a)

TRÈS SECRET UE / EU TOP SECRET Informationen und Materialien, deren unbefugte Weitergabe den wesentlichen Interessen der Europäischen Union oder eines oder mehrerer der Mitgliedstaaten äußerst schweren Schaden zufügen könnte;

b)

SECRET UE/EU SECRET: Informationen und Materialien, deren unbefugte Weitergabe den wesentlichen Interessen der Europäischen Union oder eines oder mehrerer der Mitgliedstaaten schweren Schaden zufügen könnte;

c)

CONFIDENTIEL UE/EU CONFIDENTIAL: Informationen und Materialien, deren unbefugte Weitergabe den wesentlichen Interessen der Europäischen Union oder eines oder mehrerer der Mitgliedstaaten Schaden zufügen könnte;

d)

RESTREINT UE/EU RESTRICTED: Informationen und Materialien, deren unbefugte Weitergabe für die wesentlichen Interessen der Europäischen Union oder eines oder mehrerer Mitgliedstaaten nachteilig sein könnte.

—

von Verschlusssachen, die der EAD erhält, und

—

des Ausgangsmaterials, das in vom EAD stammenden Verschlusssachen enthalten ist.

—

Kenntnis von EU-VS haben müssen,

—

für den Zugang zu als „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder höher eingestuften Verschlusssachen über eine Sicherheitsermächtigung für den entsprechenden Geheimhaltungsgrad verfügt oder auf andere Weise aufgrund ihrer Tätigkeit nach Maßgabe der innerstaatlichen Rechtsvorschriften ordnungsgemäß befugt sind und

—

über ihre Verantwortlichkeiten belehrt worden sind.

a)

In der Regel werden EU-VS elektronisch übermittelt und dabei durch kryptografische Produkte geschützt, die nach Artikel 7 Absatz 5 dieses Beschlusses und anhand klar definierter Sicherheitsbetriebsverfahren zugelassen wurden;

b)

wenn die unter Buchstabe a genannten Mittel nicht verwendet werden, erfolgt die Beförderung von EU-VS entweder

a)

eine Stelle für Informationssicherung (IAA)

b)

eine TEMPEST-Stelle (TA)

c)

eine Krypto-Zulassungsstelle (CAA)

d)

eine Krypto-Verteilungsstelle (CDA)

a)

eine Sicherheits-Akkreditierungsstelle (SAA)

b)

eine für den Betrieb zuständige Stelle für Informationssicherung

a)

ein im Einklang mit Artikel 37 EUV und Artikel 218 AEUV geschlossenes Geheimschutzabkommen zwischen der EU und diesem Drittstaat oder dieser internationalen Organisation oder

b)

eine nach dem Verfahren des Artikels 14 Absatz 5 dieses Beschlusses geschlossene Verwaltungsvereinbarung zwischen dem HV und den zuständigen Sicherheitsstellen dieses Drittstaats oder dieser internationalen Organisation über den Austausch von Verschlusssachen, die grundsätzlich nicht höher als „RESTREINT UE/EU RESTRICTED“ eingestuft sind, oder

c)

ein im Kontext einer GSVP-Krisenbewältigungsoperation zwischen der EU und diesem Drittstaat oder dieser internationalen Organisation nach Artikel 37 EUV und Artikel 218 AEUV geschlossenes Rahmen- oder Ad-hoc-Abkommen über eine Beteiligung

a)

den potenziellen Schaden für die Interessen der EU oder der Mitgliedstaaten einzuschätzen,

b)

die geeigneten Maßnahmen zu treffen, damit ein solcher Vorfall sich nicht wiederholt,

c)

Beweise zu sichern,

d)

sicherzustellen, dass der Fall zur Aufklärung des Sachverhalts von Personal untersucht wird, das von der Verletzung nicht unmittelbar betroffen ist,

e)

die zuständigen Stellen über die Auswirkungen des Vorfalls und die getroffenen Maßnahmen zu unterrichten und

f)

den Herausgeber zu verständigen.

1.

Dieser Anhang enthält Vorschriften zur Anwendung von Anhang A Artikel 5. Er legt insbesondere die Kriterien fest, anhand deren der EAD feststellt, ob eine Person unter Berücksichtigung ihrer Loyalität, Vertrauenswürdigkeit und Zuverlässigkeit zum Zugang zu EU-VS ermächtigt werden kann, sowie die hierzu anzuwendenden Untersuchungs- und Verwaltungsverfahren.

2.

Die „Sicherheitsermächtigung“ mit Blick auf den Zugang zu EU-VS ist eine Erklärung einer zuständigen Behörde eines Mitgliedstaats, die nach Abschluss einer Sicherheitsüberprüfung durch die zuständigen Behörden eines Mitgliedstaats abgegeben wird und bescheinigt, dass einer Person, die nachweislich Kenntnis von Verschlusssachen haben muss, bis zu einem bestimmten Datum und bis zu einem bestimmten Geheimhaltungsgrad („CONFIDENTIEL UE/EU CONFIDENTIAL“ oder höher) Zugang zu EU-VS gewährt werden kann; diese Person wird als „sicherheitsüberprüft“ bezeichnet.

3.

Die „Bescheinigung über die Sicherheitsermächtigung“ ist eine von der Sicherheitsbehörde des EAS ausgestellte Bescheinigung, die nachweist, dass eine Person sicherheitsüberprüft ist und Angaben zum Geheimhaltungsgrad der EU-VS, zu denen die Person Zugang haben darf, zur Gültigkeitsdauer der betreffenden Sicherheitsermächtigung und zum Ende der Gültigkeitsdauer der Bescheinigung selbst enthält.

4.

Die „Ermächtigung zum Zugang zu EU-VS“ ist eine Ermächtigung der Sicherheitsbehörde des EAD, die gemäß diesen Beschluss nach Abschluss einer Sicherheitsüberprüfung durch die zuständigen Behörden eines Mitgliedstaats erteilt wird und bescheinigt, dass einer Person, die nachweislich Kenntnis von Verschlusssachen haben muss, bis zu einem bestimmten Datum Zugang zu EU-VS bis zu einem bestimmten Geheimhaltungsgrad („CONFIDENTIEL UE/EU CONFIDENTIAL“ oder höher) gestattet werden kann; diese Person wird als „sicherheitsüberprüft“ bezeichnet.

5.

Der Zugang zu Verschlusssachen, die als „RESTREINT UE/EU RESTRICTED“ eingestuft sind, erfordert keine Sicherheitsermächtigung und wird gestattet, nachdem

6.

Einer Person darf der Zugang zu als „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder höher eingestuften Verschlusssachen der EU erst dann gestattet werden, wenn

7.

Der EAD bestimmt innerhalb seiner Strukturen die Dienstposten, für die ein Zugang zu als „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder höher eingestuften Verschlusssachen und somit eine Sicherheitsermächtigung für den entsprechenden Geheimhaltungsgrad gemäß Nummer 4 erforderlich ist.

8.

Die Bediensteten des EAD geben eine Erklärung darüber ab, ob sie die Staatsangehörigkeit mehrerer Länder besitzen.

9.

Für Beamte und sonstige Bedienstete des EAD sendet die Anstellungsbehörde des EAD den ausgefüllten Sicherheitsfragebogen an die nationale Sicherheitsbehörde des Mitgliedstaats, dessen Staatsangehörigkeit die betreffende Person besitzt, und beantragt die Durchführung einer Sicherheitsüberprüfung für den Geheimhaltungsgrad von EU-VS, zu denen die betreffende Person Zugang haben muss.

10.

Besitzt eine Person die Staatsangehörigkeit mehrerer Länder, wird die Sicherheitsüberprüfung bei der nationalen Sicherheitsbehörde des Landes beantragt, unter dessen Staatsangehörigkeit die Person eingestellt wurde.

11.

Werden dem EAD sicherheitserhebliche Informationen zu einer Person bekannt, die die Erteilung einer EU-Sicherheitsermächtigung beantragt hat, so teilt er dies der zuständigen nationalen Sicherheitsbehörde gemäß den einschlägigen Vorschriften mit.

12.

Nach Abschluss der Sicherheitsüberprüfung teilt die betreffende nationale Sicherheitsbehörde der Direktion Sicherheit des EAD das Ergebnis der Überprüfung mit.

13.

Für die Sicherheitsüberprüfung und deren Ergebnisse, auf die sich der EAD bei seiner Entscheidung über die Erteilung einer Ermächtigung zum Zugang zu EU-VS stützt, gelten die einschlägigen Rechtsvorschriften des betreffenden Mitgliedstaats, einschließlich der Rechtsvorschriften für etwaige Rechtsbehelfe. Gegen Entscheidungen der Sicherheitsbehörde des EAD können Rechtsbehelfe gemäß dem Statut der Beamten der Europäischen Union und der Beschäftigungsbedingungen für die sonstigen Bediensteten der Europäischen Union gemäß der Verordnung (EWG, Euratom, EGKS) Nr. 259/68 (1) (im Folgenden „Statut“) eingelegt werden.

14.

Die Feststellung, auf die sich eine Sicherheitsermächtigung stützt, erstreckt sich – solange diese gültig ist – auf alle Aufgaben, die die betreffende Person im EAD, im Generalsekretariat des Rates oder in der Kommission übernimmt.

15.

Nimmt eine Person innerhalb von 12 Monaten nach Mitteilung des Ergebnisses der Sicherheitsüberprüfung an die Sicherheitsbehörde des EAD ihren Dienst nicht auf oder unterbricht sie diesen für einen Zeitraum von 12 oder mehr Monaten, in dem sie nicht beim EAD, in anderen Organen, Agenturen oder Einrichtungen der EU oder bei einer nationalen Verwaltung eines Mitgliedstaats auf einem Dienstposten tätig ist, die den Zugang zu Verschlusssachen erfordert, so wird die zuständige nationale Sicherheitsbehörde mit diesem Ergebnis befasst, damit sie gegebenenfalls bestätigen kann, dass es weiterhin gültig und berechtigt ist.

16.

Werden dem EAD Informationen in Bezug auf ein Sicherheitsrisiko durch eine Person bekannt, die eine gültige Sicherheitsermächtigung besitzt, so teilt der EAD dies der zuständigen nationalen Sicherheitsbehörde gemäß den einschlägigen Vorschriften mit. Teilt eine nationale Sicherheitsbehörde dem EAD mit, dass eine gemäß Nummer 12 Buchstabe a erfolgte Feststellung in Bezug auf eine Person, die im Besitz einer gültigen Sicherheitsermächtigung für den Zugang zu EU-VS ist, zurückgenommen wurde, kann die Sicherheitsbehörde des EAD bei der nationalen Sicherheitsbehörde um alle weiteren Auskünfte nachsuchen, die diese nach ihren innerstaatlichen Rechtsvorschriften erteilen darf. Bei Bestätigung der nachteiligen Erkenntnisse wird die vorgenannte Sicherheitsermächtigung entzogen und die betreffende Person vom Zugang zu EU-VS und von Dienstposten, auf denen sie sich Zugang zu EU-VS verschaffen kann oder auf denen sie ein Sicherheitsrisiko darstellen könnte, ausgeschlossen.

17.

Jede Entscheidung, einem Beamten oder sonstigen Bediensteten des EAD die Sicherheitsermächtigung für den Zugang zu EU-VS zu entziehen, und gegebenenfalls die dafür maßgeblichen Gründe werden der betreffenden Person mitgeteilt, die beantragen kann, von der Sicherheitsbehörde des EAD gehört zu werden. Für die von einer nationalen Sicherheitsbehörde zur Verfügung gestellten Informationen gelten die einschlägigen Rechtsvorschriften des betreffenden Mitgliedstaats, einschließlich der Rechtsvorschriften über etwaige Rechtsbehelfe. Gegen Entscheidungen der Sicherheitsbehörde des EAD können Rechtsbehelfe gemäß dem Statut eingelegt werden.

18.

Nationale Experten, die zum EAD abgeordnet werden, um dort einen Dienstposten zu bekleiden, für den der Zugang zu als „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder höher eingestuften Verschlusssachen erforderlich ist, müssen der Sicherheitsbehörde des EAD eine gültige nationale Sicherheitsermächtigung für den Zugang zu EU-VS vorlegen, bevor sie ihren Dienst antreten. Dieser Vorgang wird von dem abordnenden Mitgliedstaat abgewickelt.

19.

Der EAD unterhält eine Datenbank, in der der Sicherheitsstatus aller dem EAD unterstehenden Bediensteten und seiner Vertragsbediensteten erfasst ist. Diese Verzeichnisse enthalten Angaben zum Geheimhaltungsgrad der EU-VS, bis zu dem die betreffende Person Zugang haben darf (als „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder höher eingestufte Verschlusssachen), das Datum, an dem die Sicherheitsermächtigung erteilt wurde, und deren Gültigkeitsdauer.

20.

Es werden geeignete Verfahren für die Koordinierung mit den Mitgliedstaaten und anderen Organen, Agenturen und Einrichtungen der EU eingeführt, um sicherzustellen, dass der EAD ein genaues und umfassendes Verzeichnis des Sicherheitsstatus aller dem EAD unterstehenden Bediensteten und seiner Vertragsbediensteten führt.

21.

Die Sicherheitsbehörde des EAD kann eine Bescheinigung über die Sicherheitsermächtigung (Sicherheitsermächtigungsbescheinigung) ausstellen, die Angaben zum Geheimhaltungsgrad der EU-VS, zu denen die Person Zugang haben darf (als „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder höher eingestufte Verschlusssachen), zur Gültigkeitsdauer der betreffenden Sicherheitsermächtigung und zum Ende der Gültigkeitsdauer der Bescheinigung an sich enthält.

22.

Personen, die aufgrund ihrer Aufgaben nach den innerstaatlichen Rechtsvorschriften förmlich zum Zugang zu EU-VS ermächtigt worden sind, werden von der Direktion Sicherheit des EAD entsprechend über ihre Sicherheitsverpflichtungen hinsichtlich des Schutzes von EU-VS belehrt.

23.

Vor der Ermächtigung zum Zugang zu EU-VS bestätigen alle betreffenden Personen schriftlich, dass sie sich ihrer Verpflichtungen in Bezug auf den Schutz von EU-VS und der Folgen einer Kenntnisnahme von EU-VS durch Unbefugte bewusst sind. Der EAD verwahrt die Aufzeichnungen über derartige schriftliche Bestätigungen.

24.

Alle Personen, die zum Zugang zu EU-VS ermächtigt sind oder EU-VS bearbeiten müssen, werden in einer ersten Phase für Bedrohungen der Sicherheit sensibilisiert und später in regelmäßigen Abständen darüber unterrichtet; sie müssen alle von ihnen als verdächtig oder ungewöhnlich erachteten Anbahnungsversuche oder sonstigen Tätigkeiten unverzüglich den für Sicherheit zuständigen Stellen melden.

25.

Sämtliche Personen, denen der Zugang zu EU-VS gestattet wird, sind während des Zeitraums, in dem sie EU-VS bearbeiten, laufenden Maßnahmen des personellen Geheimschutzes (d. h. laufende Betreuung) zu unterziehen. Für den laufenden personellen Geheimschutz verantwortlich sind:

26.

Alle Personen, die nicht mehr mit Aufgaben betraut sind, die einen Zugang zu EU-VS erfordern, werden über ihre Verpflichtungen in Bezug auf den fortgesetzten Schutz von EU-VS belehrt und haben diese Verpflichtungen gegebenenfalls schriftlich zu bestätigen.

27.

Aus Gründen der Dringlichkeit kann die Sicherheitsbehörde des EAD in Erwartung des Abschlusses einer umfassenden Sicherheitsüberprüfung nach Konsultation der zuständigen nationalen Sicherheitsbehörde des Mitgliedstaats, dessen Staatsangehörigkeit die betreffende Person besitzt, und vorbehaltlich der Ergebnisse einer ersten Prüfung, um festzustellen, ob keine nachteiligen Erkenntnisse vorliegen, Beamten und sonstigen Bediensteten des EAD eine vorläufige Ermächtigung zum Zugang zu EU-VS für eine bestimmte Tätigkeit erteilen, wenn dies im dienstlichen Interesse gerechtfertigt ist. Eine umfassende Sicherheitsüberprüfung sollte so bald wie möglich durchgeführt werden. Solche vorläufigen Ermächtigungen gelten für höchstens sechs Monate und berechtigen nicht zum Zugang zu Verschlusssachen, die als „TRES SECRET UE/EU TOP SECRET“ eingestuft sind. Alle Personen, denen eine vorläufige Ermächtigung erteilt wurde, bestätigen schriftlich, dass sie sich ihrer Pflichten in Bezug auf den Schutz von EU-VS und der Folgen einer Kenntnisnahme von EU-VS durch Unbefugte bewusst sind. Der EAD verwahrt die Aufzeichnungen über derartige schriftliche Bestätigungen.

28.

Wird einer Person eine Tätigkeit zugewiesen, die eine Ermächtigung für Verschlusssachen erfordert, die einen eine Stufe höheren Geheimhaltungsgrad aufweisen als die Verschlusssachen, für die sie eine Ermächtigung besitzt, so kann die Zuweisung dieser Tätigkeit vorläufig erfolgen, sofern

29.

Das vorstehend beschriebene Verfahren gilt für den einmaligen Zugang zu EU-VS, die einen eine Stufe höheren Geheimhaltungsgrad aufweisen als derjenige, für den die betreffende Person ermächtigt wurde. Auf dieses Verfahren darf nicht regelmäßig zurückgegriffen werden.

30.

In besonderen Ausnahmefällen, wie bei Missionen in feindlicher Umgebung oder in Zeiten zunehmender internationaler Spannungen, wenn Sofortmaßnahmen ergriffen werden müssen, insbesondere zur Rettung von Menschenleben, können der Hohe Vertreter, der Exekutiv-Generalsekretär und der Chief Operating Officer Personen, die nicht die erforderliche Sicherheitsermächtigung besitzen, nach Möglichkeit schriftlich Zugang zu als „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder „SECRET UE/EU SECRET“ eingestuften Verschlusssachen gewähren, sofern eine derartige Erlaubnis absolut notwendig ist und keine begründeten Zweifel an der Loyalität, Vertrauenswürdigkeit und Zuverlässigkeit der betreffenden Person bestehen. Von dieser Erlaubnis wird eine Aufzeichnung aufbewahrt, in der die Verschlusssachen beschrieben werden, zu denen der Zugang genehmigt wurde.

31.

Im Falle von Verschlusssachen, die als „TRES SECRET UE/EU TOP SECRET“ eingestuft sind, wird diese Art des Zugangs in Ausnahmefällen auf Staatsangehörige der EU-Mitgliedstaaten beschränkt, die zum Zugang entweder zu nationalen Verschlusssachen, die dem Geheimhaltungsgrad „TRES SECRET UE/EU TOP SECRET“ entsprechen, oder zu Verschlusssachen des Geheimhaltungsgrads „SECRET UE/EU SECRET“ ermächtigt wurden.

32.

Der Sicherheitsausschuss des EAD wird über die Fälle unterrichtet, in denen auf das Verfahren nach den Nummern 29 und 30 zurückgegriffen wird.

33.

Der Sicherheitsausschuss des EAD erhält einen jährlichen Bericht über die Inanspruchnahme der in diesem Abschnitt beschriebenen Verfahren.

34.

Personen, die an Sitzungen in der Zentrale des EAD und den EU-Delegationen teilnehmen sollen, in deren Rahmen als „CONFIDENTIEL UE/EU CONFIDENTIAL“ und höher eingestufte Verschlusssachen erörtert werden, darf die Teilnahme nur dann gestattet werden, wenn die Sicherheitsermächtigung der betreffenden Person bestätigt wurde. Im Falle von Vertretern der Mitgliedstaaten, Beamten des Generalsekretariats des Rates und der Kommission wird eine Sicherheitsermächtigungsbescheinigung oder ein anderer Nachweis für eine Sicherheitsermächtigung der Direktion Sicherheit des EAD bzw. dem Sicherheitskoordinator der EU-Delegation von den zuständigen Behörden übermittelt oder ausnahmsweise von der betreffenden Person vorgelegt. Gegebenenfalls kann eine konsolidierte Namensliste verwendet werden, die den einschlägigen Nachweis der Sicherheitsermächtigungen enthält.

35.

Wird einer Person, deren Aufgaben die Teilnahme an Sitzungen in der Zentrale des EAD oder den EU-Delegationen erfordern, in deren Rahmen als „CONFIDENTIEL UE/EU CONFIDENTIAL“ und höher eingestufte Verschlusssachen erörtert werden, die Sicherheitsermächtigung für den Zugang zu EU-VS entzogen, so setzt die zuständige Behörde den EAD davon in Kenntnis.

36.

Werden Personen unter Umständen beschäftigt, unter denen sie möglicherweise Zugang zu Verschlusssachen des Geheimhaltungsgrads „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder höher haben könnten, werden sie einer angemessenen Sicherheitsüberprüfung unterzogen oder jederzeit begleitet.

37.

Boten, Sicherheitsbedienstete und Begleitpersonen werden einer Sicherheitsüberprüfung der erforderlichen Geheimhaltungsstufe unterzogen oder auf andere Weise gemäß den innerstaatlichen Rechtsvorschriften angemessen überprüft und über die Sicherheitsverfahren zum Schutz von EU-VS sowie über ihre Pflichten zum Schutz der ihnen anvertrauten oder ihnen unbeabsichtigt zugänglich gewordenen Verschlusssachen belehrt.

1.

Dieser Anhang enthält Vorschriften zur Anwendung von Anhang A Artikel 6. Er legt Mindestanforderungen an den materiellen Schutz von Gebäuden, Büros, Räumen und sonstigen Bereichen fest, in denen EU-VS bearbeitet und aufbewahrt werden, einschließlich Bereichen, in denen Kommunikations- und Informationssysteme untergebracht sind.

2.

Die Maßnahmen des materiellen Geheimschutzes zielen darauf ab, den Zugang unbefugter Personen zu EU-VS zu verhindern, indem

3.

Der EAD wendet in seinen Gebäuden einen Risikomanagementprozess für den Schutz von EU-VS an, um dafür zu sorgen, dass der Umfang des materiellen Schutzes dem festgestellten Risiko entspricht. Bei dem Risikomanagementprozess wird allen relevanten Faktoren Rechnung getragen, insbesondere

4.

Die Sicherheitsbehörde des EAD legt unter Anwendung des Konzepts der mehrschichtigen Sicherheit die angemessene Kombination von Maßnahmen des materiellen Geheimschutzes fest, die durchgeführt werden müssen. Dies kann eine oder mehrere der folgenden Maßnahmen umfassen:

5.

Die Direktion Sicherheit des EAD kann Durchsuchungen an den Ein- und Ausgängen vornehmen, um damit vom Verbringen unzulässigen Materials in Räumlichkeiten oder Gebäude oder von der nicht genehmigten Mitnahme von EU-VS aus Räumlichkeiten oder Gebäuden abzuschrecken.

6.

Besteht die Gefahr einer – auch versehentlichen – unzulässigen Einsicht in EU-VS, so werden geeignete Maßnahmen ergriffen, um dieser Gefahr entgegenzuwirken.

7.

Bei neuen Anlagen müssen die Anforderungen hinsichtlich des materiellen Geheimschutzes und deren funktionale Spezifikationen bei der Planung und Konzeption der Anlagen festgelegt werden. Bei bestehenden Anlagen müssen die Anforderungen hinsichtlich des materiellen Geheimschutzes möglichst weitgehend umgesetzt werden.

8.

Bei der Beschaffung von Ausrüstung (wie Sicherheitsbehältnissen, Aktenvernichtern, Türschlössern, elektronischen Zugangskontrollsystemen, Einbruchsmeldeanlagen, Alarmsystemen) für den physischen Schutz von EU-VS stellt die Sicherheitsbehörde des EAD sicher, dass die Ausrüstung den genehmigten technischen Standards und Mindestanforderungen entspricht.

9.

Die technischen Spezifikationen der Ausrüstung, die zum physischen Schutz von EU-VS eingesetzt werden soll, werden in Sicherheitsleitlinien festgehalten, die vom Sicherheitsausschuss des EAD gebilligt werden.

10.

Die Sicherheitssysteme müssen in regelmäßigen Abständen überprüft werden; die Ausrüstung muss regelmäßig gewartet werden. Bei den Wartungsarbeiten ist dem Ergebnis der Überprüfungen Rechnung zu tragen, damit ein optimales Funktionieren der betreffenden Ausrüstung weiterhin gewährleistet ist.

11.

Die Wirksamkeit der einzelnen Sicherheitsmaßnahmen und des gesamten Sicherheitssystems ist bei jeder Inspektion zu überprüfen.

12.

Zum physischen Schutz von EU-VS werden zwei Arten von durch Maßnahmen des materiellen Geheimschutzes geschützten Bereichen oder entsprechenden Bereichen auf nationaler Ebene eingerichtet:

13.

Die Sicherheitsbehörde des EAD legt fest, ob ein bestimmter Bereich die Anforderungen für eine Ausweisung als Verwaltungsbereich, als abgesicherter Bereich oder technisch abgesicherter Bereich erfüllt.

14.

Für Verwaltungsbereiche

15.

Für abgesicherte Bereiche gilt Folgendes:

16.

Wenn das Betreten eines abgesicherten Bereichs de facto den unmittelbaren Zugang zu darin enthaltenen Verschlusssachen ermöglicht, sind außerdem folgende Anforderungen zu erfüllen:

17.

Abgesicherte Bereiche mit Abhörschutz sind als technisch abgesicherte Bereiche auszuweisen. Es gelten die folgenden zusätzlichen Anforderungen:

18.

Ungeachtet Nummer 17 Buchstabe d müssen alle Kommunikationsgeräte und elektrischen oder elektronischen Geräte vor ihrer Nutzung in Bereichen, in denen Sitzungen oder Arbeiten zu Verschlusssachen des Geheimhaltungsgrads „SECRET UE/EU SECRET“ und höher stattfinden, sowie in Fällen, in denen die Gefährdung von EU-VS als hoch eingeschätzt wird, vorab von der Sicherheitsbehörde des EAD untersucht werden, um sicherzustellen, dass mit diesen Geräten keine verständlichen Informationen auf unbeabsichtigte oder unzulässige Weise aus dem betreffenden abgesicherten Bereich nach außen übermittelt werden können.

19.

Die abgesicherten Bereiche, die nicht rund um die Uhr von Dienst tuendem Personal besetzt sind, sind gegebenenfalls unmittelbar nach den üblichen Arbeitszeiten und in unregelmäßigen Abständen außerhalb der üblichen Arbeitszeiten zu inspizieren, es sei denn, es wird eine Einbruchsmeldeanlage verwendet.

20.

Innerhalb eines Verwaltungsbereichs können zeitweilig abgesicherte Bereiche oder technisch abgesicherte Bereiche im Hinblick auf eine geheimhaltungsbedürftige Sitzung oder einen anderen ähnlichen Zweck eingerichtet werden.

21.

Für jeden abgesicherten Bereich werden sicherheitsbezogene Sicherheitsbetriebsverfahren aufgestellt, die Folgendes regeln:

22.

Tresorräume werden in abgesicherte Bereiche eingebaut. Wände, Böden, Decken, Fenster und verschließbare Türen müssen von der Sicherheitsbehörde des EAD zugelassen werden und einen Schutz bieten, der dem eines Sicherheitsbehältnisses entspricht, das für die Aufbewahrung von EU-VS desselben Geheimhaltungsgrads zugelassen ist.

23.

EU-VS des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“ dürfen in folgenden Bereichen bearbeitet werden:

24.

EU-VS des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“ sind in geeigneten, verschließbaren Büromöbeln in einem Verwaltungsbereich oder einem abgesicherten Bereich aufzubewahren. Sie können zeitweilig außerhalb eines abgesicherten Bereichs oder eines Verwaltungsbereichs aufbewahrt werden, sofern der Besitzer sich verpflichtet hat, besondere Maßnahmen einzuhalten, die in den Sicherheitsanweisungen der Sicherheitsbehörde des EAD festgelegt sind.

25.

EU-VS der Geheimhaltungsgrade „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder „SECRET UE/EU SECRET“ dürfen in folgenden Bereichen bearbeitet werden:

26.

EU-VS der Geheimhaltungsgrade „CONFIDENTIEL UE/EU CONFIDENTIAL“ und „SECRET UE/EU SECRET“ werden in einem abgesicherten Bereich in einem Sicherheitsbehältnis oder in einem Tresorraum aufbewahrt.

27.

EU-VS des Geheimhaltungsgrads „TRES SECRET UE/EU TOP SECRET“ werden in einem abgesicherten Bereich bearbeitet.

28.

EU-VS des Geheimhaltungsgrads „TRES SECRET UE/EU TOP SECRET“ sind in der Zentrale des EAD einem abgesicherten Bereich unter einer der folgenden Bedingungen aufzubewahren:

29.

Die Vorschriften über die Beförderung von EU-VS außerhalb durch Maßnahmen des materiellen Geheimschutzes geschützten Bereichen sind in Anhang A III enthalten.

30.

Die Sicherheitsbehörde des EAD legt Verfahren für die Verwaltung der Schlüssel und Kombinationen für Büros, Räume, Tresorräume und Sicherheitsbehältnisse fest. Diese Verfahren müssen Schutz vor unbefugtem Zugang gewähren.

31.

Der Kreis der Personen, denen die Kombinationen zur Kenntnis gegeben werden, ist so weit wie möglich zu begrenzen. Die Kombinationen für Sicherheitsbehältnisse und für Tresorräume, in denen EU-VS aufbewahrt werden, sind zu ändern:

1.

Dieser Anhang enthält Vorschriften zur Anwendung von Anhang A Artikel 7. In ihm sind die Verwaltungsmaßnahmen zur Überwachung von EU-VS während der gesamten Dauer ihrer Einstufung als EU-VS festgelegt; diese sollen dazu dienen, die beabsichtigte oder unbeabsichtigte Kenntnisnahme dieser Verschlusssachen durch Unbefugte bzw. den Verlust dieser Verschlusssachen zu verhindern oder festzustellen oder Maßnahmen zur Wiederherstellung der Sicherheit zu treffen.

2.

Informationen werden als Verschlusssache eingestuft, wenn sie hinsichtlich ihrer Vertraulichkeit zu schützen sind.

3.

Der Herausgeber einer EU-VS ist dafür zuständig, nach Maßgabe der einschlägigen Einstufungsleitlinien den Geheimhaltungsgrad und den Empfängerkreis der Informationen zu bestimmen.

4.

Der Geheimhaltungsgrad einer EU-VS ist nach Anhang A Artikel 2 Absatz 2 und unter Bezugnahme auf das gemäß Anhang A Artikel 3 Absatz 3 zu billigende Sicherheitskonzept festzulegen.

5.

Für Verschlusssachen der Mitgliedstaaten, die mit dem EAD ausgetauscht werden, wird dasselbe Schutzniveau gewährt wie für EU-VS des entsprechenden Geheimhaltungsgrads. Eine Entsprechungstabelle findet sich in Anlage B des Beschlusses 2011/292/EU des Rates vom 31. März 2011 über die Sicherheitsvorschriften für den Schutz von EU-Verschlusssachen.

6.

Der Geheimhaltungsgrad und gegebenenfalls das Datum oder das spezielle Ereignis, nach dem der Geheimhaltungsgrad herabgestuft oder aufgehoben werden kann, sind eindeutig und richtig anzugeben, unabhängig davon, ob die EU-VS im Papierformat oder in mündlicher, elektronischer oder anderer Form vorliegt.

7.

Einzelne Teile eines bestimmten Dokuments (d. h. Seiten, Absätze, Abschnitte, Anhänge oder sonstige Anlagen) können eine unterschiedliche Einstufung erforderlich machen und sind entsprechend zu kennzeichnen, auch bei Aufbewahrung in elektronischer Form.

8.

Dokumente, die Teile mit unterschiedlichen Geheimhaltungsgraden umfassen, sollten möglichst so untergliedert werden, dass Teile mit verschiedenen Geheimhaltungsgraden leicht zu erkennen sind und gegebenenfalls abgetrennt werden können.

9.

Der Geheimhaltungsgrad des Gesamtdokuments oder der Datei entspricht mindestens dem Geheimhaltungsgrad seines/ihres am höchsten eingestuften Teils. Werden Informationen aus verschiedenen Quellen in einem Dokument zusammengestellt, so wird die endgültige Fassung durchgesehen, um den grundsätzlichen Geheimhaltungsgrad zu bestimmen, da sie einen höheren Geheimhaltungsgrad als für die einzelnen Bestandteile nötig erfordern kann.

10.

Ein Begleitschreiben oder ein Übermittlungsvermerk samt Anlagen ist so hoch einzustufen wie die am höchsten eingestufte Anlage. Der Herausgeber muss anhand einer entsprechenden Kennzeichnung klar angeben, welcher Geheimhaltungsgrad für das Begleitschreiben bzw. den Übermittlungsvermerk gilt, wenn diesem die Anlagen nicht beigefügt sind, z. B.:

CONFIDENTIEL UE/EU CONFIDENTIAL

Ohne Anlage(n) RESTREINT UE/EU RESTRICTED

11.

Zusätzlich zu einer der VS-Kennzeichnungen nach Anhang A Artikel 2 Absatz 2 können EU-VS mit zusätzlichen Kennzeichnungen versehen sein, wie z. B.

12.

Im Anschluss an die Entscheidung über die Weitergabe von EU-VS an einen Drittstaat oder eine internationale Organisation übermittelt die Direktion Sicherheit des EAD das betreffende Dokument, auf dem durch eine Weitergabekennzeichnung angegeben wird, an welchen Drittstaat oder welche internationale Organisation es weiterzugeben ist.

13.

Die Sicherheitsbehörde des EAD verabschiedet die Liste der zugelassenen Kennzeichnungen.

14.

Standardmäßig abgekürzte Einstufungskennzeichnungen können verwendet werden, um den Geheimhaltungsgrad einzelner Absätze eines Textes auszuweisen. Die Abkürzungen ersetzen nicht die kompletten Einstufungskennzeichnungen.

15.

In EU-VS können folgende Standardabkürzungen verwendet werden, um den Geheimhaltungsgrad von Textabschnitten oder Textteilen von weniger als einer Seite anzugeben:

16.

Bei der Erstellung einer EU-Verschlusssache

17.

Ist eine Anwendung der Nummer 15 auf EU-VS nicht möglich, so sind im Einklang mit nach diesem Beschluss festzulegenden Sicherheitsleitlinien andere geeignete Maßnahmen anzuwenden.

18.

Der Herausgeber teilt, sofern möglich und insbesondere bei Verschlusssachen mit dem Geheimhaltungsgrad „RESTREINT UE/EU RESTRICTED“, zum Zeitpunkt der Erstellung einer EU-VS mit, ob deren Geheimhaltungsgrad zu einem bestimmten Zeitpunkt oder im Anschluss an ein bestimmtes Ereignis herabgestuft oder aufgehoben werden kann.

19.

Der EAD überprüft regelmäßig die von ihm verwahrten EU-VS daraufhin, ob ihr Geheimhaltungsgrad weiterhin zutreffend ist. Der EAD legt ein System fest, mit dem der Geheimhaltungsgrad der von ihm stammenden registrierten EU-VS mindestens alle fünf Jahre überprüft wird. Eine solche Überprüfung ist nicht erforderlich, wenn der Herausgeber bereits von vorneherein einen Zeitpunkt mitgeteilt hat, zu dem der Geheimhaltungsgrad der Informationen automatisch herabgestuft oder aufgehoben wird, und die Informationen entsprechend gekennzeichnet wurden.

20.

In der Zentrale des EAD wird eine Zentralregistratur eingerichtet. Für jede Stelle im EAD, in der EU-VS bearbeitet werden, wird eine der Zentralregistratur untergeordnete zuständige Registratur bestimmt, damit bei der Bearbeitung von EU-VS die Einhaltung dieses Beschlusses gewährleistet wird. Die Registraturen werden als abgesicherte Bereiche im Sinne des Anhangs A eingerichtet.

Jede EU-Delegation richtet ihre eigene EU-VS-Registratur ein.

Die Sicherheitsbehörde des EAD ernennt einen Chief Registry Officer für diese Registraturen

21.

Im Sinne dieses Beschlusses bezeichnet der Ausdruck „Registrierung zu Sicherheitszwecken“ (im Folgenden „Registrierung“) die Durchführung von Verfahren, bei denen jede Phase des Umlaufs der Informationen, auch deren Weitergabe und Vernichtung, aufgezeichnet wird. Im Falle eines Kommunikations- und Informationssystems können die Registrierungsverfahren durch Prozesse im Kommunikations- und Informationssystem selbst vorgenommen werden.

22.

Alle als „CONFIDENTIEL UE/EU CONFIDENTIAL“ und höher eingestuften Materialien sind zu registrieren, wenn sie in einer Verwaltungseinheit (einschließlich EU-Delegationen) eingehen oder diese verlassen. Als „TRES SECRET UE/EU TOP SECRET“ eingestufte Verschlusssachen werden in eigens dafür bestimmten Registraturen vereinnahmt.

23.

Die Zentralregistratur in der EAD-Zentrale ist Haupteingangs- und Ausgangsstelle für den Austausch von Verschlusssachen mit Drittstaaten und internationalen Organisationen. Sie verwahrt Aufzeichnungen über jeden Austausch.

24.

Die Hohe Vertreterin billigt im Einklang mit Artikel 14 dieses Beschlusses ein Sicherheitskonzept in Bezug auf die Registrierung von EU-VS zu Sicherheitszwecken.

25.

Die Zentralregistratur in der EAD-Zentrale wird als zentrale Eingangs- und Ausgangsstelle für als „TRES SECRET UE/EU TOP SECRET“ eingestufte Verschlusssachen benannt. Sofern erforderlich, können nachgeordnete Registraturen zur Bearbeitung dieser Verschlusssachen zu Registrierungszwecken bestimmt werden.

26.

Diese nachgeordneten Registraturen dürfen als „TRES SECRET UE/EU TOP SECRET“ eingestufte Dokumente nicht unmittelbar an andere nachgeordnete Registraturen derselben zentralen „TRES SECRET UE/EU TOP SECRET“-Registratur oder anderweitig übermitteln, ohne dass diese ihre ausdrückliche schriftliche Zustimmung erteilt hat.

27.

Als „TRES SECRET UE/EU TOP SECRET“ eingestufte Dokumente dürfen ohne vorherige schriftliche Zustimmung des Herausgebers weder kopiert noch übersetzt werden.

28.

Hat der Herausgeber von als „SECRET UE/EU SECRET“ und niedriger eingestuften Dokumenten keine Einschränkungen hinsichtlich der Anfertigung von Kopien oder Übersetzungen auferlegt, so können diese Dokumente auf Anweisung des Besitzers kopiert bzw. übersetzt werden.

29.

Die für das Originaldokument geltenden Sicherheitsmaßnahmen finden auf Kopien und Übersetzungen dieses Dokuments Anwendung. Die Kopien von als „CONFIDENTIEL UE/EU CONFIDENTIAL“ eingestuften Dokumenten dürfen nur von einer zuständigen (nachgeordneten) Registratur auf einem gesicherten Kopiergerät erstellt werden. Die Kopien müssen registriert werden.

30.

Für die Beförderung von EU-VS gelten die Schutzmaßnahmen nach den Nummern 31 bis 41. Bei der Beförderung von EU-VS auf elektronischen Datenträgern können ungeachtet Anhang A Artikel 7 Absatz 4 die nachstehend beschriebenen Schutzmaßnahmen entsprechend den Weisungen der Sicherheitsbehörde des EAD durch geeignete technische Abwehrmaßnahmen ergänzt werden, damit das Risiko eines Verlusts oder der Kenntnisnahme durch Unbefugte so gering wie möglich gehalten wird.

31.

Die Sicherheitsbehörde des EAD erlässt ergänzende Weisungen für die Beförderung von EU-VS nach Maßgabe dieses Beschlusses.

32.

EU-VS, die innerhalb eines Gebäudes oder einer geschlossenen Gebäudegruppe befördert werden, sind zu verpacken, damit keine Rückschlüsse auf ihren Inhalt möglich sind.

33.

Innerhalb eines Gebäudes oder einer geschlossenen Gebäudegruppe werden Verschlusssachen des Geheimhaltungsgrads „TRES SECRET UE/EU TOP SECRET“ von angemessen sicherheitsüberprüften Personen in einem gesicherten Umschlag befördert, auf dem lediglich der Name des Empfängers angegeben ist.

34.

EU-VS, die zwischen Gebäuden oder Räumlichkeiten innerhalb der EU befördert werden, sind so zu verpacken, dass sie vor unbefugter Kenntnisnahme geschützt sind.

35.

Die Beförderung von Verschlusssachen bis zum Geheimhaltungsgrad „SECRET UE/EU SECRET“ innerhalb der EU erfolgt:

Bei der Beförderung von einem Mitgliedstaat in einen anderen wird Buchstabe c lediglich auf Verschlusssachen bis zum Geheimhaltungsgrad „CONFIDENTIEL UE/EU CONFIDENTIAL“ angewendet.

36.

Als „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder „SECRET UE/EU SECRET“ eingestufte Materialien (beispielsweise Geräte oder Maschinen), die nicht mit den unter Nummer 34 aufgeführten Beförderungsmitteln befördert werden können, werden nach Maßgabe des Anhangs A V von gewerblichen Beförderungsunternehmen als Fracht befördert.

37.

Die Beförderung von als „TRES SECRET UE/EU TOP SECRET“ eingestuften Verschlusssachen zwischen Gebäuden oder Räumlichkeiten innerhalb der EU erfolgt je nach Sachlage durch militärischen, diplomatischen oder Regierungskurier.

38.

EU-VS, die aus der EU in das Hoheitsgebiet eines Drittstaats oder zwischen EU-Einrichtungen in Drittstaaten befördert werden, sind so zu verpacken, dass sie vor unbefugter Kenntnisnahme geschützt sind.

39.

Die Beförderung von Verschlusssachen der Geheimhaltungsgrade „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder „SECRET UE/EU SECRET“ aus der EU in das Hoheitsgebiet eines Drittstaats und die Beförderung von EU-VS bis zum Geheimhaltungsgrad „SECRET UE/EU SECRET“ zwischen EU-Einrichtungen in Drittstaaten erfolgt:

40.

Die Beförderung von Verschlusssachen der Geheimhaltungsgrade „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder „SECRET UE/EU SECRET“ aus der EU in einen Drittstaat oder zu einer internationalen Organisation erfolgt nach den einschlägigen Bestimmungen eines Geheimschutzabkommens oder einer Verwaltungsvereinbarung nach Anhang A Artikel 10 Absatz 2.

41.

Informationen des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“ dürfen auch aus der EU in das Hoheitsgebiet eines Drittstaats durch Postdienste oder private Kurierdienste befördert werden.

42.

Die Beförderung von Verschlusssachen des Geheimhaltungsgrads „TRES SECRET UE/EU TOP SECRET“ aus der EU in das Hoheitsgebiet eines Drittstaats oder zwischen EU-Einrichtungen in Drittstaaten erfolgt durch militärischen oder diplomatischen Kurier.

43.

Nicht mehr benötigte EU-Verschlusssachen können unbeschadet der einschlägigen Vorschriften und Regelungen über die Archivierung vernichtet werden.

44.

Registrierungspflichtige Dokumente nach Anhang A Artikel 7 Absatz 2 werden von der zuständigen Registratur auf Anweisung des Besitzers oder einer zuständigen Behörde vernichtet. Die Dienstbücher und sonstigen Registrierungsinformationen werden entsprechend aktualisiert.

45.

Bei Dokumenten des Geheimhaltungsgrads „SECRET UE/EU SECRET“ oder „TRES SECRET UE/EU TOP SECRET“ erfolgt die Vernichtung im Beisein eines Zeugen, der mindestens zum Zugang zu Verschlusssachen mit dem Geheimhaltungsgrad des zu vernichtenden Dokuments ermächtigt ist.

46.

Der Registerführer und der Zeuge — falls dessen Anwesenheit erforderlich ist — unterschreiben eine Vernichtungsbescheinigung, die in der Registratur abgelegt wird. Die Registratur bewahrt die Vernichtungsbescheinigungen von Dokumenten des Geheimhaltungsgrads „TRES SECRET UE/EU TOP SECRET“ mindestens zehn Jahre lang und von Dokumenten der Geheimhaltungsgrade „CONFIDENTIEL UE/EU CONFIDENTIAL“ und „SECRET UE/EU SECRET“ mindestens fünf Jahre lang auf.

47.

Verschlusssachen, einschließlich derjenigen des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“, werden nach Verfahren vernichtet, die die einschlägigen EU-Normen oder gleichwertige Normen erfüllen oder die gemäß nationalen technischen Normen von den Mitgliedstaaten zugelassen worden sind, damit so einer vollständigen oder teilweisen Wiederherstellung vorgebeugt wird.

48.

Die Vernichtung elektronischer Datenträger, die für EU-VS verwendet wurden, erfolgt gemäß Anhang A IV Nummer 36.

49.

Im Einklang mit Artikel 15 dieses Beschlusses umfassen Sicherheitsinspektionen des EAD

50.

Sicherheitsinspektionen des EAD werden von einem Inspektionsteam der Direktion Sicherheit des EAD durchgeführt, das gegebenenfalls von Sicherheitsexperten anderer EU-Organe oder der Mitgliedstaaten unterstützt wird.

Das Inspektionsteam hat Zugang zu jedem Ort, an dem EU-VS bearbeitet werden, insbesondere Registraturen und Zugangspunkte der Kommunikations- und Informationssysteme.

51.

Sicherheitsinspektionen des EAD in EU-Delegationen können erforderlichenfalls mit Unterstützung der Sicherheitsbeauftragten der Botschaften der Mitgliedstaaten in Drittstaaten durchgeführt werden.

52.

Die Sicherheitsbehörde des EAD nimmt vor Ablauf eines jeden Kalenderjahrs das Sicherheitsinspektionsprogramm des EAD für das Folgejahr an.

53.

Erforderlichenfalls kann die Sicherheitsbehörde des EAD Sicherheitsinspektionen veranlassen, die nicht in diesem Programm vorgesehen sind.

54.

Am Ende der Sicherheitsinspektion werden der inspizierten Einrichtung die wichtigsten Schlussfolgerungen und Empfehlungen vorgelegt. Anschließend erstellt das Inspektionsteam einen Inspektionsbericht. Wurden Abhilfemaßnahmen und Empfehlungen vorgeschlagen, so muss der Bericht hinreichende Einzelheiten zur Untermauerung der betreffenden Schlussfolgerungen enthalten. Der Bericht wird der Sicherheitsbehörde des EAD und dem Leiter der inspizierten Einrichtung übermittelt.

Unter der Verantwortung der Direktion Sicherheit des EAD wird regelmäßig ein Bericht erstellt, in dem die Erfahrungswerte, die sich aus den während eines bestimmten Zeitraums durchgeführten Inspektionen ergeben, dargelegt werden; dieser Bericht wird vom Sicherheitsausschuss des EAD geprüft.

55.

Die Direktion Sicherheit des EAD kann gegebenenfalls Experten für die Beteiligung an gemeinsamen EU-Inspektionsteams benennen, die Sicherheitsinspektionen in den nach Titel V Kapitel 2 EUV geschaffenen Agenturen und Einrichtungen der EU durchführen.

56.

Die Sicherheitsbehörde des EAD erstellt eine Prüfliste für die Sicherheitsinspektionen des EAD und aktualisiert diese Liste. Diese Prüfliste wird dem Sicherheitsausschuss des EAD übermittelt.

57.

Die Informationen zum Ausfüllen der Prüfliste werden insbesondere während der Inspektion vom Sicherheitsmanagement der inspizierten Stelle eingeholt. Nachdem sie mit den ausführlichen Antworten ausgefüllt wurde, wird die Prüfliste im Benehmen mit der inspizierten Stelle als Verschlusssache eingestuft. Sie ist nicht Teil des Inspektionsberichts.

1.

Dieser Anhang enthält Vorschriften zur Anwendung von Anhang A Artikel 8.

2.

Die folgenden Eigenschaften und Konzepte der Informationssicherung sind für die Sicherheit und die ordnungsgemäße Durchführung von Operationen in Kommunikations- und Informationssystemen unerlässlich:

3.

Die nachstehenden Bestimmungen sind Ausgangsbasis für die Sicherheit eines jeden Kommunikations- und Informationssystems, in dem EU-VS bearbeitet werden. Detaillierte Anforderungen zur Durchführung dieser Bestimmungen werden in Sicherheitskonzepten und Sicherheitsleitlinien für Informationssicherung festgelegt.

4.

Sicherheitsrisikomanagement ist ein integraler Bestandteil der Konzeption, der Entwicklung, des Betriebs und der Wartung von Kommunikations- und Informationssystemen. Das Risikomanagement (Bewertung, Behandlung, Akzeptanz und Kommunikation) wird als fortlaufender Prozess gemeinsam von Vertretern der Systemeigner, den für ein Projekt zuständigen Stellen, den für den Betrieb zuständigen Stellen und den Sicherheits-Zulassungsstellen durchgeführt; dabei wird ein bewährtes, transparentes und vollkommen verständliches Risikobewertungsverfahren durchgeführt. Der Umfang des Kommunikations- und Informationssystems und seine Werte müssen gleich zu Beginn des Risikomanagementprozesses klar umrissen sein.

5.

Die zuständigen Stellen des EAD müssen die potenziellen Bedrohungen für Kommunikations- und Informationssysteme überprüfen und über stets aktuelle und genaue Risikobewertungen entsprechend dem jeweiligen betrieblichen Umfeld verfügen. Sie halten ihre Kenntnisse über potenzielle Schwachstellen stets auf dem neuesten Stand und überprüfen regelmäßig die Bewertung der Schwachstellen, um den sich ändernden IT-Gegebenheiten Rechnung zu tragen.

6.

Das Ziel des Sicherheitsrisikomanagements muss darin bestehen, ein Paket von Sicherheitsmaßnahmen anzuwenden, die zu einer zufriedenstellenden Ausgewogenheit zwischen den Anforderungen der Nutzer und dem Sicherheitsrestrisiko führen.

7.

Die spezifischen Anforderungen, der Maßstab und Grad der Detaillierung, die von der einschlägigen Sicherheitsakkreditierungsstelle (SAA) zur Akkreditierung eines Kommunikations- und Informationssystems festgelegt werden, müssen dem festgestellten Risiko entsprechen; dabei ist allen relevanten Faktoren Rechnung zu tragen, darunter dem Geheimhaltungsgrad der EU-VS, die in dem Kommunikations- und Informationssystem bearbeitet werden. Zur Akkreditierung gehören eine förmliche Erklärung zum Restrisiko und die Akzeptanz des Restrisikos durch eine zuständige Stelle.

8.

Die Gewährleistung der Sicherheit ist während des gesamten Lebenszyklus des CIS ab der Einführung bis zur Außerbetriebstellung erforderlich.

9.

Die Rolle aller an einem Kommunikations- und Informationssystem Beteiligten und deren Interaktion hinsichtlich der Sicherheit des Systems werden für jede Phase des Lebenszyklus definiert.

10.

Jegliches CIS einschließlich seiner technischen und nicht technischen Sicherheitsmaßnahmen wird während des Akkreditierungsprozesses Sicherheitsprüfungen unterzogen, damit gewährleistet ist, dass bei den implementierten Sicherheitsmaßnahmen das entsprechende Sicherheitsniveau erreicht wird, und geprüft wird, dass sie korrekt implementiert, integriert und konfiguriert werden.

11.

Sicherheitsbewertungen, -inspektionen und -überprüfungen werden während des Betriebs eines Kommunikations- und Informationssystems und während Wartungsarbeiten in regelmäßigen Abständen sowie im Falle außergewöhnlicher Umstände durchgeführt.

12.

Die Sicherheitsdokumentation für ein Kommunikations- und Informationssystem wird während dessen Lebenszyklus weiterentwickelt als integraler Bestandteil des Prozesses eines Änderungs- und Konfigurationsmanagements.

13.

Der EAD arbeitet mit dem Generalsekretariat des Rates und den Mitgliedstaaten zusammen, um optimale Vorgehensweisen für den Schutz von EU-VS, die in Kommunikations- und Informationssystemen bearbeitet werden, zu entwickeln. Leitlinien zu optimalen Vorgehensweisen enthalten Sicherheitsmaßnahmen in den Bereichen Technik, physischer Schutz, Organisation und Verfahren für Kommunikations- und Informationssysteme, deren Effizienz bei der Abwehr von Bedrohungen und der Behebung von Schwachstellen belegt ist.

14.

Für den Schutz von EU-VS, die in Kommunikations- und Informationssystemen bearbeitet werden, sind die Erfahrungen derjenigen Stellen innerhalb und außerhalb der EU, die im Bereich Informationssicherung tätig sind, heranzuziehen.

15.

Die Verbreitung und anschließende Anwendung optimaler Vorgehensweisen soll dazu beitragen, dass ein gleichwertiges Sicherheitsniveau für die verschiedenen, vom EAD betriebenen Kommunikations- und Informationssystemen erreicht wird, die EU-VS bearbeiten.

16.

Um das Risiko bei Kommunikations- und Informationssystemen zu verringern, wird eine Reihe von technischen und nicht technischen Sicherheitsmaßnahmen in Form eines mehrschichtigen Abwehrsystems durchgeführt. Dazu gehören:

a)   Abschreckung: Sicherheitsmaßnahmen, mit denen darauf abgezielt wird, Gegner von einer Planung von Angriffen auf das Kommunikations- und Informationssystem abzuhalten;

b)   Prävention: Sicherheitsmaßnahmen, mit denen darauf abgezielt wird, einen Angriff auf das Kommunikations- und Informationssystem zu verhindern oder abzublocken;

c)   Erkennung: Sicherheitsmaßnahmen, mit denen darauf abgezielt wird, einen Angriff auf das Kommunikations- und Informationssystem zu erkennen;

d)   Widerstandsfähigkeit: Sicherheitsmaßnahmen, mit denen darauf abgezielt wird, die Auswirkungen eines Angriffes auf möglichst wenige Informationen oder Komponenten des CIS zu begrenzen und weiteren Schaden zu verhindern; und

e)   Folgenbewältigung: Sicherheitsmaßnahmen, mit denen darauf abgezielt wird, für das Kommunikations- und Informationssystem eine Situation der Sicherheit wiederherzustellen.

Wie streng diese Sicherheitsmaßnahmen zu sein haben und in welchen Fällen sie zur Anwendung kommen, wird durch eine Risikobewertung bestimmt.

17.

Die zuständigen Stellen des EAD tragen dafür Sorge, dass sie auf Zwischenfälle, die die Grenzen einer Organisation oder eines Staates überschreiten können, reagieren können, damit die Reaktionen koordiniert und Informationen über diese Zwischenfälle und damit zusammenhängende Risikokonstellationen ausgetauscht werden (Computer-Notfall-Reaktionsfähigkeit).

18.

Nur die für die operativen Anforderungen unbedingt notwendigen Funktionen, Geräte und Dienste werden implementiert, damit unnötige Risiken vermieden werden.

19.

Nutzer von Kommunikations- und Informationssystemen und automatisierten Verfahrensabläufen erhalten nur den Zugang, die Berechtigung oder die Genehmigungen, die für die Erfüllung ihrer Aufgaben erforderlich sind, damit der Schaden, der durch Zwischenfälle, Fehler oder die unbefugte Nutzung von Ressourcen des Kommunikations- und Informationssystems entstehen kann, begrenzt wird.

20.

Die von einem Kommunikations- und Informationssystem durchgeführten Registrierungsverfahren werden, soweit erforderlich, als Teil des Akkreditierungsverfahrens überprüft.

21.

Sensibilisierung für die Risiken und die zur Verfügung stehenden Sicherheitsmaßnahmen ist die erste Verteidigungslinie in Bezug auf die Sicherheit von Kommunikations- und Informationssystemen. Insbesondere muss sich das gesamte Personal, das mit einem Kommunikations- und Informationssystem während dessen Lebenszyklus befasst ist, einschließlich der Nutzer, über Folgendes bewusst sein:

22.

Damit sichergestellt ist, dass die Verantwortlichkeiten für die Sicherheit bekannt sind, sind Schulung und Sensibilisierung in Bezug auf Informationssicherung für das gesamte beteiligte Personal, einschließlich des Führungspersonals, und die Nutzer von Kommunikations- und Informationssystemen obligatorisch.

23.

Das erforderliche Maß an Vertrauen in die Sicherheitsmaßnahmen, das als Niveau der Vertrauenswürdigkeit definiert wird, wird aufgrund der Ergebnisse des Risikomanagementprozesses und entsprechend den einschlägigen Sicherheitskonzepten und Sicherheitsleitlinien bestimmt.

24.

Das Vertrauenswürdigkeitsniveau wird geprüft, indem international anerkannte oder national genehmigte Verfahren und Methoden angewandt werden. Dazu gehören in erster Linie Evaluierung, Kontrollen und Betriebsanalysen.

25.

Kryptografische Produkte zum Schutz von EU-VS werden von einer nationalen Krypto-Zulassungsstelle (CAA) eines Mitgliedstaats bewertet und genehmigt.

26.

Bevor kryptografische Produkte der Krypto-Zulassungsstelle des EAD gemäß Artikel 7 Absatz 5 zur Genehmigung empfohlen werden, müssen sie eine Bewertung durch eine zweite Stelle, und zwar eine qualifizierte Behörde (Appropriately Qualified Authority – AQUA) eines Mitgliedstaats, die nicht an der Konzeption oder Herstellung der Ausrüstung beteiligt ist, erfolgreich durchlaufen. Wie detailliert bei einer Zweitevaluierung zu prüfen ist, hängt von dem angestrebten höchsten Geheimhaltungsgrad der EU-VS ab, die mit diesen Produkten geschützt werden sollen.

27.

Wenn dies aus spezifischen operativen Gründen gerechtfertigt ist, kann die Krypto-Zulassungsstelle des EAD auf Empfehlung des Sicherheitsausschusses auf die Anforderungen nach den Nummern 25 oder 26 verzichten und eine vorläufige Zulassung für einen spezifischen Zeitraum gemäß dem Verfahren nach Artikel 7 Absatz 5 dieses Beschlusses erteilen.

28.

Eine AQUA ist eine Krypto-Zulassungsstelle eines Mitgliedstaats, die auf der Grundlage von vom Rat festgelegter Kriterien akkreditiert wurde, die Zweitevaluierung von kryptografischen Produkten zum Schutz von EU-VS vorzunehmen.

29.

Der Hohe Vertreter billigt ein Sicherheitskonzept in Bezug auf die Eignung und Zulassung von nicht-kryptografischen IT-Sicherheitsprodukten.

30.

Ungeachtet der Bestimmungen dieses Beschlusses kann, wenn EU-VS innerhalb abgesicherter Bereiche übermittelt werden, eine nicht verschlüsselte Verteilung oder eine Verschlüsselung auf einer niedrigeren Stufe unter Zugrundelegung der Ergebnisse eines Risikomanagementprozesses und vorbehaltlich der Zustimmung der SAA erfolgen.

31.

Im Sinne dieses Beschlusses ist eine Systemzusammenschaltung die direkte Verbindung von zwei oder mehr IT-Systemen für die gemeinsame Nutzung von Daten und anderen Informationsressourcen (beispielsweise Kommunikation); die Verbindung kann unidirektional oder multidirektional sein.

32.

Ein Kommunikations- und Informationssystem muss jedes angeschlossene IT-System zunächst als nicht vertrauenswürdig behandeln und Schutzmaßnahmen durchführen, um den Austausch von Verschlusssachen zu kontrollieren.

33.

Bei der Zusammenschaltung eines Kommunikations- und Informationssystems mit einem anderen IT-System müssen stets die folgenden grundlegenden Anforderungen erfüllt sein:

34.

Es darf keine Zusammenschaltung zwischen einem akkreditierten Kommunikations- und Informationssystem und einem ungeschützten oder öffentlichen Netz geben, außer wenn das Kommunikations- und Informationssystem über zugelassene Dienste für den Schutz von Systemübergängen verfügt, die zu diesem Zweck zwischen dem Kommunikations- und Informationssystem und dem ungeschützten oder öffentlichen Netz installiert wurden. Die Sicherheitsmaßnahmen für einen derartigen Verbund werden von der zuständigen Informationssicherungsstelle überprüft und von der zuständigen SAA genehmigt.

Wenn das ungeschützte oder öffentliche Netz lediglich als Träger verwendet wird und die Daten durch ein gemäß Artikel 7 Absatz 5 dieses Beschlusses zugelassenes kryptografisches Produkt verschlüsselt werden, gilt eine derartige Verbindung nicht als Zusammenschaltung.

35.

Die direkte oder kaskadierte Zusammenschaltung eines Kommunikations- und Informationssystems, das für die Bearbeitung von Verschlusssachen des Geheimhaltungsgrads „TRES SECRET UE/EU TOP SECRET“ akkreditiert ist, mit einem ungeschützten oder öffentlichen Netz ist untersagt.

36.

Die Vernichtung elektronischer Datenträger erfolgt nach Verfahren, die von der Sicherheitsbehörde des EAD genehmigt wurden.

37.

Elektronische Datenträger werden nach einem gemäß Artikel 7 Absatz 2 dieses Beschlusses festzulegenden Sicherheitskonzept wiederverwendet, herabgestuft oder freigegeben.

38.

Unbeschadet der Bestimmungen dieses Beschlusses können in einer Notsituation wie beispielsweise drohenden oder bereits eingetretenen Krisen, Konflikten, Kriegssituationen oder im Fall besonderer operativer Umstände die nachstehend beschriebenen besonderen Verfahren für einen befristeten Zeitraum angewandt werden.

39.

EU-VS können mit Hilfe kryptografischer Produkte, die für einen niedrigeren Geheimhaltungsgrad zugelassen sind, oder mit Zustimmung der zuständigen Behörde unverschlüsselt übermittelt werden, wenn eine Verzögerung einen Schaden verursachen würde, der deutlich größer wäre als der Schaden, der durch eine Preisgabe des als Verschlusssache eingestuften Materials entstehen würde, und wenn

40.

Verschlusssachen, die unter den unter Nummer 39 erläuterten Umständen übermittelt werden, sind nicht mit Kennzeichnungen oder Angaben zu versehen, die sie von nicht als Verschlusssache eingestuften Informationen oder solchen unterscheiden, die mit einem zur Verfügung stehenden kryptografischen Produkt geschützt werden können. Die Empfänger werden auf anderem Weg unverzüglich über den Geheimhaltungsgrad unterrichtet.

41.

Wird gemäß Nummer 39 vorgegangen, ist der Direktion Sicherheit des EAD anschließend Bericht zu erstatten, die wiederum den Sicherheitsausschuss des EAD unterrichtet. In diesem Bericht werden mindestens der Absender, der Empfänger und der Herausgeber jeder EU-VS angegeben.

42.

Folgende Funktionen im Bereich der Informationssicherung werden im EAD eingerichtet. Hierfür sind keine zentralen organisatorischen Einheiten erforderlich. Für die einzelnen Funktionen werden gesonderte Mandate erteilt. Diese Funktionen und die damit einhergehenden Verantwortlichkeiten können jedoch zusammengefasst oder der gleichen organisatorischen Einheit zugewiesen oder auf verschiedene organisatorische Einheiten aufgeteilt werden, sofern interne Interessen- oder Aufgabenkonflikte vermieden werden.

43.

Die Stelle für Informationssicherung ist für Folgendes zuständig:

44.

Die TEMPEST-Stelle (TA) hat sicherzustellen, dass die Kommunikations- und Informationssysteme den TEMPEST-Konzepten und -Leitlinien entsprechen. Sie genehmigt TEMPEST-Schutzmaßnahmen für Installationen und Produkte, damit EU-VS bis zu einem bestimmten Geheimhaltungsgrad in dem betreffenden Betriebsumfeld geschützt sind.

45.

Die Krypto-Zulassungsstelle hat sicherzustellen, dass kryptografische Produkte dem jeweiligen Kryptografiekonzept entsprechen Sie erteilt für ein kryptografisches Produkt die Zulassung, EU-VS bis zu einem bestimmten Geheimhaltungsgrad in dem betreffenden Betriebsumfeld zu schützen.

46.

Die Krypto-Verteilungsstelle ist für Folgendes zuständig:

47.

Die Sicherheits-Akkreditierungsstelle (SAA) für das jeweilige System ist für Folgendes zuständig:

48.

Die SAA des EAD ist für die Akkreditierung aller CIS zuständig, die im Zuständigkeitsbereich des EAD betrieben werden.

49.

Wenn CIS in die Zuständigkeit sowohl der SAA des EAD als auch der SAA der Mitgliedstaaten fallen, so nimmt ein gemeinsames Akkreditierungsgremium die Akkreditierung des betreffenden Systems vor. Es setzt sich aus einem SAA-Vertreter jedes Mitgliedstaats zusammen, und je ein SAA-Vertreter des Generalsekretariats des Rates und der Kommission nehmen an den Sitzungen teil. Andere Stellen, die an ein Kommunikations- und Informationssystem angeschlossen sind, werden zu Beratungen über das betreffende System eingeladen.

Den Vorsitz des SAB führt ein Vertreter der SAA des EAD. Im SAB beschließen die SAA-Vertreter der Organe, Mitgliedstaaten und sonstigen Stellen, die an das Kommunikations- und Informationssystem angeschlossen sind, einvernehmlich. Das SAB erstellt für den Sicherheitsausschuss des EAD regelmäßig Berichte über seine Tätigkeit und übermittelt ihm alle Akkreditierungserklärungen.

50.

Die für den Betrieb des jeweiligen Systems zuständige Stelle für Informationssicherung ist für Folgendes zuständig:

1.

Dieser Anhang enthält Vorschriften zur Anwendung von Anhang A Artikel 9. Er legt allgemeine Sicherheitsvorschriften für gewerbliche oder andere Einrichtungen fest, die während der Verhandlungen vor der Auftragsvergabe und während der Laufzeit der als Verschlusssache eingestuften Aufträge, die vom EAD vergeben werden, gelten.

2.

Der Hohe Vertreter billigt ein Konzept für den Geheimschutz in der Wirtschaft, mit dem insbesondere ausführliche Anforderungen in Bezug auf Sicherheitsbescheide für Unternehmen (FSC), Geheimschutzklauseln (SAL), Besuche sowie die Übermittlung und Beförderung von EU-VS aufgestellt werden.

3.

Vor der Ausschreibung oder der Vergabe eines als Verschlusssache eingestuften Auftrags bestimmt der EAD als Vergabebehörde den Geheimhaltungsgrad für Informationen, die Bietern oder Auftragnehmern zur Verfügung gestellt werden, sowie den Geheimhaltungsgrad für Informationen, die vom Auftragnehmer herauszugeben sind. Zu diesem Zweck erstellt der EAD die bei der Ausführung des Auftrags zu verwendende VS-Einstufungsliste (Security Classification Guide, SCG).

4.

Für die Bestimmung des Geheimhaltungsgrads der verschiedenen Bestandteile eines als Verschlusssache eingestuften Auftrags gelten die folgenden Grundsätze:

5.

Die auftragsspezifischen Sicherheitsanforderungen werden in einer Geheimschutzklausel beschrieben. Die Geheimschutzklausel enthält gegebenenfalls die VS-Einstufungsliste und ist fester Bestandteil eines als Verschlusssache eingestuften Auftrags oder Subauftrags.

6.

Die Geheimschutzklausel enthält die Bestimmungen, mit denen der Auftragnehmer und/oder Subauftragnehmer verpflichtet wird, die Mindeststandards dieses Beschlusses einzuhalten. Die Nichteinhaltung dieser Mindeststandards kann einen ausreichenden Grund dafür darstellen, dass der Auftrag gekündigt wird.

7.

Abhängig vom Umfang von Programmen oder Projekten, die mit dem Zugang zu oder der Bearbeitung oder Aufbewahrung von EU-VS verbunden sind, kann eine spezifische Sicherheitsanweisung für ein Programm/Projekt (Programme/Project Security Instructions, PSI) von der mit der Verwaltung des Programms oder Projekts beauftragten Vergabebehörde ausgearbeitet werden. Die Sicherheitsanweisung bedarf der Genehmigung durch die nationalen Sicherheitsbehörden/Beauftragten Sicherheitsbehörden der Mitgliedstaaten oder durch eine andere zuständige Sicherheitsbehörde, die an dem Programm/Projekt beteiligt ist, und kann zusätzliche Sicherheitserfordernisse beinhalten.

8.

Die Direktion Sicherheit des EAD ersucht die nationale Sicherheitsbehörde/Beauftragte Sicherheitsbehörde oder eine andere zuständige Behörde des betreffenden Mitgliedstaats um Ausstellung eines Sicherheitsbescheids für Unternehmen, der gemäß den innerstaatlichen Rechtsvorschriften Auskunft darüber gibt, dass ein industrielles oder anderes Unternehmen in der Lage ist, EU-VS bis zu dem entsprechenden Geheimhaltungsgrad („CONFIDENTIEL UE/EU CONFIDENTIAL“ oder „SECRET UE/EU SECRET“) in seinen Anlagen zu schützen. Ein Nachweis über die Ausstellung des Bescheids ist dem EAD vorzulegen, bevor einem Auftragnehmer oder Unterauftragnehmer bzw. einem möglichen Auftragnehmer oder Unterauftragnehmer EU-VS zur Verfügung gestellt werden können oder ihm Zugang zu diesen gewährt werden kann.

9.

Der EAD als Vergabebehörde teilt der zuständigen nationalen Sicherheitsbehörde/Beauftragten Sicherheitsbehörde oder einer anderen zuständigen Sicherheitsbehörde gegebenenfalls mit, dass ein Sicherheitsbescheid für Unternehmen in der Phase vor der Auftragsvergabe oder für die Ausführung des Auftrags erforderlich ist. Ein Sicherheitsbescheid für Unternehmen oder eine Sicherheitsermächtigung ist in der Phase vor der Auftragsvergabe erforderlich, wenn EU-VS mit dem Geheimhaltungsgrad „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder „SECRET UE/EU SECRET“ während des Bietverfahrens zur Verfügung gestellt werden müssen.

10.

Der EAD als Vergabebehörde vergibt keinen als Verschlusssache eingestuften Auftrag an einen bevorzugten Bieter, bevor sie von der nationalen Sicherheitsbehörde/Beauftragten Sicherheitsbehörde oder einer anderen zuständigen Sicherheitsbehörde des Mitgliedstaats, in dem der betreffende Auftragnehmer oder Subauftragnehmer eingetragen ist, die Bestätigung erhalten hat, dass erforderlichenfalls ein entsprechender Sicherheitsbescheid für das Unternehmen erteilt wurde.

11.

Der EAD als Vergabebehörde ersucht die nationale Sicherheitsbehörde/Beauftragte Sicherheitsbehörde oder die sonstige zuständige Sicherheitsbehörde, die einen Sicherheitsbescheid erteilt hat, ihn über etwaige nachteilige Erkenntnisse zu unterrichten, die diesen Sicherheitsbescheid betreffen. Bei Subaufträgen ist die nationale Sicherheitsbehörde/Beauftragte Sicherheitsbehörde oder eine sonstige zuständige Sicherheitsbehörde entsprechend zu informieren.

12.

Die Aufhebung eines Sicherheitsbescheids für Unternehmen durch die jeweilige nationale Sicherheitsbehörde/Beauftragte Sicherheitsbehörde oder eine sonstige zuständige Sicherheitsbehörde stellt für den EAD als Vergabebehörde einen ausreichenden Grund dar, den als Verschlusssache eingestuften Auftrag zu kündigen oder einen Bieter vom Vergabeverfahren auszuschließen.

13.

Das Personal eines Auftragnehmers, das Zugang zu als „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder höher eingestuften EU-VS haben muss, wird ordnungsgemäß sicherheitsüberprüft und erhält Zugang zu Informationen nach dem Prinzip „Kenntnis nur bei Bedarf“ („need-to-know“). Obwohl für den Zugang zu als „RESTREINT UE/EU RESTRICTED“ eingestuften EU-VS keine Sicherheitsermächtigung erforderlich ist, wird dieser Zugang nur nach dem Prinzip „Kenntnis nur bei Bedarf“ gewährt.

14.

Sicherheitsermächtigungen für das Personal von Auftragnehmer sind bei der für die betreffende Einrichtung zuständigen nationalen Sicherheitsbehörde/Beauftragten Sicherheitsbehörde zu beantragen.

15.

Der EAD macht Auftraggeber, die einen Drittstaatsangehörigen für eine Tätigkeit einstellen wollen, für die der Zugang zu EU-VS erforderlich ist, darauf aufmerksam, dass die nationale Sicherheitsbehörde/Beauftragte Sicherheitsbehörde in dem Mitgliedstaat, in dem das einstellende Unternehmen sein Sitz hat und eingetragen ist, dafür zuständig ist, zu entscheiden, ob der betreffenden Person der Zugang zu solchen Informationen nach Maßgabe dieses Beschlusses gewährt werden kann, und zu bestätigen, dass der Herausgeber vor Gewährung des Zugangs zu Informationen seine Zustimmung erteilt hat.

16.

Werden EU-VS einem Bieter in der Phase vor der Auftragsvergabe zur Verfügung gestellt, so enthält die Aufforderung zur Angebotsabgabe eine Geheimschutzklausel, wonach ein Bieter, der kein Angebot abgibt oder der nicht ausgewählt wird, verpflichtet ist, alle Unterlagen innerhalb einer vorgegebenen Frist zurückzugeben.

17.

Sobald der Zuschlag für einen als Verschlusssache eingestuften Auftrag oder Subauftrag erteilt wurde, teilt der EAD als Vergabebehörde der nationalen Sicherheitsbehörde/Beauftragten Sicherheitsbehörde des Auftragnehmers oder Subauftragnehmers oder einer sonstigen zuständigen Sicherheitsbehörde die Sicherheitsvorschriften für den als Verschlusssache eingestuften Auftrag mit.

18.

Bei Kündigung oder Ablauf dieser Aufträge informiert der EAD als Vergabebehörde (und/oder gegebenenfalls die nationale Sicherheitsbehörde/Beauftragte Sicherheitsbehörde oder eine sonstige zuständige Sicherheitsbehörde bei Subaufträgen) unverzüglich die nationale Sicherheitsbehörde/Beauftrage Sicherheitsbehörde oder eine sonstige zuständige Sicherheitsbehörde des Mitgliedstaats, in dem der Auftragnehmer oder Subauftragnehmer eingetragen ist, darüber.

19.

Generell ist der Auftragnehmer oder Subauftragnehmer verpflichtet, bei der Kündigung oder Ablauf eines als Verschlusssache eingestuften Auftrags oder Subauftrags in seinem Besitz befindliche EU-VS an die Vergabebehörde zurückzugeben.

20.

Die besonderen Bestimmungen für die Vernichtung von EU-VS während der Ausführung des Auftrags oder bei dessen Kündigung oder Ablauf werden in der Geheimschutzklausel festgelegt.

21.

Wird dem Auftragnehmer oder Subauftragnehmer gestattet, EU-VS nach Kündigung oder Ablauf eines Auftrags zu behalten, so müssen die in diesem Beschluss niedergelegten Mindeststandards weiterhin eingehalten und die Geheimhaltung von EU-VS von dem Auftragnehmer oder Subauftragnehmer geschützt werden.

22.

Die Bedingungen, zu denen der Auftragnehmer Unteraufträge vergeben darf, sind in der Ausschreibung und im Auftrag festgelegt.

23.

Der Auftragnehmer holt die Erlaubnis des EAD als Vergabebehörde ein, bevor er für Teile eines als Verschlusssache eingestuften Auftrags Unteraufträge vergibt. Subaufträge können nicht an industrielle oder andere Unternehmen vergeben werden, die in einem Nicht-EU-Mitgliedstaat eingetragen sind, der mit der EU kein Geheimschutzabkommen geschlossen hat.

24.

Der Auftragnehmer ist dafür verantwortlich, sicherzustellen, dass alle im Rahmen von Unteraufträgen vergebenen Tätigkeiten im Einklang mit den Mindeststandards dieses Beschlusses ausgeführt werden; er stellt einem Subauftragnehmer EU-VS nicht ohne die vorherige schriftliche Einwilligung der Vergabebehörde zur Verfügung.

25.

Für EU-VS, die von einem Auftragnehmer oder Subauftragnehmer herausgegeben oder bearbeitet werden, werden die dem Herausgeber obliegenden Rechte von der Vergabebehörde ausgeübt.

26.

Benötigen der EAD, die Auftragnehmer oder die Subauftragnehmer zur Ausführung eines als Verschlusssache eingestuften Auftrags Zugang zu Informationen des Geheimhaltungsgrads „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder „SECRET UE/EU SECRET“ in den Räumlichkeiten des jeweils anderen, werden im Benehmen mit der jeweiligen nationalen Sicherheitsbehörde/Beauftragten Sicherheitsbehörde oder einer sonstigen zuständigen Sicherheitsbehörde Besuche vereinbart. Dies lässt die Befugnis der nationalen Sicherheitsbehörden/Beauftragten Sicherheitsbehörden unberührt, im Zusammenhang mit spezifischen Projekten ein Verfahren vereinbaren, nach dem Besuche unmittelbar verabredet werden können.

27.

Alle Besucher müssen über eine entsprechende VS-Ermächtigung verfügen und im Hinblick auf den Zugang zu EU-VS in Verbindung mit dem Auftrag des EAD dem Erfordernis „Kenntnis nur, wenn nötig“ genügen.

28.

Die Besucher erhalten nur Zugang zu EU-VS, die mit dem Zweck des Besuchs in Beziehung stehen.

29.

Für die Übermittlung von EU-VS auf elektronischem Wege gelten die einschlägigen Bestimmungen des Artikels 8 des Anhang A sowie des Anhangs A IV.

30.

Für die Beförderung von EU-VS gelten die einschlägigen Bestimmungen des Anhangs A III im Einklang mit den innerstaatlichen Rechtsvorschriften.

31.

Für die Beförderung von Verschlusssachen als Fracht gelten folgende Grundsätze bei der Festlegung der Sicherheitsvorkehrungen:

32.

EU-VS werden an Auftragnehmer und Subauftragnehmer in Drittstaaten, die über ein gültiges Gemeinschutzabkommen mit der EU verfügen, nach Maßgabe der Geheimschutzmaßnahmen weitergegeben, die zwischen dem EAD als Vergabebehörde und der nationalen Sicherheitsbehörde/Beauftragten Sicherheitsbehörde des betreffenden Drittstaats, in dem der Auftragnehmer eingetragen ist, vereinbart wurden.

33.

Gegebenenfalls im Benehmen mit der nationalen Sicherheitsbehörde/Beauftragten Sicherheitsbehörde des Mitgliedstaats ist der Europäische Auswärtige Dienst als Vergabebehörde berechtigt, Besuche in den Anlagen von Auftragnehmern/Subauftragnehmern auf der Grundlage vertraglicher Bestimmungen durchzuführen, um zu überprüfen, dass die nach dem Vertrag erforderlichen einschlägigen Geheimschutzmaßnahmen zum Schutz von EU-VS des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“ getroffen wurden.

34.

Soweit dies nach den innerstaatlichen Rechtsvorschriften erforderlich ist, werden die nationalen Sicherheitsbehörden/Beauftragten Sicherheitsbehörden oder eine andere zuständige Sicherheitsbehörde vom EAD als Vergabebehörde über Aufträge oder Subaufträge, die als „RESTREINT UE/EU RESTRICTED“ eingestufte Informationen enthalten, unterrichtet.

35.

Bei Aufträgen des EAD mit Informationen des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“ ist ein Sicherheitsbescheid für Unternehmen oder eine Sicherheitsermächtigung für Auftragnehmer und Subauftragnehmer und deren Personal nicht erforderlich.

36.

Der EAD als Vergabebehörde prüft die Antworten auf Ausschreibungen bei Aufträgen, die Zugang zu Informationen des Geheimhaltungsgrads „RESTREINT EU/EU RESTRICTED“ erfordern, ungeachtet etwaiger Anforderungen in Bezug auf einen Sicherheitsbescheid für Unternehmen oder eine Sicherheitsermächtigung, die nach Maßgabe der innerstaatlichen Rechtsvorschriften gegebenenfalls bestehen.

37.

Die Bedingungen für die Vergabe von Unteraufträgen durch den Auftragnehmer stehen im Einklang mit Nummern 22-24.

38.

Ist mit einem Auftrag die Bearbeitung von Verschlusssachen des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“ in einem Kommunikations- und Informationssystem verbunden, das vom Auftragnehmer betrieben wird, so stellt der EAD als Vergabebehörde sicher, dass in dem Auftrag und etwaigen Subaufträgen die notwendigen technischen und organisatorischen Anforderungen in Bezug auf die Akkreditierung des Kommunikations- und Informationssystems angegeben werden, die dem festgestellten Risiko entsprechen, wobei allen relevanten Faktoren Rechnung zu tragen ist. Der Umfang der Akkreditierung eines solchen Kommunikations- und Informationssystems ist von der Vergabebehörde mit der betreffenden nationalen Sicherheitsbehörde/Beauftragten Sicherheitsbehörde zu vereinbaren.

1.

Dieser Anhang enthält Vorschriften zur Anwendung von Anhang A Artikel 10.

2.

Der EAD kann gemäß Artikel 10 Absatz 1 des Anhangs A EU-VS mit Drittstaaten oder internationalen Organisationen austauschen.

Bei der Wahrnehmung der Aufgaben nach Artikel 218 AEUV wird der Hohe Vertreter wie folgt unterstützt:

3.

Sehen Geheimschutzabkommen die Vereinbarung von technischen Durchführungsbestimmungen zwischen der Direktion Sicherheit des EAD – in Rücksprache mit der Direktion Sicherheit der Generaldirektion Humanressourcen und Sicherheit der Kommission und dem Sicherheitsbüro des Generalsekretariats des Rates – und der zuständigen Geheimschutzbehörde des betreffenden Drittstaates bzw. der betreffenden internationalen Organisationen vor, so tragen diese Durchführungsbestimmungen dem durch die Geheimschutzbestimmungen, -strukturen und –verfahren des Drittstaates bzw. der internationalen Organisation gewährleisteten Schutzniveau Rechnung.

4.

Wenn langfristig die Notwendigkeit besteht, dass der EAD mit einem Drittstaat oder einer internationalen Organisation Verschlusssachen, die höchstens in den Geheimhaltungsgrad „RESTREINT UE/EU RESTRICTED“ eingestuft sind, austauscht, und wenn festgestellt wird, dass die betreffende Vertragspartei nicht über ein ausreichend entwickeltes Sicherheitssystem verfügt, um ein Geheimschutzabkommen abschließen zu können, kann der Hohe Vertreter nach einstimmiger befürwortender Stellungnahme des EAD-Sicherheitsausschusses nach Artikel 14 Absatz 5 dieses Beschlusses eine Verwaltungsvereinbarung mit den zuständigen Stellen des betreffenden Drittstaats oder der betreffenden internationalen Organisation schließen.

5.

EU-VS werden nicht auf elektronischem Wege mit einem Drittstaat oder einer internationalen Organisation ausgetauscht, es sei denn, dies ist in dem Geheimschutzabkommen oder der Verwaltungsvereinbarungen ausdrücklich vorgesehen.

6.

Nach Maßgabe einer Verwaltungsvereinbarung über den Austausch von Verschlusssachen benennen der EAD und der betreffende Drittstaat bzw. die betreffende internationale Organisation ein Register, das als zentrale Stelle für den Ein- und Ausgang der austauschten VS dient. Für den EAD ist dies das EAD-Zentralregister.

7.

Verwaltungsvereinbarungen werden in der Regel in Form eines Briefwechsels geschlossen.

8.

Bewertungsbesuche gemäß Artikel 16 dieses Beschlusses werden im gegenseitigen Einvernehmen mit dem betreffenden Drittstaat bzw. der betreffenden internationalen Organisation durchgeführt und dienen zur Bewertung

9.

Keine EU-Verschlusssachen werden ausgetauscht, bevor ein Bewertungsbesuch durchgeführt und die Ebene, auf der Verschlusssachen zwischen den Vertragsparteien ausgetauscht werden können, auf der Grundlage der Gleichwertigkeit des gewährten Schutzniveaus bestimmt wurde.

Sollte noch vor einem solchen Bewertungsbesuch der Hohe Vertreter auf außergewöhnliche oder dringende Gründe für den Austausch von Verschlusssachen aufmerksam gemacht werden, so

Kann der EAD den Herausgeber nicht ermitteln, so übernimmt die EAD-Sicherheitsausschuss die Verantwortung des Herausgebers, nachdem er die einstimmige befürwortende Stellungnahme der im Sicherheitsausschuss des EAD vertretenen Mitgliedstaaten eingeholt hat.

10.

Besteht bereits ein Rahmen für den Austausch von Verschlusssachen mit einem Drittstaat oder einer internationalen Organisation gemäß Artikel 10 Absatz 1 des Anhangs A, so wird die Entscheidung zur Freigabe von EU-Verschlusssachen an einen Drittstaat oder eine internationale Organisation durch den EAD von der EAD-Sicherheitsbehörde getroffen, die diese Befugnis an leitende EAD-Beamte oder andere ihr unterstehende Personen übertragen kann.

11.

Handelt es sich beim Herausgeber der freizugebenden Verschlusssachen, einschließlich der Herausgeber des möglicherweise darin enthaltenen Quellenmaterials, nicht um den EAD, so holt der EAD zunächst die schriftliche Zustimmung des Herausgebers eins, um auszuschließen, dass Gründe für die Nichtfreigabe der Verschlusssachen bestehen. Kann der EAD den Herausgeber nicht ermitteln, so übernimmt die EAD-Sicherheitsausschuss die Verantwortung des Herausgebers, nachdem er die einstimmige befürwortende Stellungnahme der im Sicherheitsausschuss des EAD vertretenen Mitgliedstaaten eingeholt hat.

12.

Ist kein Rahmen gemäß Artikel 10 Absatz 1 des Anhangs A vorhanden und ist die Freigabe von EU-Verschlusssachen aus politischen, operativen oder dringenden Gründe im Interesse der EU oder eines oder mehrerer ihrer Mitgliedstaaten, so können EU-Verschlusssachen unter folgenden Voraussetzungen ausnahmsweise an einen Drittstaat oder eine internationale Organisation weitergegeben werden:

Nachdem sie sichergestellt hat, dass die Bedingungen nach Nummer 11 erfüllt sind, ergreift Direktion Sicherheit des EAD folgende Maßnahmen:

13.

Ist kein Rahmen gemäß Artikel 10 Absatz 1 des Anhangs A vorhanden, so verpflichtet sich der betreffende Dritte zum angemessenen Schutz von EU-Verschlusssachen.

„Akkreditierung“: Verfahren, das zu einer förmlichen Erklärung der Sicherheits-Akkreditierungsstelle (SAA) führt, wonach ein System für den Betrieb mit einem definierten Geheimhaltungsgrad, in einem bestimmten Sicherheitsmodus in seiner Betriebsumgebung und bei einem akzeptablen Risikoniveau unter der Voraussetzung zugelassen wird, dass ein anerkanntes Bündel von Sicherheitsmaßnahmen in den Bereichen Technik, physischer Schutz, Organisation und Verfahren durchgeführt wird;

„Wert“: alles, was für eine Organisation, ihre Tätigkeiten und deren Kontinuität, einschließlich der Informationsressourcen, auf die sich die Organisation bei der Wahrnehmung ihrer Aufgaben stützt, von Nutzen ist;

„Ermächtigung zum Zugang zu EU-VS“: Ermächtigung der Sicherheitsbehörde des EAD, die gemäß diesen Beschluss nach Abschluss einer Sicherheitsüberprüfung durch die zuständigen Behörden eines Mitgliedstaats erteilt wird und bescheinigt, dass einer Person, die nachweislich Kenntnis von Verschlusssachen haben muss, bis zu einem bestimmten Datum Zugang zu EU-VS bis zu einem bestimmten Geheimhaltungsgrad „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder höher) gestattet werden kann;

„Verletzung“: Handlung oder Unterlassung seitens einer Person, die den in diesem Beschluss festgelegten Sicherheitsvorschriften und/oder den zu seiner Umsetzung notwendigen Sicherheitskonzepten oder -leitlinien zuwiderläuft;

„Lebenszyklus eines Kommunikations- und Informationssystems“: die gesamte Lebensdauer eines Kommunikations- und Informationssystems, die Initiierung, Konzeption, Planung, Anforderungsanalyse, Entwurf, Entwicklung, Erprobung, Implementierung, Betrieb, Wartung und Außerbetriebnahme umfasst;

„als Verschlusssache eingestufter Auftrag“: Vertrag zwischen dem EAD und einem Auftragnehmer über die Lieferung von Waren, die Durchführung von Arbeiten oder die Erbringung von Dienstleistungen, dessen Ausführung den Zugang zu oder die Erstellung von EU-VS erfordert oder mit sich bringt;

„als Verschlusssache eingestufter Unterauftrag“: Vertrag zwischen einem Auftragnehmer des EAD und einem anderen Auftragnehmer (d.h. dem Unterauftragnehmer) über die Lieferung von Waren, die Durchführung von Arbeiten oder die Erbringung von Dienstleistungen, dessen Ausführung den Zugang zu oder die Erstellung von EU-VS erfordert oder mit sich bringt;

„Kommunikations- und Informationssystem“: System, das die Bearbeitung von Informationen in elektronischer Form ermöglicht; Zu einem Kommunikations- und Informationssystem gehören sämtliche für seinen Betrieb benötigten Voraussetzungen, einschließlich der Infrastruktur, der Organisation, des Personals und der Informationsressourcen siehe Artikel 8 Absatz 2 des Anhangs A;

„Kenntnisnahme von EU-Verschlusssachen durch Unbefugte“: EU-Verschlusssachen werden ganz oder teilweise an unbefugte Personen oder Einrichtungen weitergegeben — siehe Artikel 8 Absatz 2;

„Auftragnehmer“: Einzelperson oder Rechtsperson, die geschäftsfähig ist;

„kryptografische (Krypto-)Produkte“: kryptografische Algorithmen, kryptografische Hardware- und Softwaremodule und Produkte, die Implementierungsdetails enthalten, sowie die dazugehörige Dokumentation und das Verschlüsselungsmaterial;

„GSVP-Operation“: militärische oder zivile Krisenbewältigungsoperationen nach Titel V Kapitel 2 EUV;

„Aufhebung des Geheimhaltungsgrades“: Löschung jeder Geheimhaltungskennzeichnung;

„mehrschichtige Sicherheit“ (defence in depth): Anwendung einer Reihe von Sicherheitsmaßnahmen in Form eines mehrschichtigen Abwehrsystems;

„beauftragte Sicherheitsbehörde“: Behörde, die gegenüber der nationalen Sicherheitsbehörde eines Mitgliedstaats für die Unterrichtung industrieller oder anderer Unternehmen über die nationale Politik in allen Fragen des Geheimschutzes in der Wirtschaft und für Weisungen und Unterstützung bei seiner Umsetzung verantwortlich ist. Die Funktion der Beauftragten Sicherheitsbehörde kann von der nationalen Sicherheitsbehörde oder einer anderen dazu qualifizierten Behörde wahrgenommen werden;

„Dokument“: jede aufgezeichnete Information, unabhängig von ihrer materiellen Form oder ihren Merkmalen;

„Herabstufung“: Einstufung in einen niedrigeren Geheimhaltungsgrad;

„EU-Verschlusssachen“ („EU-VS“): alle mit einem EU-Geheimhaltungsgrad gekennzeichneten Informationen oder Materialien, deren unbefugte Weitergabe den Interessen der Europäischen Union oder eines oder mehrerer ihrer Mitgliedstaaten in unterschiedlichem Maße schaden könnte — siehe Artikel 2 Buchstabe f;

„Sicherheitsbescheid für Unternehmen“ (Facility Security Clearance, FSC): die verwaltungsrechtliche Feststellung durch eine nationale Sicherheitsbehörde oder Beauftragte Sicherheitsbehörde, dass ein Unternehmen unter dem Gesichtspunkt der Sicherheit ausreichenden Schutz für EU-VS eines bestimmten Geheimhaltungsgrads bietet und dass sein Personal, das Zugang zu EU-VS haben muss, ordnungsgemäß sicherheitsüberprüft ist und über die für den Zugang zu und den Schutz von EU-VS erforderlichen einschlägigen Sicherheitsanforderungen belehrt wurde;

„Bearbeitung“ von EU-VS: alle möglichen Handlungen, denen EU-VS während ihres gesamten Lebenszyklus unterliegen können. Sie umfasst die Erstellung, Verarbeitung, Beförderung, Herabstufung, Freigabe und Zerstörung. In Bezug auf Kommunikations- und Informationssysteme umfasst sie ferner die Sammlung, Darstellung, Übermittlung und Speicherung;

„Besitzer“: ordnungsgemäß ermächtigte Person, die nachweislich Kenntnis von Verschlusssachen haben muss und die im Besitz einer EU-VS ist und dementsprechend für deren Schutz verantwortlich ist;

„gewerbliche oder andere Einrichtung“: Einrichtung, die an der Lieferung von Waren, der Durchführung von Arbeiten oder der Erbringung von Dienstleistungen beteiligt ist; dabei kann es sich um Industrie-, Handels-, Dienstleistungs-, Wissenschafts-, Forschungs-, Bildungs- oder Entwicklungseinrichtungen oder um Personen, die eine selbständige Tätigkeit ausüben, handeln;

„gewerbliche Geheimschutz“: Anwendung von Maßnahmen, die darauf abzielen, den Schutz von EU-VS durch Auftragnehmer oder Unterauftragnehmer während der Verhandlungen vor der Auftragsvergabe und während der Laufzeit des als Verschlusssache eingestuften Auftrags zu gewährleisten — siehe Artikel 9 Absatz 1 des Anhangs A;

„Informationssicherung“ (Information Assurance, IA) im Bereich von Kommunikations- und Informationssystemen beinhaltet das Vertrauen darauf, dass die in diesen Systemen bearbeiteten Informationen geschützt sind und dass diese Systeme unter der Kontrolle rechtmäßiger Nutzer jederzeit ordnungsgemäß funktionieren. Eine effektive Informationssicherung stellt ein angemessenes Niveau der Vertraulichkeit, Integrität, Verfügbarkeit, Beweisbarkeit und Authentizität sicher. Die Informationssicherung stützt sich auf einen Prozess des Risikomanagements — siehe Artikel 8 Absatz 1 des Anhangs A;

„Zusammenschaltung“: für die Zweckes dieses Beschlusses die direkte Verbindung von zwei oder mehr IT-Systemen zum Zweck der gemeinsamen Nutzung von Daten und anderen Informationsressourcen (beispielsweise Kommunikation); die Verbindung kann unidirektional oder multidirektional sein — siehe Anhang A IV, Nummer 31;

„Verwaltung von Verschlusssachen“: Anwendung administrativer Maßnahmen zur Kontrolle von EU-VS während der gesamten Dauer ihrer Einstufung als EU-VS mit dem Ziel, die Maßnahmen nach den Artikeln 5, 6 und 8 zu ergänzen und dadurch dazu beizutragen, die beabsichtigte oder unbeabsichtigte Kenntnisnahme von Verschlusssachen durch Unbefugte sowie den Verlust von Verschlusssachen zu verhindern oder festzustellen und entsprechende Maßnahmen zur Wiederherstellung der Sicherheit zu treffen. Diese Maßnahmen beziehen sich insbesondere auf die Erstellung, die Registrierung, die Vervielfältigung, die Übersetzung, die Beförderung, die Bearbeitung, die Aufbewahrung und die Vernichtung von EU-VS — siehe Artikel 7 Absatz 1 des Anhangs A;

„Material“: Dokumente oder Geräte oder Ausrüstungsgegenstände jeder Art, die bereits hergestellt oder noch in der Herstellung befindlich sind;

„Herausgeber“: das Organ, die Agentur oder die Einrichtung der EU, der Mitgliedstaat, der Drittstaat oder die internationale Organisation, unter dessen/deren Aufsicht Verschlusssachen erstellt und/oder in die Strukturen der EU eingebracht wurden;

„Personeller Geheimschutz“: Anwendung von Maßnahmen, mit denen gewährleistet wird, dass nur Personen Zugang zu EU-VS erhalten, die

- siehe Artikel 5 Absatz 1 des Anhangs A;

„Sicherheitsermächtigung“ mit Blick auf den Zugang zu EU-VS: eine Erklärung einer zuständigen Behörde eines Mitgliedstaats, die nach Abschluss einer Sicherheitsüberprüfung durch die zuständigen Behörden eines Mitgliedstaats abgegeben wird und bescheinigt, dass einer Person, die nachweislich Kenntnis von Verschlusssachen haben muss, bis zu einem bestimmten Datum und bis zu einem bestimmten Geheimhaltungsgrad („CONFIDENTIEL UE/EU CONFIDENTIAL“ oder höher) Zugang zu EU-VS gewährt werden kann; diese Person wird als "sicherheitsüberprüft" bezeichnet;

„Sicherheitsermächtigungsbescheinigung“ (PSCC): von einer zuständigen Behörde ausgestellte Bescheinigung, in der festgestellt wird, dass eine Person sicherheitsüberprüft ist und eine gültige Sicherheitsermächtigung besitzt, und aus der der Geheimhaltungsgrad ("CONFIDENTIEL UE/EU CONFIDENTIAL" oder höher), bis zu dem der Person Zugang zu EU-VS gewährt werden kann, das Gültigkeitsdatum der betreffenden Sicherheitsermächtigung und das Ablaufdatum der Bescheinigung selbst hervorgehen;

„materieller Geheimschutz“: Anwendung von materiellen und technischen Schutzmaßnahmen zur Verhinderung des unbefugten Zugangs zu EU-VS — siehe Artikel 6 des Anhangs A;

„Sicherheitsanweisungen für das Programm/Projekt“: Liste von Sicherheitsverfahren, die für ein spezifisches Programm/Projekt verwendet werden, um die Sicherheitsverfahren zu vereinheitlichen. Sie können im Verlauf des Programms/Projekts überarbeitet werden;

„Registrierung“: Durchführung von Verfahren, bei denen jede Phase des Umlaufs der Informationen, auch deren Weitergabe und Vernichtung, aufgezeichnet wird — siehe Anhang A III, Nummer 21;

„Restrisiko“: Risiko, das nach dem Ergreifen von Sicherheitsmaßnahmen verbleibt, da nicht alle Bedrohungen erfasst werden und nicht alle Schwachstellen beseitigt werden können;

„Risiko“: die Möglichkeit, dass bei einer bestimmten Bedrohung die internen und externen Schwachstellen einer Organisation oder eines der von ihr verwendeten Systeme ausgenutzt und dadurch die Organisation und ihre materiellen und immateriellen Werte geschädigt werden. Gemessen wird das Risiko als die Kombination der Wahrscheinlichkeit des Eintretens von Bedrohungen und ihrer Auswirkungen.

„Risikoakzeptanz“: Entscheidung, hinzunehmen, dass nach der Risikobehandlung ein Restrisiko fortbesteht;

„Risikobewertung“: Ermittlung von Bedrohungen und Schwachstellen und die Durchführung diesbezüglicher Risikoanalysen, d. h. die Analyse der Eintrittswahrscheinlichkeit und der Auswirkungen;

„Risikokommunikation“: Sensibilisierung der Nutzer eines Kommunikations- und Informationssystems für Risiken, die Unterrichtung von Zulassungsstellen über Risiken und die entsprechende Berichterstattung an die für den Betrieb zuständigen Stellen;

„Risikomanagement-Prozess“: der gesamte Prozess der Ermittlung, Kontrolle und Minimierung möglicher Zwischenfälle, die die Sicherheit einer Organisation oder eines der von ihr benutzten Systeme beeinträchtigen könnten. Darunter fallen sämtliche risikobezogenen Tätigkeiten, einschließlich der Risikobewertung, -behandlung, -akzeptanz und -kommunikation;

„Risikobehandlung“: Abschwächung, Beseitigung oder Verringerung des Risikos (durch geeignete Maßnahmen in Bezug auf Technik, materielle Aspekte, Verwaltung oder Verfahren), der Risikotransfer oder die Überwachung des Risikos;

„Geheimschutzklausel“ (Security Aspects Letter, SAL): besondere Auftragsbedingungen der Vergabebehörde, die fester Bestandteil eines als Verschlusssache eingestuften und mit dem Zugang zu oder der Erstellung von EU-VS verbundenen Auftrags sind und in denen die Sicherheitsanforderungen oder die sicherheitsschutzbedürftigen Teile des Auftrags festgelegt sind — siehe Anhang A V, Abschnitt II;

„VS-Einstufungsliste“ (Security Classification Guide, SCG): Dokument, das die als Verschlusssache eingestuften Teile eines Programms oder Auftrags beschreibt und in dem die anzuwendenden Geheimhaltungsgrade angegeben sind. Die VS-Einstufungsliste kann während der Laufzeit des Programms oder Auftrags erweitert werden, und Teile der Informationen können neu eingestuft oder herabgestuft werden; sofern eine VS-Einstufungsliste besteht, bildet sie Teil der Geheimschutzklausel — siehe Anhang A V, Abschnitt II;

„Sicherheitsüberprüfung“: Untersuchungsverfahren, das von der zuständigen Behörde eines Mitgliedstaats nach den innerstaatlichen Rechtsvorschriften durchgeführt wird, um Gewissheit darüber zu erlangen, dass über die betreffende Person keine nachteiligen Erkenntnisse vorliegen, die der Erteilung einer nationalen Sicherheitsermächtigung oder einer EU-Sicherheitsermächtigung für den Zugang zu EU-VS bis zu einem bestimmten Geheimhaltungsgrad ("CONFIDENTIEL UE/EU CONFIDENTIAL" oder höher) entgegenstehen würden;

„sicherheitsbezogene Betriebsverfahren“ (SecOPs): Beschreibung des Sicherheitskonzepts, der Betriebsverfahren und der Zuständigkeit des Personals;

„Aufstellung der systemspezifischen Sicherheitsanforderungen“ (SSRS): verbindliche Sicherheitsgrundsätze und detaillierte Sicherheitsanforderungen, die als Grundlage für die Zertifizierung und Akkreditierung von Kommunikations- und Informationssystemen dienen;

„TEMPEST“: Ermittlung, Analyse und Kontrolle kompromittierender elektromagnetischer Abstrahlung und die Vorkehrungen, um diese zu unterdrücken;

„Bedrohung“: potenzielle Ursache für einen unerwünschten Zwischenfall, der zu einem Schaden für eine Organisation oder ein von ihr benutztes System führen kann; solche Bedrohungen können unbeabsichtigt oder beabsichtigt (böswillig) sein und unterscheiden sich nach den Bedrohungselementen, potenziellen Zielen und Angriffsmethoden;

„Gefährdungsanfälligkeit“: Vorliegen einer Schwachstelle, die bei einer oder mehreren Bedrohungen ausgenutzt werden kann. Eine Gefährdungsanfälligkeit kann durch ein Versäumnis entstehen oder sie kann sich auf eine Schwachstelle durch nachlässige, unvollständige oder inkohärente Kontrollen beziehen und kann die Technik, die Verfahren, die materiellen Eigenschaften, die Organisation oder den Betrieb betreffen.