KOMISJA EUROPEJSKA,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 249,

uwzględniając Traktat ustanawiający Europejską Wspólnotę Energii Atomowej, w szczególności jego art. 106,

uwzględniając decyzję Komisji (UE, Euratom) 2015/443 z dnia 13 marca 2015 r. w sprawie bezpieczeństwa w Komisji (¹),

uwzględniając decyzję Komisji (UE, Euratom) 2015/444 z dnia 13 marca 2015 r. w sprawie przepisów bezpieczeństwa dotyczących ochrony informacji niejawnych UE (²),

uwzględniając decyzję Komisji (UE, Euratom) 2017/46 z dnia 10 stycznia 2017 r. w sprawie r. w bezpieczeństwa systemów teleinformatycznych w Komisji Europejskiej (³),

po konsultacji z Grupą Ekspertów ds. Bezpieczeństwa Komisji, zgodnie z art. 41 ust. 5 decyzji (UE, Euratom) 2015/444,

a także mając na uwadze, co następuje:

(1) Art. 41, 42, 47 i 48 decyzji (UE, Euratom) 2015/444 stanowią, że w przepisach wykonawczych w zakresie bezpieczeństwa przemysłowego, regulujących kwestie takie jak procedura przetargowa, zawieranie umów niejawnych, świadectwa bezpieczeństwa przemysłowego, poświadczenia bezpieczeństwa osobowego, wizyty, transmisja i przemieszczanie informacji niejawnych UE (EUCI), mają zostać ustanowione bardziej szczegółowe przepisy w celu uzupełnienia i wsparcia rozdziału 6 decyzji.

(2) Decyzji (UE, Euratom) 2015/444 stanowi, że realizacja umów niejawnych musi odbywać się w ścisłej współpracy z krajową władzą bezpieczeństwa, wyznaczoną władzą bezpieczeństwa lub dowolnym innym właściwym organem danych państw członkowskich. Państwa członkowskie uzgodniły, że zapewnią, aby podmioty podlegające ich jurysdykcji i mogące otrzymywać lub tworzyć informacje niejawne pochodzące z Komisji były odpowiednio sprawdzone i by były w stanie zapewnić odpowiednią ochronę na właściwym poziomie bezpieczeństwa równoważnym poziomowi ochrony przyznawanemu na mocy przepisów bezpieczeństwa Rady Unii Europejskiej dotyczących ochrony informacji niejawnych UE, którym nadano odpowiadającą im klauzulę tajności, jak określono w umowie między państwami członkowskimi Unii Europejskiej, zebranymi w Radzie, w sprawie ochrony informacji niejawnych wymienianych w interesie Unii Europejskiej (201 1/C 202/05) (⁴).

(3) Rada, Komisja i i Przedstawiciel Unii do Spraw Zagranicznych i Polityki Bezpieczeństw uzgodnili, że zapewnią maksymalną spójność w stosowaniu przepisów bezpieczeństwa dotyczących ochrony EUCI przez te instytucje, uwzględniając ich szczególne potrzeby instytucjonalne i organizacyjne, zgodnie z deklaracjami załączonymi do protokołu z posiedzenia Rady, na którym przyjęto decyzję Rady 2013/488/UE (⁵) w sprawie przepisów bezpieczeństwa dotyczących ochrony informacji niejawnych UE.

(4) Przepisy wykonawcze Komisji w zakresie bezpieczeństwa przemysłowego w odniesieniu do umów niejawnych powinny zatem zapewniać również maksymalny poziom spójności i uwzględniać wytyczne w sprawie bezpieczeństwa przemysłowego, zatwierdzone przez Komitet ds. Bezpieczeństwa Rady w dniu 13 grudnia 2016 r., i art. 7 i 22 dyrektywy Parlamentu Europejskiego i Rady 2009/81/WE (⁶).

(5) W dniu 4 maja4 2016 r. Komisja przyjęła decyzję r^.( upoważniającą członka Komisji odpowiedzialnego za kwestie bezpieczeństwa do przyjęcia w imieniu Komisji i na jej odpowiedzialność przepisów wykonawczych przewidzianych w art. 60 decyzji (UE, Euratom) 2015/444,

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

ROZDZIAŁ 1

PRZEPISY OGÓLNE

Artykuł 1

Przedmiot i zakres stosowania

1. W niniejszej decyzji ustanawia się przepisy wykonawcze dotyczące bezpieczeństwa przemysłowego w odniesieniu do niejawnych zamówień publicznych w celu wsparcia wykonania decyzji (UE, Euratom) 2015/444, w szczególności jej rozdziału 6.

2. W niniejszej decyzji określono szczegółowe wymogi mające na celu zapewnienie ochrony informacji niejawnych UE (EUCI) przez podmioty gospodarcze na etapie poprzedzającym zawarcie umowy, na wszystkich etapach cyklu życia umów niejawnych zawartych przez Komisję Europejską oraz w umowach o podwykonawstwo zawieranych przez wykonawców Komisji.

3. Niniejsza decyzja dotyczy informacji niejawnych opatrzonych następującymi klauzulami tajności:

a) RESTREINT UE/EU RESTRICTED;

b) CONFIDENTIEL UE/EU CONFIDENTIAL;

c) SECRET UE/EU SECRET.

Artykuł 2

Zakres obowiązków wewnątrz Komisji

1. W ramach obowiązków opisanych w rozporządzeniu finansowym (⁸) każdy urzędnik zatwierdzający instytucji zamawiającej Komisji zapewnia, aby umowa niejawna odnosiła się do minimalnych standardów dotyczących bezpieczeństwa przemysłowego, określonych w rozdziale 6 decyzji (UE, Euratom) 2015/444 i w niniejszych przepisach wykonawczych oraz, w stosownych przypadkach, w ogłoszeniu o zamówieniu lub zaproszeniu do składania ofert, a także aby standardów tych przestrzegano w toku realizacji umowy.

2. W tym celu dany urzędnik zatwierdzający na wszystkich etapach korzysta z doradztwa organu ds. bezpieczeństwa Komisji w zakresie kwestii odnoszących się do elementów dotyczących bezpieczeństwa w umowie niejawnej, programie lub projekcie, a także informuje lokalnego pełnomocnika ochrony o zawartych umowach. Decyzję o poziomie klauzuli tajności nadawanym poszczególnym kwestiom podejmuje instytucja zamawiająca z należytym uwzględnieniem treści przewodnika nadawania klauzul.

3. W zakresie przestrzegania wymagań określonych w niniejszych przepisach wykonawczych organ ds. bezpieczeństwa Komisji prowadzi ścisłą współpracę z krajowymi władzami bezpieczeństwa (KWB) i wyznaczonymi władzami bezpieczeństwa (WWB) danego państwa członkowskiego, w szczególności w zakresie świadectw bezpieczeństwa przemysłowego (SBP) i poświadczeń bezpieczeństwa osobowego (PBO), procedur przeprowadzania wizyt i planów przewozu.

ROZDZIAŁ 2

POSTĘPOWANIE W PRZYPADKU ZAPROSZEŃ DO SKŁADANIA OFERT DOTYCZĄCYCH UMÓW NIEJAWNYCH

Artykuł 3

Podstawowe zasady

1. Umowy niejawne zawiera się wyłącznie z podmiotami gospodarczymi zarejestrowanymi w państwie członkowskim lub z podmiotami gospodarczymi zarejestrowanymi w państwie trzecim lub utworzonymi przez organizację międzynarodową, jeżeli takie państwo trzecie lub taka organizacja międzynarodowa zawarły umowę o bezpieczeństwie informacji z Unią Europejską lub porozumienie administracyjne z Komisją (⁹).

2. Przed ogłoszeniem zaproszenia do składania ofert dotyczącego umowy niejawnej instytucja zamawiająca określa klauzulę tajności wszelkich informacji, które mogą zostać udzielone oferentom. Instytucja zamawiająca określa również maksymalny poziom klauzuli tajności wszelkich informacji wygenerowanych w toku realizacji umowy, programu lub projektu, lub co najmniej przewidywaną ilość i rodzaj informacji, które zostaną wytworzone lub wykorzystane, a także konieczność stosowania systemu teleinformatycznego umożliwiającego korzystanie z informacji niejawnych.

3. Instytucja zamawiająca zapewnia, aby ogłoszenia o zamówieniu dotyczące umów niejawnych zawierały informacje o szczególnych obowiązkach dotyczących bezpieczeństwa związanych z informacjami niejawnymi. Załącznik I zawiera przykładowy wzór informacji podawanych w ogłoszeniu o zamówieniu.

4. Instytucja zamawiająca zapewnia, aby informacje z klauzulą tajności RESTREINT UE/EU RESTRICTED, CONFI-DENTIEL UE/EU CONFIDENTIAL i SECRET UE/EU SECRET były ujawniane oferentom dopiero po podpisaniu przez nich umowy poufności zobowiązującej ich do korzystania z EUCI i ochrony takich informacji zgodnie z decyzją (UE, Euratom) 2015/444 i przepisami wykonawczymi do tej decyzji.

5. Wszyscy wykonawcy, którzy muszą korzystać z informacji z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET lub przechowywać takie informacje w swoich obiektach już na etapie realizacji umowy niejawnej albo na etapie poprzedzającym zawarcie takiej umowy, posiadają świadectwo bezpieczeństwa przemysłowego na wymaganym poziomie. Poniżej przedstawiono trzy możliwe scenariusze na etapie procedury przetargowej dotyczącej umowy niejawnej obejmującej EUCI z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET:

a) brak dostępu do EUCI z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET na etapie procedury przetargowej:

jeżeli ogłoszenie o zamówieniu lub zaproszenie do składania ofert dotyczy umowy, która będzie obejmowała EUCI z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET, ale oferent nie musi wykorzystywać takich informacji na etapie procedury przetargowej, wówczas z procedury przetargowej nie można wykluczyć oferenta, który nie posiada świadectwa bezpieczeństwa przemysłowego na wymaganym poziomie, ze względu na brak świadectwa bezpieczeństwa przemysłowego.

b) dostęp do EUCI z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET w obiektach instytucji zamawiającej na etapie procedury przetargowej:

Dostęp zostaje udzielony pracownikom oferenta posiadającym PBO na wymaganym poziomie oraz zgodnie z zasadą ograniczonego dostępu. Zanim taki dostęp zostanie udzielony, instytucja zamawiająca sprawdza, konsultując się z odpowiednią KWB/WWB za pośrednictwem organu ds. bezpieczeństwa Komisji, czy na tym etapie świadectwo bezpieczeństwa przemysłowego jest wymagane również na podstawie krajowych przepisów ustawowych i wykonawczych;

c) korzystanie z EUCI z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET lub przechowywanie takich informacji w obiektach oferenta na etapie procedury przetargowej:

jeżeli ogłoszenie o zamówieniu lub zaproszenie do składania ofert zawiera wymóg, zgodnie z którym oferenci muszą korzystać z EUCI lub przechowywać EUCI we własnych obiektach, wówczas oferent musi posiadać świadectwo bezpieczeństwa przemysłowego na wymaganym poziomie. W takiej sytuacji instytucja zamawiająca uzyskuje za pośrednictwem organu ds. bezpieczeństwa Komisji zaświadczenie od odpowiedniej KWB/WWB, że dany oferent uzyskał odpowiednie świadectwo bezpieczeństwa przemysłowego. Dostęp zostaje udzielony pracownikom oferenta posiadającym PBO na wymaganym poziomie oraz zgodnie z zasadą ograniczonego dostępu.

6. Zasadniczo posiadanie SBP do celów uzyskania dostępu do informacji z klauzulą tajności RESTREINT UE/EU RESTRICTED nie jest wymagane ani na etapie procedury przetargowej, ani w toku wykonania umowy. Jeżeli na podstawie krajowych przepisów ustawowych i wykonawczych, wymienionych w załączniku IV, państwa członkowskie wymagają posiadania SBP w odniesieniu do umów lub umów o podwykonawstwo na poziomie RESTREINT UE/EU RESTRICTED, takie krajowe regulacje nie mogą nakładać żadnych dodatkowych obowiązków na pozostałe państwa członkowskie ani wykluczać oferentów, wykonawców lub podwykonawców z państw członkowskich, w których nie obowiązują takie wymogi dotyczące SBP w zakresie dostępu do informacji z klauzulą tajności RESTREINT UE/EU RESTRICTED, z wykonania powiązanych umów/umów o podwykonawstwo lub procedury dotyczącej takich umów. Takie umowy wykonuje się w państwach członkowskich zgodnie z ich krajowymi przepisami ustawowymi i wykonawczymi.

7. Jeżeli możliwość wykonania umowy niejawnej jest uzależniona od posiadania SBP, instytucja zamawiająca przedstawia za pośrednictwem organu ds. bezpieczeństwa Komisji wniosek do KWB/WWB wykonawcy, korzystając z arkusza informacyjnego dotyczącego SBP. Dodatek D do załącznika III zawiera przykładowy SBP (¹⁰). Zawarcie umowy niejawnej może nastąpić dopiero po potwierdzeniu SBP oferenta przez KWB/WWB wykonawcy. Odpowiedzi na przedstawiony arkusz informacyjny dotyczący SBP udziela się w miarę możliwości w terminie dziesięciu dni roboczych od daty złożenia wniosku.

Artykuł 4

Zawieranie umów o podwykonawstwo w przypadku umów niejawnych

1. Warunki zlecenia podwykonawstwa przez wykonawcę, z którym Komisja zawarła umowę niejawną, zostają określone w zaproszeniu do składania ofert i w dokumentach zamówienia. Jeżeli umowa niejawna dopuszcza realizację niektórych jej części w ramach podwykonawstwa, instytucja zamawiająca musi wcześniej wydać zgodę na takie podwykonawstwo. Przed wyrażeniem takiej zgody instytucja zamawiająca konsultuje się z organem ds. bezpieczeństwa Komisji.

2. W przypadku umów niejawnych podwykonawstwo zleca się wyłącznie podmiotom gospodarczym zarejestrowanym w państwie członkowskim lub podmiotom gospodarczym zarejestrowanym w państwie trzecim lub utworzonym przez organizację międzynarodową, jeżeli takie państwo trzecie lub taka organizacja międzynarodowa zawarły umowę o bezpieczeństwie informacji z UE lub porozumienie administracyjne z Komisją (¹¹).

ROZDZIAŁ 3

ZAWIERANIE UMÓW NIEJAWNYCH PRZEZ KOMISJĘ

Artykuł 5

Podstawowe zasady

1. Przy zawieraniu umowy niejawnej instytucja zamawiająca wraz z organem ds. bezpieczeństwa Komisji zapewniają, aby obowiązki wykonawcy dotyczące ochrony EUCI przekazanych temu wykonawcy lub wygenerowanych w toku wykonywania umowy stanowiły integralną część umowy. Wymogi bezpieczeństwa dotyczące poszczególnych umów zawarte są w dokumencie określającym aspekty bezpieczeństwa (DOAB). Przykładowy wzór DOAB przedstawiono w załączniku III.

2. Przed podpisaniem umowy niejawnej instytucja zamawiająca sporządza po konsultacji z organem ds. bezpieczeństwa Komisji przewodnik nadawania klauzul (PNK) dotyczący przewidzianych do wykonania zadań i informacji generowanych w toku wykonania umowy lub w stosownych przypadkach na poziomie programu lub projektu. PKN stanowi część DOAB.

3. Wymogi bezpieczeństwa dotyczące poszczególnych programów lub projektów zawarte są w instrukcjach bezpieczeństwa programu lub projektu (IBP). IBP można opracować korzystając z przepisów zawartych we wzorze DOAB, jak określono w załączniku III. IBP opracowują służby Komisji zarządzające programem lub projektem, w ścisłej współpracy z organem ds. bezpieczeństwa Komisji, a następnie przedkładają je do zaopiniowania Grupie Ekspertów ds. Bezpieczeństwa Komisji. Jeżeli dana umowa stanowi część programu lub projektu objętego własnymi IBP, DOAB umowy ma formę uproszczoną i zawiera odesłanie do przepisów bezpieczeństwa określonych w IBP programu lub projektu.

4. Instytucję zamawiającą uznaje się za wytwórcę informacji niejawnych wytworzonych i wykorzystywanych w celu wykonania umowy.

5. Instytucja zamawiająca powiadamia za pośrednictwem organu ds. bezpieczeństwa Komisji KWB/WWB wszystkich wykonawców i podwykonawców o zawarciu umów niejawnych lub niejawnych umów o podwykonawstwo oraz o wszelkich przypadkach przedłużenia obowiązywania lub przedterminowego rozwiązania takich umów lub umów o podwykonawstwo. W załączniku IV znajduje się wykaz wymogów krajowych.

6. Umowy obejmujące informacje z klauzulą tajności RESTREINT UE/EU RESTRICTED zawierają klauzulę umowną dotyczącą bezpieczeństwa, na mocy której przepisy określone w dodatku E do załącznika III są wiążące dla wykonawcy. Takie umowy zawierają DOAB, w którym określa się co najmniej wymogi dotyczące korzystania z informacji z klauzulą tajności RESTREINT UE/EU RESTRICTED, w tym elementy potwierdzające informacje i szczególne wymogi, które musi spełnić wykonawca na podstawie przekazania kompetencji przez instytucję zamawiającą w celu uzyskania akredytacji CIS wykonawcy wykorzystującego informacje z klauzulą RESTREINT UE/EU RESTRICTED.

7. Jeżeli informacje z klauzulą tajności RESTREINT UE/EU RESTRICTED zostają udzielone oferentom lub potencjalnym wykonawcom, minimalne wymogi, o których mowa w ust. 6, zostają uwzględnione w ofercie lub w odpowiedniej umowie o zachowaniu poufności zawartej na koniec procedury przetargowej.

8. Jeżeli wymagają tego krajowe przepisy ustawowe i wykonawcze państw członkowskich, KWB/WWB zapewniają, aby podlegający ich jurysdykcji wykonawcy lub podwykonawcy przestrzegali obowiązujących przepisów bezpieczeństwa dotyczących ochrony informacji z klauzulą tajności RESTREINT UE/EU RESTRICTED, a także przeprowadzają wizyty weryfikacyjne w obiektach wykonawców znajdujących się na podlegającym im terytorium. Jeżeli KWB/WWB nie ma takiego obowiązku, instytucja zamawiająca zapewnia, aby wykonawca przestrzegał przepisów dotyczących wymaganego poziomu bezpieczeństwa, określonych w załączniku III.

Artykuł 6

Dostęp pracowników wykonawców i podwykonawców do EUCI

1. Departament Komisji, jako instytucja zamawiająca, zapewnia, aby umowy niejawne zawierały postanowienia wskazujące, że pracownicy wykonawcy lub podwykonawcy, którzy do wykonania umowy niejawnej lub niejawnej umowy o podwykonawstwo potrzebują dostępu do EUCI, mogą uzyskać taki dostęp, pod warunkiem że:

a) ustalono, że potrzebują takiego dostępu na zasadzie ograniczonego dostępu;

b) otrzymali od KWB/WWB lub jakiegokolwiek innego właściwego organu ds. bezpieczeństwa PBO do odpowiedniego poziomu informacji niejawnych z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET;

c) zostali poinformowani o obowiązujących przepisach bezpieczeństwa służących ochronie EUCI i potwierdzili, że zapoznali się ze swoimi obowiązkami w zakresie ochrony takich informacji.

2. Jeżeli wykonawca lub podwykonawca zamierza zatrudnić obywatela państwa trzeciego na stanowisku wymagającym dostępu do EUCI z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET, zadaniem wykonawcy lub podwykonawcy jest wszczęcie procedury sprawdzającej w zakresie poświadczenia bezpieczeństwa wobec takiej osoby zgodnie z krajowymi przepisami ustawowymi i wykonawczymi obowiązującymi w miejscu, w którym ma zostać udzielony dostęp do EUCI.

ROZDZIAŁ 4

WIZYTY ZWIĄZANE Z UMOWAMI NIEJAWNYMI

Artykuł 7

Podstawowe zasady

1. Jeżeli Komisji, wykonawcom lub podwykonawcom niezbędny jest w związku z wykonaniem umowy niejawnej dostęp do informacji niejawnych z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET w swoich obiektach, organizowane są wizyty wraz z KWB/WWB lub jakimkolwiek innym właściwym organem bezpieczeństwa.

2. Wizyty, o których mowa w ust. 1, podlegają następującym wymogom:

a) wizyta przeprowadzana jest w celach oficjalnych związanych z umową niejawną zawartą przez Komisję;

b) każda osoba wizytująca posiada PBO na wymaganym poziomie i kieruje się zasadą ograniczonego dostępu do EUCI udzielanych lub generowanych w toku wykonania umowy niejawnej zawartej przez Komisję.

Artykuł 8

Wnioski o wizyty

1. Wizyty wykonawców w obiektach innych wykonawców lub Komisji, które obejmują dostęp do informacji z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET organizuje się zgodnie z następującą procedurą:

a) pełnomocnik ochrony obiektu wysyłający osobę wizytującą wypełnia wszystkie stosowne części wniosku o wizytę i składa wniosek do KWB/WWB właściwej dla danego obiektu. Wzór formularza wniosku o wizytę przedstawiono w dodatku C do załącznika III;

b) KWB/WWB właściwa dla obiektu wysyłającego musi potwierdzić PBO osoby wizytującej przed złożeniem wniosku o wizytę do KWB/WWB właściwej dla wizytowanego obiektu (lub do organu ds. bezpieczeństwa Komisji, jeżeli wizyta ma przebiegać w obiektach należących do Komisji);

c) pełnomocnik ochrony obiektu wysyłającego otrzymuje wtedy od swojej KWB/WWB odpowiedź KWB/WWB właściwej dla wizytowanego obiektu (lub organu ds. bezpieczeństwa Komisji) zatwierdzającą albo odrzucającą wniosek o wizytę;

d) wniosek o wizytę uznaje się za zatwierdzony, jeżeli w terminie do pięciu dni roboczych przed datą wizyty nie zostaną zgłoszone żadne zastrzeżenia.

2. Wizyty urzędników Komisji w obiektach wykonawcy, które obejmują dostęp do informacji z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET, organizuje się zgodnie z następującą procedurą:

a) osoba wizytująca wypełnia wszystkie stosowne części wniosku o wizytę i składa wniosek do organu ds. bezpieczeństwa Komisji;

b) organ ds. bezpieczeństwa Komisji potwierdza PBO osoby wizytującej przed złożeniem wniosku o wizytę do KWB/WWB właściwej dla wizytowanego obiektu;

c) organ ds. bezpieczeństwa Komisji uzyskuje odpowiedź KWB/WWB wizytowanego obiektu zatwierdzającą albo odrzucającą wniosek o wizytę;

d) wniosek o wizytę uznaje się za zatwierdzony, jeżeli w terminie do pięciu dni roboczych przed datą wizyty nie zostaną zgłoszone żadne zastrzeżenia.

3. Wniosek o wizytę może dotyczyć pojedynczej wizyty albo powtarzających się wizyt. W przypadku powtarzających się wizyt wniosek o wizytę może obowiązywać maksymalnie przez rok od daty początkowej określonej we wniosku.

4. Okres ważności wniosku o wizytę nie może przekraczać okresu ważności PBO osoby wizytującej.

5. Zasadniczo wniosek o wizytę należy przedstawiać właściwemu organowi bezpieczeństwa, któremu podlega wizytowany obiekt, w terminie co najmniej 15 dni roboczych przed datą wizyty.

Artykuł 9

Procedury przeprowadzania wizyt

1. Przed umożliwieniem osobie wizytującej dostępu do EUCI pełnomocnik ochrony wizytowanego obiektu stosuje wszystkie procedury bezpieczeństwa i wszystkie zasady związane z wizytą określone przez właściwą KWB/WWB.

2. Osoby wizytujące potwierdzają swoją tożsamość po przybyciu do wizytowanego obiektu, okazując ważny dokument tożsamości lub paszport. Takie informacje potwierdzające tożsamość muszą odpowiadać informacjom przedstawionym we wniosku o wizytę.

3. Wizytowany obiekt zapewnia przechowywanie rejestrów z danymi dotyczącymi wszystkich osób wizytujących, m.in. ich imion i nazwisk, nazwy reprezentowanej organizacji, daty wygaśnięcia PBO, daty wizyty oraz imion i nazwisk osób, u których przeprowadzana jest wizyta. Takie dane przechowuje się przez okres co najmniej pięciu lat lub, w razie potrzeby, przez dłuższy okres, jeżeli stanowią tak krajowe zasady i przepisy w państwie, na terenie którego znajduje się wizytowany obiekt.

Artykuł 10

Wizyty organizowane bezpośrednio

1. W kontekście konkretnych projektów właściwe KWB/WWB i organ ds. bezpieczeństwa Komisji mogą uzgodnić procedurę, zgodnie z którą pełnomocnik ochrony osoby wizytującej i pełnomocnik ochrony wizytowanego obiektu mogą bezpośrednio organizować wizyty dotyczące konkretnej umowy niejawnej. Wzór przeznaczonego do stosowania w tym celu formularza przedstawiono w dodatku C do załącznika III. Taka szczególna procedura zostaje określona w IBP lub w ramach innego rodzaju szczególnych ustaleń. W takich przypadkach nie mają zastosowania procedury określone w art. 8 i art. 9 ust. 1.

2. Wizyty obejmujące dostęp do informacji z klauzulą tajności RESTREINT UE/EU RESTRICTED są organizowane bezpośrednio między podmiotami wysyłającymi i wizytowanymi bez konieczności przestrzegania procedury opisanej w art. 8 i art. 9 ust. 1.

ROZDZIAŁ 5

TRANSMISJA I PRZEMIESZCZANIE EUCI W TOKU WYKONANIA UMÓW NIEJAWNYCH

Artykuł 11

Podstawowe zasady

Instytucja zamawiająca zapewnia, aby wszystkie decyzje związane z przekazywaniem i przemieszczaniem EUCI były zgodne z decyzją (UE, Euratom) 2015/444 i przepisami wykonawczymi do tej decyzji oraz z warunkami umowy niejawnej, w tym z uwzględnieniem zgody wytwórcy.

Artykuł 12

Elektroniczne wykorzystywanie

1. Elektroniczne wykorzystywanie i przekazywanie EUCI odbywa się zgodnie z rozdziałami 5 i 6 decyzji (UE, Euratom) 2015/444 i przepisami wykonawczymi do tej decyzji.

Systemy teleinformatyczne będące własnością wykonawcy i używane przy wykorzystywaniu EUCI w toku wykonania umowy (zwane dalej "CIS wykonawcy") podlegają akredytacji przez odpowiedzialny organ ds. akredytacji bezpieczeństwa (SAA). Wszelkie elektroniczne przekazywanie EUCI podlega ochronie przy użyciu produktów kryptograficznych zatwierdzonych zgodnie z art. 36 ust. 4 decyzji (UE, Euratom) 2015/444. Środki TEMPEST są wdrażanie zgodnie z art. 36 ust. 6 tej decyzji.

2. Akredytację bezpieczeństwa CIS wykonawcy obsługującego EUCI z klauzulą tajności RESTREINT UE/EU RESTRICTED oraz jakichkolwiek jego połączeń międzysystemowych można zlecić pełnomocnikowi ochrony wykonawcy, jeżeli krajowe przepisy ustawowe i wykonawcze dopuszczają taką możliwość. Jeżeli zadanie to zostaje oddelegowane, wykonawca odpowiada za wdrożenie minimalnych wymogów bezpieczeństwa opisanych w DOAB przy korzystaniu z informacji z klauzulą tajności RESTREINT UE/EU RESTRICTED za pomocą CIS. Odpowiednie KWB/WWB/SAA pozostają jednak odpowiedzialne za ochronę informacji z klauzulą tajności RESTREINT UE/EU RESTRICTED, z których korzysta wykonawca, a także zachowują prawo do kontroli środków bezpieczeństwa wprowadzonych przez wykonawcę. Ponadto wykonawca przekazuje instytucji zamawiającej i, jeżeli jest to wymagane w krajowych przepisach ustawowych i wykonawczych, właściwemu krajowemu SAA stwierdzenie o zgodności poświadczające, że CIS wykonawcy i jego połączenia międzysystemowe otrzymały akredytację do przetwarzania EUCI z klauzulą tajności RESTREINT UE/EU RESTRICTED (¹²).

Artykuł 13

Transport przez kurierów komercyjnych

Transport EUCI przez kurierów komercyjnych musi być zgodny z odpowiednimi przepisami decyzji Komisji w sprawie przepisów wykonawczych dotyczących korzystania z informacji z klauzulą tajności RESTREINT UE/EU RESTRICTED i z informacji z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL.

Artykuł 14

Przenoszenie osobiste

1. Osobiste przenoszenie informacji niejawnych podlega rygorystycznym wymogom bezpieczeństwa.

2. Pracownicy wykonawcy w UE mogą osobiście przenosić informacje z klauzulą tajności RESTREINT UE/EU RESTRICTED, pod warunkiem że spełnione są następujące wymogi:

a) zastosowano nieprzezroczyste opakowanie lub kopertę bez żadnych oznaczeń wskazujących, że w środku znajdują się informacje niejawne;

b) informacje niejawne przez cały czas znajdują się w posiadaniu osoby je przenoszącej;

c) koperta lub opakowanie nie są po drodze otwierane.

3. Warunki osobistego przenoszenia informacji z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL i SECRET UE/EU SECRET przez pracowników wykonawcy na terenie państw członkowskich UE są ustalane z wyprzedzeniem przez podmiot wysyłający i otrzymujący. Organ lub obiekt przesyłający przekazuje organowi lub obiektowi otrzymującemu informacje na temat przesyłki, w tym numer referencyjny, poziom klauzuli tajności, oczekiwany czas otrzymania i imię i nazwisko kuriera. Tego rodzaju osobiste przenoszenie jest dozwolone, pod warunkiem że spełnione są następujące wymogi:

a) informacje niejawne przenoszone są w dwóch kopertach lub opakowaniach;

b) zewnętrzne opakowanie lub koperta są zabezpieczone i nie zawierają żadnych oznaczeń wskazujących na poziom klauzuli tajności zawartości, który wskazano natomiast na wewnętrznej kopercie;

c) EUCI przez cały czas znajdują się w posiadaniu osoby je przenoszącej;

d) koperta lub opakowanie nie są po drodze otwierane;

e) koperta lub opakowanie są przenoszone w aktówce wyposażonej w zamek lub w podobnym zatwierdzonym pojemniku o takim kształcie i masie, że może się on przez cały czas znajdować się w posiadaniu osoby go przewożącej bez umieszczania w luku bagażowym;

f) kurier ma przy sobie list kurierski wydany przez właściwy organ bezpieczeństwa, któremu podlega, upoważniający kuriera do przewozu wskazanej przesyłki niejawnej.

4. W przypadku osobistego przenoszenia informacji z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL i SECRET UE/EU SECRET przez pracowników wykonawcy między państwami członkowskimi UE zastosowanie mają następujące przepisy dodatkowe:

a) kurier odpowiada za bezpieczne przechowanie materiałów niejawnych do momentu ich przekazania odbiorcy;

b) w przypadku naruszenia bezpieczeństwa KWB/WWB właściwa dla nadawcy może żądać od organów państwa, w którym doszło do naruszenia bezpieczeństwa, przeprowadzenia dochodzenia, przedstawienia ustaleń z takiego dochodzenia oraz w stosownych przypadkach wszczęcia postępowania sądowego lub podjęcia innych działań;

c) przed przejęciem przesyłki kurier został powiadomiony o wszystkich obowiązkach dotyczących bezpieczeństwa, których należy przestrzegać podczas przemieszczania informacji, i podpisał stosowne oświadczenia;

d) do listu kurierskiego załączona zostaje instrukcja przeznaczona dla kuriera;

e) kurier otrzymał wcześniej opis przesyłki i trasy;

f) dokumenty zostają zwrócone wydającej je KWB/WWB po zakończeniu podróży lub odbiorca przechowuje je i udostępnia do celów monitorowania;

g) jeżeli organy celne, imigracyjne lub policja graniczna zażądają okazania przesyłki do kontroli, dopuszcza się otwarcie i zobaczenie przez takie organy części przesyłki wystarczających do stwierdzenia, że zawiera ona wyłącznie zadeklarowane materiały;

h) organy celne należy wezwać do uhonorowania faktu wystawienia przez władzę publiczną dokumentów przewozowych i dokumentów uwierzytelniających posiadanych przez kuriera.

Jeżeli organy celne otwierają przesyłkę, musi to odbywać się poza zasięgiem wzroku osób nieupoważnionych i w miarę możliwości w obecności kuriera. Kurier musi poprosić o ponowne zapakowanie przesyłki i zażądać od organów przeprowadzających kontrolę ponownego zapieczętowania przesyłki i pisemnego potwierdzenia, że przesyłka została otarta przez te organy.

5. Osobiste przenoszenie przez pracowników wykonawcy informacji z klauzulą tajności RESTREINT UE/EU RESTRICTED, CONFIDENTIEL UE/EU CONFIDENTIAL i SECRET UE/EU SECRET na terytorium państwa trzeciego lub do organizacji międzynarodowej będzie podlegało postanowieniom umowy o bezpieczeństwie informacji lub porozumienia administracyjnego zawartych odpowiednio między Unią Europejską albo Komisją a takim państwem trzecim albo taką organizacją międzynarodową.

ROZDZIAŁ 6

PLANOWANIE CIĄGŁOŚCI DZIAŁANIA

Artykuł 15

Plany awaryjne i środki naprawcze

Departament Komisji, jako instytucja zamawiająca, zapewnia, aby umowa niejawna zawierała wymóg, zgodnie z którym wykonawca musi opracować firmowe plany awaryjne w celu ochrony wszelkich EUCI wykorzystywanych w związku z wykonywaniem umowy niejawnej w sytuacjach awaryjnych i wprowadzić środki zapobiegawcze i naprawcze w kontekście planowania ciągłości działania służące zminimalizowaniu skutków incydentów związanych z wykorzystywaniem EUCI oraz z ich przechowywaniem. Wykonawca lub podwykonawca informuje instytucję zamawiającą o swoich planach awaryjnych.

Artykuł 16

Wejście w życie

Niniejsza decyzja wchodzi w życie dwudziestego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Sporządzono w Brukseli dnia 17 października 2019 r.

ZAŁĄCZNIK I

STANDARDOWE INFORMACJE W OGŁOSZENIACH O ZAMÓWIENIU PUBLICZNYM

(które mają być dostosowane do wykorzystywanych ogłoszeń o zamówieniu)

W przypadku umów obejmujących informacje niejawne z klauzulą tajności CONFIDENTIEL UE/EU

CONFIDENTIAL lub SECRET UE/EU SECRET

Inne szczególne warunki (w stosownych przypadkach)

Wykonanie umowy podlega szczególnym warunkom

l tak

¡ nie

(jeżeli tak) Opis szczególnych warunków:

Taka umowa obejmować będzie udostępnienie, wykorzystywanie lub przechowywanie informacji niejawnych z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub SECRET UE/EU SECRET, które podlegają przepisom bezpieczeństwa dotyczącym ochrony informacji niejawnych UE określonym w decyzji (UE, Euratom) 2015/444 i jej przepisach wykonawczych (¹).

Wymagane będzie świadectwo bezpieczeństwa przemysłowego, jak również poświadczenie bezpieczeństwa osobowego w odniesieniu do pracowników wykonawcy, którzy wykorzystują informacje niejawne.

W skład umowy wchodzić będą szczególne obowiązki w zakresie bezpieczeństwa (dokument określający aspekty bezpieczeństwa załączony do umowy). Podwykonawstwo wymagać będzie uprzedniego uzyskania pisemnej zgody od instytucji zamawiającej oraz przestrzegania wszystkich przepisów bezpieczeństwa przez podwykonawcę i jego pracowników.

W przypadku umów obejmujących informacje niejawne z klauzulą tajności RESTREINT UE/EU RESTRICTED

Inne szczególne warunki (w stosownych przypadkach)

Wykonanie umowy podlega szczególnym warunkom

l tak

¡ nie

(jeżeli tak) Opis szczególnych warunków:

Umowa będzie obejmować udostępnienie, wykorzystywanie lub przechowywanie lub skutkować udostępnieniem, wykorzystywaniem lub przechowywaniem informacji niejawnych z klauzulą tajności RESTREINT UE/EU RESTRICTED, które podlegają przepisom bezpieczeństwa dotyczącym ochrony informacji niejawnych UE określonym w decyzji (UE, Euratom) 2015/444 i jej przepisach wykonawczych (²).

W skład umowy wchodzić będą szczególne obowiązki w zakresie bezpieczeństwa (dokument określający aspekty bezpieczeństwa załączony do umowy). Podwykonawstwo wymagać będzie uprzedniego uzyskania pisemnej zgody od instytucji zamawiającej oraz przestrzegania wszystkich przepisów bezpieczeństwa przez podwykonawcę i jego pracowników.

(¹) Instytucja zamawiająca musi w umowie zamieścić odniesienia po przyjęciu przepisów wykonawczych.

(²) Instytucja zamawiająca musi w umowie zamieścić odniesienia po przyjęciu przepisów wykonawczych.

ZAŁĄCZNIK II

STANDARDOWE KLAUZULE UMOWNE W ZAMÓWIENIACH PUBLICZNYCH

(do dostosowania do stosowanych umów)

ARTYKUŁ XX

OBOWIĄZKI ZWIĄZANE Z BEZPIECZEŃSTWEM

XX.1 Informacje niejawne UE

Jeżeli realizacja umowy obejmuje wykorzystywanie lub tworzenie informacji niejawnych UE, informacje takie muszą być traktowane zgodnie z dokumentem określającym aspekty bezpieczeństwa (DOAB) i stanowiącym jego część przewodnikiem nadawania klauzul (PNK), jak określono w Załączniku 1, oraz z decyzją (UE, Eurat1,orazzom) 2015/444 i jej przepisami wykonawczymi (¹), do momentu, aż klauzula tajności zostanie zniesiona.

Wszelkie dokumenty zawierające informacje niejawne należy składać przestrzegając specjalnych procedur ustalonych z instytucją zamawiającą.

Nie można zlecać podwykonawstwa żadnych zadań wiążących się z informacjami niejawnymi bez uprzedniego uzyskania wyraźnej pisemnej zgody instytucji zamawiającej.

Informacji niejawnych UE nie można ujawniać żadnej osobie trzeciej (w tym podwykonawcom) bez uprzedniego uzyskania wyraźnej pisemnej zgody instytucji zamawiającej.

(¹) Instytucja zamawiająca musi w umowie zamieścić odniesienia po przyjęciu przepisów wykonawczych.

ZAŁĄCZNIK III

[Załącznik IV (do Umowy Ramowej)]

DOKUMENT OKREŚLAJĄCY ASPEKTY BEZPIECZEŃSTWA (DOAB)

[Wzór]

Wzór dostępny w formacie pdf do pobrania tutaj.