Akty Prawne
Dziennik Urzędowy Unii Europejskiej - Seria C
Dz.U.UE.C.2023.263.16

Decyzja Wysokiego Przedstawiciela Unii do Spraw Zagranicznych i Polityki Bezpieczeństwa z dnia 19 czerwca 2023 r. w sprawie przepisów bezpieczeństwa dla Europejskiej Służby Działań Zewnętrznych

DECYZJA WYSOKIEGO PRZEDSTAWICIELA UNII DO SPRAW ZAGRANICZNYCH I POLITYKI BEZPIECZEŃSTWA

z dnia 19 czerwca 2023 r.

w sprawie przepisów bezpieczeństwa dla Europejskiej Służby Działań Zewnętrznych

(2023/C 263/04)

WYSOKI PRZEDSTAWICIEL Unii do Spraw Zagranicznych i Polityki Bezpieczeństwa

Uwzględniając decyzję Rady 2010/427/UE z dnia 26 lipca 2010 r. określającą organizację i zasady funkcjonowania Europejskiej Służby Działań Zewnętrznych 1 (zwaną dalej "decyzją Rady 2010/427/UE"), w szczególności jej art. 10 ust. 1,

a także mając na uwadze, co następuje:

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

Artykuł 1

Przedmiot i zakres stosowania

W niniejszej decyzji określa się przepisy dotyczące bezpieczeństwa Europejskiej Służby Działań Zewnętrznych (dalej zwane "przepisami bezpieczeństwa ESDZ").

Zgodnie z art. 10 ust. 1 decyzji Rady 2010/427/UE ma ona zastosowanie do całego personelu ESDZ i całego personelu w delegaturach Unii, niezależnie od ich statusu administracyjnego lub pochodzenia, oraz ustanawia ogólne ramy regulacyjne służące skutecznemu zarządzaniu ryzykiem dla personelu podlegającego ESDZ, o którym mowa w art. 2, w odniesieniu do pomieszczeń, majątku, informacji i gości ESDZ.

Artykuł 2

Definicje

Do celów niniejszej decyzji stosuje się następujące definicje:

Pozostałe definicje do celów niniejszej decyzji są określone w odpowiednich załącznikach i w dodatku A.

Artykuł 3

Należyta staranność

Biorąc pod uwagę obowiązek dochowania należytej staranności spoczywający na państwach członkowskich, instytucjach lub organach UE i innych stronach posiadających personel w delegaturach Unii lub w pomieszczeniach należących do tych delegatur oraz obowiązek dochowania należytej staranności spoczywający na ESDZ w odniesieniu do delegatur Unii, które znajdują się w wyżej wymienionych pomieszczeniach należących do innych stron, ESDZ dokonuje z każdym z wyżej wymienionych podmiotów uzgodnień administracyjnych dotyczących odpowiednich ról i obowiązków, zadań i mechanizmów współpracy.

Artykuł 4

Bezpieczeństwo fizyczne i bezpieczeństwo infrastruktury

Artykuł 5

Stany alarmowe i sytuacje kryzysowe

Artykuł 6

Ochrona informacji niejawnych

Artykuł 7

Incydenty związane z bezpieczeństwem, sytuacje nadzwyczajne i reagowanie kryzysowe

Aby zapewnić terminową i skuteczną reakcję na incydenty związane z bezpieczeństwem, ESDZ tworzy procedurę zgłaszania takich incydentów i sytuacji nadzwyczajnych, która będzie działać dwadzieścia cztery godziny na dobę, siedem dni w tygodniu i będzie obejmować wszelkiego rodzaju incydenty dotyczące bezpieczeństwa lub zagrożenia dla interesów ESDZ w zakresie bezpieczeństwa (np. wypadki, konflikty, czyny dokonane w złym zamiarze, czyny przestępcze, porwania i wzięcia zakładników, nagłe przypadki medyczne, incydenty dotyczące systemów teleinformatycznych, cyberataki itp.).

Taka reakcja na incydenty dotyczące bezpieczeństwa/sytuacje nadzwyczajne/kryzysy obejmuje między innymi:

Artykuł 8

Bezpieczeństwo systemów teleinformatycznych

Artykuł 9

Naruszenia zasad bezpieczeństwa oraz narażenie na szwank informacji niejawnych

Artykuł 10

Dochodzenie w przypadku incydentów związanych z bezpieczeństwem, naruszeń bezpieczeństwa lub narażenia na szwank bezpieczeństwa oraz działania naprawcze

Bez uszczerbku dla art. 86 i załącznika IX do regulaminu pracowniczego 3 , dochodzenia w sprawie bezpieczeństwa mogą być wszczynane i prowadzone przez dyrekcję odpowiedzialną za bezpieczeństwo siedziby i bezpieczeństwo informacji ESDZ:

Organ ESDZ ds. bezpieczeństwa, wspomagany przez dyrekcję odpowiedzialną za bezpieczeństwo siedziby, [...] ESDZ i bezpieczeństwo informacji, przez dyrekcję odpowiedzialną za Centrum Reagowania Kryzysowego (CRC) oraz, w stosownych przypadkach, przez ekspertów z państw członkowskich lub innych instytucji UE, w stosownych przypadkach wdraża wszelkie niezbędne działania naprawcze wynikające z dochodzeń.

Jedynie pracownikom upoważnionym na podstawie imiennych uprawnień przyznanych przez organ ESDZ ds. bezpieczeństwa, z uwagi na ich bieżące obowiązki, można nadać uprawnienia do przeprowadzania i koordynowania postępowań sprawdzających w ESDZ.

Artykuł 11

Zarządzanie ryzykiem dla bezpieczeństwa

W celu określenia potrzeb ESDZ w zakresie bezpieczeństwa dotyczących ochrony dyrekcja odpowiedzialna za bezpieczeństwo siedziby i bezpieczeństwo informacji ESDZ oraz dyrekcja odpowiedzialna za centrum reagowania kryzysowego opracowują i aktualizują, w ścisłej współpracy z Dyrekcją ds. Bezpieczeństwa w Dyrekcji Generalnej ds. Zasobów Ludzkich i Bezpieczeństwa Komisji oraz, w stosownych przypadkach, z Dyrekcją Bezpieczeństwa i Ochrony Sekretariatu Generalnego Rady, kompleksową metodykę oceny ryzyka dla bezpieczeństwa.

Aby zapobiegać ryzyku związanemu z bezpieczeństwem i kontrolować je, upoważnieni pracownicy mogą dokonać kontroli przeszłości osób objętych zakresem niniejszej decyzji w celu ustalenia, czy przyznanie takim osobom dostępu do obiektów ESDZ lub jej informacji nie stanowi zagrożenia dla bezpieczeństwa. W tym celu i zgodnie z rozporządzeniem (UE) 2018/1725 odpowiedni upoważniony personel może:

Środki bezpieczeństwa w ESDZ dotyczące ochrony EUCI przez cały okres ich użyteczności są współmierne w szczególności do poziomu klauzuli tajności, postaci i ilości informacji lub materiału, lokalizacji i konstrukcji obiektów, w których przechowywane są EUCI, oraz zagrożenia, w tym oszacowanego na poziomie lokalnym zagrożenia działaniami podejmowanymi w złym zamiarze lub działalnością przestępczą, taką jak działalność szpiegowska, sabotażowa lub terrorystyczna.

Artykuł 12

Świadomość w kwestiach związanych z bezpieczeństwem i szkolenie

Organ ESDZ ds. bezpieczeństwa zapewnia, aby dyrekcja odpowiedzialna za bezpieczeństwo siedziby i bezpieczeństwo informacji ESDZ opracowała odpowiednie programy podnoszenia świadomości w zakresie bezpieczeństwa oraz szkolenia w zakresie bezpieczeństwa. Personel siedziby otrzymuje niezbędne briefingi i szkolenia w zakresie świadomości bezpieczeństwa, które mają być prowadzone przez zespoły ds. świadomości bezpieczeństwa w dyrekcji odpowiedzialnej za bezpieczeństwo siedziby i bezpieczeństwo informacji ESDZ. Pracownicy delegatur Unii, a także, w stosownych przypadkach, kwalifikujące się osoby pozostające na ich utrzymaniu, otrzymają niezbędne briefingi w zakresie świadomości bezpieczeństwa oraz szkolenia współmierne do ryzyka w ich miejscu pracy lub zamieszkania, które mają być prowadzone przez zespoły zarządzania bezpieczeństwem w koordynacji z dyrekcją odpowiedzialną za centrum reagowania kryzysowego.

Sekcja 1.

Przepisy ogólne

Organem ESDZ ds. bezpieczeństwa jest sekretarz generalny. Pełniąc tę funkcję, sekretarz generalny zapewnia, by:

utworzono system rejestrów w celu zapewnienia, aby informacje opatrzone klauzulą CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższą były przetwarzane w ESDZ zgodnie z niniejszą decyzją oraz wtedy, gdy są udostępniane państwom członkowskim UE, instytucjom, organom lub agencjom UE lub innym upoważnionym odbiorcom. Osobno prowadzi się rejestr wszystkich EUCI przekazywanych przez ESDZ państwom trzecim lub organizacjom międzynarodowym oraz wszystkich informacji niejawnych otrzymanych od państw trzecich lub organizacji międzynarodowych;

W tym względzie organ ESDZ ds.bezpieczeństwa:

Zgodnie z art. 10 ust. 3 decyzji Rady 2010/427/UE organ ESDZ ds. bezpieczeństwa jest wspierany w realizacji tych zadań wspólnie przez:

(i). dyrektora generalnego ds. zarządzania zasobami, wspomaganego przez dyrektora ds. bezpieczeństwa siedziby i bezpieczeństwa informacji ESDZ,

(ii). dyrektora centrum reagowania kryzysowego,

oraz, w stosownych przypadkach, przez zastępcę sekretarza generalnego ds. pokoju, bezpieczeństwa i obrony, w celu zapewnienia spójności ze środkami bezpieczeństwa, które mają zostać podjęte w odniesieniu do misji i operacji w dziedzinie WPBiO.

Każdy szef departamentu/działu jest odpowiedzialny za zapewnienie wdrożenia tych zasad, jak również wytycznych dotyczących bezpieczeństwa, o których mowa w art. 21 niniejszej decyzji, oraz wszelkich innych procedur lub środków mających na celu ochronę EUCI w ramach swojego departamentu/działu.

Oprócz wspomnianej wyżej odpowiedzialności, każdy kierownik departamentu/działu wyznacza personel do pełnienia funkcji koordynatora ds. bezpieczeństwa departamentu. Liczba pracowników pełniących takie funkcje musi być proporcjonalna do ilości EUCI przetwarzanych przez ten departament/dział.

Koordynatorzy ds. bezpieczeństwa w departamentach, w stosownych przypadkach, pomagają i wspierają kierownika departamentu/działu w wykonywaniu zadań związanych z bezpieczeństwem, takich jak:

O wszelkich działaniach lub kwestiach, które mogą mieć wpływ na bezpieczeństwo, powiadamia się w odpowiednim czasie dyrekcję odpowiedzialną za bezpieczeństwo siedziby i bezpieczeństwo informacji ESDZ.

Sekcja 2.

Dyrekcja odpowiedzialna za bezpieczeństwo siedziby i bezpieczeństwo informacji ESDZ

Dyrekcja odpowiedzialna za bezpieczeństwo siedziby i bezpieczeństwo informacji ESDZ administracyjnie podlega Dyrekcji Generalnej ds. Zarządzania Zasobami. Do jej zadań należy:

Dyrekcja odpowiedzialna za bezpieczeństwo siedziby i bezpieczeństwo informacji ESDZ jest wspomagana przez właściwe służby państw członkowskich, zgodnie z art. 10 ust. 3 decyzji Rady 2010/427/UE.

Dyrektor ds. bezpieczeństwa siedziby i bezpieczeństwa informacji ESDZ jest odpowiedzialny za:

Dyrekcja odpowiedzialna za bezpieczeństwo siedziby i bezpieczeństwo informacji ESDZ nawiązuje kontakty i utrzymuje ścisłą współpracę w swoim obszarze odpowiedzialności z:

Sekcja 3.

Dyrekcja odpowiadająca za centrum reagowania kryzysowego

Dyrekcja centrum reagowania kryzysowego:

Dyrektor centrum reagowania kryzysowego odpowiada za:

Dyrekcja odpowiedzialna za centrum reagowania kryzysowego nawiązuje kontakty i utrzymuje ścisłą współpracę w swoim obszarze odpowiedzialności z:

Sekcja 4.

Delegatury Unii

Każdy szef delegatury jest odpowiedzialny za lokalne wdrażanie wszystkich środków służących ochronie interesów bezpieczeństwa ESDZ w pomieszczeniach danej delegatury Unii i w zakresie jej kompetencji oraz za zarządzanie tymi środkami.

Pod kierunkiem centrum reagowania kryzysowego i w razie potrzeby w porozumieniu z właściwymi organami państwa przyjmującego podejmuje on wszelkie możliwe do wykonania działania w celu zapewnienia wprowadzenia odpowiednich środków fizycznych i organizacyjnych, aby wypełnić spoczywający na nim obowiązek dochowania należytej staranności.

W stosownych przypadkach szef delegatury opracowuje procedury bezpieczeństwa w celu ochrony uprawnionych osób pozostających na utrzymaniu, jak określono w art. 2 lit. c), biorąc pod uwagę wszelkie ustalenia administracyjne, o których mowa w art. 3 ust. 3.

Szef delegatury składa dyrektorowi centrum reagowania kryzysowego oraz dyrektorowi dyrekcji odpowiedzialnej za bezpieczeństwo siedziby i bezpieczeństwo informacji ESDZ sprawozdania dotyczące wszystkich kwestii związanych z obowiązkiem dochowania należytej staranności w ramach swoich kompetencji w odniesieniu do innych kwestii związanych z bezpieczeństwem.

Jest on wspomagany przez dyrekcję odpowiedzialną za centrum reagowania kryzysowego, zespół ds. zarządzania bezpieczeństwem w delegaturze Unii, w skład którego wchodzą pracownicy wykonujący zadania i funkcje w zakresie bezpieczeństwa, oraz, w razie potrzeby, personel ochrony. Dyrekcja odpowiedzialna za bezpieczeństwo siedziby i bezpieczeństwo informacji ESDZ udziela pomocy w swoim obszarze odpowiedzialności.

Delegatura Unii nawiązuje regularny kontakt i utrzymuje ścisłą współpracę w kwestiach bezpieczeństwa z misjami dyplomatycznymi państw członkowskich.

Ponadto szef delegatury:

Pozostając jednocześnie odpowiedzialnymi i rozliczalnymi za zapewnianie zarządzania bezpieczeństwem oraz za zapewnienie odporności korporacyjnej, szef delegatury może delegować wykonywanie zadań w zakresie bezpieczeństwa koordynatorowi delegatury ds. bezpieczeństwa ("DSC"), który jest zastępcą szefa delegatury lub, w przypadku braku mianowania, odpowiednim zastępcą.

W szczególności delegowane mogą zostać następujące obowiązki:

Delegaturę Unii wspomaga regionalny urzędnik ds. bezpieczeństwa. Regionalni urzędnicy ds. bezpieczeństwa pełnią niżej określone role w delegaturach Unii w swoich odpowiednich geograficznych zakresach kompetencji.

W pewnych okolicznościach, jeżeli wymaga tego aktualna sytuacja w zakresie bezpieczeństwa, do konkretnej delegatury Unii może zostać oddelegowany w pełnym wymiarze czasu pracy specjalny regionalny urzędnik ds. bezpieczeństwa.

Regionalny urzędnik ds. bezpieczeństwa może być zobowiązany do przeniesienia się poza obecny obszar odpowiedzialności, w tym do siedziby, lub nawet do objęcia stanowiska na miejscu zgodnie z sytuacją w zakresie bezpieczeństwa w dowolnym kraju oraz zgodnie z wymogami dyrekcji odpowiedzialnej za centrum reagowania kryzysowego.

Regionalni urzędnicy ds. bezpieczeństwa podlegają bezpośredniej kontroli operacyjnej służb w siedzibie ESDZ odpowiedzialnych za bezpieczeństwo w terenie, ale pozostają pod wspólną kontrolą administracyjną szefa delegatury w miejscu zatrudnienia i służb w siedzibie odpowiedzialnych za bezpieczeństwo w terenie. Zapewniają oni doradztwo i pomoc szefowi oraz personelowi delegatury Unii w organizowaniu i wdrażaniu wszystkich środków fizycznych, organizacyjnych i proceduralnych dotyczących bezpieczeństwa delegatury Unii.

Artykuł 14

Operacje w dziedzinie WPBiO i specjalni przedstawiciele UE

Dyrektor ds. bezpieczeństwa siedziby i bezpieczeństwa informacji ESDZ oraz dyrektor centrum reagowania kryzysowego doradzają, w obszarach odpowiedzialności ich dyrekcji oraz w razie potrzeby, dyrektorowi zarządzającemu ds. wspólnej polityki bezpieczeństwa i obrony (WPBiO), dyrektorowi generalnemu Sztabu Wojskowego UE (EUMS), również jako dyrektorowi Komórki Planowania i Prowadzenia Operacji Wojskowych (MPCC), oraz dyrektorowi zarządzającemu Komórki Planowania i Prowadzenia Operacji Cywilnych (CPCC), w zakresie aspektów bezpieczeństwa planowania i prowadzenia misji i operacji w dziedzinie WPBiO, a specjalnym przedstawicielom UE w odniesieniu do aspektów bezpieczeństwa ich mandatu, w uzupełnieniu do przepisów szczegółowych istniejących w tym zakresie w odpowiednich politykach przyjętych przez Radę.

Artykuł 15

Komitet ds. Bezpieczeństwa ESDZ

Niniejszym ustanawia się Komitet ds. Bezpieczeństwa ESDZ.

Komitetowi przewodniczy organ ESDZ ds. bezpieczeństwa lub wyznaczona przez niego osoba, a posiedzenia Komitetu odbywają się na polecenie przewodniczącego lub na wniosek jednego z członków. Dyrekcja odpowiedzialna za bezpieczeństwo siedziby i bezpieczeństwo informacji ESDZ oraz Dyrekcja odpowiedzialna za centrum reagowania kryzysowego wspierają przewodniczącego w obszarze ich odpowiedzialności i w razie potrzeby udzielają pomocy administracyjnej w pracach Komitetu.

Komitet ds. Bezpieczeństwa ESDZ składa się z przedstawicieli:

Delegacja państwa członkowskiego w Komitecie ds. Bezpieczeństwa ESDZ może składać się z członków:

Nie naruszając przepisów ust. 5 poniżej Komitet ds. Bezpieczeństwa ESDZ wspiera ESDZ, w formie konsultacji, we wszystkich kwestiach bezpieczeństwa istotnych dla działalności ESDZ oraz dla siedziby i delegatur Unii.

W szczególności, nie naruszając przepisów ust. 5 poniżej ESDZ

konsultuje się z Komitetem ds. Bezpieczeństwa ESDZ w sprawie:

Wszelkie zmiany zasad dotyczących ochrony EUCI. określonych w niniejszej decyzji i w załączniku A wymagają jednogłośnej pozytywnej opinii państw członkowskich reprezentowanych w Komitecie ds. Bezpieczeństwa ESDZ. Taka jednogłośna pozytywna opinia jest wymagana również przed:

Jeżeli wymagana jest jednogłośna pozytywna opinia, warunek ten zostanie spełniony, jeżeli delegacje państw członkowskich nie wyrażą sprzeciwu w trakcie prac komitetu.

Organizacja posiedzeń:

Artykuł 16

Kontrole bezpieczeństwa

Organ bezpieczeństwa ESDZ zapewnia regularne przeprowadzanie kontroli w zakresie bezpieczeństwa w siedzibie ESDZ i w delegaturach Unii w celu oceny adekwatności wdrożenia środków bezpieczeństwa oraz sprawdzenia ich zgodności z niniejszą decyzją. Dyrekcja odpowiedzialna za bezpieczeństwo siedziby i bezpieczeństwo informacji ESDZ, we współpracy z dyrekcją odpowiedzialną za centrum reagowania kryzysowego, może, w stosownych przypadkach, wyznaczyć ekspertów, którzy wezmą udział w kontrolach bezpieczeństwa w agencjach i organach UE utworzonych na mocy tytułu V rozdział 2 TUE.

Artykuł 17

Wizyty oceniające

Aby stwierdzić skuteczność środków bezpieczeństwa stosowanych w państwie trzecim lub organizacji międzynarodowej w celu ochrony EUCI wymienianych na mocy porozumienia administracyjnego wymienionego w art. 10 ust. 1 lit. b) załącznika A, przeprowadzane są wizyty oceniające.

Dyrekcja odpowiedzialna za bezpieczeństwo siedziby i bezpieczeństwo informacji ESDZ może wyznaczyć ekspertów, którzy wezmą udział w wizytach oceniających w państwach trzecich lub organizacjach międzynarodowych, z którymi UE zawarła umowę o bezpieczeństwie informacji, wspomnianą w art. 10 ust. 1 lit. a) załącznika A.

Artykuł 19

Porady dla osób podróżujących służbowo poza UE

Dyrekcja odpowiedzialna za centrum reagowania kryzysowego zapewnia dostępność porad w odniesieniu do podróży służbowych personelu podlegającego ESDZ poza UE, korzystając z zasobów wszystkich właściwych służb ESDZ - w szczególności INTCEN, komórki kontrwywiadowczej Dyrekcji Generalnej ds. Zarządzania Zasobami, departamentów geograficznych i delegatur Unii.

Dyrekcja odpowiedzialna za centrum reagowania kryzysowego udziela, na wniosek i korzystając z wyżej wymienionych zasobów, konkretnych porad dotyczących podróży służbowych personelu podlegającego ESDZ do państw trzecich o wysokim lub podwyższonym poziomie ryzyka.

Artykuł 21

Wdrożenie i przegląd

Sporządzono w Brukseli w dniu 19 czerwca 2023 r.

ZAŁĄCZNIK A

ZASADY I NORMY OCHRONY EUCI

Artykuł 2

Definicja EUCI, klauzule tajności i oznaczenia

EUCI otrzymują jedną z następujących klauzul tajności:

Artykuł 3

Zarządzanie klauzulami tajności

Artykuł 4

Ochrona informacji niejawnych

Jeżeli państwa członkowskie wprowadzają do struktur lub sieci ESDZ informacje niejawne, którym nadano krajową klauzulę tajności, ESDZ obejmuje te informacje ochroną zgodnie z wymogami, które mają zastosowanie do EUCI o równoważnej klauzuli tajności - zgodnie z tabelą równoważności klauzul tajności zamieszczoną w dodatku B.

ESDZ tworzy odpowiednie procedury w celu prowadzenia dokładnych rejestrów dotyczących wytwórcy:

Komitet ds. Bezpieczeństwa ESDZ jest informowany o tych procedurach.

Artykuł 5

Bezpieczeństwo osobowe przy przetwarzaniu informacji niejawnych UE

Bezpieczeństwo osobowe oznacza stosowanie środków zapewniających, aby dostęp do EUCI był przyznawany tylko tym osobom, które:

Artykuł 6

Bezpieczeństwo fizyczne informacji niejawnych UE

Artykuł 7

Zarządzanie informacjami niejawnymi

Zarządzanie informacjami niejawnymi polega na stosowaniu środków administracyjnych służących kontroli EUCI na wszystkich etapach ich cyklu życia w uzupełnieniu do środków przewidzianych w art. 5, 6 i 8, co ma pomóc w powstrzymywaniu zamierzonego lub przypadkowego narażenia na szwank tych informacji lub ich utraty i w wykrywaniu takich przypadków oraz w przywracaniu poprzedniego stanu po ich wystąpieniu. Środki takie dotyczą w szczególności wytwarzania, rejestracji, kopiowania, tłumaczenia, przemieszczania, przetwarzania, przechowywania i niszczenia EUCI.

Poza strefami chronionymi fizycznie EUCI są przekazywane między jednostkami organizacyjnymi i obiektami w sposób następujący:

gdy sposób, o którym mowa w lit. a), nie jest wykorzystywany, EUCI są przemieszczane:

Artykuł 8

Ochrona EUCI przetwarzanych w systemach teleinformatycznych

Wszystkie systemy teleinformatyczne, w których przetwarza się EUCI, przechodzą proces akredytacji. Celem akredytacji jest upewnienie się, że zastosowano wszystkie odpowiednie środki bezpieczeństwa i że osiągnięto wystarczający poziom ochrony EUCI oraz systemów teleinformatycznych zgodnie z niniejszą decyzją. W świadectwie akredytacji określa się najwyższą klauzulę tajności informacji, które mogą być przetwarzane w ramach danego systemu teleinformatycznego, oraz odpowiednie warunki.

Artykuł 9

Bezpieczeństwo przemysłowe

Wykonawcy lub podwykonawcy zarejestrowani w państwie członkowskim i uczestniczący w umowach niejawnych lub w niejawnych umowach o podwykonawstwo, którzy są zobowiązani do przetwarzania i przechowywania informacji niejawnych o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET w swoich obiektach, w ramach wykonywania takich umów lub na etapie poprzedzającym zawarcie umowy, posiadają świadectwo bezpieczeństwa przemysłowego (FSC) na odpowiednim poziomie klauzuli, przyznane przez krajowy organ bezpieczeństwa, wyznaczony organ bezpieczeństwa lub jakikolwiek inny właściwy organ bezpieczeństwa tego państwa członkowskiego.

Odpowiedni krajowy organ bezpieczeństwa, wyznaczony organ bezpieczeństwa lub jakikolwiek inny właściwy organ bezpieczeństwa wydaje pracownikom wykonawcy lub podwykonawcy, którym przy wykonywaniu umowy niejawnej niezbędny jest dostęp do informacji niejawnych o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET, poświadczenie bezpieczeństwa osobowego (PBO) zgodnie z krajowymi przepisami ustawowymi i wykonawczymi oraz minimalnymi normami bezpieczeństwa określonymi w załączniku A I.

Artykuł 10

Wymiana informacji niejawnych z państwami trzecimi i organizacjami międzynarodowymi

ESDZ może wymieniać EUCI z państwem trzecim lub organizacją międzynarodową wyłącznie w przypadku, gdy:

i spełniono warunki określone w tym akcie.

Wyjątki od ogólnej zasady opisanej powyżej określono w załączniku A VI sekcja V.

Porozumienia administracyjne, o których mowa w ust. 1 lit. b), zawierają postanowienia mające służyć temu, by w przypadku gdy państwa trzecie lub organizacje międzynarodowe otrzymają EUCI, informacje te były chronione w sposób odpowiadający ich klauzuli tajności i zgodny z minimalnymi normami, które nie mogą być mniej rygorystyczne niż normy określone w niniejszej decyzji.

Wymiana informacji na podstawie umów, o których mowa w ust. 1 lit. c), ogranicza się do informacji dotyczących operacji w dziedzinie WPBiO, w których dane państwo trzecie uczestniczy na podstawie tych umów i zgodnie z ich postanowieniami.

EUCI wytworzone do celów operacji w dziedzinie WPBiO mogą być ujawnione personelowi oddelegowanemu do tej operacji przez państwa trzecie lub organizacje międzynarodowe zgodnie z pkt 1-3 i załącznikiem A VI. Upoważniając taki personel do dostępu do EUCI w obiektach lub w ramach systemów teleinformatycznych operacji w dziedzinie WPBiO, stosuje się środki (w tym rejestrację ujawnianych EUCI) służące złagodzeniu ryzyka utraty lub narażenia na szwank informacji. Środki te są określane w odpowiednich dokumentach dotyczących planowania lub misji.

Decyzja o udostępnieniu państwu trzeciemu lub organizacji międzynarodowej EUCI posiadanych przez ESDZ podejmowana jest dla każdego przypadku z osobna, w zależności od charakteru i treści takich informacji, od tego, czy odbiorca spełnia wymóg zasady ograniczonego dostępu, i od tego, w jakim stopniu jest to korzystne dla UE.

Aby upewnić się, że nie ma przeciwwskazań do udostępnienia informacji, ESDZ zwraca się o pisemną zgodę do każdego podmiotu, który przekazał informację niejawną stanowiącą materiał źródłowy dla EUCI wytworzonej przez ESDZ.

Jeżeli wytwórcą informacji niejawnych, o których udostępnienie wystąpiono, nie jest ESDZ, ESDZ najpierw zwraca się o pisemną zgodę wytwórcy na ich udostępnienie.

Jeśli jednak ESDZ nie jest w stanie ustalić wytwórcy informacji, to organ bezpieczeństwa ESDZ przyjmuje na siebie odpowiedzialność wytwórcy po uzyskaniu jednogłośnej pozytywnej opinii państw członkowskich reprezentowanych w Komitecie ds. Bezpieczeństwa ESDZ.

Artykuł 11

Naruszenie zasad bezpieczeństwa i narażenie na szwank informacji niejawnych

Jeżeli wiadomo lub istnieją uzasadnione podstawy, by podejrzewać, że informacje niejawne zostały narażone na szwank lub utracone, dyrekcja odpowiedzialna za bezpieczeństwo siedziby i bezpieczeństwo informacji ESDZ informuje krajowy organ bezpieczeństwa danego państwa członkowskiego (krajowe organy bezpieczeństwa danych państw członkowskich) i podejmuje wszelkie właściwe środki zgodnie z odpowiednimi przepisami ustawowymi i wykonawczymi w celu:

Podczas trwania dochodzenia w sprawie naruszenia lub narażenia na szwank, szef dyrekcji odpowiedzialnej za bezpieczeństwo siedziby i bezpieczeństwo informacji ESDZ może zawiesić dostęp danej osoby do EUCI i do obiektów ESDZ. O takiej decyzji informuje się niezwłocznie Dyrekcję ds. Bezpieczeństwa w Dyrekcji Generalnej ds. Zasobów Ludzkich i Bezpieczeństwa w Komisji, Dyrekcję Bezpieczeństwa i Ochrony Sekretariatu Generalnego Rady lub krajowy organ bezpieczeństwa państwa członkowskiego lub państw członkowskich lub inne podmioty, których sprawa dotyczy.

ZAŁĄCZNIK A I

BEZPIECZEŃSTWO OSOBOWE

"Poświadczenie bezpieczeństwa osobowego" do celów dostępu do EUCI jest to oświadczenie przez właściwy organ państwa członkowskiego dokonane w następstwie zakończenia postępowania w sprawie bezpieczeństwa przeprowadzonego przez właściwe organy państwa członkowskiego; w dokumencie tym zaświadcza się, że dana osoba może, o ile ustalono jej potrzeby w ramach zasady ograniczonego dostępu, otrzymać dostęp do EUCI do ustalonego poziomu (klauzula CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższa) do określonego terminu; o takiej osobie mówi się, że została "sprawdzona pod względem bezpieczeństwa".

"Uprawnienie do dostępu do EUCI" jest to zezwolenie przez organ bezpieczeństwa ESDZ, udzielane zgodnie z niniejszą decyzją po wydaniu poświadczenia bezpieczeństwa osobowego przez właściwe organy państwa członkowskiego, i zaświadczające, że dana osoba może, o ile ustalono jej potrzeby w ramach zasady ograniczonego dostępu, uzyskać dostęp do EUCI do ustalonego poziomu klauzuli niejawności (CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższej) do określonego terminu. o takiej osobie mówi się, że została "sprawdzona pod względem bezpieczeństwa".

Dostęp do informacji opatrzonych klauzulą niejawności RESTREINT UE/EU RESTRICTED nie wymaga poświadczenia bezpieczeństwa i jest udzielany po:

Daną osobę można uprawnić do dostępu do informacji niejawnych o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższej wyłącznie po:

Procedury związane z ubieganiem się o PBO w ESDZ

12.

Po zakończeniu postępowania sprawdzającego właściwy krajowy organ bezpieczeństwa powiadamia dyrekcję ESDZ odpowiedzialną za bezpieczeństwo siedziby i bezpieczeństwo informacji ESDZ o wynikach takiego postępowania.

Jeżeli w wyniku dochodzenia w sprawie bezpieczeństwa nie uzyskuje się takiej pewności, organ bezpieczeństwa ESDZ powiadamia o tym fakcie daną osobę, a ona może się do niego zwrócić z prośbą o wysłuchanie. Organ bezpieczeństwa ESDZ może zwrócić się do właściwego krajowego organu bezpieczeństwa o przedstawienie wszelkich dalszych wyjaśnień, których organ ten może udzielić zgodnie z krajowymi przepisami ustawowymi i wykonawczymi. Jeżeli wynik zostanie potwierdzony, nie wydaje się upoważnienia do dostępu do EUCI. W takim wypadku ESDZ podejmuje wszystkie właściwe środki w celu uniemożliwienia takiej osobie wszelkiego dostępu do EUCI.

16.

Jeżeli okres wykonywania przez daną osobę obowiązków służbowych nie rozpocznie się w terminie 12 miesięcy od powiadomienia organu bezpieczeństwa ESDZ o wyniku postępowania sprawdzającego lub jeżeli w pełnieniu obowiązków przez daną osobę występuje przerwa trwająca 12 miesięcy lub dłużej, w czasie której osoba ta nie jest zatrudniona w ESDZ, ani w innych instytucjach, agencjach czy organach UE, ani też na żadnym stanowisku w administracji krajowej państwa członkowskiego wymagającym dostępu do informacji niejawnych, wynik postępowania sprawdzającego jest przekazywany odpowiedniemu krajowemu organowi bezpieczeństwa w celu potwierdzenia, czy nadal pozo- staje ważny i właściwy.

17.

Jeżeli ESDZ znajdzie się w posiadaniu informacji o ryzyku naruszenia zasad bezpieczeństwa przez osobę, która posiada ważne PBO, ESDZ - działając zgodnie z odpowiednimi zasadami i przepisami wykonawczymi - powiadamia o tym odpowiedni krajowy organ bezpieczeństwa i może zawiesić dostęp do EUCI lub wycofać uprawnienie do dostępu do EUCI. Jeżeli krajowy organ bezpieczeństwa powiadomi ESDZ o utracie pewności uzyskanej zgodnie z pkt 12 lit. a) w odniesieniu do osoby posiadającej ważne uprawnienie do dostępu do EUCI, organ bezpieczeństwa ESDZ może zwrócić się o przedstawienie wszelkich dalszych wyjaśnień, których krajowy organ bezpieczeństwa może udzielić zgodnie z krajowymi przepisami ustawowymi i wykonawczymi. Jeżeli niekorzystne informacje zostaną potwierdzone, wspomniane upoważnienie zostaje cofnięte, a osobie takiej odbiera się prawo dostępu do EUCI i odsuwa się ją od stanowisk, na których taki dostęp jest możliwy lub na których osoba ta mogłaby zagrażać bezpieczeństwu.

18.

O każdej decyzji w sprawie cofnięcia członkowi personelu ESDZ uprawnienia do dostępu do EUCI, a także w stosownych przypadkach o przyczynach tego cofnięcia, powiadamia się daną osobę, a ona może zwrócić się do organu bezpieczeństwa ESDZ z prośbą o wysłuchanie. Informacje przedstawione przez krajowy organ bezpieczeństwa podlegają odpowiednim przepisom ustawowym i wykonawczym obowiązującym w danym państwie członkowskim, w tym także przepisom dotyczącym środków odwoławczych. Decyzje organu bezpieczeństwa ESDZ mogą być przedmiotem odwołania na warunkach przewidzianych w art. 90 i 91 regulaminu pracowniczego.

Rejestr PBO

Zwolnienia z wymogu posiadania PBO

25.

Wszystkie osoby, które są upoważnione do dostępu do EUCI lub muszą wykorzystywać te informacje, na początku powiadamiane są o zagrożeniach bezpieczeństwa, a następnie regularnie informowane o tych zagrożeniach; osoby te muszą bezzwłocznie zgłaszać wszelkie zdarzenia lub wszelką działalność, które uznają za podejrzane lub nietypowe, odpowiednim koordynatorom ds. bezpieczeństwa w danym departamencie lub delegaturze oraz dyrekcji odpowiedzialnej za bezpieczeństwo siedziby i bezpieczeństwo informacji ESDZ.

26.

Wszystkie osoby, które uzyskały uprawnienie do dostępu do EUCI, podlegają stałym środkom bezpieczeństwa osobowego (tj. stałej opiece) przez cały okres przetwarzania EUCI. Stałe bezpieczeństwo osobowe wchodzi w zakres odpowiedzialności:

(b)

bezpośrednich przełożonych: odpowiadają oni za ustalenie prawa dostępu danej osoby oraz za to, aby ich personel był zaznajomiony ze środkami bezpieczeństwa i własnymi obowiązkami w zakresie ochrony EUCI, a także za monitorowanie postępowania personelu w zakresie bezpieczeństwa oraz za rozwiązywanie we własnym zakresie wszelkich problemów związanych z bezpieczeństwem lub przekazywanie właściwym organom ds. bezpieczeństwa wszelkich niekorzystnych informacji, które mogą mieć wpływ na PBO podlegającego im personelu lub na ich uprawnienia do dostępu do EUCI;

(c)

osób odpowiedzialnych za bezpieczeństwo w ramach organizacji bezpieczeństwa ESDZ, o której mowa w art. 12 niniejszej decyzji: osoby te odpowiadają za organizowanie szkoleń dla zapewnienia, by personel na ich obszarze był okresowo informowany na temat bezpieczeństwa; za kształtowanie solidnej kultury bezpieczeństwa w ich obszarze odpowiedzialności, za wprowadzenie środków monitorowania postępowania personelu w zakresie bezpieczeństwa oraz za zgłaszanie właściwym organom ds. bezpieczeństwa wszelkich niekorzystnych informacji, które mogą mieć znaczenie dla PBO którejkolwiek osoby;

28.

W nagłych przypadkach, jeżeli jest to należycie uzasadnione interesami ESDZ, oraz w oczekiwaniu na zakończenie pełnego postępowania sprawdzającego organ bezpieczeństwa ESDZ może, po konsultacji z krajowym organem bezpieczeństwa państwa członkowskiego, którego obywatelem jest dana osoba, oraz z zastrzeżeniem, że wynik wstępnego sprawdzenia nie wykazał niekorzystnych informacji, wydać urzędnikom i innym pracownikom ESDZ tymczasowe upoważnienie do dostępu do EUCI, by mogli wykonać określone zadania. Pełne postępowanie sprawdzające należy przeprowadzić w najbliższym możliwym terminie. Takie tymczasowe upoważnienia zachowają ważność przez okres nieprzekraczający sześciu miesięcy i nie uprawniają do dostępu do informacji niejawnych o klauzuli tajności TRES SECRET UE/EU TOP SECRET. Wszystkie osoby, którym przyznano tymczasowe upoważnienie, potwierdzają na piśmie, że zrozumiały spoczywające na nich obowiązki w zakresie ochrony EUCI i konsekwencje narażenia na szwank EUCI. Takie pisemne potwierdzenie jest przechowywane przez dyrekcję odpowiedzialną za bezpieczeństwo siedziby i bezpieczeństwo informacji ESDZ.

29.

Jeżeli dana osoba ma objąć stanowisko, które wymaga PBO na poziomie o jeden poziom wyższym niż aktualnie przez nią posiadany, może ona tymczasowo pełnić obowiązki związane z tym stanowiskiem, pod warunkiem że:

31.

W szczególnie wyjątkowych okolicznościach, takich jak misje prowadzone we wrogim środowisku lub w okresie rosnącego napięcia międzynarodowego, i gdy wymagają tego środki nadzwyczajne, w szczególności w celu ratowania życia ludzkiego, Wysoki Przedstawiciel, organ bezpieczeństwa ESDZ lub dyrektor generalny ds. zarządzania zasobami mogą udzielić, w miarę możliwości na piśmie, dostępu do informacji niejawnych o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET osobom, które nie posiadają wymaganego PBO, pod warunkiem że takie zezwolenie jest absolutnie niezbędne. Dyrekcja odpowiedzialna za bezpieczeństwo i bezpieczeństwo informacji ESDZ rejestruje takie zezwolenie, opisując informacje, do których dostęp został zatwierdzony.

35.

Osoby wyznaczone do udziału w posiedzeniach w siedzibie ESDZ i w delegaturach Unii, podczas których omawiane są informacje niejawne o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższej, mogą brać w nich udział tylko po potwierdzeniu statusu ich PBO. W przypadku przedstawicieli państw członkowskich i urzędników Sekretariatu Generalnego Rady oraz Komisji ich ZPBO lub inny dowód posiadania przez nich PBO przesyłany jest przez właściwe organy do dyrekcji odpowiedzialnej za bezpieczeństwo siedziby i bezpieczeństwo informacji ESDZ lub do koordynatora delegatury Unii ds. bezpieczeństwa bądź - w sytuacjach wyjątkowych - przedstawiany jest przez osobę, której dotyczy. W stosownych przypadkach można zastosować zbiorczy wykaz nazwisk, przedstawiając odpowiednie dowody posiadania PBO.

ZAŁĄCZNIK A II

BEZPIECZEŃSTWO FIZYCZNE INFORMACJI NIEJAWNYCH UE

Środki bezpieczeństwa fizycznego mają na celu zapobieżenie nieuprawnionemu dostępowi do EUCI przez:

ESDZ stosuje w swoich obiektach proces zarządzania ryzykiem służący ochronie EUCI, aby zapewnić poziom ochrony fizycznej proporcjonalny do szacowanego ryzyka. Proces zarządzania ryzykiem uwzględnia wszelkie istotne czynniki, a w szczególności:

Stosując koncepcję ochrony w głąb, organ bezpieczeństwa ESDZ określa właściwą kombinację środków bezpieczeństwa fizycznego, które należy zastosować. Mogą one obejmować jeden z poniższych środków lub większą ich liczbę:

14.

W przypadku stref administracyjnych:

15.

W przypadku stref bezpieczeństwa:

16.

Jeżeli wejście do strefy bezpieczeństwa jest w praktyce równoznaczne z bezpośrednim dostępem do informacji niejawnych znajdujących się w tej strefie, zastosowanie mają następujące dodatkowe wymogi:

17.

Strefy bezpieczeństwa chronione przed podsłuchem uznawane są za strefy technicznie zabezpieczone. Zastosowanie mają następujące dodatkowe wymogi:

18.

Niezależnie od pkt 17 lit. d), zanim urządzenia komunikacyjne i sprzęt elektryczny lub elektroniczny zostaną użyte w strefach, w których odbywają się posiedzenia lub prowadzone są prace związane z wykorzystaniem informacji niejawnych o klauzuli tajności SECRET UE/EU SECRET i wyższej, a także jeżeli ocenia się, że istnieje wysokie zagrożenie dla EUCI, takie urządzenia i taki sprzęt zostają najpierw sprawdzone przez zespół ds. technicznych środków przeciwdziałania zagrożeniom działający w dyrekcji odpowiedzialnej za bezpieczeństwo siedziby i bezpieczeństwo i bezpieczeństwo informacji ESDZ w celu zapewnienia, aby żadne zrozumiałe informacje nie zostały nieumyślnie ani nielegalnie przesłane przez taki sprzęt poza granicę strefy bezpieczeństwa.

21.

Dla każdej strefy bezpieczeństwa opracowywane są procedury bezpieczeństwa określające:

23.

Przetwarzanie EUCI o klauzuli tajności RESTREINT UE/EU RESTRICTED może się odbywać:

25.

Przetwarzanie EUCI o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET może się odbywać:

poza strefą bezpieczeństwa lub strefą administracyjną, pod warunkiem że ich posiadacz:

28.

EUCI o klauzuli tajności TRES SECRET UE/EU TOP SECRET przechowywane są w strefie bezpieczeństwa w siedzibie, przy spełnieniu jednego z następujących warunków:

lub

31.

Kody są zapamiętywane przez jak najmniejszą liczbę osób, którym ich znajomość jest niezbędna. Kody do zabezpieczonych szaf i wzmocnionych pomieszczeń, w których przechowywane są EUCI, są zmieniane:

ZAŁĄCZNIK A III

ZARZĄDZANIE INFORMACJAMI NIEJAWNYMI

Klauzule tajności i oznaczenia

CONFIDENTIEL UE/EU CONFIDENTIAL RESTREINT UE/EU RESTRICTED bez załącznika(-ów)

Oznaczenia

11.

Oprócz jednej z klauzul tajności określonych w art. 2 ust. 2 załącznika A EUCI mogą być opatrzone dodatkowymi oznaczeniami, takimi jak:

Skrócone oznaczenia klauzul tajności

16.

Przy wytwarzaniu dokumentu niejawnego UE:

Obniżanie i znoszenie klauzul tajności EUCI

19.

ESDZ przeprowadza regularne przeglądy EUCI znajdujących się w jego posiadaniu, by stwierdzić, czy dana klauzula tajności ma nadal zastosowanie. ESDZ tworzy system służący do przeglądu klauzul tajności nadanych zarejestrowanym EUCI, których jest wytwórcą, nie rzadziej niż co pięć lat. Taki przegląd nie jest konieczny, jeżeli wytwórca określił na samym początku czas, po upływie którego klauzula tajności nadana danym informacjom zostanie automatycznie obniżona lub zniesiona, a informacje te zostały odpowiednio oznaczone.

Każda delegatura Unii tworzy własną kancelarię tajną na potrzeby EUCI.

Organ bezpieczeństwa ESDZ wyznacza dyrektora ds. kancelarii tajnych.

Kancelarie tajne TRES SECRET UE/EU TOP SECRET

W obrębie budynku lub grupy budynków stanowiącej zamkniętą całość

Na terytorium UE

35.

Przemieszczanie informacji niejawnych o klauzuli tajności SECRET UE/EU SECRET na terytorium UE odbywa się za pomocą jednego z następujących środków:

osobiście, pod warunkiem że:

W przypadku przemieszczania z jednego państwa członkowskiego do drugiego przepisy lit. c) są ograniczone do informacji niejawnych o klauzuli tajności do poziomu CONFIDENTIEL UE/EU CONFIDENTIAL.

Z terytorium UE na terytorium państwa trzeciego lub pomiędzy podmiotami UE w państwach trzecich

39.

Przemieszczanie informacji niejawnych o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL i SECRET UE/EU SECRET z terytorium Unii na terytorium państwa trzeciego i przemieszczanie jakichkolwiek EUCI o klauzuli tajności do SECRET UE/EU SECRET włącznie między podmiotami UE w państwach trzecich, odbywa się za pomocą jednego z następujących środków:

osobiście, pod warunkiem że:

Kontrole ESDZ w zakresie bezpieczeństwa

49.

Zgodnie z art. 16 niniejszej decyzji kontrole ESDZ w zakresie bezpieczeństwa obejmują:

kontrole w zakresie bezpieczeństwa EUCI, mające na celu ocenę, ogólnie pod kątem akredytacji, skuteczności środków podjętych w celu ochrony EUCI w siedzibie głównej ESDZ i w delegaturach Unii.

W szczególności takie kontrole przeprowadza się m.in., aby:

Przeprowadzanie kontroli ESDZ w zakresie bezpieczeństwa i związana z tym sprawozdawczość

Zespół kontrolny ma dostęp do wszystkich miejsc, w których przetwarzane są EUCI, w szczególności do kancelarii tajnych i punktów, w których znajdują się systemy teleinformatyczne.

54.

Pod koniec kontroli w zakresie bezpieczeństwa kontrolowanemu podmiotowi przedstawiane są główne wnioski i zalecenia. Następnie zespół kontrolny sporządza sprawozdanie z kontroli. W przypadku gdy zostały zaproponowane działania naprawcze i zalecenia, w raporcie zamieszcza się odpowiednio szczegółowe dane uzasadniające dojście do takich wniosków. Sprawozdanie jest przekazywane organowi ESDZ ds. bezpieczeństwa, dyrektorowi centrum reagowania kryzysowego, w odniesieniu do kontroli w zakresie bezpieczeństwa w delegaturach Unii, oraz szefowi kontrolowanego podmiotu.

Pod nadzorem dyrekcji odpowiedzialnej za bezpieczeństwo siedziby i bezpieczeństwo informacji ESDZ sporządza się regularne sprawozdania w celu uwypuklenia wniosków wyciągniętych z kontroli przeprowadzonych w określonym czasie i zbadanych przez Komitet ds. Bezpieczeństwa ESDZ.

Przeprowadzanie kontroli w zakresie bezpieczeństwa w agencjach i organach UE ustanowionych na mocy tytułu V rozdział 2 TUE i związana z tym sprawozdawczość.

Lista kontrolna dotycząca kontroli ESDZ w zakresie bezpieczeństwa

ZAŁĄCZNIK IV

OCHRONA EUCI PRZETWARZANYCH W SYSTEMACH TELEINFORMATYCZNYCH

Następujące cechy i koncepcje zabezpieczania informacji są niezbędne dla bezpieczeństwa i prawidłowego funkcjonowania operacji dokonywanych w ramach systemów teleinformatycznych:

Autentyczność:	gwarancja, że informacje są prawdziwe i pochodzą z rzetelnych źródeł;
dostępność:	cecha polegająca na tym, że informacje są dostępne i gotowe do wykorzystania na wniosek uprawnionego podmiotu;
poufność:	cecha polegająca na tym, że informacje nie są ujawniane nieupoważnionym osobom, podmiotom ani do celów nieuprawnionego przetwarzania;
integralność:	cecha polegająca na ochronie dokładności i kompletności informacji i zasobów;
niezaprzeczalność:	możliwość udowodnienia, że działanie lub wydarzenie miało miejsce, aby następnie nie można było zaprzeczyć wystąpieniu tego działania lub wydarzenia.

Zarządzanie ryzykiem dla bezpieczeństwa

Zarządzanie ryzykiem dla bezpieczeństwa stanowi integralną część definiowania, rozwijania, obsługiwania i konserwacji systemów teleinformatycznych. Zarządzanie ryzykiem (ocena, zmniejszanie, akceptacja i powiadamianie) jest prowadzone jako proces iteracyjny wspólnie przez przedstawicieli właścicieli systemu, organy odpowiedzialne za projekt, organy operacyjne oraz organy zatwierdzające bezpieczeństwo, w ramach sprawdzonego, przejrzystego i w pełni zrozumiałego procesu oceny ryzyka. Zakres stosowania systemów teleinformatycznych oraz ich zasobów jest jasno definiowany na początku procesu zarządzania ryzykiem.

Szczególne wymogi, skala i stopień szczegółowości określone przez odpowiedni organ ds. akredytacji bezpieczeństwa (SAA) do celów przyznania akredytacji systemu teleinformatycznego są proporcjonalne do szacowanego ryzyka z uwzględnieniem wszystkich odpowiednich czynników, w tym poziomu klauzuli tajności EUCI przetwarzanych w danym systemie teleinformatycznym. Akredytacja obejmuje oficjalne oświadczenie o ryzyku szczątkowym oraz akceptację ryzyka szczątkowego przez odpowiedzialny organ.

Bezpieczeństwo w całym cyklu życia systemów teleinformatycznych

Optymalne rozwiązania

Ochrona w głąb

16.

Aby zmniejszyć ryzyko zagrażające systemowi teleinformatycznemu, wdrażany jest pakiet technicznych i innych środków bezpieczeństwa o strukturze różnych poziomów ochrony. Poziomy te obejmują:

Zasada minimalizmu i najmniejszych uprawnień

Świadomość zabezpieczania informacji

21.

Świadomość ryzyka i dostępnych środków bezpieczeństwa stanowi pierwszą linię obrony bezpieczeństwa systemu teleinformatycznego. W szczególności wszyscy członkowie personelu związani z systemem teleinformatycznym na poszczególnych etapach jego cyklu życia, w tym użytkownicy, powinni zrozumieć:

Ocena i zatwierdzanie produktów służących bezpieczeństwu systemów informatycznych

26.

Przed zaleceniem organowi ESDZ ds. zatwierdzania produktów kryptograficznych w zatwierdzenia produktów kryptograficznych, zgodnie z art. 8 ust. 5 niniejszej decyzji, produkty te muszą uzyskać pozytywny wynik podczas zewnętrznej oceny dokonywanej przez odpowiednio wykwalifikowany organ (AQUA) państwa członkowskiego, które nie jest zaangażowane w projektowanie ani wytwarzanie tego sprzętu. Wymagany stopień szczegółowości oceny zewnętrznej zależy od przewidywanego najwyższego poziomu klauzuli tajności EUCI, które mają być chronione za pomocą tych produktów.

Transmisja w strefie bezpieczeństwa

Bezpieczne połączenia międzysystemowe systemu teleinformatycznego

33.

Wszystkie połączenia międzysystemowe systemu teleinformatycznego z innym systemem informatycznym spełniają następujące podstawowe wymogi:

34.

Pomiędzy systemem teleinformatycznym posiadającym akredytację a siecią niezabezpieczoną lub publiczną brak jest połączeń międzysystemowych z wyjątkiem sytuacji, w których w ramach systemu teleinformatycznego zainstalowano w tym celu zatwierdzone BPS między systemem teleinformatycznym a siecią niezabezpieczoną lub publiczną. Środki bezpieczeństwa dotyczące takich połączeń międzysystemowych są poddawane przeglądowi przez właściwy organ ds. zabezpieczania informacji i zatwierdzane przez właściwy organ ds. akredytacji bezpieczeństwa.

Gdy sieć niezabezpieczona lub publiczna wykorzystywana jest wyłącznie jako nośnik, a dane zostały zaszyfrowane przy wykorzystaniu produktu kryptograficznego zatwierdzonego zgodnie z art. 8 ust. 5 niniejszej decyzji, takiego połączenia nie uznaje się za połączenie międzysystemowe.

Komputerowe nośniki informacji

Okoliczności nadzwyczajne

39.

EUCI można transmitować z wykorzystaniem produktów kryptograficznych zatwierdzonych dla niższego poziomu klauzuli tajności lub w postaci niezaszyfrowanej za zgodą właściwego organu, jeżeli wszelka zwłoka spowodowałaby szkody wyraźnie większe od szkód, które mogłoby spowodować ujawnienie materiałów niejawnych, oraz jeżeli:

Organ ds. zabezpieczania informacji (IAA)

43.

Organ ds. zabezpieczania informacji (IAA) odpowiada za:

Organ ds. zatwierdzania produktów kryptograficznych (CAA)

Organ ds. dystrybucji produktów kryptograficznych (CDA)

46.

CDA odpowiada za:

47.

SAA jest w każdym systemie odpowiedzialny za:

Rada ds. akredytacji bezpieczeństwa (SAB)

49.

Wspólna SAB jest odpowiedzialna za przyznawanie akredytacji systemu teleinformatycznego działającym pod nadzorem zarówno organu ds. akredytacji bezpieczeństwa w ESDZ, jak i SAA państw członkowskich. W skład tej rady wchodzi po jednym przedstawicielu SAA z każdego państwa członkowskiego, a w jej obradach uczestniczy przedstawiciel SAA z SGR i Komisji. Inne podmioty posiadające połączenia z danym systemem teleinformatycznym są zapraszane do uczestnictwa w obradach, gdy omawiany jest ten system.

Obradom SAB przewodniczy przedstawiciel organu ds. akredytacji bezpieczeństwa w ESDZ. SAB podejmuje decyzje na zasadzie konsensusu przedstawicieli SAA z instytucji, państw członkowskich i innych podmiotów posiadających połączenia z danym systemem teleinformatycznym. SAB sporządza okresowe sprawozdania ze swojej działalności i przedstawia je Komitetowi ds. Bezpieczeństwa ESDZ oraz informuje go o wszystkich świadectwach akredytacji.

Operacyjny organ ds. zabezpieczania informacji

50.

Operacyjny organ ds. zabezpieczania informacji odpowiada w każdym systemie za:

ZAŁĄCZNIK A V

BEZPIECZEŃSTWO PRZEMYSŁOWE

Przewodnik nadawania klauzul (PNK)

Do określania klauzuli tajności różnych elementów umowy niejawnej zastosowanie mają następujące zasady:

Instrukcje bezpieczeństwa programu/projektu (IBP)

W zależności od zakresu programów lub projektów obejmujących dostęp do EUCI, ich wykorzystywanie lub przechowywanie, organ wyznaczony do zarządzania danym programem lub projektem może sporządzić specjalne instrukcje bezpieczeństwa programu/projektu (IBP). IBP wymagają zatwierdzenia przez krajowy organ bezpieczeń- stwa/wyznaczony organ bezpieczeństwa państw członkowskich lub jakikolwiek inny właściwy organ bezpieczeństwa uczestniczący w programie/projekcie i mogą zawierać dodatkowe wymogi bezpieczeństwa.

Dyrekcja odpowiedzialna za bezpieczeństwo siedziby i bezpieczeństwo informacji ESDZ zwraca się do krajowego organu bezpieczeństwa/wyznaczonego organu bezpieczeństwa, lub jakiegokolwiek innego właściwego organu bezpieczeństwa państwa danego członkowskiego o wydanie SBP w celu zaświadczenia zgodnie z krajowymi przepisami ustawowymi i wykonawczymi, że dany podmiot prowadzący działalność gospodarczą lub inną jest w stanie zapewnić w swoich obiektach ochronę EUCI odpowiadającą określonemu poziomowi klauzuli tajności (CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET). Do czasu przekazania ESDZ potwierdzenia wydania SBP żadnemu faktycznemu ani potencjalnemu wykonawcy ani podwykonawcy nie udziela się ani nie umożliwia się dostępu do EUCI.

W stosownych przypadkach ESDZ, jako instytucja zamawiająca, powiadamia odpowiedni krajowy organ bezpieczeń- stwa/wyznaczony organ bezpieczeństwa lub jakikolwiek inny właściwy organ bezpieczeństwa o tym, że na etapie poprzedzającym zawarcie umowy lub do wykonywania umowy wymagane jest SBP. SBP lub PBO są wymagane na etapie poprzedzającym zawarcie umowy, jeżeli podczas składania ofert mają być dostarczone EUCI o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET.

15.

ESDZ informuje wykonawców, którzy zamierzają zatrudnić obywatela państwa trzeciego na stanowisku wymagającym dostępu do EUCI, że za ustalenie, zgodnie z niniejszą decyzją, czy tej osobie można udzielić dostępu do takich informacji, odpowiada krajowy organ bezpieczeństwa/wyznaczony organ bezpieczeństwa państwa członkowskiego, w którym znajduje się siedziba podmiotu zatrudniającego i w którym ten podmiot jest zarejestrowany; do obowiązków tego krajowego organu bezpieczeństwa/wyznaczonego organu bezpieczeństwa należy również potwierdzenie, że przed udzieleniem takiego dostępu uzyskano zgodę wytwórcy informacji.

18.

W przypadku rozwiązania lub wygaśnięcia takich umów ESDZ, jako instytucja zamawiająca (lub, w odpowiednim przypadku, krajowy organ bezpieczeństwa/wyznaczony organ bezpieczeństwa lub jakikolwiek inny właściwy organ bezpieczeństwa w przypadku umowy o podwykonawstwo) niezwłocznie powiadamia o tym fakcie krajowy organ bezpieczeństwa/wyznaczony organ bezpieczeństwa lub jakikolwiek inny właściwy organ bezpieczeństwa państwa członkowskiego, w którym zarejestrowany jest wykonawca lub podwykonawca.

26.

Jeżeli ESDZ lub wykonawcy bądź podwykonawcy niezbędny jest w związku z wykonaniem umowy niejawnej dostęp do informacji niejawnych o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET w swoich obiektach, organizowane są wizyty wraz z krajowym organem bezpieczeństwa/wyznaczonym organem bezpieczeństwa lub jakimkolwiek innym właściwym organem bezpieczeństwa. Pozostaje to bez uszczerbku dla prerogatyw krajowego organu bezpieczeństwa/wyznaczonego organu bezpieczeństwa, w ramach konkretnych projektów, do uzgodnienia procedury pozwalającej na bezpośrednie organizowanie takich wizyt.

31.

Podczas transportu materiału niejawnego jako ładunku do określania zabezpieczeń stosuje się następujące zasady:

38.

Jeżeli umowa obejmuje przetwarzanie informacji niejawnych o klauzuli tajności RESTREINT UE/EU RESTRICTED w ramach systemu teleinformatycznego, który eksploatuje wykonawca, ESDZ, jako instytucja zamawiająca, zapewnia, aby umowa lub jakakolwiek umowa o podwykonawstwo określała niezbędne wymogi techniczne i administracyjne dotyczące akredytacji systemu teleinformatycznego, które są proporcjonalne do szacowanego ryzyka z uwzględnieniem wszystkich odpowiednich czynników. Zakres akredytacji dla takiego systemu teleinformatycznego jest uzgadniany między instytucją zamawiającą a odpowiednim krajowym organem bezpieczeństwa/wyznaczonym organem bezpieczeństwa.

ZAŁĄCZNIK A VI

WYMIANA INFORMACJI NIEJAWNYCH Z PAŃSTWAMI TRZECIMI I ORGANIZACJAMI MIĘDZYNARODOWYMI

W celu wsparcia WP w wykonywaniu jego obowiązków określonych w art. 218 TFUE:

W przypadku gdy umowy o bezpieczeństwie informacji przewidują techniczne ustalenia wykonawcze, które mają zostać uzgodnione między dyrekcją odpowiedzialną za bezpieczeństwo siedziby i bezpieczeństwo informacji ESDZ a właściwym organem bezpieczeństwa danego państwa trzeciego lub danej organizacji międzynarodowej, takie uzgodnienia uwzględniają poziom ochrony przewidziany w przepisach, strukturach i procedurach bezpieczeństwa obowiązujących w danym państwie trzecim lub danej organizacji międzynarodowej. Dyrekcja odpowiedzialna za bezpieczeństwo siedziby i bezpieczeństwo informacji ESDZ koordynuje działania w odniesieniu do takich ustaleń z Dyrekcją ds. Bezpieczeństwa w Dyrekcji Generalnej ds. Zasobów Ludzkich i Bezpieczeństwa w Komisji oraz z Dyrekcją Bezpieczeństwa i Ochrony Sekretariatu Generalnego Rady.

Jeżeli istnieje długoterminowa potrzeba wymiany przez ESDZ z państwem trzecim lub organizacją międzynarodową informacji niejawnych o klauzuli tajności z reguły nie wyższej niż RESTREINT UE/EU RESTRICTED i jeżeli ustalono, że dana strona nie dysponuje wystarczająco rozwiniętym systemem bezpieczeństwa, tak aby było możliwe zawarcie umowy o bezpieczeństwie informacji, WP, po uzyskaniu jednomyślnej pozytywnej opinii Komitetu ds.. Bezpieczeństwa ESDZ, zgodnie z art. 15 ust. 5 niniejszej decyzji, może zawrzeć porozumienie administracyjne z właściwymi organami danego państwa trzeciego lub danej organizacji międzynarodowej.

Wizyty oceniające, o których mowa w art. 17 niniejszej decyzji, przeprowadza się w porozumieniu z danym państwem trzecim lub daną organizacją międzynarodową i służą one ocenie:

Jeżeli w oczekiwaniu na taką wizytę oceniającą WP zostanie powiadomiony o jakichkolwiek wyjątkowych lub pilnych powodach wymiany informacji niejawnych, organ ESDZ ds. bezpieczeństwa:

Jeśli ESDZ nie jest w stanie ustalić wytwórcy informacji, organ ESDZ ds. bezpieczeństwa przyjmuje na siebie odpowiedzialność wytwórcy po uzyskaniu jednomyślnej przychylnej opinii Komitetu ds. Bezpieczeństwa ESDZ.

11.

Jeżeli ESDZ nie jest wytwórcą informacji niejawnych, które mają zostać udostępnione, ani wytwórcą materiału źródłowego, który mogą one zawierać, to organ ESDZ ds. bezpieczeństwa najpierw zwraca się o pisemną zgodę wytwórcy w celu ustalenia, że nie ma przeciwwskazań dla udostępnienia tej informacji. Jeśli ESDZ nie jest w stanie ustalić wytwórcy informacji, organ ESDZ ds. bezpieczeństwa przyjmuje na siebie odpowiedzialność wytwórcy po uzyskaniu jednogłośnej przychylnej opinii państw członkowskich reprezentowanych w Komitecie ds. Bezpieczeństwa ESDZ.

Organ ESDZ ds. bezpieczeństwa, po zapewnieniu spełnienia warunków określonych w pkt 11 powyżej:

Dodatek A

Definicje

Do celów niniejszej decyzji stosuje się następujące definicje:

(a)

"akredytacja" oznacza proces prowadzący do formalnego stwierdzenia przez organ ds. akredytacji bezpieczeństwa (SAA), że określony system jest zatwierdzony do celów działania na zdefiniowanym poziomie klauzuli tajności, w konkretnym trybie bezpiecznej pracy systemu w swoim środowisku operacyjnym oraz na poziomie ryzyka możliwym do zaakceptowania, przy założeniu, że wdrożony został zatwierdzony zestaw technicznych, fizycznych, organizacyjnych i proceduralnych środków bezpieczeństwa;

(c)

"uprawnienie do dostępu do EUCI" oznacza uprawnienie wydawane zgodnie z niniejszą decyzją przez organ ESDZ ds. bezpieczeństwa po wydaniu PBO przez odpowiednie organy państwa członkowskiego, stanowiące poświadczenie, że dana osoba - o ile ustalono jej potrzebę zgodnie z zasadą ograniczonego dostępu - może uzyskać dostęp do EUCI opatrzonych klauzulą tajności do określonego poziomu (CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższego) do określonego terminu zgodnie z art. 2 załącznika A I;

(o)

"wyznaczony organ bezpieczeństwa" oznacza organ podporządkowany krajowemu organowi bezpieczeństwa państwa członkowskiego, odpowiedzialny za informowanie podmiotów prowadzących działalność gospodarczą lub inną o krajowej polityce w zakresie wszelkich kwestii związanych z bezpieczeństwem przemysłowym oraz za udzielanie wskazówek i pomocy w ich wdrażaniu. Zadania wyznaczonego organu bezpieczeństwa może wykonywać krajowy organ bezpieczeństwa lub dowolny inny właściwy organ;

(s)

"świadectwo bezpieczeństwa przemysłowego" oznacza stwierdzenie przez krajowy organ bezpieczeństwa lub wyznaczony organ bezpieczeństwa w wyniku procedur administracyjnych, że z punktu widzenia bezpieczeństwa dany obiekt jest w stanie zapewnić odpowiednią ochronę EUCI opatrzonych określoną klauzulą tajności, a personel tego obiektu, któremu niezbędny jest dostęp do EUCI, został odpowiednio sprawdzony pod względem bezpieczeństwa i odebrał instruktaż dotyczący odpowiednich wymogów bezpieczeństwa niezbędnych do uzyskania dostępu do EUCI i do ochrony EUCI;

(x)

"zabezpieczanie informacji" w ramach systemów teleinformatycznych oznacza pewność, że systemy te będą chronić informacje, które są w nich przetwarzane, i będą działać zgodnie z przeznaczeniem, w razie potrzeby pod kontrolą uprawnionych użytkowników. Skuteczne zabezpieczanie informacji gwarantuje odpowiedni poziom poufności, integralności, dostępności, niezaprzeczalności i autentyczności. Zabezpieczanie informacji opiera się na procesie zarządzania ryzykiem - zob. art. 8 ust. 1 załącznika A;

(z)

"zarządzanie informacjami niejawnymi" polega na stosowaniu środków administracyjnych służących kontroli EUCI na wszystkich etapach ich cyklu życia w uzupełnieniu środków przewidzianych w art. 5, 6 i 8, co ma pomóc w powstrzymywaniu od zamierzonego lub przypadkowego narażenia na szwank bezpieczeństwa tych informacji lub ich utraty i w wykrywaniu takich przypadków oraz w przywracaniu poprzedniego stanu po ich wystąpieniu. Środki takie dotyczą w szczególności wytwarzania, rejestracji, kopiowania, tłumaczenia, przenoszenia, przetwarzania, przechowywania i niszczenia EUCI - zob. art. 7 ust. 1 załącznika A;

(cc)

"bezpieczeństwo osobowe" oznacza stosowanie środków zapewniających, aby dostęp do EUCI był przyznawany tylko tym osobom, które:

(dd)

"poświadczenie bezpieczeństwa osobowego" (PBO) do celów dostępu do EUCI oznacza oświadczenie wydane przez właściwy organ państwa członkowskiego w następstwie zakończenia postępowania w sprawie bezpieczeństwa przeprowadzonego przez właściwe organy państwa członkowskiego; w dokumencie tym zaświadcza się, że dana osoba może, o ile ustalono jej potrzeby w ramach zasady ograniczonego dostępu, otrzymać dostęp do EUCI do ustalonego poziomu (klauzula CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższa) do określonego terminu; o takiej osobie mówi się, że została "sprawdzona pod względem bezpieczeństwa";

(ee)

"zaświadczenie potwierdzające posiadanie poświadczenia bezpieczeństwa osobowego" (ZPBO) jest to zaświadczenie wydawane przez właściwy organ, stwierdzające, że dana osoba została sprawdzona pod względem bezpieczeństwa i posiada odpowiednie poświadczenie bezpieczeństwa osobowego lub upoważnienie od dyrektora odpowiedzialnego za bezpieczeństwo siedziby i bezpieczeństwo informacji ESDZ; poświadczenie to wskazuje poziom EUCI, do którego danej osobie można udzielić dostępu (CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższy), datę ważności odnośnego PBO oraz datę ważności samego zaświadczenia;

(tt)

"szczególnie chronione informacje jawne" to informacje lub materiały, które ESDZ musi chronić z powodu zobowiązań prawnych określonych w Traktatach lub aktach prawnych przyjętych w celu ich wykonania lub ze względu na ich szczególną ochronę. Szczególnie chronione informacje jawne obejmują między innymi informacje lub materiały objęte ze względu na swój charakter obowiązkiem tajemnicy zawodowej, o którym mowa w art. 339 TFUE, informacje objęte interesami chronionymi na mocy art. 4 rozporządzenia (WE) nr 1049/2001 6 w związku z odpowiednim orzecznictwem Trybunału Sprawiedliwości Unii Europejskiej lub dane osobowe objęte zakresem rozporządzenia (UE) nr 2018/1725;

(vv)

"TEMPEST" oznacza sprawdzenie, analizę i kontrolę emisji elektromagnetycznych umożliwiających przechwycenie danych oraz środki służące tłumieniu takich emisji;

Dodatek B

Równoważność klauzul tajności

UE	TRES SECRET UE/EU TOP SECRET	TRÈS SECRET UE/UE TOP SECRET	SECRET UE/EU SECRET CONFIDENTIEL UE/EU CONFIDENTIAL	RESTREINT UE/EU RESTRICTED
EURATOM	EURA TOP SECRET	EURA SECRET	EURA CONFIDENTIAL	EURA RESTRICTED
Belgia	Très Secret (Loi 11.12.1998) Zeer Geheim (Wet 11.12.1998)	Secret (Loi 11.12.1998) Geheim (Wet 11.12.1998)	Confidentiel (Loi 11.12.1998) Vertrouwelijk (Wet 11.12.1998)	Uwaga (1) poniżej
Bułgaria	Crporo CeKpeTHO	CeKpeTHO	nOBepUTenHO	3a cnyxeÓHO noH3BaHe
Republika Czeska	Přísně tajné	Tajné	Důvěrné	Vyhrazené
Dania	YDERST HEMMELIGT	HEMMELIGT	FORTROLIGT	TIL TJENESTEBRUG
Niemcy	STRENG GEHEIM	GEHEIM	VS (2) - VERTRAULICH	VS - NUR FÜR DEN DIENSTGEBRAUCH
Estonia	Taiesti salajane	Salajane	Konfidentsiaalne	Piiratud
Irlandia	Top Secret	Secret	Confidential	Restricted
Grecja	AKpwqAnóppnTO Abr: AAn	AnóppnTO Abr: (An)	EpnioTCUTiKÓ Abr: (EM)	ncpiopiopèvnç Xpńons Abr: (nX)
Hiszpania	SECRETO	RESERVADO	CONFIDENCIAL	DIFUSIÓN LIMITADA
Francja	TRÈS SECRET TRÈS SECRET DÉFENSE (3)	SECRET SECRET DÉFENSE (3)	CONFIDENTIEL DÉFENSE (3) (4)	Nota (5) below
Chorwacja	VRLO TAJNO	TAJNO	POVJERLJIVO	OGRANIČENO
Włochy	Segretissimo	Segreto	Riservatissimo	Riservato
Cypr	AKpwqAnóppnTO Abr: (AAn)	AnóppnTO Abr: (An)	EuniOTCUTiKÓ Abr: (EM)	ncpiopiopèvnç Xpńons Abr: (nX)
Łotwa	Sevišķi slepeni	Slepeni	Konfidenciāli	Dienesta vajadzībām
Litwa	Visiškai slaptai	Slaptai	Konfidencialiai	Riboto naudojimo
Luksemburg	Très Secret Lux	Secret Lux	Confidentiel Lux	Restreint Lux
Węgry	"Szigorúan titkos!"	"Titkos!"	"Bizalmas!"	"Korlátozott terjesztésű!"
Malta	L-Oghla Segretezza Top Secret	Sigriet Secret	Kunfidenzjali Confidential	Ristrett Restricted (6)
Niderlandy	Stg. ZEER GEHEIM	Stg. GEHEIM	Stg. CONFIDENTIEEL	Dep. VERTROUWELIJK
Austria	Streng Geheim	Geheim	Vertraulich	Eingeschränkt
Polska	Ściśle Tajne	Tajne	Poufne	Zastrzeżone
Portugalia	Muito Secreto	Secreto	Confidential	Reservado
Rumunia	Strict secret de importantä deosebitä	Strict secret	Secret	Secret de serviciu
Słowenia	STROGO TAJNO	TAJNO	ZAUPNO	INTERNO
Słowacja	Prísne tajné	Tajné	Dôverné	Vyhradené
Finlandia	ERITTÄIN SALAINEN YTTERST HEMLIG	SALAINEN HEMLIG	LUOTTAMUKSELLI- NEN KONFIDENTIELL	KÄYTTÖ RAJOITETTU BEGRÄNSAD TILLGÅNG
Szwecja	Kvaliciferat hemlig	Hemlig	Konfidentiell	Begränsat hemlig
⁽¹⁾ Diffusion Restreinte/Beperkte Verspreiding nie jest w Belgii uznawane za klauzulę tajności. W Belgii pracuje się z wykorzystaniem informacji oznaczonych "RESTREINT UE/EU RESTRICTED" i chroni je w sposób nie mniej rygorystyczny, niż przewidują to normy i procedury opisane w przepisach bezpieczeństwa Rady Unii Europejskiej.
⁽²⁾ Niemcy: VS = Verschlusssache.
⁽³⁾ Informacje wytworzone przez Francję przed dniem 1 lipca 2021 r. i opatrzone klauzulą "TRÈS SECRET DÉFENSE", "SECRET DÉFENSE" oraz "CONFIDENTIEL DÉFENSE" są nadal przetwarzane i chronione na równoważnym poziomie odpowiednio "TRÈS SECRET UE/EU TOP SECRET", "SECRET UE/EU SECRET" oraz "CONFIDENTIEL UE/EU CONFIDENTIAL".
⁽⁴⁾ We Francji pracuje się z wykorzystaniem informacji niejawnych oznaczonych "CONFIDENTIEL UE/EU CONFIDENTIAL" i chroni je zgodnie z obowiązującymi we Francji środkami bezpieczeństwa służącymi ochronie informacji oznaczonych klauzulą "SECRET".
⁽⁵⁾ Francja nie stosuje klauzuli "RESTREINT" w swoim systemie krajowym. We Francji pracuje się z wykorzystaniem informacji oznaczonych "RESTREINT UE/EU RESTRICTED" i chroni je w sposób nie mniej rygorystyczny, niż przewidują to normy i procedury opisane.
⁽⁶⁾ W przypadku Malty oznaczenia maltańskie i angielskie można stosować wymiennie.

1 Dz.U. L 201 z 3.8.2010, s. 30.

2 Dz.U. C 126 z 10.04.2018, s. 1.

3 Regulamin pracowniczy urzędników Unii Europejskiej i warunki zatrudnienia innych pracowników Unii Europejskiej, zwane dalej "regulaminem pracowniczym"

4 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2018/1725 z dnia 23 października 2018 r.w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych (Dz.U. L 295 z 21.11.2018, s. 39).

5 Dz.U. C 126 z 10.4.2018, s. 1.

6 Rozporządzenie (WE) nr 1049/2001 Parlamentu Europejskiego i Rady z dnia 30 maja 2001 r. w sprawie publicznego dostępu do dokumentów Parlamentu Europejskiego, Rady i Komisji (Dz.U. L 145 z 31.5.2001, s. 43).

Zmiany w prawie

Powstańcy nie zapłacą podatku dochodowego od nagród

Minister finansów zaniecha poboru podatku dochodowego od nagród przyznawanych w 2024 roku powstańcom warszawskim oraz ich małżonkom. Zgodnie z przygotowanym przez resort projektem rozporządzenia, zwolnienie będzie dotyczyło nagród przyznawanych przez radę miasta Warszawy od 1 stycznia do końca grudnia tego roku.

Monika Pogroszewska 06.05.2024

Data 30 kwietnia dla wnioskodawcy dodatku osłonowego może być pułapką

Choć ustawa o dodatku osłonowym wskazuje, że wnioski można składać do 30 kwietnia 2024 r., to dla wielu mieszkańców termin ten może okazać się pułapką. Datą złożenia wniosku jest bowiem data jego wpływu do organu. Rząd uznał jednak, że nie ma potrzeby doprecyzowania tej kwestii. A już podczas rozpoznawania poprzednich wniosków, właśnie z tego powodu wielu mieszkańców zostało pozbawionych świadczeń.

Robert Horbaczewski 30.04.2024

Rząd chce zmieniać obowiązujące regulacje dotyczące czynników rakotwórczych i mutagenów

Rząd przyjął we wtorek projekt zmian w Kodeksie pracy, którego celem jest nowelizacja art. 222, by dostosować polskie prawo do przepisów unijnych. Chodzi o dodanie czynników reprotoksycznych do obecnie obwiązujących regulacji dotyczących czynników rakotwórczych i mutagenów. Nowela upoważnienia ustawowego pozwoli na zmianę wydanego na jej podstawie rozporządzenia Ministra Zdrowia w sprawie substancji chemicznych, ich mieszanin, czynników lub procesów technologicznych o działaniu rakotwórczym lub mutagennym w środowisku pracy.

Grażyna J. Leśniak 16.04.2024

Bez kary za brak lekarza w karetce do końca tego roku

W ponad połowie specjalistycznych Zespołów Ratownictwa Medycznego brakuje lekarzy. Ministerstwo Zdrowia wydłuża więc po raz kolejny czas, kiedy Narodowy Fundusz Zdrowia nie będzie pobierał kar umownych w przypadku niezapewnienia lekarza w zespołach ratownictwa. Pierwotnie termin wyznaczony był na koniec czerwca tego roku.

Beata Dązbłaż 10.04.2024

Będzie zmiana ustawy o rzemiośle zgodna z oczekiwaniami środowiska

Rozszerzenie katalogu prawnie dopuszczalnej formy prowadzenia działalności gospodarczej w zakresie rzemiosła, zmiana definicji rzemiosła, dopuszczenie wykorzystywania przez przedsiębiorców, niezależnie od formy prowadzenia przez nich działalności, wszystkich kwalifikacji zawodowych w rzemiośle, wymienionych w ustawie - to tylko niektóre zmiany w ustawie o rzemiośle, jakie zamierza wprowadzić Ministerstwo Rozwoju i Technologii.

Grażyna J. Leśniak 08.04.2024

Tabletki "dzień po" bez recepty nie będzie. Jest weto prezydenta

Dostępność bez recepty jednego z hormonalnych środków antykoncepcyjnych (octan uliprystalu) - takie rozwiązanie zakładała zawetowana w piątek przez prezydenta Andrzeja Dudę nowelizacja prawa farmaceutycznego. Wiek, od którego tzw. tabletka "dzień po" byłaby dostępna bez recepty miał być określony w rozporządzeniu. Ministerstwo Zdrowia stało na stanowisku, że powinno to być 15 lat. Wątpliwości w tej kwestii miała Kancelaria Prezydenta.

Katarzyna Nocuń 29.03.2024

Identyfikator:	Dz.U.UE.C.2023.263.16
Rodzaj:	Decyzja
Tytuł:	Decyzja Wysokiego Przedstawiciela Unii do Spraw Zagranicznych i Polityki Bezpieczeństwa z dnia 19 czerwca 2023 r. w sprawie przepisów bezpieczeństwa dla Europejskiej Służby Działań Zewnętrznych
Data aktu:	19/06/2023
Data ogłoszenia:	26/07/2023
Data wejścia w życie:	19/06/2023

Decyzja Wysokiego Przedstawiciela Unii do Spraw Zagranicznych i Polityki Bezpieczeństwa z dnia 19 czerwca 2023 r. w sprawie przepisów bezpieczeństwa dla Europejskiej Służby Działań Zewnętrznych

DECYZJA WYSOKIEGO PRZEDSTAWICIELA UNII DO SPRAW ZAGRANICZNYCH I POLITYKI BEZPIECZEŃSTWA z dnia 19 czerwca 2023 r. w sprawie przepisów bezpieczeństwa dla Europejskiej Służby Działań Zewnętrznych (2023/C 263/04)

Sekcja 1. Przepisy ogólne

Sekcja 2. Dyrekcja odpowiedzialna za bezpieczeństwo siedziby i bezpieczeństwo informacji ESDZ

Sekcja 3. Dyrekcja odpowiadająca za centrum reagowania kryzysowego

Sekcja 4. Delegatury Unii

ZAŁĄCZNIKI

ZAŁĄCZNIK A ZASADY I NORMY OCHRONY EUCI

ZAŁĄCZNIK A I BEZPIECZEŃSTWO OSOBOWE

ZAŁĄCZNIK A II BEZPIECZEŃSTWO FIZYCZNE INFORMACJI NIEJAWNYCH UE

ZAŁĄCZNIK A III ZARZĄDZANIE INFORMACJAMI NIEJAWNYMI

ZAŁĄCZNIK IV OCHRONA EUCI PRZETWARZANYCH W SYSTEMACH TELEINFORMATYCZNYCH

ZAŁĄCZNIK A V BEZPIECZEŃSTWO PRZEMYSŁOWE

ZAŁĄCZNIK A VI WYMIANA INFORMACJI NIEJAWNYCH Z PAŃSTWAMI TRZECIMI I ORGANIZACJAMI MIĘDZYNARODOWYMI

Dodatek A Definicje

Dodatek B Równoważność klauzul tajności