1.

El presente anexo establece disposiciones para la aplicación del artículo 7. Define los criterios que determinan si una persona, teniendo en cuenta su lealtad, honradez y fiabilidad, puede ser autorizada para acceder a ICUE, y los procedimientos administrativos y de investigación que han de seguirse a tal efecto.

2.

Solo se concederá acceso a información clasificada a aquella persona:

3.

Cada Estado miembro y la SGC determinarán los puestos que, dentro de sus respectivas administraciones, exigen el acceso a información clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL o superior y requieren por tanto una habilitación de seguridad de grado correspondiente.

4.

Una vez recibida una solicitud debidamente autorizada, corresponderá a las ANS u otras autoridades nacionales competentes asegurarse de que se realizan las investigaciones de seguridad sobre aquellos de sus nacionales que deban tener acceso a información clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL o superior. Las investigaciones se ajustarán a las disposiciones legales y reglamentarias nacionales a efectos de expedir una HPS o de ofrecer una garantía de que se concederá a una persona autorización para acceder a ICUE, según proceda.

5.

En caso de que la persona resida en el territorio de otro Estado miembro o en un tercer Estado, las autoridades nacionales competentes solicitarán la colaboración de la autoridad competente del Estado de residencia, de conformidad con las disposiciones legales y reglamentarias nacionales. Los Estados miembros se prestarán ayuda mutua para la realización de las investigaciones de seguridad, de conformidad con las disposiciones legales y reglamentarias nacionales.

6.

Cuando lo permitan las disposiciones legales y reglamentarias nacionales, las ANS u otras autoridades nacionales competentes podrán realizar investigaciones sobre no nacionales que deban tener acceso a información clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL o superior. Las investigaciones se ajustarán a las disposiciones legales y reglamentarias nacionales.

7.

La lealtad, honradez y fiabilidad de una persona a efectos de la obtención de una habilitación de seguridad para acceder a información clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL o superior se determinarán mediante una investigación de seguridad. La autoridad nacional competente realizará una evaluación global basada en el resultado de la investigación de seguridad. Los criterios principales que se aplicarán a este efecto incluirán, en la medida en que lo permitan las disposiciones legales y reglamentarias nacionales, el estudio de si la persona:

8.

Cuando proceda y de conformidad con las disposiciones legales y reglamentarias nacionales, se podrá considerar pertinente para la investigación de seguridad las circunstancias económicas o el historial médico de una persona.

9.

Cuando proceda, y de conformidad con las disposiciones legales y reglamentarias nacionales, podrán también considerarse pertinentes para la investigación de seguridad la conducta y las circunstancias de un cónyuge, un cohabitante o un miembro de la familia cercana.

10.

La habilitación de seguridad inicial para acceder a información de los grados CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET se basará en una investigación de seguridad que abarque un período de al menos los cinco últimos años, o bien desde que la persona cumplió los 18 años de edad hasta el tiempo presente, eligiendo el período más corto, y que incluya los siguientes aspectos:

11.

La habilitación de seguridad inicial para acceder a información clasificada de grado TRÈS SECRET UE/EU TOP SECRET se basará en una investigación de seguridad que abarque un período de al menos los diez últimos años, o bien desde que el solicitante cumplió 18 años de edad hasta el tiempo presente, eligiendo el período más corto. En caso de realizarse entrevistas conforme a lo previsto en la letra e), las investigaciones abarcarán un período de al menos los siete últimos años, o bien desde que la persona cumplió 18 años de edad hasta el tiempo presente, eligiendo el período más corto. Además de los criterios indicados en el punto 7, antes de conceder una HPS de grado TRÈS SECRET UE/EU TOP SECRET deberán realizarse indagaciones, en la medida en que lo permitan las disposiciones legales y reglamentarias nacionales, sobre los factores que se indican a continuación; estos factores también pueden ser pertinentes antes de conceder una HPS de grado CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET, cuando así lo exijan las disposiciones legales y reglamentarias nacionales:

12.

Cuando sea necesario y de conformidad con las disposiciones legales y reglamentarias nacionales, podrán realizarse investigaciones adicionales con el fin de profundizar en toda la información pertinente de que se disponga sobre una persona y para confirmar o desmentir la información desfavorable.

13.

Tras la concesión inicial de una habilitación de seguridad, y siempre que la persona haya prestado servicio de forma ininterrumpida en una administración nacional o en la SGC y siga necesitando acceder a ICUE, la habilitación de seguridad se revisará con vistas a su renovación por períodos no superiores a cinco años para las habilitaciones TRÈS SECRET UE/EU TOP SECRET, y a diez años para las habilitaciones SECRET UE/EU SECRET y CONFIDENTIEL UE/EU CONFIDENTIAL, contados a partir de la fecha de notificación del resultado de la última investigación de seguridad que haya servido de base para dichas habilitaciones. Todas las investigaciones de seguridad a efectos de la renovación de una habilitación de seguridad abarcarán el período transcurrido desde la anterior investigación de seguridad.

14.

Para la renovación de las habilitaciones de seguridad se investigarán los factores señalados en los puntos 10 y 11.

15.

Las solicitudes de renovación se cursarán con la debida antelación, teniendo en cuenta el tiempo necesario para efectuar las investigaciones de seguridad. No obstante, si la ANS pertinente u otra autoridad nacional competente hubiese recibido la oportuna solicitud de renovación y el correspondiente cuestionario personal de seguridad antes de que caduque la habilitación de seguridad y no hubiese finalizado la investigación de seguridad requerida, la autoridad nacional competente podrá, si así lo permiten las disposiciones legales y reglamentarias nacionales, prorrogar la validez de la habilitación de seguridad vigente por un plazo no superior a 12 meses. Si al término de este período de 12 meses la investigación de seguridad no hubiese concluido aún, la persona solo podrá desempeñar funciones que no requieran una habilitación de seguridad.

16.

En el caso de los funcionarios y otros agentes de la SGC, la autoridad de seguridad de la SGC remitirá el cuestionario personal de seguridad, una vez cumplimentado, a la ANS del Estado miembro del que sea nacional la persona, requiriendo que se realice la investigación de seguridad correspondiente al grado de la ICUE para la que dicha persona requiera el acceso.

17.

Cuando llegue a conocimiento de la SGC información pertinente para la investigación de seguridad sobre una persona que ha solicitado una habilitación de seguridad para acceder a ICUE, la SGC, actuando de acuerdo con las disposiciones legales y reglamentarias pertinentes, lo notificará a la ANS pertinente.

18.

Una vez concluida la investigación de seguridad, la ANS pertinente comunicará el resultado de la investigación a la autoridad de seguridad de la SGC, empleando para ello el modelo normalizado de comunicación prescrito por el Comité de Seguridad.

19.

La investigación de seguridad, junto con los resultados obtenidos deberá ser conforme a las disposiciones legales y reglamentarias vigentes en el Estado miembro en cuestión, incluido todo lo relativo a recursos. Se podrá apelar contra las decisiones de la autoridad facultada para proceder a los nombramientos de la SGC de acuerdo con lo dispuesto en el Estatuto de los funcionarios de la Unión Europea y el régimen aplicable a los otros agentes de la Unión Europea, establecido en el Reglamento (CEE, Euratom, CECA) no 259/68 del Consejo (1) («el Estatuto de los funcionarios y régimen aplicable»).

20.

Los expertos nacionales destinados en la SGC en comisión de servicio para un puesto que requiera acceso a ICUE de grado CONFIDENTIEL UE/EU CONFIDENTIAL o superior deberán presentar a la autoridad de seguridad de la SGC, antes de asumir sus funciones, un Certificado de Habilitación Personal de Seguridad (CHPS) válido para el acceso a ICUE, basándose en la cual la autoridad facultada para proceder a los nombramientos expedirá una autorización para acceder a ICUE.

21.

La SGC aceptará la autorización de acceso a ICUE concedida por otra institución, órgano o agencia de la Unión, siempre que siga siendo válida. La autorización valdrá para cualquier nombramiento de la persona en la SGC. La institución, órgano o agencia de la Unión que esté contratando a la persona en cuestión notificará la ANS correspondiente del cambio de empleador.

22.

En caso de que el período de servicio de la persona no haya comenzado al término de 12 meses a partir de la notificación del resultado de la investigación de seguridad a la autoridad de la SGC facultada para proceder a los nombramientos, o en caso de que haya una interrupción de 12 meses en el tiempo de servicio de esa misma persona durante el cual no haya estado empleado en la SGC ni en la administración pública de un Estado miembro, el resultado de la investigación se remitirá de nuevo a la ANS correspondiente para que confirme que sigue siendo válido y adecuado.

23.

Si la SGC tuviera conocimiento de que una persona que tiene autorización para acceder a ICUE representa un riesgo para la seguridad, la SGC, actuando conforme a las disposiciones legales y reglamentarias pertinentes, lo notificará a la ANS correspondiente y podrá suspender dicho acceso a ICUE o retirar la autorización de acceso a ICUE.

24.

Si una ANS notifica a la SGC la retirada de una garantía concedida de conformidad con el punto 18, letra a), a una persona que tiene autorización de acceso a ICUE, la autoridad facultada para proceder a los nombramientos de la SGC podrá pedir a la ANS cuantas aclaraciones pueda facilitar, de conformidad con sus disposiciones legales y reglamentarias nacionales. Si se confirma la información desfavorable, se le retirará la autorización y se le excluirá del acceso a la ICUE y de los puestos en los que pudiera tener acceso a dicha información o poner en peligro la seguridad.

25.

La decisión de retirar o suspender una autorización de acceso a ICUE a un funcionario u otro agente de la SGC y, en su caso, los motivos para hacerlo se comunicarán a la persona, que podrá requerir ser oído por la autoridad facultada para proceder a los nombramientos. La información facilitada por la ANS deberá ajustarse a las disposiciones legales y reglamentarias vigentes en el Estado miembro en cuestión, incluidas las relativas a los recursos. Se podrá apelar contra las decisiones de la autoridad facultada para proceder a los nombramientos de la SGC de acuerdo con lo dispuesto en el Estatuto de los funcionarios y régimen aplicable.

26.

Los Estados miembros y la SGC llevarán, respectivamente, registros de las HPS y de las autorizaciones que hayan concedido para acceder a información de grado CONFIDENTIEL UE/EU CONFIDENTIAL o superior. Estos registros indicarán, como mínimo, el nivel de la ICUE al que el interesado puede tener acceso, la fecha de concesión de la habilitación de seguridad y su período de validez.

27.

La autoridad de seguridad competente podrá expedir un CHPS que acredite a qué grado de ICUE puede tener acceso la persona (CONFIDENTIEL UE/EU CONFIDENTIAL o superior), la fecha de validez de la HPS para acceder a ICUE o de la autorización para acceder a ICUE de que se trate y la fecha de caducidad del propio certificado.

28.

El acceso a la ICUE de aquellas personas que en los Estados miembros estén debidamente autorizadas en virtud de sus funciones se determinará de conformidad con las disposiciones legales y reglamentarias nacionales; estas personas serán informadas de sus obligaciones respecto de la protección de la ICUE.

29.

Todas las personas a las que se haya otorgado una habilitación de seguridad declararán por escrito que han entendido sus obligaciones respecto a la protección de la ICUE y las consecuencias derivadas de un posible comprometimiento de esta información. Los Estados miembros y la SGC, según corresponda, llevarán un registro de estas declaraciones escritas.

30.

Desde un principio, se sensibilizará a todas las personas que estén autorizadas para acceder a ICUE o que deban manejar este tipo de información, respecto de las amenazas a la seguridad, sobre las que se les aleccionará periódicamente. Dichas personas deberán dar cuenta inmediatamente a las autoridades de seguridad correspondientes de cualquier actitud o actividad que consideren sospechosa o inusual.

31.

Todas las personas que dejen de desempeñar funciones que requieran el acceso a ICUE serán aleccionadas sobre su obligación de seguir protegiendo dicha información, y, en su caso, deberán reconocer tal obligación por escrito.

32.

Si así lo permiten las disposiciones legales y reglamentarias nacionales, una habilitación de seguridad otorgada por una autoridad de seguridad competente de un Estado miembro para el acceso a información clasificada nacional podrá permitir a funcionarios nacionales, de forma temporal y en espera de la concesión de una HPS para acceder a ICUE, el acceso a ICUE de grado equivalente al especificado en el cuadro de equivalencias del apéndice B, siempre que dicho acceso temporal sea necesario para los intereses de la Unión. Cuando las disposiciones legales y reglamentarias nacionales no permitan dicho acceso temporal a la ICUE, las ANS informarán de ello al Comité de Seguridad.

33.

Por razones de urgencia, cuando esté debidamente justificado en interés del servicio y en espera de la conclusión de una investigación de seguridad completa, la autoridad facultada para proceder a los nombramientos de la SGC podrá conceder a funcionarios y otros agentes de la SGC una autorización temporal para acceder a ICUE para una función específica, tras haber consultado a la ANS del Estado miembro del que sea nacional la persona y con supeditación al resultado de las indagaciones preliminares encaminadas a verificar que no se conoce ninguna información desfavorable de la misma. La validez de estas autorizaciones temporales no será superior a seis meses ni permitirá acceder a información clasificada de grado TRÈS SECRET UE/EU TOP SECRET. Todas las personas a las que se haya otorgado autorización temporal reconocerán en una declaración escrita que han entendido sus obligaciones respecto a la protección de la ICUE y las consecuencias del comprometimiento de esta información. La SGC llevará un registro de estas declaraciones escritas.

34.

En caso de que se vaya a destinar a una persona a un puesto que requiera una habilitación de seguridad de un grado superior al que posea en ese momento, el nombramiento podrá efectuarse a título provisional, siempre que:

35.

Este procedimiento se utilizará para un único acceso a ICUE del grado inmediatamente superior a aquel para el que la persona esté habilitada. No podrá utilizarse este procedimiento de forma reiterada.

36.

En circunstancias muy excepcionales, como misiones en un medio hostil o durante períodos de incremento de la tensión internacional, cuando así lo requieran medidas de urgencia, y en particular cuando estén en peligro vidas humanas, los Estados miembros y el Secretario General o el Secretario General Adjunto podrán autorizar, a ser posible por escrito, el acceso a información de grado CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET a personas que no posean la habilitación de seguridad exigida, siempre que dicha autorización sea imprescindible y no existan dudas razonables sobre la lealtad, honradez y fiabilidad de la persona de que se trate. Dicha autorización se registrará, junto con una descripción de la información para la cual se haya autorizado el acceso.

37.

En el caso de la información clasificada de grado TRÈS SECRET UE/EU TOP SECRET, este acceso de urgencia estará limitado a los nacionales de la Unión que hayan sido autorizados para acceder o bien a información clasificada de grado nacional equivalente a TRÈS SECRET UE/EU TOP SECRET o bien a información clasificada de grado SECRET UE/EU SECRET.

38.

El Comité de Seguridad será informado de los casos en los que se recurra el procedimiento establecido en los puntos 36 y 37.

39.

Cuando las disposiciones legales y reglamentarias nacionales de un Estado miembro establezcan normas más estrictas en lo relativo a autorizaciones temporales, nombramientos provisionales, acceso único o acceso de urgencia a información clasificada, los procedimientos previstos en la presente sección se aplicarán únicamente dentro de los límites previstos en las correspondientes disposiciones legales y reglamentarias nacionales.

40.

El Comité de Seguridad recibirá un informe anual sobre el recurso a los procedimientos establecidos en la presente sección.

41.

A reserva de lo dispuesto en el punto 28, las personas que deban participar en reuniones del Consejo o de sus órganos preparatorios en las que se examine información clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL o superior solo podrán hacerlo previa comprobación de la situación de su habilitación de seguridad. En el caso de los delegados, un CHPS u otra prueba de habilitación de seguridad deberá ser remitido a la Oficina de Seguridad de la SGC por las autoridades correspondientes, o, de manera excepcional, ser presentado por el delegado afectado. Cuando proceda, podrá utilizarse una lista recapitulativa de nombres en la que figuren las pruebas pertinentes de su habilitación de seguridad.

42.

Cuando, por razones de seguridad, se retire una HPS que permita acceder a ICUE a una persona cuyas funciones requieran la asistencia a sesiones del Consejo o a reuniones de los órganos preparatorios del Consejo, la autoridad competente informará de ello a la SGC.

43.

Los correos, agentes de seguridad y escoltas serán debidamente habilitados para el grado correspondiente o investigados de forma apropiada según las disposiciones legales y reglamentarias nacionales, se les aleccionará sobre los procedimientos de seguridad para la protección de la ICUE y se les instruirá acerca de sus obligaciones en materia de protección de la información que se les confíe.

1.

El presente anexo establece disposiciones para la aplicación del artículo 8. Define los requisitos mínimos para la protección física de los locales, edificios, oficinas, salas y demás zonas donde se maneje y almacene ICUE, incluidas las zonas que alberguen sistemas de información y comunicaciones.

2.

Las medidas de seguridad física estarán concebidas para impedir el acceso no autorizado a ICUE para:

3.

Las medidas de seguridad física aplicables se determinarán sobre la base de una evaluación de las amenazas realizada por las autoridades competentes. La SGC y cada uno de los Estados miembros aplicarán un proceso de gestión de riesgos para proteger la ICUE en sus respectivos locales, de modo que se garantice un grado de protección física acorde con el riesgo evaluado. El proceso de gestión del riesgo tendrá en cuenta todos los factores pertinentes, en particular:

4.

Al aplicar el concepto de defensa en profundidad, las autoridades de seguridad competentes determinarán la combinación apropiada de las siguientes medidas de seguridad física que deben aplicarse. Estas pueden incluir una o más de las siguientes:

5.

Podrá autorizarse a la autoridad competente para llevar a cabo, en las entradas y las salidas, registros que disuadan de todo intento no autorizado de introducir material en los locales o edificios o de sacar de ellos ICUE.

6.

Cuando exista el riesgo de que una ICUE sea objeto de miradas indiscretas, incluso accidentalmente, se tomarán medidas adecuadas para contrarrestar ese riesgo.

7.

Para los nuevos establecimientos, los requisitos de seguridad física y sus especificaciones funcionales se definirán en el momento de la planificación y el diseño del mismo. Para los establecimientos ya existentes, los requisitos de seguridad física se aplicarán en la mayor medida posible.

8.

La autoridad de seguridad competente se asegurará de que el equipo que se adquiera para la protección física de la ICUE (armarios de seguridad, trituradoras de papel, cerraduras, sistemas electrónicos de control de acceso, sistemas de detección de intrusos, sistemas de alarma) cumpla los estándares técnicos y los requisitos mínimos aprobados.

9.

Las especificaciones técnicas del equipo que vaya a emplearse para la protección física de la ICUE se establecerán en directrices de seguridad que deberán ser aprobadas por el Comité de Seguridad.

10.

Los sistemas de seguridad se inspeccionarán periódicamente, y se realizará un mantenimiento del equipo con regularidad. Para las operaciones de mantenimiento se tendrá en cuenta el resultado de las inspecciones, a fin de garantizar que el equipo siga funcionando óptimamente.

11.

La eficacia de cada medida de seguridad y del sistema de seguridad en su conjunto se reevaluará en cada inspección.

12.

Para la protección física de la ICUE se establecerán dos tipos de zonas físicamente protegidas, o sus equivalentes nacionales:

En la presente Decisión, toda referencia a las zonas administrativas y a las zonas de acceso restringido, incluidas las zonas de acceso restringido protegidas por medios técnicos, se entenderá que incluye asimismo las equivalentes nacionales.

13.

La autoridad de seguridad competente decidirá si una zona cumple los requisitos para ser designada zona administrativa, zona de acceso restringido o zona acceso restringido protegida por medios técnicos.

14.

Para las zonas administrativas:

15.

Para las zonas de acceso restringido:

16.

Cuando la entrada en una zona de acceso restringido equivalga en la práctica a tener acceso directo a la información clasificada que se encuentre en la zona, se aplicarán además los siguientes requisitos:

17.

Las zonas de acceso restringido protegidas contra escuchas serán designadas como zonas de acceso restringido protegidas por medios técnicos. Se aplicarán los requisitos adicionales siguientes:

18.

No obstante lo dispuesto en el punto 17, letra d), todos los equipos de comunicaciones y todos los aparatos eléctricos o electrónicos deberán ser examinados por la autoridad de seguridad competente antes de que puedan ser utilizados en zonas donde se estén celebrando reuniones o realizando trabajos en que se maneje información clasificada de grado SECRET UE/EU SECRET y superior, y cuando la amenaza para la ICUE se considere elevada, con el fin de garantizar que ninguna información en claro pueda transmitirse de manera involuntaria o ilícita a través de dichos equipos más allá del perímetro de la zona de acceso restringido de que se trate.

19.

Las zonas de acceso restringido que no estén ocupadas por personal de servicio las 24 horas del día se inspeccionarán, en su caso, al final de la jornada normal de trabajo y a intervalos aleatorios fuera de dicha jornada, a menos que se haya instalado en ellas un sistema de detección de intrusos.

20.

Se podrán establecer con carácter temporal zonas de acceso restringido y zonas de acceso restringido protegidas por medios técnicos en una zona administrativa para la celebración de una reunión clasificada u otro motivo similar.

21.

Para cada zona de acceso restringido se definirán procedimientos operativos de seguridad en los que se disponga lo siguiente:

22.

Las cámaras acorazadas se ubicarán en zonas de acceso restringido. Los muros, suelos, techos, ventanas y puertas que puedan cerrarse con llave deberán haber sido aprobados por la autoridad de seguridad competente y ofrecer una protección equivalente a la de un contenedor de seguridad aprobado para el almacenamiento de ICUE del mismo grado de clasificación.

23.

La ICUE de grado RESTREINT UE/EU RESTRICTED se podrá manejar:

24.

La ICUE de grado RESTREINT UE/EU RESTRICTED se guardará en muebles de oficina adecuadamente cerrados con llave en las zonas administrativas o las zonas de acceso restringido. La ICUE de dicho grado podrá almacenarse temporalmente fuera de una zona de acceso restringido o de una zona administrativa, siempre que el poseedor se haya comprometido a cumplir las medidas compensatorias establecidas en las instrucciones de seguridad definidas por la autoridad de seguridad competente.

25.

La ICUE de grado CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET se podrá manejar:

26.

La ICUE de grado CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET se almacenará en una zona de acceso restringido, bien dentro de un contenedor de seguridad o bien en una cámara acorazada.

27.

La ICUE de grado TRÈS SECRET UE/EU TOP SECRET se manejará en una zona de acceso restringido.

28.

La ICUE de grado TRÈS SECRET UE/EU TOP SECRET se almacenará en una zona de acceso restringido en una de las condiciones siguientes:

29.

En el anexo III se recogen las normas para el transporte de ICUE fuera de las zonas físicamente protegidas.

30.

La autoridad de seguridad competente definirá procedimientos de gestión de las llaves y las combinaciones de las oficinas, salas, cámaras acorazadas y contenedores de seguridad. Estos procedimientos deberán evitar accesos no autorizados.

31.

Las combinaciones serán confiadas al menor número posible de personas que necesiten conocerlas. Las combinaciones de los contenedores de seguridad y cámaras acorazadas en los que se guarde ICUE se modificarán:

1.

El presente anexo establece disposiciones para la aplicación del artículo 9. Establece las medidas administrativas para controlar la ICUE a lo largo de su ciclo de vida con el fin de prevenir y detectar el comprometimiento o la pérdida, accidentales o deliberados, de dicha información.

2.

La información se clasificará cuando requiera protección respecto de su confidencialidad.

3.

El originador de la ICUE será responsable de determinar el grado de clasificación de seguridad atendiendo a las directrices de clasificación pertinentes y de la difusión inicial de la información.

4.

El grado de clasificación de la ICUE se determinará de conformidad con el artículo 2, apartado 2, y con referencia a la política de seguridad que se aprobará de conformidad con el artículo 3, apartado 3.

5.

La clasificación de seguridad se indicará clara y correctamente, independientemente de que la ICUE sea verbal o figure en soporte de papel, electrónico o cualquier otro.

6.

Las distintas partes (es decir, páginas, apartados, secciones, anexos, apéndices o documentos adjuntos) de un documento determinado podrán requerir una clasificación diferente, lo cual deberá indicarse en consecuencia, incluso cuando se almacenen en forma electrónica.

7.

El grado global de clasificación de un documento o archivo deberá ser al menos tan alto como el de su componente con mayor grado de clasificación. Cuando se recopile información procedente de diversas fuentes, se revisará el producto final para determinar su grado global de clasificación de seguridad, dado que podría estar justificado un grado de clasificación mayor que el de los componentes que lo forman.

8.

En la medida de lo posible, los documentos que contengan partes con distintos grados de clasificación se estructurarán de tal modo que las partes con un grado de clasificación diferente puedan ser fácilmente reconocidas y separadas, si fuera necesario.

9.

La clasificación de una carta o nota de transmisión de documentos será equivalente al mayor grado de clasificación de los documentos adjuntos. El originador deberá indicar claramente en qué grado está clasificada la información una vez separada de sus documentos adjuntos mediante la marca correspondiente, según el siguiente ejemplo:

CONFIDENTIEL UE/EU CONFIDENTIAL

Sin anexos: RESTREINT UE/EU RESTRICTED

10.

Junto con una de las marcas de la clasificación de seguridad fijadas en el artículo 2, apartado 2, la ICUE podrá llevar marcas adicionales tales como:

11.

Podrán utilizarse marcas abreviadas normalizadas de clasificación para indicar el grado de clasificación de los diferentes apartados de un texto. Las marcas de clasificación completas no se sustituirán por abreviaturas.

12.

Podrán utilizarse dentro de documentos clasificados de la UE las siguientes abreviaturas normalizadas para indicar el grado de clasificación de secciones o bloques del texto de extensión inferior a una página:

13.

Cuando se genere un documento clasificado de la UE:

14.

Cuando no sea posible aplicar el punto 13 a una ICUE, se tomarán otras medidas adecuadas de conformidad con las directrices de seguridad que se establezcan con arreglo al artículo 6, apartado 2.

15.

En el momento de producir la información, el originador indicará, cuando sea posible, y en especial si se trata de información clasificada de grado RESTREINT UE/EU RESTRICTED, si el grado de clasificación de la ICUE puede ser reducido o desclasificado a partir de una determinada fecha o tras un acontecimiento concreto.

16.

La SGC revisará periódicamente la ICUE para verificar si el grado de clasificación asignado sigue siendo aplicable. La SGC creará un sistema para revisar, con una frecuencia mínima quinquenal, el grado de clasificación de la ICUE que haya generado. Dicha revisión no será necesaria cuando el originador haya indicado desde el principio que el grado de clasificación de la información podrá ser automáticamente reducido o que la información podrá desclasificarse, y la información haya sido marcada consecuentemente.

17.

Todo servicio administrativo de la SGC y de las administraciones públicas de los Estados miembros en que se maneje ICUE contará con un registro competente con el fin de garantizar que la ICUE se maneja de conformidad con las disposiciones de la presente Decisión. Los registros se constituirán como zonas de acceso restringido tal y como se definen en el anexo II.

18.

A efectos de la presente Decisión, por registro a efectos de seguridad («registro») se entenderá la aplicación de procedimientos que registren el ciclo de vida del material de que se trate, incluida su difusión y destrucción.

19.

Todo material clasificado de grado CONFIDENTIEL UE/EU CONFIDENTIAL y superior se inscribirá en registros especiales a su entrada o salida de un servicio administrativo.

20.

El Registro Central de la SGC llevará un registro de toda la información clasificada cedida por el Consejo y la SGC a terceros Estados y organizaciones internacionales y de toda la información clasificada recibida de terceros Estados u organizaciones internacionales.

21.

En el caso de un SIC, los procedimientos de registro podrán llevarse a cabo mediante procesos dentro del propio SIC.

22.

El Consejo aprobará una política de seguridad sobre el registro de ICUE a efectos de seguridad.

23.

En los Estados miembros y en la SGC se establecerá un registro que actuará como principal organismo receptor y emisor de la información clasificada de grado TRÈS SECRET UE/EU TOP SECRET. Cuando proceda, podrán designarse registros secundarios para manejar dicha información.

24.

Los registros secundarios no podrán transmitir documentos TRÈS SECRET UE/EU TOP SECRET directamente a otros registros secundarios dependientes del mismo registro central TRÈS SECRET UE/EU TOP SECRET ni al exterior sin la aprobación expresa por escrito de este último.

25.

Los documentos TRÈS SECRET UE/EU TOP SECRET solo podrán copiarse o traducirse con el consentimiento previo por escrito del originador.

26.

Cuando el originador de documentos clasificados de grado SECRET UE/EU SECRET o inferior no haya impuesto ninguna restricción a su copia o traducción, estos documentos podrán copiarse o traducirse por orden de su poseedor.

27.

Las medidas de seguridad aplicables a los documentos originales serán aplicables a sus copias y traducciones.

28.

El transporte de ICUE estará sujeto a las medidas de protección que se enuncian en los puntos 30 a 41. Cuando se transmita ICUE por medios electrónicos, y no obstante lo dispuesto en el artículo 9, apartado 4, las medidas de protección que figuran a continuación se completarán con las debidas contramedidas técnicas que prescriba la autoridad de seguridad competente, a fin de reducir al mínimo el riesgo de pérdida o comprometimiento.

29.

Las autoridades de seguridad competentes de la SGC y de los Estados miembros emitirán instrucciones para el transporte de ICUE conforme a la presente Decisión.

30.

La ICUE que se transporte dentro de un mismo edificio o grupo independiente de edificios irá cubierta, para evitar que se vea su contenido.

31.

Dentro de un edificio o grupo independiente de edificios la información clasificada de grado TRÈS SECRET UE/EU TOP SECRET se transportará en sobre sellado en el que se indicará únicamente el nombre del destinatario.

32.

La ICUE que se transporte entre edificios o locales de la Unión irá empaquetada de forma que quede protegida de una revelación no autorizada.

33.

El transporte de información clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET dentro de la Unión se efectuará por uno de los siguientes medios:

Si el transporte se efectúa de un Estado miembro a otro, las disposiciones de la letra c) se aplicarán únicamente a la información clasificada con el grado CONFIDENTIEL UE/EU CONFIDENTIAL.

34.

La información clasificada de grado RESTREINT UE/EU RESTRICTED podrá ser transportada también por servicios postales o servicios de mensajería comercial. Para el transporte de esta información no se precisa un certificado de correo.

35.

El material clasificado de grado CONFIDENTIEL UE/EU CONFIDENTIAL y de grado SECRET UE/EU SECRET (por ejemplo, equipo o maquinaria) que no pueda transportarse por los medios indicados en el punto 33 deberá ser transportado como carga por empresas comerciales de transporte con arreglo a lo dispuesto en el anexo V.

36.

El transporte de información clasificada de grado TRÈS SECRET UE/EU TOP SECRET entre edificios o locales de la Unión se efectuará por correo diplomático, oficial o militar, según proceda.

37.

La ICUE que se transporte desde la Unión al territorio de un tercer Estado irá empaquetada de forma que quede protegida de una revelación no autorizada.

38.

El transporte de información clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL y de grado SECRET UE/EU SECRET desde la Unión al territorio de un tercer Estado se efectuará por uno de los siguientes medios:

39.

El transporte de información clasificada de grado CONFIDENTIEL UE/EU CONFIDENTIAL y de grado SECRET UE/UE SECRET cedida por la Unión a un tercer Estado o a una organización internacional deberá atenerse a las disposiciones pertinentes de un acuerdo de seguridad de la información o de un convenio conforme al artículo 13, apartado 2, letras a) o b).

40.

La información clasificada de grado RESTREINT UE/EU RESTRICTED podrá ser transportada también por servicios postales o servicios de mensajería comercial.

41.

El transporte de información clasificada de grado TRÈS SECRET UE/EU TOP SECRET desde la Unión hasta el territorio de un tercer Estado se efectuará por correo militar o diplomático.

42.

Los documentos clasificados de la UE que hayan dejado de ser necesarios podrán destruirse, sin perjuicio de las correspondientes normas sobre archivos.

43.

Los documentos sujetos a registro de conformidad con el artículo 9, apartado 2, serán destruidos por el registro competente por orden de su poseedor o de una autoridad competente. Los libros de registro y cualquier información relacionada con el registro se actualizarán en consecuencia.

44.

Cuando se trate de documentos clasificados de grado SECRET UE/EU SECRET o TRÈS SECRET UE/EU TOP SECRET, la destrucción se realizará en presencia de un testigo, que deberá estar habilitado como mínimo para el grado de clasificación del documento que se vaya a destruir.

45.

El encargado del registro, y el testigo en caso de que se requiera su presencia, firmarán un certificado de destrucción, que se archivará en el registro. El registro conservará los certificados de destrucción de los documentos de grado TRÈS SECRET UE/EU TOP SECRET durante diez años como mínimo y de los documentos de grado CONFIDENTIEL UE/EU CONFIDENTIAL y SECRET UE/EU SECRET durante cinco años como mínimo.

46.

Los documentos clasificados, incluidos los de grado RESTREINT UE/EU RESTRICTED, se destruirán por métodos que cumplan las normas de la Unión pertinentes o normas equivalentes o que hayan sido homologados por los Estados miembros de conformidad con las normas técnicas nacionales, a fin de impedir su reconstrucción total o parcial.

47.

La destrucción de los soportes de almacenamiento informático utilizados para la ICUE se realizará de conformidad con el punto 37 del anexo IV.

48.

En caso de emergencia, y de haber un riesgo inminente de revelación no autorizada, la ICUE será destruida por el poseedor, de tal modo que no pueda reconstruirse ni total ni parcialmente. Se informará al originador y al registro originador de la destrucción de emergencia de la ICUE registrada.

49.

El término «visita de evaluación» se empleará en lo sucesivo para designar:

a fin de verificar la eficacia de las medidas establecidas para la protección de la ICUE.

50.

Las visitas de evaluación se realizarán, entre otros fines, para:

51.

Antes del término de cada año natural, el Consejo adoptará el programa de visitas de evaluación para el año siguiente prescrito en el artículo 16, apartado 1, letra c). Las fechas concretas de cada visita de evaluación se determinarán de común acuerdo con el órgano o la agencia de la Unión, el Estado miembro, el tercer Estado o la organización internacional afectados.

52.

Las visitas de evaluación se llevarán a cabo con el fin de comprobar el cumplimiento de las normas, reglamentaciones y procedimientos pertinentes de la entidad visitada y verificar si las prácticas de dicha entidad se ajustan a los principios básicos y las normas mínimas establecidas en la presente Decisión y a las disposiciones que rigen el intercambio de información clasificada con dicha entidad.

53.

Las visitas de evaluación se efectuarán en dos fases. Antes de la visita propiamente dicha se celebrará una reunión preparatoria con la entidad afectada, si procede. Tras esta reunión preparatoria, el equipo de evaluación establecerá, de común acuerdo con la entidad afectada, un programa detallado para la visita de evaluación que abarque todos los aspectos de la seguridad. El equipo de evaluación debe tener acceso a todos los locales, en particular a los registros y puntos de presencia de los SIC, en los que se maneje ICUE.

54.

Las visitas de evaluación a las administraciones públicas de los Estados miembros, terceros Estados y organizaciones internacionales se efectuarán en plena colaboración con los funcionarios de la entidad, del tercer Estado o de la organización internacional visitados.

55.

Las visitas de evaluación a los órganos, agencias y entidades de la Unión que apliquen la presente Decisión o sus principios se efectuarán con asistencia de expertos de la ANS del país en que esté establecido el órgano o la agencia.

56.

En el caso de las visitas de evaluación a órganos, agencias y entidades de la Unión que apliquen la presente Decisión o sus principios, y a terceros Estados y organizaciones internacionales, se podrá solicitar la asistencia y contribución de expertos de la ANS, de conformidad con las medidas de aplicación que debe acordar el Comité de Seguridad.

57.

Al término de la visita de evaluación se presentarán a la entidad visitada las principales conclusiones y recomendaciones. A continuación, se elaborará un informe de la visita de evaluación. Cuando se hayan propuesto medidas correctoras y recomendaciones, el informe incluirá datos suficientes que avalen sus conclusiones. El informe se remitirá a la autoridad que corresponda de la entidad visitada.

58.

Con respecto a las visitas de evaluación realizadas en las administraciones públicas de los Estados miembros:

Se elaborará un informe periódico, bajo la responsabilidad de la Oficina de Seguridad de la SGC, para destacar las principales enseñanzas extraídas de las visitas de evaluación realizadas en los Estados miembros a lo largo de un período determinado; el informe será examinado por el Comité de Seguridad.

59.

Cuando se trate de visitas de evaluación a terceros Estados u organizaciones internacionales, el informe se remitirá al Comité de Seguridad. Esos informes llevarán la clasificación, como mínimo, de grado RESTREINT UE/EU RESTRICTED. En las visitas de seguimiento se comprobará la aplicación de las medidas correctoras y se informará de ella al Comité de Seguridad.

60.

Cuando se trate de visitas de evaluación a todo órgano, agencia y entidad de la Unión que aplique la presente Decisión o sus principios, los informes de las visitas de evaluación se distribuirán al Comité de Seguridad. Los proyectos de informes de las visitas de evaluación se remitirán a la agencia u órgano de que se trate para que verifique que no contienen errores en cuanto a los hechos ni información clasificada de grado superior a RESTREINT UE/EU RESTRICTED. En las visitas de seguimiento se comprobará la aplicación de las medidas correctoras y se informará de ella al Comité de Seguridad.

61.

La Oficina de Seguridad de la SGC realizará inspecciones periódicas de los servicios administrativos de la SGC a los fines establecidos en el punto 50.

62.

Corresponderá a la Oficina de Seguridad de la SGC elaborar y actualizar una lista de control de los puntos que deberán comprobarse en el curso de una visita de evaluación. Esta lista y sus eventuales actualizaciones se remitirán al Comité de Seguridad.

63.

La información para completar la lista de control se obtendrá, en particular durante la visita, de los encargados de la gestión de seguridad de la entidad inspeccionada. Una vez completada con las respuestas detalladas, la lista de control se clasificará de común acuerdo con la entidad inspeccionada. No formará parte del informe de inspección.

1.

El presente anexo establece disposiciones para la aplicación del artículo 10.

2.

Las siguientes propiedades y conceptos relativos a la GI se consideran esenciales para la seguridad y correcto funcionamiento de las operaciones realizadas en los SIC:

3.

Las disposiciones que se establecen a continuación constituyen el punto de partida para garantizar la seguridad de todo sistema que maneje ICUE por parte de un SIC. Los requisitos detallados para dar cumplimiento a las presentes disposiciones se definirán en políticas y directrices de seguridad para la GI.

4.

La gestión del riesgo de seguridad será parte integrante de la definición, desarrollo, funcionamiento y mantenimiento de los SIC. La gestión del riesgo (evaluación, tratamiento, aceptación y comunicación) se llevará a cabo como un proceso iterativo y de forma conjunta por parte de los representantes de los propietarios del sistema, las autoridades del proyecto, las autoridades operativas y las autoridades responsables de la aprobación de la seguridad, recurriendo a un método de evaluación del riesgo que haya demostrado su eficacia y sea transparente y plenamente comprensible. El alcance del SIC y de sus activos estará claramente definido ya desde el comienzo del proceso de gestión del riesgo.

5.

Las autoridades competentes examinarán las amenazas potenciales para el SIC y mantendrán evaluaciones de la amenaza actualizadas y exactas que reflejen el entorno operativo del momento. Actualizarán continuamente sus conocimientos de las cuestiones relativas a la vulnerabilidad y revisarán periódicamente la evaluación de la vulnerabilidad para hacer frente al entorno cambiante de las tecnologías de la información (TI).

6.

El tratamiento del riesgo de seguridad tendrá por objeto aplicar un conjunto de medidas de seguridad que creen un equilibrio satisfactorio entre las necesidades de los usuarios, el coste y el riesgo de seguridad residual.

7.

Los requisitos específicos, escala y grado de detalle determinados por la autoridad de acreditación de seguridad pertinente para acreditar un SIC serán proporcionales al riesgo evaluado, teniendo en cuenta todos los factores pertinentes, con inclusión del grado de clasificación de la ICUE manejada por el SIC. La acreditación incluirá una declaración formal sobre el riesgo residual y la aceptación de dicho riesgo por parte de una autoridad competente.

8.

Garantizar la seguridad constituirá un requisito a lo largo de todo el ciclo de vida del SIC, desde su comienzo hasta su retirada del servicio.

9.

Para cada fase del ciclo de vida de un sistema, se determinará el papel y la interacción de todo participante en un SIC con respecto a su seguridad.

10.

Cualquier SIC, incluidas sus medidas de seguridad de carácter técnico y no técnico, será objeto de pruebas de seguridad durante su proceso de acreditación, para asegurarse de que se obtiene el nivel adecuado de garantía y verificar que esos sistemas están correctamente aplicados, integrados y configurados.

11.

Se realizarán periódicamente evaluaciones, inspecciones y exámenes de seguridad durante el funcionamiento y el mantenimiento del SIC y cuando se produzcan circunstancias excepcionales.

12.

La documentación de seguridad de un SIC irá evolucionando a lo largo de su ciclo de vida como parte integrante del proceso de gestión de la configuración y del cambio.

13.

La SGC y los Estados miembros colaborarán en el desarrollo de mejores prácticas para la protección de la ICUE manejada en los SIC. Las directrices sobre las mejores prácticas establecerán medidas de seguridad técnicas, físicas, de organización y de procedimiento para los SIC, de probada eficacia para contrarrestar determinadas amenazas y vulnerabilidades.

14.

La protección de la ICUE manejada en SIC se basará en las enseñanzas obtenidas por las entidades que intervienen en la GI tanto dentro de la Unión como fuera de ella.

15.

La difusión y ulterior aplicación de las mejores prácticas contribuirán a lograr un nivel equivalente de garantía en los distintos SIC que manejan ICUE y que funcionan en la SGC y en los Estados miembros.

16.

Para paliar los riesgos en los SIC, se aplicará una serie de medidas de seguridad de carácter técnico y no técnico, organizadas a modo de defensa en barreras sucesivas. Esas barreras de defensa incluirán:

a)   disuasión: medidas de seguridad destinadas a desalentar a los adversarios que planeen un ataque a un SIC;

b)   prevención: medidas de seguridad destinadas a impedir u obstaculizar un ataque a un SIC;

c)   detección: medidas de seguridad destinadas a descubrir que se ha producido un ataque a un SIC;

d)   resistencia: medidas de seguridad destinadas a limitar las consecuencias de un ataque a un bloque mínimo de información o de activos de un SIC y a impedir mayores daños, y

e)   recuperación: medidas de seguridad destinadas a volver al estado anterior de seguridad del SIC.

El grado de rigor de estas medidas de seguridad se determinará mediante una evaluación del riesgo.

17.

La ANS u otra autoridad competente se asegurará:

18.

Únicamente se pondrán en marcha las funciones, dispositivos y servicios esenciales para cubrir las necesidades operativas, con el fin de evitar riesgos innecesarios.

19.

Los usuarios de los SIC y los procesos automáticos solo obtendrán el acceso, los privilegios o los permisos que necesiten para realizar su cometido, con el fin de limitar los daños resultantes de accidentes, errores o uso no autorizado de recursos de los SIC.

20.

Los procedimientos de registro que efectúa un SIC, cuando es preciso, se verificarán como parte del proceso de acreditación.

21.

La conciencia de los riesgos y de las medidas de seguridad disponibles constituye la primera línea de defensa de la seguridad de los SIC. En particular, todas las personas que intervienen en el ciclo de vida de un SIC, incluidos sus usuarios, deben ser conscientes:

22.

Para garantizar que son conscientes de las responsabilidades que conlleva la seguridad, será obligatoria la formación y concienciación en relación con la GI para todo el personal implicado, tanto los altos directivos como los usuarios de SIC.

23.

El grado de confianza necesario en las medidas de seguridad, definido como nivel de garantía, se determinará con arreglo al resultado del proceso de gestión del riesgo y en consonancia con las correspondientes políticas y directrices de seguridad.

24.

El nivel de garantía se verificará recurriendo a procedimientos y metodologías reconocidos internacionalmente o aprobados en el plano nacional. Aquí deben incluirse principalmente la evaluación, los controles y las auditorías.

25.

Los productos criptológicos de protección de la ICUE serán evaluados y aprobados por una ACC de un Estado miembro.

26.

Antes de recomendarlos para su aprobación por el Consejo o el Secretario General, de conformidad con el artículo 10, apartado 6, dichos productos criptológicos deberán superar una segunda evaluación realizada por la autoridad debidamente acreditada (ADA) de un Estado miembro que no haya participado en el diseño o fabricación del equipo considerado. El grado de detalle exigido en la segunda evaluación dependerá del grado máximo de clasificación de la ICUE que se prevé proteger con dichos productos. El Consejo aprobará una política de seguridad sobre la evaluación y aprobación de los productos criptológicos.

27.

Cuando ello esté justificado por motivos operativos específicos, el Consejo o el Secretario General, según proceda, podrá, previa recomendación del Comité de Seguridad, dispensar del cumplimiento de los requisitos recogidos en los puntos 25 o 26 del presente anexo y otorgar una aprobación provisional durante un período específico, de conformidad con el procedimiento establecido en el artículo 10, apartado 6.

28.

El Consejo, por recomendación del Comité de Seguridad, podrá aceptar el proceso de evaluación, selección y aprobación de los productos criptológicos de un tercer Estado o de una organización internacional y considerar en consecuencia que tales productos criptológicos quedan aprobados a efectos de protección de ICUE cedida a dicho tercer Estado o dicha organización internacional.

29.

Una ADA será una ACC de un Estado miembro, acreditada mediante criterios objetivos establecidos por el Consejo para realizar la segunda evaluación de los productos criptológicos de protección de la ICUE.

30.

El Consejo aprobará una política de seguridad sobre la cualificación y aprobación de productos de seguridad de TI no criptológicos.

31.

No obstante las disposiciones de la presente Decisión, cuando la transmisión de ICUE se limite a zonas de acceso restringido o zonas administrativas, podrá utilizarse la transmisión no cifrada, o cifrada en un nivel inferior, en base al resultado de un proceso de gestión del riesgo y previa aprobación de la AAS.

32.

A los efectos de la presente Decisión, por interconexión se entenderá la conexión directa de dos o más sistemas de TI con objeto de compartir datos y otros recursos de información (por ejemplo, comunicación) de forma unidireccional o multidireccional.

33.

Todo SIC tratará como no fiable a cualquier sistema de TI interconectado y aplicará medidas protectoras para controlar el intercambio de información clasificada.

34.

Con relación a todas las interconexiones de un SIC con otro sistema de TI, se observarán los siguientes requisitos básicos:

35.

No habrá interconexión entre un SIC acreditado y una red desprotegida o pública, salvo cuando el SIC tenga instalado a tal fin un servicio de protección de perímetro aprobado, que actúe entre el SIC y la red desprotegida o pública. Las medidas de seguridad de tales interconexiones serán examinadas por la autoridad de garantía de la información competente y aprobadas por la autoridad de acreditación de seguridad competente.

Cuando la red desprotegida o pública se utilice únicamente para el transporte y los datos estén cifrados con un producto criptológico aprobado en conformidad con el artículo 10, se considerará que la conexión no es una interconexión.

36.

Quedarán prohibidas las interconexiones directas o dispuestas en cascada de un SIC acreditado para manejar información clasificada de grado TRÈS SECRET UE/EU TOP SECRET con redes públicas o desprotegidas.

37.

Los soportes de almacenamiento informático se destruirán con arreglo a un procedimiento aprobado por la autoridad de seguridad competente.

38.

La reutilización, la reducción del grado de clasificación y la desclasificación de los soportes de almacenamiento informático se efectuarán de conformidad con unas directrices de seguridad establecidas de conformidad con el artículo 6, apartado 2.

39.

No obstante lo dispuesto en la presente Decisión, podrán aplicarse los procedimientos específicos que se describen a continuación en casos de emergencia, por ejemplo, en situaciones de crisis, conflicto o guerra, inminentes o reales, o en circunstancias operativas excepcionales.

40.

La ICUE podrá transmitirse utilizando productos criptológicos que hayan sido certificados para un grado de clasificación inferior o sin cifrar con el consentimiento de la autoridad competente, si resulta evidente que un retraso podría causar un daño superior al que acarrea la revelación del material clasificado y si:

41.

En las circunstancias expuestas en el punto 39, la información clasificada transmitida no llevará ninguna marca ni indicación que la distinga de la información no clasificada o que pueda protegerse mediante un producto criptológico disponible. Se notificará sin demora a los receptores el grado de clasificación, recurriendo a otros medios.

42.

Si hubiera que recurrir a lo expuesto en el punto 39, se presentará posteriormente un informe a la autoridad competente y al Comité de Seguridad.

43.

En los Estados miembros y en la SGC se establecerán las siguientes funciones respecto de la GI. Estas funciones no necesitan ser desempeñadas por organismos específicos y únicos. Tendrán cometidos separados. Sin embargo, dichas funciones y sus responsabilidades conexas podrán combinarse o integrarse en el mismo servicio administrativo, o dividirse entre varios de ellos, siempre que se eviten los conflictos internos de intereses o de funciones.

44.

Corresponderá a la Autoridad de Garantía de la Información (AGI):

45.

Corresponderá a la autoridad TEMPEST garantizar que los SIC cumplan las políticas y directrices TEMPEST. La autoridad TEMPEST aprobará contramedidas para instalaciones y productos destinados a proteger ICUE de un determinado grado de clasificación dentro de su entorno operativo.

46.

Corresponderá a la Autoridad de Certificación Criptológica (ACC) garantizar que los productos criptológicos cumplan la política criptológica nacional o la del Consejo. Dará su aprobación a los productos criptológicos para tratar ICUE de un determinado grado de clasificación dentro de su entorno operativo. Por lo que se refiere a los Estados miembros, la ACC se encargará de evaluar los productos criptológicos.

47.

Corresponderá a la ADC:

48.

Corresponderá a la Autoridad de Acreditación de Seguridad (AAS) de cada sistema:

49.

Corresponderá a la AAS de la SGC la acreditación de todos los SIC que funcionen en el marco del mandato de la SGC.

50.

Corresponderá a la AAS competente de un Estado miembro acreditar los SIC y los componentes de estos que operen dentro de su jurisdicción.

51.

Un Panel de Acreditación de Seguridad se encargará de la acreditación de los SIC que entren dentro de la competencia tanto de la AAS de la SGC como de las AAS de los Estados miembros. Estará integrado por un representante de la AAS de cada Estado miembro, y asistirá a él un representante de la AAS de la Comisión. Se invitará a asistir a otras entidades conectadas a un SIC, cuando dicho sistema se someta a debate.

El Panel de Acreditación de Seguridad estará presidido por un representante de la AAS de la SGC. Se pronunciará por consenso de los representantes de las AAS de las instituciones, de los Estados miembros y de otras entidades conectados al SIC de que se trate. Elaborará informes periódicos sobre sus actividades, destinados al Comité de Seguridad y le comunicará todas las declaraciones de acreditación.

52.

Corresponderá a la Autoridad Operacional de Garantía de la Información (AOGI) de cada sistema:

1.

El presente anexo establece disposiciones para la aplicación del artículo 11, así como disposiciones generales en materia de seguridad aplicables a las sociedades industriales u otro tipo de entidades en las negociaciones precontractuales y durante toda la duración de los contratos clasificados adjudicados por la Secretaría General del Consejo.

2.

El Consejo aprobará unas directrices sobre seguridad industrial que definan, en particular, requisitos detallados en relación con las habilitaciones de seguridad de establecimiento, las cláusulas sobre aspectos de la seguridad, las visitas y la transmisión y el transporte de ICUE.

3.

Antes de convocar una licitación o adjudicar un contrato clasificado, la SGC, como autoridad contratante, determinará la clasificación de seguridad de toda información que deba proporcionarse a los licitadores y contratistas, así como la clasificación de seguridad de toda información que haya de producir el contratista. Para ello, la SGC elaborará una guía de clasificación de seguridad, que deberá emplearse en la ejecución del contrato.

4.

Para determinar la clasificación de seguridad de los diversos elementos de un contrato clasificado se aplicarán los principios siguientes:

5.

Los requisitos de seguridad específicos de un contrato se describirán en una cláusula sobre aspectos de seguridad, la cual, cuando proceda, incluirá la guía de clasificación de seguridad y será parte integrante de un contrato o subcontrato clasificado.

6.

La cláusula sobre aspectos de la seguridad incluirá asimismo las disposiciones que exigirán del contratista o subcontratista el cumplimiento de los estándares mínimos que se establecen en la presente Decisión. El incumplimiento de dichos estándares mínimos podrá ser motivo suficiente para la rescisión del contrato.

7.

Según cuál sea el ámbito de los programas o proyectos que conlleven acceso a ICUE o su manejo o almacenamiento, la autoridad contratante designada para gestionar el programa o proyecto podrá emitir unas instrucciones de seguridad específicas del programa o proyecto. Estas instrucciones requerirán la aprobación de las ANS o de las ASD de los Estados miembros o de cualquier otra autoridad de seguridad competente que participen en un determinado proyecto o programa, y podrán contener requisitos de seguridad adicionales.

8.

La habilitación de seguridad de establecimiento será concedida por la ANS o la ASD o cualquier otra autoridad de seguridad competente de un Estado miembro para indicar, de conformidad con las disposiciones legales y reglamentarias nacionales, que una sociedad industrial u otro tipo de entidad puede proteger dentro de sus instalaciones la ICUE del grado de clasificación que corresponda (CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET). Dicha habilitación se presentará a la SGC, como autoridad contratante, antes de facilitar o conceder acceso a la ICUE a un contratista o subcontratista, o a un posible contratista o subcontratista.

9.

Al expedir una habilitación de seguridad de establecimiento, la ANS o la ASD competente procederá, como mínimo, a:

10.

Cuando proceda, la SGC, como autoridad contratante, comunicará a la ANS o a la ASD competente o a cualquier otra autoridad de seguridad competente que es necesario contar con una habilitación de seguridad de establecimiento en la fase precontractual o para la ejecución del contrato. En la fase precontractual, será necesaria una habilitación de seguridad de establecimiento o una HPS cuando durante el proceso de licitación deba facilitarse información clasificada de los grados CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET.

11.

La autoridad contratante no adjudicará un contrato clasificado al licitador seleccionado antes de haber recibido de la ANS o de la ASD o de cualquier otra autoridad de seguridad competente del Estado miembro en que esté registrado el contratista o subcontratista confirmación de que se ha expedido a este la habilitación de seguridad de establecimiento adecuada.

12.

La ANS o la ASD o cualquier otra autoridad de seguridad competente que haya expedido una habilitación de seguridad de establecimiento notificará a la SGC, como autoridad contratante, los cambios que afecten a dicha habilitación. En el caso de los subcontratos, se informará al respecto a la ANS, la ASD o cualquier otra autoridad de seguridad competente.

13.

La retirada de una habilitación de seguridad de establecimiento por parte de la ANS, la ASD o cualquier otra autoridad de seguridad competente constituirá motivo suficiente para que la SGC, como autoridad contratante, rescinda un contrato clasificado o excluya a un licitador de la licitación.

14.

Cuando se facilite ICUE a un licitador en la fase precontractual, el pliego de condiciones deberá contener una cláusula que obligue a los licitadores que no presenten ofertas o que no resulten seleccionados a devolver toda la documentación clasificada en un plazo determinado.

15.

Una vez que se haya adjudicado un contrato o subcontrato clasificado, la SGC, como autoridad contratante, notificará a la ANS, la ASD o cualquier otra autoridad de seguridad competente del contratista o subcontratista, las disposiciones de seguridad del contrato clasificado.

16.

En caso de rescisión de un contrato de este tipo, la SGC, como autoridad contratante (o la ANS, la ASD o cualquier otra autoridad de seguridad competente, según proceda, en el caso de una subcontratación), lo notificarán cuanto antes a los correspondientes organismos o autoridades competentes del Estado miembro en que esté registrado el contratista o subcontratista.

17.

Por regla general, el contratista o subcontratista estará obligado a devolver a la autoridad contratante, al término del contrato o subcontrato clasificado, toda la ICUE que obre en su posesión.

18.

La cláusula sobre aspectos de la seguridad establecerá disposiciones específicas para la eliminación de ICUE durante la ejecución del contrato o al término de este.

19.

Cuando el contratista o subcontratista esté autorizado a conservar ICUE tras la terminación de un contrato, seguirán siendo de aplicación las normas mínimas contenidas en la presente Decisión y el contratista o subcontratista protegerá la confidencialidad de la ICUE.

20.

Las condiciones en que un contratista podrá subcontratar se definirán en el pliego de condiciones y en el contrato.

21.

Antes de subcontratar cualquier parte de un contrato clasificado, el contratista deberá obtener de la SGC, como autoridad contratante, el permiso correspondiente. No podrá adjudicarse un subcontrato a sociedades industriales u otro tipo de entidades registradas en un Estado que no sea miembro de la Unión y no haya celebrado un acuerdo de seguridad de la información con esta.

22.

El contratista responderá de que todas las actividades subcontratadas se ejecuten de conformidad con las normas mínimas prescritas en la presente Decisión y no transmitirá ICUE a ningún subcontratista sin el previo consentimiento escrito de la autoridad contratante.

23.

Respecto de la ICUE producida o manejada por el contratista o subcontratista, los derechos que asistan al originador serán ejercidos por la autoridad contratante.

24.

Cuando el personal de la SGC, de los contratistas o de los subcontratistas necesite acceder a información clasificada de los grados CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET que se halle en los locales de los otros para la ejecución de un contrato clasificado, se organizarán visitas, en contacto con las ANS, las ASD o cualquier otra autoridad de seguridad competente. No obstante, en el contexto de proyectos específicos, las ANS o las ASD podrán también acordar un procedimiento que permita organizar directamente dichas visitas.

25.

Todos los visitantes deberán estar en posesión de una HPS adecuada y tener necesidad de conocer para poder acceder a la ICUE relacionada con el contrato de la SGC.

26.

A los visitantes solo se les permitirá el acceso a ICUE que guarde relación con la finalidad de la visita.

27.

Por lo que se refiere a la transmisión de ICUE por medios electrónicos, se aplicarán las disposiciones pertinentes del artículo 10 y del anexo IV.

28.

Por lo que se refiere al transporte de ICUE, se aplicarán las disposiciones pertinentes del anexo III, de conformidad con las disposiciones legales y reglamentarias nacionales.

29.

Por lo que se refiere al transporte como carga de material clasificado, se aplicarán los siguientes principios para determinar las medidas de seguridad:

30.

La transmisión de ICUE a contratistas y subcontratistas establecidos en terceros Estados se hará de conformidad con las medidas de seguridad que adopten de común acuerdo la SGC, como autoridad contratante, y la ANS o la ASD del tercer Estado afectado en que esté registrado el contratista.

31.

La SGC, como autoridad contratante, en colaboración con la ANS o la ASD del Estado miembro, según proceda, estará facultada para realizar inspecciones a los establecimientos de los contratistas o subcontratistas en virtud de disposiciones contractuales, con el fin de cerciorarse de que se aplican las medidas de seguridad adecuadas para la protección de la ICUE de grado RESTREINT UE/EU RESTRICTED, tal como se haya estipulado en el contrato.

32.

En la medida necesaria de conformidad con las disposiciones legales y reglamentarias nacionales, la SGC, como autoridad contratante, notificará a la ANS, la ASD o cualquier otra autoridad de seguridad competente los contratos o subcontratos que contengan información clasificada de grado RESTREINT UE/EU RESTRICTED.

33.

Para los contratos adjudicados por la SGC que contengan información clasificada de grado RESTREINT UE/EU RESTRICTED, no se exigirá a los contratistas o subcontratistas ni a su personal una habilitación de seguridad de establecimiento ni una HPS.

34.

La SGC, como autoridad contratante, estudiará las respuestas a las invitaciones a presentar ofertas para los contratos que requieran el acceso a información clasificada de grado RESTREINT UE/EU RESTRICTED, independientemente de los requisitos relativos a una habilitación de seguridad de establecimiento o una HPS que puedan exigir las disposiciones legales y reglamentarias nacionales.

35.

Las condiciones en que el contratista podrá subcontratar deberán estar en conformidad con el punto 21.

36.

Cuando un contrato suponga el manejo de información clasificada de grado RESTREINT UE/EU RESTRICTED en un SIC gestionado por un contratista, la SGC, como autoridad contratante, garantizará que en el contrato o en cualquier posible subcontrato se detallen los requisitos técnicos y administrativos necesarios para la acreditación del SIC que sean acordes al riesgo evaluado, teniendo en cuenta todos los factores pertinentes. El ámbito de la acreditación de dicho SIC se determinará mediante acuerdo entre la autoridad contratante y la ANS o la ASD competente.

1.

El presente anexo establece disposiciones para la aplicación del artículo 13.

2.

Cuando el Consejo haya determinado que existe la necesidad de intercambiar información clasificada de forma prolongada,

de conformidad con el artículo 13, apartado 2, y las secciones III y IV y sobre la base de una recomendación del Comité de Seguridad.

3.

Cuando la ICUE generada a efectos de una operación PCSD deba comunicarse a terceros Estados u organizaciones internacionales que participen en dicha operación, y cuando no exista ninguno de los marcos a que se refiere el punto 2, el intercambio de ICUE con el tercer Estado u organización internacional de que se trate se regulará, conforme a lo dispuesto en la sección V, por:

4.

En ausencia de uno de los marcos a que se refieren los puntos 2 y 3, y cuando se adopte la decisión de ceder ICUE a un tercer Estado u organización internacional con arreglo a un procedimiento ad hoc de carácter excepcional de conformidad con lo dispuesto en la sección VI, se pedirán garantías por escrito al tercer Estado u organización internacional interesado de que mantendrá protegida la ICUE que se le ceda de acuerdo con los principios básicos y las normas mínimas establecidas por la presente Decisión.

5.

Los acuerdos de seguridad de la información establecerán los principios básicos y las normas mínimas aplicables al intercambio de información clasificada entre la Unión y un tercer Estado u organización internacional.

6.

Los acuerdos de seguridad de la información establecerán las disposiciones técnicas de aplicación que deban convenirse entre las autoridades de seguridad competentes de las instituciones y órganos pertinentes de la Unión y la autoridad de seguridad competente del tercer Estado u organización internacional de que se trate. Dichas disposiciones tendrán debidamente en cuenta el grado de protección que ofrezcan las normas, estructuras y procedimientos de seguridad del tercer Estado o la organización internacional de que se trate. Serán aprobadas por el Comité de Seguridad.

7.

Con arreglo a un acuerdo de seguridad de la información, no se intercambiará ICUE por medios electrónicos a menos que se haya previsto explícitamente en el acuerdo o en las disposiciones técnicas de aplicación correspondientes.

8.

En los acuerdos sobre seguridad de la información que celebre el Consejo se designará un registro en cada parte como punto principal de entrada y salida para los intercambios de información clasificada.

9.

Con el fin de evaluar la eficacia de las normas, estructuras y procedimientos de seguridad del tercer Estado o la organización internacional en cuestión, se efectuarán visitas de evaluación de común acuerdo con el tercer Estado o la organización internacional de que se trate. Dichas visitas se realizarán de conformidad con las disposiciones pertinentes del anexo III y evaluarán:

10.

El equipo que efectúe la visita de evaluación en nombre de la Unión evaluará si las normas y procedimientos de seguridad en el tercer Estado o la organización internacional son adecuados para ofrecer protección a la ICUE de un determinado nivel.

11.

Los resultados de estas visitas se recogerán en un informe que servirá de base al Comité de Seguridad para determinar el grado máximo de la ICUE que podrá intercambiarse en papel o, cuando proceda, de forma electrónica, con el tercero de que se trate, así como las condiciones específicas de dicho intercambio.

12.

Deberá ponerse el máximo empeño en realizar una visita completa de evaluación de la seguridad en el tercer Estado u organización internacional de que se trate antes de que el Comité de Seguridad apruebe las disposiciones de aplicación, con objeto de determinar la naturaleza y la eficacia del sistema de seguridad que esté establecido. No obstante, cuando ello no resulte posible, el Comité de Seguridad recibirá un informe lo más completo posible de la Oficina de Seguridad de la SGC, basado en la información de que disponga, en el que se le informará de la normativa de seguridad aplicable y de la manera en que está organizada la seguridad en el tercer Estado o la organización internacional de que se trate.

13.

El informe de la visita de evaluación o, en caso de no existir dicho informe, el informe a que se refiere el punto 12, se remitirá al Comité de Seguridad, que deberá considerarlo satisfactorio, antes de que se ceda efectivamente ICUE al tercer Estado o a la organización internacional de que se trate.

14.

Las autoridades de seguridad competentes de las instituciones y órganos de la Unión comunicarán al tercer Estado u organización internacional la fecha a partir de la cual la Unión se encontrará en condiciones de ceder información clasificada de la Unión con arreglo al acuerdo, así como el máximo grado de ICUE que pueda intercambiarse en soporte de papel o por medios electrónicos.

15.

Si se juzga necesario, se efectuarán visitas de seguimiento, en particular si:

16.

Una vez que el acuerdo de seguridad de la información esté en vigor y se haya intercambiado información clasificada con el tercer Estado o la organización internacional de que se trate, el Comité de Seguridad podrá decidir modificar el grado máximo de la ICUE que podrá ser intercambiada en papel o por medios electrónicos, en particular, como consecuencia de posibles visitas de evaluación ulteriores.

17.

Cuando exista la necesidad de intercambiar durante largo tiempo información clasificada, en principio, de un grado no superior a RESTREINT UE/EU RESTRICTED con un tercer Estado o una organización internacional y el Comité de Seguridad haya determinado que la otra parte no cuenta con un sistema de seguridad suficientemente desarrollado como para celebrar un acuerdo de seguridad de la información, el Secretario General podrá, previa aprobación del Consejo, celebrar un acuerdo administrativo, en nombre de la SGC, con las autoridades competentes del tercer Estado o la organización internacional.

18.

Cuando por motivos operativos urgentes sea necesario establecer rápidamente un marco de intercambio de información clasificada, el Consejo podrá decidir, con carácter excepcional, que se celebre un acuerdo administrativo para el intercambio de información de un grado de clasificación superior.

19.

Por regla general, los acuerdos administrativos adoptarán la forma de un canje de notas.

20.

Antes de ceder efectivamente ICUE al tercer Estado o la organización internacional de que se trate, se realizará una visita de evaluación con arreglo al punto 9 y se remitirá el correspondiente informe o, en caso de no existir dicho informe, el informe a que se refiere el punto 12, al Comité de Seguridad, que deberá considerarlo satisfactorio.

21.

Con arreglo a un acuerdo administrativo, no se intercambiará ICUE por medios electrónicos a menos que se haya establecido explícitamente en el acuerdo.

22.

La participación de terceros Estados o de organizaciones internacionales en operaciones PCSD se rige por acuerdos marco de participación. Los citados acuerdos incluirán disposiciones en materia de cesión de ICUE generada con motivo de operaciones PCSD a terceros Estados u organizaciones internacionales contribuyentes. No se podrá intercambiar ICUE de grado superior a RESTREINT UE/EU RESTRICTED para operaciones civiles PCSD y CONFIDENTIEL UE/UE CONFIDENTIAL para operaciones militares PCSD, a menos que se prescriba otra cosa en la decisión que establezca cada operación PCSD.

23.

Los acuerdos de participación ad hoc celebrados para una operación PCSD específica incluirán disposiciones sobre la cesión de ICUE generada a efectos de dicha operación a terceros Estados u organizaciones internacionales contribuyentes. No se podrá intercambiar ICUE de grado superior a RESTREINT UE/EU RESTRICTED para operaciones civiles PCSD y CONFIDENTIEL UE/UE CONFIDENTIAL para operaciones militares PCSD, a menos que se prescriba otra cosa en la decisión que establezca cada operación PCSD.

24.

A falta de acuerdo de seguridad de la información, y a la espera de la celebración de un acuerdo de participación, la cesión de ICUE, generada a efectos de la operación, a un tercer Estado u organización internacional participante en la operación, se regulará mediante un acuerdo administrativo que celebrará el Alto Representante o será objeto de una decisión sobre cesión ad hoc de conformidad con la sección VI. Con arreglo a dicho acuerdo solo se intercambiará ICUE mientras se siga contemplando la participación del tercer Estado o de la organización internacional. No se podrá intercambiar ICUE de grado superior a RESTREINT UE/EU RESTRICTED para operaciones civiles PCSD y CONFIDENTIEL UE/UE CONFIDENTIAL para operaciones militares PCSD, a menos que se prescriba otra cosa en la decisión que establezca cada operación PCSD.

25.

Las disposiciones sobre la información clasificada que deberán figurar en los acuerdos marco de participación, en los acuerdos de participación ad hoc y en los acuerdos administrativos ad hoc a que se refieren los puntos 22, 23 y 24 establecerán que el tercer Estado u organización internacional afectado deberá garantizar que su personal destinado en comisión de servicio a la operación protegerá la ICUE con arreglo a las normas de seguridad del Consejo y con cualquier otra directriz emitida por las autoridades competentes, incluida la cadena de mando de la operación.

26.

Si la Unión y el tercer Estado o la organización internacional contribuyente celebran ulteriormente un acuerdo de seguridad de la información, este acuerdo sustituirá a las disposiciones en materia de intercambio de información clasificada establecidas en cualquier acuerdo marco de participación, acuerdo de participación ad hoc o acuerdo administrativo ad hoc previo en lo que se refiere al intercambio y manejo de ICUE.

27.

No se permitirá el intercambio de ICUE por medios electrónicos con arreglo a un acuerdo marco de participación, un acuerdo de participación ad hoc o un acuerdo administrativo ad hoc con un tercer Estado u organización internacional, a menos que se haya establecido explícitamente en el acuerdo o en el acuerdo administrativo en cuestión.

28.

La ICUE generada a efectos de la operación PCSD podrá ser revelada al personal destinado en comisión de servicio para dicha operación por terceros Estados u organizaciones internacionales de conformidad con lo dispuesto en los puntos 22 a 27. Cuando se conceda autorización de acceso a ICUE en los locales o en los SIC de una operación PCSD a dicho personal, se aplicarán las medidas necesarias (incluida la grabación de la ICUE revelada) para evitar riesgos de pérdida o comprometimiento de la información. Estas medidas se determinarán en los documentos de planificación o de misión.

29.

A falta de un acuerdo de seguridad de la información, y en caso de necesidad operativa específica e inmediata, la cesión de ICUE al Estado anfitrión en cuyo territorio se lleve a cabo una operación PCSD podrá regularse mediante un acuerdo administrativo que celebrará el Alto Representante. Esta posibilidad se dispondrá en la decisión que establezca la operación PCSD. La ICUE cedida en esas circunstancias se limitará a la generada para los fines de la operación PCSD y su grado de clasificación no será superior a RESTREINT UE/EU RESTRICTED, salvo que se disponga un grado de clasificación superior en la decisión que establezca la operación PCSD. En el marco del citado acuerdo administrativo, se exigirá al Estado de acogida que se comprometa a proteger la ICUE respetando normas mínimas no menos estrictas que las establecidas por la presente Decisión.

30.

A falta de acuerdo de seguridad de la información, la cesión de ICUE a un tercer Estado y a organizaciones internacionales pertinentes, distintos de los participantes en una operación PCSD, podrá regularse mediante un acuerdo administrativo que celebrará la Alta Representante. Si resulta conveniente, se preverá dicha posibilidad y toda condición al respecto en la decisión que establezca la operación PCSD. La ICUE cedida en esas circunstancias se limitará a la generada para los fines de la operación PCSD y su grado de clasificación no será superior a RESTREINT UE/EU RESTRICTED, salvo que se establezca un grado de clasificación superior en la decisión que establezca la operación PCSD. En el marco del citado acuerdo administrativo, se pedirá al tercer Estado o a la organización internacional de que se trate que se comprometan a proteger la ICUE respetando normas mínimas no menos estrictas que las establecidas por la presente Decisión.

31.

No será preciso establecer disposiciones de aplicación ni efectuar visitas de evaluación antes de aplicar las disposiciones en materia de cesión de ICUE en el contexto de los puntos 22, 23 y 24.

32.

En caso de que no exista un marco de conformidad con las secciones III, IV y V, y cuando el Consejo o uno de sus órganos preparatorios determine que es necesario, a título excepcional, ceder ICUE a un tercer Estado o a una organización internacional, la SGC:

33.

Si el Comité de Seguridad emite una recomendación a favor de la cesión de la ICUE, el asunto se comunicará al Comité de Representantes Permanentes (Coreper), que deberá tomar una decisión sobre la cesión de dicha información.

34.

Si la recomendación del Comité de Seguridad no es favorable a la cesión de la ICUE:

35.

Cuando se considere apropiado, y siempre que se cuente con el consentimiento previo por escrito del originador, el Coreper podrá decidir que la información clasificada sea cedida solo en parte o únicamente si se ha reducido el grado de clasificación o se ha desclasificado previamente; o que la información que deba cederse se elabore sin hacer referencia a la fuente o al grado de clasificación UE original.

36.

Una vez que se haya tomado la decisión de ceder ICUE, la SGC enviará el documento de que se trate, el cual deberá llevar una marca de posibilidad de cesión que indique a qué tercer Estado u organización internacional ha sido cedido. Antes o en el momento de la cesión efectiva, el tercero de que se trate se comprometerá por escrito a proteger la ICUE que reciba de acuerdo con los principios básicos y las normas mínimas que se establecen en la presente Decisión.

37.

Cuando exista un marco para el intercambio de información clasificada con un tercer Estado u organización internacional con arreglo al punto 2, el Consejo tomará una decisión que autorice al Secretario General a ceder ICUE al tercer Estado o la organización internacional de que se trate, respetando el principio del consentimiento previo del originador. El Secretario General podrá delegar tal autorización en altos funcionarios de la SGC.

38.

Cuando exista un acuerdo de seguridad de la información, con arreglo al punto 2, primer inciso, el Consejo podrá adoptar una decisión que autorice al Alto Representante a ceder al tercer Estado o a la organización internacional de que se trate ICUE originada en el Consejo en el ámbito de la política exterior y de seguridad común, tras haber obtenido el consentimiento del originador de todo material de origen contenido en ella. El Alto Representante podrá delegar tal autorización en altos funcionarios del SEAE o en los Representantes Especiales de la Unión.

39.

Cuando exista un marco para el intercambio de información clasificada con un tercer Estado u organización internacional con arreglo a los puntos 2 o 3, se autorizará al Alto Representante a ceder ICUE, de conformidad con la decisión por la que se establezca la operación PCSD y respetando el principio del consentimiento previo del originador. El Alto Representante podrá delegar tal autorización en altos funcionarios del SEAE, en la Operación de la UE, en los Comandantes de la Fuerza o de la Misión, o en los Jefes de Misión de la UE.