Akt prawny
obowiązujący
Wersja aktualna od 2021-07-01
Wersja aktualna od 2021-07-01
obowiązujący
Alerty
DECYZJA RADY
z dnia 23 września 2013 r.
w sprawie przepisów bezpieczeństwa dotyczących ochrony informacji niejawnych UE
(2013/488/UE)
(ostatnia zmiana: DUUEL. z 2021 r., Nr 233, poz. 1) Pokaż wszystkie zmiany
RADA UNII EUROPEJSKIEJ,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 240 ust. 3,
uwzględniając decyzję Rady 2009/937/UE z dnia 1 grudnia 2009 r. dotyczącą przyjęcia regulaminu wewnętrznego Rady (1), w szczególności jej art. 24,
mając na uwadze, co następuje:
(1) Aby rozwinąć działania Rady we wszystkich dziedzinach wymagających wykorzystywania informacji niejawnych, właściwe jest utworzenie kompleksowego systemu bezpieczeństwa służącego ochronie informacji niejawnych, który obejmie Radę, jej Sekretariat Generalny oraz państwa członkowskie.
(2) Niniejsza decyzja powinna mieć zastosowanie do przypadków, gdy Rada, jej organy przygotowawcze oraz Sekretariat Generalny Rady (SGR) wykorzystują informacje niejawne UE (EUCI).
(3) Zgodnie z krajowymi przepisami ustawowymi i wykonawczymi i w zakresie, jaki jest niezbędny do funkcjonowania Rady, w przypadkach gdy właściwe organy, pracownicy lub wykonawcy z państw członkowskich wykorzystują EUCI, państwa członkowskie powinny przestrzegać przepisów niniejszej decyzji, tak aby każda ze stron mogła mieć pewność, że zagwarantowany został równoważny poziom ochrony EUCI.
(4) Rada, Komisja i Europejska Służba Działań Zewnętrznych (ESDZ) są zdecydowane stosować równoważne normy bezpieczeństwa w celu ochrony EUCI.
(5) Rada podkreśla znaczenie włączania się, w stosownych przypadkach, Parlamentu Europejskiego i innych instytucji, organów lub jednostek organizacyjnych Unii w przestrzeganie zasad, norm i przepisów dotyczących ochrony informacji niejawnych, które są niezbędne do ochrony interesów Unii i jej państw członkowskich.
(6) Rada powinna określić odpowiednie ramy wymiany EUCI będących w posiadaniu Rady z innymi instytucjami, organami lub jednostkami organizacyjnymi Unii, w stosownych przypadkach, zgodnie z niniejszą decyzją i obowiązującymi ustaleniami międzyinstytucjonalnymi.
(7) Organy i agencje Unii utworzone na mocy tytułu V rozdział 2 Traktatu o Unii Europejskiej (TUE), Europol i Eurojust powinny stosować w ramach swoich struktur wewnętrznych podstawowe zasady i minimalne normy określone w niniejszej decyzji w celu ochrony EUCI, jeżeli przewiduje to akt, na mocy którego zostały ustanowione.
(8) Do operacji zarządzania kryzysowego ustanawianych na mocy tytułu V rozdział 2 TUE oraz do personelu biorącego w nich udział powinny mieć zastosowanie przepisy bezpieczeństwa przyjęte przez Radę w celu ochrony EUCI, jeżeli przewiduje to akt Rady, na mocy którego zostały ustanowione.
(9) Specjalni przedstawiciele UE i członkowie ich zespołów powinni stosować przepisy bezpieczeństwa przyjęte przez Radę w celu ochrony EUCI, jeżeli przewiduje to stosowny akt Rady.
(10) Niniejsza decyzja jest przyjmowana bez uszczerbku dla art. 15 i 16 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE) oraz aktów prawnych służących wykonaniu tych artykułów.
(11) Niniejsza decyzja jest przyjmowana bez uszczerbku dla istniejących w państwach członkowskich praktyk w zakresie powiadamiania parlamentów krajowych o działaniach Unii.
(12) Aby zapewnić terminowe rozpoczęcie stosowania przepisów bezpieczeństwa w celu ochrony EUCI w związku z przystąpieniem do Unii Europejskiej Republiki Chorwacji, niniejsza decyzja powinna wejść w życie z dniem jej opublikowania,
PRZYJMUJE NINIEJSZĄ DECYZJĘ:
Artykuł 1
Cel, zakres stosowania i definicje
1. Niniejsza decyzja określa podstawowe zasady i minimalne normy bezpieczeństwa służące ochronie EUCI.
2. Te podstawowe zasady i minimalne normy bezpieczeństwa mają zastosowanie do Rady i SGR oraz przestrzegane są przez państwa członkowskie zgodnie z ich krajowymi przepisami ustawowymi i wykonawczymi, tak aby każda ze stron mogła mieć pewność, że zagwarantowany został równoważny poziom ochrony EUCI.
3. Do celów niniejszej decyzji zastosowanie mają definicje zamieszczone w dodatku A.
Artykuł 2
Definicja EUCI, klauzule tajności i oznaczenia
1. „Informacje niejawne UE” (EUCI) oznaczają wszelkie informacje lub materiały objęte klauzulą tajności UE, których nieuprawnione ujawnienie mogłoby w różnym stopniu wyrządzić szkodę interesom Unii Europejskiej lub interesom co najmniej jednego państwa członkowskiego.
2. EUCI otrzymują jedną z następujących klauzul tajności:
a) TRÈS SECRET UE/EU TOP SECRET: informacje i materiały, których nieuprawnione ujawnienie mogłoby wyrządzić wyjątkowo poważną szkodę podstawowym interesom Unii Europejskiej lub co najmniej jednego państwa członkowskiego;
b) SECRET UE/EU SECRET: informacje i materiały, których nieuprawnione ujawnienie mogłoby poważnie zaszkodzić podstawowym interesom Unii Europejskiej lub co najmniej jednego państwa członkowskiego;
c) CONFIDENTIEL UE/EU CONFIDENTIAL: informacje i materiały, których nieuprawnione ujawnienie mogłoby zaszkodzić podstawowym interesom Unii Europejskiej lub co najmniej jednego państwa członkowskiego;
d) RESTREINT UE/EU RESTRICTED: informacje i materiały, których nieuprawnione ujawnienie mogłoby być niekorzystne dla interesów Unii Europejskiej lub co najmniej jednego państwa członkowskiego.
3. EUCI nadaje się klauzulę tajności zgodnie z ust. 2. Można nadać im dodatkowe oznaczenie wskazujące na dziedzinę działalności, do której się odnoszą, na wytwórcę, ograniczenia dystrybucji, ograniczenia wykorzystania lub możliwość ujawnienia.
Artykuł 3
Oznaczanie klauzulami tajności
1. Właściwe organy zapewniają, by EUCI nadawano odpowiednie klauzule tajności, by informacje takie były wyraźnie oznaczone jako informacje niejawne, a także by były one objęte danym poziomem klauzuli tajności nie dłużej, niż jest to konieczne.
2. Do obniżenia lub zniesienia klauzuli tajności nadanej EUCI oraz do zmiany lub usunięcia oznaczeń, o których mowa w art. 2 ust. 3, potrzebna jest uprzednia pisemna zgoda wytwórcy.
3. Rada zatwierdza politykę bezpieczeństwa w zakresie wytwarzania EUCI, która obejmuje praktyczny przewodnik nadawania klauzul tajności.
Artykuł 4
Ochrona informacji niejawnych
1. EUCI są chronione zgodnie z niniejszą decyzją.
2. Posiadacz jakichkolwiek EUCI jest odpowiedzialny za ich ochronę zgodnie z niniejszą decyzją.
3. Jeżeli państwa członkowskie wprowadzają do struktur lub sieci Unii informacje niejawne, którym nadano krajową klauzulę tajności, Rada i SGR obejmują te informacje ochroną zgodnie z wymogami, które mają zastosowanie do EUCI o równorzędnej klauzuli tajności – zgodnie z tabelą równorzędności klauzul tajności zamieszczoną w dodatku B.
4. Uzasadnione może być objęcie zagregowanych EUCI ochroną na poziomie właściwym dla wyższej klauzuli tajności niż klauzula nadana poszczególnym składnikom tego zbioru.
Artykuł 5
Zarządzanie ryzykiem dla bezpieczeństwa
1. Zarządzanie ryzykiem naruszenia EUCI przebiega w ramach określonego procesu. Proces ten jest ukierunkowany na określenie znanych rodzajów ryzyka naruszenia zasad bezpieczeństwa, środków bezpieczeństwa służących zmniejszeniu tego ryzyka do akceptowalnego poziomu zgodnie z podstawowymi zasadami i minimalnymi normami bezpieczeństwa przedstawionymi w niniejszej decyzji oraz na zastosowanie tych środków zgodnie z koncepcją ochrony w głąb, zdefiniowaną w dodatku A. Skuteczność takich środków jest stale oceniana.
2. Środki bezpieczeństwa służące ochronie EUCI na wszystkich etapach ich cyklu życia są proporcjonalne w szczególności do ich klauzuli tajności, formy, ilości informacji lub materiałów, lokalizacji i konstrukcji obiektów, w których się znajdują, oraz oceny zagrożenia wystąpieniem w tym miejscu działań realizowanych w złych zamiarach lub działalności przestępczej, takiej jak działalność szpiegowska, sabotażowa lub terrorystyczna.
3. Plany awaryjne uwzględniają potrzebę ochrony EUCI podczas sytuacji nadzwyczajnych w celu zapobieżenia nieuprawnionemu dostępowi do informacji, ich ujawnieniu lub utracie ich integralności lub dostępności.
4. W planach ciągłości działania zamieszczane są środki zapobiegawcze i naprawcze służące zminimalizowaniu skutków poważnych niedopatrzeń lub incydentów związanych z wykorzystywaniem EUCI oraz z ich przechowywaniem.
Artykuł 6
Wykonanie niniejszej decyzji
1. Jeżeli to konieczne, Rada na zalecenie Komitetu ds. Bezpieczeństwa zatwierdza polityki bezpieczeństwa przewidujące środki służące wykonaniu niniejszej decyzji.
2. Komitet ds. Bezpieczeństwa może na swoim poziomie uzgodnić wytyczne dotyczące bezpieczeństwa, które będą uzupełniać lub wspierać niniejszą decyzję i wszelkie polityki bezpieczeństwa zatwierdzone przez Radę.
Artykuł 7
Bezpieczeństwo osobowe
1. Bezpieczeństwo osobowe oznacza stosowanie środków zapewniających, aby dostęp do EUCI był przyznawany tylko osobom, które:
– spełniają zasadę ograniczonego dostępu,
– w stosownych przypadkach zostały odpowiednio sprawdzone do celów dostępu do informacji o odpowiedniej klauzuli tajności, oraz
– zostały poinformowane o swoich obowiązkach.
2. Procedury prowadzenia postępowań sprawdzających mają na celu stwierdzenie, czy daną osobę, ze względu na jej lojalność, wiarygodność i rzetelność, można uprawnić do dostępu do EUCI.
3. Wszystkie osoby pracujące w SGR, których obowiązki wymagają dostępu do EUCI o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższej lub też wymagają posługiwania się takimi EUCI, są przed uzyskaniem dostępu do takich EUCI odpowiednio sprawdzane do tych celów. Osoby takie muszą uzyskać zgodę organu powołującego SGR na dostęp do EUCI do określonego poziomu klauzuli tajności i do określonej daty.
4. Pracownicy państw członkowskich, o których mowa w art. 15 ust. 3, których obowiązki mogą wymagać dostępu do EUCI o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższej, są przed uzyskaniem dostępu do takich EUCI odpowiednio sprawdzani do celów dostępu do informacji o odpowiedniej klauzuli tajności lub otrzymują inne odpowiednie upoważnienie ze względu na pełnione przez siebie funkcje, zgodnie z krajowymi przepisami ustawowymi i wykonawczymi.
5. Przed uzyskaniem dostępu do EUCI, a następnie w regularnych odstępach czasu wszystkie osoby informowane są o obowiązku ochrony tych informacji zgodnie z niniejszą decyzją i potwierdzają znajomość tego obowiązku.
6. Przepisy dotyczące wykonania niniejszego artykułu znajdują się w załączniku I.
Artykuł 8
Bezpieczeństwo fizyczne
1. Bezpieczeństwo fizyczne oznacza stosowanie fizycznych i technicznych środków ochrony, aby zapobiec nieuprawnionemu dostępowi do EUCI.
2. Środki bezpieczeństwa fizycznego mają na celu zapobieżenie wtargnięciu osoby nieupoważnionej, w sposób niezauważony lub z użyciem siły, powstrzymanie od podjęcia nieuprawnionych działań, udaremnienie ich i wykrycie oraz umożliwienie podziału pracowników pod względem dostępu do EUCI zgodnie z zasadą ograniczonego dostępu. Środki te określane są na podstawie procesu zarządzania ryzykiem.
3. Środkami bezpieczeństwa fizycznego obejmuje się wszystkie obiekty, budynki, biura, pomieszczenia i inne strefy, w których są wykorzystywane lub przechowywane EUCI, w tym strefy, w których znajdują się systemy teleinformatyczne określone w art. 10 ust. 2.
4. Strefy, w których przechowywane są EUCI o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższej, ustanawiane są strefami bezpieczeństwa zgodnie z załącznikiem II; strefy takie zatwierdza właściwy organ bezpieczeństwa.
5. Do ochrony EUCI o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższej stosuje się wyłącznie zatwierdzony sprzęt lub zatwierdzone urządzenia.
6. Przepisy dotyczące wykonania niniejszego artykułu znajdują się w załączniku II.
Artykuł 9
Zarządzanie informacjami niejawnymi
1. Zarządzanie informacjami niejawnymi polega na stosowaniu środków administracyjnych służących kontroli EUCI na wszystkich etapach ich cyklu życia w uzupełnieniu środków przewidzianych w art. 7, 8 i 10, co ma pomóc w powstrzymywaniu od zamierzonego lub przypadkowego narażenia na szwank bezpieczeństwa tych informacji lub ich utraty i w wykrywaniu takich przypadków. Środki takie dotyczą w szczególności wytwarzania, rejestracji, kopiowania, tłumaczenia, obniżania klauzuli tajności i znoszenia tej klauzuli, przemieszczania i niszczenia EUCI.
2. Informacje niejawne o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższej są ze względów bezpieczeństwa rejestrowane przed dystrybucją i w momencie wpłynięcia. Właściwe organy SGR i państw członkowskich ustanawiają do tego celu system kancelarii tajnych. Informacje niejawne o klauzuli tajności TRÈS SECRET UE/EU TOP SECRET rejestruje się w wyznaczonych kancelariach tajnych.
3. Jednostki organizacyjne i obiekty, w których są wykorzystywane lub przechowywane EUCI, poddawane są regularnym inspekcjom przeprowadzanym przez właściwy organ bezpieczeństwa.
4. Poza strefami chronionymi fizycznie EUCI są przekazywane między jednostkami organizacyjnymi i obiektami w sposób następujący:
a) z reguły EUCI są przekazywane drogą elektroniczną chronioną przy użyciu produktów kryptograficznych zatwierdzonych zgodnie z art. 10 ust. 6;
b) gdy sposób, o którym mowa w lit. a), nie jest wykorzystywany, EUCI są przekazywane:
(i) za pomocą środków elektronicznych (jak np. nośniki pamięci USB, płyty kompaktowe, dyski twarde) chronionych przy użyciu produktów kryptograficznych zatwierdzonych zgodnie z art. 10 ust. 6; lub
(ii) we wszystkich pozostałych przypadkach, zgodnie z wytycznymi właściwego organu bezpieczeństwa wydanymi zgodnie z odpowiednimi środkami ochrony określonymi w załączniku III.
5. Przepisy dotyczące wykonania niniejszego artykułu znajdują się w załącznikach III i IV.
Artykuł 10
Ochrona EUCI przetwarzanych w systemach teleinformatycznych
1. Zabezpieczanie informacji w ramach systemów teleinformatycznych oznacza pewność, że systemy te będą chronić informacje, które są w nich przetwarzane, i będą działać zgodnie z przeznaczeniem, w razie potrzeby pod kontrolą uprawnionych użytkowników. Skuteczne zabezpieczanie informacji gwarantuje odpowiedni poziom poufności, integralności, dostępności, niezaprzeczalności i autentyczności. Zabezpieczanie informacji opiera się na procesie zarządzania ryzykiem.
2. „System teleinformatyczny” (CIS) oznacza system umożliwiający przetwarzanie informacji w formie elektronicznej. CIS obejmuje wszystkie zasoby niezbędne do jego funkcjonowania, w tym infrastrukturę, organizację, personel oraz zasoby informatyczne. Niniejsza decyzja ma zastosowanie do (CIS) przetwarzających EUCI.
3. CIS przetwarza EUCI zgodnie z koncepcją zabezpieczania informacji.
4. Wszystkie CIS poddawane są procedurze akredytacji. Celem akredytacji jest upewnienie się, że zastosowano wszystkie odpowiednie środki bezpieczeństwa i że osiągnięto wystarczający poziom ochrony EUCI i CIS zgodnie z niniejszą decyzją. W świadectwie akredytacji określa się najwyższą klauzulę tajności informacji, które mogą być przetwarzane w ramach danego CIS, oraz odpowiednie warunki.
5. Stosowane są specjalne środki bezpieczeństwa w celu ochrony CIS przetwarzającego informacje niejawne o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL i wyższej przed narażeniem tych informacji na szwank z powodu niezamierzonych emisji elektromagnetycznych (tzw. „środki bezpieczeństwa TEMPEST” ). Takie środki bezpieczeństwa są proporcjonalne do ryzyka wykorzystania informacji niejawnych i do poziomu klauzuli tajności.
6. Jeżeli EUCI podlegają ochronie przy użyciu produktów kryptograficznych, produkty te są zatwierdzane w sposób następujący:
a) poufność informacji niejawnych o klauzuli tajności SECRET UE/EU SECRET i wyższej podlega ochronie przy użyciu produktów kryptograficznych zatwierdzonych – na podstawie zalecenia Komitetu ds. Bezpieczeństwa – przez Radę działającą jako organ ds. zatwierdzania produktów kryptograficznych (CAA);
b) poufność informacji niejawnych o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub RESTREINT UE/EU RESTRICTED podlega ochronie przy użyciu produktów kryptograficznych zatwierdzonych – na podstawie zalecenia Komitetu ds. Bezpieczeństwa – przez Sekretarza Generalnego Rady (zwanego dalej „Sekretarzem Generalnym” ) działającego jako CAA.
Niezależnie od przepisów lit. b) w obrębie krajowych systemów państw członkowskich poufność EUCI o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub RESTREINT UE/EU RESTRICTED może być chroniona przy użyciu produktów kryptograficznych zatwierdzonych przez CAA danego państwa członkowskiego.
7. Podczas transmisji EUCI drogą elektroniczną stosuje się zatwierdzone produkty kryptograficzne. Niezależnie od tego wymogu w wyjątkowych okolicznościach mogą mieć zastosowanie szczególne procedury lub szczególne konfiguracje techniczne określone w załączniku IV.
8. Właściwe organy, odpowiednio, SGR i państw członkowskich ustanawiają następujące organy zajmujące się zabezpieczaniem informacji:
a) organ ds. zabezpieczania informacji (IAA);
b) organ ds. TEMPEST (TA);
c) organ ds. zatwierdzania produktów kryptograficznych (CAA);
d) organ ds. dystrybucji produktów kryptograficznych (CDA).
9. W odniesieniu do każdego systemu właściwe organy, odpowiednio, SGR i państw członkowskich ustanawiają:
a) organ ds. akredytacji bezpieczeństwa (SAA);
b) organ operacyjny ds. zabezpieczania informacji.
10. Przepisy dotyczące wykonania niniejszego artykułu znajdują się w załączniku IV.
Artykuł 11
Bezpieczeństwo przemysłowe
1. Bezpieczeństwo przemysłowe oznacza stosowanie środków mających zapewnić ochronę EUCI przez wykonawców lub podwykonawców podczas negocjacji poprzedzających zawarcie umów i na wszystkich etapach cyklu życia umów niejawnych. Umowy takie nie obejmują dostępu do informacji niejawnych o klauzuli tajności TRÈS SECRET UE/EU TOP SECRET.
2. SGR może na podstawie umowy powierzyć zadania obejmujące EUCI lub wiążące się z dostępem do tych informacji, ich wykorzystywaniem lub przechowywaniem przez podmioty prowadzące działalność gospodarczą lub inną, zarejestrowane w państwie członkowskim lub w państwie trzecim, które zawarło umowę lub porozumienie administracyjne zgodnie z art. 13 ust. 2 lit. a) lub b).
3. Jako instytucja zamawiająca SGR zapewnia, by w przypadku zawierania umów niejawnych z podmiotami prowadzącymi działalność gospodarczą lub inną spełnione były minimalne normy bezpieczeństwa przemysłowego określone w niniejszej decyzji i te, o których mowa w danej umowie.
4. Krajowa władza bezpieczeństwa (KWB), wyznaczona władza bezpieczeństwa (WWB) lub jakikolwiek inny właściwy organ bezpieczeństwa każdego państwa członkowskiego zapewniają – w zakresie, w jakim umożliwiają to krajowe przepisy ustawowe i wykonawcze – by wykonawcy i podwykonawcy zarejestrowani na ich terytorium stosowali wszelkie odpowiednie środki mające chronić EUCI podczas negocjacji poprzedzających zawarcie umowy i podczas wykonywania umowy niejawnej.
5. KWB, WWB lub jakikolwiek inny właściwy organ bezpieczeństwa każdego państwa członkowskiego zapewniają, zgodnie z krajowymi przepisami ustawowymi i wykonawczymi, by wykonawcy lub podwykonawcy zarejestrowani w tym państwie członkowskim, będący stronami umów niejawnych lub niejawnych umów o podwykonawstwo i którym niezbędny jest dostęp w ich obiektach do informacji niejawnych o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET podczas wykonywania takich umów lub na etapie poprzedzającym ich zawarcie, posiadali świadectwo bezpieczeństwa przemysłowego (SBP) na odpowiednim poziomie klauzuli tajności.
6. Odpowiednia KWB, WWB lub jakikolwiek inny właściwy organ bezpieczeństwa wydaje pracownikom wykonawcy lub podwykonawcy, którym przy wykonywaniu umowy niejawnej niezbędny jest dostęp do informacji niejawnych o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET, poświadczenie bezpieczeństwa osobowego (PBO) zgodnie z krajowymi przepisami ustawowymi i wykonawczymi oraz minimalnymi normami bezpieczeństwa określonymi w załączniku I.
7. Przepisy dotyczące wykonania niniejszego artykułu znajdują się w załączniku V.
Artykuł 12
Wymiana EUCI
1. Rada określa warunki, na jakich może wymieniać EUCI znajdujące się w jej posiadaniu z innymi instytucjami, organami lub jednostkami organizacyjnymi Unii. W tym celu można przewidzieć właściwe ramy, w tym poprzez przystępowanie, w razie potrzeby, do międzyinstytucjonalnych umów lub innych ustaleń temu służących.
2. Wszelkie takie ramy zapewniają, aby EUCI były chronione stosownie do ich klauzuli tajności i zgodnie z podstawowymi zasadami i minimalnymi normami, które są równoważne do tych określonych w niniejszej decyzji.
Artykuł 13
Wymiana informacji niejawnych z państwami trzecimi i organizacjami międzynarodowymi
1. Jeżeli Rada stwierdza, że zachodzi konieczność wymiany EUCI z państwem trzecim lub organizacją międzynarodową, ustanowione zostają odpowiednie ramy takiej wymiany.
2. Aby ustanowić takie ramy i określić wzajemnie obowiązujące zasady ochrony wymienianych informacji niejawnych:
a) Unia zawiera z państwami trzecimi lub organizacjami międzynarodowymi umowy dotyczące procedur bezpieczeństwa na potrzeby wymiany i ochrony informacji niejawnych (zwane dalej „ umowami o bezpieczeństwie informacji”); lub
b) Sekretarz Generalny może zgodnie z pkt 17 załącznika VI zawierać w imieniu SGR porozumienia administracyjne, o ile poziom klauzuli tajności nadanej EUCI, które mają zostać udostępnione, nie jest – co do zasady – wyższy niż RESTREINT UE/EU RESTRICTED.
3. Umowy o bezpieczeństwie informacji lub porozumienia administracyjne, o których mowa w ust. 2, zawierają postanowienia mające służyć temu, by w przypadku gdy państwa trzecie lub organizacje międzynarodowe otrzymają EUCI, informacje te były chronione w sposób odpowiadający ich klauzuli tajności i zgodny z minimalnymi normami, które nie mogą być mniej rygorystyczne niż normy określone w niniejszej decyzji.
4. Decyzja o udostępnieniu państwu trzeciemu lub organizacji międzynarodowej EUCI wytworzonych w Radzie podejmowana jest przez Radę dla każdego przypadku z osobna, w zależności od charakteru i treści takich informacji, od tego, czy odbiorca spełnia zasadę ograniczonego dostępu, i od tego, w jakim stopniu jest to korzystne dla Unii. Jeżeli wytwórcą informacji niejawnych, o których udostępnienie wystąpiono, nie jest Rada, SGR najpierw zwraca się o pisemną zgodę wytwórcy na ich udostępnienie. Jeżeli nie można ustalić, kto jest wytwórcą, Rada przejmuje jego odpowiedzialność.
5. Aby stwierdzić skuteczność środków bezpieczeństwa stosowanych w państwie trzecim lub organizacji międzynarodowej w celu ochrony EUCI, które zostały im przekazane jednostronnie lub w ramach wymiany, przeprowadzane są wizyty oceniające.
6. Przepisy dotyczące wykonania niniejszego artykułu znajdują się w załączniku VI.
Artykuł 14
Naruszenie i narażenie na szwank bezpieczeństwa EUCI
1. Naruszenie zasad bezpieczeństwa następuje w wyniku działania określonej osoby lub zaniechania przez nią działania w sposób sprzeczny z zasadami bezpieczeństwa określonymi w niniejszej decyzji.
2. Narażenie na szwank bezpieczeństwa EUCI ma miejsce, gdy w wyniku naruszenia zasad bezpieczeństwa takie informacje w całości lub w części zostają ujawnione osobom nieupoważnionym.
3. O wszelkich podejrzeniach lub przypadkach naruszenia zasad bezpieczeństwa powiadamia się niezwłocznie właściwy organ bezpieczeństwa.
4. Jeżeli jest wiadome lub jeżeli istnieją uzasadnione przesłanki, by przypuszczać, że bezpieczeństwo EUCI zostało narażone na szwank lub że informacje takie zostały utracone, KWB lub inny właściwy organ podejmuje – zgodnie z odpowiednimi przepisami ustawowymi i wykonawczymi – wszelkie stosowne działania w celu:
a) poinformowania wytwórcy informacji;
b) zapewnienia zbadania tego przypadku przez personel niezwiązany bezpośrednio z tym naruszeniem w celu ustalenia przebiegu wydarzeń;
c) oceny potencjalnych szkód dla interesów Unii lub państw członkowskich;
d) podjęcia właściwych środków, aby zapobiec powtórzeniu się podobnego przypadku; oraz
e) powiadomienia właściwych organów o podjętych działaniach.
5. Każda osoba odpowiedzialna za naruszenie przepisów bezpieczeństwa określonych w niniejszej decyzji może podlegać postępowaniu dyscyplinarnemu zgodnie z mającymi zastosowanie zasadami i przepisami wykonawczymi. Każda osoba odpowiedzialna za narażenie na szwank bezpieczeństwa EUCI lub za ich utratę podlega postępowaniu dyscyplinarnemu lub sądowemu zgodnie z mającymi zastosowanie przepisami ustawowymi, zasadami i przepisami wykonawczymi.
Artykuł 15
Odpowiedzialność za wykonanie decyzji
1. Rada podejmuje wszelkie niezbędne działania w celu zapewnienia ogólnej spójności w stosowaniu niniejszej decyzji.
2. Sekretarz Generalny podejmuje wszelkie niezbędne działania w celu zapewnienia stosowania niniejszej decyzji przez urzędników i innych pracowników SGR, personel oddelegowany do SGR i wykonawców zatrudnionych przez SGR, przy wykorzystywaniu lub przechowywaniu EUCI lub jakichkolwiek innych informacji niejawnych, w obiektach, z których korzysta Rada, oraz w obrębie SGR.
3. Państwa członkowskie podejmują – zgodnie ze swoimi przepisami ustawowymi i wykonawczymi – wszelkie stosowne działania w celu zapewnienia przestrzegania niniejszej decyzji, podczas wykorzystywania lub przechowywania EUCI, przez:
a) pracowników stałych przedstawicielstw państw członkowskich przy Unii Europejskiej, a także delegatów krajowych uczestniczących w posiedzeniach Rady lub jej organów przygotowawczych lub biorących udział w innych działaniach Rady;
b) innych pracowników administracji krajowej państw członkowskich, w tym pracowników oddelegowanych do pracy w tej administracji, gdy pełnią oni obowiązki na terytorium państw członkowskich lub poza ich granicami;
c) inne osoby w państwach członkowskich, które ze względu na pełnione funkcje posiadają odpowiednie upoważnienie do dostępu do EUCI; oraz
d) wykonawców zatrudnionych przez państwa członkowskie na terytorium państw członkowskich lub poza ich granicami.
Artykuł 16
Organizacja bezpieczeństwa w Radzie
1. W ramach zapewniania ogólnej spójności w stosowaniu niniejszej decyzji Rada zatwierdza:
a) umowy, o których mowa w art. 13 ust. 2 lit. a);
b) decyzje upoważniające do udostępnienia EUCI wytworzonych przez Radę lub znajdujących się w jej posiadaniu państwom trzecim lub organizacjom międzynarodowym lub zezwalające na takie udostępnianie, zgodnie z zasadą uzyskania zgody wytwórcy;
c) roczny program wizyt oceniających zalecany przez Komitet ds. Bezpieczeństwa; program ten dotyczy wizyt służących ocenie jednostek organizacyjnych i obiektów w państwach członkowskich oraz organów, agencji i podmiotów Unii, które stosują niniejszą decyzję lub przewidziane w niej zasady, oraz wizyt oceniających przeprowadzanych w państwach trzecich i w organizacjach międzynarodowych w celu sprawdzenia skuteczności środków wprowadzonych, by chronić EUCI; oraz
d) polityki bezpieczeństwa przewidziane w art. 6 ust. 1.
2. Organem bezpieczeństwa SGR jest Sekretarz Generalny. Pełniąc tę funkcję, Sekretarz Generalny:
a) wdraża politykę bezpieczeństwa opracowaną przez Radę i dokonuje jej przeglądu;
b) koordynuje z KWB państw członkowskich wszystkie kwestie bezpieczeństwa dotyczące ochrony informacji niejawnych mających związek z działaniami Rady;
c) wydaje urzędnikom i innym pracownikom SGR oraz oddelegowanym ekspertom krajowym, zgodnie z art. 7 ust. 3, upoważnienie dotyczące dostępu do informacji niejawnych o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższej;
d) w stosownych przypadkach zleca wszczęcie postępowania wyjaśniającego w sprawie każdego zaistniałego lub domniemanego przypadku narażenia na szwank bezpieczeństwa informacji niejawnych znajdujących się w posiadaniu Rady lub wytworzonych przez Radę lub utraty takich informacji oraz zwraca się do właściwych organów bezpieczeństwa o pomoc w takim postępowaniu wyjaśniającym;
e) przeprowadza okresowe inspekcje zabezpieczeń służących ochronie informacji niejawnych w obiektach SGR;
f) przeprowadza okresowe wizyty mające na celu ocenę zabezpieczeń służących ochronie EUCI w organach, agencjach i podmiotach Unii, które stosują niniejszą decyzję lub przewidziane w niej zasady;
g) przeprowadza, wspólnie i w porozumieniu z zainteresowanymi KWB, okresowe oceny zabezpieczeń służących ochronie EUCI w jednostkach organizacyjnych i obiektach w państwach członkowskich;
h) zapewnia konieczną koordynację środków bezpieczeństwa z właściwymi organami państw członkowskich odpowiedzialnymi za ochronę informacji niejawnych oraz, w stosownych przypadkach, z państwami trzecimi lub organizacjami międzynarodowymi, w tym w zakresie charakteru zagrożeń dla bezpieczeństwa EUCI oraz środków ochrony przed tymi zagrożeniami; oraz
i) zawiera porozumienia administracyjne, o których mowa w art. 13 ust. 2 lit. b).
Biuro ds. Bezpieczeństwa SGR pozostaje do dyspozycji Sekretarza Generalnego i pomaga mu w wypełnianiu wyżej opisanych obowiązków.
3. W celu wykonania art. 15 ust. 3 państwa członkowskie powinny:
a) wyznaczyć KWB, jak wskazano w wykazie znajdującym się w dodatku C, odpowiedzialną za zabezpieczenia służące ochronie EUCI, tak aby:
(i) EUCI znajdujące się w posiadaniu jakiegokolwiek podmiotu krajowego: departamentu, organu lub agencji, bez względu na to, czy jest to podmiot publiczny, czy prywatny i czy znajduje się w kraju, czy za granicą, były chronione zgodnie z niniejszą decyzją;
(ii) zabezpieczenia służące ochronie EUCI były poddawane okresowym inspekcjom lub ocenom;
(iii) wszystkie osoby, które są zatrudnione w administracji krajowej lub przez wykonawcę i które mogą uzyskać dostęp do informacji niejawnych o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższej, były odpowiednio sprawdzane lub by przyznano tym osobom ze względu na pełnione przez nie funkcje inne odpowiednie upoważnienie zgodnie z krajowymi przepisami ustawowymi i wykonawczymi;
(iv) aby w razie konieczności opracowywane były programy bezpieczeństwa mające za zadanie zminimalizować ryzyko narażenia bezpieczeństwa EUCI na szwank lub ich utraty;
(v) kwestie bezpieczeństwa związane z ochroną EUCI były koordynowane z innymi właściwymi organami krajowymi, w tym z organami, o których mowa w niniejszej decyzji; oraz
(vi) rozpatrywane były odpowiednie wnioski o wydanie poświadczenia bezpieczeństwa składane w szczególności przez wszelkie organy, agencje i podmioty Unii utworzone na mocy tytułu V rozdział 2 TUE oraz przez specjalnych przedstawicieli UE (SPUE) i ich zespoły, które stosują niniejszą decyzję lub przewidziane w niej zasady;
b) zapewnić, aby ich właściwe organy dostarczały informacje i doradzały rządowi, a za jego pośrednictwem – Radzie co do charakteru zagrożeń dla bezpieczeństwa EUCI i środków ochrony przed tymi zagrożeniami.
Artykuł 17
Komitet ds. Bezpieczeństwa
1. Niniejszym ustanawia się Komitet ds. Bezpieczeństwa. Komitet analizuje i ocenia wszelkie kwestie bezpieczeństwa, które wchodzą w zakres stosowania niniejszej decyzji, oraz przedstawia Radzie odpowiednie zalecenia.
2. Komitet ds. Bezpieczeństwa składa się z przedstawicieli KWB państw członkowskich, a w jego obradach uczestniczy przedstawiciel Komisji i ESDZ. Przewodniczy mu Sekretarz Generalny lub wyznaczona przez niego osoba. Komitet ten zbiera się na polecenie Rady lub na wniosek Sekretarza Generalnego lub KWB.
Do uczestnictwa w pracach Komitetu mogą zostać zaproszeni przedstawiciele organów, agencji i podmiotów Unii, które stosują niniejszą decyzję lub przewidziane w niej zasady, jeżeli omawiane są kwestie, które ich dotyczą.
3. Komitet ds. Bezpieczeństwa organizuje swoją działalność w taki sposób, aby móc przedstawiać zalecenia w konkretnych dziedzinach dotyczących bezpieczeństwa. Powołuje on podgrupę ekspercką zajmującą się kwestiami zabezpieczania informacji oraz inne podgrupy eksperckie, zależnie od konieczności. Wyznacza on zakres zadań takich podgrup eksperckich i otrzymuje od nich sprawozdania z działalności, w tym – w zależności od sytuacji – zalecenia dla Rady.
Artykuł 18
Zastąpienie poprzedniej decyzji
1. Niniejsza decyzja uchyla i zastępuje decyzję Rady 2011/292/UE (2).
2. Wszystkie EUCI opatrzone klauzulą tajności zgodnie z decyzją Rady 2001/264/WE (3) i z decyzją 2011/292/UE podlegają dalszej ochronie zgodnie z właściwymi przepisami niniejszej decyzji.
Artykuł 19
Wejście w życie
Niniejsza decyzja wchodzi w życie z dniem jej opublikowania w Dzienniku Urzędowym Unii Europejskiej.
Sporządzono w Brukseli dnia 23 września 2013 r.
(1) Dz.U. L 325 z 11.12.2009, s. 35.
(2) Decyzja Rady 2011/292/UE z dnia 31 marca 2011 r. w sprawie przepisów bezpieczeństwa dotyczących ochrony informacji niejawnych UE (Dz.U. L 141 z 27.5.2011, s. 17).
(3) Decyzja Rady 2001/264/WE z dnia 19 marca 2001 r. w sprawie przyjęcia przepisów Rady dotyczących bezpieczeństwa (Dz.U. L 101 z 11.4.2001, s. 1).
ZAŁĄCZNIKI
ZAŁĄCZNIK I
Bezpieczeństwo osobowe
ZAŁĄCZNIK II
Bezpieczeństwo fizyczne
ZAŁĄCZNIK III
Zarządzanie informacjami niejawnymi
ZAŁĄCZNIK IV
Ochrona EUCI przetwarzanych w CIS
ZAŁĄCZNIK V
Bezpieczeństwo przemysłowe
ZAŁĄCZNIK VI
Wymiana informacji niejawnych z państwami trzecimi i organizacjami międzynarodowymi
ZAŁĄCZNIK I
BEZPIECZEŃSTWO OSOBOWE
I. WSTĘP
1. Niniejszy załącznik zawiera przepisy dotyczące wykonania art. 7. W niniejszym załączniku określa się kryteria wykorzystywane do oceny, czy daną osobę ze względu na jej lojalność, wiarygodność i rzetelność można uprawnić do dostępu do EUCI, a także procedury sprawdzające i administracyjne, które należy stosować w tym celu.
II. UDZIELANIE DOSTĘPU DO EUCI
2. Danej osobie można udzielić dostępu do informacji niejawnych wyłącznie po tym, jak:
a) stwierdzono, że spełnia ona zasadę ograniczonego dostępu;
b) została ona poinformowana o zasadach i procedurach bezpieczeństwa służących ochronie EUCI i potwierdziła, że zapoznała się ze swoimi obowiązkami w zakresie ochrony takich informacji; oraz
c) w przypadku informacji o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższej:
– otrzymała ona PBO do odpowiedniego poziomu lub otrzymała inne odpowiednie upoważnienie ze względu na pełnione przez siebie funkcje, zgodnie z krajowymi przepisami ustawowymi i wykonawczymi, lub
– w przypadku urzędników lub innych pracowników SGR lub oddelegowanych ekspertów krajowych, otrzymała od organu powołującego SGR upoważnienie dotyczące dostępu do EUCI do określonego poziomu tajności i do określonej daty, zgodnie z pkt 16–25.
3. Każde państwo członkowskie i SGR określają, które stanowiska w ich strukturach wymagają dostępu do informacji niejawnych o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższej, i w związku z tym wymagają uzyskania poświadczenia bezpieczeństwa do celów dostępu do informacji o odpowiedniej klauzuli tajności.
III. WYMOGI DOTYCZĄCE WYDAWANIA POŚWIADCZENIA BEZPIECZEŃSTWA OSOBOWEGO
4. Po otrzymaniu odpowiedniego wniosku KWB lub inne właściwe organy krajowe są odpowiedzialne za zapewnienie, aby przeprowadzono postępowanie sprawdzające w odniesieniu do obywateli ich kraju, którym niezbędny jest dostęp do informacji niejawnych o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższej. Normy postępowania sprawdzającego są zgodne z krajowymi przepisami ustawowymi i wykonawczymi, a jego celem jest wydanie PBO lub – w stosownych przypadkach – zagwarantowanie pewności co do osoby, która ma uzyskać upoważnienie do dostępu do EUCI.
5. Jeżeli miejsce pobytu danej osoby znajduje się na terytorium innego państwa członkowskiego lub państwa trzeciego, właściwe organy krajowe zwracają się o pomoc do właściwego organu państwa pobytu zgodnie z krajowymi przepisami ustawowymi i wykonawczymi. Państwa członkowskie wzajemnie się wspierają w prowadzeniu postępowań sprawdzających zgodnie z krajowymi przepisami ustawowymi i wykonawczymi.
6. Jeżeli krajowe przepisy ustawowe i wykonawcze dopuszczają taką możliwość, KWB lub inne właściwe organy krajowe mogą przeprowadzać postępowania sprawdzające w odniesieniu do cudzoziemców, którym niezbędny jest dostęp do informacji niejawnych o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższej. Normy postępowania sprawdzającego są zgodne z krajowymi przepisami ustawowymi i wykonawczymi.
Kryteria postępowania sprawdzającego
7. W celu sprawdzenia danej osoby, dzięki któremu mogłaby ona zostać upoważniona do dostępu do informacji niejawnych o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższej, określa się jej lojalność, wiarygodność i rzetelność, przeprowadzając postępowanie sprawdzające. Na podstawie wyników takiego postępowania właściwy organ krajowy dokonuje ogólnej oceny. Główne kryteria stosowane w tym celu obejmują – w zakresie, w jakim umożliwiają to krajowe przepisy ustawowe i wykonawcze – ustalenie, czy osoba ta:
a) popełniła lub usiłowała popełnić akt szpiegostwa, terroryzmu, sabotażu, zdrady lub podżegania, współdziałała z inną osobą w celu popełnienia takiego aktu, pomagała innej osobie w jego popełnieniu lub nakłaniała inne osoby do popełnienia takiego aktu;
b) współdziała lub współdziałała ze szpiegami, terrorystami, sabotażystami lub osobami, co do których istnieje uzasadnione podejrzenie, że nimi są, lub z przedstawicielami organizacji lub obcych państw, w tym obcych służb wywiadowczych, które mogą stanowić zagrożenie dla bezpieczeństwa Unii lub państw członkowskich, chyba że udzielono zezwolenia na takie współdziałanie w ramach obowiązków służbowych;
c) jest lub była członkiem organizacji, która za pomocą aktów przemocy, działalności wywrotowej lub innych nielegalnych środków dąży m.in. do obalenia rządu państwa członkowskiego, zmiany porządku konstytucyjnego państwa członkowskiego lub zmiany formy lub polityki jego rządu;
d) jest lub była stronnikiem jakiejkolwiek organizacji opisanej w lit. c) lub blisko współdziała lub blisko współdziałała z członkami takich organizacji;
e) świadomie zataiła, fałszywie przedstawiła lub sfałszowała istotne informacje, szczególnie informacje związane z bezpieczeństwem, lub świadomie skłamała przy wypełnianiu ankiety bezpieczeństwa osobowego lub podczas rozmowy przeprowadzanej w ramach postępowania sprawdzającego;
f) została skazana za popełnienie przestępstwa lub przestępstw;
g) kiedykolwiek była uzależniona od alkoholu, zażywała nielegalne środki odurzające lub nadużywała legalnych środków odurzających;
h) zachowuje się lub zachowywała w sposób mogący stwarzać ryzyko podatności na szantaż lub presję;
i) w czynach lub słowach wykazała się nieuczciwością, nielojalnością, brakiem rzetelności lub wiarygodności;
j) poważnie lub wielokrotnie naruszyła przepisy dotyczące bezpieczeństwa lub usiłowała dokonać albo dokonała czynności, do których nie była uprawniona, w odniesieniu do systemów teleinformatycznych; oraz
k) może podlegać presji (np. poprzez posiadanie jednego lub więcej obywatelstw państw niebędących członkiem UE lub presji krewnych lub bliskich współpracowników, którzy mogą być podatni na wpływy obcych służb wywiadowczych, grup terrorystycznych lub innych wywrotowych organizacji lub osób mogących zagrażać interesom bezpieczeństwa Unii lub państw członkowskich).
8. W odpowiednich przypadkach oraz zgodnie z krajowymi przepisami ustawowymi i wykonawczymi podczas przeprowadzania postępowania sprawdzającego za istotną można uznać także sytuację finansową i zdrowotną danej osoby.
9. W odpowiednich przypadkach oraz zgodnie z krajowymi przepisami ustawowymi i wykonawczymi podczas przeprowadzania postępowania sprawdzającego za istotne można uznać także zachowanie i sytuację współmałżonka danej osoby, jej partnera życiowego lub członka bliskiej rodziny.
Wymogi dotyczące postępowania sprawdzającego na potrzeby dostępu do EUCI
Wydanie pierwszego poświadczenia bezpieczeństwa
10. Pierwsze poświadczenie bezpieczeństwa upoważniające do dostępu do informacji niejawnych o klauzulach tajności CONFIDENTIEL UE/EU CONFIDENTIAL i SECRET UE/EU SECRET wydawane jest po przeprowadzeniu postępowania sprawdzającego obejmującego co najmniej okres ostatnich pięciu lat lub okres od ukończenia 18. roku życia do chwili obecnej, w zależności od tego, który z tych okresów jest krótszy; postępowanie obejmuje:
a) wypełnienie krajowej ankiety bezpieczeństwa osobowego do odpowiedniego poziomu EUCI, do których dostęp może być konieczny danej osobie; wypełniona ankieta przekazywana jest właściwemu organowi bezpieczeństwa;
b) sprawdzenie tożsamości/obywatelstwa/narodowości – potwierdza się datę i miejsce urodzenia danej osoby i sprawdza się jej tożsamość. Ustala się przeszłe i obecne obywatelstwo lub narodowość danej osoby; obejmuje to ocenę podatności na presję wywieraną przez osoby z zagranicy, na przykład w związku z poprzednim miejscem pobytu lub przeszłymi powiązaniami; oraz
c) sprawdzenie rejestrów krajowych i lokalnych – sprawdzane są krajowe rejestry bezpieczeństwa i centralne rejestry karne, o ile te ostatnie istnieją, lub inne porównywalne rejestry rządowe i policyjne. Sprawdza się rejestry organów ścigania sprawujących jurysdykcję w miejscach, w których dana osoba miała miejsce pobytu lub była zatrudniona.
11. Pierwsze poświadczenie bezpieczeństwa upoważniające do dostępu do informacji niejawnych o klauzuli tajności TRÈ S SECRET UE/EU TOP SECRET wydawane jest po przeprowadzeniu postępowania sprawdzającego obejmującego okres co najmniej ostatnich dziesięciu lat lub okres od ukończenia 18. roku życia do chwili obecnej, w zależności od tego, który z tych okresów jest krótszy. Jeżeli zgodnie z lit. e) przeprowadzane są rozmowy, postępowanie sprawdzające obejmuje okres co najmniej ostatnich siedmiu lat lub okres od ukończenia 18. roku życia do chwili obecnej, w zależności od tego, który okres jest krótszy. Poza kryteriami określonymi w pkt 7 przed wydaniem PBO upoważniającego do dostępu do informacji niejawnych o klauzuli tajności TRÈS SECRET UE/EU TOP SECRET należy wyjaśnić – w zakresie, w jakim umożliwiają to krajowe przepisy ustawowe i wykonawcze – elementy wymienione poniżej; elementy te można również wyjaśnić przed wydaniem PBO upoważniającego do dostępu do informacji niejawnych o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET, jeżeli wymagają tego krajowe przepisy ustawowe i wykonawcze:
a) status finansowy – poszukuje się informacji dotyczących sytuacji finansowej danej osoby, aby ocenić stopień jej podatności na presję osób z kraju lub z zagranicy z powodu poważnych trudności finansowych lub aby ujawnić wszelkie przychody z nieznanych źródeł;
b) wykształcenie – poszukuje się informacji służących weryfikacji wykształcenia danej osoby w szkołach, szkołach wyższych lub innych placówkach edukacyjnych, do których uczęszczała ona od ukończenia 18. roku życia lub w okresie, który organ prowadzący postępowanie sprawdzające uzna za odpowiedni;
c) zatrudnienie – poszukuje się informacji dotyczących obecnego i poprzedniego zatrudnienia, przy wykorzystaniu takich źródeł jak historia zatrudnienia, sprawozdania dotyczące wyników lub wydajności pracy oraz opinie pracodawców lub przełożonych;
d) służba wojskowa – w stosownych przypadkach weryfikowany jest stosunek danej osoby do służby wojskowej oraz powód zwolnienia ze służby; oraz
e) rozmowy – pod warunkiem że przepisy krajowe przewidują i dopuszczają taką możliwość, przeprowadza się z daną osobą rozmowę lub rozmowy. Rozmowy przeprowadza się również z innymi osobami, które są w stanie przedstawić obiektywną ocenę dotyczącą pochodzenia, działalności, lojalności, wiarygodności i rzetelności osoby sprawdzanej. W przypadku gdy krajowa praktyka przewiduje przedstawianie referencji przez osobę sprawdzaną, przeprowadza się rozmowę z osobami, które dostarczyły tych referencji, chyba że istnieją uzasadnione powody, żeby tego nie czynić.
12. Jeżeli jest to konieczne i zgodne z krajowymi przepisami ustawowymi i wykonawczymi, można przeprowadzić dodatkowe wyjaśnienia w celu rozwinięcia wszelkich dostępnych istotnych informacji dotyczących danej osoby oraz w celu potwierdzenia lub wykazania fałszywości informacji działających na niekorzyść osoby sprawdzanej.
Przedłużanie ważności poświadczenia bezpieczeństwa
13. Po wydaniu pierwszego poświadczenia bezpieczeństwa oraz pod warunkiem że w zatrudnieniu danej osoby w administracji krajowej lub w SGR nie wystąpiły przerwy, a dostęp do EUCI jest jej stale potrzebny, przedłużenie ważności poświadczenia bezpieczeństwa tej osoby rozpatrywane jest w odstępach czasu nieprzekraczających pięciu lat w przypadku poświadczenia do klauzuli tajności TRÈS SECRET UE/EU TOP SECRET oraz dziesięciu lat w przypadku poświadczeń do klauzul tajności SECRET UE/EU SECRET i CONFIDENTIEL UE/EU CONFIDENTIAL, licząc od daty powiadomienia o wyniku ostatniego postępowania sprawdzającego, na podstawie którego zostały wydane te poświadczenia. Wszelkie postępowania sprawdzające dotyczące przedłużenia ważności poświadczenia bezpieczeństwa obejmują okres od poprzedniego postępowania.
14. W celu przedłużenia ważności poświadczenia bezpieczeństwa należy sprawdzić elementy przedstawione w pkt 10 i 11.
15. Wnioski o przedłużenie ważności składane są z odpowiednim wyprzedzeniem, z uwzględnieniem czasu wymaganego do przeprowadzenia postępowań sprawdzających. Jeżeli jednak odpowiednia KWB lub inny właściwy organ krajowy otrzymały odpowiedni wniosek o przedłużenie ważności oraz właściwą ankietę bezpieczeństwa osobowego, zanim poświadczenie bezpieczeństwa utraciło ważność, a niezbędne postępowanie sprawdzające nie zostało jeszcze zakończone, właściwy organ krajowy może przedłużyć ważność obowiązującego poświadczenia bezpieczeństwa o okres nieprzekraczający 12 miesięcy, jeżeli dopuszczają to krajowe przepisy ustawowe i wykonawcze. Jeżeli na koniec tego 12-miesięcznego okresu nadal nie zakończono postępowania sprawdzającego, danej osobie przyznaje się obowiązki, które nie wymagają posiadania poświadczenia bezpieczeństwa.
Procedury upoważniające w SGR
16. W przypadku urzędników i innych pracowników SGR organ bezpieczeństwa SGR przekazuje wypełnioną ankietę bezpieczeństwa osobowego KWB państwa członkowskiego, którego obywatelem jest dana osoba, z wnioskiem o przeprowadzenie postępowania sprawdzającego do poziomu EUCI, do którego dostęp będzie tej osobie niezbędny.
17. Jeżeli SGR znajdzie się w posiadaniu informacji istotnej w odniesieniu do postępowania sprawdzającego prowadzonego wobec osoby, która złożyła wniosek o poświadczenie bezpieczeństwa dotyczące dostępu do EUCI, powiadamia o tym odpowiednią KWB, działając zgodnie z odpowiednimi zasadami i przepisami wykonawczymi.
18. Po zakończeniu postępowania sprawdzającego odpowiednia KWB powiadamia organ bezpieczeństwa SGR, w formacie korespondencji określonym przez Komitet ds. Bezpieczeństwa, o wyniku takiego postępowania.
a) Jeżeli w wyniku postępowania sprawdzającego uzyskuje się pewność, że nie istnieją żadne niekorzystne okoliczności, które mogłyby podważać lojalność, wiarygodność i rzetelność danej osoby, organ powołujący SGR może wydać tej osobie upoważnienie do dostępu do EUCI o odpowiedniej klauzuli tajności i do określonej daty.
b) Jeżeli w wyniku postępowania sprawdzającego nie uzyskuje się takiej pewności, organ powołujący SGR powiadamia o tym fakcie daną osobę, a ona może się do niego zwrócić z prośbą o wysłuchanie. Organ powołujący może zwrócić się do właściwej KWB o przedstawienie wszelkich dalszych wyjaśnień, których organ ten może udzielić zgodnie z krajowymi przepisami ustawowymi i wykonawczymi. Jeżeli wynik zostanie potwierdzony, nie wydaje się upoważnienia do dostępu do EUCI.
19. Postępowanie sprawdzające oraz jego wyniki podlegają odpowiednim przepisom ustawowym i wykonawczym obowiązującym w danym państwie członkowskim, w tym także przepisom dotyczącym środków odwoławczych. Decyzje organu powołującego SGR podlegają środkom odwoławczym zgodnie z regulaminem pracowniczym urzędników Unii Europejskiej i warunkami zatrudnienia innych pracowników Unii Europejskiej, określonymi w rozporządzeniu Rady (EWG, Euratom, EWWiS) nr 259/68 (1) (zwanymi dalej „ regulaminem pracowniczym i warunkami zatrudnienia”).
20. Eksperci krajowi oddelegowani do SGR na stanowisko wymagające dostępu do EUCI o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL i wyższej przedstawiają organowi bezpieczeństwa SGR – przed rozpoczęciem wykonywania swoich zadań – ważne zaświadczenie potwierdzające posiadanie poświadczenia bezpieczeństwa osobowego (ZPBO) uprawniające do dostępu do EUCI, na podstawie którego organ powołujący wydaje upoważnienie do dostępu do EUCI.
21. SGR zaakceptuje upoważnienie do dostępu do EUCI wydane przez każdą inną instytucję, organ lub jednostkę organizacyjną Unii, o ile pozostaje ono ważne. Upoważnienie będzie dotyczyło każdego zadania powierzonego danej osobie w SGR. Instytucja, organ lub jednostka organizacyjna Unii, w której dana osoba zostaje zatrudniona, poinformuje odpowiednią KWB o tej zmianie pracodawcy.
22. Jeżeli okres wykonywania przez daną osobę obowiązków służbowych nie rozpocznie się w terminie 12 miesięcy od powiadomienia organu powołującego SGR o wyniku postępowania sprawdzającego lub jeżeli w pełnieniu obowiązków przez daną osobę występuje 12-miesięczna przerwa, w czasie której osoba ta nie jest zatrudniona w SGR ani na żadnym stanowisku w administracji krajowej państwa członkowskiego, wynik postępowania sprawdzającego jest przekazywany odpowiedniej KWB w celu potwierdzenia, czy nadal pozostaje ważny i właściwy.
23. Jeżeli SGR znajdzie się w posiadaniu informacji o ryzyku naruszenia zasad bezpieczeństwa przez osobę, która posiada upoważnienie do dostępu do EUCI, powiadamia o tym odpowiednią KWB i może zawiesić prawo do dostępu do EUCI lub wycofać upoważnienie do dostępu do EUCI, działając zgodnie z odpowiednimi zasadami i przepisami wykonawczymi.
24. Jeżeli KWB powiadomi SGR o utracie pewności uzyskanej zgodnie z pkt 18 lit. a) w odniesieniu do osoby posiadającej upoważnienie do dostępu do EUCI, organ powołujący SGR może zwrócić się do KWB o przedstawienie wszelkich dalszych wyjaśnień, których organ ten może udzielić zgodnie z krajowymi przepisami ustawowymi i wykonawczymi. Jeżeli niekorzystne informacje zostaną potwierdzone, upoważnienie zostaje cofnięte, a osobie takiej odbiera się prawo dostępu do EUCI i odsuwa się ją od stanowisk, na których taki dostęp jest możliwy lub na których osoba ta mogłaby zagrażać bezpieczeństwu.
25. O każdej decyzji w sprawie cofnięcia lub zawieszenia upoważnienia do dostępu do EUCI przyznanego urzędnikowi lub innemu pracownikowi SGR i, w odpowiednich przypadkach, o przyczynach tego cofnięcia lub zawieszenia powiadamia się daną osobę, a ona może zwrócić się do organu powołującego z prośbą o wysłuchanie. Informacje przedstawione przez KWB podlegają odpowiednim przepisom ustawowym i wykonawczym obowiązującym w danym państwie członkowskim, w tym także przepisom dotyczącym środków odwoławczych. Decyzje organu powołującego SGR podlegają środkom odwoławczym zgodnie z regulaminem pracowniczym i warunkami zatrudnienia.
Rejestr poświadczeń bezpieczeństwa i upoważnień
26. Rejestry PBO i upoważnień wydanych w celu umożliwienia dostępu do informacji niejawnych o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższej są prowadzone, odpowiednio, przez każde państwo członkowskie i przez SGR. Wykazy te zawierają co najmniej informacje o poziomie klauzuli tajności EUCI, do których dana osoba może mieć dostęp, dacie wydania poświadczenia bezpieczeństwa i okresie jego ważności.
27. Właściwy organ bezpieczeństwa może wydać ZPBO zawierające informacje o poziomie klauzuli tajności EUCI, do których dana osoba może mieć dostęp (CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższy), okresie ważności odpowiedniego PBO umożliwiającego dostęp do EUCI lub upoważnienia do dostępu do EUCI oraz dacie ważności samego zaświadczenia.
Zwolnienia z wymogu posiadania PBO
28. Dostęp do EUCI osób odpowiednio upoważnionych ze względu na pełnione przez siebie funkcje w państwach członkowskich określany jest zgodnie z krajowymi przepisami ustawowymi i wykonawczymi; osoby takie są informowane o spoczywających na nich obowiązkach dotyczących bezpieczeństwa w odniesieniu do ochrony EUCI.
IV. SZKOLENIA I UPOWSZECHNIANIE WIEDZY W ZAKRESIE BEZPIECZEŃSTWA
29. Wszystkie osoby, którym wydano poświadczenie bezpieczeństwa, oświadczają na piśmie, że zrozumiały spoczywające na nich obowiązki w zakresie ochrony EUCI i konsekwencje narażenia na szwank bezpieczeństwa EUCI. Wykaz takich pisemnych oświadczeń przechowywany jest, odpowiednio, przez państwo członkowskie i przez SGR.
30. Wszystkie osoby, które są upoważnione do dostępu do EUCI lub muszą wykorzystywać te informacje, na początku powiadamiane są o zagrożeniach bezpieczeństwa, a następnie regularnie informowane o tych zagrożeniach; osoby te muszą bezzwłocznie zgłaszać właściwym organom bezpieczeństwa wszelkie zdarzenia lub wszelką działalność, które uznają za podejrzane lub nietypowe.
31. Wszystkie osoby, które przestają wykonywać obowiązki wymagające dostępu do EUCI, powiadamiane są o obowiązku stałej ochrony EUCI; w odpowiednich przypadkach świadomość tego obowiązku potwierdzają one na piśmie.
V. OKOLICZNOŚCI WYJĄTKOWE
32. Jeżeli krajowe przepisy ustawowe i wykonawcze dopuszczają taką możliwość, poświadczenie bezpieczeństwa wydane przez właściwy organ krajowy państwa członkowskiego i uprawniające do dostępu do krajowych informacji niejawnych może, podczas oczekiwania na wydanie PBO uprawniającego do dostępu do EUCI, tymczasowo uprawniać urzędników krajowych do dostępu do EUCI do poziomu odpowiadającego poziomowi określonemu w tabeli równorzędności klauzul tajności, którą zamieszczono w dodatku B, o ile takiego tymczasowego dostępu wymaga interes Unii. Jeżeli krajowe przepisy ustawowe i wykonawcze nie zezwalają na taki tymczasowy dostęp do EUCI, KWB informują o tym Komitet ds. Bezpieczeństwa.
33. W nagłych przypadkach, jeżeli jest to należycie uzasadnione interesami jednostki organizacyjnej, w oczekiwaniu na zakończenie pełnego postępowania sprawdzającego organ powołujący SGR może, po konsultacji z KWB państwa członkowskiego, którego obywatelem jest dana osoba, oraz z zastrzeżeniem, że wynik wstępnego sprawdzenia nie wykazał niekorzystnych informacji, wydać urzędnikom i innym pracownikom SGR tymczasowe upoważnienie do dostępu do EUCI, by mogli wykonać określone zadania. Takie tymczasowe upoważnienia zachowują ważność przez okres nieprzekraczający sześciu miesięcy i nie uprawniają do dostępu do informacji niejawnych o klauzuli tajności TRÈS SECRET UE/EU TOP SECRET. Wszystkie osoby, którym przyznano tymczasowe upoważnienie, oświadczają na piśmie, że zrozumiały spoczywające na nich obowiązki w zakresie ochrony EUCI i konsekwencje narażenia na szwank bezpieczeństwa EUCI. Wykaz takich pisemnych oświadczeń przechowywany jest przez SGR.
34. Jeżeli dana osoba ma objąć stanowisko, które wymaga poświadczenia bezpieczeństwa na poziomie o jeden poziom wyższym niż aktualnie przez nią posiadany, może ona tymczasowo pełnić obowiązki związane z tym stanowiskiem, pod warunkiem że:
a) bezwzględna potrzeba dostępu do EUCI o wyższej klauzuli tajności jest uzasadniona na piśmie przez przełożonego tej osoby;
b) dostęp jest ograniczony do konkretnych EUCI, które są potrzebne do pracy na tym stanowisku;
c) osoba ta posiada ważne PBO lub upoważnienie do dostępu do EUCI;
d) podjęto czynności w celu uzyskania upoważnienia do dostępu do informacji na poziomie wymaganym na tym stanowisku;
e) właściwy organ dokonał sprawdzenia, które potwierdziło, że dana osoba nie naruszała poważnie ani wielokrotnie przepisów dotyczących bezpieczeństwa;
f) objęcie tego stanowiska przez daną osobę zatwierdził właściwy organ; oraz
g) dokumentacja dotycząca przyznania dostępu w drodze wyjątku, wraz z opisem informacji, do których zatwierdzono dostęp, przechowywana jest w odpowiedzialnej kancelarii tajnej lub podległej kancelarii tajnej.
35. Powyższa procedura jest stosowana, by przyznać danej osobie jednorazowy dostęp do EUCI o klauzuli tajności o jeden poziom wyższej niż klauzula, do której ma ona dostęp po dokonaniu odpowiedniego sprawdzenia. Z procedury tej nie korzysta się w sposób wielokrotny.
36. W szczególnie wyjątkowych okolicznościach, takich jak misje prowadzone we wrogim środowisku lub w okresie rosnącego napięcia międzynarodowego, i gdy wymagają tego środki nadzwyczajne, w szczególności w celu ratowania życia ludzkiego, państwa członkowskie i Sekretarz Generalny mogą udzielić, w miarę możliwości na piśmie, dostępu do informacji niejawnych o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET osobom, które nie posiadają wymaganego poświadczenia bezpieczeństwa, pod warunkiem że takie zezwolenie jest absolutnie niezbędne i nie ma żadnych uzasadnionych wątpliwości co do lojalności, wiarygodności i rzetelności danej osoby. Zachowuje się dokumentację takiego zezwolenia zawierającą opis informacji, do których dostęp zatwierdzono.
37. Taki dostęp w sytuacjach nadzwyczajnych do informacji niejawnych o klauzuli tajności TRÈS SECRET UE/EU TOP SECRET przysługuje tylko obywatelom Unii, których upoważniono do dostępu do informacji niejawnych o klauzuli krajowej odpowiadającej klauzuli tajności TRÈS SECRET UE/EU TOP SECRET albo do informacji niejawnych o klauzuli tajności SECRET UE/EU SECRET.
38. Komitet ds. Bezpieczeństwa informowany jest o przypadkach skorzystania z procedury przedstawionej w pkt 36 i 37.
39. Jeżeli krajowe przepisy ustawowe i wykonawcze państwa członkowskiego przewidują bardziej rygorystyczne zasady dotyczące tymczasowych upoważnień, tymczasowego pełnienia obowiązków, jednorazowego dostępu do informacji niejawnych lub dostępu do takich informacji w sytuacjach nadzwyczajnych, procedury przewidziane w niniejszej sekcji stosowane są wyłącznie w ramach ograniczeń ustalonych w odpowiednich przepisach ustawowych i wykonawczych.
40. Komitet ds. Bezpieczeństwa otrzymuje roczne sprawozdanie na temat korzystania z procedur określonych w niniejszej sekcji.
VI. UDZIAŁ W POSIEDZENIACH NA FORUM RADY
41. Z zastrzeżeniem pkt 28, osoby wyznaczone do udziału w posiedzeniach Rady lub organów przygotowawczych Rady, podczas których omawiane są informacje niejawne o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższej, mogą brać w nich udział tylko po potwierdzeniu statusu ich poświadczenia bezpieczeństwa. W przypadku delegatów ich ZPBO lub inny dowód posiadania przez nich poświadczenia bezpieczeństwa przesyłany jest przez odpowiednie organy do Biura ds. Bezpieczeństwa SGR lub, w sytuacjach wyjątkowych, przedstawiany jest przez samego delegata. W odpowiednich przypadkach można zastosować skonsolidowany wykaz nazwisk, przedstawiając odpowiednie dowody posiadania poświadczenia bezpieczeństwa.
42. Jeżeli z powodów bezpieczeństwa osobie, której obowiązki wymagają udziału w posiedzeniach Rady lub organów przygotowawczych Rady, cofnięte zostaje PBO uprawniające do dostępu do EUCI, właściwy organ informuje o tym SGR.
VII. POTENCJALNY DOSTĘP DO EUCI
43. Kurierzy, strażnicy i eskorta są odpowiednio sprawdzani do celów dostępu do informacji o odpowiedniej klauzuli tajności lub w inny sposób odpowiednio sprawdzani zgodnie z krajowymi przepisami ustawowymi i wykonawczymi, informowani o procedurach bezpieczeństwa w zakresie ochrony EUCI oraz instruowani o obowiązku ochrony informacji, które im powierzono.
(1) Rozporządzenie Rady (EWG, Euratom, EWWiS) nr 259/68 z dnia 29 lutego 1968 r. ustanawiające regulamin pracowniczy i warunki zatrudnienia innych pracowników Wspólnot Europejskich oraz ustanawiające specjalne środki stosowane tymczasowo wobec urzędników Komisji (Dz.U. L 56 z 4.3.1968, s. 1).
ZAŁĄCZNIK II
BEZPIECZEŃSTWO FIZYCZNE
I. WSTĘP
1. Niniejszy załącznik zawiera przepisy dotyczące wykonania art. 8. Określa on minimalne wymogi w zakresie fizycznej ochrony obiektów, budynków, biur, pomieszczeń i innych stref, w których EUCI są wykorzystywane i przechowywane, w tym stref, w których znajdują się CIS.
2. Środki bezpieczeństwa fizycznego mają na celu zapobieżenie nieuprawnionemu dostępowi do EUCI przez:
a) zapewnienie właściwego wykorzystywania i przechowywania EUCI;
b) umożliwienie podziału pracowników pod względem dostępu do EUCI zgodnie z zasadą ograniczonego dostępu i, w odpowiednich przypadkach, posiadanym przez nich poświadczeniem bezpieczeństwa;
c) powstrzymywanie nieuprawnionych działań, ich udaremnianie i wykrywanie; oraz
d) uniemożliwienie lub opóźnienie wtargnięcia osób nieupoważnionych w sposób niezauważony lub z użyciem siły.
II. WYMOGI I ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO
3. Środki bezpieczeństwa fizycznego dobiera się na podstawie oceny zagrożenia przeprowadzonej przez właściwe organy. SGR i państwa członkowskie stosują w swoich obiektach proces zarządzania ryzykiem służący ochronie EUCI, aby zapewnić poziom ochrony fizycznej proporcjonalny do szacowanego ryzyka. Proces zarządzania ryzykiem uwzględnia wszelkie istotne czynniki, a w szczególności:
a) klauzulę tajności EUCI;
b) postać i ilość EUCI, z uwzględnieniem faktu, że duża ilość EUCI lub ich kompilacja mogą wymagać zastosowania bardziej rygorystycznych środków ochrony;
c) otoczenie i strukturę budynków lub stref, w których znajdują się EUCI; oraz
d) szacowane zagrożenie ze strony służb wywiadowczych, których celem jest Unia lub państwa członkowskie, oraz zagrożenie sabotażem, terroryzmem, działalnością wywrotową lub inną działalnością przestępczą.
4. Stosując koncepcję ochrony w głąb, właściwy organ bezpieczeństwa określa właściwą kombinację środków bezpieczeństwa fizycznego, które należy zastosować. Mogą one obejmować jeden z poniższych środków lub większą ich liczbę:
a) ogrodzenie: fizyczne ogrodzenie, które chroni granice strefy wymagającej ochrony;
b) systemy sygnalizacji włamania i napadu (SSWiN): SSWiN można stosować w celu podwyższenia poziomu bezpieczeństwa, który daje ogrodzenie, a w pomieszczeniach i budynkach w celu zastąpienia lub wsparcia pracowników ochrony;
c) kontrola dostępu: kontrola dostępu może obejmować teren, budynek lub budynki znajdujące się na danym terenie lub też strefy lub pomieszczenia wewnątrz budynku. Kontrolę można prowadzić za pomocą środków elektronicznych, środków elektromechanicznych, za pośrednictwem pracowników ochrony lub pracowników recepcji lub za pomocą wszelkich innych środków fizycznych;
d) pracownicy ochrony: przeszkoleni, nadzorowani, a w razie konieczności odpowiednio sprawdzeni pracownicy ochrony mogą być zatrudniani, między innymi w celu powstrzymania osób planujących niezauważone wejście na dany teren;
e) telewizja przemysłowa (CCTV): CCTV może być stosowana przez pracowników ochrony w celu sprawdzania incydentów i sygnałów alarmowych pochodzących z SSWiN na rozległych terenach lub na ogrodzeniach;
f) oświetlenie ochronne: oświetlenie ochronne może być stosowane w celu powstrzymania potencjalnych osób nieupoważnionych, a ponadto w celu zapewnienia oświetlenia koniecznego do prowadzenia skutecznego nadzoru bezpośrednio przez pracowników ochrony lub pośrednio za pomocą systemu CCTV; oraz
g) wszelkie inne stosowne środki fizyczne służące powstrzymywaniu lub wykrywaniu przypadków nieuprawnionego dostępu lub zapobieganiu utracie EUCI lub narażeniu na szwank ich bezpieczeństwa.
5. Właściwy organ może być uprawniony do przeprowadzania przeszukania osób wchodzących i wychodzących, co ma stanowić środek odstraszający przed nieuprawnionym wnoszeniem materiałów lub nieuprawnionym wynoszeniem EUCI z obiektów lub budynków.
6. Jeżeli istnieje ryzyko podglądu EUCI, także przypadkowego, podejmuje się stosowne środki w celu zlikwidowania takiego ryzyka.
7. W przypadku nowych obiektów wymogi dotyczące bezpieczeństwa fizycznego i specyfikacje dotyczące ich stosowania określane są w ramach planowania i projektowania tych obiektów. W przypadku obiektów już istniejących wymogi dotyczące bezpieczeństwa fizycznego stosowane są w największym możliwym zakresie.
III. SPRZĘT SŁUŻĄCY DO FIZYCZNEJ OCHRONY EUCI
8. Przy zakupie sprzętu służącego do fizycznej ochrony EUCI (takiego jak zabezpieczone szafy, niszczarki, zamki do drzwi, elektroniczne systemy kontroli dostępu, SSWiN, systemy alarmowe) właściwy organ bezpieczeństwa zapewnia, by sprzęt ten spełniał zatwierdzone normy techniczne i minimalne wymogi.
9. Specyfikacje techniczne sprzętu, który ma być wykorzystywany do fizycznej ochrony EUCI, określane są w wytycznych dotyczących bezpieczeństwa, które zatwierdza Komitet ds. Bezpieczeństwa.
10. Systemy bezpieczeństwa są poddawane regularnym inspekcjom, a sprzęt – regularnej konserwacji. Podczas konserwacji uwzględnia się wyniki inspekcji, aby zapewnić dalsze optymalne działanie sprzętu.
11. Podczas każdej inspekcji przeprowadza się ocenę skuteczności poszczególnych środków bezpieczeństwa oraz całego systemu bezpieczeństwa.
IV. STREFY CHRONIONE FIZYCZNIE
12. Ustanawia się dwa rodzaje stref chronionych fizycznie lub ich krajowych odpowiedników, służących fizycznej ochronie EUCI:
a) strefy administracyjne; oraz
b) strefy bezpieczeństwa (w tym strefy technicznie zabezpieczone).
W niniejszej decyzji wszystkie odniesienia do stref administracyjnych i stref bezpieczeństwa, w tym stref technicznie zabezpieczonych, należy rozumieć jako odnoszące się także do ich krajowych odpowiedników.
13. Właściwy organ bezpieczeństwa stwierdza, czy dana strefa spełnia wymogi potrzebne do uznania jej za strefę administracyjną, strefę bezpieczeństwa lub strefę technicznie zabezpieczoną.
14. W przypadku stref administracyjnych:
a) wyraźnie określa się granicę umożliwiającą kontrolę osób i, jeżeli to możliwe, pojazdów;
b) dostęp bez eskorty umożliwia się tylko osobom, które są odpowiednio upoważnione przez właściwy organ; oraz
c) wszystkim innym osobom przez cały czas towarzyszy eskorta lub poddaje się je równorzędnej kontroli.
15. W przypadku stref bezpieczeństwa:
a) wyraźnie określa się i chroni granicę, na której wszelkie wejścia i wyjścia kontrolowane są za pomocą przepustki lub systemu rozpoznawania osób;
b) dostęp bez eskorty umożliwia się tylko osobom odpowiednio sprawdzonym i wyraźnie upoważnionym do wejścia do danej strefy zgodnie z zasadą ograniczonego dostępu; oraz
c) wszystkim innym osobom przez cały czas towarzyszy eskorta lub poddaje się je równorzędnej kontroli.
16. Jeżeli wejście do strefy bezpieczeństwa jest w praktyce równoznaczne z bezpośrednim dostępem do informacji niejawnych znajdujących się w tej strefie, zastosowanie mają następujące dodatkowe wymogi:
a) wyraźnie wskazuje się najwyższą klauzulę tajności, którą przyznano informacjom zwykle przechowywanym w tej strefie;
b) wszystkie osoby wchodzące do tej strefy muszą posiadać specjalne upoważnienie do wejścia do tej strefy, przez cały czas towarzyszyć im musi eskorta i muszą być odpowiednio sprawdzone, chyba że podjęte zostały kroki służące zapewnieniu, aby nie był możliwy dostęp do EUCI.
17. Strefy bezpieczeństwa chronione przed podsłuchem uznawane są za strefy technicznie zabezpieczone. Zastosowanie mają następujące dodatkowe wymogi:
a) strefy takie wyposażone są w SSWiN, są zamknięte na klucz, gdy nikt w nich nie przebywa, i chronione, gdy ktoś w nich przebywa. Wszystkie klucze podlegają kontroli zgodnie z sekcją VI;
b) wszystkie osoby wchodzące do takich stref lub materiały tam wnoszone podlegają kontroli;
c) strefy takie podlegają regularnym inspekcjom fizycznym lub technicznym zgodnie z wymogami właściwego organu bezpieczeństwa. Inspekcje takie przeprowadza się także po każdorazowym nieuprawnionym wejściu do strefy lub podejrzeniu, że takie wejście miało miejsce; oraz
d) w strefach takich nie mogą się znajdować niezatwierdzone linie komunikacyjne, niezatwierdzone telefony, inne niezatwierdzone urządzenia komunikacyjne ani sprzęt elektryczny lub elektroniczny.
18. Niezależnie od pkt 17 lit. d), zanim urządzenia komunikacyjne i sprzęt elektryczny lub elektroniczny zostaną użyte w strefach, w których odbywają się posiedzenia lub prowadzone są prace związane z wykorzystaniem informacji niejawnych o klauzuli tajności SECRET UE/EU SECRET i wyższej, a także jeżeli ocenia się, że istnieje wysokie zagrożenie dla EUCI, urządzenia i sprzęt taki zostają najpierw sprawdzone przez właściwy organ bezpieczeństwa w celu zapewnienia, aby żadne zrozumiałe informacje nie zostały nieumyślnie lub nielegalnie transmitowane przez taki sprzęt poza granicę strefy bezpieczeństwa.
19. Strefy bezpieczeństwa, w których nie pracują w systemie całodobowym pracownicy pełniący dyżur, są w odpowiednich przypadkach poddawane inspekcji na koniec normalnych godzin pracy i w przypadkowych odstępach czasu poza tymi godzinami, chyba że znajdują się tam SSWiN.
20. Strefy bezpieczeństwa oraz strefy technicznie zabezpieczone mogą być tworzone tymczasowo na terenie stref administracyjnych w celu zorganizowania niejawnego posiedzenia lub w jakimkolwiek innym podobnym celu.
21. Dla każdej strefy bezpieczeństwa opracowywane są procedury bezpiecznej eksploatacji określające:
a) poziom klauzuli tajności EUCI, które można wykorzystywać i przechowywać w tej strefie;
b) środki nadzoru i ochrony, które należy stosować;
c) osoby upoważnione do wejścia do strefy bez eskorty ze względu na zasadę ograniczonego dostępu i posiadane poświadczenie bezpieczeństwa;
d) w odpowiednich przypadkach, procedury dotyczące eskort lub ochrony EUCI, jeżeli zezwala się na wejście do strefy innym osobom; oraz
e) wszelkie inne odpowiednie środki i procedury.
22. W ramach stref bezpieczeństwa są budowane wzmocnione pomieszczenia. Ściany, podłogi, sufity, okna i wyposażone w zamek drzwi zatwierdzane są przez właściwy organ bezpieczeństwa i zapewniają ochronę równoważną zabezpieczonym szafom zatwierdzonym do celów przechowywania EUCI o tym samym poziomie klauzuli tajności.
V. FIZYCZNE ŚRODKI OCHRONY NA POTRZEBY WYKORZYSTYWANIA I PRZECHOWYWANIA EUCI
23. Wykorzystywanie EUCI o klauzuli tajności RESTREINT UE/EU RESTRICTED może się odbywać:
a) w strefie bezpieczeństwa;
b) w strefie administracyjnej, pod warunkiem że EUCI są chronione przed dostępem osób nieupoważnionych; lub
c) poza strefą bezpieczeństwa lub strefą administracyjną, pod warunkiem że posiadacz przemieszcza EUCI zgodnie z załącznikiem III pkt 28– 41 i zobowiązał się do zastosowania środków równoważnych określonych w instrukcjach bezpieczeństwa wydanych przez właściwy organ bezpieczeństwa służących zapewnieniu, aby nieupoważnione osoby nie miały dostępu do EUCI.
24. EUCI o klauzuli tajności RESTREINT UE/EU RESTRICTED przechowywane są w odpowiednim do tego celu zamkniętym meblu biurowym w strefie administracyjnej lub strefie bezpieczeństwa. Mogą być one tymczasowo przechowywane poza strefą bezpieczeństwa lub strefą administracyjną, pod warunkiem że posiadacz zobowiązał się do zastosowania środków równoważnych określonych w instrukcjach bezpieczeństwa wydanych przez właściwy organ bezpieczeństwa.
25. Wykorzystywanie EUCI o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET może się odbywać:
a) w strefie bezpieczeństwa;
b) w strefie administracyjnej, pod warunkiem że EUCI są chronione przed dostępem osób nieupoważnionych; lub
c) poza strefą bezpieczeństwa lub strefą administracyjną, pod warunkiem że posiadacz:
(i) przemieszcza EUCI zgodnie z załącznikiem III pkt 28–41;
(ii) zobowiązał się do zastosowania środków równoważnych określonych w instrukcjach bezpieczeństwa wydanych przez właściwy organ bezpieczeństwa służących zapewnieniu, aby nieupoważnione osoby nie miały dostępu do EUCI;
(iii) przechowuje EUCI przez cały czas pod swoją kontrolą; oraz
(iv) w przypadku dokumentów w formie papierowej – powiadomił o tym fakcie właściwą kancelarię tajną.
26. EUCI o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET przechowywane są w strefie bezpieczeństwa – w zabezpieczonej szafie lub we wzmocnionym pomieszczeniu.
27. Wykorzystywanie EUCI o klauzuli tajności TRÈS SECRET UE/EU TOP SECRET odbywa się w strefie bezpieczeństwa.
28. EUCI o klauzuli tajności TRÈS SECRET UE/EU TOP SECRET przechowywane są w strefie bezpieczeństwa, przy spełnieniu jednego z następujących warunków:
a) są one przechowywane w zabezpieczonej szafie, zgodnie z pkt 8, której towarzyszy co najmniej jedno z następujących zabezpieczeń dodatkowych:
(i) stała ochrona lub kontrola przez odpowiednio sprawdzonych pracowników ochrony lub pracowników pełniących dyżur;
(ii) zatwierdzony SSWiN obsługiwany przez pracowników ochrony odpowiedzialnych za bezpieczeństwo;
b) są one przechowywane we wzmocnionym pomieszczeniu wyposażonym w SSWiN oraz obsługiwanym przez pracowników ochrony odpowiedzialnych za bezpieczeństwo.
29. Przepisy regulujące przemieszczanie EUCI poza strefami chronionymi fizycznie znajdują się w załączniku III.
VI. KONTROLA KLUCZY I KODÓW WYKORZYSTYWANYCH DO OCHRONY EUCI
30. Właściwy organ bezpieczeństwa określa procedury zarządzania kluczami i kodami do biur, pomieszczeń, wzmocnionych pomieszczeń i zabezpieczonych szaf. Procedury te chronią przed nieuprawnionym dostępem do informacji.
31. Kody są zapamiętywane przez jak najmniejszą liczbę osób, którym ich znajomość jest niezbędna. Kody do zabezpieczonych szaf i wzmocnionych pomieszczeń, w których przechowywane są EUCI, są zmieniane:
a) w przypadku otrzymania nowej szafy;
b) przy każdej zmianie pracowników znających kod;
c) w każdym przypadku, gdy następuje rzeczywiste lub domniemane narażenie na szwank bezpieczeństwa informacji;
d) gdy zamek poddano konserwacji lub naprawie; oraz
e) nie rzadziej niż co 12 miesięcy.
ZAŁĄCZNIK III
ZARZĄDZANIE INFORMACJAMI NIEJAWNYMI
I. WSTĘP
1. Niniejszy załącznik zawiera przepisy dotyczące wykonania art. 9. Określa on środki administracyjne służące kontroli EUCI na wszystkich etapach ich cyklu życia, co ma pomóc w powstrzymywaniu od zamierzonego lub przypadkowego narażenia na szwank bezpieczeństwa takich informacji lub ich utraty i w wykrywaniu takich przypadków.
II. ZARZĄDZANIE KLAUZULAMI TAJNOŚCI
Klauzule tajności i oznaczenia
2. Informacjom nadaje się klauzulę tajności, jeżeli należy chronić ich poufność.
3. Za określenie poziomu klauzuli tajności, zgodnie z odpowiednimi wytycznymi w zakresie nadawania klauzul, i za początkową dystrybucję informacji odpowiada wytwórca EUCI.
4. Poziom klauzuli tajności EUCI określa się zgodnie z art. 2 ust. 2 i poprzez odniesienie do polityki bezpieczeństwa, która ma być zatwierdzona zgodnie z art. 3 ust. 3.
5. Klauzulę tajności nanosi się wyraźnie i poprawnie, niezależnie od tego, czy EUCI występują w formie pisemnej, ustnej, elektronicznej lub jakiejkolwiek innej.
6. Poszczególne części danego dokumentu (np. strony, punkty, sekcje, załączniki, dodatki, załączone dokumenty i uzupełnienia) mogą wymagać nadania różnych klauzul tajności i zostają odpowiednio oznaczone, także wtedy, gdy są przechowywane w formie elektronicznej.
7. Ogólna klauzula tajności dokumentu lub pliku jest co najmniej tak wysoka jak klauzula tajności tej części dokumentu, która została oznaczona najwyższą klauzulą tajności. W przypadku zebrania informacji pochodzących z różnych źródeł sprawdza się ostateczną wersję dokumentu w celu określenia jego ogólnej klauzuli tajności, gdyż może istnieć konieczność nadania mu klauzuli tajności wyższej niż klauzule jego poszczególnych części.
8. W stopniu, w jakim jest to możliwe, dokumenty, których częściom nadaje się różne klauzule tajności, są sporządzane w taki sposób, aby części oznaczone różnymi klauzulami można było łatwo zidentyfikować i w razie konieczności rozdzielić.
9. Klauzula tajności pisma lub noty zawierających załączniki ma taki poziom jak najwyższa klauzula tajności nadana tym załącznikom. Wytwórca wyraźnie wskazuje, jaki poziom klauzuli tajności ma być nadany takiemu pismu lub nocie po ich odłączeniu od załączników, stosując w tym celu odpowiednie oznaczenie, np.:
CONFIDENTIEL UE/EU CONFIDENTIAL
RESTREINT UE/EU RESTRICTED bez załącznika(-ów)
Oznaczenia
10. Oprócz jednej z klauzul tajności określonych w art. 2 ust. 2 EUCI mogą być opatrzone dodatkowymi oznaczeniami, takimi jak:
a) dane identyfikujące wytwórcę;
b) wszelkie oznaczenia zastrzegające, kody słowne lub akronimy określające obszar działalności, do którego odnosi się dany dokument, szczególny sposób dystrybucji dokumentu zgodnie z zasadą ograniczonego dostępu lub ograniczenia w zakresie wykorzystania;
c) oznaczenia dotyczące możliwości udostępnienia; lub
d) w odpowiednich przypadkach data lub konkretne wydarzenie, po których klauzula tajności może zostać obniżona lub zniesiona.
Skrócone oznaczenia klauzul tajności
11. W celu nadania poziomu klauzuli tajności pojedynczym ustępom tekstu można stosować standardowe skrócone oznaczenia klauzul tajności. Skróty nie zastępują pełnych nazw klauzul tajności.
12. W celu wskazania poziomu klauzuli tajności sekcji lub ciągłych fragmentów tekstu krótszych niż jedna strona w dokumentach niejawnych UE można stosować następujące standardowe skróty:
TRÈS SECRET UE/EU TOP SECRET | TS-UE/EU-TS |
SECRET UE/EU SECRET | S-UE/EU-S |
CONFIDENTIEL UE/EU CONFIDENTIAL | C-UE/EU-C |
RESTREINT UE/EU RESTRICTED | R-UE/EU-R |
Wytwarzanie EUCI
13. Przy wytwarzaniu dokumentu niejawnego UE:
a) każdą stronę wyraźnie oznacza się klauzulą tajności;
b) strony numeruje się;
c) na dokumencie umieszcza się numer referencyjny i temat, który nie stanowi informacji niejawnej, chyba że z jego oznaczenia wynika inaczej;
d) na dokumencie umieszcza się datę; oraz
e) na każdej stronie dokumentów o klauzuli tajności SECRET UE/EU SECRET lub wyższej, które mają zostać rozpowszechnione w kilku kopiach, umieszcza się numer kopii.
14. Jeżeli do EUCI nie można zastosować pkt 13, podejmowane są inne odpowiednie środki zgodnie z wytycznymi dotyczącymi bezpieczeństwa, które należy ustalić na mocy art. 6 ust. 2.
Obniżanie i znoszenie klauzul tajności EUCI
15. W momencie wytwarzania EUCI wytwórca wskazuje, o ile to możliwe, a w szczególności w odniesieniu do informacji niejawnych o klauzuli tajności RESTREINT UE/EU RESTRICTED, czy z daną datą lub w następstwie konkretnego wydarzenia klauzula tajności EUCI może zostać obniżona lub zniesiona.
16. SGR przeprowadza regularne przeglądy EUCI znajdujących się w jego posiadaniu, by stwierdzić, czy dana klauzula tajności ma nadal zastosowanie. SGR tworzy system służący do przeglądu klauzul tajności nadanych EUCI, których jest wytwórcą, nie rzadziej niż co pięć lat. Taki przegląd nie jest konieczny, jeżeli wytwórca wskazał na samym początku, że klauzula tajności nadana danym informacjom zostanie automatycznie obniżona lub zniesiona, a informacje te zostały odpowiednio oznaczone.
III. REJESTRACJA EUCI ZE WZGLĘDÓW BEZPIECZEŃSTWA
17. Dla każdej jednostki organizacyjnej w SGR i w administracji krajowej państw członkowskich, w których wykorzystuje się EUCI, określa się odpowiedzialną kancelarię tajną, która zapewnia, by wykorzystywanie EUCI było zgodne z niniejszą decyzją. Kancelarie tajne uznaje się za strefy bezpieczeństwa określone w załączniku II.
18. Do celów niniejszej decyzji rejestracja ze względów bezpieczeństwa (zwana dalej „rejestracją”) oznacza stosowanie procedur rejestrowania etapów cyklu życia tego materiału, w tym jego dystrybucji i zniszczenia.
19. Wszystkie materiały o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL i wyższej rejestruje się w wyznaczonych kancelariach tajnych w momencie ich wpłynięcia do jednostki organizacyjnej lub wysłania z tej jednostki.
20. Główna kancelaria tajna w SGR prowadzi rejestr wszystkich informacji niejawnych udostępnionych przez Radę i SGR państwom trzecim i organizacjom międzynarodowym i wszystkich informacji niejawnych otrzymanych od tych państw i organizacji.
21. W przypadku CIS procedury rejestracji mogą być stosowane w ramach działań samego CIS.
22. Rada zatwierdza politykę bezpieczeństwa dotyczącą rejestrowania EUCI ze względów bezpieczeństwa.
Kancelarie tajne TRÈS SECRET UE/EU TOP SECRET
23. W państwach członkowskich i w SGR wyznacza się kancelarię tajną będącą głównym organem otrzymującym i przesyłającym informacje niejawne o klauzuli tajności TRÈS SECRET UE/EU TOP SECRET. W razie konieczności można wyznaczyć podległe kancelarie tajne do wykorzystywania takich informacji do celów rejestracji.
24. Takie podległe kancelarie tajne nie mogą przekazywać dokumentów o klauzuli tajności TRÈS SECRET UE/EU TOP SECRET bezpośrednio innym podległym kancelariom tajnym podlegającym tej samej głównej kancelarii tajnej TRÈ S SECRET UE/EU TOP SECRET ani na zewnątrz bez wyraźnego pisemnego upoważnienia z jej strony.
IV. KOPIOWANIE I TŁUMACZENIE DOKUMENTÓW NIEJAWNYCH UE
25. Dokumenty o klauzuli tajności TRÈS SECRET UE/EU TOP SECRET nie mogą być kopiowane ani tłumaczone bez wcześniejszej pisemnej zgody ich wytwórcy.
26. Jeżeli wytwórca dokumentów o klauzuli tajności SECRET UE/EU SECRET i niższej nie zgłosił zastrzeżeń co do ich kopiowania lub tłumaczenia, dokumenty takie można kopiować lub tłumaczyć na zlecenie posiadacza.
27. Środki bezpieczeństwa, które stosuje się do oryginału dokumentu, mają zastosowanie do jego kopii i tłumaczeń.
V. PRZEMIESZCZANIE EUCI
28. Przemieszczanie EUCI podlega środkom ochrony określonym w pkt 30–41. Gdy EUCI są przemieszczane z użyciem środków elektronicznych, niezależnie od przepisów art. 9 ust. 4, poniższe środki ochrony mogą być uzupełnione odpowiednimi technicznymi środkami zaradczymi zgodnie z wytycznymi właściwego organu bezpieczeństwa, tak aby zminimalizować ryzyko utraty lub narażenia na szwank bezpieczeństwa informacji.
29. Właściwe organy bezpieczeństwa w SGR i w państwach członkowskich wydają instrukcje dotyczące przemieszczania EUCI zgodnie z niniejszą decyzją.
W obrębie budynku lub grupy budynków stanowiącej zamkniętą całość
30. EUCI przemieszczane w ramach budynku lub grupy budynków stanowiącej zamkniętą całość są zakrywane, aby nie można było zobaczyć ich treści.
31. W ramach budynku lub grupy budynków stanowiącej zamkniętą całość informacje niejawne o klauzuli tajności TRÈ S SECRET UE/EU TOP SECRET są przemieszczane w zabezpieczonej kopercie, na której znajduje się jedynie nazwisko adresata.
Na terytorium Unii
32. EUCI przewożone między budynkami lub obiektami na terytorium Unii są opakowane w taki sposób, by chronić je przed nieuprawnionym ujawnieniem.
33. Przewożenie informacji niejawnych o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET na terytorium Unii odbywa się za pomocą jednego z następujących środków:
a) za pośrednictwem, w odpowiednich przypadkach, kurierów wojskowych, rządowych lub dyplomatycznych;
b) osobiście, pod warunkiem że:
(i) EUCI przez cały czas znajdują się w posiadaniu osoby przewożącej je, chyba że są przechowywane zgodnie z wymogami określonymi w załączniku II;
(ii) EUCI nie są po drodze otwierane ani czytane w miejscach publicznych;
(iii) właściwe osoby informuje się o ich obowiązkach w zakresie bezpieczeństwa; oraz
(iv) w odpowiednich przypadkach właściwym osobom wydaje się list kurierski;
c) za pośrednictwem usług pocztowych lub prywatnych służb kurierskich, pod warunkiem że:
(i) są one zatwierdzone przez odpowiednią KWB zgodnie z krajowymi przepisami ustawowymi i wykonawczymi; oraz
(ii) stosują one odpowiednie środki ochrony zgodnie z minimalnymi wymogami, które mają być ustalone w wytycznych dotyczących bezpieczeństwa na mocy art. 6 ust. 2.
W przypadku przewożenia z jednego państwa członkowskiego do drugiego przepisy lit. c) są ograniczone do informacji niejawnych o klauzuli tajności do poziomu CONFIDENTIEL UE/EU CONFIDENTIAL.
34. Informacje niejawne o klauzuli tajności RESTREINT UE/EU RESTRICTED mogą być przewożone także za pośrednictwem usług pocztowych lub prywatnych służb kurierskich. Do przewożenia takich informacji nie jest wymagany list kurierski.
35. Materiał oznaczony klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL i SECRET UE/EU SECRET (np. sprzęt lub urządzenia), który nie może być przewożony środkami, o których mowa w pkt 33, jest transportowany tak jak ładunek przez prywatne firmy przewozowe zgodnie z załącznikiem V.
36. Przewożenie informacji niejawnych o klauzuli tajności TRÈS SECRET UE/EU TOP SECRET między budynkami lub obiektami na terytorium Unii odbywa się za pośrednictwem, w odpowiednich przypadkach, kurierów wojskowych, rządowych lub dyplomatycznych.
Z terytorium Unii na terytorium państwa trzeciego
37. EUCI przewożone z terytorium Unii na terytorium państwa trzeciego są opakowane w taki sposób, by chronić je przed nieuprawnionym ujawnieniem.
38. Przewożenie informacji niejawnych o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL i SECRET UE/EU SECRET z terytorium Unii na terytorium państwa trzeciego odbywa się za pomocą jednego z następujących środków:
a) za pośrednictwem kurierów wojskowych lub dyplomatycznych;
b) osobiście, pod warunkiem że:
(i) przesyłka opatrzona jest urzędową pieczęcią lub sposób zapakowania wskazuje na to, że jest to przesyłka urzędowa i nie powinna podlegać kontroli celnej ani kontroli bezpieczeństwa;
(ii) właściwa osoba posiada list kurierski zawierający informacje o przesyłce i upoważniający ją do przewożenia tej przesyłki;
(iii) EUCI przez cały czas znajdują się w posiadaniu osoby przewożącej je, chyba że są przechowywane zgodnie z wymogami określonymi w załączniku II;
(iv) EUCI nie są po drodze otwierane ani czytane w miejscach publicznych; oraz
(v) właściwe osoby informuje się o ich obowiązkach w zakresie bezpieczeństwa.
39. Przewożenie informacji niejawnych o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL i SECRET UE/EU SECRET udostępnionych przez Unię państwu trzeciemu lub organizacji międzynarodowej spełnia odpowiednie przepisy umowy o bezpieczeństwie informacji lub porozumienia administracyjnego zgodnie z art. 13 ust. 2 lit. a) lub b).
40. Informacje niejawne o klauzuli tajności RESTREINT UE/EU RESTRICTED mogą być przewożone także za pośrednictwem usług pocztowych lub prywatnych służb kurierskich.
41. Przewożenie informacji niejawnych o klauzuli tajności TRÈS SECRET UE/EU TOP SECRET z terytorium Unii na terytorium państwa trzeciego odbywa się za pośrednictwem kurierów wojskowych lub dyplomatycznych.
VI. NISZCZENIE EUCI
42. Dokumenty niejawne UE, które nie są już potrzebne, mogą zostać zniszczone bez uszczerbku dla odpowiednich zasad i przepisów wykonawczych dotyczących archiwizowania.
43. Dokumenty podlegające rejestracji zgodnie z art. 9 ust. 2 są niszczone przez odpowiedzialną kancelarię tajną na polecenie posiadacza lub właściwego organu. Rejestry i inne informacje dotyczące rejestracji są odpowiednio uaktualniane.
44. W odniesieniu do dokumentów niejawnych o klauzuli tajności SECRET UE/EU SECRET lub TRÈ S SECRET UE/EU TOP SECRET niszczenie przebiega w obecności świadka, który został odpowiednio sprawdzony co najmniej do poziomu klauzuli tajności niszczonego dokumentu.
45. Osoba dokonująca rejestracji oraz świadek, jeżeli jego obecność jest wymagana, podpisują protokół zniszczenia, który zostaje umieszczony w dokumentacji kancelarii tajnej. Protokoły zniszczenia dokumentów o klauzuli tajności TRÈS SECRET UE/EU TOP SECRET przechowuje się w kancelarii tajnej przez okres co najmniej dziesięciu lat, a dokumentów o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL i SECRET UE/EU SECRET – przez okres co najmniej pięciu lat.
46. Dokumenty niejawne, w tym dokumenty o klauzuli tajności RESTREINT UE/EU RESTRICTED, są niszczone przy zastosowaniu metod, które spełniają odpowiednie normy Unii lub normy równoważne lub które zostały zatwierdzone przez państwa członkowskie zgodnie z krajowymi normami technicznymi, tak by nie mogły zostać całkowicie lub częściowo odtworzone.
47. Niszczenie komputerowych nośników EUCI odbywa się zgodnie z załącznikiem IV pkt 37.
48. W sytuacji nadzwyczajnej, jeśli istnieje bezpośrednie ryzyko nieuprawnionego ujawnienia, EUCI są niszczone przez posiadacza w taki sposób, by nie mogły zostać odtworzone w całości ani częściowo. Wytwórca i kancelaria tajna wytwórcy zostają powiadomieni o zniszczeniu w trybie nagłym zarejestrowanych EUCI.
VII. WIZYTY OCENIAJĄCE
49. Termin „wizyta oceniająca” użyty poniżej oznacza każdą:
a) inspekcję lub wizytę oceniającą zgodnie z art. 9 ust. 3 oraz art. 16 ust. 2 lit. e), f) i g); lub
b) wizytę oceniającą zgodnie z art. 13 ust. 5,
służącą ocenie skuteczności środków wdrożonych, aby chronić EUCI.
50. Wizyty oceniające przeprowadza się m.in., aby:
a) zapewnić przestrzeganie określonych w niniejszej decyzji wymaganych norm minimalnych w zakresie ochrony EUCI;
b) podkreślić znaczenie bezpieczeństwa i skutecznego zarządzania ryzykiem wewnątrz podmiotów poddawanych inspekcji;
c) zalecić środki zaradcze mające złagodzić konkretne skutki, jakie może powodować utrata poufności, integralności lub dostępności informacji niejawnych; oraz
d) ulepszyć istniejące programy, opracowane przez organy bezpieczeństwa, dotyczące szkoleń i upowszechniania wiedzy w dziedzinie bezpieczeństwa.
51. Przed końcem każdego roku kalendarzowego Rada przyjmuje na następny rok program wizyt oceniających przewidziany w art. 16 ust. 1 lit. c). Konkretne terminy każdej wizyty oceniającej są określane w porozumieniu z danym organem lub daną jednostką organizacyjną Unii, państwem członkowskim, państwem trzecim lub organizacją międzynarodową.
Przebieg wizyt oceniających
52. Wizyty oceniające przeprowadzane są, aby sprawdzić odpowiednie zasady, przepisy i procedury stosowane przez podmiot poddawany ocenie oraz stwierdzić, czy praktyki w nim stosowane odpowiadają podstawowym zasadom i minimalnym normom określonym w niniejszej decyzji oraz przepisom dotyczącym wymiany informacji niejawnych z tym podmiotem.
53. Wizyty oceniające są przeprowadzane w dwóch etapach. Przed samą wizytą w razie potrzeby organizowane jest posiedzenie przygotowawcze z odpowiednim podmiotem. Po spotkaniu przygotowawczym zespół przeprowadzający ocenę ustala, w porozumieniu z danym podmiotem, szczegółowy program wizyty oceniającej obejmujący wszystkie obszary bezpieczeństwa. Zespół przeprowadzający wizytę oceniającą powinien mieć dostęp do wszystkich miejsc, w których wykorzystywane są EUCI, w szczególności do kancelarii tajnych i punktów, w których znajdują się CIS.
54. Wizyty oceniające w krajowych administracjach państw członkowskich, państwach trzecich i organizacjach międzynarodowych są prowadzone w pełnej współpracy z urzędnikami podmiotu, państwa trzeciego lub organizacji międzynarodowej poddawanych ocenie.
55. Wizyty oceniające prowadzone w organach, agencjach i podmiotach Unii stosujących niniejszą decyzję lub przewidziane w niej zasady prowadzone są przy wsparciu ekspertów KWB państwa, na terytorium którego znajduje się dany organ lub agencja.
56. W przypadku wizyt oceniających prowadzonych w organach, agencjach i podmiotach Unii, które stosują niniejszą decyzję lub przewidziane w niej zasady, a także w państwach trzecich i organizacjach międzynarodowych eksperci KWB mogą być proszeni o wsparcie i wkład zgodnie ze szczegółowymi ustaleniami uzgodnionymi przez Komitet ds. Bezpieczeństwa.
Raporty
57. Na zakończenie wizyty oceniającej poddanemu jej podmiotowi przedstawiane są główne wnioski i zalecenia. Następnie sporządzany jest raport z wizyty oceniającej. W przypadku gdy zostały zaproponowane działania naprawcze i zalecenia, w raporcie zamieszcza się odpowiednio szczegółowe dane uzasadniające dojście do takich wniosków. Raport przekazywany jest właściwemu organowi wizytowanego podmiotu.
58. W przypadku wizyt oceniających przeprowadzanych w krajowych administracjach państw członkowskich:
a) projekt raportu z oceny zostanie przekazany odpowiedniej KWB w celu sprawdzenia, czy jest zgodny z faktami i czy nie zawiera informacji o klauzuli tajności wyższej niż RESTREINT UE/EU RESTRICTED; oraz
b) o ile KWB danego państwa członkowskiego nie wystąpi o wstrzymanie ogólnej dystrybucji, raporty z oceny przekazywane są Komitetowi ds. Bezpieczeństwa. Raportowi nadaje się klauzulę tajności RESTREINT UE/EU RESTRICTED.
Pod nadzorem organu bezpieczeństwa SGR (Biura ds. Bezpieczeństwa) przygotowywany jest okresowy raport mający na celu uwypuklenie doświadczeń nabytych w wyniku wizyt oceniających przeprowadzonych w państwach członkowskich w danym okresie i przeanalizowanych przez Komitet ds. Bezpieczeństwa.
59. W przypadku wizyt oceniających w państwach trzecich i organizacjach międzynarodowych raport przekazywany jest Komitetowi ds. Bezpieczeństwa. Raportowi nadaje się co najmniej klauzulę tajności RESTREINT UE/EU RESTRICTED. Wszelkie działania naprawcze są weryfikowane podczas kolejnej wizyty, a raport na ich temat przekazywany jest Komitetowi ds. Bezpieczeństwa.
60. W przypadku wizyt oceniających w organach, agencjach i podmiotach Unii, które stosują niniejszą decyzję lub przewidziane w niej zasady, raporty z wizyt oceniających przekazywane są Komitetowi ds. Bezpieczeństwa. Projekt raportu z wizyty oceniającej przekazywany jest odpowiedniej agencji lub odpowiedniemu organowi w celu sprawdzenia, czy jest on zgodny z faktami i czy nie zawiera informacji o klauzuli tajności wyższej niż RESTREINT UE/EU RESTRICTED. Wszelkie działania naprawcze są weryfikowane podczas kolejnej wizyty, a raport na ich temat przekazywany jest Komitetowi ds. Bezpieczeństwa.
61. Organ bezpieczeństwa SGR przeprowadza regularne inspekcje jednostek organizacyjnych w SGR w celach określonych w pkt 50.
Lista kontrolna
62. Organ bezpieczeństwa SGR (Biuro ds. Bezpieczeństwa) sporządza i uaktualnia listę kontrolną zawierającą punkty, które należy sprawdzić w trakcie wizyty oceniającej. Lista kontrolna przekazywana jest Komitetowi ds. Bezpieczeństwa.
63. Informacji służących uzupełnieniu listy kontrolnej udziela, w szczególności podczas wizyty, personel zajmujący się kontrolą bezpieczeństwa w podmiocie, w którym przeprowadzana jest inspekcja. Po uzupełnieniu listy kontrolnej przez podanie szczegółowych odpowiedzi nadaje się jej klauzulę tajności w porozumieniu z podmiotem poddawanym inspekcji. Lista ta nie jest częścią raportu z inspekcji.
ZAŁĄCZNIK IV
OCHRONA EUCI PRZETWARZANYCH W CIS
I. WSTĘP
1. Niniejszy załącznik zawiera przepisy dotyczące wykonania art. 10.
2. Następujące cechy i koncepcje zabezpieczania informacji są niezbędne dla bezpieczeństwa i prawidłowego funkcjonowania operacji dokonywanych w ramach CIS:
Autentyczność: | gwarancja, że informacje są prawdziwe i pochodzą z rzetelnych źródeł; |
Dostępność: | cecha polegająca na tym, że informacje są dostępne i gotowe do wykorzystania na wniosek uprawnionego podmiotu; |
Poufność: | cecha polegająca na tym, że informacje nie są ujawniane nieupoważnionym osobom, podmiotom ani do celów nieuprawnionego przetwarzania; |
Integralność: | cecha polegająca na zachowywaniu dokładności i kompletności informacji i zasobów; |
Niezaprzeczalność: | możliwość udowodnienia, że działanie lub wydarzenie miało miejsce, aby następnie nie można było zaprzeczyć wystąpieniu tego działania lub wydarzenia. |
II. ZASADY ZABEZPIECZANIA INFORMACJI
3. Przedstawione poniżej przepisy stanowią podstawę bezpieczeństwa wszelkich systemów CIS, w ramach których przetwarzane są EUCI. Szczegółowe wymogi dotyczące wdrażania tych przepisów są zdefiniowane w ramach polityk bezpieczeństwa w zakresie zabezpieczania informacji oraz w wytycznych dotyczących bezpieczeństwa.
Zarządzanie ryzykiem dla bezpieczeństwa
4. Zarządzanie ryzykiem dla bezpieczeństwa stanowi integralną część definiowania, rozwijania, obsługiwania i konserwacji CIS. Zarządzanie ryzykiem (ocena, zmniejszanie, akceptacja i powiadamianie) jest prowadzone jako interaktywny proces wspólnie przez przedstawicieli właścicieli systemu, organy odpowiedzialne za projekt, organy operacyjne oraz organy zatwierdzające bezpieczeństwo, w ramach sprawdzonego, przejrzystego i w pełni zrozumiałego procesu oceny ryzyka. Zakres stosowania CIS oraz jego zasobów jest jasno definiowany na początku procesu zarządzania ryzykiem.
5. Właściwe organy dokonują przeglądu potencjalnych zagrożeń dla CIS i posiadają aktualne i dokładne oceny zagrożeń, odzwierciedlające aktualne środowisko operacyjne. Stale uaktualniają swoją wiedzę na temat podatności na zagrożenia i dokonują okresowych przeglądów oceny podatności, aby dostosować się do zmieniających się technologii informatycznych (IT).
6. Celem zmniejszania ryzyka naruszenia zasad bezpieczeństwa jest zastosowanie zestawu środków bezpieczeństwa prowadzących do osiągnięcia zadowalającej równowagi między wymaganiami użytkownika, kosztami a szczątkowym ryzykiem naruszenia zasad bezpieczeństwa.
7. Szczególne wymogi, skala i stopień szczegółowości określone przez odpowiednie SAA do celów przyznania akredytacji CIS są proporcjonalne do szacowanego ryzyka z uwzględnieniem wszystkich odpowiednich czynników, w tym poziomu klauzuli tajności EUCI przetwarzanych w danym CIS. Akredytacja obejmuje oficjalne oświadczenie o ryzyku szczątkowym oraz akceptację ryzyka szczątkowego przez odpowiedzialny organ.
Bezpieczeństwo w całym cyklu życia CIS
8. Zapewnianie bezpieczeństwa jest wymogiem obowiązującym w całym cyklu życia CIS, od jego uruchomienia do wycofania z użytkowania.
9. Dla każdego etapu cyklu życia CIS określana jest rola i interakcja każdego z podmiotów związanych z CIS w odniesieniu do jego bezpieczeństwa.
10. Wszystkie CIS wraz z technicznymi i innymi środkami bezpieczeństwa są podczas procedury akredytacji poddawane testom bezpieczeństwa, aby zapewnić osiągnięcie odpowiedniego stopnia zabezpieczenia oraz sprawdzić, czy są one prawidłowo wdrożone, zintegrowane i skonfigurowane.
11. Oceny bezpieczeństwa, inspekcje i przeglądy przeprowadzane są okresowo w fazie operacyjnej oraz podczas konserwacji CIS, jak również przy pojawieniu się nadzwyczajnych okoliczności.
12. Dokumentacja bezpieczeństwa CIS ewoluuje podczas wszystkich etapów jego cyklu życia na zasadzie integralnej części procesu zmian i zarządzania konfiguracjami.
Dobre praktyki
13. SGR i państwa członkowskie współpracują, aby opracować dobre praktyki ochrony EUCI, które przetwarza się w ramach CIS. Wytyczne w zakresie dobrych praktyk zawierają techniczne, fizyczne, organizacyjne i proceduralne środki bezpieczeństwa dotyczące CIS o sprawdzonej skuteczności w zapobieganiu danym zagrożeniom i podatności.
14. Ochrona EUCI przetwarzanych w ramach CIS opiera się na doświadczeniach podmiotów zaangażowanych w zabezpieczanie informacji, zarówno w Unii, jak i poza nią.
15. Rozpowszechnianie, a następnie wdrażanie dobrych praktyk pomaga w osiągnięciu równoważnego poziomu zabezpieczenia różnych CIS, eksploatowanych przez SGR i państwa członkowskie, które przetwarzają EUCI.
Ochrona w głąb
16. Aby zmniejszyć ryzyko zagrażające CIS, wdrażany jest pakiet technicznych i innych środków bezpieczeństwa o strukturze różnych poziomów ochrony. Poziomy te obejmują:
a) powstrzymywanie: środki bezpieczeństwa ukierunkowane na zniechęcenie osób planujących atak na CIS;
b) zapobieganie: środki bezpieczeństwa ukierunkowane na udaremnienie lub powstrzymanie ataku na CIS;
c) wykrywanie: środki bezpieczeństwa ukierunkowane na ujawnienie ataku na CIS;
d) odporność: środki bezpieczeństwa ukierunkowane na ograniczenie skutków ataku, tak by dotknęły one jak najmniejszą ilość informacji lub zasobów CIS, oraz na zapobieżenie dalszym szkodom; oraz
e) usuwanie skutków: środki bezpieczeństwa ukierunkowane na odzyskanie bezpiecznego statusu CIS.
Stopień rygorystyczności takich środków bezpieczeństwa ustalany jest na podstawie oceny ryzyka.
17. Właściwa KWB lub inny właściwy organ zapewnia, aby:
a) wdrożone były zdolności cyberobrony służące reagowaniu na zagrożenia, które mogą przekraczać granice poszczególnych organizacji i państw; oraz
b) reakcje te były skoordynowane, a informacje o tych zagrożeniach, incydentach i związanym z nimi ryzyku wymieniane (zdolności do reagowania na sytuacje nadzwyczajne w ramach systemów komputerowych).
Zasada minimalizmu i najmniejszych uprawnień
18. Aby zapobiec niepotrzebnemu ryzyku, stosowane są wyłącznie funkcje, urządzenia i usługi niezbędne do spełnienia wymogów operacyjnych.
19. Aby ograniczyć szkody wynikające z wypadków, błędów lub nieuprawnionego korzystania z zasobów CIS, użytkownicy CIS oraz procesy zautomatyzowane otrzymują wyłącznie taki dostęp i takie przywileje i upoważnienia, jakie są im niezbędne do wykonywania ich zadań.
20. Procedury rejestracji stosowane w razie konieczności w ramach CIS sprawdzane są jako element procedury akredytacji.
Świadomość zabezpieczania informacji
21. Świadomość ryzyka i dostępnych środków bezpieczeństwa stanowi pierwszą linię obrony bezpieczeństwa CIS. W szczególności wszyscy członkowie personelu związani z CIS na poszczególnych etapach jego cyklu życia, w tym użytkownicy, powinni zrozumieć:
a) że niedopatrzenia w zakresie bezpieczeństwa mogą znacznie zaszkodzić CIS;
b) potencjalne szkody, jakie mogą ponieść inne podmioty w związku z podłączeniem do systemów lub sieci i współzależnością; oraz
c) że osobiście ponoszą odpowiedzialność i są rozliczani za bezpieczeństwo CIS zgodnie z pełnionymi przez siebie funkcjami w tych systemach i procesach.
22. Aby zapewnić zrozumienie obowiązków związanych z bezpieczeństwem, wszyscy członkowie personelu związani z CIS, w tym wyższe kierownictwo i użytkownicy CIS, przechodzą obowiązkowe szkolenia mające na celu edukację i zdobycie wiedzy w zakresie zabezpieczania informacji.
Ocena i zatwierdzanie produktów służących bezpieczeństwu systemów informatycznych
23. Wymagany stopień zabezpieczenia, jaki zapewniają środki bezpieczeństwa, określony jako poziom zabezpieczenia, określa się zgodnie z wynikami procesu zarządzania ryzykiem i zgodnie z odpowiednimi politykami i wytycznymi dotyczącymi bezpieczeństwa.
24. Poziom zabezpieczenia sprawdzany jest przy użyciu uznanych na szczeblu międzynarodowym lub zatwierdzonych na szczeblu krajowym procesów i metod. Obejmują one przede wszystkim ocenę, kontrole i audyt.
25. Produkty kryptograficzne służące ochronie EUCI są oceniane i zatwierdzane przez krajowy CAA państwa członkowskiego.
26. Przed zaleceniem Radzie lub Sekretarzowi Generalnemu zatwierdzenia produktów kryptograficznych, zgodnie z art. 10 ust. 6, produkty te muszą uzyskać pozytywny wynik podczas zewnętrznej oceny dokonywanej przez wykwalifikowany organ oceny produktów kryptograficznych (AQUA) państwa członkowskiego, które nie jest zaangażowane w projektowanie ani wytwarzanie tego sprzętu. Wymagany stopień szczegółowości oceny zewnętrznej zależy od przewidywanego najwyższego poziomu klauzuli tajności EUCI, które mają być chronione za pomocą tych produktów. Rada zatwierdza politykę bezpieczeństwa dotyczącą oceny i zatwierdzania produktów kryptograficznych.
27. Jeżeli uzasadniają to określone względy operacyjne, Rada lub, w odpowiednich przypadkach, Sekretarz Generalny mogą znieść na zalecenie Komitetu ds. Bezpieczeństwa wymogi wynikające z pkt 25 lub 26 niniejszego załącznika i udzielić tymczasowej akceptacji na dany okres zgodnie z procedurą określoną w art. 10 ust. 6.
28. Rada – działając na podstawie zalecenia Komitetu ds. Bezpieczeństwa – może zaakceptować proces oceny, wyboru i zatwierdzania produktów kryptograficznych państwa trzeciego lub organizacji międzynarodowej i tym samym uznać takie produkty kryptograficzne za zatwierdzone do celów ochrony EUCI udostępnionych temu państwu trzeciemu lub organizacji międzynarodowej.
29. AQUA jest organem ds. zatwierdzania produktów kryptograficznych (CAA) państwa członkowskiego, który na podstawie kryteriów ustalonych przez Radę otrzymał akredytację, aby przeprowadzić ocenę zewnętrzną produktów kryptograficznych służących ochronie EUCI.
30. Rada zatwierdza politykę bezpieczeństwa dotyczącą kwalifikowania i zatwierdzania niekryptograficznych produktów służących bezpieczeństwu systemów informatycznych.
Transmisja w strefach bezpieczeństwa i strefach administracyjnych
31. Niezależnie od przepisów niniejszej decyzji, gdy transmisja EUCI ogranicza się do stref bezpieczeństwa lub stref administracyjnych, można je przekazywać w postaci niezaszyfrowanej lub zaszyfrować je na niższym poziomie na podstawie wyników procesu zarządzania ryzykiem i z zastrzeżeniem zatwierdzenia przez SAA.
Bezpieczne połączenia międzysystemowe CIS
32. Do celów niniejszej decyzji połączenie międzysystemowe oznacza bezpośrednie połączenie co najmniej dwóch systemów informatycznych w celu wspólnego korzystania z danych i innych zasobów informacyjnych (np. łączności) w sposób jednokierunkowy lub wielokierunkowy.
33. CIS traktuje każdy system informatyczny przyłączony połączeniem międzysystemowym jako niewzbudzający zaufania i stosuje środki ochrony, aby kontrolować wymianę informacji niejawnych.
34. Wszystkie połączenia międzysystemowe CIS z innym systemem informatycznym spełniają następujące podstawowe wymogi:
a) właściwe organy określają i zatwierdzają wymogi – biznesowe i operacyjne – dla takich połączeń;
b) połączenie międzysystemowe przechodzi proces zarządzania ryzykiem i akredytacji oraz wymaga zatwierdzenia przez właściwe SAA; oraz
c) na granicach wszystkich CIS stosowane są usługi ochrony na granicy systemów (BPS).
35. Pomiędzy CIS posiadającym akredytację a siecią niezabezpieczoną lub publiczną brak jest połączeń międzysystemowych z wyjątkiem sytuacji, w których w ramach CIS zainstalowano w tym celu zatwierdzone BPS między CIS a siecią niezabezpieczoną lub publiczną. Środki bezpieczeństwa dotyczące takich połączeń międzysystemowych są poddawane przeglądowi przez właściwy IAA i zatwierdzane przez właściwy SAA.
Gdy sieć niezabezpieczona lub publiczna wykorzystywana jest wyłącznie jako nośnik, a dane zostały zaszyfrowane przy wykorzystaniu produktu kryptograficznego zatwierdzonego zgodnie z art. 10, takiego połączenia nie uznaje się za połączenie międzysystemowe.
36. Bezpośrednie lub kaskadowe połączenie międzysystemowe CIS posiadającego akredytację do przetwarzania informacji o klauzuli tajności TRÈS SECRET UE/EU TOP SECRET z siecią niezabezpieczoną lub publiczną jest zakazane.
Komputerowe nośniki informacji
37. Komputerowe nośniki informacji są niszczone zgodnie z procedurami zatwierdzonymi przez właściwy organ bezpieczeństwa.
38. Komputerowe nośniki informacji są ponownie używane, ich klauzula tajności może zostać obniżona lub zniesiona zgodnie z wytycznymi dotyczącymi bezpieczeństwa, które należy ustalić na mocy art. 6 ust. 2.
Okoliczności nadzwyczajne
39. Niezależnie od przepisów niniejszej decyzji w okolicznościach nadzwyczajnych, takich jak zbliżający się lub trwający kryzys, konflikt, stan wojny, lub w wyjątkowych sytuacjach operacyjnych można stosować specjalne procedury opisane poniżej.
40. EUCI można transmitować z wykorzystaniem produktów kryptograficznych zatwierdzonych dla niższego poziomu klauzuli tajności lub w postaci niezaszyfrowanej za zgodą właściwego organu, jeżeli wszelka zwłoka spowodowałaby szkody wyraźnie większe od szkód, które mogłoby spowodować ujawnienie materiałów niejawnych, oraz jeżeli:
a) nadawca i odbiorca nie posiadają wymaganego urządzenia szyfrującego lub też nie posiadają żadnego urządzenia szyfrującego; oraz
b) materiały niejawne nie mogą być dostarczone na czas w inny sposób.
41. Informacje niejawne transmitowane w okolicznościach przedstawionych w pkt 39 nie są opatrzone żadnymi oznaczeniami ani wskazaniami odróżniającymi je od informacji jawnych lub informacji, które mogą być chronione przy pomocy dostępnego urządzenia szyfrującego. Odbiorcy są za pomocą innych środków bezzwłocznie powiadamiani o poziomie klauzuli tajności.
42. W przypadku stosowania przepisów pkt 39 należy następnie sporządzić sprawozdanie dla właściwego organu i Komitetu ds. Bezpieczeństwa.
III. FUNKCJE I ORGANY ZABEZPIECZANIA INFORMACJI
43. Państwa członkowskie i SGR otrzymują wymienione poniżej zadania dotyczące zabezpieczania informacji. Zadania te nie muszą być skupione w tych samych jednostkach organizacyjnych. Są one objęte oddzielnymi mandatami. Zadania te, oraz związana z nimi odpowiedzialność, mogą być jednak połączone lub zintegrowane w tej samej jednostce organizacyjnej lub też podzielone na różne jednostki organizacyjne, z zastrzeżeniem uniknięcia wewnętrznych konfliktów interesów lub zadań.
Organ ds. zabezpieczania informacji
44. Organ ds. zabezpieczania informacji (IAA) odpowiada za:
a) opracowywanie polityki bezpieczeństwa i wytycznych dotyczących bezpieczeństwa w zakresie zabezpieczania informacji oraz za monitorowanie ich skuteczności i adekwatności;
b) zabezpieczanie informacji technicznych związanych z produktami kryptograficznymi i zarządzanie tymi informacjami;
c) zapewnianie, by środki zabezpieczania informacji wybrane do ochrony EUCI były zgodne z odpowiednimi politykami dotyczącymi kryteriów ich przydatności i wyboru;
d) zapewnianie, by wybór produktów kryptograficznych następował zgodnie z politykami dotyczącymi kryteriów ich przydatności i wyboru;
e) koordynowanie szkoleń i upowszechnianie wiedzy na temat zabezpieczania informacji;
f) konsultowanie się z dostawcą systemu, podmiotami odpowiedzialnymi za bezpieczeństwo i przedstawicielami użytkowników w związku z polityką bezpieczeństwa i wytycznymi dotyczącymi bezpieczeństwa w zakresie zabezpieczania informacji; oraz
g) zapewnianie odpowiedniej wiedzy fachowej na temat zabezpieczania informacji w podgrupie eksperckiej Komitetu ds. Bezpieczeństwa.
Organ ds. TEMPEST
45. Organ ds. TEMPEST (TA) odpowiada za zapewnienie zgodności CIS z politykami i wytycznymi TEMPEST. Zatwierdza on środki zaradcze TEMPEST dla instalacji i produktów służące temu, by w środowisku operacyjnym chronić EUCI do określonego poziomu klauzuli tajności.
Organ ds. zatwierdzania produktów kryptograficznych
46. Organ ds. zatwierdzania produktów kryptograficznych (CAA) odpowiada za zapewnienie zgodności produktów kryptograficznych z krajową polityką kryptograficzną lub polityką kryptograficzną Rady. Wydaje on zgodę na to, by dany produkt kryptograficzny w swoim środowisku operacyjnym chronił EUCI do określonego poziomu klauzuli tajności. Jeżeli chodzi o państwa członkowskie, CAA jest dodatkowo odpowiedzialny za ocenę produktów kryptograficznych.
Organ ds. dystrybucji produktów kryptograficznych
47. Organ ds. dystrybucji produktów kryptograficznych (CDA) odpowiada za:
a) zarządzanie materiałami kryptograficznymi UE i przyjęcie za nie odpowiedzialności;
b) zapewnianie stosowania odpowiednich procedur i stworzenia kanałów umożliwiających przyjmowanie odpowiedzialności za wszystkie materiały kryptograficzne UE, ich bezpieczne wykorzystywanie, przechowywanie i rozpowszechnianie; oraz
c) zapewnianie przekazywania materiałów kryptograficznych UE między osobami lub służbami korzystającymi z tych materiałów.
Organ ds. akredytacji bezpieczeństwa
48. SAA jest w każdym systemie odpowiedzialny za:
a) zapewnianie zgodności CIS z odpowiednimi politykami bezpieczeństwa i wytycznymi dotyczącymi bezpieczeństwa, dostarczając poświadczenie zatwierdzenia CIS do celów przetwarzania EUCI do określonego poziomu klauzuli tajności w jego środowisku operacyjnym; w poświadczeniu określa się warunki akredytacji oraz kryteria, które muszą być spełnione, by konieczne było ponowne zatwierdzenie;
b) stworzenie procesu akredytacji bezpieczeństwa, zgodnie z odpowiednimi politykami, z wyraźnie określonymi warunkami zatwierdzenia CIS pod nadzorem tego organu;
c) określanie strategii akredytacji bezpieczeństwa przez ustalenie stopnia szczegółowości procedury akredytacji proporcjonalnego do wymaganego poziomu zabezpieczenia;
d) analizowanie i zatwierdzanie dokumentacji związanej z bezpieczeństwem, w tym oświadczeń o zarządzaniu ryzykiem i o ryzyku szczątkowym, oświadczeń o szczególnych wymaganiach bezpieczeństwa systemu (zwanych dalej „SSRS”), dokumentacji związanej z weryfikacją zapewnienia bezpieczeństwa oraz procedur bezpiecznej eksploatacji systemu (zwanych dalej „SecOP”), jak również zapewnianie zgodności tej dokumentacji z polityką i przepisami bezpieczeństwa Rady;
e) sprawdzanie wdrażania środków bezpieczeństwa w odniesieniu do CIS przez dokonywanie ocen, inspekcji lub przeglądów bezpieczeństwa czy też wspieranie takich działań;
f) określanie wymogów bezpieczeństwa (np. poziomów sprawdzania pracowników) w przypadku stanowisk o szczególnie wrażliwym charakterze w odniesieniu do CIS;
g) zatwierdzanie wyboru produktów kryptograficznych i produktów klasy TEMPEST wykorzystywanych do zapewnienia bezpieczeństwa CIS;
h) zatwierdzanie lub w odpowiednich przypadkach uczestniczenie we wspólnym zatwierdzaniu międzysystemowego połączenia CIS z innymi CIS; oraz
i) konsultowanie się z dostawcą systemu, podmiotami odpowiedzialnymi za bezpieczeństwo i przedstawicielami użytkowników w związku z zarządzaniem ryzykiem dla bezpieczeństwa, w szczególności ryzykiem szczątkowym, jak również z warunkami i okolicznościami poświadczenia zatwierdzenia.
49. Organ ds. akredytacji bezpieczeństwa SGR jest odpowiedzialny za przyznawanie akredytacji wszystkim CIS działającym pod nadzorem SGR.
50. Odpowiedni SAA państwa członkowskiego jest odpowiedzialny za przyznawanie akredytacji CIS oraz jego częściom składowym działającym pod nadzorem danego państwa członkowskiego.
51. Wspólna rada ds. akredytacji bezpieczeństwa (SAB) jest odpowiedzialna za przyznawanie akredytacji CIS działającym pod nadzorem zarówno organu ds. akredytacji bezpieczeństwa SGR, jak i SAA państw członkowskich. W skład tej rady wchodzi po jednym przedstawicielu SAA z każdego państwa członkowskiego, a w jej obradach uczestniczy przedstawiciel SAA z Komisji. Inne podmioty posiadające połączenia z danym CIS są zapraszane do uczestnictwa w obradach, gdy omawiany jest ten system.
Obradom SAB przewodniczy przedstawiciel organu ds. akredytacji bezpieczeństwa SGR. SAB podejmuje decyzje na zasadzie konsensusu przedstawicieli SAA z instytucji, państw członkowskich i innych podmiotów posiadających połączenia z danym CIS. SAB sporządza okresowe sprawozdania ze swojej działalności i przedstawia je Komitetowi ds. Bezpieczeństwa oraz informuje komitet o wszystkich świadectwach akredytacji.
Operacyjny organ ds. zabezpieczania informacji
52. Operacyjny organ ds. zabezpieczania informacji odpowiada w każdym systemie za:
a) opracowanie dokumentacji bezpieczeństwa zgodnie z politykami bezpieczeństwa i wytycznymi dotyczącymi bezpieczeństwa, zwłaszcza SSRS, w tym oświadczenia o ryzyku szczątkowym, SecOP i planu kryptograficznego w ramach procesu akredytacji CIS;
b) uczestnictwo w wyborze i testowaniu technicznych środków bezpieczeństwa, urządzeń i oprogramowania dla poszczególnych systemów, nadzorowanie ich wdrażania i zapewnianie, by były one w bezpieczny sposób instalowane, konfigurowane i konserwowane zgodnie z odpowiednią dokumentacją bezpieczeństwa;
c) uczestnictwo w wyborze środków bezpieczeństwa i urządzeń klasy TEMPEST, jeżeli jest to wymagane na podstawie SSRS, i zapewnianie, by były one w bezpieczny sposób instalowane i konserwowane we współpracy z TA;
d) monitorowanie wdrażania i stosowania SecOP, a w odpowiednich przypadkach zlecanie właścicielowi systemu operacyjnych obowiązków w zakresie bezpieczeństwa;
e) zarządzanie produktami kryptograficznymi i ich wykorzystywanie, zapewnianie nadzoru nad obiektami kryptograficznymi i kontrolowanymi oraz, jeżeli jest to wymagane, zapewnienie wytwarzania zmiennych kryptograficznych;
f) przeprowadzanie przeglądów i testów analizy bezpieczeństwa, w szczególności w celu sporządzenia odpowiednich sprawozdań o ryzyku, zgodnie z wymogami SAA;
g) zapewnianie szkolenia w zakresie zabezpieczania informacji w odniesieniu do poszczególnych CIS; oraz
h) wdrażanie środków bezpieczeństwa w odniesieniu do poszczególnych CIS i stosowanie tych środków.
ZAŁĄCZNIK V
BEZPIECZEŃSTWO PRZEMYSŁOWE
I. WSTĘP
1. Niniejszy załącznik zawiera przepisy dotyczące wykonania art. 11. Ustanawia on ogólne przepisy w zakresie bezpieczeństwa mające zastosowanie do podmiotów prowadzących działalność gospodarczą lub inną podczas negocjacji poprzedzających zawarcie umowy oraz na wszystkich etapach cyklu życia umów niejawnych zawartych przez SGR.
2. Rada zatwierdza wytyczne dotyczące bezpieczeństwa przemysłowego, w szczególności szczegółowe wymogi w odniesieniu do świadectwa bezpieczeństwa przemysłowego (SBP), dokumentów określających aspekty bezpieczeństwa (DOAB), wizyt, transmisji i przemieszczania EUCI.
II. ELEMENTY DOTYCZĄCE BEZPIECZEŃSTWA W UMOWIE NIEJAWNEJ
Przewodnik nadawania klauzul (PNK)
3. Przed zamieszczeniem ogłoszenia o przetargu lub zawarciem umowy niejawnej, SGR, jako instytucja zamawiająca, określa klauzulę tajności wszelkich informacji, które należy dostarczyć oferentom i wykonawcom, jak również klauzulę tajności wszelkich informacji, które mają być wytworzone przez wykonawcę. W tym celu SGR opracowuje PNK, który należy stosować podczas wykonywania umów.
4. Do określania klauzuli tajności różnych elementów umowy niejawnej zastosowanie mają następujące zasady:
a) podczas opracowywania PNK, SGR uwzględnia wszystkie odpowiednie aspekty bezpieczeństwa, w tym klauzulę tajności nadaną informacjom, które ich wytwórca przekazał i których wykorzystanie do celów umowy zatwierdził;
b) ogólna klauzula tajności umowy nie może być niższa od najwyższej klauzuli tajności któregokolwiek z jej elementów; oraz
c) w odpowiednich przypadkach SGR działa w porozumieniu z KWB/WWB państw członkowskich lub jakimkolwiek innym właściwym organem bezpieczeństwa na wypadek jakichkolwiek zmian klauzul tajności informacji wytworzonych przez wykonawców lub przekazanych im podczas wykonywania umowy oraz w przypadku wprowadzania jakichkolwiek późniejszych zmian do PNK.
Dokument określający aspekty bezpieczeństwa (DOAB)
5. Wymogi bezpieczeństwa dotyczące poszczególnych umów opisane są w DOAB. DOAB w odpowiednich przypadkach zawiera PNK i stanowi integralną część umowy niejawnej lub niejawnej umowy o podwykonawstwo.
6. DOAB zawiera przepisy zobowiązujące wykonawcę lub podwykonawcę do przestrzegania minimalnych norm określonych w niniejszej decyzji. Nieprzestrzeganie tych minimalnych norm może stanowić wystarczający powód do rozwiązania umowy.
Instrukcje bezpieczeństwa programu/projektu (IBP)
7. W zależności od zakresu programów lub projektów obejmujących dostęp do EUCI, ich wykorzystywanie lub przechowywanie, organ wyznaczony do zarządzania danym programem lub projektem może sporządzić specjalne IBP. IBP wymagają zatwierdzenia przez KWB/WWB państw członkowskich lub jakikolwiek inny właściwy organ bezpieczeństwa uczestniczący w programie/projekcie i mogą zawierać dodatkowe wymogi bezpieczeństwa.
III. ŚWIADECTWO BEZPIECZEŃSTWA PRZEMYSŁOWEGO (SBP)
8. SBP wydawane jest przez KWB lub WWB, lub jakikolwiek inny właściwy organ bezpieczeństwa państwa członkowskiego w celu zaświadczenia zgodnie z krajowymi przepisami ustawowymi i wykonawczymi, że dany podmiot prowadzący działalność gospodarczą lub inną jest w stanie zapewnić w swoich obiektach ochronę EUCI odpowiadającą określonemu poziomowi klauzuli tajności (CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET). Świadectwo to przedstawiane jest SGR, jako instytucji zamawiającej, przed dostarczeniem EUCI wykonawcy, podwykonawcy, potencjalnemu wykonawcy lub potencjalnemu podwykonawcy, lub umożliwieniem im dostępu do EUCI.
9. Przy wydawaniu SBP odpowiednia KWB lub WWB przynajmniej:
a) ocenia integralność podmiotu prowadzącego działalność gospodarczą lub inną;
b) ocenia własność, kontrolę lub możliwość wystąpienia niewłaściwego wpływu, który można uznać za ryzyko naruszenia zasad bezpieczeństwa;
c) ocenia, czy podmiot prowadzący działalność gospodarczą lub inną stworzył w obiekcie system bezpieczeństwa, który obejmuje wszystkie odpowiednie środki bezpieczeństwa niezbędne do ochrony informacji lub materiałów niejawnych o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET zgodnie z wymogami określonymi w niniejszej decyzji;
d) ocenia, czy status bezpieczeństwa osobowego kadry zarządzającej, właścicieli i pracowników, którzy mają mieć dostęp do informacji niejawnych o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET, został ustalony zgodnie z wymogami określonymi w niniejszej decyzji; oraz
e) ocenia, czy podmiot prowadzący działalność gospodarczą lub inną powołał pełnomocnika ochrony, który jest odpowiedzialny wobec kadry zarządzającej za egzekwowanie obowiązków dotyczących bezpieczeństwa w obrębie tego podmiotu.
10. W stosownych przypadkach SGR, jako instytucja zamawiająca, powiadamia odpowiednią KWB/WWB lub jakikolwiek inny właściwy organ bezpieczeństwa o tym, że na etapie poprzedzającym zawarcie umowy lub do wykonywania umowy wymagane jest SBP. SBP lub PBO są wymagane na etapie poprzedzającym zawarcie umowy, jeżeli podczas składania ofert mają być dostarczone EUCI o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET.
11. Instytucja zamawiająca nie zawiera umowy niejawnej z wybranym oferentem, zanim nie otrzyma od KWB/WWB lub jakiegokolwiek innego właściwego organu bezpieczeństwa państwa członkowskiego, w którym zarejestrowany jest ten wykonawca lub podwykonawca, potwierdzenia, że wydane zostało, jeśli istnieje taki wymóg, odpowiednie SBP.
12. KWB/WWB lub jakikolwiek inny właściwy organ bezpieczeństwa, który wydał SBP, powiadamiają SGR, jako instytucję zamawiającą, o wszelkich zmianach dotyczących SBP. W przypadku umowy o podwykonawstwo KWB/WWB lub jakikolwiek inny właściwy organ bezpieczeństwa są o tym informowane.
13. Cofnięcie SBP przez odpowiednią KWB/WWB lub jakikolwiek inny właściwy organ bezpieczeństwa stanowią dla SGR, jako instytucji zamawiającej, wystarczający powód do rozwiązania umowy niejawnej lub wykluczenia oferenta z postępowania.
IV. UMOWY NIEJAWNE I NIEJAWNE UMOWY O PODWYKONAWSTWO
14. Jeżeli EUCI przekazywane są oferentowi na etapie poprzedzającym zawarcie umowy, ogłoszenie przetargu zawiera przepis zobowiązujący oferenta, który nie złoży oferty lub który nie zostanie wybrany, do zwrotu wszystkich dokumentów niejawnych w określonym terminie.
15. Po zawarciu umowy niejawnej lub niejawnej umowy o podwykonawstwo SGR, jako instytucja zamawiająca, powiadamia KWB/WWB lub jakikolwiek inny właściwy organ bezpieczeństwa wykonawcy lub podwykonawcy o zawartych w tej umowie przepisach bezpieczeństwa.
16. W przypadku rozwiązania takich umów SGR, jako instytucja zamawiająca (lub, w odpowiednim przypadku, KWB/WWB lub jakikolwiek inny właściwy organ bezpieczeństwa w przypadku umowy o podwykonawstwo) niezwłocznie powiadamia o tym fakcie KWB/WWB lub jakikolwiek inny właściwy organ bezpieczeństwa państwa członkowskiego, w którym zarejestrowany jest wykonawca lub podwykonawca.
17. Z reguły od wykonawcy lub podwykonawcy wymaga się zwrotu do instytucji zamawiającej wszelkich posiadanych przez niego EUCI po zakończeniu obowiązywania umowy niejawnej lub niejawnej umowy o podwykonawstwo.
18. W DOAB określa się szczególne przepisy dotyczące niszczenia EUCI podczas wykonywania umowy lub po zakończeniu jej obowiązywania.
19. Jeżeli wykonawca lub podwykonawca są upoważnieni do zachowania EUCI po zakończeniu obowiązywania umowy, nadal przestrzegają oni minimalnych norm zawartych w niniejszej decyzji i nadal chronią poufność EUCI.
20. Warunki, na których wykonawca może zlecić podwykonawstwo, są określone w ogłoszeniu o przetargu oraz w umowie.
21. Przed zleceniem podwykonawstwa części umowy niejawnej wykonawca uzyskuje zgodę SGR jako instytucji zamawiającej. Nie można zawrzeć umowy o podwykonawstwo z podmiotami prowadzącymi działalność gospodarczą lub inną zarejestrowanymi w państwie niebędącym członkiem UE, które nie zawarło z Unią umowy o bezpieczeństwie informacji.
22. Wykonawca odpowiada za zapewnienie zgodności wszystkich podejmowanych czynności podwykonawczych z minimalnymi normami określonymi w niniejszej decyzji i nie dostarcza EUCI podwykonawcy bez uprzedniej pisemnej zgody instytucji zamawiającej.
23. W odniesieniu do EUCI wytworzonych lub wykorzystywanych przez wykonawcę lub podwykonawcę prawa przysługujące wytwórcy są wykonywane przez instytucję zamawiającą.
V. WIZYTY ZWIĄZANE Z UMOWAMI NIEJAWNYMI
24. Jeżeli SGR lub personelowi wykonawcy bądź podwykonawcy niezbędny jest w związku z wykonaniem umowy niejawnej dostęp do informacji niejawnych o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET w swoich obiektach, organizowane są wizyty wraz z KWB/WWB lub jakimkolwiek innym właściwym organem bezpieczeństwa. Jednak w kontekście konkretnych projektów KWB/WWB mogą uzgodnić procedurę umożliwiającą bezpośrednie organizowanie wizyt.
25. Wszystkie osoby wizytujące posiadają odpowiednie PBO i podlegają zasadzie ograniczonego dostępu, co uprawnia je do dostępu do EUCI związanych z umową zawartą przez SGR.
26. Osobom wizytującym umożliwia się dostęp wyłącznie do EUCI związanych z celem wizyty.
VI. TRANSMISJA I PRZEMIESZCZANIE EUCI
27. Do transmisji EUCI drogą elektroniczną zastosowanie mają odpowiednie przepisy art. 10 i załącznika IV.
28. Do przemieszczania EUCI zastosowanie mają odpowiednie przepisy załącznika III zgodnie z krajowymi przepisami ustawowymi i wykonawczymi.
29. Podczas transportu materiału niejawnego jako ładunku do określania zabezpieczeń stosuje się następujące zasady:
a) bezpieczeństwo zapewnia się na wszystkich etapach przewozu, począwszy od miejsca wyjazdu do ostatecznego miejsca przeznaczenia;
b) stopień ochrony, którym objęto przesyłkę określany jest według najwyższej klauzuli tajności materiału zawartego w przesyłce;
c) firmy dokonujące przewozu uzyskują SBP na stosownym poziomie. W takich przypadkach pracownicy zajmujący się przesyłką są odpowiednio sprawdzani zgodnie z załącznikiem I;
d) przed jakimkolwiek transgranicznym przewożeniem materiałów o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET, nadawca sporządza plan przewozu, który jest zatwierdzany przez odpowiednią KWB/WWB lub jakikolwiek inny właściwy organ bezpieczeństwa;
e) przejazdy odbywają się w miarę możliwości bezpośrednio między dwoma punktami i kończą się tak szybko, jak pozwolą na to okoliczności; oraz
f) jeżeli jest to możliwe, trasy powinny przebiegać wyłącznie przez terytoria państw członkowskich. Transport trasami przebiegającymi przez terytoria państw innych niż państwa członkowskie powinien się odbywać wyłącznie pod warunkiem zatwierdzenia przez KWB/WWB lub jakikolwiek inny właściwy organ bezpieczeństwa zarówno państwa nadawcy, jak i państwa odbiorcy.
VII. PRZEKAZYWANIE EUCI WYKONAWCOM ZNAJDUJĄCYM SIĘ W PAŃSTWACH TRZECICH
30. EUCI są przekazywane wykonawcom i podwykonawcom znajdującym się w państwach trzecich zgodnie ze środkami bezpieczeństwa uzgodnionymi przez SGR, jako instytucję zamawiającą, z KWB/WWB państwa trzeciego, w którym zarejestrowany jest wykonawca.
VIII. INFORMACJE NIEJAWNE O KLAUZULI TAJNOŚCI RESTREINT UE/EU RESTRICTED
31. W porozumieniu, odpowiednio, z KWB/WWB państwa członkowskiego, SGR, jako instytucja zamawiająca, jest upoważniony na podstawie przepisów umownych do przeprowadzania inspekcji w obiektach wykonawców/podwykonawców, aby sprawdzić, czy wprowadzone zostały odpowiednie środki bezpieczeństwa mające zapewnić ochronę EUCI o klauzuli tajności RESTREINT UE/EU RESTRICTED zgodnie z wymogami umowy.
32. W zakresie, jaki jest wymagany na mocy krajowych przepisów ustawowych i wykonawczych, KWB/WWB lub jakikolwiek inny właściwy organ bezpieczeństwa są powiadamiane przez SGR, jako instytucję zamawiającą, o umowach niejawnych lub niejawnych umowach o podwykonawstwo zawierających informacje niejawne o klauzuli tajności RESTREINT UE/EU RESTRICTED.
33. W przypadku umów zawartych przez SGR zawierających informacje niejawne o klauzuli tajności RESTREINT UE/EU RESTRICTED od wykonawców, podwykonawców ani ich personelu nie wymaga się posiadania SBP ani PBO.
34. SGR, jako instytucja zamawiająca, analizuje odpowiedzi na ogłoszenia o przetargu w przypadku umów, które wymagają dostępu do informacji niejawnych o klauzuli tajności RESTREINT UE/EU RESTRICTED, niezależnie od jakichkolwiek wymogów związanych z SBP lub PBO, które mogą być określone przez krajowe przepisy ustawowe i wykonawcze.
35. Warunki, na których wykonawca może zlecić podwykonawstwo, są zgodne z pkt 21.
36. Jeżeli umowa obejmuje przetwarzanie informacji niejawnych o klauzuli tajności RESTREINT UE/EU RESTRICTED w ramach CIS, który eksploatuje wykonawca, SGR, jako instytucja zamawiająca, zapewnia, aby umowa lub jakakolwiek umowa o podwykonawstwo określała niezbędne wymogi techniczne i administracyjne dotyczące akredytacji CIS, które są proporcjonalne do szacowanego ryzyka z uwzględnieniem wszystkich odpowiednich czynników. Zakres akredytacji dla takiego CIS jest uzgadniany między instytucją zamawiającą a odpowiednią KWB/WWB.
Alerty
ZAŁĄCZNIK VI
WYMIANA INFORMACJI NIEJAWNYCH Z PAŃSTWAMI TRZECIMI I ORGANIZACJAMI MIĘDZYNARODOWYMI
I. WSTĘP
1. Niniejszy załącznik zawiera przepisy dotyczące wykonania art. 13.
II. RAMY REGULUJĄCE WYMIANĘ INFORMACJI NIEJAWNYCH
2. W przypadku gdy Rada stwierdza, że istnieje długoterminowa potrzeba wymiany informacji niejawnych:
– zawarta zostaje umowa o bezpieczeństwie informacji, lub
– zawarte zostaje porozumienie administracyjne,
zgodnie z art. 13 ust. 2 i sekcjami III i IV oraz na podstawie zalecenia Komitetu ds. Bezpieczeństwa.
3. Jeżeli EUCI wytworzone do celów operacji WPBiO mają zostać przekazane państwom trzecim lub organizacjom międzynarodowym uczestniczącym w takiej operacji, a nie istnieją żadne z ram prawnych, o których mowa w pkt 2, wymiana EUCI z uczestniczącym w operacji państwem trzecim lub organizacją międzynarodową regulowana jest, zgodnie z sekcją V, na mocy:
– umowy ramowej w sprawie udziału,
– umowy ad hoc w sprawie udziału, lub
– jeżeli nie zawarto żadnej z powyższych umów – porozumienia administracyjnego ad hoc.
4. Jeżeli brak jest ram prawnych, o których mowa w pkt 2 i 3, a podjęta zostaje decyzja o udostępnieniu EUCI państwu trzeciemu lub organizacji międzynarodowej w wyjątkowym trybie ad hoc zgodnie z sekcją VI, od tego państwa trzeciego lub organizacji międzynarodowej należy uzyskać pisemne zapewnienie, że wszelkie udostępnione im EUCI są chronione zgodnie z podstawowymi zasadami i minimalnymi normami bezpieczeństwa określonymi w niniejszej decyzji.
III. UMOWY O BEZPIECZEŃSTWIE INFORMACJI
5. Umowy o bezpieczeństwie informacji ustanawiają podstawowe zasady i minimalne normy mające zastosowanie do wymiany informacji niejawnych między Unią a państwem trzecim lub organizacją międzynarodową.
6. Umowy o bezpieczeństwie informacji przewidują techniczne uzgodnienia wykonawcze, dokonywane przez właściwe organy bezpieczeństwa odpowiednich instytucji i organów Unii oraz właściwy organ bezpieczeństwa danego państwa trzeciego lub danej organizacji międzynarodowej. Takie uzgodnienia wykonawcze uwzględniają poziom ochrony przewidziany w przepisach, strukturach i procedurach dotyczących bezpieczeństwa istniejących w danym państwie trzecim lub danej organizacji międzynarodowej. Uzgodnienia te zatwierdzane są przez Komitet ds. Bezpieczeństwa.
7. Nie wymienia się żadnych EUCI drogą elektroniczną na mocy umowy o bezpieczeństwie informacji, o ile nie zostało to wyraźnie przewidziane w tej umowie lub w powiązanych z nią technicznych uzgodnieniach wykonawczych.
8. Gdy Rada zawiera umowę o bezpieczeństwie informacji, dla każdej ze stron umowy zostaje wyznaczona kancelaria tajna, do której – jako głównego punktu – będą wpływać i z której będą przekazywane informacje niejawne.
9. Aby ocenić skuteczność przepisów, struktur i procedur dotyczących bezpieczeństwa w danym państwie trzecim lub organizacji międzynarodowej, w porozumieniu z tym państwem trzecim lub organizacją międzynarodową przeprowadza się wizyty oceniające. Wizyty takie przeprowadzane są zgodnie z odpowiednimi przepisami załącznika III i obejmują ocenę:
a) ram prawnych mających zastosowanie do ochrony informacji niejawnych;
b) wszelkich cech charakterystycznych polityki bezpieczeństwa oraz sposobu, w jaki zorganizowana jest polityka bezpieczeństwa w państwie trzecim lub organizacji międzynarodowej, co może mieć wpływ na to, jaką najwyższą klauzulę tajności mogą mieć wymieniane informacje niejawne;
c) rzeczywiście stosowanych środków i procedur bezpieczeństwa; oraz
d) procedur prowadzenia postępowań sprawdzających odpowiadających klauzuli tajności EUCI, które mają być udostępniane.
10. Zespół przeprowadzający wizytę oceniającą w imieniu Unii ocenia, czy obowiązujące w danym państwie trzecim lub danej organizacji międzynarodowej przepisy i procedury dotyczące bezpieczeństwa są odpowiednie do ochrony EUCI o określonym poziomie klauzuli tajności.
11. Wnioski z takich wizyt przedstawiane są w raporcie, na którego podstawie Komitet ds. Bezpieczeństwa określa najwyższą klauzulę tajności EUCI, które mogą być wymieniane z daną stroną trzecią w postaci papierowej, a w odpowiednich przypadkach – elektronicznej, a także wszelkie szczególne warunki wymiany informacji z tą stroną.
12. Należy dołożyć wszelkich starań, by przeprowadzić wizytę oceniającą zapewniającą pełną kontrolę bezpieczeństwa w danym państwie trzecim lub danej organizacji międzynarodowej, zanim Komitet ds. Bezpieczeństwa zatwierdzi uzgodnienia wykonawcze, aby określić charakter i skuteczność funkcjonującego tam systemu bezpieczeństwa. Jeżeli jednak nie jest to możliwe, Komitet ds. Bezpieczeństwa otrzymuje od Biura ds. Bezpieczeństwa SGR możliwie najpełniejszy raport, sporządzony w oparciu o posiadane przez to biuro informacje, w którym komitet informowany jest o mających zastosowanie przepisach dotyczących bezpieczeństwa oraz o sposobie organizacji kwestii bezpieczeństwa w danym państwie trzecim lub danej organizacji międzynarodowej.
13. Raport z wizyty oceniającej lub w przypadku jego braku – raport, o którym mowa w pkt 12, jest przekazywany Komitetowi ds. Bezpieczeństwa, który uznaje go za zadowalający, zanim EUCI zostaną faktycznie udostępnione danemu państwu trzeciemu lub danej organizacji międzynarodowej.
14. Właściwe organy bezpieczeństwa instytucji i organów Unii informują państwo trzecie lub organizację międzynarodową o dacie, od której Unia jest w stanie udostępnić EUCI zgodnie z umową, a także o najwyższej klauzuli tajności EUCI, które mogą być wymieniane w postaci papierowej lub drogą elektroniczną.
15. Kolejne wizyty oceniające są przeprowadzane w razie potrzeby, w szczególności jeżeli:
a) konieczne jest podwyższenie klauzuli tajności EUCI, które mają zostać udostępnione;
b) Unia została powiadomiona o fundamentalnych zmianach w zabezpieczeniach stosowanych przez państwo trzecie lub organizację międzynarodową, które to zmiany mogły mieć wpływ na sposób ochrony EUCI przez tę stronę trzecią; lub
c) doszło do poważnego incydentu dotyczącego nieuprawnionego ujawnienia EUCI.
16. Po wejściu w życie umowy o bezpieczeństwie informacji i rozpoczęciu wymiany informacji niejawnych z danym państwem trzecim lub daną organizacją międzynarodową Komitet ds. Bezpieczeństwa może zdecydować o zmianie najwyższej klauzuli tajności EUCI, które mogą być wymieniane w postaci papierowej lub drogą elektroniczną, w szczególności w wyniku jednej z kolejnych wizyt oceniających.
IV. POROZUMIENIA ADMINISTRACYJNE
17. Jeżeli istnieje długoterminowa potrzeba wymiany z państwem trzecim lub organizacją międzynarodową informacji niejawnych o klauzuli tajności z reguły nie wyższej niż RESTREINT UE/EU RESTRICTED i jeżeli Komitet ds. Bezpieczeństwa ustalił, że dana strona nie dysponuje wystarczająco rozwiniętym systemem bezpieczeństwa, tak aby było możliwe zawarcie umowy o bezpieczeństwie informacji, Sekretarz Generalny może, z zastrzeżeniem zatwierdzenia przez Radę, zawrzeć w imieniu SGR porozumienie administracyjne z odpowiednimi organami danego państwa trzeciego lub organizacji międzynarodowej.
18. Jeżeli z pilnych przyczyn operacyjnych należy szybko utworzyć ramy prawne wymiany informacji niejawnych, Rada może wyjątkowo zdecydować o zawarciu porozumienia administracyjnego dotyczącego wymiany informacji o wyższej klauzuli tajności.
19. Porozumienia administracyjne co do zasady przyjmują postać wymiany listów.
20. Wizyta oceniająca, o której mowa w pkt 9, jest przeprowadzana, a raport z niej, lub w przypadku jego braku – raport, o którym mowa w pkt 12, jest przekazywany Komitetowi ds. Bezpieczeństwa, który uznaje go za zadowalający, zanim EUCI zostaną faktycznie udostępnione danemu państwu trzeciemu lub danej organizacji międzynarodowej.
21. Nie wymienia się żadnych EUCI drogą elektroniczną na mocy porozumienia administracyjnego, o ile nie zostało to wyraźnie przewidziane w tym porozumieniu.
V. WYMIANA INFORMACJI NIEJAWNYCH W KONTEKŚCIE OPERACJI WPBiO
22. Umowy ramowe w sprawie udziału regulują uczestnictwo państw trzecich lub organizacji międzynarodowych w operacjach WPBiO. Umowy takie zawierają przepisy o udostępnianiu EUCI wytwarzanych do celów operacji WPBiO uczestniczącym w nich państwom trzecim lub organizacjom międzynarodowym. Najwyższym poziomem klauzuli tajności EUCI, które mogą być wymieniane, jest RESTREINT UE/EU RESTRICTED w przypadku operacji cywilnych WPBiO oraz CONFIDENTIEL UE/EUCONFIDENTIAL w przypadku operacji wojskowych WPBiO, chyba że inaczej określano w decyzji ustanawiającej każdą z operacji WPBiO.
23. Umowy ad hoc w sprawie udziału w konkretnej operacji WPBiO zawierają przepisy o udostępnianiu EUCI wytwarzanych do celów tej operacji uczestniczącemu w niej państwu trzeciemu lub organizacji międzynarodowej. Najwyższym poziomem klauzuli tajności EUCI, które mogą być wymieniane, jest RESTREINT UE/EU RESTRICTED w przypadku operacji cywilnych WPBiO oraz CONFIDENTIEL UE/EUCONFIDENTIAL w przypadku operacji wojskowych WPBiO, chyba że inaczej określano w decyzji ustanawiającej każdą z operacji WPBiO.
24. Jeśli nie zawarto umowy o bezpieczeństwie informacji i w oczekiwaniu na zawarcie umowy w sprawie udziału, udostępnianie EUCI wytworzonych do celów danej operacji danemu państwu trzeciemu lub danej organizacji międzynarodowej uczestniczącym w tej operacji podlega porozumieniu administracyjnemu, które zawiera Wysoki Przedstawiciel lub decyzji o udostępnieniu podejmowanej w trybie ad hoc zgodnie z sekcją VI. EUCI są wymieniane na mocy takiego porozumienia, jedynie dopóki wymagany jest udział danego państwa trzeciego lub danej organizacji międzynarodowej. Najwyższym poziomem klauzuli tajności EUCI, które mogą być wymieniane, jest RESTREINT UE/EU RESTRICTED w przypadku operacji cywilnych WPBiO oraz CONFIDENTIEL UE/EU CONFIDENTIAL w przypadku operacji wojskowych WPBiO, chyba że inaczej określano w decyzji ustanawiającej każdą z operacji WPBiO.
25. Przepisy dotyczące informacji niejawnych, które mają być zawarte w umowach ramowych w sprawie udziału, umowach ad hoc w sprawie udziału i porozumieniach administracyjnych ad hoc, o których mowa w pkt 22–24, przewidują, że dane państwo trzecie lub organizacja międzynarodowa zapewniają, by jego/jej personel oddelegowany do jakiejkolwiek operacji chronił EUCI zgodnie z przepisami bezpieczeństwa Rady i z dalszymi wytycznymi wydanymi przez właściwe organy, w tym strukturę dowodzenia operacji.
26. Jeżeli uczestniczące w operacji państwo trzecie lub organizacja międzynarodowa zawrze następnie z Unią umowę o bezpieczeństwie informacji, zastępuje ona przepisy dotyczące wymiany informacji niejawnych zawarte we wszelkich umowach ramowych w sprawie udziału, umowach ad hoc w sprawie udziału i porozumieniach administracyjnych ad hoc związanych z wymianą EUCI i ich wykorzystywaniem.
27. Nie zezwala się na wymianę z państwem trzecim lub organizacją międzynarodową EUCI drogą elektroniczną na mocy umowy ramowej w sprawie udziału, umowy ad hoc w sprawie udziału lub porozumienia administracyjnego ad hoc, o ile nie jest to wyraźnie przewidziane w tej umowie lub w tym porozumieniu.
28. EUCI wytworzone do celów operacji WPBiO mogą być ujawnione personelowi oddelegowanemu do tej operacji przez państwa trzecie lub organizacje międzynarodowe zgodnie z pkt 22–27. Upoważniając taki personel do dostępu do EUCI w obiektach lub w ramach CIS operacji WPBiO, stosuje się środki (w tym rejestrację ujawnianych EUCI) służące złagodzeniu ryzyka utraty lub narażenia na szwank bezpieczeństwa informacji. Środki te są określane w odpowiednich dokumentach dotyczących planowania lub misji.
29. Jeśli nie zawarto umowy o bezpieczeństwie informacji, udostępnianie EUCI – w przypadku konkretnej i natychmiastowej potrzeby operacyjnej – państwu przyjmującemu, na którego terytorium prowadzona jest operacja WPBiO, może podlegać porozumieniu administracyjnemu, które zawiera Wysoki Przedstawiciel. Możliwość ta przewidziana jest w decyzji ustanawiającej operację WPBiO. EUCI udostępnione w tych okolicznościach ograniczone są do informacji wytworzonych do celów danej operacji WPBiO i mają klauzulę tajności nie wyższą niż RESTREINT UE/EU RESTRICTED, chyba że w decyzji ustanawiającej tę operację WPBiO przewidziano wyższą klauzulę tajności. Na mocy takiego porozumienia administracyjnego państwo przyjmujące ma obowiązek podjąć ochronę EUCI zgodnie z minimalnymi normami, które nie mogą być mniej rygorystyczne niż normy określone w niniejszej decyzji.
30. Jeśli nie zawarto umowy o bezpieczeństwie informacji, udostępnianie EUCI odpowiednim państwom trzecim i organizacjom międzynarodowym, innym niż tym uczestniczącym w operacji WPBiO, może podlegać porozumieniu administracyjnemu, które zawiera Wysoki Przedstawiciel. W odpowiednich przypadkach możliwość taka, jak również wszelkie warunki z nią związane, są zapisywane w decyzji ustanawiającej operację WPBiO. EUCI udostępniane w takich okolicznościach ograniczają się do informacji wytworzonych do celów danej operacji WPBiO i mają klauzulę tajności nie wyższą niż RESTREINT UE/EU RESTRICTED, chyba że w decyzji ustanawiającej tę operację WPBiO przewidziano wyższą klauzulę tajności. Na mocy takiego porozumienia administracyjnego dane państwo trzecie lub dana organizacja międzynarodowa ma obowiązek podjąć ochronę EUCI zgodnie z minimalnymi normami, które nie mogą być mniej rygorystyczne niż normy określone w niniejszej decyzji.
31. Przed wdrożeniem przepisów w sprawie udostępniania EUCI na warunkach określonych w pkt 22, 23 i 24 nie są wymagane uzgodnienia wykonawcze ani wizyty oceniające.
VI. WYJĄTKOWE UDOSTĘPNIANIE EUCI AD HOC
32. Jeżeli nie ustanowiono ram prawnych zgodnie z sekcjami III– V, a Rada lub jeden z jej organów przygotowawczych stwierdza, że istnieje wyjątkowa potrzeba udostępnienia EUCI państwu trzeciemu lub organizacji międzynarodowej, SGR:
a) w miarę możliwości sprawdza z organami bezpieczeństwa danego państwa trzeciego lub danej organizacji międzynarodowej, czy ich przepisy, struktury i procedury dotyczące bezpieczeństwa gwarantują ochronę udostępnianych EUCI zgodnie z normami nie mniej rygorystycznymi niż normy określone w niniejszej decyzji; oraz
b) zwraca się do Komitetu ds. Bezpieczeństwa, by na podstawie dostępnych informacji wydał zalecenie dotyczące zaufania, jakie można mieć do przepisów, struktur i procedur dotyczących bezpieczeństwa w państwie trzecim lub organizacji międzynarodowej, którym mają zostać udostępnione EUCI.
33. Jeżeli Komitet ds. Bezpieczeństwa wyda zalecenie, by udostępnić EUCI, sprawa zostaje przekazana Komitetowi Stałych Przedstawicieli (COREPER), który podejmuje decyzję o udostępnieniu tych informacji.
34. Jeżeli Komitet ds. Bezpieczeństwa wyda zalecenie, by nie udostępniać EUCI:
a) w sprawach odnoszących się do WPZiB/WPBiO Komitet Polityczny i Bezpieczeństwa omawia tę kwestię i formułuje zalecenie dotyczące decyzji COREPER-u;
b) we wszystkich innych sprawach COREPER omawia tę kwestię i podejmuje decyzję.
35. We właściwych przypadkach i po uzyskaniu wcześniej pisemnej zgody wytwórcy COREPER może postanowić o udostępnieniu informacji niejawnych wyłącznie częściowo lub wyłącznie pod warunkiem uprzedniego obniżenia lub zniesienia klauzuli tajności lub też pod warunkiem że informacje, które mają zostać udostępnione, przygotowane zostaną bez odniesienia do źródła lub pierwotnej klauzuli tajności UE.
36. W następstwie decyzji o udostępnieniu EUCI, SGR przekazuje dany dokument, który jest opatrzony oznaczeniem dotyczącym możliwości jego udostępnienia, wskazującym państwo trzecie lub organizację międzynarodową, którym zostaje udostępniony. Przed faktycznym udostępnieniem lub w momencie udostępniania dana strona trzecia na piśmie zobowiązuje się do ochrony EUCI, które otrzymuje, zgodnie z podstawowymi zasadami i minimalnymi normami określonymi w niniejszej decyzji.
VII. UPOWAŻNIENIE DO UDOSTĘPNIANIA EUCI PAŃSTWOM TRZECIM LUB ORGANIZACJOM MIĘDZYNARODOWYM
37. Jeżeli istnieją ramy prawne wymiany informacji niejawnych z państwem trzecim lub organizacją międzynarodową zgodnie z pkt 2, Rada podejmuje decyzję upoważniającą Sekretarza Generalnego do udostępniania EUCI temu państwu trzeciemu lub organizacji międzynarodowej, z zachowaniem zasady uzyskania zgody wytwórcy. Sekretarz Generalny może przenieść takie upoważnienie na urzędników wysokiego szczebla w SGR.
38. Jeśli istnieje umowa o bezpieczeństwie informacji zgodnie z pkt 2 tiret pierwsze, Rada może podjąć decyzję o upoważnieniu Wysokiego Przedstawiciela do udostępnienia EUCI w dziedzinie wspólnej polityki zagranicznej i bezpieczeństwa wytworzonych w Radzie, po uzyskaniu zgody wytwórcy jakichkolwiek materiałów źródłowych w nich zawartych, danemu państwu trzeciemu lub danej organizacji międzynarodowej. Wysoki Przedstawiciel może przenieść takie upoważnienie na urzędników wysokiego szczebla w ESDZ lub na SPUE.
39. Jeżeli istnieją ramy prawne wymiany informacji niejawnych z państwem trzecim lub organizacją międzynarodową zgodnie z pkt 2 lub 3, Wysoki Przedstawiciel upoważniony jest do udostępniania EUCI zgodnie z decyzją ustanawiającą daną operację WPBiO oraz z zachowaniem zasady uzyskania zgody wytwórcy. Wysoki Przedstawiciel może przenieść takie upoważnienie na urzędników wysokiego szczebla w ESDZ, dowódców operacji, sił lub misji UE lub na szefów misji UE.
Dodatki
Dodatek A
Definicje
Dodatek B
Równoważność klauzul tajności
Dodatek C
Wykaz krajowych władz bezpieczeństwa (KWB)
Dodatek D
Wykaz skrótów
Dodatek A
DEFINICJE
Do celów niniejszej decyzji stosuje się następujące definicje:
„akredytacja” oznacza proces prowadzący do formalnego stwierdzenia przez organ ds. akredytacji bezpieczeństwa (SAA), że określony system jest zatwierdzony do celów działania na zdefiniowanym poziomie klauzuli tajności, w konkretnym trybie bezpiecznej pracy systemu w swoim środowisku operacyjnym oraz na poziomie ryzyka możliwym do zaakceptowania, przy założeniu, że wdrożony został zatwierdzony zestaw technicznych, fizycznych, organizacyjnych i proceduralnych środków bezpieczeństwa;
„ bezpieczeństwo fizyczne” – zob. art. 8 ust. 1;
„bezpieczeństwo osobowe” – zob. art. 7 ust. 1;
„bezpieczeństwo przemysłowe” – zob. art. 11 ust. 1;
„cykl życia CIS” oznacza cały okres istnienia CIS, który obejmuje powstanie pomysłu, opracowanie koncepcji, zaplanowanie, analizę wymogów, zaprojektowanie, utworzenie, testowanie, wdrożenie, działanie, konserwację i wycofanie z działania;
„ dokument” oznacza każdą utrwaloną informację, bez względu na jej formę fizyczną lub cechy charakterystyczne;
„dokument określający aspekty bezpieczeństwa” (DOAB) oznacza zbiór specjalnych warunków umownych, wydany przez instytucję zamawiającą, stanowiący integralną część jakiejkolwiek umowy niejawnej obejmującej dostęp do EUCI lub ich wytwarzanie, określający wymogi bezpieczeństwa lub wskazujący te elementy umowy, których bezpieczeństwo wymaga ochrony;
„informacje niejawne UE” (EUCI) – zob. art. 2 ust. 1;
„instrukcje bezpieczeństwa programu/projektu” (IBP) oznaczają wykaz procedur bezpieczeństwa stosowanych do określonego programu/projektu w celu ujednolicenia procedur bezpieczeństwa. Instrukcje mogą być zmieniane podczas trwania programu/projektu;
„materiał kryptograficzny” oznacza algorytmy kryptograficzne, sprzęt i oprogramowanie kryptograficzne, a także produkty zawierające szczegóły stosowania i związaną z nim dokumentację oraz klucze;
„materiały” oznaczają jakikolwiek dokument, nośnik danych lub dowolne urządzenia lub sprzęt, już wytworzone lub będące w trakcie wytwarzania;
„niejawna umowa o podwykonawstwo” oznacza umowę zawieraną przez wykonawcę SGR z innym wykonawcą (tj. podwykonawcą) na dostawę towarów, wykonanie robót lub świadczenie usług, której wykonanie wymaga dostępu do EUCI lub wytwarzania takich informacji bądź wiąże się z dostępem do nich lub ich wytwarzaniem;
„obniżenie klauzuli tajności” oznacza obniżenie poziomu klauzuli tajności;
„ ochrona w głąb” oznacza stosowanie pakietu środków bezpieczeństwa o różnych poziomach ochrony;
„operacja WPBiO” oznacza wojskową lub cywilną operację zarządzania kryzysowego prowadzoną na mocy tytułu V rozdział 2 TUE;
„podatność” oznacza każdego rodzaju słaby punkt, który może zostać wykorzystany przez jedno zagrożenie lub większą ich liczbę. Podatność może być zaniechaniem lub może odnosić się do słabego punktu środków kontroli, jeżeli chodzi o ich solidność, wszechstronność lub spójność; może mieć charakter techniczny, proceduralny, fizyczny, organizacyjny lub operacyjny;
„podmiot prowadzący działalność gospodarczą lub inną” oznacza podmiot zajmujący się dostawą towarów, wykonywaniem robót lub świadczeniem usług; może to być podmiot prowadzący działalność gospodarczą, handlową, usługową, naukową, badawczą, edukacyjną lub rozwojową lub osoba prowadząca własną działalność;
„ połączenie międzysystemowe” – zob. załącznik IV pkt 32;
„posiadacz” oznacza osobę posiadającą odpowiednie uprawnienia i spełniającą zasadę ograniczonego dostępu, znajdującą się w posiadaniu EUCI i w związku z tym odpowiedzialną za ich ochronę;
„postępowanie sprawdzające” oznacza procedury sprawdzające przeprowadzane przez właściwy organ danego państwa członkowskiego zgodnie z jego przepisami ustawowymi i wykonawczymi w celu uzyskania pewności, że nie istnieją żadne niekorzystne okoliczności, które mogłyby stanowić przeszkodę w wydaniu danej osobie PBO lub upoważnienia do dostępu do EUCI do określonego poziomu klauzuli tajności (CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższej);
„ poświadczenie bezpieczeństwa osobowego” (PBO) oznacza oświadczenie właściwego organu państwa członkowskiego wydawane po przeprowadzeniu przez właściwe organy państwa członkowskiego postępowania sprawdzającego, w którym to oświadczeniu stwierdza się, że danej osobie można udzielać przysługującego do konkretnej daty dostępu do EUCI do określonego poziomu klauzuli tajności (CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższej);
„proces zarządzania ryzykiem dla bezpieczeństwa” oznacza cały proces określania, kontrolowania i minimalizacji związanych z ryzykiem wydarzeń, które mogą wpłynąć na bezpieczeństwo danej organizacji lub jakiegokolwiek systemu przez nią używanego. Obejmuje on wszystkie działania związane z ryzykiem, w tym ocenę, zmniejszanie, akceptację i powiadamianie;
„produkt kryptograficzny” oznacza produkt, którego pierwszorzędnym i głównym przeznaczeniem jest świadczenie usług dotyczących bezpieczeństwa (poufności, integralności, dostępności, autentyczności i niezaprzeczalności) z wykorzystaniem jednego urządzenia kryptograficznego lub większej ich liczby;
„przewodnik nadawania klauzul” (PNK) oznacza dokument opisujący niejawne elementy programu lub umowy i określający mające zastosowanie poziomy klauzul tajności. PNK może być rozszerzany podczas trwania programu lub umowy, a klauzule tajności dla części informacji mogą zostać zmienione lub obniżone; jeżeli PNK jest opracowany, to powinien być częścią dokumentu określającego aspekty bezpieczeństwa;
„rejestracja” – zob. załącznik III pkt 18;
„ryzyko” oznacza prawdopodobieństwo, że dane zagrożenie wykorzysta wewnętrzną i zewnętrzną podatność danej organizacji lub jakiegokolwiek systemu, z którego korzysta, i tym samym spowoduje szkody dla tej organizacji i jej materialnych lub niematerialnych zasobów. Ryzyko mierzone jest jako połączenie prawdopodobieństwa wystąpienia zagrożeń oraz ich skutków;
– „akceptacja ryzyka” jest decyzją o zaakceptowaniu dalszego występowania określonego ryzyka szczątkowego po zmniejszeniu ryzyka;
– „ocena ryzyka” polega na określaniu zagrożeń i podatności oraz przeprowadzeniu odpowiedniej analizy ryzyka, tj. analizy prawdopodobieństwa i skutków;
– „powiadamianie o ryzyku” polega na upowszechnianiu wiedzy o ryzyku wśród społeczności korzystających z CIS, na informowaniu o takim ryzyku organów zatwierdzających i na składaniu sprawozdań z nich organom operacyjnym;
– „zmniejszanie ryzyka” polega na łagodzeniu, usuwaniu lub redukowaniu ryzyka (przy pomocy odpowiedniego połączenia środków technicznych, fizycznych, organizacyjnych lub proceduralnych), przenoszeniu lub monitorowaniu ryzyka;
„ryzyko szczątkowe” oznacza ryzyko, które pozostaje po wdrożeniu środków bezpieczeństwa, przy założeniu, że nie przeciwdziała się wszystkim zagrożeniom i że nie każdą podatność można wyeliminować;
„system teleinformatyczny” (CIS) – zob. art. 10 ust. 2;
„świadectwo bezpieczeństwa przemysłowego” (SBP) oznacza stwierdzenie przez KWB lub WWB w wyniku procedur administracyjnych, że z punktu widzenia bezpieczeństwa dany podmiot jest w stanie zapewnić właściwą ochronę EUCI do określonego poziomu klauzuli tajności;
„TEMPEST” oznacza sprawdzenie, analizę i kontrolę emisji elektromagnetycznych umożliwiających przechwycenie danych oraz środki służące tłumieniu takich emisji;
„tryb bezpiecznej pracy systemu” oznacza określenie warunków działania CIS na podstawie klauzul tajności informacji przetwarzanych oraz poziomów poświadczeń jego użytkowników, ich formalnych zatwierdzeń dostępu oraz zasady ograniczonego dostępu. Istnieją cztery tryby działania, jeżeli chodzi o przetwarzanie informacji niejawnych lub ich transmisję: tryb dedykowany, tryb systemowo-podwyższony, tryb zastrzeżony i tryb wielopoziomowy:
– „tryb dedykowany” oznacza tryb pracy systemu, w którym wszystkie osoby posiadające dostęp do CIS są sprawdzane do celów dostępu do informacji o najwyższej klauzuli tajności, którą mają informacje przetwarzane w ramach CIS, oraz spełniają zasadę ograniczonego dostępu do wszystkich informacji przetwarzanych w ramach tego CIS,
– „tryb systemowo-podwyższony” oznacza tryb prac systemu, w którym wszystkie osoby posiadające dostęp do CIS są sprawdzane do celów dostępu do informacji o najwyższym poziomie klauzuli tajności, którą mają informacje przetwarzane w ramach CIS, lecz nie wszystkie osoby posiadające dostęp do CIS spełniają zasadę ograniczonego dostępu do informacji przetwarzanych w ramach tego CIS; zgoda na dostęp do informacji może być udzielona przez określoną osobę,
– „tryb wielopoziomowy” oznacza tryb pracy systemu, w którym nie wszystkie osoby posiadające dostęp do CIS są sprawdzane do celów dostępu do informacji o najwyższym poziomie klauzuli tajności, którą mają informacje przetwarzane w ramach CIS, i nie wszystkie osoby posiadające dostęp do CIS spełniają zasadę ograniczonego dostępu do informacji przetwarzanych w ramach tego CIS,
– „tryb wielopoziomowy” oznacza tryb pracy systemu, w którym nie wszystkie osoby posiadające dostęp do CIS są sprawdzane do celów dostępu do informacji o najwyższym poziomie klauzuli tajności, którą mają informacje przetwarzane w ramach CIS, i nie wszystkie osoby posiadające dostęp do CIS spełniają zasadę ograniczonego dostępu do informacji przetwarzanych w ramach tego CIS;
„umowa niejawna” oznacza umowę zawieraną przez SGR z wykonawcą na dostawę towarów, wykonanie robót lub świadczenie usług, której wykonanie wymaga dostępu do EUCI lub wytwarzania takich informacji bądź wiąże się z dostępem do nich lub ich wytwarzaniem;
„upoważnienie do dostępu do EUCI” oznacza decyzję podejmowaną przez organ powołujący SGR na podstawie zapewnienia udzielonego przez właściwy organ państwa członkowskiego względem urzędnika lub innego pracownika SGR, lub oddelegowanego eksperta krajowego, która oznacza, że osobie tej można – pod warunkiem że spełnia ona zasadę ograniczonego dostępu i że została stosownie poinstruowana co do zakresu swoich obowiązków – udzielić przysługującego do konkretnej daty dostępu do EUCI do określonego poziomu klauzuli tajności (CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższej);
„wykonawca” oznacza osobę fizyczną lub prawną posiadającą zdolność prawną do zawierania umów;
„wykorzystywanie/przetwarzanie” EUCI oznacza wszelkie możliwe działania, którym mogą podlegać EUCI na wszystkich etapach ich cyklu życia. Pojęcie to obejmuje wytwarzanie tych informacji, ich przetwarzanie, przemieszczanie, obniżenie klauzuli tajności, zniesienie klauzuli tajności oraz niszczenie. W przypadku CIS obejmuje ono także gromadzenie informacji, ich przedstawianie, transmisję i przechowywanie;
„wytwórca” oznacza instytucję, organ lub jednostkę organizacyjną Unii, państwo członkowskie, państwo trzecie lub organizację międzynarodową, pod nadzorem której wytworzono informacje niejawne lub wprowadzono je do struktur Unii;
„ wyznaczona władza bezpieczeństwa” (WWB) oznacza organ podporządkowany krajowej władzy bezpieczeństwa (KWB) państwa członkowskiego, odpowiedzialny za informowanie podmiotów prowadzących działalność gospodarczą lub inną o krajowej polityce w zakresie wszelkich kwestii związanych z bezpieczeństwem przemysłowym oraz za udzielanie wskazówek i pomocy w ich wdrażaniu. Zadania WWB mogą być wykonywane przez KWB lub jakiekolwiek inny właściwy organ;
„zabezpieczanie informacji” – zob. art. 10 ust. 1;
„zagrożenie” oznacza potencjalną przyczynę niepożądanego incydentu, który może skutkować szkodą dla organizacji lub jakiegokolwiek systemu przez nią używanego; zagrożenia takie mogą być przypadkowe lub zamierzone (rozmyślne) i obejmują elementy zagrażające, potencjalne cele i metody ataku;
„zarządzanie informacjami niejawnymi” – zob. art. 9 ust. 1;
„zasoby” oznaczają wszystkie elementy, które mają wartość dla danej organizacji, prowadzenia przez nią działań i ich ciągłości, w tym zasoby informacyjne, które wspierają misję organizacji;
„zaświadczenie potwierdzające posiadanie poświadczenia bezpieczeństwa osobowego” (ZPBO) oznacza wydane przez właściwy organ zaświadczenie potwierdzające, że dana osoba została odpowiednio sprawdzona i posiada ważne zaświadczenie potwierdzające posiadanie poświadczenia bezpieczeństwa lub udzielone przez organ powołujący upoważnienie do dostępu do EUCI, oraz określające poziom klauzuli tajności EUCI, do których osoba ta może mieć dostęp (CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższy), okres ważności danego PBO oraz okres ważności samego zaświadczenia;
„ zniesienie klauzuli tajności” oznacza zniesienie jakiejkolwiek klauzuli tajności.
Dodatek B
RÓWNOWAŻNOŚĆ KLAUZUL TAJNOŚCI [1]
UE | TRÈS SECRET UE/EU TOP SECRET | SECRET UE/EU SECRET | CONFIDENTIEL UE/EU CONFIDENTIAL | RESTREINT UE/EU RESTRICTED |
Belgia | Très Secret (Loi 11.12.1998) Zeer Geheim (Wet 11.12.1998) | Secret (Loi 11.12.1998) Geheim (Wet 11.12.1998) | Confidentiel (Loi 11.12.1998) Vertrouwelijk (Wet 11.12.1998) | uwaga (1) poniżej |
Bułgaria | Cтpoгo ceкретно | Ceкретно | Поверително | За служебно ползване |
Czechy | Přísně tajné | Tajné | Důvěrné | Vyhrazené |
Dania | YDERST HEMMELIGT | HEMMELIGT | FORTROLIGT | TIL TJENESTEBRUG |
Niemcy | STRENG GEHEIM | GEHEIM | VS (2) - VERTRAULICH | VS - NUR FÜR DEN DIENSTGEBRAUCH |
Estonia | Täiesti salajane | Salajane | Konfidentsiaalne | Piiratud |
Irlandia | Top Secret | Secret | Confidential | Restricted |
Grecja | Άκρως Απόρρητο Skr. ΑΑΠ | Απόρρητο Skr. (ΑΠ) | Εμπιστευτικό Skr. (ΕΜ) | Περιορισμένης Χρήσης Skr. (ΠΧ) |
Hiszpania | SECRETO | RESERVADO | CONFIDENCIAL | DIFUSIÓN LIMITADA |
Francja | TRÈS SECRET TRÈS SECRET DÉFENSE (3a) | SECRET SECRET DÉFENSE (3) | CONFIDENTIEL DÉFENSE (3), (4) | uwaga (5) poniżej |
Chorwacja | VRLO TAJNO | TAJNO | POVJERLJIVO | OGRANIČENO |
Włochy | Segretissimo | Segreto | Riservatissimo | Riservato |
Cypr | Άκρως Απόρρητο Skr. (ΑΑΠ) | Απόρρητο Skr. (ΑΠ) | Εμπιστευτικό Skr. (ΕΜ) | Περιορισμένης Χρήσης Skr. (ΠΧ) |
Łotwa | Sevišķi slepeni | Slepeni | Konfidenciāli | Dienesta vajadzībām |
Litwa | Visiškai slaptai | Slaptai | Konfidencialiai | Riboto naudojimo |
Luksemburg | Très Secret Lux | Secret Lux | Confidentiel Lux | Restreint Lux |
Hungary | Szigorúan titkos! | Titkos! | Bizalmas! | Korlátozott terjesztésű! |
Malta | L-Ogħla Segretezza Top Secret | Sigriet Secret | Kunfidenzjali Confidential | Ristrett Restricted (6) |
Niderlandy | Stg. ZEER GEHEIM | Stg. GEHEIM | Stg. CONFIDENTIEEL | Dep. VERTROUWELIJK |
Austria | Streng Geheim | Geheim | Vertraulich | Eingeschränkt |
Polska | Ściśle tajne | Tajne | Poufne | Zastrzeżone |
Portugalia | Muito Secreto | Secreto | Confidencial | Reservado |
Rumunia | Strict secret de importanță deosebită | Strict secret | Secret | Secret de serviciu |
Słowenia | STROGO TAJNO | TAJNO | ZAUPNO | INTERNO |
Słowacja | Prísne tajné | Tajné | Dôverné | Vyhradené |
Finlandia | ERITTÄIN SALAINEN YTTERST HEMLIG | SALAINEN HEMLIG | LUOTTAMUKSELLINEN KONFIDENTIELL | KÄYTTÖ RAJOITETTU BEGRÄNSAD TILLGÅNG |
Szwecja | Kvalificerat hemlig | Hemlig | Konfidentiell | Begränsat hemlig |
(1) „Oznaczenie Diffusion Restreinte/Beperkte Verspreiding” nie jest w Belgii uznawane za klauzulę tajności. W Belgii pracuje się z wykorzystaniem informacji oznaczonych „RESTREINT UE/EU RESTRICTED” i chroni je w sposób nie mniej rygorystyczny, niż przewidują to normy i procedury opisane w przepisach bezpieczeństwa Rady Unii Europejskiej. (2) Niemcy VS = Verschlusssache. (3) Informacje wytworzone przez Francję przed dniem 1 lipca 2021 r. i opatrzone klauzulą „TRÈS SECRET DÉFENSE”, „SECRET DÉFENSE” lub „CONFIDENTIEL DÉFENSE” są nadal przetwarzane i chronione na równoważnym poziomie odpowiednio „TRÈS SECRET UE/EU TOP SECRET”, „SECRET UE/EU SECRET” lub „CONFIDENTIEL UE/EU CONFIDENTIAL”. (4) We Francji pracuje się z wykorzystaniem informacji niejawnych oznaczonych „CONFIDENTIEL UE/EU CONFIDENTIAL” i chroni je zgodnie z obowiązującymi we Francji środkami bezpieczeństwa służącymi ochronie informacji oznaczonych klauzulą „SECRET”. (5) Francja nie stosuje klauzuli „RESTREINT” w swoim systemie krajowym. We Francji pracuje się z wykorzystaniem informacji oznaczonych „RESTREINT UE/EU RESTRICTED” i chroni je w sposób nie mniej rygorystyczny, niż przewidują to normy i procedury opisane (6) przepisach bezpieczeństwa Rady Unii Europejskiej.Maltańskie i angielskie oznaczenia mogą być w przypadku Malty używane wymiennie. |
Dodatek C
WYKAZ KRAJOWYCH WŁADZ BEZPIECZEŃSTWA (KWB) [2]
BELGIA Autorité nationale de Sécurité SPF Affaires étrangères, Commerce extérieur et Coopération au Développement 15, rue des Petits Carmes 1000 Bruxelles Tel. sekretariatu: +32 25014542 Faks +32 25014596 E-mail: nvo-ans@diplobel.fed.be | DANIA Politiets Efterretningstjeneste (Danish Security Intelligence Service) Klausdalsbrovej 1 2860 Søborg Tel. +45 45 15 90 07 Faks +45 45 15 01 90 Forsvarets Efterretningstjeneste (Danish Defence Intelligence Service) Kastellet 30 2100 Copenhagen Ø Tel. +45 33325566 Faks +45 33931320 |
BUŁGARIA State Commission on Information Security 4 Kozloduy Str. 1202 Sofia Tel. +359 29333600 Faks +359 29873750 E-mail: dksi@government.bg Strona internetowa: www.dksi.bg | NIEMCY Bundesministerium des Innern, für Bau und Heimat Section ÖS II 5 Alt-Moabit 140 D-10557 Berlin Tel. +49 30186810 Faks +49 30186811441 E-mail 1: OESII5@bmi.bund.de E-mail 2: PersGS@bmi.bund.de |
CZECHY Národní bezpečnostní úřad (National Security Authority) Na Popelce 2/16 150 06 Praha 56 Tel. +420 257283335 Faks +420 257283110 E-mail: oms@nbu.cz Strona internetowa: www.nbu.cz | ESTONIA National Security Authority Department Estonian Foreign Intelligence Service Rahumäe tee 4B 11316 Tallinn Tel. +372 693 9211 Faks +372 693 5001 E-mail: nsa@fis.gov.ee |
IRLANDIA National Security Authority Department of Foreign Affairs and Trade 76 - 78 Harcourt Street Dublin 2 D02 DX45 Ireland Tel. 1: +353 1 4082842 Tel. 2: +353 1 4082724 E-mail: nsa@dfa.ie | FRANCJA Secrétariat général de la défense et de la sécurité nationale Sous-direction Protection du secret (SGDSN/PSD) 51 Boulevard de la Tour-Maubourg 75700 Paris 07 SP Tel. +33 171758177 Faks +33 171758200 |
GRECJA Γενικό Επιτελείο Εθνικής Άμυνας (ΓΕΕΘΑ) Διεύθυνση Ασφαλείας και Αντιπληροφοριών ΣΤΓ 1020 -Χολαργός (Αθήνα) Ελλάδα Τηλ.: +30 2106572045 (ώρες γραφείου) +30 2106572009 (ώρες γραφείου) Φαξ: +30 2106536279 +30 2106577612 Hellenic National Defence General Staff (HNDGS) Counter Intelligence and Security Directorate (NSA) 227-231 HOLARGOS STG 1020 ATHENS Tel. +30 2106572045 +30 2106572009 Faks +30 2106536279 +30 2106577612 | CHORWACJA Office of the National Security Council Croatian NSA Jurjevska 34 10000 Zagreb Croatia Tel. +385 14681222 Faks +385 14686049 E-mail: NSACroatia@uvns.hr Strona internetowa: www.uvns.hr |
HISZPANIA Autoridad Nacional de Seguridad Oficina Nacional de Seguridad Calle Argentona, 30 28023 Madrid Tel. +34 913725000 Faks +34 913725808 E-mail: nsa-sp@areatec.com | WŁOCHY Presidenza del Consiglio dei Ministri Dipartimento Informazioni per la Sicurezza (DIS) Ufficio Centrale per la Segretezza (UCSe) Via Galilei, 32 00185 Roma Tel. +39 06478601 Faks +39 064885273 E-mail: nsa.ita@alfa.gov.it |
CYPR ΥΠΟΥΡΓΕΙΟ ΑΜΥΝΑΣ ΣΤΡΑΤΙΩΤΙΚΟ ΕΠΙΤΕΛΕΙΟ ΤΟΥ ΥΠΟΥΡΓΟΥ ΑΜΥΝΑΣ ΕΘΝΙΚΗ ΑΡΧΗ ΑΣΦΑΛΕΙΑΣ (ΕΑΑ) Υπουργείο Άμυνας Λεωφόρος Στροβόλου 172-174, 1432 Λευκωσία Ταχυδρομικός Κώδικας: 2048 Τηλεφωνα: +357 22807569, +357 22807643, +357 22807764 Τηλεομοιότυπ: +357 22302351 Ηλεκτρονικό Ταχυδρομείο: cynsa@mod.gov.cy Ministry of Defence Minister's Military Staff National Security Authority (NSA) 172-174 Strovolou Avenue, 1432 Nicosia Postal code: 2048 Tel. +357 22807569, +357 22807643, +357 22807764 Faks +357 22302351 E-mail: cynsa@mod.gov.cy | LITWA Lietuvos Respublikos paslapčių apsaugos koordinavimo komisija (The Commission for Secrets Protection Coordination of the Republic of Lithuania National Security Authority) Pilaitės ave. 19 LT-06264 Vilnius Tel. +370 5 706 66128 Faks +370 706 66700 E-mail: nsa@vsd.lt |
ŁOTWA National Security Authority Constitution Protection Bureau of the Republic of Latvia P.O.Box 286 LV-1001 Riga Tel. +371 67025418 E-mail: ndi@sab.gov.lv | LUKSEMBURG Autorité nationale de Sécurité Boîte postale 2379 1023 Luxembourg Tel. +352 24782210 (centrala) Tel. +352 24782253 (bezpośredni) Faks +352 24782243 |
WĘGRY Nemzeti Biztonsági Felügyelet (National Security Authority of Hungary) 1024 Budapest, Szilágyi Erzsébet fasor 11/B Adres do korespondencji: 1399 Budapest, Pf. 710/50 Tel. +36-1/391-1862 Faks +36-1/391-1889 E-mail: nbf@nbf.hu Strona internetowa: www.nbf.hu | AUSTRIA Informationssicherheitskommission Bundeskanzleramt Ballhausplatz 2 1010 Wien Tel. +43 1 53115 202594 Faks +43 1 53109 202594 E-mail: isk@bka.gv.at |
MALTA Ministry for Home Affairs and National Security P.O. Box 146 MT-Valletta Tel. +356 21249844 Faks +356 25695321 | POLSKA Agencja Bezpieczeństwa Wewnętrznego – ABW (Internal Security Agency) 2A Rakowiecka St. 00-993 Warszawa Tel. +48 225857663 Faks +48 225858509 E-mail: nsa@abw.gov.pl Strona internetowa: www.abw.gov.pl |
NIDERLANDY Ministerie van Binnenlandse Zaken en Koninkrijksrelaties Postbus 20010 2500 EA Den Haag Tel. +31 703204400 Faks +31 703200733 Ministerie van Defensie Beveiligingsautoriteit Postbus 20701 2500 ES Den Haag Tel. +31 703187060 Faks +31 703187522 | PORTUGALIA Presidência do Conselho de Ministros Autoridade Nacional de Segurança Rua da Junqueira, 69 1300-342 Lisboa Tel. +351 213031710 Faks +351 213031711 |
RUMUNIA Oficiul Registrului Național al Informațiilor Secrete de Stat – Romanian NSA – ORNISS National Registry Office for Classified Information Strada Mureș nr. 4 012275 Bucharest Tel. +40 212075114 Faks +40 212240714 E-mail: nsa.romania@nsa.ro Strona internetowa: www.orniss.ro | FINLANDIA National Security Authority Ministry for Foreign Affairs P.O. Box 453 FI-00023 Government Tel. +358 9 16055890 E-mail: NSA@formin.fi |
SŁOWENIA Urad Vlade RS za varovanje tajnih podatkov Šmartinska 152 1000 Ljubljana Tel. +386 147817570 Faks +386 14781399 E-mail: gp.uvtp@gov.si | SZWECJA Ministry for Foreign Affairs Swedish National Security Authority 103 39 Stockholm Tel. +46 8 405 10 00 E-mail: ud-nsa@gov.se |
SŁOWACJA Národný bezpečnostný úrad (National Security Authority) Budatínska 30 851 06 Bratislava Tel. +421 2 6869 1111 Faks +421 2 6869 1700 E-mail: podatelna@nbu.gov.sk Strona internetowa: www.nbu.gov.sk |
|
Dodatek D
WYKAZ SKRÓTÓW
Akronim | Znaczenie |
AQUA | Organ oceny produktów kryptograficznych |
BPS | Usługi ochrony na granicy systemów |
CAA | Organ ds. zatwierdzania produktów kryptograficznych |
CCTV | Telewizja przemysłowa |
CDA | Organ ds. dystrybucji produktów kryptograficznych |
CIS | System teleinformatyczny przetwarzający EUCI |
COREPER | Komitet Stałych Przedstawicieli |
DOAB | Dokument określający aspekty bezpieczeństwa |
ECSD | Dyrekcja ds. Bezpieczeństwa Komisji Europejskiej |
EUCI | Informacje niejawne UE |
IA | Zabezpieczanie informacji |
IAA | Organ ds. zabezpieczania informacji |
IBP | Instrukcje bezpieczeństwa programu/projektu |
IT | Technologie informatyczne |
KWB | Krajowa władza bezpieczeństwa |
PBO | Poświadczenie bezpieczeństwa osobowego |
PNK | Przewodnik nadawania klauzul |
SAA | Organ ds. akredytacji bezpieczeństwa |
SAB | Wspólna rada ds. akredytacji bezpieczeństwa |
SBP | Świadectwo bezpieczeństwa przemysłowego |
SecOP | Procedury bezpiecznej eksploatacji systemu |
SGR | Sekretariat Generalny Rady |
SPUE | Specjalny przedstawiciel UE |
SSRS | Szczególne wymagania bezpieczeństwa systemu |
SSWiN | System sygnalizacji włamania i napadu |
TA | Organ ds. TEMPEST |
WPZiB | Wspólna polityka zagraniczna i bezpieczeństwa |
WPBiO | Wspólna polityka bezpieczeństwa i obrony |
WWB | Wyznaczona władza bezpieczeństwa |
ZPBO | Zaświadczenie potwierdzające posiadanie poświadczenia bezpieczeństwa osobowego |
[1] Dodatek B w brzmieniu ustalonym przez art. 1 decyzji Rady (UE) 2021/1075 z dnia 21 czerwca 2021 r. zmieniającej decyzję 2013/488/UE w sprawie przepisów bezpieczeństwa dotyczących ochrony informacji niejawnych UE (Dz.Urz.UE L 233 z 1.07.2021, str. 1). Zmiana weszła w życie 1 lipca 2021 r. i ma zastosowanie od 1 lipca 2021 r.
[2] Dodatek C w brzmieniu ustalonym przez art. 1 decyzji Rady (UE) 2021/1075 z dnia 21 czerwca 2021 r. zmieniającej decyzję 2013/488/UE w sprawie przepisów bezpieczeństwa dotyczących ochrony informacji niejawnych UE (Dz.Urz.UE L 233 z 1.07.2021, str. 1). Zmiana weszła w życie 1 lipca 2021 r. i ma zastosowanie od 1 lipca 2021 r.