zavezati, da bosta varovali tajne podatke EU v skladu z minimalnimi standardi, ki niso manj strogi od standardov iz tega sklepa.

31.

Pred izvajanjem odločb o posredovanju tajnih podatkov EU v skladu z odstavki 22, 23 in 24 niso potrebne nobene izvedbene ureditve ali ocenjevalni obiski.

32.

Če ni okvira v skladu s prej navedenimi oddelki III do V in če Svet ali eno izmed njegovih pripravljalnih teles ugotovi, da obstaja izjemna potreba po posredovanju tajnih podatkov EU tretji državi ali mednarodni organizaciji, GSS:

33.

Če Varnostni odbor izda pozitivno priporočilo glede posredovanja tajnih podatkov EU, zadevo obravnava Odbor stalnih predstavnikov (Coreper), ki o tem sprejme odločitev.

34.

Če je priporočilo Varnostnega odbora glede posredovanja tajnih podatkov EU negativno:

35.

Po potrebi in ob predhodnem pisnem soglasju organa izvora lahko Coreper odloči, da se lahko posreduje le del tajnih podatkov, ali le če se najprej zniža ali prekliče njihova stopnja tajnosti, ali če se podatki, ki naj bi jih dali, pripravijo brez navedbe vira ali prvotne stopnje tajnosti EU.

36.

GSS po sprejetju odločitve o posredovanju tajnih podatkov EU pošlje zadevni dokument z oznako, da se posredujejo tretji državi ali mednarodni organizaciji. Preden se tajni podatki dejansko posredujejo ali ob njihovi predaji se zadevna tretja stran pisno zaveže, da bo varovala prejete tajne podatke EU v skladu s temeljnimi načeli in minimalnimi standardi iz tega sklepa.

37.

Če obstaja okvir za izmenjavo tajnih podatkov s tretjo državo ali mednarodno organizacijo v skladu z odstavkom 2, lahko Svet sprejme odločitev, da se generalni sekretar pooblasti za posredovanje tajnih podatkov EU zadevni tretji državi ali mednarodni organizaciji v skladu z načelom soglasja organa izvora. Generalni sekretar lahko takšno pooblastilo prenese na višje uradnike GSS.

38.

Če v skladu s prvo alineo odstavka 2 obstaja sporazum o varnosti podatkov, lahko Svet sprejme odločitev, da pooblasti visokega predstavnika za dajanje tajnih podatkov EU z izvorom v Svetu s področja skupne zunanje in varnostne politike zadevni tretji državi ali mednarodni organizaciji, po pridobitvi dovoljenja organa izvora, ki je dal kakršne koli osnovne podatke iz teh tajnih podatkov EU. Visoki predstavnik lahko takšno pooblastilo prenese na višje uradnike GSS ali posebne predstavnike EU.

39.

Če obstaja okvir za izmenjavo tajnih podatkov s tretjo državo ali mednarodno organizacijo v skladu z odstavkom 2 ali odstavkom 3, se visoki predstavnik pooblasti za dajanje tajnih podatkov EU v skladu s sklepom o vzpostavitvi operacije SVOP in načelom o soglasju organa izvora. Visoki predstavnik lahko takšno pooblastilo prenese na višje uradnike GSS, poveljnike operacij, sil ali misij ali vodje misij EU.

„akreditacija“ pomeni postopek, ki se zaključi z uradno izjavo organa za varnostno akreditacijo o odobritvi sistema, da deluje z določeno stopnjo tajnosti v posebnem varnostnem načinu delovanja v svojem operativnem okolju in s sprejemljivo stopnjo tveganja, ob predpostavki, da je bila uvedena vrsta odobrenih tehničnih, fizičnih, organizacijskih in postopkovnih varnostnih ukrepov;

„sredstvo“ pomeni vse, kar je pomembno za organizacijo, njene poslovne dejavnosti in njihovo kontinuiteto, vključno z informacijskimi viri, ki podpirajo naloge organizacije;

„pooblastilo za dostop do tajnih podatkov EU“ pomeni odločitev organa GSS za imenovanje, sprejeto v skladu z zagotovitvijo pristojnega organa države članice, da se uradnik GSS, drugi uslužbenec ali napoten nacionalni strokovnjak, dodeljen sekretariatu, lahko pooblasti za dostop do tajnih podatkov EU do določene stopnje tajnosti (CONFIDENTIEL UE/EU CONFIDENTIAL ali višje) in do določenega datuma, če je bila ugotovljena potreba po njegovi seznanitvi in če je bil ustrezno poučen o svoji odgovornosti;

„celotni obstoj komunikacijskega in informacijskega sistema“ pomeni celotno trajanje obstoja komunikacijskega in informacijskega sistema, ki zajema začetek, zasnovo, načrtovanje, analizo zahtev, projektiranje, razvoj, testiranje, izvajanje, delovanje, vzdrževanje in razgradnjo;

„pogodba s tajnimi podatki“ pomeni pogodbo, ki jo GSS sklene z izvajalcem za dobavo blaga, izvedbo del ali opravljanje storitev, katere izpolnitev zahteva ali vključuje dostop do tajnih podatkov EU ali njihovo nastajanje;

„podizvajalska pogodba s tajnimi podatki“ pomeni pogodbo, ki jo sklene izvajalec GSS z drugim izvajalcem (tj. podizvajalcem) za dobavo blaga, izvedbo del ali opravljanje storitev, katere izpolnitev zahteva ali vključuje dostop do tajnih podatkov EU ali njihovo nastajanje;

„komunikacijski in informacijski sistemi“ – glej člen 10(2);

„izvajalec“ pomeni posameznika ali pravni subjekt, ki je pravno sposoben za izvajanje pogodb;

„kriptografski material“ pomeni kriptografske algoritme, kriptografske module strojne in programske opreme ter produkte, vključno s podrobnostmi izvajanja in s tem povezano dokumentacijo, ter šifrirni material;

„šifrirni izdelek“ pomeni izdelek, katerega prvenstvena in glavna lastnost delovanja je zagotavljanje varnostnih storitev (tajnost, celovitost, razpoložljivost, avtentičnost, nezatajljivost) z enim ali več kriptografskimi mehanizmi;

„operacija SVOP“ pomeni vojaško ali civilno operacijo kriznega upravljanja iz poglavja 2 naslova V PEU;

„preklic stopenj tajnosti“ pomeni odpravo vseh stopenj tajnosti;

„globinska obramba“ pomeni uporabo več vrst varnostnih ukrepov, ki so urejeni kot večslojna obramba;

„imenovani varnostni organ“ pomeni organ, odgovoren nacionalnemu varnostnemu organu države članice, ki je zadolžen, da industrijske ali druge subjekte obvešča o nacionalni politiki glede vseh zadev v zvezi z industrijsko varnostjo ter da zagotavlja usmeritve in pomoč pri njenem izvajanju. Naloge imenovanega varnostnega organa lahko izvaja nacionalni varnostni organ ali kateri koli drug pristojen organ;

„dokument“ pomeni vse shranjene informacije, ne glede na njihovo fizično obliko ali značilnosti;

„znižanje stopnje tajnosti“ pomeni razvrstitev v nižjo stopnjo tajnosti;

„tajni podatki EU“ – glej člen 2(1);

„varnostno dovoljenje organizacije“ pomeni uradno izjavo nacionalnega varnostnega organa ali imenovanega varnostnega organa, da lahko določena organizacija iz varnostnega vidika nudi ustrezno stopnjo varnostne zaščite tajnih podatkov EU določene stopnje tajnosti;

„delo“ s tajnimi podatki EU pomeni vse možne dejavnosti, v katere so vključeni tajni podatki EU skozi njihov celotni obstoj. Zajema njihov nastanek, obdelavo, prenašanje, znižanje stopnje tajnosti, preklic stopenj tajnosti in uničenje. V zvezi s komunikacijskimi in informacijskimi sistemi zajema tudi njihovo zbiranje, prikaz, pošiljanje in hrambo;

„imetnik podatkov“ pomeni ustrezno pooblaščenega posameznika, za katerega je ugotovljeno, da mora biti seznanjen z zadevnimi podatki, in razpolaga z elementom tajnega podatka EU ter je zato odgovoren za njegovo varovanje;

„industrijski ali drug subjekt“ pomeni subjekt, ki sodeluje pri dobavi blaga, izvedbi del ali opravljanju storitev; to je lahko industrijski, trgovski, storitveni, znanstveni, raziskovalni, izobraževalni ali razvojni subjekt ali samozaposlen posameznik;

„industrijska varnost“ – glej člen 11(1);

„zagotavljanje varnosti podatkov“ – glej člen 10(1);

„medsebojna povezanost“ – glej Prilogo IV, odstavek 32;

„obravnavanje tajnih podatkov“ – glej člen 9(1);

„gradivo“ pomeni vsak dokument, nosilec podatkov ali del strojev ali opreme, ki je že bil izdelan ali je v postopku izdelave;

„organ izvora“ pomeni institucijo, organ ali agencijo Unije, državo članico, tretjo državo ali mednarodno organizacijo, v pristojnosti katere so nastali tajni podatki in/ali so bili uvedeni v strukture EU;

„varnost osebja“ – glej člen 7(1);

„dovoljenje za dostop do tajnih podatkov“ pomeni izjavo pristojnega organa države članice, sprejeto po končani varnostni preiskavi, ki jo opravijo pristojni organi države članice in s katero je potrjeno, da se posameznik lahko pooblasti za dostop do tajnih podatkov EU do določene stopnje (CONFIDENTIEL UE/EU CONFIDENTIAL ali višje) in do določenega datuma;

„potrdilo za dostop do tajnih podatkov“ pomeni potrdilo, ki ga izda pristojni organ in ki dokazuje, da je posameznik varnostno preverjen in da ima veljavno potrdilo ali pooblastilo organa za imenovanje za dostop do tajnih podatkov EU, na katerem so navedeni stopnja tajnosti podatkov EU, do katere se lahko posamezniku odobri dostop (CONFIDENTIEL UE/EU CONFIDENTIAL ali višje), datum veljavnosti ustreznega potrdila za dostop do tajnih podatkov in datum izteka veljavnosti samega potrdila;

„fizična varnost“ – glej člen 8(1);

„varnostna navodila za program/projekt“ pomenijo seznam varnostnih postopkov, ki se uporabljajo za specifičen program/projekt zaradi standardizacije varnostnih postopkov. Ta seznam je mogoče revidirati kadar koli v času trajanja programa/projekta;

„vpis“ – glej Prilogo III, odstavek 18;

„preostalo tveganje“ pomeni tveganje, ki je še vedno prisotno, potem ko so bili izvedeni varnostni ukrepi, saj vseh nevarnosti ni mogoče preprečiti in vseh izpostavljenosti ni mogoče odpraviti;

„tveganje“ pomeni možnost, da se zaradi notranje ali zunanje izpostavljenosti organizacije ali katerega koli sistema, ki ga uporablja, uresniči določena grožnja, kar lahko škodi organizaciji in njenim opredmetenim ali neopredmetenim sredstvom. Meri se kot kombinacija verjetnosti pojava nevarnosti in njihovega učinka;

„dopis o varnostnih vidikih“ pomeni sklop posebnih pogodbenih pogojev, ki jih objavi naročnik in so sestavni del vsakega naročila, ki se nanaša na tajne podatke in vključuje dostop do tajnih podatkov EU ali njihov nastanek. Dopis o varnostnih vidikih določa varnostne zahteve ali tiste elemente naročila, ki zahtevajo varnostno zaščito;

„vodič po stopnjah tajnosti“ pomeni dokument, ki opisuje elemente programa ali naročila, ki so tajni, in določa ustrezne stopnje tajnosti. Vodič po stopnjah tajnosti se lahko v času, ko se program ali pogodba izvajata, razširi, stopnja tajnosti elementov podatkov pa se lahko spremeni ali zniža. Če tak vodič obstaja, je del dopisa o varnostnih vidikih;

„varnostna preiskava“ pomeni preiskovalne postopke, ki jih izvede pristojni organ države članice v skladu z njenimi nacionalnimi zakoni in predpisi z namenom pridobitve jamstva, da ni nikakršnih negativnih informacij, ki bi posamezniku lahko preprečile odobritev dovoljenja za dostop do tajnih podatkov ali podelitev pooblastila za dostop do tajnih podatkov EU do določene stopnje (CONFIDENTIEL UE/EU CONFIDENTIAL ali višje);

„varnostni način delovanja“ pomeni opredelitev pogojev za delovanje komunikacijskih in informacijskih sistemov na podlagi stopnje tajnosti podatkov, s katerimi poteka delo v sistemu, in stopenj varnostnega preverjanja, uradnih odobritev dostopa in potrebe njegovih uporabnikov po seznanitvi. Za delo s tajnimi podatki ali njihov prenos obstajajo štirje načini delovanja: „namenski način“, „način po sistemu visoke varnosti“, „oddelčni način“ in „večstopenjski način“;

„postopek za obvladovanje varnostnega tveganja“ pomeni celoten postopek opredelitve, nadzorovanja in čim večje omejitve negotovih dogodkov, ki bi lahko negativno vplivali na varnost organizacije ali katerega od sistemov, ki jih uporablja. Zajema vse dejavnosti, povezane s tveganjem, vključno z njegovo oceno, obravnavo, sprejemanjem in obveščanjem o tveganju;

„TEMPEST“ pomeni preiskavo, preučevanje in nadzor škodljivega elektromagnetnega oddajanja ter ukrepe za njegovo preprečevanje;

„nevarnost“ pomeni potencialni vzrok neželenega dogodka, ki bi lahko škodil organizaciji ali kateremu od sistemov, ki jih uporablja; takšne nevarnosti so lahko naključne ali namerne (zlonamerne), zanje pa so značilni grozilni elementi, potencialni cilji in načini napada;

„izpostavljenost“ pomeni kakršno koli pomanjkljivost, zaradi katere se lahko ena ali več nevarnosti uresniči. Izpostavljenost lahko pomeni opustitev dejanja ali pa se nanaša na šibko točko v nadzoru – ta morda ni dovolj strog, celovit ali dosleden –, ki je lahko tehnične, postopkovne, fizične, organizacijske ali operativne narave.