►B

ΑΠΌΦΑΣΗ ΤΟΥ ΣΥΜΒΟΥΛΊΟΥ

της 19ης Μαρτίου 2001

για την έγκριση κανονισμών ασφαλείας του Συμβουλίου

(2001/264/ΕΚ)

(ΕΕ L 101, 11.4.2001, p.1)

Επίσημη Εφημερίδα

  No

page

date

 M1

ΑΠΌΦΑΣΗ ΤΟΥ ΣΥΜΒΟΥΛΊΟΥ της 10ης Φεβρουαρίου 2004

  L 63

48

28.2.2004

►M2

ΑΠΌΦΑΣΗ ΤΟΥ ΣΥΜΒΟΥΛΊΟΥ της 12ης Ιουλίου 2005

  L 193

31

23.7.2005

1.

Με τις παρούσες διατάξεις καθορίζονται οι θεμελιώδεις αρχές και οι στοιχειώδεις προδιαγραφές ασφαλείας που πρέπει να τηρούνται από το Συμβούλιο, τη Γενική Γραμματεία του Συμβουλίου («ΓΓΣ»), τα κράτη μέλη και τους αποκεντρωμένους οργανισμούς της Ευρωπαϊκής Ένωσης (εφεξής «αποκεντρωμένοι οργανισμοί ΕΕ») προκειμένου να διασφαλίζεται η ασφάλεια και να είναι όλοι βέβαιοι ότι εφαρμόζεται ένας ενιαίος βαθμός προστασίας.

2.

Με τον όρο «διαβαθμισμένη πληροφορία ΕΕ» νοείται κάθε πληροφορία και υλικό των οποίων η άνευ αδείας κοινολόγηση μπορεί να βλάψει σε ποικίλο βαθμό τα συμφέροντα της ΕΕ ή ενός ή περισσοτέρων κρατών μελών της, ασχέτως του εάν η πληροφορία αυτή προέρχεται από την ΕΕ ή έχει ληφθεί από κράτος μέλος, τρίτο κράτος ή διεθνή οργανισμό.

3.

Σε ολόκληρο των κείμενο των παρόντων κανονισμών:

4.

Η ασφάλεια εξυπηρετεί τους παρακάτω κύριους στόχους:

5.

Η ορθή διαχείριση της ασφαλείας στηρίζεται στα εξής στοιχεία:

6.

Όσον αφορά την εμπιστευτικότητα, απαιτείται μέριμνα και πείρα κατά την επιλογή των πληροφοριών και του υλικού που πρέπει να προστατεύεται και κατά την εκτίμηση του αναγκαίου βαθμού προστασίας. Είναι βασικό ο βαθμός προστασίας να ανταποκρίνεται στην κρισιμότητα των συγκεκριμένων προστατευτέων πληροφοριών και υλικών. Για την ομαλή ροή των πληροφοριών, λαμβάνονται μέτρα για την αποφυγή κατάχρησης των διαβαθμίσεων ασφαλείας. Το σύστημα διαβάθμισης αποτελεί το μέσο με το οποίο υλοποιούνται οι αρχές αυτές· παρόμοιο σύστημα διαβάθμισης θα πρέπει να εφαρμόζεται και κατά τον προγραμματισμό και τη διοργάνωση τρόπων αντιμετώπισης της κατασκοπείας, των δολιοφθορών, της τρομοκρατίας και των άλλων απειλών ούτως ώστε να εξασφαλίζεται ο μέγιστος βαθμός ασφαλείας στους κυριότερους χώρους εντός των οποίων αποθηκεύονται διαβαθμισμένες πληροφορίες καθώς και στα πλέον ευαίσθητα σημεία των χώρων αυτών.

7.

Τα μέτρα ασφαλείας:

8.

Το Συμβούλιο και κάθε κράτος μέλος εξασφαλίζουν ότι τηρούνται οι κοινές στοιχειώδεις προδιαγραφές ασφαλείας σε όλες τις διοικητικές και/ή κρατικές υπηρεσίες, καθώς και στα άλλα θεσμικά όργανα, τους οργανισμούς και τους συμβασιούχους της ΕΕ, ούτως ώστε οι διαβαθμισμένες πληροφορίες ΕΕ να μπορούν να διαβιβάζονται με τη βεβαιότητα ότι τυγχάνουν ανάλογης μέριμνας. Στις εν λόγω στοιχειώδεις προδιαγραφές περιλαμβάνονται κριτήρια για τον έλεγχο ασφαλείας του προσωπικού και ρυθμίσεις για την προστασία των διαβαθμισμένων πληροφοριών ΕΕ.

9.

Όλα τα πρόσωπα που απαιτείται να έχουν πρόσβαση σε πληροφορίες με διαβάθμιση CONFIDENTIEL UE ή ανώτερη πρέπει να ελέγχονται καταλλήλως προτού τους επιτραπεί η πρόσβαση. Ανάλογος έλεγχος ασφαλείας απαιτείται και στην περίπτωση προσώπων των οποίων τα καθήκοντα περιλαμβάνουν τον τεχνικό χειρισμό ή τη συντήρηση των συστημάτων επικοινωνιών και επεξεργασίας πληροφοριών που περιέχουν διαβαθμισμένες πληροφορίες. Ο έλεγχος αυτός εξακριβώνει κατά πόσον τα πρόσωπα αυτά:

Ιδιαίτερα προσεκτικός έλεγχος γίνεται επί προσώπων τα οποία:

Στις περιπτώσεις που περιγράφονται στα στοιχεία δ), ε) και στ), γίνεται όσο το δυνατόν μεγαλύτερη χρήση της τεχνικής της διερεύνησης του παρελθόντος και του περιβάλλοντος των προσώπων.

10.

Όταν πρόσωπα τα οποία δεν υπάρχει αποδεδειγμένη «ανάγκη να γνωρίζουν» χρησιμοποιούνται σε περιστάσεις οι οποίες ενδέχεται να τους παρέχουν πρόσβαση σε διαβαθμισμένες πληροφορίες ΕΕ (π.χ. κλητήρες, προσωπικό ασφαλείας, συντήρησης μηχανημάτων, καθαριότητας, κ.λπ.), πρέπει προηγουμένως να υφίστανται τον δέοντα έλεγχο ασφαλείας.

11.

Κάθε υπηρεσία, φορέας ή εγκατάσταση που χειρίζεται διαβαθμισμένες πληροφορίες ΕΕ, ή στεγάζει συστήματα επικοινωνιών ή επεξεργασίας πληροφοριών τα οποία είναι καίριας σημασίας για την επίτευξη συγκεκριμένης αποστολής, τηρεί αρχεία των ελέγχων ασφαλείας που έχουν πραγματοποιηθεί για το προσωπικό του/της. Η διαβάθμιση που έχει λάβει ένας υπάλληλος επαληθεύεται σε κάθε νέα περίσταση ώστε να εξασφαλίζεται ότι είναι η πρέπουσα και για τα νέα καθήκοντά του, επανεξετάζεται δε κατά προτεραιότητα όταν υπάρχουν ενδείξεις ότι η συνέχιση της εργασίας του υπαλλήλου αυτού σε περιβάλλον διαβαθμισμένων πληροφοριών είναι ασυμβίβαστη πλέον με την προστασία της ασφαλείας. Τα αρχεία των ελέγχων ασφαλείας τηρούνται από τον προϊστάμενο ασφαλείας της υπηρεσίας, του φορέα ή της εγκατάστασης.

12.

Όλοι οι εργαζόμενοι σε θέσεις από όπου μπορούν να έχουν πρόσβαση σε διαβαθμισμένες πληροφορίες υπόκεινται σε συστηματική αρχική εκπαίδευση, καθώς και σε τακτά διαστήματα στη συνέχεια, για την ανάγκη ασφαλείας και τις ρυθμίσεις για την επίτευξή της. Θεωρείται χρήσιμο να απαιτείται από όλους τους εν λόγω υπαλλήλους να πιστοποιούν γραπτώς ότι κατανοούν πλήρως τους κανονισμούς ασφαλείας που ισχύουν για την εργασία τους.

13.

Τα διευθυντικά στελέχη πρέπει να γνωρίζουν ποιοι από το προσωπικό τους εργάζονται σε περιβάλλον διαβαθμισμένων πληροφοριών ή έχουν πρόσβαση σε συστήματα επικοινωνιών ή επεξεργασίας πληροφοριών καίριας σημασίας για την επίτευξη συγκεκριμένης αποστολής, καθώς και να καταγράφουν και να αναφέρουν όλα τα περιστατικά ή τα εμφανή τρωτά σημεία που ενδέχεται να έχουν επιπτώσεις στην ασφάλεια.

14.

Θεσμοθετούνται διαδικασίες που εξασφαλίζουν ότι, όταν υπάρχουν αρνητικές πληροφορίες για κάποιο πρόσωπο, εξετάζεται κατά πόσο το πρόσωπο αυτό εργάζεται σε περιβάλλον διαβαθμισμένων πληροφοριών ή έχει πρόσβαση σε συστήματα επικοινωνιών ή επεξεργασίας πληροφοριών καίριας σημασίας για την επίτευξη μιας αποστολής, και ενημερώνεται η αρμόδια αρχή. Εάν διαπιστωθεί ότι το πρόσωπο αυτό αποτελεί κίνδυνο για την ασφάλεια, τότε του απαγορεύεται η πρόσβαση ή απομακρύνεται από θέσεις στις οποίες θα μπορούσε να δημιουργήσει κίνδυνο για την ασφάλεια.

15.

Η αυστηρότητα των μέτρων υλικής ασφαλείας που εφαρμόζονται για την προστασία των διαβαθμισμένων πληροφοριών ΕΕ είναι ανάλογος με τη διαβάθμιση, τον όγκο των πληροφοριών και του υλικού και την υφισταμένη απειλή. Κατά συνέπεια, λαμβάνεται μέριμνα για την αποφυγή τόσο της υπερβολικά υψηλής όσο και της υπερβολικά χαμηλής διαβάθμισης, οι δε διαβαθμίσεις υπόκεινται σε τακτική αναθεώρηση. Όλοι οι κάτοχοι διαβαθμισμένων πληροφοριών ΕΕ ακολουθούν ομοιόμορφες διαδικασίες όσον αφορά τη διαβάθμιση των πληροφοριών αυτών και εφαρμόζουν κοινές προδιαγραφές ασφαλείας σχετικά με τη φύλαξη, τη διαβίβαση και τη διάθεση πληροφοριών και υλικού που απαιτούν προστασία.

16.

Προτού εγκαταλείψουν αφύλακτους τους χώρους όπου αποθηκεύονται διαβαθμισμένες πληροφορίες ΕΕ, τα πρόσωπα που είναι επιφορτισμένα με τη φύλαξή τους βεβαιώνονται ότι αυτές είναι καλώς προστατευμένες και ότι έχουν ενεργοποιηθεί όλοι οι μηχανισμοί ασφαλείας (κλειδαριές, συναγερμοί, κ.λπ). Διεξάγονται και περαιτέρω έλεγχοι μετά το πέρας των κανονικών ωρών εργασίας.

17.

Τα κτίρια όπου στεγάζονται διαβαθμισμένες πληροφορίες ΕΕ ή συστήματα επικοινωνιών και επεξεργασίας στοιχείων καίριας σημασίας για την επίτευξη μιας αποστολής προστατεύονται από το ενδεχόμενο εισόδου μη εξουσιοδοτημένων ατόμων. Η φύση της προστασίας των διαβαθμισμένων πληροφοριών ΕΕ, π.χ. κάγκελα στα παράθυρα, κλειδαριές στις πόρτες, φύλακες στις εισόδους, αυτόματα συστήματα ελέγχου των εισερχομένων, έλεγχοι ασφαλείας και περίπολοι, συστήματα συναγερμού, συστήματα ανίχνευσης κινήσεων και σκύλοι-φύλακες, εξαρτάται από:

18.

Η φύση της προστασίας των συστημάτων επικοινωνιών και επεξεργασίας πληροφοριών εξαρτάται και αυτή από την εκτίμηση της αξίας των συγκεκριμένων περιουσιακών στοιχείων, από το μέγεθος της ενδεχόμενης ζημίας σε περίπτωση παραβίασης της ασφαλείας, από τη φύση της κατασκευής και τη θέση του κτιρίου στο οποίο στεγάζεται το σύστημα και από τη θέση του συστήματος εντός του κτιρίου.

19.

Εκπονούνται εκ των προτέρων αναλυτικά σχέδια προστασίας των διαβαθμισμένων πληροφοριών για τις περιπτώσεις έκτακτης ανάγκης σε τοπικό ή εθνικό επίπεδο.

20.

Η ασφάλεια των πληροφοριών αναφέρεται στον προσδιορισμό και στην εφαρμογή μέτρων ασφαλείας για την προστασία των πληροφοριών που αποτελούν αντικείμενο επεξεργασίας, αποθήκευσης ή διαβίβασης σε συστήματα επικοινωνιών, επεξεργασίας πληροφοριών ή άλλα ηλεκτρονικά συστήματα από το ενδεχόμενο να θιγεί, τυχαία ή εσκεμμένα, η εμπιστευτικότητα, η ακεραιότητα ή η διαθεσιμότητά τους. Λαμβάνονται επαρκή μέτρα κατά της πρόσβασης μη εξουσιοδοτημένων χρηστών σε πληροφορίες ΕΕ, κατά της άρνησης πρόσβασης εξουσιοδοτημένων χρηστών σε πληροφορίες ΕΕ, και κατά της αλλοίωσης ή της άνευ αδείας τροποποίησης ή εξάλειψης πληροφοριών ΕΕ.

21.

Η λήψη προληπτικών μέτρων για την υλική προστασία σημαντικών εγκαταστάσεων που στεγάζουν διαβαθμισμένες πληροφορίες αποτελεί την καλύτερη διασφάλιση έναντι δολιοφθοράς και κακόβουλης εκ προθέσεως φθοράς, ο δε έλεγχος ασφαλείας του προσωπικού δεν συνιστά επαρκές και αποτελεσματικό υποκατάστατο. Η αρμόδια εθνική αρχή πρέπει να συγκεντρώνει στοιχεία για το ενδεχόμενο πράξεων κατασκοπείας, δολιοφθοράς, τρομοκρατίας και άλλων ανατρεπτικών δραστηριοτήτων.

22.

Η απόφαση για την κοινοποίηση διαβαθμισμένων πληροφοριών ΕΕ προελεύσεως Συμβουλίου σε τρίτο κράτος ή σε διεθνή οργανισμό λαμβάνεται από το Συμβούλιο. Εάν πηγή των πληροφοριών των οποίων ζητείται η κοινοποίηση δεν είναι το Συμβούλιο, τότε το Συμβούλιο ζητά πρώτα τη συγκατάθεση της εν λόγω πηγής. Εάν δεν είναι δυνατόν να καθοριστεί συγκεκριμένη πηγή, τότε το Συμβούλιο αναλαμβάνει αυτό την ευθύνη κοινοποίησης.

23.

Στην περίπτωση που το Συμβούλιο δέχεται διαβαθμισμένες πληροφορίες από τρίτα κράτη, διεθνείς οργανισμούς ή άλλα τρίτα μέρη, οι πληροφορίες αυτές τυγχάνουν προστασίας ανάλογης προς τη διαβάθμισή τους και ισοδύναμης προς τις προδιαγραφές ασφαλείας που καθορίζονται στους προκείμενους κανονισμούς για τις διαβαθμισμένες πληροφορίες ΕΕ, ή αποτελούν αντικείμενο του υψηλότερου βαθμού προστασίας τον οποίο απαιτεί το τρίτο μέρος που παρέχει τις πληροφορίες. Μπορεί να συμφωνείται και η διεξαγωγή ελέγχων από κοινού.

24.

Οι ανωτέρω αρχές εφαρμόζονται σύμφωνα με τις λεπτομερείς ρυθμίσεις που προβλέπονται στο μέρος II.

1.

Ο Γενικός Γραμματέας/Ύπατος Εκπρόσωπος

2.

Ειδικότερα, ο Γενικός Γραμματέας/Ύπατος Εκπρόσωπος οφείλει:

3.

Δημιουργείται Επιτροπή Ασφαλείας, αποτελούμενη από αντιπροσώπους των ΕΑΑ όλων των κρατών μελών, υπό την προεδρία του Γενικού Γραμματέα/Ύπατου Εκπροσώπου ή του εξουσιοδοτημένου εκπροσώπου του. Οι αντιπρόσωποι των αποκεντρωμένων οργανισμών ΕΕ επίσης μπορούν να καλούνται να συμμετάσχουν στις εργασίες όταν συζητούνται θέματα που τους αφορούν.

4.

Η Επιτροπή Ασφαλείας συνέρχεται σύμφωνα με τις οδηγίες του Συμβουλίου, κατόπιν αιτήματος του Γενικού Γραμματέα/Ύπατου Εκπροσώπου ή κάποιας ΕΑΑ. Η Επιτροπή Ασφαλείας δύναται να εξετάζει και να αξιολογεί όλα τα θέματα ασφαλείας που αφορούν τις εργασίες του Συμβουλίου και να υποβάλλει τις κατάλληλες συστάσεις στο Συμβούλιο. Όσον αφορά τις δραστηριότητες της ΓΓΣ, η Επιτροπή Ασφαλείας δύναται να προβαίνει σε συστάσεις για θέματα ασφαλείας προς τον Γενικό Γραμματέα/Ύπατο Εκπρόσωπο.

5.

Για την εκπλήρωση των καθηκόντων του κατά τις παραγράφους 1 και 2, ο Γενικός Γραμματέας/Ύπατος Εκπρόσωπος έχει στη διάθεσή του το Γραφείο Ασφαλείας της ΓΓΣ για τον συντονισμό, την εποπτεία και την εφαρμογή των μέτρων ασφαλείας.

6.

Ο Προϊστάμενος του Γραφείου Ασφαλείας της ΓΓΣ είναι ο κύριος σύμβουλος του Γενικού Γραμματέα/Ύπατου Εκπροσώπου σε θέματα ασφαλείας και ενεργεί ως γραμματέας της Επιτροπής Ασφαλείας. Υπό την ιδιότητα αυτή, διευθύνει την αναπροσαρμογή των κανονισμών ασφαλείας και συντονίζει τα μέτρα ασφαλείας με τις αρμόδιες αρχές των κρατών μελών και, ενδεχομένως, με τους διεθνείς οργανισμούς που συνδέονται με το Συμβούλιο με συμφωνίες σε θέματα ασφαλείας. Για τον σκοπό αυτό, ενεργεί ως αξιωματικός-σύνδεσμος.

7.

Ο Προϊστάμενος του Γραφείου Ασφαλείας της ΓΓΣ είναι υπεύθυνος για την έγκριση των συστημάτων και δικτύων τεχνολογίας των πληροφοριών στη ΓΓΣ. Ο Προϊστάμενος του Γραφείου Ασφαλείας της ΓΓΣ και η αρμόδια ΕΑΑ αποφασίζουν από κοινού, όπου απαιτείται, για την έγκριση των συστημάτων και δικτύων τεχνολογίας των πληροφοριών στα οποία συμμετέχουν η ΓΓΣ, τα κράτη μέλη, οι αποκεντρωμένοι οργανισμοί ΕΕ και/ή τρίτα μέρη (κράτη ή διεθνείς οργανισμοί).

8.

Κάθε διευθυντής αποκεντρωμένου οργανισμού ΕΕ είναι υπεύθυνος για την εφαρμογή των κανονισμών ασφαλείας στην υπηρεσία του, διορίζει δε κανονικά ένα μέλος του προσωπικού του ως υπόλογο έναντί του για θέματα ασφαλείας. Το εν λόγω μέλος του προσωπικού ορίζεται ως υπεύθυνος ασφαλείας.

9.

Κάθε κράτος μέλος ορίζει μια ΕΑΑ ως υπεύθυνη για την ασφάλεια των διαβαθμισμένων πληροφοριών ΕΕ ( 5 ).

10.

Εντός κάθε διοίκησης κράτους μέλους, η αντίστοιχη ΕΑΑ είναι υπεύθυνη:

11.

Το Γραφείο Ασφαλείας της ΓΓΣ και η αντίστοιχη ΕΑΑ, από κοινού και κατόπιν συμφωνίας ( 6 ), διενεργούν περιοδικές επιθεωρήσεις των ρυθμίσεων ασφαλείας για την προστασία των διαβαθμισμένων πληροφοριών ΕΕ στη ΓΓΣ και στις Μόνιμες Αντιπροσωπείες των κρατών μελών στην Ευρωπαϊκή Ένωση, καθώς και στους χώρους των κρατών μελών στα κτίρια του Συμβουλίου.

12.

Το Γραφείο Ασφαλείας της ΓΓΣ ή, κατόπιν αιτήματος του Γενικού Γραμματέα, η ΕΑΑ του κράτους μέλους υποδοχής, διενεργούν περιοδικές επιθεωρήσεις των ρυθμίσεων ασφαλείας για την προστασία των διαβαθμισμένων πληροφοριών ΕΕ στους αποκεντρωμένους οργανισμούς ΕΕ.

1.

TRÈS SECRET UE/EU TOP SECRET: Η διαβάθμιση αυτή εφαρμόζεται μόνο στις πληροφορίες και το υλικό των οποίων η άνευ αδείας κοινολόγηση μπορεί να βλάψει σοβαρότατα τα ζωτικά συμφέροντα της Ευρωπαϊκής Ένωσης ή ενός ή περισσοτέρων κρατών μελών της.

2.

SECRET UE: Η διαβάθμιση αυτή εφαρμόζεται μόνο στις πληροφορίες και το υλικό των οποίων η άνευ αδείας κοινολόγηση μπορεί να βλάψει σοβαρά τα ζωτικά συμφέροντα της Ευρωπαϊκής Ένωσης ή ενός ή περισσοτέρων κρατών μελών της.

3.

CONFIDENTIEL UE: Η διαβάθμιση αυτή εφαρμόζεται στις πληροφορίες και το υλικό των οποίων η άνευ αδείας κοινολόγηση μπορεί να βλάψει τα ζωτικά συμφέροντα της Ευρωπαϊκής Ένωσης ή ενός ή περισσοτέρων κρατών μελών της.

4.

RESTREINT UE: Η διαβάθμιση αυτή εφαρμόζεται στις πληροφορίες και το υλικό των οποίων η άνευ αδείας κοινολόγηση είναι αντίθετη προς τα συμφέροντα της Ευρωπαϊκής Ένωσης ή ενός ή περισσοτέρων κρατών μελών της.

5.

Μπορεί να χρησιμοποιείται μια προειδοποιητική επισήμανση με την οποία υποδηλώνεται ο τομέας που καλύπτεται από το συγκεκριμένο έγγραφο ή η περιορισμένη διανομή του μόνο στα πρόσωπα που απαιτείται να γνωρίζουν.

6.

Η επισήμανση ESDP/PESD (ΕΠΑΑ) τίθεται σε όλα τα έγγραφα και στα αντίγραφά τους που αφορούν την ασφάλεια και την άμυνα της Ένωσης ή ενός ή περισσοτέρων κρατών μελών της, ή που αφορούν τη στρατιωτική ή μη στρατιωτική διαχείριση μιας κρίσεως.

7.

Ορισμένα έγγραφα, και ιδίως αυτά που αφορούν τα συστήματα τεχνολογίας των πληροφοριών, μπορούν να φέρουν μια επί πλέον επισήμανση η οποία συνεπάγεται πρόσθετα μέτρα ασφάλειας όπως αυτά ορίζονται στους σχετικούς κανονισμούς.

8.

Η διαβάθμιση και οι επισημάνσεις τίθενται ως εξής:

1.

Οι πληροφορίες διαβαθμίζονται μόνο όταν απαιτείται. Η διαβάθμιση επισημαίνεται σαφώς και καταλλήλως και διατηρείται μόνον εφόσον οι συγκεκριμένες πληροφορίες απαιτείται να προστατευθούν.

2.

Αποκλειστικός υπεύθυνος για τη διαβάθμιση των πληροφοριών και για τον τυχόν μεταγενέστερο υποχαρακτηρισμό ή αποχαρακτηρισμό τους ( 8 ) είναι ο συντάκτης του εγγράφου.

Οι υπάλληλοι και το λοιπό προσωπικό της ΓΓΣ διαβαθμίζουν, υποχαρακτηρίζουν ή αποχαρακτηρίζουν πληροφορίες κατόπιν εντολής του Γενικού Διευθυντή τους ή σε συμφωνία μαζί του.

3.

Οι αναλυτικές ρυθμίσεις για τον χειρισμό των διαβαθμισμένων εγγράφων έχουν εκπονηθεί κατά τρόπο που να εξασφαλίζεται ότι προστατεύονται αναλόγως των πληροφοριών που περιέχουν.

4.

Ο αριθμός των προσώπων που επιτρέπεται να συντάσσουν έγγραφα TRÈS SECRET UE/EU TOP SECRET περιορίζεται στο απολύτως αναγκαίο, τα δε ονόματά τους συμπεριλαμβάνονται σε κατάλογο που καταρτίζεται από τη ΓΓΣ, κάθε κράτος μέλος και, ενδεχομένως, από κάθε αποκεντρωμένο οργανισμό ΕΕ.

1.

Ο κύριος στόχος των μέτρων υλικής ασφάλειας είναι να εμποδίζεται η πρόσβαση μη εξουσιοδοτημένων προσώπων σε διαβαθμισμένες πληροφορίες ή/και υλικό ΕΕ.

2.

Όλοι οι χώροι, τα κτίρια, τα γραφεία, οι αίθουσες, τα συστήματα επικοινωνίας και πληροφοριών, κ.λπ. όπου γίνεται αποθήκευση ή/και χειρισμός διαβαθμισμένων πληροφοριών και υλικού ΕΕ προστατεύονται με τα ενδεδειγμένα μέτρα υλικής ασφάλειας.

3.

Για τη λήψη απόφασης σχετικά με τον απαιτούμενο βαθμό προστασίας όσον αφορά την υλική ασφάλεια, λαμβάνονται υπόψη όλοι οι σχετικοί παράγοντες, όπως:

4.

Τα εφαρμοζόμενα μέτρα υλικής ασφάλειας αποσκοπούν:

5.

Οι χώροι στους οποίους γίνεται χειρισμός και αποθήκευση πληροφοριών με βαθμό διαβάθμισης CONFIDENTIEL UE ή υψηλότερο οργανώνονται και διαμορφώνονται ως εξής:

Οι χώροι στους οποίους δεν υπάρχει προσωπικό υπηρεσίας σε 24ωρη βάση επιθεωρούνται αμέσως μετά τις κανονικές ώρες εργασίας για να διασφαλίζεται ότι οι διαβαθμισμένες πληροφορίες ΕΕ έχουν ασφαλισθεί καταλλήλως.

6.

Γύρω από τους χώρους ασφαλείας κατηγορίας I ή κατηγορίας II καθώς και στις προσβάσεις τους, είναι δυνατόν να υπάρξει ένας διοικητικός χώρος μικρότερου βαθμού ασφαλείας. Ο χώρος αυτός απαιτεί μια εμφανώς οριοθετημένη περίμετρο που να επιτρέπει τον έλεγχο του προσωπικού και των οχημάτων. Στους διοικητικούς χώρους γίνεται χειρισμός και αποθήκευση μόνο πληροφοριών RESTREINT UE.

7.

Η είσοδος στους χώρους ασφαλείας κατηγορίας I και κατηγορίας II ελέγχεται με σύστημα ειδικής ταυτότητας ή προσωπικής αναγνώρισης που ισχύει για το μόνιμο προσωπικό. Θα εγκαθιδρυθεί επίσης ένα σύστημα ελέγχων των επισκεπτών προκειμένου να απαγορεύεται η πρόσβαση μη εξουσιοδοτημένων προσώπων σε διαβαθμισμένες πληροφορίες ΕΕ. Τα συστήματα ειδικής ταυτότητας μπορούν να υποστηρίζονται από αυτοματοποιημένη αναγνώριση της ταυτότητας, ως συμπλήρωμα αλλά όχι ως πλήρες υποκατάστατο των φυλάκων. Τυχόν μεταβολή της αξιολόγησης κινδύνου μπορεί να συνεπάγεται την ενίσχυση των μέτρων ελέγχου εισόδου/ εξόδου, για παράδειγμα κατά τη διάρκεια της επίσκεψης σημαντικών προσωπικοτήτων.

8.

Στους χώρους ασφαλείας κατηγορίας I και II πραγματοποιούνται περιπολίες εκτός των κανονικών ωρών εργασίας με σκοπό την προστασία των περιουσιακών στοιχείων της ΕΕ από διαρροή, ζημία ή απώλεια. Η συχνότητα περιπολιών εξαρτάται από τις τοπικές συνθήκες, αλλά κατά κανόνα πραγματοποιούνται κάθε δύο ώρες.

9.

Για την αποθήκευση των διαβαθμισμένων πληροφοριών ΕΕ χρησιμοποιούνται φωριαμοί τριών κατηγοριών:

10.

Για τις θωρακισμένες αίθουσες που κατασκευάζονται εντός χώρου ασφαλείας κατηγορίας I ή κατηγορίας II, και για όλες τους χώρους ασφαλείας κατηγορίας I όπου διαβαθμισμένες πληροφορίες με χαρακτηρισμό CONFIDENTIEL UE αποθηκεύονται σε ανοικτά ράφια ή επιδεικνύονται σε σχεδιαγράμματα, χάρτες κ.λπ., οι τοίχοι, τα πατώματα και οι οροφές, καθώς και οι θύρες που κλειδώνουν πιστοποιούνται από Εθνική Αρχή Ασφαλείας ότι προσφέρουν ισοδύναμη προστασία με την κατηγορία του φωριαμού ασφαλείας που έχει εγκριθεί για την αποθήκευση πληροφοριών ίδιας διαβάθμισης.

11.

Οι κλειδαριές στους φωριαμούς ασφαλείας και τις θωρακισμένες αίθουσες όπου αποθηκεύονται διαβαθμισμένες πληροφορίες ΕΕ πληρούν τις ακόλουθες προδιαγραφές:

12.

Τα κλειδιά των φωριαμών ασφαλείας δεν πρέπει να βγαίνουν από το κτίριο των γραφείων. Οι συνδυασμοί των φωριαμών ασφαλείας απομνημονεύονται από τα πρόσωπα που πρέπει να τους γνωρίζουν. Για χρήση σε επείγουσα ανάγκη, ο Υπεύθυνος Ασφαλείας του οικείου καταστήματος είναι υπεύθυνος να κατέχει αντικλείδια καθώς και, γραπτώς, όλους τους συνδυασμούς. Οι συνδυασμοί φυλάσσονται σε χωριστούς σφραγισμένους αδιαφανείς φακέλους. Τα κλειδιά καθημερινής χρήσης, τα αντικλείδια ασφαλείας και οι συνδυασμοί φυλάσσονται σε χωριστούς φωριαμούς ασφαλείας. Για τα εν λόγω κλειδιά, και συνδυασμούς ισχύει προστασία ασφαλείας τουλάχιστον ισοδύναμη προς το υλικό στο οποίο παρέχουν πρόσβαση.

13.

Η γνώση των συνδυασμών των φωριαμών ασφαλείας περιορίζεται σε όσο το δυνατόν λιγότερα πρόσωπα. Οι συνδυασμοί πρέπει να αλλάζουν:

14.

Όταν χρησιμοποιούνται για την προστασία των διαβαθμισμένων πληροφοριών ΕΕ συστήματα συναγερμού, κλειστά κυκλώματα τηλεόρασης και άλλες ηλεκτρικές συσκευές, πρέπει να προβλέπεται εφεδρική παροχή ηλεκτρικού ρεύματος για περιπτώσεις επείγουσας ανάγκης, για να διασφαλίζεται η συνεχής λειτουργία του συστήματος σε περίπτωση διακοπής της κύριας παροχής ενέργειας. Μια άλλη βασική απαίτηση είναι να σημαίνει συναγερμός ή να ειδοποιείται με άλλον αξιόπιστο τρόπο το προσωπικό επιτήρησης όποτε σημειώνεται βλάβη των εν λόγω συστημάτων ή επιχειρείται παρέμβαση σ' αυτά.

15.

Οι ΕΑΑ διατηρούν, με δικούς τους ή με διμερείς πόρους, ενημερωμένους καταλόγους ανά τύπο και μοντέλο του εξοπλισμού ασφαλείας που έχουν εγκρίνει για την άμεση ή την έμμεση προστασία των διαβαθμισμένων πληροφοριών υπό διάφορες συγκεκριμένες περιστάσεις και συνθήκες. Το Γραφείο Ασφαλείας της ΓΓΣ τηρεί παρόμοιο κατάλογο, με βάση, μεταξύ άλλων, πληροφορίες που παρέχονται από τις ΕΑΑ. Προτού αγοράσουν τον σχετικό εξοπλισμό, οι αποκεντρωμένοι οργανισμοί της ΕΕ συμβουλεύονται το Γραφείο Ασφαλείας της ΓΓΣ και, ενδεχομένως, την ΕΑΑ του κράτος μέλους που τις φιλοξενεί.

16.

Οι φωτοαντιγραφικές συσκευές και οι συσκευές φαξ προστατεύονται υλικώς όσο απαιτείται ώστε να διασφαλίζεται ότι χρησιμοποιούνται μόνο από εγκεκριμένα πρόσωπα και ότι όλο το διαβαθμισμένο υλικό ελέγχεται δεόντως.

17.

Λαμβάνονται όλα τα ενδεδειγμένα μέτρα, μέρα και νύχτα, προκειμένου να διασφαλίζεται ότι τα μη εξουσιοδοτημένα πρόσωπα δεν θα μπορούν να δουν, έστω και συμπτωματικώς, τις διαβαθμισμένες πληροφορίες ΕΕ.

18.

Τα γραφεία ή οι χώροι όπου συζητούνται τακτικά πληροφορίες με διαβάθμιση SECRET UE ή υψηλότερη προστατεύονται από κρούσματα παθητικής ή ενεργητικής λαθρακρόασης εφόσον υφίσταται σχετικός κίνδυνος. Υπεύθυνη για την αξιολόγηση αυτού του κινδύνου είναι η αρμόδια αρχή ασφαλείας, έπειτα από διαβούλευση, εφόσον χρειάζεται, με τις ΕΑΑ.

19.

Για την καθορισμό των ληπτέων προστατευτικών μέτρων σε χώρους ευαίσθητους όσον αφορά την παθητική λαθρακρόαση (π.χ. μόνωση τοίχων, θυρών, πατωμάτων και οροφών, μέτρηση αποκαλυπτικών εκπομπών) και την ενεργητική λαθρακρόαση (π.χ. αναζήτηση μικροφώνων), το Γραφείο Ασφαλείας της ΓΓΣ μπορεί να ζητά τη συνδρομή εμπειρογνωμόνων των ΕΑΑ. Οι υπάλληλοι ασφαλείας των αποκεντρωμένων οργανισμών της ΕΕ μπορούν να ζητούν τη διενέργεια τεχνικών επιθεωρήσεων από το Γραφείο Ασφαλείας της ΓΓΣ ή/και τη συνδρομή εμπειρογνωμόνων των ΕΑΑ.

20.

Ομοίως, όταν το απαιτούν οι περιστάσεις, ο κάθε είδους τηλεπικοινωνιακός εξοπλισμός και ηλεκτρικός ή ηλεκτρονικός εξοπλισμός γραφείου που χρησιμοποιείται κατά τις συνεδριάσεις σε επίπεδο SECRET UE ή υψηλότερο μπορεί να ελέγχεται από ειδικούς τεχνικούς ασφαλείας των ΕΑΑ έπειτα από αίτηση του αρμόδιου υπαλλήλου ασφαλείας.

21.

Ορισμένοι χώροι μπορούν να χαρακτηρισθούν ως τεχνικώς ασφαλείς. Στους χώρους αυτούς διενεργείται ειδικός έλεγχος εισόδου. Όταν δεν χρησιμοποιούνται, οι χώροι αυτοί διατηρούνται κλειδωμένοι με εγκεκριμένη μέθοδο και όλα τα σχετικά κλειδιά θεωρούνται ως κλειδιά ασφαλείας. Στους χώρους αυτούς διενεργούνται τακτικά υλικές επιθεωρήσεις, οι οποίες διενεργούνται επίσης έπειτα από τυχόν μη εγκεκριμένη είσοδο στους χώρους αυτούς ή εφόσον υπάρχουν υπόνοιες τέτοιας εισόδου.

22.

Τηρείται λεπτομερής κατάσταση του εξοπλισμού και της επίπλωσης προκειμένου να παρακολουθούνται οι μετακινήσεις τους. Κανένα στοιχείο επίπλωσης ή εξοπλισμού δεν εισάγεται σε τέτοιο χώρο χωρίς προσεκτική επιθεώρηση από ειδικά εκπαιδευμένο προσωπικό ασφαλείας, προκειμένου να ανιχνευθούν τυχόν συσκευές υποκλοπής. Κατά γενικό κανόνα, θα πρέπει να αποφεύγεται η εγκατάσταση τηλεπικοινωνιακών γραμμών σε τεχνικώς ασφαλείς χώρους.

1.

Η πρόσβαση στις διαβαθμισμένες πληροφορίες ΕΕ επιτρέπεται μόνο στα πρόσωπα που όντως χρειάζεται να τις γνωρίζουν για να εκτελούν τα καθήκοντα ή την αποστολή τους. Η πρόσβαση στις πληροφορίες TRÈS SECRET UE/EU TOP SECRET, SECRET UE και CONFIDENTIEL UE επιτρέπεται μόνο στα πρόσωπα που έχουν υποστεί με επιτυχία τον ενδεδειγμένο έλεγχο ασφαλείας.

2.

Αρμόδιοι για τον καθορισμό των προσώπων που πρέπει να έχουν την «αναγκαία γνώση» είναι η ΓΓΣ, οι αποκεντρωμένοι οργανισμοί της ΕΕ και οι υπηρεσίες ή τα τμήματα των κρατών μελών όπου πρόκειται να εργασθεί το οικείο πρόσωπο, ανάλογα με τις απαιτήσεις της σχετικής αποστολής.

3.

Αρμόδιος για τον έλεγχο ασφαλείας του προσωπικού είναι ο εργοδότης του υπαλλήλου, βάσει των σχετικών ισχυουσών διαδικασιών. Σε ό,τι αφορά τους υπαλλήλους και το λοιπό προσωπικό της ΓΓΣ, η διαδικασία του ελέγχου ασφαλείας προβλέπεται στο τμήμα VI.

Κατόπιν του ελέγχου ασφαλείας εκδίδεται «πιστοποιητικό ασφαλείας», όπου αναγράφονται το επίπεδο των διαβαθμισμένων πληροφοριών στις οποίες μπορεί να έχει πρόσβαση το ελεγχθέν πρόσωπο καθώς και η ημερομηνία λήξης.

Το πιστοποιητικό ασφαλείας για συγκεκριμένη διαβάθμιση μπορεί να παρέχει στον κάτοχό του πρόσβαση σε πληροφορίες χαμηλότερης διαβάθμισης.

4.

Πρόσωπα άλλα πλην των υπαλλήλων ή του λοιπού προσωπικού της ΓΓΣ ή των κρατών μελών, π.χ. μέλη, υπάλληλοι ή προσωπικό των θεσμικών οργάνων της ΕΕ, με τα οποία χρειάζεται ενδεχομένως να συζητηθούν ή στα οποία χρειάζεται ενδεχομένως να επιδειχθούν διαβαθμισμένες πληροφορίες ΕΕ, πρέπει να έχουν υποστεί επιτυχώς έλεγχο ασφαλείας όσον αφορά τις διαβαθμισμένες πληροφορίες ΕΕ και να ενημερώνονται για την ευθύνη τους όσον αφορά την ασφάλεια. Ο ίδιος κανόνας ισχύει, σε παρόμοιες περιστάσεις, για τους εξωτερικούς συμβασιούχους, εμπειρογνώμονες ή συμβούλους.

1.

Μόνο οι υπάλληλοι και το λοιπό προσωπικό της ΓΓΣ ή πρόσωπα τα οποία εργάζονται στα πλαίσια της ΓΓΣ και τα οποία, λόγω των καθηκόντων τους και για τις ανάγκες της υπηρεσίας χρειάζεται να γνωρίζουν ή να χρησιμοποιούν διαβαθμισμένες πληροφορίες που έχει στην κατοχή του το Συμβούλιο, έχουν πρόσβαση στις πληροφορίες αυτές.

2.

Για την πρόσβαση στις πληροφορίες TRÈS SECRET UE/EU TOP SECRET, SECRET UE και CONFIDENTIEL UE, τα πρόσωπα που μνημονεύονται στην παράγραφο 1 πρέπει να έχουν λάβει σχετική άδεια, σύμφωνα με τη διαδικασία των παραγράφων 4 και 5.

3.

Η άδεια χορηγείται μόνο στα πρόσωπα τα οποία έχουν υποστεί έλεγχο ασφαλείας από τις αρμόδιες εθνικές αρχές των κρατών μελών (ΕΑΑ), σύμφωνα με τη διαδικασία των παραγράφων 6 έως 10.

4.

Η αρμόδια για τους διορισμούς αρχή, κατά την έννοια του άρθρου 2, πρώτο εδάφιο του Κανονισμού Υπηρεσιακής Κατάστασης είναι αρμόδια για τη χορήγηση των αδειών που μνημονεύονται στα σημεία 1, 2 και 3.

Η αρμόδια για τους διορισμούς αρχή χορηγεί την άδεια αφού λάβει τη γνώμη των αρμόδιων εθνικών αρχών των κρατών μελών βάσει του ελέγχου ασφαλείας που διενεργείται σύμφωνα με τα σημεία 6 έως 12.

5.

Η άδεια, η οποία έχει πενταετή ισχύ, δεν μπορεί να υπερβεί τη διάρκεια των καθηκόντων βάσει των οποίων χορηγείται. Μπορεί να ανανεωθεί από την αρμόδια για τους διορισμούς αρχή με τη διαδικασία της παραγράφου 4.

Η αρμόδια για τους διορισμούς αρχή ανακαλεί την άδεια όταν κρίνει ότι συντρέχει λόγος προς τούτο. Τυχόν ανακλητική απόφαση κοινοποιείται στο ενδιαφερόμενο πρόσωπο, το οποίο μπορεί να ζητήσει ακρόαση από την αρμόδια για τους διορισμούς αρχή, καθώς και στην αρμόδια εθνική αρχή.

6.

Στόχος του ελέγχου ασφαλείας είναι να εξακριβωθεί ότι δεν υπάρχουν αντιρρήσεις στο να επιτραπεί στο συγκεκριμένο πρόσωπο να έχει πρόσβαση σε διαβαθμισμένες πληροφορίες που έχει στην κατοχή του το Συμβούλιο.

7.

Ο έλεγχος ασφαλείας διενεργείται, με τη συνδρομή του ενδιαφερομένου προσώπου και έπειτα από αίτηση της αρμόδιας για τους διορισμούς αρχής, από τις αρμόδιες εθνικές αρχές του κράτους μέλους του οποίου είναι υπήκοος το πρόσωπο που χρειάζεται την άδεια. Εάν ο ενδιαφερόμενος διαμένει στο έδαφος άλλου κράτους μέλους, οι ενδιαφερόμενες εθνικές αρχές μπορούν να διασφαλίζουν τη συνεργασία των αρχών του κράτους διαμονής.

8.

Ως μέρος της διαδικασίας ελέγχου, μπορεί να ζητηθεί από τον ενδιαφερόμενο να συμπληρώσει έντυπο με προσωπικές πληροφορίες.

9.

Η αρμόδια για τους διορισμούς αρχή προσδιορίζει στην αίτησή της το είδος και το επίπεδο των διαβαθμισμένων πληροφοριών που πρόκειται να τεθούν στη διάθεση του ενδιαφερομένου, ώστε οι αρμόδιες εθνικές αρχές να μπορέσουν να διενεργήσουν τη διαδικασία ελέγχου και να δώσουν τη γνώμη τους ως προς το επίπεδο της άδειας που θα ήταν σκόπιμο να χορηγηθεί στο εν λόγω πρόσωπο.

10.

Το σύνολο της διαδικασίας ελέγχου ασφαλείας μαζί με το πόρισμά της υπόκειται στους κανόνες και τις ρυθμίσεις που ισχύουν εν προκειμένω στο οικείο κράτος μέλος, περιλαμβανομένων των κανόνων και ρυθμίσεων που αφορούν τις ενστάσεις και προσφυγές.

11.

Όταν οι αρμόδιες εθνικές αρχές του κράτους μέλους δίνουν θετική γνώμη, η αρμόδια για τους διορισμούς αρχή μπορεί να χορηγεί την άδεια στο ενδιαφερόμενο πρόσωπο.

12.

Η αρνητική γνώμη των αρμόδιων εθνικών αρχών γνωστοποιείται στον ενδιαφερόμενο, ο οποίος μπορεί να ζητήσει ακρόαση από την αρμόδια για τους διορισμούς αρχή. Εφόσον τα κρίνει αναγκαίο, η τελευταία μπορεί να ζητήσει από τις αρμόδιες εθνικές αρχές οιαδήποτε περαιτέρω διευκρίνιση μπορούν να παράσχουν. Εάν επιβεβαιωθεί η αρνητική γνώμη, η άδεια δεν χορηγείται.

13.

Όλα τα πρόσωπα που έχουν άδεια κατά την έννοια των παραγράφων 4 και 5 λαμβάνουν, κατά τη χορήγηση της άδειας και στη συνέχεια σε τακτικά διαστήματα, τις τυχόν αναγκαίες οδηγίες σχετικά με την προστασία διαβαθμισμένων πληροφοριών και με τα μέσα για τη διασφάλιση της προστασίας αυτής. Τα πρόσωπα αυτά υπογράφουν δήλωση με την οποία βεβαιώνουν ότι έλαβαν τις οδηγίες και αναλαμβάνουν να τις τηρούν.

14.

Η αρμόδια για τους διορισμούς αρχή λαμβάνει τα τυχόν αναγκαία μέτρα για την εφαρμογή του παρόντος τμήματος, ιδίως όσον αφορά τους κανόνες που διέπουν την πρόσβαση στον κατάλογο των προσώπων στα οποία έχει χορηγηθεί η σχετική άδεια.

15.

Κατ' εξαίρεση, εφόσον απαιτείται από την υπηρεσία, η αρμόδια για τους διορισμούς αρχή μπορεί, αφού ενημερώσει τις αρμόδιες εθνικές αρχές και εφόσον δεν υπάρξει αντίδραση εκ μέρους των εντός ενός μηνός, να χορηγεί προσωρινή άδεια μέγιστης διάρκειας έξι μηνών, εν αναμονή του αποτελέσματος του ελέγχου που μνημονεύεται στο σημείο 7.

16.

Οι ούτως χορηγούμενες προσωρινές και υπό αίρεση άδειες δεν επιτρέπουν την πρόσβαση σε πληροφορίες TRÈS SECRET UE/EU TOP SECRET. Η πρόσβαση στις πληροφορίες αυτές περιορίζεται στους υπαλλήλους που έχουν όντως υποστεί έλεγχο επιτυχώς, σύμφωνα με την παράγραφο 7. Εν αναμονή του πορίσματος του ελέγχου, οι υπάλληλοι για τους οποίους έχει ζητηθεί πρόσβαση TRÈS SECRET UE/EU TOP SECRET μπορούν να λαμβάνουν προσωρινή και υπό αίρεση άδεια πρόσβασης σε πληροφορίες έως και SECRET UE.

1.

Η διαβάθμιση και οι επισημάνσεις ΕΕ εφαρμόζονται όπως ορίζεται στο τμήμα II, εμφαίνονται δε στο κέντρο του άνω και του κάτω μέρους κάθε σελίδας· κάθε σελίδα αριθμείται. Κάθε διαβαθμισμένο έγγραφο ΕΕ φέρει αριθμό αναφοράς και ημερομηνία. Στα έγγραφα TRÈS SECRET UE/EU TOP SECRET και SECRET UE, ο αριθμός αυτός εμφαίνεται σε κάθε σελίδα. Εάν τα έγγραφα πρόκειται να διανεμηθούν σε πολλαπλά αντίτυπα, στην πρώτη σελίδα κάθε αντιτύπου αναγράφεται ο αριθμός αντιτύπου και ο ολικός αριθμός σελίδων. Στην πρώτη σελίδα των εγγράφων που είναι διαβαθμισμένα τουλάχιστον ως CONFIDENTIEL UE πρέπει να αναφέρονται όλα τα παραρτήματα και τα επισυναπτόμενα έγγραφα.

2.

Τα έγγραφα που διαβαθμίζονται τουλάχιστον ως CONFIDENTIEL UE πρέπει να δακτυλογραφούνται, να μεταφράζονται, να αποθηκεύονται, να φωτοαντιγράφονται, να αναπαράγονται μαγνητικά ή να αντιγράφονται σε μικροφίλμ μόνον από άτομα διαβαθμισμένα για πρόσβαση σε πληροφορίες ΕΕ διαβαθμισμένες τουλάχιστον μέχρι τον κατάλληλο βαθμό ασφαλείας του συγκεκριμένου εγγράφου, εκτός από την ειδική περίπτωση στην παράγραφο 27 του παρόντος τμήματος.

Οι διατάξεις για την αναπαραγωγή διαβαθμισμένων εγγράφων μέσω υπολογιστή περιέχονται στο τμήμα XI.

3.

Οι διαβαθμισμένες πληροφορίες ΕΕ διανέμονται μόνον σε άτομα που πρέπει να τις γνωρίζουν και έχουν την κατάλληλη διαβάθμιση ασφαλείας. Η αρχική διανομή καθορίζεται από τον συντάκτη.

4.

Τα έγγραφα TRÈS SECRET UE/EU TOP SECRET κυκλοφορούν μέσω γραμματειών ΑΚΡΩΣ ΑΠΟΡΡΗΤΩΝ ΕΕ (βλέπε τμήμα VIII). Όσον αφορά τα μηνύματα τα TRÈS SECRET UE/EU TOP SECRET, η αρμόδια γραμματεία μπορεί να επιτρέπει στον προϊστάμενο του κέντρου επικοινωνιών να παράγει τον αριθμό αντιγράφων που ορίζεται στον κατάλογο παραληπτών.

5.

Τα έγγραφα με διαβάθμιση το πολύ SECRET UE επιτρέπεται να αναδιανέμονται από τον αρχικό παραλήπτη σε άλλους παραλήπτες ανάλογα με την ανάγκη γνώσης. Ωστόσο, οι συντάκτριες αρχές αναφέρουν σαφώς τις τυχόν προειδοποιήσεις που επιθυμούν να επιβάλουν. Όταν επιβάλλονται παρόμοιες προειδοποιήσεις, οι παραλήπτες αναδιανέμουν τα έγγραφα μόνον με την άδεια των συντακτριών αρχών.

6.

Κατά την είσοδό του σε ή την έξοδό του από μια υπηρεσία, κάθε έγγραφο τουλάχιστον CONFIDENTIEL UE καταγράφεται από τη γραμματεία της υπηρεσίας. Τα στοιχεία που καταγράφονται (αριθμός αναφοράς, ημερομηνία και, κατά περίπτωση, αριθμός αντιτύπου) πρέπει να επαρκούν για την αναγνώριση των εγγράφων και να καταχωρούνται σε μητρώο ή σε ειδικό προστατευμένο υπόθεμα πληροφορικής.

7.

Τα έγγραφα τουλάχιστον CONFIDENTIEL UE διαβιβάζονται εντός ανθεκτικών και αδιαφανών διπλών φακέλων. Στον εσωτερικό φάκελο αναγράφεται η πρέπουσα διαβάθμιση ασφαλείας EU καθώς και, εφόσον είναι δυνατόν, η πλήρης υπηρεσιακή ιδιότητα και διεύθυνση του αποδέκτη.

8.

Μόνον ένας Ελεγκτικός Υπάλληλος Γραμματείας ή ο αναπληρωτής του επιτρέπεται να ανοίγουν τον εσωτερικό φάκελο και να χορηγούν απόδειξη παραλαβής των εγγράφων που περιέχει, εκτός εάν ο φάκελος απευθύνεται σε συγκεκριμένο παραλήπτη. Στην περίπτωση αυτήν, η αρμόδια Γραμματεία πρωτοκολλά την άφιξη του φακέλου, μόνον δε ο παραλήπτης επιτρέπεται να ανοίγει τον εσωτερικό φάκελο και να χορηγεί απόδειξη παραλαβής για τα έγγραφα που περιέχει.

9.

Ο εσωτερικός φάκελος πρέπει να περιέχει έντυπο απόδειξης. Η απόδειξη, η οποία δεν είναι διαβαθμισμένη, πρέπει να αναγράφει τον αριθμό αναφοράς, την ημερομηνία και τον αριθμό αντιτύπου του εγγράφου αλλά ποτέ το θέμα του.

10.

Ο εσωτερικός φάκελος περικλείεται σε εξωτερικό φάκελο, ο οποίος φέρει αριθμό δέματος για να είναι δυνατόν να χορηγείται απόδειξη. Ο βαθμός ασφαλείας δεν αναγράφεται ποτέ στον εξωτερικό φάκελο.

11.

Για τα έγγραφα με διαβάθμιση τουλάχιστον CONFIDENTIEL UE, οι μεταφορείς και οι αγγελιαφόροι λαμβάνουν αποδείξεις με τον αριθμό δέματος.

12.

Εντός ενός συγκεκριμένου κτιρίου ή ομάδας κτιρίων, τα διαβαθμισμένα έγγραφα επιτρέπεται να μεταφέρονται εντός σφραγισμένου φακέλου που φέρει μόνον το όνομα του παραλήπτη, υπό την προϋπόθεση ότι μεταφέρονται από άτομα διαβαθμισμένα για τον αντίστοιχο βαθμό ασφαλείας των εγγράφων.

13.

Εντός μιας χώρας, τα έγγραφα TRÈS SECRET UE/EU TOP SECRET πρέπει να αποστέλλονται μέσω επίσημης υπηρεσίας αγγελιοφόρων ή μέσω ατόμων τα οποία έχουν εξουσιοδοτημένη πρόσβαση σε πληροφορίες TRÈS SECRET UE/EU TOP SECRET.

14.

Όταν χρησιμοποιείται υπηρεσία αγγελιοφόρων για τη διαβίβαση ενός εγγράφου TRÈS SECRET UE/EU TOP SECRET εκτός των ορίων ενός κτιρίου ή συγκροτήματος κτιρίων, πρέπει να τηρούνται οι διατάξεις περί συσκευασίας και απόδειξης παραλαβής του παρόντος κεφαλαίου. Οι υπηρεσίες παράδοσης πρέπει να διαθέτουν το κατάλληλο προσωπικό ώστε να εξασφαλίζεται ότι τα δέματα που περιέχουν έγγραφα TRÈS SECRET UE/EU TOP SECRET παραμένουν συνεχώς υπό την άμεση εποπτεία αρμόδιου υπαλλήλου.

15.

Κατ' εξαίρεση, υπάλληλοι πλην των αγγελιοφόρων, επιτρέπεται να μεταφέρουν έγγραφα TRÈS SECRET UE/EU TOP SECRET στο εσωτερικό ενός κτιρίου ή ομάδας κτιρίων, προκειμένου να τα χρησιμοποιούν επιτόπου σε συνεδριάσεις και συζητήσεις, εφόσον:

16.

Εντός μιας και της αυτής χώρας, τα έγγραφα SECRET UE και CONFIDENTIEL UE επιτρέπεται να αποστέλλονται είτε με το ταχυδρομείο, εφόσον τούτο επιτρέπεται από τους εθνικούς κανονισμούς και διενεργείται σύμφωνα με τις διατάξεις τους, είτε από υπηρεσία αγγελιοφόρων ή από άτομα με έγκριση πρόσβασης σε διαβαθμισμένες πληροφορίες ΕΕ.

17.

Βάσει των κανονισμών αυτών, κάθε κράτος μέλος ή αποκεντρωμένος οργανισμός της ΕΕ πρέπει να καταρτίσει οδηγίες για την αυτοπρόσωπη μεταφορά διαβαθμισμένων εγγράφων ΕΕ. Ο κομιστής υποχρεούται να διαβάζει και να υπογράφει τις οδηγίες αυτές. Ειδικότερα, οι οδηγίες πρέπει να καθιστούν σαφές ότι τα έγγραφα ουδέποτε:

18.

Τα υλικά που είναι διαβαθμισμένα τουλάχιστον CONFIDENTIEL UE πρέπει να μεταφέρονται μεταξύ κρατών μελών μέσω υπηρεσιών διπλωματικών ή στρατιωτικών μεταφορών.

19.

Ωστόσο, είναι δυνατόν να επιτρέπεται η αυτοπρόσωπη μεταφορά υλικού διαβαθμισμένου ως SECRET UE ή CONFIDENTIEL UE εάν οι συνθήκες μεταφοράς εξασφαλίζουν ότι δεν είναι δυνατόν να περιπέσουν στα χέρια μη εξουσιοδοτημένου ατόμου.

20.

Οι Εθνικές Αρχές Ασφαλείας μπορούν να επιτρέπουν την αυτοπρόσωπη μεταφορά όταν δεν υπάρχουν διπλωματικοί ή στρατιωτικοί μεταφορείς ή όταν η χρήση των μεταφορέων αυτών θα οδηγούσε σε καθυστέρηση που θα έβλαπτε τις επιχειρήσεις της ΕΕ και ο παραλήπτης χρειάζεται επειγόντως το συγκεκριμένο υλικό. Κάθε κράτος μέλος πρέπει να εκπονήσει οδηγίες για την αυτοπρόσωπη μεταφορά, διεθνώς, υλικού διαβαθμισμένου μέχρι και SECRET UE από άτομα άλλα πλην των διπλωματικών και στρατιωτικών μεταφορέων. Βάσει των οδηγιών αυτών πρέπει να απαιτείται:

Το άτομο στο οποίο ανατίθεται η μεταφορά διαβαθμισμένου υλικού πρέπει να διαβάζει και να υπογράφει οδηγίες ασφαλείας οι οποίες να περιέχουν, τουλάχιστον, τις προαναφερόμενες οδηγίες και τις ακολουθητέες διαδικασίες σε περίπτωση έκτακτης ανάγκης ή όταν τελωνειακοί υπάλληλοι ή υπάλληλοι ασφαλείας αερολιμένων ζητούν να εξετάσουν το δέμα που περιέχει το διαβαθμισμένο υλικό.

21.

Για τη μεταφορά εγγράφων RESTREINT UE εν προβλέπονται ειδικές διατάξεις, πλην του ότι οι συνθήκες μεταφοράς πρέπει να εξασφαλίζουν ότι τα έγγραφα είναι αδύνατον να πέσουν στα χέρια μη εξουσιοδοτημένων ατόμων.

22.

Όλοι οι μεταφορείς και αγγελιοφόροι που χρησιμοποιούνται για τη μεταφορά εγγράφων SECRET UE και CONFIDENTIEL UE πρέπει να διαθέτουν την κατάλληλη διαβάθμιση ασφαλείας.

23.

Τα μέτρα ασφαλείας επικοινωνιών αποσκοπούν στην εξασφάλιση της ασφαλούς διαβίβασης διαβαθμισμένων πληροφοριών ΕΕ. Οι λεπτομερείς κανόνες για την διαβίβαση αυτών των διαβαθμισμένων πληροφοριών ΕΕ περιέχονται στο τμήμα XI.

24.

Μόνον δεόντως διαπιστευμένα κέντρα επικοινωνιών και δίκτυα ή/και τερματικά και συστήματα επιτρέπεται να διαβιβάζουν πληροφορίες διαβαθμισμένες ως CONFIDENTIEL UE και SECRET UE.

25.

Μόνον ο συντάκτης μπορεί να επιτρέπει την αντιγραφή ή τη μετάφραση εγγράφων TRÈS SECRET UE/EU TOP SECRET.

26.

Εάν άτομα χωρίς διαβάθμιση TRÈS SECRET UE/EU TOP SECRET χρειάζονται πληροφορίες οι οποίες, μολονότι περιέχονται σε έγγραφο TRÈS SECRET UE/EU TOP SECRET, δεν έχουν την διαβάθμιση αυτήν, είναι δυνατόν να επιτρέπεται στον προϊστάμενο της Γραμματείας TRÈS SECRET UE/EU TOP SECRET να παράγει τον απαιτούμενο αριθμό αποσπασμάτων από το έγγραφο αυτό. Ταυτόχρονα, ο προϊστάμενος αυτός λαμβάνει τα απαιτούμενα μέτρα για να εξασφαλίσει ότι στα αποσπάσματα αυτά αποδίδεται η κατάλληλη διαβάθμιση ασφαλείας.

27.

Τα έγγραφα με διαβάθμιση το πολύ SECRET UE επιτρέπεται να αναπαράγονται και να μεταφράζονται από τον παραλήπτη, στο πλαίσιο των εθνικών κανονισμών ασφαλείας και υπό τον όρο ότι τηρείται αυστηρά η αρχή «ανάγκη γνώσης». Τα μέτρα ασφαλείας που εφαρμόζονται για το αρχικό έγγραφο εφαρμόζονται και στα αντίγραφα ή/και μεταφράσεις του. Οι αποκεντρωμένοι οργανισμοί της ΕΕ πρέπει να ακολουθούν τους προκείμενους κανονισμούς ασφαλείας.

28.

Κάθε χρόνο, κάθε Γραμματεία TRÈS SECRET UE/EU TOP SECRET που αναφέρεται στο τμήμα VIII πραγματοποιεί αναλυτική απογραφή των εγγράφων TRÈS SECRET UE/EU TOP SECRET σύμφωνα με τους κανονισμούς του τμήματος VIII, παράγραφοι 9 έως 11. Τα έγγραφα με διαβάθμιση ΕΕ κατώτερη του TRÈS SECRET UE/EU TOP SECRET υποβάλλονται σε εσωτερικό έλεγχο σύμφωνα με τις εθνικές κατευθυντήριες γραμμές και, στην περίπτωση της ΓΓΣ ή των αποκεντρωμένων οργανισμών της ΕΕ, σύμφωνα με τις οδηγίες του Γενικού Γραμματέα/Ύπατου Εκπροσώπου.

Οι εργασίες αυτές επιτρέπουν να λαμβάνεται η γνώμη των κατόχων όσον αφορά:

29.

Προκειμένου να ελαχιστοποιηθούν τα προβλήματα αποθήκευσης, επιτρέπεται στους ελεγκτικούς υπαλλήλους όλων των υπηρεσιών να αναπαράγουν σε μικροφίλμ ή να αποθηκεύουν κατ' άλλο τρόπο σε μαγνητικό ή οπτικό υπόθεμα προς αρχειοθέτηση έγγραφα TRÈS SECRET UE/EU TOP SECRET, SECRET UE και CONFIDENTIEL UE, εφόσον:

30.

Οι κανόνες αυτοί εφαρμόζονται και σε κάθε άλλη μορφή αποθήκευσης που επιτρέπεται από την Εθνική Αρχή Ασφαλείας, όπως ηλεκτρομαγνητικά υποθέματα και οπτικοί δίσκοι.

31.

Για να αποφευχθεί η περιττή συσσώρευση διαβαθμισμένων εγγράφων ΕΕ, τα έγγραφα τα οποία, κατά τη γνώμη του προϊσταμένου της υπηρεσίας στην κατοχή της οποίας ευρίσκονται, είναι πεπαλαιωμένα και περισσεύουν καταστρέφονται το συντομότερο δυνατόν ως εξής:

32.

Τα έγγραφα SECRET UE καταστρέφονται από την αρμόδια γραμματεία, υπό την επίβλεψη ατόμου με διαβάθμιση ασφαλείας, με μια από τις μεθόδους που αναφέρονται στην παράγραφο 31 στοιχείο γ). Τα καταστρεφόμενα έγγραφα SECRET UE καταγράφονται σε υπογραφόμενο πρωτόκολλο καταστροφής το οποίο διατηρείται από τη γραμματεία, μαζί με τα έντυπα διανομής, επί τρία τουλάχιστον έτη.

33.

Τα έγγραφα CONFIDENTIEL UE καταστρέφονται από την αρμόδια γραμματεία, υπό την επίβλεψη ατόμου με διαβάθμιση ασφαλείας και με μια από τις μεθόδους της παραγράφου 31 στοιχείο γ). Η καταστροφή τους καταγράφεται σύμφωνα με τους εθνικούς κανονισμούς και, στην περίπτωση της ΓΓΣ ή των αποκεντρωμένων οργανισμών της ΕΕ, σύμφωνα με τις οδηγίες του Γενικού Γραμματέα/Ύπατου Εκπροσώπου.

34.

Τα έγγραφα RESTREINT UE καταστρέφονται από την αρμόδια γραμματεία ή από το χρήστη, σύμφωνα με τους εθνικούς κανονισμούς και, στην περίπτωση της ΓΓΣ ή των αποκεντρωμένων οργανισμών της ΕΕ, σύμφωνα με τις οδηγίες του Γενικού Γραμματέα/Ύπατου Εκπροσώπου.

35.

Η ΓΓΣ, τα κράτη μέλη και οι αποκεντρωμένοι οργανισμοί της ΕΕ καταρτίζουν σχέδια βάσει των τοπικών συνθηκών για τη διαφύλαξη του διαβαθμισμένου υλικού ΕΕ σε περίπτωση κρίσης, τα οποία περιλαμβάνουν, εφόσον απαιτείται, σχέδια καταστροφής και εκκένωσης σε περίπτωση έκτακτης ανάγκης, εκδίδουν δε, εντός των αντίστοιχων οργανώσεών τους, τις οδηγίες που κρίνονται αναγκαίες ώστε να μην περιπέσουν διαβαθμισμένες πληροφορίες ΕΕ στα χέρια μη εξουσιοδοτημένων ατόμων.

36.

Οι ρυθμίσεις για τη διαφύλαξη ή/και την καταστροφή του υλικού SECRET UE και CONFIDENTIEL UE σε περίπτωση κρίσης δεν πρέπει ποτέ να επηρεάζουν αρνητικά τη διαφύλαξη ή την καταστροφή υλικού TRÈS SECRET UE/EU TOP SECRET, συμπεριλαμβανομένου του κρυπτογραφικού εξοπλισμού, του οποίου η διαφύλαξη ή καταστροφή πρέπει να έχουν προτεραιότητα έναντι κάθε άλλης εργασίας. Τα ληπτέα μέτρα για τη διαφύλαξη και την καταστροφή του κρυπτογραφικού εξοπλισμού σε περίπτωση έκτακτης ανάγκης καλύπτονται από ειδικές οδηγίες.

37.

Εντός της ΓΓΣ, ένα «Γραφείο Διαβαθμισμένων Πληροφοριών» παρακολουθεί τις πληροφορίες που διαβαθμίζονται ως SECRET UE ή CONFIDENTIEL UE οι οποίες περιέχονται σε έγγραφα που προορίζονται για το Συμβούλιο.

Υπό την εποπτεία του Γενικού Διευθυντή Προσωπικού και Διοίκησης, το Γραφείο αυτό:

38.

Το Γραφείο Διαβαθμισμένων Πληροφοριών τηρεί μητρώο των ακόλουθων στοιχείων:

39.

Οι γενικοί κανόνες των κεφαλαίων I έως V του παρόντος τμήματος ισχύουν για το Γραφείο Διαβαθμισμένων Πληροφοριών της ΓΓΣ, εκτός εάν τροποποιούνται από τους ειδικούς κανόνες του παρόντος κεφαλαίου.

1.

Οι γραμματείες TRÈS SECRET UE/EU TOP SECRET εξασφαλίζουν την καταγραφή, τη διεκπεραίωση και τη διανομή των εγγράφων TRÈS SECRET UE/EU TOP SECRET σύμφωνα με τους κανονισμούς περί ασφαλείας. Ο προϊστάμενος της γραμματείας TRÈS SECRET UE/EU TOP SECRET, αντίστοιχα σε κάθε κράτος μέλος, στη ΓΓΣ και, ανάλογα με την περίπτωση, στους αποκεντρωμένους οργανισμούς της ΕΕ, είναι ο ελεγκτικός υπάλληλος TRÈS SECRET UE/EU TOP SECRET.

2.

Οι κεντρικές γραμματείες λειτουργούν ως η κύρια αρχή παραλαβής και αποστολής στα κράτη μέλη, τη ΓΓΣ και τους αποκεντρωμένους οργανισμούς της ΕΕ, όπου έχουν συσταθεί παρόμοιες γραμματείες, καθώς και, ανάλογα με την περίπτωση, σε άλλα θεσμικά όργανα της ΕΕ, διεθνείς οργανισμούς και τρίτα κράτη με τα οποία το Συμβούλιο έχει συμφωνίες για διαδικασίες ασφαλείας για την ανταλλαγή διαβαθμισμένων πληροφοριών.

3.

Εφόσον απαιτείται, συγκροτούνται υπογραμματείες αρμόδιες για την εσωτερική διαχείριση των εγγράφων TRÈS SECRET UE/EU TOP SECRET· οι υπογραμματείες τηρούν ενημερωμένα αρχεία της κυκλοφορίας κάθε εγγράφου για το οποίο είναι υπεύθυνες.

4.

Οι υπογραμματείες TRÈS SECRET UE/EU TOP SECRET συγκροτούνται όπως προβλέπεται στο τμήμα I για την κάλυψη μακροπρόθεσμων αναγκών και εξαρτώνται από κεντρική γραμματεία TRÈS SECRET UE/EU TOP SECRET. Εάν χρειάζεται μόνον προσωρινή και περιστασιακή πρόσβαση σε έγγραφα TRÈS SECRET UE/EU TOP SECRET, τα έγγραφα αυτά επιτρέπεται να κυκλοφορούν χωρίς να συγκροτείται υπογραμματεία TRÈS SECRET UE/EU TOP SECRET, υπό την προϋπόθεση ότι θεσπίζονται κανόνες για να εξασφαλίζεται ότι τα έγγραφα αυτά παραμένουν υπό τον έλεγχο της αρμόδιας γραμματείας TRÈS SECRET UE/EU TOP SECRET και ότι τηρούνται όλα τα μέτρα υλικής ασφάλειας και ασφάλειας προσωπικού.

5.

Οι υπογραμματείες δεν διαβιβάζουν έγγραφα TRÈS SECRET UE/EU TOP SECRET απευθείας σε άλλες υπογραμματείες της ίδιας κεντρικής γραμματείας TRÈS SECRET UE/EU TOP SECRET χωρίς τη ρητή της άδεια.

6.

Όλες οι ανταλλαγές εγγράφων TRÈS SECRET UE/EU TOP SECRET μεταξύ υπογραμματειών που δεν υπάγονται στην ίδια κεντρική γραμματεία πρέπει να δρομολογούνται μέσω των κεντρικών γραμματειών TRÈS SECRET UE/EU TOP SECRET.

1.

Όταν σύνοδοι του Ευρωπαϊκού Συμβουλίου ή του Συμβουλίου ή υπουργικές ή άλλες σημαντικές συνεδριάσεις πραγματοποιούνται εκτός των κτιρίων του Συμβουλίου στις Βρυξέλλες και το Λουξεμβούργο, και όταν δικαιολογείται από ιδιαίτερες απαιτήσεις ασφαλείας λόγω της ιδιαίτερης ευαισθησίας των προς συζήτηση θεμάτων ή πληροφοριών, λαμβάνονται τα παρακάτω μέτρα ασφαλείας. Τα μέτρα αυτά αφορούν μόνον την προστασία των διαβαθμισμένων πληροφοριών ΕΕ· για τα λοιπά θέματα ασφαλείας ενδέχεται να απαιτείται ιδιαίτερος προγραμματισμός.

2.

Το κράτος μέλος όπου διοργανώνεται μια συνεδρίαση (κράτος μέλος υποδοχής) είναι υπεύθυνο, σε συνεργασία με την υπηρεσία ασφαλείας της ΓΓΣ, για την ασφάλεια των συνόδων του Ευρωπαϊκού Συμβουλίου ή του Συμβουλίου ή των υπουργικών ή άλλων σημαντικών συνεδριάσεων και για την υλική ασφάλεια των κυριότερων αντιπροσώπων και του προσωπικού τους.

Όσον αφορά την προστασία της ασφάλειας, το κράτος μέλος υποδοχής εξασφαλίζει ιδίως ότι:

3.

Οι αρχές των κρατών μελών εξασφαλίζουν ότι:

4.

Ορίζεται υπάλληλος ασφαλείας υπεύθυνος για τη γενική προετοιμασία και τον έλεγχο των γενικών εσωτερικών μέτρων ασφαλείας και για το συντονισμό με τις λοιπές ενδιαφερόμενες υπηρεσίες ασφαλείας. Τα μέτρα που λαμβάνει, κατά κανόνα, αφορούν:

5.

Η Υπηρεσία Ασφαλείας της ΓΓΣ λειτουργεί ως σύμβουλος ασφαλείας κατά την προετοιμασία της συνεδρίασης, στην οποία πρέπει να εκπροσωπείται για να επικουρεί και να παρέχει συμβουλές προς τον υπάλληλο ασφαλείας της συνεδρίασης και τις αντιπροσωπείες εφόσον απαιτείται.

6.

Κάθε αντιπροσωπεία που συμμετέχει στη συνεδρίαση ορίζει έναν υπάλληλο ασφαλείας ο οποίος θα είναι υπεύθυνος για την αντιμετώπιση θεμάτων ασφαλείας εντός της αντιπροσωπείας του και για τη διασύνδεση με τον υπάλληλο ασφαλείας της συνεδρίασης, καθώς και με την Υπηρεσία Ασφαλείας της ΓΓΣ εφόσον απαιτείται.

7.

Πρέπει να δημιουργούνται οι ακόλουθοι χώροι ασφαλείας:

8.

Ο υπάλληλος ασφαλείας της συνεδρίασης εκδίδει τις κατάλληλες ειδικές ταυτότητες που ζητούν οι αντιπροσωπείες ανάλογα με τις ανάγκες τους. Εφόσον απαιτείται, είναι δυνατόν να γίνεται διάκριση όσον αφορά την πρόσβαση στους διάφορους χώρους ασφαλείας.

9.

Οι οδηγίες ασφαλείας της συνεδρίασης πρέπει να απαιτούν από όλους τους ενδιαφερομένους να φέρουν πάντοτε και εμφανώς την ειδική τους ταυτότητα εντός του χώρου της συνεδρίασης, ώστε να μπορούν να ελέγχονται από το προσωπικό ασφαλείας.

10.

Εκτός από τους συμμετέχοντες με ειδική ταυτότητα, στο χώρο της συνεδρίασης πρέπει να επιτρέπεται η είσοδος σε όσο το δυνατόν λιγότερα άτομα. Οι εθνικές αντιπροσωπείες που επιθυμούν να δεχθούν επισκέπτες κατά τη διάρκεια της συνεδρίασης πρέπει να ενημερώνουν τον υπάλληλο ασφαλείας της συνεδρίασης. Στους επισκέπτες πρέπει να χορηγείται ειδική ταυτότητα επισκέπτη. Προς τούτο, πρέπει να συμπληρώνεται ειδικό έντυπο με το ονοματεπώνυμό του και το ονοματεπώνυμο του ατόμου που επισκέπτεται. Οι επισκέπτες πρέπει να συνοδεύονται πάντα από φύλακα ή από το άτομο που επισκέπτονται. Το έντυπο εισόδου του επισκέπτη πρέπει να φέρεται από το άτομο που επισκέπτεται, το οποίο και το επιστρέφει, μαζί με την ειδική ταυτότητα του επισκέπτη, στο προσωπικό ασφαλείας κατά την αναχώρηση του επισκέπτη από το χώρο της συνεδρίασης.

11.

Στο χώρο ασφαλείας κατηγορίας Ι απαγορεύεται να εισάγονται φωτογραφικές μηχανές ή ηχογραφικές συσκευές, πλην του εξοπλισμού των φωτογράφων και των μηχανικών ήχου που είναι δεόντως εξουσιοδοτημένοι από τον υπάλληλο ασφαλείας της συνεδρίασης.

12.

Οι κάτοχοι άδειας κυκλοφορίας στους οποίους επιτρέπεται η πρόσβαση σε χώρο ασφαλείας μπορούν κανονικά να φέρουν μαζί τους χαρτοφύλακες και φορητούς υπολογιστές (με δική τους πηγή ηλεκτρισμού) χωρίς έλεγχο. Όσον αφορά τα δέματα για τις αντιπροσωπείες, οι αντιπροσωπείες επιτρέπεται να τα παραλαμβάνουν αφού είτε επιθεωρηθούν από τον υπάλληλο ασφαλείας της αντιπροσωπείας, είτε εξεταστούν με ειδικό μηχάνημα, είτε ανοιχτούν προς επιθεώρηση από το προσωπικό ασφαλείας. Εάν ο υπάλληλος ασφαλείας της συνεδρίασης το κρίνει αναγκαίο, είναι δυνατόν να λαμβάνονται αυστηρότερα μέτρα για την επιθεώρηση των χαρτοφυλάκων και των δεμάτων.

13.

Η αίθουσα συνεδριάσεων μπορεί να καθίσταται τεχνικώς ασφαλής από ομάδα τεχνικής ασφάλειας η οποία μπορεί να διενεργεί και ηλεκτρονική επιτήρηση κατά τη συνεδρίαση.

14.

Οι αντιπροσωπείες είναι υπεύθυνες για τη μεταφορά διαβαθμισμένων εγγράφων ΕΕ από και προς τις συνεδριάσεις. Οι αντιπροσωπείες είναι επίσης υπεύθυνες για τον έλεγχο και την ασφάλεια των εγγράφων αυτών κατά τη χρήση τους στους διατεθέντες χώρους. Είναι δυνατόν να ζητείται η βοήθεια του κράτους μέλους υποδοχής για τη μεταφορά διαβαθμισμένων εγγράφων από και προς το χώρο της συνεδρίασης.

15.

Εάν η ΓΓΣ, η Επιτροπή ή οι αντιπροσωπείες δεν μπορούν να αποθηκεύσουν τα διαβαθμισμένα έγγραφά τους σύμφωνα με τους εγκεκριμένους κανόνες, μπορούν να παραδώσουν τα έγγραφα αυτά, κλεισμένα μέσα σε σφραγισμένους φακέλους, στον υπάλληλο ασφαλείας της συνεδρίασης, έναντι αποδείξεως, ώστε ο υπάλληλος αυτός να μπορεί να τα αποθηκεύει σύμφωνα με τους εγκεκριμένους κανόνες.

16.

Ο υπάλληλος ασφαλείας της συνεδρίασης πρέπει να λαμβάνει μέτρα για την επιθεώρηση των γραφείων της ΓΓΣ και των αντιπροσωπειών στο τέλος κάθε ημέρας εργασίας προκειμένου να βεβαιώνεται ότι όλα τα διαβαθμισμένα έγγραφα ΕΕ διατηρούνται σε ασφαλή χώρο· σε διαφορετική περίπτωση, μπορεί να λαμβάνει τα δέοντα μέτρα.

17.

Όλα τα απορρίμματα πρέπει να αντιμετωπίζονται ως διαβαθμισμένα ΕΕ, οι δε κάλαθοι ή σάκοι αχρήστων πρέπει να παραδίδονται στη ΓΓΣ και τις αντιπροσωπείες προς διάθεση. Πριν εγκαταλείψουν τους διατεθέντες χώρους, η ΓΓΣ και οι αντιπροσωπείες πρέπει να παραδίδουν τα απορρίμματά τους στον υπάλληλο ασφαλείας της συνεδρίασης, ο οποίος φροντίζει για την καταστροφή τους σύμφωνα με τους κανονισμούς.

18.

Μετά το πέρας της συνεδρίασης, όλα τα έγγραφα που βρίσκονται στην κατοχή της ΓΓΣ ή των αντιπροσωπειών αλλά δεν χρειάζονται πλέον πρέπει να αντιμετωπίζονται ως απορρίμματα. Πριν αρθούν τα μέτρα ασφαλείας που εφαρμόζονται κατά τη συνεδρίαση, πρέπει να ερευνώνται διεξοδικά οι χώροι της ΓΓΣ και των αντιπροσωπειών. Τα έγγραφα για τα οποία έχει χορηγηθεί υπογεγραμμένη απόδειξη πρέπει, στο μέτρο του εφικτού, να καταστρέφονται σύμφωνα με το τμήμα VII.

1.

Παραβίαση της ασφάλειας προκύπτει ως αποτέλεσμα μιας πράξης ή μιας παράλειψης αντίθετης προς συγκεκριμένο κανονισμό ασφαλείας του Συμβουλίου ή κράτους μέλους, με την οποία τίθενται σε κίνδυνο ή διαρρέουν διαβαθμισμένες πληροφορίες ΕΕ.

2.

Διαρροή διαβαθμισμένων πληροφοριών ΕΕ προκύπτει όταν αυτές καταλήγουν εξ ολοκλήρου ή εν μέρει σε χέρια μη εξουσιοδοτημένων προσώπων, δηλαδή προσώπων που είτε δεν έχουν υποστεί επιτυχώς τον πρέποντα έλεγχο ασφαλείας είτε δεν δικαιολογείται να γνωρίζουν, ή όταν θεωρείται πιθανό να έχει συμβεί κάτι τέτοιο.

3.

Οι διαβαθμισμένες πληροφορίες ΕΕ μπορούν να διαρρεύσουν ως αποτέλεσμα απροσεξίας, αμέλειας ή ακριτομυθίας καθώς και ως συνέπεια των δραστηριοτήτων υπηρεσιών που έχουν ως στόχο την ΕΕ ή τα κράτη μέλη της, όσον αφορά τις διαβαθμισμένες πληροφορίες και δραστηριότητες ΕΕ, ή ανατρεπτικών οργανώσεων.

4.

Είναι σημαντικό όλα τα πρόσωπα τα οποία απαιτείται να χειρίζονται διαβαθμισμένες πληροφορίες ΕΕ να έχουν ενημερωθεί αναλυτικά για τις ρυθμίσεις ασφαλείας, τους κινδύνους τυχόν ακριτομυθιών και τις σχέσεις τους με τον τύπο. Πρέπει να έχουν συνείδηση ότι είναι σημαντικό να αναφέρεται αμέσως στην αρχή ασφαλείας του κράτους μέλους, του θεσμικού οργάνου ή του οργανισμού για τον οποίο εργάζονται κάθε παραβίαση της ασφάλειας που τυχόν υποπέσει στην αντίληψή τους.

5.

Όταν μια αρχή ασφαλείας ανακαλύπτει ή πληροφορείται παραβίαση της ασφάλειας σχετικά με διαβαθμισμένες πληροφορίες ΕΕ ή απώλεια ή εξαφάνιση διαβαθμισμένου υλικού ΕΕ, λαμβάνει εγκαίρως μέτρα προκειμένου:

Στα πλαίσια αυτά, παρέχονται τα ακόλουθα στοιχεία:

6.

Αποτελεί καθήκον της κάθε αρχής ασφαλείας, μόλις ειδοποιηθεί για μια τέτοια παραβίαση της ασφάλειας, να αναφέρει το γεγονός αμέσως με την ακόλουθη διαδικασία: οι υπεύθυνοι της συγκεκριμένης υπογραμματείας TRÈS SECRET UE/EU TOP SECRET ειδοποιούν το Γραφείο Ασφαλείας της ΓΓΣ μέσω της κεντρικής γραμματείας TRÈS SECRET UE/EU TOP SECRET· στην περίπτωση διαρροής διαβαθμισμένων πληροφοριών ΕΕ εντός της επικράτειας κράτους μέλους, αυτή αναφέρεται στο Γραφείο Ασφαλείας της ΓΓΣ όπως ορίζεται στην παράγραφο 5, μέσω της αρμόδιας ΕΕΑ.

7.

Οι περιπτώσεις που αφορούν πληροφορίες RESTREINT UE αναφέρονται μόνο όταν παρουσιάζουν ασυνήθιστα χαρακτηριστικά.

8.

Ο Γενικός Γραμματέας/Ύπατος Εκπρόσωπος, μόλις πληροφορηθεί μια παραβίαση της ασφάλειας:

9.

Η αρχή που ανακάλυψε την παραβίαση ενημερώνει τους αποδέκτες των πληροφοριών και δίνει τις κατάλληλες οδηγίες.

10.

Κάθε υπεύθυνος για τη διαρροή διαβαθμισμένων πληροφοριών ΕΕ υπόκειται σε πειθαρχικές κυρώσεις σύμφωνα με τους οικείους κανόνες και κανονισμούς. Οι κυρώσεις επιβάλλονται με την επιφύλαξη των τυχόν περαιτέρω δικαστικών ενεργειών.

1.

Η πολιτική και οι απαιτήσεις ασφαλείας που προβλέπονται στο παρόν τμήμα ισχύουν για όλα τα συστήματα και δίκτυα επικοινωνιών και πληροφορικής (εφεξής «συστήματα») στα οποία διακινούνται πληροφορίες με διαβάθμιση CONFIDENTIEL UE ή υψηλότερη.

2.

Τα συστήματα στα οποία διακινούνται πληροφορίες RESTREINT UE επίσης απαιτείται να καλύπτονται από μέτρα ασφαλείας ώστε να προστατεύεται η εμπιστευτικότητα των πληροφοριών αυτών. Όλα τα συστήματα πρέπει να καλύπτονται από μέτρα ασφαλείας ώστε να προστατεύονται η ακεραιότητα και η διαθεσιμότητα αυτών των συστημάτων και των πληροφοριών τις οποίες περιέχουν. Τα μέτρα ασφαλείας των συστημάτων αυτών καθορίζονται από την καθορισμένη Αρχή Πιστοποίησης της Ασφάλειας (ΑΠΑ) και είναι ανάλογα προς τον εκτιμώμενο κίνδυνο και σύμφωνα με την πολιτική που χαράσσεται στους παρόντες κανονισμούς ασφαλείας.

3.

Η προστασία των συστημάτων ανίχνευσης στα οποία έχουν ενσωματωθεί συστήματα πληροφορικής καθορίζεται και διευκρινίζεται στο γενικότερο πλαίσιο των συστημάτων στα οποία ανήκουν, με τη χρήση των εφαρμοστέων διατάξεων του παρόντος τμήματος κατά το μέτρο του δυνατού.

4.

Σε γενικές γραμμές, ως απειλή ορίζεται κάθε δυνατότητα, τυχαίας ή εσκεμμένης αποδυνάμωση, άμβλυνση της ασφάλειας. Στην περίπτωση των συστημάτων, η εν λόγω αποδυνάμωση της ασφάλειας συνεπάγεται απώλεια εμπιστευτικότητας, ακεραιότητας, διαθεσιμότητας, ή δύο περισσότερων από τις ιδιότητες αυτές. Ως τρωτό σημείο ορίζεται μια αδυναμία των ελέγχων ή έλλειψη αυτών που διευκολύνει ή καθιστά δυνατή την ενεργοποίηση μιας απειλής εις βάρος συγκεκριμένου περιουσιακού στοιχείου ή στόχου. Ένα τρωτό σημείο μπορεί να οφείλεται σε κάποια παράλειψη ή να απορρέει από κάποια ανεπάρκεια όσον αφορά την αυστηρότητα, την πληρότητα ή τη σταθερότητα των ελέγχων, μπορεί δε να είναι τεχνικής, διαδικαστικής ή επιχειρησιακής φύσεως.

5.

Οι διαβαθμισμένες ή αδιαβάθμητες πληροφορίες ΕΕ που διακινούνται στα συστήματα υπό συμπυκνωμένη μορφή που αποσκοπεί στην ταχεία ανάκτηση, κοινοποίηση και χρήση είναι ευάλωτες σε πολλούς κινδύνους. Σε αυτούς περιλαμβάνεται η πρόσβαση μη εξουσιοδοτημένων χρηστών σε αυτές ή, αντίθετα, η άρνηση πρόσβασης στους εξουσιοδοτημένους χρήστες. Υπάρχουν επίσης οι κίνδυνοι κοινολόγησης άνευ αδείας, αλλοίωσης, τροποποίησης ή εξάλειψης των πληροφοριών. Επί πλέον, τα χρησιμοποιούμενα πολύπλοκα και ορισμένες φορές εύθραυστα μηχανήματα είναι ακριβά και συχνά είναι δύσκολο να επιδιορθωθούν ή να αντικατασταθούν γρήγορα. Τα συστήματα αυτά αποτελούν επομένως ελκυστικούς στόχους για κατασκοπευτικές δραστηριότητες και πράξεις δολιοφθοράς, ιδίως εάν υπάρχει η εντύπωση ότι τα μέτρα ασφαλείας είναι αναποτελεσματικά.

6.

Ο κύριος σκοπός των μέτρων ασφαλείας που αναφέρονται στο παρόν τμήμα συνίσταται στην παροχή προστασίας από το ενδεχόμενο κοινολόγησης πληροφοριών άνευ αδείας (απώλεια εμπιστευτικότητας) καθώς και απώλειας της ακεραιότητας και της διαθεσιμότητας των πληροφοριών. Για την επίτευξη επαρκούς προστασίας της ασφάλειας των συστημάτων που περιέχουν διαβαθμισμένες πληροφορίες ΕΕ, καθορίζονται κατάλληλες προδιαγραφές συμβατικής ασφάλειας καθώς και κατάλληλες ρυθμίσεις και τεχνικές ασφαλείας ειδικά για το κάθε σύστημα.

7.

Αποφασίζεται και τίθεται σε εφαρμογή ένα ισορροπημένο σύνολο μέτρων ασφαλείας για τη δημιουργία ασφαλούς περιβάλλοντος εντός του οποίου λειτουργεί ένα σύστημα. Τα πεδία εφαρμογής των μέτρων αυτών καλύπτουν τα υλικά στοιχεία, το προσωπικό, τις μη τεχνικές διαδικασίες και τις διαδικασίες λειτουργίας των υπολογιστών και των επικοινωνιών.

8.

Στα μέτρα ασφαλείας των υπολογιστών (τόσο των μηχανημάτων όσο και των προγραμμάτων) πρέπει να ενσωματώνεται η εφαρμογή της αρχής της πρόσβασης μόνον όσων έχουν ανάγκη να γνωρίζουν καθώς και η πρόληψη και ανίχνευση της κοινολόγησης πληροφοριών άνευ αδείας. Ο βαθμός στον οποίο τα μέτρα ασφαλείας των υπολογιστών μπορούν να θεωρούνται αξιόπιστα καθορίζεται κατά τη διαδικασία θέσπισης των απαιτήσεων ασφάλειας. Κατά τη διαδικασία έγκρισης της λειτουργίας εξακριβώνεται η ύπαρξη επαρκούς βεβαιότητας όσον αφορά την αξιοπιστία των μέτρων ασφαλείας των υπολογιστών.

9.

Για όλα τα συστήματα στα οποία διακινούνται πληροφορίες με διαβάθμιση EU CONFIDENTIAL και υψηλότερες διαβαθμίσεις, απαιτείται να εκδίδεται μια δήλωση για τις ειδικές για το κάθε σύστημα απαιτήσεις ασφαλείας (SSRS) από την ITSOA, με εισηγήσεις και βοήθεια από το προσωπικό του σχεδίου και την Αρχή INFOSEC. Η δήλωση αυτή εγκρίνεται από την ΑΠΑ. Απαιτείται μια SSRS και στις περιπτώσεις όπου η διαθεσιμότητα και ακεραιότητα των πληροφοριών με διαβάθμιση RESTREINT UE ή χωρίς διαβάθμιση κρίνεται καίριας σημασίας από την ΑΠΑ.

10.

Η SSRS διατυπώνεται το συντομότερο μετά την έναρξη σχεδιασμού ενός σχεδίου και αναπτύσσεται και ενισχύεται ανάλογα με την εξέλιξή του εκπληρώνοντας διαφορετικούς ρόλους κατά τα διάφορα στάδια του κύκλου ζωής του σχεδίου και του συστήματος.

11.

Η SSRS συνιστά δεσμευτική συμφωνία μεταξύ της Επιχειρησιακής Αρχής του συστήματος πληροφορικής και της ΑΠΑ από την οποία το σύστημα λαμβάνει την έγκριση λειτουργίας.

12.

Η SSRS αποτελεί μια ολοκληρωμένη και ρητή δήλωση των αρχών ασφαλείας που θα τηρούνται και των λεπτομερών απαιτήσεων ασφαλείας που θα εφαρμόζονται. Βασίζεται στην πολιτική ασφάλειας και στις εκτιμήσεις κινδύνου του Συμβουλίου, ή επιβάλλεται από παραμέτρους που αφορούν το επιχειρησιακό περιβάλλον, το χαμηλότερο δυνατό επίπεδο ελέγχων ασφαλείας του προσωπικού, την υψηλότερη δυνατή διαβάθμιση των πληροφοριών, το συγκεκριμένο επίπεδο ασφάλειας της λειτουργίας ή τις απαιτήσεις των χρηστών. Η SSRS αποτελεί αναπόσπαστο μέρος της τεκμηρίωσης του σχεδίου που υποβάλλεται στις αρμόδιες αρχές προς έγκριση από άποψη τεχνικής, προϋπολογισμού και ασφάλειας. Στην τελική της μορφή, η SSRS αποτελεί μια ολοκληρωμένη δήλωση περί του τι σημαίνει ο ισχυρισμός ότι το σύστημα είναι ασφαλές.

13.

Όλα τα συστήματα στα οποία διακινούνται πληροφορίες με διαβάθμιση EU CONFIDENTIAL ή υψηλότερη πρέπει να έχουν λάβει πιστοποίηση για να λειτουργούν σε ένα, ή όταν αυτό δικαιολογείται από τις απαιτήσεις λειτουργίας σε διαφορετικά χρονικά διαστήματα, σε περισσότερα από ένα, από τα ακόλουθα επίπεδα ασφαλείας, ή τα εθνικά τους ισοδύναμα:

14.

Στις περιπτώσεις που υπάρχει ανάγκη περιορισμένης διανομής και ειδικής μεταχείρισης πέραν των όσων απαιτούνται βάσει της διαβάθμισης ασφαλείας, τίθενται πρόσθετες σημάνσεις όπως CRYPTO ή άλλες αναγνωρισμένες από την ΕΕ σημάνσεις ειδικής μεταχείρισης.

15.

Ως «ΑΠΟΛΥΤΟ» επίπεδο ασφαλείας νοείται το επίπεδο λειτουργίας στο οποίο ΟΛΑ τα πρόσωπα που έχουν πρόσβαση στο σύστημα ελέγχονται σύμφωνα με τον υψηλότερο βαθμό διαβάθμισης των πληροφοριών που περιέχονται στο σύστημα, ενώ παράλληλα έχουν και τον ίδιο βαθμό ανάγκης να γνωρίζουν ΟΛΕΣ τις πληροφορίες που περιέχονται στο σύστημα.

16.

Ως «ΥΨΗΛΟ» επίπεδο ασφαλείας νοείται το επίπεδο λειτουργίας στο οποίο ΟΛΑ τα πρόσωπα που έχουν πρόσβαση στο σύστημα ελέγχονται σύμφωνα με τον υψηλότερο βαθμό διαβάθμισης των πληροφοριών που περιέχονται στο σύστημα, αλλά μεταξύ αυτών ΔΕΝ ΕΧΟΥΝ ΟΛΑ τον ίδιο βαθμό ανάγκης να γνωρίζουν τις πληροφορίες που περιέχονται στο σύστημα.

17.

Ως «ΠΟΛΛΑΠΛΟ» επίπεδο ασφαλείας νοείται το επίπεδο λειτουργίας στο οποίο ΟΡΙΣΜΕΝΑ ΜΟΝΟ από τα πρόσωπα που έχουν πρόσβαση στο σύστημα έχουν υποστεί έλεγχο ασφαλείας και λάβει άδεια χειρισμού του υψηλότερου βαθμού διαβάθμισης των πληροφοριών που περιέχονται στο σύστημα και παράλληλα ΟΡΙΣΜΕΝΑ ΜΟΝΟ από τα πρόσωπα που έχουν πρόσβαση έχουν τον ίδιο βαθμό ανάγκης να γνωρίζουν τις πληροφορίες που περιέχονται στο σύστημα.

18.

Ως INFOSEC νοείται η εφαρμογή μέτρων ασφαλείας για την προστασία των πληροφοριών που αποτελούν αντικείμενο επεξεργασίας, αποθήκευσης ή διαβίβασης σε συστήματα επικοινωνιών, πληροφορικής ή άλλα ηλεκτρονικά συστήματα από το ενδεχόμενο να θιγεί, τυχαία ή εσκεμμένα, η εμπιστευτικότητα, η ακεραιότητα ή η διαθεσιμότητά τους, καθώς και για την πρόληψη της απώλειας της ακεραιότητας και της διαθεσιμότητας των συστημάτων αυτών καθεαυτών. Στα μέτρα INFOSEC περιλαμβάνονται μέτρα για την ασφάλεια των υπολογιστών, των διαβιβάσεων, των εκπομπών και της κρυπτογράφησης καθώς και η ανίχνευση, η τεκμηρίωση και η αντιμετώπιση απειλών εναντίον των πληροφοριών και των συστημάτων.

19.

Ως ΑΣΦΑΛΕΙΑ ΤΩΝ ΥΠΟΛΟΓΙΣΤΩΝ (COMPUSEC) νοείται η εφαρμογή μέτρων προστασίας του υλικού, του υλικολογισμικού και του λογισμικού σε σύστημα υπολογιστών ώστε να υπάρχει προστασία έναντι, ή πρόληψη, κοινολόγησης άνευ αδείας, αλλοίωσης, τροποποίησης/εξάλειψης πληροφοριών ή άρνησης εξυπηρέτησης.

20.

Ως ΠΡΟΪΟΝ ΑΣΦΑΛΕΙΑΣ ΥΠΟΛΟΓΙΣΤΩΝ νοείται ένα γενικό στοιχείο ασφάλειας των υπολογιστών, που προορίζεται να ενσωματώνεται σε σύστημα πληροφορικής για την ενίσχυση ή την εξασφάλιση της εμπιστευτικότητας, της ακεραιότητας ή της διαθεσιμότητας των πληροφοριών που περιέχονται σε αυτό.

21.

Ως ΑΣΦΑΛΕΙΑ ΤΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ (COMSEC) νοείται η εφαρμογή μέτρων ασφάλειας στις τηλεπικοινωνίες ώστε να εμποδιστεί η πρόσβαση μη εξουσιοδοτημένων προσώπων σε σημαντικές πληροφορίες οι οποίες ενδέχεται να προκύψουν από την κατοχή και μελέτη τέτοιων τηλεπικοινωνιών, ή προκειμένου να διασφαλισθεί η γνησιότητα των τηλεπικοινωνιών αυτών.

Στα μέτρα αυτά περιλαμβάνονται μέτρα για την ασφάλεια της κρυπτογράφησης, των διαβιβάσεων και των εκπομπών· επίσης, περιλαμβάνονται μέτρα για την ασφάλεια των διαδικασιών, του υλικού, του προσωπικού, των εγγράφων και των υπολογιστών.

22.

Ως ΑΞΙΟΛΟΓΗΣΗ νοείται η λεπτομερής τεχνική εξέταση, από αρμόδια αρχή, των πτυχών ασφαλείας ενός συστήματος ή ενός προϊόντος κρυπτογράφησης ή ασφάλειας των υπολογιστών.

23.

Ως ΠΙΣΤΟΠΟΙΗΣΗ νοείται η έκδοση επίσημης δήλωσης, βασισμένης σε ανεξάρτητη εξέταση της διεξαγωγής και των αποτελεσμάτων μιας αξιολόγησης, για τον βαθμό στον οποίο ένα σύστημα ανταποκρίνεται στις απαιτήσεις ασφαλείας ή ένα προϊόν ασφάλειας των υπολογιστών στις προκαθορισμένες προδιαγραφές ασφαλείας.

24.

Ως ΕΓΚΡΙΣΗ ΛΕΙΤΟΥΡΓΙΑΣ νοείται η άδεια και η έγκριση που χορηγείται σε ένα σύστημα να επεξεργάζεται διαβαθμισμένες πληροφορίες ΕΕ στο λειτουργικό του περιβάλλον.

Η έγκριση λειτουργίας πρέπει να παρέχεται αφού πρώτα εφαρμοστούν όλες οι ενδεδειγμένες διαδικασίες ασφάλειας και έχει επιτευχθεί ικανοποιητικό επίπεδο προστασίας των πόρων του συστήματος. Η έγκριση λειτουργίας παρέχεται κανονικά βάσει της SSRS στην οποία συμπεριλαμβάνονται και τα εξής:

25.

Ως ΣΥΣΤΗΜΑ ΤΕΧΝΟΛΟΓΙΑΣ ΤΩΝ ΠΛΗΡΟΦΟΡΙΩΝ νοείται ο συνδυασμός μηχανημάτων, μεθόδων και διαδικασιών, και ενδεχομένως προσωπικού, οργανωμένων κατά τρόπο που να εκπληρούν λειτουργίες επεξεργασίας πληροφοριών.

26.

Ως ΧΑΡΑΚΤΗΡΙΣΤΙΚΑ ΑΣΦΑΛΕΙΑΣ ενός συστήματος τεχνολογίας των πληροφοριών νοούνται όλες οι λειτουργίες, οι ιδιαιτερότητες και τα χαρακτηριστικά του υλικού, του υλικολογισμικού και του λογισμικού, οι διαδικασίες λειτουργίας, οι διαδικασίες λογοδοσίας, οι έλεγχοι πρόσβασης, ο χώρος πληροφορικής, ο χώρος ανεξάρτητων τερματικών/σταθμών εργασίας καθώς και οι διαχειριστικοί περιορισμοί, η υλική δομή και οι συσκευές, το προσωπικό και οι έλεγχοι των επικοινωνιών που απαιτούνται για την εξασφάλιση αποδεκτού επιπέδου προστασίας των διαβαθμισμένων πληροφοριών που εμπεριέχονται σε ένα σύστημα πληροφορικής.

27.

Ως ΔΙΚΤΥΟ πληροφορικής νοείται η γεωγραφικά κατανεμημένη οργάνωση συστημάτων πληροφορικής διασυνδεδεμένων με στόχο την ανταλλαγή δεδομένων, στα οποία συμπεριλαμβάνονται τα συστατικά στοιχεία των διασυνδεδεμένων συστημάτων πληροφορικής και η διεπαφή τους με τα σχετικά δεδομένα ή δίκτυα επικοινωνιών.

28.

Ως ΧΑΡΑΚΤΗΡΙΣΤΙΚΑ ΑΣΦΑΛΕΙΑΣ ΕΝΟΣ ΔΙΚΤΥΟΥ πληροφορικής νοούνται τα χαρακτηριστικά ασφαλείας των επί μέρους συστημάτων πληροφορικής που συναποτελούν το δίκτυο, καθώς και τα πρόσθετα συστατικά στοιχεία και χαρακτηριστικά που σχετίζονται με το ίδιο το δίκτυο (π.χ. δικτυακές επικοινωνίες, μηχανισμοί και διαδικασίες επισήμανσης της ασφάλειας, έλεγχοι πρόσβασης, προγράμματα και αυτόματες καταγραφές ενεργειών) τα οποία απαιτούνται για την παροχή αποδεκτού επιπέδου προστασίας των διαβαθμισμένων πληροφοριών.

29.

Ως ΧΩΡΟΣ ΠΛΗΡΟΦΟΡΙΚΗΣ νοείται ο χώρος ο οποίος περιλαμβάνει έναν ή περισσότερους υπολογιστές, τα επί τόπου ανεξάρτητα περιφερειακά και μονάδες αποθήκευσής τους, τις μονάδες ελέγχου και ειδικό για τον σκοπό αυτό δίκτυο και εξοπλισμό επικοινωνιών.

Δεν συμπεριλαμβάνεται ο τυχόν ξεχωριστός χώρος στον οποίο βρίσκονται εγκατεστημένα τα ανεξάρτητα περιφερειακά ή τερματικά/σταθμοί εργασίας, ακόμα κι αν τα τερματικά αυτά είναι συνδεδεμένα με μηχανήματα του χώρου πληροφορικής.

30.

Ως ΧΩΡΟΣ ΑΝΕΞΑΡΤΗΤΩΝ ΤΕΡΜΑΤΙΚΩΝ/ΣΤΑΘΜΩΝ ΕΡΓΑΣΙΑΣ νοείται ένας χώρος ο οποίος περιλαμβάνει μια ποσότητα πληροφορικού εξοπλισμού, τα επί τόπου περιφερειακά ή τερματικά/σταθμούς εργασίας και τα τυχόν συνδεδεμένα με αυτά μηχανήματα επικοινωνιών, χωριστά από τον χώρο πληροφορικής.

31.

Ως αντίμετρα TEMPEST νοούνται τα μέτρα ασφαλείας που αποσκοπούν στην προστασία των μηχανημάτων και της υποδομής των επικοινωνιών από το ενδεχόμενο διαρροής διαβαθμισμένων πληροφοριών λόγω ακούσιων ηλεκτρομαγνητικών εκπομπών.

32.

Οι αρμοδιότητες της Επιτροπής Ασφαλείας, που ορίζεται στο τμήμα 1, παράγραφος 4, περιλαμβάνουν θέματα INFOSEC. Η Επιτροπή Ασφαλείας οργανώνει τις δραστηριότητές της κατά τρόπο ώστε να μπορεί να παρέχει έγκυρες συμβουλές για τα θέματα αυτά.

33.

Σε περίπτωση προβλημάτων ασφαλείας (συμβάντα, παραβιάσεις κ.λπ.), η αρμόδια Εθνική Αρχή ή/και η Υπηρεσία Ασφαλείας της ΓΓΣ λαμβάνουν αμέσως μέτρα. Όλα τα προβλήματα πρέπει να αναφέρονται στην Υπηρεσία Ασφαλείας της ΓΓΣ.

34.

Ο Γενικός Γραμματέας/Ύπατος Εκπρόσωπος ή, κατά περίπτωση, ο προϊστάμενος ενός αποκεντρωμένου οργανισμού της ΕΕ, συνιστά Γραφείο INFOSEC για να παρέχει οδηγίες στην αρχή ασφαλείας όσον αφορά την εφαρμογή και τον έλεγχο ειδικών μέτρων ασφαλείας που είναι σχεδιασμένα ως μέρη συστημάτων.

35.

Η ΑΠΑ είναι:

36.

Η ΑΠΑ είναι υπεύθυνη για την εξασφάλιση της συμμόρφωσης των συστημάτων με την πολιτική ασφαλείας του Συμβουλίου. Ένα από τα καθήκοντά της είναι να εγκρίνει ένα σύστημα για τη διεκπεραίωση διαβαθμισμένων πληροφοριών ΕΕ μέχρις ενός καθοριζόμενου βαθμού ασφαλείας εντός του επιχειρησιακού του περιβάλλοντος. Όσον αφορά τη ΓΓΣ και, κατά περίπτωση, τους αποκεντρωμένους οργανισμούς της ΕΕ, η ΑΠΑ ασκεί την ευθύνη για ασφάλεια εξ ονόματος του Γενικού Γραμματέα/Ύπατου Εκπροσώπου ή των προϊσταμένων των αποκεντρωμένων οργανισμών.

Η δικαιοδοσία της ΑΠΑ της ΓΓΣ καλύπτει όλα τα συστήματα που λειτουργούν στα κτίρια της ΓΓΣ. Τα συστήματα και τα στοιχεία συστημάτων που λειτουργούν στο εσωτερικό κράτους μέλους παραμένουν στη δικαιοδοσία του κράτους μέλους αυτού. Όταν διάφορα στοιχεία ενός συστήματος υπάγονται ταυτόχρονα στη δικαιοδοσία της ΑΠΑ της ΓΓΣ και άλλων ΑΠΑ, όλα τα μέρη διορίζουν κοινό συμβούλιο πιστοποίησης υπό το συντονισμό της ΑΠΑ της ΓΓΣ.

37.

Η αρχή INFOSEC είναι αρμόδια για τις δραστηριότητες του γραφείου INFOSEC. Όσον αφορά τη ΓΓΣ και, κατά περίπτωση, τους αποκεντρωμένους οργανισμούς της ΕΕ, η Αρχή INFOSEC είναι υπεύθυνη για τα εξής:

38.

Η Αρχή INFOSEC μεταβιβάζει, το συντομότερο δυνατόν, την αρμοδιότητα για την εφαρμογή και τη λειτουργία των ελέγχων και των ειδικών μέτρων ασφαλείας του συστήματος στην επιχειρησιακή αρχή συστημάτων πληροφορικής (ITSOA). Η αρμοδιότητα αυτή ισχύει καθ' όλη τη διάρκεια του κύκλου ζωής του συστήματος, από το στάδιο του βασικού σχεδιασμού μέχρι την τελική διάθεση.

39.

Η ITSOA είναι υπεύθυνη για όλα τα μέτρα ασφαλείας που σχεδιάζονται ως μέρη του συνολικού συστήματος. Η ευθύνη αυτή περιλαμβάνει την εκπόνηση των SecOP. Η ITSOA ορίζει τα πρότυπα και τις πρακτικές ασφαλείας προς τα οποία πρέπει να συμμορφούται ο προμηθευτής του συστήματος.

40.

Η ITSOA μπορεί να μεταβιβάζει μέρος της αρμοδιότητάς της, κατά περίπτωση, π.χ. στον υπάλληλο ασφαλείας INFOSEC και στον επιτόπου υπάλληλο ασφαλείας INFOSEC. Τα διάφορα καθήκοντα INFOSEC είναι δυνατόν να εκτελούνται από το ίδιο άτομο.

41.

Όλοι οι χρήστες πρέπει να φροντίζουν ώστε οι ενέργειές τους να μη θίγουν την ασφάλεια του συστήματος που χρησιμοποιούν.

42.

Εντός της ΓΓΣ, των αποκεντρωμένων οργανισμών της ΕΕ ή των υπουργείων των κρατών μελών, κατά περίπτωση, παρέχονται εκπαίδευση και κατάρτιση INFOSEC σε διάφορα επίπεδα και για διάφορες βαθμίδες προσωπικού.

43.

Οι χρήστες του συστήματος διαβαθμίζονται και έχουν «ανάγκη γνώσης» ανάλογα με τη διαβάθμιση και το περιεχόμενο των πληροφοριών που διεκπεραιώνουν στο σύστημα τους. Για την πρόσβαση σε ορισμένα είδη εξοπλισμού ή πληροφορίες που σχετίζονται συγκεκριμένα με την ασφάλεια των συστημάτων απαιτείται ειδική διαβάθμιση που χορηγείται σύμφωνα με τις διαδικασίες του Συμβουλίου.

44.

Η ΑΠΑ καθορίζει όλες τις ευαίσθητες θέσεις και ορίζει το βαθμό διαβάθμισης και εποπτείας που απαιτείται για το σχετικό προσωπικό.

45.

Τα συστήματα ορίζονται και σχεδιάζονται κατά τρόπο που να διευκολύνει τον καταμερισμό καθηκόντων και αρμοδιοτήτων μεταξύ των μελών του προσωπικού, ώστε ένα άτομο να μην μπορεί να έχει πλήρη γνώση ή έλεγχο των βασικών σημείων ασφαλείας του συστήματος, ούτως ώστε να απαιτείται η συνεργία δύο ή περισσότερων ατόμων για την αλλοίωση ή τη σκόπιμη υποβάθμιση του συστήματος ή του δικτύου.

46.

Οι χώροι υπολογιστών και ανεξάρτητων τερματικών/σταθμών εργασίας (όπως ορίζονται στις παραγράφους 29 και 30), όπου διεκπεραιώνονται, με υπολογιστή, πληροφορίες με διαβάθμιση τουλάχιστον CONFIDENTIEL UE, ή όπου είναι δυνατή η πρόσβαση σε παρόμοιες πληροφορίες, συγκροτούνται ως ζώνες ασφαλείας κατηγορίας I ή II ΕΕ ή ισοδύναμης εθνικής κατηγορίας, κατά περίπτωση.

47.

Στους χώρους υπολογιστών και ανεξάρτητων τερματικών/σταθμών εργασίας από τους οποίους είναι δυνατόν να τροποποιηθεί η ασφάλεια του συστήματος δεν πρέπει να υπάρχει ένας μόνον εξουσιοδοτημένος υπάλληλος ή μέλος του λοιπού προσωπικού.

48.

Όλες οι πληροφορίες και το υλικό που επιτρέπουν τον έλεγχο της πρόσβασης σε ένα σύστημα προστατεύονται με ρυθμίσεις που αντιστοιχούν στην υψηλότερη διαβάθμιση και κατηγορία των πληροφοριών στις οποίες παρέχουν πρόσβαση.

49.

Όταν δεν χρησιμοποιούνται πλέον για το σκοπό αυτόν, οι πληροφορίες και το υλικό ελέγχου της πρόσβασης καταστρέφονται σύμφωνα με τις παραγράφους 61 έως 63.

50.

Ο συντάκτης των πληροφοριών πρέπει να προσδιορίζει και να διαβαθμίζει τα έγγραφα που περιέχουν πληροφορίες, είτε πρόκειται για τυπωμένα έγγραφα είτε για πληροφορικά υποθέματα αποθήκευσης. Η διαβάθμιση πρέπει να αναγράφεται στο άνω και το κάτω μέρος κάθε σελίδας τυπωμένου εγγράφου. Τα παραγόμενα έγγραφα, είτε είναι τυπωμένα είτε είναι υποθέματα αποθήκευσης υπολογιστή, πρέπει να έχουν την ίδια διαβάθμιση με την ανώτερη διαβάθμιση των πληροφοριών που χρησιμοποιούνται για την παραγωγή τους. Ο τρόπος λειτουργίας ενός ΣΥΣΤΗΜΑΤΟΣ ενδέχεται να επηρεάζει τη διαβάθμιση των εγγράφων που παράγονται με αυτό.

51.

Ένας οργανισμός και οι κάτοχοι πληροφοριών του πρέπει να εξετάζουν τα προβλήματα σώρευσης επιμέρους στοιχείων πληροφοριών και των συμπερασμάτων που είναι δυνατόν να αντληθούν από τα συσχετιζόμενα στοιχεία, και να αποφασίζουν εάν είναι σκόπιμο να διαβαθμίζεται το σύνολο πληροφοριών με υψηλότερο βαθμό ασφαλείας.

52.

Το γεγονός ότι οι πληροφορίες ενδέχεται να είναι κωδικός συντομογραφίας, κωδικός διαβίβασης ή οποιαδήποτε άλλη μορφή δυαδικής απεικόνισης δεν προσφέρει καμιά προστασία της ασφάλειας και, συνεπώς, δεν πρέπει να επηρεάζει τη διαβάθμιση των πληροφοριών.

53.

Όταν οι πληροφορίες μεταφέρονται από ένα σύστημα σε άλλο, οι πληροφορίες πρέπει να προστατεύονται κατά τη μεταφορά και στο δεχόμενο σύστημα κατά τρόπο ανάλογο προς την αρχική διαβάθμιση και βαθμό ασφαλείας των πληροφοριών αυτών.

54.

Ο χειρισμός όλων των πληροφορικών υποθεμάτων αποθήκευσης πρέπει να είναι ανάλογος προς την ανώτερη διαβάθμιση των αποθηκευμένων πληροφοριών ή την ετικέτα του υποθέματος, πρέπει δε να προστατεύονται πάντοτε καταλλήλως.

55.

Τα επαναχρησιμοποιήσιμα υποθέματα αποθήκευσης υπολογιστών που χρησιμοποιούνται για την αποθήκευση διαβαθμισμένων πληροφοριών ΕΕ διατηρούν την ανώτερη διαβάθμιση για την οποία χρησιμοποιήθηκαν ποτέ μέχρις ότου οι πληροφορίες αυτές υποχαρακτηριστούν ή αποχαρακτηριστούν και τα υποθέματα αναχαρακτηριστούν ανάλογα, ή τα υποθέματα αποχαρακτηριστούν και καταστραφούν σύμφωνα με εγκεκριμένη διαδικασία της ΓΓΣ ή εθνική διαδικασία (βλέπε παραγράφους 61 έως 63).

56.

Η πρόσβαση σε πληροφορίες με διαβάθμιση τουλάχιστον SECRET UE καταχωρείται σε αυτόματα (ίχνη ελέγχου) ή χειρόγραφα μητρώα. Τα μητρώα αυτά διατηρούνται σύμφωνα με τους προκειμένους κανονισμούς ασφαλείας.

57.

Τα διαβαθμισμένα έγγραφα ΕΕ που διατηρούνται σε χώρο υπολογιστών μπορούν να αντιμετωπίζονται σαν ένα διαβαθμισμένο αντικείμενο και δεν χρειάζεται να καταχωρούνται, εφόσον το υλικό φέρει αναγνωριστικά στοιχεία και σήμανση της διαβάθμισής του και ελέγχεται κατάλληλα.

58.

Όταν από σύστημα που διεκπεραιώνει διαβαθμισμένες πληροφορίες ΕΕ παράγονται έγγραφα που διαβιβάζονται σε ανεξάρτητο τερματικό/σταθμό εργασίας σε χώρο υπολογιστών, θεσπίζονται διαδικασίες, εγκεκριμένες από την ΑΠΑ, για τον έλεγχο των εγγράφων που παράγονται στο ανεξάρτητο τερματικό/σταθμό εργασίας. Για τα υλικά με διαβάθμιση τουλάχιστον SECRET UE, οι διαδικασίες αυτές περιλαμβάνουν συγκεκριμένες οδηγίες για το άτομο που είναι υπεύθυνο για τις πληροφορίες αυτές.

59.

Όλα τα αφαιρετά πληροφορικά υποθέματα αποθήκευσης με διαβάθμιση τουλάχιστον CONFIDENTIEL UE πρέπει να αντιμετωπίζονται σαν υλικό και υπόκεινται στους γενικούς κανόνες. Οι κατάλληλες επισημάνσεις αναγνώρισης και διαβάθμισης πρέπει να είναι προσαρμοσμένες στη συγκεκριμένη υλική μορφή των υποθεμάτων, ώστε να είναι δυνατή η σαφής αναγνώρισή τους.

60.

Οι χρήστες πρέπει να φροντίζουν ότι οι διαβαθμισμένες πληροφορίες ΕΕ αποθηκεύονται σε υποθέματα με την κατάλληλη επισήμανση διαβάθμισης και προστασία. Θα θεσπιστούν διαδικασίες για να εξασφαλίζεται ότι, για όλα τα επίπεδα των πληροφοριών ΕΕ, οι πληροφορίες αποθηκεύονται σε πληροφορικά υποθέματα αποθήκευσης σύμφωνα με τους προκειμένους κανονισμούς ασφαλείας.

61.

Τα πληροφορικά υποθέματα αποθήκευσης που χρησιμοποιούνται για την καταγραφή διαβαθμισμένων πληροφοριών ΕΕ μπορούν να υποχαρακτηρίζονται ή να αποχαρακτηρίζονται εφόσον εφαρμόζονται εγκεκριμένες διαδικασίες της ΓΓΣ ή εθνικές διαδικασίες.

62.

Τα πληροφορικά υποθέματα αποθήκευσης στα οποία είχαν αποθηκευθεί πληροφορίες TRÈS SECRET UE/EU TOP SECRET ή ειδικής κατηγορίας δεν αποχαρακτηρίζονται προς επαναχρησιμοποίηση.

63.

Εάν τα πληροφορικά υποθέματα αποθήκευσης δεν είναι δυνατόν να αποχαρακτηριστούν ή δεν είναι επαναχρησιμοποιήσιμα, καταστρέφονται σύμφωνα με εγκεκριμένη διαδικασία της ΓΓΣ ή εθνική διαδικασία.

64.

Όταν διαβαθμισμένες πληροφορίες ΕΕ διαβιβάζονται με ηλεκτρομαγνητικά μέσα, λαμβάνονται ειδικά μέτρα για να προστατεύεται η εμπιστευτικότητα, η ακεραιότητα και η διαθεσιμότητα των διαβιβαζόμενων πληροφοριών. Η ΑΠΑ καθορίζει τις απαιτήσεις για την προστασία των διαβιβαζόμενων πληροφοριών από ανίχνευση και υποκλοπή. Οι πληροφορίες που διαβιβάζονται μέσω επικοινωνιακού συστήματος προστατεύονται βάσει των απαιτήσεων εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας.

65.

Όταν απαιτούνται κρυπτογραφικές μέθοδοι για να εξασφαλίζεται η προστασία της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας, οι μέθοδοι αυτές ή τα σχετικά προϊόντα εγκρίνονται ειδικά για το σκοπό αυτόν από την ΑΠΑ.

66.

Κατά τη διαβίβαση, η εμπιστευτικότητα των πληροφοριών με διαβάθμιση τουλάχιστον SECRET UE προστατεύεται με κρυπτογραφικές μεθόδους ή προϊόντα που εγκρίνει το Συμβούλιο βάσει σχετικής συστάσεως της Επιτροπής Ασφαλείας του Συμβουλίου. Κατά τη διαβίβαση, η εμπιστευτικότητα των πληροφοριών με διαβάθμιση CONFIDENTIEL UE ή RESTREINT UE προστατεύεται με κρυπτογραφικές μεθόδους ή προϊόντα που εγκρίνονται, είτε από τον ΓΓ/ΥΕ βάσει σχετικής συστάσεως της Επιτροπής Ασφαλείας του Συμβουλίου είτε από κράτος μέλος.

67.

Σε ειδικές οδηγίες ασφαλείας που εγκρίνονται από το Συμβούλιο βάσει σχετικής συστάσεως της Επιτροπής Ασφαλείας του Συμβουλίου καθορίζονται λεπτομερείς κανόνες για τη διαβίβαση διαβαθμισμένων πληροφοριών ΕΕ.

68.

Υπό εξαιρετικές επιχειρησιακές περιστάσεις, πληροφορίες με διαβάθμιση RESTREINT UE, CONFIDENTIEL UE και SECRET UE επιτρέπεται να διαβιβάζονται ακρυπτογράφητες, υπό την προϋπόθεση ότι χορηγείται ρητή άδεια για κάθε περίπτωση. Οι εξαιρετικές αυτές περιστάσεις είναι οι εξής:

69.

Ένα σύστημα πρέπει να έχει τη δυνατότητα να απαγορεύει ρητά την πρόσβαση σε διαβαθμισμένες πληροφορίες ΕΕ μέσω οποιουδήποτε ή όλων των ανεξάρτητων σταθμών εργασίας ή τερματικών του, όταν απαιτείται, είτε με υλική αποσύνδεση είτε μέσω ειδικών χαρακτηριστικών του λογισμικού που εγκρίνονται από την ΑΠΑ.

70.

Η αρχική εγκατάσταση και οι σημαντικές αλλαγές των συστημάτων καθορίζονται κατά τρόπον ώστε η εγκατάσταση να πραγματοποιείται από εγκαταστάτες με διαβάθμιση ασφαλείας υπό τη συνεχή εποπτεία προσωπικού με τα δέοντα τεχνικά προσόντα το οποίο είναι διαβαθμισμένο για πρόσβαση σε διαβαθμισμένες πληροφορίες ΕΕ μέχρις επιπέδου που ισοδυναμεί προς την ανώτερη διαβάθμιση των πληροφοριών που θα αποθηκεύει και θα χειρίζεται το σύστημα.

71.

Όλος ο εξοπλισμός εγκαθίσταται σύμφωνα με την τρέχουσα πολιτική περί ασφαλείας του Συμβουλίου.

72.

Τα συστήματα που χειρίζονται πληροφορίες με διαβάθμιση τουλάχιστον CONFIDENTIEL UE προστατεύονται κατά τρόπον ώστε η ασφάλειά τους να μην απειλείται από διαρρέουσες εκπομπές, η μελέτη και ο έλεγχος των οποίων αναφέρονται ως «TEMPEST».

73.

Τα αντίμετρα TEMPEST της ΓΓΣ και των αποκεντρωμένων οργανισμών της ΕΕ εξετάζονται και εγκρίνονται από αρχή TEMPEST που ορίζεται από την Αρχή Ασφαλείας της ΓΓΣ. Για τις εθνικές εγκαταστάσεις οι οποίες χειρίζονται διαβαθμισμένες πληροφορίες ΕΕ, εγκρίνουσα αρχή είναι η αναγνωρισμένη εθνική εγκρίνουσα αρχή TEMPEST.

74.

Οι SecOP καθορίζουν τις αρχές που πρέπει να θεσπίζονται για θέματα ασφαλείας, τις ακολουθητέες διαδικασίες λειτουργίας και τις ευθύνες του προσωπικού. Οι SecOP εκπονούνται υπό την ευθύνη της Αρχής Λειτουργίας του Συστήματος Πληροφορικής.

75.

Η προστασία ασφαλείας των προγραμμάτων εφαρμογών καθορίζεται βάσει μιας αξιολόγησης της διαβάθμισης ασφαλείας του ίδιου του προγράμματος και όχι των πληροφοριών που χειρίζεται. Οι χρησιμοποιούμενες εκδόσεις λογισμικού πρέπει να ελέγχονται τακτικά για να εξασφαλίζεται η ακεραιότητά τους και η ορθή λειτουργία τους.

76.

Νέες ή τροποποιημένες εκδόσεις λογισμικού δεν πρέπει να χρησιμοποιούνται για το χειρισμό διαβαθμισμένων πληροφοριών ΕΕ πριν ελεγχθούν από την ITSOA.

77.

Ο έλεγχος της παρουσίας δόλιου λογισμικού/πληροφορικών ιών διενεργείται τακτικά σύμφωνα με τις απαιτήσεις της ΑΠΑ.

78.

Πριν εισαχθούν σε οποιοδήποτε σύστημα, όλα τα πληροφορικά υποθέματα αποθήκευσης που διαβιβάζονται στη ΓΓΣ ή στους αποκεντρωμένους οργανισμούς της ΕΕ πρέπει να ελέγχονται για την παρουσία τυχόν δόλιου λογισμικού ή πληροφορικών ιών.

79.

Οι συμβάσεις και οι διαδικασίες για την προγραμματισμένη και την έκτακτη συντήρηση των συστημάτων για τα οποία έχει εκπονηθεί SSRS πρέπει να ορίζουν τις απαιτήσεις και τις ρυθμίσεις για την είσοδο του προσωπικού συντήρησης και του εξοπλισμού του σε χώρο υπολογιστών.

80.

Οι απαιτήσεις πρέπει να αναφέρονται σαφώς στην SSRS, οι δε διαδικασίες πρέπει να αναφέρονται σαφώς στις SecOP. Η συντήρηση από συμβασιούχο για την οποία απαιτούνται διαγνωστικές διαδικασίες με τηλεπρόσβαση επιτρέπεται μόνον σε εξαιρετικές περιπτώσεις, υπό αυστηρό έλεγχο ασφαλείας, και μόνον με την έγκριση της ΑΠΑ.

81.

Κάθε προϊόν ασφαλείας, το οποίο πρόκειται να αγοραστεί για να χρησιμοποιηθεί με το σύστημα, πρέπει είτε να έχει αξιολογηθεί και πιστοποιηθεί, είτε να τελεί ήδη υπό αξιολόγηση και έγκριση από αρμόδιο φορέα αξιολόγησης ή πιστοποίησης βάσει διεθνώς αναγνωρισμένων κριτηρίων (π.χ. των Κοινών Κριτηρίων για την Αξιολόγηση της Ασφαλείας της Πληροφορικής Τεχνολογίας, βλέπε ISO 15408).

82.

Όταν αποφασίζεται η μίσθωση αντί της αγοράς εξοπλισμού, ιδίως δε πληροφορικών υποθεμάτων αποθήκευσης, πρέπει να λαμβάνεται υπόψη το γεγονός ότι ο εξοπλισμός αυτός, αφού χρησιμοποιηθεί για το χειρισμό διαβαθμισμένων πληροφοριών ΕΕ, δεν μπορεί να απελευθερώνεται σε μη καταλλήλως ασφαλές περιβάλλον αν δεν αποχαρακτηριστεί προηγουμένως βάσει εγκρίσεως της ΑΠΑ, και ότι η έγκριση αυτή ενδέχεται να μην είναι πάντοτε δυνατή.

93.

Οι μικροϋπολογιστές/προσωπικοί υπολογιστές (PC) με σκληρούς δίσκους (ή άλλα υποθέματα μη πτητικής αποθήκευσης), οι οποίοι λειτουργούν είτε ανεξάρτητα είτε ως μέρος δικτύου, καθώς και οι φορητές υπολογιστικές συσκευές (π.χ. φορητοί PC και ηλεκτρονικά «σημειωματάρια») με σταθερούς σκληρούς δίσκους, θεωρούνται ως υποθέματα αποθήκευσης πληροφοριών όπως και οι δισκέτες ή τα άλλα αφαιρετά υποθέματα αποθήκευσης.

94.

Οι συσκευές αυτές προστατεύονται, όσον αφορά την πρόσβαση, το χειρισμό, την αποθήκευση και τη μεταφορά, ανάλογα με τον ανώτερο βαθμό ασφαλείας των πληροφοριών τις οποίες έχουν ποτέ αποθηκεύσει ή επεξεργαστεί (μέχρις ότου υποχαρακτηριστούν ή αποχαρακτηριστούν σύμφωνα με εγκεκριμένες διαδικασίες).

95.

Απαγορεύεται η χρήση ιδιωτικών αφαιρετών πληροφορικών υποθεμάτων αποθήκευσης, λογισμικού και υλικού πληροφορικής (π.χ. PC και φορητών υπολογιστικών συσκευών) με δυνατότητα αποθήκευσης για το χειρισμό διαβαθμισμένων πληροφοριών ΕΕ.

96.

Απαγορεύεται η εισαγωγή ιδιωτικού υλικού υπολογιστών, λογισμικού και υποθεμάτων σε χώρους κατηγορίας I ή II όπου γίνεται χειρισμός διαβαθμισμένων πληροφοριών ΕΕ χωρίς την άδεια του προϊσταμένου της υπηρεσίας Ασφαλείας της ΓΓΣ ή ενός υπουργείου κράτους μέλους ή του αντίστοιχου αποκεντρωμένου οργανισμού της ΕΕ.

97.

Η χρήση συσκευών πληροφορικής και λογισμικού που ανήκουν σε εργολάβους σε οργανώσεις προς υποστήριξη επίσημων εργασιών του Συμβουλίου μπορεί να επιτρέπεται από τον προϊστάμενο της Υπηρεσίας Ασφαλείας της ΓΓΣ ή ενός υπουργείου κράτους μέλους ή του αντίστοιχου αποκεντρωμένου οργανισμού της ΕΕ. Είναι δυνατόν επίσης να επιτρέπεται η χρήση, από υπαλλήλους της ΓΓΣ ή ενός αποκεντρωμένου οργανισμού της ΕΕ, συσκευών πληροφορικής και λογισμικού που παρέχονται από αρχή κράτους μέλους· στην περίπτωση αυτήν, οι συσκευές πληροφορικής καταχωρούνται στον κατάλληλο κατάλογο της ΓΓΣ. Και στις δύο περιπτώσεις, εάν οι συσκευές πληροφορικής πρόκειται να χρησιμοποιηθούν για το χειρισμό διαβαθμισμένων πληροφοριών ΕΕ, πρέπει να ζητείται η γνώμη της αρμόδιας ΑΠΑ ώστε να λαμβάνονται δεόντως υπόψη και να εφαρμόζονται τα στοιχεία INFOSEC που ισχύουν για τη χρήση των συσκευών αυτών.

1.

Η κοινοποίηση διαβαθμισμένων πληροφοριών ΕΕ σε τρίτα κράτη ή διεθνείς οργανισμούς αποφασίζεται από το Συμβούλιο βάσει:

Ζητάται η συμφωνία του κράτους μέλους που συνέταξε τις προς κοινοποίηση διαβαθμισμένες πληροφορίες ΕΕ.

2.

Οι αποφάσεις αυτές λαμβάνονται κατά περίπτωση, ανάλογα με:

3.

Η αποδοχή, από τρίτα κράτη ή διεθνείς οργανισμούς, διαβαθμισμένων πληροφοριών ΕΕ συνεπάγεται την εγγύηση ότι οι πληροφορίες αυτές θα χρησιμοποιηθούν μόνον για τους σκοπούς που αιτιολογούν την κοινοποίηση ή ανταλλαγή πληροφοριών, και ότι τα κράτη ή οι οργανισμοί αυτοί θα παρέχουν την προστασία που απαιτεί το Συμβούλιο.

4.

Όταν το Συμβούλιο αποφασίσει ότι επιτρέπεται η κοινοποίηση ή ανταλλαγή διαβαθμισμένων πληροφοριών με συγκεκριμένο κράτος ή διεθνή οργανισμό, αποφασίζει και για το επίπεδο συνεργασίας το οποίο είναι δυνατό. Το επίπεδο αυτό εξαρτάται ιδίως από την πολιτική και τους κανονισμούς ασφαλείας που εφαρμόζει αυτό το κράτος ή οργανισμός.

5.

Προβλέπονται τρία επίπεδα συνεργασίας:

Επίπεδο 1Συνεργασία με τρίτα κράτη ή με διεθνείς οργανισμούς των οποίων η πολιτική και οι κανονισμοί ασφαλείας είναι πολύ παρόμοιοι με εκείνους της ΕΕ.

Επίπεδο 2Συνεργασία με τρίτα κράτη ή με διεθνείς οργανισμούς των οποίων η πολιτική και οι κανονισμοί ασφαλείας διαφέρουν σημαντικά από τους κοινοτικούς.

Επίπεδο 3Περιστασιακή συνεργασία με τρίτα κράτη ή με διεθνείς οργανισμούς των οποίων δεν είναι δυνατόν να αξιολογηθούν η πολιτική και οι κανονισμοί ασφαλείας.

6.

Σε κάθε επίπεδο συνεργασίας καθορίζονται οι κανονισμοί ασφαλείας, αναδιατυπωμένοι στις επιμέρους περιπτώσεις βάσει της τεχνικής γνώμης της Επιτροπής Ασφαλείας του Συμβουλίου, τους οποίους θα πρέπει να εφαρμόζουν οι δικαιούχοι για την προστασία των διαβαθμισμένων πληροφοριών που τους κοινοποιούνται. Αυτές οι διαδικασίες και κανονισμοί ασφαλείας εκτίθενται στα προσαρτήματα 4, 5 και 6.

7.

Όταν το Συμβούλιο αποφασίσει ότι υπάρχει μόνιμη ή μακροχρόνια ανάγκη ανταλλαγής διαβαθμισμένων πληροφοριών μεταξύ της ΕΕ και τρίτων κρατών ή άλλων διεθνών οργανισμών, καταρτίζει με αυτούς «συμφωνίες για διαδικασίες ασφαλείας για την ανταλλαγή διαβαθμισμένων πληροφοριών», στις οποίες ορίζονται ο σκοπός της συνεργασίας και οι αμοιβαίοι κανόνες για την προστασία των ανταλλασσόμενων πληροφοριών.

8.

Στην περίπτωση της συνεργασίας επιπέδου 3, η οποία, εξ ορισμού, έχει περιορισμένη χρονική διάρκεια και σκοπό, αντί της «συμφωνίας για διαδικασίες ασφαλείας για την ανταλλαγή διαβαθμισμένων πληροφοριών», είναι δυνατόν να καταρτίζεται απλό μνημόνιο συμφωνίας στο οποίο ορίζονται η φύση των προς ανταλλαγή διαβαθμισμένων πληροφοριών και οι αμοιβαίες υποχρεώσεις όσον αφορά τις πληροφορίες αυτές, υπό την προϋπόθεση ότι η διαβάθμιση των πληροφοριών αυτών δεν υπερβαίνει το RESTREINT UE.

9.

Πριν υποβληθούν προς έγκριση στο Συμβούλιο, τα σχέδια συμφωνιών για τις διαδικασίες ασφαλείας ή τα μνημόνια συμφωνίας εγκρίνονται από την Επιτροπή Ασφαλείας.

10.

Οι εθνικές αρχές ασφαλείας παρέχουν στο Γενικό Γραμματέα/Ύπατο Εκπρόσωπο κάθε απαιτούμενη βοήθεια για να εξασφαλίζεται ότι οι προς κοινοποίηση πληροφορίες θα χρησιμοποιούνται και θα προστατεύονται σύμφωνα με τις διατάξεις των συμφωνιών για τις διαδικασίες ασφαλείας ή των μνημονίων συμφωνίας.

Telephone Secretariat

:

+ 32/2/519 05 74

Telephone Presidency

:

+ 32/2/501 82 20

+ 32/2/501 87 10

Fax

:

+ 32/2/519 05 96

Tel.

:

(420) 257 28 33 35

Fax

:

(420) 257 28 31 10

Telephone

:

(45) 33 14 88 88

Fax

:

(45) 33 43 01 90

Telephone

:

(45) 33 32 55 66

Fax

:

(45) 33 93 13 20

Telefon

:

+ 49-1-888 681 15 26

Fax

:

+ 49-1-888 681 558 06

Telephone

:

+ 372/717 00 30

+ 372/717 00 31

+ 372/717 00 77

Fax

:

+ 372/717 00 01

Τηλέφωνα

:

(30-210) 657 20 09 (ώρες γραφείου)

(30-210) 657 20 10 (ώρες γραφείου)

Φαξ

:

(30-210) 642 64 32

(30-210) 652 76 12

Telephone

:

(30-210) 657 20 09 (office hours)

(30-210) 657 20 10 (office hours)

Fax

:

(30-210) 642 64 32

(30-210) 652 76 12

Telephone

:

+ 34/913 72 57 07

+ 34/913 72 50 27

Fax

:

+ 34/913 72 58 08

Telephone

:

+ 33/1/71 75 81 77

Fax

:

+ 33/1/71 75 82 00

Telephone

(353-1) 478 08 22

Fax

(353-1) 478 14 84

Telephone

:

+ 39/06/611 742 66

Fax

:

+ 39/06/488 52 73

Τηλέφωνα

:

(357-22) 80 75 69

(357-22) 80 75 19

(357-22) 80 77 64

Φαξ

:

(357-22) 30 23 51

Telephone

:

(357-22) 80 75 69

(357-22) 80 75 19

(357-22) 80 77 64

Fax

:

(357-22) 30 23 51

Telephone

:

+ 371/702 54 18

Fax

:

+ 371/702 54 54

Telephone

:

+ 370/5/266 32 01

Fax

:

+ 370/5/266 32 00

Telephone

:

+ 352/478 22 10 central

+ 352/478 22 35 direct

Fax

:

+ 352/478 22 43

+ 352/478 22 71

Telephone

:

+ 361/346 96 52

Fax

:

+ 361/346 96 58

Telephone

:

+ 356/21 24 98 44

Fax

:

+ 356/21 23 53 00

Telephone

:

(31-70) 320 44 00

Fax

:

(31-70) 320 07 33

Telephone

:

(31-70) 318 70 60

Fax

:

(31-70) 318 75 22

Telefon

:

+ 43-1-531 15 23 96

Fax

:

+ 43-1-531 15 25 08

Telephone

:

+ 48/22/684 13 62

Fax

:

+ 48/22/684 10 76

Telephone

:

+ 48/22/585 73 60

Fax

:

+ 48/22/585 85 09

Tel.

:

(351) 21 301 17 10

Fax

:

(351) 21 303 17 11

Tel.:

(386-1) 426 91 20

Faks:

(386-1) 426 91 21

Telephone

:

+ 421/2/68 69 23 14

Fax

:

+ 421/2/68 69 17 00

Telephone

:

(358-9) 16 05 53 38

Fax

:

(358-9) 16 05 53 03

Telephone

:

+ 46/8/405 54 44

Fax

:

+ 46/8/723 11 76

Telephone

(44-207) 930 87 68

Fax

(44-207) 821 86 04

1.

Το Συμβούλιο είναι αρμόδιο για την κοινοποίηση διαβαθμισμένων πληροφοριών ΕΕ σε χώρες που δεν έχουν υπογράψει τη συνθήκη για την Ευρωπαϊκή Ένωση ή σε άλλους διεθνείς οργανισμούς, των οποίων η πολιτική και οι κανονισμοί ασφαλείας είναι παρόμοιοι προς τους κοινοτικούς.

2.

Το Συμβούλιο μπορεί να μεταβιβάζει την αρμοδιότητα για τη λήψη απόφασης για την κοινοποίηση διαβαθμισμένων πληροφοριών. Στην πράξη μεταβίβασης πρέπει να αναφέρονται η φύση των πληροφοριών που επιτρέπεται να κοινοποιηθούν και ο βαθμός διαβάθμισής τους, ο οποίος, κατά κανόνα, δεν πρέπει να υπερβαίνει το CONFIDENTIEL UE.

3.

Υπό την προϋπόθεση ότι έχει συναφθεί συμφωνία ασφαλείας, οι αιτήσεις κοινοποίησης διαβαθμισμένων πληροφοριών ΕΕ υποβάλλονται στο Γενικό Γραμματέα/Ύπατο Εκπρόσωπο από τους φορείς ασφαλείας των ενδιαφερόμενων κρατών ή διεθνών οργανισμών, οι οποίοι πρέπει να δηλώνουν τους σκοπούς για τους οποίους προορίζεται η κοινοποίηση αυτή και τη φύση των προς κοινοποίηση διαβαθμισμένων πληροφοριών.

Αιτήσεις είναι δυνατόν να υποβάλλονται και από κράτος μέλος ή αποκεντρωμένο οργανισμό της ΕΕ που κρίνουν επιθυμητή την κοινοποίηση διαβαθμισμένων πληροφοριών ΕΕ· στις αιτήσεις αυτές πρέπει να αναφέρονται οι στόχοι και τα πλεονεκτήματα της κοινοποίησης αυτής για την ΕΕ, και να προσδιορίζεται η φύση και η διαβάθμιση των προς κοινοποίηση πληροφοριών.

4.

Η αίτηση εξετάζεται από τη ΓΓΣ, η οποία:

5.

Η ΓΓΣ διαβιβάζει την αίτηση και τη σύσταση της Υπηρεσίας Ασφαλείας στο Συμβούλιο προκειμένου να ληφθεί σχετική απόφαση.

6.

Ο Γενικός Γραμματέας/Ύπατος Εκπρόσωπος ενημερώνει τα δικαιούχα κράτη ή διεθνείς οργανισμούς για την απόφαση του Συμβουλίου να επιτρέψει την κοινοποίηση διαβαθμισμένων πληροφοριών ΕΕ, διαβιβάζοντας ταυτόχρονα τα απαιτούμενα αντίγραφα των προκειμένων κανονισμών ασφαλείας. Εάν η αίτηση έχει υποβληθεί από κράτος μέλος, το κράτος αυτό ενημερώνει το δικαιούχο της επιτρεπόμενης κοινοποίησης.

Η απόφαση κοινοποίησης αρχίζει να ισχύει μόνον όταν οι δικαιούχοι εγγυηθούν γραπτώς ότι:

7.

Προσωπικό

8.

Διαβίβαση εγγράφων

9.

Καταχώρηση

Μόλις μια γραμματεία παραλάβει έγγραφο ΕΕ με διαβάθμιση τουλάχιστον CONFIDENTIEL UE, το καταχωρεί σε ειδικό μητρώο που τηρεί ο οργανισμός, στις στήλες του οποίου αναγράφονται η ημερομηνία παραλαβής, τα στοιχεία του εγγράφου (ημερομηνία, αριθμός αναφοράς και αριθμός αντιτύπου), η διαβάθμιση του, ο τίτλος του, το ονοματεπώνυμο και ο τίτλος του αποδέκτη, η ημερομηνία επιστροφής της απόδειξης και η ημερομηνία επιστροφής του εγγράφου στον συντάκτη ΕΕ ή η ημερομηνία καταστροφής του.

10.

Καταστροφή

11.

Προστασία των εγγράφων

Πρέπει να λαμβάνεται κάθε μέτρο για να αποτρέπεται η πρόσβαση μη εξουσιοδοτημένων ατόμων στις διαβαθμισμένες πληροφορίες ΕΕ.

12.

Αντίγραφα, μεταφράσεις και αποσπάσματα

Απαγορεύονται να παράγονται φωτοαντίγραφα, μεταφράσεις ή αποσπάσματα εγγράφων CONFIDENTIEL UE ή SECRET UE χωρίς την άδεια του προϊσταμένου του οργανισμού ασφαλείας, ο οποίος καταχωρεί και ελέγχει αυτά τα αντίγραφα, μεταφράσεις ή αποσπάσματα και τα σφραγίζει, εφόσον απαιτείται.

Η αναπαραγωγή ή μετάφραση εγγράφου TRÈS SECRET UE/EU TOP SECRET μπορεί να επιτρέπεται μόνον από την συντάκτρια αρχή, η οποία και ορίζει τον αριθμό επιτρεπόμενων αντιτύπων· εάν είναι αδύνατο να προσδιοριστεί η συντάκτρια αρχή, το αίτημα παραπέμπεται στην Υπηρεσία Ασφαλείας της ΓΓΣ.

13.

Παραβιάσεις των κανόνων ασφαλείας

Όταν έχουν παραβιαστεί οι κανόνες ασφαλείας για ένα διαβαθμισμένο έγγραφο ΕΕ ή όταν υπάρχουν σχετικές υπόνοιες, λαμβάνονται αμέσως τα ακόλουθα μέτρα, υπό την προϋπόθεση ότι έχει συναφθεί συμφωνία ασφαλείας:

14.

Επιθεωρήσεις

Η Υπηρεσία Ασφαλείας της ΓΓΣ έχει το δικαίωμα, βάσει συμφωνίας με τα ενδιαφερόμενα κράτη ή διεθνείς οργανισμούς, να αξιολογεί την αποτελεσματικότητα των μέτρων προστασίας των κοινοποιούμενων διαβαθμισμένων πληροφοριών ΕΕ.

15.

Εκθέσεις

Υπό την προϋπόθεση ότι έχει συναφθεί συμφωνία ασφαλείας, καθ' όλο το διάστημα κατά το οποίο το κράτος ή ο διεθνής οργανισμός διατηρούν στην κατοχή τους διαβαθμισμένες πληροφορίες ΕΕ, υποβάλλουν ετήσια έκθεση, σε ημερομηνία που καθορίζεται όταν χορηγείται η άδεια κοινοποίησης των πληροφοριών, με την οποία επιβεβαιώνεται ότι τηρούνται οι προκείμενοι κανονισμοί ασφαλείας.

1.

Η αρμοδιότητα για την κοινοποίηση διαβαθμισμένων πληροφοριών ΕΕ σε τρίτα κράτη ή διεθνείς οργανισμούς, των οποίων η πολιτική και οι κανονισμοί ασφαλείας διαφέρουν σημαντικά από τους κοινοτικούς, ανήκει στο Συμβούλιο. Κατ' αρχήν, επιτρέπεται να κοινοποιούνται μόνον πληροφορίες με διαβάθμιση το πολύ SECRET UE, αλλά απαγορεύεται η κοινοποίηση εθνικών πληροφοριών που προορίζονται αποκλειστικά για τα κράτη μέλη καθώς και κατηγοριών διαβαθμισμένων πληροφοριών ΕΕ που προστατεύονται με ειδική επισήμανση.

2.

Το Συμβούλιο μπορεί να μεταβιβάζει την αρμοδιότητα για τη λήψη απόφασης. Κατά τη μεταβίβαση, το Συμβούλιο, υπό την προϋπόθεση ότι τηρούνται οι όροι της παραγράφου 1, αναφέρει τη φύση των πληροφοριών που επιτρέπεται να κοινοποιηθούν και το βαθμό διαβάθμισής τους, ο οποίος, κατά κανόνα, δεν πρέπει να υπερβαίνει το RESTREINT UE.

3.

Υπό την προϋπόθεση ότι έχει συναφθεί συμφωνία ασφαλείας, οι αιτήσεις κοινοποίησης διαβαθμισμένων πληροφοριών ΕΕ υποβάλλονται στο Γενικό Γραμματέα/Ύπατο Εκπρόσωπο από τους φορείς ασφαλείας των ενδιαφερόμενων κρατών ή διεθνών οργανισμών, οι οποίοι πρέπει να δηλώνουν τους σκοπούς για τους οποίους προορίζεται η κοινοποίηση αυτή καθώς και τη φύση και τη διαβάθμιση των προς κοινοποίηση πληροφοριών.

Αιτήσεις είναι δυνατόν να υποβάλλονται και από κράτος μέλος ή αποκεντρωμένο οργανισμό της ΕΕ που επιθυμούν την κοινοποίηση διαβαθμισμένων πληροφοριών ΕΕ· στις αιτήσεις αυτές πρέπει να αναφέρονται οι στόχοι και τα πλεονεκτήματα της κοινοποίησης αυτής για την ΕΕ, και να προσδιορίζεται η φύση και διαβάθμιση των προς κοινοποίηση πληροφοριών.

4.

Η αίτηση εξετάζεται από τη ΓΓΣ η οποία:

5.

Η τεχνική γνώμη της Επιτροπής Ασφαλείας του Συμβουλίου αφορά τα εξής:

6.

Ο Γενικός Γραμματέας/Ύπατος Εκπρόσωπος διαβιβάζει, προκειμένου να ληφθεί απόφαση, στο Συμβούλιο τόσο την αίτηση όσο και την τεχνική γνώμη της Επιτροπής Ασφαλείας του Συμβουλίου που έχει λάβει η Υπηρεσία Ασφαλείας της ΓΓΣ.

7.

Η απόφαση του Συμβουλίου να επιτρέψει την κοινοποίηση διαβαθμισμένων πληροφοριών ΕΕ ανακοινώνεται στις δικαιούχες χώρες ή διεθνείς οργανισμούς από το Γενικό Γραμματέα/Ύπατο Εκπρόσωπο, μαζί με πίνακα στον οποίον συγκρίνονται οι διαβαθμίσεις που ισχύουν στην ΕΕ με εκείνους που ισχύουν στα συγκεκριμένα κράτη ή οργανισμούς. Εάν η αίτηση έχει υποβληθεί από κράτος μέλος, το κράτος αυτό ενημερώνει το δικαιούχο της επιτρεπόμενης κοινοποίησης.

Η απόφαση κοινοποίησης αρχίζει να ισχύει μόνον όταν οι δικαιούχοι εγγυηθούν γραπτώς ότι:

8.

Οι ακόλουθοι κανόνες προστασίας θεσπίζονται εκτός εάν το Συμβούλιο, αφού λάβει την τεχνική γνώμη της Επιτροπής Ασφαλείας του Συμβουλίου, αποφασίσει ειδική διαδικασία για το χειρισμό των διαβαθμισμένων εγγράφων ΕΕ (διαγραφή των ενδείξεων διαβάθμισης ΕΕ, ειδικών επισημάνσεων κ.λπ.).

Στην περίπτωση αυτή, οι κανόνες προσδιορίζονται αναλόγως.

9.

Προσωπικό

10.

Διαβίβαση εγγράφων

11.

Καταχώρηση κατά την άφιξη

Η Εθνική Αρχή Ασφαλείας του παραλήπτη κράτους ή ο ομόλογος φορέας του κράτους που παραλαμβάνει, εξ ονόματος της κυβέρνησής του τις διαβαθμισμένες πληροφορίες που κοινοποιεί η ΕΕ, ή το γραφείο ασφαλείας του παραλήπτη διεθνούς οργανισμού, τηρεί ειδικό μητρώο για την καταχώρηση των διαβαθμισμένων πληροφοριών ΕΕ κατά την παραλαβή τους. Στις στήλες του μητρώου αυτού αναγράφονται η ημερομηνία παραλαβής, τα στοιχεία του εγγράφου (ημερομηνία, αριθμός αναφοράς και αριθμός αντιτύπου), η διαβάθμισή του, ο τίτλος του, το ονοματεπώνυμο και ο τίτλος του παραλήπτη, η ημερομηνία επιστροφής της απόδειξης και η ημερομηνία επιστροφής του εγγράφου στην ΕΕ ή καταστροφής του.

12.

Επιστροφή εγγράφων

Όταν ο αποδέκτης επιστρέφει ένα διαβαθμισμένο έγγραφο στο Συμβούλιο ή στο κράτος μέλος το οποίου του το κοινοποίησε, ακολουθεί τη διαδικασία της παραγράφου 10.

13.

Προστασία

14.

Υλική ασφάλεια

15.

Παραβάσεις των κανόνων ασφαλείας

Όταν έχουν παραβιαστεί οι κανόνες ασφαλείας για ένα διαβαθμισμένο έγγραφο ΕΕ ή όταν υπάρχουν σχετικές υπόνοιες, λαμβάνονται αμέσως τα ακόλουθα μέτρα:

16.

Επιθεωρήσεις

Η Υπηρεσία Ασφαλείας της ΓΓΣ έχει το δικαίωμα, βάσει συμφωνίας με τα ενδιαφερόμενα κράτη ή διεθνείς οργανισμούς, να αξιολογεί την αποτελεσματικότητα των μέτρων προστασίας των κοινοποιούμενων διαβαθμισμένων πληροφοριών ΕΕ.

17.

Εκθέσεις

Καθ' όλο το διάστημα κατά το οποίο το κράτος ή ο διεθνής οργανισμός διατηρούν στην κατοχή τους διαβαθμισμένες πληροφορίες ΕΕ, υποβάλλουν ετήσια έκθεση, σε ημερομηνία που καθορίζεται όταν χορηγείται η άδεια κοινοποίησης των πληροφοριών, με την οποία επιβεβαιώνεται ότι οι προκείμενοι κανονισμοί ασφαλείας τηρήθηκαν.

1.

Ενίοτε, το Συμβούλιο ενδέχεται να συνεργαστεί, υπό ορισμένες συγκεκριμένες περιστάσεις, με κράτη ή οργανισμούς που δεν μπορούν μεν να παράσχουν τις εγγυήσεις που απαιτούνται βάσει των προκειμένων κανονισμών ασφαλείας, η συνεργασία όμως με τα οποία απαιτεί την κοινοποίηση διαβαθμισμένων πληροφοριών ΕΕ. Από την κοινοποίηση αυτήν αποκλείονται οι εθνικές πληροφορίες που προορίζονται αποκλειστικά για τα κράτη μέλη.

2.

Στις ειδικές αυτές περιστάσεις, οι αιτήσεις συνεργασίας με την ΕΕ, είτε προέρχονται από τρίτα κράτη ή διεθνείς οργανισμούς είτε προτείνονται από κράτη μέλη ή, ανάλογα με την περίπτωση, αποκεντρωμένους οργανισμούς της ΕΕ, εξετάζονται κατ' αρχάς ως προς την ουσία τους από το Συμβούλιο, το οποίο, εφόσον απαιτείται, ζητά τη γνώμη του κράτους μέλους ή του αποκεντρωμένου οργανισμού από τον οποίο προέρχονται οι πληροφορίες. Το Συμβούλιο εξετάζει εάν είναι σκόπιμο να κοινοποιηθούν διαβαθμισμένες πληροφορίες, εκτιμά την «ανάγκη γνώσης» των δικαιούχων, και αποφαίνεται ως προς τη φύση των διαβαθμισμένων πληροφοριών που επιτρέπεται να κοινοποιηθούν.

3.

Εάν το Συμβούλιο λάβει θετική απόφαση, ο Γενικός Γραμματέας/Ύπατος Εκπρόσωπος συγκαλεί την Επιτροπή Ασφαλείας του Συμβουλίου ή να ζητεί τη γνώμη των Αρχών Εθνικής Ασφαλείας των κρατών μελών, ενδεχομένως μέσω της διαδικασίας σιωπηρής συναίνεσης, προκειμένου να λάβει την τεχνική γνώμη της Επιτροπής Ασφαλείας.

4.

Η τεχνική γνώμη της Επιτροπής Ασφαλείας του Συμβουλίου αφορά τα εξής:

5.

Τα έγγραφα που κοινοποιούνται στα κράτη ή οργανισμούς που καλύπτονται από το παρόν προσάρτημα συντάσσονται, κατ' αρχήν, χωρίς αναφορά της πηγής ή της διαβάθμισης EU. Η Επιτροπή Ασφαλείας του Συμβουλίου μπορεί να συνιστά:

6.

Η Υπηρεσία Ασφαλείας της ΓΓΣ υποβάλλει την τεχνική γνώμη της Επιτροπής Ασφαλείας στο Συμβούλιο, επισυνάπτοντας, εφόσον απαιτείται, τις προτεινόμενες μεταβιβάσεις αρμοδιότητας που απαιτούνται για την εκτέλεση του συγκεκριμένου έργου, ιδίως σε επείγουσες περιστάσεις.

7.

Όταν το Συμβούλιο εγκρίνει την κοινοποίηση των διαβαθμισμένων πληροφοριών ΕΕ και τις διαδικασίες πρακτικής εφαρμογής, η Υπηρεσία Ασφαλείας της ΓΓΣ πραγματοποιεί τις απαιτούμενες επαφές με τον φορέα ασφαλείας του ενδιαφερόμενου κράτους ή οργανισμού για να διευκολύνει την εφαρμογή των προτεινόμενων μέτρων ασφαλείας.

8.

Ως έγγραφο αναφοράς, η Υπηρεσία Ασφαλείας της ΓΓΣ κυκλοφορεί, σε όλα τα κράτη μέλη και, ανάλογα με την περίπτωση, του ενδιαφερόμενου αποκεντρωμένου οργανισμού της ΕΕ, πίνακα στον οποίον συνοψίζονται η φύση και η διαβάθμιση των πληροφοριών και αναφέρονται οι οργανισμοί και οι χώρες στις οποίες επιτρέπεται να κοινοποιηθούν, σύμφωνα με τη σχετική απόφαση του Συμβουλίου.

9.

Η Εθνική Αρχή Ασφαλείας του κοινοποιούντος κράτους μέλους, ή η Υπηρεσία Ασφαλείας της ΓΓΣ λαμβάνουν όλα τα απαιτούμενα μέτρα για να διευκολύνουν την μετέπειτα αξιολόγηση τυχόν ζημιών και την επανεξέταση των διαδικασιών.

10.

Όποτε τροποποιούνται οι συνθήκες συνεργασίας, το θέμα παραπέμπεται εκ νέου στο Συμβούλιο.

11.

Η απόφαση του Συμβουλίου να επιτρέψει την κοινοποίηση διαβαθμισμένων πληροφοριών ΕΕ ανακοινώνεται στις δικαιούχες χώρες ή διεθνείς οργανισμούς από το Γενικό Γραμματέα/Ύπατο Εκπρόσωπο, μαζί με τους λεπτομερείς κανόνες προστασίας που προτείνει η Επιτροπή Ασφαλείας του Συμβουλίου. Εάν η αίτηση έχει υποβληθεί από κράτος μέλος, το κράτος αυτό ενημερώνει το δικαιούχο της επιτρεπόμενης κοινοποίησης.

Η απόφαση αρχίζει να ισχύει μόνον όταν οι δικαιούχοι εγγυηθούν γραπτώς ότι:

12.

Διαβίβαση εγγράφων

13.

Καταχώρηση κατά την άφιξη

Η Εθνική Αρχή Ασφαλείας του παραλήπτη κράτους ή ο ομόλογος φορέας του κράτους που παραλαμβάνει, εξ ονόματος της κυβέρνησής του τις διαβαθμισμένες πληροφορίες που κοινοποιεί η ΕΕ, ή το γραφείο ασφαλείας του παραλήπτη διεθνούς οργανισμού, τηρεί ειδικό μητρώο για την καταχώρηση των διαβαθμισμένων πληροφοριών ΕΕ κατά την παραλαβή τους. Στις στήλες του μητρώου αυτού αναγράφονται η ημερομηνία παραλαβής, τα στοιχεία του εγγράφου (ημερομηνία, αριθμός αναφοράς και αριθμός αντιτύπου), η διαβάθμιση του, ο τίτλος του, το ονοματεπώνυμο ή ο τίτλος του παραλήπτη, η ημερομηνία επιστροφής της απόδειξης και η ημερομηνία επιστροφής της απόδειξης στην ΕΕ ή καταστροφής του εγγράφου.

14.

Χρήση και προστασία των ανταλλασσόμενων διαβαθμισμένων πληροφοριών

15.

Καταστροφή

Τα έγγραφα που δεν χρειάζονται πλέον πρέπει να καταστρέφονται. Για τα έγγραφα RESTREINT UE και CONFIDENTIEL UE, πραγματοποιείται σχετική εγγραφή στα ειδικά μητρώα. Για τα έγγραφα SECRET UE, συντάσσονται πρωτόκολλα καταστροφής τα οποία υπογράφονται από δύο άτομα που παρίστανται κατά την καταστροφή τους.

16.

Παραβίαση των κανόνων ασφαλείας

Όταν έχουν διαρρεύσει πληροφορίες CONFIDENTIEL UE ή SECRET UE ή όταν υπάρχουν σχετικές υπόνοιες, η Εθνική Αρχή Ασφαλείας του κράτους ή ο προϊστάμενος ασφαλείας του οργανισμού ερευνούν τις περιστάσεις της διαρροής. Εάν τα αποτελέσματα της έρευνας είναι θετικά, ενημερώνεται η συντάκτρια αρχή. Λαμβάνονται τα απαιτούμενα μέτρα για τη διόρθωση των ακατάλληλων διαδικασιών ή μεθόδων αποθήκευσης, εάν η διαρροή οφείλεται σε αυτές. Ο Γενικός Γραμματέας/Ύπατος Εκπρόσωπος ή η ΕΑΑ του κράτους μέλους που κοινοποίησε τις διαρρεύσασες πληροφορίες μπορεί να ζητά λεπτομέρειες της έρευνας από το δικαιούχο.