|
ISSN 1977-0707 |
||
|
Gazzetta ufficiale dell'Unione europea |
L 311 |
|
|
||
|
Edizione in lingua italiana |
Legislazione |
62° anno |
|
Sommario |
|
II Atti non legislativi |
pagina |
|
|
|
DECISIONI |
|
|
|
* |
||
|
|
* |
||
|
|
* |
|
IT |
Gli atti i cui titoli sono stampati in caratteri chiari appartengono alla gestione corrente. Essi sono adottati nel quadro della politica agricola ed hanno generalmente una durata di validità limitata. I titoli degli altri atti sono stampati in grassetto e preceduti da un asterisco. |
II Atti non legislativi
DECISIONI
|
2.12.2019 |
IT |
Gazzetta ufficiale dell'Unione europea |
L 311/1 |
DECISIONE (UE, Euratom) 2019/1961 DELLA COMMISSIONE
del 17 ottobre 2019
sulle norme di attuazione per il trattamento di informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell’Unione europea, in particolare l’articolo 249,
visto il trattato che istituisce la Comunità europea dell’energia atomica, in particolare l’articolo 106,
vista la decisione (UE, Euratom) 2015/443 della Commissione, del 13 marzo 2015, sulla sicurezza nella Commissione (1),
vista la decisione (UE, Euratom) 2015/444 della Commissione, del 13 marzo 2015, sulle norme di sicurezza per proteggere le informazioni classificate UE (2),
vista la decisione (UE, Euratom) 2017/46 della Commissione del 10 gennaio 2017 sulla sicurezza dei sistemi di comunicazione e informazione della Commissione europea (3),
considerando quanto segue:
|
(1) |
La decisione (UE, Euratom) 2015/444 si applica a tutti i servizi e in tutti i locali della Commissione. |
|
(2) |
Le misure di sicurezza per proteggere le informazioni classificate UE (ICUE) durante il loro ciclo di vita devono essere commisurate in particolare alla rispettiva classifica di sicurezza. |
|
(3) |
L’articolo 4, paragrafo 3, l’articolo 19, paragrafo 1, lettera c), e l’articolo 22 della decisione (UE, Euratom) 2015/444 prevedono che disposizioni più dettagliate per integrare e sostenere l’attuazione della decisione devono essere definite da norme di attuazione volte a disciplinare questioni quali la guida alla classificazione, le misure compensative per il trattamento delle ICUE all’esterno di una zona protetta o di una zona amministrativa e le responsabilità dell’originatore. |
|
(4) |
Ove opportuno, occorre adottare norme di attuazione intese a integrare o sostenere la decisione (UE, Euratom) 2015/444 conformemente al suo articolo 60. |
|
(5) |
Le misure di sicurezza adottate per attuare la decisione devono essere conformi ai principi per la sicurezza all’interno della Commissione stabiliti all’articolo 3 della decisione (UE, Euratom) 2015/443. |
|
(6) |
Il Consiglio, la Commissione e l’alto rappresentante dell’Unione per gli affari esteri e la politica di sicurezza hanno convenuto di garantire la massima coerenza nell’applicazione delle norme di sicurezza relative alla protezione delle ICUE tenendo conto delle specifiche esigenze istituzionali e organizzative, conformemente alle dichiarazioni allegate al processo verbale della sessione del Consiglio in cui è stata adottata la decisione 2013/488/UE del Consiglio (4). |
|
(7) |
Il 4 maggio 2016 la Commissione ha adottato una decisione (5) che autorizza il membro della Commissione responsabile per le questioni della sicurezza ad adottare, a nome della Commissione e sotto la sua responsabilità, le norme di attuazione di cui all’articolo 60 della decisione (UE, Euratom) 2015/444, |
HA ADOTTATO LA PRESENTE DECISIONE:
CAPO 1
DISPOSIZIONI GENERALI
Articolo 1
Oggetto e ambito di applicazione
1. La presente decisione stabilisce le condizioni di trattamento per le informazioni classificate UE (ICUE) di livello CONFIDENTIEL UE/EU CONFIDENTIAL (6) e SECRET UE/EU SECRET (7) conformemente alla decisione (UE, Euratom) 2015/444.
2. La presente decisione si applica a tutti i servizi e in tutti i locali della Commissione.
Articolo 2
Criteri di accesso alle informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET
1. L’accesso alle informazioni classificate CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET può essere autorizzato dopo che:
|
a) |
è stata accertata la necessità che una persona abbia accesso a determinate informazioni CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET per poter svolgere una funzione o un compito professionale per la Commissione europea; |
|
b) |
la persona è stata istruita sulle norme e sugli orientamenti di sicurezza pertinenti per la protezione delle informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET; |
|
c) |
la persona ha preso atto delle proprie responsabilità in materia di protezione delle informazioni in questione; |
|
d) |
la persona è stata autorizzata dall’autorità di sicurezza della Commissione ad accedere alle ICUE fino al livello pertinente e fino a una data specificata a norma dell’articolo 10, paragrafo 1, punto 3, della decisione (UE, Euratom) 2015/444. |
2. Ai tirocinanti della Commissione non sono assegnati compiti per i quali sia necessario accedere ad informazioni CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET.
3. L’accesso è negato o autorizzato per altre categorie di personale secondo la tabella riportata in allegato.
CAPO 2
PRODUZIONE DI INFORMAZIONI CONFIDENTIEL UE/EU CONFIDENTIAL E SECRET UE/EU SECRET
Articolo 3
Originatore
Mentre, ai sensi dell’articolo 1 della decisione (UE, Euratom) 2015/444, l’originatore è un’istituzione, agenzia o organismo dell’Unione, Stato membro, Stato terzo o organizzazione internazionale sotto la cui autorità sono state create e/o introdotte nelle strutture dell’Unione informazioni classificate, il redattore delle informazioni CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET non coincide necessariamente con l’originatore.
Articolo 4
Assegnazione del livello di classifica
1. Il personale che redige un documento sulla base delle informazioni di cui all’articolo 1 verifica sempre se il documento debba essere classificato. La classificazione di un documento come ICUE implica una valutazione e la decisione, da parte dell’originatore, che la sua divulgazione a persone non autorizzate potrebbe essere pregiudizievole per gli interessi dell’Unione europea o di uno o più Stati membri. Se i redattori nutrono dubbi sul fatto che il documento che redigono debba essere classificato come CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET, è opportuno che consultino il capo unità o il direttore responsabile.
2. Un documento è classificato almeno CONFIDENTIEL UE/EU CONFIDENTIAL se la sua divulgazione non autorizzata potrebbe, tra l’altro:
|
a) |
pregiudicare concretamente le relazioni diplomatiche, cioè provocare proteste formali o altre sanzioni; |
|
b) |
pregiudicare la sicurezza o la libertà di persone fisiche; |
|
c) |
compromettere l’efficacia operativa o la sicurezza del personale dispiegato dagli Stati membri o da altri contributori o l’efficacia e di importanti operazione di sicurezza o intelligence; |
|
d) |
compromettere in modo sostanziale la capacità finanziaria di grandi organizzazioni; |
|
e) |
ostacolare le indagini su un reato o agevolare la criminalità; |
|
f) |
pregiudicare sostanzialmente gli interessi finanziari, monetari, economici e commerciali dell’Unione o degli Stati membri; |
|
g) |
ostacolare seriamente l’elaborazione o il funzionamento delle principali politiche dell’Unione; |
|
h) |
far cessare o perturbare gravemente le attività rilevanti dell’Unione; |
|
i) |
portare alla scoperta di informazioni classificate a un livello superiore. |
3. Un’informazione è classificata almeno SECRET UE/EU SECRET se la sua divulgazione non autorizzata potrebbe, tra l’altro:
|
a) |
provocare tensioni internazionali; |
|
b) |
danneggiare gravemente le relazioni con paesi terzi o organizzazioni internazionali; |
|
c) |
costituire una minaccia diretta di perdita di vite umane o compromettere gravemente l’ordine pubblico o la sicurezza o libertà delle persone; |
|
d) |
compromettere gravemente l’efficacia operativa o la sicurezza del personale dispiegato dagli Stati membri o da altri contributori o in modo duraturo l’efficacia e di operazione di sicurezza o intelligence della massima importanza; |
|
e) |
causare ingenti danni materiali agli interessi finanziari, monetari, economici e commerciali dell’Unione o degli Stati membri; |
|
f) |
portare alla scoperta di informazioni classificate a un livello superiore. |
4. Gli originatori possono decidere di attribuire un livello di classifica standard alle categorie di informazioni che producono con regolarità. Essi garantiscono tuttavia che le singole informazioni ricevano il livello di classifica appropriato.
Articolo 5
Trattamento dei progetti
1. Le informazioni sono classificate non appena prodotte. Le note personali, i progetti preliminari o i messaggi contenenti le informazioni che giustificano una classifica di livello CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET sono contrassegnati come tali sin dall’inizio e sono prodotti e trattati in conformità della presente decisione.
2. Se non giustifica più il livello iniziale di classifica, il documento finale sarà declassato o declassificato.
Articolo 6
Registro delle fonti
Al fine di consentire l’esercizio del controllo degli originatori conformemente all’articolo 14, gli originatori di documenti CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET tengono un registro di tutte le fonti classificate utilizzate per produrre documenti classificati, compresi i dettagli delle fonti provenienti dagli Stati membri dell’UE, da organizzazioni internazionali o da paesi terzi. Se del caso, le informazioni classificate aggregate sono contrassegnate in modo da preservare l’identificazione degli originatori delle fonti classificate utilizzate.
Articolo 7
Classificazione di parti di un documento
1. A norma dell’articolo 22, paragrafo 6, della decisione (UE, Euratom) 2015/444, il livello generale di classifica di un documento è almeno quello del suo componente con livello di classifica più elevato. Quando si riprendono informazioni da varie fonti, il documento aggregato finale è riesaminato per determinarne il livello generale di classifica di sicurezza, in quanto esso può richiedere una classifica più elevata di quella dei suoi componenti.
2. I documenti che contengono parti classificate e parti non classificate sono impostati e contrassegnati in modo che i componenti con livelli diversi di classifica e/o di sensibilità possano essere facilmente individuati e, se necessario, separati. Ciò consente di trattare adeguatamente ciascuna parte una volta separata dagli altri componenti.
Articolo 8
Contrassegni di classifica per esteso
1. Le informazioni che devono essere classificate sono contrassegnate e trattate come tali, a prescindere dalla loro forma materiale. Il livello di classifica è comunicato chiaramente ai destinatari mediante un contrassegno di classifica, se le informazioni sono fornite per iscritto su carta, supporti di memorizzazione rimovibili o utilizzando un sistema di comunicazione e informazione (CIS) o mediante annuncio, se le informazioni sono fornite oralmente, ad esempio in una conversazione o una presentazione. Il materiale classificato è contrassegnato materialmente in modo da consentire una facile identificazione della sua classifica di sicurezza.
2. Sui documenti, il contrassegno di classifica completo CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET è scritto in stampatello, in francese e in inglese, conformemente al paragrafo 3. Il contrassegno non è tradotto in altre lingue.
3. Il contrassegno di classifica CONFIDENTIEL UE/EU CONFIDENTIAL or SECRET UE/EU SECRET è apposto come segue:
|
a) |
centrato nell’intestazione e nel piè di pagina di ogni pagina del documento; |
|
b) |
il contrassegno di classifica è scritto su una sola riga, senza spazi da nessuno dei lati della barra; |
|
c) |
in lettere maiuscole, con carattere «Times New Roman 16» (quando possibile, ma almeno «Times New Roman 14»), in grassetto e con un bordo su ciascun lato. |
4. Quando è creato un documento CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET
|
a) |
ciascuna pagina è contrassegnata chiaramente con il livello di classifica; |
|
b) |
ciascuna pagina è numerata; |
|
c) |
il documento reca un numero di riferimento, un numero di registrazione e un oggetto che non è in sé un’informazione classificata, a meno che non sia contrassegnato come tale; |
|
d) |
tutti gli allegati e il materiale accluso sono elencati, ove possibile, sulla prima pagina; |
|
e) |
il documento riporta la data in cui è stato creato. |
5. Qualora possibile, il contrassegno SECRET UE/EU SECRET appare in rosso.
Articolo 9
Contrassegni di classifica abbreviati C-UE/EU-C e S-UE/EU-S
L’abbreviazione C-UE/EU-C e S-UE/EU-S può essere utilizzata per indicare il livello di classifica delle singole parti di un documento CONFIDENTIEL UE/EU CONFIDENTIAL or SECRET UE/EU SECRET o laddove non possa essere inserito per esteso il contrassegno di classifica, ad esempio su un piccolo supporto di memorizzazione rimovibile. Può essere utilizzata nel corpo del testo laddove l’uso ripetuto del contrassegno di classifica per esteso risulterebbe pesante. L’abbreviazione non è utilizzata al posto del contrassegno di classifica completo in intestazione e piè di pagina del documento.
Articolo 10
Altre indicazioni di sicurezza
1. I documenti CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET possono recare altri contrassegni o «indicazioni di sicurezza» che specifichino, ad esempio, il settore cui si riferisce il documento o indichino una distribuzione particolare in base al principio della necessità di conoscere. Un esempio è:
|
RELEASABLE TO LIECHTENSTEIN |
2. I documenti CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET possono recare un’avvertenza di sicurezza che fornisce istruzioni specifiche su come trattarli e gestirli.
3. Ogniqualvolta possibile, le eventuali indicazioni per il declassamento e la declassificazione sono apposte sulla prima pagina del documento al momento della sua creazione. Ad esempio, può essere apposto il seguente contrassegno:
|
SECRET UE/EU SECRET fino al [gg.mm.aaaa] e RESTREINT UE/EU RESTRICTED in seguito |
Articolo 11
Trattamento elettronico
1. I documenti CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET sono creati con mezzi elettronici, se disponibili.
2. Nel creare informazioni di livello CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET il personale della Commissione utilizza il CIS accreditato per il livello di classifica corrispondente o per un livello di classifica più elevato. Qualora vi siano dubbi in merito al CIS da usare, il personale consulta il responsabile locale per la sicurezza (LSO). In consultazione con l’autorità di sicurezza della Commissione, in situazioni di emergenza o in configurazioni tecniche specifiche possono essere applicate procedure specifiche.
3. I documenti CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET, compresi i progetti di cui all’articolo 5, non sono inviati per posta elettronica, non sono stampati o digitalizzati su stampanti o scanner standard o su dispositivi personali dei membri del personale. Per la stampa dei documenti CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET sono utilizzate solo stampanti o fotocopiatrici collegate a computer indipendenti protetti rispetto ad emissioni elettromagnetiche o a un sistema accreditato.
Articolo 12
Registrazione a fini di sicurezza
1. Le informazioni di livello CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET sono registrate a fini di sicurezza prima della diffusione e all’atto della ricezione. Le informazioni sono registrate:
|
— |
quando entrano in un’entità organizzativa o ne escono; |
|
— |
quando entrano in un CIS o ne escono. |
2. Tale registrazione può essere effettuata su carta o in registri elettronici.
3. Se le informazioni sono trattate elettronicamente in un CIS, le procedure di registrazione possono essere eseguite mediante procedure interne allo stesso CIS. In tal caso il CIS comprende misure volte a garantire l’integrità delle registrazioni dei registri elettronici.
4. Il funzionario responsabile del controllo delle registrazioni tiene un registro contenente almeno le seguenti informazioni per ciascun documento:
|
a) |
la data di registrazione del documento finale classificato; |
|
b) |
il livello di classificazione; |
|
c) |
se del caso, la data di scadenza del livello di classifica; |
|
d) |
il nome del dipartimento originatore; |
|
e) |
il destinatario o i destinatari; |
|
f) |
l’oggetto; |
|
g) |
il numero di riferimento assegnato al documento dal dipartimento originatore; |
|
h) |
il numero di registrazione; |
|
i) |
numero di esemplari distribuiti; |
|
j) |
se possibile, il registro delle fonti utilizzate per creare il documento; |
|
k) |
la data di declassamento o declassificazione del documento; |
|
l) |
dettagli relativi alla distruzione (luogo, data, metodo, supervisione, certificato di distruzione). |
Articolo 13
Distribuzione
Il mittente dei documenti CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET decide a chi distribuire le informazioni, in base alla necessità di conoscere. È redatto un elenco di distribuzione al fine di applicare in modo ancora più rigoroso il principio della necessità di conoscere.
CAPO 3
LAVORARE CON INFORMAZIONI CONFIDENTIEL UE/EU CONFIDENTIAL E SECRET UE/EU SECRET ESISTENTI
Articolo 14
Controllo dell’originatore
1. L’originatore esercita il «controllo dell’originatore» sulle informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET che ha creato. L’autorizzazione preventiva per iscritto dell’originatore è necessaria prima che le informazioni possano essere:
|
a) |
declassificate o declassate; |
|
b) |
utilizzate per fini diversi da quelli stabiliti dall’originatore; |
|
c) |
divulgate a un paese terzo o a un’organizzazione internazionale; |
|
d) |
comunicate a una parte esterna alla Commissione ma interna all’UE; |
|
e) |
comunicate a un contraente o potenziale contraente con sede in un paese terzo. |
2. I detentori di informazioni classificate CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET sono persone debitamente autorizzate che hanno ottenuto l’accesso alle informazioni classificate per poter svolgere le proprie funzioni. Sono responsabili del trattamento, archiviazione e protezione corretti delle informazioni conformemente alla decisione (UE, Euratom) 2015/444. A differenza degli originatori delle informazioni classificate, i detentori non sono autorizzati a decidere in merito al declassamento, alla declassificazione o alla successiva divulgazione delle informazioni CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET a paesi terzi o a organizzazioni internazionali.
3. Se non è possibile individuare l’originatore di un’informazione CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET, il dipartimento della Commissione che detiene le informazioni classificate esercita il controllo dell’originatore. Il gruppo di esperti in materia di sicurezza della Commissione è consultato prima che le informazioni CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET siano comunicate a un paese terzo o a un’organizzazione internazionale.
Articolo 15
CIS idonei al trattamento di informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET
1. Le informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET sono trattate e trasmesse con mezzi elettronici, se disponibili. Sono utilizzati solo i CIS e le apparecchiature approvati dall’autorità di accreditamento in materia di sicurezza della Commissione per il trattamento delle informazioni classificate al livello pertinente o a un livello di classifica più elevato.
2. Se un dipartimento della Commissione dispone di attrezzature adeguate per trattare e inviare informazioni classificate a tali livelli, il dipartimento assiste le altre entità della Commissione nella gestione e nell’invio delle informazioni in modo appropriato, nella misura in cui sia in grado di farlo.
Articolo 16
Misure specifiche applicabili alle informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET su supporti di memorizzazione rimovibili
1. L’uso dei supporti di memorizzazione rimovibili è rigorosamente controllato e registrato. Sono utilizzati solo supporti rimovibili forniti dalla Commissione e criptati con un prodotto approvato dall’autorità di sicurezza della Commissione. Per il trasferimento di informazioni classificate non possono essere utilizzati i supporti personali rimovibili e quelli forniti gratuitamente in occasione di conferenze, seminari ecc. Ove possibile, dovrebbero essere utilizzati supporti di memorizzazione rimovibili con sicurezza Tempest, conformemente agli orientamenti dell’autorità di sicurezza della Commissione.
2. Quando un documento classificato è trattato o archiviato elettronicamente su supporti di memorizzazione rimovibili, quali chiavette USB, CD o schede di memoria, il contrassegno di classifica è chiaramente visibile nelle informazioni visualizzate, nonché sul nome del file e sul supporto di memorizzazione rimovibile.
3. Il personale tiene presente che quando grandi quantità di informazioni classificate sono conservate su supporti di memorizzazione rimovibili può essere necessario assegnare un livello di classifica più elevato al dispositivo nel suo insieme.
4. Solo i CIS opportunamente autorizzati sono utilizzati per la trasmissione di informazioni classificate CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET verso o da supporti di memorizzazione rimovibili.
5. Quando si scaricano tali informazioni classificate da supporti di memorizzazione rimovibili, prima del trasferimento dei dati è necessario prestare particolare attenzione al fatto che i supporti non contengano virus o malware.
6. Se del caso, i supporti di memorizzazione rimovibili sono trattati nel rispetto delle procedure di sicurezza relative al sistema di cifratura utilizzato.
7. I documenti su supporti di memorizzazione rimovibili che non sono più necessari o che sono stati trasferiti su un CIS appropriato, sono rimossi o cancellati in modo sicuro utilizzando prodotti o metodi approvati. A meno che non siano conservati in una cassaforte idonea, i supporti di memorizzazione rimovibili sono distrutti quando non sono più necessari. Qualsiasi distruzione o cancellazione è effettuata con un metodo conforme alle norme di sicurezza della Commissione. È tenuto un inventario dei supporti di memorizzazione rimovibili e la loro distruzione è registrata.
Articolo 17
Trattamento e archiviazione di informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET
1. Conformemente all’articolo 19, paragrafo 3, lettera a), della decisione (UE, Euratom) 2015/444, le informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET sono trattate in una zona protetta (8).
2. A norma dell’articolo 19, paragrafo 3, lettera b), della decisione (UE, Euratom) 2015/444, tali informazioni possono essere trattate in una zona amministrativa (9) purché le ICUE siano protette dall’accesso di persone non autorizzate.
3. Tali informazioni possono essere trattate al di fuori di una zona protetta o di una zona amministrativa purché il detentore si sia impegnato a rispettare le misure compensative di cui all’articolo 19, paragrafo 3, lettera c), della decisione (UE, Euratom) 2015/444, che prevedono almeno le seguenti azioni:
|
— |
i documenti CONFIDENTIEL UE/EU CONFIDENTIAL and SECRET UE/EU SECRET non sono letti in luoghi pubblici; |
|
— |
le ICUE sono tenute sempre sotto il controllo personale del detentore; |
|
— |
nel caso di documenti cartacei, il detentore ha notificato all’ufficio di registrazione pertinente che i documenti classificati sono trattati al di fuori di una zona protetta e di una zona amministrativa; |
|
— |
i documenti sono riposti in casseforti idonee quando non sono letti o discussi; |
|
— |
le porte della stanza sono chiuse quando il documento è letto o discusso; |
|
— |
i dettagli del documento non sono discussi per telefono su una linea non protetta o in un messaggio di posta elettronico; |
|
— |
il documento non può essere fotocopiato o digitalizzato dal detentore. Solo l’ufficio di registrazione può fornire ulteriori copie; |
|
— |
il documento è trattato e tenuto temporaneamente all’esterno di una zona amministrativa o protetta solo per il tempo strettamente necessario, dopo di che è restituito all’ufficio di registrazione; |
|
— |
la restituzione del documento è firmata; |
|
— |
il latore non butta via né distrugge il documento classificato. |
4. Le informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET sono conservate in una zona protetta in un contenitore di sicurezza o in una camera blindata.
5. Ulteriori istruzioni possono essere chieste al responsabile locale della sicurezza (LSO) del dipartimento competente della Commissione.
6. Qualsiasi incidente, presunto o effettivo, in materia di sicurezza che riguardi il documento è segnalato quanto prima all’LSO.
Articolo 18
Riproduzione e traduzione di informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET
1. Le informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET possono essere riprodotte o tradotte su istruzione del detentore, purché l’originatore non abbia imposto limitazioni. Tuttavia, il numero di copie non è superiore a quanto strettamente necessario.
2. Se viene riprodotta solo una parte di un documento classificato, si applicano le stesse condizioni previste per la copia dell’intero documento. Gli estratti sono anch’essi classificati allo stesso livello, a meno che l’originatore non li abbia espressamente classificati a un livello più basso o contrassegnati come non classificati.
3. Le misure di sicurezza applicabili alle informazioni originali si applicano alle copie e alle traduzioni.
Articolo 19
Principi generali per il trasporto di informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET
1. Ove possibile, le informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET che devono essere trasportate all’esterno delle zone protette o delle aree amministrative sono inviate per via elettronica mediante mezzi adeguatamente accreditati e/o protetti da prodotti crittografici approvati.
2. A seconda dei mezzi disponibili o in funzione delle circostanze particolari, le informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET possono essere trasportate fisicamente a mano sotto forma di documenti su supporto cartaceo o su supporti di memorizzazione rimovibili. L’utilizzo dei supporti di memorizzazione rimovibili per la trasmissione delle informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET è da preferirsi all’invio di documenti cartacei.
3. Possono essere utilizzati solo supporti di memorizzazione rimovibili criptati con un prodotto approvato dall’autorità di sicurezza della Commissione. Le informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET su supporti di memorizzazione rimovibili che non sono protette da un prodotto crittografico approvato dall’autorità di sicurezza della Commissione sono trattate allo stesso modo delle copie cartacee.
4. Una spedizione può contenere più di una ICUE, purché sia rispettato il principio della necessità di conoscere.
5. Gli imballaggi utilizzati assicurano che il contenuto non sia visibile. Le informazioni SECRET UE/EU SECRET sono trasportate in un imballaggio doppio opaco, ad esempio una busta, una cartella opaca o una valigetta portadocumenti. L’esterno dell’imballaggio non reca indicazioni sulla natura o sul livello di classifica del contenuto; Lo strato interno dell’imballaggio presenta il contrassegno CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET. Entrambi gli strati indicano il nome del destinatario designato, il suo titolo e indirizzo, nonché un indirizzo di ritorno nel caso in cui la consegna non possa essere effettuata.
6. Il personale o i corrieri che trasportano a mano informazioni CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET dispongono di un nulla osta di sicurezza e sono muniti di un certificato di corriere.
7. La busta/l’imballaggio non sono aperti en route. L’autorizzazione di sicurezza rilasciata al corriere non autorizza quest’ultimo ad accedere al contenuto delle informazioni classificate.
8. Eventuali incidenti di sicurezza che riguardano informazioni classificate CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET, trasportate dal personale o da corrieri, sono segnalati per ulteriori indagini alla direzione Sicurezza della direzione generale Risorse umane e sicurezza, tramite lo LSO del dipartimento competente della Commissione.
Articolo 20
Trasporto a mano di supporti di memorizzazione rimovibili
1. I supporti di memorizzazione rimovibili utilizzati per il trasporto di informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET sono accompagnati da una nota di spedizione, indicante nel dettaglio i supporti di memorizzazione rimovibili contenenti le informazioni classificate e tutti i fascicoli contenuti sui supporti, per consentire al destinatario di effettuare le necessarie verifiche.
2. Solo i documenti da fornire sono memorizzati sui supporti. Ad esempio, tutte le informazioni classificate salvate su una singola chiavetta USB dovrebbero essere destinate allo stesso destinatario. Il mittente tiene presente che quando grandi quantità di informazioni classificate sono conservate su tali dispositivi, può essere necessario assegnare un livello di classifica più elevato al dispositivo nel suo insieme.
3. Per trasportare informazioni CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET sono utilizzati unicamente supporti di memorizzazione rimovibili muniti di un contrassegno di classifica appropriato.
4. Le informazioni CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET salvate su supporti di memorizzazione rimovibili sono registrate a fini di sicurezza.
Articolo 21
Trasporto di documenti CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET all’interno degli edifici della Commissione
1. Il personale in possesso del nulla osta di sicurezza può trasportare documenti CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET all’interno di un edificio della Commissione, ma i documenti rimangono sempre in possesso del latore e non sono letti in pubblico.
2. I documenti CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET non sono inviati tramite il servizio postale interno.
Articolo 22
Trasporto di documenti CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET all’interno dell’Unione
1. Le informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET possono essere trasportate dal personale o da corrieri della Commissione in tutta l’Unione a condizione che soddisfino le seguenti istruzioni:
|
a) |
per trasmettere le informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET occorre utilizzare buste o imballaggi opachi. L’esterno non deve recare indicazioni sulla natura o sul livello di classifica del contenuto; |
|
b) |
le informazioni CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET rimangono sempre in possesso del latore; |
|
c) |
la busta o l’imballaggio non sono aperti durante il trasporto e le informazioni non sono lette in luoghi pubblici. |
2. Il personale del dell’ufficio di registrazione che intende inviare informazioni CONFIDENTIEL UE/EU CONFIDENTIAL ad altre località dell’Unione ne può organizzare il trasporto mediante una delle seguenti modalità:
|
— |
tramite i servizi postali nazionali che tengono traccia della spedizione o determinati servizi di corriere commerciale che garantiscono la consegna personale a mano, a condizione che soddisfino i requisiti di cui all’articolo 24 della presente decisione; |
|
— |
tramite corriere militare, governativo o valigia diplomatica. |
3. Il personale che intende inviare informazioni SECRET UE/EU SECRET ad altri Stati membri dell’UE può disporre che i rispettivi uffici di registrazione utilizzino a tal fine un corriere militare o governativo o una valigia diplomatica, ma non servizi postali o corrieri commerciali.
4. Il personale della Commissione o i corrieri ufficiali della Commissione che trasportano informazioni CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET sono muniti di un certificato emesso dall’ufficio di registrazione del rispettivo dipartimento attestante che il latore è autorizzato a trasportare la spedizione.
Articolo 23
Trasporto di informazioni CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET da e verso il territorio di un paese terzo
1. Le informazioni classificate di livello CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET possono essere trasportate a mano dal personale tra il territorio dell’Unione e il territorio di un paese terzo.
2. Il personale dell’ufficio di registrazione può organizzare il trasporto tramite corriere militare o valigia diplomatica.
3. Quando trasportano a mano documenti cartacei o supporti di memorizzazione rimovibili classificati come CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET, i membri del personale rispettano tutte le seguenti misure supplementari:
|
— |
quando viaggiano utilizzando mezzi di trasporto pubblici, le informazioni classificate sono contenute in una valigia o una borsa sotto la custodia personale del latore. Ne è vietata la consegna in un deposito di bagagli o come bagaglio da stiva; |
|
— |
sullo strato interno dell’imballaggio è apposto un sigillo ufficiale indicante che si tratta di una spedizione ufficiale che non deve essere sottoposta a controllo di sicurezza; |
|
— |
il latore è munito di un certificato di corriere attestante che è autorizzato a trasportare la spedizione CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET ed emesso dall’ufficio di registrazione del dipartimento competente. |
Articolo 24
Trasporto mediante corrieri commerciali
1. Ai fini della presente decisione, per «corrieri commerciali» si intendono i servizi postali nazionali e le società di spedizione che offrono un servizio in cui le informazioni sono fornite dietro pagamento di una commissione e sono consegnate personalmente a mano o monitorate.
2. I corrieri commerciali possono trasmettere informazioni «CONFIDENTIEL UE/EU CONFIDENTIAL» all’interno di uno Stato membro o da uno Stato membro a un altro Stato membro. I corrieri commerciali possono trasmettere informazioni SECRET UE/EU SECRET solo all’interno di uno Stato membro, ma non verso l’estero.
3. I servizi di corriere commerciale sono informati del fatto che possono consegnare spedizioni CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET solo al funzionario responsabile del controllo dell’ufficio di registrazione, al suo sostituto debitamente autorizzato o al destinatario designato.
4. I corrieri commerciali possono avvalersi dei servizi di un subappaltatore. Tuttavia, la responsabilità di conformarsi alla presente decisione spetta alla società di corriere.
5. I servizi prestati da corrieri commerciali che trasmettono per via elettronica i documenti inviati per posta raccomandata non sono utilizzati per le informazioni CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET.
Articolo 25
Preparazione delle ICUE per il trasporto tramite corrieri commerciali
1. Nella fase di preparazione delle spedizioni classificate, il mittente tiene conto del fatto che i servizi di corriere commerciale consegnano le spedizioni CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET solo al destinatario designato, a un suo sostituto debitamente autorizzato, al funzionario responsabile del controllo dell’ufficio di registrazione o al suo sostituto debitamente autorizzato o un addetto al ricevimento.
2. Quando tali informazioni sono trasmesse da un corriere commerciale autorizzato, la spedizione è preparata e imballata nella maniera seguente:
|
a) |
la spedizione è inviata in busta doppia (la busta interna è tale da rendere evidente qualsiasi tentativo di apertura) o in altro materiale di imballaggio sicuro e appropriato; |
|
b) |
il livello di classifica è essere chiaramente visibile sulla busta interna o sullo strato interno di imballaggio; |
|
c) |
la classifica non è indicata sulla busta esterna o sullo strato esterno di imballaggio; |
|
d) |
le buste e gli strati di imballaggio sia interni che esterni sono chiaramente indirizzati a una persona, di cui si specifica il nome presso il destinatario designato, e indicano un indirizzo di ritorno; |
|
e) |
un modulo di ricevuta di registrazione è posto nella busta interna o nello strato interno di imballaggio affinché sia compilato e rispedito dal destinatario. La ricevuta di registrazione, che di per sé non è classificata, indica il numero di riferimento, la data e il numero di copie del documento, ma non l’oggetto; |
|
f) |
le ricevute di consegna sono poste nella busta esterna o nell’imballaggio esterno. La ricevuta di consegna, che di per sé non è classificata, indica il numero di riferimento, la data e il numero di copie del documento, ma non l’oggetto; |
|
g) |
il corriere deve ottenere, e fornire al mittente, la prova della consegna della spedizione mediante ricevuta firmata e orodatata, o ottenere i numeri di ricevuta o spedizione. |
3. Il mittente si mette in contatto con il destinatario indicato prima dell’invio della spedizione per concordare una data e un orario adeguati per la consegna.
4. Il mittente è l’unico responsabile delle spedizioni inviate mediante corriere commerciale. Qualora la spedizione vada perduta o non consegnata entro i termini stabiliti, il mittente lo riferisce all’autorità di sicurezza della Commissione, che monitorerà l’incidente di sicurezza.
Articolo 26
Altre condizioni specifiche di trattamento
1. Sono rispettate tutte le condizioni di trasporto stabilite in un accordo sulla sicurezza delle informazioni o in accordi amministrativi. In caso di dubbio, il personale consulta il rispettivo ufficio di registrazione o la direzione «Sicurezza» della direzione generale Risorse umane e sicurezza.
2. Il requisito del doppio imballaggio può venir meno per le informazioni classificate che sono protette da prodotti crittografici approvati. Tuttavia, per indicare l’indirizzo e anche in considerazione del fatto che è munito di un esplicito contrassegno di sicurezza, il supporto di memorizzazione rimovibile è trasportato almeno in una normale busta, ma può richiedere misure di protezione fisica supplementari, ad esempio buste imbottite a bolle d’aria.
CAPO 4
RIUNIONI CLASSIFICATE
Articolo 27
Preparazione di una riunione CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET
1. Le riunioni nelle quali sono discusse informazioni di livello CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET si svolgono unicamente in sale riunioni accreditate per il livello appropriato o un livello superiore. Se queste sale non sono disponibili, il personale chiede il parere dell’autorità di sicurezza della Commissione.
2. In linea generale, gli ordini del giorno non dovrebbero essere classificati. Un ordine del giorno di una riunione che menziona documenti classificati non è automaticamente classificato. I punti all’ordine del giorno sono formulati in modo da evitare di compromettere la protezione dell’Unione o gli interessi di uno o più Stati membri.
3. Gli organizzatori delle riunioni ricordano ai partecipanti che è vietato inviare le osservazioni su un punto CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET dell’ordine del giorno tramite messaggi di posta elettronica o altri mezzi che non siano stati adeguatamente accreditati, conformemente all’articolo 11 della presente decisione.
4. Gli organizzatori delle riunioni si adoperano per raggruppare in ordine consecutivo i punti CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET nell’ordine del giorno al fine di agevolare il buon funzionamento della riunione. Ai dibattiti sui punti classificati possono essere presenti solo le persone con necessità di conoscere che dispongono di un nulla osta di sicurezza di livello adeguato.
5. Nella convocazione si avvertono i partecipanti che durante la riunione saranno discussi temi classificati e che saranno applicate le misure di sicurezza corrispondenti.
6. Occorre ricordare ai partecipanti che tutti i dispositivi elettronici portatili devono essere lasciati fuori della sala riunione durante il dibattito sui punti CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET.
7. Prima della riunione gli organizzatori preparano un elenco completo dei partecipanti.
Articolo 28
Accesso dei partecipanti a una riunione CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET
1. Gli organizzatori della riunione informano l’autorità di sicurezza della Commissione in merito a qualsiasi visitatore esterno che partecipa a una riunione CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET nei locali della Commissione.
2. Per poter partecipare a un dibattito sui punti CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET dell’ordine del giorno, i partecipanti dovranno dimostrare di disporre di un valido nulla osta di sicurezza del personale di livello appropriato.
Articolo 29
Attrezzature elettroniche di una sala riunione CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET
1. Solo sistemi informatici accreditati in conformità all’articolo 11 della presente decisione possono essere utilizzati quando sono trasmesse informazioni classificate, ad esempio durante una presentazione nella quale si mostrano informazioni classificate CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET o quando sono organizzate videoconferenze.
2. Il presidente assicura che i dispositivi elettronici portatili non autorizzati restino al di fuori della sala riunione.
Articolo 30
Procedure da seguire durante una riunione CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET
1. All’inizio di un dibattito classificato, il presidente comunica che la riunione passerà alla «modalità classificata». Le porte sono chiuse.
2. Se del caso, all’inizio del dibattito è firmato e consegnato ai partecipanti e agli interpreti solo il numero necessario di documenti.
3. I documenti CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET non sono lasciati incustoditi durante gli intervalli della riunione.
4. Alla fine della riunione occorre ricordare ai partecipanti e agli interpreti di non lasciare incustodito nella sala alcun documento classificato o nota classificata. I documenti CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET non richiesti dai partecipanti alla fine della riunione e, in ogni caso, tutti i documenti degli interpreti, sono firmati e rinviati al funzionario responsabile del controllo dell’ufficio di registrazione per essere distrutti in appositi distruggi documenti.
5. L’elenco dei partecipanti e una sintesi di eventuali informazioni classificate condivise con gli Stati membri e comunicate oralmente a paesi terzi o organizzazioni internazionali sono annotati durante la riunione per essere registrati nei risultati dei lavori.
Articolo 31
Interpreti e traduttori
Hanno accesso alle informazioni CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET solo gli interpreti e i traduttori autorizzati che dispongono di un nulla osta di sicurezza e che sono soggetti allo statuto o al regime applicabile agli altri agenti dell’Unione europea o che hanno un legame contrattuale con la Commissione.
CAPO 5
CONDIVISIONE E SCAMBIO DI INFORMAZIONI CONFIDENTIEL UE/EU CONFIDENTIAL E SECRET UE/EU SECRET
Articolo 32
Consenso dell’originatore
Se la Commissione non è l’originatore delle informazioni classificate che si desiderano comunicare o condividere, o delle fonti che tali informazioni possono contenere, il dipartimento della Commissione che detiene tali informazioni classificate chiede anzitutto il consenso scritto dell’originatore. Se non è possibile individuare l’originatore, il dipartimento della Commissione che detiene le informazioni classificate esercita il controllo dell’originatore.
Articolo 33
Condivisione di informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET con altre entità dell’Unione
1. Le informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET sono condivise con un’altra istituzione, agenzia, organo o ufficio dell’Unione se il destinatario ha necessità di conoscere e l’entità ha un corrispondente accordo giuridico con la Commissione.
2. Nella Commissione, l’ufficio di registrazione delle ICUE gestito dal segretariato generale è di norma il principale punto d’ingresso e uscita per gli scambi delle informazioni classificate con altre istituzioni, agenzie, organi e uffici dell’Unione. L’autorità di sicurezza della Commissione è sempre consultata quando esistono motivi di sicurezza, organizzativi o operativi che rendono più opportuno che i registri locali delle ICUE operino come punto di entrata e di uscita per le questioni di competenza del dipartimento interessato.
Articolo 34
Scambio di informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET con gli Stati membri
1. Le informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET possono essere condivise con gli Stati membri se il destinatario ha necessità di conoscere e dispone di un nulla osta di sicurezza.
2. Alle informazioni classificate degli Stati membri che recano un contrassegno nazionale di classifica equivalente (10) e sono state fornite alla Commissione è garantito lo stesso livello di protezione delle informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET.
Articolo 35
Scambio di informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET con paesi terzi e organizzazioni internazionali
1. Le informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET sono comunicate a un paese terzo o a un’organizzazione internazionale solo se il destinatario ha necessità di conoscere e il paese o l’organizzazione internazionale dispone di un adeguato quadro giuridico o amministrativo, quale un accordo sulla sicurezza delle informazioni o un accordo amministrativo con la Commissione. Le disposizioni di tali accordi prevalgono sulle disposizioni della presente decisione.
2. L’ufficio di registrazione delle ICUE gestito dal segretariato generale funge di norma da principale punto d’ingresso e uscita per le informazioni classificate CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET scambiate tra la Commissione e i paesi terzi o le organizzazioni internazionali. L’autorità di sicurezza della Commissione è sempre consultata quando esistono motivi di sicurezza, organizzativi o operativi che rendono più opportuno che gli uffici di registrazione locali delle ICUE operino come punto di entrata e di uscita per le questioni di competenza del dipartimento interessato.
3. Tutte le informazioni classificate ricevute da un paese terzo o da un’organizzazione internazionale sono registrate a fini di sicurezza. Il personale contatta pertanto l’ufficio di registrazione se riceve informazioni classificate che non provengono dal circuito ordinario di tale ufficio.
4. Per assicurarne la tracciabilità le informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET sono registrate:
|
— |
quando entrano in un’entità organizzativa o ne escono; |
|
— |
quando entrano in un CIS o ne escono. |
5. Tale registrazione può essere effettuata su carta o in registri elettronici.
6. Le procedure di registrazione delle informazioni classificate trattate nell’ambito di un CIS accreditato possono essere eseguite mediante procedure interne allo stesso CIS. In tal caso il CIS prevede misure volte a garantire l’integrità delle registrazioni dei registri elettronici.
7. Alle informazioni classificate ricevute dai paesi terzi o dalle organizzazioni internazionali è attribuito un livello di protezione equivalente alle ICUE recanti un contrassegno di classifica equivalente a quello stabilito nel rispettivo accordo amministrativo sulla sicurezza delle informazioni.
Articolo 36
Comunicazione eccezionale ad hoc di informazioni CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET
1. Se la Commissione o uno dei suoi dipartimenti stabilisce che è necessario comunicare informazioni CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET in via eccezionale a un paese terzo, un’organizzazione internazionale o un’entità dell’UE, ma non esiste un accordo sulla sicurezza delle informazioni o un accordo amministrativo, si applica la procedura di comunicazione eccezionale ad hoc.
2. I dipartimenti della Commissione contattano l’autorità di sicurezza della Commissione, che consulta il gruppo di esperti in materia di sicurezza della Commissione.
3. Dopo aver consultato il gruppo di esperti in materia di sicurezza della Commissione, la Commissione può, su proposta del membro della commissione competente in materia di sicurezza, autorizzare la comunicazione delle informazioni in questione.
CAPO 6
FINE DEL CICLO DI VITA DELLE INFORMAZIONI CONFIDENTIEL UE/EU CONFIDENTIAL E SECRET UE/EU SECRET
Articolo 37
Quando declassare o declassificare
1. Le informazioni restano classificate solo finché necessitano di protezione. Per declassamento si intende una riduzione del livello di classifica di sicurezza. Per declassificazione si intende che le informazioni non sono più considerate classificate. Al momento della creazione l’originatore indica, laddove possibile, se le ICUE possono essere declassificate ad una certa data o in seguito ad un dato evento. In mancanza di tale indicazione, l’originatore riesamina le informazioni e valuta i rischi almeno ogni cinque anni al fine di determinare se il livello di classificazione iniziale sia ancora giustificato.
2. I documenti della Commissione possono anche essere declassati o declassificati ad hoc, ad esempio a seguito di una richiesta di accesso da parte del pubblico.
Articolo 38
Responsabilità del declassamento e della declassificazione
1. Le informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET non sono declassate o declassificate senza l’autorizzazione dell’originatore.
2. Il dipartimento della Commissione che crea un documento classificato è responsabile della decisione relativa al declassamento o alla declassificazione. All’interno della Commissione, tutte le richieste di declassamento o declassificazione sono soggette alla consultazione del capo unità o del direttore del dipartimento originatore. Se ha compilato informazioni classificate a partire da varie fonti, il dipartimento chiede dapprima l’autorizzazione a tutte le altre parti che hanno fornito le fonti, compresi gli Stati membri, altri organismi dell’UE, paesi terzi od organizzazioni internazionali.
3. Se il dipartimento originatore della Commissione non esiste più e le sue competenze sono state assunte da un altro servizio, quest’ultimo prende la decisione in merito al declassamento e alla declassificazione. Se il dipartimento originatore non esiste più e le sue competenze non sono state assunte da un altro servizio, la decisione in merito al declassamento o alla declassificazione è presa congiuntamente dai capi unità o dai direttori delle direzioni generali destinatarie.
4. Il dipartimento responsabile del declassamento o della declassificazione collabora con il rispettivo ufficio di registrazione in merito alle modalità pratiche di declassamento o declassificazione.
Articolo 39
Informazioni sensibili non classificate
Se il riesame di un documento porta alla decisione di declassificarlo, occorre considerare se il documento debba recare il contrassegno per la distribuzione delle informazioni sensibili non classificate ai sensi dell’articolo 9 della decisione (UE, Euratom) 2015/443.
Articolo 40
Come indicare che un documento è stato declassato o declassificato
1. Il contrassegno originale di classifica in alto e in basso di ogni pagina è barrato in modo visibile (non rimosso) utilizzando la funzione «barrato» per i formati elettronici, o manualmente per i documenti stampati.
2. La prima pagina (di copertina) è timbrata come declassata o declassificata e compilata con i dati dell’autorità responsabile del declassamento o della declassificazione e la relativa data.
3. I destinatari originari delle informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET sono informati del declassamento o della declassificazione. I destinatari iniziali sono responsabili di informare tutti i successivi destinatari ai quali hanno trasmesso l’originale delle informazioni CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET o ai quali ne hanno fornito copia.
4. Il servizio Archivi storici dell’Unione europea è informato di tutte le decisioni di declassificazione adottate.
5. Tutte le traduzioni di informazioni classificate sono soggette alle stesse procedure di declassamento o declassificazione della versione linguistica originale.
Articolo 41
Declassamento o declassificazione parziali di informazioni CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET
1. È possibile anche un declassamento o una declassificazione parziale (ad esempio allegati, solo alcuni paragrafi). La procedura è identica a quella prevista per il declassamento o la declassificazione di un intero documento.
2. In caso di declassificazione parziale (sanitisation) di informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET, è prodotto un estratto declassificato.
3. Le parti che rimangono classificate sono sostituite da:
|
PARTE DA NON DECLASSIFICARE |
nel corpo del testo, se la parte che rimane classificata è parte di un paragrafo, oppure come paragrafo, se la parte che rimane classificata è un paragrafo specifico o più di un paragrafo.
4. Una menzione specifica è aggiunta nel testo se un allegato completo non può essere declassificato ed è pertanto stato ritirato dall’estratto.
Articolo 42
Distruzione e cancellazione periodiche di informazioni CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET
1. La Commissione non accumula grandi quantità di informazioni classificate.
2. I dipartimenti originatori sottopongono a revisione i documenti almeno ogni cinque anni per distruggerli o cancellarli. Un riesame è svolto a intervalli regolari sia per le informazioni archiviate in formato cartaceo sia per le informazioni archiviate nel CIS.
3. Il personale non distrugge le copie cartacee dei documenti CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET di cui non ha più bisogno, ma chiede invece al suo funzionario responsabile del controllo dell’ufficio di registrazione di distruggere i documenti, fatti salvi gli obblighi di archiviazione del documento originale.
4. Il personale non è tenuto a informare l’originatore se cancella copie di documenti CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET.
5. I progetti di materiale contenenti informazioni classificate sono soggetti agli stessi metodi di eliminazione dei documenti classificati finalizzati.
6. Solo distruggi documenti approvati sono utilizzati per distruggere documenti CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET. I distruggi documenti di livello 5 di DIN 66399 e livello 5 di DIN 66399 sono conformi per la distruzione di documenti CONFIDENTIEL UE/EU CONFIDENTIAL. I distruggi documenti di livello 6 di DIN 66399 e livello 5 di DIN 66399 sono conformi per la distruzione di documenti SECRET UE/EU SECRET.
7. I frammenti di documenti provenienti dai distruggi documenti approvati possono essere eliminati come normali rifiuti di ufficio.
8. Il funzionario responsabile del controllo dell’ufficio di registrazione crea i certificati di distruzione e aggiorna di conseguenza i registri e le altre informazioni di registrazione.
9. Tutti i supporti e i dispositivi contenenti informazioni CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET sono sottoposti ad adeguata cancellazione sicura dei dati al termine del loro ciclo di vita. I dati elettronici sono distrutti o soppressi dalle risorse informatiche e dai relativi supporti di memorizzazione in modo da garantire ragionevolmente che le informazioni non possano essere recuperate. La cancellazione sicura dei dati elimina i dati dal dispositivo di memorizzazione e tutte le etichette, i contrassegni e le registrazioni delle attività.
10. I supporti informatici sono consegnati all’LSO o al responsabile della sicurezza informatica locale e/o al funzionario responsabile del controllo delle registrazioni per essere distrutti ed eliminati.
Articolo 43
Evacuazione e distruzione di informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET
1. Il capo dipartimento elabora, approva e, se necessario, avvia l’evacuazione di emergenza e i piani di distruzione per la salvaguardia delle ICUE che presentano un rischio significativo di cadere in mano a persone non autorizzate durante una crisi. In ordine di priorità e in funzione della natura dell’emergenza, occorre:
|
(1) |
trasferire le ICUE in un altro luogo sicuro, se possibile in una zona protetta all’interno dello stesso edificio; |
|
(2) |
evacuare le ICUE in un altro luogo sicuro, ove possibile in una zona protetta di un altro edificio, se possibile, un edificio della Commissione; |
|
(3) |
distruggere le ICUE, ove possibile utilizzando mezzi di distruzione approvati. |
2. Quando i piani di emergenza sono stati attivati, le informazioni SECRET UE/EU SECRET sono trasferite o distrutte prioritariamente, seguono le informazioni CONFIDENTIEL UE/EU CONFIDENTIAL.
3. I dettagli operativi dei piani di evacuazione e di distruzione di emergenza sono classificati come RESTREINT UE/EU RESTRICTED. Una copia è conservata in ogni cassaforte che contiene informazioni CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET affinché sia accessibile in caso di emergenza.
Articolo 44
Archiviazione
1. Le decisioni in merito all’archiviazione e alle misure pratiche corrispondenti sono conformi alla politica della Commissione in materia di gestione dei documenti.
2. I documenti CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET non sono inviati agli Achivi storici dell’Unione europea a Firenze.
CAPO 7
DISPOSIZIONI FINALI
Articolo 45
Trasparenza
La presente decisione è resa nota al personale della Commissione e a tutte le persone cui si applica, ed è pubblicata nella Gazzetta ufficiale dell’Unione europea.
Articolo 46
Entrata in vigore
La presente decisione entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.
Fatto a Bruxelles, il 17 ottobre 2019
Per la Commissione
A nome del presidente
Günther OETTINGER
Membro della Commissione
(1) GU L 72 del 17.3.2015, pag. 41.
(2) GU L 72 del 17.3.2015, pag. 53.
(3) GU L 6 dell’11.1.2017, pag. 40.
(4) Decisione 2013/488/UE del Consiglio, del 23 settembre 2013, sulle norme di sicurezza per proteggere le informazioni classificate UE (GU L 274 del 15.10.2013, pag. 1).
(5) Decisione della Commissione, del 4 maggio 2016, relativa a una delega di poteri in materia di sicurezza, C(2016) 2797 final.
(6) Ai sensi dell’articolo 3 della decisione (UE, Euratom) 2015/444, le informazioni CONFIDENTIEL UE/EU CONFIDENTIAL sono «informazioni e materiali la cui divulgazione non autorizzata potrebbe ledere gli interessi fondamentali dell’Unione europea o di uno o più Stati membri».
(7) Ai sensi dell’articolo 3 della decisione (UE, Euratom) 2015/444, le informazioni SECRET UE/EU SECRET sono «informazioni e materiali la cui divulgazione non autorizzata potrebbe ledere gravemente gli interessi fondamentali dell’Unione europea o di uno o più Stati membri».
(8) Come definite all’articolo 18 della decisione (UE, Euratom) 2015/444.
(9) Come definite all’articolo 18 della decisione (UE, Euratom) 2015/444.
(10) La tabella di equivalenza dei contrassegni degli Stati membri figura nell’allegato I della decisione (UE, Euratom) 2015/444.
ALLEGATO
Categorie di personale che possono avere accesso a informazioni CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET, se necessario per l’esercizio delle loro professionali
|
Categorie di personale della Commissione |
Accesso alle informazioni C-UE/EU-C e S-UE/EU-S |
Condizioni |
|
Funzionari |
Sì |
Indagine di sicurezza + briefing + assunzione di responsabilità + autorizzazione + necessità di conoscere |
|
Agenti temporanei |
Sì |
Indagine di sicurezza + briefing + assunzione di responsabilità + autorizzazione + necessità di conoscere |
|
Agente contrattuale |
Sì |
Indagine di sicurezza + briefing + assunzione di responsabilità + autorizzazione + necessità di conoscere |
|
Esperti nazionali distaccati (END) |
Sì |
Solo se hanno ricevuto un nulla osta di sicurezza da parte degli Stati membri dell’UE prima di assumere l’incarico + briefing della Commissione + assunzione di responsabilità + autorizzati dalla Commissione + necessità di conoscere |
|
Tirocinanti |
No |
Nessuna eccezione possibile |
|
Tutte le altre categorie di personale (personale internale, personale esterno che lavora nei locali della Commissione ecc.) |
No |
Consultare l’autorità di sicurezza della Commissione in merito a eventuali eccezioni |
|
2.12.2019 |
IT |
Gazzetta ufficiale dell'Unione europea |
L 311/21 |
DECISIONE (UE, Euratom) 2019/1962 DELLA COMMISSIONE
del 17 ottobre 2019
sulle norme di attuazione per il trattamento di informazioni RESTREINT UE/EU RESTRICTED
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell’Unione europea, in particolare l’articolo 249,
visto il trattato che istituisce la Comunità europea dell’energia atomica, in particolare l’articolo 106,
vista la decisione (UE, Euratom) 2015/443 della Commissione, del 13 marzo 2015, sulla sicurezza nella Commissione (1),
vista la decisione (UE, Euratom) 2015/444 della Commissione, del 13 marzo 2015, sulle norme di sicurezza per proteggere le informazioni classificate UE (2),
vista la decisione (UE, Euratom) 2017/46 della Commissione del 10 gennaio 2017 sulla sicurezza dei sistemi di comunicazione e informazione della Commissione europea (3),
considerando quanto segue:
|
(1) |
La decisione (UE, Euratom) 2015/444 si applica a tutti i servizi e in tutti i locali della Commissione. |
|
(2) |
Le misure di sicurezza per proteggere le informazioni classificate UE (ICUE) durante il loro ciclo di vita devono essere commisurate in particolare alla rispettiva classifica di sicurezza. |
|
(3) |
L’articolo 4, paragrafo 3), l’articolo 19, paragrafo 1), lettera c), e l’articolo 22 della decisione (UE, Euratom) 2015/444 prevedono che disposizioni più dettagliate per integrare e sostenere l’attuazione della decisione devono essere definite da norme di attuazione volte a disciplinare questioni quali la guida alla classificazione, le misure compensative per il trattamento delle ICUE all’esterno di una zona protetta o di una zona amministrativa e le responsabilità dell’originatore. |
|
(4) |
Ove opportuno, occorre adottare norme di attuazione intese a integrare o sostenere la decisione (UE, Euratom) 2015/444 conformemente al suo articolo 60. |
|
(5) |
Le misure di sicurezza adottate per attuare la decisione devono essere conformi ai principi per la sicurezza all’interno della Commissione stabiliti all’articolo 3 della decisione (UE, Euratom) 2015/443. |
|
(6) |
Il Consiglio, la Commissione e l’alto rappresentante dell’Unione per gli affari esteri e la politica di sicurezza hanno convenuto di garantire la massima coerenza nell’applicazione delle norme di sicurezza relative alla protezione delle ICUE tenendo conto delle specifiche esigenze istituzionali e organizzative, conformemente alle dichiarazioni allegate al processo verbale della sessione del Consiglio in cui è stata adottata la decisione 2013/488/UE (4) del Consiglio. |
|
(7) |
Il 4 maggio 2016 la Commissione ha adottato una decisione (5) che autorizza il membro della Commissione responsabile per le questioni della sicurezza ad adottare, a nome della Commissione e sotto la sua responsabilità, le norme di attuazione di cui all’articolo 60 della decisione (UE, Euratom) 2015/444, |
HA ADOTTATO LA PRESENTE DECISIONE:
CAPO 1
DISPOSIZIONI GENERALI
Articolo 1
Oggetto e ambito di applicazione
1. La presente decisione stabilisce le condizioni di trattamento per le informazioni classificate UE (ICUE) di livello RESTREINT UE/EU RESTRICTED (6) conformemente alla decisione (UE, Euratom) 2015/444.
2. La presente decisione si applica a tutti i servizi e in tutti i locali della Commissione.
Articolo 2
Criteri per accedere alle informazioni RESTREINT UE/EU RESTRICTED
1. L’accesso alle informazioni classificate RESTREINT UE/EU RESTRICTED può essere autorizzato dopo che:
|
a) |
è stata accertata la necessità che una persona abbia accesso a determinate informazioni RESTREINT UE/EU RESTRICTED per poter svolgere una funzione o un compito professionale per la Commissione europea; |
|
b) |
la persona è stata istruita sulle norme e sugli orientamenti di sicurezza pertinenti per la protezione delle informazioni RESTREINT UE/EU RESTRICTED; |
|
c) |
la persona ha preso atto delle proprie responsabilità in materia di protezione delle informazioni in questione. |
2. Ai tirocinanti della Commissione non sono assegnati compiti per i quali sia necessario accedere ad informazioni RESTREINT UE/EU RESTRICTED.
3. L’accesso è negato o autorizzato per altre categorie di personale secondo la tabella riportata in allegato.
CAPO 2
PRODUZIONE DI INFORMAZIONI RESTREINT UE/EU RESTRICTED
Articolo 3
Originatore
Mentre, ai sensi dell’articolo 1 della decisione (UE, Euratom) 2015/444, l’originatore è un’istituzione, agenzia o organismo dell’Unione, Stato membro, Stato terzo o organizzazione internazionale sotto la cui autorità sono state create e/o introdotte nelle strutture dell’Unione informazioni classificate, il redattore delle informazioni RESTREINT UE/EU RESTRICTED non coincide necessariamente con l’originatore.
Articolo 4
Assegnazione del livello di classifica
1. Il personale che redige un documento sulla base delle informazioni di cui all’articolo 1 verifica sempre se il documento debba essere classificato. La classificazione di un documento come ICUE implica una valutazione e la decisione, da parte dell’originatore, che la sua divulgazione a persone non autorizzate potrebbe essere pregiudizievole per gli interessi dell’Unione europea o di uno o più Stati membri. Se i redattori nutrono dubbi sul fatto che il documento che redigono debba essere classificato come RESTREINT UE/EU RESTRICTED, è opportuno che consultino il capo unità o il direttore responsabile.
2. Un documento è classificato almeno RESTREINT UE/EU RESTRICTED se la sua divulgazione non autorizzata potrebbe, tra l’altro:
|
a) |
ripercuotersi negativamente sulle relazioni diplomatiche; |
|
b) |
provocare serie difficoltà a persone fisiche; |
|
c) |
rendere più difficile mantenere l’efficacia operativa o la sicurezza del personale dispiegato dagli Stati membri o da altri contributori; |
|
d) |
violare impegni di mantenimento della riservatezza di informazioni fornite da terzi; |
|
e) |
pregiudicare le indagini su un reato o agevolare la criminalità; |
|
f) |
svantaggiare l’Unione o gli Stati membri in negoziati commerciali o politici con altri soggetti; |
|
g) |
ostacolare l’efficace elaborazione o funzionamento delle politiche dell’Unione; |
|
h) |
compromettere la corretta gestione dell’Unione e le sue missioni in generale; |
|
i) |
portare alla scoperta di informazioni classificate a un livello superiore. |
3. Gli originatori possono decidere di attribuire un livello di classifica standard alle categorie di informazioni che creano periodicamente. Essi garantiscono tuttavia che le singole informazioni ricevano il livello di classifica appropriato.
Articolo 5
Trattamento dei progetti
1. Le informazioni sono classificate non appena prodotte. Le note personali, i progetti preliminari o i messaggi contenenti le informazioni che giustificano una classifica di livello RESTREINT UE/EU RESTRICTED sono contrassegnati come tali sin dall’inizio e sono prodotti e trattati in conformità della presente decisione.
2. Se il documento finale non richiede più il livello RESTREINT UE/EU RESTRICTED, il documento è declassificato.
Articolo 6
Registro delle fonti
Al fine di consentire l’esercizio del controllo degli originatori conformemente all’articolo 13, gli originatori di documenti RESTREINT UE/EU RESTRICTED tengono, nella misura del possibile, un registro di tutte le fonti classificate utilizzate per produrre documenti classificati, compresi i dettagli delle fonti provenienti dagli Stati membri dell’UE, da organizzazioni internazionali o da paesi terzi. Se del caso, le informazioni classificate aggregate sono contrassegnate in modo da preservare l’identificazione degli originatori delle fonti classificate utilizzate.
Articolo 7
Classificazione di parti di un documento
1. A norma dell’articolo 22, paragrafo 6, della decisione (UE, Euratom) 2015/444, il livello generale di classifica di un documento è almeno quello del suo componente con livello di classifica più elevato. Quando si riprendono informazioni da varie fonti, il documento aggregato finale è riesaminato per determinarne il livello generale di classifica di sicurezza, in quanto può richiedere una classifica più elevata di quella dei suoi componenti.
2. I documenti che contengono parti classificate e parti non classificate sono impostati e contrassegnati in modo che i componenti con livelli diversi di classifica e/o di sensibilità possano essere facilmente individuati e, se necessario, separati. Ciò consente di trattare adeguatamente ciascuna parte una volta separata dagli altri componenti.
Articolo 8
Contrassegni di classifica per esteso
1. Le informazioni che devono essere classificate sono contrassegnate e trattate come tali, a prescindere dalla loro forma materiale. Il livello di classifica è comunicato chiaramente ai destinatari mediante un contrassegno di classifica, se le informazioni sono fornite per iscritto su carta, supporti di memorizzazione rimovibili o utilizzando un sistema di comunicazione e informazione (CIS) o mediante annuncio, se le informazioni sono fornite oralmente, ad esempio in una conversazione o una presentazione. Il materiale classificato è contrassegnato materialmente in modo da consentire una facile identificazione della sua classifica di sicurezza.
2. Sui documenti, il contrassegno di classifica completo RESTREINT UE/EU RESTRICTED è scritto in stampatello, in francese e in inglese, conformemente al paragrafo 3. Il contrassegno non è tradotto in altre lingue.
3. Il contrassegno di classifica RESTREINT UE/EU RESTRICTED è apposto come segue:
|
a) |
centrato nell’intestazione e nel piè di pagina di ogni pagina del documento; |
|
b) |
il contrassegno di classifica è scritto su una sola riga, senza spazi da nessuno dei lati della barra; |
|
c) |
in lettere maiuscole, con carattere «Times New Roman 16», in grassetto e con un bordo su ciascun lato. |
4. Quando è creato un documento RESTREINT UE/EU RESTRICTED:
|
a) |
ciascuna pagina è contrassegnata chiaramente con il livello di classifica; |
|
b) |
ciascuna pagina è numerata; |
|
c) |
il documento reca un numero di riferimento e un oggetto che non è in sé un’informazione classificata, a meno che non sia contrassegnato come tale; |
|
d) |
tutti gli allegati e il materiale accluso sono elencati, ove possibile, sulla prima pagina; |
|
e) |
il documento riporta la data in cui è stato creato. |
Articolo 9
Contrassegni di classifica abbreviati R-UE/EU-R
L’abbreviazione R-UE/EU-R può essere utilizzata per indicare il livello di classifica delle singole parti di un documento RESTREINT UE/EU RESTRICTED o laddove non possa essere inserito per esteso il contrassegno di classifica, ad esempio su un piccolo supporto di memorizzazione rimovibile. Può essere utilizzata nel corpo del testo laddove l’uso ripetuto del contrassegno di classificazione per esteso risulterebbe pesante. L’abbreviazione non è utilizzata al posto del contrassegno di classifica completo in intestazione e piè di pagina del documento.
Articolo 10
Altre indicazioni di sicurezza
1. I documenti RESTREINT UE/EU RESTRICTED possono recare altri contrassegni o «indicazioni di sicurezza» che specifichino, ad esempio, il settore cui si riferisce il documento o indichino una distribuzione particolare in base al principio della necessità di conoscere. Un esempio è:
|
RELEASABLE TO LIECHTENSTEIN |
2. I documenti RESTREINT UE/EU RESTRICTED possono recare un’avvertenza di sicurezza che fornisce istruzioni specifiche su come trattarli e gestirli.
3. Ogniqualvolta possibile, le eventuali indicazioni per la declassificazione sono apposte sulla prima pagina del documento al momento della sua creazione. Ad esempio, può essere apposto il seguente contrassegno:
|
RESTREINT UE/EU RESTRICTED fino a [gg.mm.aaaa] |
Articolo 11
Trattamento elettronico
1. I documenti RESTREINT UE/EU RESTRICTED sono creati con mezzi elettronici, se disponibili.
2. Il personale della Commissione usa il CIS accreditato per la creazione di informazioni di livello RESTREINT UE/EU RESTRICTED. Il personale consulta il responsabile locale per la sicurezza (LSO) se vi sono dubbi su quale CIS possa essere utilizzato. In consultazione con l’autorità di sicurezza della Commissione, possono essere applicate procedure specifiche in situazioni di emergenza o in configurazioni tecniche specifiche.
3. I documenti RESTREINT UE/EU RESTRICTED, compresi i progetti di cui all’articolo 5, non sono inviati per posta elettronica ordinaria non criptata, non sono stampati o digitalizzati su stampanti o scanner standard o su dispositivi personali dei membri del personale. Per la stampa dei documenti RESTREINT UE/EU RESTRICTED sono utilizzate solo stampanti o fotocopiatrici collegate a computer indipendenti o a un sistema accreditato.
Articolo 12
Distribuzione
Il mittente dei documenti RESTREINT UE/EU RESTRICTED decide a chi distribuire le informazioni, in base alla necessità di conoscere. Se necessario, è redatto un elenco di distribuzione al fine di applicare più rigorosamente il principio della necessità di conoscere.
CAPO 3
LAVORARE CON INFORMAZIONI CLASSIFICATE RESTREINT UE/EU RESTRICTED ESISTENTI
Articolo 13
Controllo dell’originatore
1. L’originatore esercita il «controllo dell’originatore» sulle informazioni RESTREINT UE/EU RESTRICTED che ha creato. L’autorizzazione preventiva per iscritto dell’originatore è necessaria prima che le informazioni possano essere:
|
a) |
declassificate; |
|
b) |
utilizzate per fini diversi da quelli stabiliti dall’originatore; |
|
c) |
divulgate a un paese terzo o a un’organizzazione internazionale; |
|
d) |
comunicate a una parte esterna alla Commissione ma interna all’UE; |
|
e) |
comunicate a un contraente o potenziale contraente con sede in un paese terzo. |
2. I detentori di informazioni classificate RESTREINT UE/EU RESTRICTED hanno ottenuto l’accesso alle informazioni classificate per poter svolgere le proprie funzioni. Sono responsabili del trattamento, archiviazione e protezione corretti delle informazioni conformemente alla decisione (UE, Euratom) 2015/444. A differenza degli originatori delle informazioni classificate, i detentori non sono autorizzati a decidere in merito alla declassificazione o alla successiva divulgazione delle informazioni RESTREINT UE/EU RESTRICTED a paesi terzi o a organizzazioni internazionali.
3. Se non è possibile individuare l’originatore di un documento RESTREINT UE/EU RESTRICTED, il dipartimento della Commissione che detiene le informazioni classificate esercita il controllo dell’originatore. Il gruppo di esperti in materia di sicurezza della Commissione è consultato prima che le informazioni RESTREINT UE/EU RESTRICTED siano comunicate a un paese terzo o a un’organizzazione internazionale.
Articolo 14
CIS idoneo al trattamento di informazioni RESTREINT UE/EU RESTRICTED
Le informazioni RESTREINT UE/EU RESTRICTED sono trattate e trasmesse con mezzi elettronici, se disponibili. Sono utilizzati solo i CIS e le apparecchiature approvati dall’autorità di accreditamento in materia di sicurezza della Commissione.
Articolo 15
Misure specifiche applicabili alle informazioni RESTREINT UE/EU RESTRICTED su supporti di memorizzazione rimovibili
1. L’uso dei supporti di memorizzazione rimovibili è controllato e registrato. Sono utilizzati solo supporti rimovibili forniti dalla Commissione e criptati con un prodotto approvato dall’autorità di sicurezza della Commissione. Per il trasferimento di informazioni classificate non possono essere utilizzati i supporti personali rimovibili e quelli forniti gratuitamente in occasione di conferenze, seminari ecc. Ove possibile, dovrebbero essere utilizzati supporti di memorizzazione rimovibili con sicurezza Tempest, conformemente agli orientamenti dell’autorità di sicurezza della Commissione.
2. Quando un documento classificato è trattato o archiviato elettronicamente su supporti di memorizzazione rimovibili, quali chiavette USB, CD o schede di memoria, il contrassegno di classifica è chiaramente visibile nelle informazioni visualizzate, nonché sul nome del file e sul supporto di memorizzazione rimovibile.
3. Il personale tiene presente che quando grandi quantità di informazioni classificate sono conservate su supporti di memorizzazione rimovibili può essere necessario assegnare un livello di classifica più elevato al dispositivo nel suo insieme.
4. Solo i CIS opportunamente autorizzati sono utilizzati per la trasmissione di informazioni classificate RESTREINT UE/EU RESTRICTED verso o da supporti di memorizzazione rimovibili.
5. Quando si scaricano informazioni classificate RESTREINT UE/EU RESTRICTED da supporti di memorizzazione rimovibili, prima del trasferimento dei dati è necessario prestare particolare attenzione al fatto che i supporti non contengano virus o malware.
6. Se del caso, i supporti di memorizzazione rimovibili sono trattati nel rispetto delle procedure di sicurezza relative al sistema di cifratura utilizzato.
7. I documenti su supporti di memorizzazione rimovibili che non sono più necessari o che sono stati trasferiti su un CIS appropriato, sono rimossi o cancellati in modo sicuro utilizzando prodotti o metodi approvati. A meno che non siano conservati in idonei mobili da ufficio chiusi a chiave, i supporti di memorizzazione rimovibili sono distrutti quando non sono più necessari. Qualsiasi distruzione o cancellazione è effettuata con un metodo conforme alle norme di sicurezza della Commissione. È tenuto un inventario dei supporti di memorizzazione rimovibili e la loro distruzione è registrata.
Articolo 16
Trattamento e archiviazione di informazioni RESTREINT UE/EU RESTRICTED
1. Conformemente all’articolo 19, paragrafo 1, lettere a) e b), della decisione (UE, Euratom) 2015/444, le informazioni RESTREINT UE/EU RESTRICTED possono essere trattate in una zona protetta o in una zona amministrativa (7) come segue:
|
— |
il personale chiude la porta dell’ufficio al momento del trattamento di informazioni RESTREINT UE/EU RESTRICTED; |
|
— |
il personale ripone o occulta qualsiasi informazione «RESTREINT UE/EU» quando riceve un visitatore; |
|
— |
il personale non lascia in vista le informazioni RESTREINT UE/EU RESTRICTED quando l’ufficio non è occupato; |
|
— |
gli schermi che visualizzano le informazioni RESTREINT UE/EU RESTRICTED sono permanentemente non rivolti verso finestre e porte per evitare che possano essere osservati. |
2. Conformemente all’articolo 19, paragrafo 1, lettera c), della decisione (UE, Euratom) 2015/444, le informazioni RESTREINT UE/EU RESTRICTED possono essere trattate all’esterno di una zona protetta o di una zona amministrativa purché il detentore si sia impegnato ad osservare le misure compensative necessarie per proteggere tali informazioni dall’accesso di persone non autorizzate. Le misure compensative prevedono almeno le seguenti azioni:
|
— |
le informazioni RESTREINT UE/EU RESTRICTED non sono lette in luoghi pubblici; |
|
— |
le ICUE sono tenute sempre sotto il controllo personale del detentore; |
|
— |
i documenti sono riposti in idonei mobili chiusi a chiave quando non sono letti o discussi; |
|
— |
le porte della stanza sono chiuse quando il documento è letto o discusso; |
|
— |
i dettagli del documento non sono discussi per telefono su una linea non protetta o in un messaggio di posta elettronica non criptato; |
|
— |
il documento può essere fotocopiato o digitalizzato solo su apparecchiature indipendenti o sistemi accreditati; |
|
— |
il documento è trattato e tenuto temporaneamente all’esterno di una zona amministrativa o protetta solo per il tempo strettamente necessario; |
|
— |
il detentore non butta via un documento classificato, ma lo restituisce affinché sia archiviato in una zona amministrativa o protetta, o fa in modo che il documento sia distrutto in un distruggi documenti approvato. |
3. Le informazioni RESTREINT UE/EU RESTRICTED su supporto cartaceo sono conservate in mobili da ufficio chiusi a chiave in una zona amministrativa o in una zona protetta. Esse possono essere temporaneamente conservate all’esterno di una zona protetta o di una zona amministrativa purché il detentore si sia impegnato ad osservare le misure compensative.
4. Ulteriori istruzioni possono essere chieste al responsabile locale della sicurezza (LSO) del dipartimento competente della Commissione.
5. Qualsiasi incidente, presunto o effettivo, in materia di sicurezza che riguardi il documento è segnalato quanto prima all’LSO.
Articolo 17
Riproduzione e traduzione di informazioni RESTREINT UE/EU RESTRICTED
1. Le informazioni RESTREINT UE/EU RESTRICTED possono essere riprodotte o tradotte su istruzione del detentore, purché l’originatore non abbia imposto limitazioni. Tuttavia, il numero di copie non è superiore a quanto strettamente necessario.
2. Se viene riprodotta solo una parte di un documento classificato, si applicano le stesse condizioni previste per la copia dell’intero documento. Gli estratti sono anch’essi classificati RESTREINT UE/EU RESTRICTED, a meno che l’originatore non li abbia espressamente contrassegnati come non classificati.
3. Le misure di sicurezza applicabili alle informazioni originali si applicano alle copie e alle traduzioni.
Articolo 18
Principi generali per il trasporto di informazioni RESTREINT UE/EU RESTRICTED
1. Ove possibile, le informazioni RESTREINT UE/EU RESTRICTED che devono essere trasportate all’esterno delle zone protette o delle aree amministrative sono inviate per via elettronica mediante mezzi adeguatamente accreditati e/o protetti da prodotti crittografici approvati.
2. A seconda dei mezzi disponibili o in funzione delle circostanze particolari, le informazioni RESTREINT UE/EU RESTRICTED possono essere trasportate fisicamente a mano sotto forma di documenti su supporto cartaceo o su supporti di memorizzazione rimovibili. L’utilizzo dei supporti di memorizzazione rimovibili per la trasmissione delle informazioni RESTREINT UE/EU RESTRICTED è da preferirsi all’invio di documenti cartacei.
3. Possono essere utilizzati solo supporti di memorizzazione rimovibili criptati con un prodotto approvato dall’autorità di sicurezza della Commissione. Le informazioni RESTREINT UE/EU RESTRICTED su supporti di memorizzazione rimovibili che non sono protette da un prodotto crittografico approvato dall’autorità di sicurezza della Commissione sono trattate allo stesso modo delle copie cartacee.
4. Una spedizione può contenere più di una informazione RESTREINT UE/EU RESTRICTED, purché sia rispettato il principio della necessità di conoscere.
5. Gli imballaggi utilizzati assicurano che il contenuto non sia visibile. Le informazioni RESTREINT UE/EU RESTRICTED sono trasportate in imballaggi opachi, quali una busta, una cartella opaca o una valigetta portadocumenti. L’imballaggio esterno non deve recare indicazioni sulla natura o sul livello di classifica del suo contenuto. Se utilizzato, lo strato interno dell’imballaggio presenta il contrassegno RESTREINT UE/EU RESTRICTED. Entrambi gli strati indicano il nome del destinatario, il suo titolo e indirizzo, nonché un indirizzo di ritorno nel caso in cui la consegna non possa essere effettuata.
6. Eventuali incidenti di sicurezza che riguardano informazioni classificate RESTREINT UE/EU RESTRICTED, trasportate dal personale o da corrieri, sono segnalati per ulteriori indagini alla direzione Sicurezza della direzione generale Risorse umane, tramite lo LSO del dipartimento competente della Commissione.
Articolo 19
Trasporto a mano di supporti di memorizzazione rimovibili
1. I supporti di memorizzazione rimovibili utilizzati per il trasporto di informazioni RESTREINT UE/EU RESTRICTED sono accompagnati da una nota di spedizione, indicante nel dettaglio i supporti di memorizzazione rimovibili contenenti le informazioni classificate e tutti i fascicoli contenuti sui supporti, per consentire al destinatario di effettuare le necessarie verifiche.
2. Solo i documenti da fornire sono memorizzati sui supporti. Ad esempio, tutte le informazioni classificate salvate su una singola chiave USB dovrebbero essere destinate allo stesso destinatario. Il mittente tiene presente che quando grandi quantità di informazioni classificate sono conservate su tali dispositivi può essere necessario assegnare un livello di classifica più elevato al dispositivo nel suo insieme.
3. Per trasportare informazioni RESTREINT UE/EU RESTRICTED sono utilizzati unicamente supporti di memorizzazione rimovibili muniti di un contrassegno di classifica appropriato.
Articolo 20
Trasporto di documenti RESTREINT UE/EU RESTRICTED all’interno degli edifici della Commissione
1. Il personale può trasportare documenti RESTREINT UE/EU RESTRICTED all’interno di un edificio della Commissione, ma i documenti rimangono sempre in possesso del latore e non sono letti in pubblico.
2. I documenti RESTREINT UE/EU RESTRICTED possono essere inviati per posta interna ad altri uffici della Commissione europea in un’unica busta semplice opaca, ma senza alcuna indicazione sull’esterno che il contenuto è classificato. Documenti RESTREINT UE/EU RESTRICTED possono essere inviati con le stesse modalità anche alle altre istituzioni o organi dell’UE che sono serviti direttamente dal sistema di posta interna della Commissione.
Articolo 21
Trasporto di documenti RESTREINT UE/EU RESTRICTED all’interno dell’Unione
1. Le informazioni RESTREINT UE/EU RESTRICTED possono essere trasportate dal personale o da corrieri della Commissione in tutta l’Unione a condizione che soddisfino le seguenti istruzioni:
|
a) |
per trasmettere le informazioni RESTREINT UE/EU RESTRICTED sono utilizzati una busta o un imballaggio opachi. L’esterno non deve recare indicazioni sulla natura o sul livello di classifica del contenuto; |
|
b) |
le informazioni RESTREINT UE/EU RESTRICTED rimangono sempre in possesso del latore; |
|
c) |
la busta o l’imballaggio non sono aperti durante il trasporto e le informazioni non sono lette in luoghi pubblici. |
2. Il personale che intende inviare informazioni RESTREINT UE/EU RESTRICTED ad altre località dell’Unione ne può organizzare il trasporto mediante una delle seguenti modalità:
|
— |
tramite i servizi postali nazionali che tengono traccia della spedizione o determinati servizi di corriere commerciale che garantiscono la consegna personale a mano, a condizione che soddisfino i requisiti di cui all’articolo 23 della presente decisione; |
|
— |
tramite corriere militare, governativo o valigia diplomatica, in coordinamento con il personale dell’ufficio di registrazione. |
Articolo 22
Trasporto di informazioni RESTREINT UE/EU RESTRICTED da e verso il territorio di un paese terzo
1. Le informazioni classificate di livello RESTREINT UE/EU RESTRICTED possono essere trasportate a mano dal personale tra il territorio dell’Unione e il territorio di un paese terzo.
2. Il personale dell’ufficio di registrazione può predisporre uno dei seguenti tipi di trasporto:
|
— |
trasporto tramite servizi postali che tracciano la spedizione o servizi di corriere commerciale che garantiscono la consegna personale a mano; |
|
— |
trasporto per corriere militare o valigia diplomatica. |
3. Quando trasportano a mano documenti cartacei o supporti di memorizzazione rimovibili classificati come RESTREINT UE/EU RESTRICTED, i membri del personale rispettano tutte le seguenti misure supplementari:
|
— |
quando viaggiano utilizzando mezzi di trasporto pubblici, le informazioni classificate sono contenute in una valigia o una borsa sotto la custodia personale del latore. Ne è vietata la consegna in un deposito di bagagli o come bagaglio da stiva. |
|
— |
Le informazioni RESTREINT UE/EU RESTRICTED sono trasmesse all’interno di un imballaggio doppio. Sullo strato interno dell’imballaggio è apposto un sigillo ufficiale indicante che si tratta di una spedizione ufficiale che non deve essere sottoposta a controllo di sicurezza. |
|
— |
Il latore è munito di un certificato di corriere attestante che è autorizzato a trasportare la spedizione RESTREINT UE/EU RESTRICTED ed emesso dall’ufficio di registrazione del dipartimento competente. |
Articolo 23
Trasporto mediante corrieri commerciali
1. Ai fini della presente decisione, per «corrieri commerciali» si intendono i servizi postali nazionali e le società di spedizione che offrono un servizio in cui le informazioni sono fornite dietro pagamento di una commissione e sono consegnate personalmente a mano o monitorate.
2. I corrieri commerciali possono avvalersi dei servizi di un subappaltatore. Tuttavia, la responsabilità di conformarsi alla presente decisione spetta alla società di corriere.
3. Se il destinatario indicato è al di fuori dell’UE, si utilizza un imballaggio doppio. Nella fase di preparazione delle spedizioni classificate, il mittente tiene conto del fatto che i servizi di corriere commerciale consegnano le spedizioni «RESTREINT UE/EU RESTRICTED» solo al legittimo destinatario, a un suo sostituto debitamente autorizzato, al funzionario responsabile del controllo delle registrazioni o al suo sostituto debitamente autorizzato o un addetto al ricevimento. Per attenuare il rischio che la spedizione non raggiunga il legittimo destinatario, l’esterno e, se del caso, l’eventuale strato di imballaggio interno della spedizione reca un indirizzo di ritorno.
4. I servizi prestati da corrieri commerciali che trasmettono per via elettronica i documenti inviati per posta raccomandata non sono utilizzati per le informazioni RESTREINT UE/EU RESTRICTED.
Articolo 24
Altre condizioni specifiche di trattamento
1. Sono rispettate tutte le condizioni di trasporto stabilite in un accordo sulla sicurezza delle informazioni o in accordi amministrativi. In caso di dubbio, il personale consulta il rispettivo ufficio del registro o la direzione «Sicurezza» della direzione generale Risorse umane e sicurezza.
2. Il requisito del doppio imballaggio può venir meno per le informazioni classificate che sono protette da prodotti crittografici approvati. Tuttavia, per indicare l’indirizzo e anche in considerazione del fatto che è munito di un esplicito contrassegno di sicurezza, il supporto di memorizzazione rimovibile è trasportato almeno in una normale busta, ma può richiedere misure di protezione fisica supplementari, ad esempio buste imbottite a bolle d’aria.
CAPO 4
RIUNIONI CLASSIFICATE
Articolo 25
Preparazione di una riunione RESTREINT UE/EU RESTRICTED
1. Le riunioni nelle quali sono discusse informazioni di livello RESTREINT UE/EU RESTREINT si svolgono unicamente in sale riunioni accreditate per il livello appropriato o un livello superiore. Se queste sale non sono disponibili, il personale chiede il parere dell’autorità di sicurezza della Commissione.
2. In linea generale, gli ordini del giorno non dovrebbero essere classificati. Un ordine del giorno di una riunione che menziona documenti classificati non è automaticamente classificato. I punti all’ordine del giorno sono formulati in modo da evitare di compromettere la protezione dell’Unione o gli interessi di uno o più Stati membri.
3. Se all’ordine del giorno devono essere allegati file elettronici contenenti informazioni RESTREINT UE/EU RESTRICTED, è obbligatorio proteggere tali file con prodotti crittografici approvati dall’autorità Crypto della Commissione.
4. Gli organizzatori delle riunioni ricordano ai partecipanti che è vietato inviare le osservazioni su un punto RESTREINT UE/EU RESTRICTED dell’ordine del giorno tramite messaggi di posta elettronica ordinari o altri mezzi che non siano stati adeguatamente accreditati, conformemente all’articolo 11 della presente decisione.
5. Gli organizzatori delle riunioni si adoperano per raggruppare in ordine consecutivo i punti RESTREINT UE/EU RESTRICTED nell’ordine del giorno al fine di agevolare il buon funzionamento della riunione. Ai dibattiti sui punti classificati possono essere presenti solo le persone con necessità di conoscere.
6. Nella convocazione si avvertono i partecipanti che durante la riunione saranno discussi temi classificati e che saranno applicate le misure di sicurezza corrispondenti.
7. Nella convocazione o nella nota sull’ordine del giorno si ricorda ai partecipanti che tutti i dispositivi elettronici portatili devono essere spenti durante il dibattito sui punti RESTREINT UE/EU RESTRICTED.
8. Prima della riunione gli organizzatori preparano un elenco completo dei partecipanti esterni.
Articolo 26
Attrezzature elettroniche di una sala riunione RESTREINT UE/EU RESTRICTED
1. Solo sistemi informatici accreditati in conformità all’articolo 11 della presente decisione possono essere utilizzati quando sono trasmesse informazioni classificate, ad esempio durante una presentazione nella quale si mostrano informazioni classificate RESTREINT UE/EU RESTRICTED o quando sono organizzate videoconferenze.
2. Il presidente assicura che siano spenti i dispositivi elettronici portatili non autorizzati.
Articolo 27
Procedure da seguire durante una riunione RESTREINT UE/EU RESTRICTED
1. All’inizio di un dibattito classificato, il presidente comunica che la riunione passerà alla «modalità classificata». Le porte e le tende sono chiuse.
2. Se del caso, all’inizio del dibattito i partecipanti e gli interpreti ricevono solo il numero necessario di documenti.
I documenti RESTREINT UE/EU RESTRICTED non sono lasciati incustoditi durante gli intervalli della riunione.
3. Alla fine della riunione occorre ricordare ai partecipanti e agli interpreti di non lasciare incustoditi nella sala alcun documento classificato o nota classificata. I documenti o le note classificati che i partecipanti non portano via alla fine della riunione sono raccolti dagli organizzatori della riunione e distrutti in appositi distruggi documenti.
4. L’elenco dei partecipanti e una sintesi di eventuali informazioni classificate condivise con gli Stati membri e comunicate oralmente a paesi terzi o organizzazioni internazionali sono annotati durante la riunione per essere registrati nei risultati dei lavori.
Articolo 28
Interpreti e traduttori
Hanno accesso alle informazioni RESTREINT UE/EU RESTRICTED solo gli interpreti e i traduttori che sono soggetti allo statuto o al regime applicabile agli altri agenti dell’Unione europea o che hanno un legame contrattuale con la Commissione.
CAPO 5
CONDIVISIONE E SCAMBIO DI INFORMAZIONI RESTREINT UE/EU RESTRICTED
Articolo 29
Consenso dell’originatore
Se la Commissione non è l’originatore delle informazioni classificate che si desiderano comunicare o condividere, o delle fonti che tali informazioni possono contenere, il dipartimento della Commissione che detiene tali informazioni classificate chiede anzitutto il consenso scritto dell’originatore. Se non è possibile individuare l’originatore, il dipartimento della Commissione che detiene le informazioni classificate esercita il controllo dell’originatore.
Articolo 30
Condivisione di informazioni RESTREINT UE/EU RESTRICTED con altre entità dell’Unione
1. Le informazioni RESTREINT UE/EU RESTRICTED sono condivise con un’altra istituzione, agenzia, organo o ufficio dell’Unione se il destinatario ha necessità di conoscere e l’entità ha un corrispondente accordo giuridico con la Commissione.
2. Nella Commissione, l’ufficio di registrazione delle ICUE gestito dal segretariato generale è di norma il principale punto d’ingresso e uscita per gli scambi delle informazioni classificate con altre istituzioni, agenzie, organi e uffici dell’Unione. Tuttavia, le informazioni RESTREINT UE/EU RESTRICTED possono essere condivise direttamente con i legittimi destinatari.
Articolo 31
Scambio di informazioni RESTREINT UE/EU RESTRICTED con gli Stati membri
1. Le informazioni RESTREINT UE/EU RESTRICTED possono essere condivise con gli Stati membri se il destinatario ha necessità di conoscere.
2. Alle informazioni classificate degli Stati membri che recano un contrassegno nazionale di classifica equivalente (8) e sono state fornite alla Commissione è garantito lo stesso livello di protezione delle informazioni RESTREINT UE/EU RESTRICTED.
Articolo 32
Scambio di informazioni RESTREINT UE/EU RESTRICTED con paesi terzi e organizzazioni internazionali
1. Le informazioni RESTREINT UE/EU RESTRICTED sono comunicate a un paese terzo o a un’organizzazione internazionale solo se il destinatario ha necessità di conoscere e il paese o l’organizzazione internazionale dispone di un adeguato quadro giuridico o amministrativo, quale un accordo sulla sicurezza delle informazioni o un accordo amministrativo con la Commissione. Le disposizioni di tali accordi prevalgono sulle disposizioni della presente decisione.
2. L’ufficio di registrazione delle ICUE gestito dal segretariato generale funge di norma da principale punto d’ingresso e uscita per le informazioni classificate RESTREINT UE/EU RESTRICTED scambiate tra la Commissione e i paesi terzi o le organizzazioni internazionali. L’autorità di sicurezza della Commissione è sempre consultata quando esistono motivi di sicurezza, organizzativi o operativi che rendono più opportuno che i registri locali delle ICUE operino come punto di entrata e di uscita per le questioni di competenza del dipartimento interessato.
3. Per garantirne la tracciabilità, le informazioni RESTREINT UE/EU RESTRICTED sono registrate:
|
— |
quando entrano in un’entità organizzativa o ne escono; |
|
— |
quando entrano in un CIS o ne escono. |
4. Tale registrazione può essere effettuata su carta o in registri elettronici.
5. Le procedure di registrazione delle informazioni classificate trattate nell’ambito di un CIS accreditato possono essere eseguite mediante procedure interne allo stesso CIS. In tal caso il CIS comprende misure volte a garantire l’integrità delle registrazioni dei registri elettronici.
6. Alle informazioni classificate ricevute dai paesi terzi o dalle organizzazioni internazionali è attribuito un livello di protezione equivalente alle ICUE recanti un contrassegno di classifica equivalente a quello stabilito nel rispettivo accordo amministrativo sulla sicurezza delle informazioni.
Articolo 33
Comunicazione eccezionale ad hoc di informazioni RESTREINT UE/EU RESTRICTED
1. Se la Commissione o uno dei suoi dipartimenti stabilisce che è necessario comunicare informazioni RESTREINT UE/EU RESTRICTED in via eccezionale a un paese terzo, un’organizzazione internazionale o un’entità dell’UE, ma non esiste un accordo sulla sicurezza delle informazioni o un accordo amministrativo, si applica la procedura di comunicazione eccezionale ad hoc.
2. I dipartimenti della Commissione contattano l’autorità di sicurezza della Commissione, che consulta il gruppo di esperti in materia di sicurezza della Commissione.
3. Dopo aver consultato il gruppo di esperti in materia di sicurezza della Commissione, la Commissione può, su proposta del membro della commissione competente in materia di sicurezza, autorizzare la comunicazione delle informazioni in questione.
CAPO 6
FINE DEL CICLO DI VITA DELLE INFORMAZIONI RESTREINT UE/EU RESTRICTED
Articolo 34
Quando declassificare
1. Le informazioni restano classificate solo finché necessitano di protezione. Per declassificazione si intende che le informazioni non sono più considerate classificate. Al momento della creazione l’originatore indica, laddove possibile, se le ICUE possono essere declassificate ad una certa data o in seguito ad un dato evento. In mancanza di tale indicazione, l’originatore riesamina regolarmente le informazioni RESTREINT UE/EU RESTRICTED per stabilire se la classificazione sia ancora giustificata.
2. Le informazioni classificate di livello RESTREINT UE/EU RESTRICTED di cui la Commissione è l’originatore saranno automaticamente declassificate dopo trent’anni, conformemente al regolamento (CEE, Euratom) n. 354/83 modificato dal regolamento (CE, Euratom) n. 1700/2003 (9) del Consiglio e all’articolo 59, paragrafo 2, lettera a) della decisione (UE, Euratom) 2015/444.
3. I documenti della Commissione possono anche essere declassificati ad hoc, ad esempio a seguito di una richiesta di accesso da parte del pubblico.
Articolo 35
Responsabilità per la declassificazione
1. Le informazioni RESTREINT UE/EU RESTRICTED non sono declassificate senza l’autorizzazione dell’originatore.
2. Il dipartimento della Commissione che crea un documento classificato è responsabile della decisione relativa alla sua declassificazione. All’interno della Commissione, tutte le richieste di declassificazione sono soggette alla consultazione del capo unità o del direttore del dipartimento originatore. Se ha compilato informazioni classificate a partire da varie fonti, il dipartimento chiede dapprima l’autorizzazione a tutte le altre parti che hanno fornito fonti, compresi gli Stati membri, altri organismi dell’UE, paesi terzi od organizzazioni internazionali.
3. Se il dipartimento originatore della Commissione non esiste più e le sue competenze sono state assunte da un altro servizio, quest’ultimo prende la decisione in merito alla declassificazione. Se il dipartimento originatore non esiste più e le sue competenze non sono state assunte da un altro servizio, la decisione in merito alla declassificazione è presa congiuntamente dai capi unità o dai direttori delle direzioni generali destinatarie.
Articolo 36
Informazioni sensibili non classificate
Se il riesame di un documento porta alla decisione di declassificarlo, occorre considerare se il documento debba recare il contrassegno per la distribuzione delle informazioni sensibili non classificate ai sensi dell’articolo 9 della decisione (UE, Euratom) 2015/443.
Articolo 37
Come indicare che un documento è stato declassificato
1. Il contrassegno originale di classifica in alto e in basso di ogni pagina è barrato in modo visibile (non rimosso) utilizzando la funzione «barrato» per i formati elettronici o manualmente per i documenti stampati.
2. La prima pagina (di copertina) è timbrata come declassificata e compilata con i dati dell’autorità responsabile della declassificazione e la relativa data.
3. I destinatari originari delle informazioni RESTREINT UE/EU RESTRICTED sono informati della declassificazione. I destinatari iniziali sono responsabili di informare tutti i successivi destinatari ai quali hanno trasmesso l’originale delle informazioni RESTREINT UE/EU RESTRICTED o ai quali ne hanno fornito copia.
4. Il servizio Archivi storici dell’Unione europea è informato di tutte le decisioni di declassificazione adottate.
5. Tutte le traduzioni di informazioni classificate sono soggette alle stesse procedure di declassificazione della versione linguistica originale.
Articolo 38
Declassificazione parziale di informazioni RESTREINT UE/EU RESTRICTED
1. È possibile anche una declassificazione parziale (ad esempio allegati, solo alcuni paragrafi). La procedura è identica a quella prevista per la declassificazione di un intero documento.
2. In caso di declassificazione parziale (sanitisation) di informazioni RESTREINT UE/EU RESTRICTED, è prodotto un estratto declassificato.
3. Le parti che rimangono classificate sono sostituite da:
|
PARTE DA NON DECLASSIFICARE |
nel corpo del testo, se la parte che rimane classificata è parte di un paragrafo, oppure come paragrafo, se la parte che rimane classificata è un paragrafo specifico o più di un paragrafo.
4. Una menzione specifica è aggiunta nel testo se un allegato completo non può essere declassificato ed è pertanto stato ritirato dall’estratto.
Articolo 39
Distruzione e cancellazione periodiche di informazioni RESTREINT UE/EU RESTRICTED
1. La Commissione non accumula grandi quantità di informazioni classificate.
2. I dipartimenti originatori sottopongono periodicamente a revisione piccole quantità per distruggerle e cancellarle. Un riesame è svolto a intervalli regolari sia per le informazioni archiviate in formato cartaceo sia per le informazioni archiviate nel CIS.
3. Il personale distrugge o cancella in modo sicuro i documenti RESTREINT UE/EU RESTRICTED che non sono più necessari su riserva di esigenze di archivio del documento originale.
4. Il personale non è tenuto a informare l’originatore se distrugge o cancella copie di documenti RESTREINT UE/EU RESTRICTED.
5. I progetti di materiale contenenti informazioni classificate sono soggetti agli stessi metodi di eliminazione dei documenti classificati finalizzati.
6. Solo distruggi documenti approvati sono utilizzati per distruggere documenti RESTREINT UE/EU RESTRICTED. I distruggi documenti di livello 4 di DIN 32757 e livello 5 di DIN 66399 sono conformi per la distruzione di documenti RESTREINT UE/EU RESTRICTED.
7. I frammenti di documenti provenienti dai distruggi documenti approvati possono essere eliminati come normali rifiuti di ufficio.
8. Tutti i supporti e i dispositivi contenenti informazioni RESTREINT UE/EU RESTRICTED sono sottoposti ad adeguata cancellazione sicura dei dati al termine del loro ciclo di vita. I dati elettronici sono distrutti o soppressi dalle risorse informatiche e dai relativi supporti di memorizzazione in modo da garantire ragionevolmente che le informazioni non possano essere recuperate. La cancellazione sicura dei dati elimina i dati dal dispositivo di memorizzazione e tutte le etichette, i contrassegni e le registrazioni delle attività.
9. I supporti informatici sono consegnati all’LSO o al responsabile della sicurezza informatica locale e/o al funzionario responsabile del controllo delle registrazioni per essere distrutti ed eliminati.
Articolo 40
Evacuazione e distruzione di informazioni RESTREINT UE/EU RESTRICTED in situazione di emergenza
1. Il capo dipartimento elabora, approva e, se necessario, avvia l’evacuazione di emergenza e i piani di distruzione per la salvaguardia delle informazioni RESTREINT UE/EU RESTRICTED che presentano un rischio significativo di cadere in mano a persone non autorizzate durante una crisi. In ordine di priorità e in funzione della natura dell’emergenza, occorre:
|
1) |
trasferire le ICUE in un altro luogo sicuro, se possibile in una zona amministrativa o protetta all’interno dello stesso edificio; |
|
2) |
evacuare le ICUE in un altro luogo sicuro, ove possibile in una zona amministrativa o protetta di un altro edificio, se possibile, un edificio della Commissione; |
|
3) |
distruggere le ICUE, se possibile utilizzando mezzi di distruzione approvati. |
2. Quando i piani di emergenza sono stati attivati, le informazioni di livello più elevato sono trasferite o distrutte prioritariamente.
3. I dettagli operativi dei piani di evacuazione e di distruzione di emergenza sono classificati come RESTREINT UE/EU RESTRICTED.
Articolo 41
Archiviazione
1. Le decisioni in merito all’archiviazione e alle misure pratiche corrispondenti sono conformi alla politica della Commissione in materia di gestione dei documenti.
2. I documenti RESTREINT UE/EU RESTRICTED non sono inviati agli Archivi storici dell’Unione europea a Firenze.
CAPO 7
DISPOSIZIONI FINALI
Articolo 42
Trasparenza
La presente decisione è resa nota al personale della Commissione e a tutte le persone cui si applica, ed è pubblicata nella Gazzetta ufficiale dell’Unione europea.
Articolo 43
Entrata in vigore
La presente decisione entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.
Fatto a Bruxelles, il 17 ottobre 2019
Per la Commissione
A nome del presidente
Günther OETTINGER
Membro della Commissione
(1) GU L 72 del 17.3.2015, pag. 41.
(2) GU L 72 del 17.3.2015, pag. 53.
(3) GU L 6 dell’11.1.2017, pag. 40.
(4) Decisione 2013/488/UE del Consiglio, del 23 settembre 2013, sulle norme di sicurezza per proteggere le informazioni classificate UE (GU L 274 del 15.10.2013, pag. 1).
(5) Decisione della Commissione, del 4 maggio 2016, relativa a una delega di poteri in materia di sicurezza, C(2016) 2797 final.
(6) Ai sensi dell’articolo 3 della decisione (UE, Euratom) 2015/444, le informazioni RESTREINT UE/EU RESTRICTED sono «informazioni e materiali la cui divulgazione non autorizzata potrebbe essere pregiudizievole per gli interessi dell’Unione europea o di uno o più Stati membri».
(7) Come definite all’articolo 18 della decisione (UE, Euratom) 2015/444.
(8) La tabella di equivalenza dei contrassegni degli Stati membri figura nell’allegato I della decisione (UE, Euratom) 2015/444.
(9) Regolamento (CE, Euratom) n. 1700/2003 del Consiglio, del 22 settembre 2003, che modifica il regolamento (CEE, Euratom) n. 354/83 che rende accessibili al pubblico gli archivi storici della Comunità economica europea e della Comunità europea dell'energia atomica (GU L 243 del 27.9.2003, pag. 1).
ALLEGATO
Categorie di personale che possono avere accesso a informazioni RESTREINT UE/EU RESTRICTED, se necessario per l’esercizio delle loro mansioni professionali
|
Categorie di personale della Commissione |
Accesso alle informazioni R-UE/EU-R |
Condizioni |
|
Funzionari |
Sì |
Briefing + assunzione di responsabilità + necessità di conoscere |
|
Agenti temporanei |
Sì |
Briefing + assunzione di responsabilità + necessità di conoscere |
|
Agenti contrattuali |
Sì |
Briefing + assunzione di responsabilità + necessità di conoscere |
|
Esperti nazionali distaccati |
Sì |
Briefing (della Commissione) + riconoscimento + necessità di conoscere |
|
Tirocinanti |
No |
Nessuna eccezione possibile |
|
Qualsiasi altra categoria di personale (personale interinale, personale esterno che lavora nei locali della Commissione ecc.) |
No |
Consultare l’autorità di sicurezza della Commissione in merito a eventuali eccezioni |
|
2.12.2019 |
IT |
Gazzetta ufficiale dell'Unione europea |
L 311/37 |
DECISIONE (UE, Euratom) 2019/1963 DELLA COMMISSIONE
del 17 ottobre 2019
che stabilisce le norme di attuazione in materia di sicurezza industriale per quanto riguarda i contratti di appalto classificati
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell’Unione europea, in particolare l’articolo 249,
visto il trattato che istituisce la Comunità europea dell’energia atomica, in particolare l’articolo 106,
vista la decisione (UE, Euratom) 2015/443 della Commissione, del 13 marzo 2015, sulla sicurezza nella Commissione (1),
vista la decisione (UE, Euratom) 2015/444 della Commissione, del 13 marzo 2015, sulle norme di sicurezza per proteggere le informazioni classificate UE (2),
vista la decisione (UE, Euratom) 2017/46 della Commissione, del 10 gennaio 2017, sulla sicurezza dei sistemi di comunicazione e informazione della Commissione europea (3),
previa consultazione del gruppo di esperti in materia di sicurezza della Commissione a norma dell’articolo 41, paragrafo 5, della decisione (UE, Euratom) 2015/444,
considerando quanto segue:
|
(1) |
Gli articoli 41, 42, 47 e 48 della decisione (UE, Euratom) 2015/444 prevedono che siano stabilite disposizioni più dettagliate a integrazione e supporto del capo 6 della medesima decisione mediante norme di attuazione in materia di sicurezza industriale per disciplinare aspetti quali la procedura di appalto, la conclusione di contratti classificati, il nulla osta di sicurezza delle imprese, il nulla osta di sicurezza del personale, le visite e la trasmissione e il trasporto delle informazioni classificate UE (ICUE). |
|
(2) |
La decisione (UE, Euratom) 2015/444 stabilisce che l’attuazione dei contratti classificati avvenga in stretta collaborazione con l’autorità di sicurezza nazionale, l’autorità di sicurezza designata o qualsiasi altra autorità competente degli Stati membri interessati. Gli Stati membri hanno convenuto di provvedere affinché qualsiasi soggetto sotto la loro giurisdizione che può ottenere o produrre informazioni classificate provenienti dalla Commissione sia in possesso di un nulla osta di sicurezza adeguato e sia in grado di assicurare la protezione di sicurezza del livello adeguato, equivalente a quella accordata dalle norme di sicurezza del Consiglio dell’Unione europea per proteggere le informazioni classificate UE che recano un contrassegno di classifica corrispondente, secondo quanto previsto dall’accordo tra gli Stati membri dell’Unione europea, riuniti in sede di Consiglio, sulla protezione delle informazioni classificate scambiate nell’interesse dell’Unione europea (2011/C 202/05) (4). |
|
(3) |
Il Consiglio, la Commissione e l’Alta rappresentante dell’Unione per gli affari esteri e la politica di sicurezza hanno convenuto di garantire la massima coerenza nell’applicazione delle norme di sicurezza relative alla protezione delle ICUE tenendo conto allo stesso tempo delle loro specifiche esigenze istituzionali e organizzative, conformemente alle dichiarazioni allegate al verbale della sessione del Consiglio in cui è stata adottata la decisione 2013/488/UE del Consiglio (5) sulle norme di sicurezza per proteggere le informazioni classificate UE. |
|
(4) |
Le norme di attuazione della Commissione in materia di sicurezza industriale per quanto riguarda i contratti classificati dovrebbero pertanto garantire anche la massima coerenza e tenere conto degli orientamenti sulla sicurezza industriale approvati dal comitato per la sicurezza del Consiglio il 13 dicembre 2016 e degli articoli 7 e 22 della direttiva 2009/81/CE del Parlamento europeo e del Consiglio (6). |
|
(5) |
Il 4 maggio 2016 la Commissione ha adottato una decisione (7) che abilita il membro della Commissione responsabile per le questioni di sicurezza ad adottare, a nome della Commissione e sotto la sua responsabilità, le norme di attuazione a norma dell’articolo 60 della decisione (UE, Euratom) 2015/444, |
HA ADOTTATO LA PRESENTE DECISIONE:
CAPO 1
DISPOSIZIONI GENERALI
Articolo 1
Oggetto e ambito di applicazione
1. La presente decisione stabilisce le norme di attuazione in materia di sicurezza industriale per quanto riguarda i contratti di appalto classificati a supporto dell’attuazione della decisione (UE, Euratom) 2015/444, in particolare il capo 6 della medesima.
2. La presente decisione stabilisce requisiti specifici per garantire la protezione delle informazioni classificate UE (ICUE) da parte degli operatori economici nella fase precontrattuale, lungo tutto il ciclo di vita dei contratti classificati conclusi dalla Commissione europea e per i subcontratti conclusi da contraenti della Commissione.
3. La presente decisione riguarda le informazioni classificate ai seguenti livelli:
|
a) |
RESTREINT UE/EU RESTRICTED; |
|
b) |
CONFIDENTIEL UE/EU CONFIDENTIAL; |
|
c) |
SECRET UE/EU SECRET. |
Articolo 2
Responsabilità in seno alla Commissione
1. Nell’ambito delle responsabilità descritte nel regolamento finanziario (8), ciascun ordinatore dell’autorità contraente della Commissione garantisce che il contratto classificato faccia riferimento alle norme minime di sicurezza industriale di cui al capo 6 della decisione (UE, Euratom) 2015/444 e alle presenti norme di attuazione e, se del caso, al bando di gara o all’invito a presentare offerte, e che tali norme minime siano rispettate nel corso dell’attuazione.
2. A tal fine, in tutte le fasi, l’ordinatore interessato chiede il parere dell’autorità di sicurezza della Commissione sulle questioni riguardanti gli elementi di sicurezza del contratto, programma o progetto classificato e informa il responsabile locale della sicurezza in merito ai contratti conclusi. La decisione sul livello di classifica di determinate materie spetta all’autorità contraente ed è presa tenendo in debito conto la guida alle classifiche di sicurezza.
3. Nel rispetto dei requisiti delle presenti norme di attuazione, l’autorità di sicurezza della Commissione collabora strettamente con le autorità di sicurezza nazionali (NSA) e le autorità di sicurezza designate (DSA) degli Stati membri interessati, in particolare per quanto riguarda il nulla osta di sicurezza delle imprese (FCS) e il nulla osta di sicurezza del personale (PSC), la procedura relativa alle visite e i programmi di trasporto.
CAPO 2
GESTIONE DELLE GARE D’APPALTO PER I CONTRATTI CLASSIFICATI
Articolo 3
Principi di base
1. I contratti classificati sono aggiudicati esclusivamente a operatori economici registrati in uno Stato membro o a operatori economici registrati in un paese terzo o istituiti da un’organizzazione internazionale, purché il paese terzo o l’organizzazione internazionale abbiano concluso un accordo sulla sicurezza delle informazioni con l’Unione europea o un accordo amministrativo con la Commissione (9).
2. Prima di pubblicare l’invito a presentare offerte per un contratto classificato, l’autorità contraente determina la classifica di sicurezza delle informazioni che potrebbero essere fornite agli offerenti. L’autorità contraente determina anche la classifica di sicurezza massima delle informazioni generate durante l’esecuzione del contratto, del programma o del progetto, o almeno il volume e il tipo delle informazioni che si prevede di produrre o trattare e stabilisce la necessità di un sistema di comunicazione e informazione (CIS) classificato.
3. L’autorità contraente provvede affinché i bandi di gara relativi a contratti classificati forniscano informazioni sugli obblighi specifici di sicurezza connessi alle informazioni classificate. L’allegato I contiene il modello delle informazioni da includere nel bando di gara.
4. L’autorità contraente provvede affinché le informazioni classificate RESTREINT UE/EU RESTRICTED, CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET siano comunicate agli offerenti solo dopo che questi ultimi abbiano firmato l’impegno alla non divulgazione, che li obbliga a trattare e proteggere le ICUE a norma della decisione (UE, Euratom) 2015/444 e delle relative norme di attuazione.
5. Tutti i contraenti tenuti a trattare o conservare informazioni classificate CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET nelle loro strutture, nel corso dell’esecuzione del contratto classificato stesso o nella fase precontrattuale, devono essere in possesso dell’FSC al livello richiesto. Di seguito sono indicate le tre situazioni che possono presentarsi nella fase di gara relativa ad un contratto classificato che comporta ICUE di livello CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET:
|
a) |
nessun accesso alle ICUE di livello CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET nella fase di gara: se il bando di gara o l’invito a presentare offerte riguarda un contratto che comporterà ICUE di livello CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET, ma l’offerente non sarà tenuto a trattare dette informazioni nella fase di gara, il mancato possesso da parte dell’offerente dell’FSC al livello richiesto non determina l’esclusione dalla procedura di presentazione dell’offerta; |
|
b) |
accesso alle ICUE di livello CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET nei locali dell’autorità contraente nella fase di gara: l’accesso è consentito al personale dell’offerente che sia in possesso del PSC al livello richiesto e che abbia necessità di conoscere. Prima di concedere l’accesso, l’autorità contraente verifica presso l’NSA/DSA competente, tramite l’autorità di sicurezza della Commissione, se in questa fase l’FSC è richiesto anche a norma delle disposizioni legislative e regolamentari nazionali; |
|
c) |
trattamento o conservazione delle ICUE di livello CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET nei locali dell’offerente nella fase di gara: se il bando di gara o l’invito a presentare offerte impone agli offerenti di trattare o conservare le ICUE nei loro locali, l’offerente deve essere in possesso dell’FSC al livello richiesto. In questi casi l’autorità contraente ottiene, tramite l’autorità di sicurezza della Commissione, l’assicurazione dell’NSA/DSA competente che all’offerente è stato rilasciato l’FSC adeguato. L’accesso è consentito al personale dell’offerente che sia in possesso del PSC al livello richiesto e che abbia necessità di conoscere. |
6. Di norma, non è richiesto l’FSC per l’accesso alle informazioni RESTREINT UE/EU RESTRICTED, né nella fase di gara né in quella di esecuzione del contratto. Quando gli Stati membri prescrivono l’FSC per contratti o subcontratti di livello RESTREINT UE/EU RESTRICTED a norma di disposizioni legislative e regolamentari nazionali, come indicato nell’allegato IV, le prescrizioni nazionali non possono imporre obblighi supplementari agli altri Stati membri né impedire agli offerenti, contraenti o subcontraenti di Stati membri che non prevedono dette prescrizioni in materia di FSC l’accesso a informazioni RESTREINT UE/EU RESTRICTED derivanti da contratti/subcontratti connessi o la partecipazione alla relativa gara. Questi contratti sono eseguiti negli Stati membri conformemente alle rispettive disposizioni legislative e regolamentari nazionali.
7. Quando per l’esecuzione di un contratto classificato è richiesto l’FSC, l’autorità contraente, tramite l’autorità di sicurezza della Commissione, presenta richiesta all’NSA/DSA del contraente utilizzando il modulo di informazione sul nulla osta di sicurezza delle imprese (FSCIS). L’allegato III, appendice D, riporta un modello di FSCIS (10). Il contratto classificato non può essere aggiudicato fino a quando l’NSA/DSA non ha confermato l’FSC del contraente. Se possibile, la risposta all’FSCIS è fornita entro dieci giorni lavorativi dalla data della richiesta.
Articolo 4
Subcontratti dei contratti classificati
1. Le condizioni alle quali il contraente aggiudicatario di un contratto classificato della Commissione può concludere subcontratti sono definite nell’invito a presentare offerte e nella documentazione contrattuale. Se il contratto classificato consente il subcontratto per alcune delle sue parti, il subcontratto è subordinato al consenso preliminare scritto dell’autorità contraente. Prima di dare l’assenso, l’autorità contraente consulta l’autorità di sicurezza della Commissione.
2. I contratti classificati sono concessi in subcontratto esclusivamente a operatori economici registrati in uno Stato membro o a operatori economici registrati in un paese terzo o istituiti da un’organizzazione internazionale, purché il paese terzo o l’organizzazione internazionale abbiano concluso un accordo sulla sicurezza delle informazioni con l’UE o un accordo amministrativo con la Commissione (11).
CAPO 3
AGGIUDICAZIONE DI CONTRATTI CLASSIFICATI DELLA COMMISSIONE
Articolo 5
Principi di base
1. In sede di aggiudicazione di un contratto classificato, l’autorità contraente, assieme all’autorità di sicurezza della Commissione, garantisce che gli obblighi del contraente in materia di protezione delle ICUE fornite al contraente o generate nel corso dell’esecuzione del contratto siano parte integrante del contratto. I requisiti di sicurezza specifici del contratto assumono la forma di una lettera sugli aspetti di sicurezza (SAL). Nell’allegato III è riportato un modello di SAL.
2. Prima della firma del contratto classificato, l’autorità contraente prepara, previa consultazione dell’autorità di sicurezza della Commissione, una guida alle classifiche di sicurezza (SCG), in cui sono descritti i compiti da svolgere e le informazioni generate nell’esecuzione del contratto, o, se del caso, a livello di programma o di progetto. La SCG è inclusa nella SAL.
3. I requisiti di sicurezza specifici del programma o del progetto assumono la forma di istruzioni di sicurezza del programma/progetto (PSI). Le PSI possono essere redatte sulla base delle disposizioni del modello di SAL di cui all’allegato III. Le PSI sono elaborate dal servizio della Commissione responsabile della gestione del programma o del progetto, in stretta collaborazione con l’autorità di sicurezza della Commissione, e presentate per parere al gruppo di esperti in materia di sicurezza della Commissione. Se un contratto rientra in un programma o in un progetto dotato delle proprie PSI, la SAL del contratto è redatta in forma semplificata e rinvia alle disposizioni in materia di sicurezza contenute nelle PSI del programma o progetto.
4. L’autorità contraente è considerata l’originatore delle informazioni classificate create e trattate ai fini dell’esecuzione del contratto.
5. L’autorità contraente, tramite l’autorità di sicurezza della Commissione, notifica alle NSA/DSA di tutti i contraenti e subcontraenti la conclusione di contratti o subcontratti classificati e la loro eventuale proroga o estinzione anticipata. Nell’allegato IV è riportato l’elenco delle prescrizioni per paese.
6. I contratti che comportano informazioni classificate RESTREINT UE/EU RESTRICTED includono una clausola di sicurezza che rende vincolanti per il contraente le disposizioni di cui all’allegato III, appendice E. Tali contratti includono la SAL, che stabilisce, come minimo, i requisiti per il trattamento delle informazioni RESTREINT UE/EU RESTRICTED, compresi gli aspetti relativi alla garanzia di sicurezza delle informazioni e i requisiti specifici che il contraente delegato dall’autorità contraente deve rispettare per l’accreditamento del CIS del contraente che tratta informazioni RESTREINT UE/EU RESTRICTED.
7. Quando agli offerenti o ai potenziali contraenti sono fornite informazioni RESTREINT UE/EU RESTRICTED, i requisiti minimi di cui al paragrafo 6 sono inclusi nelle offerte o nel pertinente impegno alla non divulgazione concluso nella fase di gara.
8. Ove previsto dalle disposizioni legislative e regolamentari degli Stati membri, le NSA/DSA garantiscono che i contraenti o i subcontraenti sotto la loro giurisdizione rispettino le disposizioni di sicurezza applicabili per la protezione delle informazioni RESTREINT UE/EU RESTRICTED e svolgono visite di verifica presso le strutture del contraente situate sul loro territorio. Se l’NSA/DSA non è soggetta a tale obbligo, l’autorità contraente garantisce che il contraente attui le disposizioni di sicurezza richieste di cui all’allegato III.
Articolo 6
Accesso alle ICUE da parte del personale dei contraenti e dei subcontraenti
1. Il servizio della Commissione, in qualità di autorità contraente, assicura che i contratti classificati contengano disposizioni secondo le quali il personale del contraente o del subcontraente che per l’esecuzione del contratto o del subcontratto classificato debba avere accesso alle ICUE può beneficiare di tale accesso soltanto se:
|
a) |
è stato stabilito che ha necessità di conoscere; |
|
b) |
per le informazioni classificate CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET, l’NSA/DSA o altra autorità di sicurezza competente gli ha rilasciato il PSC di livello appropriato; |
|
c) |
è stato istruito sulle norme di sicurezza applicabili per la protezione delle ICUE e ha riconosciuto le proprie responsabilità in materia di protezione di tali informazioni. |
2. Se il contraente o il subcontraente intendono assumere un cittadino di un paese non UE in una posizione che richiede l’accesso a ICUE classificate CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET, spetta al contraente o al subcontraente avviare la procedura per il rilascio del nulla osta di sicurezza per detta persona a norma delle disposizioni legislative e regolamentari nazionali applicabili nel luogo in cui deve essere concesso l’accesso alle ICUE.
CAPO 4
VISITE IN RELAZIONE A CONTRATTI CLASSIFICATI
Articolo 7
Principi di base
1. Se la Commissione, i contraenti o i subcontraenti richiedono l’accesso a informazioni classificate CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET nei reciproci locali per l’esecuzione del contratto classificato, le visite sono organizzate di concerto con le NSA/DSA o altre autorità di sicurezza competenti interessate.
2. Le visite di cui al paragrafo 1 sono soggette alle seguenti condizioni:
|
a) |
la visita deve avere uno scopo ufficiale inerente ad un contratto classificato aggiudicato dalla Commissione; |
|
b) |
per accedere alle ICUE fornite o generate nell’esecuzione di un contratto classificato aggiudicato dalla Commissione i visitatori devono essere in possesso del PSC al livello richiesto e avere la necessità di conoscere. |
Articolo 8
Richiesta di visita
1. Le visite dei contraenti presso le strutture di altri contraenti, o presso i locali della Commissione, che comportano l’accesso a informazioni classificate CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET sono organizzate secondo la seguente procedura:
|
a) |
il responsabile della sicurezza della struttura che invia il visitatore deve compilare tutte le parti pertinenti del modulo per la richiesta di visita (RFV) e presentare la richiesta all’NSA/DSA della struttura. Nell’allegato III, appendice C, è riportato un modello del modulo RFV; |
|
b) |
l’NSA/DSA della struttura che invia il visitatore deve confermare il PSC del visitatore prima di inoltrare l’RFV all’NSA/DSA della struttura ospitante (o all’autorità di sicurezza della Commissione se la visita viene effettuata nei locali della Commissione); |
|
c) |
il responsabile della sicurezza della struttura che invia il visitatore deve poi acquisire dalla propria NSA/DSA la risposta dell’NSA/DSA della struttura ospitante (o dell’autorità di sicurezza della Commissione) di approvazione o di rigetto dell’RFV; |
|
d) |
l’RFV è considerata approvata se non vengono sollevate obiezioni fino ai cinque giorni lavorativi precedenti la data della visita. |
2. Le visite effettuate da funzionari della Commissione presso le strutture del contraente che comportano l’accesso a informazioni classificate CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET sono organizzate secondo la seguente procedura:
|
a) |
il visitatore deve compilare tutte le parti pertinenti del modulo RFV e inoltrarlo all’autorità di sicurezza della Commissione; |
|
b) |
l’autorità di sicurezza della Commissione conferma il PSC del visitatore prima di presentare l’RFV all’NSA/DSA della struttura ospitante; |
|
c) |
l’autorità di sicurezza della Commissione acquisisce dall’NSA/DSA della struttura ospitante la risposta di approvazione o di rigetto dell’RFV; |
|
d) |
l’RFV è considerata approvata se non vengono sollevate obiezioni fino ai cinque giorni lavorativi precedenti la data della visita. |
3. L’RFV può riguardare una singola visita o visite ricorrenti. In caso di visite ricorrenti, l’RFV può essere valida per un periodo massimo di un anno a decorrere dalla data di inizio richiesta.
4. La durata di validità dell’RFV non può superare la durata di validità del PSC del visitatore.
5. Di norma, l’RFV deve essere presentata all’autorità di sicurezza competente della struttura ospitante almeno 15 giorni lavorativi prima della data della visita.
Articolo 9
Procedure di visita
1. Prima di consentire ai visitatori di accedere alle ICUE, l’ufficio di sicurezza della struttura ospitante deve espletare tutte le procedure e rispettare tutte le norme in materia di sicurezza delle visite stabilite dalla propria NSA/DSA.
2. I visitatori devono dimostrare la propria identità all’arrivo presso la struttura ospitante presentando una carta d’identità o un passaporto validi. I dati identificativi devono corrispondere alle informazioni fornite nell’RFV.
3. La struttura ospitante provvede alla tenuta dei registri di tutti i visitatori, contenenti nome e cognome, organizzazione che rappresentano, data di scadenza del PSC, data della visita e nome e cognome delle persone visitate. I registri sono conservati per un periodo di almeno cinque anni, o per un periodo di durata superiore se previsto dalle norme e dai regolamenti nazionali del paese in cui è situata la struttura ospitante.
Articolo 10
Visite organizzate direttamente
1. Nel quadro di progetti specifici, le pertinenti NSA/DSA e l’autorità di sicurezza della Commissione possono concordare una procedura in base alla quale le visite per un determinato contratto classificato possono essere organizzate direttamente tra il responsabile della sicurezza del visitatore e il responsabile della sicurezza della struttura da visitare. Il modello di modulo da utilizzare a tal fine figura nell’allegato III, appendice C. Questa procedura eccezionale è definita nelle PSI o in altri accordi specifici. In questi casi non si applicano le procedure di cui all’articolo 8 e all’articolo 9, paragrafo 1.
2. Le visite che comportano l’accesso a informazioni classificate RESTREINT UE/EU RESTRICTED sono organizzate direttamente tra l’entità che invia e l’entità che riceve i visitatori senza dover seguire le procedure di cui all’articolo 8 e all’articolo 9, paragrafo 1.
CAPO 5
TRASMISSIONE E TRASPORTO DI ICUE NEL QUADRO DELL’ESECUZIONE DEI CONTRATTI CLASSIFICATI
Articolo 11
Principi di base
L’autorità contraente garantisce che tutte le decisioni relative al trasferimento e al trasporto di ICUE siano conformi alla decisione (UE, Euratom) 2015/444 e alle relative norme di attuazione, nonché alle condizioni del contratto classificato, compreso il consenso dell’originatore.
Articolo 12
Trattamento elettronico
1. Il trattamento e la trasmissione elettronici delle ICUE sono effettuati conformemente ai capi 5 e 6 della decisione (UE, Euratom) 2015/444 e alle relative norme di attuazione.
I sistemi di comunicazione e informazione di proprietà del contraente utilizzati per trattare le ICUE per l’esecuzione del contratto (di seguito «CIS del contraente») sono soggetti all’accreditamento da parte dell’autorità di accreditamento in materia di sicurezza (SAA) responsabile. Ogni trasmissione elettronica di ICUE è protetta mediante prodotti crittografici approvati conformemente all’articolo 36, paragrafo 4, della decisione (UE, Euratom) 2015/444. Le misure TEMPEST sono attuate conformemente all’articolo 36, paragrafo 6, della medesima decisione.
2. L’accreditamento di sicurezza del CIS del contraente che tratta ICUE di livello RESTREINT UE/EU RESTRICTED e di tutte le relative interconnessioni può essere delegato al responsabile della sicurezza del contraente se consentito dalle disposizioni legislative e regolamentari nazionali. In caso di delega, il contraente è responsabile dell’attuazione dei requisiti minimi di sicurezza descritti nella SAL per il trattamento di informazioni RESTREINT UE/EU RESTRICTED nel suo CIS. Tuttavia, le NSA/DSA e le SAA competenti restano responsabili della protezione delle informazioni RESTREINT UE/EU RESTRICTED trattate dal contraente e conservano il diritto di ispezionare le misure di sicurezza adottate dai contraenti. Inoltre, il contraente fornisce all’autorità contraente e, se richiesto dalle disposizioni legislative e regolamentari nazionali, alla SAA nazionale competente una dichiarazione di conformità in cui si certifica che il CIS del contraente e le relative interconnessioni sono stati accreditati per il trattamento di ICUE di livello RESTREINT UE/EU RESTRICTED (12).
Articolo 13
Trasporto mediante corrieri commerciali
Il trasporto di ICUE mediante corrieri commerciali rispetta le pertinenti disposizioni delle decisioni della Commissione sulle norme di attuazione relative al trattamento delle informazioni RESTREINT UE/EU RESTRICTED e delle informazioni CONFIDENTIEL UE/EU CONFIDENTIAL.
Articolo 14
Trasporto a mano
1. Il trasporto a mano di informazioni classificate è soggetto a rigorosi requisiti di sicurezza.
2. All’interno dell’UE le informazioni RESTREINT UE/EU RESTRICTED possono essere trasportate a mano dal personale del contraente, purché siano rispettate le seguenti condizioni:
|
a) |
la busta o l’imballaggio utilizzati devono essere opachi e non recare alcuna indicazione della classificazione del contenuto; |
|
b) |
il latore deve portare sempre con sé le informazioni classificate; |
|
c) |
la busta o l’imballaggio non devono essere aperti durante il trasporto. |
3. Per le informazioni classificate CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET, il trasporto a mano effettuato dal personale del contraente all’interno di uno Stato membro dell’UE è precedentemente organizzato tra l’entità mittente e l’entità ricevente. L’autorità o la struttura mittente comunicano all’autorità o alla struttura ricevente i dettagli della spedizione, compresi il riferimento, la classifica, l’orario previsto di arrivo e il nome del corriere. Il trasporto a mano è consentito, purché siano soddisfatte le seguenti condizioni:
|
a) |
le informazioni classificate devono essere trasportate in doppia busta o doppio imballaggio; |
|
b) |
la busta o l’imballaggio esterni devono essere protetti e non riportano indicazioni della classificazione del contenuto, mentre la busta interna deve recare il livello di classifica; |
|
c) |
il latore deve portare sempre con sé le ICUE; |
|
d) |
la busta o l’imballaggio non devono essere aperti durante il trasporto; |
|
e) |
la busta o l’imballaggio devono essere trasportati in una valigetta chiudibile a chiave o in un contenitore analogo approvato di dimensioni e peso tali da consentire al latore di portarla sempre con sé senza doverla consegnare come bagaglio al seguito; |
|
f) |
il corriere deve essere in possesso di un certificato di corriere rilasciato dalla competente autorità di sicurezza che lo autorizza a trasportare la spedizione classificata indicata. |
4. Per il trasporto a mano effettuato dal personale del contraente di informazioni classificate CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET da uno Stato membro dell’UE ad un altro, si applicano le seguenti disposizioni aggiuntive:
|
a) |
il corriere è responsabile della custodia in condizioni di sicurezza del materiale classificato che trasporta, fino alla consegna al destinatario; |
|
b) |
in caso di violazione della sicurezza, l’NSA/DSA del mittente può chiedere che le autorità del paese in cui si è verificata la violazione effettuino un’indagine, ne riferiscano l’esito e avviino, se del caso, azioni legali o di altro tipo; |
|
c) |
il corriere deve essere stato istruito su tutti gli obblighi in materia di sicurezza da rispettare durante il trasporto e deve aver firmato un apposito impegno; |
|
d) |
le istruzioni per il corriere sono allegate al certificato di corriere; |
|
e) |
il corriere ha ricevuto la descrizione della spedizione e dell’itinerario; |
|
f) |
i documenti sono restituiti all’NSA/DSA che li ha emessi al termine del viaggio/dei viaggi o sono tenuti a disposizione dal destinatario a fini di controllo; |
|
g) |
le autorità doganali, le autorità competenti in materia di immigrazione o la polizia di frontiera che chiedono di esaminare e ispezionare la spedizione sono autorizzate ad aprire e prendere visione di una parte sufficiente che consenta loro di accertare che non contenga materiale diverso da quello dichiarato; |
|
h) |
le autorità doganali devono essere sollecitate a rispettare l’autorità ufficiale dei documenti di spedizione e dei documenti di autorizzazione trasportati dal corriere. |
L’eventuale apertura della spedizione da parte delle autorità doganali deve avvenire lontano dagli sguardi di persone non autorizzate e, se possibile, in presenza del corriere. Il corriere esige che la spedizione sia reimballata e chiede alle autorità che effettuano l’ispezione di sigillarla nuovamente e di confermare per iscritto che è stata da esse aperta.
5. Il trasporto a mano effettuato dal personale del contraente di informazioni classificate RESTREINT UE/EU RESTRICTED, CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET verso un paese terzo o un’organizzazione internazionale è soggetto alle disposizioni dell’accordo sulla sicurezza delle informazioni o dell’accordo amministrativo concluso tra, rispettivamente, l’Unione europea o la Commissione e il paese terzo o l’organizzazione internazionale in questione.
CAPO 6
PIANI DI CONTINUITÀ OPERATIVA
Articolo 15
Piani di emergenza e misure di recupero
Il servizio della Commissione, in qualità di autorità contraente, garantisce che il contratto classificato imponga al contraente di predisporre piani di emergenza (BCP) per proteggere le ICUE trattate nell’esecuzione del contratto classificato in situazioni di emergenza, e di mettere in atto misure di prevenzione e recupero nel contesto di piani di continuità operativa per ridurre al minimo l’impatto degli incidenti in relazione al trattamento e alla conservazione delle ICUE. Il contraente informa l’autorità contraente del suo BCP.
Articolo 16
Entrata in vigore
La presente decisione entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.
Fatto a Bruxelles, il 17 ottobre 2019
Per la Commissione
A nome del presidente
Günther OETTINGER
Membro della Commissione
(1) GU L 72 del 17.3.2015, pag. 41.
(2) GU L 72 dell’17.3.2015, pag. 53.
(3) GU L 6 dell’11.1.2017, pag. 40.
(4) GU C 202 dell’8.7.2011, pag. 13.
(5) Decisione 2013/488/UE del Consiglio, del 23 settembre 2013, sulle norme di sicurezza per proteggere le informazioni classificate UE (GU L 274 del 15.10.2013, pag. 1).
(6) Direttiva 2009/81/CE del Parlamento europeo e del Consiglio, del 13 luglio 2009, relativa al coordinamento delle procedure per l’aggiudicazione di taluni appalti di lavori, di forniture e di servizi nei settori della difesa e della sicurezza da parte delle amministrazioni aggiudicatrici/degli enti aggiudicatori (GU L 216 del 20.8.2009, pag. 76).
(7) Decisione della Commissione, del 4 maggio 2016, relativa alla delega di poteri in materia di sicurezza [C(2016) 2797 final].
(8) Regolamento (UE, Euratom) 2018/1046 del Parlamento europeo e del Consiglio, del 18 luglio 2018, che stabilisce le regole finanziarie applicabili al bilancio generale dell’Unione, che modifica i regolamenti (UE) n. 1296/2013, (UE) n. 1301/2013, (UE) n. 1303/2013, (UE) n. 1304/2013, (UE) n. 1309/2013, (UE) n. 1316/2013, (UE) n. 223/2014, (UE) n. 283/2014 e la decisione n. 541/2014/UE e abroga il regolamento (UE, Euratom) n. 966/2012 (GU L 193 del 30.7.2018, pag. 1).
(9) Sul sito web della Commissione è disponibile l’elenco degli accordi conclusi dall’UE e degli accordi amministrativi conclusi dalla Commissione europea, in base ai quali le informazioni classificate UE possono essere scambiate con i paesi terzi e le organizzazioni internazionali.
(10) Altri modelli utilizzati possono presentare differenze di forma rispetto al modello fornito nelle presenti norme di attuazione.
(11) Sul sito web della Commissione è disponibile l’elenco degli accordi conclusi dall’UE e degli accordi amministrativi conclusi dalla Commissione europea, in base ai quali le informazioni classificate UE possono essere scambiate con i paesi terzi e le organizzazioni internazionali.
(12) I requisiti minimi per i sistemi di comunicazione e informazione che trattano ICUE a livello RESTREINT UE/EU RESTRICTED sono stabiliti nell’allegato III, appendice E.
ALLEGATO I
INFORMAZIONI STANDARD DA INCLUDERE NEI BANDI DI GARA DEGLI APPALTI
(da adattare al bando di gara utilizzato)
Per i contratti che comportano informazioni classificate CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET
Altre condizioni particolari (se applicabile)
|
L’esecuzione del contratto è soggetta a condizioni particolari |
|
|
(in caso affermativo) Descrizione delle condizioni particolari:
Il contratto comporterà l’accesso a, il trattamento e/o la conservazione di informazioni classificate CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET, soggette alle norme di sicurezza per proteggere le informazioni classificate UE di cui alla decisione (UE, Euratom) 2015/444, e alle relative norme di attuazione (1).
Saranno richiesti il nulla osta di sicurezza delle imprese, nonché il nulla osta di sicurezza del personale per il personale del contraente che tratterà le informazioni classificate.
Nel contratto saranno previsti obblighi speciali in materia di sicurezza (lettera sugli aspetti di sicurezza, allegata al contratto). Il subappalto sarà subordinato al previo accordo scritto dell’amministrazione aggiudicatrice e al rispetto di tutte le norme di sicurezza da parte del subcontraente e del suo personale.
Per i contratti che comportano informazioni classificate RESTREINT UE/EU RESTRICTED
Altre condizioni particolari (se applicabile)
|
L’esecuzione del contratto è soggetta a condizioni particolari |
|
|
(in caso affermativo) Descrizione delle condizioni particolari:
Il contratto comporta l’accesso a, il trattamento e/o la conservazione di informazioni classificate RESTREINT UE/EU RESTRICTED, soggette alle norme di sicurezza per proteggere le informazioni classificate UE di cui alla decisione (UE, Euratom) 2015/444 della, e alle relative norme di attuazione (2).
Nel contratto saranno previsti obblighi speciali in materia di sicurezza (lettera sugli aspetti di sicurezza, allegata al contratto). Il subappalto sarà subordinato al previo accordo scritto dell’amministrazione aggiudicatrice e al rispetto di tutte le norme di sicurezza da parte del subcontraente e del suo personale.
(1) Il riferimento dovrà essere inserito dall’amministrazione aggiudicatrice dopo l’adozione delle norme di attuazione.
(2) Il riferimento dovrà essere inserito dall’amministrazione aggiudicatrice dopo l’adozione delle norme di attuazione.
ALLEGATO II
CLAUSOLE STANDARD DEI CONTRATTI DI APPALTO
(da adattare al contratto utilizzato)
ARTICOLO XX
OBBLIGHI RELATIVI ALLA SICUREZZA
XX.1 Informazioni classificate UE
Se l’attuazione del contratto comporta l’uso o la creazione di informazioni classificate UE, fino alla loro declassificazione tali informazioni devono essere trattate conformemente alla lettera sugli aspetti di sicurezza (SAL) e alla relativa guida alle classifiche di sicurezza (SCG) di cui all’allegato 1, e alla decisione (UE, Euratom) 2015/444 e relative norme di attuazione (1).
I deliverable contenenti informazioni classificate devono essere presentati conformemente a procedure speciali convenute con l’amministrazione aggiudicatrice.
Le azioni relative alle prestazioni che comportano informazioni classificate non possono essere subappaltate senza previa autorizzazione espressa scritta dell’amministrazione aggiudicatrice.
Le informazioni classificate UE non possono essere comunicate a terzi (compresi i subappaltatori) senza previa autorizzazione espressa scritta dell’amministrazione aggiudicatrice.
(1) Il riferimento dovrà essere inserito dall’amministrazione aggiudicatrice dopo l’adozione delle norme di attuazione.
ALLEGATO III
[Allegato IV (del contratto quadro)]
LETTERA SUGLI ASPETTI DI SICUREZZA (SAL)
[Modello]
Appendice A
REQUISITI DI SICUREZZA
Nella lettera sugli aspetti di sicurezza (SAL) l’amministrazione aggiudicatrice deve includere i requisiti di sicurezza che si indicano di seguito. Alcune clausole (indicate tra parentesi quadre) potrebbero non essere applicabili al contratto.
L’elenco delle clausole non è esaustivo. Ulteriori clausole possono essere aggiunte in funzione della natura del contratto classificato.
CONDIZIONI GENERALI
[N.B.: applicabili a tutti i contratti classificati]
|
1. |
La presente lettera sugli aspetti di sicurezza (SAL) è parte integrante del contratto [o del subappalto] classificato e descrive i requisiti di sicurezza specifici del contratto. L’inosservanza di detti requisiti può costituire motivo sufficiente di risoluzione del contratto. |
|
2. |
I contraenti sono soggetti a tutti gli obblighi previsti dalla decisione (UE, Euratom) 2015/444 e dalle relative norme di attuazione (1). |
|
3. |
Le informazioni classificate generate durante l’esecuzione del contratto devono essere contrassegnate come informazioni classificate UE (ICUE) al livello di classifica di sicurezza stabilito nella guida alle classifiche di sicurezza (SCG) di cui all’appendice B della presente lettera. Lo scostamento dal livello di classifica di sicurezza stabilito dalla SCG è consentito solo previa autorizzazione scritta dell’amministrazione aggiudicatrice. |
|
4. |
I diritti dell’originatore delle ICUE create e trattate per l’esecuzione del contratto classificato sono esercitati dalla Commissione in qualità di amministrazione aggiudicatrice. |
|
5. |
Senza il consenso scritto dell’amministrazione aggiudicatrice, il contraente o il subappaltatore non possono fare uso delle informazioni o dei materiali forniti dall’amministrazione aggiudicatrice o prodotti per suo conto per fini diversi da quelli del contratto. |
|
6. |
Il contraente deve indagare su tutte le violazioni della sicurezza relative alle ICUE e riferirne all’amministrazione aggiudicatrice appena possibile. Il contraente o il subappaltatore devono riferire immediatamente alla propria autorità di sicurezza nazionale (NSA) responsabile o all’autorità di sicurezza designata (DSA) e, se le disposizioni legislative e regolamentari nazionali lo permettono, all’autorità di sicurezza della Commissione tutti i casi in cui è noto, o vi è motivo di sospettare, che le ICUE fornite o generate nel quadro del contratto sono state smarrite o sono state comunicate a persone non autorizzate. |
|
7. |
Al termine del contratto il contraente o il subappaltatore devono restituire il prima possibile all’amministrazione aggiudicatrice tutte le ICUE in loro possesso. Ove possibile, il contraente o il subappaltatore possono distruggere le ICUE anziché restituirle. A tal fine, devono attenersi alle disposizioni legislative e regolamentari del paese in cui ha sede il contraente, previo accordo dell’autorità di sicurezza della Commissione, e conformemente alle istruzioni di quest’ultima. Le ICUE devono essere distrutte in modo tale da non poter essere ricostruite né totalmente né parzialmente. |
|
8. |
Se il contraente o il subappaltatore sono autorizzati a conservare le ICUE dopo la risoluzione o la conclusione del contratto, le ICUE devono continuare ad essere protette conformemente alla decisione (UE, Euratom) 2015/444 (di seguito «decisione 2015/444») e alle relative norme di attuazione (2). |
|
9. |
Il trattamento, l’elaborazione e la trasmissione elettronici delle ICUE avvengono nel rispetto delle disposizioni dei capi 5 e 6 della decisione 2015/444. Queste prevedono, tra l’altro, l’obbligo di sottoporre ad accreditamento i sistemi di comunicazione e informazione di proprietà del contraente e utilizzati per il trattamento delle ICUE ai fini del contratto (di seguito «il CIS del contraente») (3); l’obbligo di proteggere la trasmissione elettronica delle ICUE mediante prodotti crittografici approvati a norma dell’articolo 36, paragrafo 4, della decisione 2015/444 e l’obbligo di attuare misure TEMPEST a norma dell’articolo 36, paragrafo 6, della decisione 2015/444. |
|
10. |
Il contraente o il subappaltatore si dotano di piani di emergenza dell’impresa (BCP) per proteggere le ICUE trattate nell’esecuzione del contratto classificato in situazioni di emergenza e mettono in atto misure di prevenzione e recupero per ridurre al minimo l’impatto degli incidenti in relazione al trattamento e alla conservazione delle ICUE. Il contraente o il subappaltatore devono comunicare il loro BCP all’amministrazione aggiudicatrice. |
CONTRATTI CHE RICHIEDONO L’ACCESSO A INFORMAZIONI CLASSIFICATE RESTREINT UE/EU RESTRICTED
|
11. |
Ai fini della conformità al contratto non è richiesto il nulla osta di sicurezza del personale (PSC). Tuttavia, le informazioni o i materiali classificati RESTREINT UE/EU RESTRICTED devono essere accessibili solo al personale del contraente che ha bisogno di dette informazioni per eseguire il contratto (principio della necessità di conoscere), che è stato istruito dal responsabile della sicurezza del contraente sulle sue responsabilità e sulle conseguenze di compromissioni o violazioni della sicurezza di dette informazioni e che ha riconosciuto per iscritto le conseguenze della mancata protezione delle ICUE. |
|
12. |
Senza il consenso scritto dell’amministrazione aggiudicatrice il contraente o il subappaltatore non possono concedere l’accesso alle informazioni o al materiale classificati RESTREINT UE/EU RESTRICTED a entità o persone diverse dal proprio personale che ha necessità di conoscere. |
|
13. |
Il contraente o il subappaltatore devono mantenere i contrassegni di classifica di sicurezza delle informazioni classificate generate o fornite durante l’attuazione del contratto e non devono declassificarle senza il consenso scritto dell’amministrazione aggiudicatrice. |
|
14. |
Le informazioni o i materiali classificati RESTREINT UE/EU RESTRICTED, quando non sono utilizzati, devono essere conservati in mobili da ufficio chiusi a chiave. Durante il trasporto i documenti devono essere contenuti in una busta opaca. Il latore deve sempre portare con sé i documenti, che non possono essere aperti durante il trasporto. |
|
15. |
Il contraente o il subappaltatore possono trasmettere alla Commissione i documenti classificati RESTREINT UE/EU RESTRICTED tramite corriere commerciale, servizio postale, trasporto a mano o mediante mezzi elettronici. A tal fine il contraente o il subappaltatore devono attenersi alle istruzioni di sicurezza del programma (o progetto) (PSI) impartite dalla Commissione e/o alle norme di attuazione della Commissione in materia di sicurezza industriale per quanto riguarda i contratti di appalto classificati (4). |
|
16. |
Quando non sono più necessari, i documenti classificati RESTREINT UE/EU RESTRICTED devono essere distrutti in modo tale da non poter essere ricostruiti né totalmente né parzialmente. |
|
17. |
L’accreditamento di sicurezza del CIS del contraente che tratta le ICUE a livello RESTREINT UE/EU RESTRICTED e di tutte le relative interconnessioni può essere delegato al responsabile della sicurezza del contraente se consentito dalle disposizioni legislative e regolamentari nazionali. Nei casi in cui l’accreditamento viene delegato, le NSA/DSA/SAA restano responsabili della protezione delle informazioni RESTREINT UE/EU RESTRICTED trattate dal contraente e conservano il diritto di ispezionare le misure di sicurezza che quest’ultimo ha adottato. Inoltre, il contraente fornisce all’amministrazione aggiudicatrice e, se richiesto dalle disposizioni legislative e regolamentari nazionali, alla SAA nazionale competente, una dichiarazione di conformità in cui si certifica che il CIS del contraente e le relative interconnessioni sono stati accreditati per il trattamento di ICUE di livello RESTREINT UE/EU RESTRICTED. |
TRATTAMENTO DELLE INFORMAZIONI CLASSIFICATE RESTREINT UE/EU RESTRICTED NEI SISTEMI DI COMUNICAZIONE E INFORMAZIONE (CIS)
|
18. |
I requisiti minimi per i CIS che trattano informazioni classificate RESTREINT UE/EU RESTRICTED sono stabiliti nell’appendice E della presente SAL. |
CONDIZIONI ALLE QUALI IL CONTRAENTE PUÒ SUBAPPALTARE
|
19. |
Prima di subappaltare una parte di un contratto classificato, il contraente deve ottenere l’autorizzazione del servizio della Commissione interessato in quanto amministrazione aggiudicatrice. |
|
20. |
Nessun subappalto può essere attribuito ad una società registrata in uno Stato non membro dell’UE o ad un’entità appartenente ad un’organizzazione internazionale se tale Stato o organizzazione non hanno concluso un accordo sulla sicurezza delle informazioni con l’UE o un accordo amministrativo con la Commissione. |
|
21. |
Se il contraente ha concluso un subappalto, le disposizioni in materia di sicurezza del contratto si applicano mutatis mutandis al(ai) subappaltatore(i) e al relativo personale. In questi casi, spetta al contraente garantire che tutti i subappaltatori applichino a loro volta le predette disposizioni ai propri contratti di subappalto. Per garantire un adeguato controllo della sicurezza, le NSA/DSA del contraente e del subappaltatore sono informate della conclusione di tutti i subappalti connessi classificati CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET. Se del caso, alle NSA/DSA del contraente e del subappaltatore è trasmessa copia delle disposizioni di sicurezza specifiche per i subappalti. Le NSA/DSA che richiedono la notifica delle disposizioni di sicurezza dei contratti classificati RESTREINT UE/EU RESTRICTED sono elencate nell’allegato delle norme di attuazione della Commissione in materia di sicurezza industriale per quanto riguarda i contratti di appalto classificati (5). |
|
22. |
Il contraente non può comunicare le ICUE al subappaltatore senza la previa approvazione scritta dell’amministrazione aggiudicatrice. Se le ICUE devono essere inviate frequentemente o abitualmente ai subappaltatori, l’amministrazione aggiudicatrice può concedere l’approvazione per un determinato periodo di tempo (per esempio 12 mesi) o per la durata del subappalto. |
VISITE
Se per le visite riguardanti informazioni classificate CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET deve essere applicata la procedura RFV standard, l’amministrazione aggiudicatrice deve includere le clausole 23, 24 e 25 e sopprimere la clausola 26. Se le visite che comportano informazioni classificate CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET sono organizzate direttamente tra la struttura che invia e la struttura che riceve i visitatori, l’amministrazione aggiudicatrice deve sopprimere le clausole 24 e 25 e includere unicamente la clausola 26.
|
23. |
Le visite che comportano l’accesso o il potenziale accesso a informazioni classificate RESTREINT UE/EU RESTRICTED sono organizzate direttamente tra la struttura che invia e la struttura che riceve i visitatori senza dover seguire la procedura di cui alle successive clausole da 24 a 26. |
|
[24. |
Le visite che comportano l’accesso o il potenziale accesso a informazioni classificate CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET sono soggette alla seguente procedura:
|
|
[25. |
Prima di concedere ai visitatori l’accesso a informazioni classificate CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET, la struttura ospitante deve aver ottenuto l’autorizzazione dalla propria NSA/DSA.] |
|
[26. |
Le visite che comportano l’accesso o il potenziale accesso a informazioni classificate CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET sono organizzate direttamente tra la struttura che invia e la struttura che riceve i visitatori (un esempio di modulo utilizzabile a questo scopo figura nell’appendice C).] |
|
27. |
I visitatori devono dimostrare la propria identità all’arrivo presso la struttura ospitante presentando una carta d’identità o un passaporto validi. |
|
28. |
La struttura ospitante provvede alla tenuta dei registri di tutti i visitatori, in cui devono essere iscritti nome e cognome dei visitatori, organizzazione che rappresentano, data di scadenza del PSC (se applicabile), data della visita e nome e cognome della persona o delle persone visitate. Fatte salve le norme europee in materia di protezione dei dati, tali registri devono essere conservati per un periodo non inferiore a cinque anni o conformemente alle norme e ai regolamenti nazionali, a seconda dei casi. |
VISITE DI VALUTAZIONE
|
29. |
L’autorità di sicurezza della Commissione può, in collaborazione con la pertinente NSA/DSA, effettuare visite presso le strutture dei contraenti o subappaltatori per verificare il rispetto dei requisiti di sicurezza per il trattamento delle ICUE. |
GUIDA ALLE CLASSIFICHE DI SICUREZZA
|
30. |
La guida alle classifiche di sicurezza (SCG) contiene l’elenco di tutti gli elementi del contratto classificati o da classificare nel corso dell’esecuzione del contratto, le relative norme e le specifiche dei livelli delle classifiche di sicurezza applicabili. L’SCG è parte integrante del presente contratto e figura nell’appendice B del presente allegato. |
(1) Il riferimento dovrà essere inserito dall’amministrazione aggiudicatrice dopo l’adozione delle norme di attuazione.
(2) Il riferimento dovrà essere inserito dall’amministrazione aggiudicatrice dopo l’adozione delle norme di attuazione.
(3) La parte che chiede l’accreditamento dovrà presentare all’amministrazione aggiudicatrice una dichiarazione di conformità, tramite l’autorità di sicurezza della Commissione e in coordinamento con l’autorità nazionale di accreditamento in materia di sicurezza (SAA).
(4) Il riferimento dovrà essere inserito dall’amministrazione aggiudicatrice dopo l’adozione delle norme di attuazione.
(5) Il riferimento dovrà essere inserito dall’amministrazione aggiudicatrice dopo l’adozione delle norme di attuazione.
Appendice B
GUIDA ALLE CLASSIFICHE DI SICUREZZA
[testo specifico da adattare in funzione dell’oggetto del contratto]
Appendice C
REQUEST FOR VISIT
(MODEL)
Istruzioni dettagliate per la compilazione della richiesta di visita
(La richiesta deve essere presentata unicamente in inglese)
|
HEADING |
Barrare le caselle per il tipo di visita e il tipo di informazione e indicare il numero di siti da visitare e il numero di visitatori. |
||||||
|
Da compilare a cura dell’NSA/DSA richiedente. |
||||||
|
Indicare il nome completo e l’indirizzo postale. Indicare la città, lo Stato e il codice postale, a seconda dei casi. |
||||||
|
Indicare il nome completo e l’indirizzo postale. Indicare la città, lo Stato, il codice postale, il numero di telex o di fax (se del caso), il numero di telefono e l’e-mail. Indicare il nome, il numero di telefono/fax e l’e-mail del principale punto di contatto o della persona con cui è stato fissato l’appuntamento per la visita. Nota bene:
|
||||||
|
Indicare la data o il periodo effettivi (da data a data) della visita nel formato «giorno — mese — anno». Se del caso, indicare tra parentesi una data o un periodo alternativi. |
||||||
|
Specificare se la visita è stata promossa dall’organizzazione o dalla struttura richiedente o se è effettuata su invito della struttura da visitare. |
||||||
|
Indicare il nome completo del progetto, del contratto o dell’invito a presentare offerte utilizzando solo abbreviazioni comunemente usate. |
||||||
|
Breve descrizione dei motivi della visita. Non utilizzare abbreviazioni non spiegate. Nota bene: in caso di visite ricorrenti, in questa voce iniziare la frase con le parole «Recurring visits» (ad esempio «Recurring visits to discuss_____») |
||||||
|
Indicare SECRET UE/EU SECRET (S-UE/EU-S) o CONFIDENTIEL UE/EU CONFIDENTIAL (C-UE/EU-C), a seconda dei casi. |
||||||
|
Nota bene: quando alla visita partecipano più di due visitatori, utilizzare l’allegato 2. |
||||||
|
In questa voce indicare il nome e il cognome, il numero di telefono, il numero di fax e l’indirizzo e-mail del responsabile della sicurezza della struttura richiedente. |
||||||
|
Campo da compilare a cura dell’autorità di certificazione. Note per l’autorità di certificazione:
|
||||||
|
Campo da compilare a cura dell’NSA/DSA. Nota per l’NSA/DSA:
|
Tutti i campi devono essere compilati e il modulo deve essere trasmesso mediante i canali di comunicazione tra amministrazioni (1).
|
REQUEST FOR VISIT (MODEL) To: _______________________________________ |
||||||||
|
|
|
||||||
|
☐ Single ☐ Recurring ☐ Emergency ☐ Amendment
For an amendment, insert the NSA/DSA original RFV Reference No_____________ |
☐ C-UE/EU-C ☐ S-UE/EU-S |
No of sites: _______ No of visitors: _____ |
||||||
|
||||||||
|
Requester: To: |
NSA/DSA RFV Reference No________________ Date (dd/mm/yyyy): _____/_____/_____ |
|||||||
|
||||||||
|
NAME: POSTAL ADDRESS: E-MAIL ADDRESS: FAX NO: |
TELEPHONE NO: |
|||||||
|
||||||||
|
||||||||
☐ Initiated by requesting organisation or facility ☐ By invitation of the facility to be visited |
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
NAME: TELEPHONE NO: E-MAIL ADDRESS: SIGNATURE: |
||||||||
|
||||||||
|
NAME: ADDRESS: TELEPHONE NO: E-MAIL ADDRESS: |
|
|||||||
|
SIGNATURE: |
DATE (dd/mm/yyyy): _____/_____/_____ |
|||||||
|
||||||||
|
NAME: ADDRESS: TELEPHONE NO: E-MAIL ADDRESS: |
|
|||||||
|
SIGNATURE: |
DATE (dd/mm/yyyy): _____/_____/_____ |
|||||||
|
||||||||
<Spazio riservato all’inserimento del riferimento alla legislazione applicabile in materia di dati personali e del link alle informazioni obbligatorie da fornire all’interessato, ad esempio le modalità di applicazione dell’articolo 13 del regolamento generale sulla protezione dei dati (2).>
(1) Se è stato concordato che le visite che comportano l’accesso o il potenziale accesso a ICUE di livello CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET possono essere organizzate direttamente, il modulo compilato può essere presentato direttamente al responsabile della sicurezza della struttura da visitare.
(2) Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).
ANNEX 1 to RFV FORM
|
ORGANISATION(S) OR INDUSTRIAL FACILITY(IES) TO BE VISITED |
|
1. NAME: ADDRESS: TELEPHONE NO: FAX NO: NAME OF POINT OF CONTACT: E-MAIL: TELEPHONE NO: NAME OF SECURITY OFFICER OR SECONDARY POINT OF CONTACT: E-MAIL: TELEPHONE NO: |
|
2. NAME: ADDRESS: TELEPHONE NO: FAX NO: NAME OF POINT OF CONTACT: E-MAIL: TELEPHONE NO: NAME OF SECURITY OFFICER OR SECONDARY POINT OF CONTACT: E-MAIL: TELEPHONE NO: (Continue as required) |
<Spazio riservato all’inserimento del riferimento alla legislazione applicabile in materia di dati personali e del link alle informazioni obbligatorie da fornire all’interessato, ad esempio le modalità di applicazione dell’articolo 13 del regolamento generale sulla protezione dei dati (1).>
(1) Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).
ANNEX 2 to RFV FORM
|
PARTICULARS OF VISITOR(S) |
|
1. SURNAME: FIRST NAMES (as per passport): DATE OF BIRTH (dd/mm/yyyy): ____/____/____ PLACE OF BIRTH: NATIONALITY: SECURITY CLEARANCE LEVEL: PP/ID NUMBER: POSITION: COMPANY/ORGANISATION: |
|
2. SURNAME: FIRST NAMES (as per passport): DATE OF BIRTH (dd/mm/yyyy): ____/____/____ PLACE OF BIRTH: NATIONALITY: SECURITY CLEARANCE LEVEL: PP/ID NUMBER: POSITION: COMPANY/ORGANISATION: (Continue as required) |
<Spazio riservato all’inserimento del riferimento alla legislazione applicabile in materia di dati personali e del link alle informazioni obbligatorie da fornire all’interessato, ad esempio le modalità di applicazione dell’articolo 13 del regolamento generale sulla protezione dei dati (1).>
(1) Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).
Appendice D
MODULO DI INFORMAZIONE SUL NULLA OSTA DI SICUREZZA DELLE IMPRESE (FSCIS)
(MODELLO)
1. Introduzione
|
1.1. |
Il modulo allegato è un modello di modulo di informazione sul nulla osta di sicurezza delle imprese (FSCIS) per lo scambio rapido di informazioni tra l’autorità di sicurezza nazionale (NSA) o l’autorità di sicurezza designata (DSA), altre autorità di sicurezza nazionali competenti e la Commissione (in qualità di amministrazione aggiudicatrice) sul nulla osta di sicurezza delle imprese (FSC) di una struttura partecipante a gare di appalto, contratti o subappalti classificati. |
|
1.2. |
L’FSCIS è valido solo se timbrato dall’NSA/DSA competente o da altra autorità competente. |
|
1.3. |
L’FSCIS è composto di due sezioni, una relativa alla richiesta e l’altra relativa alla risposta, e può essere utilizzato per le summenzionate finalità o per altri scopi per i quali è richiesto l’FSC di una specifica struttura. Il motivo della richiesta deve essere indicato dall’NSA/DSA richiedente nel campo 7 della sezione relativa alla richiesta. |
|
1.4. |
Le informazioni contenute nell’FSCIS non sono di norma classificate; pertanto, l’invio dell’FSCIS tra NSA/DSA/Commissione andrebbe di preferenza effettuato mediante mezzi elettronici. |
|
1.5. |
Le NSA/DSA dovrebbero compiere ogni sforzo per rispondere alla richiesta di FSCIS entro dieci giorni lavorativi. |
|
1.6. |
In caso di trasferimento di informazioni classificate o di aggiudicazione di un contratto in relazione a tale assicurazione, l’NSA/DSA emittente deve essere informata. |
Procedure e istruzioni per l’uso del modulo di informazione sul nulla osta di sicurezza delle imprese (FSCIS)
Le presenti istruzioni dettagliate sono rivolte all’NSA/DSA o all’amministrazione aggiudicatrice della Commissione che compila l’FSCIS. La richiesta dovrebbe preferibilmente essere dattiloscritta in stampatello.
|
INTESTAZIONE |
Il richiedente inserisce il nome completo dell’NSA/DSA e del paese. |
||||||||
|
L’amministrazione aggiudicatrice richiedente barra la casella corrispondente al tipo di richiesta FSCIS. Indicare il livello di nulla osta di sicurezza oggetto della richiesta. Utilizzare le seguenti abbreviazioni: SECRET UE/EU SECRET = S-UE/EU-S CONFIDENTIEL UE/EU CONFIDENTIAL = C-UE/EU-C CIS = sistemi di comunicazione e informazione per il trattamento delle informazioni classificate |
||||||||
|
I campi da 1 a 6 non necessitano di spiegazione. Nel campo 4 utilizzare il codice paese standard a due lettere. Il campo 5 è facoltativo. |
||||||||
|
Indicare il motivo specifico della richiesta, fornire i riferimenti del progetto, il numero del contratto o dell’invito a presentare offerte. Specificare il fabbisogno di capacità di stoccaggio, il livello di classifica del CIS ecc. Indicare ogni data di termine/scadenza/aggiudicazione che può influire sulla finalizzazione dell’FSC. |
||||||||
|
Indicare il nome del richiedente effettivo (per conto dell’NSA/DSA) e la data della richiesta in formato numerico (gg/mm/aaaa). |
||||||||
|
Campi 1-5: selezionare i campi appropriati. Campo 2: se l’FSC è in lavorazione, si raccomanda di fornire al richiedente un’indicazione dei tempi di trattazione necessari (se noti). Campo 6:
|
||||||||
|
Campo utilizzabile per inserire ulteriori informazioni relative all’FSC, alla struttura o alle voci precedenti. |
||||||||
|
Indicare il nome dell’autorità che ha fornito le informazioni (per conto dell’NSA/DSA) e la data della risposta in formato numerico (gg/mm/aaaa). |
MODULO DI INFORMAZIONE SUL NULLA OSTA DI SICUREZZA DELLE IMPRESE (FSCIS)
(MODELLO)
Tutti i campi devono essere compilati e il modulo deve essere trasmesso mediante i canali di comunicazione tra amministrazioni o tra amministrazioni e organizzazioni internazionali.
|
RICHIESTA DI ASSICURAZIONE IN RELAZIONE AL NULLA OSTA DI SICUREZZA DELLE IMPRESE A: ____________________________________ (Nome del paese dell’NSA/DSA) |
|||||||||||||||
|
Completare le caselle di risposta, a seconda del caso: [ ] Fornire un’assicurazione in relazione all’FSC di livello: [ ] S-UE/EU-S [ ] C-UE/EU-C della struttura indicata in basso
[ ] Avviare, direttamente o su richiesta di un contraente o subappaltatore, la procedura per il rilascio dell’FSC fino al livello di … incluso, con il livello di protezione … e il livello del CIS …, se la struttura non dispone attualmente di detti livelli di capacità. Confermare l’esattezza dei dati sulla struttura indicata in basso e fornire rettifiche/aggiunte se necessario. |
|||||||||||||||
|
Rettifiche/aggiunte: |
||||||||||||||
|
… |
… |
||||||||||||||
|
|||||||||||||||
|
… |
… |
||||||||||||||
|
|||||||||||||||
|
… |
… |
||||||||||||||
|
|||||||||||||||
|
… |
… |
||||||||||||||
|
|||||||||||||||
|
… |
… |
||||||||||||||
|
|||||||||||||||
|
… |
… |
||||||||||||||
|
|||||||||||||||
|
… |
|||||||||||||||
|
NSA/DSA/amministrazione aggiudicatrice della Commissione richiedente: Nome: … Data: (gg/mm/aaaa) … |
|||||||||||||||
|
Risposta (entro 10 giorni lavorativi) |
|||||||||||||||
|
Si certifica quanto segue:
|
|||||||||||||||
<Spazio riservato all’inserimento del riferimento alla legislazione applicabile in materia di dati personali e del link alle informazioni obbligatorie da fornire all’interessato, ad esempio le modalità di applicazione dell’articolo 13 del regolamento generale sulla protezione dei dati (1).>
(1) Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).
Appendice E
Requisiti minimi per la protezione delle ICUE in formato elettronico di livello RESTREINT UE/EU RESTRICTED trattate nel CIS del contraente
Aspetti generali
|
1. |
Il contraente deve assicurare che la protezione delle informazioni RESTREINT UE/EU RESTRICTED sia conforme ai requisiti minimi di sicurezza previsti dalla presente clausola di sicurezza e a ogni altro ulteriore requisito raccomandato dall’amministrazione aggiudicatrice o, se del caso, dall’autorità nazionale di sicurezza (NSA) o dall’autorità di sicurezza designata (DSA). |
|
2. |
Spetta al contraente attuare i requisiti di sicurezza indicati nel presente documento. |
|
3. |
Ai fini del presente documento, per sistema di comunicazione e informazione (CIS) si intendono tutte le apparecchiature utilizzate per trattare, conservare e trasmettere le ICUE, tra cui terminali, stampanti, fotocopiatrici, fax, server, sistemi di gestione della rete, unità di controllo della rete, unità di controllo delle comunicazioni, laptop, notebook, tablet, smartphone e supporti di memoria removibili, come chiavette USB, CD, carte SD ecc. |
|
4. |
Le apparecchiature speciali, quali i prodotti crittografici, devono essere protette conformemente a specifiche procedure operative di sicurezza (SecOP) dedicate. |
|
5. |
I contraenti devono istituire una struttura responsabile della gestione della sicurezza del CIS che tratta informazioni classificate RESTREINT UE/EU RESTRICTED e nominare un responsabile della sicurezza della struttura stessa. |
|
6. |
Per la conservazione o l’elaborazione delle informazioni RESTREINT UE/EU RESTRICTED non è consentito l’uso di soluzioni informatiche (hardware, software o servizi) di proprietà privata del personale del contraente. |
|
7. |
L’accreditamento del CIS del contraente che tratta informazioni classificate RESTREINT UE/EU RESTRICTED deve essere approvato dall’autorità di accreditamento in materia di sicurezza (SAA) dello Stato membro interessato, oppure delegato al responsabile della sicurezza del contraente secondo quanto consentito dalle disposizioni legislative e regolamentari nazionali. |
|
8. |
Solo le informazioni classificate RESTREINT UE/EU RESTRICTED cifrate utilizzando prodotti crittografici approvati possono essere trattate, conservate o trasmesse (via cavo o senza fili) come qualsiasi altra informazione non classificata nel quadro del contratto. I predetti prodotti crittografici devono essere approvati dall’UE o da uno Stato membro. |
|
9. |
Le strutture esterne coinvolte nelle attività di manutenzione/riparazione devono essere contrattualmente obbligate a rispettare le disposizioni applicabili in materia di trattamento delle informazioni classificate RESTREINT UE/EU RESTRICTED specificate nel presente documento. |
|
10. |
Su richiesta dell’amministrazione aggiudicatrice o dell’NSA/DSA/SAA competente, il contraente deve fornire elementi a comprova del rispetto della clausola di sicurezza del contratto. Qualora, per verificare la conformità ai predetti requisiti, siano richiesti anche l’audit e l’ispezione dei processi e delle strutture del contraente, quest’ultimo consente ai rappresentanti dell’amministrazione aggiudicatrice, dell’NSA/DSA/SAA o dell’autorità di sicurezza competente dell’UE di effettuare l’audit e l’ispezione. |
Sicurezza materiale
|
11. |
Le zone in cui i CIS sono usati per visualizzare, conservare, elaborare o trasmettere informazioni RESTREINT UE/EU RESTRICTED o le zone che ospitano i server, i sistemi di gestione della rete, le unità di controllo della rete e le unità di controllo delle comunicazioni di tali CIS dovrebbero essere costituite come zone separate e controllate con un adeguato sistema di controllo dell’accesso. L’accesso a queste zone separate e controllate dovrebbe essere riservato alle persone fisiche in possesso di specifica autorizzazione. Fatta salva la clausola 8, le apparecchiature di cui alla clausola 3 devono essere custodite in zone separate e controllate. |
|
12. |
Devono essere attuati meccanismi e/o procedure di sicurezza per disciplinare l’introduzione o la connessione di supporti informatici removibili (quali USB, memorie di massa o CD-RW) a componenti del CIS. |
Accesso al CIS
|
13. |
L’accesso al CIS del contraente che tratta ICUE è consentito sulla base dell’applicazione rigorosa del principio della necessità di conoscere e dell’autorizzazione del personale. |
|
14. |
Tutti i CIS devono disporre di elenchi aggiornati degli utilizzatori autorizzati. Tutti gli utilizzatori devono essere autenticati all’inizio di ogni sessione di elaborazione. |
|
15. |
Le parole di accesso, previste dalla maggior parte delle misure di sicurezza per l’identificazione e l’autenticazione, devono essere formate da almeno nove caratteri, tra cui caratteri numerici, caratteri «speciali» (se consentito dal sistema) e caratteri alfabetici. Le parole di accesso devono essere modificate almeno ogni 180 giorni. Devono essere modificate il prima possibile se sono state compromesse o comunicate a persone non autorizzate, o se vi sono sospetti di compromissione o comunicazione. |
|
16. |
Tutti i CIS devono disporre di controlli sull’accesso interno per impedire a utilizzatori non autorizzati di accedere a informazioni classificate RESTREINT UE/EU RESTRICTED o di modificarle, o di modificare il sistema e i controlli di sicurezza. L’utilizzatore viene automaticamente disconnesso dal CIS se il suo terminale rimane inattivo per un tempo predefinito, oppure il CIS deve attivare un salvaschermo protetto da parola di accesso dopo 15 minuti di inattività. |
|
17. |
A ogni utilizzatore del CIS viene attribuito un conto utilizzatore e un identificativo personale. I conti utilizzatori devono essere automaticamente bloccati almeno dopo cinque tentativi di accesso errati. |
|
18. |
Tutti gli utilizzatori del CIS devono essere istruiti sulle proprie responsabilità e sulle procedure da seguire per proteggere le informazioni classificate RESTREINT UE/EU RESTRICTED nel CIS. Le responsabilità e le procedure da seguire devono essere documentate e accettate per iscritto dagli utilizzatori. |
|
19. |
Agli utilizzatori e agli amministratori sono messe a disposizione le SecOP, le quali devono contenere la descrizione dei ruoli in materia di sicurezza e il relativo elenco di compiti, istruzioni e piani. |
Registrazione, audit e risposta agli incidenti
|
20. |
Ogni accesso al CIS deve essere registrato. |
|
21. |
Devono essere registrati i seguenti eventi:
|
|
22. |
Per tutti gli eventi sopraelencati devono essere comunicate almeno le seguenti informazioni:
|
|
23. |
Le registrazioni dovrebbero essere di ausilio al responsabile della sicurezza nell’esame dei potenziali incidenti di sicurezza. Possono inoltre essere utilizzate a supporto delle indagini giudiziarie in caso di incidente di sicurezza. Tutte le registrazioni relative alla sicurezza dovrebbero essere verificate periodicamente per individuare potenziali incidenti di sicurezza. Le registrazioni devono essere protette da cancellazioni o modifiche non autorizzate. |
|
24. |
Il contraente deve disporre di una strategia di risposta consolidata per far fronte agli incidenti di sicurezza. Gli utilizzatori e gli amministratori devono essere istruiti su come rispondere agli incidenti, su come segnalarli e su cosa fare in caso di emergenza. |
|
25. |
La compromissione o sospetta compromissione di informazioni classificate RESTREINT UE/EU RESTRICTED devono essere segnalate all’amministrazione aggiudicatrice. La segnalazione deve contenere la descrizione delle informazioni in questione e la descrizione delle circostanze della compromissione o della sospetta compromissione. Tutti gli utilizzatori del CIS devono essere istruiti su come segnalare gli incidenti di sicurezza reali o presunti al responsabile della sicurezza. |
Reti e interconnessioni
|
26. |
L’interconnessione del CIS del contraente che tratta informazioni classificate RESTREINT UE/EU RESTRICTED con un CIS non accreditato accresce in misura significativa le minacce per la sicurezza sia del CIS che delle informazioni RESTREINT UE/EU RESTRICTED trattate da tale CIS. Ciò riguarda in particolare Internet e gli altri CIS pubblici o privati, quali gli altri CIS di proprietà del contraente o del subappaltatore. In tal caso il contraente deve effettuare una valutazione del rischio per individuare le prescrizioni di sicurezza supplementari da applicare nel quadro del processo di accreditamento di sicurezza. Il contraente fornisce all’amministrazione aggiudicatrice e, se previsto dalle disposizioni legislative e regolamentari nazionali, alla SAA competente una dichiarazione di conformità in cui si certifica che il CIS del contraente e le relative interconnessioni sono stati accreditati per il trattamento di ICUE di livello RESTREINT UE/EU RESTRICTED. |
|
27. |
È vietato l’accesso a distanza ai servizi LAN da altri sistemi (ad esempio, l’accesso a distanza alle e-mail e il supporto a distanza del sistema), a meno che specifiche misure di sicurezza siano predisposte e approvate dall’amministrazione aggiudicatrice e, se previsto dalle disposizioni legislative e regolamentari nazionali, dalla SAA competente. |
Gestione della configurazione
|
28. |
Deve essere disponibile, e soggetta a periodica manutenzione, la configurazione dettagliata dell’hardware e del software, secondo quanto indicato nella documentazione di accreditamento/approvazione (compresi i diagrammi di sistema e di rete). |
|
29. |
Il responsabile della sicurezza del contraente deve effettuare controlli sulla configurazione dell’hardware e del software per accertare che non sia stato introdotto hardware o software non autorizzato. |
|
30. |
Le modifiche della configurazione del CIS del contraente devono essere valutate dal punto di vista delle implicazioni per la sicurezza e devono essere approvate dal responsabile della sicurezza e, se previsto dalle disposizioni legislative e regolamentari nazionali, dalla SAA. |
|
31. |
Almeno una volta a trimestre il sistema deve essere ispezionato alla ricerca di eventuali vulnerabilità sotto il profilo della sicurezza. Deve essere installato e tenuto aggiornato il software per l’individuazione di malware. Se possibile, detto software dovrebbe essere riconosciuto a livello nazionale o internazionale, o essere uno standard ampiamente accettato nel settore. |
|
32. |
Il contraente deve elaborare un piano di continuità operativa. Devono essere stabilite procedure di back-up che disciplinino i seguenti aspetti:
|
Sanitizzazione e distruzione
|
33. |
Per i CIS o per supporti informatici che in un qualsiasi momento hanno contenuto informazioni RESTREINT UE/EU RESTRICTED deve essere eseguita la seguente sanitizzazione sull’intero sistema o sui supporti informatici prima del loro smaltimento:
|
|
34. |
Le informazioni classificate RESTREINT UE/EU RESTRICTED devono essere sanitizzate su qualsiasi supporto informatico prima che i supporti siano consegnati a soggetti non autorizzati ad accedere a informazioni classificate RESTREINT UE/EU RESTRICTED (ad esempio per la manutenzione). |
ALLEGATO IV
Nulla osta di sicurezza dell’impresa e nulla osta di sicurezza del personale per i contraenti di contratti che comportano informazioni RESTREINT UE/EU RESTRICTED e NSA/DSA che richiedono la notifica di contratti classificati a livello RESTREINT UE/EU RESTRICTED (1)
|
Stato membro |
FSC |
Notifica all’NSA/DSA del contratto o del subappalto che comporta informazioni R-UE/EU-R |
PSC |
|||
|
SÌ |
NO |
SÌ |
NO |
SÌ |
NO |
|
|
Belgio |
|
X |
|
X |
|
X |
|
Bulgaria |
|
X |
|
X |
|
X |
|
Cechia |
|
X |
|
X |
|
X |
|
Danimarca |
X |
|
X |
|
X |
|
|
Germania |
|
X |
|
X |
|
X |
|
Estonia |
X |
|
X |
|
|
X |
|
Irlanda |
|
X |
|
X |
|
X |
|
Grecia |
X |
|
|
X |
X |
|
|
Spagna |
|
X |
X |
|
|
X |
|
Francia |
|
X |
|
X |
|
X |
|
Croazia |
|
X |
X |
|
|
X |
|
Italia |
|
X |
X |
|
|
X |
|
Cipro |
|
X |
X |
|
|
X |
|
Lettonia |
|
X |
|
X |
|
X |
|
Lituania |
X |
|
X |
|
|
X |
|
Lussemburgo |
X |
|
X |
|
X |
|
|
Ungheria |
|
X |
|
X |
|
X |
|
Malta |
|
X |
|
X |
|
X |
|
Paesi Bassi |
X (solo per i contratti nel settore della difesa) |
|
X (solo per i contratti nel settore della difesa) |
|
|
X |
|
Austria |
|
X |
|
X |
|
X |
|
Polonia |
|
X |
|
X |
|
X |
|
Portogallo |
|
X |
|
X |
|
X |
|
Romania |
|
X |
|
X |
|
X |
|
Slovenia |
X |
|
X |
|
|
X |
|
Slovacchia |
X |
|
X |
|
|
X |
|
Finlandia |
|
X |
|
X |
|
X |
|
Svezia |
X (solo per i contratti nel settore della difesa) |
|
X (solo per i contratti nel settore della difesa) |
|
X (solo per i contratti nel settore della difesa) |
|
|
Regno Unito |
|
X |
|
X |
|
X |
(1) Le prescrizioni nazionali in materia di FSC/PSC e di notifica di contratti che comportano informazioni RESTREINT UE/EU RESTRICTED non devono imporre obblighi supplementari agli altri Stati membri o ai contraenti sotto la loro giurisdizione.
NB: la notifica dei contratti che comportano informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET è obbligatoria.
ALLEGATO V
ELENCO DEI SERVIZI DELLE AUTORITÀ DI SICUREZZA NAZIONALI/DELLE AUTORITÀ DI SICUREZZA DESIGNATE RESPONSABILI DELLA GESTIONE DELLE PROCEDURE RELATIVE ALLA SICUREZZA INDUSTRIALE
BELGIO
|
National Security Authority |
|
FPS Foreign Affairs |
|
Rue des Petits Carmes 15 |
|
1000 Brussels |
|
Tel. +32 25014542 (Segretariato) |
|
Fax +32 25014596 |
|
Email: nvo-ans@diplobel.fed.be |
BULGARIA
|
1. |
|
|
2. |
|
|
3. |
|
|
4. |
(Le predette autorità competenti effettuano gli accertamenti per il rilascio dell'FSC alle persone giuridiche che presentano offerte per la conclusione di un contratto classificato, e del PSC alle persone fisiche che danno attuazione ad un contratto classificato per le esigenze delle autorità stesse). |
|
5. |
(Il predetto servizio di sicurezza effettua gli accertamenti per il rilascio dell'FSC e del PSC a tutte le altre persone giuridiche e fisiche del paese che presentano offerte per la conclusione di un contratto classificato o danno attuazione ad un contratto classificato). |
CECHIA
|
National Security Authority |
|
Industrial Security Department |
|
PO BOX 49 |
|
150 06 Praha 56 |
|
Tel. +420 257283129 |
|
Email: sbr@nbu.cz |
DANIMARCA
|
1. |
|
|
2. |
|
GERMANIA
|
1. |
|
|
2. |
|
|
3. |
|
ESTONIA
|
National Security Authority Department |
|
Estonian Foreign Intelligence Service |
|
Rahumäe tee 4B |
|
11316 Tallinn |
|
Tel. +372 6939211 |
|
Fax +372 6935001 |
|
Email: nsa@fis.gov.ee |
IRLANDA
|
National Security Authority Ireland |
|
Department of Foreign Affairs and Trade |
|
76-78 Harcourt Street |
|
Dublin 2 |
|
D02 DX45 |
|
Tel. +353 14082724 |
|
Email: nsa@dfa.ie |
GRECIA
|
Hellenic National Defence General Staff |
|
È Division (Security INTEL, CI BRANCH) |
|
E3 Directorate |
|
Industrial Security Office |
|
227-231 Mesogeion Avenue |
|
15561 Holargos, Athens |
|
Tel. +30 2106572022, +30 2106572178 |
|
Fax +30 2106527612 |
|
Email: daa.industrial@hndgs.mil.gr |
SPAGNA
|
Autoridad Nacional de Seguridad |
|
Oficina Nacional de Seguridad |
|
Calle Argentona 30 |
|
28023 Madrid |
|
Tel. +34 913725000 |
|
Fax +34 913725808 |
|
Email: nsa-sp@areatec.com |
|
Per le questioni riguardanti i nulla osta di sicurezza del personale: asip@areatec.com |
|
Per i programmi di trasporto e le visite internazionali: sp-ivtco@areatec.com |
FRANCIA
|
National Security Authority (NSA) (per le politiche e l'attuazione in settori diversi da quello della difesa) |
|
Secrétariat général de la défense et de la sécurité nationale |
|
Sous-direction Protection du secret (SGDSN/PSD) |
|
51 boulevard de la Tour-Maubourg |
|
75700 Paris 07 SP |
|
Tel. +33 171758193 |
|
Fax +33 171758200 |
|
Email: ANSFrance@sgdsn.gouv.fr |
|
Designated Security Authority (per l'attuazione nel settore della difesa) |
|
Direction Générale de l'Armement |
|
Service de la Sécurité de Défense et des systèmes d'Information (DGA/SSDI) |
|
60 boulevard du général Martial Valin |
|
CS 21623 |
|
75509 Paris Cedex 15 |
|
Tel. +33 988670421 |
|
Email: per moduli e RFV in uscita: dga-ssdi.ai.fct@intradef.gouv.fr |
|
per RFV in entrata: dga-ssdi.visit.fct@intradef.gouv.fr |
CROAZIA
|
Office of the National Security Council |
|
Croatian NSA |
|
Jurjevska 34 |
|
10000 Zagreb |
|
Tel. +385 14681222 |
|
Fax +385 14686049 |
|
Email: NSACroatia@uvns.hr |
ITALIA
|
Presidenza del Consiglio dei ministri |
|
D.I.S. - U.C.Se. |
|
Via di Santa Susanna 15 |
|
00187 Roma |
|
Tel. +39 0661174266 |
|
Fax +39 064885273 |
CIPRO
|
ΥΠΟΥΡΓΕΙΟ ΑΜΥΝΑΣ |
|
Εθνική Αρχή Ασφάλειας (ΕΑΑ) |
|
Λεωφόρος Στροβόλου, 172-174 |
|
Στρόβολος, 2048, Λευκωσία |
|
Τηλέφωνα: +357 22807569, +357 22807764 |
|
Τηλεομοιότυπο: +357 22302351 |
|
Email: cynsa@mod.gov.cy |
|
Ministry of Defence |
|
National Security Authority (NSA) |
|
172-174, Strovolos Avenue |
|
2048 Strovolos, Nicosia |
|
Tel. +357 22807569, +357 22807764 |
|
Fax +357 22302351 |
|
Email: cynsa@mod.gov.cy |
LETTONIA
|
National Security Authority |
|
Constitution Protection Bureau of the Republic of Latvia |
|
P.O. Box 286 |
|
Riga LV-1001 |
|
Tel. +371 67025418, +371 67025463 |
|
Fax +371 67025454 |
|
Email: ndi@sab.gov.lt, ndi@zd.gov.lv |
LITUANIA
|
Lietuvos Respublikos paslapčių apsaugos koordinavimo komisija |
|
(The Commission for Secrets Protection Coordination of the Republic of Lithuania) |
|
National Security Authority |
|
Gedimino 40/1 |
|
LT-01110 Vilnius |
|
Tel. +370 70666703, +370 70666701 |
|
Fax +370 70666700 |
|
Email: nsa@vsd.lt |
LUSSEMBURGO
|
Autorité Nationale de Sécurité |
|
207, route d'Esch |
|
L-1471 Luxembourg |
|
Tel. +352 24782210 |
|
Email: ans@me.etat.lu |
UNGHERIA
|
National Security Authority of Hungary |
|
H-1399 Budapest P.O. Box 710/50 |
|
H-1024 Budapest, Szilágyi Erzsébet fasor 11/B |
|
Tel. +36 13911862 |
|
Fax +36 13911889 |
|
Email: nbf@nbf.hu |
MALTA
|
Director of Standardisation |
|
Designated Security Authority for Industrial Security |
|
Standards & Metrology Institute |
|
Malta Competition and Consumer Affairs Authority |
|
Mizzi House |
|
National Road |
|
Blata I-Bajda HMR9010 |
|
Tel.: +356 23952000 |
|
Fax +356 21242406 |
|
Email: certification@mccaa.org.mt |
PAESI BASSI
|
1. |
|
|
2. |
|
AUSTRIA
|
1. |
|
|
2. |
|
POLONIA
|
Internal Security Agency |
|
Department for the Protection of Classified Information |
|
Rakowiecka 2 A |
|
00-993 Warsaw |
|
Tel. +48 225857944 |
|
Fax +48 225857443 |
|
Email: nsa@abw.gov.pl |
PORTOGALLO
|
Gabinete Nacional de Segurança |
|
Serviço de Segurança Industrial |
|
Rua da Junqueira no 69 |
|
1300-342 Lisbon |
|
Tel. +351 213031710 |
|
Fax +351 213031711 |
|
Email: sind@gns.gov.pt, franco@gns.gov.pt |
ROMANIA
|
Oficiul Registrului Național al Informațiilor Secrete de Stat - ORNISS |
|
Romanian NSA - ORNISS - National Registry Office for Classified Information |
|
4th Mures Street |
|
012275 Bucharest |
|
Tel. +40 212075115 |
|
Fax +40 212245830 |
|
Email: relatii.publice@orniss.ro, nsa.romania@nsa.ro |
SLOVENIA
|
Urad Vlade RS za varovanje tajnih podatkov |
|
Gregorčičeva 27 |
|
1000 Ljubljana |
|
Tel. +386 14781390 |
|
Fax +386 14781399 |
|
Email: gp.uvtp@gov.si |
SLOVACCHIA
|
Národný bezpečnostný úrad |
|
(National Security Authority) |
|
Security Clearance Department |
|
Budatínska 30 |
|
851 06 Bratislava |
|
Tel. +421 268691111 |
|
Fax +421 268691700 |
|
Email: podatelna@nbu.gov.sk |
FINLANDIA
|
National Security Authority |
|
Ministry for Foreign Affairs |
|
P.O. Box 453 |
|
FI-00023 Government |
|
Email: NSA@formin.fi |
SVEZIA
|
1. |
|
|
2. |
|
REGNO UNITO
|
UK National Security Authority |
|
Room 335, 3rd Floor |
|
70 Whitehall |
|
London |
|
SW1 A 2AS |
|
Tel. +44 2072765497, +44 2072765645 |
|
Email: UK-NSA@cabinet-office.x.gsi.gov.uk |