32018D0410(01)Rozhodnutí vysoké představitelky Unie pro zahraniční věci a bezpečnostní politiku ze dne 19. září 2017 o bezpečnostních pravidlech pro Evropskou službu pro vnější činnost – ADMIN(2017) 10

Publikováno:	OJ-C 126, 10.4.2018, s. 1-56	Druh předpisu:	Rozhodnutí
Přijato:	19. září 2017	Autor předpisu:
Platnost od:	19. září 2017	Nabývá účinnosti:	19. září 2017
Platnost předpisu:	Ano	Pozbývá platnosti:

Původní znění předpisu

Text předpisu s celou hlavičkou je dostupný pouze pro registrované uživatele.

Rozhodnutí vysoké představitelky Unie pro zahraniční věci a bezpečnostní politiku ze dne 19. září 2017 o bezpečnostních pravidlech pro Evropskou službu pro vnější činnost

ADMIN(2017) 10

(2018/C 126/01)

VYSOKÁ PŘEDSTAVITELKA UNIE PRO ZAHRANIČNÍ VĚCI A BEZPEČNOSTNÍ POLITIKU,

s ohledem na rozhodnutí Rady 2010/427/EU ze dne 26. července 2010 o organizaci a fungování Evropské služby pro vnější činnost (1) (dále jen „ESVČ“),

s ohledem na stanovisko výboru uvedeného v čl. 9 odst. 6 rozhodnutí vysoké představitelky ze dne 15. června 2011 o bezpečnostních pravidlech pro Evropskou službu pro vnější činnost (2),

vzhledem k těmto důvodům:

(1)	ESVČ by jako funkčně nezávislá instituce Evropské unie (dále jen „EU“) měla mít bezpečnostní pravidla uvedená v čl. 10 odst. 1 rozhodnutí Rady 2010/427/EU.

(2)

Vysoká představitelka Unie pro zahraniční věci a bezpečnostní politiku (dále jen „vysoká představitelka“) by měla rozhodnout o bezpečnostních pravidlech pro ESVČ, která se budou zabývat všemi aspekty bezpečnosti v souvislosti s jejím fungováním, tak aby mohla účinně zvládat rizika, jimž jsou vystaveni její zaměstnanci, fyzický majetek, informace a návštěvníci, a splnit v tomto ohledu svou povinnost náležité péče.

(3)	Konkrétně, na zaměstnance, kteří jsou podřízeni ESVČ, fyzický majetek a komunikační a informační systémy ESVČ, informace i návštěvníky by se měla vztahovat ochrana, jejíž úroveň odpovídá postupům osvědčeným v Radě, Komisi, členských státech a případně v mezinárodních organizacích.

(4)

Bezpečnostní pravidla pro ESVČ by měla pomoci vytvořit v EU soudržnější a komplexnější obecný rámec pro ochranu utajovaných informací EU a měla by při tom vycházet z bezpečnostních pravidel Rady Evropské unie (dále jen „Rada“) a z bezpečnostních ustanovení Evropské komise a zároveň zajistit, aby s nimi byla maximálně soudržná.

(5)	ESVČ, Rada a Komise se zavázaly k uplatňování rovnocenných bezpečnostních standardů pro ochranu utajovaných informací EU.

(6)	Tímto rozhodnutím nejsou dotčeny články 15 a 16 Smlouvy o fungování Evropské unie (dále jen „SFEU“) a jejich prováděcí akty.

(7)	Je nezbytné stanovit organizaci bezpečnosti v ESVČ a rozdělení bezpečnostních úkolů ve strukturách ESVČ.

(8)	Vysoká představitelka by podle potřeby měla čerpat z odborných poznatků členských států, generálního sekretariátu Rady a Komise.

(9)	Vysoká představitelka by měla přijmout všechna vhodná opatření, která jsou nezbytná k provádění těchto pravidel s podporou členských států, generálního sekretariátu Rady a Komise.

(10)

Generální tajemník ESVČ je bezpečnostním orgánem ESVČ a podle článku 1 rozhodnutí ADMIN (2015)34 ze dne 14. září 2015 o generálním tajemníkovi Evropské služby pro vnější činnost vykonává bezpečnostní funkce bezpečnostního ogánu, jak je stanoveno v bezpečnostních pravidlech ESVČ, generální ředitel pro rozpočet a správu,

PŘIJALA TOTO ROZHODNUTÍ:

Článek 1

Předmět a oblast působnosti

Toto rozhodnutí stanoví bezpečnostní pravidla pro Evropskou službu pro vnější činnost (dále jen „bezpečnostní pravidla ESVČ“).

Podle čl. 10 odst. 1 rozhodnutí Rady 2010/427/EU ze dne 26. července 2010 o organizaci a fungování Evropské služby pro vnější činnost se bezpečnostní pravidla vztahují na všechny zaměstnance ESVČ a na všechny zaměstnance v delegacích Unie bez ohledu na jejich administrativní postavení nebo původ a stanoví obecný regulační rámec pro účinné zvládání rizik, jimž jsou vystaveni zaměstnanci podřízení ESVČ podle článku 2, prostory ESVČ, fyzický majetek, informace a návštěvníci.

Článek 2

Definice

Pro účely tohoto rozhodnutí se použijí tyto definice:

„zaměstnanci ESVČ“ jsou úředníci a ostatní zaměstnanci, včetně zaměstnanců pocházejících z diplomatických služeb členských států, kteří jsou jmenováni jako dočasní zaměstnanci, a vyslaní odborníci členských států, jak jsou definováni v článku 6 rozhodnutí Rady 2010/427/EU ze dne 26. července 2010 o organizaci a fungování Evropské služby pro vnější činnost;

„zaměstnanci podřízení ESVČ“ jsou zaměstnanci ESVČ v ústředí a v delegacích Unie a všichni ostatní zaměstnanci v delegacích Unie bez ohledu na své administrativní postavení nebo původ a v souvislosti s tímto rozhodnutím rovněž vysoká představitelka a případně další personál sídlící v budovách ústředí ESVČ;

c)	„závislé osoby“ jsou rodinní příslušníci zaměstnanců podřízených ESVČ v delegacích Unie, kteří s nimi žijí ve společné domácnosti a jsou hlášení na ministerstvu zahraničních věcí přijímajícího státu;

d)	„prostory ESVČ“ jsou všechna zařízení ESVČ, včetně budov, kanceláří, místností a dalších prostor, jakož i prostor, v nichž jsou umístěny komunikační a informační systémy (např. v nichž se nakládá s utajovanými informacemi EU), které ESVČ dočasně či trvale využívá k výkonu svých činností;

e)	„bezpečnostní zájmy ESVČ“ jsou zaměstnanci podřízení ESVČ, prostory ESVČ, závislé osoby, fyzický majetek, včetně komunikačních a informačních systémů, informace a návštěvníci;

f)	„utajované informace EU“ jsou jakékoli informace nebo materiály označené stupněm utajení EU, jejichž neoprávněné vyzrazení by mohlo různou měrou poškodit zájmy Evropské unie nebo jednoho či více členských států;

g)	„delegace Unie“ jsou delegace ve třetích zemí a při mezinárodních organizacích, jak je uvedeno v čl. 1 odst. 4 rozhodnutí Rady 2010/427/EU ze dne 26. července 2010 o organizaci a fungování Evropské služby pro vnější činnost.

Další definice jsou uvedeny v příslušných přílohách a v dodatku A.

Článek 3

Povinnost péče

1. Bezpečnostní pravidla ESVČ se zaměřují na plnění povinnosti náležité péče ESVČ.

2. Povinnost péče ESVČ znamená učinit s náležitou péčí všechny přiměřené kroky k provádění bezpečnostních opatření s cílem odvrátit jakékoli důvodně předvídatelné poškození bezpečnostních zájmů ESVČ.

Zahrnuje to jak bezpečnostní, tak ochranné složky, včetně opatření vyplývajících z mimořádných situací nebo krizí bez ohledu na jejich povahu.

3. Aby bylo zohledněno plnění povinnosti náležité péče ze strany členských států, orgánů a institucí EU a dalších stran, jejichž zaměstnanci působí v delegacích Unie a/nebo prostorách těchto delegací, nebo této povinnosti připadající ESVČ za delegace Unie, pokud se nacházejí v prostorách výše uvedených dalších stran, uzavře ESVČ s každým z těchto výše uvedených subjektů správní ujednání, v nichž se stanoví příslušné funkce a povinnosti, úlohy a mechanismy spolupráce.

Článek 4

Fyzická bezpečnost a bezpečnost infrastruktury

1. ESVČ zavede na ochranu svých bezpečnostních zájmů veškerá vhodná opatření fyzické bezpečnosti (ať již trvalá, nebo dočasná), včetně opatření pro kontrolu přístupu, ve všech prostorách ESVČ. Tato opatření se zohledňují při navrhování a plánování nových budov nebo před pronájmem existujících budov.

2. Zaměstnancům podřízeným ESVČ a jejich závislým osobám mohou být z bezpečnostních důvodů uloženy na určité období a v určitých oblastech zvláštní povinnosti nebo omezení.

3. Opatření uvedená v odstavcích 1 a 2 musí být přiměřená posouzenému riziku.

Článek 5

Stavy pohotovosti a řešení krizových situací

1. Bezpečnostní orgán ESVČ, jak je definován v oddíle I čl. 13 odst. 1, je odpovědný za zavedení odpovídajících opatření pro stavy pohotovosti, kterými bude předjímat hrozby či incidenty dotýkající se bezpečnosti v ESVČ nebo na tyto hrozby či incidenty reagovat, jakož i opatření, která budou zapotřebí pro řešení krizí.

2. Opatření pro stavy pohotovosti zmiňovaná v odstavci 1 musí být přiměřená stupni bezpečnostní hrozby. Stupně pohotovosti se vymezují v úzké spolupráci s příslušnými útvary ostatních orgánů, institucí a jiných subjektů Unie a členského státu či členských států, na jejichž území se prostory ESVČ nacházejí.

3. Bezpečnostní orgán ESVČ je kontaktním místem pro stavy pohotovosti a řešení krizových situací.

Článek 6

Ochrana utajovaných informací

1. Pro ochranu utajovaných informací EU platí požadavky stanovené v tomto rozhodnutí, zejména v příloze A. Držitel jakékoli utajované informace EU je odpovědný za její odpovídající ochranu.

2. ESVČ zajistí, aby byl přístup k utajovaným informacím umožněn pouze osobám, které splňují podmínky stanovené v článku 5 přílohy A.

3. Vysoká představitelka stanoví v souladu s pravidly na ochranu utajovaných informací EU podle přílohy A tohoto rozhodnutí rovněž podmínky, za jakých mohou mít přístup k utajovaným informacím EU místní zaměstnanci.

4. Ředitelství ESVČ odpovědné za bezpečnost vede databázi o statusu bezpečnostních prověrek všech zaměstnanců podřízených ESVČ, včetně jejích smluvních zaměstnanců.

5. Pokud členské státy poskytnou do struktur či sítí ESVČ utajované informace označené vnitrostátním stupněm utajení, ESVČ tyto informace chrání v souladu s požadavky na ochranu utajovaných informací EU na odpovídající úrovni podle srovnávací tabulky stupňů utajení uvedené v dodatku B tohoto rozhodnutí.

6. Prostory ESVČ, v nichž jsou ukládány utajované informace se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším, nebo informace s rovnocenným stupněm utajení, je třeba zřídit jako zabezpečené oblasti v souladu s pravidly uvedenými v příloze AII tohoto rozhodnutí a musí je schválit bezpečnostní orgán ESVČ.

7. Postupy, podle nichž vysoká představitelka plní své úkoly v rámci dohod nebo správních ujednání pro výměnu utajovaných informací EU se třetími státy nebo mezinárodními organizacemi, jsou popsány v přílohách A a AVI tohoto rozhodnutí.

8. Generální tajemník stanoví podmínky, za nichž může ESVČ sdílet utajované informace EU, které má ve svém držení, s dalšími institucemi, orgány nebo jinými subjekty Unie. Za tímto účelem se zavede vhodný rámec, mimo jiné i uzavřením interinstitucionálních dohod či jiných ujednání, pokud je to k uvedenému účelu nezbytné.

9. Jakýkoli takový rámec zajistí, aby utajovaným informacím EU byla poskytnuta ochrana odpovídající jejich stupni utajení a v souladu se základními zásadami a minimálními standardy, které musí být rovnocenné zásadám a standardům stanoveným v tomto rozhodnutí.

Článek 7

Bezpečnostní incidenty a mimořádné bezpečnostní události

1. Aby se v případě bezpečnostních incidentů zajistila rychlá a účinná reakce, ESVČ stanoví postup hlášení těchto incidentů a mimořádných událostí, který je použitelný 24 hodin denně sedm dní v týdnu v případě bezpečnostních incidentů nebo ohrožení bezpečnostních zájmů ESVČ jakéhokoli druhu (jako jsou např. nehody, konflikty, škodlivá jednání, trestné činy, únosy a vzetí rukojmích, nouzová lékařská pomoc, narušení komunikačních a informačních systémů, kybernetické útoky atd.).

2. Mezi ústředím ESVČ, delegacemi Unie, Radou, Komisí, zvláštními zástupci EU a členskými státy se zřídí nouzové komunikační kanály, aby napomáhaly zvládání bezpečnostních incidentů dopadajících na personál a jejich následků, včetně plánování pro nepředvídané události.

3. Toto zvládání bezpečnostních incidentů bude mimo jiné zahrnovat:

—	postupy účinné podpory rozhodovacího procesu v souvislosti s narušením bezpečnosti dopadajícím na personál, včetně rozhodování v souvislosti se stažením nebo pozastavením mise a

—

politiku a postupy pro záchranu personálu, tj. v případě nezvěstných zaměstnanců nebo únosu a vzetí rukojmích, s přihlédnutím ke zvláštním povinnostem členských států, orgánů EU a ESVČ v tomto ohledu. Potřeba specifických schopností v rámci řízení těchto operací v tomto ohledu bude zvažována s ohledem na zdroje, které by mohly poskytnout členské státy.

4. ESVČ zavede vhodná správní ujednání ohledně hlášení bezpečnostních incidentů v delegacích Unie. V případě potřeby jsou informovány členské státy, Komise, veškeré další příslušné orgány, jakož i příslušné bezpečnostní výbory.

5. Postupy zvládání bezpečnostních incidentů by měly být pravidelně procvičovány a přezkoumávány.

Článek 8

Bezpečnost komunikačních a informačních systémů

1. ESVČ chrání informace zpracovávané v komunikačních a informačních systémech před ohrožením důvěrnosti, integrity, dostupnosti, autenticity a nepopiratelnosti.

2. Pravidla, bezpečnostní pokyny a bezpečnostní program na ochranu všech komunikačních a informačních systémů vlastněných nebo provozovaných ESVČ musí být schváleny bezpečnostním orgánem ESVČ.

3. Pravidla, politika a program musí být v souladu a jejich provádění úzce koordinováno s pravidly, politikou a programem Rady, Komise a případně s bezpečnostními politikami uplatňovanými členskými státy.

4. Veškeré komunikační a informační systémy zpracovávající utajované informace podléhají akreditačnímu řízení. ESVČ uplatňuje systém pro řízení bezpečnostní akreditace po konzultaci s generálním sekretariátem Rady a Komise.

5. Pokud je ochrana utajovaných informací EU, s kterými nakládá ESVČ, zajišťována kryptografickými prostředky, tyto prostředky schvaluje schvalovací orgán ESVČ pro kryptografickou ochranu na doporučení Bezpečnostního výboru Rady.

6. Bezpečnostní orgán ESVČ zajistí v nezbytném rozsahu tyto funkce v oblasti zabezpečení informací:

a)	orgán pro zabezpečení informací;

b)	orgán TEMPEST;

c)	schvalovací orgán pro kryptografickou ochranu;

d)	orgán pro distribuci kryptografických materiálů.

7. Bezpečnostní orgán ESVČ zajistí pro každý systém tyto funkce:

a)	orgán pro bezpečnostní akreditaci;

b)	provozní orgán pro zabezpečení informací.

8. Ustanovení pro provádění tohoto článku, pokud jde o ochranu utajovaných informací EU, jsou obsažena v přílohách A a A IV.

Článek 9

Narušení bezpečnosti a ohrožení utajovaných informací

1. K narušení bezpečnosti dochází v důsledku opomenutí nebo jednání v rozporu s bezpečnostními pravidly stanovenými tímto rozhodnutím a/nebo bezpečnostní politikou či bezpečnostními pokyny, kterými se stanoví opatření k jeho provádění schválená podle čl. 21 odst. 1.

2. K ohrožení utajovaných informací dochází, pokud byly zcela nebo zčásti zpřístupněny neoprávněným osobám nebo subjektům.

3. Jakékoli narušení bezpečnosti nebo podezření na něj a jakékoli ohrožení utajovaných informací nebo podezření z něj se neprodleně oznámí ředitelství ESVČ odpovědnému za bezpečnost, které přijme vhodná opatření podle přílohy A článku 11.

4. Podle čl. 11 odst. 3 přílohy A mohou být vůči kterékoli osobě, která je odpovědná za porušení bezpečnostních pravidel stanovených tímto rozhodnutím nebo za ohrožení utajovaných informací, přijata disciplinární opatření nebo právní kroky v souladu s příslušnými právními předpisy.

Článek 10

Vyšetřování bezpečnostních incidentů, narušení či ohrožení bezpečnosti a nápravná opatření

1. Aniž jsou dotčena ustanovení článku 86 (disciplinární opatření) a přílohy IX služebního řádu (3), mohou být bezpečnostní šetření prováděna ředitelstvím ESVČ odpovědným za bezpečnost:

a)	v případě potenciálního úniku či ohrožení utajovaných informací Evropské unie, utajovaných informací Euratomu nebo citlivých neutajovaných informací;

b)	s cílem čelit nepřátelským útokům zpravodajských služeb proti ESVČ a jejím zaměstnancům;

c)	s cílem čelit teroristickým útokům proti ESVČ a jejím zaměstnancům;

d)	v případě kybernetických bezpečnostních incidentů;

e)	v případě jiných incidentů, která mají nebo mohou mít dopad na obecnou bezpečnost ESVČ, včetně podezření z trestných činů.

2. Ředitelství ESVČ odpovědné za bezpečnost provede případně s pomocí odborníků z členských států a/nebo jiných orgánů EU, bude-li to vhodné, po schválení orgánem ESVČ pro bezpečnost v návaznosti na šetření jakákoliv nezbytná nápravná opatření.

Pravomoc provádět a koordinovat bezpečnostní šetření ESVČ může být svěřena pouze schváleným zaměstnancům, kterým se dostalo jmenovitého pověření ze strany bezpečnostního orgánu ESVČ.

3. Vyšetřovatelé mají přístup ke všem informacím potřebným pro provádění takových šetření a všechny útvary a zaměstnanci ESVČ je přitom plně podporují.

Vyšetřovatelé mohou přijmout vhodná opatření k zajištění záznamů o důkazech způsobem, který je přiměřený závažnosti vyšetřované záležitosti.

4. Pokud se přístup k informacím týká osobních údajů, včetně informací zachycených v komunikačních a informačních systémech, podléhá nařízení (ES) č. 45/2001 (4).

5. Pokud je nutné pro účely šetření zřídit databázi obsahující osobní údaje, je o tom v souladu s uvedeným nařízením informován evropský inspektor ochrany údajů.

Článek 11

Řízení bezpečnostních rizik

1. Za účelem stanovení svých potřeb z hlediska ochranných bezpečnostních opatření použije ESVČ komplexní metodiku posuzování bezpečnostních rizik, a to v těsné spolupráci s ředitelstvím odpovědným za bezpečnost Komise a případně s bezpečnostní kanceláří generálního sekretariátu Rady.

2. Rizika pro bezpečnostní zájmy ESVČ jsou řízena jako proces. Cílem tohoto procesu je stanovit známá bezpečnostní rizika, vymezit bezpečnostní opatření ke snížení těchto rizik na přijatelnou úroveň a uplatnit opatření v souladu s koncepcí hloubkové ochrany. Účinnost těchto opatření a úroveň rizika se průběžně vyhodnocuje.

3. Role, odpovědnost a úkoly stanovené v tomto rozhodnutí nemají vliv na odpovědnost každého zaměstnance podřízeného ESVČ; zejména zaměstnanci EU na misi ve třetích zemích musí používat zdravý rozum a dobrý úsudek, pokud jde o jejich vlastní bezpečnost, a jednat v souladu s platnými bezpečnostními pravidly, nařízeními, postupy a pokyny.

4. V zájmu prevence a kontroly bezpečnostních rizik mohou pověření zaměstnanci prověřovat bezúhonnost osob, na které se vztahuje toto rozhodnutí, aby zjistili, zda zpřístupnění prostor či informací ESVČ těmto osobám nepředstavuje bezpečnostní hrozbu. Za tímto účelem a v souladu s nařízením (ES) č. 45/2001 mohou dotčení pověření zaměstnanci: a) využívat veškerých informačních zdrojů, které má ESVČ k dispozici, přičemž berou v potaz jejich spolehlivost; b) nahlížet do osobních spisů či údajů, jimiž ESVČ disponuje ve vztahu k jednotlivcům, které zaměstnává či hodlá zaměstnat, což v řádně odůvodněných případech platí i v případě zaměstnanců smluvních dodavatelů.

5. ESVČ přijme veškerá vhodná opatření, aby zajistila ochranu svých bezpečnostních zájmů a aby předešla jejich důvodně předvídatelnému poškození.

6. Bezpečnostní opatření v ESVČ na ochranu utajovaných informací EU během celého svého životního cyklu musí být přiměřená zejména stupni utajení, fyzické podobě a objemu informací nebo materiálů, umístění a konstrukci zařízení, v nichž jsou utajované informace EU uloženy, a místně vyhodnocené hrozbě zlovolných nebo trestných činností, včetně vyzvědačství, sabotáže nebo terorismu.

Článek 12

Povědomí o bezpečnosti a odborná příprava

1. Bezpečnostní orgán ESVČ zajistí vypracování příslušných programů týkajících se povědomí a odborné přípravy v oblasti bezpečnosti a dále zajistí, aby zaměstnanci podřízení ESVČ a případně jejich závislé osoby získali nezbytné informace a výcvik přiměřené rizikům, jimž jsou vystaveni na pracovišti nebo ve svém bydlišti.

2. Před udělením přístupu k utajovaným informacím EU a poté v pravidelných intervalech jsou zaměstnanci informováni o své povinnosti chránit utajované informace EU v souladu s pravidly podle článku 6 a tuto povinnost akceptují.

Článek 13

Organizace bezpečnosti v ESVČ

1. Bezpečnostním orgánem ESVČ je generální tajemník. Generální tajemník v této funkci zajistí, aby:

byla bezpečnostní opatření koordinována podle potřeby s příslušnými orgány členských států, generálním sekretariátem Rady a Komisí a případně s třetími státy nebo mezinárodními organizacemi, pokud jde o všechny bezpečnostní otázky, které jsou relevantní pro činnosti ESVČ, včetně povahy rizik pro bezpečnostní zájmy ESVČ a ochranných prostředků proti těmto rizikům;

b)	byly od počátku veškeré činnosti ESVČ plně vzaty v úvahu bezpečnostní aspekty;

c)	byl přístup k utajovaným informacím umožněn pouze osobám, které splňují podmínky stanovené v článku 5 přílohy A;

byl zřízen registrační systém, který zajistí, aby s utajovanými informacemi se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším bylo nakládáno v souladu s tímto rozhodnutím jak v rámci ESVČ, tak při poskytování těchto informací členským státům EU, orgánům, institucím či subjektům EU nebo dalším oprávněným příjemcům. O všech utajovaných informacích EU, které ESVČ poskytla třetím státům nebo mezinárodním organizacím, a o všech utajovaných informacích, které získala od třetích států nebo mezinárodních organizací, se vedou zvláštní záznamy;

e)	byly prováděny bezpečnostní inspekce uvedené v článku 16;

f)	byly vyšetřovány jakékoli případy faktického nebo možného porušení bezpečnosti, ohrožení či ztráty utajovaných informací, jejichž držitelem nebo původcem je ESVČ, a aby byly příslušné bezpečnostní orgány požádány o spolupráci při tomto vyšetřování;

g)	byly v zájmu včasné a účinné reakce na bezpečnostní incidenty vytvořeny plány a mechanismy řízení incidentů a důsledků;

h)	byla za účelem souladu s tímto rozhodnutím přijata vhodná opatření pro případ selhání osob;

byla zavedena vhodná fyzická a organizační opatření na ochranu bezpečnostních zájmů ESVČ.

Bezpečnostní orgán ESVČ v tomto ohledu:

—	po konzultaci s Komisí určuje bezpečnostní kategorii delegací Unie,

—	po případné konzultaci s vysokou představitelkou rozhoduje, kdy mají být zaměstnanci delegace Unie z bezpečnostních důvodů evakuováni,

—	rozhoduje o opatřeních, která mají být případně uplatňována na ochranu závislých osob a s ohledem na ujednání s orgány EU podle čl. 3 odst. 3,

—	schvaluje politiku kryptografické komunikace, zejména program instalace kryptografických prostředků a mechanismů.

2. Bezpečnostnímu orgánu ESVČ jsou při plnění této úlohy nápomocni generální ředitel pro správu a finance, ředitel ESVČ odpovědný za bezpečnost a případně náměstek generálního tajemníka pro SBOP a reakce na krizi.

3. Generální tajemník jakožto bezpečnostní orgán ESVČ může v tomto ohledu úkoly případně delegovat.

4. Každý vedoucí oddělení/sekce je odpovědný za uplatňování pravidel ochrany utajovaných informací EU v rámci jeho oddělení/sekce.

Každý vedoucí oddělení/sekce, i když dále nese výše uvedenou odpovědnost, jmenuje zaměstnance do funkce bezpečnostního koordinátora oddělení, jehož zdroje jsou přiměřené objemu utajovaných informací EU, se kterými oddělení/sekce nakládá.

Bezpečnostní koordinátoři oddělení případně pomáhají svým vedoucím oddělení/sekce a podporují je při plnění úkolů souvisejících s bezpečností, jako je např.:

a)	rozvíjet další bezpečnostní požadavky odpovídající zvláštním potřebám oddělení/sekce;

b)	poskytovat pravidelná bezpečnostní školení členům svých oddělení/sekce;

c)	zajišťovat ve svých odděleních/sekcích dodržování zásady „vědět jen to nejnutnější“;

d)	spravovat aktualizovaný seznam bezpečnostních kódů a klíčů;

e)	udržovat bezpečnostní postupy a bezpečnostní opatření;

f)	hlásit veškerá narušení bezpečnosti a/nebo ohrožení utajovaných informací EU jak svému řediteli, tak bezpečnostnímu ředitelství;

g)	výstupní školení zaměstnanců, kteří ukončili pracovní poměr v ESVČ;

h)	podávat pravidelné zprávy nadřízeným ve věci bezpečnosti oddělení/sekce;

i)	kontaktovat příslušné ředitelství ESVČ ohledně bezpečnostních otázek.

Každá činnost nebo záležitost, která by mohla mít dopad na bezpečnost, se včas oznámí ředitelství ESVČ odpovědnému za bezpečnost.

5. Každý vedoucí delegace je odpovědný za provádění všech opatření souvisejících s bezpečností delegace Unie.

1. ESVČ má ředitelství odpovědné za bezpečnost. Toto ředitelství:

a)	řídí, koordinuje, kontroluje a/nebo provádí všechna bezpečnostní opatření ve všech prostorách, za které ESVČ odpovídá, na ústředí, v rámci EU a ve třetích státech;

b)	zajišťuje, aby byly veškeré činnosti, které mohou mít dopad na ochranu bezpečnostních zájmů ESVČ, soudržné a v souladu s tímto rozhodnutím;

c)	je hlavním poradcem vysoké představitelky, bezpečnostního orgánu ESVČ a náměstka generálního tajemníka ve všech záležitostech souvisejících s bezpečností;

d)	využívá pomoc příslušných útvarů členských států v souladu s čl. 10 odst. 3 rozhodnutí Rady 2010/427/EU o organizaci a fungování Evropské služby pro vnější činnost;

podporuje činnosti orgánu pro bezpečnostní akreditaci ESVČ prováděním hodnocení fyzické bezpečnosti obecného bezpečnostního prostředí / místního bezpečnostního prostředí komunikačních a informačních systémů, v nichž se nakládá s utajovanými informacemi EU, a prostor, které mají být schváleny pro nakládání s utajovanými informacemi EU a jejich ukládání.

2. Úkolem ředitele ESVČ odpovědného za bezpečnost je:

a)	zajištění celkové ochrany bezpečnostních zájmů ESVČ;

b)	navrhování, přezkum a aktualizace bezpečnostních pravidel, jakož i koordinace bezpečnostních opatření s příslušnými orgány členských států a případně příslušnými orgány třetích států a mezinárodními organizacemi, které s EU uzavřely bezpečnostní dohody a/nebo ujednání;

c)	podpora činností bezpečnostního výboru ESVČ podle čl. 15 odst. 1 tohoto rozhodnutí;

d)	případné navazování kontaktu s partnery nebo orgány jinými než uvedenými v písmenu b) výše ohledně bezpečnostních záležitostí;

e)	stanovování priorit a předkládání návrhů k řízení rozpočtu vyčleněného na bezpečnost v ústředí a v delegacích Unie.

3. Vedoucí ředitelství ESVČ odpovědného za bezpečnost:

a)	zajišťuje, aby byla narušení a ohrožení bezpečnosti zaznamenána a v případě potřeby zahájeno a provedeno vyšetřování;

b)	schází se pravidelně a kdykoliv je to nutné s ředitelem pro bezpečnost generálního sekretariátu Rady a s ředitelem ředitelství pro bezpečnost Evropské komise, aby projednali oblasti společného zájmu.

4. Ředitelství ESVČ odpovědné za bezpečnost navazuje kontakty a udržuje úzkou spolupráci:

—	s bezpečnostními odbory ministerstev zahraničních věcí členských států,

—

s národními bezpečnostními úřady (dále jen „NBÚ“) a/nebo jinými příslušnými bezpečnostními orgány členských států s cílem získat jejich pomoc, pokud jde o informace, jež potřebuje k posouzení rizik a hrozeb, jimž mohou být ESVČ, její zaměstnanci, její činnosti, majetek a zdroje a její utajované informace na obvyklém místě podnikání vystaveni,

—

s příslušnými bezpečnostními orgány členských států nebo hostitelských států, na jejichž území ESVČ vykonává svou činnost, v souvislosti s jakoukoli záležitostí, která se týká ochrany jejích zaměstnanců, její činnosti, jejího majetku, jejích zdrojů a utajovaných informací v době působení na jejich území,

—	s bezpečnostní kanceláří generálního sekretariátu Rady a bezpečnostním ředitelstvím Generálního ředitelství pro lidské zdroje a bezpečnost Komise a případně s bezpečnostními odděleními dalších orgánů, institucí či subjektů EU,

—	s bezpečnostními odděleními třetích států nebo mezinárodních organizací ohledně jakékoli užitečné koordinace a

—	s NBÚ členských států ohledně jakékoli záležitosti týkající se ochrany utajovaných informací EU.

1. Každý vedoucí delegace je odpovědný za místní provádění a řízení všech opatření souvisejících s ochranou bezpečnostních zájmů ESVČ v prostorách a v rámci pravomocí delegací Unie.

Po konzultaci s příslušnými orgány hostitelského státu přijme v případě potřeby veškerá rozumně proveditelná opatření, aby se zajistilo, že se budou uplatňovat vhodná fyzická a organizační opatření pro dosažení tohoto cíle.

Vedoucí delegace vypracuje případně s přihlédnutím ke správním ustanovením podle čl. 3 odst. 3 bezpečnostní postupy na ochranu závislých osob ve smyslu v čl. 2 písm. c). Vedoucí delegace podává zprávu vedoucímu ředitelství ESVČ odpovědného za bezpečnost o všech otázkách souvisejících s bezpečností, které spadají do jeho působnosti.

Při výkonu těchto úkolů je mu nápomocno ředitelství ESVČ odpovědné za bezpečnost, tým delegace Unie pro řízení bezpečnosti, který sestává ze zaměstnanců vykonávajících úkoly a funkce v oblasti bezpečnosti, a případně vyslaní bezpečnostní pracovníci.

Delegace Unie naváže pravidelné styky s diplomatickými misemi členských států a udržuje s nimi těsnou spolupráci.

2. Kromě toho vedoucí delegace plní tyto úkoly:

—	vypracovává podrobné bezpečnostní plány a plány delegací Unie pro nepředvídané události na základě obecných standardních provozních postupů,

—	provozuje účinný systém zvládání bezpečnostních incidentů a mimořádných událostí v rámci působnosti delegace Unie, který je v provozu 24 hodin denně 7 dní v týdnu,

—	zajišťuje, aby všichni zaměstnanci vyslaní do delegací Unie, měli pojištění odpovídající podmínkám v dané oblasti,

—	zajišťuje, aby byla bezpečnost součástí úvodních školení v delegacích Unie, která absolvují všichni zaměstnanci vyslaní k delegaci, bezprostředně po příjezdu do delegace Unie a

—	zajišťuje plnění veškerých doporučení vyplývajících z hodnocení bezpečnosti, a pravidelně bezpečnostnímu orgánu ESVČ předkládá písemné zprávy o jejich provádění a o dalších otázkách souvisejících z bezpečností.

3. Vedoucí delegace je odpovědný za zajištění řízení bezpečnosti, jakož i za odolnost organizace, může však pověřit plněním svých bezpečnostních úkolů bezpečnostního koordinátora delegace, přičemž koordinátor je zástupcem vedoucího delegace, nebo, pokud do této funkce nebyl nikdo jmenován, jinou vhodnou osobu.

Bezpečnostní koordinátor delegace může být pověřen především těmito úkoly:

—	koordinací bezpečnostních funkcí v rámci delegace Unie,

—	navazováním styků s příslušnými orgány hostitelského státu a příslušnými partnery na velvyslanectvích a diplomatických misích členských států, pokud jde o bezpečnostní záležitosti,

—	prováděním vhodných postupů řízení bezpečnosti týkajících se bezpečnostních zájmů ESVČ, včetně ochrany utajovaných informací EU,

—	zajišťováním souladu s bezpečnostními pravidly a instrukcemi,

—	informováním zaměstnanců o bezpečnostních pravidlech, která pro ně platí, a o konkrétních rizicích v hostitelském státě,

—	předkládáním žádostí týkajících se pozic, které vyžadují bezpečnostní prověrku personálu, ředitelství ESVČ odpovědnému za bezpečnost ní prověrky a

—	průběžným informováním vedoucího delegace, regionálního bezpečnostního úředníka a bezpečnostního ředitelství ESVČ o incidentech nebo o vývoji v oblasti, které mají vliv na ochranu bezpečnostních zájmů ESVČ.

4. Vedoucí delegace může pověřit plněním bezpečnostních úkolů správní nebo technické povahy vedoucího správy a další zaměstnance delegace Unie.

5. Delegaci Unie je nápomocen regionální bezpečnostní úředník. Regionální bezpečnostní úředníci plní v delegacích Unie v rámci příslušné zeměpisné oblasti, za kterou jsou zodpovědní, níže uvedené úkoly.

Za určitých okolností, pokud to vyžaduje převažující bezpečnostní situace, může být vyhrazený regionální bezpečnostní úředník na plný úvazek přidělen a přemístěn na konkrétní delegaci Unie.

Od regionálního bezpečnostního úředníka se může požadovat, aby se přemístil do oblasti mimo svou stávající oblast působnosti, včetně ústředí, nebo aby se podle příslušné bezpečnostní situace dokonce dlouhodobě přesunul do kterékoli země podle požadavků ředitelství ESVČ odpovědného za bezpečnost.

6. Regionální bezpečnostní úředníci působí pod přímou provozní kontrolou útvaru v rámci ústředí ESVČ pověřeného bezpečností v terénu, ale pod sdílenou administrativní kontrolou vedoucího delegace místa jejich zaměstnání a útvaru ústředí odpovědného za bezpečnost v terénu. Poskytují poradenství a jsou nápomoci vedoucímu delegace a zaměstnancům delegace Unie při přípravě a provádění všech fyzických, organizačních a procedurálních opatření týkajících se bezpečnosti delegace Unie.

7. Regionální bezpečnostní úředníci poskytují vedoucímu delegace a zaměstnancům delegace Unie poradenství a pomoc. Podle potřeby a zejména regionální bezpečnostní úředníci na plný úvazek by měli být delegaci Unie nápomoci při řízení a provádění bezpečnosti, včetně přípravy bezpečnostních smluv, řízení akreditací a prověrek.

Článek 14

Operace SBOP a zvláštní zástupci EU

Ředitelství ESVČ odpovědné za bezpečnost poskytuje poradenství řediteli ředitelství pro řešení krizí a krizové plánování (CMPD), generálnímu řediteli Vojenského štábu EU (EMUS), veliteli civilních operací v čele útvaru schopnosti civilního plánování a vedení (CPCC) a velitelům vojenských operací EU ohledně bezpečnostních aspektů operací SBOP a zvláštním zástupcům EU ohledně bezpečnostních aspektů jejich mandátu, čímž se doplňují zvláštní ustanovení, která v tomto ohledu Rada přijala v příslušných politikách.

Článek 15

Bezpečnostní výbor ESVČ

1. Zřizuje se Bezpečnostní výbor ESVČ.

Výboru předsedá bezpečnostní orgán ESVČ nebo osoba pověřená jeho zastupováním; schází se podle pokynů předsedy nebo na žádost některého ze svých členů. Ředitelství ESVČ pověřené bezpečností podporuje předsedu při výkonu jeho funkce a v případě potřeby poskytuje správní pomoc při činnostech výboru.

2. Bezpečnostní výbor ESVČ se skládá ze zástupců:

—	všech členských států,

—	bezpečnostní kanceláře generálního sekretariátu Rady,

—	bezpečnostního ředitelství Generálního ředitelství pro lidské zdroje a bezpečnost Komise.

Delegace členského státu při Bezpečnostním výboru ESVČ může být složena z členů:

—	NBÚ a/nebo určeného bezpečnostního orgánu,

—	bezpečnostního odboru ministerstev zahraničních věcí.

3. Zástupci ve výboru – pokud to považují za nutné – mohou být doprovázeni odborníky, kteří jim mohou poskytovat poradenství. Zástupci jiných orgánů, institucí či subjektů EU mohou být přizváni k účasti, pokud se projednávají otázky související s jejich bezpečností.

4. Aniž je dotčen odstavec 5 níže, Bezpečnostní výbor ESVČ v rámci konzultací podporuje ESVČ ve všech bezpečnostních záležitostech relevantních pro činnost ESVČ, ústředí a delegace Unie.

Aniž je dotčen odstavec 5 níže, Bezpečnostní výbor ESVČ zejména:

je konzultován s ohledem na:

—	bezpečnostní politiku, pokyny, koncepci nebo jiné metodické dokumenty související s bezpečností, zejména pokud jde o ochranu utajovaných informací a opatření, která mají být přijata v případě nedodržení bezpečnostních pravidel ze strany zaměstnanců ESVČ,

—	technické/odborné aspekty bezpečnosti, které by mohly ovlivnit rozhodnutí vysoké představitelky předložit Radě doporučení k zahájení jednání o dohodách o bezpečnosti informací uvedených v čl. 10 odst. 1 písm. a) přílohy A,

—	jakékoli změny tohoto rozhodnutí.

b)	aniž je dotčen čl. 3 odst. 3, může být případně konzultován ohledně otázek souvisejících s bezpečností zaměstnanců a majetku v ústředí ESVČ nebo v delegacích Unie, případně o nich může být informován;

c)	je informován o všech případech ohrožení či ztráty utajovaných informací EU, ke kterým došlo v rámci ESVČ.

5. Pro každou změnu pravidel souvisejících s ochranou utajovaných informací EU, která jsou obsažena v tomto rozhodnutí a jeho příloze A, se vyžaduje jednomyslné kladné stanovisko členských států zastoupených v Bezpečnostním výboru ESVČ. Toto jednomyslné kladné stanovisko se vyžaduje rovněž před:

—	zahájením jednání o správních ujednáních podle čl. 10 odst. 1 písm. b) přílohy A,

—	poskytnutím utajovaných informací za výjimečných okolností uvedených v odstavcích 9, 11 a 12 přílohy A VI,

—	převzetím odpovědnosti původce informací za okolností uvedených v poslední větě čl. 10 odst. 6 přílohy A.

Podmínka udělení jednomyslného kladného stanoviska se považuje za splněnou, pokud delegace členských států během zasedání výboru nevznesly žádné námitky.

6. Bezpečnostní výbor ESVČ v plném rozsahu zohlední bezpečnostní politiky a pokyny platné v Radě a Komisi.

7. Bezpečnostní výbor ESVČ obdrží seznam ročních inspekcí ESVČ a konečné inspekční zprávy.

8. Organizace zasedání:

—	Bezpečnostní výbor ESVČ se schází nejméně dvakrát ročně. Z podnětu předsedy nebo na žádost členů výboru mohou být svolána další zasedání buď v plném složení nebo v rámci NBÚ / určeného bezpečnostního orgánu nebo příslušného bezpečnostního odboru ministerstva zahraničních věcí.

—	Bezpečnostní výbor ESVČ organizuje svou činnost tak, aby mohl poskytovat doporučení týkající se určitých oblastí bezpečnosti. V případě potřeby může zřizovat další odborné podskupiny. Vypracuje statut pro tyto odborné podskupiny a ty mu následně předkládají zprávy o své činnosti.

—	Příprava témat k diskusi je úkolem ředitelství ESVČ odpovědného za bezpečnost. Na každé zasedání připraví předseda předběžný program zasedání. Členové výboru mohou navrhovat další body k diskusi.

Článek 16

Bezpečnostní inspekce

1. Bezpečnostní orgán ESVČ zajistí, aby byly na ústředí ESVČ a v delegacích Unie pravidelně prováděny bezpečnostní inspekce s cílem posoudit přiměřenost bezpečnostních opatření a ověřit jejich soulad s tímto rozhodnutím. Ředitelství ESVČ odpovědné za bezpečnost může případně jmenovat odborníky, kteří by se účastnili bezpečnostních inspekcí v agenturách a subjektech EU zřízených podle hlavy V kapitoly 2 Smlouvy o EU.

2. Bezpečnostní inspekce ESVČ se provádějí pod vedením ředitelství ESVČ odpovědného za bezpečnost a případně za podpory odborníků na bezpečnost z jiných orgánů EU nebo členských států, zejména v kontextu ujednání uvedených v čl. 3 odst. 3.

3. ESVČ může v případě nutnosti použít odborné poznatky členských států, generálního sekretariátu Rady a Komise.

Pokud je to nutné, mohou být příslušní odborníci na bezpečnost působící při misi členského státu ve třetím státě a/nebo zástupci diplomatických bezpečnostních oddělení členských států vyzváni k účasti na bezpečnostních inspekcích delegace Unie.

4. Ustanovení pro provádění tohoto článku, pokud jde o ochranu utajovaných informací EU, jsou obsažena v příloze A III.

Článek 17

Hodnotící návštěvy

Hodnotící návštěvy se provádějí za účelem zhodnocení účinnosti zavedených bezpečnostních opatření ve třetím státě nebo mezinárodní organizaci zajišťujících ochranu vyměňovaných utajovaných informací EU v rámci správního ujednání podle čl. 10 odst. 1 písm. b) přílohy A.

Ředitelství ESVČ odpovědné za bezpečnost může případně jmenovat odborníky, kteří by se účastnili hodnotících návštěv ve třetích státech nebo mezinárodních organizacích, se kterými EU uzavřela dohodu o bezpečnosti informací podle čl. 10 odst. 1 písm. a) přílohy A.

Článek 18

Plány zachování kontinuity provozu

V rámci obecného plánu zachování kontinuity provozu ESVČ je bezpečnostnímu orgánu ESVČ při řízení těch aspektů provozu ESVČ, které souvisejí s bezpečností, nápomocno ředitelství ESVČ odpovědné za bezpečnost.

Článek 19

Cestovní informace týkající se misí mimo EU

Ředitelství ESVČ odpovědné za bezpečnost zajistí, aby pro mise, které vykonávají zaměstnanci ESVČ mimo EU, byly k dispozici cestovní informace, a využívá přitom zdrojů všech příslušných útvarů ESVČ, zejména situačního střediska, střediska INTCEN, zeměpisných oddělení a delegací Unie.

Ředitelství ESVČ odpovědné za bezpečnost poskytne na vyžádání a při využití výše uvedených zdrojů zvláštní cestovní informace týkající se misí, které vykonávají zaměstnanci podřízení ESVČ ve třetích státech představujících vysoké nebo zvýšené riziko.

Článek 20

Ochrana zdraví a bezpečnost

Bezpečnostní pravidla ESVČ doplňují pravidla ESVČ pro ochranu zdraví a bezpečnost přijatá vysokou představitelkou.

Článek 21

Provedení a přezkum

1. Bezpečnostní orgán ESVČ případně po konzultaci s Bezpečnostním výborem ESVČ schválí bezpečnostní pokyny, kterými se stanoví opatření nezbytná k provádění těchto pravidel v ESVČ, a vybuduje nutné kapacity pokrývající všechny aspekty bezpečnosti v těsné spolupráci s příslušnými bezpečnostními orgány členských států a s podporou příslušných útvarů orgánů EU.

2. V souladu s čl. 4 odst. 5 rozhodnutí Rady 2010/427/EU ze dne 26. července 2010 o organizaci a fungování Evropské služby pro vnější činnost mohou být případně použita přechodná ustanovení ve formě dohod o rozsahu služeb s příslušnými útvary generálního sekretariátu Rady a Komise.

3. Vysoká představitelka zajistí celkovou soudržnost při uplatňování tohoto rozhodnutí a průběžně provádí přezkum těchto bezpečnostních pravidel.

4. Bezpečnostní pravidla ESVČ se musí provádět v těsné spolupráci s příslušnými bezpečnostními orgány členských států.

5. ESVČ zajistí zohlednění všech aspektů bezpečnostního postupu v rámci svého systému řešení krizí.

6. Provádění tohoto rozhodnutí zajišťuje generální tajemník jakožto bezpečnostní orgán a vedoucí ředitelství ESVČ odpovědného za bezpečnost.

Článek 22

Nahrazení předchozích rozhodnutí

Tímto rozhodnutím se zrušuje a nahrazuje rozhodnutí vysoké představitelky Unie pro zahraniční věci a bezpečnostní politiku ze dne 19. dubna 2013 o bezpečnostních pravidlech pro Evropskou službu pro vnější činnost (5).

Článek 23

Závěrečná ustanovení

Toto rozhodnutí vstupuje v platnost dnem podpisu.

Bude vyhlášeno v Úředním věstníku Evropské unie.

Příslušné orgány v ESVČ řádně a včas informují všechny zaměstnance, na něž se vztahuje toto rozhodnutí a jeho přílohy, o obsahu, vstupu v platnost a o všech jeho pozdějších změnách.

V Bruselu dne 19. září 2017.

Federica MOGHERINI

Vysoká představitelka Unie pro zahraniční věci a bezpečnostní politiku

(1) Úř. věst. L 201, 3.8.2010, s. 30.

(2) Úř. věst. C 304, 15.10.2011, s. 7.

(3) Služební řád úředníků Evropské unie a pracovní řád ostatních zaměstnanců Evropské unie stanovený nařízením Rady (EHS, Euratom, ESUO) č. 259/68 (Úř. věst. L 56, 4.3.1968, s. 1), dále jen „služební a pracovní řád“.

(4) Nařízení Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů (Úř. věst. L 8, 12.1.2001, s. 1).

(5) Úř. věst. C 190, 29.6.2013, s. 1.

PŘÍLOHA A

ZÁSADY A STANDARDY PRO OCHRANU UTAJOVANÝCH INFORMACÍ EU

Článek 1

Účel, oblast působnosti a definice

1. Tato příloha stanoví základní zásady a minimální bezpečnostní standardy pro ochranu utajovaných informací EU.

2. Tyto základní zásady a minimální standardy jsou použitelné pro ESVČ a zaměstnance podřízené ESVČ, jak je stanoveno v článku 1 a definováno v článku 2 tohoto rozhodnutí.

Článek 2

Definice utajovaných informací EU, stupně utajení a označení

1. „Utajovanými informacemi EU“ se rozumějí jakékoli informace nebo materiály označené stupněm utajení EU, jejichž neoprávněné vyzrazení by mohlo různou měrou poškodit zájmy Evropské unie nebo jednoho či více členských států.

2. Utajované informace EU jsou utajovány jedním z následujících stupňů utajení:

a) TRÈS SECRET UE / EU TOP SECRET: informace a materiály, jejichž neoprávněné vyzrazení by mohlo vést k mimořádně závažnému poškození podstatných zájmů Evropské unie nebo jednoho či více členských států;

b) SECRET UE / EU SECRET: informace a materiály, jejichž neoprávněné vyzrazení by mohlo závažně poškodit podstatné zájmy Evropské unie nebo jednoho či více členských států;

c) CONFIDENTIEL UE / EU CONFIDENTIAL: informace a materiály, jejichž neoprávněné vyzrazení by mohlo poškodit podstatné zájmy Evropské unie nebo jednoho či více členských států;

d) RESTREINT UE / EU RESTRICTED: informace a materiály, jejichž neoprávněné vyzrazení by mohlo být nevýhodné pro zájmy Evropské unie nebo jednoho či více členských států.

3. Utajované informace EU jsou označeny stupněm utajení podle odstavce 2. Mohou nést doplňující označení uvádějící oblast činnosti, k níž se vztahují, identifikující původce, omezující distribuci či použití nebo uvádějící informace o způsobilosti k předání.

Článek 3

Pravidla stanovování stupňů utajení

1. ESVČ zajistí odpovídající utajení utajovaných informací EU, jejich jasné označení jako utajované informace a zachování stupně utajení pouze po nezbytnou dobu.

2. Bez předchozího písemného souhlasu původce nelze snížit ani zrušit stupeň utajení utajovaných informací EU a ani nelze změnit či zrušit žádné z označení uvedených v čl. 2 odst. 3.

3. Bezpečnostní orgán ESVČ po konzultaci s Bezpečnostním výborem ESVČ podle čl. 15 odst. 5 tohoto rozhodnutí schválí bezpečnostní pokyny pro vytváření utajovaných informací EU, které zahrnují praktickou příručku pro stanovování stupňů utajení.

Článek 4

Ochrana utajovaných informací

1. Ochrana utajovaných informací EU se řídí tímto rozhodnutím.

2. Držitel jakékoli utajované informace EU je odpovědný za její ochranu v souladu s tímto rozhodnutím.

3. Pokud členské státy poskytnou do struktur či sítí ESVČ utajované informace označené vnitrostátním stupněm utajení, ESVČ tyto informace chrání v souladu s požadavky na ochranu utajovaných informací EU na odpovídající úrovni podle srovnávací tabulky stupňů utajení uvedené v dodatku B.

ESVČ zavede přiměřené postupy pro vedení přesných záznamů, pokud jde o původce

—	utajovaných informací poskytnutých ESVČ a

—	výchozího materiálu zahrnutého do utajovaných informací, jejichž původcem je ESVČ.

Bezpečnostní výbor ESVČ je o těchto postupech vyrozuměn.

4. Velké množství či kompilace utajovaných informací EU mohou být důvodem pro ochranu vyššímu stupněm utajení než je stupeň utajení jednotlivých částí.

Článek 5

Personální bezpečnost při nakládání s utajovanými informacemi EU

1. Personální bezpečností se rozumí uplatňování opatření, jež zajistí, že přístup k utajovaným informacím EU je umožněn pouze osobám, které:

—	utajované informace potřebují znát,

—	jsou pro přístup k utajovaným informacím se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším bezpečnostně prověřeny pro odpovídající stupeň utajení nebo jsou jinak řádně oprávněni z titulu své funkce v souladu s vnitrostátními právními předpisy a

—	byly poučeny o svých povinnostech.

2. Bezpečnostní prověrka slouží k tomu, aby určila, zda může být určitá osoba s přihlédnutím ke své loajalitě, důvěryhodnosti a spolehlivosti oprávněna k přístupu k utajovaným informacím EU.

3. Všechny osoby musí být před tím, než jim bude umožněn přístup k utajovaným informacím EU, a poté v pravidelných intervalech poučeny o svých povinnostech souvisejících s ochranou utajovaných informací EU v souladu s tímto rozhodnutím; uvedené osoby tuto skutečnost písemně potvrdí.

4. Prováděcí pravidla k tomuto článku jsou stanovena v příloze A I.

Článek 6

Fyzická bezpečnost utajovaných informací EU

1. Fyzickou bezpečností se rozumí uplatňování fyzických a technických ochranných opatření s cílem zabránit neoprávněnému přístupu k utajovaným informacím EU.

2. Opatření fyzické bezpečnosti mají znemožnit neoprávněný nebo násilný vstup útočníka, odradit od neoprávněných činností a takovým činnostem zabránit a odhalit je a umožnit rozlišování členů personálu, pokud jde o přístup k utajovaným informacím EU, v souladu se zásadou „vědět jen to nejnutnější“. Tato opatření se stanoví na základě procesu řízení rizik.

3. Opatření fyzické bezpečnosti je třeba zavést pro všechny areály, budovy, kanceláře, místnosti a další prostory, v nichž se nakládá s utajovanými informacemi EU nebo v nichž jsou takové informace ukládány, včetně prostor, v nichž jsou umístěny komunikační a informační systémy podle čl. 8 odst. 2 přílohy A.

4. Prostory, v nichž jsou ukládány utajované informace EU se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším, je třeba zřídit jako zabezpečené oblasti v souladu s přílohou A II a musí je schválit bezpečnostní orgán ESVČ.

5. Na ochranu utajovaných informací EU se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším se použijí pouze schválené prostředky nebo zařízení.

6. Prováděcí pravidla k tomuto článku jsou stanovena v příloze A II.

Článek 7

Správa utajovaných informací

1. Správou utajovaných informací se rozumí uplatňování administrativních opatření, která slouží ke kontrole utajovaných informací EU během celého jejich životního cyklu a která doplňují opatření stanovená v článcích 5, 6 a 8, a pomáhají tak zabránit úmyslnému či neúmyslnému ohrožení či ztrátě takových informací, zjistit takové ohrožení nebo ztrátu informací a následně zajistit nápravu. Tato opatření se týkají zejména vytváření, evidence, kopírování, překladů, přenášení, ukládání, zpracovávání a ničení utajovaných informací EU.

2. Informace stupně utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyššího je třeba po jejich obdržení a před jejich distribucí z bezpečnostních důvodů zaevidovat. Příslušné orgány ESVČ zřídí za tímto účelem systém registrů. Informace se stupněm utajení TRES SECRET UE / EU TOP SECRET musí být zaevidovány v určených registrech.

3. Útvary a prostory, v nichž se nakládá s utajovanými informacemi EU nebo v nichž jsou takové informace ukládány, podléhají pravidelné inspekci prováděné bezpečnostním orgánem ESVČ.

4. Mimo fyzicky chráněné oblasti se utajované informace EU mezi jednotlivými útvary a prostory přenášejí tímto způsobem:

a)	utajované informace EU se obecně přenášejí elektronicky při zajištění ochrany kryptografickými prostředky schválenými v souladu s čl. 7 odst. 5 tohoto rozhodnutí a v souladu s jasně definovanými bezpečnostními operačními postupy (SecOPs);

pokud přenos není uskutečňován způsobem uvedeným v písmenu a), přenášejí se utajované informace EU:

i)	na elektronických nosičích informací (jako například USB paměti, kompaktní disky, pevné disky), které jsou chráněny kryptografickými prostředky schválenými v souladu s čl. 8 odst. 5 tohoto rozhodnutí, nebo

ii)	ve všech ostatních případech podle pokynů stanovených bezpečnostním orgánem ESVČ v souladu s příslušnými ochrannými opatřeními stanovenými v příloze A III, oddíle V.

5. Prováděcí pravidla k tomuto článku jsou stanovena v příloze A III.

Článek 8

Ochrana utajovaných informací EU, s nimiž se nakládá v komunikačních a informačních systémech

1. Zabezpečení informací v oblasti komunikačních a informačních systémů představuje jistotu, že takové systémy ochrání informace, s nimiž nakládají a že budou fungovat správně, když jsou zapotřebí, pod dohledem oprávněných uživatelů. Účinné zabezpečení informací zajišťuje příslušnou míru důvěrnosti, integrity, dostupnosti, nepopiratelnosti a autenticity informací. Zabezpečení informací je založeno na procesu řízení rizik.

2. Komunikačním a informačním systémem se rozumí jakýkoli systém, který umožňuje nakládat s informacemi v elektronické podobě. Komunikační a informační systém zahrnuje všechna aktiva nezbytná k jeho fungování, včetně infrastruktury, organizace, personálu a informačních zdrojů. Tato příloha platí pro všechny komunikační a informační systémy ESVČ, které nakládají s utajovanými informacemi EU.

3. V komunikačních a informačních systémech se nakládá s utajovanými informacemi EU v souladu s koncepcí zabezpečení informací.

4. Veškeré komunikační a informační systémy, které nakládají s utajovanými informacemi EU, podléhají akreditačnímu řízení. Cílem akreditace je získat jistotu, že byla provedena veškerá vhodná bezpečnostní opatření a že byla dosažena dostatečná úroveň ochrany utajovaných informací EU a komunikačních a informačních systémů v souladu s tímto rozhodnutím. Rozhodnutí o akreditaci stanoví nejvyšší stupeň utajení informací, s nimiž lze v daném systému nakládat, a příslušné podmínky.

5. Komunikační a informační systémy nakládající s informacemi se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším jsou chráněny takovým způsobem, aby informace nemohly být ohroženy kompromitujícím elektromagnetickým vyzařováním („opatření TEMPEST“).

6. Pokud je ochrana utajovaných informací EU zajišťována kryptografickými prostředky, tyto prostředky se schvalují v souladu s čl. 8 odst. 5 tohoto rozhodnutí.

7. Během elektronického přenosu utajovaných informací EU se použijí schválené kryptografické prostředky. Bez ohledu na tento požadavek se za mimořádných okolností nebo v případě zvláštních technických konfigurací mohou použít zvláštní postupy, jak je uvedeno v příloze A IV.

8. Podle čl. 8 odst. 6 tohoto rozhodnutí se v nezbytném rozsahu zajišťuje výkon níže uvedených funkcí v oblasti zabezpečení informací:

a)	orgán pro zabezpečení informací;

b)	orgán TEMPEST;

c)	schvalovací orgán pro kryptografickou ochranu;

d)	orgán pro distribuci kryptografických materiálů.

9. Podle čl. 8 odst. 7 tohoto rozhodnutí se pro každý systém zřizuje:

a)	orgán pro bezpečnostní akreditaci;

b)	provozní orgán pro zabezpečení informací.

10. Prováděcí pravidla k tomuto článku jsou stanovena v příloze A IV.

Článek 9

Průmyslová bezpečnost

1. Průmyslovou bezpečností se rozumí uplatňování opatření k zajištění ochrany utajovaných informací EU ze strany dodavatelů nebo subdodavatelů během jednání před uzavřením utajovaných smluv a během celého životního cyklu utajovaných smluv. V zásadě tyto smlouvy nesmí umožnit přístup k informacím se stupněm utajení TRES SECRET UE / EU TOP SECRET.

2. ESVČ může na základě smlouvy pověřit plněním úkolů, které zahrnují nebo vyžadují přístup k utajovaným informacím EU nebo nakládání s nimi či jejich ukládání, průmyslové nebo jiné subjekty registrované v členském státě nebo ve třetím státě, který uzavřel dohodu nebo správní ujednání o bezpečnosti informací podle čl. 10 odst. 1 přílohy A.

3. ESVČ jakožto zadavatel zajistí, aby při zadávání zakázek na základě utajovaných smluv průmyslovým nebo jiným subjektům byly dodržovány minimální standardy průmyslové bezpečnosti, které jsou stanoveny tímto rozhodnutím a na něž dotyčná smlouva odkazuje. Zajistí dodržování těchto minimálních standardů prostřednictvím příslušného NBÚ / určeného bezpečnostního orgánu.

4. NBÚ, určený bezpečnostní orgán nebo kterýkoli jiný příslušný bezpečnostní orgán členského státu zajistí, aby dodavatelé a subdodavatelé registrovaní v daném členském státě a účastnící se zakázek na základě utajovaných smluv nebo utajovaných subdodavatelských smluv, které musí nakládat s informacemi se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo SECRET UE / EU SECRET a ukládat je ve svých prostorách, buď při plnění takových smluv, nebo před jejich uzavřením, byli držiteli osvědčení o bezpečnostní prověrce zařízení pro požadovaný stupeň utajení.

5. Pracovníkům dodavatele či subdodavatele, kteří pro plnění utajované smlouvy potřebují přístup k informacím se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo SECRET UE / EU SECRET, vydá příslušný NBÚ, určený bezpečnostní orgán nebo kterýkoli jiný příslušný bezpečnostní orgán osvědčení o bezpečnostní prověrce personálu v souladu s vnitrostátními právními předpisy a s minimálními standardy stanovenými v příloze A I.

6. Prováděcí pravidla k tomuto článku jsou stanovena v příloze A V.

Článek 10

Výměna utajovaných informací se třetími státy a mezinárodními organizacemi

1. ESVČ může vyměňovat utajované informace EU se třetími státy nebo mezinárodními organizacemi pouze tehdy, pokud:

a)	je v platnosti dohoda o bezpečnosti informací mezi EU a daným třetím státem nebo mezinárodní organizací uzavřená v souladu s článkem 37 SEU a článkem 218 SFEU, nebo

nabylo účinnosti správní ujednání uzavřené v souladu s postupem stanovených v čl. 15 odst. 5 tohoto rozhodnutí mezi vysokou představitelkou a příslušnými bezpečnostními orgány daného třetího státu nebo mezinárodní organizace o výměně utajovaných informací, jejichž stupeň utajení v zásadě není vyšší než RESTREINT UE / EU RESTRICTED, nebo

c)	platí rámcová nebo ad hoc dohoda o účasti mezi EU a daným třetím státem v rámci operací SBOP pro řešení krizí uzavřená v souladu s článkem 37 SEU a článkem 218 SFEU

a byly splněny podmínky stanovené v uvedeném nástroji.

Výjimky z výše uvedeného obecného pravidla jsou uvedeny v příloze A VI, oddíle V.

2. Správní ujednání podle odst. 1 písm. b) musí obsahovat ustanovení, která zaručí, že třetí státy nebo mezinárodní organizace, obdrží-li utajované informace EU, zajistí ochranu těchto informací odpovídající jejich stupni utajení a v souladu s minimálními standardy, které nejsou méně přísné než minimální standardy stanovené tímto rozhodnutím.

Informace vyměňované na základě dohod uvedených v odst. 1 písm. c) se omezují pouze na informace týkající se operací SBOP, na nichž se podílí příslušný třetí stát na základě těchto dohod a v souladu s jejich ustanoveními.

3. Pokud je mezi Unií a přispívajícím třetím státem nebo mezinárodní organizací následně uzavřena dohoda o bezpečnosti informací, nahradí tato dohoda o bezpečnosti informací v otázkách výměny utajovaných informací EU a nakládání s nimi ustanovení o výměně utajovaných informací stanovená v jakékoli rámcové dohodě o účasti, ad hoc dohodě o účasti nebo ad hoc správním ujednání.

4. Utajované informace EU vytvořené pro účely konkrétní operace SBOP mohou být zpřístupněny pracovníkům vyslaným v rámci dané operace třetími státy nebo mezinárodními organizacemi v souladu s body 1 až 3 a přílohou AVI. Při povolování přístupu těchto pracovníků k utajovaným informacím EU v prostorách nebo v komunikačních a informačních systémech dané operace SBOP je třeba uplatňovat opatření (včetně záznamů o zpřístupněných utajovaných informacích EU) ke zmírnění rizika ztráty nebo ohrožení těchto informací. Tato opatření se stanoví v příslušných plánovacích dokumentech nebo v dokumentech mise.

5. Za účelem zhodnocení účinnosti zavedených bezpečnostních opatření ve třetím státě nebo mezinárodní organizaci zajišťujících ochranu vyměňovaných utajovaných informací EU se provádějí hodnotící návštěvy podle článku 17 tohoto rozhodnutí.

6. Rozhodnutí o poskytnutí utajovaných informací EU v držení ESVČ třetímu státu nebo mezinárodní organizaci se přijímá případ od případu s ohledem na povahu a obsah těchto informací, na zásadu „vědět jen to nejnutnější“ a na míru prospěchu pro EU.

ESVČ získá písemný souhlas každého subjektu, který poskytl utajované informace jako výchozí materiál pro utajované informace EU, jichž je ESVČ původcem, aby se ujistila, že proti jejich poskytnutí nejsou námitky.

Není-li ESVČ původcem utajovaných informací, které mají být poskytnuty, ESVČ nejdříve získá pro poskytnutí informací písemný souhlas původce.

Nemůže-li ESVČ původce zjistit, převezme jeho odpovědnost bezpečnostní orgán ESVČ poté, co získal jednomyslné kladné stanovisko členských států zastoupených v Bezpečnostním výboru ESVČ.

7. Prováděcí pravidla k tomuto článku jsou stanovena v příloze A VI.

Článek 11

Narušení bezpečnosti a ohrožení utajovaných informací

1. Jakékoli narušení bezpečnosti nebo podezření na něj a jakékoli ohrožení utajovaných informací nebo podezření z něj se neprodleně oznámí ředitelství ESVČ odpovědnému za bezpečnost, které náležitým způsobem informuje dotčený(é) členský(é) stát(y) nebo jakýkoliv jiný dotčený subjekt.

2. Je-li známo nebo existují-li oprávněné důvody se domnívat, že došlo k ohrožení či ztrátě utajovaných informací, ředitelství ESVČ odpovědné za bezpečnost informuje NBÚ příslušného členského státu (příslušných členských států) a přijme v souladu s příslušnými právními předpisy veškerá vhodná opatření s cílem:

a)	zajistit důkazy;

b)	zajistit, aby za účelem zjištění faktů byla událost vyšetřena pracovníky, kteří nejsou za dané narušení nebo ohrožení bezpečnosti bezprostředně odpovědni;

c)	neprodleně informovat původce nebo jakýkoliv jiný dotčený subjekt;

d)	přijmout vhodná opatření, která zabrání opakování události;

e)	posoudit možnou škodu z hlediska zájmů EU nebo členských států a

f)	oznámit důsledky skutečného nebo domnělého ohrožení a přijatá opatření příslušným orgánům.

3. Vůči kterémukoli zaměstnanci podřízenému ESVČ, jenž je odpovědný za porušení bezpečnostních pravidel stanovených tímto rozhodnutím, mohou být přijata disciplinární opatření v souladu s příslušnými pravidly a předpisy.

Vůči kterékoli osobě, která je odpovědná za ohrožení či ztrátu utajovaných informací, se přijmou disciplinární opatření nebo právní kroky v souladu s příslušnými právními předpisy.

4. Během vyšetřování narušení bezpečnosti nebo ohrožení utajovaných informací může vedoucí ředitelství ESVČ odpovědného za bezpečnost pozastavit příslušné osobě přístup k utajovaným informacím EU a do prostor ESVČ. Bezpečnostní ředitelství Generálního ředitelství pro lidské zdroje a bezpečnost Komise a bezpečnostní kancelář generálního sekretariátu Rady, NBÚ příslušného členského státu nebo jiné dotčené subjekty jsou o tomto rozhodnutí neprodleně informovány.

PŘÍLOHA A I

PERSONÁLNÍ BEZPEČNOST

I. ÚVOD

Tato příloha stanoví prováděcí pravidla k článku 5 přílohy A. Stanoví zejména kritéria, na jejichž základě ESVČ určí, zda určitá osoba může s přihlédnutím ke své loajalitě, důvěryhodnosti a spolehlivosti získat oprávnění k přístupu k utajovaným informacím EU, a postupy šetření a správní postupy, jež je třeba za tímto účelem dodržovat.

„Bezpečnostní prověrka personálu“ pro přístup k utajovaným informacím EU je prohlášením příslušného orgánu členského státu, které je vydáno po skončení bezpečnostního řízení vedeného příslušnými orgány členského státu a kterým se osvědčuje, že určité osobě může být za podmínky, že byla zjištěna potřeba této osoby znát utajované informace, umožněn přístup k utajovaným informacím EU až do konkrétního stupně utajení (CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyššího) a do konkrétního data; osoba odpovídající tomuto popisu se označuje za „osobu s bezpečnostní prověrkou“.

„Osvědčením o bezpečnostní prověrce personálu“ se rozumí osvědčení vydané bezpečnostním orgánem ESVČ, v němž se uvede, že určitá osoba prošla bezpečnostní prověrkou, a z něhož je zřejmý stupeň utajení utajovaných informací EU, k nimž může mít tato osoba přístup, datum platnosti příslušné bezpečnostní prověrky personálu a den skončení platnosti samotného osvědčení.

„Oprávnění k přístupu k utajovaným informacím EU“ je oprávnění bezpečnostního orgánu ESVČ, které je udělováno příslušnými orgány členského státu v souladu s tímto rozhodnutím po vydání osvědčení o bezpečnostní prověrce personálu a kterým se osvědčuje, že určité osobě může být za podmínky, že byla zjištěna potřeba této osoby znát utajované informace, umožněn přístup k utajovaným informacím EU až do konkrétního stupně utajení (CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyššího) a do konkrétního data; osoba odpovídající tomuto popisu se označuje za „osobu s bezpečnostní prověrkou“.

II. OPRÁVNĚNÍ K PŘÍSTUPU K UTAJOVANÝM INFORMACÍM EU

Přístup k informacím se stupněm utajení RESTREINT UE / EU RESTRICTED nevyžaduje bezpečnostní prověrku a je umožněn poté, co:

a)	bylo zjištěno, že příslušná osoba má statutární nebo smluvní vztah k ESVČ;

b)	byla zjištěna potřeba této osoby znát utajované informace;

c)	tato osoba byla poučena o bezpečnostních pravidlech a postupech na ochranu utajovaných informací EU a písemně vzala na vědomí své povinnosti ohledně ochrany těchto informací v souladu s tímto rozhodnutím.

Určitou osobu lze oprávnit k přístupu k utajovaným informacím se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším pouze v případě, že:

a)	bylo zjištěno, že příslušná osoba má statutární nebo smluvní vztah k ESVČ;

b)	byla zjištěna potřeba této osoby znát utajované informace;

c)	je tato osoba držitelem osvědčení o bezpečnostní prověrce personálu pro odpovídající stupeň utajení nebo je jinak řádně oprávněna z titulu své funkce v souladu s vnitrostátními právními předpisy; a

d)	tato osoba byla poučena o bezpečnostních pravidlech a postupech na ochranu utajovaných informací EU a písemně vzala na vědomí své povinnosti ohledně ochrany těchto informací.

ESVČ určí ve svých strukturách pracovní místa, která vyžadují přístup k informacím se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším, a tedy i bezpečnostní prověrku personálu pro odpovídající stupeň utajení podle bodu 4 výše.

Zaměstnanci ESVČ uvedou, zda mají státní občanství více než jedné země.

Postupy pro udělení bezpečnostní prověrky personálu v ESVČ

V případě zaměstnanců ESVČ předá orgán ESVČ vyplněný bezpečnostní dotazník personálu NBÚ členského státu, jehož je dotyčná osoba státním příslušníkem, a požádá o provedení bezpečnostního řízení pro stupeň utajení utajovaných informací EU, k nimž bude dotyčná osoba potřebovat přístup.

10.

Pokud je osoba občanem více než jedné země, žádá se o prověrku NBÚ země, pod jejíž státní příslušností byla osoba zaměstnána.

11.

Pokud ESVČ zjistí v souvislosti s osobou, která požádala o vydání osvědčení o bezpečnostní prověrce, informace významné pro bezpečnostní řízení, oznámí tuto skutečnost postupem podle příslušných pravidel a předpisů příslušnému NBÚ.

12.

Příslušný NBÚ informuje po skončení bezpečnostního řízení ředitelství ESVČ odpovědné za bezpečnost o výsledku řízení.

V případech, kdy bezpečnostní řízení dojde k závěru, že nejsou známy žádné negativní skutečnosti, které by zpochybnily loajalitu, důvěryhodnost a spolehlivost dané osoby, může jí bezpečnostní orgán ESVČ vydat osvědčení o přístupu k utajovaným informacím EU až do odpovídajícího stupně utajení a do konkrétně stanoveného data;

b)	ESVČ přijme veškerá vhodná opatření k zajištění toho, aby byly řádně plněny podmínky nebo omezení uložené NBÚ. NBÚ je o výsledku informován;

Pokud nelze v rámci bezpečnostního řízení dojít k závěru, že nejsou známy tyto negativní skutečnosti, bezpečnostní orgán ESVČ uvědomí dotyčnou osobu, která může tento orgán požádat o slyšení. Bezpečnostní orgán ESVČ může požádat příslušný NBÚ, aby v souladu s vnitrostátními právními předpisy poskytl veškerá další možná upřesnění. Je-li výsledek potvrzen, osvědčení o přístupu k utajovaným informacím EU se nevydá. V takovém případě ESVČ přijme veškerá vhodná opatření k zajištění toho, aby byl žadateli zakázán jakýkoliv přístup k utajovaným informacím EU.

13.

Bezpečnostní řízení spolu se získanými výsledky, o něž se ESVČ opírá při svém rozhodování o tom, zda udělit osvědčení o přístupu k utajovaným informacím EU či nikoli, podléhají příslušným právním předpisům platným v daném členském státě, včetně předpisů týkajících se opravných prostředků. Rozhodnutí bezpečnostního orgánu ESVČ podléhají opravným prostředkům v souladu se služebním řádem.

14.

Závěry, z nichž vychází dané osvědčení o bezpečnostní prověrce, za předpokladu, že jsou i nadále platné, se vztahují na veškeré úkoly přidělené dotyčné osobě v rámci ESVČ, generálního sekretariátu Rady nebo Komise.

15.

ESVČ uzná osvědčení pro přístup k utajovaným informacím EU udělené jakýmkoli jiným orgánem, institucí nebo jiným subjektem Unie, za předpokladu, že je toto osvědčení i nadále platné. Osvědčení se vztahují na veškeré úkoly přidělené dotyčné osobě v rámci ESVČ. Orgán, instituce nebo agentura Evropské unie, kde dotyčná osoba nastupuje k výkonu zaměstnání, vyrozumí o změně zaměstnavatele příslušný NBÚ.

16.

Nenastoupí-li dotyčná osoba do služby do 12 měsíců od oznámení výsledku bezpečnostního řízení bezpečnostního orgánu ESVČ nebo dojde-li k přerušení služby dotyčné osoby v délce 12 měsíců nebo déle, během nichž není tato osoba zaměstnána v ESVČ, v jiném orgánu, instituci či subjektu EU nebo na pracovním místě ve státní správě některého členského státu, které vyžaduje přístup k utajovaným informacím, oznámí se tato skutečnost příslušnému NBÚ za účelem potvrzení, že výsledek bezpečnostního šetření je i nadále platný a aktuální.

17.

Pokud ESVČ zjistí informace týkající se bezpečnostního rizika, jež představuje osoba, která je držitelem platného osvědčení o bezpečnostní prověrce personálu EU, oznámí tuto skutečnost postupem podle příslušných pravidel a předpisů příslušnému NBÚ, přičemž může přístup k utajovaným informacím EU pozastavit nebo osvědčení k přístupu k utajovaným informacím EU zrušit. Pokud NBÚ informuje ESVČ o tom, že již nejsou platné závěry podle bodu 12 písm. a) v případě osoby, která je držitelem platného osvědčení o přístupu k utajovaným informacím EU, může bezpečnostní orgán ESVČ požádat NBÚ, aby v souladu s vnitrostátními právními předpisy poskytl veškerá další možná upřesnění. Pokud se negativní skutečnosti potvrdí, zruší se výše uvedené osvědčení a dané osobě se zamezí v přístupu k utajovaným informacím EU a daná osoba je odvolána z pracovních míst, u nichž je přístup k utajovaným informacím EU možný nebo v jejichž rámci by mohla ohrožovat bezpečnost.

18.

Jakékoli rozhodnutí o zrušení osvědčení o přístupu k utajovaným informacím EU v případě zaměstnance ESVČ a případné odůvodnění se oznámí dotyčné osobě, která může požádat o slyšení bezpečnostní orgán ESVČ. Informace poskytované NBÚ podléhají příslušným právním předpisům platným v daném členském státě, včetně předpisů týkajících se opravných prostředků. Rozhodnutí bezpečnostního orgánu ESVČ podléhají opravným prostředkům v souladu se služebním řádem.

19.

Národní odborníci vyslaní k ESVČ na pracovní místa vyžadující přístup k utajovaným informacím se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším, předloží bezpečnostnímu orgánu ESVČ před nástupem do služby platné osvědčení o bezpečnostní prověrce personálu pro přístup k utajovaným informacím EU. Výše uvedený proces řídí vysílající členský stát.

Záznamy o osvědčeních o bezpečnostní prověrce personálu

20.

ESVČ vede databázi, v níž je zachycen status bezpečnostních prověrek všech zaměstnanců podřízených ESVČ, včetně jejích smluvních zaměstnanců. Tyto záznamy obsahují informace o stupni utajení utajovaných informací EU, k nimž může být dotčené osobě umožněn přístup (stupeň utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšší) a o datu vydání a době platnosti osvědčení o bezpečnostní prověrce personálu.

21.

Budou zavedeny vhodné postupy koordinace s členskými státy a dalšími orgány, institucemi či subjekty EU, aby se zajistilo, že ESVČ povede přesné a úplné záznamy o statusu bezpečnostních prověrek všech zaměstnanců podřízených ESVČ, včetně jejích smluvních zaměstnanců.

22.

Bezpečnostní orgán ESVČ může vydat osvědčení o bezpečnostní prověrce personálu, v němž uvede stupeň utajení utajovaných informací EU, k nimž může mít tato osoba přístup (stupeň utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšší), datum platnosti příslušné bezpečnostní prověrky personálu nebo povolení a den skončení platnosti samotného osvědčení.

Výjimky z požadavku na osvědčení o bezpečnostní prověrce personálu

23.

Osoby, které jsou k přístupu k utajovaným informacím EU řádně oprávněny z titulu své funkce v souladu s vnitrostátními právními předpisy, jsou ředitelstvím ESVČ odpovědným za bezpečnost odpovídajícím způsobem poučeny o svých bezpečnostních povinnostech ohledně ochrany utajovaných informací EU.

III. VZDĚLÁVÁNÍ A OSVĚTA V OBLASTI BEZPEČNOSTI

24.

Všechny osoby před získáním oprávnění k přístupu k utajovaným informacím EU písemně potvrdí, že chápou své povinnosti, pokud jde o ochranu utajovaných informací EU, a jsou si vědomy důsledků v případě ohrožení utajovaných informací EU. ESVČ vede záznamy o těchto písemných potvrzeních.

25.

Všechny osoby, které jsou oprávněny k přístupu k utajovaným informacím EU nebo po nichž se vyžaduje, aby s nimi nakládaly, jsou nejprve poučeny a poté pravidelně informovány o možném ohrožení bezpečnosti a musí neprodleně informovat příslušné bezpečnostní orgány o jakémkoli pokusu o kontakt nebo o činnosti, které považují za podezřelé nebo neobvyklé.

26.

Všechny osoby, kterým je umožněn přístup k utajovaným informacím EU, musí po dobu, kdy nakládají s utajovanými informacemi EU, podléhat platným opatřením personální bezpečnosti (tj. následné péči). Odpovědnost za personální bezpečnost nesou průběžně:

osoby, kterým je umožněn přístup k utajovaným informacím EU: tyto osoby jsou osobně odpovědné za své chování v oblasti bezpečnosti a musí neprodleně informovat příslušné bezpečnostní orgány o jakémkoli pokusu o kontakt nebo o činnosti, které považují za podezřelé nebo neobvyklé, a o jakékoli změně jejich osobní situace, která by mohla mít dopad na jejich osvědčení o bezpečnostní prověrce nebo povolení k přístupu k utajovaným informacím EU;

nadřízení pracovníci: jsou odpovědní za zajištění toho, aby jejich zaměstnanci znali bezpečností opatření a povinnosti související s ochranou utajovaných informací EU, za sledování chování svých zaměstnanců v oblasti bezpečnosti a za samostatné řešení problematických bezpečnostních otázek nebo informování příslušných bezpečnostních orgánů o jakékoli negativní skutečnosti, která by mohla mít dopad na osvědčení o bezpečnostní prověrce jejich zaměstnanců či povolení k přístupu těchto zaměstnanců k utajovaným informacím EU;

aktéři v oblasti bezpečnosti v rámci bezpečnostní organizace ESVČ ve smyslu článku 12 tohoto rozhodnutí: jsou odpovědní za provádění bezpečnostních školení s cílem zajistit, aby byli zaměstnanci v jejich oblasti pravidelně informováni, za podporu spolehlivé kultury bezpečnosti v rámci jejich působnosti, za zavedení opatření ke sledování chování zaměstnanců v oblasti bezpečnosti a za informování příslušných bezpečnostních orgánů o jakékoli negativní skutečnosti, která by mohla mít dopad na osvědčení o bezpečnostní prověrce jakékoli osoby;

d)	ESVČ a členské státy: zřídí nezbytné prostředky pro sdělování informací, které mohou mít dopad na bezpečnostní prověrku jakékoli osoby nebo jejího povolení k přístupu k utajovaným informacím EU.

27.

Všechny osoby, které přestanou vykonávat pracovní povinnosti vyžadující přístup k utajovaným informacím EU, musí být poučeny o své povinnosti utajované informace EU i nadále chránit a případně tuto skutečnost písemně potvrdit.

IV. VÝJIMEČNÉ OKOLNOSTI

28.

Z naléhavých důvodů, pokud to vyžadují zájmy ESVČ a není-li skončeno bezpečnostní řízení v plném rozsahu, může bezpečnostní orgán ESVČ, po konzultaci NBÚ členského státu, jehož je daná osoba státním příslušníkem, a pod podmínkou, že předběžné šetření potvrdí, že nejsou známy žádné negativní skutečnosti, vydat dočasné oprávnění úředníkům a ostatním zaměstnancům ESVČ k přístupu k utajovaným informacím EU pro konkrétní úkoly. Bezpečnostní řízení v plném rozsahu by mělo být skončeno co nejdříve. Dočasná oprávnění budou platná nejdéle po dobu šesti měsíců a neumožňují přístup k informacím se stupněm utajení TRES SECRET UE / EU TOP SECRET. Všechny osoby, kterým bylo vydáno dočasné oprávnění, písemně potvrdí, že rozumí tomu, jaké mají povinnosti, pokud jde o ochranu utajovaných informací EU, a jsou si vědomy důsledků v případě ohrožení utajovaných informací EU. ESVČ vede záznamy o těchto písemných potvrzeních.

29.

Má-li být určitá osoba zařazena na pracovní místo, které vyžaduje osvědčení o bezpečnostní prověrce personálu pro přístup k utajovaným informacím o jeden stupeň utajení vyšší, než je stupeň, pro nějž bylo této osobě vydáno současné osvědčení o bezpečnostní prověrce personálu, lze tuto osobu prozatímně zařadit na toto místo za těchto podmínek:

a)	nadřízený dotyčné osoby písemně odůvodní naléhavou potřebu přístupu k utajovaným informacím EU s vyšším stupněm utajení;

b)	přístup je omezen na konkrétní utajované informace EU nezbytné pro plnění úkolů v rámci daného pracovního místa;

c)	dotyčná osoba je držitelem platného osvědčení o bezpečnostní prověrce;

d)	byly zahájeny kroky k získání oprávnění k přístupu k informacím se stupněm utajení, který vyžaduje dané pracovní místo;

e)	příslušný orgán s uspokojivým výsledkem prověřil, že dotyčná osoba neporušila závažným nebo opakovaným způsobem bezpečnostní předpisy;

f)	zařazení dotyčné osoby schválí příslušný orgán ESVČ;

g)	byl konzultován příslušný NBÚ / určený bezpečnostní orgán a nebyly vzneseny námitky a

h)	v příslušném registru nebo podřízeném registru jsou vedeny záznamy o udělených výjimkách, včetně popisu informací, pro něž byl přístup schválen.

30.

Výše uvedený postup se použije pro jednorázový přístup k utajovaným informacím EU se stupněm utajení o jeden stupeň vyšším, než je stupeň, pro který byla dotyčná osoba bezpečnostně prověřena. Tento postup nelze použít opakovaně.

31.

Za velmi výjimečných okolností, jako například během plnění úkolů v nepřátelském prostředí nebo v obdobích stoupajícího mezinárodního napětí, kdy to vyžadují mimořádná opatření, zejména pro záchranu životů, mohou vysoká představitelka, bezpečnostní orgán ESVČ nebo výkonný ředitel, je-li to možné, písemně povolit přístup k informacím se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo SECRET UE / EU SECRET osobám, které nejsou držiteli potřebného osvědčení o bezpečnostní prověrce personálu, pokud je takové povolení bezpodmínečně nutné. O povolení včetně popisu informací, k nimž byl přístup povolen, musí být veden záznam.

32.

V případě informací se stupněm utajení TRÈS SECRET UE / EU TOP SECRET je přístup v mimořádných situacích omezen na státní příslušníky EU, jimž byl povolen přístup k informacím se stupněm utajení rovnocenným na vnitrostátní úrovni stupni utajení TRÈS SECRET UE / EU TOP SECRET nebo k informacím se stupněm utajení SECRET UE / EU SECRET.

33.

O případech, kdy byl použit postup stanovený v bodech 31 a 32, je informován Bezpečnostní výbor ESVČ.

34.

Bezpečnostní výbor ESVČ obdrží výroční zprávu o použití postupů uvedených v tomto oddíle.

V. ÚČAST NA ZASEDÁNÍCH V ÚSTŘEDÍ ESVČ A DELEGACÍCH UNIE

35.

Osoby, které se mají účastnit zasedání v ústředí ESVČ a delegacích Unie, v nichž se projednávají informace se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším, tak mohou činit pouze po potvrzení statusu svého osvědčení o bezpečnostní prověrce personálu. Pokud jde o zástupce členských států a úředníky generálního sekretariátu Rady a Komise, příslušné orgány doručí ředitelství ESVČ odpovědnému za bezpečnost či bezpečnostnímu koordinátorovi delegace Unie osvědčení o bezpečnostní prověrce personálu nebo jiný doklad o bezpečnostní prověrce personálu, nebo jej ve výjimečných případech předloží dotyčná osoba. V náležitých případech lze použít společný jmenný seznam, v němž jsou uvedeny příslušné informace o osvědčeních o bezpečnostní prověrce personálu.

36.

Pokud je odejmuto osvědčení o bezpečnostní prověrce personálu pro přístup k utajovaným informacím EU v případě osoby, jejíž povinnosti vyžadují účast na zasedáních v ústředí ESVČ nebo delegacích Unie, na nichž se projednávají utajované informace se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším, příslušný orgán to oznámí ESVČ.

VI. POTENCIÁLNÍ PŘÍSTUP K UTAJOVANÝM INFORMACÍM EU

37.

Pokud mají být zaměstnány osoby za situace, v níž by mohly mít případně přístup k informacím se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším, musí být náležitě bezpečnostně prověřeny, nebo je třeba pro ně zajistit nepřetržitě doprovod.

38.

Kurýři a členové ostrahy a doprovodu musí být bezpečnostně prověřeni pro odpovídající stupeň utajení nebo musí být jinak vhodně prověřeni v souladu s vnitrostátními právními předpisy, v pravidelných intervalech poučováni o bezpečnostních postupech pro ochranu utajovaných informací EU a seznamováni se svými povinnostmi chránit jim svěřené nebo neúmyslně zpřístupněné utajované informace.

PŘÍLOHA A II

FYZICKÁ BEZPEČNOST UTAJOVANÝCH INFORMACÍ EU

I. ÚVOD

Tato příloha obsahuje ustanovení pro provádění článku 6 přílohy A. Stanoví minimální požadavky na fyzickou ochranu areálů, budov, kanceláří, místností a dalších prostor, v nichž se nakládá s utajovanými informacemi EU a v nichž jsou takové informace ukládány, včetně prostor, v nichž jsou umístěny komunikační a informační systémy.

Opatření fyzické bezpečnosti mají předejít neoprávněnému přístupu k utajovaným informacím EU tím, že:

a)	zajišťují, aby s utajovanými informacemi bylo nakládáno a aby byly ukládány vhodným způsobem;

b)	umožňují rozdělení členů personálu, pokud jde o přístup k utajovaným informacím EU, na základě jejich potřeby znát utajované informace a případně i na základě jejich bezpečnostní prověrky;

c)	odrazují od neoprávněné činnosti a takové činnosti zabraňují a odhalují ji; a

d)	znemožňují nebo zpomalují nepovolený nebo násilný vstup útočníků.

II. POŽADAVKY NA FYZICKOU BEZPEČNOST A OPATŘENÍ FYZICKÉ BEZPEČNOSTI

ESVČ uplatňuje ve svých prostorách proces řízení rizik na ochranu utajovaných informací EU, aby se poskytla přiměřená úroveň fyzické ochrany vůči vyhodnocenému riziku. V procesu řízení rizik se vezmou v úvahu veškeré důležité okolnosti, zejména:

a)	stupeň utajení utajovaných informací EU;

b)	podoba a objem dotčených utajovaných informací EU, přičemž je třeba brát v úvahu, že velké množství nebo kompilace utajovaných informací EU může vyžadovat použití přísnějších ochranných opatření;

c)	okolní prostředí a uspořádání budov nebo prostor, v nichž jsou utajované informace EU ukládány;

d)	posouzení hrozeb ve třetích zemích provedené střediskem INTCEN zejména na základě zpráv delegací Unie a

e)	vyhodnocené hrozby ze strany zpravodajských služeb zaměřených na EU nebo na členské státy a hrozba sabotáže a teroristických, podvratných nebo jiných trestných činností.

Bezpečnostní orgán ESVČ určí v souladu s koncepcí hloubkové ochrany vhodnou kombinaci opatření fyzické bezpečnosti, jež je třeba uplatňovat. Zahrnují jedno nebo více z těchto opatření:

a)	obvodová bariéra: fyzická překážka, které chrání hranici prostoru, jenž vyžaduje ochranu;

b)	systémy detekce narušení: systém detekce narušení může být používán ke zvýšení úrovně bezpečnosti, kterou poskytuje obvodová bariéra, nebo v místnostech a budovách místo bezpečnostního personálu nebo jako podpůrný prostředek bezpečnostního personálu;

kontrola vstupu: kontrola vstupu se může týkat určitého areálu, budovy nebo budov v daném areálu nebo prostor či místností uvnitř budovy. Kontrola může být prováděna elektronickými či elektromechanickými prostředky bezpečnostním personálem nebo pracovníkem recepce nebo jakýmikoli jinými fyzickými prostředky;

d)	bezpečnostní personál: vyškolený a kontrolovaný bezpečnostní personál, který je podle potřeby náležitě bezpečnostně prověřen, může být využit mimo jiné s cílem odradit osoby plánující tajné vniknutí;

e)	uzavřený televizní okruh (CCTV): uzavřený televizní okruh může být používán bezpečnostním personálem za účelem ověřování incidentů a signalizace systémů detekce narušení v případě rozsáhlých areálů nebo po obvodu určitého prostoru;

f)	bezpečnostní osvětlení: bezpečnostní osvětlení může být používáno s cílem odradit případného útočníka a zajistit osvětlení potřebné pro účinnou ostrahu přímo ze strany bezpečnostního personálu nebo nepřímo prostřednictvím uzavřeného televizního okruhu; a

g)	jakákoli jiná vhodná fyzická opatření, která mají zabránit neoprávněnému přístupu či takový přístup odhalit nebo předejít ztrátě či poškození utajovaných informací EU.

Ředitelství ESVČ odpovědné za bezpečnost může provádět prohlídky při vstupu a odchodu, které mají odradit od nedovoleného vnášení materiálů nebo neoprávněného vynášení utajovaných informací EU z areálů nebo budov.

Hrozí-li nebezpečí, že by utajované informace EU mohly být, i neúmyslně, odezírány, přijmou se vhodná opatření, kterými se tomuto riziku zamezí.

U nových zařízení se požadavky na fyzickou bezpečnost a jejich funkční specifikace stanoví jako součást plánování a konstrukce zařízení. U stávajících zařízení se požadavky na fyzickou bezpečnost uplatňují v nejvyšší možné míře.

III. PROSTŘEDKY FYZICKÉ OCHRANY UTAJOVANÝCH INFORMACÍ EU

Při pořizování prostředků fyzické ochrany utajovaných informací EU (například bezpečnostních úschovných objektů, skartovacích přístrojů, dveřních zámků, elektronických systémů kontroly vstupu, systémů detekce narušení, poplašných systémů) zajistí bezpečnostní orgán ESVČ, aby tyto prostředky splňovaly schválené technické standardy a minimální požadavky.

Technické specifikace prostředků používaných pro fyzickou ochranu utajovaných informací EU se stanoví v bezpečnostních pokynech, které schválí Bezpečnostní výbor ESVČ.

10.

Kontrola bezpečnostních systémů a údržba prostředků fyzické ochrany se provádí pravidelně. Při údržbě se zohlední výsledek kontrol, aby se i nadále zajistilo optimální fungování těchto prostředků.

11.

Účinnost jednotlivých bezpečnostních opatření a celého bezpečnostního systému se znovu hodnotí při každé kontrole.

IV. FYZICKY CHRÁNĚNÉ OBLASTI

12.

Pro fyzickou ochranu utajovaných informací EU se stanoví dva druhy fyzicky chráněných oblastí nebo jejich vnitrostátní ekvivalenty:

a)	administrativní oblasti a

b)	zabezpečené oblasti (včetně technicky zabezpečených oblastí).

13.

Bezpečnostní orgán ESVČ určí, zda daný prostor splňuje požadavky na to, aby mohl být označen jako administrativní oblast, zabezpečená oblast nebo technicky zabezpečená oblast.

14.

U administrativních oblastí:

a)	musí být viditelně vymezen obvod administrativní oblasti, která umožní kontrolu osob a pokud možno i vozidel;

b)	je přístup bez doprovodu umožněn pouze osobám, které mají řádné oprávnění od bezpečnostního ředitelství ESVČ a

c)	pro všechny jiné osoby je třeba zajistit nepřetržitý doprovod nebo rovnocenná kontrolní opatření.

15.

U zabezpečených oblastí:

a)	musí být viditelně vymezen a chráněn obvod zabezpečené oblasti jejíž všechny vstupy a východy jsou kontrolovány prostřednictvím průkazů nebo systému osobní identifikace;

b)	přístup bez doprovodu lze umožnit pouze osobám, které jsou bezpečnostně prověřeny pro odpovídající stupeň utajení a jsou ke vstupu do dané oblasti výslovně oprávněny na základě potřeby znát utajované informace;

c)	pro všechny jiné osoby je třeba zajistit nepřetržitý doprovod nebo rovnocenná kontrolní opatření.

16.

Představuje-li vstup do zabezpečené oblasti de facto přímý přístup k utajovaným informacím, které se v nich nacházejí, musí být dále splněny tyto požadavky:

a)	je třeba jasně stanovit nejvyšší stupeň utajení informací, které jsou v dané oblasti zpravidla ukládány;

b)	všichni návštěvníci musí být zvlášť oprávněni ke vstupu do dané oblasti, je třeba pro ně zajistit nepřetržitý doprovod a musí být náležitě bezpečnostně prověřeni, s výjimkou případů, kdy byla přijata opatření zajišťující, že k utajovaným informacím EU není možný přístup;

c)	elektronická zařízení musí zůstat mimo danou oblast.

17.

Zabezpečené oblasti chráněné před odposlechem je třeba označit jako technicky zabezpečené oblasti. U těchto oblastí musí být dále splněny tyto požadavky:

a)	tyto oblasti musí být vybaveny systémy detekce narušení, být uzamčeny v době, kdy nejsou obsazeny, a střeženy v době, kdy obsazeny jsou. Se všemi klíči se musí nakládat v souladu s oddílem VI této přílohy;

b)	všechny osoby a materiály musí být při vstupu do těchto prostor kontrolovány;

c)	tyto oblasti musí být předmětem pravidelných fyzických nebo technických kontrol podle požadavků bezpečnostního orgánu ESVČ. Tyto kontroly se rovněž provádějí po jakémkoli neoprávněném vstupu nebo podezření, že k takovému vstupu došlo, a

d)	tyto oblasti nesmí obsahovat neschválené komunikační vedení, neschválené telefonní či jiné komunikační přístroje a neschválená elektrická nebo elektronická zařízení.

18.

Bez ohledu na bod 17 písm. d) předtím, než se komunikační přístroje a elektrická nebo elektronická zařízení jakéhokoli druhu použijí v oblastech, v nichž se konají zasedání nebo v nichž se pracuje s informacemi se stupněm utajení SECRET UE / EU SECRET nebo vyšším, a v případech, kdy je úroveň ohrožení utajovaných informací EU vyhodnocena jako vysoká, musí být veškeré komunikační přístroje a elektrická a elektronická zařízení nejdříve prověřeny bezpečnostním orgánem ESVČ za tím účelem, aby prostřednictvím těchto zařízení nemohlo dojít k neúmyslnému či nezákonnému přenášení žádných srozumitelných informací mimo danou zabezpečenou oblast.

19.

Zabezpečené oblasti, které nejsou 24 hodin denně obsazeny pracovníky ve službě, jsou podle potřeby kontrolovány na konci běžné pracovní doby a v náhodně zvolených intervalech mimo běžnou pracovní dobu, není-li zaveden systém detekce narušení.

20.

Zabezpečené oblasti a technicky zabezpečené oblasti mohou být zřízeny dočasně v rámci administrativní oblasti pro uspořádání tajného zasedání nebo pro jiný podobný účel.

21.

Pro každou zabezpečenou oblast se vypracují bezpečnostní provozní směrnice, v nichž se stanoví:

a)	stupeň utajení utajovaných informací EU, s nimiž se může nakládat a jež mohou být ukládány v dané oblasti;

b)	ostraha a ochranná opatření, jež je třeba dodržovat;

c)	osoby, které jsou k přístupu do dané oblasti bez doprovodu oprávněny vzhledem k tomu, že potřebují znát utajované informace a že jsou bezpečnostně prověřeny;

d)	případně postupy pro zajištění doprovodu nebo pro ochranu utajovaných informací EU, je-li přístup do dané oblasti umožněn jiným osobám;

e)	veškerá jiná náležitá opatření a postupy.

22.

Trezorové místnosti se budují uvnitř zabezpečených oblastí. Stěny, podlahy, stropy, okna a uzamykatelné dveře musí být schváleny bezpečnostním orgánem ESVČ a musí poskytovat ochranu na úrovni rovnocenné s bezpečnostním úschovným objektem schváleným pro ukládání utajovaných informací EU se stejným stupněm utajení.

V. OPATŘENÍ FYZICKÉ BEZPEČNOSTI PRO NAKLÁDÁNÍ S UTAJOVANÝMI INFORMACEMI EU A JEJICH UKLÁDÁNÍ

23.

S utajovanými informacemi EU se stupněm utajení RESTREINT UE / EU RESTRICTED lze nakládat:

a)	v zabezpečené oblasti;

b)	v administrativní oblasti za předpokladu, že utajované informace EU jsou chráněny před přístupem neoprávněných osob, nebo

mimo zabezpečenou oblast či mimo administrativní oblast za předpokladu, že držitel informací přenáší utajované informace EU v souladu s body 30 až 42 přílohy A III a že se zavázal k dodržování náhradních opatření stanovených bezpečnostními pokyny vydanými bezpečnostním orgánem ESVČ s cílem zajistit, aby utajované informace EU byly chráněny před přístupem neoprávněných osob.

24.

Utajované informace EU se stupněm utajení RESTREINT UE / EU RESTRICTED se ukládají ve vhodném uzamčeném kancelářském nábytku v administrativní oblasti nebo v zabezpečené oblasti. Dočasně mohou být ukládány mimo zabezpečenou oblast či mimo administrativní oblast za předpokladu, že se držitel informací zavázal k dodržování náhradních opatření stanovených bezpečnostními pokyny vydanými bezpečnostním orgánem ESVČ.

25.

S utajovanými informacemi EU se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo SECRET UE / EU SECRET lze nakládat:

a)	v zabezpečené oblasti;

b)	v administrativní oblasti za předpokladu, že utajované informace EU jsou chráněny před přístupem neoprávněných osob; nebo

mimo zabezpečenou oblast či mimo správní oblast za předpokladu, že držitel informací:

i)	přenáší utajované informace EU v souladu s body 30 až 42 přílohy A III;

ii)	zavázal se k dodržování náhradních opatření stanovených bezpečnostními pokyny vydanými bezpečnostním orgánem ESVČ s cílem zajistit, aby utajované informace EU byly chráněny před přístupem neoprávněných osob;

iii)	má utajované informace EU neustále pod osobním dohledem; a

iv)	v případě dokumentů v tištěné podobě oznámil tuto skutečnost příslušnému registru.

26.

Utajované informace EU se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL a SECRET EU / EU SECRET se ukládají v zabezpečené oblasti v bezpečnostním úschovném objektu nebo trezorové místnosti.

27.

S utajovanými informacemi EU se stupněm utajení TRES SECRET UE / EU TOP SECRET se nakládá v zabezpečené oblasti.

28.

Utajované informace EU se stupněm utajení TRES SECRET UE / EU TOP SECRET se ukládají v zabezpečené oblasti v ústředí při dodržení jedné z těchto podmínek:

informace se ukládají v bezpečnostním úschovném objektu, který je v souladu s bodem 8, přičemž je třeba uplatňovat jedno nebo více těchto dodatečných kontrolních opatření:

i)	nepřetržitá ochrana nebo kontrola ze strany prověřeného bezpečnostního nebo služebního personálu,

ii)	schválený systém detekce narušení v kombinaci s pohotovostním bezpečnostním personálem;

nebo

b)	informace se uchovávají v trezorové místnosti vybavené systémem detekce narušení v kombinaci s pohotovostním bezpečnostním personálem.

29.

Pravidla pro přenos utajovaných informací EU mimo fyzicky chráněné oblasti jsou stanovena v příloze A III.

VI. KONTROLA KLÍČŮ A KÓDŮ POUŽÍVANÝCH PRO OCHRANU UTAJOVANÝCH INFORMACÍ EU

30.

Bezpečnostní orgán ESVČ stanoví postupy pro správu klíčů a nastavení kódů pro kanceláře, místnosti, trezorové místnosti a bezpečnostní úschovné objekty. Tyto postupy zabrání neoprávněnému přístupu.

31.

Nastavení kódů smí znát co nejmenší možný počet osob, které je znát potřebují. Nastavení kódů pro bezpečnostní úschovné objekty a trezorové místnosti, v nichž se ukládají utajované informace EU, je třeba změnit:

a)	při přijetí nového úschovného objektu;

b)	kdykoli se změní personál, který kombinaci zná;

c)	kdykoli dojde k ohrožení informací nebo v případě podezření z ohrožení;

d)	pokud došlo k údržbě či opravě zámku; a

e)	nejméně každých 12 měsíců.

PŘÍLOHA A III

SPRÁVA UTAJOVANÝCH INFORMACÍ

I. ÚVOD

Tato příloha obsahuje ustanovení pro provádění článku 7 přílohy A. Stanoví administrativní opatření, která slouží pro kontrolu utajovaných informací EU během celého jejich životního cyklu, a napomáhají tak zabránit úmyslnému či neúmyslnému ohrožení či ztrátě informací, zjistit takové ohrožení nebo ztrátu informací a následně zajistit nápravu.

II. PRAVIDLA STANOVOVÁNÍ STUPŇŮ UTAJENÍ

Stupně utajení a označení

Informace se utajují v případě, že vyžadují ochranu z důvodu jejich důvěrnosti.

Původce utajovaných informací EU odpovídá za stanovení stupně utajení podle příslušných pokynů pro utajení informací a za distribuci informací.

Stupeň utajení utajovaných informací EU se stanoví v souladu s čl. 2 odst. 2 přílohy A a na základě bezpečnostních pokynů schválených v souladu s čl. 3 odst. 3 přílohy A.

Utajovaným informacím členských států, které jsou sdíleny s ESVČ, se poskytuje stejná úroveň ochrany jako utajovaným informacím EU s odpovídajícím stupněm utajení. Srovnávací tabulka stupňů utajení je obsažena v dodatku B tohoto rozhodnutí.

Stupeň utajení a případně datum či určitá událost, po nichž lze stupeň utajení informací snížit nebo zrušit, musí být jasně a správně označeny bez ohledu na to, zda mají utajované informace EU tištěnou, ústní, elektronickou či jinou podobu.

Jednotlivé části daného dokumentu (tj. stránky, odstavce, oddíly, přílohy, dodatky a připojené části dokumentu) mohou vyžadovat různé stupně utajení a musí být podle toho označeny, a to i v případě, že jsou uloženy v elektronické podobě.

Dokumenty obsahující části s různými stupni utajení musí být v co nejvyšší míře strukturovány tak, aby části s různým stupněm utajení mohly být v případě potřeby snadno rozpoznány a odděleny.

Stupeň utajení dokumentu nebo spisu jako celku musí být alespoň stejně vysoký jako u jeho části s nejvyšším stupněm utajení. Jestliže dokument vznikl sloučením informací z různých zdrojů, konečný produkt se přezkoumá za účelem stanovení celkového stupně utajení, neboť může vyžadovat vyšší stupeň utajení než jeho jednotlivé části.

10.

Stupeň utajení dopisu nebo průvodní poznámky k připojeným částem musí být stejně vysoký jako nejvyšší stupeň utajení těchto připojených částí. Původce jasně vyznačí jejich stupeň utajení, pokud budou odděleny od připojených částí, pomocí odpovídajícího označení, například:

CONFIDENTIEL UE / EU CONFIDENTIAL

Bez příloh(y) RESTREINT UE / EU RESTRICTED

Označení

11.

Kromě jednoho z označení stupňů utajení uvedených v čl. 2 odst. 2 přílohy A mohou utajované informace EU nést doplňující označení, například:

a)	označení určující původce;

b)	jakákoli výstražná označení, kódová slova nebo zkratky k upřesnění oblasti činnosti, k níž se daný dokument vztahuje, k označení zvláštního způsobu distribuce na základě potřeby znát utajované informace nebo k omezení použití;

c)	označení týkající se způsobilosti k předání.

12.

Po rozhodnutí o poskytnutí utajovaných informací EU třetímu státu nebo mezinárodní organizaci předá ředitelství ESVČ odpovědné za bezpečnost dotyčný dokument, jenž nese označení týkající se způsobilosti k předání uvádějící, kterému třetímu státu nebo které mezinárodní organizaci mají být informace poskytnuty.

13.

Bezpečnostní orgán ESVČ přijme seznam schválených označení.

Zkratky označení stupňů utajení

14.

Pro označení stupně utajení jednotlivých odstavců určitého textu lze použít standardizované zkratky označení stupňů utajení. Tyto zkratky nenahrazují úplné označení stupňů utajení.

15.

V utajovaných dokumentech EU je možné použít pro označení stupně utajení oddílů nebo částí textu kratších než jedna strana tyto standardní zkratky:

TRÈS SECRET UE / EU TOP SECRET	TS-UE / EU-TS
SECRET UE / EU SECRET	S-UE / EU-S
CONFIDENTIEL UE / EU CONFIDENTIAL	C-UE / EU-C
RESTREINT UE / EU RESTRICTED.	R-UE / EU-R

Vyhotovování utajovaných dokumentů EU

16.

Při vyhotovování utajovaného dokumentu EU:

a)	na každé straně se jasně vyznačí příslušný stupeň utajení;

b)	každá strana se očísluje;

c)	na dokumentu se uvede referenční číslo a předmět, které samy o sobě nejsou utajovanými informacemi, pokud tak nejsou označeny;

d)	se na dokumentu uvede datum;

e)	na dokumentech se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším, které mají být distribuovány ve více výtiscích, se na každé straně uvede číslo výtisku.

17.

Nelze-li na utajované informace EU použít bod 16, přijmou se jiná patřičná opatření podle bezpečnostních pokynů, které se vypracují v souladu s tímto rozhodnutím.

Snížení a zrušení stupně utajení utajovaných informací EU

18.

Je-li to možné, a zejména jedná-li se o informace se stupněm utajení RESTREINT UE / EU RESTRICTED, uvede původce v době vytvoření utajovaných informací EU, zda je možné snížit nebo zrušit jejich stupeň utajení k určitému datu nebo po určité události.

19.

ESVČ pravidelně přezkoumává utajované informace EU, které jsou v jejím držení, za účelem zjištění, zda je příslušný stupeň utajení stále odpovídající. ESVČ zavede systém přezkumu stupně utajení evidovaných utajovaných informací EU, jichž je původcem, který je prováděn nejméně jednou za pět let. Tento přezkum není třeba provést v případě, že původce od počátku uvádí konkrétní lhůtu, kdy bude u daných informací automaticky snížen nebo zrušen stupeň utajení, a dané informace jsou odpovídajícím způsobem označeny.

III. EVIDENCE UTAJOVANÝCH INFORMACÍ EU Z BEZPEČNOSTNÍCH DŮVODŮ

20.

Na ústředí se zřídí ústřední registr. Pro každou organizační složku v rámci ESVČ, v níž se nakládá s utajovanými informacemi EU, se určí odpovědný registr podřízený ústřednímu registru s cílem zajistit, aby se s utajovanými informacemi EU nakládalo v souladu s tímto rozhodnutím. Registry se zřizují jako zabezpečené oblasti podle přílohy A.

Každá delegace EU zřídí svůj vlastní registr utajovaných informací EU.

Bezpečnostní orgán ESVČ jmenuje pro tyto registry vedoucího registru.

21.

Pro účely tohoto rozhodnutí se evidencí z bezpečnostních důvodů (dále jen „evidence“) rozumí uplatňování postupů, kterými se zaznamenává životní cyklus daných informací, včetně jejich distribuce a zničení. V případě komunikačního a informačního systému mohou být evidenční postupy provedeny přímo v rámci systému.

22.

Veškerý materiál se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL a vyšším je třeba evidovat, kdykoli je doručen určité organizační složce (včetně delegací EU) nebo kdykoli ji opouští. Informace se stupněm utajení TRES SECRET UE / EU TOP SECRET musí být zaevidovány v určených registrech.

23.

Ústřední registr na ústředí ESVČ je při výměně utajovaných informací se třetími státy a mezinárodními organizacemi hlavním přijímacím a odbavovacím místem. Vede záznamy o všech těchto výměnách.

24.

Bezpečnostní orgán ESVČ schválí v souladu s článkem 14 tohoto rozhodnutí bezpečnostní pokyny pro evidenci utajovaných informací EU z bezpečnostních důvodů.

Registry pro dokumenty se stupněm utajení TRES SECRET UE / EU TOP SECRET

25.

Na ústředí ESVČ se určí ústřední registr, který je ústředním orgánem pro příjem a odesílání informací se stupněm utajení TRES SECRET UE / EU TOP SECRET. V případě potřeby mohou být určeny podřízené registry pro nakládání s těmito informacemi z důvodů evidence.

26.

Podřízené registry nesmějí bez výslovného písemného souhlasu ústředního registru pro dokumenty se stupněm utajení TRES SECRET UE / EU TOP SECRET poskytovat dokumenty se stupněm utajení TRES SECRET UE / EU TOP SECRET přímo jiným registrům podřízeným stejnému ústřednímu registru ani externím subjektům.

IV. KOPÍROVÁNÍ A PŘEKLÁDÁNÍ UTAJOVANÝCH DOKUMENTŮ EU

27.

Dokumenty se stupněm utajení TRES SECRET UE / EU TOP SECRET se nesmí kopírovat ani překládat bez předchozího písemného souhlasu původce.

28.

Pokud původce dokumentů se stupněm utajení SECRET UE / EU SECRET a nižším nestanovil omezení týkající se jejich kopírování nebo překladu, mohou být tyto dokumenty kopírovány či překládány podle pokynů držitele.

29.

Pro kopie a překlady dokumentů se použijí bezpečnostní opatření použitá pro původní dokument. Kopie se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším vytváří pouze příslušný (podřízený) registr na zabezpečené kopírce. Kopie musí být zaevidovány.

V. PŘENOS UTAJOVANÝCH INFORMACÍ EU

30.

Přenos utajovaných informací EU podléhá ochranným opatřením stanoveným v bodech 32 až 42. V případech, kdy jsou utajované informace EU přenášeny na elektronických záznamových médiích, a to bez ohledu na čl. 7 odst. 4 přílohy A mohou níže uvedená ochranná opatření doplňovat vhodná technická protiopatření podle pokynů stanovených bezpečnostním orgánem ESVČ s cílem minimalizovat riziko ztráty nebo ohrožení.

31.

Bezpečnostní orgán ESVČ vydá pokyny týkající se přenosu utajovaných informací EU v souladu s tímto rozhodnutím.

Přenos uvnitř budovy nebo uzavřené skupiny budov

32.

Utajované informace EU přenášené uvnitř budovy nebo uzavřené skupiny budov musí být zakryty, aby se zamezilo odpozorování jejich obsahu.

33.

Informace se stupněm utajení TRES SECRET UE / EU TOP SECRET musí být uvnitř budovy nebo uzavřené skupiny budov přenášeny náležitě bezpečnostně prověřenými osobami a uloženy v zabezpečené obálce označené pouze jménem příjemce.

Přenos v rámci EU

34.

Utajované informace EU přenášené mezi budovami či areály v rámci EU jsou uloženy v takovém obalu, aby byly chráněny před neoprávněným vyzrazením.

35.

Přenos informací se stupněm utajení nejvýše SECRET UE / EU SECRET v rámci EU se provádí jedním z těchto způsobů:

a)	vojenským, vládním nebo případně diplomatickým kurýrem;

osobním přenosem za těchto podmínek:

i)	osoba, která utajované informace EU přenáší, je má stále u sebe, pokud nejsou uloženy v souladu s požadavky stanovenými v příloze A II;

ii)	utajované informace EU nesmí být během přenosu otevřeny ani čteny na veřejných místech;

iii)	dotčené osoby jsou bezpečnostně prověřeny pro odpovídající stupeň utajení a poučeny o svých povinnostech týkajících se bezpečnosti;

iv)	dotčené osoby musí být v případě potřeby držiteli kurýrního listu;

poštovními službami nebo komerčními kurýrními službami za těchto podmínek:

i)	příslušný NBÚ je schválil v souladu s vnitrostátními právními předpisy;

ii)	uplatňují odpovídající ochranná opatření v souladu s minimálními požadavky, které budou stanoveny v bezpečnostních pokynech podle čl. 21 odst. 1 tohoto rozhodnutí.

V případě přenosu z jednoho členského státu do jiného se ustanovení písmene c) budou vztahovat pouze na informace do stupně utajení CONFIDENTIEL UE / EU CONFIDENTIAL.

36.

Materiál se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL a SECRET UE / EU SECRET (například vybavení nebo technické zařízení), který nemůže být přenášen způsoby uvedenými v bodě 34, přepravují v souladu s přílohou A V obchodní přepravci jako náklad.

37.

Přenos informací se stupněm utajení TRES SECRET UE / EU TOP SECRET mezi budovami či areály v rámci EU se provádí vojenským, vládním nebo případně diplomatickým kurýrem.

Přenos z EU na území třetího státu nebo mezi subjekty EU ve třetích státech

38.

Utajované informace EU přenášené z EU na území třetího státu nebo mezi subjekty EU ve třetím státě jsou uloženy v takovém obalu, aby byly chráněny před neoprávněným vyzrazením.

39.

Přenos informací se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL a SECRET UE / EU SECRET z EU na území třetího státu a přenos veškerých utajovaných informací EU se stupněm utajení nejvýše SECRET UE / EU SECRET mezi subjekty EU ve třetím státě se provádí jedním z těchto způsobů:

a)	vojenským nebo diplomatickým kurýrem;

osobním přenosem za těchto podmínek:

i)	balíček je opatřen úřední pečetí nebo je zabalen tak, aby bylo zřejmé, že se jedná o úřední zásilku, která by neměla být předmětem celní nebo bezpečnostní kontroly;

ii)	dotčené osoby jsou držiteli kurýrního listu, který obsahuje identifikační údaje balíčku a opravňuje tyto osoby k jeho přenosu;

iii)	osoba, která utajované informace EU přenáší, je má stále u sebe, pokud nejsou uloženy v souladu s požadavky stanovenými v příloze A II;

iv)	utajované informace EU nesmí být během přenosu otevřeny ani čteny na veřejných místech a

v)	dotčené osoby jsou bezpečnostně prověřeny pro odpovídající stupeň utajení a poučeny o svých povinnostech týkajících se bezpečnosti.

40.

Přenos informací se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL a SECRET UE / EU SECRET, které EU předává třetímu státu nebo mezinárodní organizaci, musí splňovat příslušná ustanovení dohody o bezpečnosti informací či správního ujednání v souladu s čl. 10 odst. 2 přílohy A.

41.

Informace se stupněm utajení RESTREINT UE / EU RESTRICTED lze z EU na území třetího státu přenášet také poštovními službami či komerčními kurýrními službami.

42.

Přenos informací se stupněm utajení TRES SECRET UE / EU TOP SECRET z EU na území třetího státu nebo mezi subjekty EU ve třetím státě se provádí vojenským nebo diplomatickým kurýrem.

VI. NIČENÍ UTAJOVANÝCH INFORMACÍ EU

43.

Utajované dokumenty EU, které již nejsou potřebné, mohou být zničeny, aniž jsou dotčena příslušná pravidla a předpisy o archivování.

44.

Ničení dokumentů podléhajících evidenci v souladu s čl. 7 odst. 2 přílohy A provádí odpovědný registr podle pokynů držitele nebo příslušného orgánu. Administrativní pomůcky a jiné informace o evidenci musí být odpovídajícím způsobem aktualizovány.

45.

Ničení dokumentů se stupněm utajení SECRET UE / EU SECRET nebo TRES SECRET UE / EU TOP SECRET se provádí za přítomnosti svědka, který je bezpečnostně prověřen alespoň pro stupeň utajení ničeného dokumentu.

46.

Pracovník registru a svědek, pokud je přítomnost svědka vyžadována, podepíší zápis o zničení, který se uloží v registru. V registru jsou ukládány zápisy o zničení dokumentů se stupněm utajení TRES SECRET UE / EU TOP SECRET alespoň po dobu deseti let a dokumentů se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL a SECRET UE / EU SECRET alespoň po dobu pěti let.

47.

Ničení utajovaných dokumentů, včetně dokumentů se stupněm utajení RESTREINT UE / EU RESTRICTED, se provádí postupy, které splňují příslušné normy EU či rovnocenné normy nebo které byly schváleny členskými státy v souladu s vnitrostátními technickými normami tak, aby nebylo možné znovu sestavit celý dokument nebo jeho část.

48.

Ničení počítačových paměťových médií používaných pro utajované informace EU se provádí v souladu s postupy schválenými bezpečnostním orgánem ESVČ.

VII. BEZPEČNOSTNÍ INSPEKCE

Bezpečnostní inspekce ESVČ

49.

V souladu s článkem 16 tohoto rozhodnutí bezpečnostní inspekce ESVČ zahrnují:

a)	všeobecné bezpečnostní inspekce, jejichž cílem je posoudit obecnou úroveň bezpečnosti ústředí ESVČ, delegací Unie a všech souvisejících prostor a zejména účinnost bezpečnostních opatření zavedených na ochranu bezpečnostních zájmů ESVČ;

bezpečnostní inspekce utajovaných informací EU, jejichž cílem je posoudit – zpravidla s ohledem na akreditaci – účinnost opatření zavedených na ochranu utajovaných informací EU na ústředí ESVČ a v delegacích Unie.

Tyto kontroly se mimo jiné provádějí s cílem:

i)	zajistit dodržování požadovaných minimálních standardů pro ochranu utajovaných informací EU stanovených tímto rozhodnutím;

ii)	zdůraznit význam bezpečnosti a účinného řízení rizik u kontrolovaných subjektů;

iii)	doporučit protiopatření za účelem zmírnění konkrétních dopadů, které může přinášet ztráta důvěrnosti, integrity nebo dostupnosti utajovaných informací a

iv)	posilovat probíhající programy bezpečnostních orgánů v oblasti bezpečnostního vzdělávání a povědomí.

Provádění bezpečnostních inspekcí ESVČ a následné podávání zpráv

50.

Bezpečnostní inspekce ESVČ provádí inspekční tým ředitelství ESVČ odpovědného za bezpečnost, případně za podpory odborníků na bezpečnost z jiných orgánů EU nebo členských států.

Inspekční tým má přístup do jakéhokoli prostoru, v němž se nakládá s utajovanými informacemi EU, zejména do registrů a k stanovišti komunikačních a informačních systémů.

51.

Bezpečnostní inspekce ESVČ v delegacích Unie mohou být v případě potřeby prováděny za podpory bezpečnostních pracovníků velvyslanectví členských států ve třetích zemích.

52.

Před koncem každého kalendářního roku přijme bezpečnostní orgán ESVČ program inspekcí pro ESVČ na následující rok.

53.

V případě potřeby může bezpečnostní orgán ESVČ sjednat bezpečnostní inspekce, které nejsou ve výše uvedeném programu naplánovány.

54.

Na konci bezpečnostní inspekce jsou kontrolovanému subjektu předloženy hlavní závěry a doporučení. Poté inspekční tým vypracuje inspekční zprávu. Pokud byla navržena nápravná opatření a doporučení, je třeba do zprávy zahrnout dostatečná odůvodnění závěrů inspekce. Inspekční zpráva se předá bezpečnostnímu orgánu ESVČ a vedoucímu kontrolovaného subjektu.

V rámci pravomocí ředitelství ESVČ odpovědného za bezpečnost se vypracovává pravidelná zpráva, v níž se zdůrazní poznatky získané z inspekcí provedených v členských státech za určité období; tuto zprávu posoudí Bezpečnostní výbor ESVČ.

Provádění bezpečnostních inspekcí a následné podávání zpráv v agenturách a subjektech EU zřízených podle hlavy V kapitoly 2 Smlouvy o EU.

55.

Ředitelství ESVČ pro bezpečnost může případně jmenovat odborníky pro účast ve společných inspekčních týmech EU, které provádějí kontroly v agenturách a subjektech EU zřízených podle hlavy V kapitoly 2 Smlouvy o EU.

Kontrolní seznam pro účely inspekcí ESVČ

56.

Ředitelství ESVČ odpovědné za bezpečnost vypracuje a aktualizuje kontrolní seznam pro účely inspekcí obsahující položky, které je třeba během bezpečnostní inspekce ESVČ ověřit. Tento seznam se zasílá Bezpečnostnímu výboru ESVČ.

57.

Informace pro vyplnění kontrolního seznamu lze získat zejména během inspekce od pracovníků odpovědných za řízení bezpečnosti subjektu, v němž je inspekce prováděna. Jakmile je seznam podrobně vyplněn, stanoví se po dohodě s kontrolovaným subjektem stupeň jeho utajení. Seznam není součástí inspekční zprávy.

PŘÍLOHA A IV

OCHRANA UTAJOVANÝCH INFORMACÍ EU, S NIMIŽ SE NAKLÁDÁ V KOMUNIKAČNÍCH A INFORMAČNÍCH SYSTÉMECH

I. ÚVOD

Tato příloha stanoví prováděcí pravidla k článku 8 přílohy A.

Pro bezpečné a správné fungování komunikačních a informačních systémů jsou zásadní tyto vlastnosti a koncepce zabezpečení informací:

Autenticita:	záruka, že informace jsou autentické a z důvěryhodných zdrojů;
Dostupnost:	přístupnost a použitelnost informací na žádost oprávněného subjektu;
Důvěrnost:	skutečnost, že informace nejsou zpřístupněny neoprávněným osobám a subjektům nebo pro nedovolené účely;
Integrita:	zajištění přesnosti a úplnosti informací a aktiv;
Nepopiratelnost:	schopnost prokázat zpětně jednání či událost tak, aby dané jednání či událost nemohly být následně popřeny.

II. ZÁSADY ZABEZPEČENÍ INFORMACÍ

Níže uvedená ustanovení tvoří minimální požadavky na bezpečnost veškerých komunikačních a informačních systémů nakládajících s utajovanými informacemi EU. Podrobné požadavky na provádění těchto ustanovení se stanoví v bezpečnostních pokynech pro zabezpečení informací.

Řízení bezpečnostních rizik

Řízení bezpečnostních rizik je nedílnou součástí vytváření, vývoje, provozování a údržby komunikačních a informačních systémů. Řízení rizik (hodnocení, řešení, přijetí a sdělování) probíhá jako cyklický proces a je prováděno společně zástupci vlastníků systémů, projektovými a provozními orgány a orgány pro schvalování bezpečnosti za využití osvědčeného, transparentního a zcela srozumitelného procesu hodnocení rizika. Oblast působnosti komunikačního a informačního systému a jeho aktiv je třeba jasně určit na počátku procesu řízení rizik.

Příslušné orgány ESVČ přezkoumají možné hrozby pro komunikační a informační systémy a vypracovávají aktualizovaná a přesná hodnocení hrozeb, která odpovídají stávajícímu provoznímu prostředí. Neustále si doplňují znalosti o otázkách zranitelnosti a pravidelně přezkoumávají hodnocení zranitelnosti, aby mohly odpovídajícím způsobem reagovat na měnící se prostředí informačních technologií.

Cílem řízení bezpečnostních rizik je uplatňovat soubor bezpečnostních opatření, jejichž výsledkem je uspokojivá rovnováha mezi požadavky uživatelů a zbytkovým bezpečnostním rizikem.

Specifické požadavky, rozsah a míra podrobnosti stanovená příslušným orgánem pro bezpečnostní akreditaci k akreditaci komunikačního a informačního systému musí být přiměřená posouzenému riziku při zohlednění všech příslušných faktorů, včetně stupně utajení utajovaných informací EU, s nimiž se v komunikačním a informačním systému nakládá. Akreditace komunikačního a informačního systému zahrnuje formální prohlášení o zbytkovém riziku a přijetí zbytkového rizika ze strany odpovědného orgánu.

Bezpečnost během celého životního cyklu komunikačního a informačního systému

Zajištění bezpečnosti zůstává požadavkem po celý životní cyklus daného komunikačního a informačního systému od uvedení do provozu až do ukončení provozu.

Pro každou fázi životního cyklu komunikačního a informačního systému je třeba v oblasti bezpečnosti stanovit úlohu a způsob zapojení každého aktéra spojeného s daným systémem.

10.

Každý komunikační a informační systém, včetně jeho technických i netechnických bezpečnostních opatření, musí být během akreditačního řízení podroben bezpečnostním testům s cílem zajistit odpovídající úroveň zabezpečení zavedených bezpečnostních opatření a ověřit, zda jsou řádně prováděna, zapojena a konfigurována.

11.

Hodnocení, kontroly a přezkumy bezpečnosti se provádějí pravidelně během provozu a údržby komunikačního a informačního systému a rovněž za výjimečných okolností.

12.

Bezpečnostní dokumentace pro daný komunikační a informační systém se vyvíjí během jeho celého životního cyklu jakožto nedílná součást procesu řízení změn a konfigurací.

Osvědčené postupy

13.

ESVČ, generální sekretariát Rady, Komise a členské státy spolupracují na vývoji osvědčených postupů na ochranu utajovaných informací EU, s nimiž se nakládá v komunikačních a informačních systémech. Pokyny týkající se osvědčených postupů stanoví technická, fyzická, organizační a procedurální bezpečnostní opatření pro komunikační a informační systémy, která se ukázala jako účinná v boji proti určitým hrozbám a zranitelným místům.

14.

Pro ochranu utajovaných informací EU, s nimiž se nakládá v komunikačních a informačních systémech, se využijí získané poznatky subjektů, které působí v oblasti zabezpečení informací v EU i mimo EU.

15.

Šíření a následné uplatňování osvědčených postupů má napomoci dosažení rovnocenné úrovně zabezpečení jednotlivých komunikačních a informačních systémů, které jsou provozovány ESVČ a v nichž se nakládá s utajovanými informacemi EU.

Hloubková ochrana

16.

V zájmu zmírnění rizika pro komunikační a informační systémy se provádí řada technických a netechnických bezpečnostních opatření, která jsou uspořádána jako několik obranných linií. Tyto linie zahrnují:

a) odstrašování : bezpečnostní opatření, jež mají odradit od jakéhokoli nepřátelského plánování útoku na komunikační a informační systém;

b) prevence : bezpečnostní opatření, jež mají zabránit útoku na komunikační a informační systém nebo takový útok znemožnit;

c) odhalování : bezpečnostní opatření, jež mají odhalit uskutečnění útoku na komunikační a informační systém;

d) odolnost : bezpečnostní opatření, která mají omezit dopad útoku na co nejmenší soubor informací nebo aktiv komunikačního a informačního systému a předcházet další škodě a

e) obnovení : bezpečnostní opatření, jež mají vést k obnovení bezpečného stavu systému.

Míra přísnosti bezpečnostních opatření a jejich použitelnost se stanoví na základě hodnocení rizik.

17.

Příslušné orgány ESVČ zajistí, aby byly schopny reagovat na mimořádné události, které mohou přesahovat organizační a státní hranice, s cílem koordinovat reakce a sdílet informace o těchto mimořádných událostech a souvisejícím riziku (schopnost reakce na počítačové hrozby).

Zásada minimality a co nejomezenějších práv

18.

Aby se předešlo zbytečnému riziku, provádějí se nebo provozují pouze funkce, zařízení a služby, které jsou nezbytné pro splnění provozních požadavků.

19.

Aby se omezila jakákoli škoda způsobená v důsledku nepředvídaných událostí, chyb nebo neoprávněného používání zdrojů komunikačních a informačních systémů, mají mít uživatelé systémů a automatizované procesy přístup, práva nebo oprávnění pouze v rozsahu nezbytném k plnění svých úkolů.

20.

Je-li v komunikačním a informačním systému vyžadováno provádění evidenčních procedur, musí být tyto procedury ověřeny v akreditačním řízení.

Povědomí o zabezpečení informací

21.

Povědomí o rizicích a dostupných bezpečnostních opatřeních je první obrannou linií zajišťující bezpečnost komunikačních a informačních systémů. Zejména všichni členové personálu zasahující do životního cyklu komunikačního a informačního systému, včetně uživatelů, si musí být vědomi:

a)	že selhání bezpečnosti může významně poškodit komunikační a informační systémy a celou organizaci;

b)	možné újmy způsobené jiným subjektům z důvodu vzájemného propojení a vzájemné závislosti a

c)	svých individuálních povinností a odpovědnosti za bezpečnost komunikačního a informačního systému v závislosti na svých konkrétních úlohách v rámci daných systémů a procesů.

22.

Aby se zajistilo pochopení povinností souvisejících s bezpečností, je pro veškerý dotčený personál, včetně vedoucích pracovníků a uživatelů komunikačních a informačních systémů povinné vzdělávání v oblasti zabezpečení informací a školení zaměřené na zvyšování povědomí o zabezpečení informací.

Hodnocení a schvalování bezpečnostních prostředků informačních technologií

23.

Požadovaná míra důvěry v bezpečnostní opatření, vymezená jako úroveň zabezpečení, se stanoví na základě výsledku procesu řízení rizik a v souladu s příslušnými bezpečnostními politikami a bezpečnostními pokyny.

24.

Úroveň zabezpečení se ověří pomocí mezinárodně uznávaných nebo na vnitrostátní úrovni schválených postupů a metod. To zahrnuje zejména hodnocení, kontroly a audity.

25.

Kryptografické prostředky na ochranu utajovaných informací EU hodnotí a schvaluje vnitrostátní schvalovací orgán členského státu pro kryptografickou ochranu.

26.

Předtím než jsou kryptografické prostředky doporučeny ke schválení orgánem ESVČ pro kryptografickou ochranu v souladu s čl. 8 odst. 5 tohoto rozhodnutí, musí obdržet kladný posudek od druhé strany, jíž je orgán s odpovídající kvalifikací členského státu, který se nepodílí na vývoji ani výrobě zařízení. Rozsah informací vyžadovaný během hodnocení druhou stranou závisí na předpokládaném nejvyšším stupni utajení utajovaných informací EU, které mají být danými prostředky chráněny.

27.

Opravňují-li k tomu zvláštní provozní důvody, může orgán ESVČ pro kryptografickou ochranu na doporučení Bezpečnostního výboru Rady od požadavků podle bodu 25 nebo 26 upustit a podle čl. 8 odst. 5 tohoto rozhodnutí udělit dočasné schválení na konkrétní období.

28.

Orgánem s odpovídající kvalifikací je schvalovací orgán členského státu pro kryptografickou ochranu, který byl akreditován na základě kritérií stanovených Radou k provádění druhého hodnocení kryptografických prostředků na ochranu utajovaných informací EU.

29.

Vysoká představitelka schválí bezpečnostní politiku pro způsobilost a schvalování nekryptografických bezpečnostních prostředků informačních technologií.

Přenos v zabezpečených oblastech

30.

Bez ohledu na ustanovení tohoto rozhodnutí, je-li přenos utajovaných informací EU omezen na zabezpečené oblasti nebo administrativní oblasti, může být na základě výsledku procesu řízení rizik a se souhlasem orgánu pro bezpečnostní akreditaci použit přenos nešifrovaný nebo šifrovaný na nižší úrovni.

Bezpečné propojení komunikačních a informačních systémů

31.

Pro účely tohoto rozhodnutí se propojením rozumí přímé spojení dvou nebo více informačních systémů za účelem jednosměrného či vícesměrného sdílení údajů a dalších informačních zdrojů (například komunikace).

32.

Komunikační a informační systém považuje každý propojený informační systém za nedůvěryhodný a uplatní ochranná opatření pro kontrolu výměny utajovaných informací.

33.

U všech propojení komunikačních a informačních systémů s jiným systémem informačních technologií je třeba splnit tyto základní požadavky:

a)	pracovní či provozní požadavky na tato propojení stanoví a schválí příslušné orgány;

b)	propojení je předmětem procesu řízení rizik a akreditačního řízení a je schváleno ze strany příslušných orgánů pro bezpečnostní akreditaci; a

c)	na vnější hranici všech systémů se použijí funkce ochrany (Boundary Protection Services, BPS).

34.

Akreditovaný komunikační a informační systém nesmí být propojen s nechráněnou nebo veřejnou sítí, s výjimkou případů, kdy má komunikační a informační systém schválené funkce BPS instalované pro tento účel mezi daným systémem a nechráněnou či veřejnou sítí. Bezpečnostní opatření pro taková propojení přezkoumá příslušný orgán ESVČ pro zabezpečení informací a schválí je příslušný orgán pro bezpečnostní akreditaci.

Pokud je nechráněná nebo veřejná síť využívána výhradně k přenosu dat a informace jsou zašifrovány pomocí kryptografického prostředku schváleného v souladu s čl. 8 odst. 5 tohoto rozhodnutí, nepovažuje se takové spojení za propojení.

35.

Komunikační a informační systém akreditovaný pro nakládání s informacemi se stupněm utajení TRÈS SECRET UE / EU TOP SECRET nesmí být přímo ani kaskádou propojen s nechráněnou nebo veřejnou sítí.

Počítačová paměťová média

36.

Počítačová paměťová média se ničí postupy schválenými bezpečnostním orgánem ESVČ.

37.

Počítačová paměťová média se znovu použijí nebo se u nich sníží či zruší stupeň utajení v souladu s bezpečnostními pokyny, které budou vypracovány podle čl. 8 odst. 2 tohoto rozhodnutí.

Mimořádné okolnosti

38.

Bez ohledu na ustanovení tohoto rozhodnutí mohou být za mimořádných okolností, například během hrozící nebo probíhající krize, konfliktu, války nebo za výjimečných provozních okolností, po omezenou dobu použity níže popsané zvláštní postupy.

39.

Utajované informace EU mohou být přenášeny za použití kryptografických prostředků schválených pro nižší stupeň utajení nebo v nešifrované podobě se souhlasem příslušného orgánu, pokud by jakékoli zpoždění způsobilo škodu nepochybně převyšující škodu způsobenou případným vyzrazením utajovaných materiálů a pokud:

a)	odesílatel a příjemce nemají požadované šifrovací zařízení nebo nemají žádné šifrovací zařízení; a

b)	utajované materiály nelze včas předat jiným způsobem.

40.

Za okolností uvedených v bodě 39 nenesou přenášené utajované informace žádná označení ani údaje, které by je odlišovaly od informací, které nejsou utajované nebo mohou být chráněny dostupným kryptografickým prostředkem. Příjemce informací je třeba neprodleně uvědomit o stupni utajení jiným způsobem.

41.

Pokud se použije postup podle bodu 39, podá se následně zpráva bezpečnostnímu ředitelství ESVČ a jeho prostřednictvím Bezpečnostnímu výboru ESVČ. V této zprávě je uveden přinejmenším odesílatel, příjemce a původce každé utajované informace EU.

III. FUNKCE A ORGÁNY V OBLASTI ZABEZPEČENÍ INFORMACÍ

42.

V ESVČ se v souvislosti se zabezpečením informací zajišťuje výkon těchto funkcí. Tyto funkce nevyžadují zřízení samostatných organizačních složek. Jsou plněny v rámci oddělených mandátů. Tyto funkce a související povinnosti mohou být ovšem kombinovány nebo spojeny ve stejné organizační složce nebo rozděleny do různých organizačních složek za podmínky, že se zamezí vnitřním střetům zájmů nebo úkolů.

Orgán pro zabezpečení informací

43.

Orgán pro zabezpečení informací je povinen:

a)	vypracovat bezpečnostní pokyny pro zabezpečení informací a monitorovat jejich účinnost a význam;

b)	zajistit a spravovat technické informace týkající se kryptografických prostředků;

c)	zajistit, aby opatření na zabezpečení informací zvolená pro ochranu utajovaných informací EU byla v souladu s příslušnými pokyny, jimiž se řídí jejich způsobilost a výběr;

d)	zajistit, aby volba kryptografických prostředků byla v souladu s politikami, jimiž se řídí jejich způsobilost a výběr;

e)	koordinovat školení a zvyšování povědomí o zabezpečení informací;

f)	konzultovat s poskytovatelem systému, s aktéry v oblasti bezpečnosti a se zástupci uživatelů otázky týkající se bezpečnostních pokynů pro zabezpečení informací a

g)	zajistit, aby v odborné podskupině Bezpečnostního výboru ESVČ pro otázky zabezpečení informací byly k dispozici odpovídající odborné znalosti.

Orgán TEMPEST

44.

Orgán TEMPEST je povinen zajistit, aby komunikační a informační systémy byly v souladu s politikami a pokyny TEMPEST. Schvaluje protiopatření TEMPEST pro zařízení a prostředky na ochranu utajovaných informací EU do určitého stupně utajení v jeho provozním prostředí.

Schvalovací orgán pro kryptografickou ochranu

45.

Schvalovací orgán pro kryptografickou ochranu je povinen zajistit, aby byly kryptografické prostředky v souladu s příslušnými pokyny v oblasti kryptografické ochrany. Schvaluje konkrétní kryptografický prostředek na ochranu utajovaných informací EU do určitého stupně utajení v jeho provozním prostředí.

Orgán pro distribuci kryptografických materiálů

46.

Orgán pro distribuci kryptografických materiálů je povinen:

a)	spravovat a dokládat kryptografické materiály EU;

b)	zajistit, aby byly uplatňovány příslušné postupy a stanoveny způsoby dokládání veškerých kryptografických materiálů EU, bezpečného nakládání s nimi a jejich ukládání a distribuce; a

c)	zajišťovat distribuci kryptografických materiálů EU osobám či orgánům, které je využívají, a zpětné převzetí.

Orgán pro bezpečnostní akreditaci

47.

Orgán pro bezpečnostní akreditaci je povinen:

zajistit, aby komunikační a informační systémy byly v souladu s příslušnými bezpečnostními pokyny, vydávat rozhodnutí o schválení komunikačních a informačních systémů pro nakládání s utajovanými informacemi EU do určitého stupně utajení v jejich provozním prostředí, v nichž uvede podmínky akreditace a kritéria, na jejichž základě se vyžaduje opakované schválení;

b)	zajistit v souladu s příslušnými pokyny bezpečnostní akreditační řízení, přičemž jasně uvede podmínky pro schválení komunikačních a informačních systémů v rámci svých pravomocí;

c)	vymezit strategii bezpečnostní akreditace stanovující míru podrobností vyžadovaných v akreditačním řízení, která je přiměřená požadované úrovni zabezpečení;

posuzovat a schvalovat bezpečnostní dokumentaci, včetně prohlášení o řízení rizik a zbytkovém riziku, bezpečnostních požadavků pro konkrétní systém (SSRS), dokumentace týkající se ověřování provádění bezpečnostních opatření a bezpečnostních provozních postupů (SecOPs), a zajistit, aby tato dokumentace byla v souladu s bezpečnostními pravidly a pokyny ESVČ;

e)	kontrolovat provádění bezpečnostních opatření souvisejících s komunikačními a informačními systémy tím, že uskuteční nebo zadá bezpečnostní hodnocení, kontroly či revize;

f)	stanovovat bezpečnostní požadavky (například stupně utajení informací, pro něž je personál bezpečnostně prověřen) pro pracovní místa citlivá z hlediska bezpečnosti daného komunikačního a informačního systému;

g)	potvrzovat výběr schválených kryptografických prostředků a prostředků TEMPEST používaných k zajištění bezpečnosti určitého komunikačního a informačního systému;

h)	schvalovat propojení určitého komunikačního a informačního systému s jiným nebo se případně účastnit společného schvalování; a

i)	konzultovat s poskytovatelem systému, s aktéry v oblasti bezpečnosti a se zástupci uživatelů otázky týkající se řízení bezpečnostních rizik, zejména zbytkového rizika, a podmínek vydání rozhodnutí o schválení.

48.

Orgán pro bezpečnostní akreditaci ESVČ odpovídá za akreditaci všech komunikačních a informačních systémů provozovaných v rámci ESVČ.

Komise pro bezpečnostní akreditaci

49.

Společná komise pro bezpečnostní akreditaci odpovídá za akreditaci komunikačních a informačních systémů v pravomoci orgánu pro bezpečnostní akreditaci ESVČ i orgánů pro bezpečnostní akreditaci členských států. Každý členský stát je v této komisi zastoupen jedním zástupcem vnitrostátního orgánu pro bezpečnostní akreditaci a jejích zasedání se účastní zástupce orgánu pro bezpečnostní akreditaci generálního sekretariátu Rady a Komise. K účasti jsou přizvány také jiné subjekty s uzlovými body připojení k určitému komunikačnímu a informačnímu systému, který je předmětem jednání.

Komisi pro bezpečnostní akreditaci předsedá zástupce orgánu pro bezpečnostní akreditaci ESVČ. Komise pro bezpečnostní akreditaci jedná na základě shody zástupců orgánů pro bezpečnostní akreditaci orgánů, členských států a jiných subjektů s uzlovými body připojení k danému komunikačnímu a informačnímu systému. Předkládá pravidelné zprávy o své činnosti Bezpečnostnímu výboru ESVČ a oznamuje mu veškerá rozhodnutí o akreditaci.

Provozní orgán pro zabezpečení informací

50.

Provozní orgán pro zabezpečení informací každého systému je povinen:

a)	vypracovat v rámci akreditačního řízení bezpečnostní dokumentaci v souladu s bezpečnostními pokyny, zejména bezpečnostní požadavky pro daný systém, včetně prohlášení o zbytkovém riziku, bezpečnostních provozních postupech a plánu kryptografické ochrany;

b)	účastnit se výběru a testování technických bezpečnostních opatření, zařízení a softwaru pro konkrétní systémy, dohlížet na jejich používání a zajistit jejich bezpečnou instalaci, konfiguraci a údržbu v souladu s příslušnou bezpečnostní dokumentací;

c)	účastnit se výběru bezpečnostních opatření a zařízení TEMPEST, pokud jsou vyžadovány v bezpečnostních požadavcích pro daný systém, a ve spolupráci s orgánem TEMPEST zajistit jejich bezpečnou instalaci a údržbu;

d)	monitorovat provádění a uplatňování bezpečnostních provozních postupů a může případně plněním povinností souvisejících s provozní bezpečností pověřit vlastníka systému;

e)	spravovat kryptografické prostředky a nakládat s nimi, zajistit ochranu kryptografických a kontrolovaných materiálů a případně zajistit vytváření kryptografických proměnných;

f)	podle požadavků orgánu pro bezpečnostní akreditaci provádět bezpečnostní analýzy, přezkumy a testování, zejména vypracovávat příslušné zprávy o riziku;

g)	poskytovat školení o zabezpečení informací u konkrétních komunikačních a informačních systémů;

h)	zavádět bezpečnostní opatření u konkrétních komunikačních a informačních systémů a řídit jejich uplatňování.

PŘÍLOHA A V

PRŮMYSLOVÁ BEZPEČNOST

I. ÚVOD

Tato příloha obsahuje ustanovení pro provádění článku 9 přílohy A. Stanoví obecná bezpečnostní pravidla použitelná pro průmyslové nebo jiné subjekty pro jednání před uzavřením utajovaných smluv a během celého životního cyklu utajovaných smluv uzavíraných ESVČ.

Bezpečnostní orgán ESVČ schválí pokyny v oblasti průmyslové bezpečnosti, v nichž stanoví zejména podrobné požadavky, pokud jde o osvědčení o bezpečnostní prověrce zařízení, seznamy bezpečnostních požadavků, návštěvy, přenos a přenášení utajovaných informací EU.

II. PRVKY UTAJOVANÉ SMLOUVY TÝKAJÍCÍ SE BEZPEČNOSTI

Příručka pro stanovování stupňů utajení

Před zahájením výzvy k předkládání nabídek na uzavření utajované smlouvy nebo před uzavřením takové smlouvy určí ESVČ jakožto zadavatel stupeň utajení veškerých informací, které mají být poskytnuty uchazečům a dodavatelům, a rovněž stupeň utajení veškerých informací, které vytvoří dodavatel. ESVČ k tomuto účelu připraví příručku pro stanovení stupně utajení, která bude použita pro plnění smlouvy.

Pro stanovení stupně utajení jednotlivých částí utajované smlouvy se použijí tyto zásady:

a)	při přípravě příručky pro stanovování stupňů utajení bere ESVČ v úvahu veškeré důležité bezpečnostní aspekty, včetně stupně utajení, který poskytnutým informacím přidělil původce informací a který původce informací schválil pro danou smlouvu;

b)	stupeň utajení smlouvy jako celku nesmí být nižší než nejvyšší stupeň utajení kterékoli části smlouvy; a

ESVČ se případně spojí s NBÚ / s určenými bezpečnostními orgány členských států nebo s jakýmkoli jiným příslušným bezpečnostním orgánem, dojde-li k jakýmkoli změnám ohledně stupně utajení informací vytvářených dodavateli nebo poskytovaných dodavatelům při plnění smlouvy a provádějí-li se jakékoli dodatečné změny příručky pro stanovení stupně utajení.

Seznam bezpečnostních požadavků

Bezpečnostní požadavky pro konkrétní smlouvu jsou popsány v seznamu bezpečnostních požadavků. Tento seznam případně zahrnuje příručku pro stanovení stupně utajení a je nedílnou částí utajované smlouvy nebo utajované subdodavatelské smlouvy.

Seznam bezpečnostních požadavků obsahuje ustanovení, podle nichž musí dodavatel nebo subdodavatel dodržovat minimální standardy stanovené tímto rozhodnutím. Nedodržení těchto minimálních standardů může být dostatečným důvodem k vypovězení smlouvy.

Bezpečnostní pokyny k programu/projektu

V závislosti na rozsahu programů nebo projektů, které zahrnují přístup k utajovaným informacím EU nebo nakládání s nimi či jejich ukládání, může orgán zadávající zakázku a pověřený řízením programu nebo projektu připravit zvláštní bezpečnostní pokyny k programu/projektu. Tyto pokyny vyžadují schválení ze strany NBÚ / určených bezpečnostních orgánů členských států nebo kteréhokoli jiného příslušného bezpečnostního orgánu, který se účastní daného programu/projektu, a mohou obsahovat další bezpečnostní požadavky.

III. OSVĚDČENÍ O BEZPEČNOSTNÍ PROVĚRCE ZAŘÍZENÍ

Ředitelství ESVČ odpovědné za bezpečnost požádá NBÚ nebo určený bezpečnostní orgán nebo jakýkoli jiný příslušný bezpečnostní orgán příslušného členského státu o vydání osvědčení o bezpečnostní prověrce zařízení, které v souladu s vnitrostátními právními předpisy potvrzuje, že průmyslový nebo jiný subjekt může ve svých prostorách zajistit ochranu utajovaných informací EU na odpovídajícím stupni utajení (CONFIDENTIEL UE / EU CONFIDENTIAL nebo SECRET UE / EU SECRET). Dodavateli, subdodavateli nebo možnému dodavateli či subdodavateli nejsou poskytnuty utajované informace EU nebo mu k utajovaným informacím EU není umožněn přístup, dokud Evropské službě pro vnější činnost nepředloží doklad o vydání osvědčení o bezpečnostní prověrce zařízení.

ESVČ jakožto zadavatel oznámí, pokud to bude nutné, příslušnému NBÚ / určenému bezpečnostnímu orgánu nebo kterémukoli jinému příslušnému bezpečnostnímu orgánu, že v předsmluvní fázi nebo při plnění smlouvy bude vyžadováno osvědčení o bezpečnostní prověrce zařízení. V případě, že je během nabídkového řízení třeba poskytovat utajované informace EU se stupněm utajení CONFIDENTIEL UE/EU CONFIDENTIAL nebo SECRET UE/EU SECRET, je v předsmluvní fázi vyžadováno osvědčení o bezpečnostní prověrce zařízení nebo osvědčení o bezpečnostní prověrce personálu.

10.

ESVČ jakožto zadavatel neuzavře utajovanou smlouvu s upřednostňovaným uchazečem, dokud neobdrží od NBÚ / určeného bezpečnostního orgánu nebo kteréhokoli jiného příslušného bezpečnostního orgánu členského státu, v němž je dotyčný dodavatel nebo subdodavatel registrován, potvrzení o tom, že bylo v případě, kdy je to vyžadováno, vydáno příslušné osvědčení o bezpečnostní prověrce zařízení.

11.

NBÚ / určený bezpečnostní orgán nebo kterýkoli jiný příslušný bezpečnostní orgán, který vydal osvědčení o bezpečnostní prověrce zařízení, oznamuje ESVČ jakožto zadavateli jakékoli negativní skutečnosti, které by mohly mít dopad na osvědčení o bezpečnostní prověrce zařízení. V případě subdodavatelské smlouvy je odpovídajícím způsobem informován vnitrostátní bezpečnostní orgán / určený bezpečnostní orgán nebo kterýkoli jiný příslušný bezpečnostní orgán.

12.

Zrušení osvědčení o bezpečnostní prověrce zařízení příslušným NBÚ / určeným bezpečnostním orgánem nebo kterýmkoli jiným příslušným bezpečnostním orgánem je dostatečným důvodem k tomu, aby ESVČ jakožto zadavatel vypověděl utajovanou smlouvu nebo aby vyloučil určitého uchazeče z nabídkového řízení.

IV. BEZPEČNOSTNÍ PROVĚRKY ZAMĚSTNANCŮ DODAVATELE

13.

Všichni zaměstnanci pracující pro dodavatele, kteří potřebují přístup k utajovaným informacím EU se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším, musí být náležitě bezpečnostně prověřeni a musí potřebovat znát utajované informace. I když se pro přístup k utajovaným informacím EU se stupněm utajení RESTREINT UE / EU RESTRICTED bezpečnostní prověrka personálu nevyžaduje, musí pro tento přístup existovat potřeba znát tyto informace.

14.

Žádosti o bezpečnostní prověrku personálu dodavatele se podávají NBÚ / určenému bezpečnostnímu orgánu, který za daný subjekt odpovídá.

15.

ESVČ dodavateli, který hodlá zaměstnat státního příslušníka třetího státu na pracovní místo, které vyžaduje přístup k utajovaným informacím EU, zdůrazní, že odpovědnost za určení toho, zda může být osobě umožněn přístup k těmto informacím podle tohoto rozhodnutí, nese NBÚ / určený bezpečnostní orgán členského státu, v němž má zaměstnávající subjekt sídlo a kde je zaregistrován, a potvrdí, že původce musí dát souhlas před poskytnutím přístupu.

V. UTAJOVANÉ SMLOUVY A UTAJOVANÉ SUBDODAVATELSKÉ SMLOUVY

16.

Pokud jsou utajované informace EU poskytovány uchazeči v předsmluvní fázi, musí výzva k předkládání nabídek obsahovat ustanovení o tom, že uchazeč, který nepředloží nabídku nebo jehož nabídka není vybrána, je povinen vrátit ve stanovené lhůtě všechny utajované dokumenty.

17.

Jakmile je zadána zakázka na základě utajované smlouvy nebo utajované subdodavatelské smlouvy, ESVČ jakožto zadavatel informuje NBÚ / určený bezpečnostní orgán příslušný pro daného dodavatele nebo subdodavatele nebo jakýkoli jiný příslušný bezpečnostní orgán o bezpečnostních ustanoveních utajované smlouvy.

18.

V případě vypovězení nebo skončení platnosti těchto smluv ESVČ jakožto zadavatel (nebo v případě subdodavatelské smlouvy případně NBÚ / určený bezpečnostní orgán nebo kterýkoli jiný příslušný bezpečnostní orgán) uvědomí neprodleně NBÚ / určený bezpečnostní orgán nebo kterýkoli jiný příslušný bezpečnostní orgán členského státu, v němž je dodavatel nebo subdodavatel registrován.

19.

Obecně platí, že při vypovězení či ukončení utajované smlouvy nebo utajované subdodavatelské smlouvy musí dodavatel nebo subdodavatel vrátit zadavateli veškeré utajované informace EU v jeho držení.

20.

Zvláštní ustanovení týkající se nakládání s utajovanými informacemi EU během plnění smlouvy nebo při jejím vypovězení či ukončení se stanoví v seznamu bezpečnostních požadavků.

21.

Pokud je dodavatel nebo subdodavatel oprávněn ponechat si utajované informace EU po vypovězení či ukončení smlouvy, dodavatel nebo subdodavatel nadále dodržuje minimální standardy obsažené v tomto rozhodnutí a chrání důvěrnost utajovaných informací EU.

22.

Podmínky, za nichž může dodavatel uzavřít subdodavatelskou smlouvu, jsou stanoveny ve výzvě k předkládání nabídek a ve smlouvě.

23.

Předtím než dodavatel zadá jakékoli části utajované smlouvy subdodavateli, musí získat povolení od ESVČ jakožto zadavatele. Žádná subdodavatelská smlouva nesmí být uzavřena s průmyslovými nebo jinými subjekty registrovanými ve státě, který není členským státem EU a který s EU neuzavřel smlouvu o bezpečnosti informací.

24.

Dodavatel je povinen zajistit, aby veškeré subdodavatelské činnosti byly prováděny v souladu s minimálními standardy stanovenými tímto rozhodnutím, a nesmí subdodavateli poskytovat utajované informace EU bez předchozího písemného souhlasu zadavatele.

25.

Pokud jde o utajované informace EU, které vytvořil nebo s nimiž nakládá dodavatel nebo subdodavatel, pak práva náležející původci vykonává zadavatel.

VI. NÁVŠTĚVY V SOUVISLOSTI S UTAJOVANÝMI SMLOUVAMI

26.

Pokud ESVČ, dodavatelé či subdodavatelé potřebují pro plnění utajované smlouvy přístup k informacím se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo SECRET UE / EU SECRET v prostorách druhé strany, sjednají se návštěvy ve spolupráci s příslušnými NBÚ / určenými bezpečnostními orgány nebo s kterýmkoli jiným příslušným bezpečnostním orgánem. Aniž je dotčena pravomoc NBÚ / určených bezpečnostních orgánů, může být v případě zvláštních projektů dohodnut postup, podle něhož lze tyto návštěvy sjednat přímo.

27.

Všechny navštěvující osoby musí být držiteli odpovídajícího osvědčení o bezpečnostní prověrce personálu a musí mít potřebu znát utajované informace EU související se smlouvou uzavřenou ESVČ.

28.

Navštěvujícím osobám je umožněn přístup pouze k utajovaným informacím EU souvisejícím s účelem návštěvy.

VII. PŘENOS A PŘENÁŠENÍ UTAJOVANÝCH INFORMACÍ EU

29.

Pokud jde o elektronický přenášení utajovaných informací EU, použijí se příslušná ustanovení článku 8 přílohy A a přílohy A IV.

30.

Pokud jde o přenos utajovaných informací EU, použijí se příslušná ustanovení přílohy A III v souladu s vnitrostátními právními předpisy.

31.

V případě přepravy utajovaných materiálů jako nákladu se při stanovení bezpečnostních opatření uplatní tyto zásady:

a)	bezpečnost musí být zajištěna během všech fází přepravy z místa původu až po konečné místo určení;

b)	stupeň ochrany poskytovaný zásilce se stanoví podle nejvyššího stupně utajení materiálů, které jsou její součástí;

společnosti zajišťující přepravu musí být držiteli osvědčení o bezpečnostní prověrce zařízení na patřičné úrovni, pokud zároveň platí, že jsou utajované informace ukládány v zařízeních dodavatele. V takovém případě musí být pracovníci nakládající se zásilkou náležitě bezpečnostně prověřeni v souladu s přílohou A I;

před jakoukoli přeshraniční přepravou materiálů se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo SECRET UE / EU SECRET musí odesílatel vypracovat přepravní plán, který schválí ESVČ případně ve spolupráci s příslušnými NBÚ / určenými bezpečnostními orgány odesílatele i příjemce zásilky nebo s kterýmkoli jiným příslušným bezpečnostním orgánem;

e)	materiály musí být převáženy v nejvyšší možné míře po přímé trase a přeprava musí být ukončena, jak nejrychleji to okolnosti umožní;

f)	je-li to možné, přepravní trasy by měly vést pouze přes území členských států. Přeprava přes jiné než členské státy by se měla uskutečnit pouze v případě, kdy byla povolena ESVČ nebo kterýmkoli jiným příslušným bezpečnostním orgánem států odesílatele i příjemce zásilky.

VIII. POSKYTOVÁNÍ UTAJOVANÝCH INFORMACÍ EU DODAVATELŮM SE SÍDLEM V TŘETÍCH STÁTECH

32.

Utajované informace EU jsou dodavatelům a subdodavatelům se sídlem v třetích státech, které mají s EU uzavřenou platnou smlouvu o bezpečnosti, poskytovány v souladu s bezpečnostními opatřeními dohodnutými mezi ESVČ jakožto zadavatelem a NBÚ / určeným bezpečnostním orgánem dotyčného třetího státu, v němž je dodavatel registrován.

IX. NAKLÁDÁNÍ S INFORMACEMI SE STUPNĚM UTAJENÍ RESTREINT UE / EU RESTRICTED A JEJICH UKLÁDÁNÍ

33.

ESVČ jakožto zadavatel je oprávněn případně ve spojení s NBÚ / určeným bezpečnostním orgánem dotčeného členského státu vykonávat na základě smluvních ustanovení návštěvy v zařízeních dodavatelů/subdodavatelů s cílem ověřit, že byla zavedena příslušná bezpečnostní opatření na ochranu utajovaných informací EU se stupněm utajení RESTREINT UE / EU RESTRICTED podle požadavků smlouvy.

34.

ESVČ jakožto zadavatel informuje NBÚ / určené bezpečnostní orgány nebo kterýkoli jiný bezpečnostní orgán v rozsahu nezbytném podle vnitrostátních právních předpisů o smlouvách či subdodavatelských smlouvách obsahujících informace se stupněm utajení RESTREINT UE / EU RESTRICTED.

35.

U smluv zadaných ESVČ a obsahujících informace se stupněm utajení RESTREINT UE / EU RESTRICTED se pro dodavatele nebo subdodavatele a jejich pracovníky nevyžaduje osvědčení o bezpečnostní prověrce zařízení ani osvědčení o bezpečnostní prověrce personálu.

36.

ESVČ jakožto zadavatel posoudí odpovědi na výzvy k předkládání nabídek v souvislosti se zakázkami, které vyžadují přístup k informacím se stupněm utajení RESTREINT UE / EU RESTRICTED, bez ohledu na požadavky týkající se osvědčení o bezpečnostní prověrce zařízení nebo osvědčení o bezpečnostní prověrce personálu, které mohou být stanoveny vnitrostátními právními předpisy.

37.

Podmínky, za nichž může dodavatel uzavřít subdodavatelskou smlouvu, se stanoví v souladu s body 22–24.

38.

Pokud smlouva zahrnuje nakládání s informacemi se stupněm utajení RESTREINT UE / EU RESTRICTED v komunikačním a informačním systému provozovaném dodavatelem, ESVČ jakožto zadavatel zajistí, aby ve smlouvě nebo subdodavatelské smlouvě byly uvedeny nezbytné technické a správní požadavky týkající se akreditace komunikačního a informačního systému, které budou přiměřené posouzenému riziku a zohlední všechny příslušné faktory. Zadavatel a příslušný NBÚ / určený bezpečnostní orgán se dohodnou na rozsahu akreditace takového komunikačního a informačního systému.

PŘÍLOHA A VI

VÝMĚNA UTAJOVANÝCH INFORMACÍ SE TŘETÍMI STÁTY A MEZINÁRODNÍMI ORGANIZACEMI

I. ÚVOD

Tato příloha stanoví prováděcí pravidla k článku 10 přílohy A.

II. RÁMCE UPRAVUJÍCÍ VÝMĚNU UTAJOVANÝCH INFORMACÍ

ESVČ si může vyměňovat utajované informace EU se třetími státy nebo mezinárodními organizacemi v souladu s čl. 10 odst. 1 přílohy A.

S cílem pomáhat vysoké představitelce plnit úkoly vymezené v článku 218 SFEU:

a)	příslušné zeměpisné nebo tematické oddělení ESVČ stanoví po konzultaci s ředitelstvím ESVČ odpovědným za bezpečnost případně potřebu dlouhodobé výměny utajovaných informací EU s dotyčným třetím státem nebo mezinárodní organizací;

b)	ředitelství ESVČ odpovědné za bezpečnost po konzultaci s příslušným zeměpisným oddělením ESVČ případně předloží vysoké představitelce návrhy znění, která mají být navržena Radě ve smyslu čl. 218 odst. 3, 5 a 6 SFEU;

c)	ředitelství ESVČ odpovědné za bezpečnost poskytuje podporu vysoké představitelce při jednáních, a to v koordinaci s příslušnými útvary Komise a generálním sekretariátem Rady;

v souvislosti s dohodami nebo ujednáními se třetími státy ohledně jejich účasti v operacích SBOP pro řešení krizí podle čl. 10 odst. 1 písm. c) přílohy A ředitelství ESVČ pro řešení krizí a krizové plánování po konzultaci s příslušnými útvary ESVČ případně předloží vysoké představitelce návrhy znění, která mají být předložena Radě ve smyslu čl. 218 odst. 3, 5 a 6 SFEU, a v koordinaci s příslušnými útvary Komise a generálním sekretariátem Rady podporuje vysokou představitelku při jednáních.

Pokud dohody o bezpečnosti informací vyžadují, aby byla mezi ředitelstvím ESVČ odpovědným za bezpečnost – v koordinaci s bezpečnostním ředitelstvím Generálního ředitelství pro lidské zdroje a bezpečnost Komise a bezpečnostní kanceláří generálního sekretariátu Rady – a příslušným bezpečnostním orgánem příslušného třetího státu nebo mezinárodní organizace dohodnuta technická prováděcí pravidla, musí tato pravidla zohlednit úroveň ochrany zajišťovanou platnými bezpečnostními předpisy, strukturami a postupy v dotyčném třetím státě nebo mezinárodní organizaci.

Pokud mezi ESVČ a třetím státem nebo mezinárodní organizací existuje dlouhodobá potřeba výměny informací, jejichž nejvyšší stupeň utajení není vyšší než RESTREINT UE / EU RESTRICTED, a pokud bylo stanoveno, že dotyčná strana nemá dostatečně rozvinutý bezpečnostní systém, který by jí umožnil uzavřít dohodu o bezpečnosti informací, může vysoká představitelka na základě jednomyslného kladného stanoviska Bezpečnostního výboru ESVČ v souladu s čl. 15 odst. 5 tohoto rozhodnutí uzavřít s příslušnými orgány dotyčného třetího státu nebo mezinárodní organizace správní ujednání.

Utajované informace EU nesmí být vyměňovány se třetím státem nebo mezinárodní organizací elektronickými prostředky, pokud tak není výslovně stanoveno v dohodě o bezpečnosti informací nebo správním ujednání.

V rámci správního ujednání o výměně utajovaných informací ESVČ i třetí stát nebo mezinárodní organizace zřídí registr, který bude při výměně utajovaných informací hlavním přijímacím a výstupním místem. V případě ESVČ to bude ústřední registr ESVČ.

Správní ujednání mají zpravidla formu výměny dopisů.

III. HODNOTÍCÍ NÁVŠTĚVY

Hodnotící návštěvy podle článku 17 tohoto rozhodnutí se provádějí po vzájemné dohodě s příslušným třetím státem nebo mezinárodní organizací a hodnotí:

a)	právní rámec použitelný pro ochranu utajovaných informací;

b)	veškeré zvláštnosti bezpečnostních právních předpisů, nařízení, politik nebo postupů třetího státu nebo mezinárodní organizace, které mohou ovlivnit nejvyšší stupeň utajení informací, jež mohou být vyměňovány;

c)	platná bezpečnostní opatření a postupy ochrany utajovaných informací a

d)	bezpečnostní prověrka pro stupeň utajení utajovaných informací EU, které mají být poskytovány.

Žádné utajované informace EU nebudou vyměňovány před uskutečněním hodnotící návštěvy a stanovením úrovně, na které mohou být utajované informace mezi stranami vyměňovány, a to na základě rovnocennosti úrovně ochrany, která jim bude poskytnuta.

Pokud je vysoká představitelka před uskutečněním takové hodnotící návštěvy informován o výjimečných nebo naléhavých důvodech pro výměnu utajovaných informací, ESVČ:

a)	nejprve požádá původce o písemný souhlas, že proti poskytnutí informací neexistují námitky;

b)	obrátí se na bezpečnostní orgán ESVČ, který může rozhodnout o poskytnutí informací, za předpokladu, že bylo získáno jednomyslné příznivé stanovisko členských států zastoupených v Bezpečnostním výboru ESVČ.

Nemůže-li ESVČ původce zjistit, převezme jeho odpovědnost bezpečnostní orgán ESVČ poté, co získal jednomyslné kladné stanovisko Bezpečnostního výboru ESVČ.

IV. ZMOCNĚNÍ K POSKYTOVÁNÍ UTAJOVANÝCH INFORMACÍ EU TŘETÍM STÁTŮM NEBO MEZINÁRODNÍM ORGANIZACÍM

10.

Pokud existuje rámec pro výměnu utajovaných informací se třetím státem nebo mezinárodní organizací v souladu s čl. 10 odst. 1 přílohy A, rozhodnutí o tom, že ESVČ poskytne třetímu státu nebo mezinárodní organizaci utajované informace EU, přijme bezpečnostní orgán ESVČ, který může touto pravomocí pověřit vyšší úředníky ESVČ nebo jiné jemu podřízené osoby.

11.

Pokud původcem utajovaných informací, které mají být poskytnuty, včetně původců výchozího materiálu, který mohou obsahovat, není ESVČ, musí ESVČ nejprve získat písemný souhlas původce, že proti poskytnutí informací neexistují námitky. Nemůže-li ESVČ původce zjistit, převezme jeho odpovědnost bezpečnostní orgán ESVČ poté, co získal jednomyslné kladné stanovisko členských států zastoupených v Bezpečnostním výboru ESVČ.

V. VÝJIMEČNÉ AD HOC POSKYTOVÁNÍ UTAJOVANÝCH INFORMACÍ EU

12.

Neexistuje-li žádný rámec podle čl. 10 odst. 1 přílohy A, a pokud zájmy EU nebo jednoho či více členských států vyžadují poskytnutí utajovaných informací EU z politických, operativních nebo naléhavých důvodů, mohou být utajované informace EU výjimečně poskytnuty třetímu státu nebo mezinárodní organizaci, jakmile jsou přijata tato opatření.

Ředitelství ESVČ odpovědné za bezpečnost poté, co zajistí splnění podmínek uvedených v bodě 11:

a)	v možném rozsahu ověří u bezpečnostních orgánů dotyčného třetího státu nebo mezinárodní organizace, že jejich bezpečnostní předpisy, struktury a postupy zaručují ochranu poskytnutých utajovaných informací EU v souladu se standardy, které nejsou méně přísné než standardy stanovené tímto rozhodnutím;

b)	požádá Bezpečnostní výbor ESVČ, aby na základě dostupných informací vydal stanovisko ohledně míry důvěry, kterou lze přikládat bezpečnostním předpisům, strukturám a postupům v třetím státě nebo mezinárodní organizaci, jimž mají být utajované informace EU poskytnuty;

c)	obrátí se na bezpečnostní orgán ESVČ, který může rozhodnout o poskytnutí informací, za předpokladu, že bylo získáno jednomyslné příznivé stanovisko členských států zastoupených v Bezpečnostním výboru ESVČ.

13.

Neexistuje-li některý z rámců uvedených v čl. 10 odst. 1 přílohy A, příslušná třetí strana se písemně zaváže k náležité ochraně utajovaných informací EU.

Dodatek A

Definice

Pro účely tohoto rozhodnutí se použijí tyto definice:

„akreditací“ se rozumí postup, jehož výsledkem je formální rozhodnutí orgánu pro bezpečnostní akreditaci, že určitý systém se schvaluje do provozu s určitým stupněm utajení, v určitém bezpečnostním módu v jeho provozním prostředí a s přijatelnou úrovní rizika na základě předpokladu, že je uplatňován schválený soubor technických, fyzických, organizačních a procedurálních bezpečnostních opatření;

„aktivem“ se rozumí cokoli s významem pro organizaci, její činnosti a jejich kontinuitu, včetně informačních zdrojů podporujících poslání organizace;

„oprávněním k přístupu k utajovaným informacím EU“ se rozumí oprávnění bezpečnostního orgánu ESVČ, které je udělováno příslušnými orgány členského státu v souladu s tímto rozhodnutím po vydání osvědčení o bezpečnostní prověrce personálu a kterým se osvědčuje, že určité osobě může být za podmínky, že bylo zjištěno, že tato osoba potřebuje znát utajované informace, umožněn přístup k utajovaným informacím EU až do konkrétního stupně utajení (CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyššího) a do konkrétního data – viz článek 2 přílohy A I;

„narušením bezpečnosti“ se rozumí opomenutí nebo jednání určité osoby v rozporu s bezpečnostními pravidly stanovenými tímto rozhodnutím a/nebo bezpečnostní politikou či bezpečnostními pokyny, kterými se stanoví opatření k jeho provádění;

„životním cyklem komunikačního a informačního systému“ se rozumí celé období existence komunikačního a informačního systému, které zahrnuje spuštění projektu, vytvoření koncepce, plánování, analýzu požadavků, vytvoření návrhu, vývoj, testování, zavedení, provoz, údržbu a vyřazení z provozu.

„utajovanou smlouvou“ se rozumí smlouva uzavřená ESVČ s určitým dodavatelem o dodání zboží, provedení prací nebo poskytnutí služeb, jejíž plnění vyžaduje nebo zahrnuje přístup k utajovaným informacím EU nebo jejich vytváření;

„utajovanou subdodavatelskou smlouvou“ se rozumí smlouva mezi dodavatelem ESVČ a jiným dodavatelem (tj. subdodavatelem) o dodání zboží, provedení prací nebo poskytnutí služeb, jejíž plnění vyžaduje nebo zahrnuje přístup k utajovaným informacím EU nebo jejich vytváření;

„komunikačním a informačním systémem“ se rozumí jakýkoli systém, který umožňuje nakládat s informacemi v elektronické podobě. Komunikační a informační systém zahrnuje všechna aktiva nezbytná k jeho fungování, včetně infrastruktury, organizace, personálu a informačních zdrojů; – viz čl. 8 odst. 2 přílohy A;

„ohrožením utajovaných informací EU“ se rozumí úplné nebo částečné zpřístupnění utajovaných informací EU neoprávněným osobám nebo subjektům – viz čl. 9 odst. 2;

„dodavatelem“ se rozumí fyzická nebo právnická osoba právně způsobilá k uzavírání smluv;

„kryptografickými prostředky“ se rozumějí šifrovací algoritmy, hardwarové a softwarové kryptografické moduly a prostředky, včetně prováděcích pravidel a související dokumentace, a klíče;

„operací SBOP“ se rozumí vojenská nebo civilní operace pro řešení krize zřízená podle hlavy V kapitoly 2 Smlouvy o EU;

„zrušením stupně utajení“ se rozumí odstranění veškerých stupňů utajení;

„hloubkovou ochranou“ se rozumí uplatňování řady bezpečnostních opatření, která jsou uspořádána jako několik obranných linií;

„určeným bezpečnostním orgánem“ se rozumí orgán podléhající vnitrostátnímu bezpečnostnímu orgánu členského státu, který odpovídá za informování průmyslových nebo jiných subjektů o vnitrostátní politice ohledně všech otázek průmyslové bezpečnosti a za poskytování pokynů a pomoci při jejím provádění. Funkci určeného bezpečnostního orgánu může vykonávat vnitrostátní bezpečnostní orgán nebo kterýkoli jiný příslušný orgán;

„dokumentem“ jakékoli zaznamenané informace bez ohledu na jejich fyzickou podobu či povahu;

„snížením stupně utajení“ označení informace nižším stupněm utajení;

„utajovanými informacemi EU“ se rozumějí jakékoli informace nebo materiály označené stupněm utajení EU, jejichž neoprávněné vyzrazení by mohlo různou měrou poškodit zájmy Evropské unie nebo jednoho či více členských států – viz čl. 2 písm. f);

„osvědčením o bezpečnostní prověrce zařízení“ se rozumí správní rozhodnutí NBÚ nebo určeného bezpečnostního orgánu, že určité zařízení může z hlediska bezpečnosti zajistit odpovídající úroveň ochrany utajovaných informací EU s určitým stupněm utajení a že personál zařízení, který vyžaduje přístup k utajovaným informacím EU, prošel příslušnou bezpečnostní prověrkou a byl poučen o příslušných bezpečnostních požadavcích nezbytných pro přístup k utajovaným informacím EU a k jejich ochraně;

„nakládáním“ s utajovanými informacemi EU se rozumí veškeré možné činnosti, jejichž předmětem mohou být utajované informace EU během celého svého životního cyklu. Zahrnuje jejich vytváření, zpracovávání, přenášení, snížení a zrušení jejich stupně utajení a ničení. V souvislosti s informačními a komunikačními systémy zahrnuje rovněž jejich shromažďování, zobrazení, přenášení a ukládání;

„držitelem“ se rozumí řádně oprávněná osoba, která jednoznačně potřebuje znát utajované informace EU a má v držení utajované informace EU, a je tedy odpovědná za jejich ochranu;

„průmyslovým nebo jiným subjektem“ se rozumí subjekt zapojený do dodávek zboží, provádění prací nebo poskytování služeb; může se jednat o subjekt působící v oblasti průmyslu, obchodu, služeb, vědy, výzkumu, vzdělávání či vývoje nebo o samostatně výdělečně činnou osobu;

„průmyslovou bezpečností“ se rozumí uplatňování opatření k zajištění ochrany utajovaných informací EU ze strany dodavatelů nebo subdodavatelů během jednání před uzavřením utajovaných smluv a během celého životního cyklu utajovaných smluv – viz čl. 9 odst. 1 přílohy A;

„zabezpečením informací“ v oblasti komunikačních a informačních systémů se rozumí jistota, že takové systémy ochrání informace, s nimiž nakládají, a že budou fungovat správně, když jsou zapotřebí, pod dohledem oprávněných uživatelů. Účinné zabezpečení informací zajišťuje příslušnou míru důvěrnosti, integrity, dostupnosti, nepopiratelnosti a autenticity informací. Zabezpečení informací je založeno na procesu řízení rizik – viz čl. 8 odst. 1 přílohy A;

„propojením“ se pro účely tohoto rozhodnutí rozumí přímé spojení dvou nebo více informačních systémů za účelem jednosměrného či vícesměrného sdílení údajů a dalších informačních zdrojů (například komunikace) – viz příloha A IV, bod 31;

„správou utajovaných informací“ se rozumí uplatňování administrativních opatření, která slouží ke kontrole utajovaných informací EU během celého jejich životního cyklu a doplňují opatření stanovená v článcích 5, 6 a 8, a pomáhají tak zabránit úmyslnému či neúmyslnému ohrožení či ztrátě takových informací, zjistit takové ohrožení nebo ztrátu informací a následně zajistit nápravu. Tato opatření se týkají zejména vytváření, evidence, kopírování, překladů, přenášení, ukládání, zpracovávání a ničení utajovaných informací EU – viz čl. 7 odst. 1 přílohy A;

„materiálem“ se rozumí jakýkoli dokument nebo část technického zařízení či vybavení, ať vyhotovené, či v procesu zhotovování;

„původcem“ se rozumí orgán, agentura nebo instituce EU, členský stát, třetí stát nebo mezinárodní organizace, z jejichž pověření byly utajované informace vytvořeny nebo uvedeny do struktur EU;

„personální bezpečností“ se rozumí uplatňování opatření, jež zajistí, že přístup k utajovaným informacím EU je umožněn pouze osobám, které:

—	utajované informace potřebují znát,

—	jsou pro přístup k utajovaným informacím se stupněm utajení CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšším bezpečnostně prověřeny pro odpovídající stupeň utajení nebo jsou jinak řádně oprávněni z titulu své funkce v souladu s vnitrostátními právními předpisy a

—	byly poučeny o svých povinnostech –

viz čl. 5 odst. 1 přílohy A;

„bezpečnostní prověrkou personálu“ pro přístup k utajovaným informacím EU se rozumí prohlášení příslušného orgánu členského státu, které je vydáno po skončení bezpečnostního řízení vedeného příslušnými orgány členského státu a kterým se osvědčuje, že určité osobě může být za podmínky, že bylo zjištěno, že potřebuje znát utajované informace, umožněn přístup k utajovaným informacím EU až do konkrétního stupně utajení (CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyššího) a do konkrétního data; osoba odpovídající tomuto popisu se označuje za „osobu s bezpečnostní prověrkou“;

„osvědčením o bezpečnostní prověrce personálu“ se rozumí osvědčení vydané bezpečnostním orgánem, v němž se uvede, že určitá osoba prošla bezpečnostní prověrkou a je držitelem platného osvědčení o bezpečnostní prověrce, nebo oprávnění k přístupu k utajovaným informacím EU vydaného vedoucím ředitelství odpovědného za bezpečnost, z kterého je zřejmý stupeň utajení utajovaných informací EU, k nimž může mít tato osoba přístup (CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyšší), datum platnosti příslušné bezpečnostní prověrky personálu a den skončení platnosti samotného osvědčení;

„fyzickou bezpečností“ se rozumí uplatňování fyzických a technických ochranných opatření s cílem zabránit neoprávněnému přístupu k utajovaným informacím EU – viz článek 6 přílohy A;

„bezpečnostními pokyny k programu/projektu“ se rozumí seznam bezpečnostních postupů, které se uplatňují u konkrétního programu/projektu s cílem standardizovat bezpečnostní postupy. Tyto pokyny lze revidovat během celé doby trvání programu/projektu;

„evidencí“ se rozumí uplatňování postupů, kterými se zaznamenává životní cyklus informací, včetně jejich distribuce a zničení, viz příloha A III, bod 21;

„zbytkovým rizikem“ se rozumí riziko, které přetrvává poté, co byla zavedena bezpečnostní opatření, neboť nelze čelit všem hrozbám a nelze odstranit všechna zranitelná místa;

„rizikem“ se rozumí možnost, že pro účely určité hrozby budou zneužita vnitřní a vnější zranitelná místa organizace nebo kteréhokoli ze systémů, jichž využívá, a dojde tak k poškození organizace a jejích hmotných či nehmotných aktiv. Měří se jako kombinace pravděpodobnosti, že dojde k ohrožením, a dopadu těchto ohrožení;

„přijetí rizika“ je rozhodnutí, kterým se vyjadřuje souhlas s tím, že po řešení rizika i nadále existuje zbytkové riziko;

„hodnocení rizika“ spočívá v rozpoznání hrozeb a zranitelných míst a v provádění analýzy souvisejícího rizika, tj. analýzy pravděpodobnosti a dopadu;

„sdělování rizika“ spočívá v rozvoji informovanosti o rizicích v rámci skupin uživatelů komunikačních a informačních systémů, v informování schvalovacích orgánů o těchto rizicích a podávání zpráv o těchto rizicích provozním orgánům;

„procesem řízení rizik“ se rozumí celý proces rozpoznávání, kontrolování a minimalizace problematických událostí, které mohou ovlivnit bezpečnost organizace nebo jakýchkoli systémů, které používá. Zahrnuje všechny činnosti týkající se rizik, včetně hodnocení, řešení, přijetí a sdělování;

„řešení rizika“ spočívá ve zmírnění, odstranění a omezení rizika (prostřednictvím vhodné kombinace technických, fyzických, organizačních nebo procedurálních opatření), přenesení rizika nebo monitorování rizika;

„seznamem bezpečnostních požadavků“ se rozumí soubor zvláštních smluvních podmínek vydaný zadavatelem, který je nedílnou součástí kterékoli utajované smlouvy, jejíž plnění vyžaduje přístup k utajovaným informacím EU nebo jejich vytváření, a který stanoví bezpečnostní požadavky nebo části smlouvy vyžadující bezpečnostní ochranu – viz příloha A V, oddíl II;

„příručkou pro stanovení stupňů utajení“ se rozumí dokument popisující prvky programu nebo smlouvy, které jsou utajované, přičemž stanoví použitelné stupně utajení. Příručka pro stanovení stupňů utajení může být rozšiřována během celé doby trvání programu nebo smlouvy a u jednotlivých prvků informací může dojít ke změně stupně utajení nebo ke snížení stupně utajení; pokud existuje příručka pro stanovení stupně utajení, je součástí seznamu bezpečnostních požadavků – viz příloha A V, oddíl II;

„bezpečnostním řízením“ se rozumějí postupy šetření prováděné příslušným orgánem členského státu v souladu s jeho právními předpisy za účelem získání záruky, že nejsou známy žádné negativní skutečnosti, které by bránily tomu, aby bylo určité osobě vydáno vnitrostátní osvědčení o bezpečnostní prověrce personálu nebo o bezpečnostní prověrce personálu EU pro přístup k utajovaným informacím EU až do konkrétního stupně utajení (CONFIDENTIEL UE / EU CONFIDENTIAL nebo vyššího);

„bezpečnostními provozními postupy“ se rozumí popis provádění bezpečnostní politiky, která má být přijata, provozní postupy, které se mají dodržovat, a odpovědnost personálu;

„citlivými neutajovanými informacemi“ se rozumí informace nebo materiál, které musí ESVČ chránit s ohledem na právní povinnost stanovenou ve Smlouvách nebo v aktech přijatých v rámci provádění Smluv a/nebo s ohledem na jejich citlivost. Mezi citlivé neutajované informace patří například (nikoli však výhradně) informace nebo materiály, které jsou profesním tajemstvím, jak je uvedeno v článku 339 SFEU, informace, které jsou předmětem zájmů chráněných článkem 4 nařízení Evropského parlamentu a Rady (ES) č. 1049/2001 (1) ve spojení s příslušnou judikaturou Soudního dvora Evropské unie, nebo osobní údaje v rámci oblasti působnosti nařízení (ES) č. 45/2001;

„prohlášením o bezpečnostních požadavcích na kontrolní systém“ se rozumí závazný soubor bezpečnostních zásad, které se mají dodržovat, a podrobných bezpečnostních požadavků, které se mají splnit; jsou základem certifikace a akreditace komunikačních a informačních systémů;

„opatřeními TEMPEST“ se rozumí zjišťování, zkoumání a kontrola v souvislosti s kompromitujícím elektromagnetickým vyzařováním a opatření k jeho potlačení;

„Hrozbou“ se rozumí možná příčina nežádoucího incidentu, jež může vést k poškození určité organizace nebo jakéhokoli systému, který používá; hrozby mohou být neúmyslné či úmyslné (zlovolné) a vyznačují se ohrožujícími prvky, potenciálními cíli a metodami útoku;

„zranitelným místem“ se rozumí slabé místo jakékoli povahy, které může být zneužito pro účely jedné nebo několika hrozeb. Zranitelnost může být výsledkem opomenutí nebo může souviset s nedostatky v rámci kontrol, pokud jde o jejich intenzitu, úplnost nebo důslednost, a může být technické, procedurální, fyzické, organizační nebo provozní povahy.

(1) Nařízení Evropského parlamentu a Rady (ES) č. 1049/2001 ze dne 30. května 2001 o přístupu veřejnosti k dokumentům Evropského parlamentu, Rady a Komise (Úř. věst. L 145, 31.5.2001, s. 43).

Dodatek B

Srovnávací tabulka bezpečnostní klasifikace

EU	TRÈS SECRET UE / EU TOP SECRET	SECRET UE / EU SECRET	CONFIDENTIEL UE / EU CONFIDENTIAL	RESTREINT UE/EU RESTRICTED
EURATOM	EURA TOP SECRET	EURA SECRET	EURA CONFIDENTIAL	EURA RESTRICTED
Belgie	Très Secret (Loi 11.12.1998) Zeer Geheim (Wet 11.12.1998)	Secret (Loi 11.12.1998) Geheim (Wet 11.12.1998)	Confidentiel (Loi 11.12.1998) Vertrouwelijk (Wet 11.12.1998)	viz poznámka (1) níže
Bulharsko	Cтpoгo ceкретно	Ceкретно	Поверително	За служебно ползване
Česká republika	Přísně tajné	Tajné	Důvěrné	Vyhrazené
Dánsko	Yderst hemmeligt	Hemmeligt	Fortroligt	Til tjenestebrug
Německo	STRENG GEHEIM	GEHEIM	VS (2) — VERTRAULICH	VS — NUR FÜR DEN DIENSTGEBRAUCH
Estonsko	Täiesti salajane	Salajane	Konfidentsiaalne	Piiratud
Irsko	Top Secret	Secret	Confidential	Restricted
Řecko	Άκρως Απόρρητο Abr: ΑΑΠ	Απόρρητο Abr: (ΑΠ)	Εμπιστευτικό Αbr: (ΕΜ)	Περιορισμένης Χρήσης Abr: (ΠΧ)
Španělsko	SECRETO	RESERVADO	CONFIDENCIAL	DIFUSIÓN LIMITADA
Francie	Très Secret Défense	Secret Défense	Confidentiel Défense	viz poznámka (3) níže
Chorvatsko	VRLO TAJNO	TAJNO	POVJERLJIVO	OGRANIČENO
Itálie	Segretissimo	Segreto	Riservatissimo	Riservato
Kypr	Άκρως Απόρρητο Αbr: (AΑΠ)	Απόρρητο Αbr: (ΑΠ)	Εμπιστευτικό Αbr: (ΕΜ)	Περιορισμένης Χρήσης Αbr: (ΠΧ)
Lotyšsko	Sevišķi slepeni	Slepeni	Konfidenciāli	Dienesta vajadzībām
Litva	Visiškai slaptai	Slaptai	Konfidencialiai	Riboto naudojimo
Lucembursko	Très Secret Lux	Secret Lux	Confidentiel Lux	Restreint Lux
Maďarsko	„Szigorúan titkos!“	„Titkos!“	„Bizalmas!“	„Korlátozott terjesztésű!“
Malta	L-Ogħla Segretezza	Sigriet	Kunfidenzjali	Ristrett
Nizozemsko	Stg. ZEER GEHEIM	Stg. GEHEIM	Stg. CONFIDENTIEEL	Dep. VERTROUWELIJK
Rakousko	Streng Geheim	Geheim	Vertraulich	Eingeschränkt
Polsko	Ściśle Tajne	Tajne	Poufne	Zastrzeżone
Portugalsko	Muito Secreto	Secreto	Confidencial	Reservado
Rumunsko	Strict secret de importanță deosebită	Strict secret	Secret	Secret de serviciu
Slovinsko	Strogo tajno	Tajno	Zaupno	Interno
Slovensko	Prísne tajné	Tajné	Dôverné	Vyhradené
Finsko	ERITTÄIN SALAINEN YTTERST HEMLIG	SALAINEN HEMLIG	LUOTTAMUKSELLINEN KONFIDENTIELL	KÄYTTÖ RAJOITETTU BEGRÄNSAD TILLGÅNG
Švédsko (4)	HEMLIG/TOP SECRET	HEMLIG/SECRET	HEMLIG/CONFIDENTIAL	HEMLIG/RESTRICTED
Švédsko (4)	HEMLIG AV SYNNERLIG BETYDELSE FÖR RIKETS SÄKERHET	HEMLIG	HEMLIG	HEMLIG
Spojené království	UK TOP SECRET	UK SECRET	Bez rovnocenné úrovně ochrany (5)	UK OFFICIAL – SENSITIVE

(1) Diffusion Restreinte / Beperkte Verspreiding není v Belgii stupněm utajení. Belgie nakládá s informacemi se stupněm utajení „RESTREINT UE/EU RESTRICTED“ a chrání je způsobem, který není méně přísný než standardy a postupy uvedené v bezpečnostních pravidlech Rady Evropské unie.

(2) Německo: VS = Verschlusssache.

(3) Francie ve svém vnitrostátním systému nepoužívá stupeň utajení „RESTREINT“. Francie nakládá s informacemi se stupněm utajení „RESTREINT UE/EU RESTRICTED“ a chrání je způsobem, který není méně přísný než standardy a postupy uvedené v bezpečnostních pravidlech Rady Evropské unie.

(4) Švédsko: označení stupňů utajení uvedená v horním řádku jsou používána orgány v oblasti obrany a označení ve spodním řádku jinými orgány.

(5) S informacemi se stupněm utajení CONFIDENTIEL UE/EU CONFIDENTIAL Spojené království nakládá a chrání je způsobem, který je v souladu s ochrannými bezpečnostními požadavky pro stupeň utajení UK SECRET.

Zavřít

32018D0410(01)Rozhodnutí vysoké představitelky Unie pro zahraniční věci a bezpečnostní politiku ze dne 19. září 2017 o bezpečnostních pravidlech pro Evropskou službu pro vnější činnost – ADMIN(2017) 10

Vyhledání konkrétního předpisu

Fulltextové vyhledávání