17.3.2015

BG

Официален вестник на Европейския съюз

L 72/41

---

РЕШЕНИЕ (ЕС, Евратом) 2015/443 НА КОМИСИЯТА

от 13 март 2015 година

относно сигурността в Комисията

ЕВРОПЕЙСКАТА КОМИСИЯ,

като взе предвид Договора за функционирането на Европейския съюз, и по-специално член 249 от него,

като взе предвид Договора за създаване на Европейската общност за атомна енергия,

като взе предвид Протокол № 7 за привилегиите и имунитетите на Европейския съюз, приложен към Договорите, и по-специално член 18 от него,

като имат предвид, че:

(1)

Целта на сигурността в Комисията е да се предостави възможност на Комисията да работи в безопасна и сигурна среда чрез прилагане на последователен, комплексен подход в тази област, като се осигури подходяща степен на защита на лицата, активите и информацията, отговаряща на установените рискове, и се гарантира ефективно и навременно обезпечаване на сигурността.

(2)	Подобно на други международни органи, Комисията е изправена пред сериозни заплахи и предизвикателства в областта на сигурността, особено що се отнася до тероризма, кибератаките и политическия и търговски шпионаж.

(3)	Европейската комисия има сключени споразумения в областта на сигурността за главните си сгради с правителствата на Белгия, Люксембург и Италия (1). Тези споразумения са свидетелство, че Комисията носи отговорност за своята сигурност.

(4)	За да гарантира сигурността на лицата, активите и информацията, е възможно Комисията да трябва да предприеме мерки в области, които се ползват от защита на основните права, залегнали в Хартата на основните права и Европейската конвенция за правата на човека и признати от Съда на Европейския съюз.

(5)	Затова всяка подобна мярка следва да бъде обоснована със значимостта на интереса, който е предназначена да защитава, да бъде пропорционална и да гарантира пълно спазване на основните права, включително по-специално правото на неприкосновеност на личния живот и на защита на данните.

(6)

В рамките на система, основана на принципите на правовата държава и спазването на основните права, Комисията трябва да се стреми към подходящо равнище на сигурност за своя персонал, активи и информация, което да ѝ позволи да извършва своята дейност, без да ограничава основните права повече от строго необходимото.

(7)	Сигурността в Комисията се основава на принципите на законност, прозрачност, пропорционалност и отчетност.

(8)

Членовете на персонала, упълномощени да обезпечават сигурността, не трябва да бъдат поставяни в неблагоприятно положение заради дейността си, освен ако не действат извън обхвата на своите правомощия или в нарушение на закона, и следователно в това отношение настоящото решение следва да се счита за административна инструкция по смисъла на Правилника за длъжностните лица.

(9)

Комисията следва да предприеме необходимите инициативи за подобряване и укрепване на своята култура на сигурност, като осигури по-ефективно обезпечаване на сигурността, подобри нейното управление, активизира допълнително мрежите и сътрудничеството си с компетентните органи на международно, европейско и национално равнище, и подобри наблюдението и контрола на изпълнението на мерките за сигурност.

(10)

Създаването на Европейската служба за външна дейност (ЕСВД) като функционално независим орган на Съюза оказа значително въздействие върху интересите на Комисията в сферата на сигурността и следователно налага необходимостта от въвеждане на правила и процедури за сътрудничество в областта на безопасността и сигурността между ЕСВД и Комисията, особено що се отнася до изпълнението на задължението на Комисията за бдителност по отношение на персонала на Комисията в делегациите на Съюза.

(11)

Политиката на Комисията в областта на сигурността следва да се прилага по начин, който да съответства на останалите вътрешни процеси и процедури, които биха могли да включват елемент на сигурност. По-конкретно те включват управлението на непрекъснатостта на дейностите, което цели запазване на най-важните функции на Комисията в случай на прекъсване на работата, и процеса ARGUS за многосекторна координация на кризи.

(12)

Независимо от мерките, които вече са въведени към момента на приемане на настоящото решение и са нотифицирани на Европейския надзорен орган по защита на данните (2), всяка мярка в съответствие с настоящото решение, включваща обработка на лични данни, е предмет на правилата за прилагане съгласно член 21, който установява подходящи гаранции за субектите на данни.

(13)	Затова е необходимо Комисията да преразгледа, актуализира и консолидира действащата нормативна база за сигурността в Комисията.

(14)	Поради това Решение (94) 2129 (3) следва да бъде отменено,

ПРИЕ НАСТОЯЩОТО РЕШЕНИЕ:

ГЛАВА 1

ОБЩИ РАЗПОРЕДБИ

Член 1

Определения

За целите на настоящото решение се прилагат следните определения:

1)	„активи“ означава всяка движима или недвижима собственост и имущество на Комисията;

2)	„отдел на Комисията“ означава генерална дирекция или служба на Комисията, или кабинет на член на Комисията;

3)	„комуникационна и информационна система“, или „КИС“, означава всяка система, даваща възможност за работа с информация в електронна форма, включително всички активи, необходими за нейното функциониране, както и необходимите инфраструктура, организация, персонал и информационни ресурси;

4)	„контрол на рисковете“ означава всяка мярка за сигурност, за която може разумно да се очаква, че ще осъществява ефективен контрол над риска за сигурността чрез неговото предотвратяване, смекчаване, избягване или прехвърляне;

5)	„кризисна ситуация“ означава обстоятелство, събитие, инцидент или извънредна ситуация (или поредица или съчетание от такива), излагащи на сериозна или непосредствена заплаха сигурността в Комисията, независимо от своя произход;

6)	„данни“ означава информация под форма, която позволява да бъде съобщавана, записвана или обработвана;

7)	„член на Комисията, отговарящ за сигурността“ означава член на Комисията, под чието ръководство попада генерална дирекция „Човешки ресурси и сигурност“;

8)	„лични данни“ означава лични данни съгласно определението по член 2, буква а) от Регламент (ЕС) № 45/2001 на Европейския парламент и на Съвета (4);

9)	„сгради“ означава всяка недвижима или приравнена на тях собственост и имущество на Комисията;

10)	„предотвратяване на риска“ означава мерки за сигурност, за които разумно може да се очаква, че ще възпрепятстват, забавят или спрат риска за сигурността;

11)	„риск за сигурността“ означава съчетанието от равнището на заплаха, равнището на уязвимост и възможното въздействие на дадено събитие;

12)

„сигурност в Комисията“ означава сигурността на лицата, активите и информацията в Комисията, и по-конкретно физическата неприкосновеност на лицата и активите, неприкосновеността, поверителността и наличността на информацията и комуникационните и информационни системи, както и безпрепятственото протичане на дейностите на Комисията;

13)	„мярка за сигурност“ означава всяка мярка, предприета в съответствие с настоящото решение, за овладяване на рисковете за сигурността;

14)	„Правилник за длъжностните лица“ означава Правилника за длъжностните лица на Европейския съюз, установен с Регламент (ЕИО, Евратом, ЕОВС) № 259/68 на Съвета (5) и актовете за неговото изменение;

15)	„заплаха за сигурността“ означава събитие или извършител, за които разумно може да се очаква, че ще се отразят негативно на сигурността, ако не получат отговор и не бъдат овладени;

16)	„непосредствена заплаха за сигурността“ означава заплаха за сигурността, която се разгръща без или с изключително кратко предварително предупреждение, и

17)

„сериозна заплаха за сигурността“ означава заплаха за сигурността, за която може разумно да се очаква, че ще доведе до загуба на човешки живот, сериозни наранявания или увреждания, значителни имуществени щети, компрометиране на силно чувствителна информация, смущения в работата на информационните системи или в жизненоважния оперативен капацитет на Комисията;

18)	„уязвимост“ означава слабост от всякакъв характер, за която може разумно да се очаква, че ще се отрази негативно на сигурността в Комисията, ако една или повече заплахи се възползват от нея.

Член 2

Предмет

1.   Настоящото решение определя целите, основните принципи, организацията и отговорностите в областта на сигурността в Комисията.

2.   Настоящото решение се прилага за всички служби на Комисията и във всички нейни сгради. Персоналът на Комисията, работещ в делегациите на Съюза, подлежи на правилата за сигурност за Европейската служба за външна дейност (6).

3.   Независимо от всички специфични разпоредби за конкретни групи персонал, настоящото решение се прилага спрямо членовете на Комисията, персонала на Комисията, попадащ в обхвата на Правилника за длъжностните лица и Условията за работа на другите служители на Европейския съюз, националните експерти, командировани в Комисията (КНЕ), доставчиците на услуги и техния персонал, стажантите и всички други лица с достъп до сградите или други активи на Комисията, или с достъп до информация, с която борави Комисията.

4.   Разпоредбите на настоящото решение не засягат разпоредбите на Решение 2002/47/ЕО, ЕОВС, Евратом на Комисията (7) и Решение 2004/563/ЕО, Евратом на Комисията (8), Решение C(2006) 1623 на Комисията (9) и Решение C(2006) 3602 на Комисията (10).

ГЛАВА 2

ПРИНЦИПИ

Член 3

Принципи на сигурността в Комисията

1.   При изпълнението на настоящото решение Комисията спазва разпоредбите на Договорите и по-конкретно на Хартата на основните права и на Протокол № 7 относно привилегиите и имунитетите на Европейският съюз, инструментите, посочени в съображение 2, всички приложими правила на националното законодателство, както и условията на настоящото решение. При необходимост се издават известия по въпросите на сигурността по смисъла на член 21, параграф 2, в които се предоставят указания в това отношение.

2.   Сигурността в Комисията се основава на принципите на законност, прозрачност, пропорционалност и отчетност.

3.   Принципът на законност показва необходимостта от стриктно придържане към правната рамка при прилагането на настоящото решение и необходимостта от спазване на законовите изисквания.

4.   Всяка мярка за сигурност се предприема открито, освен ако може разумно да се очаква, че това ще отслаби нейното въздействие. Адресатите на мярка за сигурност се информират предварително за причините и последиците от мярката, освен ако може разумно да се очаква, че въздействието на мярката ще бъде отслабено вследствие на предоставянето на такава информация. В такъв случай адресатът на мярката за сигурност се информира след като е преустановен рискът от отслабване на въздействието на мярката за сигурност.

5.   Службите на Комисията гарантират, че съображенията за сигурност са взети предвид от началото на разработването и прилагането на политиките, решенията, програмите, проектите и дейностите на Комисията, за които те отговарят. За тази цел те осигуряват участието на генерална дирекция „Човешки ресурси и сигурност“ като цяло и на главния завеждащ сигурността на информацията в Комисията още от най-ранните етапи на подготовката на информационните системи.

6.   Когато е целесъобразно, Комисията търси съдействието на компетентните органи на държавата домакин, на другите държави членки и на другите институции, агенции или органи на ЕС, когато това е възможно, като взима предвид предприетите или планирани от тези органи мерки за справяне с конкретния риск за сигурността.

Член 4

Задължение за спазване

1.   Спазването на настоящото решение и на правилата за неговото прилагане, както и на мерките за сигурност и инструкциите, предоставени от упълномощените служители, е задължително.

2.   Неспазването на правилата за сигурност подлежи на дисциплинарни действия в съответствие с Договорите и Правилника за длъжностните лица, на договорни санкции и/или на съдебно производство в съответствие с националните закони и разпоредби.

ГЛАВА 3

ОБЕЗПЕЧАВАНЕ НА СИГУРНОСТТА

Член 5

Упълномощени служители

1.   Единствено на служители, упълномощени с поименно пълномощие от генералния директор на ГД „Човешки ресурси и сигурност“, с оглед на текущите им задължения, могат да бъдат възложени правомощия за предприемане на една или няколко от следните мерки:

(1)	да носят лично оръжие;

(2)	да провеждат разследвания на сигурността в съответствие с член 13;

(3)	да предприемат мерки за сигурност в съответствие с член 12, както са описани в пълномощието.

2.   Посочените в параграф 1 пълномощия се възлагат за период, който не трябва да надвишава периода, през който съответното лице заема поста или функцията, за която е било възложено пълномощието. Те се възлагат в съответствие с приложимите разпоредби, установени в член 3, параграф 1.

3.   По отношение на упълномощените служители настоящото решение представлява административна инструкция по смисъла на член 21 от Правилника за длъжностните лица.

Член 6

Общи разпоредби относно мерките за сигурност

1.   Когато предприема мерки за сигурност, Комисията по-конкретно гарантира, доколкото е практически възможно, че:

а)	търси подкрепа или съдействие от съответната държава само ако тази държава е членка на Европейския съюз или, в противен случай, е страна по Европейската конвенция за правата на човека, или гарантира права, които са най-малкото равностойни на правата, гарантирани в тази конвенция.

б)	предоставя информация за дадено лице на получатели, различни от институциите и органите на ЕС, само ако те не са предмет на национален законодателен акт, приет в съответствие с Директива 95/46/ЕО на Европейския парламент и на Съвета (11), съгласно член 9 от Регламент (ЕО) № 45/2001.

в)

когато дадено лице представлява заплаха за сигурността, всяка мярка за сигурност е насочена срещу това лице и то може да бъде задължено да поеме възникналите вследствие на това разходи. Тези мерки за сигурност могат да бъдат насочени срещу други лица само ако трябва да се овладее непосредствена или сериозна заплаха за сигурността и ако са налице следните условия: а) предвидените мерки срещу лицето, представляващо заплаха за сигурността, не могат да бъдат предприети или вероятно няма да бъдат ефективни; б) Комисията не може да овладее заплахата за сигурността със самостоятелни действия или не може да го направи своевременно; в) мерките не представляват непропорционална опасност за другото лице и неговите права.

2.   Дирекцията по сигурността на генерална дирекция „Човешки ресурси и сигурност“ прави преглед на мерките за сигурност, които могат да изискват съдебна заповед съгласно законите и разпоредбите на държавите членки, в които се намират сградите на Комисията.

3.   Дирекцията по сигурността на генерална дирекция „Човешки ресурси и сигурност“ може да се обърне към подизпълнител, който да изпълнява задачи в областта на сигурността под ръководството и надзора на Дирекцията по сигурността.

Член 7

Мерки за гарантиране на сигурността на лицата

1.   На лицата в сградите на Комисията се осигурява подходящо равнище на защита, като се вземат предвид изискванията по отношение на сигурността и безопасността.

2.   В случай на сериозен риск за сигурността генерална дирекция „Човешки ресурси и сигурност“ осигурява непосредствена охрана на членовете на Комисията или другите служители тогава, когато оценката на заплахата е показала, че тази охрана е необходима за гарантиране на тяхната безопасност и сигурност.

3.   В случай на сериозен риск за сигурността Комисията може да разпореди евакуация на своите сгради.

4.   На жертвите на инциденти или нападения в сградите на Комисията се оказва необходимата помощ.

5.   За да предотвратяват и овладяват рисковете за сигурността, упълномощените служители могат да извършват цялостни проверки на лицата, попадащи в обхвата на настоящото решение, с цел да установят дали предоставянето на достъп до сградите на Комисията или информация на тези лица представлява заплаха за сигурността. За тази цел и в съответствие с Регламент (ЕО) № 45/2001 и с разпоредбите, посочени в член 3, параграф 1, съответните упълномощени служители могат:

а)	да използват всеки източник на информация, който е на разположение на Комисията, като вземат предвид неговата надеждност;

б)	да получат достъп до личните досиета или данните, които Комисията съхранява за лицата, които е наела или възнамерява да наеме на работа, или за персонала на подизпълнителите, когато това е надлежно обосновано.

Член 8

Мерки за гарантиране на физическата сигурност и сигурността на активите

1.   Сигурността на активите се гарантира, като се прилагат подходящите мерки за физическа и техническа защита и съответните процедури, наричани по-долу „физическа защита“, които изграждат една многопластова система.

2.   В съответствие с настоящия член могат да бъдат приети мерки за защита на лицата или информацията в Комисията, както и за защита на активите.

3.   Физическата сигурност има следните цели:

—	да предотвратява актове на насилие, насочени срещу членовете на Комисията или лицата, попадащи в обхвата на настоящото решение;

—	да предотвратява шпионаж и подслушване на чувствителна или класифицирана информация;

—	да предотвратява кражба, актове на вандализъм, саботаж и други актове на насилие, имащи за цел да нанесат щети или да унищожат сградите и активите на Комисията;

—

да позволява разследване и проверка на инциденти, свързани със сигурността, включително чрез справки с регистрационните файлове за контрол при влизане и излизане, системата за видеонаблюдение, записите на телефонните разговори и други сходни данни, посочени в член 22, параграф 2 по-долу, както и с други източници на информация.

4.   Физическата сигурност включва:

—	политика по отношение на достъпа, приложима за всички лица или превозни средства, искащи достъп до сградите на Комисията, в това число и паркингите;

—	система за контрол на достъпа, включваща охранители, техническо оборудване и мерки, информационни системи или съчетание от всички тези елементи.

5.   За да се гарантира физическата сигурност, могат да се предприемат следните действия:

—	да се записва влизането и излизането от сградите на Комисията на лица, превозни средства, стоки и оборудване;

—	да се извършва проверка на самоличността вътре в сградите;

—	да се извършва визуална или техническа проверка на превозните средства, стоките и оборудването;

—	да се предотвратява влизането в сградите на Комисията на неоторизирани лица, превозни средства и стоки.

Член 9

Мерки за гарантиране на сигурността на информацията

1.   Сигурността на информацията обхваща цялата информация, с която работи Комисията.

2.   Сигурността на информацията, независимо от нейната форма, поддържа баланс между прозрачността, пропорционалността, отчетността и ефективността, от една страна, и необходимостта от защита на информацията от нерегламентиран достъп, използване, разкриване, изменение или унищожаване, от друга.

3.   Сигурността на информацията има за цел опазване на нейната поверителност, неприкосновеност и наличност.

4.   С оглед на това се прилагат процедури за управление на риска, за да се класифицират информационните активи и да се разработят пропорционални мерки, процедури и стандарти за сигурност, включително смекчаващи мерки.

5.   Тези общи принципи, които са в основата на сигурността на информацията, се прилагат по-специално по отношение на:

а)	„класифицирана информация на ЕС“ (по-долу „КИЕС“), т.е. всяка информация или материал, носещи гриф за сигурност на ЕС, неразрешеното разкриване на които би могло да увреди в различна степен интересите на Европейския съюз или на една или повече от държавите членки;

б)

„чувствителна некласифицирана информация“, т.е. информация или материал, които Комисията трябва да защитава по силата на законовите си задължения, залегнали в Договорите или в актовете, приети в тяхно изпълнение, и/или заради чувствителния им характер. Чувствителната некласифицирана информация включва, но не се изчерпва с: информацията или материалите, обхванати от задължението за професионална тайна съгласно член 339 от ДФЕС, информацията, обхваната от интересите, чиято защита е предвидена в член 4 от Регламент (ЕО) № 1049/2001 на Европейския парламент и на Съвета (12), разглеждан в съчетание със съответната съдебна практика на Съда на Европейския съюз, или личните данни, попадащи в обхвата на Регламент (ЕО) № 45/2001.

6.   Чувствителната некласифицирана информация е подчинена на правилата за нейната обработка и съхранение. Тя се предоставя само на лица, които „имат нужда да знаят“. Когато бъде счетено за необходимо с оглед на ефективната защита на нейната поверителност, информацията се идентифицира с помощта на обозначение за класификация и съгласно съответните инструкции за обработка, одобрени от генерална дирекция „Човешки ресурси и сигурност“. Когато този вид информация се обработва или съхранява в комуникационни и информационни системи, защитата ѝ се осигурява и в съответствие с Решение (2006) 3602, правилата за неговото прилагане и съответните стандарти.

7.   Всяко лице, което носи отговорност за компрометиране или загуба на КИЕС или чувствителна некласифицирана информация, която е идентифицирана като такава в правилата за нейната обработка и съхранение, може да подлежи на дисциплинарни действия в съответствие с Правилника за длъжностните лица. Тези дисциплинарни действия не засягат евентуалните съдебни или наказателни производства от страна на компетентните национални органи на държавите членки в съответствие с тяхното законодателство и разпоредби, както и договорните корективни мерки.

Член 10

Мерки за гарантиране на сигурността на комуникационните и информационни системи

1.   Всички използвани от Комисията комуникационни и информационни системи („КИС“) са в съответствие с политиката на Комисията за гарантиране на сигурността на информационните системи, изложена в Решение C(2006) 3602, правилата за неговото прилагане и съответните стандарти за сигурност.

2.   Службите на Комисията, които притежават, управляват или работят с КИС, позволяват на други институции, агенции и органи на Съюза или на други организации да получат достъп до тези системи само ако тези институции, агенции и органи на Съюза или други организации могат да предоставят задоволителни гаранции, че степента на защита на техните информационни системи е равносилна на гарантираната от политиката на Комисията за сигурността на информационните системи съгласно Решение C(2006) 3602, правилата за неговото прилагане и съответните стандарти за сигурност. Комисията наблюдава спазването на това условие и в случай на сериозно нарушение или продължително неспазване има правото да ограничи достъпа.

Член 11

Криминалистични анализи във връзка с киберсигурността

Генерална дирекция „Човешки ресурси и сигурност“ отговаря конкретно за провеждането на криминалистични технически анализи в сътрудничество с компетентните служби на Комисията в помощ на посочените в член 13 разследвания на сигурността, свързани с контраразузнаване, изтичане на данни, кибератаки и сигурността на информационните системи.

Член 12

Мерки за сигурност по отношение на лицата и предметите

1.   За да гарантират сигурността в Комисията и да предотвратяват и овладяват рисковете, служителите, упълномощени в съответствие с член 5, могат, съгласно принципите, посочени в член 3, да предприемат, наред с останалото, една или повече от следните мерки за сигурност:

а)

подсигуряване на сцената на действие и доказателствата, включително регистрационните файлове за контрол при влизане и излизане и кадрите от системата за видеонаблюдение, в случай на инциденти или поведение, което може да доведе до административни, дисциплинарни, граждански или наказателни процедури;

б)

ограничени мерки спрямо лица, които представляват заплаха за сигурността, включително издаване на нареждане на лицата на напуснат сградите на Комисията, извеждане на лицата извън сградите на Комисията, налагане на забрана на лицата да влизат в сградите на Комисията за определен период от време, като последната мярка се определя в съответствие с критерии, които ще бъдат формулирани в правилата за прилагане;

в)	ограничени мерки спрямо предмети, които представляват риск за сигурността, включително тяхното преместване, конфискуване и отстраняване;

г)	претърсване на сградите на Комисията, включително на офисите, разположени в тези сгради;

д)	търсене на данни от комуникационната и информационна система и оборудване, телефонния и телекомуникационния трафик, регистрационните файлове, потребителските профили и т.н.;

е)	други специфични мерки за сигурност с подобно въздействие с цел предотвратяване или овладяване на рисковете за сигурността, по-конкретно в контекста на правата на Комисията в качеството ѝ на собственик или на работодател в съответствие с приложимите национални закони.

2.   При изключителни обстоятелства служителите на Дирекцията по сигурността на генерална дирекция „Човешки ресурси и сигурност“, упълномощени в съответствие с член 5, могат да предприемат необходимите извънредни мерки, при стриктно спазване на принципите, посочени в член 3. Възможно най-скоро след предприемането на тези мерки те информират директора на Дирекцията по сигурността, който иска от генералния директор на ГД „Човешки ресурси и сигурност“ съответното пълномощие, потвърждаващо предприетите мерки и разрешаващо евентуални допълнителни мерки, и, когато е целесъобразно, осъществява връзка с компетентните национални органи.

3.   Мерките за сигурност в съответствие с настоящия член се документират в момента, в който са предприети, или, в случай на непосредствен риск или кризисна ситуация, в разумен срок след тяхното предприемане. Във втория случай документирането трябва да включва и елементите, на които се основава преценката за наличието на непосредствен риск или кризисна ситуация. Документирането може да бъде кратко, но следва да е структурирано по такъв начин, че да позволява на лицето — предмет на мярката, да упражнява правото си на защита и правото си на защита на личните данни в съответствие с Регламент (ЕО) № 45/2001, и да позволява проверка на законността на мярката. Никаква информация относно специфични мерки за сигурност, предприети спрямо член на персонала, не може да бъде включвана в личното досие на въпросното лице.

4.   Когато се предприемат мерки за сигурност съгласно буква б), Комисията допълнително гарантира, че съответното лице е получило възможност да се свърже с адвокат или с доверено лице и е било уведомено за правото си да се обърне към Европейския надзорен орган по защита на данните.

Член 13

Разследвания

1.   Без да се засягат член 86 и приложение IX към Правилника за длъжностните лица и специалните споразумения между Комисията и ЕСВД, като специалното споразумение, подписано на 28 май 2014 г. между генерална дирекция „Човешки ресурси и сигурност“ на Европейската комисия и Европейската служба за външна дейност относно задължението за грижа спрямо персонала на Комисията на служба в делегациите на Съюза, разследвания на сигурността могат да се провеждат:

а)	в случай на инциденти, засягащи сигурността в Комисията, включително при подозрение за извършено престъпление;

б)	в случай на възможно изтичане, неправилно третиране или компрометиране на чувствителна некласифицирана информация, КИЕС или класифицирана информация на Евратом;

в)	в контекста на контраразузнаването и борбата с тероризма;

г)	в случай на сериозни киберинциденти.

2.   Решение за провеждане на разследване на сигурността се взема от генералния директор на ГД „Човешки ресурси и сигурност“, който също така получава доклада от разследването.

3.   Разследвания на сигурността се провеждат само от компетентните членове на персонала на генерална дирекция „Човешки ресурси и сигурност“, надлежно упълномощени в съответствие с член 5.

4.   Упълномощените служители упражняват правомощията си за провеждане на разследване на сигурността независимо, съгласно посоченото в пълномощието, и имат правомощията, изброени в член 12.

5.   Упълномощените служители, компетентни да провеждат разследвания на сигурността, могат да събират информация от всички налични източници, свързани с евентуални административни нарушения или престъпления, които са извършени в сградите на Комисията или в които са замесени лица по член 2, параграф 3, било то като жертви или като извършители на деянията.

6.   Генерална дирекция „Човешки ресурси и сигурност“ информира компетентните органи на държавата членка домакин или на всяка друга заинтересована държава членка, когато е целесъобразно и по-конкретно ако при разследването са открити улики за извършено престъпно деяние. В този контекст генерална дирекция „Човешки ресурси и сигурност“ може, когато е целесъобразно или необходимо, да окаже подкрепа на органите на държавата членка домакин или на всяка друга заинтересована държава членка.

7.   В случай на сериозни киберинциденти генерална дирекция „Информатика“ поддържа тясно сътрудничество с генерална дирекция „Човешки ресурси и сигурност“, оказвайки подкрепа по всички технически въпроси. Генерална дирекция „Човешки ресурси и сигурност“ решава, след консултация с генерална дирекция „Информатика“, кога е целесъобразно да се информират компетентните органи на държавата домакин или на всяка друга заинтересована държава членка. Службите за координация при инциденти на екипа за незабавно реагиране при компютърни инциденти на ЕС (CERT-EU) ще бъдат използвани за оказване на подкрепа на други евентуално засегнати институции и агенции на ЕС.

8.   Разследванията на сигурността се документират.

Член 14

Разграничаване на правомощията във връзка с разследвания на сигурността и други видове разследвания

1.   Когато Дирекцията по сигурността на генерална дирекция „Човешки ресурси и сигурност“ извършва разследвания на сигурността, както е посочено в член 13, и ако тези разследвания са от компетентността на Европейската служба за борба с измамите (OLAF) или на Службата за разследвания и дисциплинарни въпроси на Комисията (IDOC), тя незабавно осъществява връзка с тези органи с цел по-конкретно да не компрометира по-нататъшните действия от страна на OLAF или IDOC. Когато е целесъобразно, Дирекцията по сигурността на генерална дирекция „Човешки ресурси и сигурност“ отправя покана към OLAF или IDOC да участват в разследването.

2.   Разследванията на сигурността, посочени в член 13, се провеждат без да се засягат правомощията на OLAF и IDOC, залегнали в правилата за дейността на тези органи. От Дирекцията по сигурността на генерална дирекция „Човешки ресурси и сигурност“ може да бъде поискано да окаже техническа помощ за разследвания, започнати от OLAF или IDOC.

3.   От Дирекцията по сигурността на генерална дирекция „Човешки ресурси и сигурност“ може да бъде поискано да съдейства на служителите на OLAF при престоя им в сградите на Комисията в съответствие с член 3, параграф 5 и член 4, параграф 4 от Регламент (ЕС, Евратом) № 883/2013 на Европейския парламент и на Съвета (13), с цел да улеснят изпълнението на техните задължения. Дирекцията по сигурността информира генералния секретар и генералния директор на генерална дирекция „Човешки ресурси и сигурност“ за подобни искания за съдействие, или в случай че такова разследване се провежда в сградите на Комисията, в които се помещават нейните членове или генералният секретар, председателят на Комисията и членът на Комисията, отговарящ за човешките ресурси.

4.   Без да се засяга член 22, буква а) от Правилника за длъжностните лица, тогава, когато даден случай би могъл да бъде от компетентността както на Дирекцията по сигурността на генерална дирекция „Човешки ресурси и сигурност“, така и на IDOC, Дирекцията по сигурността, когато докладва на генералния директор на ГД „Човешки ресурси“ в съответствие с член 13, на възможно най-ранен етап дава становището си за това дали са налице основания за сезиране на IDOC във връзка със случая. По-конкретно този етап се счита за достигнат тогава, когато е приключила непосредствената заплаха за сигурността. Генералният директор на ГД „Човешки ресурси и сигурност“ взима решение по този въпрос.

5.   Когато даден случай би могъл да бъде от компетентността както на Дирекцията по сигурността на генерална дирекция „Човешки ресурси и сигурност“, така и на OLAF, Дирекцията по сигурността незабавно докладва на генералния директор на ГД „Човешки ресурси и сигурност“ и информира генералния директор на OLAF на възможно най-ранен етап. По-конкретно този етап се счита за достигнат тогава, когато е приключила непосредствената заплаха за сигурността.

Член 15

Проверки на сигурността

1.   Генерална дирекция „Човешки ресурси и сигурност“ извършва проверки на сигурността, за да се увери, че службите на Комисията и лицата спазват настоящото решение и правилата за неговото прилагане, и за да формулира препоръки, когато това бъде счетено за необходимо.

2.   Когато е целесъобразно, генерална дирекция „Човешки ресурси и сигурност“ извършва проверки на сигурността, или наблюдение на сигурността, или посещения за оценка на сигурността, за да се увери, че сигурността на персонала, активите и информацията на Комисията, попадащи под отговорността на други институции, агенции или органи на Съюза, държави членки, трети държави или международни организации, е подходящо гарантирана в съответствие с правила, разпоредби и стандарти за сигурност, които са най-малкото равностойни на тези на Комисията. Когато е целесъобразно и в духа на доброто сътрудничество между администрациите, тези проверки на сигурността включват и инспекциите, провеждани в контекста на обмена на класифицирана информация с други институции, органи и агенции на Съюза, държави членки, трети държави или международни организации.

3.   Настоящият член се прилага, mutatis mutandis, за персонала на Комисията в делегациите на Съюза, без да се засягат специалните споразумения между Комисията и ЕСВД, като специалното споразумение, подписано на 28 май 2014 г. между генерална дирекция „Човешки ресурси и сигурност“ на Европейската комисия и Европейската служба за външна дейност относно задължението за грижа спрямо персонала на Комисията на служба в делегациите на Съюза.

Член 16

Състояние на тревога и управление на кризисни ситуации

1.   Генерална дирекция „Човешки ресурси и сигурност“ отговаря за прилагането на подходящи мерки за състояние на тревога в очакване или в отговор на заплахи и инциденти, засягащи сигурността в Комисията, както и на необходимите мерки за управление на кризисни ситуации.

2.   Посочените в параграф 1 мерки за състояние на тревога съответстват на нивото на заплаха за сигурността. Степените на тревога се определят в тясно сътрудничество с компетентните служби на другите институции, агенции и органи на Съюза, и на държавата членка или държавите членки, в които се намират сградите на Комисията.

3.   Генерална дирекция „Човешки ресурси и сигурност“ е звеното за контакт относно степените на тревога и управлението на кризисни ситуации.

ГЛАВА 4

ОРГАНИЗАЦИЯ

Член 17

Общи отговорности на службите на Комисията

1.   Изложените в настоящото решение задължения на Комисията се изпълняват от генерална дирекция „Човешки ресурси и сигурност“ под ръководството и отговорността на члена на Комисията, отговарящ за сигурността.

2.   Специфичните разпоредби относно киберсигурността са определени в Решение (2006) 3602.

3.   Отговорността за изпълнението на настоящото решение и на правилата за неговото прилагане, както и на ежедневното им спазване, може да бъде възложена на други служби на Комисията тогава, когато децентрализираното обезпечаване на сигурността предлага висока ефективност и спестява ресурси или време, например поради географското разположение на въпросните служби.

4.   Когато се прилага параграф 3, генерална дирекция „Човешки ресурси и сигурност“ и, когато е целесъобразно, генерална дирекция „Информатика“, постигат договорка с отделните служби на Комисията за ясно определяне на ролите и отговорностите за изпълнението и наблюдението на политиките в областта на сигурността.

Член 18

Генерална дирекция „Човешки ресурси и сигурност“

1.   Генерална дирекция „Човешки ресурси и сигурност“ отговаря по-конкретно за:

(1)	изготвянето на политиката на Комисията в областта на сигурността, правилата за нейното прилагане и известията по въпросите на сигурността;

(2)	събирането на информация за целите на оценката на заплахите и рисковете за сигурността и по всички въпроси, които могат да се отразят на сигурността в Комисията;

(3)	осигуряването на електронно контранаблюдение и защита на всички сайтове на Комисията въз основа на оценките на заплахите и наличните доказателства за неоторизирани действия против интересите на Комисията;

(4)	осигуряването на 24-часови услуги за спешно реагиране за службите и персонала на Комисията по всички въпроси, свързани с безопасността и сигурността;

(5)

прилагането на мерки за сигурност, имащи за цел смекчаване на рисковете за сигурността и разработване и поддържане на подходяща КИС, която да покрива оперативните ѝ нужди, по-специално в областта на контрола на физическия достъп, администрирането на разрешенията за достъп и обработката на чувствителна информация и класифицирана информация на ЕС;

(6)

повишаването на осведомеността, организирането на учения и тренировки, и предоставянето на обучения и консултации по всички въпроси, свързани със сигурността в Комисията, с цел да се насърчи развитието на култура на сигурност и да се създаде резерв от служители, които да са подходящо обучени по въпросите на сигурността.

2.   Генерална дирекция „Човешки ресурси и сигурност“ поддържа, без да засяга компетентността и отговорностите на другите служби на Комисията, външните връзки:

(1)	със службите за сигурност на другите институции, агенции и органи на Съюза по въпроси, свързани със сигурността на лицата, активите и информацията в Комисията;

(2)	със службите за сигурност, разузнаване и оценка на заплахите, включително националните органи за сигурност на държавите членки или на трети държави, международните организации и органи по въпроси, засягащи сигурността на лицата, активите и информацията в Комисията;

(3)	с полицията и други служби за спешно реагиране по всички рутинни и извънредни въпроси, засягащи сигурността в Комисията;

(4)	с органите за сигурност на другите институции, агенции и органи на Съюза, на държавите членки и на трети държави в областта на реагирането на кибератаки с потенциално въздействие върху сигурността в Комисията;

(5)	във връзка с получаването, оценката и разпространението на разузнавателна информация относно заплахи, произтичащи от терористична дейност и шпионаж, засягащи сигурността в Комисията;

(6)	по въпроси, свързани с класифицираната информацията, както е посочено по-нататък в Решение (ЕС, Евратом) 2015/444 на Комисията (14).

3.   Генерална дирекция „Човешки ресурси и сигурност“ отговаря за сигурния пренос на информация, извършван съгласно настоящия член, включително за преноса на лични данни.

Член 19

Експертна група за сигурността в Комисията (ComSEG)

Създава се експертна група за сигурността в Комисията, натоварена със задачата да съветва Комисията, когато е целесъобразно, по въпроси, свързани с нейната политика за вътрешна сигурност и по-конкретно със защитата на класифицирана информация на ЕС.

Член 20

Местни служители по сигурността (LSO)

1.   Всеки отдел или кабинет на Комисията назначава местен служител по сигурността (LSO), който изпълнява ролята на основно звено за контакт между своята служба и генерална дирекция „Човешки ресурси и сигурност“ по всички въпроси, свързани със сигурността в Комисията. Когато е целесъобразно, могат да се назначат един или повече заместници на LSO. LSO е длъжностно лице или срочно нает служител.

2.   Като основно звено за контакт по въпросите на сигурността в своя отдел или кабинет на Комисията, LSO докладва редовно на генерална дирекция „Човешки ресурси и сигурност“ и на своите началници за въпроси, свързани със сигурността в неговия отдел на Комисията, и докладва незабавно за всякакви инциденти, свързани със сигурността, включително когато може да е била компрометирана КИЕС или чувствителна некласифицирана информация.

3.   По въпроси, свързани със сигурността на комуникационните и информационни системи, LSO осъществява връзка със завеждащия сигурността на информацията на местно ниво (LISO) в своя отдел на Комисията, чиято роля и отговорности са определени в Решение C(2006) 3602.

4.   Той допринася към дейностите за обучение и повишаване на осведомеността по въпросите на сигурността, насочени към специфичните нужди на персонала, подизпълнителите и други лица, работещи под ръководството на неговия отдел на Комисията.

5.   По искане на генерална дирекция „Човешки ресурси и сигурност“ на LSO могат да бъдат възложени специфични задачи в случай на сериозни или непосредствени рискове за сигурността или на извънредни ситуации. Генералният директор или директорът, отговарящ за човешките ресурси, на местната генерална дирекция на LSO бива информиран за тези специфични задачи от генерална дирекция „Човешки ресурси и сигурност“.

6.   Отговорностите на LSO не засягат ролята и отговорностите, възложени на завеждащите сигурността на информацията на местно ниво (LISO), служителите, отговарящи за здравословните и безопасни условия на труд, служителите за надзор на регистъра (RCO) или на всеки друг служител, чиито функции са в областта на сигурността или са свързани с нея. LSO осъществява връзка с тях, за да гарантира последователен и съгласуван подход към сигурността и ефективен поток на информацията по въпроси, свързани със сигурността в Комисията.

7.   LSO има пряк достъп до генералния директор или ръководителя на отдела си, когато трябва да информира преките си началници. Той има разрешение за достъп до КИЕС на ниво най-малко SECRET UE/EU SECRET.

8.   С цел да насърчи обмена на информация и най-добрите практики, генерална дирекция „Човешки ресурси и сигурност“ организира поне два пъти годишно конференция на LSO. Присъствието на LSO на тези конференции е задължително.

ГЛАВА 5

ИЗПЪЛНЕНИЕ

Член 21

Правила за прилагане и известия по въпросите на сигурността

1.   Както е необходимо, приемането на правилата за прилагане на настоящото решение ще е предмет на отделно решение на Комисията за оправомощаване на члена на Комисията, отговарящ за сигурността, в пълно съответствие с вътрешния процедурен правилник.

2.   След като бъде оправомощен по силата на гореспоменатото решение на Комисията, членът на Комисията, отговарящ за сигурността, може да изготвя известия по въпросите на сигурността, съдържащи насоки и най-добри практики в тази сфера, в обхвата на настоящото решение и правилата за неговото прилагане.

3.   Комисията може да възложи задачите, посочени в първия и втория параграф на настоящия член, на генералния директор на ГД „Човешки ресурси и сигурност“ чрез отделно решение за възлагане, в пълно съответствие с вътрешния процедурен правилник.

ГЛАВА 6

РАЗНИ И ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

Член 22

Обработка на лични данни

1.   Комисията обработва личните данни, необходими за изпълнението на настоящото решение в съответствие с Регламент (ЕО) № 45/2001.

2.   Независимо от мерките, които вече са въведени към момента на приемане на настоящото решение и са нотифицирани на Европейския надзорен орган по защита на данните (15), всяка мярка в съответствие с настоящото решение, включваща обработка на лични данни, като например данни от регистрационните файлове за контрол при влизане и излизане, записите от системата за видеонаблюдение, записите на телефонните обаждания до дежурните звена или диспечерските центрове, и други подобни данни, изисквани от съображения за сигурност или за реакция при кризи, е предмет на правилата за прилагане съгласно член 21, който установява подходящи гаранции за субектите на данни.

3.   Генералният директор на ГД „Човешки ресурси и сигурност“ отговаря за сигурността на всяка обработка на лични данни, извършена в контекста на настоящото решение.

4.   Тези правила и процедури за прилагане се приемат след консултация с длъжностното лице за защита на данните и Европейския надзорен орган по защита на данните в съответствие с Регламент (ЕО) № 45/2001.

Член 23

Прозрачност

Настоящото решение и правилата за неговото прилагане се свеждат до знанието на персонала на Комисията и на всички лица, спрямо които се прилагат.

Член 24

Отмяна на предходни решения

Решение (94) 2129 се отменя.

Член 25

Влизане в сила

Настоящото решение влиза в сила в деня след публикуването му в Официален вестник на Европейския съюз.

---

(1)  Вж. „Arrangement entre le Gouvernement belge et le Parlement européen, le Conseil, la Commission, le Comité économique et social européen, le Comité des régions, la Banque européenne d'investissement en matière de sécurité“ от 31 декември 2004 г., „Accord de sécurité signé entre la Commission et le Gouvernement luxembourgeois“ от 20 януари 2007 г., и „Accordo tra il Governo italiano e la Commissione europea dell'energia atomica (Euratom) per l'istituzione di un Centro comune di ricerche nucleari di competenza generale“ от 22 юли 1959 г.

(2)  DPO-914.2, DPO-93.7, DPO-153.3, DPO-870.3, DPO-2831.2, DPO-1162.4, DPO-151.3, DPO-3302.1, DPO-508.6, DPO-2638.3, DPO-544.2, DPO-498.2, DPO-2692.2, DPO-2823.2.

(3)  Решение C(94) 2129 на Комисията от 8 септември 1994 г. относно задачите на службата за сигурност.

(4)  Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета от 18 декември 2000 година относно защитата на лицата по отношение на обработката на лични данни от институции и органи на Общността и за свободното движение на такива данни (ОВ L 8, 12.1.2001 г., стр. 1).

(5)  Регламент (ЕИО, Евратом, ЕОВС) № 259/68 на Съвета от 29 февруари 1968 година относно определянето на статута на длъжностните лица на Европейските общности и условията за работа на другите служители, и за създаване на конкретно особени мерки за временно прилагане към длъжностните лица на Комисията (условия за работа на другите служители) (ОВ L 56, 4.3.1968 г., стр. 1).

(6)  Решение на върховния представител на Съюза по въпросите на външните работи и политиката на сигурност 2013/C 190/01 от 19 април 2013 г. относно правилата за сигурност на Европейската служба за външна дейност (ОВ C 190, 29.6.2013 г., стр. 1).

(7)  Решение 2002/47/ЕО, ЕОВС, Евратом на Комисията от 23 януари 2002 година за изменение на нейния процедурен правилник (ОВ L 21, 24.1.2002 г., стр. 23), към което се приложени разпоредбите относно управлението на документи.

(8)  Решение 2004/563/ЕО, ЕОВС, Евратом на Комисията от 7 юли 2004 година за изменение на нейния процедурен правилник (ОВ L 251, 27.7.2004 г., стр. 9), към което се приложени разпоредбите относно електронните и дигитализираните документи.

(9)  C(2006) 1623 от 21 април 2006 година за установяване на хармонизирана политика за осигуряване на здравословни и безопасни условия на труд за всички служители на Европейската комисия.

(10)  C(2006) 3602 от 16 август 2006 година относно сигурността на информационните системи, използвани от Европейската комисия.

(11)  Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 г. за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (ОВ L 281, 23.11.1995 г., стр. 31).

(12)  Регламент (ЕО) № 1049/2001 на Европейския парламент и на Съвета от 30 май 2001 г. относно публичния достъп до документи на Европейския парламент, на Съвета и на Комисията (ОВ L 145, 31.5.2001 г., стр. 43).

(13)  Регламент (ЕС, Евратом) № 883/2013 на Европейския парламент и на Съвета от 11 септември 2013 г. относно разследванията, провеждани от Европейската служба за борба с измамите (OLAF), и за отмяна на Регламент (ЕО) № 1073/1999 на Европейския парламент и на Съвета и Регламент (Евратом) № 1074/1999 на Съвета (ОВ L 248, 18.9.2013 г., стр. 1).

(14)  Решение (ЕС, Евратом) 2015/444 на Комисията от 13 март 2015 година относно правилата за сигурност за защита на класифицирана информация на ЕС (вж. страница 53 от настоящия брой на Официален вестник).

(15)  DPO-914.2, DPO-93.7, DPO-153.3, DPO-870.3, DPO-2831.2, DPO-1162.4, DPO-151.3, DPO-3302.1, DPO-508.6, DPO-2638.3, DPO-544.2, DPO-498.2, DPO-2692.2, DPO-2823.2.

---