a) TRÈS SECRET UE/EU TOP SECRET: informatie en materiaal waarvan de openbaarmaking zonder machtiging de wezenlijke belangen van de Europese Unie of van één of meer van haar lidstaten uitzonderlijk ernstig kan schaden;

b) SECRET UE/EU SECRET: informatie en materiaal waarvan de openbaarmaking zonder machtiging de wezenlijke belangen van de Europese Unie of van één of meer van haar lidstaten ernstig kan schaden;

c) CONFIDENTIEL UE/EU CONFIDENTIAL: informatie en materiaal waarvan de openbaarmaking zonder machtiging de wezenlijke belangen van de Europese Unie of van één of meer van haar lidstaten kan schaden;

d) RESTREINT UE/EU RESTRICTED: informatie en materiaal waarvan de openbaarmaking zonder machtiging nadelig kan zijn voor de belangen van de Europese Unie of van één of meer van haar lidstaten.

— op basis van het „need-to-know”-principe,

— aan personen die in voorkomend geval op het vereiste niveau een beveiligingsonderzoek hebben ondergaan, en

— zijn geïnstrueerd over hun taken.

a) EUCI wordt in de regel overgedragen met elektronische middelen, beschermd door encryptieproducten die overeenkomstig artikel 10, lid 6, zijn goedgekeurd;

b) indien geen gebruik wordt gemaakt van de onder a) bedoelde middelen, wordt EUCI overgebracht:

a) de vertrouwelijkheid van informatie met rubricering SECRET UE/EU SECRET en hoger wordt beschermd door encryptieproducten die door de Raad, als overheid voor de goedkeuring van encryptieproducten (hierna: „Crypto Approval Authority — CAA”), op voorstel van het Beveiligingscomité zijn goedgekeurd;

b) de vertrouwelijkheid van informatie met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of RESTREINT UE/EU RESTRICTED wordt beschermd door encryptieproducten die door de secretaris-generaal van de Raad (hierna: „de secretaris-generaal”), als CAA, op voorstel van het Beveiligingscomité zijn goedgekeurd.

a) een IA-overheid (hierna: „IAA”);

b) een TEMPEST-overheid (hierna: „TA”);

c) een overheid voor de goedkeuring van encryptieproducten (hierna: „CAA — Crypto Approval Authority”);

d) een overheid voor de verdeling van encryptieproducten (hierna: „CDA — Crypto Distribution Authority”).

a) een homologatieoverheid;

b) een operationele IAA.

a) sluit de Europese Unie met derde landen of internationale organisaties overeenkomsten betreffende beveiligingsprocedures voor de uitwisseling en bescherming van gerubriceerde informatie (hierna: „overeenkomsten voor de beveiliging van informatie”), of

b) kan de secretaris-generaal namens het SGR een administratieve regeling treffen overeenkomstig punt 17 van bijlage VI indien de rubriceringsgraad van vrij te geven EUCI in het algemeen niet hoger is dan RESTREINT UE/EU RESTRICTED.

a) de opsteller daarvan in kennis te stellen;

b) ervoor te zorgen dat de zaak wordt onderzocht door personeel dat niet rechtstreeks met de schending te maken heeft, teneinde de toedracht vast te stellen;

c) de eventuele schade te beoordelen die aan de belangen van de Europese Unie of van de lidstaten is berokkend;

d) herhaling te voorkomen, en

e) de bevoegde instanties in kennis te stellen van de stappen die zijn ondernomen.

a) de personeelsleden van de permanente vertegenwoordigingen van de lidstaten bij de Europese Unie, en de leden van de nationale delegaties die bijeenkomsten van de Raad of zijn voorbereidende instanties bijwonen, of deelnemen aan andere werkzaamheden van de Raad;

b) hun andere personeelsleden die bij de nationale overheid in dienst of gedetacheerd zijn, hetzij op hun eigen grondgebied, hetzij daarbuiten;

c) eenieder die in de lidstaten ambtshalve naar behoren gemachtigd is om toegang te krijgen tot EUCI, en

d) hun contractanten, hetzij op hun eigen grondgebied, hetzij daarbuiten.

a) de in artikel 13, lid 2, onder a), bedoelde overeenkomsten;

b) besluiten waarbij machtiging wordt verleend tot of toegestemd wordt in vrijgave van EUCI, van oorsprong in of in het bezit van de Raad, aan derde staten en internationale organisaties, met inachtneming van het beginsel van toestemming van de bron;

c) een door het Beveiligingscomité aanbevolen jaarlijks programma van evaluatiebezoeken aan de diensten en werkruimten van de lidstaten en aan de organen, instanties en entiteiten van de Europese Unie die dit besluit of de beginselen daarvan toepassen, en van evaluatiebezoeken aan derde staten en internationale organisaties, om de doeltreffendheid van de ter bescherming van EUCI genomen maatregelen te verifiëren, en

d) het in artikel 6, lid 1, bedoelde beveiligingsbeleid.

a) het beveiligingsbeleid van de Raad gevoerd en bewaakt;

b) met de NSA’s van de lidstaten samengewerkt in alle beveiligingskwesties met betrekking tot de bescherming van gerubriceerde informatie die de werkzaamheden van de Raad raakt;

c) aan ambtenaren, andere personeelsleden en gedetacheerde nationale deskundigen van het SGR, toegang verleend tot informatie met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of hoger, overeenkomstig artikel 7, lid 3;

d) in voorkomend geval, onderzoek gelast in gevallen waarin gerubriceerde informatie die in het bezit is of afkomstig is van de Raad, in gevaar of verloren is geraakt of het vermoeden daaromtrent bestaat, en wordt de bevoegde beveiligingsinstanties om hulp verzocht bij het onderzoek;

e) de beveiliging ter bescherming van gerubriceerde informatie in de werkruimten van het SGR periodiek aan inspectie onderworpen;

f) periodiek een evaluatiebezoek verricht om een beeld te krijgen van de regeling inzake beveiliging van EUCI in de organen, instanties en entiteiten van de Unie die dit besluit of de beginselen daarvan toepassen;

g) samen en in overeenstemming met de betrokken NSA, periodiek een evaluatie verricht van de regeling inzake beveiliging ter bescherming van EUCI in de diensten en werkruimten van de lidstaten;

h) ervoor gezorgd dat over de beveiligingsmaatregelen indien nodig coördinatie plaatsvindt met de bevoegde instanties van de lidstaten die verantwoordelijk zijn voor de bescherming van gerubriceerde informatie en, in voorkomend geval, derde staten of internationale organisaties, onder meer met betrekking tot de aard van de bedreigingen voor de beveiliging van EUCI en de middelen om zich daartegen te beschermen, en

i) de in artikel 13, lid 2, onder b), bedoelde administratieve regeling getroffen.

a) een NSA zoals vermeld in aanhangsel C aanwijzen die verantwoordelijk is voor de regeling inzake beveiliging ter bescherming van EUCI opdat:

b) ervoor zorgen dat hun bevoegde instanties hun regering, en langs die weg de Raad, van informatie en advies dienen over de aard van de bedreigingen voor de beveiliging van EUCI en de middelen om zich daartegen te beschermen.

1. Deze bijlage bevat bepalingen ter uitvoering van artikel 7. Ze legt de criteria vast aan de hand waarvan kan worden bepaald of aan een persoon, rekening houdend met zijn loyaliteit en betrouwbaarheid, toegang tot gerubriceerde EU-informatie (hierna: „EUCI”) mag worden verleend, alsook de onderzoeks- en administratieve procedures die daartoe moeten worden gevolgd.

2. Een persoon wordt alleen toegang tot gerubriceerde informatie verleend indien:

3. Elke lidstaat en het SGR bepalen in hun structuren de functies waarvoor toegang tot informatie met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of hoger is vereist en verlangen daartoe een veiligheidsmachtiging voor het passende niveau.

4. De nationale beveiligingsinstanties (hierna: „NSA’s”) of andere bevoegde nationale instanties zijn er, na ontvangst van een naar behoren gemotiveerd verzoek, verantwoordelijk voor dat hun onderdanen voor wie toegang tot als CONFIDENTIEL UE/EU CONFIDENTIAL of hoger gerubriceerde informatie vereist is, aan een veiligheidsonderzoek worden onderworpen. De onderzoeksnormen dienen in overeenstemming te zijn met de nationale wet- en regelgeving, zodat een PVM kan worden afgegeven of de verzekering kan worden gegeven dat de betrokkene toegang mag hebben tot EUCI, waar passend.

5. Mocht de betrokkene op het grondgebied van een andere lidstaat of een derde staat verblijven, dan verzoeken de bevoegde nationale instanties om bijstand van de bevoegde instantie van de staat van verblijf, in overeenstemming met de nationale wet- en regelgeving. De lidstaten helpen elkaar bij het verrichten van het veiligheidsonderzoek, in overeenstemming met de nationale wet- en regelgeving.

6. Wanneer de nationale wet- en regelgeving zulks toestaat, mogen NSA’s of andere bevoegde nationale autoriteiten onderzoeken doen naar niet-onderdanen die toegang vragen tot als CONFIDENTIEL UE/EU CONFIDENTIAL of hoger gerubriceerde informatie. De onderzoeksnormen zijn in overeenstemming met de nationale wet- en regelgeving.

7. De loyaliteit en de betrouwbaarheid van een persoon ten behoeve van een veiligheidsmachtiging voor toegang tot als CONFIDENTIEL UE/EU CONFIDENTIAL of hoger gerubriceerde informatie worden vastgesteld door middel van een veiligheidsonderzoek. De bevoegde nationale instantie maakt een algemene beoordeling aan de hand van de bevindingen van een dergelijk veiligheidsonderzoek. De belangrijkste criteria die voor dat doel worden gehanteerd, moeten — voor zover mogelijk krachtens de nationale wet- en regelgeving — betrekking hebben op de vraag of die persoon:

8. In voorkomend geval en rekening houdend met de nationale wet- en regelgeving, kan de financiële en medische achtergrond van een persoon tijdens het veiligheidsonderzoek eveneens als relevant worden beschouwd.

9. In voorkomend geval en rekening houdend met de nationale wet- en regelgeving, kunnen het karakter, het gedrag en de levenssituatie van de echtgeno(o)t(e), partner of naaste familieleden tijdens het veiligheidsonderzoek eveneens als relevant worden beschouwd.

10. De initiële veiligheidsmachtiging voor toegang tot informatie met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL en SECRET UE/EU SECRET is gebaseerd op een veiligheidsonderzoek dat ten minste de jongste vijf jaar bestrijkt, dan wel de periode vanaf de leeftijd van achttien jaar, indien deze korter is, en dat het volgende omvat:

11. De initiële veiligheidsmachtiging voor toegang tot informatie met rubricering TRÈS SECRET UE/EU TOP SECRET vindt plaats op basis van een veiligheidsonderzoek dat ten minste de jongste tien jaar bestrijkt, dan wel de periode vanaf de leeftijd van achttien jaar, indien deze korter is. Indien gesprekken worden gevoerd als bedoeld in punt e) hieronder, moet het onderzoek ten minste de afgelopen zeven jaar bestrijken, dan wel de periode vanaf de leeftijd van achttien jaar, indien deze korter is. Naast de in punt 7 bedoelde criteria worden, voordat een PVM op het niveau TRÈS SECRET UE/EU TOP SECRET wordt verleend, ook de onderstaande elementen onderzocht voor zover mogelijk volgens nationale wet- en regelgeving; en deze elementen kunnen ook voorafgaand aan de verlening van een PVM op het niveau van CONFIDENTIEL UE/EU CONFIDENTIAL of SECRET UE/EU SECRET worden onderzocht, indien nationale wet- en regelgeving zulks voorschrijven:

12. Indien nodig en in overeenstemming met de nationale wet- en regelgeving kan extra onderzoek worden verricht om alle relevante informatie die beschikbaar is over een persoon te kunnen uitwerken en alle negatieve informatie te kunnen bevestigen dan wel ontkrachten.

13. Na de initiële toekenning van een veiligheidsmachtiging wordt deze, mits de betrokkene ononderbroken bij een nationale overheid of het SGR werkzaam is geweest en nog steeds toegang tot EUCI dient te hebben, opnieuw bezien met het oog op hernieuwing; dit gebeurt na een termijn van ten hoogste vijf jaar voor een machtiging voor het niveau TRÈS SECRET UE/EU TOP SECRET, en tien jaar voor een machtiging voor het niveau SECRET UE/EU SECRET en CONFIDENTIEL UE/EU CONFIDENTIAL; deze termijn gaat in op de datum van kennisgeving van de uitkomst van het laatste veiligheidsonderzoek waarop de machtiging gebaseerd is. Alle veiligheidsonderzoeken met het oog op de hernieuwing van een PVM hebben betrekking op de periode die sinds het vorige onderzoek is verstreken.

14. Voor de hernieuwing van de veiligheidsmachtiging worden de in de punten 10 en 11 vermelde elementen onderzocht.

15. Het verzoek om hernieuwing wordt tijdig ingediend, rekening houdend met de gemiddelde termijn die voor het veiligheidsonderzoek nodig is. Wanneer de bevoegde NSA of een andere bevoegde nationale instantie evenwel het betrokken verzoek om hernieuwing en de overeenkomstige beveiligingsvragenlijst voor het verstrijken van de veiligheidsmachtiging heeft ontvangen, maar het noodzakelijke veiligheidsonderzoek niet voor het verstrijken van de veiligheidsmachtiging is afgerond, kan de bevoegde nationale overheid de geldigheid van de bestaande veiligheidsmachtiging met maximaal twaalf maanden verlengen, wanneer de nationale wet- en regelgeving zulks toestaan. Indien het veiligheidsonderzoek aan het einde van deze periode van twaalf maanden nog niet is voltooid, dient de betrokkene taken uit te oefenen waarvoor geen veiligheidsmachtiging vereist is.

16. Voor ambtenaren en andere personeelsleden van het SGR zendt de Veiligheidsautoriteit van het SGR de ingevulde vragenlijst voor de veiligheid van personen toe aan de NSA van de lidstaat waarvan de betrokkene onderdaan is, met het verzoek een veiligheidsonderzoek uit te voeren voor het niveau van EUCI waartoe toegang van de betrokkene noodzakelijk zal zijn.

17. Indien een persoon een veiligheidsmachtiging voor toegang tot EUCI heeft aangevraagd, en het SGR de beschikking krijgt over informatie over de betrokkene die voor het veiligheidsonderzoek van belang is, stelt het SGR de desbetreffende NSA hiervan in overeenstemming met de regels en voorschriften ter zake in kennis.

18. Nadat het veiligheidsonderzoek is afgesloten, brengt betrokken NSA de beveiligingsinstantie van het SGR op de hoogte van de uitkomst ervan, met gebruikmaking van het door het Beveiligingscomité voor de briefwisseling voorgeschreven standaardmodel.

19. Voor het veiligheidsonderzoek en de resultaten van het veiligheidsonderzoek gelden de in de betrokken lidstaat van toepassing zijnde wet- en regelgeving, ook wat de mogelijkheden tot beroep betreft. Tegen besluiten van het tot aanstelling bevoegde gezag van het SGR kan beroep worden aangetekend in overeenstemming met het statuut van de ambtenaren van de Europese Unie en de regeling die van toepassing is op de andere personeelsleden van de Europese Unie, vastgesteld in Verordening (EEG, Euratom, EGKS) nr. 259/68 ( 4 ) (hierna: „het statuut”).

20. Nationale deskundigen die bij het SGR worden gedetacheerd voor een functie waarvoor toegang tot EUCI met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL en hoger is vereist, leggen een geldig certificaat van veiligheidsmachtiging voor personen (CPVM) voor toegang tot EUCI aan de Veiligheidsautoriteit van het SGR over alvorens hun taak aan te vatten; op basis daarvan geeft het tot aanstelling bevoegde gezag een machtiging voor toegang tot EUCI af.

21. Het SGR aanvaardt de door een andere EU-instelling, een ander EU-orgaan of een andere EU-instantie verleende machtiging voor toegang tot EUCI, mits deze geldig blijft. De machtiging bestrijkt elke taak die de betrokkene in het SGR op zich neemt. De EU-instelling, het EU-orgaan of de EU-instantie waar de betrokkene in dienst treedt, geeft de bevoegde NSA kennis van de wijziging van werkgever.

22. Indien de periode waarin een persoon in dienst is, niet begint binnen twaalf maanden na de kennisgeving van de uitkomst van het veiligheidsonderzoek aan het tot aanstelling bevoegde gezag van het SGR, of indien de betrokkene zijn dienst voor een periode van twaalf maanden heeft onderbroken en gedurende die tijd niet bij het SGR of in een functie bij een nationale overheid van een lidstaat heeft gewerkt, wordt deze uitkomst naar de betrokken NSA verwezen voor de bevestiging dat die nog steeds geldig en passend is.

23. Indien een persoon een veiligheidsmachtiging voor toegang tot EUCI is verleend, en het SGR de beschikking krijgt over informatie dat er in verband met die persoon een beveiligingsrisico bestaat, stelt het SGR, overeenkomstig de regels en voorschriften ter zake, de desbetreffende NSA hiervan in kennis en kan het de toegang tot de EUCI opschorten of de machtiging voor toegang tot de EUCI intrekken.

24. Wanneer de NSA het SGR in kennis stelt van de intrekking van een overeenkomstig punt 18, onder a), gegeven verzekering voor een persoon die over een machtiging voor toegang tot EUCI beschikt, kan het tot aanstelling bevoegde gezag van het SGR de NSA elke toelichting vragen die de instantie volgens de nationale wet- en regelgeving mag verstrekken. Indien de negatieve informatie wordt bevestigd, wordt de machtiging ingetrokken en wordt de betrokkene de toegang tot EUCI en tot functies waar dergelijke toegang mogelijk is of waar hij de beveiliging in gevaar zou kunnen brengen, ontzegd.

25. Elke beslissing om een machtiging voor toegang tot EUCI van een ambtenaar of ander personeelslid van het SGR in te trekken of op te schorten, alsook waar nodig de redenen daarvoor, worden meegedeeld aan de betrokkene, die kan vragen om door het tot aanstelling bevoegde gezag te worden gehoord. Voor door een NSA verstrekte informatie gelden de in de betrokken lidstaat van toepassing zijnde wetten en voorschriften, ook wat de mogelijkheden tot beroep betreft. Tegen besluiten van het tot aanstelling bevoegde gezag van het SGR kan beroep worden aangetekend in overeenstemming met het statuut.

26. De aantekeningen betreffende CPVM’s en machtigingen die met het oog op toegang tot als CONFIDENTIEL UE/EU CONFIDENTIAL of hoger gerubriceerde informatie aan personen worden verleend, worden respectievelijk door de lidstaat en het SGR bewaard. Deze aantekeningen bevatten ten minste het niveau van de EUCI waartoe een persoon toegang kan worden verleend, de datum van verlening van de veiligheidsmachtiging en de geldigheidsduur ervan.

27. De bevoegde beveiligingsinstantie kan een certificaat van veiligheidsmachtiging voor personen (CVMP) afgeven met daarop het niveau van de EUCI waartoe de persoon toegang kan worden verleend (CONFIDENTIEL UE/EU CONFIDENTIAL of hoger), de geldigheidsduur van de betrokken PVM voor toegang tot EUCI of machtiging voor toegang tot EUCI en de datum waarop de geldigheid van het certificaat zelf afloopt.

28. De toegang tot EUCI door personen in de lidstaten die uit hoofde van hun functie daartoe naar behoren zijn gemachtigd, wordt vastgesteld in overeenstemming met de nationale wet- en regelgeving. Die personen worden geïnstrueerd over hun beveiligingsverplichtingen in verband met de bescherming van EUCI.

29. Alle personen aan wie een veiligheidsmachtiging is verleend, bevestigen schriftelijk dat zij kennis dragen van hun plichten met betrekking tot de bescherming van EUCI en van de gevolgen indien EUCI wordt gecompromitteerd. Een aantekening van deze schriftelijke bevestiging wordt naargelang van het geval door de lidstaat of het SGR bewaard.

30. Eenieder die gemachtigd is om toegang te hebben tot of die moet omgaan met EUCI, dient vanaf het begin bewust te worden gemaakt van en regelmatig geïnstrueerd te worden over de dreigingen voor de beveiliging en moet iedere toenadering of activiteit die hij verdacht of ongewoon vindt, onmiddellijk aan de desbetreffende beveiligingsinstanties melden.

31. Alle personen die geen taken meer vervullen waarvoor toegang tot EUCI vereist is, dienen er bewust van te worden gemaakt dat hun plichten met betrekking tot de bescherming van EUCI blijven bestaan, en dienen zulks in voorkomend geval schriftelijk te bevestigen.

32. Wanneer de nationale wet- en regelgeving het toestaan, kunnen nationale ambtenaren op grond van een door een bevoegde instantie van een lidstaat afgegeven veiligheidsmachtiging voor toegang tot nationale gerubriceerde informatie in afwachting van de afgifte van een PVM voor toegang tot EUCI, tijdelijk toegang krijgen tot EUCI tot het niveau in de concordantietabel in aanhangsel B, wanneer deze tijdelijke toegang in het belang van de Europese Unie noodzakelijk is. De NSA’s laten het Beveiligingscomité weten in welke gevallen de nationale wet- en regelgeving een dergelijke tijdelijke toegang tot EUCI niet toestaan.

33. Het tot aanstelling bevoegde gezag van het SGR kan om dringende en naar behoren gemotiveerde redenen van dienstbelang en in afwachting van de voltooiing van het volledige veiligheidsonderzoek, na raadpleging van de NSA van de lidstaat waarvan de betrokkene onderdaan is en afhankelijk van de uitkomst van een eerste controle of er geen negatieve informatie bekend is, ambtenaren en andere personeelsleden van het SGR voor een specifieke functie tijdelijk toegang tot EUCI verlenen. Deze tijdelijke toegang wordt voor maximaal zes maanden verleend en geldt niet voor informatie met rubricering TRÈS SECRET UE/EU TOP SECRET. Alle personen aan wie tijdelijke toegang is verleend, bevestigen schriftelijk dat zij kennis dragen van hun plichten met betrekking tot de bescherming van EUCI en van de gevolgen indien EUCI wordt gecompromitteerd. Een aantekening van deze schriftelijke bevestiging wordt door het SGR bewaard.

34. Wanneer een persoon een functie krijgt toegewezen waarvoor een veiligheidsmachtiging nodig is van één niveau hoger dan die waarover hij op dat moment beschikt, kan deze nieuwe functie op voorlopige basis worden toegewezen, mits:

35. Deze procedure wordt gebruikt voor eenmalige toegang tot EUCI met een rubriceringsgraad die één niveau hoger ligt dan waarvoor de betrokkene is gescreend. Deze procedure mag niet bij herhaling worden gebruikt.

36. In zeer uitzonderlijke omstandigheden, zoals bij missies in een vijandige omgeving of gedurende perioden van groeiende internationale spanning, wanneer noodmaatregelen zulks vereisen, vooral wanneer er levens kunnen worden gered, kunnen de lidstaten en de SG/HV of de plaatsvervangend secretaris-generaal schriftelijk toegang tot informatie met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of SECRET UE/EU SECRET verlenen aan personen die niet in het bezit zijn van de vereiste veiligheidsmachtiging, zulks onder de voorwaarde dat die toestemming absoluut noodzakelijk is en er geen gerede twijfel bestaat aan de loyaliteit en de betrouwbaarheid van de betrokkene. Een aantekening van deze toestemming, met een beschrijving van de informatie waartoe toegang werd verleend, wordt bewaard.

37. In geval van informatie met rubricering TRÈS SECRET UE/EU TOP SECRET dienen dergelijke noodmaatregelen beperkt te blijven tot onderdanen van de Europese Unie aan wie toegang is verleend tot het nationale equivalent van TRÈS SECRET UE/EU TOP SECRET of tot informatie met rubricering SECRET UE/EU SECRET.

38. Het Beveiligingscomité wordt op de hoogte gesteld van gevallen waarin de in de punten 36 en 37 genoemde procedure is gevolgd.

39. Wanneer de wetten en voorschriften van een lidstaat strengere regels opleggen ten aanzien van tijdelijke machtigingen, voorlopige toewijzingen, eenmalige toegang of toegang in dringende gevallen tot gerubriceerde informatie, worden de in dit deel beschreven procedures alleen gevolgd binnen de beperkingen in de nationale wet- en regelgeving ter zake.

40. Het Beveiligingscomité krijgt een jaarlijks verslag over het gebruik van de in dit deel beschreven procedures.

41. Met inachtneming van punt 28 kunnen personen aan wie is opgedragen deel te nemen aan vergaderingen van de Raad of van voorbereidende instanties van de Raad waarin als CONFIDENTIEL UE/EU CONFIDENTIAL of hoger gerubriceerde informatie wordt besproken, dit alleen doen als de status van de betrokkene met betrekking tot de veiligheidsmachtiging wordt bevestigd. Voor gedelegeerden dient een CVMP ander bewijs van een veiligheidsmachtiging door de desbetreffende instanties aan de dienst Beveiliging van het SGR te worden toegezonden, of in uitzonderingsgevallen door de betrokken gedelegeerde te worden overgelegd. Indien van toepassing kan een geconsolideerde lijst van namen worden gebruikt, met het relevante bewijs van veiligheidsmachtiging.

42. Wanneer om beveiligingsredenen een PVM voor toegang tot EUCI wordt ingetrokken van een persoon die voor zijn werk moet deelnemen aan vergaderingen van de Raad of van voorbereidende instanties van de Raad, stelt de bevoegde instantie het SGR daarvan op de hoogte.

43. Koeriers en bewakings- en begeleidingspersoneel dienen voor de passende rubriceringsgraad te zijn gescreend of anderszins een passend onderzoek te hebben ondergaan overeenkomstig de nationale wet- en regelgeving, te worden geïnstrueerd over de beveiligingsprocedures ter bescherming van EUCI en over hun plicht om de hun toevertrouwde EUCI te beschermen.

1. Deze bijlage bevat bepalingen ter uitvoering van artikel 8. Er worden minimumvoorschriften vastgesteld voor de fysieke beveiliging van locaties, gebouwen, bureaus, ruimten en andere zones waar EUCI wordt verwerkt en opgeslagen, evenals zones waar CIS zijn ondergebracht.

2. Fysieke beveiligingsmaatregelen zijn bedoeld om de toegang zonder machtiging tot EUCI te voorkomen door:

3. De fysieke beveiligingsmaatregelen worden geselecteerd op basis van de dreigingsbeoordeling door de bevoegde instanties. Het SGR en de lidstaten passen ieder een risicobeheerprocedure toe ter bescherming van EUCI in hun gebouwen, teneinde ervoor te zorgen dat een fysieke bescherming wordt geboden die overeenstemt met het ingeschatte risico. In de risicobeheerprocedure wordt rekening gehouden met alle relevante factoren, met name:

4. De bevoegde beveiligingsinstantie stelt aan de hand van het begrip „defence in depth” vast welke passende combinatie van fysieke beveiligingsmaatregelen moet worden getroffen. Deze maatregelen kunnen zijn:

5. De bevoegde instantie kan worden gemachtigd om controles uit te voeren bij het in- en uitgaan, ter afschrikking van het ongeoorloofd binnenbrengen van materiaal in, of het ongeoorloofd verwijderen van EUCI uit een locatie of gebouw.

6. Als het risico bestaat dat EUCI van buitenaf wordt waargenomen, zelfs per ongeluk, worden passende maatregelen genomen om dit risico te voorkomen.

7. Voor nieuwe voorzieningen worden fysieke beveiligingsvereisten en functiespecificaties reeds bij het plannen en ontwerpen vastgesteld. Voor bestaande voorzieningen worden fysieke beveiligingsvereisten in de hoogst mogelijke mate uitgevoerd.

8. Bij de aanschaf van uitrusting (zoals beveiligingsopbergmiddelen, papierversnipperaars, deursloten, elektronische systemen voor toegangscontrole, indringerdetectiesystemen, alarmsystemen) voor de fysieke bescherming van EUCI ziet de bevoegde beveiligingsinstantie erop toe dat de uitrusting in overeenstemming is met de goedgekeurde technische normen en minimumvoorschriften.

9. De technische specificaties van uitrusting die bestemd is voor de fysieke bescherming van EUCI worden vastgelegd in beveiligingsrichtlijnen die door het Beveiligingscomité moeten worden goedgekeurd.

10. De beveiligingssystemen worden geregeld geïnspecteerd en de uitrusting wordt regelmatig onderhouden. Bij de onderhoudswerkzaamheden wordt met het resultaat van de inspecties rekening gehouden om te garanderen dat de uitrusting optimaal blijft werken.

11. De effectiviteit van individuele beveiligingsmaatregelen en van het gehele beveiligingssysteem wordt bij iedere inspectie getoetst.

12. Voor de fysieke bescherming van EUCI worden twee soorten fysiek beschermde zones, of de nationale equivalenten ervan, ingesteld:

In dit besluit slaan alle verwijzingen naar administratieve zones en beveiligde zones, waaronder technisch beveiligde zones, ook op de nationale equivalenten daarvan.

13. De bevoegde beveiligingsinstantie bepaalt dat een zone voldoet aan de eisen om te worden aangewezen als administratieve zone, beveiligde zone of technisch beveiligde zone.

14. Voor administratieve zones:

15. Voor beveiligde zones:

16. Wanneer het betreden van een beveiligde zone in de praktijk neerkomt op rechtstreekse toegang tot de gerubriceerde informatie die zich daar bevindt, zijn daarnaast de volgende aanvullende voorschriften van toepassing:

17. Beveiligde zones die tegen afluisteren zijn beschermd, worden als technisch beveiligde zones aangemerkt. Daarnaast zijn de volgende aanvullende voorschriften van toepassing:

18. Niettegenstaande punt 17, onder d), moet communicatieapparatuur en elektrische en elektronische apparatuur van welke aard ook, voordat zij wordt gebruikt in zones waar vergaderingen plaatsvinden of werk wordt verricht in verband met informatie met rubricering SECRET UE/EU SECRET en hoger, wanneer de dreiging voor EUCI als hoog wordt beoordeeld, eerst door de bevoegde beveiligingsinstantie worden onderzocht om ervoor te zorgen dat geen begrijpelijke informatie door die apparatuur onbedoeld of op illegale wijze kan worden doorgegeven tot buiten de perimeter van de betrokken beveiligde zone.

19. Beveiligde zones waar niet op 24-uursbasis dienstdoend personeel aanwezig is, worden, in voorkomend geval, aan het eind van de normale werktijd geïnspecteerd, alsook buiten de normale werktijd met willekeurige tussenpozen, tenzij er een indringerdetectiesysteem is.

20. Beveiligde zones en technische beveiligde zones kunnen binnen een administratieve zone tijdelijk worden ingesteld voor een gerubriceerde vergadering of een soortgelijk doel.

21. Voor iedere beveiligde zone worden operationele beveiligingsprocedures opgesteld, waarbij het volgende wordt vastgesteld:

22. Binnen de beveiligde zones worden kluizen geïnstalleerd. De muren, vloeren, plafonds, ramen en afsluitbare deuren moeten door de bevoegde beveiligingsinstantie worden goedgekeurd en een gelijkwaardig beschermingsniveau bieden als de beveiligingsopbergmiddelen die zijn goedgekeurd voor de opslag van EUCI met dezelfde rubriceringsgraad.

23. EUCI met rubricering RESTREINT UE/EU RESTRICTED mag worden verwerkt:

24. EUCI met rubricering RESTREINT UE/EU RESTRICTED wordt opgeslagen in daarvoor geschikt afgesloten kantoormeubilair in een administratieve zone of een beveiligde zone. De informatie mag tijdelijk buiten een beveiligde of een administratieve zone worden opgeslagen, als de houder heeft toegezegd zich te zullen houden aan compenserende maatregelen volgens de beveiligingsinstructies van de bevoegde beveiligingsinstantie.

25. EUCI met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of SECRET UE/EU SECRET mag worden verwerkt:

26. EUCI met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL en SECRET UE/EU SECRET wordt in een beveiligde zone opgeslagen in hetzij een beveiligingsopbergmiddel, hetzij een kluis.

27. EUCI met rubricering TRÈS SECRET UE/EU TOP SECRET wordt verwerkt in een beveiligde zone.

28. EUCI met rubricering TRÈS SECRET UE/EU TOP SECRET wordt opgeslagen in een beveiligde zone, op één van de volgende manieren:

29. De voorschriften voor het vervoeren van EUCI buiten fysiek beveiligde zones staan in bijlage III.

30. De bevoegde beveiligingsinstantie stelt procedures vast voor het beheer van sleutels en codecombinaties voor kantoren, lokalen, kluizen en beveiligingsopbergmiddelen. Die procedures bieden bescherming tegen ongeoorloofde toegang.

31. De codecombinaties worden gememoriseerd door het kleinst mogelijke aantal personen die er kennis van moeten nemen. De codecombinaties van beveiligingsopbergmiddelen en kluizen waarin EUCI wordt opgeslagen, worden gewijzigd:

1. Deze bijlage bevat bepalingen ter uitvoering van artikel 9. Zij stelt de administratieve maatregelen vast voor het controleren van EUCI gedurende haar gehele levenscyclus teneinde het al dan niet opzettelijk compromitteren of verliezen van die informatie te helpen voorkomen en opsporen.

2. Informatie wordt gerubriceerd wanneer zij bescherming behoeft wat hun vertrouwelijkheid betreft.

3. De opsteller van EUCI is verantwoordelijk voor het bepalen van de rubriceringsgraad, overeenkomstig de desbetreffende rubriceringrichtlijnen, en voor de eerste verspreiding van de informatie.

4. De rubriceringsgraad van EUCI wordt vastgesteld overeenkomstig artikel 2, lid 2, en onder verwijzing naar het beveiligingsbeleid dat de Raad overeenkomstig artikel 3, lid 3, moet vaststellen.

5. De rubricering wordt duidelijk en correct aangegeven, ongeacht of de EUCI in papieren, mondelinge, elektronische of enige andere vorm bestaat.

6. Afzonderlijke delen van een bepaald document (zoals bladzijden, punten, afdelingen, bijlagen, aanhangsels, aanhechtsels en bijvoegsels) kunnen verschillende rubriceringen vereisen en worden dienovereenkomstig gemarkeerd, ook wanneer zij elektronisch worden opgeslagen.

7. De rubricering die voor het gehele document of bestand geldt, is minstens van dezelfde graad als die van het hoogst gerubriceerde gedeelte ervan. Wanneer informatie uit diverse bronnen worden verzameld, wordt voor het eindproduct in zijn geheel nagegaan welke rubriceringsgraad het moet krijgen, aangezien hiervoor een hogere rubricering vereist kan zijn dan voor de onderdelen ervan.

8. Voor zover mogelijk worden documenten die delen met verschillende rubriceringsgraden bevatten, zo gestructureerd dat de delen met een verschillende rubriceringsgraad gemakkelijk kunnen worden herkend en, indien nodig, worden gescheiden.

9. De rubricering van een brief of een nota die bijvoegsels vergezelt, is van dezelfde graad als het hoogst gerubriceerde bijvoegsel. De bron geeft door middel van een passende markering duidelijk aan welke rubricering op die brief of nota moet worden toegepast indien deze gescheiden wordt van de bijvoegsels, bijvoorbeeld:

CONFIDENTIEL UE/EU CONFIDENTIAL:

Zonder aanhechtsel(s) RESTREINT UE/EU RESTRICTED

10. Ter aanvulling van een van de rubriceringen als bedoeld in artikel 2, lid 2, kan EUCI voorzien zijn van aanvullende markeringen zoals:

11. Gestandaardiseerde afgekorte rubriceringen kunnen worden gebruikt om de rubriceringsgraad van afzonderlijke delen van een tekst aan te geven. Afkortingen komen niet in de plaats van de volledige rubriceringen.

12. De volgende standaardafkortingen mogen in gerubriceerde EU-documenten worden gebruikt ter aanduiding van de rubriceringsgraad van afdelingen of onderdelen van tekst van minder dan één bladzijde:

13. Bij het genereren van een gerubriceerd EU-document:

14. Als het niet mogelijk is punt 13 toe te passen op EUCI, worden andere passende maatregelen genomen overeenkomstig de krachtens artikel 6, lid 2, op te stellen beveiligingsrichtlijnen.

15. Bij het genereren geeft de bron waar mogelijk, en in het bijzonder voor als RESTREINT UE/EU RESTRICTED gerubriceerde informatie, aan of de EUCI op een bepaalde datum of na een bepaalde gebeurtenis lager gerubriceerd of gederubriceerd kan worden.

16. Het SGR beziet regelmatig de EUCI waarover het beschikt opnieuw om na te gaan of de rubriceringsgraad nog steeds van toepassing is. Het SGR stelt een regeling in om de rubriceringsgraad van EUCI waarvan het de opsteller is, ten minste om de vijf jaar opnieuw te bezien. Deze controle is niet nodig wanneer de opsteller vanaf het begin heeft aangegeven dat de informatie automatisch lager gerubriceerd of gederubriceerd zullen worden en dat zij dienovereenkomstig gemarkeerd zijn.

17. Voor iedere organisatorische entiteit binnen het SGR en binnen de nationale overheden van de lidstaten die met EUCI werkt, wordt een verantwoordelijk register aangewezen dat moet garanderen dat EUCI overeenkomstig dit besluit wordt verwerkt. De registers worden ingericht als beveiligde zones zoals omschreven in bijlage II.

18. Voor de toepassing van dit besluit wordt onder registratie voor beveiligingsdoeleinden (hierna: „registratie”) verstaan: de toepassing van procedures waarbij de levenscyclus van materiaal, ook de verspreiding en de vernietiging ervan, wordt geregistreerd.

19. Alle materiaal met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL en hoger wordt in speciaal daarvoor bestemde registers geregistreerd wanneer het bij een organisatorische overheid aankomt of deze entiteit verlaat.

20. Het centrale register binnen het SGR houdt aantekening van alle gerubriceerde informatie die door de Raad en het SGR worden vrijgegeven aan derde staten en internationale organisaties, en van alle gerubriceerde informatie die worden ontvangen van derde staten of internationale organisaties.

21. In het geval van een CIS kunnen de registratieprocedures worden doorlopen door middel van processen binnen het CIS zelf.

22. De Raad stelt een beveiligingsbeleid inzake de registratie van EUCI voor beveiligingsdoeleinden vast.

23. Er wordt in de lidstaten en bij het SGR een register aangewezen dat optreedt als de centrale instantie voor het ontvangen en verzenden van informatie met rubricering TRÈS SECRET UE/EU TOP SECRET. In voorkomend geval kunnen subregisters worden aangewezen die zulke informatie voor registratiedoeleinden verwerken.

24. Deze subregisters mogen geen TRÈS SECRET UE/EU TOP SECRET-documenten rechtstreeks overdragen aan andere subregisters van hetzelfde centrale TRÈS SECRET UE/EU TOP SECRET-register, noch naar buiten toe overdragen, zonder uitdrukkelijke schriftelijke toestemming van dit centrale register.

25. Documenten met rubricering TRÈS SECRET UE/EU TOP SECRET worden niet zonder voorafgaande schriftelijke toestemming van de bron gekopieerd of vertaald.

26. Indien de bron van documenten met rubricering SECRET UE/EU SECRET of lager geen waarschuwingsmarkeringen met betrekking tot het kopiëren of vertalen heeft aangebracht, kunnen deze documenten op instructie van de houder worden gekopieerd of vertaald.

27. De beveiligingsmaatregelen die voor het originele document gelden, zijn ook van toepassing op de kopieën en vertalingen ervan.

28. Voor het vervoer van EUCI gelden de beschermende maatregelen van de punten 30 tot en met 41. Wanneer EUCI op elektronische dragers wordt vervoerd, kunnen onverminderd artikel 9, lid 4, onderstaande beschermende maatregelen worden aangevuld met passende technische tegenmaatregelen — die door de bevoegde beveiligingsinstantie worden voorgeschreven — om het risico op verlies of compromitteren zo klein mogelijk te maken.

29. De bevoegde beveiligingsinstantie in het SGR en in de lidstaten geven overeenkomstig dit besluit instructies over het vervoer van EUCI.

30. EUCI die binnen een gebouw of een op zichzelf staande groep van gebouwen wordt vervoerd, wordt bedekt om te voorkomen dat de inhoud ervan wordt waargenomen.

31. Binnen een gebouw of een op zichzelf staande groep van gebouwen wordt informatie met rubricering TRÈS SECRET UE/EU TOP SECRET vervoerd in een beveiligde envelop met daarop alleen de naam van de geadresseerde.

32. EUCI die tussen gebouwen en locaties binnen de Europese Unie wordt vervoerd, wordt zodanig verpakt dat zij wordt beschermd tegen ongeoorloofde openbaarmaking.

33. Het vervoer van informatie met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of SECRET UE/EU SECRET binnen de Europese Unie geschiedt op de volgende wijze:

Bij vervoer van een lidstaat naar een andere wordt het bepaalde onder c) beperkt tot informatie tot en met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL.

34. Informatie met rubricering RESTREINT UE/EU RESTRICTED mag ook door postdiensten of commerciële koeriersdiensten worden vervoerd. Voor het vervoer van dergelijke informatie is geen koerierspas vereist.

35. Materiaal met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL en SECRET UE/EU SECRET (bv. uitrustingen of onderdelen van machines) dat niet kan worden vervoerd met de in punt 33 bedoelde middelen, wordt overeenkomstig bijlage V als vracht vervoerd door commerciële vervoersondernemingen.

36. Het vervoer van informatie met rubricering TRÈS SECRET UE/EU TOP SECRET tussen gebouwen of locaties binnen de Europese Unie geschiedt per militaire koerier, overheidskoerier of diplomatieke koerier, naargelang het geval.

37. EUCI die vanuit de Europese Unie naar het grondgebied van een derde staat wordt vervoerd, wordt zodanig verpakt dat zij wordt beschermd tegen ongeoorloofde openbaarmaking.

38. Het vervoer van informatie met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL en SECRET UE/EU SECRET vanuit de Europese Unie naar het grondgebied van een derde staat geschiedt op één van de volgende wijzen:

39. Het vervoer van informatie met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL en SECRET UE/EU SECRET die door de Europese Unie wordt vrijgegeven aan een derde staat of een internationale organisatie, moet in overeenstemming zijn met de desbetreffende bepalingen van een overeenkomst voor de beveiliging van informatie of een administratieve regeling overeenkomstig artikel 13, lid 2, onder a) en b).

40. Informatie met rubricering RESTREINT UE/EU RESTRICTED mag ook door postdiensten of commerciële koeriersdiensten worden vervoerd.

41. Het vervoer van informatie met rubricering TRÈS SECRET UE/EU TOP SECRET vanuit de Europese Unie naar het grondgebied van een derde staat geschiedt per militaire of diplomatieke koerier.

42. Gerubriceerde EU-documenten die niet langer nodig zijn, mogen worden vernietigd onverminderd de geldende regels en voorschriften inzake archivering.

43. Documenten die volgens artikel 9, lid 2, moeten worden geregistreerd, worden door het verantwoordelijke register vernietigd op instructie van de houder of van een bevoegde instantie. De logboeken en andere informatie betreffende de registratie worden dienovereenkomstig bijgewerkt.

44. De vernietiging van documenten met rubricering SECRET UE/EU SECRET of TRÈS SECRET UE/EU TOP SECRET vindt plaats in het bijzijn van een getuige die gemachtigd is voor ten minste de rubriceringsgraad van het document dat wordt vernietigd.

45. Zowel de registrator als de getuige, als de aanwezigheid van deze laatste vereist is, ondertekenen een vernietigingscertificaat, dat wordt bewaard in het register. In het register worden vernietigingscertificaten van documenten met rubricering TRÈS SECRET UE/EU TOP SECRET gedurende minstens tien jaar en van documenten met rubriceringsgraad CONFIDENTIEL UE/EU CONFIDENTIAL en SECRET UE/EU SECRET gedurende minstens vijf jaar bewaard.

46. Om te voorkomen dat gerubriceerde documenten geheel of gedeeltelijk worden gereconstrueerd worden deze documenten, ook die met rubricering RESTREINT UE/EU RESTRICTED, vernietigd volgens methoden die voldoen aan EU-normen of gelijkwaardige normen, of methoden die door de lidstaten zijn goedgekeurd volgens nationale technische normen.

47. Vernietiging van voor EUCI gebruikte digitale opslagmedia geschiedt overeenkomstig punt 37 van bijlage IV.

48. In noodgevallen of indien er een imminent gevaar van openbaarmaking zonder machtiging is, wordt de EUCI door de houder derwijze vernietigd dat deze niet in haar geheel, noch ten dele kan worden gereconstrueerd. De bron en het register van oorsprong worden op de hoogte gebracht van de noodvernietiging van geregistreerde EUCI.

49. De term „evaluatiebezoek” wordt hierna gebruikt voor:

ter evaluatie van de doeltreffendheid van de maatregelen ter bescherming van EUCI.

50. Evaluatiebezoeken moeten onder meer:

51. Voor het eind van ieder kalenderjaar neemt de Raad het in artikel 16, lid 1, onder c), bedoelde programma van evaluatiebezoeken voor het volgende jaar aan. De concrete data van ieder evaluatiebezoek worden in overeenstemming met het EU-orgaan of de EU-instantie in kwestie, de betrokken lidstaat, de derde staat of de internationale organisatie in kwestie vastgesteld.

52. Er worden evaluatiebezoeken verricht om de desbetreffende regels, voorschriften en procedures in de bezochte entiteit te controleren en na te gaan of de werkwijzen van de entiteit stroken met de basisbeginselen en minimumnormen die zijn vastgelegd in dit besluit en in de bepalingen betreffende de uitwisseling van gerubriceerde informatie met die entiteit.

53. De evaluatiebezoeken verlopen in twee fasen. Voorafgaand aan het bezoek zelf wordt, zo nodig, een voorbereidende vergadering met de betrokken entiteit belegd. Na deze voorbereidende vergadering stelt het evaluatieteam in overleg met de betrokken entiteit een gedetailleerd programma van evaluatiebezoeken op dat alle aspecten van de beveiliging omvat. Het evaluatieteam dient toegang te hebben tot iedere locatie waar EUCI wordt verwerkt, en met name tot de registers en CIS-points of presence.

54. Evaluatiebezoeken bij de nationale overheden van de lidstaten en van derde staten en bij internationale organisaties worden uitgevoerd in volledige samenwerking met de functionarissen van de bezochte entiteit, derde staat of internationale organisatie.

55. Evaluatiebezoeken aan de EU-agentschappen, instanties en entiteiten die dit besluit of de beginselen daarvan toepassen, worden verricht met de bijstand van deskundigen van de NSA op het grondgebied waarvan het orgaan of de instantie is gevestigd.

56. Voor evaluatiebezoeken aan EU-organen, instanties en entiteiten die dit besluit of de beginselen daarvan toepassen, alsook aan derde staten en internationale organisaties, kunnen bijstand en bijdragen van NVI-deskundigen worden verlangd overeenkomstig de gedetailleerde regeling die door het Beveiligingscomité moet worden vastgesteld.

57. Aan het eind van het evaluatiebezoek worden de belangrijkste conclusies en aanbevelingen aan de bezochte entiteit voorgelegd. Vervolgens wordt er een verslag opgesteld van het evaluatiebezoek. Indien corrigerende maatregelen en aanbevelingen zijn voorgesteld, moet het verslag voldoende nadere informatie bevatten ter ondersteuning van de getrokken conclusies. Het verslag moet aan de bevoegde instantie van de bezochte entiteit worden toegezonden.

58. Ten aanzien van evaluatiebezoeken bij de nationale overheden van de lidstaten geldt onderstaande:

Onder de verantwoordelijkheid van de dienst Beveiliging van het SGR wordt op gezette tijden een verslag opgesteld met, voor een specifieke periode, de lessen die uit de evaluatiebezoeken in de lidstaten zijn getrokken en door het Beveiligingscomité zijn bestudeerd.

59. Het verslag van evaluatiebezoeken aan derde staten en internationale organisaties wordt toegezonden aan het Beveiligingscomité. Het verslag krijgt ten minste de rubricering RESTREINT UE/EU RESTRICTED. Alle corrigerende maatregelen worden tijdens een vervolgbezoek geverifieerd en aan het Beveiligingscomité gerapporteerd.

60. Van evaluatiebezoeken aan EU-organen, instanties en entiteiten die dit besluit of de beginselen daarvan toepassen, worden de verslagen van de evaluatiebezoeken aan het Beveiligingscomité toegezonden. Het ontwerpverslag van het evaluatiebezoek wordt toegezonden aan het betrokken orgaan of de betrokken instantie, zodat kan worden nagegaan of het inhoudelijk correct is en geen informatie bevat die hoger zijn gerubriceerd dan RESTREINT UE/EU RESTRICTED. Alle corrigerende maatregelen worden tijdens een vervolgbezoek geverifieerd en aan het Beveiligingscomité gerapporteerd.

61. De beveiligingsinstantie van het SGR verricht geregelde inspecties van organisatorische entiteiten in het SGR, en wel voor de in punt 50 beschreven doelen.

62. De beveiligingsinstantie van het SGR (dienst Beveiliging) stelt een controlelijst op met de punten die tijdens een evaluatiebezoek moeten worden geverifieerd. Deze controlelijst wordt toegezonden aan het Beveiligingscomité.

63. De informatie ter aanvulling van de controlelijst wordt, in het bijzonder tijdens het bezoek verkregen bij de voor het beveiligingsbeheer bevoegde functionarissen van de entiteit die wordt geïnspecteerd. Zodra de controlelijst met de gedetailleerde antwoorden is aangevuld, wordt hij in overleg met de geïnspecteerde entiteit gerubriceerd. De lijst maakt geen deel uit van het inspectieverslag.

1. Deze bijlage bevat bepalingen ter uitvoering van artikel 10.

2. Onderstaande IA-eigenschappen en -concepten zijn essentieel voor de beveiliging en de correcte werking van operaties met CIS.

3. De onderstaande bepalingen vormen de basis voor de beveiliging van alle CIS die voor het verwerken van EUCI worden gebruikt. In de beveiligingsbeleidsmaatregelen en beveiligingsrichtlijnen inzake IA moeten uitgebreide voorschriften voor de uitvoering van deze bepalingen worden vastgelegd.

4. Beheer van beveiligingsrisico’s is een integraal onderdeel van het omschrijven, ontwikkelen, exploiteren en onderhouden van een CIS. Risicobeheer (beoordeling, behandeling, aanvaarding en communicatie) verloopt als een zich herhalend proces, gezamenlijk uitgevoerd door vertegenwoordigers van de eigenaren van systemen, projectinstanties, exploitanten en beveiligingsgoedkeuringsinstanties, met gebruikmaking van een risicobeoordelingsprocedure die zichzelf heeft bewezen en transparant en volledig begrijpelijk is. De reikwijdte van het CIS en zijn functionele bestanddelen wordt aan het begin van de risicobeheerprocedure duidelijk afgebakend.

5. De bevoegde instanties bezien de mogelijke dreigingen voor CIS en zorgen voor bijgewerkte en nauwkeurige dreigingsbeoordelingen die weergeven hoe de operationele omgeving van dat moment is. Zij werken voortdurend hun kennis inzake kwetsbaarheden bij en herzien op gezette tijden de kwetsbaarheidsbeoordeling, met het oog op aanpassing aan de veranderende informatietechnologie (IT)-omgeving.

6. De behandeling van beveiligingsrisico’s is erop gericht een reeks beveiligingsmaatregelen toe te passen die een bevredigend evenwicht oplevert tussen de verlangens van de gebruikers, de kosten en het resterende beveiligingsrisico.

7. De door de bevoegde SAA bepaalde specifieke eisen, reikwijdte en gedetailleerdheid voor de homologatie van een CIS stemmen overeen met het ingeschatte risico, rekening houdend met alle relevante factoren, waaronder de rubriceringsgraad van de in het CIS verwerkte EUCI. Homologatie houdt mede een formele verklaring betreffende het resterende risico in en aanvaarding van dat resterende risico door een verantwoordelijke instantie.

8. Beveiliging is gedurende de gehele levenscyclus van het CIS — vanaf de ingebruikname tot de buitengebruikstelling — een vereiste.

9. De rol en interactie van iedere bij een CIS betrokken partij in verband met de beveiliging ervan wordt voor iedere fase van de levenscyclus vastgesteld.

10. Alle CIS, inclusief de maatregelen voor de technische en niet-technische beveiliging ervan, worden tijdens de homologatieprocedure aan beveiligingstests onderworpen om ervoor te zorgen dat het passende niveau van IA wordt bereikt en om na te gaan of zij correct zijn geïmplementeerd, geïntegreerd en geconfigureerd.

11. Beveiligingsbeoordelingen, inspecties en evaluaties worden op gezette tijden verricht tijdens de werking en het onderhoud van een CIS en wanneer zich uitzonderlijke omstandigheden voordoen.

12. De beveiligingsdocumentatie voor een CIS evolueert gedurende de levenscyclus van dat CIS als een integrerend deel van het proces van wijzigings- en configuratiebeheer.

13. Het SGR en de lidstaten ontwikkelen samen optimale toepassingen voor de bescherming van in CIS verwerkte EUCI. Richtlijnen inzake optimale toepassing beschrijven technische, fysieke, organisatorische en procedurele beveiligingsmaatregelen voor CIS, waarvan is aangetoond dat zij doeltreffend zijn in het bestrijden van dreigingen en kwetsbaarheden.

14. De bescherming van in CIS verwerkte EUCI steunt op de lering die door de bij IA betrokken entiteiten, zowel binnen als buiten de EU, is getrokken.

15. De verspreiding en de daaropvolgende toepassing van beste praktijken dragen bij aan het bereiken van een zelfde niveau van IA voor de diverse CIS waarin EUCI wordt verwerkt en die door het SGR en de lidstaten worden gebruikt.

16. Om het risico voor CIS tot een minimum te beperken, wordt een reeks technische en niet-technische beveiligingsmaatregelen genomen, in de vorm van meerdere verdedigingslagen. Deze lagen omvatten:

Aan de hand van een risicobeoordeling wordt bepaald hoe streng die beveiligingsmaatregelen moeten zijn.

17. De NSA of een andere bevoegde instantie ziet er tevens op toe dat:

18. Ter vermijding van onnodige risico’s worden uitsluitend de functies, apparaten en diensten geactiveerd die essentieel zijn voor het vervullen van de operationele eisen.

19. Gebruikers van een CIS en geautomatiseerde processen krijgen alleen de toegang, voorrechten of machtigingen die zij nodig hebben voor het uitvoeren van hun taken, zodat schade ten gevolge van ongelukken, vergissingen of ongeoorloofd gebruik van CIS-middelen beperkt blijft.

20. De door een CIS uitgevoerde registratieprocedures worden indien nodig geverifieerd als onderdeel van de homologatieprocedure.

21. De eerste verdedigingslaag voor de beveiliging van CIS bestaat in bewustwording met de risico’s en de beschikbare beveiligingsmaatregelen. Vooral alle leden van het personeel dat betrokken is bij de levenscyclus van CIS, met inbegrip van de gebruikers, moeten inzien:

22. Al het betrokken personeel, onder meer het hogere kader en de CIS-gebruikers, moeten verplicht een IA-opleiding en -bewustmakingstraining volgen, zodat goed wordt begrepen waar de verantwoordelijkheden inzake beveiliging liggen.

23. De vereiste graad van vertrouwen in de beveiligingsmaatregelen, gedefinieerd als een niveau van IA, wordt bepaald aan de hand van de resultaten van de risicobeheersprocedure en het beveiligingsbeleid en de beveiligingsrichtlijnen in kwestie.

24. Het niveau van IA wordt geverifieerd middels internationaal erkende of nationaal goedgekeurde processen en technologieën. Dit omvat in de eerste plaats evaluatie, controles en audits.

25. Encryptieproducten voor de bescherming van EUCI worden geëvalueerd en goedgekeurd door een CAA van een lidstaat.

26. Deze encryptieproducten moeten, voordat zij worden aanbevolen voor goedkeuring door de Raad of de SG/HV, overeenkomstig artikel 10, lid 6, zijn onderworpen aan een succesvolle tweede evaluatie door een naar behoren gekwalificeerde instantie (AQUA) van een lidstaat die niet betrokken is bij het ontwerp of de vervaardiging van de apparatuur. Hoe uitvoerig een en ander tijdens een tweede evaluatie moet worden bekeken, hangt af van het beoogde maximale rubriceringsniveau van de EUCI die door deze producten moet worden beschermd. De Raad stelt een beveiligingsbeleid inzake de evaluatie en goedkeuring van encryptieproducten vast.

27. Wanneer zulks om specifieke operationele redenen gerechtvaardigd is, kan de Raad, respectievelijk de SG/HV in voorkomend geval, op aanbeveling van het Beveiligingscomité, afwijken van de vereisten in de punten 25 en 26 van deze bijlage en een tijdelijke goedkeuring voor een specifieke periode verlenen overeenkomstig de procedure van artikel 10, lid 6.

28. De Raad kan op voorstel van het Beveiligingscomité zijn goedkeuring hechten aan het proces van evaluatie, selectie en goedkeuring van encryptieproducten van een derde land of internationale organisatie of deze encryptieproducten volgens dezelfde procedure geschikt bevinden voor de aan dat derde land of deze internationale organisatie vrijgegeven EUCI.

29. Een AQUA is een CAA van een lidstaat, die op basis van door de Raad vastgestelde criteria is geaccrediteerd voor het uitvoeren van de tweede evaluatie van encryptieproducten voor de bescherming van EUCI.

30. De Raad stelt een beveiligingsbeleid vast inzake de kwalificatie en goedkeuring van IT-beveiligingsproducten die geen encryptieproducten zijn.

31. Niettegenstaande het bepaalde in dit besluit kan, wanneer de overdracht van EUCI beperkt is tot beveiligde of administratieve zones, op basis van het resultaat van een risicobeheerprocedure en behoudens goedkeuring van de SAA, gebruik worden gemaakt van onversleutelde toezending of van versleuteling op een lager niveau.

32. In dit besluit wordt onder een interconnectie verstaan: een rechtstreekse koppeling van twee of meer IT-systemen, met als doel het gezamenlijke gebruik van informatie en andere bronnen van informatie (bv. communicatie), in één of meer richtingen.

33. Een CIS beschouwt ieder gekoppeld IT-systeem als niet-vertrouwd en activeert beschermende maatregelen om de uitwisseling van gerubriceerde informatie te controleren.

34. Alle interconnecties van CIS aan een ander IT-systeem voldoen aan onderstaande basisvereisten:

35. Er wordt geen interconnectie tot stand gebracht tussen een gehomologeerde CIS en een onbeschermd of openbaar netwerk, behalve indien voor dat doel in het CIS goedgekeurde BPS werden opgezet om de grenzen te beschermen tussen het CIS en het onbeschermde of openbare netwerk. De beveiligingsmaatregelen voor dergelijke interconnecties worden getoetst door de bevoegde IAA en goedgekeurd door de bevoegde SAA.

Wanneer het onbeschermde of openbare netwerk alleen als drager wordt gebruikt en de informatie versleuteld is met een overeenkomstig artikel 10 goedgekeurd encryptieproduct, wordt een dergelijke koppeling niet gezien als een interconnectie.

36. De rechtstreekse interconnectie of de interconnectie in cascade van een CIS dat gehomologeerd is om informatie met rubricering TRÈS SECRET UE/EU TOP SECRET te verwerken en een onbeschermd of openbaar netwerk, is verboden.

37. Digitale opslagmedia worden vernietigd volgens procedures die de bevoegde beveiligingsinstantie heeft goedgekeurd.

38. Digitale opslagmedia worden hergebruikt, lager gerubriceerd of gederubriceerd conform overeenkomstig artikel 6, lid 2, vast te stellen richtsnoeren voor beveiliging.

39. Niettegenstaande het bepaalde in dit besluit mogen de hieronder beschreven specifieke procedures worden toegepast in noodgevallen, zoals dreigende of uitgebroken crises, conflicten, oorlogssituaties of in uitzonderlijke operationele omstandigheden.

40. EUCI mag met toestemming van de bevoegde instantie door middel van voor een lager rubriceringniveau goedgekeurde encryptieproducten of zonder versleuteling worden overgedragen, indien vertraging schade zou veroorzaken die duidelijk zwaarder weegt dan de schade ten gevolge van de verspreiding van het gerubriceerde materiaal en indien:

41. Gerubriceerde informatie die in de in punt 39 bedoelde omstandigheden wordt overgedragen, mag geen tekenen of aanwijzingen dragen die haar onderscheiden van ongerubriceerde informatie of informatie die beschermd kan worden door een beschikbaar encryptieproduct. Ontvangers worden onverwijld langs andere wegen op de hoogte gebracht van het rubriceringniveau.

42. Indien gebruik wordt gemaakt van punt 39, wordt nadien een verslag opgesteld voor de bevoegde instantie en het Beveiligingscomité.

43. In de lidstaten en in het SGR worden onderstaande functies op het gebied van IA ingesteld. Deze functies vereisen geen afzonderlijke organisatorische entiteiten. Ze hebben afzonderlijke mandaten. Deze functies en de ermee samengaande verantwoordelijkheden kunnen echter in één organisatorische entiteit worden ondergebracht of geïntegreerd dan wel in meerdere organisatorische entiteiten worden gesplitst, als maar wordt vermeden dat belangen of taken botsen.

44. De IAA is verantwoordelijk voor:

45. De TEMPEST-overheid (hierna: „TA”) is ervoor verantwoordelijk dat CIS in overeenstemming is met het beleid en de richtlijnen van TEMPEST. Zij keurt tegenmaatregelen van TEMPEST voor installaties en producten goed voor de bescherming van EUCI tot een bepaald rubriceringniveau in haar operationele omgeving.

46. De overheid voor de goedkeuring van encryptieproducten (Crypto Approval Authority, hierna: „CAA”) is ervoor verantwoordelijk dat encryptieproducten voldoen aan het nationale cryptobeleid of het cryptobeleid van de Raad. De CAA verleent aan een encryptieproduct goedkeuring voor de bescherming van EUCI tot een bepaald rubriceringniveau in haar operationele omgeving. Wat de lidstaten betreft, is de CAA voorts verantwoordelijk voor het evalueren van encryptieproducten.

47. De cryptodistributieoverheid (Crypto Distribution Authority, hierna: „CDA”) is verantwoordelijk voor:

48. De homologatieoverheid (Security Accreditation Authority, hierna SAA) voor ieder systeem is verantwoordelijk voor:

49. De SAA van het SGR is verantwoordelijk voor de homologatie van alle CIS die binnen het SGR functioneren.

50. De bevoegde SAA van een lidstaat is verantwoordelijk voor de homologatie van CIS en componenten van CIS die binnen de bevoegdheid van die lidstaat functioneren.

51. Een gemeenschappelijk beveiligingshomologatieorgaan (hierna: „VAO”) is verantwoordelijk voor het accrediteren van CIS binnen de bevoegdheid van de IVA van het SGR en van de IVA van de lidstaten. Het bestaat uit een vertegenwoordiger van de IVA van iedere lidstaat en de vergaderingen worden bijgewoond door een vertegenwoordiger van de IVA van de Commissie. Andere entiteiten met een aansluiting op een CIS wordt verzocht de vergadering bij te wonen waarin dat systeem wordt besproken.

Het VAO wordt voorgezeten door een vertegenwoordiger van de IVA van het SGR. Het neemt besluiten met eenparigheid van stemmen van de IVA-vertegenwoordigers van instellingen, lidstaten en andere entiteiten met aansluitingen op het CIS. Het brengt periodiek verslag over zijn werkzaamheden uit aan het Beveiligingscomité en stelt dit in kennis van alle homologatieverklaringen.

52. De operationele IA-overheid voor ieder systeem is verantwoordelijk voor:

1. Deze bijlage bevat bepalingen ter uitvoering van artikel 11. De bijlage bevat algemene beveiligingsbepalingen die voor industriële of andere entiteiten gelden in precontractuele onderhandelingen en gedurende de levenscyclus van gerubriceerde opdrachten die het SGR gunt.

2. De Raad stelt richtsnoeren inzake industriële beveiliging vast waarin in het bijzonder uitvoerige vereisten worden geformuleerd inzake VMV’s, memoranda over de beveiligingsaspecten (MBA’s), bezoeken, overdracht en vervoer van EUCI.

3. Alvorens een aanbesteding uit te schrijven of een gerubriceerde opdracht te gunnen, bepaalt het SGR als aanbestedende instantie welke rubricering wordt gegeven aan informatie die aan inschrijvers en contractanten moeten worden verstrekt, en welke rubricering wordt gegeven aan informatie die de contractant zal genereren. Voor dat doel stelt het SGR een GBR op die bij de uitvoering van de opdracht moet worden gebruikt.

4. Voor het bepalen van de rubricering van de diverse onderdelen van een gerubriceerde opdracht gelden onderstaande beginselen:

5. De specifieke beveiligingseisen voor de opdracht worden beschreven in een MBA. Het MBA bevat in voorkomend geval de GBR en maakt integraal deel uit van een gerubriceerde opdracht of opdracht in onderaanneming.

6. Het MBA bevat bepalingen die de contractant en/of de subcontractant verplichten zich te houden aan de minimumbeveiligingsnormen in dit besluit. Niet-naleving van deze minimumnormen kan voldoende reden zijn voor opzegging van de opdracht.

7. Afhankelijk van het toepassingsgebied van programma’s of projecten waarvoor toegang tot of verwerking of opslag van EUCI nodig is, kan de aanbestedende instantie die het programma of het project zal beheren, specifieke PBI opstellen. De PBI moeten worden goedgekeurd door de NSA/DSA’s van de lidstaten of een andere bevoegde beveiligingsinstantie die deelneemt aan de PBI, en kunnen nadere beveiligingsvoorschriften bevatten.

8. Een VMV wordt verleend door de NSA of DSA of een andere bevoegde instantie van een lidstaat en toont overeenkomstig de nationale wetten en regelgeving aan dat een industriële of andere entiteit binnen haar vestigingen in staat is EUCI te beschermen op het vereiste rubriceringsniveau (CONFIDENTIEL UE/EU CONFIDENTIAL of SECRET UE/EU SECRET). Voordat aan een contractant of subcontractant of mogelijke contractant of subcontractant EUCI mag worden verstrekt of toegang tot EUCI mag worden verleend, wordt de machtiging overgelegd aan het SGR, als aanbestedende instantie.

9. Wanneer de betrokken NSA of DSA een VMV afgeeft, zal zij op zijn minst:

10. In voorkomend geval deelt het SGR, als aanbestedende instantie, de NSA/DSA of een andere bevoegde beveiligingsinstantie mee dat in de precontractuele fase of voor de uitvoering van de opdracht een VMV vereist is. Een VMV of een BMP wordt verlangd in de precontractuele fase waarin EUCI met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of SECRET UE/EU SECRET moet worden verstrekt in het stadium van de offertes.

11. De aanbestedende instantie kent geen gerubriceerde toe opdracht aan een geselecteerde inschrijver zonder van de NSA/DSA of een andere bevoegde beveiligingsinstantie van de lidstaat waar de contractant of subcontractant is geregistreerd, een bevestiging te hebben ontvangen dat er, indien zulks vereist is, een VMV is afgegeven.

12. De NSA/DSA of een andere bevoegde beveiligingsinstantie die een VMV heeft afgegeven brengt het SGR, de aanbestedende instantie, op de hoogte van wijzigingen die de VMV betreffen. Bij onderaanneming worden de NSA/DSA of een andere bevoegde beveiligingsinstantie op de hoogte gebracht.

13. Intrekking van een VMV door de NSA/DSA of andere bevoegde nationale beveiligingsinstantie biedt het SGR, de aanbestedende instantie, voldoende redenen om een gerubriceerde opdracht te beëindigen of een inschrijver uit te sluiten van mededinging.

14. Wanneer in de precontractuele fase EUCI wordt verstrekt aan een inschrijver, bevat de uitnodiging tot inschrijving een bepaling die de inschrijver die uiteindelijk geen offerte doet, of die niet wordt geselecteerd, verplicht alle gerubriceerde documenten binnen een bepaalde termijn terug te zenden.

15. Zodra een gerubriceerde opdracht of opdracht in onderaanneming is gegund, deelt het SGR, als aanbestedende instantie, de NSA/DSA of een andere bevoegde beveiligingsinstantie van de contractant of subcontractant de beveiligingsbepalingen van de gerubriceerde opdracht mee.

16. Wanneer zulke opdrachten aflopen, deelt het SGR, als aanbestedende dienst (en/of, bij onderaanneming, de NSA/DSA of een andere bevoegde beveiligingsinstantie, naargelang het geval) dit mee aan de NSA/DSA of een andere bevoegde beveiligingsinstantie van de lidstaat waar de contractant of subcontractant is geregistreerd.

17. Als algemene regel geldt dat de contractant of subcontractant alle EUCI die hij in zijn bezit heeft, na voltooiing van de gerubriceerde opdracht of onderaanneming moet terugbezorgen aan de aanbestedende instantie.

18. In het MBA worden specifieke bepalingen opgenomen voor het verwijderen van EUCI tijdens de uitvoering van een opdracht of bij de voltooiing ervan.

19. Wanneer de contractant of subcontractant gemachtigd is EUCI te houden na voltooiing van een opdracht, blijven de minimumnormen van dit besluit van toepassing en wordt de vertrouwelijkheid van EUCI door de contractant of subcontractant beschermd.

20. De voorwaarden waaronder een contractant een beroep kan doen op subcontractanten worden in de aanbesteding en de opdracht omschreven.

21. Een contractant krijgt van het SGR, de aanbestedende instantie, toestemming voordat hij delen van een gerubriceerde opdracht uitbesteedt aan een onderaannemer. Industriële of andere entiteiten die geregistreerd zijn in een land dat geen lidstaat van de Europese Unie is en geen informatiebeveiligingsovereenkomst met de Europese Unie heeft, mogen niet als subcontractant worden ingeschakeld.

22. Het is de verantwoordelijkheid van de contractant te garanderen dat alle onderaannemingsactiviteiten verlopen in overeenstemming met de minimumnormen van dit besluit en de contractant mag geen EUCI doorgeven aan een subcontractant zonder voorafgaande schriftelijke toestemming van de aanbestedende instantie.

23. Wat betreft EUCI die door de contractant of subcontractant wordt gegenereerd of verwerkt, oefent de aanbestedende instantie de rechten van de bron uit.

24. Wanneer het SGR of personeel van contractanten of subcontractanten voor de uitvoering van een gerubriceerde opdracht in elkaars ruimten toegang vragen tot als CONFIDENTIEL UE/EU CONFIDENTIAL of SECRET UE/EU SECRET gerubriceerde informatie, worden in overleg met de NSA/DSA’s of een andere bevoegde beveiligingsinstantie bezoeken georganiseerd. In het kader van specifieke projecten kunnen de NSA/DSA’s echter ook een procedure overeenkomen waarmee zulke bezoeken rechtstreeks kunnen worden georganiseerd.

25. Alle bezoekers beschikken over een passende BMP en hebben een „need-to-know” voor toegang tot de EUCI met betrekking tot de opdracht van het SGR.

26. Bezoekers krijgen uitsluitend toegang tot de EUCI die verband houdt met het doel van het bezoek.

27. Op de overdracht van EUCI met elektronische middelen zijn artikel 10 en bijlage IV van toepassing.

28. Op het vervoer van EUCI is bijlage III van toepassing, overeenkomstig de nationale wet- en regelgeving.

29. Wat het vervoer van gerubriceerd materiaal als vracht betreft, worden bij de opstelling van regeling inzake beveiliging de volgende beginselen toegepast:

30. EUCI wordt overgedragen aan contractanten en subcontractanten in derde staten overeenkomstig de beveiligingsmaatregelen die zijn overeengekomen door het SGR, als aanbestedende dienst, en de NSA/DSA van de derde staat in kwestie waar de contractant is geregistreerd.

31. Samen, waar nodig, met de NSA/DSA van de lidstaat, is het SGR, als aanbestedende instantie, op basis van contractuele bepalingen gerechtigd inspecties te verrichten van vestigingen van contractanten/subcontractanten om na te gaan of, zoals in de opdracht wordt vereist, de beveiligingsmaatregelen ter zake zijn getroffen voor de bescherming van EUCI van het niveau RESTREINT UE/EU RESTRICTED.

32. Voor zover dat nodig is volgens de nationale wet- en regelgeving, worden NSA’s/DSA’s of andere bevoegde beveiligingsinstanties door het SGR, als aanbestedende dienst, in kennis gesteld van opdrachten of opdrachten in onderaanneming die informatie met rubricering RESTREINT UE/EU RESTRICTED bevatten.

33. Een VMV of een BMP voor contractanten of subcontractanten en hun personeel is niet vereist voor opdrachten van het SGR, die als RESTREINT UE/EU RESTRICTED gerubriceerde informatie bevatten.

34. Het SGR bestudeert, als aanbestedende dienst, de reacties op de uitnodigingen tot inschrijving voor opdrachten waarvoor toegang tot als RESTREINT UE/EU RESTRICTED gerubriceerde informatie nodig is, ongeacht eventuele vereisten met betrekking tot VMV of BMP uit hoofde van nationale wet- en regelgeving.

35. De voorwaarden voor uitbesteding in onderaanneming door de contractant zijn in overeenstemming met het bepaalde in punt 21.

36. Wanneer een opdracht de verwerking van informatie met rubricering RESTREINT UE/EU RESTRICTED in een door een contractant geëxploiteerd CIS behelst, zorgt het SGR, als aanbestedende dienst, ervoor dat in het contract of de onderaanneming de nodige technische en administratieve eisen worden gespecificeerd met betrekking tot de homologatie van het CIS in overeenstemming met het ingeschatte risico, rekening houdend met alle belangrijke factoren. Hoe ver de homologatie van een dergelijke CIS reikt, wordt door de aanbestedende dienst en de betrokken NSA/DSA bepaald.

1. Deze bijlage bevat bepalingen ter uitvoering van artikel 13.

2. Wanneer de Raad bepaalt dat het nodig is om voor een lange termijn gerubriceerde informatie uit te wisselen,

overeenkomstig artikel 13, lid 2, en deel III en IV, op basis van een aanbeveling van het Beveiligingscomité.

3. Wanneer ten behoeve van een EVDB-operatie gegenereerde EUCI moet worden verstrekt aan derde staten of internationale organisaties die aan die operatie deelnemen, en wanneer geen van de in punt 2 bedoelde kaders bestaat, wordt de uitwisseling van EUCI met de bijdragende derde staat of internationale organisatie overeenkomstig deel V geregeld door:

4. Bij het ontbreken van een kader als bedoeld in de punten 2 en 3, en wanneer het besluit wordt genomen om EUCI op een uitzonderlijke ad-hocbasis vrij te geven aan een derde staat of een internationale organisatie conform afdeling VI, wordt de betrokken derde staat of de internationale organisatie om schriftelijke verzekering verzocht om te garanderen dat deze alle vrijgegeven EUCI zal beschermen overeenkomstig de grondbeginselen en minimumnormen in dit besluit.

5. Informatiebeveiligingsovereenkomsten bevatten de grondbeginselen en minimumnormen voor de uitwisseling van gerubriceerde informatie tussen de Europese Unie en een derde staat of internationale organisatie.

6. Informatiebeveiligingsovereenkomsten bevatten ook een technische uitvoeringsregeling, waarover overeenstemming moet worden bereikt tussen de bevoegde beveiligingsinstanties van de relevante EU-instellingen en de bevoegde beveiligingsinstantie van de derde staat of de internationale organisatie in kwestie. Deze regeling is afgestemd op het niveau van bescherming dat wordt geboden door de beveiligingsvoorschriften, -structuren en -procedures in de derde staat of binnen de internationale organisatie in kwestie. Ze worden goedgekeurd door het Beveiligingscomité.

7. Uit hoofde van een informatiebeveiligingsovereenkomst wordt geen EUCI uitgewisseld via elektronische middelen, tenzij daarin uitdrukkelijk is voorzien in de overeenkomst of de overeenkomstige technische uitvoeringsregeling.

8. Wanneer de Raad een informatiebeveiligingsovereenkomst sluit, wordt er bij elke partij een register aangewezen als het belangrijkste punt langs waar gerubriceerde informatie binnenkomt of uitgaat.

9. Ter beoordeling van de doeltreffendheid van de beveiligingsvoorschriften, -structuren en -procedures in de derde staat of binnen de internationale organisatie in kwestie, worden in overleg met de betrokken derde staat of internationale organisatie evaluatiebezoeken afgelegd. Zulke evaluatiebezoeken verlopen overeenkomstig de bepalingen in kwestie van bijlage III en houden een evaluatie in van:

10. Het team dat namens de Europese Unie een evaluatiebezoek aflegt, beoordeelt of de beveiligingsvoorschriften en -procedures in de derde staat of binnen de internationale organisatie in kwestie toereikend zijn voor de bescherming van EUCI op een gegeven niveau.

11. De bevindingen van die bezoeken worden vermeld in een verslag op basis waarvan het Beveiligingscomité het maximumniveau bepaalt van de EUCI die met de derde partij in kwestie op papier of in voorkomend geval in elektronische vorm mag worden uitgewisseld, alsook de specifieke voorwaarden voor uitwisseling met deze partij.

12. Alles zal in het werk worden gesteld om een volledig beveiligingsevaluatiebezoek af te leggen aan de derde staat of internationale organisatie in kwestie, voordat het Beveiligingscomité de uitvoeringsregeling goedkeurt, teneinde de aard en de doeltreffendheid van het bestaande beveiligingssysteem te bepalen. Mocht dit niet mogelijk zijn, dan krijgt het Beveiligingscomité van de dienst Beveiliging van het SGR een zo volledig mogelijk verslag, op basis van de informatie waarover deze beschikt, waarin het Beveiligingscomité wordt geïnformeerd over de toepasselijke beveiligingsvoorschriften en over de manier waarop de beveiliging in de derde staat of binnen de internationale organisatie in kwestie is georganiseerd.

13. Het verslag over het evaluatiebezoek of, bij gebreke daaraan, het in punt 12 bedoelde verslag wordt toegezonden aan het Beveiligingscomité, dat het bevredigend moet achten alvorens er daadwerkelijk EUCI aan de derde staat of de internationale organisatie in kwestie wordt vrijgegeven.

14. De bevoegde beveiligingsinstanties van de instellingen en organen van de Unie delen de derde staat of internationale organisatie mede vanaf welke datum de Unie bij machte is om uit hoofde van de overeenkomst EUCI vrij te geven, alsook tot welk maximumniveau de EUCI in papieren vorm of met elektronische middelen kan worden uitgewisseld.

15. Indien nodig worden follow-upevaluatiebezoeken verricht, meer bepaald als:

16. Zodra de informatiebeveiligingsovereenkomst van kracht is en er met de betrokken derde staat of internationale organisatie gerubriceerde informatie wordt uitgewisseld, kan het Beveiligingscomité besluiten het maximumniveau waarop EUCI op papier of in elektronische vorm mag worden uitgewisseld te wijzigen, met name naar aanleiding van een vervolgevaluatiebezoek.

17. Indien het nodig is om met derde staten of internationale organisaties voor een lange termijn informatie uit te wisselen waarvan de rubriceringsgraad als algemene regel niet hoger is dan RESTREINT UE/EU RESTRICTED, en wanneer het Beveiligingscomité heeft vastgesteld dat de partij in kwestie geen voldoende ontwikkeld beveiligingssysteem heeft om een informatiebeveiligingsovereenkomst te sluiten, mag de SG/HV, na goedkeuring door de Raad, namens het SGR een administratieve regeling treffen met de daarvoor aangewezen instanties van de derde staat of de internationale organisatie in kwestie.

18. Indien om dringende operationele redenen snel een kader voor de uitwisseling van gerubriceerde informatie moet worden opgezet, kan de Raad bij wijze van uitzondering besluiten dat er een administratieve regeling wordt getroffen voor de uitwisseling van informatie met een hogere rubriceringsgraad.

19. Een administratieve regeling heeft in de regel de vorm van een briefwisseling.

20. Een evaluatiebezoek als bedoeld in punt 9 wordt afgelegd en het verslag of, bij gebreke daarvan, het in punt 12 bedoelde verslag wordt toegezonden aan het Beveiligingscomité, dat het bevredigend moet achten alvorens er daadwerkelijk EUCI aan de derde staat of de internationale organisatie in kwestie wordt vrijgegeven.

21. Uit hoofde van een administratieve regeling wordt geen EUCI uitgewisseld via elektronische middelen, tenzij daarin uitdrukkelijk is voorzien in de regeling.

22. Deelname van derde staten of internationale organisaties aan EVDB-operaties worden geregeld bij kaderovereenkomsten inzake deelname. Deze overeenkomsten bevatten bepalingen betreffende de vrijgave van ten behoeve van EVDB-operaties gegenereerde EUCI aan de bijdragende derde staten of internationale organisaties. De hoogste rubriceringsgraad van EUCI die mag worden uitgewisseld, is RESTREINT UE/EU RESTRICTED voor burgerlijke EVDB-operaties en CONFIDENTIEL UE/EU CONFIDENTIAL voor militaire EVDB-operaties, tenzij anders is bepaald in het gemeenschappelijk optreden waarbij iedere EVDB-operatie wordt ingesteld.

23. Voor een specifieke EVDB-operatie gesloten ad-hocovereenkomsten inzake deelname bevatten bepalingen betreffende de vrijgave van ten behoeve van die operatie gegenereerde EUCI aan de bijdragende derde staat of internationale organisatie. De hoogste rubriceringsgraad van EUCI die mag worden uitgewisseld, is RESTREINT UE/EU RESTRICTED voor burgerlijke EVDB-operaties en CONFIDENTIEL UE/EU CONFIDENTIAL voor militaire EVDB-operaties, tenzij anders is bepaald in het gemeenschappelijk optreden waarbij iedere EVDB-operatie wordt ingesteld.

24. Indien er geen informatiebeveiligingsovereenkomst is gesloten en in afwachting van de sluiting van een overeenkomst inzake deelname kan de vrijgave van ten behoeve van de operatie gegenereerde EUCI aan een derde land of internationale organisatie die aan de operatie deelneemt, geregeld worden in een administratieve regeling waartoe de hoge vertegenwoordiger kan toetreden, of in een besluit tot ad-hocvrijgave overeenkomstig afdeling VI. EUCI wordt alleen uitgewisseld uit hoofde van een dergelijke regeling zolang de deelneming van de derde staat of internationale organisatie nog wordt overwogen. De hoogste rubriceringsgraad van EUCI die mag worden uitgewisseld, is RESTREINT UE/EU RESTRICTED voor burgerlijke EVDB-operaties en CONFIDENTIEL UE/EU CONFIDENTIAL voor militaire EVDB-operaties, tenzij anders is bepaald in het gemeenschappelijk optreden waarbij iedere EVDB-operatie wordt ingesteld.

25. Ten aanzien van gerubriceerde informatie die moeten worden opgenomen in kaderovereenkomsten inzake deelname, in ad-hocovereenkomsten inzake deelname en in ad hoc administratieve regelingen bedoeld in de punten 22 tot en met 24, wordt bepaald dat de derde staat of de internationale organisatie in kwestie ervoor zorgt dat het naar een operatie uitgezonden personeel EUCI zal beschermen overeenkomstig de beveiligingsvoorschriften van de Raad en overeenkomstig nadere instructies van de bevoegde instanties, waaronder de commandostructuur van de operatie.

26. Indien vervolgens een informatiebeveiligingsovereenkomst wordt gesloten tussen de Europese Unie en een bijdragende derde staat of internationale organisatie, vervangt de informatiebeveiligingsovereenkomst, wat betreft het uitwisselen en verwerken van EUCI, de bepalingen over de uitwisseling van gerubriceerde informatie als neergelegd in een eventuele kaderovereenkomst inzake deelname, ad-hocovereenkomst inzake deelname of ad hoc administratieve regeling.

27. Elektronische uitwisseling van EUCI wordt niet toegestaan op basis van een kaderovereenkomst inzake deelname, een ad-hocovereenkomst inzake deelname of een ad hoc administratieve regeling met een derde staat of een internationale organisatie, tenzij daarin in de overeenkomst of regeling in kwestie uitdrukkelijk wordt voorzien.

28. Ten behoeve van een EVDB-operatie gegenereerde EUCI mag worden bekendgemaakt aan personeel dat door derde staten of internationale organisaties bij die operatie gedetacheerd is, overeenkomstig de punten 22 tot en met 27. Wanneer aan dat personeel toegang tot EUCI wordt verleend in werkruimten of in CIS van een EVDB-operatie, moeten maatregelen worden getroffen (zoals registratie van bekendgemaakte EUCI) om het risico van verlies of compromittering te verkleinen. Dergelijke maatregelen worden opgesteld in de desbetreffende plannings- of missiedocumenten.

29. Indien er geen informatiebeveiligingsovereenkomst is gesloten, kan in geval van specifieke en onmiddellijke operationele noodzaak de vrijgave van EUCI aan de ontvangende staat op het grondgebied waarvan een EVDB-operatie wordt uitgevoerd, geregeld worden in een administratieve regeling waartoe de hoge vertegenwoordiger kan toetreden. In deze mogelijkheid wordt voorzien in het gemeenschappelijk optreden waarin de EVDB-operatie wordt vastgesteld. Onder dergelijke omstandigheden wordt alleen EUCI vrijgegeven die ten behoeve van de EVDB-operatie wordt gegenereerd en die niet hoger is gerubriceerd dan RESTREINT UE/EU RESTRICTED, tenzij in het besluit waarbij de EVDB-operatie wordt ingesteld een hogere rubriceringsgraad is opgenomen. In het kader van een dergelijke administratieve regeling dient de ontvangende staat zich ertoe te verbinden EUCI te beschermen overeenkomstig met minimumnormen die niet minder streng zijn dan die van dit besluit.

30. Indien er geen informatiebeveiligingsovereenkomst is gesloten, kan de vrijgave van EUCI aan de betrokken derde staten en internationale organisaties, andere dan die welke aan een GVDB-operatie deelnemen, geregeld worden in een administratieve regeling waartoe de hoge vertegenwoordiger kan toetreden. Indien nodig worden deze mogelijkheid, alsmede de voorwaarden waaronder daarvan gebruik kan worden gemaakt, nader gepreciseerd in het besluit waarbij de EVDB-operatie wordt opgezet. Onder dergelijke omstandigheden wordt alleen EUCI vrijgegeven die ten behoeve van de EVDB-operatie wordt gegenereerd en die niet hoger is gerubriceerd dan RESTREINT UE/EU RESTRICTED, tenzij in het besluit waarbij de EVDB-operatie wordt ingesteld een hogere rubriceringsgraad is vastgesteld. In het kader van een dergelijke administratieve regeling dient de betrokken derde staat of internationale organisatie zich ertoe te verbinden EUCI te beschermen overeenkomstig met minimumnormen die niet minder streng zijn dan die van dit besluit.

31. Er zijn geen uitvoeringsregelingen of evaluatiebezoeken vereist alvorens de bepalingen betreffende de vrijgave van EUCI in de context van de punten 22, 23 en 24 worden uitgevoerd.

32. Indien er geen kader bestaat overeenkomstig de afdelingen III tot en met V, en wanneer de Raad of een van zijn voorbereidende instanties vaststelt dat zich een uitzonderlijke noodzaak voordoet om EUCI vrij te geven aan een derde staat of een internationale organisatie, moet het SGR:

33. Indien het Beveiligingscomité aanbeveelt de EUCI vrij te geven, wordt de zaak voorgelegd aan het Comité van permanente vertegenwoordigers (Coreper), dat een besluit neemt over de vrijgave.

34. Indien het beveiligingscomité aanbeveelt de EUCI niet vrij te geven, worden:

35. Wanneer zulks passend wordt geacht en indien de bron vooraf schriftelijk toestemming verleent, kan het Coreper besluiten dat de gerubriceerde informatie slechts gedeeltelijk mag worden vrijgegeven of pas nadat zij een lagere rubricering heeft gekregen of gederubriceerd is, of dat de vrij te geven informatie wordt opgesteld zonder vermelding van de bron of de oorspronkelijke EU-rubricering.

36. Nadat tot vrijgave van EUCI is besloten, verzendt het SGR het betrokken document, met daarop een markering inzake de geschiktheid voor vrijgave die vermeldt aan welke derde staat of internationale organisatie het is vrijgegeven. Voorafgaand aan of op het moment van de daadwerkelijke vrijgave, zegt de derde partij in kwestie schriftelijk toe dat zij de EUCI die zij ontvangt, zal beschermen overeenkomstig de grondbeginselen en minimumnormen van dit besluit.

37. Indien er overeenkomstig punt 2 een kader bestaat voor de uitwisseling van gerubriceerde informatie met een derde staat of een internationale organisatie, neemt de Raad een besluit waarbij de SG/HV wordt gemachtigd om, met inachtneming van het beginsel inzake toestemming van de bron, EUCI vrij te geven aan de derde staat of internationale organisatie in kwestie. De secretaris-generaal kan deze machtiging delegeren aan hoge ambtenaren van het SGR.

38. Indien overeenkomstig punt 2, eerste streepje, een informatiebeveiligingsovereenkomst is afgesloten, kan de Raad een besluit nemen waarbij de hoge vertegenwoordiger gemachtigd wordt tot vrijgave van EUCI die haar oorsprong vindt in de Raad op het gebied van het gemeenschappelijk buitenlands en veiligheidsbeleid, na de instemming te hebben verkregen van de opsteller van daarin opgenomen bronnenmateriaal, aan de betrokken derde staat of internationale organisatie. De hoge vertegenwoordiger kan deze machtiging delegeren aan hoge ambtenaren van de EDEO of aan SVEU’s.

39. Indien er overeenkomstig punt 2 of punt 3 een kader bestaat voor de uitwisseling van gerubriceerde informatie met een derde staat of een internationale organisatie, wordt de hoge vertegenwoordiger gemachtigd om EUCI vrij te geven, overeenkomstig het gemeenschappelijk optreden waarbij de EVDB-operatie wordt opgezet en met inachtneming van het beginsel inzake toestemming van de bron. De hoge vertegenwoordiger kan deze machtiging delegeren aan hoge ambtenaren van de EDEO, aan bevelhebbers van EU-operaties, strijdkrachten of missies, of aan de hoofden van EU-missies.