This document is an excerpt from the EUR-Lex website
Document 32021D0259
Commission Decision (EU, Euratom) 2021/259 of 10 February 2021 laying down implementing rules on industrial security with regard to classified grants
Beschluss (EU, Euratom) 2021/259 der Kommission vom 10. Februar 2021 zur Festlegung von Durchführungsbestimmungen über den Geheimschutz in der Wirtschaft in Bezug auf als Verschlusssache eingestufte Finanzhilfen
Beschluss (EU, Euratom) 2021/259 der Kommission vom 10. Februar 2021 zur Festlegung von Durchführungsbestimmungen über den Geheimschutz in der Wirtschaft in Bezug auf als Verschlusssache eingestufte Finanzhilfen
C/2021/999
ABl. L 58 vom 19.2.2021, p. 55–97
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
19.2.2021 |
DE |
Amtsblatt der Europäischen Union |
L 58/55 |
BESCHLUSS (EU, Euratom) 2021/259 DER KOMMISSION
vom 10. Februar 2021
zur Festlegung von Durchführungsbestimmungen über den Geheimschutz in der Wirtschaft in Bezug auf als Verschlusssache eingestufte Finanzhilfen
DIE EUROPÄISCHE KOMMISSION —
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 249,
gestützt auf den Vertrag zur Gründung der Europäischen Atomgemeinschaft, insbesondere auf Artikel 106,
gestützt auf die Verordnung (EU, Euratom) 2018/1046 des Europäischen Parlaments und des Rates vom 18. Juli 2018 über die Haushaltsordnung für den Gesamthaushaltsplan der Union, zur Änderung der Verordnungen (EU) Nr. 1296/2013, (EU) Nr. 1301/2013, (EU) Nr. 1303/2013, (EU) Nr. 1304/2013, (EU) Nr. 1309/2013, (EU) Nr. 1316/2013, (EU) Nr. 223/2014, (EU) Nr. 283/2014 und des Beschlusses Nr. 541/2014/EU sowie zur Aufhebung der Verordnung (EU, Euratom) Nr. 966/2012 (1),
gestützt auf den Beschluss (EU, Euratom) 2015/443 der Kommission vom 13. März 2015 über Sicherheit in der Kommission (2),
gestützt auf den Beschluss (EU, Euratom) 2015/444 der Kommission vom 13. März 2015 über die Sicherheitsvorschriften für den Schutz von EU-Verschlusssachen (3),
gestützt auf den Beschluss (EU, Euratom) 2017/46 der Kommission vom 10. Januar 2017 über die Sicherheit von Kommunikations- und Informationssystemen in der Europäischen Kommission (4),
nach Zurateziehung der Sicherheitsexpertengruppe der Kommission gemäß Artikel 41 Absatz 5 des Beschlusses (EU, Euratom) 2015/444,
in Erwägung nachstehender Gründe:
(1) |
Nach den Artikeln 41, 42, 47 und 48 des Beschlusses (EU, Euratom) 2015/444 sind ausführlichere Bestimmungen zur Ergänzung und Unterstützung von Kapitel 6 des besagten Beschlusses in Durchführungsbestimmungen für den Geheimschutz in der Wirtschaft festzulegen, in denen unter anderem die Gewährung von als Verschlusssache eingestuften Finanzhilfevereinbarungen, Sicherheitsbescheiden von Einrichtungen, Sicherheitsermächtigungen für Personal, Besuche sowie die Übermittlung und Beförderung von EU-Verschlusssachen (im Folgenden „EU-VS“) geregelt werden. |
(2) |
Nach dem Beschluss (EU, Euratom) 2015/444 sollen als Verschlusssache eingestufte Finanzhilfevereinbarungen in enger Zusammenarbeit mit der nationalen Sicherheitsbehörde, der beauftragten Sicherheitsbehörde oder einer anderen zuständigen Behörde des betreffenden Mitgliedstaats ausgeführt werden. Die Mitgliedstaaten haben in dem Übereinkommen zwischen den im Rat vereinigten Mitgliedstaaten der Europäischen Union über den Schutz von Verschlusssachen, die im Interesse der Europäischen Union ausgetauscht werden (2011/C 202/05) (5), vereinbart sicherzustellen, dass alle ihrer Hoheitsgewalt unterstehenden Einrichtungen, die von der Kommission herausgegebene Verschlusssachen erhalten oder erstellen dürfen, einer entsprechenden Sicherheitsprüfung unterzogen wurden und einen angemessenen Schutz gewährleisten können, der demjenigen entspricht, der durch die Sicherheitsvorschriften des Rates der Europäischen Union für den Schutz von EU-Verschlusssachen mit einer entsprechenden Einstufungskennzeichnung gewährt wird. |
(3) |
Wie aus den Erklärungen hervorgeht, die dem Protokoll der Ratstagung beigefügt waren, auf der der Beschluss 2013/488/EU des Rates (6) über die Sicherheitsvorschriften für den Schutz von EU-Verschlusssachen erlassen wurde, haben der Rat, die Kommission und die Hohe Vertreterin der Union für Außen- und Sicherheitspolitik vereinbart, größtmögliche Einheitlichkeit bei der Anwendung der Sicherheitsvorschriften bezüglich des Schutzes von EU-VS zu gewährleisten, wobei jedoch ihren jeweiligen spezifischen institutionellen und organisatorischen Bedürfnissen Rechnung getragen wird. |
(4) |
Die Durchführungsbestimmungen der Kommission über den Geheimschutz in der Wirtschaft in Bezug auf als Verschlusssache eingestufte Finanzhilfen sollten daher auch größtmögliche Einheitlichkeit gewährleisten und den vom Sicherheitsausschuss des Rates am 13. Dezember 2016 gebilligten Leitlinien für den Geheimschutz in der Wirtschaft Rechnung tragen. |
(5) |
Am 4. Mai 2016 erließ die Kommission einen Beschluss (7), mit dem das für Sicherheitsfragen zuständige Kommissionsmitglied ermächtigt wurde, im Namen der Kommission und unter ihrer Verantwortung die in Artikel 60 des Beschlusses (EU, Euratom) 2015/444 der Kommission vorgesehenen Durchführungsbestimmungen zu erlassen — |
HAT FOLGENDEN BESCHLUSS ERLASSEN:
KAPITEL 1
ALLGEMEINE BESTIMMUNGEN
Artikel 1
Gegenstand und Anwendungsbereich
(1) Dieser Beschluss enthält Durchführungsbestimmungen über den Geheimschutz in der Wirtschaft in Bezug auf als Verschlusssache eingestufte Finanzhilfen im Sinne des Beschlusses (EU, Euratom) 2015/444, insbesondere von dessen Kapitel 6.
(2) In diesem Beschluss werden spezifische Anforderungen festgelegt, um den Schutz von EU-Verschlusssachen (EU-VS) bei der Veröffentlichung von Aufforderungen zur Einreichung von Vorschlägen und bei der Gewährung von Finanzhilfen und der Ausführung der von der Europäischen Kommission geschlossenen Finanzhilfevereinbarungen zu gewährleisten.
(3) Dieser Beschluss betrifft Finanzhilfen, die als Verschlusssachen folgender Ebenen eingestuft wurden:
a) |
„RESTREINT UE/EU RESTRICTED“, |
b) |
„CONFIDENTIEL UE/EU CONFIDENTIAL“, |
c) |
„SECRET UE/EU SECRET“. |
(4) Dieser Beschluss gilt unbeschadet besonderer Vorschriften, die in anderen Rechtsakten festgelegt sind, beispielsweise in Rechtsakten, die das Europäische Programm zur industriellen Entwicklung im Verteidigungsbereich betreffen.
Artikel 2
Zuständigkeiten innerhalb der Kommission
(1) Im Rahmen der Zuständigkeiten des Anweisungsbefugten der Vergabebehörde gemäß der Verordnung (EU, Euratom) 2018/1046 des Europäischen Parlaments und des Rates stellt der Anweisungsbefugte sicher, dass die als Verschlusssache eingestufte Finanzhilfe mit dem Beschluss (EU, Euratom) 2015/444 und seinen Durchführungsbestimmungen im Einklang steht.
(2) Zu diesem Zweck zieht der zuständige Anweisungsbefugte in allen Phasen die Sicherheitsstelle der Kommission zu Fragen im Zusammenhang mit den Sicherheitselementen einer als Verschlusssache eingestuften Finanzhilfevereinbarung bzw. eines derartigen Programms oder Projekts zu Rate und unterrichtet die örtlichen Sicherheitsbeauftragten über die unterzeichneten als Verschlusssache eingestuften Finanzhilfevereinbarungen. Die Entscheidung über den Geheimhaltungsgrad bestimmter Aspekte liegt bei der Vergabebehörde und wird unter gebührender Berücksichtigung des Einstufungsleitfadens für Verschlusssachen getroffen.
(3) Werden die in Artikel 5 Absatz 3 genannten Programm- oder Projektsicherheitsanweisungen angewandt, so nehmen die Vergabebehörde und die Sicherheitsstelle der Kommission die ihnen in diesen Anweisungen übertragenen Aufgaben wahr.
(4) Unter Einhaltung der Anforderungen dieser Durchführungsbestimmungen arbeitet die Sicherheitsstelle der Kommission eng mit den nationalen Sicherheitsbehörden und den beauftragten Sicherheitsbehörden der betroffenen Mitgliedstaaten zusammen, insbesondere in Bezug auf Sicherheitsbescheide für Einrichtungen sowie Sicherheitsermächtigungen für Personal, Besuchsverfahren und Beförderungspläne.
(5) Werden Finanzhilfen von Exekutivagenturen oder anderen Fördereinrichtungen der EU verwaltet und finden die in anderen Rechtsakten festgelegten spezifischen Vorschriften gemäß Artikel 1 Absatz 4 keine Anwendung,
a) |
so übt die übertragende Kommissionsdienststelle die Rechte des Herausgebers von EU-VS aus, die im Rahmen der Finanzhilfen generiert wurden, sofern die Übertragungsvereinbarungen dies vorsehen, |
b) |
ist die übertragende Dienststelle der Kommission für die Festlegung des Geheimhaltungsgrades zuständig, |
c) |
werden Ersuchen um Informationen über die Sicherheitsüberprüfung und die Mitteilungen an die nationalen Sicherheitsbehörden und/oder beauftragten Sicherheitsbehörden über die Sicherheitsstelle der Kommission übermittelt. |
KAPITEL 2
BEARBEITUNG VON AUFFORDERUNGEN ZUR EINREICHUNG VON VORSCHLÄGEN VON ALS VERSCHLUSSSACHE EINGESTUFTEN FINANZHILFEN
Artikel 3
Grundsätze
(1) Als Verschlusssache eingestufte Teile von Finanzhilfen werden nur durch in einem Mitgliedstaat registrierte Finanzhilfeempfänger oder durch in einem Drittstaat registrierte oder von einer internationalen Organisation gegründete Finanzhilfeempfänger ausgeführt, wenn der betreffende Drittstaat oder die betreffende internationale Organisation ein Geheimschutzabkommen mit der EU oder eine Verwaltungsvereinbarung mit der Kommission geschlossen hat. (8)
(2) Vor der Aufforderung zur Einreichung von Vorschlägen für als Verschlusssache eingestufte Finanzhilfen legt die Vergabebehörde den Geheimhaltungsgrad der Informationen fest, die den Antragstellern zur Verfügung gestellt werden könnten. Die Vergabebehörde legt zudem die maximale Sicherheitseinstufung von Informationen, die bei der Ausführung der Finanzhilfevereinbarung, des Programms oder Projekts generiert werden, oder zumindest die voraussichtliche Menge und Art der zu produzierenden oder zu bearbeitenden Informationen sowie die Notwendigkeit eines Kommunikations- und Informationssystems (KIS) für Verschlusssachen fest.
(3) Die Vergabebehörde stellt sicher, dass die Aufforderungen zur Einreichung von Vorschlägen für als Verschlusssache eingestufte Finanzhilfen Informationen über die besonderen Sicherheitsanforderungen für Verschlusssachen enthält. Die Unterlagen zur Aufforderung enthalten Klarstellungen zu dem Zeitplan, innerhalb dessen die Finanzhilfeempfänger gegebenenfalls die Sicherheitsbescheide für Einrichtungen beschaffen müssen. Die Anhänge I und II enthalten Mustervorlagen für Angaben zu den Aufforderungsbedingungen.
(4) Die Vergabebehörde stellt sicher, dass Verschlusssachen des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“, „CONFIDENTIEL UE/EU CONFIDENTIAL“ und „SECRET UE/EU SECRET“ den Antragstellern erst offengelegt werden, nachdem sie eine Geheimhaltungsvereinbarung unterzeichnet haben, mit der sie verpflichtet werden, EU-VS gemäß dem Beschluss (EU, Euratom) 2015/444 und den geltenden nationalen Bestimmungen zu bearbeiten und zu schützen.
(5) Werden Antragstellern als „RESTREINT UE/EU RESTRICTED“ eingestufte Informationen bereitgestellt, so werden die in Artikel 5 Absatz 7 des vorliegenden Beschlusses genannten Mindestanforderungen in die Aufforderung zur Einreichung von Vorschlägen oder in die in der Vorschlagsphase geschlossenen Geheimhaltungsvereinbarungen aufgenommen.
(6) Alle Antragsteller und Finanzhilfeempfänger, die verpflichtet sind, Verschlusssachen des Geheimhaltungsgrads „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder „SECRET UE/EU SECRET“ entweder in der Vorschlagsphase oder während der Ausführung der als Verschlusssache eingestuften Finanzhilfevereinbarung selbst innerhalb ihrer Einrichtungen zu behandeln oder zu speichern, müssen mit Ausnahme der in Absatz 9 genannten Fälle im Besitz eines Sicherheitsbescheids für Einrichtungen auf der vorgeschriebenen Stufe sein. Im Folgenden werden die drei Szenarien beschrieben, die während der Vorschlagsphase für eine als Verschlusssache eingestufte Finanzhilfe, die EU-VS der Geheimhaltungsgrade „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder „SECRET UE/EU SECRET“ umfasst, auftreten können:
a) |
Kein Zugang zu EU-VS des Geheimhaltungsgrads „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder „SECRET UE/EU SECRET“ während der Vorschlagsphase: Betrifft die Aufforderung eine Finanzhilfe, die EU-VS des Geheimhaltungsgrads „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder „SECRET UE/EU SECRET“ umfasst, ohne dass der Antragsteller die betreffenden Informationen in der Vorschlagsphase bearbeiten muss, so wird ein Antragsteller nicht vom Antragsverfahren ausgeschlossen, weil er nicht über einen Sicherheitsbescheid für Einrichtungen verfügt. |
b) |
Zugang zu EU-VS des Geheimhaltungsgrads „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder „SECRET UE/EU SECRET“ in den Räumlichkeiten der Vergabebehörde während der Vorschlagsphase: Der Zugang wird dem Personal des Antragstellers gewährt, das über eine entsprechende Sicherheitsermächtigung für Personal verfügt und Kenntnis von den betreffenden Verschlusssachen haben muss. |
c) |
Bearbeitung oder Speicherung bzw. Aufbewahrung von EU-VS des Geheimhaltungsgrads „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder „SECRET UE/EU SECRET“ in den Räumlichkeiten des Antragstellers während der Vorschlagsphase: Ist es gemäß der Aufforderung erforderlich, dass Antragsteller EU-VS in ihren Räumlichkeiten bearbeiten oder aufbewahren, so muss jeder Antragsteller über einen entsprechenden Sicherheitsbescheid für Einrichtungen verfügen. In diesem Fall vergewissert sich die Vergabebehörde über die Sicherheitsstelle der Kommission bei der zuständigen nationalen Sicherheitsbehörde oder beauftragten Sicherheitsbehörde, dass dem Antragsteller ein entsprechender Sicherheitsbescheid für Einrichtungen erteilt wurde, bevor ihm EU-VS zur Verfügung gestellt werden. Der Zugang wird dem Personal des Antragstellers gewährt, das über eine entsprechende Sicherheitsermächtigung für Personal verfügt und Kenntnis von den betreffenden Verschlusssachen haben muss. |
(7) Grundsätzlich ist für den Zugang zu als „RESTREINT UE/EU RESTRICTED“ eingestuften Verschlusssachen weder in der Vorschlagsphase noch bei der Ausführung der Finanzhilfevereinbarung ein Sicherheitsbescheid für Einrichtungen oder eine Sicherheitsermächtigung von Personal erforderlich. Verlangen Mitgliedstaaten – wie in Anhang IV aufgelistet – nach Maßgabe ihrer nationalen Rechtsvorschriften für Finanzhilfevereinbarungen oder Unteraufträge des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“ einen Sicherheitsbescheid für Einrichtungen oder eine Sicherheitsermächtigung für Personal, so dürfen diese nationalen Anforderungen anderen Mitgliedstaaten keine zusätzlichen Verpflichtungen auferlegen oder Antragsteller, Finanzhilfeempfänger oder Unterauftragnehmer aus Mitgliedstaaten, die für den Zugang zu Informationen des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“ keinen Sicherheitsbescheid für Einrichtungen oder keine Sicherheitsermächtigung für Personal verlangen, nicht von entsprechenden Finanzhilfevereinbarungen oder Unteraufträgen oder von diese betreffenden Vergabeverfahren ausgeschlossen werden. Diese Finanzhilfevereinbarungen werden in den Mitgliedstaaten im Einklang mit ihren nationalen Rechtsvorschriften ausgeführt.
(8) Ist für die Bearbeitung einer Aufforderung zur Einreichung von Vorschlägen und für die Ausführung einer als Verschlusssache eingestuften Finanzhilfevereinbarung ein Sicherheitsbescheid für Einrichtungen erforderlich, so übermittelt die Vergabebehörde über die Sicherheitsstelle der Kommission einen Antrag an die nationale Sicherheitsbehörde oder beauftragte Sicherheitsbehörde des Empfängers unter Verwendung eines Auskunftsformulars zu Sicherheitsbescheiden für Einrichtungen oder eines gleichwertigen elektronischen Formulars. Anhang III Unteranhang D enthält ein Muster eines entsprechenden Auskunftsformulars. (9) Die Antwort auf ein entsprechendes Ersuchen erfolgt nach Möglichkeit innerhalb von zehn Arbeitstagen ab dem Datum der Übermittlung des Ersuchens.
(9) Nehmen staatliche Einrichtungen der Mitgliedstaaten oder Einrichtungen unter Regierungskontrolle an als Verschlusssache eingestuften Finanzhilfevereinbarungen teil, für die Sicherheitsbescheide für Einrichtungen erforderlich sind, und werden für diese Einrichtungen keine Sicherheitsbescheide nach nationalem Recht ausgestellt, so überprüft die Vergabebehörde über die Sicherheitsstelle der Kommission bei der betreffenden nationalen Sicherheitsbehörde oder beauftragten Sicherheitsbehörde, ob diese staatlichen Einrichtungen in der Lage sind, EU-VS auf der erforderlichen Ebene zu bearbeiten.
(10) Ist für die Ausführung einer als Verschlusssache eingestuften Finanzhilfevereinbarung eine Sicherheitsermächtigung für Personal und gemäß den nationalen Vorschriften ein Sicherheitsbescheid für Einrichtungen erforderlich, bevor eine Sicherheitsermächtigung erteilt wird, so prüft die Vergabebehörde mithilfe eines Auskunftsformulars zu Sicherheitsbescheiden für Einrichtungen über die Sicherheitsstelle der Kommission bei der nationalen Sicherheitsbehörde des Finanzhilfeempfängers, ob dieser Inhaber eines Sicherheitsbescheids für Einrichtungen ist oder ob das Verfahren für den Sicherheitsbescheid für Einrichtungen läuft. In diesem Fall stellt die Kommission keine Anträge auf Sicherheitsermächtigungen für Personal unter Verwendung des Informationsblatts für die Sicherheitsermächtigung für Personal aus.
Artikel 4
Unterauftragsvergabe bei als Verschlusssache eingestuften Finanzhilfen
(1) Die Bedingungen, unter denen Finanzhilfeempfänger Aufgaben im Zusammenhang mit EU-VS an Unterauftragnehmer vergeben dürfen, werden in der Aufforderung zur Einreichung von Vorschlägen und in der Finanzhilfevereinbarung festgelegt. Zu diesen Bedingungen gehört die Anforderung, dass alle Auskunftsformulare zu Sicherheitsbescheiden für Einrichtungen über die Sicherheitsstelle der Kommission eingereicht werden müssen. Die Vergabe von Unteraufträgen bedarf der vorherigen schriftlichen Zustimmung der Vergabebehörde. Gegebenenfalls erfolgt die Vergabe von Unteraufträgen im Einklang mit dem Basisrechtsakt zur Einrichtung des Programms.
(2) Als Verschlusssache eingestufte Teile von Finanzhilfen werden nur an in einem Mitgliedstaat registrierte Einrichtungen oder durch in einem Drittstaat registrierte oder von einer internationalen Organisation gegründete Einrichtungen untervergeben, wenn der betreffende Drittstaat oder die betreffende internationale Organisation ein Geheimschutzabkommen mit der EU oder eine Verwaltungsvereinbarung mit der Kommission geschlossen hat. (10)
KAPITEL 3
BEARBEITUNG VON ALS VERSCHLUSSSACHE EINGESTUFTEN FINANZHILFEN
Artikel 5
Grundsätze
(1) Bei der Gewährung einer als Verschlusssache eingestuften Finanzhilfe stellt die Vergabebehörde zusammen mit der Sicherheitsstelle der Kommission sicher, dass die Pflichten des Finanzhilfeempfängers in Bezug auf den Schutz von EU-VS, die bei der Ausführung der Finanzhilfevereinbarung verwendet oder generiert werden, fester Bestandteil der Finanzhilfevereinbarung sind. Die finanzhilfespezifischen Sicherheitsanforderungen werden in Form einer Geheimschutzklausel festgelegt. Ein Muster einer Geheimschutzklausel ist in Anhang III enthalten.
(2) Vor der Unterzeichnung einer als Verschlusssache eingestuften Finanzhilfevereinbarung genehmigt die Vergabebehörde einen Einstufungsleitfaden für Verschlusssachen für die wahrzunehmenden Aufgaben und die Informationen, die bei der Ausführung der Finanzhilfe oder gegebenenfalls auf Programm- oder Projektebene generiert werden. Dieser Leitfaden ist Teil der Geheimschutzklausel.
(3) Programm- oder projektspezifische Sicherheitsanforderungen werden in Form von Programm- oder Projektsicherheitsanweisungen festgelegt. Die Projektsicherheitsanweisungen können unter Verwendung der Bestimmungen im Muster der Geheimschutzklausel in Anhang III erstellt werden. Sie werden von der für die Verwaltung des Programms oder Projekts zuständigen Kommissionsdienststelle in enger Zusammenarbeit mit der Sicherheitsstelle der Kommission entwickelt und der Sicherheitsexpertengruppe der Kommission zur Stellungnahme vorgelegt. Ist eine Finanzhilfevereinbarung Teil eines Programms oder Projekts mit eigenen Programm- oder Projektsicherheitsanweisungen, so erhält die Geheimschutzklausel eine vereinfachte Form und enthält einen Verweis auf die Sicherheitsbestimmungen der betreffenden Programm- oder Projektsicherheitsanweisungen.
(4) Außer in den in Artikel 3 Absatz 9 genannten Fällen wird die als Verschlusssache eingestufte Finanzhilfevereinbarung erst unterzeichnet, wenn die nationale Sicherheitsbehörde oder beauftragte Sicherheitsbehörde des Antragstellers den Sicherheitsbescheid für Einrichtungen des Antragstellers bestätigt hat oder, wenn die als Verschlusssache eingestufte Finanzhilfevereinbarung an ein Konsortium vergeben wird, bis die nationale Sicherheitsbehörde oder die beauftragte Sicherheitsbehörde mindestens eines Antragstellers innerhalb des Konsortiums oder gegebenenfalls mehrerer den Sicherheitsbescheid für Einrichtungen dieses Antragstellers bestätigt hat.
(5) Grundsätzlich gilt die Vergabebehörde, sofern in anderen einschlägigen Vorschriften nichts anderes bestimmt ist, als Herausgeber von EU-VS, die bei der Ausführung der Finanzhilfevereinbarung erstellt wurden.
(6) Die Vergabebehörde unterrichtet über die Sicherheitsstelle der Kommission die nationalen Sicherheitsbehörden und/oder beauftragten Sicherheitsbehörden aller Finanzhilfeempfänger und Unterauftragnehmer über den Abschluss von als Verschlusssache eingestuften Finanzhilfevereinbarungen oder Unterverträgen sowie über eine etwaige Verlängerung oder vorzeitige Kündigung derartiger Finanzhilfevereinbarungen oder Unterverträge. Anhang IV enthält eine Liste der länderspezifischen Anforderungen.
(7) Finanzhilfevereinbarungen, die Verschlusssachen des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“ umfassen, enthalten eine Sicherheitsklausel, mit der die Bestimmungen von Anhang III Unteranhang E für die Finanzhilfeempfänger verbindlich werden. Diese Finanzhilfevereinbarungen umfassen eine Geheimschutzklausel, in der Mindestanforderungen für die Bearbeitung von Verschlusssachen des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“, die auch auf Aspekte der Informationssicherung eingehen, sowie besondere Anforderungen festgelegt werden, die die Finanzhilfeempfänger zur Akkreditierung ihres Kommunikations- und Informationssystems, mit dem Verschlusssachen des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“ bearbeitet werden, erfüllen müssen.
(8) Soweit dies aufgrund der nationalen Rechtsvorschriften der Mitgliedstaaten erforderlich ist, stellen die nationalen Sicherheitsbehörden oder beauftragten Sicherheitsbehörden sicher, dass die ihrer Hoheitsgewalt unterstehenden Finanzhilfeempfänger oder Unterauftragnehmer die geltenden Sicherheitsbestimmungen für den Schutz von als „RESTREINT UE/EU RESTRICTED“ eingestuften Verschlusssachen einhalten, und führen Kontrollen bei in ihrem Hoheitsgebiet gelegenen Einrichtungen von Finanzhilfeempfängern oder Unterauftragnehmern durch. Besteht für die nationale Sicherheitsbehörde oder beauftragte Sicherheitsbehörde keine derartige Verpflichtung, stellt die Vergabebehörde sicher, dass die Finanzhilfeempfänger die in Anhang III Unteranhang E festgelegten Sicherheitsbestimmungen umsetzen.
Artikel 6
Zugang von Mitarbeitern der Finanzhilfeempfänger und Unterauftragnehmer zu EU-VS
(1) Die Vergabebehörde stellt sicher, dass als Verschlusssache eingestufte Finanzhilfevereinbarungen Bestimmungen enthalten, die vorsehen, dass Mitarbeitern von Finanzhilfeempfängern oder Unterauftragnehmern, die für die Ausführung der als Verschlusssache eingestuften Finanzhilfevereinbarung oder des Unterauftrags Zugang zu EU-VS benötigen, ein entsprechender Zugang nur dann gewährt werden kann, wenn
a) |
sie nachweislich Kenntnis von den Verschlusssachen haben müssen, |
b) |
sie für Verschlusssachen des Geheimhaltungsgrads „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder „SECRET UE/EU SECRET“ von der jeweiligen nationalen Sicherheitsbehörde oder beauftragten Sicherheitsbehörde oder einer anderen zuständigen Sicherheitsbehörde einer entsprechenden Sicherheitsüberprüfung für Personal unterzogen wurden, |
c) |
sie über die geltenden Sicherheitsvorschriften für den Schutz von EU-VS belehrt wurden und ihre Verantwortlichkeiten hinsichtlich des Schutzes solcher Verschlusssachen anerkannt haben. |
(2) Gegebenenfalls erfolgt der Zugang zu EU-VS auch im Einklang mit dem Basisrechtsakt zur Festlegung des Programms und trägt etwaigen zusätzlichen Kennzeichnungen Rechnung, die im Einstufungsleitfaden für Verschlusssachen festgelegt sind.
(3) Will ein Finanzhilfeempfänger oder Unterauftragnehmer einen Drittstaatsangehörigen in einer Position beschäftigen, die den Zugang zu Verschlusssachen des Geheimhaltungsgrads „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder „SECRET UE/EU SECRET“ erfordert, so liegt es in der Verantwortung des Finanzhilfeempfängers oder Unterauftragnehmers, gemäß den Rechtsvorschriften, die an dem Ort gelten. an dem der Zugang zu den EU-VS gewährt werden soll, das Verfahren zur Sicherheitsüberprüfung der betreffenden Person einzuleiten.
Artikel 7
Zugang zu EU-VS durch Sachverständige, die an Kontrollen, Überprüfungen oder Audits teilnehmen
(1) Sind externe Personen (im Folgenden „Sachverständige“) an Kontrollen, Überprüfungen oder Audits durch die Vergabebehörde oder an Leistungsüberprüfungen der Finanzhilfeempfänger beteiligt, die Zugang zu als „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder „SECRET UE/EU SECRET“ eingestuften Verschlusssachen erfordern, so erhalten sie nur dann einen Vertrag, wenn sie von der jeweiligen nationalen Sicherheitsbehörde oder beauftragten Sicherheitsbehörde oder einer anderen zuständigen Sicherheitsbehörde auf der entsprechenden Stufe sicherheitsüberprüft wurden. Die Vergabebehörde überprüft dies über die Sicherheitsstelle der Kommission mindestens sechs Monate vor Beginn der jeweiligen Verträge und fordert die nationale Sicherheitsbehörde oder die beauftragte Sicherheitsbehörde gegebenenfalls auf, das Sicherheitsüberprüfungsverfahren für Sachverständige einzuleiten.
(2) Vor der Unterzeichnung ihres Vertrages werden die Sachverständigen über die geltenden Sicherheitsvorschriften für den Schutz von EU-VS belehrt und müssen ihre Verantwortlichkeiten hinsichtlich des Schutzes solcher Verschlusssachen anerkannt haben.
KAPITEL 4
BESUCHE IM ZUSAMMENHANG MIT ALS VERSCHLUSSSACHE EINGESTUFTEN FINANZHILFEVEREINBARUNGEN
Artikel 8
Grundsätze
(1) Benötigen die Vergabebehörde, die Sachverständigen, Finanzhilfeempfänger oder Unterauftragnehmer im Zusammenhang mit der Ausführung einer als Verschlusssache eingestuften Finanzhilfevereinbarung Zugang zu Informationen des Geheimhaltungsgrads „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder „SECRET UE/EU SECRET“ in den Räumlichkeiten des jeweils anderen, werden im Benehmen mit der jeweiligen nationalen Sicherheitsbehörde oder beauftragten Sicherheitsbehörde oder einer anderen zuständigen Sicherheitsbehörde Besuche vereinbart.
(2) Für die in Absatz 1 genannten Besuche gelten folgende Anforderungen:
a) |
Der Besuch hat einen offiziellen Zweck im Zusammenhang mit der als Verschlusssache eingestuften Finanzhilfe. |
b) |
Jeder Besucher muss in Besitz einer entsprechenden Sicherheitsermächtigung für Personal sein und Einsicht in die betreffenden Verschlusssachen benötigen, um Zugang zu EU-VS zu erhalten, die bei der Ausführung einer als Verschlusssache eingestuften Finanzhilfevereinbarung verwendet oder generiert werden. |
Artikel 9
Besuchsanträge
(1) Besuche von Finanzhilfeempfängern oder Unterauftragnehmern in Einrichtungen anderer Finanzhilfeempfänger oder Unterauftragnehmer oder in Räumlichkeiten der Vergabebehörde, bei denen Zugang zu Verschlusssachen des Geheimhaltungsgrads „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder „SECRET UE/EU SECRET“ gewährt werden soll, werden nach folgendem Verfahren vereinbart:
a) |
Der Sicherheitsbeauftragte der Einrichtung, die den Besucher entsendet, füllt alle relevanten Teile des Besuchsantrags aus und übermittelt den Antrag an deren nationale Sicherheitsbehörde oder beauftragte Sicherheitsbehörde. Anhang III Unteranhang C enthält ein Muster des Besuchsantrags. |
b) |
Die nationale Sicherheitsbehörde oder beauftragte Sicherheitsbehörde der entsendenden Einrichtung muss die Sicherheitsermächtigung des Besuchers bestätigen, bevor sie den Besuchsantrag an die nationale Sicherheitsbehörde oder beauftragte Sicherheitsbehörde der empfangenden Einrichtung (oder an die Sicherheitsstelle der Kommission, wenn der Besuch in Räumlichkeiten einer Vergabebehörde erfolgen soll) übermittelt. |
c) |
Der Sicherheitsbeauftragte der entsendenden Einrichtung erhält daraufhin von seiner nationalen Sicherheitsbehörde oder beauftragten Sicherheitsbehörde die Antwort der nationalen Sicherheitsbehörde oder beauftragten Sicherheitsbehörde der empfangenden Einrichtung (oder der Sicherheitsstelle der Kommission), mit der dem Besuchsantrag stattgegeben oder der Antrag abgelehnt wird. |
d) |
Ein Besuchsantrag gilt als genehmigt, wenn bis fünf Arbeitstage vor dem Datum des Besuchs keine Einwände erhoben werden. |
(2) Besuche von Beamten, Sachverständigen oder Prüfern der Vergabebehörde in Einrichtungen des Finanzhilfeempfängers oder Unterauftragnehmers, die einen Zugang zu Verschlusssachen des Geheimhaltungsgrads „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder „SECRET UE/EU SECRET“ umfassen, werden nach folgendem Verfahren vereinbart:
a) |
Der Besucher füllt alle relevanten Teile des Besuchsantragsformulars aus und übermittelt den Antrag an die Sicherheitsstelle der Kommission. |
b) |
Die Sicherheitsstelle der Kommission bestätigt die Sicherheitsermächtigung des Besuchers, bevor sie den Besuchsantrag an die nationale Sicherheitsbehörde oder beauftragte Sicherheitsbehörde der empfangenden Einrichtung übermittelt. |
c) |
Die Sicherheitsstelle der Kommission erhält von der nationalen Sicherheitsbehörde oder beauftragten Sicherheitsbehörde der empfangenden Einrichtung eine Antwort, mit der dem Besuchsantrag stattgegeben oder der Antrag abgelehnt wird. |
d) |
Ein Besuchsantrag gilt als genehmigt, wenn bis fünf Arbeitstage vor dem Datum des Besuchs keine Einwände erhoben werden. |
(3) Ein Besuchsantrag kann sich auf einen einmaligen Besuch oder auf wiederholte Besuche erstrecken. Bei wiederholten Besuchen kann der Besuchsantrag eine Gültigkeit von bis zu einem Jahr ab dem im Antrag angegebenen Datum haben.
(4) Die Gültigkeit eines Besuchsantrags darf die Gültigkeit der Sicherheitsermächtigung des Besuchers nicht überschreiten.
(5) Grundsätzlich sollte ein Besuchsantrag spätestens 15 Arbeitstage vor dem Datum des Besuchs an die zuständige Sicherheitsbehörde der empfangenden Einrichtung übermittelt werden.
Artikel 10
Besuchsverfahren
(1) Bevor Besuchern Zugang zu EU-VS gewährt wird, hält der Sicherheitsbeauftragte der empfangenden Einrichtung alle von der nationalen Sicherheitsbehörde oder beauftragten Sicherheitsbehörde festgelegten besuchsbezogenen Sicherheitsverfahren und -vorschriften ein.
(2) Besucher weisen ihre Identität bei der Ankunft in der empfangenden Einrichtung nach, indem sie einen gültigen Personalausweis oder Reisepass vorlegen. Diese Identitätsangaben müssen den Angaben im Besuchsantrag entsprechen.
(3) Die empfangende Einrichtung stellt sicher, dass von allen Besuchern insbesondere ihre Namen, die von ihnen vertretene Organisation, das Ablaufdatum ihrer Sicherheitsermächtigung, das Datum des Besuchs und die Namen der besuchten Personen aufbewahrt werden. Diese Aufzeichnungen werden für einen Zeitraum von mindestens fünf Jahren oder länger aufbewahrt, wenn die nationalen Rechtsvorschriften des Landes, in dem sich die empfangende Einrichtung befindet, dies vorschreiben.
Artikel 11
Unmittelbar verabredete Besuche
(1) Im Zusammenhang mit spezifischen Projekten können die jeweiligen nationalen Sicherheitsbehörden oder beauftragten Sicherheitsbehörden und die Sicherheitsstelle der Kommission ein Verfahren vereinbaren, nach dem Besuche im Rahmen einer bestimmten, als Verschlusssache eingestuften Finanzhilfevereinbarung unmittelbar zwischen dem Sicherheitsbeauftragten des Besuchers und dem Sicherheitsbeauftragten der zu besuchenden Einrichtung verabredet werden können. Ein Muster des zu diesem Zweck zu verwendenden Formulars ist in Anhang III Unteranhang C enthalten. Ein solches außerordentliches Verfahren wird im Besuchsantrag oder in anderen spezifischen Vereinbarungen festgelegt. In diesen Fällen finden die Verfahren nach Artikel 9 und Artikel 10 Absatz 1 keine Anwendung.
(2) Besuche, die mit einem Zugang zu Verschlusssachen des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“ einhergehen, werden unmittelbar zwischen der entsendenden und der empfangenden Einrichtung vereinbart, ohne dass die Verfahren nach Artikel 9 und Artikel 10 Absatz 1 befolgt werden müssen.
KAPITEL 5
ÜBERMITTLUNG UND BEFÖRDERUNG VON EU-VS BEI DER AUSFÜHRUNG VON ALS VERSCHLUSSSACHE EINGESTUFTEN FINANZHILFEVEREINBARUNGEN
Artikel 12
Grundsätze
Die Vergabebehörde stellt sicher, dass alle Beschlüsse im Zusammenhang mit der Übermittlung und Beförderung von EU-VS dem Beschluss (EU, Euratom) 2015/444 und seinen Durchführungsbestimmungen sowie den Bedingungen der als Verschlusssache eingestuften Finanzhilfevereinbarung entsprechen und die Zustimmung des Herausgebers vorliegt.
Artikel 13
Elektronische Bearbeitung
(1) Die elektronische Bearbeitung und Übermittlung von EU-VS erfolgt gemäß den Kapiteln 5 und 6 des Beschlusses (EU, Euratom) 2015/444 und seinen Durchführungsbestimmungen.
Die Kommunikations- und Informationssysteme, die sich im Besitz eines Finanzhilfeempfängers befinden (im Folgenden „KIS des Finanzhilfeempfängers“) und die bei der Ausführung der Finanzhilfevereinbarung zur Bearbeitung von EU-VS genutzt werden, unterliegen der Akkreditierung durch die zuständige Sicherheitsakkreditierungsstelle. Jedwede elektronische Übermittlung von EU-VS wird durch kryptografische Produkte geschützt, die nach Artikel 36 Absatz 4 des Beschlusses (EU, Euratom) 2015/444 zugelassen wurden. TEMPEST-Sicherheitsmaßnahmen werden nach Artikel 36 Absatz 6 des genannten Beschlusses durchgeführt.
(2) Die Sicherheitsakkreditierung des KIS des Finanzhilfeempfängers, mit dem EU-VS des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“ bearbeitet werden sollen, und jeder Zusammenschaltung dieses Systems mit anderen Systemen kann dem Sicherheitsbeauftragten des Finanzhilfeempfängers übertragen werden, wenn dies nach den nationalen Rechtsvorschriften zulässig ist. Im Fall einer Übertragung dieser Aufgabe ist der Finanzhilfeempfänger verantwortlich für die Umsetzung der in der Geheimschutzklausel beschriebenen Mindestsicherheitsanforderungen, wenn er als „RESTREINT UE/EU RESTRICTED“ eingestufte Verschlusssachen in seinem KIS bearbeitet. Die betreffenden nationalen Sicherheitsbehörden oder beauftragten Sicherheitsbehörden und Sicherheitsakkreditierungsstellen behalten jedoch die Zuständigkeit für den Schutz von Verschlusssachen des Geheimhaltungsgrads RESTREINT UE/EU RESTRICTED, die vom Finanzhilfeempfänger bearbeitet werden, sowie das Recht, die vom Finanzhilfeempfänger ergriffenen Sicherheitsmaßnahmen zu kontrollieren. Darüber hinaus legt der Finanzhilfeempfänger der Vergabebehörde und, sofern dies aufgrund der nationalen Rechtsvorschriften vorgeschrieben ist, der zuständigen nationalen Sicherheitsakkreditierungsstelle eine Konformitätserklärung vor, mit der bescheinigt wird, dass das KIS sowie damit verbundene Zusammenschaltungen des Finanzhilfeempfängers für die Bearbeitung von EU-VS des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“ akkreditiert wurden. (11)
Artikel 14
Beförderung durch kommerzielle Kurierdienste
Bei der Beförderung von EU-VS durch kommerzielle Kurierdienste gelten die einschlägigen Bestimmungen des Beschlusses (EU, Euratom) 2019/1962 der Kommission (12) über die Durchführungsbestimmungen für die Bearbeitung von Verschlusssachen des Geheimhaltungsgrades RESTREINT UE/EU RESTRICTED und des Beschlusses (EU, Euratom) 2019/1961 der Kommission (13) über die Durchführungsbestimmungen für die Behandlung von Verschlusssachen des Geheimhaltungsgrades CONFIDENTIEL UE/EU CONFIDENTIAL und SECRET UE/EU SECRET.
Artikel 15
Beförderung als Handgepäck
(1) Für die Beförderung von Verschlusssachen als Handgepäck gelten strenge Sicherheitsanforderungen.
(2) Als „RESTREINT UE/EU RESTRICTED“ eingestufte Verschlusssachen dürfen von Mitarbeitern des Finanzhilfeempfängers innerhalb der Union als Handgepäck mitgeführt werden, sofern die folgenden Anforderungen erfüllt sind:
a) |
Der verwendete Umschlag bzw. die verwendete Verpackung ist undurchsichtig und enthält keinerlei Hinweis auf die Einstufung seines bzw. ihres Inhalts. |
b) |
Die Verschlusssache verbleibt ununterbrochen im Besitz des Überbringers. |
c) |
Der Umschlag bzw. die Verpackung wird während der Beförderung nicht geöffnet. |
(3) Bei als „CONFIDENTIEL UE/EU CONFIDENTIAL“ und „SECRET UE/EU SECRET“ eingestuften Verschlusssachen wird die Beförderung durch Mitarbeiter des Finanzhilfeempfängers in einem EU-Mitgliedstaat im Voraus zwischen der Ausgangs- und der Eingangsstelle vereinbart. Die Ausgangsstelle unterrichtet die Eingangsstelle über die Einzelheiten der Sendung, darunter das Aktenzeichen, die Einstufung, die voraussichtliche Ankunftszeit und den Namen des Kuriers. Die Beförderung als Handgepäck ist zulässig, sofern die folgenden Anforderungen erfüllt sind:
a) |
Die Verschlusssachen werden in einem doppelten Umschlag bzw. in einer doppelten Verpackung befördert. |
b) |
Der äußere Umschlag bzw. die äußere Verpackung ist gesichert und enthält keine Hinweise auf die Einstufung seines bzw. ihres Inhalts, und auf dem inneren Umschlag ist der Geheimhaltungsgrad angegeben. |
c) |
Die Verschlusssache verbleibt ununterbrochen im Besitz des Überbringers. |
d) |
Der Umschlag bzw. die Verpackung wird während der Beförderung nicht geöffnet. |
e) |
Der Umschlag bzw. die Verpackung wird in einer verschließbaren Aktentasche oder einem ähnlichen zugelassenen Behältnis befördert, dessen Größe und Gewicht es ermöglichen, dass die Verschlusssache jederzeit im persönlichen Besitz des Überbringers verbleibt und nicht als aufgegebenes Gepäck befördert wird. |
f) |
Der Kurier führt einen von seiner zuständigen Sicherheitsbehörde ausgestellten Kurierausweis mit sich, mit dem er ermächtigt wird, die angegebene Verschlusssache zu befördern. |
(4) Für die manuelle Beförderung von Verschlusssachen der Geheimhaltungsgrade „CONFIDENTIEL UE/EU CONFIDENTIAL“ und „SECRET UE/EU SECRET“ durch die Mitarbeiter des Finanzhilfeempfängers von einem EU-Mitgliedstaat in einen anderen gelten die folgenden zusätzlichen Regeln:
a) |
Der Kurier ist bis zur Übergabe an den Empfänger für die sichere Verwahrung der beförderten Verschlusssache verantwortlich. |
b) |
Im Falle einer Verletzung der Sicherheit kann die nationale Sicherheitsbehörde oder beauftragte Sicherheitsbehörde des Senders beantragen, dass die Behörden des Landes, in dem die Verletzung erfolgte, eine Untersuchung durchführen, ihre Ergebnisse melden und gegebenenfalls rechtliche oder sonstige Maßnahmen ergreifen. |
c) |
Der Kurier muss über alle während der Beförderung einzuhaltenden sicherheitsrelevanten Verpflichtungen belehrt worden sein und eine entsprechende Bestätigung unterzeichnet haben. |
d) |
Die Anweisungen für den Kurier werden dem Kurierausweis beigefügt. |
e) |
Der Kurier muss eine Beschreibung der Sendung und der Route erhalten haben. |
f) |
Die Dokumente werden der ausstellenden nationalen Sicherheitsbehörde oder beauftragten Sicherheitsbehörde nach Abschluss der Reise(n) zurückgeschickt oder vom Empfänger zu Kontrollzwecken aufbewahrt. |
g) |
Wollen Zoll, Einwanderungsbehörden oder Grenzpolizei die Sendung prüfen und kontrollieren, so ist es ihnen gestattet, so viele Teile der Sendung zu öffnen und in Augenschein zu nehmen, wie erforderlich ist, um feststellen zu können, dass sie kein anderes als das angegebene Material enthält. |
h) |
Der Zoll sollte aufgefordert werden, den amtlichen Charakter der Versandpapiere und der vom Kurier mitgeführten Ermächtigungsunterlagen zu achten. |
Wird eine Sendung durch den Zoll geöffnet, so sollte dies unter Ausschluss unbefugter Personen und nach Möglichkeit in Anwesenheit des Kuriers erfolgen. Der Kurier veranlasst die Neuverpackung der Sendung und fordert die für die Kontrolle zuständigen Behörden auf, die Sendung neu zu versiegeln und schriftlich zu bestätigen, dass die Sendung durch sie geöffnet wurde.
(5) Die manuelle Beförderung von Verschlusssachen des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“, „CONFIDENTIEL UE/EU CONFIDENTIAL“ und „SECRET UE/EU SECRET“ durch Mitarbeiter des Finanzhilfeempfängers in einen Drittstaat oder zu einer internationalen Organisation unterliegt den Bestimmungen des Geheimschutzabkommens zwischen der Europäischen Union und dem betreffenden Drittstaat oder der betreffenden internationalen Organisation bzw. den Bestimmungen der Verwaltungsvereinbarung zwischen der Kommission und dem Drittstaat oder der internationalen Organisation.
KAPITEL 6
BETRIEBSKONTINUITÄTSPLANUNG
Artikel 16
Notfallpläne und Wiederherstellungsmaßnahmen
Die Vergabebehörde stellt sicher, dass die Finanzhilfeempfänger nach der als Verschlusssache eingestuften Finanzhilfevereinbarung verpflichtet sind, Notfallpläne für den Schutz von EU-VS im Zusammenhang mit der als Verschlusssache eingestuften Finanzhilfe in Notsituationen zu erstellen und im Rahmen der Betriebskontinuitätsplanung Präventiv- und Wiederherstellungsmaßnahmen durchzuführen, um die Auswirkungen von Zwischenfällen im Zusammenhang mit der Bearbeitung und Speicherung bzw. Aufbewahrung von EU-VS so gering wie möglich zu halten. Die Finanzhilfeempfänger bestätigen gegenüber der Vergabebehörde, dass sie über entsprechende Notfallpläne verfügen.
Artikel 17
Inkrafttreten
Dieser Beschluss tritt am zwanzigsten Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
Brüssel, den 10. Februar 2021
Für die Kommission,
im Namen der Präsidentin,
Johannes HAHN
Mitglied der Kommission
(1) ABl. L 193 vom 30.7.2018, S. 1.
(2) ABl. L 72 vom 17.3.2015, S. 41.
(3) ABl. L 72 vom 17.3.2015, S. 53.
(4) ABl. L 6 vom 11.1.2017, S. 40.
(5) ABl. C 202 vom 8.7.2011, S. 13.
(6) Beschluss 2013/488/EU des Rates vom 23. September 2013 über die Sicherheitsvorschriften für den Schutz von EU-Verschlusssachen (ABl. L 274 vom 15.10.2013, S. 1).
(7) Beschluss der Kommission vom 4.5.2016 über eine Ermächtigung im Bereich der Sicherheit [C(2016) 2797 final]
(8) Die Liste der von der EU geschlossenen Abkommen und der von der Europäischen Kommission geschlossenen Verwaltungsvereinbarungen, in deren Rahmen EU-Verschlusssachen mit Drittstaaten und internationalen Organisationen ausgetauscht werden können, ist auf der Website der Kommission zu finden.
(9) Werden andere Formulare verwendet, so können sie in ihrer Aufmachung von dem in diesen Durchführungsbestimmungen enthaltenen Muster abweichen.
(10) Die Liste der von der EU geschlossenen Abkommen und der von der Europäischen Kommission geschlossenen Verwaltungsvereinbarungen, in deren Rahmen EU-Verschlusssachen mit Drittstaaten und internationalen Organisationen ausgetauscht werden können, ist auf der Website der Kommission zu finden.
(11) Die Mindestanforderungen für Kommunikations- und Informationssysteme, mit denen EU-VS des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“ bearbeitet werden, sind in Anhang III Unteranhang E festgelegt.
(12) Beschluss (EU, Euratom) 2019/1962 der Kommission vom 17. Oktober 2019 über die Durchführungsbestimmungen für die Bearbeitung von Verschlusssachen des Geheimhaltungsgrades RESTREINT UE/EU RESTRICTED (ABl. L 311 vom 2.12.2019, S. 21).
(13) Beschluss (EU, Euratom) 2019/1961 der Kommission vom 17. Oktober 2019 über die Durchführungsbestimmungen für die Bearbeitung von Verschlusssachen des Geheimhaltungsgrades CONFIDENTIEL UE/EU CONFIDENTIAL oder SECRET UE/EU SECRET (ABl. L 311 vom 2.12.2019, S. 1).
ANHANG I
STANDARDINFORMATIONEN IN DER AUFFORDERUNG
(an die verwendete Aufforderung anzupassen)
Sicherheit
Projekte, die EU-Verschlusssachen betreffen, müssen zur Genehmigung der Finanzierung einer Sicherheitsprüfung unterzogen werden und können besonderen Sicherheitsvorschriften unterliegen (genauer ausgeführt in einer der Finanzhilfevereinbarung beigefügten Geheimschutzklausel (SAL).
Diese Vorschriften (geregelt durch den Beschluss (EU, Euratom) 2015/444 der Kommission (1) und/oder nationale Vorschriften) sehen beispielsweise Folgendes vor:
— |
Projekte, die Verschlusssachen des Geheimhaltungsgrads „TRES SECRET UE/EU TOP SECRET“ (oder gleichwertig) betreffen, können NICHT finanziert werden. |
— |
Verschlusssachen sind gemäß den geltenden Sicherheitsanweisungen in der Geheimschutzklausel zu kennzeichnen. |
— |
Informationen mit den Geheimhaltungsgraden „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder höher (und „RESTREINT UE/EU RESTRICTED“, wenn dies nach den nationalen Vorschriften erforderlich ist) dürfen
|
— |
Bei Ablauf der Finanzhilfevereinbarung müssen die Verschlusssachen entweder zurückgegeben oder gemäß den geltenden Vorschriften weiter geschützt werden. |
— |
Für Aufgaben, die EU-Verschlusssachen (EU-VS) umfassen, darf ohne vorherige schriftliche Zustimmung der Vergabebehörde keine Unterauftragsvergabe erfolgen. Sie dürfen nur an Stellen vergeben werden, die ihren Sitz in einem EU-Mitgliedstaat oder in einem Drittland haben, das ein Geheimschutzabkommen mit der EU (oder eine Verwaltungsvereinbarung mit der Kommission) geschlossen hat. |
— |
Die Weitergabe von EU-VS an Dritte unterliegt der vorherigen schriftlichen Zustimmung der Vergabebehörde. |
Bitte beachten Sie, dass je nach Art der Tätigkeit vor der Unterzeichnung der Finanzhilfevereinbarung eine Sicherheitsüberprüfung der Einrichtungen erfolgen muss. Die Vergabebehörde prüft in jedem Einzelfall die Notwendigkeit von Sicherheitsbescheiden und legt deren Ausstellungstermin während der Vorbereitung der Finanzhilfe fest. Bitte beachten Sie, dass wir in keinem Fall eine Finanzhilfevereinbarung unterzeichnen können, bevor mindestens einer der Finanzhilfeempfänger eines Konsortiums über einen Sicherheitsbescheid verfügt.
In die Finanzhilfevereinbarung können weitere Sicherheitsempfehlungen in Form von Sicherheitsleistungen aufgenommen werden (z. B. Einrichtung einer Sicherheitsberatungsgruppe, Begrenzung des Detaillierungsgrads, Verwendung gefälschter Szenarien, Ausschluss der Verwendung von Verschlusssachen usw.).
Die Finanzhilfeempfänger müssen sicherstellen, dass ihre Projekte keinen nationalen/Drittland-Sicherheitsanforderungen unterliegen, die die Durchführung beeinträchtigen oder die Gewährung der Finanzhilfe in Frage stellen könnten (z. B. technische Beschränkungen, nationale Geheimhaltungsgrade usw.). Etwaige Sicherheitsprobleme sind der Vergabebehörde unverzüglich mitzuteilen.
[zusätzliche OPTION für Partnerschaftsrahmenvereinbarungen (PRV): Bei Rahmenpartnerschaften müssen sowohl die Anträge auf Rahmenpartnerschaft als auch die Finanzhilfeanträge einer Sicherheitskontrolle unterzogen werden.]
(1) Siehe Beschluss (EU, Euratom) 2015/444 der Kommission vom 13. März 2015 über die Sicherheitsvorschriften für den Schutz von EU-Verschlusssachen (ABl. L 72 vom 17.3.2015, S. 53).
ANHANG II
STANDARDKLAUSELN FÜR FINANZHILFEVEREINBARUNGEN
(an die verwendete Finanzhilfevereinbarung anzupassen)
13.2 Sicherheit — Verschlusssachen
Die Parteien müssen EU-VS oder nationale Verschlusssachen im Einklang mit den geltenden EU- oder nationalen Rechtsvorschriften über Verschlusssachen (insbesondere dem Beschluss (EU, Euratom) 2015/444 der Kommission (1) und dessen Durchführungsbestimmungen) bearbeiten.
Besondere Sicherheitsvorschriften (sofern vorhanden) sind in Anhang 5 enthalten.
ANHANG 5
Sicherheit - EU-Verschlusssachen
[Option für Maßnahmen mit EU-Verschlusssachen (Standard): Werden bei der Maßnahme EU-Verschlusssachen verwendet oder erstellt, müssen diese Verschlusssachen gemäß dem Einstufungsleitfaden für Verschlusssachen und der Geheimschutzklausel nach Anhang I sowie gemäß dem Beschluss (EU, Euratom) 2015/444 und dessen Durchführungsbestimmungen behandelt werden‚ bis deren Geheimhaltungsgrad aufgehoben ist.
Leistungen, die EU-Verschlusssachen enthalten, sind gemäß den mit der Vergabebehörde vereinbarten besonderen Verfahren vorzulegen.
Für Aufgaben, die EU-Verschlusssachen umfassen, darf ohne vorherige ausdrückliche schriftliche Zustimmung der Vergabebehörde keine Unterauftragsvergabe erfolgen. Sie dürfen nur an Stellen vergeben werden, die ihren Sitz in einem EU-Mitgliedstaat oder in einem Drittland haben, das ein Geheimschutzabkommen mit der EU (oder eine Verwaltungsvereinbarung mit der Kommission) geschlossen hat.
EU-Verschlusssachen dürfen ohne vorherige ausdrückliche schriftliche Zustimmung der Vergabebehörde nicht Dritten (einschließlich Teilnehmern, die an der Durchführung beteiligt sind) bekanntgegeben werden.]
(1) Siehe Beschluss (EU, Euratom) 2015/444 der Kommission vom 13. März 2015 über die Sicherheitsvorschriften für den Schutz von EU-Verschlusssachen (ABl. L 72 vom 17.3.2015, S. 53).
ANHANG III
[Anhang IV (zum.........)]
GEHEIMSCHUTZKLAUSEL (1)
[Muster]
Unteranhang A
SICHERHEITSANFORDERUNGEN
Die Vergabebehörde muss die folgenden Sicherheitsanforderungen in die Geheimschutzklausel aufnehmen. Einige Klauseln sind möglicherweise nicht auf die Finanzhilfevereinbarung anwendbar. Diese sind in eckigen Klammern angegeben.
Die Liste der Klauseln ist nicht erschöpfend. Je nach Art der als Verschlusssache eingestuften Finanzhilfe können weitere Klauseln hinzugefügt werden.
ALLGEMEINE BEDINGUNGEN [Hinweis: gilt für alle als Verschlusssache eingestuften Finanzhilfevereinbarungen]
1. |
Diese Geheimschutzklausel ist fester Bestandteil der als Verschlusssache eingestuften Finanzhilfevereinbarung [oder des Untervertrags] und beschreibt die finanzhilfespezifischen Sicherheitsanforderungen. Die Nichterfüllung dieser Anforderungen kann einen hinreichenden Grund zur Kündigung der Finanzhilfevereinbarung darstellen. |
2. |
Finanzhilfeempfänger unterliegen allen Verpflichtungen gemäß dem Beschluss (EU, Euratom) 2015/444 der Kommission (2) (im Folgenden „Kommissionsbeschluss 2015/444“) und dessen Durchführungsbestimmungen (3). Ist der Finanzhilfeempfänger mit Problemen bei der Anwendung des geltenden Rechtsrahmens in einem Mitgliedstaat konfrontiert, so muss er sich an die Sicherheitsstelle der Kommission und an die nationale Sicherheitsbehörde oder die beauftragte Sicherheitsbehörde wenden. |
3. |
Verschlusssachen, die bei der Ausführung der Finanzhilfevereinbarung erstellt werden, müssen gemäß dem Einstufungsleitfaden für Verschlusssachen in Unteranhang B zu dieser Geheimschutzklausel als EU-Verschlusssache (EU-VS) mit entsprechendem Geheimhaltungsgrad eingestuft sein. Von dem im Einstufungsleitfaden für Verschlusssachen festgelegten Einstufungsgrad darf nur mit schriftlicher Genehmigung der Vergabebehörde abgewichen werden. |
4. |
Die Rechte des Herausgebers von EU-VS, die für die Ausführung der als Verschlusssache eingestuften Finanzhilfevereinbarung erstellt und bearbeitet werden, werden von der Kommission in ihrer Eigenschaft als Vergabebehörde ausgeübt. |
5. |
Ohne die schriftliche Zustimmung der Vergabebehörde dürfen der Finanzhilfeempfänger oder der Unterauftragnehmer Informationen oder Materialien, die von der Vergabebehörde bereitgestellt oder in deren Auftrag erstellt werden, nicht für andere Zwecke als die in der Finanzhilfevereinbarung festgelegten Zwecke verwenden. |
6. |
Ist für die Durchführung einer Finanzhilfevereinbarung ein Sicherheitsbescheid für Einrichtungen erforderlich, so muss der Finanzhilfeempfänger die Vergabebehörde ersuchen, den Antrag zu bearbeiten. |
7. |
Der Finanzhilfeempfänger muss alle Sicherheitsverstöße im Zusammenhang mit EU-VS untersuchen und dem öffentlichen Auftraggeber so schnell wie möglich melden. Der Finanzhilfeempfänger oder der Unterauftragnehmer müssen ihrer nationalen Sicherheitsbehörde oder der beauftragten Sicherheitsbehörde und, soweit die nationalen Rechtsvorschriften dies zulassen, der Sicherheitsstelle der Kommission unverzüglich alle Fälle melden, in denen bekannt ist oder Grund zu der Annahme besteht, dass gemäß der Finanzhilfevereinbarung bereitgestellte oder erstellte EU-VS verloren gegangen oder an Unbefugte weitergegeben worden sind. |
8. |
Nach Ablauf der Finanzhilfe müssen der Finanzhilfeempfänger oder der Unterauftragnehmer der Vergabebehörde schnellstmöglich alle in ihrem Besitz befindlichen EU-VS zurückgeben. Sofern dies durchführbar ist, können der Finanzhilfeempfänger oder der Unterauftragnehmer EU-VS vernichten, anstatt sie zurückzugeben. Die Vernichtung bedarf der vorherigen Zustimmung der Sicherheitsstelle der Kommission und hat im Einklang mit den nationalen Rechtsvorschriften des Landes, in dem der Finanzhilfeempfänger seinen Sitz hat, nach den Anweisungen der Sicherheitsstelle zu erfolgen. EU-VS sind so zu vernichten, dass eine vollständige oder teilweise Wiederherstellung ausgeschlossen ist. |
9. |
Wird dem Finanzhilfeempfänger oder dem Unterauftragnehmer gestattet, EU-VS nach der Kündigung oder Ausführung der Finanzhilfevereinbarung in seinem Besitz zu behalten, müssen die EU-VS weiterhin gemäß dem Kommissionsbeschluss 2015/444 und dessen Durchführungsbestimmungen (4) geschützt bleiben. |
10. |
Jedwede elektronische Bearbeitung, Verarbeitung und Übermittlung von EU-VS muss nach den Bestimmungen der Kapitel 5 und 6 des Kommissionsbeschlusses 2015/444 erfolgen. Dazu gehören unter anderem folgende Anforderungen: Ein Kommunikations- und Informationssystem (im Folgenden „KIS“) des Finanzhilfeempfängers, das für die Bearbeitung von EU-VS für die Zwecke der Finanzhilfevereinbarung verwendet wird, muss akkreditiert werden; (5) jedwede elektronische Übermittlung von EU-VS muss durch kryptografische Produkte geschützt werden, die nach Artikel 36 Absatz 4 des Kommissionsbeschlusses 2015/444 zugelassen wurden, und TEMPEST-Sicherheitsmaßnahmen müssen nach Artikel 36 Absatz 6 des Kommissionsbeschlusses 2015/444 durchgeführt werden. |
11. |
Der Finanzhilfeempfänger oder der Unterauftragnehmer müssen über Notfallpläne für den Schutz von jedweden bei der Ausführung der als Verschlusssache eingestuften Finanzhilfevereinbarung bearbeiteten EU-VS in Notsituationen verfügen, und Präventiv- und Wiederherstellungsmaßnahmen vorsehen, um die Auswirkungen von Zwischenfällen im Zusammenhang mit der Bearbeitung und Speicherung bzw. Aufbewahrung von EU-VS so gering wie möglich zu halten. Der Finanzhilfeempfänger oder der Unterauftragnehmer müssen die Vergabebehörde über ihre Notfallpläne unterrichten. |
FINANZHILFEVEREINBARUNGEN, DIE DEN ZUGANG ZU VERSCHLUSSSACHEN DES GEHEIMHALTUNGSGRADS „RESTREINT UE/EU RESTRICTED“ ERFORDERN
12. |
Prinzipiell ist für die Ausführung der Finanzhilfevereinbarung keine Sicherheitsermächtigung für Personal erforderlich. (6) Zugang zu Verschlusssachen des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“ können jedoch nur Mitarbeiter des Finanzhilfeempfängers erhalten, die diese Verschlusssachen zur Ausführung der Finanzhilfevereinbarung benötigen (Grundsatz „Kenntnis nur, wenn nötig“), die vom Sicherheitsbeauftragten des Finanzhilfeempfängers über ihre Verantwortlichkeiten und die Folgen einer etwaigen Kompromittierung oder Verletzung der Sicherheit dieser Verschlusssachen belehrt wurden und die die Konsequenzen einer Nichteinhaltung des Schutzes von EU-VS schriftlich anerkannt haben. |
13. |
Außer in den Fällen, in denen die Vergabebehörde ihre schriftliche Zustimmung erteilt hat, dürfen der Finanzhilfeempfänger oder der Unterauftragnehmer Verschlusssachen des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“ nicht anderen Einrichtungen oder Personen als ihren Mitarbeitern, die Kenntnis von den Verschlusssachen haben müssen, zugänglich machen. |
14. |
Der Finanzhilfeempfänger oder der Unterauftragnehmer müssen die Kennzeichnung mit einem Geheimhaltungsgrad für Verschlusssachen, die bei der Ausführung einer Finanzhilfevereinbarung erstellt oder bereitgestellt werden, beibehalten und dürfen den Geheimhaltungsgrad einer Verschlusssache nicht ohne schriftliche Zustimmung der Vergabebehörde aufheben. |
15. |
Verschlusssachen des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“ müssen in verschließbaren Büromöbeln aufbewahrt werden, wenn sie nicht verwendet werden. Bei der Beförderung müssen die Dokumente in einem undurchsichtigen Umschlag mitgeführt werden. Dieser Umschlag mit den Dokumenten muss ununterbrochen im Besitz des Überbringers verbleiben und darf nicht geöffnet werden. |
16. |
Der Finanzhilfeempfänger oder der Unterauftragnehmer können der Vergabebehörde Dokumente des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“ durch kommerzielle Kurierdienste, Postdienste, als Handgepäck oder auf elektronischem Wege übermitteln. Diesbezüglich müssen der Finanzhilfeempfänger oder der Unterauftragnehmer die von der Kommission erstellten Programm- oder Projektsicherheitsanweisungen und/oder die Durchführungsbestimmungen der Kommission über den Geheimschutz in der Wirtschaft in Bezug auf als Verschlusssache eingestufte Finanzhilfevereinbarungen beachten. (7) |
17. |
Nicht länger benötigte Dokumente des Geheimhaltungsgrads RESTREINT EU/EU RESTRICTED sind so zu vernichten, dass eine vollständige oder teilweise Wiederherstellung ausgeschlossen ist. |
18. |
Die Sicherheitsakkreditierung des KIS des Finanzhilfeempfängers, mit dem EU-VS des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“ bearbeitet werden sollen, und jeder Zusammenschaltung dieses Systems mit anderen Systemen kann dem Sicherheitsbeauftragten des Finanzhilfeempfängers übertragen werden, wenn dies nach den nationalen Rechtsvorschriften zulässig ist. Wird die Akkreditierung übertragen, behalten die nationalen Sicherheitsbehörden/beauftragten Sicherheitsbehörden/Sicherheitsakkreditierungsstellen die Zuständigkeit für den Schutz von Verschlusssachen des Geheimhaltungsgrads RESTREINT UE/EU RESTRICTED, die vom Finanzhilfeempfänger bearbeitet werden, sowie das Recht, die vom Finanzhilfeempfänger ergriffenen Sicherheitsmaßnahmen zu kontrollieren. Darüber hinaus legt der Finanzhilfeempfänger der Vergabebehörde und, sofern dies aufgrund der nationalen Rechtsvorschriften vorgeschrieben ist, der zuständigen nationalen Sicherheitsakkreditierungsstelle eine Konformitätserklärung vor, mit der bescheinigt wird, dass das KIS sowie damit verbundene Zusammenschaltungen des Finanzhilfeempfängers für die Bearbeitung von EU-VS des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“ akkreditiert wurden. |
BEARBEITUNG VON VERSCHLUSSSACHEN DES GEHEIMHALTUNGSGRADS „RESTREINT UE/EU RESTRICTED“ IN KOMMUNIKATIONS- UND INFORMATIONSSYSTEMEN (KIS)
19. |
Die Mindestanforderungen für KIS zur Bearbeitung von Verschlusssachen des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“ sind in Unteranhang E zu dieser Geheimschutzklausel enthalten. |
BEDINGUNGEN, UNTER DENEN DER FINANZHILFEEMPFÄNGER UNTERAUFTRÄGE VERGEBEN DARF
20. |
Der Finanzhilfeempfänger muss die Genehmigung der Vergabebehörde einholen, bevor er einen Teil einer als Verschlusssache eingestuften Finanzhilfevereinbarung an Unterauftragnehmer weitergibt. |
21. |
Es kann kein Unterauftrag an eine Einrichtung vergeben werden, die in einem Drittstaat registriert ist, oder die zu einer internationalen Organisation gehört, wenn dieser Drittstaat oder diese internationale Organisation weder ein Geheimschutzabkommen mit der EU noch eine Verwaltungsvereinbarung mit der Kommission geschlossen hat. |
22. |
Hat der Finanzhilfeempfänger einen Unterauftrag vergeben, so gelten die Sicherheitsvorschriften der Finanzhilfevereinbarung entsprechend für den bzw. die Unterauftragnehmer und sein bzw. ihr Personal. In diesem Fall hat der Finanzhilfeempfänger dafür zu sorgen, dass alle Unterauftragnehmer diese Grundsätze auf ihre eigenen Unterauftragsvereinbarungen anwenden. Um eine angemessene Sicherheitsaufsicht zu gewährleisten, sind die nationalen Sicherheitsbehörden und/oder beauftragten Sicherheitsbehörden des Finanzhilfeempfängers und des Unterauftragnehmers von der Sicherheitsstelle der Kommission über die Vergabe sämtlicher Unteraufträge zu unterrichten, die Verschlusssachen der Geheimhaltungsgrade CONFIDENTIEL UE/EU CONFIDENTIAL und SECRET UE/EU SECRET betreffen. Gegebenenfalls ist den nationalen Sicherheitsbehörden und/oder beauftragten Sicherheitsbehörden des Finanzhilfeempfängers und des Unterauftragnehmers eine Kopie der unterauftragsspezifischen Sicherheitsvorschriften vorzulegen. Die nationalen Sicherheitsbehörden und beauftragten Sicherheitsbehörden, denen die Sicherheitsvorschriften für als RESTREINT UE/EU RESTRICTED eingestufte Finanzhilfevereinbarungen zu melden sind, sind im Anhang der Durchführungsbestimmungen der Kommission über den Geheimschutz in der Wirtschaft in Bezug auf als Verschlusssache eingestufte Finanzhilfevereinbarungen aufgeführt (8). |
23. |
Der Finanzhilfeempfänger darf ohne vorherige schriftliche Zustimmung der Vergabebehörde keine EU-VS an einen Unterauftragnehmer weitergeben. Sind EU-VS häufig oder routinemäßig an Unterauftragnehmer zu übermitteln, so kann die Vergabebehörde ihre Zustimmung für eine bestimmte Dauer (z. B. 12 Monate) oder für die Laufzeit des Unterauftrags erteilen. |
BESUCHE
Ist auf Besuche, die Verschlusssachen der Geheimhaltungsgrade „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder „SECRET UE/EU SECRET“ betreffen, das Standardverfahren für Besuchsanträge anzuwenden, so muss die Vergabebehörde die Nummern 24, 25 und 26 aufnehmen und Nummer 27 streichen. Werden Besuche, die Verschlusssachen der Geheimhaltungsgrade „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder „SECRET UE/EU SECRET“ betreffen, unmittelbar zwischen der entsendenden und der empfangenden Einrichtung durchgeführt, so muss die Vergabebehörde die Nummern 25 und 26 streichen und nur Nummer 27 aufnehmen.
24. |
Besuche, die einen tatsächlichen oder möglichen Zugang zu Verschlusssachen des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“ umfassen, werden unmittelbar zwischen der entsendenden und der empfangenden Einrichtung vereinbart, ohne dass das Verfahren nach den Nummern 25 bis 27 zu befolgen ist. |
[25. |
Besuche, die einen tatsächlichen oder möglichen Zugang zu Verschlusssachen der Geheimhaltungsgrade „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder „SECRET UE/EU SECRET“ umfassen, unterliegen dem folgenden Verfahren:
|
[26. |
Bevor die empfangende Einrichtung Besuchern Zugang zu Verschlusssachen der Geheimhaltungsgrade „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder „SECRET UE/EU SECRET“ gewährt, muss sie die Genehmigung von ihrer nationalen Sicherheitsbehörde oder beauftragten Sicherheitsbehörde erhalten haben.] |
[27. |
Besuche, bei denen tatsächlich oder möglicherweise Zugang zu Verschlusssachen der Geheimhaltungsgrade „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder „SECRET UE/EU SECRET“ gewährt wird, werden unmittelbar zwischen der entsendenden und der empfangenden Einrichtung vereinbart (ein Muster des Formulars, das zu diesem Zweck verwendet werden kann, ist in Unteranhang C enthalten).] |
28. |
Besucher müssen ihre Identität bei der Ankunft in der empfangenden Einrichtung nachweisen, indem sie einen gültigen Personalausweis oder Reisepass vorlegen. |
29. |
Die empfangende Einrichtung muss sicherstellen, dass alle Besucher registriert werden. Insbesondere müssen ihre Namen, die von ihnen vertretene Organisation, das Ablaufdatum ihrer Sicherheitsermächtigung (falls zutreffend), das Datum des Besuchs und der/die Name(n) der besuchten Person(en) aufgezeichnet werden. Unbeschadet der europäischen Datenschutzvorschriften sind diese Aufzeichnungen für einen Zeitraum von mindestens fünf Jahren oder gegebenenfalls entsprechend den nationalen Rechtsvorschriften zu speichern. |
BEWERTUNGSBESUCHE
30. |
Die Sicherheitsstelle der Kommission kann in Zusammenarbeit mit der zuständigen nationalen Sicherheitsbehörde oder beauftragten Sicherheitsbehörde Besuche in Einrichtungen von Finanzhilfeempfängern oder Unterauftragnehmern durchführen, um zu prüfen, ob die Sicherheitsanforderungen für die Bearbeitung von EU-VS eingehalten werden. |
EINSTUFUNGSLEITFADEN FÜR VERSCHLUSSSACHEN
31. |
Eine Liste aller Elemente der Finanzhilfevereinbarung, die im Zuge der Ausführung der Finanzhilfevereinbarung als Verschlusssache eingestuft werden oder einzustufen sind, die Vorschriften zur Einstufung sowie die anwendbaren Geheimhaltungsgrade sind im Einstufungsleitfaden für Verschlusssachen enthalten. Der Einstufungsleitfaden ist fester Bestandteil dieser Finanzhilfevereinbarung und befindet sich in Unteranhang B zum vorliegenden Anhang. |
Unteranhang B
EINSTUFUNGSLEITFADEN FÜR VERSCHLUSSSACHEN
[Der jeweilige Wortlaut ist je nach Finanzhilfevereinbarung anzupassen.]
Unteranhang C
BESUCHSANTRAG (MUSTER)
DETAILLIERTE ANWEISUNGEN FÜR DAS AUSFÜLLEN DES BESUCHSANTRAGS
(Der Antrag ist ausschließlich in englischer Sprache einzureichen.)
HEADING |
Bitte kreuzen Sie die zutreffenden Kästchen im Hinblick auf Besuchsart und Geheimhaltungsgrad an und machen Sie Angaben zur Zahl der zu besuchenden Standorte und der Besucher. |
||||||
|
Von der nationalen Sicherheitsbehörde/der beauftragten Sicherheitsbehörde auszufüllen. |
||||||
|
Geben Sie bitte die vollständige Bezeichnung und die vollständige Postanschrift an. (ggf. einschließlich Postleitzahl, Stadt und Land) an. |
||||||
|
Geben Sie bitte die vollständige Bezeichnung und die vollständige Postanschrift an. Anzugeben sind Postleitzahl, Stadt, Land, Telex oder Faxnummer (falls zutreffend), Telefonnummer und E-Mail-Adresse. Bitte geben Sie den Namen sowie die Telefon-/Faxnummer(n) und die E-Mail-Adresse Ihres Hauptansprechpartners oder der Person an, mit der Sie den Besuch vereinbart haben. Hinweis:
|
||||||
|
Bitte geben Sie das tatsächliche Datum oder den tatsächlichen Zeitraum (Datum bis Datum) des Besuchs im Format „Tag — Monat — Jahr“ an. Geben Sie gegebenenfalls ein alternatives Datum oder einen alternativen Zeitraum in Klammern an. |
||||||
|
Bitte geben Sie an, ob der Besuch von der antragstellenden Organisation bzw. Einrichtung oder auf Einladung der zu besuchenden Einrichtung in die Wege geleitet wurde. |
||||||
|
Bitte geben Sie die vollständige Bezeichnung des Projekts, des Auftrags oder der Ausschreibung an und verwenden Sie dabei ausschließlich gebräuchliche Abkürzungen. |
||||||
|
Geben Sie bitte eine kurze Begründung für den Besuch an. Verwenden Sie keine unverständlichen Abkürzungen. Hinweis: Bei wiederholten Besuchen sollten die Angaben unter diesem Punkt mit „Recurring visits“ beginnen (z. B. „Recurring visits to dicuss ___“). |
||||||
|
Bitte SECRET UE/EU SECRET (S-UE/EU-S) bzw. CONFIDENTIEL UE/EU CONFIDENTIAL (C-UE/EU-C) angeben. |
||||||
|
Hinweis: Bei mehr als zwei Besuchern sollte Anhang 2 verwendet werden. |
||||||
|
Unter diesem Punkt sind Name, Telefonnummer, Faxnummer und E-Mail-Adresse des Sicherheitsbeauftragten der antragstellenden Einrichtung anzugeben. |
||||||
|
Dieses Feld ist von der ausstellenden Behörde auszufüllen. Hinweise für die ausstellende Behörde:
|
||||||
|
Dieses Feld ist von der nationalen Sicherheitsbehörde/der beauftragten Sicherheitsbehörde auszufüllen. Hinweise für die betreffende Behörde:
|
Alle Felder müssen ausgefüllt werden. Das Formular ist über vernetzte Verwaltungskanäle zu übermitteln. (9)
REQUEST FOR VISIT (MODEL) TO: _______________________________________ |
|||||||||||||||||||||||
|
|
|
|||||||||||||||||||||
|
|
|
|||||||||||||||||||||
For an amendment, insert the NSA/DSA original RFV Reference No_____________ |
|
No of sites: _______ No of visitors: _____ |
|||||||||||||||||||||
|
|||||||||||||||||||||||
Requester: To: |
NSA/DSA RFV Reference No________________ Date (dd/mm/yyyy): _____/_____/_____ |
||||||||||||||||||||||
NAME: POSTAL ADDRESS: E-MAIL ADDRESS: |
|||||||||||||||||||||||
FAX NO: |
TELEPHONE NO: |
||||||||||||||||||||||
|
|||||||||||||||||||||||
|
|||||||||||||||||||||||
|
|||||||||||||||||||||||
|
|||||||||||||||||||||||
|
|||||||||||||||||||||||
|
|||||||||||||||||||||||
|
|||||||||||||||||||||||
NAME: TELEPHONE NO: E-MAIL ADDRESS: SIGNATURE: |
|||||||||||||||||||||||
|
|||||||||||||||||||||||
NAME: ADDRESS: TELEPHONE NO: E-MAIL ADDRESS: |
|
||||||||||||||||||||||
SIGNATURE: |
Date (dd/mm/yyyy): _____/_____/_____ |
||||||||||||||||||||||
|
|||||||||||||||||||||||
NAME: ADDRESS: TELEPHONE NO: E-MAIL ADDRESS: |
|
||||||||||||||||||||||
SIGNATURE: |
Date (dd/mm/yyyy): _____/_____/_____ |
||||||||||||||||||||||
|
<Platzhalter für Verweis auf die geltenden Datenschutzvorschriften und Link zu der vorgeschriebenen Auskunft an die betroffene Person, z. B. darüber, wie Artikel 13 der Datenschutz-Grundverordnung (10) umgesetzt wird.>
ANNEX 1 to RFV FORM
ORGANISATION(S) OR INDUSTRIAL FACILITY(IES) TO BE VISITED |
1. NAME: ADDRESS: TELEPHONE NO: FAX NO: NAME OF POINT OF CONTACT: E-MAIL: TELEPHONE NO: NAME OF SECURITY OFFICER OR SECONDARY POINT OF CONTACT: E-MAIL: TELEPHONE NO: |
2. NAME: ADDRESS: TELEPHONE NO: FAX NO: NAME OF POINT OF CONTACT: E-MAIL: TELEPHONE NO: NAME OF SECURITY OFFICER OR SECONDARY POINT OF CONTACT: E-MAIL: TELEPHONE NO: (Continue as required) |
<Platzhalter für Verweis auf die geltenden Datenschutzvorschriften und Link zu der vorgeschriebenen Auskunft an die betroffene Person, z. B. darüber, wie Artikel 13 der Datenschutz-Grundverordnung (11 12) umgesetzt wird.>
ANNEX 2 to RFV FORM
PARTICULARS OF VISITOR(S) |
1. SURNAME: FIRST NAMES (as per passport): DATE OF BIRTH (dd/mm/yyyy):____/____/____ PLACE OF BIRTH: NATIONALITY: SECURITY CLEARANCE LEVEL: PP/ID NUMBER: POSITION: COMPANY/ORGANISATION: |
2. SURNAME: FIRST NAMES (as per passport): DATE OF BIRTH (dd/mm/yyyy):____/____/____ PLACE OF BIRTH: NATIONALITY: SECURITY CLEARANCE LEVEL: PP/ID NUMBER: POSITION: COMPANY/ORGANISATION: (Continue as required) |
<Platzhalter für Verweis auf die geltenden Datenschutzvorschriften und Link zu der vorgeschriebenen Auskunft an die betroffene Person, z. B. darüber, wie Artikel 13 der Datenschutz-Grundverordnung (11 12) umgesetzt wird.>
Unteranhang D
AUSKUNFTSFORMULAR ZU SICHERHEITSBESCHEIDEN FÜR EINRICHTUNGEN (MUSTER)
1. EINLEITUNG
1.1. |
Nachstehend findet sich ein Muster eines Auskunftsformulars zu Sicherheitsbescheiden für Einrichtungen (im Folgenden „Auskunftsformular“), das dem raschen Informationsaustausch zwischen der nationalen Sicherheitsbehörde oder der beauftragten Sicherheitsbehörde, anderen zuständigen nationalen Sicherheitsbehörden und der Sicherheitsstelle der Kommission (die im Namen der Vergabebehörden handeln) im Hinblick auf Sicherheitsbescheide für Einrichtungen dient, die an als Verschlusssache eingestuften Anträgen und der Durchführung von Finanzhilfen oder Unteraufträgen beteiligt sind. |
1.2. |
Das Auskunftsformular ist nur gültig, wenn es von der zuständigen nationalen Sicherheitsbehörde, der beauftragten Sicherheitsbehörde oder einer anderen zuständigen Behörde abgestempelt wurde. |
1.3. |
Das Auskunftsformular ist in einen Anfrage- und einen Antwortabschnitt gegliedert und kann für die oben genannten Zwecke oder für sonstige Zwecke, für die der Sicherheitsbescheid-Status einer bestimmten Einrichtung erforderlich ist, verwendet werden. Der Grund für das Auskunftsersuchen ist von der ersuchenden nationalen Sicherheitsbehörde oder beauftragten Sicherheitsbehörde in Feld 7 des Anfrageabschnitts anzugeben. |
1.4. |
Die Angaben im Auskunftsformular werden für gewöhnlich nicht als Verschlusssachen eingestuft. Dementsprechend sollte die Übermittlung eines Auskunftsformulars zwischen den jeweiligen nationalen Sicherheitsbehörden/beauftragten Sicherheitsbehörden/der Kommission vorzugsweise auf elektronischem Wege erfolgen. |
1.5. |
Die nationalen Sicherheitsbehörden/beauftragten Sicherheitsbehörden sollten nach Möglichkeit innerhalb von zehn Arbeitstagen auf eine Anfrage mittels Auskunftsformular reagieren. |
1.6. |
Sollten im Zusammenhang mit der Bescheinigung eines Sicherheitsbescheids Verschlusssachen übermittelt oder eine Finanzhilfe gewährt bzw. ein Unterauftrag vergeben werden, so ist die ausstellende nationale Sicherheitsbehörde oder beauftragte Sicherheitsbehörde darüber zu unterrichten. |
Verfahren und Anweisungen für die Verwendung des Auskunftsformulars zu Sicherheitsbescheiden für Einrichtungen
Diese ausführlichen Anweisungen sind für die nationale Sicherheitsbehörde oder beauftragte Sicherheitsbehörde oder die Sicherheitsstelle der Kommission bestimmt, die das Auskunftsformular ausfüllt. Das Formular sollte vorzugsweise in Großbuchstaben ausgefüllt werden.
KOPFZEILE |
Der Antragsteller gibt die vollständige Bezeichnung der nationalen Sicherheitsbehörde/beauftragten Sicherheitsbehörde und die Länderbezeichnung an. |
||||||||
|
Die ersuchende Vergabebehörde kreuzt das entsprechende Kästchen für die Art der Anfrage mittels Auskunftsformular an. Bitte geben Sie das Niveau der beantragten Sicherheitsermächtigung an. Dabei sind die folgenden Abkürzungen zu verwenden:
|
||||||||
|
Die Felder 1 bis 6 bedürfen keiner weiteren Erklärung. In Feld 4 sollte der aus zwei Buchstaben bestehende Standard-Ländercode verwendet werden. Feld 5 ist fakultativ. |
||||||||
|
Bitte geben Sie den Grund für den Antrag, die Projektindikatoren sowie die Nummer der Aufforderung oder der Finanzhilfe an. Bitte geben Sie den Bedarf an Speicherkapazität, den KIS-Geheimhaltungsgrad usw. an. Ebenso sollten alle Fristen, Ablauf- und Vergabedaten, die sich auf die Ausstellung eines Sicherheitsbescheids für Unternehmen auswirken könnten, angegeben werden. |
||||||||
|
Geben Sie bitte den Namen des tatsächlichen Antragstellers (im Namen der nationalen Sicherheitsbehörde/beauftragten Sicherheitsbehörde) und das Datum des Antrags im Zahlenformat (TT/MM/JJJJ) an. |
||||||||
|
Felder 1-5: bitte zutreffende Felder ankreuzen bzw. ausfüllen. Feld 2: Ist die Ausstellung eines Sicherheitsbescheids für Einrichtungen im Gange, so sollte dem Antragsteller die erforderliche Bearbeitungsdauer mitgeteilt werden (sofern bekannt). Feld 6:
|
||||||||
|
Hierunter können zusätzliche Angaben in Bezug auf den Sicherheitsbescheid, die Einrichtung oder die vorstehenden Punkte gemacht werden. |
||||||||
|
Geben Sie bitte den Namen der ausstellenden Behörde (im Namen der nationalen Sicherheitsbehörde/beauftragten Sicherheitsbehörde) und das Datum der Antwort im Zahlenformat (TT/MM/JJJJ) an. |
AUSKUNFTSFORMULAR ZU SICHERHEITSBESCHEIDEN FÜR EINRICHTUNGEN (MUSTER)
Alle Felder müssen ausgefüllt werden. Das Formular ist über vernetzte Verwaltungskanäle oder Kanäle zwischen Behörden und internationalen Organisationen zu übermitteln.
ERSUCHEN UM BESCHEINIGUNG EINES SICHERHEITSBESCHEIDS FÜR EINRICHTUNGEN AN: ____________________________________ (nationale Sicherheitsbehörde/beauftragte Sicherheitsbehörde, Länderbezeichnung) |
|||||||||||||||
Bitte füllen Sie die zutreffenden Antwortfelder aus:
Bestätigen Sie die Richtigkeit der Angaben zu der nachstehend aufgeführten Einrichtung und nehmen Sie gegebenenfalls Korrekturen/Ergänzungen vor. |
|||||||||||||||
|
Korrekturen/Ergänzungen: |
||||||||||||||
… |
… |
||||||||||||||
|
|||||||||||||||
… |
… |
||||||||||||||
|
|||||||||||||||
… |
… |
||||||||||||||
|
|||||||||||||||
… |
… |
||||||||||||||
|
|||||||||||||||
|
|||||||||||||||
… |
… |
||||||||||||||
|
|||||||||||||||
Ersuchende nationale Sicherheitsbehörde/Beauftragte Sicherheitsbehörde/Vergabebehörde: Name: … |
Datum: (TT/MM/JJJJ)… |
||||||||||||||
ANTWORT (innerhalb von zehn Arbeitstagen) |
|||||||||||||||
Hiermit wird Folgendes bescheinigt:
|
|||||||||||||||
Ausstellende nationale Sicherheitsbehörde/beauftragte Sicherheitsbehörde Name:… |
Datum:(TT/MM/JJJJ)… |
<Platzhalter für Verweis auf die geltenden Datenschutzvorschriften und Link zu der vorgeschriebenen Auskunft an die betroffene Person, z. B. darüber, wie Artikel 13 der Datenschutz-Grundverordnung (13) umgesetzt wird.>
Unteranhang E
Mindestanforderungen für den Schutz elektronischer EU-VS des Geheimhaltungsgrads RESTREINT UE/EU RESTRICTED, die im KIS des Finanzhilfeempfängers bearbeitet werden
Allgemeines
1. |
Der Finanzhilfeempfänger hat dafür zu sorgen, dass der Schutz von Verschlusssachen des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“ den in dieser Sicherheitsklausel festgelegten Mindestsicherheitsanforderungen und etwaigen sonstigen zusätzlichen Anforderungen der Vergabebehörde oder gegebenenfalls der nationalen Sicherheitsbehörde oder der beauftragten Sicherheitsbehörde entspricht. |
2. |
Der Finanzhilfeempfänger hat die in diesem Dokument genannten Sicherheitsanforderungen umzusetzen. |
3. |
Für die Zwecke dieses Dokuments umfasst ein Kommunikations- und Informationssystem (KIS) alle Geräte und Anlagen, die für die Bearbeitung, Aufbewahrung bzw. Speicherung und Übermittlung von EU-VS eingesetzt werden, so z. B. Workstations, Drucker, Kopiergeräte, Faxgeräte, Server, Netzwerk- und Kommunikationscontroller, Laptops, Notebooks, Tablet-Computer, Smartphones und Wechseldatenspeicher wie USB-Datenträger, CDs, SD-Karten usw. |
4. |
Spezielle Ausrüstung wie kryptografische Produkte muss im Einklang mit ihren speziellen sicherheitsbezogenen Betriebsverfahren geschützt werden. |
5. |
Finanzhilfeempfänger müssen eine Struktur für die Sicherheitsverwaltung des KIS einrichten, mit dem Verschlusssachen des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“ bearbeitet werden, und einen für die betreffende Einrichtung verantwortlichen Sicherheitsbeauftragten ernennen. |
6. |
Der Einsatz von privaten IT (Hardware, Software oder Dienstleistungen) der Mitarbeiter des Finanzhilfeempfängers für die Aufbewahrung bzw. Speicherung oder die Verarbeitung von Verschlusssachen des Geheimhaltungsgrads RESTREINT UE/EU RESTRICTED ist nicht zulässig. |
7. |
Die Akkreditierung eines KIS des Finanzhilfeempfängers, mit dem Verschlusssachen des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“ bearbeitet werden, muss von der Sicherheitsakkreditierungsstelle des betreffenden Mitgliedstaats genehmigt oder nach Maßgabe der nationalen Rechtsvorschriften dem Sicherheitsbeauftragten des Finanzhilfeempfängers übertragen werden. |
8. |
Nur Verschlusssachen des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“, die unter Verwendung zugelassener kryptografischer Produkte verschlüsselt werden, dürfen (leitungsgebunden oder drahtlos) wie alle anderen nach der Finanzhilfevereinbarung nicht als Verschlusssache eingestuften Informationen bearbeitet, gespeichert oder übermittelt werden. Diese kryptografischen Produkte müssen von der EU oder einem Mitgliedstaat zugelassen werden. |
9. |
Externe Einrichtungen, die an Wartungs- und Reparaturarbeiten beteiligt sind, müssen vertraglich dazu verpflichtet werden, die in diesem Dokument niedergelegten geltenden Bestimmungen für die Bearbeitung von Verschlusssachen des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“ einzuhalten. |
10. |
Auf Verlangen der Vergabebehörde oder der zuständigen nationalen Sicherheitsbehörde, beauftragten Sicherheitsbehörde oder Sicherheitsakkreditierungsstelle muss der Finanzhilfeempfänger den Nachweis für die Einhaltung der Sicherheitsklausel erbringen. Wird zudem eine Prüfung und Kontrolle der Prozesse und Einrichtungen des Finanzhilfeempfängers beantragt, um die Einhaltung dieser Anforderungen zu gewährleisten, so gestattet der Finanzhilfeempfänger Vertretern der Vergabebehörde, der nationalen Sicherheitsbehörde, beauftragten Sicherheitsbehörde und/oder Sicherheitsakkreditierungsstelle bzw. der zuständigen EU-Sicherheitsbehörde, eine entsprechende Prüfung und Kontrolle vorzunehmen. |
Materieller Geheimschutz
11. |
Bereiche, in denen KIS zur Darstellung, Speicherung, Verarbeitung oder Übermittlung von Verschlusssachen des Geheimhaltungsgrads RESTREINT UE/EU RESTRICTED verwendet werden, oder Bereiche mit Servern, Netzmanagementsystemen, Netz- und Kommunikationscontrollern für solche KIS sollten als getrennte und kontrollierte Bereiche mit einem geeigneten Zugangskontrollsystem eingerichtet werden. Der Zugang zu diesen getrennten und kontrollierten Bereichen sollte auf Personen mit Einzelgenehmigung beschränkt werden. Unbeschadet der Randnummer 8 muss Ausrüstung nach Randnummer 3 in solchen getrennten und kontrollierten Bereichen aufbewahrt werden. |
12. |
Es müssen Sicherheitsmechanismen und/oder -verfahren eingerichtet werden, um die Einführung oder Verbindung von Computer-Wechselspeichermedien (wie USB-Datenträgern, Massenspeichervorrichtungen oder CD-RW) in bzw. mit Komponenten im KIS zu regeln. |
Zugang zu KIS
13. |
Der Zugang zum KIS eines Finanzhilfeempfängers, mit dem EU-VS bearbeitet werden, ist auf der Grundlage strikter Notwendigkeit und der Ermächtigung der Mitarbeiter zulässig. |
14. |
Für alle KIS müssen aktualisierte Listen der zugelassenen Nutzer vorliegen. Alle Nutzer müssen zu Beginn jeder Verarbeitungssitzung authentifiziert werden. |
15. |
Passwörter, die Teil der meisten Maßnahmen zur Identifizierung und Authentifizierung sind, müssen mindestens neun Zeichen enthalten, darunter Ziffern, Sonderzeichen (wenn vom System gestattet) und alphabetische Zeichen. Die Passwörter müssen mindestens alle 180 Tage geändert werden. Sie müssen umgehend geändert werden, wenn sie kompromittiert oder an Unbefugte weitergegeben wurden oder wenn Grund zur Annahme einer solchen Kompromittierung oder Weitergabe besteht. |
16. |
Alle KIS müssen über interne Zugangskontrollen verfügen um zu verhindern, dass Unbefugte auf Verschlusssachen des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“ zugreifen und diese Verschlusssachen oder System- und Sicherheitskontrollen ändern. Die Nutzer müssen automatisch abgemeldet werden, wenn ihre Endgeräte über einen bestimmten Zeitraum inaktiv waren, oder das KIS muss nach 15 Minuten der Inaktivität einen passwortgeschützten Bildschirm aktivieren. |
17. |
Jeder Nutzer des KIS erhält ein individuelles Nutzerkonto und eine individuelle Nutzer-ID. Benutzerkonten müssen automatisch gesperrt werden, wenn fünf aufeinanderfolgende unrichtige Anmeldeversuche durchgeführt wurden |
18. |
Alle Nutzer des KIS müssen über ihre Verantwortlichkeiten und die Verfahren zum Schutz von als „RESTREINT UE/EU RESTRICTED“ eingestuften Verschlusssachen im KIS belehrt werden. Die Verantwortlichkeiten und die einzuhaltenden Verfahren müssen dokumentiert sein und von den Nutzern schriftlich anerkannt werden. |
19. |
Die sicherheitsbezogenen Betriebsverfahren müssen für die Nutzer und Administratoren verfügbar sein und Beschreibungen der Sicherheitsfunktionen sowie eine dazugehörige Liste der Aufgaben, Anweisungen und Pläne enthalten. |
Protokollierung, Prüfung und Reaktion auf Sicherheitsvorfälle
20. |
Jeder Zugriff auf das KIS muss protokolliert werden. |
21. |
Die folgenden Ereignisse müssen aufgezeichnet werden:
|
22. |
Zu allen oben aufgeführten Ereignissen sind mindestens folgende Angaben zu machen:
|
23. |
Die Protokolle sollten einem Sicherheitsbeauftragten bei der Untersuchung möglicher Sicherheitsvorfälle helfen. Sie können auch zur Unterstützung etwaiger rechtlicher Ermittlungen im Falle eines Sicherheitsvorfalls verwendet werden. Alle Sicherheitsaufzeichnungen sollten regelmäßig überprüft werden, um mögliche Sicherheitsvorfälle zu ermitteln. Die Protokolle sind vor unautorisierter Löschung oder Änderung zu schützen. |
24. |
Der Finanzhilfeempfänger muss über eine Strategie für die Reaktion auf Sicherheitsvorfälle verfügen. Nutzer und Administratoren müssen geschult werden, wie auf Vorfälle zu reagieren ist, wie sie zu melden sind und was im Notfall zu tun ist. |
25. |
Die tatsächliche oder mutmaßliche Kompromittierung von Verschlusssachen des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“ ist der Vergabebehörde zu melden. Die Meldung muss eine Beschreibung der betreffenden Informationen und der Umstände der tatsächlichen oder mutmaßlichen Kompromittierung enthalten. Alle Nutzer des KIS müssen darüber belehrt werden, wie ein tatsächlicher oder mutmaßlicher Sicherheitsvorfall dem Sicherheitsbeauftragten zu melden ist. |
Vernetzung und Zusammenschaltung
26. |
Wird ein KIS eines Finanzhilfeempfängers, mit dem Verschlusssachen des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“ bearbeitet werden, mit einem nicht akkreditierten KIS zusammengeschaltet, erhöht sich dadurch die Bedrohung sowohl für die Sicherheit des KIS als auch für die Sicherheit der mit diesem KIS bearbeiteten Verschlusssachen erheblich. Dies gilt auch für das Internet und andere öffentliche oder private KIS wie etwa andere KIS, die sich im Eigentum des Finanzhilfeempfängers oder Subunternehmers befinden. In diesem Fall muss der Finanzhilfeempfänger eine Risikobewertung durchführen, um die zusätzlichen Sicherheitsanforderungen zu ermitteln, die im Rahmen der Sicherheitsakkreditierung umzusetzen sind. Der Finanzhilfeempfänger legt der Vergabebehörde und, sofern dies aufgrund der nationalen Rechtsvorschriften vorgeschrieben ist, der zuständigen Sicherheitsakkreditierungsstelle eine Konformitätserklärung vor, mit der bescheinigt wird, dass das KIS sowie damit verbundene Zusammenschaltungen des Finanzhilfeempfängers für die Bearbeitung von EU-VS des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“ akkreditiert wurden. |
27. |
Der Fernzugang von anderen Systemen zu LAN-Diensten (z. B. Fernzugang zu E-Mail und System-Fernunterstützung) ist verboten, sofern nicht besondere Sicherheitsmaßnahmen vorgenommen und von der Vergabebehörde gebilligt und — wenn nationale Rechtsvorschriften dies vorschreiben — von der zuständigen Sicherheitsakkreditierungsstelle zugelassen werden. |
Konfigurationsmanagement
28. |
Eine ausführliche Hardware- und Softwarekonfiguration, die aus den Akkreditierungs-/Zulassungsunterlagen (einschließlich der System- und Netzdiagramme) hervorgeht, muss verfügbar sein und regelmäßig gewartet werden. |
29. |
Der Sicherheitsbeauftragte des Finanzhilfeempfängers führt Konfigurationskontrollen an der Hardware und Software durch, um sicherzustellen, dass keine unzulässige Hardware oder Software installiert wurde. |
30. |
Änderungen an der Konfiguration des KIS des Finanzhilfeempfängers müssen auf ihre Sicherheitsauswirkungen hin überprüft und vom Sicherheitsbeauftragten sowie — falls nationale Rechtsvorschriften dies vorschreiben — von der Sicherheitsakkreditierungsstelle genehmigt werden. |
31. |
Das System muss mindestens einmal vierteljährlich auf Sicherheitslücken gescannt werden. Software zur Erkennung von Schadprogrammen muss installiert sein und stets aktualisiert werden. Nach Möglichkeit sollte diese Software eine nationale oder anerkannte internationale Zulassung haben; andernfalls sollte sie ein allgemein anerkannter Industriestandard sein. |
32. |
Der Finanzhilfeempfänger muss einen Betriebskontinuitätsplan erstellen. Es müssen Backup-Verfahren eingerichtet werden, die Folgendem Rechnung tragen:
|
Säuberung und Vernichtung
33. |
KIS oder Datenträger, die zu irgendeinem Zeitpunkt Verschlusssachen des Geheimhaltungsgrads RESTREINT UE/EU RESTRICTED enthielten, müssen vor ihrer Entsorgung komplett wie folgt gesäubert werden:
|
34. |
Datenträger müssen von Verschlusssachen des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“ gesäubert werden, bevor sie einer Einrichtung (z. B. zur Durchführung von Wartungsarbeiten) übergeben werden, die über keine Zugangsermächtigung für Verschlusssachen des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“ verfügt. |
(1) Dieses Muster der Geheimschutzklausel findet Anwendung, wenn die Kommission als Urheberin von Verschlusssachen gilt, die für die Durchführung der Finanzhilfevereinbarung erstellt und bearbeitet werden. Wenn der Urheber von Verschlusssachen, die für die Durchführung der Finanzhilfevereinbarung erstellt und bearbeitet werden, nicht die Kommission ist und von den an der Finanzhilfevereinbarung teilnehmenden Mitgliedstaaten ein spezifischer Sicherheitsrahmen eingerichtet wird, können andere Geheimschutzklausel-Muster angewandt werden.
(2) Beschluss (EU, Euratom) 2015/444 der Kommission vom 13. März 2015 über die Sicherheitsvorschriften für den Schutz von EU-Verschlusssachen (ABl. L 72 vom 17.3.2015, S. 53).
(3) Die Vergabebehörde sollte die Verweise einfügen, sobald diese Durchführungsbestimmungen angenommen wurden.
(4) Die Vergabebehörde sollte die Verweise einfügen, sobald diese Durchführungsbestimmungen angenommen wurden.
(5) Die Partei, die die Akkreditierung durchführt, muss der Vergabebehörde über die Sicherheitsstelle der Kommission und in Abstimmung mit der zuständigen nationalen Sicherheitsakkreditierungsstelle eine Konformitätserklärung vorlegen.
(6) Kommen Finanzhilfeempfänger aus Mitgliedstaaten, die für Finanzhilfen des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“ eine Sicherheitsüberprüfung des Personals und/oder der Einrichtung verlangen, listet die Vergabebehörde diese Anforderungen für die betreffenden Finanzhilfeempfänger in der Geheimschutzklausel auf.
(7) Die Vergabebehörde sollte die Verweise einfügen, sobald diese Durchführungsbestimmungen angenommen wurden.
(8) Die Vergabebehörde sollte die Verweise einfügen, sobald diese Durchführungsbestimmungen angenommen wurden.
(9) Wurde vereinbart, dass Besuche, die einen tatsächlichen oder möglichen Zugang zu EU-VS der Geheimhaltungsgrade CONFIDENTIEL UE/EU CONFIDENTIAL und SECRET UE/EU SECRET umfassen, unmittelbar verabredet werden können, kann das ausgefüllte Formular unmittelbar an den Sicherheitsbeauftragten der zu besuchenden Einrichtung übermittelt werden.
(10) Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1).
(11) Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1).
(12) Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1).
(13) Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1).
ANHANG IV
Sicherheitsbescheide und Sicherheitsüberprüfungen für Finanzhilfeempfänger oder Unterauftragnehmer, die Verschlusssachen des Geheimhaltungsgrads RESTREINT UE/EU RESTRICTED bearbeiten, und nationale Sicherheitsbehörden/beauftragte Sicherheitsbehörden, die eine Mitteilung von als Verschlusssache des Geheimhaltungsgrads RESTREINT UE/EU RESTRICTED eingestuften Aufträgen verlangen (1)
Mitgliedstaat |
Sicherheitsbescheid für Einrichtungen |
Mitteilung von Finanzhilfevereinbarungen oder Unteraufträgen, die Verschlusssachen des Geheimhaltungsgrads R-UE/EU-R umfassen, an nationale Sicherheitsbehörden und/oder /beauftragte Sicherheitsbehörden |
Sicherheitsermächtigung für Personal |
|||
JA |
NEIN |
JA |
NEIN |
JA |
NEIN |
|
Belgien |
|
X |
|
X |
|
X |
Bulgarien |
|
X |
|
X |
|
X |
Tschechien |
|
X |
|
X |
|
X |
Dänemark |
X |
|
X |
|
X |
|
Deutschland |
|
X |
|
X |
|
X |
Estland |
X |
|
X |
|
|
X |
Irland |
|
X |
|
X |
|
X |
Griechenland |
X |
|
|
X |
X |
|
Spanien |
|
X |
X |
|
|
X |
Frankreich |
|
X |
|
X |
|
X |
Kroatien |
|
X |
X |
|
|
X |
Italien |
|
X |
X |
|
|
X |
Zypern |
|
X |
X |
|
|
X |
Lettland |
|
X |
|
X |
|
X |
Litauen |
X |
|
X |
|
|
X |
Luxemburg |
X |
|
X |
|
X |
|
Ungarn |
|
X |
|
X |
|
X |
Malta |
|
X |
|
X |
|
X |
Niederlande |
X (nur für verteidigungsbezogene Finanzhilfevereinbarungen und Unteraufträge) |
|
X (nur für verteidigungsbezogene Finanzhilfevereinbarungen und Unteraufträge) |
|
|
X |
Österreich |
|
X |
|
X |
|
X |
Polen |
|
X |
|
X |
|
X |
Portugal |
|
X |
|
X |
|
X |
Rumänien |
|
X |
|
X |
|
X |
Slowenien |
X |
|
X |
|
|
X |
Slowakei |
X |
|
X |
|
|
X |
Finnland |
|
X |
|
X |
|
X |
Schweden |
|
X |
|
X |
|
X |
(1) Diese nationalen Anforderungen in Bezug auf Sicherheitsbescheide und Sicherheitsermächtigungen sowie auf Mitteilungen betreffend Finanzhilfevereinbarungen, die Verschlusssachen des Geheimhaltungsgrads RESTREINT UE/EU RESTRICTED umfassen, dürfen anderen Mitgliedstaaten oder Finanzhilfeempfängern, die deren Hoheitsgewalt unterstehen, keine zusätzlichen Verpflichtungen auferlegen.
Hinweis: Finanzhilfevereinbarungen, die Verschlusssachen der Geheimhaltungsgrade CONFIDENTIEL UE/EU CONFIDENTIAL und SECRET UE/EU SECRET umfassen, sind in jedem Fall mitzuteilen.
ANHANG V
LISTE DER DIENSTSTELLEN DER NATIONALEN SICHERHEITSBEHÖRDEN/BEAUFTRAGTEN SICHERHEITSBEHÖRDEN, DIE FÜR VERFAHREN IM ZUSAMMENHANG MIT DEM GEHEIMSCHUTZ IN DER WIRTSCHAFT ZUSTÄNDIG SIND
BELGIEN
National Security Authority |
FPS Foreign Affairs |
Rue des Petits Carmes 15 |
1000 Brussels |
Tel.: +32 25014542 (Secretariat)
Fax: +32 25014596
E-Mail: nvo-ans@diplobel.fed.be
BULGARIEN
1. |
Tel.: +359 29835775 Fax: +359 29873750 E-Mail: dksi@government.bg |
2. |
Tel.: +359 29227002 Fax: +359 29885211 E-Mail: office@iksbg.org |
3. |
Tel.: +359 29813221 Fax: +359 29862706 E-Mail: office@dar.bg |
4. |
Tel.: +359 29824971 Fax: +359 29461339 E-Mail: dato@dato.bg |
(Den oben aufgeführten zuständigen Behörden obliegt die Durchführung der Überprüfungsverfahren im Rahmen der Ausstellung von Sicherheitsbescheiden für juristische Personen, die einen als Verschlusssache eingestuften Vertrag abschließen wollen, und von Sicherheitsermächtigungen für Einzelpersonen, die einen als Verschlusssache eingestuften Vertrag für die Bedürfnisse dieser Behörden ausführen.)
5. |
Tel.: +359 28147109 Fax: +359 29632188, +359 28147441 E-Mail: dans@dans.bg |
(Oben stehender Sicherheitsdienst führt die Überprüfungsverfahren im Rahmen der Ausstellung von Sicherheitsbescheiden und Sicherheitsermächtigungen für alle sonstigen juristischen Personen bzw. Einzelpersonen im Land durch, die einen als Verschlusssache eingestuften Vertrag oder eine als Verschlusssache eingestufte Finanzhilfevereinbarung abschließen wollen bzw. ausführen.)
TSCHECHIEN
National Security Authority |
Industrial Security Department |
PO BOX 49 |
150 06 Praha 56 |
Tel.: +420 257283129
E-Mail: sbr@nbu.cz
DÄNEMARK
1. |
Tel.: +45 33148888 Fax: +45 33430190 |
2. |
Tel.: +45 33325566 Fax: +45 33931320 |
DEUTSCHLAND
1. |
Tel.: +49 228996154028 Fax: +49 228996152676 E-Mail: dsagermany-rs3@bmwi.bund.de (Büro-E-Mail-Adresse) |
2. |
Tel.: +49 228996152401 Fax: +49 228996152603 E-Mail: rs2-international@bmwi.bund.de (Büro-E-Mail-Adresse) |
3. |
Tel.: +49 2289995826052 Fax: +49 228991095826052 E-Mail: NDAEU@bsi.bund.de |
ESTLAND
National Security Authority Department |
Estonian Foreign Intelligence Service |
Rahumäe tee 4B |
11316 Tallinn |
Tel.: +372 6939211
Fax: +372 6935001
E-Mail: nsa@fis.gov.ee
IRLAND
National Security Authority Ireland |
Department of Foreign Affairs and Trade |
76-78 Harcourt Street |
Dublin 2 |
D02 DX45 |
Tel.: +353 14082724
E-Mail: nsa@dfa.ie
GRIECHENLAND
Hellenic National Defence General Staff |
E’ Division (Security INTEL, CI BRANCH) |
E3 Directorate |
Industrial Security Office |
227-231 Mesogeion Avenue |
15561 Holargos, Athens |
Tel.: +30 2106572022, +30 2106572178
Fax: +30 2106527612
E-Mail: daa.industrial@hndgs.mil.gr
SPANIEN
Autoridad Nacional de Seguridad |
Oficina Nacional de Seguridad |
Calle Argentona 30 |
28023 Madrid |
Tel.: +34 912832583, +34 912832752, +34 913725928
Fax: +34 913725808
E-Mail: nsa-sp@areatec.com
Informationen über als Verschlusssache eingestufte Programme: programas.ons@areatec.com
Bei Fragen, die die Sicherheitsüberprüfung von Personal betreffen: hps.ons@areatec.com
In Bezug auf Beförderungspläne und internationale Besuche: sp-ivtco@areatec.com
FRANKREICH
National Security Authority (NSA) (für die Politik und Umsetzung in anderen Bereichen als der Verteidigungsindustrie) |
Secrétariat général de la défense et de la sécurité nationale |
Sous-direction Protection du secret (SGDSN/PSD) |
51 boulevard de la Tour-Maubourg |
75700 Paris 07 SP |
Tel.: +33 171758193
Fax: +33 171758200
E-Mail: ANSFrance@sgdsn.gouv.fr
Designated Security Authority (für die Umsetzung in der Verteidigungsindustrie) |
Direction Générale de l’Armement |
Service de la Sécurité de Défense et des systèmes d’Information (DGA/SSDI) |
60 boulevard du général Martial Valin |
CS 21623 |
75509 Paris CEDEX 15 |
Tel.: +33 988670421
E-Mail: für Formulare und ausgehende Besuchsanträge: dga-ssdi.ai.fct@intradef.gouv.fr
für eingehende Besuchsanträge: dga-ssdi.visit.fct@intradef.gouv.fr
KROATIEN
Office of the National Security Council |
Croatian NSA |
Jurjevska 34 |
10000 Zagreb |
Tel.: +385 14681222
Fax: +385 14686049
E-Mail: NSACroatia@uvns.hr
ITALIEN
Presidenza del Consiglio dei Ministri |
D.I.S. - U.C.Se. |
Via di Santa Susanna 15 |
00187 Roma |
Tel.: +39 0661174266
Fax: +39 064885273
ZYPERN
ΥΠΟΥΡΓΕΊΟ ΆΜΥΝΑΣ |
Εθνική Αρχή Ασφάλειας (ΕΑΑ) |
Λεωφόρος Στροβόλου, 172-174 |
Στρόβολος, 2048, Λευκωσία |
Τηλέφωνα: +357 22807569, +357 22807764
Τηλεομοιότυπο: +357 22302351
E-Mail: cynsa@mod.gov.cy
Ministry of Defence |
National Security Authority (NSA) |
172-174, Strovolos Avenue |
2048 Strovolos, Nicosia |
Tel.: +357 22807569, +357 22807764
Fax: +357 22302351
E-Mail: cynsa@mod.gov.cy
LETTLAND
National Security Authority |
Constitution Protection Bureau of the Republic of Latvia |
P.O. Box 286 |
Riga LV-1001 |
Tel.: +371 67025418, +371 67025463
Fax: +371 67025454
E-Mail: ndi@sab.gov.lv, ndi@zd.gov.lv
LITAUEN
Lietuvos Respublikos paslapčių apsaugos koordinavimo komisija |
(The Commission for Secrets Protection Coordination of the Republic of Lithuania) |
National Security Authority |
Pilaitės pr. 19 |
LT-06264 Vilnius |
Tel.: +370 70666128
E-Mail: nsa@vsd.lt
LUXEMBURG
Autorité Nationale de Sécurité |
207, route d’Esch |
L-1471 Luxembourg |
Tel.: +352 24782210
E-Mail: ans@me.etat.lu
UNGARN
National Security Authority of Hungary |
H-1399 Budapest P.O. Box 710/50 |
1024 Budapest, Szilágyi Erzsébet fasor 11/B |
Tel.: +36 13911862
Fax: +36 13911889
E-Mail: nbf@nbf.hu
ΜΑLTA
Director of Standardisation |
Designated Security Authority for Industrial Security |
Standards & Metrology Institute |
Malta Competition and Consumer Affairs Authority |
Mizzi House |
National Road |
Blata I-Bajda HMR9010 |
Tel.:+356 23952000
Fax: +356 21242406
E-Mail: certification@mccaa.org.mt
NIEDERLANDE
1. |
Tel.: +31 703204400 Fax: +31 703200733 E-Mail: nsa-nl-industry@minbzk.nl |
2. |
Tel.: +31 704419407 Fax: +31 703459189 E-Mail: indussec@mindef.nl |
ÖSTERREICH
1. |
Tel.: +43 153115202594 E-Mail: isk@bka.gv.at |
2. |
E-Mail: abwa@bmlvs.gv.at |
POLEN
Internal Security Agency |
Department for the Protection of Classified Information |
Rakowiecka 2A |
00-993 Warsaw |
Tel.: +48 225857944
Fax: +48 225857443
E-Mail: nsa@abw.gov.pl
PORTUGAL
Gabinete Nacional de Segurança |
Serviço de Segurança Industrial |
Rua da Junqueira no 69 |
1300-342 Lisbon |
Tel.: +351 213031710
Fax: +351 213031711
E-Mail: sind@gns.gov.pt, franco@gns.gov.pt
RUMÄNIEN
Oficiul Registrului Național al Informațiilor Secrete de Stat - ORNISS |
Romanian NSA - ORNISS - National Registry Office for Classified Information |
4th Mures Street |
012275 Bucharest |
Tel.: +40 212075115
Fax: +40 212245830
E-Mail: relatii.publice@orniss.ro, nsa.romania@nsa.ro
SLOWENIEN
Urad Vlade RS za varovanje tajnih podatkov |
Gregorčičeva 27 |
SI-1000 Ljubljana |
Tel.: +386 14781390
Fax: +386 14781399
E-Mail: gp.uvtp@gov.si
SLOWAKEI
Národný bezpečnostný úrad |
National Security Authority |
Security Clearance Department |
Budatínska 30 P.O. |
851 06 Bratislava |
Tel.: +421 268691111
Fax: +421 268691700
E-Mail: podatelna@nbu.gov.sk
FINNLAND
National Security Authority |
Ministry for Foreign Affairs |
P.O. Box 453 |
FI-00023 Government |
E-Mail: NSA@formin.fi
SCHWEDEN
1. |
Tel.: +46 84051000 Fax: +46 87231176 E-Mail: ud-nsa@gov.se |
2. |
Tel.: +46 87824000 Fax: +46 87826900 E-Mail: security@fmv.se |