27.5.2011   

NL

Publicatieblad van de Europese Unie

L 141/17


BESLUIT VAN DE RAAD

van 31 maart 2011

betreffende de beveiligingsvoorschriften voor de bescherming van gerubriceerde EU-informatie

(2011/292/EU)

DE RAAD VAN DE EUROPESE UNIE,

Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 240, lid 3,

Gezien Besluit 2009/937/EU van de Raad van 1 december 2009 houdende vaststelling van zijn reglement van orde (1), en met name artikel 24,

Overwegende hetgeen volgt:

(1)

Teneinde de werkzaamheden van de Raad op alle gebieden die de verwerking van geclassificeerde/gerubriceerde informatie (hierna: „gerubriceerde informatie”) vereisen, verder tot ontplooiing te brengen, is het passend een integraal beveiligingssysteem voor de bescherming van gerubriceerde informatie op te zetten dat de Raad, het secretariaat-generaal daarvan en de lidstaten bestrijkt.

(2)

Dit besluit moet worden toegepast telkens als de Raad, zijn voorbereidende instanties en het secretariaat-generaal van de Raad (hierna: „SGR”) gerubriceerde EU-informatie (hierna: „EUCI”) verwerken.

(3)

In overeenstemming met de nationale wet- en regelgeving en in de mate die voor het functioneren van de Raad vereist is, moeten de lidstaten, wanneer hun bevoegde autoriteiten, personeel of contractanten EUCI verwerken, voldoen aan dit besluit, zodat ieder ervan verzekerd is dat EUCI een gelijkwaardig beschermingsniveau krijgt.

(4)

De Raad en de Commissie zijn gehouden gelijkwaardige beveiligingsnormen toe te passen voor de bescherming van EUCI.

(5)

De Raad onderstreept het belang om, waar passend, het Europees Parlement en andere instellingen, organen of instanties van de Europese Unie te betrekken bij de beginselen, normen en regels voor de bescherming van gerubriceerde informatie die noodzakelijk zijn voor de bescherming van de belangen van de Unie en haar lidstaten.

(6)

De uit hoofde van titel V, hoofdstuk 2, van het Verdrag betreffende de Europese Unie (VEU) opgerichte organen en instanties van de Europese Unie, Europol en Eurojust passen in het kader van hun interne organisatie de in dit besluit vervatte basisbeginselen en minimumnormen voor de bescherming van EUCI toe, en zij doen dit in overeenstemming met de besluiten waarbij zij zijn opgericht.

(7)

De door de Raad vastgestelde beveiligingsvoorschriften voor de bescherming van EUCI worden bij crisisbeheersingsoperaties uit hoofde van titel V, hoofdstuk 2, VEU en door het daarbij betrokken personeel toegepast.

(8)

De speciale vertegenwoordigers van de Europese Unie en de leden van hun teams passen de door de Raad aangenomen beveiligingsvoorschriften voor de bescherming van EUCI toe.

(9)

Dit besluit laat de artikelen 15 en 16 van het Verdrag betreffende de werking van de Europese Unie (VWEU) en de instrumenten ter uitvoering daarvan onverlet.

(10)

Dit besluit laat de bestaande werkwijzen van de lidstaten inzake het informeren van hun nationale parlementen over de werkzaamheden van de Unie onverlet,

HEEFT HET VOLGENDE BESLUIT VASTGESTELD:

Artikel 1

Doel, toepassingsgebied en definities

1.   Bij dit besluit worden de grondbeginselen en minimumnormen voor beveiliging vastgesteld ten behoeve van de bescherming van EUCI.

2.   Deze grondbeginselen en minimumnormen gelden voor de Raad en het SGR en moeten door de lidstaten, in overeenstemming met hun respectieve nationale wet- en regelgeving, worden nageleefd opdat ieder ervan verzekerd kan zijn, dat een gelijkwaardig niveau van bescherming voor EUCI wordt geboden.

3.   Voor de toepassing van dit besluit gelden de definities in aanhangsel A.

Artikel 2

Definitie van EUCI, rubriceringen en merkingen

1.   „Gerubriceerde EU-informatie” (EUCI): informatie of materiaal met een bepaalde EU-rubricering, waarvan openbaarmaking zonder machtiging de belangen van de Europese Unie of van een of meer van haar lidstaten in meerdere of mindere mate kan schaden.

2.   Voor EUCI worden de volgende rubriceringen gehanteerd:

a)   TRÈS SECRET UE/EU TOP SECRET: informatie en materiaal waarvan de openbaarmaking zonder machtiging de wezenlijke belangen van de Europese Unie of van één of meer van haar lidstaten uitzonderlijk ernstig kan schaden;

b)   SECRET UE/EU SECRET: informatie en materiaal waarvan de openbaarmaking zonder machtiging de wezenlijke belangen van de Europese Unie of van één of meer van haar lidstaten ernstig kan schaden;

c)   CONFIDENTIEL UE/EU CONFIDENTIAL: informatie en materiaal waarvan de openbaarmaking zonder machtiging de wezenlijke belangen van de Europese Unie of van één of meer van haar lidstaten kan schaden;

d)   RESTREINT UE/EU RESTRICTED: informatie en materiaal waarvan de openbaarmaking zonder machtiging nadelig kan zijn voor de belangen van de Europese Unie of van één of meer van haar lidstaten.

3.   EUCI krijgt een rubricering overeenkomstig lid 2. Daarnaast kan zij merkingen krijgen om de gebieden waarop zij betrekking heeft aan te duiden, de opsteller te identificeren, de verspreiding of het gebruik te beperken of de geschiktheid voor vrijgave aan te geven.

Artikel 3

Het beheer van het rubriceren

1.   De bevoegde autoriteiten zorgen ervoor dat EUCI naar behoren wordt gerubriceerd en duidelijk als gerubriceerde informatie wordt aangemerkt, en dat de rubriceringsgraad ervan slechts zolang als nodig wordt behouden.

2.   EUCI wordt niet lager gerubriceerd of gederubriceerd en de in artikel 2, lid 3, bedoelde merkingen worden niet gewijzigd of verwijderd zonder voorafgaande schriftelijke toestemming van de opsteller.

3.   De Raad stelt een beveiligingsbeleid inzake het genereren van EUCI vast, met inbegrip van een praktische rubriceringsgids.

Artikel 4

Bescherming van gerubriceerde informatie

1.   EUCI wordt beschermd in overeenstemming met dit besluit.

2.   De houder van eender welke EUCI is verantwoordelijk voor de bescherming ervan in overeenstemming met dit besluit.

3.   Wanneer lidstaten gerubriceerde informatie met een nationale rubricering in de structuren of netwerken van de Europese Unie invoeren, beschermen de Raad en het SGR die informatie in overeenstemming met de voorschriften voor EUCI op het beschermingsniveau dat volgens de in aanhangsel B vervatte concordantietabel van rubriceringen overeenstemt met het nationale niveau.

4.   Het is mogelijk dat grote hoeveelheden of een compilatie van EUCI een beschermingsniveau vereisen dat met een hogere rubriceringsgraad overeenstemt.

Artikel 5

Het beheer van veiligheidsrisico's

1.   Risico's voor EUCI worden beheerd als een proces. Dit proces wordt gericht op het bepalen van de bekende veiligheidsrisico's, het vaststellen van beveiligingsmaatregelen om deze risico's tot een aanvaardbaar niveau te beperken conform de grondbeginselen en minimumnormen van dit besluit en op toepassing van deze maatregelen in overeenstemming met het begrip „verdediging in de diepte” (hierna: „defense in depth”) zoals omschreven in aanhangsel A. De doeltreffendheid van deze maatregelen wordt voortdurend geëvalueerd.

2.   De beveiligingsmaatregelen ter bescherming van EUCI gedurende haar gehele levenscyclus zijn evenredig met de rubricering, de vorm en de omvang van de informatie of het materiaal, de locatie en constructie van faciliteiten waar de EUCI in is ondergebracht en de lokaal beoordeelde dreiging of kwaadwillige en/of criminele activiteiten, met inbegrip van spionage, sabotage en terrorisme.

3.   In de rampenplannen wordt rekening gehouden met de noodzaak om EUCI in noodsituaties te beschermen, teneinde toegang en openbaarmaking zonder machtiging of aantasting van de integriteit of beschikbaarheid te voorkomen.

4.   In de bedrijfscontinuïteitsplannen worden preventie- en herstelmaatregelen opgenomen om de gevolgen van ernstige storingen of incidenten voor de verwerking en opslag van EUCI zo gering mogelijk te houden.

Artikel 6

Uitvoering van dit besluit

1.   Indien nodig keurt de Raad, op aanbeveling van het Beveiligingscomité, een beveiligingsbeleid goed dat maatregelen voor de uitvoering van dit besluit omvat.

2.   Het Beveiligingscomité kan op zijn niveau beveiligingsrichtlijnen aannemen ter aanvulling of ondersteuning van dit besluit en het door de Raad goedgekeurde beveiligingsbeleid.

Artikel 7

Persoonsgerelateerde beveiliging

1.   Persoonsgerelateerde beveiliging is de toepassing van maatregelen die ervoor moeten zorgen dat toegang tot EUCI uitsluitend wordt verleend aan personen die:

een „noodzaak tot kennisname” hebben,

in voorkomend geval op het vereiste veiligheidsniveau zijn onderzocht, en

zijn geïnstrueerd over hun verantwoordelijkheden.

2.   De procedures inzake veiligheidsmachtigingen voor personen zijn van dien aard dat kan worden bepaald of een persoon, gelet op diens loyaliteit en betrouwbaarheid, toegang kan worden verleend tot EUCI.

3.   Alle personen bij het SGR die op grond van hun taken toegang tot EUCI met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of hoger moeten hebben, dienen een veiligheidsmachtiging van het vereiste niveau te verkrijgen alvorens hun toegang tot die EUCI kan worden verleend. De procedure inzake veiligheidsmachtiging voor ambtenaren en andere personeelsleden van het SGR is beschreven in bijlage I.

4.   Het in artikel 14, lid 3, bedoelde personeel van de lidstaten dat op grond van zijn taken toegang tot EUCI met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of hoger moet hebben, dient een veiligheidsmachtiging op het vereiste niveau te verkrijgen of anderszins uit hoofde van zijn functie daartoe naar behoren te zijn gemachtigd, in overeenstemming met de nationale wet- en regelgeving, alvorens het toegang tot die EUCI mag worden verleend.

5.   Voordat hun toegang tot EUCI wordt verleend, en vervolgens met regelmatige tussenpozen, worden alle personen geïnstrueerd over hun verantwoordelijkheden ter bescherming van EUCI overeenkomstig dit besluit, en dienen zij deze verantwoordelijkheden te bevestigen.

6.   De bepalingen ter uitvoering van dit artikel staan in bijlage I.

Artikel 8

Fysieke beveiliging

1.   Fysieke beveiliging is de toepassing van fysieke en technische beschermingsmaatregelen om toegang zonder machtiging tot EUCI te voorkomen.

2.   Met de fysieke beveiligingsmaatregelen wordt beoogd het binnendringen met list of geweld te verhinderen, acties waarvoor geen toestemming is verleend af te schrikken, tegen te houden en op te sporen en op basis van het „noodzaak tot kennisname”-beginsel een onderscheid tussen personeelsleden mogelijk te maken wat betreft de toegang tot EUCI. Deze maatregelen worden op een risicobeheerproces gebaseerd.

3.   Fysieke beveiligingsmaatregelen worden ingesteld voor alle locaties, gebouwen, bureaus, ruimten, andere zones waarin EUCI wordt verwerkt of opgeslagen, alsmede zones waar communicatie- en informatiesystemen, zoals gedefinieerd in artikel 10, lid 2, zijn ondergebracht.

4.   Zones waar EUCI met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of hoger wordt opgeslagen, worden overeenkomstig bijlage II als beveiligde zones vastgesteld en door de bevoegde beveiligingsautoriteit goedgekeurd.

5.   Er worden alleen goedgekeurde apparatuur en voorzieningen gebruikt voor de bescherming van EUCI met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of hoger.

6.   De bepalingen ter uitvoering van dit artikel staan in bijlage II.

Artikel 9

Beheer van gerubriceerde informatie

1.   Het beheer van gerubriceerde informatie is het toepassen van administratieve maatregelen voor het controleren van EUCI gedurende haar gehele levenscyclus teneinde de in de artikelen 7, 8 en 10 bedoelde maatregelen aan te vullen, en daarbij het al dan niet opzettelijk compromitteren of verliezen van die informatie te helpen voorkomen, opsporen en herstellen. Die maatregelen hebben met name betrekking op het genereren, registreren, kopiëren, vertalen, vervoeren en vernietigen van EUCI.

2.   Informatie met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of hoger worden vóór verspreiding en bij ontvangst geregistreerd voor beveiligingsdoeleinden. De bevoegde autoriteiten in het SGR en in de lidstaten zetten voor dit doel een registratiesysteem op. Informatie met rubricering TRÈS SECRET UE/EU TOP SECRET worden in speciaal daarvoor bestemde registers geregistreerd.

3.   De diensten en werkruimten waar EUCI wordt verwerkt of opgeslagen, worden regelmatig geïnspecteerd door de bevoegde beveiligingsautoriteit.

4.   EUCI wordt als volgt tussen de diensten en werkruimten buiten fysiek beveiligde zones overgebracht:

a)

EUCI wordt over het algemeen overgedragen met elektronische middelen, beschermd door encryptieproducten die overeenkomstig artikel 10, lid 6, zijn goedgekeurd;

b)

wanneer geen gebruik wordt gemaakt van de onder a) genoemde middelen, wordt EUCI vervoerd:

i)

op elektronische dragers (zoals usb-sticks, cd's, harde schijven) beschermd door encryptieproducten die overeenkomstig artikel 10, lid 6, zijn goedgekeurd; of

ii)

in alle overige gevallen, op de wijze die door de bevoegde beveiligingsautoriteit is voorgeschreven in overeenstemming met de desbetreffende beschermingsmaatregelen in bijlage III.

5.   De bepalingen ter uitvoering van dit artikel staan in bijlage III.

Artikel 10

Bescherming van EUCI die wordt verwerkt in communicatie- en informatiesystemen

1.   Informatieborging (hierna: „Information Assurance — IA”) op het gebied van communicatie- en informatiesystemen is het vertrouwen dat die systemen de erin opgenomen informatie zullen beschermen en zullen functioneren zoals nodig en wanneer nodig, onder de controle van legitieme gebruikers. Doeltreffende IA waarborgt passende niveaus van vertrouwelijkheid, integriteit, beschikbaarheid, onweerlegbaarheid en authenticiteit. IA is op een risicobeheerproces gebaseerd.

2.   „Communicatie- en informatiesystemen” zijn systemen waarmee informatie in elektronische vorm kan worden verwerkt. Een communicatie- en informatiesysteem omvat alle functionele bestanddelen die voor het functioneren ervan vereist zijn, waaronder infrastructuur, organisatie, personeel en informatiebronnen. Dit besluit geldt voor communicatie- en informatiesystemen die EUCI verwerken (hierna: „CIS”).

3.   CIS verwerken EUCI overeenkomstig het concept van IA.

4.   Alle CIS worden aan een homologatieprocedure onderworpen. Met de homologatie wordt beoogd de verzekering te verkrijgen dat alle toepasselijke beveiligingsmaatregelen zijn getroffen en dat het niveau van bescherming van de EUCI en van het CIS overeenkomstig dit besluit voldoende wordt geacht. In de homologatieverklaring worden de maximaal toegelaten rubriceringsgraad van de informatie die door een CIS mag worden verwerkt, en de voorwaarden daarvoor vastgesteld.

5.   CIS die informatie met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL en hoger verwerken, worden zodanig beschermd dat de gerubriceerde informatie niet kunnen worden gecompromitteerd door onopzettelijke elektromagnetische emissies (hierna: „Tempest-beveiligingsmaatregelen”).

6.   Wanneer EUCI door encryptieproducten wordt beschermd, worden deze producten als volgt goedgekeurd:

a)

de vertrouwelijkheid van informatie met rubricering SECRET UE/EU SECRET en hoger wordt beschermd door encryptieproducten die door de Raad, als overheid voor de goedkeuring van encryptieproducten (hierna: „Crypto Approval Authority — CAA”), op voorstel van het Beveiligingscomité zijn goedgekeurd;

b)

de vertrouwelijkheid van informatie met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of RESTREINT UE/EU RESTRICTED wordt beschermd door encryptieproducten die door de secretaris-generaal van de Raad (hierna: „de secretaris-generaal”), als CAA, op voorstel van het Beveiligingscomité zijn goedgekeurd.

Niettegenstaande punt b), kan de vertrouwelijkheid van EUCI met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of RESTREINT UE/EU RESTRICTED binnen nationale systemen van de lidstaten worden beschermd door encryptieproducten die door de CAA van een lidstaat zijn goedgekeurd.

7.   Tijdens de overdracht van EUCI met elektronische middelen moeten goedgekeurde encryptieproducten worden gebruikt. Niettegenstaande deze eis kunnen specifieke procedures worden toegepast in noodgevallen of in geval van specifieke technische configuraties als bepaald in bijlage IV.

8.   De bevoegde instanties van het SGR en van de lidstaten stellen respectievelijk de volgende IA-functies in:

a)

een IA-overheid (hierna: „IAA”);

b)

een Tempest-overheid (hierna: „TA”);

c)

een CAA (hierna: „CAA”);

d)

een overheid voor de verdeling van encryptieproducten (hierna: „CDA — Crypto Distribution Authority”).

9.   Voor ieder systeem stellen de bevoegde instanties van het SGR en van de lidstaten respectievelijk de volgende functies in:

a)

een homologatieoverheid;

b)

een operationele IAA.

10.   De bepalingen ter uitvoering van dit artikel staan in bijlage IV.

Artikel 11

Industriële beveiliging

1.   Industriële beveiliging is de toepassing van maatregelen om de bescherming van EUCI door contractanten of subcontractanten tijdens precontractuele onderhandelingen en tijdens de volledige looptijd van gerubriceerde opdrachten te waarborgen. In het kader van dergelijke opdrachten mag geen toegang worden verleend tot informatie met rubricering TRÈS SECRET UE/EU TOP SECRET.

2.   Het SGR kan opdrachten plaatsen voor taken die toegang tot of verwerking of opslag van EUCI behelzen of vereisen door industriële of andere entiteiten die zijn ingeschreven in een lidstaat of in een derde staat die een overeenkomst heeft gesloten of een administratieve regeling heeft getroffen overeenkomstig artikel 12, lid 2, onder a) of b).

3.   Het SGR zorgt er als aanbestedende overheid voor dat aan de in dit besluit en in de gerubriceerde opdrachten vervatte minimumnormen voor industriële beveiliging is voldaan bij het plaatsen van gerubriceerde opdrachten bij industriële of andere entiteiten.

4.   De nationale veiligheidsautoriteit (National Security Authority, hierna: „NSA”), de aangewezen veiligheidsautoriteit (Designated Security Authority, hierna: „DSA”) of een andere bevoegde overheidsinstantie van elke lidstaat draagt er, in de mate dat zulks mogelijk is volgens de nationale wet- en regelgeving, zorg voor dat contractanten en subcontractanten die op hun grondgebied zijn geregistreerd, alle maatregelen nemen die nodig zijn voor de bescherming van EUCI tijdens precontractuele onderhandelingen en de uitvoering van een gerubriceerde opdracht.

5.   De NSA, de DSA of een andere bevoegde overheidsinstantie van iedere lidstaat zorgt er, overeenkomstig de nationale wet- en regelgeving, voor dat in de lidstaat in kwestie geregistreerde contractanten of subcontractanten die deelnemen aan gerubriceerde opdrachten of onderaanneming waarvoor toegang vereist is tot informatie met de rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of SECRET UE/EU SECRET binnen hun gebouwen, tijdens de uitvoering van de opdrachten of in de precontractuele fase beschikken over een veiligheidsmachtiging voor een vestiging (Facility Security Clearance, hierna: „FSC”) in overeenstemming met de dienovereenkomstige rubricering.

6.   Personeel van contractanten of subcontractanten dat voor de uitvoering van een gerubriceerde opdracht toegang moet hebben tot als CONFIDENTIEL UE/EU CONFIDENTIAL of SECRET UE/EU SECRET gerubriceerde informatie krijgt van de NSA/DSA of een andere bevoegde overheidsinstantie een veiligheidsmachtiging (VM) overeenkomstig de nationale wet- en regelgeving en de minimumbeveiligingsvoorschriften van bijlage I.

7.   De bepalingen ter uitvoering van dit artikel staan in bijlage V.

Artikel 12

Uitwisseling van gerubriceerde informatie met derde staten en internationale organisaties

1.   Wanneer de Raad bepaalt dat het noodzakelijk is EUCI uit te wisselen met een derde staat of een internationale organisatie, wordt daartoe een adequaat kader opgezet.

2.   Om dat kader tot stand te brengen en wederzijdse voorschriften voor de bescherming van de uitgewisselde gerubriceerde informatie vast te stellen,

a)

sluit de Raad overeenkomsten betreffende beveiligingsprocedures voor de uitwisseling en bescherming van gerubriceerde informatie (hierna: „overeenkomsten voor de beveiliging van informatie”); of

b)

kan de secretaris-generaal administratieve regelingen treffen overeenkomstig punt 17 van bijlage VI wanneer de rubriceringsgraad van vrij te geven EUCI in het algemeen niet hoger is dan RESTREINT UE/EU RESTRICTED.

3.   De in lid 2 bedoelde overeenkomsten voor de beveiliging van informatie of administratieve regelingen bevatten bepalingen om ervoor te zorgen dat, wanneer derde staten of internationale organisaties EUCI ontvangen, die informatie wordt beschermd in overeenstemming met hun rubriceringsgraad en volgens minimumnormen die niet minder streng zijn dan die welke in dit besluit zijn vastgesteld.

4.   Het besluit tot vrijgave van EUCI, afkomstig van de Raad, aan een derde staat of een internationale organisatie wordt per geval door de Raad genomen, naargelang van de aard en de inhoud van die informatie, de noodzaak dat de ontvanger er kennis van neemt en de baat die de Europese Unie bij de vrijgave heeft. Indien de gerubriceerde informatie waarvan de vrijgave gewenst wordt, niet afkomstig zijn van de Raad, vraagt het SGR vóór vrijgave schriftelijke toestemming aan de opsteller. Indien de opsteller niet kan worden vastgesteld, neemt de Raad de verantwoordelijkheid over.

5.   Er worden evaluatiebezoeken geregeld om de doeltreffendheid van de door een derde staat of een internationale organisatie genomen maatregelen ter beveiliging van de verstrekte of uitgewisselde EUCI te verifiëren.

6.   De bepalingen ter uitvoering van dit artikel staan in bijlage VI.

Artikel 13

Inbreuken op de beveiligingvoorschriften en compromitteren van EUCI

1.   Een inbreuk op de beveiligingsvoorschriften is het resultaat van iemands handeling of nalatigheid, in strijd met de beveiligingsvoorschriften van dit besluit.

2.   Compromitteren van EUCI doet zich voor wanneer, tengevolge van een inbreuk op de beveiligingsvoorschriften, zulke informatie geheel of gedeeltelijk zijn bekendgemaakt aan onbevoegden.

3.   Inbreuken of vermoedelijke inbreuken op de beveiligingsvoorschriften worden onmiddellijk aan de bevoegde veiligheidsautoriteit gemeld.

4.   Wanneer bekend is of er redenen zijn om aan te nemen dat EUCI gecompromitteerd is of verloren is gegaan, doet de bevoegde veiligheidsautoriteit overeenkomstig de desbetreffende wetten en voorschriften het nodige om:

a)

de opsteller daarvan in kennis te stellen;

b)

ervoor te zorgen dat de zaak wordt onderzocht door personeel dat niet rechtstreeks met de inbreuk te maken heeft, teneinde de feiten vast te stellen;

c)

de eventuele schade te beoordelen die aan de belangen van de Europese Unie of van de lidstaten is berokkend;

d)

herhaling te voorkomen; en

e)

de bevoegde instanties in kennis te stellen van de stappen die zijn ondernomen.

5.   Eenieder die verantwoordelijk is voor een inbreuk op de beveiligingsvoorschriften van dit besluit, stelt zich bloot aan disciplinaire maatregelen, overeenkomstig de geldende regels en voorschriften. Eenieder die verantwoordelijk is voor het compromitteren of verliezen van EUCI, stelt zich bloot aan disciplinaire maatregelen en/of strafvervolging, in overeenstemming met de geldende wetten, regels en voorschriften.

Artikel 14

Verantwoordelijkheid voor de uitvoering

1.   De Raad neemt de nodige maatregelen om de algehele samenhang bij de toepassing van dit besluit te verzekeren.

2.   De secretaris-generaal neemt de nodige maatregelen om ervoor te zorgen dat bij de verwerking of de opslag van EUCI en andere gerubriceerde informatie dit besluit in de werkruimten van de Raad en binnen het SGR, inclusief zijn verbindingsbureaus in derde staten, wordt toegepast door de ambtenaren en andere personeelsleden van het SGR, het bij het SGR gedetacheerd personeel en de contractanten van het SGR.

3.   De lidstaten nemen in overeenstemming met hun respectieve nationale wet- en regelgeving alle passende maatregelen om ervoor te zorgen dat bij de verwerking of de opslag van EUCI dit besluit wordt nageleefd door:

a)

het personeel van de permanente vertegenwoordigingen van de lidstaten bij de Europese Unie, en de leden van de nationale delegaties die bijeenkomsten van de Raad of zijn voorbereidende instanties bijwonen, of deelnemen aan andere werkzaamheden van de Raad;

b)

ander personeel van de nationale overheden van de lidstaten, met inbegrip van bij die overheden gedetacheerd personeel, hetzij op het grondgebied van de lidstaten hetzij daarbuiten;

c)

andere personen in de lidstaten die uit hoofde van hun functie naar behoren gemachtigd zijn en dus toegang hebben tot EUCI; en

d)

contractanten van de lidstaten, hetzij op het grondgebied van de betrokken lidstaat, hetzij daarbuiten.

Artikel 15

Organisatie van de beveiliging binnen de Raad

1.   In het kader van zijn rol bij het waarborgen van de algehele samenhang bij de toepassing van dit besluit, hecht de Raad zijn goedkeuring aan:

a)

de in artikel 12, lid 2, onder a), bedoelde overeenkomsten;

b)

besluiten houdende toestemming tot vrijgave van EUCI aan derde staten en internationale organisaties;

c)

een door de secretaris-generaal voorgesteld en door het Beveiligingscomité aanbevolen jaarlijks inspectieprogramma voor de diensten en werkruimten van de lidstaten en van de uit hoofde van titel V, hoofdstuk 2, VEU opgerichte organen en instanties van de Europese Unie alsmede van Europol en Eurojust, en evaluatiebezoeken aan derde staten en internationale organisaties om de doeltreffendheid van de ter bescherming van EUCI genomen maatregelen te verifiëren; en

d)

het in artikel 6, lid 1, bedoelde beveiligingsbeleid.

2.   De secretaris-generaal is de veiligheidsautoriteit van het SGR. In die hoedanigheid doet de secretaris-generaal het volgende:

a)

het beveiligingsbeleid van de Raad uitvoeren en bewaken;

b)

met de NSA's van de lidstaten samenwerken op het gebied van alle beveiligingskwesties met betrekking tot de bescherming van gerubriceerde informatie die relevant zijn voor de werkzaamheden van de Raad;

c)

de ambtenaren en andere personeelsleden van het SGR EU-PVM's verstrekken overeenkomstig artikel 7, lid 3, alvorens hun toegang kan worden verleend tot informatie met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of hoger;

d)

in voorkomend geval, onderzoek gelasten naar werkelijk of vermoedelijk compromitteren of verlies van gerubriceerde informatie die in het bezit of afkomstig van de Raad zijn, en de bevoegde veiligheidsautoriteiten om hulp te verzoeken bij die onderzoeken;

e)

periodieke inspecties verrichten van de regelingen inzake beveiliging ter bescherming van gerubriceerde informatie in de werkruimten van het SGR;

f)

periodieke inspecties verrichten van de regelingen inzake beveiliging ter bescherming van EUCI bij de uit hoofde van titel V, hoofdstuk 2, VEU opgerichte organen en instanties van de Europese Unie alsmede Europol en Eurojust, alsmede bij crisisbeheersingsoperaties uit hoofde van titel V, hoofdstuk 2, VEU en door de speciale vertegenwoordigers van de Europese Unie (hierna: „SVEU's”) en de leden van hun teams;

g)

gezamenlijk en in overeenstemming met de betrokken NSA periodieke inspecties verrichten van de regelingen inzake beveiliging ter bescherming van EUCI in de diensten en werkruimten van de lidstaten;

h)

beveiligingsmaatregelen coördineren met de bevoegde autoriteiten van de lidstaten die verantwoordelijk zijn voor de bescherming van gerubriceerde informatie en, waar van toepassing, derde staten of internationale organisaties, onder meer met betrekking tot de aard van de bedreigingen voor de veiligheid van EUCI en de middelen om zich daartegen te beschermen;

i)

de in artikel 12, lid 2, onder b), bedoelde administratieve regelingen treffen; en

j)

initiële en periodieke evaluatiebezoeken aan derde staten of internationale organisaties afleggen om de doeltreffendheid te verifiëren van de maatregelen die ter bescherming van de aan hen verstrekte of met hen uitgewisselde EUCI zijn genomen.

De Dienst beveiliging van het SGR staat ter beschikking van de SG/HV om te helpen bij het vervullen van deze verantwoordelijkheden.

3.   Voor de toepassing van artikel 14, lid 3, moeten de lidstaten:

a)

een NSA aanwijzen die verantwoordelijk is voor de regelingen inzake beveiliging ter bescherming van EUCI opdat:

i)

EUCI die in het bezit is van nationale departementen, entiteiten of organisaties, hetzij publiek hetzij particulier, in het binnenland of het buitenland, overeenkomstig dit besluit beschermd zijn;

ii)

de regelingen inzake beveiliging ter bescherming van EUCI periodiek worden geïnspecteerd;

iii)

alle personen die in dienst zijn van een nationale overheid of van een contractant waaraan toegang kan worden verleend tot informatie met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of hoger, passend zijn gescreend of anderszins uit hoofde van hun functie naar behoren zijn gemachtigd in overeenstemming met de nationale wet- en regelgeving;

iv)

de beveiligingsprogramma's worden opgezet die noodzakelijk zijn om het risico dat EUCI wordt gecompromitteerd of verloren raakt, tot een minimum te beperken;

v)

beveiligingskwesties met betrekking tot EUCI worden gecoördineerd met andere bevoegde nationale instanties, zoals de in dit besluit genoemde instanties; en

vi)

antwoorden worden gegeven op passende verzoeken om een veiligheidsonderzoek van uit hoofde van titel V, hoofdstuk 2, VEU opgerichte organen en instanties van de Europese Unie, alsmede in het kader van crisisbeheersingsoperaties uit hoofde van titel V, hoofdstuk 2, VEU en van de SVEU's en hun teams.

De NSA's zijn opgenomen in aanhangsel C;

b)

ervoor zorgen dat hun bevoegde autoriteiten aan hun regering, en via deze aan de Raad, informatie en advies verstrekken over de aard van de bedreigingen voor de beveiliging van EUCI en de middelen om zich daartegen te beschermen.

Artikel 16

Het Beveiligingscomité

1.   Hierbij wordt een Beveiligingscomité ingesteld. Het onderzoekt en beoordeelt alle beveiligingskwesties die binnen het toepassingsgebied van dit besluit vallen, en doet in voorkomend geval aanbevelingen aan de Raad.

2.   Het Beveiligingscomité bestaat uit vertegenwoordigers van de NSA's van de lidstaten en de vergaderingen worden bijgewoond door een vertegenwoordiger van de Commissie en van de Europese dienst voor extern optreden. Het wordt voorgezeten door de secretaris-generaal of diens aangewezen vertegenwoordiger. Het komt volgens instructies van de Raad bijeen, of op verzoek van de secretaris-generaal of van een NSA.

Vertegenwoordigers van uit hoofde van titel V, hoofdstuk 2, VEU opgerichte organen en instanties van de Europese Unie, alsmede van Europol en Eurojust kunnen worden uitgenodigd wanneer kwesties die hen betreffen op de agenda staan.

3.   Het Beveiligingscomité organiseert zijn werkzaamheden zodanig dat het aanbevelingen over specifieke beveiligingsgebieden kan verstrekken. Het stelt een deelgebied in voor deskundigen in IA-kwesties en in voorkomend geval andere deskundigendeelgebieden. Het stelt mandaten voor deze deskundigendeelgebieden vast en ontvangt verslagen over de activiteiten daarvan met, waar nodig, aanbevelingen aan de Raad.

Artikel 17

Vervanging van voorgaande besluiten

1.   Besluit 2001/264/EG van de Raad van 19 maart 2001 tot vaststelling van beveiligingsvoorschriften van de Raad (2) wordt ingetrokken en vervangen door dit besluit.

2.   Alle in overeenstemming het Besluit 2001/264/EG gerubriceerde EUCI blijft beschermd overeenkomstig de bepalingen dienaangaande in onderhavig besluit.

Artikel 18

Inwerkingtreding

Dit besluit treedt in werking op de dag van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Gedaan te Brussel, 31 maart 2011.

Voor de Raad

De voorzitter

VÖLNER P.


(1)  PB L 325 van 11.12.2009, blz. 35.

(2)  PB L 101 van 11.4.2001, blz. 1.


BIJLAGEN

BIJLAGE I

Personeelsgerelateerde beveiliging

BIJLAGE II

Fysieke beveiliging

BIJLAGE III

Beheer van gerubriceerde informatie

BIJLAGE IV

Bescherming van in CIS verwerkte EUCI

BIJLAGE V

Industriële beveiliging

BIJLAGE VI

Uitwisseling van gerubriceerde informatie met derde staten en internationale organisaties

BIJLAGE I

PERSONEELSGERELATEERDE BEVEILIGING

I.   INLEIDING

1.

Deze bijlage bevat bepalingen ter uitvoering van artikel 7. Ze legt in het bijzonder de criteria vast aan de hand waarvan kan worden bepaald of aan een persoon, rekening houdend met zijn loyaliteit en betrouwbaarheid, toegang tot gerubriceerde EU-informatie (hierna: „EUCI”) mag worden verleend, alsook de onderzoeks- en administratieve procedures die daartoe moeten worden gevolgd.

2.

Overal in deze bijlage, behalve wanneer het onderscheid relevant is, verwijst de term „veiligheidsmachtiging voor personen” naar een nationale veiligheidsmachtiging voor personen (hierna: „nationale PVM”) en/of een EU-veiligheidsmachtiging voor personen (hierna: „EU-PVM”), als gedefinieerd in aanhangsel A.

II.   HET VERLENEN VAN TOEGANG TOT EUCI

3.

Een persoon wordt alleen toegang tot als CONFIDENTIEL UE/ EU CONFIDENTIAL of hoger gerubriceerde informatie verleend indien:

a)

zijn noodzaak tot kennisname is vastgesteld;

b)

hem een PVM voor het passende niveau is verleend of hij anderszins uit hoofde van zijn functie daartoe naar behoren is gemachtigd in overeenstemming met de nationale wet- en regelgeving; en

c)

hij is geïnstrueerd over de beveiligingsvoorschriften en -procedures voor de bescherming van EUCI en hij zijn verantwoordelijkheden in verband met de bescherming van dergelijke informatie heeft bevestigd.

4.

Elke lidstaat en het SGR bepalen in hun structuren de functies waarvoor toegang tot informatie met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of hoger is vereist en verlangen daartoe een PVM voor het passende niveau.

III.   EISEN INZAKE VEILIGHEIDSMACHTING VOOR PERSONEN

5.

De nationale veiligheidsoverheden (hierna: „NSA's”) of andere bevoegde nationale autoriteiten zijn er, na ontvangst van een naar behoren gemotiveerd verzoek, verantwoordelijk voor dat veiligheidsonderzoeken worden uitgevoerd naar hun onderdanen voor wie toegang tot als CONFIDENTIEL UE/EU CONFIDENTIAL of hoger gerubriceerde informatie vereist is. De onderzoeksnormen zijn in overeenstemming met de nationale wet- en regelgeving.

6.

Mocht de betrokkene op het grondgebied van een andere lidstaat of een derde staat verblijven, dan verzoeken de bevoegde nationale instanties om bijstand van de bevoegde instantie van de staat van verblijf, in overeenstemming met de nationale wet- en regelgeving. De lidstaten helpen elkaar bij het verrichten van veiligheidsonderzoeken in overeenstemming met de nationale wet- en regelgeving.

7.

Wanneer de nationale wet- en regelgeving zulks toestaan, mogen NSA's of andere bevoegde nationale autoriteiten onderzoeken doen naar niet-onderdanen die toegang vragen tot als CONFIDENTIEL UE/EU CONFIDENTIAL of hoger gerubriceerde informatie. De onderzoeksnormen zijn in overeenstemming met de nationale wet- en regelgeving.

Criteria voor veiligheidsonderzoek

8.

De loyaliteit en de betrouwbaarheid van een persoon ten behoeve van het verkrijgen van een PVM voor toegang tot als CONFIDENTIEL UE/EU CONFIDENTIAL of hoger gerubriceerde informatie worden vastgesteld door middel van een veiligheidsonderzoek. De bevoegde nationale autoriteit maakt een algemene beoordeling aan de hand van de bevindingen van een dergelijk veiligheidsonderzoek. Een negatieve bevinding is op zich niet noodzakelijkerwijs een reden om een PVM te weigeren. De belangrijkste criteria die voor dat doel worden gehanteerd, moeten — voor zover mogelijk krachtens de nationale wet- en regelgeving — betrekking hebben op de vraag of die persoon:

a)

enigerlei handeling heeft gepleegd of getracht te plegen op het vlak van spionage, terrorisme, sabotage, verraad of opruiing, dan wel hiertoe heeft samengezworen met een of meer anderen of een of meer anderen heeft geholpen bij of aangezet tot het plegen van dergelijke handelingen;

b)

zich inlaat of heeft ingelaten met spionnen, terroristen of saboteurs, dan wel met personen die redelijkerwijs als zodanig verdacht zijn, of zich inlaat of heeft ingelaten met vertegenwoordigers van organisaties of buitenlandse mogendheden, met inbegrip van buitenlandse inlichtingendiensten, die de veiligheid van de Europese Unie en/of de lidstaten kunnen bedreigen, tenzij deze contacten werden toegestaan in het kader van officiële werkzaamheden;

c)

lid is of is geweest van enige organisatie die met gewelddadige, subversieve of andere onwettige middelen onder meer tracht de regering van een lidstaat omver te werpen, de grondwettelijke orde van een lidstaat te veranderen of de vorm of het beleid van de regering ervan te veranderen;

d)

voorstander is of voorstander is geweest van een onder c) omschreven organisatie of nauwe banden heeft gehad met leden van een dergelijke organisatie;

e)

opzettelijk substantiële informatie heeft achtergehouden, verkeerd heeft weergegeven of vervalst, in het bijzonder op het gebied van de veiligheid, dan wel opzettelijk heeft gelogen bij het invullen van een veiligheidsvragenlijst voor het personeel of tijdens een veiligheidsgesprek;

f)

veroordeeld is wegens een strafbaar feit of strafbare feiten;

g)

aan alcohol verslaafd is of is geweest, drugs gebruikt of heeft gebruikt, dan wel geneesmiddelen misbruikt of heeft misbruikt;

h)

gedrag vertoont of heeft vertoond dat hem mogelijk kwetsbaar kan maken voor druk of chantage;

i)

in woorden of daden blijk heeft gegeven van oneerlijkheid, gebrek aan loyaliteit of onbetrouwbaarheid;

j)

ernstig of herhaaldelijk inbreuk gemaakt heeft op de beveiligingsvoorschriften, dan wel getracht heeft of erin geslaagd is niet toegestane activiteiten ten aanzien van communicatie- en informatiesystemen uit te voeren;

k)

gevoelig kan zijn voor druk (bv. door het bezit van één of meer niet-EU-nationaliteiten of via verwanten of anderen in zijn omgeving die op hun beurt kwetsbaar zouden kunnen zijn voor buitenlandse inlichtingendiensten, terreurgroepen of andere subversieve organisaties, of personen wier doelstellingen de veiligheidsbelangen van de Europese Unie en/of de lidstaten kunnen bedreigen).

9.

In voorkomend geval en rekening houdend met de nationale wet- en regelgeving, kan de financiële en medische achtergrond van een persoon tijdens het veiligheidsonderzoek eveneens als relevant worden beschouwd.

10.

In voorkomend geval en rekening houdend met de nationale wet- en regelgeving, kunnen het karakter, het gedrag en de levenssituatie van de echtgeno(o)t(e), partner of naaste familieleden tijdens het veiligheidsonderzoek eveneens als relevant worden beschouwd.

Onderzoeksvereisten voor toegang tot EUCI

Initiële toekenning van een PVM

11.

De eerste PVM voor toegang tot informatie met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL en SECRET UE/EU SECRET is gebaseerd op een veiligheidsonderzoek dat ten minste de jongste vijf jaar bestrijkt, dan wel de periode vanaf de leeftijd van 18 jaar tot heden, indien deze korter is, en dat onderstaande omvat:

a)

het invullen van een nationale vragenlijst voor veiligheid van personen voor het niveau van EUCI waartoe de betrokkene toegang kan vragen. De ingevulde vragenlijst wordt toegestuurd aan de bevoegde veiligheidsautoriteit;

b)

identiteitscontrole/staatsburgerschap/nationaliteitssituatie — de datum, de geboorteplaats en de identiteit van de betrokkene moeten worden gecontroleerd. De situatie in verband met burgerschap en/of nationaliteit in heden en verleden van de betrokkene moet worden vastgesteld. Dit houdt onder meer een beoordeling in van iedere vorm van kwetsbaarheid voor druk vanuit het buitenland, bijvoorbeeld naar aanleiding van een vroeger verblijf of contacten in het verleden; en

c)

verificatie van wat nationaal en lokaal over de betrokkene is geboekstaafd — de informatie van het nationale veiligheidsregister en het nationale strafregister, indien voorhanden, en/of andere, vergelijkbare overheids- en politie-informatie moeten worden gecontroleerd. Ook de informatie van wetshandhavingsinstanties met een wettelijke bevoegdheid in de plaats waar de betrokkene heeft verbleven of in loondienst is geweest, moet worden gecontroleerd.

12.

De eerste PVM voor toegang tot informatie met rubricering TRÈS SECRET UE/EU TOP SECRET vindt plaats op basis van een veiligheidsonderzoek dat ten minste de jongste tien jaar bestrijkt, dan wel de periode vanaf de leeftijd van 18 jaar tot heden, indien deze korter is. Indien gesprekken worden gevoerd als bedoeld onder e) hieronder, moet het onderzoek ten minste de afgelopen zeven jaar bestrijken, dan wel de periode vanaf de leeftijd van 18 jaar tot heden, indien deze korter is. Naast de in punt 8 bedoelde criteria worden, voordat een PVM op het niveau TRÈS SECRET UE/EU TOP SECRET wordt verleend, ook onderstaande elementen onderzocht voor zover mogelijk volgens nationale wet- en regelgeving; en deze elementen kunnen ook voorafgaand aan de verlening van een PVM op het niveau van CONFIDENTIEL UE/EU CONFIDENTIAL of SECRET UE/EU SECRET worden onderzocht, indien nationale wet- en regelgeving zulks voorschrijven:

a)

financiële situatie — er dient informatie te worden vergaard over de financiële situatie van de betrokkene om na te gaan of er naar aanleiding van ernstige financiële moeilijkheden kwetsbaarheid voor buitenlandse of binnenlandse druk bestaat of om een verklaring te vinden voor eventuele welstand van onduidelijke herkomst;

b)

onderwijs — er dient informatie te worden vergaard over de onderwijsachtergrond van de betrokkene op scholen, universiteiten en andere onderwijsinstellingen die hij sinds zijn 18e verjaardag, of gedurende een periode die de onderzoekende instantie passend acht, heeft bezocht;

c)

werkkring — er dient informatie te worden vergaard betreffende de huidige en vroegere werkzaamheden van de betrokkene, waarbij verwezen wordt naar bronnen als bescheiden over zijn arbeidsverleden, rapporten over zijn prestaties en doelmatigheid bij het werk, alsmede werkgevers of meerderen;

d)

militaire dienst — indien van toepassing: de legerdienst van de betrokkene alsmede de aard van het ontslag daaruit, dienen te worden nagegaan; en

e)

sollicitatiegesprekken — indien de nationale wetgeving hierin voorziet en zulks toelaat, wordt met de betrokkene een gesprek of een aantal gesprekken gevoerd. Er worden ook gesprekken gevoerd met andere personen die, gezien hun positie, een onafhankelijk oordeel over de achtergrond van de betrokkene en over zijn activiteiten, loyaliteit en betrouwbaarheid kunnen verstrekken. Indien het in de betreffende lidstaat gebruikelijk is de onderzochte persoon om referenties te vragen, dient met de betreffende personen een gesprek plaats te vinden, tenzij er goede redenen zijn om zulks niet te doen.

13.

Indien nodig en in overeenstemming met de nationale wet- en regelgeving kan extra onderzoek worden verricht om alle relevante informatie die beschikbaar is over een persoon te kunnen uitwerken en alle negatieve informatie te kunnen bevestigen dan wel ontkrachten.

Hernieuwing van PVM's

14.

Na de initiële toekenning van een PVM wordt deze, mits de betrokkene ononderbroken bij een nationale overheid of het SGR in dienst is geweest en nog steeds toegang tot EUCI dient te hebben, opnieuw bezien met het oog op hernieuwing; dit gebeurt met tussenpauzes van ten hoogste vijf jaar voor een machtiging voor het niveau TRÈS SECRET UE/EU TOP SECRET en tien jaar voor een machtiging voor het niveau SECRET UE/EU SECRET en CONFIDENTIEL UE/EU CONFIDENTIAL, welke periode ingaat op de datum van de kennisgeving van de uitkomst van het laatste veiligheidsonderzoek waarop deze gebaseerd zijn. Alle veiligheidsonderzoeken met het oog op de hernieuwing van een PVM hebben betrekking op de periode die sinds het vorige onderzoek is verstreken.

15.

Voor de hernieuwing van PVM's worden de elementen in de punten 11 en 12 onderzocht.

16.

Verzoeken om hernieuwing worden tijdig ingediend, rekening houdend met de gemiddelde termijn die voor veiligheidsonderzoeken nodig is. Wanneer de bevoegde NSA of een andere bevoegde nationale instantie evenwel het betrokken verzoek om hernieuwing en de overeenkomstige vragenlijst voor veiligheid van personen voor het verstrijken van de PVM heeft ontvangen, maar het noodzakelijke veiligheidsonderzoek niet voor het verstrijken van de PVM is afgerond, kan de bevoegde nationale overheid de geldigheid van de bestaande PVM met maximaal twaalf maanden verlengen, wanneer de nationale wet- en regelgeving zulks toestaan. Indien het veiligheidsonderzoek aan het einde van deze periode van twaalf maanden nog niet is voltooid, dient de betrokkene taken uit te oefenen waarvoor geen PVM vereist is.

PVM-procedures in het SGR

17.

Voor ambtenaren en andere personeelsleden van het SGR zendt de veiligheidsautoriteit van het SGR de ingevulde vragenlijst voor de veiligheid van personen toe aan de NSA van de lidstaat waarvan de betrokkene onderdaan is, met het verzoek een veiligheidsonderzoek uit te voeren voor het niveau van EUCI waartoe toegang van de betrokkene noodzakelijk zal zijn.

18.

Indien een persoon een EU-PVM heeft aangevraagd, en het SGR de beschikking krijgt over informatie over de betrokkene die voor het veiligheidsonderzoek van belang is, stelt het SGR de desbetreffende NSA hiervan in overeenstemming met de regels en voorschriften ter zake in kennis.

19.

Nadat het veiligheidsonderzoek is afgesloten, brengt betrokken NSA de veiligheidsautoriteit van het SGR op de hoogte van de uitkomst ervan, met gebruikmaking van het door het Beveiligingscomité voor de briefwisseling voorgeschreven standaardmodel.

a)

Wanneer het veiligheidsonderzoek tot de zekerheid leidt dat er geen informatie bekend is die doet twijfelen aan de loyaliteit en betrouwbaarheid van de betrokkene, kan het tot aanstelling bevoegde gezag van het SGR hem een EU-PVM geven en tot een bepaalde datum toegang verlenen tot EUCI tot op het relevante niveau.

b)

Wanneer het veiligheidsonderzoek niet tot die zekerheid leidt, stelt het tot aanstelling bevoegde gezag van het SGR de betrokkene daarvan in kennis; deze kan vragen om door het tot aanstelling bevoegde gezag te worden gehoord. Het tot aanstelling bevoegde gezag mag de bevoegde NSA alle aanvullende verduidelijkingen vragen die de overheid, volgens de nationale wet- en regelgeving, mag verstrekken. Indien de uitkomst wordt bevestigd, wordt geen EU-PVM verleend.

20.

Voor het veiligheidsonderzoek en de resultaten van het veiligheidsonderzoek gelden de in de betrokken lidstaat van toepassing zijnde wet- en regelgeving, ook wat de mogelijkheden tot beroep betreft. Tegen besluiten van het tot aanstelling bevoegde gezag van het SGR kan beroep worden aangetekend in overeenstemming met het statuut van de ambtenaren van de Europese Unie en de regeling die van toepassing is op de andere personeelsleden van de Europese Unie, vastgesteld in Verordening (EEG, Euratom, EGKS) nr. 259/68 (1) (hierna: „het statuut”).

21.

De waarborg waarop een EU-PVM gebaseerd is, op voorwaarde dat de machtiging geldig blijft, bestrijkt elke taak die de betrokkene in het SGR of de Commissie op zich neemt.

22.

Indien de periode waarin een persoon in dienst is, niet begint binnen twaalf maanden na de kennisgeving van de uitkomst van het veiligheidsonderzoek aan het tot aanstelling bevoegde gezag van het SGR, of indien de betrokkene zijn dienst voor een periode van twaalf maanden heeft onderbroken en gedurende die tijd niet bij het SGR of in een functie bij een nationale overheid van een lidstaat heeft gewerkt, wordt deze uitkomst naar de betrokken NSA verwezen voor de bevestiging dat die nog steeds geldig en passend is.

23.

Indien een persoon een EU-PVM is verleend, en het SGR de beschikking krijgt over informatie dat er in verband met die persoon een veiligheidsrisico bestaat, stelt het SGR de desbetreffende NSA hiervan in kennis, overeenkomstig de regels en voorschriften ter zake. Wanneer de NSA het SGR in kennis stelt van de intrekking van een overeenkomstig punt 19, onder a), gegeven verzekering voor een persoon die een geldige EU PVM heeft, kan het tot aanstelling bevoegde gezag van het SGR de NSA elke toelichting vragen die de instantie volgen de nationale wet- en regelgeving mag verstrekken. Indien de negatieve informatie wordt bevestigd, wordt de EU-PVM ingetrokken en wordt de betrokkene de toegang tot EUCI en tot functies waar dergelijke toegang mogelijk is of waar hij de veiligheid in gevaar zou kunnen brengen, ontzegd.

24.

Elke beslissing om een EU-PVM van een ambtenaar of ander personeelslid van het SGR in te trekken, alsook waar nodig de redenen daarvoor, worden meegedeeld aan de betrokkene, die kan vragen om door het tot aanstelling bevoegde gezag te worden gehoord. Voor door een NSA verstrekte informatie gelden de in de betrokken lidstaat van toepassing zijnde wetten en voorschriften, ook wat de mogelijkheden tot beroep betreft. Tegen besluiten van het tot aanstelling bevoegde gezag van het SGR kan beroep worden aangetekend in overeenstemming met het statuut.

25.

Nationale deskundigen die bij het SGR worden gedetacheerd voor een functie waarvoor een EU-PVM is vereist, leggen een geldige nationale PVM voor toegang tot EUCI aan de veiligheidsautoriteit van het SGR over alvorens hun taak aan te vatten.

Aantekeningen van PVM's

26.

De aantekeningen van nationale PVM's en EU-PVM's die met het oog op toegang tot EUCI worden verleend, worden door respectievelijk de lidstaat en het SGR bewaard. Deze aantekeningen bevatten ten minste het niveau van de EUCI waartoe een persoon toegang kan worden verleend (CONFIDENTIEL UE/EU CONFIDENTIAL of hoger), de datum van verlening van de PVM en de geldigheidsduur ervan.

27.

De bevoegde veiligheidsautoriteit kan een certificaat van veiligheidsmachtiging (VM) afgeven met daarop het niveau van de EUCI waartoe de persoon toegang kan worden verleend (CONFIDENTIEL UE/EU CONFIDENTIAL of hoger), de geldigheidsduur van de betrokken nationale PVM voor toegang tot EUCI of EU-PVM en de datum waarop de geldigheid van het certificaat zelf afloopt.

Vrijstellingen van de eis inzake veiligheidsmachtiging voor personen

28.

De toegang tot EUCI door personen in de lidstaten die uit hoofde van hun functie daartoe naar behoren zijn gemachtigd, wordt vastgesteld in overeenstemming met de nationale wet- en regelgeving. Die personen worden geïnstrueerd over hun beveiligingsverplichtingen in verband met de bescherming van EUCI.

IV.   VEILIGHEIDSOPLEIDING EN VEILIGHEIDSBESEF

29.

Alle personen aan wie een PVM is verleend, bevestigen schriftelijk dat zij kennis dragen van hun plichten met betrekking tot de bescherming van EUCI en van de gevolgen indien EUCI wordt gecompromitteerd. Een aantekening van deze schriftelijke bevestiging wordt naargelang van het geval door de lidstaat of het SGR bewaard.

30.

Eenieder die gemachtigd is om toegang te hebben tot of die moet omgaan met EUCI, dient vanaf het begin bewust te worden gemaakt van en regelmatig geïnstrueerd te worden over de dreigingen voor de veiligheid en moet iedere toenadering of activiteit die hij verdacht of ongewoon vindt, onmiddellijk aan de desbetreffende veiligheidsinstanties melden.

31.

Alle personen die geen taken meer vervullen waarvoor toegang tot EUCI vereist is, dienen er bewust van te worden gemaakt dat hun plichten met betrekking tot de bescherming van EUCI blijven bestaan, en dienen zulks in voorkomend geval schriftelijk te bevestigen.

V.   UITZONDERLIJKE OMSTANDIGHEDEN

32.

Wanneer de nationale wet- en regelgeving het toestaan, kunnen nationale ambtenaren op grond van een door een bevoegde instantie van een lidstaat afgegeven PVM voor toegang tot nationale gerubriceerde informatie in afwachting van de afgifte van een nationale PVM voor toegang tot EUCI, tijdelijk toegang krijgen tot EUCI tot het niveau in de concordantietabel in aanhangsel B, wanneer deze tijdelijke toegang in het belang van de Europese Unie noodzakelijk is. De NSA's laten het Beveiligingscomité weten in welke gevallen de nationale wet- en regelgeving een dergelijke tijdelijke toegang tot EUCI niet toestaan.

33.

Het tot aanstelling bevoegde gezag van het SGR kan om dringende en naar behoren gemotiveerde redenen van dienstbelang en in afwachting van de voltooiing van het volledige veiligheidsonderzoek, na raadpleging van de NSA van de lidstaat waarvan de betrokkene onderdaan is en afhankelijk van de uitkomst van een eerste controle of er geen negatieve informatie bekend is, ambtenaren en andere personeelsleden van het SGR voor een specifieke functie tijdelijk toegang tot EUCI verlenen. Deze tijdelijke toegang wordt voor maximaal zes maanden verleend en geldt niet voor informatie met rubricering TRÈS SECRET UE/EU TOP SECRET. Alle personen aan wie tijdelijke toegang is verleend, bevestigen schriftelijk dat zij kennis dragen van hun plichten met betrekking tot de bescherming van EUCI en van de gevolgen indien EUCI wordt gecompromitteerd. Een aantekening van deze schriftelijke bevestiging wordt door het SGR bewaard.

34.

Wanneer een persoon een functie krijgt toegewezen waarvoor een PVM nodig is van één niveau hoger dan die waarover hij op dat moment beschikt, kan deze nieuwe functie op voorlopige basis worden toegewezen, mits:

a)

de dwingende noodzaak van toegang tot EUCI van een hogere rubriceringsgraad schriftelijk door de meerdere van de betrokkene wordt bevestigd;

b)

de toegang wordt beperkt tot specifieke onderdelen van de EUCI die nodig zijn voor de functie;

c)

de persoon in het bezit is van een geldige nationale PVM of EU-PVM;

d)

er stappen zijn ondernomen om machtiging voor het voor de functie vereiste toegangsniveau te verkrijgen;

e)

uit controles door de bevoegde instantie genoegzaam is gebleken dat de betrokkene de beveiligingsvoorschriften niet ernstig of herhaaldelijk heeft overtreden;

f)

de toewijzing van de functie aan de betrokkene is goedgekeurd door de bevoegde instantie; en

g)

van de verleende uitzondering een aantekening, met inbegrip van een beschrijving van de informatie waartoe toegang werd verleend, wordt bewaard door het verantwoordelijke register of subregister.

35.

Deze procedure wordt gebruikt voor eenmalige toegang tot EUCI met een rubriceringsgraad die één niveau hoger ligt dan waarvoor de betrokkene is gescreend. Deze procedure mag niet bij herhaling worden gebruikt.

36.

In zeer uitzonderlijke omstandigheden, zoals bij missies in een vijandige omgeving of gedurende perioden van groeiende internationale spanning, wanneer noodmaatregelen zulks vereisen, vooral wanneer er levens kunnen worden gered, kunnen de lidstaten en de SG/HV of de plaatsvervangend secretaris-generaal schriftelijk toegang tot informatie met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of SECRET UE/EU SECRET verlenen aan personen die niet in het bezit zijn van de vereiste PVM, zulks onder de voorwaarde dat die toestemming absoluut noodzakelijk is en er geen gerede twijfel bestaat aan de loyaliteit en de betrouwbaarheid van de betrokkene. Een aantekening van deze toestemming, met een beschrijving van de informatie waartoe toegang werd verleend, wordt bewaard.

37.

In geval van informatie met rubricering TRÈS SECRET UE/EU TOP SECRET dienen dergelijke noodmaatregelen beperkt te blijven tot onderdanen van de Europese Unie aan wie toegang is verleend tot het nationale equivalent van TRÈS SECRET UE/EU TOP SECRET of tot informatie met rubricering SECRET UE/EU SECRET.

38.

Het Beveiligingscomité wordt op de hoogte gesteld van gevallen waarin de in de punten 36 en 37 genoemde procedure is gevolgd.

39.

Wanneer de wetten en voorschriften van een lidstaat strengere regels opleggen ten aanzien van tijdelijke machtigingen, voorlopige toewijzingen, eenmalige toegang of toegang in dringende gevallen tot gerubriceerde informatie, worden de in dit deel beschreven procedures alleen gevolgd binnen de beperkingen in de nationale wet- en regelgeving ter zake.

40.

Het Beveiligingscomité krijgt een jaarlijks verslag over het gebruik van de in dit deel beschreven procedures.

VI.   HET BIJWONEN VAN BIJEENKOMSTEN IN DE RAAD

41.

Met inachtneming van punt 28 kunnen personen aan wie is opgedragen deel te nemen aan vergaderingen van de Raad of van voorbereidende instanties van de Raad waarin als CONFIDENTIEL UE/EU CONFIDENTIAL of hoger gerubriceerde informatie worden besproken, dit alleen doen als de PVM-status van de betrokkene wordt bevestigd. Voor gedelegeerden dient een CPVM of ander bewijs van een PVM door de desbetreffende instanties aan de Dienst beveiliging van het SGR te worden toegezonden, of in uitzonderingsgevallen door de betrokken gedelegeerde te worden overgelegd. Indien van toepassing kan een geconsolideerde lijst van namen worden gebruikt, met het relevante bewijs van PVM.

42.

Wanneer om veiligheidsredenen een nationale PVM voor toegang tot EUCI wordt ingetrokken van een persoon die voor zijn werk moet deelnemen aan vergaderingen van de Raad of van voorbereidende instanties van de Raad, stelt de bevoegde instantie het SGR daarvan op de hoogte.

VII.   MOGELIJKE TOEGANG TOT EUCI

43.

Wanneer personen moeten werken in omstandigheden waarin zij mogelijkerwijs toegang hebben tot als CONFIDENTIEL UE/EU CONFIDENTIAL of hoger gerubriceerde informatie, dienen zij passend te zijn gescreend of voortdurend te worden begeleid.

44.

Koeriers en bewakings- en begeleidingspersoneel dienen voor de passende rubriceringsgraad te zijn gescreend of anderszins een passend onderzoek te hebben ondergaan overeenkomstig de nationale wet- en regelgeving, te worden geïnstrueerd over de beveiligingsprocedures ter bescherming van EUCI en over hun plicht om de hun toevertrouwde EUCI te beschermen.


(1)  PB L 56 van 4.3.1968, blz. 1.

BIJLAGE II

FYSIEKE BEVEILIGING

I.   INLEIDING

1.

Deze bijlage bevat bepalingen ter uitvoering van artikel 8. Er worden minimumvoorschriften vastgesteld voor de fysieke beveiliging van locaties, gebouwen, bureaus, ruimten en andere zones waar EUCI wordt verwerkt en opgeslagen, evenals zones waar CIS zijn ondergebracht.

2.

Fysieke beveiligingsmaatregelen zijn bedoeld om de toegang zonder machtiging tot EUCI te voorkomen door:

a)

ervoor te zorgen dat EUCI op passende wijze wordt verwerkt en opgeslagen;

b)

op basis van het „noodzaak tot kennisname”-beginsel en, in voorkomend geval, van hun veiligheidsmachtiging een onderscheid tussen personeelsleden mogelijk te maken wat de toegang tot EUCI betreft;

c)

acties waarvoor geen toestemming is verleend af te schrikken, tegen te houden en op te sporen; en

d)

het door list of geweld binnendringen te verhinderen of te vertragen.

II.   VEREISTEN EN MAATREGELEN INZAKE FYSIEKE BEVEILIGING

3.

De fysieke beveiligingsmaatregelen worden geselecteerd op basis van de dreigingsbeoordeling door de bevoegde instanties. Het SGR en de lidstaten passen ieder een risicobeheerprocedure toe ter bescherming van EUCI in hun gebouwen, teneinde ervoor te zorgen dat een fysieke bescherming wordt geboden die overeenstemt met het ingeschatte risico. In de risicobeheerprocedure wordt rekening gehouden met alle relevante factoren, met name:

a)

de rubriceringsgraad van de EUCI;

b)

de vorm en omvang van de EUCI, waarbij in aanmerking moet worden genomen dat grote hoeveelheden of een compilatie van EUCI de toepassing van striktere beschermingsmaatregelen kunnen vergen;

c)

de omgeving en de structuur van de gebouwen of zones waar EUCI ondergebracht is; en

d)

de beoordeelde dreiging die uitgaat van inlichtingendiensten die zich richten op de Europese Unie of de lidstaten en van sabotage, terrorisme en subversieve of andere criminele activiteiten.

4.

De bevoegde veiligheidsautoriteit stelt aan de hand van het begrip „defence in depth” vast welke passende combinatie van fysieke beveiligingsmaatregelen moet worden getroffen. Deze maatregelen kunnen zijn:

a)

een afsluiting: een fysieke barrière ter verdediging van de grens van een zone die bescherming behoeft;

b)

indringerdetectiesystemen (intrusion detection systems, hierna: „IDS”): een IDS kan worden gebruikt om het beveiligingsniveau van de afsluiting te verhogen, of in lokalen en gebouwen om beveiligingspersoneel te vervangen of te ondersteunen;

c)

toegangscontrole: er kan toegangscontrole worden uitgeoefend voor een locatie, een gebouw of gebouwen op een locatie of voor zones of ruimten in een gebouw. De controle kan elektronisch of elektromechanisch worden verricht, door beveiligingspersoneel en/of een receptionist, of met enig ander fysiek hulpmiddel;

d)

beveiligingspersoneel: beveiligingspersoneel dat een opleiding heeft gekregen, onder toezicht werkt en, in voorkomend geval, een gedegen veiligheidsonderzoek heeft ondergaan, kan onder meer worden ingezet om personen af te schrikken die overwegen heimelijk binnen te dringen;

e)

gesloten tv-circuit (hierna: „CCTV”): een gesloten tv-circuit kan door beveiligingspersoneel worden gebruikt om incidenten en IDS-alarmen op grote locaties of aan de afsluitingen te controleren;

f)

beveiligingsverlichting: beveiligingsverlichting kan worden gebruikt om mogelijke indringers af te schrikken en biedt daarnaast de noodzakelijke verlichting voor effectieve bewaking die rechtstreeks door beveiligingspersoneel dan wel onrechtstreeks via een gesloten tv-circuit geschiedt; en

g)

alle andere passende fysieke maatregelen om ongeoorloofde toegang te ontmoedigen of op te sporen of om verlies of beschadiging van EUCI te voorkomen.

5.

De bevoegde instantie kan worden gemachtigd om controles uit te voeren bij het in- en uitgaan, ter afschrikking van het ongeoorloofd binnenbrengen van materiaal in, of het ongeoorloofd verwijderen van EUCI uit een locatie of gebouw.

6.

Als het risico bestaat dat EUCI van buitenaf wordt waargenomen, zelfs per ongeluk, worden passende maatregelen genomen om dit risico te voorkomen.

7.

Voor nieuwe voorzieningen worden fysieke beveiligingsvereisten en functiespecificaties reeds bij het plannen en ontwerpen vastgesteld. Voor bestaande voorzieningen worden fysieke beveiligingsvereisten in de hoogst mogelijke mate uitgevoerd.

III.   UITRUSTING VOOR DE FYSIEKE BESCHERMING VAN EUCI

8.

Bij de aanschaf van uitrusting (zoals beveiligingsopbergmiddelen, papierversnipperaars, deursloten, elektronische systemen voor toegangscontrole, indringer detectiesystemen, alarmsystemen) voor de fysieke bescherming van EUCI ziet de bevoegde veiligheidsautoriteit erop toe dat de uitrusting in overeenstemming is met de goedgekeurde technische normen en minimumvoorschriften.

9.

De technische specificaties van uitrusting die bestemd is voor de fysieke bescherming van EUCI worden vastgelegd in beveiligingsrichtlijnen die door het Beveiligingscomité moeten worden goedgekeurd.

10.

De beveiligingssystemen worden geregeld geïnspecteerd en de uitrusting wordt regelmatig onderhouden. Bij de onderhoudswerkzaamheden wordt met het resultaat van de inspecties rekening gehouden om te garanderen dat de uitrusting optimaal blijft werken.

11.

De effectiviteit van individuele beveiligingsmaatregelen en van het gehele beveiligingssysteem wordt bij iedere inspectie getoetst.

IV.   FYSIEK BESCHERMDE ZONES

12.

Voor de fysieke bescherming van EUCI worden twee soorten fysiek beschermde zones, of de nationale equivalenten ervan, ingesteld:

a)

administratieve zones, en

b)

beveiligde zones (waaronder technisch beveiligde zones).

In dit besluit slaan alle verwijzingen naar administratieve zones en beveiligde zones, waaronder technisch beveiligde zones, ook op de nationale equivalenten daarvan.

13.

De bevoegde veiligheidsautoriteit bepaalt dat een zone voldoet aan de eisen om te worden aangewezen als administratieve zone, beveiligde zone of technisch beveiligde zone.

14.

Voor administratieve zones:

a)

wordt een duidelijk omschreven afscheiding ingesteld waar personen en indien mogelijk voertuigen kunnen worden gecontroleerd;

b)

wordt toegang zonder begeleiding alleen toegestaan aan personen die naar behoren door de bevoegde instantie gemachtigd zijn; en

c)

worden alle andere personen altijd begeleid of aan gelijkwaardige controles onderworpen.

15.

Voor beveiligde zones:

a)

wordt een duidelijk omschreven, beschermde afscheiding ingesteld waar elk in- en uitgaan wordt gecontroleerd middels een pasje of een systeem van persoonsherkenning;

b)

wordt toegang zonder begeleiding alleen verleend aan personen die een veiligheidsonderzoek hebben ondergaan en specifiek gemachtigd zijn om de zone te betreden op basis van hun noodzaak tot kennisname;

c)

worden alle andere personen altijd begeleid of aan gelijkwaardige controles onderworpen.

16.

Wanneer het betreden van een beveiligde zone in de praktijk neerkomt op rechtstreekse toegang tot de gerubriceerde informatie die zich daar bevinden, zijn daarnaast de volgende aanvullende voorschriften van toepassing:

a)

de hoogste rubriceringsgraad van de informatie die normaal in de zone worden bewaard, wordt duidelijk aangegeven;

b)

alle bezoekers moeten een specifieke machtiging bezitten om de zone te betreden, moeten altijd worden begeleid en moeten passend gescreend zijn, tenzij het nodige wordt gedaan opdat dat geen toegang tot EUCI mogelijk is.

17.

Beveiligde zones die tegen afluisteren zijn beschermd, worden als technisch beveiligde zones aangemerkt. Daarnaast zijn de volgende aanvullende voorschriften van toepassing:

a)

de zones worden uitgerust met IDS, worden afgesloten wanneer ze niet worden gebruikt en bewaakt wanneer ze in gebruik zijn. Sleutels worden gecontroleerd overeenkomstig afdeling VI;

b)

alle personen en goederen die deze zones binnenkomen, worden gecontroleerd;

c)

deze zones worden aan regelmatige fysieke en/of technische inspecties onderworpen, zoals vereist door de bevoegde veiligheidsautoriteit. Die inspecties worden ook verricht nadat de zones door onbevoegden zijn betreden of indien dit wordt vermoed; en

d)

deze zones zijn vrij van ongeoorloofde communicatielijnen of telefoons of andere ongeoorloofde communicatieapparatuur en elektrische of elektronische apparatuur.

18.

Niettegenstaande punt 17, onder d), moet communicatieapparatuur en elektrische en elektronische apparatuur van welke aard ook, voordat zij wordt gebruikt in zones waar vergaderingen plaatsvinden of werk wordt verricht in verband met informatie met rubricering SECRET UE/EU SECRET en hoger, wanneer de dreiging voor EUCI als hoog wordt beoordeeld, eerst door de bevoegde veiligheidsautoriteit worden onderzocht om ervoor te zorgen dat geen begrijpelijke informatie door die apparatuur onbedoeld of op illegale wijze kunnen worden doorgegeven tot buiten de perimeter van de betrokken beveiligde zone.

19.

Beveiligde zones waar niet op 24-uursbasis dienstdoend personeel aanwezig is, worden, in voorkomend geval, aan het eind van de normale werktijd geïnspecteerd, alsook buiten de normale werktijd met willekeurige tussenpozen, tenzij er een indringerdetectiesysteem is.

20.

Beveiligde zones en technische beveiligde zones kunnen binnen een administratieve zone tijdelijk worden ingesteld voor een gerubriceerde vergadering of een soortgelijk doel.

21.

Voor iedere beveiligde zone worden operationele beveiligingsprocedures opgesteld, waarbij het volgende wordt vastgesteld:

a)

het niveau van de EUCI die in die zone mag worden verwerkt en opgeslagen;

b)

de te handhaven bewakings- en beschermingsmaatregelen;

c)

de personen die op grond van hun noodzaak tot kennisname en veiligheidsmachtiging zonder begeleiding toegang mogen hebben tot de zone;

d)

in voorkomend geval, de procedures inzake begeleiding of inzake bescherming van EUCI wanneer aan anderen toegang tot de zone wordt verleend;

e)

andere relevante maatregelen en procedures.

22.

Binnen de beveiligde zones worden kluizen geïnstalleerd. De muren, vloeren, plafonds, ramen en afsluitbare deuren moeten door de bevoegde veiligheidsautoriteit worden goedgekeurd en een gelijkwaardig beschermingsniveau bieden als de beveiligingsopbergmiddelen die zijn goedgekeurd voor de opslag van EUCI met dezelfde rubriceringsgraad.

V.   FYSIEKE BEVEILIGINGSMAATREGELEN VOOR HET VERWERKEN EN OPSLAAN VAN EUCI

23.

EUCI met rubricering RESTREINT UE/EU RESTRICTED mag worden verwerkt:

a)

in een beveiligde zone,

b)

in een administratieve zone, als de EUCI wordt beschermd tegen toegang door onbevoegden, of

c)

buiten een beveiligde of een administratieve zone, als de houder de EUCI vervoert overeenkomstig de punten 28 tot en met 40 van bijlage III en heeft toegezegd zich te zullen houden aan de in de beveiligingsinstructies van de bevoegde veiligheidsautoriteit opgenomen compenserende maatregelen ter bescherming van EUCI tegen toegang van onbevoegden.

24.

EUCI met rubricering RESTREINT UE/EU RESTRICTED wordt opgeslagen in daarvoor geschikt afgesloten kantoormeubilair in een administratieve zone of een beveiligde zone. De informatie mag tijdelijk buiten een beveiligde of een administratieve zone worden opgeslagen, als de houder heeft toegezegd zich te zullen houden aan compenserende maatregelen volgens de beveiligingsinstructies van de bevoegde veiligheidsautoriteit.

25.

EUCI met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of SECRET UE/ EU SECRET mag worden verwerkt:

a)

in een beveiligde zone;

b)

in een administratieve zone, als de EUCI wordt beschermd tegen toegang door onbevoegden;

c)

buiten een beveiligde zone of een administratieve zone als de houder:

i)

de EUCI vervoert overeenkomstig de punten 28 tot en met 40 van bijlage III;

ii)

heeft toegezegd zich te zullen houden aan de in de beveiligingsinstructies van de bevoegde veiligheidsautoriteit opgenomen compenserende maatregelen ter bescherming van EUCI tegen toegang van onbevoegden;

iii)

de EUCI te allen tijde onder zijn persoonlijke controle houdt; en

iv)

in het geval van documenten op papier, het desbetreffend register op de hoogte heeft gebracht.

26.

EUCI met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL en SECRET UE/ EU SECRET wordt in een beveiligde zone opgeslagen in een beveiligingsopbergmiddel of in een kluis.

27.

EUCI met rubricering TRÈS SECRET UE/EU TOP SECRET wordt verwerkt in een beveiligde zone.

28.

EUCI met rubricering TRÈS SECRET UE/EU TOP SECRET wordt opgeslagen in een beveiligde zone, op één van de volgende manieren:

a)

in een beveiligingsopbergmiddel overeenkomstig punt 8 met één of meer van de volgende aanvullende controles:

i)

permanente bescherming of verificatie door beveiligingspersoneel of dienstdoend personeel in het bezit van een veiligheidsmachtiging;

ii)

een goedgekeurd IDS in combinatie met interventiebeveiligingspersoneel;

of

b)

in een met een IDS uitgeruste kluis in combinatie met interventiebeveiligingspersoneel.

29.

De voorschriften voor het vervoeren van EUCI buiten fysiek beveiligde zones staan in bijlage III.

VI.   CONTROLE VAN SLEUTELS EN CODECOMBINATIES DIE WORDEN GEBRUIKT VOOR DE BESCHERMING VAN EUCI

30.

De bevoegde veiligheidsautoriteit stelt procedures vast voor het beheer van sleutels en codecombinaties voor kantoren, lokalen, kluizen en beveiligingsopbergmiddelen. Die procedures bieden bescherming tegen ongeoorloofde toegang.

31.

De codecombinaties worden gememoriseerd door het kleinst mogelijke aantal personen die er kennis van moeten nemen. De codecombinaties van beveiligingsopbergmiddelen en kluizen waarin EUCI wordt opgeslagen, worden gewijzigd:

a)

in geval van een wijziging in het personeel dat de combinatie kent;

b)

bij compromitteren of het vermoeden ervan;

c)

wanneer een slot in onderhoud of in herstelling is geweest; en

d)

ten minste om de 12 maanden.

BIJLAGE III

BEHEER VAN GERUBRICEERDE INFORMATIE

I.   INLEIDING

1.

Deze bijlage bevat bepalingen ter uitvoering van artikel 9. Zij stelt de administratieve maatregelen vast voor het controleren van EUCI gedurende haar gehele levenscyclus teneinde het al dan niet opzettelijk compromitteren of verliezen van die informatie te helpen voorkomen, opsporen en herstellen.

II.   RUBRICERINGBEHEER

Rubriceringen en markeringen

2.

Informatie wordt gerubriceerd wanneer zij bescherming behoeft wat hun vertrouwelijkheid betreft.

3.

De opsteller van EUCI is verantwoordelijk voor het bepalen van de rubriceringsgraad, overeenkomstig de desbetreffende rubriceringrichtlijnen, en voor de eerste verspreiding van de informatie.

4.

De rubriceringsgraad van EUCI wordt vastgesteld overeenkomstig artikel 2, lid 2, en onder verwijzing naar het beveiligingsbeleid dat de Raad overeenkomstig artikel 3, lid 3, moet vaststellen.

5.

De rubricering wordt duidelijk en correct aangegeven, ongeacht of de EUCI in papieren, mondelinge, elektronische of enige andere vorm bestaat.

6.

Afzonderlijke delen van een bepaald document (zoals bladzijden, punten, afdelingen, bijlagen, aanhangsels, aanhechtsels en bijvoegsels) kunnen verschillende rubriceringen vereisen en worden dienovereenkomstig gemarkeerd, ook wanneer zij elektronisch worden opgeslagen.

7.

De rubricering die voor het gehele document of bestand geldt, is minstens van dezelfde graad als die van het hoogst gerubriceerde gedeelte ervan. Wanneer informatie uit diverse bronnen worden verzameld, wordt voor het eindproduct in zijn geheel nagegaan welke rubriceringsgraad het moet krijgen, aangezien hiervoor een hogere rubricering vereist kan zijn dan voor de onderdelen ervan.

8.

Voor zover mogelijk worden documenten die delen met verschillende rubriceringsgraden bevatten, zo gestructureerd dat de delen met een verschillende rubriceringsgraad gemakkelijk kunnen worden herkend en, indien nodig, worden gescheiden.

9.

De rubricering van een brief of een nota die bijvoegsels vergezelt, is van dezelfde graad als het hoogst gerubriceerde bijvoegsel. De bron geeft door middel van een passende markering duidelijk aan welke rubricering op die brief of nota moet worden toegepast indien deze gescheiden wordt van de bijvoegsels, bijvoorbeeld:

CONFIDENTIEL UE/EU CONFIDENTIAL:

Zonder aanhechtsel(s) RESTREINT UE/EU RESTRICTED

Markeringen

10.

Ter aanvulling van een van de rubriceringen als bedoeld in artikel 2, lid 2, kan EUCI voorzien zijn van aanvullende markeringen zoals:

a)

een identificatiemiddel om de bron aan te duiden;

b)

waarschuwingsmarkeringen, codewoorden of afkortingen waarmee het activiteitengebied waarop het document betrekking heeft, een speciale verspreiding op basis van noodzaak tot kennisname of beperkingen voor het gebruik worden aangegeven;

c)

markeringen inzake de geschiktheid voor vrijgave;

d)

in voorkomend geval, de datum of de specifieke gebeurtenis waarna het document lager gerubriceerd of gederubriceerd kan worden.

Afgekorte rubriceringen

11.

Gestandaardiseerde afgekorte rubriceringen kunnen worden gebruikt om de rubriceringsgraad van afzonderlijke delen van een tekst aan te geven. Afkortingen komen niet in de plaats van de volledige rubriceringen.

12.

De volgende standaardafkortingen mogen in gerubriceerde EU-documenten worden gebruikt ter aanduiding van de rubriceringsgraad van afdelingen of onderdelen van tekst van minder dan één bladzijde:

TRÈS SECRET UE/EU TOP SECRET

TS-UE/EU-TS

SECRET UE/EU SECRET

S-UE/EU-S

CONFIDENTIEL UE/EU CONFIDENTIAL

C-UE/EU-C

RESTREINT UE/EU RESTRICTED

R-UE/EU-R

Het genereren van EUCI

13.

Bij het genereren van een gerubriceerd EU-document:

a)

wordt op elke bladzijde duidelijk de rubriceringsgraad aangegeven;

b)

wordt elke bladzijde genummerd;

c)

wordt het document voorzien van een referentienummer en een onderwerp, dat op zich geen gerubriceerde informatie is, tenzij het als zodanig wordt gemarkeerd;

d)

wordt het document gedateerd;

e)

worden documenten met rubricering SECRET EU/EU SECRET en hoger op elke bladzijde van een exemplaarnummer voorzien, indien zij in meerdere exemplaren moeten worden verspreid.

14.

Als het niet mogelijk is punt 13 toe te passen op EUCI, worden andere passende maatregelen genomen overeenkomstig de krachtens artikel 6, lid 2, op te stellen beveiligingsrichtlijnen.

Lagere rubricering en derubricering van EUCI

15.

Bij het genereren geeft de bron waar mogelijk, en in het bijzonder voor als RESTREINT UE/EU RESTRICTED gerubriceerde informatie, aan of de EUCI op een bepaalde datum of na een bepaalde gebeurtenis lager gerubriceerd of gederubriceerd kan worden.

16.

Het SGR beziet regelmatig de EUCI waarover het beschikt opnieuw om na te gaan of de rubriceringsgraad nog steeds van toepassing is. Het SGR stelt een regeling in om de rubriceringsgraad van geregistreerde EUCI waarvan het de opsteller is, ten minste om de vijf jaar opnieuw te bezien. Deze controle is niet nodig wanneer de opsteller vanaf het begin heeft aangegeven dat de informatie automatisch lager gerubriceerd of gederubriceerd zullen worden en dat zij dienovereenkomstig gemarkeerd zijn.

III.   REGISTRATIE VAN EUCI VOOR BEVEILIGINGSDOELEINDEN

17.

Voor iedere organisatorische entiteit binnen het SGR en binnen de nationale overheden van de lidstaten die met EUCI werkt, wordt een verantwoordelijk register aangewezen dat moet garanderen dat EUCI overeenkomstig dit besluit wordt verwerkt. De registers worden ingericht als beveiligde zones zoals omschreven in bijlage II.

18.

Voor de toepassing van dit besluit wordt onder registratie voor beveiligingsdoeleinden (hierna: „registratie”) verstaan: de toepassing van procedures waarbij de levenscyclus van materiaal, ook de verspreiding en de vernietiging ervan, wordt geregistreerd.

19.

Alle materiaal met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL en hoger wordt in speciaal daarvoor bestemde registers geregistreerd wanneer het bij een organisatorische overheid aankomt of deze entiteit verlaat.

20.

Het centrale register binnen het SGR houdt aantekening van alle gerubriceerde informatie die door de Raad en het SGR worden vrijgegeven aan derde staten en internationale organisaties, en van alle gerubriceerde informatie die worden ontvangen van derde staten of internationale organisaties.

21.

In het geval van een CIS kunnen de registratieprocedures worden doorlopen door middel van processen binnen het CIS zelf.

22.

De Raad stelt een beveiligingsbeleid inzake de registratie van EUCI voor beveiligingsdoeleinden vast.

Registers voor TRÈS SECRET UE/EU TOP SECRET

23.

Er wordt in de lidstaten en bij het SGR een register aangewezen dat optreedt als de centrale instantie voor het ontvangen en verzenden van informatie met rubricering TRÈS SECRET UE/EU TOP SECRET. In voorkomend geval kunnen subregisters worden aangewezen die zulke informatie voor registratiedoeleinden verwerken.

24.

Deze subregisters mogen geen TRÈS SECRET UE/EU TOP SECRET-documenten rechtstreeks overdragen aan andere subregisters van hetzelfde centrale TRÈS SECRET UE/EU TOP SECRET-register, noch naar buiten toe overdragen, zonder uitdrukkelijke schriftelijke toestemming van dit centrale register.

IV.   KOPIËREN EN VERTALEN VAN GERUBRICEERDE EU-DOCUMENTEN

25.

Documenten met rubricering TRÈS SECRET UE/EU TOP SECRET worden niet zonder voorafgaande schriftelijke toestemming van de bron gekopieerd of vertaald.

26.

Indien de bron van documenten met rubricering SECRET UE/EU SECRET of lager geen waarschuwingsmarkeringen met betrekking tot het kopiëren of vertalen heeft aangebracht, kunnen deze documenten op instructie van de houder worden gekopieerd of vertaald.

27.

De beveiligingsmaatregelen die voor het originele document gelden, zijn ook van toepassing op de kopieën en vertalingen ervan.

V.   VERVOER VAN EUCI

28.

Voor het vervoer van EUCI gelden de beschermende maatregelen van de punten 30 tot en met 40. Wanneer EUCI op elektronische dragers wordt vervoerd, kunnen onverminderd artikel 9, lid 4, onderstaande beschermende maatregelen worden aangevuld met passende technische tegenmaatregelen — die door de bevoegde veiligheidsautoriteit worden voorgeschreven — om het risico op verlies of compromitteren zo klein mogelijk te maken.

29.

De bevoegde veiligheidsautoriteit in het SGR en in de lidstaten geven overeenkomstig dit besluit instructies over het vervoer van EUCI.

Binnen een gebouw of op zichzelf staande groep van gebouwen

30.

EUCI die binnen een gebouw of een op zichzelf staande groep van gebouwen wordt vervoerd, worden bedekt om te voorkomen dat de inhoud ervan wordt waargenomen.

31.

Binnen een gebouw of een op zichzelf staande groep van gebouwen worden informatie met rubricering TRÈS SECRET UE/EU TOP SECRET vervoerd in een beveiligde envelop met daarop alleen de naam van de geadresseerde.

Binnen de Europese Unie

32.

EUCI die tussen gebouwen en locaties binnen de Europese Unie wordt vervoerd, wordt zodanig verpakt dat zij wordt beschermd tegen ongeoorloofde openbaarmaking.

33.

Het vervoer van informatie met een rubriceringsgraad tot SECRET UE/EU SECRET binnen de Europese Unie geschiedt op de volgende wijze:

a)

per militaire koerier, overheidskoerier of diplomatieke koerier, naargelang het geval;

b)

in handbagage, op voorwaarde dat:

i)

de drager de EUCI niet uit handen geeft, tenzij zij wordt opgeslagen conform de voorschriften van bijlage II;

ii)

de EUCI niet onderweg wordt geopend of op openbare plaatsen gelezen;

iii)

de persoon geïnstrueerd wordt over zijn verantwoordelijkheden inzake de beveiliging;

iv)

de persoon zo nodig een koerierspas krijgt;

c)

postdiensten of commerciële koeriersdiensten, op voorwaarde dat:

i)

zij door de desbetreffende NSA zijn goedgekeurd overeenkomstig de nationale wet- en regelgeving;

ii)

zij adequate beschermingsmaatregelen toepassen overeenkomstig de minimumvoorschriften die moeten worden vastgelegd in de krachtens artikel 6, lid 2, op te stellen beveiligingsrichtlijnen.

Bij vervoer van een lidstaat naar een andere wordt het bepaalde onder c) beperkt tot informatie tot en met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL.

34.

Materiaal met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL en SECRET UE/EU SECRET (bv. uitrustingen of onderdelen van machines) dat niet kan worden vervoerd met de in punt 33 bedoelde middelen, wordt overeenkomstig bijlage V als vracht vervoerd door commerciële vervoersondernemingen.

35.

Het vervoer van informatie met rubricering TRÈS SECRET UE/EU TOP SECRET tussen gebouwen of locaties binnen de Europese Unie geschiedt per militaire koerier, overheidskoerier of diplomatieke koerier, naargelang het geval.

Vanuit de Europese Unie naar het grondgebied van een derde staat

36.

EUCI die vanuit de Europese Unie naar het grondgebied van een derde staat wordt vervoerd, wordt zodanig verpakt dat zij wordt beschermd tegen ongeoorloofde openbaarmaking.

37.

Het vervoer van informatie met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL en SECRET UE/EU SECRET vanuit de Europese Unie naar het grondgebied van een derde staat geschiedt op één van de volgende wijzen:

a)

per militaire of diplomatieke koerier;

b)

in handbagage, op voorwaarde dat:

i)

het pakket een officieel zegel draagt of in een verpakking zit waarop is aangegeven dat het om een officiële zending gaat die niet aan een douane- of veiligheidscontrole dient te worden onderworpen;

ii)

de persoon een koerierspas bij zich heeft die het pakket identificeert en hem machtigt het te vervoeren;

iii)

de drager de EUCI niet uit handen geeft, tenzij zij wordt opgeslagen conform de voorschriften van bijlage II;

iv)

de EUCI niet onderweg wordt geopend of op openbare plaatsen gelezen; en

v)

de persoon geïnstrueerd wordt over zijn verantwoordelijkheden inzake de beveiliging.

38.

Het vervoer van informatie met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL en SECRET UE/EU SECRET die door de Europese Unie worden vrijgegeven aan een derde staat of een internationale organisatie, moet in overeenstemming zijn met de desbetreffende bepalingen van een overeenkomst voor de beveiliging van informatie of een administratieve regeling overeenkomstig artikel 12, lid 2, onder a) en b).

39.

Informatie met rubricering RESTREINT UE/EU RESTRICTED mogen ook door postdiensten of commerciële koeriersdiensten worden vervoerd.

40.

Het vervoer van informatie met rubricering TRÈS SECRET UE/EU TOP SECRET vanuit de Europese Unie naar het grondgebied van een derde staat geschiedt per militaire of diplomatieke koerier.

VI.   VERNIETIGING VAN EUCI

41.

Gerubriceerde EU-documenten die niet langer nodig zijn, mogen worden vernietigd onverminderd de geldende regels en voorschriften inzake archivering.

42.

Documenten die volgens artikel 9, lid 2, moeten worden geregistreerd, worden door het verantwoordelijke register vernietigd op instructie van de houder of van een bevoegde instantie. De logboeken en andere informatie betreffende de registratie worden dienovereenkomstig bijgewerkt.

43.

De vernietiging van documenten met rubricering SECRET UE/EU SECRET of TRÈS SECRET UE/EU TOP SECRET vindt plaats in het bijzijn van een getuige die gemachtigd is voor ten minste de rubriceringsgraad van het document dat wordt vernietigd.

44.

Zowel de registrator als de getuige, als de aanwezigheid van deze laatste vereist is, ondertekenen een vernietigingscertificaat, dat wordt bewaard in het register. In het register worden vernietigingscertificaten van documenten met rubricering TRÈS SECRET UE/EU TOP SECRET gedurende minstens tien jaar en van documenten met rubriceringsgraad CONFIDENTIEL UE/EU CONFIDENTIAL en SECRET UE/EU SECRET gedurende minstens vijf jaar bewaard.

45.

Om te voorkomen dat gerubriceerde documenten geheel of gedeeltelijk worden gereconstrueerd worden deze documenten, ook die met rubricering RESTREINT UE/EU RESTRICTED, vernietigd volgens methoden die voldoen aan EU-normen of gelijkwaardige normen, of methoden die door de lidstaten zijn goedgekeurd volgens nationale technische normen.

46.

Vernietiging van voor EUCI gebruikte digitale opslagmedia geschiedt overeenkomstig punt 36 van bijlage IV.

VII.   INSPECTIE- EN EVALUATIEBEZOEKEN

47.

De term „inspectie” wordt hierna gebruikt voor:

a)

iedere inspectie overeenkomstig artikel 9, lid 3, en artikel 15, lid 2, onder e), f) en g); of

b)

ieder evaluatiebezoek overeenkomstig artikel 12, lid 5,

ter evaluatie van de doeltreffendheid van de maatregelen ter bescherming van EUCI.

48.

Inspecties moeten onder meer:

a)

waarborgen dat de in dit besluit neergelegde vereiste minimumnormen voor de bescherming van EUCI worden nageleefd;

b)

het belang benadrukken van beveiliging en doelmatig risicobeheer binnen de geïnspecteerde entiteiten;

c)

tegenmaatregelen aanbevelen om de specifieke gevolgen van de aantasting van de vertrouwelijkheid, integriteit of beschikbaarheid van gerubriceerde informatie te matigen; en

d)

de lopende opleidings- en bewustmakingsprogramma's die door de veiligheidsautoriteiten met betrekking tot beveiliging worden uitgevoerd, versterken.

49.

Voor het eind van ieder kalenderjaar neemt de Raad het in artikel 15, lid 1, onder c), bedoelde inspectieprogramma voor het volgende jaar aan. De concrete data van elke inspectie worden in overeenstemming met het EU-orgaan of de EU-instantie in kwestie, de betrokken lidstaat, de derde staat of de internationale organisatie in kwestie vastgesteld.

Uitvoering van inspecties

50.

Er worden inspecties verricht om de desbetreffende regels, voorschriften en procedures in de geïnspecteerde entiteit te controleren en na te gaan of de werkwijzen van de entiteit stroken met de basisbeginselen en minimumnormen die zijn vastgelegd in dit besluit en in de bepalingen betreffende de uitwisseling van gerubriceerde informatie met die entiteit.

51.

De inspecties verlopen in twee fasen. Voorafgaand aan de inspectie zelf wordt, zo nodig, een voorbereidende vergadering met de betrokken entiteit belegd. Na deze voorbereidende vergadering stelt het inspectieteam in overleg met die entiteit een gedetailleerd inspectieprogramma op dat alle aspecten van de beveiliging omvat. Het inspectieteam heeft toegang tot iedere locatie waar EUCI wordt verwerkt, en met name tot de registers en CIS-points of presence.

52.

Inspecties bij de nationale overheden van de lidstaten worden uitgevoerd onder de verantwoordelijkheid van een gezamenlijk inspectieteam van het SGR en de Commissie, waarbij volledig wordt samengewerkt met de functionarissen van de geïnspecteerde entiteit.

53.

Inspecties van derde staten en internationale organisaties worden uitgevoerd onder de verantwoordelijkheid van een gezamenlijk inspectieteam van het SGR en de Commissie, waarbij volledig wordt samengewerkt met de functionarissen van de geïnspecteerde derde staat of internationale organisatie.

54.

De inspecties van uit hoofde van titel V, hoofdstuk 2, VEU, opgerichte EU-organen of -instanties, alsmede van Europol en Eurojust, worden verricht door de Dienst beveiliging van het SGR, bijgestaan door deskundigen van de NSA op het grondgebied waarvan het orgaan of de instantie is gevestigd. Het Directoraat veiligheid van de Europese Commissie (European Commission Security Directorate — ECSD) kan daarbij worden betrokken, wanneer het regelmatig EUCI uitwisselt met het orgaan of de instantie in kwestie.

55.

Voor inspecties van uit hoofde van titel V, hoofdstuk 2, VEU, opgerichte EU-organen of -instanties, alsmede van Europol en Eurojust, en van derde staten en internationale organisaties, worden bijstand en bijdragen van NSA-deskundigen verlangd overeenkomstig de uitvoerige regelingen die door het Beveiligingscomité moeten worden vastgesteld.

Inspectieverslagen

56.

Aan het eind van de inspectie worden de belangrijkste conclusies en aanbevelingen aan de geïnspecteerde entiteit voorgelegd. Vervolgens wordt er een inspectieverslag opgesteld onder de verantwoordelijkheid van de veiligheidsautoriteit van het SGR (Dienst beveiliging). Indien corrigerende maatregelen en aanbevelingen zijn voorgesteld, moet het verslag voldoende nadere informatie bevatten ter ondersteuning van de getrokken conclusies. Het verslag moet aan de bevoegde autoriteit van de geïnspecteerde entiteit worden toegezonden.

57.

Ten aanzien van inspecties bij de nationale overheden van de lidstaten geldt onderstaande:

a)

het ontwerp-inspectieverslag wordt toegezonden aan de betrokken NSA, zodat kan worden nagegaan of het feitelijk correct is en het geen informatie bevat die hoger is gerubriceerd dan RESTREINT UE/EU RESTRICTED;

b)

de inspectieverslagen worden, tenzij de NSA van de betrokken lidstaat zich tegen een algemene verspreiding verzet, toegezonden aan de leden van het Beveiligingscomité en aan het ECSD. Het verslag krijgt de rubricering RESTREINT UE/EU RESTRICTED.

Onder de verantwoordelijkheid van de Dienst beveiliging van het SGR wordt op gezette tijden een verslag opgesteld met, voor een specifieke periode, de lessen die uit de inspecties in de lidstaten zijn getrokken en door het Beveiligingscomité zijn bestudeerd.

58.

Het verslag van evaluatiebezoeken aan derde staten en internationale organisaties wordt toegezonden aan het Beveiligingscomité en aan het ECSD. Het verslag krijgt ten minste de rubricering RESTREINT UE/EU RESTRICTED. Alle corrigerende maatregelen worden tijdens een vervolgbezoek geverifieerd en aan het Beveiligingscomité gerapporteerd.

59.

Het verslag van inspecties van uit hoofde van titel V, hoofdstuk 2, VEU, opgerichte EU-organen of -instanties, alsmede van Europol en Eurojust, wordt toegezonden aan de leden van het Beveiligingscomité en aan het ECSD. Het ontwerp-inspectieverslag wordt toegezonden aan het betrokken orgaan of de betrokken instantie, zodat kan worden nagegaan of het inhoudelijk correct is en geen informatie bevat die hoger zijn gerubriceerd dan RESTREINT UE/EU RESTRICTED. Alle corrigerende maatregelen worden tijdens een vervolgbezoek geverifieerd en aan het Beveiligingscomité gerapporteerd.

60.

De veiligheidsautoriteit van het SGR verricht geregelde inspecties van organisatorische entiteiten in het SGR, en wel voor de in punt 48 beschreven doelen.

Controlelijst voor inspecties

61.

De veiligheidsautoriteit van het SGR (Dienst beveiliging) stelt een controlelijst voor beveiligingsinspecties op met de punten die tijdens een inspectie moeten worden geverifieerd. Deze controlelijst wordt toegezonden aan het Beveiligingscomité.

62.

De informatie ter aanvulling van de controlelijst wordt, in het bijzonder tijdens de inspectie, verkregen bij de voor het beveiligingsbeheer bevoegde functionarissen van de entiteit die wordt geïnspecteerd. Zodra de controlelijst met de gedetailleerde antwoorden is aangevuld, wordt hij in overleg met de geïnspecteerde entiteit gerubriceerd. De lijst maakt geen deel uit van het inspectieverslag.

BIJLAGE IV

BESCHERMING VAN IN CIS VERWERKTE EUCI

I.   INLEIDING

1.

Deze bijlage bevat bepalingen ter uitvoering van artikel 10.

2.

Onderstaande IA-eigenschappen en -concepten zijn essentieel voor de beveiliging en de correcte werking van operaties met CIS.

Authenticiteit

:

de garantie dat informatie echt en ongewijzigd is en van bonafide bronnen afkomstig zijn.

Beschikbaarheid

:

op verzoek van een gemachtigde entiteit toegankelijk en bruikbaar zijn.

Vertrouwelijkheid

:

de informatie wordt niet vrijgegeven aan niet-gemachtigde personen, entiteiten of processen.

Integriteit

:

de nauwkeurigheid en de volledigheid van de informatie en de functionele bestanddelen worden gewaarborgd.

Onweerlegbaarheid

:

het vermogen om te bewijzen dat een actie of gebeurtenis heeft plaatsgevonden, zodat deze niet vervolgens kan worden ontkend.

II.   BEGINSELEN VAN INFORMATION ASSURANCE

3.

De onderstaande bepalingen vormen de basis voor de beveiliging van alle CIS die voor het verwerken van EUCI worden gebruikt. In de beveiligingsbeleidsmaatregelen en beveiligingsrichtlijnen inzake IA moeten uitgebreide voorschriften voor de uitvoering van deze bepalingen worden vastgelegd.

Beheer van beveiligingsrisico's

4.

Beheer van veiligheidsrisico's is een integraal onderdeel van het omschrijven, ontwikkelen, exploiteren en onderhouden van een CIS. Risicobeheer (beoordeling, behandeling, aanvaarding en communicatie) verloopt als een zich herhalend proces, gezamenlijk uitgevoerd door vertegenwoordigers van de eigenaren van systemen, projectautoriteiten, exploitanten en veiligheidsgoedkeuringsinstanties, met gebruikmaking van een risicobeoordelingsprocedure die zichzelf heeft bewezen en transparant en volledig begrijpelijk is. De reikwijdte van het CIS en zijn functionele bestanddelen wordt aan het begin van de risicobeheerprocedure duidelijk afgebakend.

5.

De bevoegde instanties bezien de mogelijke dreigingen voor CIS en zorgen voor bijgewerkte en nauwkeurige dreigingsbeoordelingen die weergeven hoe de operationele omgeving van dat moment is. Zij werken voortdurend hun kennis inzake kwetsbaarheden bij en herzien op gezette tijden de kwetsbaarheidsbeoordeling, met het oog op aanpassing aan de veranderende Informatie Technologie (IT)omgeving.

6.

De behandeling van veiligheidsrisico's is erop gericht een reeks beveiligingsmaatregelen toe te passen die een bevredigend evenwicht oplevert tussen de verlangens van de gebruikers, de kosten en het resterende veiligheidsrisico.

7.

De door de bevoegde SAA bepaalde specifieke eisen, reikwijdte en gedetailleerdheid voor de homologatie van een CIS stemmen overeen met het ingeschatte risico, rekening houdend met alle relevante factoren, waaronder de rubriceringsgraad van de in het CIS verwerkte EUCI. Homologatie houdt mede een formele verklaring betreffende het resterende risico in en aanvaarding van dat resterende risico door een verantwoordelijke autoriteit.

Beveiliging gedurende de levenscyclus van het CIS

8.

Beveiliging is gedurende de gehele levenscyclus van het CIS — vanaf de ingebruikname tot de buitengebruikstelling — een vereiste.

9.

De rol en interactie van iedere bij een CIS betrokken partij in verband met de beveiliging ervan wordt voor iedere fase van de levenscyclus vastgesteld.

10.

Alle CIS, inclusief de maatregelen voor de technische en niet-technische beveiliging ervan, worden tijdens de homologatieprocedure aan beveiligingstests onderworpen om ervoor te zorgen dat het passende niveau van IA wordt bereikt en om na te gaan of zij correct zijn geïmplementeerd, geïntegreerd en geconfigureerd.

11.

Beveiligingsbeoordelingen, inspecties en evaluaties worden op gezette tijden verricht tijdens de werking en het onderhoud van een CIS en wanneer zich uitzonderlijke omstandigheden voordoen.

12.

De beveiligingsdocumentatie voor een CIS evolueert gedurende de levenscyclus van dat CIS als een integrerend deel van het proces van wijzigings- en configuratiebeheer.

Best practice

13.

Het SGR en de lidstaten ontwikkelen samen optimale toepassingen voor de bescherming van in CIS verwerkte EUCI. Richtlijnen inzake optimale toepassing beschrijven technische, fysieke, organisatorische en procedurele beveiligingsmaatregelen voor CIS, waarvan is aangetoond dat zij doeltreffend zijn in het bestrijden van dreigingen en kwetsbaarheden.

14.

De bescherming van in CIS verwerkte EUCI steunt op de lering die door de bij IA betrokken entiteiten, zowel binnen als buiten de EU, is getrokken.

15.

De verspreiding en de daaropvolgende toepassing van beste praktijken dragen bij aan het bereiken van een zelfde niveau van IA voor de diverse CIS waarin EUCI wordt verwerkt en die door het SGR en de lidstaten worden gebruikt.

Defence in depth

16.

Om het risico voor CIS tot een minimum te beperken, wordt een reeks technische en niet-technische beveiligingsmaatregelen genomen, in de vorm van meerdere verdedigingslagen. Deze lagen omvatten:

a)   afschrikking: beveiligingsmaatregelen die vijandelijke plannen om het CIS aan te vallen, moeten ontraden;

b)   preventie: beveiligingsmaatregelen die een aanval op het CIS moeten verhinderen of tegenhouden;

c)   detectie: beveiligingsmaatregelen die moeten ontdekken dat het CIS wordt aangevallen;

d)   veerkracht: beveiligingsmaatregelen die het effect van een aanval tot een zo klein mogelijke reeks informatie of onderdelen van CIS moeten beperken en verdere schade moeten voorkomen; en

e)   herstel: beveiligingsmaatregelen die weer tot een veilige situatie voor het CIS moeten leiden.

Aan de hand van een risicobeoordeling wordt bepaald hoe streng die beveiligingsmaatregelen moeten zijn.

17.

De bevoegde overheden zorgen ervoor dat zij kunnen reageren op incidenten die wellicht de organisatorische en nationale grenzen overschrijden om de reacties te coördineren en informatie uit te wisselen over deze incidenten en de ermee verband houdende risico's (computer noodhulp diensten).

Principle of minimality and least privilege

18.

Ter vermijding van onnodige risico's worden uitsluitend de functies, apparaten en diensten geactiveerd die essentieel zijn voor het vervullen van de operationele eisen.

19.

Gebruikers van een CIS en geautomatiseerde processen krijgen alleen de toegang, voorrechten of machtigingen die zij nodig hebben voor het uitvoeren van hun taken, zodat schade ten gevolge van ongelukken, vergissingen of ongeoorloofd gebruik van CIS-middelen beperkt blijft.

20.

De door een CIS uitgevoerde registratieprocedures worden indien nodig geverifieerd als onderdeel van de homologatieprocedure.

Information Assurance awareness

21.

De eerste verdedigingslaag voor de beveiliging van CIS bestaat in bewustwording met de risico's en de beschikbare beveiligingsmaatregelen. Vooral alle leden van het personeel dat betrokken is bij de levenscyclus van CIS, met inbegrip van de gebruikers, moeten inzien:

a)

dat beveiligingsfouten ernstige schade kunnen berokkenen aan de CIS;

b)

dat interconnectiviteit en onderlinge afhankelijkheid kunnen leiden tot schade voor anderen; en

c)

dat zij individuele verantwoordelijkheid en aansprakelijkheid dragen voor de beveiliging van CIS overeenkomstig hun functies binnen de systemen en processen.

22.

Al het betrokken personeel, onder meer het hogere kader en de CIS-gebruikers, moeten verplicht een IA-opleiding en -bewustmakingstraining volgen, zodat goed wordt begrepen waar de verantwoordelijkheden inzake beveiliging liggen.

Evaluatie en goedkeuring van IT-beveiligingsproducten

23.

De vereiste graad van vertrouwen in de beveiligingsmaatregelen, gedefinieerd als een niveau van IA, wordt bepaald aan de hand van de resultaten van de risicobeheersprocedure en het beveiligingsbeleid en de beveiligingsrichtlijnen in kwestie.

24.

Het niveau van IA wordt geverifieerd middels internationaal erkende of nationaal goedgekeurde processen en technologieën. Dit omvat in de eerste plaats evaluatie, controles en audits.

25.

Encryptieproducten voor de bescherming van EUCI worden geëvalueerd en goedgekeurd door een CAA van een lidstaat.

26.

Deze encryptieproducten moeten, voordat zij worden aanbevolen voor goedkeuring door de Raad of de SG/HV, overeenkomstig artikel 10, lid 6, zijn onderworpen aan een succesvolle tweede evaluatie door een naar behoren gekwalificeerde instantie (AQUA) van een lidstaat die niet betrokken is bij het ontwerp of de vervaardiging van de apparatuur. Hoe uitvoerig een en ander tijdens een tweede evaluatie moet worden bekeken, hangt af van het beoogde maximale rubriceringsniveau van de EUCI die door deze producten moet worden beschermd. De Raad stelt een beveiligingsbeleid inzake de evaluatie en goedkeuring van encryptieproducten vast.

27.

Wanneer zulks om specifieke operationele redenen gerechtvaardigd is, kan de Raad, respectievelijk de SG/HV in voorkomend geval, op aanbeveling van het Beveiligingscomité, afwijken van de vereisten in de punten 25 en 26 en een tijdelijke goedkeuring voor een specifieke periode verlenen overeenkomstig de procedure van artikel 10, lid 6.

28.

Een AQUA is een CAA van een lidstaat, die op basis van door de Raad vastgestelde criteria is geaccrediteerd voor het uitvoeren van de tweede evaluatie van encryptieproducten voor de bescherming van EUCI.

29.

De Raad stelt een beveiligingsbeleid vast inzake de kwalificatie en goedkeuring van IT-beveiligingsproducten die geen encryptieproducten zijn.

Overdracht binnen beveiligde zones

30.

Niettegenstaande het bepaalde in dit besluit kan, wanneer de overdracht van EUCI beperkt is tot beveiligde zones, op basis van het resultaat van een risicobeheerprocedure en behoudens goedkeuring van de SAA, gebruik worden gemaakt van onversleutelde verspreiding of van versleuteling op een lager niveau.

Beveiligde interconnectie van CIS

31.

In dit besluit wordt onder een interconnectie verstaan: een rechtstreekse koppeling van twee of meer IT-systemen, met als doel het gezamenlijk gebruik van informatie en andere bronnen van informatie (bv. communicatie), in één of meer richtingen.

32.

Een CIS beschouwt ieder gekoppeld IT-systeem als niet-vertrouwd en activeert beschermende maatregelen om de uitwisseling van gerubriceerde informatie te controleren.

33.

Alle interconnecties van CIS aan een ander IT-systeem voldoen aan onderstaande basisvereisten:

a)

de zakelijke of operationele vereisten voor dergelijke interconnecties worden door de bevoegde autoriteiten vastgelegd en goedgekeurd;

b)

de interconnecties worden aan een procedure inzake risicobeheersing en homologatie onderworpen en behoeven de goedkeuring van de SAA's, en

c)

de perimeters van alle CIS worden opgezet met voorzieningen om de grenzen te beschermen (Boundary Protection Services, hierna BPS).

34.

Er wordt geen interconnectie tot stand gebracht tussen een gehomologeerde CIS en een onbeschermd of openbaar netwerk, behalve indien voor dat doel in het CIS goedgekeurde BPS werden opgezet om de grenzen te beschermen tussen het CIS en het onbeschermde of openbare netwerk. De beveiligingsmaatregelen voor dergelijke interconnecties worden getoetst door de bevoegde IAA en goedgekeurd door de bevoegde SAA.

Wanneer het onbeschermde of openbare netwerk alleen als drager wordt gebruikt en de informatie versleuteld is met een overeenkomstig artikel 10 goedgekeurd encryptieproduct, wordt een dergelijke koppeling niet gezien als een interconnectie.

35.

De rechtstreekse interconnectie of de interconnectie in cascade van een CIS dat gehomologeerd is om informatie met rubricering TRÈS SECRET UE/EU TOP SECRET te verwerken en een onbeschermd of openbaar netwerk, is verboden.

Computer storage media

36.

Digitale opslagmedia worden vernietigd volgens procedures die de bevoegde veiligheidsautoriteit heeft goedgekeurd.

37.

Digitale opslagmedia worden hergebruikt, lager gerubriceerd of gederubriceerd conform een overeenkomstig artikel 6, lid 1, vast te stellen beveiligingsbeleid.

Noodgevallen

38.

Niettegenstaande het bepaalde in dit besluit mogen de hieronder beschreven specifieke procedures worden toegepast in noodgevallen, zoals dreigende of uitgebroken crises, conflicten, oorlogssituaties of in uitzonderlijke operationele omstandigheden.

39.

EUCI mag met toestemming van de bevoegde autoriteit door middel van voor een lager rubriceringniveau goedgekeurde encryptieproducten of zonder versleuteling worden overgedragen, indien vertraging schade zou veroorzaken die duidelijk zwaarder weegt dan de schade ten gevolge van de verspreiding van het gerubriceerde materiaal en indien:

a)

de zender en de ontvanger niet over de vereiste encryptieapparatuur beschikken of helemaal geen encryptieapparatuur hebben; en

b)

het gerubriceerde materiaal niet op tijd met andere middelen kan worden verstuurd.

40.

Gerubriceerde informatie die in de in punt 38 bedoelde omstandigheden worden overgedragen, mogen geen tekenen of aanwijzingen dragen die hen onderscheiden van ongerubriceerde informatie of informatie die beschermd kunnen worden door een beschikbaar encryptieproduct. Ontvangers worden onverwijld langs andere wegen op de hoogte gebracht van het rubriceringniveau.

41.

Indien gebruik wordt gemaakt van punt 38, wordt nadien een verslag opgesteld voor de bevoegde instantie en het Beveiligingscomité.

III.   FUNCTIES EN INSTANTIES OP HET GEBIED VAN INFORMATION ASSURANCE

42.

In de lidstaten en in het SGR worden onderstaande functies op het gebied van IA ingesteld. Deze functies vereisen geen afzonderlijke organisatorische entiteiten. Ze hebben afzonderlijke mandaten. Deze functies en de ermee samengaande verantwoordelijkheden kunnen echter in één organisatorische entiteit worden ondergebracht of geïntegreerd dan wel in meerdere organisatorische entiteiten worden gesplitst, als maar wordt vermeden dat belangen of taken botsen.

Information Assurance Authority

43.

De IAA is verantwoordelijk voor:

a)

het ontwikkelen van beveiligingsbeleidsmaatregelen en beveiligingsrichtlijnen inzake IA en het toezien op de doeltreffendheid en pertinentie ervan;

b)

het beschermen en beheren van technische informatie over encryptieproducten;

c)

het garanderen dat IA-maatregelen die zijn geselecteerd voor de bescherming van EUCI, voldoen aan het beleid inzake de geschiktheid en selectie van die maatregelen;

d)

het garanderen dat encryptieproducten worden geselecteerd overeenkomstig het beleid inzake de geschiktheid en selectie ervan;

e)

het coördineren van opleiding en voorlichting inzake IA;

f)

het overleg met de provider van het systeem, de beveiligingsmedewerkers en de vertegenwoordigers van gebruikers over beveiligingsbeleidsmaatregelen en beveiligingsrichtlijnen inzake IA; en

g)

het garanderen dat er in het deskundigendeelgebied van het Beveiligingscomité passende deskundigheid beschikbaar is voor IA-kwesties.

Tempest-overheid

44.

De Tempest-overheid (hierna: „TA”) is ervoor verantwoordelijk dat CIS in overeenstemming is met het beleid en de richtlijnen van Tempest. Zij keurt tegenmaatregelen van Tempest voor installaties en producten goed voor de bescherming van EUCI tot een bepaald rubriceringniveau in haar operationele omgeving.

Overheid voor de goedkeuring van encryptieproducten

45.

De overheid voor de goedkeuring van encryptieproducten (Crypto Approval Authority, hierna: „CAA”) is ervoor verantwoordelijk dat encryptieproducten voldoen aan het nationale cryptobeleid of het cryptobeleid van de Raad. De CAA verleent aan een encryptieproduct goedkeuring voor de bescherming van EUCI tot een bepaald rubriceringniveau in haar operationele omgeving. Wat de lidstaten betreft, is de CAA voorts verantwoordelijk voor het evalueren van encryptieproducten.

Cryptodistributieoverheid

46.

De cryptodistributieoverheid (Crypto Distribution Authority, hierna: „CDA”) is verantwoordelijk voor:

a)

het beheer van en de verantwoording voor encryptiemateriaal van de EU;

b)

de naleving van passende procedures en de instelling van kanalen voor verslaglegging over, en veilige verwerking, opslag en verspreiding van al het encryptiemateriaal van de EU; en

c)

de overdracht van encryptiemateriaal van de Europese Unie aan of van personen of diensten die er gebruik van maken.

De homologatieoverheid (Security Accreditation Authority, hierna SAA)

47.

De SAA voor ieder systeem is verantwoordelijk voor:

a)

het garanderen dat CIS het toepasselijke beveiligingsbeleid en de beveiligingsrichtlijnen naleven, door het afgeven van een goedkeuringsverklaring voor CIS voor de verwerking van EUCI tot een bepaald rubriceringniveau in zijn operationele omgeving, met de voorwaarden voor de homologatie, en de criteria volgens welke hergoedkeuring nodig is;

b)

het instellen van een procedure voor veiligheidshomologatie, overeenkomstig het desbetreffende beleid, met duidelijke goedkeuringsvoorwaarden voor CIS die onder haar gezag staan;

c)

het opstellen van een strategie voor veiligheidshomologatie waarin de mate van gedetailleerdheid voor de homologatie wordt aangegeven, afhankelijk van het vereiste niveau van IA;

d)

het bestuderen en goedkeuren van documentatie over beveiliging, inclusief risicobeheer en verklaringen over resterende risico's, systeemgebonden specificatie van beveiligingseisen (hierna: „SSB”), documenten ten bewijze van de beveiligingsimplementatie en operationele beveiligingsprocedures (hierna: „OB's”), en het garanderen dat die documentatie strookt met de regels en beleidsmaatregelen van de Raad inzake beveiliging;

e)

het controleren van de implementatie van beveiligingsmaatregelen met betrekking tot het CIS, en wel via het uitvoeren of steunen van beveiligingsbeoordelingen, -inspecties of -toetsingen;

f)

het vaststellen van beveiligingseisen (bijvoorbeeld machtigingsgraad van het personeel) voor gevoelige posten in verband met het CIS;

g)

het onderschrijven van de selectie van goedgekeurde encryptie- en Tempest-producten die worden gebruikt om een CIS te beveiligen;

h)

het goedkeuren, of indien nodig, het deelnemen aan de gezamenlijke goedkeuring van de interconnectie van een CIS met andere CIS; en

i)

overleg met de provider van het systeem, de beveiligingsmedewerkers en vertegenwoordigers van de gebruikers over veiligheidsrisicobeheer, in het bijzonder het resterende risico, en de voorwaarden voor de goedkeuringsverklaring.

48.

De SAA van het SGR is verantwoordelijk voor de homologatie van alle CIS die binnen het SGR functioneren.

49.

De bevoegde SAA van een lidstaat is verantwoordelijk voor de homologatie van CIS en componenten van CIS die binnen de bevoegdheid van die lidstaat functioneren.

50.

Een gemeenschappelijk veiligheidshomologatieorgaan (hierna: „VAO”) is verantwoordelijk voor het accrediteren van CIS binnen de bevoegdheid van de IVA van het SGR en van de IVA van de lidstaten. Het bestaat uit een vertegenwoordiger van de IVA van iedere lidstaat en de vergaderingen worden bijgewoond door een vertegenwoordiger van de IVA van de Commissie. Andere entiteiten met een aansluiting op een CIS wordt verzocht de vergadering bij te wonen waarin dat systeem wordt besproken.

Het VAO wordt voorgezeten door een vertegenwoordiger van de IVA van het SGR. Het neemt besluiten met eenparigheid van stemmen van de IVA-vertegenwoordigers van instellingen, lidstaten en andere entiteiten met aansluitingen op het CIS. Het brengt periodiek verslag over zijn werkzaamheden uit aan het Beveiligingscomité en stelt dit in kennis van alle homologatieverklaringen.

Operationele instantie voor information assurance

51.

De operationele IA-overheid voor ieder systeem is verantwoordelijk voor:

a)

het ontwikkelen van beveiligingsdocumentatie die strookt met het beveiligingsbeleid en de beveiligingsrichtlijnen, in het bijzonder de SSB met inbegrip van de verklaring inzake het resterend risico, de OB's en het versleutelingsplan in de CIS-homologatieprocedure;

b)

het deelnemen aan de selectie en het testen van de systeemspecifieke maatregelen, apparatuur en software voor de technische beveiliging, teneinde toezicht te houden op de implementatie ervan en ervoor te zorgen dat deze veilig worden geïnstalleerd, geconfigureerd en onderhouden overeenkomstig de beveiligingsdocumentatie;

c)

het deelnemen aan de selectie van Tempest-beveiligingsmaatregelen en -apparatuur indien dat volgens de SSB nodig is en ervoor zorgen dat deze veilig worden geïnstalleerd en onderhouden, in samenwerking met de TA;

d)

het toezien op de uitvoering en toepassing van de OB's en, in voorkomend geval, het overdragen van operationele verantwoordelijkheden voor beveiliging aan de eigenaar van het systeem;

e)

het beheer van en het werken met encryptieproducten, de bewaring van versleutelde en gecontroleerde informatie en, indien nodig, het genereren van cryptografische variabelen;

f)

het uitvoeren van evaluaties en tests van veiligheidsanalysen, in het bijzonder teneinde de door de IVA verlangde risicoverslagen op te stellen;

g)

het aanbieden van CIS-specifieke IA-opleidingen;

h)

het implementeren en toepassen van CIS-specifieke beveiligingsmaatregelen.

BIJLAGE V

INDUSTRIËLE BEVEILIGING

I.   INLEIDING

1.

Deze bijlage bevat bepalingen ter uitvoering van artikel 11. De bijlage bevat algemene beveiligingsbepalingen die voor industriële of andere entiteiten gelden in precontractuele onderhandelingen en gedurende de levenscyclus van gerubriceerde opdrachten die het SGR gunt.

2.

De Raad stelt een beleid inzake industriële beveiliging vast waarin in het bijzonder uitvoerige vereisten worden geformuleerd inzake VMV's, memoranda over de beveiligingsaspecten (MBA's), bezoeken, overdracht en vervoer van EUCI.

II.   BEVEILIGINGSELEMENTEN IN EEN GERUBRICEERDE OPDRACHT

Gids voor rubricering (GBR)

3.

Alvorens een aanbesteding uit te schrijven of een gerubriceerde opdracht te gunnen, bepaalt het SGR als aanbestedende instantie welke rubricering wordt gegeven aan informatie die aan inschrijvers en contractanten moeten worden verstrekt, en welke rubricering wordt gegeven aan informatie die de contractant zal genereren. Voor dat doel stelt het SGR een GBR op die bij de uitvoering van de opdracht moet worden gebruikt.

4.

Voor het bepalen van de rubricering van de diverse onderdelen van een gerubriceerde opdracht gelden onderstaande beginselen:

a)

bij het opstellen van een GBR houdt het SGR rekening met alle ter zake doende beveiligingsaspecten, zoals de rubricering die is gegeven aan verstrekte informatie waarvan het gebruik voor de opdracht is goedgekeurd door de bron van de informatie;

b)

de algehele rubriceringsgraad van de opdracht kan niet lager zijn dan de hoogste rubricering van een van haar onderdelen; en

c)

indien nodig neemt het SGR contact op met de NSA/DSA's van de lidstaten of enige andere bevoegde veiligheidsautoriteit als zich wijzigingen voordoen met betrekking tot de rubricering van door of aan contractanten verstrekte informatie tijdens de uitvoering van een opdracht, en wanneer verdere wijzigingen in de GBR worden aangebracht.

Memorandum over de beveiligingsaspecten (MBA)

5.

De specifieke beveiligingseisen voor de opdracht worden beschreven in een MBA. Het MBA bevat in voorkomend geval de GBR en maakt integraal deel uit van een gerubriceerde opdracht of opdracht in onderaanneming.

6.

Het MBA bevat bepalingen die de contractant en/of de subcontractant verplichten zich te houden aan de minimumbeveiligingsnormen in dit besluit. Niet-naleving van deze minimumnormen kan voldoende reden zijn voor opzegging van de opdracht.

Programma-/projectbeveiligingsinstructies (PBI)

7.

Afhankelijk van het toepassingsgebied van programma's of projecten waarvoor toegang tot of verwerking of opslag van EUCI nodig is, kan de aanbestedende instantie die het programma of het project zal beheren, specifieke programma-/projectbeveiligingsinstructies (PBI) opstellen. De PBI moeten worden goedgekeurd door de NSA/DSA's van de lidstaten of een andere bevoegde veiligheidsautoriteit die deelneemt aan het programma/project, en kunnen nadere beveiligingsvoorschriften bevatten.

III.   VEILIGHEIDSMACHTIGING VOOR EEN VESTIGING (VMV)

8.

Een VMV wordt verleend door de NSA of DSA of een andere bevoegde instantie van een lidstaat en toont overeenkomstig de nationale wetten en regelgeving aan dat een industriële of andere entiteit binnen haar vestigingen in staat is EUCI te beschermen op het vereiste rubriceringsniveau (CONFIDENTIEL UE/EU CONFIDENTIAL of SECRET UE/EU SECRET). Voordat aan een contractant of subcontractant of mogelijke contractant of subcontractant EUCI mag worden verstrekt of toegang tot EUCI mag worden verleend, wordt de machtiging overgelegd aan het SGR, als aanbestedende instantie.

9.

Wanneer de betrokken NSA of DSA een VMV afgeeft, zal zij op zijn minst:

a)

de integriteit van de industriële of andersoortige entiteit evalueren;

b)

de verantwoordelijkheid evalueren, evenals de controle of de ontvankelijkheid voor ongewenste invloed, die als een veiligheidsrisico kan worden beschouwd;

c)

nagaan of de industriële of andere entiteit in de vestiging een beveiliging heeft geïnstalleerd die alle passende beveiligingsmaatregelen omvat die nodig zijn voor het beschermen van informatie of materiaal met rubriceringsgraad CONFIDENTIEL UE/EU CONFIDENTIAL of SECRET UE/EU SECRET, overeenkomstig de in dit besluit vastgelegde vereisten;

d)

nagaan of de personeelsveiligheidsstatus van management, eigenaars en werknemers die toegang moeten hebben tot informatie van de rubriceringsgraad CONFIDENTIEL UE/EU CONFIDENTIAL of SECRET UE/EU SECRET, voldoet aan de in dit besluit vastgelegde vereisten;

e)

nagaan of de industriële of andere entiteit een vestigingsbeveiligingsfunctionaris (VBF) heeft benoemd die tegenover het management verantwoordelijk is voor het doen naleven van de veiligheidsverplichtingen in de entiteit.

10.

In voorkomend geval deelt het SGR, als aanbestedende instantie, de NSA/DSA of een andere bevoegde veiligheidsautoriteit mee dat in de precontractuele fase of voor de uitvoering van de opdracht een VMV vereist is. Een VMV of een PVM wordt verlangd in de precontractuele fase waarin EUCI met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of SECRET UE/EU SECRET moet worden verstrekt in het stadium van de offertes.

11.

De aanbestedende instantie kent geen gerubriceerde toe opdracht aan een geselecteerde inschrijver zonder van de NSA/DSA of een andere bevoegde veiligheidsautoriteit van de lidstaat waar de contractant of subcontractant is geregistreerd, een bevestiging te hebben ontvangen dat er, indien zulks vereist is, een VMV is afgegeven.

12.

De NSA/DSA of een andere bevoegde veiligheidsautoriteit die een VMV heeft afgegeven brengt het SGR, de aanbestedende instantie, op de hoogte van wijzigingen die de VMV betreffen. Bij onderaanneming worden de NSA/DSA of een andere bevoegde veiligheidsautoriteit op de hoogte gebracht.

13.

Intrekking van een VMV door de NSA/DSA of andere bevoegde nationale veiligheidsautoriteit biedt het SGR, de aanbestedende instantie, voldoende redenen om een gerubriceerde opdracht te beëindigen of een inschrijver uit te sluiten van mededinging.

IV.   GERUBRICEERDE OPDRACHTEN EN ONDERAANNEMING

14.

Wanneer in de precontractuele fase EUCI wordt verstrekt aan een inschrijver, bevat de uitnodiging tot inschrijving een bepaling die de inschrijver die uiteindelijk geen offerte doet, of die niet wordt geselecteerd, verplicht alle gerubriceerde documenten binnen een bepaalde termijn terug te zenden.

15.

Zodra een gerubriceerde opdracht of opdracht in onderaanneming is gegund, deelt het SGR, als aanbestedende instantie, de NSA/DSA of een andere bevoegde veiligheidsautoriteit van de contractant of subcontractant de beveiligingsbepalingen van de gerubriceerde opdracht mee.

16.

Wanneer zulke opdrachten aflopen, deelt het SGR, als aanbestedende dienst (en/of, bij onderaanneming, de NSA/DSA of een andere bevoegde veiligheidsautoriteit, naargelang het geval) dit mee aan de NSA/DSA of een andere bevoegde veiligheidsautoriteit van de lidstaat waar de contractant of subcontractant is geregistreerd.

17.

Als algemene regel geldt dat de contractant of subcontractant alle EUCI die hij in zijn bezit heeft, na voltooiing van de gerubriceerde opdracht of onderaanneming moet terugbezorgen aan de aanbestedende instantie.

18.

In het MBA worden specifieke bepalingen opgenomen voor het verwijderen van EUCI tijdens de uitvoering van een opdracht of bij de voltooiing ervan.

19.

Wanneer de contractant of subcontractant gemachtigd is EUCI te houden na voltooiing van een opdracht, blijven de minimumnormen van dit besluit van toepassing en wordt de vertrouwelijkheid van EUCI door de contractant of subcontractant beschermd.

20.

De voorwaarden waaronder een contractant een beroep kan doen op subcontractanten worden in de aanbesteding en de opdracht omschreven.

21.

Een contractant krijgt van het SGR, de aanbestedende instantie, toestemming voordat hij delen van een gerubriceerde opdracht uitbesteedt aan een onderaannemer. Industriële of andere entiteiten die geregistreerd zijn in een land dat geen lidstaat van de Europese Unie is en geen informatiebeveiligingsovereenkomst met de Europese Unie heeft, mogen niet als subcontractant worden ingeschakeld.

22.

Het is de verantwoordelijkheid van de contractant te garanderen dat alle onderaannemingsactiviteiten verlopen in overeenstemming met de minimumnormen van dit besluit en de contractant mag geen EUCI doorgeven aan een subcontractant zonder voorafgaande schriftelijke toestemming van de aanbestedende instantie.

23.

Wat betreft EUCI die door de contractant of subcontractant wordt gegenereerd of verwerkt, oefent de aanbestedende instantie de rechten van de bron uit.

V.   BEZOEKEN IN VERBAND MET GERUBRICEERDE OPRACHTEN

24.

Wanneer het SGR, contractanten of subcontractanten voor de uitvoering van een gerubriceerde opdracht in elkaars ruimten toegang vragen tot als CONFIDENTIEL UE/EU CONFIDENTIAL of SECRET UE/EU SECRET gerubriceerde informatie, worden in overleg met de NSA/DSA's of een andere bevoegde veiligheidsautoriteit bezoeken georganiseerd. In het kader van specifieke projecten kunnen de NSA/DSA's echter ook een procedure overeenkomen waarmee zulke bezoeken rechtstreeks kunnen worden georganiseerd.

25.

Alle bezoekers beschikken over een passende PVM en hebben een need-to-know voor toegang tot de EUCI met betrekking tot de opdracht van het SGR.

26.

Bezoekers krijgen uitsluitend toegang tot de EUCI die verband houden met het doel van het bezoek.

VI.   OVERDRACHT EN VERVOER VAN EUCI

27.

Op de overdracht van EUCI met elektronische middelen zijn artikel 10 en bijlage IV van toepassing.

28.

Op het vervoer van EUCI is bijlage III van toepassing, overeenkomstig de nationale wet- en regelgeving.

29.

Wat het vervoer van gerubriceerd materiaal als vracht betreft, worden bij de opstelling van regelingen inzake beveiliging de volgende beginselen toegepast:

a)

de beveiliging wordt tijdens alle fasen van het vervoer gewaarborgd, van het punt van oorsprong tot de eindbestemming;

b)

de mate van bescherming die aan een zending wordt verleend, wordt bepaald door de hoogste rubriceringsgraad van het materiaal dat zij bevat;

c)

er wordt een VMV op het passende niveau verkregen voor de ondernemingen die het vervoer verzorgen. In dat geval moeten de personeelsleden die de zending verwerken, in overeenstemming met bijlage I een veiligheidsonderzoek ondergaan;

d)

vóór iedere grensoverschrijdende verplaatsing van materiaal met rubriceringsgraad CONFIDENTIEL UE/EU CONFIDENTIAL of SECRET UE/EU SECRET stelt de verzender een vervoerplan op, dat wordt goedgekeurd door de betrokken NSA's/DSA's of een andere bevoegde veiligheidsautoriteit;

e)

de reizen geschieden zoveel mogelijk zonder onderbreking, en worden zo snel als de omstandigheden toelaten uitgevoerd;

f)

waar mogelijk leiden de routen alleen door lidstaten. Routen door niet-lidstaten worden alleen gevolgd met toestemming van de NSA/DSA of een andere bevoegde veiligheidsautoriteit van de staat van de verzender en de staat van de geadresseerde.

VII.   OVERDRACHT VAN EUCI NAAR CONTRACTANTEN IN DERDE STATEN

30.

EUCI wordt overgedragen aan contractanten en subcontractanten in derde staten overeenkomstig de beveiligingsmaatregelen die zijn overeengekomen door het SGR, als aanbestedende dienst, en de NSA/DSA van de derde staat in kwestie waar de contractant is geregistreerd.

VIII.   VERWERKING EN OPSLAG VAN ALS RESTREINT UE/EU RESTRICTED GERUBRICEERDE INFORMATIE

31.

Samen, waar nodig, met de NSA/DSA van de lidstaat, is het SGR, als aanbestedende instantie, op basis van contractuele bepalingen gerechtigd bezoeken af te leggen aan vestigingen van contractanten/subcontractanten om na te gaan of, zoals in de opdracht wordt vereist, de beveiligingsmaatregelen ter zake zijn getroffen voor de bescherming van EUCI van het niveau RESTREINT UE/EU RESTRICTED.

32.

Voor zover dat nodig is volgens de nationale wet- en regelgeving, worden NSA's/DSA's of andere bevoegde veiligheidsautoriteiten door het SGR, als aanbestedende dienst, in kennis gesteld van opdrachten of opdrachten in onderaanneming die informatie met rubricering RESTREINT UE/EU RESTRICTED bevatten.

33.

Een VMV of een PVM voor contractanten of subcontractanten en hun personeel is niet vereist voor opdrachten van het SGR, die als RESTREINT UE/EU RESTRICTED gerubriceerde informatie bevatten

34.

Het SGR bestudeert, als aanbestedende dienst, de reacties op de uitnodigingen tot inschrijving voor opdrachten waarvoor toegang tot als RESTREINT UE/EU RESTRICTED gerubriceerde informatie nodig is, ongeacht eventuele vereisten met betrekking tot VMV of PVM uit hoofde van nationale wet- en regelgeving.

35.

De voorwaarden voor uitbesteding in onderaanneming door de contractant zijn in overeenstemming met het bepaalde in punt 21.

36.

Wanneer een opdracht de verwerking van informatie met rubricering RESTREINT UE/EU RESTRICTED in een door een contractant geëxploiteerd CIS behelst, zorgt het SGR, als aanbestedende dienst, ervoor dat in het contract of de onderaanneming de nodige technische en administratieve eisen worden gespecificeerd met betrekking tot de homologatie van het CIS in overeenstemming met het ingeschatte risico, rekening houdend met alle belangrijke factoren. Hoe ver de homologatie van een dergelijke CIS reikt, wordt door de aanbestedende dienst en de betrokken NSA/DSA bepaald.

BIJLAGE VI

UITWISSELING VAN GERUBRICEERDE INFORMATIE MET DERDE STATEN EN INTERNATIONALE ORGANISATIES

I.   INLEIDING

1.

Deze bijlage bevat bepalingen ter uitvoering van artikel 12.

II.   KADERS VOOR DE UITWISSELING VAN GERUBRICEERDE INFORMATIE

2.

Wanneer de Raad bepaalt dat het nodig is om voor een lange termijn gerubriceerde informatie uit te wisselen,

wordt een informatiebeveiligingsovereenkomst gesloten, of

wordt een administratieve regeling getroffen,

overeenkomstig artikel 12, lid 2, en deel III en IV, op basis van een aanbeveling van het Beveiligingscomité.

3.

Wanneer ten behoeve van een EVDB-operatie gegenereerde EUCI moet worden verstrekt aan derde staten of internationale organisaties die aan die operatie deelnemen, en wanneer geen van de in punt 2 bedoelde kaders bestaat, wordt de uitwisseling van EUCI met de bijdragende derde staat of internationale organisatie overeenkomstig deel V geregeld door:

een kaderovereenkomst inzake deelname;

een ad-hocovereenkomst inzake deelname; of

bij het ontbreken daarvan, een ad hoc administratieve regeling.

4.

Bij het ontbreken van een kader als bedoeld in de punten 2 en 3, en wanneer het besluit wordt genomen om EUCI op een uitzonderlijke ad-hocbasis vrij te geven aan een derde staat of een internationale organisatie conform deel VI, wordt de betrokken derde staat of de internationale organisatie om schriftelijke verzekering verzocht om te garanderen dat deze alle vrijgegeven EUCI zal beschermen overeenkomstig de grondbeginselen en minimumnormen in dit besluit.

III.   INFORMATIEBEVEILIGINGSOVEREENKOMSTEN

5.

Informatiebeveiligingsovereenkomsten bevatten de grondbeginselen en minimumnormen voor de uitwisseling van gerubriceerde informatie tussen de Europese Unie en een derde staat of internationale organisatie.

6.

Informatiebeveiligingsovereenkomsten bevatten ook technische uitvoeringsregelingen, waarover overeenstemming moet worden bereikt tussen de Dienst beveiliging van het SGR, het ECSD en de bevoegde veiligheidsautoriteit van de derde staat of de internationale organisatie in kwestie. Deze regelingen zijn afgestemd op het niveau van bescherming dat wordt geboden door de beveiligingsvoorschriften, -structuren en -procedures in de derde staat of binnen de internationale organisatie in kwestie. Ze worden goedgekeurd door het Beveiligingscomité.

7.

Er wordt geen EUCI uitgewisseld via elektronische middelen, tenzij daarin uitdrukkelijk is voorzien in de informatiebeveiligingsovereenkomst of de technische uitvoeringsregelingen.

8.

In de informatiebeveiligingsovereenkomsten wordt bepaald dat, voorafgaand aan de uitwisseling van gerubriceerde informatie volgens de overeenkomst, de Dienst beveiliging van het SGR en het ECSD vaststellen dat de ontvangende partij in staat is de haar verstrekte informatie op deugdelijke wijze te beschermen en te beveiligen.

9.

Wanneer de Raad een informatiebeveiligingsovereenkomst sluit, wordt er bij elke partij een register aangewezen als het belangrijkste punt langs waar gerubriceerde informatie binnenkomen of uitgaan.

10.

Ter beoordeling van de doeltreffendheid van de beveiligingsvoorschriften, -structuren en -procedures in de derde staat of binnen de internationale organisatie in kwestie, worden in overleg met de betrokken derde staat of internationale organisatie evaluatiebezoeken afgelegd door de Dienst beveiliging van het SGR, samen met het ECSD. Zulke evaluatiebezoeken verlopen overeenkomstig de bepalingen in kwestie van bijlage III en houden een evaluatie in van:

a)

het regelgevingskader voor de bescherming van gerubriceerde informatie;

b)

specifieke kenmerken van het beveiligingsbeleid en de manier waarop de beveiliging in de derde staat of bij de internationale organisatie is georganiseerd, en de eventuele gevolgen die een en ander heeft voor het niveau van de gerubriceerde informatie die kunnen worden uitgewisseld;

c)

de vigerende beveiligingsmaatregelen en -procedures, en

d)

de veiligheidsmachtigingsprocedures voor het vrij te geven niveau van EUCI.

11.

Het team dat namens de Europese Unie een evaluatiebezoek aflegt beoordeelt of de beveiligingsvoorschriften en -procedures in de derde staat of binnen de internationale organisatie in kwestie toereikend zijn voor de bescherming van EUCI op een gegeven niveau.

12.

De bevindingen van die bezoeken worden vermeld in een verslag op basis waarvan het Beveiligingscomité het maximumniveau bepaalt van de EUCI die met de derde partij in kwestie op papier of in voorkomend geval in elektronische vorm mag worden uitgewisseld, alsook de specifieke voorwaarden voor uitwisseling met deze partij.

13.

Alles zal in het werk worden gesteld om een volledig beveiligingsevaluatiebezoek af te leggen aan de derde staat of internationale organisatie in kwestie, voordat het Beveiligingscomité de uitvoeringsregelingen goedkeurt, teneinde de aard en de doeltreffendheid van het bestaande beveiligingssysteem te bepalen. Mocht dit niet mogelijk zijn, dan krijgt het Beveiligingscomité van de Dienst beveiliging van het SGR een zo volledig mogelijk verslag, op basis van de informatie waarover deze beschikt, waarin het Beveiligingscomité wordt geïnformeerd over de toepasselijke beveiligingsvoorschriften en over de manier waarop de beveiliging in de derde staat of binnen de internationale organisatie in kwestie is georganiseerd.

14.

Het Beveiligingscomité kan besluiten dat er, zolang de uitkomst van een evaluatiebezoek wordt bestudeerd, geen EUCI mag worden vrijgegeven, of slechts tot een bepaald niveau, of het mag andere specifieke voorwaarden stellen voor het vrijgeven van EUCI aan de derde staat of de internationale organisatie in kwestie. De Dienst beveiliging van het SGR deelt dit mee aan de derde staat of de internationale organisatie in kwestie.

15.

In overleg met de betrokken derde staat of internationale organisatie legt de Dienst beveiliging van het SGR op gezette tijden vervolgevaluatiebezoeken af met als doel te controleren of de geldende regelingen nog steeds aan de overeengekomen minimumnormen voldoen.

16.

Zodra de informatiebeveiligingsovereenkomst van kracht is en er met de betrokken derde staat of internationale organisatie gerubriceerde informatie worden uitgewisseld, kan het Beveiligingscomité besluiten het maximumniveau waarop EUCI op papier of in elektronische vorm mag worden uitgewisseld te wijzigen, met name naar aanleiding van een vervolgevaluatiebezoek.

IV.   ADMINISTRATIEVE REGELINGEN

17.

Wanneer het nodig is om met derde staten of internationale organisaties voor een lange termijn informatie uit te wisselen waarvan de rubriceringsgraad als algemene regel niet hoger is dan RESTREINT UE/EU RESTRICTED, en wanneer het Beveiligingscomité heeft vastgesteld dat de partij in kwestie geen voldoende ontwikkeld beveiligingssysteem heeft om een informatiebeveiligingsovereenkomst te sluiten, mag de SG/HV, na goedkeuring door de Raad, met de daarvoor aangewezen autoriteiten van de derde staat of de internationale organisatie in kwestie een administratieve regeling treffen.

18.

Wanneer om dringende operationele redenen snel een kader voor de uitwisseling van gerubriceerde informatie moet worden opgezet, kan de Raad bij wijze van uitzondering besluiten dat er een administratieve regeling wordt getroffen voor de uitwisseling van informatie met een hogere rubriceringsgraad.

19.

Administratieve regelingen nemen als algemene regel de vorm van een briefwisseling aan.

20.

Een evaluatiebezoek als bedoeld in punt 10 wordt afgelegd en het verslag daarvan wordt toegezonden aan het Beveiligingscomité, dat het bevredigend moet achten alvorens er daadwerkelijk EUCI aan de derde staat of de internationale organisatie in kwestie wordt vrijgegeven. Als er echter uitzonderlijke redenen voor dringende uitwisseling van gerubriceerde informatie onder de aandacht van de Raad worden gebracht, mag er EUCI worden vrijgegeven op voorwaarde dat alles in het werk wordt gesteld om zo spoedig mogelijk een dergelijk evaluatiebezoek te organiseren.

21.

Er wordt geen EUCI uitgewisseld via elektronische middelen, tenzij daarin uitdrukkelijk is voorzien in de administratieve regeling.

V.   UITWISSELING VAN GERUBRICEERDE INFORMATIE IN DE CONTEXT VAN EVDB-OPERATIES

22.

Deelname van derde staten of internationale organisaties aan EVDB-operaties worden geregeld bij kaderovereenkomsten inzake deelname. Deze overeenkomsten bevatten bepalingen betreffende de vrijgave van ten behoeve van EVDB-operaties gegenereerde EUCI aan de bijdragende derde staten of internationale organisaties. De hoogste rubriceringsgraad van EUCI die mag worden uitgewisseld, is RESTREINT UE/EU RESTRICTED voor burgerlijke EVDB-operaties en CONFIDENTIEL UE/EU CONFIDENTIAL voor militaire EVDB-operaties, tenzij anders is bepaald in het gemeenschappelijk optreden waarbij iedere EVDB-operatie wordt ingesteld.

23.

Voor een specifieke EVDB-operatie gesloten ad-hocovereenkomsten inzake deelname bevatten bepalingen betreffende de vrijgave van ten behoeve van die operatie gegenereerde EUCI aan de bijdragende derde staat of internationale organisatie. De hoogste rubriceringsgraad van EUCI die mag worden uitgewisseld, is RESTREINT UE/EU RESTRICTED voor burgerlijke EVDB-operaties en CONFIDENTIEL UE/EU CONFIDENTIAL voor militaire EVDB-operaties, tenzij anders is bepaald in het gemeenschappelijk optreden waarbij iedere EVDB-operatie wordt ingesteld.

24.

Ad hoc administratieve regelingen over de deelname van een derde staat of een internationale organisatie aan een specifieke EVDB-operatie kunnen onder meer gelden voor de vrijgave van ten behoeve van de operatie gegenereerde EUCI aan die derde staat of internationale organisatie. Zulke ad hoc administratieve regelingen worden aangegaan overeenkomstig de procedures in de punten 17 en 18 van afdeling IV. De hoogste rubriceringsgraad van EUCI die mag worden uitgewisseld, is RESTREINT UE/EU RESTRICTED voor burgerlijke EVDB-operaties en CONFIDENTIEL UE/EU CONFIDENTIAL voor militaire EVDB-operaties, tenzij anders is bepaald in het gemeenschappelijk optreden waarbij iedere EVDB-operatie wordt ingesteld.

25.

Er zijn geen uitvoeringsregelingen of evaluatiebezoeken vereist alvorens de bepalingen betreffende de vrijgave van EUCI in de context van de punten 22, 23 en 24 worden uitgevoerd.

26.

Wanneer de ontvangende staat op het grondgebied waarvan een EVDB-operatie wordt uitgevoerd, geen vigerende informatiebeveiligingsovereenkomst of administratieve regeling met de Europese Unie heeft voor de uitwisseling van gerubriceerde informatie, kan, indien zich een specifieke en onmiddellijke operationele noodzaak voordoet, een ad hoc administratieve regeling worden getroffen. In deze mogelijkheid wordt voorzien in het gemeenschappelijk optreden waarin de EVDB-operatie wordt vastgesteld. Onder dergelijke omstandigheden wordt alleen EUCI vrijgegeven die ten behoeve van de EVDB-operatie wordt gegenereerd en die niet hoger is gerubriceerd dan RESTREINT UE/EU RESTRICTED. In het kader van een dergelijke ad hoc administratieve regeling verbindt de ontvangende staat zich ertoe EUCI te beschermen overeenkomstig minimumnormen die niet minder streng zijn dan die van dit besluit.

27.

Ten aanzien van gerubriceerde informatie die moeten worden opgenomen in kaderovereenkomsten inzake deelname, in ad-hocovereenkomsten inzake deelname en in ad hoc administratieve regelingen bedoeld in de punten 22 tot en met 24, wordt bepaald dat de derde staat of de internationale organisatie in kwestie ervoor zorgt dat het naar een operatie uitgezonden personeel EUCI zal beschermen overeenkomstig de beveiligingsvoorschriften van de Raad en overeenkomstig nadere instructies van de bevoegde autoriteiten, waaronder de commandostructuur van de operatie.

28.

Indien vervolgens een informatiebeveiligingsovereenkomst wordt gesloten tussen de Europese Unie en een bijdragende derde staat of internationale organisatie, vervangt de informatiebeveiligingsovereenkomst, wat betreft het verwerken van EUCI, een eventuele kaderovereenkomst inzake deelname, ad-hocovereenkomst inzake deelname of ad hoc administratieve regeling.

29.

Elektronische uitwisseling van EUCI wordt niet toegestaan op basis van een kaderovereenkomst inzake deelname, een ad-hocovereenkomst inzake deelname of een ad hoc administratieve regeling met een derde staat of een internationale organisatie, tenzij daarin in de overeenkomst of regeling in kwestie uitdrukkelijk wordt voorzien.

30.

Ten behoeve van een EVDB-operatie gegenereerde EUCI mag worden bekendgemaakt aan personeel dat door derde staten of internationale organisaties bij die operatie gedetacheerd is, overeenkomstig de punten 22 tot en met 29. Wanneer aan dat personeel toegang tot EUCI wordt verleend in werkruimten of in CIS van een EVDB-operatie, moeten maatregelen worden getroffen (zoals registratie van bekendgemaakte EUCI) om het risico van verlies of compromittering te verkleinen. Dergelijke maatregelen worden opgesteld in de desbetreffende plannings- of missiedocumenten.

VI.   UITZONDERLIJKE AD-HOCVRIJGAVE VAN EUCI

31.

Wanneer er geen kader bestaat overeenkomstig de delen III tot en met V, en wanneer de Raad of een van zijn voorbereidende instanties vaststelt dat zich een uitzonderlijke noodzaak voordoet om EUCI vrij te geven aan een derde staat of een internationale organisatie, moet het SGR:

a)

voor zover mogelijk, met de veiligheidsinstanties van de derde staat of de internationale organisatie in kwestie nagaan of de beveiligingsvoorschriften, -structuren en -procedures van die staat of organisatie van die aard zijn dat aan hen vrijgegeven EUCI wordt beschermd volgens normen die niet minder streng zijn dan die van dit besluit;

b)

het Beveiligingscomité verzoeken om op basis van de beschikbare informatie een aanbeveling te doen betreffende het vertrouwen dat kan worden gesteld in de beveiligingsvoorschriften, -structuren en -procedures van de derde staat of de internationale organisatie waaraan de EUCI moet worden vrijgegeven.

32.

Indien het Beveiligingscomité aanbeveelt de EUCI vrij te geven, wordt de zaak voorgelegd aan het Comité van permanente vertegenwoordigers (Coreper), dat een besluit neemt over de vrijgave.

33.

Indien het Veiligheidscomité aanbeveelt de EUCI niet vrij te geven, worden:

a)

aangelegenheden inzake het GBVB/EVDB besproken door het Politiek en Veiligheidscomité, dat een aanbeveling doet voor een besluit van het Coreper;

b)

alle andere aangelegenheden besproken door het Coreper, dat vervolgens een besluit neemt.

34.

Wanneer zulks passend wordt geacht en indien de bron vooraf schriftelijk toestemming verleent, kan het Coreper besluiten dat de gerubriceerde informatie slechts gedeeltelijk mogen worden vrijgegeven of pas nadat zij een lagere rubricering hebben gekregen of gederubriceerd zijn, of dat de vrij te geven informatie worden opgesteld zonder vermelding van de bron of de oorspronkelijke EU-rubricering.

35.

Nadat tot vrijgave van EUCI is besloten, verzendt het SGR het betrokken document, met daarop een markering inzake de geschiktheid voor vrijgave die vermeldt aan welke derde staat of internationale organisatie het is vrijgegeven. Voorafgaand aan of op het moment van de daadwerkelijke vrijgave, zegt de derde partij in kwestie schriftelijk toe dat zij de EUCI die zij ontvangt zal beschermen overeenkomstig de grondbeginselen en minimumnormen van dit besluit.

VII.   BEVOEGDHEID OM EUCI VRIJ TE GEVEN AAN DERDE STATEN OF INTERNATIONALE ORGANISATIES

36.

Wanneer er overeenkomstig punt 2 een kader bestaat voor de uitwisseling van gerubriceerde informatie met een derde staat of een internationale organisatie, neemt de Raad een besluit waarbij de SG/HV wordt gemachtigd om, met inachtneming van het beginsel inzake toestemming van de bron, EUCI vrij te geven aan de derde staat of internationale organisatie in kwestie.

37.

Wanneer er overeenkomstig punt 3 een kader bestaat voor de uitwisseling van gerubriceerde informatie met een derde staat of een internationale organisatie, wordt de SG/HV gemachtigd om EUCI vrij te geven, overeenkomstig het gemeenschappelijk optreden waarbij de EVDB-operatie wordt opgezet en met inachtneming van het beginsel inzake toestemming van de bron.

38.

De SG/HV kan die machtigingen delegeren aan hoge ambtenaren van het SGR of andere personen die onder zijn gezag staan.


Aanhangsels

Aanhangsel A

Definities

Aanhangsel B

Concordantie van de rubriceringen

Aanhangsel C

Lijst van nationale veiligheidsinstanties (NSA’s)

Aanhangsel D

Lijst van afkortingen

Aanhangsel A

DEFINITIES

In dit besluit wordt verstaan onder:

„aangewezen veiligheidsinstantie” (Designated Security Authority — DSA): een autoriteit onder het gezag van de nationale veiligheidsinstantie (NSA) van een lidstaat die tot taak heeft industriële of andere entiteiten te informeren over alle aspecten van het nationaal beleid inzake industriële veiligheid, en leiding te geven en bijstand te verlenen bij de uitvoering ervan. De NSA of een andere bevoegde instantie kan de rol van DSA op zich nemen;

„beheer van gerubriceerde informatie” — zie artikel 9, lid 1;

„beveiligingsmodus”: de vaststelling van de voorwaarden waaronder een CIS functioneert, op basis van de rubricering van de verwerkte informatie en de machtigingsgraden, de formele goedkeuringen inzake toegang en de noodzaak tot kennisname van de gebruikers ervan. Er zijn vier modi voor het verwerken en overdragen van gerubriceerde informatie: de gededicaseerde modus, de system-highmodus, de compartimenteringsmodus en de multilevelmodus;

—   „compartimenteringsmodus”: een modus operandi waarbij alle personen die toegang hebben tot het CIS een machtiging hebben voor de hoogste graad van rubricering van de in het CIS verwerkte informatie, maar niet alle personen met toegang tot het CIS een formele machtiging hebben voor toegang tot alle in het CIS verwerkte informatie; een formele machtiging houdt in dat er een formeel centraal beheer is van toegangscontrole, anders dan de bevoegdheid van een individueel persoon om toegang te verlenen;

—   „gededicaseerde modus”: een modus operandi waarbij alle personen die toegang hebben tot het CIS een machtiging hebben voor de hoogste graad van rubricering van de in het CIS verwerkte informatie, en tevens een gedeelde „noodzaak tot kennisname” voor alle in het CIS verwerkte informatie;

—   „multilevelmodus”: een modus operandi waarbij niet alle personen die toegang hebben tot het CIS een machtiging hebben voor de hoogste graad van rubricering van de in het CIS verwerkte informatie, en niet alle personen met toegang tot het CIS een gedeelde noodzaak tot kennisname hebben voor de in het CIS verwerkte informatie;

—   „system-highmodus”: een modus operandi waarbij alle personen die toegang hebben tot het CIS een machtiging hebben voor de hoogste graad van rubricering van de in het CIS verwerkte informatie, maar niet alle personen met toegang tot het CIS een gedeelde noodzaak tot kennisname hebben voor de in het CIS verwerkte informatie; toegang tot informatie kan worden gegeven door één persoon;

„bron”: de instelling, het orgaan of de instantie of de lidstaat van de EU, een derde staat of een internationale organisatie onder het gezag waarvan gerubriceerde informatie zijn gegenereerd en/of ingevoerd in de structuren van de EU;

„certificaat van veiligheidsmachtiging voor personen” (CPVM): een door een bevoegde autoriteit afgegeven certificaat waarin wordt bevestigd dat de betrokkene gescreend is en in het bezit is van een geldige nationale PVM of EU-PVM, en dat de rubriceringsgraad vermeldt van EUCI waartoe hij toegang mag hebben (CONFIDENTIEL UE/EU CONFIDENTIAL of hoger), alsook de geldigheidsduur van de PVM en de datum waarop de geldigheid van het certificaat zelf afloopt;

„CIS-levenscyclus”: de volledige bestaansduur van een CIS, inhoudende ingebruikname, conceptie, planning, behoeftenanalyse, ontwerp, ontwikkeling, testen, implementatie, in bedrijf zijn, onderhoud en buitengebruikstelling;

„communicatie- en informatiesysteem” (CIS) — zie artikel 10, lid 2;

„contractant”: een natuurlijke persoon of een rechtspersoon die handelingsbekwaam is om overeenkomsten te sluiten;

„derubricering”: de opheffing van een rubricering;

„document”: opgeslagen informatie, ongeacht de fysieke vorm of de kenmerken daarvan;

„dreiging”: een mogelijke oorzaak van een ongewenst incident dat kan leiden tot schade aan een organisatie of de door haar gebruikte systemen; zulke dreigingen kunnen onopzettelijk op opzettelijk (kwaadwillig) zijn, en worden gekenmerkt door bedreigende elementen, mogelijke doelwitten en aanvalsmethoden;

„encryptiesmateriaal”: encryptiealgoritmen, hard- en softwaremodules voor encryptie en encryptieproducten, inclusief nadere informatie betreffende de implementatie en bijbehorende documentatie en bedieningsmateriaal;

„EVDB-operatie”: een militaire of civiele crisisbeheersingsoperatie uit hoofde van titel V van het EU-Verdrag;

„fysieke beveiliging” — zie artikel 8, lid 1;

„gerubriceerde EU-informatie” (EUCI) — zie artikel 2, lid 1;

„gerubriceerde onderaanneming”: een overeenkomst tussen een contractant van het SGR en een andere contractant (de subcontractant) voor de levering van goederen, de uitvoering van werken of de verrichting van diensten waarvan de uitvoering de toegang tot of het genereren van EUCI vereist of behelst;

„gerubriceerde opdracht”: een overeenkomst tussen het SGR en een contractant voor de levering van goederen, de uitvoering van werken of de verrichting van diensten waarvan de uitvoering de toegang tot of het genereren van EUCI vereist of behelst;

„gids voor rubricering” (GBR): een document waarin wordt bepaald welke elementen van een programma of opdracht gerubriceerd zijn en wat de toepasselijke rubriceringgraden zijn. De GBR kan gedurende de looptijd van het programma of de opdracht worden uitgebreid en de informatie kunnen opnieuw of lager worden gerubriceerd; als er een GBR is, is het een onderdeel van het MBA;

„homologatie”: het proces dat leidt tot de formele verklaring van de instantie voor veiligheidshomologatie (SAA) dat een systeem mag functioneren met een bepaald rubriceringniveau, in een specifieke beveiligingsmodus in zijn operationele omgeving en op een aanvaardbaar risiconiveau, nadat is vastgesteld dat er een goedgekeurde reeks technische, fysieke, organisatorische en procedurele beveiligingsmaatregelen is ingebouwd;

„houder”: een naar behoren gemachtigde persoon van wie de noodzaak tot kennisname vaststaat en die EUCI in zijn bezit heeft en derhalve voor de bescherming daarvan verantwoordelijk is;

„industriële of andere entiteit”: een entiteit die betrokken is bij de levering van goederen, de uitvoering van werken of de verlening van diensten; het kan hierbij gaan om entiteiten die actief zijn op het gebied van industrie, handel, diensten, wetenschappen, onderzoek, onderwijs of ontwikkeling, of om een zelfstandige;

„industriële beveiliging” — zie artikel 11, lid 1;

„information assurance” — zie artikel 10, lid 1;

„interconnectie” — zie bijlage IV, punt 31;

„kritisch bestanddeel”: alles wat van waarde is voor een organisatie, haar bedrijfsactiviteiten en de continuïteit daarvan, met inbegrip van informatiebronnen ter ondersteuning van de opdracht van de organisatie;

„kwetsbaarheid”: een zwakte van eender welke aard die door een of meer dreigingen kan worden uitgebuit. Kwetsbaarheid kan bestaan in nalatigheid of kan verband houden met onvoldoende strenge, onvolledige of onsamenhangende controles en kan van technische, procedurele, fysieke, organisatorische of operationele aard zijn;

„materiaal”: documenten of enigerlei onderdeel van machines of uitrustingen die zijn of worden vervaardigd;

„memorandum over de beveiligingsaspecten” (MBA): een geheel van bijzondere, door de aanbestedende instantie uitgevaardigde contractvoorwaarden die een integrerend deel vormen van een gerubriceerde opdracht die de toegang tot of het genereren van EUCI behelst, en waarin de beveiligingseisen of de elementen van de opdracht die beveiligd moeten worden, worden genoemd;

„overblijvend risico”: het risico dat blijft bestaan nadat er beveiligingsmaatregelen zijn genomen, aangezien niet alle dreigingen worden tegengegaan en niet alle kwetsbaarheden kunnen worden weggenomen;

„personeelsgerelateerde beveiliging” — zie artikel 7, lid 1;

„proces inzake het beheer van veiligheidsrisico’s”: het volledige proces van het vaststellen, onder controle houden en tot een minimum beperken van onzekere gebeurtenissen die de veiligheid van een organisatie of de door haar gebruikte systemen kunnen treffen. Het bestrijkt alle risicogebonden activiteiten, met inbegrip van beoordeling, behandeling, aanvaarding en communicatie;

„programma-/projectbeveiligingsinstructie” (PBI): een lijst van beveiligingsprocedures die op een specifiek programma/project worden toegepast om de beveiligingsprocedures te standaardiseren. Het kan gedurende de gehele looptijd van het programma/project worden herzien;

„registratie” — zie bijlage III, punt 18;

„risico”: de mogelijkheid dat een bepaalde dreiging de interne en externe kwetsbaarheden van een organisatie of een van de door haar gebruikte systemen zal uitbuiten en daarbij schade zal toebrengen aan de organisatie en haar materiële en immateriële kritische bestanddelen. Risico wordt gemeten als een combinatie van de waarschijnlijkheid dat dreigingen zich zullen voordoen en het effect daarvan;

—   „risicoaanvaarding”: het besluit om erin te berusten dat er na de risicobehandeling een overblijvend risico blijft bestaan;

—   „risicobehandeling”: het matigen, verwijderen, verkleinen (via een passende combinatie van technische, fysieke, organisatorische of procedurele maatregelen), overbrengen of onder toezicht houden van het risico;

—   „risicobeoordeling”: het in kaart brengen van dreigingen en kwetsbaarheden en het verrichten van de daarmee verband houdende risicoanalyse, d.w.z. de analyse van de waarschijnlijkheid en het effect;

—   „risicocommunicatie”: houdt in dat er risicovoorlichtingscampagnes worden gevoerd, gericht op gebruikers van CIS, dat goedkeuringsinstanties over die risico’s worden geïnformeerd en dat er verslag over wordt uitgebracht aan de exploitanten;

„rubricering verlagen”: verlaging van het rubriceringniveau;

„Tempest”: het onderzoeken en bestuderen van en het toezicht houden op compromitterende elektromagnetische emissies en de maatregelen om ze te bestrijden;

„veiligheidsmachtiging voor een vestiging” (VMV): een administratieve beslissing van een NSA of DSA waaruit blijkt dat de vestiging vanuit beveiligingsoogpunt een afdoende niveau van bescherming biedt voor EUCI met een bepaalde rubriceringsgraad, en dat alle personeelsleden die toegang tot EUCI moeten hebben, een passend veiligheidsonderzoek hebben ondergaan en informatie hebben ontvangen over de toepasselijke beveiligingseisen die nodig zijn om EUCI te kunnen raadplegen en beschermen;

„veiligheidsmachtiging voor personen” (PVM): een van de volgende:

—   „EU-veiligheidsmachtiging voor personen (EU-PVM) voor toegang tot EUCI”: een machtiging door het tot aanstelling bevoegde gezag van het SGR die overeenkomstig dit besluit wordt verleend na de voltooiing van een veiligheidsonderzoek door de bevoegde instanties van een lidstaat, waarbij wordt bevestigd dat de betrokkene, mits zijn „noodzaak tot kennisname” is vastgesteld, tot een bepaalde datum toegang mag hebben tot EUCI tot op een bepaald niveau (CONFIDENTIEL UE/EU CONFIDENTIAL of hoger); van die persoon wordt dan gezegd dat hij „gescreend” is;

—   „nationale veiligheidsmachtiging voor personen (nationale PVM) voor toegang tot EUCI”: een verklaring van een bevoegde autoriteit van een lidstaat, die wordt afgelegd na de voltooiing van een veiligheidsonderzoek door de bevoegde instanties van die lidstaat, waarbij wordt bevestigd dat de betrokkene, mits zijn „noodzaak tot kennisname” is vastgesteld, tot een bepaalde datum toegang mag hebben tot EUCI tot op een bepaald niveau (CONFIDENTIEL UE/EU CONFIDENTIAL of hoger); van die persoon wordt dan gezegd dat hij „gescreend” is;

„veiligheidsonderzoek”: de onderzoeksprocedures die de bevoegde instantie van een lidstaat overeenkomstig de nationale wet- en regelgeving uitvoert om zekerheid te krijgen dat er geen negatieve feiten bekend zijn waardoor de betrokkene niet in aanmerking zou komen voor een nationale PVM of een EU-PVM voor toegang tot EUCI tot op een bepaald niveau (CONFIDENTIEL UE/EU CONFIDENTIAL of hoger);

„verdediging in de diepte”: de toepassing van een reeks beveiligingsmaatregelen in de vorm van meerdere verdedigingslagen;

„verwerking” van EUCI: alle mogelijke handelingen waaraan EUCI tijdens de gehele levenscyclus kan worden onderworpen. Hiertoe behoren het genereren, verwerken, vervoeren, rubricering verlagen, declassificeren en vernietigen van de informatie. Met betrekking tot CIS behoren hiertoe ook het verzamelen, tonen, overdragen en opslaan ervan.

Aanhangsel B

CONCORDANTIE VAN DE RUBRICERINGEN

EU

TRÈS SECRET UE/EU TOP SECRET

SECRET UE/EU SECRET

CONFIDENTIEL UE/EU CONFIDENTIAL

RESTREINT UE/EU RESTRICTED

België

Très Secret (Loi 11.12.1998)

Zeer Geheim (Wet 11.12.1998)

Secret (Loi 11.12.1998)

Geheim (Wet 11.12.1998)

Confidentiel (Loi 11.12.1998)

Vertrouwelijk (Wet 11.12.1998)

zie voetnoot (1)

Bulgarije

Cтpoгo ceкретно

Ceкретно

Поверително

За служебно ползване

Tsjechië

Přísně tajné

Tajné

Důvěrné

Vyhrazené

Denemarken

Yderst hemmeligt

Hemmeligt

Fortroligt

Til tjenestebrug

Duitsland

STRENG GEHEIM

GEHEIM

VS (2)- VERTRAULICH

VS — NUR FÜR DEN DIENSTGEBRAUCH

Estland

Täiesti salajane

Salajane

Konfidentsiaalne

Piiratud

Ierland

Top Secret

Secret

Confidential

Restricted

Griekenland

Άκρως Απόρρητο

Abr: ΑΑΠ

Απόρρητο

Abr: (ΑΠ)

Εμπιστευτικό

Αbr: (ΕΜ)

Περιορισμένης Χρήσης

Abr: (ΠΧ)

Spanje

SECRETO

RESERVADO

CONFIDENCIAL

DIFUSIÓN LIMITADA

Frankrijk

Très Secret Défense

Secret Défense

Confidentiel Défense

zie voetnoot (3)

Italië

Segretissimo

Segreto

Riservatissimo

Riservato

Cyprus

Άκρως Απόρρητο

Αbr: (AΑΠ)

Απόρρητο

Αbr: (ΑΠ)

Εμπιστευτικό

Αbr: (ΕΜ)

Περιορισμένης Χρήσης

Αbr: (ΠΧ)

Letland

Sevišķi slepeni

Slepeni

Konfidenciāli

Dienesta vajadzībām

Litouwen

Visiškai slaptai

Slaptai

Konfidencialiai

Riboto naudojimo

Luxemburg

Très Secret Lux

Secret Lux

Confidentiel Lux

Restreint Lux

Hongarije

Szigorúan titkos!

Titkos!

Bizalmas!

Korlátozott terjesztésű!

Malta

L-Ogħla Segretezza

Sigriet

Kunfidenzjali

Ristrett

Nederland

Stg. ZEER GEHEIM

Stg. GEHEIM

Stg. CONFIDENTIEEL

Dep. VERTROUWELIJK

Oostenrijk

Streng Geheim

Geheim

Vertraulich

Eingeschränkt

Polen

Ściśle Tajne

Tajne

Poufne

Zastrzeżone

Portugal

Muito Secreto

Secreto

Confidencial

Reservado

Roemenië

Strict secret de importanță deosebită

Strict secret

Secret

Secret de serviciu

Slovenië

Strogo tajno

Tajno

Zaupno

Interno

Slowakije

Prísne tajné

Tajné

Dôverné

Vyhradené

Finland

ERITTÄIN SALAINEN

YTTERST HEMLIG

SALAINEN

HEMLIG

LUOTTAMUKSELLINEN

KONFIDENTIELL

KÄYTTÖ RAJOITETTU

BEGRÄNSAD TILLGÅNG

Zweden (4)

HEMLIG/TOP SECRET

HEMLIG AV SYNNERLIG BETYDELSE FÖR RIKETS SÄKERHET

HEMLIG/SECRET

HEMLIG

HEMLIG/CONFIDENTIAL

HEMLIG

HEMLIG/RESTRICTED

HEMLIG

Verenigd Koninkrijk

Top Secret

Secret

Confidential

Restricted


(1)  Diffusion Restreinte/Beperkte Verspreiding is in België geen classificatiegraad. België behandelt en beschermt alle gegevens met rubricering „RESTREINT UE/EU RESTRICTED” op een niet minder stringente wijze dan door de normen en procedures in de beveiligingsvoorschriften van de Raad van de Europese Unie wordt voorgeschreven.

(2)  Germany: VS = Verschlusssache.

(3)  Frankrijk maakt in zijn nationale systeem geen gebruik van de rubricering „RESTREINT”. Frankrijk behandelt en beschermt alle gegevens met rubricering „RESTREINT UE/EU RESTRICTED” op een niet minder stringente wijze dan door de normen en procedures in de beveiligingsvoorschriften van de Raad van de Europese Unie wordt voorgeschreven.

(4)  Zweden: de rubriceringen op de bovenste rij worden gebruikt door de defensieautoriteiten en die op de onderste rij door andere autoriteiten.

Aanhangsel C

LIJST VAN NATIONALE VEILIGHEIDSINSTANTIES (NSA's)

BELGIË

Nationale Veiligheidsoverheidsdienst,

FOD Buitenlandse Zaken, Buitenlandse Handel en Ontwikkelingssamenwerking

Karmelietenstraat 15

1000 Brussel

BELGIË

Tel. secretariaat +32 25014542

Fax +32 25014596

E-mail: nvo-ans@diplobel.fed.be

DENEMARKEN

Politiets Efterretningstjeneste

(Deense veiligheidsinlichtingendienst)

Klausdalsbrovej 1

2860 Søborg

DENEMARKEN

Tel. +45 33148888

Fax +45 33430190

Forsvarets Efterretningstjeneste

(Deense defensie-inlichtingendienst)

Kastellet 30

2100 Copenhagen Ø

DENEMARKEN

Tel. +45 33325566

Fax +45 33931320

BULGARIJE

State Commission on Information Security

90 Cherkovna Str.

1505 Sofia

BULGARIJE

Tel. +359 29215911

Fax +359 29873750

E-mail: dksi@government.bg

Website: www.dksi.bg

DUITSLAND

Bundesministerium des Innern

Referat ÖS III 3

Alt-Moabit 101 D

11014 Berlin

DUITSLAND

Tel. +49 30186810

Fax +49 30186811441

E-mail: oesIII3@bmi.bund.de

TSJECHIË

Národní bezpečnostní úřad

(National Security Authority)

Na Popelce 2/16

150 06 Praha 56

REPUBLIEK TSJECHIË

Tel. +420 257283335

Fax +420 257283110

E-mail: czech.nsa@nbu.cz

Website: www.nbu.cz

ESTLAND

National Security Authority Department

Estonian Ministry of Defence

Sakala 1

15094 Tallinn

ESTLAND

Tel. +372 7170113, +372 7170117

Fax +372 7170213

E-mail: nsa@kmin.ee

IERLAND

National Security Authority

Department of Foreign Affairs

76-78 Harcourt Street

Dublin 2

Ireland

Tel. +353 14780822

Fax +353 14082959

SPANJE

Autoridad Nacional de Seguridad

Oficina Nacional de Seguridad

Avenida Padre Huidobro s/n

28023 Madrid

SPANJE

Tel. +34 913725000

Fax +34 913725808

E-mail: nsa-sp@areatec.com

GRIEKENLAND

Γενικό Επιτελείο Εθνικής Άμυνας (ΓΕΕΘΑ)

Διακλαδική Διεύθυνση Στρατιωτικών Πληροφοριών (ΔΔΣΠ)

Διεύθυνση Ασφαλείας και Αντιπληροφοριών

ΣΤΓ 1020 -Χολαργός (Αθήνα)

Ελλάδα

Τηλέφωνα: +30 2106572045 (ώρες γραφείου)

+30 2106572009 (ώρες γραφείου)

Φαξ: +30 2106536279

+30 2106577612

Hellenic National Defence General Staff (HNDGS)

Military Intelligence Sectoral Directorate

Security Counterintelligence Directorate

STG 1020 Holargos — Athens

GRIEKENLAND

Tel. +30 2106572045,

+30 21065720 09

Fax +30 2106536279,

+30 2106577612

FRANKRIJK

Secrétariat général de la défense et de la sécurité nationale

Sous-direction Protection du secret (SGDSN/PSD)

51 Boulevard de la Tour-Maubourg

75700 Paris 07 SP

FRANKRIJK

Tel. +33 171758177

Fax +33 171758200

ITALIË

Presidenza del Consiglio dei Ministri

Autorità Nazionale per la Sicurezza

D.I.S. — U.C.Se.

Via di Santa Susanna, 15

00187 Roma

ITALIË

Tel. +39 0661174266

Fax +39 064885273

LETLAND

National Security Authority

Constitution Protection Bureau of the Republic of Latvia

P.O.Box 286

Riga, LV-1001

Tel. + 371 67025418

Fax + 371 67025454

E-mail: ndi@sab.gov.lv

CYPRUS

ΥΠΟΥΡΓΕΙΟ ΑΜΥΝΑΣ

ΣΤΡΑΤΙΩΤΙΚΟ ΕΠΙΤΕΛΕΙΟ ΤΟΥ ΥΠΟΥΡΓΟΥ

Εθνική Αρχή Ασφάλειας (ΕΑΑ)

Υπουργείο Άμυνας

Λεωφόρος Εμμανουήλ Ροΐδη 4

1432 Λευκωσία, Κύπρος

Τηλέφωνα: +357 22807569, +357 22807643, +357 22807764

Τηλεομοιότυπο: +357 22302351

Ministry of Defence

Minister's Military Staff

National Security Authority (NSA)

4 Emanuel Roidi street

1432 Nicosia

CYPRUS

Tel. +357 22807569, +357 22807643, +357 22807764

Fax +357 22302351

E-mail: cynsa@mod.gov.cy

LITOUWEN

Lietuvos Respublikos paslapčių apsaugos koordinavimo komisija

(The Commission for Secrets Protection Coordination of the Republic of Lithuania

National Security Authority)

Gedimino 40/1

LT-01110 Vilnius

Tel. +370 52663201, +370 52663202

Fax +370 52663200

E-mail: nsa@vsd.lt

LUXEMBURG

Autorité nationale de Sécurité

Boîte postale 2379

1023 Luxembourg

LUXEMBURG

Tel. +352 24782210 central

+352 24782253 direct

Fax +352 24782243

NEDERLAND

Ministerie van Binnenlandse Zaken en Koninkrijksrelaties

Postbus 20010

2500 EA Den Haag

NEDERLAND

Tel. +31 703204400

Fax +31 703200733

Ministerie van Defensie

Beveiligingsautoriteit

Postbus 20701

2500 ES Den Haag

NEDERLAND

Tel. +31 703187060

Fax +31 703187522

HONGARIJE

Nemzeti Biztonsági Felügyelet

(National Security Authority)

P.O. Box 2

1357 Budapest

HONGARIJE

Tel. +361 3469652

Fax +361 3469658

E-mail: nbf@nbf.hu

Website: www.nbf.hu

MALTA

Ministry of Justice and Home Affairs

P.O. Box 146

Valletta

MALTA

Tel. +356 21249844

Fax +356 25695321

OOSTENRIJK

Informationssicherheitskommission

Bundeskanzleramt

Ballhausplatz 2

1014 Wien

OOSTENRIJK

Tel. +43 1531152594

Fax +43 1531152615

E-mail: ISK@bka.gv.at

POLEN

Agencja Bezpieczeństwa Wewnętrznego — ABW

(Internal Security Agency)

2A Rakowiecka St.

00-993 Warszawa

POLEN

Tel. +48 225857360

Fax +48 225858509

E-mail: nsa@abw.gov.pl

Website: www.abw.gov.pl

Służba Kontrwywiadu Wojskowego

(Military Counter-Intelligence Service)

Classified Information Protection Bureau

Oczki 1

02-007 Warszawa

POLEN

Tel. +48 226841247

Fax +48 226841076

E-mail: skw@skw.gov.pl

ROEMENIË

Oficiul Registrului Național al Informațiilor Secrete de Stat

(Romanian NSA — ORNISS

National Registry Office for Classified Information)

4 Mures Street

012275 Bucharest

ROEMENIË

Tel. +40 212245830

Fax +40 212240714

E-mail: nsa.romania@nsa.ro

Website: www.orniss.ro

PORTUGAL

Presidência do Conselho de Ministros

Autoridade Nacional de Segurança

Rua da Junqueira, 69

1300-342 Lisboa

PORTUGAL

Tel. +351 213031710

Fax +351 213031711

SLOVENIË

Urad Vlade RS za varovanje tajnih podatkov

Gregorčičeva 27

SI-1000 Ljubljana

Tel. +386 14781390

Fax +386 14781399

SLOWAKIJE

Národný bezpečnostný úrad

(National Security Authority)

Budatínska 30

P.O. Box 16

850 07 Bratislava

SLOWAKIJE

Tel. +421 268692314

Fax +421 263824005

Website: www.nbusr.sk

ZWEDEN

Utrikesdepartementet

(Ministerie van buitenlandse zaken)

SSSB

SE-103 39 Stockholm

Tel. +46 84051000

Fax +46 87231176

E-mail: ud-nsa@foreign.ministry.se

FINLAND

National Security Authority

Ministry for Foreign Affairs

P.O. Box 453

FI-00023 Government

Tel. 1 +358 916056487

Tel. 2 +358 916056484

Fax +358 916055140

E-mail: NSA@formin.fi

VERENIGD KONINKRIJK

UK National Security Authority

Room 335, 3rd Floor

70 Whitehall

London

SW1A 2WH 2AS

VERENIGD KONINKRIJK

Tel. 1 +44 2072765649

Tel. 2 +44 2072765497

Fax +44 2072765651

E-mail: UK-NSA@cabinet-office.x.gsi.gov.uk

Aanhangsel D

LIJST VAN AFKORTINGEN

Acroniem

Betekenis

AQUA

Appropriately Qualified Authority (naar behoren gekwalificeerde instantie)

BPS

Boundary Protection Services (voorzieningen om de grenzen te beschermen)

CAA

Crypto Approval Authority (overheid voor de goedkeuring van encryptieproducten)

CCTV

Closed Circuit Television (gesloten tv-circuit)

CDA

Crypto Distribution Authority (overheid voor de verdeling van encryptieproducten)

CIS

Communicatie- en informatiesystemen die EUCI verwerken

COREPER

Comité van permanente vertegenwoordigers

CPVM

Certificaat van veiligheidsmachtiging voor personen

DSA

Designated Security Authority (aangewezen veiligheidsautoriteit)

ECSD

European Commission Security Directorate (directoraat Veiligheid van de Europese Commissie)

EUCI

EU Classified Information (gerubriceerde EU-informatie)

EVDB

Europees veiligheids- en defensiebeleid

FSC

Facility Security Clearance (veiligheidsmachtiging voor een vestiging)

GBR

Gids voor rubricering

GBVB

Gemeenschappelijk buitenlands en veiligheidsbeleid

IA

Information Assurance (informatieborging)

IAA

Information Assurance Authority (IA-overheid)

IDS

Intrusion Detection System (indringerdetectiesysteem)

IT

Informatietechnologie

MBA

Memorandum over de beveiligingsaspecten

NSA

National Security Authority (nationale veiligheidsautoriteit)

OB's

Operationele beveiligingsprocedures

PBI

Programma-/projectbeveiligingsinstructies

PVM

Veiligheidsmachtiging voor personen

SAA

Security Accreditation Authority (homologatieoverheid)

SG/HV

Secretaris-generaal van de Raad/Hoge vertegenwoordiger voor het GBVB

SGR

Secretariaat-generaal van de Raad

SSB

Systeemgebonden specificatie van beveiligingseisen

SVEU

Speciale vertegenwoordiger van de Europese Unie

TA

Tempest-Authority (Tempest-overheid)

VAO

Veiligheidshomologatieorgaan