Rozdział 1 - PODSTAWOWE ZASADY I MINIMALNE STANDARDY - Decyzja 2015/444 w sprawie przepisów bezpieczeństwa dotyczących ochrony informacji niejawnych UE
Dzienniki UE
Dz.U.UE.L.2015.72.53
Akt obowiązujący Wersja od: 17 marca 2015 r.
ROZDZIAŁ 1
PODSTAWOWE ZASADY I MINIMALNE STANDARDY
PODSTAWOWE ZASADY I MINIMALNE STANDARDY
Definicje
Do celów niniejszej decyzji stosuje się następujące definicje:
1)
"departament Komisji" oznacza każdą dyrekcję generalną lub służbę Komisji Europejskiej lub każdy gabinet członka Komisji;2)
"materiał kryptograficzny" oznacza algorytmy kryptograficzne, sprzęt i oprogramowanie kryptograficzne, a także produkty zawierające szczegóły stosowania i związaną z nim dokumentację oraz klucze;3)
"zniesienie klauzuli tajności" oznacza zniesienie wszelkiej klauzuli tajności;4)
"ochrona w głąb" oznacza stosowanie szeregu środków bezpieczeństwa w formie wielu warstw zabezpieczeń;5)
"dokument" oznacza każdą zapisaną informację, niezależnie od jej postaci fizycznej lub cech;6)
"obniżenie klauzuli tajności" oznacza obniżenie poziomu klauzuli tajności;7)
"korzystanie" z EUCI oznacza wszelkie możliwe działania, jakim mogą być poddawane EUCI w całym cyklu ich życia. Pojęcie to obejmuje tworzenie, rejestrowanie, przetwarzanie i przenoszenie EUCI, obniżanie lub znoszenie ich klauzul tajności oraz niszczenie. W odniesieniu do systemów teleinformatycznych (CIS) pojęcie to obejmuje również gromadzenie, wyświetlanie, przesyłanie i przechowywanie EUCI;8)
"posiadacz" oznacza odpowiednio uprawnioną osobę, której potrzeby w ramach ograniczonego dostępu zostały ustalone i w której posiadaniu znajduje się EUCI, w związku z czym odpowiada ona za ochronę przedmiotowych informacji;9)
"przepisy wykonawcze" oznaczają każdy zbiór przepisów lub instrukcji bezpieczeństwa przyjętych zgodnie z rozdziałem 5 decyzji Komisji (UE, Euratom) 2015/443 8 ;10)
"materiały" oznaczają dowolny nośnik informacji, nośnik danych lub urządzenie bądź sprzęt, wytworzone lub będące w trakcie wytwarzania;11)
"wytwórca" oznacza instytucję, agencję lub organ UE, państwo członkowskie, państwo trzecie lub organizację międzynarodową, w ramach właściwości której wytworzono informacje niejawne lub wprowadzono je do struktur UE;12)
"obiekty" oznaczają dowolną nieruchomość lub inną własność i posiadłość Komisji;13)
"proces zarządzania ryzykiem związanym z bezpieczeństwem" oznacza całość procesu określania, kontrolowania i minimalizacji niepewnych zdarzeń, które mogą wpłynąć na bezpieczeństwo danej organizacji lub każdego używanego przez nią systemu. Obejmuje on wszystkie działania związane z ryzykiem, w tym ocenę, zmniejszanie ryzyka, akceptację i powiadamianie;14)
"regulamin pracowniczy" oznacza Regulamin pracowniczy urzędników Unii Europejskiej i warunki zatrudnienia innych pracowników Unii Europejskiej ustanowiony rozporządzeniem Rady (EWG, Euratom, EWWiS) nr 259/68 9 ;15)
"zagrożenie" oznacza potencjalną przyczynę niepożądanego incydentu, który może skutkować szkodą dla organizacji lub systemu przez nią używanego; zagrożenia takie mogą być przypadkowe lub zamierzone (rozmyślne) i obejmują elementy zagrażające, potencjalne cele i metody ataku;16)
"podatność" oznacza każdego rodzaju słaby punkt, który może zostać wykorzystany przez jedno zagrożenie lub większą ich liczbę. Podatność może być zaniechaniem lub może odnosić się do słabego punktu środków kontroli, jeżeli chodzi o ich solidność, wszechstronność lub spójność; może mieć charakter techniczny, proceduralny, fizyczny, organizacyjny lub operacyjny.Przedmiot i zakres
1.
W niniejszej decyzji określono podstawowe zasady i minimalne standardy bezpieczeństwa służące ochronie EUCI.2.
Niniejszą decyzję stosuje się do wszystkich departamentów Komisji i do wszystkich obiektów Komisji.3.
Nie naruszając żadnych konkretnych wskazań dotyczących poszczególnych grup pracowników, niniejsza decyzja ma zastosowanie do członków Komisji, pracowników Komisji objętych regulaminem pracowniczym i warunkami zatrudnienia innych pracowników Wspólnot Europejskich, ekspertów krajowych oddelegowanych do Komisji, dostawców usług i ich pracowników, stażystów oraz do wszystkich osób mających dostęp do budynków lub innych aktywów Komisji lub do informacji przetwarzanych przez Komisję.4.
Przepisy niniejszej decyzji nie naruszają decyzji 2002/47/WE, EWWiS, Euratom i decyzji 2004/563/WE, Euratom.Definicja EUCI, klauzule tajności i oznaczenia
1.
"Informacje niejawne Unii Europejskiej" (EUCI) oznaczają wszelkie informacje lub materiały objęte klauzulą tajności UE, których nieuprawnione ujawnienie mogłoby spowodować szkody różnego stopnia dla interesów Unii Europejskiej lub interesów co najmniej jednego państwa członkowskiego.2.
EUCI otrzymują jedną z następujących klauzul tajności:a)
TRES SECRET UE/EU TOP SECRET: informacje i materiały, których nieuprawnione ujawnienie mogłoby wyrządzić wyjątkowo poważną szkodę podstawowym interesom Unii Europejskiej lub co najmniej jednego państwa członkowskiego;b)
SECRET UE/EU SECRET: informacje i materiały, których nieuprawnione ujawnienie mogłoby poważnie zaszkodzić podstawowym interesom Unii Europejskiej lub co najmniej jednego państwa członkowskiego;c)
CONFIDENTIEL UE/EU CONFIDENTIAL: informacje i materiały, których nieuprawnione ujawnienie mogłoby zaszkodzić podstawowym interesom Unii Europejskiej lub co najmniej jednego państwa członkowskiego;d)
RESTREINT UE/EU RESTRICTED: informacje i materiały, których nieuprawnione ujawnienie mogłoby być niekorzystne dla interesów Unii Europejskiej lub co najmniej jednego państwa członkowskiego.3.
EUCI opatruje się oznaczeniem klauzuli tajności zgodnie z ust. 2. Można opatrzyć je dodatkowymi oznaczeniami, które nie są oznaczeniami klauzul tajności, natomiast mają wskazywać dziedzinę działalności, do której się odnoszą, wytwórcę, ograniczenie dystrybucji, ograniczenie wykorzystania lub możliwość ujawnienia.Zarządzanie klauzulami tajności
1.
Każdy członek Komisji lub departamentu Komisji zapewnia, by wytworzonym przez niego EUCI nadawano odpowiednie klauzule tajności, by informacje takie były wyraźnie oznaczone jako EUCI, a także by były objęte danym poziomem klauzuli tajności nie dłużej, niż jest to konieczne.2.
Bez uszczerbku dla przepisów art. 26 poniżej, do obniżenia lub zniesienia klauzuli tajności nadanej EUCI lub do zmiany lub usunięcia oznaczeń klauzuli tajności, o których mowa w art. 3 ust. 2, potrzebna jest uprzednia pisemna zgoda wytwórcy.3.
W stosownych przypadkach przyjmuje się, w myśl art. 60 poniżej, przepisy wykonawcze dotyczące korzystania z EUCI, w tym praktyczny przewodnik nadawania klauzul tajności.Ochrona informacji niejawnych
1.
EUCI są chronione zgodnie z niniejszą decyzją i z jej przepisami wykonawczymi.2.
Posiadacz jakiegokolwiek elementu EUCI jest odpowiedzialny za jego ochronę zgodnie z niniejszą decyzją i z jej przepisami wykonawczymi, w myśl zasad określonych w rozdziale 4 poniżej.3.
Jeżeli państwa członkowskie wprowadzają do struktur lub sieci Komisji informacje niejawne opatrzone oznaczeniem krajowej klauzuli tajności, Komisja obejmuje te informacje ochroną zgodnie z wymogami, które mają zastosowanie do EUCI o równorzędnej klauzuli tajności - zgodnie z tabelą odpowiedników klauzul tajności zamieszczoną w załączniku I.4.
Uzasadnione może być objęcie zagregowanych EUCI ochroną na poziomie właściwym dla wyższej klauzuli tajności niż klauzula nadana poszczególnym elementom tego zbioru.Zarządzanie ryzykiem związanym z bezpieczeństwem
1.
Środki bezpieczeństwa służące ochronie EUCI na wszystkich etapach ich cyklu życia są proporcjonalne w szczególności do ich klauzuli tajności, formy, ilości informacji lub materiałów, lokalizacji i konstrukcji obiektów, w których się znajdują, oraz oceny niebezpieczeństwa, że w miejscu tym podejmowane będą działania w złych zamiarach lub działalność przestępcza, taka jak działalność szpiegowska, sabotażowa lub terrorystyczna.2.
Plany awaryjne uwzględniają potrzebę ochrony EUCI w sytuacjach nadzwyczajnych, w celu zapobieżenia nieuprawnionemu dostępowi do informacji, ich ujawnieniu lub utracie ich integralności lub dostępności.3.
W planach ciągłości działania wszystkich służb przewidywane są środki zapobiegawcze i naprawcze służące zminimalizowaniu skutków poważnych niedopatrzeń lub incydentów związanych z korzystaniem z EUCI oraz z ich przechowywaniem.Wykonanie niniejszej decyzji
1.
W razie potrzeby przyjmuje się, w myśl art. 60 poniżej, przepisy wykonawcze w celu uzupełnienia lub wsparcia niniejszej decyzji.2.
Departamenty Komisji podejmują wszelkie niezbędne działania leżące w zakresie ich odpowiedzialności w celu zapewnienia stosowania niniejszej decyzji i odpowiednich przepisów wykonawczych przy korzystaniu z EUCI lub jakichkolwiek innych informacji niejawnych bądź ich przechowywaniu.3.
Środki bezpieczeństwa stosowane podczas wykonywania niniejszej decyzji są zgodne z zasadami dotyczącymi bezpieczeństwa w Komisji określonymi w art. 3 decyzji (UE, Euratom) 2015/443.4.
Dyrektor generalny ds. zasobów ludzkich i bezpieczeństwa powołuje organ ds. bezpieczeństwa Komisji w ramach Dyrekcji Generalnej ds. Zasobów Ludzkich i Bezpieczeństwa. Na podstawie niniejszej decyzji i jej przepisów wykonawczych organowi ds. bezpieczeństwa Komisji powierza się jego obowiązki.5.
W ramach każdego departamentu Komisji lokalnemu pełnomocnikowi ochrony (LSO), o którym mowa w art. 20 decyzji (UE, Euratom) 2015/443, zgodnie z niniejszą decyzją powierza się następujące ogólne obowiązki dotyczące ochrony EUCI wykonywane w ścisłej współpracy z Dyrekcją Generalną ds. Zasobów Ludzkich i Bezpieczeństwa:a)
obsługa wniosków w sprawie upoważnień w zakresie bezpieczeństwa wydawanych pracownikom;b)
wkład w szkolenia i instrukcje w zakresie bezpieczeństwa;c)
nadzór nad urzędnikiem kontroli kancelarii departamentu;d)
zgłaszanie naruszenia i narażenia na szwank bezpieczeństwa EUCI;e)
przechowywanie zapasowych kluczy i pisemny rejestr kodów;f)
realizacja innych zadań związanych z ochroną EUCI lub określonych w ramach przepisów wykonawczych.Naruszenie zasad bezpieczeństwa i narażenie na szwank bezpieczeństwa EUCI
1.
Naruszenie zasad bezpieczeństwa następuje w wyniku działania określonej osoby lub zaniechania przez nią działania, sprzecznego z przepisami bezpieczeństwa określonymi w niniejszej decyzji i jej przepisach wykonawczych.2.
Narażenie na szwank bezpieczeństwa EUCI ma miejsce, gdy w wyniku naruszenia zasad bezpieczeństwa takie informacje w całości lub w części zostają ujawnione osobom nieupoważnionym.3.
O każdym podejrzeniu lub przypadku naruszenia zasad bezpieczeństwa powiadamia się niezwłocznie organ ds. bezpieczeństwa Komisji.4.
W przypadkach, gdy wiadomo lub istnieją racjonalne podstawy do podejrzeń, że bezpieczeństwo EUCI zostało narażone na szwank lub że informacje takie zostały utracone, zgodnie z art. 13 decyzji (UE, Euratom) 2015/443 przeprowadza się dochodzenie w sprawie bezpieczeństwa.5.
Podejmuje się wszelkie stosowne środki w celu:a)
poinformowania wytwórcy informacji;b)
zapewnienia zbadania tego przypadku przez pracowników niezwiązanych bezpośrednio z przedmiotowym naruszeniem w celu ustalenia faktów;c)
oceny potencjalnych szkód, jakie poniosły interesy Unii lub państwa członkowskie;d)
podjęcia właściwych środków, aby zapobiec powtórzeniu się podobnego przypadku oraze)
powiadomienia właściwych organów o podjętych działaniach.6.
Każda osoba odpowiedzialna za naruszenie przepisów bezpieczeństwa określonych w niniejszej decyzji może podlegać postępowaniu dyscyplinarnemu zgodnie z regulaminem pracowniczym. Każda osoba odpowiedzialna za narażenie na szwank bezpieczeństwa EUCI lub za ich utratę podlega postępowaniu dyscyplinarnemu lub sądowemu zgodnie z mającymi zastosowanie przepisami ustawowymi, zasadami i przepisami wykonawczymi.8 Decyzja Komisji (UE, Euratom) 2015/443 z dnia 13 marca 2015 r. w sprawie bezpieczeństwa w Komisji (zob. s. 41 niniejszego Dziennika Urzędowego).
9 Rozporządzenie Rady (EWG, Euratom, EWWiS) nr 259/68 z dnia 29 lutego 1968 r. ustanawiające Regulamin pracowniczy urzędników i warunki zatrudnienia innych pracowników Wspólnot Europejskich oraz ustanawiające specjalne środki stosowane tymczasowo wobec urzędników Komisji (warunki zatrudnienia innych pracowników) (Dz.U. L 56 z 4.3.1968, s. 1).
© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.