Akty Prawne
Dziennik Urzędowy Unii Europejskiej - Seria L
Dz.U.UE.L.2013.274.1

Decyzja 2013/488/UE w sprawie przepisów bezpieczeństwa dotyczących ochrony informacji niejawnych UE

DECYZJA RADY

z dnia 23 września 2013 r.

w sprawie przepisów bezpieczeństwa dotyczących ochrony informacji niejawnych UE

(2013/488/UE)

RADA UNII EUROPEJSKIEJ,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 240 ust. 3,

uwzględniając decyzję Rady 2009/937/UE z dnia 1 grudnia 2009 r. dotyczącą przyjęcia regulaminu wewnętrznego Rady 1 , w szczególności jej art. 24,

mając na uwadze, co następuje:

(1) Aby rozwinąć działania Rady we wszystkich dziedzinach wymagających wykorzystywania informacji niejawnych, właściwe jest utworzenie kompleksowego systemu bezpieczeństwa służącego ochronie informacji niejawnych, który obejmie Radę, jej Sekretariat Generalny oraz państwa członkowskie.

(2) Niniejsza decyzja powinna mieć zastosowanie do przypadków, gdy Rada, jej organy przygotowawcze oraz Sekretariat Generalny Rady (SGR) wykorzystują informacje niejawne UE (EUCI).

(3) Zgodnie z krajowymi przepisami ustawowymi i wykonawczymi i w zakresie, jaki jest niezbędny do funkcjonowania Rady, w przypadkach gdy właściwe organy, pracownicy lub wykonawcy z państw członkowskich wykorzystują EUCI, państwa członkowskie powinny przestrzegać przepisów niniejszej decyzji, tak aby każda ze stron mogła mieć pewność, że zagwarantowany został równoważny poziom ochrony EUCI.

(4) Rada, Komisja i Europejska Służba Działań Zewnętrznych (ESDZ) są zdecydowane stosować równoważne normy bezpieczeństwa w celu ochrony EUCI.

(5) Rada podkreśla znaczenie włączania się, w stosownych przypadkach, Parlamentu Europejskiego i innych instytucji, organów lub jednostek organizacyjnych Unii w przestrzeganie zasad, norm i przepisów dotyczących ochrony informacji niejawnych, które są niezbędne do ochrony interesów Unii i jej państw członkowskich.

(6) Rada powinna określić odpowiednie ramy wymiany EUCI będących w posiadaniu Rady z innymi instytucjami, organami lub jednostkami organizacyjnymi Unii, w stosownych przypadkach, zgodnie z niniejszą decyzją i obowiązującymi ustaleniami międzyinstytucjonalnymi.

(7) Organy i agencje Unii utworzone na mocy tytułu V rozdział 2 Traktatu o Unii Europejskiej (TUE), Europol i Eurojust powinny stosować w ramach swoich struktur wewnętrznych podstawowe zasady i minimalne normy określone w niniejszej decyzji w celu ochrony EUCI, jeżeli przewiduje to akt, na mocy którego zostały ustanowione.

(8) Do operacji zarządzania kryzysowego ustanawianych na mocy tytułu V rozdział 2 TUE oraz do personelu biorącego w nich udział powinny mieć zastosowanie przepisy bezpieczeństwa przyjęte przez Radę w celu ochrony EUCI, jeżeli przewiduje to akt Rady, na mocy którego zostały ustanowione.

(9) Specjalni przedstawiciele UE i członkowie ich zespołów powinni stosować przepisy bezpieczeństwa przyjęte przez Radę w celu ochrony EUCI, jeżeli przewiduje to stosowny akt Rady.

(10) Niniejsza decyzja jest przyjmowana bez uszczerbku dla art. 15 i 16 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE) oraz aktów prawnych służących wykonaniu tych artykułów.

(11) Niniejsza decyzja jest przyjmowana bez uszczerbku dla istniejących w państwach członkowskich praktyk w zakresie powiadamiania parlamentów krajowych o działaniach Unii.

(12) Aby zapewnić terminowe rozpoczęcie stosowania przepisów bezpieczeństwa w celu ochrony EUCI w związku z przystąpieniem do Unii Europejskiej Republiki Chorwacji, niniejsza decyzja powinna wejść w życie z dniem jej opublikowania,

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

Artykuł 1

Cel, zakres stosowania i definicje

Artykuł 2

Definicja EUCI, klauzule tajności i oznaczenia

EUCI otrzymują jedną z następujących klauzul tajności:

Artykuł 3

Oznaczanie klauzulami tajności

Artykuł 4

Ochrona informacji niejawnych

Artykuł 5

Zarządzanie ryzykiem dla bezpieczeństwa

Zarządzanie ryzykiem naruszenia EUCI przebiega w ramach określonego procesu. Proces ten jest ukierunkowany na określenie znanych rodzajów ryzyka naruszenia zasad bezpieczeństwa, środków bezpieczeństwa służących zmniejszeniu tego ryzyka do akceptowalnego poziomu zgodnie z podstawowymi zasadami i minimalnymi normami bezpieczeństwa przedstawionymi w niniejszej decyzji oraz na zastosowanie tych środków zgodnie z koncepcją ochrony w głąb, zdefiniowaną w dodatku A. Skuteczność takich środków jest stale oceniana.

Artykuł 7

Bezpieczeństwo osobowe

Artykuł 8

Bezpieczeństwo fizyczne

Artykuł 9

Zarządzanie informacjami niejawnymi

Zarządzanie informacjami niejawnymi polega na stosowaniu środków administracyjnych służących kontroli EUCI na wszystkich etapach ich cyklu życia w uzupełnieniu środków przewidzianych w art. 7, 8 i 10, co ma pomóc w powstrzymywaniu od zamierzonego lub przypadkowego narażenia na szwank bezpieczeństwa tych informacji lub ich utraty i w wykrywaniu takich przypadków. Środki takie dotyczą w szczególności wytwarzania, rejestracji, kopiowania, tłumaczenia, obniżania klauzuli tajności i znoszenia tej klauzuli, przemieszczania i niszczenia EUCI.

Poza strefami chronionymi fizycznie EUCI są przekazywane między jednostkami organizacyjnymi i obiektami w sposób następujący:

Artykuł 10

Ochrona EUCI przetwarzanych w systemach teleinformatycznych

Jeżeli EUCI podlegają ochronie przy użyciu produktów kryptograficznych, produkty te są zatwierdzane w sposób następujący:

Niezależnie od przepisów lit. b) w obrębie krajowych systemów państw członkowskich poufność EUCI o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub RESTREINT UE/EU RESTRICTED może być chroniona przy użyciu produktów kryptograficznych zatwierdzonych przez CAA danego państwa członkowskiego.

Artykuł 11

Bezpieczeństwo przemysłowe

KWB, WWB lub jakikolwiek inny właściwy organ bezpieczeństwa każdego państwa członkowskiego zapewniają, zgodnie z krajowymi przepisami ustawowymi i wykonawczymi, by wykonawcy lub podwykonawcy zarejestrowani w tym państwie członkowskim, będący stronami umów niejawnych lub niejawnych umów o podwykonawstwo i którym niezbędny jest dostęp w ich obiektach do informacji niejawnych o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET podczas wykonywania takich umów lub na etapie poprzedzającym ich zawarcie, posiadali świadectwo bezpieczeństwa przemysłowego (SBP) na odpowiednim poziomie klauzuli tajności.

Artykuł 12

Wymiana EUCI

Artykuł 13

Wymiana informacji niejawnych z państwami trzecimi i organizacjami międzynarodowymi

Aby ustanowić takie ramy i określić wzajemnie obowiązujące zasady ochrony wymienianych informacji niejawnych:

Decyzja o udostępnieniu państwu trzeciemu lub organizacji międzynarodowej EUCI wytworzonych w Radzie podejmowana jest przez Radę dla każdego przypadku z osobna, w zależności od charakteru i treści takich informacji, od tego, czy odbiorca spełnia zasadę ograniczonego dostępu, i od tego, w jakim stopniu jest to korzystne dla Unii. Jeżeli wytwórcą informacji niejawnych, o których udostępnienie wystąpiono, nie jest Rada, SGR najpierw zwraca się o pisemną zgodę wytwórcy na ich udostępnienie. Jeżeli nie można ustalić, kto jest wytwórcą, Rada przejmuje jego odpowiedzialność.

Artykuł 14

Naruszenie i narażenie na szwank bezpieczeństwa EUCI

Jeżeli jest wiadome lub jeżeli istnieją uzasadnione przesłanki, by przypuszczać, że bezpieczeństwo EUCI zostało narażone na szwank lub że informacje takie zostały utracone, KWB lub inny właściwy organ podejmuje - zgodnie z odpowiednimi przepisami ustawowymi i wykonawczymi - wszelkie stosowne działania w celu:

Artykuł 15

Odpowiedzialność za wykonanie decyzji

Państwa członkowskie podejmują - zgodnie ze swoimi przepisami ustawowymi i wykonawczymi - wszelkie stosowne działania w celu zapewnienia przestrzegania niniejszej decyzji, podczas wykorzystywania lub przechowywania EUCI, przez:

Artykuł 16

Organizacja bezpieczeństwa w Radzie

W ramach zapewniania ogólnej spójności w stosowaniu niniejszej decyzji Rada zatwierdza:

Organem bezpieczeństwa SGR jest Sekretarz Generalny. Pełniąc tę funkcję, Sekretarz Generalny:

Biuro ds. Bezpieczeństwa SGR pozostaje do dyspozycji Sekretarza Generalnego i pomaga mu w wypełnianiu wyżej opisanych obowiązków.

W celu wykonania art. 15 ust. 3 państwa członkowskie powinny:

wyznaczyć KWB, jak wskazano w wykazie znajdującym się w dodatku C, odpowiedzialną za zabezpieczenia służące ochronie EUCI, tak aby:

Artykuł 17

Komitet ds. Bezpieczeństwa

Komitet ds. Bezpieczeństwa składa się z przedstawicieli KWB państw członkowskich, a w jego obradach uczestniczy przedstawiciel Komisji i ESDZ. Przewodniczy mu Sekretarz Generalny lub wyznaczona przez niego osoba. Komitet ten zbiera się na polecenie Rady lub na wniosek Sekretarza Generalnego lub KWB.

Do uczestnictwa w pracach Komitetu mogą zostać zaproszeni przedstawiciele organów, agencji i podmiotów Unii, które stosują niniejszą decyzję lub przewidziane w niej zasady, jeżeli omawiane są kwestie, które ich dotyczą.

Sporządzono w Brukseli dnia 23 września 2013 r.

	W imieniu Rady
	V. JUKNA
	Przewodniczący

ZAŁĄCZNIK I

BEZPIECZEŃSTWO OSOBOWE

Danej osobie można udzielić dostępu do informacji niejawnych wyłącznie po tym, jak:

w przypadku informacji o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższej:

Po otrzymaniu odpowiedniego wniosku KWB lub inne właściwe organy krajowe są odpowiedzialne za zapewnienie, aby przeprowadzono postępowanie sprawdzające w odniesieniu do obywateli ich kraju, którym niezbędny jest dostęp do informacji niejawnych o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższej. Normy postępowania sprawdzającego są zgodne z krajowymi przepisami ustawowymi i wykonawczymi, a jego celem jest wydanie PBO lub - w stosownych przypadkach - zagwarantowanie pewności co do osoby, która ma uzyskać upoważnienie do dostępu do EUCI.

Kryteria postępowania sprawdzającego

W celu sprawdzenia danej osoby, dzięki któremu mogłaby ona zostać upoważniona do dostępu do informacji niejawnych o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższej, określa się jej lojalność, wiarygodność i rzetelność, przeprowadzając postępowanie sprawdzające. Na podstawie wyników takiego postępowania właściwy organ krajowy dokonuje ogólnej oceny. Główne kryteria stosowane w tym celu obejmują - w zakresie, w jakim umożliwiają to krajowe przepisy ustawowe i wykonawcze - ustalenie, czy osoba ta:

Wymogi dotyczące postępowania sprawdzającego na potrzeby dostępu do EUCI

Wydanie pierwszego poświadczenia bezpieczeństwa

10.

Pierwsze poświadczenie bezpieczeństwa upoważniające do dostępu do informacji niejawnych o klauzulach tajności CONFIDENTIEL UE/EU CONFIDENTIAL i SECRET UE/EU SECRET wydawane jest po przeprowadzeniu postępowania sprawdzającego obejmującego co najmniej okres ostatnich pięciu lat lub okres od ukończenia 18. roku życia do chwili obecnej, w zależności od tego, który z tych okresów jest krótszy; postępowanie obejmuje:

11.

Pierwsze poświadczenie bezpieczeństwa upoważniające do dostępu do informacji niejawnych o klauzuli tajności TRÈS SECRET UE/EU TOP SECRET wydawane jest po przeprowadzeniu postępowania sprawdzającego obejmującego okres co najmniej ostatnich dziesięciu lat lub okres od ukończenia 18. roku życia do chwili obecnej, w zależności od tego, który z tych okresów jest krótszy. Jeżeli zgodnie z lit. e) przeprowadzane są rozmowy, postępowanie sprawdzające obejmuje okres co najmniej ostatnich siedmiu lat lub okres od ukończenia 18. roku życia do chwili obecnej, w zależności od tego, który okres jest krótszy. Poza kryteriami określonymi w pkt 7 przed wydaniem PBO upoważniającego do dostępu do informacji niejawnych o klauzuli tajności TRÈS SECRET UE/EU TOP SECRET należy wyjaśnić - w zakresie, w jakim umożliwiają to krajowe przepisy ustawowe i wykonawcze - elementy wymienione poniżej; elementy te można również wyjaśnić przed wydaniem PBO upoważniającego do dostępu do informacji niejawnych o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET, jeżeli wymagają tego krajowe przepisy ustawowe i wykonawcze:

rozmowy - pod warunkiem że przepisy krajowe przewidują i dopuszczają taką możliwość, przeprowadza się z daną osobą rozmowę lub rozmowy. Rozmowy przeprowadza się również z innymi osobami, które są w stanie przedstawić obiektywną ocenę dotyczącą pochodzenia, działalności, lojalności, wiarygodności i rzetelności osoby sprawdzanej. W przypadku gdy krajowa praktyka przewiduje przedstawianie referencji przez osobę sprawdzaną, przeprowadza się rozmowę z osobami, które dostarczyły tych referencji, chyba że istnieją uzasadnione powody, żeby tego nie czynić.

Przedłużanie ważności poświadczenia bezpieczeństwa

13.

Po wydaniu pierwszego poświadczenia bezpieczeństwa oraz pod warunkiem że w zatrudnieniu danej osoby w administracji krajowej lub w SGR nie wystąpiły przerwy, a dostęp do EUCI jest jej stale potrzebny, przedłużenie ważności poświadczenia bezpieczeństwa tej osoby rozpatrywane jest w odstępach czasu nieprzekraczających pięciu lat w przypadku poświadczenia do klauzuli tajności TRÈS SECRET UE/EU TOP SECRET oraz dziesięciu lat w przypadku poświadczeń do klauzul tajności SECRET UE/EU SECRET i CONFIDENTIEL UE/EU CONFIDENTIAL, licząc od daty powiadomienia o wyniku ostatniego postępowania sprawdzającego, na podstawie którego zostały wydane te poświadczenia. Wszelkie postępowania sprawdzające dotyczące przedłużenia ważności poświadczenia bezpieczeństwa obejmują okres od poprzedniego postępowania.

15.

Wnioski o przedłużenie ważności składane są z odpowiednim wyprzedzeniem, z uwzględnieniem czasu wymaganego do przeprowadzenia postępowań sprawdzających. Jeżeli jednak odpowiednia KWB lub inny właściwy organ krajowy otrzymały odpowiedni wniosek o przedłużenie ważności oraz właściwą ankietę bezpieczeństwa osobowego, zanim poświadczenie bezpieczeństwa utraciło ważność, a niezbędne postępowanie sprawdzające nie zostało jeszcze zakończone, właściwy organ krajowy może przedłużyć ważność obowiązującego poświadczenia bezpieczeństwa o okres nieprzekraczający 12 miesięcy, jeżeli dopuszczają to krajowe przepisy ustawowe i wykonawcze. Jeżeli na koniec tego 12-miesięcznego okresu nadal nie zakończono postępowania sprawdzającego, danej osobie przyznaje się obowiązki, które nie wymagają posiadania poświadczenia bezpieczeństwa.

Procedury upoważniające w SGR

18.

Po zakończeniu postępowania sprawdzającego odpowiednia KWB powiadamia organ bezpieczeństwa SGR, w formacie korespondencji określonym przez Komitet ds. Bezpieczeństwa, o wyniku takiego postępowania.

Jeżeli w wyniku postępowania sprawdzającego nie uzyskuje się takiej pewności, organ powołujący SGR powiadamia o tym fakcie daną osobę, a ona może się do niego zwrócić z prośbą o wysłuchanie. Organ powołujący może zwrócić się do właściwej KWB o przedstawienie wszelkich dalszych wyjaśnień, których organ ten może udzielić zgodnie z krajowymi przepisami ustawowymi i wykonawczymi. Jeżeli wynik zostanie potwierdzony, nie wydaje się upoważnienia do dostępu do EUCI.

19.

Postępowanie sprawdzające oraz jego wyniki podlegają odpowiednim przepisom ustawowym i wykonawczym obowiązującym w danym państwie członkowskim, w tym także przepisom dotyczącym środków odwoławczych. Decyzje organu powołującego SGR podlegają środkom odwoławczym zgodnie z regulaminem pracowniczym urzędników Unii Europejskiej i warunkami zatrudnienia innych pracowników Unii Europejskiej, określonymi w rozporządzeniu Rady (EWG, Euratom, EWWiS) nr 259/68 4 (zwanymi dalej "regulaminem pracowniczym i warunkami zatrudnienia").

22.

Jeżeli okres wykonywania przez daną osobę obowiązków służbowych nie rozpocznie się w terminie 12 miesięcy od powiadomienia organu powołującego SGR o wyniku postępowania sprawdzającego lub jeżeli w pełnieniu obowiązków przez daną osobę występuje 12-miesięczna przerwa, w czasie której osoba ta nie jest zatrudniona w SGR ani na żadnym stanowisku w administracji krajowej państwa członkowskiego, wynik postępowania sprawdzającego jest przekazywany odpowiedniej KWB w celu potwierdzenia, czy nadal pozostaje ważny i właściwy.

24.

Jeżeli KWB powiadomi SGR o utracie pewności uzyskanej zgodnie z pkt 18 lit. a) w odniesieniu do osoby posiadającej upoważnienie do dostępu do EUCI, organ powołujący SGR może zwrócić się do KWB o przedstawienie wszelkich dalszych wyjaśnień, których organ ten może udzielić zgodnie z krajowymi przepisami ustawowymi i wykonawczymi. Jeżeli niekorzystne informacje zostaną potwierdzone, upoważnienie zostaje cofnięte, a osobie takiej odbiera się prawo dostępu do EUCI i odsuwa się ją od stanowisk, na których taki dostęp jest możliwy lub na których osoba ta mogłaby zagrażać bezpieczeństwu.

25.

O każdej decyzji w sprawie cofnięcia lub zawieszenia upoważnienia do dostępu do EUCI przyznanego urzędnikowi lub innemu pracownikowi SGR i, w odpowiednich przypadkach, o przyczynach tego cofnięcia lub zawieszenia powiadamia się daną osobę, a ona może zwrócić się do organu powołującego z prośbą o wysłuchanie. Informacje przedstawione przez KWB podlegają odpowiednim przepisom ustawowym i wykonawczym obowiązującym w danym państwie członkowskim, w tym także przepisom dotyczącym środków odwoławczych. Decyzje organu powołującego SGR podlegają środkom odwoławczym zgodnie z regulaminem pracowniczym i warunkami zatrudnienia.

Rejestr poświadczeń bezpieczeństwa i upoważnień

Zwolnienia z wymogu posiadania PBO

32.

Jeżeli krajowe przepisy ustawowe i wykonawcze dopuszczają taką możliwość, poświadczenie bezpieczeństwa wydane przez właściwy organ krajowy państwa członkowskiego i uprawniające do dostępu do krajowych informacji niejawnych może, podczas oczekiwania na wydanie PBO uprawniającego do dostępu do EUCI, tymczasowo uprawniać urzędników krajowych do dostępu do EUCI do poziomu odpowiadającego poziomowi określonemu w tabeli równorzędności klauzul tajności, którą zamieszczono w dodatku B, o ile takiego tymczasowego dostępu wymaga interes Unii. Jeżeli krajowe przepisy ustawowe i wykonawcze nie zezwalają na taki tymczasowy dostęp do EUCI, KWB informują o tym Komitet ds. Bezpieczeństwa.

33.

W nagłych przypadkach, jeżeli jest to należycie uzasadnione interesami jednostki organizacyjnej, w oczekiwaniu na zakończenie pełnego postępowania sprawdzającego organ powołujący SGR może, po konsultacji z KWB państwa członkowskiego, którego obywatelem jest dana osoba, oraz z zastrzeżeniem, że wynik wstępnego sprawdzenia nie wykazał niekorzystnych informacji, wydać urzędnikom i innym pracownikom SGR tymczasowe upoważnienie do dostępu do EUCI, by mogli wykonać określone zadania. Takie tymczasowe upoważnienia zachowują ważność przez okres nieprzekraczający sześciu miesięcy i nie uprawniają do dostępu do informacji niejawnych o klauzuli tajności TRÈS SECRET UE/EU TOP SECRET. Wszystkie osoby, którym przyznano tymczasowe upoważnienie, oświadczają na piśmie, że zrozumiały spoczywające na nich obowiązki w zakresie ochrony EUCI i konsekwencje narażenia na szwank bezpieczeństwa EUCI. Wykaz takich pisemnych oświadczeń przechowywany jest przez SGR.

34.

Jeżeli dana osoba ma objąć stanowisko, które wymaga poświadczenia bezpieczeństwa na poziomie o jeden poziom wyższym niż aktualnie przez nią posiadany, może ona tymczasowo pełnić obowiązki związane z tym stanowiskiem, pod warunkiem że:

36.

W szczególnie wyjątkowych okolicznościach, takich jak misje prowadzone we wrogim środowisku lub w okresie rosnącego napięcia międzynarodowego, i gdy wymagają tego środki nadzwyczajne, w szczególności w celu ratowania życia ludzkiego, państwa członkowskie i Sekretarz Generalny mogą udzielić, w miarę możliwości na piśmie, dostępu do informacji niejawnych o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET osobom, które nie posiadają wymaganego poświadczenia bezpieczeństwa, pod warunkiem że takie zezwolenie jest absolutnie niezbędne i nie ma żadnych uzasadnionych wątpliwości co do lojalności, wiarygodności i rzetelności danej osoby. Zachowuje się dokumentację takiego zezwolenia zawierającą opis informacji, do których dostęp zatwierdzono.

41.

Z zastrzeżeniem pkt 28, osoby wyznaczone do udziału w posiedzeniach Rady lub organów przygotowawczych Rady, podczas których omawiane są informacje niejawne o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższej, mogą brać w nich udział tylko po potwierdzeniu statusu ich poświadczenia bezpieczeństwa. W przypadku delegatów ich ZPBO lub inny dowód posiadania przez nich poświadczenia bezpieczeństwa przesyłany jest przez odpowiednie organy do Biura ds. Bezpieczeństwa SGR lub, w sytuacjach wyjątkowych, przedstawiany jest przez samego delegata. W odpowiednich przypadkach można zastosować skonsolidowany wykaz nazwisk, przedstawiając odpowiednie dowody posiadania poświadczenia bezpieczeństwa.

ZAŁĄCZNIK II

BEZPIECZEŃSTWO FIZYCZNE

Środki bezpieczeństwa fizycznego mają na celu zapobieżenie nieuprawnionemu dostępowi do EUCI przez:

Środki bezpieczeństwa fizycznego dobiera się na podstawie oceny zagrożenia przeprowadzonej przez właściwe organy. SGR i państwa członkowskie stosują w swoich obiektach proces zarządzania ryzykiem służący ochronie EUCI, aby zapewnić poziom ochrony fizycznej proporcjonalny do szacowanego ryzyka. Proces zarządzania ryzykiem uwzględnia wszelkie istotne czynniki, a w szczególności:

Stosując koncepcję ochrony w głąb, właściwy organ bezpieczeństwa określa właściwą kombinację środków bezpieczeństwa fizycznego, które należy zastosować. Mogą one obejmować jeden z poniższych środków lub większą ich liczbę:

16.

Jeżeli wejście do strefy bezpieczeństwa jest w praktyce równoznaczne z bezpośrednim dostępem do informacji niejawnych znajdujących się w tej strefie, zastosowanie mają następujące dodatkowe wymogi:

17.

Strefy bezpieczeństwa chronione przed podsłuchem uznawane są za strefy technicznie zabezpieczone. Zastosowanie mają następujące dodatkowe wymogi:

18.

Niezależnie od pkt 17 lit. d), zanim urządzenia komunikacyjne i sprzęt elektryczny lub elektroniczny zostaną użyte w strefach, w których odbywają się posiedzenia lub prowadzone są prace związane z wykorzystaniem informacji niejawnych o klauzuli tajności SECRET UE/EU SECRET i wyższej, a także jeżeli ocenia się, że istnieje wysokie zagrożenie dla EUCI, urządzenia i sprzęt taki zostają najpierw sprawdzone przez właściwy organ bezpieczeństwa w celu zapewnienia, aby żadne zrozumiałe informacje nie zostały nieumyślnie lub nielegalnie transmitowane przez taki sprzęt poza granicę strefy bezpieczeństwa.

21.

Dla każdej strefy bezpieczeństwa opracowywane są procedury bezpiecznej eksploatacji określające:

23.

Wykorzystywanie EUCI o klauzuli tajności RESTREINT UE/EU RESTRICTED może się odbywać:

25.

Wykorzystywanie EUCI o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET może się odbywać:

poza strefą bezpieczeństwa lub strefą administracyjną, pod warunkiem że posiadacz:

28.

EUCI o klauzuli tajności TRÈS SECRET UE/EU TOP SECRET przechowywane są w strefie bezpieczeństwa, przy spełnieniu jednego z następujących warunków:

31.

Kody są zapamiętywane przez jak najmniejszą liczbę osób, którym ich znajomość jest niezbędna. Kody do zabezpieczonych szaf i wzmocnionych pomieszczeń, w których przechowywane są EUCI, są zmieniane:

ZAŁĄCZNIK III

ZARZĄDZANIE INFORMACJAMI NIEJAWNYMI

Klauzule tajności i oznaczenia

Oznaczenia

10.

Oprócz jednej z klauzul tajności określonych w art. 2 ust. 2 EUCI mogą być opatrzone dodatkowymi oznaczeniami, takimi jak:

Skrócone oznaczenia klauzul tajności

Wytwarzanie EUCI

13.

Przy wytwarzaniu dokumentu niejawnego UE:

Obniżanie i znoszenie klauzul tajności EUCI

16.

SGR przeprowadza regularne przeglądy EUCI znajdujących się w jego posiadaniu, by stwierdzić, czy dana klauzula tajności ma nadal zastosowanie. SGR tworzy system służący do przeglądu klauzul tajności nadanych EUCI, których jest wytwórcą, nie rzadziej niż co pięć lat. Taki przegląd nie jest konieczny, jeżeli wytwórca wskazał na samym początku, że klauzula tajności nadana danym informacjom zostanie automatycznie obniżona lub zniesiona, a informacje te zostały odpowiednio oznaczone.

Kancelarie tajne TRÈS SECRET UE/EU TOP SECRET

W obrębie budynku lub grupy budynków stanowiącej zamkniętą całość

Na terytorium Unii

33.

Przewożenie informacji niejawnych o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET na terytorium Unii odbywa się za pomocą jednego z następujących środków:

W przypadku przewożenia z jednego państwa członkowskiego do drugiego przepisy lit. c) są ograniczone do informacji niejawnych o klauzuli tajności do poziomu CONFIDENTIEL UE/EU CONFIDENTIAL.

Z terytorium Unii na terytorium państwa trzeciego

38.

Przewożenie informacji niejawnych o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL i SECRET UE/EU SECRET z terytorium Unii na terytorium państwa trzeciego odbywa się za pomocą jednego z następujących środków:

osobiście, pod warunkiem że:

50.

Wizyty oceniające przeprowadza się m.in., aby:

Przebieg wizyt oceniających

53.

Wizyty oceniające są przeprowadzane w dwóch etapach. Przed samą wizytą w razie potrzeby organizowane jest posiedzenie przygotowawcze z odpowiednim podmiotem. Po spotkaniu przygotowawczym zespół przeprowadzający ocenę ustala, w porozumieniu z danym podmiotem, szczegółowy program wizyty oceniającej obejmujący wszystkie obszary bezpieczeństwa. Zespół przeprowadzający wizytę oceniającą powinien mieć dostęp do wszystkich miejsc, w których wykorzystywane są EUCI, w szczególności do kancelarii tajnych i punktów, w których znajdują się CIS.

Raporty

58.

W przypadku wizyt oceniających przeprowadzanych w krajowych administracjach państw członkowskich:

o ile KWB danego państwa członkowskiego nie wystąpi o wstrzymanie ogólnej dystrybucji, raporty z oceny przekazywane są Komitetowi ds. Bezpieczeństwa. Raportowi nadaje się klauzulę tajności RESTREINT UE/EU RESTRICTED.

Pod nadzorem organu bezpieczeństwa SGR (Biura ds. Bezpieczeństwa) przygotowywany jest okresowy raport mający na celu uwypuklenie doświadczeń nabytych w wyniku wizyt oceniających przeprowadzonych w państwach członkowskich w danym okresie i przeanalizowanych przez Komitet ds. Bezpieczeństwa.

60.

W przypadku wizyt oceniających w organach, agencjach i podmiotach Unii, które stosują niniejszą decyzję lub przewidziane w niej zasady, raporty z wizyt oceniających przekazywane są Komitetowi ds. Bezpieczeństwa. Projekt raportu z wizyty oceniającej przekazywany jest odpowiedniej agencji lub odpowiedniemu organowi w celu sprawdzenia, czy jest on zgodny z faktami i czy nie zawiera informacji o klauzuli tajności wyższej niż RESTREINT UE/EU RESTRICTED. Wszelkie działania naprawcze są weryfikowane podczas kolejnej wizyty, a raport na ich temat przekazywany jest Komitetowi ds. Bezpieczeństwa.

Lista kontrolna

ZAŁĄCZNIK IV

OCHRONA EUCI PRZETWARZANYCH W CIS

Następujące cechy i koncepcje zabezpieczania informacji są niezbędne dla bezpieczeństwa i prawidłowego funkcjonowania operacji dokonywanych w ramach CIS:

Autentyczność: gwarancja, że informacje są prawdziwe i pochodzą z rzetelnych źródeł;

Dostępność: cecha polegająca na tym, że informacje są dostępne i gotowe do wykorzystania na wniosek uprawnionego podmiotu;

Poufność: cecha polegająca na tym, że informacje nie są ujawniane nieupoważnionym osobom, podmiotom ani do celów nieuprawnionego przetwarzania;

Integralność: cecha polegająca na zachowywaniu dokładności i kompletności informacji i zasobów;

Niezaprzeczalność: możliwość udowodnienia, że działanie lub wydarzenie miało miejsce, aby następnie nie można było zaprzeczyć wystąpieniu tego działania lub wydarzenia.

Zarządzanie ryzykiem dla bezpieczeństwa

Zarządzanie ryzykiem dla bezpieczeństwa stanowi integralną część definiowania, rozwijania, obsługiwania i konserwacji CIS. Zarządzanie ryzykiem (ocena, zmniejszanie, akceptacja i powiadamianie) jest prowadzone jako interaktywny proces wspólnie przez przedstawicieli właścicieli systemu, organy odpowiedzialne za projekt, organy operacyjne oraz organy zatwierdzające bezpieczeństwo, w ramach sprawdzonego, przejrzystego i w pełni zrozumiałego procesu oceny ryzyka. Zakres stosowania CIS oraz jego zasobów jest jasno definiowany na początku procesu zarządzania ryzykiem.

Bezpieczeństwo w całym cyklu życia CIS

Dobre praktyki

Ochrona w głąb

16.

Aby zmniejszyć ryzyko zagrażające CIS, wdrażany jest pakiet technicznych i innych środków bezpieczeństwa o strukturze różnych poziomów ochrony. Poziomy te obejmują:

Świadomość zabezpieczania informacji

21.

Świadomość ryzyka i dostępnych środków bezpieczeństwa stanowi pierwszą linię obrony bezpieczeństwa CIS. W szczególności wszyscy członkowie personelu związani z CIS na poszczególnych etapach jego cyklu życia, w tym użytkownicy, powinni zrozumieć:

Ocena i zatwierdzanie produktów służących bezpieczeństwu systemów informatycznych

26.

Przed zaleceniem Radzie lub Sekretarzowi Generalnemu zatwierdzenia produktów kryptograficznych, zgodnie z art. 10 ust. 6, produkty te muszą uzyskać pozytywny wynik podczas zewnętrznej oceny dokonywanej przez wykwalifikowany organ oceny produktów kryptograficznych (AQUA) państwa członkowskiego, które nie jest zaangażowane w projektowanie ani wytwarzanie tego sprzętu. Wymagany stopień szczegółowości oceny zewnętrznej zależy od przewidywanego najwyższego poziomu klauzuli tajności EUCI, które mają być chronione za pomocą tych produktów. Rada zatwierdza politykę bezpieczeństwa dotyczącą oceny i zatwierdzania produktów kryptograficznych.

Transmisja w strefach bezpieczeństwa i strefach administracyjnych

Bezpieczne połączenia międzysystemowe CIS

35.

Pomiędzy CIS posiadającym akredytację a siecią niezabezpieczoną lub publiczną brak jest połączeń międzysystemowych z wyjątkiem sytuacji, w których w ramach CIS zainstalowano w tym celu zatwierdzone BPS między CIS a siecią niezabezpieczoną lub publiczną. Środki bezpieczeństwa dotyczące takich połączeń międzysystemowych są poddawane przeglądowi przez właściwy IAA i zatwierdzane przez właściwy SAA.

Gdy sieć niezabezpieczona lub publiczna wykorzystywana jest wyłącznie jako nośnik, a dane zostały zaszyfrowane przy wykorzystaniu produktu kryptograficznego zatwierdzonego zgodnie z art. 10, takiego połączenia nie uznaje się za połączenie międzysystemowe.

Komputerowe nośniki informacji

Okoliczności nadzwyczajne

40.

EUCI można transmitować z wykorzystaniem produktów kryptograficznych zatwierdzonych dla niższego poziomu klauzuli tajności lub w postaci niezaszyfrowanej za zgodą właściwego organu, jeżeli wszelka zwłoka spowodowałaby szkody wyraźnie większe od szkód, które mogłoby spowodować ujawnienie materiałów niejawnych, oraz jeżeli:

43.

Państwa członkowskie i SGR otrzymują wymienione poniżej zadania dotyczące zabezpieczania informacji. Zadania te nie muszą być skupione w tych samych jednostkach organizacyjnych. Są one objęte oddzielnymi mandatami. Zadania te, oraz związana z nimi odpowiedzialność, mogą być jednak połączone lub zintegrowane w tej samej jednostce organizacyjnej lub też podzielone na różne jednostki organizacyjne, z zastrzeżeniem uniknięcia wewnętrznych konfliktów interesów lub zadań.

Organ ds. zabezpieczania informacji

44.

Organ ds. zabezpieczania informacji (IAA) odpowiada za:

Organ ds. zatwierdzania produktów kryptograficznych

Organ ds. dystrybucji produktów kryptograficznych

47.

Organ ds. dystrybucji produktów kryptograficznych (CDA) odpowiada za:

48.

SAA jest w każdym systemie odpowiedzialny za:

51.

Wspólna rada ds. akredytacji bezpieczeństwa (SAB) jest odpowiedzialna za przyznawanie akredytacji CIS działającym pod nadzorem zarówno organu ds. akredytacji bezpieczeństwa SGR, jak i SAA państw członkowskich. W skład tej rady wchodzi po jednym przedstawicielu SAA z każdego państwa członkowskiego, a w jej obradach uczestniczy przedstawiciel SAA z Komisji. Inne podmioty posiadające połączenia z danym CIS są zapraszane do uczestnictwa w obradach, gdy omawiany jest ten system.

Obradom SAB przewodniczy przedstawiciel organu ds. akredytacji bezpieczeństwa SGR. SAB podejmuje decyzje na zasadzie konsensusu przedstawicieli SAA z instytucji, państw członkowskich i innych podmiotów posiadających połączenia z danym CIS. SAB sporządza okresowe sprawozdania ze swojej działalności i przedstawia je Komitetowi ds. Bezpieczeństwa oraz informuje komitet o wszystkich świadectwach akredytacji.

Operacyjny organ ds. zabezpieczania informacji

52.

Operacyjny organ ds. zabezpieczania informacji odpowiada w każdym systemie za:

ZAŁĄCZNIK V

BEZPIECZEŃSTWO PRZEMYSŁOWE

Przewodnik nadawania klauzul (PNK)

Do określania klauzuli tajności różnych elementów umowy niejawnej zastosowanie mają następujące zasady:

Instrukcje bezpieczeństwa programu/projektu (IBP)

SBP wydawane jest przez KWB lub WWB, lub jakikolwiek inny właściwy organ bezpieczeństwa państwa członkowskiego w celu zaświadczenia zgodnie z krajowymi przepisami ustawowymi i wykonawczymi, że dany podmiot prowadzący działalność gospodarczą lub inną jest w stanie zapewnić w swoich obiektach ochronę EUCI odpowiadającą określonemu poziomowi klauzuli tajności (CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET). Świadectwo to przedstawiane jest SGR, jako instytucji zamawiającej, przed dostarczeniem EUCI wykonawcy, podwykonawcy, potencjalnemu wykonawcy lub potencjalnemu podwykonawcy, lub umożliwieniem im dostępu do EUCI.

Przy wydawaniu SBP odpowiednia KWB lub WWB przynajmniej:

29.

Podczas transportu materiału niejawnego jako ładunku do określania zabezpieczeń stosuje się następujące zasady:

36.

Jeżeli umowa obejmuje przetwarzanie informacji niejawnych o klauzuli tajności RESTREINT UE/EU RESTRICTED w ramach CIS, który eksploatuje wykonawca, SGR, jako instytucja zamawiająca, zapewnia, aby umowa lub jakakolwiek umowa o podwykonawstwo określała niezbędne wymogi techniczne i administracyjne dotyczące akredytacji CIS, które są proporcjonalne do szacowanego ryzyka z uwzględnieniem wszystkich odpowiednich czynników. Zakres akredytacji dla takiego CIS jest uzgadniany między instytucją zamawiającą a odpowiednią KWB/WWB.

ZAŁĄCZNIK VI

WYMIANA INFORMACJI NIEJAWNYCH Z PAŃSTWAMI TRZECIMI I ORGANIZACJAMI MIĘDZYNARODOWYMI

Jeżeli EUCI wytworzone do celów operacji WPBiO mają zostać przekazane państwom trzecim lub organizacjom międzynarodowym uczestniczącym w takiej operacji, a nie istnieją żadne z ram prawnych, o których mowa w pkt 2, wymiana EUCI z uczestniczącym w operacji państwem trzecim lub organizacją międzynarodową regulowana jest, zgodnie z sekcją V, na mocy:

Umowy o bezpieczeństwie informacji przewidują techniczne uzgodnienia wykonawcze, dokonywane przez właściwe organy bezpieczeństwa odpowiednich instytucji i organów Unii oraz właściwy organ bezpieczeństwa danego państwa trzeciego lub danej organizacji międzynarodowej. Takie uzgodnienia wykonawcze uwzględniają poziom ochrony przewidziany w przepisach, strukturach i procedurach dotyczących bezpieczeństwa istniejących w danym państwie trzecim lub danej organizacji międzynarodowej. Uzgodnienia te zatwierdzane są przez Komitet ds. Bezpieczeństwa.

Aby ocenić skuteczność przepisów, struktur i procedur dotyczących bezpieczeństwa w danym państwie trzecim lub organizacji międzynarodowej, w porozumieniu z tym państwem trzecim lub organizacją międzynarodową przeprowadza się wizyty oceniające. Wizyty takie przeprowadzane są zgodnie z odpowiednimi przepisami załącznika III i obejmują ocenę:

12.

Należy dołożyć wszelkich starań, by przeprowadzić wizytę oceniającą zapewniającą pełną kontrolę bezpieczeństwa w danym państwie trzecim lub danej organizacji międzynarodowej, zanim Komitet ds. Bezpieczeństwa zatwierdzi uzgodnienia wykonawcze, aby określić charakter i skuteczność funkcjonującego tam systemu bezpieczeństwa. Jeżeli jednak nie jest to możliwe, Komitet ds. Bezpieczeństwa otrzymuje od Biura ds. Bezpieczeństwa SGR możliwie najpełniejszy raport, sporządzony w oparciu o posiadane przez to biuro informacje, w którym komitet informowany jest o mających zastosowanie przepisach dotyczących bezpieczeństwa oraz o sposobie organizacji kwestii bezpieczeństwa w danym państwie trzecim lub danej organizacji międzynarodowej.

15.

Kolejne wizyty oceniające są przeprowadzane w razie potrzeby, w szczególności jeżeli:

17.

Jeżeli istnieje długoterminowa potrzeba wymiany z państwem trzecim lub organizacją międzynarodową informacji niejawnych o klauzuli tajności z reguły nie wyższej niż RESTREINT UE/EU RESTRICTED i jeżeli Komitet ds. Bezpieczeństwa ustalił, że dana strona nie dysponuje wystarczająco rozwiniętym systemem bezpieczeństwa, tak aby było możliwe zawarcie umowy o bezpieczeństwie informacji, Sekretarz Generalny może, z zastrzeżeniem zatwierdzenia przez Radę, zawrzeć w imieniu SGR porozumienie administracyjne z odpowiednimi organami danego państwa trzeciego lub organizacji międzynarodowej.

22.

Umowy ramowe w sprawie udziału regulują uczestnictwo państw trzecich lub organizacji międzynarodowych w operacjach WPBiO. Umowy takie zawierają przepisy o udostępnianiu EUCI wytwarzanych do celów operacji WPBiO uczestniczącym w nich państwom trzecim lub organizacjom międzynarodowym. Najwyższym poziomem klauzuli tajności EUCI, które mogą być wymieniane, jest RESTREINT UE/EU RESTRICTED w przypadku operacji cywilnych WPBiO oraz CONFIDENTIEL UE/EUCONFIDENTIAL w przypadku operacji wojskowych WPBiO, chyba że inaczej określano w decyzji ustanawiającej każdą z operacji WPBiO.

23.

Umowy ad hoc w sprawie udziału w konkretnej operacji WPBiO zawierają przepisy o udostępnianiu EUCI wytwarzanych do celów tej operacji uczestniczącemu w niej państwu trzeciemu lub organizacji międzynarodowej. Najwyższym poziomem klauzuli tajności EUCI, które mogą być wymieniane, jest RESTREINT UE/EU RESTRICTED w przypadku operacji cywilnych WPBiO oraz CONFIDENTIEL UE/EUCONFIDENTIAL w przypadku operacji wojskowych WPBiO, chyba że inaczej określano w decyzji ustanawiającej każdą z operacji WPBiO.

24.

Jeśli nie zawarto umowy o bezpieczeństwie informacji i w oczekiwaniu na zawarcie umowy w sprawie udziału, udostępnianie EUCI wytworzonych do celów danej operacji danemu państwu trzeciemu lub danej organizacji międzynarodowej uczestniczącym w tej operacji podlega porozumieniu administracyjnemu, które zawiera Wysoki Przedstawiciel lub decyzji o udostępnieniu podejmowanej w trybie ad hoc zgodnie z sekcją VI. EUCI są wymieniane na mocy takiego porozumienia, jedynie dopóki wymagany jest udział danego państwa trzeciego lub danej organizacji międzynarodowej. Najwyższym poziomem klauzuli tajności EUCI, które mogą być wymieniane, jest RESTREINT UE/EU RESTRICTED w przypadku operacji cywilnych WPBiO oraz CONFIDENTIEL UE/EU CONFIDENTIAL w przypadku operacji wojskowych WPBiO, chyba że inaczej określano w decyzji ustanawiającej każdą z operacji WPBiO.

25.

Przepisy dotyczące informacji niejawnych, które mają być zawarte w umowach ramowych w sprawie udziału, umowach ad hoc w sprawie udziału i porozumieniach administracyjnych ad hoc, o których mowa w pkt 22-24, przewidują, że dane państwo trzecie lub organizacja międzynarodowa zapewniają, by jego/jej personel oddelegowany do jakiejkolwiek operacji chronił EUCI zgodnie z przepisami bezpieczeństwa Rady i z dalszymi wytycznymi wydanymi przez właściwe organy, w tym strukturę dowodzenia operacji.

28.

EUCI wytworzone do celów operacji WPBiO mogą być ujawnione personelowi oddelegowanemu do tej operacji przez państwa trzecie lub organizacje międzynarodowe zgodnie z pkt 22-27. Upoważniając taki personel do dostępu do EUCI w obiektach lub w ramach CIS operacji WPBiO, stosuje się środki (w tym rejestrację ujawnianych EUCI) służące złagodzeniu ryzyka utraty lub narażenia na szwank bezpieczeństwa informacji. Środki te są określane w odpowiednich dokumentach dotyczących planowania lub misji.

29.

Jeśli nie zawarto umowy o bezpieczeństwie informacji, udostępnianie EUCI - w przypadku konkretnej i natychmiastowej potrzeby operacyjnej - państwu przyjmującemu, na którego terytorium prowadzona jest operacja WPBiO, może podlegać porozumieniu administracyjnemu, które zawiera Wysoki Przedstawiciel. Możliwość ta przewidziana jest w decyzji ustanawiającej operację WPBiO. EUCI udostępnione w tych okolicznościach ograniczone są do informacji wytworzonych do celów danej operacji WPBiO i mają klauzulę tajności nie wyższą niż RESTREINT UE/EU RESTRICTED, chyba że w decyzji ustanawiającej tę operację WPBiO przewidziano wyższą klauzulę tajności. Na mocy takiego porozumienia administracyjnego państwo przyjmujące ma obowiązek podjąć ochronę EUCI zgodnie z minimalnymi normami, które nie mogą być mniej rygorystyczne niż normy określone w niniejszej decyzji.

30.

Jeśli nie zawarto umowy o bezpieczeństwie informacji, udostępnianie EUCI odpowiednim państwom trzecim i organizacjom międzynarodowym, innym niż tym uczestniczącym w operacji WPBiO, może podlegać porozumieniu administracyjnemu, które zawiera Wysoki Przedstawiciel. W odpowiednich przypadkach możliwość taka, jak również wszelkie warunki z nią związane, są zapisywane w decyzji ustanawiającej operację WPBiO. EUCI udostępniane w takich okolicznościach ograniczają się do informacji wytworzonych do celów danej operacji WPBiO i mają klauzulę tajności nie wyższą niż RESTREINT UE/EU RESTRICTED, chyba że w decyzji ustanawiającej tę operację WPBiO przewidziano wyższą klauzulę tajności. Na mocy takiego porozumienia administracyjnego dane państwo trzecie lub dana organizacja międzynarodowa ma obowiązek podjąć ochronę EUCI zgodnie z minimalnymi normami, które nie mogą być mniej rygorystyczne niż normy określone w niniejszej decyzji.

32.

Jeżeli nie ustanowiono ram prawnych zgodnie z sekcjami IIIV, a Rada lub jeden z jej organów przygotowawczych stwierdza, że istnieje wyjątkowa potrzeba udostępnienia EUCI państwu trzeciemu lub organizacji międzynarodowej, SGR:

38.

Jeśli istnieje umowa o bezpieczeństwie informacji zgodnie z pkt 2 tiret pierwsze, Rada może podjąć decyzję o upoważnieniu Wysokiego Przedstawiciela do udostępnienia EUCI w dziedzinie wspólnej polityki zagranicznej i bezpieczeństwa wytworzonych w Radzie, po uzyskaniu zgody wytwórcy jakichkolwiek materiałów źródłowych w nich zawartych, danemu państwu trzeciemu lub danej organizacji międzynarodowej. Wysoki Przedstawiciel może przenieść takie upoważnienie na urzędników wysokiego szczebla w ESDZ lub na SPUE.

Dodatek A

DEFINICJE

Do celów niniejszej decyzji stosuje się następujące definicje:

"akredytacja" oznacza proces prowadzący do formalnego stwierdzenia przez organ ds. akredytacji bezpieczeństwa (SAA), że określony system jest zatwierdzony do celów działania na zdefiniowanym poziomie klauzuli tajności, w konkretnym trybie bezpiecznej pracy systemu w swoim środowisku operacyjnym oraz na poziomie ryzyka możliwym do zaakceptowania, przy założeniu, że wdrożony został zatwierdzony zestaw technicznych, fizycznych, organizacyjnych i proceduralnych środków bezpieczeństwa;

"bezpieczeństwo fizyczne" - zob. art. 8 ust. 1;

"bezpieczeństwo osobowe" - zob. art. 7 ust. 1;

"bezpieczeństwo przemysłowe" - zob. art. 11 ust. 1;

"cykl życia CIS" oznacza cały okres istnienia CIS, który obejmuje powstanie pomysłu, opracowanie koncepcji, zaplanowanie, analizę wymogów, zaprojektowanie, utworzenie, testowanie, wdrożenie, działanie, konserwację i wycofanie z działania;

"dokument" oznacza każdą utrwaloną informację, bez względu na jej formę fizyczną lub cechy charakterystyczne;

"dokument określający aspekty bezpieczeństwa" (DOAB) oznacza zbiór specjalnych warunków umownych, wydany przez instytucję zamawiającą, stanowiący integralną część jakiejkolwiek umowy niejawnej obejmującej dostęp do EUCI lub ich wytwarzanie, określający wymogi bezpieczeństwa lub wskazujący te elementy umowy, których bezpieczeństwo wymaga ochrony;

"informacje niejawne UE" (EUCI) - zob. art. 2 ust. 1;

"instrukcje bezpieczeństwa programu/projektu" (IBP) oznaczają wykaz procedur bezpieczeństwa stosowanych do określonego programu/projektu w celu ujednolicenia procedur bezpieczeństwa. Instrukcje mogą być zmieniane podczas trwania programu/projektu;

"materiał kryptograficzny" oznacza algorytmy kryptograficzne, sprzęt i oprogramowanie kryptograficzne, a także produkty zawierające szczegóły stosowania i związaną z nim dokumentację oraz klucze;

"materiały" oznaczają jakikolwiek dokument, nośnik danych lub dowolne urządzenia lub sprzęt, już wytworzone lub będące w trakcie wytwarzania;

"niejawna umowa o podwykonawstwo" oznacza umowę zawieraną przez wykonawcę SGR z innym wykonawcą (tj. podwykonawcą) na dostawę towarów, wykonanie robót lub świadczenie usług, której wykonanie wymaga dostępu do EUCI lub wytwarzania takich informacji bądź wiąże się z dostępem do nich lub ich wytwarzaniem;

"obniżenie klauzuli tajności" oznacza obniżenie poziomu klauzuli tajności;

"ochrona w głąb" oznacza stosowanie pakietu środków bezpieczeństwa o różnych poziomach ochrony;

"operacja WPBiO" oznacza wojskową lub cywilną operację zarządzania kryzysowego prowadzoną na mocy tytułu V rozdział 2 TUE;

"podatność" oznacza każdego rodzaju słaby punkt, który może zostać wykorzystany przez jedno zagrożenie lub większą ich liczbę. Podatność może być zaniechaniem lub może odnosić się do słabego punktu środków kontroli, jeżeli chodzi o ich solidność, wszechstronność lub spójność; może mieć charakter techniczny, proceduralny, fizyczny, organizacyjny lub operacyjny;

"podmiot prowadzący działalność gospodarczą lub inną" oznacza podmiot zajmujący się dostawą towarów, wykonywaniem robót lub świadczeniem usług; może to być podmiot prowadzący działalność gospodarczą, handlową, usługową, naukową, badawczą, edukacyjną lub rozwojową lub osoba prowadząca własną działalność;

"połączenie międzysystemowe" - zob. załącznik IV pkt 32;

"posiadacz" oznacza osobę posiadającą odpowiednie uprawnienia i spełniającą zasadę ograniczonego dostępu, znajdującą się w posiadaniu EUCI i w związku z tym odpowiedzialną za ich ochronę;

"postępowanie sprawdzające" oznacza procedury sprawdzające przeprowadzane przez właściwy organ danego państwa członkowskiego zgodnie z jego przepisami ustawowymi i wykonawczymi w celu uzyskania pewności, że nie istnieją żadne niekorzystne okoliczności, które mogłyby stanowić przeszkodę w wydaniu danej osobie PBO lub upoważnienia do dostępu do EUCI do określonego poziomu klauzuli tajności (CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższej);

"poświadczenie bezpieczeństwa osobowego" (PBO) oznacza oświadczenie właściwego organu państwa członkowskiego wydawane po przeprowadzeniu przez właściwe organy państwa członkowskiego postępowania sprawdzającego, w którym to oświadczeniu stwierdza się, że danej osobie można udzielać przysługującego do konkretnej daty dostępu do EUCI do określonego poziomu klauzuli tajności (CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższej);

"proces zarządzania ryzykiem dla bezpieczeństwa" oznacza cały proces określania, kontrolowania i minimalizacji związanych z ryzykiem wydarzeń, które mogą wpłynąć na bezpieczeństwo danej organizacji lub jakiegokolwiek systemu przez nią używanego. Obejmuje on wszystkie działania związane z ryzykiem, w tym ocenę, zmniejszanie, akceptację i powiadamianie;

"produkt kryptograficzny" oznacza produkt, którego pierwszorzędnym i głównym przeznaczeniem jest świadczenie usług dotyczących bezpieczeństwa (poufności, integralności, dostępności, autentyczności i niezaprzeczalności) z wykorzystaniem jednego urządzenia kryptograficznego lub większej ich liczby;

"przewodnik nadawania klauzul" (PNK) oznacza dokument opisujący niejawne elementy programu lub umowy i określający mające zastosowanie poziomy klauzul tajności. PNK może być rozszerzany podczas trwania programu lub umowy, a klauzule tajności dla części informacji mogą zostać zmienione lub obniżone; jeżeli PNK jest opracowany, to powinien być częścią dokumentu określającego aspekty bezpieczeństwa;

"rejestracja" - zob. załącznik III pkt 18;

"ryzyko" oznacza prawdopodobieństwo, że dane zagrożenie wykorzysta wewnętrzną i zewnętrzną podatność danej organizacji lub jakiegokolwiek systemu, z którego korzysta, i tym samym spowoduje szkody dla tej organizacji i jej materialnych lub niematerialnych zasobów. Ryzyko mierzone jest jako połączenie prawdopodobieństwa wystąpienia zagrożeń oraz ich skutków;

"ryzyko szczątkowe" oznacza ryzyko, które pozostaje po wdrożeniu środków bezpieczeństwa, przy założeniu, że nie przeciwdziała się wszystkim zagrożeniom i że nie każdą podatność można wyeliminować;

"system teleinformatyczny" (CIS) - zob. art. 10 ust. 2;

"świadectwo bezpieczeństwa przemysłowego" (SBP) oznacza stwierdzenie przez KWB lub WWB w wyniku procedur administracyjnych, że z punktu widzenia bezpieczeństwa dany podmiot jest w stanie zapewnić właściwą ochronę EUCI do określonego poziomu klauzuli tajności;

"TEMPEST" oznacza sprawdzenie, analizę i kontrolę emisji elektromagnetycznych umożliwiających przechwycenie danych oraz środki służące tłumieniu takich emisji;

"tryb bezpiecznej pracy systemu" oznacza określenie warunków działania CIS na podstawie klauzul tajności informacji przetwarzanych oraz poziomów poświadczeń jego użytkowników, ich formalnych zatwierdzeń dostępu oraz zasady ograniczonego dostępu. Istnieją cztery tryby działania, jeżeli chodzi o przetwarzanie informacji niejawnych lub ich transmisję: tryb dedykowany, tryb systemowopodwyższony, tryb zastrzeżony i tryb wielopoziomowy:

"umowa niejawna" oznacza umowę zawieraną przez SGR z wykonawcą na dostawę towarów, wykonanie robót lub świadczenie usług, której wykonanie wymaga dostępu do EUCI lub wytwarzania takich informacji bądź wiąże się z dostępem do nich lub ich wytwarzaniem;

"upoważnienie do dostępu do EUCI" oznacza decyzję podejmowaną przez organ powołujący SGR na podstawie zapewnienia udzielonego przez właściwy organ państwa członkowskiego względem urzędnika lub innego pracownika SGR, lub oddelegowanego eksperta krajowego, która oznacza, że osobie tej można - pod warunkiem że spełnia ona zasadę ograniczonego dostępu i że została stosownie poinstruowana co do zakresu swoich obowiązków - udzielić przysługującego do konkretnej daty dostępu do EUCI do określonego poziomu klauzuli tajności (CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższej);

"wykonawca" oznacza osobę fizyczną lub prawną posiadającą zdolność prawną do zawierania umów;

"wykorzystywanie/przetwarzanie" EUCI oznacza wszelkie możliwe działania, którym mogą podlegać EUCI na wszystkich etapach ich cyklu życia. Pojęcie to obejmuje wytwarzanie tych informacji, ich przetwarzanie, przemieszczanie, obniżenie klauzuli tajności, zniesienie klauzuli tajności oraz niszczenie. W przypadku CIS obejmuje ono także gromadzenie informacji, ich przedstawianie, transmisję i przechowywanie;

"wytwórca" oznacza instytucję, organ lub jednostkę organizacyjną Unii, państwo członkowskie, państwo trzecie lub organizację międzynarodową, pod nadzorem której wytworzono informacje niejawne lub wprowadzono je do struktur Unii;

"wyznaczona władza bezpieczeństwa" (WWB) oznacza organ podporządkowany krajowej władzy bezpieczeństwa (KWB) państwa członkowskiego, odpowiedzialny za informowanie podmiotów prowadzących działalność gospodarczą lub inną o krajowej polityce w zakresie wszelkich kwestii związanych z bezpieczeństwem przemysłowym oraz za udzielanie wskazówek i pomocy w ich wdrażaniu. Zadania WWB mogą być wykonywane przez KWB lub jakiekolwiek inny właściwy organ;

"zabezpieczanie informacji" - zob. art. 10 ust. 1;

"zagrożenie" oznacza potencjalną przyczynę niepożądanego incydentu, który może skutkować szkodą dla organizacji lub jakiegokolwiek systemu przez nią używanego; zagrożenia takie mogą być przypadkowe lub zamierzone (rozmyślne) i obejmują elementy zagrażające, potencjalne cele i metody ataku;

"zarządzanie informacjami niejawnymi" - zob. art. 9 ust. 1;

"zasoby" oznaczają wszystkie elementy, które mają wartość dla danej organizacji, prowadzenia przez nią działań i ich ciągłości, w tym zasoby informacyjne, które wspierają misję organizacji;

"zaświadczenie potwierdzające posiadanie poświadczenia bezpieczeństwa osobowego" (ZPBO) oznacza wydane przez właściwy organ zaświadczenie potwierdzające, że dana osoba została odpowiednio sprawdzona i posiada ważne zaświadczenie potwierdzające posiadanie poświadczenia bezpieczeństwa lub udzielone przez organ powołujący upoważnienie do dostępu do EUCI, oraz określające poziom klauzuli tajności EUCI, do których osoba ta może mieć dostęp (CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższy), okres ważności danego PBO oraz okres ważności samego zaświadczenia;

"zniesienie klauzuli tajności" oznacza zniesienie jakiejkolwiek klauzuli tajności.

Dodatek B 5

RÓWNOWAŻNOŚĆ KLAUZUL TAJNOŚCI

UE	TRÈS SECRET UE/EU TOP SECRET		SECRET UE/EU SECRET		CONFIDENTIEL UE/EU CONFIDENTIAL		RESTREINT UE/EU RESTRICTED
Belgia	TRÈS SECRET (Loi 11.12.1998) ZEER GEHEIM (Wet 11.12.1998)		SECRET (Loi 11.12.1998) GEHEIM (Wet 11.12.1998)		CONFIDENTIEL (Loi 11.12.1998) VERTROUWELIJK (Wet 11.12.1998)		RESTREINT (Loi 11.12.1998) BEPERKT (Wet 11.12.1998)
Bułgaria	Cmporo ceKpemHO		CeKpemHO		noBepumenHO		3a слуxе6но ползване
Czechy	Prisné tajné		Tajné		Dûvérné		Vyhrazené
Dania	YDERST HEMMELIGT		HEMMELIGT		FORTROLIGT		TIL TJENESTEBRUG
Niemcy	STRENG GEHEIM		GEHEIM		VS (1) VERTRAULICH		VS - NUR FÜR DEN DIENSTGEBRAUCH
Estonia	Täiesti salajane		Salajane		Konfidentsiaalne		Piiratud
Irlandia	Top Secret		Secret		Confidential		Restricted
Grecja	Άκρως Απόρρητο Skr. ΑΑΠ		Απόρρητο Skr. (ΑΠ)		EpniOTEUTlKÓ Skr. (EM)		Περιορισμένης Χρήσης Skr. (ΠΧ)
Hiszpania	SECRETO		RESERVADO		CONFIDENCIAL		DIFUSIÓN LIMITADA
Francja	TRÈS SECRET TRÈS SECRET DÉFENSE (^2a)		SECRET SECRET DÉFENSE (^2a)		CONFIDENTIEL DÉFENSE (^2a), (^2b)		uwaga (^2c) poniżej
Chorwacja	VRLO TAJNO		TAJNO		POVJERLJIVO		OGRANICENO
Włochy		Segretissimo		Segreto		Riservatissimo		Riservato
Cypr		Άκρως Απόρρητο Skr. (ΑΑΠ)		Απόρρητο Skr. (ΑΠ)		EuniOTfuTiKÓ Skr. (EM)		Περιορισμένης Χρήσης Skr. (ΠΧ)
Łotwa		Seviski slepeni		Slepeni		Konfidenciali		Dienesta vajadzibäm
Litwa		Visiskai slaptai		Slaptai		Konfidencialiai		Riboto naudojimo
Luksemburg		Très Secret Lux		Secret Lux		Confidentiel Lux		Restreint Lux
Węgry		Szigorùan titkos!		Titkos!		Bizalmas!		Korlátozott terjesztésú!
Malta		L-Oghla Segretezza Top Secret		Sigriet Secret		Kunfidenzjali Confidential		Ristrett Restricted (3)
Niderlandy		Stg. ZEER GEHEIM		Stg. GEHEIM		Stg. CONFIDENTIEEL		Dep. VERTROUWELIJK
Austria		Streng Geheim		Geheim		Vertraulich		Eingeschränkt
Polska		Ściśle Tajne		Tajne		Poufne		Zastrzeżone
Portugalia		Muito Secreto		Secreto		Confidencial		Reservado
Rumunia		Strict secret de importantä deosebitä		Strict secret		Secret		Secret de serviciu
Słowenia		STROGO TAJNO		TAJNO		ZAUPNO		INTERNO
Słowacja		Prisne tajné		Tajne		Dôverné		Vyhradené
Finlandia		ERITTÄIN SALAINEN YTTERST HEMLIG		SALAINEN HEMLIG		LUOTTAMUKSELLINEN KONFIDENTIELL		KÄYTTÖ RAJOITETTU BEGRÄNSAD TILLGÂNG
Szwecja		Kvalificerat hemlig		Hemlig		Konfidentiell		Begränsat hemlig
⁽¹⁾ Niemcy: VS = Verschlusssache. (^2a) Informacje wytworzone przez Francję przed dniem 1 lipca 2021 r. i opatrzone klauzulą "TRÈS SECRET DÉFENSE", "SECRET DÉFENSE" i "CONFIDENTIEL DÉFENSE" są nadal przetwarzane i chronione na równoważnym poziomie odpowiednio "TRÈS SECRET UE/EU TOP SECRET", "SECRET UE/EU SECRET" i "CONFIDENTIEL UE/EU CONFIDENTIAL". (^2b) We Francji pracuje się z wykorzystaniem informacji niejawnych oznaczonych "CONFIDENTIEL UE/EU CONFIDENTIAL" i chroni je zgodnie z obowiązującymi we Francji środkami bezpieczeństwa służącymi ochronie informacji oznaczonych klauzulą "SECRET". (^2c) Francja nie stosuje klauzuli "RESTREINT" w swoim systemie krajowym. We Francji pracuje się z wykorzystaniem informacji oznaczonych "RESTREINT UE/EU RESTRICTED" i chroni je w sposób nie mniej rygorystyczny, niż przewidują to normy i procedury opisane w przepisach bezpieczeństwa Rady Unii Europejskiej. ⁽³⁾ Maltańskie i angielskie oznaczenia mogą być w przypadku Malty używane wymiennie.

Dodatek C 6

WYKAZ KRAJOWYCH WŁADZ BEZPIECZEŃSTWA (KWB)

BELGIA

ESTONIA

Autorité Nationale de Sécurité/Nationale Veiligheidsoverheid

SPF Justice / FOD Justitie

Rue des Petits Carmes, 15

1000 Bruxelles

E-mail: info@nvo-ans.be

National Security Authority Department

Estonian Foreign Intelligence Service

Rahumae tee 4B

11316 Tallinn

Tel. +372 693 9211

Faks +372 693 5001

E-mail: nsa@fis.gov.ee

BUŁGARIA

IRLANDIA

State Commission on Information Security 4 Kozloduy Str.

1202 Sofia

Tel. + 359 29333600

Faks + 359 29873750

E-mail: dksi@government.bg

Strona internetowa: www.dksi.bg

National Security Authority

Department of Foreign Affairs and Trade 76 -78 Harcourt Street

Dublin 2

D02 DX45 Ireland

Tel. 1: + 353 1 4082842

Tel. 2: + 353 1 4082724

E-mail: nsa@dfa.ie

CZECHY

GRECJA

Narodni bezpecnostni urad (National Security Authority) Na Popelce 2/16 150 06 Praha 56

Tel. + 420 257283335

Faks + 420 257283110

E-mail: oms@nbu.cz

Strona internetowa: www.nbu.cz

Γενικό Επιτελείο Εθνικής Άμυνας (ΓΕΕΘΑ)

Διεύθυνση Ασφαλείας και Αντιπληροφοριών

ΣΤΓ 1020 -Χολαργός (Αθήνα)

Ελλάδα

Τηλ.: + 30 2106572045 (ώρες γραφείου)

+ 30 2106572009 (ώρες γραφείου)

Φαξ: + 30 2106536279

+ 30 2106577612

Hellenic National Defence General Staff (HNDGS)

Counter Intelligence and Security Directorate (NSA) 227-231 HOLARGOS

STG 1020 ATHENS

Tel. + 30 2106572045

+ 30 2106572009

Faks + 30 2106536279

+ 30 2106577612

DANIA

HISZPANIA

Politiets Efterretningstjeneste (Danish Security Intelligence Service)

Klausdalsbrovej 1

2860 S0borg

Tel. + 45 45 15 90 07

Faks + 45 45 15 01 90

Forsvarets Efterretningstjeneste (Danish Defence Intelligence Service)

Kastellet 30

2100 Copenhagen 0

Tel. + 45 33325566

Faks + 45 33931320

Autoridad Nacional de Seguridad Oficina Nacional de Seguridad Calle Argentona, 30 28023 Madrid

Tel. + 34 913725000

Faks + 34 913725808

E-mail: nsa-sp@areatec.com

NIEMCY

FRANCJA

Bundesministerium des Innern, für Bau und Heimat

Section ÖS II 5

Alt-Moabit 140

D-10557 Berlin

Tel. + 49 30186810

Faks + 49 30186811441

E-mail 1: OESII5@bmi.bund.de

E-mail 2: PersGS@bmi.bund.de

Secrétariat général de la défense et de la sécurité nationale Sous-direction Protection du secret (SGDSN/PSD)

51 Boulevard de la Tour-Maubourg

75700 Paris 07 SP

Tel. + 33 171758177

Faks + 33 171758200

CHORWACJA

LUKSEMBURG

Office of the National Security Council

Croatian NSA

Jurjevska 34

10000 Zagreb

Croatia

Tel. + 385 14681222

Faks + 385 14686049

E-mail: NSACroatia@uvns.hr

Strona internetowa: www.uvns.hr

Autorité nationale de Sécurité

Boîte postale 2379

1023 Luxembourg

Tel. + 352 24782210 centrala

Tel. + 352 24782253 bezpośredni

Faks + 352 24782243

WŁOCHY

Presidenza del Consiglio dei Ministri

Dipartimento Informazioni per la Sicurezza (DIS)

Ufficio Centrale per la Segretezza (UCSe)

Via Galilei, 32

00185 Roma

Tel. + 39 06478601

Faks + 39 064885273

E-mail: nsa.ita@alfa.gov.it

WĘGRY

Nemzeti Biztonsagi Felugyelet

(National Security Authority of Hungary) 1024 Budapest, Szilagyi Erzsebet fasor 11/B Postal address: 1399 Budapest, Pf. 710/50 Tel. + 36-1/391-1862

Faks + 36-1/391-1889

E-mail: nbf@nbf.hu

Strona internetowa: www.nbf.hu

CYPR

ΥΠΟΥΡΓΕΙΟ ΑΜΥΝΑΣ

ΣΤΡΑΤΙΩΤΙΚΟ ΕΠΙΤΕΛΕΙΟ ΤΟΥ ΥΠΟΥΡΓΟΥ ΑΜΥΝΑΣ

ΕΘΝΙΚΗ ΑΡΧΗ ΑΣΦΑΛΕΙΑΣ (ΕΑΑ)

Υπουργείο Άμυνας

Λεωφόρος Στροβόλου 172-174, 1432

Λευκωσία

Ταχυδρομικός Κώδικας: 2048

Τηλεφωνα: + 357 22807569, + 357 22807643, + 357 22807764

Τηλεομοιότυπ: + 357 22302351

Ηλεκτρονικό Ταχυδρομείο: cynsa@mod.gov.cy

Ministry of Defence

Minister's Military Staff

National Security Authority (NSA)

172-174 Strovolou Avenue, 1432

Nicosia

Postal code: 2048

Tel. + 357 22807569, + 357 22807643, + 357 22807764

Faks + 357 22302351

E-mail: cynsa@mod.gov.cy

MALTA

Ministry for Home Affairs and National Security

P.O. Box 146

MT-Valletta

Tel. + 356 21249844

Faks + 356 25695321

ŁOTWA

National Security Authority

Constitution Protection Bureau of the Republic of Latvia

P.O.Box 286

LV-1001 Riga

Tel. + 371 67025418

E-mail: ndi@sab.gov.lv

NIDERLANDY

Ministerie van Binnenlandse Zaken en Koninkrijksrelaties

Postbus 20010

2500 EA Den Haag

Tel. + 31 703204400

Faks + 31 703200733

Ministerie van Defensie

Beveiligingsautoriteit

Postbus 20701

2500 ES Den Haag

Tel. + 31 703187060

Faks + 31 703187522

LITWA

Lietuvos Respublikos paslapciu apsaugos koordinavimo komisija

(The Commission for Secrets Protection Coordination of the Republic of Lithuania National Security Authority)

Pilaites ave. 19

LT-06264 Vilnius

Tel. + 370 5 706 66128

Faks +370 706 66700

E-mail: nsa@vsd.lt

AUSTRIA

Informationssicherheitskommission

Bundeskanzleramt

Ballhausplatz 2

1010 Wien

Tel. + 43 1 53115 202594

Faks + 43 1 53109 202594

E-mail: isk@bka.gv.at

POLSKA

Agencja Bezpieczeństwa Wewnętrznego - ABW (Internal Security Agency)

2 A Rakowiecka St.

00-993 Warszawa

Tel. + 48 225857663

Faks + 48 225858509

E-mail: nsa@abw.gov.pl

Strona internetowa: www.abw.gov.pl

SŁOWACJA

Närodny bezpecnostny urad (National Security Authority)

Budatinska 30

851 06 Bratislava

Tel. + 421 2 6869 1111

Faks + 421 2 6869 1700

E-mail: podatelna@nbu.gov.sk

Strona internetowa: www.nbu.gov.sk

PORTUGALIA

Presidencia do Conselho de Ministros

Autoridade Nacional de Seguranęa Rua da Junqueira, 69 1300-342 Lisboa

Tel. + 351 213031710

Faks + 351 213031711

FINLANDIA

National Security Authority Ministry for Foreign Affairs P.O. Box 453

FI-00023 Government

Tel. + 358 9 16055890

E-mail: NSA@formin.fi

RUMUNIA

Oficiul Registrului National al Informatiilor Secrete de Stat - Romanian NSA - ORNISS

National Registry Office for Classified Information

Strada Mures nr. 4

012275 Bucharest

Tel. + 40 212075114

Faks + 40 212240714

E-mail: nsa.romania@nsa.ro

Strona internetowa: www.orniss.ro

SZWECJA

Ministry for Foreign Affairs

Swedish National Security Authority 103 39 Stockholm

Tel. + 46 8 405 10 00

E-mail: ud-nsa@gov.se

SŁOWENIA

Urad Vlade RS za varovanje tajnih podatkov

Śmartinska 152

1000 Ljubljana

Tel. + 386 147817570

Faks + 386 14781399

E-mail: gp.uvtp@gov.si

Dodatek D

WYKAZ SKRÓTÓW

Akronim	Znaczenie
AQUA	Organ oceny produktów kryptograficznych
BPS	Usługi ochrony na granicy systemów
CAA	Organ ds. zatwierdzania produktów kryptograficznych
CCTV	Telewizja przemysłowa
CDA	Organ ds. dystrybucji produktów kryptograficznych
CIS	System teleinformatyczny przetwarzający EUCI
COREPER	Komitet Stałych Przedstawicieli
DOAB	Dokument określający aspekty bezpieczeństwa
ECSD	Dyrekcja ds. Bezpieczeństwa Komisji Europejskiej
EUCI	Informacje niejawne UE
IA	Zabezpieczanie informacji
IAA	Organ ds. zabezpieczania informacji
IBP	Instrukcje bezpieczeństwa programu/projektu
IT	Technologie informatyczne
KWB	Krajowa władza bezpieczeństwa
PBO	Poświadczenie bezpieczeństwa osobowego
PNK	Przewodnik nadawania klauzul
SAA	Organ ds. akredytacji bezpieczeństwa
SAB	Wspólna rada ds. akredytacji bezpieczeństwa
SBP	Świadectwo bezpieczeństwa przemysłowego
SecOP	Procedury bezpiecznej eksploatacji systemu
SGR	Sekretariat Generalny Rady
SPUE	Specjalny przedstawiciel UE
SSRS	Szczególne wymagania bezpieczeństwa systemu
SSWiN	System sygnalizacji włamania i napadu
TA	Organ ds. TEMPEST
WPZiB	Wspólna polityka zagraniczna i bezpieczeństwa
WPBiO	Wspólna polityka bezpieczeństwa i obrony
WWB	Wyznaczona władza bezpieczeństwa
ZPBO	Zaświadczenie potwierdzające posiadanie poświadczenia bezpieczeństwa osobowego

1 Dz.U. L 325 z 11.12.2009, s. 35.

2 Decyzja Rady 2011/292/UE z dnia 31 marca 2011 r. w sprawie przepisów bezpieczeństwa dotyczących ochrony informacji niejawnych UE (Dz.U. L 141 z 27.5.2011, s. 17).

3 Decyzja Rady 2001/264/WE z dnia 19 marca 2001 r. w sprawie przyjęcia przepisów Rady dotyczących bezpieczeństwa (Dz.U. L 101 z 11.4.2001, s. 1).

4 Rozporządzenie Rady (EWG, Euratom, EWWiS) nr 259/68 z dnia 29 lutego 1968 r. ustanawiające regulamin pracowniczy i warunki zatrudnienia innych pracowników Wspólnot Europejskich oraz ustanawiające specjalne środki stosowane tymczasowo wobec urzędników Komisji (Dz.U. L 56 z 4.3.1968, s. 1).

5 Dodatek B:

- zmieniony przez art. 1 decyzji nr 2014/233/UE z dnia 14 kwietnia 2014 r. (Dz.U.UE.L.2014.125.72) zmieniającej nin. decyzję z dniem 26 kwietnia 2014 r.

- zmieniony przez art. 1 decyzji nr 2247/2019 z dnia 19 grudnia 2019 r. (Dz.U.UE.L.2019.336.291) zmieniającej nin. decyzję z dniem 19 grudnia 2019 r.

- zmieniony przez art. 1 decyzji nr 1075/2021 z dnia 21 czerwca 2021 r. (Dz.U.UE.L.2021.233.1) zmieniającej nin. decyzję z dniem 1 lipca 2021 r.

- zmieniony przez art. 1 decyzji nr 2025/1540 z dnia 18 lipca 2025 r. (Dz.U.UE.L.2025.1540) zmieniającej nin. decyzję z dniem 14 sierpnia 2025 r.

6 dodatek C:

- zmieniony przez art. 1 decyzji nr 2247/2019 z dnia 19 grudnia 2019 r. (Dz.U.UE.L.2019.336.291) zmieniającej nin. decyzję z dniem 19 grudnia 2019 r.

- zmieniony przez art. 1 decyzji nr 1075/2021 z dnia 21 czerwca 2021 r. (Dz.U.UE.L.2021.233.1) zmieniającej nin. decyzję z dniem 1 lipca 2021 r.

- zmieniony przez art. 1 decyzji nr 2025/1540 z dnia 18 lipca 2025 r. (Dz.U.UE.L.2025.1540) zmieniającej nin. decyzję z dniem 14 sierpnia 2025 r.

Zmiany w prawie

Senat poprawia reformę orzecznictwa lekarskiego w ZUS

Senat zgłosił w środę poprawki do reformy orzecznictwa lekarskiego w ZUS. Zaproponował, aby w sprawach szczególnie skomplikowanych możliwe było orzekanie w drugiej instancji przez grupę trzech lekarzy orzeczników. W pozostałych sprawach, zgodnie z ustawą, orzekać będzie jeden. Teraz ustawa wróci do Sejmu.

Grażyna J. Leśniak 10.12.2025

Co się zmieni w podatkach w 2026 roku? Wciąż wiele niewiadomych

Mimo iż do 1 stycznia zostały trzy tygodnie, przedsiębiorcy wciąż nie mają pewności, które zmiany wejdą w życie w nowym roku. Brakuje m.in. rozporządzeń wykonawczych do KSeF i rozporządzenia w sprawie JPK VAT. Część ustaw nadal jest na etapie prac parlamentu lub czeka na podpis prezydenta. Wiadomo już jednak, że nie będzie dużej nowelizacji ustaw o PIT i CIT. W 2026 r. nadal będzie można korzystać na starych zasadach z ulgi mieszkaniowej i IP Box oraz sprzedać bez podatku poleasingowy samochód.

Monika Pogroszewska 10.12.2025

Maciej Berek: Do projektu MRPiPS o PIP wprowadziliśmy bardzo istotne zmiany

Komitet Stały Rady Ministrów wprowadził bardzo istotne zmiany do projektu ustawy przygotowanego przez Ministerstwo Rodziny, Pracy i Polityki Społecznej – poinformował minister Maciej Berek w czwartek wieczorem, w programie „Pytanie dnia” na antenie TVP Info. Jak poinformował, projekt nowelizacji ustawy o PIP powinien trafić do Sejmu w grudniu 2025 roku, aby prace nad nim w Parlamencie trwały w I kwartale 2026 r.

Grażyna J. Leśniak 05.12.2025

Lekarze i pielęgniarki na kontraktach „uratują” firmy przed przekształcaniem umów?

4 grudnia Komitet Stały Rady Ministrów przyjął projekt zmian w ustawie o PIP - przekazało w czwartek MRPiPS. Nie wiadomo jednak, jaki jest jego ostateczny kształt. Jeszcze w środę Ministerstwo Zdrowia informowało Komitet, że zgadza się na propozycję, by skutki rozstrzygnięć PIP i ich zakres działał na przyszłość, a skutkiem polecenia inspektora pracy nie było ustalenie istnienia stosunku pracy między stronami umowy B2B, ale ustalenie zgodności jej z prawem. Zdaniem prawników, to byłaby kontrrewolucja w stosunku do projektu resortu pracy.

Grażyna J. Leśniak 05.12.2025

Klub parlamentarny PSL-TD przeciwko projektowi ustawy o PIP

Przygotowany przez ministerstwo pracy projekt zmian w ustawie o PIP, przyznający inspektorom pracy uprawnienie do przekształcania umów cywilnoprawnych i B2B w umowy o pracę, łamie konstytucję i szkodzi polskiej gospodarce – ogłosili posłowie PSL na zorganizowanej w czwartek w Sejmie konferencji prasowej. I zażądali zdjęcia tego projektu z dzisiejszego porządku posiedzenia Komitetu Stałego Rady Ministrów.

Grażyna J. Leśniak 04.12.2025

Prezydent podpisał zakaz hodowli zwierząt na futra, ale tzw. ustawę łańcuchową zawetował

Prezydent Karol Nawrocki podpisał we wtorek ustawę z 7 listopada 2025 r. o zmianie ustawy o ochronie zwierząt. Jej celem jest wprowadzenie zakazu chowu i hodowli zwierząt futerkowych w celach komercyjnych, z wyjątkiem królika, w szczególności w celu pozyskania z nich futer lub innych części zwierząt. Zawetowana została jednak ustawa zakazująca trzymania psów na łańcuchach. Prezydent ma w tym zakresie złożyć własny projekt.

Krzysztof Koślicki 02.12.2025

Identyfikator:	Dz.U.UE.L.2013.274.1
Rodzaj:	Decyzja
Tytuł:	Decyzja 2013/488/UE w sprawie przepisów bezpieczeństwa dotyczących ochrony informacji niejawnych UE
Data aktu:	23/09/2013
Data ogłoszenia:	15/10/2013
Data wejścia w życie:	15/10/2013

Decyzja 2013/488/UE w sprawie przepisów bezpieczeństwa dotyczących ochrony informacji niejawnych UE

DECYZJA RADY z dnia 23 września 2013 r. w sprawie przepisów bezpieczeństwa dotyczących ochrony informacji niejawnych UE (2013/488/UE)

ZAŁĄCZNIKI

ZAŁĄCZNIK I BEZPIECZEŃSTWO OSOBOWE

ZAŁĄCZNIK II BEZPIECZEŃSTWO FIZYCZNE

ZAŁĄCZNIK III ZARZĄDZANIE INFORMACJAMI NIEJAWNYMI

ZAŁĄCZNIK IV OCHRONA EUCI PRZETWARZANYCH W CIS

ZAŁĄCZNIK V BEZPIECZEŃSTWO PRZEMYSŁOWE

ZAŁĄCZNIK VI WYMIANA INFORMACJI NIEJAWNYCH Z PAŃSTWAMI TRZECIMI I ORGANIZACJAMI MIĘDZYNARODOWYMI

Dodatek A DEFINICJE

Dodatek B 5 RÓWNOWAŻNOŚĆ KLAUZUL TAJNOŚCI

Dodatek C 6 WYKAZ KRAJOWYCH WŁADZ BEZPIECZEŃSTWA (KWB)

Dodatek D WYKAZ SKRÓTÓW