BILAG

»AFSNIT XIII

FÆLLES MINIMUMSSTANDARDER FOR INDUSTRIEL SIKKERHED

Dette afsnit omhandler de sikkerhedsmæssige aspekter af industriaktiviteter, som specielt vedrører forhandling og tildeling af kontrakter om overdragelse af opgaver, som involverer, medfører og/eller indeholder klassificerede EU-oplysninger, samt industrivirksomheders eller andre enheders gennemførelse af sådanne kontrakter, herunder videregivelse af eller adgang til klassificerede EU-oplysninger i forbindelse med offentlige indkøb (budperiode og forhandlinger forud for kontraktens indgåelse).

DEFINITIONER

I disse fælles minimumsstandarder forstås ved:

a)	»sikkerhedskontrakt«: en kontrakt om levering af varer, udførelse af arbejder eller levering af tjenesteydelser, såfremt kontraktens gennemførelse kræver eller indebærer adgang til eller generering af klassificerede EU-oplysninger

»sikkerhedsunderkontrakt«: en kontrakt, som en kontrahent indgår med en anden kontrahent (dvs. underkontrahenten) om levering af varer, udførelse af arbejder eller levering af tjenesteydelser, såfremt kontraktens gennemførelse kræver eller indebærer adgang til eller generering af klassificerede EU-oplysninger

c)	»kontrahent«: enkeltpersoner eller en retlig enhed, der har rets- og handleevne til at indgå kontrakter

»udpeget sikkerhedsmyndighed (DSA)«: en myndighed, der med referat til en medlemsstats nationale sikkerhedsmyndighed (NSA) er ansvarlig for formidling til industrivirksomheder eller andre enheder af den nationale politik med hensyn til alle spørgsmål vedrørende industriel sikkerhed og for opstilling af retningslinjer og ydelse af bistand i forbindelse med denne politiks gennemførelse. DSA’s funktion kan varetages af NSA

»sikkerhedsgodkendelse af en facilitet (FSC-godkendelse)«: en administrativ afgørelse truffet af en NSA/DSA om, at en facilitet ud fra et sikkerhedsmæssigt synspunkt kan yde relevant sikkerhedsbeskyttelse af klassificerede EU-oplysninger til og med en nærmere bestemt klassifikationsgrad, og om, at dens medarbejdere, der kan få adgang til klassificerede EU-oplysninger, er blevet sikkerhedsgodkendt til og med den relevante klassifikationsgrad og har modtaget underretning om de sikkerhedskrav, der skal opfyldes med henblik på adgang til og beskyttelse af klassificerede EU-oplysninger

f)	»industrivirksomhed eller anden enhed«: en enhed, der er involveret i levering af varer, udførelse af arbejder eller levering af tjenesteydelser; det kan dreje sig om enheder inden for industri, handel, tjenesteydelser, videnskab, forskning, uddannelse eller udvikling

»industriel sikkerhed«: anvendelse af beskyttelsesforanstaltninger og -procedurer for at kunne forhindre, spore og udbedre skade forårsaget af tab af eller uautoriseret adgang til klassificerede EU-oplysninger, der er blevet behandlet af en kontrahent eller underkontrahent under forhandlingerne forud for kontraktens indgåelse og i forbindelse med kontrakten

h)	»national sikkerhedsmyndighed (NSA)«: den myndighed i en EU-medlemsstat, som har det endelige ansvar for beskyttelsen af klassificerede EU-oplysninger

»en kontrakts samlede sikkerhedsklassifikationsgrad«: klassifikationsgraden for hele kontrakten fastlagt på grundlag af klassifikationsgraden for de oplysninger og/eller det materiale, der vil eller kan blive genereret eller udleveret, eller som der vil eller kan blive givet adgang til i henhold til et element i den samlede kontrakt. En kontrakts samlede klassifikationsgrad må ikke være lavere end den højeste klassifikationsgrad for dens elementer, men kan være højere på grund af kombinationseffekten

»særlige sikkerhedsbetingelser«: et sæt særlige kontraktlige betingelser, udstedt af den kontraherende myndighed, som er en integrerende del af en sikkerhedskontrakt, der involverer adgang til eller generering af klassificerede EU-oplysninger, og som fastlægger sikkerhedskravene eller de elementer i kontrakten, der kræver sikkerhedsbeskyttelse

»klassifikationsvejledning«: et dokument, der beskriver de elementer af et program eller en kontrakt, som er klassificeret, med angivelse af de gældende klassifikationsgrader. Klassifikationsvejledningen kan udvides i hele programmets eller kontraktens løbetid, og oplysningerne kan klassificeres højere eller lavere. En klassifikationsvejledning skal indgå i de særlige sikkerhedsbetingelser.

ORGANISATION

Generalsekretariatet for Rådet kan ved aftale overdrage opgaver, som involverer, medfører og/eller indeholder klassificerede EU-oplysninger, til industrivirksomheder eller andre enheder, som er registreret i en medlemsstat.

Generalsekretariatet for Rådet sikrer, at alle krav, der er afledt af disse minimumsstandarder, er opfyldt, når der tildeles sikkerhedskontrakter.

Hver enkelt medlemsstat sikrer, at dens nationale sikkerhedsmyndighed (NSA) råder over tilstrækkelige strukturer til at anvende disse minimumsstandarder for industriel sikkerhed. Disse kan omfatte en eller flere DSA’er.

Det endelige ansvar for beskyttelsen af klassificerede EU-oplysninger inden for industrivirksomheder eller andre enheder påhviler ledelsen.

Ved tildelingen af en kontrakt eller underkontrakt, der falder ind under disse minimumsstandarder, underretter Generalsekretariatet for Rådet og/eller NSA/DSA, hvis dette er relevant, straks NSA/DSA i den medlemsstat, hvor kontrahenten eller underkontrahenten er registreret.

SIKKERHEDSKONTRAKTER

Ved fastlæggelse af klassifikationsgraden for sikkerhedskontrakter skal der tages hensyn til følgende principper:

Generalsekretariatet for Rådet fastlægger, hvilke aspekter af kontrakten der kræver beskyttelse, samt den relevante klassifikationsgrad; det tager i den forbindelse hensyn til den oprindelige klassifikationsgrad, der er tildelt af ophavsmanden til oplysninger, som er genereret inden kontraktens tildeling.

b)	En kontrakts samlede klassifikationsgrad kan ikke være lavere end den højeste klassifikationsgrad for dens elementer.

c)	Klassificerede EU-oplysninger, der genereres under udførelsen af de aktiviteter, der er fastlagt i kontrakten, klassificeres i overensstemmelse med klassifikationsvejledningen.

d)	Generalsekretariatet for Rådet er ansvarligt for eventuel ændring af en kontrakts samlede klassifikationsgrad eller af klassifikationsgraden for dens elementer i samråd med ophavsmanden, og det underretter alle berørte parter herom.

Klassificerede oplysninger, der udleveres til en kontrahent eller en underkontrahent eller genereres under udførelse af aktiviteter, som er fastlagt i kontrakten, må ikke anvendes til andre formål end dem, der er fastsat i sikkerhedskontrakten, og de må ikke videregives til tredjemand uden forudgående skriftligt samtykke fra ophavsmanden.

Medlemsstaternes NSA/DSA er ansvarlige for at sikre, at kontrahenter og underkontrahenter, der har fået tildelt kontrakter, som involverer oplysninger, der er klassificeret CONFIDENTIEL UE eller SECRET UE, træffer alle relevante foranstaltninger til at beskytte sådanne klassificerede EU-oplysninger, som er udleveret til eller genereret af dem under gennemførelsen af sikkerhedskontrakten i henhold til den nationale lovgivning. Ved manglende overholdelse af sikkerhedskravene kan kontrakten ophæves.

10.

Alle industrivirksomheder eller andre enheder, der deltager i sikkerhedskontrakter, som involverer adgang til oplysninger, der er klassificeret CONFIDENTIEL UE eller SECRET UE, skal være FSC-godkendt. FSC-godkendelsen meddeles af en medlemsstats NSA/DSA som bekræftelse på, at en facilitet kan yde og garantere den relevante sikkerhedsbeskyttelse af klassificerede EU-oplysninger til og med en nærmere bestemt klassifikationsgrad.

11.

Vedkommende NSA/DSA er i overensstemmelse med national lovgivning ansvarlig for meddelelse af sikkerhedsgodkendelse til alle personer, der er ansat i industrivirksomheder eller andre enheder, som er registreret i den pågældende medlemsstat, og hvis opgaver kræver adgang til oplysninger, der er klassificeret CONFIDENTIEL UE eller SECRET UE som specificeret i sikkerhedskontrakten.

12.

Sikkerhedskontrakter skal ledsages af særlige sikkerhedsbetingelser, jf. punkt 2 j). Sammen med de særlige betingelser udleveres en klassifikationsvejledning.

13.

Inden der indledes forhandling om en sikkerhedskontrakt, kontakter Generalsekretariatet for Rådet vedkommende NSA/DSA i de medlemsstater, hvor de pågældende industrivirksomheder eller andre enheder er registreret, for at få bekræftet, om de er FSC-godkendt til og med kontraktens klassifikationsgrad.

14.

Den kontraherende myndighed må ikke indgå en sikkerhedskontrakt med den foretrukne bydende, før den har modtaget et gyldigt bevis for FSC-godkendelse.

15.

Medmindre andet er fastsat i medlemsstaternes nationale lovgivning, er FSC-godkendelse ikke påkrævet for kontrakter, der involverer adgang til oplysninger, som er klassificeret RESTREINT UE.

16.

Indkaldelser af bud på sikkerhedskontrakter skal indeholde en bestemmelse om, at en bydende, der måtte undlade at afgive bud, eller som ikke udvælges, skal returnere alt udbudsmateriale inden for en bestemt tidsfrist.

17.

Det kan være nødvendigt for en kontrahent at forhandle sikkerhedsunderkontrakter med underkontrahenter på forskellige niveauer. Kontrahenterne er ansvarlige for at sikre, at alle underkontraheringsaktiviteter gennemføres i overensstemmelse med de fælles minimumsstandarder i dette afsnit. Kontrahenten må dog ikke videregive klassificerede EU-oplysninger eller klassificeret EU-materiale til en underkontrahent uden forudgående skriftligt samtykke fra ophavsmanden.

18.

De betingelser, hvorpå kontrahenten kan udbyde dele af kontrakten i underentreprise, skal fastsættes i udbudsbekendtgørelsen og kontrakten. En underkontrakt må kun med skriftlig tilladelse fra Generalsekretariatet for Rådet tildeles enheder, som er registreret i et tredjeland.

19.

I hele kontraktens løbetid kontrollerer vedkommende NSA/DSA i samråd med Generalsekretariatet for Rådet, at sikkerhedsbestemmelserne er overholdt. Sikkerhedshændelser anmeldes i overensstemmelse med bestemmelserne i del II, afsnit X. Ændring eller inddragelse af en FSC-godkendelse meddeles straks Generalsekretariatet for Rådet og enhver anden NSA/DSA, som har modtaget underretning om godkendelsen.

20.

Hvis en sikkerhedskontrakt eller sikkerhedsunderkontrakt ophæves, underretter Generalsekretariatet for Rådet og/eller vedkommende NSA/DSA straks NSA/DSA i de medlemsstater, hvor kontrahenten eller underkontrahenten er registreret.

21.

De fælles minimumsstandarder i dette afsnit skal fortsat være opfyldt, og kontrahenterne og underkontrahenterne har fortsat tavshedspligt om klassificerede oplysninger, efter at sikkerhedskontrakten eller sikkerhedsunderkontrakten er ophævet eller gennemført.

22.

Særlige bestemmelser om bortskaffelse af klassificerede oplysninger ved kontraktens udløb vil blive fastlagt i de særlige sikkerhedsbetingelser eller i andre relevante bestemmelser, der fastlægger sikkerhedskrav.

BESØG

23.

Medarbejdere ved Generalsekretariatet for Rådet kan i samarbejde med vedkommende NSA/DSA aflægge besøg i industrivirksomheder eller andre enheder i medlemsstaterne, der gennemfører kontrakter, som involverer klassificerede EU-oplysninger. Medarbejdere i industrivirksomheder eller andre enheder inden for rammerne af kontrakter, der involverer klassificerede EU-oplysninger, kan aflægge besøg i samråd med vedkommende NSA/DSA. Vedkommende NSA/DSA, der er involveret i en sikkerhedskontrakt, kan dog aftale en procedure, hvorved besøg af medarbejdere fra industrivirksomheder eller andre enheder kan tilrettelægges direkte.

VIDEREGIVELSE OG TRANSPORT AF KLASSIFICEREDE EU-OPLYSNINGER

24.

Med hensyn til videregivelse af klassificerede EU-oplysninger anvendes bestemmelserne i del II, afsnit VII, kapitel II, samt, hvor det er relevant, afsnit XI. Ud over disse bestemmelser kan eventuelle gældende procedurer aftalt mellem medlemsstaterne også anvendes.

25.

International transport af EU-klassificeret materiale vedrørende sikkerhedskontrakter udføres i overensstemmelse med medlemsstaternes nationale procedurer. Følgende principper vil blive anvendt ved gennemgangen af sikkerhedsordninger med henblik på international transport:

a)	Sikkerheden skal garanteres på alle stadier under transporten og under alle omstændigheder fra udgangspunktet til det endelige bestemmelsessted.

b)	Den beskyttelsesgrad, der skal tillægges en forsendelse, bestemmes af den højeste klassifikationsgrad for det materiale, der er indeholdt i den.

c)	I relevant omfang skal transportvirksomhederne være FSC-godkendt. I sådanne tilfælde skal medarbejdere, der håndterer forsendelsen, være sikkerhedsgodkendt i overensstemmelse med minimumsstandarderne i dette afsnit.

d)	Transporten foretages så vidt muligt direkte uden stop og afsluttes så hurtigt, som forholdene tillader.

e)	Ruterne bør så vidt muligt kun gå gennem EU-medlemsstater. Der bør kun benyttes ruter gennem tredjelande, hvis NSA/DSA i såvel afsenderens som modtagerens stat har givet tilladelse hertil.

f)	Forud for enhver transport af klassificeret EU-materiale udarbejder afsenderen en transportplan, som forelægges vedkommende NSA/DSA til godkendelse.«