24.12.2016   

IT

Gazzetta ufficiale dell'Unione europea

L 355/5


DECISIONE (UE) 2016/2386 DELLA CORTE DI GIUSTIZIA

del 20 settembre 2016

relativa alle norme di sicurezza applicabili alle informazioni o agli atti prodotti dinanzi al Tribunale ai sensi dell'articolo 105 del suo regolamento di procedura

LA CORTE,

visto il regolamento di procedura e, in particolare l'articolo 190 bis, paragrafo 5, di quest'ultimo,

considerando quanto segue:

(1)

ai sensi dell'articolo 105, paragrafi 1 e 2, del regolamento di procedura del Tribunale, una delle parti principali in causa può, di sua iniziativa o a seguito di un mezzo istruttorio adottato dal Tribunale, produrre informazioni o atti che interessano la sicurezza dell'Unione europea o quella di uno o più dei suoi Stati membri o le loro relazioni internazionali. I paragrafi da 3 a 10 di detta disposizione prevedono il regime processuale applicabile a tali informazioni o atti;

(2)

tenuto conto della natura sensibile e riservata delle informazioni o degli atti di cui trattasi, l'attuazione del regime istituito dall'articolo 105 del regolamento di procedura del Tribunale richiede l'introduzione di un adeguato meccanismo di sicurezza volto a garantire un elevato livello di protezione di tali informazioni o atti;

(3)

a tale scopo, il meccanismo di sicurezza deve applicarsi a tutte le informazioni o a tutti gli atti prodotti ai sensi dell'articolo 105, paragrafo 1 o 2, di tale regolamento, qualificabili come informazioni classificate dell'Unione europea, o relativamente ai quali la parte principale che li produce segnala che la loro comunicazione all'altra parte principale pregiudicherebbe la sicurezza dell'Unione o dei suoi Stati membri o le loro relazioni internazionali, ivi compreso il caso in cui tali informazioni o atti non siano qualificabili come informazioni classificate dell'Unione europea;

(4)

al fine di garantire un elevato livello di protezione di tali informazioni o di tali atti, i principi di base e le norme di sicurezza minime al riguardo si ispirano a quelli applicati ai fini della protezione delle informazioni classificate SECRET UE/EU SECRET secondo le norme delle istituzioni dell'Unione in materia di protezione delle informazioni classificate dell'Unione europea (ICUE), in particolare quelle adottate dal Consiglio dell'Unione europea, dal Parlamento europeo e dalla Commissione europea;

(5)

le informazioni o gli atti prodotti ai sensi dell'articolo 105, paragrafo 1 o 2, del regolamento di procedura del Tribunale sono oggetto di un contrassegno specifico della Corte di giustizia dell'Unione europea, detto «FIDUCIA», che determina il regime di sicurezza ad essi applicabile nel corso dell'intero procedimento dinanzi al Tribunale e, in caso d'impugnazione, dinanzi alla Corte di giustizia. L'apposizione del contrassegno FIDUCIA e la soppressione di tale contrassegno non incidono sulla classificazione delle informazioni trasmesse al Tribunale;

(6)

l'accesso alle informazioni FIDUCIA è garantito nel rispetto del principio dell'esigenza di venirne a conoscenza,

DECIDE:

Articolo 1

Definizioni

Ai fini della presente decisione, si intende per:

a)

«autorità di sicurezza», l'autorità responsabile della sicurezza della Corte di giustizia dell'Unione europea designata da quest'ultima, che può delegare, in tutto o in parte, l'esecuzione delle mansioni previste dalla presente decisione;

b)

«ufficio FIDUCIA», l'ufficio della Corte di giustizia dell'Unione europea che garantisce la gestione delle informazioni FIDUCIA;

c)

«detentore», una persona debitamente autorizzata che, sulla base di un'accertata esigenza di venirne a conoscenza, è in possesso di un'informazione FIDUCIA e alla quale spetta di conseguenza garantirne la protezione;

d)

«documento», qualsiasi informazione indipendentemente da quale ne sia la forma o da quali ne siano le caratteristiche fisiche;

e)

«informazione», qualsiasi informazione scritta o orale indipendentemente da quale ne sia il supporto o l'autore;

f)

«informazioni classificate dell'Unione europea» (ICUE), qualsiasi informazione o qualsiasi materiale identificato come tale in base alla classificazione ai fini di sicurezza dell'Unione europea ai sensi delle norme applicabili in tale materia nelle istituzioni dell'Unione, rientranti in uno dei seguenti livelli di classificazione:

TRÈS SECRET UE/EU TOP SECRET;

SECRET UE/EU SECRET;

CONFIDENTIEL UE/EU CONFIDENTIAL;

RESTREINT UE/EU RESTRICTED;

g)

«informazione FIDUCIA», qualsiasi informazione che reca il contrassegno FIDUCIA;

h)

«trattamento» di un'informazione FIDUCIA, l'insieme delle azioni di cui le informazioni FIDUCIA possono essere oggetto nel corso dell'intero procedimento dinanzi alla Corte di giustizia. Si tratta della registrazione, consultazione, creazione, copiatura, conservazione, restituzione e distruzione delle stesse.

Articolo 2

Oggetto e ambito di applicazione

1.   La presente decisione definisce i principi di base e le norme di sicurezza minime ai fini della protezione delle informazioni FIDUCIA nell'ambito del procedimento dinanzi alla Corte di giustizia.

2.   Tali principi di base e norme di sicurezza minime si applicano a qualsiasi informazione FIDUCIA, così come a qualsiasi utilizzo, scritto o orale, nonché alle copie che, all'occorrenza, ne vengono realizzate in conformità con le norme di sicurezza stabilite nella presente decisione.

Articolo 3

Modalità di deposito e di restituzione

Ai fini dell'attuazione del meccanismo previsto dalla presente decisione:

la parte principale informa la cancelleria del Tribunale del giorno del deposito delle informazioni o degli atti ai sensi dell'articolo 105, paragrafo 1 o 2, del regolamento di procedura del Tribunale;

la parte principale, accompagnata da un rappresentante della cancelleria del Tribunale, è tenuta a depositare le informazioni o gli atti ai sensi dell'articolo 105, paragrafo 1 o 2, di tale regolamento presso l'ufficio FIDUCIA durante gli orari di apertura della cancelleria al pubblico;

la parte principale che ha prodotto le informazioni o gli atti ai sensi dell'articolo 105, paragrafo 1 o 2, del regolamento di procedura del Tribunale è tenuta a recuperarli presso l'ufficio FIDUCIA in presenza di un rappresentante della cancelleria del Tribunale qualora essa non ne autorizzi la comunicazione ai sensi dell'articolo 105, paragrafo 4, di tale regolamento, al momento stesso del loro ritiro conformemente all'articolo 105, paragrafo 7, del medesimo regolamento o subito dopo la scadenza del termine previsto dall'articolo 56, primo comma, dello statuto della Corte di giustizia dell'Unione europea, a meno che non sia stata proposta un'impugnazione entro tale termine;

qualora, entro il termine previsto dall'articolo 56, primo comma, dello statuto della Corte di giustizia dell'Unione europea, sia proposta un'impugnazione contro la decisione del Tribunale, le informazioni o gli atti prodotti nel contesto di tale causa ai sensi dell'articolo 105, paragrafo 1 o 2, del regolamento di procedura del Tribunale sono messi a disposizione della Corte di giustizia. A tale scopo, il cancelliere del Tribunale, non appena è stato informato dell'esistenza di tale impugnazione, indirizza una lettera al cancelliere della Corte di giustizia per comunicargli che le informazioni o gli atti di cui trattasi sono messi a disposizione di quest'ultima. Il cancelliere del Tribunale comunica contemporaneamente all'autorità di sicurezza che le informazioni o gli atti di cui trattasi devono essere messi a disposizione della Corte di giustizia, senza uno spostamento materiale di tali informazioni o atti. Questa comunicazione è registrata dall'ufficio FIDUCIA. La parte principale che ha prodotto tali informazioni o tali atti è tenuta a recuperarli presso l'ufficio FIDUCIA, in presenza di un rappresentante della cancelleria della Corte di giustizia, subito dopo la notifica della decisione che definisce l'impugnazione, salvo in caso di rinvio della causa dinanzi al Tribunale affinché quest'ultimo statuisca;

in caso di rinvio della causa dinanzi al Tribunale, la Corte di giustizia mette le informazioni o gli atti di cui trattasi a disposizione del Tribunale subito dopo la notifica della decisione che definisce l'impugnazione. A tale scopo, il cancelliere della Corte di giustizia indirizza una lettera al cancelliere del Tribunale per comunicargli che le informazioni o gli atti di cui trattasi sono messi a disposizione del Tribunale. Il cancelliere della Corte di giustizia comunica contemporaneamente all'autorità di sicurezza che le informazioni o gli atti di cui trattasi devono essere messi a disposizione del Tribunale, senza spostamento materiale di tali informazioni o atti. Questa comunicazione è registrata dall'ufficio FIDUCIA. La parte principale che ha prodotto tali informazioni o tali atti è tenuta a recuperarli presso l'ufficio FIDUCIA, in presenza di un rappresentante della cancelleria del Tribunale, subito dopo la scadenza del termine previsto dall'articolo 56, primo comma, dello statuto della Corte di giustizia dell'Unione europea, a meno che non sia stata proposta un'impugnazione entro tale termine.

Articolo 4

Contrassegno FIDUCIA

1.   Il contrassegno FIDUCIA è attribuito dall'ufficio FIDUCIA all'insieme delle informazioni o degli atti prodotti conformemente all'articolo 105, paragrafo 1 o 2, del regolamento di procedura del Tribunale.

2.   Il contrassegno FIDUCIA è altresì attribuito dall'ufficio FIDUCIA a qualsiasi informazione che riporti, in tutto o in parte, il contenuto delle informazioni o degli atti prodotti conformemente all'articolo 105, paragrafo 1 o 2, di tale regolamento nonché a ciascuna copia di tali informazioni o atti.

3.   Il contrassegno FIDUCIA è del pari attribuito dall'ufficio FIDUCIA ai documenti e ai registri predisposti dall'ufficio FIDUCIA in applicazione della presente decisione la cui divulgazione non autorizzata potrebbe ledere la sicurezza dell'Unione o quella di uno o più dei suoi Stati membri o le loro relazioni internazionali.

4.   Il contrassegno FIDUCIA è apposto in modo visibile su tutte le pagine e i supporti delle informazioni FIDUCIA.

5.   L'apposizione del contrassegno FIDUCIA e la soppressione di tale contrassegno, alle condizioni previste nell'allegato III, non incidono sulla classificazione delle informazioni trasmesse al Tribunale.

Articolo 5

Protezione delle informazioni FIDUCIA

1.   La protezione delle informazioni FIDUCIA è equivalente a quella garantita alle ICUE SECRET UE/EU SECRET conformemente alle norme applicabili nelle istituzioni dell'Unione in materia di protezione delle ICUE.

2.   Il detentore di ICUE è responsabile della protezione delle stesse conformemente alla presente decisione.

Articolo 6

Gestione dei rischi di sicurezza

1.   I rischi che gravano sulle informazioni FIDUCIA sono gestiti nell'ambito di un procedimento di analisi dei rischi volto a determinare i rischi noti che gravano sulla sicurezza, a definire misure di sicurezza che consentano di ricondurre tali rischi a un livello accettabile conformemente ai principi di base e alle norme minime enunciate nella presente decisione e ad applicare tali misure. L'efficacia di dette misure è oggetto di una valutazione costante da parte dell'autorità di sicurezza.

2.   Le misure di sicurezza per la protezione delle informazioni FIDUCIA nel corso dell'intero procedimento dinanzi alla Corte di giustizia sono proporzionate, in particolare, alla forma in cui si presentano le informazioni o i materiali di cui trattasi nonché al loro volume, all'ambiente e alla struttura dei locali dell'ufficio FIDUCIA, come pure alla minaccia, valutata a livello locale, di attività dolose e/o criminali, compresi lo spionaggio, il sabotaggio e il terrorismo.

3.   Il piano di emergenza interno della Corte di giustizia dell'Unione europea tiene conto della necessità di proteggere le informazioni FIDUCIA in situazioni di emergenza onde evitare l'accesso e la divulgazione non autorizzati o la perdita di integrità o di disponibilità.

4.   Il piano di emergenza interno della Corte di giustizia dell'Unione europea comprende misure di prevenzione e di ripristino delle condizioni operative per minimizzare l'impatto di disfunzioni o incidenti gravi sul trattamento e sulla conservazione delle informazioni FIDUCIA.

Articolo 7

Misure di sicurezza relative alle persone

1.   L'accesso alle informazioni FIDUCIA è consentito solo alle persone che:

hanno necessità di venirne a conoscenza;

fatto salvo il paragrafo 2 del presente articolo, sono state autorizzate ad accedere a informazioni FIDUCIA, e

sono state informate delle proprie responsabilità.

2.   I giudici e gli avvocati generali della Corte di giustizia, a motivo della loro funzione, sono considerati autorizzati ad accedere alle informazioni FIDUCIA.

3.   Il procedimento diretto a stabilire se un funzionario o un altro agente della Corte di giustizia dell'Unione europea, tenuto conto della sua lealtà, della sua integrità e della sua affidabilità, possa essere autorizzato ad accedere a informazioni FIDUCIA è precisato nell'allegato I.

4.   Prima che sia loro accordato l'accesso a informazioni FIDUCIA, e successivamente ad intervalli regolari, tutte le persone interessate sono informate in merito alle proprie responsabilità in materia di protezione delle informazioni FIDUCIA conformemente alla presente decisione e riconoscono per iscritto dette responsabilità.

Articolo 8

Sicurezza materiale

1.   Per «sicurezza materiale» si intende l'applicazione di misure di protezione materiali e tecniche volte ad impedire l'accesso non autorizzato alle informazioni FIDUCIA.

2.   Le misure di sicurezza materiale sono intese ad impedire ad intrusi l'ingresso, tramite sotterfugi o l'uso della forza, nei locali dell'ufficio FIDUCIA, a scoraggiare, ostacolare e individuare azioni non autorizzate e a permettere di stabilire una distinzione persone autorizzate o meno ad accedere alle informazioni FIDUCIA in base al principio della necessità di venirne a conoscenza. Tali misure sono determinate sulla base di una procedura di gestione del rischio.

3.   Le misure di sicurezza materiale sono applicate ai locali dell'ufficio FIDUCIA in cui sono trattate e conservate le informazioni FIDUCIA. Tali misure sono destinate a garantire una protezione equivalente a quella di cui beneficiano le ICUE SECRET UE/EU SECRET conformemente alle norme applicabili nelle istituzioni dell'Unione in materia di protezione delle ICUE. Nessuna informazione FIDUCIA può essere conservata o consultata al di fuori dei locali dell'ufficio FIDUCIA creati a tale scopo all'interno di una zona a sua volta protetta.

4.   Per proteggere le informazioni FIDUCIA si usano solo attrezzature o dispositivi conformi alle norme applicabili nelle istituzioni dell'Unione in materia di protezione delle ICUE.

5.   Le disposizioni di attuazione del presente articolo figurano nell'allegato II.

Articolo 9

Gestione delle informazioni FIDUCIA

1.   Per «gestione delle informazioni FIDUCIA» si intende l'applicazione delle misure amministrative intese a proteggere le informazioni FIDUCIA nel corso dell'intero procedimento dinanzi alla Corte di giustizia e a controllarle al fine di contribuire a scoraggiare e individuare casi di compromissione o perdita intenzionale o accidentale di tali informazioni.

2.   Le misure di gestione delle informazioni FIDUCIA riguardano in particolare la registrazione, la consultazione, la creazione, la copiatura, la conservazione, la restituzione e la distruzione di informazioni FIDUCIA.

3.   All'atto della ricezione e prima di qualsiasi trattamento, le informazioni FIDUCIA sono registrate dall'ufficio FIDUCIA.

4.   I locali dell'ufficio FIDUCIA sono sottoposti a ispezioni periodiche da parte dell'autorità di sicurezza.

5.   Le disposizioni di attuazione del presente articolo figurano nell'allegato III.

Articolo 10

Protezione delle informazioni FIDUCIA trattate per via elettronica

1.   I sistemi d'informazione e di comunicazione (computer e periferiche) utilizzati per il trattamento delle informazioni FIDUCIA sono situati nei locali dell'ufficio FIDUCIA. Gli stessi sono isolati da ogni rete informatizzata.

2.   Sono poste in essere misure di sicurezza al fine di proteggere le apparecchiature informatiche utilizzate per il trattamento delle informazioni FIDUCIA contro la compromissione di tali informazioni da parte di emissioni elettromagnetiche non intenzionali (misure di sicurezza equivalenti a quelle praticate per le ICUE SECRET UE/EU SECRET conformemente alle norme applicabili nelle istituzioni dell'Unione in materia di protezione delle ICUE).

3.   I sistemi d'informazione e di comunicazione sono oggetto di un'omologazione rilasciata dall'autorità di sicurezza che garantisce che gli stessi rispondano alle norme applicabili nelle istituzioni dell'Unione in materia di protezione delle ICUE.

4.   Le disposizioni di attuazione del presente articolo figurano nell'allegato IV.

Articolo 11

Sicurezza in caso di intervento esterno

1.   Per «sicurezza in caso di intervento esterno» si intende l'applicazione di misure che assicurino la protezione delle informazioni FIDUCIA da parte di contraenti esterni che debbano intervenire nell'ambito della manutenzione dei sistemi di informazione e di comunicazione isolati dalla rete informatica o in occasione di un intervento che richieda il trasferimento urgente delle informazioni FIDUCIA al fine di collocarle in un luogo sicuro.

2.   L'autorità di sicurezza può affidare a contraenti esterni registrati in uno Stato membro l'adempimento di mansioni che implicano o presuppongono, in forza del contratto che li vincola, l'accesso alle informazioni FIDUCIA da parte degli stessi.

3.   L'autorità di sicurezza assicura il rispetto, al momento della concessione dei contratti, delle norme minime sulla sicurezza previste nella presente decisione e menzionate nel contratto.

4.   I membri del personale di un contraente esterno possono accedere a informazioni FIDUCIA soltanto dopo essere stati autorizzati a tal fine dall'autorità di sicurezza sulla base di un nulla osta di sicurezza per il personale rilasciato dall'Autorità nazionale per la sicurezza o da qualsiasi altra autorità di sicurezza competente in conformità alle disposizioni legislative o regolamentari nazionali.

5.   Le disposizioni di attuazione del presente articolo figurano nell'allegato V.

Articolo 12

Assenza di diffusione in formato digitale, di comunicazione e di scambio di informazioni FIDUCIA

1.   Le informazioni FIDUCIA non sono in nessun caso diffuse in formato digitale.

2.   La Corte di giustizia non trasmette informazioni FIDUCIA né alle istituzioni, organi, organismi o agenzie dell'Unione, né agli Stati membri, né alle altre parti della controversia, né ad alcun terzo.

Articolo 13

Violazioni della sicurezza e compromissione di informazioni FIDUCIA

1.   La violazione della sicurezza è un'azione o un'omissione da parte di un individuo, la quale è contraria alle norme di sicurezza contenute nella presente decisione.

2.   Si verifica compromissione quando, in seguito a una violazione della sicurezza, informazioni FIDUCIA sono state divulgate in tutto o in parte a persone non autorizzate o non considerate tali.

3.   Ogni violazione o presunta violazione della sicurezza è immediatamente riferita all'autorità di sicurezza.

4.   Qualora sia appurato, o esistano motivi ragionevoli per supporre che informazioni FIDUCIA sono state compromesse o perse, l'autorità di sicurezza, in stretta concertazione con il presidente e il cancelliere della Corte di giustizia, adotta tutte le misure del caso conformemente alle disposizioni applicabili per:

a)

informarne la parte principale che ha prodotto le informazioni o gli atti di cui trattasi;

b)

chiedere all'autorità competente che sia avviata un'indagine amministrativa;

c)

valutare l'eventuale pregiudizio causato alla sicurezza dell'Unione o a quella di uno o più dei suoi Stati membri o alle loro relazioni internazionali;

d)

impedire che i fatti si ripetano e

e)

informare le autorità competenti delle misure adottate.

5.   Chiunque sia responsabile di una violazione delle norme di sicurezza contenute nella presente decisione è passibile di una sanzione disciplinare conformemente alle disposizioni applicabili. Chiunque sia responsabile della compromissione o della perdita di informazioni FIDUCIA è passibile di sanzioni disciplinari e/o azioni legali conformemente alle disposizioni applicabili.

Articolo 14

Organizzazione della sicurezza nella Corte di giustizia

1.   L'ufficio FIDUCIA procede alla protezione delle informazioni FIDUCIA in applicazione della presente decisione.

2.   L'autorità di sicurezza è responsabile della corretta applicazione della presente decisione. A tale titolo l'autorità di sicurezza:

a)

attua la politica di sicurezza della Corte di giustizia dell'Unione europea e la sottopone a riesame periodico;

b)

controlla l'attuazione della presente decisione da parte dell'ufficio FIDUCIA;

c)

ove opportuno ordina, alle condizioni previste nell'articolo 13, indagini su compromissioni o perdite, accertate o presunte, di informazioni FIDUCIA:

d)

compie ispezioni periodiche delle disposizioni di sicurezza volte ad assicurare la protezione delle informazioni FIDUCIA nei locali dell'ufficio FIDUCIA.

Articolo 15

Modalità pratiche di esecuzione

Le modalità pratiche di esecuzione della presente decisione sono stabilite dall'autorità di sicurezza con l'accordo del cancelliere della Corte di giustizia.

Articolo 16

Entrata in vigore

La presente decisione entra in vigore il giorno successivo a quello della sua pubblicazione nella Gazzetta ufficiale dell'Unione europea.

Lussemburgo, 20 settembre 2016

Il cancelliere

A. CALOT ESCOBAR

Il Presidente

K. LENAERTS


ALLEGATO I

MISURE DI SICUREZZA RELATIVE ALLE PERSONE

1.

Il presente allegato prevede le disposizioni di attuazione dell'articolo 7 della decisione.

2.

Spetta al cancelliere della Corte di giustizia stilare un elenco, per quanto lo riguarda e nei limiti dello stretto necessario, dei posti che presuppongono l'accesso a informazioni FIDUCIA e che richiedono pertanto che i funzionari e gli altri agenti che occupano i posti di cui trattasi siano autorizzati ad accedere a informazioni FIDUCIA.

3.

Ai fini della concessione di un'autorizzazione di accesso a informazioni FIDUCIA, l'ufficio FIDUCIA trasmette il questionario sulla sicurezza, compilato da un funzionario o un altro agente, all'Autorità di Sicurezza Nazionale dello Stato membro di cui l'interessato è cittadino o a qualsiasi altra autorità nazionale competente, identificata nelle norme applicabili nelle istituzioni dell'Unione in materia di protezione delle ICUE (in prosieguo: l'«ASN competente»), chiedendo di avviare un'indagine di sicurezza per il livello di SECRET UE/EU SECRET.

4.

Al termine dell'indagine di sicurezza, attenendosi alle disposizioni legislative e regolamentari vigenti nello Stato membro di cui trattasi, l'ASN competente ne comunica l'esito all'ufficio FIDUCIA.

5.

Qualora, in seguito all'indagine di sicurezza, l'ASN competente abbia ottenuto la garanzia dell'inesistenza di dati negativi che mettano in discussione la lealtà, l'integrità e l'affidabilità della persona interessata, la competente Autorità che ha il potere di nomina (APN) può rilasciare a tale persona un'autorizzazione di accesso alle informazioni FIDUCIA.

6.

Qualora, in seguito all'indagine di sicurezza, non sia stata ottenuta la garanzia prevista al paragrafo 5, l'APN ne informa la persona interessata. In un caso del genere, l'ufficio FIDUCIA, su istruzione dell'APN, può chiedere all'ASN competente ogni ulteriore chiarimento che essa sia in grado di fornire conformemente alle sue disposizioni legislative e regolamentari nazionali. In caso di conferma dei risultati dell'indagine di sicurezza, l'autorizzazione di accesso a informazioni FIDUCIA non è accordata.

7.

L'autorizzazione di accesso a informazioni FIDUCIA è valida per un periodo di cinque anni. Essa è revocata qualora la persona interessata lasci il posto che presuppone l'accesso a informazioni FIDUCIA o qualora l'APN reputi che esistano motivi tali da giustificare la revoca dell'autorizzazione.

8.

L'autorizzazione di accesso a informazioni FIDUCIA può essere rinnovata conformemente alla procedura prevista ai paragrafi da 3 a 5.

9.

L'ufficio FIDUCIA tiene un registro delle autorizzazioni di accesso a informazioni FIDUCIA.

10.

Se viene a conoscenza del fatto che una persona in possesso di un'autorizzazione di accesso a informazioni FIDUCIA rappresenta un rischio per la sicurezza, l'ufficio FIDUCIA ne avverte l'ASN competente e l'APN può sospendere l'accesso a informazioni FIDUCIA o revocare l'autorizzazione di accesso alle stesse.

11.

Per motivi di urgenza, l'APN, dopo aver consultato l'ASN competente e fatto salvo l'esito dei controlli preliminari per verificare l'inesistenza di dati negativi, può rilasciare ai funzionari e agli altri agenti interessati un'autorizzazione temporanea per accedere a informazioni FIDUCIA. Tale autorizzazione temporanea è valida fino all'esito della procedura prevista ai paragrafi da 3 a 5, senza tuttavia eccedere un periodo di sei mesi che decorre dalla data in cui è stata presentata all'ASN competente la domanda di indagine di sicurezza.

12

Prima che sia loro accordato l'accesso a informazioni FIDUCIA, le persone autorizzate a tale scopo seguono una formazione diretta a porle nelle condizioni di assumere le proprie responsabilità nel trattamento delle informazioni FIDUCIA. L'autorizzazione di accesso a informazioni FIDUCIA diviene effettiva solo dopo tale formazione e un'assunzione di responsabilità per iscritto.


ALLEGATO II

SICUREZZA MATERIALE

I.   INTRODUZIONE

1.

Il presente allegato prevede le disposizioni di attuazione dell'articolo 8 della decisione. Esso stabilisce i requisiti minimi per la protezione materiale dei locali dell'ufficio FIDUCIA in cui sono trattate e conservate le informazioni FIDUCIA.

2.

Le misure di sicurezza materiale sono intese ad evitare l'accesso non autorizzato alle informazioni FIDUCIA:

a)

assicurando che le informazioni FIDUCIA siano trattate e conservate in modo adeguato;

b)

permettendo di stabilire una distinzione tra persone autorizzate o meno ad accedere alle informazioni FIDUCIA in base al principio della necessità di venirne a conoscenza;

c)

scoraggiando, ostacolando e individuando azioni non autorizzate e

d)

impedendo o ritardando l'ingresso, tramite sotterfugi o l'uso della forza, di intrusi nei locali dell'ufficio FIDUCIA.

3.

Le misure di sicurezza materiale sono scelte in base alla valutazione delle minacce che gravano sulle informazioni FIDUCIA. Tali misure tengono conto dell'ambiente e della struttura dei locali dell'ufficio FIDUCIA. L'autorità di sicurezza determina il grado di sicurezza da raggiungere per ciascuna delle seguenti misure materiali:

a)

barriera perimetrica che difende i confini della zona da proteggere;

b)

sistema di rilevamento delle intrusioni collegato alla postazione di comando e di sicurezza della Corte di giustizia dell'Unione europea;

c)

sistema di controllo degli accessi effettuato mediante dispositivi elettronici o elettromeccanici e attuato da un membro del personale addetto alla sicurezza;

d)

personale addetto alla sicurezza formato, sottoposto a supervisione e in possesso di un'autorizzazione per accedere a informazioni FIDUCIA;

e)

sistema di videosorveglianza a circuito chiuso controllato dal personale addetto alla sicurezza e collegato al sistema di rilevamento delle intrusioni e al sistema di controllo degli accessi;

f)

illuminazione di sicurezza che garantisce una sorveglianza efficace diretta o attraverso un sistema di videosorveglianza;

g)

eventuali altre misure materiali appropriate volte a scoraggiare o individuare l'accesso non autorizzato o a evitare la consultazione, la perdita o il danneggiamento di informazioni FIDUCIA.

II.   LOCALI DI CONSERVAZIONE E DI CONSULTAZIONE DELLE INFORMAZIONI FIDUCIA

Creazione dei locali di conservazione e di consultazione materialmente protetti

4.

Sono creati locali sicuri ai fini della conservazione e della consultazione delle informazioni FIDUCIA. Le informazioni FIDUCIA possono essere conservate e consultate solo nei locali dell'ufficio FIDUCIA che soddisfano, sotto ogni profilo, le norme applicabili nelle istituzioni dell'Unione in materia di protezione delle ICUE.

5.

La conservazione delle informazioni FIDUCIA all'interno di tali locali viene garantita facendo ricorso ad armadi di sicurezza che soddisfino, sotto ogni profilo, le norme applicabili nelle istituzioni dell'Unione in materia di protezione delle ICUE.

6.

Nei locali dell'ufficio FIDUCIA non può essere introdotto nessun sistema di comunicazione (telefono o altro dispositivo elettronico).

7.

Il locale riunioni dell'ufficio FIDUCIA è protetto contro le intercettazioni. È oggetto, a intervalli regolari, di ispezioni relative alla sicurezza elettronica.

Accesso ai locali di conservazione e di consultazione

8.

L'accesso ai locali dell'ufficio FIDUCIA è controllato per mezzo di un passaggio di identificazione video sorvegliato.

9.

Le persone che sono state autorizzate ad accedere a informazioni FIDUCIA e le persone che sono considerate tali possono accedere ai locali dell'ufficio FIDUCIA al fine di consultare informazioni FIDUCIA alle condizioni previste all'articolo 7, paragrafi 1 e 2, della presente decisione.

10.

L'autorità di sicurezza può eccezionalmente rilasciare un'autorizzazione di accesso a persone non autorizzate di cui è indispensabile l'intervento nei locali dell'ufficio FIDUCIA, purché l'accesso a tali locali non implichi un accesso alle informazioni FIDUCIA che resteranno non visibili in armadi di sicurezza. L'accesso di tali persone può essere effettuato solo con l'accompagnamento e la sorveglianza permanente di una persona dell'ufficio FIDUCIA che sia stata autorizzata all'accesso a informazioni FIDUCIA.

11.

Tutti gli accessi ai locali dell'ufficio FIDUCIA sono annotati in un registro degli accessi. Detto registro è conservato in una postazione di lavoro situata in tali locali. Il sistema di informazione e di comunicazione utilizzato a tal fine è conforme ai requisiti di sicurezza stabiliti all'articolo 10 della decisione nonché all'allegato IV.

12.

Le misure di protezione che disciplinano l'utilizzazione scritta delle informazioni FIDUCIA si applicano in caso di utilizzazione orale di queste stesse informazioni.

III.   CONTROLLO DELLE CHIAVI E DELLE COMBINAZIONI USATE PER PROTEGGERE LE INFORMAZIONI FIDUCIA

13.

L'autorità di sicurezza stabilisce le procedure di gestione delle chiavi e delle combinazioni per i locali dell'ufficio FIDUCIA e gli armadi di sicurezza. Tali procedure proteggono dall'accesso non autorizzato.

14.

Le combinazioni sono conosciute a memoria dal minor numero possibile di persone che hanno necessità di conoscerle. Le combinazioni degli armadi di sicurezza in cui sono conservate informazioni FIDUCIA sono modificate:

a)

al ricevimento di ogni nuovo armadio;

b)

in caso di sostituzione del personale che conosce la combinazione;

c)

in caso di effettiva o presunta compromissione;

d)

se una serratura è stata oggetto di manutenzione o riparazione;

e)

almeno ogni dodici mesi.

15.

Le attrezzature tecniche destinate alla protezione materiale delle informazioni FIDUCIA rispondono alle norme applicabili nelle istituzioni dell'Unione in materia di protezione delle ICUE. L'autorità di sicurezza è responsabile dell'osservanza di tali norme.

16.

Le attrezzature tecniche sono ispezionate periodicamente e sono regolarmente sottoposte a manutenzione. I lavori di manutenzione tengono conto del risultato delle ispezioni per garantire il costante funzionamento ottimale delle attrezzature.

17.

L'efficacia delle singole misure di sicurezza nonché del sistema di sicurezza nel suo complesso è oggetto di una nuova valutazione in occasione di ogni ispezione.


ALLEGATO III

GESTIONE DELLE INFORMAZIONI FIDUCIA

I.   INTRODUZIONE

1.

Il presente allegato prevede le disposizioni di attuazione dell'articolo 9 della decisione. Esso stabilisce le misure amministrative finalizzate a proteggere le informazioni FIDUCIA nel corso dell'intero procedimento dinanzi alla Corte di giustizia e a controllarle al fine di contribuire a scoraggiare e individuare i casi di compromissione o perdita intenzionale o accidentale di tali informazioni.

II.   REGISTRO DELLE INFORMAZIONI FIDUCIA

2.

Viene istituito un registro delle informazioni FIDUCIA. Tale registro è tenuto, dall'ufficio FIDUCIA, in una postazione di lavoro situata nei locali dello stesso. Il sistema di informazione e di comunicazione utilizzato ai fini della tenuta di tale registro è conforme ai requisiti di sicurezza stabiliti all'articolo 10 della decisione nonché all'allegato IV.

III.   REGISTRAZIONE DELLE INFORMAZIONI FIDUCIA

3.

Nell'ambito della presente decisione, per registrazione a fini di sicurezza (in prosieguo: la «registrazione») si intende l'applicazione di procedure che consentono la tracciabilità del ciclo di vita di un'informazione FIDUCIA, compresa la sua distruzione.

4.

La registrazione delle informazioni FIDUCIA è effettuata dall'ufficio FIDUCIA.

5.

L'ufficio FIDUCIA attribuisce automaticamente il contrassegno FIDUCIA alle informazioni o agli atti prodotti ai sensi dell'articolo 105, paragrafo 1 o 2, del regolamento di procedura del Tribunale. L'ufficio FIDUCIA registra l'informazione FIDUCIA nel registro delle informazioni FIDUCIA.

6.

L'ufficio FIDUCIA predispone un rapporto allegato al registro delle informazioni FIDUCIA precisando le condizioni di ricevimento dell'informazione. Quest'ultima è successivamente trattata secondo le modalità stabilite al paragrafo precedente.

7.

La registrazione, conformemente ai paragrafi 5 e 6, delle informazioni FIDUCIA nel registro delle informazioni FIDUCIA viene effettuata indipendentemente dalla registrazione a fini processuali realizzata dalle persone autorizzate all'accesso a informazioni FIDUCIA presso la cancelleria.

IV.   GESTIONE DELLE INFORMAZIONI FIDUCIA

Contrassegno

8.

Qualora una ICUE o qualsiasi altra informazione, relativamente alla quale sia segnalato che una sua eventuale comunicazione potrebbe ledere la sicurezza dell'Unione o quella di uno o più dei suoi Stati membri o le loro relazioni internazionali, sia prodotta nel contesto dell'articolo 105, paragrafo 1 o 2, del regolamento di procedura del Tribunale, l'ufficio FIDUCIA le attribuisce il contrassegno FIDUCIA.

9.

Il contrassegno FIDUCIA è chiaramente e correttamente indicato su ciascuna parte del documento, indipendentemente dalla forma in cui si presenta l'informazione: formato cartaceo, formato audio, elettronico o altro.

Creazione di un'informazione FIDUCIA

10.

Soltanto chi sia stato autorizzato ad accedere a informazioni FIDUCIA o chi sia considerato tale può creare un'informazione FIDUCIA come precisata all'articolo 4, paragrafi 2 e 3, della presente decisione.

11.

Le informazioni FIDUCIA così create sono registrate dall'ufficio FIDUCIA nel registro delle informazioni FIDUCIA.

12.

Le informazioni FIDUCIA così create sono soggette all'insieme delle regole relative al trattamento delle informazioni FIDUCIA, come stabilite nella presente decisione e nei suoi allegati.

Soppressione del contrassegno FIDUCIA

13.

Le informazioni FIDUCIA perdono il loro contrassegno in due ipotesi:

a)

qualora la parte principale che ha prodotto l'informazione FIDUCIA ne autorizzi la trasmissione all'altra parte principale, l'informazione inizialmente trasmessa nonché tutte le informazioni create sulla base di tale informazione perdono il loro contrassegno FIDUCIA;

b)

qualora l'informazione FIDUCIA sia restituita alla parte principale che l'ha prodotta.

14.

La soppressione del contrassegno FIDUCIA è realizzata dall'ufficio FIDUCIA, che registra detta soppressione nel registro delle informazioni FIDUCIA.

15.

La soppressione del contrassegno FIDUCIA non implica la declassificazione delle ICUE.

V.   COPIE DELLE INFORMAZIONI FIDUCIA

16.

Non è possibile effettuare copie delle informazioni FIDUCIA, a meno che non siano indispensabili. In quest'ultimo caso le copie sono realizzate dall'ufficio FIDUCIA, che attribuisce alle stesse un numero e le registra.

17.

Le copie sono soggette al complesso delle norme di sicurezza stabilite nella presente decisione e nei suoi allegati.

VI.   DISTRUZIONE DELLE INFORMAZIONI FIDUCIA

18.

Qualora informazioni o atti prodotti conformemente all'articolo 105, paragrafo 1 o 2, del regolamento di procedura del Tribunale siano restituiti alla parte principale che li ha prodotti, tutte le informazioni che riportano, interamente o parzialmente, il contenuto di tali informazioni o atti nonché le eventuali copie realizzate sono distrutte.

19.

La distruzione delle informazioni FIDUCIA prevista al paragrafo 18 è effettuata dall'ufficio FIDUCIA utilizzando metodi che soddisfino le norme applicabili nelle istituzioni dell'Unione in materia di protezione delle ICUE al fine di impedirne la totale o parziale ricostruzione.

20.

La distruzione delle informazioni FIDUCIA prevista al paragrafo 18 è effettuata in presenza di un testimone autorizzato all'accesso a informazioni FIDUCIA.

21.

L'ufficio FIDUCIA redige un verbale di distruzione.

22.

Il verbale di distruzione è allegato al registro delle informazioni FIDUCIA. Ne è trasmessa una copia alla parte principale che ha prodotto il documento di cui trattasi.


ALLEGATO IV

PROTEZIONE DELLE INFORMAZIONI FIDUCIA TRATTATE PER VIA ELETTRONICA

1.

Il presente allegato prevede le disposizioni di attuazione dell'articolo 10.

2.

Le informazioni FIDUCIA possono essere trattate solo su apparecchi elettronici (postazioni di lavoro, stampanti, fotocopiatrici) che non siano collegati alla rete informatica e che siano collocati nei locali dell'ufficio FIDUCIA.

3.

L'insieme degli apparecchi elettronici utilizzati per il trattamento delle informazioni FIDUCIA è conforme alle norme applicabili nelle istituzioni dell'Unione in materia di protezione delle ICUE. La sicurezza di tali apparecchi è garantita nel corso di tutto il loro ciclo di vita.

4.

Tutti i possibili collegamenti a internet e agli altri sistemi (LAN, WLAN, Bluetooth, ecc.) sono disattivati in modo permanente.

5.

Le postazioni di lavoro sono dotate di una protezione anti-virus adatta. Gli aggiornamenti anti-virus sono realizzati mediante CD-ROM o chiave USB utilizzati esclusivamente a tale scopo.

6.

Le memorie delle stampanti e delle fotocopiatrici sono cancellate prima di ogni operazione di manutenzione.

7.

Solo i prodotti crittografici approvati conformemente alle norme applicabili nelle istituzioni dell'Unione in materia di protezione delle ICUE sono utilizzati per il trattamento delle domande di indagine di cui all'allegato I.


ALLEGATO V

SICUREZZA IN CASO DI INTERVENTO ESTERNO

1.

Il presente allegato prevede le disposizioni di attuazione dell'articolo 11.

2.

L'accesso alle informazioni FIDUCIA da parte di contraenti esterni può essere effettuato solo nell'ambito della manutenzione dei sistemi di informazione e di comunicazione isolati dalla rete informatica o in occasione di un intervento che richieda il trasferimento urgente delle informazioni FIDUCIA al fine di collocarle in un luogo sicuro.

3.

L'autorità di sicurezza elabora orientamenti sull'intervento esterno che riguardino, in particolare, il nulla osta di sicurezza per il personale dei contraenti esterni e il contenuto dei contratti previsti nel presente allegato.

4.

Ai documenti relativi ai procedimenti di gara d'appalto e al contratto di manutenzione dei sistemi di informazione e di comunicazione isolati dalla rete informatica è apposto il contrassegno FIDUCIA qualora contengano informazioni la cui divulgazione non autorizzata potrebbe ledere la sicurezza dell'Unione o quella di uno o più dei suoi Stati membri o le loro relazioni internazionali. L'allegato di sicurezza di tale contratto contiene le disposizioni che impongono al contraente esterno di osservare le norme minime stabilite dalla presente decisione. L'inosservanza di tali norme minime può essere motivo sufficiente di risoluzione del contratto.

5.

Il contratto che comporta interventi che presuppongono il trasferimento urgente delle informazioni FIDUCIA al fine di collocarle in un luogo sicuro include il numero di agenti di sicurezza che devono disporre di un nulla osta di sicurezza per il personale. Esso non precisa in alcun modo le procedure da attuare. A tale contratto non viene apposto il contrassegno FIDUCIA.

6.

Il contraente esterno non può subappaltare attività definite nella gara d'appalto e nel contratto che implica o presuppone un accesso a informazioni FIDUCIA.