2013/488/EU2013/488/EU: Rozhodnutí Rady ze dne 23. září 2013 o bezpečnostních pravidlech na ochranu utajovaných informací EU
| Publikováno: | Úř. věst. L 274, 15.10.2013, s. 1-50 | Druh předpisu: | Rozhodnutí |
| Přijato: | 23. září 2013 | Autor předpisu: | Rada Evropské unie |
| Platnost od: | 15. října 2013 | Nabývá účinnosti: | 15. října 2013 |
| Platnost předpisu: | Ano | Pozbývá platnosti: | |
Text aktualizovaného znění s celou hlavičkou je dostupný pouze pro registrované uživatele.
Tento dokument slouží výhradně k informačním účelům a nemá žádný právní účinek. Orgány a instituce Evropské unie nenesou za jeho obsah žádnou odpovědnost. Závazná znění příslušných právních předpisů, včetně jejich právních východisek a odůvodnění, jsou zveřejněna v Úředním věstníku Evropské unie a jsou k dispozici v databázi EUR-Lex. Tato úřední znění jsou přímo dostupná přes odkazy uvedené v tomto dokumentu
|
ROZHODNUTÍ RADY ze dne 23. září 2013 o bezpečnostních pravidlech na ochranu utajovaných informací EU (Úř. věst. L 274 15.10.2013, s. 1) |
Ve znění:
|
|
|
Úřední věstník |
||
|
Č. |
Strana |
Datum |
||
|
L 125 |
72 |
26.4.2014 |
||
|
L 336 |
291 |
30.12.2019 |
||
|
L 233 |
1 |
1.7.2021 |
||
ROZHODNUTÍ RADY
ze dne 23. září 2013
o bezpečnostních pravidlech na ochranu utajovaných informací EU
(2013/488/EU)
Článek 1
Účel, oblast působnosti a definice
Článek 2
Definice utajovaných informací EU, stupně utajení a označení
Utajované informace EU jsou utajovány jedním z následujících stupňů utajení:
TRÈS SECRET UE / EU TOP SECRET: informace a materiály, jejichž neoprávněné vyzrazení by mohlo vést k mimořádně závažnému poškození podstatných zájmů Evropské unie nebo jednoho či více členských států;
SECRET UE / EU SECRET: informace a materiály, jejichž neoprávněné vyzrazení by mohlo závažně poškodit podstatné zájmy Evropské unie nebo jednoho či více členských států;
CONFIDENTIEL UE / EU CONFIDENTIAL: informace a materiály, jejichž neoprávněné vyzrazení by mohlo poškodit podstatné zájmy Evropské unie nebo jednoho či více členských států;
RESTREINT UE / EU RESTRICTED: informace a materiály, jejichž neoprávněné vyzrazení by mohlo být nevýhodné pro zájmy Unie nebo jednoho či více členských států.
Článek 3
Pravidla stanovování stupňů utajení
Článek 4
Ochrana utajovaných informací
Článek 5
Řízení bezpečnostních rizik
Článek 6
Provádění tohoto rozhodnutí
Článek 7
Personální bezpečnost
Personální bezpečností se rozumí uplatňování opatření, jež zajistí, že přístup k utajovaným informacím EU je umožněn pouze osobám, které:
Článek 8
Fyzická bezpečnost
Článek 9
Správa utajovaných informací
Mimo fyzicky chráněné oblasti se utajované informace EU mezi jednotlivými útvary a prostory přenášejí tímto způsobem:
utajované informace EU se obecně přenášejí elektronicky při zajištění ochrany kryptografickými prostředky schválenými v souladu s čl. 10 odst. 6;
pokud přenos není uskutečňován způsobem uvedeným v písmeni a), přenášejí se utajované informace EU:
na elektronických nosičích informací (jako například USB paměti, kompaktní disky, pevné disky), které jsou chráněny kryptografickými prostředky schválenými v souladu s čl. 10 odst. 6, nebo
ve všech ostatních případech podle pokynů stanovených příslušným bezpečnostním orgánem v souladu s příslušnými ochrannými opatřeními stanovenými v příloze III.
Článek 10
Ochrana utajovaných informací EU, s nimiž se nakládá v komunikačních a informačních systémech
Pokud je ochrana utajovaných informací EU zajišťována kryptografickými prostředky, tyto prostředky se schvalují tímto způsobem:
Důvěrnost informací se stupněm utajení SECRET UE / EU SECRET a vyšším je chráněna kryptografickými prostředky schválenými Radou jakožto schvalovacím orgánem pro kryptografickou ochranu na základě doporučení Bezpečnostního výboru.
Důvěrnost informací se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo RESTREINT UE / EU RESTRICTED je chráněna kryptografickými prostředky schválenými generálním tajemníkem Rady (dále jen „generální tajemník“) jakožto schvalovacím orgánem pro kryptografickou ochranu na základě doporučení Bezpečnostního výboru.
Aniž je dotčeno písmeno b) může být důvěrnost utajovaných informací EU se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo RESTREINT UE / EU RESTRICTED v rámci vnitrostátních systémů členských států chráněna kryptografickými prostředky schválenými schvalovacím orgánem pro kryptografickou ochranu daného členského státu.
Příslušné orgány generálního sekretariátu Rady a členských států zřídí v souvislosti se zabezpečením informací tyto orgány:
orgán pro zabezpečení informací;
orgán TEMPEST;
schvalovací orgán pro kryptografickou ochranu;
orgán pro distribuci kryptografických materiálů.
Příslušné orgány generálního sekretariátu Rady a členských států zřídí pro každý systém:
orgán pro bezpečnostní akreditaci;
provozní orgán pro zabezpečení informací.
Článek 11
Průmyslová bezpečnost
Článek 12
Sdílení utajovaných informací EU
Článek 13
Výměna utajovaných informací se třetími státy a mezinárodními organizacemi
S cílem vytvořit tento rámec a stanovit vzájemně uplatňovaná pravidla pro ochranu vyměňovaných utajovaných informací:
Unie uzavře se třetími státy nebo mezinárodními organizacemi dohody o bezpečnostních postupech pro výměnu a ochranu utajovaných informací (dále jen „dohody o bezpečnosti informací“) nebo
generální tajemník Rady může jménem generálního sekretariátu Rady uzavřít správní ujednání v souladu s bodem 17 přílohy VI, pokud stupeň utajení poskytovaných utajovaných informací EU není zpravidla vyšší než RESTREINT UE / EU RESTRICTED.
Článek 14
Narušení bezpečnosti a ohrožení utajovaných informací EU
Je-li známo nebo existují-li oprávněné důvody domnívat se, že došlo k ohrožení či ztrátě utajovaných informací EU, přijme vnitrostátní bezpečnostní orgán nebo jiný příslušný orgán v souladu s příslušnými právními předpisy veškerá vhodná opatření s cílem:
informovat původce;
zajistit, aby za účelem zjištění faktů byla událost vyšetřena pracovníky, kteří nejsou za dané narušení bezpečnosti bezprostředně odpovědni;
posoudit možnou škodu z hlediska zájmů Unie a členských států;
přijmout vhodná opatření, která zabrání opakování události, a
oznámit přijatá opatření příslušným orgánům.
Článek 15
Odpovědnost za provádění
Členské státy přijmou v souladu se svými vnitrostátními právními předpisy veškerá vhodná opatření, aby zajistily, že při nakládání s utajovanými informacemi EU nebo při jejich ukládání bude toto rozhodnutí dodržováno:
pracovníky stálých zastoupení členských států při Evropské unii a členů jejich delegací, kteří se účastní zasedání Rady či jejích přípravných orgánů nebo jiných činností Rady;
jinými pracovníky správních orgánů členských států, včetně pracovníků vyslaných k těmto orgánům, bez ohledu na to, zda působí na území členských států nebo v zahraničí;
jinými osobami v členských státech, které jsou k přístupu k utajovaným informacím EU řádně oprávněny z titulu své funkce, a
dodavateli členských států, ať již působí na území členských států nebo v zahraničí.
Článek 16
Organizace bezpečnosti v rámci Rady
V rámci své úlohy při zajišťování jednotného uplatňování tohoto rozhodnutí Rada schválí:
dohody uvedené v čl. 13 odst. 2 písm. a);
rozhodnutí opravňující k poskytnutí utajovaných informací EU, jejichž původcem nebo držitelem je Rada, třetím státům a mezinárodním organizacím nebo rozhodnutí o poskytnutí takového souhlasu, a to v souladu se zásadou souhlasu původce;
roční program hodnotících návštěv doporučený Bezpečnostním výborem, zahrnující hodnotící návštěvy služeb a prostor členských států, institucí, agentur a útvarů Unie, na něž se vztahuje toto rozhodnutí nebo jeho zásady, a hodnotící návštěvy třetích států a mezinárodních organizací za účelem ověření účinnosti opatření zavedených na ochranu utajovaných informací EU, a
bezpečnostní politiky podle čl. 6 odst. 1.
Bezpečnostním orgánem generálního sekretariátu Rady je generální tajemník Rady. Generální tajemník Rady v této funkci:
provádí bezpečnostní politiku Rady a její přezkum;
koordinuje s vnitrostátními bezpečnostními orgány členských států veškeré bezpečnostní otázky týkající se ochrany utajovaných informací souvisejících s činností Rady;
vydává úředníkům a ostatním zaměstnancům generálního sekretariátu Rady, jakož i vyslaným národním odborníkům oprávnění k přístupu k informacím se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším v souladu s čl. 7 odst. 3;
podle potřeby nařizuje vyšetřování jakéhokoli faktického nebo možného ohrožení či ztráty utajovaných informací, jejichž držitelem nebo původcem je Rada, nebo v případě podezření z ohrožení či ztráty takových informací a žádá příslušné bezpečnostní orgány o spolupráci při tomto vyšetřování;
provádí pravidelné kontroly bezpečnostních opatření na ochranu utajovaných informací v prostorách generálního sekretariátu Rady;
provádí pravidelné návštěvy za účelem hodnocení bezpečnostních opatření na ochranu utajovaných informací EU v institucích, agenturách a útvarech Unie, na něž se vztahuje toto rozhodnutí nebo jeho zásady;
ve spolupráci s příslušným vnitrostátním bezpečnostním orgánem a po dohodě s ním provádí pravidelná hodnocení bezpečnostních opatření na ochranu utajovaných informací EU v orgánech a prostorách členských států;
zajišťuje v případě potřeby koordinaci bezpečnostních opatření s příslušnými orgány členských států, které odpovídají za ochranu utajovaných informací, a případně se třetími státy nebo mezinárodními organizacemi, mimo jiné s ohledem na povahu ohrožení bezpečnosti utajovaných informací EU a způsoby ochrany před tímto ohrožením, a
uzavírá správní ujednání podle čl. 13 odst. 2 písm. b).
Při plnění těchto povinností je generálnímu tajemníkovi Rady nápomocna bezpečnostní kancelář generálního sekretariátu Rady.
Pro účely provádění čl. 15 odst. 3 by členské státy měly:
určit vnitrostátní bezpečnostní orgán, jak je uvedeno v dodatku C, odpovědný za bezpečnostní opatření na ochranu utajovaných informací EU, aby:
utajované informace EU v držení kteréhokoli vnitrostátního orgánu, veřejnoprávního či soukromoprávního, subjektu nebo agentury, na domácí půdě či v zahraničí, byly chráněny v souladu s tímto rozhodnutím,
bezpečnostní opatření na ochranu utajovaných informací EU byla pravidelně kontrolována či hodnocena,
všechny osoby, které jsou zaměstnány ve správních orgánech daného členského státu nebo dodavatelem a kterým může být umožněn přístup k informacím se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším, byly bezpečnostně prověřeny nebo jinak řádně oprávněny z titulu své funkce v souladu s vnitrostátními právními předpisy,
byly podle potřeby zavedeny bezpečnostní programy, aby se minimalizovalo riziko, že utajované informace EU budou ohroženy či ztraceny,
bezpečnostní otázky týkající se ochrany utajovaných informací EU byly koordinovány s ostatními příslušnými bezpečnostními orgány, včetně orgánů uvedených v tomto rozhodnutí, a
byly vyřízeny příslušné žádosti o provedení bezpečnostní prověrky podané zejména ze strany institucí, agentur a útvarů a operací Unie zřízených podle hlavy V kapitoly 2 Smlouvy o Evropské unii, jakož i ze strany zvláštních zástupců EU a členů jejich týmů, na něž se vztahuje toto rozhodnutí nebo jeho zásady;
zajistit, aby příslušné orgány poskytovaly informace a poradenství svým vládám a jejich prostřednictvím Radě o povaze ohrožení bezpečnosti utajovaných informací EU a o způsobech ochrany před tímto ohrožením.
Článek 17
Bezpečnostní výbor
Zástupci institucí, agentur a útvarů Unie, na něž se vztahuje toto rozhodnutí nebo jeho zásady, mohou být přizváni k účasti na zasedání, jestliže se jich týkají projednávané otázky.
Článek 18
Nahrazení předchozích rozhodnutí
Článek 19
Vstup v platnost
Toto rozhodnutí vstupuje v platnost dnem vyhlášení v Úředním věstníku Evropské unie.
PŘÍLOHY
|
PŘÍLOHA I |
Personální bezpečnost |
|
PŘÍLOHA II |
Fyzická bezpečnost |
|
PŘÍLOHA III |
Správa utajovaných informací |
|
PŘÍLOHA IV |
Ochrana utajovaných informací EU, s nimiž se nakládá v komunikačních a informačních systémech |
|
PŘÍLOHA V |
Průmyslová bezpečnost |
|
PŘÍLOHA VI |
Výměna utajovaných informací se třetími státy a mezinárodními organizacemi |
PŘÍLOHA I
PERSONÁLNÍ BEZPEČNOST
I. ÚVOD
1. Tato příloha stanoví prováděcí pravidla k článku 7. Stanoví kritéria určující, zda určitá osoba může s přihlédnutím k její loajalitě, důvěryhodnosti a spolehlivosti získat oprávnění k přístupu k utajovaným informacím EU, a postupy šetření a správní postupy, jež je třeba za tímto účelem dodržovat.
II. UDĚLENÍ PŘÍSTUPU K UTAJOVANÝM INFORMACÍM EU
2. Určité osobě lze udělit přístup k utajovaným informacím pouze v případě, že:
byla zjištěna potřeba této osoby znát utajované informace;
tato osoba byla poučena o bezpečnostních pravidlech a postupech na ochranu utajovaných informací EU a vzala na vědomí své povinnosti ohledně ochrany těchto informací a
v případě informací se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším:
3. Každý členský stát a generální sekretariát Rady určí ve svých strukturách pracovní místa, která vyžadují přístup k informacím se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším, a tedy bezpečnostní prověrku pro odpovídající stupeň utajení.
III. PODMÍNKY PRO VYDÁNÍ OSVĚDČENÍ O BEZPEČNOSTNÍ PROVĚRCE PERSONÁLU
4. Poté, co vnitrostátní bezpečnostní orgány nebo jiné příslušné vnitrostátní orgány obdrží žádost se všemi náležitostmi, odpovídají za zajištění toho, že budou provedena bezpečnostní šetření týkající se státních příslušníků daného členského státu, kteří žádají o přístup k informacím se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším. Pravidla upravující toto šetření musí být v souladu s vnitrostátními právními předpisy, pokud jde o vydání osvědčení o bezpečnostní prověrce personálu nebo o poskytnutí záruky, aby dotyčná osoba mohla případně obdržet oprávnění k přístupu k utajovaným informacím EU.
5. Pokud má žádající osoba bydliště na území jiného členského státu nebo třetího státu, příslušné vnitrostátní orgány požádají o spolupráci příslušný orgán státu bydliště v souladu s vnitrostátními právními předpisy. Členské státy jsou si při provádění bezpečnostních šetření vzájemně nápomocny v souladu s vnitrostátními právními předpisy.
6. Pokud to vnitrostátní právní předpisy dovolují, mohou vnitrostátní bezpečnostní orgány nebo jiné příslušné vnitrostátní orgány provádět bezpečnostní šetření týkající se cizích státních příslušníků, kteří žádají o přístup k informacím se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším. Pravidla upravující toto šetření musí být v souladu s vnitrostátními právními předpisy.
Kritéria bezpečnostního šetření
7. Loajalita, důvěryhodnost a spolehlivost určité osoby pro účely bezpečnostní prověrky pro přístup k informacím se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším se ověřuje prostřednictvím bezpečnostního šetření. Příslušný vnitrostátní orgán provede celkové hodnocení na základě zjištění tohoto bezpečnostního šetření. Základní kritéria používaná pro tento účel zahrnují v rozsahu daném vnitrostátními právními předpisy posouzení, zda dotyčná osoba:
spáchala nebo se pokusila spáchat některý s těchto činů: vyzvědačství, teroristický útok, sabotáž, vlastizrada nebo pobuřování, nebo se spikla s jinou osobou nebo napomáhala jiné osobě nebo jinou osobu naváděla ke spáchání takového činu;
je nebo byla spojena s vyzvědači, teroristy, sabotéry nebo osobami důvodně podezřelými, že jimi jsou, nebo se zástupci organizací nebo cizích států, včetně cizích zpravodajských služeb, které mohou ohrožovat bezpečnost Unie nebo členských států, pokud nebyla k těmto spojením oprávněna v rámci svých služebních povinností;
je nebo byla členem jakékoli organizace, která násilnými, podvratnými nebo jinými protiprávními způsoby usiluje mimo jiné o svržení vlády některého členského státu, o změnu ústavního pořádku některého členského státu nebo o změnu formy nebo politik jeho vlády;
je či byla stoupencem jakékoli organizace popsané v písmenu c) nebo je či byla úzce spojena se členy takových organizací;
úmyslně zatajila, zkreslila nebo zfalšovala významné informace, zejména informace bezpečnostní povahy, nebo úmyslně lhala při vyplňování bezpečnostního dotazníku personálu nebo v průběhu bezpečnostního pohovoru;
byla odsouzena za trestný čin nebo činy;
je či byla závislá na alkoholu, užívá či užívala nedovolené omamné látky nebo zneužívá či zneužívala běžně dostupné omamné látky;
chová se nebo se chovala způsobem, který může vyvolat riziko, že dotyčná osoba podlehne vydírání nebo nátlaku;
svými činy nebo projevy se ukázala být nečestnou, neloajální, nespolehlivou nebo nedůvěryhodnou;
vážným nebo opakovaným způsobem porušila bezpečnostní předpisy nebo se pokusila o neoprávněnou činnost ve vztahu ke komunikačním a informačním systémům či takovou činnost dokonala a
může být náchylná k podlehnutí nátlaku (například tím, že je státním příslušníkem jednoho nebo více států, které nejsou členskými státy EU, či prostřednictvím příbuzných nebo blízkých osob, kteří by mohli být ovlivnitelní cizími zpravodajskými službami, teroristickými skupinami nebo jinými podvratnými organizacemi nebo osobami, jejichž úmysly mohou ohrožovat bezpečnostní zájmy Unie nebo členských států).
8. Podle okolností a v souladu s vnitrostátními právními předpisy mohou být při bezpečnostním šetření považovány za významné i finanční situace a zdravotní stav dotyčné osoby.
9. Podle okolností a v souladu s vnitrostátními právními předpisy mohou být při bezpečnostním šetření považovány za významné i chování a situace manžela nebo manželky, osoby žijící ve společné domácnosti nebo blízkého člena rodiny.
Požadavky na bezpečnostní šetření týkající se přístupu k utajovaným informacím EU
První vydání bezpečnostní prověrky
10. První bezpečnostní prověrka pro přístup k informacím se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL a SECRET UE / EU SECRET vychází z bezpečnostního šetření zahrnujícího období alespoň posledních pěti let, nebo období od dosažení věku 18 let do současnosti, podle toho, které z nich je kratší, a zahrnuje tato opatření:
vyplnění vnitrostátního bezpečnostního dotazníku personálu odpovídajícího stupni utajení utajovaných informací EU, k nimž může dotyčná osoba potřebovat přístup; po vyplnění se tento dotazník předá příslušnému bezpečnostnímu orgánu;
ověření totožnosti / občanství / státní příslušnosti – ověří se datum a místo narození dotyčné osoby a její totožnost. Prokáže se minulé i současné občanství nebo státní příslušnost dotyčné osoby; to zahrnuje vyhodnocení rizika podlehnutí nátlaku ze zahraničí, například v souvislosti s dřívějším pobytem nebo s kontakty v minulosti a
kontrolu celostátních a místních rejstříků – prověří se celostátní bezpečnostní a ústřední trestní rejstříky, pokud existují, nebo jiné srovnatelné vládní a policejní rejstříky. Prověří se záznamy donucovacích orgánů místně příslušných tam, kde měla dotyčná osoba bydliště nebo kde byla zaměstnána.
11. První bezpečnostní prověrka pro přístup k informacím se stupněm utajení TRÈS SECRET UE / EU TOP SECRET vychází z bezpečnostního šetření zahrnujícího období alespoň posledních deseti let, nebo období od dosažení věku 18 let do současnosti, podle toho, které z nich je kratší. Provádějí-li se pohovory podle písmene e), zahrnuje šetření období alespoň posledních sedmi let, nebo období od dosažení věku 18 let do současnosti, podle toho, které z nich je kratší. Kromě kritérií uvedených v bodě 7 jsou před vydáním bezpečnostní prověrky personálu pro stupeň utajení TRÈS SECRET UE / EU TOP SECRET v rozsahu daném vnitrostátními právními předpisy prošetřovány níže uvedené skutečnosti; mohou být rovněž prošetřovány před vydáním osvědčení o bezpečnostní prověrce personálu pro stupeň utajení CONFIDENTIEL UE / EU CONFIDENTIAL a SECRET UE / EU SECRET, pokud to vnitrostátní právní předpisy vyžadují:
finanční situace – zjišťují se informace o finanční situaci dotyčné osoby za účelem posouzení rizika podlehnutí nátlaku ze zahraničí či domova z důvodu závažných finančních potíží nebo za účelem odhalení nevysvětlených majetkových nebo finančních poměrů;
vzdělání – zjišťují se informace za účelem ověření vzdělání dotyčné osoby dosaženého na školách, vysokých školách a v jiných vzdělávacích zařízeních, které tato osoba navštěvovala od svých 18. narozenin nebo po dobu, kterou orgán provádějící šetření považuje za přiměřenou;
zaměstnání – zjišťují se informace o současném a dřívějším zaměstnání s odkazem na zdroje, jako jsou záznamy o zaměstnání nebo pracovní posudky, a na zaměstnavatele či nadřízené;
vojenská služba – ověří se služba dotyčné osoby v ozbrojených silách, byla-li vykonávána, a forma jejího ukončení a
pohovory – pohovor nebo pohovory se vedou s dotyčnou osobou v případě, že tak stanoví a dovoluje vnitrostátní právo. Pohovory se vedou rovněž s dalšími osobami, které jsou schopny poskytnout nezaujaté hodnocení dotyčné osoby, její minulosti, činností, loajality, důvěryhodnosti a spolehlivosti. Pokud vnitrostátní praxe požaduje od osoby, která je předmětem šetření, uvedení referenčních osob, uskuteční se s těmito osobami pohovory, pokud neexistují pádné důvody tak neučinit.
12. V případě potřeby a v souladu s vnitrostátními právními předpisy může být vedeno doplňující šetření s cílem propracovat veškeré významné informace, jež jsou o dotyčné osobě dostupné, a negativní informace potvrdit, nebo vyvrátit.
Obnovení bezpečnostní prověrky
13. Po první bezpečnostní prověrce a za předpokladu, že dotyčná osoba vykonávala nepřetržitou službu ve vnitrostátních správních orgánech nebo v generálním sekretariátu Rady a potřebuje i nadále mít přístup k utajovaným informacím EU, se bezpečnostní prověrka přezkoumá za účelem obnovení její platnosti v intervalech, které nepřekročí dobu pěti let u osvědčení pro stupeň utajení TRÈS SECRET UE / EU TOP SECRET a dobu deseti let u osvědčení pro stupeň utajení SECRET UE / EU SECRET a CONFIDENTIEL UE / EU CONFIDENTIAL, s účinkem ode dne oznámení výsledku posledního bezpečnostního šetření, které vedlo k jejímu vydání. Veškerá bezpečnostní šetření za účelem obnovení platnosti bezpečnostní prověrky zahrnují období od předchozího bezpečnostního šetření.
14. Za účelem obnovení platnosti bezpečnostní prověrky se prošetřují skutečnosti uvedené v bodech 10 a 11.
15. Žádosti o obnovení platnosti bezpečnostní prověrky je třeba předkládat včas a zohlednit dobu nezbytnou pro bezpečnostní šetření. Pokud však příslušný vnitrostátní bezpečnostní orgán nebo jiný příslušný vnitrostátní orgán obdrží příslušnou žádost o obnovení platnosti bezpečnostní prověrky a odpovídající bezpečnostní dotazník personálu před skončením platnosti stávající bezpečnostní prověrky a nezbytné bezpečnostní šetření zatím nebylo skončeno, může příslušný vnitrostátní orgán, pokud to dovolují vnitrostátní právní předpisy, prodloužit platnost stávající bezpečnostní prověrky o období až 12 měsíců. Nedojde-li k dokončení bezpečnostního šetření do konce této dvanáctiměsíční lhůty, přidělí se dotyčné osobě úkoly, které nevyžadují bezpečnostní prověrku.
Postupy v rámci generálního sekretariátu Rady pro oprávnění k přístupu k informacím
16. V případě úředníků a ostatních zaměstnanců generálního sekretariátu Rady předá bezpečnostní orgán generálního sekretariátu Rady vyplněný bezpečnostní dotazník personálu vnitrostátnímu bezpečnostnímu orgánu členského státu, jehož je dotyčná osoba státním příslušníkem, a požádá o provedení bezpečnostního šetření pro stupeň utajení utajovaných informací EU, k nimž bude dotyčná osoba potřebovat přístup.
17. Pokud generální sekretariát Rady zjistí v souvislosti s osobou, která požádala o bezpečnostní prověrku pro účely přístupu k utajovaným informacím EU, informace významné pro bezpečnostní šetření, oznámí tuto skutečnost postupem podle příslušných pravidel a předpisů příslušnému vnitrostátnímu bezpečnostnímu orgánu.
18. Příslušný vnitrostátní bezpečnostní orgán informuje po skončení bezpečnostního šetření bezpečnostní orgán generálního sekretariátu Rady o výsledku šetření standardní formou stanovenou pro korespondenci Bezpečnostním výborem.
V případech, kdy bezpečnostní šetření dojde k závěru, že nejsou známy žádné negativní skutečnosti, které by zpochybnily loajalitu, důvěryhodnost a spolehlivost určité osoby, může orgán generálního sekretariátu Rady oprávněný ke jmenování vydat dotyčné osobě oprávnění k přístupu k utajovaným informacím EU až do odpovídajícího stupně utajení a do konkrétně stanoveného data.
Pokud nelze v rámci bezpečnostního šetření dojít k závěru, že nejsou známy tyto negativní skutečnosti, orgán generálního sekretariátu Rady oprávněný ke jmenování uvědomí dotyčnou osobu, která může tento orgán požádat o slyšení. Orgán oprávněný ke jmenování může požádat příslušný vnitrostátní bezpečnostní orgán, aby v souladu s vnitrostátními právními předpisy poskytl veškerá další možná upřesnění. Je-li výsledek potvrzen, nelze oprávnění k přístupu k utajovaným informacím EU vydat.
19. Bezpečnostní šetření spolu se získanými výsledky podléhají příslušným právním předpisům platným v daném členském státě, včetně předpisů týkajících se opravných prostředků. Rozhodnutí orgánu generálního sekretariátu Rady oprávněného ke jmenování podléhají opravným prostředkům v souladu se služebním řádem úředníků Evropské unie a pracovním řádem ostatních zaměstnanců Evropské unie stanoveným nařízením Rady (EHS, Euratom, ESUO) č. 259/68 ( 3 ) (dále jen „služební a pracovní řád“).
20. Národní odborníci vyslaní ke generálnímu sekretariátu Rady na pracovní místa vyžadující přístup k utajovaným informacím EU se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším předloží bezpečnostnímu orgánu generálního sekretariátu Rady před nástupem do služby platné osvědčení o bezpečnostní prověrce pro přístup k utajovaným informacím EU, na jehož základě orgán oprávněný ke jmenování vystaví oprávnění k přístupu k utajovaným informacím EU.
21. Generální sekretariát Rady uzná oprávnění k přístupu k utajovaným informacím EU udělené jakýmkoli jiným orgánem, institucí nebo agenturou Unie, za předpokladu, že je toto oprávnění i nadále platné. Oprávnění se bude vztahovat na veškeré úkoly přidělené dotyčné osobě v rámci generálního sekretariátu Rady. Orgán, instituce nebo agentura Unie, kde dotyčná osoba nastupuje k výkonu zaměstnání, vyrozumí o změně zaměstnavatele příslušný vnitrostátní bezpečnostní orgán.
22. Nenastoupí-li dotyčná osoba do služby do 12 měsíců od oznámení výsledku bezpečnostního šetření orgánu generálního sekretariátu Rady oprávněnému ke jmenování nebo dojde-li k přerušení služby dotyčné osoby v délce 12 měsíců, během nichž není tato osoba zaměstnána v generálním sekretariátu Rady nebo na pracovním místě ve vnitrostátních správních orgánech některého členského státu, oznámí se tato skutečnost příslušnému vnitrostátnímu bezpečnostnímu orgánu za účelem potvrzení, že je i nadále platná a aktuální.
23. Pokud generální sekretariát Rady zjistí informace týkající se bezpečnostního rizika, jež představuje osoba, která je držitelem oprávnění k přístupu k utajovaným informacím EU, oznámí tuto skutečnost postupem podle příslušných pravidel a předpisů příslušnému vnitrostátnímu bezpečnostnímu orgánu, přičemž může přístup k utajovaným informacím EU pozastavit nebo oprávnění k přístupu k utajovaným informacím EU zrušit.
24. Pokud vnitrostátní bezpečnostní orgán informuje generální sekretariát Rady o tom, že již nejsou platné závěry podle bodu 18 písm. a) v případě osoby, která je držitelem oprávnění k přístupu k utajovaným informacím EU, může orgán generálního sekretariátu Rady oprávněný ke jmenování požádat vnitrostátní bezpečnostní orgán, aby v souladu s vnitrostátními právními předpisy poskytl veškerá další možná upřesnění. Pokud se negativní skutečnosti potvrdí, oprávnění se zruší a dané osobě se zamezí v přístupu k utajovaným informacím EU a daná osoba je odvolána z pracovních míst, u nichž je přístup k utajovaným informacím EU možný nebo v jejichž rámci by mohla ohrožovat bezpečnost.
25. Jakékoli rozhodnutí o zrušení nebo pozastavení oprávnění k přístupu k utajovaným informacím EU v případě úředníka nebo jiného zaměstnance generálního sekretariátu Rady a případné příslušné odůvodnění se oznámí dotyčné osobě, která může požádat o slyšení orgán generálního sekretariátu Rady oprávněný ke jmenování. Informace poskytované vnitrostátním bezpečnostním orgánem podléhají příslušným právním předpisům platným v daném členském státě, včetně předpisů týkajících se opravných prostředků. Rozhodnutí orgánu generálního sekretariátu Rady oprávněného ke jmenování podléhají opravným prostředkům v souladu se služebním řádem a pracovním řádem.
Záznamy o bezpečnostních prověrkách a o oprávněních
26. Každý členský stát a generální sekretariát Rady vedou záznamy o osvědčeních o bezpečnostních prověrkách personálu a oprávněních uděleným za účelem přístupu k informacím se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším. Tyto záznamy obsahují informace alespoň o stupni utajení utajovaných informací EU, k nimž může být dotčené osobě umožněn přístup, o datu vydání a době platnosti bezpečnostní prověrky.
27. Příslušný bezpečnostní orgán může vydat potvrzení o bezpečnostní prověrce personálu, v němž uvede stupeň utajení utajovaných informací EU, k nimž může mít tato osoba přístup (stupeň utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšší), dobu platnosti příslušného osvědčení o bezpečnostní prověrce personálu pro přístup k utajovaným informacím EU nebo oprávnění pro přístup k utajovaným informacím EU a datum skončení platnosti tohoto potvrzení.
Výjimky z požadavku na osvědčení o bezpečnostní prověrce personálu
28. Přístup k utajovaným informacím EU v členských státech ze strany osob, které jsou k tomuto přístupu řádně oprávněny z titulu své funkce, se řídí vnitrostátními právními předpisy; tyto osoby je třeba poučit o jejich bezpečnostních povinnostech ohledně ochrany utajovaných informací EU.
IV. VZDĚLÁVÁNÍ A OSVĚTA V OBLASTI BEZPEČNOSTI
29. Všechny osoby, které byly bezpečnostně prověřeny, písemně potvrdí, že rozumí tomu, jaké mají povinnosti, pokud jde o ochranu utajovaných informací EU, a jsou si vědomy důsledků v případě ohrožení utajovaných informací EU. Daný členský stát a generální sekretariát Rady vedou záznamy o těchto písemných potvrzeních.
30. Všechny osoby, které jsou oprávněny k přístupu k utajovaným informacím EU nebo po nichž se vyžaduje, aby s nimi nakládaly, jsou nejprve poučeny a poté pravidelně informovány o možném ohrožení bezpečnosti a musí neprodleně informovat příslušné bezpečnostní orgány o jakémkoli pokusu o kontakt nebo o činnosti, které považují za podezřelé nebo neobvyklé.
31. Všechny osoby, které přestanou vykonávat pracovní povinnosti vyžadující přístup k utajovaným informacím EU, musí být poučeny o své povinnosti utajované informace EU i nadále chránit a případně tuto skutečnost písemně potvrdí.
V. VÝJIMEČNÉ OKOLNOSTI
32. Pokud to dovolují vnitrostátní právní předpisy, bezpečnostní prověrka provedená příslušným vnitrostátním orgánem členského státu pro přístup k utajovaným informacím daného státu, může dočasně do udělení osvědčení o bezpečnostní prověrce personálu pro přístup k utajovaným informacím EU umožnit státním úředníkům přístup k utajovaným informacím EU až do rovnocenné úrovně podle srovnávací tabulky uvedené v dodatku B v případech, kdy je dočasný přístup vyžadován v zájmu Unie. Vnitrostátní bezpečnostní orgány informují Bezpečnostní výbor, pokud vnitrostátní právní předpisy dočasný přístup k utajovaným informacím EU nedovolují.
33. Z naléhavých důvodů, pokud to vyžadují služební zájmy a není-li skončeno bezpečnostní šetření v plném rozsahu, může orgán generálního sekretariátu Rady oprávněný ke jmenování, po konzultaci vnitrostátního bezpečnostního orgánu členského státu, jehož je daná osoba státním příslušníkem, a pod podmínkou, že předběžné šetření potvrdí, že nejsou známy žádné negativní skutečnosti, vydat dočasné oprávnění úředníkům a ostatním zaměstnancům generálního sekretariátu Rady k přístupu k utajovaným informacím EU pro konkrétní úkoly. Dočasná oprávnění jsou platná nejdéle po dobu šesti měsíců a neumožňují přístup k informacím se stupněm utajení TRÈS SECRET UE / EU TOP SECRET. Všechny osoby, kterým bylo vydáno dočasné oprávnění, písemně potvrdí, že rozumí tomu, jaké mají povinnosti, pokud jde o ochranu utajovaných informací EU, a jsou si vědomy důsledků v případě ohrožení utajovaných informací EU. Generální sekretariát Rady vede záznamy o těchto písemných potvrzeních.
34. Má-li být určitá osoba zařazena na pracovní místo, které vyžaduje bezpečnostní prověrku pro přístup k utajovaným informacím o jeden stupeň utajení vyšší, než je stupeň, pro nějž byla u této osoby provedena současná bezpečnostní prověrka, lze tuto osobu prozatímně zařadit na toto místo za následujících podmínek:
nadřízený dotyčné osoby písemně odůvodní naléhavou potřebu přístupu k utajovaným informacím EU s vyšším stupněm utajení;
přístup je omezen na konkrétní utajované informace EU nezbytné pro plnění úkolů v rámci daného pracovního místa;
dotyčná osoba je držitelem platného osvědčení o bezpečnostní prověrce personálu nebo oprávnění k přístupu k utajovaným informacím EU;
byly zahájeny kroky k získání oprávnění k přístupu k informacím se stupněm utajení, který vyžaduje dané pracovní místo;
příslušný orgán s uspokojivým výsledkem prověřil, že dotyčná osoba neporušila závažným nebo opakovaným způsobem bezpečnostní předpisy;
zařazení dotyčné osoby schválí příslušný orgán a
v příslušném registru nebo podřízeném registru jsou vedeny záznamy o udělených výjimkách, včetně popisu informací, pro něž byl přístup schválen.
35. Výše uvedený postup se použije pro jednorázový přístup k utajovaným informacím EU se stupněm utajení o jeden stupeň vyšším, než je stupeň, pro který byla dotyčná osoba bezpečnostně prověřena. Tento postup nelze použít opakovaně.
36. Za velmi výjimečných okolností, jako například během plnění úkolů v nepřátelském prostředí nebo v obdobích stoupajícího mezinárodního napětí, kdy to vyžadují mimořádná opatření, zejména pro záchranu životů, mohou členské státy a generální tajemník Rady, je-li to možné, písemně povolit přístup k informacím se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo SECRET UE / EU SECRET osobám, které nejsou držiteli potřebné bezpečnostní prověrky, pokud je takové povolení bezpodmínečně nutné a neexistují důvodné pochybnosti o loajalitě, důvěryhodnosti a spolehlivosti dotyčné osoby. O povolení včetně popisu informací, k nimž byl přístup povolen, musí být veden záznam.
37. V případě informací se stupněm utajení TRÈS SECRET UE / EU TOP SECRET je přístup v mimořádných situacích omezen na státní příslušníky Unie, jimž byl povolen přístup k informacím se stupněm utajení rovnocenným na vnitrostátní úrovni stupni utajení TRÈS SECRET UE / EU TOP SECRET nebo k informacím se stupněm utajení SECRET UE / EU SECRET.
38. O případech, kdy se použije postup stanovený v bodech 36 a 37, je informován Bezpečnostní výbor.
39. Pokud vnitrostátní právní předpisy daného členského státu stanoví přísnější pravidla ohledně dočasného oprávnění, prozatímního zařazení, jednorázového přístupu osob k utajovaným informacím nebo přístupu osob k utajovaným informacím v mimořádných situacích, použijí se postupy stanovené v tomto oddílu pouze v mezích stanovených příslušnými vnitrostátními právními předpisy.
40. Bezpečnostní výbor obdrží výroční zprávu o použití postupů uvedených v tomto oddíle.
VI. ÚČAST NA ZASEDÁNÍCH V RADĚ
41. Osoby, které se mají účastnit zasedání Rady nebo přípravných orgánů Rady, v nichž se projednávají informace se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL a vyšším, tak mohou činit pouze po potvrzení statusu své bezpečnostní prověrky, s výhradou bodu 28. Pokud jde o delegáty, příslušné orgány doručí bezpečnostní kanceláři generálního sekretariátu Rady potvrzení o bezpečnostní prověrce personálu nebo jiný doklad o vydání osvědčení o bezpečnostní prověrce personálu nebo jej ve výjimečných případech předloží dotyčný delegát. Tam kde je to vhodné, lze použít společný jmenný seznam, v němž jsou příslušné informace o bezpečnostní prověrce uvedeny.
42. Pokud je z bezpečnostních důvodů osvědčení o bezpečnostní prověrce personálu zrušeno v případě osoby, jejíž povinnosti vyžadují účast na zasedáních Rady nebo přípravných orgánů Rady, oznámí to příslušný orgán generálnímu sekretariátu Rady.
VII. POTENCIÁLNÍ PŘÍSTUP K UTAJOVANÝM INFORMACÍM EU
43. Kurýři a členové ostrahy a doprovodu musí být náležitě bezpečnostně prověřeni pro odpovídající stupeň utajení nebo musí být jinak vhodně prověřeni v souladu s vnitrostátními právními předpisy, poučeni o bezpečnostních postupech pro ochranu utajovaných informací EU a seznámeni se svými povinnostmi chránit jim svěřené utajované informace EU.
PŘÍLOHA II
FYZICKÁ BEZPEČNOST
I. ÚVOD
1. Tato příloha stanoví prováděcí pravidla k článku 8. Stanoví minimální požadavky na fyzickou ochranu areálů, budov, kanceláří, místností a dalších prostor, v nichž se nakládá s utajovanými informacemi EU a v nichž jsou takové informace ukládány, včetně prostor, v nichž jsou umístěny komunikační a informační systémy.
2. Opatření fyzické bezpečnosti mají předejít neoprávněnému přístupu k utajovaným informacím EU tím, že:
zajišťují, aby s utajovanými informacemi bylo nakládáno a aby byly ukládány vhodným způsobem;
umožňují rozdělení členů personálu, pokud jde o přístup k utajovaným informacím EU, na základě jejich potřeby znát utajované informace a případně i na základě jejich bezpečnostní prověrky;
odrazují od neoprávněné činnosti a takové činnosti zabraňují a odhalují ji a
znemožňují nebo zpomalují nepovolený nebo násilný vstup útočníků.
II. POŽADAVKY NA FYZICKOU BEZPEČNOST A OPATŘENÍ FYZICKÉ BEZPEČNOSTI
3. Výběr opatření fyzické bezpečnosti se provede na základě hodnocení rizika ze strany příslušných orgánů. Generální sekretariát Rady a členské státy uplatňují ve svých prostorách proces řízení rizik na ochranu utajovaných informací EU, aby se poskytla přiměřená úroveň fyzické ochrany vůči vyhodnocenému riziku. V procesu řízení rizik se vezmou v úvahu veškeré důležité okolnosti, zejména:
stupeň utajení utajovaných informací EU;
podoba a objem dotčených utajovaných informací EU, přičemž je třeba brát v úvahu, že velké množství nebo kompilace utajovaných informací EU může vyžadovat použití přísnějších ochranných opatření;
okolní prostředí a uspořádání budov nebo prostor, v nichž jsou utajované informace EU ukládány, a
vyhodnocené hrozby ze strany zpravodajských služeb zaměřených na Unii nebo na členské státy a hrozba sabotáže a teroristických, podvratných nebo jiných trestných činností.
4. Příslušný bezpečnostní orgán určí v souladu s koncepcí hloubkové ochrany vhodnou kombinaci opatření fyzické bezpečnosti, jež je třeba uplatňovat. Zahrnují jedno nebo více z těchto opatření:
obvodová bariéra: fyzické ohraničení, které chrání hranici prostoru, jenž vyžaduje ochranu;
systémy detekce narušení: systém detekce narušení může být používán ke zvýšení úrovně bezpečnosti, kterou poskytuje obvodová bariéra, nebo v místnostech a budovách místo bezpečnostního personálu nebo jako podpůrný prostředek bezpečnostního personálu;
kontrola vstupu: kontrola vstupu se může týkat určitého areálu, budovy nebo budov v daném areálu nebo prostor či místností uvnitř budovy. Kontrola může být prováděna elektronickými či elektromechanickými prostředky bezpečnostním personálem nebo pracovníkem recepce nebo jakýmikoli jinými fyzickými prostředky;
bezpečnostní personál: vyškolený a kontrolovaný bezpečnostní personál, který je podle potřeby náležitě bezpečnostně prověřen, může být využit mimo jiné s cílem odradit osoby plánující tajné vniknutí;
uzavřený televizní okruh (CCTV): uzavřený televizní okruh může být používán bezpečnostním personálem za účelem ověřování incidentů a signalizace systémů detekce narušení v případě rozsáhlých areálů nebo po obvodu určitého prostoru;
bezpečnostní osvětlení: bezpečnostní osvětlení může být používáno s cílem odradit případného útočníka a zajistit osvětlení potřebné pro účinnou ostrahu přímo ze strany bezpečnostního personálu nebo nepřímo prostřednictvím uzavřeného televizního okruhu a
jakákoli jiná vhodná fyzická opatření, která mají zabránit neoprávněnému přístupu či takový přístup odhalit nebo předejít ztrátě či poškození utajovaných informací EU.
5. Příslušný orgán může být oprávněn k provádění prohlídek při vstupu a odchodu, které mají odradit od nedovoleného vnášení materiálů nebo neoprávněného vynášení utajovaných informací EU z areálů nebo budov.
6. Hrozí-li nebezpečí, že by utajované informace EU mohly být, i neúmyslně, odezírány, přijmou se vhodná opatření, kterými se tomuto riziku zamezí.
7. U nových zařízení se požadavky na fyzickou bezpečnost a jejich funkční specifikace stanoví jako součást plánování a konstrukce zařízení. U stávajících zařízení se požadavky na fyzickou bezpečnost uplatňují v nejvyšší možné míře.
III. PROSTŘEDKY FYZICKÉ OCHRANY UTAJOVANÝCH INFORMACÍ EU
8. Při pořizování prostředků fyzické ochrany utajovaných informací EU (například bezpečnostních úschovných objektů, skartovacích přístrojů, dveřních zámků, elektronických systémů kontroly vstupu, systémů detekce narušení, poplašných systémů) zajistí příslušný bezpečnostní orgán, aby tyto prostředky splňovaly schválené technické standardy a minimální požadavky.
9. Technické specifikace prostředků používaných pro fyzickou ochranu utajovaných informací EU se stanoví v bezpečnostních pokynech, které schválí Bezpečnostní výbor.
10. Kontrola bezpečnostních systémů a údržba prostředků fyzické ochrany se provádí pravidelně. Při údržbě se zohlední výsledek kontrol, aby se i nadále zajistilo optimální fungování těchto prostředků.
11. Účinnost jednotlivých bezpečnostních opatření a celého bezpečnostního systému se znovu hodnotí při každé kontrole.
IV. FYZICKY CHRÁNĚNÉ OBLASTI
12. Pro fyzickou ochranu utajovaných informací EU se stanoví dva druhy fyzicky chráněných oblastí nebo jejich vnitrostátní ekvivalenty:
administrativní oblasti a
zabezpečené oblasti (včetně technicky zabezpečených oblastí).
V tomto rozhodnutí je třeba všechny odkazy na administrativní oblasti a zabezpečené oblasti včetně technicky zabezpečených oblastí chápat také jako odkazy na jejich vnitrostátní ekvivalenty.
13. Příslušný bezpečnostní orgán určí, zda daný prostor splňuje požadavky na to, aby mohl být označen jako administrativní oblast, zabezpečená oblast nebo technicky zabezpečená oblast.
14. U administrativních oblastí:
musí být viditelně vymezen obvod administrativní oblasti, která umožní kontrolu osob a pokud možno i vozidel;
je přístup bez doprovodu umožněn pouze osobám, které mají řádné oprávnění od příslušného orgánu, a
pro všechny jiné osoby je třeba zajistit nepřetržitý doprovod nebo rovnocenná kontrolní opatření.
15. U zabezpečených oblastí:
musí být viditelně vymezen a chráněn obvod zabezpečené oblasti, jejíž všechny vstupy a východy jsou kontrolovány prostřednictvím průkazů nebo systému osobní identifikace;
přístup bez doprovodu lze umožnit pouze osobám, které jsou bezpečnostně prověřeny a jsou ke vstupu do dané oblasti výslovně oprávněny na základě potřeby znát utajované informace, a
pro všechny jiné osoby je třeba zajistit nepřetržitý doprovod nebo rovnocenná kontrolní opatření.
16. Představuje-li vstup do zabezpečené oblasti de facto přímý přístup k utajovaným informacím, které se v nich nacházejí, musí být dále splněny tyto požadavky:
je třeba jasně stanovit nejvyšší stupeň utajení informací, které jsou v dané oblasti zpravidla ukládány, a
všichni návštěvníci musí být zvlášť oprávněni ke vstupu do dané oblasti, je třeba pro ně zajistit nepřetržitý doprovod a musí být náležitě bezpečnostně prověřeni, s výjimkou případů, kdy byla přijata opatření zajišťující, že k utajovaným informací EU není možný přístup.
17. Zabezpečené oblasti chráněné před odposlechem je třeba označit jako technicky zabezpečené oblasti. U těchto oblastí musí být dále splněny tyto požadavky:
tyto oblasti musí být vybaveny systémy detekce narušení, být uzamčeny v době, kdy nejsou obsazeny, a střeženy v době, kdy obsazeny jsou. Všechny klíče musí být kontrolovány v souladu s částí VI;
všechny osoby a materiály musí být při vstupu do těchto prostor kontrolovány;
tyto oblasti musí být předmětem pravidelných fyzických nebo technických kontrol podle požadavků příslušného bezpečnostního orgánu. Tyto kontroly se rovněž provádějí po jakémkoli neoprávněném vstupu nebo podezření, že k takovému vstupu došlo, a
tyto oblasti nesmí obsahovat neschválené komunikační vedení, neschválené telefonní či jiné komunikační přístroje a neschválená elektrická nebo elektronická zařízení.
18. Bez ohledu na bod 17 písm. d) předtím, než se komunikační přístroje a elektrická nebo elektronická zařízení jakéhokoli druhu použijí v oblastech, v nichž se konají zasedání nebo v nichž se pracuje s informacemi se stupněm utajení SECRET UE / EU SECRET nebo vyšším, a v případech, kdy je úroveň ohrožení utajovaných informací EU vyhodnocena jako vysoká, musí být veškeré přístroje a zařízení nejdříve prověřeny příslušným bezpečnostním orgánem za tím účelem, aby prostřednictvím těchto zařízení nemohlo dojít k neúmyslnému či nezákonnému přenášení žádných srozumitelných informací mimo danou zabezpečenou oblast.
19. Zabezpečené oblasti, které nejsou 24 hodin denně obsazeny pracovníky ve službě, jsou podle potřeby kontrolovány na konci běžné pracovní doby a v náhodně zvolených intervalech mimo běžnou pracovní dobu, není-li zaveden systém detekce narušení.
20. Zabezpečené oblasti a technicky zabezpečené oblasti mohou být zřízeny dočasně v rámci administrativní oblasti pro uspořádání tajného zasedání nebo pro jiný podobný účel.
21. Pro každou zabezpečenou oblast se vypracují bezpečnostní provozní směrnice, v nichž se stanoví:
stupeň utajení utajovaných informací EU, s nimiž se může nakládat nebo jež mohou být ukládány v dané oblasti;
ostraha a ochranná opatření, jež je třeba dodržovat;
osoby, které jsou k přístupu do dané oblasti bez doprovodu oprávněny vzhledem k tomu, že potřebují znát utajované informace a že jsou bezpečnostně prověřeny;
případně postupy pro zajištění doprovodu nebo pro ochranu utajovaných informací EU, je-li přístup do dané oblasti umožněn jiným osobám, a
veškerá jiná náležitá opatření a postupy.
22. Trezorové místnosti se budují uvnitř zabezpečených oblastí. Stěny, podlahy, stropy, okna a uzamykatelné dveře musí být schváleny příslušným bezpečnostním orgánem a musí poskytovat ochranu na úrovni rovnocenné s bezpečnostním úschovným objektem schváleným pro ukládání utajovaných informací EU se stejným stupněm utajení.
V. OPATŘENÍ FYZICKÉ BEZPEČNOSTI PRO NAKLÁDÁNÍ S UTAJOVANÝMI INFORMACEMI EU A JEJICH UKLÁDÁNÍ
23. S utajovanými informacemi EU se stupněm utajení RESTREINT UE / EU RESTRICTED lze nakládat:
v zabezpečené oblasti;
v administrativní oblasti za předpokladu, že utajované informace EU jsou chráněny před přístupem neoprávněných osob, nebo
mimo zabezpečenou oblast či mimo administrativní oblast za předpokladu, že držitel informací přenáší utajované informace EU v souladu s body 28 až 41 přílohy III a že se zavázal k dodržování náhradních opatření stanovených bezpečnostními pokyny vydanými příslušným bezpečnostním orgánem s cílem zajistit, aby utajované informace EU byly chráněny před přístupem neoprávněných osob.
24. Utajované informace EU se stupněm utajení RESTREINT UE / EU RESTRICTED se ukládají ve vhodném uzamčeném kancelářském nábytku v administrativní oblasti nebo v zabezpečené oblasti. Dočasně mohou být ukládány mimo zabezpečenou oblast či mimo administrativní oblast za předpokladu, že se držitel informací zavázal k dodržování náhradních opatření stanovených bezpečnostními pokyny vydanými příslušným bezpečnostním orgánem.
25. S utajovanými informacemi EU se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo SECRET UE / EU SECRET lze nakládat:
v zabezpečené oblasti;
v administrativní oblasti za předpokladu, že utajované informace EU jsou chráněny před přístupem neoprávněných osob, nebo
mimo zabezpečenou oblast či mimo administrativní oblast za předpokladu, že držitel informací:
přenáší utajované informace EU v souladu s body 28 až 41 přílohy III,
zavázal se k dodržování náhradních opatření stanovených bezpečnostními pokyny vydanými příslušným bezpečnostním orgánem s cílem zajistit, aby utajované informace EU byly chráněny před přístupem neoprávněných osob,
má utajované informace EU neustále pod osobním dohledem a
v případě dokumentů v tištěné podobě oznámil tuto skutečnost příslušnému registru.
26. Utajované informace EU se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL a SECRET EU/EU SECRET se ukládají v zabezpečené oblasti buď v bezpečnostním úschovném objektu, nebo v trezorové místnosti.
27. S utajovanými informacemi EU se stupněm utajení TRÈS SECRET UE / EU TOP SECRET se nakládá v zabezpečené oblasti.
28. Utajované informace EU se stupněm utajení TRÈS SECRET UE / EU TOP SECRET se ukládají v zabezpečené oblasti při dodržení jedné z těchto podmínek:
informace se ukládají v bezpečnostním úschovném objektu v souladu s bodem 8, přičemž je třeba uplatňovat nejméně jedno z těchto dodatečných kontrolních opatření:
nepřetržitá ochrana nebo kontrola ze strany prověřeného bezpečnostního nebo služebního personálu,
schválený systém detekce narušení v kombinaci s pohotovostním bezpečnostním personálem;
informace se ukládají v trezorové místnosti vybavené systémem detekce narušení v kombinaci s pohotovostním bezpečnostním personálem.
29. Pravidla pro přenos utajovaných informací EU mimo fyzicky chráněné oblasti jsou stanovena v příloze III.
VI. KONTROLA KLÍČŮ A KÓDŮ POUŽÍVANÝCH PRO OCHRANU UTAJOVANÝCH INFORMACÍ EU
30. Příslušný bezpečnostní orgán stanoví postupy pro správu klíčů a nastavení kódů pro kanceláře, místnosti, bezpečnostní trezorové místnosti a bezpečnostní úschovné objekty. Tyto postupy zabrání neoprávněnému přístupu.
31. Nastavení kódů smí znát co nejmenší možný počet osob, které je znát potřebují. Nastavení kódů pro bezpečnostní úschovné objekty a trezorové místnosti, v nichž se ukládají utajované informace EU, je třeba změnit:
při přijetí nového úschovného objektu;
kdykoli se změní personál, který kombinaci zná;
kdykoli dojde k ohrožení informací nebo v případě podezření z ohrožení;
pokud došlo k údržbě či opravě zámku a
nejméně každých 12 měsíců.
PŘÍLOHA III
SPRÁVA UTAJOVANÝCH INFORMACÍ
I. ÚVOD
1. Tato příloha stanoví prováděcí pravidla k článku 9. Stanoví administrativní opatření, která slouží ke kontrolování utajovaných informací EU během celého jejich životního cyklu, a napomáhají tak zabránit úmyslnému či neúmyslnému ohrožení či ztrátě informací a odhalit takové ohrožení nebo ztrátu.
II. PRAVIDLA STANOVOVÁNÍ STUPŇŮ UTAJENÍ
Stupně utajení a označení
2. Informace se utajují v případě, že vyžadují ochranu z důvodu jejich důvěrnosti.
3. Původce utajovaných informací EU odpovídá za stanovení stupně utajení podle příslušných pokynů pro utajení informací a za počáteční distribuci informací.
4. Stupeň utajení utajovaných informací EU se stanoví v souladu s čl. 2 odst. 2 a na základě bezpečnostní politiky schválené v souladu s čl. 3 odst. 3.
5. Stupeň utajení musí být jasně a správně označen bez ohledu na to, zda mají utajované informace EU tištěnou, ústní, elektronickou či jinou podobu.
6. Jednotlivé části daného dokumentu (tj. stránky, odstavce, oddíly, přílohy, dodatky a připojené části dokumentu) mohou vyžadovat různé stupně utajení a musí být podle toho označeny, a to i v případě, že jsou uloženy v elektronické podobě.
7. Stupeň utajení dokumentu nebo spisu jako celku musí být alespoň stejně vysoký jako u jeho části s nejvyšším stupněm utajení. Jestliže dokument vznikl sloučením informací z různých zdrojů, konečný produkt se přezkoumá za účelem stanovení celkového stupně utajení, neboť může vyžadovat vyšší stupeň utajení než jeho jednotlivé části.
8. Dokumenty obsahující části s různými stupni utajení musí být v co nejvyšší míře strukturovány tak, aby části s různým stupněm utajení mohly být v případě potřeby snadno rozpoznány a odděleny.
9. Stupeň utajení dopisu nebo průvodní poznámky k připojeným částem musí být stejně vysoký jako nejvyšší stupeň utajení těchto připojených částí. Původce jasně vyznačí jejich stupeň utajení, pokud budou odděleny od připojených částí, pomocí odpovídajícího označení, například:
CONFIDENTIEL UE / EU CONFIDENTIAL
Bez příloh(y) RESTREINT UE / EU RESTRICTED
Označení
10. Kromě jednoho z označení stupňů utajení uvedených v čl. 2 odst. 2 mohou utajované informace EU nést doplňující označení, například:
označení určující původce;
jakákoli výstražná označení, kódová slova nebo zkratky k upřesnění oblasti činnosti, k níž se daný dokument vztahuje, k označení zvláštního způsobu distribuce na základě potřeby znát utajované informace nebo k omezení použití;
označení týkající se způsobilosti k předání nebo
případně datum nebo určitou událost, po nichž lze stupeň utajení informací snížit nebo zrušit.
Zkratky označení stupňů utajení
11. Pro označení stupně utajení jednotlivých odstavců určitého textu lze použít standardizované zkratky označení stupňů utajení. Tyto zkratky nenahrazují úplné označení stupňů utajení.
12. V utajovaných dokumentech EU je možné použít pro označení stupně utajení oddílů nebo částí textu kratších než jedna strana tyto standardní zkratky:
|
TRÈS SECRET UE / EU TOP SECRET |
TS-UE / EU-TS |
|
SECRET UE / EU SECRET |
S-UE / EU-S |
|
CONFIDENTIEL UE / EU CONFIDENTIAL |
C-UE / EU-C |
|
RESTREINT UE / EU RESTRICTED |
R-UE / EU-R |
Vyhotovování utajovaných dokumentů EU
13. Při vyhotovování utajovaného dokumentu EU:
na každé straně se jasně vyznačí příslušný stupeň utajení;
každá strana se očísluje;
na dokumentu se uvede referenční číslo a předmět, které samy o sobě nejsou utajovanými informacemi, pokud tak nejsou označeny;
na dokumentu se uvede datum a
na dokumentech se stupněm utajení SECRET UE / EU SECRET nebo vyšším, které mají být distribuovány ve více výtiscích, se na každé straně uvede číslo výtisku.
14. Nelze-li na utajované informace EU použít bod 13, přijmou se jiná patřičná opatření podle bezpečnostních pokynů, které se vypracují v souladu s čl. 6 odst. 2.
Snížení a zrušení stupně utajení utajovaných informací EU
15. Je-li to možné, a zejména jedná-li se o informace se stupněm utajení RESTREINT UE / EU RESTRICTED, uvede původce v době vytvoření utajovaných informací EU, zda je možné snížit nebo zrušit jejich stupeň utajení k určitému datu nebo po určité události.
16. Generální sekretariát Rady pravidelně přezkoumává utajované informace EU, které jsou v jeho držení, za účelem zjištění, zda je příslušný stupeň utajení stále odpovídající. Generální sekretariát Rady zavede systém přezkumu stupně utajení utajovaných informací EU, jichž je původcem, který je prováděn nejméně jednou za pět let. Tento přezkum není třeba provést v případě, že původce na počátku uvedl, že u daných informací bude automaticky snížen nebo zrušen stupeň utajení a dané informace jsou odpovídajícím způsobem označeny.
III. EVIDENCE UTAJOVANÝCH INFORMACÍ EU Z BEZPEČNOSTNÍCH DŮVODŮ
17. Pro každou organizační složku v rámci generálního sekretariátu Rady a správních orgánů členských států, v nichž se nakládá s utajovanými informacemi EU, se určí odpovědný registr s cílem zajistit, aby se s utajovanými informacemi EU nakládalo v souladu s tímto rozhodnutím. Registry se zřizují jako zabezpečené oblasti podle přílohy II.
18. Pro účely tohoto rozhodnutí se evidencí z bezpečnostních důvodů (dále jen „evidence“) rozumí uplatňování postupů, kterými se zaznamenává životní cyklus daného materiálu, včetně jeho distribuce a zničení.
19. Veškerý materiál se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL a vyšším nebo s rovnocenným stupněm utajení je třeba evidovat v určených registrech, kdykoli je doručen určité organizační složce nebo kdykoli ji opouští.
20. Ústřední registr generálního sekretariátu Rady vede záznamy o všech utajovaných informacích předaných Radou a generálním sekretariátem Rady třetím státům a mezinárodním organizacím a všech utajovaných informacích, které od třetích států a mezinárodních organizací obdrží.
21. V případě komunikačního a informačního systému mohou být evidenční postupy provedeny přímo v rámci systému.
22. Rada schválí bezpečnostní politiku pro evidenci utajovaných informací EU z bezpečnostních důvodů.
Registry pro dokumenty se stupněm utajení TRÈS SECRET UE / EU TOP SECRET
23. V členských státech a v generálním sekretariátu Rady se určí registr, který je ústředním orgánem pro příjem a odesílání informací se stupněm utajení TRÈS SECRET UE / EU TOP SECRET. V případě potřeby mohou být určeny podřízené registry pro nakládání s těmito informacemi z důvodů evidence.
24. Podřízené registry nesmějí bez výslovného písemného souhlasu ústředního registru pro dokumenty se stupněm utajení TRÈS SECRET UE / EU TOP SECRET poskytovat dokumenty se stupněm utajení TRÈS SECRET UE / EU TOP SECRET přímo jiným registrům podřízeným stejnému ústřednímu registru ani externím subjektům.
IV. KOPÍROVÁNÍ A PŘEKLÁDÁNÍ UTAJOVANÝCH DOKUMENTŮ EU
25. Dokumenty se stupněm utajení TRÈS SECRET UE / EU TOP SECRET se nesmí kopírovat ani překládat bez předchozího písemného souhlasu původce.
26. Pokud původce dokumentů se stupněm utajení SECRET UE / EU SECRET a nižším nestanovil omezení týkající se jejich kopírování nebo překladu, mohou být tyto dokumenty kopírovány či překládány podle pokynů držitele.
27. Pro kopie a překlady dokumentů se použijí bezpečnostní opatření použitá pro původní dokument.
V. PŘENOS UTAJOVANÝCH INFORMACÍ EU
28. Přenos utajovaných informací EU podléhá ochranným opatřením stanoveným v bodech 30 až 41. V případech, kdy jsou utajované informace EU přenášeny na elektronických záznamových médiích, a to bez ohledu na čl. 9 odst. 4, mohou níže uvedená ochranná opatření doplňovat vhodná technická protiopatření podle pokynů stanovených příslušným bezpečnostním orgánem s cílem minimalizovat riziko ztráty nebo ohrožení.
29. Příslušné bezpečnostní orgány generálního sekretariátu Rady a členských států vydají pokyny týkající se přenosu utajovaných informací EU v souladu s tímto rozhodnutím.
Přenos uvnitř budovy nebo uzavřené skupiny budov
30. Utajované informace EU přenášené uvnitř budovy nebo uzavřené skupiny budov musí být zakryty, aby se zamezilo odpozorování jejich obsahu.
31. Informace se stupněm utajení TRÈS SECRET UE / EU TOP SECRET musí být při přenosu uvnitř budovy nebo uzavřené skupiny budov uloženy v zabezpečené obálce označené pouze jménem příjemce.
Přenos v rámci Unie
32. Utajované informace EU přenášené mezi budovami či areály v rámci Unie jsou uloženy v takovém obalu, aby byly chráněny před neoprávněným vyzrazením.
33. Přenos informací se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo SECRET UE / EU SECRET v rámci Unie se provádí jedním z těchto způsobů:
vojenským, vládním nebo případně diplomatickým kurýrem;
osobním přenosem za těchto podmínek:
osoba, která utajované informace EU přenáší, je má stále u sebe, pokud nejsou uloženy v souladu s požadavky stanovenými v příloze II,
utajované informace EU nesmí být během přenosu otevřeny ani čteny na veřejných místech,
dotčené osoby jsou poučeny o svých povinnostech týkajících se bezpečnosti a
dotčené osoby musí být v případě potřeby držiteli kurýrního listu;
vnitrostátními poštovními službami nebo komerčními kurýrními službami za těchto podmínek:
příslušný vnitrostátní bezpečnostní orgán je schválil v souladu s vnitrostátními právními předpisy a
uplatňují odpovídající ochranná opatření v souladu s minimálními požadavky, které budou stanoveny v bezpečnostních pokynech podle čl. 6 odst. 2.
V případě přenosu z jednoho členského státu do jiného se ustanovení písmene e) budou vztahovat pouze na informace do stupně utajení CONFIDENTIEL UE / EU CONFIDENTIAL.
34. Informace se stupněm utajení RESTREINT UE / EU RESTRICTED lze přenášet také poštovními službami či komerčními kurýrními službami. K přenosu těchto informací není požadován kurýrní list.
35. Materiál se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL a SECRET UE / EU SECRET (například vybavení nebo technické zařízení), který nemůže být přenášen způsoby uvedenými v bodě 33, přepravují v souladu s přílohou V obchodní přepravci jako náklad.
36. Přenos informací se stupněm utajení TRÈS SECRET UE / EU TOP SECRET mezi budovami či areály v rámci Unie se provádí vojenským, vládním nebo případně diplomatickým kurýrem.
Přenos z Unie na území třetího státu
37. Utajované informace EU přenášené z Unie na území třetího státu jsou uloženy v takovém obalu, aby byly chráněny před neoprávněným vyzrazením.
38. Přenos informací se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL a SECRET UE / EU SECRET z Unie na území třetího státu se provádí jedním z těchto způsobů:
vojenským nebo diplomatickým kurýrem;
osobním přenosem za těchto podmínek:
balíček je opatřen úřední pečetí nebo je zabalen tak, aby bylo zřejmé, že se jedná o úřední zásilku, která by neměla být předmětem celní nebo bezpečnostní kontroly,
dotčené osoby jsou držiteli kurýrního listu, který obsahuje identifikační údaje balíčku a opravňuje tyto osoby k jeho přenosu,
osoba, která utajované informace EU přenáší, je má stále u sebe, pokud nejsou uloženy v souladu s požadavky stanovenými v příloze II,
utajované informace EU nesmí být během přenosu otevřeny ani čteny na veřejných místech, a
dotčené osoby jsou poučeny o svých povinnostech týkajících se bezpečnosti.
39. Přenos informací se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL a SECRET UE / EU SECRET, které Unie předává třetímu státu nebo mezinárodní organizaci, musí splňovat příslušná ustanovení dohody o bezpečnosti informací či správního ujednání v souladu s čl. 13 odst. 2 písm. a) nebo b).
40. Informace se stupněm utajení RESTREINT UE / EU RESTRICTED lze přenášet také poštovními službami či komerčními kurýrními službami.
41. Přenos informací se stupněm utajení TRÈS SECRET UE / EU TOP SECRET z Unie na území třetího státu se provádí vojenským nebo diplomatickým kurýrem.
VI. NIČENÍ UTAJOVANÝCH INFORMACÍ EU
42. Utajované dokumenty EU, které již nejsou potřebné, mohou být zničeny, aniž jsou dotčena příslušná pravidla a předpisy o archivování.
43. Ničení dokumentů podléhajících evidenci v souladu s čl. 9 odst. 2 provádí odpovědný registr podle pokynů držitele nebo příslušného orgánu. Administrativní pomůcky a jiné informace o evidenci musí být odpovídajícím způsobem aktualizovány.
44. Ničení dokumentů se stupněm utajení SECRET UE / EU SECRET nebo TRÈS SECRET UE / EU TOP SECRET se provádí za přítomnosti svědka, který je bezpečnostně prověřen alespoň pro stupeň utajení ničeného dokumentu.
45. Pracovník registru a svědek, pokud je přítomnost svědka vyžadována, podepíší zápis o zničení, který se uloží v registru. V registru jsou ukládány zápisy o zničení dokumentů se stupněm utajení TRÈS SECRET UE / EU TOP SECRET alespoň po dobu deseti let a dokumentů se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL a SECRET UE / EU SECRET alespoň po dobu pěti let.
46. Ničení utajovaných dokumentů, včetně dokumentů se stupněm utajení RESTREINT UE / EU RESTRICTED, se provádí postupy, které splňují příslušné normy Unie či rovnocenné normy nebo které byly schváleny členskými státy v souladu s vnitrostátními technickými normami tak, aby nebylo možné znovu sestavit celý dokument nebo jeho část.
47. Ničení počítačových paměťových médií používaných pro utajované informace EU se provádí v souladu s bodem 37 přílohy IV.
48. V mimořádné situaci, kdy hrozí bezprostřední riziko neoprávněného vyzrazení, zničí utajované informace EU jejich držitel tak, aby nebylo možné znovu sestavit celý dokument nebo jeho část. Původce a příslušný registr jsou o nouzovém zničení evidovaných utajovaných informací EU informovány.
VII. HODNOTÍCÍ NÁVŠTĚVY
49. Pojem „hodnotící návštěva“ se dále použije k označení jakékoli:
inspekce, kontroly nebo hodnotící návštěvy v souladu s čl. 9 odst. 3, čl. 16 odst. 2 písm. e), f) a g) nebo
hodnotící návštěvy v souladu s čl. 13 odst. 5,
která má vyhodnotit účinnost opatření zavedených na ochranu utajovaných informací EU.
50. Hodnotící návštěvy se mimo jiné provádějí s cílem:
zajistit dodržování požadovaných minimálních standardů pro ochranu utajovaných informací EU stanovených tímto rozhodnutím;
zdůraznit význam bezpečnosti a účinného řízení rizik u kontrolovaných subjektů;
doporučit protiopatření za účelem zmírnění konkrétních dopadů, které může přinášet ztráta důvěrnosti, integrity nebo dostupnosti utajovaných informací, a
posilovat probíhající programy bezpečnostních orgánů v oblasti bezpečnostního vzdělávání a povědomí.
51. Před koncem každého kalendářního roku přijme Rada program hodnotících návštěv na další rok podle čl. 16 odst. 1 písm. c). Konkrétní data hodnotících návštěv se určí po dohodě s dotčenou institucí nebo agenturou Unie, členským státem, třetím státem nebo mezinárodní organizací.
Provádění hodnotících návštěv
52. Hodnotící návštěvy se provádějí s cílem prověřit příslušná pravidla, předpisy a postupy v navštíveném subjektu a ověřit, zda jsou praktické postupy daného subjektu v souladu se základními zásadami a minimálními standardy stanovenými tímto rozhodnutím a předpisy upravujícími výměnu utajovaných informací s daným subjektem.
53. Hodnotící návštěvy se provádějí ve dvou fázích. Před vlastní hodnotící návštěvou je v případě potřeby uspořádáno přípravné jednání s příslušným subjektem. Po tomto přípravném jednání stanoví hodnotící tým se souhlasem dotyčného subjektu podrobný program hodnotící návštěvy zahrnující všechny oblasti bezpečnosti. Hodnotící tým by měl mít přístup do jakéhokoli prostoru, v němž se nakládá s utajovanými informacemi EU, zejména do registrů a k přístupovým bodům komunikačních a informačních systémů.
54. Hodnotící návštěvy správních orgánů členských států, třetích států a mezinárodních organizací jsou prováděny v plné spolupráci s úředníky navštíveného subjektu, třetího státu nebo mezinárodní organizace.
55. Hodnotící návštěvy institucí, agentur a útvarů Unie, na něž se vztahuje toto rozhodnutí nebo jeho zásady, jsou prováděny za pomoci odborníků z vnitrostátního bezpečnostního orgánu státu, na jehož území se daná instituce nebo jiný subjekt nachází.
56. V případě hodnotících návštěv prováděných v institucích, agenturách a útvarech Unie, na něž se vztahuje toto rozhodnutí nebo jeho zásady, jakož i ve třetích státech a mezinárodních organizacích lze o pomoc a přispění odborníků z vnitrostátního bezpečnostního orgánu požádat v souladu s podrobnými ujednáními, která schválí Bezpečnostní výbor.
Zprávy
57. Na konci hodnotící návštěvy jsou navštívenému subjektu předloženy hlavní závěry a doporučení. Poté je vypracována zpráva o hodnotící návštěvě. Pokud byla navržena nápravná opatření a doporučení, je třeba do zprávy zahrnout dostatečná odůvodnění závěrů inspekce. Zpráva se předá příslušnému orgánu navštíveného subjektu.
58. U hodnotících návštěv prováděných ve správních orgánech členských států:
se návrh hodnotící zprávy předloží příslušnému vnitrostátnímu bezpečnostnímu orgánu, který ověří, že zpráva je věcně správná a že neobsahuje žádné informace s vyšším stupněm utajení než RESTREINT UE / EU RESTRICTED, a
pokud vnitrostátní bezpečnostní orgán daného členského státu nepožádá o zamezení všeobecné distribuce zprávy, jsou hodnotící zprávy zaslány Bezpečnostnímu výboru. Zpráva musí být utajena stupněm utajení RESTREINT UE / EU RESTRICTED.
V rámci pravomocí bezpečnostního orgánu generálního sekretariátu Rady (bezpečnostní kanceláře) se vypracovává pravidelná zpráva, v níž se zdůrazní poznatky získané z hodnotících návštěv provedených v členských státech za určité období; tuto zprávu posoudí Bezpečnostní výbor.
59. U hodnotících návštěv třetích států a mezinárodních organizací je zpráva zaslána Bezpečnostnímu výboru. Zpráva musí být utajena alespoň stupněm utajení RESTREINT UE / EU RESTRICTED. Veškerá nápravná opatření jsou ověřena během následné návštěvy a oznámena Bezpečnostnímu výboru.
60. V případě hodnotících návštěv prováděných v institucích, agenturách a útvarech Unie, na něž se vztahuje toto rozhodnutí nebo jeho zásady, jsou zprávy o hodnotících návštěvách zasílány Bezpečnostnímu výboru. Návrh zprávy o hodnotící návštěvě je předložen dotčené agentuře nebo instituci, které ověří, že zpráva je věcně správná a že neobsahuje žádné informace s vyšším stupněm utajení než RESTREINT UE / EU RESTRICTED. Veškerá nápravná opatření jsou ověřena během následné návštěvy a oznámena Bezpečnostnímu výboru.
61. Bezpečnostní orgán generálního sekretariátu Rady provádí pravidelné inspekce organizačních složek v rámci generálního sekretariátu Rady pro účely stanovené v bodě 50.
Kontrolní seznam
62. Bezpečnostní orgán generálního sekretariátu Rady (bezpečnostní kancelář) vypracuje a aktualizuje kontrolní seznam obsahující položky, které je třeba během hodnotící návštěvy ověřit. Tento seznam se zasílá Bezpečnostnímu výboru.
63. Informace pro vyplnění kontrolního seznamu lze získat zejména během návštěvy od pracovníků odpovědných za řízení bezpečnosti subjektu, v němž je inspekce prováděna. Jakmile je seznam podrobně vyplněn, stanoví se po dohodě s kontrolovaným subjektem stupeň jeho utajení. Seznam není součástí inspekční zprávy.
PŘÍLOHA IV
OCHRANA UTAJOVANÝCH INFORMACÍ EU, S NIMIŽ SE NAKLÁDÁ V KOMUNIKAČNÍCH A INFORMAČNÍCH SYSTÉMECH
I. ÚVOD
1. Tato příloha stanoví prováděcí pravidla k článku 10.
2. Pro bezpečné a správné fungování komunikačních a informačních systémů jsou zásadní tyto vlastnosti a koncepce zabezpečení informací:
|
autenticita |
: |
záruka, že informace jsou autentické a z důvěryhodných zdrojů, |
|
dostupnost |
: |
přístupnost a použitelnost informací na žádost oprávněného subjektu, |
|
důvěrnost |
: |
skutečnost, že informace nejsou zpřístupněny neoprávněným osobám a subjektům a pro nedovolené účely, |
|
integrita |
: |
zajištění přesnosti a úplnosti informací a aktiv, |
|
nepopiratelnost |
: |
schopnost prokázat zpětně jednání či událost tak, aby dané jednání či událost nemohly být následně popřeny. |
II. ZÁSADY ZABEZPEČENÍ INFORMACÍ
3. Níže uvedená ustanovení tvoří minimální požadavky na bezpečnost veškerých komunikačních a informačních systémů nakládajících s utajovanými informacemi EU. Podrobné požadavky na provádění těchto ustanovení se stanoví v bezpečnostních politikách a bezpečnostních pokynech pro zabezpečení informací.
Řízení bezpečnostních rizik
4. Řízení bezpečnostních rizik je nedílnou součástí vytváření, vývoje, provozování a údržby komunikačních a informačních systémů. Řízení rizik (hodnocení, řešení, přijetí a sdělování) probíhá jako cyklický proces a je prováděno společně zástupci vlastníků systémů, projektovými a provozními orgány a orgány pro schvalování bezpečnosti za využití osvědčeného, transparentního a zcela srozumitelného procesu hodnocení rizika. Oblast působnosti komunikačního a informačního systému a jeho aktiv je třeba jasně určit na počátku procesu řízení rizik.
5. Příslušné orgány přezkoumají možné hrozby pro komunikační a informační systémy a vypracovávají aktualizovaná a přesná hodnocení hrozeb, která odpovídají stávajícímu provoznímu prostředí. Neustále si doplňují znalosti o otázkách zranitelnosti a pravidelně přezkoumávají hodnocení zranitelnosti, aby mohly odpovídajícím způsobem reagovat na měnící se prostředí informačních technologií.
6. Cílem řešení bezpečnostních rizik je uplatňovat soubor bezpečnostních opatření, jejichž výsledkem je uspokojivá rovnováha mezi požadavky uživatelů, náklady a zbytkovým bezpečnostním rizikem.
7. Specifické požadavky, rozsah a míra podrobnosti stanovená příslušným orgánem pro bezpečnostní akreditaci k akreditaci komunikačního a informačního systému musí být přiměřená posouzenému riziku při zohlednění všech příslušných faktorů, včetně stupně utajení utajovaných informací EU, s nimiž se v komunikačním a informačním systému nakládá. Akreditace komunikačního a informačního systému zahrnuje formální prohlášení o zbytkovém riziku a přijetí zbytkového rizika ze strany odpovědného orgánu.
Bezpečnost během celého životního cyklu komunikačního a informačního systému
8. Zajištění bezpečnosti zůstává požadavkem po celý životní cyklus daného komunikačního a informačního systému od uvedení do provozu až do ukončení provozu.
9. Pro každou fázi životního cyklu komunikačního a informačního systému je třeba v oblasti bezpečnosti stanovit úlohu a způsob zapojení každého aktéra spojeného s daným systémem.
10. Každý komunikační a informační systém, včetně jeho technických i netechnických bezpečnostních opatření, musí být během akreditačního řízení podroben bezpečnostním testům s cílem zajistit odpovídající úroveň zabezpečení a ověřit, zda je řádně zprovozněn, zapojen a konfigurován.
11. Hodnocení, kontroly a přezkumy bezpečnosti se provádějí pravidelně během provozu a údržby komunikačního a informačního systému a rovněž za výjimečných okolností.
12. Bezpečnostní dokumentace pro daný komunikační a informační systém se vyvíjí během jeho celého životního cyklu jakožto nedílná součást procesu řízení změn a konfigurací.
Osvědčené postupy
13. Generální sekretariát Rady a členské státy spolupracují na vývoji osvědčených postupů na ochranu utajovaných informací EU, s nimiž se nakládá v komunikačních a informačních systémech. Pokyny týkající se osvědčených postupů stanoví technická, fyzická, organizační a procedurální bezpečnostní opatření pro komunikační a informační systémy, která se ukázala jako účinná v boji proti určitým hrozbám a zranitelným místům.
14. Pro ochranu utajovaných informací EU, s nimiž se nakládá v komunikačních a informačních systémech, se využijí získané poznatky subjektů, které působí v oblasti zabezpečení informací v Unii i mimo Unii.
15. Šíření a následné uplatňování osvědčených postupů má napomoci dosažení rovnocenné úrovně zabezpečení jednotlivých komunikačních a informačních systémů, které jsou provozovány generálním sekretariátem Rady a členskými státy a v nichž se nakládá s utajovanými informacemi EU.
Hloubková ochrana
16. V zájmu zmírnění rizika pro komunikační a informační systémy se provádí řada technických a netechnických bezpečnostních opatření, která jsou uspořádána jako několik obranných linií. Tyto linie zahrnují:
|
a) |
odstrašování : bezpečnostní opatření, jež mají odradit od jakéhokoli nepřátelského plánování útoku na komunikační a informační systém; |
|
b) |
prevence : bezpečnostní opatření, jež mají zabránit útoku na komunikační a informační systém nebo takový útok znemožnit; |
|
c) |
odhalování : bezpečnostní opatření, jež mají odhalit uskutečnění útoku na komunikační a informační systém; |
|
d) |
odolnost : bezpečnostní opatření, která mají omezit dopad útoku na co nejmenší soubor informací nebo aktiv komunikačního a informačního systému a předcházet další škodě, a |
|
e) |
náprava : bezpečnostní opatření, jež mají vést k obnovení bezpečného stavu systému. |
Míra přísnosti bezpečnostních opatření se stanoví na základě hodnocení rizik.
17. Vnitrostátní bezpečnostní orgán nebo jiný příslušný orgán zajistí, aby:
byly uplatňovány prostředky kybernetické obrany schopné reagovat na hrozby, které mohou přesahovat organizační a státní hranice, a
příslušné reakce byly koordinovány a aby informace o těchto hrozbách, mimořádných událostech a souvisejícím riziku byly sdíleny (schopnost reakce na počítačové hrozby).
Zásada minimality a co nejomezenějších práv
18. Aby se předešlo zbytečnému riziku, budou prováděny nebo provozovány pouze funkce, zařízení a služby, které jsou nezbytné pro splnění provozních požadavků.
19. Aby se omezila jakákoli škoda způsobená v důsledku nepředvídaných událostí, chyb nebo neoprávněného používání zdrojů komunikačních a informačních systémů, mají mít uživatelé systémů a automatizované procesy přístup, práva nebo oprávnění pouze v rozsahu nezbytném k plnění svých úkolů.
20. Je-li v komunikačním a informačním systému vyžadováno provádění evidenčních procedur, musí být tyto procedury ověřeny v akreditačním řízení.
Povědomí o zabezpečení informací
21. Povědomí o rizicích a dostupných bezpečnostních opatřeních je první obrannou linií zajišťující bezpečnost komunikačních a informačních systémů. Zejména všichni členové personálu zasahující do životního cyklu komunikačního a informačního systému, včetně uživatelů, si musí být vědomi:
že selhání bezpečnosti může významně poškodit komunikační a informační systémy;
možné újmy způsobené jiným subjektům z důvodu vzájemného propojení a vzájemné závislosti, a
svých individuálních povinností a odpovědnosti za bezpečnost komunikačního a informačního systému v závislosti na svých konkrétních úlohách v rámci daných systémů a procesů.
22. Aby se zajistilo pochopení povinností souvisejících s bezpečností, je pro veškerý dotčený personál, včetně vedoucích pracovníků a uživatelů komunikačních a informačních systémů povinné vzdělávání v oblasti zabezpečení informací a školení zaměřené na zvyšování povědomí o zabezpečení informací.
Hodnocení a schvalování bezpečnostních prostředků informačních technologií
23. Požadovaná míra důvěry v bezpečnostní opatření, vymezená jako úroveň zabezpečení, se stanoví na základě výsledku procesu řízení rizik a v souladu s příslušnými bezpečnostními politikami a bezpečnostními pokyny.
24. Úroveň zabezpečení se ověří pomocí mezinárodně uznávaných nebo na vnitrostátní úrovni schválených postupů a metod. To zahrnuje zejména hodnocení, kontroly a audity.
25. Kryptografické prostředky na ochranu utajovaných informací EU hodnotí a schvaluje vnitrostátní schvalovací orgán členského státu pro kryptografickou ochranu.
26. Dříve než jsou kryptografické prostředky doporučeny ke schválení Radou nebo generálním tajemníkem Rady v souladu s čl. 10 odst. 6, musí být úspěšné vyhodnoceny druhou stranou, jíž je orgán s odpovídající kvalifikací členského státu, který se nepodílí na vývoji ani výrobě zařízení. Rozsah informací vyžadovaný během hodnocení druhou stranou závisí na předpokládaném nejvyšším stupni utajení utajovaných informací EU, které mají být danými prostředky chráněny. Rada schválí bezpečnostní politiku pro hodnocení a schvalování kryptografických prostředků.
27. Opravňují-li k tomu zvláštní provozní důvody, může Rada nebo případně generální tajemník Rady na doporučení Bezpečnostního výboru od požadavků podle odstavce 25 nebo 26 této přílohy upustit a postupem podle čl. 10 odst. 6 udělit dočasné schválení na konkrétní období.
28. Na doporučení Bezpečnostního výboru může Rada uznat postupy hodnocení, výběru a schvalování kryptografických prostředků třetího státu nebo mezinárodní organizace, a v důsledku pak takové kryptografické prostředky považovat za schválené pro účely ochrany utajovaných informací EU předávaných předmětnému třetímu státu nebo mezinárodní organizaci.
29. Orgánem s odpovídající kvalifikací je schvalovací orgán členského státu pro kryptografickou ochranu, který byl akreditován na základě kritérií stanovených Radou k provádění druhého hodnocení kryptografických prostředků na ochranu utajovaných informací EU.
30. Rada schválí bezpečnostní politiku pro způsobilost a schvalování nekryptografických bezpečnostních prostředků informačních technologií.
Přenos v zabezpečených a administrativních oblastech
31. Bez ohledu na ustanovení tohoto rozhodnutí, je-li přenos utajovaných informací EU omezen na zabezpečené oblasti nebo administrativní oblasti, může být na základě výsledku procesu řízení rizik a se souhlasem orgánu pro bezpečnostní akreditaci použit přenos nešifrovaný nebo šifrovaný na nižší úrovni.
Bezpečné propojení komunikačních a informačních systémů
32. Pro účely tohoto rozhodnutí se propojením rozumí přímé spojení dvou nebo více informačních systémů za účelem jednosměrného či vícesměrného sdílení údajů a dalších informačních zdrojů (například komunikace).
33. Komunikační a informační systém považuje každý propojený informační systém za nedůvěryhodný a uplatní ochranná opatření pro kontrolu výměny utajovaných informací.
34. U všech propojení komunikačních a informačních systémů s jiným systémem informačních technologií je třeba splnit tyto základní požadavky:
pracovní či provozní požadavky na tato propojení stanoví a schválí příslušné orgány;
propojení je předmětem procesu řízení rizik a akreditačního řízení a je schváleno ze strany příslušných orgánů pro bezpečnostní akreditaci a
na vnější hranici všech systémů se použijí funkce ochrany (Boundary Protection Services, BPS).
35. Certifikovaný komunikační a informační systém nesmí být propojen s nechráněnou nebo veřejnou sítí, s výjimkou případů, kdy má komunikační a informační systém schválené funkce BPS instalované pro tento účel mezi daným systémem a nechráněnou či veřejnou sítí. Bezpečnostní opatření pro taková propojení přezkoumá příslušný orgán pro zabezpečení informací a schválí je příslušný orgán pro bezpečnostní akreditaci.
Pokud je nechráněná nebo veřejná síť využívána výhradně k přenosu dat a informace jsou zašifrovány pomocí kryptografického prostředku schváleného v souladu s článkem 10, nepovažuje se takové spojení za propojení.
36. Komunikační a informační systém certifikovaný pro nakládání s informacemi se stupněm utajení TRÈS SECRET UE / EU TOP SECRET nesmí být přímo ani kaskádou propojen s nechráněnou nebo veřejnou sítí.
Počítačová paměťová média
37. Počítačová paměťová média se ničí postupy schválenými příslušným bezpečnostním orgánem.
38. Počítačová paměťová média se znovu použijí nebo se u nich sníží či zruší stupeň utajení v souladu s bezpečnostními pokyny, které budou vypracovány podle čl. 6 odst. 2.
Mimořádné okolnosti
39. Bez ohledu na ustanovení tohoto rozhodnutí mohou být za mimořádných okolností, například během hrozící nebo probíhající krize, konfliktu, války nebo za výjimečných provozních okolností, použity níže popsané zvláštní postupy.
40. Utajované informace EU mohou být přenášeny za použití kryptografických prostředků schválených pro nižší stupeň utajení nebo v nešifrované podobě se souhlasem příslušného orgánu, pokud by jakékoli zpoždění způsobilo škodu nepochybně převyšující škodu způsobenou případným vyzrazením utajovaných materiálů a pokud:
odesílatel a příjemce nemají požadované šifrovací zařízení nebo nemají žádné šifrovací zařízení a
utajované materiály nelze včas předat jiným způsobem.
41. Za okolností uvedených v bodě 39 nenesou přenášené utajované informace žádná označení ani údaje, které by je odlišovaly od informací, které nejsou utajované nebo mohou být chráněny dostupným kryptografickým prostředkem. Příjemce informací je třeba neprodleně uvědomit o stupni utajení jiným způsobem.
42. Pokud se použije postup podle bodu 39, podá se následně zpráva příslušnému orgánu a Bezpečnostnímu výboru.
III. FUNKCE A ORGÁNY V OBLASTI ZABEZPEČENÍ INFORMACÍ
43. V členských státech a v rámci generálního sekretariátu Rady je třeba zajistit výkon níže uvedených funkcí v oblasti zabezpečení informací. Tyto funkce nevyžadují zřízení samostatných organizačních složek. Jsou plněny v rámci oddělených mandátů. Tyto funkce a související povinnosti mohou být ovšem kombinovány nebo spojeny ve stejné organizační složce nebo rozděleny do různých organizačních složek za podmínky, že se zamezí vnitřním střetům zájmů nebo úkolů.
Orgán pro zabezpečení informací
44. Orgán pro zabezpečení informací je povinen:
vypracovat politiky v oblasti zabezpečení informací a bezpečnostní pokyny pro zabezpečení informací a monitorovat jejich účinnost a vhodnost;
zajistit a spravovat technické informace týkající se kryptografických prostředků;
zajistit, aby opatření na zabezpečení informací zvolená pro ochranu utajovaných informací EU byla v souladu s příslušnými politikami, jimiž se řídí jejich způsobilost a výběr;
zajistit, aby volba kryptografických prostředků byla v souladu s politikami, jimiž se řídí jejich způsobilost a výběr;
koordinovat školení a zvyšování povědomí o zabezpečení informací;
konzultovat s poskytovatelem komunikačního a informačního systému, s aktéry v oblasti bezpečnosti a se zástupci uživatelů otázky týkající se politik v oblasti zabezpečení informací a bezpečnostních pokynů pro zabezpečení informací a
zajistit, aby v odborné podskupině Bezpečnostního výboru pro otázky zabezpečení informací byly k dispozici odpovídající odborné znalosti.
Orgán TEMPEST
45. Orgán TEMPEST je povinen zajistit, aby komunikační a informační systémy byly v souladu s politikami a pokyny TEMPEST. Schvaluje protiopatření TEMPEST pro zařízení a prostředky na ochranu utajovaných informací EU do určitého stupně utajení v jeho provozním prostředí.
Schvalovací orgán pro kryptografickou ochranu
46. Schvalovací orgán pro kryptografickou ochranu je povinen zajistit, aby kryptografické prostředky byly v souladu s vnitrostátní politikou v oblasti kryptografické ochrany nebo s politikou Rady v této oblasti. Schvaluje konkrétní kryptografický prostředek na ochranu utajovaných informací EU do určitého stupně utajení v jeho provozním prostředí. Pokud jde o členské státy, odpovídá schvalovací orgán pro kryptografickou ochranu rovněž za hodnocení kryptografických prostředků.
Orgán pro distribuci kryptografických materiálů
47. Orgán pro distribuci kryptografických materiálů je povinen:
spravovat a dokládat kryptografické materiály EU;
zajistit, aby byly uplatňovány příslušné postupy a stanoveny způsoby dokládání veškerých kryptografických materiálů EU, bezpečného nakládání s nimi a jejich ukládání a distribuce, a
zajišťovat distribuci kryptografických materiálů EU osobám či orgánům, které je využívají, a zpětné převzetí.
Orgán pro bezpečnostní akreditaci
48. Orgán pro bezpečnostní akreditaci je povinen:
zajistit, aby komunikační a informační systémy byly v souladu s příslušnými bezpečnostními politikami a bezpečnostními pokyny, vydávat rozhodnutí o schválení komunikačních a informačních systémů pro nakládání s utajovanými informacemi EU do určitého stupně utajení v jejich provozním prostředí, v nichž uvede podmínky akreditace a kritéria, na jejichž základě se vyžaduje opakované schválení;
zajistit v souladu s příslušnými politikami bezpečnostní akreditační řízení, přičemž jasně uvede podmínky pro schválení komunikačních a informačních systémů v rámci svých pravomocí;
vymezit strategii bezpečnostní akreditace stanovující míru podrobností vyžadovaných v akreditačním řízení, která je přiměřená požadované úrovni zabezpečení;
posuzovat a schvalovat bezpečnostní dokumentaci, včetně prohlášení o řízení rizik a zbytkovém riziku, bezpečnostních požadavků pro konkrétní systém (SSRS), dokumentace týkající se ověřování provádění bezpečnostních opatření a bezpečnostních provozních směrnic (SecOPs), a zajistit, aby tato dokumentace byla v souladu s bezpečnostními pravidly a politikami Rady;
kontrolovat provádění bezpečnostních opatření souvisejících s komunikačními a informačními systémy tím, že uskuteční nebo zadá bezpečnostní hodnocení, kontroly či revize;
stanovovat bezpečnostní požadavky (například stupně utajení informací, pro něž je personál bezpečnostně prověřen) pro pracovní místa citlivá z hlediska bezpečnosti daného komunikačního a informačního systému;
potvrzovat výběr schválených kryptografických prostředků a prostředků TEMPEST používaných k zajištění bezpečnosti určitého komunikačního a informačního systému;
schvalovat propojení určitého komunikačního a informačního systému s jiným nebo se případně účastnit společného schvalování a
konzultovat s poskytovatelem systému, s aktéry v oblasti bezpečnosti a se zástupci uživatelů otázky týkající se řízení bezpečnostních rizik, zejména zbytkového rizika, a podmínek vydání rozhodnutí o schválení.
49. Orgán pro bezpečnostní akreditaci generálního sekretariátu Rady odpovídá za akreditaci všech komunikačních a informačních systémů provozovaných v rámci generálního sekretariátu Rady.
50. Příslušný orgán pro bezpečnostní akreditaci členského státu odpovídá za akreditaci komunikačních a informačních systémů a jejich komponent provozovaných v daném členském státě.
51. Společná komise pro bezpečnostní akreditaci odpovídá za akreditaci komunikačních a informačních systémů v pravomoci orgánu pro bezpečnostní akreditaci generálního sekretariátu Rady i orgánů pro bezpečnostní akreditaci členských států. Každý členský stát je v této komisi zastoupen jedním zástupcem vnitrostátního orgánu pro bezpečnostní akreditaci a jejích zasedání se účastní zástupce orgánu Komise pro bezpečnostní akreditaci. K účasti jsou přizvány také jiné subjekty s uzlovými body připojení k určitému komunikačnímu a informačnímu systému, který je předmětem jednání.
Komisi pro bezpečnostní akreditaci předsedá zástupce orgánu pro bezpečnostní akreditaci generálního sekretariátu Rady. Komise pro bezpečnostní akreditaci jedná na základě shody zástupců orgánů pro bezpečnostní akreditaci orgánů, členských států a jiných subjektů s uzlovými body připojení k danému komunikačnímu a informačnímu systému. Komise pro bezpečnostní akreditaci předkládá pravidelné zprávy o své činnosti Bezpečnostnímu výboru a oznamuje mu veškerá rozhodnutí o akreditaci.
Provozní orgán pro zabezpečení informací
52. Provozní orgán pro zabezpečení informací každého systému je povinen:
vypracovat v rámci akreditačního řízení bezpečnostní dokumentaci v souladu s bezpečnostními politikami a bezpečnostními pokyny, zejména bezpečnostní požadavky pro daný systém, včetně prohlášení o zbytkovém riziku, bezpečnostních provozních směrnic a plánu kryptografické ochrany;
účastnit se výběru a testování technických bezpečnostních opatření, zařízení a softwaru pro konkrétní systémy, dohlížet na jejich používání a zajistit jejich bezpečnou instalaci, konfiguraci a údržbu v souladu s příslušnou bezpečnostní dokumentací;
účastnit se výběru bezpečnostních opatření a zařízení TEMPEST, pokud jsou vyžadovány v bezpečnostních požadavcích pro daný systém, a ve spolupráci s orgánem TEMPEST zajistit jejich bezpečnou instalaci a údržbu;
monitorovat provádění a uplatňování bezpečnostních provozních směrnic a může případně plněním povinností souvisejících s provozní bezpečností pověřit vlastníka systému;
spravovat kryptografické prostředky a nakládat s nimi, zajistit ochranu kryptografických a kontrolovaných materiálů a případně zajistit vytváření kryptografických proměnných;
podle požadavků orgánu pro bezpečnostní akreditaci provádět bezpečnostní analýzy, přezkumy a testování, zejména vypracovávat příslušné zprávy o riziku;
poskytovat školení o zabezpečení informací u konkrétních komunikačních a informačních systémů a
zavádět bezpečnostní opatření u konkrétních komunikačních a informačních systémů a řídit jejich uplatňování.
PŘÍLOHA V
PRŮMYSLOVÁ BEZPEČNOST
I. ÚVOD
1. Tato příloha stanoví prováděcí pravidla k článku 11. Stanoví obecná bezpečnostní pravidla použitelná pro průmyslové nebo jiné subjekty pro jednání před uzavřením utajovaných smluv a během celého životního cyklu utajovaných smluv uzavíraných generálním sekretariátem Rady.
2. Rada schválí pokyny v oblasti průmyslové bezpečnosti, v nichž stanoví zejména podrobné požadavky, pokud jde o osvědčení o bezpečnostní prověrce zařízení, seznamy bezpečnostních požadavků, návštěvy, přenos a přenášení utajovaných informací EU.
II. PRVKY UTAJOVANÉ SMLOUVY TÝKAJÍCÍ SE BEZPEČNOSTI
Příručka pro stanovování stupňů utajení
3. Před zahájením nabídkového řízení na uzavření utajované smlouvy nebo před uzavřením takové smlouvy určí generální sekretariát Rady jakožto zadavatel stupeň utajení veškerých informací, které mají být poskytnuty uchazečům a dodavatelům, a rovněž stupeň utajení veškerých informací, které vytvoří dodavatel. Generální sekretariát Rady k tomuto účelu připraví příručku pro stanovování stupňů utajení, která bude použita pro plnění smlouvy.
4. Pro stanovení stupně utajení jednotlivých částí utajované smlouvy se použijí tyto zásady:
při přípravě příručky pro stanovování stupňů utajení bere generální sekretariát Rady v úvahu veškeré důležité bezpečnostní aspekty, včetně stupně utajení, který poskytnutým informacím přidělil původce informací a který původce informací schválil pro danou smlouvu;
stupeň utajení smlouvy jako celku nesmí být nižší než nejvyšší stupeň utajení kterékoli části smlouvy a
generální sekretariát Rady se případně spojí s vnitrostátními bezpečnostními orgány / s určenými bezpečnostními orgány členských států nebo s jakýmkoli jiným příslušným bezpečnostním orgánem, dojde-li k jakýmkoli změnám ohledně stupně utajení informací vytvářených dodavateli nebo poskytovaných dodavatelům při plnění smlouvy a provádějí-li se jakékoli dodatečné změny příručky pro stanovování stupňů utajení.
Seznam bezpečnostních požadavků
5. Bezpečnostní požadavky pro konkrétní smlouvu jsou popsány v seznamu bezpečnostních požadavků. Seznam bezpečnostních požadavků případně zahrnuje příručku pro stanovování stupňů utajení a je nedílnou částí utajované smlouvy nebo utajované subdodavatelské smlouvy.
6. Seznam bezpečnostních požadavků obsahuje ustanovení, podle nichž musí dodavatel nebo subdodavatel dodržovat minimální standardy stanovené tímto rozhodnutím. Nedodržení těchto minimálních standardů může být dostatečným důvodem k vypovězení smlouvy.
Bezpečnostní pokyny k programu/projektu
7. V závislosti na rozsahu programů nebo projektů, které zahrnují přístup k utajovaným informacím EU nebo nakládání s nimi či jejich ukládání, může orgán zadávající zakázku a pověřený řízením programu nebo projektu připravit zvláštní bezpečnostní pokyny k programu/projektu. Tyto pokyny vyžadují schválení ze strany vnitrostátních bezpečnostních orgánů / určených bezpečnostních orgánů členských států nebo kteréhokoli jiného příslušného bezpečnostního orgánu, který se účastní daného programu/projektu, a mohou obsahovat další bezpečnostní požadavky.
III. OSVĚDČENÍ O BEZPEČNOSTNÍ PROVĚRCE ZAŘÍZENÍ
8. Osvědčení o bezpečnostní prověrce zařízení vydává vnitrostátní bezpečnostní orgán nebo určený bezpečnostní orgán nebo jakýkoli jiný příslušný bezpečnostní orgán členského státu v souladu s vnitrostátními právními předpisy jako potvrzení o tom, že průmyslový nebo jiný subjekt může ve svých prostorách zajistit ochranu utajovaných informací EU na odpovídajícím stupni utajení (CONFIDENTIEL UE / EU CONFIDENTIAL nebo SECRET UE / EU SECRET). Je třeba ji předložit generálnímu sekretariátu Rady jakožto zadavateli předtím, než mohou být dodavateli či subdodavateli nebo možnému dodavateli či subdodavateli poskytnuty utajované informace EU nebo než mu je k utajovaným informacím EU umožněn přístup.
9. Před vydáním osvědčení o bezpečnostní prověrce zařízení vnitrostátní bezpečnostní orgán nebo určený bezpečnostní orgán alespoň:
posoudí integritu průmyslového nebo jiného subjektu;
posoudí vlastnické vztahy, kontrolu nebo možný nepatřičný vliv, které by mohly být považovány za bezpečnostní riziko;
ověří, že průmyslový nebo jiný subjekt zavedl v daném zařízení bezpečnostní systém, který zahrnuje všechna vhodná bezpečnostní opatření nezbytná pro ochranu informací nebo materiálů se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo SECRET UE / EU SECRET v souladu s požadavky stanovenými tímto rozhodnutím;
ověří, že byla zajištěna personální bezpečnost u vedoucích pracovníků, vlastníků a zaměstnanců, kteří potřebují mít přístup k informacím se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo SECRET UE / EU SECRET, v souladu s požadavky stanovenými v příloze I, a
ověří, že průmyslový nebo jiný subjekt jmenoval osobu odpovědnou za bezpečnost zařízení, která je odpovědná vedení subjektu za plnění bezpečnostních závazků v prostorách daného subjektu.
10. Generální sekretariát Rady jakožto zadavatel oznámí, pokud to bude nutné, příslušnému vnitrostátnímu bezpečnostnímu orgánu / určenému bezpečnostnímu orgánu nebo kterémukoli jinému příslušnému bezpečnostnímu orgánu, že v předsmluvní fázi nebo při plnění smlouvy bude vyžadováno osvědčení o bezpečnostní prověrce zařízení. V případě, že je během nabídkového řízení třeba poskytovat utajované informace EU se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo SECRET UE / EU SECRET, je v předsmluvní fázi vyžadováno osvědčení o bezpečnostní prověrce zařízení nebo osvědčení o bezpečnostní prověrce personálu.
11. Zadavatel neuzavře utajovanou smlouvu s upřednostňovaným uchazečem, dokud neobdrží od vnitrostátního bezpečnostního orgánu / určeného bezpečnostního orgánu nebo kteréhokoli jiného příslušného bezpečnostního orgánu členského státu, v němž je dotyčný dodavatel nebo subdodavatel registrován, potvrzení o tom, že bylo v případě, kdy je to vyžadováno, vydáno příslušné osvědčení o bezpečnostní prověrce zařízení.
12. Vnitrostátní bezpečnostní orgán / určený bezpečnostní orgán nebo kterýkoli jiný příslušný bezpečnostní orgán, který vydal osvědčení o bezpečnostní prověrce zařízení, oznamuje generálnímu sekretariátu Rady jakožto zadavateli změny týkající se osvědčení o bezpečnostní prověrce zařízení. V případě subdodavatelské smlouvy je odpovídajícím způsobem informován vnitrostátní bezpečnostní orgán / určený bezpečnostní orgán nebo kterýkoli jiný příslušný bezpečnostní orgán.
13. Zrušení osvědčení o bezpečnostní prověrce zařízení příslušným vnitrostátním bezpečnostním orgánem / určeným bezpečnostním orgánem nebo kterýmkoli jiným příslušným bezpečnostním orgánem je dostatečným důvodem k tomu, aby generální sekretariát Rady jakožto zadavatel vypověděl utajovanou smlouvu nebo aby vyloučil určitého uchazeče z nabídkového řízení.
IV. UTAJOVANÉ SMLOUVY A UTAJOVANÉ SUBDODAVATELSKÉ SMLOUVY
14. Pokud jsou utajované informace EU poskytovány uchazeči v předsmluvní fázi, musí výzva k předkládání nabídek obsahovat ustanovení o tom, že uchazeč, který nepředloží nabídku nebo jehož nabídka není vybrána, je povinen vrátit ve stanovené lhůtě všechny utajované dokumenty.
15. Jakmile je zadána zakázka na základě utajované smlouvy nebo utajované subdodavatelské smlouvy, generální sekretariát Rady jakožto zadavatel informuje vnitrostátní bezpečnostní orgán / určený bezpečnostní orgán příslušný pro daného dodavatele nebo subdodavatele nebo jakýkoli jiný příslušný bezpečnostní orgán o bezpečnostních ustanoveních utajované smlouvy.
16. V případě ukončení platnosti těchto smluv generální sekretariát Rady jakožto zadavatel (nebo v případě subdodavatelské smlouvy případně vnitrostátní bezpečnostní orgán / určený bezpečnostní orgán nebo kterýkoli jiný příslušný bezpečnostní orgán) uvědomí neprodleně vnitrostátní bezpečnostní orgán / určený bezpečnostní orgán nebo kterýkoli jiný příslušný bezpečnostní orgán členského státu, v němž je dodavatel nebo subdodavatel registrován.
17. Obecně platí, že při ukončení utajované smlouvy nebo utajované subdodavatelské smlouvy musí dodavatel nebo subdodavatel vrátit zadavateli veškeré utajované informace EU v jeho držení.
18. Zvláštní ustanovení týkající se nakládání s utajovanými informacemi EU během plnění smlouvy nebo při jejím ukončení se stanoví v seznamu bezpečnostních požadavků.
19. Pokud je dodavatel nebo subdodavatel oprávněn ponechat si utajované informace EU po ukončení smlouvy, dodavatel nebo subdodavatel nadále dodržuje minimální standardy obsažené v tomto rozhodnutí a chrání důvěrnost utajovaných informací EU.
20. Podmínky, za nichž může dodavatel uzavřít subdodavatelskou smlouvu, jsou stanoveny ve výzvě k předkládání nabídek a ve smlouvě.
21. Předtím než dodavatel zadá jakékoli části utajované smlouvy subdodavateli, musí získat povolení od generálního sekretariátu Rady jakožto zadavatele. Žádná subdodavatelská smlouva nesmí být uzavřena s průmyslovými nebo jinými subjekty registrovanými ve státě, který není členským státem Unie a který s Unií neuzavřel smlouvu o bezpečnosti informací.
22. Dodavatel je povinen zajistit, aby veškeré subdodavatelské činnosti byly prováděny v souladu s minimálními standardy stanovenými tímto rozhodnutím, a nesmí subdodavateli poskytovat utajované informace EU bez předchozího písemného souhlasu zadavatele.
23. Pokud jde o utajované informace EU, které vytvořil nebo s nimiž nakládá dodavatel nebo subdodavatel, pak práva náležející původci vykonává zadavatel.
V. NÁVŠTĚVY V SOUVISLOSTI S UTAJOVANÝMI SMLOUVAMI
24. Pokud zaměstnanci generálního sekretariátu Rady, dodavatelů či subdodavatelů potřebují pro plnění utajované smlouvy přístup k informacím se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo SECRET UE / EU SECRET v prostorách druhé strany, sjednají se návštěvy ve spolupráci s příslušnými vnitrostátními bezpečnostními orgány / určenými bezpečnostními orgány nebo s kterýmkoli jiným příslušným bezpečnostním orgánem. Vnitrostátní bezpečnostní orgány / určené bezpečnostní orgány se však mohou v rámci konkrétních projektů dohodnout na postupu, kterým se mohou návštěvy sjednávat přímo.
25. Všechny navštěvující osoby musí být držiteli odpovídajícího osvědčení o bezpečnostní prověrce personálu a musí mít potřebu znát utajované informace EU související se smlouvou uzavřenou generálním sekretariátem Rady.
26. Navštěvujícím osobám je umožněn přístup pouze k utajovaným informacím EU souvisejícím s účelem návštěvy.
VI. PŘENOS A PŘENÁŠENÍ UTAJOVANÝCH INFORMACÍ EU
27. Pokud jde o elektronický přenos utajovaných informací EU, použijí se příslušná ustanovení článku 10 a přílohy IV.
28. Pokud jde o přenos utajovaných informací EU, použijí se příslušná ustanovení přílohy III v souladu s vnitrostátními právními předpisy.
29. V případě přepravy utajovaných materiálů jako nákladu se při stanovení bezpečnostních opatření uplatní tyto zásady:
bezpečnost musí být zajištěna během všech fází přepravy z místa původu až po konečné místo určení;
stupeň ochrany poskytovaný zásilce se stanoví podle nejvyššího stupně utajení materiálů, které jsou její součástí;
společnosti zajišťující přepravu jsou držiteli osvědčení o bezpečnostní prověrce zařízení na patřičné úrovni. V takových případech musí být pracovníci nakládající se zásilkou bezpečnostně prověřeni v souladu s přílohou I;
před jakoukoli přeshraniční přepravou materiálů se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo SECRET UE / EU SECRET musí odesílatel vypracovat přepravní plán, který schválí příslušné vnitrostátní bezpečnostní orgány / určené bezpečnostní orgány nebo kterýkoli jiný příslušný bezpečnostní orgán;
materiály musí být převáženy v nejvyšší možné míře po přímé trase a přeprava musí být ukončena, jak nejrychleji to okolnosti umožní, a
je-li to možné, přepravní trasy by měly vést pouze přes území členských států. Přeprava přes jiné než členské státy by se měla uskutečnit pouze v případě, kdy byla povolena vnitrostátním bezpečnostním orgánem / určeným bezpečnostním orgánem nebo kterýmkoli jiným příslušným bezpečnostním orgánem států odesílatele i příjemce zásilky.
VII. POSKYTOVÁNÍ UTAJOVANÝCH INFORMACÍ EU DODAVATELŮM SE SÍDLEM V TŘETÍCH STÁTECH
30. Utajované informace EU jsou dodavatelům a subdodavatelům se sídlem v třetích státech poskytovány v souladu s bezpečnostními opatřeními dohodnutými mezi generálním sekretariátem Rady jakožto zadavatelem a vnitrostátním bezpečnostním orgánem / určeným bezpečnostním orgánem dotyčného třetího státu, v němž je dodavatel registrován.
VIII. INFORMACE SE STUPNĚM UTAJENÍ RESTREINT UE / EU RESTRICTED
31. Generální sekretariát Rady jakožto zadavatel je oprávněn případně ve spojení s vnitrostátním bezpečnostním orgánem / určeným bezpečnostním orgánem dotčeného členského státu vykonávat na základě smluvních ustanovení inspekce v zařízeních dodavatelů/subdodavatelů s cílem ověřit, že byla zavedena příslušná bezpečnostní opatření na ochranu utajovaných informací EU se stupněm utajení RESTREINT UE / EU RESTRICTED podle požadavků smlouvy.
32. Generální sekretariát Rady jakožto zadavatel informuje vnitrostátní bezpečnostní orgány / určené bezpečnostní orgány nebo kterýkoli jiný bezpečnostní orgán v rozsahu nezbytném podle vnitrostátních právních předpisů o smlouvách či subdodavatelských smlouvách obsahujících informace se stupněm utajení RESTREINT UE / EU RESTRICTED.
33. U smluv zadaných generálním sekretariátem Rady a obsahujících informace se stupněm utajení RESTREINT UE / EU RESTRICTED se pro dodavatele nebo subdodavatele a jejich pracovníky nevyžaduje osvědčení o bezpečnostní prověrce zařízení ani osvědčení o bezpečnostní prověrce personálu.
34. Generální sekretariát Rady jakožto zadavatel posoudí odpovědi na výzvy k předkládání nabídek v souvislosti se zakázkami, které vyžadují přístup k informacím se stupněm utajení RESTREINT UE / EU RESTRICTED, bez ohledu na požadavky týkající se osvědčení o bezpečnostní prověrce zařízení nebo osvědčení o bezpečnostní prověrce personálu, které mohou být stanoveny vnitrostátními právními předpisy.
35. Podmínky, za nichž může dodavatel uzavřít subdodavatelskou smlouvu, se stanoví v souladu s bodem 21.
36. Pokud smlouva zahrnuje nakládání s informacemi se stupněm utajení RESTREINT UE / EU RESTRICTED v komunikačním a informačním systému provozovaném dodavatelem, generální sekretariát Rady jakožto zadavatel zajistí, aby ve smlouvě nebo subdodavatelské smlouvě byly uvedeny nezbytné technické a správní požadavky týkající se akreditace komunikačního a informačního systému, které budou přiměřené posouzenému riziku a zohlední všechny příslušné faktory. Zadavatel a příslušný vnitrostátní bezpečnostní orgán / určený bezpečnostní orgán se dohodnou na rozsahu akreditace takového komunikačního a informačního systému.
PŘÍLOHA VI
VÝMĚNA UTAJOVANÝCH INFORMACÍ S TŘETÍMI STÁTY A MEZINÁRODNÍMI ORGANIZACEMI
I. ÚVOD
1. Tato příloha stanoví prováděcí pravidla k článku 13.
II. RÁMCE UPRAVUJÍCÍ VÝMĚNU UTAJOVANÝCH INFORMACÍ
2. Pokud Rada rozhodne, že existuje dlouhodobá potřeba výměny utajovaných informací,
v souladu s čl. 13 odst. 2 a s oddíly III a IV a na základě doporučení Bezpečnostního výboru.
3. Pokud mají být utajované informace EU, které byly vytvořeny pro účely operace SBOP, poskytnuty třetím státům nebo mezinárodním organizacím účastnícím se dané operace a neexistuje-li žádný z rámců uvedených v bodě 2, v souladu s oddílem V bude výměna utajovaných informací EU s přispívajícím třetím státem nebo mezinárodní organizací upravena:
4. Neexistuje-li rámec podle bodů 2 a 3 a rozhodne-li se o výjimečném ad hoc poskytnutí utajovaných informací EU třetímu státu nebo mezinárodní organizaci v souladu s oddílem VI, vyžádá se od daného třetího státu nebo mezinárodní organizace písemné prohlášení o zárukách s cílem zajistit, že budou poskytnuté utajované informace EU chránit v souladu se základními zásadami a minimálními standardy stanovenými tímto rozhodnutím.
III. DOHODY O BEZPEČNOSTI INFORMACÍ
5. Dohody o bezpečnosti informací stanoví základní zásady a minimální standardy upravující výměnu utajovaných informací mezi Unií a třetím státem nebo mezinárodní organizací.
6. Dohody o bezpečnosti informací stanoví, že se příslušné bezpečnostní orgány příslušných orgánů a institucí Unie a příslušný bezpečnostní orgán dotyčného třetího státu nebo mezinárodní organizace dohodnou na technických prováděcích pravidlech. Tato pravidla zohlední úroveň ochrany zajišťovanou platnými bezpečnostními předpisy, strukturami a postupy v dotyčném třetím státě nebo mezinárodní organizaci. Schválí je Bezpečnostní výbor.
7. Utajované informace EU nesmí být v rámci dohody o bezpečnosti informací vyměňovány elektronickými prostředky, pokud tak není výslovně stanoveno v dohodě nebo v příslušných technických prováděcích pravidlech.
8. Pokud Rada uzavře dohodu o bezpečnosti informací, každá strana zřídí registr, který je při výměně utajovaných informací hlavním přijímacím a odbavovacím místem.
9. Za účelem posouzení účinnosti bezpečnostních předpisů, struktur a postupů v dotyčném třetím státě nebo mezinárodní organizaci se na základě vzájemné dohody s dotyčným třetím státem nebo mezinárodní organizací uskuteční hodnotící návštěvy. Hodnotící návštěvy jsou vykonávány v souladu s příslušnými ustanoveními přílohy III a v jejich průběhu se hodnotí:
právní rámec použitelný pro ochranu utajovaných informací;
veškeré zvláštnosti bezpečnostní politiky a způsobu organizace bezpečnosti v dotyčném třetím státě nebo mezinárodní organizaci, které mohou ovlivnit stanovení stupně utajení informací, jež mohou být vyměňovány;
již uplatňovaná bezpečnostní opatření a postupy a
bezpečnostní prověrka pro stupeň utajení utajovaných informací EU, které mají být poskytovány.
10. Tým vykonávající hodnotící návštěvu jménem Unie posoudí, zda jsou bezpečnostní předpisy a postupy v dotyčném třetím státě nebo mezinárodní organizaci přiměřené pro zajištění ochrany utajovaných informací EU na příslušné úrovni.
11. Závěry těchto návštěv se uvedou ve zprávě, na jejímž základě stanoví Bezpečnostní výbor nejvyšší stupeň utajovaných informací EU, které mohou být v tištěné podobě nebo případně elektronicky vyměňovány s dotyčnou třetí stranou, a jakékoli zvláštní podmínky upravující výměnu informací s dotyčnou stranou.
12. Dříve než Bezpečnostní výbor schválí prováděcí pravidla, učiní se vše pro vykonání hodnotící návštěvy dotyčného třetího státu nebo mezinárodní organizace za účelem podrobného vyhodnocení bezpečnosti, aby se posoudila povaha a účinnost již zavedeného bezpečnostního systému. Pokud však toto není možné, obdrží Bezpečnostní výbor od bezpečnostní kanceláře generálního sekretariátu Rady co nejpodrobnější zprávu vypracovanou na základě jí dostupných informací, v níž Bezpečnostnímu výboru poskytne informace o příslušných bezpečnostních předpisech a o způsobu organizace bezpečnosti v dotyčném třetím státě nebo mezinárodní organizaci.
13. Před zahájením vlastního poskytování utajovaných informací EU dotyčnému třetímu státu nebo mezinárodní organizaci je třeba předložit zprávu o hodnotící návštěvě nebo v případě, že tato zpráva neexistuje, zprávu uvedenou v bodě 12 Bezpečnostnímu výboru, který ji musí vyhodnotit jako uspokojivou.
14. Příslušné bezpečnostní orgány orgánů a institucí Unie sdělí třetímu státu nebo mezinárodní organizaci, od nichž je Unie s to poskytovat v rámci dohody utajované informace EU, jakož i nejvyšší stupeň utajení informací EU, které mohou být vyměňovány v tištěné podobě či elektronicky.
15. V případě potřeby se provedou následné hodnotící návštěvy, a to zejména pokud:
je zapotřebí zvýšit stupeň způsobilosti informací EU k předání nebo
byla Unie vyrozuměna o zásadních změnách bezpečnostních opatření třetího státu nebo mezinárodní organizace, které by mohly mít dopad na jí poskytovanou ochranu utajovaných informací EU, nebo
došlo k závažnému incidentu spojenému s neoprávněným vyzrazením utajovaných informací EU.
16. Poté co dohoda o bezpečnosti informací vstoupí v platnost a s dotyčným třetím státem nebo mezinárodní organizací jsou vyměňovány utajované informace, může Bezpečnostní výbor rozhodnout, že změní nejvyšší stupeň utajení informací EU, které mohou být vyměňovány v tištěné podobě či elektronicky, zejména s ohledem na některou následnou hodnotící návštěvu.
IV. SPRÁVNÍ UJEDNÁNÍ
17. Pokud v případě třetího státu nebo mezinárodní organizace existuje dlouhodobá potřeba výměny informací, jejichž nejvyšší stupeň utajení není zpravidla vyšší než RESTREINT UE / EU RESTRICTED, a pokud Bezpečnostní výbor potvrdil, že dotyčná strana nemá dostatečně rozvinutý bezpečnostní systém, který by jí umožnil uzavřít dohodu o bezpečnosti informací, může generální tajemník Rady s výhradou souhlasu Rady uzavřít jménem generálního sekretariátu Rady s příslušnými orgány dotyčného třetího státu nebo mezinárodní organizace správní ujednání.
18. Pokud je z naléhavých operativních důvodů třeba urychleně vytvořit rámec pro výměnu utajovaných informací, může Rada ve výjimečných případech rozhodnout, že správní ujednání lze uzavřít pro výměnu informací s vyšším stupněm utajení.
19. Správní ujednání mají zpravidla formu výměny dopisů.
20. Před zahájením vlastního poskytování utajovaných informací EU dotyčnému třetímu státu nebo mezinárodní organizaci je třeba vykonat hodnotící návštěvu uvedenou v bodě 9 a předložit příslušnou zprávu nebo v případě, že tato zpráva neexistuje, zprávu uvedenou v bodě 12 Bezpečnostnímu výboru, který ji musí vyhodnotit jako uspokojivou.
21. Utajované informace EU nesmí být v rámci správního ujednání vyměňovány elektronickými prostředky, pokud tak správní ujednání výslovně nestanoví.
V. VÝMĚNA UTAJOVANÝCH INFORMACÍ V RÁMCI OPERACÍ SBOP
22. Účast třetích států nebo mezinárodních organizací na operacích SBOP upravují rámcové dohody o účasti. Tyto dohody obsahují ustanovení o poskytování utajovaných informací EU vytvořených pro účely operací SBOP přispívajícím třetím státům nebo mezinárodním organizacím. Nejvyšší stupeň utajení utajovaných informací EU, které mohou být vyměňovány, je RESTREINT UE / EU RESTRICTED pro civilní operace SBOP a CONFIDENTIEL UE / EU CONFIDENTIAL pro vojenské operace SBOP, pokud rozhodnutí o zřízení jednotlivé operace SBOP nestanoví jinak.
23. Ad hoc dohody o účasti uzavřené pro konkrétní operaci SBOP obsahují ustanovení o poskytování utajovaných informací EU vytvořených pro účely dané operace přispívajícímu třetímu státu nebo mezinárodní organizaci. Nejvyšší stupeň utajení utajovaných informací EU, které mohou být vyměňovány, je RESTREINT UE / EU RESTRICTED pro civilní operace SBOP a CONFIDENTIEL UE / EU CONFIDENTIAL pro vojenské operace SBOP, pokud rozhodnutí o zřízení jednotlivé operace SBOP nestanoví jinak.
24. Neexistuje-li dohoda o bezpečnosti informací a nebyla-li dosud uzavřena dohoda o účasti, řídí se poskytování utajovaných informací EU vytvořených pro účely dané operace třetímu státu nebo mezinárodní organizaci, jež se operace účastní, správním ujednáním, které uzavře vysoký představitel, nebo podléhá rozhodnutí o ad hoc poskytování v souladu s oddílem VI. Výměna utajovaných informací EU v rámci takového ujednání probíhá pouze po dobu, po kterou je plánována účast třetího státu nebo mezinárodní organizace. Nejvyšší stupeň utajení utajovaných informací EU, které mohou být vyměňovány, je RESTREINT UE / EU RESTRICTED pro civilní operace SBOP a CONFIDENTIEL UE / EU CONFIDENTIAL pro vojenské operace SBOP, pokud rozhodnutí o zřízení jednotlivé operace SBOP nestanoví jinak.
25. Podle ustanovení o utajovaných informacích, která jsou součástí rámcových dohod o účasti, ad hoc dohod o účasti a ad hoc správních ujednání podle bodů 22 až 24, zajistí dotyčný třetí stát nebo mezinárodní organizace, aby jejich personál vyslaný v rámci kterékoli operace chránil utajované informace EU v souladu s bezpečnostními pravidly Rady a s dalšími pokyny vydanými příslušnými orgány, včetně linie velení operace.
26. Pokud je mezi Unií a přispívajícím třetím státem nebo mezinárodní organizací následně uzavřena dohoda o bezpečnosti informací, nahradí tato dohoda o bezpečnosti informací v otázkách výměny utajovaných informací EU a nakládání s nimi ustanovení o výměně utajovaných informací stanovená v jakékoli rámcové dohodě o účasti, ad hoc dohodě o účasti nebo ad hoc správním ujednání.
27. Podle rámcové dohody o účasti, ad hoc dohody o účasti nebo ad hoc správního ujednání s třetím státem nebo mezinárodní organizací není dovolena žádná výměna utajovaných informací EU elektronicky, pokud tak výslovně nestanoví dotyčná dohoda nebo ujednání.
28. Utajované informace EU vytvořené pro účely konkrétní operace SBOP mohou být zpřístupněny pracovníkům vyslaným v rámci dané operace třetími státy nebo mezinárodními organizacemi v souladu s body 22 až 27. Při povolování přístupu těchto pracovníků k utajovaným informacím EU v prostorách nebo v komunikačních a informačních systémech dané operace SBOP je třeba uplatňovat opatření (včetně záznamů o zpřístupněných utajovaných informacích EU) ke zmírnění rizika ztráty nebo ohrožení těchto informací. Tato opatření se stanoví v příslušných plánovacích dokumentech nebo v dokumentech mise.
29. Neexistuje-li dohoda o bezpečnosti informací, může se v případě konkrétní a bezprostřední operační potřeby poskytování utajovaných informací EU hostitelskému státu, na jehož území je operace SBOP vedena, řídit správním ujednáním, které uzavře vysoký představitel. Tato možnost se stanoví v rozhodnutí o zřízení dané operace SBOP. Poskytování utajovaných informací EU za těchto okolností se omezí na informace vytvořené pro účely dané operace SBOP se stupněm utajení nejvýše RESTREINT UE / EU RESTRICTED, není-li rozhodnutím o zřízení dané operace SBOP stanoven stupeň vyšší. V rámci správního ujednání je od hostitelského státu požadováno, aby se zavázal k ochraně utajovaných informací EU v souladu s minimálními standardy, které nejsou méně přísné než minimální standardy stanovené v tomto rozhodnutí.
30. Neexistuje-li dohoda o bezpečnosti informací, může se poskytování utajovaných informací EU třetím státům a mezinárodním organizacím, jež se operace SBOP neúčastní, řídit správním ujednáním, které uzavře vysoký představitel. V případě potřeby se tato možnost spolu se souvisejícími podmínkami stanoví v rozhodnutí o zřízení dané operace SBOP. Poskytování utajovaných informací EU za těchto okolností se omezí na informace vytvořené pro účely dané operace SBOP se stupněm utajení nejvýše RESTREINT UE / EU RESTRICTED, není-li rozhodnutím o zřízení dané operace SBOP stanoven stupeň vyšší. V rámci takového správního ujednání může být od dotyčného třetího státu nebo mezinárodní organizace požadováno, aby se zavázaly k ochraně utajovaných informací EU v souladu s minimálními standardy, které nejsou méně přísné než minimální standardy stanovené v tomto rozhodnutí.
31. Ustanovení o poskytování utajovaných informací EU podle bodů 22, 23 a 24 nevyžadují, aby byla před jejich prováděním přijata prováděcí pravidla nebo uskutečněny hodnotící návštěvy.
VI. VÝJIMEČNÉ AD HOC POSKYTOVÁNÍ UTAJOVANÝCH INFORMACÍ EU
32. Pokud neexistuje žádný rámec v souladu s oddíly III až V a Rada nebo jeden z jejích přípravných orgánů rozhodne, že je výjimečně třeba poskytnout utajované informace EU třetímu státu nebo mezinárodní organizaci, generální sekretariát Rady:
v možném rozsahu ověří u bezpečnostních orgánů dotyčného třetího státu nebo mezinárodní organizace, že jejich bezpečnostní předpisy, struktury a postupy jsou takové, aby jím poskytnuté utajované informace EU byly chráněny na základě standardů, které nejsou méně přísné než standardy stanovené tímto rozhodnutím, a
požádá Bezpečnostní výbor, aby na základě dostupných informací vydal doporučení s ohledem na míru důvěry, která může být vložena v bezpečnostní předpisy, struktury a postupy v třetím státě nebo mezinárodní organizaci, jimž mají být poskytnuty utajované informace EU.
33. Pokud Bezpečnostní výbor vydá ohledně poskytnutí utajovaných informací EU kladné doporučení, postoupí se tato záležitost Výboru stálých zástupců, který přijme rozhodnutí o poskytnutí informací.
34. Pokud Bezpečnostní výbor ve svém doporučení vyjádří nesouhlas s poskytnutím utajovaných informací EU:
v případě otázek týkajících se SZBP/SBOP projedná záležitost Politický a bezpečnostní výbor, který vypracuje doporučení, jež předloží k rozhodnutí Výboru stálých zástupců;
v případě všech ostatních otázek záležitost projedná a rozhodnutí přijme Výbor stálých zástupců.
35. Je-li to považováno za vhodné a vyjádří-li předem písemně souhlas původce, může Výbor stálých zástupců rozhodnout, že utajované informace mohou být poskytnuty pouze v částečném rozsahu nebo za podmínky, že u nich bude nejdříve snížen nebo zrušen stupeň utajení, nebo že informace určené k poskytnutí budou připraveny bez odkazu na zdroj nebo původní stupeň utajení EU.
36. Po rozhodnutí o poskytnutí utajovaných informací EU předá generální sekretariát Rady dotyčný dokument, který nese označení týkající se způsobilosti k poskytnutí uvádějící třetí stát nebo mezinárodní organizaci, jíž byly informace poskytnuty. Před vlastním poskytnutím informací nebo při jejich poskytnutí se dotyčná třetí strana písemně zaváže k ochraně obdržených utajovaných informací EU v souladu se základními zásadami a minimálními standardy stanovenými tímto rozhodnutím.
VII. ZMOCNĚNÍ K POSKYTOVÁNÍ UTAJOVANÝCH INFORMACÍ EU TŘETÍM STÁTŮM NEBO MEZINÁRODNÍM ORGANIZACÍM
37. Pokud existuje rámec pro výměnu utajovaných informací se třetím státem nebo mezinárodní organizací v souladu s bodem 2, přijme Rada rozhodnutí o zmocnění generálního tajemníka Rady k poskytování utajovaných informací EU dotyčnému třetímu státu nebo mezinárodní organizaci při dodržení zásady souhlasu původce. Generální tajemník může přenést tato pověření na vyšší úředníky generálního sekretariátu Rady.
38. Pokud existuje dohoda o bezpečnosti informací podle první odrážky bodu 2, může Rada přijmout rozhodnutí o zmocnění vysokého představitele k poskytování utajovaných informací EU v oblasti společné zahraniční a bezpečnostní politiky, jejichž původcem je Rada, dotyčnému třetímu státu nebo mezinárodní organizaci, a to poté, co obdrží souhlas původce jakéhokoli zdrojového materiálu v nich obsaženého. Vysoký představitel může přenést tato pověření na vyšší úředníky ESVČ nebo na zvláštní zástupce EU.
39. Pokud existuje rámec pro výměnu utajovaných informací se třetím státem nebo mezinárodní organizací v souladu s bodem 2 nebo bodem 3, je vysoký představitel zmocněn k poskytování utajovaných informací EU v souladu s rozhodnutím o zřízení dané operace SBOP a při dodržení zásady souhlasu původce. Vysoký představitel může přenést tato pověření na vyšší úředníky ESVČ, na velitele operace EU, velitele sil EU nebo velitele mise EU nebo na vedoucí mise EU.
Dodatek
|
Dodatek A |
Definice |
|
Dodatek B |
Srovnávací tabulka stupňů utajení |
|
Dodatek C |
Seznam vnitrostátních bezpečnostních orgánů |
|
Dodatek D |
Seznam zkratek |
Dodatek A
DEFINICE
Pro účely tohoto rozhodnutí se rozumí:
DODATEK B
SROVNÁVACÍ TABULKA STUPŇŮ UTAJENÍ
|
EU |
TRÈS SECRET UE/EU TOP SECRET |
SECRET UE/EU SECRET |
CONFIDENTIEL UE/EU CONFIDENTIAL |
RESTREINT UE/EU RESTRICTED |
|
Belgie |
Très Secret (Loi 11.12.1998) Zeer Geheim (Wet 11.12.1998) |
Secret (Loi 11.12.1998) Geheim (Wet 11.12.1998) |
Confidentiel (Loi 11.12.1998) Vertrouwelijk (Wet 11.12.1998) |
poznámka (1) níže |
|
Bulharsko |
Cтpoгo ceкретно |
Ceкретно |
Поверително |
За служебно ползване |
|
Česko |
Přísně tajné |
Tajné |
Důvěrné |
Vyhrazené |
|
Dánsko |
YDERST HEMMELIGT |
HEMMELIGT |
FORTROLIGT |
TIL TJENESTEBRUG |
|
Německo |
STRENG GEHEIM |
GEHEIM |
VS (2) - VERTRAULICH |
VS — NUR FÜR DEN DIENSTGEBRAUCH |
|
Estonsko |
Täiesti salajane |
Salajane |
Konfidentsiaalne |
Piiratud |
|
Irsko |
Top Secret |
Secret |
Confidential |
Restricted |
|
Řecko |
Άκρως Απόρρητο Abr: ΑΑΠ |
Απόρρητο Abr: (ΑΠ) |
Εμπιστευτικό Αbr: (ΕΜ) |
Περιορισμένης Χρήσης Abr: (ΠΧ) |
|
Španělsko |
SECRETO |
RESERVADO |
CONFIDENCIAL |
DIFUSIÓN LIMITADA |
|
Francie |
TRÈS SECRET TRÈS SECRET DÉFENSE (3) ) |
SECRET SECRET DÉFENSE (3) |
poznámka (5) níže |
|
|
Chorvatsko |
VRLO TAJNO |
TAJNO |
POVJERLJIVO |
OGRANIČENO |
|
Itálie |
Segretissimo |
Segreto |
Riservatissimo |
Riservato |
|
Kypr |
Άκρως Απόρρητο Αbr: (ΑΑΠ) |
Απόρρητο Αbr: (ΑΠ) |
Εμπιστευτικό Αbr: (ΕΜ) |
Περιορισμένης Χρήσης Αbr: (ΠΧ) |
|
Lotyšsko |
Sevišķi slepeni |
Slepeni |
Konfidenciāli |
Dienesta vajadzībām |
|
Litva |
Visiškai slaptai |
Slaptai |
Konfidencialiai |
Riboto naudojimo |
|
Lucembursko |
Très Secret Lux |
Secret Lux |
Confidentiel Lux |
Restreint Lux |
|
Maďarsko |
Szigorúan titkos! |
Titkos! |
Bizalmas! |
Korlátozott terjesztésű! |
|
Malta |
L-Ogħla Segretezza Top Secret |
Sigriet Secret |
Kunfidenzjali Confidential |
Ristrett Restricted (6) |
|
Nizozemsko |
Stg. ZEER GEHEIM |
Stg. GEHEIM |
Stg. CONFIDENTIEEL |
Dep. VERTROUWELIJK |
|
Rakousko |
Streng Geheim |
Geheim |
Vertraulich |
Eingeschränkt |
|
Polsko |
Ściśle Tajne |
Tajne |
Poufne |
Zastrzeżone |
|
Portugalsko |
Muito Secreto |
Secreto |
Confidencial |
Reservado |
|
Rumunsko |
Strict secret de importanță deosebită |
Strict secret |
Secret |
Secret de serviciu |
|
Slovinsko |
STROGO TAJNO |
TAJNO |
ZAUPNO |
INTERNO |
|
Slovensko |
Prísne tajné |
Tajné |
Dôverné |
Vyhradené |
|
Finsko |
ERITTÄIN SALAINEN YTTERST HEMLIG |
SALAINEN HEMLIG |
LUOTTAMUKSELLINEN KONFIDENTIELL |
KÄYTTÖ RAJOITETTU BEGRÄNSAD TILLGÅNG |
|
Švédsko |
Kvalificerat hemlig |
Hemlig |
Konfidentiell |
Begränsat hemlig |
|
(1)
„Diffusion Restreinte/Beperkte Verspreiding“ není v Belgii stupněm utajení. Belgie nakládá s informacemi se stupněm utajení „RESTREINT UE/EU RESTRICTED“ a chrání je způsobem, který není méně přísný než standardy a postupy uvedené v bezpečnostních pravidlech Rady Evropské unie.
(2)
Německo: VS = Verschlusssache.
(3)
S informacemi vytvořenými Francií před 1. červencem 2021, které mají stupeň utajení „TRÈS SECRET DÉFENSE“, „SECRET DÉFENSE“ nebo „CONFIDENTIEL DÉFENSE“, se nadále nakládá a jsou chráněny na úrovni rovnocenné odpovídajícímu stupni utajení „TRÈS SECRET UE/EU TOP SECRET“, „SECRET UE/EU SECRET“ nebo „CONFIDENTIEL UE/EU CONFIDENTIAL“.
(4)
Francie nakládá s informacemi se stupněm utajení „CONFIDENTIEL UE/EU CONFIDENTIAL“ a chrání je způsobem, který je v souladu s francouzskými bezpečnostními opatřeními na ochranu informací se stupněm utajení „SECRET“.
(5)
Francie ve svém vnitrostátním systému nepoužívá stupeň utajení „RESTREINT“. Francie nakládá s informacemi se stupněm utajení „RESTREINT UE/EU RESTRICTED“ a chrání je způsobem, který není méně přísný než standardy a postupy uvedené v bezpečnostních pravidlech Rady Evropské unie.
(6)
Na Maltě mohou být bez rozdílu používána označení v maltštině a angličtině. |
||||
DODATEK C
SEZNAM VNITROSTÁTNÍCH BEZPEČNOSTNÍCH ORGÁNŮ
|
BELGIE Autorité nationale de Sécurité SPF Affaires étrangères, Commerce extérieur et Coopération au Développement 15, rue des Petits Carmes 1000 Bruxelles Tel. Secretariat: +32 25014542 Fax +32 25014596 E-mail: [email protected] |
DÁNSKO Politiets Efterretningstjeneste (Danish Security Intelligence Service) Klausdalsbrovej 1 2860 Søborg Tel. +45 45 15 90 07 Fax +45 45 15 01 90 Forsvarets Efterretningstjeneste (Danish Defence Intelligence Service) Kastellet 30 2100 Copenhagen Ø Tel. +45 33325566 Fax +45 33931320 |
|
BULHARSKO State Commission on Information Security 4 Kozloduy S. 1202 Sofia Tel. +359 29333600 Fax +359 29873750 E-mail: [email protected] Website: www.dksi.bg |
NĚMECKO Bundesministerium des Innern, für Bau und Heimat Section ÖS II 5 Alt-Moabit 140 D-10557 Berlin Tel. +49 30186810 Fax +49 30186811441 E-mail 1: [email protected] E-mail 2: [email protected] |
|
ČESKO Národní bezpečnostní úřad (National Security Authority) Na Popelce 2/16 150 06 Praha 56 Tel. +420 257283335 Fax: +420 257283110 E-mail: [email protected] Website: www.nbu.cz |
ESTONSKO National Security Authority Department Estonian Foreign Intelligence Service Rahumäe tee 4B 11316 Tallinn Tel. +372 693 9211 Fax +372 693 5001 E-mail: [email protected] |
|
IRSKO National Security Authority Department of Foreign Affairs and Trade 76 - 78 Harcourt Street Dublin 2 D02 DX45 Ireland Tel. 1: +353 1 4082842 Tel. 2: +353 1 4082724 E-mail: [email protected] |
FRANCIE Secrétariat général de la défense et de la sécurité nationale Sous-direction Protection du secret (SGDSN/PSD) 51 Boulevard de la Tour-Maubourg 75700 Paris 07 SP Tel. +33 171758177 Fax +33 171758200 |
|
ŘECKO Γενικό Επιτελείο Εθνικής Άμυνας (ΓΕΕΘΑ) Διεύθυνση Ασφαλείας και Αντιπληροφοριών ΣΤΓ 1020 -Χολαργός (Αθήνα) Ελλάδα Τηλ.: +30 2106572045 (ώρες γραφείου) +30 2106572009 (ώρες γραφείου) Φαξ: +30 2106536279 +30 2106577612 Hellenic National Defence General Staff (HNDGS) Counter Intelligence and Security Directorate (NSA) 227-231 HOLARGOS STG 1020 ATHENS Tel. +30 2106572045 +30 2106572009 Fax +30 2106536279 +30 2106577612 |
CHORVATSKO Office of the National Security Council Croatian NSA Jurjevska 34 10000 Zagreb Croatia Tel. +385 14681222 Fax +385 14686049 E-mail: [email protected] Website: www.uvns.hr |
|
ŠPANĚLSKO Autoridad Nacional de Seguridad Oficina Nacional de Seguridad Calle Argentona, 30 28023 Madrid Tel. +34 913725000 Fax +34 913725808 E-mail: [email protected] |
ITÁLIE Presidenza del Consiglio dei Ministri Dipartimento Informazioni per la Sicurezza (DIS) Ufficio Centrale per la Segretezza (UCSe) Via Galilei, 32 00185 Roma Tel. +39 06478601 Fax +39 064885273 E-mail: [email protected] |
|
KYPR ΥΠΟΥΡΓΕΙΟ ΑΜΥΝΑΣ ΣΤΡΑΤΙΩΤΙΚΟ ΕΠΙΤΕΛΕΙΟ ΤΟΥ ΥΠΟΥΡΓΟΥ ΑΜΥΝΑΣ ΕΘΝΙΚΗ ΑΡΧΗ ΑΣΦΑΛΕΙΑΣ (ΕΑΑ) Υπουργείο Άμυνας Λεωφόρος Στροβόλου 172-174, 1432 Λευκωσία Ταχυδρομικός Κώδικας: 2048 Τηλεφωνα: +357 22807569, +357 22807643, +357 22807764 Τηλεομοιότυπ: +357 22302351 Ηλεκτρονικό Ταχυδρομείο: [email protected] Ministry of Defence Minister’s Military Staff National Security Authority (NSA) 172-174 Strovolou Avenue, 1432 Nicosia Postal code: 2048 Tel. +357 22807569, +357 22807643, +357 22807764 Fax +357 22302351 E-mail: [email protected] |
LITVA Lietuvos Respublikos paslapčių apsaugos koordinavimo komisija (The Commission for Secrets Protection Coordination of the Republic of Lithuania National Security Authority) Pilaitės ave. 19 LT-06264 Vilnius Tel. +370 5 706 66128 Fax +370 706 66700 E-mail: [email protected] |
|
LOTYŠSKO National Security Authority Constitution Protection Bureau of the Republic of Latvia P.O.Box 286 LV-1001 Riga Tel. +371 67025418 E-mail: [email protected] |
LUCEMBURSKO Autorité nationale de Sécurité Boîte postale 2379 1023 Luxembourg Tel. +352 24782210 central Tel. +352 24782253 direct Fax +352 24782243 |
|
MAĎARSKO Nemzeti Biztonsági Felügyelet (National Security Authority of Hungary) 1024 Budapest, Szilágyi Erzsébet fasor 11/B Postal address: 1399 Budapest, Pf. 710/50 Tel. +36-1/391-1862 Fax +36-1/391-1889 E-mail: [email protected] Website: www.nbf.hu |
RAKOUSKO Informationssicherheitskommission Bundeskanzleramt Ballhausplatz 2 1010 Wien Tel. +43 1 53115 202594 Fax +43 1 53109 202594 E-mail: [email protected] |
|
MALTA Ministry for Home Affairs and National Security P.O. Box 146 MT-Valletta Tel. +356 21249844 Fax +356 25695321 |
POLSKO Agencja Bezpieczeństwa Wewnętrznego – ABW (Internal Security Agency) 2 A Rakowiecka St. 00-993 Warszawa Tel. +48 225857663 Fax +48 225858509 E-mail: [email protected] Website: www.abw.gov.pl |
|
NIZOZEMSKO Ministerie van Binnenlandse Zaken en Koninkrijksrelaties Postbus 20010 2500 EA Den Haag Tel. +31 703204400 Fax +31 703200733 Ministerie van Defensie Beveiligingsautoriteit Postbus 20701 2500 ES Den Haag Tel. +31 703187060 Fax +31 703187522 |
PORTUGALSKO Presidência do Conselho de Ministros Autoridade Nacional de Segurança Rua da Junqueira, 69 1300-342 Lisboa Tel. +351 213031710 Fax +351 213031711 |
|
RUMUNSKO Oficiul Registrului Național al Informațiilor Secrete de Stat – Romanian NSA – ORNISS National Registry Office for Classified Information Strada Mureș nr. 4 012275 Bucharest Tel. +40 212075114 Fax +40 212240714 E-mail: [email protected] Website: www.orniss.ro |
FINSKO National Security Authority Ministry for Foreign Affairs P.O. Box 453 FI-00023 Government Tel. +358 9 16055890 E-mail: [email protected] |
|
SLOVINSKO Urad Vlade RS za varovanje tajnih podatkov Šmartinska 152 1000 Ljubljana Tel. +386 147817570 Fax: +386 14781399 E-mail: [email protected] |
ŠVÉDSKO Ministry for Foreign Affairs Swedish National Security Authority 103 39 Stockholm Tel. +46 8 405 10 00 E-mail: [email protected] |
|
SLOVENSKO Národný bezpečnostný úrad (National Security Authority) Budatínska 30 851 06 Bratislava Tel. +421 2 6869 1111 Fax +421 2 6869 1700 E-mail: [email protected] Website: www.nbu.gov.sk |
|
Dodatek D
SEZNAM ZKRATEK
|
SBOP |
Společná bezpečnostní a obranná politika |
|
SZBP |
Společná bezpečnostní a zahraniční politika |
( 1 ) Rozhodnutí Rady 2011/292/EU ze dne 31. března 2011 o bezpečnostních pravidlech na ochranu utajovaných informací EU (Úř. věst. L 141, 27.5.2011, s. 17).
( 2 ) Rozhodnutí Rady 2001/264/ES ze dne 19. března 2001, kterým se přijímají bezpečnostní předpisy Rady (Úř. věst. L 101, 11.4.2001, s. 1).
( 3 ) Nařízení Rady (EHS, Euratom, ESUO) č. 259/68 ze dne 29. února 1968, kterým se stanoví služební řád úředníků a pracovní řád ostatních zaměstnanců Evropských společenství a kterým se zavádí dočasná opatření použitelná na úředníky Komise (Úř. věst. L 56, 4.3.1968, s. 1).