1.

Deze afdeling gaat over de beveiligingsaspecten van industriële activiteiten die specifiek verband houden met de onderhandelingen over en het plaatsen van opdrachten voor taken die betrekking hebben op gerubriceerde EU-gegevens of voor taken die dergelijke gegevens noodzakelijk maken en/of bevatten, alsmede de uitvoering daarvan door industriële of andere entiteiten, met inbegrip van de vrijgave van of de toegang tot gerubriceerde EU-gegevens tijdens de procedure voor het plaatsen van overheidsopdrachten (aanbestedingstermijn en precontractuele onderhandelingen).

2.

Voor de toepassing van deze gemeenschappelijke minimumnormen gelden de volgende definities:

3.

Het secretariaat-generaal van de Raad kan bij industriële of andere in een lidstaat ingeschreven entiteiten opdrachten plaatsen voor taken die betrekking hebben op gerubriceerde EU-gegevens of voor taken die dergelijke gegevens noodzakelijk maken en/of bevatten.

4.

Wanneer het secretariaat-generaal van de Raad gerubriceerde opdrachten plaatst, zorgt het ervoor dat aan alle eisen die uit deze minimumnormen voortvloeien, wordt voldaan.

5.

Iedere lidstaat zorgt ervoor dat zijn nationale veiligheidsinstantie (NVI) een aangepaste structuur heeft met behulp waarvan deze minimumnormen kunnen worden toegepast op industriële veiligheid. Deze structuur kan een of meer aangewezen veiligheidsinstanties (AVI) omvatten.

6.

De uiteindelijke verantwoordelijkheid voor de bescherming van gerubriceerde EU-gegevens in industriële of andere entiteiten berust bij het bestuur van die entiteiten.

7.

Bij iedere opdracht of onderaanneming die binnen het toepassingsgebied van deze minimumvoorschriften valt, stellen het secretariaat-generaal van de Raad en/of de NVI/AVI, naargelang het geval, de NVI/AVI van de lidstaat waar de aannemer of onderaannemer is ingeschreven, onmiddellijk op de hoogte.

8.

Bij de beveiligingsrubricering van gerubriceerde opdrachten worden de volgende beginselen in aanmerking genomen:

9.

De NVI/AVI’s van de lidstaten zorgen ervoor dat aannemers of onderaannemers bij wie een gerubriceerde opdracht wordt geplaatst die verband houdt met als CONFIDENTIEL UE of SECRET UE gerubriceerde gegevens, alle dienstige maatregelen nemen ter bescherming van de gerubriceerde EU-gegevens die aan hen worden vrijgegeven of door hen worden gegenereerd bij de uitvoering van de gerubriceerde opdracht, in overeenstemming met hun nationale wetten en voorschriften. Niet-naleving van de beveiligingsvoorschriften kan tot beëindiging van de opdracht leiden.

10.

Alle industriële of andere entiteiten die deelnemen aan gerubriceerde opdrachten die inhouden dat als CONFIDENTIEL UE of SECRET UE gerubriceerde gegevens worden geraadpleegd, moeten over een nationale veiligheidsmachtiging voor een vestiging beschikken. De VMV wordt verleend door de NVI/AVI van een lidstaat om te bevestigen dat de vestiging een adequate beveiliging van gerubriceerde EU-gegevens in de juiste rubriceringsgraad kan verlenen en waarborgen.

11.

De NVI/AVI is verantwoordelijk voor de toekenning, overeenkomstig de nationale voorschriften, van een persoonlijke veiligheidsmachtiging (PVM) aan iedere persoon die werkzaam is bij de in die lidstaat geregistreerde industriële of andere entiteiten en die op grond van zijn taken toegang tot als CONFIDENTIEL UE of SECRET UE gerubriceerde EU-gegevens moet hebben in het kader van een gerubriceerde opdracht.

12.

Gerubriceerde opdrachten moeten een MBA omvatten dat aan de in punt 2, onder j), genoemde definitie voldoet. Het MBA moet een GBR bevatten.

13.

Vóór het begin van de onderhandelingen over een gerubriceerde opdracht neemt het secretariaat-generaal van de Raad contact op met de NVI/AVI van de lidstaten waar de betrokken industriële of andere entiteit geregistreerd is om bevestiging te verkrijgen dat deze houder is van een geldige VMV die aangepast is aan de rubriceringsgraad van de opdracht.

14.

De aanbestedende instantie mag geen gerubriceerde opdracht aan een geselecteerde inschrijver toekennen zonder een geldig VMV-certificaat te hebben ontvangen.

15.

Behoudens andersluidende bepaling in de nationale wetten en voorschriften van de lidstaten is een VMV niet vereist voor opdrachten die betrekking hebben op als RESTREINT UE gerubriceerde gegevens.

16.

Bij aanbestedingen voor gerubriceerde opdrachten moeten de uitnodigingen een bepaling bevatten die vereist dat de inschrijver die uiteindelijk geen offerte doet, of die niet wordt geselecteerd, alle documenten binnen een bepaalde termijn terugzendt.

17.

Het is mogelijk dat een aannemer op diverse niveaus met onderaannemers moet onderhandelen over gerubriceerde onderaanneming. Het is de verantwoordelijkheid van de aannemer dat alle onderaannemingsactiviteiten verlopen in overeenstemming met de gemeenschappelijke minimumvoorschriften van deze afdeling. De aannemer mag evenwel geen gerubriceerde EU-gegevens of gerubriceerd EU-materiaal doorgeven aan een onderaannemer zonder schriftelijke toestemming van de verstrekker ervan.

18.

De voorwaarden waaronder een aannemer een beroep kan doen op onderaannemers moeten in de aanbesteding en de opdracht worden omschreven. Entiteiten die geregistreerd zijn in landen die geen lidstaat van de Europese Unie zijn, mogen zonder de uitdrukkelijke schriftelijke toestemming van het secretariaat-generaal van de Raad niet als onderaannemer worden ingeschakeld.

19.

Tijdens de gehele looptijd van de opdracht ziet de bevoegde NVI/AVI, in coördinatie met het secretariaat-generaal van de Raad, toe op de naleving van alle beveiligingsbepalingen. Van beveiligingsincidenten wordt overeenkomstig de bepalingen van deel II, afdeling X, van deze beveiligingsvoorschriften onmiddellijk verslag uitgebracht. De wijziging of intrekking van een VMV wordt onmiddellijk gemeld aan het secretariaat-generaal van de Raad en aan alle NVI/AVI’s die van het bestaan van de VMV in kennis waren gesteld.

20.

Het secretariaat-generaal van de Raad en/of de NVI/AVI, naargelang het geval, meldt de beëindiging van een gerubriceerde opdracht of gerubriceerde onderaanneming onmiddellijk aan de NVI/AVI’s van de lidstaten waar de aannemer of onderaannemer is geregistreerd.

21.

De aannemers en onderaannemers moeten de in deze afdeling opgenomen gemeenschappelijke minimumvoorschriften in acht blijven nemen en de vertrouwelijkheid van de gerubriceerde gegevens verzekeren na de beëindiging of voltooiing van de gerubriceerde opdracht of onderaanneming.

22.

Specifieke bepalingen over de verwijdering van gerubriceerde gegevens aan het einde van de opdracht worden opgenomen in het MBA of in andere relevante bepalingen waarin de beveiligingseisen worden vastgesteld.

23.

Bezoeken van personeelsleden van het secretariaat-generaal van de Raad aan industriële of andere entiteiten in de lidstaten welke gerubriceerde EU-opdrachten uitvoeren, moeten met de bevoegde NVI/AVI worden overeengekomen. Bezoeken van werknemers van industriële of andere entiteiten in het kader van een gerubriceerde EU-opdracht moeten worden overeengekomen tussen de betrokken NVI/AVI’s. De NVI/AVI’s die betrokken zijn bij een gerubriceerde EU-opdracht kunnen evenwel een procedure overeenkomen waarmee bezoeken van werknemers van industriële of andere entiteiten rechtstreeks kunnen worden geregeld.

24.

Op de overdracht van gerubriceerde EU-gegevens zijn de bepalingen van deel II, afdeling VII, hoofdstuk II en, in voorkomend geval, van afdeling XI van de onderhavige beveiligingsvoorschriften van toepassing. Ter aanvulling van die bepalingen gelden de vigerende procedures tussen de lidstaten.

25.

Het internationaal vervoer van gerubriceerd EU-materiaal dat betrekking heeft op gerubriceerde opdrachten geschiedt in overeenstemming met de nationale procedures van de lidstaten. De volgende beginselen worden toegepast bij de opstelling van de beveiligingsregelingen voor internationaal vervoer: