15.10.2011

IT

Gazzetta ufficiale dell'Unione europea

C 304/7

---

Decisione dell'Alta rappresentante dell'Unione per gli affari esteri e la politica di sicurezza

del 15 giugno 2011

relativa alle norme di sicurezza del servizio europeo per l’azione esterna

2011/C 304/05

L’ALTA RAPPRESENTANTE,

vista la decisione 2010/427/UE del Consiglio, che fissa l’organizzazione e il funzionamento del servizio europeo per l’azione esterna (SEAE), in particolare l’articolo 10,

visto il parere del comitato di cui all’articolo 10, paragrafo 1, della citata decisione del Consiglio,

considerando quanto segue:

(1)	In quanto organo dell'Unione europea che opera in autonomia funzionale, il SEAE deve essere dotato di norme di sicurezza, come indicato all’articolo 10, paragrafo 1, della decisione 2010/427/UE del Consiglio.

(2)	L’Alta rappresentante deve adottare norme di sicurezza per il SEAE che contemplino tutti gli aspetti della sicurezza affinché quest’ultimo possa gestire efficacemente i rischi per il personale, i beni materiali e le informazioni e assolvere l’obbligo di diligenza che gli incombe a tale riguardo.

(3)

È opportuno che le norme di sicurezza per il SEAE contribuiscano all’elaborazione di un quadro generale completo e più coerente nell’Unione europea per la protezione delle informazioni classificate, sulla base delle norme di sicurezza del Consiglio e delle disposizioni della Commissione in materia di sicurezza.

(4)	Occorre segnatamente dotare il personale, i beni materiali e le informazioni del SEAE di un livello di protezione comparabile alle migliori pratiche applicate al Consiglio, alla Commissione europea e negli Stati membri e, eventualmente, nelle organizzazioni internazionali.

(5)	È opportuno che i principi fondamentali e le norme minime di protezione delle informazioni classificate applicati al SEAE siano equivalenti a quelli vigenti al Consiglio e alla Commissione europea.

(6)	È necessario definire l’organizzazione della sicurezza nel SEAE e l’attribuzione delle mansioni di sicurezza all’interno delle sue strutture.

(7)	L’Alta rappresentante deve adottare tutte le idonee misure necessarie per dare attuazione alle norme di sicurezza con il sostegno degli Stati membri, del Segretariato generale del Consiglio e della Commissione europea.

(8)	L’Alta rappresentante deve, all’occorrenza, avvalersi delle competenze tecniche esistenti negli Stati membri, al Segretariato generale del Consiglio e alla Commissione europea, anche attraverso idonee strutture di sicurezza,

HA ADOTTATO LA PRESENTE DECISIONE:

Articolo 1

Oggetto e ambito di applicazione

1.   La presente decisione stabilisce le norme di sicurezza applicabili al Servizio europeo per l'azione esterna (di seguito «norme di sicurezza SEAE»). Essa definisce il quadro normativo generale che gli consente di effettuare una gestione efficace dei rischi per il personale, i beni materiali e le informazioni e di assolvere l’obbligo di diligenza che gli incombe a tale riguardo.

2.   Le norme di sicurezza SEAE si applicano al personale SEAE (funzionari e altri agenti, esperti nazionali distaccati e agenti locali) e a tutto il personale delle delegazioni dell'Unione a prescindere dalla situazione amministrativa o dalla provenienza (di seguito «il personale»).

3.   L’Alta rappresentante adotta tutte le misure necessarie per mettere in pratica dette norme nel SEAE e per dotarsi delle capacità necessarie per coprire tutti gli aspetti della sicurezza, con il sostegno dei servizi competenti degli Stati membri, del Segretariato generale del Consiglio e della Commissione.

4.   Se necessario, dall’entrata in vigore della presente decisione possono trovare applicazione disposizioni transitorie attraverso accordi a livello di servizi con i servizi competenti del Segretariato generale del Consiglio e della Commissione.

5.   L’Alta rappresentante procede a una revisione periodica delle norme di sicurezza. Nell’applicazione della presente decisione, l’Alta rappresentante assicura la coerenza generale.

6.   Su raccomandazione del comitato di cui all’articolo 9, paragrafo 6, l’Alta rappresentante approva, ove necessario, politiche di sicurezza che esplicitino le misure destinate ad attuare la presente decisione. Il comitato può stabilire, al suo livello di competenza, orientamenti di sicurezza intesi a integrare o sostenere la presente decisione.

7.   Nell’attuazione del paragrafo 6, il comitato tiene pienamente conto delle politiche e degli orientamenti in materia di sicurezza in vigore al Consiglio e alla Commissione europea per garantire la coerenza tra le misure di sicurezza del SEAE, del Consiglio e della Commissione.

Articolo 2

Gestione dei rischi per la sicurezza

1.   Nel definire le proprie esigenze in materia di sicurezza, il SEAE applica una metodologia generale di valutazione dei rischi per la sicurezza consultandosi con l’ufficio di sicurezza del Segretariato generale e la direzione «Sicurezza» della Commissione europea. Per la sua attuazione nel SEAE è consultato il comitato di cui all'articolo 9, paragrafo 6.

2.   I rischi per il personale, i beni materiali e le informazioni sono gestiti secondo una procedura volta a determinare i rischi conosciuti per la sicurezza, a definire le misure di sicurezza per contenere tali rischi entro un livello accettabile e ad applicarle secondo il concetto di difesa in profondità. L'efficacia di tali misure è sottoposta a costante valutazione.

3.   I ruoli, le responsabilità e i compiti stabiliti nella presente decisione non pregiudicano la responsabilità di ciascun membro del personale SEAE di comportarsi secondo buon senso e discernimento rispetto alla propria incolumità e sicurezza, e a rispettare l’obbligo di attenersi a tutte le norme, regolamenti, procedure e istruzioni di sicurezza applicabili.

4.   Il SEAE prende tutte le misure del caso per garantire la sicurezza del personale, dei beni materiali e delle informazioni e per prevenire danni ragionevolmente prevedibili, conformemente all'articolo 1, paragrafo 3.

5.   Le misure di sicurezza del SEAE intese a proteggere informazioni classificate nel corso del loro ciclo di vita sono commisurate in particolare alla rispettiva classificazione di sicurezza, alla forma e al volume delle informazioni o dei materiali, all'ubicazione e alla configurazione delle strutture in cui sono conservate le informazioni classificate e alla minaccia, compresa la valutazione locale della minaccia di attività dolose e/o criminali, compreso lo spionaggio, il sabotaggio e il terrorismo.

Articolo 3

Protezione dell’informazione

1.   L’Alta rappresentante, dopo aver consultato il comitato di cui all'articolo 10, paragrafo 1 della decisione 2010/427/UE del Consiglio che fissa l'organizzazione e il funzionamento del SEAE, stabilisce norme per la protezione delle informazioni classificate equivalenti a quelle previste dalla decisione 2011/292/UE del Consiglio sulle norme di sicurezza per la protezione delle informazioni classificate UE (1) (di seguito «ICUE»). Nelle more dell'adozione di dette norme, il SEAE applica, mutatis mutandis, le menzionate norme di sicurezza del Consiglio. L’Alta rappresentante adotta tutte le misure necessarie per attuare tali norme nel SEAE, conformemente all’articolo 1, paragrafo 3.

2.   Quando gli Stati membri introducono nelle strutture o nelle reti del SEAE informazioni classificate che recano un contrassegno di classifica di sicurezza nazionale, il SEAE protegge tali informazioni conformemente ai requisiti applicabili alle ICUE di livello equivalente, come indicato nelle norme applicabili ai sensi dell’articolo 3, paragrafo 1.

3.   Le misure di sicurezza nel SEAE per la protezione delle informazioni sensibili non classificate sono commisurate alla loro sensibilità e/o alle conseguenze di una loro divulgazione non autorizzata per gli interessi dell'UE.

Articolo 4

Sicurezza materiale

1.   Adeguate misure di sicurezza materiale, comprese modalità di controllo d’accesso, sono applicate per tutti i locali, edifici, uffici, sale e altre zone nel SEAE, così come per le aree in cui sono installati i sistemi di comunicazione e di informazione che gestiscono informazioni classificate. Dette misure tengono conto dell’architettura e della pianificazione degli edifici.

2.   Se necessario, sono introdotte misure di sicurezza materiale per la protezione del personale e delle rispettive persone a carico.

3.   Le misure di cui ai paragrafi 1 e 2 sono commisurate alla valutazione del rischio a cui sono esposti il personale e i visitatori, i beni materiali e le informazioni.

4.   Le aree nel SEAE in cui sono conservate le informazioni classificate di livello CONFIDENTIEL UE/EU CONFIDENTIAL, superiore o equivalente, sono definite «zone sicure», conformemente alle norme stabilite all’articolo 3, paragrafo 1, e sono approvate dalla competente autorità di sicurezza del SEAE.

Articolo 5

Nulla osta di sicurezza per il personale

1.   L’accesso alle informazioni classificate e le procedure di concessione del nulla osta di sicurezza per il personale sono disciplinati dalle disposizioni previste nelle norme di cui all’articolo 3, paragrafo 1.

2.   Il personale le cui mansioni possono richiedere l'accesso a informazioni classificate di livello CONFIDENTIEL UE/EU CONFIDENTIAL, superiore o equivalente, è dotato del nulla osta di sicurezza di livello adeguato prima di poter accedere a dette informazioni classificate. Tuttavia, agli agenti locali non è concesso l’accesso alle ICUE ad eccezione e nel rispetto delle condizioni stabilite nelle norme ai sensi dell’articolo 3, paragrafo 1.

3.   Le procedure per il nulla osta di sicurezza del personale SEAE sono stabilite nelle norme di cui all’articolo 3, paragrafo 1. Tali procedure assicurano un livello di sicurezza equivalente a quello fornito dalle procedure applicate alla Commissione europea e al Segretariato generale del Consiglio.

Articolo 6

Sicurezza dei sistemi di comunicazione e informazione

1.   Il SEAE protegge le informazioni trattate nei sistemi di comunicazione e informazione dalle minacce alla riservatezza, integrità, disponibilità, autenticità e non disconoscibilità.

2.   Tutti i sistemi di comunicazione e informazione che trattano informazioni classificate sono sottoposti a una procedura di accreditamento. Il SEAE applica un sistema di gestione degli accreditamenti di sicurezza concertato con il Segretariato generale del Consiglio e la Commissione europea.

3.   Qualora la protezione delle ICUE sia assicurata mediante prodotti crittografici, tali prodotti sono approvati dall'autorità di approvazione degli apparati crittografici (CAA) del SEAE sulla base di una raccomandazione del comitato di cui all’articolo 10, paragrafo 1, della decisione 2010/427/UE del Consiglio che fissa l’organizzazione e il funzionamento del SEAE, in conformità dell’articolo 10 della decisione 2011/292/UE del Consiglio sulle norme di sicurezza per la protezione delle informazioni classificate UE.

4.   L’Alta rappresentante stabilisce, ai sensi dell’articolo 3, paragrafo 1, le seguenti funzioni in materia di garanzia di sicurezza delle informazioni, nella misura necessaria:

a)	un’Autorità per la garanzia di sicurezza delle informazioni;

b)	un'autorità TEMPEST;

c)	un'Autorità di approvazione degli apparati crittografici (CAA);

d)	un'Autorità di distribuzione degli apparati crittografici (CDA).

5.   Per ciascun sistema, l’Alta rappresentante stabilisce le seguenti funzioni ai sensi dell’articolo 3, paragrafo 1:

a)	un'Autorità di accreditamento di sicurezza (SAA);

b)	un’Autorità operativa per la garanzia di sicurezza delle informazioni.

Articolo 7

Sensibilizzazione alla sicurezza e formazione

1.   L’Alta rappresentante provvede a che adeguati programmi per la sensibilizzazione alla sicurezza e le relative attività di formazione siano elaborati e attuati nel SEAE, e che i membri del personale, e se del caso le persone a loro carico, ricevano le necessarie istruzioni sulla sensibilizzazione e la formazione, proporzionate al rischio esistente nel loro luogo di residenza.

2.   Prima che sia loro accordato l'accesso alle informazioni classificate, e successivamente ad intervalli regolari, i membri del personale sono resi edotti e consapevoli delle proprie responsabilità in materia di protezione delle ICUE, conformemente alle norme di cui all’articolo 3, paragrafo 1.

Articolo 8

Violazione della sicurezza e compromissione di informazioni classificate

1.   Qualsiasi violazione o sospetta violazione della sicurezza è immediatamente riferita alla direzione «Sicurezza» del SEAE, che ne informa le rispettive autorità della Commissione, del Segretariato generale del Consiglio o eventualmente degli Stati membri.

2.   Qualora sia noto o vi siano ragionevoli motivi di ritenere che vi sia stata compromissione o perdita di informazioni classificate, la direzione «Sicurezza» del SEAE informa la direzione «Sicurezza» della Commissione europea, il Segretariato generale del Consiglio o gli Stati membri, come appropriato, e adotta tutte le misure adeguate conformemente all’articolo 3, paragrafo 1.

3.   Un membro del personale che si sia reso responsabile di una violazione delle norme di sicurezza contenute nella presente decisione è passibile di azione disciplinare secondo le disposizioni legislative e regolamentari applicabili. Qualsiasi persona che si sia resa responsabile della compromissione o della perdita di informazioni classificate è passibile di sanzioni disciplinari e/o azioni legali secondo le disposizioni legislative, normative e regolamentari applicabili.

Articolo 9

Organizzazione della sicurezza nel SEAE

1.   L’Alta rappresentante è Autorità di sicurezza del SEAE. In tale veste, l’Alta rappresentante assicura segnatamente che:

a)

le misure di sicurezza siano coordinate, come necessario, con le competenti autorità degli Stati membri, il Segretariato generale del Consiglio e la Commissione europea e, se del caso, paesi terzi o organizzazioni internazionali, su tutti gli aspetti della sicurezza pertinenti per le attività del SEAE, compresa la natura delle minacce alla sicurezza del personale, ai beni materiali e alle informazioni e i mezzi di protezione da tali minacce;

b)	si tenga pienamente conto degli aspetti della sicurezza fin dall’avvio di tutte le attività del SEAE;

c)	il personale SEAE sia dotato del «nulla osta di sicurezza personale UE» conformemente all'articolo 5, paragrafo 2, prima di poter accedere a informazioni classificate di livello CONFIDENTIEL UE/EU CONFIDENTIAL, superiore o equivalente;

d)

il SEAE sia dotato di un sistema di registrazione a fini di sicurezza in grado di assicurare che le informazioni classificate siano trattate nel rispetto delle norme di cui all'articolo 3, paragrafo 1 e che sia conservata una registrazione di tutte le informazioni classificate trasmesse dal SEAE a paesi terzi o organizzazioni internazionali, così come di tutte le informazioni classificate ricevute da paesi terzi o da organizzazioni internazionali;

e)	siano effettuate ispezioni di sicurezza, come da articolo 11;

f)	siano condotte indagini su violazioni di sicurezza, accertate o sospette, comprese compromissioni o perdite di informazioni classificate detenute o originate dal SEAE e che venga chiesto alle competenti autorità di sicurezza di partecipare a tali indagini;

g)	per fornire una risposta tempestiva ed efficace agli incidenti in materia di sicurezza, siano stabiliti idonei piani e meccanismi di gestione degli incidenti e delle relative conseguenze;

h)	siano adottate adeguate misure nel caso di inosservanza della presente decisione da parte del personale.

2.   L’Alta rappresentante può concludere, se del caso, accordi amministrativi, in particolare con riferimento allo scambio di informazioni classificate con paesi terzi o organizzazioni internazionali, fatto salvo l'articolo 218, paragrafo 3, del trattato sul funzionamento dell'Unione europea (TFUE). Il comitato di cui all'articolo 9, paragrafo 6, è consultato prima della firma di tali accordi.

3.   Il Segretario generale esecutivo provvede ad attuare idonee misure materiali e organizzative per la sicurezza del personale e dei visitatori, dei beni materiali e delle informazioni in tutti i locali del SEAE. Il Segretario generale esecutivo è assistito nelle sue mansioni dal direttore esecutivo e dalla direzione «Sicurezza» del SEAE.

4.   Il SEAE comprende una direzione «Sicurezza», responsabile dell’organizzazione di tutte le questioni in materia di sicurezza nel SEAE, che resta a disposizione e, all’occorrenza, può riferire all’Alta rappresentante nel rispetto del suo mandato. Conformemente all’articolo 10, paragrafo 3, della decisione 2010/427/UE del Consiglio che fissa l’organizzazione e il funzionamento del SEAE, la direzione «Sicurezza» è assistita dai competenti servizi degli Stati membri.

5.   Il Capo di ciascuna delegazione dell’Unione è responsabile dell’attuazione delle misure relative alla sicurezza della delegazione e gestisce la sicurezza del personale e dei visitatori, dei beni materiali e delle informazioni della delegazione. È assistito in queste mansioni dalla direzione «Sicurezza» del SEAE, dal personale della delegazione che svolge specifici compiti e funzioni e da personale di sicurezza assegnato laddove sia necessario.

6.   È istituito un Comitato per la sicurezza. L’Alta rappresentante consulta il Comitato per la sicurezza, che esamina e valuta ogni questione inerente alla sicurezza nell’ambito di applicazione della presente decisione e, all’occorrenza, formula raccomandazioni. Il Comitato per la sicurezza è composto da esperti in materia di sicurezza in rappresentanza di ciascuno Stato membro, del Segretariato generale del Consiglio e della direzione «Sicurezza» della Commissione europea. È presieduto dall’Alta rappresentante, o da un delegato designato, e si riunisce secondo le istruzioni dell’Alta rappresentante o a richiesta di uno dei suoi membri. Il Comitato per la sicurezza organizza le proprie attività in modo da essere in grado di formulare raccomandazioni su qualsiasi questione specifica in materia di sicurezza nell’ambito di applicazione della presente decisione.

7.   Il Capo della direzione «Sicurezza» del SEAE si riunisce periodicamente, e ogniqualvolta sia necessario, con il direttore della sicurezza del Segretariato generale del Consiglio e il direttore della direzione «Sicurezza» della Commissione europea per discutere argomenti di interesse comune.

Articolo 10

Sicurezza delle missioni PSDC e EUSR

Le responsabilità di ciascun Capo missione o rappresentante speciale dell’UE (EUSR) in relazione alla sicurezza della missione o del gruppo sono stabilite nella decisione del Consiglio che istituisce la missione o nomina il rappresentante speciale UE. Ciascun Capo missione o EUSR può essere assistito dalla direzione «Sicurezza» del SEAE nell'assicurare che sia correttamente applicata la politica approvata dal Consiglio sulla sicurezza del personale in servizio al di fuori dell'Unione europea nell'ambito di una capacità operativa costituita in virtù del titolo V, capo 2, del trattato sull'Unione europea. A tal fine sono istituiti adeguati meccanismi di collegamento.

Articolo 11

Ispezioni di sicurezza

1.   L’Alta rappresentante assicura che siano effettuate ispezioni di sicurezza per verificare il rispetto delle norme e regolamenti di sicurezza per la protezione del personale, dei beni materiali e delle informazioni nel SEAE e nelle missioni istituite ai sensi del titolo V, capo 2, del TUE.

2.   Se necessario, il SEAE può avvalersi delle competenze tecniche esistenti negli Stati membri, al Segretariato generale del Consiglio e alla Commissione europea.

3.   L’Alta rappresentante adotta un programma annuale di ispezioni di sicurezza.

Articolo 12

Pianificazione della continuità operativa

La direzione «Sicurezza» del SEAE assiste il Segretario generale esecutivo nella gestione degli aspetti relativi alla sicurezza delle attività del SEAE come parte della pianificazione della continuità operativa del SEAE.

Articolo 13

Entrata in vigore

La presente decisione entra in vigore alla data della firma.

---

(1)  Decisione 2011/292/UE del Consiglio, del 31 marzo 2011, sulle norme di sicurezza per la protezione delle informazioni classificate UE (GU L 141 del 27.5.2011, pag. 17).

---