27.5.2011   

ES

Diario Oficial de la Unión Europea

L 141/17


DECISIÓN DEL CONSEJO

de 31 de marzo de 2011

sobre las normas de seguridad para la protección de la información clasificada de la UE

(2011/292/UE)

EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea y, en particular, su artículo 240, apartado 3,

Vista la Decisión 2009/937/UE del Consejo, de 1 de diciembre de 2009, por la que se aprueba su Reglamento interno (1), y, en particular, su artículo 24,

Considerando lo siguiente:

(1)

A fin de desempeñar las actividades del Consejo en todos aquellos ámbitos en los que es necesario manejar información clasificada, es conveniente establecer un sistema integral de seguridad para la protección de la información clasificada aplicable al Consejo, a su Secretaría General y a los Estados miembros.

(2)

La presente Decisión debe aplicarse siempre que el Consejo, sus órganos preparatorios y la Secretaría General del Consejo (SGC) manejen información clasificada de la UE (ICUE).

(3)

De conformidad con sus disposiciones legales y reglamentarias nacionales y en la medida de lo necesario para el funcionamiento del Consejo, los Estados miembros deben respetar la presente Decisión siempre que sus autoridades competentes, personal o contratistas manejen ICUE, a fin de que todos ellos puedan tener la seguridad de que se garantiza un nivel equivalente de protección a dicha información.

(4)

El Consejo y la Comisión se han comprometido a aplicar estándares de seguridad equivalentes para la protección de la ICUE.

(5)

El Consejo subraya la importancia de que el Parlamento Europeo y las demás instituciones, agencias, órganos u organismos de la UE queden asociados, cuando proceda, a los principios, estándares y normas de protección de la información clasificada que resultan necesarios para proteger los intereses de la Unión y de sus Estados miembros.

(6)

Las agencias y los órganos de la UE creados en virtud del título V, capítulo 2, del Tratado de la Unión Europea, Europol y Eurojust, aplican, en el contexto de su organización interna, los principios básicos y los estándares mínimos para la protección de la ICUE establecidos en la presente Decisión, con arreglo a sus respectivos textos fundacionales.

(7)

Las operaciones de gestión de crisis establecidas al amparo del título V, capítulo 2, del TUE y su personal aplican las normas de seguridad adoptadas por el Consejo para la protección de la ICUE.

(8)

Los representantes especiales de la UE y los miembros de sus equipos aplican las normas de seguridad adoptadas por el Consejo para la protección de la ICUE.

(9)

La presente Decisión se adopta sin perjuicio de lo dispuesto en los artículos 15 y 16 del Tratado de Funcionamiento de la Unión Europea (TFUE) y de los instrumentos que los desarrollan.

(10)

La presente Decisión se adopta sin perjuicio de las prácticas vigentes en los Estados miembros respecto de la información que proporcionen a sus Parlamentos nacionales sobre las actividades de la Unión.

HA ADOPTADO LA PRESENTE DECISIÓN:

Artículo 1

Objeto, ámbito de aplicación y definiciones

1.   La presente Decisión establece los principios básicos y los estándares mínimos de seguridad para la protección de la ICUE.

2.   Dichos principios básicos y estándares mínimos se aplicarán al Consejo y a la SGC y deberán ser respetados por los Estados miembros, de conformidad con sus respectivas disposiciones legales y reglamentarias nacionales, a fin de que todos ellos puedan tener la seguridad de que se garantiza un nivel equivalente de protección a la ICUE.

3.   A los efectos de la presente Decisión, se aplicarán las definiciones que figuran en el apéndice A.

Artículo 2

Definición de ICUE, clasificaciones de seguridad y marcas

1.   Por «información clasificada de la UE» (ICUE) se entenderá toda información o material a los que se haya asignado una clasificación de seguridad de la UE cuya revelación no autorizada pueda causar perjuicio en distintos grados a los intereses de la Unión Europea o de uno o varios de sus Estados miembros.

2.   La ICUE se clasificará en uno de los grados siguientes:

a)   TRÈS SECRET UE/EU TOP SECRET: información y material cuya revelación no autorizada pueda causar un perjuicio excepcionalmente grave a los intereses esenciales de la Unión Europea o de uno o varios Estados miembros.

b)   SECRET UE/EU SECRET: información y material cuya revelación no autorizada pueda causar un perjuicio grave a los intereses esenciales de la Unión Europea o de uno o varios Estados miembros.

c)   CONFIDENTIEL UE/EU CONFIDENTIAL: información y material cuya revelación no autorizada pueda causar perjuicio a los intereses esenciales de la Unión Europea o de uno o varios Estados miembros.

d)   RESTREINT UE/EU RESTRICTED: información y material cuya revelación no autorizada pueda resultar desfavorable para los intereses de la Unión Europea o de uno o varios Estados miembros.

3.   La ICUE llevará una marca de clasificación de seguridad de conformidad con el apartado 2. Podrá llevar marcas suplementarias para designar el ámbito de actividad al que se refiere, identificar el originador, limitar la difusión, restringir su utilización o indicar la medida en que puede ser cedida.

Artículo 3

Gestión de la clasificación

1.   Las autoridades competentes se asegurarán de que la ICUE se clasifique adecuadamente, quede claramente marcada como información clasificada y solo conserve su grado de clasificación mientras sea necesario.

2.   No se podrá rebajar el grado de clasificación de la ICUE ni desclasificarla, ni modificar o suprimir las marcas a que se refiere el artículo 2, apartado 3, sin el consentimiento previo por escrito del originador.

3.   El Consejo aprobará una política de seguridad para la creación de ICUE que incluirá una guía práctica de clasificación.

Artículo 4

Protección de la información clasificada

1.   La ICUE se protegerá de conformidad con la presente Decisión.

2.   El poseedor de cualquier ICUE tendrá la responsabilidad de protegerla de conformidad con la presente Decisión.

3.   Cuando los Estados miembros introduzcan en las estructuras o redes de la Unión Europea información clasificada que lleve una marca nacional de clasificación de seguridad, el Consejo y la SGC protegerán dicha información con arreglo a los requisitos aplicables a la ICUE del grado equivalente, según el cuadro de equivalencias de las clasificaciones de seguridad que figura en el apéndice B.

4.   Grandes cantidades de ICUE o una compilación de esta podrán justificar un grado de protección que corresponda a una clasificación más elevada.

Artículo 5

Gestión del riesgo de seguridad

1.   La gestión de los riesgos que corre la ICUE adoptará la forma de un proceso, el cual tendrá por objetivo determinar los riesgos de seguridad conocidos, definir las medidas de seguridad para reducir dichos riesgos a un nivel aceptable, de conformidad con los principios básicos y los estándares mínimos establecidos en la presente Decisión, y adecuar estas medidas al concepto de defensa en profundidad definido en el apéndice A. La eficacia de dichas medidas será continuamente evaluada.

2.   Las medidas de seguridad para proteger la ICUE a lo largo de todo su ciclo de vida serán acordes, en particular, con su clasificación de seguridad, la forma y el volumen de la información o material, la ubicación y construcción de la instalación en el que se conserve, y la amenaza de actividades maliciosas o delictivas, evaluadas localmente, en particular el espionaje, el sabotaje y el terrorismo.

3.   Los planes de contingencia tendrán en cuenta la necesidad de proteger la ICUE en situaciones de emergencia, con el fin de impedir el acceso o la revelación no autorizados y la pérdida de integridad o disponibilidad.

4.   En los planes de continuidad de la actividad se incluirán medidas preventivas y de recuperación para reducir al máximo las repercusiones de fallos o incidentes graves en el manejo y almacenamiento de ICUE.

Artículo 6

Aplicación de la presente Decisión

1.   En caso necesario, el Consejo, previa recomendación del Comité de Seguridad, aprobará políticas de seguridad que establezcan medidas de aplicación de la presente Decisión.

2.   El Comité de Seguridad podrá acordar, dentro de su ámbito de competencias, directrices de seguridad que completen o faciliten la aplicación de la presente Decisión y de las políticas de seguridad aprobadas por el Consejo.

Artículo 7

Seguridad en el personal

1.   Por «seguridad en el personal» se entenderá la aplicación de medidas que garanticen que el acceso a la ICUE se concede únicamente a personas que:

tengan necesidad de conocer,

hayan sido habilitadas para el grado de clasificación correspondiente, en caso necesario, y

hayan sido instruidas sobre sus responsabilidades.

2.   Los procedimientos de habilitación personal de seguridad estarán concebidos para determinar si una persona puede ser autorizada para acceder a la ICUE, teniendo en cuenta su lealtad, honradez y fiabilidad.

3.   Todas las personas de la SGC cuyas funciones puedan requerir el acceso a ICUE de grado CONFIDENTIEL UE/EU CONFIDENTIAL o superior deberán haber sido habilitadas para el grado correspondiente antes de poder acceder a dicha información. El procedimiento de habilitación personal de seguridad para los funcionarios y demás agentes de la SGC figura en el anexo I.

4.   El personal de los Estados miembros a que se refiere el artículo 14, apartado 3, cuyas funciones puedan requerir el acceso a ICUE de grado CONFIDENTIEL UE/EU CONFIDENTIAL o superior deberá haber sido habilitado para el grado correspondiente o haber sido debidamente autorizado en virtud de sus funciones, de conformidad con las disposiciones legales y reglamentarias nacionales, antes de poder acceder a dicha información.

5.   Antes de poder acceder a ICUE y, posteriormente, a intervalos periódicos, todas las personas deberán ser instruidas sobre sus responsabilidades en materia de protección de la ICUE conforme a lo dispuesto en la presente Decisión y aceptar dichas responsabilidades.

6.   Las disposiciones para la aplicación del presente artículo figuran en el anexo I.

Artículo 8

Seguridad física

1.   Por «seguridad física» se entenderá la aplicación de medidas de protección física y técnica para impedir el acceso no autorizado a ICUE.

2.   Las medidas de seguridad física estarán concebidas para impedir la entrada, subrepticia o por la fuerza, de intrusos, para disuadir, impedir y descubrir actividades no autorizadas y para segregar al personal en lo que respecta al acceso a ICUE según el principio de necesidad de conocer el contenido de dicha información. Estas medidas se determinarán a partir de un proceso de gestión del riesgo.

3.   Se establecerán medidas de seguridad física en todos los locales, edificios, oficinas, salas y demás zonas en que se maneje o almacene ICUE, incluidas las zonas que alberguen sistemas de información y comunicaciones, en el sentido definido en el artículo 10, apartado 2.

4.   Las zonas en que se almacene ICUE de grado CONFIDENTIEL UE/EU CONFIDENTIAL o superior se establecerán como Zonas de Acceso Restringido, de conformidad con el anexo II, y serán aprobadas por la autoridad de seguridad competente.

5.   Para la protección de ICUE de grado CONFIDENTIEL UE/EU CONFIDENTIAL o superior solo podrán emplearse equipos o dispositivos aprobados.

6.   Las disposiciones de aplicación del presente artículo figuran en el anexo II.

Artículo 9

Tratamiento de la información clasificada

1.   Por «tratamiento de la información clasificada» se entenderá la aplicación de medidas administrativas de control de la ICUE a lo largo de todo su ciclo de vida que completen las medidas contempladas en los artículos 7, 8 y 10 y contribuyan, así, a disuadir, descubrir y subsanar cualquier acto deliberado o accidental que pueda comprometer o suponer la pérdida de dicha información. Estas medidas se refieren, en particular, a la producción, registro, copia, traducción, traslado y destrucción de ICUE.

2.   La información clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL o superior se inscribirá en un registro para fines de seguridad antes de ser distribuida y al ser recibida. Las autoridades competentes de la SGC y de los Estados miembros establecerán a tal fin un sistema de registro. La información clasificada de grado TRÈS SECRET UE/EU TOP SECRET se inscribirá en registros especiales.

3.   Los servicios y locales en los que se maneje o almacene ICUE serán inspeccionados periódicamente por la autoridad de seguridad competente.

4.   La transmisión de la ICUE entre los distintos servicios y locales fuera de las zonas físicamente protegidas se llevará a cabo del siguiente modo:

a)

como norma general, la ICUE se transmitirá por medios electrónicos que estén protegidos con productos criptológicos aprobados de conformidad con lo dispuesto en el artículo 10, apartado 6;

b)

en caso de no utilizarse los medios contemplados en la letra a), la ICUE se transportará por cualquiera de los siguientes medios:

i)

medios electrónicos (por ejemplo, llaves USB, discos compactos o discos duros) que estén protegidos con productos criptológicos aprobados de conformidad con lo dispuesto en el artículo 10, apartado 6, o

ii)

en todos los demás casos, según las prescripciones de la autoridad de seguridad competente y de acuerdo con las pertinentes medidas de protección establecidas en el anexo III.

5.   Las disposiciones de aplicación del presente artículo figuran en el anexo III.

Artículo 10

Protección de la ICUE manejada en los sistemas de información y comunicaciones

1.   Por «garantía de la información» (GI) en el ámbito de los sistemas de información y comunicaciones, se entenderá la confianza en que esos sistemas protejan la información que manejan y funcionen como es necesario que lo hagan, cuando así se precise, bajo el control de sus legítimos usuarios. Una GI efectiva ha de asegurar unos niveles apropiados de confidencialidad, integridad, disponibilidad, no repudio y autenticidad. La GI se basará en un proceso de gestión del riesgo.

2.   Por «sistema de información y comunicaciones» se entenderá el sistema que permite manejar información en formato electrónico. Un sistema de información y comunicaciones abarca todos los medios necesarios para su funcionamiento, incluidos la infraestructura, la organización y los recursos de personal e información. La presente Decisión se aplicará a los sistemas de información y comunicaciones (SIC) que manejen ICUE.

3.   Los SIC manejarán la ICUE de conformidad con el concepto de GI.

4.   Todos los SIC serán objeto de un proceso de acreditación. La acreditación tendrá por objeto obtener garantías de que se han aplicado todas las medidas de seguridad oportunas y se ha logrado un grado de protección suficiente de la ICUE y los SIC, de conformidad con la presente Decisión. La declaración de acreditación determinará el grado máximo de clasificación de la información que pueda manejarse en un SIC, así como las condiciones correspondientes.

5.   Los SIC que manejen información clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL o superior deberán estar protegidos de tal manera que la información no pueda verse comprometida como consecuencia de emanaciones electromagnéticas no intencionadas («medidas de seguridad TEMPEST»).

6.   Cuando la protección de la ICUE se realice mediante productos criptológicos, dichos productos se aprobarán del siguiente modo:

a)

La confidencialidad de la información clasificada de grado SECRET UE/EU SECRET o superior deberá protegerse mediante productos criptológicos aprobados por el Consejo, en su calidad de Autoridad de Certificación Criptológica (ACC), por recomendación del Comité de Seguridad.

b)

La confidencialidad de la información clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL o RESTREINT UE/EU RESTRICTED deberá protegerse mediante productos criptológicos aprobados por el Secretario General del Consejo (en lo sucesivo, el «Secretario General»), en su calidad de ACC, por recomendación del Comité de Seguridad.

No obstante lo dispuesto en la letra b), dentro de los sistemas nacionales de los Estados miembros, la confidencialidad de la ICUE de grado CONFIDENTIEL UE/EU CONFIDENTIAL o RESTREINT UE/EU RESTRICTED podrá protegerse mediante productos criptológicos aprobados por la ACC de un Estado miembro.

7.   Durante la transmisión de la ICUE mediante medios electrónicos, se emplearán productos criptológicos aprobados. Sin perjuicio de este requisito, se podrán aplicar procedimientos específicos en circunstancias urgentes o en configuraciones técnicas específicas, según se indica en el anexo IV.

8.   Las autoridades competentes de la SGC y de los Estados miembros designarán, respectivamente, las siguientes funciones de GI:

a)

una Autoridad de Garantía de la Información (AGI);

b)

una Autoridad TEMPEST;

c)

una Autoridad de Certificación Criptológica (ACC);

d)

una Autoridad de Distribución Criptológica (ADC).

9.   Para cada sistema, las autoridades competentes de la SGC y de los Estados miembros, respectivamente, designarán:

a)

una Autoridad de Acreditación de Seguridad (AAS);

b)

una Autoridad Operacional de Garantía de la Información (AOGI).

10.   Las disposiciones de aplicación del presente artículo figuran en el anexo IV.

Artículo 11

Seguridad industrial

1.   Por «seguridad industrial» se entenderá la aplicación de medidas encaminadas a garantizar la protección de la ICUE por los contratistas o subcontratistas durante las negociaciones precontractuales y durante toda la vigencia de los contratos clasificados. Estos contratos no podrán suponer el acceso a información clasificada de grado TRÈS SECRET UE/EU TOP SECRET.

2.   La SGC podrá encomendar, mediante contrato, a sociedades industriales u otro tipo de entidades registradas en un Estado miembro o en un tercer Estado que haya celebrado un acuerdo o un acuerdo administrativo de conformidad con el artículo 12, apartado 2, letras a) o b), el desempeño de funciones que conlleven el acceso a ICUE o su manejo o almacenamiento.

3.   Cuando actúe como órgano de contratación, la SGC se asegurará, al adjudicar contratos clasificados a sociedades industriales u otro tipo de entidades, de que se cumplan las normas mínimas sobre seguridad industrial que establece la presente Decisión y se indican en el contrato.

4.   La Autoridad Nacional de Seguridad (ANS), la Autoridad de Seguridad Designada (ASD) o cualquier otra autoridad competente de cada Estado miembro velará por que, en la medida en que las disposiciones legales y reglamentarias nacionales lo permitan, los contratistas y subcontratistas registrados en su territorio tomen todas las medidas adecuadas para proteger la ICUE durantes las negociaciones precontractuales y durante la ejecución de un contrato clasificado.

5.   La ANS, la ASD o cualquier otra autoridad de seguridad competente de cada Estado miembro velará por que, de conformidad con las disposiciones legales y reglamentarias nacionales, los contratistas y subcontratistas registrados en dicho Estado miembro que participen en contratos o subcontratos clasificados que requieran el acceso a información clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET en sus establecimientos, ya sea en la ejecución de dichos contratos o durante la fase precontractual, estén en posesión de una habilitación de seguridad de establecimiento del grado de clasificación requerido.

6.   La ANS, la ASD o cualquier otra autoridad de seguridad competente que corresponda concederá una habilitación personal de seguridad (HPS), de conformidad con las disposiciones legales y reglamentarias nacionales y las normas mínimas de seguridad establecidas en el anexo I, al personal del contratista o subcontratista que deba tener acceso a información clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET para ejecutar un contrato clasificado.

7.   Las disposiciones de aplicación del presente artículo figuran en el anexo V.

Artículo 12

Intercambio de información clasificada con terceros Estados y organizaciones internacionales

1.   Cuando el Consejo determine que existe la necesidad de intercambiar ICUE con un tercer Estado o una organización internacional, se establecerá un marco adecuado para ello.

2.   Con el fin de establecer dicho marco y definir normas de protección recíproca de la información clasificada que se intercambie:

a)

el Consejo celebrará acuerdos sobre procedimientos de seguridad para la protección e intercambio de información clasificada (en lo sucesivo, «acuerdos para la seguridad de la información»), o

b)

el Secretario General podrá celebrar acuerdos administrativos a tal efecto de conformidad con el punto 17 del anexo VI, si la ICUE que ha de comunicarse no supera, por lo general, el grado de clasificación RESTREINT UE/EU RESTRICTED.

3.   Los acuerdos de seguridad de la información o los acuerdos administrativos a que se refiere el apartado 2 contendrán disposiciones que garanticen que los terceros países o las organizaciones internacionales que reciban ICUE protegerán dicha información de manera acorde con su grado de clasificación y conforme a normas mínimas que no sean menos estrictas que las que establece la presente Decisión.

4.   La decisión de ceder ICUE producida en el Consejo a un tercer Estado u organización internacional será adoptada por el Consejo, atendiendo a las circunstancias de cada caso, en función de la naturaleza y el contenido de la información, de la necesidad de conocer del destinatario y de la utilidad que pueda tener para la UE. Si el originador de la información clasificada que se desea ceder no es el Consejo, la SGC deberá recabar el consentimiento previo por escrito del originador antes de comunicarla. En caso de que no sea posible determinar el originador, el Consejo asumirá la responsabilidad de aquel.

5.   Se organizarán visitas de evaluación, a fin de verificar la eficacia de las medidas de seguridad establecidas en el tercer país o en la organización internacional de que se trate para proteger la ICUE proporcionada o intercambiada.

6.   Las disposiciones de aplicación del presente artículo figuran en el anexo VI.

Artículo 13

Fallos de seguridad y comprometimiento de la ICUE

1.   Un fallo de seguridad se produce como resultado de una acción u omisión de una persona contraria a las normas de seguridad establecidas en la presente Decisión.

2.   Se produce un comprometimiento de la ICUE cuando, como consecuencia de un fallo de seguridad, dicha información se pone total o parcialmente en conocimiento de personas no autorizadas.

3.   Todo fallo o posible fallo de seguridad deberá comunicarse inmediatamente a la autoridad de seguridad competente.

4.   Cuando se tenga conocimiento o sospechas fundadas de que una ICUE se ha visto comprometida o se ha perdido, la autoridad de seguridad competente tomará todas las medidas oportunas, de conformidad con las disposiciones legales y reglamentarias pertinentes, para:

a)

informar al originador de la información;

b)

asegurarse de que el personal que investiga el caso con el fin de esclarecer los hechos no esté directamente implicado en el fallo de seguridad;

c)

evaluar el posible perjuicio causado a los intereses de la UE o de los Estados miembros;

d)

tomar medidas adecuadas a fin de impedir que se repitan esos hechos, y

e)

notificar a las autoridades competentes las medidas adoptadas.

5.   La persona que sea responsable de un fallo de las normas de seguridad establecidas en la presente Decisión podrá ser objeto de medidas disciplinarias de conformidad con la normativa aplicable. La persona que sea responsable de un comprometimiento o pérdida de ICUE podrá ser objeto de medidas disciplinarias o de una acción judicial de conformidad con las disposiciones legales y reglamentarias aplicables.

Artículo 14

Responsabilidad de la aplicación

1.   El Consejo tomará todas las medidas necesarias para garantizar la coherencia general de la aplicación de la presente Decisión.

2.   El Secretario General tomará todas las medidas necesarias para garantizar que, cuando manejen o almacenen ICUE o cualquier otra clase de información clasificada, tanto los funcionarios y demás agentes de la SGC como el personal destinado en comisión de servicio en la SGC y los contratistas externos de esta apliquen la presente Decisión en los locales empleados por el Consejo y dentro de la SGC, incluidas las oficinas de enlace situadas en terceros Estados.

3.   Los Estados miembros adoptarán, de conformidad con sus disposiciones legales y reglamentarias nacionales, todas las medidas adecuadas para garantizar que, cuando se maneje o almacene ICUE, se respete la presente Decisión por:

a)

el personal de las Representaciones Permanentes de los Estados miembros ante la Unión Europea y por los miembros de las Delegaciones nacionales que asistan a reuniones del Consejo o de sus órganos preparatorios o que participen en otras actividades del Consejo;

b)

el resto del personal de las administraciones nacionales de los Estados miembros, incluido el personal destinado en ellas en comisión de servicio, con independencia de que ejerzan sus funciones en el territorio de los Estados miembros o en el extranjero;

c)

las demás personas de los Estados miembros que, por sus funciones, estén debidamente autorizadas para acceder a ICUE, y

d)

los contratistas de los Estados miembros, tanto en el territorio de los Estados miembros como en el extranjero.

Artículo 15

Organización de la seguridad en el Consejo

1.   En el marco de su función de garantizar la coherencia general en la aplicación de la presente Decisión, el Consejo aprobará:

a)

los acuerdos a que se refiere el artículo 12, apartado 2, letra a);

b)

las decisiones por las que se autorice la cesión de ICUE a terceros Estados y organizaciones internacionales;

c)

un programa anual de inspecciones, propuesto por el Secretario General por recomendación del Comité de Seguridad, para inspeccionar los servicios y locales de los Estados miembros y de las agencias y órganos de la UE creados en virtud del título V, capítulo 2, del TUE, así como de Europol y Eurojust, y efectuar visitas de evaluación a terceros Estados y organizaciones internacionales, con el fin de verificar la eficacia de las medidas establecidas para proteger la ICUE, y

d)

las políticas de seguridad a que se refiere el artículo 6, apartado 1.

2.   El Secretario General será la autoridad de seguridad de la SGC. En calidad de tal, el Secretario General:

a)

aplicará la política de seguridad del Consejo y la revisará regularmente;

b)

establecerá una coordinación con las ANS de los Estados miembros para todas las cuestiones de seguridad relacionadas con la protección de información clasificada pertinente para las actividades del Consejo;

c)

de conformidad con el artículo 7, apartado 3, concederá la HPS de la UE para el acceso a la ICUE a los funcionarios y demás agentes de la SGC antes de que tengan acceso a información clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL o superior;

d)

cuando proceda, ordenará que se investigue toda situación real o supuesta de comprometimiento o pérdida de información clasificada que haya estado en posesión del Consejo o que haya originado este, y pedirá a las autoridades de seguridad competentes que le ayuden en dichas investigaciones;

e)

realizará inspecciones periódicas de las medidas de seguridad adoptadas para la protección de la información clasificada en las instalaciones de la SGC;

f)

realizará inspecciones periódicas de las medidas de seguridad adoptadas para la protección de la ICUE en las agencias y órganos de la UE creados en virtud del título V, capítulo 2, del TUE, Europol, Eurojust, así como en las operaciones de gestión de crisis establecidas en virtud del título V, capítulo 2, del TUE, y las adoptadas por los representantes especiales de la UE (REUE) y los miembros de sus equipos;

g)

realizará, junto con las ANS interesadas y de acuerdo con ellas, inspecciones periódicas de las medidas de seguridad adoptadas para la protección de la ICUE en los servicios e instalaciones de los Estados miembros;

h)

coordinará las medidas de seguridad con las autoridades competentes de los Estados miembros que sean responsables de la protección de la información clasificada y, según proceda, con terceros Estados u organizaciones internacionales, en particular en lo tocante a la naturaleza de las amenazas para la seguridad de la ICUE y a los medios para protegerse de ellas;

i)

celebrará los acuerdos administrativos a que se refiere el artículo 12, apartado 2, letra b), y

j)

realizará visitas de evaluación, una inicial y otras periódicas posteriormente, a los terceros Estados u organizaciones internacionales, a fin de verificar la eficacia de las medidas adoptadas para la protección de la ICUE que se les haya suministrado o que se haya intercambiado con ellos.

La Oficina de Seguridad de la SGC se pondrá a disposición del Secretario General para prestarle ayuda en el ejercicio de estas funciones.

3.   Para la aplicación de lo dispuesto en el artículo 14, apartado 3, los Estados miembros:

a)

designarán una ANS responsable de los acuerdos de seguridad para la protección de la ICUE, con el fin de garantizar que:

i)

la ICUE que esté en posesión de cualquier departamento, órgano u organismo nacional, de carácter público o privado, en el territorio nacional o en el extranjero, esté protegida de conformidad con la presente Decisión,

ii)

se inspeccione periódicamente el cumplimiento de las medidas de seguridad establecidas para la protección de la ICUE,

iii)

toda persona empleada en una administración nacional o por un contratista a la que se pueda conceder acceso a información clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL o superior haya sido debidamente habilitada o debidamente autorizada por otros medios en virtud de sus funciones, de conformidad con las disposiciones legales y reglamentarias nacionales,

iv)

se elaboren los programas de seguridad que se consideren necesarios para minimizar el riesgo de que la ICUE se vea comprometida o se pierda,

v)

para todas las cuestiones de seguridad relacionadas con la protección de la ICUE, exista una coordinación con las demás autoridades nacionales competentes, incluidas aquellas a los que se refiere la presente Decisión, y

vi)

se dé respuesta a las solicitudes adecuadas de habilitación de seguridad remitidas por las agencias y órganos creados en virtud del título V, capítulo 2, del TUE, Europol, Eurojust, así como en las operaciones de gestión de crisis establecidas en virtud del título V, capítulo 2, del TUE y por los REUE y sus equipos.

La lista de las ANS figura en el apéndice C;

b)

se asegurarán de que sus autoridades competentes informen y asesoren a sus respectivos gobiernos y, a través de estos, al Consejo, acerca de la naturaleza de las amenazas que pesan sobre la seguridad de la ICUE y sobre los medios para protegerse de ellas.

Artículo 16

Comité de Seguridad

1.   Por la presente se crea un Comité de Seguridad. Este Comité examinará y evaluará las cuestiones de seguridad incluidas en el ámbito de aplicación de la presente Decisión y hará recomendaciones al Consejo cuando proceda.

2.   El Comité de Seguridad estará integrado por representantes de las ANS de los Estados miembros; asistirá a sus reuniones un representante de la Comisión y del Servicio Europeo de Acción Exterior. El Comité de Seguridad estará presidido por el Secretario General o por la persona en quien este delegue. Se reunirá siguiendo instrucciones del Consejo o a instancias del Secretario General o de una ANS.

Se podrá invitar a representantes de las agencias y órganos de la UE creados en virtud del título V, capítulo 2, del TUE, así como de Europol y Eurojust, a asistir a las reuniones cuando se debatan cuestiones que los afecten.

3.   El Comité de Seguridad organizará sus actividades de manera que pueda formular recomendaciones sobre aspectos específicos de la seguridad. Creará una subsección de expertos en cuestiones relativas a la GI, así como otras subsecciones de expertos, si fuera necesario. Elaborará los mandatos para dichas subsecciones y recibirá los informes que estas realicen sobre sus actividades, entre los que podrán figurar, si se considera oportuno, recomendaciones para el Consejo.

Artículo 17

Sustitución de anteriores decisiones

1.   La presente Decisión deroga y sustituye a la Decisión 2001/264/CE del Consejo, de 19 de marzo de 2001, por la que se adoptan las normas de seguridad del Consejo (2).

2.   Toda la ICUE clasificada conforme a la Decisión 2001/264/CE seguirá estando protegida de acuerdo con las disposiciones pertinentes de la presente Decisión.

Artículo 18

Entrada en vigor

La presente Decisión entrará en vigor el día de su publicación en el Diario Oficial de la Unión Europea.

Hecho en Bruselas, el 31 de marzo de 2011.

Por el Consejo

El Presidente

VÖLNER P.


(1)  DO L 325 de 11.12.2009, p. 35.

(2)  DO L 101 de 11.4.2001, p. 1.


ANEXOS

ANEXO I

Seguridad en el personal

ANEXO II

Seguridad física

ANEXO III

Tratamiento de la información clasificada

ANEXO IV

Protección de la ICUE manejada en los SIC

ANEXO V

Seguridad industrial

ANEXO VI

Intercambio de información clasificada con terceros Estados y organizaciones internacionales

ANEXO I

SEGURIDAD EN EL PERSONAL

I.   INTRODUCCIÓN

1.

El presente anexo establece disposiciones para la aplicación del artículo 7. En concreto, define los criterios que determinan si una persona, teniendo en cuenta su lealtad, honradez y fiabilidad, puede ser autorizada para acceder a ICUE, y los procedimientos administrativos y de investigación que han de seguirse a tal efecto.

2.

A lo largo del presente anexo, salvo cuando la distinción sea pertinente, el término «Habilitación Personal de Seguridad» se emplea indistintamente para referirse a la Habilitación Personal de Seguridad nacional (HPS nacional) y a la Habilitación Personal de Seguridad de la UE (HPS UE), tal como se definen en el apéndice A.

II.   AUTORIZACIÓN DE ACCESO A LA ICUE

3.

Solo se concederá autorización para acceder a información clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL o superior a aquella persona:

a)

cuya necesidad de conocer se haya determinado;

b)

a quien se haya concedido una HPS de grado correspondiente, o a quien se haya autorizado debidamente en virtud de sus funciones, de conformidad con las disposiciones legales y reglamentarias nacionales, y

c)

que haya sido instruida sobre las normas y procedimientos de seguridad para la protección de la ICUE, y que haya aceptado sus responsabilidades en lo que respecta a la protección de dicha información.

4.

Cada Estado miembro y la SGC determinarán los puestos que, dentro de sus respectivas administraciones, exigen el acceso a información clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL o superior y requieren por tanto una HPS de grado correspondiente.

III.   REQUISITOS PARA OBTENER LA HABILITACIÓN PERSONAL DE SEGURIDAD

5.

Una vez recibida una solicitud debidamente autorizada, corresponderá a las ANS u otras autoridades nacionales competentes asegurarse de que se realizan las investigaciones de seguridad sobre aquellos de sus nacionales que deban tener acceso a información clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL o superior. Las investigaciones se ajustarán a las disposiciones legales y reglamentarias nacionales.

6.

En caso de que la persona resida en el territorio de otro Estado miembro o en un tercer Estado, las autoridades nacionales competentes solicitarán la colaboración de la autoridad competente del Estado de residencia, de conformidad con las disposiciones legales y reglamentarias nacionales. Los Estados miembros se prestarán ayuda mutua para la realización de las investigaciones de seguridad, de conformidad con las disposiciones legales y reglamentarias nacionales.

7.

Cuando lo permitan las disposiciones legales y reglamentarias nacionales, las ANS u otras autoridades nacionales competentes podrán realizar investigaciones sobre no nacionales que deban tener acceso a información clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL o superior. Las investigaciones se ajustarán a las disposiciones legales y reglamentarias nacionales.

Criterios para las investigaciones de seguridad

8.

La lealtad, honradez y fiabilidad de una persona a efectos de la concesión de una HPS para acceder a información clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL o superior se determinarán mediante una investigación de seguridad. La autoridad nacional competente realizará una evaluación global basada en el resultado de la investigación de seguridad. Un único hallazgo negativo no constituirá necesariamente razón suficiente para denegar una HPS. Los criterios principales que se aplicarán a este efecto incluirán, en la medida en que lo permitan las disposiciones legales y reglamentarias nacionales, el estudio de si la persona:

a)

ha cometido o intentado cometer, o ha conspirado para cometer o ha sido cómplice en la comisión de cualquier acto de espionaje, terrorismo, sabotaje, traición o sedición;

b)

está o ha estado vinculado con espías, terroristas, saboteadores o personas sobre las que pese una sospecha razonable de pertenecer a esta categoría de personas, o con representantes de organizaciones o Estados extranjeros, incluidos los servicios de inteligencia extranjeros, que puedan suponer una amenaza para la seguridad de la UE o de sus Estados miembros, salvo que dicha relación haya sido autorizada en cumplimiento de una misión oficial;

c)

es o ha sido miembro de cualquier organización que persiga, por medios violentos, subversivos u otros medios ilegales, entre otros, el derrocamiento del gobierno de un Estado miembro, la alteración del orden constitucional de un Estado miembro o el cambio de su forma de gobierno o de la política de su gobierno;

d)

respalda o ha respaldado a cualquier organización que responda a lo descrito en la letra c), o está estrechamente vinculado a miembros de este tipo de organizaciones;

e)

ha ocultado, deformado o falseado deliberadamente información importante, especialmente en el ámbito de la seguridad, o ha mentido deliberadamente al cumplimentar un cuestionario de seguridad en el personal o en el curso de una entrevista de seguridad;

f)

ha sido condenado por uno o varios delitos;

g)

tiene un historial de dependencia del alcohol, consumo de drogas ilícitas o consumo abusivo de drogas lícitas;

h)

tiene o ha tenido alguna conducta que pueda hacerlo vulnerable al chantaje u otro tipo de presiones;

i)

ha demostrado, de obra o de palabra, su falta de honradez, deslealtad, falta de fiabilidad o de probidad;

j)

ha infringido de manera grave o reiterada las normas de seguridad, o ha intentado realizar o ha realizado actividades no autorizadas en relación con sistemas de información y comunicaciones;

k)

puede verse sujeto a presiones (por ejemplo, por tener la nacionalidad de uno o varios países no pertenecientes a la UE o a través de familiares o allegados que puedan ser vulnerables frente a servicios de inteligencia extranjeros, grupos terroristas u otras organizaciones, o personas subversivas cuyos fines puedan amenazar la seguridad de la UE o de los Estados miembros).

9.

Cuando proceda y de conformidad con las disposiciones legales y reglamentarias nacionales, se podrá considerar pertinente para la investigación de seguridad las circunstancias económicas o el historial médico de una persona.

10.

Cuando proceda, y de conformidad con las disposiciones legales y reglamentarias nacionales, podrán también considerarse pertinentes para la investigación de seguridad el carácter, la conducta y las circunstancias de un cónyuge, un cohabitante o un miembro de la familia cercana.

Requisitos de investigación a efectos del acceso a ICUE

Primera concesión de una HPS

11.

La HPS inicial para acceder a información de los grados CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET se basará en una investigación de seguridad que abarque un período de al menos los cinco últimos años, o bien desde que la persona cumplió los 18 años de edad hasta el tiempo presente, eligiendo el período más corto, y que incluya los siguientes aspectos:

a)

cumplimentación de un cuestionario personal de seguridad nacional para el grado de ICUE a la que solicita tener acceso la persona investigada; una vez cumplimentado, el cuestionario se remitirá a la autoridad de seguridad competente;

b)

comprobación de la identidad, ciudadanía o nacionalidad de la persona: se verificará la fecha y lugar de nacimiento de la persona y se comprobará su identidad. Se determinará la ciudadanía o nacionalidad, pasada y presente, de la persona; esta comprobación incluirá una evaluación de la posible vulnerabilidad frente a presiones de fuentes extranjeras, por ejemplo debido a su lugar de residencia anterior o a vinculaciones del pasado, y

c)

comprobación de los registros nacionales y locales: se comprobarán los registros nacionales de seguridad y, si existe, el de antecedentes penales, u otros registros similares de las administraciones públicas y de la policía. Deberán comprobarse los registros policiales o judiciales con competencia territorial en los lugares donde haya residido o trabajado la persona investigada.

12.

La HPS inicial para acceder a información clasificada de grado TRÈS SECRET UE/EU TOP SECRET se basará en una investigación de seguridad que abarque un período de al menos los diez últimos años, o bien desde que el solicitante cumplió 18 años de edad hasta el tiempo presente, eligiendo el período más corto. En caso de realizarse entrevistas conforme a lo previsto en la letra e), las investigaciones abarcarán un período de al menos los siete últimos años, o bien desde que la persona cumplió 18 años de edad hasta el tiempo presente, eligiendo el período más corto. Además de los criterios indicados en el punto 8, antes de conceder una HPS de grado TRÈS SECRET UE/EU TOP SECRET deberán realizarse indagaciones, en la medida en que lo permitan las disposiciones legales y reglamentarias nacionales, sobre los factores que se indican a continuación; estos factores también pueden ser pertinentes antes de conceder una HPS de grado CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET, cuando así lo exijan las disposiciones legales y reglamentarias nacionales:

a)

situación económica: se investigará la situación económica de la persona, con el fin de evaluar si es vulnerable frente a posibles presiones de procedencia extranjera o nacional por sufrir dificultades económicas graves, o con el fin de descubrir ingresos económicos inexplicables;

b)

educación: se investigará a fin de verificar los antecedentes académicos de la persona en escuelas, universidades y otros centros de enseñanza a los que haya asistido desde que haya cumplido 18 años de edad o durante el período que estime conveniente la autoridad que efectúa la investigación;

c)

empleos: se investigará el trabajo actual y los anteriores, consultando registros e informes sobre rendimiento o eficiencia, y la opinión de los empleadores o superiores jerárquicos;

d)

servicio militar: cuando proceda, se verificará la prestación del servicio militar de la persona y las circunstancias de su baja, y

e)

entrevistas: siempre y cuando lo permita y prevea la legislación nacional, se mantendrán una o varias entrevistas con la persona. También se entrevistará a otras personas que estén en condiciones de hacer una valoración imparcial de los antecedentes, las actividades, la lealtad, honradez y fiabilidad del interesado. Si el procedimiento nacional implica la solicitud de garantes al sujeto de la investigación, se entrevistará a las personas que hayan aportado referencias, salvo que existan motivos justificados para no hacerlo.

13.

Cuando sea necesario y de conformidad con las disposiciones legales y reglamentarias nacionales, podrán realizarse investigaciones adicionales con el fin de profundizar en toda la información pertinente de que se disponga sobre una persona y para confirmar o desmentir la información desfavorable.

Renovación de las HPS

14.

Tras la concesión inicial de una HPS, y siempre que la persona haya prestado servicio de forma ininterrumpida en una administración nacional o en la SGC y siga necesitando acceder a ICUE, la HPS se revisará con vistas a su renovación por períodos no superiores a cinco años para las habilitaciones TRÈS SECRET UE/EU TOP SECRET, y a diez años para las habilitaciones SECRET UE/EU SECRET y CONFIDENTIEL UE/EU CONFIDENTIAL, contados a partir de la fecha de notificación del resultado de la última investigación de seguridad que haya servido de base para dichas habilitaciones. Todas las investigaciones de seguridad a efectos de la renovación de una HPS abarcarán el período transcurrido desde la anterior investigación de seguridad.

15.

Para la renovación de las HPS se investigarán los factores señalados en los puntos 11 y 12.

16.

Las solicitudes de renovación se cursarán con la debida antelación, teniendo en cuenta el tiempo necesario para efectuar las investigaciones de seguridad. No obstante, si la ANS pertinente u otra autoridad nacional competente hubiese recibido la oportuna solicitud de renovación y el correspondiente cuestionario personal de seguridad antes de que caduque la habilitación de seguridad y no hubiese finalizado la investigación de seguridad requerida, la autoridad nacional competente podrá, si así lo permiten las disposiciones legales y reglamentarias nacionales, prorrogar la validez de la HPS vigente por un plazo no superior a 12 meses. Si al término de este período de 12 meses la investigación de seguridad no hubiese concluido aún, la persona solo podrá desempeñar funciones que no requieran una HPS.

Procedimientos de HPS en la SGC

17.

En el caso de los funcionarios y demás agentes de la SGC, la autoridad de seguridad de la SGC remitirá el cuestionario personal de seguridad, una vez cumplimentado, a la ANS del Estado miembro del que sea nacional la persona, requiriendo que se realice la investigación de seguridad correspondiente al grado de la ICUE para la que dicha persona requiera el acceso.

18.

Cuando llegue a conocimiento de la SGC información pertinente para la investigación de seguridad sobre una persona que ha solicitado un HPS UE, la SGC, actuando de acuerdo con las disposiciones legales y reglamentarias pertinentes, lo notificará a la ANS pertinente.

19.

Una vez concluida la investigación de seguridad, la ANS pertinente comunicará el resultado de la investigación a la autoridad de seguridad de la SGC, empleando para ello el modelo normalizado de comunicación prescrito por el Comité de Seguridad.

a)

Si los resultados de la investigación de seguridad permiten garantizar que no se conoce ningún dato desfavorable que ponga en entredicho la lealtad, honradez y fiabilidad de la persona, la autoridad facultada para proceder a los nombramientos de la SGC podrá otorgarle una HPS UE y autorizarle para acceder a ICUE del grado pertinente hasta una fecha determinada.

b)

Si los resultados de la investigación de seguridad no aseguran dicha garantía, la autoridad facultada para proceder a los nombramientos de la SGC lo notificará a la persona, que podrá requerir ser oído por esta. La autoridad facultada para proceder a los nombramientos podrá pedir a la ANS competente cuantas aclaraciones le puedan facilitar, de conformidad con sus disposiciones legales y reglamentarias. De confirmarse el resultado anterior, no se concederá la HPS UE.

20.

La investigación de seguridad, junto con los resultados obtenidos deberá ser conforme a las disposiciones legales y reglamentarias vigentes en el Estado miembro en cuestión, incluido todo lo relativo a recursos. Se podrá apelar contra las decisiones de la autoridad facultada para proceder a los nombramientos de la SGC de acuerdo con lo dispuesto en el Estatuto de los funcionarios de la Unión Europea y el régimen aplicable a los otros agentes de la Unión Europea, establecido en el Reglamento (CEE, Euratom, CECA) no 259/68 (1) (denominado en lo sucesivo «el Estatuto de los funcionarios y régimen aplicable»).

21.

La garantía en la que se basa una HPS UE, siempre que siga siendo válida, lo será para cualquier nombramiento de la persona en la SGC o en la Comisión.

22.

En caso de que el período de servicio de la persona no haya comenzado al término de 12 meses a partir de la notificación del resultado de la investigación de seguridad a la autoridad de la SGC facultada para proceder a los nombramientos, o en caso de que haya una interrupción de 12 meses en el tiempo de servicio de esa misma persona durante el cual no haya estado empleado en la SGC ni en la administración pública de un Estado miembro, el resultado de la investigación se remitirá de nuevo a la ANS correspondiente para que confirme que sigue siendo válido y adecuado.

23.

Si la SGC tuviera conocimiento de que una persona que dispone de una HPS UE vigente representa un riesgo para la seguridad, la SGC, actuando conforme a las disposiciones legales y reglamentarias pertinentes, lo notificará a la ANS correspondiente. Si una ANS notifica a la SGC la retirada de una garantía concedida de conformidad con el punto 19, letra a), al titular de una HPS UE, la autoridad facultada para proceder a los nombramientos de la SGC podrá pedir a la ANS cuantas aclaraciones pueda facilitar, de conformidad con sus disposiciones legales y reglamentarias nacionales. Si se confirma la información desfavorable, se le retirará la HPS UE y se le excluirá del acceso a la ICUE y de los puestos en los que pudiera tener acceso a dicha información o poner en peligro la seguridad.

24.

La decisión de retirar una HPS UE a un funcionario u otro agente de la SGC y, en su caso, los motivos para hacerlo se comunicarán a la persona, que podrá requerir ser oído por la autoridad facultada para proceder a los nombramientos. La información facilitada por la ANS deberá ajustarse a las disposiciones legales y reglamentarias vigentes en el Estado miembro en cuestión, incluidas las relativas a los recursos. Se podrá apelar contra las decisiones de la autoridad facultada para proceder a los nombramientos de la SGC de acuerdo con lo dispuesto en el Estatuto de los funcionarios y régimen aplicable.

25.

Los expertos nacionales destinados en la SGC en comisión de servicio para un puesto que requiera una HPS UE para acceder a ICUE deberán presentar a la autoridad de seguridad de la SGC una HPS nacional antes de asumir sus funciones.

Registros de las HPS

26.

Los Estados miembros y la SGC llevarán, respectivamente, registros de las HPS nacionales y de las HPS UE que hayan concedido para acceder a ICUE. Estos registros indicarán, como mínimo, el grado de la ICUE al que la persona puede tener acceso (CONFIDENTIEL UE/EU CONFIDENTIAL o superior), la fecha de concesión de la habilitación y su período de validez.

27.

La autoridad de seguridad competente podrá expedir un Certificado de Habilitación Personal de Seguridad (CHPS) que acredite a qué grado de ICUE puede tener acceso la persona (CONFIDENTIEL UE/EU CONFIDENTIAL o superior), la fecha de validez de la HPS nacional para acceder a ICUE o de la HPS UE y la fecha de caducidad del propio certificado.

Excepciones al requisito de titularidad de una HPS

28.

El acceso a la ICUE de aquellas personas que en los Estados miembros estén debidamente autorizadas en virtud de sus funciones se determinará de conformidad con las disposiciones legales y reglamentarias nacionales; estas personas serán informadas de sus obligaciones respecto de la protección de la ICUE.

IV.   FORMACIÓN Y SENSIBILIZACIÓN EN MATERIA DE SEGURIDAD

29.

Todas las personas a las que se haya otorgado una HPS declararán por escrito que han entendido sus obligaciones respecto a la protección de la ICUE y las consecuencias derivadas de un posible comprometimiento de esta información. Los Estados miembros y la SGC, según corresponda, llevarán un registro de estas declaraciones escritas.

30.

Desde un principio, se sensibilizará a todas las personas que estén autorizadas para acceder a ICUE o que deban manejar este tipo de información, respecto de las amenazas a la seguridad, sobre las que se les aleccionará periódicamente. Dichas personas deberán dar cuenta inmediatamente a las autoridades de seguridad correspondientes de cualquier actitud o actividad que consideren sospechosa o inusual.

31.

Todas las personas que dejen de desempeñar funciones que requieran el acceso a ICUE serán aleccionadas sobre su obligación de seguir protegiendo dicha información, y, en su caso, deberán reconocer tal obligación por escrito.

V.   CIRCUNSTANCIAS EXCEPCIONALES

32.

Si así lo permiten las disposiciones legales y reglamentarias nacionales, una HPS nacional otorgada por una autoridad de seguridad competente de un Estado miembro para el acceso a información clasificada nacional podrá permitir a funcionarios nacionales, de forma temporal y en espera de la concesión de una HPS nacional para acceder a ICUE, el acceso a ICUE de grado equivalente al especificado en el cuadro de equivalencias del apéndice B, siempre que dicho acceso temporal sea necesario para los intereses de la UE. Cuando las disposiciones legales y reglamentarias nacionales no permitan dicho acceso temporal a la ICUE, las ANS informarán de ello al Comité de Seguridad.

33.

Por razones de urgencia, cuando esté debidamente justificado en interés del servicio y en espera de la conclusión de una investigación de seguridad completa, la autoridad facultada para proceder a los nombramientos de la SGC podrá conceder a funcionarios y otros agentes de la SGC una autorización temporal para acceder a ICUE para una función específica, tras haber consultado a la ANS del Estado miembro del que sea nacional la persona y con supeditación al resultado de las indagaciones preliminares encaminadas a verificar que no se conoce ninguna información desfavorable de la misma. La validez de estas autorizaciones temporales no será superior a seis meses ni permitirá acceder a información clasificada de grado TRÈS SECRET UE/EU TOP SECRET. Todas las personas a las que se haya otorgado autorización temporal reconocerán en una declaración escrita que han entendido sus obligaciones respecto a la protección de la ICUE y las consecuencias del comprometimiento de esta información. La SGC llevará un registro de estas declaraciones escritas.

34.

En caso de que se vaya a destinar a una persona a un puesto que requiera una HPS de un grado superior al que posea en ese momento, el nombramiento podrá efectuarse a título provisional, siempre que:

a)

el superior jerárquico de la persona justifique por escrito la necesidad imperiosa de acceso a información clasificada de la UE de un grado superior;

b)

el acceso se limite a elementos concretos de información clasificada de la UE para el desempeño de su función;

c)

la persona disponga de una HPS nacional o HPS UE en vigor;

d)

se hayan iniciado los trámites para la obtención de la autorización de acceso del nivel que el puesto requiera;

e)

la autoridad competente haya comprobado a su satisfacción que la persona no ha infringido de manera grave o reiterada las normas de seguridad;

f)

el nombramiento de la persona haya sido aprobado por la autoridad competente, y

g)

el encargado del registro o registro secundario hará constar la excepción, con una descripción de la información para la cual se haya autorizado el acceso.

35.

Este procedimiento se utilizará para un único acceso a ICUE del grado inmediatamente superior a aquel para el que la persona esté habilitada. No podrá utilizarse este procedimiento de forma reiterada.

36.

En circunstancias muy excepcionales, como misiones en un medio hostil o durante períodos de incremento de la tensión internacional, cuando así lo requieran medidas de urgencia, y en particular cuando estén en peligro vidas humanas, los Estados miembros y el Secretario General o el Secretario General Adjunto podrán autorizar, a ser posible por escrito, el acceso a información de grado CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET a personas que no posean la HPS exigida, siempre que dicha autorización sea imprescindible y no existan dudas razonables sobre la lealtad, honradez y fiabilidad de la persona de que se trate. Dicha autorización se registrará, junto con una descripción de la información para la cual se haya autorizado el acceso.

37.

En el caso de la información clasificada de grado TRÈS SECRET UE/EU TOP SECRET, este acceso de urgencia estará limitado a los nacionales de la UE que hayan sido autorizados para acceder o bien a información clasificada de grado nacional equivalente a TRÈS SECRET UE/EU TOP SECRET o bien a información clasificada de grado SECRET UE/EU SECRET.

38.

El Comité de Seguridad será informado de los casos en los que se recurra el procedimiento establecido en los puntos 36 y 37.

39.

Cuando las disposiciones legales y reglamentarias nacionales de un Estado miembro establezcan normas más estrictas en lo relativo a autorizaciones temporales, nombramientos provisionales, acceso único o acceso de urgencia a información clasificada, los procedimientos previstos en la presente sección se aplicarán únicamente dentro de los límites previstos en las correspondientes disposiciones legales y reglamentarias nacionales.

40.

El Comité de Seguridad recibirá un informe anual sobre el recurso a los procedimientos establecidos en la presente sección.

VI.   ASISTENCIA A REUNIONES DEL CONSEJO

41.

A reserva de lo dispuesto en el punto 28, las personas que deban participar en reuniones del Consejo o de sus órganos preparatorios en las que se examine información clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL o superior solo podrán hacerlo previa comprobación de la situación de su HPS. En el caso de los delegados, un CHPS u otra prueba de HPS deberá ser remitido a la Oficina de Seguridad de la SGC por las autoridades correspondientes, o, de manera excepcional, ser presentado por el delegado afectado. Cuando proceda, podrá utilizarse una lista recapitulativa de nombres en la que figuren las pruebas pertinentes de su HPS.

42.

Cuando, por razones de seguridad, se retire una HPS nacional que permita acceder a ICUE a una persona cuyas funciones requieran la asistencia a sesiones del Consejo o a reuniones de los órganos preparatorios del Consejo, la autoridad competente informará de ello a la SGC.

VII.   ACCESO POTENCIAL A ICUE

43.

Las personas que en el desempeño de sus funciones tengan probabilidad de acceder a información clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL o superior deberán estar debidamente habilitadas o ir escoltadas en todo momento.

44.

Los correos, agentes de seguridad y escoltas serán debidamente habilitados para el grado correspondiente o investigados de forma apropiada según las disposiciones legales y reglamentarias nacionales, se les aleccionará sobre los procedimientos de seguridad para la protección de la ICUE y se les instruirá acerca de sus obligaciones en materia de protección de la información que se les confíe.


(1)  DO L 56 de 4.3.1968, p. 1.

ANEXO II

SEGURIDAD FÍSICA

I.   INTRODUCCIÓN

1.

El presente anexo establece disposiciones para la aplicación del artículo 8. Define los requisitos mínimos para la protección física de los locales, edificios, oficinas, salas y demás zonas donde se maneje y almacene ICUE, incluidas las zonas que alberguen sistemas de información y comunicaciones.

2.

Las medidas de seguridad física estarán concebidas para impedir el acceso no autorizado a ICUE para:

a)

garantizar que la ICUE se maneje y se almacene adecuadamente;

b)

permitir la separación del personal en su acceso a ICUE en función de su necesidad de conocer y, en su caso, de su habilitación de seguridad;

c)

disuadir, impedir y detectar actividades no autorizadas, e

d)

impedir o retrasar la entrada subrepticia o por la fuerza de intrusos.

II.   REQUISITOS Y MEDIDAS DE SEGURIDAD FÍSICA

3.

Las medidas de seguridad física aplicables se determinarán sobre la base de una evaluación de las amenazas realizada por las autoridades competentes. La SGC y cada uno de los Estados miembros aplicarán un proceso de gestión de riesgos para proteger la ICUE en sus respectivos locales, de modo que se garantice un grado de protección física acorde con el riesgo evaluado. El proceso de gestión del riesgo tendrá en cuenta todos los factores pertinentes, en particular:

a)

el grado de clasificación de la ICUE;

b)

la forma y volumen de la ICUE, teniendo presente que grandes cantidades de ICUE o su recopilación podrían requerir la aplicación de medidas de protección más estrictas;

c)

el entorno y la estructura de los edificios o zonas donde se guarde ICUE, y

d)

la evaluación de las amenazas que representan tanto los servicios de inteligencia que tienen como objetivo la UE y sus Estados miembros como el sabotaje, el terrorismo, la subversión u otras actividades delictivas.

4.

Al aplicar el concepto de defensa en profundidad, las autoridades de seguridad competentes determinarán la combinación apropiada de las siguientes medidas de seguridad física que deben aplicarse. Estas pueden incluir una o más de las siguientes:

a)

barreras perimetrales: se trata de barreras físicas que protegen los límites exteriores de la zona que precisa protección;

b)

sistemas de detección de intrusiones (SDI): estos sistemas pueden emplearse para aumentar el grado de seguridad que brinda la barrera perimetral o, en determinadas salas y edificios, en sustitución o como complemento del personal de seguridad;

c)

controles de acceso: los controles de acceso pueden aplicarse en una instalación, en un edificio o edificios de una instalación o en zonas o salas situadas dentro de un edificio; el control puede realizarse por medios electrónicos o electromecánicos, por medio de personal de seguridad, de un recepcionista o de ambos, o por cualquier otro medio físico;

d)

personal de seguridad: puede emplearse, entre otros recursos, personal de seguridad formado, inspeccionado y, en caso necesario, con la debida habilitación de seguridad para disuadir a posibles intrusos que planeen una entrada encubierta;

e)

sistemas de circuito cerrado de televisión (CCTV): estos sistemas pueden ser utilizados por el personal de seguridad para verificar incidentes y alarmas del SDI en emplazamientos de gran extensión o en el perímetro de una zona;

f)

iluminación de seguridad: la iluminación de seguridad puede emplearse para disuadir a posibles intrusos, además de proporcionar la iluminación necesaria para una vigilancia eficaz, bien directamente por parte del personal de seguridad, bien de forma indirecta a través de un CCTV, y

g)

cualquier otra medida apropiada de seguridad física destinada a disuadir o detectar entradas no autorizadas o a prevenir la pérdida o deterioro de ICUE.

5.

Podrá autorizarse a la autoridad competente para llevar a cabo, en las entradas y las salidas, registros que disuadan de todo intento no autorizado de introducir material en los locales o edificios o de sacar de ellos ICUE.

6.

Cuando exista el riesgo de que una ICUE sea objeto de miradas indiscretas, incluso accidentalmente, se tomarán medidas adecuadas para contrarrestar ese riesgo.

7.

Para los nuevos establecimientos, los requisitos de seguridad física y sus especificaciones funcionales se definirán en el momento de la planificación y el diseño del mismo. Para los establecimientos ya existentes, los requisitos de seguridad física se aplicarán en la mayor medida posible.

III.   EQUIPO PARA LA PROTECCIÓN FÍSICA DE LA ICUE

8.

La autoridad de seguridad competente se asegurará de que el equipo que se adquiera para la protección física de la ICUE (armarios de seguridad, trituradoras de papel, cerraduras, sistemas electrónicos de control de acceso, sistemas de detección de intrusos, sistemas de alarma) cumpla los estándares técnicos y los requisitos mínimos aprobados.

9.

Las especificaciones técnicas del equipo que vaya a emplearse para la protección física de la ICUE se establecerán en directrices de seguridad que deberán ser aprobadas por el Comité de Seguridad.

10.

Los sistemas de seguridad se inspeccionarán periódicamente, y se realizará un mantenimiento del equipo con regularidad. Para las operaciones de mantenimiento se tendrá en cuenta el resultado de las inspecciones, a fin de garantizar que el equipo siga funcionando óptimamente.

11.

La eficacia de cada medida de seguridad y del sistema de seguridad en su conjunto se reevaluará en cada inspección.

IV.   ZONAS FÍSICAMENTE PROTEGIDAS

12.

Para la protección física de la ICUE se establecerán dos tipos de zonas físicamente protegidas, o sus equivalentes nacionales:

a)

zonas administrativas, y

b)

zonas de acceso restringido (incluidas las zonas de acceso restringido protegidas por medios técnicos).

En la presente Decisión, toda referencia a las zonas administrativas y a las zonas de acceso restringido, incluidas las zonas de acceso restringido protegidas por medios técnicos, se entenderá que incluye asimismo las equivalentes nacionales.

13.

La autoridad de seguridad competente decidirá si una zona cumple los requisitos para ser designada zona administrativa, zona de acceso restringido o zona acceso restringido protegida por medios técnicos.

14.

Para las zonas administrativas:

a)

se establecerá un perímetro visiblemente definido que permita el control de personas y, cuando sea posible, de vehículos;

b)

solo se permitirá el acceso sin acompañamiento a las personas debidamente autorizadas por la autoridad competente, y

c)

todas las demás personas deberán ser acompañadas en todo momento o ser objeto de controles equivalentes.

15.

Para las zonas de acceso restringido:

a)

se establecerá un perímetro visiblemente definido y protegido en el que se controlen todas las entradas y salidas mediante un sistema de pases o de identificación personal;

b)

solo se permitirá el acceso sin acompañamiento a las personas que tengan una habilitación de seguridad y una autorización específica para entrar en la zona por su necesidad de conocer;

c)

todas las demás personas deberán ser acompañadas en todo momento o ser objeto de controles equivalentes.

16.

Cuando la entrada en una zona de acceso restringido equivalga en la práctica a tener acceso directo a la información clasificada que se encuentre en la zona, se aplicarán además los siguientes requisitos:

a)

se indicará con claridad el máximo grado de clasificación de seguridad de la información que se encuentre normalmente en dicha zona;

b)

todos los visitantes necesitarán una autorización específica para acceder a la zona, estarán acompañados en todo momento y debidamente habilitados, salvo que se tomen medidas para que no sea posible que accedan a la ICUE.

17.

Las zonas de acceso restringido protegidas contra escuchas serán designadas como zonas de acceso restringido protegidas por medios técnicos. Se aplicarán los requisitos adicionales siguientes:

a)

estas zonas estarán equipadas con sistemas de detección de intrusos, se cerrarán con llave cuando no estén ocupadas y se vigilarán cuando estén ocupadas; todas las llaves se controlarán de acuerdo con lo dispuesto en la sección VI;

b)

todas las personas y el material que entren en estas zonas serán objeto de control;

c)

estas zonas serán objeto de inspecciones físicas o técnicas regularmente, según lo requiera la autoridad de seguridad competente; además, serán inspeccionadas también cada vez que se haya producido o se sospeche que se ha producido una entrada no autorizada, y

d)

no habrá en estas zonas ninguna línea de comunicaciones, teléfono ni otro equipo de comunicaciones, ni aparatos eléctricos o electrónicos, salvo los que estén autorizados.

18.

No obstante lo dispuesto en el punto 17, letra d), todos los equipos de comunicaciones y todos los aparatos eléctricos o electrónicos deberán ser examinados por la autoridad de seguridad competente antes de que puedan ser utilizados en zonas donde se estén celebrando reuniones o realizando trabajos en que se maneje información clasificada de grado SECRET UE/EU SECRET y superior, y cuando la amenaza para la ICUE se considere elevada, con el fin de garantizar que ninguna información en claro pueda transmitirse de manera involuntaria o ilícita a través de dichos equipos más allá del perímetro de la zona de acceso restringido de que se trate.

19.

Las zonas de acceso restringido que no estén ocupadas por personal de servicio las veinticuatro horas del día se inspeccionarán, en su caso, al final de la jornada normal de trabajo y a intervalos aleatorios fuera de dicha jornada, a menos que se haya instalado en ellas un sistema de detección de intrusos.

20.

Se podrán establecer con carácter temporal zonas de acceso restringido y zonas de acceso restringido protegidas por medios técnicos en una zona administrativa para la celebración de una reunión clasificada u otro motivo similar.

21.

Para cada zona de acceso restringido se definirán procedimientos operativos de seguridad en los que se disponga lo siguiente:

a)

el grado de la ICUE que puede manejarse o almacenarse en la zona;

b)

las medidas de vigilancia y protección que hayan de aplicarse;

c)

las personas autorizadas para entrar en ella sin acompañamiento en virtud de su necesidad de conocer y de su habilitación de seguridad;

d)

si ha lugar, los procedimientos aplicables a los acompañantes o a la protección de la ICUE cuando se autorice la entrada de cualquier otra persona en la zona;

e)

cualquier otra medida o procedimiento pertinente.

22.

Las cámaras acorazadas se ubicarán en zonas de acceso restringido. Los muros, suelos, techos, ventanas y puertas que puedan cerrarse con llave deberán haber sido aprobados por la autoridad de seguridad competente y ofrecer una protección equivalente a la de un contenedor de seguridad aprobado para el almacenamiento de ICUE del mismo grado de clasificación.

V.   MEDIDAS DE PROTECCIÓN FÍSICA PARA EL MANEJO Y ALMACENAMIENTO DE LA ICUE

23.

La ICUE de grado RESTREINT UE/EU RESTRICTED se podrá manejar:

a)

en una zona de acceso restringido;

b)

en una zona administrativa, siempre que el acceso a la ICUE esté protegido frente a personas no autorizadas, o

c)

fuera de una zona de acceso restringido o de una zona administrativa, siempre que el poseedor transporte la ICUE de conformidad con los puntos 28 a 40 del anexo III y se haya comprometido a cumplir las medidas compensatorias establecidas en las instrucciones de seguridad definidas por la autoridad de seguridad competente para garantizar que la ICUE está protegida del acceso de personas no autorizadas.

24.

La ICUE de grado RESTREINT UE/EU RESTRICTED se guardará en muebles de oficina adecuadamente cerrados con llave en las zonas administrativas o las zonas de acceso restringido. La ICUE de dicho grado podrá almacenarse temporalmente fuera de una zona de acceso restringido o de una zona administrativa, siempre que el poseedor se haya comprometido a cumplir las medidas compensatorias establecidas en las instrucciones de seguridad definidas por la autoridad de seguridad competente.

25.

La ICUE de grado CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET se podrá manejar:

a)

en una zona de acceso restringido;

b)

en una zona administrativa, siempre que se impida el acceso a la ICUE a personas no autorizadas, o

c)

fuera de una zona de acceso restringido o de una zona administrativa siempre que el poseedor:

i)

transporte la ICUE de conformidad con los puntos 28 a 40 del anexo III,

ii)

se haya comprometido a cumplir las medidas compensatorias establecidas en las instrucciones de seguridad definidas por la autoridad de seguridad competente para garantizar que el acceso a la ICUE se impide a personas no autorizadas,

iii)

mantenga la ICUE en todo momento bajo su control personal, y

iv)

en el caso de documentos en papel, haya notificado el hecho al registro correspondiente.

26.

La ICUE de grado CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET se almacenará en una zona de acceso restringido dentro de un contenedor de seguridad o una cámara acorazada.

27.

La ICUE de grado TRÈS SECRET UE/EU TOP SECRET se manejará en una zona de acceso restringido.

28.

La ICUE de grado TRÈS SECRET UE/EU TOP SECRET se almacenará en una zona de acceso restringido en una de las condiciones siguientes:

a)

en un contenedor de seguridad conforme a lo dispuesto en el punto 8, con uno o varios de los controles adicionales siguientes:

i)

protección continua o verificación periódica por personal de seguridad o de servicio habilitado,

ii)

un SDI aprobado, junto con personal de seguridad para intervención en caso de incidente, o

b)

en una cámara acorazada con SDI, junto con personal de seguridad para intervención en caso de incidente.

29.

En el anexo III se recogen las normas para el transporte de ICUE fuera de las zonas físicamente protegidas.

VI.   CONTROL DE LLAVES Y COMBINACIONES EMPLEADAS PARA LA PROTECCIÓN DE ICUE

30.

La autoridad de seguridad competente definirá procedimientos de gestión de las llaves y las combinaciones de las oficinas, salas, cámaras acorazadas y contenedores de seguridad. Estos procedimientos deberán evitar accesos no autorizados.

31.

Las combinaciones serán confiadas al menor número posible de personas que necesiten conocerlas. Las combinaciones de los contenedores de seguridad y cámaras acorazadas en los que se guarde ICUE se modificarán:

a)

cada vez que cambie el personal que conoce la combinación;

b)

cada vez que se haya producido o se sospeche que se ha producido una situación de comprometimiento;

c)

cuando se hayan realizado operaciones de mantenimiento o reparación de una cerradura, y

d)

al menos cada 12 meses.

ANEXO III

TRATAMIENTO DE LA INFORMACIÓN CLASIFICADA

I.   INTRODUCCIÓN

1.

El presente anexo establece disposiciones para la aplicación del artículo 9. Establece las medidas administrativas para controlar la ICUE a lo largo de su ciclo de vida con el fin de prevenir, detectar y subsanar el comprometimiento o la pérdida, accidentales o deliberados, de dicha información.

II.   GESTIÓN DE LA CLASIFICACIÓN

Clasificaciones y marcas

2.

La información se clasificará cuando requiera protección respecto de su confidencialidad.

3.

El originador de la ICUE será responsable de determinar el grado de clasificación de seguridad atendiendo a las directrices de clasificación pertinentes y de la difusión inicial de la información.

4.

El grado de clasificación de la ICUE se determinará de conformidad con el artículo 2, apartado 2, y con referencia a la política de seguridad que se aprobará de conformidad con el artículo 3, apartado 3.

5.

La clasificación de seguridad se indicará clara y correctamente, independientemente de que la ICUE sea verbal o figure en soporte de papel, electrónico o cualquier otro.

6.

Las distintas partes (es decir, páginas, apartados, secciones, anexos, apéndices o documentos adjuntos) de un documento determinado podrán requerir una clasificación diferente, lo cual deberá indicarse en consecuencia, incluso cuando se almacenen en forma electrónica.

7.

El grado global de clasificación de un documento o archivo deberá ser al menos tan alto como el de su componente con mayor grado de clasificación. Cuando se recopile información procedente de diversas fuentes, se revisará el producto final para determinar su grado global de clasificación de seguridad, dado que podría estar justificado un grado de clasificación mayor que el de los componentes que lo forman.

8.

En la medida de lo posible, los documentos que contengan partes con distintos grados de clasificación se estructurarán de tal modo que las partes con un grado de clasificación diferente puedan ser fácilmente reconocidas y separadas, si fuera necesario.

9.

La clasificación de una carta o nota de transmisión de documentos será equivalente al mayor grado de clasificación de los documentos adjuntos. El originador deberá indicar claramente en qué grado está clasificada la información una vez separada de sus documentos adjuntos mediante la marca correspondiente, según el siguiente ejemplo:

CONFIDENTIEL UE/EU CONFIDENTIAL

Sin anexos: RESTREINT UE/EU RESTRICTED

Marcas

10.

Junto con una de las marcas de la clasificación de seguridad fijadas en el artículo 2, apartado 2, la ICUE podrá llevar marcas adicionales tales como:

a)

un identificador para designar al originador;

b)

cualquier advertencia, código o acrónimo que especifique el ámbito de actividad a que se refiere el documento, así como indicaciones relativas a su distribución específica, basada en el principio de la necesidad de conocer, o a restricciones de su uso;

c)

marcas sobre posibilidad de cesión;

d)

en su caso, la fecha o acontecimiento específico tras los cuales podrá rebajarse el grado de clasificación o desclasificarse.

Marcas abreviadas de clasificación

11.

Podrán utilizarse marcas abreviadas normalizadas de clasificación para indicar el grado de clasificación de los diferentes apartados de un texto. Las marcas de clasificación completas no se sustituirán por abreviaturas.

12.

Podrán utilizarse dentro de documentos clasificados de la UE las siguientes abreviaturas normalizadas para indicar el grado de clasificación de secciones o bloques del texto de extensión inferior a una página:

TRÈS SECRET UE/EU TOP SECRET

TS-UE/EU-TS

SECRET UE/EU SECRET

S-UE/EU-S

CONFIDENTIEL UE/EU CONFIDENTIAL

C-UE/EU-C

RESTREINT UE/EU RESTRICTED

R-UE/EU-R

Producción de ICUE

13.

Cuando se genere un documento clasificado de la UE:

a)

cada página llevará claramente marcado el grado de clasificación;

b)

cada página irá numerada;

c)

el documento deberá llevar un número de referencia y un asunto, que no constituirá en sí mismo información clasificada, salvo que se marque como tal;

d)

el documento estará fechado;

e)

los documentos con clasificación SECRET UE/EU SECRET o superior llevarán un número de ejemplar en cada página cuando hayan de distribuirse en varios ejemplares.

14.

Cuando no sea posible aplicar el punto 13 a una ICUE, se tomarán otras medidas adecuadas de conformidad con las directrices de seguridad que se establezcan con arreglo al artículo 6, apartado 2.

Reducción del grado de clasificación y desclasificación de la ICUE

15.

En el momento de producir la información, el originador indicará, cuando sea posible, y en especial si se trata de información clasificada de grado RESTREINT UE/EU RESTRICTED, si el grado de clasificación de la ICUE puede ser reducido o desclasificado a partir de una determinada fecha o tras un acontecimiento concreto.

16.

La SGC revisará periódicamente la ICUE para verificar si el grado de clasificación asignado sigue siendo aplicable. La SGC creará un sistema para revisar, con una frecuencia mínima quinquenal, el grado de clasificación de la ICUE registrada que haya generado. Dicha revisión no será necesaria cuando el originador haya indicado desde el principio que el grado de clasificación de la información podrá ser automáticamente reducido o que la información podrá desclasificarse, y la información haya sido marcada consecuentemente.

III.   REGISTRO DE LA ICUE A EFECTOS DE SEGURIDAD

17.

Todo servicio administrativo de la SGC y de las administraciones públicas de los Estados miembros en que se maneje ICUE contará con un registro competente con el fin de garantizar que la ICUE se maneja de conformidad con las disposiciones de la presente Decisión. Los registros se constituirán como zonas de acceso restringido tal y como se definen en el anexo II.

18.

A efectos de la presente Decisión, por registro a efectos de seguridad (denominado en lo sucesivo «registro») se entenderá la aplicación de procedimientos que registren el ciclo de vida del material de que se trate, incluida su difusión y destrucción.

19.

Todo material clasificado de grado CONFIDENTIEL UE/EU CONFIDENTIAL y superior se inscribirá en registros especiales a su entrada o salida de un servicio administrativo.

20.

El Registro Central de la SGC llevará un registro de toda la información clasificada cedida por el Consejo y la SGC a terceros Estados y organizaciones internacionales y de toda la información clasificada recibida de terceros Estados u organizaciones internacionales.

21.

En el caso de un SIC, los procedimientos de registro podrán llevarse a cabo mediante procesos dentro del propio SIC.

22.

El Consejo aprobará una política de seguridad sobre el registro de ICUE a efectos de seguridad.

Registros TRÈS SECRET UE/EU TOP SECRET

23.

En los Estados miembros y en la SGC se establecerá un registro que actuará como principal organismo receptor y emisor de la información clasificada de grado TRÈS SECRET UE/EU TOP SECRET. Cuando proceda, podrán designarse registros secundarios para manejar dicha información.

24.

Los registros secundarios no podrán transmitir documentos TRÈS SECRET UE/EU TOP SECRET directamente a otros registros secundarios dependientes del mismo registro central TRÈS SECRET UE/EU TOP SECRET ni al exterior sin la aprobación expresa por escrito de este último.

IV.   COPIA Y TRADUCCIÓN DE DOCUMENTOS CLASIFICADOS DE LA UE

25.

Los documentos TRÈS SECRET UE/EU TOP SECRET solo podrán copiarse o traducirse con el consentimiento previo por escrito del originador.

26.

Cuando el originador de documentos clasificados de grado SECRET UE/EU SECRET o inferior no haya impuesto ninguna restricción a su copia o traducción, estos documentos podrán copiarse o traducirse por orden de su poseedor.

27.

Las medidas de seguridad aplicables a los documentos originales serán aplicables a sus copias y traducciones.

V.   TRANSPORTE DE ICUE

28.

El transporte de ICUE estará sujeto a las medidas de protección que se enuncian en los puntos 30 a 40. Cuando se transmita ICUE por medios electrónicos, y no obstante lo dispuesto en el artículo 9, apartado 4, las medidas de protección que figuran a continuación se completarán con las debidas contramedidas técnicas que prescriba la autoridad de seguridad competente, a fin de reducir al mínimo el riesgo de pérdida o comprometimiento.

29.

Las autoridades de seguridad competentes de la SGC y de los Estados miembros emitirán instrucciones para el transporte de ICUE conforme a la presente Decisión.

Dentro de un edificio o grupo independiente de edificios

30.

La ICUE que se transporte dentro de un mismo edificio o grupo independiente de edificios irá cubierta, para evitar que se vea su contenido.

31.

Dentro de un edificio o grupo independiente de edificios la información clasificada de grado TRÈS SECRET UE/EU TOP SECRET se transportará en sobre sellado en el que se indicará únicamente el nombre del destinatario.

Dentro de la UE

32.

La ICUE que se transporte entre edificios o locales de la UE irá empaquetada de forma que quede protegida de una revelación no autorizada.

33.

El transporte de información clasificada de grado SECRET UE/EU SECRET o inferior dentro de la UE se efectuará por uno de los siguientes medios:

a)

correo diplomático, oficial o militar, según proceda;

b)

transporte en mano, siempre que:

i)

la ICUE no deje de estar en posesión del portador, a menos que se almacene de acuerdo con los requisitos establecidos en el anexo II,

ii)

la ICUE no se abra durante el camino ni se lea en lugares públicos,

iii)

se instruya al portador sobre sus responsabilidades en materia de seguridad,

iv)

se entregue al portador un certificado de correo cuando sea necesario;

c)

servicios postales o servicios de mensajería comercial, siempre que:

i)

hayan sido aprobados por la ANS competente de conformidad con las disposiciones legales y reglamentarias nacionales,

ii)

apliquen medidas de protección adecuadas de conformidad con los requisitos mínimos que se establezcan en las directrices de seguridad a que se refiere el artículo 6, apartado 2.

Si el transporte se efectúa de un Estado miembro a otro, las disposiciones de la letra c) se aplicarán únicamente a la información clasificada hasta el grado CONFIDENTIEL UE/EU CONFIDENTIAL.

34.

El material clasificado de grado CONFIDENTIEL UE/EU CONFIDENTIAL y de grado SECRET UE/EU SECRET (por ejemplo, equipo o maquinaria) que no pueda transportarse por los medios indicados en el punto 33 deberá ser transportado como carga por empresas comerciales de transporte con arreglo a lo dispuesto en el anexo V.

35.

El transporte de información clasificada de grado TRÈS SECRET UE/EU TOP SECRET entre edificios o locales de la UE se efectuará por correo diplomático, oficial o militar, según proceda.

Desde la UE al territorio de un tercer Estado

36.

La ICUE que se transporte desde la UE al territorio de un tercer Estado irá empaquetada de forma que quede protegida de una revelación no autorizada.

37.

El transporte de información clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL y de grado SECRET UE/EU SECRET desde la UE al territorio de un tercer Estado se efectuará por uno de los siguientes medios:

a)

correo diplomático o militar;

b)

transporte en mano, siempre que:

i)

el paquete lleve sello oficial, o por sus características indique que se trata de un envío oficial, y no debe someterse a controles aduaneros o de seguridad,

ii)

el portador lleve un certificado de correo, con mención específica del paquete, que le autorice a transportarlo,

iii)

la ICUE no deje de estar en posesión del portador, a menos que se almacene de acuerdo con los requisitos establecidos en el anexo II,

iv)

la ICUE no se abra durante el camino ni se lea en lugares públicos, y

v)

se instruya al portador sobre sus responsabilidades en materia de seguridad.

38.

El transporte de información clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL y de grado SECRET UE/UE SECRET cedida por la UE a un tercer Estado o a una organización internacional deberá atenerse a las disposiciones pertinentes de un acuerdo de seguridad de la información o de un convenio conforme al artículo 12, apartado 2, letras a) o b).

39.

La información clasificada de grado RESTREINT UE/EU RESTRICTED podrá ser transportada también por servicios postales o servicios de mensajería comercial.

40.

El transporte de información clasificada de grado TRÈS SECRET UE/EU TOP SECRET desde la UE hasta el territorio de un tercer Estado se efectuará por correo militar o diplomático.

VI.   DESTRUCCIÓN DE ICUE

41.

Los documentos clasificados de la UE que hayan dejado de ser necesarios podrán destruirse, sin perjuicio de las correspondientes normas sobre archivos.

42.

Los documentos sujetos a registro de conformidad con el artículo 9, apartado 2, serán destruidos por el registro competente por orden de su poseedor o de una autoridad competente. Los libros de registro y cualquier información relacionada con el registro se actualizarán en consecuencia.

43.

Cuando se trate de documentos clasificados de grado SECRET UE/EU SECRET o TRÈS SECRET UE/EU TOP SECRET, la destrucción se realizará en presencia de un testigo, que deberá estar habilitado como mínimo para el grado de clasificación del documento que se vaya a destruir.

44.

El encargado del registro, y el testigo en caso de que se requiera su presencia, firmarán un certificado de destrucción, que se archivará en el registro. El registro conservará los certificados de destrucción de los documentos de grado TRÈS SECRET UE/EU TOP SECRET durante diez años como mínimo y de los documentos de grado CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET durante cinco años como mínimo.

45.

Los documentos clasificados, incluidos los de grado RESTREINT UE/EU RESTRICTED, se destruirán por métodos que cumplan las normas EU pertinentes o normas equivalentes o que hayan sido homologados por los Estados miembros de conformidad con las normas técnicas nacionales, a fin de impedir su reconstrucción total o parcial.

46.

La destrucción de los soportes de almacenamiento informático utilizados para la ICUE se realizará de conformidad con el punto 36 del anexo IV.

VII.   INSPECCIONES Y VISITAS DE EVALUACIÓN

47.

El término «inspección» se empleará en lo sucesivo para designar:

a)

toda inspección realizada de conformidad con el artículo 9, apartado 3, y el artículo 15, apartado 2, letras e), f) y g), o

b)

toda visita de evaluación realizada de conformidad con el artículo 12, apartado 5,

a fin de verificar la eficacia de las medidas establecidas para la protección de la ICUE.

48.

Las inspecciones se realizarán, entre otros fines, para:

a)

asegurarse de que se apliquen las normas mínimas para la protección de la ICUE establecidas en la presente Decisión;

b)

destacar la importancia de la seguridad y de una efectiva gestión del riesgo en las entidades inspeccionadas;

c)

recomendar contramedidas que permitan paliar los efectos específicos de la pérdida de confidencialidad, integridad o disponibilidad de la información clasificada, y

d)

reforzar los programas de formación y de sensibilización en materia de seguridad que ya realicen las autoridades de seguridad.

49.

Antes del término de cada año natural, el Consejo adoptará el programa de inspecciones para el año siguiente prescrito en el artículo 15, apartado 1, letra c). Las fechas concretas de cada inspección se determinarán de común acuerdo con la agencia u órgano de la UE, el Estado miembro, el tercer Estado o la organización internacional afectados.

Realización de las inspecciones

50.

Las inspecciones se llevarán a cabo con el fin de comprobar el cumplimiento de las normas, reglamentaciones y procedimientos pertinentes de la entidad inspeccionada y verificar si las prácticas de dicha entidad se ajustan a los principios básicos y las normas mínimas establecidas en la presente Decisión y a las disposiciones que rigen el intercambio de información clasificada con dicha entidad.

51.

Las inspecciones de seguridad se efectuarán en dos fases. Antes de la inspección propiamente dicha se celebrará una reunión preparatoria con la entidad afectada, si procede. Tras esta reunión preparatoria, el equipo de inspección establecerá, de común acuerdo con la entidad afectada, un programa detallado de inspección que abarque todos los aspectos de la seguridad. El equipo inspector tendrá acceso a todos los locales, en particular a los registros y puntos de presencia de los SIC, en los que se maneje ICUE.

52.

Las inspecciones realizadas en las administraciones públicas de los Estados miembros se realizarán bajo la dirección de un equipo conjunto de inspección de la SGC y de la Comisión, en plena colaboración con los funcionarios de la entidad inspeccionada.

53.

Las inspecciones realizadas en terceros Estados u organizaciones internacionales se efectuarán bajo la dirección de un equipo conjunto de inspección de la SGC y de la Comisión, en plena colaboración con los funcionarios del tercer Estado o de la organización internacional inspeccionados.

54.

Las inspecciones de las agencias y órganos de la UE creados en virtud del título V, capítulo 2, del TUE, así como de Europol y Eurojust, serán efectuadas por la Oficina de Seguridad de la SGC, con asistencia de expertos de la ANS del país en que esté establecida la agencia u órgano UE. La Dirección de Seguridad de la Comisión Europea (DSCE) podrá asociarse a la inspección cuando intercambie periódicamente ICUE con la agencia u órgano en cuestión.

55.

En el caso de las inspecciones de agencias y órganos de la UE creados en virtud del título V, capítulo 2, del TUE, así como de Europol y Eurojust, y de terceros Estados y organizaciones internacionales, se solicitará la asistencia y contribución de expertos de la ANS, de conformidad con las medidas de aplicación que debe acordar el Comité Seguridad.

Informes de inspección

56.

Al término de la inspección se presentarán a la entidad inspeccionada las principales conclusiones y recomendaciones. A continuación, se elaborará un informe de la inspección bajo la responsabilidad de la Oficina de Seguridad de la SGC (en su calidad de organismo de seguridad). Cuando se hayan propuesto medidas correctoras y recomendaciones, el informe incluirá datos suficientes que avalen sus conclusiones. El informe de la inspección se remitirá a la autoridad apropiada de la entidad inspeccionada.

57.

Con respecto a las inspecciones realizadas en las administraciones públicas de los Estados miembros:

a)

el proyecto de informe de inspección se remitirá a las ANS de que se trate para que verifiquen que no contiene errores en cuanto a los hechos ni información clasificada de grado superior a RESTREINT UE/EU RESTRICTED;

b)

salvo cuando la ANS del Estado miembro afectado solicite que no se efectúe una difusión general, los informes de inspección se distribuirán a los miembros del Comité de Seguridad y a la DSCE; el informe llevará la clasificación de RESTREINT UE/EU RESTRICTED.

Se elaborará un informe periódico, bajo la responsabilidad de la Oficina de Seguridad de la SGC, para destacar las principales enseñanzas extraídas de las inspecciones realizadas en los Estados miembros a lo largo de un período determinado; el informe será examinado por el Comité de Seguridad.

58.

Cuando se trate de visitas de evaluación de terceros Estados u organizaciones internacionales, el informe se remitirá al Comité de Seguridad y a la DSCE. Esos informes llevarán la clasificación, como mínimo, de RESTREINT UE/EU RESTRICTED. En las visitas de seguimiento se comprobará la aplicación de las medidas correctoras y se informará de ella al Comité de Seguridad.

59.

Cuando se trate de inspecciones de agencias u órganos de la UE creados en virtud del título V, capítulo 2, del TUE, así como de Europol y Eurojust, los informes de inspección se distribuirán a los miembros del Comité de Seguridad y de la DSCE. Los proyectos de informes de inspección se remitirán a la agencia u órgano de que se trate para que verifique que no contienen errores en cuanto a los hechos ni información clasificada de grado superior a RESTREINT UE/EU RESTRICTED. En las visitas de seguimiento se comprobará la aplicación de las medidas correctoras y se informará de ella al Comité de Seguridad.

60.

La Oficina de Seguridad de la SGC realizará inspecciones periódicas de los servicios administrativos de la SGC a los fines establecidos en el punto 48.

Lista de control para las inspecciones

61.

Corresponderá a la Oficina de Seguridad de la SGC elaborar y actualizar una lista de control para la inspección de seguridad de los puntos que deberán comprobarse en el curso de una inspección. Esta lista y sus eventuales actualizaciones se remitirán al Comité de Seguridad.

62.

La información para completar la lista de control se obtendrá, en particular durante la inspección, de los encargados de la gestión de seguridad de la entidad inspeccionada. Una vez completada con las respuestas detalladas, la lista de control se clasificará de común acuerdo con la entidad inspeccionada. No formará parte del informe de inspección.

ANEXO IV

PROTECCIÓN DE LA ICUE MANEJADA EN LOS SIC

I.   INTRODUCCIÓN

1.

El presente anexo establece disposiciones para la aplicación del artículo 10.

2.

Las siguientes propiedades y conceptos relativos a la GI se consideran esenciales para la seguridad y correcto funcionamiento de las operaciones realizadas en los SIC:

Autenticidad

:

la garantía de que la información es verídica y procede de fuentes de buena fe;

Disponibilidad

:

la propiedad de ser accesible y utilizable en el momento que lo requiera una entidad autorizada;

Confidencialidad

:

la propiedad de la información de no ser revelada a personas, organismos o procesos no autorizados;

Integridad

:

la propiedad de salvaguardar la exactitud y completitud de la información y los activos;

No repudio

:

la capacidad de demostrar que un acto o suceso ha ocurrido efectivamente, de modo que el acto o suceso no pueda negarse posteriormente.

II.   PRINCIPIOS DE LA GI

3.

Las disposiciones que se establecen a continuación constituyen el punto de partida para garantizar la seguridad de todo sistema que maneje ICUE por parte de un SIC. Los requisitos detallados para dar cumplimiento a las presentes disposiciones se definirán en políticas y directrices de seguridad para la GI.

Gestión del riesgo de seguridad

4.

La gestión del riesgo de seguridad será parte integrante de la definición, desarrollo, funcionamiento y mantenimiento de los SIC. La gestión del riesgo (evaluación, tratamiento, aceptación y comunicación) se llevará a cabo como un proceso iterativo y de forma conjunta por parte de los representantes de los propietarios del sistema, las autoridades del proyecto, las autoridades operativas y las autoridades responsables de la aprobación de la seguridad, recurriendo a un método de evaluación del riesgo que haya demostrado su eficacia y sea transparente y plenamente comprensible. El alcance del SIC y de sus activos estará claramente definido ya desde el comienzo del proceso de gestión del riesgo.

5.

Las autoridades competentes examinarán las amenazas potenciales para el SIC y mantendrán evaluaciones de la amenaza actualizadas y exactas que reflejen el entorno operativo del momento. Actualizarán continuamente sus conocimientos de las cuestiones relativas a la vulnerabilidad y revisarán periódicamente la evaluación de la vulnerabilidad para hacer frente al entorno cambiante de las tecnologías de la información (TI).

6.

El tratamiento del riesgo de seguridad tendrá por objeto aplicar un conjunto de medidas de seguridad que creen un equilibrio satisfactorio entre las necesidades de los usuarios, el coste y el riesgo de seguridad residual.

7.

Los requisitos específicos, escala y grado de detalle determinados por la autoridad de acreditación de seguridad pertinente para acreditar un SIC serán proporcionales al riesgo evaluado, teniendo en cuenta todos los factores pertinentes, con inclusión del grado de clasificación de la ICUE manejada por el SIC. La acreditación incluirá una declaración formal sobre el riesgo residual y la aceptación de dicho riesgo por parte de una autoridad competente.

Seguridad a lo largo del ciclo de vida del SIC

8.

Garantizar la seguridad constituirá un requisito a lo largo de todo el ciclo de vida del SIC, desde su comienzo hasta su retirada del servicio.

9.

Para cada fase del ciclo de vida de un sistema, se determinará el papel y la interacción de todo participante en un SIC con respecto a su seguridad.

10.

Cualquier SIC, incluidas sus medidas de seguridad de carácter técnico y no técnico, será objeto de pruebas de seguridad durante su proceso de acreditación, para asegurarse de que se obtiene el nivel adecuado de garantía y verificar que esos sistemas están correctamente aplicados, integrados y configurados.

11.

Se realizarán periódicamente evaluaciones, inspecciones y exámenes de seguridad durante el funcionamiento y el mantenimiento del SIC y cuando se produzcan circunstancias excepcionales.

12.

La documentación de seguridad de un SIC irá evolucionando a lo largo de su ciclo de vida como parte integrante del proceso de gestión de la configuración y del cambio.

Mejores prácticas

13.

La SGC y los Estados miembros colaborarán en el desarrollo de mejores prácticas para la protección de la ICUE manejada en los SIC. Las directrices sobre las mejores prácticas establecerán medidas de seguridad técnicas, físicas, de organización y de procedimiento para los SIC, de probada eficacia para contrarrestar determinadas amenazas y vulnerabilidades.

14.

La protección de la ICUE manejada en SIC se basará en las enseñanzas obtenidas por las entidades que intervienen en la GI tanto dentro de la UE como fuera de ella.

15.

La difusión y ulterior aplicación de las mejores prácticas contribuirán a lograr un nivel equivalente de garantía en los distintos SIC que manejan ICUE y que funcionan en la SGC y en los Estados miembros.

Defensa en profundidad

16.

Para paliar los riesgos en los SIC, se aplicará una serie de medidas de seguridad de carácter técnico y no técnico, organizadas a modo de defensa en barreras sucesivas. Esas barreras de defensa incluirán:

a)   Disuasión: medidas de seguridad destinadas a desalentar a los adversarios que planeen un ataque a un SIC;

b)   Prevención: medidas de seguridad destinadas a impedir u obstaculizar un ataque a un SIC;

c)   Detección: medidas de seguridad destinadas a descubrir que se ha producido un ataque a un SIC;

d)   Resistencia: medidas de seguridad destinadas a limitar las consecuencias de un ataque a un conjunto mínimo de información o de activos de un SIC y a impedir mayores daños, y

e)   Recuperación: medidas de seguridad destinadas a volver al estado anterior de seguridad del SIC.

El grado de rigor de estas medidas de seguridad se determinará mediante una evaluación del riesgo.

17.

Las autoridades competentes se asegurarán de poder responder a incidentes que puedan traspasar los límites de las organizaciones o las fronteras nacionales, con el fin de coordinar las respuestas y compartir información sobre dichos incidentes y los riesgos conexos (capacidades de respuesta para urgencias informáticas).

Principio de minimalidad y privilegios mínimos

18.

Únicamente se pondrán en marcha las funciones, dispositivos y servicios esenciales para cubrir las necesidades operativas, con el fin de evitar riesgos innecesarios.

19.

Los usuarios de los SIC y los procesos automáticos solo obtendrán el acceso, los privilegios o los permisos que necesiten para realizar su cometido, con el fin de limitar los daños resultantes de accidentes, errores o uso no autorizado de recursos de los SIC.

20.

Los procedimientos de registro que efectúa un SIC, cuando es preciso, se verificarán como parte del proceso de acreditación.

Concienciación de la GI

21.

La conciencia de los riesgos y de las medidas de seguridad disponibles constituye la primera línea de defensa de la seguridad de los SIC. En particular, todas las personas que intervienen en el ciclo de vida de un SIC, incluidos sus usuarios, deben ser conscientes:

a)

de que los fallos de seguridad pueden perjudicar seriamente al SIC;

b)

de los posibles daños a terceros que pueden derivarse de la interconectividad e interdependencia, y

c)

de que son responsables de la seguridad del SIC y se les pedirán cuentas según la función que desempeñen en los sistemas y procesos.

22.

Para garantizar que son conscientes de las responsabilidades que conlleva la seguridad, será obligatoria la formación y concienciación en relación con la GI para todo el personal implicado, tanto los altos directivos como los usuarios de SIC.

Evaluación y aprobación de los productos de seguridad de TI

23.

El grado de confianza necesario en las medidas de seguridad, definido como nivel de garantía, se determinará con arreglo al resultado del proceso de gestión del riesgo y en consonancia con las correspondientes políticas y directrices de seguridad.

24.

El nivel de garantía se verificará recurriendo a procedimientos y metodologías reconocidos internacionalmente o aprobados en el plano nacional. Aquí deben incluirse principalmente la evaluación, los controles y las auditorías.

25.

Los productos criptológicos de protección de la ICUE serán evaluados y aprobados por una ACC de un Estado miembro.

26.

Antes de recomendarlos para su aprobación por el Consejo o el Secretario General, de conformidad con el artículo 10, apartado 6, dichos productos criptológicos deberán superar una segunda evaluación realizada por la autoridad debidamente acreditada (ADA) de un Estado miembro que no haya participado en el diseño o fabricación del equipo considerado. El grado de detalle exigido en la segunda evaluación dependerá del grado máximo de clasificación de la ICUE que se prevé proteger con dichos productos. El Consejo aprobará una política de seguridad sobre la evaluación y aprobación de los productos criptológicos.

27.

Cuando ello esté justificado por motivos operativos específicos, el Consejo o el Secretario General, según proceda, podrá, previa recomendación del Comité de Seguridad, dispensar del cumplimiento de los requisitos recogidos en los puntos 25 o 26 y otorgar una aprobación provisional durante un período específico, de conformidad con el procedimiento establecido en el artículo 10, apartado 6.

28.

Un ADA será una ACC de un Estado miembro, acreditada mediante criterios objetivos establecidos por el Consejo para realizar la segunda evaluación de los productos criptológicos de protección de la ICUE.

29.

El Consejo aprobará una política de seguridad sobre la cualificación y aprobación de productos de seguridad de TI no criptológicos.

Transmisión dentro de zonas de acceso restringido

30.

No obstante las disposiciones de la presente Decisión, cuando la transmisión de ICUE se limite a zonas de acceso restringido, podrá utilizarse la difusión no cifrada, o cifrada en un nivel inferior, en base al resultado de un proceso de gestión del riesgo y previa aprobación de la AAS.

Interconexión segura de los SIC

31.

A los efectos de la presente Decisión, por interconexión se entenderá la conexión directa de dos o más sistemas de TI con objeto de compartir datos y otros recursos de información (por ejemplo, comunicación) de forma unidireccional o multidireccional.

32.

Todo SIC tratará como no fiable a cualquier sistema de TI interconectado y aplicará medidas protectoras para controlar el intercambio de información clasificada.

33.

Con relación a todas las interconexiones de un SIC con otro sistema de TI, se observarán los siguientes requisitos básicos:

a)

las autoridades competentes enunciarán y aprobarán los requisitos operacionales o de servicio de dichas interconexiones;

b)

la interconexión se someterá a un proceso de gestión del riesgo y acreditación y necesitará la aprobación de las autoridades de acreditación de seguridad competentes, y

c)

se pondrán en marcha servicios de protección del perímetro de todos los SIC.

34.

No habrá interconexión entre un SIC acreditado y una red desprotegida o pública, salvo cuando el SIC tenga instalado a tal fin un servicio de protección de perímetro aprobado, que actúe entre el SIC y la red desprotegida o pública. Las medidas de seguridad de tales interconexiones serán examinadas por la autoridad de GI competente y aprobadas por la autoridad de acreditación de seguridad competente.

Cuando la red desprotegida o pública se utilice únicamente para el transporte y los datos estén cifrados con un producto criptológico aprobado en conformidad con el artículo 10, se considerará que la conexión no es una interconexión.

35.

Quedarán prohibidas las interconexiones directas o dispuestas en cascada de un SIC acreditado para manejar información clasificada de grado TRÈS SECRET UE/EU TOP SECRET con redes públicas o desprotegidas.

Soportes de almacenamiento informático

36.

Los soportes de almacenamiento informático se destruirán con arreglo a un procedimiento aprobado por la autoridad de seguridad competente.

37.

La reutilización, la reducción del grado de clasificación y la desclasificación de los soportes de almacenamiento informático se efectuarán de conformidad con una política de seguridad establecida de conformidad con el artículo 6, apartado 1.

Circunstancias de emergencia

38.

No obstante lo dispuesto en la presente Decisión, podrán aplicarse los procedimientos específicos que se describen a continuación en casos de emergencia, por ejemplo, en situaciones de crisis, conflicto o guerra, inminentes o reales, o en circunstancias operativas excepcionales.

39.

La ICUE podrá transmitirse utilizando productos criptológicos que hayan sido certificados para un grado de clasificación inferior o sin cifrar con el consentimiento de la autoridad competente, si resulta evidente que un retraso podría causar un daño superior al que acarrea la revelación del material clasificado y si:

a)

el emisor y el receptor carecen de los medios de cifra requeridos o carecen de todo medio de cifra, y

b)

el material clasificado no puede transmitirse a tiempo por otros medios.

40.

En las circunstancias expuestas en el punto 38, la información clasificada transmitida no llevará ninguna marca ni indicación que la distinga de la información no clasificada o que pueda protegerse mediante un producto criptológico disponible. Se notificará sin demora a los receptores el grado de clasificación, recurriendo a otros medios.

41.

Si hubiera que recurrir a lo expuesto en el punto 38, se presentará posteriormente un informe a la autoridad competente y al Comité de Seguridad.

III.   GI: FUNCIONES Y AUTORIDADES

42.

En los Estados miembros y en la SGC se establecerán las siguientes funciones respecto de la GI. Estas funciones no necesitan ser desempeñadas por organismos específicos y únicos. Tendrán cometidos separados. Sin embargo, dichas funciones y sus responsabilidades conexas podrán combinarse o integrarse en el mismo servicio administrativo, o dividirse entre varios de ellos, siempre que se eviten los conflictos internos de intereses o de funciones.

Autoridad de GI

43.

Corresponderá a la autoridad de GI:

a)

establecer políticas y directrices de seguridad relativas a la GI y supervisar su eficacia y pertinencia;

b)

salvaguardar y administrar la información técnica relacionada con los productos criptológicos;

c)

garantizar que las medidas de GI seleccionadas para proteger la ICUE cumplan las normas que rigen su idoneidad y selección;

d)

garantizar que los productos criptológicos se seleccionen de conformidad con las normas que rigen su idoneidad y selección;

e)

coordinar la formación y la concienciación respecto de la GI;

f)

consultar al proveedor del sistema, a los actores en el ámbito de la seguridad y a los representantes de los usuarios sobre las políticas y directrices de seguridad relativas a la GI, y

g)

velar por que se disponga de los conocimientos necesarios en la subsección especializada del Comité de Seguridad para cuestiones de GI.

Autoridad TEMPEST

44.

Corresponderá a la autoridad TEMPEST garantizar que los SIC cumplan las políticas y directrices TEMPEST. La autoridad TEMPEST aprobará contramedidas para instalaciones y productos destinados a proteger ICUE de un determinado grado de clasificación dentro de su entorno operativo.

Autoridad de certificación criptológica

45.

Corresponderá a la ACC garantizar que los productos criptológicos cumplan la política criptológica nacional o la del Consejo. Dará su aprobación a los productos criptológicos para tratar ICUE de un determinado grado de clasificación dentro de su entorno operativo. Por lo que se refiere a los Estados miembros, la autoridad de certificación criptológica se encargará de evaluar los productos criptológicos.

Autoridad de distribución criptológica

46.

Corresponderá a la autoridad de distribución criptológica:

a)

gestionar y contabilizar el material criptológico de la UE;

b)

garantizar que se establezcan y apliquen los procedimientos y cauces adecuados para la contabilidad, manejo, almacenamiento y distribución de todo el material criptológico de la UE, y

c)

garantizar la transferencia del material criptológico de la UE entre las personas o servicios que lo empleen.

Autoridad de acreditación de seguridad

47.

Corresponderá a la autoridad de acreditación de seguridad de cada sistema:

a)

velar por que los SIC cumplan las políticas y directrices de seguridad pertinentes, expedir una declaración de aprobación a los SIC para manejar ICUE de un determinado grado de clasificación en su entorno operativo, en la que se declaren las condiciones de la acreditación y los criterios aplicables para exigir una nueva aprobación;

b)

establecer un proceso de acreditación de seguridad, de conformidad con las políticas pertinentes, que enuncie claramente las condiciones de aprobación de los SIC bajo su autoridad;

c)

definir una estrategia de acreditación de seguridad que indique el grado de detalle para el proceso de acreditación según el nivel de garantía requerido;

d)

examinar y aprobar la documentación de seguridad, incluidas las declaraciones de gestión del riesgo y de riesgo residual, las declaraciones de requisitos específicos de seguridad del sistema, la documentación relativa a la verificación de la aplicación de la seguridad y los procedimientos operativos de seguridad y asegurarse de que se cumplan las normas y políticas de seguridad del Consejo;

e)

comprobar la aplicación de las medidas de seguridad en relación con los SIC realizando o patrocinando evaluaciones de seguridad, inspecciones o exámenes;

f)

aprobar los criterios de seguridad (por ejemplo, los grados de habilitación del personal) para puestos sensibles en relación con los SIC;

g)

refrendar la selección de productos criptológicos y TEMPEST aprobados para dotar de seguridad a los SIC;

h)

aprobar la interconexión de un SIC a otros SIC o, cuando proceda, participar en la aprobación conjunta de dicha interconexión, y

i)

consultar al proveedor del sistema, a los actores en el ámbito de la seguridad y a los representantes de los usuarios respecto de la gestión del riesgo, en particular el riesgo residual, así como sobre las condiciones de la declaración de aprobación.

48.

Corresponderá a la AAS de la SGC la acreditación de todos los SIC que funcionen en el marco del mandato de la SGC.

49.

Corresponderá a la AAS competente de un Estado miembro acreditar los SIC y los componentes de estos que operen dentro de su jurisdicción.

50.

Un Panel de Acreditación de Seguridad se encargará de la acreditación de los SIC que entren dentro de la competencia tanto de la AAS de la SGC como de las AAS de los Estados miembros. Estará integrado por un representante de la AAS de cada Estado miembro, y asistirá a él un representante de la AAS de la Comisión. Se invitará a asistir a otras entidades conectadas a un SIC, cuando dicho sistema se someta a debate.

El Panel de Acreditación de Seguridad estará presidido por un representante de la AAS de la SGC. Se pronunciará por consenso de los representantes de las AAS de las instituciones, de los Estados miembros y de otras entidades conectados al SIC de que se trate. Elaborará informes periódicos sobre sus actividades, destinados al Comité de Seguridad y le comunicará todas las declaraciones de acreditación.

Autoridad operacional de GI

51.

Corresponderá a la autoridad operacional de GI de cada sistema:

a)

elaborar documentación de seguridad en consonancia con las políticas y directrices de seguridad, en particular con los requisitos específicos de seguridad del sistema, incluida la declaración sobre el riesgo residual, los procedimientos operativos de seguridad y el plan criptológico en el proceso de acreditación de SIC;

b)

participar en la selección y ensayo de las medidas técnicas de seguridad específicas para el sistema, de los dispositivos y los programas informáticos; supervisar su aplicación y garantizar que su instalación, configuración y mantenimiento sean seguros, de conformidad con la correspondiente documentación de seguridad;

c)

participar en la selección de medidas de seguridad y dispositivos TEMPEST si lo requiere la enunciación de requisitos específicos de seguridad del sistema y garantizar que su instalación y mantenimiento sean seguros, en colaboración con la autoridad TEMPEST;

d)

supervisar el cumplimiento y aplicación de los procedimientos operativos de seguridad y, cuando proceda, delegar las competencias sobre la seguridad operativa en el propietario del sistema;

e)

gestionar y manejar productos criptológicos, garantizando la custodia de los artículos criptológicos y controlados y, si es preciso, garantizar la generación de variables criptológicas;

f)

realizar análisis, exámenes y ensayos en materia de seguridad, en particular para elaborar los correspondientes informes sobre el riesgo, cuando lo requiera la autoridad de acreditación de seguridad;

g)

proporcionar formación sobre la GI específica para SIC;

h)

aplicar y ejecutar medidas de seguridad específicas para SIC.

ANEXO V

SEGURIDAD INDUSTRIAL

I.   INTRODUCCIÓN

1.

El presente anexo establece disposiciones para la aplicación del artículo 11, así como disposiciones generales en materia de seguridad aplicables a las sociedades industriales u otro tipo de entidades en las negociaciones precontractuales y durante toda la duración de los contratos clasificados adjudicados por la SGC.

2.

El Consejo aprobará una política sobre seguridad industrial que defina, en particular, requisitos detallados en relación con las habilitaciones de seguridad de establecimiento, las cláusulas sobre aspectos de la seguridad, las visitas y la transmisión y el transporte de ICUE.

II.   ELEMENTOS DE SEGURIDAD EN UN CONTRATO CLASIFICADO

Guía de clasificación de seguridad

3.

Antes de convocar una licitación o adjudicar un contrato clasificado, la SGC, como autoridad contratante, determinará la clasificación de seguridad de toda información que deba proporcionarse a los licitadores y contratistas, así como la clasificación de seguridad de toda información que haya de producir el contratista. Para ello, la SGC elaborará una guía de clasificación de seguridad, que deberá emplearse en la ejecución del contrato.

4.

Para determinar la clasificación de seguridad de los diversos elementos de un contrato clasificado se aplicarán los principios siguientes:

a)

al elaborar una guía de clasificación de seguridad, la SGC tendrá en cuenta todos los aspectos de seguridad pertinentes, incluida la clasificación de seguridad atribuida a la información que se facilite y apruebe para ser utilizada en el contrato en cuestión por el originador de la información;

b)

el grado general de clasificación del contrato no podrá ser inferior al mayor grado de clasificación de cualquiera de sus elementos, y

c)

cuando proceda, en caso de que se produzca algún cambio en relación con la clasificación de la información producida por los contratistas o que se les haya facilitado en la ejecución de un contrato, y cuando se introduzca cualquier cambio ulterior en la guía de clasificación de seguridad, la SGC actuará de enlace con las ANS o las ASD de los Estados miembros o cualquier otra autoridad nacional de seguridad afectada.

Cláusula sobre aspectos de la seguridad

5.

Los requisitos de seguridad específicos de un contrato se describirán en una cláusula sobre aspectos de la seguridad, la cual, cuando proceda, incluirá una guía de clasificación de seguridad y será parte integrante del contrato o subcontrato clasificado.

6.

La cláusula sobre aspectos de la seguridad incluirá asimismo las disposiciones que exigirán del contratista o subcontratista el cumplimiento de los estándares mínimos que se establecen en la presente Decisión. El incumplimiento de dichos estándares mínimos podrá ser motivo suficiente para la rescisión del contrato.

Instrucciones de seguridad de un programa o proyecto

7.

Según cuál sea el ámbito de los programas o proyectos que conlleven acceso a ICUE o su manejo o almacenamiento, la autoridad contratante designada para gestionar el programa o proyecto podrá emitir unas instrucciones de seguridad específicas del programa o proyecto. Estas instrucciones requerirán la aprobación de las ANS o de las ASD de los Estados miembros o de cualquier otra autoridad de seguridad competente que participen en un determinado proyecto o programa, y podrán contener requisitos de seguridad adicionales.

III.   HABILITACIÓN DE SEGURIDAD DE ESTABLECIMIENTO

8.

La habilitación de seguridad de establecimiento será concedida por la ANS o la ASD o cualquier otra autoridad de seguridad competente de un Estado miembro para indicar, de conformidad con las disposiciones legales y reglamentarias nacionales, que una sociedad industrial u otro tipo de entidad puede proteger dentro de sus instalaciones la ICUE del grado de clasificación que corresponda (CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET). Dicha habilitación se presentará a la SGC, como autoridad contratante, antes de facilitar o conceder acceso a la ICUE a un contratista o subcontratista, o a un posible contratista o subcontratista.

9.

Al expedir una habilitación de seguridad de establecimiento, la ANS o la ASD competente procederá, como mínimo, a:

a)

evaluar la integridad de la sociedad industrial u otro tipo de entidad;

b)

evaluar la propiedad, el control o cualquier posible influencia indebida que pueda considerarse un riesgo para la seguridad;

c)

verificar que la sociedad industrial u otro tipo de entidad ha implantado un sistema de seguridad en el establecimiento que aplica todas las medidas de seguridad apropiadas necesarias para la protección de la información o el material clasificados de grado CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET, de conformidad con los requisitos prescritos en la presente Decisión;

d)

verificar que la situación de seguridad de los directivos, los propietarios y los empleados que necesitan acceder a información clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET se ha establecido de conformidad con los requisitos prescritos en la presente Decisión;

e)

verificar que la sociedad industrial u otro tipo de entidad ha nombrado un agente de seguridad del establecimiento, que responda ante su dirección de la observancia de las obligaciones en cuanto a la seguridad.

10.

Cuando proceda, la SGC, como autoridad contratante, comunicará a la ANS o a la ASD competente o a cualquier otra autoridad de seguridad competente que es necesario contar con una habilitación de seguridad de establecimiento en la fase precontractual o para la ejecución del contrato. En la fase precontractual, será necesaria una habilitación de seguridad de establecimiento o una HPS cuando durante el proceso de licitación deba facilitarse información clasificada de los grados CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET.

11.

La autoridad contratante no adjudicará un contrato clasificado al licitador seleccionado antes de haber recibido de la ANS o de la ASD o de cualquier otra autoridad de seguridad competente del Estado miembro en que esté registrado el contratista o subcontratista confirmación de que se ha expedido a este la habilitación de seguridad de establecimiento adecuada.

12.

La ANS o la ASD o cualquier otra autoridad de seguridad competente que haya expedido una habilitación de seguridad de establecimiento notificará a la SGC, como autoridad contratante, los cambios que afecten a dicha habilitación. En el caso de los subcontratos, se informará al respecto a la ANS, la ASD o cualquier otra autoridad de seguridad competente.

13.

La retirada de una habilitación de seguridad de establecimiento por parte de la ANS, la ASD o cualquier otra autoridad de seguridad competente constituirá motivo suficiente para que la SGC, como autoridad contratante, rescinda un contrato clasificado o excluya a un licitador de la licitación.

IV.   CONTRATOS Y SUBCONTRATOS CLASIFICADOS

14.

Cuando se facilite ICUE a un licitador en la fase precontractual, el pliego de condiciones deberá contener una cláusula que obligue a los licitadores que no presenten ofertas o que no resulten seleccionados a devolver toda la documentación clasificada en un plazo determinado.

15.

Una vez que se haya adjudicado un contrato o subcontrato clasificado, la SGC, como autoridad contratante, notificará a la ANS, la ASD o cualquier otra autoridad de seguridad competente del contratista o subcontratista, las disposiciones de seguridad del contrato clasificado.

16.

En caso de rescisión de un contrato de este tipo, la SGC, como autoridad contratante (o la ANS, la ASD o cualquier otra autoridad de seguridad competente, según proceda, en el caso de una subcontratación), lo notificarán cuanto antes a los correspondientes organismos o autoridades competentes del Estado miembro en que esté registrado el contratista o subcontratista.

17.

Por regla general, el contratista o subcontratista estará obligado a devolver a la autoridad contratante, al término del contrato o subcontrato clasificado, toda la ICUE que obre en su posesión.

18.

La cláusula sobre aspectos de la seguridad establecerá disposiciones específicas para la eliminación de ICUE durante la ejecución del contrato o al término de este.

19.

Cuando el contratista o subcontratista esté autorizado a conservar ICUE tras la terminación de un contrato, seguirán siendo de aplicación las normas mínimas contenidas en la presente Decisión y el contratista o subcontratista protegerá la confidencialidad de la ICUE.

20.

Las condiciones en que un contratista podrá subcontratar se definirán en el pliego de condiciones y en el contrato.

21.

Antes de subcontratar cualquier parte de un contrato clasificado, el contratista deberá obtener de la SGC, como autoridad contratante, el permiso correspondiente. No podrá adjudicarse un subcontrato a sociedades industriales u otro tipo de entidades registradas en un Estado que no sea miembro de la UE y no haya celebrado un acuerdo de seguridad de la información con esta.

22.

El contratista responderá de que todas las actividades subcontratadas se ejecuten de conformidad con las normas mínimas prescritas en la presente Decisión y no transmitirá ICUE a ningún subcontratista sin el previo consentimiento escrito de la autoridad contratante.

23.

Respecto de la ICUE producida o manejada por el contratista o subcontratista, los derechos que asistan al originador serán ejercidos por la autoridad contratante.

V.   VISITAS EN RELACIÓN CON CONTRATOS CLASIFICADOS

24.

Cuando la SGC, los contratistas o los subcontratistas necesiten acceder a información clasificada de los grados CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET que se halle en los locales de los otros para la ejecución de un contrato clasificado, se organizarán visitas, en contacto con las ANS, las ASD o cualquier otra autoridad de seguridad competente. No obstante, en el contexto de proyectos específicos, las ANS o las ASD podrán también acordar un procedimiento que permita organizar directamente dichas visitas.

25.

Todos los visitantes deberán estar en posesión de una HPS y tener necesidad de conocer para poder acceder a la ICUE relacionada con el contrato de la SGC.

26.

A los visitantes solo se les permitirá el acceso a ICUE que guarde relación con la finalidad de la visita.

VI.   TRANSMISIÓN Y TRANSPORTE DE ICUE

27.

Por lo que se refiere a la transmisión de ICUE por medios electrónicos, se aplicarán las disposiciones pertinentes del artículo 10 y del anexo IV.

28.

Por lo que se refiere al transporte de ICUE, se aplicarán las disposiciones pertinentes del anexo III, de conformidad con las disposiciones legales y reglamentarias nacionales.

29.

Por lo que se refiere al transporte como carga de material clasificado, se aplicarán los siguientes principios para determinar los planes de seguridad:

a)

la seguridad deberá estar garantizada durante todas las fases del transporte, desde el punto de origen hasta el destino final;

b)

el grado de protección concedido a un envío se determinará en función del mayor grado de clasificación del material que contenga;

c)

se obtendrá una habilitación de seguridad de establecimiento del grado adecuado para las sociedades encargadas del transporte. En esos casos, el personal que se ocupe del envío deberá estar habilitado de conformidad con el anexo I;

d)

antes de efectuarse cualquier traslado transfronterizo de material clasificado de los grados CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET, el remitente elaborará un plan de transporte que deberá ser aprobado por la ANS, la ASD o cualquier otra autoridad de seguridad competente afectada;

e)

en la medida de lo posible, los viajes evitarán las paradas intermedias y se completarán con toda la rapidez que las circunstancias permitan;

f)

siempre que sea posible, se circulará exclusivamente a través de Estados miembros. Solo deberán emplearse itinerarios que atraviesen Estados no miembros de la UE previa autorización de la ANS, la ASD o cualquier otra autoridad de seguridad competente tanto del Estado remitente como del destinatario.

VII.   TRANSMISIÓN DE ICUE A CONTRATISTAS ESTABLECIDOS EN TERCEROS ESTADOS

30.

La transmisión de ICUE a contratistas y subcontratistas establecidos en terceros Estados se hará de conformidad con las medidas de seguridad que adopten de común acuerdo la SGC, como autoridad contratante, y la ANS o la ASD del tercer Estado afectado en que esté registrado el contratista.

VIII.   MANEJO Y ALMACENAMIENTO DE INFORMACIÓN CLASIFICADA DE GRADO RESTREINT UE/EU RESTRICTED

31.

La SGC, como autoridad contratante, en colaboración con la ANS o la ASD del Estado miembro, según proceda, estará facultada para realizar visitas a los establecimientos de los contratistas o subcontratistas en virtud de disposiciones contractuales, con el fin de cerciorarse de que se aplican las medidas de seguridad adecuadas para la protección de la ICUE de grado RESTREINT UE/EU RESTRICTED, tal como se haya estipulado en el contrato.

32.

En la medida necesaria de conformidad con las disposiciones legales y reglamentarias nacionales, la SGC, como autoridad contratante, notificará a la ANS, la ASD o cualquier otra autoridad de seguridad competente los contratos o subcontratos que contengan información clasificada de grado RESTREINT UE/EU RESTRICTED.

33.

Para los contratos adjudicados por la SGC que contengan información clasificada de grado RESTREINT UE/EU RESTRICTED, no se exigirá a los contratistas o subcontratistas ni a su personal una habilitación de seguridad de establecimiento ni una HPS.

34.

La SGC, como autoridad contratante, estudiará las respuestas a las invitaciones a presentar ofertas para los contratos que requieran el acceso a información clasificada de grado RESTREINT UE/EU RESTRICTED, independientemente de los requisitos relativos a una habilitación de seguridad de establecimiento o una HPS que puedan exigir las disposiciones legales y reglamentarias nacionales.

35.

Las condiciones en que el contratista podrá subcontratar deberán estar en conformidad con el punto 21.

36.

Cuando un contrato suponga el manejo de información clasificada de grado RESTREINT UE/EU RESTRICTED en un SIC gestionado por un contratista, la SGC, como autoridad contratante, garantizará que en el contrato o en cualquier posible subcontrato se detallen los requisitos técnicos y administrativos necesarios para la acreditación del SIC que sean acordes al riesgo evaluado, teniendo en cuenta todos los factores pertinentes. El ámbito de la acreditación de dicho SIC se determinará mediante acuerdo entre la autoridad contratante y la ANS o la ASD competente.

ANEXO VI

INTERCAMBIO DE INFORMACIÓN CLASIFICADA CON TERCEROS ESTADOS Y ORGANIZACIONES INTERNACIONALES

I.   INTRODUCCIÓN

1.

El presente anexo establece disposiciones para la aplicación del artículo 12.

II.   MARCOS QUE REGULAN EL INTERCAMBIO DE INFORMACIÓN CLASIFICADA

2.

Cuando el Consejo haya determinado que existe la necesidad de intercambiar información clasificada de forma prolongada,

se celebrará un acuerdo de seguridad de la información, o

se celebrará un acuerdo administrativo,

de conformidad con el artículo 12, apartado 2, y las secciones III y IV y sobre la base de una recomendación del Comité de Seguridad.

3.

Cuando la ICUE generada a efectos de una operación PCSD deba comunicarse a terceros Estados u organizaciones internacionales que participen en dicha operación, y cuando no exista ninguno de los marcos a que se refiere el punto 2, el intercambio de ICUE con el tercer Estado u organización internacional de que se trate se regulará, conforme a lo dispuesto en la sección V, por:

un acuerdo marco de participación,

un acuerdo de participación ad hoc, o

de no existir alguno de estos, un acuerdo administrativo ad hoc.

4.

En ausencia de uno de los marcos a que se refieren los puntos 2 y 3, y cuando se adopte la decisión de ceder ICUE a un tercer Estado u organización internacional con arreglo a un procedimiento ad hoc de carácter excepcional de conformidad con lo dispuesto en la sección VI, se pedirán garantías por escrito al tercer Estado u organización internacional interesado de que mantendrá protegida la ICUE que se le ceda de acuerdo con los principios básicos y las normas mínimas establecidas por la presente Decisión.

III.   ACUERDOS DE SEGURIDAD DE LA INFORMACIÓN

5.

Los acuerdos de seguridad de la información establecerán los principios básicos y las normas mínimas aplicables al intercambio de información clasificada entre la UE y un tercer Estado u organización internacional.

6.

Los acuerdos de seguridad de la información establecerán las disposiciones técnicas de aplicación que deban convenirse entre la Oficina de Seguridad de la SGC, la DSCE y la autoridad competente en materia de seguridad del tercer Estado u organización internacional de que se trate. Dichas disposiciones, que deberán ser aprobadas por el Comité de Seguridad, deberán tener en cuenta el grado de protección que ofrezcan las normas, estructuras y procedimientos de seguridad del tercer Estado o la organización internacional de que se trate.

7.

No se intercambiará ICUE por medios electrónicos a menos que se haya previsto explícitamente en el acuerdo de seguridad de la información o en las disposiciones técnicas de aplicación.

8.

Los acuerdos de seguridad de la información establecerán que, antes de intercambiarse la información clasificada en virtud del acuerdo, la Oficina de Seguridad de la SGC y la DSCE acordarán que la parte receptora es capaz de proteger y salvaguardar adecuadamente la información que se le haya facilitado.

9.

En los acuerdos sobre seguridad de la información que celebre el Consejo se designará un registro en cada parte como punto principal de entrada y salida para los intercambios de información clasificada.

10.

Con el fin de evaluar la eficacia de las normas, estructuras y procedimientos de seguridad del tercer Estado o la organización internacional en cuestión, la Oficina de Seguridad de la SGC, junto con la DSCE y de común acuerdo con el tercer Estado o la organización internacional de que se trate, efectuarán visitas de evaluación. Dichas visitas se realizarán de conformidad con las disposiciones pertinentes del anexo III y evaluarán:

a)

el marco regulador aplicable para proteger la información clasificada;

b)

las características propias de la política de seguridad y la manera en que se organiza la seguridad en el tercer Estado u organización internacional, que pueden influir en el grado de la información clasificada que pueda intercambiarse;

c)

las medidas y procedimientos de seguridad que se aplican efectivamente, y

d)

los procedimientos de habilitación de seguridad del grado correspondiente al de la ICUE que ha de cederse.

11.

El equipo que efectúe la visita de evaluación en nombre de la UE evaluará si las normas y procedimientos de seguridad en el tercer Estado o la organización internacional son adecuados para ofrecer protección a la ICUE de un determinado nivel.

12.

Los resultados de estas inspecciones se recogerán en un informe que servirá de base al Comité de Seguridad para determinar el grado máximo de la ICUE que podrá intercambiarse en papel o, cuando proceda, de forma electrónica, con la tercera parte de que se trate, así como las condiciones específicas de dicho intercambio.

13.

Deberá ponerse el máximo empeño en realizar una inspección de seguridad completa en el tercer Estado u organización internacional de que se trate antes de que el Comité de Seguridad apruebe las disposiciones de aplicación, con objeto de determinar la naturaleza y la eficacia del sistema de seguridad que esté establecido. No obstante, cuando ello no resulte posible, el Comité de Seguridad recibirá un informe lo más completo posible de la Oficina de Seguridad de la SGC, basado en la información de que disponga, en el que se le informará de la normativa de seguridad aplicable y de la manera en que está organizada la seguridad en el tercer Estado o la organización internacional de que se trate.

14.

El Comité de Seguridad podrá decidir que, mientras no se hayan examinado los resultados de una visita de evaluación, no se ceda ICUE, o solo hasta un nivel determinado, o podrá fijar otras condiciones específicas para la cesión de ICUE al tercer Estado o a la organización internacional. Ello será notificado por la Oficina de Seguridad de la SGC al tercer Estado o a la organización internacional de que se trate.

15.

De mutuo acuerdo con el tercer Estado o la organización internacional, la Oficina de Seguridad de la SGC llevará a cabo periódicamente visitas de seguimiento con objeto de comprobar que las disposiciones establecidas siguen respetando las normas mínimas acordadas.

16.

Una vez que el acuerdo de seguridad de la información esté en vigor y se haya intercambiado información clasificada con el tercer Estado o la organización internacional de que se trate, el Comité de Seguridad podrá decidir modificar el grado máximo de la ICUE que podrá ser intercambiada en papel o por medios electrónicos, en particular, como consecuencia de posibles visitas de evaluación ulteriores.

IV.   ACUERDOS ADMINISTRATIVOS

17.

Cuando exista la necesidad de intercambiar durante largo tiempo información clasificada, en principio, de un grado no superior a RESTREINT UE/EU RESTRICTED con un tercer Estado o una organización internacional y el Comité de Seguridad haya determinado que la otra parte no cuenta con un sistema de seguridad suficientemente desarrollado como para celebrar un acuerdo de seguridad de la información, el Secretario General podrá, previa aprobación del Consejo, celebrar un acuerdo administrativo con las autoridades competentes del tercer Estado o la organización internacional.

18.

Cuando por motivos operativos urgentes sea necesario establecer rápidamente un marco de intercambio de información clasificada, el Consejo podrá decidir, con carácter excepcional, que se celebre un acuerdo administrativo para el intercambio de información de un grado de clasificación superior.

19.

Por regla general, los acuerdos administrativos adoptarán la forma de un canje de notas.

20.

Antes de ceder efectivamente ICUE al tercer Estado o la organización internacional de que se trate, se realizará una visita de evaluación con arreglo al punto 10 y se remitirá el correspondiente informe al Comité de Seguridad, que deberá considerarlo satisfactorio. No obstante, cuando existan razones excepcionales para el intercambio urgente de información clasificada de las que haya sido informado el Consejo, podrá cederse la ICUE, siempre que se ponga la mayor diligencia en realizar la visita de evaluación cuanto antes.

21.

No se intercambiará ICUE por medios electrónicos a menos que se haya establecido explícitamente en el acuerdo administrativo.

V.   INTERCAMBIO DE INFORMACIÓN CLASIFICADA EN EL CONTEXTO DE LAS OPERACIONES PCSD

22.

La participación de terceros Estados o de organizaciones internacionales en operaciones PCSD se rige por acuerdos marco de participación. Los citados acuerdos incluirán disposiciones en materia de cesión de ICUE generada con motivo de operaciones PCSD a terceros Estados u organizaciones internacionales contribuyentes. No se podrá intercambiar ICUE de grado superior a RESTREINT UE/EU RESTRICTED para operaciones civiles PCSD y CONFIDENTIEL UE/UE CONFIDENTIAL para operaciones militares PCSD, a menos que se prescriba otra cosa en la decisión que establezca cada operación PCSD.

23.

Los acuerdos de participación ad hoc celebrados para una operación PCSD específica incluirán disposiciones sobre la cesión de ICUE generada a efectos de dicha operación a terceros Estados u organizaciones internacionales contribuyentes. No se podrá intercambiar ICUE de grado superior a RESTREINT UE/EU RESTRICTED para operaciones civiles PCSD y CONFIDENTIEL UE/UE CONFIDENTIAL para operaciones militares PCSD, a menos que se prescriba otra cosa en la decisión que establezca cada operación PCSD.

24.

Los acuerdos administrativos ad hoc sobre la participación de un tercer Estado o una organización internacional en una operación PCSD específica podrán incluir, entre otras cosas, la cesión de ICUE generada a efectos de la operación a dicho tercer Estado u organización internacional. Dichos acuerdos administrativos ad hoc se celebrarán de conformidad con los procedimientos establecidos en los puntos 17 y 18. No se podrá intercambiar ICUE de grado superior a RESTREINT UE/EU RESTRICTED para operaciones civiles PCSD y CONFIDENTIEL UE/UE CONFIDENTIAL para operaciones militares PCSD, a menos que se prescriba otra cosa en la decisión que establezca cada operación PCSD.

25.

No será preciso establecer disposiciones de aplicación ni efectuar visitas de evaluación antes de aplicar las disposiciones en materia de cesión de ICUE en el contexto de los puntos 22, 23 y 24.

26.

Cuando el Estado anfitrión en cuyo territorio se lleve a cabo una operación PCSD no tenga con la UE ningún acuerdo o acuerdo administrativo de seguridad de la información en vigor para el intercambio de información clasificada, podrá celebrarse un acuerdo administrativo ad hoc en caso de necesidad operativa específica e inmediata. Esta posibilidad se dispondrá en la decisión que establezca la operación PCSD. La ICUE cedida en esas circunstancias se limitará a la generada para los fines de la operación PCSD y su grado de clasificación no será superior a RESTREINT UE/EU RESTRICTED. En el marco del citado acuerdo administrativo ad hoc, el Estado anfitrión se comprometerá a proteger la ICUE conforme a estándares mínimos no menos estrictos que los establecidos por la presente Decisión.

27.

Las disposiciones sobre la información clasificada que deberán figurar en los acuerdos marco de participación, en los acuerdos de participación ad hoc y en los acuerdos administrativos ad hoc a que se refieren los puntos 22, 23 y 24 establecerán que el tercer Estado u organización internacional afectado deberá garantizar que su personal destinado en comisión de servicio a la operación protegerá la ICUE con arreglo a las normas de seguridad del Consejo y con cualquier otra directriz emitida por las autoridades competentes, incluida la cadena de mando de la operación.

28.

Si la UE y el tercer Estado o la organización internacional contribuyente celebran ulteriormente un acuerdo de seguridad de la información, este acuerdo sustituirá a cualquier acuerdo marco de participación, acuerdo de participación ad hoc o acuerdo administrativo ad hoc previo en lo que se refiere al intercambio y manejo de ICUE.

29.

No se permitirá el intercambio de ICUE por medios electrónicos con arreglo a un acuerdo marco de participación, un acuerdo de participación ad hoc o un acuerdo administrativo ad hoc con un tercer Estado u organización internacional, a menos que se haya establecido explícitamente en el acuerdo o en el acuerdo administrativo en cuestión.

30.

La ICUE generada a efectos de la operación PCSD podrá ser revelada al personal destinado en comisión de servicio para la citada operación por terceros Estados u organizaciones internacionales de conformidad con lo dispuesto en los puntos 22 a 29. Cuando se conceda autorización de acceso a ICUE en los locales o en los SIC de una operación PCSD a dicho personal, se aplicarán las medidas necesarias (incluida la grabación de la ICUE revelada) para evitar riesgos de pérdida o comprometimiento de la información. Estas medidas se determinarán en los documentos de planificación o de misión.

VI.   CESIÓN AD HOC CON CARÁCTER EXCEPCIONAL DE ICUE

31.

En caso de que no exista un marco de conformidad con las secciones III, IV y V, y cuando el Consejo o uno de sus órganos preparatorios determine que es necesario, a título excepcional, ceder ICUE a un tercer Estado o a una organización internacional, la SGC:

a)

comprobará, en la medida de lo posible, en colaboración con las autoridades de seguridad del tercer Estado u organización internacional de que se trate, que su normativa, estructuras y procedimientos de seguridad garantizan que la ICUE que se les ceda será protegida con arreglo a estándares no menos estrictos que los establecidos por la presente Decisión;

b)

invitará al Comité de Seguridad a emitir, basándose en la información disponible, una recomendación sobre el grado de confianza que deba concederse a la normativa, estructuras y procedimientos de seguridad del tercer Estado u organización internacional a la que se comunique ICUE.

32.

Si el Comité de Seguridad emite una recomendación a favor de la cesión de la ICUE, el asunto se comunicará al Comité de Representantes Permanentes (Coreper), que deberá tomar una decisión sobre la cesión de dicha información.

33.

Si la recomendación del Comité de Seguridad no es favorable a la cesión de la ICUE:

a)

para los asuntos relacionados con la PESC o la PCSD, el Comité Político y de Seguridad examinará el asunto y formulará una recomendación al Coreper para que este tome una decisión;

b)

para todos los demás asuntos, el Coreper examinará el asunto y tomará una decisión.

34.

Cuando se considere apropiado, y siempre que se cuente con el consentimiento previo por escrito del originador, el Coreper podrá decidir que la información clasificada sea cedida solo en parte o únicamente si se ha reducido el grado de clasificación o se ha desclasificado previamente; o que la información que deba cederse se elabore sin hacer referencia a la fuente o al grado de clasificación UE original.

35.

Una vez que se haya tomado la decisión de ceder ICUE, la SGC enviará el documento de que se trate, el cual deberá llevar una marca de posibilidad de cesión que indique a qué tercer Estado u organización internacional ha sido cedido. Antes o en el momento de la cesión efectiva, el tercero de que se trate se comprometerá por escrito a proteger la ICUE que reciba de acuerdo con los principios básicos y las normas mínimas que se establecen en la presente Decisión.

VII.   AUTORIDAD PARA CEDER ICUE A TERCEROS ESTADOS U ORGANIZACIONES INTERNACIONALES

36.

Cuando exista un marco para el intercambio de información clasificada con un tercer Estado u organización internacional con arreglo al punto 2, el Consejo adoptará una decisión que autorice al Secretario General a ceder ICUE al tercer Estado o la organización internacional de que se trate, respetando el principio del consentimiento previo del originador.

37.

Cuando exista un marco para el intercambio de información clasificada con un tercer Estado u organización internacional con arreglo al punto 3, se autorizará al Secretario General a ceder ICUE, de conformidad con la decisión por la que se establezca la operación PCSD y respetando el principio del consentimiento previo del originador.

38.

El Secretario General podrá delegar las citadas autorizaciones en altos funcionarios de la SGC u otras personas bajo su autoridad.


Apéndices

Apéndice A

Definiciones

Apéndice B

Correspondencia de las clasificaciones de seguridad

Apéndice C

Lista de Autoridades Nacionales de Seguridad (ANS)

Apéndice D

Lista de abreviaturas

Apéndice A

DEFINICIONES

A los efectos de la presente Decisión, se entenderá por:

«Acreditación»: el proceso que concluye con la declaración formal de la Autoridad de Acreditación de Seguridad (AAS) de que un sistema ha recibido la correspondiente aprobación para tratar material de un grado determinado de clasificación en un modo específico de seguridad en su entorno operativo y con un nivel aceptable de riesgo, en el entendimiento de que se aplica un conjunto aprobado de medidas de seguridad técnicas, físicas, de organización y de procedimiento.

«Activos»: todo lo que tenga valor para una organización, para su funcionamiento y continuidad, incluidos los recursos de información disponibles para llevar a cabo su misión.

«Amenaza»: la posible causa de un incidente no deseado que pueda ocasionar daños a una organización o a alguno de los sistemas que use; las amenazas pueden ser accidentales o deliberadas (maliciosas) y constan de elementos amenazadores, posibles blancos y métodos de ataque.

«Autoridad de Seguridad Designada» (ASD): la autoridad responsable ante la Autoridad Nacional de Seguridad (ANS) de un Estado miembro, encargado de ceder a las sociedades industriales u otro tipo de entidades la política nacional en todos los aspectos de la seguridad industrial y de facilitarles dirección y asistencia para su aplicación. La función de ASD podrá ser ejercida por la ANS o por cualquier otra autoridad competente.

«Certificado de habilitación personal de seguridad» (CHPS): el certificado expedido por una autoridad competente mediante el cual se establece que una persona está habilitada y dispone de una HPS nacional o de la UE válida, y que indica el grado de ICUE a que puede tener acceso (CONFIDENTIEL UE/EU CONFIDENTIAL o superior), el período de validez de la habilitación y la fecha de caducidad del propio certificado.

«Ciclo de vida de un SIC»: la duración completa de la existencia de un SIC, que comprende inicio, concepción, planificación, análisis de requisitos, diseño, desarrollo, pruebas, aplicación, funcionamiento y mantenimiento, y desmantelamiento.

«Cláusula sobre aspectos de la seguridad»: conjunto de condiciones contractuales especiales impuestas por la autoridad contratante y que forman parte integrante de un contrato clasificado que conlleve el acceso a ICUE o la creación ese tipo de información; en ella se enumeran los requisitos de seguridad o los elementos del contrato que requieren protección de seguridad.

«Contratista»: la persona física o jurídica con capacidad legal para celebrar contratos.

«Contrato clasificado»: el contrato celebrado entre la SGC y un contratista para el suministro de bienes, la ejecución de obras o la prestación de servicios cuya ejecución exija o implique el acceso a ICUE o la creación de dicha información.

«Defensa en profundidad»: la aplicación de una serie de medidas de seguridad organizadas a modo de defensa en barreras sucesivas.

«Desclasificación»: supresión de toda clasificación de seguridad.

«Documento»: toda información registrada, independientemente de su soporte o características físicas.

«Garantía de la información»: véase el artículo 10, apartado 1.

«Guía de clasificación de seguridad»: documento que describe los elementos de un programa o contrato que están clasificados, con especificación de los grados de clasificación de seguridad aplicables. La guía de clasificación de seguridad podrá ampliarse durante toda la vigencia del programa o contrato, y se podrá reducir el grado de clasificación o reclasificar los elementos de información; cuando exista una guía de clasificación de seguridad, formará parte de la cláusula sobre aspectos de la seguridad.

«Habilitación de seguridad de establecimiento»: la certificación administrativa por parte de una ANS o una ASD de que, desde el punto de vista de la seguridad, un determinado establecimiento puede brindar un nivel adecuado de protección a la ICUE de un grado específico de clasificación de seguridad, y de que el personal que trabaja en dicho establecimiento y necesita acceder a ICUE ha sido debidamente habilitado y ha sido aleccionado sobre los requisitos de seguridad necesarios para acceder a la ICUE y para protegerla.

«Habilitación personal de seguridad» (HPS): la que corresponde a una de las definiciones siguientes o a ambas:

—   «Habilitación personal de seguridad de la UE» (HPS UE) para acceder a ICUE: la autorización que dimana de la autoridad facultada para proceder a los nombramientos de la SGC, otorgada de conformidad con la presente Decisión una vez realizada una investigación de seguridad por parte de las autoridades competentes de un Estado miembro, mediante la cual se acredita que una persona puede tener acceso a ICUE de un determinado grado (CONFIDENTIEL UE/EU CONFIDENTIAL o superior) hasta una fecha determinada, siempre que se establezca su necesidad de conocer dicha información; de la persona que se ajuste a esta descripción se dirá que está «habilitada».

—   «Habilitación personal de seguridad nacional» (HPS nacional) para acceder a ICUE: la declaración de una autoridad competente de un Estado miembro, efectuada al término de una investigación de seguridad realizada por las autoridades competentes del Estado miembro, mediante la cual se acredita que una persona puede tener acceso a ICUE de un determinado grado (CONFIDENTIEL UE/EU CONFIDENTIAL o superior) hasta una fecha determinada, siempre que se establezca su necesidad de conocer dicha información; de la persona que se ajuste a esta descripción se dirá que está «habilitada».

«Información clasificada de la UE» (ICUE): véase el artículo 2, apartado 1.

«Inscripción en un registro»: véase el anexo III, punto 18.

«Instrucciones de seguridad de un programa o proyecto»: lista de procedimientos de seguridad aplicables a un programa o proyecto específico para tipificar los procedimientos de seguridad. Puede ser objeto de revisión a lo largo de la ejecución del programa o proyecto.

«Interconexión»: véase el anexo IV, punto 31.

«Investigación de seguridad»: procedimiento de investigación efectuado por la autoridad competente de un Estado miembro con arreglo a las disposiciones legales y reglamentarias nacionales vigentes, con el fin de obtener la garantía de que no se conocen datos desfavorables que impidan conceder a una persona determinada una HPS nacional o de la UE para acceder a ICUE de un determinado grado (CONFIDENTIEL UE/EU CONFIDENTIAL o superior).

«Manejo» de ICUE: toda intervención posible a la que puede estar sujeta a lo largo de su ciclo de vida la ICUE, es decir: producción, tratamiento, traslado, reducción del grado de clasificación, desclasificación y destrucción. En relación con los SIC abarca asimismo su recopilación, exposición, transmisión y almacenamiento.

«Material»: todo documento, máquina o aparato, producido o en proceso de producción.

«Material de cifra»: algoritmos criptológicos, módulos criptológicos software y hardware, y productos, incluida la información sobre su uso y la documentación pertinente y los datos de claves.

«Modo de operación de seguridad»: el conjunto de las condiciones de funcionamiento de un SIC, definidas sobre la base de la clasificación de la información manejada y de los grados de habilitación, las aprobaciones formales de acceso y la necesidad de conocer de los usuarios. Existen cuatro modos de operación para el manejo y la transmisión de información clasificada: dedicado, unificado a nivel superior, compartimentado y multinivel.

—   «Modo dedicado»: modo de operación en el que todas las personas con acceso al SIC están habilitadas al grado más alto de clasificación de la información manejada en él y tienen la misma necesidad de conocer toda la información manejada en el SIC.

—   «Modo unificado a nivel superior»: modo de operación en el que todas las personas con acceso al SIC están habilitadas al grado más alto de clasificación de la información manejada en él, pero en el que no todas las personas con acceso al SIC tienen la misma necesidad de conocer la información manejada en él; la aprobación para acceder a la información puede darla una persona.

—   «Modo compartimentado»: modo de operación en el que todas las personas con acceso al SIC están habilitadas al grado más alto de clasificación de la información manejada en él, pero no todas las personas con acceso al SIC poseen una autorización formal de acceso a toda la información manejada en él; la autorización formal supone, a diferencia del acceso que se concede a discreción de una persona, la existencia de una gestión formal centralizada del control de acceso.

—   «Modo multinivel»: modo de operación en el que no todas las personas con acceso al SIC están habilitadas al grado más alto de clasificación de la información manejada en él, y no todas las personas con acceso al SIC tienen la misma necesidad de conocer la información manejada en él.

«Operación PCSD»: una operación militar o civil de gestión de crisis en virtud del título V, capítulo 2, del TUE.

«Originador»: la institución, agencia u organismo de la UE, el Estado miembro, el tercer Estado o la organización internacional bajo cuya autoridad se ha producido información clasificada o se ha introducido en las estructuras de la UE.

«Poseedor»: persona debidamente autorizada con una probada necesidad de conocer la información, que está en posesión de cualquier ICUE y es, por tanto, responsable de su protección.

«Proceso de gestión del riesgo de seguridad»: la totalidad del proceso de determinación, control y disminución de acontecimientos inciertos que puedan afectar a la seguridad de una organización o de cualquiera de los sistemas que utiliza. Abarca todas las actividades relacionadas con los riesgos, incluida la evaluación, tratamiento, aceptación y comunicación.

«Reducción del grado de clasificación»: reducción del grado de clasificación de seguridad.

«Riesgo»: la posibilidad de que una determinada amenaza se aproveche de las vulnerabilidades internas o externas de una organización o de cualquier sistema que esta utilice y al hacerlo ocasione daños a la organización o a sus activos tangibles o intangibles. Se mide como la combinación de la probabilidad de que se cumplan las amenazas y de su repercusión.

—   «Aceptación del riesgo»: la decisión de aceptar, una vez tratado el riesgo, la persistencia de un riesgo residual.

—   «Evaluación del riesgo»: consiste en determinar las amenazas y las vulnerabilidades, y llevar a cabo el correspondiente análisis del riesgo, es decir, el análisis de la probabilidad y de las repercusiones.

—   «Comunicación del riesgo»: consiste en sensibilizar de los riesgos a las comunidades de usuarios de SIC, informar de tales riesgos a las autoridades responsables de la aprobación y a las autoridades operativas.

—   «Tratamiento del riesgo»: consiste en atenuar, suprimir o reducir el riesgo (adoptando una combinación adecuada de medidas técnicas, físicas, de gestión o de procedimiento), transferir el riesgo o hacer un seguimiento del mismo.

«Riesgo residual»: el riesgo que persiste una vez aplicadas las medidas de seguridad, dado que no es posible contrarrestar todas las amenazas ni eliminar todas las vulnerabilidades.

«Seguridad en el personal»: véase el artículo 7, apartado 1.

«Seguridad física»: véase el artículo 8, apartado 1.

«Seguridad industrial»: véase el artículo 11, apartado 1.

«Sistema de información y comunicaciones» (SIC): véase el artículo 10, apartado 2.

«Sociedad industrial u otro tipo de entidad»: una entidad que participa en el suministro de bienes, la ejecución de obras o la prestación de servicios. Puede tratarse de sociedades industriales, comerciales y de servicios o de centros científicos, de investigación, educativos y de desarrollo, o de personas que trabajen por cuenta propia.

«Subcontrato clasificado»: el contrato celebrado por un contratista de la SGC con otro contratista (denominado «subcontratista») para el suministro de bienes, la ejecución de obras o la prestación de servicios cuya ejecución exija o implique el acceso a ICUE o la creación de dicha información.

«TEMPEST»: la investigación, estudio y control de las emanaciones electromagnéticas comprometedoras y las medidas para suprimirlas.

«Tratamiento de la información clasificada»: véase el artículo 9, apartado 1.

«Vulnerabilidad»: una debilidad, cualquiera que sea su naturaleza, que pueda ser aprovechada por una o varias amenazas. La vulnerabilidad puede resultar de una omisión o guardar relación con una deficiencia en el grado, completitud o coherencia de los controles, y puede ser técnica, física, de procedimiento, de organización o de funcionamiento.

Apéndice B

CORRESPONDENCIA DE LAS CLASIFICACIONES DE SEGURIDAD

UE

TRÈS SECRET UE/EU TOP SECRET

SECRET UE/EU SECRET

CONFIDENTIEL UE/EU CONFIDENTIAL

RESTREINT UE/EU RESTRICTED

Bélgica

Très Secret (Loi 11.12.1998)

Zeer Geheim (Wet 11.12.1998)

Secret (Loi 11.12.1998)

Geheim (Wet 11.12.1998)

Confidentiel (Loi 11.12.1998)

Vertrouwelijk (Wet 11.12.1998)

Nota infra  (1)

Bulgaria

Cтpoгo ceкретно

Ceкретно

Поверително

За служебно ползване

República Checa

Přísně tajné

Tajné

Důvěrné

Vyhrazené

Dinamarca

Yderst hemmeligt

Hemmeligt

Fortroligt

Til tjenestebrug

Alemania

STRENG GEHEIM

GEHEIM

VS (2) — VERTRAULICH

VS — NUR FÜR DEN DIENSTGEBRAUCH

Estonia

Täiesti salajane

Salajane

Konfidentsiaalne

Piiratud

Irlanda

Top Secret

Secret

Confidential

Restricted

Grecia

Άκρως Απόρρητο

Abr: ΑΑΠ

Απόρρητο

Abr: (ΑΠ)

Εμπιστευτικό

Αbr: (ΕΜ)

Περιορισμένης Χρήσης

Abr: (ΠΧ)

España

SECRETO

RESERVADO

CONFIDENCIAL

DIFUSIÓN LIMITADA

Francia

Très Secret Défense

Secret Défense

Confidentiel Défense

Nota infra  (3)

Italia

Segretissimo

Segreto

Riservatissimo

Riservato

Chipre

Άκρως Απόρρητο

Αbr: (AΑΠ)

Απόρρητο

Αbr: (ΑΠ)

Εμπιστευτικό

Αbr: (ΕΜ)

Περιορισμένης Χρήσης

Αbr: (ΠΧ)

Letonia

Sevišķi slepeni

Slepeni

Konfidenciāli

Dienesta vajadzībām

Lituania

Visiškai slaptai

Slaptai

Konfidencialiai

Riboto naudojimo

Luxemburgo

Très Secret Lux

Secret Lux

Confidentiel Lux

Restreint Lux

Hungría

Szigorúan titkos!

Titkos!

Bizalmas!

Korlátozott terjesztésű!

Malta

L-Ogħla Segretezza

Sigriet

Kunfidenzjali

Ristrett

Países Bajos

Stg ZEER GEHEIM

Stg GEHEIM

Stg CONFIDENTIEEL

Dep VERTROUWELIJK

Austria

Streng geheim

Geheim

Vertraulich

Eingeschränkt

Polonia

Ściśle Tajne

Tajne

Poufne

Zastrzeżone

Portugal

Muito Secreto

Secreto

Confidencial

Reservado

Rumanía

Strict secret de importanță deosebită

Strict secret

Secret

Secret de serviciu

Eslovenia

Strogo tajno

Tajno

Zaupno

Interno

Eslovaquia

Prísne tajné

Tajné

Dôverné

Vyhradené

Finlandia

ERITTÄIN SALAINEN

YTTERST HEMLIG

SALAINEN

HEMLIG

LUOTTAMUKSELLINEN

KONFIDENTIELL

KÄYTTÖ RAJOITETTU

BEGRÄNSAD TILLGÅNG

Suecia (4)

HEMLIG/TOP SECRET

HEMLIG AV SYNNERLIG BETYDELSE FÖR RIKETS SÄKERHET

HEMLIG/

SECRET HEMLIG

HEMLIG/

CONFIDENTIAL HEMLIG

HEMLIG/

RESTRICTED HEMLIG

Reino Unido

Top Secret

Secret

Confidential

Restricted


(1)  Diffusion restreinte/Beperkte Verspreiding no constituye una clasificación de seguridad en Bélgica. Bélgica maneja y protege la información «RESTREINT UE/EU RESTRICTED» con un rigor no inferior al de las reglas y procedimientos descritos en las normas de seguridad del Consejo de la Unión Europea.

(2)  Alemania: VS = Verschlusssache.

(3)  Francia no utiliza la clasificación «RESTREINT» en su sistema nacional. Francia maneja y protege la información «RESTREINT UE/EU RESTRICTED» con un rigor no inferior al de las reglas y procedimientos descritos en las normas de seguridad del Consejo de la Unión Europea.

(4)  Suecia: Las marcas de clasificación de seguridad indicadas en la línea superior son utilizadas por las autoridades de defensa, y las indicadas en la línea inferior las utilizadas por otras autoridades.

Apéndice C

LISTA DE AUTORIDADES NACIONALES DE SEGURIDAD (ANS)

BÉLGICA

Autorité nationale de Sécurité

SPF Affaires étrangères, Commerce extérieur et Coopération au Développement

15, rue des Petits Carmes

1000 Bruxelles

Teléfono de la Secretaría: +32 25014542

Fax +32 25014596

Correo electrónico: nvo-ans@diplobel.fed.be

DINAMARCA

Politiets Efterretningstjeneste

(Danish Security Intelligence Service)

Klausdalsbrovej 1

2860 Søborg

Tel. +45 33148888

Fax +45 33430190

Forsvarets Efterretningstjeneste

(Danish Defence Intelligence Service)

Kastellet 30

2100 Copenhagen Ø

Tel. +45 33325566

Fax +45 33931320

BULGARIA

State Commission on Information Security

90 Cherkovna Str.

1505 Sofia

Tel. +359 29215911

Fax +359 29873750

Correo electrónico: dksi@government.bg

Página web: www.dksi.bg

ALEMANIA

Bundesministerium des Innern

Referat ÖS III 3

Alt-Moabit 101 D

11014 Berlin

Tel. +49 30186810

Fax +49 30186811441

Correo electrónico: oesIII3@bmi.bund.de

REPÚBLICA CHECA

Národní bezpečnostní úřad

(National Security Authority)

Na Popelce 2/16

150 06 Praha 56

Tel. +420 257283335

Fax +420 257283110

Correo electrónico: czech.nsa@nbu.cz

Página web: www.nbu.cz

ESTONIA

National Security Authority Department

Estonian Ministry of Defence

Sakala 1

15094 Tallinn

Tel. +372 7170113, +372 7170117

Fax +372 7170213

Correo electrónico: nsa@kmin.ee

IRLANDA

National Security Authority

Department of Foreign Affairs

76 - 78 Harcourt Street

Dublin 2 Ireland

Tel. +353 14780822

Fax +353 14082959

ESPAÑA

Autoridad Nacional de Seguridad

Oficina Nacional de Seguridad

Avenida Padre Huidobro s/n

28023 Madrid

Tel. +34 913725000

Fax +34 913725808

Correo electrónico: nsa-sp@areatec.com

GRECIA

Γενικό Επιτελείο Εθνικής Άμυνας (ΓΕΕΘΑ)

Διακλαδική Διεύθυνση Στρατιωτικών Πληροφοριών (ΔΔΣΠ)

Διεύθυνση Ασφαλείας και Αντιπληροφοριών

ΣΤΓ 1020 Χολαργός (Αθήνα)

Ελλάδα

Τηλέφωνα: +30 2106572045 (ώρες γραφείου)

+30 2106572009 (ώρες γραφείου)

Φαξ: +30 2106536279

+30 2106577612

Hellenic National Defence General Staff (HNDGS)

Military Intelligence Sectoral Directorate

Security Counterintelligence Directorate

STG 1020 Holargos (Athens)

Tel. +30 2106572045

+30 2106572009

Fax +30 2106536279

+30 2106577612

FRANCIA

Secrétariat général de la défense et de la sécurité nationale

Sous-direction Protection du secret (SGDSN/PSD)

51 Boulevard de la Tour-Maubourg

75700 Paris 07 SP

Tel. +33 171758177

Fax +33 171758200

ITALIA

Presidenza del Consiglio dei Ministri

Autorità Nazionale per la Sicurezza

D.I.S. - U.C.Se.

Via di Santa Susanna, 15

00187 Roma

Tel. +39 0661174266

Fax +39 064885273

LETONIA

National Security Authority

Constitution Protection Bureau of the Republic of Latvia

P.O. Box 286

Riga, LV-1001

Tel. +371 67025418

Fax +371 67025454

Correo electrónico: ndi@sab.gov.lv

CHIPRE

ΥΠΟΥΡΓΕΙΟ ΑΜΥΝΑΣ

ΣΤΡΑΤΙΩΤΙΚΟ ΕΠΙΤΕΛΕΙΟ ΤΟΥ ΥΠΟΥΡΓΟΥ

Εθνική Αρχή Ασφάλειας (ΕΑΑ)

Υπουργείο Άμυνας

Λεωφόρος Εμμανουήλ Ροΐδη 4

1432 Λευκωσία, Κύπρος

Τηλέφωνα: +357 22807569, +357 22807643, +357 22807764

Τηλεομοιότυπο: +357 22302351

Ministry of Defence

Minister's Military Staff

National Security Authority (NSA)

4 Emanuel Roidi street

1432 Nicosia

Tel. +357 22807569, +357 22807643, +357 22807764

Fax +357 22302351

Correo electrónico: cynsa@mod.gov.cy

LITUANIA

Lietuvos Respublikos paslapčių apsaugos koordinavimo komisija

(The Commission for Secrets Protection Coordination of the Republic of Lithuania

National Security Authority)

Gedimino 40/1

LT-01110 Vilnius

Tel. +370 52663201, +370 52663202

Fax +370 52663200

Correo electrónico: nsa@vsd.lt

LUXEMBURGO

Autorité nationale de Sécurité

Boîte postale 2379

1023 Luxembourg

Tel. +352 247822 10 central

+352 2478 2253 direct

Fax +352 24782243

PAÍSES BAJOS

Ministerie van Binnenlandse Zaken en Koninkrijksrelaties

Postbus 20010

2500 EA Den Haag

Tel. +31 703204400

Fax +31 703200733

Ministerie van Defensie

Beveiligingsautoriteit

Postbus 20701

2500 ES Den Haag

Tel. +31 703187060

Fax +31 703187522

HUNGRÍA

Nemzeti Biztonsági Felügyelet

(National Security Authority)

P.O. Box 2

HU-1357 Budapest

Tel. +361 3469652

Fax +361 3469658

Correo electrónico: nbf@nbf.hu

Página web: www.nbf.hu

MALTA

Ministry of Justice and Home Affairs

P.O. Box 146

Valletta

Tel. +356 21249844

Fax +356 25695321

AUSTRIA

Informationssicherheitskommission

Bundeskanzleramt

Ballhausplatz 2

1014 Wien

Tel. +43 1531152594

Fax +43 1531152615

Correo electrónico: ISK@bka.gv.at

POLONIA

Agencja Bezpieczeństwa Wewnętrznego – ABW

(Internal Security Agency)

2A Rakowiecka St.

00-993 Warszawa

Tel. +48 225857360

Fax +48 225858509

Correo electrónico: nsa@abw.gov.pl

Página web: www.abw.gov.pl

Służba Kontrwywiadu Wojskowego

(Military Counter-Intelligence Service)

Classified Information Protection Buremu

Oczki 1

02-007 Warszawa

Tel. +48 226841247

Fax +48 226841076

Correo electrónico: skw@skw.gov.pl

RUMANÍA

Oficiul Registrului Național al Informațiilor Secrete de Stat

(Romanian NSA – ORNISS

National Registry Office for Classified Information)

4 Mures Street

012275 Bucharest

Tel. +40 212245830

Fax +40 212240714

Correo electrónico: nsa.romania@nsa.ro

Página web: www.orniss.ro

PORTUGAL

Presidência do Conselho de Ministros

Autoridade Nacional de Segurança

Rua da Junqueira, 69

1300-342 Lisboa

Tel. +351 213031710

Fax +351 213031711

ESLOVENIA

Urad Vlade RS za varovanje tajnih podatkov

Gregorčičeva 27

SI-1000 Ljubljana

Tel. +386 14781390

Fax +386 14781399

ESLOVAQUIA

Národný bezpečnostný úrad

(National Security Authority)

Budatínska 30

P.O. Box 16

850 07 Bratislava

Tel. +421 268692314

Fax +421 263824005

Página web: www.nbusr.sk

SUECIA

Utrikesdepartementet

(Ministry for Foreign Affairs)

SSSB

103 39 Stockholm

Tel. +46 84051000

Fax +46 87231176

Correo electrónico: ud-nsa@foreign.ministry.se

FINLANDIA

National Security Authority

Ministry for Foreign Affairs

P.O. Box 453

00023 Government

Teléfono 1: +358 916056487

Teléfono 2: +358 916056484

Fax +358 91605540

Correo electrónico: NSA@formin.fi

REINO UNIDO

UK National Security Authority

Room 335, 3rd Floor

70 Whitehall

London SW1A 2AS

Teléfono 1: +44 2072765649

Teléfono 2: +44 2072765497

Fax +44 2072765651

Correo electrónico: UK-NSA@cabinet-office.x.gsi.gov.uk

Apéndice D

LISTA DE ABREVIATURAS (1)

Acronym

Meaning

AQUA

Appropriately Qualified Authority

BPS

Boundary Protection Services

CAA

Crypto Approval Authority

CCTV

Closed Circuit Television

CDA

Crypto Distribution Authority

CFSP

Common Foreign and Security Policy

CIS

Communication and Information Systems

COREPER

Committee of Permanent Representatives

CSDP

Common Security and Defence Policy

DSA

Designated Security Authority

ECSD

European Commission Security Directorate

EUCI

EU Classified Information

EUSR

EU Special Representative

FSC

Facility Security Clearance

GSC

General Secretariat of the Council

IA

Information Assurance

IAA

Information Assurance Authority

IDS

Intrusion Detection System

IT

Information Technology

NSA

National Security Authority

PSC

Personnel Security Clearance

PSCC

Personnel Security Clearance Certificate

PSI

Programme/Project Security Instructions

SAA

Security Accreditation Authority

SAB

Security Accreditation Board

SAL

Security Aspects Letter

SecOPs

Security Operating Procedures

SCG

Security Classification Guide

SSRS

System-Specific Security Requirement Statement

TA

TEMPEST Authority


(1)  No afecta a la versión española.