15.10.2011

SL

Uradni list Evropske unije

C 304/7

---

Sklep visokega predstavnika Unije za zunanje zadeve in varnostno politiko

z dne 15. junija 2011

o varnostnih pravilih za Evropsko službo za zunanje delovanje

2011/C 304/05

VISOKI PREDSTAVNIK JE –

ob upoštevanju Sklepa Sveta 2010/427/EU o organizaciji in delovanju Evropske službe za zunanje delovanje (v nadaljnjem besedilu: ESZD), in zlasti člena 10 Sklepa,

ob upoštevanju mnenja odbora iz člena 10(1) zgoraj navedenega sklepa Sveta,

ob upoštevanju naslednjega:

(1)	ESZD mora kot delovno samostojno telo Evropske unije imeti varnostna pravila iz člena 10(1) Sklepa Sveta 2010/427/EU.

(2)	Visoki predstavnik mora odločiti o varnostnih pravilih za ESZD, ki zajemajo vse vidike varnosti, da lahko ESZD učinkovito obvladuje tveganja za svoje osebje, materialna sredstva in podatke ter da izpolnjuje svoje dolžnosti glede skrbnosti v zvezi s tem.

(3)	Varnostna pravila za ESZD morajo prispevati k skladnejšemu celovitemu splošnemu okviru znotraj Evropske Unije za varovanje tajnih podatkov na podlagi varnostnih pravil Sveta in varnostnih predpisov Komisije.

(4)	Zlasti je treba zagotoviti raven zaščite osebja, materialnih sredstev in podatkov ESZD, ki je v skladu z najboljšo prakso v Svetu, Evropski komisiji, državah članicah in po potrebi v mednarodnih organizacijah.

(5)	Osnovna načela in minimalni standardi za varovanje tajnih podatkov, ki se uporabljajo za ESZD, morajo biti enakovredni osnovnim načelom in minimalnim standardom, ki se uporabljajo v Svetu in Evropski komisiji.

(6)	Določiti je treba organizacijsko strukturo za zagotavljanje varnosti v ESZD in dodeliti naloge varovanja v okviru struktur ESZD.

(7)	Visoki predstavnik mora sprejeti vse ustrezne ukrepe za izvajanje teh pravil ob podpori držav članic, generalnega sekretariata Sveta in Evropske komisije.

(8)	Visoki predstavnik se mora po potrebi opreti na ustrezno strokovno znanje iz držav članic, generalnega sekretariata Sveta in Evropske komisije, tudi prek ustrezne varnostne strukture –

SPREJEL NASLEDNJI SKLEP:

Člen 1

Namen in področje uporabe

1.   Ta sklep določa pravila za varnost in zaščito Evropske službe za zunanje delovanje (v nadaljnjem besedilu: varnostna pravila ESZD). Določa splošni regulativni okvir za učinkovito obvladovanje tveganj za osebje, materialna sredstva in podatke ter za izpolnjevanje dolžnosti ESZD glede skrbnosti v zvezi s tem.

2.   Varnostna pravila ESZD se uporabljajo za vse osebje ESZD (tj. uradnike in druge uslužbence, napotene nacionalne strokovnjake in lokalne uslužbence) in vse osebje delegacij Unije, ne glede na njihov upravni položaj ali izvor (v nadaljnjem besedilu: osebje).

3.   Visoki predstavnik sprejme vse ukrepe, potrebne za izvajanje teh pravil v ESZD, ter s podporo ustreznih služb držav članic, generalnega sekretariata Sveta in Komisije razvije potrebne zmogljivosti, ki zajemajo vse vidike varnosti.

4.   Po potrebi se z začetkom veljavnosti tega sklepa uporabljajo prehodne ureditve v obliki sporazumov o ravni storitve z ustreznimi službami generalnega sekretariata Sveta in Komisije.

5.   Visoki predstavnik redno pregleduje ta varnostna pravila. Visoki predstavnik zagotovi vsesplošno dosledno uporabo tega sklepa.

6.   Visoki predstavnik po potrebi na priporočilo odbora iz člena 9(6) odobri varnostne politike, ki določajo ukrepe za izvajanje tega sklepa. Navedeni odbor lahko na svoji ravni sprejme varnostne smernice, s katerimi ta sklep dopolni ali podpre.

7.   Odbor pri izvajanju odstavka 6 v celoti upošteva veljavne varnostne politike ter smernice Sveta in Evropske komisije, da se ohrani usklajenost med zadevnimi varnostnimi ukrepi ESZD, Sveta in Komisije.

Člen 2

Obvladovanje varnostnih tveganj

1.   ESZD za opredelitev svojih potreb po varnosti uporabi celovito metodologijo za oceno varnostnih tveganj po dogovoru z Varnostnim uradom generalnega sekretariata Sveta in Varnostnim direktoratom Evropske komisije. O uporabi te metodologije v ESZD se posvetuje z odborom iz člena 9(6).

2.   Vzpostavi se postopek za obvladovanje tveganja za osebje, materialna sredstva in podatke. Ta postopek je namenjen opredelitvi znanih varnostnih tveganj in varnostnih ukrepov za zmanjšanje takšnih tveganj na sprejemljivo raven ter izvajanju ukrepov v skladu s konceptom globinske obrambe. Učinkovitost teh ukrepov se nenehno ocenjuje.

3.   Vloge, odgovornosti in naloge iz tega sklepa ne vplivajo na odgovornost vsakega člana osebja ESZD, da glede lastne varnosti in zaščite ravna razumno in po ustrezni presoji, ter na njegovo obveznost, da upošteva vsa veljavna pravila, predpise, postopke in navodila.

4.   ESZD v skladu s členom 1(3) sprejme vse ustrezne ukrepe, da zagotovi varnost in zaščito osebja, materialnih sredstev in podatkov ter prepreči škodo, ki jo je mogoče razumno predvideti.

5.   V okviru ESZD so varnostni ukrepi za varovanje tajnih podatkov v njihovem celotnem obdobju, ko so označeni za tajne, sorazmerni zlasti s stopnjo tajnosti, obliko in količino podatkov ali materialnih sredstev, lokacijo in vrsto objektov, v katerih se tajni podatki hranijo, ter z nevarnostjo, zlasti z lokalno oceno nevarnosti, zlonamernih in/ali kriminalnih dejavnosti, vključno z vohunjenjem, sabotažo in terorizmom.

Člen 3

Varstvo podatkov

1.   Visoki predstavnik po posvetovanju z odborom iz člena 10(1) Sklepa Sveta 2010/427/EU o organizaciji in delovanju ESZD odloči o pravilih za varovanje tajnih podatkov, ki so enakovredna tistim iz Sklepa Sveta 2011/292/EU o varnostnih predpisih za varovanje tajnih podatkov EU (1) (v nadaljnjem besedilu: tajni podatki EU). Do sprejetja teh pravil ESZD smiselno uporablja zgoraj navedena varnostna pravila Sveta. Visoki predstavnik v skladu s členom 1(3) sprejme vse ukrepe, potrebne za izvajanje teh pravil v ESZD.

2.   Če države članice v strukture ali omrežja ESZD vnesejo tajne podatke, razvrščene po nacionalni stopnji tajnosti, ESZD varuje te podatke v skladu z zahtevami, ki veljajo za tajne podatke EU na enakovredni ravni, kakor določajo veljavna pravila v skladu s členom 3(1).

3.   Kar zadeva varovanje občutljivih podatkov, ki niso tajni, so varnostni ukrepi v ESZD sorazmerni z občutljivostjo in/ali učinkom nedovoljenega razkritja na interese EU.

Člen 4

Materialna varnost

1.   Sprejmejo se ustrezni ukrepi za materialno varnost, vključno z ureditvijo nadzora dostopa, za vse zgradbe, pisarne, prostore in druga območja v ESZD ter območja s komunikacijskimi in informacijskimi sistemi, ki obdelujejo tajne podatke. Ti ukrepi se upoštevajo pri zasnovi in načrtovanju zgradb.

2.   Po potrebi se sprejmejo ukrepi za materialno varnost za varovanje članov osebja in njihovih vzdrževancev.

3.   Ukrepi iz odstavkov 1 in 2 so sorazmerni z ocenjenim tveganjem za osebje in obiskovalce, materialna sredstva in podatke.

4.   Območja v ESZD, v katerih se hranijo podatki najmanj z oznako CONFIDENTIEL UE/EU CONFIDENTIAL ali njej enakovredno oznako, se določijo kot varovana območja v skladu s pravili iz člena 3(1) in jih odobrijo varnostni organi znotraj ESZD.

Člen 5

Varnostno preverjanje osebja

1.   Dostop do tajnih podatkov in postopkov za varnostno preverjanje osebja urejajo zahteve iz pravil v skladu s členom 3(1).

2.   Vsi člani osebja, ki bi lahko zaradi opravljanja svojih nalog potrebovali dostop do podatkov najmanj z oznako CONFIDENTIEL UE/EU CONFIDENTIAL ali njej enakovredno oznako, se varnostno preverijo za ustrezno stopnjo tajnosti, preden se jim dodeli dostop do takšnih tajnih podatkov. Vendar se lokalnim uslužbencem omogoči dostop do tajnih podatkov EU samo v skladu s pogoji iz pravil v skladu s členom 3(1).

3.   Postopki za varnostno preverjanje osebja ESZD bodo določeni v pravilih v skladu s členom 3(1). S temi postopki bo zagotovljena enaka raven varnosti podatkov, kot se zagotavlja s postopki, ki se uporabljajo v Evropski komisiji in generalnemu sekretariatu Sveta.

Člen 6

Varovanje komunikacijskih in informacijskih sistemov

1.   ESZD varuje podatke, ki jih obdelujejo komunikacijski in informacijski sistemi, pred nevarnostmi, ki ogrožajo njihovo zaupnost, celovitost, razpoložljivost, avtentičnost in nezatajljivost.

2.   Za vse komunikacijske in informacijske sisteme, ki obdelujejo tajne podatke, se opravi akreditacijski postopek. ESZD uporablja sistem za upravljanje varnostne akreditacije dogovoru z generalnim sekretariatom Sveta in Evropsko komisijo.

3.   Kadar tajne podatke EU varujejo kriptografski produkti, te v skladu s členom 10 Sklepa Sveta 2011/292/EU o varnostnih predpisih za varovanje tajnih podatkov EU odobri organ ESZD za kriptografsko zaščito tajnih podatkov na priporočilo odbora iz člena 10(1) Sklepa Sveta 2010/427/EU o organizaciji in delovanju ESZD.

4.   Visoki predstavnik v skladu s členom 3(1) po potrebi določi naslednje funkcije na področju zagotavljanja varnosti podatkov:

(a)	organ za zagotavljanje varnosti podatkov,

(b)	organ TEMPEST,

(c)	organ za kriptografsko zaščito tajnih podatkov,

(d)	organ za razpošiljanje kriptografskega materiala.

5.   Za vsak sistem visoki predstavnik v skladu s členom 3(1) določi naslednje funkcije:

(a)	organ za varnostno akreditacijo,

(b)	operativni organ za zagotavljanje varnosti podatkov.

Člen 7

Ozaveščanje in usposabljanje na področju varnosti

1.   Visoki predstavnik zagotovi, da se v ESZD pripravijo in izvajajo ustrezni programi ozaveščanja in usposabljanja na področju varnosti ter da se članom osebja in po potrebi njihovim vzdrževancem zagotovijo potrebna navodila in usposabljanje na področju varnosti, ki so sorazmerni s tveganji v njihovem stalnem prebivališču.

2.   Preden se članom osebja odobri dostop do tajnih podatkov ter nato v rednih presledkih, so vsi poučeni o svoji odgovornosti za varovanje tajnih podatkov EU v skladu s pravili po členu 3(1) in slednjo tudi potrdijo.

Člen 8

Kršitev varovanja tajnosti in nepooblaščeno razkritje tajnih podatkov

1.   O vseh kršitvah ali domnevnih kršitvah varovanja tajnosti se nemudoma obvesti Varnostni direktorat ESZD, ki po potrebi obvesti ustrezne organe Komisije, generalnega sekretariata Sveta ali držav članic.

2.   Kadar je znano ali obstajajo utemeljeni razlogi za domnevo, da so bili tajni podatki nepooblaščeno razkriti ali izgubljeni, Varnostni direktorat ESZD po potrebi obvesti Varnostni direktorat Evropske komisije, generalni sekretariat Sveta ali državo članico in sprejme vse ustrezne ukrepe v skladu s pravili po členu 3(1).

3.   Za vsakega člana osebja, ki je odgovoren za kršitev varnostnih pravil iz tega sklepa, se lahko uvede disciplinski ukrep v skladu z veljavnimi pravili in predpisi. Za vsakega posameznika, ki je odgovoren za razkritje ali izgubo tajnih podatkov, se lahko uvede disciplinski ukrep in/ali kazenski postopek v skladu z veljavnimi zakoni, pravili in predpisi.

Člen 9

Organiziranost varovanja tajnosti v ESZD

1.   Varnostni organ ESZD je visoki predstavnik. Visoki predstavnik v tej funkciji zagotovi zlasti, da:

(a)

se varnostni ukrepi o vseh varnostnih zadevah, pomembnih za dejavnosti ESZD, tudi glede vrste groženj za varnost članov osebja, materialnih sredstev in podatkov ter načinov zaščite pred njimi, po potrebi uskladijo s pristojnimi organi držav članic, generalnim sekretariatom Sveta in Evropsko komisijo ter po potrebi s tretjimi državami ali mednarodnimi organizacijami;

(b)	se varnostni vidiki v celoti upoštevajo od začetka vseh dejavnosti ESZD;

(c)	se osebju ESZD izda potrdilo EU o varnostnem preverjanju v skladu s členom 5(2), preden se mu odobri dostop do podatkov najmanj z oznako CONFIDENTIEL UE/EU CONFIDENTIAL ali njej enakovredno oznako;

(d)

se iz varnostnih razlogov v ESZD vzpostavi sistem arhivskih uradov, ki zagotavlja, da se tajni podatki obdelujejo v skladu s pravili po členu 3(1) in da se vodi evidenca vseh tajnih podatkov, ki jih ESZD sporoči tretjim državam in mednarodnim organizacijam, ter vseh tajnih podatkov, ki jih prejme od tretjih držav ali mednarodnih organizacij;

(e)	se opravijo varnostne inšpekcije iz člena 11;

(f)	se izvedejo preiskave vsake dejanske ali domnevne kršitve varovanja tajnosti, vključno z nepooblaščenim razkritjem ali izgubo tajnih podatkov, ki jih hrani ESZD ali z izvorom v ESZD, ter se ustrezni varnostni organi zaprosijo za pomoč pri takih preiskavah;

(g)	se za pravočasen in učinkovit odziv na varnostne incidente vzpostavijo ustrezni načrti in mehanizmi upravljanja incidentov in posledic;

(h)	se sprejmejo ustrezni ukrepi v primerih, ko osebje ne ravna v skladu s tem sklepom.

2.   Brez poseganja v člen 218(3) Pogodbe o delovanju Evropske unije lahko visoki predstavnik po potrebi sklene upravne dogovore, zlasti v zvezi z izmenjavo tajnih podatkov s tretjimi državami ali mednarodnimi organizacijami. O sklenitvi teh dogovorov se posvetuje z odborom iz člena 9(6).

3.   Izvršilni generalni sekretar zagotovi, da so za varnost in zaščito članov osebja in obiskovalcev, materialnih sredstev in podatkov v vseh prostorih ESZD sprejeti ustrezni fizični in organizacijski ukrepi. Pri tej nalogi izvršilnemu generalnemu sekretarju pomagata operativni direktor in Varnostni direktorat ESZD.

4.   Za organizacijo vseh varnostnih zadev v ESZD je odgovoren njen Varnostni direktorat, ki je na voljo visokemu predstavniku v skladu z njegovim mandatom in mu po potrebi lahko tudi poroča. Varnostnemu direktoratu v skladu s členom 10(3) Sklepa Sveta 2010/427/EU o organizaciji in delovanju ESZD pomagajo pristojne službe držav članic.

5.   Vodja vsake delegacije Unije je odgovoren za izvajanje vseh ukrepov v zvezi z varnostjo delegacije ter upravlja varnost in zaščito članov osebja in obiskovalcev delegacije, materialnih sredstev in podatkov. Pri teh nalogah mu pomagajo Varnostni direktorat ESZD, člani osebja delegacije, specializirani za tovrstne naloge in funkcije, ter specializirano varnostno osebje, ki se razporedi po potrebi.

6.   Ustanovi se varnostni odbor. Visoki predstavnik se za nasvete obrne na varnostni odbor, ki proučuje in ocenjuje vse zadeve v zvezi z varovanjem tajnosti v okviru področja uporabe tega sklepa ter po potrebi pripravi priporočila. Varnostni odbor sestavljajo ustrezni varnostni strokovnjaki iz vseh držav članic, generalnega sekretariata Sveta in Varnostnega direktorata Evropske komisije. Odboru predseduje visoki predstavnik ali njegov namestnik in se sestaja po navodilih visokega predstavnika ali na zahtevo katerega koli od članov odbora. Varnostni odbor svoje dejavnosti organizira tako, da lahko daje priporočila o vseh posebnih področjih varovanja tajnosti v okviru področja uporabe tega sklepa.

7.   Vodja Varnostnega direktorata ESZD se redno in po potrebi sestaja z direktorjem za varnost pri generalnem sekretariatu Sveta in direktorjem Varnostnega direktorata Evropske komisije, da bi se z njima posvetoval glede področij skupnega interesa.

Člen 10

Varnost misij SVOP in PPEU

Odgovornost vsakega vodje misije ali posebnega predstavnika EU (v nadaljnjem besedilu: PPEU) v zvezi z varnostjo misije ali skupine je določena v Sklepu Sveta o ustanovitvi misije ali imenovanju PPEU. Vsakemu vodji misije ali PPEU lahko pri zagotavljanju ustreznega izvajanja politike, ki jo je odobril Svet glede varnosti osebja, ki je v okviru operativnih zmogljivosti iz poglavja 2 naslova V Pogodbe o Evropski uniji razporejeno izven EU, pomaga Varnostni direktorat ESZD. V ta namen se vzpostavijo ustrezni mehanizmi povezave.

Člen 11

Varnostne inšpekcije

1.   Visoki predstavnik zagotovi, da se opravijo varnostne inšpekcije, da bi se preverilo upoštevanje varnostnih pravil in predpisov za varovanje osebja, materialnih sredstev in podatkov v okviru ESZD in pri misijah na podlagi poglavja 2 naslova V PEU.

2.   ESZD se lahko po potrebi opre na strokovno znanje iz držav članic, generalnega sekretariata Sveta in Evropske komisije.

3.   Visoki predstavnik vsako leto sprejme program varnostnih inšpekcij.

Člen 12

Načrtovanje neprekinjenega poslovanja

Varnostni direktorat ESZD pomaga izvršilnemu generalnemu sekretarju pri upravljanju varnostnih vidikov poslovnih procesov ESZD v okviru splošnega načrtovanja neprekinjenega poslovanja ESZD.

Člen 13

Začetek veljavnosti

Ta sklep začne veljati na dan podpisa.

---

(1)  Sklep Sveta 2011/292/EU z dne 31. marca 2011 o varnostnih predpisih za varovanje tajnih podatkov EU, (UL L 141, 27.5.2011, str. 17).

---