1.

Dieser Anhang enthält Vorschriften zur Anwendung von Anhang A Artikel 5. Er legt insbesondere die Kriterien fest, anhand deren der EAD feststellt, ob eine Person unter Berücksichtigung ihrer Loyalität, Vertrauenswürdigkeit und Zuverlässigkeit zum Zugang zu EU-VS ermächtigt werden kann, sowie die hierzu anzuwendenden Überprüfungs- und Verwaltungsverfahren.

2.

Die „Erklärung über die Sicherheitsüberprüfung von Personal“ (Personnel Security Clearance — PSC) mit Blick auf den Zugang zu EU-VS ist eine Erklärung einer zuständigen Behörde eines Mitgliedstaats, die nach Abschluss einer Sicherheitsüberprüfung durch die zuständigen Behörden eines Mitgliedstaats ausgestellt wird und mit der bescheinigt wird, dass einer Person, die nachweislich Kenntnis von Verschlusssachen haben muss, bis zu einem bestimmten Datum und bis zu einem bestimmten Geheimhaltungsgrad („CONFIDENTIEL UE/EU CONFIDENTIAL“ oder höher) Zugang zu EU-VS gewährt werden kann; diese Person wird als „sicherheitsüberprüft“ bezeichnet.

3.

Die „Sicherheitsüberprüfungsbescheinigung“ (Personnel Security Clearance Certificate — PSCC) ist eine von der Sicherheitsbehörde des EAD ausgestellte Bescheinigung, in der festgestellt wird, dass eine Person sicherheitsüberprüft ist, und aus der der Geheimhaltungsgrad, bis zu dem der Person Zugang zu EU-VS gewährt werden kann, die Gültigkeitsdauer der betreffenden PSC und das Ablaufdatum der Bescheinigung selbst hervorgehen.

4.

Die „Ermächtigung zum Zugang zu EU-VS“ ist eine Ermächtigung der Sicherheitsbehörde des EAD, die gemäß diesem Beschluss nach Ausstellung einer PSC durch die zuständigen Behörden eines Mitgliedstaats erteilt wird und mit der bescheinigt wird, dass einer Person, die nachweislich Kenntnis von Verschlusssachen haben muss, bis zu einem bestimmten Datum und bis zu einem bestimmten Geheimhaltungsgrad („CONFIDENTIEL UE/EU CONFIDENTIAL“ oder höher) Zugang zu EU-VS gewährt werden kann; diese Person wird als „sicherheitsüberprüft“ bezeichnet.

5.

Der Zugang zu Verschlusssachen, die als „RESTREINT UE/EU RESTRICTED“ eingestuft sind, erfordert keine Sicherheitsüberprüfung und wird gestattet, nachdem

6.

Einer Person darf der Zugang zu als „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder höher eingestuften Verschlusssachen der EU erst dann gestattet werden, wenn

7.

Der EAD bestimmt innerhalb seiner Strukturen die Dienstposten, für die ein Zugang zu als „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder höher eingestuften Verschlusssachen und somit eine PSC für den entsprechenden Geheimhaltungsgrad gemäß Nummer 4 erforderlich ist.

8.

Die Mitglieder des Personals des EAD geben eine Erklärung darüber ab, ob sie die Staatsangehörigkeit mehrerer Länder besitzen.

9.

Für Mitglieder des Personals des EAD sendet die Sicherheitsbehörde des EAD den ausgefüllten Sicherheitsfragebogen an die nationale Sicherheitsbehörde des Mitgliedstaats, dessen Staatsangehörigkeit die betreffende Person besitzt, und beantragt die Durchführung einer Sicherheitsüberprüfung für den Geheimhaltungsgrad von EU-VS, zu denen die betreffende Person Zugang haben muss.

10.

Besitzt eine Person die Staatsangehörigkeit mehrerer Länder, wird die Sicherheitsüberprüfung bei der nationalen Sicherheitsbehörde des Landes beantragt, unter dessen Staatsangehörigkeit die Person eingestellt wurde.

11.

Werden dem EAD sicherheitserhebliche Informationen zu einer Person bekannt, die eine PSC beantragt hat, so teilt er dies der zuständigen nationalen Sicherheitsbehörde gemäß den einschlägigen Vorschriften mit.

12.

Nach Abschluss der Sicherheitsüberprüfung teilt die betreffende nationale Sicherheitsbehörde der für Sicherheit zuständigen Direktion des EAD das Ergebnis der Überprüfung mit.

13.

Für die Sicherheitsüberprüfung und deren Ergebnisse, auf die sich der EAD bei seiner Entscheidung über die Erteilung einer Ermächtigung zum Zugang zu EU-VS stützt, gelten die einschlägigen Rechtsvorschriften des betreffenden Mitgliedstaats, einschließlich der Rechtsvorschriften für etwaige Rechtsbehelfe. Gegen Entscheidungen der Sicherheitsbehörde des EAD können Rechtsbehelfe gemäß dem Statut eingelegt werden.

14.

Die Feststellung, auf die sich eine PSC stützt, erstreckt sich — solange diese gültig ist — auf alle Aufgaben, die die betreffende Person im EAD, im Generalsekretariat des Rates oder in der Kommission übernimmt.

15.

Der EAD erkennt die von anderen Organen, Einrichtungen oder Agenturen der Europäischen Union ausgestellten Ermächtigungen zum Zugang zu EU-VS an, solange diese gültig sind. Die Ermächtigungen erstrecken sich auf alle Aufgaben, die der betreffenden Person innerhalb des EAD zugewiesen werden. Das Organ, die Einrichtung oder die Agentur der Europäischen Union, bei dem bzw. bei der die betreffende Person ihre Beschäftigung aufnimmt, unterrichtet die zuständige nationale Sicherheitsbehörde über den Wechsel des Arbeitgebers.

16.

Nimmt eine Person innerhalb von 12 Monaten nach Mitteilung des Ergebnisses der Sicherheitsüberprüfung an die Sicherheitsbehörde des EAD ihren Dienst nicht auf oder unterbricht sie diesen für einen Zeitraum von 12 oder mehr Monaten, in dem sie nicht beim EAD, bei einem anderen Organ, einer anderen Agentur oder Einrichtung der EU oder bei einer nationalen Verwaltung eines Mitgliedstaats auf einem Dienstposten tätig ist, der den Zugang zu Verschlusssachen erfordert, so wird die zuständige nationale Sicherheitsbehörde mit diesem Ergebnis befasst, damit sie gegebenenfalls bestätigen kann, dass es weiterhin gültig und berechtigt ist.

17.

Werden dem EAD Informationen bekannt, nach denen eine Person, die eine gültige PSC besitzt, ein Sicherheitsrisiko darstellt, so teilt der EAD dies der zuständigen nationalen Sicherheitsbehörde gemäß den einschlägigen Vorschriften mit; er kann den Zugang zu EU-VS aussetzen oder die Ermächtigung zum Zugang zu EU-VS zurücknehmen. Teilt eine nationale Sicherheitsbehörde dem EAD mit, dass eine gemäß Nummer 12 Buchstabe a erfolgte Feststellung in Bezug auf eine Person, die im Besitz einer gültigen Ermächtigung zum Zugang zu EU-VS ist, zurückgenommen wurde, kann die Sicherheitsbehörde des EAD die nationale Sicherheitsbehörde um alle weiteren Auskünfte ersuchen, die diese nach ihren innerstaatlichen Rechtsvorschriften geben darf. Bei Bestätigung der nachteiligen Erkenntnisse wird die vorgenannte Ermächtigung zurückgenommen und die betreffende Person vom Zugang zu EU-VS und von Dienstposten, auf denen sie auf EU-VS zugreifen oder ein Sicherheitsrisiko darstellen könnte, ausgeschlossen.

18.

Jede Entscheidung über die Rücknahme einer Ermächtigung zum Zugang zu EU-VS für ein Mitglied des Personals des EAD und gegebenenfalls die dafür maßgeblichen Gründe werden der betreffenden Person mitgeteilt, die beantragen kann, von der Sicherheitsbehörde des EAD gehört zu werden. Für die von einer nationalen Sicherheitsbehörde zur Verfügung gestellten Informationen gelten die einschlägigen Rechtsvorschriften des betreffenden Mitgliedstaats, einschließlich der Rechtsvorschriften über etwaige Rechtsbehelfe. Gegen Entscheidungen der Sicherheitsbehörde des EAD können Rechtsbehelfe gemäß dem Statut eingelegt werden.

19.

Nationale Sachverständige, die zum EAD abgeordnet werden, um dort einen Dienstposten zu bekleiden, für den der Zugang zu als „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder höher eingestuften Verschlusssachen erforderlich ist, müssen der Sicherheitsbehörde des EAD eine gültige PSC für den Zugang zu EU-VS für den entsprechenden Geheimhaltungsgrad vorlegen, bevor sie ihren Dienst antreten. Dieser Vorgang wird von dem abordnenden Mitgliedstaat abgewickelt.

20.

Der EAD unterhält eine Datenbank, in der der Sicherheitsstatus des gesamten dem EAD unterstehenden Personals und des Personals der Auftragnehmer des EAD erfasst ist. Diese Verzeichnisse enthalten Angaben zum Geheimhaltungsgrad („CONFIDENTIEL UE/EU CONFIDENTIAL“ oder höher) der EU-VS, zu denen der betreffenden Person Zugang gewährt werden darf, das Datum, an dem die PSC ausgestellt wurde, und deren Gültigkeitsdauer.

21.

Es werden geeignete Verfahren für die Koordinierung mit den Mitgliedstaaten und anderen Organen, Agenturen und Einrichtungen der EU eingeführt, um sicherzustellen, dass der EAD ein genaues und umfassendes Verzeichnis des Sicherheitsstatus des gesamten dem EAD unterstehenden Personals und des Personals der Auftragnehmer des EAD führt.

22.

Die Sicherheitsbehörde des EAD kann eine Sicherheitsüberprüfungsbescheinigung (PSCC) ausstellen, die Angaben zum Geheimhaltungsgrad („CONFIDENTIEL UE/EU CONFIDENTIAL“ oder höher) der EU-VS, zu denen der Person Zugang gewährt werden darf, zur Gültigkeitsdauer der betreffenden PSC bzw. Ermächtigung und zum Ablaufdatum der Bescheinigung selbst enthält.

23.

Personen, die aufgrund ihrer Aufgaben nach den innerstaatlichen Rechtsvorschriften zum Zugang zu EU-VS ordnungsgemäß ermächtigt worden sind, werden von der für Sicherheit zuständigen Direktion des EAD entsprechend über ihre Sicherheitspflichten im Hinblick auf den Schutz von EU-VS belehrt.

24.

Vor der Ermächtigung zum Zugang zu EU-VS bestätigen alle betreffenden Personen schriftlich, dass sie sich ihrer Pflichten in Bezug auf den Schutz von EU-VS und der Folgen einer Kenntnisnahme von EU-VS durch Unbefugte bewusst sind. Der EAD verwahrt die Aufzeichnungen über derartige schriftliche Bestätigungen.

25.

Alle Personen, die zum Zugang zu EU-VS ermächtigt sind oder EU-VS bearbeiten müssen, werden in einer ersten Phase für Bedrohungen der Sicherheit sensibilisiert und später in regelmäßigen Abständen darüber belehrt; sie müssen alle von ihnen als verdächtig oder ungewöhnlich erachteten Anbahnungsversuche oder sonstigen Tätigkeiten unverzüglich den zuständigen Sicherheitsbehörden melden.

26.

Sämtliche Personen, denen der Zugang zu EU-VS gestattet wird, sind während des Zeitraums, in dem sie EU-VS bearbeiten, laufenden Maßnahmen des personellen Geheimschutzes zu unterziehen (d. h. laufende Betreuung). Für den laufenden personellen Geheimschutz verantwortlich sind

27.

Alle Personen, die nicht mehr mit Aufgaben betraut sind, die einen Zugang zu EU-VS erfordern, werden über ihre Pflichten in Bezug auf den fortgesetzten Schutz von EU-VS belehrt und haben diese gegebenenfalls schriftlich zu bestätigen.

28.

Aus Gründen der Dringlichkeit kann die Sicherheitsbehörde des EAD in Erwartung des Abschlusses einer umfassenden Sicherheitsüberprüfung nach Konsultation der nationalen Sicherheitsbehörde des Mitgliedstaats, dessen Staatsangehörigkeit die betreffende Person besitzt, und vorbehaltlich der Ergebnisse einer ersten Prüfung, mit der festgestellt werden soll, ob keine nachteiligen Erkenntnisse vorliegen, Beamten und sonstigen Bediensteten des EAD eine vorläufige Ermächtigung zum Zugang zu EU-VS für eine bestimmte Tätigkeit erteilen, wenn dies im dienstlichen Interesse gerechtfertigt ist. Eine umfassende Sicherheitsüberprüfung sollte so bald wie möglich durchgeführt werden. Solche vorläufigen Ermächtigungen gelten für höchstens sechs Monate und berechtigen nicht zum Zugang zu Verschlusssachen, die als „TRÈS SECRET UE/EU TOP SECRET“ eingestuft sind. Alle Personen, denen eine vorläufige Ermächtigung erteilt wurde, bestätigen schriftlich, dass sie sich ihrer Pflichten in Bezug auf den Schutz von EU-VS und der Folgen einer Kenntnisnahme von EU-VS durch Unbefugte bewusst sind. Der EAD verwahrt die Aufzeichnungen über derartige schriftliche Bestätigungen.

29.

Wird einer Person eine Tätigkeit zugewiesen, die eine PSC für Verschlusssachen erfordert, die einen eine Stufe höheren Geheimhaltungsgrad als denjenigen aufweisen, für den der Person die PSC ausgestellt wurde, so kann die Zuweisung dieser Tätigkeit vorläufig erfolgen, sofern

30.

Das vorstehend beschriebene Verfahren gilt für den einmaligen Zugang zu EU-VS, die einen eine Stufe höheren Geheimhaltungsgrad aufweisen als derjenige, für den die betreffende Person sicherheitsüberprüft wurde. Auf dieses Verfahren darf nicht regelmäßig zurückgegriffen werden.

31.

In besonderen Ausnahmefällen, wie bei Missionen in feindlicher Umgebung oder in Zeiten zunehmender internationaler Spannungen, wenn Sofortmaßnahmen ergriffen werden müssen, insbesondere zur Rettung von Menschenleben, können der Hohe Vertreter, die Sicherheitsbehörde des EAD oder die Generaldirektion Haushalt und Verwaltung Personen, die nicht über die erforderliche PSC verfügen, nach Möglichkeit schriftlich Zugang zu als „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder „SECRET UE/EU SECRET“ eingestuften Verschlusssachen gewähren, sofern eine derartige Erlaubnis absolut notwendig ist. Von dieser Erlaubnis wird eine Aufzeichnung aufbewahrt, in der die Verschlusssachen beschrieben werden, zu denen der Zugang genehmigt wurde.

32.

Im Falle von Verschlusssachen, die als „TRÈS SECRET UE/EU TOP SECRET“ eingestuft sind, wird diese Art des Zugangs in Ausnahmefällen auf Staatsangehörige der EU-Mitgliedstaaten beschränkt, die zum Zugang entweder zu nationalen Verschlusssachen, die dem Geheimhaltungsgrad „TRÈS SECRET UE/EU TOP SECRET“ entsprechen, oder zu Verschlusssachen des Geheimhaltungsgrads „SECRET UE/EU SECRET“ ermächtigt wurden.

33.

Der Sicherheitsausschuss des EAD wird über die Fälle unterrichtet, in denen auf das Verfahren nach den Nummern 31 und 32 zurückgegriffen wird.

34.

Der Sicherheitsausschuss des EAD erhält einen jährlichen Bericht über die Inanspruchnahme der in diesem Abschnitt beschriebenen Verfahren.

35.

Personen, die an Sitzungen in der Zentrale des EAD und den Delegationen der Union teilnehmen sollen, in deren Rahmen als „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder höher eingestufte Verschlusssachen erörtert werden, darf die Teilnahme nur dann gestattet werden, wenn bestätigt wurde, dass sie angemessen sicherheitsüberprüft sind. Im Falle von Vertretern der Mitgliedstaaten, Beamten des Generalsekretariats des Rates und der Kommission wird eine Sicherheitsüberprüfungsbescheinigung oder ein anderer Nachweis einer PSC der für Sicherheit zuständigen Direktion des EAD bzw. dem Sicherheitskoordinator der Delegation der Union von den zuständigen Behörden übermittelt oder ausnahmsweise von der betreffenden Person vorgelegt. Gegebenenfalls kann eine konsolidierte Namensliste verwendet werden, die den einschlägigen Nachweis der PSC enthält.

36.

Wird einer Person, deren Aufgaben die Teilnahme an Sitzungen in der Zentrale des EAD oder Delegationen der Union erfordern, in deren Rahmen als „CONFIDENTIEL UE/EU CONFIDENTIAL“ und höher eingestufte Verschlusssachen erörtert werden, die PSC für den Zugang zu EU-VS entzogen, so setzt die zuständige Behörde den EAD davon in Kenntnis.

37.

Werden Personen unter Umständen beschäftigt, unter denen sie möglicherweise Zugang zu Verschlusssachen des Geheimhaltungsgrads „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder höher haben könnten, müssen sie angemessen sicherheitsüberprüft sein oder jederzeit begleitet werden.

38.

Boten, Sicherheitsbedienstete und Begleitpersonen müssen für den entsprechenden Geheimhaltungsgrad sicherheitsüberprüft oder auf andere Weise gemäß den innerstaatlichen Rechtsvorschriften angemessen überprüft sein und regelmäßig über die Sicherheitsverfahren zum Schutz von EU-VS sowie über ihre Pflichten zum Schutz der ihnen anvertrauten oder ihnen unbeabsichtigt zugänglich gewordenen Verschlusssachen belehrt werden.

1.

Dieser Anhang enthält die Bestimmungen zur Anwendung von Anhang A Artikel 6. Er legt Mindestanforderungen an den materiellen Schutz von Gebäuden, Büros, Räumen und sonstigen Bereichen fest, in denen EU-VS bearbeitet und aufbewahrt werden, einschließlich Bereichen, in denen Kommunikations- und Informationssysteme untergebracht sind.

2.

Die Maßnahmen des materiellen Geheimschutzes zielen darauf ab, den unbefugten Zugang zu EU-VS zu verhindern, indem

3.

Der EAD wendet einen Risikomanagementprozess zum Schutz von EU-VS in den betreffenden Räumlichkeiten, um dafür zu sorgen, dass der Umfang des materiellen Schutzes dem festgestellten Risiko entspricht. Der Risikomanagementprozess trägt allen relevanten Faktoren Rechnung, insbesondere:

4.

Die Sicherheitsbehörde des EAD legt unter Anwendung des Konzepts der mehrschichtigen Sicherheit eine angemessene Kombination erforderlicher Maßnahmen des materiellen Geheimschutzes fest. Dies kann eine oder mehrere der folgenden Maßnahmen umfassen:

5.

Die für Sicherheit zuständige Direktion des EAD kann Durchsuchungen an den Ein- und Ausgängen vornehmen, um damit vom unbefugten Verbringen von Material in Räumlichkeiten oder Gebäude oder von der unbefugten Mitnahme von EU-VS aus Räumlichkeiten oder Gebäuden abzuschrecken.

6.

Besteht die Gefahr einer — auch versehentlichen — unzulässigen Einsicht in EU-VS, so werden geeignete Maßnahmen ergriffen, um dieser Gefahr entgegenzuwirken.

7.

Bei neuen Anlagen müssen die Anforderungen hinsichtlich des materiellen Geheimschutzes und deren funktionale Spezifikationen bei der Planung und Konzeption der Anlagen festgelegt werden. Bei bestehenden Anlagen müssen die Anforderungen hinsichtlich des materiellen Geheimschutzes möglichst weitgehend umgesetzt werden.

8.

Bei der Beschaffung von Ausrüstung (wie Sicherheitsbehältnissen, Aktenvernichtern, Türschlössern, elektronischen Zugangskontrollsystemen, Einbruchsmeldeanlagen, Alarmsystemen) für den materiellen Schutz von EU-VS stellt die Sicherheitsbehörde des EAD sicher, dass die Ausrüstung den genehmigten technischen Standards und Mindestanforderungen entspricht.

9.

Die technischen Spezifikationen der Ausrüstung, die zum materiellen Schutz von EU-VS eingesetzt werden soll, werden in Sicherheitsleitlinien festgehalten, die vom Sicherheitsausschuss des EAD gebilligt werden.

10.

Die Sicherheitssysteme müssen in regelmäßigen Abständen inspiziert werden; die Ausrüstung muss regelmäßig gewartet werden. Bei den Wartungsarbeiten ist dem Ergebnis der Inspizierungen Rechnung zu tragen, damit ein optimales Funktionieren der betreffenden Ausrüstung weiterhin gewährleistet ist.

11.

Die Wirksamkeit der einzelnen Sicherheitsmaßnahmen und des gesamten Sicherheitssystems ist bei jeder Inspektion zu überprüfen.

12.

Zum materiellen Schutz von EU-VS werden zwei Arten von durch Maßnahmen des materiellen Geheimschutzes geschützten Bereichen bzw. entsprechenden Bereichen auf nationaler Ebene eingerichtet:

13.

Die Sicherheitsbehörde des EAD legt fest, ob ein bestimmter Bereich die Anforderungen für eine Ausweisung als Verwaltungsbereich, als abgesicherter Bereich oder als technisch abgesicherter Bereich erfüllt.

14.

Für Verwaltungsbereiche gilt Folgendes:

15.

Für abgesicherte Bereiche gilt Folgendes:

16.

Wenn das Betreten eines abgesicherten Bereichs de facto den unmittelbaren Zugang zu den darin enthaltenen Verschlusssachen ermöglicht, sind außerdem folgende Anforderungen zu erfüllen:

17.

Abgesicherte Bereiche mit Abhörschutz sind als technisch abgesicherte Bereiche auszuweisen. Es gelten die folgenden zusätzlichen Anforderungen:

18.

Ungeachtet der Nummer 17 Buchstabe d müssen alle Kommunikationsgeräte und elektrischen oder elektronischen Geräte vor ihrer Nutzung in Bereichen, in denen Sitzungen oder Arbeiten im Zusammenhang mit Verschlusssachen des Geheimhaltungsgrads „SECRET UE/EU SECRET“ und höher stattfinden, sowie in Fällen, in denen die Gefährdung von EU-VS als hoch eingeschätzt wird, vorab von der Sicherheitsbehörde des EAD untersucht werden, um sicherzustellen, dass mit diesen Geräten keine verständlichen Informationen auf unbeabsichtigte oder unzulässige Weise aus dem betreffenden abgesicherten Bereich nach außen übermittelt werden können.

19.

Abgesicherte Bereiche, die nicht rund um die Uhr von Dienst tuendem Personal besetzt sind, sind gegebenenfalls unmittelbar nach den üblichen Arbeitszeiten und in unregelmäßigen Abständen außerhalb der üblichen Arbeitszeiten zu inspizieren, es sei denn, es wird eine Einbruchsmeldeanlage verwendet.

20.

Innerhalb eines Verwaltungsbereichs können zeitweilig abgesicherte Bereiche oder technisch abgesicherte Bereiche im Hinblick auf eine geheimhaltungsbedürftige Sitzung oder einen anderen ähnlichen Zweck eingerichtet werden.

21.

Für jeden abgesicherten Bereich werden sicherheitsbezogene Betriebsverfahren aufgestellt, die Folgendes regeln:

22.

In abgesicherten Bereichen werden Tresorräume eingebaut. Wände, Böden, Decken, Fenster und verschließbare Türen müssen von der Sicherheitsbehörde des EAD zugelassen werden und einen Schutz bieten, der dem eines Sicherheitsbehältnisses entspricht, das für die Aufbewahrung von EU-VS desselben Geheimhaltungsgrads zugelassen ist.

23.

EU-VS des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“ dürfen in folgenden Bereichen bearbeitet werden:

24.

EU-VS des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“ sind in geeigneten, verschließbaren Büromöbeln in einem Verwaltungsbereich oder einem abgesicherten Bereich aufzubewahren. Sie können zeitweilig außerhalb eines abgesicherten Bereichs oder eines Verwaltungsbereichs aufbewahrt werden, sofern der Besitzer sich verpflichtet hat, besondere Maßnahmen einzuhalten, die in den Sicherheitsanweisungen der Sicherheitsbehörde des EAD niedergelegt sind.

25.

EU-VS der Geheimhaltungsgrade „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder „SECRET UE/EU SECRET“ dürfen in folgenden Bereichen bearbeitet werden:

26.

EU-VS der Geheimhaltungsgrade „CONFIDENTIEL UE/EU CONFIDENTIAL“ und „SECRET UE/EU SECRET“ werden in einem abgesicherten Bereich in einem Sicherheitsbehältnis oder in einem Tresorraum aufbewahrt.

27.

EU-VS des Geheimhaltungsgrads „TRES SECRET UE/EU TOP SECRET“ werden in einem abgesicherten Bereich bearbeitet.

28.

EU-VS des Geheimhaltungsgrads „TRES SECRET UE/EU TOP SECRET“ sind in der Zentrale des EAD in einem abgesicherten Bereich unter einer der folgenden Bedingungen aufzubewahren:

29.

Die Vorschriften über die Beförderung von EU-VS außerhalb von materiell geschützten Bereichen sind in Anhang A III enthalten.

30.

Die Sicherheitsbehörde des EAD legt Verfahren für die Verwaltung der Schlüssel und Kombinationen für Büros, Räume, Tresorräume und Sicherheitsbehältnisse fest. Diese Verfahren müssen Schutz vor unbefugtem Zugang gewähren.

31.

Der Kreis der Personen, denen die Kombinationen zur Kenntnis gegeben werden, ist so weit wie möglich zu begrenzen. Die Kombinationen für Sicherheitsbehältnisse und Tresorräume, in denen EU-VS aufbewahrt werden, werden geändert

1.

Dieser Anhang enthält die Bestimmungen zur Anwendung von Anhang A Artikel 7.Darin werden die Verwaltungsmaßnahmen zur Überwachung von EU-VS während der gesamten Dauer ihrer Einstufung als EU-VS mit dem Ziel festgelegt, die beabsichtigte oder unbeabsichtigte Kenntnisnahme dieser Verschlusssachen durch Unbefugte bzw. den Verlust dieser Verschlusssachen zu verhindern oder aufzudecken oder Maßnahmen zur Wiederherstellung der Sicherheit zu treffen.

2.

Informationen werden als Verschlusssache eingestuft, wenn sie hinsichtlich ihrer Vertraulichkeit zu schützen sind.

3.

Der Herausgeber einer EU-VS ist dafür zuständig, nach Maßgabe der einschlägigen Einstufungsleitlinien den Geheimhaltungsgrad und den Empfängerkreis der Informationen zu bestimmen.

4.

Der Geheimhaltungsgrad einer EU-VS ist nach Anhang A Artikel 2 Absatz 2 und unter Bezugnahme auf die gemäß Anhang A Artikel 3 Absatz 3 zu billigenden Sicherheitsleitlinien festzulegen.

5.

Für Verschlusssachen der Mitgliedstaaten, die mit dem EAD ausgetauscht werden, wird dasselbe Schutzniveau gewährt wie für EU-VS des entsprechenden Geheimhaltungsgrads. Eine Entsprechungstabelle findet sich in Anlage B dieses Beschlusses.

6.

Der Geheimhaltungsgrad und gegebenenfalls das Datum oder das spezielle Ereignis, nach dem der Geheimhaltungsgrad herabgestuft oder aufgehoben werden kann, sind eindeutig und richtig anzugeben, unabhängig davon, ob die EU-VS in Papierformat oder in mündlicher, elektronischer oder anderer Form vorliegt.

7.

Einzelne Teile eines bestimmten Dokuments (d. h. Seiten, Absätze, Abschnitte, Anhänge oder sonstige Anlagen) können eine unterschiedliche Einstufung erforderlich machen und sind entsprechend zu kennzeichnen, auch bei Aufbewahrung in elektronischer Form.

8.

Dokumente, die Teile mit unterschiedlichen Geheimhaltungsgraden umfassen, sollten möglichst so untergliedert werden, dass Teile mit verschiedenen Geheimhaltungsgraden leicht zu erkennen sind und gegebenenfalls abgetrennt werden können.

9.

Der Geheimhaltungsgrad des Gesamtdokuments oder der Datei entspricht mindestens dem Geheimhaltungsgrad seines/ihres am höchsten eingestuften Teils. Werden Informationen aus verschiedenen Quellen zusammengestellt, so wird die endgültige Fassung durchgesehen, um den grundsätzlichen Geheimhaltungsgrad zu bestimmen, da sie einen höheren Geheimhaltungsgrad als für die einzelnen Bestandteile nötig erfordern kann.

10.

Ein Begleitschreiben oder ein Übermittlungsvermerk samt Anlagen ist so hoch einzustufen wie die am höchsten eingestufte Anlage. Der Herausgeber muss anhand einer entsprechenden Kennzeichnung klar angeben, welcher Geheimhaltungsgrad für das Begleitschreiben bzw. den Übermittlungsvermerk gilt, wenn diesem die Anlagen nicht beigefügt sind, z. B.:

CONFIDENTIEL UE/EU CONFIDENTIAL

Ohne Anlage(n) RESTREINT UE/EU RESTRICTED

11.

Zusätzlich zu einer der Kennzeichnungen nach Anhang A Artikel 2 Absatz 2 können EU-VS mit zusätzlichen Kennzeichnungen versehen sein, wie z. B.:

12.

Im Anschluss an die Entscheidung über die Weitergabe von EU-VS an einen Drittstaat oder eine internationale Organisation übermittelt die für Sicherheit zuständige Direktion des EAD das betreffende Dokument, auf dem durch eine Weitergabekennzeichnung angegeben wird, an welchen Drittstaat oder welche internationale Organisation es weiterzugeben ist.

13.

Die Sicherheitsbehörde des EAD verabschiedet die Liste der zugelassenen Kennzeichnungen.

14.

Standardmäßig abgekürzte Einstufungskennzeichnungen können verwendet werden, um den Geheimhaltungsgrad einzelner Absätze eines Textes auszuweisen. Die Abkürzungen ersetzen nicht die vollständigen Einstufungskennzeichnungen.

15.

In EU-VS können folgende Standardabkürzungen verwendet werden, um den Geheimhaltungsgrad von Textabschnitten oder Textteilen von weniger als einer Seite anzugeben:

16.

Bei der Erstellung einer EU-VS

17.

Ist eine Anwendung der Nummer 16 auf EU-VS nicht möglich, so sind im Einklang mit nach diesem Beschluss festzulegenden Sicherheitsleitlinien andere geeignete Maßnahmen anzuwenden.

18.

Der Herausgeber teilt, sofern möglich und insbesondere bei Verschlusssachen mit dem Geheimhaltungsgrad „RESTREINT UE/EU RESTRICTED“, zum Zeitpunkt der Erstellung einer EU-VS mit, ob deren Geheimhaltungsgrad zu einem bestimmten Datum oder im Anschluss an ein bestimmtes Ereignis herabgestuft oder aufgehoben werden kann.

19.

Der EAD überprüft regelmäßig die in seinem Besitz befindlichen EU-VS daraufhin, ob ihr Geheimhaltungsgrad weiterhin zutreffend ist. Der EAD legt ein System fest, mit dem der Geheimhaltungsgrad der von ihm herausgegebenen registrierten EU-VS mindestens alle fünf Jahre überprüft wird. Eine solche Überprüfung ist nicht erforderlich, wenn der Herausgeber bereits von vorneherein einen Zeitpunkt mitgeteilt hat, zu dem der Geheimhaltungsgrad der Informationen automatisch herabgestuft oder aufgehoben wird, und die Informationen entsprechend gekennzeichnet wurden.

20.

In der Zentrale des EAD wird eine Zentralregistratur eingerichtet. Für jede Stelle im EAD, in der EU-VS bearbeitet werden, wird eine der Zentralregistratur untergeordnete zuständige Registratur eingerichtet, damit bei der Bearbeitung von EU-VS die Einhaltung dieses Beschlusses gewährleistet wird. Die Registraturen werden als abgesicherte Bereiche im Sinne des Anhangs A eingerichtet.

Jede Delegation der Union richtet ihre eigene EU-VS-Registratur ein.

Die Sicherheitsbehörde des EAD ernennt einen Chief Registry Officer für diese Registraturen.

21.

Im Sinne dieses Beschlusses bezeichnet der Ausdruck „Registrierung zu Sicherheitszwecken“ (im Folgenden „Registrierung“) die Durchführung von Verfahren, bei denen jede Phase des Lebenszyklus der Informationen, auch deren Verbreitung und Vernichtung, aufgezeichnet wird. Im Falle eines Kommunikations- und Informationssystems können die Registrierungsverfahren durch Prozesse im Kommunikations- und Informationssystem selbst vorgenommen werden.

22.

Alle als „CONFIDENTIEL UE/EU CONFIDENTIAL“ und höher eingestuften Materialien sind zu registrieren, wenn sie in einer Verwaltungseinheit (einschließlich Delegationen der Union) eingehen oder diese verlassen. Als „TRÈS SECRET UE/EU TOP SECRET“ eingestufte Verschlusssachen werden in den benannten Registraturen registriert.

23.

Die Zentralregistratur in der EAD-Zentrale ist Haupteingangs- und Ausgangsstelle für den Austausch von Verschlusssachen mit Drittstaaten und internationalen Organisationen. Sie verwahrt Aufzeichnungen über jeden Austausch.

24.

Die Sicherheitsbehörde des EAD billigt im Einklang mit Artikel 14 dieses Beschlusses Sicherheitsleitlinien in Bezug auf die Registrierung von EU-VS zu Sicherheitszwecken.

25.

Die Zentralregistratur in der EAD-Zentrale wird als zentrale Eingangs- und Ausgangsstelle für als „TRÈS SECRET UE/EU TOP SECRET“ eingestufte Verschlusssachen benannt. Sofern erforderlich, können nachgeordnete Registraturen zur Bearbeitung dieser Verschlusssachen zu Registrierungszwecken bestimmt werden.

26.

Diese nachgeordneten Registraturen dürfen als „TRÈS SECRET UE/EU TOP SECRET“ eingestufte Dokumente nicht unmittelbar an andere nachgeordnete Registraturen derselben zentralen „TRÈS SECRET UE/EU TOP SECRET“-Registratur oder anderweitig übermitteln, ohne dass diese ihre ausdrückliche schriftliche Zustimmung erteilt hat.

27.

Ohne vorherige schriftliche Zustimmung des Herausgebers dürfen als „TRÈS SECRET UE/EU TOP SECRET“ eingestufte Dokumente weder kopiert noch übersetzt werden.

28.

Hat der Herausgeber von als „SECRET UE/EU SECRET“ und niedriger eingestuften Dokumenten keine Einschränkungen hinsichtlich der Anfertigung von Kopien oder Übersetzungen auferlegt, so können diese Dokumente auf Anweisung des Besitzers kopiert bzw. übersetzt werden.

29.

Die für das Originaldokument geltenden Sicherheitsmaßnahmen finden auf Kopien und Übersetzungen dieses Dokuments Anwendung. Die Kopien von als „CONFIDENTIEL UE/EU CONFIDENTIAL“ eingestuften Dokumenten dürfen nur von einer zuständigen (nachgeordneten) Registratur auf einem gesicherten Kopiergerät erstellt werden. Die Kopien müssen registriert werden.

30.

Für die Beförderung von EU-VS gelten die Schutzmaßnahmen nach den Nummern 32 bis 42. Bei der Beförderung von EU-VS auf elektronischen Datenträgern können ungeachtet Anhang A Artikel 7 Absatz 4 die nachstehend beschriebenen Schutzmaßnahmen entsprechend den Weisungen der Sicherheitsbehörde des EAD durch geeignete technische Abwehrmaßnahmen ergänzt werden, damit das Risiko eines Verlusts oder der Kenntnisnahme durch Unbefugte so gering wie möglich gehalten wird.

31.

Die Sicherheitsbehörde des EAD erlässt Weisungen für die Beförderung von EU-VS nach Maßgabe dieses Beschlusses.

32.

EU-VS, die innerhalb eines Gebäudes oder einer geschlossenen Gebäudegruppe befördert werden, sind zu verpacken, damit keine Rückschlüsse auf ihren Inhalt möglich sind.

33.

Innerhalb eines Gebäudes oder einer geschlossenen Gebäudegruppe werden Verschlusssachen des Geheimhaltungsgrads „TRÈS SECRET UE/EU TOP SECRET“ von angemessen sicherheitsüberprüften Personen in einem gesicherten Umschlag befördert, auf dem lediglich der Name des Empfängers angegeben ist.

34.

EU-VS, die zwischen Gebäuden oder Räumlichkeiten innerhalb der EU befördert werden, sind so zu verpacken, dass sie vor unbefugter Offenlegung geschützt sind.

35.

Die Beförderung von Verschlusssachen bis zum Geheimhaltungsgrad „SECRET UE/EU SECRET“ innerhalb der EU erfolgt

Bei der Beförderung von einem Mitgliedstaat in einen anderen wird Buchstabe c lediglich auf Verschlusssachen bis zum Geheimhaltungsgrad „CONFIDENTIEL UE/EU CONFIDENTIAL“ angewendet.

36.

Als „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder „SECRET UE/EU SECRET“ eingestufte Materialien (beispielsweise Geräte oder Maschinen), die nicht mit den unter Nummer 34 aufgeführten Beförderungsmitteln befördert werden können, werden nach Maßgabe des Anhangs A V von gewerblichen Beförderungsunternehmen als Fracht befördert.

37.

Die Beförderung von als „TRES SECRET UE/EU TOP SECRET“ eingestuften Verschlusssachen zwischen Gebäuden oder Räumlichkeiten innerhalb der EU erfolgt je nach Sachlage durch militärischen, diplomatischen oder Regierungskurier.

38.

EU-VS, die aus der EU in das Hoheitsgebiet eines Drittstaats oder zwischen EU-Einrichtungen in Drittstaaten befördert werden, sind so zu verpacken, dass sie vor unbefugter Offenlegung geschützt sind.

39.

Die Beförderung von Verschlusssachen der Geheimhaltungsgrade „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder „SECRET UE/EU SECRET“ aus der EU in das Hoheitsgebiet eines Drittstaats und die Beförderung von EU-VS bis zum Geheimhaltungsgrad „SECRET UE/EU SECRET“ zwischen EU-Einrichtungen in Drittstaaten erfolgt

40.

Die Beförderung von Verschlusssachen der Geheimhaltungsgrade „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder „SECRET UE/EU SECRET“ aus der EU in einen Drittstaat oder zu einer internationalen Organisation erfolgt nach den einschlägigen Bestimmungen eines Geheimschutzabkommens oder einer Verwaltungsvereinbarung nach Anhang A Artikel 10 Absatz 2.

41.

Verschlusssachen des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“ dürfen auch aus der EU in das Hoheitsgebiet eines Drittstaats durch Postdienste oder private Kurierdienste befördert werden.

42.

Die Beförderung von Verschlusssachen des Geheimhaltungsgrads „TRÈS SECRET UE/EU TOP SECRET“ aus der EU in das Hoheitsgebiet eines Drittstaats oder zwischen EU-Einrichtungen in Drittstaaten erfolgt durch militärischen oder diplomatischen Kurier.

43.

Nicht mehr benötigte EU-Verschlusssachen können unbeschadet der einschlägigen Vorschriften über die Archivierung vernichtet werden.

44.

Registrierungspflichtige Dokumente nach Anhang A Artikel 7 Absatz 2 werden von der zuständigen Registratur auf Anweisung des Besitzers oder einer zuständigen Behörde vernichtet. Die Dienstbücher und sonstigen Registrierungsinformationen werden entsprechend aktualisiert.

45.

Bei Dokumenten des Geheimhaltungsgrads „SECRET UE/EU SECRET“ oder „TRÈS SECRET UE/EU TOP SECRET“ erfolgt die Vernichtung im Beisein eines Zeugen, der mindestens für den Geheimhaltungsgrad des zu vernichtenden Dokuments sicherheitsüberprüft ist.

46.

Der Registerführer und der Zeuge — falls dessen Anwesenheit erforderlich ist — unterschreiben eine Vernichtungsbescheinigung, die in der Registratur abgelegt wird. Die Registratur bewahrt die Vernichtungsbescheinigungen von Dokumenten des Geheimhaltungsgrads „TRÈS SECRET UE/EU TOP SECRET“ mindestens zehn Jahre lang und von Dokumenten der Geheimhaltungsgrade „CONFIDENTIEL UE/EU CONFIDENTIAL“ und „SECRET UE/EU SECRET“ mindestens fünf Jahre lang auf.

47.

Verschlusssachen, auch Verschlusssachen des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“, werden nach Verfahren vernichtet, die die einschlägigen EU-Standards oder gleichwertige Standards erfüllen oder die gemäß nationalen technischen Normen von den Mitgliedstaaten zugelassen worden sind, damit so einer vollständigen oder teilweisen Wiederherstellung vorgebeugt wird.

48.

Die Vernichtung elektronischer Datenträger, die für EU-VS verwendet wurden, erfolgt gemäß den von der Sicherheitsbehörde des EAD gebilligten Verfahren.

49.

Im Einklang mit Artikel 16 dieses Beschlusses umfassen Sicherheitsinspektionen des EAD

50.

Sicherheitsinspektionen des EAD werden von einem Inspektionsteam der für Sicherheit zuständigen Direktion des EAD durchgeführt, das gegebenenfalls von Sicherheitsexperten anderer EU-Organe oder der Mitgliedstaaten unterstützt wird.

Das Inspektionsteam hat Zugang zu jedem Ort, an dem EU-VS bearbeitet werden, insbesondere Registraturen und Zugangspunkten der Kommunikations- und Informationssysteme.

51.

Sicherheitsinspektionen des EAD in Delegationen der Union können erforderlichenfalls mit Unterstützung der Sicherheitsbeauftragten der Botschaften der Mitgliedstaaten in den betreffenden Drittstaaten durchgeführt werden.

52.

Die Sicherheitsbehörde des EAD nimmt vor Ablauf eines jeden Kalenderjahrs das Sicherheitsinspektionsprogramm des EAD für das Folgejahr an.

53.

Erforderlichenfalls kann die Sicherheitsbehörde des EAD Sicherheitsinspektionen veranlassen, die nicht in diesem Programm vorgesehen sind.

54.

Am Ende der Sicherheitsinspektion werden der inspizierten Einrichtung die wichtigsten Schlussfolgerungen und Empfehlungen vorgelegt. Anschließend erstellt das Inspektionsteam einen Inspektionsbericht. Wurden Abhilfemaßnahmen und Empfehlungen vorgeschlagen, so muss der Bericht hinreichende Einzelheiten zur Untermauerung der betreffenden Schlussfolgerungen enthalten. Der Bericht wird der Sicherheitsbehörde des EAD und dem Leiter der inspizierten Einrichtung übermittelt.

Unter der Verantwortung der für Sicherheit zuständigen Direktion des EAD wird regelmäßig ein Bericht erstellt, in dem die Erfahrungswerte, die sich aus den während eines bestimmten Zeitraums durchgeführten Inspektionen ergeben, dargelegt werden; dieser Bericht wird vom Sicherheitsausschuss des EAD geprüft.

55.

Die für Sicherheit zuständige Direktion des EAD kann gegebenenfalls Experten für die Beteiligung an gemeinsamen EU-Inspektionsteams benennen, die Sicherheitsinspektionen in den nach Titel V Kapitel 2 EUV geschaffenen Agenturen und Einrichtungen der EU durchführen.

56.

Die für Sicherheit zuständige Direktion des EAD erstellt eine Prüfliste für die Sicherheitsinspektionen des EAD und aktualisiert diese Liste. Diese Prüfliste wird dem Sicherheitsausschuss des EAD übermittelt.

57.

Die Informationen zum Ausfüllen der Prüfliste werden insbesondere während der Inspektion vom Sicherheitsmanagement der inspizierten Einrichtung eingeholt. Nachdem sie mit den ausführlichen Antworten ausgefüllt wurde, wird die Prüfliste im Benehmen mit der inspizierten Einrichtung als Verschlusssache eingestuft. Sie ist nicht Teil des Inspektionsberichts.

1.

Dieser Anhang enthält die Bestimmungen zur Anwendung von Anhang A Artikel 8.

2.

Die folgenden Eigenschaften und Konzepte der Informationssicherung sind für die Sicherheit und die ordnungsgemäße Durchführung von Operationen in Kommunikations- und Informationssystemen unerlässlich:

3.

Die nachstehenden Bestimmungen sind Ausgangsbasis für die Sicherheit eines jeden Kommunikations- und Informationssystems, in dem EU-VS bearbeitet werden. Detaillierte Anforderungen zur Durchführung dieser Bestimmungen werden in Sicherheitsleitlinien für die Informationssicherung festgelegt.

4.

Sicherheitsrisikomanagement ist ein integraler Bestandteil der Konzeption, der Entwicklung, des Betriebs und der Wartung von Kommunikations- und Informationssystemen. Das Risikomanagement (Bewertung, Behandlung, Akzeptanz und Kommunikation) wird als fortlaufender Prozess gemeinsam von Vertretern der Systemeigner, den für ein Projekt zuständigen Stellen, den für den Betrieb zuständigen Stellen und den Sicherheits-Zulassungsstellen durchgeführt; dabei wird ein bewährtes, transparentes und vollkommen verständliches Risikobewertungsverfahren durchgeführt. Der Umfang des Kommunikations- und Informationssystems und seine Werte müssen gleich zu Beginn des Risikomanagementprozesses klar umrissen sein.

5.

Die zuständigen Stellen des EAD müssen die potenziellen Bedrohungen für Kommunikations- und Informationssysteme überprüfen und über stets aktuelle und genaue Risikobewertungen entsprechend dem jeweiligen betrieblichen Umfeld verfügen. Sie halten ihre Kenntnisse über potenzielle Schwachstellen stets auf dem neuesten Stand und überprüfen regelmäßig die Bewertung der Schwachstellen, um den sich ändernden IT-Gegebenheiten Rechnung zu tragen.

6.

Das Ziel des Sicherheitsrisikomanagements muss darin bestehen, ein Paket von Sicherheitsmaßnahmen anzuwenden, die zu einer zufriedenstellenden Ausgewogenheit zwischen den Anforderungen der Nutzer und dem Sicherheitsrestrisiko führen.

7.

Die spezifischen Anforderungen, der Maßstab und Grad der Detaillierung, die von der einschlägigen Sicherheitsakkreditierungsstelle (Security Accreditation Authority — SAA) zur Akkreditierung eines Kommunikations- und Informationssystems festgelegt werden, müssen dem festgestellten Risiko entsprechen; dabei ist allen relevanten Faktoren Rechnung zu tragen, darunter dem Geheimhaltungsgrad der EU-VS, die in dem Kommunikations- und Informationssystem bearbeitet werden. Zur Akkreditierung gehören eine förmliche Erklärung zum Restrisiko und die Akzeptanz des Restrisikos durch eine zuständige Stelle.

8.

Die Gewährleistung der Sicherheit ist während des gesamten Lebenszyklus eines Kommunikations- und Informationssystems ab der Einführung bis zur Außerbetriebstellung erforderlich.

9.

Die Rolle aller an einem Kommunikations- und Informationssystem Beteiligten und deren Interaktion hinsichtlich der Sicherheit des Systems werden für jede Phase des Lebenszyklus definiert.

10.

Jegliches CIS einschließlich seiner technischen und nicht technischen Sicherheitsmaßnahmen wird während des Akkreditierungsprozesses Sicherheitsprüfungen unterzogen, damit gewährleistet ist, dass bei den implementierten Sicherheitsmaßnahmen das entsprechende Sicherheitsniveau erreicht wird, und überprüft wird, ob sie korrekt implementiert, integriert und konfiguriert werden.

11.

Sicherheitsbewertungen, -inspektionen und -prüfungen werden während des Betriebs eines Kommunikations- und Informationssystems und während Wartungsarbeiten in regelmäßigen Abständen sowie im Falle außergewöhnlicher Umstände durchgeführt.

12.

Die Sicherheitsdokumentation für ein Kommunikations- und Informationssystem wird während dessen Lebenszyklus als integraler Bestandteil des Prozesses eines Änderungs- und Konfigurationsmanagements weiterentwickelt.

13.

Der EAD arbeitet mit dem Generalsekretariat des Rates, der Kommission und den Mitgliedstaaten zusammen, um optimale Vorgehensweisen für den Schutz von EU-VS, die in Kommunikations- und Informationssystemen bearbeitet werden, zu entwickeln. Leitlinien zu optimalen Vorgehensweisen enthalten Sicherheitsmaßnahmen in den Bereichen Technik, materieller Schutz, Organisation und Verfahren für Kommunikations- und Informationssysteme, deren Effizienz bei der Abwehr von Bedrohungen und der Behebung von Schwachstellen belegt ist.

14.

Für den Schutz von EU-VS, die in Kommunikations- und Informationssystemen bearbeitet werden, sind die Erfahrungen derjenigen Stellen innerhalb und außerhalb der EU, die im Bereich Informationssicherung tätig sind, heranzuziehen.

15.

Die Verbreitung und anschließende Anwendung optimaler Vorgehensweisen soll dazu beitragen, dass ein gleichwertiges Sicherheitsniveau für die verschiedenen, vom EAD betriebenen Kommunikations- und Informationssysteme erreicht wird, in denen EU-VS bearbeitet werden.

16.

Um das Risiko bei Kommunikations- und Informationssystemen zu verringern, wird eine Reihe von technischen und nicht technischen Sicherheitsmaßnahmen in Form eines mehrschichtigen Abwehrsystems durchgeführt. Dazu gehören

a)    Abschreckung : Sicherheitsmaßnahmen, mit denen darauf abgezielt wird, Gegner von einer Planung von Angriffen auf das Kommunikations- und Informationssystem abzuhalten;

b)    Prävention : Sicherheitsmaßnahmen, mit denen darauf abgezielt wird, einen Angriff auf das Kommunikations- und Informationssystem zu verhindern oder abzublocken;

c)    Erkennung : Sicherheitsmaßnahmen, mit denen darauf abgezielt wird, einen Angriff auf das Kommunikations- und Informationssystem zu erkennen;

d)    Widerstandsfähigkeit : Sicherheitsmaßnahmen, mit denen darauf abgezielt wird, die Auswirkungen eines Angriffes auf möglichst wenige Informationen oder Komponenten des CIS zu begrenzen und weiteren Schaden zu verhindern;

e)    Wiederherstellung : Sicherheitsmaßnahmen, mit denen darauf abgezielt wird, für das Kommunikations- und Informationssystem eine Situation der Sicherheit wiederherzustellen.

Wie streng diese Sicherheitsmaßnahmen zu sein haben und in welchen Fällen sie zur Anwendung kommen, wird durch eine Risikobewertung bestimmt.

17.

Die zuständigen Stellen des EAD tragen dafür Sorge, dass sie auf Zwischenfälle, die die Grenzen einer Organisation oder eines Staates überschreiten können, reagieren können, damit die Reaktionen koordiniert und Informationen über diese Zwischenfälle und damit zusammenhängende Risiken ausgetauscht werden (Computer-Notfall-Reaktionsfähigkeit).

18.

Nur die für die operativen Anforderungen unbedingt notwendigen Funktionen, Geräte und Dienste werden implementiert, damit unnötige Risiken vermieden werden.

19.

Nutzer von Kommunikations- und Informationssystemen und automatisierten Verfahrensabläufen erhalten nur den Zugang, die Berechtigung oder die Ermächtigungen, die für die Erfüllung ihrer Aufgaben erforderlich sind, damit der Schaden, der durch Zwischenfälle, Fehler oder die unbefugte Nutzung von Ressourcen des Kommunikations- und Informationssystems entstehen kann, begrenzt wird.

20.

Die von einem Kommunikations- und Informationssystem durchgeführten Registrierungsverfahren werden, soweit erforderlich, als Teil des Akkreditierungsverfahrens überprüft.

21.

Die Sensibilisierung für die Risiken und die zur Verfügung stehenden Sicherheitsmaßnahmen ist die erste Verteidigungslinie in Bezug auf die Sicherheit von Kommunikations- und Informationssystemen. Insbesondere sollte sich das gesamte Personal, das mit einem Kommunikations- und Informationssystem während dessen Lebenszyklus befasst ist, einschließlich der Nutzer, über Folgendes bewusst sein:

22.

Damit sichergestellt ist, dass die Verantwortlichkeiten für die Sicherheit bekannt sind, sind die Schulung und Sensibilisierung in Bezug auf Informationssicherung für das gesamte beteiligte Personal, einschließlich des Führungspersonals und der Nutzer von Kommunikations- und Informationssystemen, obligatorisch.

23.

Das erforderliche Maß an Vertrauen in die Sicherheitsmaßnahmen, das als Niveau der Vertrauenswürdigkeit definiert wird, wird aufgrund der Ergebnisse des Risikomanagementprozesses und entsprechend den einschlägigen Sicherheitskonzepten und Sicherheitsleitlinien bestimmt.

24.

Das Vertrauenswürdigkeitsniveau wird geprüft, indem international anerkannte oder national genehmigte Verfahren und Methoden angewandt werden. Dazu gehören in erster Linie Evaluierung, Kontrollen und Betriebsanalysen.

25.

Kryptografische Produkte zum Schutz von EU-VS werden von einer nationalen Krypto-Zulassungsstelle (Crypto Approval Authority — CAA) eines Mitgliedstaats bewertet und zugelassen.

26.

Bevor kryptografische Produkte der CAA des EAD gemäß Artikel 8 Absatz 5 dieses Beschlusses zur Zulassung empfohlen werden, müssen sie eine Bewertung durch eine zweite Stelle, und zwar eine qualifizierte Behörde (Appropriately Qualified Authority — AQUA) eines Mitgliedstaats, die nicht an der Konzeption oder Herstellung der Ausrüstung beteiligt ist, erfolgreich durchlaufen. Wie detailliert bei einer Zweitevaluierung zu prüfen ist, hängt von dem angestrebten höchsten Geheimhaltungsgrad der EU-VS ab, die mit diesen Produkten geschützt werden sollen.

27.

Wenn dies aus spezifischen operativen Gründen gerechtfertigt ist, kann die CAA des EAD auf Empfehlung des Sicherheitsausschusses des Rates auf die Anforderungen nach den Nummern 25 oder 26 verzichten und eine vorläufige Zulassung für einen bestimmten Zeitraum gemäß dem Verfahren nach Artikel 8 Absatz 5 dieses Beschlusses erteilen.

28.

Eine AQUA ist eine CAA eines Mitgliedstaats, die auf der Grundlage vom Rat festgelegter Kriterien dafür akkreditiert wurde, die Zweitevaluierung von kryptografischen Produkten zum Schutz von EU-VS vorzunehmen.

29.

Der Hohe Vertreter billigt ein Sicherheitskonzept in Bezug auf die Eignung und Zulassung von nicht-kryptografischen IT-Sicherheitsprodukten.

30.

Ungeachtet der Bestimmungen dieses Beschlusses kann, wenn EU-VS innerhalb abgesicherter Bereiche oder Verwaltungsbereiche übermittelt werden, eine nicht verschlüsselte Übermittlung oder eine Verschlüsselung auf einer niedrigeren Stufe unter Zugrundelegung der Ergebnisse eines Risikomanagementprozesses und vorbehaltlich der Zustimmung der SAA erfolgen.

31.

Im Sinne dieses Beschlusses ist eine Systemzusammenschaltung die direkte Verbindung von zwei oder mehr IT-Systemen für die gemeinsame Nutzung von Daten und anderen Informationsressourcen (beispielsweise Kommunikation); die Verbindung kann unidirektional oder multidirektional sein.

32.

Ein Kommunikations- und Informationssystem muss jedes angeschlossene IT-System zunächst als nicht vertrauenswürdig behandeln und Schutzmaßnahmen durchführen, um den Austausch von Verschlusssachen zu kontrollieren.

33.

Bei der Zusammenschaltung eines Kommunikations- und Informationssystems mit einem anderen IT-System müssen stets die folgenden grundlegenden Anforderungen erfüllt sein:

34.

Es darf keine Zusammenschaltung zwischen einem akkreditierten Kommunikations- und Informationssystem und einem ungeschützten oder öffentlichen Netz geben, außer wenn das Kommunikations- und Informationssystem über zugelassene BPS verfügt, die zu diesem Zweck zwischen dem Kommunikations- und Informationssystem und dem ungeschützten oder öffentlichen Netz installiert wurden. Die Sicherheitsmaßnahmen für einen derartigen Verbund werden von der zuständigen Stelle für Informationssicherung (Information Assurance Authority — IAA) überprüft und von der zuständigen SAA genehmigt.

Wenn das ungeschützte oder öffentliche Netz lediglich als Träger verwendet wird und die Daten durch ein gemäß Artikel 8 Absatz 5 dieses Beschlusses zugelassenes kryptografisches Produkt verschlüsselt werden, gilt eine derartige Verbindung nicht als Zusammenschaltung.

35.

Die direkte oder kaskadierte Zusammenschaltung eines Kommunikations- und Informationssystems, das für die Bearbeitung von Verschlusssachen des Geheimhaltungsgrads „TRÈS SECRET UE/EU TOP SECRET“ akkreditiert ist, mit einem ungeschützten oder öffentlichen Netz ist untersagt.

36.

Die Vernichtung elektronischer Datenträger erfolgt nach Verfahren, die von der Sicherheitsbehörde des EAD genehmigt wurden.

37.

Für die Wiederverwendung elektronischer Datenträger und für die Herabstufung oder Aufhebung ihres Geheimhaltungsgrads gelten die nach Artikel 8 Absatz 2 dieses Beschlusses festzulegenden Sicherheitsleitlinien.

38.

Unbeschadet der Bestimmungen dieses Beschlusses können in Notsituationen wie beispielsweise drohenden oder bereits eingetretenen Krisen, Konflikten, Kriegssituationen oder im Fall besonderer operativer Umstände die nachstehend beschriebenen besonderen Verfahren für einen befristeten Zeitraum angewandt werden.

39.

EU-VS können mithilfe kryptografischer Produkte, die für einen niedrigeren Geheimhaltungsgrad zugelassen sind, oder mit Zustimmung der zuständigen Behörde unverschlüsselt übermittelt werden, wenn eine Verzögerung einen Schaden verursachen würde, der deutlich größer wäre als der Schaden, der durch eine Offenlegung des als Verschlusssache eingestuften Materials entstehen würde, und wenn

40.

Verschlusssachen, die unter den unter Nummer 39 erläuterten Umständen übermittelt werden, sind nicht mit Kennzeichnungen oder Angaben zu versehen, die sie von nicht als Verschlusssache eingestuften Informationen oder solchen unterscheiden, die mit einem zur Verfügung stehenden kryptografischen Produkt geschützt werden können. Die Empfänger werden auf anderem Weg unverzüglich über den Geheimhaltungsgrad unterrichtet.

41.

Wird gemäß Nummer 39 vorgegangen, ist der Direktion Sicherheit des EAD anschließend Bericht zu erstatten, die wiederum den Sicherheitsausschuss des EAD unterrichtet. In diesem Bericht werden mindestens der Absender, der Empfänger und der Herausgeber jeder EU-VS angegeben.

42.

Folgende Funktionen im Bereich der Informationssicherung werden im EAD eingerichtet. Hierfür sind keine zentralen organisatorischen Einheiten erforderlich. Für die einzelnen Funktionen werden gesonderte Mandate erteilt. Diese Funktionen und die damit einhergehenden Verantwortlichkeiten können jedoch zusammengefasst oder der gleichen organisatorischen Einheit zugewiesen oder auf verschiedene organisatorische Einheiten aufgeteilt werden, sofern interne Interessen- oder Aufgabenkonflikte vermieden werden.

43.

Die Stelle für Informationssicherung (Information Aussurance Authority — IAA) ist für Folgendes zuständig:

44.

Die TEMPEST-Stelle hat sicherzustellen, dass die Kommunikations- und Informationssysteme den TEMPEST-Konzepten und -Leitlinien entsprechen. Sie genehmigt TEMPEST-Schutzmaßnahmen für Installationen und Produkte, damit EU-VS bis zu einem bestimmten Geheimhaltungsgrad in dem betreffenden Betriebsumfeld geschützt sind.

45.

Die Krypto-Zulassungsstelle (Crypto Approval Authority — CAA) hat sicherzustellen, dass kryptografische Produkte den jeweiligen Kryptografieleitlinien entsprechen. Sie erteilt für ein kryptografisches Produkt die Zulassung, EU-VS bis zu einem bestimmten Geheimhaltungsgrad in dem betreffenden Betriebsumfeld zu schützen.

46.

Die Krypto-Verteilungsstelle (Crypto Distribution Authority — CDA) ist für Folgendes zuständig:

47.

Die Sicherheit-Akkreditierungsstelle (Security Accreditation Authority — SAA) für das jeweilige System ist für Folgendes zuständig:

48.

Die SAA des EAD ist für die Akkreditierung aller CIS zuständig, die im Zuständigkeitsbereich des EAD betrieben werden.

49.

Wenn CIS in die Zuständigkeit sowohl der SAA des EAD als auch der SAA der Mitgliedstaaten fallen, so nimmt ein gemeinsames Akkreditierungsgremium (Security Accreditation Board — SAB) die Akkreditierung des betreffenden Systems vor. Es setzt sich aus einem SAA-Vertreter jedes Mitgliedstaats zusammen, und je ein SAA-Vertreter des Generalsekretariats des Rates und der Kommission nehmen an den Sitzungen teil. Andere Stellen, die an ein Kommunikations- und Informationssystem angeschlossen sind, werden zu Beratungen über das betreffende System eingeladen.

Den Vorsitz des SAB führt ein Vertreter der SAA des EAD. Im SAB beschließen die SAA-Vertreter der Organe, Mitgliedstaaten und sonstigen Stellen, die an das Kommunikations- und Informationssystem angeschlossen sind, einvernehmlich. Das SAB erstellt für den Sicherheitsausschuss des EAD regelmäßig Berichte über seine Tätigkeit und übermittelt ihm alle Akkreditierungserklärungen.

50.

Die für den Betrieb des jeweiligen Systems zuständige Stelle für Informationssicherung ist für Folgendes zuständig:

1.

Dieser Anhang enthält die Bestimmungen zur Anwendung von Anhang A Artikel 9. Er legt allgemeine Sicherheitsvorschriften für industrielle oder andere Unternehmen fest, die während der Verhandlungen vor der Auftragsvergabe und während der Laufzeit der als Verschlusssache eingestuften Aufträge, die vom EAD vergeben werden, gelten.

2.

Die Sicherheitsbehörde des EAD billigt Leitlinien für den Geheimschutz in der Wirtschaft, mit deren insbesondere ausführliche Anforderungen in Bezug auf Sicherheitsbescheide für Unternehmen (Facility Security Clearances — FSC), Geheimschutzklauseln (Security Aspects Letters — SAL), Besuche sowie die Übermittlung und Beförderung von EU-VS aufgestellt werden.

3.

Vor der Ausschreibung oder der Vergabe eines als Verschlusssache eingestuften Auftrags bestimmt der EAD als Vergabebehörde den Geheimhaltungsgrad für Informationen, die Bietern oder Auftragnehmern zur Verfügung gestellt werden, sowie den Geheimhaltungsgrad für Informationen, die vom Auftragnehmer herauszugeben sind. Zu diesem Zweck erstellt der EAD die bei der Ausführung des Auftrags zu verwendende VS-Einstufungsliste (Security Classification Guide — SCG).

4.

Für die Bestimmung des Geheimhaltungsgrads der verschiedenen Bestandteile eines als Verschlusssache eingestuften Auftrags gelten die folgenden Grundsätze:

5.

Die auftragsspezifischen Sicherheitsanforderungen werden in einer Geheimschutzklausel (Security Aspects Letter — SAL) beschrieben. Die SAL enthält gegebenenfalls die SCG und ist fester Bestandteil eines als Verschlusssache eingestuften Auftrags oder Unterauftrags.

6.

Die SAL enthält die Bestimmungen, mit denen der Auftragnehmer und/oder Unterauftragnehmer verpflichtet wird, die Mindeststandards dieses Beschlusses einzuhalten. Die Nichteinhaltung dieser Mindeststandards kann einen ausreichenden Grund dafür darstellen, dass der Auftrag gekündigt wird.

7.

Abhängig vom Umfang von Programmen oder Projekten, die mit dem Zugang zu oder der Bearbeitung oder Aufbewahrung von EU-VS verbunden sind, kann eine spezifische Sicherheitsanweisung für ein Programm/Projekt (Programme/Project Security Instructions — PSI) von der mit der Verwaltung des Programms oder Projekts beauftragten Vergabebehörde ausgearbeitet werden. Die Sicherheitsanweisung bedarf der Genehmigung durch die nationalen Sicherheitsbehörden/beauftragten Sicherheitsbehörden der Mitgliedstaaten oder durch eine andere zuständige Sicherheitsbehörde, die an dem Programm/Projekt beteiligt ist, und kann zusätzliche Sicherheitsanforderungen beinhalten.

8.

Die für Sicherheit zuständige Direktion des EAD ersucht die nationale Sicherheitsbehörde/beauftragte Sicherheitsbehörde oder eine andere zuständige Behörde des betreffenden Mitgliedstaats um Ausstellung eines Sicherheitsbescheids für Unternehmen (Facility Security Clearance — FSC), der gemäß den innerstaatlichen Rechtsvorschriften Auskunft darüber gibt, dass ein industrielles oder anderes Unternehmen in der Lage ist, EU-VS bis zu dem entsprechenden Geheimhaltungsgrad („CONFIDENTIEL UE/EU CONFIDENTIAL“ oder „SECRET UE/EU SECRET“) in seinen Anlagen zu schützen. Ein Nachweis über die Ausstellung des FSC ist dem EAD vorzulegen, bevor einem Auftragnehmer oder Unterauftragnehmer bzw. einem möglichen Auftragnehmer oder Unterauftragnehmer EU-VS zur Verfügung gestellt werden können oder ihm Zugang zu diesen gewährt werden kann.

9.

Der EAD als Vergabebehörde teilt der zuständigen nationalen Sicherheitsbehörde/beauftragten Sicherheitsbehörde oder einer anderen zuständigen Sicherheitsbehörde gegebenenfalls mit, dass ein FSC in der Phase vor der Auftragsvergabe oder für die Ausführung des Auftrags erforderlich ist. Ein FSC oder eine Erklärung über die Sicherheitsüberprüfung von Personal (PSC) ist in der Phase vor der Auftragsvergabe erforderlich, wenn EU-VS mit dem Geheimhaltungsgrad „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder „SECRET UE/EU SECRET“ während des Bietverfahrens zur Verfügung gestellt werden müssen.

10.

Der EAD als Vergabebehörde vergibt keinen als Verschlusssache eingestuften Auftrag an einen bevorzugten Bieter, bevor er von der nationalen Sicherheitsbehörde/beauftragten Sicherheitsbehörde oder einer anderen zuständigen Sicherheitsbehörde des Mitgliedstaats, in dem der betreffende Auftragnehmer oder Unterauftragnehmer eingetragen ist, die Bestätigung erhalten hat, dass erforderlichenfalls ein entsprechender FSC erteilt wurde.

11.

Der EAD als Vergabebehörde ersucht die nationale Sicherheitsbehörde/beauftragte Sicherheitsbehörde oder die sonstige zuständige Sicherheitsbehörde, die einen FSC erteilt hat, ihn über etwaige nachteilige Erkenntnisse zu unterrichten, die diesen FSC betreffen. Bei Unteraufträgen ist die Nationale Sicherheitsbehörde/Beauftragte Sicherheitsbehörde oder eine sonstige zuständige Sicherheitsbehörde entsprechend zu informieren.

12.

Die Aufhebung eines FSC durch die jeweilige nationale Sicherheitsbehörde/beauftragte Sicherheitsbehörde oder eine sonstige zuständige Sicherheitsbehörde stellt für den EAD als Vergabebehörde einen ausreichenden Grund dar, den als Verschlusssache eingestuften Auftrag zu kündigen oder einen Bieter vom Vergabeverfahren auszuschließen.

13.

Das gesamte Personal eines Auftragnehmers, das Zugang zu als „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder höher eingestuften EU-VS haben muss, wird ordnungsgemäß sicherheitsüberprüft und erhält Zugang zu Informationen nach dem Grundsatz „Kenntnis nur, wenn nötig“ („need-to-know“). Obwohl für den Zugang zu als „RESTREINT UE/EU RESTRICTED“ eingestuften EU-VS keine PSC erforderlich ist, wird dieser Zugang nur nach dem Prinzip „Kenntnis nur, wenn nötig“ gewährt.

14.

Die PSC für das Personal von Auftragnehmern sind bei der für das betreffende Unternehmen zuständigen nationalen Sicherheitsbehörde/beauftragten Sicherheitsbehörde zu beantragen.

15.

Der EAD macht Auftraggeber, die einen Drittstaatsangehörigen für eine Tätigkeit beschäftigen wollen, für die der Zugang zu EU-VS erforderlich ist, darauf aufmerksam, dass die nationale Sicherheitsbehörde/beauftragte Sicherheitsbehörde in dem Mitgliedstaat, in dem das einstellende Unternehmen seinen Sitz hat und eingetragen ist, dafür zuständig ist, zu entscheiden, ob der betreffenden Person der Zugang zu solchen Informationen nach Maßgabe dieses Beschlusses gewährt werden kann, und zu bestätigen, dass der Herausgeber vor Gewährung des Zugangs zu Informationen seine Zustimmung erteilt hat.

16.

Werden EU-VS einem Bieter in der Phase vor der Auftragsvergabe zur Verfügung gestellt, so enthält die Ausschreibung eine Geheimschutzklausel, wonach ein Bieter, der kein Angebot abgibt oder der nicht ausgewählt wird, verpflichtet ist, alle Verschlusssachen innerhalb einer vorgegebenen Frist zurückzugeben.

17.

Sobald der Zuschlag für einen als Verschlusssache eingestuften Auftrag oder Unterauftrag erteilt wurde, teilt der EAD als Vergabebehörde der für den Auftragnehmer oder Unterauftragnehmer zuständigen nationalen Sicherheitsbehörde/beauftragten Sicherheitsbehörde oder einer sonstigen zuständigen Sicherheitsbehörde die Sicherheitsvorschriften für den als Verschlusssache eingestuften Auftrag mit.

18.

Bei Kündigung oder Ablauf eines solchen Auftrags informiert der EAD als Vergabebehörde (und/oder gegebenenfalls die nationale Sicherheitsbehörde/beauftragte Sicherheitsbehörde oder eine sonstige zuständige Sicherheitsbehörde bei Unteraufträgen) unverzüglich die nationale Sicherheitsbehörde/beauftrage Sicherheitsbehörde oder eine sonstige zuständige Sicherheitsbehörde des Mitgliedstaats, in dem der Auftragnehmer oder Unterauftragnehmer eingetragen ist.

19.

Generell ist der Auftragnehmer oder Unterauftragnehmer verpflichtet, bei der Kündigung oder Ablauf eines als Verschlusssache eingestuften Auftrags oder Unterauftrags in seinem Besitz befindliche EU-VS an die Vergabebehörde zurückzugeben.

20.

Die besonderen Bestimmungen für die Vernichtung von EU-VS während der Ausführung des Auftrags oder bei dessen Kündigung oder Ablauf werden in der Geheimschutzklausel festgelegt.

21.

Wird dem Auftragnehmer oder Unterauftragnehmer gestattet, EU-VS nach Kündigung oder Ablauf eines Auftrags zu behalten, so müssen die in diesem Beschluss niedergelegten Mindeststandards weiterhin eingehalten und die Geheimhaltung von EU-VS von dem Auftragnehmer oder Unterauftragnehmer geschützt werden.

22.

Die Bedingungen, zu denen der Auftragnehmer Unteraufträge vergeben darf, sind in der Ausschreibung und im Auftrag festgelegt.

23.

Der Auftragnehmer holt die Erlaubnis des EAD als Vergabebehörde ein, bevor er für Teile eines als Verschlusssache eingestuften Auftrags Unteraufträge vergibt. Unteraufträge dürfen nicht an industrielle oder andere Unternehmen vergeben werden, die in einem Nicht-EU-Mitgliedstaat eingetragen sind, der mit der EU kein Geheimschutzabkommen geschlossen hat.

24.

Der Auftragnehmer ist dafür verantwortlich, sicherzustellen, dass alle im Rahmen von Unteraufträgen vergebenen Tätigkeiten im Einklang mit den Mindeststandards dieses Beschlusses ausgeführt werden; er stellt einem Unterauftragnehmer EU-VS nicht ohne die vorherige schriftliche Einwilligung der Vergabebehörde zur Verfügung.

25.

Für EU-VS, die von einem Auftragnehmer oder Unterauftragnehmer herausgegeben oder bearbeitet werden, werden die dem Herausgeber obliegenden Rechte von der Vergabebehörde ausgeübt.

26.

Benötigen der EAD, die Auftragnehmer oder die Unterauftragnehmer zur Ausführung eines als Verschlusssache eingestuften Auftrags Zugang zu Informationen des Geheimhaltungsgrads „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder „SECRET UE/EU SECRET“ in den Räumlichkeiten des jeweils anderen, werden im Benehmen mit der jeweiligen nationalen Sicherheitsbehörde/beauftragten Sicherheitsbehörde oder einer sonstigen zuständigen Sicherheitsbehörde Besuche vereinbart. Dies lässt die Befugnis der Nationalen Sicherheitsbehörden/Beauftragten Sicherheitsbehörden unberührt, im Zusammenhang mit spezifischen Projekten ein Verfahren zu vereinbaren, nach dem Besuche unmittelbar verabredet werden können.

27.

Alle Besucher müssen über eine entsprechende PSC verfügen und im Hinblick auf den Zugang zu EU-VS in Verbindung mit dem Auftrag des EAD dem Erfordernis „Kenntnis nur, wenn nötig“ genügen.

28.

Die Besucher erhalten nur Zugang zu EU-VS, die mit dem Zweck des Besuchs in Beziehung stehen.

29.

Für die Übermittlung von EU-VS auf elektronischem Wege gelten die einschlägigen Bestimmungen von Anhang A Artikel 8 sowie von Anhang A IV.

30.

Für die Beförderung von EU-VS gelten die einschlägigen Bestimmungen von Anhang A III im Einklang mit den innerstaatlichen Rechtsvorschriften.

31.

Für die Beförderung von Verschlusssachen als Fracht gelten folgende Grundsätze bei der Festlegung der Sicherheitsvorkehrungen:

32.

EU-VS werden an Auftragnehmer und Unterauftragnehmer in Drittstaaten, die über ein gültiges Gemeinschutzabkommen mit der EU verfügen, nach Maßgabe der Geheimschutzmaßnahmen weitergeleitet, die zwischen dem EAD als Vergabebehörde und der Nationalen Sicherheitsbehörde/Beauftragten Sicherheitsbehörde des betreffenden Drittstaats, in dem der Auftragnehmer eingetragen ist, vereinbart wurden.

33.

Gegebenenfalls im Benehmen mit der Nationalen Sicherheitsbehörde/Beauftragten Sicherheitsbehörde des Mitgliedstaats ist der EAD als Vergabebehörde berechtigt, Besuche in den Anlagen von Auftragnehmern/Unterauftragnehmern auf der Grundlage vertraglicher Bestimmungen durchzuführen, um zu überprüfen, ob die nach dem Vertrag erforderlichen einschlägigen Geheimschutzmaßnahmen zum Schutz von EU-VS des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“ getroffen wurden.

34.

Soweit dies nach den innerstaatlichen Rechtsvorschriften erforderlich ist, werden die Nationalen Sicherheitsbehörden/Beauftragten Sicherheitsbehörden oder eine andere zuständige Sicherheitsbehörde vom EAD als Vergabebehörde über Aufträge oder Unteraufträge, die als „RESTREINT UE/EU RESTRICTED“ eingestufte Informationen enthalten, unterrichtet.

35.

Bei Aufträgen des EAD mit Informationen des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“ ist ein FSC oder eine PSC für Auftragnehmer und Unterauftragnehmer und deren Personal nicht erforderlich.

36.

Der EAD als Vergabebehörde prüft die Antworten auf Ausschreibungen bei Aufträgen, die Zugang zu Informationen des Geheimhaltungsgrads „RESTREINT EU/EU RESTRICTED“ erfordern, ungeachtet etwaiger Anforderungen in Bezug auf einen FSC oder eine PSC, die nach Maßgabe der innerstaatlichen Rechtsvorschriften gegebenenfalls bestehen.

37.

Die Bedingungen für die Vergabe von Unteraufträgen durch den Auftragnehmer stehen im Einklang mit den Nummern 22-24.

38.

Ist mit einem Auftrag die Bearbeitung von Verschlusssachen des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“ in einem Kommunikations- und Informationssystem verbunden, das von einem Auftragnehmer betrieben wird, so stellt der EAD als Vergabebehörde sicher, dass in dem Auftrag und etwaigen Unteraufträgen die notwendigen technischen und administrativen Anforderungen in Bezug auf die Akkreditierung des Kommunikations- und Informationssystems angegeben werden, die dem festgestellten Risiko entsprechen, wobei allen relevanten Faktoren Rechnung zu tragen ist. Der Umfang der Akkreditierung eines solchen Kommunikations- und Informationssystems ist von der Vergabebehörde mit der betreffenden nationalen Sicherheitsbehörde/beauftragten Sicherheitsbehörde zu vereinbaren.

1.

Dieser Anhang enthält die Bestimmungen zur Anwendung von Anhang A Artikel 10.

2.

Der EAD kann gemäß Anhang A Artikel 10 Absatz 1 EU-VS mit Drittstaaten oder internationalen Organisationen austauschen.

Bei der Wahrnehmung der Aufgaben nach Artikel 218 AEUV wird der Hohe Vertreter wie folgt unterstützt:

3.

Sehen Geheimschutzabkommen die Vereinbarung von technischen Durchführungsbestimmungen zwischen der für Sicherheit zuständigen Direktion des EAD — in Rücksprache mit der Direktion Sicherheit der Generaldirektion Humanressourcen und Sicherheit der Kommission und dem Sicherheitsbüro des Generalsekretariats des Rates — und der zuständigen Sicherheitsbehörde des betreffenden Drittstaates oder der betreffenden internationalen Organisation vor, so tragen diese Durchführungsbestimmungen dem durch die Sicherheitsbestimmungen, -strukturen und -verfahren des Drittstaates bzw. der internationalen Organisation gewährleisteten Schutzniveau Rechnung.

4.

Wenn langfristig die Notwendigkeit besteht, dass der EAD mit einem Drittstaat oder einer internationalen Organisation Verschlusssachen, die grundsätzlich höchstens in den Geheimhaltungsgrad „RESTREINT UE/EU RESTRICTED“ eingestuft sind, austauscht, und wenn festgestellt wird, dass die betreffende Vertragspartei nicht über ein ausreichend entwickeltes Sicherheitssystem verfügt, um ein Geheimschutzabkommen abschließen zu können, kann der Hohe Vertreter nach einstimmiger befürwortender Stellungnahme des Sicherheitsausschusses des EAD nach Artikel 15 Absatz 5 dieses Beschlusses eine Verwaltungsvereinbarung mit den zuständigen Sicherheitsbehörden des betreffenden Drittstaats oder der betreffenden internationalen Organisation schließen.

5.

EU-VS werden nicht auf elektronischem Wege mit einem Drittstaat oder einer internationalen Organisation ausgetauscht, es sei denn, dies ist in dem Geheimschutzabkommen oder der Verwaltungsvereinbarung ausdrücklich vorgesehen.

6.

Nach Maßgabe einer Verwaltungsvereinbarung über den Austausch von Verschlusssachen benennen der EAD und der betreffende Drittstaat bzw. die betreffende internationale Organisation ein Register, das als zentrale Stelle für den Ein- und Ausgang der austauschten Verschlusssachen dient. Für den EAD ist dies das EAD-Zentralregister.

7.

Verwaltungsvereinbarungen werden in der Regel in Form eines Briefwechsels geschlossen.

8.

Bewertungsbesuche gemäß Artikel 17 dieses Beschlusses werden im gegenseitigen Einvernehmen mit dem betreffenden Drittstaat bzw. der betreffenden internationalen Organisation durchgeführt und dienen zur Bewertung

9.

Keine EU-Verschlusssachen werden ausgetauscht, bevor ein Bewertungsbesuch durchgeführt und die Ebene, auf der Verschlusssachen zwischen den Vertragsparteien ausgetauscht werden dürfen, auf der Grundlage der Gleichwertigkeit des gewährten Schutzniveaus bestimmt wurde.

Sollte noch vor einem solchen Bewertungsbesuch der Hohe Vertreter auf außergewöhnliche oder dringende Gründe für den Austausch von Verschlusssachen aufmerksam gemacht werden, so

Kann der EAD den Herausgeber nicht ermitteln, so übernimmt die Sicherheitsbehörde des EAD die Verantwortung des Herausgebers, nachdem sie die einstimmige befürwortende Stellungnahme des Sicherheitsausschusses des EAD eingeholt hat.

10.

Besteht bereits ein Rahmen für den Austausch von Verschlusssachen mit einem Drittstaat oder einer internationalen Organisation gemäß Anhang A Artikel 10 Absatz 1, so wird die Entscheidung zur Weitergabe von EU-VS an einen Drittstaat oder eine internationale Organisation durch den EAD von der Sicherheitsbehörde des EAD getroffen, die diese Befugnis an leitende EAD-Beamte oder andere ihr unterstehende Personen übertragen kann.

11.

Handelt es sich beim Herausgeber der weiterzugebenden Verschlusssachen, einschließlich der Herausgeber des möglicherweise darin enthaltenen Quellenmaterials, nicht um den EAD, so holt der EAD zunächst die schriftliche Zustimmung des Herausgebers ein, um auszuschließen, dass Gründe für die Nichtweitergabe der Verschlusssachen bestehen. Kann der EAD den Herausgeber nicht ermitteln, so übernimmt die Sicherheitsbehörde des EAD die Verantwortung des Herausgebers, nachdem sie die einstimmige befürwortende Stellungnahme der im Sicherheitsausschuss des EAD vertretenen Mitgliedstaaten eingeholt hat.

12.

Ist kein Rahmen gemäß Anhang A Artikel 10 Absatz 1 vorhanden und ist die Weitergabe von EU-VS aus politischen, operativen oder dringenden Gründen im Interesse der EU oder eines oder mehrerer ihrer Mitgliedstaaten, so können EU-VS unter folgenden Voraussetzungen ausnahmsweise an einen Drittstaat oder eine internationale Organisation weitergegeben werden.

Nachdem die für Sicherheit zuständige Direktion des EAD sichergestellt hat, dass die Bedingungen nach Nummer 11 erfüllt sind, ergreift sie folgende Maßnahmen:

13.

Ist kein Rahmen gemäß Anhang A Artikel 10 Absatz 1 vorhanden, so verpflichtet sich der betreffende Dritte schriftlich zum angemessenen Schutz von EU-VS.