17.3.2015

LT

Europos Sąjungos oficialusis leidinys

L 72/53

---

KOMISIJOS SPRENDIMAS (ES, Euratomas) 2015/444

2015 m. kovo 13 d.

dėl ES įslaptintos informacijos apsaugai užtikrinti skirtų saugumo taisyklių

EUROPOS KOMISIJA,

atsižvelgdama į Sutartį dėl Europos Sąjungos veikimo, ypač į jos 249 straipsnį,

atsižvelgdama į Europos atominės energijos bendrijos steigimo sutartį, ypač į jos 106 straipsnį,

atsižvelgdama į Protokolą Nr. 7 dėl Europos Sąjungos privilegijų ir imunitetų, pridėtą prie Sutarčių, ypač į jo 18 straipsnį,

kadangi:

(1)	atsižvelgiant į institucinius, organizacinius, veiklos ir technologinius pokyčius, reikia peržiūrėti ir atnaujinti Komisijos taikomas saugumo nuostatas, kurių tikslas – apsaugoti Europos Sąjungos įslaptintą informaciją (ESĮI);

(2)	Europos Komisija su Belgijos, Liuksemburgo ir Italijos Vyriausybėmis sudarė susitarimus (1) dėl pagrindinių jos darbo vietų saugumo;

(3)	Komisija, Taryba ir Europos išorės veiksmų tarnyba yra įsipareigojusios taikyti lygiaverčius ESĮI apsaugą užtikrinančius saugumo standartus;

(4)	svarbu, kad Europos Parlamentas ir kitos Sąjungos institucijos, agentūros, įstaigos ar organai atitinkamais atvejais prisidėtų prie įslaptintos informacijos apsaugos principų, standartų ir taisyklių, būtinų siekiant apsaugoti Sąjungos ir jos valstybių narių interesus, taikymo;

(5)

ESĮI kylančios rizikos valdymas yra procesas. Šio proceso tikslas – nustatyti žinomą saugumo riziką, apibrėžti saugumo priemones tokiai rizikai sumažinti iki priimtino lygio pagal šiame sprendime išdėstytus pagrindinius principus ir būtiniausius standartus ir taikyti šias priemones laikantis nuodugnios apsaugos sąvokos. Periodiškai atliekamas tokių priemonių efektyvumo vertinimas;

(6)	fizinis saugumas, skirtas įslaptintai informacijai apsaugoti Komisijoje – tai fizinių ir techninių apsaugos priemonių taikymas siekiant užkirsti kelią leidimo neturintiems asmenims susipažinti su ESĮI;

(7)

ESIĮ valdymas – administracinių ESĮI kontrolės visą jos gyvavimo ciklą priemonių taikymas siekiant papildyti šio sprendimo 2, 3 ir 5 skyriuose numatytas priemones ir tokiu būdu atgrasyti nuo sąmoningo ar atsitiktinio tokios informacijos neteisėto atskleidimo arba praradimo, nustatyti tokius atvejus ir pašalinti jų padarinius. Tokios priemonės visų pirma yra susijusios su ESĮI rengimu, saugojimu, registravimu, kopijavimu, vertimu, slaptumo mažinimu, išslaptinimu, gabenimu ir sunaikinimu ir papildo bendrąsias Komisijos dokumentų tvarkymo taisykles (Sprendimai 2002/47/EB, EAPB, Euratomas (2) ir 2004/563/EB, Euratomas (3));

(8)	šio sprendimo nuostatos nedaro poveikio: a) Reglamentui (Euratomas) Nr. 3 (4); b) Europos Parlamento ir Tarybos reglamentui (EB) Nr. 1049/2001 (5); c) Europos Parlamento ir Tarybos reglamentui (EB) Nr. 45/2001 (6); d) Tarybos reglamentui (EEB, Euratomas) Nr. 354/83 (7),

PRIĖMĖ ŠĮ SPRENDIMĄ:

1 SKYRIUS

PAGRINDINIAI PRINCIPAI IR BŪTINIAUSI STANDARTAI

1 straipsnis

Apibrėžtys

Šiame sprendime vartojamų terminų apibrėžtys:

1)   Komisijos padalinys– Komisijos generalinis direktoratas, tarnyba arba Komisijos nario kabinetas;

2)   kriptografinė medžiaga– kriptografiniai algoritmai, techninės ir programinės kriptografinės įrangos moduliai, priemonės, apimančios vykdymo informaciją bei susijusius dokumentus ir raktų duomenis;

3)   Išslaptinimas– bet kokios saugumo žymos panaikinimas;

4)   nuodugni apsauga– saugumo priemonių, kurios grupuojamos į kelis apsaugos lygius, taikymas;

5)   Dokumentas– bet kokios fizinės formos ir charakteristikų užregistruota informacija;

6)   slaptumo mažinimas– aukštesnio slaptumo lygio keitimas žemesniu slaptumo lygiu;

7)   ESĮI tvarkymas– visi galimi veiksmai, kurie gali būti atliekami su ESĮI per visą jos gyvavimo ciklą. Tai apima ESĮI rengimą, registravimą, apdorojimą, gabenimą, slaptumo mažinimą, išslaptinimą ir sunaikinimą. Ryšių ir informacinių sistemų (RIS) atžvilgiu tai taip pat apima ESĮI rinkimą, skelbimą, perdavimą ir saugojimą;

8)   Turėtojas– tinkamą leidimą turintis asmuo, kuriam „būtina žinoti“ ir kuris turi ESĮI dalį bei yra atitinkamai atsakingas už jos apsaugą;

9)   įgyvendinimo taisyklės– taisyklės arba saugumo pranešimai, priimti pagal Komisijos sprendimo (ES, Euratomas) 2015/443 (8) 5 skyrių;

10)   Medžiaga– terpė, duomenų laikmena arba pagaminti ar gaminami įrenginiai ar įranga;

11)   Rengėjas– Sąjungos institucija, agentūra ar įstaiga, valstybė narė, trečioji valstybė ar tarptautinė organizacija, kurios atsakomybe įslaptinta informacija buvo parengta ir (arba) pateikta naudoti Sąjungos struktūrose;

12)   Patalpos– bet koks nekilnojamasis ar panašus Komisijos turtas ir nuosavybė;

13)   saugumo rizikos valdymo procesas– visas nebūtinai galinčių įvykti įvykių, kurie gali paveikti organizacijos arba jos naudojamų sistemų saugumą, nustatymo, kontrolės ir padarinių mažinimo procesas. Jis apima visą su rizika susijusią veiklą, įskaitant jos įvertinimą, valdymą, pripažinimą ir informavimą apie ją;

14)   Tarnybos nuostatai– Europos Sąjungos pareigūnų tarnybos nuostatai ir kitų Europos Sąjungos tarnautojų įdarbinimo sąlygos, nustatyti Tarybos reglamentu (EEB, Euratomas, EAPB) Nr. 259/68 (9);

15)   Grėsmė– galima nepageidaujamo incidento, dėl kurio gali būti padaryta žala organizacijai ar jos naudojamoms sistemoms, priežastis. Tokios grėsmės gali būti atsitiktinės arba tyčinės (piktybinės); jas apibūdina pavojingi elementai, galimi taikiniai ir puolimo būdai;

16)   Pažeidžiamumas– bet kokio pobūdžio trūkumas, kuriuo gali būti naudojamasi vienos ar daugiau grėsmių atveju. Pažeidžiamumas gali atsirasti dėl neveikimo arba gali būti susijęs su negriežta, neišsamia arba nenuoseklia kontrole ir gali būti techninio, procedūrinio, fizinio, organizacinio ar veiklos pobūdžio.

2 straipsnis

Dalykas ir taikymo sritis

1.   Šis sprendimas nustato pagrindinius ESĮI apsaugai užtikrinti skirtus saugumo principus ir būtiniausius standartus.

2.   Šis sprendimas taikomas visiems Komisijos padaliniams ir visose Komisijos patalpose.

3.   Nepaisant konkrečių nuorodų dėl tam tikrų darbuotojų grupių, šis sprendimas taikomas Komisijos nariams, Komisijos darbuotojams pagal Tarnybos nuostatus ir kitų Europos Bendrijų tarnautojų įdarbinimo sąlygas, į Komisiją deleguotiems nacionaliniams ekspertams (SNE), paslaugų teikėjams ir jų darbuotojams, stažuotojams ir bet kuriam asmeniui, galinčiam patekti į Komisijos pastatus ar naudotis kitu turtu, arba informacijai, kurią tvarko Komisija.

4.   Šio sprendimo nuostatos nedaro poveikio Sprendimui 2002/47/EB, EAPB, Euratomas ir Sprendimui 2004/563/EB, Euratomas.

3 straipsnis

ESĮI, slaptumo žymų ir kitų žymų apibrėžtis

Europos Sąjungos įslaptinta informacija (ESĮI)– bet kuri informacija arba medžiaga, kuriai suteikta ES slaptumo žyma ir kurią neteisėtai atskleidus galėtų būti padaryta tam tikro dydžio žala Europos Sąjungos arba vienos ar kelių valstybių narių interesams.

2.   ESĮI žymima viena iš šių slaptumo žymų:

a)   TRES SECRET UE/ES TOP SECRET– informacija ir medžiaga, kurią neteisėtai atskleidus galėtų būti padaryta ypač didelė žala Europos Sąjungos arba vienos ar kelių valstybių narių esminiams interesams;

b)   SECRET UE/ES SECRET– informacija ir medžiaga, kurią neteisėtai atskleidus galėtų būti rimtai pakenkta Europos Sąjungos arba vienos ar kelių valstybių narių esminiams interesams;

c)   CONFIDENTIEL UE/ES CONFIDENTIAL– informacija ir medžiaga, kurią neteisėtai atskleidus galėtų būti pakenkta Europos Sąjungos arba vienos ar kelių valstybių narių esminiams interesams;

d)   RESTREINT UE/ES RESTRICTED– informacija ir medžiaga, kurios neteisėtas atskleidimas galėtų būti nepalankus Europos Sąjungos arba vienos ar kelių valstybių narių interesams.

3.   ESĮI žymima slaptumo žyma pagal 2 dalį. Ji gali būti žymima papildoma žyma, kuri yra ne slaptumo žyma, bet skirta veiklos sričiai, su kuria ji yra susijusi, nurodyti, įslaptintos informacijos rengėjui įvardyti, jos platinimui ir naudojimui apriboti ar suteikimui nurodyti.

4 straipsnis

Įslaptinimo valdymas

1.   Kiekvienas Komisijos narys arba kiekviena Komisijos tarnyba užtikrina, kad jos parengta ESĮI būtų žymima tinkama slaptumo žyma, būtų aiškiai nurodoma, kad tai yra ESĮI, ir jai būtų suteikta slaptumo žyma tik tokiam laikotarpiui, kuris yra būtinas.

2.   Nedarant poveikio 26 straipsniui, be išankstinio įslaptintos informacijos rengėjo raštiško sutikimo ESĮI slaptumas nemažinamas arba ji neišslaptinama, o 3 straipsnio 2 dalyje nurodytos žymos nekeičiamos arba nepanaikinamos.

3.   Jei reikia, remiantis 60 straipsniu nustatomos ESĮI tvarkymo įgyvendinimo taisyklės, įskaitant praktinį slaptumo žymų vadovą.

5 straipsnis

Įslaptintos informacijos apsauga

1.   ESĮI saugoma laikantis šio sprendimo ir jo įgyvendinimo taisyklių.

2.   Bet kokios ESĮI turėtojas yra atsakingas už jos apsaugą pagal šį sprendimą ir jo įgyvendinimo taisykles, laikantis 4 skyriuje nustatytų taisyklių.

3.   Valstybėms narėms nacionaline slaptumo žyma pažymėtą įslaptintą informaciją perdavus į Komisijos struktūras ar tinklus, Komisija tą informaciją saugo laikydamasi reikalavimų, taikomų lygiaverčio slaptumo žymos lygio ESĮI, kaip nustatyta I priede pateiktoje slaptumo žymų atitikmenų lentelėje.

4.   ESĮI visumos atveju gali būti reikalaujama užtikrinti apsaugos lygį, atitinkantį aukštesnį slaptumo žymos lygį nei jos atskirų komponentų slaptumo žymos.

6 straipsnis

Saugumo rizikos valdymas

1.   ESĮI apsaugai užtikrinti skirtos saugumo priemonės visą savo gyvavimo ciklą turi atitikti jos slaptumo žymos lygį, informacijos ar medžiagos formą ir kiekį, patalpų, kuriose laikoma ESĮI, vietos ir konstrukcijos reikalavimus ir turi būti parenkamos atsižvelgiant į vietos lygiu įvertintą piktavališkos ir (arba) nusikalstamos veiklos, įskaitant šnipinėjimą, sabotažą ar terorizmą, keliamą grėsmę.

2.   Nenumatytų atvejų planuose turi būti atsižvelgiama į poreikį apsaugoti ESĮI ekstremaliosios padėties atvejais siekiant užkirsti kelią galimybei neteisėtai susipažinti su šia informacija, ją atskleisti ar prarasti jos vientisumą arba galimybę ja naudotis.

3.   Visų tarnybų veiklos tęstinumo planuose numatomos prevencinės ir atstatymo priemonės siekiant sumažinti didelių klaidų ar incidentų poveikį ESĮI administravimui ir saugojimui.

7 straipsnis

Šio sprendimo įgyvendinimas

1.   Jei reikia, remiantis 60 straipsniu nustatomos įgyvendinimo taisyklės, skirtos šiam sprendimui papildyti ar sustiprinti.

2.   Komisijos tarnybos imasi visų būtinų jų atsakomybės sričiai priklausančių priemonių, siekdamos užtikrinti, kad tvarkant arba saugant ESĮI ar kitą įslaptintą informaciją būtų laikomasi šio sprendimo ir atitinkamų įgyvendinimo taisyklių.

3.   Saugumo priemonės, kurių imamasi įgyvendinant šį sprendimą, turi atitikti Komisijos saugumo principus, nustatytus Sprendimo (ES, Euratomas) 2015/443 3 straipsnyje.

4.   Žmogiškųjų išteklių ir saugumo generalinio direktorato generalinis direktorius Žmogiškųjų išteklių ir saugumo generaliniame direktorate įsteigia Komisijos saugumo instituciją. Komisijos saugumo institucija atlieka pareigas, jai paskirtas šiuo sprendimu ir jo įgyvendinimo taisyklėmis.

5.   Kiekvieno Komisijos padalinio vietos saugumo pareigūnas (VSP), nurodytas Sprendimo (ES, Euratomas) 2015/443 20 straipsnyje, yra bendrai atsakingas už ESĮI apsaugą pagal šį sprendimą ir, glaudžiai bendradarbiaudamas su Žmogiškųjų išteklių ir saugumo generaliniu direktoratu, atlieka šias užduotis:

a)	administruoja prašymus darbuotojams išduoti saugumo leidimus;

b)	prisideda prie saugumo mokymų ir teikia informaciją;

c)	prižiūri padalinio registracijos kontrolės pareigūno (RKP) veiklą;

d)	praneša apie saugumo pažeidimus ir neteisėto ESĮI atskleidimo atvejus;

e)	saugo atsarginius raktus ir visų kodų sąrašą;

f)	atlieka kitas su ESĮI apsauga susijusias arba įgyvendinimo taisyklėse nustatytas užduotis.

8 straipsnis

ESĮI saugumo pažeidimai ir neteisėtas atskleidimas

1.   Saugumo pažeidimu laikomas šiame sprendime ir jo įgyvendinimo taisyklėse nustatytoms saugumo taisyklėms priešingas asmens veikimas arba neveikimas.

2.   Laikoma, kad ESĮI neteisėtai atskleista, jeigu pažeidus saugumo taisykles ji visa arba jos dalis yra atskleista susipažinti su ja leidimo neturintiems asmenims.

3.   Apie visus saugumo pažeidimus arba įtariamus saugumo pažeidimus nedelsiant pranešama Komisijos saugumo institucijai.

4.   Tais atvejais, kai žinoma arba yra pagrįstų priežasčių manyti, kad ESĮI buvo neteisėtai atskleista arba prarasta, remiantis Sprendimo (ES, Euratomas) 2015/443 13 straipsniu atliekamas saugumo tyrimas.

5.   Imamasi visų tinkamų priemonių, siekiant:

a)	informuoti įslaptintos informacijos rengėją;

b)	užtikrinti, kad siekiant nustatyti faktus tokį atvejį nagrinėtų su pažeidimu tiesiogiai nesusijęs personalas;

c)	įvertinti galimą Sąjungos ar valstybių narių interesams padarytą žalą;

d)	imtis atitinkamų priemonių, kad būtų užkirstas kelias pažeidimui pasikartoti ir

e)	atitinkamas institucijas informuoti apie atliktus veiksmus.

6.   Bet kuriam asmeniui, kuris pažeidė šiame sprendime nustatytas saugumo taisykles, gali būti taikomos drausminės priemonės vadovaujantis Tarnybos nuostatais. Asmeniui, kuris atsakingas už ESĮI neteisėtą atskleidimą ar praradimą, taikomos drausminės ir (arba) teisinės priemonės pagal taikomus įstatymus, taisykles ir kitus teisės aktus.

2 SKYRIUS

PERSONALO SAUGUMAS

9 straipsnis

Apibrėžtys

Šiame skyriuje vartojamų terminų apibrėžtys:

1)   Leidimas susipažinti su ESĮI– remiantis valstybės narės kompetentingos institucijos patvirtinimu Komisijos priimtas saugumo institucijos sprendimas, kad Komisijos pareigūnui, kitam tarnautojui arba deleguotajam nacionaliniam ekspertui iki nustatytos datos gali būti leidžiama susipažinti su ESĮI, pažymėta nurodyto lygio slaptumo žyma (iki CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnio lygio slaptumo žyma), jei nustatyta, kad asmeniui „būtina žinoti“ ir jis buvo tinkamai informuotas apie savo atsakomybę; laikoma, kad asmuo, kuriam taikoma ši apibrėžtis, yra asmuo, turintis leidimą susipažinti su įslaptinta informacija.

2)   Darbuotojo saugumo leidimas– priemonių taikymas, siekiant užtikrinti, kad galimybė susipažinti su ESĮI būtų suteikta tik asmenims:

a)	kuriems „būtina žinoti“;

b)	kurie atitinkamais atvejais turi leidimus susipažinti su tam tikro lygio slaptumo žyma pažymėta įslaptinta informacija ir

c)	kurie yra informuoti apie savo pareigas.

3)   Asmens patikimumo pažymėjimas (APT)– valstybės narės kompetentingos institucijos patvirtinimas, kuris pateikiamas valstybės narės kompetentingoms institucijoms baigus patikimumo patikrinimą ir kuriuo pažymima, kad atitinkamam asmeniui, nustačius, kad jam „būtina žinoti“ ir jis buvo tinkamai informuotas apie savo atsakomybę, gali būti suteikiamas leidimas iki nurodytos datos susipažinti su nurodyto lygio slaptumo žyma (iki CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnio lygio slaptumo žyma) pažymėta ESĮI.

4)   Asmens patikimumo pažymėjimą patvirtinanti pažyma (APPPP)– kompetentingos institucijos išduota pažyma, kurioje nurodoma, kad asmuo turi galiojantį patikimumo pažymėjimą arba Komisijos saugumo institucijos išduotą saugumo leidimą, ir nurodomas ESĮI, su kuria tam asmeniui gali būti leista susipažinti, slaptumo žymos lygis (CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnis), atitinkamo asmens patikimumo pažymėjimo arba leidimo galiojimo laikas ir pačios pažymos galiojimo laikas;

5)   Patikimumo patikrinimas– tyrimo procedūros, kurias, vadovaudamasi valstybėje narėje galiojančiais įstatymais ir kitais teisės aktais, atlieka kompetentinga institucija siekdama gauti užtikrinimą, kad nėra jokios nepalankios informacijos, kuri neleistų asmeniui išduoti jo patikimumo pažymėjimo, suteikiančio galimybę susipažinti su nurodyto lygio (iki CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnio) ESĮI.

10 straipsnis

Pagrindiniai principai

1.   Leidimas susipažinti su ESĮI asmeniui suteikiamas tik po to, kai:

1)	nustatoma, kad jam „būtina žinoti“;

2)	jis buvo informuotas apie ESĮI apsaugai užtikrinti skirtas saugumo taisykles bei atitinkamus saugumo standartus ir gaires ir patvirtino savo pareigą saugoti tokią informaciją;

3)	jam dėl jo atliekamų funkcijų išduotas atitinkamo lygio saugumo leidimas susipažinti su įslaptinta informacija, pažymėta CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnio lygio slaptumo žyma, arba jam išduoti kiti tinkami leidimai pagal nacionalinius įstatymus ir kitus teisės aktus.

2.   Visi asmenys, kuriems dėl jų pareigų gali reikėti susipažinti su CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnio lygio slaptumo žyma pažymėta ESĮI, prieš susipažindami su tokia ESĮI gauna atitinkamo lygio saugumo leidimus. Atitinkamas asmuo raštu sutinka dalyvauti jo patikimumo pažymėjimo išdavimo procedūroje. To nepadaręs asmuo negali būti paskirtas į pareigas, jam negali būti patikėtos funkcijos arba užduotys, kurias vykdant reikėtų susipažinti su CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnio lygio slaptumo žyma pažymėta įslaptinta informacija.

3.   Asmens patikimumo pažymėjimo išdavimo procedūrų tikslas – nustatyti, ar asmeniui, atsižvelgiant į jo lojalumą ir patikimumą, gali būti leidžiama susipažinti su ESĮI.

4.   Asmens lojalumas ir patikimumas, prieš suteikiant jam asmens patikimumo pažymėjimą, leisiantį susipažinti su CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnio laipsnio slaptumo žyma pažymėta informacija, nustatomas vykdant patikimumo patikrinimą, kurį atlieka valstybės narės kompetentingos tarnybos, laikydamosi nacionalinių įstatymų ir kitų teisės aktų.

5.   Komisijos saugumo institucija yra atsakinga tik už ryšių palaikymą su nacionalinėmis saugumo institucijomis (toliau – NSI) arba kitomis kompetentingomis nacionalinėmis institucijomis visais patikimumo tikrinimo klausimais. Visus Komisijos tarnybų ir jų darbuotojų ryšius su NSI ir kitomis kompetentingomis institucijomis palaiko Komisijos saugumo institucija.

11 straipsnis

Saugumo leidimų išdavimo tvarka

1.   Kiekvienas Komisijos generalinis direktorius arba tarnybos vadovas nustato, kurias pareigybes užimantys jo padalinio darbuotojai atlikdami savo pareigas privalo susipažinti su įslaptinta informacija, pažymėta CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnio lygio slaptumo žyma, ir kuriems reikia išduoti saugumo leidimą.

2.   Kai žinoma, kad asmuo bus paskirtas į pareigas, kurias atliekant reikės turėti galimybę susipažinti su CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnio lygio slaptumo žyma pažymėta įslaptinta informacija, atitinkamo Komisijos padalinio VSP praneša apie tai Komisijos saugumo institucijai, o ji tam asmeniui perduoda patikimumo pažymėjimo klausimyną, parengtą tos valstybės narės, kurios pilietis yra paskirtasis Europos Sąjungos institucijų darbuotojas, nacionalinės saugumo institucijos. Asmuo raštu sutinka dalyvauti patikimumo pažymėjimo išdavimo procedūroje ir kuo greičiau grąžinti užpildytą klausimyną Komisijos saugumo institucijai.

3.   Komisijos saugumo institucija nusiunčia užpildytą asmens patikimumo pažymėjimo klausimyną valstybės narės, kurios pilietis yra paskirtasis Europos Sąjungos institucijų darbuotojas, NSI, prašydama atlikti patikimumo patikrinimą, skirtą gauti leidimui naudotis tam tikro slaptumo žymos lygio ESĮI, su kuria asmeniui reikės susipažinti.

4.   Jei Komisijos saugumo institucija sužino patikimumui patikrinti svarbios informacijos apie asmenį, kuris pateikė prašymą išduoti patikimumo pažymėjimą, laikydamasi atitinkamų taisyklių ir teisės aktų, ji apie tai praneša atitinkamai NSI.

5.   Užbaigusi patikimumo patikrinimą ir kaip įmanoma greičiau po to, kai gauna atitinkamos NSI patikimumo patikrinimo bendro vertinimo išvadas, Komisijos saugumo institucija:

a)

atitinkamam asmeniui gali suteikti leidimą susipažinti su ESĮI ir leisti susipažinti su iki atitinkamo lygio slaptumo žyma pažymėta ESĮI iki nustatytos datos, bet ne ilgiau kaip 5 metus, jei patikimumo patikrinimo rezultatai užtikrintai rodo, kad neturima jokios nepalankios informacijos, kuri leistų abejoti asmens lojalumu ir patikimumu;

b)

jei patikimumo patikrinimo rezultatai nėra tokie užtikrinantys, laikydamasi atitinkamų taisyklių ir teisės aktų apie tai praneša atitinkamam asmeniui, kuris gali prašyti, kad Komisijos saugumo institucija jį išklausytų; Komisijos saugumo institucija gali prašyti kompetentingos NSI pateikti daugiau paaiškinimų, kuriuos ji gali pateikti pagal savo nacionalinius įstatymus ir kitus teisės aktus. Jei patikimumo patikrinimo rezultatai pasitvirtina, leidimas susipažinti su ESĮI neišduodamas.

6.   Patikimumo patikrinimui bei gautiems rezultatams taikomi atitinkamoje valstybėje narėje galiojantys įstatymai ir kiti teisės aktai, įskaitant su apskundimu susijusius įstatymus ir kitus teisės aktus. Komisijos saugumo institucijos sprendimai gali būti apskųsti pagal Tarnybos nuostatus.

7.   Komisija pripažįsta kitos Sąjungos institucijos, įstaigos ar agentūros išduotą leidimą susipažinti su ESĮI, su sąlyga, kad jis tebegalioja. Leidimas galioja visoms užduotims, kurias tas asmuo vykdo Komisijoje Sąjungos institucija, įstaiga ar agentūra, kurioje asmuo pradeda dirbti, praneša atitinkamai NSI apie darbdavio pasikeitimą.

8.   Jeigu asmens tarnyba neprasideda per 12 mėnesių nuo patikimumo patikrinimo rezultatų pranešimo Komisijos saugumo institucijai arba jeigu asmens tarnyboje daroma 12 mėnesių pertrauka ir tuo laikotarpiu jis nedirba Komisijoje arba kitoje Sąjungos institucijoje, įstaigoje ar agentūroje arba valstybės narės nacionalinėje administracinėje įstaigoje, Komisijos saugumo institucija apie tai praneša atitinkamai NSI ir prašo patvirtinti, kad patikimumo pažymėjimas tebegalioja ir yra tinkamas.

9.   Jei Komisijos saugumo institucija sužino, kad galiojantį saugumo leidimą turintis asmuo kelia saugumo riziką, Saugumo institucija, laikydamasi atitinkamų taisyklių ir teisės aktų, apie tai praneša atitinkamai NSI.

10.   Kai NSI informuoja Komisijos saugumo instituciją apie tai, kad pagal 5 dalies a punktą suteiktas užtikrinimas dėl asmens, turinčio leidimą susipažinti su ESĮI, panaikinamas, Komisijos saugumo institucija gali paprašyti pateikti paaiškinimą, kurį NSI gali pateikti pagal nacionalinius įstatymus ir kitus teisės aktus. Jei atitinkama NSI patvirtina nepalankią informaciją, saugumo leidimas panaikinamas, o asmeniui neleidžiama susipažinti su ESĮI ir užimti pareigų, kurias eidamas jis galėtų susipažinti su ta informacija arba sukelti pavojų saugumui.

11.   Apie sprendimą panaikinti arba sustabdyti asmens, kuriam taikomas šis sprendimas, leidimą susipažinti su ESĮI ir atitinkamais atvejais tokio panaikinimo arba sustabdymo priežastis pranešama atitinkamam asmeniui, kuris gali prašyti, kad Komisijos saugumo institucija jį išklausytų. NSI teikiama informacija reglamentuojama atitinkamoje valstybėje narėje galiojančiais įstatymais ir kitais teisės aktais. Komisijos saugumo institucijos šiuo klausimu priimti sprendimai gali būti apskųsti pagal Tarnybos nuostatus.

12.   Komisijos padaliniai užtikrina, kad į juos deleguoti nacionaliniai ekspertai, siekiantys eiti pareigas, kurioms reikia turėti saugumo leidimą susipažinti su ESĮI, prieš pradėdami tarnybą Komisijos saugumo institucijai pateiktų pagal nacionalinius įstatymus ir kitus teisės aktus galiojantį asmens patikimumo pažymėjimą (APP) arba asmens patikimumo pažymėjimą patvirtinančią pažymą (APPPP), kuria remdamasi Komisijos saugumo institucija išduoda saugumo leidimą susipažinti su tokio slaptumo laipsnio ESĮI, koks nurodytas nacionaliniame patikimumo pažymėjime; toks leidimas galioja ne ilgiau nei jų paskyrimo laikotarpis.

13.   Komisijos nariai, kurie dėl savo atliekamų pareigų pagal Sutartį gali susipažinti su ESĮI, informuojami apie jų saugumo įsipareigojimus ESĮI apsaugos srityje.

14.   Remiantis šiuo sprendimu, patikimumo pažymėjimų ir leidimų susipažinti su ESĮI registrai saugomi Komisijos saugumo institucijoje. Šiuose registruose nurodomas bent jau ESĮI, su kuria tam asmeniui gali būti leista susipažinti, slaptumo žymos lygis, patikimumo pažymėjimo išdavimo data ir jo galiojimo laikas.

15.   Komisijos saugumo institucija gali išduoti APPPP, kurioje nurodomas ESĮI, su kuria tam asmeniui gali būti leista susipažinti, slaptumo žymos lygis (CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnio lygio slaptumo žyma), atitinkamo leidimo susipažinti su ESĮI galiojimo laikas ir pačios pažymos galiojimo laikas.

16.   Po to, kai patikimumo pažymėjimas suteiktas pirmą kartą, ir jeigu asmuo nuolat dirbo Europos Komisijoje arba kitoje Sąjungos institucijoje, įstaigoje ar agentūroje bei jam reikia nuolat dirbti su ESĮI, saugumo leidimas susipažinti su ESĮI peržiūrimas siekiant jį atnaujinti paprastai kas penkerius metus skaičiuojant nuo paskutinio patikimumo patikrinimo, kuriuo remiantis buvo išduotas pažymėjimas, rezultatų pranešimo datos.

17.   Komisijos saugumo institucija gali pratęsti turimo saugumo leidimo galiojimo laikotarpį ne ilgiau kaip 12 mėnesių, jeigu per du mėnesius nuo prašymo atnaujinti leidimą ir su juo susijusio asmens patikimumo pažymėjimo klausimyno pateikimo dienos iš atitinkamos NSI ar kitos kompetentingos nacionalinės institucijos negauta nepalankios informacijos. Jeigu pasibaigus šiam 12 mėnesių laikotarpiui atitinkama NSI ar kita kompetentinga nacionalinė institucija Komisijos saugumo institucijai nepraneša apie savo nuomonę, asmeniui skiriamos tokios užduotys, kurioms atlikti saugumo leidimas nereikalingas.

12 straipsnis

Saugumo leidimo informaciniai susitikimai

1.   Visi asmenys, kuriems išduoti leidimai susipažinti su įslaptinta informacija, dalyvauja Komisijos saugumo institucijos rengiamame saugumo leidimo informaciniame susitikime, po kurio raštu patvirtina suprantantys savo įsipareigojimus saugoti ESĮI ir ESĮI neteisėto atskleidimo pasekmes. Komisijos saugumo institucija užregistruoja tokius rašytinius patvirtinimus.

2.   Visi asmenys, kuriems leidžiama susipažinti su ESĮI arba kurie turi dirbti su ESĮI, yra iš pat pradžių informuojami ir paskui reguliariai informuojami apie grėsmes saugumui; jie turi nedelsdami pranešti Komisijos saugumo institucijai apie bet kokius bandymus užmegzti kontaktą ar veiklą, kurie, jų nuomone, yra įtartini ar neįprasti.

3.   Visi asmenys, nebeeinantys pareigų, kurias einant jiems reikia susipažinti su ESĮI, yra informuojami apie jų įsipareigojimus toliau saugoti ESĮI slaptumą ir atitinkamais atvejais jie tai patvirtina raštu.

13 straipsnis

Laikini saugumo leidimai

1.   1. Esant išskirtinėms aplinkybėms, kurios tinkamai pagrįstos tarnybos interesais, ir laukiant išsamaus patikimumo patikrinimo pabaigos, Komisijos saugumo institucija, pasikonsultavusi su valstybės narės, kurios pilietis yra atitinkamas asmuo, NSI ir atsižvelgusi į preliminaraus patikrinimo, ar nėra žinomos ir susijusios nepalankios informacijos apie asmenį, rezultatus, gali jam išduoti laikiną leidimą susipažinti su ESĮI konkrečiai funkcijai atlikti, nepažeisdama asmens patikimumo pažymėjimų pratęsimo nuostatų. Tokie laikini leidimai susipažinti su ESĮI galioja vieną ne ilgesnį kaip šešių mėnesių laikotarpį ir nesuteikia teisės susipažinti su slaptumo žyma TRES SECRET UE / EU TOP SECRET pažymėta informacija

2.   Pagal 12 straipsnio 1 dalies nuostatas susipažinę su informacija, visi asmenys, kuriems išduotas laikinas leidimas, raštu patvirtina, kad jie supranta įsipareigojimus saugoti ESSĮ ir ESĮI neteisėto atskleidimo pasekmes. Komisijos saugumo institucija užregistruoja tokius rašytinius patvirtinimus.

14 straipsnis

Dalyvavimas Komisijos rengiamuose susitikimuose, kuriuose naudojama įslaptinta informacija

1.   Komisijos padaliniai, atsakingi už susitikimų, kuriuose naudojama CONFIDENTIEL UE/ES CONFIDENTIAL ar aukštesnio lygio slaptumo žyma pažymėta įslaptinta informacija, rengimą, per savo VSP arba per susitikimo rengėją iš anksto praneša Komisijos saugumo institucijai apie tokių susitikimų datas, laiką, vietą ir dalyviams.

2.   Laikantis 11 straipsnio 13 dalies nuostatų, asmenys, paskirti dalyvauti Komisijos rengiamuose susitikimuose, kuriuose naudojama CONFIDENTIEL UE/ES CONFIDENTIAL ar aukštesnio lygio slaptumo žyma pažymėta informacija, dalyvauti gali tik tuomet, jei patvirtinama, kad jų patikimumas patikrintas arba jie turi saugumo leidimą. Tokiuose susitikimuose, kuriuose naudojama įslaptinta informacija, neleidžiama dalyvauti asmenims, kurie Komisijos saugumo institucijai nepateikia APPPP arba kito patikimumo pažymėjimo įrodymo, taip pat saugumo leidimų neturintiems Komisijos darbuotojams.

3.   Prieš rengdamas susitikimą, kuriame naudojama įslaptinta informacija, susitikimo rengėjas arba susitikimą rengiančio Komisijos padalinio VSP paprašo, kad išorės dalyviai Komisijos saugumo institucijai pateiktų APPPP ar kitą patikimumo pažymėjimo įrodymą. Komisijos saugumo institucija informuoja VSP arba susitikimo rengėją apie gautus APPPP ar kitus patikimumo pažymėjimų įrodymus. Jei taikoma, gali būti naudojamas suvestinis pavardžių sąrašas, kuriame pateikiami atitinkami įrodymai apie patikimumo pažymėjimą.

4.   Jei kompetentingos institucijos praneša Komisijos saugumo institucijai, kad asmuo, kuris eidamas savo pareigas turi dalyvauti Komisijos rengiamuose susitikimuose, nebeturi asmens patikimumo pažymėjimo, Komisijos saugumo institucija apie tai praneša Komisijos padalinio, atsakingo už rengiamą susitikimą, VSP.

15 straipsnis

Galima prieiga prie ESĮI

Kurjeriams, apsaugos darbuotojams ir lydintiems asmenims išduodamas atitinkamo lygio saugumo leidimas arba jie yra kitaip deramai patikrinami vadovaujantis nacionaliniais įstatymais ir kitais teisės aktais, informuojami apie ESĮI apsaugai užtikrinti skirtas saugumo procedūras ir jiems išdėstomos jų pareigos, susijusios su jiems patikėtos tokios informacijos apsauga.

3 SKYRIUS

FIZINIS SAUGUMAS, SKIRTAS ĮSLAPTINTAI INFORMACIJAI APSAUGOTI

16 straipsnis

Pagrindiniai principai

1.   Fizinio saugumo priemonės skirtos sutrukdyti įsibrauti slaptai arba įsiveržti jėga, atgrasyti nuo neteisėtų veiksmų, sutrukdyti jiems bei juos nustatyti ir sudaryti sąlygas suskirstyti personalą pagal tai, kas gali susipažinti su ESĮI, vadovaujantis principu „būtina žinoti“. Tokios priemonės nustatomos remiantis rizikos valdymo procesu ir laikantis šio sprendimo bei jo įgyvendinimo taisyklių.

2.   Visų pirma fizinio saugumo priemonėmis siekiama užkirsti kelią leidimo neturintiems asmenims susipažinti su ESĮI:

a)	užtikrinant, kad ESĮI būtų tinkamai tvarkoma ir saugoma;

b)	sudarant sąlygas suskirstyti personalą pagal tai, kas gali susipažinti su ESĮI, remiantis principu „būtina žinoti“ ir atitinkamais atvejais – darbuotojų saugumo leidimais;

c)	atgrasant nuo neteisėtų veiksmų, sutrukdant jiems bei juos nustatant ir

d)	sutrukdant asmenims įsibrauti slaptai ar įsiveržti jėga arba juos užlaikant.

3.   Fizinio saugumo priemonės taikomos visose patalpose, pastatuose, kabinetuose, salėse ir kitose zonose, kuriose tvarkoma arba saugoma ESĮI, įskaitant zonas, kuriose įrengtos 5 skyriuje nurodytos ryšių ir informacinės sistemos.

4.   Zonos, kuriose saugoma CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnio lygio slaptumo žyma pažymėta ESĮI, įrengiamos kaip saugumo zonos laikantis šio skyriaus nuostatų ir patvirtinamos Komisijos saugumo akreditavimo institucijos.

5.   CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnio lygio slaptumo žyma pažymėtos ESĮI apsaugai naudojama tik Komisijos saugumo institucijos patvirtinta įranga ar prietaisai.

17 straipsnis

Fizinio saugumo reikalavimai ir priemonės

1.   Fizinio saugumo priemonės nustatomos remiantis grėsmių įvertinimu, kurį atlieka Komisijos saugumo institucija, prireikus konsultuodamasi su kitais Komisijos padaliniais, kitomis ES institucijomis, agentūromis arba įstaigomis ir (arba) kompetentingoms valstybių narių institucijoms. ESĮI apsaugai užtikrinti savo patalpose Komisija taiko rizikos valdymo procesą, kad užtikrintų, jog, atsižvelgiant į įvertintą riziką, būtų taikoma atitinkamo lygio fizinė apsauga. Rizikos valdymo procese atsižvelgiama į visus svarbius veiksnius, visų pirma:

a)	ESĮI slaptumo žymos lygį;

b)	ESĮI formą ir kiekį, atsižvelgiant į tai, kad dideliam ESĮI kiekiui ar rinkiniui apsaugoti gali reikėti taikyti griežtesnes apsaugos priemones;

c)	pastatus ar zonas, kuriose laikoma ESĮI, supančią aplinką ir jų struktūrą ir

d)	įvertintą žvalgybos tarnybų, kurių veikla nukreipta prieš Sąjungą, jos institucijas, įstaigas ar agentūras arba prieš valstybes nares, keliamą grėsmę ir grėsmę dėl sabotažo, terorizmo, ardomosios arba kitų rūšių nusikalstamos veikos.

2.   Komisijos saugumo institucija, taikydama nuodugnios apsaugos sąvoką, nustato tinkamas įgyvendintinas fizinio saugumo priemones. Tuo tikslu Komisijos saugumo institucija parengia būtiniausius standartus, normas ir kriterijus, nustatytus įgyvendinimo taisyklėse.

3.   Komisijos saugumo institucijai leidžiama apieškoti įeinančius ir išeinančius asmenis siekiant atgrasyti, kad į patalpas arba pastatus be leidimo nebūtų įnešama medžiaga arba iš jų be leidimo nebūtų išnešama ESĮI.

4.   Iškilus pavojui, kad ESĮI bus pamatyta, netgi atsitiktinai, atitinkami Komisijos padaliniai imasi tinkamų Komisijos saugumo institucijos nustatytų priemonių siekiant išvengti šio pavojaus.

5.   Naujos infrastruktūros atveju fizinio saugumo reikalavimai ir jos funkcinės specifikacijos apibrėžiami infrastruktūros planavimo ir projektavimo metu konsultuojantis su Komisijos saugumo institucija. Esamų infrastruktūrų fizinio saugumo reikalavimai įgyvendinami laikantis įgyvendinimo taisyklėse nustatytų būtiniausių standartų, normų ir kriterijų.

18 straipsnis

ESĮI fizinei apsaugai skirta įranga

1.   ESĮI fizinės apsaugos tikslais nustatomos dviejų tipų fiziškai apsaugotos zonos:

a)	administracinės zonos ir

b)	saugios zonos (įskaitant techniniu požiūriu saugias zonas).

2.   Komisijos saugumo akreditavimo institucija nustato, ar zona atitinka reikalavimus, kad būtų laikoma administracine zona, saugia zona ar techniniu požiūriu saugia zona.

3.   Administracinių zonų atveju:

a)	nustatomas aiškiai apribotas plotas, kad būtų galima tikrinti asmenis ir, jei įmanoma, transporto priemones;

b)	į šias zonas įeiti nelydimiems leidžiama tik tiems asmenims, kuriems Komisijos saugumo institucija ar bet kuri kita kompetentinga institucija suteikė tinkamą leidimą, ir

c)	visi kiti asmenys visą laiką lydimi arba jiems turi būti taikomos lygiavertės kontrolės priemonės.

4.   Saugių zonų atveju:

a)	nustatomas aiškiai apribotas ir saugomas plotas, per kurią kiekvienas įėjimas ir išėjimas yra kontroliuojamas naudojantis leidimų arba asmens atpažinimo sistema;

b)	į zoną įeiti nelydimiems leidžiama tik tiems asmenims, kurių patikimumas patikrintas ir kurie turi specialų leidimą įeiti į zoną, nes jiems „būtina žinoti“;

c)	visi kiti asmenys turi būti visą laiką lydimi arba jiems turi būti taikomos lygiavertės kontrolės priemonės.

5.   Tais atvejais, kai įėjus į saugią zoną galima visais praktiniais tikslais tiesiogiai susipažinti su joje laikoma įslaptinta informacija, taikomi tokie papildomi reikalavimai:

a)	aiškiai nurodomas paprastai zonoje laikomos informacijos aukščiausio slaptumo žymos lygis;

b)	visi lankytojai privalo turėti specialų leidimą, suteikiantį teisę įeiti į zoną, turi būti visą laiką lydimi ir jų patikimumas turi būti tinkamai patikrinamas, nebent imtasi priemonių užtikrinti, kad nebūtų įmanoma susipažinti su ESĮI.

6.   Nuo pasiklausymo apsaugotos saugios zonos klasifikuojamos kaip techniniu požiūriu saugios zonos. Taikomi šie papildomi reikalavimai:

a)	tokiose zonose įdiegiama įsibrovimo aptikimo sistema (ĮAS) ir, kai jose nedirbama, jos turi būti rakinamos, o kai dirbama – saugomos. Visi raktai valdomi vadovaujantis 20 straipsniu;

b)	visi į tokias zonas įeinantys asmenys ar įnešamos medžiagos kontroliuojami;

c)	tokios zonos reguliariai fiziškai ir (arba) techniškai tikrinamos Komisijos saugumo institucijos. Be to, tokie patikrinimai atliekami, kai į zoną buvo įeita be leidimo ar įtariama apie tokį įėjimą, ir

d)	tokiose zonose negali būti ryšių linijų, kurioms nesuteiktas leidimas, telefonų, kuriems nesuteiktas leidimas, ar kitų ryšių prietaisų bei elektros ar elektroninės įrangos, kuriems nesuteiktas leidimas.

7.   Nepaisant 6 punkto d papunkčio, prieš naudojantis ryšių prietaisais ir elektros ar elektronine įranga zonose, kuriose rengiami susitikimai ar atliekamas darbas, susijęs su SECRET UE/ES SECRET arba aukštesnio laipsnio slaptumo žyma pažymėta informacija, taip pat kai grėsmė ESĮI vertinama kaip didelė, tokius prietaisus ir įrangą visų pirma ištiria Komisijos saugumo institucija, siekdama užtikrinti, kad naudojantis šia įranga nebūtų galima perduoti jokios suprantamos informacijos per neapdairumą ar neteisėtai už saugios zonos ploto.

8.   Saugios zonos, kuriose nėra visą parą budinčio personalo, atitinkamais atvejais tikrinamos pasibaigus įprastoms darbo valandoms ir atsitiktiniais intervalais ne įprastomis darbo valandomis, išskyrus atvejus, kai įdiegta ĮAS.

9.   Siekiant surengti susitikimą, kuriame naudojama įslaptinta informacija, arba bet kokiu kitu panašiu tikslu administracinėje zonoje gali būti laikinai įrengtos saugios zonos ir techniniu požiūriu saugios zonos.

10.   Atitinkamo Komisijos padalinio VSP parengia kiekvienos saugios zonos, už kurią jis atsakingas, saugios eksploatacijos taisykles (SET), kuriose, laikantis šio sprendimo ir jo įgyvendinimo taisyklių, nurodoma:

a)	ESĮI, kuri gali būti tvarkoma ir saugoma toje zonoje, slaptumo žymos lygis;

b)	įdiegtinos stebėjimo ir apsaugos priemonės;

c)	kokiems asmenims leidžiama nelydimiems įeiti į zoną, vadovaujantis principu, kad jiems „būtina žinoti“, ir jų saugumo leidimais;

d)	atitinkamais atvejais palydos tvarka ir ESĮI apsaugos tvarka, kai kitiems asmenims leidžiama įeiti į zoną;

e)	bet kurios kitos atitinkamos priemonės ir procedūros.

11.   Saugiose zonose įrengiamos saugyklos. Sienos, grindys, lubos, langai ir durys su užraktais patvirtinamos Komisijos saugumo institucijos ir užtikrina apsaugą, kurią užtikrina apsauginės talpyklos, patvirtintos to paties lygio slaptumo žymos ESĮI saugoti.

19 straipsnis

Fizinės apsaugos priemonės tvarkant ir saugant ESĮI

1.   Slaptumo žyma RESTREINT UE/ES RESTRICTED pažymėta ESĮI gali būti tvarkoma:

a)	saugiose zonose;

b)	administracinėse zonose, jeigu ESĮI yra apsaugota taip, kad su ja negalėtų susipažinti leidimo neturintys asmenys, arba

c)	ne saugiose zonose ar administracinėse zonose, jeigu turėtojas gabena ESĮI pagal 31 straipsnį ir yra įsipareigojęs taikyti kompensacines priemones, nustatytas įgyvendinimo priemonėse, kad būtų užtikrinta, jog ESĮI yra apsaugota taip, kad su ja negalėtų susipažinti leidimo neturintys asmenys.

2.   Slaptumo žyma RESTREINT UE/ES RESTRICTED pažymėta ESĮI saugoma tinkamuose rakinamuose biuro balduose administracinėse zonose arba saugiose zonose. Ji gali būti laikinai saugoma ne administracinėse zonose arba ne saugiose zonose, jeigu turėtojas yra įsipareigojęs taikyti kompensacines priemones, nustatytas įgyvendinimo priemonėse.

3.   Slaptumo žyma CONFIDENTIEL UE/ES CONFIDENTIAL arba SECRET UE/ES SECRET pažymėta ESĮI gali būti tvarkoma:

a)	saugiose zonose;

b)	administracinėse zonose, jeigu ESĮI yra apsaugota taip, kad su ja negalėtų susipažinti leidimo neturintys asmenys, arba

c)

ne saugiose zonose ar administracinėse zonose, jeigu turėtojas: i) yra įsipareigojęs taikyti kompensacines priemones, nustatytas įgyvendinimo priemonėse, kad būtų užtikrinta, jog ESĮI yra apsaugota taip, kad su ja negalėtų susipažinti leidimo neturintys asmenys; ii) visą laiką asmeniškai kontroliuoja ESĮI ir iii) jei dokumentai yra popierinio pavidalo, apie tai pranešė atitinkamai registratūrai.

4.   Slaptumo žyma CONFIDENTIEL UE/ES CONFIDENTIAL ir SECRET UE/ES SECRET pažymėta ESĮI saugoma saugiose zonose esančiose apsauginėse talpyklose arba saugyklose.

5.   Slaptumo žyma TRES SECRET UE/ES TOP SECRET pažymėta ESĮI tvarkoma saugiose zonose, kurias sukuria ir tvarko Komisijos saugumo institucija ir kurias Komisijos saugumo akreditavimo institucija akredituoja kaip to saugias zonas.

6.   Slaptumo žyma TRES SECRET UE/ES TOP SECRET pažymėta ESĮI saugoma Komisijos saugumo akreditavimo institucijos akredituotose tokio lygio saugiose zonose laikantis kurios nors iš toliau nurodytų sąlygų:

a)

apsauginėje talpykloje laikantis 18 straipsnio nuostatų, taikant vieną ar kelias iš toliau nurodytų kontrolės priemonių: 1) nuolatinė apsauga arba tikrinimas, kurį vykdo apsaugos arba budintis personalas, kurio patikimumas patikrintas; 2) patvirtinta ĮAS kartu veikiant apsaugos reagavimo personalui arba

b)	saugykloje su įrengta ĮAS kartu veikiant apsaugos reagavimo personalui.

20 straipsnis

ESĮI apsaugai užtikrinti naudojamų raktų ir kodų kontrolė

1.   Kabinetų, patalpų, saugyklų ir apsauginių talpyklų raktų bei kodų valdymo procedūros nustatomos įgyvendinimo taisyklėse remiantis 60 straipsniu. Tokių procedūrų tikslas – apsaugoti nuo susipažinimo su informacija neturint leidimo.

2.   Kodus įsimena kuo mažesnis asmenų, kuriems būtina juos žinoti, skaičius. Apsauginių talpyklų ir saugyklų, kuriose saugoma ESĮI, kodai keičiami:

a)	gavus naują talpyklą;

b)	pasikeitus kodus žinančiam personalui;

c)	neteisėtai atskleidus kodus arba įtarus jų neteisėtą atskleidimą;

d)	po spynos techninio patikrinimo ar remonto ir

e)	bent kas 12 mėnesių.

4 SKYRIUS

ES ĮSLAPTINTOS INFORMACIJOS VALDYMAS

21 straipsnis

Pagrindiniai principai

1.   Visi ESĮI dokumentai turėtų būti tvarkomi laikantis Komisijos politikos dėl dokumentų tvarkymo, todėl jie turėtų būti užregistruojami, kataloguojami, saugomi ir galiausiai sunaikinami, atrenkami arba perduodami istoriniams archyvams laikantis bendro Europos Komisijos bylų saugojimo sąrašo.

2.   CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnio laipsnio slaptumo žyma pažymėta informacija saugumo tikslais registruojama prieš ją platinant ir ją gavus. Slaptumo žyma TRES SECRET UE/ES TOP SECRET pažymėta informacija registruojama tam skirtose registratūrose.

3.   Komisijos ESĮI registravimo sistema sukuriama remiantis 27 straipsnio nuostatomis.

4.   Komisijos padalinius ir patalpas, kuriuose ESĮI tvarkoma arba saugoma, reguliariai tikrina Komisijos saugumo institucija.

5.   Už fiziškai apsaugotų zonų ribų ESĮI iš vienos tarnybos į kitą ir iš vienų patalpų į kitas perduodama šiais būdais:

a)	paprastai ESĮI perduodama elektroninėmis priemonėmis apsaugant informaciją pagal 5 skyrių patvirtintomis kriptografinėmis priemonėmis;

b)

kai nenaudojamos a punkte nurodytos priemonės, ESĮI gabenama: i) elektroninėse laikmenose (pvz., USB atmintinėse, kompaktiniuose diskuose, kietuosiuose diskuose), informaciją apsaugant pagal 5 skyrių patvirtintomis kriptografinėmis priemonėmis, arba ii) visais kitais atvejais – kaip nurodyta įgyvendinimo taisyklėse.

22 straipsnis

Slaptumo ir kitos žymos

1.   Informacija įslaptinama tuo atveju, jei dėl jos konfidencialumo reikia ją apsaugoti pagal 3 straipsnio 1 dalį.

2.   ESĮI rengėjas atsako už slaptumo žymos lygio nustatymą pagal atitinkamas įgyvendinimo taisykles, įslaptinimo standartus ir gaires ir už pirminį informacijos platinimą.

3.   ESĮI slaptumo žymos lygis nustatomas vadovaujantis 3 straipsnio 2 dalimi ir susijusiomis įgyvendinimo nuostatomis.

4.   Slaptumo žyma nurodoma aiškiai ir teisingai, neatsižvelgiant į tai, ar ESĮI yra pateikiama popieriuje, žodžiu, elektronine ar bet kuria kita forma.

5.   Atskiroms dokumento dalims (t. y. puslapiams, pastraipoms, skirsniams, priedams ir priedėliams) gali būti suteikiamos skirtingos slaptumo žymos ir jos atitinkamai pažymimos, taip pat tais atvejais, kai jos saugomos elektronine forma.

6.   Dokumento ar dokumentų bylos bendras slaptumo žymos lygis nustatomas bent pagal aukščiausią slaptumo žymos lygį turinčią jų dalį. Kai renkama informacija iš įvairių šaltinių, galutinis dokumentas peržiūrimas siekiant nustatyti jo bendrą slaptumo žymos lygį, nes gali prireikti jam suteikti aukštesnį slaptumo žymos lygį nei jo dalims.

7.   Kiek įmanoma, dokumentams, kurių dalys pažymėtos skirtingo lygio slaptumo žymomis, suteikiama tokia struktūra, kad skirtingo lygio slaptumo žymomis pažymėtas dalis būtų galima lengvai nustatyti ir prireikus atskirti.

8.   Su priedais pateikiamų dokumentų slaptumo žymos laipsnis atitinka priedų aukščiausio laipsnio slaptumo žymas. Jei tokie dokumentai pateikiami atskirai nuo priedų, įslaptintos informacijos rengėjas aiškiai nurodo, koks slaptumo žymos lygis jiems suteikiamas, naudodamas atitinkamą žymą, pavyzdžiui:

CONFIDENTIEL UE/ES CONFIDENTIAL

Be priedo (-ų) RESTREINT UE/ES RESTRICTED

23 straipsnis

Žymos

Be vienos iš slaptumo žymų, nurodytų 3 straipsnio 2 dalyje, ESĮI gali būti pažymėta papildomomis žymomis, pavyzdžiui:

a)	identifikatoriumi, kuriuo nurodomas įslaptintos informacijos rengėjas;

b)	bet kuriomis žymomis, kodiniais žodžiais ar santrumpomis, kuriais nurodoma veiklos sritis, su kuria dokumentas yra susijęs, jo specialus platinimas vadovaujantis principu „būtina žinoti“ arba naudojimo apribojimai;

c)	paskirstymo žymomis;

d)	jei taikoma, nurodant datą ar konkretų įvykį, po kurio informacijos slaptumas gali būti sumažintas arba ji gali būti išslaptinta.

24 straipsnis

Žymų santrumpos

1.   Nurodant atskirų teksto pastraipų slaptumo žymos lygį gali būti naudojamos standartinės slaptumo žymų santrumpos. Santrumpos nepakeičia visais žodžiais nurodytų slaptumo žymų.

2.   ES įslaptintuose dokumentuose gali būti naudojamos šios standartinės santrumpos, kuriomis nurodomas skirsnių arba teksto dalių, užimančių mažiau nei vieną puslapį, slaptumo žymos lygis:

TRES SECRET UE/ES TOP SECRET	TS-UE/ES-TS
SECRET UE/ES SECRET	S-UE/ES-S
CONFIDENTIEL UE/ES CONFIDENTIAL	C-UE/ES-C
RESTREINT UE/ES RESTRICTED	R-UE/ES-R

25 straipsnis

ESĮI rengimas

1.   Rengiant ES įslaptintą dokumentą:

a)	kiekvienas puslapis aiškiai pažymimas slaptumo žyma;

b)	kiekvienas puslapis numeruojamas;

c)	dokumente nurodomas jo registracijos numeris ir tema, kurie nėra įslaptinta informacija, išskyrus tuos atvejus, kai jie pažymėti kaip įslaptinta informacija;

d)	dokumente nurodoma data;

e)	jei platinamos kelios dokumentų, pažymėtų SECRET UE/ES SECRET ar aukštesnio lygio slaptumo žyma, kopijos, kiekvienos iš jų kiekviename puslapyje nurodomas kopijos numeris.

2.   Kai rengiant ESĮI neįmanoma taikyti 1 dalyje išdėstytų reikalavimų, remiantis įgyvendinimo taisyklėmis taikomos kitos tinkamos priemonės.

26 straipsnis

ESĮI slaptumo mažinimas ir ESĮI išslaptinimas

1.   Įslaptintos informacijos rengėjas, kai įmanoma, rengdamas ESĮI nurodo, ar tam tikrą dieną arba po tam tikro įvykio galima sumažinti ESĮI slaptumą arba ją išslaptinti.

2.   Kiekviena Komisijos tarnyba reguliariai peržiūri savo parengtą ESĮI, siekdama įsitikinti, ar slaptumo žymos lygis vis dar taikomas. Įgyvendinimo taisyklėse nustatoma sistema, skirta Komisijos parengtos registruotos ESĮI slaptumo žymos lygiui peržiūrėti ne rečiau kaip kas penkerius metus. Tokia peržiūra nėra reikalinga, jeigu įslaptintos informacijos rengėjas iš pat pradžių nurodo, kad informacijos slaptumas bus sumažintas arba informacija išslaptinta automatiškai, o informacija buvo atitinkamai pažymėta.

3.   Komisijos parengta informacija, pažymėta slaptumo žyma RESTREINT UE/ES RESTRICTED, remiantis Reglamentu (EEB, Euratomas) Nr. 354/83 su pakeitimais, padarytais Tarybos reglamentu (EB, Euratomas) Nr. 1700/2003 (10) automatiškai laikoma visiškai išslaptinta praėjus trisdešimčiai metų.

27 straipsnis

ESĮI registravimo sistema Komisijoje

1.   Nedarant poveikio 52 straipsnio 5 daliai, kiekviename Komisijos padalinyje, kuriame tvarkoma arba saugoma ESĮI, pažymėta CONFIDENTIEL UE/ES CONFIDENTIAL ir SECRET UE/ES SECRET slaptumo žyma, nustatoma atsakinga vietinė ESĮI registratūra, siekiant užtikrinti, kad ESĮI būtų tvarkoma pagal šį sprendimą.

2.   Generalinio sekretoriato valdoma ESĮI registratūra yra centrinė Komisijos ESĮI registratūra. Ji veikia kaip:

—	vietinė Komisijos Generalinio sekretoriato ESĮI registratūra,

—	privačių Komisijos narių kabinetų ESĮI registratūra, išskyrus atvejus, kai jiems paskirta vietinė ESĮI registratūra,

—	generalinių direktoratų arba tarnybų, kuriose nėra vietinės ESĮI registratūros, ESĮI registratūra,

—

pagrindinis visos informacijos, pažymėtos RESTREINT UE/ES RESTRICTED ir aukštesne, įskaitant SECRET UE/ES SECRET, slaptumo žyma, kuria keičiasi Komisija ir jos tarnybos su trečiosiomis valstybėmis bei tarptautinėmis organizacijomis, bei, kai tai numatyta specialia tvarka, kitos Sąjungos institucijos, agentūros ir įstaigos, gavimo ir išsiuntimo punktas.

3.   Komisijos saugumo institucija Komisijoje įsteigia centrinę registratūrą, kuri veikia kaip centrinė slaptumo žyma TRES SECRET UE/ES TOP SECRET pažymėtą informaciją gaunanti ir siunčianti institucija. Prireikus gali būti paskirtos antrinės registratūros, kurios tvarko tokią informaciją jos registravimo tikslais.

4.   Antrinės registratūros negali perduoti slaptumo žyma TRES SECRET UE/ES TOP SECRET pažymėtų dokumentų tiesiogiai kitoms tos pačios centrinės TRES SECRET UE/ES TOP SECRET registratūros antrinėms registratūroms arba į išorę be aiškaus rašytinio centrinės registratūros leidimo.

5.   ESĮI registratūros įrengiamos kaip 3 skyriuje nurodytos saugios zonos ir akredituojamos Komisijos saugumo akreditavimo institucijos (SAI).

28 straipsnis

Registracijos kontrolės pareigūnas

1.   Kiekvieną ESĮI registratūrą valdo registracijos kontrolės pareigūnas (RKP).

2.   RKP turi tinkamą patikimumo pažymėjimą.

3.   RKP veiklą Komisijos padalinyje, susijusią su ESĮI dokumentų tvarkymo nuostatų taikymu ir atitinkamų saugumo taisyklių laikymusi, prižiūri vietos saugumo pareigūnas (VSP).

4.   ESĮI registratūros, į kurią paskirtas, valdymo užduotis vykdančiam RKP pagal šį sprendimą ir atitinkamas įgyvendinimo taisykles, standartus ir gaires tenka šios bendros užduotys:

—	valdyti veiksmus, susijusius su informacijos registravimu, saugojimu, kopijavimu, vertimu, perdavimu, siuntimu ir naikinimu arba perdavimu ESĮI istorinių archyvų tarnybai,

—	periodiškai tikrinti, ar būtina, kad informacija išliktų įslaptinta,

—	atlikti bet kokias kitas su ESĮI apsauga susijusias įgyvendinimo taisyklėse nustatytas užduotis.

29 straipsnis

ESĮI registravimas saugumo tikslais

1.   Šiame sprendime registravimas saugumo tikslais (toliau – registravimas) – procedūrų, kuriomis užregistruojamas ESĮI gyvavimo ciklas, įskaitant jos platinimą, taikymas.

2.   Organizacinis vienetas, gavęs CONFIDENTIEL UE/ES CONFIDENTIAL ir aukštesnio lygio slaptumo žyma pažymėtą informaciją ar medžiagą arba ją išsiuntęs, ją užregistruoja tam skirtose registratūrose.

3.   Kai ESĮI tvarkoma arba saugoma naudojant ryšių ir informacinę sistemą (RIS), registravimo procedūros gali būti atliekamos vykdant procesus pačioje RIS.

4.   Išsamesnės ESĮI registravimo saugumo tikslais nuostatos numatomos įgyvendinimo taisyklėse.

30 straipsnis

ES įslaptintų dokumentų kopijavimas ir vertimas

1.   Slaptumo žyma TRES SECRET UE/ES TOP SECRET pažymėti dokumentai kopijuojami arba verčiami tik gavus išankstinį rašytinį įslaptintos informacijos rengėjo sutikimą.

2.   Jeigu SECRET UE/ES SECRET arba žemesnio lygio slaptumo žyma pažymėtų dokumentų rengėjas nenustatė apribojimų dėl jų kopijavimo ar vertimo, dokumento turėtojo nurodymu tokius dokumentus galima kopijuoti arba versti.

3.   Dokumento kopijoms ir vertimams taikomos tokios pat saugumo priemonės kaip ir dokumento originalui.

31 straipsnis

ESĮI gabenimas

1.   ESĮI gabenama taip, kad pervežama būtų apsaugota nuo neteisėto atskleidimo.

2.   Gabenant ESĮI taikomos apsaugos priemonės, kurios:

—	atitinka gabenamos ESĮI slaptumo žymos lygį ir

—

pritaikytos prie ypatingų jos gabenimo sąlygų, visų pirma atsižvelgiant į tai, ar ESĮI gabenama: — Komisijos pastate arba uždaroje Komisijos pastatų grupėje, — tarp Komisijos pastatų, esančių toje pačioje valstybėje narėje, — Sąjungoje, — iš Sąjungos į trečiosios valstybės teritoriją ir — pritaikytos prie ESĮI pobūdžio ir formos.

3.   Šios apsaugos priemonės išsamiai nustatomos įgyvendinimo taisyklėse arba, kai įgyvendinami 42 straipsnyje nurodyti projektai ir programos, – yra neatsiejama atitinkamos programos ar projekto saugumo instrukcijų (PSI) dalis.

4.   Į įgyvendinimo taisykles arba PSI įtraukiamos nuostatos, atitinkančios ESĮI slaptumo žymos lygį, susijusios su:

—	gabenimo rūšimis, kaip antai, ar informaciją gabena kurjeris, diplomatinis arba karinis kurjeris, ar ji gabenama pašto tarnybomis arba komercinėmis kurjerių pašto tarnybomis,

—	ESĮI pakuotėmis,

—	techninėmis apsaugos priemonėmis, kai ESĮI gabenama elektroninėje laikmenoje,

—	bet kokiomis kitomis procedūrinėmis, fizinėmis arba elektroninėmis priemonėmis,

—	registravimo procedūromis,

—	saugumo leidimus turinčių darbuotojų naudojimu.

5.   Kai ESĮI gabenama elektroninėje laikmenoje ir nepaisant 21 straipsnio 5 dalies, atitinkamose įgyvendinimo taisyklėse nustatytos apsaugos priemonės gali būti papildytos Komisijos saugumo institucijos patvirtintomis techninėmis apsaugos priemonėmis, kad būtų sumažinta informacijos praradimo arba atskleidimo rizika.

32 straipsnis

ESĮI sunaikinimas

1.   Nebereikalingi ES įslaptinti dokumentai gali būti sunaikinti, laikantis teisės aktų dėl archyvų ir Komisijos dokumentų tvarkymo ir archyvavimo taisyklių bei nuostatų, visų pirma bendrojo visos Komisijos informacijos saugojimo sąrašo.

2.   Informacijos turėtojo arba kompetentingos institucijos nurodymu už ESĮI registratūrą atsakingas RKP sunaikina CONFIDENTIEL UE/ES CONFIDENTIAL ir aukštesnio lygio slaptumo žyma pažymėtą ESĮI. RKP atitinkamai atnaujina registrų knygos ir kitą registravimo informaciją.

3.   Dokumentus, pažymėtus SECRET UE/ES SECRET arba TRES SECRET UE/ES TOP SECRET slaptumo žyma, RKP naikina dalyvaujant liudytojui, kuris turi leidimą susipažinti su ne žemesnio už naikinamo dokumento slaptumo žymos lygio įslaptinta informacija.

4.   Už registrą atsakingas darbuotojas ir liudytojas, kai pastarojo dalyvavimas privalomas, pasirašo sunaikinimo aktą, kuris įtraukiamas į atitinkamą registrą. Už ESĮI registrą atsakingas RKP slaptumo žyma TRES SECRET UE/ES TOP SECRET pažymėtų dokumentų sunaikinimo aktus registre saugo ne trumpiau kaip dešimt metų, o CONFIDENTIEL UE/ES CONFIDENTIAL ir SECRET UE/ES SECRET slaptumo žyma pažymėtų dokumentų sunaikinimo aktus – ne trumpiau kaip penkerius metus.

5.   Įslaptinti dokumentai, įskaitant pažymėtus RESTREINT UE/ES RESTRICTED slaptumo žyma, sunaikinami įgyvendinimo taisyklėse nustatytais būdais, atitinkančiais atitinkamus ES arba lygiaverčius standartus.

6.   Įslaptintai informacijai saugoti naudotos kompiuterinių duomenų saugojimo laikmenos sunaikinamos laikantis įgyvendinimo taisyklėse nustatytų procedūrų.

33 straipsnis

ESĮI sunaikinimas ekstremaliosios padėties atveju

1.   ESĮI tvarkantys Komisijos padaliniai, atsižvelgdami į vietos sąlygas, parengia ES įslaptintos medžiagos apsaugojimo kriziniais atvejais planus, kurie prireikus gali apimti ir sunaikinimo ar evakuacijos ekstremaliosios padėties atveju planus. Juose pateikiami nurodymai, kurių reikia laikytis norint apsaugoti ESĮI nuo patekimo į leidimo ja naudotis neturinčių asmenų rankas.

2.   Priemonės, skirtos slaptumo žymomis CONFIDENTIEL UE/ES CONFIDENTIAL ir SECRET UE/ES SECRET pažymėtai medžiagai apsaugoti ir (arba) sunaikinti kriziniais atvejais, jokiomis aplinkybėmis neturi pakenkti medžiagos, pažymėtos slaptumo žyma TRES SECRET UE/ES TOP SECRET, apsaugai arba sutrukdyti ją, taip pat ir šifravimo įrangą sunaikinti – tai padaryti yra aukščiausio prioriteto užduotis.

3.   Ekstremaliosios padėties atveju, jei gresia tiesioginis neteisėto atskleidimo pavojus, ESĮI turėtojas sunaikina ją taip, kad ji negalėtų būti atkurta visa arba iš dalies. Rengėjas ir pirminė registratūra informuojami apie registruotos ESĮI sunaikinimą dėl ekstremaliosios padėties.

4.   Išsamesnės ESĮI naikinimo nuostatos numatomos įgyvendinimo taisyklėse.

5 SKYRIUS

ES ĮSLAPTINTOS INFORMACIJOS APSAUGA RYŠIŲ IR INFORMACINĖSE SISTEMOSE (RIS)

34 straipsnis

Pagrindiniai informacijos saugumo užtikrinimo principai

1.   Informacijos saugumo užtikrinimas (ISU) ryšių ir informacinių sistemų srityje – užtikrinimas, kad tokiose sistemose tvarkoma informacija bus apsaugota ir kad, valdant teisėtiems naudotojams, jos veiks taip, kaip turi veikti, ir tada, kada turi veikti.

2.   Veiksmingu informacijos saugumo užtikrinimu garantuojamas tinkamas lygis:

Autentiškumo	:	užtikrinimas, kad informacija yra tikra ir gauta iš bona fide šaltinių;
Prieinamumo	:	galimybė leidimą turinčiam subjektui pateikus prašymą gauti informaciją ir ja naudotis;
Konfidencialumo	:	savybė, kuri reiškia, kad informacija nėra atskleidžiama leidimo neturintiems asmenims ir subjektams arba panaudojama neteisėtiems procesams;
Vientisumo	:	savybė, kuri reiškia, kad apsaugomas turto ir informacijos tikslumas ir visuma;
Nepaneigiamumo	:	galimybė įrodyti, kad veiksmas buvo atliktas ar įvykis įvyko, kad šio įvykio ar veiksmo paskui to nebūtų galima užginčyti.

3.   ISU grindžiamas rizikos valdymo procesu.

35 straipsnis

Apibrėžtys

Šiame skyriuje vartojamų terminų apibrėžtys:

a)   akreditavimas– saugumo akreditavimo institucijos (SAI) suteiktas oficialus leidimas ir patvirtinimas, kad ryšių ir informacinės sistemos veiklos aplinkoje galima tvarkyti ESĮI; jis suteikiamas po oficialaus saugumo plano patvirtinimo ir tinkamo jo įgyvendinimo;

b)   akreditavimo procesas– būtini veiksmai ir užduotys, kuriuos privaloma atlikti siekiant gauti saugumo akreditavimo institucijos akreditavimą. Šie veiksmai bei užduotys nurodomi akreditavimo proceso standartuose;

c)   ryšių ir informacinė sistema (RIS)– sistema, sudaranti sąlygas tvarkyti informaciją elektroniniu būdu. Ryšių ir informacinė sistema apima visas sistemos dalis, kurių reikia jos veikimui užtikrinti, įskaitant infrastruktūrą, organizavimą, personalą ir informacijos išteklius;

d)   likutinė rizika– rizika, kuri lieka po to, kai buvo įgyvendintos saugumo priemonės, atsižvelgiant į tai, kad ne nuo visų grėsmių apsisaugoma ir ne visi pažeidžiamumo aspektai gali būti pašalinti;

e)   rizika– galimybė, kad tam tikros grėsmės atveju bus pasinaudota organizacijos ar sistemų vidiniu ir išoriniu pažeidžiamumu ir taip bus padaryta žala organizacijai ir jos materialiajam ar nematerialiajam turtui. Ji įvertinama atsižvelgiant į kylančios grėsmės tikimybę ir į jos poveikį;

f)   rizikos pripažinimas– valdant riziką priimtas sprendimas pripažinti, kad vis dar yra likutinė rizika;

g)   rizikos įvertinimas– grėsmių ir pažeidžiamų sričių nustatymas bei susijusios rizikos analizės, t. y. galimumo ir poveikio analizės, atlikimas;

h)   informavimas apie riziką– RIS vartotojų bendruomenės informuotumo apie riziką didinimas, patvirtinimo institucijų informavimas apie tokią riziką ir pranešimų vykdančiosioms institucijoms teikimas;

i)   rizikos valdymas– rizikos silpninimas, šalinimas, mažinimas (taikant tinkamas technines, fizines, organizacines arba procedūrines priemones), perkėlimas arba stebėjimas.

36 straipsnis

RIS, kuriose tvarkoma ESĮI

1.   RIS sistemose ESĮI tvarkoma laikantis ISU principo.

2.   RIS sistemoms, kuriose tvarkoma ESĮI, taikoma Komisijos informacinių sistemų saugumo politika, apibrėžta Komisijos sprendime C(2006) 3602 (11):

a)	įgyvendinant informacinių sistemų saugumo politiką visą informacinių sistemų gyvavimo ciklą taikomas principas „planuoti-daryti–tikrinti–veikti“;

b)	atliekant veiklos poveikio vertinimą turi būti nustatomi saugumo poreikiai;

c)	oficialiai klasifikuojamas informacinės sistemos inventorius ir joje kaupiami duomenys;

d)	privaloma taikyti visas privalomas saugumo priemones, nustatytas įgyvendinant informacinių sistemų saugumo politiką;

e)	privaloma taikyti rizikos valdymo procesą, kurį sudaro šie etapai: grėsmių ir pažeidžiamumo nustatymas, rizikos vertinimas, rizikos tvarkymas, rizikos pripažinimas ir informavimas apie riziką;

f)	rengiamas, įgyvendinamas, tikrinamas ir peržiūrimas saugumo planas, įskaitant saugumo politiką ir saugios eksploatacijos taisykles.

3.   Visi darbuotojai, dalyvaujantys kuriant, plėtojant, bandant, eksploatuojant, valdant ar naudojant RIS, kuriose tvarkoma ESĮI, SAS praneša apie visus galimus saugumo trūkumus, incidentus, pažeidimus arba neteisėto atskleidimo atvejus, kurie gali daryti poveikį RIS ir (arba) joje tvarkomos ESĮI apsaugai.

4.   Kai ESĮI apsauga užtikrinama kriptografinėmis priemonėmis, tokios priemonės patvirtinamos taip:

a)	pirmenybė teikiama priemonėms, kurias patvirtino Taryba arba Tarybos Generalinis sekretorius, vykdantis Tarybos kriptografijos patvirtinimo institucijos funkcijas, remdamiesi Komisijos saugumo ekspertų grupės rekomendacija;

b)	kai tai pateisinama konkrečiomis su veikla susijusiomis priežastimis, Komisijos kriptografijos patvirtinimo institucija (KPI) gali, remdamasi Komisijos saugumo ekspertų grupės rekomendacija, netaikyti a punkte nurodytų reikalavimų ir suteikti laikiną patvirtinimą tam tikram laikotarpiui.

5.   ESĮI perduodant, tvarkant ir saugant elektroninėmis priemonėmis, naudojamos patvirtintos kriptografinės priemonės. Nepaisant šio reikalavimo, esant ekstremaliajai padėčiai arba specifinių techninių konfigūracijų atvejais gali būti taikomos KPI patvirtintos specialios procedūros.

6.   Įgyvendinamos saugumo priemonės, siekiant apsaugoti RIS, kuriose tvarkoma CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnio lygio slaptumo žyma pažymėta informacija, kad tokia informacija negalėtų būti neteisėtai atskleista dėl netyčinio elektromagnetinio spinduliavimo (TEMPEST apsaugos priemonės). Tokios apsaugos priemonės turi būti proporcingos neteisėto pasinaudojimo informacija rizikai ir informacijos slaptumo žymos lygiui.

7.   Komisijos saugumo institucija vykdo šias funkcijas:

—	ISU institucijos (ISUI),

—	Saugumo akreditavimo institucijos (SAI),

—	TEMPEST institucijos (TEI),

—	Kriptografijos patvirtinimo institucijos (KPI),

—	Kriptografijos platinimo institucijos (KPLI).

8.   Komisijos saugumo institucija paskiria kiekvienos sistemos ISU operacinę instituciją.

9.   7 ir 8 dalyse nurodytų funkcijų vykdymo pareigos bus nustatytos įgyvendinimo taisyklėse.

37 straipsnis

RIS, kuriose tvarkoma ESĮI, akreditavimas

1.   Visų RIS, kuriose tvarkoma ESĮI, akreditavimo procesas vykdomas remiantis ISU principais, kurių išsamumo lygis turi atitikti reikiamą apsaugos lygį.

2.   Akreditavimo procesas apima oficialų Komisijos SAS pateikiamą atitinkamos RIS saugumo plano patvirtinimą siekiant įsitikinti, kad:

a)	buvo tinkamai atliktas 36 straipsnio 2 dalyje nurodytas rizikos valdymo procesas;

b)	sistemos savininkas žino apie likutinės rizikos pavojų ir su tuo sutinka ir

c)	laikantis šio sprendimo pasiektas pakankamas RIS ir joje tvarkomos ESĮI apsaugos lygis.

3.   Komisijos SAI išduoda akreditavimo pareiškimą, kuriame nurodytas aukščiausias ESĮI, kuri gali būti tvarkoma RIS, slaptumo žymos lygis ir atitinkami veiklos reikalavimai bei sąlygos. Tai nedaro poveikio Saugumo akreditavimo valdybos, apibrėžtos Europos Parlamento ir Tarybos reglamento (ES) Nr. 512/2014 (12) 11 straipsnyje, užduotims.

4.   Jungtinė saugumo akreditavimo valdyba (SAV) atsakinga už Komisijos RIS, kuriose dalyvauja keletas šalių, akreditavimą. Valdybą sudaro po vieną kiekvienos dalyvaujančios šalies SAI atstovą, o jos posėdžiams pirmininkauja Komisijos SAI atstovas.

5.   Akreditavimo procesą sudaro įvairios užduotys, kurias vykdo dalyvaujančios šalys. Už akreditavimo bylų ir dokumentų rengimą atsako tik sistemos RIS savininkas.

6.   Už akreditavimą atsakinga Komisijos SAI, kuri bet kuriuo RIS gyvavimo ciklo etapu turi teisę:

a)	reikalauti, kad būtų taikomas akreditavimo procesas;

b)	atlikti RIS auditą arba patikrą;

c)	jei nebesilaikoma veikimo sąlygų, reikalauti, kad per aiškiai apibrėžtą laikotarpį būtų nustatytas ir veiksmingai įgyvendinamas saugumo gerinimo planas, o jei reikia, panaikinti RIS veiklos leidimą, kol vėl bus laikomasi veikimo sąlygų.

7.   Akreditavimo procesas nustatomas RIS, kuriose tvarkoma ESĮI, akreditavimo proceso standarte, kuris patvirtinamas remiantis Komisijos sprendimo C(2006) 3602 10 straipsnio 3 dalimi.

38 straipsnis

Ekstremalioji padėtis

1.   Nepaisant šio skyriaus nuostatų, toliau apibūdintos specialios procedūros gali būti taikomos esant ekstremaliajai padėčiai, pavyzdžiui, gresiant ar esant krizei, konfliktui ar karinei padėčiai arba susidarius išskirtinėms veiklos sąlygoms.

2.   ESĮI gali būti perduodama naudojant kriptografines priemones, kurios buvo patvirtintos žemesnio įslaptinimo lygio informacijai, arba nešifruota kompetentingai institucijai pritarus, jei vėlavimas padarytų aiškiai didesnę žalą nei įslaptintos medžiagos atskleidimas ir jei:

a)	siuntėjas ir gavėjas neturi reikiamos šifravimo įrangos ir

b)	įslaptinta medžiaga negali būti laiku perduota kitomis priemonėmis.

3.   1 dalyje išdėstytomis aplinkybėmis perduodama įslaptinta informacija nėra žymima jokiomis žymomis arba nuorodomis, kurios sudarytų sąlygas ją atskirti nuo informacijos, kuri yra neįslaptinta arba kurią galima apsaugoti naudojant turimas kriptografines priemones. Gavėjams kitomis priemonėmis nedelsiant pranešama apie informacijos slaptumo lygį.

4.   Vėliau pateikiama ataskaita kompetentingai institucijai ir Komisijos saugumo ekspertų grupei.

6 SKYRIUS

PRAMONINIS SAUGUMAS

39 straipsnis

Pagrindiniai principai

1.   Pramoninis saugumas – priemonių taikymas, siekiant užtikrinti ESĮI apsaugą

a)	vykdant įslaptintas sutartis: i) kandidatų ar konkurso dalyvių užtikrinama apsauga pasiūlymų teikimo ir sutarčių sudarymo procedūros metu; ii) rangovų arba subrangovų užtikrinama apsauga per visą įslaptintų sutarčių gyvavimo ciklą;

b)	vykdant įslaptintus dotacijos susitarimus: i) pareiškėjų užtikrinama apsauga vykstant dotacijos skyrimo procedūroms; ii) dotacijos gavėjų užtikrinama apsauga per visą įslaptintų dotacijos susitarimų gyvavimo ciklą.

2.   Tokiose sutartyse arba dotacijos susitarimuose nenumatoma galimybė susipažinti su slaptumo žyma TRES SECRET UE/ES TOP SECRET pažymėta informacija.

3.   Išskyrus atvejus, kai nustatyta kitaip, šio skyriaus nuostatos, susijusios su įslaptintomis sutartimis ar rangovais, taip pat taikomos įslaptintoms subrangos sutartims ar subrangovams.

40 straipsnis

Apibrėžtys

Šiame skyriuje vartojamų terminų apibrėžtys:

a)   įslaptinta sutartis– Komisijos arba jos padalinio su rangovu sudaryta Tarybos reglamente (EB, Euratomas) Nr. 1605/2002 (13) nurodyta preliminarioji sutartis arba kilnojamojo arba nekilnojamojo turto tiekimo, darbų vykdymo arba paslaugų teikimo sutartis, kurią vykdant reikia rengti, tvarkyti arba saugoti ESĮI arba suteikiama galimybė ją rengti, tvarkyti arba saugoti;

b)   įslaptinta subrangos sutartis– Komisijos arba jos padalinio rangovo ir kito rangovo (t. y. subrangovo) sudaryta kilnojamojo arba nekilnojamojo turto tiekimo, darbų vykdymo arba paslaugų teikimo sutartis, kurią vykdant reikia rengti, tvarkyti arba saugoti ESĮI arba suteikiama galimybė ją rengti, tvarkyti arba saugoti;

c)   įslaptintas dotacijos susitarimas– susitarimas, kuriuo Komisija skiria dotaciją, kaip nurodyta Reglamento (EB, Euratomas) Nr. 1605/2002 I dalies VI antraštinėje dalyje, kurią vykdant reikia rengti, tvarkyti arba saugoti ESĮI arba suteikiama galimybė ją rengti, tvarkyti arba saugoti;

d)   paskirtoji saugumo institucija (PSI)– valstybės narės nacionalinei saugumo institucijai (NSI) atsakinga institucija, kuri atsako už pramonės ar kitų subjektų informavimą apie nacionalinę politiką visais pramoninio saugumo klausimais ir duoda nurodymus bei padeda ją įgyvendinti. PSI funkciją gali vykdyti NSI arba kita kompetentinga institucija.

41 straipsnis

Įslaptintoms sutartims arba dotacijos susitarimams taikoma procedūra

1.   Kiekvienas Komisijos padalinys, kaip perkančioji organizacija, užtikrina, kad, sudarant įslaptintas sutartis arba dotacijos susitarimus, sutartyse būtų paminėti arba įjuos įtraukti šiame skyriuje nustatyti būtiniausi pramoninio saugumo standartai ir kad jų būtų laikomasi.

2.   Taikant 1 dalį, kompetentingos Komisijos tarnybos konsultuojasi su Žmogiškųjų išteklių ir saugumo generaliniu direktoratu, visų pirma su Saugumo direktoratu, ir užtikrina, kad į pavyzdines sutartis ir subrangos sutartis bei pavyzdinius dotacijos susitarimus būtų įtraukiamos nuostatos dėl pagrindinių principų ir būtiniausių ESĮI apsaugos standartų, kurių turi laikytis rangovai ir subrangovai bei dotacijos gavėjai pagal susitarimus.

3.   Komisija glaudžiai bendradarbiauja su NSI, PSI ar kitomis kompetentingomis atitinkamų valstybių narių institucijomis.

4.   Kai perkančioji organizacija ketina pradėti procedūrą, kurios tikslas – sudaryti įslaptintą sutartį arba dotacijos susitarimą, visais procedūros etapais ji konsultuojasi su Komisijos saugumo institucija dėl klausimų, susijusių su įslaptintu procedūros pobūdžiu ir aspektais.

5.   Įslaptintų sutarčių ir subrangos sutarčių ir įslaptintų dotacijos susitarimų formos ir pavyzdžiai, skelbimų apie pirkimą turinys, gairės dėl aplinkybių, kuriomis reikalaujama Įmonės patikimumą patvirtinančio pažymėjimo (ĮPPP), programos arba projekto saugumo instrukcijos (PSI), saugumo aspektų paaiškinimai (SAP), vizitų nuostatos, ESĮI perdavimo ir gabenimo vykdant įslaptintas sutartis arba įslaptintus dotacijos susitarimus nuostatos pasikonsultavus su Komisijos saugumo ekspertų grupe nustatomos pramoninio saugumo įgyvendinimo taisyklėse.

6.   Komisija gali sudaryti įslaptintas sutartis arba dotacijos susitarimus, kuriuose ekonominės veiklos vykdytojams, registruotiems valstybėje narėje arba trečiojoje valstybėje, kuri yra sudariusi susitarimą arba administracinį susitarimą pagal šio sprendimo 7 skyrių, patikimos užduotys, kurioms atlikti reikia arba gali reikėti susipažinti su ESĮI arba ją tvarkyti ar saugoti.

42 straipsnis

Įslaptintos sutarties arba įslaptinto dotacijos susitarimo saugumo aspektai

1.   Į įslaptintas sutartis arba dotacijos susitarimus įtraukiami tokie saugumo aspektai:

Programos arba projekto saugumo instrukcijos

a)	Programos arba projekto saugumo instrukcijos (PSI) – saugumo procedūrų, kurios yra taikomos konkrečiai programai arba projektui siekiant standartizuoti saugumo procedūras, sąrašas. Jos gali būti tikslinamos įgyvendinant programą arba projektą;

b)	Žmogiškųjų išteklių ir saugumo generalinis direktoratas parengia bendrąsias PSI, o už programas arba projektus, kuriuose tvarkoma arba saugoma ESĮI, atsakingi Komisijos padaliniai, jei reikia, remdamiesi bendrosiomis PSI gali parengti konkrečias PSI;

c)

Konkrečios PSI visų pirma rengiamos įgyvendinant didelės svarbos, apimties arba sudėtingumo programas ir projektus, arba kai juose dalyvauja daug ir (arba) įvairių rangovų, dotacijos gavėjų ir kitų partnerių bei suinteresuotųjų šalių, pavyzdžiui, ypač dėl skirtingo jų teisinio statuso. Glaudžiai bendradarbiaudamas (-i) su Žmogiškųjų išteklių ir saugumo generaliniu direktoratu, konkrečias PSI rengia Komisijos padalinys (-iai), kuris (-ie) valdo programą ar projektą.

d)	Žmogiškųjų išteklių ir saugumo generalinis direktoratas su Komisijos saugumo ekspertų grupe konsultuojasi ir dėl bendrųjų, ir dėl konkrečių PSI.

Saugumo aspektų paaiškinimas

a)

Saugumo aspektų paaiškinimas (SAP) – specialių sutartinių sąlygų rinkinys, kurį parengia perkančioji organizacija ir kuris yra įslaptintos sutarties, pagal kurią gali būti susipažįstama su ESĮI arba tokia informacija gali būti rengiama, sudėtinė dalis; jame nurodomi saugumo reikalavimai ir tos sutarties dalys, kurių saugumą būtina užtikrinti;

b)	SAP aprašomi konkrečioms sutartims skirti saugumo reikalavimai. Prireikus į SAP įtraukiamas slaptumo žymų vadovas (SŽV). SAP yra neatsiejama įslaptintos sutarties, subrangos sutarties ar dotacijos susitarimo dalis;

c)

SAP nustatomos nuostatos, pagal kurias reikalaujama, kad rangovas arba dotacijos gavėjas laikytųsi būtiniausių šiame sprendime nustatytų standartų. Perkančioji organizacija užtikrina, kad SAP būtų nurodyta, jog šių būtiniausių standartų nesilaikymas gali būti pakankamas pagrindas sutarčiai arba dotacijos susitarimui nutraukti.

2.   Į PSI ir SAP įtraukiamas privalomas saugumo aspektas – SŽV:

a)

Slaptumo žymų vadovas (SŽV) – dokumentas, kuriame aprašomi programos, projekto, sutarties arba dotacijos susitarimo įslaptinti elementai, nurodant taikomus slaptumo žymų lygius. SŽV gali būti papildomas programos, projekto, sutarties arba dotacijos susitarimo vykdymo laikotarpiu, o informacijos dalims gali būti suteiktos naujos slaptumo žymos arba jų slaptumas gali būti sumažintas; tais atvejais, kai yra parengtas SŽV, jis yra SAP dalis.

b)

Prieš paskelbdamas kvietimą teikti pasiūlymus įslaptintai sutarčiai sudaryti arba prieš sudarydamas įslaptintą sutartį, Komisijos padalinys, kaip perkančioji institucija, nustato visos informacijos, kuri turi būti suteikta kandidatams ir konkurso dalyviams arba rangovams, slaptumo žymą, taip pat visos informacijos, kurią turi parengti rangovas, slaptumo žymą. Pasikonsultavęs su Komisijos saugumo institucija, tuo tikslu jis parengia SŽV, kuris turi būti naudojamas vykdant sutartį pagal šį sprendimą ir jo įgyvendinimo taisykles.

c)

Siekiant nustatyti skirtingų įslaptintos sutarties dalių slaptumo žymą, taikomi toliau nurodyti principai: i) rengdamas SŽV, Komisijos padalinys, kaip perkančioji institucija, atsižvelgia į visus svarbius saugumo aspektus, įskaitant slaptumo žymą, kurią informacijai priskyrė informacijos rengėjas ir kurią jis patvirtino kaip naudotiną tai sutarčiai; ii) bendras sutarties slaptumo žymos lygis negali būti žemesnis nei aukščiausia bet kurios jos dalies slaptumo žyma ir iii) atitinkamais atvejais, jei daromi pakeitimai, susiję su slaptumo žymų suteikimu informacijai, parengtai rangovų ar jiems suteiktai vykdant sutartį, ir jei daromi vėlesni SŽV pakeitimai, perkančioji institucija per Komisijos saugumo instituciją palaiko ryšius su valstybių narių NSI, PSI ar kitomis atitinkamomis kompetentingomis saugumo institucijomis.

43 straipsnis

Rangovų ir dotacijos gavėjų darbuotojų teisė susipažinti su ESĮI

Perkančioji institucija arba dotaciją skiriančioji institucija užtikrina, kad į įslaptintą sutartį arba įslaptintą dotacijos susitarimą būtų įtrauktos nuostatos, pagal kurias rangovo, subrangovo arba dotacijos gavėjo darbuotojai, kuriems vykdant įslaptintą sutartį, subrangos sutartį arba dotacijos susitarimą reikia susipažinti su ESĮI, turėtų galimybę susipažinti su tokia informacija, jei:

a)	jiems buvo išduotas atitinkamo lygio saugumo leidimas arba kitas tinkamas leidimas nustačius, kad jiems „būtina žinoti“;

b)	jie buvo informuoti apie ESĮI apsaugai užtikrinti taikomas saugumo taisykles ir patvirtino savo pareigą saugoti tokią informaciją;

c)	atitinkama NSI, PSI ar bet kuri kita kompetentinga institucija jiems išdavė atitinkamo lygmens asmens patikimumo pažymėjimus, suteikiančius teisę susipažinti su informacija, pažymėta CONFIDENTIEL UE/ES CONFIDENTIAL arba SECRET UE/ES SECRET slaptumo žyma.

44 straipsnis

Įmonės patikimumą patvirtinantis pažymėjimas

Įmonės patikimumą patvirtinantis pažymėjimas (ĮPPP)– NSI, PSI ar kitos kompetentingos saugumo institucijos išduotas administracinis patvirtinimas, kad saugumo požiūriu patalpose gali būti užtikrinta tinkama nurodyto slaptumo žymos lygio ESĮI apsauga.

2.   NSI, PSI ar kita kompetentinga valstybės narės saugumo institucija, laikydamasi nacionalinių įstatymų ir kitų teisės aktų, išduoda ĮPPP, kuriuo nurodoma, kad ekonominės veiklos vykdytojas savo patalpose gali apsaugoti atitinkamo slaptumo žyma (CONFIDENTIEL UE/ES CONFIDENTIAL arba SECRET UE/ES SECRET) pažymėtą ESĮI. Šis ĮPPP pateikiamas Komisijos saugumo institucijai, o ši jį perduoda Komisijos padaliniui, veikiančiam kaip perkančioji arba dotaciją skiriančioji institucija, prieš suteikiant kandidatui, konkurso dalyviui ar rangovui arba dotacijos gavėjui ESĮI arba galimybę susipažinti su ESĮI.

3.   Atitinkamais atvejais perkančioji institucija per Komisijos saugumo instituciją praneša atitinkamai NSI, PSI ar kitai kompetentingai saugumo institucijai, kad sutarčiai vykdyti reikalingas ĮPPP. ĮPPP arba APP reikalaujama turėti tais atvejais, kai viešųjų pirkimų arba dotacijos skyrimo procedūrų metu reikia suteikti ESĮI, pažymėtą CONFIDENTIEL UE/ES CONFIDENTIAL arba SECRET UE/ES SECRET slaptumo žyma.

4.   Perkančioji institucija arba dotaciją skiriančioji institucija nesudaro įslaptintos sutarties arba dotacijos susitarimo su konkurso laimėtoju arba dalyviu prieš tai negavusi valstybės narės, kurioje yra registruotas atitinkamas rangovas ar subrangovas, NSI, PSI ar kitos kompetentingos saugumo institucijos patvirtinimo, kad reikiamais atvejais yra išduotas tinkamas ĮPPP.

5.   Kai NSI, PSI ar kita kompetentinga ĮPPP išdavusi saugumo institucija Komisijos saugumo institucijai praneša apie pasikeitimus, turinčius įtakos ĮPPP, Komisijos saugumo institucija apie tai praneša Komisijos padaliniui, veikiančiam kaip perkančioji arba dotaciją skiriančioji institucija. Subrangos sutarties atveju apie tai atitinkamai informuojama NSI, PSI ar kita kompetentinga saugumo institucija.

6.   Jeigu atitinkama NSI, PSI ar kita kompetentinga saugumo institucija panaikina ĮPPP, tai yra pakankamas pagrindas, kad perkančioji arba dotaciją skiriančioji institucija nutrauktų įslaptintą sutartį arba pašalintų kandidatą, konkurso dalyvį arba paraiškos teikėją iš konkurso. Tokia nuostata įtraukiama į rengiamas pavyzdines sutartis ir dotacijos susitarimus.

45 straipsnis

Įslaptintoms sutartims ir dotacijos susitarimams taikomos nuostatos

1.   Tais atvejais, kai kandidatui, konkurso dalyviui arba paraiškos teikėjui ESĮI suteikiama vykstant viešųjų pirkimų, kvietimo pateikti pasiūlymus arba kvietimo teikti paraiškas procedūrai, numatoma nuostata, kuria pasiūlymo arba paraiškos nepateikęs arba neatrinktas kandidatas, konkurso dalyvis arba paraiškos teikėjas įpareigojamas per nurodytą laiką grąžinti visus įslaptintus dokumentus.

2.   Perkančioji arba dotaciją skiriančioji institucija per Komisijos saugumo instituciją praneša NSI, PSI ar kitai kompetentingai saugumo institucijai, kad sudaryta įslaptinta sutartis arba dotacijos susitarimas, ir perduoda susijusius duomenis, kaip antai rangovo (-ų) arba dotacijos gavėjų pavadinimus, sutarties trukmę ir aukščiausią informacijos įslaptinimo lygį.

3.   Kai tokia sutartis arba dotacijos susitarimas nutraukiami, perkančioji arba dotaciją skiriančioji institucija per Komisijos saugumo instituciją nedelsdamas praneša apie tai NSI, PSI ar kitai kompetentingai valstybės narės, kurioje yra įregistruotas rangovas arba dotacijos gavėjas, saugumo institucijai.

4.   Paprastai reikalaujama, kad, nutraukus įslaptintą sutartį ar įslaptintą dotacijos susitarimą arba dotacijos gavėjui nebedalyvaujant įgyvendinant įslaptintą sutartį ar įslaptintą dotacijos susitarimą, rangovas arba dotacijos gavėjas perkančiajai arba dotaciją skiriančiajai institucijai grąžintų visą turimą ESĮI.

5.   SAP nustatomos konkrečios nuostatos dėl ESĮI sunaikinimo vykdant įslaptintą sutartį arba įslaptintą dotacijos susitarimą arba juos nutraukus.

6.   Tais atvejais, kai rangovui arba dotacijos gavėjui suteikiamas leidimas nutraukus įslaptintą sutartį arba įslaptintą dotacijos susitarimą negrąžinti ESĮI, rangovas arba dotacijos gavėjas toliau laikosi šiame sprendime nustatytų būtiniausių standartų ir užtikrina ESĮI konfidencialumą.

46 straipsnis

Įslaptintoms sutartims taikomos konkrečios nuostatos

1.   ESĮI apsaugai svarbios sąlygos, kuriomis rangovas gali sudaryti subrangos sutartis, nurodomos kvietime teikti paraiškas ir įslaptintoje sutartyje.

2.   Prieš sudarydamas subrangos sutartis dėl įslaptintos sutarties dalių, rangovas turi gauti perkančiosios institucijos leidimą. Su trečiojoje šalyje registruotais subrangovais negali būti sudaromos sutartys, kurias vykdant reikia susipažinti su ESĮI, išskyrus atvejus, kai nustatoma 7 skyriuje numatyta informacijos saugumo reglamentavimo sistema.

3.   Rangovas atsako už tai, kad visa subrangos veikla būtų vykdoma laikantis šiame sprendime nustatytų būtiniausių standartų, ir negali suteikti subrangovui ESĮI be išankstinio rašytinio perkančiosios institucijos sutikimo.

4.   Komisija laikoma ESĮI, kurią parengė ar tvarko rangovas, rengėja, o rengėjo teisėmis naudojasi perkančioji institucija.

47 straipsnis

Su įslaptintomis sutartimis susiję vizitai

1.   Jei vykdant įslaptintą sutartį arba dotacijos susitarimą Komisijos darbuotojui arba rangovo ar dotacijos gavėjo personalui vienas kito patalpose reikia susipažinti su CONFIDENTIEL UE/ES CONFIDENTIAL arba SECRET UE/ES SECRET slaptumo žyma pažymėta informacija, dėl vizitų susitariama palaikant ryšius su NSI, PSI arba kita susijusia kompetentinga saugumo institucija. Apie tokius vizitus pranešama Komisijos saugumo institucijai. Tačiau įgyvendinant tam tikras programas arba projektus NSI, PSI arba kita kompetentinga saugumo institucija gali taip pat susitarti dėl tvarkos, pagal kurią dėl tokių vizitų gali būti susitariama tiesiogiai.

2.   Tam, kad būtų leista susipažinti su ESĮI, kuri susijusi su įslaptinta sutartimi, visi lankytojai turi turėti atitinkamą patikimumo pažymėjimą ir jiems turi būti „būtina žinoti“.

3.   Lankytojams leidžiama susipažinti tik su ta ESĮI, kuri yra susijusi su vizito tikslu.

4.   Išsamesnės nuostatos nustatomos įgyvendinimo taisyklėse.

5.   Privaloma laikytis šiame sprendime ir įgyvendinimo taisyklėse, nurodytose šio straipsnio 4 dalyje, numatytų vizitų, susijusių su įslaptintomis sutartimis, nuostatų.

48 straipsnis

ESĮI perdavimas ir gabenimas vykdant įslaptintas sutartis arba įslaptintus dotacijos susitarimus

1.   Perduodant ESĮI elektroninėmis priemonėmis taikomos atitinkamos šio sprendimo 5 skyriaus nuostatos.

2.   Gabenant ESĮI taikomos atitinkamos šio sprendimo 4 skyriaus nuostatos, laikantis nacionalinių įstatymų ir kitų teisės aktų.

3.   Nustatant įslaptintos medžiagos kaip krovinio gabenimui taikomą saugumo tvarką taikomi toliau nurodyti principai:

a)	saugumas užtikrinamas visuose gabenimo etapuose nuo išgabenimo vietos iki galutinės paskirties vietos;

b)	siuntai suteikiamas apsaugos lygis nustatomas pagal joje esančios medžiagos aukščiausią slaptumo žymos lygį;

c)	prieš gabenant per valstybių sienas medžiagą, pažymėtą CONFIDENTIEL UE/ES CONFIDENTIAL arba SECRET UE/ES SECRET slaptumo žyma, siuntėjas parengia, o atitinkamos NSI, PSI ar kitos kompetentingos saugumo institucijos patvirtina gabenimo planą;

d)	stengiamasi, kad kelionės vyktų be sustojimo ir būtų užbaigtos kuo greičiau, atsižvelgiant į aplinkybes;

e)	kai galima, turėtų būti pasirenkami maršrutai tik per valstybes nares. Maršrutais per valstybes, kurios nėra valstybės narės, turėtų būti gabenama tik gavus siuntėjo ir gavėjo valstybių NSI, PSI ar kitos kompetentingos saugumo institucijos leidimą.

49 straipsnis

ESĮI perdavimas trečiosiose valstybėse įsikūrusiems rangovams arba dotacijos gavėjams

Trečiosiose valstybėse įsikūrusiems rangovams ir dotacijos gavėjams ESĮI perduodama laikantis saugumo priemonių, dėl kurių susitarė Komisijos saugumo institucija, Komisijos padalinys, kaip perkančioji arba dotaciją skiriančioji institucija, ir atitinkamos trečiosios valstybės, kurioje registruotas rangovas arba dotacijos gavėjas, NSI, PSI ar kita kompetentinga saugumo institucija.

50 straipsnis

Informacijos, pažymėtos RESTREINT UE/ES RESTRICTED žyma, tvarkymas vykdant įslaptintas sutartis arba įslaptintus dotacijos susitarimus

1.   Įslaptintos informacijos, pažymėtos RESTREINT UE/ES RESTRICTED slaptumo žyma, tvarkomos ir saugomos pagal įslaptintas sutartis arba įslaptintus dotacijos susitarimus, apsauga grindžiama proporcingumo ir ekonominio efektyvumo principais.

2.   Vykdant įslaptintas sutartis arba įslaptintus dotacijos susitarimus, kai tvarkoma RESTREINT UE/ES RESTRICTED slaptumo žyma pažymėta informacija, nereikalaujama turėti ĮPPP arba APP.

3.   Kai pagal sutartį arba dotacijos susitarimą numatytas informacijos, pažymėtos RESTREINT UE/ES RESTRICTED slaptumo žyma, tvarkymas rangovo arba dotacijos gavėjo eksploatuojamoje RIS, perkančioji arba dotaciją skiriančioji institucija, pasikonsultavusi su Komisijos saugumo institucija, užtikrina, kad sutartyje arba dotacijos susitarime būtų nustatyti su RIS akreditavimu arba patvirtinimu susiję būtini techniniai ir administraciniai reikalavimai, kurie atitiktų įvertintą riziką, atsižvelgiant į visus svarbius veiksnius. Komisijos saugumo institucija ir atitinkama NSI ar PSI susitaria dėl tokio RIS akreditavimo arba patvirtinimo masto.

7 SKYRIUS

KEITIMASIS ĮSLAPTINTA INFORMACIJA SU KITOMIS SĄJUNGOS INSTITUCIJOMIS, AGENTŪROMIS, ĮSTAIGOMIS IR ORGANAIS, SU VALSTYBĖMIS NARĖMIS IR SU TREČIOSIOMIS VALSTYBĖMIS BEI TARPTAUTINĖMIS ORGANIZACIJOMIS

51 straipsnis

Pagrindiniai principai

1.   Komisijai arba vienam iš jos padalinių nusprendus, kad reikia keistis ESĮI su kita Sąjungos institucija, agentūra, įstaiga ar organu arba su trečiąja valstybe ar tarptautine organizacija, imamasi reikalingų priemonių, kad būtų nustatyta tam skirta tinkama teisinė arba administracinė sistema, į kurią gali būti įtraukiami susitarimai dėl informacijos saugumo arba administraciniai susitarimai, sudaryti laikantis atitinkamų teisės aktų.

2.   Nedarant poveikio 57 straipsniui, ESĮI su kita Sąjungos institucija, agentūra, įstaiga ar organu arba su trečiąja valstybe ar tarptautine organizacija gali būti keičiamasi tik jeigu nustatyta tokia tinkama teisinė arba administracinė sistema ir jeigu pateikta pakankamai garantijų, kad Sąjungos institucija, agentūra, įstaiga ar organas arba atitinkama trečioji valstybė ar tarptautinė organizacija taiko lygiaverčius pagrindinius įslaptintos informacijos apsaugos principus ir būtiniausius standartus.

52 straipsnis

Keitimasis ESĮI su kitomis Sąjungos institucijomis, agentūromis, įstaigomis ir organais

1.   Prieš sudarydama administracinį susitarimą dėl keitimosi ESĮI su kita Sąjungos institucija, agentūra, įstaiga ar organu, Komisija įsitikina, kad ta Sąjungos institucija, agentūra, įstaiga ar organas:

a)	yra nustatę ESĮI apsaugos reguliavimo sistemą, kurioje išdėstyti pagrindiniai principai ir būtiniausi standartai, lygiaverčiai nustatytiesiems šiame sprendime ir jo įgyvendinimo taisyklėse;

b)	taiko saugumo standartus ir asmens patikimumo, fizinio saugumo, ESĮI valdymo ir ryšių ir informacinių sistemų (RIS) saugumo gaires, kuriais užtikrinamas Komisijos taikomam apsaugos lygiui lygiavertis ESĮI apsaugos lygis;

c)	savo parengtą ESĮI žymi įslaptintos informacijos žymomis.

2.   Žmogiškųjų išteklių ir saugumo generalinis direktoratas, glaudžiai bendradarbiaudamas su kitais kompetentingais Komisijos padaliniais, vadovauja Komisijai sudarant administracinius susitarimus dėl keitimosi ESĮI su kitomis Sąjungos institucijomis, agentūromis, įstaigomis ar organais.

3.   Administraciniai susitarimai paprastai sudaromi pasikeičiant laiškais, kuriuos Komisijos vardu pasirašo Žmogiškųjų išteklių ir saugumo generalinis direktorius.

4.   Prieš sudarant administracinį susitarimą dėl keitimosi ESĮI, Komisijos saugumo institucija surengia įvertinimo vizitą, kurio tikslas – įvertinti ESĮI apsaugai skirtą reguliavimo sistemą ir įsitikinti, kad ESĮI apsaugos priemonės įgyvendinamos veiksmingai. Administracinis susitarimas įsigalioja ir ESĮI keičiamasi tik tuo atveju, jei šio įvertinimo vizito rezultatai yra patenkinami ir buvo laikomasi po vizito pateiktų rekomendacijų. Reguliariai rengiami tolesni įvertinimo vizitai, siekiant patikrinti, ar laikomasi administracinių susitarimų ir ar apsaugos priemonės vis dar atitinka nustatytus pagrindinius principus ir būtiniausius standartus.

5.   Generalinio sekretoriato valdoma Komisijos ESĮI registratūra paprastai yra pagrindinis įslaptintos informacijos, kuria keičiamasi su kitomis Sąjungos institucijomis, agentūromis, įstaigomis ir organais, gavimo ir išsiuntimo punktas. Tačiau tais atvejais, kai dėl saugumo, organizacinių arba veiklos priežasčių ESĮI apsaugai labiau tiktų vietinės ESĮI registratūros, remiantis šiuo sprendimu ir jo įgyvendinimo taisyklėmis Komisijos padaliniuose įsteigiamos tokios registratūros, kurios veikia kaip įslaptintos informacijos, susijusios su atitinkamų Komisijos padalinių kompetencijos klausimais, gavimo ir išsiuntimo punktai.

6.   Komisijos Saugumo ekspertų grupė informuojama apie administracinių susitarimų pagal 2 dalį sudarymo eigą.

53 straipsnis

Keitimasis ESĮI su valstybėmis narėmis

1.   ESĮI gali būti keičiamasi su valstybėms narėms ir ta informacija gali būti joms teikiama su sąlyga, kad valstybės narės saugos įslaptintą informaciją laikydamosi reikalavimų, taikomų lygiaverčio nacionalinės slaptumo žymos lygio ESĮI, kaip nustatyta I priede pateiktoje slaptumo žymų atitikmenų lentelėje.

2.   Valstybėms narėms nacionaline slaptumo žyma pažymėtą įslaptintą informaciją perdavus į Europos Sąjungos struktūras ar tinklus, Komisija tą informaciją saugo laikydamasi reikalavimų, taikomų lygiaverčio slaptumo žymos lygio ESĮI, kaip nustatyta I priede pateiktoje slaptumo žymų atitikmenų lentelėje.

54 straipsnis

Keitimasis ESĮI su trečiosiomis valstybėmis ir tarptautinėmis organizacijomis

1.   Kai Komisija nustato, kad yra ilgalaikis poreikis keistis įslaptinta informacija su trečiosiomis valstybėmis arba tarptautinėmis organizacijomis, imamasi reikalingų priemonių, kad būtų nustatyta tam skirta tinkama teisinė arba administracinė sistema, į kurią gali būti įtraukiami susitarimai dėl informacijos saugumo arba administraciniai susitarimai, sudaryti laikantis atitinkamų teisės aktų.

2.   Tokiuose 1 dalyje nurodytuose susitarimuose dėl informacijos saugumo ir administraciniuose susitarimuose numatomos nuostatos, kuriomis užtikrinama, kad trečiosioms valstybėms arba tarptautinėms organizacijoms gavus ESĮI ta informacija būtų saugoma atsižvelgiant į jos slaptumo žymos lygį, remiantis būtiniausiais standartais, kurie atitinka šiame sprendime nustatytus standartus.

3.   Komisija gali pagal 56 straipsnį sudaryti administracinius susitarimus tuomet, kai ESĮI slaptumo žymos lygis paprastai nėra aukštesnis nei RESTREINT UE/ES RESTRICTED.

4.   3 dalyje nurodytuose administraciniuose susitarimuose dėl keitimosi įslaptinta informacija numatomos nuostatos, kuriomis užtikrinama, kad trečiosioms valstybėms arba tarptautinėms organizacijoms gavus ESĮI ta informacija būtų saugoma atsižvelgiant į jos slaptumo žymos lygį, remiantis būtiniausiais standartais, kurie atitinka šiame sprendime nustatytus standartus. Dėl susitarimų dėl informacijos saugumo arba administracinių susitarimų sudarymo konsultuojamasi su Komisijos saugumo ekspertų grupe.

5.   Sprendimą suteikti Komisijos parengtą ESĮI trečiajai valstybei arba tarptautinei organizacijai priima tą ESĮI parengęs Komisijos padalinys, atskirai kiekvienu konkrečiu atveju atsižvelgdamas į tokios informacijos pobūdį ir turinį bei tai, ar gavėjui „būtina žinoti“, ir įvertinęs naudą Sąjungai. Jeigu Komisija nėra įslaptintos informacijos, kurią prašoma suteikti, arba pradinės medžiagos, kuri gali būti įtraukta į tą informaciją, rengėja, įslaptintą informaciją turintis Komisijos padalinys pirmiausia prašo jos rengėjo pateikti rašytinį sutikimą suteikti šią informaciją. Jei įslaptintos informacijos rengėjo neįmanoma nustatyti, įslaptintą informaciją turintis Komisijos padalinys, pasikonsultavęs su Komisijos saugumo ekspertų grupe, prisiima rengėjo atsakomybę.

55 straipsnis

Susitarimai dėl informacijos saugumo

1.   Susitarimai dėl informacijos saugumo su trečiosiomis valstybėmis arba tarptautinėmis organizacijomis sudaromi remiantis SESV 218 straipsniu.

2.   Susitarimuose dėl informacijos saugumo:

a)	nustatomi pagrindiniai principai ir būtiniausi standartai, reglamentuojantys Sąjungos ir trečiosios valstybės ar tarptautinės organizacijos keitimąsi įslaptinta informacija;

b)

numatomi techniniai įgyvendinimo susitarimai, dėl kurių turi susitarti atitinkamų Sąjungos institucijų ir įstaigų kompetentingos saugumo tarnybos ir kompetentinga atitinkamos trečiosios valstybės ar tarptautinės organizacijos saugumo institucija. Tokiuose susitarimuose atsižvelgiama į atitinkamoje trečiojoje valstybėje ar tarptautinėje organizacijoje galiojančiais saugumo nuostatais ir esamomis struktūromis bei procedūromis užtikrinamą apsaugos lygį;

c)	numatoma, kad prieš keičiantis įslaptinta informacija pagal susitarimą būtų užtikrinta, kad gaunančioji šalis atitinkamu būdu gali apsaugoti ir saugoti jai teikiamą įslaptintą informaciją.

3.   Kai remiantis 51 straipsnio 1 dalimi nustatoma, kad yra poreikis keistis įslaptinta informacija, Komisija prireikus konsultuojasi su Europos išorės veiksmų tarnyba, Tarybos generaliniu sekretoriatu ir kitomis Sąjungos institucijomis bei įstaigomis, kad nustatytų, ar reikia pateikti rekomendaciją pagal SESV 218 straipsnio 3 dalį.

4.   Keistis ESĮI elektroninėmis priemonėmis neleidžiama, jei tai nėra aiškiai numatyta susitarime dėl informacijos saugumo arba techniniuose įgyvendinimo susitarimuose.

5.   Generalinio sekretoriato valdoma Komisijos ESĮI registratūra paprastai yra pagrindinis įslaptintos informacijos, kuria keičiamasi su trečiosiomis valstybėmis ir tarptautinėmis organizacijomis, gavimo ir išsiuntimo punktas. Tačiau tais atvejais, kai dėl saugumo, organizacinių arba veiklos priežasčių ESĮI apsaugai labiau tiktų vietinės ESĮI registratūros, remiantis šiuo sprendimu ir jo įgyvendinimo taisyklėmis Komisijos padaliniuose įsteigiamos tokios registratūros, kurios veikia kaip įslaptintos informacijos, susijusios su atitinkamų Komisijos padalinių kompetencijos klausimais, gavimo ir išsiuntimo punktai.

6.   Siekiant įvertinti atitinkamos trečiosios valstybės ar tarptautinės organizacijos saugumo nuostatus, struktūras ir procedūras, Komisija, bendradarbiaudama su kitomis Sąjungos institucijomis, agentūromis arba įstaigomis, dalyvauja įvertinimo vizituose abipusiu susitarimu su atitinkama trečiąja valstybe ar tarptautine organizacija. Tokiuose įvertinimo vizituose įvertinama:

a)	įslaptintai informacijai apsaugoti taikoma reglamentavimo sistema;

b)	bet kurie konkretūs saugumo politikos ypatumai ir saugumo organizavimo tvarka trečiojoje valstybėje arba tarptautinėje organizacijoje, kurie galėtų daryti poveikį įslaptintos informacijos, kuria gali būti keičiamasi, slaptumo žymos lygiui;

c)	faktiškai taikomos saugumo priemonės ir procedūros ir

d)	patikimumo patikrinimo procedūros, susijusios su numatomos suteikti ESĮI slaptumo žymos lygiu.

56 straipsnis

Administraciniai susitarimai

1.   Kai, taikant Sąjungos politinę arba teisinę sistemą, yra ilgalaikis poreikis su trečiąja valstybe arba tarptautine organizacija keistis įslaptinta informacija, kurios slaptumo žymos lygis paprastai nebūna aukštesnis nei RESTREINT UE/ES RESTRICTED, ir kai Komisijos saugumo institucija po konsultacijų su Komisijos saugumo ekspertų grupe visų pirma nustato, kad atitinkama šalis neturi pakankamai išplėtotos saugumo sistemos, kad galėtų sudaryti susitarimą dėl informacijos saugumo, Komisija gali nuspręsti su atitinkamos trečiosios valstybės ar tarptautinės organizacijos atitinkamomis institucijomis sudaryti administracinį susitarimą.

2.   Tokie administraciniai susitarimai paprastai sudaromi pasikeičiant laiškais.

3.   Prieš sudarant susitarimą surengiamas įvertinimo vizitas. Komisijos saugumo ekspertų grupė informuojama apie įvertinimo vizito rezultatus. Jei esama išskirtinių priežasčių skubiai pasikeisti įslaptinta informacija, ESĮI gali būti suteikta su sąlyga, kad dedamos visos pastangos įvertinimo vizitą surengti kuo greičiau.

4.   Keistis ESĮI elektroninėmis priemonėmis neleidžiama, jei tai nėra aiškiai numatyta administraciniame susitarime.

57 straipsnis

ESĮI ad hoc suteikimas išimtine tvarka

1.   Jei nėra sudarytas susitarimas dėl informacijos saugumo arba administracinis susitarimas ir jei Komisija arba kuris nors jos padalinys nustato, kad taikant Sąjungos politinę arba teisinę sistemą išimtiniu atveju trečiajai valstybei arba tarptautinei organizacijai reikia suteikti ESĮI, Komisijos saugumo institucija kreipiasi į atitinkamos trečiosios valstybės arba tarptautinės organizacijos saugumo institucijas ir kiek įmanoma patikrina, ar jų saugumo nuostatai, struktūros bei procedūros užtikrina, jog joms suteikta ESĮI būtų saugoma taikant ne mažiau griežtus nei šiame sprendime nustatytieji standartus.

2.   Pasikonsultavusi su Komisijos saugumo ekspertų grupe, sprendimą suteikti ESĮI atitinkamai trečiajai valstybei arba tarptautinei organizacijai priima Komisija, remdamasi už saugumą klausimus atsakingo Komisijos nario pasiūlymu.

3.   Komisijai priėmus sprendimą suteikti ESĮI ir gavus išankstinį rašytinį rengėjo, įskaitant pradinės medžiagos, kuri gali būti įtraukta į tą informaciją, rengėjus, sutikimą, kompetentingas Komisijos padalinys perduoda atitinkamą informaciją, pažymėtą leidimo suteikti informaciją žyma, kurioje nurodyta trečioji valstybė arba tarptautinė organizacija, kuriai informacija buvo suteikta. Prieš suteikiant tokią informaciją arba faktinio jos suteikimo metu atitinkama trečioji šalis raštu įsipareigoja apsaugoti ESĮI, kurią ji gauna, pagal šiame sprendime nustatytus pagrindinius principus ir būtiniausius standartus.

8 SKYRIUS

BAIGIAMOSIOS NUOSTATOS

58 straipsnis

Ankstesnio sprendimo pakeitimas

Šis sprendimas panaikina ir pakeičia Komisijos sprendimą 2001/844/EB, EAPB, Euratomas (14).

59 straipsnis

Įslaptinta informacija, parengta iki šio sprendimo įsigaliojimo

1.   Visa ESĮI, įslaptinta pagal Sprendimą 2001/844/EB, EAPB, Euratomas, toliau saugoma pagal šio sprendimo atitinkamas nuostatas.

2.   Visa įslaptinta informacija, Komisijos turėta Sprendimo 2001/844/EB, EAPB, Euratomas įsigaliojimo dieną, išskyrus Euratomo įslaptintą informaciją:

a)	jei ji buvo parengta Komisijos, jos slaptumo žyma ir toliau laikoma pakeista į žymą RESTREINT UE, jei iki 2002 m. sausio 31 d. jos autorius nenusprendė suteikti informacijai kitos slaptumo žymos ir apie tai nepranešė visiems atitinkamo dokumento gavėjams;

b)	jei ji buvo parengta ne Komisijos autorių, išlaiko savo pradinę slaptumo žymą ir todėl laikoma lygiaverčio slaptumo žymos ESĮI, jei jos autorius nesutinka, kad informacija būtų išslaptinta arba kad jos slaptumas būtų sumažintas.

60 straipsnis

Įgyvendinimo taisyklės ir saugumo pranešimai

1.   Prireikus, visapusiškai laikantis vidaus darbo tvarkos taisyklių, šio sprendimo įgyvendinimo taisyklės priimamos atskiru Komisijos sprendimu dėl įgaliojimų suteikimo už saugumo reikalus atsakingam Komisijos nariui.

2.   Gavęs įgaliojimus pagal pirmiau minėtą Komisijos sprendimą, už saugumo reikalus atsakingas Komisijos narys gali rengti saugumo pranešimus, kuriuose nustatomos saugumo gairės ir geriausios praktikos pavyzdžiai šio sprendimo ir jo įgyvendinimo taisyklių taikymo srityje.

3.   Visapusiškai laikydamasi vidaus darbo tvarkos taisyklių, Komisija 1 ir 2 šio straipsnio dalyse minėtas užduotis atskiru sprendimu dėl įgaliojimų perdavimo gali pavesti Žmogiškųjų išteklių ir saugumo generalinio direktorato generaliniam direktoriui.

61 straipsnis

Įsigaliojimas

Šis sprendimas įsigalioja kitą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje.

---

(1)  Žr. 2004 m. gruodžio 31 d.„Arrangement entre le Gouvernement belge et le Parlement européen, le Conseil, la Commission, le Comité économique et social européen, le Comité des régions, la Banque européenne d'investissement en matière de sécurité“, 2007 m. sausio 20 d.„Accord de sécurité signé entre la Commission et le Gouvernement luxembourgeois“ ir 1959 m. liepos 22 d.„Accordo tra il Governo italiano e la Commissione europea dell'energia atomica (Euratomas) per l'istituzione di un Centro comune di ricerche nucleari di competenza generale“.

(2)  2002 m. sausio 23 d. Komisijos sprendimas 2002/47/EB, EAPB, Euratomas, iš dalies keičiantis jos darbo tvarkos taisykles (OL L 21, 2002 1 24, p. 23).

(3)  2004 m. liepos 7 d. Komisijos sprendimas 2004/563/EB, Euratomas, iš dalies keičiantis jos darbo tvarkos taisykles (OL L 251, 2004 7 27, p. 9).

(4)  1958 m. liepos 31 d. Reglamentas (Euratomas) Nr. 3, įgyvendinantis Europos atominės energijos bendrijos steigimo sutarties 24 straipsnį (OL 17, 1958 10 6, p. 406/58).

(5)  2001 m. gegužės 30 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 1049/2001 dėl galimybės visuomenei susipažinti su Europos Parlamento, Tarybos ir Komisijos dokumentais (OL L 145, 2001 5 31, p. 43).

(6)  2000 m. gruodžio 18 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 45/2001 dėl asmenų apsaugos Bendrijos institucijoms ir įstaigoms tvarkant asmens duomenis ir laisvo tokių duomenų judėjimo (OL L 8, 2001 1 12, p. 1).

(7)  1983 m. vasario 1 d. Tarybos reglamentas (EEB, Euratomas) Nr. 354/83 dėl Europos ekonominės bendrijos ir Europos atominės energijos bendrijos istorinių archyvų atvėrimo visuomenei (OL L 43, 1983 2 15, p. 1).

(8)  2015 m. kovo 13 d. Komisijos sprendimas (ES, Euratomas) 2015/443 dėl Komisijos saugumo (žr. šio Oficialiojo leidinio p. 41).

(9)  1968 m. vasario 29 d. Tarybos reglamentas (EEB, Euratomas, EAPB) Nr. 259/68, nustatantis Europos Bendrijų pareigūnų tarnybos nuostatus ir kitų Europos Bendrijų tarnautojų įdarbinimo sąlygas bei Komisijos pareigūnams laikinai taikomas specialias priemones (Kitų tarnautojų įdarbinimo sąlygos) (OL L 56, 1968 3 4, p. 1).

(10)  2003 m. rugsėjo 22 d. Tarybos reglamentas (EB, Euratomas) Nr. 1700/2003, iš dalies keičiantis Reglamentą (EEB, Euratomas) Nr. 354/83 dėl Europos ekonominės bendrijos ir Europos atominės energijos bendrijos istorinių archyvų atvėrimo visuomenei (OL L 243, 2003 9 27, p. 1).

(11)  2006 m. rugpjūčio 16 d. Sprendimas C(2006) 3602 dėl Europos Komisijos naudojamų informacinių sistemų saugumo.

(12)  2014 m. balandžio 16 d. Europos Parlamento ir Tarybos reglamentas (ES) Nr. 512/2014, kuriuo iš dalies keičiamas Reglamentas (ES) Nr. 912/2010, kuriuo įsteigiama Europos GNSS agentūra (OL L 150, 2014 5 20, p. 72).

(13)  2002 m. birželio 25 d. Tarybos reglamentas (EB, Euratomas) Nr. 1605/2002 dėl Europos Bendrijų bendrajam biudžetui taikomo Finansinio reglamento (OL L 248, 2002 9 16, p. 1).

(14)  2001 m. lapkričio 29 d. Komisijos sprendimas 2001/844/EB, EAPB, Euratomas, iš dalies keičiantis jos darbo tvarkos taisykles (OL L 317, 2001 12 3, p. 1).

---

---

---

---