1.

Il presente allegato prevede le disposizioni di attuazione dell’articolo 7. Esso stabilisce i criteri per determinare se una persona, in considerazione della sua lealtà, onestà e affidabilità, può essere autorizzata ad accedere alle ICUE, nonché le procedure di indagine e amministrative da seguire a tal fine.

2.

Una persona è autorizzata ad accedere ad informazioni classificate dopo che:

3.

Ciascuno Stato membro e l’SGC individuano all’interno delle loro strutture i posti che richiedono l’accesso a informazioni classificate di livello CONFIDENTIEL UE/EU CONFIDENTIAL o superiore e che richiedono pertanto un nulla osta di sicurezza del livello adatto.

4.

Dopo aver ricevuto una richiesta debitamente autorizzata, alle NSA o altre autorità nazionali competenti spetta assicurare che siano svolte le indagini di sicurezza sui loro cittadini che chiedono di accedere ad informazioni classificate di livello CONFIDENTIEL UE/EU CONFIDENTIAL o superiore. Le norme in materia di indagini sono conformi alle disposizioni legislative e regolamentari nazionali al fine di rilasciare un PSC o fornire la garanzia che all’interessato sia concessa l’autorizzazione di accesso alle ICUE, a seconda dei casi.

5.

Qualora la persona interessata risieda nel territorio di un altro Stato membro o di uno Stato terzo, le autorità nazionali competenti richiedono della collaborazione dell’autorità competente dello Stato di residenza conformemente alle disposizioni legislative e regolamentari nazionali. Gli Stati membri si assistono reciprocamente nello svolgimento di indagini di sicurezza conformemente alle disposizioni legislative e regolamentari nazionali.

6.

Ove consentito dalle disposizioni legislative e regolamentari nazionali, le NSA o altre autorità nazionali competenti possono svolgere indagini su cittadini stranieri che chiedono di accedere ad informazioni classificate di livello CONFIDENTIEL UE/EU CONFIDENTIAL o superiore. Le norme in materia di indagini sono conformi alle disposizioni legislative e regolamentari nazionali.

7.

La lealtà, l’onestà e l’affidabilità di una persona ai fini della concessione di un nulla osta di sicurezza per l’accesso a informazioni classificate di livello CONFIDENTIEL UE/EU CONFIDENTIAL o superiore sono accertate mediante un’indagine di sicurezza. L’autorità nazionale competente effettua una valutazione generale basandosi sui risultati di tale indagine di sicurezza. I criteri principali utilizzati a tal fine includono, per quanto possibile ai sensi delle disposizioni legislative e regolamentari nazionali, l’esame per determinare se la persona:

8.

Ove opportuno e conformemente alle disposizioni regolamentari e legislative nazionali, la storia clinica e finanziaria di una persona può essere considerata rilevante nell’indagine di sicurezza.

9.

Ove opportuno e conformemente alle disposizioni regolamentari e legislative nazionali, nell’indagine di sicurezza possono essere considerati rilevanti anche la condotta e la situazione del coniuge, del convivente o di un familiare stretto.

10.

Il nulla osta di sicurezza iniziale per l’accesso a informazioni classificate di livello CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET si basa su un’indagine di sicurezza che considera almeno gli ultimi cinque anni o, se più breve, il periodo che intercorre tra i 18 anni di età e l’avvio delle indagini e che comprende i seguenti elementi:

11.

Il nulla osta di sicurezza iniziale per l’accesso a informazioni classificate di livello TRÈS SECRET UE/EU TOP SECRET si basa su un’indagine di sicurezza che considera almeno gli ultimi dieci anni o, se più breve, il periodo che intercorre tra i 18 anni di età e l’avvio delle indagini. Se sono condotti i colloqui di cui alla lettera e), le indagini riguardano almeno gli ultimi sette anni o, se più breve, il periodo che intercorre tra i 18 anni di età e l’avvio delle indagini. Oltre ai criteri indicati al punto 7, prima di concedere un PSC di livello TRES SECRET UE/EU TOP SECRET si esaminano, per quanto possibile ai sensi delle disposizioni legislative e regolamentari nazionali, gli elementi seguenti, che possono essere esaminati anche prima di rilasciare un PSC di livello CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET, laddove le disposizioni legislative e regolamentari nazionali lo richiedano:

12.

Se necessario e conformemente alle disposizioni legislative e regolamentari nazionali, possono essere svolte indagini supplementari per elaborare tutte le pertinenti informazioni disponibili sulla persona in questione e per circostanziare o confutare le informazioni negative.

13.

Dopo la concessione iniziale di un nulla osta di sicurezza e purché la persona abbia prestato servizio ininterrottamente presso un’amministrazione nazionale o l’SGC e continui ad avere bisogno di accedere alle ICUE, il nulla osta di sicurezza è riesaminato ai fini del rinnovo a intervalli non superiori a cinque anni per un nulla osta di livello TRÈS SECRET UE/EU TOP SECRET e a dieci anni per nulla osta di livello SECRET UE/EU SECRET e CONFIDENTIEL UE/EU CONFIDENTIAL, con effetto dalla data di comunicazione dell’esito dell’ultima indagine di sicurezza su cui si basavano. Tutte le indagini di sicurezza per il rinnovo di un nulla osta di sicurezza considerano il periodo intercorso dalla precedente indagine.

14.

Per il rinnovo del nulla osta di sicurezza, si esaminano gli elementi descritti ai punti 10 e 11.

15.

Le richieste di rinnovo sono presentate tempestivamente, tenendo conto del tempo necessario per le indagini di sicurezza. Tuttavia, se l’NSA competente o altra autorità nazionale competente ha ricevuto la pertinente richiesta di rinnovo e il corrispondente questionario sulla sicurezza del personale prima della scadenza del nulla osta di sicurezza e le indagini di sicurezza necessarie non sono ultimate, se consentito dalle disposizioni legislative e regolamentari nazionali l’autorità nazionale competente può prorogare la validità del nulla osta di sicurezza fino a dodici mesi. Se al termine di questo periodo di dodici mesi l’indagine di sicurezza non è ancora ultimata, la persona in questione è assegnata soltanto a incarichi che non richiedono un nulla osta di sicurezza.

16.

Per i funzionari e altri agenti dell’SGC, l’autorità di sicurezza dell’SGC trasmette il questionario sulla sicurezza del personale compilato all’NSA dello Stato membro di cui è cittadino la persona interessata, chiedendo di avviare un’indagine di sicurezza per il livello di ICUE a cui la persona può chiedere di accedere.

17.

Se viene a conoscenza di informazioni rilevanti per l’indagine di sicurezza relativa a una persona che ha chiesto un nulla osta di sicurezza per l’accesso alle ICUE, l’SGC le comunica all’NSA competente conformemente alle pertinenti disposizioni legislative e regolamentari.

18.

Al termine dell’indagine di sicurezza l’NSA competente ne comunica l’esito all’autorità di sicurezza dell’SGC usando il formato standard per la corrispondenza previsto dal Comitato per la sicurezza.

19.

L’indagine di sicurezza e relativi risultati sono soggetti alle pertinenti disposizioni legislative e regolamentari vigenti nello Stato membro in questione, ivi comprese quelle relative ai ricorsi. Le decisioni dell’autorità dell’SGC che ha il potere di nomina sono soggette a ricorso conformemente allo statuto dei funzionari dell’Unione europea e al regime applicabile agli altri agenti dell’Unione europea, previsti nel regolamento (CEE, Euratom, CECA) n. 259/68 del Consiglio (1) («statuto e regime applicabile»).

20.

Gli esperti nazionali distaccati presso l’SGC per un posto che richiede l’accesso alle ICUE di livello CONFIDENTIEL UE/EU CONFIDENTIAL e superiore, prima di assumere l’incarico presentano all’autorità di sicurezza dell’SGC un certificato di nulla osta di sicurezza del personale (PSCC) valido per l’accesso alle ICUE, sulla base del quale l’autorità che ha il potere di nomina rilascia un’autorizzazione di accesso alle ICUE.

21.

L’SGC accetta l’autorizzazione di accesso alle ICUE rilasciata da qualsiasi altra istituzione, organo o organismo dell’Unione, purché in corso di validità. L’autorizzazione coprirà qualsiasi incarico della persona interessata all’interno dell’SGC. L’istituzione, l’organo o l’organismo dell’Unione in cui l’interessato è assunto notifica all’NSA competente il cambiamento del datore di lavoro.

22.

Se il periodo di servizio di una persona non inizia entro dodici mesi dalla comunicazione dell’esito dell’indagine di sicurezza all’autorità dell’SGC che ha il potere di nomina o se vi è un’interruzione del servizio di dodici mesi, durante il quale la persona non ha occupato un posto presso l’SGC o l’amministrazione di uno Stato membro, tale esito è sottoposto all’NSA competente affinché questa confermi se resta valido e pertinente.

23.

Se viene a conoscenza di informazioni concernenti un rischio di sicurezza posto da una persona in possesso di un’autorizzazione di accesso alle ICUE, l’SGC le comunica all’NSA competente conformemente alle pertinenti disposizioni legislative e regolamentari e può sospendere l’accesso alle ICUE o ritirare l’autorizzazione di accesso alle ICUE.

24.

Se un’NSA comunica all’SGC il ritiro della garanzia fornita conformemente al punto 18, lettera a) per una persona in possesso di un’autorizzazione di accesso alle ICUE, l’autorità dell’SGC che ha il potere di nomina può chiederle i chiarimenti che è in grado di fornire conformemente alle sue disposizioni legislative e regolamentari nazionali. Se le informazioni negative sono confermate l’autorizzazione è ritirata e la persona in questione è esclusa dall’accesso alle ICUE e da posti nei quali tale accesso sia possibile o nei quali la persona potrebbe mettere a repentaglio la sicurezza.

25.

La decisione di ritiro o sospensione dell’autorizzazione di accesso alle ICUE ad un funzionario o altro agente dell’SGC e, se opportuno, i relativi motivi sono comunicati alla persona interessata la quale può chiedere di essere ascoltata dall’autorità che ha il potere di nomina. Le informazioni fornite dall’NSA sono soggette alle pertinenti disposizioni legislative e regolamentari vigenti nello Stato membro in questione, ivi comprese quelle relative ai ricorsi. Le decisioni dell’autorità dell’SGC che ha il potere di nomina sono soggette a ricorso conformemente allo statuto e al regime applicabile.

26.

Ogni Stato membro e l’SGC conservano rispettivamente le registrazioni dei PSC e delle autorizzazioni concessi per l’accesso alle informazioni classificate di livello CONFIDENTIEL UE/EU CONFIDENTIAL o superiore. In tali registrazioni figurano almeno il livello di ICUE cui può accedere la persona in questione, la data di concessione del nulla osta di sicurezza e il periodo di validità.

27.

L’autorità di sicurezza competente può rilasciare un PSCC in cui figurano il livello di ICUE cui può accedere la persona in questione (CONFIDENTIEL UE/EU CONFIDENTIAL o superiore), la data di validità del relativo PSC per l’accesso alle ICUE o dell’autorizzazione di accesso alle ICUE e la data di scadenza del certificato stesso.

28.

L’accesso alle ICUE negli Stati membri da parte di persone debitamente autorizzate in virtù delle loro funzioni è determinato conformemente alle disposizioni legislative e regolamentari nazionali; tali persone sono istruite sugli obblighi di sicurezza riguardo alla protezione delle ICUE.

29.

Tutte le persone alle quali è stato concesso un nulla osta di sicurezza attestano per iscritto di aver compreso gli obblighi di protezione delle ICUE e le conseguenze che possono verificarsi se le ICUE risultano compromesse. Lo Stato membro e l’SGC, a seconda dei casi, conservano una registrazione di tale attestazione scritta.

30.

Tutte le persone che sono autorizzate ad avere accesso alle ICUE o che le devono trattare, sono sensibilizzate all’inizio e istruite periodicamente riguardo alle minacce per la sicurezza e devono comunicare immediatamente alle autorità di sicurezza competenti qualsiasi approccio o attività che esse ritengono sospetto o inusuale.

31.

Tutte le persone che cessano l’incarico per il quale era richiesto l’accesso alle ICUE sono informate sull’obbligo di continuare a proteggere le ICUE e, in caso, riconoscono per iscritto quest’obbligo.

32.

Se consentito dalle disposizioni legislative e regolamentari nazionali un nulla osta di sicurezza, concesso da un’autorità nazionale competente di uno Stato membro per accedere a informazioni nazionali classificate, può temporaneamente consentire, in attesa della concessione di un PSC per accedere alle ICUE, l’accesso di funzionari nazionali alle ICUE fino al livello equivalente specificato nella tabella di equivalenza che figura nell’appendice B, laddove tale accesso temporaneo sia richiesto nell’interesse dell’Unione. Se le disposizioni legislative e regolamentari nazionali non consentono tale accesso temporaneo alle ICUE, le NSA ne informano il Comitato per la sicurezza.

33.

Per motivi di urgenza, se debitamente giustificati nell’interesse del servizio e in attesa che sia ultimata l’indagine di sicurezza nel suo insieme, l’autorità dell’SGC che ha il potere di nomina, dopo aver consultato l’NSA dello Stato membro di cui è cittadina la persona interessata e con riserva dell’esito dei controlli preliminari per verificare l’inesistenza di informazioni negative note, può rilasciare un’autorizzazione temporanea ai funzionari e altri agenti dell’SGC per accedere alle ICUE per una funzione specifica. Tali autorizzazioni temporanee sono valide per sei mesi al massimo e non danno accesso alle informazioni classificate di livello TRÈS SECRET UE/EU TOP SECRET. Tutte le persone alle quali è stata concessa un’autorizzazione temporanea attestano per iscritto di aver compreso gli obblighi di protezione delle ICUE e le conseguenze che possono verificarsi se le ICUE risultano compromesse. Una registrazione di tale attestazione scritta è conservata dall’SGC.

34.

Quando a una persona deve essere assegnato un posto che richiede un nulla osta di sicurezza di un livello superiore a quello posseduto in quel momento dalla persona stessa, l’incarico può essere affidato in via provvisoria purché:

35.

La procedura sopra descritta si usa per l’accesso singolo a ICUE di un livello superiore a quello autorizzato dal nulla osta della persona in questione. Tale procedura non è usata in maniera ricorrente.

36.

In circostanze del tutto eccezionali, quali missioni in ambienti ostili o in periodi di tensione internazionale crescente quando richiesto da misure di emergenza, soprattutto per salvare vite umane, gli Stati membri e il segretario generale possono concedere, se possibile per iscritto, l’accesso a informazioni classificate di livello CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET a persone che non posseggono il nulla osta di sicurezza richiesto, purché ciò sia assolutamente necessario e non vi siano dubbi ragionevoli sulla lealtà, onestà e affidabilità delle persone in questione. La registrazione di tale autorizzazione è conservata con una descrizione delle informazioni per cui è stata data.

37.

Nel caso di informazioni classificate di livello TRÈS SECRET UE/EU TOP SECRET tale accesso di emergenza è limitato a cittadini dell’Unione autorizzati ad accedere a informazioni il cui livello di classifica nazionale equivale a TRÈS SECRET UE/EU TOP SECRET o a informazioni classificate di livello SECRET UE/EU SECRET.

38.

Il Comitato per la sicurezza è informato dei casi in cui si ricorre alla procedura descritta ai punti 36 e 37.

39.

Laddove le disposizioni legislative e regolamentari nazionali di uno Stato membro stabiliscano norme più rigorose in ordine a autorizzazioni temporanee, incarichi provvisori, accesso singolo o di emergenza delle persone a informazioni classificate, le procedure previste nella presente sezione sono attuate soltanto entro i limiti fissati dalle pertinenti disposizioni legislative e regolamentari nazionali.

40.

Il Comitato per la sicurezza riceve una relazione annuale sul ricorso alle procedure stabilite nella presente sezione.

41.

Fatto salvo il punto 28, le persone che devono partecipare a sessioni del Consiglio o a riunioni degli organi preparatori del Consiglio, in cui sono discusse informazioni classificate di livello CONFIDENTIEL UE/EU CONFIDENTIAL o superiore, possono farlo solo se confermato dallo status del nulla osta di sicurezza in loro possesso. Per i delegati il PSCC o altra prova di nulla osta di sicurezza è trasmesso dalle autorità competenti al Servizio di sicurezza dell’SGC o, in via eccezionale, può essere presentato dal delegato in questione. Se del caso, può essere usato un elenco di nomi consolidato che comprovi il nulla osta di sicurezza.

42.

Se per ragioni di sicurezza il PSC per l’accesso alle ICUE è ritirato a una persona i cui compiti richiedono la partecipazione a sessioni del Consiglio o a riunioni degli organi preparatori del Consiglio, l’autorità competente ne informa l’SGC.

43.

Corrieri, guardie e scorte ottengono il nulla osta di sicurezza di livello adatto, o sono soggetti alle opportune indagini conformemente alle disposizioni legislative e regolamentari nazionali, sono informati riguardo alle procedure di sicurezza in materia di protezione delle ICUE e istruiti riguardo agli obblighi di protezione delle informazioni loro affidate.

1.

Il presente allegato prevede le disposizioni di attuazione dell’articolo 8. Esso stabilisce i requisiti minimi per la protezione materiale di locali, edifici, uffici, stanze e altre zone in cui sono trattate e conservate ICUE, nonché le zone in cui sono conservati i CIS.

2.

Le misure di sicurezza materiale sono intese ad evitare l’accesso non autorizzato alle ICUE:

3.

Le misure di sicurezza materiale sono selezionate in base alla valutazione della minaccia effettuata dalle autorità competenti. L’SGC e gli Stati membri applicano le rispettive procedure di gestione del rischio per proteggere le ICUE nei loro locali al fine di garantire un livello di protezione materiale corrispondente alla valutazione del rischio. La procedura di gestione del rischio tiene conto di tutti gli elementi pertinenti, in particolare:

4.

L’autorità di sicurezza competente, nell’applicare il concetto di difesa in profondità, stabilisce l’idonea combinazione di misure di sicurezza materiale da attuare. Queste ultime possono comprendere una o più delle seguenti misure:

5.

L’autorità competente può essere autorizzata a effettuare ispezioni all’entrata e all’uscita come deterrente all’introduzione non autorizzata di materiale o alla sottrazione non autorizzata di ICUE da locali o edifici.

6.

Quando le ICUE sono a rischio di sguardi indiscreti, anche accidentalmente, sono adottate misure appropriate per combattere questo rischio.

7.

Per le nuove strutture sono definiti requisiti di sicurezza materiale e relative specifiche funzionali nell’ambito della pianificazione e della concezione delle strutture. Per le strutture esistenti si applicano il più possibile i requisiti di sicurezza materiale.

8.

Nell’acquistare attrezzature (quali contenitori di sicurezza, macchine sminuzzatrici, serrature di porte, sistemi elettronici di controllo dell’accesso, IDS, sistemi d’allarme) per la protezione materiale delle ICUE, l’autorità di sicurezza competente garantisce che tali attrezzature siano conformi alle norme tecniche e ai requisiti minimi approvati.

9.

Le specifiche tecniche delle attrezzature da utilizzare per la protezione materiale delle ICUE figurano negli orientamenti di sicurezza che devono essere approvati dal Comitato per la sicurezza.

10.

I sistemi di sicurezza sono ispezionati a intervalli regolari e le attrezzature sono regolarmente sottoposte a manutenzione. I lavori di manutenzione tengono conto del risultato delle ispezioni per garantire il costante funzionamento ottimale delle attrezzature.

11.

L’efficacia delle singole misure di sicurezza nonché del sistema di sicurezza nel suo complesso è oggetto di una nuova valutazione in ogni ispezione.

12.

Per la protezione materiale delle ICUE si stabiliscono due tipi di zona oggetto di protezione materiale o relativi equivalenti nazionali:

Nella presente decisione tutti i riferimenti alle zone amministrative e alle zone protette, ivi comprese le zone protette tecnicamente, si intendono altresì come riferimenti agli equivalenti nazionali.

13.

L’autorità di sicurezza competente stabilisce che una zona soddisfa i requisiti per essere designata zona amministrativa, zona protetta o zona protetta tecnicamente.

14.

Per le zone amministrative:

15.

Per le zone protette:

16.

Se l’ingresso in una zona protetta costituisce, a tutti i fini pratici, un accesso diretto alle informazioni classificate ivi conservate, si applicano i seguenti requisiti supplementari:

17.

Le zone protette che vengono protette dall’ascolto indiscreto sono designate zone protette tecnicamente. Si applicano i seguenti requisiti supplementari:

18.

Nonostante il punto 17, lettera d), prima di essere usati in zone in cui si svolgono riunioni o attività che implicano informazioni classificate di livello SECRET UE/EU SECRET o superiore, e laddove la minaccia alle ICUE sia valutata alta, tutti i dispositivi di comunicazione e tutte le attrezzature elettriche o elettroniche sono preventivamente esaminati dall’autorità di sicurezza competente al fine di garantire che nessuna informazione intelligibile sia trasmessa inavvertitamente o illegalmente da tali attrezzature all’esterno del perimetro della zona protetta.

19.

Ove opportuno, le zone protette non occupate da personale in servizio 24 ore su 24 sono ispezionate al termine del normale orario di lavoro e a intervalli casuali al di fuori del normale orario di lavoro, tranne nel caso in cui vi sia installato un IDS.

20.

Le zone protette e le zone protette tecnicamente possono essere istituite in via temporanea in una zona amministrativa per una riunione classificata o per altri motivi analoghi.

21.

Per ciascuna zona protetta sono elaborate procedure operative di sicurezza che stabiliscano:

22.

Nelle zone protette sono costruite camere blindate. Le pareti, il pavimento, il soffitto, le finestre e le porte provviste di serratura sono approvati dall’autorità di sicurezza competente e offrono una protezione equivalente a quella di un contenitore di sicurezza approvato per la conservazione di ICUE dello stesso livello di classifica.

23.

Le ICUE classificate di livello RESTREINT UE/EU RESTRICTED possono essere trattate:

24.

Le ICUE classificate di livello RESTREINT UE/EU RESTRICTED sono conservate in idonei mobili da ufficio chiusi a chiave, in una zona amministrativa o in una zona protetta. Esse possono essere temporaneamente conservate all’esterno di una zona protetta o di una zona amministrativa purché il detentore si sia impegnato ad osservare le misure compensative stabilite nelle istruzioni di sicurezza emesse dall’autorità di sicurezza competente.

25.

Le ICUE classificate di livello CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET possono essere trattate:

26.

Le ICUE classificate di livello CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET sono conservate in una zona protetta, o in un contenitore di sicurezza o in una camera blindata.

27.

Le ICUE classificate di livello TRÈS SECRET UE/EU TOP SECRET sono trattate in una zona protetta.

28.

Le ICUE classificate di livello TRÈS SECRET UE/EU TOP SECRET sono conservate in una zona protetta, secondo uno delle modalità seguenti:

29.

Le norme sul trasporto di ICUE al di fuori delle zone oggetto di protezione materiale figurano nell’allegato III.

30.

L’autorità di sicurezza competente stabilisce le procedure di gestione delle chiavi e delle combinazioni per gli uffici, le stanze, le camere blindate e i contenitori di sicurezza. Tali procedure proteggono dall’accesso non autorizzato.

31.

Le combinazioni sono conosciute a memoria dal minor numero possibile di persone che hanno necessità di conoscerle. Le combinazioni dei contenitori di sicurezza e delle camere blindate in cui sono conservate ICUE sono modificate:

1.

Il presente allegato prevede le disposizioni di attuazione dell’articolo 9. Esso stabilisce le misure amministrative per controllare le ICUE per tutto il loro ciclo di vita al fine di contribuire a scoraggiare e scoprire i casi di compromissione o perdita intenzionale o accidentale di tali informazioni.

2.

Le informazioni sono classificate quando devono essere protette con riferimento alla loro riservatezza.

3.

L’originatore delle ICUE è incaricato di determinare il livello di classifica di sicurezza, conformemente ai pertinenti orientamenti in materia di classifica, e della diffusione iniziale delle informazioni.

4.

Il livello di classifica delle ICUE è stabilito conformemente all’articolo 2, paragrafo 2 e con riferimento alla politica di sicurezza che deve essere approvata conformemente all’articolo 3, paragrafo 3.

5.

La classifica di sicurezza è chiaramente e correttamente indicata, indipendentemente dal fatto che le ICUE siano in forma cartacea, orale, elettronica o in altra forma.

6.

Le singole parti di un determinato documento (ad esempio pagine, paragrafi, sezioni, annessi, appendici, allegati e materiale accluso) possono richiedere classifiche differenti e sono contraddistinte di conseguenza anche nel caso in cui siano conservate in forma elettronica.

7.

Il livello generale di classifica di un documento o file è almeno quello del suo componente con livello di classifica più elevato. Quando si riprendono informazioni da varie fonti, il prodotto finale è riesaminato per determinarne il livello generale di classifica di sicurezza, in quanto può richiedere una classifica più elevata di quella dei suoi componenti.

8.

Per quanto possibile, i documenti che contengono parti con livelli di classifica diversi sono impostati in modo che le parti con un livello di classifica diverso possano essere facilmente individuate e, se necessario, separate.

9.

La classifica di una lettera o di una nota che comprende materiale accluso corrisponde a quello dell’elemento accluso con livello di classifica più elevato. L’originatore indica chiaramente il livello di classifica della lettera o della nota quando è separata dal materiale accluso mediante un contrassegno adeguato, ad esempio:

CONFIDENTIEL UE/EU CONFIDENTIAL:

Senza allegato/i RESTREINT UE/EU RESTRICTED

10.

Oltre ad uno dei contrassegni di classifica di sicurezza di cui all’articolo 2, paragrafo 2, le ICUE possono recare altri contrassegni quali:

11.

Contrassegni di classifica abbreviati standard possono essere usati per indicare il livello di classifica di singoli paragrafi di un testo. Le abbreviazioni non sostituiscono i contrassegni di classifica per esteso.

12.

Le seguenti abbreviazioni standard possono essere usate nei documenti classificati UE per indicare il livello di classifica di sezioni o parti del testo di dimensioni inferiori a una pagina:

13.

Quando si produce un documento classificato UE:

14.

Qualora non sia possibile applicare il punto 13 alle ICUE, sono adottate altre misure appropriate conformemente agli orientamenti di sicurezza che devono essere stabiliti a norma dell’articolo 6, paragrafo 2.

15.

Al momento della creazione l’originatore indica, laddove possibile e in particolare per le informazioni classificate RESTREINT UE/EU RESTRICTED, se le ICUE possono essere declassate o declassificate ad una certa data o in seguito ad un dato evento.

16.

L’SGC riesamina periodicamente le ICUE in suo possesso per accertare che il livello di classifica sia ancora applicabile. L’SGC predispone un sistema per riesaminare il livello di classifica delle ICUE che ha originato almeno ogni cinque anni. Tale riesame non è necessario se l’originatore ha indicato fin dall’inizio che le informazioni saranno automaticamente declassate o declassificate e se le informazioni sono state contrassegnate di conseguenza.

17.

Per tutte le entità organizzative nell’SGC e nelle amministrazioni nazionali degli Stati membri, nelle quali sono trattate ICUE è identificato un ufficio di registrazione competente che provvede affinché le ICUE siano trattate conformemente alla presente decisione. Gli uffici di registrazione sono costituiti come zone protette definite nell’allegato II.

18.

Ai fini della presente decisione, per registrazione a fini di sicurezza («registrazione») si intende l’applicazione di procedure che registrano il ciclo di vita dei materiali, ivi comprese la diffusione e la distruzione.

19.

Tutti i materiali classificati di livello CONFIDENTIEL UE/EU CONFIDENTIAL e superiore sono registrati in uffici di registrazione dedicati quando entrano o lasciano un’entità organizzativa.

20.

L’ufficio centrale di registrazione dell’SGC tiene un registro di tutte le informazioni classificate comunicate dal Consiglio e dall’SGC a Stati terzi e organizzazioni internazionali e di tutte le informazioni classificate pervenute da Stati terzi o organizzazioni internazionali.

21.

Nel caso di un CIS, le procedure di registrazione possono essere eseguite mediante procedure interne allo stesso CIS.

22.

Il Consiglio approva una politica di sicurezza per la registrazione delle ICUE a fini di sicurezza.

23.

Negli Stati membri e nell’SGC è designato un ufficio di registrazione che funge da autorità centrale ricevente e trasmittente per le informazioni classificate di livello TRÈS SECRET UE/EU TOP SECRET. Per il trattamento delle informazioni a fini di registrazione possono essere designati, se necessario, uffici dipendenti.

24.

Tali uffici dipendenti non possono trasmettere documenti di livello TRÈS SECRET UE/EU TOP SECRET direttamente ad altri uffici dipendenti dello stesso ufficio centrale di registrazione TRÈS SECRET UE/EU TOP SECRET o all’esterno senza l’esplicito accordo di quest’ultimo.

25.

I documenti di livello TRÈS SECRET UE/EU TOP SECRET possono essere riprodotti o tradotti solo previo consenso scritto dell’originatore.

26.

Se l’originatore di documenti classificati di livello SECRET UE/EU SECRET o inferiore non ha imposto limitazioni alla riproduzione o alla traduzione, detti documenti possono essere riprodotti o tradotti su istruzione del detentore.

27.

Le misure di sicurezza applicabili al documento originale si applicano alle copie e alle traduzioni.

28.

Il trasporto di ICUE è soggetto alle misure di protezione menzionate nei punti da 30 a 41. Se le ICUE sono trasportate con mezzi elettronici, e in deroga all’articolo 9, paragrafo 4, le misure di protezione di seguito descritte possono essere integrate da opportune contromisure tecniche prescritte dall’autorità di sicurezza competente per minimizzare il rischio di perdita o di compromissione.

29.

Le autorità di sicurezza competenti dell’SGC e degli Stati membri impartiscono istruzioni sul trasporto delle ICUE conformemente alla presente decisione.

30.

Le ICUE trasportate all’interno di un edificio o di un gruppo autonomo di edifici sono occultate per impedire che ne sia osservato il contenuto.

31.

All’interno di un edificio o di un gruppo autonomo di edifici le informazioni classificate di livello TRÈS SECRET UE/EU TOP SECRET sono trasportate in una busta protetta recante unicamente il nome del destinatario.

32.

Le ICUE trasportate tra edifici o locali all’interno dell’Unione sono racchiuse in plichi in modo da proteggerle da divulgazione non autorizzata.

33.

Il trasporto di informazioni classificate CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET all’interno dell’Unione è effettuato secondo una delle seguenti modalità:

In caso di trasporto da uno Stato membro all’altro, le disposizioni della lettera c) sono limitate alle informazioni classificate CONFIDENTIEL UE/EU CONFIDENTIAL.

34.

Le informazioni classificate RESTREINT UE/EU RESTRICTED possono essere trasportate anche con servizi postali o servizi di corriere commerciale. Non è necessario un certificato di corriere per il trasporto di tali informazioni.

35.

Il materiale classificato CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET (ad esempio attrezzature o macchinari) che non può essere trasportato secondo le modalità di cui al punto 33 è trasportato come carico da società di vettori commerciali conformemente all’allegato V.

36.

Il trasporto di informazioni classificate TRÈS SECRET UE/EU TOP SECRET tra edifici o locali all’interno dell’Unione è effettuato per corriere militare, governativo o valigia diplomatica, secondo i casi.

37.

Le ICUE trasportate dall’Unione al territorio di uno Stato terzo sono racchiuse in plichi in modo da proteggerle da divulgazione non autorizzata.

38.

Il trasporto di informazioni classificate CONFIDENTIEL UE/EU CONFIDENTIALSECRET e UE/EU SECRET dall’Unione al territorio di uno Stato terzo è effettuato secondo una delle seguenti modalità:

39.

Il trasporto di informazioni classificate CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET comunicate dall’Unione a uno Stato terzo o a un’organizzazione internazionale è conforme alle pertinenti disposizioni previste in un accordo sulla sicurezza delle informazioni o un’ intesa amministrativa conformemente all’articolo 13, paragrafo 2, lettere a) o b).

40.

Le informazioni classificate RESTREINT UE/EU RESTRICTED possono essere trasportate anche con servizi postali o servizi di corriere commerciale.

41.

Il trasporto di informazioni classificate TRÈS SECRET UE/EU TOP SECRET dall’Unione al territorio di uno Stato terzo è effettuato con corriere militare o valigia diplomatica.

42.

I documenti classificati UE che non sono più necessari possono essere distrutti, fatti salvi norme e regolamenti pertinenti in materia di archiviazione.

43.

I documenti soggetti a registrazione conformemente all’articolo 9, paragrafo 2, sono distrutti dall’ufficio di registrazione competente su istruzione del detentore o di un’autorità competente. I repertori e gli altri dati sulla registrazione sono aggiornati di conseguenza.

44.

Per i documenti classificati SECRET UE/EU SECRET o TRÈS SECRET UE/EU TOP SECRET la distruzione avviene in presenza di un testimone che possiede un nulla osta di sicurezza almeno fino al livello di classifica del documento da distruggere.

45.

L’ufficiale del registro e il testimone, laddove sia richiesta la presenza di quest’ultimo, firmano un certificato di distruzione che è archiviato presso l’ufficio di registrazione. L’ufficio di registrazione conserva i certificati di distruzione dei documenti TRÈS SECRET UE/EU TOP SECRET per un periodo di almeno dieci anni e quelli dei documenti CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET per un periodo di almeno cinque anni.

46.

I documenti classificati, compresi quelli di livello RESTREINT UE/EU RESTRICTED, sono distrutti con metodi conformi alle pertinenti norme dell’Unione o equivalenti ovvero approvati dagli Stati membri conformemente alle norme tecniche nazionali per impedirne la ricostituzione integrale o parziale.

47.

La distruzione dei supporti informatici delle ICUE è effettuata conformemente all’allegato IV, punto 37.

48.

In caso di emergenza, se c’è un rischio imminente di divulgazione non autorizzata, le ICUE sono distrutte dal detentore in modo tale da non poter essere ricostruite né totalmente né parzialmente. L’originatore e l’ufficio di registrazione d’origine sono informati della distruzione d’emergenza delle ICUE registrate.

49.

Il termine «visita di valutazione» è di seguito usato per designare:

50.

Le visite di valutazione si effettuano, tra l’altro, al fine di:

51.

Prima della fine di ogni anno civile, il Consiglio adotta il programma di visite di valutazione di cui all’articolo 16, paragrafo 1, lettera c), per l’anno successivo. Le date effettive delle singole visite di valutazione sono determinate di concerto con l’organo o l’organismo dell’Unione, lo Stato membro, lo Stato terzo o l’organizzazione internazionale interessati.

52.

Le visite di valutazione sono effettuate per verificare le pertinenti norme, regolamentazioni e procedure dell’entità oggetto della visita e per verificare se le prassi dell’entità sono conformi ai principi fondamentali e alle norme minime stabilite dalla presente decisione e alle disposizioni che disciplinano lo scambio di informazioni classificate con detta entità.

53.

Le visite di valutazione si svolgono in due fasi. Prima della visita si organizza una riunione preparatoria, se necessario, con l’entità interessata. Dopo tale riunione preparatoria la squadra addetta alla valutazione predispone, di concerto con l’entità interessata, un programma particolareggiato per la visita di valutazione che copre tutti i settori della sicurezza. La squadra addetta alla visita di valutazione dovrebbe avere accesso a tutti i luoghi in cui sono trattate ICUE, in particolare gli uffici di registrazione e i punti di presenza del CIS.

54.

Le visite di valutazione presso le amministrazioni nazionali degli Stati membri, gli Stati terzi e le organizzazioni internazionali si svolgono in piena collaborazione con i funzionari dell’entità, dello Stato terzo o dell’organizzazione internazionale oggetto della visita.

55.

Le visite di valutazione presso gli organi, gli organismi e le entità dell’Unione che applicano la presente decisione o i principi in essa contenuti sono condotte con l’assistenza di esperti dell’NSA sul cui territorio l’organo o l’organismo ha sede.

56.

Per le visite di valutazione degli organi, degli organismi e delle entità dell’Unione che applicano la presente decisione o i principi in essa contenuti, nonché degli Stati terzi e delle organizzazioni internazionali, si possono chiedere assistenza e contributi di esperti delle NSA secondo intese particolareggiate convenute con il Comitato per la sicurezza.

57.

Al termine della visita di valutazione le conclusioni e raccomandazioni principali sono presentate all’entità oggetto della visita. Successivamente, si redige un rapporto sulla visita di valutazione. Qualora siano state proposte misure correttive e raccomandazioni, il rapporto contiene elementi sufficienti a sostegno delle conclusioni. Il rapporto è trasmesso all’autorità competente dell’entità oggetto della visita.

58.

Per le visite di valutazione condotte nelle amministrazioni nazionali degli Stati membri:

Un regolare rapporto è stilato sotto la responsabilità dell’autorità di sicurezza dell’SGC (servizio di sicurezza) per evidenziare gli insegnamenti tratti dalle visite di valutazione condotte negli Stati membri durante un determinato periodo ed esaminato dal Comitato per la sicurezza.

59.

Per le visite di valutazione presso gli Stati terzi e le organizzazioni internazionali, il rapporto è distribuito al Comitato per la sicurezza. Il rapporto è classificato almeno al livello RESTREINT UE/EU RESTRICTED. Eventuali misure correttive sono verificate durante una successiva visita di controllo e riferite al Comitato per la sicurezza.

60.

Per le visite di valutazione degli organi, degli organismi e delle entità dell’Unione che applicano la presente decisione o i principi in essa contenuti, i rapporti sulla visita di valutazione sono distribuiti al Comitato per la sicurezza. Il progetto di rapporto sulla visita di valutazione è trasmesso all’agenzia o all’organo interessato affinché verifichi che sia materialmente corretto e che non contenga informazioni classificate di livello superiore a RESTREINT UE/EU RESTRICTED. Eventuali misure correttive sono verificate durante una successiva visita di controllo e riferite al Comitato per la sicurezza.

61.

L’autorità di sicurezza dell’SGC procede regolarmente a ispezioni delle entità organizzative nell’SGC ai fini indicati al punto 50.

62.

L’autorità di sicurezza dell’SGC (servizio di sicurezza) elabora e aggiorna una lista di controllo per i punti da verificare nel corso di una visita di valutazione. Tale lista è trasmessa al Comitato per la sicurezza.

63.

Le informazioni per compilare la lista di controllo sono ottenute in particolare durante la visita dal personale addetto alla gestione della sicurezza dell’entità ispezionata. Una volta compilata con le risposte dettagliate, la lista di controllo è classificata, d’intesa con l’entità ispezionata. Essa non fa parte del rapporto di ispezione.

1.

Il presente allegato prevede le disposizioni di attuazione dell’articolo 10.

2.

Le proprietà e i concetti seguenti in materia di IA sono essenziali per la sicurezza e il corretto funzionamento operativo dei CIS:

3.

Le disposizioni esposte di seguito sono alla base della sicurezza di tutti i CIS che trattano ICUE. I requisiti d’attuazione dettagliati di queste disposizioni sono definiti nelle politiche e negli orientamenti di sicurezza in materia di IA.

4.

La gestione del rischio di sicurezza è parte integrante della definizione, dello sviluppo, del funzionamento e della manutenzione dei CIS. La gestione del rischio (valutazione, trattamento, accettazione e comunicazione) è condotta congiuntamente, nel quadro di un processo iterativo, da rappresentanti dei proprietari dei sistemi, autorità di progetto, autorità operative e autorità preposte all’approvazione di sicurezza, avvalendosi di una procedura comprovata, trasparente e ben comprensibile di valutazione del rischio. La portata del CIS e delle relative risorse è definita esplicitamente all’inizio della procedura di gestione del rischio.

5.

Le autorità competenti esaminano le potenziali minacce ai CIS e tengono aggiornate e complete le valutazioni dei rischi corrispondenti all’ambiente operativo del momento. Esse tengono costantemente aggiornate le proprie conoscenze relative alle questioni della vulnerabilità e rivedono periodicamente la valutazione di vulnerabilità alla luce dell’evoluzione dell’ambiente di tecnologia dell’informazione (IT).

6.

Il trattamento del rischio di sicurezza è volto ad applicare una serie di misure di sicurezza che risultino in un equilibrio soddisfacente tra le esigenze degli utenti, i costi e il rischio di sicurezza residuo.

7.

I requisiti, la portata e il grado di dettaglio specifici determinati dalla SAA competente per l’accreditamento di un CIS sono commisurati al rischio valutato, tenendo conto di tutti i fattori pertinenti, tra cui il livello di classifica delle ICUE trattate nel CIS. L’accreditamento comprende una dichiarazione formale sul rischio residuo e l’accettazione di tale rischio da parte di un’autorità responsabile.

8.

La garanzia della sicurezza è un obbligo lungo tutto il ciclo di vita del CIS, dall’inizio al ritiro dal servizio.

9.

Il ruolo e l’interazione di ciascun attore di un CIS con riferimento alla sua sicurezza è individuato per ciascuna fase del ciclo di vita.

10.

Qualsiasi CIS, comprese le relative misure di sicurezza tecniche e non tecniche, è soggetto a prove di sicurezza durante il processo di accreditamento per garantire un adeguato livello di garanzie di sicurezza e accertare che sia applicato, integrato e configurato correttamente.

11.

Le valutazioni, le ispezioni e le verifiche di sicurezza sono effettuate periodicamente durante il funzionamento e la manutenzione di un CIS nonché quando si verificano circostanze eccezionali.

12.

La documentazione di sicurezza di un CIS evolve durante il suo ciclo di vita come parte integrante del processo di gestione dei cambiamenti e delle configurazioni.

13.

L’SGC e gli Stati membri collaborano per sviluppare migliori prassi di protezione delle ICUE trattate nei CIS. Gli orientamenti sulle migliori prassi stabiliscono misure di sicurezza tecniche, materiali, organizzative e procedurali per i CIS di comprovata efficacia nel combattere determinate minacce e vulnerabilità.

14.

La protezione delle ICUE trattate nei CIS si avvale dell’esperienza maturata dalle entità coinvolte nell’IA all’interno e al di fuori dell’Unione.

15.

La diffusione e successiva attuazione delle migliori prassi favorisce il raggiungimento di un livello equivalente di garanzia di sicurezza dei vari CIS, gestiti dall’SGC e dagli Stati membri, che trattano ICUE.

16.

Per attenuare il rischio per i CIS è attuata una serie di misure di sicurezza tecniche e non tecniche, organizzate come fasi multiple di difesa. Tali fasi comprendono:

a)   la deterrenza: misure di sicurezza volte a scoraggiare progetti ostili di attacco dei CIS;

b)   la prevenzione: misure di sicurezza volte a ostacolare o bloccare un attacco ai CIS;

c)   il rilevamento: misure di sicurezza volte a scoprire un attacco ai CIS;

d)   la resilienza: misure di sicurezza volte a limitare l’impatto di un attacco ad una serie minima di informazioni o risorse del CIS evitando ulteriori danni; e

e)   il ripristino: misure di sicurezza volte a ripristinare il funzionamento in sicurezza del CIS.

Il livello di rigore di tali misure di sicurezza è determinato in base a una valutazione del rischio.

17.

L’NSA o altra autorità competente provvede affinché:

18.

Per evitare rischi inutili sono attuate solo le funzionalità, i dispositivi e i servizi essenziali per soddisfare i requisiti operativi.

19.

Agli utenti dei CIS e alle procedure automatizzate sono forniti solo l’accesso, i privilegi o le autorizzazioni necessari allo svolgimento dei loro compiti, onde limitare i danni derivanti da incidenti, errori o uso non autorizzato delle risorse dei CIS.

20.

Le procedure di registrazione effettuate dal CIS, ove necessario, sono verificate nel quadro del processo di accreditamento.

21.

La sensibilizzazione ai rischi e alle misure di sicurezza disponibili è la prima linea di difesa per la sicurezza dei CIS. In particolare, tutto il personale attivo nel ciclo di vita dei CIS, compresi gli utenti, è consapevole di quanto segue:

22.

Per assicurare che le responsabilità in materia di sicurezza siano ben comprese, tutto il personale coinvolto, ivi compresi i quadri dirigenziali e gli utenti dei CIS, è tenuto a seguire corsi di formazione e sensibilizzazione all’IA.

23.

Il livello necessario di fiducia nelle misure di sicurezza, definito quale livello di garanzia, è determinato in base ai risultati della procedura di gestione del rischio e conformemente alle politiche e agli orientamenti di sicurezza pertinenti.

24.

Il livello di garanzia è verificato tramite procedure e metodologie riconosciute internazionalmente o approvate a livello nazionale. Ciò comprende in primo luogo valutazione, controlli e verifiche.

25.

I prodotti crittografici per la protezione delle ICUE sono valutati e approvati dalla CAA nazionale di uno Stato membro.

26.

Prima di essere raccomandati per approvazione del Consiglio o del segretario generale, conformemente all’articolo 10, paragrafo 6, tali prodotti crittografici sono stati valutati positivamente da un secondo soggetto ossia l’autorità di validazione qualificata (AQUA) di uno Stato membro non coinvolto nella progettazione o produzione delle attrezzature in questione. Il livello di precisione richiesto nella valutazione del secondo soggetto dipende dal livello di classifica massima prevista per le ICUE che tali prodotti devono proteggere. Il Consiglio approva una politica di sicurezza sulla valutazione e l’approvazione dei prodotti crittografici.

27.

Ove giustificato da specifici motivi operativi, il Consiglio o il segretario generale, secondo i casi, può su raccomandazione del Comitato per la sicurezza dispensare dai requisiti di cui ai punti 25 o 26 del presente allegato e rilasciare un’approvazione temporanea per un determinato periodo conformemente alla procedura di cui all’articolo 10, paragrafo 6.

28.

Il Consiglio, su raccomandazione del Comitato per la sicurezza, può accettare il processo di valutazione, selezione e approvazione di prodotti crittografici di uno Stato terzo o di un’organizzazione internazionale e quindi considerare tali prodotti approvati per la protezione delle ICUE comunicate a tale Stato terzo o organizzazione internazionale.

29.

Un’AQUA è una CAA di uno Stato membro che è stata accreditata in base ai criteri stabiliti dal Consiglio per procedere alla seconda valutazione dei prodotti crittografici ai fini della protezione delle ICUE.

30.

Il Consiglio approva una politica di sicurezza sulla qualificazione e l’approvazione dei prodotti di sicurezza IT non crittografici.

31.

In deroga alle disposizioni della presente decisione, se la trasmissione di ICUE è limitata a zone protette o a zone amministrative, è possibile procedere ad una trasmissione non cifrata o a una cifratura di livello inferiore in base ai risultati di una procedura di gestione del rischio e previa approvazione della SAA.

32.

Ai fini della presente decisione, per «interconnessione» s’intende la connessione diretta tra due o più sistemi IT ai fini della condivisione dei dati e delle altre risorse dell’informazione (ad esempio comunicazione) in modo unidirezionale o multidirezionale.

33.

Un CIS considera inaffidabili i sistemi IT interconnessi e applica misure di protezione per controllare lo scambio d’informazioni classificate.

34.

Per tutte le interconnessioni dei CIS con un altro sistema IT sono soddisfatti i requisiti di base seguenti:

35.

Non vi è interconnessione tra un CIS accreditato e una rete non protetta o pubblica, ad eccezione dei casi i cui il CIS ha approvato BPS installati a tal fine tra il CIS e la rete non protetta o pubblica. Le misure di sicurezza per tali interconnessioni sono esaminate dall’IAA competente e approvate dalla SAA competente.

Se la rete non protetta o pubblica è usata solo come vettore e i dati sono criptati con un prodotto crittografico approvato conformemente all’articolo 10, tale connessione non è considerata un’interconnessione.

36.

È vietata l’interconnessione diretta o a cascata di un CIS accreditato per il trattamento di informazioni classificate TRÈS SECRET UE/EU TOP SECRET a una rete non protetta o pubblica.

37.

I supporti informatici sono distrutti secondo procedure approvate dall’autorità di sicurezza competente.

38.

I supporti informatici sono riutilizzati, declassati o declassificati conformemente a orientamenti di sicurezza da stabilire a norma dell’articolo 6, paragrafo 2.

39.

In deroga alle disposizioni della presente decisione, le procedure specifiche descritte di seguito possono essere applicate in casi di emergenza, come in situazioni di crisi, conflitti, guerre imminenti o già in corso o in circostanze operative eccezionali.

40.

Le ICUE possono essere trasmesse, previo consenso dell’autorità competente, usando prodotti crittografici approvati per un livello di classifica inferiore o senza cifratura nel caso in cui un ritardo causerebbe un danno manifestamente maggiore di quello dovuto all’eventuale divulgazione del materiale classificato e se:

41.

Le informazioni classificate trasmesse nelle circostanze di cui al punto 39 non recano alcun contrassegno o indicazione che le distinguano da informazioni non classificate o che possono essere protette mediante prodotti crittografici disponibili. I destinatari sono informati tempestivamente e con altri mezzi del livello di classifica.

42.

In caso di ricorso al punto 39, è presentato un successivo rapporto all’autorità competente e al Comitato per la sicurezza.

43.

Negli Stati membri e presso l’SGC sono stabilite le seguenti funzioni in materia di IA. Tali funzioni non richiedono entità organizzative uniche. Esse hanno mandati separati. Tuttavia, tali funzioni, e le responsabilità a esse collegate, possono combinarsi o integrarsi nella stessa entità organizzativa o suddividersi tra diverse entità organizzative, a condizione che si evitino conflitti interni di interessi o di mansioni.

44.

L’IAA ha il compito di:

45.

L’Autorità TEMPEST (TA) è responsabile della conformità dei CIS con le politiche e gli orientamenti TEMPEST. Essa approva le contromisure TEMPEST per le installazioni e i prodotti per la protezione delle ICUE a un determinato livello di classifica nel suo contesto operativo.

46.

L’autorità di approvazione degli apparati crittografici (CAA) ha il compito di assicurare che i prodotti crittografici siano conformi alla politica nazionale o alla politica del Consiglio in materia di crittografia. Essa concede l’approvazione di un prodotto crittografico per la protezione delle ICUE a un determinato livello di classifica nel suo contesto operativo. Per quanto riguarda gli Stati membri, la CAA è inoltre responsabile della valutazione dei prodotti crittografici.

47.

L’autorità di distribuzione degli apparati crittografici (CDA) ha il compito di:

48.

L’autorità di accreditamento di sicurezza (SAA) per ciascun sistema ha il compito di:

49.

La SAA dell’SGC è responsabile dell’accreditamento di tutti i CIS operanti nell’ambito di competenza dell’SGC.

50.

La SAA competente di uno Stato membro è responsabile dell’accreditamento dei CIS e delle relative componenti operanti nell’ambito di competenza di uno Stato membro.

51.

Un comitato di accreditamento di sicurezza (SAB) comune è responsabile dell’accreditamento dei CIS nell’ambito di competenza sia della SAA dell’SGC che delle SAA degli Stati membri. Esso è composto di un rappresentante SAA per ciascuno Stato membro e vi partecipa un rappresentante SAA della Commissione. Altri soggetti con nodi su un CIS sono invitati a partecipare alle discussioni su tale sistema.

Il SAB è presieduto da un rappresentante della SAA dell’SGC. Esso delibera per consenso dei rappresentanti SAA delle istituzioni, degli Stati membri e di altri soggetti con nodi sul CIS. Esso riferisce periodicamente circa le sue attività al Comitato per la sicurezza e gli notifica tutte le dichiarazioni di accreditamento.

52.

L’autorità operativa IA per ciascun sistema ha il compito di:

1.

Il presente allegato prevede le disposizioni di attuazione dell’articolo 11. Esso stabilisce le disposizioni generali di sicurezza applicabili a soggetti industriali o di altra natura in sede di negoziati precontrattuali e lungo tutto il ciclo di vita dei contratti classificati conclusi dall’SGC.

2.

Il Consiglio approva orientamenti sulla sicurezza industriale che delineano in particolare requisiti dettagliati in ordine agli FSC, alle lettere sugli aspetti di sicurezza (SAL), alle visite, alla trasmissione e al trasporto di ICUE.

3.

Prima di indire un bando di gara o di concludere un contratto classificato, l’SGC in quanto autorità contraente stabilisce la classifica di sicurezza delle informazioni che devono essere fornite agli offerenti e ai contraenti, nonché la classifica di sicurezza delle informazioni che il contraente deve creare. A tal fine l’SGC mette a punto una SCG ai fini dell’esecuzione del contratto.

4.

Per stabilire la classifica di sicurezza dei vari elementi di un contratto classificato si applicano i principi seguenti:

5.

I requisiti di sicurezza specifici del contratto sono descritti in una SAL. Ove opportuno, la SAL contiene la SCG ed è parte integrante del contratto o subcontratto.

6.

La SAL contiene le disposizioni che impongono al contraente e/o al subcontraente di osservare le norme minime stabilite dalla presente decisione. L’inosservanza di tali norme minime può essere motivo sufficiente di estinzione del contratto.

7.

Secondo la portata dei programmi o dei progetti che comportano l’accesso a ICUE o il loro trattamento o la loro conservazione, l’autorità contraente incaricata della gestione del programma o del progetto può redigere specifiche PSI. Le PSI richiedono l’approvazione delle NSA/DSA degli Stati membri o delle altre autorità di sicurezza competenti che partecipano al PSI e possono contenere requisiti di sicurezza supplementari.

8.

L’NSA/DSA o altra autorità di sicurezza competente di uno Stato membro concede un FSC per indicare, conformemente alle disposizioni legislative e regolamentari nazionali, che un soggetto industriale o di altra natura è in grado di proteggere le ICUE al livello adatto di classifica (CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET) all’interno delle proprie strutture. L’FSC è presentato all’SGC in quanto autorità contraente prima che al contraente o al subcontraente, effettivo o potenziale, possano essere comunicate delle ICUE o possa essere concesso un accesso alle ICUE.

9.

Quando rilascia un FSC l’NSA/DSA competente, come minimo:

10.

Ove opportuno, l’SGC in quanto autorità contraente comunica all’NSA/DSA pertinente o altra autorità di sicurezza competente che è necessario un FSC in fase precontrattuale o di esecuzione del contratto. In fase precontrattuale è richiesto un FSC o un PSC laddove occorre fornire ICUE classificate CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET durante il processo di presentazione delle offerte.

11.

L’autorità contraente non assegna all’offerente selezionato un contratto classificato prima di aver ricevuto conferma dall’NSA/DSA, o da altra autorità di sicurezza competente dello Stato membro in cui ha sede il contraente o subcontraente interessato, che laddove necessario è stato rilasciato l’FSC adatto.

12.

L’NSA/DSA o altra autorità di sicurezza competente che ha rilasciato un FSC comunica all’SGC in quanto autorità contraente le modifiche inerenti l’FSC. In caso di subcontratto, l’NSA/DSA o altra autorità di sicurezza competente è informata di conseguenza.

13.

La revoca dell’FSC da parte dell’NSA/DSA interessata o da altra autorità di sicurezza competente è motivo sufficiente per far sì che l’SGC in quanto autorità contraente estingua il contratto classificato o escluda l’offerente dalla gara.

14.

Qualora a un offerente siano fornite ICUE in fase precontrattuale, l’invito a presentare offerte contiene una disposizione che impone all’offerente che non ha presentato l’offerta o che non è stato selezionato l’obbligo di restituire tutti i documenti entro un periodo di tempo determinato.

15.

Una volta aggiudicato il contratto o il subcontratto classificato, l’SGC in quanto autorità contraente notifica all’NSA/DSA o altra autorità di sicurezza competente del contraente o subcontraente le disposizioni di sicurezza del contratto.

16.

In caso di estinzione dei suddetti contratti l’SGC in quanto autorità contraente (e/o l’NSA/DSA o altra autorità di sicurezza competente, ove opportuno, in caso di subcontratto) ne informa immediatamente l’NSA/DSA o altra autorità di sicurezza competente dello Stato membro in cui il contraente o subcontraente ha sede.

17.

Di norma, alla cessazione del contratto o del subcontratto il contraente o subcontraente è tenuto a restituire all’autorità contraente le ICUE in suo possesso.

18.

La SAL contiene disposizioni specifiche per l’eliminazione delle ICUE durante l’esecuzione o alla cessazione del contratto.

19.

Se è autorizzato a conservare le ICUE alla cessazione del contratto, il contraente o subcontraente continua a rispettare le norme minime comuni previste dalla presente decisione nonché a proteggere la riservatezza delle ICUE.

20.

Le condizioni alle quali è ammesso il subcontratto da parte del contraente sono definite nel bando di gara e nel contratto.

21.

Prima di subappaltare parti di un contratto classificato il contraente ottiene il consenso dell’SGC in quanto autorità contraente. Nessun subcontratto può essere aggiudicato a un soggetto industriale o di altra natura avente sede in uno Stato non membro dell’UE che non abbia concluso con l’Unione un accordo sulla sicurezza delle informazioni.

22.

Il contraente ha il compito di assicurare che tutte le attività del subcontratto si svolgano secondo le norme minime previste dalla presente decisione e si astiene dal fornire ICUE al subcontraente senza previo consenso scritto dell’autorità contraente.

23.

L’autorità contraente esercita i diritti dell’originatore sulle ICUE create o trattate dal contraente o subcontraente.

24.

Se il personale dell’SGC, dei contraenti o dei subcontraenti richiede l’accesso a informazioni classificate CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET nei rispettivi locali per l’esecuzione di un contratto classificato, le visite sono fissate di concerto con le NSA/DSA o altre autorità di sicurezza competenti interessate. Tuttavia, nel contesto di progetti specifici, le NSA/DSA possono anche convenire una procedura in base alla quale tali visite possono essere fissate direttamente.

25.

Tutti i visitatori dispongono di un PSC adatto e di una necessità di conoscere per accedere alle ICUE relative ad un contratto dell’SGC.

26.

I visitatori possono accedere solo alle ICUE relative all’oggetto della visita.

27.

Per la trasmissione di ICUE mediante mezzi elettronici si applicano le pertinenti disposizioni dell’articolo 10 e dell’allegato IV.

28.

Con riguardo al trasporto di ICUE, si applicano le pertinenti disposizioni dell’allegato III, conformemente alle disposizioni legislative e regolamentari nazionali.

29.

Per il trasporto di materiale classificato come carico, nel fissare i dispositivi di sicurezza si applicano i principi seguenti:

30.

LE ICUE sono trasmesse a contraenti e subcontraenti situati in paesi terzi secondo misure di sicurezza convenute tra l’SGC in quanto autorità contraente e l’NSA/DSA del paese terzo interessato in cui il contraente ha sede.

31.

Di concerto con l’NSA/DSA dello Stato membro, se opportuno, l’SGC in quanto autorità contraente ha diritto di procedere a ispezioni dei locali dei contraenti/subcontraenti in forza delle disposizioni contrattuali, per verificare che siano attuate le misure di sicurezza per la protezione delle ICUE di livello RESTREINT UE/EU RESTRICTED come previsto dal contratto.

32.

Nella misura in cui è necessario a norma delle disposizioni legislative e regolamentari nazionali, le NSA/DSA o qualsiasi altra autorità nazionale competente sono informate dall’SGC in quanto autorità contraente dei contratti o subcontratti contenenti informazioni classificate RESTREINT UE/EU RESTRICTED.

33.

Per i contratti stipulati dall’SGC contenenti informazioni classificate RESTREINT UE/EU RESTRICTED, i contraenti o subcontraenti e relativo personale non sono tenuti a possedere un FSC o un PSC.

34.

L’SGC in quanto autorità contraente esamina le risposte agli inviti a presentare offerte per i contratti che richiedono l’accesso a informazioni classificate RESTREINT UE/EU RESTRICTED, a prescindere da eventuali requisiti vigenti a norma delle disposizioni legislative e regolamentari nazionali in ordine agli FSC o PSC.

35.

Le condizioni alle quali è ammesso il subcontratto da parte del contraente sono conformi al punto 21.

36.

Se un contratto comporta il trattamento di informazioni classificate RESTREINT UE/EU RESTRICTED in un CIS gestito da un contraente, l’SGC in qualità di autorità contraente garantisce che nel contratto o eventuale subcontratto siano specificati i requisiti tecnici e amministrativi necessari in ordine all’accreditamento del CIS commisurati al rischio valutato, tenendo conto di tutti i fattori pertinenti. La portata dell’accreditamento di tale CIS è concordata tra l’autorità contraente e l’NSA/DSA competente.

1.

Il presente allegato prevede le disposizioni di attuazione dell’articolo 13.

2.

Qualora il Consiglio ravvisi la necessità a lungo termine di scambiare informazioni classificate,

conformemente all’articolo 13, paragrafo 2, e alle sezioni III e IV e in base a una raccomandazione del Comitato per la sicurezza.

3.

Qualora le ICUE prodotte ai fini di un’operazione PSDC debbano essere fornite a Stati terzi od organizzazioni internazionali che partecipano a tale operazione, e qualora non esista alcuno dei quadri di cui al punto 2, lo scambio di ICUE con lo Stato terzo o l’organizzazione internazionale contributori è regolato, conformemente alla sezione V, a norma di:

4.

In assenza di uno dei quadri di cui ai punti 2 e 3, e qualora sia adottata una decisione per comunicare ICUE a uno Stato terzo od organizzazione internazionale su una base eccezionale ad hoc conformemente alla sezione VI, sono richieste assicurazioni scritte dello Stato terzo od organizzazione internazionale in questione per garantire che questi proteggano qualsiasi ICUE comunicata conformemente ai principi fondamentali e alle norme minime stabiliti nella presente decisione.

5.

Gli accordi sulla sicurezza delle informazioni stabiliscono i principi fondamentali e le norme minime che disciplinano lo scambio di informazioni classificate tra l’Unione e uno Stato terzo od organizzazione internazionale.

6.

Gli accordi sulla sicurezza delle informazioni prevedono modalità tecniche di attuazione da concordare tra le competenti autorità di sicurezza delle istituzioni e degli organi pertinenti dell’Unione e la competente autorità di sicurezza dello Stato terzo o dell’organizzazione internazionale interessati. Tali modalità tengono conto del livello di protezione garantito dalle normative, dalle strutture e dalle procedure in materia di sicurezza esistenti nello Stato terzo o nell’organizzazione internazionale in questione. Esse sono approvate dal Comitato per la sicurezza.

7.

Nel quadro di un accordo sulla sicurezza delle informazioni non si scambiano ICUE mediante mezzi elettronici, a meno che non sia esplicitamente previsto dall’accordo o dalle corrispondenti modalità tecniche di attuazione.

8.

Quando il Consiglio conclude un accordo sulla sicurezza delle informazioni, ciascuna delle parti designa un ufficio di registrazione come principale punto d’ingresso e uscita per gli scambi delle informazioni classificate.

9.

Per valutare l’efficacia delle normative, delle strutture e delle procedure in materia di sicurezza nello Stato terzo o nell’organizzazione internazionale in questione, sono effettuate visite di valutazione di comune accordo con lo Stato terzo o l’organizzazione internazionale interessati. Tali visite di valutazione sono condotte conformemente alle pertinenti disposizioni dell’allegato III e valutano:

10.

La squadra che conduce una visita di valutazione a nome dell’Unione valuta se le norme e procedure di sicurezza nello Stato terzo o nell’organizzazione internazionale in questione sono adeguate alla protezione delle ICUE di un determinato livello.

11.

I risultati di tali visite sono illustrati in una relazione sulla cui base il Comitato per la sicurezza stabilisce il livello massimo delle ICUE che possono essere scambiate in forma cartacea e, in caso, con mezzi elettronici con il terzo in questione nonché eventuali condizioni specifiche applicabili a tale scambio.

12.

Viene compiuto ogni sforzo per effettuare una visita completa di valutazione della sicurezza nello Stato terzo o nell’organizzazione internazionale in questione prima che il Comitato per la sicurezza approvi le modalità di attuazione al fine di accertare la natura e l’efficienza del sistema di sicurezza esistente. Tuttavia, ove ciò non sia possibile, il Comitato per la sicurezza riceve una relazione quanto più completa possibile dal servizio di sicurezza dell’SGC, in base alle informazioni in suo possesso, in cui viene informato delle norme di sicurezza applicabili e del modo in cui è organizzata la sicurezza nello Stato terzo o nell’organizzazione internazionale interessati.

13.

Prima che le ICUE siano effettivamente comunicate allo Stato terzo o all’organizzazione internazionale in questione, la relazione sulla visita di valutazione, o in sua assenza la relazione a cui si fa riferimento al punto 12, è trasmessa al Comitato per la sicurezza che la deve giudicare soddisfacente.

14.

Le autorità di sicurezza competenti delle istituzioni e degli organi dell’Unione comunicano allo Stato terzo o all’organizzazione internazionale la data a partire dalla quale l’Unione è in grado di comunicare ICUE ai sensi dell’accordo, nonché il livello massimo delle ICUE che possono essere scambiate in forma cartacea o con mezzi elettronici.

15.

Se necessario sono effettuate visite di valutazione di follow up, in particolare se:

16.

Quando l’accordo sulla sicurezza delle informazioni è in vigore e le informazioni classificate sono scambiate con lo Stato terzo o l’organizzazione internazionale interessati, il Comitato per la sicurezza può decidere di modificare il livello massimo delle ICUE che possono essere scambiate in forma cartacea o con mezzi elettronici, in particolare alla luce di eventuali visite di valutazione di follow up.

17.

Qualora sussista una necessità a lungo termine di scambiare informazioni classificate in generale di livello non superiore a RESTREINT UE/EU RESTRICTED con uno Stato terzo o un’organizzazione internazionale e qualora il Comitato per la Sicurezza abbia stabilito che il terzo in questione non possiede un sistema di sicurezza sufficientemente sviluppato da consentirgli di concludere un accordo sulla sicurezza delle informazioni, il segretario generale, previa approvazione del Consiglio, può pattuire intese amministrative a nome dell’SGC con le autorità competenti dello Stato terzo o dell’organizzazione internazionale in questione.

18.

Qualora si debba istituire rapidamente, per ragioni operative urgenti, un quadro normativo per lo scambio di informazioni classificate, eccezionalmente il Consiglio può decidere di pattuire intese amministrative per lo scambio di informazioni di un livello di classifica più elevato.

19.

Le intese amministrative assumono di norma la forma di uno scambio di lettere.

20.

Prima che le ICUE siano effettivamente comunicate allo Stato terzo o all’organizzazione internazionale in questione, è effettuata una visita di valutazione di cui al punto 9 e la relazione, o in sua assenza la relazione a cui si fa riferimento al punto 12, è trasmessa al Comitato per la sicurezza che la deve giudicare soddisfacente.

21.

Nel quadro di un’intesa amministrativa non si scambiano ICUE mediante mezzi elettronici a meno che non sia esplicitamente previsto dall’intesa.

22.

Gli accordi quadro di partecipazione disciplinano la partecipazione di Stati terzi od organizzazioni internazionali alle operazioni PSDC. Tali accordi includono disposizioni sulla comunicazione di ICUE prodotte ai fini delle operazioni PSDC agli Stati terzi o alle organizzazioni internazionali contributori. Il livello massimo di classifica delle ICUE che possono essere scambiate è RESTREINT UE/EU RESTRICTED per operazioni civili PSDC e CONFIDENTIEL UE/EU CONFIDENTIAL per operazioni militari PSDC, salvo se diversamente stabilito nella decisione che istituisce ciascuna operazione PSDC.

23.

Gli accordi di partecipazione ad hoc conclusi per una specifica operazione PSDC includono disposizioni sulla comunicazione di ICUE prodotte ai fini di detta operazione allo Stato terzo o all’organizzazione internazionale contributori. Il livello massimo di classifica delle ICUE che possono essere scambiate è RESTREINT UE/EU RESTRICTED per operazioni civili PSDC e CONFIDENTIEL UE/EU CONFIDENTIAL per operazioni militari PSDC, salvo se diversamente stabilito nella decisione che istituisce ciascuna operazione PSDC.

24.

In assenza di un accordo sulla sicurezza delle informazioni e in attesa della conclusione di un accordo di partecipazione, la comunicazione di ICUE prodotte ai fini dell’operazione a uno Stato terzo o un’organizzazione internazionale che partecipa a detta operazione è disciplinata da un’intesa amministrativa sottoscritta dall’alto rappresentante o soggetta a una decisione su una comunicazione ad hoc conformemente alla sezione VI. Le ICUE si scambiano nel quadro di tale intesa solo fintantoché è prevista la partecipazione dello Stato terzo o dell’organizzazione internazionale. Il livello massimo di classifica delle ICUE che possono essere scambiate è RESTREINT UE/EU RESTRICTED per operazioni civili PSDC e CONFIDENTIEL UE/EU CONFIDENTIAL per operazioni militari PSDC, salvo se diversamente stabilito nella decisione che istituisce ciascuna operazione PSDC.

25.

Le disposizioni in materia di informazioni classificate da includere negli accordi quadro di partecipazione, negli accordi di partecipazione ad hoc e nelle intese amministrative ad hoc di cui ai punti da 22 a 24 prevedono che lo Stato terzo o l’organizzazione internazionale in questione garantiscano che il personale distaccato per partecipare a qualsiasi operazione proteggerà le ICUE conformemente alle norme di sicurezza del Consiglio e agli ulteriori orientamenti emanati dalle autorità competenti, tra cui la catena di comando dell’operazione.

26.

Se un accordo sulla sicurezza delle informazioni è successivamente concluso tra l’Unione e uno Stato terzo o un’organizzazione internazionale contributori, l’accordo sulla sicurezza delle informazioni prevale sulle disposizioni relative allo scambio di informazioni classificate stabilite da qualsiasi accordo quadro di partecipazione, accordo di partecipazione ad hoc o intesa amministrativa ad hoc per quanto riguarda lo scambio e il trattamento delle ICUE.

27.

Nell’ambito di un accordo quadro di partecipazione, di un accordo di partecipazione ad hoc o di un’intesa amministrativa ad hoc con uno Stato terzo o un’organizzazione internazionale non sono permessi scambi di ICUE mediante mezzi elettronici, a meno che non siano esplicitamente previsti nell’accordo o nell’intesa in questione.

28.

Le ICUE prodotte ai fini di un’operazione PSDC possono essere diffuse al personale distaccato da Stati terzi o da organizzazioni internazionali per tale operazione conformemente ai punti da 22 a 27. Al momento di autorizzare l’accesso alle ICUE nei locali o nei CIS di un’operazione PSDC da parte di tale personale, sono applicate misure (tra cui la registrazione delle ICUE diffuse) per attenuare il rischio di perdita o di compromissione. Tali misure sono definite nei documenti di pianificazione o di missione pertinenti.

29.

In assenza di un accordo sulla sicurezza delle informazioni, la comunicazione di ICUE, nel caso di una necessità operativa specifica e immediata, allo Stato ospitante nel cui territorio si svolge un’operazione PSDC può essere disciplinata da un’intesa amministrativa sottoscritta dall’alto rappresentante. Questa possibilità è prevista nella decisione che istituisce l’operazione PSDC. Le ICUE comunicate in tali circostanze sono limitate a quelle prodotte ai fini dell’operazione PSDC e classificate di livello non superiore a RESTREINT UE/EU RESTRICTED, a meno che la decisione che stabilisce l’operazione PSDC non preveda un livello di classifica più elevato. A norma di tale intesa amministrativa lo Stato ospitante è tenuto a impegnarsi a proteggere le ICUE conformemente a norme minime che non sono meno rigorose di quelle previste nella presente decisione.

30.

In assenza di un accordo sulla sicurezza delle informazioni, la comunicazione di ICUE a Stati terzi o organizzazioni internazionali interessati, diversi da quelli partecipanti a un’operazione PSDC, può essere disciplinata da un’intesa amministrativa sottoscritta dall’alto rappresentante Se del caso, questa possibilità con le eventuali relative condizioni è prevista dalla decisione che stabilisce l’operazione PSDC. Le ICUE comunicate in tali circostanze sono limitate a quelle prodotte ai fini dell’operazione PSDC e classificate di livello non superiore a RESTREINT UE/EU RESTRICTED, a meno che la decisione che stabilisce l’operazione PSDC non preveda un livello di classifica più elevato. A norma di tale intesa amministrativa lo Stato terzo o l’organizzazione internazionale in questione sono tenuti a impegnarsi a proteggere le ICUE conformemente a norme minime che non sono meno rigorose di quelle previste nella presente decisione.

31.

Non sono richieste modalità di attuazione o visite di valutazione prima di attuare le disposizioni sulla comunicazione di ICUE nel contesto dei punti 22, 23 e 24.

32.

Qualora non sia istituito alcun quadro normativo conformemente alle sezioni III, IV e V e qualora il Consiglio o uno dei suoi organi preparatori ravvisi la necessità eccezionale di comunicare ICUE a uno Stato terzo o un’organizzazione internazionale, l’SGC:

33.

Se il Comitato per la sicurezza emette una raccomandazione favorevole alla comunicazione delle ICUE, la questione è sottoposta al Comitato dei Rappresentanti Permanenti (Coreper), che adotta una decisione in merito a detta comunicazione.

34.

Se la raccomandazione del Comitato per la sicurezza non è favorevole alla comunicazione delle ICUE:

35.

Ove lo si ritenga opportuno e fatto salvo il consenso preliminare scritto dell’originatore, il Coreper può decidere che le informazioni classificate possano essere comunicate solo in parte o solo se declassate o declassificate in via preliminare, o che le informazioni da comunicare siano messe a punto senza riferimento alla fonte o al livello originario di classifica UE.

36.

A seguito di una decisione di comunicare ICUE, l’SGC trasmette il documento in questione recante un contrassegno di divulgabilità che indica lo Stato terzo o l’organizzazione internazionale a cui è stato comunicato. Prima o al momento della comunicazione effettiva, il terzo in questione si impegna per iscritto a proteggere le ICUE che riceve conformemente ai principi fondamentali e alle norme minime stabiliti nella presente decisione.

37.

Qualora esista, conformemente al punto 2, un quadro per lo scambio di informazioni classificate con uno Stato terzo o un’organizzazione internazionale, il Consiglio adotta la decisione di autorizzare il segretario generale a comunicare le ICUE allo Stato terzo o all’organizzazione internazionale in questione, conformemente al principio del consenso dell’originatore. Il segretario generale può delegare tale facoltà ad alti funzionari dell’SGC.

38.

Qualora esista, conformemente al punto 2, primo trattino, un accordo sulla sicurezza delle informazioni, il Consiglio può autorizzare l’alto rappresentante a comunicare ICUE provenienti dal Consiglio nel settore della politica estera e di sicurezza comune, dopo aver ottenuto il consenso dell’originatore del materiale d’origine ivi contenuto, allo Stato terzo o all’organizzazione internazionale in questione. L’alto rappresentante può delegare tale facoltà ad alti funzionari del SEAE o agli RSUE.

39.

Qualora esista, conformemente ai punti 2 o 3, un quadro per lo scambio di informazioni classificate con uno Stato terzo o un’organizzazione internazionale, l’alto rappresentante è autorizzato a comunicare le ICUE conformemente alla decisione che istituisce l’operazione PSDC e al principio del consenso dell’originatore. L’alto rappresentante può delegare tale facoltà ad alti funzionari del SEAE, a comandanti dell’operazione, della forza o della missione dell’UE o a capimissione dell’UE.

«accreditamento», il processo che porta a una dichiarazione formale dell’autorità di accreditamento di sicurezza (SAA) con la quale un sistema è abilitato a funzionare con un determinato livello di classifica, in particolari condizioni di sicurezza nel proprio ambiente operativo e ad un livello di rischio accettabile, in base al presupposto dell’attuazione di una serie convenuta di misure di sicurezza a livello tecnico, materiale, organizzativo e procedurale;

«risorsa», qualsiasi cosa che ha valore per un’organizzazione, le sue operazioni economiche e la loro continuità, comprese le risorse dell’informazione che sostengono la missione dell’organizzazione;

«autorizzazione di accesso alle ICUE», una decisione dell’autorità dell’SGC che ha il potere di nomina adottata sulla base dell’assicurazione data da un’autorità competente di uno Stato membro che un funzionario o altro agente dell’SGC o esperto nazionale distaccato presso l’SGC può, quando sia stata accertata la sua necessità di conoscere e una volta istruito sulle proprie responsabilità, avere accesso alle ICUE fino a un livello di classifica specifico (CONFIDENTIEL UE/EU CONFIDENTIAL o superiore) e a una data stabilita;

«ciclo di vita del CIS», l’intera durata dell’esistenza di un CIS che comprende inizio, concezione, pianificazione, analisi dei requisiti, progettazione, sviluppo, verifica, attuazione, funzionamento, manutenzione e disattivazione;

«contratto classificato», un contratto di fornitura di beni, di esecuzione di lavori o di prestazione di servizi, stipulato fra l’SGC e un contraente, la cui esecuzione richiede o implica l’accesso o la produzione di ICUE;

«subcontratto classificato», un contratto di fornitura di beni, di esecuzione di lavori o di prestazione di servizi, stipulato fra un contraente dell’SGC e un altro contraente (ossia il subcontraente), la cui esecuzione richiede o implica l’accesso o la produzione di ICUE;

«sistema di comunicazione e informazione» (CIS) — cfr. l’articolo 10, paragrafo 2;

«contraente», una persona fisica o giuridica avente la capacità giuridica di sottoscrivere un contratto;

«materiale crittografico (crypto)», algoritmi crittografici, moduli hardware e software crittografici, e prodotti comprendenti dettagli di attuazione e documentazione associata e materiale di codifica;

«prodotto crittografico», un prodotto la cui funzione principale e primaria è la fornitura di servizi di sicurezza (riservatezza, integrità, disponibilità, autenticità e non disconoscibilità) mediante uno o più meccanismi crittografici;

«operazione PSDC», un’operazione di gestione militare o civile delle crisi ai sensi del titolo V, capo 2, TUE;

«declassificazione», la soppressione di qualsiasi classifica di sicurezza;

«difesa in profondità», l’applicazione di una serie di misure di sicurezza organizzate come fasi multiple di difesa;

«autorità di sicurezza designata» (DSA), autorità che fa capo all’autorità di sicurezza nazionale (NSA) di uno Stato membro, incaricata di comunicare ai soggetti industriali o di altra natura la linea politica nazionale riguardo a tutti gli aspetti della sicurezza industriale e di fornire guida e assistenza nell’attuazione della medesima. La funzione della DSA può essere espletata dall’NSA o da qualsiasi altra autorità competente;

«documento», qualsiasi informazione registrata, a prescindere dalla sua forma o dalle sue caratteristiche materiali;

«declassamento», una riduzione del livello di classifica di sicurezza;

«informazioni classificate UE» (ICUE) - cfr. l’articolo 2, paragrafo 1;

«nulla osta di sicurezza delle imprese» (FSC), una decisione amministrativa di un’NSA o DSA, secondo la quale un’impresa è in grado, sotto il profilo della sicurezza, di offrire un adeguato livello di protezione alle ICUE di un determinato livello di classifica di sicurezza;

«trattamento» delle ICUE, qualsiasi azione di cui possono essere oggetto le ICUE nel loro ciclo di vita. Ciò comprende la loro creazione, elaborazione, trasporto, declassamento, declassificazione e distruzione. In relazione al CIS il trattamento comprende anche raccolta, visualizzazione, trasmissione e conservazione;

«detentore», una persona debitamente autorizzata con una necessità di conoscere stabilita, che detiene un elemento di ICUE ed è di conseguenza responsabile della sua protezione;

«soggetto industriale o di altra natura», un soggetto che si occupa della fornitura di beni, della esecuzione di lavori o della prestazione di servizi; può trattarsi di un soggetto del settore industriale, commerciale, di servizi, scientifico, di ricerca, didattico o di sviluppo, ovvero di un lavoratore autonomo;

«sicurezza industriale» — cfr. l’articolo 11, paragrafo 1;

«garanzia di sicurezza delle informazioni» — cfr. l’articolo 10, paragrafo 1;

«interconnessione» — cfr. l’allegato IV, punto 32;

«gestione delle informazioni classificate» — cfr. l’articolo 9, paragrafo 1;

«materiale», qualsiasi documento, vettore di dati o elemento di macchinario o attrezzatura, sia sotto forma di prodotto finito sia in corso di lavorazione;

«originatore», un’istituzione, organo o organismo dell’Unione, Stato membro, Stato terzo o organizzazione internazionale sotto la cui autorità sono state create e/o introdotte nelle strutture dell’Unione informazioni classificate;

«sicurezza del personale» — cfr. l’articolo 7, paragrafo 1;

«nulla osta di sicurezza del personale» (PSC), una dichiarazione dell’autorità competente di uno Stato membro fatta al termine di un’indagine di sicurezza condotta dalle autorità competenti di uno Stato membro e attestante che una persona può avere accesso alle ICUE fino a un livello di classifica specifico (CONFIDENTIEL UE/EU CONFIDENTIAL o superiore) e a una data stabilita;

«certificato di nulla osta di sicurezza del personale» (PSCC), un certificato rilasciato dall’autorità competente attestante che una persona ha ottenuto il nulla osta di sicurezza e possiede un certificato di nulla osta di sicurezza o un’autorizzazione di accesso alle ICUE da parte dell’autorità che ha il potere di nomina in corso di validità, in cui figura il livello di ICUE cui detta persona può accedere (CONFIDENTIEL UE/EU CONFIDENTIAL o superiore), la data di validità del relativo PSC e la data di scadenza del certificato stesso;

«sicurezza materiale» — cfr. l’articolo 8, paragrafo 1;

«istruzioni di sicurezza del programma/progetto» (PSI), un elenco delle procedure di sicurezza che sono applicate a un programma/progetto specifico per uniformare le stesse procedure di sicurezza. Detto elenco può essere riveduto per tutta la durata del programma/progetto;

«registrazione» — cfr. l’allegato III, punto 18;

«rischio residuo», il rischio che resta una volta attuate delle misure di sicurezza, dato che non tutte le minacce possono essere neutralizzate né tutte le vulnerabilità eliminate;

«rischio», la possibilità che una data minaccia sfrutti le vulnerabilità interne ed esterne di un’organizzazione o di uno qualsiasi dei sistemi da essa utilizzati, arrecando pertanto danno all’organizzazione o ai suoi beni materiali o immateriali. È calcolato come una combinazione tra le probabilità del verificarsi delle minacce e il loro impatto;

«lettera sugli aspetti di sicurezza» (SAL), un pacchetto di condizioni contrattuali specifiche emesso dall’autorità contraente, che è parte integrante di un contratto classificato implicante l’accesso o la creazione di ICUE e in cui sono individuati i requisiti di sicurezza o gli elementi del contratto che richiedono una protezione di sicurezza;

«guida alle classifiche di sicurezza» (SCG), un documento che illustra gli elementi di un programma o di un contratto classificati e precisa i livelli di classifica di sicurezza applicabili. L’SCG può essere integrata per tutta la durata del programma o del contratto e gli elementi informativi possono essere riclassificati o declassati; se esistente l’SCG fa parte della SAL;

«indagine di sicurezza», le procedure investigative condotte dall’autorità competente di uno Stato membro conformemente alle disposizioni legislative e regolamentari nazionali volte ad accertare l’inesistenza di informazioni negative note sul conto di una persona che osterebbero alla concessione di un PSC o di un’autorizzazione per accedere alle ICUE fino a un livello specifico (CONFIDENTIEL UE/EU CONFIDENTIAL o superiore);

«modo di funzionamento in condizioni di sicurezza», la definizione delle condizioni in cui funziona un CIS in base alla classifica delle informazioni trattate e ai livelli di nulla osta del personale, alle approvazioni dell’accesso formale e alla necessità di conoscere dei suoi utenti. Esistono quattro modi di funzionamento per trattare o trasmettere informazioni classificate: modo esclusivo, modo predominante, modo compartimentato e modo multilivello; si intende per:

«procedura di gestione del rischio di sicurezza», l’intera procedura che consiste nell’individuare, controllare e ridurre al minimo eventi incerti che possono incidere sulla sicurezza di un’organizzazione o di un qualsiasi sistema in uso. Essa contempla tutte le attività correlate al rischio, tra cui la valutazione, il trattamento, l’accettazione e la comunicazione;

«TEMPEST», l’indagine, studio e controllo delle radiazioni elettromagnetiche che possono compromettere le informazioni e le misure per eliminarle;

«minaccia», causa potenziale di un incidente indesiderato che può recar danno a un’organizzazione o a uno dei sistemi in uso; tali minacce possono essere accidentali o intenzionali (dolose) e sono caratterizzate da elementi di minaccia, potenziali obiettivi e metodologie d’attacco;

«vulnerabilità», una debolezza di qualsiasi tipo che una o più minacce possono sfruttare. La vulnerabilità può derivare da un’omissione o essere legata ad una debolezza nei controlli in termini di rigore, completezza o coerenza e può essere di natura tecnica, procedurale, materiale, organizzativa od operativa.