α)

TRES SECRET UE/EU TOP SECRET: πληροφορίες και υλικό των οποίων η άνευ αδείας κοινολόγηση μπορεί να προξενήσει εξαιρετικά σοβαρή ζημία στα ζωτικά συμφέροντα της Ευρωπαϊκής Ένωσης ή ενός ή περισσότερων κρατών μελών.

β)

SECRET UE/EU SECRET: πληροφορίες και υλικό των οποίων η άνευ αδείας κοινολόγηση μπορεί να βλάψει σοβαρά τα ζωτικά συμφέροντα της Ευρωπαϊκής Ένωσης ή ενός ή περισσότερων κρατών μελών της·

γ)

CONFIDENTIEL UE/EU CONFIDENTIAL: πληροφορίες και υλικό των οποίων η άνευ αδείας κοινολόγηση μπορεί να βλάψει τα ζωτικά συμφέροντα της Ευρωπαϊκής Ένωσης ή ενός ή περισσότερων κρατών μελών της·

δ)

RESTREINT UE/EU RESTRICTED: πληροφορίες και υλικό των οποίων η άνευ αδείας κοινολόγηση μπορεί να είναι αντίθετη προς τα συμφέροντα της Ευρωπαϊκής Ένωσης ή ενός ή περισσότερων κρατών μελών της.

—

των διαβαθμισμένων πληροφοριών που λαμβάνει η ΕΥΕΔ, και

—

του υλικού πηγής που περιλαμβάνεται στις διαβαθμισμένες πληροφορίες που προέρχονται από την ΕΥΕΔ.

—

έχουν ανάγκη γνώσης,

—

για πρόσβαση σε πληροφορίες με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή υψηλότερη, έχουν λάβει εξουσιοδότηση ασφάλειας του αντίστοιχου επιπέδου ή άλλη κατάλληλη εξουσιοδότηση βάσει των καθηκόντων τους σύμφωνα με τις εθνικές νομοθετικές και κανονιστικές διατάξεις, και

—

έχουν ενημερωθεί σχετικά με τις ευθύνες τους.

α)

κατά κανόνα, οι ΔΠΕΕ διαβιβάζονται με ηλεκτρονικά μέσα που προστατεύονται από κρυπτογραφικά προϊόντα τα οποία έχουν εγκριθεί σύμφωνα με το άρθρο 7 παράγραφος 5 της παρούσας απόφασης και σύμφωνα με σαφώς καθορισμένες λειτουργικές διαδικασίες ασφάλειας (ΕΔΑ)·

β)

όταν δεν χρησιμοποιούνται τα μέσα που αναφέρονται στο στοιχείο α), οι ΔΠΕΕ μεταφέρονται:

α)

μια αρχή ΔΠ (ΑΔΠ)·

β)

μια αρχή TEMPEST (ΑΤ)·

γ)

μια αρχή έγκρισης κρυπτογραφικών μεθόδων (ΑΕΚΜ)·

δ)

μια αρχή διανομής κρυπτογραφικών μεθόδων (ΑΔΚΜ).

α)

μια αρχή πιστοποίησης της ασφάλειας (ΑΠΑ)

β)

μια επιχειρησιακή αρχή ΔΠ.

α)

υφίσταται ισχύουσα συμφωνία ασφάλειας πληροφοριών μεταξύ της ΕΕ και του εν λόγω τρίτου κράτους ή διεθνούς οργανισμού, η οποία έχει συναφθεί σύμφωνα με το άρθρο 37 της ΣΕΕ και το άρθρο 218 της ΣΛΕΕ, ή

β)

έχει τεθεί σε εφαρμογή διοικητικός διακανονισμός μεταξύ του ύπατου εκπροσώπου και των αρμόδιων αρχών ασφάλειας του εν λόγω τρίτου κράτους ή διεθνούς οργανισμού, για την ανταλλαγή πληροφοριών με διαβάθμιση που, καταρχήν, δεν υπερβαίνει το επίπεδο RESTREINT UE/EU RESTRICTED, σύμφωνα με τη διαδικασία που ορίζεται στο άρθρο 14 παράγραφος 5 της παρούσας απόφασης, ή

γ)

εφαρμόζεται συμφωνία-πλαίσιο συμμετοχής ή ad hoc συμφωνία συμμετοχής μεταξύ της ΕΕ και του εν λόγω τρίτου κράτους στο πλαίσιο μιας επιχείρησης ΚΠΑΑ για την αντιμετώπιση κρίσεων, που έχει συναφθεί σύμφωνα με το άρθρο 37 της ΣΕΕ και το άρθρο 218 της ΣΛΕΕ

α)

να αξιολογηθεί η τυχόν ζημία που προκλήθηκε στα συμφέροντα της ΕΕ ή των κρατών μελών·

β)

να ληφθούν τα κατάλληλα μέτρα για να αποτραπεί τυχόν επανάληψη·

γ)

να διαφυλαχθούν τα αποδεικτικά στοιχεία·

δ)

να διασφαλιστεί ότι η υπόθεση διερευνάται από προσωπικό που δεν σχετίζεται άμεσα με την παραβίαση προκειμένου να διαπιστωθούν τα πραγματικά περιστατικά·

ε)

να ειδοποιηθούν οι αρμόδιες αρχές για τις επιπτώσεις του συμβάντος και τα μέτρα που ελήφθησαν, και

στ)

να ενημερωθεί ο φορέας προέλευσης.

1.

Το παρόν παράρτημα περιέχει διατάξεις για την εφαρμογή του άρθρου 5 του παραρτήματος Α. Συγκεκριμένα, παραθέτει τα κριτήρια που εφαρμόζει η ΕΥΕΔ προκειμένου να εξακριβώνει κατά πόσον μπορεί να επιτραπεί σε ένα πρόσωπο, βάσει της νομιμοφροσύνης, της φερεγγυότητας και της αξιοπιστίας του, η πρόσβαση σε ΔΠΕΕ, καθώς και τις διαδικασίες έρευνας και διοικητικές διαδικασίες που ακολουθούνται εν προκειμένω.

2.

Η «εξουσιοδότηση ασφάλειας προσωπικού» (ΕΑΠ) για πρόσβαση σε ΔΠΕΕ είναι μια δήλωση της αρμόδιας αρχής ενός κράτους μέλους που διατυπώνεται μετά την ολοκλήρωση έρευνας ασφάλειας που διενεργείται από τις αρμόδιες αρχές του κράτους μέλους και πιστοποιεί ότι ένα πρόσωπο μπορεί, εφόσον έχει εξακριβωθεί η «ανάγκη γνώσης» του, να αποκτήσει πρόσβαση σε ΔΠΕΕ με διαβάθμιση έως ένα συγκεκριμένο επίπεδο (CONFIDENTIEL UE/EU CONFIDENTIAL ή ανώτερο) μέχρι μια συγκεκριμένη ημερομηνία· το εν λόγω πρόσωπο θεωρείται, κατά τον τρόπο αυτόν, ότι έχει λάβει εξουσιοδότηση ασφάλειας.

3.

Το «πιστοποιητικό εξουσιοδότησης ασφάλειας προσωπικού» (ΠΕΑΠ) είναι ένα πιστοποιητικό που εκδίδεται από την αρχή ασφάλειας της ΕΥΕΔ, αποδεικνύει ότι ένα πρόσωπο έχει λάβει εξουσιοδότηση ασφάλειας και αναφέρει το επίπεδο διαβάθμισης των ΔΠΕΕ στις οποίες μπορεί να χορηγηθεί πρόσβαση στο εν λόγω πρόσωπο, την ημερομηνία ισχύος της σχετικής ΕΑΠ και την ημερομηνία λήξης του πιστοποιητικού.

4.

Η «άδεια πρόσβασης σε ΔΠΕΕ» είναι μια άδεια που παρέχει η αρχή ασφάλειας της ΕΥΕΔ σύμφωνα με την παρούσα απόφαση, αφού εκδοθεί ΕΑΠ από τις αρμόδιες αρχές ενός κράτους μέλους, και η οποία πιστοποιεί ότι ένα πρόσωπο, υπό την προϋπόθεση ότι έχει εξακριβωθεί η «ανάγκη γνώσης» του, μπορεί να αποκτήσει πρόσβαση σε ΔΠΕΕ έως ένα συγκεκριμένο επίπεδο (CONFIDENTIEL UE/EU CONFIDENTIAL ή ανώτερο) μέχρι μια συγκεκριμένη ημερομηνία· το εν λόγω πρόσωπο θεωρείται, κατά τον τρόπο αυτόν, ότι έχει λάβει εξουσιοδότηση ασφάλειας.

5.

Η πρόσβαση σε πληροφορίες με διαβάθμιση RESTREINT UE/EU RESTRICTED δεν απαιτεί εξουσιοδότηση ασφάλειας και παρέχεται εφόσον:

6.

Ένα πρόσωπο μπορεί να λάβει άδεια πρόσβασης σε πληροφορίες με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή υψηλότερη μόνο εφόσον:

7.

Η ΕΥΕΔ προσδιορίζει τις θέσεις εργασίας στο πλαίσιο της δομής της που απαιτούν πρόσβαση σε πληροφορίες με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή υψηλότερη και, ως εκ τούτου, απαιτούν ΕΑΠ του αντίστοιχου επιπέδου, όπως αναφέρεται στο άρθρο 4 παραπάνω.

8.

Κάθε μέλος του προσωπικού της ΕΥΕΔ δηλώνει εάν έχει την υπηκοότητα περισσότερων από μίας χωρών.

9.

Για το προσωπικό της ΕΥΕΔ, η αρμόδια για τους διορισμούς αρχή της ΕΥΕΔ διαβιβάζει το συμπληρωμένο ερωτηματολόγιο ασφάλειας προσωπικού στην ΕΑΑ του κράτους μέλους του οποίου υπήκοος είναι το ενδιαφερόμενο πρόσωπο, αιτούμενη να διενεργηθεί έρευνα ασφάλειας για το επίπεδο των ΔΠΕΕ στις οποίες το πρόσωπο θα χρειαστεί να αποκτήσει πρόσβαση.

10.

Όταν ένα πρόσωπο έχει την υπηκοότητα περισσότερων από μίας χωρών, το αίτημα ελέγχου θα απευθυνθεί στην ΕΑΑ της χώρας υπό την υπηκοότητα της οποίας προσλήφθηκε το εν λόγω πρόσωπο.

11.

Όταν γίνονται γνωστές στην ΕΥΕΔ πληροφορίες που είναι σημαντικές για την έρευνα ασφάλειας σχετικά με πρόσωπο που έχει υποβάλει αίτηση για ΕΑΠ, η ΕΥΕΔ, ενεργώντας σύμφωνα με τους οικείους κανόνες και κανονισμούς, ειδοποιεί σχετικά την αρμόδια ΕΑΑ.

12.

Μετά την ολοκλήρωση της έρευνας ασφάλειας, η αρμόδια ΕΑΑ κοινοποιεί στη διεύθυνση ασφάλειας της ΕΥΕΔ τα αποτελέσματα της εν λόγω έρευνας.

13.

Η έρευνα ασφάλειας μαζί με τα πορίσματά της, στα οποία βασίζεται η απόφαση της ΕΥΕΔ σχετικά με το κατά πόσον θα χορηγήσει άδεια πρόσβασης σε ΔΠΕΕ, υπόκειται στις νομοθετικές και κανονιστικές διατάξεις που ισχύουν εν προκειμένω στο οικείο κράτος μέλος, περιλαμβανομένων αυτών που αφορούν την άσκηση προσφυγών. Κατά των αποφάσεων της αρχής ασφάλειας της ΕΥΕΔ μπορούν να ασκηθούν προσφυγές σύμφωνα με τον κανονισμό υπηρεσιακής κατάστασης των υπαλλήλων της Ευρωπαϊκής Ένωσης και το καθεστώς που εφαρμόζεται επί του λοιπού προσωπικού της Ευρωπαϊκής Ένωσης, όπως ορίζεται στον κανονισμό (ΕΟΚ, Ευρατόμ, ΕΚΑΧ) αριθ. 259/68 (1) (στο εξής «κανονισμός υπηρεσιακής κατάστασης»).

14.

Η διαβεβαίωση στην οποία βασίζεται η ΕΑΠ, εφόσον διατηρεί την ισχύ της, καλύπτει την ανάθεση οιουδήποτε καθήκοντος στον ενδιαφερόμενο εντός της ΕΥΕΔ, της Γενικής Γραμματείας του Συμβουλίου ή της Επιτροπής.

15.

Αν η περίοδος υπηρεσίας ενός προσώπου δεν αρχίσει εντός 12 μηνών από την ανακοίνωση του αποτελέσματος της έρευνας ασφάλειας στην αρχή ασφάλειας της ΕΥΕΔ ή αν υπάρξει διακοπή 12 ή περισσότερων μηνών στην υπηρεσία του, κατά το οποίο διάστημα δεν έχει υπηρετήσει στην ΕΥΕΔ, σε άλλα θεσμικά και λοιπά όργανα και οργανισμούς της ΕΕ ή σε θέση της κρατικής διοίκησης κράτους μέλους που απαιτεί πρόσβαση σε διαβαθμισμένες πληροφορίες, το αποτέλεσμα παραπέμπεται στην αρμόδια ΕΑΑ προκειμένου να επιβεβαιωθεί ότι εξακολουθεί να είναι έγκυρο και κατάλληλο.

16.

Η ΕΥΕΔ, όταν ενημερώνεται για την ύπαρξη κινδύνου κατά της ασφάλειας εκ μέρους προσώπου που κατέχει έγκυρη ΕΑΠ, ειδοποιεί σχετικά την αρμόδια ΕΑΑ ενεργώντας σύμφωνα με τους οικείους κανόνες και κανονισμούς. Όταν μια ΕΑΑ κοινοποιεί στην ΕΥΕΔ την ανάκληση διαβεβαίωσης που έχει δοθεί σύμφωνα με την παράγραφο 12 στοιχείο α) για πρόσωπο που κατέχει έγκυρη άδεια πρόσβασης σε ΔΠΕΕ, η αρχή ασφάλειας της ΕΥΕΔ μπορεί να ζητήσει οποιαδήποτε διευκρίνιση μπορεί να παράσχει η ΕΑΑ σύμφωνα με τις οικείες εθνικές νομοθετικές και κανονιστικές διατάξεις. Εφόσον επιβεβαιωθούν οι αρνητικές πληροφορίες, ανακαλείται η προαναφερθείσα άδεια και απαγορεύεται η πρόσβαση του εν λόγω προσώπου σε ΔΠΕΕ και σε θέσεις όπου είναι δυνατή αυτή η πρόσβαση ή όπου μπορεί να θέσει σε κίνδυνο την ασφάλεια.

17.

Κάθε απόφαση ανάκλησης μιας άδειας πρόσβασης σε ΔΠΕΕ από μέλος του προσωπικού της ΕΥΕΔ καθώς και, όπου κρίνεται σκόπιμο, οι σχετικοί λόγοι κοινοποιούνται στον ενδιαφερόμενο, ο οποίος μπορεί να ζητήσει ακρόαση από την αρχή ασφάλειας της ΕΥΕΔ. Οι πληροφορίες που παρέχει η ΕΑΑ υπόκεινται στις νομοθετικές και κανονιστικές διατάξεις που ισχύουν εν προκειμένω στο οικείο κράτος μέλος, συμπεριλαμβανομένων εκείνων που αφορούν την άσκηση προσφυγών. Κατά των αποφάσεων της αρχής ασφάλειας της ΕΥΕΔ μπορούν να ασκηθούν προσφυγές σύμφωνα με τον κανονισμό υπηρεσιακής κατάστασης.

18.

Οι εθνικοί εμπειρογνώμονες που είναι αποσπασμένοι στην ΕΥΕΔ σε θέση που απαιτεί πρόσβαση σε πληροφορίες με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή υψηλότερη επιδεικνύουν έγκυρη ΕΑΠ για πρόσβαση σε ΔΠΕΕ του αντίστοιχου επιπέδου στην αρχή ασφάλειας της ΕΥΕΔ προτού αναλάβουν τα καθήκοντά τους. Την παραπάνω διαδικασία τη διαχειρίζεται το αποστέλλον κράτος μέλος.

19.

Η ΕΥΕΔ διατηρεί βάση δεδομένων σχετικά με το καθεστώς εξουσιοδότησης ασφάλειας όλων των μελών του προσωπικού που τελεί υπό την ευθύνη της, καθώς και του προσωπικού των εργολάβων της. Τα αρχεία αυτά περιλαμβάνουν το επίπεδο διαβάθμισης των ΔΠΕΕ στο οποίο επιτρέπεται να χορηγηθεί πρόσβαση στον ενδιαφερόμενο (CONFIDENTIEL UE/EU CONFIDENTIAL ή υψηλότερη), την ημερομηνία χορήγησης της ΕΑΠ και τη διάρκεια ισχύος της.

20.

Εφαρμόζονται κατάλληλες διαδικασίες συντονισμού με τα κράτη μέλη και άλλα θεσμικά και λοιπά όργανα και οργανισμούς της ΕΕ προκειμένου να διασφαλίζεται ότι η ΕΥΕΔ διατηρεί ακριβή και ολοκληρωμένα αρχεία του καθεστώτος εξουσιοδότησης ασφάλειας όλων των μελών του προσωπικού που τελεί υπό την ευθύνη της και του προσωπικού των εργολάβων της.

21.

Η αρχή ασφάλειας της ΕΥΕΔ μπορεί να εκδώσει πιστοποιητικό εξουσιοδότησης ασφάλειας προσωπικού (ΠΕΑΠ), στο οποίο αναφέρονται το επίπεδο διαβάθμισης ΔΠΕΕ στις οποίες δικαιούται πρόσβαση το εν λόγω πρόσωπο (CONFIDENTIEL UE/EU CONFIDENTIAL ή υψηλότερο), η ημερομηνία ισχύος της σχετικής ΕΑΠ και η ημερομηνία λήξης του πιστοποιητικού.

22.

Πρόσωπα δεόντως εξουσιοδοτημένα να έχουν πρόσβαση σε ΔΠΕΕ λόγω των καθηκόντων τους σύμφωνα με τις εθνικές νομοθετικές και κανονιστικές διατάξεις ενημερώνονται, κατά περίπτωση, από τη διεύθυνση ασφάλειας της ΕΥΕΔ σχετικά με τις υποχρεώσεις ασφάλειας που υπέχουν όσον αφορά την προστασία των ΔΠΕΕ.

23.

Προτού τους δοθεί άδεια πρόσβασης σε ΔΠΕΕ, όλα τα πρόσωπα δηλώνουν εγγράφως ότι έχουν κατανοήσει τις υποχρεώσεις τους όσον αφορά την προστασία των ΔΠΕΕ και τις συνέπειες εάν διαρρεύσουν οι εν λόγω πληροφορίες. Η ΕΥΕΔ τηρεί αρχείο αυτών των γραπτών δηλώσεων.

24.

Όλα τα πρόσωπα τα οποία επιτρέπεται να έχουν πρόσβαση σε ΔΠΕΕ ή να τις χειρίζονται λαμβάνουν γνώση από την αρχή, και κατά διαστήματα ενημερώνονται όσον αφορά τις απειλές για την ασφάλεια, ενώ οφείλουν να αναφέρουν αμέσως στις αρμόδιες αρχές ασφάλειας κάθε προσπάθεια προσέγγισής τους ή δραστηριότητα την οποία θεωρούν ύποπτη ή ασυνήθιστη.

25.

Όλα τα πρόσωπα στα οποία έχει χορηγηθεί πρόσβαση σε ΔΠΕΕ πρέπει να υπόκεινται σε συνεχή μέτρα ασφάλειας του προσωπικού (δηλαδή, μετέπειτα μέριμνα) καθόλη τη διάρκεια της περιόδου κατά την οποία χειρίζονται ΔΠΕΕ. Η συνεχής ασφάλεια του προσωπικού αποτελεί ευθύνη:

26.

Όλα τα πρόσωπα που παύουν να απασχολούνται σε καθήκοντα τα οποία απαιτούν πρόσβαση σε ΔΠΕΕ ενημερώνονται για τις υποχρεώσεις τους όσον αφορά τη συνεχή προστασία των ΔΠΕΕ και, εφόσον απαιτείται, τις αναγνωρίζουν γραπτώς.

27.

Για λόγους επείγοντος, όταν δικαιολογείται δεόντως βάσει των συμφερόντων της ΕΥΕΔ και εν αναμονή της ολοκλήρωσης πλήρους έρευνας ασφάλειας, η αρχή ασφάλειας της ΕΥΕΔ δύναται, κατόπιν συνεννόησης με την ΕΑΑ του κράτους μέλους του οποίου είναι υπήκοος το ενδιαφερόμενο πρόσωπο και ανάλογα με το αποτέλεσμα των προκαταρκτικών ελέγχων προκειμένου να επιβεβαιωθεί ότι δεν είναι γνωστή κάποια αρνητική πληροφορία, να χορηγήσει προσωρινή άδεια σε υπαλλήλους και λοιπό προσωπικό της ΕΥΕΔ προκειμένου να έχουν πρόσβαση σε ΔΠΕΕ για την εκτέλεση συγκεκριμένου καθήκοντος. Η πλήρης έρευνα ασφάλειας θα πρέπει να ολοκληρώνεται το συντομότερο δυνατό. Αυτές οι προσωρινές άδειες ισχύουν για διάστημα που δεν υπερβαίνει τους έξι μήνες και δεν επιτρέπουν την πρόσβαση σε πληροφορίες με διαβάθμιση TRES SECRET UE/EU TOP SECRET. Όλα τα πρόσωπα στα οποία έχει χορηγηθεί προσωρινή άδεια δηλώνουν εγγράφως ότι έχουν κατανοήσει τις υποχρεώσεις τους όσον αφορά την προστασία των ΔΠΕΕ και τις συνέπειες σε περίπτωση διαρροής ΔΠΕΕ. Η ΕΥΕΔ τηρεί αρχείο αυτών των γραπτών δηλώσεων.

28.

Όταν ένα πρόσωπο πρόκειται να τοποθετηθεί σε θέση η οποία απαιτεί ΕΑΠ επιπέδου κατά μία βαθμίδα υψηλότερου από αυτή την οποία διαθέτει, τοποθετείται προσωρινά στην εν λόγω θέση υπό τους ακόλουθους όρους:

29.

Η ανωτέρω διαδικασία χρησιμοποιείται για μία και μόνη πρόσβαση σε ΔΠΕΕ επιπέδου κατά μία βαθμίδα υψηλότερου από αυτό για το οποίο το πρόσωπο έχει λάβει εξουσιοδότηση ασφάλειας. Η διαδικασία αυτή δεν χρησιμοποιείται κατ’ επανάληψη.

30.

Σε πολύ εξαιρετικές περιστάσεις, όπως αποστολές σε εχθρικό περιβάλλον ή σε περιόδους αυξανόμενης διεθνούς έντασης, εφόσον αυτό απαιτείται λόγω έκτακτων μέτρων, ιδίως προκειμένου να σωθούν ζωές, ο ύπατος εκπρόσωπος, ο εκτελεστικός γενικός γραμματέας ή ο γενικός διευθυντής μπορούν να επιτρέπουν, ει δυνατόν γραπτώς, την πρόσβαση σε πληροφορίες με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή SECRET UE/EU SECRET προσώπων που δεν διαθέτουν την απαιτούμενη ΕΑΠ, υπό τον όρο ότι η άδεια αυτή είναι απολύτως αναγκαία και ότι δεν υπάρχουν εύλογες αμφιβολίες ως προς τη νομιμοφροσύνη, τη φερεγγυότητα και την αξιοπιστία των συγκεκριμένων προσώπων. H άδεια αυτή φυλάσσεται σε αρχείο, μαζί με περιγραφή των πληροφοριών για τις οποίες εγκρίθηκε η πρόσβαση.

31.

Στην περίπτωση πληροφοριών με διαβάθμιση TRES SECRET UE/EU TOP SECRET, η εν λόγω έκτακτη πρόσβαση περιορίζεται στους υπηκόους κρατών μελών της ΕΕ στους οποίους έχει χορηγηθεί άδεια πρόσβασης είτε στο αντίστοιχο εθνικό επίπεδο του TRES SECRET UE/EU TOP SECRET είτε σε πληροφορίες με διαβάθμιση SECRET UE/EU SECRET.

32.

Η επιτροπή ασφάλειας της ΕΥΕΔ ενημερώνεται για τις περιπτώσεις στις οποίες χρησιμοποιείται η διαδικασία των παραγράφων 29 και 30.

33.

Η επιτροπή ασφάλειας της ΕΥΕΔ λαμβάνει ετήσια έκθεση σχετικά με τη χρησιμοποίηση των διαδικασιών που παρατίθενται στο παρόν τμήμα.

34.

Τα πρόσωπα στα οποία έχει ανατεθεί να συμμετέχουν σε συνεδριάσεις στην έδρα της ΕΥΕΔ και σε αντιπροσωπείες της Ένωσης κατά τις οποίες συζητούνται πληροφορίες με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή υψηλότερη μπορούν να το πράξουν μόνο έπειτα από επιβεβαίωση του καθεστώτος ΕΑΠ που τους έχει χορηγηθεί. Για τους εκπροσώπους των κρατών μελών, τους υπαλλήλους από τη Γενική Γραμματεία του Συμβουλίου (ΓΓΣ) και την Επιτροπή, ένα ΠΕΑΠ ή άλλο αποδεικτικό ΕΑΠ διαβιβάζεται από τις αρμόδιες αρχές στη διεύθυνση ασφάλειας της ΕΥΕΔ, στον συντονιστή ασφάλειας της αντιπροσωπείας της Ένωσης ή, σε εξαιρετικές περιπτώσεις, παραδίδεται από το ίδιο το ενδιαφερόμενο πρόσωπο. Εφόσον συντρέχει περίπτωση, μπορεί να χρησιμοποιείται ενοποιημένος κατάλογος ονομάτων, όπου αναγράφεται το σχετικό αποδεικτικό ΕΑΠ.

35.

Όταν ανακαλείται η ΕΑΠ για πρόσβαση σε ΔΠΕΕ προσώπου του οποίου τα καθήκοντα απαιτούν συμμετοχή σε συνεδριάσεις στην έδρα της ΕΥΕΔ ή σε αντιπροσωπεία της Ένωσης κατά τις οποίες συζητούνται πληροφορίες με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL, η ΕΥΕΔ ενημερώνεται σχετικά από την αρμόδια αρχή.

36.

Όταν πρόσωπα πρόκειται να απασχοληθούν υπό περιστάσεις υπό τις οποίες ενδέχεται να έχουν πρόσβαση σε πληροφορίες με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή υψηλότερη, λαμβάνουν την προσήκουσα εξουσιοδότηση ασφάλειας ή συνοδεύονται συνεχώς.

37.

Οι μεταφορείς, οι φύλακες και οι συνοδοί λαμβάνουν εξουσιοδότηση ασφάλειας του αντίστοιχου επιπέδου ή ελέγχονται αναλόγως σύμφωνα με τις εθνικές νομικές και κανονιστικές διατάξεις, και ενημερώνονται σε τακτά χρονικά διαστήματα σχετικά με τις διαδικασίες ασφάλειας για την προστασία των ΔΠΕΕ, καθώς και σχετικά την υποχρέωσή τους να προστατεύουν τις πληροφορίες που περιέρχονται στην κατοχή τους ή στις οποίες μπορεί να απέκτησαν ακουσίως πρόσβαση.

1.

Το παρόν παράρτημα περιέχει διατάξεις για την εφαρμογή του άρθρου 6 του παραρτήματος Α. Ορίζει τις ελάχιστες απαιτήσεις για τη φυσική προστασία των εγκαταστάσεων, των κτιρίων, των γραφείων, των αιθουσών και άλλων χώρων όπου γίνεται χειρισμός και αποθήκευση ΔΠΕΕ, συμπεριλαμβανομένων των χώρων που στεγάζουν ΣΕΠ.

2.

Τα μέτρα υλικής ασφάλειας αποσκοπούν στην αποτροπή της μη εξουσιοδοτημένης πρόσβασης σε ΔΠΕΕ με τους εξής τρόπους:

3.

Η ΕΥΕΔ εφαρμόζει διαδικασία διαχείρισης κινδύνων για την προστασία των ΔΠΕΕ στις εγκαταστάσεις της προκειμένου να διασφαλίζει την παροχή επίπεδου φυσικής προστασίας ανάλογου με τον εκτιμώμενο κίνδυνο. Κατά τη διαδικασία διαχείρισης κινδύνων συνεκτιμώνται όλοι οι σχετικοί παράγοντες, και ειδικότερα:

4.

Η αρχή ασφάλειας της ΕΥΕΔ, εφαρμόζοντας την έννοια της ασφάλειας σε βάθος, καθορίζει τον δέοντα εφαρμοστέο συνδυασμό μέτρων υλικής ασφάλειας. Στα μέτρα αυτά περιλαμβάνονται ένα ή περισσότερα από τα ακόλουθα:

5.

Η διεύθυνση ασφάλειας της ΕΥΕΔ δύναται να διενεργεί έρευνες κατά την είσοδο και έξοδο με σκοπό την αποτροπή μη εξουσιοδοτημένης εισαγωγής υλικού ή μη εξουσιοδοτημένης αφαίρεσης ΔΠΕΕ από εγκαταστάσεις ή κτίρια.

6.

Όταν ενέχεται κίνδυνος λαθροβλεψίας, έστω και τυχαίας, των ΔΠΕΕ, λαμβάνονται τα δέοντα μέτρα για την αποτροπή του.

7.

Οι απαιτήσεις υλικής ασφάλειας και λειτουργίας των νέων εγκαταστάσεων καθορίζονται στο πλαίσιο του γενικού και κατασκευαστικού σχεδιασμού τους. Για τις ήδη υπάρχουσες εγκαταστάσεις, οι απαιτήσεις υλικής ασφάλειας εφαρμόζονται στον μέγιστο δυνατό βαθμό.

8.

Κατά την απόκτηση εξοπλισμού (όπως φωριαμών ασφάλειας, μηχανών καταστροφής εγγράφων, κλειδαριών θυρών, ηλεκτρονικών συστημάτων ελέγχου πρόσβασης, IDS, συστημάτων συναγερμού) για τη φυσική προστασία των ΔΠΕΕ, η αρχή ασφάλειας της ΕΥΕΔ μεριμνά ώστε ο εξοπλισμός να ανταποκρίνεται στα εγκεκριμένα τεχνικά πρότυπα και τις ελάχιστες απαιτήσεις.

9.

Οι τεχνικές προδιαγραφές του εξοπλισμού που χρησιμοποιείται για τη φυσική προστασία των ΔΠΕΕ ορίζονται σε κατευθυντήριες γραμμές ασφάλειας που εγκρίνονται από την αρχή ασφάλειας της ΕΥΕΔ.

10.

Τα συστήματα ασφάλειας επιθεωρούνται σε τακτά χρονικά διαστήματα και ο εξοπλισμός συντηρείται τακτικά. Στη συντήρηση λαμβάνεται υπόψη το αποτέλεσμα των επιθεωρήσεων ώστε να διασφαλίζεται ότι ο εξοπλισμός εξακολουθεί να λειτουργεί άριστα.

11.

Η αποτελεσματικότητα κάθε μέτρου ασφάλειας και ολόκληρου του συστήματος ασφάλειας επαναξιολογείται σε κάθε επιθεώρηση.

12.

Δύο τύποι χώρων που τυγχάνουν φυσικής προστασίας, ή οι εθνικοί αντίστοιχοί τους, καθορίζονται για τη φυσική προστασία των ΔΠΕΕ:

13.

Η αρχή ασφάλειας της ΕΥΕΔ κρίνει αν ένας χώρος καλύπτει τις απαιτήσεις ώστε να χαρακτηριστεί διοικητικός χώρος, χώρος ασφάλειας ή χώρος τεχνικής ασφάλειας.

14.

Για τους διοικητικούς χώρους:

15.

Για τους χώρους ασφάλειας:

16.

Όταν η είσοδος σε χώρο ασφάλειας συνιστά, στην πράξη, άμεση πρόσβαση στις διαβαθμισμένες πληροφορίες που φυλάσσονται στον εν λόγω χώρο, ισχύουν οι ακόλουθες συμπληρωματικές απαιτήσεις:

17.

Οι χώροι ασφάλειας που προστατεύονται από τη λαθρακρόαση χαρακτηρίζονται ως χώροι τεχνικής ασφάλειας. Ισχύουν οι ακόλουθες συμπληρωματικές απαιτήσεις:

18.

Παρά τα οριζόμενα στην παράγραφο 17 στοιχείο δ), προτού χρησιμοποιηθούν σε χώρους όπου διεξάγονται συνεδριάσεις ή εργασίες που αφορούν πληροφορίες με διαβάθμιση SECRET UE/EU SECRET και υψηλότερη και σε περιστάσεις όπου η απειλή για τις ΔΠΕΕ θεωρείται σοβαρή, οι τηλεπικοινωνιακές συσκευές και ο ηλεκτρικός ή ηλεκτρονικός εξοπλισμός παντός είδους εξετάζονται καταρχάς από την αρχή ασφάλειας της ΕΥΕΔ για να διασφαλιστεί ότι δεν είναι δυνατή η μετάδοση καταληπτών πληροφοριών μέσω του εξοπλισμού αυτού, είτε ακούσια είτε παράνομα, πέραν της περιμέτρου του χώρου ασφάλειας.

19.

Οι χώροι ασφάλειας στους οποίους δεν υπάρχει προσωπικό υπηρεσίας επί 24ώρου βάσεως επιθεωρούνται, εφόσον είναι σκόπιμο, κατά τη λήξη του κανονικού ωραρίου εργασίας και σε τυχαία διαστήματα εκτός του κανονικού ωραρίου εργασίας, εκτός εάν είναι εξοπλισμένοι με IDS.

20.

Χώροι ασφάλειας και χώροι τεχνικής ασφάλειας μπορούν να δημιουργούνται προσωρινά εντός διοικητικού χώρου για τη διεξαγωγή διαβαθμισμένης συνεδρίασης ή κάθε άλλο παρόμοιο σκοπό.

21.

Για κάθε χώρο ασφάλειας καταρτίζονται λειτουργικές διαδικασίες ασφάλειας στις οποίες αναφέρονται:

22.

Εντός των χώρων ασφάλειας κατασκευάζονται θωρακισμένες αίθουσες. Οι τοίχοι, τα πατώματα, οι οροφές, τα παράθυρα και οι θύρες που κλειδώνουν εγκρίνονται από την αρχή ασφάλειας της ΕΥΕΔ και παρέχουν προστασία ισοδύναμη με φωριαμό ασφάλειας που έχει εγκριθεί για την αποθήκευση ΔΠΕΕ του ίδιου επιπέδου διαβάθμισης.

23.

Ο χειρισμός ΔΠΕΕ με διαβάθμιση RESTREINT UE/EU RESTRICTED μπορεί να διεξάγεται:

24.

Οι ΔΠΕΕ με διαβάθμιση RESTREINT UE/EU RESTRICTED αποθηκεύονται σε κατάλληλα έπιπλα γραφείου με κλειδαριά σε διοικητικό χώρο ή χώρο ασφάλειας. Μπορεί να αποθηκευθούν προσωρινά εκτός χώρου ασφάλειας ή διοικητικού χώρου, εφόσον ο κάτοχος έχει αναλάβει τη δέσμευση να συμμορφώνεται με τα αντισταθμιστικά μέτρα που καθορίζονται στις οδηγίες ασφάλειας που εκδίδει η αρχή ασφάλειας της ΕΥΕΔ.

25.

Ο χειρισμός ΔΠΕΕ με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή SECRET UE/EU SECRET μπορεί να διεξάγεται:

26.

Οι ΔΠΕΕ με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή SECRET UE/EU SECRET αποθηκεύονται εντός χώρου ασφάλειας, σε φωριαμό ασφάλειας ή σε θωρακισμένη αίθουσα.

27.

Ο χειρισμός ΔΠΕΕ με διαβάθμιση TRES SECRET UE/EU TOP SECRET διεξάγεται σε χώρο ασφάλειας.

28.

Οι ΔΠΕΕ με διαβάθμιση TRES SECRET UE/EU TOP SECRET αποθηκεύονται σε χώρο ασφάλειας στην έδρα της ΕΥΕΔ εφόσον ικανοποιείται μία από τις παρακάτω προϋποθέσεις:

29.

Οι κανόνες που διέπουν τη μεταφορά ΔΠΕΕ εκτός των χώρων που τυγχάνουν φυσικής προστασίας παρατίθενται στο παράρτημα Α ΙΙΙ.

30.

Η αρχή ασφάλειας της ΕΥΕΔ καθορίζει τις διαδικασίες για τη διαχείριση των κλειδιών και των συνδυασμών για τα γραφεία, τις αίθουσες, τις θωρακισμένες αίθουσες και τους φωριαμούς ασφάλειας. Οι διαδικασίες αυτές προστατεύουν από το ενδεχόμενο εισόδου μη εξουσιοδοτημένων ατόμων.

31.

Η απομνημόνευση των συνδυασμών γίνεται από τον μικρότερο δυνατό αριθμό ατόμων που πρέπει να τους γνωρίζει. Οι συνδυασμοί των φωριαμών ασφάλειας στους οποίους αποθηκεύονται οι ΔΠΕΕ αλλάζουν:

1.

Το παρόν παράρτημα περιέχει διατάξεις για την εφαρμογή του άρθρου 7 του παραρτήματος Α. Ορίζει τα διοικητικά μέτρα για τον έλεγχο των ΔΠΕΕ καθόλη τη διάρκεια του κύκλου ζωής τους προκειμένου να ενισχυθούν η αποτροπή και η ανίχνευση περιπτώσεων σκόπιμης ή τυχαίας διαρροής ή απώλειας των εν λόγω πληροφοριών, καθώς και η ανάκτησή τους.

2.

Οι πληροφορίες λαμβάνουν διαβάθμιση όταν απαιτείται προστασία του απόρρητου χαρακτήρα τους.

3.

Ο φορέας προέλευσης των ΔΠΕΕ είναι υπεύθυνος για τον ορισμό του επιπέδου διαβάθμισης ασφάλειας, σύμφωνα με τις σχετικές κατευθυντήριες γραμμές διαβάθμισης, καθώς και για την κοινοποίηση των πληροφοριών.

4.

Το επίπεδο διαβάθμισης των ΔΠΕΕ ορίζεται σύμφωνα με το άρθρο 2 παράγραφος 2 του παραρτήματος Α και με αναφορά στην πολιτική ασφάλειας που πρόκειται να εγκριθεί σύμφωνα με το άρθρο 3 παράγραφος 3 του παραρτήματος Α.

5.

Στις διαβαθμισμένες πληροφορίες των κρατών μελών που ανταλλάσσονται με την ΕΥΕΔ παρέχεται το ίδιο επίπεδο προστασίας με αυτό των ΔΠΕΕ που φέρουν την αντίστοιχη διαβάθμιση. Ένας πίνακας αντιστοιχίας παρέχεται στο προσάρτημα Β της απόφασης 2011/292/ΕΕ του Συμβουλίου, της 31ης Μαρτίου 2011, σχετικά με τους κανόνες ασφαλείας για την προστασία των διαβαθμισμένων πληροφοριών της ΕΕ.

6.

Η διαβάθμιση ασφάλειας και, κατά περίπτωση, η ημερομηνία ή το συγκεκριμένο γεγονός μετά το οποίο οι πληροφορίες υποχαρακτηρίστηκαν ή αποχαρακτηρίστηκαν επισημαίνονται με σαφήνεια και ορθότητα, ανεξάρτητα από το εάν οι ΔΠΕΕ παρέχονται σε έντυπη, προφορική, ηλεκτρονική ή άλλη μορφή.

7.

Επιμέρους τμήματα ενός συγκεκριμένου εγγράφου (δηλαδή, σελίδες, παράγραφοι, τμήματα, παραρτήματα και προσαρτήματα καθώς και τυχόν συνημμένα έγγραφα) ενδέχεται να απαιτούν διαφορετικές διαβαθμίσεις και σημαίνονται αναλόγως, καθώς και όταν αποθηκεύονται σε ηλεκτρονική μορφή.

8.

Στο μέτρο του δυνατού, τα έγγραφα που περιέχουν μέρη με διαφορετικά επίπεδα διαβάθμισης διαρθρώνονται κατά τρόπον ώστε τα μέρη με διαφορετικό επίπεδο διαβάθμισης να προσδιορίζονται και να αφαιρούνται εύκολα, εφόσον είναι απαραίτητο.

9.

Το γενικό επίπεδο διαβάθμισης ενός εγγράφου ή ενός φακέλου είναι τουλάχιστον τόσο υψηλό όσο το επίπεδο του επιμέρους στοιχείου του με την υψηλότερη διαβάθμιση. Όταν σε ένα έγγραφο συγκεντρώνονται πληροφορίες από διάφορες πηγές, το τελικό προϊόν επανεξετάζεται προκειμένου να καθοριστεί το γενικό επίπεδο διαβάθμισης ασφάλειας, δεδομένου ότι μπορεί να απαιτεί υψηλότερη διαβάθμιση από τα επιμέρους στοιχεία του.

10.

Η διαβάθμιση επιστολής ή σημειώματος που περιλαμβάνει συνημμένα έγγραφα καθορίζεται στο επίπεδο του υψηλότερα διαβαθμισμένου συνημμένου εγγράφου. Ο φορέας προέλευσης επισημαίνει σαφώς σε ποιο επίπεδο διαβαθμίζεται η επιστολή ή το σημείωμα όταν αφαιρεθεί από τα συνημμένα έγγραφα μέσω κατάλληλη σήμανσης, π.χ.:

CONFIDENTIEL EU/EU CONFIDENTIAL

Χωρίς συνημμένο(-α) έγγραφο(-α) RESTREINT UE/EU RESTRICTED

11.

Εκτός των σημάνσεων διαβάθμισης ασφάλειας που προβλέπονται στο άρθρο 2 παράγραφος 2 του παραρτήματος Α, οι διαβαθμισμένες πληροφορίες ΕΕ είναι δυνατόν να φέρουν πρόσθετες σημάνσεις, όπως:

12.

Μετά την απόφαση κοινοποίησης ΔΠΕΕ σε τρίτο κράτος ή διεθνή οργανισμό, η αρχή ασφάλειας της ΕΥΕΔ διαβιβάζει τις εν λόγω διαβαθμισμένες πληροφορίες, που φέρουν σήμανση δυνατότητας κοινοποίησης στην οποία αναφέρεται το τρίτο κράτος ή ο διεθνής οργανισμός στον οποίον πρόκειται να κοινοποιηθούν.

13.

Η αρχή ασφάλειας της ΕΥΕΔ εγκρίνει κατάλογο εγκεκριμένων σημάνσεων.

14.

Οι τυποποιημένες συντετμημένες σημάνσεις διαβάθμισης μπορούν να χρησιμοποιούνται ως ενδείξεις του επιπέδου διαβάθμισης των μεμονωμένων παραγράφων ενός κειμένου. Οι συντομογραφίες δεν αντικαθιστούν τις πλήρεις σημάνσεις διαβάθμισης.

15.

Οι ακόλουθες τυποποιημένες συντομογραφίες μπορούν να χρησιμοποιούνται στα διαβαθμισμένα έγγραφα της ΕΕ ως ενδείξεις του επιπέδου διαβάθμισης τμημάτων ή ενοτήτων του κειμένου που δεν υπερβαίνουν τη μία σελίδα:

16.

Κατά τη σύνταξη διαβαθμισμένου εγγράφου ΕΕ:

17.

Εάν δεν είναι δυνατή η εφαρμογή της παραγράφου 15 στις ΔΠΕΕ, λαμβάνονται άλλα κατάλληλα μέτρα σύμφωνα με τις κατευθυντήριες γραμμές ασφάλειας που καταρτίζονται βάσει της παρούσας απόφασης.

18.

Κατά τη δημιουργία τους, ο φορέας προέλευσης δηλώνει, όπου είναι δυνατόν, και συγκεκριμένα για πληροφορίες με διαβάθμιση RESTREINT UE/EU RESTRICTED, εάν οι ΔΠΕΕ μπορούν να υποχαρακτηριστούν ή να αποχαρακτηριστούν σε ορισμένη ημερομηνία ή κατόπιν συγκεκριμένου γεγονότος.

19.

Η ΕΥΕΔ επανεξετάζει τακτικά τις ΔΠΕΕ που βρίσκονται στην κατοχή της προκειμένου να εξακριβώνει αν ισχύει ακόμα το επίπεδο διαβάθμισης. Η ΕΥΕΔ θεσπίζει σύστημα επανεξέτασης, τουλάχιστον ανά πενταετία, του επιπέδου διαβάθμισης των καταχωρισμένων ΔΠΕΕ που έχει δημιουργήσει. Η επανεξέταση αυτή δεν είναι απαραίτητη όταν ο φορέας προέλευσης έχει δηλώσει εξαρχής ένα συγκεκριμένο χρονικό σημείο κατά το οποίο οι πληροφορίες θα υποχαρακτηριστούν ή θα αποχαρακτηριστούν αυτόματα και όταν οι πληροφορίες φέρουν ανάλογη σήμανση.

20.

Θα δημιουργηθεί κεντρική γραμματεία στην έδρα της ΕΥΕΔ. Για κάθε οργανωτική μονάδα εντός της ΕΥΕΔ στην οποία γίνεται χειρισμός ΔΠΕΕ, ορίζεται αρμόδια γραμματεία η οποία υπάγεται στην κεντρική γραμματεία και μεριμνά ώστε ο χειρισμός των ΔΠΕΕ να είναι σύμφωνος με την παρούσα απόφαση. Οι γραμματείες καθορίζονται ως χώροι ασφάλειας όπως ορίζεται στο παράρτημα Α.

Κάθε αντιπροσωπεία της Ένωσης συστήνει τη δική της γραμματεία ΔΠΕΕ.

Η αρχή ασφάλειας της ΕΥΕΔ ορίζει προϊστάμενο υπηρεσίας μητρώου για τις γραμματείες αυτές.

21.

Για τους σκοπούς της παρούσας απόφασης, ως καταχώριση για λόγους ασφάλειας (στο εξής «καταχώριση») νοείται η εφαρμογή διαδικασιών που επιτρέπουν την καταγραφή του κύκλου ζωής των πληροφοριών, περιλαμβανομένης της διάδοσης και της καταστροφής τους. Στην περίπτωση ΣΕΠ, οι διαδικασίες καταχώρισης μπορούν να διεκπεραιώνονται με διεργασίες εντός του ίδιου του ΣΕΠ.

22.

Κάθε υλικό με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή υψηλότερη καταχωρίζεται κατά την άφιξη ή την αναχώρησή του από μια οργανωτική μονάδα, συμπεριλαμβανομένων των αντιπροσωπειών της Ένωσης. Πληροφορίες με διαβάθμιση TRES SECRET UE/EU TOP SECRET καταχωρίζονται στις αρμόδιες γραμματείες.

23.

Η κεντρική γραμματεία στην έδρα της ΕΥΕΔ αποτελεί το κύριο σημείο εισόδου και εξόδου για τις ανταλλαγές διαβαθμισμένων πληροφοριών με τρίτα κράτη και διεθνείς οργανισμούς. Τηρεί αρχείο όλων αυτών των ανταλλαγών.

24.

Ο ύπατος εκπρόσωπος εγκρίνει πολιτική ασφάλειας σχετικά με την καταχώριση των ΔΠΕΕ για λόγους ασφάλειας, σύμφωνα με το άρθρο 14 της παρούσας απόφασης.

25.

Η κεντρική γραμματεία ορίζεται στην έδρα της ΕΥΕΔ με σκοπό να ενεργεί ως κεντρική αρχή παραλαβής και αποστολής πληροφοριών με διαβάθμιση TRES SECRET UE/EU TOP SECRET. Οσάκις απαιτείται, δύναται να ορίζονται υπογραμματείες για τον χειρισμό των πληροφοριών αυτών για λόγους καταχώρισης.

26.

Οι υπογραμματείες αυτές δεν δικαιούνται να διαβιβάζουν έγγραφα με διαβάθμιση TRES SECRET UE/EU TOP SECRET απευθείας σε άλλες υπογραμματείες της αυτής κεντρικής γραμματείας TRES SECRET UE/EU TOP SECRET ή έξωθεν χωρίς τη ρητή γραπτή έγκριση της τελευταίας.

27.

Τα έγγραφα με διαβάθμιση TRES SECRET UE/EU TOP SECRET μπορούν να αντιγραφούν ή να μεταφραστούν μόνο με την προηγούμενη γραπτή συγκατάθεση του φορέα προέλευσης.

28.

Όταν ο φορέας προέλευσης εγγράφων με διαβάθμιση SECRET UE/EU SECRET και κατωτέρω δεν έχει επιβάλει προειδοποιήσεις ως προς την αντιγραφή ή τη μετάφρασή τους, επιτρέπεται η αντιγραφή ή η μετάφραση των εγγράφων αυτών κατόπιν εντολής του κατόχου τους.

29.

Τα μέτρα ασφάλειας που εφαρμόζονται στο αρχικό έγγραφο εφαρμόζονται και στα αντίγραφα και τις μεταφράσεις του. Τα αντίγραφα εγγράφων με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή υψηλότερη δημιουργούνται μόνο από την αρμόδια (υπο)γραμματεία με φωτοαντιγραφικό ασφάλειας. Τα αντίγραφα πρέπει να καταχωρίζονται.

30.

Η μεταφορά των ΔΠΕΕ υπόκειται στα μέτρα προστασίας που ορίζονται στις παραγράφους 31 έως 41. Όταν οι ΔΠΕΕ διαβιβάζονται ηλεκτρονικά και, κατά παρέκκλιση από το άρθρο 7 παράγραφος 4, τα μέτρα προστασίας που παρατίθενται παρακάτω μπορούν να συμπληρώνονται με κατάλληλα τεχνικά αντίμετρα που ορίζονται από την αρχή ασφάλειας της ΕΥΕΔ προκειμένου να ελαχιστοποιείται ο κίνδυνος απώλειας ή διαρροής.

31.

Η αρχή ασφάλειας της ΕΥΕΔ εκδίδει οδηγίες όσον αφορά τη μεταφορά ΔΠΕΕ σύμφωνα με την παρούσα απόφαση.

32.

Οι ΔΠΕΕ που μεταφέρονται εντός κτιρίου ή αυτοτελούς κτιριακού συγκροτήματος καλύπτονται ώστε να μην είναι δυνατή η παρατήρηση του περιεχομένου τους.

33.

Εντός κτιρίου ή αυτοτελούς κτιριακού συγκροτήματος, οι πληροφορίες με διαβάθμιση TRES SECRET UE/EU TOP SECRET μεταφέρονται από πρόσωπα με την προσήκουσα εξουσιοδότηση ασφάλειας σε σφραγισμένο φάκελο όπου αναφέρεται μόνο το όνομα του παραλήπτη.

34.

Οι ΔΠΕΕ που μεταφέρονται μεταξύ κτιρίων ή εγκαταστάσεων εντός της ΕΕ τοποθετούνται σε συσκευασία η οποία τις προστατεύει από άνευ αδείας κοινολόγηση.

35.

Η μεταφορά πληροφοριών με διαβάθμιση έως το επίπεδο SECRET UE/EU SECRET εντός της ΕΕ διεξάγεται ως εξής:

Στην περίπτωση μεταφοράς από ένα κράτος μέλος σε άλλο, οι διατάξεις του στοιχείου γ) περιορίζονται στις πληροφορίες με διαβάθμιση έως το επίπεδο CONFIDENTIEL UE/EU CONFIDENTIAL.

36.

Το υλικό με διαβαθμίσεις CONFIDENTIEL UE/EU CONFIDENTIAL και SECRET UE/EU SECRET (π.χ. εξοπλισμός ή μηχανήματα) που δεν μπορεί να μεταφερθεί με τους τρόπους που αναφέρονται στην παράγραφο 34 μεταφέρεται ως φορτίο από εμπορικές επιχειρήσεις μεταφορών σύμφωνα με το παράρτημα Α V.

37.

Η μεταφορά πληροφοριών με διαβάθμιση TRES SECRET UE/EU TOP SECRET μεταξύ κτιρίων ή χώρων εντός της ΕΕ διεξάγεται με στρατιωτικό, κρατικό ή διπλωματικό μεταφορέα, αναλόγως με την περίπτωση.

38.

Οι ΔΠΕΕ που μεταφέρονται από την ΕΕ προς την επικράτεια τρίτου κράτους ή μεταξύ φορέων της ΕΕ σε τρίτα κράτη τοποθετούνται σε συσκευασία η οποία τις προστατεύει από άνευ αδείας κοινολόγηση.

39.

Η μεταφορά πληροφοριών με διαβαθμίσεις CONFIDENTIEL UE/EU CONFIDENTIAL και SECRET UE/EU SECRET από την ΕΕ προς την επικράτεια τρίτου κράτους και η μεταφορά πληροφοριών ΔΠΕΕ με διαβάθμιση έως το επίπεδο SECRET UE/EU SECRET μεταξύ φορέων της ΕΕ σε τρίτα κράτη διεξάγεται ως εξής:

40.

Η μεταφορά πληροφοριών με διαβαθμίσεις CONFIDENTIEL UE/EU CONFIDENTIAL και SECRET UE/EU SECRET που κοινοποιούνται από την ΕΕ σε τρίτο κράτος ή διεθνή οργανισμό διεξάγεται κατά τις σχετικές διατάξεις συμφωνίας για την ασφάλεια των πληροφοριών ή διοικητικού διακανονισμού σύμφωνα με το άρθρο 10 παράγραφος 2 του παραρτήματος Α.

41.

Πληροφορίες με διαβάθμιση RESTREINT UE/EU RESTRICTED μπορούν επίσης να μεταφέρονται από κράτη μέλη της ΕΕ σε τρίτο κράτος με ταχυδρομικές υπηρεσίες ή με εμπορικές υπηρεσίες μεταφοράς.

42.

Η μεταφορά πληροφοριών με διαβάθμιση TRES SECRET UE/EU TOP SECRET από την ΕΕ προς την επικράτεια τρίτου κράτους ή μεταξύ φορέων της ΕΕ σε τρίτα κράτη διεξάγεται με στρατιωτικό ή διπλωματικό μεταφορέα.

43.

Τα διαβαθμισμένα έγγραφα ΕΕ που δεν χρειάζονται πλέον μπορούν να καταστρέφονται, με την επιφύλαξη των οικείων κανόνων και κανονισμών περί αρχειοθέτησης.

44.

Τα έγγραφα τα οποία καταχωρίζονται σύμφωνα με το άρθρο 7 παράγραφος 2 του παραρτήματος Α καταστρέφονται από την αρμόδια γραμματεία με εντολή του κατόχου ή αρμόδιας αρχής. Τα ημερολόγια και οι λοιπές πληροφορίες καταχώρισης ενημερώνονται αναλόγως.

45.

Για τα έγγραφα με διαβαθμίσεις SECRET UE/EU SECRET ή TRES SECRET UE/EU TOP SECRET, η καταστροφή πραγματοποιείται παρουσία μάρτυρα ο οποίος διαθέτει εξουσιοδότηση ασφάλειας επιπέδου τουλάχιστον έως το επίπεδο διαβάθμισης του προς καταστροφή εγγράφου.

46.

Ο γραμματέας και ο μάρτυρας, οσάκις απαιτείται η παρουσία του τελευταίου, υπογράφουν πιστοποιητικό καταστροφής, το οποίο καταχωρίζεται στη γραμματεία. Η γραμματεία τηρεί τα πιστοποιητικά καταστροφής των εγγράφων TRES SECRET UE/EU TOP SECRET για μία δεκαετία τουλάχιστον και των εγγράφων CONFIDENTIEL UE/EU CONFIDENTIAL και SECRET UE/EU SECRET για μία πενταετία τουλάχιστον.

47.

Τα διαβαθμισμένα έγγραφα, περιλαμβανομένων των εγγράφων με διαβάθμιση RESTREINT UE/EU RESTRICTED, καταστρέφονται με μεθόδους που πληρούν τα σχετικά πρότυπα της ΕΕ ή αντίστοιχα πρότυπα, ή με μεθόδους που έχουν εγκριθεί από κράτη μέλη σύμφωνα με εθνικά τεχνικά πρότυπα προκειμένου να αποφεύγεται η πλήρης ή η μερική επανασύσταση των εν λόγω εγγράφων.

48.

Τα ηλεκτρονικά μέσα αποθήκευσης που χρησιμοποιούνται για τις ΔΠΕΕ καταστρέφονται σύμφωνα με την παράγραφο 36 του παραρτήματος A IV.

49.

Σύμφωνα με το άρθρο 15 της παρούσας απόφασης, οι επιθεωρήσεις ασφάλειας της ΕΥΕΔ περιλαμβάνουν:

50.

Οι επιθεωρήσεις ασφάλειας της ΕΥΕΔ διενεργούνται από ομάδα επιθεώρησης της διεύθυνσης ασφάλειας της ΕΥΕΔ και, όταν κρίνεται σκόπιμο, με τη στήριξη εμπειρογνωμόνων ασφάλειας από άλλα θεσμικά όργανα ή κράτη μέλη της ΕΕ.

Η ομάδα επιθεώρησης έχει πρόσβαση σε κάθε τοποθεσία όπου διενεργείται χειρισμός ΔΠΕΕ, ειδικότερα δε στις γραμματείες και στα σημεία παρουσίας ΣΕΠ.

51.

Οι επιθεωρήσεις ασφάλειας της ΕΥΕΔ σε αντιπροσωπείες της Ένωσης μπορούν να διεξάγονται, όποτε κρίνεται σκόπιμο, με τη στήριξη των υπεύθυνων ασφάλειας των πρεσβειών των κρατών μελών σε τρίτες χώρες.

52.

Πριν από το τέλος κάθε ημερολογιακού έτους, η αρχή ασφάλειας της ΕΥΕΔ εγκρίνει πρόγραμμα επιθεωρήσεων ασφάλειας για την ΕΥΕΔ για το επόμενο έτος.

53.

Όποτε κρίνεται σκόπιμο, η αρχή ασφάλειας της ΕΥΕΔ μπορεί να διοργανώνει επιθεωρήσεις ασφάλειας που δεν προβλέπονται στο παραπάνω πρόγραμμα.

54.

Στο τέλος της επιθεώρησης ασφάλειας, παρουσιάζονται στον επιθεωρούμενο φορέα τα κύρια συμπεράσματα και συστάσεις. Εν συνεχεία, η ομάδα επιθεώρησης συντάσσει έκθεση για την επιθεώρηση. Όπου προτείνονται διορθωτικές δράσεις και συστάσεις, περιλαμβάνονται επαρκείς πληροφορίες στην έκθεση προς επίρρωση των συμπερασμάτων που εξήχθησαν. Η έκθεση διαβιβάζεται στην αρχή ασφάλειας της ΕΥΕΔ και στον επικεφαλής του επιθεωρούμενου φορέα.

Σε τακτικά διαστήματα συντάσσονται εκθέσεις υπό την ευθύνη της διεύθυνσης ασφάλειας της ΕΥΕΔ στις οποίες επισημαίνονται τα διδάγματα που αντλήθηκαν από τις επιθεωρήσεις που διενεργήθηκαν εντός συγκεκριμένης περιόδου στα κράτη μέλη και εξετάστηκαν από την επιτροπή ασφάλειας της ΕΥΕΔ.

55.

Η διεύθυνση ασφάλειας της ΕΥΕΔ μπορεί, κατά περίπτωση, να ορίσει συνεισφέροντες εμπειρογνώμονες για να συμμετέχουν σε κοινές ομάδες επιθεώρησης της ΕΕ που διεξάγουν επιθεωρήσεις σε οργανισμούς και όργανα της ΕΕ που έχουν ιδρυθεί δυνάμει του τίτλου V κεφάλαιο 2 της ΣΕΕ.

56.

Η διεύθυνση ασφάλειας της ΕΥΕΔ καταρτίζει και επικαιροποιεί κατάλογο ελέγχου επιθεωρήσεων ασφάλειας, με σημεία που πρέπει να ελέγχονται κατά τη διάρκεια μιας επιθεώρησης ασφάλειας της ΕΥΕΔ. Ο εν λόγω κατάλογος ελέγχου διαβιβάζεται στην επιτροπή ασφάλειας της ΕΥΕΔ.

57.

Οι πληροφορίες για τη συμπλήρωση του καταλόγου ελέγχου λαμβάνονται κυρίως κατά τη διάρκεια της επιθεώρησης από το προσωπικό διαχείρισης ασφάλειας του επιθεωρούμενου φορέα. Μόλις συμπληρωθεί με λεπτομερείς απαντήσεις, ο κατάλογος ελέγχου διαβαθμίζεται μέσω συμφωνίας με τον επιθεωρούμενο φορέα. Δεν συνιστά μέρος της έκθεσης επιθεώρησης.

1.

Το παρόν παράρτημα περιέχει διατάξεις για την εφαρμογή του άρθρου 8 του παραρτήματος Α.

2.

Οι ακόλουθες ιδιότητες και έννοιες της διασφάλισης πληροφοριών (ΔΠ) είναι ουσιώδεις για την ασφάλεια και την ορθή εφαρμογή δράσεων στο πλαίσιο συστημάτων επικοινωνίας και πληροφοριών (ΣΕΠ):

3.

Οι κατωτέρω διατάξεις αποτελούν τη βάση για την ασφάλεια όλων των ΣΕΠ που χειρίζονται ΔΠΕΕ. Λεπτομερείς απαιτήσεις για την εφαρμογή των διατάξεων αυτών θα καθοριστούν σε πολιτικές και κατευθυντήριες γραμμές ασφάλειας όσον αφορά τη ΔΠ.

4.

Η διαχείριση κινδύνων ασφάλειας αποτελεί αναπόσπαστο μέρος του σχεδιασμού, της ανάπτυξης, της λειτουργίας και της συντήρησης των ΣΕΠ. Η διαχείριση κινδύνων (αξιολόγηση, χειρισμός, αποδοχή και κοινοποίηση) διεξάγεται ως επαναληπτική διαδικασία, από κοινού από τους εκπροσώπους των ιδιοκτητών των συστημάτων, τις αρχές των έργων, τις επιχειρησιακές αρχές και τις αρχές έγκρισης ασφάλειας, με χρήση δοκιμασμένης, διαφανούς και πλήρως κατανοητής διαδικασίας αξιολόγησης κινδύνου. Το πεδίο εφαρμογής των ΣΕΠ και τα στοιχεία τους ορίζονται με σαφήνεια στην αρχή της διαδικασίας διαχείρισης κινδύνων.

5.

Οι αρμόδιες αρχές της ΕΥΕΔ εξετάζουν τις εν δυνάμει απειλές που αντιμετωπίζουν τα ΣΕΠ και διατηρούν ενημερωμένες και ακριβείς αξιολογήσεις κινδύνου που αντιστοιχούν στο τρέχον επιχειρησιακό περιβάλλον. Επικαιροποιούν διαρκώς τις γνώσεις τους όσον αφορά ζητήματα τρωτότητας και επανεξετάζουν περιοδικά την αξιολόγηση της τρωτότητας ώστε να συμβαδίζουν με το συνεχώς εξελισσόμενο περιβάλλον της τεχνολογίας των πληροφοριών (ΤΠ).

6.

Στόχος της διαχείρισης κινδύνων ασφάλειας είναι η εφαρμογή μιας δέσμης μέτρων ασφάλειας που οδηγεί σε ικανοποιητική ισορροπία μεταξύ των απαιτήσεων των χρηστών και του υπολειπόμενου κινδύνου κατά της ασφάλειας.

7.

Οι ειδικές απαιτήσεις, η κλίμακα και ο βαθμός των λεπτομερειών που καθορίζονται από την αρμόδια αρχή πιστοποίησης της ασφάλειας (ΑΠΑ) για τον χειρισμό ΣΕΠ είναι αναλογικές προς τον εκτιμώμενο κίνδυνο, λαμβάνουν δε υπόψη όλους τους συναφείς παράγοντες και μεταξύ άλλων το επίπεδο διαβάθμισης των ΔΠΕΕ που τυγχάνουν χειρισμού στο ΣΕΠ. Η πιστοποίηση περιλαμβάνει τυπική δήλωση υπολειπόμενου κινδύνου και αποδοχή του υπολειπόμενου κινδύνου από αρμόδια αρχή.

8.

Η εγγύηση της ασφάλειας αποτελεί απαίτηση σε όλη τη διάρκεια του κύκλου ζωής του ΣΕΠ, από την έναρξη έως την παύση της λειτουργίας του.

9.

Ο ρόλος και η συμβολή κάθε φορέα που συμμετέχει σε ΣΕΠ ως προς την ασφάλειά του προσδιορίζεται σε κάθε φάση του κύκλου ζωής του συστήματος.

10.

Όλα τα ΣΕΠ, συμπεριλαμβανομένων των τεχνικών και μη τεχνικών μέτρων ασφάλειας, υποβάλλονται σε δοκιμές ασφάλειας κατά τη διάρκεια της διαδικασίας πιστοποίησης προκειμένου να εξασφαλίζεται ότι έχει επιτευχθεί το κατάλληλο επίπεδο βεβαιότητας ως προς τα εφαρμοζόμενα μέτρα ασφάλειας και να επαληθεύεται ότι τα εν λόγω μέτρα έχουν εφαρμοστεί, ολοκληρωθεί και διαμορφωθεί ορθώς.

11.

Αξιολογήσεις, επιθεωρήσεις και έλεγχοι ασφάλειας διεξάγονται σε τακτά διαστήματα κατά τη διάρκεια της λειτουργίας και της συντήρησης ενός ΣΕΠ, καθώς και σε εξαιρετικές περιστάσεις.

12.

Η τεκμηρίωση ασφάλειας ενός ΣΕΠ εξελίσσεται καθόλη τη διάρκεια του κύκλου ζωής του ως αναπόσπαστο μέρος της διαδικασίας διαχείρισης των αλλαγών και της διαμόρφωσης.

13.

Η ΕΥΕΔ συνεργάζεται με τη ΓΓΣ, την Επιτροπή και τα κράτη μέλη με στόχο την ανάπτυξη βέλτιστων πρακτικών για την προστασία των ΔΠΕΕ τις οποίες χειρίζονται τα ΣΕΠ. Οι κατευθυντήριες γραμμές βέλτιστων πρακτικών περιλαμβάνουν τεχνικά, φυσικά, οργανωτικά και διαδικαστικά μέτρα ασφάλειας για ΣΕΠ με αποδεδειγμένη αποτελεσματικότητα στην αντιμετώπιση δεδομένων απειλών και τρωτών σημείων.

14.

Η προστασία των ΔΠΕΕ τις οποίες χειρίζονται τα ΣΕΠ επωφελείται από τα διδάγματα που έχουν αποκομίσει οι φορείς που συμμετέχουν σε ΔΠ, τόσο εντός της ΕΕ όσο και εκτός αυτής.

15.

Η διάδοση και η επακόλουθη εφαρμογή βέλτιστων πρακτικών βοηθούν στην επίτευξη ισοδύναμου επιπέδου βεβαιότητας για τα διάφορα ΣΕΠ που χρησιμοποιούνται από τη ΕΥΕΔ και τα οποία διαχειρίζονται ΔΠΕΕ.

16.

Για τον περιορισμό των κινδύνων που αντιμετωπίζουν τα ΣΕΠ, εφαρμόζεται σειρά τεχνικών και μη τεχνικών μέτρων ασφάλειας, τα οποία οργανώνονται ως πολλαπλά επίπεδα άμυνας. Τα επίπεδα αυτά περιλαμβάνουν τα εξής:

α)   Αποτροπή: μέτρα ασφάλειας που αποσκοπούν στην αποτροπή οποιουδήποτε αντίπαλου σχεδιασμού για επίθεση σε ΣΕΠ·

β)   Πρόληψη: μέτρα ασφάλειας που αποσκοπούν στην παρεμπόδιση ή στην ανάσχεση επίθεσης σε ΣΕΠ·

γ)   Ανίχνευση: μέτρα ασφάλειας που αποσκοπούν στον εντοπισμό της εμφάνισης επίθεσης σε ΣΕΠ·

δ)   Ανθεκτικότητα: μέτρα ασφάλειας που αποσκοπούν στον περιορισμό των συνεπειών της επίθεσης σε ελάχιστο σύνολο πληροφοριών ή στοιχείων ΣΕΠ και στην πρόληψη περαιτέρω ζημιών, και

ε)   Ανάκτηση: μέτρα ασφάλειας που αποσκοπούν στην αποκατάσταση της ασφάλειας του ΣΕΠ.

Ο βαθμός αυστηρότητας και εφαρμοσιμότητας των εν λόγω μέτρων ασφάλειας καθορίζεται από την αξιολόγηση κινδύνου.

17.

Οι αρμόδιες αρχές της ΕΥΕΔ μεριμνούν ώστε να μπορούν να αντιμετωπίζουν συμβάντα που ενδέχεται να υπερβαίνουν τα όρια οργανισμών και κρατών για τον συντονισμό των αντιδράσεων και την ανταλλαγή πληροφοριών ως προς τα συμβάντα αυτά και τον συναφή κίνδυνο (ικανότητες του υπολογιστή για ανταπόκριση σε επείγουσες καταστάσεις).

18.

Χρησιμοποιούνται μόνο οι λειτουργίες, οι συσκευές και οι υπηρεσίες για την ικανοποίηση των λειτουργικών απαιτήσεων, προκειμένου να αποφεύγονται οι περιττοί κίνδυνοι.

19.

Στους χρήστες ΣΕΠ και στις αυτοματοποιημένες διαδικασίες παρέχονται μόνο οι απαραίτητες δυνατότητες πρόσβασης και τα απαραίτητα προνόμια ή εξουσιοδοτήσεις για την εκτέλεση των καθηκόντων τους προκειμένου να περιορίζονται τυχόν βλάβες λόγω ατυχήματος, σφάλματος ή μη εξουσιοδοτημένης χρήσης των πόρων των ΣΕΠ.

20.

Οι διαδικασίες καταχώρισης που εκτελεί ένα ΣΕΠ, εφόσον απαιτείται, επαληθεύονται στο πλαίσιο της διαδικασίας πιστοποίησης.

21.

Η ευαισθητοποίηση ως προς τους κινδύνους και τα διαθέσιμα μέτρα ασφάλειας αποτελεί την πρώτη γραμμή άμυνας για την ασφάλεια των ΣΕΠ. Ειδικότερα, το σύνολο του προσωπικού που συμμετέχει στον κύκλο ζωής του ΣΕΠ, περιλαμβανομένων και των χρηστών, κατανοεί:

22.

Για να διασφαλιστεί ότι γίνονται αντιληπτές οι ευθύνες ως προς την ασφάλεια, η εκπαίδευση και η ευαισθητοποίηση σε θέματα ΔΠ είναι υποχρεωτική για όλα τα μέλη του προσωπικού, συμπεριλαμβανομένων των ανώτερων στελεχών και των χρηστών ΣΕΠ.

23.

Ο απαιτούμενος βαθμός εμπιστοσύνης στα μέτρα ασφάλειας, οριζόμενος ως επίπεδο βεβαιότητας, καθορίζεται ανάλογα με την έκβαση της διαδικασίας διαχείρισης κινδύνων και σύμφωνα με τις οικείες πολιτικές και κατευθυντήριες γραμμές ασφάλειας.

24.

Το επίπεδο βεβαιότητας επαληθεύεται με τη χρήση διεθνώς αναγνωρισμένων ή εθνικά εγκεκριμένων διαδικασιών και μεθόδων. Πρόκειται κυρίως για τη διενέργεια αξιολογήσεων και ελέγχων.

25.

Τα κρυπτογραφικά προϊόντα προστασίας των ΔΠΕΕ αξιολογούνται και εγκρίνονται από την εθνική αρχή έγκρισης κρυπτογραφικών μεθόδων (ΑΕΚΜ)·ενός κράτους μέλους.

26.

Προτού προταθούν για έγκριση από την ΑΕΚΜ της ΕΥΕΔ σύμφωνα με το άρθρο 7 παράγραφος 5 της παρούσας απόφασης, τα κρυπτογραφικά αυτά προϊόντα έχουν υποβληθεί σε δεύτερη επιτυχή αξιολόγηση από εγκεκριμένη αρχή αξιολόγησης (AQUA) κράτους μέλους που δεν συμμετέχει στον σχεδιασμό ή την κατασκευή του εξοπλισμού. Ο βαθμός λεπτομέρειας που απαιτείται κατά τη δεύτερη αξιολόγηση εξαρτάται από το προβλεπόμενο μέγιστο επίπεδο διαβάθμισης των ΔΠΕΕ που θα προστατεύονται από τα προϊόντα αυτά.

27.

Οσάκις δικαιολογείται για συγκεκριμένους επιχειρησιακούς λόγους, η ΑΕΚΜ της ΕΥΕΔ μπορεί, κατόπιν σύστασης της επιτροπής ασφάλειας του Συμβουλίου, να αποφασίσει ότι δεν θα εφαρμοστούν οι απαιτήσεις των παραγράφων 25 ή 26 και να χορηγήσει προσωρινή έγκριση για συγκεκριμένη περίοδο, σύμφωνα με τη διαδικασία του άρθρου 7 παράγραφος 5 της παρούσας απόφασης.

28.

Η AQUA είναι μια ΑΕΚΜ ενός κράτους μέλους που έχει λάβει πιστοποίηση βάσει των κριτηρίων που έχει ορίσει το Συμβούλιο, για τη διεξαγωγή της δεύτερης αξιολόγησης των κρυπτογραφικών προϊόντων για την προστασία των ΔΠΕΕ.

29.

Ο ύπατος εκπρόσωπος εγκρίνει πολιτική ασφάλειας σχετικά με τις προδιαγραφές και την έγκριση μη κρυπτογραφικών προϊόντων ασφάλειας ΤΠ.

30.

Κατά παρέκκλιση από τις διατάξεις της παρούσας απόφασης, όταν η διαβίβαση των ΔΠΕΕ περιορίζεται εντός χώρων ασφάλειας, μπορεί να χρησιμοποιείται η μη κρυπτογραφημένη διανομή ή η κρυπτογράφηση σε χαμηλότερο επίπεδο βάσει των αποτελεσμάτων της διαδικασίας διαχείρισης κινδύνων και με την έγκριση της ΑΠΑ.

31.

Για τους σκοπούς της παρούσας απόφασης, ως διασύνδεση νοείται η άμεση σύνδεση μονής ή πολλαπλής κατεύθυνσης δύο ή περισσότερων συστημάτων ΤΠ για την ανταλλαγή δεδομένων και άλλων πληροφοριών (π.χ. επικοινωνία).

32.

Ένα ΣΕΠ αντιμετωπίζει οποιοδήποτε διασυνδεδεμένο σύστημα ΤΠ ως μη έμπιστο και εφαρμόζει μέτρα προστασίας για τον έλεγχο της ανταλλαγής διαβαθμισμένων πληροφοριών.

33.

Για όλες τις διασυνδέσεις ΣΕΠ με άλλο σύστημα ΤΠ τηρούνται οι ακόλουθες βασικές απαιτήσεις:

34.

Δεν επιτρέπεται διασύνδεση μεταξύ ενός πιστοποιημένου ΣΕΠ με μη προστατευόμενο ή δημόσιο δίκτυο, εκτός εάν το ΣΕΠ έχει εγκρίνει υπηρεσίες περιφερειακής προστασίας που έχουν εγκατασταθεί για τον σκοπό αυτό μεταξύ του ΣΕΠ και του μη προστατευόμενου ή δημόσιου δικτύου. Τα μέτρα ασφάλειας για τις διασυνδέσεις αυτές επανεξετάζονται από την αρμόδια αρχή διασφάλισης πληροφοριών (ΑΔΠ) και εγκρίνονται από την αρμόδια αρχή πιστοποίησης της ασφάλειας (ΑΠΑ).

Όταν το μη προστατευόμενο ή δημόσιο δίκτυο χρησιμοποιείται αποκλειστικά ως κομιστής και τα δεδομένα έχουν κρυπτογραφηθεί από κρυπτογραφικό προϊόν που έχει λάβει έγκριση σύμφωνα με το άρθρο 7 παράγραφος 5 της παρούσας απόφασης, η σύνδεση αυτή δεν θεωρείται διασύνδεση.

35.

Η άμεση ή διαδοχική σύνδεση ενός ΣΕΠ που είναι πιστοποιημένο να χειρίζεται διαβάθμιση TRES SECRET UE/EU TOP SECRET με μη προστατευόμενο ή δημόσιο δίκτυο απαγορεύεται.

36.

Τα ηλεκτρονικά μέσα αποθήκευσης καταστρέφονται σύμφωνα με εγκεκριμένες από την αρχή ασφάλειας της ΕΥΕΔ διαδικασίες.

37.

Τα ηλεκτρονικά μέσα αποθήκευσης επαναχρησιμοποιούνται, υποχαρακτηρίζονται ή αποχαρακτηρίζονται σύμφωνα με πολιτική ασφάλειας που καταρτίζεται κατά το άρθρο 7 παράγραφος 2 της παρούσας απόφασης.

38.

Παρά τις διατάξεις της παρούσας απόφασης, οι ειδικές διαδικασίες που περιγράφονται παρακάτω μπορούν να εφαρμόζονται για περιορισμένο χρονικό διάστημα σε περιπτώσεις έκτακτης ανάγκης, όπως καταστάσεις επικείμενης ή πραγματικής κρίσης, σύγκρουσης ή πολέμου ή υπό εξαιρετικές επιχειρησιακές περιστάσεις.

39.

Οι ΔΠΕΕ μπορούν να διαβιβάζονται με τη χρήση κρυπτογραφικών προϊόντων που έχουν λάβει έγκριση για χαμηλότερο επίπεδο διαβάθμισης ή χωρίς κρυπτογράφηση, με τη συγκατάθεση της αρμόδιας αρχής, εάν οποιαδήποτε καθυστέρηση θα ήταν ικανή να προξενήσει ζημία σαφώς μεγαλύτερη από τη ζημία που θα προκαλούσε η τυχόν κοινολόγηση του διαβαθμισμένου υλικού και εφόσον:

40.

Οι διαβαθμισμένες πληροφορίες που διαβιβάζονται υπό τις περιστάσεις που περιγράφονται στην παράγραφο 39 δεν φέρουν σημάνσεις ή ενδείξεις που τις διακρίνουν από μη διαβαθμισμένες πληροφορίες ή από πληροφορίες που μπορούν να προστατευτούν με τα διαθέσιμα κρυπτογραφικά προϊόντα. Οι παραλήπτες τους ενημερώνονται αμελλητί για το επίπεδο διαβάθμισης με άλλα μέσα.

41.

Σε περίπτωση εφαρμογής της παραγράφου 39, αποστέλλεται σχετική έκθεση στη διεύθυνση ασφάλειας της ΕΥΕΔ και, κατόπιν, στην επιτροπή ασφάλειας της ΕΥΕΔ. Στην εν λόγω έκθεση αναφέρεται τουλάχιστον ο αποστολέας, ο παραλήπτης και ο φορέας προέλευσης κάθε ΔΠΕΕ.

42.

Θεσπίζονται οι ακόλουθες λειτουργίες ΔΠ στην ΕΥΕΔ. Οι λειτουργίες αυτές δεν απαιτούν τη σύσταση ενιαίων οργανωτικών μονάδων. Έχουν χωριστές εντολές. Ωστόσο, οι λειτουργίες αυτές και οι σχετικές ευθύνες μπορούν να συνδυάζονται ή να εντάσσονται στην ίδια οργανωτική μονάδα ή να χωρίζονται σε διαφορετικές μονάδες, υπό την προϋπόθεση ότι αποφεύγονται οι εσωτερικές συγκρούσεις συμφερόντων ή καθηκόντων.

43.

Η ΑΔΠ είναι επιφορτισμένη με τα εξής καθήκοντα:

44.

Η αρχή TEMPEST (ΤΑ) είναι αρμόδια για την εξασφάλιση της συμμόρφωσης του ΣΕΠ με τις πολιτικές και κατευθυντήριες γραμμές του TEMPEST. Εγκρίνει αντίμετρα TEMPEST για εγκαταστάσεις και προϊόντα που προορίζονται για την προστασία των ΔΠΕΕ μέχρι ορισμένου επιπέδου διαβάθμισης στο επιχειρησιακό τους περιβάλλον.

45.

Η ΑΕΚΜ είναι αρμόδια να διασφαλίζει τη συμβατότητα των κρυπτογραφικών προϊόντων με την αντίστοιχη κρυπτογραφική πολιτική. Εγκρίνει κρυπτογραφικά προϊόντα για την προστασία ΔΠΕΕ μέχρι ορισμένου επιπέδου διαβάθμισης στο επιχειρησιακό τους περιβάλλον.

46.

Η ΑΔΚΜ είναι επιφορτισμένη με τα εξής καθήκοντα:

47.

Η ΑΠΑ κάθε συστήματος είναι επιφορτισμένη με τα εξής καθήκοντα:

48.

Η ΑΠΑ της ΕΥΕΔ είναι αρμόδια για την έγκριση όλων των ΣΕΠ που λειτουργούν στο πλαίσιο των αρμοδιοτήτων της ΕΥΕΔ.

49.

Το κοινό συμβούλιο πιστοποίησης ασφάλειας (ΣΠΑ) είναι υπεύθυνο για την πιστοποίηση των ΣΕΠ στο πλαίσιο των αρμοδιοτήτων τόσο της ΑΠΑ της ΕΥΕΔ όσο και των ΑΠΑ των κρατών μελών. Αποτελείται από έναν εκπρόσωπο ΑΠΑ εκάστου κράτους μέλους, ενώ στις συνεδριάσεις του συμμετέχει ένας εκπρόσωπος ΑΠΑ της ΓΓΣ και της Επιτροπής. Όταν συζητείται το εν λόγω σύστημα, καλούνται να συμμετέχουν και άλλοι φορείς που διαθέτουν κόμβους σε ΣΕΠ.

Πρόεδρος του ΣΠΑ είναι ένας εκπρόσωπος της ΑΠΑ της ΕΥΕΔ. Ενεργεί με τη συναίνεση των εκπροσώπων ΑΠΑ των θεσμικών οργάνων, των κρατών μελών και άλλων φορέων που διαθέτουν κόμβους στο ΣΕΠ. Το ΣΠΑ υποβάλλει περιοδικές εκθέσεις σχετικά με τις δραστηριότητές του στην επιτροπή ασφάλειας της ΕΥΕΔ και της κοινοποιεί όλες τις δηλώσεις πιστοποίησης.

50.

Η επιχειρησιακή αρχή ΔΠ κάθε συστήματος είναι επιφορτισμένη με τα εξής καθήκοντα:

1.

Το παρόν παράρτημα περιέχει διατάξεις για την εφαρμογή του άρθρου 9 του παραρτήματος Α. Ορίζει γενικές διατάξεις ασφάλειας που εφαρμόζονται στους βιομηχανικούς ή άλλους φορείς κατά τις διαπραγματεύσεις πριν από την ανάθεση σύμβασης και καθόλη τη διάρκεια του κύκλου ζωής των διαβαθμισμένων συμβάσεων που συνάπτει η ΕΥΕΔ.

2.

Ο ύπατος εκπρόσωπος εγκρίνει πολιτική βιομηχανικής ασφάλειας η οποία περιλαμβάνει ειδικότερα λεπτομερείς απαιτήσεις όσον αφορά τις εξουσιοδοτήσεις ασφάλειας φορέα (ΕΑΦ), τα έγγραφα θεμάτων ασφάλειας (ΕΘΑ), τις επισκέψεις, τη διαβίβαση και τη μεταφορά των ΔΠΕΕ.

3.

Πριν από την έναρξη διαδικασίας πρόσκλησης υποβολής προσφορών ή τη σύναψη διαβαθμισμένης σύμβασης, η ΕΥΕΔ, ως αναθέτουσα αρχή, καθορίζει τη διαβάθμιση ασφάλειας κάθε πληροφορίας που πρέπει να παρέχεται στους υποβάλλοντες προσφορά και στους εργολάβους, καθώς και τη διαβάθμιση ασφάλειας κάθε πληροφορίας που παράγεται από τον εργολάβο. Προς τούτο, η ΕΥΕΔ καταρτίζει ΟΔΑ που θα χρησιμοποιείται για την εκτέλεση της σύμβασης.

4.

Προκειμένου να καθοριστεί η διαβάθμιση ασφάλειας των διάφορων στοιχείων μιας διαβαθμισμένης σύμβασης, εφαρμόζονται οι ακόλουθες αρχές:

5.

Οι απαιτήσεις ασφάλειας της εκάστοτε σύμβασης περιγράφονται σε έγγραφο θεμάτων ασφάλειας (ΕΘΑ). Εφόσον απαιτείται, το ΕΘΑ περιλαμβάνει τον ΟΔΑ και αποτελεί αναπόσπαστο μέρος διαβαθμισμένης σύμβασης ή υπεργολαβίας.

6.

Το ΕΘΑ περιέχει διατάξεις που απαιτούν από τον εργολάβο και/ή τον υπεργολάβο να συμμορφώνεται προς τα ελάχιστα πρότυπα που ορίζονται στην παρούσα απόφαση. Η μη συμμόρφωση με αυτά τα ελάχιστα πρότυπα μπορεί να συνιστά επαρκή λόγο καταγγελίας της σύμβασης.

7.

Ανάλογα με το πεδίο εφαρμογής προγραμμάτων ή έργων που αφορούν την πρόσβαση σε ΔΠΕΕ ή τον χειρισμό ή την αποθήκευσή τους, η αναθέτουσα αρχή η οποία έχει αναλάβει τη διαχείριση του προγράμματος ή του έργου μπορεί να εκπονήσει ειδικές εντολές ασφάλειας του προγράμματος/έργου (PSI). Οι PSI εγκρίνονται από τις ΕΑΑ/ΚΑΑ των κρατών μελών ή από οποιαδήποτε άλλη αρμόδια αρχή ασφάλειας που συμμετέχει στο πρόγραμμα/σχέδιο, και ενδέχεται να προβλέπουν πρόσθετες απαιτήσεις ασφάλειας.

8.

Η διεύθυνση ασφάλειας της ΕΥΕΔ ζητεί από την ΕΑΑ ή την ΚΑΑ ή οποιαδήποτε άλλη αρμόδια αρχή ασφάλειας του οικείου κράτους μέλους να χορηγήσει ΕΑΦ η οποία να δηλώνει, βάσει των εθνικών νομοθετικών και κανονιστικών διατάξεων, ότι ένας βιομηχανικός ή άλλος φορέας μπορεί να προστατεύει τις ΔΠΕΕ στις εγκαταστάσεις του ανάλογα με τη διαβάθμιση ασφάλειάς τους (CONFIDENTIEL UE/EU CONFIDENTIAL ή SECRET UE/EU SECRET). Σε έναν εργολάβο, υπεργολάβο ή δυνητικό εργολάβο ή υπεργολάβο δεν χορηγείται πρόσβαση σε ΔΠΕΕ, μέχρι να διαβιβαστεί στην ΕΥΕΔ αποδεικτικό ΕΑΦ.

9.

Οσάκις απαιτείται, η ΕΥΕΔ, ως αναθέτουσα αρχή, ενημερώνει την αρμόδια ΕΑΑ/ΚΑΑ ή οποιαδήποτε άλλη αρμόδια αρχή ασφάλειας ότι απαιτείται ΕΑΦ κατά το προσυμβατικό στάδιο ή για την εκτέλεση της σύμβασης. ΕΑΦ ή ΕΑΠ απαιτείται κατά το προσυμβατικό στάδιο όταν πρέπει να παρασχεθούν ΔΠΕΕ με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή SECRET UE/EU SECRET κατά τη διάρκεια της διαδικασίας υποβολής προσφορών.

10.

Η ΕΥΕΔ, ως αναθέτουσα αρχή, δεν αναθέτει διαβαθμισμένη σύμβαση στον προτιμώμενο υποψήφιο προτού λάβει επιβεβαίωση από την ΕΑΑ/ΚΑΑ ή οποιαδήποτε άλλη αρμόδια αρχή ασφάλειας του κράτους μέλους στο οποίο έχει την έδρα του ο εργολάβος ή ο υπεργολάβος ότι έχει εκδοθεί η δέουσα ΕΑΦ όπου απαιτείται.

11.

Η ΕΥΕΔ, ως αναθέτουσα αρχή, ζητεί από την ΕΑΑ/ΚΑΑ ή κάθε άλλη αρμόδια αρχή ασφάλειας που έχει εκδώσει μια ΕΑΦ να την ενημερώνει για τυχόν αρνητικές πληροφορίες που επηρεάζουν την ΕΑΦ. Σε περίπτωση υπεργολαβίας, η ΕΑΑ/ΚΑΑ ή κάθε άλλη αρμόδια αρχή ασφάλειας ενημερώνεται αναλόγως.

12.

Η ανάκληση ΕΑΦ από την αρμόδια ΕΑΑ/ΚΑΑ ή οποιαδήποτε άλλη αρμόδια αρχή ασφάλειας συνιστά επαρκή λόγο για να καταγγείλει η ΕΥΕΔ, ως αναθέτουσα αρχή, μια διαβαθμισμένη σύμβαση ή να αποκλείσει έναν υποψήφιο από τον διαγωνισμό.

13.

Κάθε μέλος του προσωπικού που εργάζεται για εργολάβους και απαιτεί πρόσβαση σε ΔΠΕΕ με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή υψηλότερη έχει λάβει τη δέουσα εξουσιοδότηση ασφάλειας και ο λόγος της πρόσβασής του σε πληροφορίες είναι η «ανάγκη γνώσης». Παρότι δεν απαιτείται ΕΑΠ για την πρόσβαση σε ΔΠΕΕ με διαβάθμιση RESTREINT UE/EU RESTRICTED, πρέπει να υφίσταται «ανάγκη γνώσης» η οποία να δικαιολογεί την πρόσβαση αυτήν.

14.

Οι αιτήσεις για ΕΑΠ για προσωπικό εργολάβων υποβάλλονται στην ΕΑΑ/ΚΑΑ που είναι αρμόδια για τον φορέα.

15.

Η ΕΥΕΔ επισημαίνει στους εργολάβους που επιθυμούν να απασχολήσουν υπήκοο τρίτου κράτους σε θέση που απαιτεί πρόσβαση σε ΔΠΕΕ ότι αποτελεί ευθύνη της ΕΑΑ/ΚΑΑ του κράτους μέλους στο οποίο ο φορέας που προβαίνει στην πρόληψη έχει συσταθεί και έχει την έδρα του να διαπιστώσει κατά πόσον το εν λόγω πρόσωπο μπορεί να αποκτήσει πρόσβαση στις πληροφορίες αυτές, σύμφωνα με την παρούσα απόφαση, καθώς και να επιβεβαιώσει ότι έχει παρασχεθεί η συγκατάθεση του φορέα προέλευσης των πληροφοριών πριν από την παροχή της πρόσβασης.

16.

Όταν, κατά το προσυμβατικό στάδιο, παρέχονται ΔΠΕΕ σε υποψήφιο, η πρόσκληση υποβολής προσφορών περιέχει διάταξη που υποχρεώνει τον υποψήφιο ο οποίος τελικά δεν υποβάλλει προσφορά ή δεν επιλέγεται να επιστρέψει όλα τα διαβαθμισμένα έγγραφα εντός συγκεκριμένου χρονικού διαστήματος.

17.

Μόλις ανατεθεί διαβαθμισμένη σύμβαση εργολαβίας ή υπεργολαβίας, η ΕΥΕΔ, ως αναθέτουσα αρχή, ενημερώνει την ΕΑΑ/ΚΑΑ του εργολάβου ή του υπεργολάβου ή οποιαδήποτε άλλη αρμόδια αρχή ασφάλειας σχετικά με τις διατάξεις ασφάλειας της διαβαθμισμένης σύμβασης.

18.

Σε περίπτωση καταγγελίας ή λήξης των συμβάσεων αυτών, η ΕΥΕΔ, ως αναθέτουσα αρχή, (και/ή η ΕΑΑ/ΚΑΑ ή οποιαδήποτε άλλη αρμόδια αρχή ασφάλειας, αναλόγως, σε περίπτωση υπεργολαβίας) ενημερώνει αμέσως την ΕΑΑ/ΚΑΑ ή οποιαδήποτε άλλη αρμόδια αρχή ασφάλειας του κράτους μέλους στο οποίο έχει την έδρα του ο εργολάβος ή ο υπεργολάβος.

19.

Κατά κανόνα, ο εργολάβος ή ο υπεργολάβος επιστρέφει στην αναθέτουσα αρχή, άμα τη λύσει ή τη λήξει της διαβαθμισμένης σύμβασης εργολαβίας ή υπεργολαβίας, τυχόν ΔΠΕΕ που έχει στην κατοχή του.

20.

Ειδικές διατάξεις για τη διάθεση των ΔΠΕΕ κατά την εκτέλεση της σύμβασης ή κατά τη λύση ή τη λήξη της ορίζονται στο ΕΘΑ.

21.

Όταν ο εργολάβος ή ο υπεργολάβος έχει δικαίωμα διατήρησης των ΔΠΕΕ μετά τη λύση ή τη λήξη της σύμβασης, τα ελάχιστα πρότυπα που προβλέπονται στην παρούσα απόφαση συνεχίζουν να τηρούνται και το απόρρητο των ΔΠΕΕ προστατεύεται από τον εργολάβο ή τον υπεργολάβο.

22.

Οι όροι υπό τους οποίους ο κύριος εργολάβος μπορεί να συνάπτει σύμβαση υπεργολαβίας καθορίζονται στην πρόσκληση υποβολής προσφορών και στη σύμβαση.

23.

Ο εργολάβος λαμβάνει άδεια από την ΕΥΕΔ, ως αναθέτουσα αρχή, προτού αναθέσει τμήματα διαβαθμισμένης σύμβασης σε υπεργολάβους. Δεν ανατίθεται σύμβαση υπεργολαβίας σε βιομηχανικούς ή άλλους φορείς οι οποίοι έχουν την έδρα τους σε κράτος μη μέλος της ΕΕ το οποίο δεν έχει συνάψει συμφωνία ασφάλειας πληροφοριών με την ΕΕ.

24.

Ο εργολάβος μεριμνά ώστε όλες οι υπεργολαβικές δραστηριότητες να αναλαμβάνονται σύμφωνα με τα ελάχιστα πρότυπα της παρούσας απόφασης, και δεν παρέχει ΔΠΕΕ σε υπεργολάβο χωρίς την προηγούμενη γραπτή συγκατάθεση της αναθέτουσας αρχής.

25.

Όσον αφορά τις ΔΠΕΕ τις οποίες δημιουργεί ή χειρίζεται ο εργολάβος ή ο υπεργολάβος, τα δικαιώματα του φορέα προέλευσης ασκούνται από την αναθέτουσα αρχή.

26.

Όταν η ΕΥΕΔ, οι εργολάβοι ή οι υπεργολάβοι χρειάζονται πρόσβαση σε πληροφορίες με τη διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή SECRET UE/EU SECRET στις αντίστοιχες εγκαταστάσεις τους για την εκτέλεση διαβαθμισμένης σύμβασης, διοργανώνονται επισκέψεις σε συνεργασία με τις ΕΑΑ/ΚΑΑ ή κάθε άλλη αρμόδια αρχή ασφάλειας. Αυτό δεν θίγει το δικαίωμα των ΕΑΑ/ΚΑΑ, στο πλαίσιο ειδικών έργων, να εγκρίνουν διαδικασία όπου οι επισκέψεις αυτές μπορούν να διοργανώνονται απευθείας.

27.

Όλοι οι επισκέπτες διαθέτουν τη δέουσα ΕΑΠ και έχουν ανάγκη γνώσης για την πρόσβαση στις ΔΠΕΕ που συνδέονται με τη σύμβαση ΕΥΕΔ.

28.

Οι επισκέπτες δικαιούνται πρόσβαση μόνο στις ΔΠΕΕ που έχουν σχέση με το σκοπό της επίσκεψης.

29.

Όσον αφορά τη διαβίβαση ΔΠΕΕ με ηλεκτρονικά μέσα, ισχύουν οι σχετικές διατάξεις του άρθρου 8 του παραρτήματος Α και του παραρτήματος A IV.

30.

Όσον αφορά τη μεταφορά των ΔΠΕΕ, ισχύουν οι σχετικές διατάξεις του παραρτήματος A III, σύμφωνα με τις εθνικές νομοθετικές και κανονιστικές διατάξεις.

31.

Κατά τον καθορισμό των ρυθμίσεων ασφάλειας για τη μεταφορά διαβαθμισμένου υλικού ως φορτίου, εφαρμόζονται οι ακόλουθες αρχές:

32.

Η μεταφορά ΔΠΕΕ σε εργολάβους και υπεργολάβους που βρίσκονται σε τρίτα κράτη και έχουν συνάψει ισχύουσα συμφωνία ασφάλειας με την ΕΕ διεξάγεται σύμφωνα με τα μέτρα ασφάλειας που έχουν εγκρίνει η ΕΥΕΔ, ως αναθέτουσα αρχή, και η ΕΑΑ/ΚΑΑ του εν λόγω τρίτου κράτους όπου έχει την έδρα του ο εργολάβος.

33.

Σε συνεργασία, κατά περίπτωση, με τις ΕΑΑ/ΚΑΑ των κρατών μελών, η ΕΥΕΔ, ως αναθέτουσα αρχή, έχει δικαίωμα διεξαγωγής επισκέψεων στις εγκαταστάσεις των εργολάβων/υπεργολάβων βάσει συμβατικών διατάξεων προκειμένου να εξακριβώνει ότι εφαρμόζονται τα σχετικά μέτρα ασφάλειας για την προστασία των ΔΠΕΕ στο επίπεδο RESTREINT UE/EU RESTRICTED όπως απαιτείται στο πλαίσιο της συναφθείσας σύμβασης.

34.

Στον βαθμό που απαιτείται δυνάμει εθνικών νομοθετικών και κανονιστικών διατάξεων, η ΕΥΕΔ, ως αναθέτουσα αρχή, γνωστοποιεί στις ΕΑΑ/ΚΑΑ ή σε οποιαδήποτε άλλη αρμόδια αρχή ασφάλειας τις συμβάσεις ή τις συμβάσεις υπεργολαβίας που περιέχουν πληροφορίες με διαβάθμιση RESTREINT UE/EU RESTRICTED.

35.

Δεν απαιτείται ΕΑΦ ή ΕΑΠ για τους εργολάβους ή τους υπεργολάβους και το προσωπικό τους για συμβάσεις που ανατίθενται από τη ΕΥΕΔ και περιέχουν πληροφορίες με διαβάθμιση RESTREINT UE/EU RESTRICTED.

36.

Η ΕΥΕΔ, ως αναθέτουσα αρχή, εξετάζει τις απαντήσεις στις προσκλήσεις υποβολής προσφορών για τις συμβάσεις που απαιτούν πρόσβαση σε πληροφορίες με διαβάθμιση RESTREINT UE/EU RESTRICTED, παρά τις απαιτήσεις σχετικά με ΕΑΦ ή ΕΑΠ που ενδέχεται να υπάρχουν βάσει των εθνικών νομοθετικών και κανονιστικών διατάξεων.

37.

Οι όροι βάσει των οποίων ο κύριος εργολάβος μπορεί να συνάπτει σύμβαση υπεργολαβίας καθορίζονται σύμφωνα με τις παραγράφους 22-24.

38.

Όταν μια σύμβαση αφορά τον χειρισμό πληροφοριών με διαβάθμιση RESTREINT UE/EU RESTRICTED σε ΣΕΠ που διαχειρίζεται εργολάβος, η ΕΥΕΔ, ως αναθέτουσα αρχή, μεριμνά ώστε η σύμβαση να καθορίζει τις απαραίτητες τεχνικές και διοικητικές απαιτήσεις σχετικά με την πιστοποίηση του ΣΕΠ σε αναλογία προς τον εκτιμώμενο κίνδυνο, λαμβάνοντας υπόψη όλους τους συναφείς παράγοντες. Το πεδίο πιστοποίησης του ΣΕΠ συμφωνείται μεταξύ της αναθέτουσας αρχής και της οικείας ΕΑΑ/ΚΑΑ.

1.

Το παρόν παράρτημα περιέχει διατάξεις για την εφαρμογή του άρθρου 10 του παραρτήματος Α.

2.

Η ΕΥΕΔ δύναται να ανταλλάσσει ΔΠΕΕ με τρίτα κράτη ή διεθνείς οργανισμούς σύμφωνα με το άρθρο 10 παράγραφος 1 του παραρτήματος Α.

Προκειμένου να υποστηρίζεται ο ύπατος εκπρόσωπος κατά την εκτέλεση των καθηκόντων που ορίζονται στο άρθρο 218 της ΣΛΕΕ:

3.

Όταν οι συμφωνίες ασφάλειας πληροφοριών προβλέπουν τεχνικούς διακανονισμούς εφαρμογής που εγκρίνονται από τη διεύθυνση ασφάλειας της ΕΥΕΔ —σε συντονισμό με τη διεύθυνση ασφάλειας της Γενικής Διεύθυνσης Ανθρωπίνων Πόρων και Ασφάλειας της Επιτροπής και το γραφείο ασφάλειας της Γενικής Γραμματείας του Συμβουλίου— και την αρμόδια αρχή ασφάλειας του εν λόγω τρίτου κράτους ή διεθνούς οργανισμού, οι διακανονισμοί αυτοί λαμβάνουν δεόντως υπόψη το επίπεδο προστασίας που προβλέπουν οι κανονισμοί, οι δομές και οι διαδικασίες ασφάλειας που εφαρμόζονται στο εν λόγω τρίτο κράτος ή διεθνή οργανισμό.

4.

Όταν υφίσταται μακροπρόθεσμη ανάγκη να ανταλλάσσει η ΕΥΕΔ πληροφορίες με διαβάθμιση που δεν υπερβαίνει την κατηγορία RESTREINT UE/EU RESTRICTED με τρίτο κράτος ή διεθνή οργανισμό, και όπου έχει διαπιστωθεί ότι το εν λόγω μέρος δεν διαθέτει επαρκώς ανεπτυγμένο σύστημα ασφάλειας ώστε να συνάπτει συμφωνία ασφάλειας πληροφοριών, ο ύπατος εκπρόσωπος δύναται, αφού πρώτα λάβει την ομόφωνη ευνοϊκή γνώμη της επιτροπής ασφάλειας της ΕΥΕΔ σύμφωνα με το άρθρο 14 παράγραφος 5 της παρούσας απόφασης, να συνάπτει διοικητικό διακανονισμό με τις αρμόδιες αρχές ασφάλειας του εν λόγω τρίτου κράτους ή διεθνούς οργανισμού.

5.

Ηλεκτρονική ανταλλαγή ΔΠΕΕ με τρίτο κράτος ή διεθνή οργανισμό πραγματοποιείται μόνο εφόσον αυτό προβλέπεται ρητώς από τη συμφωνία ασφάλειας πληροφοριών ή τον διοικητικό διακανονισμό.

6.

Στο πλαίσιο διοικητικού διακανονισμού σχετικά με την ανταλλαγή διαβαθμισμένων πληροφοριών, η ΕΥΕΔ και το τρίτο κράτος ή ο διεθνής οργανισμός ορίζουν το καθένα μια γραμματεία ως το κύριο σημείο εισόδου και εξόδου για τις ανταλλαγές διαβαθμισμένων πληροφοριών. Για την ΕΥΕΔ, η γραμματεία αυτή θα είναι η κεντρική γραμματεία της ΕΥΕΔ.

7.

Οι διοικητικοί διακανονισμοί λαμβάνουν κατά κανόνα τη μορφή ανταλλαγής επιστολών.

8.

Οι επισκέψεις αξιολόγησης που αναφέρονται στο άρθρο 16 της παρούσας απόφασης διεξάγονται μέσω αμοιβαίας συμφωνίας με το συγκεκριμένο τρίτο κράτος ή διεθνή οργανισμό και αξιολογούν:

9.

Απαγορεύεται η ανταλλαγή ΔΠΕΕ πριν από τη διενέργεια επίσκεψης αξιολόγησης και τον προσδιορισμό του επιπέδου στο οποίο μπορεί να γίνεται η ανταλλαγή διαβαθμισμένων πληροφοριών μεταξύ των μερών, βάσει της αντιστοιχίας του επιπέδου προστασίας που θα παρασχεθεί στις εν λόγω πληροφορίες.

Εάν, εν αναμονή επίσκεψης αξιολόγησης, ο ύπατος εκπρόσωπος ενημερωθεί για τυχόν εξαιρετικούς ή έκτακτους λόγους που υπαγορεύουν την ανταλλαγή διαβαθμισμένων πληροφοριών, τότε η ΕΥΕΔ:

Εάν η ΕΥΕΔ δεν μπορεί να εξακριβώσει τον φορέα προέλευσης, τότε η αρχή ασφάλειας της ΕΥΕΔ αναλαμβάνει την ευθύνη αυτήν αφού πρώτα λάβει την ομόφωνη ευνοϊκή γνώμη της επιτροπής ασφάλειας της ΕΥΕΔ.

10.

Όταν υφίσταται πλαίσιο σύμφωνα με το άρθρο 10 παράγραφος 1 του παραρτήματος Α για την ανταλλαγή διαβαθμισμένων πληροφοριών με τρίτο κράτος ή διεθνή οργανισμό, η απόφαση κοινοποίησης ΔΠΕΕ από την ΕΥΕΔ σε τρίτο κράτος ή διεθνή οργανισμό λαμβάνεται από την αρχή ασφάλειας της ΕΥΕΔ, η οποία δύναται να μεταβιβάσει την αρμοδιότητα αυτήν σε ανώτερους υπαλλήλους της ΕΥΕΔ ή σε άλλα πρόσωπα υπό τη δικαιοδοσία της.

11.

Εάν ο φορέας προέλευσης των διαβαθμισμένων πληροφοριών που πρόκειται να κοινοποιηθούν, συμπεριλαμβανομένων των φορέων προέλευσης του υλικού πηγής που ενδεχομένως να περιέχονται στις εν λόγω πληροφορίες, δεν είναι η ΕΥΕΔ, η ΕΥΕΔ ζητεί πρώτα τη γραπτή συγκατάθεση του φορέα προέλευσης προκειμένου να διασφαλιστεί ότι δεν υπάρχουν αντιρρήσεις για την κοινοποίησή τους. Εάν η ΕΥΕΔ δεν μπορεί να εξακριβώσει τον φορέα προέλευσης, τότε η αρχή ασφάλειας της ΕΥΕΔ αναλαμβάνει την ευθύνη αυτήν αφού πρώτα λάβει την ομόφωνη ευνοϊκή γνώμη των κρατών μελών όπως εκπροσωπούνται στην επιτροπή ασφάλειας της ΕΥΕΔ.

12.

Ελλείψει ενός από τα πλαίσια που αναφέρονται στο άρθρο 10 παράγραφος 1 του παραρτήματος Α, και όταν τα συμφέροντα της ΕΕ ή ενός ή περισσότερων κρατών μελών της επιβάλλουν την κοινοποίηση ΔΠΕΕ για πολιτικούς, επιχειρησιακούς λόγους ή λόγους έκτακτης ανάγκης, οι ΔΠΕΕ δύναται να κοινοποιηθούν κατ’ εξαίρεση σε τρίτο κράτος ή διεθνή οργανισμό μόλις αναληφθούν οι παρακάτω ενέργειες.

Αφού διασφαλίσει ότι πληρούνται οι προϋποθέσεις που αναφέρονται παραπάνω στην παράγραφο 11, η διεύθυνση ασφάλειας της ΕΥΕΔ:

13.

Επί τη απουσία ενός πλαισίου από αυτά που αναφέρονται στο άρθρο 10 παράγραφος 1 του παραρτήματος Α, το εν λόγω τρίτο μέρος δεσμεύεται γραπτώς να προστατεύει δεόντως τις ΔΠΕΕ.

—

έχουν ανάγκη γνώσης,

—

για πρόσβαση σε πληροφορίες με διαβάθμιση CONFIDENTIEL UE/EU CONFIDENTIAL ή υψηλότερη, έχουν λάβει εξουσιοδότηση ασφάλειας του αντίστοιχου επιπέδου ή άλλη κατάλληλη εξουσιοδότηση βάσει των καθηκόντων τους, σύμφωνα με τις εθνικές νομοθετικές και κανονιστικές διατάξεις, και

—

έχουν ενημερωθεί ως προς τις ευθύνες τους —