1.

Deze bijlage bevat bepalingen ter uitvoering van artikel 7. Ze legt in het bijzonder de criteria vast aan de hand waarvan kan worden bepaald of aan een persoon, rekening houdend met zijn loyaliteit en betrouwbaarheid, toegang tot gerubriceerde EU-informatie (hierna: „EUCI”) mag worden verleend, alsook de onderzoeks- en administratieve procedures die daartoe moeten worden gevolgd.

2.

Overal in deze bijlage, behalve wanneer het onderscheid relevant is, verwijst de term „veiligheidsmachtiging voor personen” naar een nationale veiligheidsmachtiging voor personen (hierna: „nationale PVM”) en/of een EU-veiligheidsmachtiging voor personen (hierna: „EU-PVM”), als gedefinieerd in aanhangsel A.

3.

Een persoon wordt alleen toegang tot als CONFIDENTIEL UE/ EU CONFIDENTIAL of hoger gerubriceerde informatie verleend indien:

4.

Elke lidstaat en het SGR bepalen in hun structuren de functies waarvoor toegang tot informatie met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of hoger is vereist en verlangen daartoe een PVM voor het passende niveau.

5.

De nationale veiligheidsoverheden (hierna: „NSA's”) of andere bevoegde nationale autoriteiten zijn er, na ontvangst van een naar behoren gemotiveerd verzoek, verantwoordelijk voor dat veiligheidsonderzoeken worden uitgevoerd naar hun onderdanen voor wie toegang tot als CONFIDENTIEL UE/EU CONFIDENTIAL of hoger gerubriceerde informatie vereist is. De onderzoeksnormen zijn in overeenstemming met de nationale wet- en regelgeving.

6.

Mocht de betrokkene op het grondgebied van een andere lidstaat of een derde staat verblijven, dan verzoeken de bevoegde nationale instanties om bijstand van de bevoegde instantie van de staat van verblijf, in overeenstemming met de nationale wet- en regelgeving. De lidstaten helpen elkaar bij het verrichten van veiligheidsonderzoeken in overeenstemming met de nationale wet- en regelgeving.

7.

Wanneer de nationale wet- en regelgeving zulks toestaan, mogen NSA's of andere bevoegde nationale autoriteiten onderzoeken doen naar niet-onderdanen die toegang vragen tot als CONFIDENTIEL UE/EU CONFIDENTIAL of hoger gerubriceerde informatie. De onderzoeksnormen zijn in overeenstemming met de nationale wet- en regelgeving.

8.

De loyaliteit en de betrouwbaarheid van een persoon ten behoeve van het verkrijgen van een PVM voor toegang tot als CONFIDENTIEL UE/EU CONFIDENTIAL of hoger gerubriceerde informatie worden vastgesteld door middel van een veiligheidsonderzoek. De bevoegde nationale autoriteit maakt een algemene beoordeling aan de hand van de bevindingen van een dergelijk veiligheidsonderzoek. Een negatieve bevinding is op zich niet noodzakelijkerwijs een reden om een PVM te weigeren. De belangrijkste criteria die voor dat doel worden gehanteerd, moeten — voor zover mogelijk krachtens de nationale wet- en regelgeving — betrekking hebben op de vraag of die persoon:

9.

In voorkomend geval en rekening houdend met de nationale wet- en regelgeving, kan de financiële en medische achtergrond van een persoon tijdens het veiligheidsonderzoek eveneens als relevant worden beschouwd.

10.

In voorkomend geval en rekening houdend met de nationale wet- en regelgeving, kunnen het karakter, het gedrag en de levenssituatie van de echtgeno(o)t(e), partner of naaste familieleden tijdens het veiligheidsonderzoek eveneens als relevant worden beschouwd.

11.

De eerste PVM voor toegang tot informatie met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL en SECRET UE/EU SECRET is gebaseerd op een veiligheidsonderzoek dat ten minste de jongste vijf jaar bestrijkt, dan wel de periode vanaf de leeftijd van 18 jaar tot heden, indien deze korter is, en dat onderstaande omvat:

12.

De eerste PVM voor toegang tot informatie met rubricering TRÈS SECRET UE/EU TOP SECRET vindt plaats op basis van een veiligheidsonderzoek dat ten minste de jongste tien jaar bestrijkt, dan wel de periode vanaf de leeftijd van 18 jaar tot heden, indien deze korter is. Indien gesprekken worden gevoerd als bedoeld onder e) hieronder, moet het onderzoek ten minste de afgelopen zeven jaar bestrijken, dan wel de periode vanaf de leeftijd van 18 jaar tot heden, indien deze korter is. Naast de in punt 8 bedoelde criteria worden, voordat een PVM op het niveau TRÈS SECRET UE/EU TOP SECRET wordt verleend, ook onderstaande elementen onderzocht voor zover mogelijk volgens nationale wet- en regelgeving; en deze elementen kunnen ook voorafgaand aan de verlening van een PVM op het niveau van CONFIDENTIEL UE/EU CONFIDENTIAL of SECRET UE/EU SECRET worden onderzocht, indien nationale wet- en regelgeving zulks voorschrijven:

13.

Indien nodig en in overeenstemming met de nationale wet- en regelgeving kan extra onderzoek worden verricht om alle relevante informatie die beschikbaar is over een persoon te kunnen uitwerken en alle negatieve informatie te kunnen bevestigen dan wel ontkrachten.

14.

Na de initiële toekenning van een PVM wordt deze, mits de betrokkene ononderbroken bij een nationale overheid of het SGR in dienst is geweest en nog steeds toegang tot EUCI dient te hebben, opnieuw bezien met het oog op hernieuwing; dit gebeurt met tussenpauzes van ten hoogste vijf jaar voor een machtiging voor het niveau TRÈS SECRET UE/EU TOP SECRET en tien jaar voor een machtiging voor het niveau SECRET UE/EU SECRET en CONFIDENTIEL UE/EU CONFIDENTIAL, welke periode ingaat op de datum van de kennisgeving van de uitkomst van het laatste veiligheidsonderzoek waarop deze gebaseerd zijn. Alle veiligheidsonderzoeken met het oog op de hernieuwing van een PVM hebben betrekking op de periode die sinds het vorige onderzoek is verstreken.

15.

Voor de hernieuwing van PVM's worden de elementen in de punten 11 en 12 onderzocht.

16.

Verzoeken om hernieuwing worden tijdig ingediend, rekening houdend met de gemiddelde termijn die voor veiligheidsonderzoeken nodig is. Wanneer de bevoegde NSA of een andere bevoegde nationale instantie evenwel het betrokken verzoek om hernieuwing en de overeenkomstige vragenlijst voor veiligheid van personen voor het verstrijken van de PVM heeft ontvangen, maar het noodzakelijke veiligheidsonderzoek niet voor het verstrijken van de PVM is afgerond, kan de bevoegde nationale overheid de geldigheid van de bestaande PVM met maximaal twaalf maanden verlengen, wanneer de nationale wet- en regelgeving zulks toestaan. Indien het veiligheidsonderzoek aan het einde van deze periode van twaalf maanden nog niet is voltooid, dient de betrokkene taken uit te oefenen waarvoor geen PVM vereist is.

17.

Voor ambtenaren en andere personeelsleden van het SGR zendt de veiligheidsautoriteit van het SGR de ingevulde vragenlijst voor de veiligheid van personen toe aan de NSA van de lidstaat waarvan de betrokkene onderdaan is, met het verzoek een veiligheidsonderzoek uit te voeren voor het niveau van EUCI waartoe toegang van de betrokkene noodzakelijk zal zijn.

18.

Indien een persoon een EU-PVM heeft aangevraagd, en het SGR de beschikking krijgt over informatie over de betrokkene die voor het veiligheidsonderzoek van belang is, stelt het SGR de desbetreffende NSA hiervan in overeenstemming met de regels en voorschriften ter zake in kennis.

19.

Nadat het veiligheidsonderzoek is afgesloten, brengt betrokken NSA de veiligheidsautoriteit van het SGR op de hoogte van de uitkomst ervan, met gebruikmaking van het door het Beveiligingscomité voor de briefwisseling voorgeschreven standaardmodel.

20.

Voor het veiligheidsonderzoek en de resultaten van het veiligheidsonderzoek gelden de in de betrokken lidstaat van toepassing zijnde wet- en regelgeving, ook wat de mogelijkheden tot beroep betreft. Tegen besluiten van het tot aanstelling bevoegde gezag van het SGR kan beroep worden aangetekend in overeenstemming met het statuut van de ambtenaren van de Europese Unie en de regeling die van toepassing is op de andere personeelsleden van de Europese Unie, vastgesteld in Verordening (EEG, Euratom, EGKS) nr. 259/68 (1) (hierna: „het statuut”).

21.

De waarborg waarop een EU-PVM gebaseerd is, op voorwaarde dat de machtiging geldig blijft, bestrijkt elke taak die de betrokkene in het SGR of de Commissie op zich neemt.

22.

Indien de periode waarin een persoon in dienst is, niet begint binnen twaalf maanden na de kennisgeving van de uitkomst van het veiligheidsonderzoek aan het tot aanstelling bevoegde gezag van het SGR, of indien de betrokkene zijn dienst voor een periode van twaalf maanden heeft onderbroken en gedurende die tijd niet bij het SGR of in een functie bij een nationale overheid van een lidstaat heeft gewerkt, wordt deze uitkomst naar de betrokken NSA verwezen voor de bevestiging dat die nog steeds geldig en passend is.

23.

Indien een persoon een EU-PVM is verleend, en het SGR de beschikking krijgt over informatie dat er in verband met die persoon een veiligheidsrisico bestaat, stelt het SGR de desbetreffende NSA hiervan in kennis, overeenkomstig de regels en voorschriften ter zake. Wanneer de NSA het SGR in kennis stelt van de intrekking van een overeenkomstig punt 19, onder a), gegeven verzekering voor een persoon die een geldige EU PVM heeft, kan het tot aanstelling bevoegde gezag van het SGR de NSA elke toelichting vragen die de instantie volgen de nationale wet- en regelgeving mag verstrekken. Indien de negatieve informatie wordt bevestigd, wordt de EU-PVM ingetrokken en wordt de betrokkene de toegang tot EUCI en tot functies waar dergelijke toegang mogelijk is of waar hij de veiligheid in gevaar zou kunnen brengen, ontzegd.

24.

Elke beslissing om een EU-PVM van een ambtenaar of ander personeelslid van het SGR in te trekken, alsook waar nodig de redenen daarvoor, worden meegedeeld aan de betrokkene, die kan vragen om door het tot aanstelling bevoegde gezag te worden gehoord. Voor door een NSA verstrekte informatie gelden de in de betrokken lidstaat van toepassing zijnde wetten en voorschriften, ook wat de mogelijkheden tot beroep betreft. Tegen besluiten van het tot aanstelling bevoegde gezag van het SGR kan beroep worden aangetekend in overeenstemming met het statuut.

25.

Nationale deskundigen die bij het SGR worden gedetacheerd voor een functie waarvoor een EU-PVM is vereist, leggen een geldige nationale PVM voor toegang tot EUCI aan de veiligheidsautoriteit van het SGR over alvorens hun taak aan te vatten.

26.

De aantekeningen van nationale PVM's en EU-PVM's die met het oog op toegang tot EUCI worden verleend, worden door respectievelijk de lidstaat en het SGR bewaard. Deze aantekeningen bevatten ten minste het niveau van de EUCI waartoe een persoon toegang kan worden verleend (CONFIDENTIEL UE/EU CONFIDENTIAL of hoger), de datum van verlening van de PVM en de geldigheidsduur ervan.

27.

De bevoegde veiligheidsautoriteit kan een certificaat van veiligheidsmachtiging (VM) afgeven met daarop het niveau van de EUCI waartoe de persoon toegang kan worden verleend (CONFIDENTIEL UE/EU CONFIDENTIAL of hoger), de geldigheidsduur van de betrokken nationale PVM voor toegang tot EUCI of EU-PVM en de datum waarop de geldigheid van het certificaat zelf afloopt.

28.

De toegang tot EUCI door personen in de lidstaten die uit hoofde van hun functie daartoe naar behoren zijn gemachtigd, wordt vastgesteld in overeenstemming met de nationale wet- en regelgeving. Die personen worden geïnstrueerd over hun beveiligingsverplichtingen in verband met de bescherming van EUCI.

29.

Alle personen aan wie een PVM is verleend, bevestigen schriftelijk dat zij kennis dragen van hun plichten met betrekking tot de bescherming van EUCI en van de gevolgen indien EUCI wordt gecompromitteerd. Een aantekening van deze schriftelijke bevestiging wordt naargelang van het geval door de lidstaat of het SGR bewaard.

30.

Eenieder die gemachtigd is om toegang te hebben tot of die moet omgaan met EUCI, dient vanaf het begin bewust te worden gemaakt van en regelmatig geïnstrueerd te worden over de dreigingen voor de veiligheid en moet iedere toenadering of activiteit die hij verdacht of ongewoon vindt, onmiddellijk aan de desbetreffende veiligheidsinstanties melden.

31.

Alle personen die geen taken meer vervullen waarvoor toegang tot EUCI vereist is, dienen er bewust van te worden gemaakt dat hun plichten met betrekking tot de bescherming van EUCI blijven bestaan, en dienen zulks in voorkomend geval schriftelijk te bevestigen.

32.

Wanneer de nationale wet- en regelgeving het toestaan, kunnen nationale ambtenaren op grond van een door een bevoegde instantie van een lidstaat afgegeven PVM voor toegang tot nationale gerubriceerde informatie in afwachting van de afgifte van een nationale PVM voor toegang tot EUCI, tijdelijk toegang krijgen tot EUCI tot het niveau in de concordantietabel in aanhangsel B, wanneer deze tijdelijke toegang in het belang van de Europese Unie noodzakelijk is. De NSA's laten het Beveiligingscomité weten in welke gevallen de nationale wet- en regelgeving een dergelijke tijdelijke toegang tot EUCI niet toestaan.

33.

Het tot aanstelling bevoegde gezag van het SGR kan om dringende en naar behoren gemotiveerde redenen van dienstbelang en in afwachting van de voltooiing van het volledige veiligheidsonderzoek, na raadpleging van de NSA van de lidstaat waarvan de betrokkene onderdaan is en afhankelijk van de uitkomst van een eerste controle of er geen negatieve informatie bekend is, ambtenaren en andere personeelsleden van het SGR voor een specifieke functie tijdelijk toegang tot EUCI verlenen. Deze tijdelijke toegang wordt voor maximaal zes maanden verleend en geldt niet voor informatie met rubricering TRÈS SECRET UE/EU TOP SECRET. Alle personen aan wie tijdelijke toegang is verleend, bevestigen schriftelijk dat zij kennis dragen van hun plichten met betrekking tot de bescherming van EUCI en van de gevolgen indien EUCI wordt gecompromitteerd. Een aantekening van deze schriftelijke bevestiging wordt door het SGR bewaard.

34.

Wanneer een persoon een functie krijgt toegewezen waarvoor een PVM nodig is van één niveau hoger dan die waarover hij op dat moment beschikt, kan deze nieuwe functie op voorlopige basis worden toegewezen, mits:

35.

Deze procedure wordt gebruikt voor eenmalige toegang tot EUCI met een rubriceringsgraad die één niveau hoger ligt dan waarvoor de betrokkene is gescreend. Deze procedure mag niet bij herhaling worden gebruikt.

36.

In zeer uitzonderlijke omstandigheden, zoals bij missies in een vijandige omgeving of gedurende perioden van groeiende internationale spanning, wanneer noodmaatregelen zulks vereisen, vooral wanneer er levens kunnen worden gered, kunnen de lidstaten en de SG/HV of de plaatsvervangend secretaris-generaal schriftelijk toegang tot informatie met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of SECRET UE/EU SECRET verlenen aan personen die niet in het bezit zijn van de vereiste PVM, zulks onder de voorwaarde dat die toestemming absoluut noodzakelijk is en er geen gerede twijfel bestaat aan de loyaliteit en de betrouwbaarheid van de betrokkene. Een aantekening van deze toestemming, met een beschrijving van de informatie waartoe toegang werd verleend, wordt bewaard.

37.

In geval van informatie met rubricering TRÈS SECRET UE/EU TOP SECRET dienen dergelijke noodmaatregelen beperkt te blijven tot onderdanen van de Europese Unie aan wie toegang is verleend tot het nationale equivalent van TRÈS SECRET UE/EU TOP SECRET of tot informatie met rubricering SECRET UE/EU SECRET.

38.

Het Beveiligingscomité wordt op de hoogte gesteld van gevallen waarin de in de punten 36 en 37 genoemde procedure is gevolgd.

39.

Wanneer de wetten en voorschriften van een lidstaat strengere regels opleggen ten aanzien van tijdelijke machtigingen, voorlopige toewijzingen, eenmalige toegang of toegang in dringende gevallen tot gerubriceerde informatie, worden de in dit deel beschreven procedures alleen gevolgd binnen de beperkingen in de nationale wet- en regelgeving ter zake.

40.

Het Beveiligingscomité krijgt een jaarlijks verslag over het gebruik van de in dit deel beschreven procedures.

41.

Met inachtneming van punt 28 kunnen personen aan wie is opgedragen deel te nemen aan vergaderingen van de Raad of van voorbereidende instanties van de Raad waarin als CONFIDENTIEL UE/EU CONFIDENTIAL of hoger gerubriceerde informatie worden besproken, dit alleen doen als de PVM-status van de betrokkene wordt bevestigd. Voor gedelegeerden dient een CPVM of ander bewijs van een PVM door de desbetreffende instanties aan de Dienst beveiliging van het SGR te worden toegezonden, of in uitzonderingsgevallen door de betrokken gedelegeerde te worden overgelegd. Indien van toepassing kan een geconsolideerde lijst van namen worden gebruikt, met het relevante bewijs van PVM.

42.

Wanneer om veiligheidsredenen een nationale PVM voor toegang tot EUCI wordt ingetrokken van een persoon die voor zijn werk moet deelnemen aan vergaderingen van de Raad of van voorbereidende instanties van de Raad, stelt de bevoegde instantie het SGR daarvan op de hoogte.

43.

Wanneer personen moeten werken in omstandigheden waarin zij mogelijkerwijs toegang hebben tot als CONFIDENTIEL UE/EU CONFIDENTIAL of hoger gerubriceerde informatie, dienen zij passend te zijn gescreend of voortdurend te worden begeleid.

44.

Koeriers en bewakings- en begeleidingspersoneel dienen voor de passende rubriceringsgraad te zijn gescreend of anderszins een passend onderzoek te hebben ondergaan overeenkomstig de nationale wet- en regelgeving, te worden geïnstrueerd over de beveiligingsprocedures ter bescherming van EUCI en over hun plicht om de hun toevertrouwde EUCI te beschermen.

1.

Deze bijlage bevat bepalingen ter uitvoering van artikel 8. Er worden minimumvoorschriften vastgesteld voor de fysieke beveiliging van locaties, gebouwen, bureaus, ruimten en andere zones waar EUCI wordt verwerkt en opgeslagen, evenals zones waar CIS zijn ondergebracht.

2.

Fysieke beveiligingsmaatregelen zijn bedoeld om de toegang zonder machtiging tot EUCI te voorkomen door:

3.

De fysieke beveiligingsmaatregelen worden geselecteerd op basis van de dreigingsbeoordeling door de bevoegde instanties. Het SGR en de lidstaten passen ieder een risicobeheerprocedure toe ter bescherming van EUCI in hun gebouwen, teneinde ervoor te zorgen dat een fysieke bescherming wordt geboden die overeenstemt met het ingeschatte risico. In de risicobeheerprocedure wordt rekening gehouden met alle relevante factoren, met name:

4.

De bevoegde veiligheidsautoriteit stelt aan de hand van het begrip „defence in depth” vast welke passende combinatie van fysieke beveiligingsmaatregelen moet worden getroffen. Deze maatregelen kunnen zijn:

5.

De bevoegde instantie kan worden gemachtigd om controles uit te voeren bij het in- en uitgaan, ter afschrikking van het ongeoorloofd binnenbrengen van materiaal in, of het ongeoorloofd verwijderen van EUCI uit een locatie of gebouw.

6.

Als het risico bestaat dat EUCI van buitenaf wordt waargenomen, zelfs per ongeluk, worden passende maatregelen genomen om dit risico te voorkomen.

7.

Voor nieuwe voorzieningen worden fysieke beveiligingsvereisten en functiespecificaties reeds bij het plannen en ontwerpen vastgesteld. Voor bestaande voorzieningen worden fysieke beveiligingsvereisten in de hoogst mogelijke mate uitgevoerd.

8.

Bij de aanschaf van uitrusting (zoals beveiligingsopbergmiddelen, papierversnipperaars, deursloten, elektronische systemen voor toegangscontrole, indringer detectiesystemen, alarmsystemen) voor de fysieke bescherming van EUCI ziet de bevoegde veiligheidsautoriteit erop toe dat de uitrusting in overeenstemming is met de goedgekeurde technische normen en minimumvoorschriften.

9.

De technische specificaties van uitrusting die bestemd is voor de fysieke bescherming van EUCI worden vastgelegd in beveiligingsrichtlijnen die door het Beveiligingscomité moeten worden goedgekeurd.

10.

De beveiligingssystemen worden geregeld geïnspecteerd en de uitrusting wordt regelmatig onderhouden. Bij de onderhoudswerkzaamheden wordt met het resultaat van de inspecties rekening gehouden om te garanderen dat de uitrusting optimaal blijft werken.

11.

De effectiviteit van individuele beveiligingsmaatregelen en van het gehele beveiligingssysteem wordt bij iedere inspectie getoetst.

12.

Voor de fysieke bescherming van EUCI worden twee soorten fysiek beschermde zones, of de nationale equivalenten ervan, ingesteld:

In dit besluit slaan alle verwijzingen naar administratieve zones en beveiligde zones, waaronder technisch beveiligde zones, ook op de nationale equivalenten daarvan.

13.

De bevoegde veiligheidsautoriteit bepaalt dat een zone voldoet aan de eisen om te worden aangewezen als administratieve zone, beveiligde zone of technisch beveiligde zone.

14.

Voor administratieve zones:

15.

Voor beveiligde zones:

16.

Wanneer het betreden van een beveiligde zone in de praktijk neerkomt op rechtstreekse toegang tot de gerubriceerde informatie die zich daar bevinden, zijn daarnaast de volgende aanvullende voorschriften van toepassing:

17.

Beveiligde zones die tegen afluisteren zijn beschermd, worden als technisch beveiligde zones aangemerkt. Daarnaast zijn de volgende aanvullende voorschriften van toepassing:

18.

Niettegenstaande punt 17, onder d), moet communicatieapparatuur en elektrische en elektronische apparatuur van welke aard ook, voordat zij wordt gebruikt in zones waar vergaderingen plaatsvinden of werk wordt verricht in verband met informatie met rubricering SECRET UE/EU SECRET en hoger, wanneer de dreiging voor EUCI als hoog wordt beoordeeld, eerst door de bevoegde veiligheidsautoriteit worden onderzocht om ervoor te zorgen dat geen begrijpelijke informatie door die apparatuur onbedoeld of op illegale wijze kunnen worden doorgegeven tot buiten de perimeter van de betrokken beveiligde zone.

19.

Beveiligde zones waar niet op 24-uursbasis dienstdoend personeel aanwezig is, worden, in voorkomend geval, aan het eind van de normale werktijd geïnspecteerd, alsook buiten de normale werktijd met willekeurige tussenpozen, tenzij er een indringerdetectiesysteem is.

20.

Beveiligde zones en technische beveiligde zones kunnen binnen een administratieve zone tijdelijk worden ingesteld voor een gerubriceerde vergadering of een soortgelijk doel.

21.

Voor iedere beveiligde zone worden operationele beveiligingsprocedures opgesteld, waarbij het volgende wordt vastgesteld:

22.

Binnen de beveiligde zones worden kluizen geïnstalleerd. De muren, vloeren, plafonds, ramen en afsluitbare deuren moeten door de bevoegde veiligheidsautoriteit worden goedgekeurd en een gelijkwaardig beschermingsniveau bieden als de beveiligingsopbergmiddelen die zijn goedgekeurd voor de opslag van EUCI met dezelfde rubriceringsgraad.

23.

EUCI met rubricering RESTREINT UE/EU RESTRICTED mag worden verwerkt:

24.

EUCI met rubricering RESTREINT UE/EU RESTRICTED wordt opgeslagen in daarvoor geschikt afgesloten kantoormeubilair in een administratieve zone of een beveiligde zone. De informatie mag tijdelijk buiten een beveiligde of een administratieve zone worden opgeslagen, als de houder heeft toegezegd zich te zullen houden aan compenserende maatregelen volgens de beveiligingsinstructies van de bevoegde veiligheidsautoriteit.

25.

EUCI met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of SECRET UE/ EU SECRET mag worden verwerkt:

26.

EUCI met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL en SECRET UE/ EU SECRET wordt in een beveiligde zone opgeslagen in een beveiligingsopbergmiddel of in een kluis.

27.

EUCI met rubricering TRÈS SECRET UE/EU TOP SECRET wordt verwerkt in een beveiligde zone.

28.

EUCI met rubricering TRÈS SECRET UE/EU TOP SECRET wordt opgeslagen in een beveiligde zone, op één van de volgende manieren:

29.

De voorschriften voor het vervoeren van EUCI buiten fysiek beveiligde zones staan in bijlage III.

30.

De bevoegde veiligheidsautoriteit stelt procedures vast voor het beheer van sleutels en codecombinaties voor kantoren, lokalen, kluizen en beveiligingsopbergmiddelen. Die procedures bieden bescherming tegen ongeoorloofde toegang.

31.

De codecombinaties worden gememoriseerd door het kleinst mogelijke aantal personen die er kennis van moeten nemen. De codecombinaties van beveiligingsopbergmiddelen en kluizen waarin EUCI wordt opgeslagen, worden gewijzigd:

1.

Deze bijlage bevat bepalingen ter uitvoering van artikel 9. Zij stelt de administratieve maatregelen vast voor het controleren van EUCI gedurende haar gehele levenscyclus teneinde het al dan niet opzettelijk compromitteren of verliezen van die informatie te helpen voorkomen, opsporen en herstellen.

2.

Informatie wordt gerubriceerd wanneer zij bescherming behoeft wat hun vertrouwelijkheid betreft.

3.

De opsteller van EUCI is verantwoordelijk voor het bepalen van de rubriceringsgraad, overeenkomstig de desbetreffende rubriceringrichtlijnen, en voor de eerste verspreiding van de informatie.

4.

De rubriceringsgraad van EUCI wordt vastgesteld overeenkomstig artikel 2, lid 2, en onder verwijzing naar het beveiligingsbeleid dat de Raad overeenkomstig artikel 3, lid 3, moet vaststellen.

5.

De rubricering wordt duidelijk en correct aangegeven, ongeacht of de EUCI in papieren, mondelinge, elektronische of enige andere vorm bestaat.

6.

Afzonderlijke delen van een bepaald document (zoals bladzijden, punten, afdelingen, bijlagen, aanhangsels, aanhechtsels en bijvoegsels) kunnen verschillende rubriceringen vereisen en worden dienovereenkomstig gemarkeerd, ook wanneer zij elektronisch worden opgeslagen.

7.

De rubricering die voor het gehele document of bestand geldt, is minstens van dezelfde graad als die van het hoogst gerubriceerde gedeelte ervan. Wanneer informatie uit diverse bronnen worden verzameld, wordt voor het eindproduct in zijn geheel nagegaan welke rubriceringsgraad het moet krijgen, aangezien hiervoor een hogere rubricering vereist kan zijn dan voor de onderdelen ervan.

8.

Voor zover mogelijk worden documenten die delen met verschillende rubriceringsgraden bevatten, zo gestructureerd dat de delen met een verschillende rubriceringsgraad gemakkelijk kunnen worden herkend en, indien nodig, worden gescheiden.

9.

De rubricering van een brief of een nota die bijvoegsels vergezelt, is van dezelfde graad als het hoogst gerubriceerde bijvoegsel. De bron geeft door middel van een passende markering duidelijk aan welke rubricering op die brief of nota moet worden toegepast indien deze gescheiden wordt van de bijvoegsels, bijvoorbeeld:

CONFIDENTIEL UE/EU CONFIDENTIAL:

Zonder aanhechtsel(s) RESTREINT UE/EU RESTRICTED

10.

Ter aanvulling van een van de rubriceringen als bedoeld in artikel 2, lid 2, kan EUCI voorzien zijn van aanvullende markeringen zoals:

11.

Gestandaardiseerde afgekorte rubriceringen kunnen worden gebruikt om de rubriceringsgraad van afzonderlijke delen van een tekst aan te geven. Afkortingen komen niet in de plaats van de volledige rubriceringen.

12.

De volgende standaardafkortingen mogen in gerubriceerde EU-documenten worden gebruikt ter aanduiding van de rubriceringsgraad van afdelingen of onderdelen van tekst van minder dan één bladzijde:

13.

Bij het genereren van een gerubriceerd EU-document:

14.

Als het niet mogelijk is punt 13 toe te passen op EUCI, worden andere passende maatregelen genomen overeenkomstig de krachtens artikel 6, lid 2, op te stellen beveiligingsrichtlijnen.

15.

Bij het genereren geeft de bron waar mogelijk, en in het bijzonder voor als RESTREINT UE/EU RESTRICTED gerubriceerde informatie, aan of de EUCI op een bepaalde datum of na een bepaalde gebeurtenis lager gerubriceerd of gederubriceerd kan worden.

16.

Het SGR beziet regelmatig de EUCI waarover het beschikt opnieuw om na te gaan of de rubriceringsgraad nog steeds van toepassing is. Het SGR stelt een regeling in om de rubriceringsgraad van geregistreerde EUCI waarvan het de opsteller is, ten minste om de vijf jaar opnieuw te bezien. Deze controle is niet nodig wanneer de opsteller vanaf het begin heeft aangegeven dat de informatie automatisch lager gerubriceerd of gederubriceerd zullen worden en dat zij dienovereenkomstig gemarkeerd zijn.

17.

Voor iedere organisatorische entiteit binnen het SGR en binnen de nationale overheden van de lidstaten die met EUCI werkt, wordt een verantwoordelijk register aangewezen dat moet garanderen dat EUCI overeenkomstig dit besluit wordt verwerkt. De registers worden ingericht als beveiligde zones zoals omschreven in bijlage II.

18.

Voor de toepassing van dit besluit wordt onder registratie voor beveiligingsdoeleinden (hierna: „registratie”) verstaan: de toepassing van procedures waarbij de levenscyclus van materiaal, ook de verspreiding en de vernietiging ervan, wordt geregistreerd.

19.

Alle materiaal met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL en hoger wordt in speciaal daarvoor bestemde registers geregistreerd wanneer het bij een organisatorische overheid aankomt of deze entiteit verlaat.

20.

Het centrale register binnen het SGR houdt aantekening van alle gerubriceerde informatie die door de Raad en het SGR worden vrijgegeven aan derde staten en internationale organisaties, en van alle gerubriceerde informatie die worden ontvangen van derde staten of internationale organisaties.

21.

In het geval van een CIS kunnen de registratieprocedures worden doorlopen door middel van processen binnen het CIS zelf.

22.

De Raad stelt een beveiligingsbeleid inzake de registratie van EUCI voor beveiligingsdoeleinden vast.

23.

Er wordt in de lidstaten en bij het SGR een register aangewezen dat optreedt als de centrale instantie voor het ontvangen en verzenden van informatie met rubricering TRÈS SECRET UE/EU TOP SECRET. In voorkomend geval kunnen subregisters worden aangewezen die zulke informatie voor registratiedoeleinden verwerken.

24.

Deze subregisters mogen geen TRÈS SECRET UE/EU TOP SECRET-documenten rechtstreeks overdragen aan andere subregisters van hetzelfde centrale TRÈS SECRET UE/EU TOP SECRET-register, noch naar buiten toe overdragen, zonder uitdrukkelijke schriftelijke toestemming van dit centrale register.

25.

Documenten met rubricering TRÈS SECRET UE/EU TOP SECRET worden niet zonder voorafgaande schriftelijke toestemming van de bron gekopieerd of vertaald.

26.

Indien de bron van documenten met rubricering SECRET UE/EU SECRET of lager geen waarschuwingsmarkeringen met betrekking tot het kopiëren of vertalen heeft aangebracht, kunnen deze documenten op instructie van de houder worden gekopieerd of vertaald.

27.

De beveiligingsmaatregelen die voor het originele document gelden, zijn ook van toepassing op de kopieën en vertalingen ervan.

28.

Voor het vervoer van EUCI gelden de beschermende maatregelen van de punten 30 tot en met 40. Wanneer EUCI op elektronische dragers wordt vervoerd, kunnen onverminderd artikel 9, lid 4, onderstaande beschermende maatregelen worden aangevuld met passende technische tegenmaatregelen — die door de bevoegde veiligheidsautoriteit worden voorgeschreven — om het risico op verlies of compromitteren zo klein mogelijk te maken.

29.

De bevoegde veiligheidsautoriteit in het SGR en in de lidstaten geven overeenkomstig dit besluit instructies over het vervoer van EUCI.

30.

EUCI die binnen een gebouw of een op zichzelf staande groep van gebouwen wordt vervoerd, worden bedekt om te voorkomen dat de inhoud ervan wordt waargenomen.

31.

Binnen een gebouw of een op zichzelf staande groep van gebouwen worden informatie met rubricering TRÈS SECRET UE/EU TOP SECRET vervoerd in een beveiligde envelop met daarop alleen de naam van de geadresseerde.

32.

EUCI die tussen gebouwen en locaties binnen de Europese Unie wordt vervoerd, wordt zodanig verpakt dat zij wordt beschermd tegen ongeoorloofde openbaarmaking.

33.

Het vervoer van informatie met een rubriceringsgraad tot SECRET UE/EU SECRET binnen de Europese Unie geschiedt op de volgende wijze:

Bij vervoer van een lidstaat naar een andere wordt het bepaalde onder c) beperkt tot informatie tot en met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL.

34.

Materiaal met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL en SECRET UE/EU SECRET (bv. uitrustingen of onderdelen van machines) dat niet kan worden vervoerd met de in punt 33 bedoelde middelen, wordt overeenkomstig bijlage V als vracht vervoerd door commerciële vervoersondernemingen.

35.

Het vervoer van informatie met rubricering TRÈS SECRET UE/EU TOP SECRET tussen gebouwen of locaties binnen de Europese Unie geschiedt per militaire koerier, overheidskoerier of diplomatieke koerier, naargelang het geval.

36.

EUCI die vanuit de Europese Unie naar het grondgebied van een derde staat wordt vervoerd, wordt zodanig verpakt dat zij wordt beschermd tegen ongeoorloofde openbaarmaking.

37.

Het vervoer van informatie met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL en SECRET UE/EU SECRET vanuit de Europese Unie naar het grondgebied van een derde staat geschiedt op één van de volgende wijzen:

38.

Het vervoer van informatie met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL en SECRET UE/EU SECRET die door de Europese Unie worden vrijgegeven aan een derde staat of een internationale organisatie, moet in overeenstemming zijn met de desbetreffende bepalingen van een overeenkomst voor de beveiliging van informatie of een administratieve regeling overeenkomstig artikel 12, lid 2, onder a) en b).

39.

Informatie met rubricering RESTREINT UE/EU RESTRICTED mogen ook door postdiensten of commerciële koeriersdiensten worden vervoerd.

40.

Het vervoer van informatie met rubricering TRÈS SECRET UE/EU TOP SECRET vanuit de Europese Unie naar het grondgebied van een derde staat geschiedt per militaire of diplomatieke koerier.

41.

Gerubriceerde EU-documenten die niet langer nodig zijn, mogen worden vernietigd onverminderd de geldende regels en voorschriften inzake archivering.

42.

Documenten die volgens artikel 9, lid 2, moeten worden geregistreerd, worden door het verantwoordelijke register vernietigd op instructie van de houder of van een bevoegde instantie. De logboeken en andere informatie betreffende de registratie worden dienovereenkomstig bijgewerkt.

43.

De vernietiging van documenten met rubricering SECRET UE/EU SECRET of TRÈS SECRET UE/EU TOP SECRET vindt plaats in het bijzijn van een getuige die gemachtigd is voor ten minste de rubriceringsgraad van het document dat wordt vernietigd.

44.

Zowel de registrator als de getuige, als de aanwezigheid van deze laatste vereist is, ondertekenen een vernietigingscertificaat, dat wordt bewaard in het register. In het register worden vernietigingscertificaten van documenten met rubricering TRÈS SECRET UE/EU TOP SECRET gedurende minstens tien jaar en van documenten met rubriceringsgraad CONFIDENTIEL UE/EU CONFIDENTIAL en SECRET UE/EU SECRET gedurende minstens vijf jaar bewaard.

45.

Om te voorkomen dat gerubriceerde documenten geheel of gedeeltelijk worden gereconstrueerd worden deze documenten, ook die met rubricering RESTREINT UE/EU RESTRICTED, vernietigd volgens methoden die voldoen aan EU-normen of gelijkwaardige normen, of methoden die door de lidstaten zijn goedgekeurd volgens nationale technische normen.

46.

Vernietiging van voor EUCI gebruikte digitale opslagmedia geschiedt overeenkomstig punt 36 van bijlage IV.

47.

De term „inspectie” wordt hierna gebruikt voor:

ter evaluatie van de doeltreffendheid van de maatregelen ter bescherming van EUCI.

48.

Inspecties moeten onder meer:

49.

Voor het eind van ieder kalenderjaar neemt de Raad het in artikel 15, lid 1, onder c), bedoelde inspectieprogramma voor het volgende jaar aan. De concrete data van elke inspectie worden in overeenstemming met het EU-orgaan of de EU-instantie in kwestie, de betrokken lidstaat, de derde staat of de internationale organisatie in kwestie vastgesteld.

50.

Er worden inspecties verricht om de desbetreffende regels, voorschriften en procedures in de geïnspecteerde entiteit te controleren en na te gaan of de werkwijzen van de entiteit stroken met de basisbeginselen en minimumnormen die zijn vastgelegd in dit besluit en in de bepalingen betreffende de uitwisseling van gerubriceerde informatie met die entiteit.

51.

De inspecties verlopen in twee fasen. Voorafgaand aan de inspectie zelf wordt, zo nodig, een voorbereidende vergadering met de betrokken entiteit belegd. Na deze voorbereidende vergadering stelt het inspectieteam in overleg met die entiteit een gedetailleerd inspectieprogramma op dat alle aspecten van de beveiliging omvat. Het inspectieteam heeft toegang tot iedere locatie waar EUCI wordt verwerkt, en met name tot de registers en CIS-points of presence.

52.

Inspecties bij de nationale overheden van de lidstaten worden uitgevoerd onder de verantwoordelijkheid van een gezamenlijk inspectieteam van het SGR en de Commissie, waarbij volledig wordt samengewerkt met de functionarissen van de geïnspecteerde entiteit.

53.

Inspecties van derde staten en internationale organisaties worden uitgevoerd onder de verantwoordelijkheid van een gezamenlijk inspectieteam van het SGR en de Commissie, waarbij volledig wordt samengewerkt met de functionarissen van de geïnspecteerde derde staat of internationale organisatie.

54.

De inspecties van uit hoofde van titel V, hoofdstuk 2, VEU, opgerichte EU-organen of -instanties, alsmede van Europol en Eurojust, worden verricht door de Dienst beveiliging van het SGR, bijgestaan door deskundigen van de NSA op het grondgebied waarvan het orgaan of de instantie is gevestigd. Het Directoraat veiligheid van de Europese Commissie (European Commission Security Directorate — ECSD) kan daarbij worden betrokken, wanneer het regelmatig EUCI uitwisselt met het orgaan of de instantie in kwestie.

55.

Voor inspecties van uit hoofde van titel V, hoofdstuk 2, VEU, opgerichte EU-organen of -instanties, alsmede van Europol en Eurojust, en van derde staten en internationale organisaties, worden bijstand en bijdragen van NSA-deskundigen verlangd overeenkomstig de uitvoerige regelingen die door het Beveiligingscomité moeten worden vastgesteld.

56.

Aan het eind van de inspectie worden de belangrijkste conclusies en aanbevelingen aan de geïnspecteerde entiteit voorgelegd. Vervolgens wordt er een inspectieverslag opgesteld onder de verantwoordelijkheid van de veiligheidsautoriteit van het SGR (Dienst beveiliging). Indien corrigerende maatregelen en aanbevelingen zijn voorgesteld, moet het verslag voldoende nadere informatie bevatten ter ondersteuning van de getrokken conclusies. Het verslag moet aan de bevoegde autoriteit van de geïnspecteerde entiteit worden toegezonden.

57.

Ten aanzien van inspecties bij de nationale overheden van de lidstaten geldt onderstaande:

Onder de verantwoordelijkheid van de Dienst beveiliging van het SGR wordt op gezette tijden een verslag opgesteld met, voor een specifieke periode, de lessen die uit de inspecties in de lidstaten zijn getrokken en door het Beveiligingscomité zijn bestudeerd.

58.

Het verslag van evaluatiebezoeken aan derde staten en internationale organisaties wordt toegezonden aan het Beveiligingscomité en aan het ECSD. Het verslag krijgt ten minste de rubricering RESTREINT UE/EU RESTRICTED. Alle corrigerende maatregelen worden tijdens een vervolgbezoek geverifieerd en aan het Beveiligingscomité gerapporteerd.

59.

Het verslag van inspecties van uit hoofde van titel V, hoofdstuk 2, VEU, opgerichte EU-organen of -instanties, alsmede van Europol en Eurojust, wordt toegezonden aan de leden van het Beveiligingscomité en aan het ECSD. Het ontwerp-inspectieverslag wordt toegezonden aan het betrokken orgaan of de betrokken instantie, zodat kan worden nagegaan of het inhoudelijk correct is en geen informatie bevat die hoger zijn gerubriceerd dan RESTREINT UE/EU RESTRICTED. Alle corrigerende maatregelen worden tijdens een vervolgbezoek geverifieerd en aan het Beveiligingscomité gerapporteerd.

60.

De veiligheidsautoriteit van het SGR verricht geregelde inspecties van organisatorische entiteiten in het SGR, en wel voor de in punt 48 beschreven doelen.

61.

De veiligheidsautoriteit van het SGR (Dienst beveiliging) stelt een controlelijst voor beveiligingsinspecties op met de punten die tijdens een inspectie moeten worden geverifieerd. Deze controlelijst wordt toegezonden aan het Beveiligingscomité.

62.

De informatie ter aanvulling van de controlelijst wordt, in het bijzonder tijdens de inspectie, verkregen bij de voor het beveiligingsbeheer bevoegde functionarissen van de entiteit die wordt geïnspecteerd. Zodra de controlelijst met de gedetailleerde antwoorden is aangevuld, wordt hij in overleg met de geïnspecteerde entiteit gerubriceerd. De lijst maakt geen deel uit van het inspectieverslag.

1.

Deze bijlage bevat bepalingen ter uitvoering van artikel 10.

2.

Onderstaande IA-eigenschappen en -concepten zijn essentieel voor de beveiliging en de correcte werking van operaties met CIS.

3.

De onderstaande bepalingen vormen de basis voor de beveiliging van alle CIS die voor het verwerken van EUCI worden gebruikt. In de beveiligingsbeleidsmaatregelen en beveiligingsrichtlijnen inzake IA moeten uitgebreide voorschriften voor de uitvoering van deze bepalingen worden vastgelegd.

4.

Beheer van veiligheidsrisico's is een integraal onderdeel van het omschrijven, ontwikkelen, exploiteren en onderhouden van een CIS. Risicobeheer (beoordeling, behandeling, aanvaarding en communicatie) verloopt als een zich herhalend proces, gezamenlijk uitgevoerd door vertegenwoordigers van de eigenaren van systemen, projectautoriteiten, exploitanten en veiligheidsgoedkeuringsinstanties, met gebruikmaking van een risicobeoordelingsprocedure die zichzelf heeft bewezen en transparant en volledig begrijpelijk is. De reikwijdte van het CIS en zijn functionele bestanddelen wordt aan het begin van de risicobeheerprocedure duidelijk afgebakend.

5.

De bevoegde instanties bezien de mogelijke dreigingen voor CIS en zorgen voor bijgewerkte en nauwkeurige dreigingsbeoordelingen die weergeven hoe de operationele omgeving van dat moment is. Zij werken voortdurend hun kennis inzake kwetsbaarheden bij en herzien op gezette tijden de kwetsbaarheidsbeoordeling, met het oog op aanpassing aan de veranderende Informatie Technologie (IT)omgeving.

6.

De behandeling van veiligheidsrisico's is erop gericht een reeks beveiligingsmaatregelen toe te passen die een bevredigend evenwicht oplevert tussen de verlangens van de gebruikers, de kosten en het resterende veiligheidsrisico.

7.

De door de bevoegde SAA bepaalde specifieke eisen, reikwijdte en gedetailleerdheid voor de homologatie van een CIS stemmen overeen met het ingeschatte risico, rekening houdend met alle relevante factoren, waaronder de rubriceringsgraad van de in het CIS verwerkte EUCI. Homologatie houdt mede een formele verklaring betreffende het resterende risico in en aanvaarding van dat resterende risico door een verantwoordelijke autoriteit.

8.

Beveiliging is gedurende de gehele levenscyclus van het CIS — vanaf de ingebruikname tot de buitengebruikstelling — een vereiste.

9.

De rol en interactie van iedere bij een CIS betrokken partij in verband met de beveiliging ervan wordt voor iedere fase van de levenscyclus vastgesteld.

10.

Alle CIS, inclusief de maatregelen voor de technische en niet-technische beveiliging ervan, worden tijdens de homologatieprocedure aan beveiligingstests onderworpen om ervoor te zorgen dat het passende niveau van IA wordt bereikt en om na te gaan of zij correct zijn geïmplementeerd, geïntegreerd en geconfigureerd.

11.

Beveiligingsbeoordelingen, inspecties en evaluaties worden op gezette tijden verricht tijdens de werking en het onderhoud van een CIS en wanneer zich uitzonderlijke omstandigheden voordoen.

12.

De beveiligingsdocumentatie voor een CIS evolueert gedurende de levenscyclus van dat CIS als een integrerend deel van het proces van wijzigings- en configuratiebeheer.

13.

Het SGR en de lidstaten ontwikkelen samen optimale toepassingen voor de bescherming van in CIS verwerkte EUCI. Richtlijnen inzake optimale toepassing beschrijven technische, fysieke, organisatorische en procedurele beveiligingsmaatregelen voor CIS, waarvan is aangetoond dat zij doeltreffend zijn in het bestrijden van dreigingen en kwetsbaarheden.

14.

De bescherming van in CIS verwerkte EUCI steunt op de lering die door de bij IA betrokken entiteiten, zowel binnen als buiten de EU, is getrokken.

15.

De verspreiding en de daaropvolgende toepassing van beste praktijken dragen bij aan het bereiken van een zelfde niveau van IA voor de diverse CIS waarin EUCI wordt verwerkt en die door het SGR en de lidstaten worden gebruikt.

16.

Om het risico voor CIS tot een minimum te beperken, wordt een reeks technische en niet-technische beveiligingsmaatregelen genomen, in de vorm van meerdere verdedigingslagen. Deze lagen omvatten:

a)   afschrikking: beveiligingsmaatregelen die vijandelijke plannen om het CIS aan te vallen, moeten ontraden;

b)   preventie: beveiligingsmaatregelen die een aanval op het CIS moeten verhinderen of tegenhouden;

c)   detectie: beveiligingsmaatregelen die moeten ontdekken dat het CIS wordt aangevallen;

d)   veerkracht: beveiligingsmaatregelen die het effect van een aanval tot een zo klein mogelijke reeks informatie of onderdelen van CIS moeten beperken en verdere schade moeten voorkomen; en

e)   herstel: beveiligingsmaatregelen die weer tot een veilige situatie voor het CIS moeten leiden.

Aan de hand van een risicobeoordeling wordt bepaald hoe streng die beveiligingsmaatregelen moeten zijn.

17.

De bevoegde overheden zorgen ervoor dat zij kunnen reageren op incidenten die wellicht de organisatorische en nationale grenzen overschrijden om de reacties te coördineren en informatie uit te wisselen over deze incidenten en de ermee verband houdende risico's (computer noodhulp diensten).

18.

Ter vermijding van onnodige risico's worden uitsluitend de functies, apparaten en diensten geactiveerd die essentieel zijn voor het vervullen van de operationele eisen.

19.

Gebruikers van een CIS en geautomatiseerde processen krijgen alleen de toegang, voorrechten of machtigingen die zij nodig hebben voor het uitvoeren van hun taken, zodat schade ten gevolge van ongelukken, vergissingen of ongeoorloofd gebruik van CIS-middelen beperkt blijft.

20.

De door een CIS uitgevoerde registratieprocedures worden indien nodig geverifieerd als onderdeel van de homologatieprocedure.

21.

De eerste verdedigingslaag voor de beveiliging van CIS bestaat in bewustwording met de risico's en de beschikbare beveiligingsmaatregelen. Vooral alle leden van het personeel dat betrokken is bij de levenscyclus van CIS, met inbegrip van de gebruikers, moeten inzien:

22.

Al het betrokken personeel, onder meer het hogere kader en de CIS-gebruikers, moeten verplicht een IA-opleiding en -bewustmakingstraining volgen, zodat goed wordt begrepen waar de verantwoordelijkheden inzake beveiliging liggen.

23.

De vereiste graad van vertrouwen in de beveiligingsmaatregelen, gedefinieerd als een niveau van IA, wordt bepaald aan de hand van de resultaten van de risicobeheersprocedure en het beveiligingsbeleid en de beveiligingsrichtlijnen in kwestie.

24.

Het niveau van IA wordt geverifieerd middels internationaal erkende of nationaal goedgekeurde processen en technologieën. Dit omvat in de eerste plaats evaluatie, controles en audits.

25.

Encryptieproducten voor de bescherming van EUCI worden geëvalueerd en goedgekeurd door een CAA van een lidstaat.

26.

Deze encryptieproducten moeten, voordat zij worden aanbevolen voor goedkeuring door de Raad of de SG/HV, overeenkomstig artikel 10, lid 6, zijn onderworpen aan een succesvolle tweede evaluatie door een naar behoren gekwalificeerde instantie (AQUA) van een lidstaat die niet betrokken is bij het ontwerp of de vervaardiging van de apparatuur. Hoe uitvoerig een en ander tijdens een tweede evaluatie moet worden bekeken, hangt af van het beoogde maximale rubriceringsniveau van de EUCI die door deze producten moet worden beschermd. De Raad stelt een beveiligingsbeleid inzake de evaluatie en goedkeuring van encryptieproducten vast.

27.

Wanneer zulks om specifieke operationele redenen gerechtvaardigd is, kan de Raad, respectievelijk de SG/HV in voorkomend geval, op aanbeveling van het Beveiligingscomité, afwijken van de vereisten in de punten 25 en 26 en een tijdelijke goedkeuring voor een specifieke periode verlenen overeenkomstig de procedure van artikel 10, lid 6.

28.

Een AQUA is een CAA van een lidstaat, die op basis van door de Raad vastgestelde criteria is geaccrediteerd voor het uitvoeren van de tweede evaluatie van encryptieproducten voor de bescherming van EUCI.

29.

De Raad stelt een beveiligingsbeleid vast inzake de kwalificatie en goedkeuring van IT-beveiligingsproducten die geen encryptieproducten zijn.

30.

Niettegenstaande het bepaalde in dit besluit kan, wanneer de overdracht van EUCI beperkt is tot beveiligde zones, op basis van het resultaat van een risicobeheerprocedure en behoudens goedkeuring van de SAA, gebruik worden gemaakt van onversleutelde verspreiding of van versleuteling op een lager niveau.

31.

In dit besluit wordt onder een interconnectie verstaan: een rechtstreekse koppeling van twee of meer IT-systemen, met als doel het gezamenlijk gebruik van informatie en andere bronnen van informatie (bv. communicatie), in één of meer richtingen.

32.

Een CIS beschouwt ieder gekoppeld IT-systeem als niet-vertrouwd en activeert beschermende maatregelen om de uitwisseling van gerubriceerde informatie te controleren.

33.

Alle interconnecties van CIS aan een ander IT-systeem voldoen aan onderstaande basisvereisten:

34.

Er wordt geen interconnectie tot stand gebracht tussen een gehomologeerde CIS en een onbeschermd of openbaar netwerk, behalve indien voor dat doel in het CIS goedgekeurde BPS werden opgezet om de grenzen te beschermen tussen het CIS en het onbeschermde of openbare netwerk. De beveiligingsmaatregelen voor dergelijke interconnecties worden getoetst door de bevoegde IAA en goedgekeurd door de bevoegde SAA.

Wanneer het onbeschermde of openbare netwerk alleen als drager wordt gebruikt en de informatie versleuteld is met een overeenkomstig artikel 10 goedgekeurd encryptieproduct, wordt een dergelijke koppeling niet gezien als een interconnectie.

35.

De rechtstreekse interconnectie of de interconnectie in cascade van een CIS dat gehomologeerd is om informatie met rubricering TRÈS SECRET UE/EU TOP SECRET te verwerken en een onbeschermd of openbaar netwerk, is verboden.

36.

Digitale opslagmedia worden vernietigd volgens procedures die de bevoegde veiligheidsautoriteit heeft goedgekeurd.

37.

Digitale opslagmedia worden hergebruikt, lager gerubriceerd of gederubriceerd conform een overeenkomstig artikel 6, lid 1, vast te stellen beveiligingsbeleid.

38.

Niettegenstaande het bepaalde in dit besluit mogen de hieronder beschreven specifieke procedures worden toegepast in noodgevallen, zoals dreigende of uitgebroken crises, conflicten, oorlogssituaties of in uitzonderlijke operationele omstandigheden.

39.

EUCI mag met toestemming van de bevoegde autoriteit door middel van voor een lager rubriceringniveau goedgekeurde encryptieproducten of zonder versleuteling worden overgedragen, indien vertraging schade zou veroorzaken die duidelijk zwaarder weegt dan de schade ten gevolge van de verspreiding van het gerubriceerde materiaal en indien:

40.

Gerubriceerde informatie die in de in punt 38 bedoelde omstandigheden worden overgedragen, mogen geen tekenen of aanwijzingen dragen die hen onderscheiden van ongerubriceerde informatie of informatie die beschermd kunnen worden door een beschikbaar encryptieproduct. Ontvangers worden onverwijld langs andere wegen op de hoogte gebracht van het rubriceringniveau.

41.

Indien gebruik wordt gemaakt van punt 38, wordt nadien een verslag opgesteld voor de bevoegde instantie en het Beveiligingscomité.

42.

In de lidstaten en in het SGR worden onderstaande functies op het gebied van IA ingesteld. Deze functies vereisen geen afzonderlijke organisatorische entiteiten. Ze hebben afzonderlijke mandaten. Deze functies en de ermee samengaande verantwoordelijkheden kunnen echter in één organisatorische entiteit worden ondergebracht of geïntegreerd dan wel in meerdere organisatorische entiteiten worden gesplitst, als maar wordt vermeden dat belangen of taken botsen.

43.

De IAA is verantwoordelijk voor:

44.

De Tempest-overheid (hierna: „TA”) is ervoor verantwoordelijk dat CIS in overeenstemming is met het beleid en de richtlijnen van Tempest. Zij keurt tegenmaatregelen van Tempest voor installaties en producten goed voor de bescherming van EUCI tot een bepaald rubriceringniveau in haar operationele omgeving.

45.

De overheid voor de goedkeuring van encryptieproducten (Crypto Approval Authority, hierna: „CAA”) is ervoor verantwoordelijk dat encryptieproducten voldoen aan het nationale cryptobeleid of het cryptobeleid van de Raad. De CAA verleent aan een encryptieproduct goedkeuring voor de bescherming van EUCI tot een bepaald rubriceringniveau in haar operationele omgeving. Wat de lidstaten betreft, is de CAA voorts verantwoordelijk voor het evalueren van encryptieproducten.

46.

De cryptodistributieoverheid (Crypto Distribution Authority, hierna: „CDA”) is verantwoordelijk voor:

47.

De SAA voor ieder systeem is verantwoordelijk voor:

48.

De SAA van het SGR is verantwoordelijk voor de homologatie van alle CIS die binnen het SGR functioneren.

49.

De bevoegde SAA van een lidstaat is verantwoordelijk voor de homologatie van CIS en componenten van CIS die binnen de bevoegdheid van die lidstaat functioneren.

50.

Een gemeenschappelijk veiligheidshomologatieorgaan (hierna: „VAO”) is verantwoordelijk voor het accrediteren van CIS binnen de bevoegdheid van de IVA van het SGR en van de IVA van de lidstaten. Het bestaat uit een vertegenwoordiger van de IVA van iedere lidstaat en de vergaderingen worden bijgewoond door een vertegenwoordiger van de IVA van de Commissie. Andere entiteiten met een aansluiting op een CIS wordt verzocht de vergadering bij te wonen waarin dat systeem wordt besproken.

Het VAO wordt voorgezeten door een vertegenwoordiger van de IVA van het SGR. Het neemt besluiten met eenparigheid van stemmen van de IVA-vertegenwoordigers van instellingen, lidstaten en andere entiteiten met aansluitingen op het CIS. Het brengt periodiek verslag over zijn werkzaamheden uit aan het Beveiligingscomité en stelt dit in kennis van alle homologatieverklaringen.

51.

De operationele IA-overheid voor ieder systeem is verantwoordelijk voor:

1.

Deze bijlage bevat bepalingen ter uitvoering van artikel 11. De bijlage bevat algemene beveiligingsbepalingen die voor industriële of andere entiteiten gelden in precontractuele onderhandelingen en gedurende de levenscyclus van gerubriceerde opdrachten die het SGR gunt.

2.

De Raad stelt een beleid inzake industriële beveiliging vast waarin in het bijzonder uitvoerige vereisten worden geformuleerd inzake VMV's, memoranda over de beveiligingsaspecten (MBA's), bezoeken, overdracht en vervoer van EUCI.

3.

Alvorens een aanbesteding uit te schrijven of een gerubriceerde opdracht te gunnen, bepaalt het SGR als aanbestedende instantie welke rubricering wordt gegeven aan informatie die aan inschrijvers en contractanten moeten worden verstrekt, en welke rubricering wordt gegeven aan informatie die de contractant zal genereren. Voor dat doel stelt het SGR een GBR op die bij de uitvoering van de opdracht moet worden gebruikt.

4.

Voor het bepalen van de rubricering van de diverse onderdelen van een gerubriceerde opdracht gelden onderstaande beginselen:

5.

De specifieke beveiligingseisen voor de opdracht worden beschreven in een MBA. Het MBA bevat in voorkomend geval de GBR en maakt integraal deel uit van een gerubriceerde opdracht of opdracht in onderaanneming.

6.

Het MBA bevat bepalingen die de contractant en/of de subcontractant verplichten zich te houden aan de minimumbeveiligingsnormen in dit besluit. Niet-naleving van deze minimumnormen kan voldoende reden zijn voor opzegging van de opdracht.

7.

Afhankelijk van het toepassingsgebied van programma's of projecten waarvoor toegang tot of verwerking of opslag van EUCI nodig is, kan de aanbestedende instantie die het programma of het project zal beheren, specifieke programma-/projectbeveiligingsinstructies (PBI) opstellen. De PBI moeten worden goedgekeurd door de NSA/DSA's van de lidstaten of een andere bevoegde veiligheidsautoriteit die deelneemt aan het programma/project, en kunnen nadere beveiligingsvoorschriften bevatten.

8.

Een VMV wordt verleend door de NSA of DSA of een andere bevoegde instantie van een lidstaat en toont overeenkomstig de nationale wetten en regelgeving aan dat een industriële of andere entiteit binnen haar vestigingen in staat is EUCI te beschermen op het vereiste rubriceringsniveau (CONFIDENTIEL UE/EU CONFIDENTIAL of SECRET UE/EU SECRET). Voordat aan een contractant of subcontractant of mogelijke contractant of subcontractant EUCI mag worden verstrekt of toegang tot EUCI mag worden verleend, wordt de machtiging overgelegd aan het SGR, als aanbestedende instantie.

9.

Wanneer de betrokken NSA of DSA een VMV afgeeft, zal zij op zijn minst:

10.

In voorkomend geval deelt het SGR, als aanbestedende instantie, de NSA/DSA of een andere bevoegde veiligheidsautoriteit mee dat in de precontractuele fase of voor de uitvoering van de opdracht een VMV vereist is. Een VMV of een PVM wordt verlangd in de precontractuele fase waarin EUCI met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of SECRET UE/EU SECRET moet worden verstrekt in het stadium van de offertes.

11.

De aanbestedende instantie kent geen gerubriceerde toe opdracht aan een geselecteerde inschrijver zonder van de NSA/DSA of een andere bevoegde veiligheidsautoriteit van de lidstaat waar de contractant of subcontractant is geregistreerd, een bevestiging te hebben ontvangen dat er, indien zulks vereist is, een VMV is afgegeven.

12.

De NSA/DSA of een andere bevoegde veiligheidsautoriteit die een VMV heeft afgegeven brengt het SGR, de aanbestedende instantie, op de hoogte van wijzigingen die de VMV betreffen. Bij onderaanneming worden de NSA/DSA of een andere bevoegde veiligheidsautoriteit op de hoogte gebracht.

13.

Intrekking van een VMV door de NSA/DSA of andere bevoegde nationale veiligheidsautoriteit biedt het SGR, de aanbestedende instantie, voldoende redenen om een gerubriceerde opdracht te beëindigen of een inschrijver uit te sluiten van mededinging.

14.

Wanneer in de precontractuele fase EUCI wordt verstrekt aan een inschrijver, bevat de uitnodiging tot inschrijving een bepaling die de inschrijver die uiteindelijk geen offerte doet, of die niet wordt geselecteerd, verplicht alle gerubriceerde documenten binnen een bepaalde termijn terug te zenden.

15.

Zodra een gerubriceerde opdracht of opdracht in onderaanneming is gegund, deelt het SGR, als aanbestedende instantie, de NSA/DSA of een andere bevoegde veiligheidsautoriteit van de contractant of subcontractant de beveiligingsbepalingen van de gerubriceerde opdracht mee.

16.

Wanneer zulke opdrachten aflopen, deelt het SGR, als aanbestedende dienst (en/of, bij onderaanneming, de NSA/DSA of een andere bevoegde veiligheidsautoriteit, naargelang het geval) dit mee aan de NSA/DSA of een andere bevoegde veiligheidsautoriteit van de lidstaat waar de contractant of subcontractant is geregistreerd.

17.

Als algemene regel geldt dat de contractant of subcontractant alle EUCI die hij in zijn bezit heeft, na voltooiing van de gerubriceerde opdracht of onderaanneming moet terugbezorgen aan de aanbestedende instantie.

18.

In het MBA worden specifieke bepalingen opgenomen voor het verwijderen van EUCI tijdens de uitvoering van een opdracht of bij de voltooiing ervan.

19.

Wanneer de contractant of subcontractant gemachtigd is EUCI te houden na voltooiing van een opdracht, blijven de minimumnormen van dit besluit van toepassing en wordt de vertrouwelijkheid van EUCI door de contractant of subcontractant beschermd.

20.

De voorwaarden waaronder een contractant een beroep kan doen op subcontractanten worden in de aanbesteding en de opdracht omschreven.

21.

Een contractant krijgt van het SGR, de aanbestedende instantie, toestemming voordat hij delen van een gerubriceerde opdracht uitbesteedt aan een onderaannemer. Industriële of andere entiteiten die geregistreerd zijn in een land dat geen lidstaat van de Europese Unie is en geen informatiebeveiligingsovereenkomst met de Europese Unie heeft, mogen niet als subcontractant worden ingeschakeld.

22.

Het is de verantwoordelijkheid van de contractant te garanderen dat alle onderaannemingsactiviteiten verlopen in overeenstemming met de minimumnormen van dit besluit en de contractant mag geen EUCI doorgeven aan een subcontractant zonder voorafgaande schriftelijke toestemming van de aanbestedende instantie.

23.

Wat betreft EUCI die door de contractant of subcontractant wordt gegenereerd of verwerkt, oefent de aanbestedende instantie de rechten van de bron uit.

24.

Wanneer het SGR, contractanten of subcontractanten voor de uitvoering van een gerubriceerde opdracht in elkaars ruimten toegang vragen tot als CONFIDENTIEL UE/EU CONFIDENTIAL of SECRET UE/EU SECRET gerubriceerde informatie, worden in overleg met de NSA/DSA's of een andere bevoegde veiligheidsautoriteit bezoeken georganiseerd. In het kader van specifieke projecten kunnen de NSA/DSA's echter ook een procedure overeenkomen waarmee zulke bezoeken rechtstreeks kunnen worden georganiseerd.

25.

Alle bezoekers beschikken over een passende PVM en hebben een need-to-know voor toegang tot de EUCI met betrekking tot de opdracht van het SGR.

26.

Bezoekers krijgen uitsluitend toegang tot de EUCI die verband houden met het doel van het bezoek.

27.

Op de overdracht van EUCI met elektronische middelen zijn artikel 10 en bijlage IV van toepassing.

28.

Op het vervoer van EUCI is bijlage III van toepassing, overeenkomstig de nationale wet- en regelgeving.

29.

Wat het vervoer van gerubriceerd materiaal als vracht betreft, worden bij de opstelling van regelingen inzake beveiliging de volgende beginselen toegepast:

30.

EUCI wordt overgedragen aan contractanten en subcontractanten in derde staten overeenkomstig de beveiligingsmaatregelen die zijn overeengekomen door het SGR, als aanbestedende dienst, en de NSA/DSA van de derde staat in kwestie waar de contractant is geregistreerd.

31.

Samen, waar nodig, met de NSA/DSA van de lidstaat, is het SGR, als aanbestedende instantie, op basis van contractuele bepalingen gerechtigd bezoeken af te leggen aan vestigingen van contractanten/subcontractanten om na te gaan of, zoals in de opdracht wordt vereist, de beveiligingsmaatregelen ter zake zijn getroffen voor de bescherming van EUCI van het niveau RESTREINT UE/EU RESTRICTED.

32.

Voor zover dat nodig is volgens de nationale wet- en regelgeving, worden NSA's/DSA's of andere bevoegde veiligheidsautoriteiten door het SGR, als aanbestedende dienst, in kennis gesteld van opdrachten of opdrachten in onderaanneming die informatie met rubricering RESTREINT UE/EU RESTRICTED bevatten.

33.

Een VMV of een PVM voor contractanten of subcontractanten en hun personeel is niet vereist voor opdrachten van het SGR, die als RESTREINT UE/EU RESTRICTED gerubriceerde informatie bevatten

34.

Het SGR bestudeert, als aanbestedende dienst, de reacties op de uitnodigingen tot inschrijving voor opdrachten waarvoor toegang tot als RESTREINT UE/EU RESTRICTED gerubriceerde informatie nodig is, ongeacht eventuele vereisten met betrekking tot VMV of PVM uit hoofde van nationale wet- en regelgeving.

35.

De voorwaarden voor uitbesteding in onderaanneming door de contractant zijn in overeenstemming met het bepaalde in punt 21.

36.

Wanneer een opdracht de verwerking van informatie met rubricering RESTREINT UE/EU RESTRICTED in een door een contractant geëxploiteerd CIS behelst, zorgt het SGR, als aanbestedende dienst, ervoor dat in het contract of de onderaanneming de nodige technische en administratieve eisen worden gespecificeerd met betrekking tot de homologatie van het CIS in overeenstemming met het ingeschatte risico, rekening houdend met alle belangrijke factoren. Hoe ver de homologatie van een dergelijke CIS reikt, wordt door de aanbestedende dienst en de betrokken NSA/DSA bepaald.

1.

Deze bijlage bevat bepalingen ter uitvoering van artikel 12.

2.

Wanneer de Raad bepaalt dat het nodig is om voor een lange termijn gerubriceerde informatie uit te wisselen,

overeenkomstig artikel 12, lid 2, en deel III en IV, op basis van een aanbeveling van het Beveiligingscomité.

3.

Wanneer ten behoeve van een EVDB-operatie gegenereerde EUCI moet worden verstrekt aan derde staten of internationale organisaties die aan die operatie deelnemen, en wanneer geen van de in punt 2 bedoelde kaders bestaat, wordt de uitwisseling van EUCI met de bijdragende derde staat of internationale organisatie overeenkomstig deel V geregeld door:

4.

Bij het ontbreken van een kader als bedoeld in de punten 2 en 3, en wanneer het besluit wordt genomen om EUCI op een uitzonderlijke ad-hocbasis vrij te geven aan een derde staat of een internationale organisatie conform deel VI, wordt de betrokken derde staat of de internationale organisatie om schriftelijke verzekering verzocht om te garanderen dat deze alle vrijgegeven EUCI zal beschermen overeenkomstig de grondbeginselen en minimumnormen in dit besluit.

5.

Informatiebeveiligingsovereenkomsten bevatten de grondbeginselen en minimumnormen voor de uitwisseling van gerubriceerde informatie tussen de Europese Unie en een derde staat of internationale organisatie.

6.

Informatiebeveiligingsovereenkomsten bevatten ook technische uitvoeringsregelingen, waarover overeenstemming moet worden bereikt tussen de Dienst beveiliging van het SGR, het ECSD en de bevoegde veiligheidsautoriteit van de derde staat of de internationale organisatie in kwestie. Deze regelingen zijn afgestemd op het niveau van bescherming dat wordt geboden door de beveiligingsvoorschriften, -structuren en -procedures in de derde staat of binnen de internationale organisatie in kwestie. Ze worden goedgekeurd door het Beveiligingscomité.

7.

Er wordt geen EUCI uitgewisseld via elektronische middelen, tenzij daarin uitdrukkelijk is voorzien in de informatiebeveiligingsovereenkomst of de technische uitvoeringsregelingen.

8.

In de informatiebeveiligingsovereenkomsten wordt bepaald dat, voorafgaand aan de uitwisseling van gerubriceerde informatie volgens de overeenkomst, de Dienst beveiliging van het SGR en het ECSD vaststellen dat de ontvangende partij in staat is de haar verstrekte informatie op deugdelijke wijze te beschermen en te beveiligen.

9.

Wanneer de Raad een informatiebeveiligingsovereenkomst sluit, wordt er bij elke partij een register aangewezen als het belangrijkste punt langs waar gerubriceerde informatie binnenkomen of uitgaan.

10.

Ter beoordeling van de doeltreffendheid van de beveiligingsvoorschriften, -structuren en -procedures in de derde staat of binnen de internationale organisatie in kwestie, worden in overleg met de betrokken derde staat of internationale organisatie evaluatiebezoeken afgelegd door de Dienst beveiliging van het SGR, samen met het ECSD. Zulke evaluatiebezoeken verlopen overeenkomstig de bepalingen in kwestie van bijlage III en houden een evaluatie in van:

11.

Het team dat namens de Europese Unie een evaluatiebezoek aflegt beoordeelt of de beveiligingsvoorschriften en -procedures in de derde staat of binnen de internationale organisatie in kwestie toereikend zijn voor de bescherming van EUCI op een gegeven niveau.

12.

De bevindingen van die bezoeken worden vermeld in een verslag op basis waarvan het Beveiligingscomité het maximumniveau bepaalt van de EUCI die met de derde partij in kwestie op papier of in voorkomend geval in elektronische vorm mag worden uitgewisseld, alsook de specifieke voorwaarden voor uitwisseling met deze partij.

13.

Alles zal in het werk worden gesteld om een volledig beveiligingsevaluatiebezoek af te leggen aan de derde staat of internationale organisatie in kwestie, voordat het Beveiligingscomité de uitvoeringsregelingen goedkeurt, teneinde de aard en de doeltreffendheid van het bestaande beveiligingssysteem te bepalen. Mocht dit niet mogelijk zijn, dan krijgt het Beveiligingscomité van de Dienst beveiliging van het SGR een zo volledig mogelijk verslag, op basis van de informatie waarover deze beschikt, waarin het Beveiligingscomité wordt geïnformeerd over de toepasselijke beveiligingsvoorschriften en over de manier waarop de beveiliging in de derde staat of binnen de internationale organisatie in kwestie is georganiseerd.

14.

Het Beveiligingscomité kan besluiten dat er, zolang de uitkomst van een evaluatiebezoek wordt bestudeerd, geen EUCI mag worden vrijgegeven, of slechts tot een bepaald niveau, of het mag andere specifieke voorwaarden stellen voor het vrijgeven van EUCI aan de derde staat of de internationale organisatie in kwestie. De Dienst beveiliging van het SGR deelt dit mee aan de derde staat of de internationale organisatie in kwestie.

15.

In overleg met de betrokken derde staat of internationale organisatie legt de Dienst beveiliging van het SGR op gezette tijden vervolgevaluatiebezoeken af met als doel te controleren of de geldende regelingen nog steeds aan de overeengekomen minimumnormen voldoen.

16.

Zodra de informatiebeveiligingsovereenkomst van kracht is en er met de betrokken derde staat of internationale organisatie gerubriceerde informatie worden uitgewisseld, kan het Beveiligingscomité besluiten het maximumniveau waarop EUCI op papier of in elektronische vorm mag worden uitgewisseld te wijzigen, met name naar aanleiding van een vervolgevaluatiebezoek.

17.

Wanneer het nodig is om met derde staten of internationale organisaties voor een lange termijn informatie uit te wisselen waarvan de rubriceringsgraad als algemene regel niet hoger is dan RESTREINT UE/EU RESTRICTED, en wanneer het Beveiligingscomité heeft vastgesteld dat de partij in kwestie geen voldoende ontwikkeld beveiligingssysteem heeft om een informatiebeveiligingsovereenkomst te sluiten, mag de SG/HV, na goedkeuring door de Raad, met de daarvoor aangewezen autoriteiten van de derde staat of de internationale organisatie in kwestie een administratieve regeling treffen.

18.

Wanneer om dringende operationele redenen snel een kader voor de uitwisseling van gerubriceerde informatie moet worden opgezet, kan de Raad bij wijze van uitzondering besluiten dat er een administratieve regeling wordt getroffen voor de uitwisseling van informatie met een hogere rubriceringsgraad.

19.

Administratieve regelingen nemen als algemene regel de vorm van een briefwisseling aan.

20.

Een evaluatiebezoek als bedoeld in punt 10 wordt afgelegd en het verslag daarvan wordt toegezonden aan het Beveiligingscomité, dat het bevredigend moet achten alvorens er daadwerkelijk EUCI aan de derde staat of de internationale organisatie in kwestie wordt vrijgegeven. Als er echter uitzonderlijke redenen voor dringende uitwisseling van gerubriceerde informatie onder de aandacht van de Raad worden gebracht, mag er EUCI worden vrijgegeven op voorwaarde dat alles in het werk wordt gesteld om zo spoedig mogelijk een dergelijk evaluatiebezoek te organiseren.

21.

Er wordt geen EUCI uitgewisseld via elektronische middelen, tenzij daarin uitdrukkelijk is voorzien in de administratieve regeling.

22.

Deelname van derde staten of internationale organisaties aan EVDB-operaties worden geregeld bij kaderovereenkomsten inzake deelname. Deze overeenkomsten bevatten bepalingen betreffende de vrijgave van ten behoeve van EVDB-operaties gegenereerde EUCI aan de bijdragende derde staten of internationale organisaties. De hoogste rubriceringsgraad van EUCI die mag worden uitgewisseld, is RESTREINT UE/EU RESTRICTED voor burgerlijke EVDB-operaties en CONFIDENTIEL UE/EU CONFIDENTIAL voor militaire EVDB-operaties, tenzij anders is bepaald in het gemeenschappelijk optreden waarbij iedere EVDB-operatie wordt ingesteld.

23.

Voor een specifieke EVDB-operatie gesloten ad-hocovereenkomsten inzake deelname bevatten bepalingen betreffende de vrijgave van ten behoeve van die operatie gegenereerde EUCI aan de bijdragende derde staat of internationale organisatie. De hoogste rubriceringsgraad van EUCI die mag worden uitgewisseld, is RESTREINT UE/EU RESTRICTED voor burgerlijke EVDB-operaties en CONFIDENTIEL UE/EU CONFIDENTIAL voor militaire EVDB-operaties, tenzij anders is bepaald in het gemeenschappelijk optreden waarbij iedere EVDB-operatie wordt ingesteld.

24.

Ad hoc administratieve regelingen over de deelname van een derde staat of een internationale organisatie aan een specifieke EVDB-operatie kunnen onder meer gelden voor de vrijgave van ten behoeve van de operatie gegenereerde EUCI aan die derde staat of internationale organisatie. Zulke ad hoc administratieve regelingen worden aangegaan overeenkomstig de procedures in de punten 17 en 18 van afdeling IV. De hoogste rubriceringsgraad van EUCI die mag worden uitgewisseld, is RESTREINT UE/EU RESTRICTED voor burgerlijke EVDB-operaties en CONFIDENTIEL UE/EU CONFIDENTIAL voor militaire EVDB-operaties, tenzij anders is bepaald in het gemeenschappelijk optreden waarbij iedere EVDB-operatie wordt ingesteld.

25.

Er zijn geen uitvoeringsregelingen of evaluatiebezoeken vereist alvorens de bepalingen betreffende de vrijgave van EUCI in de context van de punten 22, 23 en 24 worden uitgevoerd.

26.

Wanneer de ontvangende staat op het grondgebied waarvan een EVDB-operatie wordt uitgevoerd, geen vigerende informatiebeveiligingsovereenkomst of administratieve regeling met de Europese Unie heeft voor de uitwisseling van gerubriceerde informatie, kan, indien zich een specifieke en onmiddellijke operationele noodzaak voordoet, een ad hoc administratieve regeling worden getroffen. In deze mogelijkheid wordt voorzien in het gemeenschappelijk optreden waarin de EVDB-operatie wordt vastgesteld. Onder dergelijke omstandigheden wordt alleen EUCI vrijgegeven die ten behoeve van de EVDB-operatie wordt gegenereerd en die niet hoger is gerubriceerd dan RESTREINT UE/EU RESTRICTED. In het kader van een dergelijke ad hoc administratieve regeling verbindt de ontvangende staat zich ertoe EUCI te beschermen overeenkomstig minimumnormen die niet minder streng zijn dan die van dit besluit.

27.

Ten aanzien van gerubriceerde informatie die moeten worden opgenomen in kaderovereenkomsten inzake deelname, in ad-hocovereenkomsten inzake deelname en in ad hoc administratieve regelingen bedoeld in de punten 22 tot en met 24, wordt bepaald dat de derde staat of de internationale organisatie in kwestie ervoor zorgt dat het naar een operatie uitgezonden personeel EUCI zal beschermen overeenkomstig de beveiligingsvoorschriften van de Raad en overeenkomstig nadere instructies van de bevoegde autoriteiten, waaronder de commandostructuur van de operatie.

28.

Indien vervolgens een informatiebeveiligingsovereenkomst wordt gesloten tussen de Europese Unie en een bijdragende derde staat of internationale organisatie, vervangt de informatiebeveiligingsovereenkomst, wat betreft het verwerken van EUCI, een eventuele kaderovereenkomst inzake deelname, ad-hocovereenkomst inzake deelname of ad hoc administratieve regeling.

29.

Elektronische uitwisseling van EUCI wordt niet toegestaan op basis van een kaderovereenkomst inzake deelname, een ad-hocovereenkomst inzake deelname of een ad hoc administratieve regeling met een derde staat of een internationale organisatie, tenzij daarin in de overeenkomst of regeling in kwestie uitdrukkelijk wordt voorzien.

30.

Ten behoeve van een EVDB-operatie gegenereerde EUCI mag worden bekendgemaakt aan personeel dat door derde staten of internationale organisaties bij die operatie gedetacheerd is, overeenkomstig de punten 22 tot en met 29. Wanneer aan dat personeel toegang tot EUCI wordt verleend in werkruimten of in CIS van een EVDB-operatie, moeten maatregelen worden getroffen (zoals registratie van bekendgemaakte EUCI) om het risico van verlies of compromittering te verkleinen. Dergelijke maatregelen worden opgesteld in de desbetreffende plannings- of missiedocumenten.

31.

Wanneer er geen kader bestaat overeenkomstig de delen III tot en met V, en wanneer de Raad of een van zijn voorbereidende instanties vaststelt dat zich een uitzonderlijke noodzaak voordoet om EUCI vrij te geven aan een derde staat of een internationale organisatie, moet het SGR:

32.

Indien het Beveiligingscomité aanbeveelt de EUCI vrij te geven, wordt de zaak voorgelegd aan het Comité van permanente vertegenwoordigers (Coreper), dat een besluit neemt over de vrijgave.

33.

Indien het Veiligheidscomité aanbeveelt de EUCI niet vrij te geven, worden:

34.

Wanneer zulks passend wordt geacht en indien de bron vooraf schriftelijk toestemming verleent, kan het Coreper besluiten dat de gerubriceerde informatie slechts gedeeltelijk mogen worden vrijgegeven of pas nadat zij een lagere rubricering hebben gekregen of gederubriceerd zijn, of dat de vrij te geven informatie worden opgesteld zonder vermelding van de bron of de oorspronkelijke EU-rubricering.

35.

Nadat tot vrijgave van EUCI is besloten, verzendt het SGR het betrokken document, met daarop een markering inzake de geschiktheid voor vrijgave die vermeldt aan welke derde staat of internationale organisatie het is vrijgegeven. Voorafgaand aan of op het moment van de daadwerkelijke vrijgave, zegt de derde partij in kwestie schriftelijk toe dat zij de EUCI die zij ontvangt zal beschermen overeenkomstig de grondbeginselen en minimumnormen van dit besluit.

36.

Wanneer er overeenkomstig punt 2 een kader bestaat voor de uitwisseling van gerubriceerde informatie met een derde staat of een internationale organisatie, neemt de Raad een besluit waarbij de SG/HV wordt gemachtigd om, met inachtneming van het beginsel inzake toestemming van de bron, EUCI vrij te geven aan de derde staat of internationale organisatie in kwestie.

37.

Wanneer er overeenkomstig punt 3 een kader bestaat voor de uitwisseling van gerubriceerde informatie met een derde staat of een internationale organisatie, wordt de SG/HV gemachtigd om EUCI vrij te geven, overeenkomstig het gemeenschappelijk optreden waarbij de EVDB-operatie wordt opgezet en met inachtneming van het beginsel inzake toestemming van de bron.

38.

De SG/HV kan die machtigingen delegeren aan hoge ambtenaren van het SGR of andere personen die onder zijn gezag staan.

Nationale Veiligheidsoverheidsdienst,

FOD Buitenlandse Zaken, Buitenlandse Handel en Ontwikkelingssamenwerking

Karmelietenstraat 15

1000 Brussel

BELGIË

Tel. secretariaat +32 25014542

Fax +32 25014596

E-mail: nvo-ans@diplobel.fed.be

Politiets Efterretningstjeneste

(Deense veiligheidsinlichtingendienst)

Klausdalsbrovej 1

2860 Søborg

DENEMARKEN

Tel. +45 33148888

Fax +45 33430190

Forsvarets Efterretningstjeneste

(Deense defensie-inlichtingendienst)

Kastellet 30

2100 Copenhagen Ø

DENEMARKEN

Tel. +45 33325566

Fax +45 33931320

State Commission on Information Security

90 Cherkovna Str.

1505 Sofia

BULGARIJE

Tel. +359 29215911

Fax +359 29873750

E-mail: dksi@government.bg

Website: www.dksi.bg

Bundesministerium des Innern

Referat ÖS III 3

Alt-Moabit 101 D

11014 Berlin

DUITSLAND

Tel. +49 30186810

Fax +49 30186811441

E-mail: oesIII3@bmi.bund.de

Národní bezpečnostní úřad

(National Security Authority)

Na Popelce 2/16

150 06 Praha 56

REPUBLIEK TSJECHIË

Tel. +420 257283335

Fax +420 257283110

E-mail: czech.nsa@nbu.cz

Website: www.nbu.cz

National Security Authority Department

Estonian Ministry of Defence

Sakala 1

15094 Tallinn

ESTLAND

Tel. +372 7170113, +372 7170117

Fax +372 7170213

E-mail: nsa@kmin.ee

National Security Authority

Department of Foreign Affairs

76-78 Harcourt Street

Dublin 2

Ireland

Tel. +353 14780822

Fax +353 14082959

Autoridad Nacional de Seguridad

Oficina Nacional de Seguridad

Avenida Padre Huidobro s/n

28023 Madrid

SPANJE

Tel. +34 913725000

Fax +34 913725808

E-mail: nsa-sp@areatec.com

Γενικό Επιτελείο Εθνικής Άμυνας (ΓΕΕΘΑ)

Διακλαδική Διεύθυνση Στρατιωτικών Πληροφοριών (ΔΔΣΠ)

Διεύθυνση Ασφαλείας και Αντιπληροφοριών

ΣΤΓ 1020 -Χολαργός (Αθήνα)

Ελλάδα

Τηλέφωνα: +30 2106572045 (ώρες γραφείου)

+30 2106572009 (ώρες γραφείου)

Φαξ: +30 2106536279

+30 2106577612

Hellenic National Defence General Staff (HNDGS)

Military Intelligence Sectoral Directorate

Security Counterintelligence Directorate

STG 1020 Holargos — Athens

GRIEKENLAND

Tel. +30 2106572045,

+30 21065720 09

Fax +30 2106536279,

+30 2106577612

Secrétariat général de la défense et de la sécurité nationale

Sous-direction Protection du secret (SGDSN/PSD)

51 Boulevard de la Tour-Maubourg

75700 Paris 07 SP

FRANKRIJK

Tel. +33 171758177

Fax +33 171758200

Presidenza del Consiglio dei Ministri

Autorità Nazionale per la Sicurezza

D.I.S. — U.C.Se.

Via di Santa Susanna, 15

00187 Roma

ITALIË

Tel. +39 0661174266

Fax +39 064885273

National Security Authority

Constitution Protection Bureau of the Republic of Latvia

P.O.Box 286

Riga, LV-1001

Tel. + 371 67025418

Fax + 371 67025454

E-mail: ndi@sab.gov.lv

ΥΠΟΥΡΓΕΙΟ ΑΜΥΝΑΣ

ΣΤΡΑΤΙΩΤΙΚΟ ΕΠΙΤΕΛΕΙΟ ΤΟΥ ΥΠΟΥΡΓΟΥ

Εθνική Αρχή Ασφάλειας (ΕΑΑ)

Υπουργείο Άμυνας

Λεωφόρος Εμμανουήλ Ροΐδη 4

1432 Λευκωσία, Κύπρος

Τηλέφωνα: +357 22807569, +357 22807643, +357 22807764

Τηλεομοιότυπο: +357 22302351

Ministry of Defence

Minister's Military Staff

National Security Authority (NSA)

4 Emanuel Roidi street

1432 Nicosia

CYPRUS

Tel. +357 22807569, +357 22807643, +357 22807764

Fax +357 22302351

E-mail: cynsa@mod.gov.cy

Lietuvos Respublikos paslapčių apsaugos koordinavimo komisija

(The Commission for Secrets Protection Coordination of the Republic of Lithuania

National Security Authority)

Gedimino 40/1

LT-01110 Vilnius

Tel. +370 52663201, +370 52663202

Fax +370 52663200

E-mail: nsa@vsd.lt

Autorité nationale de Sécurité

Boîte postale 2379

1023 Luxembourg

LUXEMBURG

Tel. +352 24782210 central

+352 24782253 direct

Fax +352 24782243

Ministerie van Binnenlandse Zaken en Koninkrijksrelaties

Postbus 20010

2500 EA Den Haag

NEDERLAND

Tel. +31 703204400

Fax +31 703200733

Ministerie van Defensie

Beveiligingsautoriteit

Postbus 20701

2500 ES Den Haag

NEDERLAND

Tel. +31 703187060

Fax +31 703187522

Nemzeti Biztonsági Felügyelet

(National Security Authority)

P.O. Box 2

1357 Budapest

HONGARIJE

Tel. +361 3469652

Fax +361 3469658

E-mail: nbf@nbf.hu

Website: www.nbf.hu

Ministry of Justice and Home Affairs

P.O. Box 146

Valletta

MALTA

Tel. +356 21249844

Fax +356 25695321

Informationssicherheitskommission

Bundeskanzleramt

Ballhausplatz 2

1014 Wien

OOSTENRIJK

Tel. +43 1531152594

Fax +43 1531152615

E-mail: ISK@bka.gv.at

Agencja Bezpieczeństwa Wewnętrznego — ABW

(Internal Security Agency)

2A Rakowiecka St.

00-993 Warszawa

POLEN

Tel. +48 225857360

Fax +48 225858509

E-mail: nsa@abw.gov.pl

Website: www.abw.gov.pl

Służba Kontrwywiadu Wojskowego

(Military Counter-Intelligence Service)

Classified Information Protection Bureau

Oczki 1

02-007 Warszawa

POLEN

Tel. +48 226841247

Fax +48 226841076

E-mail: skw@skw.gov.pl

Oficiul Registrului Național al Informațiilor Secrete de Stat

(Romanian NSA — ORNISS

National Registry Office for Classified Information)

4 Mures Street

012275 Bucharest

ROEMENIË

Tel. +40 212245830

Fax +40 212240714

E-mail: nsa.romania@nsa.ro

Website: www.orniss.ro

Presidência do Conselho de Ministros

Autoridade Nacional de Segurança

Rua da Junqueira, 69

1300-342 Lisboa

PORTUGAL

Tel. +351 213031710

Fax +351 213031711

Urad Vlade RS za varovanje tajnih podatkov

Gregorčičeva 27

SI-1000 Ljubljana

Tel. +386 14781390

Fax +386 14781399

Národný bezpečnostný úrad

(National Security Authority)

Budatínska 30

P.O. Box 16

850 07 Bratislava

SLOWAKIJE

Tel. +421 268692314

Fax +421 263824005

Website: www.nbusr.sk

Utrikesdepartementet

(Ministerie van buitenlandse zaken)

SSSB

SE-103 39 Stockholm

Tel. +46 84051000

Fax +46 87231176

E-mail: ud-nsa@foreign.ministry.se

National Security Authority

Ministry for Foreign Affairs

P.O. Box 453

FI-00023 Government

Tel. 1 +358 916056487

Tel. 2 +358 916056484

Fax +358 916055140

E-mail: NSA@formin.fi

UK National Security Authority

Room 335, 3rd Floor

70 Whitehall

London

SW1A 2WH 2AS

VERENIGD KONINKRIJK

Tel. 1 +44 2072765649

Tel. 2 +44 2072765497

Fax +44 2072765651

E-mail: UK-NSA@cabinet-office.x.gsi.gov.uk