EUROPESE COMMISSIE
Brussel, 22.3.2022
COM(2022) 119 final
2022/0084(COD)
Voorstel voor een
VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD
betreffende informatiebeveiliging in de instellingen, organen en instanties van de Unie
{SWD(2022) 65 final} - {SWD(2022) 66 final}
TOELICHTING
1.ACHTERGROND VAN HET VOORSTEL
•Motivering en doel van het voorstel
Dit voorstel is een onderdeel van de EU-strategie voor de veiligheidsunie die de Commissie op 24 juli 2020 heeft aangenomen, waarbij zij zich ertoe verbond de nationale veiligheidsinspanningen te ondersteunen met de meerwaarde die de Europese Unie biedt. Onderdeel van deze verbintenis is het initiatief om de interne rechtskaders op het gebied van informatiebeveiliging in alle instellingen en organen van de Unie te stroomlijnen.
Een belangrijk onderdeel van de strategische agenda voor 2019–2024, die de Europese Raad in juni 2019 heeft aangenomen, is de bescherming van onze samenlevingen tegen de steeds veranderende dreigingen waaraan de door de instellingen en organen verwerkte informatie blootstaat. De Europese Raad verzocht in zijn conclusies in het bijzonder “de EU-instellingen om samen met de lidstaten aan maatregelen te werken om de weerbaarheid te vergroten en de veiligheidscultuur van de EU tegen cyber- en hybride dreigingen van buiten de EU te verbeteren, en om de informatie- en communicatienetwerken en de besluitvormingsprocessen van de EU beter te beschermen tegen alle soorten kwaadwillige activiteiten”.
Op diezelfde lijn concludeerde de Raad Algemene Zaken van december 2019 dat de instellingen, organen en instanties, ondersteund door de lidstaten, een uitgebreide reeks maatregelen moeten uitwerken en toepassen om hun veiligheid te waarborgen. Ook het Beveiligingscomité van de Raad vraagt al geruime tijd dat onderzoek wordt gedaan naar een gemeenschappelijke kern van beveiligingsvoorschriften voor de Raad, de Commissie en de Europese Dienst voor extern optreden.
De instellingen en organen van de Unie hebben momenteel ofwel elk hun eigen voorschriften op het gebied van informatiebeveiliging, gebaseerd op hun reglement van orde of oprichtingshandeling, ofwel helemaal geen voorschriften op dat gebied. Dat laatste geldt met name voor enkele kleine entiteiten die geen formeel beleid hebben op het gebied van informatiebeveiliging.
Door de steeds grotere hoeveelheden gevoelige niet-gerubriceerde informatie en gerubriceerde informatie van de Europese Unie (“EUCI”) die de instellingen en organen van de Unie onderling moeten uitwisselen en door de dramatische ontwikkeling van het dreigingslandschap staat het Europese bestuur bloot aan aanvallen op alle gebieden waarop het actief is. De informatie die onze instellingen en organen verwerken, is zeer aantrekkelijk voor de dreigingsactoren en moet adequaat worden beschermd. Voor een betere bescherming moet daarom snel actie worden ondernomen.
Om de door het Europese bestuur verwerkte informatie beter te beschermen, beoogt dit initiatief de verschillende rechtskaders van de instellingen en organen van de Unie op dit gebied te stroomlijnen door:
•uitgebreide geharmoniseerde informatiecategorieën en gemeenschappelijke verwerkingsvoorschriften vast te stellen voor alle instellingen en organen van de Unie;
•een flexibele regeling voor de samenwerking inzake informatiebeveiliging tussen de instellingen en organen van de Unie op te zetten, waarmee voor het gehele Europese bestuur een samenhangende informatiebeveiligingscultuur tot stand kan worden gebracht;
•het informatiebeveiligingsbeleid op alle rubricerings- en categoriseringsniveaus te moderniseren voor alle instellingen en organen van de Unie, rekening houdend met de digitale transformatie en de ontwikkeling van thuiswerken als structurele praktijk.
•Samenhang met bestaande bepalingen op het beleidsterrein
Dit initiatief is in overeenstemming met een breed scala aan EU-beleid op het gebied van veiligheid en informatiebeveiliging.
Al in 2016 stelden het Europees Parlement en de Raad een richtlijn vast met maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie. Die richtlijn was de eerste EU-brede wetgevingsmaatregel waarmee werd gestreefd naar nauwere samenwerking tussen de lidstaten op het gebied van cyberbeveiliging. De Commissie kwam in december 2020 met een voorstel tot herziening van dit instrument, waarbij toezichtmaatregelen voor de nationale autoriteiten werden voorgesteld, maar dat had geen betrekking op het bestuur van de Unie.
Ter bescherming van de informatiebeveiliging is het ook, als aanvulling op de inspanningen van de lidstaten op veiligheidsgebied, van het allergrootste belang dat de instellingen en organen van de Unie zorgen voor een hoog niveau van bescherming van hun informatie en de daarmee samenhangende informatie- en communicatiesystemen.
De Commissie stelde in juli 2020 de strategie voor de veiligheidsunie vast, waarin de EU zich er op alle vlakken toe verbindt de inspanningen van de lidstaten op alle beveiligingsterreinen aan te vullen. De strategie loopt van 2020 tot en met 2025 en voorziet in vier grote actiegebieden: een toekomstbestendige veiligheidsomgeving, aanpak van veranderende dreigingen, bescherming van Europeanen tegen terrorisme en georganiseerde misdaad en een krachtig Europees veiligheidsecosysteem. Verschillende thema’s op deze gebieden zijn gericht op informatiebeveiliging, cyberbeveiliging, samenwerking en informatie-uitwisseling en kritieke infrastructuur.
In overeenstemming met de strategie voor de veiligheidsunie stelt de Europese Commissie voor een minimumreeks voorschriften op het gebied van informatiebeveiliging op te stellen voor alle instellingen en organen van de Unie, waarbij verplichte, strikte gemeenschappelijke normen voor de veilige uitwisseling van informatie tot stand zullen komen. Dit initiatief toont aan dat de instellingen en organen zich ertoe verbinden om binnen het Europese bestuur evenveel ambitie op het gebied van veiligheid te tonen als van de lidstaten wordt geëist.
Op 16 december 2020 hebben de Commissie en de hoge vertegenwoordiger voor buitenlandse zaken en veiligheidsbeleid een nieuwe EU-strategie inzake cyberbeveiliging gepresenteerd. Daarin werden prioriteiten en belangrijke maatregelen voorgesteld om veerkracht, autonomie, leiderschap en operationele capaciteit voor Europa op te bouwen in het licht van de toenemende complexe dreigingen voor netwerk- en informatiesystemen, en om een mondiale open cyberspace en internationale partnerschappen in dat verband te bevorderen. Het is evenzeer belangrijk dat de instellingen en organen van de Unie bijdragen tot de verwezenlijking van deze prioriteiten door gelijkwaardige eisen op het gebied van informatiebeveiliging en cyberbeveiliging vast te stellen.
Samen met het voorstel voor een verordening betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie beoogt dit voorstel de regelgeving in het kader van de strategie voor de veiligheidsunie te vervolledigen met specifieke vereisten voor het Europese bestuur. Gezien de onderlinge verbanden tussen informatiebeveiliging en cyberbeveiliging moet ten aanzien van deze twee voorstellen worden gezorgd voor een coherente aanpak van de bescherming van niet-gerubriceerde informatie.
•Verenigbaarheid met andere beleidsterreinen van de Unie
Dit initiatief houdt ook rekening met andere beleidsterreinen van de Unie die voor informatiebeveiliging relevant zijn.
Op het gebied van gegevensbescherming is Verordening (EU) 2018/1725 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens van toepassing op het bestuur van de Europese Unie en de Europese Gemeenschap voor Atoomenergie (Euratom). Ook moet worden vermeld dat de EU-wetgevers voor sommige instellingen en organen van de Unie specifieke relevante regels voor de bescherming van persoonsgegevens hebben vastgesteld.
Wat transparantie betreft, bouwt dit voorstel voort op de beginselen die zijn neergelegd in Verordening (EG) nr. 1049/2001 inzake de toegang van het publiek tot documenten van het Europees Parlement, de Raad en de Commissie, met betrekking tot andere relevante regels.
2.RECHTSGRONDSLAG, SUBSIDIARITEIT EN EVENREDIGHEID
•Rechtsgrondslag
Gezien het doel en de inhoud van dit voorstel vormen artikel 298 van het Verdrag betreffende de werking van de Europese Unie (VWEU) en artikel 106 bis van het Verdrag tot oprichting van de Europese Gemeenschap voor Atoomenergie de meest geschikte rechtsgrondslag.
Artikel 298 VWEU, ingevoerd bij het Verdrag van Lissabon, stelt de wetgevers in staat bepalingen vast te stellen voor de totstandbrenging van een efficiënt en onafhankelijk ambtenarenapparaat dat de instellingen, organen en instanties bij de uitvoering van hun taken ondersteunt.
Een efficiënt en onafhankelijk ambtenarenapparaat moet kunnen vertrouwen op de veiligheid van zijn informatie. Om hun taken te vervullen, moeten de instellingen en organen van de Unie kunnen beschikken over een beveiligde omgeving voor de informatie die zij dagelijks verwerken en opslaan. Bovendien zou een gemeenschappelijk basisniveau van verplichte normen voor iedereen een hoge mate van veiligheid garanderen, het risico op zwakke schakels bij de ondersteuning van de interoperabiliteit tussen instellingen en organen verminderen en synergie tot stand brengen, waardoor de overheid beter weerbaar is tegen de veranderende dreigingen.
Dit voorstel, waarvan het algemene doel is een hoog gemeenschappelijk niveau van beveiliging tot stand te brengen voor EUCI en niet-gerubriceerde informatie die door de instellingen en organen van de Unie worden verwerkt en opgeslagen, zal het Europese bestuur bovendien in staat stellen zich beter te verweren tegen externe inmenging en spionageactiviteiten.
Op grond van artikel 298 VWEU kan de Unie gemeenschappelijke regels vaststellen voor het gehele Europese bestuur en aldus waarborgen dat zowel EUCI als niet-gerubriceerde informatie door alle instellingen en organen van de Unie op dezelfde wijze wordt behandeld. Zo worden bij deze verordening regels vastgesteld die van toepassing zijn op het bestuur en kunnen indirect alleen verplichtingen worden opgelegd aan personen die taken verrichten namens dit bestuur of op contractuele basis; dus niet aan de commissarissen, de vertegenwoordigers van de lidstaten die in het kader van de Raad handelen, de leden van het Europees Parlement, de rechters van de rechterlijke instanties van de Unie of de leden van de Europese Rekenkamer.
Overeenkomstig artikel 298 VWEU moeten het Europees Parlement en de Raad de desbetreffende bepalingen volgens de gewone wetgevingsprocedure bij verordeningen vaststellen.
Dit voorstel vereist een aanvullende rechtsgrondslag aangezien het ook betrekking heeft op de informatie die verband houdt met bepaalde activiteiten van de Europese Gemeenschap voor Atoomenergie. Dergelijke informatie is geen gerubriceerde Euratom-informatie, maar wordt door de instellingen en organen van de Unie behandeld in het kader van de algemene regeling voor EUCI.
Deze aanvullende rechtsgrondslag is artikel 106 bis van het Verdrag tot oprichting van de Europese Gemeenschap voor Atoomenergie, waardoor artikel 298 VWEU ook van toepassing is op bovengenoemde Euratom-activiteiten.
•Subsidiariteit (voor niet-exclusieve bevoegdheden)
Overeenkomstig het in artikel 5, lid 3, van het Verdrag betreffende de Europese Unie (VEU) neergelegde subsidiariteitsbeginsel mag slechts op het niveau van de Unie worden opgetreden wanneer de doelstellingen van het overwogen optreden niet voldoende door de lidstaten alleen kunnen worden verwezenlijkt, maar vanwege de omvang of de gevolgen van het overwogen optreden beter door de EU kunnen worden bereikt.
Aangezien alleen de Unie voorschriften kan vaststellen en inzake EUCI en gevoelige niet-gerubriceerde informatie die door de instellingen en organen van de Unie wordt verwerkt en opgeslagen, is het subsidiariteitsbeginsel niet van toepassing.
•Evenredigheid
De vaststelling van een gemeenschappelijk basisniveau van informatiebeveiliging dat voor alle instellingen en organen van de Unie geldt, is noodzakelijk om bij te dragen tot een onafhankelijk en efficiënt bestuur.
Overeenkomstig het in artikel 5, lid 4, VEU neergelegde evenredigheidsbeginsel zijn de bepalingen van de verordening niet te prescriptief en laten zij ruimte voor verschillende niveaus van specifiek optreden, in overeenstemming met het maturiteitsniveau op beveiligingsgebied van elke instelling en elk orgaan van de Unie.
Bovendien heeft de oplossing beperkte gevolgen voor de grondrechten van personen. Het voorstel gaat derhalve niet verder dan wat nodig is voor de aanpak van het probleem dat er geen gemeenschappelijke reeks voorschriften inzake informatiebeveiliging bestaat voor alle instellingen en organen van de Unie.
•Keuze van het instrument
Een verordening op basis van artikel 298 VWEU wordt als het passende rechtsinstrument beschouwd.
De reden daarvoor is de overheersende rol van elementen die een uniforme toepassing vereisen, die de instellingen en organen van de Unie geen uitvoeringsmarge laat en die een horizontaal minimumkader creëert.
3.EVALUATIE, RAADPLEGING VAN BELANGHEBBENDEN EN EFFECTBEOORDELING
•Evaluatie van bestaande wetgeving en controle van de resultaatgerichtheid ervan
Niet van toepassing
•Raadpleging van belanghebbenden
De Commissie heeft de belangrijkste belanghebbenden op brede basis geraadpleegd over diverse aspecten van de voorschriften inzake informatiebeveiliging van de instellingen en organen van de Unie. De raadplegingsactiviteiten waren er met name op gericht relevante input te verzamelen voor het opstellen van een wetgevingsinitiatief inzake de voorschriften voor informatiebeveiliging die voor alle instellingen en organen van de Unie gelden. De raadplegingen waren bedoeld om input te verzamelen over:
•problemen in verband met het bestaande kader voor informatiebeveiliging binnen de instellingen en organen van de Unie die volgens belanghebbenden in het kader van het initiatief moeten worden aangepakt;
•de relevantie, doeltreffendheid, efficiëntie en toegevoegde waarde van het initiatief;
•de verwachte effecten van het initiatief en mogelijke andere consequenties voor de belanghebbenden.
Bij de voorbereiding van dit wetgevingsvoorstel heeft de Commissie de volgende categorieën belanghebbenden geraadpleegd:
1.instellingen, organen en instanties van de Unie;
2.nationale veiligheidsautoriteiten in de lidstaten;
3.onderzoeksdeskundigen van het JRC.
Gezien de bijzondere kenmerken van dit initiatief, dat uitsluitend van toepassing is op de instellingen en organen van de Unie en weinig gevolgen heeft voor de Europese burgers en bedrijven, hebben de diensten van de Commissie ervoor gekozen prioriteit te geven aan het verzamelen van de standpunten van de relevante groepen belanghebbenden. Er is daarom geen openbare raadpleging specifiek voor dit wetgevingsinitiatief gehouden.
Tijdens het raadplegingsproces hebben de diensten van de Commissie de volgende methoden en vormen van raadpleging gebruikt:
1.de mogelijkheid voor alle belanghebbenden om via het platform “Geef uw mening” van de Commissie feedback te geven over de aanvangseffectbeoordeling;
2.een gerichte vragenlijst voor deskundigen op het gebied van informatiebeveiliging binnen de instellingen en organen van de Unie, via een online EU-enquête;
3.een gerichte vragenlijst voor de nationale veiligheidsautoriteiten van de lidstaten, via een online EU-enquête;
4.een verzoek om een op maat gesneden risicobeoordeling van de essentiële informatiebeveiligingsinstrumenten;
5.een groot aantal bijeenkomsten en uitwisselingen met instellingen, organen en instanties, en nationale veiligheidsautoriteiten van de lidstaten.
De belangrijkste inzichten waartoe de raadplegingsactiviteiten hebben geleid, zijn volgens de Commissie:
•de versnippering van de relevante rechtskaders tussen onze instellingen en organen leidt tot veel dubbel werk voor het opstellen en handhaven van interne regels en tot niet-interoperabele praktijken bij de verwerking van informatie. Voor de lidstaten leiden de verschillende regels tot een groter risico op misverstanden, verkeerde interpretatie en niet-naleving;
•door een basisniveau van informatiebeveiliging voor alle instellingen en organen van de Unie vast te stellen, wordt een ecosysteem gecreëerd met gestandaardiseerde beveiligingsvoorschriften en beste praktijken, maar er moet rekening worden gehouden met de diversiteit en het verschillende bedrijfsklimaat van alle instellingen en organen van de Unie en lokale oplossingen moeten mogelijk zijn;
•alle instellingen en organen van de Unie blijven volledig verantwoordelijk voor hun organisatie van de informatiebeveiliging, en dit initiatief moet derhalve de autonomie en de verschillende niveaus van beveiligingsmaturiteit van elk van die instellingen en organen respecteren.
•Bijeenbrengen en benutten van deskundigheid
De Commissie heeft haar eigen middelen gebruikt voor de raadpleging van belanghebbenden. Het directoraat Beveiliging van DG HR heeft werkzaamheden verricht met betrekking tot de enquêtes, videoconferenties en andere workshops. Deze taak omvatte zowel de selectie van deelnemers als de organisatie van evenementen en de verwerking van de ontvangen input.
Het Gemeenschappelijk Centrum voor Onderzoek (JRC) heeft een risicobeoordeling uitgevoerd van de belangrijkste informatiebeveiligingsvoorzieningen, die als basis voor de effectbeoordeling is gebruikt.
•Effectbeoordeling
Dit initiatief is uitsluitend gericht tot de instellingen en organen van de Unie en heeft beperkte gevolgen voor de lidstaten en individuele personen. Het was daarom niet nodig om een volledige effectbeoordeling uit te voeren, aangezien er geen duidelijk identificeerbare of significante gevolgen zijn voor burgers en bedrijven. Op de Europa-website is een uitgebreide routekaart gepubliceerd en feedback van de relevante belanghebbenden is verzameld.
•Resultaatgerichtheid en vereenvoudiging
Niet van toepassing.
•Grondrechten
De EU heeft zich ertoe verbonden hoge normen voor de bescherming van de grondrechten te waarborgen. Dit initiatief waarborgt volledige naleving van de grondrechten die zijn vastgelegd in het Handvest van de grondrechten van de Europese Unie, namelijk:
•Recht op behoorlijk bestuur
Door de beveiliging van de informatie die zij verwerken bij de behandeling van zaken van Europese burgers te verbeteren, dragen de instellingen en organen van de Unie bij tot de verwezenlijking van het beginsel van behoorlijk bestuur.
•De bescherming van persoonsgegevens
Alle verwerking van persoonsgegevens in het kader van dit voorstel vindt plaats in een betrouwbare omgeving met volledige inachtneming van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad.
•Recht van inzage in documenten
De toegang van het publiek tot EUCI en gevoelige niet-gerubriceerde documenten blijft volledig geregeld bij Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad.
•Het recht op intellectuele eigendom
Bij de verwerking en opslag van niet-gerubriceerde informatie en EUCI beschermen de instellingen en organen van de Unie de intellectuele eigendom overeenkomstig Richtlijn 2001/29/EG van het Europees Parlement en de Raad.
•De vrijheid van meningsuiting en van informatie
Hoewel het iedereen vrijstaat om zonder inmenging van het openbaar gezag informatie en ideeën te ontvangen en te delen, belet dit de Unie niet de voorwaarden vast te stellen voor de toegang tot en de verwerking en de opslag van bepaalde soorten informatie, op basis van hun vertrouwelijkheidsniveau.
De uitoefening van deze vrijheden kan worden onderworpen aan voorwaarden en beperkingen die bij de wet worden bepaald en die in een democratische samenleving noodzakelijk zijn om te voorkomen dat in vertrouwen en in het belang van de veiligheid van de EU ontvangen informatie openbaar wordt gemaakt.
4.GEVOLGEN VOOR DE BEGROTING
Dit voorstel vereist de aanstelling van één AD-ambtenaar en één AST-assistent voor het permanente secretariaat van de coördinatiegroep, dat wordt verzorgd door de Commissie en wordt ondergebracht bij het directoraat Beveiliging van het directoraat-generaal Personele Middelen en Veiligheid.
Voor de instellingen en organen worden kostenbesparingen verwacht in verband met gedeelde en gezamenlijke taken en doordat potentiële economische schade als gevolg van veiligheidsincidenten wordt voorkomen door verbetering van de informatiebeveiliging. Anderzijds kunnen de financiële inspanningen die nodig zijn voor de uitvoering van de nieuwe wetgeving worden gedekt in het kader van de bestaande programma’s ter verbetering van de informatiebeveiliging in elke instelling en elk orgaan van de Unie.
5.ANDERE ELEMENTEN
•Uitvoeringsplanning en regelingen betreffende controle, evaluatie en rapportage
Het voorstel voorziet in een verplichting voor de Commissie om iedere drie jaar aan het Europees Parlement en de Raad verslag uit te brengen over de uitvoering van deze verordening, met inbegrip van de werking van de bij deze verordening ingestelde governance.
Bovendien evalueert de Commissie om de vijf jaar deze verordening om de feitelijke prestaties ervan te beoordelen en op basis daarvan na te gaan of de wetgeving moet worden gewijzigd.
•Artikelsgewijze toelichting
Dit voorstel is opgebouwd rond de vereisten voor het verwerken en opslaan van niet-gerubriceerde informatie en EUCI; dit zijn de belangrijkste onderwerpen van het initiatief en betere bescherming ervan is het onderliggende doel.
Onderwerp en toepassingsgebied (artikel 1 en artikel 2)
Bij deze verordening wordt een minimumreeks regels inzake informatiebeveiliging vastgesteld, die van toepassing zijn op alle instellingen en organen van de Unie.
Het voorstel is van toepassing op alle informatie die door de instellingen en organen van de Unie wordt verwerkt en opgeslagen, met inbegrip van informatie in verband met de activiteiten van de Europese Gemeenschap voor Atoomenergie, met uitzondering van gerubriceerde Euratom-informatie. Zowel niet-gerubriceerde informatie als EUCI valt onder deze verordening.
Definities en algemene beginselen (artikelen 3 tot en met 5)
De definities in artikel 3 zijn gebaseerd op de huidige regels inzake informatiebeveiliging die door de afzonderlijke instellingen en organen van de Unie zijn vastgesteld.
Naast de algemene beginselen van de wetgeving van de Unie: transparantie, evenredigheid, efficiëntie en verantwoordingsplicht, worden bij deze verordening de belangrijkste bindende richtsnoeren vastgesteld, zoals een afzonderlijk risicobeheerproces op het gebied van informatiebeveiliging dat door elke instelling en elk orgaan van de Unie wordt uitgevoerd en een beoordeling van hun informatie, zodat die naar behoren kan worden gecategoriseerd.
Governance en organisatie van de beveiliging (artikelen 6 tot en met 8)
Alle instellingen en organen van de Unie moeten samenwerken in een interinstitutionele coördinatiegroep voor informatiebeveiliging, die bij consensus handelt, in het gemeenschappelijk belang van de instellingen en organen van de Unie.
De coördinatiegroep bestaat uit de beveiligingsautoriteiten van alle instellingen en organen en stelt richtsnoeren op voor de uitvoering van deze verordening. De groep onderhoudt regelmatig contact met de nationale veiligheidsautoriteiten van de lidstaten, die samenwerken in een comité voor informatiebeveiliging.
Om de procedures en andere praktische aspecten in verband met informatiebeveiliging te stroomlijnen, worden vijf subgroepen opgericht met deskundigen die verschillende instellingen en organen vertegenwoordigen.
Elke instelling en elk orgaan van de Unie moet een veiligheidsautoriteit aanwijzen die belast wordt met het bepalen en uitvoeren van het interne beleid inzake informatiebeveiliging. De beveiligingsautoriteit stelt specifieke functies vast, zoals de Information Assurance Authority (instantie voor informatieborging), de Information Assurance Operational Authority (operationele instantie voor informatieborging), de Security Accreditation Authority (instantie voor beveiligingshomologatie), de TEMPEST Authority (Tempest-instantie), de Crypto Approval Authority (instantie voor de goedkeuring van cryptografische producten) en de Crypto Distribution Authority (instantie voor de distributie van cryptografische producten), die om redenen van efficiëntie of beschikbare middelen aan een andere instelling of ander orgaan kunnen worden gedelegeerd.
Informatieborging en communicatie- en informatiesystemen (artikelen 9 tot en met 11)
Bij de verordening wordt een subgroep informatieborging opgericht, die tot taak heeft de samenhang te verbeteren van de informatiebeveiligingsvoorschriften en het basisniveau op het gebied van cyberbeveiliging, zoals gedefinieerd in de verordening betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie.
De instellingen en organen van de Unie zijn verplicht de in die artikelen genoemde beginselen na te leven en afzonderlijke interne regels voor specifieke beveiligingsmaatregelen vast te stellen, aangepast aan hun eigen veiligheidsomgeving.
Niet-gerubriceerde informatie (artikelen 12 tot en met 17 en bijlage I)
De verordening onderscheidt drie categorieën niet-gerubriceerde informatie: informatie voor openbaar gebruik, normale informatie en gevoelige niet-gerubriceerde informatie. Alle categorieën worden gedefinieerd en er worden markeringen en verwerkingsvoorwaarden vastgesteld voor de bescherming van dergelijke informatie.
Ter coördinatie van het werk in verband met de gelijkwaardigheid tussen bepaalde categorieën die door sommige instellingen en organen van de Unie zijn vastgesteld en de gemeenschappelijke categorieën waarin de verordening voorziet, wordt in het voorstel een subgroep voor niet-gerubriceerde informatie ingesteld.
EUCI (artikelen 18 tot en met 58 en bijlagen II tot en met VI)
Dit is het omvangrijkste hoofdstuk van het voorstel. Het bestaat uit de volgende zeven delen: algemene bepalingen, personeelsbeveiliging, fysieke beveiliging, beheer van EUCI, bescherming van communicatie- en informatiesystemen, industriële beveiliging, delen van EUCI en uitwisseling van gerubriceerde informatie.
In het deel over algemene bepalingen worden vier niveaus van EUCI onderscheiden: TRÈS SECRET UE/EU TOP SECRET, SECRET UE/EU SECRET, CONFIDENTIEL UE/EU CONFIDENTIAL, RESTREINT UE/EU RESTRICTED. Het voorziet in de verplichting voor de instellingen en organen van de Unie om de nodige beveiligingsmaatregelen te nemen overeenkomstig de resultaten van het risicobeheer op het gebied van informatiebeveiliging.
In de overige delen wordt ingegaan op de normen voor de bescherming van EUCI die verband houden met het specifieke gebied dat in die delen wordt behandeld. Nadere details voor deze bescherming van EUCI worden gespecificeerd in de bijlagen II tot en met V. Bijlage VI bevat een equivalentietabel van EUCI en de rubriceringsgraden van de lidstaten en de Europese Gemeenschap voor Atoomenergie.
Om de relevante processen op dit gebied te stroomlijnen en dubbel werk te voorkomen, worden bij de verordening subgroepen ingesteld inzake informatieborging, niet-gerubriceerde informatie, fysieke beveiliging, homologatie van communicatie- en informatiesystemen die EUCI verwerken en opslaan, en uitwisseling van EUCI en gerubriceerde informatie.
Slotbepalingen (artikelen 59 en 62)
Dit deel behandelt de overgang van de huidige regels en procedures naar het nieuwe rechtskader dat bij deze verordening wordt ingesteld. De slotbepalingen hebben betrekking op de interne voorschriften inzake informatiebeveiliging die momenteel van toepassing zijn in de instellingen en organen van de Unie, de erkenning van evaluatiebezoeken die plaatsvinden voordat de verordening van toepassing wordt, de behandeling van eerder gesloten administratieve regelingen en de voortzetting van specifieke beveiligingskaders die van toepassing zijn op subsidieovereenkomsten.
Deze verordening wordt van toepassing twee jaar na de datum van inwerkingtreding.
2022/0084 (COD)
Voorstel voor een
VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD
betreffende informatiebeveiliging in de instellingen, organen en instanties van de Unie
HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,
Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 298,
Gezien het Verdrag tot oprichting van de Europese Gemeenschap voor Atoomenergie, en met name artikel 106 bis,
Gezien het voorstel van de Europese Commissie,
Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,
Handelend volgens de gewone wetgevingsprocedure,
Overwegende hetgeen volgt:
(1)De instellingen en organen van de Unie hebben momenteel ofwel elk hun eigen voorschriften op het gebied van informatiebeveiliging, gebaseerd op hun reglement van orde of oprichtingshandeling, ofwel helemaal geen voorschriften op dat gebied. In dat verband getroost elke instelling en elk orgaan van de Unie zich aanzienlijke inspanningen om verschillende benaderingen te volgen, die leiden tot een situatie waarin de uitwisseling van informatie niet altijd betrouwbaar zal zijn. Het ontbreken van een gemeenschappelijke aanpak is een hindernis voor het inzetten van gemeenschappelijke instrumenten op basis van een overeengekomen reeks regels, afhankelijk van de beveiligingsnoodzaak van de te beschermen informatie.
(2)Hoewel er vooruitgang is geboekt bij de totstandkoming van consistentere regels voor de bescherming van gerubriceerde informatie van de Europese Unie (EUCI) en niet-gerubriceerde informatie, blijft de interoperabiliteit van de relevante systemen beperkt, waardoor een naadloze overdracht van informatie tussen de verschillende instellingen en organen van de Unie wordt verhinderd. Daarom moet verder worden gewerkt aan een interinstitutionele aanpak van het delen van EUCI en gevoelige niet-gerubriceerde informatie, waarvoor gemeenschappelijke categorieën informatie en gemeenschappelijke beginselen voor de behandeling van informatie moeten worden gehanteerd. Er moet ook worden nagedacht over een basisscenario ter vereenvoudiging van de procedures voor het delen van EUCI en gevoelige niet-gerubriceerde informatie tussen de instellingen en organen van de Unie en met de lidstaten.
(3)Er moeten daarom relevante regels worden vastgesteld die een gemeenschappelijk niveau van informatiebeveiliging in alle instellingen en organen van de Unie waarborgen. Die regels moeten een alomvattend en samenhangend algemeen kader vormen voor de bescherming van EUCI en niet-gerubriceerde informatie, en ervoor zorgen dat de basisbeginselen en minimumnormen gelijkwaardig zijn.
(4)De recente pandemie heeft ertoe geleid dat de werkmethoden aanzienlijk zijn veranderd, in die zin dat het gebruik van instrumenten voor communicatie op afstand de regel is geworden. Daarom werden veel procedures die nog voor ten minste een deel uitgingen van uitwisseling op papier, snel aangepast om elektronische verwerking en uitwisseling van informatie mogelijk te maken. Deze ontwikkelingen vereisen veranderingen ten aanzien van de verwerking en bescherming van informatie. Deze verordening houdt rekening met de nieuwe werkmethoden.
(5)Door een gemeenschappelijk minimumniveau van bescherming van EUCI en niet-gerubriceerde informatie te creëren, draagt deze verordening ertoe bij dat de instellingen en organen van de Unie bij de uitvoering van hun taken worden ondersteund door een efficiënt en onafhankelijk bestuur. Tegelijkertijd blijft het zo dat elke instelling en elk orgaan van de Unie autonoom kan bepalen hoe de in deze verordening vastgestelde regels moeten worden uitgevoerd, overeenkomstig de eigen beveiligingsbehoeften. Deze verordening belet de instellingen en organen van de Unie in geen geval om hun taak, zoals die hun door de EU-wetgeving is toevertrouwd, te vervullen, en laat hun institutionele autonomie onverlet.
(6)Deze verordening doet geen afbreuk aan Verordening (Euratom) nr. 3/1958, Verordening nr. 31/EEG, nr. 11/EGA, tot vaststelling van het statuut van de ambtenaren en de regeling welke van toepassing is op de andere personeelsleden van de Europese Economische Gemeenschap en de Europese Gemeenschap voor Atoomenergie, Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad, Verordening (EU) 2018/1725 van het Europees Parlement en de Raad, Verordening (EEG, Euratom) nr. 354/83 van de Raad, Verordening (EU, Euratom) 2018/1046 van het Europees Parlement en de Raad, Verordening (EU) 2021/697 van het Europees Parlement en de Raad, en Verordening (EU) […] van het Europees Parlement en de Raad betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie (nog vast te stellen).
(7)Teneinde het specifieke karakter te behouden van de activiteiten van de Europese Gemeenschap voor Atoomenergie die onder Verordening (EG) nr. 3/1958 van de Raad van de Europese Gemeenschap voor Atoomenergie vallen, moet deze verordening niet van toepassing zijn op gerubriceerde Euratom-gegevens. Deze verordening moet echter wel van toepassing zijn op alle informatie met betrekking tot andere Euratom-activiteiten die niet onder Verordening (EG) nr. 3/1958 vallen.
(8)Er moet een formele structuur voor de samenwerking tussen de instellingen en organen van de Unie op het gebied van informatiebeveiliging tot stand worden gebracht; daartoe moet een interinstitutionele coördinatiegroep (hierna “de coördinatiegroep”) worden opgezet, waarin alle veiligheidsautoriteiten van de instellingen en organen van de Unie zijn vertegenwoordigd. De coördinatiegroep moet geen beslissingsbevoegdheid hebben, maar moet de samenhang van het beleid op het gebied van informatiebeveiliging versterken en bijdragen tot de harmonisatie van de procedures en instrumenten voor informatiebeveiliging in de instellingen en organen van de Unie.
(9)De werkzaamheden van de coördinatiegroep moeten worden ondersteund door deskundigen op verschillende gebieden van informatiebeveiliging: categorisering en markering, communicatie- en informatiesystemen, homologatie, fysieke beveiliging, delen van EUCI en uitwisseling van gerubriceerde informatie. Om dubbel werk binnen de instellingen en organen van de Unie te voorkomen, moeten daartoe thematische subgroepen worden opgericht. Bovendien moet de coördinatiegroep indien nodig andere subgroepen met specifieke taken kunnen opzetten.
(10)De coördinatiegroep moet nauw samenwerken met de nationale veiligheidsautoriteiten van de lidstaten om de informatiebeveiliging in de Unie te verbeteren. Daartoe moet een comité voor informatiebeveiliging van de lidstaten worden opgericht, dat de coördinatiegroep van advies voorziet.
(11)De gemeenschappelijke organen die alle instellingen en organen van de Unie vertegenwoordigen, zijn opgezet op basis van het samenwerkingsbeginsel, maar elke instelling en elk orgaan moet volledig verantwoordelijk blijven voor de informatiebeveiliging binnen de eigen organisatie. Elke instelling en elk orgaan van de Unie moet beschikken over een veiligheidsautoriteit en, indien nodig, andere instanties die belast zijn met specifieke taken op het gebied van informatiebeveiliging.
(12)Het beginsel van risicobeheer op het gebied van informatiebeveiliging moet de kern vormen van het beleid dat elke instelling en elk orgaan van de Unie op dit gebied moet ontwikkelen. Hoewel aan de minimumvereisten van deze verordening moet worden voldaan, moet elke instelling en elk orgaan van de Unie specifieke beveiligingsmaatregelen vaststellen voor de bescherming van informatie, overeenkomstig de resultaten van een interne risicobeoordeling. Ook moeten de technische middelen voor de bescherming van informatie worden aangepast aan de specifieke situatie van elke instelling en elk orgaan.
(13)Gezien de verscheidenheid aan categorieën niet-gerubriceerde informatie die de instellingen en organen van de Unie op basis van hun eigen beveiligingsvoorschriften hebben ontwikkeld, moeten de instellingen en organen van de Unie, om vertraging bij de uitvoering van deze verordening te voorkomen, hun eigen markeringssysteem kunnen handhaven voor interne doeleinden of bij de uitwisseling van informatie met andere instellingen en organen en met de lidstaten.
(14)Met het oog op aanpassing aan de nieuwe thuiswerkpraktijken moeten de netwerken die worden gebruikt om verbinding te maken met de diensten voor toegang op afstand van elke instelling en elk orgaan van de Unie worden beschermd met passende beveiligingsmaatregelen.
(15)Aangezien de instellingen en organen van de Unie vaak gebruikmaken van contractanten en uitbesteding, is het van belang gemeenschappelijke bepalingen vast te stellen met betrekking tot het personeel van contractanten dat taken op het gebied van informatiebeveiliging uitvoert.
(16)De materiële voorschriften betreffende de toegang tot EUCI die deel uitmaken van de interne voorschriften van de verschillende instellingen en organen van de Unie zijn momenteel op elkaar afgestemd, maar er zijn aanzienlijke verschillen wat betreft benamingen en vereiste procedures. Dit leidt tot lasten voor de nationale veiligheidsautoriteiten van de lidstaten, die zich aan verschillende vereisten moeten aanpassen. Er moeten daarom een gemeenschappelijke woordenlijst en gemeenschappelijke procedures worden vastgesteld op het gebied van personeelsbeveiliging, waardoor de samenwerking met de nationale veiligheidsautoriteiten van de lidstaten wordt vereenvoudigd en het risico op compromittering van EUCI wordt beperkt.
(17)Gezien de verschillen tussen de instellingen en organen van de Unie wat beschikbare middelen betreft en met het oog op de stroomlijning van hun relevante procedures en praktijken, kunnen de taken met betrekking tot veiligheidsmachtigingen aan de Commissie worden toevertrouwd, zodat de voortzetting van de reeds lang bestaande praktijk op het gebied van veiligheidsmachtigingen gewaarborgd is en wordt bijgedragen tot de centralisering van de aan elke veiligheidsautoriteit toegewezen taken.
(18)De bescherming van EUCI wordt ook gewaarborgd door de technische en organisatorische maatregelen die van toepassing zijn op de panden, gebouwen, ruimten, kantoren en faciliteiten van de instellingen en organen van de Unie waar EUCI wordt besproken, verwerkt of opgeslagen. Deze verordening voorziet in de uitvoering van een beheersproces voor de fysieke informatiebeveiliging dat de instellingen en organen van de Unie in staat stelt passende beveiligingsmaatregelen voor hun locaties te selecteren.
(19)Alle instellingen en organen van de Unie die EUCI verwerken en opslaan, moeten op hun locaties fysiek beschermde zones instellen om te waarborgen dat hetzelfde beschermingsniveau geldt voor de relevante rubriceringsgraden van de EUCI die binnen die locaties wordt verwerkt en opgeslagen. Die zones moeten worden aangewezen als administratieve zones en beveiligde zones en moeten voldoen aan gemeenschappelijke minimumnormen voor de bescherming van EUCI.
(20)Controle door de auteur is een belangrijk beginsel bij het beheer van EUCI, dat duidelijk moet worden omschreven en uitgewerkt. In dat verband geeft het aanmaken van EUCI de auteur een verantwoordelijkheid die de gehele levenscyclus van het desbetreffende EUCI-document moet bestrijken.
(21)De instellingen en organen van de Unie hebben van oudsher autonoom hun communicatie- en informatiesystemen ontwikkeld, waarbij onvoldoende aandacht is geschonken aan de interoperabiliteit met alle instellingen en organen van de Unie. Het is derhalve noodzakelijk minimumvoorschriften vast te stellen voor de beveiliging van communicatie- en informatiesystemen (CIS) waarin zowel EUCI als niet-gerubriceerde informatie wordt verwerkt en opgeslagen, teneinde een naadloze uitwisseling van informatie met belanghebbenden te waarborgen.
(22)Teneinde te komen tot één homologatienorm voor CIS waarin EUCI wordt verwerkt en opgeslagen, moeten de instellingen en organen van de Unie samenwerken in een daartoe opgerichte groep. Aanbevolen wordt dat al die instellingen en organen die norm toepassen om bij te dragen tot een algemeen niveau van bescherming van EUCI. Wat de organisatorische autonomie betreft, blijft het besluit echter berusten bij de bevoegde autoriteit van elk van de instellingen en organen.
(23)Alle instellingen en organen van de Unie moeten dezelfde procedures volgen en dezelfde maatregelen toepassen wanneer zij gerubriceerde contracten of subsidieovereenkomsten gunnen en uitvoeren. Daarom moeten zowel de verplichte als de facultatieve bepalingen van gerubriceerde contracten en subsidieovereenkomsten duidelijk worden vastgesteld. Bij de maatregelen ter bescherming van EUCI in verband met gerubriceerde contracten en subsidieovereenkomsten moet echter rekening worden gehouden met de voorschriften die op dit gebied reeds afzonderlijk door de instellingen en organen van de Unie en de lidstaten zijn ontwikkeld.
(24)De nauwe samenwerking tussen de instellingen en organen van de Unie en de vele synergieën die tot stand zijn gebracht, houden in dat een grote hoeveelheid informatie wordt uitgewisseld. Met het oog op de beveiliging van gerubriceerde informatie moet de betrouwbaarheid van een instelling of orgaan van de Unie worden beoordeeld voordat die instelling of dat orgaan een bepaald niveau van EUCI verwerkt en opslaat.
(25)Voorts moet het delen van EUCI tussen de instellingen en organen van de Unie en de uitwisseling van gerubriceerde informatie met internationale organisaties en derde landen ook worden geregeld door passende beveiligingsmaatregelen voor de bescherming van die informatie. Wanneer overeenkomsten inzake informatiebeveiliging worden overwogen, moeten de bepalingen van artikel 218 van het Verdrag van toepassing zijn.
(26)Overeenkomsten inzake informatiebeveiliging zijn bedoeld om het algemene rechtskader van de Unie voor de uitwisseling van gerubriceerde informatie met derde landen en internationale organisaties te waarborgen; het is ook noodzakelijk te voorzien in de mogelijkheid dat de instellingen en organen van de Unie, met het oog op de uitwisseling van EUCI, administratieve regelingen treffen met een specifieke soortgelijke instelling van een derde land of een internationale organisatie.
(27)Bij deze verordening wordt een gemeenschappelijk kader voor alle instellingen en organen van de Unie vastgesteld. Om te voorkomen dat aan de instellingen en organen van de Unie buitensporige administratieve lasten worden opgelegd in het kader van de aanpassing van hun interne veiligheidsvoorschriften aan de voorschriften van deze verordening, moet deze verordening twee jaar na de inwerkintreding ervan van toepassing worden.
(28)Overeenkomstig de punten 22 en 23 van het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven moet de Commissie deze verordening evalueren om na te gaan wat de daadwerkelijke effecten ervan zijn en of verdere maatregelen nodig zijn. De Commissie moet uiterlijk drie jaar na de datum waarop deze verordening van toepassing wordt, bij het Europees Parlement en de Raad een verslag indienen over de uitvoering ervan.
(29)De Europese Toezichthouder voor gegevensbescherming is overeenkomstig artikel 42 van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad geraadpleegd en heeft op … advies uitgebracht,
HEBBEN DE VOLGENDE VERORDENING VASTGESTELD:
Hoofdstuk 1
Algemene bepalingen
Artikel 1
Onderwerp
1.Bij deze verordening worden voorschriften inzake informatiebeveiliging voor alle instellingen en organen van de Unie vastgesteld.
Artikel 2
Toepassingsgebied
1.Deze verordening is van toepassing op alle informatie die door de instellingen en organen van de Unie wordt verwerkt en opgeslagen, met inbegrip van informatie in verband met activiteiten van de Europese Gemeenschap voor Atoomenergie, met uitzondering van gerubriceerde Euratom-informatie.
2.Zij is van toepassing op de volgende vertrouwelijkheidsniveaus van informatie:
a)drie niveaus van niet-gerubriceerde informatie: voor openbaar gebruik, normaal, en gevoelig niet-gerubriceerd;
b)vier niveaus van gerubriceerde EU-informatie: RESTREINT UE/EU RESTRICTED, CONFIDENTIEL UE/EU CONFIDENTIAL, SECRET UE/EU SECRET, TRÈS SECRET UE/EU TOP SECRET.
3.Deze niveaus zijn gebaseerd op de schade die ongeoorloofde openbaarmaking kan berokkenen aan legitieme particuliere en openbare belangen, met inbegrip van die van de Unie, de instellingen en organen van de Unie en de lidstaten of andere belanghebbenden, zodat passende beschermingsmaatregelen kunnen worden getroffen.
Artikel 3
Definities
Voor de toepassing van deze verordening wordt verstaan onder:
a)“informatie”: gegevens in mondelinge, visuele, elektronische, magnetische of fysieke vorm, dan wel in de vorm van materiaal, uitrusting of technologie, met inbegrip van reproducties, vertalingen en materiaal dat zich in de ontwikkelingsfase bevindt;
b)“informatiebeveiliging”: het waarborgen van de authenticiteit, beschikbaarheid, vertrouwelijkheid, integriteit en onweerlegbaarheid van informatie;
c)“verwerking” van informatie: alle mogelijke handelingen waaraan informatie tijdens de gehele levenscyclus kan worden onderworpen; verwerking omvat het aanmaken, verzamelen en registreren, het toewijzen van een vertrouwelijkheidsniveau, het verwerken, weergeven, raadplegen, vervoeren en doorgeven, het verlagen van de rubricering, het derubriceren, archiveren en vernietigen ervan;
d)“opslag”: het bewaren van informatie op een medium om ervoor te zorgen dat deze beschikbaar is voor toekomstig gebruik;
e)“instellingen en organen van de Unie”: instellingen, organen en instanties van de Unie die zijn opgericht bij of krachtens het Verdrag betreffende de Europese Unie, het Verdrag betreffende de werking van de Europese Unie of het Verdrag tot oprichting van de Europese Gemeenschap voor Atoomenergie, of een wetgevingshandeling;
f)“gerubriceerde Euratom-informatie”: informatie in de zin van Verordening nr. 3/1958 van de Raad van de Europese Gemeenschap voor Atoomenergie;
g)“veiligheidsautoriteit”: de beveiligingsfunctie van een instelling of orgaan van de Unie, aangewezen overeenkomstig het reglement van orde of de oprichtingshandeling van die instelling of dat orgaan;
h)“proces inzake het beheer van informatiebeveiligingsrisico’s”: het volledige proces van het vaststellen, onder controle houden en tot een minimum beperken van onzekere gebeurtenissen die de veiligheid van een organisatie of de door haar gebruikte systemen kunnen treffen; dit proces bestrijkt alle risicogerelateerde activiteiten, met inbegrip van beoordeling, behandeling, aanvaarding en communicatie;
i)“kritisch bestanddeel”: alles wat van waarde is voor een instelling of orgaan van de Unie en voor de bedrijfsactiviteiten en de continuïteit daarvan, met inbegrip van informatiebronnen ter ondersteuning van de opdracht ervan;
j)“operationele beveiligingsprocedures”: een reeks gedocumenteerde procedures, als bedoeld in bijlage III, voor de exploitatie van een beveiligde zone, een communicatie- en informatiesysteem of andere veiligheidsgerelateerde kritische bestanddelen of diensten, om de doeltreffendheid ervan te waarborgen;
k)“communicatie- en informatiesysteem” of “CIS”: elk systeem dat de verwerking en opslag van informatie in elektronische vorm mogelijk maakt, met inbegrip van alle daarvoor vereiste kritische bestanddelen;
l)“informatieborging”: de verzekering dat de communicatie- en informatiesystemen de informatie die zij verwerken en opslaan zullen beschermen en dat zij, wanneer dat nodig is, naar behoren zullen functioneren onder controle van legitieme gebruikers, en dat daarbij passende niveaus van authenticiteit, beschikbaarheid, vertrouwelijkheid, integriteit en onweerlegbaarheid zijn gewaarborgd;
m)“homologatie”: de formele machtiging die door de instantie voor beveiligingshomologatie wordt verleend aan een communicatie- en informatiesysteem om EUCI met een vooraf bepaalde rubriceringsgraad te verwerken, en aan een beveiligde zone om EUCI met een vooraf bepaalde rubriceringsgraad op te slaan;
n)“homologatieprocedure”: de stappen en taken die voorafgaand aan de homologatie vereist zijn;
o)“Tempest-beveiligingsmaatregelen”: maatregelen om CIS die informatie met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of hoger verwerken en opslaan, te beschermen tegen compromittering van dergelijke informatie door onopzettelijke elektromagnetische emissies;
p)“CERT-EU”: het cyberbeveiligingscentrum voor de instellingen, organen en instanties van de Unie in de zin van Verordening (EU) […] van het Europees Parlement en de Raad betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie;
q)“informatiebeveiligingsincident”: elke gebeurtenis die de authenticiteit, beschikbaarheid, vertrouwelijkheid, integriteit of onweerlegbaarheid van opgeslagen, verzonden of verwerkte informatie kan compromitteren;
r)“noodzaak van kennisneming”: de noodzaak dat een persoon toegang krijgt tot bepaalde informatie die door een instelling of orgaan van de Unie wordt verwerkt of opgeslagen, teneinde de taken van die instelling of dat specifieke orgaan van de Unie te vervullen;
s)“zero trust”: een beveiligingsmodel, een reeks beginselen inzake systeemontwerp en een gecoördineerde strategie voor cyberbeveiliging en systeembeheer, gebaseerd op erkenning van het bestaan van dreigingen binnen en buiten de traditionele netwerkgrenzen;
t)“markering”: een label dat wordt aangebracht om ervoor te zorgen dat passende beveiligingsmaatregelen worden toegepast;
u)“beveiligingsmarkering”: een markering die het niveau van vertrouwelijkheid van de informatie aangeeft;
v)“verspreidingsmarkering”: een markering die aangeeft welke de beoogde geadresseerden van informatie zijn binnen de instelling of het orgaan van de Unie;
w)“vrijgavemarkering”: een markering die aangeeft welke de toegelaten geadresseerden zijn buiten de instelling of het orgaan van de Unie;
x)“systeemeigenaar”: de persoon die de algehele verantwoordelijkheid draagt voor de aanschaf, de ontwikkeling, de integratie, de wijziging, de werking, het onderhoud en de buitendienststelling van een communicatie- en informatiesysteem;
y)“bedreiging voor de informatieveiligheid”: een gebeurtenis of factor waarvan redelijkerwijs een negatief effect op de informatieveiligheid kan worden verwacht, indien geen respons en controle plaatsvindt;
z)“kwetsbaarheid”: een zwakte, vatbaarheid of gebrekkigheid van een kritisch bestanddeel, systeem, proces of controlemiddel, die door een of meer dreigingen kan worden uitgebuit;
aa)“risico”: het potentiële negatieve effect van een bepaalde bedreiging die mogelijk gebruik maakt van interne en externe kwetsbaarheden van een instelling of orgaan van de Unie of van de systemen die zij gebruiken en waardoor schade wordt toegebracht aan legitieme publieke en particuliere belangen; het risico wordt gemeten als een combinatie van de waarschijnlijkheid dat een dreiging zich voordoet en het effect ervan;
ab)“residueel risico”: het risico dat blijft bestaan nadat beveiligingsmaatregelen zijn genomen;
ac)“risicobeoordeling”: het in kaart brengen van dreigingen en kwetsbaarheden en het verrichten van de daarmee verband houdende risicoanalyse, dat wil zeggen de analyse van waarschijnlijkheid en effect;
ad)“risicobehandeling” het mitigeren, wegnemen, verkleinen (via een passende combinatie van technische, fysieke, organisatorische of procedurele maatregelen), overbrengen of onder toezicht houden van het risico;
ae)“Europees cyberbeveiligingscertificaat”: een certificaat in de zin van artikel 2, punt 11, van Verordening (EU) 2019/881;
af)“houder”: een naar behoren gemachtigde persoon van wie de noodzaak tot kennisneming vaststaat en die informatie in zijn bezit heeft die beschermd moet worden en die dientengevolge voor die bescherming verantwoordelijk is;
ag)“materiaal”: een document, een gegevensdrager, een machine of een uitrustingsstuk die of dat is vervaardigd of wordt vervaardigd;
ah)“gerubriceerde informatie van de Europese Unie” of “EUCI”: informatie of materiaal met een bepaalde EU-rubricering waarvan ongeoorloofde openbaarmaking de belangen van de Unie of van een of meer van haar lidstaten in meerdere of mindere mate kan schaden;
ai)“machtiging die toegang geeft tot EUCI”: een besluit van een veiligheidsautoriteit dat een ambtenaar, ander personeelslid of gedetacheerde nationale deskundige van een instelling of orgaan van de Unie gedurende een bepaalde periode toegang mag krijgen tot EUCI tot een bepaalde rubriceringsgraad;
aj)“nationale veiligheidsautoriteit”: de overheidsinstantie van een EU-lidstaat die de eindverantwoordelijkheid draagt voor de beveiliging van gerubriceerde informatie in die lidstaat;
ak)“aangewezen veiligheidsautoriteit”: een instantie van een lidstaat (de nationale veiligheidsautoriteit of een andere bevoegde instantie) die tot taak heeft leiding te geven aan en/of bijstand te verlenen bij de uitvoering van industriële beveiliging of procedures voor veiligheidsmachtigingen of beide;
al)“veiligheidsonderzoek”: de onderzoeksprocedures die de bevoegde autoriteit van een lidstaat overeenkomstig de nationale wet- en regelgeving uitvoert om zich ervan te vergewissen dat er geen negatieve feiten bekend zijn waardoor de betrokkene niet in aanmerking zou komen voor een veiligheidsverklaring voor toegang tot EUCI tot een bepaalde rubriceringsgraad (CONFIDENTIEL UE/EU CONFIDENTIAL of hoger);
am)“fysieke beveiliging”: de toepassing van fysieke, technische en organisatorische maatregelen op panden, gebouwen, ruimten, kantoren of faciliteiten van een instelling of orgaan van de Unie die moeten worden beschermd tegen ongeoorloofde toegang tot de informatie die daar wordt verwerkt, opgeslagen of besproken;
an)“locaties”: de panden, gebouwen, ruimten, kantoren of faciliteiten van een instelling of orgaan van de Unie;
ao)“defence in depth”: een type beveiliging waarbij gebruik wordt gemaakt van verschillende onafhankelijke lagen van beveiligingscontroles om ervoor te zorgen dat, wanneer een van de beveiligingslagen faalt, een andere nog operationeel is;
ap)“cryptografisch materiaal”: cryptografische algoritmen, cryptografische hard- en softwaremodules en producten, inclusief nadere informatie betreffende de implementatie en bijbehorende documentatie en sleutelmateriaal;
aq)“cryptografisch product”: een product waarvan de functie er hoofdzakelijk en in de eerste plaats in bestaat aan de hand van één of meer cryptografische mechanismen beveiligingsdiensten te verlenen (echtheid, beschikbaarheid, vertrouwelijkheid, integriteit, en onweerlegbaarheid);
ar)“auteur”: de instelling of het orgaan van de Unie, of de lidstaat, het derde land of de internationale organisatie onder het gezag waarvan gerubriceerde informatie is aangemaakt en/of ingevoerd in de structuren van de Unie;
as)“document”: elke inhoud, ongeacht de drager ervan (op papier, elektronisch, magnetisch of anderszins), in schriftelijke vorm of in de vorm van een visuele of audiovisuele opname;
at)“registratie voor beveiligingsdoeleinden”: de toepassing van procedures waarbij de levenscyclus van materiaal, met inbegrip van de verspreiding en de vernietiging ervan, wordt geregistreerd;
au)“derubricering” de opheffing van een rubricering;
av)“verlaging van rubricering”: verlaging van de rubriceringsgraad;
aw)“gerubriceerd contract”: een raamovereenkomst of een overeenkomst, als bedoeld in Verordening (EU, Euratom) 2018/1046 van het Europees Parlement en de Raad, die door een instelling of orgaan van de Unie met een contractant is gesloten voor de levering van roerende of onroerende goederen, de uitvoering van werken of de verrichting van diensten, waarvan de uitvoering het verwerken, met inbegrip van het aanmaken, of het opslaan van EUCI vereist of omvat;
ax)“gerubriceerde subsidieovereenkomst”: een overeenkomst waarbij een instelling of orgaan van de Unie een subsidie toekent, als bedoeld in titel VIII, van Verordening (EU, Euratom) 2018/1046, waarvan de uitvoering het aanmaken, behandelen of opslaan van EUCI vereist;
ay)“gerubriceerd subcontract”: een overeenkomst die door een contractant of begunstigde van een instelling of orgaan van de Unie is aangegaan met een subcontractant voor de levering van roerende of onroerende goederen, de uitvoering van werken of de verrichting van diensten, waarvan de uitvoering het verwerken, met inbegrip van het aanmaken, of het opslaan van EUCI vereist of omvat;
az)“programma- of projectbeveiligingsinstructie”: een lijst van beveiligingsprocedures die op een specifiek programma of project worden toegepast om de beveiligingsprocedures te standaardiseren;
ba)“memorandum over de beveiligingsaspecten”: een geheel van bijzondere, door de aanbestedende dienst of subsidieverlenende instantie uitgevaardigde contractvoorwaarden die een integrerend deel vormen van een gerubriceerd contract of een gerubriceerde subsidieovereenkomst die het verlenen van toegang tot of het aanmaken van EUCI behelst, en waarin de beveiligingsvereisten en de te beveiligen onderdelen van het contract of de subsidie worden genoemd;
bb)“rubriceringsgids”: een document waarin wordt beschreven welke onderdelen van een programma, project, overeenkomst of subsidieovereenkomst gerubriceerd zijn en wat de toepasselijke rubriceringsgraden zijn.
Artikel 4
Algemene beginselen
1.Elke instelling en elk orgaan van de Unie is verantwoordelijk voor de uitvoering van de bepalingen van deze verordening binnen de eigen organisatie, rekening houdend met het eigen proces inzake het beheer van informatiebeveiligingsrisico’s.
2.
Niet-naleving van deze verordening, met name ongeoorloofde openbaarmaking van informatie van de in artikel 2, lid 2, bedoelde vertrouwelijkheidsniveaus, met uitzondering van informatie voor openbaar gebruik, wordt onderzocht en kan ertoe leiden dat personeelsleden ter verantwoording worden geroepen overeenkomstig de Verdragen of de desbetreffende personeelsregels.
3.De instellingen en organen van de Unie beoordelen alle informatie die zij verwerken en opslaan met het oog op de indeling overeenkomstig de in artikel 2, lid 2, bedoelde vertrouwelijkheidsniveaus.
4.De instellingen en organen van de Unie bepalen de beveiligingsnoodzaak van alle informatie die zij verwerken en opslaan, waarbij zij rekening houden met de volgende aspecten:
a)echtheid: de garantie dat informatie echt is en van bonafide bronnen afkomstig is;
b)beschikbaarheid: de toegankelijkheid en bruikbaarheid op verzoek van een gemachtigde entiteit;
c)vertrouwelijkheid: informatie mag niet worden bekendgemaakt aan onbevoegde personen, entiteiten of processen;
d)integriteit: het feit dat informatie volledig is en dat alle informatie ongewijzigd is;
e)onweerlegbaarheid: de eigenschap dat kan worden bewezen dat een actie of gebeurtenis heeft plaatsgevonden, zodat deze actie of gebeurtenis niet achteraf kan worden ontkend.
5.Voor elk communicatie- en informatiesysteem dat onder hun verantwoordelijkheid valt, stellen de instellingen en organen van de Unie het hoogste vertrouwelijkheidsniveau vast die met dat communicatie- en informatiesysteem mag worden verwerkt en opgeslagen, verrichten zij een beoordeling van het informatiebeveiligingsrisico en houden zij regelmatig toezicht op de beveiligingsnoodzaak en de correcte uitvoering van de vastgestelde beschermingsmaatregelen.
6.Alle instellingen en organen van de Unie bieden opleidings- en bewustmakingsactiviteiten aan met betrekking tot de verwerking en opslag van niet-gerubriceerde informatie en EUCI.
De instellingen en organen van de Unie die EUCI verwerken en opslaan, organiseren ten minste eenmaal per vijf jaar een verplichte opleiding voor alle personen die toegang hebben tot EUCI. De betrokken instellingen en organen van de Unie organiseren een specifieke opleiding voor de specifieke functies waarbij taken op het gebied van informatiebeveiliging worden verricht.
Een instelling of orgaan van de Unie kan dergelijke opleidings- en bewustmakingsactiviteiten coördineren met andere instellingen en organen van de Unie.
Artikel 5
Proces inzake het beheer van informatiebeveiligingsrisico’s
1.Elke instelling en elk orgaan van de Unie stelt een proces inzake het beheer van informatiebeveiligingsrisico’s vast voor de bescherming van de informatie die de instelling of het orgaan verwerkt en opslaat.
2.Het proces inzake het beheer van informatiebeveiligingsrisico’s omvat de volgende stappen:
a)identificatie van dreigingen en kwetsbaarheden;
b)risicoanalyse;
c)risicobehandeling;
d)risicoaanvaarding;
e)risicocommunicatie.
3.Het proces inzake het beheer van informatiebeveiligingsrisico’s houdt rekening met alle factoren die relevant zijn voor de betrokken instelling of het betrokken orgaan, en met name:
a)het vertrouwelijkheidsniveau van de informatie en de daaraan verbonden wettelijke verplichtingen;
b)de vorm en hoeveelheid van de informatie en de faciliteiten of CIS waarin de informatie wordt verwerkt en opgeslagen;
c)de personen die toegang hebben tot de informatie op de locaties of op afstand;
d)de omgeving en de structuur van de gebouwen of zones waar de informatie is opgeslagen;
e)tegen de Unie, de instellingen en organen van de Unie of de lidstaten gerichte dreigingen als gevolg van cyberaanvallen, aanvallen op de toeleveringsketen, spionage, sabotage, terroristische, subversieve of andere criminele activiteiten;
f)bedrijfscontinuïteit en herstel bij calamiteiten;
g)resultaten van inspecties, audits en evaluatiebezoeken, indien van toepassing.
Hoofdstuk 2
Governance en organisatie van de beveiliging
Artikel 6
Interinstitutionele coördinatiegroep voor informatiebeveiliging
1.Er wordt een interinstitutionele coördinatiegroep voor informatiebeveiliging ingesteld, hierna “coördinatiegroep” genoemd.
De coördinatiegroep bestaat uit alle veiligheidsautoriteiten van de instellingen en organen van de Unie en heeft een mandaat om hun gemeenschappelijk beleid op het gebied van informatiebeveiliging te bepalen.
2.De coördinatiegroep, die optreedt met de instemming en in het gemeenschappelijk belang van alle instellingen en organen van de Unie:
a)stelt zijn reglement van orde en jaarlijkse gemeenschappelijke doelstellingen en prioriteiten vast;
b)neemt besluiten over de oprichting van thematische subgroepen en hun taakomschrijving;
c)stelt indien nodig richtsnoeren op voor de uitvoering van deze verordening, in samenwerking met de in artikel 9 van Verordening EU […] betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie bedoelde interinstitutionele raad voor cyberbeveiliging;
d)zet speciale platforms op voor het delen van beste praktijken en kennis met betrekking tot gemeenschappelijke onderwerpen die relevant zijn voor informatiebeveiliging en voor het verlenen van bijstand bij incidenten op het gebied van informatiebeveiliging;
e)zorgt ervoor dat met het oog op de bescherming van EUCI de beveiligingsmaatregelen waar nodig worden gecoördineerd met de bevoegde nationale veiligheidsautoriteiten.
3.De coördinatiegroep wijst uit haar leden een voorzitter en twee vicevoorzitters aan voor een periode van drie jaar.
4.De coördinatiegroep komt ten minste eenmaal per jaar bijeen op initiatief van haar voorzitter of op verzoek van een instelling of orgaan van de Unie.
5.De coördinatiegroep krijgt administratieve ondersteuning van een permanent secretariaat dat door de Commissie wordt verzorgd.
6.Elk van de instellingen en organen van de Unie wordt op passende wijze vertegenwoordigd in de coördinatiegroep en, indien van toepassing, in de thematische subgroepen.
7.De instellingen en organen van de Unie brengen alle belangrijke ontwikkelingen van het informatiebeveiligingsbeleid binnen hun organisatie onder de aandacht van de coördinatiegroep.
8.Bij de uitvoering van de in lid 2, punt e), bedoelde taken wordt de coördinatiegroep bijgestaan door een comité voor informatiebeveiliging. Dat comité bestaat uit een vertegenwoordiger van elke nationale veiligheidsautoriteit en wordt voorgezeten door het secretariaat van de in lid 5 bedoelde coördinatiegroep. Het comité voor informatiebeveiliging heeft een adviserende rol.
Artikel 7
Thematische subgroepen
1.De coördinatiegroep richt de volgende permanente thematische subgroepen op om de uitvoering van deze verordening te vergemakkelijken:
a)een subgroep inzake informatieborging;
b)een subgroep inzake niet-gerubriceerde informatie;
c)een subgroep inzake fysieke beveiliging;
d)een subgroep inzake homologatie van communicatie- en informatiesystemen die EUCI verwerken en opslaan;
e)een subgroep inzake uitwisseling van EUCI en gerubriceerde informatie.
2.Indien nodig kan de coördinatiegroep ad-hocsubgroepen oprichten voor een specifieke taak en voor een beperkte duur.
3.Tenzij in hun taakomschrijving anders is bepaald, zijn de subgroepen gebaseerd op open lidmaatschap met vertegenwoordigers van de betrokken instellingen en organen van de Unie. De leden van de subgroepen zijn deskundigen op het gebied waarvoor de subgroep bevoegd is.
4.Het in artikel 5, lid 5, bedoelde secretariaat van de coördinatiegroep ondersteunt de werkzaamheden van alle subgroepen en zorgt voor de communicatie tussen de leden.
Artikel 8
ORGANISATIE VAN DE BEVEILIGING
1.Elke instelling en elk orgaan van de Unie wijst een veiligheidsautoriteit aan, die wordt belast met de taken die bij deze verordening en, in voorkomend geval, bij de interne veiligheidsvoorschriften van die instelling of dat orgaan aan die autoriteit worden toegewezen. Bij de uitvoering van haar taken wordt elke veiligheidsautoriteit ondersteund door de dienst of de functionaris die belast is met taken op het gebied van informatiebeveiliging.
2.Indien nodig stellen de veiligheidsautoriteiten van de instellingen en organen van de Unie interne uitvoeringsvoorschriften voor de bescherming van informatie vast, in overeenstemming met hun specifieke opdracht, zoals die hun krachtens het EU-recht is toevertrouwd, en op basis van hun institutionele autonomie.
3.Elk van de veiligheidsautoriteiten vervult indien nodig ook de volgende functies:
a)de instantie voor informatieborging (Information Assurance Authority), belast met het ontwikkelen van beveiligingsbeleid en ‑richtsnoeren inzake informatieborging en het toezicht op de doeltreffendheid en pertinentie daarvan;
b)de operationele instantie voor informatieborging (Information Assurance Operational Authority), belast met het opstellen van beveiligingsdocumentatie, met name de operationele beveiligingsprocedures en het cryptografisch plan in het kader van het homologatieproces voor communicatie- en informatiesystemen;
c)de instantie voor veiligheidshomologatie (Security Accreditation Authority), belast met de homologatie van beveiligde zones en van de CIS waarin EUCI wordt verwerkt en opgeslagen;
d)de Tempest-instantie (TEMPEST Authority), belast met de goedkeuring van maatregelen ter bescherming tegen compromittering van EUCI door onopzettelijke elektromagnetische emissies;
e)de instantie voor de goedkeuring van cryptografische producten (Crypto Approval Authority), belast met de goedkeuring van het gebruik van encryptietechnologieën op verzoek van de systeemeigenaar;
f)de instantie (Crypto Distribution Authority) voor het distribueren van cryptografisch materiaal voor de bescherming van EUCI (encryptieapparatuur, cryptografische sleutels, certificaten en aanverwante authenticatiemiddelen) aan de betrokken gebruikers.
4.De taken van een of meer van de in lid 3 bedoelde functies kunnen aan een andere instelling of een ander orgaan van de Unie worden gedelegeerd wanneer de gedecentraliseerde uitvoering van de beveiliging aanzienlijke efficiëntievoordelen of middelen- of tijdsbesparing oplevert.
Hoofdstuk 3
Informatieborging en communicatie- en informatiesystemen (CIS)
Artikel 9
Beginselen van informatieborging
1.Voor alle CIS, met inbegrip van interne, uitbestede en hybride CIS, wordt vanaf het begin van de vervaardiging ervan of in de aanbestedingsfase rekening gehouden met de beoordeling van de informatiebeveiligingsbehoeften.
2.Elk CIS waarin EUCI wordt verwerkt en opgeslagen, ondergaat homologatie overeenkomstig hoofdstuk 5, afdeling 5. Elk CIS waarin gevoelige niet-gerubriceerde informatie wordt verwerkt en opgeslagen, voldoet aan de minimumvereisten voor gevoelige niet-gerubriceerde informatie in CIS zoals uiteengezet in hoofdstuk 4.
Artikel 10
Subgroep inzake informatieborging
1.De in artikel 7, lid 1, punt a), bedoelde subgroep inzake informatieborging heeft de volgende taken en verantwoordelijkheden:
a)zij verstrekt indien nodig richtsnoeren voor de markering, verwerking en opslag van informatie in CIS, in nauwe samenwerking met de interinstitutionele raad voor cyberbeveiliging bedoeld in artikel 9 van Verordening EU [XXX] betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie;
b)zij zet een metagegevensregeling op voor markeringen en alle nodige technische informatie om bij te dragen tot een interoperabele en naadloze uitwisseling van informatie tussen de instellingen en organen van de Unie in verband met de onderlinge koppeling van hun CIS;
c)zij draagt bij tot de samenhang van de regels inzake informatiebeveiliging en het basisniveau van cyberbeveiliging in alle instellingen en organen van de Unie, als bedoeld in artikel 5 van Verordening EU [XXX] tot vaststelling van maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging bij de instellingen, organen en agentschappen van de Unie.
Artikel 11
Vereisten voor communicatie- en informatiesystemen
1.De instellingen en organen van de Unie lichten gebruikers in over de vertrouwelijkheidsniveaus van informatie die in een CIS kan worden verwerkt en opgeslagen. Wanneer een CIS informatie van meerdere vertrouwelijkheidsniveaus verwerkt en opslaat, worden metagegevens en visuele markeringen gebruikt die waarborgen dat de verschillende niveaus kunnen worden onderscheiden.
2.De instellingen en organen van de Unie identificeren gebruikers van CIS alvorens hun toegang te verlenen tot andere vertrouwelijkheidsniveaus dan openbaar gebruik. Gebruikers worden geauthenticeerd met een mate van zekerheid die passend is voor het vertrouwelijkheidsniveau. Waar nodig wordt een beveiligd gemeenschappelijk identificatiesysteem gebruikt.
3.Voor alle CIS worden adequate beveiligingslogbestanden bijgehouden, die snel onderzoek mogelijk maken in geval van informatie-inbreuken of ‑lekken. Deze logbestanden worden zodanig bijgehouden dat onweerlegbaarheid is gewaarborgd, gedurende een periode die bij de effectbeoordeling of in het relevante beveiligingsbeleid is vastgesteld.
Wanneer in een CIS EUCI wordt verwerkt en opgeslagen, worden logbestanden met betrekking tot de noodzaak van kennisneming en de toegang tot informatie bijgehouden totdat de informatie is gederubriceerd. De beveiligingslogboeken zijn toegankelijk en doorzoekbaar voor de veiligheidsautoriteit.
4.De instellingen en organen van de Unie stellen interne voorschriften inzake de beveiliging van CIS vast, waarin de passende beveiligingsmaatregelen worden gespecificeerd in overeenstemming met de beveiligingsbehoeften die gelden voor de informatie die moet worden verwerken en opgeslagen en rekening houdend met de rechtsgebieden waarnaar de informatie wordt doorgegeven en waar deze wordt opgeslagen en verwerkt. In voorkomend geval omvatten die maatregelen het volgende:
a)beperkingen op geografische locatie;
b)overweging of er sprake is van mogelijke belangenconflicten, boycots of sancties met betrekking tot contractanten;
c)contractuele bepalingen om de beveiliging van informatie te waarborgen;
d)versleuteling van informatie in rust en in doorvoer;
e)beperkingen op de toegankelijkheid van de informatie van de instellingen en organen van de Unie voor het personeel van de contractant;
f)bescherming van persoonsgegevens overeenkomstig de toepasselijke wetgeving inzake gegevensbescherming.
5.De instellingen en organen van de Unie beheren hun CIS met inachtneming van de volgende beginselen:
a)voor elk CIS is er een systeemeigenaar of een operationele instantie voor informatieborging die verantwoordelijk is voor de beveiliging ervan;
b)er wordt een proces inzake het beheer van informatiebeveiligingsrisico’s uitgevoerd dat betrekking heeft op informatiebeveiligingsaspecten;
c)de beveiligingsvoorschriften en operationele beveiligingsprocedures worden formeel vastgesteld, uitgevoerd, gecontroleerd en getoetst;
d)incidenten op het gebied van informatiebeveiliging worden formeel geregistreerd en opgevolgd, overeenkomstig Verordening EU [XXX] betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie.
Hoofdstuk 4
Niet-gerubriceerde informatie
Artikel 12
Informatie voor openbaar gebruik
1.Informatie die bestemd is voor openbaar gebruik of voor officiële publicatie of reeds openbaar is gemaakt, en die zonder beperkingen binnen of buiten de instellingen en organen van de Unie kan worden gedeeld, wordt ingedeeld en verwerkt en opgeslagen als informatie voor openbaar gebruik.
2.De instellingen en organen van de Unie kunnen de in lid 1 bedoelde informatie voorzien van de markering “PUBLIC USE”.
3.Alle instellingen en organen van de Unie waarborgen de integriteit en beschikbaarheid van informatie voor openbaar gebruik door middel van passende maatregelen, in overeenstemming met de beveiligingsnoodzaak ervan.
Artikel 13
Normale informatie
1.Informatie die bestemd is voor gebruik door een instelling of orgaan van de Unie bij de uitoefening van de functies daarvan, en die noch gevoelig, noch voor openbaar gebruik is, wordt ingedeeld, verwerkt en opgeslagen als normale informatie. Deze categorie omvat alle informatie op normaal werkniveau die in de betrokken instelling of het betrokken orgaan van de Unie wordt verwerkt.
2.Normale informatie kan visueel of door middel van metagegevens worden gemarkeerd wanneer dat nodig is om de bescherming ervan te waarborgen, met name wanneer deze informatie buiten de instellingen en organen van de Unie wordt gedeeld. In dat geval wordt de markering “EU NORMAL” of “[naam of acroniem van de instelling of het orgaan van de Unie] NORMAL” (per geval aangepast) gebruikt.
3.De instellingen en organen van de Unie stellen standaardbeschermingsmaatregelen vast voor normale informatie, rekening houdend met de richtsnoeren van de subgroep inzake niet-gerubriceerde informatie en eventuele specifieke risico’s in verband met hun taken en activiteiten.
4.Normale informatie wordt buiten de instellingen en organen van de Unie alleen uitgewisseld met natuurlijke personen of rechtspersonen die een noodzaak tot kennisneming hebben.
Artikel 14
Gevoelige niet-gerubriceerde informatie
1.Alle informatie die niet gerubriceerd is, maar die door de instellingen en organen van de Unie moet worden beschermd op grond van wettelijke verplichtingen of wegens de schade die door ongeoorloofde openbaarmaking kan worden toegebracht aan legitieme particuliere en openbare belangen, met inbegrip van die van de instellingen en organen van de Unie, de lidstaten of van personen, wordt door de instellingen en organen van de Unie ingedeeld, verwerkt en opgeslagen als gevoelige niet-gerubriceerde informatie.
2.Alle instellingen en organen van de Unie identificeren gevoelige niet-gerubriceerde informatie door middel van een zichtbare beveiligingsmarkering en stellen instructies voor de verwerking ervan op overeenkomstig bijlage I.
3.De instellingen en organen van de Unie beschermen gevoelige niet-gerubriceerde informatie door passende maatregelen toe te passen met betrekking tot de verwerking en opslag ervan. Dergelijke informatie mag alleen binnen de instellingen en organen van de Unie ter beschikking worden gesteld van personen die voor de uitvoering van de hun toegewezen taken de noodzaak tot kennisneming hebben.
4.Gevoelige niet-gerubriceerde informatie wordt buiten de instellingen en organen van de Unie alleen uitgewisseld met natuurlijke personen en rechtspersonen die een noodzaak tot kennisneming hebben, met inachtneming van de verwerkingsinstructies die de informatie vergezelt. Alle betrokken partijen worden op de hoogte gebracht van de passende verwerkingsinstructies.
Artikel 15
Bescherming van niet-gerubriceerde informatie en interoperabiliteit
1.De instellingen en organen van de Unie stellen procedures vast voor het melden en beheren van incidenten of vermoedelijke incidenten die de beveiliging van niet-gerubriceerde informatie in gevaar kunnen brengen.
2.Indien nodig gebruiken de instellingen en organen van de Unie de in de artikelen 12, 13 en 14 bedoelde markeringen. Andere, gelijkwaardige markeringen mogen intern en ten aanzien van equivalente onderdelen van andere instellingen en organen van de Unie of van de lidstaten worden gebruikt, indien alle partijen daarmee instemmen. Van dergelijke uitzonderingen wordt melding gemaakt aan de subgroep inzake niet-gerubriceerde informatie, bedoeld in artikel 7, lid 1, punt b).
3.Er worden contractuele waarborgen vastgesteld om de bescherming van normale en gevoelige niet-gerubriceerde informatie die in het kader van uitbestede diensten wordt verwerkt, te waarborgen. De waarborgen zijn zodanig opgezet dat zij ten minste een beschermingsniveau garanderen dat gelijkwaardig is aan dat waarin deze verordening voorziet; zij omvatten vertrouwelijkheids- en geheimhoudingsverbintenissen die moeten worden ondertekend door alle relevante dienstverleners die betrokken zijn bij de levering van de uitbestede systemen.
Artikel 16
Subgroep inzake niet-gerubriceerde informatie
1.De in artikel 7, lid 1, punt b), bedoelde subgroep inzake niet-gerubriceerde informatie heeft de volgende taken en verantwoordelijkheden:
a)stroomlijning van de procedures voor het verwerken en opslaan van de niet-gerubriceerde informatie en opstelling van de desbetreffende richtsnoeren;
b)coördinatie met de in artikel 7, lid 1, punt a), bedoelde subgroep inzake informatieborging over aangelegenheden met betrekking tot systemen voor de verwerking en opslag van niet-gerubriceerde informatie;
c)opstelling van instructies voor de verwerking van de verschillende vertrouwelijkheidsniveaus van niet-gerubriceerde informatie;
d)verlening van bijstand aan de instellingen en organen van de Unie bij het vaststellen van de gelijkwaardigheid van hun specifieke categorieën niet-gerubriceerde gegevens met de in de artikelen 12, 13 en 14 bedoelde categorieën;
e)facilitering van de uitwisseling van niet-gerubriceerde informatie tussen de instellingen en organen van de Unie door middel van bijstand en begeleiding.
Artikel 17
Verwerking en opslag van gevoelige niet-gerubriceerde informatie in CIS
1.De instellingen en organen van de Unie zorgen ervoor dat CIS die gevoelige niet-gerubriceerde informatie verwerking en opslaan, aan de volgende minimumvereisten voldoen:
a)voor de verlening van toegang tot gevoelige niet-gerubriceerde informatie wordt sterke authenticatie toegepast en bij doorgifte en opslag wordt gevoelige niet-gerubriceerde informatie versleuteld;
b)de voor de opslag gebruikte encryptiesleutels vallen onder de verantwoordelijkheid van de instellingen of organen van de Unie die verantwoordelijk zijn voor de exploitatie van het CIS;
c)gevoelige niet-gerubriceerde informatie wordt opgeslagen en verwerkt in de Unie;
d)in alle uitbestedingsovereenkomsten worden bepalingen opgenomen betreffende de beveiliging van personeel, kritische bestanddelen en informatie;
e)er wordt gebruikgemaakt van interoperabele metagegevens om het vertrouwelijkheidsniveau van elektronische documenten vast te leggen en de automatisering van beveiligingsmaatregelen te faciliteren;
f)ter bescherming van gevoelige niet-gerubriceerde informatie nemen de instellingen en organen van de Unie maatregelen om gegevenslekken te voorkomen en op te sporen;
g)er wordt gebruikgemaakt van beveiligingsapparatuur met een Europees cyberbeveiligingscertificaat, indien beschikbaar;
h)er worden beveiligingsmaatregelen getroffen op basis van de beginselen inzake noodzaak tot kennisneming en “zero trust” teneinde de toegang van dienstverleners en contractanten tot gevoelige niet-gerubriceerde informatie tot een minimum te beperken.
2.Elke afwijking van de minimumvereisten van lid 1 wordt onderworpen aan goedkeuring door het passende managementniveau van de betrokken instelling of het betrokken orgaan van de Unie, op basis van een risicobeoordeling betreffende de juridische en technische risico’s voor de beveiliging van gevoelige niet-gerubriceerde informatie.
3.De instantie voor informatieborging van de betrokken instelling of het betrokken orgaan van de Unie kan tijdens de levenscyclus van een CIS te allen tijde de naleving van de beginselen van lid 1 controleren.
Hoofdstuk 5
EUCI
Afdeling 1
Algemene bepalingen
Artikel 18
Rubriceringen en markeringen
1.Voor EUCI worden de volgende rubriceringen en bijbehorende markeringen gehanteerd:
a)TRÈS SECRET UE/EU TOP SECRET: informatie en materiaal waarvan de ongeoorloofde openbaarmaking de wezenlijke belangen van de Unie of van een of meer van haar lidstaten uitzonderlijk ernstig kan schaden;
b)SECRET UE/EU SECRET: informatie en materiaal waarvan de ongeoorloofde openbaarmaking de wezenlijke belangen van de Unie of van een of meer van haar lidstaten ernstig kan schaden;
c)CONFIDENTIEL UE/EU CONFIDENTIAL: informatie en materiaal waarvan de ongeoorloofde openbaarmaking de wezenlijke belangen van de Unie of van een of meer van haar lidstaten kan schaden;
d)RESTREINT UE/EU RESTRICTED: informatie en materiaal waarvan de ongeoorloofde openbaarmaking nadelig kan zijn voor de belangen van de Unie of van een of meer van haar lidstaten.
2.De coördinatiegroep stelt richtsnoeren vast voor het aanmaken en rubriceren van EUCI.
Artikel 19
Geschiktheid om EUCI te verwerken en op te slaan
1.Elke instelling en elk orgaan van de Unie mag EUCI verwerken en opslaan indien aan de volgende voorwaarden is voldaan:
a)de instelling of het orgaan heeft overeenkomstig deze verordening voorschriften en procedures vastgesteld om de bescherming van informatie voor een bepaalde rubriceringsgraad te waarborgen; en
b)de instelling of het orgaan heeft overeenkomstig artikel 53 een evaluatiebezoek ondergaan, waarna is gecertificeerd dat de instelling of het orgaan in staat is EUCI te beschermen overeenkomstig deze verordening en, in voorkomend geval, andere relevante voorschriften en procedures.
2.Aan de voorwaarden van lid 1 wordt geacht standaard te zijn voldaan door de leden van de in artikel 7, lid 1, punt e), bedoelde subgroep inzake uitwisseling van EUCI en gerubriceerde informatie.
Artikel 20
Bescherming van EUCI
1.De houder van enigerlei vorm van EUCI is verantwoordelijk voor de bescherming ervan.
2.Wanneer een lidstaat gerubriceerde informatie met een nationale rubriceringsmarkering invoert in de structuren of netwerken van een instelling of orgaan van de Unie, beschermt die instelling of dat orgaan die informatie volgens de overeenkomstige rubriceringsmarkering die is vastgelegd in de Overeenkomst tussen de lidstaten van de Europese Unie, in het kader van de Raad bijeen, betreffende de bescherming van in het belang van de Europese Unie uitgewisselde gerubriceerde informatie. De overeenkomstige equivalentietabel is opgenomen in bijlage VI bij deze verordening.
3.Het is mogelijk dat voor gebundelde EUCI een beschermingsniveau is vereist dat overeenstemt met een hogere rubriceringsgraad dan die van de componenten ervan.
Artikel 21
Proces inzake het beheer van EUCI-beveiligingsrisico’s
1.De veiligheidsautoriteit van elke instelling en elk orgaan van de Unie keurt de beveiligingsmaatregelen voor de bescherming van EUCI gedurende de gehele levenscyclus ervan goed overeenkomstig de resultaten van een door de instelling of het orgaan van de Unie uitgevoerde risicobeoordeling.
2.De door de instellingen en organen van de Unie getroffen beveiligingsmaatregelen zijn in overeenstemming met de rubriceringsgraad van de verwerkte en opgeslagen informatie, de vorm en het volume ervan, de locatie en de beschermingsvoorzieningen van de faciliteiten waar EUCI wordt verwerkt en opgeslagen, en de lokaal beoordeelde dreiging van kwaadwillige of criminele activiteiten.
3.Door alle instellingen en organen van de Unie worden vastgesteld:
a)noodplannen om de beveiliging van EUCI in noodsituaties te waarborgen;
b)bedrijfscontinuïteitsplannen waarin preventie- en herstelmaatregelen zijn opgenomen om de gevolgen van ernstige storingen of beveiligingsincidenten voor de verwerking en opslag van EUCI zo gering mogelijk te houden.
Artikel 22
Inbreuken op de beveiliging en compromittering van EUCI
1.Een handelen of nalaten van een instelling of orgaan van de Unie of een persoon dat in strijd is met deze verordening, wordt als een inbreuk op de beveiliging beschouwd.
2.EUCI wordt geacht te zijn gecompromitteerd wanneer de EUCI als gevolg van een inbreuk geheel of gedeeltelijk is vrijgegeven aan een of meer personen die niet zijn gemachtigd om toegang te krijgen tot die informatie.
3.Elke compromittering of vermoedelijke compromittering van EUCI wordt onmiddellijk gemeld aan de veiligheidsautoriteit van de betrokken instelling of het betrokken orgaan van de Unie, waardoor een veiligheidsonderzoek wordt uitgevoerd en ten minste de volgende maatregelen worden genomen:
a)de auteur wordt in kennis gesteld;
b)er wordt voor gezorgd dat de zaak wordt onderzocht door personeel dat niet rechtstreeks met de inbreuk te maken heeft, teneinde de toedracht vast te stellen;
c)de eventuele schade wordt beoordeeld die aan de belangen van de Unie of van de lidstaten is toegebracht;
d)er worden passende maatregelen genomen om herhaling te voorkomen;
e)de bevoegde instanties worden in kennis gesteld van de feitelijke of potentiële compromittering en de actie die is ondernomen.
Afdeling 2
Personeelsgerelateerde beveiliging
Artikel 23
Basisbeginselen
1.De veiligheidsautoriteit van een instelling of orgaan van de Unie kan aan personen toegang verlenen tot EUCI indien aan alle volgende voorwaarden is voldaan:
a)de personen hebben een noodzaak tot kennisneming;
b)de personen zijn geïnstrueerd over de beveiligingsvoorschriften en ‑procedures voor de bescherming van EUCI en de relevante beveiligingsnormen en ‑richtsnoeren, en hebben hun verantwoordelijkheden in verband met de bescherming van dergelijke informatie bevestigd;
c)indien het informatie met rubriceringsgraad CONFIDENTIEL UE/EU CONFIDENTIAL of hoger betreft, is de personen een veiligheidsmachtiging verleend en zijn zij op het passende niveau gemachtigd.
2.De instellingen en organen van de Unie houden rekening met de loyaliteit en betrouwbaarheid van een persoon, zoals vastgesteld door middel van een veiligheidsonderzoek dat is uitgevoerd door de bevoegde instanties van de lidstaat waarvan de aanvrager burger of onderdaan is.
3.De instellingen en organen van de Unie kunnen veiligheidsmachtigingen aanvaarden van derde landen en internationale organisaties waarmee de Unie een informatiebeveiligingsovereenkomst heeft gesloten.
4.De instellingen en organen van de Unie kunnen de processen voor de afgifte van veiligheidsmachtigingen autonoom beheren of met de Commissie een dienstenniveauovereenkomst sluiten met betrekking tot veiligheidsmachtigingen.
Wanneer een dienstenniveauovereenkomst wordt gesloten, is de veiligheidsautoriteit van de Commissie het contactpunt voor de beveiligingsbureaus van de betrokken instelling en het betrokken orgaan van de Unie en de nationale bevoegde instanties van de lidstaten met betrekking tot veiligheidsmachtigingen.
5.De veiligheidsautoriteit van elke instelling en elk orgaan van de Unie registreert de veiligheidsmachtigingen, briefings, schriftelijke verklaringen en machtigingen die toegang geven tot EUCI van de instelling of het orgaan van de Unie.
6.De instellingen en organen van de Unie die een dienstenniveauovereenkomst met de Commissie sluiten, stellen de veiligheidsautoriteit van de Commissie de relevante gegevens ter beschikking met betrekking tot ten minste het niveau van EUCI waartoe de betrokkene toegang kan worden verleend, de datum van afgifte van de machtiging de toegang geeft tot EUCI en de geldigheidsduur ervan. Die gegevens zijn, indien zulks gerechtvaardigd is, toegankelijk voor andere instellingen en organen van de Unie waarmee een dienstenniveauovereenkomst is gesloten.
Artikel 24
Machtiging die toegang geeft tot EUCI
1.Elke instelling en elk orgaan van de Unie bepaalt voor welke posities binnen de organisatie toegang tot informatie met rubriceringsgraad CONFIDENTIEL UE/EU CONFIDENTIAL of hoger vereist is om de houder in staat te stellen zijn of haar taken te vervullen.
2.Wanneer een persoon toegang moet krijgen tot informatie met rubriceringsgraad CONFIDENTIEL UE/EU CONFIDENTIAL of hoger, stelt de betrokken instelling of het betrokken orgaan de bevoegde veiligheidsautoriteit daarvan in kennis, waarna deze de in punt 1 van bijlage II voorgeschreven formaliteiten vervult.
3.De veiligheidsautoriteit van elk van de instellingen en organen van de Unie is verantwoordelijk voor het verlenen, opschorten, intrekken en verlengen van machtigingen die toegang geven tot EUCI voor het personeel van de instelling of het orgaan.
4.In uitzonderlijke omstandigheden, wanneer dit in het belang van de dienst gerechtvaardigd is, kan de veiligheidsautoriteit van een instelling of orgaan van de Unie, in afwachting van de voltooiing van een volledig veiligheidsonderzoek, aan personen een tijdelijke machtiging die toegang geeft tot EUCI verlenen voor een specifieke functie, zulks onverminderd de bepalingen betreffende de verlenging van de machtiging die toegang geeft tot EUCI en na verificatie door de bevoegde nationale veiligheidsautoriteit.
5.De instellingen en organen van de Unie volgen de in bijlage II beschreven procedures voor het beheer van machtigingen die toegang geven tot EUCI.
Artikel 25
Erkenning van machtigingen die toegang geven tot EUCI
1.Een machtiging die toegang geeft tot EUCI is tot het vermelde niveau geldig ongeacht bij welke instelling of orgaan van de Unie de betrokkene is aangesteld.
2.De instellingen en organen van de Unie aanvaarden door andere instellingen of organen van de Unie verleende machtigingen die toegang geven tot EUCI.
3.Wanneer de houder van een machtiging die toegang geeft tot EUCI bij een andere instelling of orgaan van de Unie in dienst treedt, stelt die instelling of dat orgaan van de Unie de betrokken nationale veiligheidsautoriteit via de bevoegde veiligheidsautoriteit in kennis van de verandering van werkgever.
Artikel 26
EUCI-briefings
1.De veiligheidsautoriteit van een instelling of orgaan van de Unie instrueert alle personen die toegang moeten hebben tot EUCI over alle mogelijke bedreigingen voor de veiligheid en over hun verplichting om alle verdachte activiteiten te melden. De briefing vindt plaats voordat toegang tot EUCI wordt verleend, en vervolgens ten minste eenmaal per vijf jaar.
2.Nadat de betrokken personen de in lid 1 bedoelde briefing hebben gekregen, bevestigen zij schriftelijk dat zij op de hoogte zijn van hun plichten met betrekking tot de bescherming van EUCI en van de gevolgen indien EUCI wordt gecompromitteerd.
3.Bij de in lid 1 bedoelde briefing wordt onder meer de volgende informatie verstrekt:
a)dat eenieder die verantwoordelijk is voor schending van de beveiligingsvoorschriften van deze verordening zich blootstelt aan disciplinaire maatregelen, overeenkomstig de geldende regelgeving;
b)dat eenieder die verantwoordelijk is voor compromittering of verlies van EUCI zich blootstelt aan disciplinaire maatregelen en/of strafvervolging, overeenkomstig de geldende wet- en regelgeving.
4.Wanneer personen aan wie een machtiging die toegang geeft tot EUCI is verleend, die toegang niet langer nodig hebben, zien de instellingen en organen van de Unie erop toe dat die personen op de hoogte zijn van hun verplichtingen om EUCI te blijven beschermen en dat zij deze zo nodig schriftelijk bevestigen.
5.De instellingen en organen van de Unie kunnen de taak van het organiseren en beheren van EUCI-briefings delen, mits rekening wordt gehouden met hun specifieke vereisten.
Afdeling 3
Fysieke beveiliging
Artikel 27
Basisbeginselen
1.Elke instelling en elk orgaan van de Unie stelt de voor de eigen locaties passende fysieke beveiligingsmaatregelen vast overeenkomstig bijlage III en het beginsel van defence in depth, op basis van een door de eigen veiligheidsautoriteit verrichte risicobeoordeling. De maatregelen hebben de volgende doelstellingen:
a)verhinderen dat een indringer toegang krijgt tot EUCI of zich toegang verschaft tot de locatie;
b)ongeoorloofde handelingen ontmoedigen, belemmeren en opsporen en zo snel mogelijk reageren op beveiligingsincidenten;
c)op basis van noodzaak tot kennisneming en waar nodig van de veiligheidsmachtiging van de betrokkene onderscheid kunnen maken tussen personeelsleden wat hun toegang tot EUCI betreft.
2.De instellingen en organen van de Unie treffen fysieke beveiligingsmaatregelen voor alle locaties waar EUCI wordt besproken, opgeslagen of verwerkt, met inbegrip van zones waar communicatie- en informatiesystemen als bedoeld in afdeling 5 van dit hoofdstuk zijn ondergebracht.
3.Voor de fysieke bescherming van informatie met rubriceringsgraad CONFIDENTIEL UE/EU CONFIDENTIAL mag uitsluitend beveiligingsapparatuur worden gebruikt die door de veiligheidsautoriteit van een instelling of orgaan van de Unie is goedgekeurd.
4.De instellingen en organen van de Unie kunnen beveiligde zones, als bedoeld in bijlage III, voor de verwerking en opslag van EUCI delen, nadat daartoe een overeenkomst is gesloten.
Artikel 28
Subgroep inzake fysieke beveiliging
1.De in artikel 7, lid 1, punt c), bedoelde subgroep inzake fysieke beveiliging heeft de volgende taken en verantwoordelijkheden:
a)het opstellen van richtsnoeren met betrekking tot fysieke beveiliging;
b)het vaststellen van de algemene beveiligingscriteria voor de aanschaf van apparatuur als beveiligde opbergmiddelen, versnipperaars, deursloten, elektronische toegangscontrolesystemen, inbraakdetectiesystemen en alarmsystemen voor de fysieke bescherming van EUCI;
c)het verlenen van bijstand aan de instellingen en organen van de Unie bij het vaststellen van passende beveiligingsmaatregelen voor hun locaties;
d)het voorstellen van compenserende maatregelen voor de bescherming van EUCI wanneer EUCI wordt verwerkt buiten de fysiek beschermde zones van een instelling of orgaan van de Unie.
Artikel 29
Fysieke bescherming van EUCI
1.Met het oog op de fysieke bescherming van EUCI stellen de instellingen en organen van de Unie de volgende fysiek beschermde zones in:
a)administratieve zones als bedoeld in bijlage III;
b)waar nodig beveiligde zones, met inbegrip van beveiligde zones van klasse I en klasse II en technisch beveiligde zones, als bedoeld in bijlage III.
2.De veiligheidsautoriteit van de betrokken instelling of het betrokken orgaan van de Unie voert een interne inspectie uit om na te gaan of is voldaan aan de voorwaarden van bijlage III voor het instellen van administratieve zones en beveiligde zones. Indien uit het inspectieverslag blijkt dat aan de voorwaarden is voldaan, kan de veiligheidsautoriteit een homologatie afgeven voor de beveiligde zone, die voor ten hoogste vijf jaar geldig blijft voor de bescherming van EUCI tot het vermelde niveau.
De veiligheidsautoriteit van de betrokken instelling of het betrokken orgaan van de Unie is verantwoordelijk voor de hernieuwde homologatie van de beveiligde zones, die moet plaatsvinden voordat de homologatie verstrijkt of telkens wanneer binnen de gehomologeerde zone wijzigingen zijn doorgevoerd.
3.Elke instelling en elk orgaan van de Unie stelt procedures vast voor het beheer van sleutels en codecombinaties voor kantoren, ruimten, kluizen en beveiligde opbergmiddelen voor de rubriceringsgraad CONFIDENTIEL UE/EU-CONFIDENTIAL en hogere graden.
4.De veiligheidsautoriteit kan machtiging verlenen tot controles bij binnenkomst en vertrek om het ongeoorloofd binnenbrengen van materiaal in, of het ongeoorloofd verwijderen van EUCI uit een locatie te ontmoedigen en op te sporen.
5.De instellingen en organen van de Unie stellen de maatregelen voor de fysieke bescherming van EUCI vast overeenkomstig bijlage III.
Afdeling 4
Beheer van EUCI
Artikel 30
Basisbeginselen
1.De instellingen en organen van de Unie dragen er zorg voor dat hun EUCI-documenten worden geregistreerd, opgeborgen en behouden en uiteindelijk worden verwijderd, bemonsterd of naar de gepaste archieven worden overgebracht overeenkomstig het bewaringsbeleid en de specifieke voorschriften voor de dossiers van elk van de instellingen en organen van de Unie.
2.Alle instellingen en organen van de Unie die auteurs zijn van EUCI, bepalen de rubriceringsgraad van de desbetreffende informatie bij het aanmaken ervan, overeenkomstig artikel 18, lid 1.
3.De instellingen en organen van de Unie delen de rubriceringsgraad duidelijk mee aan de ontvangers, hetzij door middel van een rubriceringsmarkering, hetzij door middel van een aankondiging, wanneer de informatie mondeling wordt verstrekt.
4.De beveiligingsmaatregelen die voor het originele document gelden, zijn ook van toepassing op ontwerpen, kopieën en vertalingen ervan.
5.De instellingen en organen van de Unie stellen de maatregelen voor het beheer van EUCI vast overeenkomstig bijlage IV.
Artikel 31
Aanmaken van EUCI
De instellingen en organen van de Unie onder wier gezag EUCI wordt aangemaakt, zien erop toe dat aan de volgende eisen wordt voldaan:
a)op elke bladzijde wordt duidelijk de rubriceringsgraad aangegeven;
b)elke bladzijde wordt genummerd;
c)op het document wordt een referentienummer vermeld en in voorkomend geval een registratienummer, alsmede een onderwerp, dat op zich geen EUCI is, tenzij het als zodanig is gemarkeerd;
d)de aanmaakdatum wordt op het document vermeld;
e)alle bijlagen en bijvoegsels worden vermeld, indien mogelijk op de eerste bladzijde;
f)documenten met rubriceringsgraad SECRET UE/EU SECRET en hoger worden op elke bladzijde van een exemplaarnummer voorzien, indien zij in meerdere exemplaren moeten worden verspreid. Elektronische kopieën die worden verspreid buiten het systeem waarin de EUCI wordt aangehouden, worden voorzien van een uniek identificatienummer op basis van een elektronische handtekening.
Artikel 32
Controle door de auteur
1.De instelling of het orgaan van de Unie onder het gezag waarvan een EUCI-document wordt aangemaakt, heeft als auteur de controle over dat document. De auteur bepaalt de rubriceringsgraad van het document en is verantwoordelijk voor de aanvankelijke verspreiding ervan. Onverminderd Verordening (EG) nr. 1049/2001 moet de voorafgaande schriftelijke toestemming van de auteur worden verkregen voordat de informatie:
a)wordt gederubriceerd of de rubricering ervan wordt verlaagd;
b)wordt gebruikt voor andere dan door de auteur vastgestelde doeleinden;
c)wordt doorgestuurd naar een entiteit buiten de instelling of het orgaan van de Unie waarbij de informatie berust, zoals een derde land of internationale organisatie, een andere instelling of een ander orgaan van de Unie, een lidstaat, een contractant of potentiële contractant, een begunstigde of potentiële begunstigde;
d)wordt gekopieerd en vertaald, indien de rubriceringsgraad TRÈS SECRET UE/EU TOP SECRET is.
2.Indien de auteur van een EUCI-document niet kan worden vastgesteld, oefent de instelling of het orgaan van de Unie waarbij de gerubriceerde informatie berust, de controle door de auteur uit.
3.De auteur van EUCI houdt een register bij van alle gerubriceerde bronnen die voor de productie van een gerubriceerd document zijn gebruikt, met inbegrip van gegevens over bronnen die oorspronkelijk afkomstig zijn van een lidstaat, internationale organisatie of derde land. Waar zulks passend is, wordt geaggregeerde gerubriceerde informatie op zodanige wijze gemarkeerd dat de auteurs van de gebruikte gerubriceerde bronmaterialen altijd geïdentificeerd kunnen worden.
Artikel 33
Rubriceringsmarkeringen
1.In voorkomend geval kunnen EU-documenten, naast een van de rubriceringsmarkeringen, voorzien zijn van aanvullende markeringen, zoals verspreidings- of vrijgavemarkeringen of om de auteur aan te duiden.
2.Verschillende delen van een EUCI-document kunnen verschillende rubriceringen vereisen en worden van een dienovereenkomstige markering voorzien. De rubricering die voor het gehele document of bestand geldt, is van ten minste van dezelfde graad als die van het hoogst gerubriceerde gedeelte ervan.
3.Documenten die delen met verschillende rubriceringsgraden bevatten, worden zo gestructureerd dat de delen met een verschillende rubriceringsgraad gemakkelijk kunnen worden herkend en, indien nodig, worden gescheiden.
Artikel 34
EUCI-registersysteem
1.Alle instellingen en organen van de Unie die informatie met rubriceringsgraad CONFIDENTIEL UE/EU CONFIDENTIEL of hoger verwerken en opslaan, zetten een of meer EUCI-registers op om ervoor te zorgen dat deze gegevens voor beveiligingsdoeleinden worden geregistreerd wanneer zij bij een instelling of orgaan van de Unie aankomen of deze verlaten.
2.De registers worden ingericht als beveiligde zones zoals bedoeld in bijlage III.
3.De instellingen en organen van de Unie wijzen voor het beheer van elk EUCI-register een registercontrolefunctionaris (Registry Control Officer, RCO) aan. De RCO beschikt over een passende veiligheidsmachtiging en krijgt een machtiging overeenkomstig artikel 24. De instellingen en organen van de Unie zorgen voor een passende opleiding van hun RCO.
Artikel 35
Verlaging van rubricering en derubricering
1.Informatie blijft slechts gerubriceerd zolang bescherming vereist is. EUCI waarvoor de oorspronkelijke rubricering niet langer vereist is, krijgt een lagere rubriceringsgraad. EUCI die in het geheel niet meer als gerubriceerd behoeft te worden beschouwd, wordt gederubriceerd.
2.Bij het aanmaken geeft de auteur waar mogelijk, en in het bijzonder voor als RESTREINT UE/EU RESTRICTED gerubriceerde informatie, aan of de EUCI op een bepaalde datum of na een bepaalde gebeurtenis lager gerubriceerd of gederubriceerd kan worden.
3.De als auteur fungerende instelling of orgaan van de Unie is verantwoordelijk voor de beslissing of een EUCI-document lager gerubriceerd of gederubriceerd kan worden. Die instelling of dat orgaan evalueert de informatie en beoordeelt de risico’s ten minste om de vijf jaar om vast te stellen of de oorspronkelijke rubriceringsgraad nog passend is.
4.Instellingen en organen van de Unie die EUCI bezitten waarvan zij niet de auteur zijn, mogen dat document niet lager rubriceren of derubriceren, noch de in artikel 18, lid 1, bedoelde markeringen wijzigen of verwijderen zonder voorafgaande schriftelijke toestemming van de auteur.
5.Instellingen en organen van de Unie kunnen door hen aangemaakte EUCI gedeeltelijk lager rubriceren of derubriceren. In dat geval wordt een uittreksel met een lagere rubricering of een gederubriceerd uittreksel vervaardigd.
6.De instellingen en organen van de Unie stellen de organisatie die de EUCI ontvangt in kennis van de lagere rubricering of derubricering ervan.
Artikel 36
Markeringen op documenten met verlaagde rubricering en gederubriceerde documenten
1.Wanneer een instelling of orgaan van de Unie besluit een EUCI-document te derubriceren, wordt nagegaan of het document moet worden gemarkeerd als gevoelige niet-gerubriceerde informatie.
2.De originele rubriceringsmarkering aan de boven- en de onderzijde van elke bladzijde wordt zichtbaar geschrapt (niet verwijderd) met behulp van de doorhaalfunctie in het geval van elektronische formaten dan wel handmatig bij papieren afdrukken. De oorspronkelijke rubriceringsmarkering wordt niet verwijderd.
3.Op de eerste bladzijde of op het dekblad wordt een stempel aangebracht dat aangeeft dat het document een lagere rubricering heeft gekregen of gederubriceerd is, samen met de vermelding van de voor de lagere rubricering of derubricering verantwoordelijke autoriteit en de desbetreffende datum. Verlaging van de rubricering of derubricering van elektronische EUCI wordt aangetoond met een elektronische handtekening onder het gezag van de auteur.
Artikel 37
Vernietiging en wissing van EUCI
1.De instellingen en organen van de Unie evalueren EUCI-documenten, zowel op papier als opgenomen in een CIS, ten minste om de vijf jaar om te bepalen of zij moeten worden vernietigd of gewist. Wanneer EUCI wordt vernietigd of gewist, wordt aan eenieder die de EUCI eerder heeft ontvangen, een instructie gericht.
2.De instellingen en organen van de Unie kunnen duplicaten van EUCI vernietigen die niet langer nodig zijn, rekening houdend met de toepasselijke voorschriften inzake documentenbeheer voor de originelen.
3.De instellingen en organen van de Unie laten elk papieren exemplaar van informatie die als CONFIDENTIEL UE/EU CONFIDENTIAL of hoger is gerubriceerd, uitsluitend vernietigen door hun registercontrolefunctionaris. De registercontrolefunctionaris werkt de logbestanden en andere registratiegegevens dienovereenkomstig bij en bewaart essentiële metagegevens van het vernietigde document.
Documenten met rubriceringsgraad SECRET UE/EU SECRET of hoger worden uitsluitend vernietigd door de registercontrolefunctionaris in het bijzijn van een getuige die een veiligheidsmachtiging heeft voor ten minste de rubriceringsgraad van het document dat wordt vernietigd.
4.Zowel de registercontrolefunctionaris als de getuige, als de aanwezigheid van deze laatste vereist is, ondertekent een vernietigingscertificaat, dat in het register wordt bewaard. Het certificaat wordt ten minste vijf jaar bewaard in het geval van informatie met rubriceringsgraad CONFIDENTIEL UE/EU CONFIDENTIAL en SECRET UE/EU SECRET, en ten minste tien jaar in het geval van informatie die als TRÈS SECRET UE/EU TOP SECRET is gerubriceerd.
Artikel 38
Evacuatie en vernietiging van EUCI in noodsituaties
1.Elke instelling en elk orgaan van de Unie ontwikkelt op basis van de plaatselijke omstandigheden noodevacuatie- en vernietigingsplannen ter bescherming van EUCI-informatie die een aanzienlijk risico loopt om in handen van onbevoegden te vallen.
De operationele voorschriften van noodplannen voor de evacuatie en vernietiging van deze informatie worden zelf als RESTREINT UE/EU RESTRICTED gerubriceerd.
2.In noodgevallen, wanneer er een dreigend risico van ongeoorloofde openbaarmaking van EUCI bestaat, wordt EUCI door de instellingen en organen van de Unie geëvacueerd.
Wanneer evacuatie niet mogelijk is, moet de EUCI op zodanige wijze worden vernietigd dat deze niet geheel of gedeeltelijk kan worden gereconstrueerd.
3.De auteur en het register van oorsprong worden op de hoogte gebracht van de noodevacuatie of ‑vernietiging van geregistreerde EUCI.
4.Wanneer een noodplan is geactiveerd, wordt voorrang gegeven aan het evacueren of vernietigen van de hogere niveaus van EUCI, met inbegrip van de encryptie-uitrusting.
Artikel 39
Archivering
1.De instellingen en organen van de Unie beslissen of en wanneer EUCI worden gearchiveerd en stellen de bijbehorende praktische maatregelen vast in overeenstemming met hun beleid inzake documentenbeheer.
2.EUCI-documenten worden niet overgebracht naar het historisch archief van de Europese Unie.
Afdeling 5
Bescherming van EUCI in communicatie- en informatiesystemen (CIS)
Artikel 40
Subgroep inzake homologatie van communicatie- en informatiesystemen die EUCI verwerken en opslaan
De in artikel 7, lid 1, punt d), bedoelde subgroep inzake homologatie van CIS die EUCI verwerken en opslaan, heeft de volgende taken en verantwoordelijkheden:
a)de instellingen en organen van de Unie bijstaan bij hun homologatieprocessen;
b)een aanbeveling doen voor een door alle instellingen en organen van de Unie te volgen homologatienorm;
c)beste praktijken en richtsnoeren met betrekking tot de homologatie van CIS verspreiden en delen.
Artikel 41
Communicatie- en informatiesystemen
De instellingen en organen van de Unie nemen met betrekking tot de verwerking en opslag van EUCI de volgende vereisten in acht:
a)de systeemeigenaar of de operationele instantie voor informatieborging raadpleegt de instantie voor veiligheidshomologatie alvorens een CIS te ontwikkelen, aan te schaffen of voor de verwerking en opslag van EUCI vrij te geven, teneinde de homologatievereisten vast te stellen;
b)de belangrijkste beveiligingsbeginselen die van toepassing zijn op het ontwerp van CIS waarin EUCI wordt verwerkt en opgeslagen, zijn vanaf het begin van het project van kracht als onderdeel van het proces inzake het beheer van informatiebeveiligingsrisico’s, waarbij rekening wordt gehouden met beginselen als noodzaak tot kennisneming, minimale functionaliteit, defence in depth, minste voorrechten, scheiding van taken, en het vierogenprincipe;
c)de onderdelen voor opslag, centrale verwerking en netwerkbeheer van een CIS dat EUCI verwerkt en opslaat, worden geïnstalleerd in een beveiligde zone als bedoeld in bijlage III;
d)er worden “Tempest-beveiligingsmaatregelen” geïmplementeerd die in verhouding staan tot het risico van misbruik en de rubriceringsgraad van de informatie;
e)alle personeelsleden die betrokken zijn bij de werking van een CIS waarin EUCI wordt verwerkt en opgeslagen, stellen de veiligheidsautoriteit en de betrokken systeemeigenaar of de operationele instantie voor informatieborging in kennis van mogelijke zwakke punten, incidenten, inbreuken op de beveiliging of systeemcompromitteringen die gevolgen kunnen hebben voor de bescherming van het CIS of van de EUCI die in het CIS wordt verwerkt en opgeslagen;
f)in voorkomend geval stelt de veiligheidsautoriteit de veiligheidsautoriteiten van alle andere betrokken instellingen en organen van de Unie in kennis van mogelijke zwakke punten of incidenten op beveiligingsgebied die van invloed kunnen zijn op de verwerking en opslag van EUCI door hun CIS.
Artikel 42
Cryptografische producten
1.Voor de verzending en opslag van EUCI met elektronische middelen wordt gebruikgemaakt van goedgekeurde cryptografische producten. De lijst van goedgekeurde cryptografische producten wordt door de Raad bijgehouden op basis van input van de nationale veiligheidsautoriteiten.
2.Indien de in lid 1 bedoelde lijst geen geschikt product voor het beoogde doel bevat, verzoekt de instantie voor de goedkeuring van cryptografische producten van de betrokken instelling of het betrokken orgaan van de Unie de Raad om een voorlopige goedkeuring. Waar mogelijk wordt een cryptografisch product geselecteerd dat door de nationale veiligheidsautoriteit van een lidstaat is goedgekeurd.
De Raad neemt de nodige maatregelen om ervoor te zorgen dat een geschikt product aan de lijst wordt toegevoegd.
3.De goedkeuring van een cryptografisch product is maximaal vijf jaar geldig en wordt daarna jaarlijks getoetst.
4.Elk cryptografisch product waarvoor de nationale goedkeuring is ingetrokken of is verstreken, wordt door Raad van de lijst van goedgekeurde cryptografische producten geschrapt.
5.De coördinatiegroep stelt de Raad jaarlijks in kennis van alle cryptografische producten die zij aanbeveelt voor evaluatie door een instantie voor de goedkeuring van cryptografische producten van een lidstaat op basis van een in de instellingen en organen van de Unie uitgevoerd onderzoek.
Artikel 43
Homologatie van CIS waarin EUCI wordt verwerkt en opgeslagen
1.Door homologatie van CIS waarin EUCI wordt verwerkt en opgeslagen, bevestigen de instellingen en organen van de Unie dat alle gepaste beveiligingsmaatregelen zijn getroffen en dat een voldoende niveau van bescherming van de EUCI en van het CIS overeenkomstig deze verordening tot stand is gebracht.
2.De eigenaar van het CIS of de operationele instantie voor informatieborging is verantwoordelijk voor het opstellen van de homologatiedossiers en de documentatie, met inbegrip van handleidingen voor verschillende categorieën gebruikers.
3.De instantie voor beveiligingshomologatie van elke instelling en elk orgaan van de Unie is verantwoordelijk voor de vaststelling van een homologatieprocedure met duidelijke voorwaarden die moeten worden goedgekeurd voor alle CIS die onder die instantie vallen.
4.Wanneer bij een CIS voor de verwerking en opslag van EUCI zowel instellingen en organen van de Unie als nationale veiligheidsautoriteiten betrokken zijn, stellen de betrokken instellingen en organen van de Unie, bij overeenkomstig artikel 8, lid 2, vast te stellen uitvoeringsvoorschriften, een gezamenlijke raad voor beveiligingshomologatie in die belast wordt met de homologatie van het systeem. Die raad is samengesteld uit vertegenwoordigers van de betrokken partijen die deel uitmaken van de instantie voor beveiligingshomologatie, en wordt voorgezeten door de instantie voor beveiligingshomologatie van de instelling of het orgaan van de Unie die eigenaar is van het CIS.
Artikel 44
Procedure voor de homologatie van een CIS waarin EUCI wordt verwerkt en opgeslagen
1.Elk CIS waarin EUCI wordt verwerkt en opgeslagen, ondergaat een op de beginselen van informatieborging gebaseerde homologatieprocedure, waarvan de details in overeenstemming zijn met het vereiste beschermingsniveau.
2.De homologatieprocedure mondt uit in een homologatieverklaring waarin de hoogste toegelaten rubriceringsgraad wordt vermeld van de informatie die in een CIS mag worden verwerkt en opgeslagen, en de voorwaarden daarvoor worden vastgesteld. De homologatieverklaring is gebaseerd op de formele validering van de risicobeoordeling en van de beveiligingsmaatregelen die voor het betrokken CIS zijn genomen, en biedt de waarborg dat:
a)het proces inzake het beheer van informatiebeveiligingsrisico’s naar behoren is uitgevoerd;
b)de systeemeigenaar of de risico-eigenaar het residuele risico welbewust heeft aanvaard;
c)een voldoende beschermingsniveau voor het CIS en de daarin verwerkte en opgeslagen EUCI is verwezenlijkt overeenkomstig deze verordening.
3.De instantie voor beveiligingshomologatie van een instelling of orgaan van de Unie valideert de homologatieverklaring formeel. Na geslaagde validering verleent de instantie voor veiligheidshomologatie een exploitatievergunning, waarbij de hoogste toegelaten rubriceringsgraad wordt vermeld van de informatie die in een CIS mag worden verwerkt, en de voorwaarden daarvoor worden vastgesteld. De vergunning wordt verleend voor een welbepaalde termijn. Wanneer een of meer van de vereiste beveiligingsmaatregelen niet zijn genomen, maar daardoor geen noemenswaardige gevolgen ontstaan voor de algemene veiligheid, kan een voorlopige exploitatievergunning worden verleend, met vermelding van de vereiste herstelpunten.
4.Op elk moment in de levenscyclus van een CIS kan de instantie voor veiligheidshomologie van de betrokken instelling of het betrokken orgaan van de Unie de volgende maatregelen nemen:
a)toepassing van een homologatieprocedure;
b)audit of inspectie van het CIS;
c)indien niet langer wordt voldaan aan de operationele voorwaarden, bijvoorbeeld wanneer een beveiligingsincident een significante kwetsbaarheid in het CIS aan het licht heeft gebracht, eisen dat binnen een welbepaalde termijn een plan voor betere beveiliging wordt opgesteld en daadwerkelijk wordt uitgevoerd, en eventueel de exploitatievergunning van het CIS intrekken totdat weer wordt voldaan aan de operationele voorwaarden.
5.De systeemeigenaar of de operationele instantie voor informatieborging brengt tijdens de geldigheidsduur van een exploitatievergunning jaarlijks formeel verslag uit aan de instantie voor veiligheidshomologatie, met inbegrip van een samenvatting van alle significante incidenten, wijzigingen en risicofactoren.
Artikel 45
Noodsituaties
1.De instellingen en organen van de Unie kunnen in noodsituaties, zoals bij dreigende of feitelijke crises, conflicten, oorlogssituaties of in uitzonderlijke operationele omstandigheden, specifieke procedures toepassen voor de overbrenging of opslag van EUCI, nadat zij de goedkeuring hebben verkregen van hun instantie voor de goedkeuring van cryptografische producten.
2.EUCI mag in de in lid 1 genoemde situaties, met toestemming van de bevoegde instantie, door middel van voor een lagere rubriceringsgraad goedgekeurde cryptografische producten of zonder encryptie worden overgebracht, indien vertraging schade zou veroorzaken die duidelijk zwaarder weegt dan de schade ten gevolge van bekendmaking van het gerubriceerde materiaal en indien aan de volgende voorwaarden is voldaan:
a)de zender of de ontvanger beschikt niet over de vereiste encryptieapparatuur, en
b)het gerubriceerde materiaal kan niet tijdig met andere middelen worden verzonden.
3.Gerubriceerde informatie die in de in punt 2 bedoelde omstandigheden wordt overgebracht, mag niet door markeringen of aanwijzingen te onderscheiden zijn van niet-gerubriceerde informatie of informatie die beschermd kan worden met een wel beschikbaar cryptografisch product. De ontvanger wordt onverwijld langs andere weg op de hoogte gebracht van de rubriceringsgraad.
4.Vervolgens wordt aan de bevoegde veiligheidsautoriteit verslag uitgebracht over de overbrenging van EUCI in de in lid 1 bedoelde omstandigheden.
Afdeling 6
Industriële beveiliging
Artikel 46
Basisbeginselen
1.De instellingen en organen van de Unie zorgen er, als aanbestedende dienst of subsidieverlenende instantie, voor dat de in deze afdeling vervatte minimumnormen inzake industriële beveiliging en de voorwaarden voor de bescherming van EUCI in gerubriceerde contracten en subsidieovereenkomsten in bijlage V worden vermeld of opgenomen in de contracten of subsidieovereenkomsten en in acht worden genomen bij de gunning van gerubriceerde contracten of de verlening van gerubriceerde subsidies.
2.Industriële beveiliging is de toepassing van maatregelen om de bescherming van EUCI door onderstaande personen of entiteiten te waarborgen:
a)in direct beheer in het kader van gerubriceerde contracten:
i)gegadigden of inschrijvers tijdens de inschrijvings- en aanbestedingsprocedure;
ii)contractanten of subcontractanten tijdens de hele looptijd van een gerubriceerd contract;
b)in direct beheer in het kader van gerubriceerde subsidieovereenkomsten:
i)aanvragers tijdens de toekenningsprocedure;
ii)begunstigden en subcontractanten tijdens de gehele looptijd van een gerubriceerde subsidieovereenkomst;
c)in indirect beheer in het kader van kaderovereenkomsten inzake financieel partnerschap (FFPA) en de daarmee verband houdende bijdrageovereenkomsten: de met de uitvoering belaste entiteiten gedurende de gehele looptijd van deze overeenkomsten.
3.Als toewijzende entiteit beschrijft de instelling of het orgaan van de Unie de specifieke beveiligingsvereisten voor de met de uitvoering belaste entiteit in het beveiligingshoofdstuk van de FFPA en de daarmee verband houdende bijdrageovereenkomsten. Deze vereisten zijn gebaseerd op de beveiligingsbeginselen en ‑bepalingen die in deze verordening zijn opgenomen met betrekking tot gerubriceerde contracten en subsidieovereenkomsten, die van overeenkomstige toepassing zijn.
4.Gerubriceerde contracten en subsidieovereenkomsten mogen geen betrekking hebben op informatie met rubriceringsgraad TRÈS SECRET UE/EU TOP SECRET.
5.De bepalingen in dit hoofdstuk die betrekking hebben op gerubriceerde contracten of contractanten, of op gerubriceerde subsidieovereenkomsten of begunstigden daarvan, zijn ook van toepassing op gerubriceerde subcontracten en subcontractanten onder die gerubriceerde contracten of gerubriceerde subsidieovereenkomsten.
6.De instellingen en organen van de Unie werken als aanbestedende dienst of subsidieverlenende instantie nauw samen met de veiligheidsautoriteiten en andere bevoegde autoriteiten van het land waar de overeenkomstsluitende partij of de ontvanger van de subsidie is geregistreerd, alsmede met de veiligheidsautoriteiten en andere bevoegde autoriteiten van de internationale organisatie waarmee een overeenkomst is gesloten of waaraan een subsidie is verleend.
7.De instellingen en organen van de Unie communiceren als aanbestedende dienst of subsidieverlenende instantie met de veiligheidsautoriteiten of, via de veiligheidsautoriteiten, met andere bevoegde autoriteiten.
8.De instellingen en organen van de Unie stellen als aanbestedende dienst of subsidieverlenende instantie de in lid 6 bedoelde autoriteiten via hun veiligheidsautoriteit ervan in kennis wanneer zij een gerubriceerd contract of een gerubriceerde subsidieovereenkomst hebben ondertekend.
In de kennisgeving worden relevante gegevens vermeld zoals de naam van de contractant of de begunstigde, de looptijd van het gerubriceerde contract of de gerubriceerde subsidieovereenkomst en de hoogste rubriceringsgraad die ermee gemoeid is.
De instellingen en organen van de Unie stellen, als aanbestedende dienst of subsidieverlenende instantie, de in lid 6 bedoelde autoriteiten ook in kennis wanneer gerubriceerde contracten of subsidieovereenkomsten voortijdig worden beëindigd.
9.De instellingen en organen van de Unie mogen, als aanbestedende dienst of subsidieverlenende instantie, gerubriceerde contracten en gerubriceerde delen van subsidies slechts gunnen aan entiteiten die zijn geregistreerd in een derde land dat een informatiebeveiligingsovereenkomst met de Unie heeft gesloten, of die zijn opgericht door een internationale organisatie die een informatiebeveiligingsovereenkomst met de Unie heeft gesloten. Indien de betrokken EUCI persoonsgegevens bevat, wordt bij elke doorgifte daarvan aan een derde land of een internationale organisatie Verordening (EU) 2018/1725 in acht genomen.
Artikel 47
Beveiligingselementen in gerubriceerde contracten en subsidieovereenkomsten
1.In gerubriceerde contracten en subsidieovereenkomsten worden de volgende beveiligingselementen opgenomen:
a)een rubriceringsgids;
b)een memorandum over de beveiligingsaspecten.
2.In gerubriceerde contracten of subsidieovereenkomsten kan een programma- of projectbeveiligingsinstructie zijn opgenomen.
Artikel 48
Rubriceringsgids
1.Alvorens een gerubriceerd contract of een gerubriceerde subsidieovereenkomst te ondertekenen, bepaalt de instelling of het orgaan van de Unie, als aanbestedende dienst of subsidieverlenende instantie, de rubriceringsgraad van alle informatie die door contractanten of begunstigden of hun subcontractanten wordt aangemaakt. Daartoe stelt de instelling of het orgaan van de Unie een rubriceringsgids op die moet worden gebruikt bij de uitvoering van het gerubriceerde contract of de gerubriceerde subsidieovereenkomst.
2.De rubriceringsgids kan gedurende de looptijd van het programma of het project worden gewijzigd, en zoals aangegeven in artikel 50 kan de informatie opnieuw worden gerubriceerd of een lagere rubriceringsgraad krijgen.
3.Voor het bepalen van de rubriceringsgraad van de diverse onderdelen van een gerubriceerd contract of gerubriceerde subsidieovereenkomst gelden onderstaande beginselen:
a)bij het opstellen van een rubriceringsgids houdt de instelling of het orgaan van de Unie als aanbestedende dienst of subsidieverlenende instantie rekening met alle ter zake doende beveiligingsaspecten, zoals de rubriceringsgraad die is toegekend aan verstrekte informatie waarvan het gebruik voor het gerubriceerde contract of de gerubriceerde subsidieovereenkomst is goedgekeurd door de auteur van de informatie;
b)de algehele rubriceringsgraad van het gerubriceerde contract of de gerubriceerde subsidieovereenkomst mag niet lager zijn dan de hoogste rubriceringsgraad van de afzonderlijke onderdelen ervan;
c)in voorkomend geval neemt de betrokken instelling of het betrokken orgaan van de Unie, als aanbestedende dienst of subsidieverlenende instantie, via de eigen veiligheidsautoriteit contact op met de veiligheidsautoriteiten of andere bevoegde instanties van het betrokken land wanneer wijzigingen worden aangebracht in de rubriceringsgids.
Artikel 49
Memorandum over de beveiligingsaspecten
1.De instellingen en organen van de Unie beschrijven als aanbestedende dienst of subsidieverlenende instantie de specifieke beveiligingsvereisten van het gerubriceerde contract of de gerubriceerde subsidieovereenkomst in een memorandum over de beveiligingsaspecten. In dat memorandum wordt de rubriceringsgids opgenomen, die integraal deel uitmaakt van het gerubriceerde contract, de gerubriceerde subsidieovereenkomst of het gerubriceerde subcontract.
2.De brief over de beveiligingsaspecten bevat bepalingen op grond waarvan de contractant of begunstigde, en diens subcontractanten, de bepalingen van deze verordening en alle verdere uit hoofde van artikel 8, lid 2, vastgestelde uitvoeringsvoorschriften inzake industriële beveiliging moeten naleven. In het memorandum over de beveiligingsaspecten wordt duidelijk aangegeven dat niet-naleving van de bepalingen ervan voldoende grond kan vormen voor de beëindiging van het gerubriceerde contract of de gerubriceerde subsidieovereenkomst.
Artikel 50
Programma- of projectbeveiligingsinstructie
1.De instellingen en organen van de Unie kunnen als aanbestedende dienst of subsidieverlenende instantie programma- of projectbeveiligingsinstructies ontwikkelen, in nauwe samenwerking met hun veiligheidsautoriteiten, met name voor programma’s en projecten waarvan het toepassingsgebied, de omvang of de complexiteit aanzienlijk is of waarbij sprake is van een groot aantal verschillende contractanten, begunstigden en andere betrokken partners en belanghebbenden.
2.De veiligheidsautoriteit van elk van de instellingen en organen van de Unie die als aanbestedende dienst of subsidieverlenende instantie optreden, legt de specifieke programma- of projectbeveiligingsinstructie ter advies voor aan het adviesorgaan op veiligheidsgebied van de betrokken lidstaat, dat wil zeggen de nationale veiligheidsautoriteit en/of de aangewezen veiligheidsautoriteit.
Wanneer voor een instelling of orgaan van de Unie een dergelijk adviesorgaan niet beschikbaar is, wordt de programma- of projectbeveiligingsinstructie voorgelegd aan het in artikel 6, lid 8, bedoelde comité voor informatiebeveiliging.
Afdeling 7
Delen van EUCI en uitwisselen van gerubriceerde informatie
Artikel 51
Basisbeginselen
1.Alle instellingen en organen van de Unie kunnen EUCI delen met andere instellingen of organen van de Unie onder de voorwaarden van artikel 54.
2.De instellingen en organen van de Unie kunnen EUCI delen met de lidstaten en de Europese Gemeenschap voor Atoomenergie, mits zij die informatie beschermen volgens de overeenkomstige rubriceringsmarkering die is vastgelegd in de Overeenkomst tussen de lidstaten van de Europese Unie, in het kader van de Raad bijeen, betreffende de bescherming van in het belang van de Unie uitgewisselde gerubriceerde informatie en de tabel in bijlage VI bij deze verordening.
3.De instellingen en organen van de Unie wisselen gerubriceerde gegevens alleen uit met derde landen of internationale organisaties waarmee overeenkomstig de artikelen 55 en 56 een informatiebeveiligingsovereenkomst of een administratieve regeling is gesloten.
In die overeenkomst of regeling zijn bepalingen opgenomen die waarborgen dat door derde landen of internationale organisaties ontvangen EUCI wordt beschermd in overeenstemming met de rubriceringsgraad ervan en volgens minimumnormen die niet minder streng zijn dan die welke in deze verordening zijn vastgelegd.
4.Wanneer er geen informatiebeveiligingsovereenkomst of administratieve regeling is gesloten, kan een instelling of orgaan van de Unie in uitzonderlijke omstandigheden overeenkomstig artikel 58 EUCI vrijgeven aan een andere instelling of orgaan van de Unie, een derde land of een internationale organisatie.
5.De instellingen en organen van de Unie wijzen de registers aan die fungeren als de belangrijkste punten van binnenkomst en uitgang voor EUCI die wordt gedeeld met andere instellingen of organen van de Unie of voor gerubriceerde informatie die met derde landen of internationale organisaties wordt uitgewisseld.
Artikel 52
Subgroep inzake uitwisseling van EUCI en gerubriceerde informatie
1.De in artikel 7, lid 1, punt e), bedoelde subgroep inzake uitwisseling van EUCI en gerubriceerde informatie heeft de volgende taken en verantwoordelijkheden:
a)het organiseren van evaluatiebezoeken aan instellingen en organen van de Unie, derde landen en internationale organisaties en het vaststellen van het jaarlijkse programma van die bezoeken;
b)voorbereiding en uitvoering van de evaluatiebezoeken;
c)opstelling van een verslag over de resultaten van de in punt a) bedoelde bezoeken, behalve in de in artikel 56, lid 2, bedoelde gevallen.
2.De subgroep inzake uitwisseling van EUCI en gerubriceerde informatie bestaat uit vertegenwoordigers van de Commissie, de Raad en de Europese Dienst voor extern optreden en treedt op bij consensus.
Artikel 53
Evaluatiebezoeken in verband met het delen van EUCI
1.De subgroep inzake uitwisseling van EUCI en gerubriceerde informatie verricht evaluatiebezoeken, waaraan de ambtenaren van de bezochte instelling of het bezochte orgaan van de Unie alle medewerking verlenen. De subgroep kan een bijstandsverzoek richten aan de nationale veiligheidsautoriteit die bevoegd is op het grondgebied waar de instelling of het orgaan van de Unie zich bevindt.
2.De evaluatiebezoeken aan de betrokken instellingen en organen van de Unie hebben de volgende doeleinden:
a)nagaan of de in deze verordening vastgestelde voorschriften voor de bescherming van EUCI worden nageleefd en derhalve of de uitgevoerde maatregelen doeltreffend zijn;
b)benadrukken wat het belang is van beveiliging en doelmatig risicobeheer binnen de geïnspecteerde entiteiten;
c)tegenmaatregelen aanbevelen om de specifieke gevolgen van de aantasting van de beschikbaarheid, vertrouwelijkheid of de integriteit van gerubriceerde informatie te reduceren;
d)zorgen voor versterking van de programma’s die de veiligheidsautoriteiten uitvoeren op het gebied van veiligheidseducatie en ‑bewustzijn.
3.Na het evaluatiebezoek voert de subgroep inzake uitwisseling van EUCI en gerubriceerde informatie de volgende taken uit:
a)zij stelt een verslag op met de belangrijkste conclusies van de evaluatie;
b)zij vraagt het in artikel 6, lid 8, bedoelde comité voor informatiebeveiliging om advies over het verslag;
c)zij zendt het verslag voor follow-up naar de veiligheidsautoriteit van de bezochte instelling of het bezochte orgaan van de Unie.
4.Wanneer in het verslag corrigerende maatregelen worden voorgesteld of aanbevelingen worden gedaan, wordt een vervolgbezoek georganiseerd om na te gaan of de maatregelen zijn genomen, of de aanbevelingen uitgevoerd.
Artikel 54
Delen van EUCI
1.Een instelling of orgaan van de Unie kan EUCI delen met een andere instelling of een ander orgaan van de Unie mits aan de volgende voorwaarden is voldaan:
a)de uitwisseling is aantoonbaar noodzakelijk;
b)bij de betrokken instelling of het betrokken orgaan van de Unie is een evaluatiebezoek afgelegd overeenkomstig artikel 53, waarvan het resultaat bevestigt dat die instelling of dat orgaan van de Unie in staat is een bepaald niveau van EUCI te verwerken en op te slaan;
c)de veiligheidsautoriteit van de betrokken instelling of het betrokken orgaan van de Unie heeft besloten dat de instelling of het orgaan tot een bepaald niveau gerubriceerde informatie mag delen met andere gecertificeerde instellingen en organen van de Unie.
2.Het secretariaat van de coördinatiegroep heeft een lijst opgesteld van EUCI die mag worden verwerkt en opgeslagen door elk van de instellingen en organen van de Unie die voldoen aan de voorwaarden van lid 1, punten b) en c). Het werkt die lijst regelmatig bij.
Artikel 55
Informatiebeveiligingsovereenkomsten
1.Wanneer het noodzakelijk is op lange termijn gerubriceerde gegevens uit te wisselen met een derde land of een internationale organisatie, streeft de bevoegde instelling of het bevoegde orgaan naar onderhandeling over en sluiting van een informatiebeveiligingsovereenkomst overeenkomstig artikel 218 van het Verdrag betreffende de werking van de Europese Unie.
2.In informatiebeveiligingsovereenkomsten worden de grondbeginselen en minimumnormen vastgesteld voor de uitwisseling van gerubriceerde informatie tussen de Europese Unie en een derde land of internationale organisatie.
3.Informatiebeveiligingsovereenkomsten voorzien ook in een technische uitvoeringsregeling, waarover overeenstemming moet worden bereikt tussen de bevoegde veiligheidsautoriteiten van de betrokken instellingen en organen van de Unie en de bevoegde veiligheidsautoriteit van het derde land of de internationale organisatie in kwestie.
4.Voorafgaand aan de goedkeuring van de in lid 3 bedoelde technische uitvoeringsregeling brengt de subgroep inzake uitwisseling van EUCI en gerubriceerde informatie een evaluatiebezoek overeenkomstig artikel 57.
Artikel 56
Administratieve regelingen met een derde land of internationale organisatie
1.Indien het reglement van orde of de oprichtingshandeling van een instelling of orgaan van de Unie in die mogelijkheid voorziet, kan die instelling of dat orgaan van de Unie een administratieve regeling aangaan met de equivalente entiteit in een derde land of een internationale organisatie, nadat de subgroep inzake uitwisseling van EUCI en gerubriceerde informatie is ingelicht, mits aan de volgende voorwaarden is voldaan:
a)het is noodzakelijk dat de betrokken instelling of het betrokken orgaan van de Unie op lange termijn informatie met een rubriceringsgraad van doorgaans niet hoger dan RESTREINT UE/EU RESTRICTED uitwisselt met de equivalente entiteit in een derde land of internationale organisatie;
b)de betrokken instelling of het betrokken orgaan van de Unie voldoet aan de voorwaarden van artikel 54, lid 1;
c)het in artikel 57 bedoelde verslag van het evaluatiebezoek bevestigt dat de equivalente entiteit in het betrokken derde land of de betrokken internationale organisatie over de capaciteit beschikt om een bepaald niveau van EUCI te verwerken en op te slaan.
2.Voorafgaand aan de sluiting van een administratieve regeling wordt een evaluatiebezoek afgelegd overeenkomstig de beginselen van artikel 57. De instelling van de Unie die of het orgaan van de Unie dat om de administratieve regeling verzoekt, kan de subgroep inzake uitwisseling van EUCI en gerubriceerde informatie verzoeken het evaluatiebezoek namens de instelling of het orgaan uit te voeren of aan het bezoek deel te nemen.
3.De veiligheidsautoriteit van de instelling of het orgaan van de Unie waarvan het verzoek om een administratieve regeling uitgaat, neemt een besluit over de specifieke voorwaarden voor de uitwisseling en over de hoogste toegelaten rubriceringsgraad van EUCI die mag worden uitgewisseld. Die graad mag niet hoger zijn dan de rubriceringsgraad die is vastgesteld voor het delen van EUCI met andere instellingen en organen van de Unie, overeenkomstig artikel 54, en mag in voorkomend geval niet hoger zijn dan de rubriceringsgraad die is vastgesteld in een informatiebeveiligingsovereenkomst met hetzelfde derde land of dezelfde internationale organisatie.
Artikel 57
Evaluatiebezoeken ten behoeve van de uitwisseling van gerubriceerde informatie met derde landen en internationale organisaties
1.Er wordt een evaluatiebezoek gebracht aan een derde land of een internationale organisatie om te bepalen of een instelling of orgaan van de Unie gerubriceerde informatie mag uitwisselen met het betrokken derde land of de betrokken internationale organisatie.
2.Het evaluatiebezoek heeft tot doel de doeltreffendheid van de beveiligingsvoorschriften en ‑procedures in het betrokken derde land of de betrokken internationale organisatie met betrekking tot de bescherming van EUCI op een bepaald niveau te beoordelen. Het evaluatiebezoek wordt uitgevoerd in onderlinge overeenstemming met het betrokken derde land of de betrokken internationale organisatie.
3.Tijdens het evaluatiebezoek worden ten minste de volgende aspecten beoordeeld:
a)het regelgevingskader dat van toepassing is op de bescherming van gerubriceerde informatie en de geschiktheid daarvan voor de bescherming van EUCI op een bepaald niveau;
b)specifieke kenmerken van het beveiligingsbeleid en de manier waarop de beveiliging in het derde land of bij de internationale organisatie is georganiseerd, en de eventuele gevolgen die een en ander heeft voor de rubriceringsgraad van de gerubriceerde informatie die kan worden uitgewisseld;
c)de vigerende beveiligingsmaatregelen en ‑procedures;
d)de veiligheidsmachtigingsprocedures voor de rubriceringsgraad van de vrij te geven EUCI.
4.Aan het in artikel 6, lid 8, bedoelde comité voor informatiebeveiliging wordt verslag uitgebracht over de resultaten van de evaluatiebezoeken voordat de EUCI daadwerkelijk aan het betrokken derde land of de betrokken internationale organisatie wordt vrijgegeven. In voorkomend geval wordt het verslag ook gedeeld met de betrokken instelling of het betrokken orgaan van de Unie.
5.De bevoegde veiligheidsautoriteiten van de betrokken instelling of het betrokken orgaan van de Unie delen de derde staat of internationale organisatie mee vanaf welke datum de Unie in de positie is om de EUCI vrij te geven, alsook wat de hoogste rubriceringsgraad is van de EUCI die in papieren vorm of met elektronische middelen mag worden uitgewisseld.
6.Er worden vervolgbezoeken georganiseerd in de volgende omstandigheden:
a)de rubriceringsgraad van de EUCI die mag worden uitgewisseld, moet worden verhoogd;
b)de betrokken instelling of het betrokken orgaan van de Unie is in kennis gesteld van fundamentele wijzigingen in de beveiligingsregelingen van het derde land of de internationale organisatie, die van invloed kunnen zijn op de wijze waarop EUCI wordt beschermd;
c)er heeft zich een ernstig incident voorgedaan waarbij EUCI ongeoorloofd bekend is gemaakt.
Artikel 58
Uitzonderlijke ad-hocvrijgave van EUCI
1.Indien er geen informatiebeveiligingsovereenkomst of administratieve regeling is gesloten en een instelling of orgaan van de Unie vaststelt dat er een uitzonderlijke noodzaak bestaat om EUCI vrij te geven aan een andere instelling of orgaan van de Unie of aan een derde land of een internationale organisatie, of
indien er wel een informatiebeveiligingsovereenkomst of een administratieve regeling is gesloten en een instelling of orgaan van de Unie vaststelt dat er een uitzonderlijke noodzaak bestaat om EUCI met een hogere rubriceringsgraad vrij te geven dan waarin de overeenkomst of de regeling voorziet, neemt de instelling of het orgaan van de Unie die EUCI verstrekt, de volgende stappen:
a)voor zover mogelijk wordt bij de veiligheidsautoriteit van het derde land, de internationale organisatie of de ontvangende instelling of het ontvangende orgaan van de Unie geverifieerd of de beveiligingsvoorschriften, -structuren en -procedures kunnen waarborgen dat de vrijgegeven EUCI wordt beschermd volgens normen die niet minder streng zijn dan die welke bij deze verordening zijn vastgesteld;
b)het in artikel 6, lid 8, bedoelde comité voor informatiebeveiliging wordt verzocht om advies uit te brengen op basis van de overeenkomstig punt a) verrichte verificatie, tenzij de operationele omstandigheden onmiddellijke ad-hocvrijgave vereisen, in welk geval het comité voor informatiebeveiliging vervolgens op de hoogte wordt gebracht.
2.Op alle documenten die op grond van dit artikel worden vrijgegeven, wordt een vrijgavemarkering aangebracht met vermelding van het derde land, de internationale organisatie of de instelling of het orgaan van de Unie waaraan zij zijn vrijgegeven.
3.Vóór of bij de daadwerkelijke vrijgave vraagt de instelling of het orgaan van de Unie waardoor de EUCI wordt verstrekt, de ontvangende partij om een schriftelijke verbintenis dat zij de ontvangen EUCI zal beschermen. In voorkomend geval wordt die partij verzocht zich ertoe te verbinden de EUCI te beschermen overeenkomstig de basisbeginselen en minimumnormen van deze verordening.
Hoofdstuk 6
Slotbepalingen
Artikel 59
Uitvoering
1.De coördinatiegroep stelt richtsnoeren inzake informatiebeveiliging op voor de uitvoering van deze verordening.
2.De instellingen en organen van de Unie kunnen op basis van hun specifieke behoeften interne voorschriften vaststellen voor de uitvoering van deze verordening, overeenkomstig artikel 8, lid 2.
Artikel 60
Overgangsbepalingen
1.De interne voorschriften inzake informatiebeveiliging die afzonderlijke instellingen of organen van de Unie vóór [dd/mm/jjjj datum van toepassing] hebben vastgesteld, worden uiterlijk [drie jaar na de inwerkingtreding van deze verordening] geëvalueerd.
2.Alle instellingen en organen van de Unie die vóór [dd/mm/jjjj datum van toepassing] door de Commissie, de Raad of de EDEO geschikt zijn bevonden voor de verwerking en opslag van EUCI, worden geacht te voldoen aan de voorwaarden van artikel 19, lid 1.
3.Administratieve regelingen die de instellingen en organen van de Unie vóór [dd/mm/jjjj datum van toepassing] met derde landen en internationale organisaties hebben gesloten, blijven geldig.
4.Wanneer de lidstaten op het grondgebied waarvan de begunstigden van de subsidieovereenkomst van de Commissie in het kader van het industrieel ontwikkelingsprogramma voor de Europese defensie hebben besloten een specifiek beveiligingskader op te zetten voor de bescherming en verwerking van nationaal gerubriceerde informatie met betrekking tot de betrokken subsidieovereenkomst, zal de Commissie bij de toepassing van de in deze verordening vervatte industriële beveiligingsprocedures dit beveiligingskader in acht nemen tot het einde van de looptijd van de subsidieovereenkomst.
Artikel 61
Monitoring en evaluatie
1.Uiterlijk op [dd/mm/jjjj drie jaar na de datum van toepassing] dient de Commissie bij het Europees Parlement en de Raad een verslag in over de uitvoering van deze verordening.
2.Niet eerder dan [vijf jaar na de datum van toepassing] en vervolgens iedere vijf jaar voert de Commissie een evaluatie van deze verordening uit en brengt zij over de voornaamste bevindingen verslag uit aan het Europees Parlement en de Raad.
Artikel 62
Inwerkingtreding en toepassing
1.Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.
2.Zij is van toepassing met ingang van [datum: de eerste dag van de maand volgende op de periode van twee jaar na de datum van inwerkingtreding].
Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.
Gedaan te Brussel,
Voor het Europees Parlement
Voor de Raad
De voorzitter
De voorzitter
[…]
[…]
FINANCIEEL MEMORANDUM
1.KADER VAN HET VOORSTEL/INITIATIEF
1.1.Benaming van het voorstel/initiatief
1.2.Betrokken beleidsterrein(en)
1.3.Het voorstel/initiatief betreft:
1.4.Doelstelling(en)
1.4.1.Algemene doelstelling(en)
1.4.2.Specifieke doelstelling(en)
1.4.3.Verwachte resulta(a)t(en) en gevolg(en)
1.4.4.Prestatie-indicatoren
1.5.Motivering van het voorstel/initiatief
1.5.1.Behoefte(n) waarin op korte of lange termijn moet worden voorzien, met een gedetailleerd tijdschema voor de uitrol van het initiatief
1.5.2.Toegevoegde waarde van de deelname van de Unie (deze kan het resultaat zijn van verschillende factoren, bijvoorbeeld coördinatiewinst, rechtszekerheid, grotere doeltreffendheid of complementariteit). Voor de toepassing van dit punt wordt onder “toegevoegde waarde van de deelname van de Unie” de waarde verstaan die een optreden van de Unie oplevert bovenop de waarde die door een optreden van alleen de lidstaat zou zijn gecreëerd.
1.5.3.Nuttige ervaring die bij soortgelijke activiteiten in het verleden is opgedaan
1.5.4.Verenigbaarheid met het meerjarige financiële kader en eventuele synergie met andere passende instrumenten
1.5.5.Beoordeling van de verschillende beschikbare financieringsopties, waaronder mogelijkheden voor herschikking
1.6.Duur en financiële gevolgen van het voorstel/initiatief
1.7.Beheersvorm(en)
2.BEHEERSMAATREGELEN
2.1.Regels inzake het toezicht en de verslagen
2.2.Beheers- en controlesyste(e)m(en)
2.2.1.Rechtvaardiging van de voorgestelde beheersvorm(en), uitvoeringsmechanisme(n) voor financiering, betalingsvoorwaarden en controlestrategie
2.2.2.Informatie over de geïdentificeerde risico’s en het (de) systeem (systemen) voor interne controle dat is (die zijn) opgezet om die risico’s te beperken
2.2.3.Raming en motivering van de kosteneffectiviteit van de controles (verhouding van de controlekosten tot de waarde van de desbetreffende financiële middelen) en evaluatie van het verwachte foutenrisico (bij betaling en bij afsluiting).
2.3.Maatregelen ter voorkoming van fraude en onregelmatigheden
3.GERAAMDE FINANCIËLE GEVOLGEN VAN HET VOORSTEL/INITIATIEF
3.1.Rubriek(en) van het meerjarige financiële kader en betrokken begrotingsonderde(e)l(en) voor uitgaven
3.2.Geraamde financiële gevolgen van het voorstel inzake kredieten
3.2.1.Samenvatting van de geraamde gevolgen voor de beleidskredieten
3.2.2.Geraamde output, gefinancierd met beleidskredieten
3.2.3.Samenvatting van de geraamde gevolgen voor de administratieve kredieten
3.2.4.Verenigbaarheid met het huidige meerjarige financiële kader
3.2.5.Bijdragen van derden
3.3.Geraamde gevolgen voor de ontvangsten
FINANCIEEL MEMORANDUM
1.KADER VAN HET VOORSTEL/INITIATIEF
1.1.Benaming van het voorstel/initiatief
Voorstel voor een VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD betreffende informatiebeveiliging in de instellingen, organen en instanties van de Unie
1.2.Betrokken beleidsterrein(en)
Europees openbaar bestuur
De voorschriften inzake informatiebeveiliging van de instellingen en organen van de Unie moeten gezamenlijk binnen het Europese bestuur een alomvattend en samenhangend algemeen kader voor de bescherming van informatie vormen en moeten de gelijkwaardigheid van de basisbeginselen en minimumnormen waarborgen. Het niveau van de bescherming die aan de informatie wordt geboden, moet bovendien voor alle instellingen en organen van de Unie gelijkwaardig zijn.
1.3.Het voorstel/initiatief betreft:
een nieuwe actie
◻ een nieuwe actie na een proefproject / voorbereidende actie
◻ de verlenging van een bestaande actie
◻ de samenvoeging of ombuiging van een of meer acties naar een andere/een nieuwe actie
1.4.Doelstelling(en)
1.4.1.Algemene doelstelling(en)
De algemene doelstelling van het initiatief is het opstellen van voorschriften inzake informatiebeveiliging voor alle instellingen en organen van de Unie, teneinde een krachtige en consistente bescherming tegen de zich ontwikkelende dreigingen voor hun informatie tot stand te brengen.
1.4.2.Specifieke doelstelling(en)
• specifieke doelstelling 1: geharmoniseerde, uitgebreide informatiecategorieën vaststellen, alsmede gemeenschappelijke verwerkingsvereisten voor alle informatie die door het Europese bestuur wordt verwerkt, en beveiligde uitwisseling van informatie tussen de instellingen en organen van de Unie faciliteren, waarbij de gevolgen voor de lidstaten tot een minimum worden beperkt.
• specifieke doelstelling 2: ervoor zorgen dat alle instellingen en organen van de Unie eventuele lacunes in de beveiliging van hun processen vaststellen en de maatregelen uitvoeren die nodig zijn om een gelijk speelveld op het gebied van informatiebeveiliging te waarborgen.
• specifieke doelstelling 3: een flexibele samenwerkingsregeling inzake informatiebeveiliging tussen de instellingen en organen van de Unie opzetten waarmee voor het gehele Europese bestuur een samenhangende informatiebeveiligingscultuur tot stand kan worden gebracht.
• specifieke doelstelling 4: het informatiebeveiligingsbeleid met betrekking tot alle rubriceringsgraden en categoriseringsniveaus moderniseren voor alle instellingen en organen van de Unie, rekening houdend met de digitale transformatie en de ontwikkeling van thuiswerken als structurele praktijk.
1.4.3.Verwachte resulta(a)t(en) en gevolg(en)
Vermeld de gevolgen die het voorstel/initiatief zou moeten hebben op de begunstigden/doelgroepen.
Het voorstel zal voor de instellingen en organen van de Unie de volgende gevolgen hebben:
–herziening van hun interne voorschriften en procedures om deze aan te passen aan de verordening;
–categorisering van alle verwerkte informatie in overeenstemming met de regeling waarin de verordening voorziet;
–hun communicatie- en informatiesystemen in overeenstemming brengen met de voorschriften van de verordening;
–deelnemen aan de interinstitutionele coördinatiegroep voor informatiebeveiliging (de “coördinatiegroep”).
De lidstaten zullen baat hebben bij deze verordening aangezien deze ervoor zorgt dat de samenwerking met de instellingen en organen van de Unie op alle relevante gebieden (personeelsbeveiliging, industriële beveiliging en informatie-uitwisseling) gebaseerd is op dezelfde concepten, regels en procedures.
1.4.4.Prestatie-indicatoren
Vermeld de indicatoren voor de monitoring van de voortgang en de beoordeling van de resultaten.
Indicatoren die relevant zijn voor specifieke doelstelling 1
–Vaststelling van passende richtsnoeren
–Invoering van nieuwe markeringen
–Publicatie van bijgewerkte verwerkingsinstructies voor alle categorieën informatie
–Invoering van gemeenschappelijke systemen voor de verwerking van gevoelige niet-gerubriceerde informatie en EUCI
Indicatoren die relevant zijn voor specifieke doelstelling 2
–Aantal aanbevelingen en aantal uitgevoerd aanbevelingen
–Aantal informatielekken tussen instellingen en organen
Indicatoren die relevant zijn voor specifieke doelstelling 3
–Statistieken over gecentraliseerde versus lokale aanbestedingen
–Inspectieverslagen
–Aantal door het secretariaat van de coördinatiegroep informatiebeveiliging behandelde verzoeken
Indicatoren die relevant zijn voor specifieke doelstelling 4
–Aantal gebruikers dat een opleiding volgt
–Mate van bekendheid van het personeel met de voorschriften inzake informatiebeveiliging
–Percentage personeelsleden dat beveiligde apparatuur voor thuiswerken kan gebruiken
1.5.Motivering van het voorstel/initiatief
1.5.1.Behoefte(n) waarin op korte of lange termijn moet worden voorzien, met een gedetailleerd tijdschema voor de uitrol van het initiatief
Dit initiatief wordt gefaseerd uitgevoerd:
–2022/2023: vaststelling en inwerkingtreding van de verordening
–2024/2025: alle instellingen en organen van de Unie toetsen hun interne regels voorschriften inzake informatiebeveiliging met het oog op de aanpassing ervan aan de verordening
–2025: organisatorische werkzaamheden voor de oprichting van de coördinatiegroep en het secretariaat ervan, en de technische subgroepen
–2024/2025: aanvang van de toepassing van de verordening
–2025/2026: vaststelling van het reglement van orde van de coördinatiegroep en de technische subgroepen
–2026–2028: opstelling van richtsnoeren ter ondersteuning van de uitvoering van de verordening, uitwisseling van beste praktijken tussen instellingen en organen
–2029/2030: voorbereiding van de eerste evaluatie van de verordening (elke vijf jaar vanaf de datum van toepassing)
–2030: eerste evaluatie van de verordening
1.5.2.Toegevoegde waarde van de deelname van de Unie (deze kan het resultaat zijn van verschillende factoren, bijvoorbeeld coördinatiewinst, rechtszekerheid, grotere doeltreffendheid of complementariteit). Voor de toepassing van dit punt wordt onder “toegevoegde waarde van de deelname van de Unie” de waarde verstaan die een optreden van de Unie oplevert bovenop de waarde die door een optreden van alleen de lidstaat zou zijn gecreëerd.
Het initiatief draagt ertoe bij dat de instellingen en organen van de Unie bij de uitvoering van hun opdracht worden bijgestaan door een open, efficiënt en onafhankelijk bestuur.
Het vormt een aanvulling op de algemene nationale inspanningen van de lidstaten op het gebied van de veiligheid van de EU door de instellingen en organen te beschermen tegen externe inmenging en spionageactiviteiten.
1.5.3.Nuttige ervaring die bij soortgelijke activiteiten in het verleden is opgedaan
1.5.4.Verenigbaarheid met het meerjarige financiële kader en eventuele synergie met andere passende instrumenten
Het project vereist dat 2 vte’s worden ingezet voor het secretariaat van de coördinatiegroep informatiebeveiliging.
Andere projecten, zoals de ontwikkeling van gemeenschappelijke instrumenten en de centralisatie van sommige activiteiten, zijn ten dele al aan de gang en vallen onder dienstenniveauovereenkomsten en kaderovereenkomsten.
1.5.5.Beoordeling van de verschillende beschikbare financieringsopties, waaronder mogelijkheden voor herschikking
1.6.Duur en financiële gevolgen van het voorstel/initiatief
◻ beperkte geldigheidsduur
–◻
van kracht vanaf [DD/MM]JJJJ tot en met [DD/MM]JJJJ
–◻
financiële gevolgen vanaf JJJJ tot en met JJJJ voor vastleggingskredieten en vanaf JJJJ tot en met JJJJ voor betalingskredieten.
– onbeperkte geldigheidsduur
1.7.Beheersvorm(en)
Rechtstreeks beheer door de Commissie en de individuele instellingen en organen van de Unie
– door de diensten ervan, waaronder het personeel in de delegaties van de Unie;
–◻
door de uitvoerende agentschappen
◻ Gedeeld beheer met de lidstaten
◻ Indirect beheer door begrotingsuitvoeringstaken te delegeren aan:
–◻ derde landen of de door hen aangewezen organen;
–◻ internationale organisaties en hun agentschappen (geef aan welke);
–◻ de EIB en het Europees Investeringsfonds;
–◻ de in de artikelen 70 en 71 van het Financieel Reglement bedoelde organen;
–◻ publiekrechtelijke organen;
–◻ privaatrechtelijke organen met een openbaredienstverleningstaak, voor zover hun voldoende financiële garanties worden geboden;
–◻ privaatrechtelijke organen van een lidstaat, waaraan de uitvoering van een publiek-privaat partnerschap is toevertrouwd en waaraan voldoende financiële garanties worden geboden;
–◻ personen aan wie de uitvoering van specifieke maatregelen op het gebied van het GBVB in het kader van titel V van het VEU is toevertrouwd en die worden genoemd in de betrokken basishandeling.
–Verstrek, indien meer dan een beheersvorm is aangekruist, extra informatie onder “Opmerkingen”.
Opmerkingen
2.BEHEERSMAATREGELEN
2.1.Regels inzake het toezicht en de verslagen
Vermeld frequentie en voorwaarden.
De verordening zal om de vijf jaar worden geëvalueerd en de Commissie zal over haar bevindingen verslag uitbrengen aan de Raad en het Europees Parlement.
2.2.Beheers- en controlesyste(e)m(en)
2.2.1.Rechtvaardiging van de voorgestelde beheersvorm(en), uitvoeringsmechanisme(n) voor financiering, betalingsvoorwaarden en controlestrategie
Bij de verordening worden voorschriften inzake informatiebeveiliging vastgesteld, die voor alle instellingen en organen van de Unie gelden. Het toezicht op de correcte uitvoering ervan zal plaatsvinden via een coördinatiegroep waarbij alle veiligheidsautoriteiten van de instellingen en organen betrokken zijn.
De verantwoordelijkheid voor de beveiliging blijft volledig berusten bij de veiligheidsautoriteit van elke instelling en elk orgaan, en is onderworpen aan het bestaande internecontrolekader van elke instelling en elk orgaan.
2.2.2.Informatie over de geïdentificeerde risico’s en het (de) systeem (systemen) voor interne controle dat is (die zijn) opgezet om die risico’s te beperken
De verordening zal een basis voor informatiebeveiligingsvoorschriften creëren en de transparantie van beveiligingsmaatregelen voor informatie-uitwisseling tussen de instellingen en organen van de Unie waarborgen, zodat de risico’s in verband met informatiebeveiliging over de hele linie worden beperkt.
De verordening is in overeenstemming met de internecontrolenormen en omvat een risicogebaseerde aanpak voor beleidsvorming.
2.2.3.Raming en motivering van de kosteneffectiviteit van de controles (verhouding van de controlekosten tot de waarde van de desbetreffende financiële middelen) en evaluatie van het verwachte foutenrisico (bij betaling en bij afsluiting).
De bestaande controlemechanismen voor de instellingen en organen zullen van toepassing zijn. Over de naleving van de verordening en de risico’s in verband met informatiebeveiliging moet verslag worden uitgebracht in het kader van de jaarlijkse risicorapportage van de instellingen en organen.
2.3.Maatregelen ter voorkoming van fraude en onregelmatigheden
Vermeld de bestaande en geplande preventie- en beschermingsmaatregelen, bijvoorbeeld in het kader van de fraudebestrijdingsstrategie.
3.GERAAMDE FINANCIËLE GEVOLGEN VAN HET VOORSTEL/INITIATIEF
3.1.Rubriek(en) van het meerjarige financiële kader en betrokken begrotingsonderde(e)l(en) voor uitgaven
·Bestaande begrotingsonderdelen
In volgorde van de rubrieken van het meerjarige financiële kader en de begrotingsonderdelen.
Rubriek van het meerjarig financieel kader
|
Begrotingsonderdeel
|
Soort uitgave
|
Bijdrage
|
|
Nummer
|
GK/NGK
|
van EVA-landen
|
van kandidaat-lidstaten
|
van derde landen
|
in de zin van artikel 21, lid 2, punt b), van het Financieel Reglement
|
H7
|
20 01 02 01
|
NGK
|
NEE
|
NEE
|
NEE
|
NEE
|
·Te creëren nieuwe begrotingsonderdelen
In volgorde van de rubrieken van het meerjarige financiële kader en de begrotingsonderdelen.
Rubriek van het meerjarig financieel kader
|
Begrotingsonderdeel
|
Soort uitgave
|
Bijdrage
|
|
Nummer
|
GK/NGK
|
van EVA-landen
|
van kandidaat-lidstaten
|
van derde landen
|
in de zin van artikel 21, lid 2, punt b), van het Financieel Reglement
|
|
Geen
|
|
JA/NEE
|
JA/NEE
|
JA/NEE
|
JA/NEE
|
3.2.Geraamde financiële gevolgen van het voorstel inzake kredieten
3.2.1.Samenvatting van de geraamde gevolgen voor de beleidskredieten
–
Voor het voorstel/initiatief zijn geen beleidskredieten nodig
–
Voor het voorstel/initiatief zijn beleidskredieten nodig, zoals hieronder nader wordt beschreven:
miljoen EUR (tot op drie decimalen)
Rubriek van het meerjarig financieel kader
|
Aantal
|
|
DG: <…>
|
|
|
Jaar
N
|
Jaar
N+1
|
Jaar
N+2
|
Jaar
N+3
|
Vul zoveel jaren in als nodig om de duur van de gevolgen weer te geven (zie punt 1.6)
|
TOTAAL
|
• Beleidskredieten
|
|
|
|
|
|
|
|
|
Begrotingsonderdeel
|
Vastleggingen
|
(1a)
|
|
|
|
|
|
|
|
|
|
Betalingen
|
(2a)
|
|
|
|
|
|
|
|
|
Begrotingsonderdeel
|
Vastleggingen
|
(1b)
|
|
|
|
|
|
|
|
|
|
Betalingen
|
(2b)
|
|
|
|
|
|
|
|
|
Uit het budget van specifieke programma’s gefinancierde administratieve kredieten
|
|
|
|
|
|
|
|
|
Begrotingsonderdeel
|
|
(3)
|
|
|
|
|
|
|
|
|
TOTAAL kredieten
voor DG <…>
|
Vastleggingen
|
=1a+1b+3
|
|
|
|
|
|
|
|
|
|
Betalingen
|
=2a+2b+3
|
|
|
|
|
|
|
|
|
• TOTAAL beleidskredieten
|
Vastleggingen
|
(4)
|
|
|
|
|
|
|
|
|
|
Betalingen
|
(5)
|
|
|
|
|
|
|
|
|
• TOTAAL uit het budget van specifieke programma’s gefinancierde administratieve kredieten
|
(6)
|
|
|
|
|
|
|
|
|
TOTAAL kredieten
voor RUBRIEK<….>
van het meerjarig financieel kader
|
Vastleggingen
|
=4+6
|
|
|
|
|
|
|
|
|
|
Betalingen
|
=5+6
|
|
|
|
|
|
|
|
|
Wanneer het voorstel/initiatief gevolgen heeft voor meerdere beleidsrubrieken, herhaal dan bovenstaand deel:
• TOTAAL beleidskredieten (alle beleidsrubrieken)
|
Vastleggingen
|
(4)
|
|
|
|
|
|
|
|
|
|
Betalingen
|
(5)
|
|
|
|
|
|
|
|
|
TOTAAL uit het budget van specifieke programma’s gefinancierde administratieve kredieten (alle beleidsrubrieken)
|
(6)
|
|
|
|
|
|
|
|
|
TOTAAL kredieten
onder de RUBRIEKEN 1 tot en met 6
van het meerjarig financieel kader
(referentiebedrag)
|
Vastleggingen
|
=4+6
|
|
|
|
|
|
|
|
|
|
Betalingen
|
=5+6
|
|
|
|
|
|
|
|
|
Rubriek van het meerjarig financieel kader
|
7
|
“Administratieve uitgaven”
|
Dit deel moet worden ingevuld aan de hand van de “administratieve begrotingsgegevens”, die eerst moeten worden opgenomen in de
bijlage bij het financieel memorandum
(Bijlage V bij de interne voorschriften), te uploaden in DECIDE met het oog op overleg tussen de diensten.
miljoen EUR (tot op drie decimalen)
|
|
|
Jaar
2023
|
Jaar
2024
|
Jaar
2025
|
Jaar
2026
|
Jaar
2027
|
TOTAAL
|
DG: HR
|
• Personele middelen
|
0,314
|
0,314
|
0,314
|
0,314
|
0,314
|
1,570
|
• Andere administratieve uitgaven
|
|
|
|
|
|
|
TOTAAL DG <…>
|
Kredieten
|
0,314
|
0,314
|
0,314
|
0,314
|
0,314
|
1,570
|
TOTAAL kredieten
in RUBRIEK 7
van het meerjarig financieel kader
|
(Totaal vastleggingen = totaal betalingen)
|
0,314
|
0,314
|
0,314
|
0,314
|
0,314
|
1,570
|
miljoen EUR (tot op drie decimalen)
|
|
|
Jaar
2023
|
Jaar
2024
|
Jaar
2025
|
Jaar
2026
|
Jaar
2027
|
TOTAAL
|
TOTAAL kredieten
onder de RUBRIEKEN 1 tot en met 7
van het meerjarig financieel kader
|
Vastleggingen
|
0,314
|
0,314
|
0,314
|
0,314
|
0,314
|
1,570
|
|
Betalingen
|
0,314
|
0,314
|
0,314
|
0,314
|
0,314
|
1,570
|
3.2.2.Geraamde output, gefinancierd met beleidskredieten
Vastleggingskredieten, miljoen EUR (tot op drie decimalen)
Vermeld doelstellingen en outputs
⇩
|
|
|
Jaar
N
|
Jaar
N+1
|
Jaar
N+2
|
Jaar
N+3
|
Vul zoveel jaren in als nodig om de duur van de gevolgen weer te geven (zie punt 1.6)
|
TOTAAL
|
|
OUTPUTS
|
|
Soort
|
Gem. kosten
|
aantal
|
kosten
|
aantal
|
kosten
|
aantal
|
kosten
|
aantal
|
kosten
|
aantal
|
kosten
|
aantal
|
kosten
|
aantal
|
kosten
|
Totaal aantal
|
Totale kosten
|
SPECIFIEKE DOELSTELLING 1
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
– Output
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
– Output
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
– Output
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Subtotaal voor specifieke doelstelling 1
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
SPECIFIEKE DOELSTELLING 2
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
– Output
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Subtotaal voor specifieke doelstelling 2
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
TOTAAL
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3.2.3.Samenvatting van de geraamde gevolgen voor de administratieve kredieten
–◻
Voor het voorstel/initiatief zijn geen administratieve kredieten nodig
–Voor het voorstel/initiatief zijn administratieve kredieten nodig, zoals hieronder nader wordt beschreven:
miljoen EUR (tot op drie decimalen)
|
Jaar
2023
|
Jaar
2024
|
Jaar
2025
|
Jaar
2026
|
Jaar
2027
|
TOTAAL
|
RUBRIEK 7
van het meerjarig financieel kader
|
|
|
|
|
|
|
Personele middelen
|
0,314
|
0,314
|
0,314
|
0,314
|
0,314
|
1,570
|
Andere administratieve uitgaven
|
|
|
|
|
|
|
Subtotaal RUBRIEK 7
van het meerjarig financieel kader
|
0,314
|
0,314
|
0,314
|
0,314
|
0,314
|
1,570
|
Buiten RUBRIEK 7 van het meerjarig financieel kader
|
|
|
|
|
|
|
Personele middelen
|
|
|
|
|
|
|
Andere administratieve uitgaven
|
|
|
|
|
|
|
Subtotaal
buiten RUBRIEK 7
van het meerjarig financieel kader
|
|
|
|
|
|
|
TOTAAL
|
0,314
|
0,314
|
0,314
|
0,314
|
0,314
|
1,570
|
De benodigde kredieten voor personele middelen en andere administratieve uitgaven zullen worden gefinancierd uit de kredieten van het DG die reeds voor het beheer van deze actie zijn toegewezen en/of binnen het DG zijn herverdeeld, eventueel aangevuld met middelen die in het kader van de jaarlijkse toewijzingsprocedure met inachtneming van de budgettaire beperkingen aan het beherende DG kunnen worden toegewezen.
3.2.3.1.Geraamde personeelsbehoeften
–◻
Voor het voorstel/initiatief zijn geen personele middelen nodig.
–
Voor het voorstel/initiatief zijn personele middelen nodig, zoals hieronder nader wordt beschreven:
Raming in voltijdequivalenten
|
Jaar 2023
|
Jaar 2024
|
Jaar 2025
|
Jaar
2026
|
Jaar
2027
|
20 01 02 01 (zetel en vertegenwoordigingen van de Commissie)
|
2
|
2
|
2
|
2
|
2
|
20 01 02 03 (delegaties)
|
|
|
|
|
|
01 01 01 01 (onderzoek door derden)
|
|
|
|
|
|
01 01 01 11 (eigen onderzoek)
|
|
|
|
|
|
Ander begrotingsonderdeel (te vermelden)
|
|
|
|
|
|
20 02 01 (AC, END, INT van de “totale financiële middelen”)
|
|
|
|
|
|
20 02 03 (AC, AL, END, INT en JPD in de delegaties)
|
|
|
|
|
|
XX 01 xx yy zz
|
– zetel
|
|
|
|
|
|
|
– delegaties
|
|
|
|
|
|
01 01 01 02 (AC, END, INT — onderzoek door derden)
|
|
|
|
|
|
01 01 01 12 (AC, END, INT — eigen onderzoek)
|
|
|
|
|
|
Ander begrotingsonderdeel (te vermelden)
|
|
|
|
|
|
TOTAAL
|
2
|
2
|
2
|
2
|
2
|
XX is het desbetreffende beleidsterrein of de begrotingstitel.
Voor de benodigde personele middelen zal een beroep worden gedaan op het personeel van het DG dat reeds voor het beheer van deze actie is toegewezen en/of binnen het DG is herverdeeld, eventueel aangevuld met middelen die in het kader van de jaarlijkse toewijzingsprocedure met inachtneming van de budgettaire beperkingen aan het beherende DG kunnen worden toegewezen.
Beschrijving van de uit te voeren taken:
Ambtenaren en tijdelijk personeel
|
Secretariaat van de coördinatiegroep informatiebeveiliging: 1 AD-ambtenaar + 1 AST-ambtenaar
|
Extern personeel
|
|
3.2.4.Verenigbaarheid met het huidige meerjarige financiële kader
Het voorstel/initiatief:
–kan volledig worden gefinancierd door middel van herschikking binnen de relevante rubriek van het meerjarig financieel kader (MFK).
Het voorstel vereist de toewijzing van twee personeelsleden aan het permanente secretariaat van de interinstitutionele coördinatiegroep, gevestigd in HR.DS.
–◻
hiervoor moet een beroep worden gedaan op de niet-toegewezen marge in de desbetreffende rubriek van het MFK en/of op de speciale instrumenten zoals gedefinieerd in de MFK-verordening.
Zet uiteen wat nodig is, onder vermelding van de betrokken rubrieken en begrotingsonderdelen, de desbetreffende bedragen en de voorgestelde instrumenten.
–◻
hiervoor is een herziening van het MFK nodig.
Zet uiteen wat nodig is, onder vermelding van de betrokken rubrieken en begrotingsonderdelen en de desbetreffende bedragen.
3.2.5.Bijdragen van derden
Het voorstel/initiatief:
–
voorziet niet in medefinanciering door derden
–◻
voorziet in medefinanciering door derden, zoals hieronder wordt geraamd:
Kredieten in miljoen EUR (tot op drie decimalen)
|
Jaar
N
|
Jaar
N+1
|
Jaar
N+2
|
Jaar
N+3
|
Totaal
|
Medefinancieringsbron
|
|
|
|
|
|
TOTAAL medegefinancierde kredieten
|
|
|
|
|
|
Opmerking: het voorstel leidt tot intensivering van de huidige samenwerking op het gebied van informatiebeveiliging via dienstenniveauovereenkomsten.
3.3.Geraamde gevolgen voor de ontvangsten
–
Het voorstel/initiatief heeft geen financiële gevolgen voor de ontvangsten.
–◻
Het voorstel/initiatief heeft de hieronder beschreven financiële gevolgen:
voor de eigen middelen
voor overige ontvangsten
Geef aan of de ontvangsten worden toegewezen aan de begrotingsonderdelen voor uitgaven
miljoen EUR (tot op drie decimalen)
Begrotingsonderdeel voor ontvangsten:
|
Voor het lopende begrotingsjaar beschikbare kredieten
|
Gevolgen van het voorstel/initiatief
|
|
|
Jaar
N
|
Jaar
N+1
|
Jaar
N+2
|
Jaar
N+3
|
Vermeld voor de toegewezen ontvangsten het (de) betrokken begrotingsonderde(e)l(en) voor uitgaven.
Andere opmerkingen (bv. over de methode/formule voor de berekening van de gevolgen voor de ontvangsten of andere informatie).