02000Q3614 — IT — 23.04.2020 — 013.001

---

Il presente testo è un semplice strumento di documentazione e non produce alcun effetto giuridico. Le istituzioni dell’Unione non assumono alcuna responsabilità per i suoi contenuti. Le versioni facenti fede degli atti pertinenti, compresi i loro preamboli, sono quelle pubblicate nella Gazzetta ufficiale dell’Unione europea e disponibili in EUR-Lex. Tali testi ufficiali sono direttamente accessibili attraverso i link inseriti nel presente documento

►B	REGOLAMENTO INTERNO DELLA COMMISSIONE [C(2000) 3614] (GU L 308 del 8.12.2000, pag. 26)

Modificato da:

		Gazzetta ufficiale
		n.	pag.	data
►M1	DECISIONE DELLA COMMISSIONE 2001/844/CE, CECA, Euratom del 29 novembre 2001	L 317	1	3.12.2001
►M2	Modificato da: DECISIONE DELLA COMMISSIONE 2005/94/CE, Euratom del 3 febbraio 2005	L 31	66	4.2.2005
►M3	Modificato da: DECISIONE DELLA COMMISSIONE 2006/70/CE, Euratom del 31 gennaio 2006	L 34	32	7.2.2006
►M4	Modificato da: DECISIONE DELLA COMMISSIONE 2006/548/CE, Euratom del 2 agosto 2006	L 215	38	5.8.2006
►M5	DECISIONE DELLA COMMISSIONE 2001/937/CE, CECA, Euratom del 5 dicembre 2001	L 345	94	29.12.2001
►M6	DECISIONE DELLA COMMISSIONE 2002/47/CE, CECA, Euratom del 23 gennaio 2002	L 21	23	24.1.2002
M7	DECISIONE DELLA COMMISSIONE 2003/246/CE, Euratom del 26 marzo 2003	L 92	14	9.4.2003
►M8	DECISIONE DELLA COMMISSIONE 2004/563/CE, Euratom del 7 luglio 2004	L 251	9	27.7.2004
M9	DECISIONE DELLA COMMISSIONE 2005/960/CE, Euratom del 15 novembre 2005	L 347	83	30.12.2005
►M10	DECISIONE DELLA COMMISSIONE 2006/25/CE, Euratom del 23 dicembre 2005	L 19	20	24.1.2006
►M11	DECISIONE DELLA COMMISSIONE 2007/65/CE del 15 dicembre 2006	L 32	144	6.2.2007
►M12	DECISIONE DELLA COMMISSIONE 2008/401/CE, Euratom del 30 aprile 2008	L 140	22	30.5.2008
►M13	DECISIONE DELLA COMMISSIONE 2010/138/UE, Euratom del 24 febbraio 2010	L 55	60	5.3.2010
►M14	DECISIONE DELLA COMMISSIONE 2011/737/UE, Euratom del 9 novembre 2011	L 296	58	15.11.2011
►M15	DECISIONE (UE, Euratom) 2020/555 DELLA COMMISSIONE del 22 aprile 2020	L 127I	1	22.4.2020

---

▼B

REGOLAMENTO INTERNO DELLA COMMISSIONE

[C(2000) 3614]

▼M13

CAPO I

LA COMMISSIONE

Articolo 1

Collegialità

La Commissione agisce come organo collegiale, secondo le disposizioni del presente regolamento, conformemente alle priorità che ha stabilito nel quadro degli indirizzi politici definiti dal presidente ai sensi dell'articolo 17, paragrafo 6, TUE.

Articolo 2

Indirizzi politici, priorità e programma di lavoro

Nel rispetto degli indirizzi politici definiti dal presidente, la Commissione fissa le proprie priorità e le traduce nel programma di lavoro e nel progetto di bilancio che adotta annualmente.

Articolo 3

Il presidente

1.  Il presidente definisce gli indirizzi politici entro i quali la Commissione esercita la propria missione ( 1 ). Egli guida i lavori della Commissione per garantirne la realizzazione.

2.  Il presidente decide l'organizzazione interna della Commissione per garantire la coerenza, l'efficienza e la collegialità del suo operato ( 2 ).

Fatto salvo l'articolo 18, paragrafo 4, TUE, il presidente può assegnare ai membri della Commissione particolari settori di attività, per i quali incombe loro la responsabilità specifica di preparare i lavori della Commissione, nonché di attuare le decisioni prese ( 3 ).

Il presidente può chiedere ai membri della Commissione di condurre azioni specifiche per dare attuazione agli indirizzi politici da lui definiti e alle priorità fissate dalla Commissione.

Può modificare le attribuzioni decise in qualsiasi momento ( 4 ).

I membri della Commissione esercitano le funzioni demandate loro dal presidente sotto la sua autorità ( 5 ).

3.  Il presidente nomina vicepresidenti, diversi dall'alto rappresentante dell'Unione per gli affari esteri e la politica di sicurezza, tra i membri della Commissione ( 6 ), e stabilisce l'ordine di precedenza all'interno del collegio.

4.  Il presidente può liberamente costituire gruppi di membri della Commissione, generalmente ad hoc, di cui designa il presidente, fissa il mandato e le modalità di funzionamento, oltre a determinare la composizione e la durata.

5.  Il presidente rappresenta la Commissione e designa i membri della stessa incaricati di assisterlo in questa funzione.

6.  Fatto salvo l'articolo 18, paragrafo 1, TUE, un membro della Commissione rassegna la propria dimissione qualora il presidente gliene faccia richiesta ( 7 ).

Articolo 4

Procedure decisionali

Le decisioni della Commissione sono prese, a seconda dei casi:

SEZIONE 1

Riunioni della commissione

Articolo 5

Convocazione

1.  Le riunioni della Commissione sono convocate dal presidente.

2.  Di norma, la Commissione si riunisce almeno una volta alla settimana. Si riunisce inoltre ogni volta che se ne presenti la necessità.

▼M15

Qualora parte o tutti i membri della Commissione siano impossibilitati ad assistere di persona a una riunione della Commissione, il presidente può, in circostanze eccezionali, invitarli a partecipare usando sistemi di telecomunicazione che consentano la loro identificazione ed effettiva partecipazione.

▼M13

3.  I membri della Commissione sono tenuti ad assistere a tutte le riunioni. In caso di impedimento, informano per tempo il presidente circa le ragioni della loro assenza. Spetta al presidente valutare le circostanze che possono impedire il rispetto di tale obbligo.

Articolo 6

Ordine del giorno delle riunioni della Commissione

1.  Il presidente stabilisce l'ordine del giorno per ogni riunione della Commissione.

2.  Ferma restando la prerogativa del presidente di stabilire l'ordine del giorno, qualunque proposta che comporti spese rilevanti va presentata con l'assenso del membro della Commissione responsabile per il bilancio.

3.  Qualsiasi argomento che un membro della Commissione intenda proporre di iscrivere all'ordine del giorno va comunicata al presidente secondo le condizioni fissate dalla Commissione nelle modalità d'applicazione di cui all'articolo 28 del presente regolamento interno, qui di seguito denominate «modalità d'applicazione».

4.  L’ordine del giorno e i documenti necessari sono comunicati ai membri della Commissione a norma delle modalità d’applicazione.

5.  La Commissione può decidere, su proposta del presidente, di deliberare in merito a un argomento non iscritto all’ordine del giorno o per il quale i necessari documenti siano stati distribuiti in ritardo.

Articolo 7

Quorum

Affinché le deliberazioni della Commissione siano valide deve essere presente la maggioranza del numero di membri previsto dal trattato.

▼M15

Quando il presidente si avvale dell’articolo 5, paragrafo 2, secondo comma, i membri della Commissione che partecipano alle deliberazioni usando i sistemi di telecomunicazione di cui a detto comma sono considerati presenti ai fini del quorum.

▼M13

Articolo 8

Adozione delle decisioni

1.  La Commissione decide su proposta di uno o più membri.

2.  La Commissione procede a una votazione su richiesta di uno dei suoi membri. La votazione verte sul progetto iniziale o su un progetto modificato dal (o dai) membro(i) responsabile(i) dell'iniziativa in questione o dal presidente.

3.  Le decisioni della Commissione sono prese a maggioranza del numero di membri previsto dal trattato.

4.  Il presidente constata l’esito delle deliberazioni, che viene riportato nel verbale della riunione, ai sensi dell’articolo 11 del presente regolamento interno.

Articolo 9

Riservatezza

Le riunioni della Commissione non sono pubbliche. La discussione ha carattere riservato.

Articolo 10

Presenza dei funzionari e di altre persone

1.  Salvo decisione contraria della Commissione, il segretario generale e il capo di gabinetto del presidente assistono alle riunioni. Le modalità d’applicazione stabiliscono le condizioni in cui altre persone sono autorizzate ad assistere alle riunioni.

2.  In caso di assenza di un membro della Commissione, il suo capo di gabinetto può assistere alla riunione e, su invito del presidente, esporre l’opinione del membro assente.

3.  La Commissione può decidere di ascoltare qualunque altra persona.

▼M15

4.  Quando il presidente si avvale dell’articolo 5, paragrafo 2, secondo comma, le persone di cui ai paragrafi da 1 a 3 possono assistere alle riunioni usando i sistemi di telecomunicazione di cui a detto comma.

▼M13

Articolo 11

Verbali

1.  Di ogni riunione della Commissione viene redatto verbale.

2.  I progetti di verbale sono approvati dalla Commissione nel corso di una riunione successiva. I verbali approvati sono autentificati dalle firme del presidente e del segretario generale.

SEZIONE 2

Altre procedure decisionali

Articolo 12

Decisioni tramite procedura scritta

1.  L’accordo dei membri della Commissione su un progetto proposto da uno o più di loro può essere constatato tramite procedura scritta, purché abbia preventivamente ottenuto il parere favorevole del servizio giuridico e l’accordo dei servizi debitamente consultati a norma dell’articolo 23 del presente regolamento interno.

Il parere favorevole e/o gli accordi necessari possono essere sostituiti da un accordo tra i membri della Commissione, qualora il collegio decida in riunione, su proposta del presidente, l'avvio di una procedura scritta di finalizzazione, quale definita nelle modalità d'applicazione.

2.  A tale scopo, il testo del progetto viene comunicato per iscritto a tutti i membri della Commissione, alle condizioni stabilite dalle modalità d’applicazione, fissando un termine per comunicare le eventuali riserve o modifiche suscitate dal progetto.

3.  Nel corso della procedura scritta, ogni membro della Commissione può chiedere che la proposta sia oggetto di discussione, facendone richiesta motivata al presidente.

4.  Se, allo scadere del termine impartito per una procedura scritta, nessuna richiesta di sospensione viene formulata o confermata da un membro della Commissione, la proposta si intende approvata.

▼M14

5.  Ogni membro della Commissione che desideri sospendere una procedura scritta in materia di coordinamento e sorveglianza delle politiche economiche e di bilancio degli Stati membri, in particolare nell'area dell'euro, può farne richiesta motivata al presidente, indicando esplicitamente gli elementi del progetto di decisione interessati sulla base di una valutazione imparziale e oggettiva dei tempi, della struttura, della logica o del risultato della decisione proposta.

Qualora il presidente reputi che tale motivazione non sia fondata e la domanda di sospensione resti confermata, egli può negare la sospensione e decidere di proseguire la procedura scritta; in tal caso, il segretario generale chiede la posizione degli altri membri della Commissione per assicurarsi che sia rispettato il numero legale di cui all'articolo 250 del trattato sul funzionamento dell'Unione europea. Il presidente può inoltre iscrivere il punto all'ordine del giorno della successiva riunione della Commissione, affinché sia approvato.

▼M13

Articolo 13

Decisioni tramite procedura di abilitazione

1.  Nel pieno rispetto del principio di responsabilità collegiale, la Commissione può abilitare uno o più dei propri membri ad adottare provvedimenti di gestione o amministrazione, in suo nome oltre che nei limiti e alle condizioni da essa stessa fissati.

2.  La Commissione può inoltre incaricare uno o più membri di adottare, con l’assenso del presidente, il testo definitivo di un atto o di una proposta da sottoporre alle altre istituzioni, il cui contenuto sostanziale sia stato definito in riunione.

3.  Le competenze così conferite possono essere delegate a loro volta ai direttori generali e capi servizio, salvo espressa disposizione contraria nella decisione di abilitazione.

4.  Le disposizioni dei paragrafi 1, 2 e 3 si applicano alle delegazioni in materia finanziaria e ai poteri devoluti all’autorità di nomina, nonché all’autorità abilitata a stipulare i contratti di assunzione, nel rispetto delle relative norme.

Articolo 14

Decisioni tramite procedura di delega

Nel pieno rispetto dei principi di responsabilità collegiale, la Commissione può delegare ai direttori generali e ai capi servizio l’adozione, in suo nome oltre che nei limiti e alle condizioni da essa fissati, di provvedimenti di gestione o di amministrazione.

Articolo 15

Subdelega per singole decisioni di assegnazione di sovvenzioni e di aggiudicazione di appalti

Il direttore generale o capo servizio cui siano state delegate o subdelegate competenze ai sensi degli articoli 13 e 14 per adottare decisioni di finanziamento, può decidere di subdelegare determinate decisioni di assegnazione di sovvenzioni e di aggiudicazione di appalti al direttore competente o, con il benestare del membro responsabile della Commissione, al capo unità competente, nei limiti e alle condizioni fissate dalle modalità di applicazione.

Articolo 16

Informazione sulle decisioni prese

Delle decisioni adottate tramite procedura scritta, procedura di abilitazione o procedura di delega viene preso atto in una nota giornaliera o settimanale menzionata nel verbale della più vicina riunione della Commissione.

SEZIONE 3

Disposizioni comuni alle procedure decisionali

Articolo 17

Autentificazione degli atti adottati dalla Commissione

1.  Gli atti adottati in riunione sono acclusi in forma inscindibile, nella o nelle lingue in cui fanno fede, a una nota riepilogativa stilata nella riunione della Commissione durante la quale sono stati adottati. Sono autentificati dalle firme del presidente e del segretario generale apposte in calce alla nota riepilogativa.

▼M15

Quando il presidente si avvale dell’articolo 5, paragrafo 2, secondo comma, e le circostanze impediscono la firma della nota riepilogativa, l’espresso consenso scritto del presidente e quello del segretario generale della Commissione possono sostituire in via eccezionale la rispettiva firma e sono acclusi alla nota.

▼M13

2.  Gli atti non legislativi della Commissione di cui all'articolo 297, paragrafo 2, TFUE, adottati tramite procedura scritta, sono autentificati dalle firme del presidente e del segretario generale apposti sull'ultima pagina della nota riepilogativa di cui al paragrafo precedente, a meno che tali atti non richiedano una pubblicazione e una data di entrata in vigore che non possono attendere la riunione successiva della Commissione. Ai fini di detta autentificazione, una copia delle note giornaliere di cui all'articolo 16 del presente regolamento interno è acclusa in modo inscindibile alla nota riepilogativa di cui al paragrafo precedente.

Gli altri atti adottati tramite procedura scritta e quelli adottati tramite procedura di abilitazione, ai sensi dell'articolo 12 e dell'articolo 13, paragrafi 1 e 2, del presente regolamento interno, sono acclusi in forma inscindibile, nella o nelle lingue in cui fanno fede, alla nota giornaliera di cui all’articolo 16 del presente regolamento interno. Sono autentificati dalla firma del segretario generale apposta in calce alla nota stessa.

3.  Gli atti adottati mediante procedura di delega o subdelega sono acclusi in forma inscindibile, tramite l'apposita applicazione informatica, nella o nelle lingue in cui fanno fede, alla nota giornaliera di cui all’articolo 16 del presente regolamento interno. Sono autentificati da una dichiarazione di autocertificazione firmata dal funzionario delegato o subdelegato, ai sensi dell’articolo 13, paragrafo 3, e degli articoli 14 e 15 del presente regolamento interno.

4.  Sono «atti» ai sensi del presente regolamento interno quelli che assumono una delle forme previste dall'articolo 288 TFUE.

5.  Sono «lingue facenti fede» ai sensi del presente regolamento interno tutte le lingue ufficiali delle Comunità, ferma restando l’applicazione del regolamento (CE) n. 920/2005 del Consiglio ( 8 ), ove si tratti di atti di portata generale, nonché le lingue dei loro destinatari per ogni altro atto.

SEZIONE 4

Preparazione ed esecuzione delle decisioni della commissione

Articolo 18

Gruppi di membri della Commissione

I gruppi di membri della Commissione contribuiscono a coordinare e preparare i lavori della Commissione stessa in base agli indirizzi politici e al mandato definiti dal presidente.

Articolo 19

Gabinetti dei commissari e loro relazioni con i servizi

1.  Ogni membro della Commissione dispone di un gabinetto incaricato di assisterlo nello svolgimento dei suoi compiti e nella preparazione delle decisioni della Commissione. Le norme relative alla composizione e al funzionamento dei singoli gabinetti sono stabilite dal presidente.

2.  Nel rispetto degli indirizzi fissati dal presidente, il membro della Commissione approva le modalità di lavoro con i servizi posti sotto la sua responsabilità. Tali modalità precisano in particolare il modo in cui il membro della Commissione impartisce le proprie istruzioni ai servizi interessati, dai quali ottiene regolarmente ogni tipo di informazione relativa al suo settore d’attività e necessaria all’esercizio delle sue responsabilità.

Articolo 20

Il segretario generale

1.  Il segretario generale assiste il presidente affinché la Commissione riesca a realizzare le priorità che essa ha stabilito nel quadro degli indirizzi politici definiti dal presidente stesso.

2.  Il segretario generale contribuisce a garantire la coerenza politica organizzando il necessario coordinamento fra i servizi fin dall'avvio dei lavori preparatori, in conformità, tra l'altro, delle disposizioni dell'articolo 23 del presente regolamento interno.

Vigila inoltre sulla qualità sostanziale e sul rispetto dei requisiti formali dei documenti sottoposti alla Commissione, oltre a contribuire, in quest'ambito, alla conformità degli stessi ai principi di sussidiarietà e di proporzionalità, agli obblighi esterni, alle considerazioni interistituzionali e alla strategia di comunicazione della Commissione.

3.  Il segretario generale assiste il presidente nella preparazione dei lavori e delle riunioni della Commissione.

Assiste altresì i presidenti dei gruppi di membri costituiti ai sensi dell’articolo 3, paragrafo 4, del presente regolamento interno nella preparazione e nello svolgimento delle loro riunioni.

4.  Il segretario generale provvede ad attuare le procedure decisionali e vigila sull’esecuzione delle decisioni di cui all’articolo 4 del presente regolamento interno.

In particolare, salvo circostanze specifiche, prende i necessari provvedimenti per garantire che gli atti della Commissione vengano notificati e pubblicati nella Gazzetta ufficiale dell’Unione europea, nonché per trasmettere alle altre istituzioni dell'Unione europea e ai parlamenti nazionali documenti della Commissione e dei suoi servizi.

Provvede poi a diffondere le informazioni scritte che i membri della Commissione desiderano far circolare al loro interno.

5.  Il segretario generale cura i rapporti ufficiali con le altre istituzioni dell'Unione europea, fatte salve le competenze che la Commissione decide di esercitare direttamente o di attribuire ai propri membri o servizi.

In tale contesto bada a garantire la coerenza generale coordinando i servizi nel quadro dei lavori delle altre istituzioni.

6.  Il segretario generale fornisce alla Commissione informazioni confacenti sullo stato di avanzamento delle procedure interne e interistituzionali.

CAPO II

I SERVIZI DELLA COMMISSIONE

Articolo 21

Struttura dei servizi

Per preparare e svolgere la propria azione, e realizzare in tal modo le proprie priorità nonché gli indirizzi politici definiti dal presidente, la Commissione allestisce un complesso di servizi strutturati in direzioni generali e servizi assimilati.

Di norma, le direzioni generali e i servizi assimilati sono articolati in direzioni, e queste in unità.

Articolo 22

Istituzione di funzioni e strutture specifiche

Per rispondere a esigenze particolari, il presidente può istituire funzioni e strutture specifiche, con precisi compiti, di cui provvede a definire le competenze e le modalità operative.

Articolo 23

Cooperazione e coordinamento fra i servizi

1.  Per garantire l’efficacia dell’azione della Commissione, gli uffici operano in stretta cooperazione e in modo coordinato fin dalle prime fasi di elaborazione o attuazione delle decisioni.

2.  Il servizio cui incombe preparare un’iniziativa bada, fin dall’avvio dei lavori preparatori, a garantire un effettivo coordinamento fra tutti i servizi che abbiano un interesse legittimo per tale iniziativa, in virtù dei settori di competenza, delle loro prerogative o della particolare natura di un argomento.

3.  Prima di sottoporre un documento alla Commissione, il servizio responsabile procede per tempo a consultare i servizi che hanno per il progetto un interesse legittimo, a norma delle modalità d’applicazione.

4.  La consultazione del servizio giuridico è obbligatoria per progetti e proposte di atti giuridici di qualsiasi tipo, nonché per tutti i documenti che possono avere incidenza giuridica.

Essa è richiesta invariabilmente per avviare le procedure decisionali di cui agli articoli 12, 13 e 14 del presente regolamento interno, tranne nel caso di decisioni afferenti ad atti ripetitivi sui quali il servizio giuridico abbia preventivamente espresso il proprio accordo. Per gli atti di cui all’articolo 15 del presente regolamento interno tale consultazione non è invece necessaria.

5.  La consultazione del segretariato generale è obbligatoria per ogni iniziativa che

In questo tipo di iniziative rientra qualunque presa di posizione o iniziativa comune che possa impegnare la Commissione dinanzi ad altre istituzioni o ad altri organi.

▼M14

5 bis.  La consultazione della direzione generale competente in materia di affari economici e finanziari è obbligatoria per ogni iniziativa che verta o abbia una potenziale incidenza sulla crescita, la competitività o la stabilità economica nell'Unione europea o nell'area dell'euro.

▼M13

6.  Tranne per gli atti di cui all’articolo 15 del presente regolamento interno, la consultazione della direzione generale competente in materia di bilancio, nonché della direzione generale preposta alle risorse umane e alla sicurezza, è obbligatoria per tutti i documenti che presentino un’eventuale incidenza in materia, rispettivamente, di bilancio, finanze, personale e amministrazione. Altrettanto vale, ove necessario, per il servizio preposto alla lotta contro le frodi.

7.  Il servizio responsabile si adopera per elaborare una proposta che ottenga l’assenso dei servizi consultati. Salvo il disposto dell’articolo 12 del presente regolamento interno, in caso di dissenso la proposta è accompagnata dai pareri divergenti di questi servizi.

CAPO III

SUPPLENZE

Articolo 24

Continuità del servizio

I membri della Commissione e i servizi badano a prendere qualsiasi misura utile per garantire la continuità del servizio, nel rispetto delle disposizioni stabilite in proposito dalla Commissione o dal presidente.

Articolo 25

Supplenza del presidente

Le funzioni del presidente, in caso di impedimento, vengono esercitate da un vicepresidente o da un membro in base all'ordine stabilito dal presidente stesso.

Articolo 26

Supplenza del segretario generale

Le funzioni del segretario generale, in caso di impedimento, vengono esercitate dal segretario generale aggiunto presente di grado più elevato e, a parità di grado, con maggiore anzianità nel grado, e in caso di pari anzianità da quello più vecchio, oppure da un funzionario designato dalla Commissione.

Ove non sia presente un segretario generale aggiunto o un funzionario designato dalla Commissione, la supplenza viene esercitata dal funzionario subordinato presente con le funzioni più elevate, di grado più elevato e, a parità di grado, con maggiore anzianità nel grado, e in caso di pari anzianità dal funzionario più vecchio.

Articolo 27

Supplenza dei superiori gerarchici

1.  Qualora il direttore generale abbia un impedimento o il suo posto sia vacante, supplisce il direttore generale aggiunto presente di grado più elevato e, a parità di grado, con maggiore anzianità nel grado, e in caso di pari anzianità quello più vecchio, oppure un funzionario designato dalla Commissione.

Ove non siano presenti né un direttore generale aggiunto né un funzionario designato dalla Commissione, la supplenza viene esercitata dal subordinato presente con le funzioni più elevate, di grado più elevato e, a parità di grado, con maggiore anzianità nel grado, e in caso di pari anzianità da quello più vecchio.

2.  Qualora il capo unità abbia un impedimento o il suo posto sia vacante, supplisce il capo unità aggiunto o un funzionario designato dal direttore generale.

Ove non siano presenti né un capo unità aggiunto né un funzionario designato dal direttore generale, la supplenza viene esercitata dal subordinato presente con le funzioni più elevate, di grado più elevato e, a parità di grado, con maggiore anzianità nel grado, e in caso di pari anzianità da quello più vecchio.

3.  Ove qualsiasi altro superiore gerarchico abbia un impedimento o il suo posto sia vacante, supplisce un funzionario designato dal direttore generale, di concerto con il membro della Commissione responsabile. In assenza di siffatta designazione, la supplenza viene esercitata dal subordinato presente con le funzioni più elevate, di grado più elevato e, a parità di grado, con maggiore anzianità nel grado, e in caso di pari anzianità da quello più vecchio.

CAPO IV

DISPOSIZIONI FINALI

Articolo 28

La Commissione stabilisce, per quanto necessario, le modalità di esecuzione del presente regolamento interno.

Essa può adottare ulteriori provvedimenti in ordine al funzionamento della Commissione e dei suoi servizi, tenendo conto degli sviluppi tecnologici e informatici.

Articolo 29

Il presente regolamento entra in vigore il giorno successivo a quello della sua pubblicazione nella Gazzetta ufficiale dell'Unione europea.

▼B

---

ALLEGATO

CODICE DI BUONA CONDOTTA AMMINISTRATIVA DEL PERSONALE DELLA COMMISSIONE EUROPEA NEI SUOI RAPPORTI COL PUBBLICO

Servizio di qualità

La Commissione e il suo personale sono tenuti a servire l'interesse comunitario e, pertanto, l'interesse pubblico.

Il pubblico ha il diritto di attendersi un servizio di qualità ed un'amministrazione aperta, accessibile e gestita correttamente.

Un servizio di qualità implica che la Commissione e il suo personale diano prova di cortesia, oggettività e imparzialità.

Oggetto

Per permettere alla Commissione di adempiere i propri obblighi di buona condotta amministrativa, in particolare nei contatti con il pubblico, la Commissione si impegna a rispettare i criteri di buona condotta amministrativa stabiliti nel presente codice e a ispirarsi ad essi nell'attività quotidiana.

Campo d'applicazione

Il presente codice vincola tutto il personale soggetto allo statuto dei funzionari delle Comunità europee e al regime applicabile agli altri agenti di dette Comunità (in prosieguo: «lo statuto»), nonché alle altre norme sulle relazioni tra la Commissione e il suo personale che si applicano ai funzionari e agli altri agenti delle Comunità europee. Tuttavia, anche le persone con un contratto di diritto privato, gli esperti comandati dalle rispettive amministrazioni nazionali, i tirocinanti, ecc., che lavorano per la Commissione, dovrebbero attenersi al presente codice nella loro attività quotidiana.

Le relazioni tra la Commissione e il suo personale sono disciplinate esclusivamente dallo statuto.

1.   PRINCIPI GENERALI DI BUONA AMMINISTRAZIONE

Nei rapporti con il pubblico la Commissione rispetta i principi generali illustrati qui di seguito.

2.   ORIENTAMENTI PER UNA BUONA CONDOTTA AMMINISTRATIVA

Obiettività e imparzialità

Il personale è tenuto ad agire con obiettività e imparzialità, nell'interesse della Comunità e per il bene pubblico. Esso deve agire in piena indipendenza nel quadro della politica decisa dalla Commissione e la sua condotta non deve mai essere influenzata da interessi personali o nazionali ovvero da pressioni politiche.

Informazioni sui procedimenti amministrativi

Il personale assicura che la risposta a richieste d'informazione concernenti un procedimento amministrativo della Commissione sia comunicata entro il termine fissato per il procedimento in oggetto.

3.   INFORMAZIONI SUI DIRITTI DELLE PARTI INTERESSATE

Audizione di tutte le parti direttamente interessate

Quando il diritto comunitario prevede che le parti interessate debbano essere sentite, il personale provvede a dare loro l'opportunità di esporre il proprio punto di vista.

Obbligo di motivare le decisioni

Ogni decisione della Commissione dovrebbe enunciare chiaramente i motivi sui quali si fonda ed essere comunicata ai soggetti e alle parti interessate.

Di regola la motivazione delle decisioni deve essere esaustiva. Qualora non sia possibile comunicare in dettaglio i motivi di ogni singola decisione, ad esempio nel caso di decisioni simili che riguardano un gran numero di persone, si potrà rispondere con una lettera circolare. Queste risposte uniformi dovrebbero comunque indicare i principali motivi della decisione. Inoltre, la motivazione circostanziata deve essere comunicata alla parte interessata che la richieda espressamente.

Obbligo di indicare i mezzi di ricorso

Quando il diritto comunitario lo prevede, le decisioni notificate devono indicare chiaramente la possibilità di un ricorso ed illustrarne le modalità (nome e indirizzo amministrativo della persona o dell'ufficio cui inoltrare il ricorso e termine per la sua presentazione).

Se del caso, le decisioni dovrebbero indicare la possibilità di adire le vie giudiziarie e di presentare una denuncia al mediatore europeo, in conformità dell'articolo 230 e dell'articolo 195 del trattato che istituisce la Comunità europea.

4.   TRATTAMENTO DELLE RICHIESTE

La Commissione si impegna a rispondere nel modo più appropriato e con la massima tempestività alle richieste del pubblico.

Richiesta di documenti

Se il documento richiesto è già pubblicato, il richiedente viene indirizzato verso i punti di vendita dell'Ufficio delle pubblicazioni ufficiali delle Comunità europee e verso i centri di documentazione o di informazione che consentono di accedere ai documenti gratuitamente, come gli «Infopoint», i centri di documentazione europea, ecc. Inoltre, numerosi documenti sono facilmente accessibili in forma elettronica.

Le regole sull'accesso ai documenti figurano in un provvedimento specifico.

Corrispondenza

A norma dell'articolo 21 del trattato che istituisce la Comunità europea, la Commissione deve rispondere nella lingua in cui è stata redatta la lettera pervenutale, sempreché si tratti di una delle lingue ufficiali delle Comunità.

La risposta va inviata entro quindici giorni lavorativi dalla data di ricevimento della lettera da parte del servizio competente della Commissione. Essa dovrebbe precisare il nome della persona competente e indicare in quale modo possa essere contattata.

Qualora la risposta non possa essere inviata entro il termine suddetto, e in tutti i casi in cui essa richieda un'attività ulteriore, come una consultazione fra gli uffici o una traduzione, il membro del personale competente dovrebbe inviare una risposta interlocutoria, indicando la data prevedibile per la risposta, in funzione dell'attività supplementare necessaria e tenuto conto del grado di urgenza e di complessità della materia.

Se la risposta deve essere stilata da un ufficio diverso da quello cui la lettera iniziale era rivolta, il richiedente dovrebbe essere informato del nome e dell'indirizzo amministrativo della persona alla quale la sua lettera è stata trasmessa.

Queste regole non si applicano alla corrispondenza che può ragionevolmente ritenersi inaccettabile, per esempio per il suo carattere ripetitivo, ingiurioso o privo di senso. In casi del genere, la Commissione si riserva il diritto di cessare ogni scambio di corrispondenza.

Comunicazioni telefoniche

Nel rispondere al telefono, il personale è tenuto ad indicare il proprio nome o quello dell'ufficio cui appartiene. Qualora una persona esterna vada richiamata, occorre farlo con la massima sollecitudine.

Il membro del personale interpellato fornisce direttamente le informazioni sulle materie che rientrano nelle sue competenze e negli altri casi dovrebbe indirizzare il richiedente verso la fonte specifica più adeguata. Se necessario, dovrebbe invitare il richiedente a rivolgersi al superiore gerarchico oppure consultare quest'ultimo prima di fornire l'informazione richiesta.

Se la richiesta verte su un argomento che rientra direttamente nelle sue competenze, il membro del personale chiede all'interlocutore di declinare la sua identità e, prima di dare l'informazione, verifica se questa è già stata resa pubblica. In caso contrario, può valutare che la divulgazione dell'informazione non è nell'interesse della Comunità. In tal caso, dovrebbe spiegare i motivi che impediscono di fornire l'informazione e, ove ciò sia opportuno, si dovrebbe appellare al dovere di massima discrezione, sancito dall'articolo 17 dello statuto.

Se del caso, può essere chiesta una conferma scritta delle richieste di informazioni fatte per telefono.

Posta elettronica

La risposta ai messaggi trasmessi per posta elettronica deve essere sollecita, secondo i criteri già illustrati con riferimento alle comunicazioni telefoniche.

Il messaggio elettronico che per sua natura possa essere assimilato ad una lettera va trattato secondo i criteri relativi alla corrispondenza e nel rispetto degli stessi termini.

Richieste provenienti dai mezzi di comunicazione di massa

I rapporti con i mezzi di comunicazione di massa sono di competenza del servizio Stampa e comunicazione. Se però le richieste di informazione vertono su aspetti tecnici, i membri del personale possono rispondere nei settori di loro specifica competenza.

5.   PROTEZIONE DEI DATI PERSONALI E INFORMAZIONI RISERVATE

La Commissione e il suo personale rispettano segnatamente quanto segue:

6.   RECLAMI

Commissione europea

In caso di inosservanza dei principi stabiliti nel presente codice, possono essere presentati reclami direttamente al segretario generale ( 9 ) della Commissione europea, che provvederà a trasmetterli al servizio competente.

Il direttore generale o il capo servizio deve rispondere per iscritto all'autore del reclamo entro un termine di due mesi. L'autore del reclamo dispone quindi di un mese per sollecitare presso il segretario generale della Commissione europea un riesame del proprio reclamo. Il segretario generale risponde alla domanda di riesame entro un mese.

Mediatore europeo

È possibile inoltre presentare denuncia al mediatore europeo, in conformità dell'articolo 195 del trattato che istituisce la Comunità europea, nonché dello statuto che fissa le condizioni per l'esercizio delle funzioni del mediatore stesso.

▼M1

DISPOSIZIONI DELLA COMMISSIONE

Considerando quanto segue:

(1)

Per sviluppare le attività della Commissione in settori che richiedono un certo grado di riservatezza, occorre porre in essere un sistema di sicurezza globale riguardante la Commissione, le altre istituzioni, organi, uffici e agenzie istituiti in base al trattato CE o al trattato sull'Unione europea, gli Stati membri, nonché qualunque altro destinatario di informazioni classificate UE, di seguito denominate «informazioni classificate UE».

(2)

Per salvaguardare l'efficienza del sistema di sicurezza così istituito, la Commissione consentirà l'accesso alle informazioni classificate UE soltanto a quegli organismi esterni che dimostrino di aver preso tutte le misure necessarie per conformarsi a disposizioni strettamente equivalenti alle presenti disposizioni.

(3)

Le presenti disposizioni lasciano impregiudicati il regolamento n. 3, del 31 luglio 1958, recante attuazione dell'articolo 24 del trattato che istituisce la Comunità europea dell'energia atomica ( 10 ); il regolamento (CE) n. 1588/90 del Consiglio, dell'11 giugno 1990, relativo alla trasmissione all'Istituto statistico delle Comunità europee di dati statistici protetti dal segreto ( 11 ), nonché la decisione C (95) 1510 def. della Commissione, del 23 novembre 1995, sulla protezione dei sistemi informatici.

(4)	La Commissione fonda il proprio sistema di sicurezza sui principi enunciati nella decisione 2001/264/CE del Consiglio, del 19 marzo 2001, che adotta le norme di sicurezza del Consiglio ( 12 ), allo scopo di assicurare il buon funzionamento del processo decisionale dell'Unione.

(5)	La Commissione sottolinea l'importanza di associare, ove opportuno, le altre istituzioni dell'Unione europea alle regole e alle norme di riservatezza necessarie per tutelare gli interessi dell'Unione e degli Stati membri.

(6)	La Commissione riconosce la necessità di creare un proprio concetto di sicurezza, prendendo in considerazione tutti gli elementi della sicurezza ed il carattere peculiare della Commissione in quanto istituzione.

(7)	Le presenti disposizioni lasciano impregiudicati l'articolo 255 del trattato e il regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio, del 30 maggio 2001, relativo all'accesso del pubblico ai documenti del Parlamento europeo, del Consiglio e della Commissione ( 13 ).

▼M3

(8)

Le presenti disposizioni lasciano impregiudicati l'articolo 286 del trattato e il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati.

▼M1

Articolo 1

Le disposizioni della Commissione in materia di sicurezza sono riportate nell'allegato.

Articolo 2

1.  Il membro della Commissione preposto alla sicurezza prende le misure necessarie per garantire che, nel trattare informazioni classificate UE, i funzionari e gli altri agenti della Commissione, il personale distaccato presso la Commissione, il personale impiegato in tutte le sedi della Commissione, compresi gli uffici di rappresentanza nell'Unione e le delegazioni nei paesi terzi, nonché i contraenti esterni della Commissione rispettino le disposizioni di cui all'articolo 1.

▼M4

Qualora un contratto o una convenzione di sovvenzione fra la Commissione e un contraente o un beneficiario esterno comporti il trattamento di informazioni classificate UE nella sede del contraente o del beneficiario, le misure necessarie che tale contraente o beneficiario esterno deve adottare per garantire che le disposizioni di cui all’articolo 1 siano rispettate nel trattamento di informazioni classificate UE, devono essere parte integrante del contratto o della convenzione di sovvenzione.

▼M1

2.  Gli Stati membri, nonché le altre istituzioni, organi, uffici ed agenzie istituiti dai trattati o in base ad essi sono autorizzati a ricevere informazioni classificate UE a condizione che essi garantiscano che, nel trattare tali informazioni, siano rispettate nelle loro sedi di servizio disposizioni strettamente equivalenti a quelle menzionate all'articolo 1, in particolare da parte:

Articolo 3

Gli Stati terzi, le organizzazioni internazionali ed altri organismi sono autorizzati a ricevere informazioni classificate UE a condizione che essi garantiscano che, nel trattare tali informazioni, siano rispettate disposizioni strettamente equivalenti a quelle menzionate all'articolo 1.

Articolo 4

Conformemente ai principi fondamentali e alle norme minime di sicurezza contenuti nella parte I dell'allegato, il membro della Commissione preposto alla sicurezza può adottare misure ai sensi della parte II dell'allegato.

Articolo 5

A decorrere dalla data della loro applicazione, le presenti disposizioni sostituiscono:

Articolo 6

A decorrere dalla data di applicazione delle presenti disposizioni, tutte le informazioni classificate in possesso della Commissione fino a tale data, eccetto le informazioni classificate Euratom,

---

ALLEGATO

DISPOSIZIONI IN MATERIA DI SICUREZZA

Indice
PARTE I:	PRINCIPI FONDAMENTALI E NORME MINIME DI SICUREZZA
1.	INTRODUZIONE
2.	PRINCIPI GENERALI
3.	FONDAMENTI DELLA SICUREZZA
4.	PRINCIPI DI SICUREZZA DELLE INFORMAZIONI
4.1.	Obiettivi
4.2.	Definizioni
4.3.	Classificazione
4.4.	Finalità delle misure di sicurezza
5.	ORGANIZZAZIONI DELLA SICUREZZA
5.1.	Norme comuni minime
5.2.	Organizzazione
6.	SICUREZZA DEL PERSONALE
6.1.	Nulla osta di sicurezza del personale
6.2.	Registrazione dei nulla osta del personale
6.3.	Istruzioni di sicurezza per il personale
6.4.	Responsabilità dei dirigenti
6.5.	Affidabilità del personale in fatto di sicurezza
7.	SICUREZZA MATERIALE
7.1.	Necessità della protezione
7.2.	Controlli
7.3.	Sicurezza degli edifici
7.4.	Piani d'emergenza
8.	SICUREZZA DELLE INFORMAZIONI
9.	MISURE CONTRO IL SABOTAGGIO ED ALTRE FORME DI DANNO INTENZIONALE PREMEDITATO
10.	COMUNICAZIONE DI INFORMAZIONI CLASSIFICATE A STATI TERZI OD ORGANIZZAZIONI INTERNAZIONALI
PARTE II:	L'ORGANIZZAZIONE DELLA SICUREZZA NELLA COMMISSIONE
11.	IL MEMBRO DELLA COMMISSIONE COMPETENTE IN MATERIA DI SICUREZZA
12.	IL GRUPPO CONSULTIVO PER LA POLITICA DI SICUREZZA
13.	IL COMITATO DI SICUREZZA DELLA COMMISSIONE
14.	L' ►M3  DIREZIONE DELLA SICUREZZA DELLA COMMISSIONE ◄
15.	ISPEZIONI DI SICUREZZA
16.	CLASSIFICAZIONI, INDICAZIONI DI SICUREZZA E CONTRASSEGNI
16.1.	Gradi di classificazione
16.2.	Indicazione di sicurezza
16.3.	Contrassegni
16.4.	Apposizione della classificazione
16.5.	Apposizione delle indicazioni di sicureza
17.	GESTIONE DELLA CLASSIFICAZIONE
17.1.	Considerazioni generali
17.2.	Attribuzione delle classificazioni
17.3.	Declassamento e declassificazione
18.	SICUREZZA MATERIALE
18.1.	Considerazioni generali
18.2.	Requisiti di sicurezza
18.3.	Misure di sicurezza materiale
18.3.1.	Zone di sicurezza
18.3.2.	Zona amministrativa
18.3.3.	Controlli all'entrata e all'uscita
18.3.4.	Ronde di controllo
18.3.5.	Contenitori di sicurezza e camere blindate
18.3.6.	Dispositivi di chiusura
18.3.7.	Controllo delle chiavi e delle combinazioni
18.3.8.	Dispositivi per il rilevamento di intrusi
18.3.9.	Attrezzatura approvata
18.3.10.	Protezione materiale delle fotocopiatrici e dei fax
18.4.	Protezione contro sguardi e ascolti indiscreti
18.4.1.	Sguardi indiscreti
18.4.2.	Ascolti indiscreti
18.4.3.	Introduzione di apparecchi elettronici e di registrazione
18.5.	Zone tecnicamente sicure
19.	REGOLE GENERALI RELATIVE AL PRINCIPIO DELLA NECESSITÀ DI SAPRE E AL NULLA OSTA DI SICUREZZA
19.1.	Considerazioni generali
19.2.	Regole particolari sull'accesso alle informazioni ►M2  TRES SECRET UE/EU TOP SECRET ◄
19.3.	Regole particolari sull'accesso alle informazioni ►M2  SECRET UE ◄ e ►M2  CONFIDENTIEL UE ◄
19.4.	Regole particolari sull'accesso alle informazioni ►M2  RESTREINT UE ◄
19.5.	Trasferimenti
19.6.	Istruzioni particolari
20.	PROCEDURA PER IL RILASCIO DEL NULLA OSTA DI SICUREZZA AI FUNZIONARI E ALTRI AGENTI DELLA COMMISSIONE
21.	ELABORAZIONE, DISTRIBUZIONE, TRASMISSIONE, SICUREZZA DEL PERSONALE DEI CORRIERI, COPIE, TRADUZIONI ED ESTRATTI DI DOCUMENTI CLASSIFICATI UE
21.1.	Elaborazione
21.2.	Distribuzione
21.3.	Trasmissione di documenti classificati UE
21.3.1.	Picco, ricevuta
21.3.2.	Trasmissione all'interno di un edificio o di un gruppo di edifici
21.3.3.	Trasmissione all'interno di un paese
21.3.4.	Trasmissione da uno Stato all'altro
21.3.5.	Trasmissione di documenti classificati ►M2  RESTREINT UE ◄
21.4.	Sicurezza del personale dei corrieri
21.5.	Trasmissione elettronica e altri mezzi di trasmissione tecnica
21.6.	Esemplari supplementari, traduzioni ed estratti di documenti classificati UE
22.	UFFICI DI REGISTRAZIONE DELLE INFORMAZIONI CLASSIFICATI UE, RASSEGNE, CONTROLLI, ARCHIVIAZIONE E DISTRIBUZIONE DELLE INFORMAZIONI CLASSIFICATE UE
22.1.	Uffici locali di registrazione ICUE (Informazioni classificate UE)
22.2.	L'ufficio di registrazione ►M2  TRES SECRET UE/EU TOP SECRET ◄
22.2.1.	Considerazioni generali
22.2.2.	L'ufficio centrale di registrazione ►M2  TRES SECRET UE/EU TOP SECRET ◄
22.2.3.	Sottosezioni dell'ufficio di registrazione ►M2  TRES SECRET UE/EU TOP SECRET ◄
22.3.	Inventari, rassegne e controlli dei documenti classificati UE
22.4.	Archiviazione delle informazioni classificate UE
22.5.	Distribuzione di documenti classificati UE
22.6.	Distruzione in situazioni di emergenza
23.	MISURE DI SICUREZZA DA APPLICARE IN OCCASIONE DI RIUNIONI SPECIFICHE TENUTE FUORI DEI LOCALI DELLA COMMISSIONE E CONCERNENTI INFORMAZIONI CLASSIFICATE UE
23.1.	Considerazioni generali
23.2.	Responsabilità
23.2.1.	Il servizio di sicurezza della Commissione
23.2.2.	Responsabile della sicurezza della riuinione (MSO)
23.3	Misure di sicurezza
23.3.1.	Zone di sicurezza
23.3.2.	Lasciapassare29
23.3.3.	Controllo degli apparecchi fotografici e degli apparecchi di registrazione audiovisiva
23.3.4.	Controllo di valigie, computer portatili e plichi
23.3.5.	Sicurezza tecnica
23.3.6.	Documenti delle delegazioni
23.3.7.	Custodia dei documenti in luogo sicuro
23.3.8.	Ispezione degli uffici
23.3.9.	Eliminazione dei rifiuiti classificati
24.	VIOLAZIONE DELLA SICUREZZA E MANOMISSIONE DI INFORMAZIONI CLASSIFICATE UE
24.1.	Definizioni
24.2.	Relazioni sulle violazioni della sicurezza
24.3.	Procedimenti giudiziari
25.	PROTEZIONE DELLE INFORMAZIONI CLASSIFICATE UE TRATTATE IN SISTEMI INFORMATICI E SISTEMI DI COMUNICAZIONE
25.1.	Introduzione
25.1.1.	Considerazioni generali
25.1.2.	Minacce ai sistemi e loro vulnerabilità
25.1.3.	Obiettivo principale delle misure di sicurezza
25.1.4.	Dichiarazione relativa ai requisiti di sicurezza specifici del sistema (SSRS)
25.1.5.	Funzionamento in condizioni di sicurezza
25.2.	Definizioni
25.3.	Responsabilità in materia di sicurezza
25.3.1.	Considerazioni generali
25.3.2.	L'autorità di accreditamento in materia di sicurezza (SAA)
25.3.3.	L'autorità INFOSEC (IA)
25.3.4.	Il proprietario dei sistemi tecnici (TSO)
25.3.5.	Il proprietario delle informazioni (IO)
25.3.6.	Utenti
25.3.7.	Formazione INFOSEC
25.4.	Misure di sicurezza non tecniche
25.4.1.	Sicurezza del personale
25.4.2.	Sicurezza materiale
25.4.3.	Controllo dell'accesso a un sistema
25.5.	Misure tecniche di sicurezza
25.5.1.	Sicurezza delle informazioni
25.5.2.	Controllo e responsabilità delle informazioni
25.5.3.	Trattamento e controllo dei supporti informatici rimovibili
25.5.4.	Declassificazione e distruzione di supporti informatici
25.5.5.	Sicurezza delle comunicazioni
25.5.6.	Misure di sicurezza concernenti l'installazione e le radiazioni
25.6.	Sicurezza durante il trattamento
25.6.1.	Procedure operative di sicurezza (SecOP)
25.6.2.	Protezione del software/gestione della configurazione
25.6.3.	Controlli contro la presenza di software «maligni»/virus informatici
25.6.4.	Manutenzione
25.7.	Fornitura
25.7.1.	Considerazioni generali
25.7.2.	Accreditamento
25.7.3.	Valutazione e certificazione
25.7.4.	Verifica sistematica degli elementi di sicurezza per la proroga dell'accreditamento
25.8.	Utilizzo temporaneo o occasionale
25.8.1.	Sicurezza dei microcomputer/personal computer
25.8.2.	Uso di attrezzatura informatica privata per i lavori ufficiali della Commissione
25.8.3.	Uso di attrezzatura informatica appartenente a un appaltarore o fornita dagli Stati membri per i lavori ufficiali della Commissione
26.	COMUNICAZIONE DI INFORMAZIONI CLASSIFICATI UE A STATI TERZI O ORGANIZZAZIONI INTERNAZIONALI
26.1.1.	Principi che regolano la comunicazione di informazioni classificate UE
26.1.2.	Livelli
26.1.3.	Accordi in materia di sicurezza
27.	NORME MINIME COMUNI SULLA SICUREZZA INDUSTRIALE
27.1.	Introduzione
27.2.	Definizioni
27.3.	Organizzazione
27.4.	Contratti classificati e decisioni di sovvenzione
27.5.	Visite
27.6.	Trasmissione e trasporto delle informazioni classificate UE
APPENDICE 1:	Raffronto tra le classificazioni nazionali di sicurezza
APPENDICE 2:	Guida pratica alla classificazione
APPENDICE 3:	Linee direttrici per la comunicazione di informazioni classificate UE a stati terzi o organizzazioni internazionali: livello 1 cooperazione
APPENDICE 4:	Linee direttrici per la comunicazione di informazioni classificate UE a stati terzi o organizzazioni internazionali: livello 2 cooperazione
APPENDICE 5:	Linee direttrici per la comunicazione di informazioni classificate UE a stati terzi o organizzazioni internazionali: livello 3 cooperazione
APPENDICE 6:	Elenco delle abbreviazioni

PARTE I:   PRINCIPI FONDAMENTALI E NORME MINIME DI SICUREZZA

1.   INTRODUZIONE

Con queste disposizioni si stabiliscono i principi fondamentali e le norme minime di sicurezza che devono essere debitamente rispettate dalla Commissione in tutte le sue sedi di servizio e da tutti i destinatari di informazioni classificate UE, perché sia salvaguardata la sicurezza e ognuno abbia la garanzia che è in vigore un regime comune di protezione.

2.   PRINCIPI GENERALI

La politica di sicurezza della Commissione forma parte integrante della sua politica generale di gestione interna e si basa pertanto sugli stessi principi informatori di quest'ultima.

Tra questi principi si annoverano la legalità, la trasparenza, la responsabilità (o dovere di rendere conto delle proprie azioni) e la sussidiarietà (o proporzionalità).

Per legalità si intende la stretta adesione al quadro giuridico nell'espletamento delle funzioni legate alla sicurezza e la rigorosa ottemperanza alle prescrizioni legali. Questo concetto implica altresì che le responsabilità nel campo della sicurezza si fondino su adeguate disposizioni normative. Tra queste, trovano piena applicazione le disposizioni dello statuto del personale, segnatamente l'articolo 17 sull'obbligo di discrezione imposto al personale riguardo alle informazioni della Commissione e il titolo VI sulle misure disciplinari. Un'altra implicazione, infine, è che le violazioni della sicurezza nell'ambito di responsabilità della Commissione devono essere affrontate in maniera coerente con la politica della Commissione in materia disciplinare e con la sua politica di cooperazione con gli Stati membri in campo penale e giudiziario.

Per trasparenza si intende chiarezza in tutte le norme e disposizioni sulla sicurezza, equilibrio nella ripartizione delle competenze tra i vari servizi e settori (sicurezza materiale, protezione delle informazioni, ecc.) e un'azione sistematica e strutturata di coscientizzazione alla tematica della sicurezza. Oltre a ciò, questo termine presuppone l'esistenza di chiari orientamenti scritti per l'attuazione delle misure di sicurezza.

Per responsabilità si intende innanzi tutto una chiara definizione delle competenze in materia di sicurezza, da cui discende la necessità di una regolare verifica del corretto esercizio di tali competenze.

Sussidiarietà, o proporzionalità, significa che la sicurezza dev'essere organizzata al livello gerarchico più basso, il più possibile in connessione con le direzioni generali e con i servizi della Commissione. Inoltre, gli interventi nel campo della sicurezza devono essere limitati allo stretto indispensabile e, infine, le misure di sicurezza devono essere proporzionate agli interessi da tutelare e alle minacce, reali o potenziali, contro tali interessi, i quali vanno comunque difesi con il minor danno possibile.

3.   FONDAMENTI DELLA SICUREZZA

Un'efficace sicurezza si fonda sui seguenti elementi:

4.   PRINCIPI DI SICUREZZA DELLE INFORMAZIONI

4.1.   Obiettivi

La sicurezza delle informazioni persegue principalmente i seguenti obiettivi:

4.2.   Definizioni

Ai fini delle presenti disposizioni, si intende per:

4.3.   Classificazione

4.4.   Finalità delle misure di sicurezza

Le misure di sicurezza:

5.   ORGANIZZAZIONE DELLA SICUREZZA

5.1.   Norme comuni minime

La Commissione garantisce che tutti i destinatari di ICUE, all'interno dell'istituzione e nei servizi soggetti alla sua competenza, compresi i contraenti, osservino norme minime comuni di sicurezza affinché le informazioni classificate UE possano essere trasmesse con la certezza che saranno trattate con la stessa diligenza. Dette norme minime includono criteri per il rilascio del nulla osta di sicurezza al personale e procedure per la protezione delle informazioni classificate UE.

La Commissione autorizza l'accesso alle ICUE ad organismi esterni solo a condizione che essi garantiscano che, nel trattare le ICUE, siano rispettate disposizioni strettamente equivalenti alle suddette norme minime.

▼M4

Dette norme minime si applicano altresì qualora la Commissione affidi a soggetti industriali o di altra natura, mediante contratto o convenzione di sovvenzione, mansioni che comportano, implicano e/o comprendono informazioni classificate UE: tali norme minime comuni figurano nella parte II, sezione 27.

▼M1

5.2.   Organizzazione

All'interno della Commissione, la sicurezza è organizzata a due livelli:

6.   SICUREZZA DEL PERSONALE

6.1.   Nulla osta di sicurezza del personale

Tutti coloro che devono accedere a informazioni classificate ►M2  CONFIDENTIEL UE ◄ o di grado superiore devono aver debitamente ricevuto l'apposito nulla osta prima di essere autorizzate a tale accesso. Lo stesso nulla osta è richiesto alle persone che si occupano del funzionamento tecnico o della manutenzione dei sistemi di comunicazione e di informazione contenenti informazioni classificate. Questo nulla osta deve servire a determinare se detti individui:

Nell'ambito delle procedure di nulla osta, sono sottoposti ad un esame particolarmente accurato coloro che:

Nelle circostanze di cui alle lettere d), e) e f) si deve impiegare nella massima misura possibile la tecnica delle indagini di fondo.

Le persone che non hanno una vera e propria «necessità di sapere» e lavorano in circostanze nelle quali possono avere accesso a informazioni classificate UE (per esempio fattorini, agenti della sicurezza, personale addetto alla manutenzione o alle pulizie ecc.), devono prima di tutto ottenere un apposito nulla osta di sicurezza.

6.2.   Registrazione dei nulla osta del personale

Tutti i servizi della Commissione che trattano informazioni classificate UE ovvero ospitano sistemi di comunicazione o d'informazione protetti tengono una traccia dei nulla osta concessi al personale addetto. Ciascun nulla osta deve essere verificato all'occorrenza, per accertare che sia adatto ai compiti svolti da quella persona; deve essere immediatamente riesaminato non appena nuove informazioni indichino che non è più nell'interesse della sicurezza mantenere quella persona a contatto con informazioni classificate. Il responsabile della sicurezza a livello locale presso il servizio interessato tiene una traccia dei nulla osta che rientrano nella sua sfera di competenza.

6.3.   Istruzioni di sicurezza per il personale

Tutto il personale che ricopre incarichi in cui potrebbe aver accesso a informazioni classificate è dettagliatamente istruito al momento di assumere l'incarico e a intervalli regolari circa le esigenze di sicurezza e le relative procedure. Detto personale è tenuto a certificare per iscritto di aver letto e perfettamente capito le presenti norme di sicurezza.

6.4.   Responsabilità dei dirigenti

I dirigenti hanno il dovere di sapere quali dei loro subordinati lavorino a contatto con informazioni classificate o abbiano accesso a sistemi di comunicazione o d'informazione protetti e di registrare e riferire qualsiasi incidente o caso di palese vulnerabilità che possa avere conseguenze sulla sicurezza.

6.5.   Affidabilità del personale in fatto di sicurezza

Sono istituite procedure per garantire che, allorché si viene a conoscenza di informazioni negative riguardo a un individuo, si chiarisca se costui svolge un lavoro a contatto con informazioni classificate o ha accesso a sistemi di comunicazione o d'informazione protetti e l'ufficio di sicurezza ne sia informato. Se si stabilisce che rappresenta un pericolo per la sicurezza, detto individuo deve essere allontanato o rimosso da ogni incarico in cui potrebbe mettere a repentaglio la sicurezza.

7.   SICUREZZA MATERIALE

7.1.   Necessità della protezione

Il grado di sicurezza materiale da applicare per garantire la protezione delle informazioni classificate UE deve essere proporzionato alla classificazione, al volume e alle minacce che incombono sulle informazioni e sul materiale custodito. Tutti i detentori di informazioni classificate UE devono seguire pratiche uniformi per quanto riguarda la classificazione delle informazioni in loro possesso e ottemperare a norme comuni di protezione per quel che riguarda la custodia, la trasmissione e la diffusione di informazioni e di materiale soggetti a protezione.

7.2.   Controlli

Prima di lasciare i luoghi in cui sono riposte informazioni classificate UE, non sottoposti a sorveglianza, le persone a cui detti luoghi sono affidati devono assicurarsi che le informazioni siano immagazzinate in modo sicuro e che tutti i dispositivi di sicurezza siano stati attivati (serrature, allarmi, ecc.). Al termine dell'orario di lavoro devono essere effettuati altri controlli indipendenti.

7.3.   Sicurezza degli edifici

Gli edifici contenenti informazioni classificate UE o sistemi di comunicazione e d'informazione protetti devono essere tutelati contro l'accesso non autorizzato. Il tipo di protezione destinato alle informazioni classificate UE, per esempio sbarramento di finestre, serrature alle porte, guardie all'entrata, sistemi di controllo dell'accesso automatizzati, controlli di sicurezza e ispezioni, sistemi d'allarme, sistemi di individuazione delle intrusioni e cani da guardia dipendono:

Anche per i sistemi di comunicazione e d'informazione il tipo di protezione prescelto deve dipendere da una stima del valore di quanto è in gioco e del danno potenziale che deriverebbe dal venir meno della sicurezza, dalle caratteristiche e dall'ubicazione dell'edificio nel quale è custodito il sistema e dalla collocazione del sistema all'interno dell'edificio.

7.4.   Piani d'emergenza

Occorre predisporre in anticipo piani dettagliati per la protezione delle informazioni classificate durante un'emergenza locale o nazionale.

8.   SICUREZZA DELLE INFORMAZIONI

La sicurezza delle informazioni (INFOSEC) riguarda l'individuazione e l'applicazione di misure di sicurezza per proteggere le informazioni classificate UE elaborate, immagazzinate o trasmesse in sistemi elettronici di comunicazione e d'informazione o altri, contro il venir meno della riservatezza, dell'integrità o della disponibilità, accidentale o intenzionale. Adeguate contromisure devono essere prese per prevenire l'accesso alle informazioni classificate UE da parte di utenti non autorizzati, per impedire che a utenti autorizzati sia opposto il rifiuto di accedere alle informazioni classificate UE e per prevenire l'alterazione ovvero la modificazione o la cancellazione non autorizzate di informazioni classificate UE.

9.   MISURE CONTRO IL SABOTAGGIO ED ALTRE FORME DI DANNO INTENZIONALE PREMEDITATO

Le precauzioni materiali per la protezione di importanti installazioni in cui sono conservate informazioni classificate sono la migliore garanzia di sicurezza e di protezione contro il sabotaggio e il danno intenzionale premeditato, laddove il solo nulla osta del personale non basta. L'organismo nazionale competente è invitato a comunicare le informazioni raccolte in materia di spionaggio, sabotaggio, terrorismo e altre attività sovversive.

10.   COMUNICAZIONE DI INFORMAZIONI CLASSIFICATE A STATI TERZI OD ORGANIZZAZIONI INTERNAZIONALI

Spetta alla Commissione decidere collegialmente se comunicare a uno Stato terzo o a un'organizzazione internazionale informazioni classificate UE. Se l'originatore delle informazioni che si vogliono comunicare non è la Commissione, quest'ultima deve anzitutto ottenere il consenso dell'originatore. Se è impossibile stabilire l'originatore, la Commissione ne assume la responsabilità.

Le informazioni classificate che la Commissione riceve da Stati terzi, da organizzazioni internazionali o da altri terzi devono essere oggetto di protezione proporzionata alla loro classificazione ed equivalente alle norme stabilite dalle presenti disposizioni per le informazioni classificate UE o alle norme più severe richieste dai terzi che comunicano l'informazione. Possono essere predisposti controlli reciproci.

I principi di cui sopra devono essere applicati in conformità delle disposizioni dettagliate della parte II, sezione 26, e delle appendici 3, 4 e 5.

PARTE II:   L'ORGANIZZAZIONE DELLA SICUREZZA NELLA COMMISSIONE

11.   IL MEMBRO DELLA COMMISSIONE COMPETENTE IN MATERIA DI SICUREZZA

Il membro della Commissione competente in materia di sicurezza:

In particolare, il membro della Commissione competente in materia di sicurezza ha tra le sue attribuzioni:

12.   IL GRUPPO CONSULTIVO PER LA POLITICA DI SICUREZZA

È istituito un gruppo consultivo della Commissione per la politica di sicurezza. Esso è presieduto dal membro della Commissione competente in materia di sicurezza o da chi ne fa le veci ed è composto da rappresentanti delle NSA degli Stati membri. Possono essere invitati a parteciparvi anche rappresentanti di altre istituzioni europee, come pure rappresentanti degli organismi decentrati UE quando vi si discutono questioni che li riguardano.

Il gruppo consultivo della Commissione per la politica di sicurezza si riunisce a richiesta del presidente o di uno dei suoi membri. Esso ha il compito di esaminare e valutare tutte le questioni relative alla sicurezza e, se del caso, di presentare raccomandazioni alla Commissione.

▼M3

13.   IL COMITATO DI SICUREZZA DELLA COMMISSIONE

È istituito un comitato di sicurezza. Esso è composto dal direttore generale dell’Amministrazione e del personale, che assume la presidenza, da un membro del gabinetto del commissario competente in materia di sicurezza, da un membro del gabinetto del presidente, dal segretario generale aggiunto che presiede il gruppo di gestione delle crisi della Commissione, dai direttori generali del Servizio giuridico, delle Relazioni esterne, di Giustizia, libertà e sicurezza, del Centro comune di ricerca, dell’Informatica e del Servizio di audit interno e dal direttore della direzione della sicurezza o dai rispettivi rappresentanti. Possono essere invitati a parteciparvi anche altri funzionari della Commissione. Il comitato ha il compito di valutare le misure di sicurezza vigenti all’interno della Commissione e di rivolgere raccomandazioni in materia al membro della Commissione competente per la sicurezza.

▼M1

14.   L' ►M3  DIREZIONE DELLA SICUREZZA DELLA COMMISSIONE ◄

Per adempiere le responsabilità di cui alla sezione 11, il membro della Commissione competente per la sicurezza dispone dell' ►M3  direzione della sicurezza della Commissione ◄ per il coordinamento, la supervisione e l'applicazione delle misure di sicurezza.

Il ►M3  direttore della direzione della sicurezza della Commissione ◄ è il consigliere principale del membro della Commissione competente in materia di sicurezza circa le questioni di sicurezza e funge da segretario del gruppo consultivo per la politica di sicurezza. Dirige l'aggiornamento della normativa in materia di sicurezza e coordina le misure di sicurezza con le autorità competenti degli Stati membri e, se del caso, con le organizzazioni internazionali che hanno concluso con la Commissione accordi in materia di sicurezza. A questo scopo agisce come ufficiale di collegamento.

Il ►M3  direttore della direzione della sicurezza della Commissione ◄ è responsabile dell'accreditamento dei sistemi e delle reti di TI all'interno della Commissione. Il ►M3  direttore della direzione della sicurezza della Commissione ◄ decide, d'intesa con le competenti NSA, circa l'accreditamento dei sistemi e delle reti di TI che coinvolgono la Commissione, da un lato, e qualsiasi altro destinatario di informazioni classificate UE, dall'altro.

15.   ISPEZIONI DI SICUREZZA

L' ►M3  direzione della sicurezza della Commissione ◄ compie ispezioni periodiche dei dispositivi di sicurezza per la protezione delle informazioni classificate UE.

L' ►M3  direzione della sicurezza della Commissione ◄ può essere assistito, nell'esercizio di questa funzione, dai servizi di sicurezza di altre istituzioni dell'UE che custodiscono ICUE o dalle NSA degli Stati membri ( 14 ).

A richiesta di uno Stato membro, la rispettiva NSA può compiere un'ispezione di ICUE all'interno della Commissione, di comune accordo e in collaborazione con l' ►M3  direzione della sicurezza della Commissione ◄ .

16.   CLASSIFICAZIONI, INDICAZIONI DI SICUREZZA E CONTRASSEGNI

16.1.   Gradi di classificazione ( 15 )

Le informazioni sono classificate con i seguenti gradi (cfr. anche appendice 2):

Non sono ammesse altre classificazioni.

16.2.   Indicazioni di sicurezza

Possono essere utilizzate indicazioni di sicurezza convenzionali per porre limiti alla validità di una classificazione (per il declassamento o la declassificazione automatica di informazioni classificate). Tali indicazioni possono essere: «FINO A … (periodo/data)» o FINO A … (evento).

Qualora risultino necessari una distribuzione limitata e un trattamento speciale oltre a quanto indicato dalla classificazione di sicurezza, si appongono indicazioni supplementari quali CRYPTO o qualunque altra indicazione di sicurezza riconosciuta a livello UE.

Le indicazioni di sicurezza possono essere utilizzate soltanto unitamente ad una classificazione.

16.3.   Contrassegni

Un contrassegno può essere usato per specificare un settore che forma oggetto del documento o una distribuzione particolare sulla base del principio della necessità di sapere, ovvero per indicare il termine di un embargo (nel caso di informazioni non classificate).

Un contrassegno non è una classificazione e non deve essere usato al posto di questa.

Il contrassegno ESDP/PESD si appone su documenti e copie degli stessi concernenti la sicurezza e la difesa dell'Unione o di uno o più Stati membri o relativi alla gestione delle crisi militari o non militari.

16.4.   Apposizione della classificazione

La classificazione si appone nel modo seguente:

16.5.   Apposizione delle indicazioni di sicurezza

Le indicazioni di sicurezza sono apposte immediatamente sotto la classificazione, con lo stesso mezzo usato per la classificazione.

17.   GESTIONE DELLA CLASSIFICAZIONE

17.1.   Considerazioni generali

Le informazioni sono classificate solo se necessario. La classificazione è indicata chiaramente e correttamente ed è mantenuta solo per la durata in cui è necessario proteggere l'informazione.

La responsabilità della classificazione dell'informazione e di eventuali declassamenti o declassificazioni successivi spetta unicamente all'originatore.

Il funzionario o altro agente della Commissione classifica, declassa o declassifica un'informazione su istruzione del suo superiore gerarchico o d'intesa con il medesimo.

Le modalità dettagliate per il trattamento dei documenti classificati sono state elaborate in modo da garantire che essi siano soggetti a una protezione commisurata alle informazioni che contengono.

Il numero di persone autorizzate ad emanare documenti ►M2  TRES SECRET UE/EU TOP SECRET ◄ è limitato al minimo e il loro nominativo figura in un elenco compilato dall' ►M3  direzione della sicurezza della Commissione ◄ .

17.2.   Attribuzione delle classificazioni

La classificazione di un documento è determinata dal livello di sensibilità del suo contenuto, secondo la definizione di cui alla sezione 16. È importante che la classificazione sia attribuita correttamente e con moderazione, in particolare per quanto riguarda la classificazione ►M2  TRES SECRET UE/EU TOP SECRET ◄ .

L'originatore di un documento che deve essere classificato tiene presenti le disposizioni sopraelencate e limita la tendenza alla sovra - o sottoclassificazione.

Nell'appendice 2 figura una guida pratica per la classificazione.

È possibile che singole pagine, paragrafi, sezioni, annessi, appendici, allegati di un determinato documento e altro materiale accluso richiedano classificazioni differenti: in tal caso, all'insieme del documento viene attribuita la classificazione dell'elemento con grado più elevato.

Il grado di classificazione attribuito a una lettera o nota cui è accluso altro materiale corrisponde a quello dell'elemento accluso con grado più elevato. L'originatore indica chiaramente il grado di classificazione da attribuire alla lettera o nota quando è separata dal materiale accluso.

L'accesso del pubblico continua ad essere disciplinato dal regolamento (CE) n. 1049/2001.

17.3.   Declassamento e declassificazione

I documenti classificati UE possono essere declassati o declassificati unicamente con il consenso dell'originatore e, se necessario, previa discussione con le altre parti interessate. Il declassamento o la declassificazione sono confermati per iscritto. L'originatore è tenuto ad informare i destinatari del cambiamento di classificazione e questi ultimi sono a loro volta tenuti ad informarne i destinatari successivi ai quali hanno trasmesso l'originale o una copia del documento.

Nella misura del possibile, l'originatore indica sul documento classificato la data, un termine o un evento a partire dal quale le informazioni in esso contenute potranno essere declassate o declassificate. In caso contrario, esso verifica almeno ogni cinque anni che la classificazione iniziale del documento sia tuttora necessaria.

18.   SICUREZZA MATERIALE

18.1.   Considerazioni generali

Scopo principale delle misure di sicurezza materiale è di evitare che le persone non autorizzate abbiano accesso alle informazioni e/o al materiale classificato UE, di prevenire il furto e la manomissione di attrezzature e altri beni, nonché di impedire che il personale o altri agenti e visitatori vengano molestati o aggrediti.

18.2.   Requisiti di sicurezza

Tutti i locali, zone, edifici, uffici, stanze, sistemi di comunicazione e d'informazione, ecc. in cui sono custoditi e/o trattati informazioni e materiale classificati UE sono protetti da adeguate misure di sicurezza materiale.

Per la decisione sul grado di protezione materiale necessario occorre tener conto di tutti i fattori pertinenti, quali:

Le misure di sicurezza materiale applicate sono volte a:

18.3.   Misure di sicurezza materiale

18.3.1.   Zone di sicurezza

Le zone in cui sono trattate e custodite le informazioni classificate ►M2  CONFIDENTIEL UE ◄ o di grado superiore sono organizzate e strutturate in modo da corrispondere a uno dei seguenti parametri:

18.3.2.   Zona amministrativa

In prossimità delle zone di sicurezza di categoria I e II o per accedere a tali zone, può essere creata una zona amministrativa con minor livello di sicurezza. Occorre prevedere un perimetro chiaramente delimitato per l'ispezione del personale e dei veicoli. Nella zona amministrativa possono essere trattate e custodite solo informazioni classificate ►M2  RESTREINT UE ◄ o non classificate.

18.3.3.   Controlli all'entrata e all'uscita

L'ingresso alle zone di sicurezza delle categorie I e II è controllato da un lasciapassare o da un sistema di riconoscimento personale che si applica all'insieme del personale che presta regolarmente servizio in queste zone. È altresì predisposto un sistema di controllo dei visitatori al fine di impedire l'accesso non autorizzato ad informazioni classificate UE. I sistemi di lasciapassare possono essere completati da altri di identificazione automatizzata, senza che ciò sostituisca totalmente le guardie di sicurezza. Una modifica nella valutazione del rischio può comportare un rafforzamento delle misure di controllo delle entrate e delle uscite, per esempio durante le visite di personalità.

18.3.4.   Ronde di controllo

Le ronde di controllo delle zone di sicurezza di categoria I e II vengono effettuate al di fuori del normale orario di lavoro per proteggere i beni dell'UE dal rischio di manomissioni, danni o perdite. Le ronde sono effettuate secondo una frequenza determinata dalle circostanze locali ma, indicativamente, ogni due ore.

18.3.5.   Contenitori di sicurezza e camere blindate

Le informazioni classificate UE sono custodite in contenitori suddivisi in tre categorie:

Nelle camere blindate costruite in una zona di sicurezza della categoria I o II, e in tutte le zone di sicurezza della categoria I in cui le informazioni classificate ►M2  CONFIDENTIEL UE ◄ o di grado superiore sono custodite in scaffali aperti o in cui si visualizzano prospetti, piantine, ecc., le pareti, il pavimento ed il soffitto, la o le porte provviste di serratura o serrature sono omologate dalla SAA per garantire che offrano una protezione equivalente alla categoria di contenitore di sicurezza approvato per custodire informazioni con lo stesso grado di classificazione.

18.3.6.   Dispositivi di chiusura

I dispositivi di chiusura utilizzati per i contenitori di sicurezza e le camere blindate in cui sono custodite informazioni classificate UE devono soddisfare i seguenti requisiti:

18.3.7.   Controllo delle chiavi e delle combinazioni

Le chiavi dei contenitori di sicurezza non possono essere asportate dagli edifici della Commissione. La combinazione dei contenitori di sicurezza deve essere conosciuta a memoria dalle persone che ne fanno uso. Il responsabile della sicurezza a livello locale presso il servizio interessato ha la responsabilità delle chiavi di riserva e di una traccia scritta di tutte le combinazioni, conservate in singoli plichi opachi sigillati, di cui far uso in caso di emergenza. Le chiavi, le chiavi di riserva e le combinazioni sono custodite in contenitori di sicurezza separati. Le chiavi e le combinazioni ricevono almeno la stessa protezione riservata al materiale cui danno accesso.

La combinazione dei contenitori di sicurezza è portata a conoscenza del minor numero di persone possibile. Le combinazioni vengono sostituite:

18.3.8.   Dispositivi per il rilevamento di intrusi

Quando le informazioni classificate UE sono protette da sistemi di allarme, televisione a circuito chiuso e altri dispositivi elettrici, si prevede un'erogazione di elettricità di emergenza per garantire il funzionamento ininterrotto del sistema in caso di avaria del sistema centrale. È altresì indispensabile che in caso di disfunzione o di manomissione di detti sistemi, venga attivato un allarme o un altro segnale affidabile per il servizio di sicurezza.

18.3.9.   Attrezzatura approvata

L' ►M3  direzione della sicurezza della Commissione ◄ mantiene elenchi aggiornati, suddivisi per tipo e modello, dell'attrezzatura di sicurezza approvata per la protezione delle informazioni classificate in varie circostanze e condizioni specificate. Questi elenchi sono compilati sulla base, tra l'altro, delle informazioni fornite dalle NSA.

18.3.10.   Protezione materiale delle fotocopiatrici e dei fax

Le fotocopiatrici e i fax sono protetti materialmente per quanto necessario a garantire che solo le persone autorizzate possano usarli e che tutti i documenti classificati da essi prodotti siano soggetti a opportuni controlli.

18.4.   Protezione contro sguardi e ascolti indiscreti

18.4.1.   Sguardi indiscreti

Per garantire che le informazioni classificate UE non siano visionate, anche accidentalmente, da persone non autorizzate, devono essere prese tutte le misure appropriate, sia di giorno che di notte.

18.4.2.   Ascolti indiscreti

Gli uffici o le zone in cui si discutono regolarmente informazioni classificate ►M2  SECRET UE ◄ o di grado superiore sono protetti dall'ascolto indiscreto attivo e passivo qualora il rischio lo giustifichi. La valutazione del rischio di tale eventualità spetta all' ►M3  direzione della sicurezza della Commissione ◄ , eventualmente previa consultazione delle NSA.

18.4.3.   Introduzione di apparecchi elettronici e di registrazione

È vietato introdurre telefoni cellulari, computer portatili, registratori, apparecchi fotografici e altri dispositivi elettronici o di registrazione nelle zone di sicurezza o nelle zone tecnicamente sicure senza previa autorizzazione del ►M3  direttore della direzione della sicurezza della Commissione ◄ .

Per decidere le misure di protezione che occorre prendere nei locali che possono essere soggetti ad ascolto indiscreto passivo (per esempio, isolamento dei muri, delle porte, del pavimento e del soffitto, misurazione delle emissioni compromettenti) e all'ascolto indiscreto attivo (per esempio, ricerca di microfoni), l' ►M3  direzione della sicurezza della Commissione ◄ può chiedere l'assistenza di esperti delle NSA.

Parimenti, su richiesta del capo dell'ufficio di sicurezza, quando le circostanze lo rendano necessario, specialisti della sicurezza tecnica delle NSA possono ispezionare il materiale per le telecomunicazioni e qualsiasi tipo di attrezzatura elettrica o elettronica da ufficio utilizzata durante le riunioni di livello ►M2  SECRET UE ◄ e di grado superiore.

18.5.   Zone tecnicamente sicure

Talune zone possono essere designate come «zone tecnicamente sicure». Per queste zone è previsto un controllo speciale all'ingresso. Quando non vengono occupate, tali zone sono chiuse a chiave mediante una procedura convenuta, e tutte le chiavi sono considerate chiavi di sicurezza. Queste zone sono soggette a regolari ispezioni materiali, cui si procederà anche dopo ogni ingresso non autorizzato, effettivo o sospettato.

Si procede ad un inventario particolareggiato dell'attrezzatura e dei mobili per controllarne la movimentazione. In queste zone non possono essere introdotti mobili o altra attrezzatura che non siano stati precedentemente verificati con cura dal personale di sicurezza avente una formazione specifica per rilevare qualsiasi meccanismo di ascolto. Come regola generale, nelle zone tecnicamente sicure è vietato installare linee di comunicazione, salvo previa autorizzazione da parte dell'autorità competente.

19.   REGOLE GENERALI RELATIVE AL PRINCIPIO DELLA NECESSITÀ DI SAPERE E AL NULLA OSTA DI SICUREZZA

19.1.   Considerazioni generali

L'accesso alle ICUE è consentito solo alle persone che hanno «necessità di sapere» per lo svolgimento delle loro funzioni o missioni. L'accesso alle informazioni ►M2  TRES SECRET UE/EU TOP SECRET ◄ , ►M2  SECRET UE ◄ e ►M2  CONFIDENTIEL UE ◄ è autorizzato solo per le persone in possesso dell'apposito nulla osta di sicurezza.

La responsabilità di determinare la «necessità di sapere» spetta al capo del servizio presso il quale l'interessato deve lavorare.

Spetta a ciascun servizio fare richiesta di nulla osta per il proprio personale.

Tale procedura si conclude con il rilascio di un «nulla osta di sicurezza» in cui è specificato il grado di classificazione delle informazioni cui la persona abilitata ha accesso e la data di scadenza di tale nulla osta.

Un nulla osta di sicurezza per un determinato grado di classificazione può conferire al titolare il diritto di accesso ad informazioni classificate di grado inferiore.

Le persone che non sono funzionari o altri agenti delle istituzioni dell'UE, quali ad esempio contraenti, esperti o consulenti con cui possa essere necessario discutere informazioni classificate UE, o ai quali tali informazioni debbano essere mostrate, devono possedere un nulla osta di sicurezza per le informazioni classificate UE ed essere istruite quanto alla loro responsabilità in materia di sicurezza.

L'accesso del pubblico continua ad essere disciplinato dal regolamento (CE) n. 1049/2001.

19.2.   Regole particolari sull'accesso alle informazioni ►M2  TRES SECRET UE/EU TOP SECRET ◄

La persona che deve accedere ad informazioni ►M2  TRES SECRET UE/EU TOP SECRET ◄ vi è autorizzata solo previa indagine.

La persona che deve accedere ad informazioni ►M2  TRES SECRET UE/EU TOP SECRET ◄ è designata dal membro della Commissione competente in materia di sicurezza e il suo nominativo è inserito nell'apposito registro ►M2  TRES SECRET UE/EU TOP SECRET ◄ . Tale registro è compilato e tenuto dall' ►M3  direzione della sicurezza della Commissione ◄ .

Prima di accedere alle informazioni ►M2  TRES SECRET UE/EU TOP SECRET ◄ , la persona in questione deve firmare un certificato in cui dichiara di essere stata istruita sulle procedure della Commissione in materia di sicurezza e di essere pienamente consapevole della responsabilità che le incombe quanto alla protezione delle informazioni ►M2  TRES SECRET UE/EU TOP SECRET ◄ nonché delle conseguenze previste dalle norme UE e dalle norme legislative o amministrative nazionali qualora informazioni classificate vengano divulgate a persone non autorizzate, intenzionalmente o per negligenza.

Per le persone che hanno accesso a informazioni ►M2  TRES SECRET UE/EU TOP SECRET ◄ nel corso di riunioni, ecc., il funzionario di controllo competente del servizio o dell'organismo presso il quale dette persone sono assunte notifica all'organizzatore della riunione che le persone in questione sono debitamente autorizzate a parteciparvi.

Il nominativo della persona che cessi di svolgere funzioni per le quali è richiesto l'accesso ad informazioni ►M2  TRES SECRET UE/EU TOP SECRET ◄ è rimosso dall'elenco ►M2  TRES SECRET UE/EU TOP SECRET ◄ . Inoltre, la sua attenzione è nuovamente richiamata sulla responsabilità particolare che le incombe quanto alla protezione delle informazioni ►M2  TRES SECRET UE/EU TOP SECRET ◄ . Essa è anche tenuta a firmare una dichiarazione in cui si impegna a non utilizzare o divulgare le informazioni ►M2  TRES SECRET UE/EU TOP SECRET ◄ in suo possesso.

19.3.   Regole particolari sull'accesso alle informazioni ►M2  SECRET UE ◄ e ►M2  CONFIDENTIEL UE ◄

La persona che deve accedere ad informazioni ►M2  SECRET UE ◄ e ►M2  CONFIDENTIEL UE ◄ vi è autorizzata solo previa indagine.

La persona che deve accedere ad informazioni ►M2  SECRET UE ◄ e ►M2  CONFIDENTIEL UE ◄ deve essere a conoscenza delle pertinenti norme di sicurezza ed essere consapevole delle conseguenze di un atto di negligenza.

Per le persone che hanno accesso ad informazioni ►M2  SECRET UE ◄ e ►M2  CONFIDENTIEL UE ◄ nel corso di riunioni, ecc., il funzionario di controllo competente del servizio o dell'organismo presso il quale dette persone sono assunte notifica all'organizzatore della riunione che le persone in questione sono debitamente autorizzate a parteciparvi.

19.4.   Regole particolari sull'accesso alle informazioni ►M2  RESTREINT UE ◄

La persona che ha accesso ad informazioni ►M2  RESTREINT UE ◄ viene messa a conoscenza delle presenti norme di sicurezza e delle conseguenze di un atto di negligenza.

19.5.   Trasferimenti

Quando un membro del personale è trasferito da un posto che comporta il trattamento di materiale classificato UE, l'ufficio di registrazione provvede al corretto trasferimento di detto materiale dal funzionario uscente al funzionario entrante.

Quando un membro del personale è trasferito ad un altro posto che comporta il trattamento di materiale classificato UE, il responsabile della sicurezza a livello locale provvede ad impartirgli le debite istruzioni.

19.6.   Istruzioni particolari

La persona che deve trattare informazioni classificate UE deve essere messa a conoscenza, all'atto dell'assunzione e successivamente con periodicità, di quanto segue:

Tutti coloro che sono abitualmente esposti a frequenti contatti con rappresentanti di paesi i cui servizi segreti prendono di mira l'UE e gli Stati membri per quanto riguarda le informazioni e le attività classificate UE vengono istruiti sulle tecniche notoriamente impiegate dai vari servizi segreti.

Non esistono norme di sicurezza della Commissione per quanto riguarda i viaggi personali verso qualsiasi destinazione effettuati da personale abilitato all'accesso a informazioni classificate UE. L' ►M3  direzione della sicurezza della Commissione ◄ , tuttavia, informa i funzionari e altri agenti di cui è responsabile in merito alle disposizioni in materia di viaggio cui possono essere soggetti.

20.   PROCEDURA PER IL RILASCIO DEL NULLA OSTA DI SICUREZZA AI FUNZIONARI E ALTRI AGENTI DELLA COMMISSIONE

21.   ELABORAZIONE, DISTRIBUZIONE, TRASMISSIONE, SICUREZZA DEL PERSONALE DEI CORRIERI, COPIE, TRADUZIONI ED ESTRATTI DI DOCUMENTI CLASSIFICATI UE

21.1.   Elaborazione

21.2.   Distribuzione

21.3.   Trasmissione di documenti classificati UE

21.3.1.   Plico, ricevuta

21.3.2.   Trasmissione all'interno di un edificio o di un gruppo di edifici

All'interno di un determinato edificio o gruppo di edifici, i documenti classificati possono essere trasportati in una busta sigillata recante unicamente il nome del destinatario, purché il trasporto sia effettuato direttamente da una persona abilitata al grado di classificazione dei documenti.

21.3.3.   Trasmissione all'interno di un paese

21.3.4.   Trasmissione da uno Stato all'altro

21.3.5.   Trasmissione di documenti classificati ►M2  RESTREINT UE ◄

Non sono previste disposizioni speciali per il trasporto di documenti ►M2  RESTREINT UE ◄ , eccetto per quanto riguarda la garanzia che non cadano nelle mani di persone non autorizzate.

21.4.   Sicurezza del personale dei corrieri

Tutto il personale dei servizi di corriere e di messaggeria addetto al trasporto di documenti ►M2  SECRET UE ◄ e ►M2  CONFIDENTIEL UE ◄ deve essere in possesso del pertinente nulla osta di sicurezza.

21.5.   Trasmissione elettronica e altri mezzi di trasmissione tecnica

21.6.   Esemplari supplementari, traduzioni ed estratti di documenti classificati UE

22.   UFFICI DI REGISTRAZIONE DELLE INFORMAZIONI CLASSIFICATE UE, RASSEGNE, CONTROLLI, ARCHIVIAZIONE E DISTRUZIONE DELLE INFORMAZIONI CLASSIFICATE UE

22.1.   Uffici locali di registrazione ICUE (Informazioni classificate UE)

22.2.   L'ufficio di registrazione ►M2  TRES SECRET UE/EU TOP SECRET ◄

22.2.1.   Considerazioni generali

22.2.2.   L'ufficio centrale di registrazione ►M2  TRES SECRET UE/EU TOP SECRET ◄

In qualità di funzionario di controllo, il capo di un ufficio centrale di registrazione ►M2  TRES SECRET UE/EU TOP SECRET ◄ è responsabile:

22.2.3.   Sottosezioni dell'ufficio di registrazione ►M2  TRES SECRET UE/EU TOP SECRET ◄

In qualità di funzionario di controllo, il capo di una sottosezione dell'ufficio di registrazione ►M2  TRES SECRET UE/EU TOP SECRET ◄ è responsabile:

22.3.   Inventari, rassegne e controlli dei documenti classificati UE

22.4.   Archiviazione delle informazioni classificate UE

22.5.   Distruzione di documenti classificati UE

22.6.   Distruzione in situazioni di emergenza

23.   MISURE DI SICUREZZA DA APPLICARE IN OCCASIONE DI RIUNIONI SPECIFICHE TENUTE FUORI DEI LOCALI DELLA COMMISSIONE E CONCERNENTI INFORMAZIONI CLASSIFICATE UE

23.1.   Considerazioni generali

Quando riunioni della Commissione o altre riunioni importanti si tengono fuori dei locali della Commissione ed ove le particolari esigenze di sicurezza connesse con l'elevata sensibilità delle questioni o delle informazioni discusse lo giustifichino, sono adottate le misure di sicurezza descritte in appresso. Tali misure riguardano unicamente la protezione delle informazioni classificate UE; potrebbe essere necessario prevedere altre misure di sicurezza.

23.2.   Responsabilità

23.2.1.   Il servizio di sicurezza della Commissione

Il servizio di sicurezza della Commissione coopera con le autorità competenti dello Stato membro sul cui territorio si svolge la riunione (Stato membro ospitante) per garantire la sicurezza delle riunioni della Commissione o di altre riunioni importanti, nonché della sicurezza fisica dei principali delegati e del loro seguito. Per quanto riguarda la salvaguardia della sicurezza, esso provvede in particolare:

Il servizio di sicurezza della Commissione funge da consulente in materia di sicurezza per la preparazione della riunione e invia in loco un suo rappresentante onde fornire, se necessario, assistenza e consulenza al responsabile della sicurezza della riunione (MSO) e alle delegazioni.

Ogni delegazione che prende parte ad una riunione deve designare un funzionario preposto alla sicurezza, incaricato di discutere con la rispettiva delegazione le questioni attinenti alla sicurezza e di mantenere i contatti con il responsabile della sicurezza della riunione e, se necessario, con il rappresentante del servizio di sicurezza della Commissione.

23.2.2.   Responsabile della sicurezza della riunione (MSO)

Dovrebbe essere designato un responsabile della sicurezza della riunione competente per la preparazione generale e il controllo delle misure generiche di sicurezza interna, nonché per il coordinamento con le altre autorità di sicurezza interessate. Le misure adottate dal responsabile della sicurezza sono, di norma, del seguente tipo:

23.3.   Misure di sicurezza

23.3.1.   Zone di sicurezza

Sono istituite le seguenti zone di sicurezza:

23.3.2.   Lasciapassare

Il responsabile della sicurezza della riunione rilascia appositi badge secondo le richieste delle delegazioni ed in base alle loro esigenze operando, se necessario, una distinzione per l'accesso alle diverse zone di sicurezza.

Le istruzioni di sicurezza relative alla riunione prevedono che all'interno della sede della riunione tutti gli interessati portino sempre in modo ben visibile i loro badge, affinché il personale addetto alla sicurezza possa provvedere ai necessari controlli.

Oltre che ai partecipanti forniti di badge, l'accesso alla sede della riunione è consentito al minor numero possibile di persone. Il responsabile della sicurezza della riunione consente alle delegazioni nazionali di ricevere visitatori nel corso della riunione solo dietro richiesta delle stesse delegazioni. Ai visitatori viene rilasciato un apposito badge, previa compilazione di un lasciapassare recante il nome del visitatore e della persona visitata. I visitatori sono sempre accompagnati da una guardia di sicurezza o dalla persona visitata. L'accompagnatore porta il lasciapassare del visitatore e lo riconsegna, assieme al badge del visitatore, al personale di sicurezza quando il visitatore lascia la sede della riunione.

23.3.3.   Controllo degli apparecchi fotografici e degli apparecchi di registrazione audiovisiva

Nella zona di sicurezza di categoria I è vietato introdurre apparecchi fotografici e di registrazione, ad eccezione delle apparecchiature dei fotografi e dei tecnici audio debitamente autorizzati dal responsabile della sicurezza della riunione.

23.3.4.   Controllo di valigie, computer portatili e plichi

I detentori di lasciapassare cui è consentito l'accesso ad una zona di sicurezza possono di norma introdurvi senza controlli le loro valigie ed i loro computer portatili (solo autoalimentati). I plichi per le delegazioni vengono loro consegnati dopo essere stati ispezionati dal funzionario della delegazione addetto alla sicurezza, controllati mediante apparecchiature speciali o aperti dal personale addetto alla sicurezza per verificarne il contenuto. Se il responsabile della sicurezza della riunione lo ritiene necessario, si possono prevedere misure più rigorose per il controllo di valigie e plichi.

23.3.5.   Sicurezza tecnica

Un'apposita squadra può garantire la sicurezza tecnica della sala di riunione e provvedere inoltre alla sorveglianza elettronica durante la riunione.

23.3.6.   Documenti delle delegazioni

Le delegazioni sono responsabili dei documenti classificati UE che portano con sé alle riunioni. Sono inoltre responsabili della verifica e della sicurezza di detti documenti durante la loro utilizzazione nei locali ad esse assegnati. Per il trasporto di documenti classificati nella e dalla sede della riunione può essere chiesto l'aiuto degli Stati membri ospitanti.

23.3.7.   Custodia dei documenti in luogo sicuro

Se la Commissione o le delegazioni non sono in grado di custodire i loro documenti classificati secondo le norme approvate, possono affidarli in busta sigillata, dietro ricevuta, al responsabile della sicurezza della riunione, che li custodisce in conformità di dette norme.

23.3.8.   Ispezione degli uffici

Il responsabile della sicurezza della riunione provvede a che gli uffici della Commissione e delle delegazioni siano ispezionati al termine di ogni giornata lavorativa per verificare che tutti i documenti classificati UE siano al sicuro. In caso contrario, adotta i provvedimenti necessari.

23.3.9.   Eliminazione dei rifiuti classificati

Tutti i rifiuti sono trattati come rifiuti classificati UE, per la cui eliminazione vengono forniti alla Commissione e alle delegazioni cestini o pacchi della spazzatura. Prima di lasciare i locali ad essi assegnati, la Commissione e le delegazioni portano i loro rifiuti al responsabile della sicurezza della riunione, che provvede alla loro distruzione secondo le disposizioni del caso.

Al termine della riunione tutti i documenti detenuti dalla Commissione e dalle delegazioni e divenuti superflui sono trattati alla stregua di rifiuti. Prima di revocare le misure di sicurezza adottate per la riunione, viene effettuata un'accurata ispezione dei locali assegnati alla Commissione ed alle delegazioni. I documenti per i quali era stata firmata una ricevuta sono distrutti, ove possibile, come prescritto alla sezione 22.5.

24.   VIOLAZIONE DELLA SICUREZZA E MANOMISSIONE DI INFORMAZIONI CLASSIFICATE UE

24.1.   Definizioni

Una violazione della sicurezza è la conseguenza di atti o omissioni contrari a una disposizione della Commissione in materia di sicurezza, che potrebbero mettere a repentaglio o compromettere informazioni classificate UE.

Le informazioni classificate UE sono compromesse quando esse, o parte di esse, giungono in possesso di persone non autorizzate, vale a dire sprovviste dell'appropriato nullaosta di sicurezza o che non abbiano la necessità di conoscerle, o quando è probabile che si sia verificata tale circostanza.

Le informazioni classificate UE possono essere compromesse per disattenzione o negligenza, a seguito di indiscrezioni o come conseguenza delle attività di servizi che prendono di mira l'UE o gli Stati membri, per quanto riguarda le loro informazioni ed attività classificate UE, ovvero di organizzazioni sovversive.

24.2.   Relazioni sulle violazioni della sicurezza

Tutte le persone che trattano informazioni classificate UE devono ricevere informazioni dettagliate sulle loro responsabilità in questo ambito e devono riferire immediatamente qualsiasi violazione della sicurezza di cui vengano a conoscenza.

Ove il responsabile locale della sicurezza o il responsabile della sicurezza della riunione riscontri o sia informato di una violazione della sicurezza relativa ad informazioni classificate UE o della perdita o della scomparsa di materiale classificato UE, adotta tempestivamente provvedimenti miranti a:

Non appena informata di una possibile violazione della sicurezza, ciascuna autorità di sicurezza riferisce immediatamente i fatti al servizio di sicurezza della Commissione.

I casi riguardanti informazioni ►M2  RESTREINT UE ◄ devono essere riferiti solo quando presentino aspetti inconsueti.

Il membro della Commissione responsabile per le questioni della sicurezza, informato di una violazione della sicurezza:

L'autorità d'origine informa i destinatari ed impartisce le istruzioni del caso.

24.3.   Procedimenti giudiziari

Chiunque sia responsabile della compromissione di informazioni classificate UE è passibile di sanzioni disciplinari in conformità delle norme e dei regolamenti pertinenti, in particolare del titolo VI dello statuto. Tali sanzioni non pregiudicano eventuali ulteriori procedimenti giudiziari.

25.   PROTEZIONE DELLE INFORMAZIONI CLASSIFICATE UE TRATTATE IN SISTEMI INFORMATICI E SISTEMI DI COMUNICAZIONE

25.1.   Introduzione

25.1.1.   Considerazioni generali

La strategia e le prescrizioni in materia di sicurezza si applicano a tutti i sistemi e a tutte le reti di comunicazioni e di informazioni (in seguito denominati sistemi) che trattano informazioni classificate di grado ►M2  CONFIDENTIEL UE ◄ o grado superiore. Esse sono applicate in complemento alla decisione C (95) 1510 def. della Commissione, del 23 novembre 1995, sulla protezione dei sistemi informatici.

I sistemi che trattano informazioni ►M2  RESTREINT UE ◄ richiedono anche misure di sicurezza atte a proteggere la riservatezza delle informazioni. Tutti i sistemi richiedono misure di sicurezza atte a proteggere l'integrità e la disponibilità dei sistemi stessi e delle informazioni in essi contenute.

La politica applicata dalla Commissione in materia di sicurezza informatica è caratterizzata dai seguenti elementi:

25.1.2.   Minacce ai sistemi e loro vulnerabilità

Si intende per minaccia la possibilità di una compromissione accidentale o deliberata della sicurezza. Nel caso dei sistemi, ciò implica la perdita di una o più delle caratteristiche di riservatezza, integrità e disponibilità. La vulnerabilità può essere definita come insufficienza o mancanza di controlli che rende più agevole o consente l'attuazione di una minaccia contro un bene o un bersaglio specifico.

Le informazioni classificate UE e non classificate trattate dai sistemi in forma compressa ai fini della rapidità di reperimento, comunicazione e utilizzo sono soggette a molteplici rischi, fra cui l'accesso alle informazioni da parte di utenti non abilitati o, viceversa, l'impossibilità di accesso per gli utenti abilitati. Altri rischi sono costituiti dalla divulgazione non autorizzata e dalla contaminazione, modifica o soppressione delle informazioni. Le apparecchiature in questione, complesse ed a volte fragili, sono inoltre costose e spesso difficili da riparare o da sostituire in tempi brevi.

25.1.3.   Obiettivo principale delle misure di sicurezza

Obiettivo principale delle misure di sicurezza previste nella presente sezione è offrire protezione contro la divulgazione non autorizzata di informazioni classificate UE (perdita di riservatezza) e contro la perdita di integrità e di disponibilità delle informazioni. Per conseguire l'adeguata protezione di sicurezza di un sistema che tratta informazioni classificate UE, l' ►M3  direzione della sicurezza della Commissione ◄ deve specificare le opportune norme di sicurezza convenzionale, unitamente alle pertinenti procedure e tecniche di sicurezza speciali, progettate appositamente per ciascun sistema.

25.1.4.   Dichiarazione relativa ai requisiti di sicurezza specifici del sistema (SSRS)

Per tutti i sistemi che trattano informazioni classificate ►M2  CONFIDENTIEL UE ◄ o di grado superiore, il proprietario dei sistemi tecnici (TSO, cfr. sezione 25.3.4) e il proprietario delle informazioni (cfr. sezione 25.3.5) sono invitati a rilasciare una dichiarazione relativa ai requisiti di sicurezza specifici del sistema (SSRS), avvalendosi, ove necessario, dell'apporto e dell'assistenza del gruppo di progetto e dell' ►M3  direzione della sicurezza della Commissione ◄ (in qualità di autorità INFOSEC - IA, cfr. sezione 25.3.3), e con l'approvazione dell'autorità di accreditamento in materia di sicurezza (SAA, cfr. sezione 25.3.2).

Una SSRS è anche richiesta qualora la disponibilità e l'integrità delle informazioni classificate ►M2  RESTREINT UE ◄ o non classificate siano ritenute essenziali dalla SAA.

La SSRS è formulata nelle primissime fasi dell'avvio del progetto e viene sviluppata ed ampliata con l'evoluzione del progetto, svolgendo differenti funzioni nelle diverse fasi del ciclo di vita del progetto e del sistema.

25.1.5.   Funzionamento in condizioni di sicurezza

Tutti i sistemi che trattano informazioni classificate ►M2  CONFIDENTIEL UE ◄ o di grado superiore sono accreditati per funzionare in uno o, ove sia giustificato dai requisiti durante diversi periodi, più di uno dei seguenti modi di funzionamento in condizioni di sicurezza, o nel loro equivalente nazionale:

25.2.   Definizioni

Per «accreditamento» si intende l'autorizzazione e l'approvazione di un sistema per trattare informazioni classificate UE nel suo ambiente operativo.

Nota:

Tale accreditamento deve essere effettuato dopo che tutte le pertinenti procedure di sicurezza sono state attuate e una volta raggiunto un sufficiente livello di protezione delle risorse del sistema. L'accreditamento avviene di norma sulla base della SSRS e include:

Per «responsabile della sicurezza informatica a livello centrale» (CISO) si intende il funzionario che, nell'ambito di un servizio informatico centrale, coordina e sorveglia le misure di sicurezza per i sistemi a organizzazione centralizzata.

Per «certificazione» si intende il rilascio di una dichiarazione ufficiale, sulla base di un esame indipendente concernente il modo in cui è stata eseguita una valutazione e i risultati che ha prodotto, che indica in quale misura un sistema soddisfa il requisito di sicurezza o un prodotto per la sicurezza informatica offre le presunte prestazioni predefinite in materia di sicurezza.

Per «sicurezza delle comunicazioni» (COMSEC) si intende l'applicazione di misure di sicurezza alle telecomunicazioni al fine di negare alle persone non autorizzate informazioni preziose desumibili dal possesso e dall'analisi di tali comunicazioni o di assicurare l'autenticità di tali telecomunicazioni.

Nota:

Tali misure includono la sicurezza della crittografia, della trasmissione e dell'emissione nonché la sicurezza delle procedure, dei materiali, del personale, del documento e del computer.

Per «sicurezza informatica» (COMPUSEC) si intende l'applicazione a un sistema informatico di caratteristiche di sicurezza per l'hardware, il firmware e il software atte a proteggere le informazioni contro la divulgazione non autorizzata, la manipolazione, la modifica/soppressione, o a impedire tali atti, o a impedire l'interruzione di servizio.

Per «prodotto per la sicurezza informatica» si intende un elemento generico per la sicurezza informatica, destinato ad essere incorporato in un sistema TI ai fini di potenziare, o di offrire, la riservatezza, l'integrità e la disponibilità delle informazioni trattate.

Per «funzionamento esclusivo in condizioni di sicurezza» si intende un modo di funzionamento in cui TUTTE le persone che hanno accesso al sistema sono in possesso di un nullaosta di sicurezza per il grado più elevato di classificazione delle informazioni trattate nel sistema e con necessità di sapere comune rispetto a TUTTE le informazioni trattate nel sistema.

Note:

Per «valutazione» si intende l'esame tecnico dettagliato, da parte di un'autorità competente, degli aspetti di sicurezza di un sistema o di un prodotto per la sicurezza della crittografia o del computer.

Note:

Per «proprietario delle informazioni» (IO) si intende l'autorità (capo servizio) responsabile della creazione, del trattamento e dell'utilizzazione delle informazioni, inclusa la facoltà di decidere chi può avere accesso a queste ultime.

Per «sicurezza dell'informazione» (INFOSEC) si intende l'applicazione di misure di sicurezza atte a proteggere le informazioni elaborate, archiviate o trasmesse da sistemi di comunicazione, di informazione o da altri sistemi elettronici contro la perdita di riservatezza, integrità o disponibilità, accidentale o intenzionale, nonché a impedire la perdita di integrità e di disponibilità dei sistemi stessi.

Le misure INFOSEC comprendono la sicurezza del computer, della trasmissione, dell'emissione e della crittografia nonché l'individuazione, la documentazione e la neutralizzazione di minacce nei confronti dell'informazione e dei sistemi.

Per «area TI» si intende un'area che contiene uno o più computer, le loro locali periferiche e unità di archiviazione, le unità di controllo e l'attrezzatura specializzate per le reti e le comunicazioni.

Nota:

La definizione non include un'area separata in cui sono situati i dispositivi periferici o i terminali/postazioni remoti anche qualora detti dispositivi siano connessi all'attrezzatura collocata nell'area TI.

Per «rete TI» si intende l'organizzazione, geograficamente diffusa, di sistemi TI interconnessi per lo scambio di dati, comprendente i componenti dei sistemi TI interconnessi e la loro interfaccia con le reti dati o le reti di comunicazione di sostegno.

Note:

Le «caratteristiche di sicurezza di una rete TI» includono le caratteristiche di sicurezza del sistema TI dei singoli sistemi che compongono la rete unitamente ai componenti e agli elementi aggiuntivi associati con la rete in quanto tale (per esempio le comunicazioni di rete, i meccanismi e le procedure per l'identificazione e l'etichettatura di sicurezza, i controlli di accesso, i programmi e gli audit trail) necessari per fornire un livello di protezione accettabile delle informazioni classificate.

Per «sistema TI» si intende un insieme di attrezzature, metodi e procedure e, se necessario, di personale, organizzato in modo da compiere funzioni di trattamento delle informazioni.

Note:

Le «caratteristiche di sicurezza di un sistema TI» comprendono tutte le funzioni e le caratteristiche hardware/firmware/software, le procedure operative, le procedure di responsabilità, i controlli di accesso, l'area TI, l'area di terminali/postazioni remoti, i vincoli della gestione, la struttura e i dispositivi materiali, i controlli del personale e delle comunicazioni necessari per fornire un livello accettabile di protezione delle informazioni classificate da trattare nel sistema TI.

Per «responsabile della sicurezza informatica a livello locale» (LISO) si intende il funzionario che, nell'ambito di un servizio della Commissione, coordina e sorveglia le misure di sicurezza relative al settore di sua competenza.

Per «funzionamento multilivello in condizioni di sicurezza» si intende un modo di funzionamento in cui NON TUTTE le persone che hanno accesso al sistema sono in possesso di un nullaosta di sicurezza al grado più elevato di classificazione delle informazioni trattate nel sistema, e NON TUTTE le persone con accesso al sistema hanno una necessità di sapere comune rispetto alle informazioni trattate nel sistema.

Note:

Per «area di terminali/postazioni remoti» si intende un'area contenente alcune attrezzature informatiche, i suoi dispositivi locali periferici o terminali/postazioni e qualsiasi attrezzatura di comunicazione associata, separata dall'area TI.

Per «procedure operative di sicurezza» si intendono le procedure elaborate dal proprietario dei sistemi tecnici che definiscono i principi da adottare in materia di sicurezza, le procedure operative da seguire e le responsabilità del personale.

Per «funzionamento predominante in condizioni di sicurezza» si intende un modo di funzionamento in cui TUTTE le persone che hanno accesso al sistema sono in possesso di un nullaosta di sicurezza al grado più elevato di classificazione delle informazioni trattate nel sistema, ma NON TUTTE le persone con accesso al sistema hanno una necessità di sapere comune rispetto alle informazioni trattate nel sistema.

Note:

La «dichiarazione relativa ai requisiti di sicurezza specifici del sistema» (SSRS) è una dichiarazione completa ed esplicita relativa ai principi di sicurezza da osservare e ai requisiti particolareggiati di sicurezza da rispettare. È basata sulla politica della Commissione in materia di sicurezza e di valutazione del rischio, oppure imposta da parametri che disciplinano l'ambiente operativo, il grado più basso di nullaosta di sicurezza del personale, il grado più alto di classificazione delle informazioni trattate, il modo di funzionamento in condizioni di sicurezza o le esigenze degli utenti. La SSRS forma parte integrante della documentazione sul progetto sottoposta alle pertinenti autorità ai fini dell'approvazione tecnica, finanziaria e di sicurezza. Nella sua forma definitiva, la SSRS costituisce un elenco completo di quanto è necessario per garantire la sicurezza del sistema.

Per «proprietario dei sistemi tecnici» (TSO) si intende l'autorità responsabile della creazione, della manutenzione, del funzionamento e della chiusura di un sistema.

Per «contromisure dell'effetto tempesta» si intendono misure di sicurezza destinate a proteggere l'attrezzatura e le infrastrutture di comunicazione contro il rischio di compromissione delle informazioni classificate dovuta a emissioni elettromagnetiche non intenzionali e alla conduttività.

25.3.   Responsabilità in materia di sicurezza

25.3.1.   Considerazioni generali

Tra le responsabilità consultive del gruppo consultivo della Commissione per le politiche della sicurezza, di cui alla sezione 12, rientrano le questioni inerenti all'INFOSEC. Il suddetto gruppo organizza le proprie attività in modo da fornire una consulenza qualificata in materia.

Spetta all' ►M3  direzione della sicurezza della Commissione ◄ emanare disposizioni INFOSEC dettagliate, sulla base di quanto disposto al presente capitolo.

In caso di problemi concernenti la sicurezza (incidenti, violazioni, ecc.) l' ►M3  direzione della sicurezza della Commissione ◄ prende misure immediate.

L' ►M3  direzione della sicurezza della Commissione ◄ dispone di un'unità INFOSEC.

25.3.2.   L'autorità di accreditamento in materia di sicurezza (SAA)

Il ►M3  direttore della direzione della sicurezza della Commissione ◄ è l'autorità di accreditamento in materia di sicurezza (SAA) per la Commissione. La SAA è responsabile nell'ambito generale della sicurezza e negli ambiti specifici dell'INFOSEC (sicurezza delle comunicazioni, sicurezza Crypto e sicurezza Tempest).

La SAA è responsabile di accertare la conformità dei sistemi con la politica della Commissione in materia di sicurezza. Tra i suoi compiti rientra il rilascio dell'approvazione di un sistema per il trattamento delle informazioni classificate UE ad un determinato grado di classificazione nel suo ambiente operativo.

La competenza della SAA della Commissione si estende a tutti i sistemi in funzione all'interno dei locali della Commissione. Quando diversi componenti di un sistema rientrano nella competenza della SAA della Commissione e di altre SAA, tutte le parti interessate nominano un comitato comune di accreditamento posto sotto il coordinamento della SAA della Commissione.

25.3.3.   L'autorità INFOSEC (IA)

Il capo dell'unità INFOSEC dell'ufficio di sicurezza della Commissione è l'autorità INFOSEC per la Commissione. L'autorità INFOSEC è responsabile delle seguenti attività:

25.3.4.   Il proprietario dei sistemi tecnici (TSO)

La responsabilità dell'attuazione dei controlli e del funzionamento dei dispositivi di sicurezza di un sistema spetta al proprietario di quel sistema, il «proprietario dei sistemi tecnici» (TSO). Per i sistemi gestiti a livello centrale è nominato un «responsabile della sicurezza informatica a livello centrale» (CISO). Ciascun servizio nomina, se necessario, un «responsabile della sicurezza informatica a livello locale» (LISO). Le responsabilità di un TSO includono la creazione delle «procedure operative di sicurezza» (SecOP) e permangono lungo tutto il ciclo di vita di un sistema, dalla fase di concezione del progetto alla sua disattivazione finale.

Il TSO specifica le norme e le procedure di sicurezza che il fornitore del sistema è tenuto a rispettare.

Se necessario, il TSO può delegare una parte delle sue responsabilità a un responsabile della sicurezza informatica a livello locale. Le varie mansioni INFOSEC possono essere svolte da una sola persona.

25.3.5.   Il proprietario delle informazioni (IO)

Il proprietario delle informazioni (IO) è responsabile delle informazioni classificate UE (e delle altre informazioni) che devono essere introdotte, elaborate e prodotte in sistemi tecnici. Egli definisce i requisiti relativi all'accesso a tali informazioni nei sistemi. Questa responsabilità può essere delegata a un gestore delle informazioni o a un gestore di basi di dati nel settore di sua competenza.

25.3.6.   Utenti

Tutti gli utenti sono tenuti a garantire che le loro azioni non compromettano la sicurezza del sistema che utilizzano.

25.3.7.   Formazione INFOSEC

La formazione e l'informazione INFOSEC è disponibile per tutto il personale che ne ha bisogno.

25.4.   Misure di sicurezza non tecniche

25.4.1.   Sicurezza del personale

Gli utenti del sistema devono essere in possesso di nulla osta di sicurezza ed avere necessità di sapere, in funzione della classificazione e del contenuto delle informazioni trattate dal loro specifico sistema. L'accesso a determinate attrezzature o a informazioni inerenti alla sicurezza dei sistemi richiede uno speciale nulla osta di sicurezza rilasciato in base alle procedure della Commissione.

La SAA designa tutti i posti sensibili e specifica il grado del nulla osta e la sorveglianza necessaria da parte delle persone che li ricoprono.

I sistemi sono specificati e progettati in modo da facilitare l'attribuzione dei compiti e delle responsabilità al personale onde evitare che una sola persona abbia la conoscenza o il controllo totali dei punti nevralgici per la sicurezza del sistema.

Le aree TI e quelle di terminali/postazioni remoti in cui la sicurezza del sistema può essere modificata non sono occupate da un solo funzionario/altro dipendente abilitato.

I dispositivi di sicurezza di un sistema possono essere modificati solo da almeno due persone autorizzate che operano congiuntamente.

25.4.2.   Sicurezza materiale

Le aree TI e le aree di terminali/postazioni remoti (quali definite nella sezione 25.2) in cui sono trattate informazioni classificate ►M2  CONFIDENTIEL UE ◄ o di grado superiore con strumenti TI, o in cui è possibile un accesso a tali informazioni, sono classificate secondo il caso come aree di sicurezza di categoria UE I o II.

25.4.3.   Controllo dell'accesso a un sistema

Tutte le informazioni e il materiale che consentono il controllo dell'accesso a un sistema sono protette da disposizioni commisurate al grado di classificazione e alla designazione di categoria più elevati delle informazioni cui danno accesso.

Le informazioni e il materiale per il controllo dell'accesso che non sono più utilizzati a questo scopo vengono distrutte conformemente alla sezione 25.5.4.

25.5.   Misure tecniche di sicurezza

25.5.1.   Sicurezza delle informazioni

L'originatore delle informazioni è tenuto a identificare e classificare tutti i documenti contenenti informazioni, siano essi su supporto cartaceo o informatico. Ciascuna pagina delle copie cartacee viene contrassegnata, in testa e in calce, con la pertinente classificazione. I documenti, che siano su supporto cartaceo o informatico, hanno la classificazione più elevata tra quelle attribuite all'informazione utilizzata per produrli. Il modo di funzionamento di un sistema può anche avere un impatto sulla classificazione dei documenti prodotti da tale sistema.

I servizi della Commissione e coloro che, al loro interno, sono in possesso di informazioni sono tenuti a valutare i problemi inerenti al raggruppamento di singoli elementi informativi, e alle deduzioni che si possono trarre dagli elementi connessi, nonché a determinare se una classificazione di grado più elevato sia pertinente per la totalità delle informazioni così raggruppate.

Il fatto che l'informazione possa essere formulata come un codice abbreviato, un codice di trasmissione o qualsiasi altra forma di rappresentazione binaria non conferisce alcuna protezione della sicurezza e non deve, pertanto, incidere sulla classificazione dell'informazione.

Quando l'informazione è trasferita da un sistema ad un altro, l'informazione è protetta durante il trasferimento e nel sistema ricevente in modo commisurato alla classificazione e alla categoria originarie dell'informazione.

Tutti i mezzi di archiviazione informatica sono trattati in modo commisurato alla classificazione più elevata dell'informazione archiviata o del contrassegno apposto sul mezzo, e opportunamente protetti in ogni momento.

I mezzi di archiviazione informatica riutilizzabili usati per registrare informazioni classificate UE mantengono la classificazione più elevata per la quale sono stati usati finché le informazioni in questione non vengono declassate o declassificate e il mezzo di archiviazione riclassificato di conseguenza, oppure il mezzo declassificato o distrutto con una procedura approvata dalla SAA (cfr. sezione 25.5.4).

25.5.2.   Controllo e responsabilità delle informazioni

I log automatici (audit trail) o manuali sono tenuti quale traccia dell'accesso alle informazioni classificate ►M2  SECRET UE ◄ o di grado superiore. Queste tracce sono conservate conformemente alle presenti norme di sicurezza.

I prodotti classificati UE detenuti nella zona TI possono essere trattati come un elemento classificato e non necessitano di registrazione, purché il materiale sia identificato, contrassegnato con la sua classificazione e controllato in modo appropriato.

Allorché un sistema che tratta informazioni classificate UE genera dati che vengono trasmessi da un'area TI all'area di terminali/postazioni remoti, vengono istituite procedure, approvate dalla SAA, per controllare e registrare i dati trasmessi. Per le classificazioni di grado ►M2  SECRET UE ◄ o superiore tali procedure includono specifiche istruzioni per la responsabilità delle informazioni.

25.5.3.   Trattamento e controllo dei supporti informatici rimovibili

Tutti i supporti informatici rimovibili classificati ►M2  CONFIDENTIEL UE ◄ o di grado superiore sono trattati come materiale classificato cui si applicano le norme generali. I contrassegni di identificazione e classificazione devono essere adattati alle specifiche caratteristiche fisiche dei supporti, in modo da renderli chiaramente riconoscibili.

Spetta agli utenti assicurare che le informazioni classificate UE siano archiviate su supporti provvisti dell'appropriato contrassegno di classificazione e adeguatamente protetti. Sono stabilite procedure atte ad assicurare che, per tutti i gradi di classificazione UE, l'archiviazione delle informazioni su supporti informatici avvenga in conformità delle presenti norme di sicurezza.

25.5.4.   Declassificazione e distruzione di supporti informatici

I supporti informatici utilizzati per la registrazione di informazioni classificate UE possono essere declassati o declassificati a condizione che siano applicate procedure approvate dalla SAA.

I supporti informatici che hanno contenuto informazioni ►M2  TRES SECRET UE/EU TOP SECRET ◄ o informazioni di una categoria speciale non sono declassificati né riutilizzati.

I supporti informatici che non possono essere declassificati o riutilizzati sono distrutti secondo una procedura approvata dalla SAA.

25.5.5.   Sicurezza delle comunicazioni

Il ►M3  direttore della direzione della sicurezza della Commissione ◄ è l'autorità Crypto.

Quando informazioni classificate UE sono trasmesse per via elettromagnetica, si applicano misure speciali atte a proteggere la riservatezza, l'integrità e la disponibilità della trasmissione. La SAA stabilisce i requisiti relativi alla protezione delle trasmissioni dalla detezione e dalle intercettazioni. Le informazioni trasmesse all'interno di un sistema di comunicazioni sono protette tenendo conto dei requisiti di riservatezza, integrità e disponibilità.

I metodi crittografici, e i prodotti connessi, che si rendano necessari per la protezione della riservatezza, dell'integrità e della disponibilità sono specificamente approvati a tal fine dalla SAA in qualità di autorità Crypto.

Durante la trasmissione, la riservatezza delle informazioni classificate ►M2  SECRET UE ◄ o di grado superiore è protetta mediante metodi o prodotti crittografici approvati dal membro della Commissione responsabile per le questioni della sicurezza previa consultazione del gruppo consultivo della Commissione per le politiche della sicurezza. Durante la trasmissione, la riservatezza delle informazioni classificate ►M2  CONFIDENTIEL UE ◄ o ►M2  RESTREINT UE ◄ è protetta mediante metodi o prodotti crittografici approvati dall'autorità Crypto della Commissione previa consultazione del gruppo consultivo della Commissione per le politiche della sicurezza.

Specifiche istruzioni di sicurezza approvate dall' ►M3  direzione della sicurezza della Commissione ◄ previa consultazione del gruppo consultivo della Commissione per le politiche della sicurezza contengono norme particolareggiate applicabili alla trasmissione di informazioni classificate UE.

In circostanze operative eccezionali le informazioni classificate ►M2  RESTREINT UE ◄ , ►M2  CONFIDENTIEL UE ◄ e ►M2  SECRET UE ◄ possono essere trasmesse sotto forma di testo in chiaro, previa esplicita autorizzazione per ogni singolo caso e opportuna registrazione ad opera del proprietario delle informazioni. Le circostanze eccezionali di cui sopra si verificano:

Un sistema deve essere in grado di negare con certezza ad una o tutte le sue postazioni o ai suoi terminali remoti l'accesso ad informazioni classificate UE, se necessario disconnettendoli materialmente o mediante speciali caratteristiche del software approvate dalla SAA.

25.5.6.   Misure di sicurezza concernenti l'installazione e le radiazioni

Le specifiche relative all'installazione iniziale dei sistemi e a qualsiasi successiva modifica di rilievo prevedono che l'installazione sia effettuata da installatori provvisti di nulla osta di sicurezza sotto la costante sorveglianza di personale tecnico qualificato abilitato all'accesso ad informazioni aventi un grado di classificazione UE equivalente al grado più alto delle informazioni che il sistema dovrà archiviare o trattare.

I sistemi che trattano informazioni classificate ►M2  CONFIDENTIEL UE ◄ o di grado superiore sono protetti in modo tale che la loro sicurezza non possa essere minacciata da radiazioni o da una conduttività compromettenti, il cui studio e la cui prevenzione sono designati dal termine «TEMPEST».

Le contromisure dell'«effetto tempesta»sono esaminate e approvate dall'autorità Tempest (cfr. sezione 25.3.2).

25.6.   Sicurezza durante il trattamento

25.6.1.   Procedure operative di sicurezza (SecOP)

Le procedure operative di sicurezza (SecOP) definiscono i principi da adottare in materia di sicurezza, le procedure operative da seguire e le responsabilità del personale. Le SecOP sono elaborate sotto la responsabilità del proprietario dei sistemi tecnici (TSO).

25.6.2.   Protezione del software/gestione della configurazione

Il livello di protezione dei programmi applicativi è determinato in base ad una valutazione della classificazione di sicurezza dei programmi stessi piuttosto che delle informazioni che devono trattare. Le versioni dei software in uso devono essere verificate ad intervalli regolari per assicurarne l'integrità ed il corretto funzionamento.

Versioni nuove o modificate dei software vengono utilizzate per il trattamento di informazioni classificate UE solo dopo essere state verificate dal TSO.

25.6.3.   Controlli contro la presenza di software «maligni»/virus informatici

Controlli contro la presenza di software «maligni»/virus informatici sono effettuati periodicamente secondo quanto prescritto dalla SAA.

Prima di essere immessi in un sistema, tutti i supporti informatici introdotti nella Commissione devono essere controllati al fine di rilevare l'eventuale presenza di software «maligni» o virus informatici.

25.6.4.   Manutenzione

Nei contratti e nelle procedure concernenti la manutenzione periodica e su richiesta dei sistemi per cui sia stata stilata una SSRS sono specificati i requisiti e le disposizioni applicabili al personale addetto alla manutenzione ed alle relative apparecchiature che entrano in una zona TI.

Tali requisiti e tali procedure sono chiaramente indicati, rispettivamente, nella SSRS e nelle SecOP. Le operazioni di manutenzione di competenza del contraente che richiedono procedure di telediagnostica sono consentite solo in circostanze eccezionali, sotto rigoroso controllo ed esclusivamente previa approvazione della SAA.

25.7.   Fornitura

25.7.1.   Considerazioni generali

Qualsiasi prodotto relativo alla sicurezza da utilizzare con il sistema oggetto della fornitura, deve già essere stato valutato e certificato oppure essere in fase di valutazione e certificazione da parte di un apposito organismo di uno degli Stati membri dell'UE, secondo criteri riconosciuti a livello internazionale (quali i criteri comuni per la valutazione della sicurezza delle tecnologie dell'informazione: cfr. ISO 15408). Procedure specifiche sono richieste per ottenere l'approvazione della CCAC.

Per decidere se noleggiare piuttosto che acquistare un'attrezzatura, specie supporti informatici, occorre tener presente che, una volta utilizzata per le informazioni classificate UE, tale attrezzatura non potrà essere resa disponibile al di fuori di un ambiente adeguatamente protetto senza prima essere declassificata con il consenso della SAA e che non sempre detto consenso sarà possibile.

25.7.2.   Accreditamento

Tutti i sistemi che necessitano in via preventiva, per il trattamento di informazioni classificate UE, di una dichiarazione relativa ai requisiti di sicurezza specifici del sistema, sono accreditati dalla SAA sulla scorta delle informazioni fornite nella suddetta dichiarazione, delle SecOP e di qualsiasi altra documentazione pertinente. I sottosistemi e i terminali/postazioni remoti sono accreditati in quanto parte di tutti i sistemi a cui sono collegati. Quando un sistema serve sia la Commissione che altre organizzazioni, la Commissione e le competenti autorità incaricate della sicurezza approvano l'accreditamento di comune accordo.

Il processo di accreditamento può essere espletato secondo un'apposita strategia adeguata ad un determinato sistema, definita dalla SAA.

25.7.3.   Valutazione e certificazione

Prima di essere accreditati, in taluni casi, gli elementi di sicurezza di un sistema nel suo insieme — hardware, firmware e software — sono valutati e certificati idonei alla salvaguardia delle informazioni al grado di classificazione desiderato.

I requisiti per la valutazione e certificazione sono inclusi nella progettazione del sistema e chiaramente definiti nella SSRS.

I processi di valutazione e certificazione sono espletati secondo linee direttrici approvate da personale tecnicamente qualificato e adeguatamente abilitato che opera a nome del TSO.

I gruppi a ciò preposti possono essere inviati da un'autorità nazionale di valutazione o certificazione designata oppure da suoi rappresentanti designati, ad esempio un appaltatore competente e abilitato.

I processi di valutazione e certificazione richiesti possono essere di livello inferiore (ed includere, ad esempio, solo gli aspetti dell'integrazione) qualora i sistemi siano basati su prodotti per la sicurezza dei computer valutati e certificati in ambito nazionale.

25.7.4.   Verifica sistematica degli elementi di sicurezza per la proroga dell'accreditamento

Il TSO stabilisce procedure di controllo sistematico atte a garantire che tutti gli elementi di sicurezza del sistema siano ancora efficaci.

I tipi di cambiamenti che renderebbero necessario un riaccreditamento o che richiedono l'approvazione preventiva della SAA sono chiaramente individuati ed enunciati nella SSRS. Dopo qualsiasi modifica, riparazione o disfunzione che possa avere ripercussioni sugli elementi di sicurezza del sistema, il TSO provvede a far effettuare una verifica per assicurare il corretto funzionamento dei suddetti elementi. La proroga dell'accreditamento del sistema dipende normalmente da un risultato soddisfacente delle verifiche.

Tutti i sistemi dotati di elementi di sicurezza sono periodicamente ispezionati o riesaminati dalla SAA. Per i sistemi che trattano informazioni classificate ►M2  TRES SECRET UE/EU TOP SECRET ◄ , le ispezioni hanno luogo almeno una volta l'anno.

25.8.   Utilizzo temporaneo o occasionale

25.8.1.   Sicurezza dei microcomputer/personal computer

I microcomputer/personal computer (PC) muniti di disco fisso (o altri mezzi di archiviazione permanente), funzionanti sia autonomamente sia in rete, e i dispositivi informatici portatili (quali PC portatili e notebook elettronici) provvisti di disco rigido fisso sono considerati mezzi di archiviazione delle informazioni alla stessa stregua dei dischetti o altri supporti informatici rimovibili.

A tali attrezzature è attribuito il livello di protezione, in termini di accesso, gestione, archiviazione e trasporto, corrispondente al più alto grado di classificazione delle informazioni archiviate o elaborate (finché passeranno poi ad un livello di protezione inferiore o subiranno una declassificazione conformemente a procedure approvate).

25.8.2.   Uso di attrezzatura informatica privata per i lavori ufficiali della Commissione

Per il trattamento delle informazioni classificate UE è vietato utilizzare supporti informatici, software e hardware (quale PC e dispositivi informatici portatili) che siano dotati di memoria, di proprietà privata e rimovibili.

Hardware, software e supporti vari di proprietà privata non possono essere introdotti in nessuna zona di categoria I o II dove sono trattate informazioni classificate UE senza l'autorizzazione scritta del ►M3  direttore della direzione della sicurezza della Commissione ◄ . Tale autorizzazione può essere concessa solo in casi eccezionali per motivi tecnici.

25.8.3.   Uso di attrezzatura informatica appartenente a un appaltatore o fornita dagli Stati membri per i lavori ufficiali della Commissione

Il ►M3  direttore della direzione della sicurezza della Commissione ◄ può permettere l'utilizzo di attrezzatura IT e software detenuti da un appaltatore per i lavori ufficiali della Commissione. Può essere altresì autorizzato l'utilizzo di attrezzatura e software forniti dagli Stati membri: in tal caso, detta attrezzatura è posta sotto controllo e iscritta nell'apposito inventario della Commissione. Nell'uno o nell'altro caso, se l'attrezzatura serve al trattamento di informazioni classificate UE, si consulta la SAA competente ai fini di un'adeguata presa in considerazione e applicazione degli elementi INFOSEC applicabili al suo utilizzo.

26.   COMUNICAZIONE DI INFORMAZIONI CLASSIFICATE UE A STATI TERZI O ORGANIZZAZIONI INTERNAZIONALI

26.1.1.   Principi che regolano la comunicazione di informazioni classificate UE

La comunicazione di informazioni classificate UE a Stati terzi o organizzazioni internazionali è decisa collegialmente dalla Commissione in base:

All'originatore dell'informazione classificata UE è chiesto il consenso alla comunicazione.

Siffatte decisioni sono prese caso per caso, a seconda:

L'accettazione di informazioni classificate UE da parte di Stati terzi o organizzazioni internazionali implica la garanzia che saranno utilizzate esclusivamente agli scopi per cui sono state comunicate o scambiate e che sarà loro assicurata la protezione richiesta dalla Commissione.

26.1.2.   Livelli

Una volta decisa la comunicazione o lo scambio di informazioni classificate con un determinato Stato o organizzazione internazionale, la Commissione decide il livello di cooperazione possibile, che dipenderà soprattutto dalla politica seguita in materia di sicurezza e dalla normativa applicata da tale Stato o organizzazione.

I livelli di cooperazione sono tre:

26.1.3.   Accordi in materia di sicurezza

Constatata la necessità permanente o a lungo termine di uno scambio di informazioni classificate tra la Commissione e Stati terzi o altre organizzazioni internazionali, la Commissione procede alla stesura di «accordi sulle procedure di sicurezza per lo scambio di informazioni classificate» con essi, dove sono definite le finalità della cooperazione e le disposizioni reciproche sulla protezione delle informazioni scambiate.

Nel caso di una cooperazione occasionale di terzo livello, per definizione limitata nel tempo e nelle finalità, un semplice memorandum d'intesa in cui siano definiti la natura delle informazioni classificate da scambiare e gli obblighi reciproci ad esse relativi può sostituirsi agli «accordi sulle procedure di sicurezza per lo scambio di informazioni classificate» purché il grado di classificazione non sia più elevato di ►M2  RESTREINT UE ◄ .

Prima di essere presentati alla Commissione per una decisione, i progetti di accordi sulle procedure di sicurezza o di memorandum d'intesa sono approvati dal gruppo consultivo della Commissione per le politiche della sicurezza.

Le NSA degli Stati membri forniscono al membro della Commissione responsabile per le questioni della sicurezza tutta l'assistenza necessaria a garantire che le informazioni da divulgare siano utilizzate e protette conformemente ai suddetti accordi sulle procedure di sicurezza o ai memorandum d'intesa.

▼M4

27.   NORME MINIME COMUNI SULLA SICUREZZA INDUSTRIALE

27.1.   Introduzione

La presente sezione contempla gli aspetti di sicurezza delle attività industriali inerenti specificamente alla negoziazione e alla stipulazione dei contratti o delle convenzioni di sovvenzione, per l’assegnazione di mansioni che comportano, implicano e/o comprendono informazioni classificate UE, e all’esecuzione di tali contratti da parte di soggetti industriali o di altra natura, per quanto riguarda anche la comunicazione di informazioni classificate UE, o l’accesso alle medesime, durante la procedura di aggiudicazione e di invito a presentare proposte (fase di presentazione delle offerte e trattative precontrattuali).

27.2.   Definizioni

Ai fini delle norme minime comuni s’intende per:

27.3.   Organizzazione

27.4.   Contratti classificati e decisioni di sovvenzione

27.5.   Visite

Le visite del personale della Commissione nell’ambito dei contratti classificati presso i soggetti industriali o di altra natura situati negli Stati membri che eseguono contratti classificati UE devono essere fissate con la pertinente NSA/DSA. Le visite dei dipendenti di soggetti industriali o di altra natura nel quadro di un contratto classificato UE devono essere fissate fra le NSA/DSA interessate. Tuttavia, le NSA/DSA interessate da un contratto classificato UE hanno la facoltà di concordare una procedura secondo cui le visite dei dipendenti dei soggetti industriali o di altra natura possono essere fissate direttamente.

27.6.   Trasmissione e trasporto delle informazioni classificate UE

▼M2

---

Appendice 1

▼M1

---

Appendice 2

GUIDA PRATICA ALLA CLASSIFICAZIONE

La presente guida è uno strumento indicativo, che non può essere interpretato come variante delle disposizioni sostanziali di cui alle sezioni 16, 17, 20 e 21.

---

Appendice 3

Linee direttrici per la comunicazione di informazioni classificate UE a Stati terzi o organizzazioni internazionali: livello 1 cooperazione

PROCEDURE

NORME DI SICUREZZA CHE DEVONO ESSERE APPLICATE DAI DESTINATARI

7.   Personale

8.   Trasmissione di documenti

9.   Registrazione

Non appena riceve un documento classificato ►M2  CONFIDENTIEL UE ◄ o di grado superiore, l'ufficio di registrazione lo annota in un registro speciale dell'organizzazione, suddiviso in colonne per la data di ricezione, dettagli del documento (data, numero di riferimento e di copia), la classificazione, il titolo, il nome o la qualifica del ricevente, la data di ritorno della ricevuta e la data di rinvio del documento all'originatore UE o dell'avvenuta distruzione.

10.   Distruzione

11.   Protezione dei documenti

Non sarà tralasciata alcuna misura che possa impedire l'accesso di persone non autorizzate alle informazioni classificate UE.

12.   Copie, traduzioni ed estratti

È vietato fotocopiare o tradurre un documento classificato ►M2  CONFIDENTIEL UE ◄ o ►M2  SECRET UE ◄ , oppure estrarne brani senza l'autorizzazione del responsabile della sicurezza, che registrerà e controllerà copie, traduzioni o estratti apponendovi, se necessario, una stampigliatura.

La riproduzione o traduzione di un documento classificato ►M2  TRES SECRET UE/EU TOP SECRET ◄ può essere autorizzata soltanto dall'autorità d'origine, che preciserà il numero di copie autorizzate; se non è possibile risalire a tale autorità, la richiesta è deferita al servizio di sicurezza della Commissione.

13.   Violazioni della sicurezza

In caso di violazione, presunta o reale, delle norme di sicurezza per un documento classificato UE, si dovrebbe immediatamente procedere, fatta salva la conclusione di un accordo in materia di sicurezza, a:

14.   Ispezioni

Il servizio di sicurezza della Commissione sarà autorizzato, con il consenso degli Stati o delle organizzazioni internazionali interessati, ad effettuare una valutazione dell'efficacia delle misure prese a protezione delle informazioni classificate UE che sono state comunicate a terzi.

15.   Relazioni

Fatta salva la conclusione di accordi in materia di sicurezza, gli Stati o le organizzazioni internazionali dovrebbero, fintanto che detengono informazioni classificate UE, presentare una relazione annuale a conferma del rispetto delle presenti disposizioni in materia di sicurezza, entro una data specificata al momento in cui è stata autorizzata la comunicazione dell'informazione.

---

Appendice 4

Linee direttrici per la comunicazione di informazioni classificate UE a Stati terzi o organizzazioni internazionali: livello 2 cooperazione

PROCEDURE

NORME DI SICUREZZA CHE DEVONO ESSERE APPLICATE DAI DESTINATARI

10.   Personale

11.   Trasmissione di documenti

Le procedure pratiche per la trasmissione di documenti sono decise mediante accordo. In attesa della conclusione di tale accordo si applicano le disposizioni della sezione 21. L'accordo dovrà specificare in particolare gli uffici di registrazione ai quali devono essere inoltrate le informazioni classificate UE e gli indirizzi esatti ai quali devono essere inoltrati i documenti nonché il corriere o i servizi postali usati per la trasmissione delle informazioni classificate UE.

12.   Registrazione al momento dell'arrivo

La NSA dello Stato destinatario o il suo equivalente, che riceve le informazioni classificate inviate dalla Commissione a nome del proprio governo, ovvero l'ufficio di sicurezza dell'organizzazione internazionale destinataria, istituisce uno speciale registro per annotare le informazioni classificate UE all'atto del ricevimento. Il registro contiene colonne con l'indicazione della data, dettagli del documento (data, sigla e numero di esemplari), classificazione, titolo, nome o titolo del destinatario, data del ritorno della ricevuta e la data del rinvio del documento all'UE o quella della distruzione del documento.

13.   Rinvio dei documenti

Il destinatario che rinvia un documento classificato alla Commissione, procede come indicato al precedente paragrafo «Trasmissione di documenti».

14.   Protezione

15.   Sicurezza materiale

16.   Violazioni della sicurezza

Se si è verificata o si sospetta che si sia verificata una violazione della sicurezza relativamente a un documento classificato UE occorre immediatamente provvedere a:

17.   Ispezioni

Il servizio di sicurezza della Commissione sarà autorizzato, con il consenso degli Stati o delle organizzazioni internazionali interessati, ad effettuare una valutazione dell'efficacia delle misure prese a protezione delle informazioni classificate UE che sono state comunicate a terzi.

18.   Relazioni

Fatta salva la conclusione di accordi in materia di sicurezza, gli Stati o le organizzazioni internazionali dovrebbero, fintanto che detengono informazioni classificate UE, presentare una relazione annuale a conferma del rispetto delle presenti disposizioni in materia di sicurezza, entro una data specificata al momento in cui è stata autorizzata la comunicazione dell'informazione.

---

Appendice 5

Linee direttrici per la comunicazione di informazioni classificate UE a Stati terzi o organizzazioni internazionali: livello 3 cooperazione

PROCEDURE

In linea di principio, è limitata alle informazioni classificate fino al grado ►M2  SECRET UE ◄ compreso; ne sono escluse le informazioni classificate protette da speciali contrassegni di sicurezza.

In caso di mutamento delle condizioni di cooperazione, la Commissione deve procedere a un riesame della materia.

NORME DI SICUREZZA CHE DEVONO ESSERE APPLICATE DAI DESTINATARI

13.   Trasmissione di documenti

14.   Registrazione al momento dell'arrivo

La NSA dello Stato destinatario o il suo equivalente, che riceve le informazioni classificate inviate dalla Commissione per conto del suo governo, ovvero l'ufficio di sicurezza dell'organizzazione internazionale destinataria, istituisce uno speciale registro per annotare le informazioni classificate UE all'atto del ricevimento. Il registro è suddiviso in colonne che riportano l'indicazione della data, i dettagli del documento (data, sigla e numero di esemplari), la classificazione, il titolo, il nome o titolo del destinatario, la data del ritorno della ricevuta e la data del rinvio del documento all'UE o quella della distruzione del documento.

15.   Utilizzazione e protezione delle informazioni classificate scambiate

16.   Distruzione

I documenti che non servono più devono essere distrutti. Nel caso di documenti ►M2  RESTREINT UE ◄ E ►M2  CONFIDENTIEL UE ◄ , viene inserita una nota nei registri speciali. Nel caso di documenti del livello ►M2  SECRET UE ◄ , sono rilasciati certificati di distruzione firmati da due testimoni della distruzione.

17.   Violazioni della sicurezza

Se informazioni di livello ►M2  CONFIDENTIEL UE ◄ o ►M2  SECRET UE ◄ sono compromesse o se vi è un sospetto in tal senso, la NSA dello Stato o il capo del servizio di sicurezza dell'organizzazione conduce un'inchiesta per appurare le circostanze della violazione e notifica i risultati dell'inchiesta al servizio di sicurezza della Commissione. Si adottano quindi i provvedimenti atti a migliorare le procedure o i metodi di custodia inadeguati che possano essere all'origine della violazione.

---

Appendice 6

▼M5

---

DISPOSIZIONI DI ATTUAZIONE DEL REGOLAMENTO (CE) N. 1049/2001 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO RELATIVO ALL'ACCESSO DEL PUBBLICO AI DOCUMENTI DEL PARLAMENTO EUROPEO, DEL CONSIGLIO E DELLA COMMISSIONE

considerando quanto segue:

(1)	Ai sensi dell'articolo 255, paragrafo 2 del trattato CE, il Parlamento europeo e il Consiglio hanno adottato il regolamento (CE) n. 1049/2001 ( 16 ) relativo all'accesso del pubblico ai documenti del Parlamento europeo, del Consiglio e della Commissione.

(2)

A norma dell'articolo 255, paragrafo 3 del trattato, questo regolamento, che fissa i principi generali e i limiti che disciplinano l'esercizio del diritto d'accesso ai documenti, prevede all'articolo 18 che ogni istituzione adatti il proprio regolamento interno alle disposizioni del suddetto regolamento.

Articolo 1

Destinatari

I cittadini dell'Unione e le persone fisiche o giuridiche che risiedano o abbiano la sede sociale in uno Stato membro esercitano il diritto d'accesso ai documenti della Commissione a titolo delle disposizioni dell'articolo 255, paragrafo 1 del trattato e dell'articolo 2, paragrafo 1 del regolamento (CE) n. 1049/2001 secondo le procedure di cui alle presenti disposizioni. Il diritto d'accesso riguarda i documenti detenuti dalla Commissione, ossia da essa prodotti o ricevuti ed in suo possesso.

In applicazione dell'articolo 2, paragrafo 2 del regolamento (CE) n. 1049/2001, i cittadini di paesi terzi che non risiedono in uno Stato membro e le persone giuridiche che non hanno la sede sociale in uno degli Stati membri godono del diritto d'accesso ai documenti della Commissione alle stesse condizioni dei destinatari di cui all'articolo 255, paragrafo 1 del trattato.

Tuttavia, ai sensi dell'articolo 195, paragrafo 1 del trattato, queste persone non avranno la facoltà di presentare reclamo presso il Mediatore europeo. Ma, qualora la Commissione rifiuti del tutto o in parte l'accesso ad un documento dopo una domanda di conferma, esse possono inoltrare ricorso dinanzi al Tribunale di primo grado delle Comunità europee, conformemente alle disposizioni dell'articolo 230, quarto comma, del trattato.

Articolo 2

Domande d'accesso

Le domande di accesso a un documento sono presentate per posta, telefax o posta elettronica al Segretariato generale della Commissione, alla direzione generale o al servizio competente. Gli indirizzi ai quali devono essere inviate le domande sono pubblicati nella guida pratica di cui all'articolo 8 delle presenti disposizioni.

La Commissione risponde alle domande d'accesso, iniziali e di conferma, entro quindici giorni lavorativi dalla data di registrazione della domanda. Nel caso di domande complesse o relative a documenti voluminosi questo termine può essere prorogato di altri quindici giorni lavorativi. Qualsiasi prolungamento del termine deve essere motivato e comunicato previamente al richiedente.

Nel caso di domanda poco precisa di cui all'articolo 6, paragrafo 2 del regolamento (CE) n. 1049/2001, la Commissione invita il richiedente a fornire informazioni complementari che permettano di identificare i documenti chiesti; il termine di risposta inizia soltanto dal momento in cui l'istituzione dispone di queste informazioni.

Qualsiasi decisione negativa, anche solo in parte, indica il motivo del rifiuto fondato su una delle eccezioni enumerate all'articolo 4 del regolamento (CE) n. 1049/2001 e informa il richiedente dei mezzi di ricorso a sua disposizione.

Articolo 3

Esame delle domande iniziali

Fatto salvo l'articolo 9 delle presenti disposizioni, al momento della registrazione della domanda, al richiedente viene inviato un avviso di ricevimento, a meno che la risposta sia inviata a giro di posta.

L'avviso di ricevimento e la risposta sono inviati per iscritto, eventualmente anche con mezzi elettronici.

Il richiedente è informato del seguito riservato alla sua domanda o dal direttore generale o dal capo servizio interessato dalla domanda o da un direttore designato a tal fine nell'ambito del Segretariato generale o da un direttore designato nell'ambito dell'OLAF in caso di domanda riguardante documenti relativi alle attività dell'OLAF di cui all'articolo 2, paragrafi 1 e 2 della decisione 1999/352/CE, CECA, Euratom della Commissione ( 17 ) che istituisce l'OLAF o dal funzionario designato a tal fine.

Qualsiasi risposta, anche parzialmente negativa, dovrà informare il richiedente del suo diritto di presentare, entro quindici giorni lavorativi dalla ricezione della risposta, una domanda di conferma presso il Segretario generale della Commissione o presso il direttore dell'OLAF, quando la domanda di conferma riguarda documenti relativi alle attività dell'OLAF di cui all'articolo 2, paragrafi 1 e 2 della decisione 1999/352/CE, CECA, Euratom.

Articolo 4

Trattamento delle domande di conferma

Ai sensi dell'articolo 14 del regolamento interno della Commissione, il potere di prendere le decisioni riguardanti le domande di conferma è delegato al Segretario generale. Tuttavia, quando la domanda di conferma riguarda documenti relativi alle attività dell'OLAF di cui all'articolo 2, paragrafi 1 e 2 della decisione 1999/352/CE, CECA, Euratom, la decisione è delegata al direttore dell'OLAF.

La direzione generale o il servizio assistono il Segretariato generale nella preparazione della decisione. La decisione è presa previo accordo del Servizio giuridico.

La decisione è presa dal Segretario generale o dal direttore dell'OLAF previo accordo del Servizio giuridico.

Al richiedente è comunicata per iscritto, eventualmente con mezzi elettronici, la decisione che lo informa del suo diritto di inoltrare un ricorso dinanzi al Tribunale di primo grado o di depositare un reclamo presso il Mediatore europeo.

Articolo 5

Consultazioni

1.  Quando la Commissione riceve una domanda d'accesso ad un documento che detiene ma che proviene da un terzo, la direzione generale o il servizio depositari del documento verificano l'applicabilità delle eccezioni di cui all'articolo 4 del regolamento (CE) n. 1049/2001. Se il documento chiesto è classificato ai sensi delle norme di sicurezza della Commissione, si applica l'articolo 6 delle presenti disposizioni.

2.  Se, al termine di quest'esame, la direzione generale o il servizio depositari ritengono che l'accesso al documento chiesto debba essere rifiutato ai sensi di una delle eccezioni di cui all'articolo 4 del regolamento (CE) n. 1049/2001, al richiedente è inviata una risposta negativa senza consultazione dell'autore terzo.

3.  La direzione generale o il servizio depositari danno seguito favorevole alla domanda senza consultare l'autore terzo quando:

4.  In tutti gli altri casi, l'autore terzo è consultato. In particolare, qualora la domanda d'accesso riguarda un documento proveniente da uno Stato membro, la direzione generale o il servizio depositari consultano l'autorità d'origine quando:

5.  L'autore terzo consultato dispone di un termine di risposta che non può essere inferiore a cinque giorni lavorativi ma che deve permettere alla Commissione di rispettare i suoi termini di risposta. In mancanza di risposta entro il termine fissato, o quando il terzo è irreperibile o non identificabile, la Commissione delibera conformemente al regime di eccezioni di cui all'articolo 4 del regolamento (CE) n. 1049/2001, considerando gli interessi legittimi del terzo sulla base degli elementi di cui dispone.

6.  Nel caso in cui la Commissione preveda di accordare l'accesso ad un documento contro il parere esplicito del suo autore, essa informa quest'ultimo della sua intenzione di divulgare il documento dopo un periodo di dieci giorni lavorativi e richiama la sua attenzione sui mezzi di ricorso che sono a sua disposizione per opporsi alla divulgazione.

7.  Quando uno Stato membro riceve una richiesta d'accesso ad un documento che proviene dalla Commissione, può rivolgersi, per consultazione, al Segretariato generale, che dovrà identificare la direzione generale o il servizio responsabile del documento all'interno della Commissione. La direzione generale o il servizio autore del documento risponderà a questa domanda previa consultazione del Segretariato generale.

Articolo 6

Trattamento delle domande d'accesso ai documenti classificati

Quando una domanda d'accesso riguarda un documento sensibile come definito all'articolo 9, paragrafo 1 del regolamento (CE) n. 1049/2001, o un altro documento classificato ai sensi delle norme di sicurezza della Commissione, la domanda sarà istruita da funzionari autorizzati a prendere conoscenza del documento in questione.

Qualsiasi decisione di rifiuto dell'accesso a tutto o parte di un documento classificato sarà motivata sulla base delle eccezioni enumerate all'articolo 4 del regolamento (CE) n. 1049/2001. Se risulta che l'accesso al documento chiesto non può essere rifiutato in base a tali eccezioni, il funzionario che tratta la domanda farà in modo che si proceda alla declassificazione del documento prima di trasmetterlo al richiedente.

Per accordare l'accesso ad un documento sensibile sarà tuttavia chiesto l'accordo dell'autorità d'origine.

Articolo 7

Esercizio del diritto d'accesso

I documenti sono inviati per posta, telefax o, se disponibile, per posta elettronica, secondo la domanda. In caso di documenti voluminosi o di documenti difficili da trattare, il richiedente può essere invitato a venire a consultare i documenti sul posto. La consultazione è gratuita.

Se il documento è stato pubblicato, la risposta consiste nel dare i riferimenti di pubblicazione e/o il luogo dove il documento è disponibile e, se necessario, l'indirizzo del documento nel sito EUROPA.

In caso di richiesta di documenti di più di venti pagine, può essere addebitato al richiedente un compenso di 0,10 EUR per pagina, maggiorato delle spese di porto. Le spese inerenti ad altri supporti saranno decise caso per caso ma non eccederanno un importo ragionevole.

Articolo 8

Agevolazioni per l'accesso ai documenti

1.  La copertura del registro di cui all'articolo 11 del regolamento (CE) n. 1049/2001 sarà gradualmente ampliata. Sarà pubblicata nella pagina principale del sito EUROPA.

Il registro contiene il titolo del documento (nelle lingue nelle quali è disponibile), il numero e gli altri riferimenti utili, l'indicazione dell'autore e la data di produzione o di adozione.

Una pagina di istruzioni (in tutte le lingue ufficiali) informa il pubblico sul modo in cui il documento può essere ottenuto. Se il documento è pubblicato, è disponibile un collegamento con il testo integrale.

2.  La Commissione elabora una guida pratica destinata ad informare il pubblico dei diritti di cui gode a titolo del regolamento (CE) n. 1049/2001. La guida sarà diffusa in tutte le lingue ufficiali nel sito EUROPA e sotto forma d'opuscolo.

Articolo 9

Documenti accessibili d'ufficio al pubblico

1.  Le disposizioni del presente articolo si applicano soltanto ai documenti prodotti o ricevuti dopo la data di entrata in vigore del regolamento (CE) n. 1049/2001.

2.  I seguenti documenti sono automaticamente consegnati su domanda e, per quanto possibile, resi direttamente accessibili con mezzi elettronici:

3.  Quando è chiaro che nessuna delle eccezioni di cui all'articolo 4 del regolamento (CE) n. 1049/2001 è applicabile, i documenti seguenti possono essere diffusi, per quanto possibile con mezzi elettronici, sempre che non riflettano pareri o prese di posizione individuali:

Articolo 10

Organizzazione interna

I direttori generali e i capi servizio sono competenti per decidere il seguito da dare alle domande iniziali. A tal fine designano un funzionario incaricato di trattare le domande d'accesso e di coordinare la presa di posizione della direzione generale o del servizio interessati.

Le risposte alle domande iniziali sono comunicate per informazione al Segretariato generale.

Le domande di conferma sono comunicate per informazione alla direzione generale o al servizio che ha risposto alla domanda iniziale.

Il Segretariato generale assicura il buon coordinamento e l'applicazione uniforme di queste norme da parte delle direzioni generali e servizi della Commissione. A tal fine, fornisce tutti gli orientamenti e linee direttrici necessari.

▼M6

---

DISPOSIZIONI RELATIVE ALLA GESTIONE DEI DOCUMENTI

Considerando quanto segue:

(1)	Le attività e le decisioni della Commissione in campo politico, legislativo, tecnico, finanziario e amministrativo si concretizzano tutte, in un determinato momento, nella produzione di documenti.

(2)

La gestione di tali documenti deve essere disciplinata da regole da applicare a tutte le direzioni generali e ai servizi assimilati, in quanto i documenti costituiscono il collegamento immediato con le attività in corso e nel contempo la memoria delle attività passate della Commissione, nella sua doppia veste di istituzione e di amministrazione pubblica europea.

(3)

Le suddette regole omogenee sono intese a garantire che la Commissione sia in grado in qualsiasi momento di rendere conto del suo operato. Di conseguenza, i documenti e i fascicoli tenuti da una direzione generale o un servizio assimilato devono custodire la memoria dell'istituzione, agevolare lo scambio di informazioni, fornire le prove delle operazioni effettuate e rispondere agli obblighi giuridici degli uffici.

(4)	L'attuazione delle suddette regole presuppone la creazione di un'architettura organizzativa idonea e solida, a livello di ogni direzione generale o servizio assimilato, a livello interservizi e a livello della Commissione.

(5)

La creazione e l'attuazione di un titolario di classificazione, basato su una nomenclatura che sarà comune per tutti gli uffici della Commissione e che si iscriverà nella gestione per attività dell'istituzione, permetteranno di organizzare i fascicoli e agevoleranno l'accesso ai documenti e la trasparenza.

(6)

L'efficace gestione dei documenti costituisce un presupposto indispensabile per una strategia efficace di accesso del pubblico ai documenti della Commissione. Per facilitare l'esercizio di tale diritto di accesso da parte dei cittadini occorre istituire registri contenenti i riferimenti dei documenti formati o ricevuti dalla Commissione.

Articolo 1

Definizioni

Ai fini delle presenti disposizioni si intende per:

Articolo 2

Oggetto

Le presenti disposizioni definiscono i principi della gestione dei documenti.

La gestione documentaria deve garantire quanto segue:

Articolo 3

Regole omogenee

I documenti sono sottoposti alle seguenti operazioni:

Queste operazioni sono effettuate secondo regole omogenee da applicarsi uniformemente da tutte le direzioni generali e i servizi assimilati della Commissione.

Articolo 4

Registrazione

Qualsiasi documento, a prescindere dal suo supporto, nel momento della sua ricezione o della sua elaborazione formale nell'ambito di un ufficio, è oggetto di un'analisi volta a determinare il trattamento che gli sarà riservato e, quindi, l'eventuale obbligo di registrazione.

Ogni documento formato o ricevuto da un ufficio della Commissione deve essere registrato quando contiene un'informazione rilevante non effimera e/o possa dare origine ad un intervento o ad un'attività di controllo della sua gestione da parte della Commissione o di uno dei suoi uffici. Se si tratta di un documento formato, la registrazione è effettuata dall'ufficio autore nel sistema pertinente. Se si tratta di un documento ricevuto, la registrazione è effettuata dall'ufficio destinatario. Ogni ulteriore trattazione dei documenti così registrati fa riferimento alla registrazione iniziale.

La registrazione deve permettere di identificare in modo chiaro e certo qualsiasi documento formato o ricevuto dalla Commissione o da un suo ufficio in modo da garantire che l'origine e le varie fasi della gestione del documento stesso possano essere ricostituite durante il suo ciclo di vita.

Essa implica l'istituzione di registri che contengono i riferimenti dei documenti.

Articolo 5

Classificazione

Le direzioni generali e i servizi assimilati redigono un titolario di classificazione corrispondente alle rispettive esigenze specifiche.

Il titolario di classificazione, accessibile per via informatica, deriva da una nomenclatura comune definita dal segretariato generale per l'insieme degli uffici della Commissione. Tale nomenclatura si integra nella gestione per attività della Commissione.

I documenti registrati sono organizzati in fascicoli. Per ogni affare di competenza della direzione generale o del servizio assimilato è costituito un solo fascicolo ufficiale. Ogni fascicolo ufficiale deve essere completo e deve corrispondere all'attività dell'ufficio responsabile dell'affare in questione.

La creazione di un fascicolo e la sua classificazione secondo il titolario proprio ad una direzione generale o servizio assimilato spetta all'ufficio responsabile del settore cui si riferisce il fascicolo, secondo modalità pratiche da definirsi da ciascuna direzione generale o servizio assimilato.

Articolo 6

Conservazione

Ogni direzione generale o servizio assimilato, oltre ad assicurare la protezione materiale dei documenti che si trovano sotto la sua responsabilità e la loro accessibilità a breve e medio termine, deve essere in grado di produrre o di ricostituire i fascicoli di cui tali documenti fanno parte.

Le regole amministrative e gli obblighi giuridici determinano la durata minima di conservazione di un documento.

Ogni direzione generale o servizio assimilato definisce la propria struttura organizzativa interna ai fini della conservazione dei propri fascicoli. La durata minima di conservazione all'interno dei propri uffici tiene conto di una lista comune definita, per tutta la Commissione, dalle modalità d'applicazione di cui all'articolo 12.

Articolo 7

Preselezione e trasferimento negli archivi storici

Fatti salvi i termini minimi di conservazione di cui all'articolo 6, i centri di gestione dei documenti, di cui all'articolo 9, procedono regolarmente, in collaborazione con gli uffici responsabili dei fascicoli, alla preselezione dei documenti e dei fascicoli che possono essere trasferiti successivamente negli archivi storici della Commissione. Dopo aver valutato le proposte, gli archivi storici possono rifiutare il trasferimento dei documenti o dei fascicoli. Le decisioni di rifiuto sono motivate e vengono comunicate all'ufficio interessato.

I fascicoli e i documenti che gli uffici non hanno più la necessità di conservare sono trasmessi agli archivi storici della Commissione entro quindici anni dalla loro produzione, tramite il centro di gestione dei documenti e sotto l'autorità del direttore generale. Tali fascicoli o documenti sono successivamente sottoposti ad una cernita, secondo regole stabilite nelle modalità d'applicazione di cui all'articolo 12, allo scopo di separare i documenti e i fascicoli da conservare da quelli sprovvisti di qualsiasi interesse amministrativo o storico.

Gli archivi storici dispongono di magazzini speciali per la conservazione dei fascicoli e dei documenti loro trasferiti. A richiesta, mettono i documenti e i fascicoli a disposizione della direzione generale o del servizio assimilato di cui sono originali.

Articolo 8

Documenti soggetti a classifica di sicurezza

I documenti soggetti a classifica di sicurezza (classificazione UE) sono trattati nel rispetto delle regole in vigore in materia di sicurezza.

Articolo 9

Centri di gestione dei documenti

Tenendo conto della sua struttura e dei suoi limiti, ogni direzione generale o servizio assimilato istituisce o conserva uno o più centri di gestione dei documenti.

Detti centri hanno il compito di garantire che i documenti formati o ricevuti dalla loro direzione generale o servizio assimilato siano gestiti nel rispetto delle regole prestabilite.

Articolo 10

Responsabile della gestione dei documenti

Ogni direttore generale o capo servizio designa un responsabile della gestione dei documenti.

Nell'ambito della creazione di un sistema moderno ed efficace di gestione documentaria e d'archiviazione, il responsabile della gestione dei documenti ha i seguenti compiti:

Il responsabile della gestione dei documenti garantisce il coordinamento orizzontale tra i centri di gestione dei documenti e gli altri uffici interessati.

Articolo 11

Gruppo interservizi

È istituito un gruppo interservizi dei responsabili della gestione dei documenti, la cui presidenza è assicurata dal segretariato generale e che ha i compiti seguenti:

Il gruppo interservizi è convocato dal suo presidente o di sua iniziativa o su richiesta di una direzione generale o servizio assimilato.

Articolo 12

Modalità di applicazione

Le modalità d'applicazione delle presenti disposizioni sono stabilite e aggiornate regolarmente dal segretario generale, di concerto con il direttore generale del personale e dell'amministrazione, su proposta del gruppo interservizi dei responsabili della gestione dei documenti.

L'aggiornamento tiene conto in particolare di quanto segue:

Articolo 13

Attuazione all'interno degli uffici

Ogni direttore generale o capo servizio istituisce la struttura organizzativa, amministrativa, materiale e predispone il personale necessario all'attuazione da parte dei suoi uffici delle presenti disposizioni e delle relative modalità d'applicazione.

Articolo 14

Informazione, formazione e supporto

Il segretariato generale e la direzione generale del personale e dell'amministrazione predispongono le azioni d'informazione, di formazione e di supporto necessarie per garantire l'attuazione e l'applicazione delle presenti disposizioni nelle direzioni generali e nei servizi assimilati.

In occasione della definizione delle azioni di formazione, tengono debitamente conto delle necessità delle direzioni generali e dei servizi in materia di formazione e di supporto come riportate dal gruppo interservizi dei responsabili della gestione dei documenti.

Articolo 15

Esecuzione delle disposizioni

Il segretariato generale, in coordinazione con i direttori generali e i capi servizio, vigila sull'esecuzione delle presenti disposizioni.

▼M11 —————

▼M8

---

DISPOSIZIONI DELLA COMMISSIONE RELATIVE AI DOCUMENTI ELETTRONICI E DIGITALIZZATI

Considerando quanto segue:

(1)

L’impiego generalizzato delle nuove tecnologie dell’informazione e della comunicazione da parte della Commissione per l’uso interno e per lo scambio di documenti con il mondo esterno — in particolare con le amministrazioni comunitarie, compresi gli organi incaricati dell’attuazione di specifiche politiche comunitarie, e con le amministrazioni nazionali — fa sì che lo spazio documentale della Commissione contenga un numero sempre maggiore di documenti elettronici e digitalizzati.

(2)

A seguito del Libro bianco sulla riforma della Commissione ( 18 ), le cui azioni 7, 8 e 9 mirano ad assicurare il passaggio alla «e-Commission», e a seguito della comunicazione «Verso la Commissione on-line: Strategia di attuazione per il periodo 2001–2005 (Azioni 7, 8 e 9 del Libro bianco sulla riforma)» ( 19 ), la Commissione ha intensificato, nel suo funzionamento interno e nelle relazioni tra i suoi servizi, lo sviluppo di sistemi informatici che consentano di gestire elettronicamente i documenti e le procedure.

(3)

Con decisione 2002/47/CE, CECA, Euratom ( 20 ), la Commissione ha allegato al suo regolamento interno specifiche disposizioni per la gestione dei documenti, intese a garantire in particolare che essa sia in grado in qualsiasi momento di rendere conto del suo operato. Nella sua comunicazione sulla semplificazione e la modernizzazione della gestione dei suoi documenti ( 21 ), la Commissione si è proposta l’obiettivo a medio termine di istituire un sistema di archiviazione elettronica dei documenti fondato su un complesso di norme e procedimenti comuni per l’insieme dei servizi.

(4)

I documenti devono essere gestiti nel rispetto delle norme di sicurezza che la Commissione è tenuta ad osservare, con particolare riguardo alla classificazione dei documenti ai sensi della decisione (2001/844/CE, CECA, Euratom) ( 22 ), alla protezione dei sistemi d’informazione ai sensi decisione C(95) 1510, ed alla protezione dei dati personali ai sensi del regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio ( 23 ). Lo spazio documentale della Commissione deve quindi essere concepito in modo tale che i sistemi d’informazione, le reti ed i mezzi di trasmissione che lo alimentano siano protetti da misure di sicurezza adeguate.

(5)

Occorre adottare disposizioni che non solo stabiliscano le condizioni di validità, nei confronti della Commissione, dei documenti elettronici e digitalizzati o trasmessi per via elettronica — quando tali condizioni non sono determinate altrove — ma che prescrivano inoltre modalità di conservazione volte a garantire l’integrità e la leggibilità nel tempo dei documenti e dei metadati che li accompagnano per l’intero periodo di conservazione prescritto,

DECIDE:

Articolo 1

Oggetto

Le presenti disposizioni determinano le condizioni di validità, nei confronti della Commissione, dei documenti elettronici e digitalizzati. Esse sono inoltre intese a garantire l’integrità e la leggibilità nel tempo dei documenti stessi e dei metadati che li accompagnano.

Articolo 2

Campo d’applicazione

Le presenti disposizioni si applicano ai documenti elettronici e digitalizzati che siano formati o ricevuti dalla Commissione e che siano tenuti dalla stessa.

Esse possono applicarsi, in via convenzionale, ai documenti elettronici e digitalizzati tenuti da altri organi cui è demandata l’attuazione di specifiche politiche comunitarie o ai documenti scambiati nell’ambito delle reti telematiche tra amministrazioni cui partecipi la Commissione.

Articolo 3

Definizioni

Ai fini delle presenti disposizioni si intende per:

1)

«Documento» : qualsiasi documento ai sensi dell’articolo 3, lettera a), del regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio ( 24 ) e dell’articolo 1 delle disposizioni relative alla gestione dei documenti allegate al regolamento interno della Commissione (di seguito denominate «disposizioni relative alla gestione dei documenti»).

2)

«Documento elettronico» : un insieme di dati scritti o archiviati su qualsiasi tipo di supporto da un sistema informatico o dispositivo analogo, che possano essere letti o percepiti dalle persone o da siffatti sistemi o dispositivi, nonché qualsiasi visualizzazione o riproduzione, stampata o in altra forma, dei dati stessi.

3)

«Digitalizzazione di documenti» : il procedimento consistente nel trasformare un documento formato su supporto cartaceo o su qualsiasi altro tipo di supporto tradizionale in immagine elettronica. La digitalizzazione può riguardare qualsiasi tipo di documento e può essere realizzata partendo da vari supporti quali carta, fax, microforme (microfiche, microfilm), fotografie, videocassette, cassette audio e pellicole.

4)

«Ciclo di vita di un documento» : l’insieme delle fasi o dei periodi di vita di un documento, dalla ricezione o formazione ai sensi dell’articolo 4 delle disposizioni relative alla gestione dei documenti fino al trasferimento negli archivi storici della Commissione e alla messa a disposizione del pubblico ovvero fino alla distruzione ai sensi dell’articolo 7 di tali disposizioni.

5)	«Spazio documentale della Commissione» : l’insieme dei documenti, dei fascicoli e dei metadati prodotti, ricevuti, registrati, classificati e conservati dalla Commissione.

6)	«Integrità» : il fatto che le informazioni contenute nel documento e i metadati che le accompagnano sono completi (tutti i dati sono presenti) ed esatti (tutti i dati sono immutati).

7)

«Leggibilità nel tempo» : il fatto che le informazioni contenute nei documenti e i metadati che le accompagnano rimangono facilmente leggibili, per qualsiasi persona che debba o possa accedervi, durante l’intero ciclo di vita dei documenti, dalla formazione o ricezione fino al trasferimento negli archivi storici della Commissione e loro messa a disposizione del pubblico ovvero fino alla distruzione autorizzata in funzione del periodo di conservazione prescritto.

8)

«Metadati» : i dati che descrivono il contesto, il contenuto e la struttura dei documenti e la loro gestione nel tempo, secondo le disposizioni contenute nelle modalità d’applicazione delle disposizioni relative alla gestione dei documenti, completate dalle modalità d’applicazione delle presenti disposizioni.

9)	«Firma elettronica» : la firma elettronica ai sensi dell’articolo 2, punto 1), della direttiva 1999/93/CE del Parlamento europeo e del Consiglio ( 25 ).

10)	«Firma elettronica avanzata» : la firma elettronica ai sensi dell’articolo 2, punto 2), della direttiva 1999/93/CE.

Articolo 4

Validità dei documenti elettronici

1.  Le disposizioni comunitarie o nazionali che prescrivano l’originale firmato di un determinato documento sono adempiute dal documento elettronico formato o ricevuto dalla Commissione se questo reca una firma elettronica avanzata basata su un certificato qualificato e creata da un dispositivo sicuro di creazione della firma, ovvero una firma elettronica che offra garanzie equivalenti riguardo alle funzioni assegnate alla sottoscrizione.

2.  Le disposizioni comunitarie o nazionali che prescrivano la formazione di un documento scritto, senza tuttavia esigere l’originale firmato, sono adempiute dal documento elettronico formato o ricevuto dalla Commissione se l’autore è debitamente individuato e se il documento stesso è redatto in modo tale da garantire l’integrità del contenuto e dei metadati che lo accompagnano ed è conservato secondo le modalità stabilite dall’articolo 7.

3.  Le disposizioni del presente articolo si applicano a decorrere dal giorno successivo all’adozione delle modalità d’applicazione di cui all’articolo 9.

Articolo 5

Validità dei procedimenti elettronici

1.  I procedimenti interni alla Commissione che richiedano la firma di persone a ciò abilitate o l’accordo di determinate persone in una o più delle loro fasi possono essere gestiti con sistemi informatici purché ciascuna persona sia individuata in modo certo ed inequivocabile ed il sistema offra garanzie di inalterabilità del contenuto, anche per quanto riguarda la successione delle diverse fasi del procedimento.

2.  I procedimenti cui partecipino la Commissione ed altri soggetti e che richiedano la firma di persone a ciò abilitate o l’accordo di determinate persone in una o più delle loro fasi possono essere gestiti con sistemi informatici secondo le modalità e con le garanzie tecniche da stabilirsi mediante apposita convenzione.

Articolo 6

Trasmissione per via elettronica

1.  La trasmissione di documenti da parte della Commissione ad un destinatario interno o esterno può essere effettuata con il mezzo di comunicazione più adatto alle circostanze del caso.

2.  La trasmissione di documenti alla Commissione può essere effettuata con qualsiasi mezzo di comunicazione, ivi compresi i mezzi elettronici quali fax, posta elettronica, modulo elettronico, sito web.

3.  I paragrafi 1 e 2 non si applicano nei casi in cui disposizioni comunitarie o nazionali o convenzioni o accordi tra le parti prescrivano mezzi di trasmissione specifici o formalità di trasmissione particolari.

Articolo 7

Conservazione

1.  La conservazione da parte della Commissione dei documenti elettronici e digitalizzati deve essere assicurata per l’intero periodo prescritto, secondo le seguenti modalità:

2.  Ai fini del paragrafo 1, la Commissione istituisce un sistema di archiviazione elettronica che comprenda l’intero ciclo di vita dei documenti elettronici e digitalizzati.

Le caratteristiche tecniche del sistema di archiviazione elettronica sono stabilite dalle modalità di applicazione di cui all’articolo 9.

Articolo 8

Sicurezza

I documenti elettronici e digitalizzati sono gestiti nel rispetto delle norme di sicurezza vigenti per la Commissione. A tal fine i sistemi d’informazione, le reti ed i mezzi di trasmissione che alimentano lo spazio documentale della Commissione sono protetti da misure di sicurezza adeguate per la classificazione dei documenti, la protezione dei sistemi d’informazione e la tutela dei dati personali.

Articolo 9

Modalità di applicazione

Le modalità di applicazione delle presenti disposizioni sono elaborate in coordinamento con le direzioni generali ed i servizi equiparati e sono adottate dal segretario generale della Commissione di concerto con il direttore generale competente per l’informatica nell’ambito della Commissione.

Esse sono regolarmente aggiornate in base all’evoluzione delle tecnologie dell’informazione e della comunicazione e in seguito ai nuovi obblighi incombenti alla Commissione.

Articolo 10

Applicazione nei servizi

Ciascun direttore generale o capo servizio prende le misure necessarie affinché i documenti, le procedure ed i sistemi elettronici di cui è responsabile siano conformi alle norme stabilite dalle presenti disposizioni e dalle relative modalità di applicazione.

Articolo 11

Esecuzione delle disposizioni

Il Segretariato generale della Commissione è incaricato di vigilare sull’esecuzione delle presenti disposizioni in coordinamento con le direzioni generali ed i servizi equiparati, in particolare con la direzione generale competente per l’informatica nell’ambito della Commissione.

▼M10

---

DISPOSIZIONI DELLA COMMISSIONE CHE ISTITUISCONO IL SISTEMA GENERALE DI ALLARME RAPIDO ARGUS

Considerando quanto segue:

(1)

È opportuno che la Commissione istituisca un sistema generale di allarme rapido che le consenta di potenziare la propria capacità di reazione rapida, efficace e coordinata negli ambiti di sua competenza in situazioni di crisi di natura multisettoriale, indipendentemente dalla causa, che interessano vari settori e richiedono un’azione a livello comunitario.

(2)	In una prima fase il sistema deve essere basato su una rete di comunicazione interna che consenta alle direzioni generali e ai servizi della Commissione di procedere allo scambio di informazioni fondamentali in caso di crisi.

(3)	Tale sistema è riesaminato alla luce dell’esperienza acquisita e dell’evoluzione tecnologica, al fine di garantire l’interconnessione e il coordinamento delle reti specializzate esistenti.

(4)

È necessario definire una procedura di coordinamento adeguata, ai fini del processo decisionale e della gestione di un intervento rapido coordinato e coerente della Commissione in caso di gravi situazioni di crisi multisettoriali e/o multidimensionali, garantendo al contempo sufficiente flessibilità e adattabilità alle esigenze e alle circostanze specifiche di ciascuna crisi e rispettando gli strumenti politici istituiti per reagire a crisi specifiche.

(5)

Il sistema deve rispettare le caratteristiche, la perizia, i dispositivi e gli ambiti di competenza di ciascuno dei sistemi settoriali di allarme rapido che la Commissione ha istituito e che permettono ai suoi servizi di intervenire in caso di crisi specifiche in vari settori dell’attività comunitaria. Esso rispetta inoltre il principio generale di sussidiarietà.

(6)

Poiché la comunicazione è un elemento fondamentale della gestione delle crisi, è necessario prestare particolare attenzione all’informazione del pubblico e alla comunicazione efficace con i cittadini, attraverso la stampa e i vari mezzi di comunicazione e punti di contatto della Commissione, da Bruxelles e/o qualunque altro luogo,

Articolo 1

Il sistema ARGUS

1.  È istituito un sistema generale di allarme e reazione rapidi, al fine di potenziare la capacità della Commissione di fornire una reazione rapida, efficace e coerente in caso di gravi situazioni di crisi di natura multisettoriale che interessano vari settori e richiedono un'azione a livello comunitario, indipendentemente dalla causa di tali crisi.

2.  Il sistema ARGUS è composto di

3.  Tali disposizioni non pregiudicano la decisione 2003/246/CE, Euratom della Commissione sulle procedure operative per la gestione delle crisi.

Articolo 2

La rete di informazione ARGUS

1.  La rete di comunicazione interna costituisce una piattaforma permanente che consente alle direzioni generali e ai servizi della Commissione di condividere in tempo reale informazioni utili sulle crisi multisettoriali e/o multidimensionali emergenti, o su una minaccia prevedibile o imminente di tali crisi, e di coordinare un intervento adeguato negli ambiti di competenza della Commissione.

2.  I principali membri della rete sono: il Segretariato generale; la DG Stampa e comunicazione, compreso il servizio del portavoce; la DG Ambiente; la DG Salute e tutele dei consumatori; la DG Giustizia, libertà e sicurezza; la DG Relazioni esterne; la DG Aiuto umanitario; la DG Personale e amministrazione; la DG Commercio; la DG Informatica; la DG Fiscalità e unione doganale; il Centro comune di ricerca e il Servizio giuridico.

3.  Qualunque altra direzione generale e qualunque altro servizio della Commissione possono essere integrati nella rete, su loro richiesta, purché soddisfino i requisiti minimi di cui al paragrafo 4.

4.  Le direzioni generali e i servizi membri della rete nominano un corrispondente ARGUS e istituiscono un sistema di permanenza adeguato, affinché il servizio possa essere contattato rapidamente e possa reagire tempestivamente in caso di crisi che giustifichi il suo intervento. Il sistema è concepito in modo da consentire l’attuazione di tale misura nel quadro dell’attuale dotazione di risorse umane.

Articolo 3

Procedura di coordinamento da avviare in caso di grave situazione di crisi

1.  In caso di grave situazione di crisi multisettoriale ovvero di minaccia prevedibile o imminente di una tale crisi, il presidente può, di sua iniziativa dopo essere stato avvertito o su richiesta di un membro della Commissione, decidere di avviare una procedura specifica di coordinamento. Il presidente designa inoltre la persona cui sarà affidata la responsabilità politica dell’intervento della Commissione nei confronti di tale crisi: può decidere di assumere egli stesso tale responsabilità o di conferirla a un altro membro della Commissione.

2.  Tale responsabilità implica la direzione e il coordinamento dell’intervento in caso di crisi, la rappresentanza della Commissione nei confronti di altre istituzioni e la comunicazione con il pubblico. Ciò non comporta alcuna modifica delle competenze e dei mandati esistenti in seno al collegio.

3.  Il Segretariato generale, sotto l’autorità del presidente o del membro della Commissione designato responsabile, attiva la struttura operativa per la gestione delle crisi denominata comitato di coordinamento di crisi e descritta all'articolo 4.

Articolo 4

Comitato di coordinamento di crisi

1.  Il comitato di coordinamento di crisi è una struttura operativa specifica per la gestione delle crisi, istituita al fine di dirigere e coordinare l’intervento in caso di crisi, che raggruppa i rappresentanti di tutte le direzioni generali e di tutti i servizi competenti della Commissione. In generale, sono rappresentati in seno al comitato di coordinamento di crisi le direzioni generali e i servizi di cui all’articolo 2, paragrafo 2, nonché le altre direzioni generali e i servizi interessati dalla crisi in questione. Il comitato di coordinamento di crisi si avvale delle risorse e dei mezzi di cui dispongono i servizi.

2.  Il comitato di coordinamento di crisi è presieduto dal segretario generale aggiunto incaricato del coordinamento delle politiche.

3.  Il comitato di coordinamento di crisi è incaricato, in particolare, di valutare e di controllare l’evoluzione della situazione, di identificare i problemi e le possibili soluzioni, al fine di adottare decisioni e misure, di verificare l’esecuzione di tali decisioni e misure e di garantire la coerenza dell’intervento.

4.  Le decisioni concordate in seno al comitato di coordinamento di crisi sono adottate secondo le normali procedure decisionali della Commissione e sono attuate dai servizi e dai sistemi di allarme rapido.

5.  I servizi della Commissione assolvono scrupolosamente, nei rispettivi ambiti di competenza, la gestione dei compiti in relazione all'intervento.

Articolo 5

Manuale delle procedure operative

Il manuale delle procedure operative definisce le modalità di attuazione della presente decisione.

Articolo 6

La Commissione riesamina la presente decisione alla luce dell’esperienza acquisita e degli sviluppi tecnologici entro un anno a decorrere dalla sua entrata in vigore e, se necessario, adotta misure complementari in ordine al funzionamento di ARGUS.

▼M12

---

MODALITÀ DI APPLICAZIONE DEL REGOLAMENTO (CE) N. 1367/2006 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO SULL'APPLICAZIONE ALLE ISTITUZIONI E AGLI ORGANI COMUNITARI DELLE DISPOSIZIONI DELLA CONVENZIONE DI AARHUS SULL'ACCESSO ALLE INFORMAZIONI, LA PARTECIPAZIONE DEL PUBBLICO AI PROCESSI DECISIONALI E L'ACCESSO ALLA GIUSTIZIA IN MATERIA AMBIENTALE

Articolo 1

Accesso alle informazioni ambientali

Il periodo di 15 giorni lavorativi di cui all'articolo 7 del regolamento (CE) n. 1367/2006 decorre dalla data di registrazione della domanda da parte del servizio responsabile della Commissione.

Articolo 2

Partecipazione del pubblico

Ai fini dell'applicazione dell'articolo 9, paragrafo 1, del regolamento (CE) n. 1367/2006, la Commissione garantisce la partecipazione del pubblico secondo quanto stabilito nella comunicazione «Principi generali e requisiti minimi per la consultazione delle parti interessate ad opera della Commissione» ( 26 ).

Articolo 3

Richiesta di riesame interno

Le richieste di riesame interno di un atto amministrativo o riguardanti un'omissione di natura amministrativa sono inviate per posta, via fax o per posta elettronica al servizio responsabile dell'applicazione della disposizione in base alla quale è stato adottato l'atto amministrativo o rispetto alla quale si presume vi sia stata un'omissione amministrativa.

I dati necessari per l'invio sono resi noti al pubblico con tutti i mezzi opportuni.

Se la richiesta è inviata ad un servizio diverso da quello incaricato del riesame, il primo trasmette la richiesta al servizio responsabile.

Qualora il servizio responsabile del riesame non sia la Direzione generale «Ambiente», tale servizio informa quest'ultima della richiesta pervenuta.

Articolo 4

Decisioni riguardanti l'ammissibilità delle richieste di riesame interno

1.  Non appena la richiesta di riesame interno viene registrata, all'organizzazione non governativa che l'ha presentata viene inviata una ricevuta, eventualmente in forma elettronica.

2.  Il servizio della Commissione interessato determina se l'organizzazione non governativa è legittimata a presentare una richiesta di riesame interno a norma della decisione 2008/50/CE della Commissione ( 27 ).

3.  Ai sensi dell'articolo 14 del regolamento interno la facoltà di decidere dell'ammissibilità di una richiesta di riesame interno è delegata al direttore generale o al capo del servizio responsabile.

Le decisioni riguardanti l'ammissibilità della richiesta riguardano tutte le decisioni relative alla legittimazione, ai sensi del paragrafo 2 del presente articolo, dell'organizzazione non governativa autrice della richiesta, alla presentazione della richiesta entro i termini come indicato all'articolo 10, paragrafo 1, secondo comma, del regolamento (CE) n. 1367/2006 e all'indicazione e alla motivazione della richiesta, a norma dell'articolo 1, paragrafi 2 e 3, della decisione 2008/50/CE.

4.  Se il direttore generale o il capo del servizio di cui al paragrafo 3 ritiene che la richiesta di riesame interno non sia ammissibile, in tutto o in parte, l'organizzazione non governativa che l'ha presentata è informata per iscritto, eventualmente per via elettronica, delle motivazioni alla base della decisione.

Articolo 5

Decisioni riguardanti il merito delle richieste di riesame interno

1.  Qualsiasi decisione in base alla quale si determini che l'atto amministrativo di cui si chiede il riesame interno, o l'omissione amministrativa presunta, violi il diritto ambientale è adottata dalla Commissione.

2.  Ai sensi dell'articolo 13 del regolamento interno, il membro della Commissione responsabile di applicare le disposizioni in base alle quali è stato adottato l'atto amministrativo interessato o rispetto alle quali si presume l'omissione amministrativa ha la facoltà di decidere che l'atto amministrativo di cui si chiede il riesame interno, o l'omissione amministrativa presunta, non viola il diritto ambientale.

È vietato subdelegare le facoltà conferite a norma del primo comma.

3.  L'organizzazione non governativa che ha presentato la richiesta è informata dell'esito del riesame per iscritto, eventualmente per via elettronica, e delle relative motivazioni.

Articolo 6

Mezzi di impugnazione

Tutte le risposte finalizzate ad informare l'organizzazione non governativa che la richiesta non è ammissibile, in tutto o in parte, o che l'atto amministrativo di cui si chiede il riesame interno, o l'omissione amministrativa presunta, non viola il diritto ambientale contengono informazioni sui mezzi di impugnazione di cui dispone l'organizzazione non governativa, in particolare l'istruzione di un procedimento giudiziario nei confronti della Commissione o la presentazione di una denuncia al Mediatore o entrambe, secondo quanto stabilito rispettivamente dagli articoli 230 e 195 del trattato CE.

Articolo 7

Informazione al pubblico

Una guida pratica fornisce le opportune informazioni al pubblico sui diritti di cui gode a norma del regolamento (CE) n. 1367/2006.

---

( 1 ) Trattato sull'Unione europea, articolo 17, paragrafo 6, lettera a).

( 2 ) Trattato sull'Unione europea, articolo 17, paragrafo 6, lettera b).

( 3 ) Trattato sul funzionamento dell'Unione europea, articolo 248.

( 4 ) Cfr. nota 3.

( 5 ) Cfr. nota 3.

( 6 ) Trattato sull'Unione europea, articolo 17, paragrafo 6, lettera c).

( 7 ) Trattato sull'Unione europea, articolo 17, paragrafo 6, secondo comma.

( 8 ) GU L 156 del 18.6.2005, pag. 3.

( 9 ) Indirizzo postale: Segretariato generale della Commissione europea, Unità SG/B/2 «Trasparenza, accesso ai documenti, relazioni con la società civile», rue de la Loi/Wetstraat 200, B-1049 Bruxelles [fax: (32-2) 296 72 42].

Indirizzo elettronico: SG-Code-de-bonne-conduite@cec.eu.int

( 10 ) GU n. 17 del 6.10.1958, pag. 406/58.

( 11 ) GU L 151 del 15.6.1990, pag. 1.

( 12 ) GU L 101 dell'11.4.2001, pag. 1.

( 13 ) GU L 145 del 31.5.2001, pag. 43.

( 14 ) Fatti salvi la convenzione di Vienna del 1961 sulle relazioni diplomatiche e il protocollo sui privilegi e le immunità delle Comunità europee dell'8 aprile 1965.

( 15 ) Nell'appendice 1 è riportata una tabella comparativa delle classificazioni di sicurezza UE, NATO, UEO e degli Stati membri.

( 16 ) GU L 145 del 31.5.2001, pag. 43.

( 17 ) GU L 136 del 31.5.1999, pag. 20.

( 18 ) COM(2000) 200.

( 19 ) SEC(2001) 924.

( 20 ) GU L 21 del 24.1.2002, pag. 23.

( 21 ) C(2002) 99 final.

( 22 ) GU L 317 del 3.12.2001, pag. 1.

( 23 ) GU L 8 del 12.1.2001, pag. 1.

( 24 ) GU L 145 del 31.5.2001, pag. 43.

( 25 ) GU L 13 del 19.1.2000, pag. 12.

( 26 ) COM(2002) 704 def.

( 27 ) GU L 13 del 16.1.2008, pag. 24.