24.12.2016   

DA

Den Europæiske Unions Tidende

L 355/18

RETTENS AFGØRELSE (EU) 2016/2387

af 14. september 2016

om de sikkerhedsregler, der finder anvendelse på de oplysninger eller dokumenter, som fremlægges i henhold til procesreglementets artikel 105, stk. 1 eller 2

RETTEN HAR —

under henvisning til procesreglementet, særlig artikel 105, stk. 11,

ud fra følgende betragtninger:

(1)

Det fremgår af procesreglementets artikel 105, stk. 1 og 2, at en hovedpart i sagen, spontant eller som følge af en af Retten vedtaget foranstaltning som led i bevisoptagelsen, kan fremlægge oplysninger eller dokumenter, der berører Den Europæiske Unions eller en eller flere af dens medlemsstaters sikkerhed eller varetagelsen af deres internationale forbindelser. Denne bestemmelses stk. 3-10 fastsætter den processuelle ordning, som finder anvendelse på sådanne oplysninger eller dokumenter.

(2)

Henset til den følsomme og fortrolige karakter af de pågældende oplysninger eller dokumenter forudsætter gennemførelsen af den ved procesreglementets artikel 105 indførte ordning, at der indføres en egnet sikkerhedsforanstaltning, hvorved det tilsigtes at sikre disse oplysninger eller dokumenter et højt beskyttelsesniveau.

(3)

Med henblik herpå bør sikkerhedsforanstaltningerne finde anvendelse på alle de oplysninger eller dokumenter, der fremlægges i henhold til procesreglementets artikel 105, stk. 1 eller 2, som er EU-klassificerede informationer, eller om hvilke den hovedpart, der har fremlagt dem, har anført, at en videregivelse heraf til den anden hovedpart vil bringe Unionens eller dens medlemsstaters sikkerhed eller varetagelsen af deres internationale forbindelser i fare, herunder når de nævnte oplysninger eller dokumenter ikke er EU-klassificerede informationer.

(4)

Med henblik på at sikre disse oplysninger eller dokumenter et højt beskyttelsesniveau er grundprincipperne og minimumsstandarderne for beskyttelse af de nævnte oplysninger eller dokumenter inspireret af dem, der finder anvendelse ved beskyttelsen af de informationer, som er klassificeret SECRET UE/EU SECRET, i henhold til EU-institutionernes regler på området for EU's klassificerede informationer (EUCI), herunder de regler, der er vedtaget af Rådet for Den Europæiske Union, Europa-Parlamentet og Europa-Kommissionen.

(5)

De oplysninger eller dokumenter, som er fremlagt i henhold til procesreglementets artikel 105, stk. 1 eller 2, er genstand for en mærkning benævnt »FIDUCIA«, der er specifik for Den Europæiske Unions Domstol, og som fastlægger den sikkerhedsordning, der finder anvendelse på dem under hele sagens behandling ved Retten og, i tilfælde af appel, ved Domstolen. Anbringelsen af FIDUCIA-mærkningen og sletningen af denne mærkning har ingen betydning for klassificeringen af de informationer, som er meddelt Retten.

(6)

Adgangen til FIDUCIA-informationerne sikres under iagttagelse af »need-to-know«-princippet —

VEDTAGET DENNE AFGØRELSE:

Artikel 1

Definitioner

I den foreliggende afgørelse forstås ved:

a)   »sikkerhedsmyndighed«: den af Den Europæiske Unions Domstol udpegede myndighed, der er ansvarlig for Domstolens sikkerhed, og som helt eller delvist kan uddelegere gennemførelsen af de ved nærværende afgørelse fastsatte opgaver

b)   »FIDUCIA-kontoret«: det kontor ved Den Europæiske Unions Domstol, som sikrer håndteringen af FIDUCIA-informationerne

c)   »den, der er i besiddelse af«: en behørigt autoriseret person med en fastslået need-to-know-status, der er i besiddelse af en FIDUCIA-information og derfor er ansvarlig for at beskytte den

d)   »dokument«: enhver information, uanset dens fysiske form eller karakteristika

e)   »information«: enhver skriftlig eller mundtlig information, uanset medium eller ophavsmand

f)   »EU's klassificerede informationer« (EUCI): informationer eller materiale mærket med en EU-sikkerhedsklassifikation i medfør af de regler, der finder anvendelse på området inden for EU-institutionerne, og klassificeret efter en af de følgende grader:

TRÈS SECRET UE/EU TOP SECRET

SECRET UE/EU SECRET

CONFIDENTIEL UE/EU CONFIDENTIAL

RESTREINT UE/EU RESTRICTED.

g)   »FIDUCIA-information«: enhver information med FIDUCIA-mærkning

h)   »håndtering« af en FIDUCIA-information: alle de foranstaltninger, som FIDUCIA-informationer kan underkastes under hele sagen ved Retten og senest ved udløbet af den frist, der er fastsat i artikel 56, stk. 1, i statutten for Den Europæiske Unions Domstol. Dette omfatter således registrering, konsultation, udarbejdelse, kopiering, lagring, returnering og destruktion.

Artikel 2

Formål og anvendelsesområde

1.   Denne afgørelse fastlægger grundprincipperne og minimumsstandarderne for sikkerhedsbeskyttelse af FIDUCIA-informationerne inden for rammerne af sagen ved Retten og senest ved udløbet af den frist, der er fastsat i artikel 56, stk. 1, i statutten for Den Europæiske Unions Domstol.

2.   Disse grundprincipper og minimumssikkerhedsstandarder gælder for enhver FIDUCIA-information, for enhver skriftlig eller mundtlig brug og for enhver genpart heraf, der i givet fald udfærdiges i overensstemmelse med de i denne afgørelse fastsatte sikkerhedsregler.

Artikel 3

Fremgangsmåde ved indlevering og returnering

Med henblik på gennemførelsen af den ordning, der er fastsat i denne afgørelse, gælder følgende:

Hovedparten underretter Rettens Justitskontor om datoen for indlevering af oplysningerne eller dokumenterne i henhold til procesreglementets artikel 105, stk. 1 eller 2.

Hovedparten, ledsaget af en repræsentant for Justitskontoret, skal indlevere oplysningerne eller dokumenterne i henhold til procesreglementets artikel 105, stk. 1 eller 2, på FIDUCIA-kontoret i Justitskontorets ekspeditionstid.

Den hovedpart, som har fremlagt oplysningerne eller dokumenterne i henhold til procesreglementets artikel 105, stk. 1 eller 2, skal — når den pågældende ikke giver tilladelse til en videregivelse heraf i henhold til reglementets artikel 105, stk. 4 — søge dem tilbageleveret på FIDUCIA-kontoret i selskab med en repræsentant for Justitskontoret, så snart returnering er mulig i overensstemmelse med samme reglements artikel 105, stk. 7, eller så snart den frist, der er fastsat i artikel 56, stk. 1, i statutten for Den Europæiske Unions Domstol, er udløbet, medmindre der er iværksat appel inden for denne frist.

Såfremt der iværksættes appel til prøvelse af Rettens afgørelse inden for den frist, der er fastsat i artikel 56, stk. 1, i statutten for Den Europæiske Unions Domstol, stilles de oplysninger eller dokumenter, som er blevet fremlagt under sagen i henhold til procesreglementets artikel 105, stk. 1 eller 2, til rådighed for Domstolen. Med henblik herpå skal Rettens justitssekretær, så snart den pågældende får kendskab til, at denne appel er iværksat, fremsende en skrivelse til Domstolens justitssekretær, hvorved sidstnævnte underrettes om den omstændighed, at de pågældende oplysninger eller dokumenter stilles til rådighed for Domstolen. Rettens justitssekretær underretter samtidig sikkerhedsmyndigheden om den omstændighed, at de pågældende oplysninger eller dokumenter skal stilles til rådighed for Domstolen, uden at de nævnte oplysninger eller dokumenter herved flyttes fysisk. FIDUCIA-kontoret registrerer denne underretning. Den hovedpart, som har fremlagt disse oplysninger eller dokumenter, skal søge dem tilbageleveret på FIDUCIA-kontoret i selskab med en repræsentant for Domstolens Justitskontor, så snart den afgørelse, hvormed appelsagen afsluttes, er blevet forkyndt, medmindre sagen hjemvises til Retten til afgørelse.

Ved hjemvisning til Retten skal Domstolen stille de pågældende oplysninger eller dokumenter til rådighed for Retten, så snart den afgørelse, hvormed appelsagen afsluttes, er blevet forkyndt. Med henblik herpå skal Domstolens justitssekretær fremsende en skrivelse til Rettens justitssekretær, hvorved sidstnævnte underrettes om den omstændighed, at de pågældende oplysninger eller dokumenter stilles til rådighed for Retten. Domstolens justitssekretær underretter samtidig sikkerhedsmyndigheden om den omstændighed, at de pågældende oplysninger eller dokumenter skal stilles til rådighed for Retten, uden at de nævnte oplysninger eller dokumenter herved flyttes fysisk. FIDUCIA-kontoret registrerer denne underretning. Den hovedpart, som har fremlagt disse oplysninger eller dokumenter, skal søge dem tilbageleveret på FIDUCIA-kontoret i selskab med en repræsentant for Rettens Justitskontor, så snart den frist, der er fastsat i artikel 56, stk. 1, i statutten for Den Europæiske Unions Domstol, er udløbet, medmindre der er iværksat appel inden for denne frist.

Artikel 4

FIDUCIA-mærkning

1.   FIDUCIA-kontoret anbringer FIDUCIA-mærkningen på alle de oplysninger eller dokumenter, der er fremlagt i overensstemmelse med procesreglementets artikel 105, stk. 1 eller 2.

2.   FIDUCIA-kontoret anbringer ligeledes FIDUCIA-mærkningen på enhver information, som helt eller delvist gengiver indholdet af de oplysninger eller dokumenter, der er fremlagt i overensstemmelse med procesreglementets artikel 105, stk. 1 eller 2, og på hver genpart af sådanne oplysninger eller dokumenter.

3.   FIDUCIA-kontoret anbringer ligeledes FIDUCIA-mærkningen på de dokumenter og registre, der udarbejdes af FIDUCIA-kontoret i henhold til denne afgørelse, og hvis uautoriserede videregivelse kan bringe Unionens eller en eller flere af dens medlemsstaters sikkerhed eller varetagelsen af deres internationale forbindelser i fare.

4.   FIDUCIA-mærkningen anbringes synligt på FIDUCIA-informationernes samtlige sider og medier.

5.   Anbringelsen af FIDUCIA-mærkningen og sletningen af denne mærkning under de i bilag III omhandlede betingelser er uden betydning for klassificeringen af de informationer, som meddeles Retten.

Artikel 5

Beskyttelse af FIDUCIA-informationerne

1.   Beskyttelsen af FIDUCIA-informationerne svarer til den beskyttelse, der sikres for så vidt angår EUCI SECRET UE/EU SECRET i overensstemmelse med de regler, som inden for EU-institutionerne finder anvendelse på området for beskyttelse af EUCI.

2.   Den, der er i besiddelse af en FIDUCIA-information, er ansvarlig for beskyttelse heraf i overensstemmelse med denne afgørelse.

Artikel 6

Sikkerhedsrisikostyring

1.   Risiciene i forhold til FIDUCIA-informationerne skal styres inden for rammerne af en risikoevalueringsproces, der har til formål at fastslå kendte sikkerhedsrisici, fastlægge sikkerhedsforanstaltninger for at reducere sådanne risici til et acceptabelt niveau i overensstemmelse med de grundprincipper og minimumsstandarder, der er fastlagt i denne afgørelse, og anvende disse foranstaltninger. Sådanne foranstaltningers effektivitet skal løbende evalueres af sikkerhedsmyndigheden.

2.   Sikkerhedsforanstaltningerne til beskyttelse af FIDUCIA-informationerne skal under hele sagen ved Retten og senest ved udløbet af den frist, der er fastsat i artikel 56, stk. 1, i statutten for Den Europæiske Unions Domstol, navnlig stå i forhold til formen og mængden af de pågældende informationer eller det pågældende materiale, omgivelserne og strukturen af FIDUCIA-kontorets lokaler og den lokalt vurderede trussel fra ondsindet og/eller kriminel virksomhed, herunder spionage, sabotage og terrorisme.

3.   Den Europæiske Unions Domstols interne beredskabsplaner skal tage hensyn til behovet for at beskytte FIDUCIA-informationerne i nødsituationer med henblik på at forhindre uautoriseret adgang, uautoriseret videregivelse eller tab af integritet eller tilgængelighed.

4.   Den Europæiske Unions Domstols interne beredskabsplaner skal indeholde forebyggende og genoprettende foranstaltninger med henblik på at minimere følgerne af større nedbrud eller hændelser for håndteringen og opbevaringen af FIDUCIA-informationerne.

Artikel 7

Sikkerhedsforanstaltninger vedrørende personer

1.   Adgang til FIDUCIA-informationerne kan kun gives til de personer, som:

har need-to-know-status

med forbehold af denne artikels stk. 2 har fået tilladelse til at få adgang til FIDUCIA-informationer, og

er blevet gjort bekendt med deres ansvar.

2.   Dommere ved Retten anses for at have adgang til FIDUCIA-informationerne i medfør af deres stilling.

3.   Den proces, hvorved det tilsigtes at afgøre, om en tjenestemand eller øvrig ansat i Den Europæiske Unions Domstol, henset til sin loyalitet, troværdighed og pålidelighed, kan autoriseres til at få adgang til FIDUCIA-informationerne, er nærmere fastsat i bilag I.

4.   Alle de pågældende personer skal gøres bekendt med og skriftligt anerkende deres ansvar for at beskytte FIDUCIA-informationerne i overensstemmelse med denne afgørelse, inden de får adgang til FIDUCIA-informationerne, og med jævne mellemrum herefter.

Artikel 8

Fysisk sikkerhed

1.   Ved fysisk sikkerhed forstås anvendelse af fysiske og tekniske beskyttelsesforanstaltninger for at forhindre uautoriseret adgang til FIDUCIA-informationerne.

2.   De fysiske sikkerhedsforanstaltninger udformes med henblik på at forhindre hemmelig eller tiltvungen adgang til FIDUCIA-kontorets lokaler, på at forhindre, vanskeliggøre og afsløre uautoriserede handlinger samt på at muliggøre en personalemæssig adskillelse i forhold til, om personerne i overensstemmelse med need-to-know-princippet er godkendt til at få adgang til FIDUCIA-informationerne eller ej. Sådanne foranstaltninger fastlægges på grundlag af en risikostyringsproces.

3.   De fysiske sikkerhedsforanstaltninger indføres for FIDUCIA-kontorets lokaler, hvori FIDUCIA-informationerne håndteres og opbevares. Formålet med disse foranstaltninger er at sikre en beskyttelse, der svarer til beskyttelsen af EUCI SECRET UE/EU SECRET i overensstemmelse med de regler, som inden for EU-institutionerne finder anvendelse på området for beskyttelse af EUCI. Ingen FIDUCIA-information kan opbevares eller konsulteres uden for FIDUCIA-kontorets lokaler, der er oprettet med henblik herpå i et område, der selv er sikret.

4.   Til beskyttelsen af FIDUCIA-informationerne må der kun anvendes udstyr eller anordninger, der er i overensstemmelse med de regler, som inden for EU-institutionerne finder anvendelse på området for beskyttelse af EUCI.

5.   Bestemmelserne til gennemførelse af denne artikel findes i bilag II.

Artikel 9

Håndtering af FIDUCIA-informationer

1.   Ved »håndtering af FIDUCIA-informationer« forstås anvendelse af administrative foranstaltninger til beskyttelse af FIDUCIA-informationerne under hele sagen ved Retten og senest ved udløbet af den frist, der er fastsat i artikel 56, stk. 1, i statutten for Den Europæiske Unions Domstol, og til kontrol hermed med henblik på at bidrage til at forhindre og afsløre forsætlig eller uagtsom kompromittering eller tab af sådanne informationer.

2.   Foranstaltningerne til håndtering af FIDUCIA-informationer omfatter bl.a. registrering, konsultation, udarbejdelse, kopiering, opbevaring, returnering og destruktion af FIDUCIA-informationerne.

3.   FIDUCIA-kontoret registrerer FIDUCIA-informationerne, når de modtages og før enhver håndtering.

4.   FIDUCIA-kontorets lokaler underkastes regelmæssig inspektion af sikkerhedsmyndigheden.

5.   Bestemmelserne til gennemførelse af denne artikel findes i bilag III.

Artikel 10

Beskyttelse af de FIDUCIA-informationer, der behandles elektronisk

1.   De informations- og kommunikationssystemer (computere og perifert udstyr), der anvendes til håndteringen af FIDUCIA-informationerne, befinder sig i FIDUCIA-kontorets lokaler. De holdes adskilt fra alle elektroniske informationsnet.

2.   Der gennemføres sikkerhedsforanstaltninger for at beskytte det EDB-udstyr, der anvendes til håndteringen af FIDUCIA-informationerne, mod kompromittering af sådanne informationer gennem utilsigtede elektromagnetiske emissioner (sikkerhedsforanstaltninger svarende til dem, der gælder for EUCI SECRET UE/EU SECRET i overensstemmelse med de regler, som inden for EU-institutionerne finder anvendelse på området for beskyttelse af EUCI).

3.   Informations- og kommunikationssystemerne skal være genstand for en akkreditering, der tildeles af sikkerhedsmyndigheden, som sikrer sig, at de opfylder de regler, som inden for EU-institutionerne finder anvendelse på området for beskyttelse af EUCI.

4.   Bestemmelserne til gennemførelse af denne artikel findes i bilag IV.

Artikel 11

Sikkerhed i tilfælde af intervention udefra

1.   Ved »sikkerhed i tilfælde af intervention udefra« forstås anvendelse af foranstaltninger, med hvilke det tilsigtes at sikre, at FIDUCIA-informationerne beskyttes af kontrahenter, der skal intervenere i forbindelse med vedligeholdelsen af de fra IT-netværket isolerede informations- og kommunikationssystemer, eller i forbindelse med et indgreb, der gør det nødvendigt hurtigt at flytte FIDUCIA-informationerne med henblik på at anbringe dem et sikkert sted.

2.   Sikkerhedsmyndigheden kan overdrage opfyldelsen af opgaver, som indebærer eller forudsætter, at kontrahenter, der er registreret i en medlemsstat, i medfør af den kontrakt, de har indgået, får adgang til FIDUCIA-informationerne.

3.   Sikkerhedsmyndigheden sikrer, at de minimumssikkerhedsstandarder, der er fastsat i denne afgørelse, og som er omhandlet i kontrakten, overholdes ved tildelingen af kontrakter.

4.   En kontrahents personale kan kun få adgang til FIDUCIA-informationer, efter at sikkerhedsmyndigheden har givet det tilladelse hertil på grundlag af en personelsikkerhedsgodkendelse udstedt af den nationale sikkerhedsmyndighed eller af enhver anden sikkerhedsmyndighed, som er kompetent i overensstemmelse med nationale love eller administrative bestemmelser.

5.   Bestemmelserne til gennemførelse af denne artikel findes i bilag V.

Artikel 12

Ingen digital spredning, fremsendelse eller udveksling af FIDUCIA-informationerne

1.   FIDUCIA-informationerne spredes under ingen omstændigheder i digital form.

2.   Retten fremsender ikke FIDUCIA-informationer til EU-institutionerne, -organerne, -kontorerne eller -agenturerne, til medlemsstaterne, til de øvrige parter i sagen eller til tredjemand.

Artikel 13

Brud på sikkerheden og kompromittering af FIDUCIA-informationerne

1.   Ved brud på sikkerheden forstås resultatet af en persons handling eller forsømmelse, der er i strid med sikkerhedsreglerne i denne afgørelse.

2.   FIDUCIA-informationerne anses for at være kompromitteret, hvis de som følge af et brud på sikkerheden helt eller delvist er videregivet til uautoriserede personer eller til personer, der ikke anses for at være autoriserede.

3.   Eventuelle brud på eller eventuel mistanke om brud på sikkerheden skal straks meldes til sikkerhedsmyndigheden.

4.   Hvis det konstateres, eller hvis der er rimelig grund til at formode, at FIDUCIA-informationer er kompromitteret eller bortkommet, skal sikkerhedsmyndigheden i tæt samarbejde med Rettens præsident og justitssekretær træffe alle passende foranstaltninger i overensstemmelse med de relevante bestemmelser for at:

a)

orientere den hovedpart, der har fremlagt de pågældende oplysninger eller dokumenter

b)

anmode den kompetente myndighed om at indlede en administrativ undersøgelse

c)

vurdere den potentielle skade for Unionens eller en eller flere af dens medlemsstaters sikkerhed eller for varetagelsen af deres internationale forbindelser

d)

træffe passende foranstaltninger til at forebygge en gentagelse, og

e)

underrette de kompetente myndigheder om de foranstaltninger, der er truffet.

5.   Enhver, der er ansvarlig for brud på sikkerhedsreglerne i denne afgørelse, kan pålægges disciplinære foranstaltninger i overensstemmelse med gældende bestemmelser. Enhver, der er ansvarlig for kompromittering eller bortkomst af FIDUCIA-informationer, pålægges disciplinære foranstaltninger og/eller retsforfølges i overensstemmelse med gældende bestemmelser.

Artikel 14

Sikkerhedsorganisation i Retten

1.   FIDUCIA-kontoret varetager beskyttelsen af FIDUCIA-informationerne i henhold til denne afgørelse.

2.   Sikkerhedsmyndigheden er ansvarlig for, at denne afgørelse finder korrekt anvendelse. Med henblik herpå skal sikkerhedsmyndigheden:

a)

gennemføre Den Europæiske Unions Domstols sikkerhedspolitik og løbende tage den op til revision

b)

føre tilsyn med FIDUCIA-kontorets gennemførelse af denne afgørelse

c)

når det er relevant og på de i artikel 13 fastsatte betingelser, iværksætte undersøgelser ved konstatering af eller mistanke om kompromittering eller tab af FIDUCIA-informationer

d)

iværksætte periodiske inspektioner af ordningerne for sikkerhedsbeskyttelse af FIDUCIA-informationerne i FIDUCIA-kontorets lokaler.

Artikel 15

Praktiske gennemførelsesforanstaltninger

De praktiske foranstaltninger til gennemførelse af denne afgørelse fastsættes af sikkerhedsmyndigheden efter aftale med Rettens justitssekretær.

Artikel 16

Ikrafttræden

Denne afgørelse træder i kraft dagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Udfærdiget i Luxembourg, den 14. september 2016.

E. COULON

Justitssekretær

M. JAEGER

Præsident

BILAG I

SIKKERHEDSFORANSTALTNINGER VEDRØRENDE PERSONER

1.

Dette bilag indeholder bestemmelserne til gennemførelse af afgørelsens artikel 7.

2.

For så vidt som det vedrører Rettens justitssekretær, tilkommer det denne i det omfang, det er strengt nødvendigt, at identificere de stillinger, der forudsætter adgang til FIDUCIA-informationer, og som følgelig kræver, at de tjenestemænd og øvrige ansatte, der bestrider de pågældende stillinger ved Retten, får tilladelse til at få adgang til FIDUCIA-informationer.

3.

Med henblik på tildelingen af en tilladelse til at få adgang til FIDUCIA-informationer sender FIDUCIA-kontoret det sikkerhedsspørgeskema, som den pågældende tjenestemand eller øvrige ansatte har udfyldt, til den nationale sikkerhedsmyndighed i den medlemsstat, hvor den pågældende er statsborger, eller til enhver anden kompetent national myndighed, der er identificeret i de regler, som finder anvendelse inden for EU-institutionerne på området for beskyttelse af EUCI (herefter »den kompetente NSA«), og anmoder om, at der gennemføres en sikkerhedsundersøgelse for klassifikationsgraden SECRET UE/EU SECRET.

4.

Efter gennemførelsen af sikkerhedsundersøgelsen, som er underlagt de gældende love og forskrifter i den pågældende medlemsstat, skal den kompetente NSA underrette FIDUCIA-kontoret om konklusionerne af den omhandlede undersøgelse.

5.

Når den kompetente NSA efter gennemførelsen af sikkerhedsundersøgelsen har fået bekræftelse på, at der ikke foreligger negative oplysninger, som kan rejse tvivl om den pågældendes loyalitet, troværdighed og pålidelighed, kan den kompetente ansættelsesmyndighed give personen tilladelse til at få adgang til FIDUCIA-informationer.

6.

Når den i punkt 5 omhandlede bekræftelse ikke foreligger efter gennemførelsen af sikkerhedsundersøgelsen, underretter den kompetente ansættelsesmyndighed den berørte person herom. I et sådant tilfælde kan FIDUCIA-kontoret efter instruks fra den kompetente ansættelsesmyndighed anmode den kompetente NSA om alle de supplerende nærmere oplysninger, som denne kan give i overensstemmelse med de nationale love og forskrifter. Såfremt resultatet af sikkerhedsundersøgelsen bekræftes, tildeles der ikke autorisation til at få adgang til FIDUCIA-informationer.

7.

Autorisationen til at få adgang til FIDUCIA-informationer er gyldig i fem år. Den inddrages, når den pågældende person fratræder den stilling, der forudsætter adgang til FIDUCIA-informationer, eller når den kompetente ansættelsesmyndighed finder, at der foreligger grunde til inddragelse af autorisationen.

8.

Autorisationen til at få adgang til FIDUCIA-informationer kan fornyes i overensstemmelse med den i punkt 3-5 omhandlede procedure.

9.

FIDUCIA-kontoret fører et register over autorisationerne til at få adgang til FIDUCIA-informationer.

10.

Hvis FIDUCIA-kontoret får kendskab til oplysninger om, at en person, der er i besiddelse af en autorisation til at få adgang til FIDUCIA-informationer, udgør en sikkerhedsrisiko, underretter FIDUCIA-kontoret den kompetente NSA herom, og den kompetente NSA kan suspendere adgangen til FIDUCIA-informationer eller inddrage autorisationen til at få adgang til disse informationer.

11.

I hastetilfælde kan den kompetente ansættelsesmyndighed, efter samråd med den kompetente NSA og med forbehold af resultatet af en foreløbig kontrol for at undersøge, at der ikke er konstateret negative oplysninger, give de pågældende tjenestemænd og øvrige ansatte en midlertidig autorisation til at få adgang til FIDUCIA-informationer. Sådanne midlertidige autorisationer er gyldige, indtil den i punkt 3-5 omhandlede procedure er afsluttet, idet gyldigheden dog ikke må overstige seks måneder fra den dato, hvor anmodningen om en sikkerhedsundersøgelse blev indgivet til den kompetente NSA.

12.

De personer, der er autoriserede til at få afgang til FIDUCIA-informationer, skal inden tildelingen heraf modtage en uddannelse, der har til formål at gøre dem i stand til at påtage sig deres ansvar i håndteringen af FIDUCIA-informationerne. Autorisationen til at få adgang til FIDUCIA-informationer får først virkning efter denne uddannelse og efter indgivelse af en skriftlig ansvarsbekræftelse.

BILAG II

FYSISK SIKKERHED

I.   INDLEDNING

1.

Dette bilag indeholder bestemmelserne til gennemførelse af afgørelsens artikel 8. Det fastsætter mindstekravene til den fysiske beskyttelse af FIDUCIA-kontorets lokaler, hvor FIDUCIA-informationerne håndteres og opbevares.

2.

De fysiske sikkerhedsforanstaltninger udformes med henblik på at forhindre uautoriseret adgang til FIDUCIA-informationerne ved:

a)

at sikre, at FIDUCIA-informationerne håndteres og opbevares hensigtsmæssigt

b)

at muliggøre en personalemæssig adskillelse i forhold til, om personerne i overensstemmelse med need-to-know-princippet er autoriseret til at få adgang til FIDUCIA-informationerne eller ej

c)

at forhindre, vanskeliggøre og afsløre uautoriserede handlinger, og

d)

at forhindre eller forsinke enhver hemmelig eller tiltvungen adgang til FIDUCIA-kontorets lokaler.

3.

De fysiske sikkerhedsforanstaltninger udvælges på grundlag af en vurdering af truslen mod FIDUCIA-informationerne. Disse foranstaltninger skal tage hensyn til omgivelserne og strukturen af FIDUCIA-kontorets lokaler. Sikkerhedsmyndigheden fastlægger den grad af sikkerhed, som skal opnås for hver af de følgende fysiske foranstaltninger:

a)

en perimeterafspærring, der afgrænser det område, som kræver sikkerhedsbeskyttelse

b)

system til afsløring af indtrængen, der er forbundet med kommando- og sikkerhedsposten ved Den Europæiske Unions Domstol

c)

adgangskontrolsystem, der foretages elektronisk eller elektromekanisk, og som udføres af sikkerhedspersonale

d)

sikkerhedspersonale, der er uddannet, er under tilsyn og er autoriserede til at få adgang til FIDUCIA-informationer

e)

videoovervågningssystem i et lukket kredsløb, der styres af sikkerhedspersonalet, og som er forbundet med systemet til afsløring af indtrængen og med adgangskontrolsystemet

f)

sikkerhedsbelysning, der sikrer en effektiv overvågning foretaget direkte eller ved hjælp af et videoovervågningssystem

g)

eventuelle andre passende fysiske foranstaltninger, der skal forhindre eller afsløre uautoriseret adgang eller forhindre konsultation eller tab af eller skade på en FIDUCIA-information.

II.   LOKALER TIL OPBEVARING OG KONSULTATION AF FIDUCIA-INFORMATIONERNE

Oprettelse af fysisk beskyttede lokaler til opbevaring og konsultation

4.

Der oprettes sikrede lokaler med henblik på opbevaringen og konsultationen af FIDUCIA-informationerne. FIDUCIA-informationerne kan kun opbevares og konsulteres i de af FIDUCIA-kontorets lokaler, som til fulde opfylder de regler, der finder anvendelse inden for EU-institutionerne på området for beskyttelse af EUCI.

5.

I disse lokaler sikres opbevaringen af FIDUCIA-informationerne i sikkerhedscontainere, som ligeledes til fulde opfylder de regler, der finder anvendelse inden for EU-institutionerne på området for beskyttelse af EUCI.

6.

Der kan ikke medbringes noget kommunikationsudstyr (telefoner eller andet elektronisk udstyr) i FIDUCIA-kontorets lokaler.

7.

FIDUCIA-kontorets møderum er beskyttet mod aflytning. Det skal regelmæssigt underkastes en elektroniksikkerhedsinspektion.

Adgang til opbevarings- og konsultationslokalerne

8.

Adgangen til FIDUCIA-kontorets lokaler kontrolleres ved hjælp af en videoovervåget identifikationssluse.

9.

De personer, der er autoriseret til at få adgang til FIDUCIA-informationer, og de personer, som anses for at være autoriseret, kan få adgang til FIDUCIA-kontorets lokaler for at konsultere FIDUCIA-informationer under de betingelser, der er fastsat i denne afgørelses artikel 7, stk. 1 og 2.

10.

Sikkerhedsmyndigheden kan undtagelsesvis udstede en adgangsautorisation til ikke-autoriserede personer, hvis intervention i FIDUCIA-kontorets lokaler er nødvendig, under forbehold af at adgangen til disse lokaler ikke indebærer en adgang til FIDUCIA-informationerne, som skal forblive ude af syne i sikkerhedscontainerne. Disse personers adgang kan kun ske under ledsagelse og konstant overvågning af en medarbejder fra FIDUCIA-kontoret, der er autoriseret til at få adgang til FIDUCIA-informationer.

11.

Enhver adgang til FIDUCIA-kontorets lokaler skal føres ind i et adgangsregister. Dette register føres fra en arbejdsstation, der befinder sig i disse lokaler. Det hertil anvendte informations- og kommunikationsudstyr skal opfylde de sikkerhedskrav, som er fastsat i afgørelsens artikel 10 og i bilag IV.

12.

De beskyttelsesforanstaltninger, der regulerer den skriftlige brug af FIDUCIA-informationerne, finder anvendelse i tilfælde af mundtlig brug af disse informationer.

III.   KONTROL MED NØGLER OG KODER, DER ANVENDES TIL SIKKERHEDSBESKYTTELSE AF FIDUCIA-INFORMATIONERNE

13.

Sikkerhedsmyndigheden fastsætter procedurerne for forvaltning af nøglerne og koderne til FIDUCIA-kontorets lokaler og til sikkerhedscontainere. Sådanne procedurer skal beskytte mod uautoriseret adgang.

14.

Koderne skal læres udenad af det mindst mulige antal personer, der har behov for at kende dem. Koder til sikkerhedscontainere, hvor der opbevares FIDUCIA-informationer, skal ændres:

a)

når der modtages en ny container

b)

når der sker en ændring i det personale, der kender koden

c)

når der er konstateret en kompromittering, eller der er mistanke herom

d)

når der er foretaget vedligeholdelse eller reparation af en lås, og

e)

mindst hver 12. måned.

15.

Det tekniske udstyr til fysisk beskyttelse af FIDUCIA-informationerne skal opfylde de regler, der finder anvendelse inden for EU-institutionerne på området for beskyttelse af EUCI. Sikkerhedsmyndigheden er ansvarlig for, at disse regler iagttages.

16.

Det tekniske udstyr skal inspiceres med jævne mellemrum, og udstyret skal vedligeholdes regelmæssigt. Vedligeholdelsesarbejdet skal tage hensyn til resultatet af inspektionerne for at sikre, at udstyret fortsat fungerer optimalt.

17.

Effektiviteten af de forskellige sikkerhedsforanstaltninger og af det samlede sikkerhedssystem skal reevalueres ved hver inspektion.

BILAG III

HÅNDTERING AF FIDUCIA-INFORMATIONERNE

I.   INDLEDNING

1.

Dette bilag indeholder bestemmelserne til gennemførelse af afgørelsens artikel 9. Det fastsætter de administrative foranstaltninger til beskyttelse af FIDUCIA-informationerne under hele sagen ved Retten og senest ved udløbet af den frist, der er fastsat i artikel 56, stk. 1, i statutten for Den Europæiske Unions Domstol, og til kontrol af disse informationer for at bidrage til at forhindre og afsløre forsætlig eller uagtsom kompromittering eller tab af sådanne informationer.

II.   REGISTER OVER FIDUCIA-INFORMATIONERNE

2.

Der oprettes et register over FIDUCIA-informationerne. FIDUCIA-kontoret fører dette register fra en arbejdsstation, der befinder sig i FIDUCIA-kontorets lokaler. Det informations- og kommunikationsudstyr, der anvendes til at føre dette register, skal opfylde de sikkerhedskrav, som er fastsat i afgørelsens artikel 10 og i bilag IV.

III.   REGISTRERING AF FIDUCIA-INFORMATIONERNE

3.

I denne afgørelse forstås ved sikkerhedsregistrering (herefter »registrering«) anvendelse af procedurer, som registrerer en FIDUCIA-informations livscyklus, herunder dens destruktion.

4.

Registreringen af FIDUCIA-informationerne varetages af FIDUCIA-kontoret.

5.

FIDUCIA-kontoret tildeler automatisk FIDUCIA-mærkningen til de oplysninger eller dokumenter, der er fremlagt i henhold til procesreglementets artikel 105, stk. 1 eller 2. FIDUCIA-kontoret registrerer FIDUCIA-informationen i registret over FIDUCIA-informationerne.

6.

FIDUCIA-kontoret udarbejder en rapport, der vedlægges som bilag i registret over FIDUCIA-informationerne, idet betingelserne for modtagelse af informationen skal præciseres. Sidstnævnte opbevares herefter i henhold til den fremgangsmåde, som er fastsat i det foregående punkt.

7.

Registreringen, i overensstemmelse med punkt 5 og 6, af FIDUCIA-informationen i registret over FIDUCIA-informationerne berører ikke den processuelle registrering, der foretages af de personer, som er autoriseret til at få adgang til FIDUCIA-informationer på Justitskontoret.

IV.   HÅNDTERING AF FIDUCIA-INFORMATIONERNE

Mærkning

8.

Når en EUCI eller enhver anden information, om hvilken det er blevet anført, at en videregivelse heraf vil bringe Unionens eller en eller flere af dens medlemsstaters sikkerhed eller varetagelsen af deres internationale forbindelser i fare, fremlægges inden for rammerne af procesreglementets artikel 105, stk. 1 eller 2, tildeles FIDUCIA-mærkningen af FIDUCIA-kontoret.

9.

FIDUCIA-mærkningen skal være klart og korrekt angivet på hver del af dokumentet, uanset hvilket format informationen har: papirformat, lydformat, elektronisk format, m.m.

Udarbejdelse af en FIDUCIA-information

10.

Kun en person, der er autoriseret til at få adgang til FIDUCIA-informationer, eller en person, som anses for at være autoriseret, kan udarbejde en FIDUCIA-information som præciseret i denne afgørelses artikel 4, stk. 2 og 3.

11.

FIDUCIA-kontoret skal registrere enhver udarbejdet FIDUCIA-information i registret over FIDUCIA-informationerne.

12.

En udarbejdet FIDUCIA-information er underlagt samtlige regler vedrørende håndteringen af FIDUCIA-informationerne, således som disse regler er fastsat i denne afgørelse og i bilagene hertil.

Sletning af FIDUCIA-mærkningen

13.

FIDUCIA-informationerne fortaber deres mærkning i de følgende to tilfælde:

a)

Når den hovedpart, der har fremlagt FIDUCIA-informationen, giver tilladelse til videregivelse heraf til den anden hovedpart, fortaber den oprindeligt fremlagte information og alle de informationer, der er udarbejdet på grundlag af denne information, deres FIDUCIA-mærkning.

b)

Når FIDUCIA-informationen returneres til den hovedpart, der har fremlagt den.

14.

Sletningen af FIDUCIA-mærkningen foretages af FIDUCIA-kontoret, som registrerer denne sletning i registret over FIDUCIA-informationerne.

15.

Sletningen af FIDUCIA-mærkningen indebærer ikke, at EUCI'erne afklassificeres.

V.   KOPIERING AF FIDUCIA-INFORMATIONER

16.

FIDUCIA-informationerne må ikke kopieres, medmindre genparterne er nødvendige. I sidstnævnte tilfælde foretages kopieringen af FIDUCIA-kontoret, som nummererer og registrerer genparterne.

17.

Genparterne er underlagt samtlige de sikkerhedsregler, der er fastsat i denne afgørelse og i bilagene hertil.

VI.   DESTRUKTION AF FIDUCIA-INFORMATIONERNE

18.

Når de oplysninger eller dokumenter, som er blevet fremlagt i henhold til procesreglementets artikel 105, stk. 1 eller 2, er blevet returneret til den hovedpart, der har fremlagt dem, bliver alle de informationer, som helt eller delvist gengiver indholdet af sådanne oplysninger eller dokumenter, og alle eventuelt udarbejdede genparter destrueret.

19.

Den i punkt 18 omhandlede destruktion af FIDUCIA-informationerne varetages af FIDUCIA-kontoret, der skal anvende de metoder, som opfylder de gældende regler inden for EU-institutionerne på området for beskyttelse af EUCI, for at forhindre en fuldstændig eller delvis rekonstruktion heraf.

20.

Den i punkt 18 omhandlede destruktion af FIDUCIA-informationerne foretages i overværelse af et vidne, der er autoriseret til at få adgang til FIDUCIA-informationer.

21.

FIDUCIA-kontoret udarbejder en destruktionsattest.

22.

Destruktionsattesten vedlægges registret over FIDUCIA-informationerne. En genpart heraf fremsendes til den hovedpart, som har fremlagt det pågældende dokument.

BILAG IV

BESKYTTELSE AF DE FIDUCIA-INFORMATIONER, DER HÅNDTERES ELEKTRONISK

1.

Dette bilag indeholder bestemmelserne til gennemførelse af artikel 10.

2.

FIDUCIA-informationerne må kun håndteres på elektroniske apparater (arbejdsstationer, printere, fotokopimaskiner), der ikke er forbundet med IT-netværket, og som er placeret i FIDUCIA-kontorets lokaler.

3.

De elektroniske apparater, der anvendes til håndteringen af FIDUCIA-informationerne, skal opfylde de gældende regler inden for EU-institutionerne på området for beskyttelse af EUCI. Disse apparaters sikkerhed skal sikres under hele deres livscyklus.

4.

Enhver mulig forbindelse til internettet og andre værktøjer (LAN, WLAN, Bluetooth, osv.) slås permanent fra.

5.

Arbejdsstationerne skal være udstyret med en passende antivirus-beskyttelse. Antivirus-opdateringen skal ske ved hjælp af en CD-rom eller en USB-nøgle, der udelukkende må anvendes hertil.

6.

Printernes og fotokopimaskinernes hukommelse skal slettes før ethvert vedligeholdelsesarbejde.

7.

Til behandlingen af de i bilag I omhandlede undersøgelsesanmodninger må der alene anvendes kryptografiske produkter, som er godkendt i overensstemmelse med de gældende regler inden for EU-institutionerne på området for beskyttelse af EUCI.

BILAG V

SIKKERHED I TILFÆLDE AF INTERVENTION UDEFRA

1.

Dette bilag indeholder bestemmelserne til gennemførelse af artikel 11.

2.

Kontrahenternes adgang til FIDUCIA-informationerne kan kun ske i forbindelse med vedligeholdelsen af de fra IT-netværket isolerede informations- og kommunikationssystemer eller i forbindelse med et indgreb, der gør det nødvendigt hurtigt at flytte FIDUCIA-informationerne med henblik på at anbringe dem et sikkert sted.

3.

Sikkerhedsmyndigheden udarbejder retningslinjer på området for intervention udefra, der særligt omfatter sikkerhedsgodkendelsen af kontrahenternes personale og indholdet af de kontrakter, som er omhandlet i dette bilag.

4.

De dokumenter, der vedrører udbuddet, og kontrakten vedrørende vedligeholdelse af de fra IT-netværket isolerede informations- og kommunikationssystemer påtegnes FIDUCIA-mærkningen, når de indeholder informationer, hvis uautoriserede videregivelse kan bringe Unionens eller en eller flere af dens medlemsstaters sikkerhed eller varetagelsen af deres internationale forbindelser i fare. Denne kontrakts bilag vedrørende sikkerhed skal indeholde bestemmelser, der pålægger kontrahenten at overholde de i denne afgørelse anførte minimumsstandarder. Manglende iagttagelse af disse minimumsstandarder kan udgøre en tilstrækkelig begrundelse for opsigelse af kontrakten.

5.

Den kontrakt, som indebærer indgreb, der gør det nødvendigt hurtigt at flytte FIDUCIA-informationerne med henblik på at anbringe dem et sikkert sted, skal indeholde en angivelse af antallet af sikkerhedsfolk, som skal være i besiddelse af en personalesikkerhedsgodkendelse. Den skal ikke indeholde nogen nærmere angivelse af de procedurer, der skal gennemføres. Denne kontrakt påtegnes ikke FIDUCIA-mærkningen.

6.

Kontrahenten kan ikke udlicitere aktiviteter, der er fastsat i udbuddet og i den kontrakt, som indebærer eller forudsætter en adgang til FIDUCIA-informationerne.