EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32013D0488

2013/488/UE: Decisione del Consiglio, del 23 settembre 2013 , sulle norme di sicurezza per proteggere le informazioni classificate UE

OJ L 274, 15.10.2013, p. 1–50 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

In force: This act has been changed. Current consolidated version: 30/12/2019

ELI: http://data.europa.eu/eli/dec/2013/488/oj

15.10.2013   

IT

Gazzetta ufficiale dell'Unione europea

L 274/1


DECISIONE DEL CONSIGLIO

del 23 settembre 2013

sulle norme di sicurezza per proteggere le informazioni classificate UE

(2013/488/UE)

IL CONSIGLIO DELL’UNIONE EUROPEA,

visto il trattato sul funzionamento dell’Unione europea, in particolare l’articolo 240, paragrafo 3,

vista la decisione 2009/937/UE del Consiglio, del 1o dicembre 2009, relativa all’adozione del suo regolamento interno (1), in particolare l’articolo 24,

considerando quanto segue:

(1)

Al fine di sviluppare le attività del Consiglio in tutti i settori che richiedono il trattamento di informazioni classificate, è opportuno porre in essere un sistema di sicurezza globale per la protezione delle informazioni classificate riguardante il Consiglio, il suo segretariato generale e gli Stati membri.

(2)

La presente decisione dovrebbe applicarsi qualora il Consiglio, i suoi organi preparatori e il segretariato generale del Consiglio (SGC) trattino informazioni classificate UE (ICUE).

(3)

In conformità delle disposizioni legislative e regolamentari nazionali e nella misura richiesta per il funzionamento del Consiglio, gli Stati membri dovrebbero rispettare la presente decisione nei casi in cui le loro autorità competenti, il loro personale e i loro contraenti trattino ICUE, affinché tutti possano avere la certezza che un livello equivalente di protezione è assicurato alle ICUE.

(4)

Il Consiglio, la Commissione e il servizio europeo per l’azione esterna (SEAE) si impegnano ad applicare norme di sicurezza equivalenti per proteggere le ICUE.

(5)

Il Consiglio sottolinea l’importanza di associare, ove opportuno, il Parlamento europeo ed altri istituzioni, organi o organismi dell’Unione a principi, norme e regole per proteggere le informazioni classificate che sono necessari per salvaguardare gli interessi dell’Unione e dei suoi Stati membri.

(6)

È opportuno che il Consiglio stabilisca un quadro appropriato per la condivisione di ICUE detenute dal Consiglio con altre istituzioni, organi o organismi dell’Unione, se del caso, conformemente alla presente decisione e agli accordi interistituzionali in vigore.

(7)

Gli organi e organismi dell’Unione istituiti ai sensi del titolo V, capo 2, del trattato sull’Unione europea (TUE), Europol ed Eurojust dovrebbero applicare, nel contesto della rispettiva organizzazione interna, i principi di base e le norme minime contenute nella presente decisione per proteggere le ICUE, ove previsto nell’atto istitutivo.

(8)

Le operazioni di gestione delle crisi stabilite ai sensi del titolo V, capo 2, TUE ed il relativo personale dovrebbero applicare le norme di sicurezza adottate dal Consiglio per proteggere le ICUE, ove previsto nell’atto istitutivo del Consiglio.

(9)

I rappresentanti speciali dell’UE e i membri delle loro squadre dovrebbero applicare le norme di sicurezza adottate dal Consiglio per proteggere le ICUE, ove previsto nel pertinente atto del Consiglio.

(10)

La presente decisione non pregiudica gli articoli 15 e 16 del trattato sul funzionamento dell’Unione europea (TFUE) e i relativi strumenti di attuazione.

(11)

La presente decisione non pregiudica le pratiche vigenti negli Stati membri per quanto riguarda l’informazione dei parlamenti nazionali in merito alle attività dell’Unione.

(12)

Per garantire l’applicazione delle norme di sicurezza per proteggere le ICUE in tempo utile per quanto riguarda l’adesione della Repubblica di Croazia all’Unione europea, la presente decisione dovrebbe entrare in vigore alla data della pubblicazione,

HA ADOTTATO LA PRESENTE DECISIONE:

Articolo 1

Oggetto, ambito di applicazione e definizioni

1.   La presente decisione stabilisce i principi fondamentali e le norme minime di sicurezza per proteggere le ICUE.

2.   Tali principi fondamentali e norme minime di sicurezza si applicano al Consiglio e all’SGC e sono rispettati dagli Stati membri conformemente alle loro rispettive disposizioni legislative e regolamentari nazionali, affinché tutti possano avere la certezza che un livello equivalente di protezione è assicurato alle ICUE.

3.   Ai fini della presente decisione, si applicano le definizioni che figurano nell’appendice A.

Articolo 2

Definizione delle ICUE, delle classifiche e dei contrassegni di sicurezza

1.   Per «informazioni classificate UE» (ICUE) si intende qualsiasi informazione o qualsiasi materiale designati da una classifica di sicurezza UE, la cui divulgazione non autorizzata potrebbe recare in varia misura pregiudizio agli interessi dell’Unione europea o di uno o più Stati membri.

2.   Le ICUE sono classificate ad uno dei seguenti livelli:

a)

TRÈS SECRET UE/EU TOP SECRET: informazioni e materiali la cui divulgazione non autorizzata potrebbe arrecare danni di eccezionale gravità agli interessi fondamentali dell’Unione europea o di uno o più Stati membri;

b)

SECRET UE/EU SECRET: informazioni e materiali la cui divulgazione non autorizzata potrebbe ledere gravemente gli interessi fondamentali dell’Unione europea o di uno o più Stati membri;

c)

CONFIDENTIEL UE/EU CONFIDENTIAL: informazioni e materiali la cui divulgazione non autorizzata potrebbe ledere gli interessi fondamentali dell’Unione europea o di uno o più Stati membri;

d)

RESTREINT UE/EU RESTRICTED: informazioni e materiali la cui divulgazione non autorizzata potrebbe essere pregiudizievole per gli interessi dell’Unione europea o di uno o più Stati membri.

3.   Le ICUE recano un contrassegno di classifica di sicurezza conformemente al paragrafo 2. Esse possono recare contrassegni supplementari intesi a designare il settore di attività cui si riferiscono, identificare l’originatore, limitare la distribuzione, restringere l’uso o indicare la divulgabilità.

Articolo 3

Gestione delle classifiche

1.   Le autorità competenti garantiscono che le ICUE siano adeguatamente classificate, chiaramente identificate quali informazioni classificate e conservino il loro livello di classifica solo per il tempo necessario.

2.   Le ICUE non sono declassate o declassificate e i contrassegni di cui all’articolo 2, paragrafo 3, sono modificati o rimossi senza il previo consenso scritto dell’originatore.

3.   Il Consiglio approva una politica di sicurezza sulla creazione di ICUE che comprende una guida pratica per la classificazione.

Articolo 4

Protezione di informazioni classificate

1.   Le ICUE sono protette conformemente alla presente decisione.

2.   Il detentore di qualsiasi ICUE è responsabile della loro protezione conformemente alla presente decisione.

3.   Quando gli Stati membri introducono informazioni classificate che recano un contrassegno di classifica di sicurezza nazionale nelle strutture o nelle reti dell’Unione, il Consiglio e l’SGC proteggono tali informazioni conformemente ai requisiti applicabili alle ICUE di livello equivalente come indicato nella tabella di equivalenza delle classifiche di sicurezza che figura nell’appendice B.

4.   Un insieme di ICUE può richiedere un livello di protezione corrispondente a una classifica più elevata di quella dei singoli componenti.

Articolo 5

Gestione del rischio di sicurezza

1.   Il rischio per le ICUE è gestito secondo una procedura. Tale procedura è volta a determinare i rischi noti per la sicurezza, a definire le misure di sicurezza per contenere tali rischi entro un livello accettabile conformemente ai principi fondamentali e alle norme minime stabiliti nella presente decisione, e ad applicare tali misure secondo il concetto di difesa in profondità definito nell’appendice A. L’efficacia di tali misure è valutata costantemente.

2.   Le misure di sicurezza per proteggere le ICUE nel corso di tutto il loro ciclo di vita sono commisurate in particolare alla rispettiva classifica di sicurezza, alla forma e al volume delle informazioni o dei materiali, all’ubicazione e alla costruzione delle strutture in cui sono conservate le ICUE e alla valutazione a livello locale della minaccia di attività dolose e/o criminali, compreso lo spionaggio, il sabotaggio e il terrorismo.

3.   I piani di emergenza tengono conto della necessità di proteggere le ICUE in situazioni di emergenza onde evitare l’accesso non autorizzato, la divulgazione o la perdita di integrità o di disponibilità.

4.   I piani di continuità operativa comprendono misure di prevenzione e recupero per minimizzare l’impatto di disfunzioni o incidenti gravi nel trattamento e nella conservazione delle ICUE.

Articolo 6

Attuazione della presente decisione

1.   Se necessario il Consiglio, su raccomandazione del Comitato per la sicurezza, approva politiche di sicurezza che esplicitano le misure destinate ad attuare la presente decisione.

2.   Il Comitato per la sicurezza può stabilire, per quanto di sua competenza, orientamenti di sicurezza intesi a integrare o sostenere la presente decisione e ogni eventuale politica di sicurezza approvata dal Consiglio.

Articolo 7

Sicurezza del personale

1.   Per «sicurezza del personale» s’intende l’applicazione di misure volte a garantire che l’accesso alle ICUE sia consentito solo alle persone che:

hanno necessità di conoscere;

hanno ottenuto il nulla osta di sicurezza del livello adatto, ove opportuno; e

sono state informate delle proprie responsabilità.

2.   Le procedure per il nulla osta di sicurezza del personale sono intese a determinare se una persona, in considerazione della sua lealtà, onestà e affidabilità, può essere autorizzata ad accedere alle ICUE.

3.   Tutte le persone in seno all’SGC le cui mansioni richiedono l’accesso a ICUE di livello CONFIDENTIEL UE/EU CONFIDENTIAL o superiore, o il trattamento di tali informazioni, dispongono del nulla osta di sicurezza del livello adatto prima di poter accedere a dette ICUE. Tali persone devono essere autorizzate dall’autorità dell’SGC che ha il potere di nomina ad accedere a ICUE fino a uno specifico livello e a una data stabilita.

4.   Il personale degli Stati membri di cui all’articolo 15, paragrafo 3, le cui mansioni possono richiedere l’accesso a ICUE di livello CONFIDENTIEL UE/EU CONFIDENTIAL o superiore dispone del nulla osta di sicurezza del livello adatto o è in altro modo debitamente autorizzato in virtù delle sue funzioni, conformemente alle disposizioni legislative e regolamentari nazionali, prima di poter accedere a dette ICUE.

5.   Prima che sia loro accordato l’accesso a ICUE, e successivamente ad intervalli regolari, tutte le persone sono informate e riconoscono le proprie responsabilità in materia di protezione delle ICUE conformemente alla presente decisione.

6.   Le disposizioni di attuazione del presente articolo figurano nell’allegato I.

Articolo 8

Sicurezza materiale

1.   Per «sicurezza materiale» si intende l’applicazione di misure di protezione materiali e tecniche volte ad impedire l’accesso non autorizzato alle ICUE.

2.   Le misure di sicurezza materiale sono intese ad impedire ad intrusi l’ingresso fraudolento o con la forza, a scoraggiare, ostacolare e scoprire azioni non autorizzate e a consentire la segregazione del personale per quanto riguarda il loro accesso alle ICUE in base al principio della necessità di conoscere. Tali misure sono determinate sulla base di una procedura di gestione del rischio.

3.   Le misure di sicurezza materiale sono attuate per tutti i locali, gli edifici, gli uffici, le stanze o altre zone in cui le ICUE sono trattate o conservate, comprese le zone che contengono i sistemi di comunicazione e informazione definiti all’articolo 10, paragrafo 2.

4.   Le zone in cui sono conservate ICUE di livello CONFIDENTIEL UE/EU CONFIDENTIAL o superiore sono costituite come zone sicure conformemente all’allegato II e approvate dall’autorità di sicurezza competente.

5.   Per proteggere le ICUE di livello CONFIDENTIEL UE/EU CONFIDENTIAL o superiore si usano solo attrezzature o dispositivi approvati.

6.   Le disposizioni di attuazione del presente articolo figurano nell’allegato II.

Articolo 9

Gestione delle informazioni classificate

1.   Per «gestione delle informazioni classificate» si intende l’applicazione delle misure amministrative intese a controllare le ICUE per tutto il loro ciclo di vita al fine di integrare le misure previste agli articoli 7, 8 e 10 e in tal modo contribuire a scoraggiare e scoprire casi di compromissione o perdita intenzionale o accidentale di tali informazioni. Dette misure riguardano in particolare la creazione, la registrazione, la copiatura, la traduzione, il declassamento, la declassificazione, il trasporto e la distruzione di ICUE.

2.   Le informazioni classificate di livello CONFIDENTIEL UE/EU CONFIDENTIAL o superiore sono registrate a fini di sicurezza prima della diffusione e all’atto della ricezione. Le autorità competenti dell’SGC e degli Stati membri istituiscono un sistema di registrazione a tal fine. Le informazioni classificate di livello TRÈS SECRET UE/EU TOP SECRET sono registrate in uffici di registrazione dedicati.

3.   I servizi ed i locali in cui sono trattate o conservate ICUE sono sottoposti a ispezioni periodiche da parte dell’autorità di sicurezza competente.

4.   Le ICUE sono veicolate tra i servizi e i locali al di fuori delle zone oggetto di protezione materiale secondo le modalità seguenti:

a)

di norma, le ICUE sono trasmesse con mezzi elettronici protetti mediante prodotti crittografici approvati conformemente all’articolo 10, paragrafo 6;

b)

qualora non siano usati i mezzi di cui alla lettera a), le ICUE sono trasportate:

i)

su supporti elettronici (ad esempio chiave USB, CD, disco rigido) protetti mediante prodotti crittografici approvati conformemente all’articolo 10, paragrafo 6; o

ii)

in tutti gli altri casi, secondo quanto prescritto dall’autorità di sicurezza competente, conformemente alle pertinenti misure di protezione di cui all’allegato III.

5.   Le disposizioni di attuazione del presente articolo figurano negli allegati III e IV.

Articolo 10

Protezione delle ICUE trattate nei sistemi di comunicazione e informazione

1.   Per «garanzia di sicurezza delle informazioni (IA) nel campo dei sistemi di comunicazione e informazione» si intende la fiducia nel fatto che tali sistemi proteggeranno le informazioni che trattano e funzioneranno nel modo dovuto e a tempo debito sotto il controllo degli utenti legittimi. Una IA efficace garantisce gli adeguati livelli di riservatezza, integrità, disponibilità, non disconoscibilità e autenticità. L’IA si basa su una procedura di gestione del rischio.

2.   Per «sistema di comunicazione e informazione» (CIS) si intende ogni sistema che consente il trattamento delle informazioni in forma elettronica. Un CIS comprende l’insieme delle risorse necessarie al suo funzionamento, ivi compresi l’infrastruttura, l’organizzazione, il personale e le risorse dell’informazione. La presente decisione si applica ai CIS che trattano ICUE.

3.   I CIS trattano le ICUE conformemente al concetto di IA.

4.   Tutti i CIS sono sottoposti a una procedura di accreditamento. L’accreditamento ha lo scopo di ottenere la garanzia che sono state messe in atto tutte le misure di sicurezza adeguate e che si è raggiunto un livello sufficiente di protezione delle ICUE e del CIS, conformemente alla presente decisione. La dichiarazione di accreditamento determina il livello di classifica più elevato delle informazioni che può essere trattato in un CIS nonché i termini e le condizioni ivi associati.

5.   Sono attuate misure di sicurezza per proteggere i CIS che trattano informazioni classificate di livello CONFIDENTIEL UE/EU CONFIDENTIAL e superiore in modo tale che tali informazioni non possano essere compromesse da radiazioni elettromagnetiche non intenzionali («misure di sicurezza TEMPEST»). Dette misure di sicurezza sono commisurate al rischio di sfruttamento e al livello di classifica delle informazioni.

6.   Qualora la protezione delle ICUE sia assicurata mediante prodotti crittografici, tali prodotti sono approvati secondo le modalità seguenti:

a)

la riservatezza delle informazioni classificate di livello SECRET UE/EU SECRET e superiore è protetta mediante prodotti crittografici approvati dal Consiglio in quanto autorità di approvazione degli apparati crittografici (CAA), su raccomandazione del Comitato per la sicurezza;

b)

la riservatezza delle informazioni classificate di livello CONFIDENTIEL UE/EU CONFIDENTIAL o RESTREINT UE/EU RESTRICTED è protetta mediante prodotti crittografici approvati dal segretario generale del Consiglio («segretario generale») in quanto CAA, su raccomandazione del Comitato per la sicurezza.

In deroga alla lettera b), all’interno dei sistemi nazionali degli Stati membri la riservatezza delle ICUE di livello CONFIDENTIEL UE/EU CONFIDENTIAL o RESTREINT UE/EU RESTRICTED può essere protetta mediante prodotti crittografici approvati dalla CAA di uno Stato membro.

7.   Durante la trasmissione di ICUE con mezzi elettronici si usano prodotti crittografici approvati. In deroga a tale requisito, si possono applicare procedure specifiche in particolari situazioni di emergenza o in configurazioni tecniche specifiche di cui all’allegato IV.

8.   Le autorità competenti dell’SGC e degli Stati membri stabiliscono rispettivamente le seguenti funzioni relative alla IA:

a)

un’autorità IA (IAA);

b)

un’autorità TEMPEST (TA);

c)

un’autorità di approvazione degli apparati crittografici (CAA);

d)

un’autorità di distribuzione degli apparati crittografici (CDA).

9.   Per ciascun sistema le autorità competenti dell’SGC e degli Stati membri stabiliscono rispettivamente:

a)

un’autorità di accreditamento di sicurezza (SAA);

b)

un’autorità operativa IA.

10.   Le disposizioni di attuazione del presente articolo figurano nell’allegato IV.

Articolo 11

Sicurezza industriale

1.   Per «sicurezza industriale» si intende l’applicazione di misure che assicurino la protezione delle ICUE da parte di contraenti o subcontraenti in sede di negoziati precontrattuali e lungo tutto il ciclo di vita dei contratti classificati. Tali contratti non contemplano l’accesso alle informazioni classificate di livello TRÈS SECRET UE/EU TOP SECRET.

2.   L’SGC può affidare per contratto mansioni che comportano o implicano l’accesso a, il trattamento o la conservazione di ICUE da parte di soggetti industriali o di altra natura registrati in uno Stato membro o in uno Stato terzo che abbia concluso un accordo o un’intesa amministrativa conformemente all’articolo 13, paragrafo 2, lettere a) o b).

3.   In quanto autorità contraente, l’SGC, nell’aggiudicare un contratto classificato a un soggetto industriale o di altra natura, assicura il rispetto delle norme minime sulla sicurezza industriale previste nella presente decisione e a cui fa riferimento il contratto.

4.   L’autorità di sicurezza nazionale (NSA), l’autorità di sicurezza designata (DSA) o qualsiasi altra autorità nazionale competente di ciascuno Stato membro assicura, per quanto possibile ai sensi delle disposizioni legislative e regolamentari nazionali, che i contraenti e i subcontraenti registrati nel suo territorio adottino tutte le misure adeguate per proteggere le ICUE nei negoziati precontrattuali e nell’esecuzione di un contratto classificato.

5.   L’NSA, la DSA o qualsiasi altra autorità di sicurezza competente di ciascuno Stato membro assicura, conformemente alle disposizioni legislative e regolamentari nazionali, che i contraenti o i subcontraenti registrati nel territorio del rispettivo Stato membro, partecipanti a contratti o subcontratti classificati che richiedono l’accesso a informazioni classificate CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET nelle loro strutture dispongano, nell’esecuzione di tali contratti o nella fase precontrattuale, di un nulla osta di sicurezza delle imprese (FSC) del livello di classifica adeguato.

6.   Il personale del contraente o subcontraente che, per l’esecuzione di un contratto classificato, necessita dell’accesso ad informazioni classificate CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET ottiene un nulla osta di sicurezza del personale (PSC) dalla rispettiva NSA, DSA o da altra autorità di sicurezza competente conformemente alle disposizioni legislative e regolamentari nazionali e alle norme minime di cui all’allegato I.

7.   Le disposizioni di attuazione del presente articolo figurano nell’allegato V.

Articolo 12

Condivisione di ICUE

1.   Il Consiglio determina le condizioni in base alle quali può condividere ICUE da esso detenute con altre istituzioni, organi o organismi dell’Unione. A tal fine può essere istituito un quadro appropriato, anche mediante la conclusione di accordi interistituzionali o altre intese qualora necessario a tale scopo.

2.   Ogni quadro garantisce che alle ICUE sia data una protezione adeguata al loro livello di classifica e conforme ai principi fondamentali e alle norme minime equivalenti a quelli stabiliti dalla presente decisione.

Articolo 13

Scambio di informazioni classificate con Stati terzi ed organizzazioni internazionali

1.   Qualora il Consiglio ravvisi la necessità di scambiare ICUE con uno Stato terzo o un’organizzazione internazionale, è posto in essere a tal fine un quadro appropriato.

2.   Per stabilire tale quadro e definire regole reciproche sulla protezione delle informazioni classificate scambiate:

a)

l’Unione conclude accordi con Stati terzi o organizzazioni internazionali sulle procedure di sicurezza per scambiare e proteggere informazioni classificate («accordi sulla sicurezza delle informazioni»); o

b)

il segretario generale può pattuire intese amministrative a nome dell’SGC conformemente all’allegato VI, punto17, laddove la classifica delle ICUE da comunicare non supera di norma il livello RESTREINT UE/EU RESTRICTED.

3.   Gli accordi sulla sicurezza delle informazioni o le intese amministrative di cui al paragrafo 2 contengono disposizioni intese ad assicurare che gli Stati terzi o le organizzazioni internazionali che ricevono le ICUE conferiscano loro una protezione appropriata al loro livello di classifica e conforme a norme minime non meno rigorose di quelle previste nella presente decisione.

4.   La decisione di comunicare ad uno Stato terzo o ad un’organizzazione internazionale ICUE originate dal Consiglio è presa dal Consiglio caso per caso, in funzione della natura e del contenuto di tali informazioni, della necessità di conoscere del destinatario e dell’entità dei vantaggi per l’Unione. Se l’originatore delle informazioni classificate che si desiderano comunicare non è il Consiglio, l’SGC chiede anzitutto il consenso scritto dell’originatore. Se è impossibile stabilire l’originatore, il Consiglio si assume la responsabilità dell’originatore.

5.   Sono organizzate visite di valutazione per accertare l’efficacia delle misure di sicurezza poste in essere in uno Stato terzo o un’organizzazione internazionale al fine di proteggere le ICUE fornite o scambiate.

6.   Le disposizioni di attuazione del presente articolo figurano nell’allegato VI.

Articolo 14

Violazione della sicurezza e compromissione di ICUE

1.   La violazione della sicurezza è conseguenza di un atto o omissione di una persona contrario alle norme di sicurezza contenute nella presente decisione.

2.   La compromissione di ICUE si verifica quando, in seguito a una violazione della sicurezza, le ICUE sono state diffuse in tutto o in parte a persone non autorizzate.

3.   Qualsiasi violazione o sospetta violazione della sicurezza è immediatamente riferita all’autorità di sicurezza competente.

4.   Qualora sia noto o vi siano ragionevoli motivi di ritenere che vi sia stata compromissione o perdita di ICUE, l’NSA o un’altra autorità competente adottano tutte le misure adeguate conformemente alle pertinenti disposizioni legislative e regolamentari al fine di:

a)

informare l’originatore;

b)

assicurare che personale non direttamente interessato alla violazione indaghi sul caso per accertare i fatti;

c)

valutare i potenziali danni agli interessi dell’Unione o degli Stati membri;

d)

adottare i provvedimenti opportuni per impedire che i fatti si ripetano; e

e)

informare le autorità competenti delle misure adottate.

5.   Ogni persona responsabile di una violazione delle norme di sicurezza contenute nella presente decisione è passibile di azione disciplinare conformemente alle disposizioni legislative e regolamentari applicabili. Ogni persona responsabile della compromissione o della perdita di ICUE è passibile di sanzioni disciplinari e/o azioni legali conformemente alle disposizioni legislative, normative e regolamentari applicabili.

Articolo 15

Responsabilità dell’attuazione

1.   Il Consiglio adotta tutte le misure necessarie per garantire la coerenza globale nell’applicazione della presente decisione.

2.   Il segretario generale adotta tutte le misure necessarie per garantire che, nel trattamento o nella conservazione di ICUE o di qualsiasi altra informazione classificata, i funzionari e gli altri agenti dell’SGC, il personale distaccato presso l’SGC ed i contraenti dell’SGC applichino la presente decisione nei locali usati dal Consiglio e in seno all’SGC.

3.   Gli Stati membri adottano tutte le misure adeguate, conformemente alle rispettive disposizioni legislative e regolamentari nazionali, per garantire che, nel trattamento o nella conservazione di ICUE, la presente decisione sia rispettata:

a)

dal personale delle rappresentanze permanenti degli Stati membri presso l’Unione europea e dai delegati nazionali che partecipano a sessioni del Consiglio o a riunioni dei suoi organi preparatori o che prendono parte ad altre attività del Consiglio;

b)

dagli altri membri del personale delle amministrazioni nazionali degli Stati membri, incluso il personale distaccato presso tali amministrazioni, che prestino servizio sul territorio degli Stati membri o all’estero;

c)

dalle altre persone negli Stati membri debitamente autorizzate in virtù delle loro funzioni ad avere accesso ad ICUE; e

d)

dai contraenti degli Stati membri, nel territorio degli Stati membri o all’estero.

Articolo 16

Organizzazione della sicurezza nel Consiglio

1.   Nell’ambito del suo ruolo di garante della coerenza globale nell’applicazione della presente decisione, il Consiglio approva:

a)

gli accordi di cui all’articolo 13, paragrafo 2, lettera a);

b)

decisioni che autorizzano o consentono la comunicazione di ICUE provenienti o detenute dal Consiglio a Stati terzi ed organizzazioni internazionali, conformemente al principio del consenso dell’originatore;

c)

un programma annuale di visite di valutazione e raccomandato dal Comitato per la sicurezza per valutare i servizi e i locali degli Stati membri gli organi, organismi e le entità dell’Unione che applicano la presente decisione o i principi in essa contenuti e per effettuare visite di valutazione negli Stati terzi e nelle organizzazioni internazionali al fine di accertare l’efficacia delle misure attuate per la protezione delle ICUE; e

d)

le politiche di sicurezza di cui all’articolo 6, paragrafo 1.

2.   Il segretario generale è l’autorità di sicurezza dell’SGC. In tale veste il segretario generale:

a)

attua la politica di sicurezza del Consiglio e la sottopone a riesame periodico;

b)

coordina con le NSA degli Stati membri tutte le questioni di sicurezza relative alla protezione di informazioni classificate pertinenti per le attività del Consiglio;

c)

fornisce ai funzionari e altri agenti dell’SGC ed esperti nazionali distaccati presso l’SGC un’autorizzazione di accesso a informazioni classificate di livello CONFIDENTIEL UE/EU CONFIDENTIAL o superiore, conformemente all’articolo 7, paragrafo 3;

d)

ordina, ove opportuno, indagini su compromissioni o perdite, accertate o sospette, di informazioni classificate detenute o originate dal Consiglio e chiede alle autorità di sicurezza competenti di partecipare a tali indagini;

e)

compie ispezioni periodiche dei dispositivi di sicurezza per la protezione delle informazioni classificate nei locali dell’SGC;

f)

compie visite periodiche di valutazione dei dispositivi di sicurezza per la protezione delle ICUE negli organi, negli organismi e nelle entità dell’Unione che applicano la presente decisione o i principi in essa contenuti;

g)

compie, insieme e d’accordo con l’NSA interessata, valutazioni periodiche dei dispositivi di sicurezza per la protezione delle ICUE all’interno dei servizi e dei locali degli Stati membri;

h)

assicura il necessario coordinamento delle misure di sicurezza con le autorità competenti degli Stati membri responsabili della protezione delle informazioni classificate e, se del caso, con Stati terzi o organizzazioni internazionali, anche per quanto riguarda la natura delle minacce alla sicurezza delle ICUE e i relativi mezzi di protezione; e

i)

pattuisce le intese amministrative di cui all’articolo 13, paragrafo 2, lettera b).

Il servizio di sicurezza dell’SGC è a disposizione del segretario generale per assisterlo nell’ambito di tali competenze.

3.   Ai fini dell’attuazione dell’articolo 15, paragrafo 3, gli Stati membri dovrebbero:

a)

designare un’NSA, elencata nell’appendice C, responsabile dei dispositivi di sicurezza per proteggere le ICUE affinché:

i)

le ICUE detenute da qualsiasi servizio, organo o agenzia nazionale, pubblico o privato, sul territorio nazionale o all’estero, siano protette conformemente alla presente decisione;

ii)

i dispositivi di sicurezza per la protezione delle ICUE siano ispezionati o valutati regolarmente;

iii)

tutte le persone impiegate in un’amministrazione nazionale o da un contraente cui può essere concesso l’accesso a informazioni classificate di livello CONFIDENTIEL UE/EU CONFIDENTIAL o superiore abbiano ottenuto il nulla osta di sicurezza adeguato o siano in altro modo debitamente autorizzate in virtù delle rispettive funzioni conformemente alle disposizioni legislative e regolamentari nazionali;

iv)

siano istituiti programmi di sicurezza, se necessario, per minimizzare il rischio di compromissione o perdita delle ICUE;

v)

gli aspetti di sicurezza connessi con la protezione di ICUE siano coordinati con altre autorità nazionali competenti, comprese quelle menzionate nella presente decisione; e

vi)

sia data risposta alle opportune richieste di nulla osta di sicurezza provenienti in particolare dagli organi, dagli organismi e dalle entità dell’Unione, dalle operazioni stabilite ai sensi del titolo V, capo 2, TUE e dai rappresentanti speciali dell’UE (RSUE) e dalle loro squadre che applicano la presente decisione o i principi in essa contenuti;

b)

assicurare che le loro autorità competenti forniscano informazioni e consulenza ai rispettivi governi, e attraverso questi al Consiglio, circa la natura delle minacce per la sicurezza delle ICUE ed i mezzi per proteggersi da tali minacce.

Articolo 17

Comitato per la sicurezza

1.   È istituito un Comitato per la sicurezza. Esso esamina e valuta ogni questione relativa alla sicurezza nell’ambito di applicazione della presente decisione e formula, ove opportuno, raccomandazioni per il Consiglio.

2.   Il Comitato per la sicurezza è composto di rappresentanti delle NSA degli Stati membri e vi partecipa un rappresentante della Commissione e del SEAE. Esso è presieduto dal segretario generale o dal suo delegato designato. Esso si riunisce secondo le istruzioni del Consiglio, o a richiesta del segretario generale o di un’NSA.

Possono essere invitati a parteciparvi rappresentanti degli organi, degli organismi e delle entità dell’Unione che applicano la presente decisione o i principi in essa contenuti quando vi si discutono questioni che li riguardano.

3.   Il Comitato per la sicurezza organizza le sue attività in modo da essere in grado di formulare raccomandazioni su questioni specifiche in materia di sicurezza. Esso istituisce una sotto-sezione di esperti per gli aspetti IA ed altre sotto-sezioni ove necessario. Esso redige il mandato di tali sotto-sezioni e ne riceve le relazioni di attività corredate, ove opportuno, di raccomandazioni per il Consiglio.

Articolo 18

Sostituzione di precedenti decisioni

1.   La presente decisione abroga e sostituisce la decisione 2011/292/UE (2).

2.   Tutte le ICUE classificate conformemente alla decisione 2001/264/CE del Consiglio (3) e alla decisione 2011/292/UE continuano ad essere protette conformemente alle pertinenti disposizioni della presente decisione.

Articolo 19

Entrata in vigore

La presente decisione entra in vigore il giorno della pubblicazione nella Gazzetta ufficiale dell’Unione europea.

Fatto a Bruxelles, il 23 settembre 2013

Per il Consiglio

Il presidente

V. JUKNA


(1)  GU L 325 dell’11.12.2009, pag. 35.

(2)  Decisione 2011/292/UE del Consiglio, del 31 marzo 2011, sulle norme di sicurezza per la protezione delle informazioni classificate UE (GU L 141 del 27.5.2011, pag. 17).

(3)  Decisione 2001/264/CE del Consiglio, del 19 marzo 2001, che adotta le norme di sicurezza del Consiglio (GU L 101 dell’11.4.2001, pag. 1).


ALLEGATI

ALLEGATO I

Sicurezza del personale

ALLEGATO II

Sicurezza materiale

ALLEGATO III

Gestione delle informazioni classificate

ALLEGATO IV

Protezione delle ICUE trattate nei CIS

ALLEGATO V

Sicurezza industriale

ALLEGATO VI

Scambio di informazioni classificate con Stati terzi ed organizzazioni internazionali


ALLEGATO I

SICUREZZA DEL PERSONALE

I.   INTRODUZIONE

1.

Il presente allegato prevede le disposizioni di attuazione dell’articolo 7. Esso stabilisce i criteri per determinare se una persona, in considerazione della sua lealtà, onestà e affidabilità, può essere autorizzata ad accedere alle ICUE, nonché le procedure di indagine e amministrative da seguire a tal fine.

II.   AUTORIZZAZIONE DI ACCESSO ALLE ICUE

2.

Una persona è autorizzata ad accedere ad informazioni classificate dopo che:

a)

sia stata accertata la sua necessità di conoscere;

b)

sia stata istruita sulle norme e le procedure di sicurezza per la protezione delle ICUE ed abbia riconosciuto le proprie responsabilità in materia di protezione di tali informazioni; e

c)

in caso di informazioni classificate di livello CONFIDENTIEL UE/EU CONFIDENTIAL o superiore:

abbia ottenuto un PSC del livello adatto o sia in altro modo debitamente autorizzata in virtù delle sue funzioni conformemente alle disposizioni legislative e regolamentari nazionali, o

nel caso dei funzionari e altri agenti dell’SGC o di esperti nazionali distaccati presso l’SGC, sia stata autorizzata ad accedere alle ICUE dall’autorità dell’SGC che ha il potere di nomina, conformemente ai punti da 16 a 25, fino a un livello specifico e a una data stabilita.

3.

Ciascuno Stato membro e l’SGC individuano all’interno delle loro strutture i posti che richiedono l’accesso a informazioni classificate di livello CONFIDENTIEL UE/EU CONFIDENTIAL o superiore e che richiedono pertanto un nulla osta di sicurezza del livello adatto.

III.   REQUISITI RELATIVI AL NULLA OSTA DI SICUREZZA DEL PERSONALE

4.

Dopo aver ricevuto una richiesta debitamente autorizzata, alle NSA o altre autorità nazionali competenti spetta assicurare che siano svolte le indagini di sicurezza sui loro cittadini che chiedono di accedere ad informazioni classificate di livello CONFIDENTIEL UE/EU CONFIDENTIAL o superiore. Le norme in materia di indagini sono conformi alle disposizioni legislative e regolamentari nazionali al fine di rilasciare un PSC o fornire la garanzia che all’interessato sia concessa l’autorizzazione di accesso alle ICUE, a seconda dei casi.

5.

Qualora la persona interessata risieda nel territorio di un altro Stato membro o di uno Stato terzo, le autorità nazionali competenti richiedono della collaborazione dell’autorità competente dello Stato di residenza conformemente alle disposizioni legislative e regolamentari nazionali. Gli Stati membri si assistono reciprocamente nello svolgimento di indagini di sicurezza conformemente alle disposizioni legislative e regolamentari nazionali.

6.

Ove consentito dalle disposizioni legislative e regolamentari nazionali, le NSA o altre autorità nazionali competenti possono svolgere indagini su cittadini stranieri che chiedono di accedere ad informazioni classificate di livello CONFIDENTIEL UE/EU CONFIDENTIAL o superiore. Le norme in materia di indagini sono conformi alle disposizioni legislative e regolamentari nazionali.

Criteri delle indagini di sicurezza

7.

La lealtà, l’onestà e l’affidabilità di una persona ai fini della concessione di un nulla osta di sicurezza per l’accesso a informazioni classificate di livello CONFIDENTIEL UE/EU CONFIDENTIAL o superiore sono accertate mediante un’indagine di sicurezza. L’autorità nazionale competente effettua una valutazione generale basandosi sui risultati di tale indagine di sicurezza. I criteri principali utilizzati a tal fine includono, per quanto possibile ai sensi delle disposizioni legislative e regolamentari nazionali, l’esame per determinare se la persona:

a)

abbia commesso o tentato di commettere atti di spionaggio, terrorismo, sabotaggio, tradimento o sedizione, ovvero ha cospirato con altri, o si è resa complice e ha istigato altri a commettere tali atti;

b)

sia o sia stata associata di spie, terroristi, sabotatori o di persone fondatamente sospettate di esserlo, ovvero associata di rappresentanti di organizzazioni o di Stati stranieri, compresi i servizi di intelligence stranieri, che possono costituire una minaccia per la sicurezza dell’Unione e/o degli Stati membri, a meno che tale associazione non sia stata autorizzata per lo svolgimento delle sue funzioni ufficiali;

c)

sia o sia stata membro di organizzazioni che, con mezzi violenti, sovversivi o altrimenti illegali, tentano inter alia di rovesciare il governo di uno Stato membro o di cambiarne l’ordine costituzionale o la forma o le politiche di governo;

d)

fiancheggi o abbia fiancheggiato una delle organizzazioni descritte alla lettera c), ovvero sia o sia stata strettamente associata con membri di tali organizzazioni;

e)

abbia deliberatamente occultato, distorto o falsificato informazioni importanti, soprattutto se pregnanti per la sicurezza, o abbia deliberatamente mentito nel compilare un questionario sulla sicurezza del personale o durante un colloquio sulla sicurezza;

f)

sia stata condannata per uno o più reati;

g)

abbia una storia di alcolismo, di uso di droghe illecite e/o abuso di droghe lecite;

h)

sia o sia stata coinvolta in comportamenti che possono renderla vulnerabile a ricatti o pressioni;

i)

con parole o fatti abbia dato prova di essere disonesta, sleale, inaffidabile o di non meritare fiducia;

j)

abbia violato gravemente o ripetutamente norme di sicurezza; o abbia tentato di compiere ovvero abbia compiuto azioni non autorizzate nell’ambito dei sistemi di comunicazione e informazione; e

k)

possa essere esposta a pressioni (ad esempio per il fatto di essere in possesso della cittadinanza di uno o più Stati non membri dell’UE o tramite familiari o associati stretti che potrebbero essere vulnerabili nei confronti di servizi di intelligence stranieri, gruppi terroristici o altre organizzazioni o singoli sovversivi, i cui fini possono minacciare gli interessi dell’Unione e/o degli Stati membri in materia di sicurezza).

8.

Ove opportuno e conformemente alle disposizioni regolamentari e legislative nazionali, la storia clinica e finanziaria di una persona può essere considerata rilevante nell’indagine di sicurezza.

9.

Ove opportuno e conformemente alle disposizioni regolamentari e legislative nazionali, nell’indagine di sicurezza possono essere considerati rilevanti anche la condotta e la situazione del coniuge, del convivente o di un familiare stretto.

Requisiti di indagine per l’accesso alle ICUE

Concessione iniziale di un nulla osta di sicurezza

10.

Il nulla osta di sicurezza iniziale per l’accesso a informazioni classificate di livello CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET si basa su un’indagine di sicurezza che considera almeno gli ultimi cinque anni o, se più breve, il periodo che intercorre tra i 18 anni di età e l’avvio delle indagini e che comprende i seguenti elementi:

a)

la compilazione di un questionario nazionale sulla sicurezza del personale per il livello di ICUE a cui la persona interessata può chiedere di avere accesso; una volta compilato, tale questionario è trasmesso all’autorità di sicurezza competente;

b)

il controllo di identità/cittadinanza/nazionalità: sono verificati il luogo e la data di nascita della persona interessata e ne è controllata l’identità. È stabilita la sua cittadinanza e/o nazionalità, passata e presente; ciò comprende, tra l’altro, la verifica di un’eventuale vulnerabilità a pressioni esercitate da fonti straniere a causa di una residenza precedente o di associazioni avute in passato; e

c)

il controllo delle iscrizioni a livello locale e nazionale: sono verificate le iscrizioni di sicurezza nazionale e il casellario giudiziale centrale, se esistente, e/o altre registrazioni comparabili dello Stato e della polizia. Sono verificate le iscrizioni effettuate dalle autorità di contrasto con giurisdizione nel luogo in cui la persona in questione ha risieduto o ha lavorato.

11.

Il nulla osta di sicurezza iniziale per l’accesso a informazioni classificate di livello TRÈS SECRET UE/EU TOP SECRET si basa su un’indagine di sicurezza che considera almeno gli ultimi dieci anni o, se più breve, il periodo che intercorre tra i 18 anni di età e l’avvio delle indagini. Se sono condotti i colloqui di cui alla lettera e), le indagini riguardano almeno gli ultimi sette anni o, se più breve, il periodo che intercorre tra i 18 anni di età e l’avvio delle indagini. Oltre ai criteri indicati al punto 7, prima di concedere un PSC di livello TRES SECRET UE/EU TOP SECRET si esaminano, per quanto possibile ai sensi delle disposizioni legislative e regolamentari nazionali, gli elementi seguenti, che possono essere esaminati anche prima di rilasciare un PSC di livello CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET, laddove le disposizioni legislative e regolamentari nazionali lo richiedano:

a)

situazione finanziaria: sono reperite le informazioni sulla situazione patrimoniale della persona per verificare un’eventuale vulnerabilità a pressioni straniere o nazionali a causa di gravi difficoltà finanziarie o per scoprire ricchezze inspiegabili;

b)

istruzione: sono reperite le informazioni per appurare il tipo d’istruzione ricevuta dalla persona a scuola, all’università o in altri istituti frequentati a partire dal diciottesimo anno di età o per un periodo giudicato congruo dall’autorità che svolge l’indagine;

c)

lavoro: sono reperite le informazioni sull’attuale impiego e su quelli precedenti, utilizzando fonti quali le registrazioni relative alla carriera lavorativa, i rapporti sulle prestazioni o sull’efficienza e i datori di lavoro o i superiori gerarchici;

d)

servizio di leva: se applicabile, sono verificati il servizio prestato nelle forze armate e il tipo di congedo; e

e)

colloqui: laddove previsto e ammesso ai sensi della normativa nazionale, la persona in questione è sottoposta ad uno o più colloqui. I colloqui si tengono anche con altre persone che sono in grado di dare una valutazione imparziale dei trascorsi, dell’attività, lealtà, onestà e affidabilità della persona in questione. Quando è prassi nazionale chiedere alla persona oggetto delle indagini referenze, le persone citate nelle referenze sono sottoposte a un colloquio, salvo che vi siano buoni motivi per non procedervi.

12.

Se necessario e conformemente alle disposizioni legislative e regolamentari nazionali, possono essere svolte indagini supplementari per elaborare tutte le pertinenti informazioni disponibili sulla persona in questione e per circostanziare o confutare le informazioni negative.

Rinnovo di un nulla osta di sicurezza

13.

Dopo la concessione iniziale di un nulla osta di sicurezza e purché la persona abbia prestato servizio ininterrottamente presso un’amministrazione nazionale o l’SGC e continui ad avere bisogno di accedere alle ICUE, il nulla osta di sicurezza è riesaminato ai fini del rinnovo a intervalli non superiori a cinque anni per un nulla osta di livello TRÈS SECRET UE/EU TOP SECRET e a dieci anni per nulla osta di livello SECRET UE/EU SECRET e CONFIDENTIEL UE/EU CONFIDENTIAL, con effetto dalla data di comunicazione dell’esito dell’ultima indagine di sicurezza su cui si basavano. Tutte le indagini di sicurezza per il rinnovo di un nulla osta di sicurezza considerano il periodo intercorso dalla precedente indagine.

14.

Per il rinnovo del nulla osta di sicurezza, si esaminano gli elementi descritti ai punti 10 e 11.

15.

Le richieste di rinnovo sono presentate tempestivamente, tenendo conto del tempo necessario per le indagini di sicurezza. Tuttavia, se l’NSA competente o altra autorità nazionale competente ha ricevuto la pertinente richiesta di rinnovo e il corrispondente questionario sulla sicurezza del personale prima della scadenza del nulla osta di sicurezza e le indagini di sicurezza necessarie non sono ultimate, se consentito dalle disposizioni legislative e regolamentari nazionali l’autorità nazionale competente può prorogare la validità del nulla osta di sicurezza fino a dodici mesi. Se al termine di questo periodo di dodici mesi l’indagine di sicurezza non è ancora ultimata, la persona in questione è assegnata soltanto a incarichi che non richiedono un nulla osta di sicurezza.

Procedure in materia di autorizzazione presso l’SGC

16.

Per i funzionari e altri agenti dell’SGC, l’autorità di sicurezza dell’SGC trasmette il questionario sulla sicurezza del personale compilato all’NSA dello Stato membro di cui è cittadino la persona interessata, chiedendo di avviare un’indagine di sicurezza per il livello di ICUE a cui la persona può chiedere di accedere.

17.

Se viene a conoscenza di informazioni rilevanti per l’indagine di sicurezza relativa a una persona che ha chiesto un nulla osta di sicurezza per l’accesso alle ICUE, l’SGC le comunica all’NSA competente conformemente alle pertinenti disposizioni legislative e regolamentari.

18.

Al termine dell’indagine di sicurezza l’NSA competente ne comunica l’esito all’autorità di sicurezza dell’SGC usando il formato standard per la corrispondenza previsto dal Comitato per la sicurezza.

a)

Qualora dall’indagine di sicurezza emerga la garanzia dell’inesistenza di informazioni negative note che metterebbero in discussione la lealtà, l’onestà e l’affidabilità della persona, l’autorità dell’SGC che ha il potere di nomina può rilasciare alla persona interessata un’autorizzazione di accesso alle ICUE fino al livello adatto e a una data determinata.

b)

Qualora dall’indagine di sicurezza non emerga tale garanzia, l’autorità dell’SGC che ha il potere di nomina ne informa la persona interessata la quale può chiedere di essere ascoltata dall’autorità che ha il potere di nomina. Quest’ultima può chiedere all’NSA competente ulteriori chiarimenti che è in grado di fornire conformemente alle sue disposizioni legislative e regolamentari nazionali. In caso di riconferma dell’esito, non può essere concessa un’autorizzazione di accesso alle ICUE.

19.

L’indagine di sicurezza e relativi risultati sono soggetti alle pertinenti disposizioni legislative e regolamentari vigenti nello Stato membro in questione, ivi comprese quelle relative ai ricorsi. Le decisioni dell’autorità dell’SGC che ha il potere di nomina sono soggette a ricorso conformemente allo statuto dei funzionari dell’Unione europea e al regime applicabile agli altri agenti dell’Unione europea, previsti nel regolamento (CEE, Euratom, CECA) n. 259/68 del Consiglio (1) («statuto e regime applicabile»).

20.

Gli esperti nazionali distaccati presso l’SGC per un posto che richiede l’accesso alle ICUE di livello CONFIDENTIEL UE/EU CONFIDENTIAL e superiore, prima di assumere l’incarico presentano all’autorità di sicurezza dell’SGC un certificato di nulla osta di sicurezza del personale (PSCC) valido per l’accesso alle ICUE, sulla base del quale l’autorità che ha il potere di nomina rilascia un’autorizzazione di accesso alle ICUE.

21.

L’SGC accetta l’autorizzazione di accesso alle ICUE rilasciata da qualsiasi altra istituzione, organo o organismo dell’Unione, purché in corso di validità. L’autorizzazione coprirà qualsiasi incarico della persona interessata all’interno dell’SGC. L’istituzione, l’organo o l’organismo dell’Unione in cui l’interessato è assunto notifica all’NSA competente il cambiamento del datore di lavoro.

22.

Se il periodo di servizio di una persona non inizia entro dodici mesi dalla comunicazione dell’esito dell’indagine di sicurezza all’autorità dell’SGC che ha il potere di nomina o se vi è un’interruzione del servizio di dodici mesi, durante il quale la persona non ha occupato un posto presso l’SGC o l’amministrazione di uno Stato membro, tale esito è sottoposto all’NSA competente affinché questa confermi se resta valido e pertinente.

23.

Se viene a conoscenza di informazioni concernenti un rischio di sicurezza posto da una persona in possesso di un’autorizzazione di accesso alle ICUE, l’SGC le comunica all’NSA competente conformemente alle pertinenti disposizioni legislative e regolamentari e può sospendere l’accesso alle ICUE o ritirare l’autorizzazione di accesso alle ICUE.

24.

Se un’NSA comunica all’SGC il ritiro della garanzia fornita conformemente al punto 18, lettera a) per una persona in possesso di un’autorizzazione di accesso alle ICUE, l’autorità dell’SGC che ha il potere di nomina può chiederle i chiarimenti che è in grado di fornire conformemente alle sue disposizioni legislative e regolamentari nazionali. Se le informazioni negative sono confermate l’autorizzazione è ritirata e la persona in questione è esclusa dall’accesso alle ICUE e da posti nei quali tale accesso sia possibile o nei quali la persona potrebbe mettere a repentaglio la sicurezza.

25.

La decisione di ritiro o sospensione dell’autorizzazione di accesso alle ICUE ad un funzionario o altro agente dell’SGC e, se opportuno, i relativi motivi sono comunicati alla persona interessata la quale può chiedere di essere ascoltata dall’autorità che ha il potere di nomina. Le informazioni fornite dall’NSA sono soggette alle pertinenti disposizioni legislative e regolamentari vigenti nello Stato membro in questione, ivi comprese quelle relative ai ricorsi. Le decisioni dell’autorità dell’SGC che ha il potere di nomina sono soggette a ricorso conformemente allo statuto e al regime applicabile.

Registrazioni dei nulla osta di sicurezza e delle autorizzazioni

26.

Ogni Stato membro e l’SGC conservano rispettivamente le registrazioni dei PSC e delle autorizzazioni concessi per l’accesso alle informazioni classificate di livello CONFIDENTIEL UE/EU CONFIDENTIAL o superiore. In tali registrazioni figurano almeno il livello di ICUE cui può accedere la persona in questione, la data di concessione del nulla osta di sicurezza e il periodo di validità.

27.

L’autorità di sicurezza competente può rilasciare un PSCC in cui figurano il livello di ICUE cui può accedere la persona in questione (CONFIDENTIEL UE/EU CONFIDENTIAL o superiore), la data di validità del relativo PSC per l’accesso alle ICUE o dell’autorizzazione di accesso alle ICUE e la data di scadenza del certificato stesso.

Esenzioni dall’obbligo del PSC

28.

L’accesso alle ICUE negli Stati membri da parte di persone debitamente autorizzate in virtù delle loro funzioni è determinato conformemente alle disposizioni legislative e regolamentari nazionali; tali persone sono istruite sugli obblighi di sicurezza riguardo alla protezione delle ICUE.

IV.   FORMAZIONE E SENSIBILIZZAZIONE ALLA SICUREZZA

29.

Tutte le persone alle quali è stato concesso un nulla osta di sicurezza attestano per iscritto di aver compreso gli obblighi di protezione delle ICUE e le conseguenze che possono verificarsi se le ICUE risultano compromesse. Lo Stato membro e l’SGC, a seconda dei casi, conservano una registrazione di tale attestazione scritta.

30.

Tutte le persone che sono autorizzate ad avere accesso alle ICUE o che le devono trattare, sono sensibilizzate all’inizio e istruite periodicamente riguardo alle minacce per la sicurezza e devono comunicare immediatamente alle autorità di sicurezza competenti qualsiasi approccio o attività che esse ritengono sospetto o inusuale.

31.

Tutte le persone che cessano l’incarico per il quale era richiesto l’accesso alle ICUE sono informate sull’obbligo di continuare a proteggere le ICUE e, in caso, riconoscono per iscritto quest’obbligo.

V.   CIRCOSTANZE ECCEZIONALI

32.

Se consentito dalle disposizioni legislative e regolamentari nazionali un nulla osta di sicurezza, concesso da un’autorità nazionale competente di uno Stato membro per accedere a informazioni nazionali classificate, può temporaneamente consentire, in attesa della concessione di un PSC per accedere alle ICUE, l’accesso di funzionari nazionali alle ICUE fino al livello equivalente specificato nella tabella di equivalenza che figura nell’appendice B, laddove tale accesso temporaneo sia richiesto nell’interesse dell’Unione. Se le disposizioni legislative e regolamentari nazionali non consentono tale accesso temporaneo alle ICUE, le NSA ne informano il Comitato per la sicurezza.

33.

Per motivi di urgenza, se debitamente giustificati nell’interesse del servizio e in attesa che sia ultimata l’indagine di sicurezza nel suo insieme, l’autorità dell’SGC che ha il potere di nomina, dopo aver consultato l’NSA dello Stato membro di cui è cittadina la persona interessata e con riserva dell’esito dei controlli preliminari per verificare l’inesistenza di informazioni negative note, può rilasciare un’autorizzazione temporanea ai funzionari e altri agenti dell’SGC per accedere alle ICUE per una funzione specifica. Tali autorizzazioni temporanee sono valide per sei mesi al massimo e non danno accesso alle informazioni classificate di livello TRÈS SECRET UE/EU TOP SECRET. Tutte le persone alle quali è stata concessa un’autorizzazione temporanea attestano per iscritto di aver compreso gli obblighi di protezione delle ICUE e le conseguenze che possono verificarsi se le ICUE risultano compromesse. Una registrazione di tale attestazione scritta è conservata dall’SGC.

34.

Quando a una persona deve essere assegnato un posto che richiede un nulla osta di sicurezza di un livello superiore a quello posseduto in quel momento dalla persona stessa, l’incarico può essere affidato in via provvisoria purché:

a)

il superiore gerarchico della persona in questione giustifichi per iscritto che l’accesso alle ICUE ad un livello superiore è assolutamente necessario;

b)

l’accesso sia limitato a specifici elementi delle ICUE in relazione con l’incarico;

c)

la persona sia in possesso di un PSC o di un’autorizzazione di accesso alle ICUE in corso di validità;

d)

si sia dato avvio alla procedura per ottenere l’autorizzazione per il livello di accesso richiesto per il posto in questione;

e)

siano stati effettuati controlli soddisfacenti dall’autorità competente, volti ad accertare che la persona non ha violato seriamente o ripetutamente le norme di sicurezza;

f)

l’incarico della persona sia approvato dall’autorità competente; e

g)

una registrazione della deroga sia conservata nell’ufficio di registrazione responsabile o suo ufficio dipendente con una descrizione delle informazioni per cui è stato approvato l’accesso.

35.

La procedura sopra descritta si usa per l’accesso singolo a ICUE di un livello superiore a quello autorizzato dal nulla osta della persona in questione. Tale procedura non è usata in maniera ricorrente.

36.

In circostanze del tutto eccezionali, quali missioni in ambienti ostili o in periodi di tensione internazionale crescente quando richiesto da misure di emergenza, soprattutto per salvare vite umane, gli Stati membri e il segretario generale possono concedere, se possibile per iscritto, l’accesso a informazioni classificate di livello CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET a persone che non posseggono il nulla osta di sicurezza richiesto, purché ciò sia assolutamente necessario e non vi siano dubbi ragionevoli sulla lealtà, onestà e affidabilità delle persone in questione. La registrazione di tale autorizzazione è conservata con una descrizione delle informazioni per cui è stata data.

37.

Nel caso di informazioni classificate di livello TRÈS SECRET UE/EU TOP SECRET tale accesso di emergenza è limitato a cittadini dell’Unione autorizzati ad accedere a informazioni il cui livello di classifica nazionale equivale a TRÈS SECRET UE/EU TOP SECRET o a informazioni classificate di livello SECRET UE/EU SECRET.

38.

Il Comitato per la sicurezza è informato dei casi in cui si ricorre alla procedura descritta ai punti 36 e 37.

39.

Laddove le disposizioni legislative e regolamentari nazionali di uno Stato membro stabiliscano norme più rigorose in ordine a autorizzazioni temporanee, incarichi provvisori, accesso singolo o di emergenza delle persone a informazioni classificate, le procedure previste nella presente sezione sono attuate soltanto entro i limiti fissati dalle pertinenti disposizioni legislative e regolamentari nazionali.

40.

Il Comitato per la sicurezza riceve una relazione annuale sul ricorso alle procedure stabilite nella presente sezione.

VI.   PARTECIPAZIONE ALLE SESSIONI DEL CONSIGLIO

41.

Fatto salvo il punto 28, le persone che devono partecipare a sessioni del Consiglio o a riunioni degli organi preparatori del Consiglio, in cui sono discusse informazioni classificate di livello CONFIDENTIEL UE/EU CONFIDENTIAL o superiore, possono farlo solo se confermato dallo status del nulla osta di sicurezza in loro possesso. Per i delegati il PSCC o altra prova di nulla osta di sicurezza è trasmesso dalle autorità competenti al Servizio di sicurezza dell’SGC o, in via eccezionale, può essere presentato dal delegato in questione. Se del caso, può essere usato un elenco di nomi consolidato che comprovi il nulla osta di sicurezza.

42.

Se per ragioni di sicurezza il PSC per l’accesso alle ICUE è ritirato a una persona i cui compiti richiedono la partecipazione a sessioni del Consiglio o a riunioni degli organi preparatori del Consiglio, l’autorità competente ne informa l’SGC.

VII.   ACCESSO POTENZIALE ALLE ICUE

43.

Corrieri, guardie e scorte ottengono il nulla osta di sicurezza di livello adatto, o sono soggetti alle opportune indagini conformemente alle disposizioni legislative e regolamentari nazionali, sono informati riguardo alle procedure di sicurezza in materia di protezione delle ICUE e istruiti riguardo agli obblighi di protezione delle informazioni loro affidate.


(1)  Regolamento (CEE, Euratom, CECA) n. 259/68 del Consiglio, del 29 febbraio 1968, che definisce lo statuto dei funzionari delle Comunità europee nonché il regime applicabile agli altri agenti di tali Comunità, ed istituisce speciali misure applicabili temporaneamente ai funzionari della Commissione (GU L 56 del 4.3.1968, pag. 1).


ALLEGATO II

SICUREZZA MATERIALE

I.   INTRODUZIONE

1.

Il presente allegato prevede le disposizioni di attuazione dell’articolo 8. Esso stabilisce i requisiti minimi per la protezione materiale di locali, edifici, uffici, stanze e altre zone in cui sono trattate e conservate ICUE, nonché le zone in cui sono conservati i CIS.

2.

Le misure di sicurezza materiale sono intese ad evitare l’accesso non autorizzato alle ICUE:

a)

assicurando che le ICUE siano trattate e conservate in modo adeguato;

b)

consentendo la segregazione del personale per quanto riguarda l’accesso alle ICUE in base alla loro necessità di conoscere e, in caso, ai loro nulla osta di sicurezza;

c)

scoraggiando, ostacolando e scoprendo azioni non autorizzate; e

d)

impedendo o ritardando l’ingresso fraudolento o con la forza di intrusi.

II.   REQUISITI E MISURE DI SICUREZZA MATERIALE

3.

Le misure di sicurezza materiale sono selezionate in base alla valutazione della minaccia effettuata dalle autorità competenti. L’SGC e gli Stati membri applicano le rispettive procedure di gestione del rischio per proteggere le ICUE nei loro locali al fine di garantire un livello di protezione materiale corrispondente alla valutazione del rischio. La procedura di gestione del rischio tiene conto di tutti gli elementi pertinenti, in particolare:

a)

del livello di classifica delle ICUE;

b)

della forma e del volume delle ICUE, tenendo conto che considerevoli quantitativi o compilazioni di ICUE possono richiedere l’applicazione di misure di protezione più rigorose;

c)

dell’ambiente circostante e della struttura degli edifici o delle zone in cui sono conservate ICUE; e

d)

della valutazione della minaccia rappresentata da servizi di intelligence che prendono di mira l’Unione o gli Stati membri e da atti di sabotaggio, terrorismo e altri atti sovversivi o criminali.

4.

L’autorità di sicurezza competente, nell’applicare il concetto di difesa in profondità, stabilisce l’idonea combinazione di misure di sicurezza materiale da attuare. Queste ultime possono comprendere una o più delle seguenti misure:

a)

barriera perimetrale: barriera materiale che difende i confini della zona richiedente protezione;

b)

sistemi di rilevamento delle intrusioni (IDS): un IDS può essere usato per accrescere il livello di sicurezza fornito dalla barriera perimetrale, oppure in stanze e edifici al posto del personale addetto alla sicurezza o in ausilio a quest’ultimo;

c)

controllo dell’accesso: il controllo dell’accesso può essere esercitato su un sito, un edificio o più edifici in un sito, o su zone o stanze all’interno di un edificio. Il controllo può essere effettuato mediante dispositivi elettronici o elettromeccanici, dal personale addetto alla sicurezza e/o da un centralinista, o con altri mezzi materiali;

d)

personale addetto alla sicurezza: formato e controllato e, ove necessario, munito di apposito nulla osta di sicurezza, può essere impiegato tra l’altro come deterrente contro individui che progettano un’intrusione dissimulata;

e)

televisione a circuito chiuso (CCTV): la CCTV può essere usata dal personale addetto alla sicurezza per verificare incidenti e allarmi provenienti da IDS in siti o perimetri estesi;

f)

illuminazione di sicurezza: l’illuminazione di sicurezza può essere usata come deterrente contro intrusioni potenziali nonché per fornire l’illuminazione necessaria per una sorveglianza efficace diretta da parte del personale addetto alla sicurezza o indiretta attraverso un sistema di CCTV; e

g)

eventuali altre misure materiali volte a scoraggiare o scoprire l’accesso non autorizzato o a evitare la perdita o il danneggiamento di ICUE.

5.

L’autorità competente può essere autorizzata a effettuare ispezioni all’entrata e all’uscita come deterrente all’introduzione non autorizzata di materiale o alla sottrazione non autorizzata di ICUE da locali o edifici.

6.

Quando le ICUE sono a rischio di sguardi indiscreti, anche accidentalmente, sono adottate misure appropriate per combattere questo rischio.

7.

Per le nuove strutture sono definiti requisiti di sicurezza materiale e relative specifiche funzionali nell’ambito della pianificazione e della concezione delle strutture. Per le strutture esistenti si applicano il più possibile i requisiti di sicurezza materiale.

III.   ATTREZZATURE PER LA PROTEZIONE MATERIALE DELLE ICUE

8.

Nell’acquistare attrezzature (quali contenitori di sicurezza, macchine sminuzzatrici, serrature di porte, sistemi elettronici di controllo dell’accesso, IDS, sistemi d’allarme) per la protezione materiale delle ICUE, l’autorità di sicurezza competente garantisce che tali attrezzature siano conformi alle norme tecniche e ai requisiti minimi approvati.

9.

Le specifiche tecniche delle attrezzature da utilizzare per la protezione materiale delle ICUE figurano negli orientamenti di sicurezza che devono essere approvati dal Comitato per la sicurezza.

10.

I sistemi di sicurezza sono ispezionati a intervalli regolari e le attrezzature sono regolarmente sottoposte a manutenzione. I lavori di manutenzione tengono conto del risultato delle ispezioni per garantire il costante funzionamento ottimale delle attrezzature.

11.

L’efficacia delle singole misure di sicurezza nonché del sistema di sicurezza nel suo complesso è oggetto di una nuova valutazione in ogni ispezione.

IV.   ZONE OGGETTO DI PROTEZIONE MATERIALE

12.

Per la protezione materiale delle ICUE si stabiliscono due tipi di zona oggetto di protezione materiale o relativi equivalenti nazionali:

a)

zone amministrative; e

b)

zone protette (comprese le zone protette tecnicamente).

Nella presente decisione tutti i riferimenti alle zone amministrative e alle zone protette, ivi comprese le zone protette tecnicamente, si intendono altresì come riferimenti agli equivalenti nazionali.

13.

L’autorità di sicurezza competente stabilisce che una zona soddisfa i requisiti per essere designata zona amministrativa, zona protetta o zona protetta tecnicamente.

14.

Per le zone amministrative:

a)

è stabilito un perimetro chiaramente delimitato che permette l’ispezione delle persone e, se possibile, dei veicoli;

b)

l’accesso senza scorta è consentito solo alle persone debitamente autorizzate dall’autorità competente; e

c)

tutte le altre persone sono scortate in ogni momento o sottoposte a controlli equivalenti.

15.

Per le zone protette:

a)

è stabilito un perimetro chiaramente delimitato e protetto attraverso cui sono controllati tutti gli ingressi e le uscite per mezzo di un lasciapassare o di un sistema di riconoscimento personale;

b)

l’accesso senza scorta è consentito solo alle persone in possesso di un nulla osta di sicurezza ed espressamente autorizzate ad entrare nella zona in base alla loro necessità di conoscere; e

c)

tutte le altre persone sono scortate in ogni momento o sottoposte a controlli equivalenti.

16.

Se l’ingresso in una zona protetta costituisce, a tutti i fini pratici, un accesso diretto alle informazioni classificate ivi conservate, si applicano i seguenti requisiti supplementari:

a)

il livello più elevato di classifica di sicurezza delle informazioni normalmente conservate nella zona è chiaramente indicato;

b)

tutti i visitatori richiedono un’autorizzazione specifica ad entrare nella zona, sono scortati in ogni momento e sono in possesso del nulla osta di sicurezza adatto, a meno che non siano presi provvedimenti intesi a garantire che non sia possibile alcun accesso alle ICUE.

17.

Le zone protette che vengono protette dall’ascolto indiscreto sono designate zone protette tecnicamente. Si applicano i seguenti requisiti supplementari:

a)

tali zone sono dotate di IDS, chiuse a chiave se non occupate e sorvegliate se occupate. Le chiavi sono controllate conformemente alla sezione VI;

b)

tutte le persone o tutto il materiale che accedono a tali zone sono soggetti a controllo;

c)

tali zone sono regolarmente soggette a ispezioni materiali e/o tecniche, come richiesto dall’autorità di sicurezza competente. Dette ispezioni sono inoltre effettuate dopo qualsiasi ingresso non autorizzato, effettivo o sospettato; e

d)

tali zone sono prive di linee di comunicazione, telefoni o altri dispositivi di comunicazione ed attrezzature elettriche o elettroniche non autorizzati.

18.

Nonostante il punto 17, lettera d), prima di essere usati in zone in cui si svolgono riunioni o attività che implicano informazioni classificate di livello SECRET UE/EU SECRET o superiore, e laddove la minaccia alle ICUE sia valutata alta, tutti i dispositivi di comunicazione e tutte le attrezzature elettriche o elettroniche sono preventivamente esaminati dall’autorità di sicurezza competente al fine di garantire che nessuna informazione intelligibile sia trasmessa inavvertitamente o illegalmente da tali attrezzature all’esterno del perimetro della zona protetta.

19.

Ove opportuno, le zone protette non occupate da personale in servizio 24 ore su 24 sono ispezionate al termine del normale orario di lavoro e a intervalli casuali al di fuori del normale orario di lavoro, tranne nel caso in cui vi sia installato un IDS.

20.

Le zone protette e le zone protette tecnicamente possono essere istituite in via temporanea in una zona amministrativa per una riunione classificata o per altri motivi analoghi.

21.

Per ciascuna zona protetta sono elaborate procedure operative di sicurezza che stabiliscano:

a)

il livello delle ICUE che possono essere trattate e conservate nella zona;

b)

le misure di sorveglianza e di protezione che devono essere applicate;

c)

le persone autorizzate ad accedere senza scorta alla zona in virtù della loro necessità di conoscere e del loro nulla osta di sicurezza;

d)

ove opportuno, le procedure relative alle scorte o alla protezione delle ICUE quando si autorizza l’accesso di altre persone alla zona; e

e)

ogni altra misura e procedura pertinente.

22.

Nelle zone protette sono costruite camere blindate. Le pareti, il pavimento, il soffitto, le finestre e le porte provviste di serratura sono approvati dall’autorità di sicurezza competente e offrono una protezione equivalente a quella di un contenitore di sicurezza approvato per la conservazione di ICUE dello stesso livello di classifica.

V.   MISURE DI PROTEZIONE MATERIALE PER IL TRATTAMENTO E LA CONSERVAZIONE DELLE ICUE

23.

Le ICUE classificate di livello RESTREINT UE/EU RESTRICTED possono essere trattate:

a)

in una zona protetta;

b)

in una zona amministrativa purché le ICUE siano protette dall’accesso di persone non autorizzate; o

c)

all’esterno di una zona protetta o di una zona amministrativa purché il detentore trasporti le ICUE conformemente all’allegato III, punti da 28 a 41, e si sia impegnato ad osservare le misure compensative stabilite nelle istruzioni di sicurezza emesse dall’autorità di sicurezza competente per garantire che le ICUE siano protette dall’accesso di persone non autorizzate.

24.

Le ICUE classificate di livello RESTREINT UE/EU RESTRICTED sono conservate in idonei mobili da ufficio chiusi a chiave, in una zona amministrativa o in una zona protetta. Esse possono essere temporaneamente conservate all’esterno di una zona protetta o di una zona amministrativa purché il detentore si sia impegnato ad osservare le misure compensative stabilite nelle istruzioni di sicurezza emesse dall’autorità di sicurezza competente.

25.

Le ICUE classificate di livello CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET possono essere trattate:

a)

in una zona protetta;

b)

in una zona amministrativa purché le ICUE siano protette dall’accesso di persone non autorizzate; o

c)

all’esterno di una zona protetta o di una zona amministrativa purché il detentore:

i)

trasporti le ICUE conformemente all’allegato III, punti da 28 a 41;

ii)

si sia impegnato ad osservare le misure compensative stabilite nelle istruzioni di sicurezza emesse dall’autorità di sicurezza competente per garantire che le ICUE siano protette dall’accesso di persone non autorizzate;

iii)

tenga le ICUE sempre sotto il proprio controllo; e

iv)

in caso di documenti cartacei, ne abbia informato il competente ufficio di registrazione.

26.

Le ICUE classificate di livello CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET sono conservate in una zona protetta, o in un contenitore di sicurezza o in una camera blindata.

27.

Le ICUE classificate di livello TRÈS SECRET UE/EU TOP SECRET sono trattate in una zona protetta.

28.

Le ICUE classificate di livello TRÈS SECRET UE/EU TOP SECRET sono conservate in una zona protetta, secondo uno delle modalità seguenti:

a)

in un contenitore di sicurezza conformemente al punto 8, con almeno uno dei seguenti controlli supplementari:

i)

protezione continua o verifica da parte di personale con nulla osta di sicurezza o personale di servizio;

ii)

un IDS approvato, in combinazione con personale di sicurezza incaricato degli interventi;

b)

in una camera blindata dotata di IDS, in combinazione con personale di sicurezza incaricato degli interventi.

29.

Le norme sul trasporto di ICUE al di fuori delle zone oggetto di protezione materiale figurano nell’allegato III.

VI.   CONTROLLO DELLE CHIAVI E DELLE COMBINAZIONI USATE PER PROTEGGERE LE ICUE

30.

L’autorità di sicurezza competente stabilisce le procedure di gestione delle chiavi e delle combinazioni per gli uffici, le stanze, le camere blindate e i contenitori di sicurezza. Tali procedure proteggono dall’accesso non autorizzato.

31.

Le combinazioni sono conosciute a memoria dal minor numero possibile di persone che hanno necessità di conoscerle. Le combinazioni dei contenitori di sicurezza e delle camere blindate in cui sono conservate ICUE sono modificate:

a)

al ricevimento di ogni nuovo contenitore;

b)

in caso di sostituzione del personale che conosce la combinazione;

c)

in caso di effettiva o sospetta compromissione;

d)

se una serratura è stata oggetto di manutenzione o riparazione; e

e)

almeno ogni dodici mesi.


ALLEGATO III

GESTIONE DI INFORMAZIONI CLASSIFICATE

I.   INTRODUZIONE

1.

Il presente allegato prevede le disposizioni di attuazione dell’articolo 9. Esso stabilisce le misure amministrative per controllare le ICUE per tutto il loro ciclo di vita al fine di contribuire a scoraggiare e scoprire i casi di compromissione o perdita intenzionale o accidentale di tali informazioni.

II.   GESTIONE DELLE CLASSIFICHE

Classifiche e contrassegni

2.

Le informazioni sono classificate quando devono essere protette con riferimento alla loro riservatezza.

3.

L’originatore delle ICUE è incaricato di determinare il livello di classifica di sicurezza, conformemente ai pertinenti orientamenti in materia di classifica, e della diffusione iniziale delle informazioni.

4.

Il livello di classifica delle ICUE è stabilito conformemente all’articolo 2, paragrafo 2 e con riferimento alla politica di sicurezza che deve essere approvata conformemente all’articolo 3, paragrafo 3.

5.

La classifica di sicurezza è chiaramente e correttamente indicata, indipendentemente dal fatto che le ICUE siano in forma cartacea, orale, elettronica o in altra forma.

6.

Le singole parti di un determinato documento (ad esempio pagine, paragrafi, sezioni, annessi, appendici, allegati e materiale accluso) possono richiedere classifiche differenti e sono contraddistinte di conseguenza anche nel caso in cui siano conservate in forma elettronica.

7.

Il livello generale di classifica di un documento o file è almeno quello del suo componente con livello di classifica più elevato. Quando si riprendono informazioni da varie fonti, il prodotto finale è riesaminato per determinarne il livello generale di classifica di sicurezza, in quanto può richiedere una classifica più elevata di quella dei suoi componenti.

8.

Per quanto possibile, i documenti che contengono parti con livelli di classifica diversi sono impostati in modo che le parti con un livello di classifica diverso possano essere facilmente individuate e, se necessario, separate.

9.

La classifica di una lettera o di una nota che comprende materiale accluso corrisponde a quello dell’elemento accluso con livello di classifica più elevato. L’originatore indica chiaramente il livello di classifica della lettera o della nota quando è separata dal materiale accluso mediante un contrassegno adeguato, ad esempio:

CONFIDENTIEL UE/EU CONFIDENTIAL:

Senza allegato/i RESTREINT UE/EU RESTRICTED

Contrassegni

10.

Oltre ad uno dei contrassegni di classifica di sicurezza di cui all’articolo 2, paragrafo 2, le ICUE possono recare altri contrassegni quali:

a)

un identificatore per designare l’originatore;

b)

avvertenze, parole chiave o acronimi per specificare il settore di attività cui si riferisce il documento, una distribuzione particolare sulla base del principio della necessità di conoscere o restrizioni d’uso;

c)

contrassegni di divulgabilità; o

d)

se del caso, la data o un evento specifico a seguito dei quali possono essere declassate o declassificate.

Contrassegni di classifica abbreviati

11.

Contrassegni di classifica abbreviati standard possono essere usati per indicare il livello di classifica di singoli paragrafi di un testo. Le abbreviazioni non sostituiscono i contrassegni di classifica per esteso.

12.

Le seguenti abbreviazioni standard possono essere usate nei documenti classificati UE per indicare il livello di classifica di sezioni o parti del testo di dimensioni inferiori a una pagina:

TRÈS SECRET UE/EU TOP SECRET

TS-UE/EU-TS

SECRET UE/EU SECRET

S-UE/EU-S

CONFIDENTIEL UE/EU CONFIDENTIAL

C-UE/EU-C

RESTREINT UE/EU RESTRICTED

R-UE/EU-R

Creazione di ICUE

13.

Quando si produce un documento classificato UE:

a)

ciascuna pagina è contrassegnata chiaramente con il livello di classifica;

b)

ciascuna pagina è numerata;

c)

il documento reca un numero di riferimento e un oggetto che non è in sé un’informazione classificata, a meno che non sia contrassegnato come tale;

d)

il documento è datato; e

e)

i documenti classificati di livello SECRET UE/EU SECRET o superiore, se devono essere distribuiti in più copie, recano un numero di copia sul ciascuna pagina.

14.

Qualora non sia possibile applicare il punto 13 alle ICUE, sono adottate altre misure appropriate conformemente agli orientamenti di sicurezza che devono essere stabiliti a norma dell’articolo 6, paragrafo 2.

Declassamento e declassificazione delle ICUE

15.

Al momento della creazione l’originatore indica, laddove possibile e in particolare per le informazioni classificate RESTREINT UE/EU RESTRICTED, se le ICUE possono essere declassate o declassificate ad una certa data o in seguito ad un dato evento.

16.

L’SGC riesamina periodicamente le ICUE in suo possesso per accertare che il livello di classifica sia ancora applicabile. L’SGC predispone un sistema per riesaminare il livello di classifica delle ICUE che ha originato almeno ogni cinque anni. Tale riesame non è necessario se l’originatore ha indicato fin dall’inizio che le informazioni saranno automaticamente declassate o declassificate e se le informazioni sono state contrassegnate di conseguenza.

III.   REGISTRAZIONE DI ICUE A FINI DI SICUREZZA

17.

Per tutte le entità organizzative nell’SGC e nelle amministrazioni nazionali degli Stati membri, nelle quali sono trattate ICUE è identificato un ufficio di registrazione competente che provvede affinché le ICUE siano trattate conformemente alla presente decisione. Gli uffici di registrazione sono costituiti come zone protette definite nell’allegato II.

18.

Ai fini della presente decisione, per registrazione a fini di sicurezza («registrazione») si intende l’applicazione di procedure che registrano il ciclo di vita dei materiali, ivi comprese la diffusione e la distruzione.

19.

Tutti i materiali classificati di livello CONFIDENTIEL UE/EU CONFIDENTIAL e superiore sono registrati in uffici di registrazione dedicati quando entrano o lasciano un’entità organizzativa.

20.

L’ufficio centrale di registrazione dell’SGC tiene un registro di tutte le informazioni classificate comunicate dal Consiglio e dall’SGC a Stati terzi e organizzazioni internazionali e di tutte le informazioni classificate pervenute da Stati terzi o organizzazioni internazionali.

21.

Nel caso di un CIS, le procedure di registrazione possono essere eseguite mediante procedure interne allo stesso CIS.

22.

Il Consiglio approva una politica di sicurezza per la registrazione delle ICUE a fini di sicurezza.

Uffici di registrazione TRÈS SECRET UE/EU TOP SECRET

23.

Negli Stati membri e nell’SGC è designato un ufficio di registrazione che funge da autorità centrale ricevente e trasmittente per le informazioni classificate di livello TRÈS SECRET UE/EU TOP SECRET. Per il trattamento delle informazioni a fini di registrazione possono essere designati, se necessario, uffici dipendenti.

24.

Tali uffici dipendenti non possono trasmettere documenti di livello TRÈS SECRET UE/EU TOP SECRET direttamente ad altri uffici dipendenti dello stesso ufficio centrale di registrazione TRÈS SECRET UE/EU TOP SECRET o all’esterno senza l’esplicito accordo di quest’ultimo.

IV.   RIPRODUZIONE E TRADUZIONE DI DOCUMENTI CLASSIFICATI UE

25.

I documenti di livello TRÈS SECRET UE/EU TOP SECRET possono essere riprodotti o tradotti solo previo consenso scritto dell’originatore.

26.

Se l’originatore di documenti classificati di livello SECRET UE/EU SECRET o inferiore non ha imposto limitazioni alla riproduzione o alla traduzione, detti documenti possono essere riprodotti o tradotti su istruzione del detentore.

27.

Le misure di sicurezza applicabili al documento originale si applicano alle copie e alle traduzioni.

V.   TRASPORTO DELLE ICUE

28.

Il trasporto di ICUE è soggetto alle misure di protezione menzionate nei punti da 30 a 41. Se le ICUE sono trasportate con mezzi elettronici, e in deroga all’articolo 9, paragrafo 4, le misure di protezione di seguito descritte possono essere integrate da opportune contromisure tecniche prescritte dall’autorità di sicurezza competente per minimizzare il rischio di perdita o di compromissione.

29.

Le autorità di sicurezza competenti dell’SGC e degli Stati membri impartiscono istruzioni sul trasporto delle ICUE conformemente alla presente decisione.

All’interno di un edificio o di un gruppo autonomo di edifici

30.

Le ICUE trasportate all’interno di un edificio o di un gruppo autonomo di edifici sono occultate per impedire che ne sia osservato il contenuto.

31.

All’interno di un edificio o di un gruppo autonomo di edifici le informazioni classificate di livello TRÈS SECRET UE/EU TOP SECRET sono trasportate in una busta protetta recante unicamente il nome del destinatario.

All’interno dell’Unione

32.

Le ICUE trasportate tra edifici o locali all’interno dell’Unione sono racchiuse in plichi in modo da proteggerle da divulgazione non autorizzata.

33.

Il trasporto di informazioni classificate CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET all’interno dell’Unione è effettuato secondo una delle seguenti modalità:

a)

corriere militare, governativo o valigia diplomatica, secondo i casi;

b)

trasporto a mano, a condizione che:

i)

le ICUE siano sempre detenute dal latore, a meno che non siano conservate conformemente ai requisiti di cui all’allegato II;

ii)

le ICUE non siano aperte durante il trasporto né lette in luoghi pubblici;

iii)

le persone siano istruite sulle loro responsabilità in materia di sicurezza; e

iv)

le persone dispongano, se necessario, di un certificato di corriere;

c)

servizi postali o servizi di corriere commerciale, a condizione che:

i)

siano approvati dall’NSA competente conformemente alle disposizioni legislative e regolamentari nazionali; e

ii)

applichino adeguate misure di protezione conformemente ai requisiti minimi da stabilire negli orientamenti di sicurezza a norma dell’articolo 6, paragrafo 2.

In caso di trasporto da uno Stato membro all’altro, le disposizioni della lettera c) sono limitate alle informazioni classificate CONFIDENTIEL UE/EU CONFIDENTIAL.

34.

Le informazioni classificate RESTREINT UE/EU RESTRICTED possono essere trasportate anche con servizi postali o servizi di corriere commerciale. Non è necessario un certificato di corriere per il trasporto di tali informazioni.

35.

Il materiale classificato CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET (ad esempio attrezzature o macchinari) che non può essere trasportato secondo le modalità di cui al punto 33 è trasportato come carico da società di vettori commerciali conformemente all’allegato V.

36.

Il trasporto di informazioni classificate TRÈS SECRET UE/EU TOP SECRET tra edifici o locali all’interno dell’Unione è effettuato per corriere militare, governativo o valigia diplomatica, secondo i casi.

Dall’Unione al territorio di uno Stato terzo

37.

Le ICUE trasportate dall’Unione al territorio di uno Stato terzo sono racchiuse in plichi in modo da proteggerle da divulgazione non autorizzata.

38.

Il trasporto di informazioni classificate CONFIDENTIEL UE/EU CONFIDENTIALSECRET e UE/EU SECRET dall’Unione al territorio di uno Stato terzo è effettuato secondo una delle seguenti modalità:

a)

corriere militare o valigia diplomatica;

b)

trasporto a mano, a condizione che:

i)

il plico rechi un sigillo ufficiale o l’indicazione che è una consegna ufficiale non soggetta a controllo doganale o di sicurezza;

ii)

le persone dispongano di un certificato di corriere che identifica il plico e le autorizza a trasportarlo;

iii)

le ICUE siano sempre detenute dal latore, a meno che non siano conservate conformemente ai requisiti di cui all’allegato II;

iv)

le ICUE non siano aperte durante il trasporto né lette in luoghi pubblici; e

v)

le persone siano istruite sulle loro responsabilità in materia di sicurezza.

39.

Il trasporto di informazioni classificate CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET comunicate dall’Unione a uno Stato terzo o a un’organizzazione internazionale è conforme alle pertinenti disposizioni previste in un accordo sulla sicurezza delle informazioni o un’ intesa amministrativa conformemente all’articolo 13, paragrafo 2, lettere a) o b).

40.

Le informazioni classificate RESTREINT UE/EU RESTRICTED possono essere trasportate anche con servizi postali o servizi di corriere commerciale.

41.

Il trasporto di informazioni classificate TRÈS SECRET UE/EU TOP SECRET dall’Unione al territorio di uno Stato terzo è effettuato con corriere militare o valigia diplomatica.

VI.   DISTRUZIONE DI ICUE

42.

I documenti classificati UE che non sono più necessari possono essere distrutti, fatti salvi norme e regolamenti pertinenti in materia di archiviazione.

43.

I documenti soggetti a registrazione conformemente all’articolo 9, paragrafo 2, sono distrutti dall’ufficio di registrazione competente su istruzione del detentore o di un’autorità competente. I repertori e gli altri dati sulla registrazione sono aggiornati di conseguenza.

44.

Per i documenti classificati SECRET UE/EU SECRET o TRÈS SECRET UE/EU TOP SECRET la distruzione avviene in presenza di un testimone che possiede un nulla osta di sicurezza almeno fino al livello di classifica del documento da distruggere.

45.

L’ufficiale del registro e il testimone, laddove sia richiesta la presenza di quest’ultimo, firmano un certificato di distruzione che è archiviato presso l’ufficio di registrazione. L’ufficio di registrazione conserva i certificati di distruzione dei documenti TRÈS SECRET UE/EU TOP SECRET per un periodo di almeno dieci anni e quelli dei documenti CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET per un periodo di almeno cinque anni.

46.

I documenti classificati, compresi quelli di livello RESTREINT UE/EU RESTRICTED, sono distrutti con metodi conformi alle pertinenti norme dell’Unione o equivalenti ovvero approvati dagli Stati membri conformemente alle norme tecniche nazionali per impedirne la ricostituzione integrale o parziale.

47.

La distruzione dei supporti informatici delle ICUE è effettuata conformemente all’allegato IV, punto 37.

48.

In caso di emergenza, se c’è un rischio imminente di divulgazione non autorizzata, le ICUE sono distrutte dal detentore in modo tale da non poter essere ricostruite né totalmente né parzialmente. L’originatore e l’ufficio di registrazione d’origine sono informati della distruzione d’emergenza delle ICUE registrate.

VII.   VISITE DI VALUTAZIONE

49.

Il termine «visita di valutazione» è di seguito usato per designare:

a)

ogni ispezione o visita di valutazione conformemente all’articolo 9, paragrafo 3, e all’articolo 16, paragrafo 2, lettere e), f) e g); o

b)

ogni visita di valutazione conformemente all’articolo 13, paragrafo 5, intesa a valutare l’efficacia delle misure attuate per proteggere le ICUE.

50.

Le visite di valutazione si effettuano, tra l’altro, al fine di:

a)

garantire il rispetto delle norme minime per proteggere le ICUE stabilite dalla presente decisione;

b)

sottolineare l’importanza della sicurezza e della gestione efficiente del rischio presso le entità ispezionate;

c)

raccomandare contromisure per attenuare l’impatto specifico della perdita di riservatezza, integrità o disponibilità delle informazioni classificate; e

d)

rafforzare i programmi in corso di formazione e sensibilizzazione alla sicurezza, condotti dalle autorità di sicurezza.

51.

Prima della fine di ogni anno civile, il Consiglio adotta il programma di visite di valutazione di cui all’articolo 16, paragrafo 1, lettera c), per l’anno successivo. Le date effettive delle singole visite di valutazione sono determinate di concerto con l’organo o l’organismo dell’Unione, lo Stato membro, lo Stato terzo o l’organizzazione internazionale interessati.

Svolgimento delle visite di valutazione

52.

Le visite di valutazione sono effettuate per verificare le pertinenti norme, regolamentazioni e procedure dell’entità oggetto della visita e per verificare se le prassi dell’entità sono conformi ai principi fondamentali e alle norme minime stabilite dalla presente decisione e alle disposizioni che disciplinano lo scambio di informazioni classificate con detta entità.

53.

Le visite di valutazione si svolgono in due fasi. Prima della visita si organizza una riunione preparatoria, se necessario, con l’entità interessata. Dopo tale riunione preparatoria la squadra addetta alla valutazione predispone, di concerto con l’entità interessata, un programma particolareggiato per la visita di valutazione che copre tutti i settori della sicurezza. La squadra addetta alla visita di valutazione dovrebbe avere accesso a tutti i luoghi in cui sono trattate ICUE, in particolare gli uffici di registrazione e i punti di presenza del CIS.

54.

Le visite di valutazione presso le amministrazioni nazionali degli Stati membri, gli Stati terzi e le organizzazioni internazionali si svolgono in piena collaborazione con i funzionari dell’entità, dello Stato terzo o dell’organizzazione internazionale oggetto della visita.

55.

Le visite di valutazione presso gli organi, gli organismi e le entità dell’Unione che applicano la presente decisione o i principi in essa contenuti sono condotte con l’assistenza di esperti dell’NSA sul cui territorio l’organo o l’organismo ha sede.

56.

Per le visite di valutazione degli organi, degli organismi e delle entità dell’Unione che applicano la presente decisione o i principi in essa contenuti, nonché degli Stati terzi e delle organizzazioni internazionali, si possono chiedere assistenza e contributi di esperti delle NSA secondo intese particolareggiate convenute con il Comitato per la sicurezza.

Rapporti

57.

Al termine della visita di valutazione le conclusioni e raccomandazioni principali sono presentate all’entità oggetto della visita. Successivamente, si redige un rapporto sulla visita di valutazione. Qualora siano state proposte misure correttive e raccomandazioni, il rapporto contiene elementi sufficienti a sostegno delle conclusioni. Il rapporto è trasmesso all’autorità competente dell’entità oggetto della visita.

58.

Per le visite di valutazione condotte nelle amministrazioni nazionali degli Stati membri:

a)

il progetto di rapporto di valutazione è trasmesso all’NSA interessata affinché verifichi che sia materialmente corretto e che non contenga informazioni classificate di livello superiore a RESTREINT UE/EU RESTRICTED; e

b)

a meno che l’NSA dello Stato membro in questione chieda di non effettuare la distribuzione generale, i rapporti di valutazione sono distribuiti al Comitato per la sicurezza. Il rapporto è classificato al livello RESTREINT UE/EU RESTRICTED.

Un regolare rapporto è stilato sotto la responsabilità dell’autorità di sicurezza dell’SGC (servizio di sicurezza) per evidenziare gli insegnamenti tratti dalle visite di valutazione condotte negli Stati membri durante un determinato periodo ed esaminato dal Comitato per la sicurezza.

59.

Per le visite di valutazione presso gli Stati terzi e le organizzazioni internazionali, il rapporto è distribuito al Comitato per la sicurezza. Il rapporto è classificato almeno al livello RESTREINT UE/EU RESTRICTED. Eventuali misure correttive sono verificate durante una successiva visita di controllo e riferite al Comitato per la sicurezza.

60.

Per le visite di valutazione degli organi, degli organismi e delle entità dell’Unione che applicano la presente decisione o i principi in essa contenuti, i rapporti sulla visita di valutazione sono distribuiti al Comitato per la sicurezza. Il progetto di rapporto sulla visita di valutazione è trasmesso all’agenzia o all’organo interessato affinché verifichi che sia materialmente corretto e che non contenga informazioni classificate di livello superiore a RESTREINT UE/EU RESTRICTED. Eventuali misure correttive sono verificate durante una successiva visita di controllo e riferite al Comitato per la sicurezza.

61.

L’autorità di sicurezza dell’SGC procede regolarmente a ispezioni delle entità organizzative nell’SGC ai fini indicati al punto 50.

Lista di controllo

62.

L’autorità di sicurezza dell’SGC (servizio di sicurezza) elabora e aggiorna una lista di controllo per i punti da verificare nel corso di una visita di valutazione. Tale lista è trasmessa al Comitato per la sicurezza.

63.

Le informazioni per compilare la lista di controllo sono ottenute in particolare durante la visita dal personale addetto alla gestione della sicurezza dell’entità ispezionata. Una volta compilata con le risposte dettagliate, la lista di controllo è classificata, d’intesa con l’entità ispezionata. Essa non fa parte del rapporto di ispezione.


ALLEGATO IV

PROTEZIONE DELLE ICUE TRATTATE NEI CIS

I.   INTRODUZIONE

1.

Il presente allegato prevede le disposizioni di attuazione dell’articolo 10.

2.

Le proprietà e i concetti seguenti in materia di IA sono essenziali per la sicurezza e il corretto funzionamento operativo dei CIS:

Autenticità

:

garanzia che l’informazione è veritiera e proviene da fonti in buona fede;

Disponibilità

:

proprietà di accessibilità e utilizzabilità su richiesta di un’entità autorizzata;

Riservatezza

:

proprietà per cui l’informazione non è divulgata a persone, entità o procedure non autorizzate;

Integrità

:

proprietà di tutela della precisione e della completezza delle informazioni e delle risorse;

Non disconoscibilità

:

capacità di provare che un’azione o un evento sono effettivamente accaduti e non possono essere negati in seguito.

II.   PRINCIPI DI GARANZIA DI SICUREZZA DELLE INFORMAZIONI

3.

Le disposizioni esposte di seguito sono alla base della sicurezza di tutti i CIS che trattano ICUE. I requisiti d’attuazione dettagliati di queste disposizioni sono definiti nelle politiche e negli orientamenti di sicurezza in materia di IA.

Gestione del rischio di sicurezza

4.

La gestione del rischio di sicurezza è parte integrante della definizione, dello sviluppo, del funzionamento e della manutenzione dei CIS. La gestione del rischio (valutazione, trattamento, accettazione e comunicazione) è condotta congiuntamente, nel quadro di un processo iterativo, da rappresentanti dei proprietari dei sistemi, autorità di progetto, autorità operative e autorità preposte all’approvazione di sicurezza, avvalendosi di una procedura comprovata, trasparente e ben comprensibile di valutazione del rischio. La portata del CIS e delle relative risorse è definita esplicitamente all’inizio della procedura di gestione del rischio.

5.

Le autorità competenti esaminano le potenziali minacce ai CIS e tengono aggiornate e complete le valutazioni dei rischi corrispondenti all’ambiente operativo del momento. Esse tengono costantemente aggiornate le proprie conoscenze relative alle questioni della vulnerabilità e rivedono periodicamente la valutazione di vulnerabilità alla luce dell’evoluzione dell’ambiente di tecnologia dell’informazione (IT).

6.

Il trattamento del rischio di sicurezza è volto ad applicare una serie di misure di sicurezza che risultino in un equilibrio soddisfacente tra le esigenze degli utenti, i costi e il rischio di sicurezza residuo.

7.

I requisiti, la portata e il grado di dettaglio specifici determinati dalla SAA competente per l’accreditamento di un CIS sono commisurati al rischio valutato, tenendo conto di tutti i fattori pertinenti, tra cui il livello di classifica delle ICUE trattate nel CIS. L’accreditamento comprende una dichiarazione formale sul rischio residuo e l’accettazione di tale rischio da parte di un’autorità responsabile.

Sicurezza lungo tutto il ciclo di vita del CIS

8.

La garanzia della sicurezza è un obbligo lungo tutto il ciclo di vita del CIS, dall’inizio al ritiro dal servizio.

9.

Il ruolo e l’interazione di ciascun attore di un CIS con riferimento alla sua sicurezza è individuato per ciascuna fase del ciclo di vita.

10.

Qualsiasi CIS, comprese le relative misure di sicurezza tecniche e non tecniche, è soggetto a prove di sicurezza durante il processo di accreditamento per garantire un adeguato livello di garanzie di sicurezza e accertare che sia applicato, integrato e configurato correttamente.

11.

Le valutazioni, le ispezioni e le verifiche di sicurezza sono effettuate periodicamente durante il funzionamento e la manutenzione di un CIS nonché quando si verificano circostanze eccezionali.

12.

La documentazione di sicurezza di un CIS evolve durante il suo ciclo di vita come parte integrante del processo di gestione dei cambiamenti e delle configurazioni.

Migliori prassi

13.

L’SGC e gli Stati membri collaborano per sviluppare migliori prassi di protezione delle ICUE trattate nei CIS. Gli orientamenti sulle migliori prassi stabiliscono misure di sicurezza tecniche, materiali, organizzative e procedurali per i CIS di comprovata efficacia nel combattere determinate minacce e vulnerabilità.

14.

La protezione delle ICUE trattate nei CIS si avvale dell’esperienza maturata dalle entità coinvolte nell’IA all’interno e al di fuori dell’Unione.

15.

La diffusione e successiva attuazione delle migliori prassi favorisce il raggiungimento di un livello equivalente di garanzia di sicurezza dei vari CIS, gestiti dall’SGC e dagli Stati membri, che trattano ICUE.

Difesa in profondità

16.

Per attenuare il rischio per i CIS è attuata una serie di misure di sicurezza tecniche e non tecniche, organizzate come fasi multiple di difesa. Tali fasi comprendono:

a)   la deterrenza: misure di sicurezza volte a scoraggiare progetti ostili di attacco dei CIS;

b)   la prevenzione: misure di sicurezza volte a ostacolare o bloccare un attacco ai CIS;

c)   il rilevamento: misure di sicurezza volte a scoprire un attacco ai CIS;

d)   la resilienza: misure di sicurezza volte a limitare l’impatto di un attacco ad una serie minima di informazioni o risorse del CIS evitando ulteriori danni; e

e)   il ripristino: misure di sicurezza volte a ripristinare il funzionamento in sicurezza del CIS.

Il livello di rigore di tali misure di sicurezza è determinato in base a una valutazione del rischio.

17.

L’NSA o altra autorità competente provvede affinché:

a)

siano messe in atto capacità in materia di ciberdifesa per far fronte a minacce che trascendano i limiti organizzativi e nazionali, e

b)

siano coordinate le risposte e messe in comune le informazioni su tali minacce, incidenti e il relativo rischio (capacità di risposta in caso di emergenza informatica).

Principio di essenzialità e privilegio minimo

18.

Per evitare rischi inutili sono attuate solo le funzionalità, i dispositivi e i servizi essenziali per soddisfare i requisiti operativi.

19.

Agli utenti dei CIS e alle procedure automatizzate sono forniti solo l’accesso, i privilegi o le autorizzazioni necessari allo svolgimento dei loro compiti, onde limitare i danni derivanti da incidenti, errori o uso non autorizzato delle risorse dei CIS.

20.

Le procedure di registrazione effettuate dal CIS, ove necessario, sono verificate nel quadro del processo di accreditamento.

Sensibilizzazione alla garanzia di sicurezza delle informazioni

21.

La sensibilizzazione ai rischi e alle misure di sicurezza disponibili è la prima linea di difesa per la sicurezza dei CIS. In particolare, tutto il personale attivo nel ciclo di vita dei CIS, compresi gli utenti, è consapevole di quanto segue:

a)

le disfunzioni della sicurezza possono danneggiare gravemente i CIS;

b)

il potenziale danno ad altri che può derivare dall’interconnettività e dall’interdipendenza; e

c)

la responsabilità personale, e l’obbligo di rendere conto, nella sicurezza dei CIS, secondo i rispettivi ruoli all’interno dei sistemi e delle procedure.

22.

Per assicurare che le responsabilità in materia di sicurezza siano ben comprese, tutto il personale coinvolto, ivi compresi i quadri dirigenziali e gli utenti dei CIS, è tenuto a seguire corsi di formazione e sensibilizzazione all’IA.

Valutazione e approvazione dei prodotti di sicurezza IT

23.

Il livello necessario di fiducia nelle misure di sicurezza, definito quale livello di garanzia, è determinato in base ai risultati della procedura di gestione del rischio e conformemente alle politiche e agli orientamenti di sicurezza pertinenti.

24.

Il livello di garanzia è verificato tramite procedure e metodologie riconosciute internazionalmente o approvate a livello nazionale. Ciò comprende in primo luogo valutazione, controlli e verifiche.

25.

I prodotti crittografici per la protezione delle ICUE sono valutati e approvati dalla CAA nazionale di uno Stato membro.

26.

Prima di essere raccomandati per approvazione del Consiglio o del segretario generale, conformemente all’articolo 10, paragrafo 6, tali prodotti crittografici sono stati valutati positivamente da un secondo soggetto ossia l’autorità di validazione qualificata (AQUA) di uno Stato membro non coinvolto nella progettazione o produzione delle attrezzature in questione. Il livello di precisione richiesto nella valutazione del secondo soggetto dipende dal livello di classifica massima prevista per le ICUE che tali prodotti devono proteggere. Il Consiglio approva una politica di sicurezza sulla valutazione e l’approvazione dei prodotti crittografici.

27.

Ove giustificato da specifici motivi operativi, il Consiglio o il segretario generale, secondo i casi, può su raccomandazione del Comitato per la sicurezza dispensare dai requisiti di cui ai punti 25 o 26 del presente allegato e rilasciare un’approvazione temporanea per un determinato periodo conformemente alla procedura di cui all’articolo 10, paragrafo 6.

28.

Il Consiglio, su raccomandazione del Comitato per la sicurezza, può accettare il processo di valutazione, selezione e approvazione di prodotti crittografici di uno Stato terzo o di un’organizzazione internazionale e quindi considerare tali prodotti approvati per la protezione delle ICUE comunicate a tale Stato terzo o organizzazione internazionale.

29.

Un’AQUA è una CAA di uno Stato membro che è stata accreditata in base ai criteri stabiliti dal Consiglio per procedere alla seconda valutazione dei prodotti crittografici ai fini della protezione delle ICUE.

30.

Il Consiglio approva una politica di sicurezza sulla qualificazione e l’approvazione dei prodotti di sicurezza IT non crittografici.

Trasmissione nelle zone protette e amministrative

31.

In deroga alle disposizioni della presente decisione, se la trasmissione di ICUE è limitata a zone protette o a zone amministrative, è possibile procedere ad una trasmissione non cifrata o a una cifratura di livello inferiore in base ai risultati di una procedura di gestione del rischio e previa approvazione della SAA.

Sicurezza dell’interconnessione dei CIS

32.

Ai fini della presente decisione, per «interconnessione» s’intende la connessione diretta tra due o più sistemi IT ai fini della condivisione dei dati e delle altre risorse dell’informazione (ad esempio comunicazione) in modo unidirezionale o multidirezionale.

33.

Un CIS considera inaffidabili i sistemi IT interconnessi e applica misure di protezione per controllare lo scambio d’informazioni classificate.

34.

Per tutte le interconnessioni dei CIS con un altro sistema IT sono soddisfatti i requisiti di base seguenti:

a)

i requisiti commerciali o operativi di tali interconnessioni sono dichiarati e approvati dalle autorità competenti;

b)

l’interconnessione è soggetta a una procedura di gestione del rischio e di accreditamento e richiede l’approvazione della SAA competente; e

c)

lungo il perimetro di tutti i CIS sono attuati servizi di protezione perimetrale (BPS).

35.

Non vi è interconnessione tra un CIS accreditato e una rete non protetta o pubblica, ad eccezione dei casi i cui il CIS ha approvato BPS installati a tal fine tra il CIS e la rete non protetta o pubblica. Le misure di sicurezza per tali interconnessioni sono esaminate dall’IAA competente e approvate dalla SAA competente.

Se la rete non protetta o pubblica è usata solo come vettore e i dati sono criptati con un prodotto crittografico approvato conformemente all’articolo 10, tale connessione non è considerata un’interconnessione.

36.

È vietata l’interconnessione diretta o a cascata di un CIS accreditato per il trattamento di informazioni classificate TRÈS SECRET UE/EU TOP SECRET a una rete non protetta o pubblica.

Supporti informatici

37.

I supporti informatici sono distrutti secondo procedure approvate dall’autorità di sicurezza competente.

38.

I supporti informatici sono riutilizzati, declassati o declassificati conformemente a orientamenti di sicurezza da stabilire a norma dell’articolo 6, paragrafo 2.

Situazioni di emergenza

39.

In deroga alle disposizioni della presente decisione, le procedure specifiche descritte di seguito possono essere applicate in casi di emergenza, come in situazioni di crisi, conflitti, guerre imminenti o già in corso o in circostanze operative eccezionali.

40.

Le ICUE possono essere trasmesse, previo consenso dell’autorità competente, usando prodotti crittografici approvati per un livello di classifica inferiore o senza cifratura nel caso in cui un ritardo causerebbe un danno manifestamente maggiore di quello dovuto all’eventuale divulgazione del materiale classificato e se:

a)

il mittente e il destinatario non hanno l’attrezzatura di cifratura necessaria o non hanno alcuna attrezzatura di cifratura; e

b)

il materiale classificato non può essere trasmesso in tempo utile con altri mezzi.

41.

Le informazioni classificate trasmesse nelle circostanze di cui al punto 39 non recano alcun contrassegno o indicazione che le distinguano da informazioni non classificate o che possono essere protette mediante prodotti crittografici disponibili. I destinatari sono informati tempestivamente e con altri mezzi del livello di classifica.

42.

In caso di ricorso al punto 39, è presentato un successivo rapporto all’autorità competente e al Comitato per la sicurezza.

III.   FUNZIONI E AUTORITÀ DI GARANZIA DI SICUREZZA DELLE INFORMAZIONI

43.

Negli Stati membri e presso l’SGC sono stabilite le seguenti funzioni in materia di IA. Tali funzioni non richiedono entità organizzative uniche. Esse hanno mandati separati. Tuttavia, tali funzioni, e le responsabilità a esse collegate, possono combinarsi o integrarsi nella stessa entità organizzativa o suddividersi tra diverse entità organizzative, a condizione che si evitino conflitti interni di interessi o di mansioni.

Autorità per la garanzia di sicurezza delle informazioni

44.

L’IAA ha il compito di:

a)

sviluppare politiche e orientamenti di sicurezza in materia di IA e monitorarne l’efficacia e la pertinenza;

b)

salvaguardare e gestire informazioni tecniche relative ai prodotti crittografici;

c)

garantire che le misure in materia di IA adottate per proteggere le ICUE rispettino le politiche pertinenti che ne disciplinano l’ammissibilità e la selezione;

d)

garantire che i prodotti crittografici siano selezionati nel rispetto delle politiche che ne disciplinano l’ammissibilità e la selezione;

e)

coordinare la formazione e la sensibilizzazione in materia di IA;

f)

consultare il fornitore del sistema, gli operatori della sicurezza e i rappresentanti degli utenti per quanto riguarda politiche e orientamenti di sicurezza in materia di IA e

g)

assicurare la disponibilità di adeguate conoscenze tecniche nella sotto-sezione di esperti del Comitato per la sicurezza per le questioni IA.

Autorità TEMPEST

45.

L’Autorità TEMPEST (TA) è responsabile della conformità dei CIS con le politiche e gli orientamenti TEMPEST. Essa approva le contromisure TEMPEST per le installazioni e i prodotti per la protezione delle ICUE a un determinato livello di classifica nel suo contesto operativo.

Autorità di approvazione degli apparati crittografici

46.

L’autorità di approvazione degli apparati crittografici (CAA) ha il compito di assicurare che i prodotti crittografici siano conformi alla politica nazionale o alla politica del Consiglio in materia di crittografia. Essa concede l’approvazione di un prodotto crittografico per la protezione delle ICUE a un determinato livello di classifica nel suo contesto operativo. Per quanto riguarda gli Stati membri, la CAA è inoltre responsabile della valutazione dei prodotti crittografici.

Autorità di distribuzione degli apparati crittografici

47.

L’autorità di distribuzione degli apparati crittografici (CDA) ha il compito di:

a)

gestire e rendere conto del materiale crittografico dell’UE;

b)

assicurare che siano attuate procedure appropriate e siano stabiliti canali per rendere conto di tutto il materiale crittografico dell’UE e assicurarne il trattamento, la conservazione e la diffusione in modo sicuro; e

c)

assicurare il trasferimento di materiale crittografico dell’UE verso o da singole persone o servizi che lo utilizzano.

Autorità di accreditamento di sicurezza

48.

L’autorità di accreditamento di sicurezza (SAA) per ciascun sistema ha il compito di:

a)

assicurare che il CIS sia conforme alle politiche e agli orientamenti di sicurezza pertinenti, fornire una dichiarazione di approvazione del CIS per il trattamento di ICUE a un determinato livello di classifica nel suo contesto operativo, specificare i termini e le condizioni dell’accreditamento e i criteri in base ai quali è richiesta una nuova approvazione;

b)

stabilire un processo di accreditamento di sicurezza, conformemente alle pertinenti politiche, definendo chiaramente le condizioni per l’approvazione dei CIS sotto la sua autorità;

c)

definire una strategia di accreditamento di sicurezza che stabilisce il grado di dettaglio del processo di accreditamento commisurato al livello di garanzia richiesto;

d)

esaminare e approvare la documentazione attinente alla sicurezza, comprese le dichiarazioni di gestione del rischio e quelle sul rischio residuo, le dichiarazioni relative ai requisiti di sicurezza specifici del sistema («SSRS»), la documentazione relativa alla verifica dell’attuazione della sicurezza e le procedure operative di sicurezza («SecOp»), e garantirne la conformità alle norme e politiche del Consiglio in materia di sicurezza;

e)

controllare l’attuazione di misure di sicurezza in relazione al CIS effettuando o patrocinando valutazioni, ispezioni o riesami riguardo alla sicurezza;

f)

definire requisiti di sicurezza (ad esempio livelli di nulla osta personale) per i posti sensibili in relazione al CIS;

g)

approvare la selezione di prodotti crittografici e TEMPEST approvati, utilizzati per garantire la sicurezza di un CIS;

h)

approvare l’interconnessione ad altri CIS di un CIS o, se del caso, partecipare all’approvazione comune di tale interconnessione; e

i)

consultare il fornitore del sistema, gli operatori della sicurezza e i rappresentanti degli utenti per quanto riguarda la gestione del rischio di sicurezza, in particolare il rischio residuo, nonché i termini e le condizioni della dichiarazione di approvazione.

49.

La SAA dell’SGC è responsabile dell’accreditamento di tutti i CIS operanti nell’ambito di competenza dell’SGC.

50.

La SAA competente di uno Stato membro è responsabile dell’accreditamento dei CIS e delle relative componenti operanti nell’ambito di competenza di uno Stato membro.

51.

Un comitato di accreditamento di sicurezza (SAB) comune è responsabile dell’accreditamento dei CIS nell’ambito di competenza sia della SAA dell’SGC che delle SAA degli Stati membri. Esso è composto di un rappresentante SAA per ciascuno Stato membro e vi partecipa un rappresentante SAA della Commissione. Altri soggetti con nodi su un CIS sono invitati a partecipare alle discussioni su tale sistema.

Il SAB è presieduto da un rappresentante della SAA dell’SGC. Esso delibera per consenso dei rappresentanti SAA delle istituzioni, degli Stati membri e di altri soggetti con nodi sul CIS. Esso riferisce periodicamente circa le sue attività al Comitato per la sicurezza e gli notifica tutte le dichiarazioni di accreditamento.

Autorità operativa per la garanzia di sicurezza delle informazioni

52.

L’autorità operativa IA per ciascun sistema ha il compito di:

a)

sviluppare una documentazione di sicurezza conforme alle politiche e agli orientamenti di sicurezza, in particolare gli SSRS, compresi la dichiarazione sul rischio residuo, le SecOp e il piano crittografico nell’ambito del processo di accreditamento del CIS;

b)

partecipare alla selezione e alla verifica di misure, dispositivi e software di sicurezza tecnica specifici del sistema, per sorvegliarne l’attuazione ed assicurarne l’installazione, la configurazione e la manutenzione in modo sicuro conformemente alla relativa documentazione di sicurezza;

c)

partecipare alla selezione di misure di sicurezza e dispositivi TEMPEST se richiesto nell’SSRS e assicurarne l’installazione e la manutenzione in modo sicuro in cooperazione con la TA;

d)

controllare l’attuazione e l’applicazione delle SecOps e, ove opportuno, delegare le responsabilità di sicurezza operativa al proprietario del sistema;

e)

gestire e trattare prodotti crittografici, assicurando la custodia di apparati crittografici e controllati e, se richiesto, garantire la produzione di variabili crittografiche;

f)

svolgere analisi, esami e verifiche di sicurezza, in particolare per elaborare le pertinenti relazioni sui rischi, come richiesto dalla SAA;

g)

fornire una formazione IA specifica del CIS; e

h)

attuare e mettere in funzione misure di sicurezza specifiche del CIS.


ALLEGATO V

SICUREZZA INDUSTRIALE

I.   INTRODUZIONE

1.

Il presente allegato prevede le disposizioni di attuazione dell’articolo 11. Esso stabilisce le disposizioni generali di sicurezza applicabili a soggetti industriali o di altra natura in sede di negoziati precontrattuali e lungo tutto il ciclo di vita dei contratti classificati conclusi dall’SGC.

2.

Il Consiglio approva orientamenti sulla sicurezza industriale che delineano in particolare requisiti dettagliati in ordine agli FSC, alle lettere sugli aspetti di sicurezza (SAL), alle visite, alla trasmissione e al trasporto di ICUE.

II.   ELEMENTI DI SICUREZZA IN UN CONTRATTO CLASSIFICATO

Guida alle classifiche di sicurezza (SCG)

3.

Prima di indire un bando di gara o di concludere un contratto classificato, l’SGC in quanto autorità contraente stabilisce la classifica di sicurezza delle informazioni che devono essere fornite agli offerenti e ai contraenti, nonché la classifica di sicurezza delle informazioni che il contraente deve creare. A tal fine l’SGC mette a punto una SCG ai fini dell’esecuzione del contratto.

4.

Per stabilire la classifica di sicurezza dei vari elementi di un contratto classificato si applicano i principi seguenti:

a)

nel redigere la SCG, l’SGC tiene conto di tutti gli aspetti di sicurezza, tra cui la classifica di sicurezza assegnata all’informazione fornita e approvata che l’originatore dell’informazione deve usare per il contratto;

b)

il livello generale di classifica del contratto non può essere inferiore alla classifica più elevata di uno dei suoi elementi; e

c)

ove opportuno, l’SGC si mette in contatto con le NSA/DSA degli Stati membri o altre autorità di sicurezza competenti interessate in caso di qualsiasi modifica nella classifica delle informazioni create dai contraenti o ad essi fornite nell’esecuzione di un contratto e di eventuali ulteriori modifiche alla SCG.

Lettera sugli aspetti di sicurezza (SAL)

5.

I requisiti di sicurezza specifici del contratto sono descritti in una SAL. Ove opportuno, la SAL contiene la SCG ed è parte integrante del contratto o subcontratto.

6.

La SAL contiene le disposizioni che impongono al contraente e/o al subcontraente di osservare le norme minime stabilite dalla presente decisione. L’inosservanza di tali norme minime può essere motivo sufficiente di estinzione del contratto.

Istruzioni di sicurezza del programma/progetto (PSI)

7.

Secondo la portata dei programmi o dei progetti che comportano l’accesso a ICUE o il loro trattamento o la loro conservazione, l’autorità contraente incaricata della gestione del programma o del progetto può redigere specifiche PSI. Le PSI richiedono l’approvazione delle NSA/DSA degli Stati membri o delle altre autorità di sicurezza competenti che partecipano al PSI e possono contenere requisiti di sicurezza supplementari.

III.   NULLA OSTA DI SICUREZZA DELLE IMPRESE (FSC)

8.

L’NSA/DSA o altra autorità di sicurezza competente di uno Stato membro concede un FSC per indicare, conformemente alle disposizioni legislative e regolamentari nazionali, che un soggetto industriale o di altra natura è in grado di proteggere le ICUE al livello adatto di classifica (CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET) all’interno delle proprie strutture. L’FSC è presentato all’SGC in quanto autorità contraente prima che al contraente o al subcontraente, effettivo o potenziale, possano essere comunicate delle ICUE o possa essere concesso un accesso alle ICUE.

9.

Quando rilascia un FSC l’NSA/DSA competente, come minimo:

a)

valuta l’integrità del soggetto industriale o di altra natura;

b)

valuta la titolarità, il controllo o il potenziale di influenza indebita che può essere considerato un rischio per la sicurezza;

c)

verifica che il soggetto industriale o di altra natura abbia stabilito un sistema di sicurezza nella struttura che contempli tutte le misure appropriate in materia di sicurezza necessarie per la protezione delle informazioni o del materiale classificato CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET conformemente ai requisiti stabiliti dalla presente decisione;

d)

verifica che lo status in materia di sicurezza del personale della direzione, dei proprietari e degli impiegati che devono avere accesso a informazioni classificate CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET sia stato stabilito conformemente ai requisiti stabiliti dalla presente decisione; e

e)

verifica che il soggetto industriale o di altra natura abbia nominato un responsabile della sicurezza delle imprese che risponde alla direzione dell’osservanza degli obblighi di sicurezza all’interno del soggetto stesso.

10.

Ove opportuno, l’SGC in quanto autorità contraente comunica all’NSA/DSA pertinente o altra autorità di sicurezza competente che è necessario un FSC in fase precontrattuale o di esecuzione del contratto. In fase precontrattuale è richiesto un FSC o un PSC laddove occorre fornire ICUE classificate CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET durante il processo di presentazione delle offerte.

11.

L’autorità contraente non assegna all’offerente selezionato un contratto classificato prima di aver ricevuto conferma dall’NSA/DSA, o da altra autorità di sicurezza competente dello Stato membro in cui ha sede il contraente o subcontraente interessato, che laddove necessario è stato rilasciato l’FSC adatto.

12.

L’NSA/DSA o altra autorità di sicurezza competente che ha rilasciato un FSC comunica all’SGC in quanto autorità contraente le modifiche inerenti l’FSC. In caso di subcontratto, l’NSA/DSA o altra autorità di sicurezza competente è informata di conseguenza.

13.

La revoca dell’FSC da parte dell’NSA/DSA interessata o da altra autorità di sicurezza competente è motivo sufficiente per far sì che l’SGC in quanto autorità contraente estingua il contratto classificato o escluda l’offerente dalla gara.

IV.   CONTRATTI O SUBCONTRATTI CLASSIFICATI

14.

Qualora a un offerente siano fornite ICUE in fase precontrattuale, l’invito a presentare offerte contiene una disposizione che impone all’offerente che non ha presentato l’offerta o che non è stato selezionato l’obbligo di restituire tutti i documenti entro un periodo di tempo determinato.

15.

Una volta aggiudicato il contratto o il subcontratto classificato, l’SGC in quanto autorità contraente notifica all’NSA/DSA o altra autorità di sicurezza competente del contraente o subcontraente le disposizioni di sicurezza del contratto.

16.

In caso di estinzione dei suddetti contratti l’SGC in quanto autorità contraente (e/o l’NSA/DSA o altra autorità di sicurezza competente, ove opportuno, in caso di subcontratto) ne informa immediatamente l’NSA/DSA o altra autorità di sicurezza competente dello Stato membro in cui il contraente o subcontraente ha sede.

17.

Di norma, alla cessazione del contratto o del subcontratto il contraente o subcontraente è tenuto a restituire all’autorità contraente le ICUE in suo possesso.

18.

La SAL contiene disposizioni specifiche per l’eliminazione delle ICUE durante l’esecuzione o alla cessazione del contratto.

19.

Se è autorizzato a conservare le ICUE alla cessazione del contratto, il contraente o subcontraente continua a rispettare le norme minime comuni previste dalla presente decisione nonché a proteggere la riservatezza delle ICUE.

20.

Le condizioni alle quali è ammesso il subcontratto da parte del contraente sono definite nel bando di gara e nel contratto.

21.

Prima di subappaltare parti di un contratto classificato il contraente ottiene il consenso dell’SGC in quanto autorità contraente. Nessun subcontratto può essere aggiudicato a un soggetto industriale o di altra natura avente sede in uno Stato non membro dell’UE che non abbia concluso con l’Unione un accordo sulla sicurezza delle informazioni.

22.

Il contraente ha il compito di assicurare che tutte le attività del subcontratto si svolgano secondo le norme minime previste dalla presente decisione e si astiene dal fornire ICUE al subcontraente senza previo consenso scritto dell’autorità contraente.

23.

L’autorità contraente esercita i diritti dell’originatore sulle ICUE create o trattate dal contraente o subcontraente.

V.   VISITE E CONTRATTI CLASSIFICATI

24.

Se il personale dell’SGC, dei contraenti o dei subcontraenti richiede l’accesso a informazioni classificate CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET nei rispettivi locali per l’esecuzione di un contratto classificato, le visite sono fissate di concerto con le NSA/DSA o altre autorità di sicurezza competenti interessate. Tuttavia, nel contesto di progetti specifici, le NSA/DSA possono anche convenire una procedura in base alla quale tali visite possono essere fissate direttamente.

25.

Tutti i visitatori dispongono di un PSC adatto e di una necessità di conoscere per accedere alle ICUE relative ad un contratto dell’SGC.

26.

I visitatori possono accedere solo alle ICUE relative all’oggetto della visita.

VI.   TRASMISSIONE E TRASPORTO DI ICUE

27.

Per la trasmissione di ICUE mediante mezzi elettronici si applicano le pertinenti disposizioni dell’articolo 10 e dell’allegato IV.

28.

Con riguardo al trasporto di ICUE, si applicano le pertinenti disposizioni dell’allegato III, conformemente alle disposizioni legislative e regolamentari nazionali.

29.

Per il trasporto di materiale classificato come carico, nel fissare i dispositivi di sicurezza si applicano i principi seguenti:

a)

la sicurezza è garantita in tutte le fasi del trasporto dal luogo di origine alla destinazione finale;

b)

il livello di protezione attribuito a una spedizione è determinato dal livello di classifica più elevato del materiale trasportato;

c)

un FSC di livello adatto è stato ottenuto dalle società addette al trasporto. In tal caso, il personale addetto alla spedizione dispone di un nulla osta di sicurezza conformemente all’allegato I;

d)

qualsiasi movimento transfrontaliero di materiale classificato CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET è subordinato a un programma di trasporto elaborato dal mittente e approvato dalle NSA/DSA o altra autorità di sicurezza competente interessata;

e)

i tragitti sono effettuati, per quanto possibile, da punto a punto e sono completati quanto più rapidamente possibile secondo le circostanze; e

f)

gli itinerari dovrebbero attraversare, per quanto possibile, unicamente Stati membri. Gli itinerari attraverso Stati diversi dagli Stati membri dovrebbero essere seguiti solo se autorizzati dall’NSA/DSA o da altra autorità di sicurezza competente degli Stati di spedizione e di destinazione.

VII.   TRASMISSIONE DI ICUE A CONTRAENTI SITUATI IN PAESI TERZI

30.

LE ICUE sono trasmesse a contraenti e subcontraenti situati in paesi terzi secondo misure di sicurezza convenute tra l’SGC in quanto autorità contraente e l’NSA/DSA del paese terzo interessato in cui il contraente ha sede.

VIII.   INFORMAZIONI CLASSIFICATE RESTREINT UE/EU RESTRICTED

31.

Di concerto con l’NSA/DSA dello Stato membro, se opportuno, l’SGC in quanto autorità contraente ha diritto di procedere a ispezioni dei locali dei contraenti/subcontraenti in forza delle disposizioni contrattuali, per verificare che siano attuate le misure di sicurezza per la protezione delle ICUE di livello RESTREINT UE/EU RESTRICTED come previsto dal contratto.

32.

Nella misura in cui è necessario a norma delle disposizioni legislative e regolamentari nazionali, le NSA/DSA o qualsiasi altra autorità nazionale competente sono informate dall’SGC in quanto autorità contraente dei contratti o subcontratti contenenti informazioni classificate RESTREINT UE/EU RESTRICTED.

33.

Per i contratti stipulati dall’SGC contenenti informazioni classificate RESTREINT UE/EU RESTRICTED, i contraenti o subcontraenti e relativo personale non sono tenuti a possedere un FSC o un PSC.

34.

L’SGC in quanto autorità contraente esamina le risposte agli inviti a presentare offerte per i contratti che richiedono l’accesso a informazioni classificate RESTREINT UE/EU RESTRICTED, a prescindere da eventuali requisiti vigenti a norma delle disposizioni legislative e regolamentari nazionali in ordine agli FSC o PSC.

35.

Le condizioni alle quali è ammesso il subcontratto da parte del contraente sono conformi al punto 21.

36.

Se un contratto comporta il trattamento di informazioni classificate RESTREINT UE/EU RESTRICTED in un CIS gestito da un contraente, l’SGC in qualità di autorità contraente garantisce che nel contratto o eventuale subcontratto siano specificati i requisiti tecnici e amministrativi necessari in ordine all’accreditamento del CIS commisurati al rischio valutato, tenendo conto di tutti i fattori pertinenti. La portata dell’accreditamento di tale CIS è concordata tra l’autorità contraente e l’NSA/DSA competente.


ALLEGATO VI

SCAMBIO DI INFORMAZIONI CLASSIFICATE CON STATI TERZI E ORGANIZZAZIONI INTERNAZIONALI

I.   INTRODUZIONE

1.

Il presente allegato prevede le disposizioni di attuazione dell’articolo 13.

II.   QUADRI CHE DISCIPLINANO LO SCAMBIO DI INFORMAZIONI CLASSIFICATE

2.

Qualora il Consiglio ravvisi la necessità a lungo termine di scambiare informazioni classificate,

è concluso un accordo sulla sicurezza delle informazioni, o

sono pattuite intese amministrative,

conformemente all’articolo 13, paragrafo 2, e alle sezioni III e IV e in base a una raccomandazione del Comitato per la sicurezza.

3.

Qualora le ICUE prodotte ai fini di un’operazione PSDC debbano essere fornite a Stati terzi od organizzazioni internazionali che partecipano a tale operazione, e qualora non esista alcuno dei quadri di cui al punto 2, lo scambio di ICUE con lo Stato terzo o l’organizzazione internazionale contributori è regolato, conformemente alla sezione V, a norma di:

un accordo quadro di partecipazione, o

un accordo di partecipazione ad hoc, o

in assenza di uno degli accordi summenzionati, un’intesa amministrativa ad hoc.

4.

In assenza di uno dei quadri di cui ai punti 2 e 3, e qualora sia adottata una decisione per comunicare ICUE a uno Stato terzo od organizzazione internazionale su una base eccezionale ad hoc conformemente alla sezione VI, sono richieste assicurazioni scritte dello Stato terzo od organizzazione internazionale in questione per garantire che questi proteggano qualsiasi ICUE comunicata conformemente ai principi fondamentali e alle norme minime stabiliti nella presente decisione.

III.   ACCORDI SULLA SICUREZZA DELLE INFORMAZIONI

5.

Gli accordi sulla sicurezza delle informazioni stabiliscono i principi fondamentali e le norme minime che disciplinano lo scambio di informazioni classificate tra l’Unione e uno Stato terzo od organizzazione internazionale.

6.

Gli accordi sulla sicurezza delle informazioni prevedono modalità tecniche di attuazione da concordare tra le competenti autorità di sicurezza delle istituzioni e degli organi pertinenti dell’Unione e la competente autorità di sicurezza dello Stato terzo o dell’organizzazione internazionale interessati. Tali modalità tengono conto del livello di protezione garantito dalle normative, dalle strutture e dalle procedure in materia di sicurezza esistenti nello Stato terzo o nell’organizzazione internazionale in questione. Esse sono approvate dal Comitato per la sicurezza.

7.

Nel quadro di un accordo sulla sicurezza delle informazioni non si scambiano ICUE mediante mezzi elettronici, a meno che non sia esplicitamente previsto dall’accordo o dalle corrispondenti modalità tecniche di attuazione.

8.

Quando il Consiglio conclude un accordo sulla sicurezza delle informazioni, ciascuna delle parti designa un ufficio di registrazione come principale punto d’ingresso e uscita per gli scambi delle informazioni classificate.

9.

Per valutare l’efficacia delle normative, delle strutture e delle procedure in materia di sicurezza nello Stato terzo o nell’organizzazione internazionale in questione, sono effettuate visite di valutazione di comune accordo con lo Stato terzo o l’organizzazione internazionale interessati. Tali visite di valutazione sono condotte conformemente alle pertinenti disposizioni dell’allegato III e valutano:

a)

il quadro normativo applicabile per la protezione delle informazioni classificate;

b)

eventuali aspetti specifici della politica di sicurezza e del modo in cui è organizzata la sicurezza nello Stato terzo o nell’organizzazione internazionale che potrebbero avere un impatto sul livello delle informazioni classificate che possono essere oggetto di scambio;

c)

le misure e le procedure di sicurezza effettivamente attuate; e

d)

le procedure per il nulla osta di sicurezza per il livello delle ICUE da comunicare.

10.

La squadra che conduce una visita di valutazione a nome dell’Unione valuta se le norme e procedure di sicurezza nello Stato terzo o nell’organizzazione internazionale in questione sono adeguate alla protezione delle ICUE di un determinato livello.

11.

I risultati di tali visite sono illustrati in una relazione sulla cui base il Comitato per la sicurezza stabilisce il livello massimo delle ICUE che possono essere scambiate in forma cartacea e, in caso, con mezzi elettronici con il terzo in questione nonché eventuali condizioni specifiche applicabili a tale scambio.

12.

Viene compiuto ogni sforzo per effettuare una visita completa di valutazione della sicurezza nello Stato terzo o nell’organizzazione internazionale in questione prima che il Comitato per la sicurezza approvi le modalità di attuazione al fine di accertare la natura e l’efficienza del sistema di sicurezza esistente. Tuttavia, ove ciò non sia possibile, il Comitato per la sicurezza riceve una relazione quanto più completa possibile dal servizio di sicurezza dell’SGC, in base alle informazioni in suo possesso, in cui viene informato delle norme di sicurezza applicabili e del modo in cui è organizzata la sicurezza nello Stato terzo o nell’organizzazione internazionale interessati.

13.

Prima che le ICUE siano effettivamente comunicate allo Stato terzo o all’organizzazione internazionale in questione, la relazione sulla visita di valutazione, o in sua assenza la relazione a cui si fa riferimento al punto 12, è trasmessa al Comitato per la sicurezza che la deve giudicare soddisfacente.

14.

Le autorità di sicurezza competenti delle istituzioni e degli organi dell’Unione comunicano allo Stato terzo o all’organizzazione internazionale la data a partire dalla quale l’Unione è in grado di comunicare ICUE ai sensi dell’accordo, nonché il livello massimo delle ICUE che possono essere scambiate in forma cartacea o con mezzi elettronici.

15.

Se necessario sono effettuate visite di valutazione di follow up, in particolare se:

a)

è necessario elevare il livello delle ICUE da comunicare;

b)

sono state notificate all’Unione modifiche fondamentali dei dispositivi di sicurezza dello Stato terza o dell’organizzazione internazionale che possano avere un impatto sulle modalità di protezione delle ICUE; o

c)

si è verificato un incidente grave che ha comportato la divulgazione non autorizzata di ICUE.

16.

Quando l’accordo sulla sicurezza delle informazioni è in vigore e le informazioni classificate sono scambiate con lo Stato terzo o l’organizzazione internazionale interessati, il Comitato per la sicurezza può decidere di modificare il livello massimo delle ICUE che possono essere scambiate in forma cartacea o con mezzi elettronici, in particolare alla luce di eventuali visite di valutazione di follow up.

IV.   INTESE AMMINISTRATIVE

17.

Qualora sussista una necessità a lungo termine di scambiare informazioni classificate in generale di livello non superiore a RESTREINT UE/EU RESTRICTED con uno Stato terzo o un’organizzazione internazionale e qualora il Comitato per la Sicurezza abbia stabilito che il terzo in questione non possiede un sistema di sicurezza sufficientemente sviluppato da consentirgli di concludere un accordo sulla sicurezza delle informazioni, il segretario generale, previa approvazione del Consiglio, può pattuire intese amministrative a nome dell’SGC con le autorità competenti dello Stato terzo o dell’organizzazione internazionale in questione.

18.

Qualora si debba istituire rapidamente, per ragioni operative urgenti, un quadro normativo per lo scambio di informazioni classificate, eccezionalmente il Consiglio può decidere di pattuire intese amministrative per lo scambio di informazioni di un livello di classifica più elevato.

19.

Le intese amministrative assumono di norma la forma di uno scambio di lettere.

20.

Prima che le ICUE siano effettivamente comunicate allo Stato terzo o all’organizzazione internazionale in questione, è effettuata una visita di valutazione di cui al punto 9 e la relazione, o in sua assenza la relazione a cui si fa riferimento al punto 12, è trasmessa al Comitato per la sicurezza che la deve giudicare soddisfacente.

21.

Nel quadro di un’intesa amministrativa non si scambiano ICUE mediante mezzi elettronici a meno che non sia esplicitamente previsto dall’intesa.

V.   SCAMBIO DI INFORMAZIONI CLASSIFICATE NEL CONTESTO DI OPERAZIONI PSDC

22.

Gli accordi quadro di partecipazione disciplinano la partecipazione di Stati terzi od organizzazioni internazionali alle operazioni PSDC. Tali accordi includono disposizioni sulla comunicazione di ICUE prodotte ai fini delle operazioni PSDC agli Stati terzi o alle organizzazioni internazionali contributori. Il livello massimo di classifica delle ICUE che possono essere scambiate è RESTREINT UE/EU RESTRICTED per operazioni civili PSDC e CONFIDENTIEL UE/EU CONFIDENTIAL per operazioni militari PSDC, salvo se diversamente stabilito nella decisione che istituisce ciascuna operazione PSDC.

23.

Gli accordi di partecipazione ad hoc conclusi per una specifica operazione PSDC includono disposizioni sulla comunicazione di ICUE prodotte ai fini di detta operazione allo Stato terzo o all’organizzazione internazionale contributori. Il livello massimo di classifica delle ICUE che possono essere scambiate è RESTREINT UE/EU RESTRICTED per operazioni civili PSDC e CONFIDENTIEL UE/EU CONFIDENTIAL per operazioni militari PSDC, salvo se diversamente stabilito nella decisione che istituisce ciascuna operazione PSDC.

24.

In assenza di un accordo sulla sicurezza delle informazioni e in attesa della conclusione di un accordo di partecipazione, la comunicazione di ICUE prodotte ai fini dell’operazione a uno Stato terzo o un’organizzazione internazionale che partecipa a detta operazione è disciplinata da un’intesa amministrativa sottoscritta dall’alto rappresentante o soggetta a una decisione su una comunicazione ad hoc conformemente alla sezione VI. Le ICUE si scambiano nel quadro di tale intesa solo fintantoché è prevista la partecipazione dello Stato terzo o dell’organizzazione internazionale. Il livello massimo di classifica delle ICUE che possono essere scambiate è RESTREINT UE/EU RESTRICTED per operazioni civili PSDC e CONFIDENTIEL UE/EU CONFIDENTIAL per operazioni militari PSDC, salvo se diversamente stabilito nella decisione che istituisce ciascuna operazione PSDC.

25.

Le disposizioni in materia di informazioni classificate da includere negli accordi quadro di partecipazione, negli accordi di partecipazione ad hoc e nelle intese amministrative ad hoc di cui ai punti da 22 a 24 prevedono che lo Stato terzo o l’organizzazione internazionale in questione garantiscano che il personale distaccato per partecipare a qualsiasi operazione proteggerà le ICUE conformemente alle norme di sicurezza del Consiglio e agli ulteriori orientamenti emanati dalle autorità competenti, tra cui la catena di comando dell’operazione.

26.

Se un accordo sulla sicurezza delle informazioni è successivamente concluso tra l’Unione e uno Stato terzo o un’organizzazione internazionale contributori, l’accordo sulla sicurezza delle informazioni prevale sulle disposizioni relative allo scambio di informazioni classificate stabilite da qualsiasi accordo quadro di partecipazione, accordo di partecipazione ad hoc o intesa amministrativa ad hoc per quanto riguarda lo scambio e il trattamento delle ICUE.

27.

Nell’ambito di un accordo quadro di partecipazione, di un accordo di partecipazione ad hoc o di un’intesa amministrativa ad hoc con uno Stato terzo o un’organizzazione internazionale non sono permessi scambi di ICUE mediante mezzi elettronici, a meno che non siano esplicitamente previsti nell’accordo o nell’intesa in questione.

28.

Le ICUE prodotte ai fini di un’operazione PSDC possono essere diffuse al personale distaccato da Stati terzi o da organizzazioni internazionali per tale operazione conformemente ai punti da 22 a 27. Al momento di autorizzare l’accesso alle ICUE nei locali o nei CIS di un’operazione PSDC da parte di tale personale, sono applicate misure (tra cui la registrazione delle ICUE diffuse) per attenuare il rischio di perdita o di compromissione. Tali misure sono definite nei documenti di pianificazione o di missione pertinenti.

29.

In assenza di un accordo sulla sicurezza delle informazioni, la comunicazione di ICUE, nel caso di una necessità operativa specifica e immediata, allo Stato ospitante nel cui territorio si svolge un’operazione PSDC può essere disciplinata da un’intesa amministrativa sottoscritta dall’alto rappresentante. Questa possibilità è prevista nella decisione che istituisce l’operazione PSDC. Le ICUE comunicate in tali circostanze sono limitate a quelle prodotte ai fini dell’operazione PSDC e classificate di livello non superiore a RESTREINT UE/EU RESTRICTED, a meno che la decisione che stabilisce l’operazione PSDC non preveda un livello di classifica più elevato. A norma di tale intesa amministrativa lo Stato ospitante è tenuto a impegnarsi a proteggere le ICUE conformemente a norme minime che non sono meno rigorose di quelle previste nella presente decisione.

30.

In assenza di un accordo sulla sicurezza delle informazioni, la comunicazione di ICUE a Stati terzi o organizzazioni internazionali interessati, diversi da quelli partecipanti a un’operazione PSDC, può essere disciplinata da un’intesa amministrativa sottoscritta dall’alto rappresentante Se del caso, questa possibilità con le eventuali relative condizioni è prevista dalla decisione che stabilisce l’operazione PSDC. Le ICUE comunicate in tali circostanze sono limitate a quelle prodotte ai fini dell’operazione PSDC e classificate di livello non superiore a RESTREINT UE/EU RESTRICTED, a meno che la decisione che stabilisce l’operazione PSDC non preveda un livello di classifica più elevato. A norma di tale intesa amministrativa lo Stato terzo o l’organizzazione internazionale in questione sono tenuti a impegnarsi a proteggere le ICUE conformemente a norme minime che non sono meno rigorose di quelle previste nella presente decisione.

31.

Non sono richieste modalità di attuazione o visite di valutazione prima di attuare le disposizioni sulla comunicazione di ICUE nel contesto dei punti 22, 23 e 24.

VI.   COMUNICAZIONE ECCEZIONALE AD HOC DI ICUE

32.

Qualora non sia istituito alcun quadro normativo conformemente alle sezioni III, IV e V e qualora il Consiglio o uno dei suoi organi preparatori ravvisi la necessità eccezionale di comunicare ICUE a uno Stato terzo o un’organizzazione internazionale, l’SGC:

a)

per quanto possibile, verifica con le autorità di sicurezza dello Stato terzo o dell’organizzazione internazionale interessati che le loro normative, strutture e procedure in materia di sicurezza siano tali da garantire che le ICUE ad essi comunicate saranno protette secondo norme non meno rigorose di quelle previste nella presente decisione; e

b)

invita il Comitato per la sicurezza, sulla base delle informazioni disponibili, ad emettere una raccomandazione concernente la fiducia che può essere accordata nelle normative, strutture e procedure in materia di sicurezza dello Stato terzo o dell’organizzazione internazionale cui devono essere comunicate le ICUE.

33.

Se il Comitato per la sicurezza emette una raccomandazione favorevole alla comunicazione delle ICUE, la questione è sottoposta al Comitato dei Rappresentanti Permanenti (Coreper), che adotta una decisione in merito a detta comunicazione.

34.

Se la raccomandazione del Comitato per la sicurezza non è favorevole alla comunicazione delle ICUE:

a)

per questioni relative alla PESC/PSDC, il Comitato politico e di sicurezza discute la questione e formula una raccomandazione di decisione del Coreper;

b)

per tutte le altre questioni, il Coreper discute al riguardo e adotta una decisione.

35.

Ove lo si ritenga opportuno e fatto salvo il consenso preliminare scritto dell’originatore, il Coreper può decidere che le informazioni classificate possano essere comunicate solo in parte o solo se declassate o declassificate in via preliminare, o che le informazioni da comunicare siano messe a punto senza riferimento alla fonte o al livello originario di classifica UE.

36.

A seguito di una decisione di comunicare ICUE, l’SGC trasmette il documento in questione recante un contrassegno di divulgabilità che indica lo Stato terzo o l’organizzazione internazionale a cui è stato comunicato. Prima o al momento della comunicazione effettiva, il terzo in questione si impegna per iscritto a proteggere le ICUE che riceve conformemente ai principi fondamentali e alle norme minime stabiliti nella presente decisione.

VII.   FACOLTÀ DI COMUNICARE ICUE A STATI TERZI O ORGANIZZAZIONI INTERNAZIONALI

37.

Qualora esista, conformemente al punto 2, un quadro per lo scambio di informazioni classificate con uno Stato terzo o un’organizzazione internazionale, il Consiglio adotta la decisione di autorizzare il segretario generale a comunicare le ICUE allo Stato terzo o all’organizzazione internazionale in questione, conformemente al principio del consenso dell’originatore. Il segretario generale può delegare tale facoltà ad alti funzionari dell’SGC.

38.

Qualora esista, conformemente al punto 2, primo trattino, un accordo sulla sicurezza delle informazioni, il Consiglio può autorizzare l’alto rappresentante a comunicare ICUE provenienti dal Consiglio nel settore della politica estera e di sicurezza comune, dopo aver ottenuto il consenso dell’originatore del materiale d’origine ivi contenuto, allo Stato terzo o all’organizzazione internazionale in questione. L’alto rappresentante può delegare tale facoltà ad alti funzionari del SEAE o agli RSUE.

39.

Qualora esista, conformemente ai punti 2 o 3, un quadro per lo scambio di informazioni classificate con uno Stato terzo o un’organizzazione internazionale, l’alto rappresentante è autorizzato a comunicare le ICUE conformemente alla decisione che istituisce l’operazione PSDC e al principio del consenso dell’originatore. L’alto rappresentante può delegare tale facoltà ad alti funzionari del SEAE, a comandanti dell’operazione, della forza o della missione dell’UE o a capimissione dell’UE.


Appendici

Appendice A

Definizioni

Appendice B

Equivalenza delle classifiche di sicurezza

Appendice C

Elenco delle autorità nazionali di sicurezza (NSA)

Appendice D

Elenco delle abbreviazioni


Appendice A

DEFINIZIONI

Ai fini della presente decisione si intende per:

 

«accreditamento», il processo che porta a una dichiarazione formale dell’autorità di accreditamento di sicurezza (SAA) con la quale un sistema è abilitato a funzionare con un determinato livello di classifica, in particolari condizioni di sicurezza nel proprio ambiente operativo e ad un livello di rischio accettabile, in base al presupposto dell’attuazione di una serie convenuta di misure di sicurezza a livello tecnico, materiale, organizzativo e procedurale;

 

«risorsa», qualsiasi cosa che ha valore per un’organizzazione, le sue operazioni economiche e la loro continuità, comprese le risorse dell’informazione che sostengono la missione dell’organizzazione;

 

«autorizzazione di accesso alle ICUE», una decisione dell’autorità dell’SGC che ha il potere di nomina adottata sulla base dell’assicurazione data da un’autorità competente di uno Stato membro che un funzionario o altro agente dell’SGC o esperto nazionale distaccato presso l’SGC può, quando sia stata accertata la sua necessità di conoscere e una volta istruito sulle proprie responsabilità, avere accesso alle ICUE fino a un livello di classifica specifico (CONFIDENTIEL UE/EU CONFIDENTIAL o superiore) e a una data stabilita;

 

«ciclo di vita del CIS», l’intera durata dell’esistenza di un CIS che comprende inizio, concezione, pianificazione, analisi dei requisiti, progettazione, sviluppo, verifica, attuazione, funzionamento, manutenzione e disattivazione;

 

«contratto classificato», un contratto di fornitura di beni, di esecuzione di lavori o di prestazione di servizi, stipulato fra l’SGC e un contraente, la cui esecuzione richiede o implica l’accesso o la produzione di ICUE;

 

«subcontratto classificato», un contratto di fornitura di beni, di esecuzione di lavori o di prestazione di servizi, stipulato fra un contraente dell’SGC e un altro contraente (ossia il subcontraente), la cui esecuzione richiede o implica l’accesso o la produzione di ICUE;

 

«sistema di comunicazione e informazione» (CIS) — cfr. l’articolo 10, paragrafo 2;

 

«contraente», una persona fisica o giuridica avente la capacità giuridica di sottoscrivere un contratto;

 

«materiale crittografico (crypto)», algoritmi crittografici, moduli hardware e software crittografici, e prodotti comprendenti dettagli di attuazione e documentazione associata e materiale di codifica;

 

«prodotto crittografico», un prodotto la cui funzione principale e primaria è la fornitura di servizi di sicurezza (riservatezza, integrità, disponibilità, autenticità e non disconoscibilità) mediante uno o più meccanismi crittografici;

 

«operazione PSDC», un’operazione di gestione militare o civile delle crisi ai sensi del titolo V, capo 2, TUE;

 

«declassificazione», la soppressione di qualsiasi classifica di sicurezza;

 

«difesa in profondità», l’applicazione di una serie di misure di sicurezza organizzate come fasi multiple di difesa;

 

«autorità di sicurezza designata» (DSA), autorità che fa capo all’autorità di sicurezza nazionale (NSA) di uno Stato membro, incaricata di comunicare ai soggetti industriali o di altra natura la linea politica nazionale riguardo a tutti gli aspetti della sicurezza industriale e di fornire guida e assistenza nell’attuazione della medesima. La funzione della DSA può essere espletata dall’NSA o da qualsiasi altra autorità competente;

 

«documento», qualsiasi informazione registrata, a prescindere dalla sua forma o dalle sue caratteristiche materiali;

 

«declassamento», una riduzione del livello di classifica di sicurezza;

 

«informazioni classificate UE» (ICUE) - cfr. l’articolo 2, paragrafo 1;

 

«nulla osta di sicurezza delle imprese» (FSC), una decisione amministrativa di un’NSA o DSA, secondo la quale un’impresa è in grado, sotto il profilo della sicurezza, di offrire un adeguato livello di protezione alle ICUE di un determinato livello di classifica di sicurezza;

 

«trattamento» delle ICUE, qualsiasi azione di cui possono essere oggetto le ICUE nel loro ciclo di vita. Ciò comprende la loro creazione, elaborazione, trasporto, declassamento, declassificazione e distruzione. In relazione al CIS il trattamento comprende anche raccolta, visualizzazione, trasmissione e conservazione;

 

«detentore», una persona debitamente autorizzata con una necessità di conoscere stabilita, che detiene un elemento di ICUE ed è di conseguenza responsabile della sua protezione;

 

«soggetto industriale o di altra natura», un soggetto che si occupa della fornitura di beni, della esecuzione di lavori o della prestazione di servizi; può trattarsi di un soggetto del settore industriale, commerciale, di servizi, scientifico, di ricerca, didattico o di sviluppo, ovvero di un lavoratore autonomo;

 

«sicurezza industriale» — cfr. l’articolo 11, paragrafo 1;

 

«garanzia di sicurezza delle informazioni» — cfr. l’articolo 10, paragrafo 1;

 

«interconnessione» — cfr. l’allegato IV, punto 32;

 

«gestione delle informazioni classificate» — cfr. l’articolo 9, paragrafo 1;

 

«materiale», qualsiasi documento, vettore di dati o elemento di macchinario o attrezzatura, sia sotto forma di prodotto finito sia in corso di lavorazione;

 

«originatore», un’istituzione, organo o organismo dell’Unione, Stato membro, Stato terzo o organizzazione internazionale sotto la cui autorità sono state create e/o introdotte nelle strutture dell’Unione informazioni classificate;

 

«sicurezza del personale» — cfr. l’articolo 7, paragrafo 1;

 

«nulla osta di sicurezza del personale» (PSC), una dichiarazione dell’autorità competente di uno Stato membro fatta al termine di un’indagine di sicurezza condotta dalle autorità competenti di uno Stato membro e attestante che una persona può avere accesso alle ICUE fino a un livello di classifica specifico (CONFIDENTIEL UE/EU CONFIDENTIAL o superiore) e a una data stabilita;

 

«certificato di nulla osta di sicurezza del personale» (PSCC), un certificato rilasciato dall’autorità competente attestante che una persona ha ottenuto il nulla osta di sicurezza e possiede un certificato di nulla osta di sicurezza o un’autorizzazione di accesso alle ICUE da parte dell’autorità che ha il potere di nomina in corso di validità, in cui figura il livello di ICUE cui detta persona può accedere (CONFIDENTIEL UE/EU CONFIDENTIAL o superiore), la data di validità del relativo PSC e la data di scadenza del certificato stesso;

 

«sicurezza materiale» — cfr. l’articolo 8, paragrafo 1;

 

«istruzioni di sicurezza del programma/progetto» (PSI), un elenco delle procedure di sicurezza che sono applicate a un programma/progetto specifico per uniformare le stesse procedure di sicurezza. Detto elenco può essere riveduto per tutta la durata del programma/progetto;

 

«registrazione» — cfr. l’allegato III, punto 18;

 

«rischio residuo», il rischio che resta una volta attuate delle misure di sicurezza, dato che non tutte le minacce possono essere neutralizzate né tutte le vulnerabilità eliminate;

 

«rischio», la possibilità che una data minaccia sfrutti le vulnerabilità interne ed esterne di un’organizzazione o di uno qualsiasi dei sistemi da essa utilizzati, arrecando pertanto danno all’organizzazione o ai suoi beni materiali o immateriali. È calcolato come una combinazione tra le probabilità del verificarsi delle minacce e il loro impatto;

l’«accettazione del rischio» consiste nel decidere di accettare la permanenza di un rischio residuo in seguito al trattamento del rischio,

la «valutazione del rischio» consiste nell’identificare le minacce e le vulnerabilità e nell’effettuare le relative analisi del rischio, ossia l’analisi della probabilità e dell’impatto,

la «comunicazione del rischio» consiste nello sviluppare la sensibilizzazione ai rischi tra le comunità di utenti del CIS, informando di tali rischi le autorità di approvazione e riferendo sugli stessi alle autorità operative,

il «trattamento del rischio» consiste nel mitigare, rimuovere, ridurre (tramite un’opportuna combinazione di misure tecniche, materiali, organizzative o procedurali), trasferire o controllare il rischio;

 

«lettera sugli aspetti di sicurezza» (SAL), un pacchetto di condizioni contrattuali specifiche emesso dall’autorità contraente, che è parte integrante di un contratto classificato implicante l’accesso o la creazione di ICUE e in cui sono individuati i requisiti di sicurezza o gli elementi del contratto che richiedono una protezione di sicurezza;

 

«guida alle classifiche di sicurezza» (SCG), un documento che illustra gli elementi di un programma o di un contratto classificati e precisa i livelli di classifica di sicurezza applicabili. L’SCG può essere integrata per tutta la durata del programma o del contratto e gli elementi informativi possono essere riclassificati o declassati; se esistente l’SCG fa parte della SAL;

 

«indagine di sicurezza», le procedure investigative condotte dall’autorità competente di uno Stato membro conformemente alle disposizioni legislative e regolamentari nazionali volte ad accertare l’inesistenza di informazioni negative note sul conto di una persona che osterebbero alla concessione di un PSC o di un’autorizzazione per accedere alle ICUE fino a un livello specifico (CONFIDENTIEL UE/EU CONFIDENTIAL o superiore);

 

«modo di funzionamento in condizioni di sicurezza», la definizione delle condizioni in cui funziona un CIS in base alla classifica delle informazioni trattate e ai livelli di nulla osta del personale, alle approvazioni dell’accesso formale e alla necessità di conoscere dei suoi utenti. Esistono quattro modi di funzionamento per trattare o trasmettere informazioni classificate: modo esclusivo, modo predominante, modo compartimentato e modo multilivello; si intende per:

«modo esclusivo», un modo di funzionamento in cui tutte le persone che hanno accesso al CIS sono in possesso di un nulla osta di sicurezza per il livello più elevato di classifica delle informazioni trattate all’interno del CIS e con la comune necessità di conoscere rispetto a tutte le informazioni ivi trattate,

«modo predominante», un modo di funzionamento in cui tutte le persone che hanno accesso al CIS sono in possesso di un nulla osta per il livello più elevato di classifica delle informazioni trattate all’interno del CIS, ma non tutte le persone che hanno accesso al CIS hanno una comune necessità di conoscere rispetto alle informazioni trattate all’interno del CIS; l’autorizzazione di accesso alle informazioni può essere concesso da una persona,

«modo compartimentato», un modo di funzionamento in cui tutte le persone che hanno accesso al CIS sono in possesso di un nulla osta per il livello più elevato di classifica delle informazioni trattate all’interno del CIS, ma non tutte le persone che hanno accesso al CIS hanno un’autorizzazione formale per accedere a tutte le informazioni trattate all’interno del CIS; l’autorizzazione formale implica una gestione centrale formale di controllo dell’accesso distinta dalla discrezionalità personale di consentire l’accesso,

«modo multilivello», un modo di funzionamento in cui non tutte le persone che hanno accesso al CIS sono in possesso di un nulla osta per il livello più elevato di classifica delle informazioni trattate all’interno del CIS e non tutte le persone che hanno accesso al CIS hanno una comune necessità di conoscere rispetto alle informazioni trattate all’interno del CIS;

 

«procedura di gestione del rischio di sicurezza», l’intera procedura che consiste nell’individuare, controllare e ridurre al minimo eventi incerti che possono incidere sulla sicurezza di un’organizzazione o di un qualsiasi sistema in uso. Essa contempla tutte le attività correlate al rischio, tra cui la valutazione, il trattamento, l’accettazione e la comunicazione;

 

«TEMPEST», l’indagine, studio e controllo delle radiazioni elettromagnetiche che possono compromettere le informazioni e le misure per eliminarle;

 

«minaccia», causa potenziale di un incidente indesiderato che può recar danno a un’organizzazione o a uno dei sistemi in uso; tali minacce possono essere accidentali o intenzionali (dolose) e sono caratterizzate da elementi di minaccia, potenziali obiettivi e metodologie d’attacco;

 

«vulnerabilità», una debolezza di qualsiasi tipo che una o più minacce possono sfruttare. La vulnerabilità può derivare da un’omissione o essere legata ad una debolezza nei controlli in termini di rigore, completezza o coerenza e può essere di natura tecnica, procedurale, materiale, organizzativa od operativa.


Appendice B

EQUIVALENZA DELLE CLASSIFICHE DI SICUREZZA

EU

TRÈS SECRET UE/EU TOP SECRET

SECRET UE/EU SECRET

CONFIDENTIEL UE/EU CONFIDENTIAL

RESTREINT UE/EU RESTRICTED

Belgium

Très Secret (Loi 11.12.1998) Zeer Geheim (Wet 11.12.1998)

Secret (Loi 11.12.1998) Geheim (Wet 11.12.1998)

Confidentiel (Loi 11.12.1998) Vertrouwelijk (Wet 11.12.1998)

nota (1) in seguito

Bulgaria

Cтpoгo ceкретно

Ceкретно

Поверително

За служебно ползване

Czech Republic

Přísně tajné

Tajné

Důvěrné

Vyhrazené

Denmark

YDERST HEMMELIGT

HEMMELIGT

FORTROLIGT

TIL TJENESTEBRUG

Germany

STRENG GEHEIM

GEHEIM

VS (2)— VERTRAULICH

VS — NUR FÜR DEN DIENSTGEBRAUCH

Estonia

Täiesti salajane

Salajane

Konfidentsiaalne

Piiratud

Ireland

Top Secret

Secret

Confidential

Restricted

Greece

Άκρως Απόρρητο Abr: ΑΑΠ

Απόρρητο Abr: (ΑΠ)

Εμπιστευτικό Αbr: (ΕΜ)

Περιορισμένης Χρήσης Abr: (ΠΧ)

Spain

SECRETO

RESERVADO

CONFIDENCIAL

DIFUSIÓN LIMITADA

France

Très Secret Défense

Secret Défense

Confidentiel Défense

nota (3) in seguito

Croatia

VRLO TAJNO

TAJNO

POVJERLJIVO

OGRANIČENO

Italy

Segretissimo

Segreto

Riservatissimo

Riservato

Cyprus

Άκρως Απόρρητο Αbr: (ΑΑΠ)

Απόρρητο Αbr: (ΑΠ)

Εμπιστευτικό Αbr: (ΕΜ)

Περιορισμένης Χρήσης Αbr: (ΠΧ)

Latvia

Sevišķi slepeni

Slepeni

Konfidenciāli

Dienesta vajadzībām

Lithuania

Visiškai slaptai

Slaptai

Konfidencialiai

Riboto naudojimo

Luxembourg

Très Secret Lux

Secret Lux

Confidentiel Lux

Restreint Lux

Hungary

Szigorúan titkos!

Titkos!

Bizalmas!

Korlátozott terjesztésű!

Malta

L-Ogħla Segretezza Top Secret

Sigriet Secret

Kunfidenzjali Confidential

Ristrett Restricted (4)

Netherlands

Stg. ZEER GEHEIM

Stg. GEHEIM

Stg. CONFIDENTIEEL

Dep. VERTROUWELIJK

Austria

Streng Geheim

Geheim

Vertraulich

Eingeschränkt

Poland

Ściśle Tajne

Tajne

Poufne

Zastrzeżone

Portugal

Muito Secreto

Secreto

Confidencial

Reservado

Romania

Strict secret de importanță deosebită

Strict secret

Secret

Secret de serviciu

Slovenia

STROGO TAJNO

TAJNO

ZAUPNO

INTERNO

Slovakia

Prísne tajné

Tajné

Dôverné

Vyhradené

Finland

ERITTÄIN SALAINEN YTTERST HEMLIG

SALAINEN HEMLIG

LUOTTAMUKSELLINEN KONFIDENTIELL

KÄYTTÖ RAJOITETTU BEGRÄNSAD TILLGÅNG

Sweden (5)

HEMLIG/TOP SECRET HEMLIG AV SYNNERLIG BETYDELSE FÖR RIKETS SÄKERHET

HEMLIG/SECRET HEMLIG

HEMLIG/CONFIDENTIAL HEMLIG

HEMLIG/RESTRICTED HEMLIG

United Kingdom

UK TOP SECRET

UK SECRET

UK CONFIDENTIAL

UK RESTRICTED


(1)  Diffusion Restreinte/Beperkte Verspreiding non è una classifica di sicurezza in Belgio. Il Belgio tratta e protegge le informazioni «RESTREINT UE/EU RESTRICTED» in modo non meno rigoroso delle norme e procedure descritte nella normativa di sicurezza del Consiglio dell’Unione europea.

(2)  Germania: VS = Verschlusssache.

(3)  La Francia non usa il grado di classifica «RESTREINT» nel suo sistema nazionale. La Francia tratta e protegge le informazioni «RESTREINT UE/EU RESTRICTED» in modo non meno rigoroso delle norme e procedure descritte nella normativa di sicurezza del Consiglio dell’Unione europea.

(4)  Per Malta i contrassegni in inglese e in maltese sono intercambiabili.

(5)  Per la Svezia: i contrassegni di classifica di sicurezza della riga superiore sono usati dalle autorità della difesa e i contrassegni della riga inferiore sono usati dalle altre autorità.


Appendice C

ELENCO DELLE AUTORITÀ NAZIONALI DI SICUREZZA (NSA)

BELGIO

Autorité nationale de Sécurité

SPF Affaires étrangères, Commerce extérieur et Coopération au Développement

15, rue des Petits Carmes

1000 Bruxelles

Tel. segretariato: +32 25014542

Fax +32 25014596

E-mail: nvo-ans@diplobel.fed.be

ESTONIA

National Security Authority Department

Estonian Ministry of Defence

Sakala 1

15094 Tallinn

Tel. +372 717 0019, +372 7170117

Fax +372 7170213

E-mail: nsa@mod.gov.ee

BULGARIA

State Commission on Information Security

90 Cherkovna Str.

1505 Sofia

Tel. +359 29333600

Fax +359 29873750

E-mail: dksi@government.bg

Website: www.dksi.bg

IRLANDA

National Security Authority

Department of Foreign Affairs

76-78 Harcourt Street

Dublin 2

Tel. +353 14780822

Fax +353 14082959

REPUBBLICA CECA

Národní bezpečnostní úřad

(National Security Authority)

Na Popelce 2/16

150 06 Praha 56

Tel. +420 257283335

Fax +420 257283110

E-mail: czech.nsa@nbu.cz

Website: www.nbu.cz

GRECIA

Γενικό Επιτελείο Εθνικής Άμυνας (ΓΕΕΘΑ)

Διεύθυνση Ασφαλείας και Αντιπληροφοριών

ΣΤΓ 1020 -Χολαργός (Αθήνα)

Ελλάδα

Tel. +30 2106572045 (ώρες γραφείου)

+30 2106572009 (ώρες γραφείου)

Φαξ: +30 2106536279

+30 2106577612

Hellenic National Defence General Staff (HNDGS)

Counter Intelligence and Security Directorate (NSA)

227-231 HOLARGOS

STG 1020 ATHENS

Tel. +30 2106572045

+30 2106572009

Fax +30 2106536279

+30 2106577612

DANIMARCA

Politiets Efterretningstjeneste

(Danish Security Intelligence Service)

Klausdalsbrovej 1

2860 Søborg

Tel. +45 33148888

Fax +45 33430190

Forsvarets Efterretningstjeneste

(Danish Defence Intelligence Service)

Kastellet 30

2100 Copenhagen Ø

Tel. +45 33325566

Fax +45 33931320

SPAGNA

Autoridad Nacional de Seguridad

Oficina Nacional de Seguridad

Avenida Padre Huidobro s/n

28023 Madrid

Tel. +34 913725000

Fax +34 913725808

E-mail: nsa-sp@areatec.com

GERMANIA

Bundesministerium des Innern

Referat ÖS III 3

Alt-Moabit 101 D

D-11014 Berlin

Tel. +49 30186810

Fax +49 30186811441

E-mail: oesIII3@bmi.bund.de

FRANCIA

Secrétariat général de la défense et de la sécurité nationale

Sous-direction Protection du secret (SGDSN/PSD)

51 Boulevard de la Tour-Maubourg

75700 Paris 07 SP

Tel. +33 171758177

Fax +33 171758200

CROAZIA

Office of the National Security Council

Croatian NSA

Jurjevska 34

10000 Zagreb

Croatia

Tel. +385 14681222

Fax +385 14686049

www.uvns.hr

LUSSEMBURGO

Autorité nationale de Sécurité

Boîte postale 2379

1023 Luxembourg

Tel. +352 24782210 central

+352 24782253 direct

Fax +352 24782243

ITALIA

Presidenza del Consiglio dei Ministri

D.I.S. - U.C.Se.

Via di Santa Susanna, 15

00187 Roma

Tel. +39 0661174266

Fax +39 064885273

UNGHERIA

Nemzeti Biztonsági Felügyelet

(National Security Authority of Hungary)

H-1024 Budapest, Szilágyi Erzsébet fasor 11/B

Tel. +36 (1) 7952303

Fax +36 (1) 7950344

Indirizzo postale:

H-1357 Budapest, PO Box 2

E-mail: nbf@nbf.hu

Website: www.nbf.hu

CIPRO

ΥΠΟΥΡΓΕΙΟ ΑΜΥΝΑΣ

ΣΤΡΑΤΙΩΤΙΚΟ ΕΠΙΤΕΛΕΙΟ ΤΟΥ ΥΠΟΥΡΓΟΥ

Εθνική Αρχή Ασφάλειας (ΕΑΑ)

Υπουργείο Άμυνας

Λεωφόρος Εμμανουήλ Ροΐδη 4

1432 Λευκωσία, Κύπρος

Τel. +357 22807569, +357 22807643, +357 22807764

Τηλεομοιότυπο: +357 22302351

Ministry of Defence

Minister’s Military Staff

National Security Authority (NSA)

4 Emanuel Roidi street

1432 Nicosia

Tel. +357 22807569, +357 22807643, +357 22807764

Fax +357 22302351

E-mail: cynsa@mod.gov.cy

MALTA

Ministry for Home Affairs and National Security

P.O. Box 146

Valletta

Tel. +356 21249844

Fax +356 25695321

LETTONIA

National Security Authority

Constitution Protection Bureau of the Republic of Latvia

P.O. Box 286

Riga, LV-1001

Tel. +371 67025418

Fax +371 67025454

E-mail: ndi@sab.gov.lv

PAESI BASSI

Ministerie van Binnenlandse Zaken en Koninkrijksrelaties

Postbus 20010

2500 EA Den Haag

Tel. +31 703204400

Fax +31 703200733

Ministerie van Defensie

Beveiligingsautoriteit

Postbus 20701

2500 ES Den Haag

Tel. +31 703187060

Fax +31 703187522

LITUANIA

Lietuvos Respublikos paslapčių apsaugos koordinavimo komisija

(The Commission for Secrets Protection Coordination of the Republic of Lithuania

National Security Authority)

Gedimino 40/1

LT-01110 Vilnius

Tel. +370 706 66701, +370 706 66702

Fax +370 706 66700

E-mail: nsa@vsd.lt

AUSTRIA

Informationssicherheitskommission

Bundeskanzleramt

Ballhausplatz 2

1014 Wien

Tel. +43 1531152594

Fax +43 1531152615

E-mail: ISK@bka.gv.at

POLONIA

Agencja Bezpieczeństwa Wewnętrznego – ABW

(Internal Security Agency)

2 A Rakowiecka St.

00-993 Warszawa

Tel. +48 225857360

Fax +48 225858509

E-mail: nsa@abw.gov.pl

Website: www.abw.gov.pl

SLOVACCHIA

Národný bezpečnostný úrad

(National Security Authority)

Budatínska 30

P.O. Box 16

850 07 Bratislava

Tel. +421 268692314

Fax +421 263824005

Website: www.nbusr.sk

PORTOGALLO

Presidência do Conselho de Ministros

Autoridade Nacional de Segurança

Rua da Junqueira, 69

1300-342 Lisboa

Tel. +351 213031710

Fax +351 213031711

FINLANDIA

National Security Authority

Ministry for Foreign Affairs

P.O. Box 453

FI-00023 Government

Tel. +358 16055890

Fax +358 916055140

E-mail: NSA@formin.fi

ROMANIA

Oficiul Registrului Național al Informațiilor Secrete de Stat

(Romanian NSA – ORNISS

National Registry Office for Classified Information)

Strada Mureș nr. 4012275 Bucharest

Tel. +40 212245830

Fax +40 212240714

E-mail: nsa.romania@nsa.ro

Website: www.orniss.ro

SVEZIA

Utrikesdepartementet

(Ministry for Foreign Affairs)

UD-RS

S 103 39 Stockholm

Tel. +46 84051000

Fax +46 87231176

E-mail: ud-nsa@foreign.ministry.se

SLOVENIA

Urad Vlade RS za varovanje tajnih podatkov

Gregorčičeva 27

SI-1000 Ljubljana

Tel. +386 14781390

Fax +386 14781399

E-mail: gp.uvtp@gov.si

REGNO UNITO

UK National Security Authority

Room 335, 3rd Floor

70 Whitehall

London

SW1 A 2AS

Tel. 1: +44 2072765645

Tel. 2: +44 2072765497

Fax +44 2072765651

E-mail: UK-NSA@cabinet-office.x.gsi.gov.uk


Appendice D

ELENCO DELLE ABBREVIAZIONI

Acronimo

Significato

AQUA

Appropriately Qualified Authority

BPS

Boundary Protection Services

CAA

Crypto Approval Authority

CCTV

Closed Circuit Television

CDA

Crypto Distribution Authority

CFSP

Common Foreign and Security Policy

CIS

Communication and Information Systems handling EUCI

Coreper

Committee of Permanent Representatives

CSDP

Common Security and Defence Policy

DSA

Designated Security Authority

ECSD

European Commission Security Directorate

EUCI

EU Classified Information

EUSR

EU Special Representative

FSC

Facility Security Clearance

GSC

General Secretariat of the Council

IA

Information Assurance

IAA

Information Assurance Authority

IDS

Intrusion Detection System

IT

Information Technology

NSA

National Security Authority

PSC

Personnel Security Clearance

PSCC

Personnel Security Clearance Certificate

PSI

Programme/Project Security Instructions

SAA

Security Accreditation Authority

SAB

Security Accreditation Board

SAL

Security Aspects Letter

SecOPs

Security Operating Procedures

SCG

Security Classification Guide

SSRS

System-Specific Security Requirement Statement

TA

TEMPEST Authority


Top