EUROPESE COMMISSIE
Brussel, 22.3.2022
COM(2022) 119 final
2022/0084(COD)
Voorstel voor een
VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD
betreffende informatiebeveiliging in de instellingen, organen en instanties van de Unie
{SWD(2022) 65 final} - {SWD(2022) 66 final}
TOELICHTING
1.ACHTERGROND VAN HET VOORSTEL
•Motivering en doel van het voorstel
Dit voorstel is een onderdeel van de EU-strategie voor de veiligheidsunie 1 die de Commissie op 24 juli 2020 heeft aangenomen, waarbij zij zich ertoe verbond de nationale veiligheidsinspanningen te ondersteunen met de meerwaarde die de Europese Unie biedt. Onderdeel van deze verbintenis is het initiatief om de interne rechtskaders op het gebied van informatiebeveiliging in alle instellingen en organen van de Unie te stroomlijnen.
Een belangrijk onderdeel van de strategische agenda voor 2019–2024, die de Europese Raad in juni 2019 heeft aangenomen, is de bescherming van onze samenlevingen tegen de steeds veranderende dreigingen waaraan de door de instellingen en organen verwerkte informatie blootstaat. De Europese Raad verzocht in zijn conclusies 2 in het bijzonder “de EU-instellingen om samen met de lidstaten aan maatregelen te werken om de weerbaarheid te vergroten en de veiligheidscultuur van de EU tegen cyber- en hybride dreigingen van buiten de EU te verbeteren, en om de informatie- en communicatienetwerken en de besluitvormingsprocessen van de EU beter te beschermen tegen alle soorten kwaadwillige activiteiten”.
Op diezelfde lijn concludeerde de Raad Algemene Zaken van december 2019 3 dat de instellingen, organen en instanties, ondersteund door de lidstaten, een uitgebreide reeks maatregelen moeten uitwerken en toepassen om hun veiligheid te waarborgen. Ook het Beveiligingscomité van de Raad vraagt al geruime tijd dat onderzoek wordt gedaan naar een gemeenschappelijke kern van beveiligingsvoorschriften voor de Raad, de Commissie en de Europese Dienst voor extern optreden 4 .
De instellingen en organen van de Unie hebben momenteel ofwel elk hun eigen voorschriften op het gebied van informatiebeveiliging, gebaseerd op hun reglement van orde of oprichtingshandeling, ofwel helemaal geen voorschriften op dat gebied. Dat laatste geldt met name voor enkele kleine entiteiten die geen formeel beleid hebben op het gebied van informatiebeveiliging.
Door de steeds grotere hoeveelheden gevoelige niet-gerubriceerde informatie en gerubriceerde informatie van de Europese Unie (“EUCI”) die de instellingen en organen van de Unie onderling moeten uitwisselen en door de dramatische ontwikkeling van het dreigingslandschap staat het Europese bestuur bloot aan aanvallen op alle gebieden waarop het actief is. De informatie die onze instellingen en organen verwerken, is zeer aantrekkelijk voor de dreigingsactoren en moet adequaat worden beschermd. Voor een betere bescherming moet daarom snel actie worden ondernomen.
Om de door het Europese bestuur verwerkte informatie beter te beschermen, beoogt dit initiatief de verschillende rechtskaders van de instellingen en organen van de Unie op dit gebied te stroomlijnen door:
•uitgebreide geharmoniseerde informatiecategorieën en gemeenschappelijke verwerkingsvoorschriften vast te stellen voor alle instellingen en organen van de Unie;
•een flexibele regeling voor de samenwerking inzake informatiebeveiliging tussen de instellingen en organen van de Unie op te zetten, waarmee voor het gehele Europese bestuur een samenhangende informatiebeveiligingscultuur tot stand kan worden gebracht;
•het informatiebeveiligingsbeleid op alle rubricerings- en categoriseringsniveaus te moderniseren voor alle instellingen en organen van de Unie, rekening houdend met de digitale transformatie en de ontwikkeling van thuiswerken als structurele praktijk.
•Samenhang met bestaande bepalingen op het beleidsterrein
Dit initiatief is in overeenstemming met een breed scala aan EU-beleid op het gebied van veiligheid en informatiebeveiliging.
Al in 2016 stelden het Europees Parlement en de Raad een richtlijn 5 vast met maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie. Die richtlijn was de eerste EU-brede wetgevingsmaatregel waarmee werd gestreefd naar nauwere samenwerking tussen de lidstaten op het gebied van cyberbeveiliging. De Commissie kwam in december 2020 met een voorstel tot herziening van dit instrument, waarbij toezichtmaatregelen voor de nationale autoriteiten werden voorgesteld, maar dat had geen betrekking op het bestuur van de Unie.
Ter bescherming van de informatiebeveiliging is het ook, als aanvulling op de inspanningen van de lidstaten op veiligheidsgebied, van het allergrootste belang dat de instellingen en organen van de Unie zorgen voor een hoog niveau van bescherming van hun informatie en de daarmee samenhangende informatie- en communicatiesystemen.
De Commissie stelde in juli 2020 de strategie voor de veiligheidsunie vast 6 , waarin de EU zich er op alle vlakken toe verbindt de inspanningen van de lidstaten op alle beveiligingsterreinen aan te vullen. De strategie loopt van 2020 tot en met 2025 en voorziet in vier grote actiegebieden: een toekomstbestendige veiligheidsomgeving, aanpak van veranderende dreigingen, bescherming van Europeanen tegen terrorisme en georganiseerde misdaad en een krachtig Europees veiligheidsecosysteem. Verschillende thema’s op deze gebieden zijn gericht op informatiebeveiliging, cyberbeveiliging, samenwerking en informatie-uitwisseling en kritieke infrastructuur.
In overeenstemming met de strategie voor de veiligheidsunie stelt de Europese Commissie voor een minimumreeks voorschriften op het gebied van informatiebeveiliging op te stellen voor alle instellingen en organen van de Unie, waarbij verplichte, strikte gemeenschappelijke normen voor de veilige uitwisseling van informatie tot stand zullen komen. Dit initiatief toont aan dat de instellingen en organen zich ertoe verbinden om binnen het Europese bestuur evenveel ambitie op het gebied van veiligheid te tonen als van de lidstaten wordt geëist.
Op 16 december 2020 hebben de Commissie en de hoge vertegenwoordiger voor buitenlandse zaken en veiligheidsbeleid een nieuwe EU-strategie inzake cyberbeveiliging 7 gepresenteerd. Daarin werden prioriteiten en belangrijke maatregelen voorgesteld om veerkracht, autonomie, leiderschap en operationele capaciteit voor Europa op te bouwen in het licht van de toenemende complexe dreigingen voor netwerk- en informatiesystemen, en om een mondiale open cyberspace en internationale partnerschappen in dat verband te bevorderen. Het is evenzeer belangrijk dat de instellingen en organen van de Unie bijdragen tot de verwezenlijking van deze prioriteiten door gelijkwaardige eisen op het gebied van informatiebeveiliging en cyberbeveiliging vast te stellen.
Samen met het voorstel voor een verordening betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie beoogt dit voorstel de regelgeving in het kader van de strategie voor de veiligheidsunie te vervolledigen met specifieke vereisten voor het Europese bestuur. Gezien de onderlinge verbanden tussen informatiebeveiliging en cyberbeveiliging moet ten aanzien van deze twee voorstellen worden gezorgd voor een coherente aanpak van de bescherming van niet-gerubriceerde informatie.
•Verenigbaarheid met andere beleidsterreinen van de Unie
Dit initiatief houdt ook rekening met andere beleidsterreinen van de Unie die voor informatiebeveiliging relevant zijn.
Op het gebied van gegevensbescherming is Verordening (EU) 2018/1725 8 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens van toepassing op het bestuur van de Europese Unie en de Europese Gemeenschap voor Atoomenergie (Euratom). Ook moet worden vermeld dat de EU-wetgevers voor sommige instellingen en organen van de Unie specifieke relevante regels voor de bescherming van persoonsgegevens hebben vastgesteld.
Wat transparantie betreft, bouwt dit voorstel voort op de beginselen die zijn neergelegd in Verordening (EG) nr. 1049/2001 9 inzake de toegang van het publiek tot documenten van het Europees Parlement, de Raad en de Commissie, met betrekking tot andere relevante regels.
2.RECHTSGRONDSLAG, SUBSIDIARITEIT EN EVENREDIGHEID
•Rechtsgrondslag
Gezien het doel en de inhoud van dit voorstel vormen artikel 298 van het Verdrag betreffende de werking van de Europese Unie (VWEU) en artikel 106 bis van het Verdrag tot oprichting van de Europese Gemeenschap voor Atoomenergie de meest geschikte rechtsgrondslag.
Artikel 298 VWEU, ingevoerd bij het Verdrag van Lissabon, stelt de wetgevers in staat bepalingen vast te stellen voor de totstandbrenging van een efficiënt en onafhankelijk ambtenarenapparaat dat de instellingen, organen en instanties bij de uitvoering van hun taken ondersteunt.
Een efficiënt en onafhankelijk ambtenarenapparaat moet kunnen vertrouwen op de veiligheid van zijn informatie. Om hun taken te vervullen, moeten de instellingen en organen van de Unie kunnen beschikken over een beveiligde omgeving voor de informatie die zij dagelijks verwerken en opslaan. Bovendien zou een gemeenschappelijk basisniveau van verplichte normen voor iedereen een hoge mate van veiligheid garanderen, het risico op zwakke schakels bij de ondersteuning van de interoperabiliteit tussen instellingen en organen verminderen en synergie tot stand brengen, waardoor de overheid beter weerbaar is tegen de veranderende dreigingen.
Dit voorstel, waarvan het algemene doel is een hoog gemeenschappelijk niveau van beveiliging tot stand te brengen voor EUCI en niet-gerubriceerde informatie die door de instellingen en organen van de Unie worden verwerkt en opgeslagen, zal het Europese bestuur bovendien in staat stellen zich beter te verweren tegen externe inmenging en spionageactiviteiten.
Op grond van artikel 298 VWEU kan de Unie gemeenschappelijke regels vaststellen voor het gehele Europese bestuur en aldus waarborgen dat zowel EUCI als niet-gerubriceerde informatie door alle instellingen en organen van de Unie op dezelfde wijze wordt behandeld. Zo worden bij deze verordening regels vastgesteld die van toepassing zijn op het bestuur en kunnen indirect alleen verplichtingen worden opgelegd aan personen die taken verrichten namens dit bestuur of op contractuele basis; dus niet aan de commissarissen, de vertegenwoordigers van de lidstaten die in het kader van de Raad handelen, de leden van het Europees Parlement, de rechters van de rechterlijke instanties van de Unie of de leden van de Europese Rekenkamer.
Overeenkomstig artikel 298 VWEU moeten het Europees Parlement en de Raad de desbetreffende bepalingen volgens de gewone wetgevingsprocedure bij verordeningen vaststellen.
Dit voorstel vereist een aanvullende rechtsgrondslag aangezien het ook betrekking heeft op de informatie die verband houdt met bepaalde activiteiten van de Europese Gemeenschap voor Atoomenergie. Dergelijke informatie is geen gerubriceerde Euratom-informatie, maar wordt door de instellingen en organen van de Unie behandeld in het kader van de algemene regeling voor EUCI.
Deze aanvullende rechtsgrondslag is artikel 106 bis van het Verdrag tot oprichting van de Europese Gemeenschap voor Atoomenergie, waardoor artikel 298 VWEU ook van toepassing is op bovengenoemde Euratom-activiteiten.
•Subsidiariteit (voor niet-exclusieve bevoegdheden)
Overeenkomstig het in artikel 5, lid 3, van het Verdrag betreffende de Europese Unie (VEU) neergelegde subsidiariteitsbeginsel mag slechts op het niveau van de Unie worden opgetreden wanneer de doelstellingen van het overwogen optreden niet voldoende door de lidstaten alleen kunnen worden verwezenlijkt, maar vanwege de omvang of de gevolgen van het overwogen optreden beter door de EU kunnen worden bereikt.
Aangezien alleen de Unie voorschriften kan vaststellen en inzake EUCI en gevoelige niet-gerubriceerde informatie die door de instellingen en organen van de Unie wordt verwerkt en opgeslagen, is het subsidiariteitsbeginsel niet van toepassing.
•Evenredigheid
De vaststelling van een gemeenschappelijk basisniveau van informatiebeveiliging dat voor alle instellingen en organen van de Unie geldt, is noodzakelijk om bij te dragen tot een onafhankelijk en efficiënt bestuur.
Overeenkomstig het in artikel 5, lid 4, VEU neergelegde evenredigheidsbeginsel zijn de bepalingen van de verordening niet te prescriptief en laten zij ruimte voor verschillende niveaus van specifiek optreden, in overeenstemming met het maturiteitsniveau op beveiligingsgebied van elke instelling en elk orgaan van de Unie.
Bovendien heeft de oplossing beperkte gevolgen voor de grondrechten van personen. Het voorstel gaat derhalve niet verder dan wat nodig is voor de aanpak van het probleem dat er geen gemeenschappelijke reeks voorschriften inzake informatiebeveiliging bestaat voor alle instellingen en organen van de Unie.
•Keuze van het instrument
Een verordening op basis van artikel 298 VWEU wordt als het passende rechtsinstrument beschouwd.
De reden daarvoor is de overheersende rol van elementen die een uniforme toepassing vereisen, die de instellingen en organen van de Unie geen uitvoeringsmarge laat en die een horizontaal minimumkader creëert.
3.EVALUATIE, RAADPLEGING VAN BELANGHEBBENDEN EN EFFECTBEOORDELING
•Evaluatie van bestaande wetgeving en controle van de resultaatgerichtheid ervan
Niet van toepassing
•Raadpleging van belanghebbenden
De Commissie heeft de belangrijkste belanghebbenden op brede basis geraadpleegd over diverse aspecten van de voorschriften inzake informatiebeveiliging van de instellingen en organen van de Unie. De raadplegingsactiviteiten waren er met name op gericht relevante input te verzamelen voor het opstellen van een wetgevingsinitiatief inzake de voorschriften voor informatiebeveiliging die voor alle instellingen en organen van de Unie gelden. De raadplegingen waren bedoeld om input te verzamelen over:
•problemen in verband met het bestaande kader voor informatiebeveiliging binnen de instellingen en organen van de Unie die volgens belanghebbenden in het kader van het initiatief moeten worden aangepakt;
•de relevantie, doeltreffendheid, efficiëntie en toegevoegde waarde van het initiatief;
•de verwachte effecten van het initiatief en mogelijke andere consequenties voor de belanghebbenden.
Bij de voorbereiding van dit wetgevingsvoorstel heeft de Commissie de volgende categorieën belanghebbenden geraadpleegd:
1.instellingen, organen en instanties van de Unie;
2.nationale veiligheidsautoriteiten in de lidstaten;
3.onderzoeksdeskundigen van het JRC.
Gezien de bijzondere kenmerken van dit initiatief, dat uitsluitend van toepassing is op de instellingen en organen van de Unie en weinig gevolgen heeft voor de Europese burgers en bedrijven, hebben de diensten van de Commissie ervoor gekozen prioriteit te geven aan het verzamelen van de standpunten van de relevante groepen belanghebbenden. Er is daarom geen openbare raadpleging specifiek voor dit wetgevingsinitiatief gehouden.
Tijdens het raadplegingsproces hebben de diensten van de Commissie de volgende methoden en vormen van raadpleging gebruikt:
1.de mogelijkheid voor alle belanghebbenden om via het platform “Geef uw mening” van de Commissie feedback te geven over de aanvangseffectbeoordeling;
2.een gerichte vragenlijst voor deskundigen op het gebied van informatiebeveiliging binnen de instellingen en organen van de Unie, via een online EU-enquête;
3.een gerichte vragenlijst voor de nationale veiligheidsautoriteiten van de lidstaten, via een online EU-enquête;
4.een verzoek om een op maat gesneden risicobeoordeling van de essentiële informatiebeveiligingsinstrumenten;
5.een groot aantal bijeenkomsten en uitwisselingen met instellingen, organen en instanties, en nationale veiligheidsautoriteiten van de lidstaten.
De belangrijkste inzichten waartoe de raadplegingsactiviteiten hebben geleid, zijn volgens de Commissie:
•de versnippering van de relevante rechtskaders tussen onze instellingen en organen leidt tot veel dubbel werk voor het opstellen en handhaven van interne regels en tot niet-interoperabele praktijken bij de verwerking van informatie. Voor de lidstaten leiden de verschillende regels tot een groter risico op misverstanden, verkeerde interpretatie en niet-naleving;
•door een basisniveau van informatiebeveiliging voor alle instellingen en organen van de Unie vast te stellen, wordt een ecosysteem gecreëerd met gestandaardiseerde beveiligingsvoorschriften en beste praktijken, maar er moet rekening worden gehouden met de diversiteit en het verschillende bedrijfsklimaat van alle instellingen en organen van de Unie en lokale oplossingen moeten mogelijk zijn;
•alle instellingen en organen van de Unie blijven volledig verantwoordelijk voor hun organisatie van de informatiebeveiliging, en dit initiatief moet derhalve de autonomie en de verschillende niveaus van beveiligingsmaturiteit van elk van die instellingen en organen respecteren.
•Bijeenbrengen en benutten van deskundigheid
De Commissie heeft haar eigen middelen gebruikt voor de raadpleging van belanghebbenden. Het directoraat Beveiliging van DG HR heeft werkzaamheden verricht met betrekking tot de enquêtes, videoconferenties en andere workshops. Deze taak omvatte zowel de selectie van deelnemers als de organisatie van evenementen en de verwerking van de ontvangen input.
Het Gemeenschappelijk Centrum voor Onderzoek (JRC) heeft een risicobeoordeling uitgevoerd van de belangrijkste informatiebeveiligingsvoorzieningen, die als basis voor de effectbeoordeling is gebruikt.
•Effectbeoordeling
Dit initiatief is uitsluitend gericht tot de instellingen en organen van de Unie en heeft beperkte gevolgen voor de lidstaten en individuele personen. Het was daarom niet nodig om een volledige effectbeoordeling uit te voeren, aangezien er geen duidelijk identificeerbare of significante gevolgen zijn voor burgers en bedrijven. Op de Europa-website is een uitgebreide routekaart gepubliceerd en feedback van de relevante belanghebbenden is verzameld.
•Resultaatgerichtheid en vereenvoudiging
Niet van toepassing.
•Grondrechten
De EU heeft zich ertoe verbonden hoge normen voor de bescherming van de grondrechten te waarborgen. Dit initiatief waarborgt volledige naleving van de grondrechten die zijn vastgelegd in het Handvest van de grondrechten van de Europese Unie 10 , namelijk:
•Recht op behoorlijk bestuur 11
Door de beveiliging van de informatie die zij verwerken bij de behandeling van zaken van Europese burgers te verbeteren, dragen de instellingen en organen van de Unie bij tot de verwezenlijking van het beginsel van behoorlijk bestuur.
•De bescherming van persoonsgegevens 12
Alle verwerking van persoonsgegevens in het kader van dit voorstel vindt plaats in een betrouwbare omgeving met volledige inachtneming van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad.
•Recht van inzage in documenten 13
De toegang van het publiek tot EUCI en gevoelige niet-gerubriceerde documenten blijft volledig geregeld bij Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad.
•Het recht op intellectuele eigendom 14
Bij de verwerking en opslag van niet-gerubriceerde informatie en EUCI beschermen de instellingen en organen van de Unie de intellectuele eigendom overeenkomstig Richtlijn 2001/29/EG van het Europees Parlement en de Raad 15 .
•De vrijheid van meningsuiting en van informatie 16
Hoewel het iedereen vrijstaat om zonder inmenging van het openbaar gezag informatie en ideeën te ontvangen en te delen, belet dit de Unie niet de voorwaarden vast te stellen voor de toegang tot en de verwerking en de opslag van bepaalde soorten informatie, op basis van hun vertrouwelijkheidsniveau.
De uitoefening van deze vrijheden kan worden onderworpen aan voorwaarden en beperkingen die bij de wet worden bepaald en die in een democratische samenleving noodzakelijk zijn om te voorkomen dat in vertrouwen en in het belang van de veiligheid van de EU ontvangen informatie openbaar wordt gemaakt.
4.GEVOLGEN VOOR DE BEGROTING
Dit voorstel vereist de aanstelling van één AD-ambtenaar en één AST-assistent voor het permanente secretariaat van de coördinatiegroep, dat wordt verzorgd door de Commissie en wordt ondergebracht bij het directoraat Beveiliging van het directoraat-generaal Personele Middelen en Veiligheid.
Voor de instellingen en organen worden kostenbesparingen verwacht in verband met gedeelde en gezamenlijke taken en doordat potentiële economische schade als gevolg van veiligheidsincidenten wordt voorkomen door verbetering van de informatiebeveiliging. Anderzijds kunnen de financiële inspanningen die nodig zijn voor de uitvoering van de nieuwe wetgeving worden gedekt in het kader van de bestaande programma’s ter verbetering van de informatiebeveiliging in elke instelling en elk orgaan van de Unie.
5.ANDERE ELEMENTEN
•Uitvoeringsplanning en regelingen betreffende controle, evaluatie en rapportage
Het voorstel voorziet in een verplichting voor de Commissie om iedere drie jaar aan het Europees Parlement en de Raad verslag uit te brengen over de uitvoering van deze verordening, met inbegrip van de werking van de bij deze verordening ingestelde governance.
Bovendien evalueert de Commissie om de vijf jaar deze verordening om de feitelijke prestaties ervan te beoordelen en op basis daarvan na te gaan of de wetgeving moet worden gewijzigd.
•Artikelsgewijze toelichting
Dit voorstel is opgebouwd rond de vereisten voor het verwerken en opslaan van niet-gerubriceerde informatie en EUCI; dit zijn de belangrijkste onderwerpen van het initiatief en betere bescherming ervan is het onderliggende doel.
Onderwerp en toepassingsgebied (artikel 1 en artikel 2)
Bij deze verordening wordt een minimumreeks regels inzake informatiebeveiliging vastgesteld, die van toepassing zijn op alle instellingen en organen van de Unie.
Het voorstel is van toepassing op alle informatie die door de instellingen en organen van de Unie wordt verwerkt en opgeslagen, met inbegrip van informatie in verband met de activiteiten van de Europese Gemeenschap voor Atoomenergie, met uitzondering van gerubriceerde Euratom-informatie. Zowel niet-gerubriceerde informatie als EUCI valt onder deze verordening.
Definities en algemene beginselen (artikelen 3 tot en met 5)
De definities in artikel 3 zijn gebaseerd op de huidige regels inzake informatiebeveiliging die door de afzonderlijke instellingen en organen van de Unie zijn vastgesteld.
Naast de algemene beginselen van de wetgeving van de Unie: transparantie, evenredigheid, efficiëntie en verantwoordingsplicht, worden bij deze verordening de belangrijkste bindende richtsnoeren vastgesteld, zoals een afzonderlijk risicobeheerproces op het gebied van informatiebeveiliging dat door elke instelling en elk orgaan van de Unie wordt uitgevoerd en een beoordeling van hun informatie, zodat die naar behoren kan worden gecategoriseerd.
Governance en organisatie van de beveiliging (artikelen 6 tot en met 8)
Alle instellingen en organen van de Unie moeten samenwerken in een interinstitutionele coördinatiegroep voor informatiebeveiliging, die bij consensus handelt, in het gemeenschappelijk belang van de instellingen en organen van de Unie.
De coördinatiegroep bestaat uit de beveiligingsautoriteiten van alle instellingen en organen en stelt richtsnoeren op voor de uitvoering van deze verordening. De groep onderhoudt regelmatig contact met de nationale veiligheidsautoriteiten van de lidstaten, die samenwerken in een comité voor informatiebeveiliging.
Om de procedures en andere praktische aspecten in verband met informatiebeveiliging te stroomlijnen, worden vijf subgroepen opgericht met deskundigen die verschillende instellingen en organen vertegenwoordigen.
Elke instelling en elk orgaan van de Unie moet een veiligheidsautoriteit aanwijzen die belast wordt met het bepalen en uitvoeren van het interne beleid inzake informatiebeveiliging. De beveiligingsautoriteit stelt specifieke functies vast, zoals de Information Assurance Authority (instantie voor informatieborging), de Information Assurance Operational Authority (operationele instantie voor informatieborging), de Security Accreditation Authority (instantie voor beveiligingshomologatie), de TEMPEST Authority (Tempest-instantie), de Crypto Approval Authority (instantie voor de goedkeuring van cryptografische producten) en de Crypto Distribution Authority (instantie voor de distributie van cryptografische producten), die om redenen van efficiëntie of beschikbare middelen aan een andere instelling of ander orgaan kunnen worden gedelegeerd.
Informatieborging en communicatie- en informatiesystemen (artikelen 9 tot en met 11)
Bij de verordening wordt een subgroep informatieborging opgericht, die tot taak heeft de samenhang te verbeteren van de informatiebeveiligingsvoorschriften en het basisniveau op het gebied van cyberbeveiliging, zoals gedefinieerd in de verordening betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie.
De instellingen en organen van de Unie zijn verplicht de in die artikelen genoemde beginselen na te leven en afzonderlijke interne regels voor specifieke beveiligingsmaatregelen vast te stellen, aangepast aan hun eigen veiligheidsomgeving.
Niet-gerubriceerde informatie (artikelen 12 tot en met 17 en bijlage I)
De verordening onderscheidt drie categorieën niet-gerubriceerde informatie: informatie voor openbaar gebruik, normale informatie en gevoelige niet-gerubriceerde informatie. Alle categorieën worden gedefinieerd en er worden markeringen en verwerkingsvoorwaarden vastgesteld voor de bescherming van dergelijke informatie.
Ter coördinatie van het werk in verband met de gelijkwaardigheid tussen bepaalde categorieën die door sommige instellingen en organen van de Unie zijn vastgesteld en de gemeenschappelijke categorieën waarin de verordening voorziet, wordt in het voorstel een subgroep voor niet-gerubriceerde informatie ingesteld.
EUCI (artikelen 18 tot en met 58 en bijlagen II tot en met VI)
Dit is het omvangrijkste hoofdstuk van het voorstel. Het bestaat uit de volgende zeven delen: algemene bepalingen, personeelsbeveiliging, fysieke beveiliging, beheer van EUCI, bescherming van communicatie- en informatiesystemen, industriële beveiliging, delen van EUCI en uitwisseling van gerubriceerde informatie.
In het deel over algemene bepalingen worden vier niveaus van EUCI onderscheiden: TRÈS SECRET UE/EU TOP SECRET, SECRET UE/EU SECRET, CONFIDENTIEL UE/EU CONFIDENTIAL, RESTREINT UE/EU RESTRICTED. Het voorziet in de verplichting voor de instellingen en organen van de Unie om de nodige beveiligingsmaatregelen te nemen overeenkomstig de resultaten van het risicobeheer op het gebied van informatiebeveiliging.
In de overige delen wordt ingegaan op de normen voor de bescherming van EUCI die verband houden met het specifieke gebied dat in die delen wordt behandeld. Nadere details voor deze bescherming van EUCI worden gespecificeerd in de bijlagen II tot en met V. Bijlage VI bevat een equivalentietabel van EUCI en de rubriceringsgraden van de lidstaten en de Europese Gemeenschap voor Atoomenergie.
Om de relevante processen op dit gebied te stroomlijnen en dubbel werk te voorkomen, worden bij de verordening subgroepen ingesteld inzake informatieborging, niet-gerubriceerde informatie, fysieke beveiliging, homologatie van communicatie- en informatiesystemen die EUCI verwerken en opslaan, en uitwisseling van EUCI en gerubriceerde informatie.
Slotbepalingen (artikelen 59 en 62)
Dit deel behandelt de overgang van de huidige regels en procedures naar het nieuwe rechtskader dat bij deze verordening wordt ingesteld. De slotbepalingen hebben betrekking op de interne voorschriften inzake informatiebeveiliging die momenteel van toepassing zijn in de instellingen en organen van de Unie, de erkenning van evaluatiebezoeken die plaatsvinden voordat de verordening van toepassing wordt, de behandeling van eerder gesloten administratieve regelingen en de voortzetting van specifieke beveiligingskaders die van toepassing zijn op subsidieovereenkomsten.
Deze verordening wordt van toepassing twee jaar na de datum van inwerkingtreding.
2022/0084 (COD)
Voorstel voor een
VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD
betreffende informatiebeveiliging in de instellingen, organen en instanties van de Unie
HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,
Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 298,
Gezien het Verdrag tot oprichting van de Europese Gemeenschap voor Atoomenergie, en met name artikel 106 bis,
Gezien het voorstel van de Europese Commissie,
Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,
Handelend volgens de gewone wetgevingsprocedure,
Overwegende hetgeen volgt:
(1)De instellingen en organen van de Unie hebben momenteel ofwel elk hun eigen voorschriften op het gebied van informatiebeveiliging, gebaseerd op hun reglement van orde of oprichtingshandeling, ofwel helemaal geen voorschriften op dat gebied. In dat verband getroost elke instelling en elk orgaan van de Unie zich aanzienlijke inspanningen om verschillende benaderingen te volgen, die leiden tot een situatie waarin de uitwisseling van informatie niet altijd betrouwbaar zal zijn. Het ontbreken van een gemeenschappelijke aanpak is een hindernis voor het inzetten van gemeenschappelijke instrumenten op basis van een overeengekomen reeks regels, afhankelijk van de beveiligingsnoodzaak van de te beschermen informatie.
(2)Hoewel er vooruitgang is geboekt bij de totstandkoming van consistentere regels voor de bescherming van gerubriceerde informatie van de Europese Unie (EUCI) en niet-gerubriceerde informatie, blijft de interoperabiliteit van de relevante systemen beperkt, waardoor een naadloze overdracht van informatie tussen de verschillende instellingen en organen van de Unie wordt verhinderd. Daarom moet verder worden gewerkt aan een interinstitutionele aanpak van het delen van EUCI en gevoelige niet-gerubriceerde informatie, waarvoor gemeenschappelijke categorieën informatie en gemeenschappelijke beginselen voor de behandeling van informatie moeten worden gehanteerd. Er moet ook worden nagedacht over een basisscenario ter vereenvoudiging van de procedures voor het delen van EUCI en gevoelige niet-gerubriceerde informatie tussen de instellingen en organen van de Unie en met de lidstaten.
(3)Er moeten daarom relevante regels worden vastgesteld die een gemeenschappelijk niveau van informatiebeveiliging in alle instellingen en organen van de Unie waarborgen. Die regels moeten een alomvattend en samenhangend algemeen kader vormen voor de bescherming van EUCI en niet-gerubriceerde informatie, en ervoor zorgen dat de basisbeginselen en minimumnormen gelijkwaardig zijn.
(4)De recente pandemie heeft ertoe geleid dat de werkmethoden aanzienlijk zijn veranderd, in die zin dat het gebruik van instrumenten voor communicatie op afstand de regel is geworden. Daarom werden veel procedures die nog voor ten minste een deel uitgingen van uitwisseling op papier, snel aangepast om elektronische verwerking en uitwisseling van informatie mogelijk te maken. Deze ontwikkelingen vereisen veranderingen ten aanzien van de verwerking en bescherming van informatie. Deze verordening houdt rekening met de nieuwe werkmethoden.
(5)Door een gemeenschappelijk minimumniveau van bescherming van EUCI en niet-gerubriceerde informatie te creëren, draagt deze verordening ertoe bij dat de instellingen en organen van de Unie bij de uitvoering van hun taken worden ondersteund door een efficiënt en onafhankelijk bestuur. Tegelijkertijd blijft het zo dat elke instelling en elk orgaan van de Unie autonoom kan bepalen hoe de in deze verordening vastgestelde regels moeten worden uitgevoerd, overeenkomstig de eigen beveiligingsbehoeften. Deze verordening belet de instellingen en organen van de Unie in geen geval om hun taak, zoals die hun door de EU-wetgeving is toevertrouwd, te vervullen, en laat hun institutionele autonomie onverlet.
(6)Deze verordening doet geen afbreuk aan Verordening (Euratom) nr. 3/1958 17 , Verordening nr. 31/EEG, nr. 11/EGA, tot vaststelling van het statuut van de ambtenaren en de regeling welke van toepassing is op de andere personeelsleden van de Europese Economische Gemeenschap en de Europese Gemeenschap voor Atoomenergie 18 , Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad 19 , Verordening (EU) 2018/1725 van het Europees Parlement en de Raad 20 , Verordening (EEG, Euratom) nr. 354/83 van de Raad 21 , Verordening (EU, Euratom) 2018/1046 van het Europees Parlement en de Raad 22 , Verordening (EU) 2021/697 van het Europees Parlement en de Raad 23 , en Verordening (EU) […] van het Europees Parlement en de Raad 24 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie (nog vast te stellen).
(7)Teneinde het specifieke karakter te behouden van de activiteiten van de Europese Gemeenschap voor Atoomenergie die onder Verordening (EG) nr. 3/1958 van de Raad van de Europese Gemeenschap voor Atoomenergie 25 vallen, moet deze verordening niet van toepassing zijn op gerubriceerde Euratom-gegevens. Deze verordening moet echter wel van toepassing zijn op alle informatie met betrekking tot andere Euratom-activiteiten die niet onder Verordening (EG) nr. 3/1958 vallen.
(8)Er moet een formele structuur voor de samenwerking tussen de instellingen en organen van de Unie op het gebied van informatiebeveiliging tot stand worden gebracht; daartoe moet een interinstitutionele coördinatiegroep (hierna “de coördinatiegroep”) worden opgezet, waarin alle veiligheidsautoriteiten van de instellingen en organen van de Unie zijn vertegenwoordigd. De coördinatiegroep moet geen beslissingsbevoegdheid hebben, maar moet de samenhang van het beleid op het gebied van informatiebeveiliging versterken en bijdragen tot de harmonisatie van de procedures en instrumenten voor informatiebeveiliging in de instellingen en organen van de Unie.
(9)De werkzaamheden van de coördinatiegroep moeten worden ondersteund door deskundigen op verschillende gebieden van informatiebeveiliging: categorisering en markering, communicatie- en informatiesystemen, homologatie, fysieke beveiliging, delen van EUCI en uitwisseling van gerubriceerde informatie. Om dubbel werk binnen de instellingen en organen van de Unie te voorkomen, moeten daartoe thematische subgroepen worden opgericht. Bovendien moet de coördinatiegroep indien nodig andere subgroepen met specifieke taken kunnen opzetten.
(10)De coördinatiegroep moet nauw samenwerken met de nationale veiligheidsautoriteiten van de lidstaten om de informatiebeveiliging in de Unie te verbeteren. Daartoe moet een comité voor informatiebeveiliging van de lidstaten worden opgericht, dat de coördinatiegroep van advies voorziet.
(11)De gemeenschappelijke organen die alle instellingen en organen van de Unie vertegenwoordigen, zijn opgezet op basis van het samenwerkingsbeginsel, maar elke instelling en elk orgaan moet volledig verantwoordelijk blijven voor de informatiebeveiliging binnen de eigen organisatie. Elke instelling en elk orgaan van de Unie moet beschikken over een veiligheidsautoriteit en, indien nodig, andere instanties die belast zijn met specifieke taken op het gebied van informatiebeveiliging.
(12)Het beginsel van risicobeheer op het gebied van informatiebeveiliging moet de kern vormen van het beleid dat elke instelling en elk orgaan van de Unie op dit gebied moet ontwikkelen. Hoewel aan de minimumvereisten van deze verordening moet worden voldaan, moet elke instelling en elk orgaan van de Unie specifieke beveiligingsmaatregelen vaststellen voor de bescherming van informatie, overeenkomstig de resultaten van een interne risicobeoordeling. Ook moeten de technische middelen voor de bescherming van informatie worden aangepast aan de specifieke situatie van elke instelling en elk orgaan.
(13)Gezien de verscheidenheid aan categorieën niet-gerubriceerde informatie die de instellingen en organen van de Unie op basis van hun eigen beveiligingsvoorschriften hebben ontwikkeld, moeten de instellingen en organen van de Unie, om vertraging bij de uitvoering van deze verordening te voorkomen, hun eigen markeringssysteem kunnen handhaven voor interne doeleinden of bij de uitwisseling van informatie met andere instellingen en organen en met de lidstaten.
(14)Met het oog op aanpassing aan de nieuwe thuiswerkpraktijken moeten de netwerken die worden gebruikt om verbinding te maken met de diensten voor toegang op afstand van elke instelling en elk orgaan van de Unie worden beschermd met passende beveiligingsmaatregelen.
(15)Aangezien de instellingen en organen van de Unie vaak gebruikmaken van contractanten en uitbesteding, is het van belang gemeenschappelijke bepalingen vast te stellen met betrekking tot het personeel van contractanten dat taken op het gebied van informatiebeveiliging uitvoert.
(16)De materiële voorschriften betreffende de toegang tot EUCI die deel uitmaken van de interne voorschriften van de verschillende instellingen en organen van de Unie zijn momenteel op elkaar afgestemd, maar er zijn aanzienlijke verschillen wat betreft benamingen en vereiste procedures. Dit leidt tot lasten voor de nationale veiligheidsautoriteiten van de lidstaten, die zich aan verschillende vereisten moeten aanpassen. Er moeten daarom een gemeenschappelijke woordenlijst en gemeenschappelijke procedures worden vastgesteld op het gebied van personeelsbeveiliging, waardoor de samenwerking met de nationale veiligheidsautoriteiten van de lidstaten wordt vereenvoudigd en het risico op compromittering van EUCI wordt beperkt.
(17)Gezien de verschillen tussen de instellingen en organen van de Unie wat beschikbare middelen betreft en met het oog op de stroomlijning van hun relevante procedures en praktijken, kunnen de taken met betrekking tot veiligheidsmachtigingen aan de Commissie worden toevertrouwd, zodat de voortzetting van de reeds lang bestaande praktijk op het gebied van veiligheidsmachtigingen gewaarborgd is en wordt bijgedragen tot de centralisering van de aan elke veiligheidsautoriteit toegewezen taken.
(18)De bescherming van EUCI wordt ook gewaarborgd door de technische en organisatorische maatregelen die van toepassing zijn op de panden, gebouwen, ruimten, kantoren en faciliteiten van de instellingen en organen van de Unie waar EUCI wordt besproken, verwerkt of opgeslagen. Deze verordening voorziet in de uitvoering van een beheersproces voor de fysieke informatiebeveiliging dat de instellingen en organen van de Unie in staat stelt passende beveiligingsmaatregelen voor hun locaties te selecteren.
(19)Alle instellingen en organen van de Unie die EUCI verwerken en opslaan, moeten op hun locaties fysiek beschermde zones instellen om te waarborgen dat hetzelfde beschermingsniveau geldt voor de relevante rubriceringsgraden van de EUCI die binnen die locaties wordt verwerkt en opgeslagen. Die zones moeten worden aangewezen als administratieve zones en beveiligde zones en moeten voldoen aan gemeenschappelijke minimumnormen voor de bescherming van EUCI.
(20)Controle door de auteur is een belangrijk beginsel bij het beheer van EUCI, dat duidelijk moet worden omschreven en uitgewerkt. In dat verband geeft het aanmaken van EUCI de auteur een verantwoordelijkheid die de gehele levenscyclus van het desbetreffende EUCI-document moet bestrijken.
(21)De instellingen en organen van de Unie hebben van oudsher autonoom hun communicatie- en informatiesystemen ontwikkeld, waarbij onvoldoende aandacht is geschonken aan de interoperabiliteit met alle instellingen en organen van de Unie. Het is derhalve noodzakelijk minimumvoorschriften vast te stellen voor de beveiliging van communicatie- en informatiesystemen (CIS) waarin zowel EUCI als niet-gerubriceerde informatie wordt verwerkt en opgeslagen, teneinde een naadloze uitwisseling van informatie met belanghebbenden te waarborgen.
(22)Teneinde te komen tot één homologatienorm voor CIS waarin EUCI wordt verwerkt en opgeslagen, moeten de instellingen en organen van de Unie samenwerken in een daartoe opgerichte groep. Aanbevolen wordt dat al die instellingen en organen die norm toepassen om bij te dragen tot een algemeen niveau van bescherming van EUCI. Wat de organisatorische autonomie betreft, blijft het besluit echter berusten bij de bevoegde autoriteit van elk van de instellingen en organen.
(23)Alle instellingen en organen van de Unie moeten dezelfde procedures volgen en dezelfde maatregelen toepassen wanneer zij gerubriceerde contracten of subsidieovereenkomsten gunnen en uitvoeren. Daarom moeten zowel de verplichte als de facultatieve bepalingen van gerubriceerde contracten en subsidieovereenkomsten duidelijk worden vastgesteld. Bij de maatregelen ter bescherming van EUCI in verband met gerubriceerde contracten en subsidieovereenkomsten moet echter rekening worden gehouden met de voorschriften die op dit gebied reeds afzonderlijk door de instellingen en organen van de Unie en de lidstaten zijn ontwikkeld.
(24)De nauwe samenwerking tussen de instellingen en organen van de Unie en de vele synergieën die tot stand zijn gebracht, houden in dat een grote hoeveelheid informatie wordt uitgewisseld. Met het oog op de beveiliging van gerubriceerde informatie moet de betrouwbaarheid van een instelling of orgaan van de Unie worden beoordeeld voordat die instelling of dat orgaan een bepaald niveau van EUCI verwerkt en opslaat.
(25)Voorts moet het delen van EUCI tussen de instellingen en organen van de Unie en de uitwisseling van gerubriceerde informatie met internationale organisaties en derde landen ook worden geregeld door passende beveiligingsmaatregelen voor de bescherming van die informatie. Wanneer overeenkomsten inzake informatiebeveiliging worden overwogen, moeten de bepalingen van artikel 218 van het Verdrag van toepassing zijn.
(26)Overeenkomsten inzake informatiebeveiliging zijn bedoeld om het algemene rechtskader van de Unie voor de uitwisseling van gerubriceerde informatie met derde landen en internationale organisaties te waarborgen; het is ook noodzakelijk te voorzien in de mogelijkheid dat de instellingen en organen van de Unie, met het oog op de uitwisseling van EUCI, administratieve regelingen treffen met een specifieke soortgelijke instelling van een derde land of een internationale organisatie.
(27)Bij deze verordening wordt een gemeenschappelijk kader voor alle instellingen en organen van de Unie vastgesteld. Om te voorkomen dat aan de instellingen en organen van de Unie buitensporige administratieve lasten worden opgelegd in het kader van de aanpassing van hun interne veiligheidsvoorschriften aan de voorschriften van deze verordening, moet deze verordening twee jaar na de inwerkintreding ervan van toepassing worden.
(28)Overeenkomstig de punten 22 en 23 van het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven 26 moet de Commissie deze verordening evalueren om na te gaan wat de daadwerkelijke effecten ervan zijn en of verdere maatregelen nodig zijn. De Commissie moet uiterlijk drie jaar na de datum waarop deze verordening van toepassing wordt, bij het Europees Parlement en de Raad een verslag indienen over de uitvoering ervan.
(29)De Europese Toezichthouder voor gegevensbescherming is overeenkomstig artikel 42 van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad 27 geraadpleegd en heeft op … advies uitgebracht,
HEBBEN DE VOLGENDE VERORDENING VASTGESTELD:
Hoofdstuk 1
Algemene bepalingen
Artikel 1
Onderwerp
1.Bij deze verordening worden voorschriften inzake informatiebeveiliging voor alle instellingen en organen van de Unie vastgesteld.
Artikel 2
Toepassingsgebied
1.Deze verordening is van toepassing op alle informatie die door de instellingen en organen van de Unie wordt verwerkt en opgeslagen, met inbegrip van informatie in verband met activiteiten van de Europese Gemeenschap voor Atoomenergie, met uitzondering van gerubriceerde Euratom-informatie.
2.Zij is van toepassing op de volgende vertrouwelijkheidsniveaus van informatie:
a)drie niveaus van niet-gerubriceerde informatie: voor openbaar gebruik, normaal, en gevoelig niet-gerubriceerd;
b)vier niveaus van gerubriceerde EU-informatie: RESTREINT UE/EU RESTRICTED, CONFIDENTIEL UE/EU CONFIDENTIAL, SECRET UE/EU SECRET, TRÈS SECRET UE/EU TOP SECRET.
3.Deze niveaus zijn gebaseerd op de schade die ongeoorloofde openbaarmaking kan berokkenen aan legitieme particuliere en openbare belangen, met inbegrip van die van de Unie, de instellingen en organen van de Unie en de lidstaten of andere belanghebbenden, zodat passende beschermingsmaatregelen kunnen worden getroffen.
Artikel 3
Definities
Voor de toepassing van deze verordening wordt verstaan onder:
a)“informatie”: gegevens in mondelinge, visuele, elektronische, magnetische of fysieke vorm, dan wel in de vorm van materiaal, uitrusting of technologie, met inbegrip van reproducties, vertalingen en materiaal dat zich in de ontwikkelingsfase bevindt;
b)“informatiebeveiliging”: het waarborgen van de authenticiteit, beschikbaarheid, vertrouwelijkheid, integriteit en onweerlegbaarheid van informatie;
c)“verwerking” van informatie: alle mogelijke handelingen waaraan informatie tijdens de gehele levenscyclus kan worden onderworpen; verwerking omvat het aanmaken, verzamelen en registreren, het toewijzen van een vertrouwelijkheidsniveau, het verwerken, weergeven, raadplegen, vervoeren en doorgeven, het verlagen van de rubricering, het derubriceren, archiveren en vernietigen ervan;
d)“opslag”: het bewaren van informatie op een medium om ervoor te zorgen dat deze beschikbaar is voor toekomstig gebruik;
e)“instellingen en organen van de Unie”: instellingen, organen en instanties van de Unie die zijn opgericht bij of krachtens het Verdrag betreffende de Europese Unie, het Verdrag betreffende de werking van de Europese Unie of het Verdrag tot oprichting van de Europese Gemeenschap voor Atoomenergie, of een wetgevingshandeling;
f)“gerubriceerde Euratom-informatie”: informatie in de zin van Verordening nr. 3/1958 van de Raad van de Europese Gemeenschap voor Atoomenergie;
g)“veiligheidsautoriteit”: de beveiligingsfunctie van een instelling of orgaan van de Unie, aangewezen overeenkomstig het reglement van orde of de oprichtingshandeling van die instelling of dat orgaan;
h)“proces inzake het beheer van informatiebeveiligingsrisico’s”: het volledige proces van het vaststellen, onder controle houden en tot een minimum beperken van onzekere gebeurtenissen die de veiligheid van een organisatie of de door haar gebruikte systemen kunnen treffen; dit proces bestrijkt alle risicogerelateerde activiteiten, met inbegrip van beoordeling, behandeling, aanvaarding en communicatie;
i)“kritisch bestanddeel”: alles wat van waarde is voor een instelling of orgaan van de Unie en voor de bedrijfsactiviteiten en de continuïteit daarvan, met inbegrip van informatiebronnen ter ondersteuning van de opdracht ervan;
j)“operationele beveiligingsprocedures”: een reeks gedocumenteerde procedures, als bedoeld in bijlage III, voor de exploitatie van een beveiligde zone, een communicatie- en informatiesysteem of andere veiligheidsgerelateerde kritische bestanddelen of diensten, om de doeltreffendheid ervan te waarborgen;
k)“communicatie- en informatiesysteem” of “CIS”: elk systeem dat de verwerking en opslag van informatie in elektronische vorm mogelijk maakt, met inbegrip van alle daarvoor vereiste kritische bestanddelen;
l)“informatieborging”: de verzekering dat de communicatie- en informatiesystemen de informatie die zij verwerken en opslaan zullen beschermen en dat zij, wanneer dat nodig is, naar behoren zullen functioneren onder controle van legitieme gebruikers, en dat daarbij passende niveaus van authenticiteit, beschikbaarheid, vertrouwelijkheid, integriteit en onweerlegbaarheid zijn gewaarborgd;
m)“homologatie”: de formele machtiging die door de instantie voor beveiligingshomologatie wordt verleend aan een communicatie- en informatiesysteem om EUCI met een vooraf bepaalde rubriceringsgraad te verwerken, en aan een beveiligde zone om EUCI met een vooraf bepaalde rubriceringsgraad op te slaan;
n)“homologatieprocedure”: de stappen en taken die voorafgaand aan de homologatie vereist zijn;
o)“Tempest-beveiligingsmaatregelen”: maatregelen om CIS die informatie met rubricering CONFIDENTIEL UE/EU CONFIDENTIAL of hoger verwerken en opslaan, te beschermen tegen compromittering van dergelijke informatie door onopzettelijke elektromagnetische emissies;
p)“CERT-EU”: het cyberbeveiligingscentrum voor de instellingen, organen en instanties van de Unie in de zin van Verordening (EU) […] van het Europees Parlement en de Raad betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie;
q)“informatiebeveiligingsincident”: elke gebeurtenis die de authenticiteit, beschikbaarheid, vertrouwelijkheid, integriteit of onweerlegbaarheid van opgeslagen, verzonden of verwerkte informatie kan compromitteren;
r)“noodzaak van kennisneming”: de noodzaak dat een persoon toegang krijgt tot bepaalde informatie die door een instelling of orgaan van de Unie wordt verwerkt of opgeslagen, teneinde de taken van die instelling of dat specifieke orgaan van de Unie te vervullen;
s)“zero trust”: een beveiligingsmodel, een reeks beginselen inzake systeemontwerp en een gecoördineerde strategie voor cyberbeveiliging en systeembeheer, gebaseerd op erkenning van het bestaan van dreigingen binnen en buiten de traditionele netwerkgrenzen;
t)“markering”: een label dat wordt aangebracht om ervoor te zorgen dat passende beveiligingsmaatregelen worden toegepast;
u)“beveiligingsmarkering”: een markering die het niveau van vertrouwelijkheid van de informatie aangeeft;
v)“verspreidingsmarkering”: een markering die aangeeft welke de beoogde geadresseerden van informatie zijn binnen de instelling of het orgaan van de Unie;
w)“vrijgavemarkering”: een markering die aangeeft welke de toegelaten geadresseerden zijn buiten de instelling of het orgaan van de Unie;
x)“systeemeigenaar”: de persoon die de algehele verantwoordelijkheid draagt voor de aanschaf, de ontwikkeling, de integratie, de wijziging, de werking, het onderhoud en de buitendienststelling van een communicatie- en informatiesysteem;
y)“bedreiging voor de informatieveiligheid”: een gebeurtenis of factor waarvan redelijkerwijs een negatief effect op de informatieveiligheid kan worden verwacht, indien geen respons en controle plaatsvindt;
z)“kwetsbaarheid”: een zwakte, vatbaarheid of gebrekkigheid van een kritisch bestanddeel, systeem, proces of controlemiddel, die door een of meer dreigingen kan worden uitgebuit;
aa)“risico”: het potentiële negatieve effect van een bepaalde bedreiging die mogelijk gebruik maakt van interne en externe kwetsbaarheden van een instelling of orgaan van de Unie of van de systemen die zij gebruiken en waardoor schade wordt toegebracht aan legitieme publieke en particuliere belangen; het risico wordt gemeten als een combinatie van de waarschijnlijkheid dat een dreiging zich voordoet en het effect ervan;
ab)“residueel risico”: het risico dat blijft bestaan nadat beveiligingsmaatregelen zijn genomen;
ac)“risicobeoordeling”: het in kaart brengen van dreigingen en kwetsbaarheden en het verrichten van de daarmee verband houdende risicoanalyse, dat wil zeggen de analyse van waarschijnlijkheid en effect;
ad)“risicobehandeling” het mitigeren, wegnemen, verkleinen (via een passende combinatie van technische, fysieke, organisatorische of procedurele maatregelen), overbrengen of onder toezicht houden van het risico;
ae)“Europees cyberbeveiligingscertificaat”: een certificaat in de zin van artikel 2, punt 11, van Verordening (EU) 2019/881 28 ;
af)“houder”: een naar behoren gemachtigde persoon van wie de noodzaak tot kennisneming vaststaat en die informatie in zijn bezit heeft die beschermd moet worden en die dientengevolge voor die bescherming verantwoordelijk is;
ag)“materiaal”: een document, een gegevensdrager, een machine of een uitrustingsstuk die of dat is vervaardigd of wordt vervaardigd;
ah)“gerubriceerde informatie van de Europese Unie” of “EUCI”: informatie of materiaal met een bepaalde EU-rubricering waarvan ongeoorloofde openbaarmaking de belangen van de Unie of van een of meer van haar lidstaten in meerdere of mindere mate kan schaden;
ai)“machtiging die toegang geeft tot EUCI”: een besluit van een veiligheidsautoriteit dat een ambtenaar, ander personeelslid of gedetacheerde nationale deskundige van een instelling of orgaan van de Unie gedurende een bepaalde periode toegang mag krijgen tot EUCI tot een bepaalde rubriceringsgraad;
aj)“nationale veiligheidsautoriteit”: de overheidsinstantie van een EU-lidstaat die de eindverantwoordelijkheid draagt voor de beveiliging van gerubriceerde informatie in die lidstaat;
ak)“aangewezen veiligheidsautoriteit”: een instantie van een lidstaat (de nationale veiligheidsautoriteit of een andere bevoegde instantie) die tot taak heeft leiding te geven aan en/of bijstand te verlenen bij de uitvoering van industriële beveiliging of procedures voor veiligheidsmachtigingen of beide;
al)“veiligheidsonderzoek”: de onderzoeksprocedures die de bevoegde autoriteit van een lidstaat overeenkomstig de nationale wet- en regelgeving uitvoert om zich ervan te vergewissen dat er geen negatieve feiten bekend zijn waardoor de betrokkene niet in aanmerking zou komen voor een veiligheidsverklaring voor toegang tot EUCI tot een bepaalde rubriceringsgraad (CONFIDENTIEL UE/EU CONFIDENTIAL of hoger);
am)“fysieke beveiliging”: de toepassing van fysieke, technische en organisatorische maatregelen op panden, gebouwen, ruimten, kantoren of faciliteiten van een instelling of orgaan van de Unie die moeten worden beschermd tegen ongeoorloofde toegang tot de informatie die daar wordt verwerkt, opgeslagen of besproken;
an)“locaties”: de panden, gebouwen, ruimten, kantoren of faciliteiten van een instelling of orgaan van de Unie;
ao)“defence in depth”: een type beveiliging waarbij gebruik wordt gemaakt van verschillende onafhankelijke lagen van beveiligingscontroles om ervoor te zorgen dat, wanneer een van de beveiligingslagen faalt, een andere nog operationeel is;
ap)“cryptografisch materiaal”: cryptografische algoritmen, cryptografische hard- en softwaremodules en producten, inclusief nadere informatie betreffende de implementatie en bijbehorende documentatie en sleutelmateriaal;
aq)“cryptografisch product”: een product waarvan de functie er hoofdzakelijk en in de eerste plaats in bestaat aan de hand van één of meer cryptografische mechanismen beveiligingsdiensten te verlenen (echtheid, beschikbaarheid, vertrouwelijkheid, integriteit, en onweerlegbaarheid);
ar)“auteur”: de instelling of het orgaan van de Unie, of de lidstaat, het derde land of de internationale organisatie onder het gezag waarvan gerubriceerde informatie is aangemaakt en/of ingevoerd in de structuren van de Unie;
as)“document”: elke inhoud, ongeacht de drager ervan (op papier, elektronisch, magnetisch of anderszins), in schriftelijke vorm of in de vorm van een visuele of audiovisuele opname;
at)“registratie voor beveiligingsdoeleinden”: de toepassing van procedures waarbij de levenscyclus van materiaal, met inbegrip van de verspreiding en de vernietiging ervan, wordt geregistreerd;
au)“derubricering” de opheffing van een rubricering;
av)“verlaging van rubricering”: verlaging van de rubriceringsgraad;
aw)“gerubriceerd contract”: een raamovereenkomst of een overeenkomst, als bedoeld in Verordening (EU, Euratom) 2018/1046 van het Europees Parlement en de Raad, die door een instelling of orgaan van de Unie met een contractant is gesloten voor de levering van roerende of onroerende goederen, de uitvoering van werken of de verrichting van diensten, waarvan de uitvoering het verwerken, met inbegrip van het aanmaken, of het opslaan van EUCI vereist of omvat;
ax)“gerubriceerde subsidieovereenkomst”: een overeenkomst waarbij een instelling of orgaan van de Unie een subsidie toekent, als bedoeld in titel VIII, van Verordening (EU, Euratom) 2018/1046, waarvan de uitvoering het aanmaken, behandelen of opslaan van EUCI vereist;
ay)“gerubriceerd subcontract”: een overeenkomst die door een contractant of begunstigde van een instelling of orgaan van de Unie is aangegaan met een subcontractant voor de levering van roerende of onroerende goederen, de uitvoering van werken of de verrichting van diensten, waarvan de uitvoering het verwerken, met inbegrip van het aanmaken, of het opslaan van EUCI vereist of omvat;
az)“programma- of projectbeveiligingsinstructie”: een lijst van beveiligingsprocedures die op een specifiek programma of project worden toegepast om de beveiligingsprocedures te standaardiseren;
ba)“memorandum over de beveiligingsaspecten”: een geheel van bijzondere, door de aanbestedende dienst of subsidieverlenende instantie uitgevaardigde contractvoorwaarden die een integrerend deel vormen van een gerubriceerd contract of een gerubriceerde subsidieovereenkomst die het verlenen van toegang tot of het aanmaken van EUCI behelst, en waarin de beveiligingsvereisten en de te beveiligen onderdelen van het contract of de subsidie worden genoemd;
bb)“rubriceringsgids”: een document waarin wordt beschreven welke onderdelen van een programma, project, overeenkomst of subsidieovereenkomst gerubriceerd zijn en wat de toepasselijke rubriceringsgraden zijn.
Artikel 4
Algemene beginselen
1.Elke instelling en elk orgaan van de Unie is verantwoordelijk voor de uitvoering van de bepalingen van deze verordening binnen de eigen organisatie, rekening houdend met het eigen proces inzake het beheer van informatiebeveiligingsrisico’s.
2. Niet-naleving van deze verordening, met name ongeoorloofde openbaarmaking van informatie van de in artikel 2, lid 2, bedoelde vertrouwelijkheidsniveaus, met uitzondering van informatie voor openbaar gebruik, wordt onderzocht en kan ertoe leiden dat personeelsleden ter verantwoording worden geroepen overeenkomstig de Verdragen of de desbetreffende personeelsregels.
3.De instellingen en organen van de Unie beoordelen alle informatie die zij verwerken en opslaan met het oog op de indeling overeenkomstig de in artikel 2, lid 2, bedoelde vertrouwelijkheidsniveaus.
4.De instellingen en organen van de Unie bepalen de beveiligingsnoodzaak van alle informatie die zij verwerken en opslaan, waarbij zij rekening houden met de volgende aspecten:
a)echtheid: de garantie dat informatie echt is en van bonafide bronnen afkomstig is;
b)beschikbaarheid: de toegankelijkheid en bruikbaarheid op verzoek van een gemachtigde entiteit;
c)vertrouwelijkheid: informatie mag niet worden bekendgemaakt aan onbevoegde personen, entiteiten of processen;
d)integriteit: het feit dat informatie volledig is en dat alle informatie ongewijzigd is;
e)onweerlegbaarheid: de eigenschap dat kan worden bewezen dat een actie of gebeurtenis heeft plaatsgevonden, zodat deze actie of gebeurtenis niet achteraf kan worden ontkend.
5.Voor elk communicatie- en informatiesysteem dat onder hun verantwoordelijkheid valt, stellen de instellingen en organen van de Unie het hoogste vertrouwelijkheidsniveau vast die met dat communicatie- en informatiesysteem mag worden verwerkt en opgeslagen, verrichten zij een beoordeling van het informatiebeveiligingsrisico en houden zij regelmatig toezicht op de beveiligingsnoodzaak en de correcte uitvoering van de vastgestelde beschermingsmaatregelen.
6.Alle instellingen en organen van de Unie bieden opleidings- en bewustmakingsactiviteiten aan met betrekking tot de verwerking en opslag van niet-gerubriceerde informatie en EUCI.
De instellingen en organen van de Unie die EUCI verwerken en opslaan, organiseren ten minste eenmaal per vijf jaar een verplichte opleiding voor alle personen die toegang hebben tot EUCI. De betrokken instellingen en organen van de Unie organiseren een specifieke opleiding voor de specifieke functies waarbij taken op het gebied van informatiebeveiliging worden verricht.
Een instelling of orgaan van de Unie kan dergelijke opleidings- en bewustmakingsactiviteiten coördineren met andere instellingen en organen van de Unie.
Artikel 5
Proces inzake het beheer van informatiebeveiligingsrisico’s
1.Elke instelling en elk orgaan van de Unie stelt een proces inzake het beheer van informatiebeveiligingsrisico’s vast voor de bescherming van de informatie die de instelling of het orgaan verwerkt en opslaat.
2.Het proces inzake het beheer van informatiebeveiligingsrisico’s omvat de volgende stappen:
a)identificatie van dreigingen en kwetsbaarheden;
b)risicoanalyse;
c)risicobehandeling;
d)risicoaanvaarding;
e)risicocommunicatie.
3.Het proces inzake het beheer van informatiebeveiligingsrisico’s houdt rekening met alle factoren die relevant zijn voor de betrokken instelling of het betrokken orgaan, en met name:
a)het vertrouwelijkheidsniveau van de informatie en de daaraan verbonden wettelijke verplichtingen;
b)de vorm en hoeveelheid van de informatie en de faciliteiten of CIS waarin de informatie wordt verwerkt en opgeslagen;
c)de personen die toegang hebben tot de informatie op de locaties of op afstand;
d)de omgeving en de structuur van de gebouwen of zones waar de informatie is opgeslagen;
e)tegen de Unie, de instellingen en organen van de Unie of de lidstaten gerichte dreigingen als gevolg van cyberaanvallen, aanvallen op de toeleveringsketen, spionage, sabotage, terroristische, subversieve of andere criminele activiteiten;
f)bedrijfscontinuïteit en herstel bij calamiteiten;
g)resultaten van inspecties, audits en evaluatiebezoeken, indien van toepassing.
Hoofdstuk 2
Governance en organisatie van de beveiliging
Artikel 6
Interinstitutionele coördinatiegroep voor informatiebeveiliging
1.Er wordt een interinstitutionele coördinatiegroep voor informatiebeveiliging ingesteld, hierna “coördinatiegroep” genoemd.
De coördinatiegroep bestaat uit alle veiligheidsautoriteiten van de instellingen en organen van de Unie en heeft een mandaat om hun gemeenschappelijk beleid op het gebied van informatiebeveiliging te bepalen.
2.De coördinatiegroep, die optreedt met de instemming en in het gemeenschappelijk belang van alle instellingen en organen van de Unie:
a)stelt zijn reglement van orde en jaarlijkse gemeenschappelijke doelstellingen en prioriteiten vast;
b)neemt besluiten over de oprichting van thematische subgroepen en hun taakomschrijving;
c)stelt indien nodig richtsnoeren op voor de uitvoering van deze verordening, in samenwerking met de in artikel 9 van Verordening EU […] betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie bedoelde interinstitutionele raad voor cyberbeveiliging;
d)zet speciale platforms op voor het delen van beste praktijken en kennis met betrekking tot gemeenschappelijke onderwerpen die relevant zijn voor informatiebeveiliging en voor het verlenen van bijstand bij incidenten op het gebied van informatiebeveiliging;
e)zorgt ervoor dat met het oog op de bescherming van EUCI de beveiligingsmaatregelen waar nodig worden gecoördineerd met de bevoegde nationale veiligheidsautoriteiten.
3.De coördinatiegroep wijst uit haar leden een voorzitter en twee vicevoorzitters aan voor een periode van drie jaar.
4.De coördinatiegroep komt ten minste eenmaal per jaar bijeen op initiatief van haar voorzitter of op verzoek van een instelling of orgaan van de Unie.
5.De coördinatiegroep krijgt administratieve ondersteuning van een permanent secretariaat dat door de Commissie wordt verzorgd.
6.Elk van de instellingen en organen van de Unie wordt op passende wijze vertegenwoordigd in de coördinatiegroep en, indien van toepassing, in de thematische subgroepen.
7.De instellingen en organen van de Unie brengen alle belangrijke ontwikkelingen van het informatiebeveiligingsbeleid binnen hun organisatie onder de aandacht van de coördinatiegroep.
8.Bij de uitvoering van de in lid 2, punt e), bedoelde taken wordt de coördinatiegroep bijgestaan door een comité voor informatiebeveiliging. Dat comité bestaat uit een vertegenwoordiger van elke nationale veiligheidsautoriteit en wordt voorgezeten door het secretariaat van de in lid 5 bedoelde coördinatiegroep. Het comité voor informatiebeveiliging heeft een adviserende rol.
Artikel 7
Thematische subgroepen
1.De coördinatiegroep richt de volgende permanente thematische subgroepen op om de uitvoering van deze verordening te vergemakkelijken:
a)een subgroep inzake informatieborging;
b)een subgroep inzake niet-gerubriceerde informatie;
c)een subgroep inzake fysieke beveiliging;
d)een subgroep inzake homologatie van communicatie- en informatiesystemen die EUCI verwerken en opslaan;
e)een subgroep inzake uitwisseling van EUCI en gerubriceerde informatie.
2.Indien nodig kan de coördinatiegroep ad-hocsubgroepen oprichten voor een specifieke taak en voor een beperkte duur.
3.Tenzij in hun taakomschrijving anders is bepaald, zijn de subgroepen gebaseerd op open lidmaatschap met vertegenwoordigers van de betrokken instellingen en organen van de Unie. De leden van de subgroepen zijn deskundigen op het gebied waarvoor de subgroep bevoegd is.
4.Het in artikel 5, lid 5, bedoelde secretariaat van de coördinatiegroep ondersteunt de werkzaamheden van alle subgroepen en zorgt voor de communicatie tussen de leden.
Artikel 8
ORGANISATIE VAN DE BEVEILIGING
1.Elke instelling en elk orgaan van de Unie wijst een veiligheidsautoriteit aan, die wordt belast met de taken die bij deze verordening en, in voorkomend geval, bij de interne veiligheidsvoorschriften van die instelling of dat orgaan aan die autoriteit worden toegewezen. Bij de uitvoering van haar taken wordt elke veiligheidsautoriteit ondersteund door de dienst of de functionaris die belast is met taken op het gebied van informatiebeveiliging.
2.Indien nodig stellen de veiligheidsautoriteiten van de instellingen en organen van de Unie interne uitvoeringsvoorschriften voor de bescherming van informatie vast, in overeenstemming met hun specifieke opdracht, zoals die hun krachtens het EU-recht is toevertrouwd, en op basis van hun institutionele autonomie.
3.Elk van de veiligheidsautoriteiten vervult indien nodig ook de volgende functies:
a)de instantie voor informatieborging (Information Assurance Authority), belast met het ontwikkelen van beveiligingsbeleid en ‑richtsnoeren inzake informatieborging en het toezicht op de doeltreffendheid en pertinentie daarvan;
b)de operationele instantie voor informatieborging (Information Assurance Operational Authority), belast met het opstellen van beveiligingsdocumentatie, met name de operationele beveiligingsprocedures en het cryptografisch plan in het kader van het homologatieproces voor communicatie- en informatiesystemen;
c)de instantie voor veiligheidshomologatie (Security Accreditation Authority), belast met de homologatie van beveiligde zones en van de CIS waarin EUCI wordt verwerkt en opgeslagen;
d)de Tempest-instantie (TEMPEST Authority), belast met de goedkeuring van maatregelen ter bescherming tegen compromittering van EUCI door onopzettelijke elektromagnetische emissies;
e)de instantie voor de goedkeuring van cryptografische producten (Crypto Approval Authority), belast met de goedkeuring van het gebruik van encryptietechnologieën op verzoek van de systeemeigenaar;
f)de instantie (Crypto Distribution Authority) voor het distribueren van cryptografisch materiaal voor de bescherming van EUCI (encryptieapparatuur, cryptografische sleutels, certificaten en aanverwante authenticatiemiddelen) aan de betrokken gebruikers.
4.De taken van een of meer van de in lid 3 bedoelde functies kunnen aan een andere instelling of een ander orgaan van de Unie worden gedelegeerd wanneer de gedecentraliseerde uitvoering van de beveiliging aanzienlijke efficiëntievoordelen of middelen- of tijdsbesparing oplevert.
Hoofdstuk 3
Informatieborging en communicatie- en informatiesystemen (CIS)
Artikel 9
Beginselen van informatieborging
1.Voor alle CIS, met inbegrip van interne, uitbestede en hybride CIS, wordt vanaf het begin van de vervaardiging ervan of in de aanbestedingsfase rekening gehouden met de beoordeling van de informatiebeveiligingsbehoeften.
2.Elk CIS waarin EUCI wordt verwerkt en opgeslagen, ondergaat homologatie overeenkomstig hoofdstuk 5, afdeling 5. Elk CIS waarin gevoelige niet-gerubriceerde informatie wordt verwerkt en opgeslagen, voldoet aan de minimumvereisten voor gevoelige niet-gerubriceerde informatie in CIS zoals uiteengezet in hoofdstuk 4.
Artikel 10
Subgroep inzake informatieborging
1.De in artikel 7, lid 1, punt a), bedoelde subgroep inzake informatieborging heeft de volgende taken en verantwoordelijkheden:
a)zij verstrekt indien nodig richtsnoeren voor de markering, verwerking en opslag van informatie in CIS, in nauwe samenwerking met de interinstitutionele raad voor cyberbeveiliging bedoeld in artikel 9 van Verordening EU [XXX] betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie;
b)zij zet een metagegevensregeling op voor markeringen en alle nodige technische informatie om bij te dragen tot een interoperabele en naadloze uitwisseling van informatie tussen de instellingen en organen van de Unie in verband met de onderlinge koppeling van hun CIS;
c)zij draagt bij tot de samenhang van de regels inzake informatiebeveiliging en het basisniveau van cyberbeveiliging in alle instellingen en organen van de Unie, als bedoeld in artikel 5 van Verordening EU [XXX] tot vaststelling van maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging bij de instellingen, organen en agentschappen van de Unie.
Artikel 11
Vereisten voor communicatie- en informatiesystemen
1.De instellingen en organen van de Unie lichten gebruikers in over de vertrouwelijkheidsniveaus van informatie die in een CIS kan worden verwerkt en opgeslagen. Wanneer een CIS informatie van meerdere vertrouwelijkheidsniveaus verwerkt en opslaat, worden metagegevens en visuele markeringen gebruikt die waarborgen dat de verschillende niveaus kunnen worden onderscheiden.
2.De instellingen en organen van de Unie identificeren gebruikers van CIS alvorens hun toegang te verlenen tot andere vertrouwelijkheidsniveaus dan openbaar gebruik. Gebruikers worden geauthenticeerd met een mate van zekerheid die passend is voor het vertrouwelijkheidsniveau. Waar nodig wordt een beveiligd gemeenschappelijk identificatiesysteem gebruikt.
3.Voor alle CIS worden adequate beveiligingslogbestanden bijgehouden, die snel onderzoek mogelijk maken in geval van informatie-inbreuken of ‑lekken. Deze logbestanden worden zodanig bijgehouden dat onweerlegbaarheid is gewaarborgd, gedurende een periode die bij de effectbeoordeling of in het relevante beveiligingsbeleid is vastgesteld.
Wanneer in een CIS EUCI wordt verwerkt en opgeslagen, worden logbestanden met betrekking tot de noodzaak van kennisneming en de toegang tot informatie bijgehouden totdat de informatie is gederubriceerd. De beveiligingslogboeken zijn toegankelijk en doorzoekbaar voor de veiligheidsautoriteit.
4.De instellingen en organen van de Unie stellen interne voorschriften inzake de beveiliging van CIS vast, waarin de passende beveiligingsmaatregelen worden gespecificeerd in overeenstemming met de beveiligingsbehoeften die gelden voor de informatie die moet worden verwerken en opgeslagen en rekening houdend met de rechtsgebieden waarnaar de informatie wordt doorgegeven en waar deze wordt opgeslagen en verwerkt. In voorkomend geval omvatten die maatregelen het volgende:
a)beperkingen op geografische locatie;
b)overweging of er sprake is van mogelijke belangenconflicten, boycots of sancties met betrekking tot contractanten;
c)contractuele bepalingen om de beveiliging van informatie te waarborgen;
d)versleuteling van informatie in rust en in doorvoer;
e)beperkingen op de toegankelijkheid van de informatie van de instellingen en organen van de Unie voor het personeel van de contractant;
f)bescherming van persoonsgegevens overeenkomstig de toepasselijke wetgeving inzake gegevensbescherming.
5.De instellingen en organen van de Unie beheren hun CIS met inachtneming van de volgende beginselen:
a)voor elk CIS is er een systeemeigenaar of een operationele instantie voor informatieborging die verantwoordelijk is voor de beveiliging ervan;
b)er wordt een proces inzake het beheer van informatiebeveiligingsrisico’s uitgevoerd dat betrekking heeft op informatiebeveiligingsaspecten;
c)de beveiligingsvoorschriften en operationele beveiligingsprocedures worden formeel vastgesteld, uitgevoerd, gecontroleerd en getoetst;
d)incidenten op het gebied van informatiebeveiliging worden formeel geregistreerd en opgevolgd, overeenkomstig Verordening EU [XXX] betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de instellingen, organen en instanties van de Unie.
Hoofdstuk 4
Niet-gerubriceerde informatie
Artikel 12
Informatie voor openbaar gebruik
1.Informatie die bestemd is voor openbaar gebruik of voor officiële publicatie of reeds openbaar is gemaakt, en die zonder beperkingen binnen of buiten de instellingen en organen van de Unie kan worden gedeeld, wordt ingedeeld en verwerkt en opgeslagen als informatie voor openbaar gebruik.
2.De instellingen en organen van de Unie kunnen de in lid 1 bedoelde informatie voorzien van de markering “PUBLIC USE”.
3.Alle instellingen en organen van de Unie waarborgen de integriteit en beschikbaarheid van informatie voor openbaar gebruik door middel van passende maatregelen, in overeenstemming met de beveiligingsnoodzaak ervan.
Artikel 13
Normale informatie
1.Informatie die bestemd is voor gebruik door een instelling of orgaan van de Unie bij de uitoefening van de functies daarvan, en die noch gevoelig, noch voor openbaar gebruik is, wordt ingedeeld, verwerkt en opgeslagen als normale informatie. Deze categorie omvat alle informatie op normaal werkniveau die in de betrokken instelling of het betrokken orgaan van de Unie wordt verwerkt.
2.Normale informatie kan visueel of door middel van metagegevens worden gemarkeerd wanneer dat nodig is om de bescherming ervan te waarborgen, met name wanneer deze informatie buiten de instellingen en organen van de Unie wordt gedeeld. In dat geval wordt de markering “EU NORMAL” of “[naam of acroniem van de instelling of het orgaan van de Unie] NORMAL” (per geval aangepast) gebruikt.
3.De instellingen en organen van de Unie stellen standaardbeschermingsmaatregelen vast voor normale informatie, rekening houdend met de richtsnoeren van de subgroep inzake niet-gerubriceerde informatie en eventuele specifieke risico’s in verband met hun taken en activiteiten.
4.Normale informatie wordt buiten de instellingen en organen van de Unie alleen uitgewisseld met natuurlijke personen of rechtspersonen die een noodzaak tot kennisneming hebben.
Artikel 14
Gevoelige niet-gerubriceerde informatie
1.Alle informatie die niet gerubriceerd is, maar die door de instellingen en organen van de Unie moet worden beschermd op grond van wettelijke verplichtingen of wegens de schade die door ongeoorloofde openbaarmaking kan worden toegebracht aan legitieme particuliere en openbare belangen, met inbegrip van die van de instellingen en organen van de Unie, de lidstaten of van personen, wordt door de instellingen en organen van de Unie ingedeeld, verwerkt en opgeslagen als gevoelige niet-gerubriceerde informatie.
2.Alle instellingen en organen van de Unie identificeren gevoelige niet-gerubriceerde informatie door middel van een zichtbare beveiligingsmarkering en stellen instructies voor de verwerking ervan op overeenkomstig bijlage I.
3.De instellingen en organen van de Unie beschermen gevoelige niet-gerubriceerde informatie door passende maatregelen toe te passen met betrekking tot de verwerking en opslag ervan. Dergelijke informatie mag alleen binnen de instellingen en organen van de Unie ter beschikking worden gesteld van personen die voor de uitvoering van de hun toegewezen taken de noodzaak tot kennisneming hebben.
4.Gevoelige niet-gerubriceerde informatie wordt buiten de instellingen en organen van de Unie alleen uitgewisseld met natuurlijke personen en rechtspersonen die een noodzaak tot kennisneming hebben, met inachtneming van de verwerkingsinstructies die de informatie vergezelt. Alle betrokken partijen worden op de hoogte gebracht van de passende verwerkingsinstructies.
Artikel 15
Bescherming van niet-gerubriceerde informatie en interoperabiliteit
1.De instellingen en organen van de Unie stellen procedures vast voor het melden en beheren van incidenten of vermoedelijke incidenten die de beveiliging van niet-gerubriceerde informatie in gevaar kunnen brengen.
2.Indien nodig gebruiken de instellingen en organen van de Unie de in de artikelen 12, 13 en 14 bedoelde markeringen. Andere, gelijkwaardige markeringen mogen intern en ten aanzien van equivalente onderdelen van andere instellingen en organen van de Unie of van de lidstaten worden gebruikt, indien alle partijen daarmee instemmen. Van dergelijke uitzonderingen wordt melding gemaakt aan de subgroep inzake niet-gerubriceerde informatie, bedoeld in artikel 7, lid 1, punt b).
3.Er worden contractuele waarborgen vastgesteld om de bescherming van normale en gevoelige niet-gerubriceerde informatie die in het kader van uitbestede diensten wordt verwerkt, te waarborgen. De waarborgen zijn zodanig opgezet dat zij ten minste een beschermingsniveau garanderen dat gelijkwaardig is aan dat waarin deze verordening voorziet; zij omvatten vertrouwelijkheids- en geheimhoudingsverbintenissen die moeten worden ondertekend door alle relevante dienstverleners die betrokken zijn bij de levering van de uitbestede systemen.
Artikel 16
Subgroep inzake niet-gerubriceerde informatie
1.De in artikel 7, lid 1, punt b), bedoelde subgroep inzake niet-gerubriceerde informatie heeft de volgende taken en verantwoordelijkheden:
a)stroomlijning van de procedures voor het verwerken en opslaan van de niet-gerubriceerde informatie en opstelling van de desbetreffende richtsnoeren;
b)coördinatie met de in artikel 7, lid 1, punt a), bedoelde subgroep inzake informatieborging over aangelegenheden met betrekking tot systemen voor de verwerking en opslag van niet-gerubriceerde informatie;
c)opstelling van instructies voor de verwerking van de verschillende vertrouwelijkheidsniveaus van niet-gerubriceerde informatie;
d)verlening van bijstand aan de instellingen en organen van de Unie bij het vaststellen van de gelijkwaardigheid van hun specifieke categorieën niet-gerubriceerde gegevens met de in de artikelen 12, 13 en 14 bedoelde categorieën;
e)facilitering van de uitwisseling van niet-gerubriceerde informatie tussen de instellingen en organen van de Unie door middel van bijstand en begeleiding.
Artikel 17
Verwerking en opslag van gevoelige niet-gerubriceerde informatie in CIS
1.De instellingen en organen van de Unie zorgen ervoor dat CIS die gevoelige niet-gerubriceerde informatie verwerking en opslaan, aan de volgende minimumvereisten voldoen:
a)voor de verlening van toegang tot gevoelige niet-gerubriceerde informatie wordt sterke authenticatie toegepast en bij doorgifte en opslag wordt gevoelige niet-gerubriceerde informatie versleuteld;
b)de voor de opslag gebruikte encryptiesleutels vallen onder de verantwoordelijkheid van de instellingen of organen van de Unie die verantwoordelijk zijn voor de exploitatie van het CIS;
c)gevoelige niet-gerubriceerde informatie wordt opgeslagen en verwerkt in de Unie;
d)in alle uitbestedingsovereenkomsten worden bepalingen opgenomen betreffende de beveiliging van personeel, kritische bestanddelen en informatie;
e)er wordt gebruikgemaakt van interoperabele metagegevens om het vertrouwelijkheidsniveau van elektronische documenten vast te leggen en de automatisering van beveiligingsmaatregelen te faciliteren;
f)ter bescherming van gevoelige niet-gerubriceerde informatie nemen de instellingen en organen van de Unie maatregelen om gegevenslekken te voorkomen en op te sporen;
g)er wordt gebruikgemaakt van beveiligingsapparatuur met een Europees cyberbeveiligingscertificaat, indien beschikbaar;
h)er worden beveiligingsmaatregelen getroffen op basis van de beginselen inzake noodzaak tot kennisneming en “zero trust” teneinde de toegang van dienstverleners en contractanten tot gevoelige niet-gerubriceerde informatie tot een minimum te beperken.
2.Elke afwijking van de minimumvereisten van lid 1 wordt onderworpen aan goedkeuring door het passende managementniveau van de betrokken instelling of het betrokken orgaan van de Unie, op basis van een risicobeoordeling betreffende de juridische en technische risico’s voor de beveiliging van gevoelige niet-gerubriceerde informatie.
3.De instantie voor informatieborging van de betrokken instelling of het betrokken orgaan van de Unie kan tijdens de levenscyclus van een CIS te allen tijde de naleving van de beginselen van lid 1 controleren.
Hoofdstuk 5
EUCI
Afdeling 1
Algemene bepalingen
Artikel 18
Rubriceringen en markeringen
1.Voor EUCI worden de volgende rubriceringen en bijbehorende markeringen gehanteerd:
a)TRÈS SECRET UE/EU TOP SECRET: informatie en materiaal waarvan de ongeoorloofde openbaarmaking de wezenlijke belangen van de Unie of van een of meer van haar lidstaten uitzonderlijk ernstig kan schaden;
b)SECRET UE/EU SECRET: informatie en materiaal waarvan de ongeoorloofde openbaarmaking de wezenlijke belangen van de Unie of van een of meer van haar lidstaten ernstig kan schaden;
c)CONFIDENTIEL UE/EU CONFIDENTIAL: informatie en materiaal waarvan de ongeoorloofde openbaarmaking de wezenlijke belangen van de Unie of van een of meer van haar lidstaten kan schaden;
d)RESTREINT UE/EU RESTRICTED: informatie en materiaal waarvan de ongeoorloofde openbaarmaking nadelig kan zijn voor de belangen van de Unie of van een of meer van haar lidstaten.
2.De coördinatiegroep stelt richtsnoeren vast voor het aanmaken en rubriceren van EUCI.
Artikel 19
Geschiktheid om EUCI te verwerken en op te slaan
1.Elke instelling en elk orgaan van de Unie mag EUCI verwerken en opslaan indien aan de volgende voorwaarden is voldaan:
a)de instelling of het orgaan heeft overeenkomstig deze verordening voorschriften en procedures vastgesteld om de bescherming van informatie voor een bepaalde rubriceringsgraad te waarborgen; en
b)de instelling of het orgaan heeft overeenkomstig artikel 53 een evaluatiebezoek ondergaan, waarna is gecertificeerd dat de instelling of het orgaan in staat is EUCI te beschermen overeenkomstig deze verordening en, in voorkomend geval, andere relevante voorschriften en procedures.
2.Aan de voorwaarden van lid 1 wordt geacht standaard te zijn voldaan door de leden van de in artikel 7, lid 1, punt e), bedoelde subgroep inzake uitwisseling van EUCI en gerubriceerde informatie.
Artikel 20
Bescherming van EUCI
1.De houder van enigerlei vorm van EUCI is verantwoordelijk voor de bescherming ervan.
2.Wanneer een lidstaat gerubriceerde informatie met een nationale rubriceringsmarkering invoert in de structuren of netwerken van een instelling of orgaan van de Unie, beschermt die instelling of dat orgaan die informatie volgens de overeenkomstige rubriceringsmarkering die is vastgelegd in de Overeenkomst tussen de lidstaten van de Europese Unie, in het kader van de Raad bijeen, betreffende de bescherming van in het belang van de Europese Unie uitgewisselde gerubriceerde informatie 29 . De overeenkomstige equivalentietabel is opgenomen in bijlage VI bij deze verordening.
3.Het is mogelijk dat voor gebundelde EUCI een beschermingsniveau is vereist dat overeenstemt met een hogere rubriceringsgraad dan die van de componenten ervan.
Artikel 21
Proces inzake het beheer van EUCI-beveiligingsrisico’s
1.De veiligheidsautoriteit van elke instelling en elk orgaan van de Unie keurt de beveiligingsmaatregelen voor de bescherming van EUCI gedurende de gehele levenscyclus ervan goed overeenkomstig de resultaten van een door de instelling of het orgaan van de Unie uitgevoerde risicobeoordeling.
2.De door de instellingen en organen van de Unie getroffen beveiligingsmaatregelen zijn in overeenstemming met de rubriceringsgraad van de verwerkte en opgeslagen informatie, de vorm en het volume ervan, de locatie en de beschermingsvoorzieningen van de faciliteiten waar EUCI wordt verwerkt en opgeslagen, en de lokaal beoordeelde dreiging van kwaadwillige of criminele activiteiten.
3.Door alle instellingen en organen van de Unie worden vastgesteld:
a)noodplannen om de beveiliging van EUCI in noodsituaties te waarborgen;
b)bedrijfscontinuïteitsplannen waarin preventie- en herstelmaatregelen zijn opgenomen om de gevolgen van ernstige storingen of beveiligingsincidenten voor de verwerking en opslag van EUCI zo gering mogelijk te houden.
Artikel 22
Inbreuken op de beveiliging en compromittering van EUCI
1.Een handelen of nalaten van een instelling of orgaan van de Unie of een persoon dat in strijd is met deze verordening, wordt als een inbreuk op de beveiliging beschouwd.
2.EUCI wordt geacht te zijn gecompromitteerd wanneer de EUCI als gevolg van een inbreuk geheel of gedeeltelijk is vrijgegeven aan een of meer personen die niet zijn gemachtigd om toegang te krijgen tot die informatie.
3.Elke compromittering of vermoedelijke compromittering van EUCI wordt onmiddellijk gemeld aan de veiligheidsautoriteit van de betrokken instelling of het betrokken orgaan van de Unie, waardoor een veiligheidsonderzoek wordt uitgevoerd en ten minste de volgende maatregelen worden genomen:
a)de auteur wordt in kennis gesteld;
b)er wordt voor gezorgd dat de zaak wordt onderzocht door personeel dat niet rechtstreeks met de inbreuk te maken heeft, teneinde de toedracht vast te stellen;
c)de eventuele schade wordt beoordeeld die aan de belangen van de Unie of van de lidstaten is toegebracht;
d)er worden passende maatregelen genomen om herhaling te voorkomen;
e)de bevoegde instanties worden in kennis gesteld van de feitelijke of potentiële compromittering en de actie die is ondernomen.
Afdeling 2
Personeelsgerelateerde beveiliging
Artikel 23
Basisbeginselen
1.De veiligheidsautoriteit van een instelling of orgaan van de Unie kan aan personen toegang verlenen tot EUCI indien aan alle volgende voorwaarden is voldaan:
a)de personen hebben een noodzaak tot kennisneming;
b)de personen zijn geïnstrueerd over de beveiligingsvoorschriften en ‑procedures voor de bescherming van EUCI en de relevante beveiligingsnormen en ‑richtsnoeren, en hebben hun verantwoordelijkheden in verband met de bescherming van dergelijke informatie bevestigd;
c)indien het informatie met rubriceringsgraad CONFIDENTIEL UE/EU CONFIDENTIAL of hoger betreft, is de personen een veiligheidsmachtiging verleend en zijn zij op het passende niveau gemachtigd.
2.De instellingen en organen van de Unie houden rekening met de loyaliteit en betrouwbaarheid van een persoon, zoals vastgesteld door middel van een veiligheidsonderzoek dat is uitgevoerd door de bevoegde instanties van de lidstaat waarvan de aanvrager burger of onderdaan is.
3.De instellingen en organen van de Unie kunnen veiligheidsmachtigingen aanvaarden van derde landen en internationale organisaties waarmee de Unie een informatiebeveiligingsovereenkomst heeft gesloten.
4.De instellingen en organen van de Unie kunnen de processen voor de afgifte van veiligheidsmachtigingen autonoom beheren of met de Commissie een dienstenniveauovereenkomst sluiten met betrekking tot veiligheidsmachtigingen.
Wanneer een dienstenniveauovereenkomst wordt gesloten, is de veiligheidsautoriteit van de Commissie het contactpunt voor de beveiligingsbureaus van de betrokken instelling en het betrokken orgaan van de Unie en de nationale bevoegde instanties van de lidstaten met betrekking tot veiligheidsmachtigingen.
5.De veiligheidsautoriteit van elke instelling en elk orgaan van de Unie registreert de veiligheidsmachtigingen, briefings, schriftelijke verklaringen en machtigingen die toegang geven tot EUCI van de instelling of het orgaan van de Unie.
6.De instellingen en organen van de Unie die een dienstenniveauovereenkomst met de Commissie sluiten, stellen de veiligheidsautoriteit van de Commissie de relevante gegevens ter beschikking met betrekking tot ten minste het niveau van EUCI waartoe de betrokkene toegang kan worden verleend, de datum van afgifte van de machtiging de toegang geeft tot EUCI en de geldigheidsduur ervan. Die gegevens zijn, indien zulks gerechtvaardigd is, toegankelijk voor andere instellingen en organen van de Unie waarmee een dienstenniveauovereenkomst is gesloten.
Artikel 24
Machtiging die toegang geeft tot EUCI
1.Elke instelling en elk orgaan van de Unie bepaalt voor welke posities binnen de organisatie toegang tot informatie met rubriceringsgraad CONFIDENTIEL UE/EU CONFIDENTIAL of hoger vereist is om de houder in staat te stellen zijn of haar taken te vervullen.
2.Wanneer een persoon toegang moet krijgen tot informatie met rubriceringsgraad CONFIDENTIEL UE/EU CONFIDENTIAL of hoger, stelt de betrokken instelling of het betrokken orgaan de bevoegde veiligheidsautoriteit daarvan in kennis, waarna deze de in punt 1 van bijlage II voorgeschreven formaliteiten vervult.
3.De veiligheidsautoriteit van elk van de instellingen en organen van de Unie is verantwoordelijk voor het verlenen, opschorten, intrekken en verlengen van machtigingen die toegang geven tot EUCI voor het personeel van de instelling of het orgaan.
4.In uitzonderlijke omstandigheden, wanneer dit in het belang van de dienst gerechtvaardigd is, kan de veiligheidsautoriteit van een instelling of orgaan van de Unie, in afwachting van de voltooiing van een volledig veiligheidsonderzoek, aan personen een tijdelijke machtiging die toegang geeft tot EUCI verlenen voor een specifieke functie, zulks onverminderd de bepalingen betreffende de verlenging van de machtiging die toegang geeft tot EUCI en na verificatie door de bevoegde nationale veiligheidsautoriteit.
5.De instellingen en organen van de Unie volgen de in bijlage II beschreven procedures voor het beheer van machtigingen die toegang geven tot EUCI.
Artikel 25
Erkenning van machtigingen die toegang geven tot EUCI
1.Een machtiging die toegang geeft tot EUCI is tot het vermelde niveau geldig ongeacht bij welke instelling of orgaan van de Unie de betrokkene is aangesteld.
2.De instellingen en organen van de Unie aanvaarden door andere instellingen of organen van de Unie verleende machtigingen die toegang geven tot EUCI.
3.Wanneer de houder van een machtiging die toegang geeft tot EUCI bij een andere instelling of orgaan van de Unie in dienst treedt, stelt die instelling of dat orgaan van de Unie de betrokken nationale veiligheidsautoriteit via de bevoegde veiligheidsautoriteit in kennis van de verandering van werkgever.
Artikel 26
EUCI-briefings
1.De veiligheidsautoriteit van een instelling of orgaan van de Unie instrueert alle personen die toegang moeten hebben tot EUCI over alle mogelijke bedreigingen voor de veiligheid en over hun verplichting om alle verdachte activiteiten te melden. De briefing vindt plaats voordat toegang tot EUCI wordt verleend, en vervolgens ten minste eenmaal per vijf jaar.
2.Nadat de betrokken personen de in lid 1 bedoelde briefing hebben gekregen, bevestigen zij schriftelijk dat zij op de hoogte zijn van hun plichten met betrekking tot de bescherming van EUCI en van de gevolgen indien EUCI wordt gecompromitteerd.
3.Bij de in lid 1 bedoelde briefing wordt onder meer de volgende informatie verstrekt:
a)dat eenieder die verantwoordelijk is voor schending van de beveiligingsvoorschriften van deze verordening zich blootstelt aan disciplinaire maatregelen, overeenkomstig de geldende regelgeving;
b)dat eenieder die verantwoordelijk is voor compromittering of verlies van EUCI zich blootstelt aan disciplinaire maatregelen en/of strafvervolging, overeenkomstig de geldende wet- en regelgeving.
4.Wanneer personen aan wie een machtiging die toegang geeft tot EUCI is verleend, die toegang niet langer nodig hebben, zien de instellingen en organen van de Unie erop toe dat die personen op de hoogte zijn van hun verplichtingen om EUCI te blijven beschermen en dat zij deze zo nodig schriftelijk bevestigen.
5.De instellingen en organen van de Unie kunnen de taak van het organiseren en beheren van EUCI-briefings delen, mits rekening wordt gehouden met hun specifieke vereisten.
Afdeling 3
Fysieke beveiliging
Artikel 27
Basisbeginselen
1.Elke instelling en elk orgaan van de Unie stelt de voor de eigen locaties passende fysieke beveiligingsmaatregelen vast overeenkomstig bijlage III en het beginsel van defence in depth, op basis van een door de eigen veiligheidsautoriteit verrichte risicobeoordeling. De maatregelen hebben de volgende doelstellingen:
a)verhinderen dat een indringer toegang krijgt tot EUCI of zich toegang verschaft tot de locatie;
b)ongeoorloofde handelingen ontmoedigen, belemmeren en opsporen en zo snel mogelijk reageren op beveiligingsincidenten;
c)op basis van noodzaak tot kennisneming en waar nodig van de veiligheidsmachtiging van de betrokkene onderscheid kunnen maken tussen personeelsleden wat hun toegang tot EUCI betreft.
2.De instellingen en organen van de Unie treffen fysieke beveiligingsmaatregelen voor alle locaties waar EUCI wordt besproken, opgeslagen of verwerkt, met inbegrip van zones waar communicatie- en informatiesystemen als bedoeld in afdeling 5 van dit hoofdstuk zijn ondergebracht.
3.Voor de fysieke bescherming van informatie met rubriceringsgraad CONFIDENTIEL UE/EU CONFIDENTIAL mag uitsluitend beveiligingsapparatuur worden gebruikt die door de veiligheidsautoriteit van een instelling of orgaan van de Unie is goedgekeurd.
4.De instellingen en organen van de Unie kunnen beveiligde zones, als bedoeld in bijlage III, voor de verwerking en opslag van EUCI delen, nadat daartoe een overeenkomst is gesloten.
Artikel 28
Subgroep inzake fysieke beveiliging
1.De in artikel 7, lid 1, punt c), bedoelde subgroep inzake fysieke beveiliging heeft de volgende taken en verantwoordelijkheden:
a)het opstellen van richtsnoeren met betrekking tot fysieke beveiliging;
b)het vaststellen van de algemene beveiligingscriteria voor de aanschaf van apparatuur als beveiligde opbergmiddelen, versnipperaars, deursloten, elektronische toegangscontrolesystemen, inbraakdetectiesystemen en alarmsystemen voor de fysieke bescherming van EUCI;
c)het verlenen van bijstand aan de instellingen en organen van de Unie bij het vaststellen van passende beveiligingsmaatregelen voor hun locaties;
d)het voorstellen van compenserende maatregelen voor de bescherming van EUCI wanneer EUCI wordt verwerkt buiten de fysiek beschermde zones van een instelling of orgaan van de Unie.
Artikel 29
Fysieke bescherming van EUCI
1.Met het oog op de fysieke bescherming van EUCI stellen de instellingen en organen van de Unie de volgende fysiek beschermde zones in:
a)administratieve zones als bedoeld in bijlage III;
b)waar nodig beveiligde zones, met inbegrip van beveiligde zones van klasse I en klasse II en technisch beveiligde zones, als bedoeld in bijlage III.
2.De veiligheidsautoriteit van de betrokken instelling of het betrokken orgaan van de Unie voert een interne inspectie uit om na te gaan of is voldaan aan de voorwaarden van bijlage III voor het instellen van administratieve zones en beveiligde zones. Indien uit het inspectieverslag blijkt dat aan de voorwaarden is voldaan, kan de veiligheidsautoriteit een homologatie afgeven voor de beveiligde zone, die voor ten hoogste vijf jaar geldig blijft voor de bescherming van EUCI tot het vermelde niveau.
De veiligheidsautoriteit van de betrokken instelling of het betrokken orgaan van de Unie is verantwoordelijk voor de hernieuwde homologatie van de beveiligde zones, die moet plaatsvinden voordat de homologatie verstrijkt of telkens wanneer binnen de gehomologeerde zone wijzigingen zijn doorgevoerd.
3.Elke instelling en elk orgaan van de Unie stelt procedures vast voor het beheer van sleutels en codecombinaties voor kantoren, ruimten, kluizen en beveiligde opbergmiddelen voor de rubriceringsgraad CONFIDENTIEL UE/EU-CONFIDENTIAL en hogere graden.
4.De veiligheidsautoriteit kan machtiging verlenen tot controles bij binnenkomst en vertrek om het ongeoorloofd binnenbrengen van materiaal in, of het ongeoorloofd verwijderen van EUCI uit een locatie te ontmoedigen en op te sporen.
5.De instellingen en organen van de Unie stellen de maatregelen voor de fysieke bescherming van EUCI vast overeenkomstig bijlage III.
Afdeling 4
Beheer van EUCI
Artikel 30
Basisbeginselen
1.De instellingen en organen van de Unie dragen er zorg voor dat hun EUCI-documenten worden geregistreerd, opgeborgen en behouden en uiteindelijk worden verwijderd, bemonsterd of naar de gepaste archieven worden overgebracht overeenkomstig het bewaringsbeleid en de specifieke voorschriften voor de dossiers van elk van de instellingen en organen van de Unie.
2.Alle instellingen en organen van de Unie die auteurs zijn van EUCI, bepalen de rubriceringsgraad van de desbetreffende informatie bij het aanmaken ervan, overeenkomstig artikel 18, lid 1.
3.De instellingen en organen van de Unie delen de rubriceringsgraad duidelijk mee aan de ontvangers, hetzij door middel van een rubriceringsmarkering, hetzij door middel van een aankondiging, wanneer de informatie mondeling wordt verstrekt.
4.De beveiligingsmaatregelen die voor het originele document gelden, zijn ook van toepassing op ontwerpen, kopieën en vertalingen ervan.
5.De instellingen en organen van de Unie stellen de maatregelen voor het beheer van EUCI vast overeenkomstig bijlage IV.
Artikel 31
Aanmaken van EUCI
De instellingen en organen van de Unie onder wier gezag EUCI wordt aangemaakt, zien erop toe dat aan de volgende eisen wordt voldaan:
a)op elke bladzijde wordt duidelijk de rubriceringsgraad aangegeven;
b)elke bladzijde wordt genummerd;
c)op het document wordt een referentienummer vermeld en in voorkomend geval een registratienummer, alsmede een onderwerp, dat op zich geen EUCI is, tenzij het als zodanig is gemarkeerd;
d)de aanmaakdatum wordt op het document vermeld;
e)alle bijlagen en bijvoegsels worden vermeld, indien mogelijk op de eerste bladzijde;
f)documenten met rubriceringsgraad SECRET UE/EU SECRET en hoger worden op elke bladzijde van een exemplaarnummer voorzien, indien zij in meerdere exemplaren moeten worden verspreid. Elektronische kopieën die worden verspreid buiten het systeem waarin de EUCI wordt aangehouden, worden voorzien van een uniek identificatienummer op basis van een elektronische handtekening.
Artikel 32
Controle door de auteur
1.De instelling of het orgaan van de Unie onder het gezag waarvan een EUCI-document wordt aangemaakt, heeft als auteur de controle over dat document. De auteur bepaalt de rubriceringsgraad van het document en is verantwoordelijk voor de aanvankelijke verspreiding ervan. Onverminderd Verordening (EG) nr. 1049/2001 moet de voorafgaande schriftelijke toestemming van de auteur worden verkregen voordat de informatie:
a)wordt gederubriceerd of de rubricering ervan wordt verlaagd;
b)wordt gebruikt voor andere dan door de auteur vastgestelde doeleinden;
c)wordt doorgestuurd naar een entiteit buiten de instelling of het orgaan van de Unie waarbij de informatie berust, zoals een derde land of internationale organisatie, een andere instelling of een ander orgaan van de Unie, een lidstaat, een contractant of potentiële contractant, een begunstigde of potentiële begunstigde;
d)wordt gekopieerd en vertaald, indien de rubriceringsgraad TRÈS SECRET UE/EU TOP SECRET is.
2.Indien de auteur van een EUCI-document niet kan worden vastgesteld, oefent de instelling of het orgaan van de Unie waarbij de gerubriceerde informatie berust, de controle door de auteur uit.
3.De auteur van EUCI houdt een register bij van alle gerubriceerde bronnen die voor de productie van een gerubriceerd document zijn gebruikt, met inbegrip van gegevens over bronnen die oorspronkelijk afkomstig zijn van een lidstaat, internationale organisatie of derde land. Waar zulks passend is, wordt geaggregeerde gerubriceerde informatie op zodanige wijze gemarkeerd dat de auteurs van de gebruikte gerubriceerde bronmaterialen altijd geïdentificeerd kunnen worden.
Artikel 33
Rubriceringsmarkeringen
1.In voorkomend geval kunnen EU-documenten, naast een van de rubriceringsmarkeringen, voorzien zijn van aanvullende markeringen, zoals verspreidings- of vrijgavemarkeringen of om de auteur aan te duiden.
2.Verschillende delen van een EUCI-document kunnen verschillende rubriceringen vereisen en worden van een dienovereenkomstige markering voorzien. De rubricering die voor het gehele document of bestand geldt, is van ten minste van dezelfde graad als die van het hoogst gerubriceerde gedeelte ervan.
3.Documenten die delen met verschillende rubriceringsgraden bevatten, worden zo gestructureerd dat de delen met een verschillende rubriceringsgraad gemakkelijk kunnen worden herkend en, indien nodig, worden gescheiden.
Artikel 34
EUCI-registersysteem
1.Alle instellingen en organen van de Unie die informatie met rubriceringsgraad CONFIDENTIEL UE/EU CONFIDENTIEL of hoger verwerken en opslaan, zetten een of meer EUCI-registers op om ervoor te zorgen dat deze gegevens voor beveiligingsdoeleinden worden geregistreerd wanneer zij bij een instelling of orgaan van de Unie aankomen of deze verlaten.
2.De registers worden ingericht als beveiligde zones zoals bedoeld in bijlage III.
3.De instellingen en organen van de Unie wijzen voor het beheer van elk EUCI-register een registercontrolefunctionaris (Registry Control Officer, RCO) aan. De RCO beschikt over een passende veiligheidsmachtiging en krijgt een machtiging overeenkomstig artikel 24. De instellingen en organen van de Unie zorgen voor een passende opleiding van hun RCO.
Artikel 35
Verlaging van rubricering en derubricering
1.Informatie blijft slechts gerubriceerd zolang bescherming vereist is. EUCI waarvoor de oorspronkelijke rubricering niet langer vereist is, krijgt een lagere rubriceringsgraad. EUCI die in het geheel niet meer als gerubriceerd behoeft te worden beschouwd, wordt gederubriceerd.
2.Bij het aanmaken geeft de auteur waar mogelijk, en in het bijzonder voor als RESTREINT UE/EU RESTRICTED gerubriceerde informatie, aan of de EUCI op een bepaalde datum of na een bepaalde gebeurtenis lager gerubriceerd of gederubriceerd kan worden.
3.De als auteur fungerende instelling of orgaan van de Unie is verantwoordelijk voor de beslissing of een EUCI-document lager gerubriceerd of gederubriceerd kan worden. Die instelling of dat orgaan evalueert de informatie en beoordeelt de risico’s ten minste om de vijf jaar om vast te stellen of de oorspronkelijke rubriceringsgraad nog passend is.
4.Instellingen en organen van de Unie die EUCI bezitten waarvan zij niet de auteur zijn, mogen dat document niet lager rubriceren of derubriceren, noch de in artikel 18, lid 1, bedoelde markeringen wijzigen of verwijderen zonder voorafgaande schriftelijke toestemming van de auteur.
5.Instellingen en organen van de Unie kunnen door hen aangemaakte EUCI gedeeltelijk lager rubriceren of derubriceren. In dat geval wordt een uittreksel met een lagere rubricering of een gederubriceerd uittreksel vervaardigd.
6.De instellingen en organen van de Unie stellen de organisatie die de EUCI ontvangt in kennis van de lagere rubricering of derubricering ervan.
Artikel 36
Markeringen op documenten met verlaagde rubricering en gederubriceerde documenten
1.Wanneer een instelling of orgaan van de Unie besluit een EUCI-document te derubriceren, wordt nagegaan of het document moet worden gemarkeerd als gevoelige niet-gerubriceerde informatie.
2.De originele rubriceringsmarkering aan de boven- en de onderzijde van elke bladzijde wordt zichtbaar geschrapt (niet verwijderd) met behulp van de doorhaalfunctie in het geval van elektronische formaten dan wel handmatig bij papieren afdrukken. De oorspronkelijke rubriceringsmarkering wordt niet verwijderd.
3.Op de eerste bladzijde of op het dekblad wordt een stempel aangebracht dat aangeeft dat het document een lagere rubricering heeft gekregen of gederubriceerd is, samen met de vermelding van de voor de lagere rubricering of derubricering verantwoordelijke autoriteit en de desbetreffende datum. Verlaging van de rubricering of derubricering van elektronische EUCI wordt aangetoond met een elektronische handtekening onder het gezag van de auteur.
Artikel 37
Vernietiging en wissing van EUCI
1.De instellingen en organen van de Unie evalueren EUCI-documenten, zowel op papier als opgenomen in een CIS, ten minste om de vijf jaar om te bepalen of zij moeten worden vernietigd of gewist. Wanneer EUCI wordt vernietigd of gewist, wordt aan eenieder die de EUCI eerder heeft ontvangen, een instructie gericht.
2.De instellingen en organen van de Unie kunnen duplicaten van EUCI vernietigen die niet langer nodig zijn, rekening houdend met de toepasselijke voorschriften inzake documentenbeheer voor de originelen.
3.De instellingen en organen van de Unie laten elk papieren exemplaar van informatie die als CONFIDENTIEL UE/EU CONFIDENTIAL of hoger is gerubriceerd, uitsluitend vernietigen door hun registercontrolefunctionaris. De registercontrolefunctionaris werkt de logbestanden en andere registratiegegevens dienovereenkomstig bij en bewaart essentiële metagegevens van het vernietigde document.
Documenten met rubriceringsgraad SECRET UE/EU SECRET of hoger worden uitsluitend vernietigd door de registercontrolefunctionaris in het bijzijn van een getuige die een veiligheidsmachtiging heeft voor ten minste de rubriceringsgraad van het document dat wordt vernietigd.
4.Zowel de registercontrolefunctionaris als de getuige, als de aanwezigheid van deze laatste vereist is, ondertekent een vernietigingscertificaat, dat in het register wordt bewaard. Het certificaat wordt ten minste vijf jaar bewaard in het geval van informatie met rubriceringsgraad CONFIDENTIEL UE/EU CONFIDENTIAL en SECRET UE/EU SECRET, en ten minste tien jaar in het geval van informatie die als TRÈS SECRET UE/EU TOP SECRET is gerubriceerd.
Artikel 38
Evacuatie en vernietiging van EUCI in noodsituaties
1.Elke instelling en elk orgaan van de Unie ontwikkelt op basis van de plaatselijke omstandigheden noodevacuatie- en vernietigingsplannen ter bescherming van EUCI-informatie die een aanzienlijk risico loopt om in handen van onbevoegden te vallen.
De operationele voorschriften van noodplannen voor de evacuatie en vernietiging van deze informatie worden zelf als RESTREINT UE/EU RESTRICTED gerubriceerd.
2.In noodgevallen, wanneer er een dreigend risico van ongeoorloofde openbaarmaking van EUCI bestaat, wordt EUCI door de instellingen en organen van de Unie geëvacueerd.
Wanneer evacuatie niet mogelijk is, moet de EUCI op zodanige wijze worden vernietigd dat deze niet geheel of gedeeltelijk kan worden gereconstrueerd.
3.De auteur en het register van oorsprong worden op de hoogte gebracht van de noodevacuatie of ‑vernietiging van geregistreerde EUCI.
4.Wanneer een noodplan is geactiveerd, wordt voorrang gegeven aan het evacueren of vernietigen van de hogere niveaus van EUCI, met inbegrip van de encryptie-uitrusting.
Artikel 39
Archivering
1.De instellingen en organen van de Unie beslissen of en wanneer EUCI worden gearchiveerd en stellen de bijbehorende praktische maatregelen vast in overeenstemming met hun beleid inzake documentenbeheer.
2.EUCI-documenten worden niet overgebracht naar het historisch archief van de Europese Unie.
Afdeling 5
Bescherming van EUCI in communicatie- en informatiesystemen (CIS)
Artikel 40
Subgroep inzake homologatie van communicatie- en informatiesystemen die EUCI verwerken en opslaan
De in artikel 7, lid 1, punt d), bedoelde subgroep inzake homologatie van CIS die EUCI verwerken en opslaan, heeft de volgende taken en verantwoordelijkheden:
a)de instellingen en organen van de Unie bijstaan bij hun homologatieprocessen;
b)een aanbeveling doen voor een door alle instellingen en organen van de Unie te volgen homologatienorm;
c)beste praktijken en richtsnoeren met betrekking tot de homologatie van CIS verspreiden en delen.
Artikel 41
Communicatie- en informatiesystemen
De instellingen en organen van de Unie nemen met betrekking tot de verwerking en opslag van EUCI de volgende vereisten in acht:
a)de systeemeigenaar of de operationele instantie voor informatieborging raadpleegt de instantie voor veiligheidshomologatie alvorens een CIS te ontwikkelen, aan te schaffen of voor de verwerking en opslag van EUCI vrij te geven, teneinde de homologatievereisten vast te stellen;
b)de belangrijkste beveiligingsbeginselen die van toepassing zijn op het ontwerp van CIS waarin EUCI wordt verwerkt en opgeslagen, zijn vanaf het begin van het project van kracht als onderdeel van het proces inzake het beheer van informatiebeveiligingsrisico’s, waarbij rekening wordt gehouden met beginselen als noodzaak tot kennisneming, minimale functionaliteit, defence in depth, minste voorrechten, scheiding van taken, en het vierogenprincipe;
c)de onderdelen voor opslag, centrale verwerking en netwerkbeheer van een CIS dat EUCI verwerkt en opslaat, worden geïnstalleerd in een beveiligde zone als bedoeld in bijlage III;
d)er worden “Tempest-beveiligingsmaatregelen” geïmplementeerd die in verhouding staan tot het risico van misbruik en de rubriceringsgraad van de informatie;
e)alle personeelsleden die betrokken zijn bij de werking van een CIS waarin EUCI wordt verwerkt en opgeslagen, stellen de veiligheidsautoriteit en de betrokken systeemeigenaar of de operationele instantie voor informatieborging in kennis van mogelijke zwakke punten, incidenten, inbreuken op de beveiliging of systeemcompromitteringen die gevolgen kunnen hebben voor de bescherming van het CIS of van de EUCI die in het CIS wordt verwerkt en opgeslagen;
f)in voorkomend geval stelt de veiligheidsautoriteit de veiligheidsautoriteiten van alle andere betrokken instellingen en organen van de Unie in kennis van mogelijke zwakke punten of incidenten op beveiligingsgebied die van invloed kunnen zijn op de verwerking en opslag van EUCI door hun CIS.
Artikel 42
Cryptografische producten
1.Voor de verzending en opslag van EUCI met elektronische middelen wordt gebruikgemaakt van goedgekeurde cryptografische producten. De lijst van goedgekeurde cryptografische producten wordt door de Raad bijgehouden op basis van input van de nationale veiligheidsautoriteiten.
2.Indien de in lid 1 bedoelde lijst geen geschikt product voor het beoogde doel bevat, verzoekt de instantie voor de goedkeuring van cryptografische producten van de betrokken instelling of het betrokken orgaan van de Unie de Raad om een voorlopige goedkeuring. Waar mogelijk wordt een cryptografisch product geselecteerd dat door de nationale veiligheidsautoriteit van een lidstaat is goedgekeurd.
De Raad neemt de nodige maatregelen om ervoor te zorgen dat een geschikt product aan de lijst wordt toegevoegd.
3.De goedkeuring van een cryptografisch product is maximaal vijf jaar geldig en wordt daarna jaarlijks getoetst.
4.Elk cryptografisch product waarvoor de nationale goedkeuring is ingetrokken of is verstreken, wordt door Raad van de lijst van goedgekeurde cryptografische producten geschrapt.
5.De coördinatiegroep stelt de Raad jaarlijks in kennis van alle cryptografische producten die zij aanbeveelt voor evaluatie door een instantie voor de goedkeuring van cryptografische producten van een lidstaat op basis van een in de instellingen en organen van de Unie uitgevoerd onderzoek.
Artikel 43
Homologatie van CIS waarin EUCI wordt verwerkt en opgeslagen
1.Door homologatie van CIS waarin EUCI wordt verwerkt en opgeslagen, bevestigen de instellingen en organen van de Unie dat alle gepaste beveiligingsmaatregelen zijn getroffen en dat een voldoende niveau van bescherming van de EUCI en van het CIS overeenkomstig deze verordening tot stand is gebracht.
2.De eigenaar van het CIS of de operationele instantie voor informatieborging is verantwoordelijk voor het opstellen van de homologatiedossiers en de documentatie, met inbegrip van handleidingen voor verschillende categorieën gebruikers.
3.De instantie voor beveiligingshomologatie van elke instelling en elk orgaan van de Unie is verantwoordelijk voor de vaststelling van een homologatieprocedure met duidelijke voorwaarden die moeten worden goedgekeurd voor alle CIS die onder die instantie vallen.
4.Wanneer bij een CIS voor de verwerking en opslag van EUCI zowel instellingen en organen van de Unie als nationale veiligheidsautoriteiten betrokken zijn, stellen de betrokken instellingen en organen van de Unie, bij overeenkomstig artikel 8, lid 2, vast te stellen uitvoeringsvoorschriften, een gezamenlijke raad voor beveiligingshomologatie in die belast wordt met de homologatie van het systeem. Die raad is samengesteld uit vertegenwoordigers van de betrokken partijen die deel uitmaken van de instantie voor beveiligingshomologatie, en wordt voorgezeten door de instantie voor beveiligingshomologatie van de instelling of het orgaan van de Unie die eigenaar is van het CIS.
Artikel 44
Procedure voor de homologatie van een CIS waarin EUCI wordt verwerkt en opgeslagen
1.Elk CIS waarin EUCI wordt verwerkt en opgeslagen, ondergaat een op de beginselen van informatieborging gebaseerde homologatieprocedure, waarvan de details in overeenstemming zijn met het vereiste beschermingsniveau.
2.De homologatieprocedure mondt uit in een homologatieverklaring waarin de hoogste toegelaten rubriceringsgraad wordt vermeld van de informatie die in een CIS mag worden verwerkt en opgeslagen, en de voorwaarden daarvoor worden vastgesteld. De homologatieverklaring is gebaseerd op de formele validering van de risicobeoordeling en van de beveiligingsmaatregelen die voor het betrokken CIS zijn genomen, en biedt de waarborg dat:
a)het proces inzake het beheer van informatiebeveiligingsrisico’s naar behoren is uitgevoerd;
b)de systeemeigenaar of de risico-eigenaar het residuele risico welbewust heeft aanvaard;
c)een voldoende beschermingsniveau voor het CIS en de daarin verwerkte en opgeslagen EUCI is verwezenlijkt overeenkomstig deze verordening.
3.De instantie voor beveiligingshomologatie van een instelling of orgaan van de Unie valideert de homologatieverklaring formeel. Na geslaagde validering verleent de instantie voor veiligheidshomologatie een exploitatievergunning, waarbij de hoogste toegelaten rubriceringsgraad wordt vermeld van de informatie die in een CIS mag worden verwerkt, en de voorwaarden daarvoor worden vastgesteld. De vergunning wordt verleend voor een welbepaalde termijn. Wanneer een of meer van de vereiste beveiligingsmaatregelen niet zijn genomen, maar daardoor geen noemenswaardige gevolgen ontstaan voor de algemene veiligheid, kan een voorlopige exploitatievergunning worden verleend, met vermelding van de vereiste herstelpunten.
4.Op elk moment in de levenscyclus van een CIS kan de instantie voor veiligheidshomologie van de betrokken instelling of het betrokken orgaan van de Unie de volgende maatregelen nemen:
a)toepassing van een homologatieprocedure;
b)audit of inspectie van het CIS;
c)indien niet langer wordt voldaan aan de operationele voorwaarden, bijvoorbeeld wanneer een beveiligingsincident een significante kwetsbaarheid in het CIS aan het licht heeft gebracht, eisen dat binnen een welbepaalde termijn een plan voor betere beveiliging wordt opgesteld en daadwerkelijk wordt uitgevoerd, en eventueel de exploitatievergunning van het CIS intrekken totdat weer wordt voldaan aan de operationele voorwaarden.
5.De systeemeigenaar of de operationele instantie voor informatieborging brengt tijdens de geldigheidsduur van een exploitatievergunning jaarlijks formeel verslag uit aan de instantie voor veiligheidshomologatie, met inbegrip van een samenvatting van alle significante incidenten, wijzigingen en risicofactoren.
Artikel 45
Noodsituaties
1.De instellingen en organen van de Unie kunnen in noodsituaties, zoals bij dreigende of feitelijke crises, conflicten, oorlogssituaties of in uitzonderlijke operationele omstandigheden, specifieke procedures toepassen voor de overbrenging of opslag van EUCI, nadat zij de goedkeuring hebben verkregen van hun instantie voor de goedkeuring van cryptografische producten.
2.EUCI mag in de in lid 1 genoemde situaties, met toestemming van de bevoegde instantie, door middel van voor een lagere rubriceringsgraad goedgekeurde cryptografische producten of zonder encryptie worden overgebracht, indien vertraging schade zou veroorzaken die duidelijk zwaarder weegt dan de schade ten gevolge van bekendmaking van het gerubriceerde materiaal en indien aan de volgende voorwaarden is voldaan:
a)de zender of de ontvanger beschikt niet over de vereiste encryptieapparatuur, en
b)het gerubriceerde materiaal kan niet tijdig met andere middelen worden verzonden.
3.Gerubriceerde informatie die in de in punt 2 bedoelde omstandigheden wordt overgebracht, mag niet door markeringen of aanwijzingen te onderscheiden zijn van niet-gerubriceerde informatie of informatie die beschermd kan worden met een wel beschikbaar cryptografisch product. De ontvanger wordt onverwijld langs andere weg op de hoogte gebracht van de rubriceringsgraad.
4.Vervolgens wordt aan de bevoegde veiligheidsautoriteit verslag uitgebracht over de overbrenging van EUCI in de in lid 1 bedoelde omstandigheden.
Afdeling 6
Industriële beveiliging
Artikel 46
Basisbeginselen
1.De instellingen en organen van de Unie zorgen er, als aanbestedende dienst of subsidieverlenende instantie, voor dat de in deze afdeling vervatte minimumnormen inzake industriële beveiliging en de voorwaarden voor de bescherming van EUCI in gerubriceerde contracten en subsidieovereenkomsten in bijlage V worden vermeld of opgenomen in de contracten of subsidieovereenkomsten en in acht worden genomen bij de gunning van gerubriceerde contracten of de verlening van gerubriceerde subsidies.
2.Industriële beveiliging is de toepassing van maatregelen om de bescherming van EUCI door onderstaande personen of entiteiten te waarborgen:
a)in direct beheer 30 in het kader van gerubriceerde contracten:
i)gegadigden of inschrijvers tijdens de inschrijvings- en aanbestedingsprocedure;
ii)contractanten of subcontractanten tijdens de hele looptijd van een gerubriceerd contract;
b)in direct beheer 31 in het kader van gerubriceerde subsidieovereenkomsten:
i)aanvragers tijdens de toekenningsprocedure;
ii)begunstigden en subcontractanten tijdens de gehele looptijd van een gerubriceerde subsidieovereenkomst;
c)in indirect beheer in het kader van kaderovereenkomsten inzake financieel partnerschap (FFPA) en de daarmee verband houdende bijdrageovereenkomsten: de met de uitvoering belaste entiteiten gedurende de gehele looptijd van deze overeenkomsten.
3.Als toewijzende entiteit beschrijft de instelling of het orgaan van de Unie de specifieke beveiligingsvereisten voor de met de uitvoering belaste entiteit in het beveiligingshoofdstuk van de FFPA en de daarmee verband houdende bijdrageovereenkomsten. Deze vereisten zijn gebaseerd op de beveiligingsbeginselen en ‑bepalingen die in deze verordening zijn opgenomen met betrekking tot gerubriceerde contracten en subsidieovereenkomsten, die van overeenkomstige toepassing zijn.
4.Gerubriceerde contracten en subsidieovereenkomsten mogen geen betrekking hebben op informatie met rubriceringsgraad TRÈS SECRET UE/EU TOP SECRET.
5.De bepalingen in dit hoofdstuk die betrekking hebben op gerubriceerde contracten of contractanten, of op gerubriceerde subsidieovereenkomsten of begunstigden daarvan, zijn ook van toepassing op gerubriceerde subcontracten en subcontractanten onder die gerubriceerde contracten of gerubriceerde subsidieovereenkomsten.
6.De instellingen en organen van de Unie werken als aanbestedende dienst of subsidieverlenende instantie nauw samen met de veiligheidsautoriteiten en andere bevoegde autoriteiten van het land waar de overeenkomstsluitende partij of de ontvanger van de subsidie is geregistreerd, alsmede met de veiligheidsautoriteiten en andere bevoegde autoriteiten van de internationale organisatie waarmee een overeenkomst is gesloten of waaraan een subsidie is verleend.
7.De instellingen en organen van de Unie communiceren als aanbestedende dienst of subsidieverlenende instantie met de veiligheidsautoriteiten of, via de veiligheidsautoriteiten, met andere bevoegde autoriteiten.
8.De instellingen en organen van de Unie stellen als aanbestedende dienst of subsidieverlenende instantie de in lid 6 bedoelde autoriteiten via hun veiligheidsautoriteit ervan in kennis wanneer zij een gerubriceerd contract of een gerubriceerde subsidieovereenkomst hebben ondertekend.
In de kennisgeving worden relevante gegevens vermeld zoals de naam van de contractant of de begunstigde, de looptijd van het gerubriceerde contract of de gerubriceerde subsidieovereenkomst en de hoogste rubriceringsgraad die ermee gemoeid is.
De instellingen en organen van de Unie stellen, als aanbestedende dienst of subsidieverlenende instantie, de in lid 6 bedoelde autoriteiten ook in kennis wanneer gerubriceerde contracten of subsidieovereenkomsten voortijdig worden beëindigd.
9.De instellingen en organen van de Unie mogen, als aanbestedende dienst of subsidieverlenende instantie, gerubriceerde contracten en gerubriceerde delen van subsidies slechts gunnen aan entiteiten die zijn geregistreerd in een derde land dat een informatiebeveiligingsovereenkomst met de Unie heeft gesloten, of die zijn opgericht door een internationale organisatie die een informatiebeveiligingsovereenkomst met de Unie heeft gesloten. Indien de betrokken EUCI persoonsgegevens bevat, wordt bij elke doorgifte daarvan aan een derde land of een internationale organisatie Verordening (EU) 2018/1725 in acht genomen.
Artikel 47
Beveiligingselementen in gerubriceerde contracten en subsidieovereenkomsten
1.In gerubriceerde contracten en subsidieovereenkomsten worden de volgende beveiligingselementen opgenomen:
a)een rubriceringsgids;
b)een memorandum over de beveiligingsaspecten.
2.In gerubriceerde contracten of subsidieovereenkomsten kan een programma- of projectbeveiligingsinstructie zijn opgenomen.
Artikel 48
Rubriceringsgids
1.Alvorens een gerubriceerd contract of een gerubriceerde subsidieovereenkomst te ondertekenen, bepaalt de instelling of het orgaan van de Unie, als aanbestedende dienst of subsidieverlenende instantie, de rubriceringsgraad van alle informatie die door contractanten of begunstigden of hun subcontractanten wordt aangemaakt. Daartoe stelt de instelling of het orgaan van de Unie een rubriceringsgids op die moet worden gebruikt bij de uitvoering van het gerubriceerde contract of de gerubriceerde subsidieovereenkomst.
2.De rubriceringsgids kan gedurende de looptijd van het programma of het project worden gewijzigd, en zoals aangegeven in artikel 50 kan de informatie opnieuw worden gerubriceerd of een lagere rubriceringsgraad krijgen.
3.Voor het bepalen van de rubriceringsgraad van de diverse onderdelen van een gerubriceerd contract of gerubriceerde subsidieovereenkomst gelden onderstaande beginselen:
a)bij het opstellen van een rubriceringsgids houdt de instelling of het orgaan van de Unie als aanbestedende dienst of subsidieverlenende instantie rekening met alle ter zake doende beveiligingsaspecten, zoals de rubriceringsgraad die is toegekend aan verstrekte informatie waarvan het gebruik voor het gerubriceerde contract of de gerubriceerde subsidieovereenkomst is goedgekeurd door de auteur van de informatie;
b)de algehele rubriceringsgraad van het gerubriceerde contract of de gerubriceerde subsidieovereenkomst mag niet lager zijn dan de hoogste rubriceringsgraad van de afzonderlijke onderdelen ervan;
c)in voorkomend geval neemt de betrokken instelling of het betrokken orgaan van de Unie, als aanbestedende dienst of subsidieverlenende instantie, via de eigen veiligheidsautoriteit contact op met de veiligheidsautoriteiten of andere bevoegde instanties van het betrokken land wanneer wijzigingen worden aangebracht in de rubriceringsgids.
Artikel 49
Memorandum over de beveiligingsaspecten
1.De instellingen en organen van de Unie beschrijven als aanbestedende dienst of subsidieverlenende instantie de specifieke beveiligingsvereisten van het gerubriceerde contract of de gerubriceerde subsidieovereenkomst in een memorandum over de beveiligingsaspecten. In dat memorandum wordt de rubriceringsgids opgenomen, die integraal deel uitmaakt van het gerubriceerde contract, de gerubriceerde subsidieovereenkomst of het gerubriceerde subcontract.
2.De brief over de beveiligingsaspecten bevat bepalingen op grond waarvan de contractant of begunstigde, en diens subcontractanten, de bepalingen van deze verordening en alle verdere uit hoofde van artikel 8, lid 2, vastgestelde uitvoeringsvoorschriften inzake industriële beveiliging moeten naleven. In het memorandum over de beveiligingsaspecten wordt duidelijk aangegeven dat niet-naleving van de bepalingen ervan voldoende grond kan vormen voor de beëindiging van het gerubriceerde contract of de gerubriceerde subsidieovereenkomst.
Artikel 50
Programma- of projectbeveiligingsinstructie
1.De instellingen en organen van de Unie kunnen als aanbestedende dienst of subsidieverlenende instantie programma- of projectbeveiligingsinstructies ontwikkelen, in nauwe samenwerking met hun veiligheidsautoriteiten, met name voor programma’s en projecten waarvan het toepassingsgebied, de omvang of de complexiteit aanzienlijk is of waarbij sprake is van een groot aantal verschillende contractanten, begunstigden en andere betrokken partners en belanghebbenden.
2.De veiligheidsautoriteit van elk van de instellingen en organen van de Unie die als aanbestedende dienst of subsidieverlenende instantie optreden, legt de specifieke programma- of projectbeveiligingsinstructie ter advies voor aan het adviesorgaan op veiligheidsgebied van de betrokken lidstaat, dat wil zeggen de nationale veiligheidsautoriteit en/of de aangewezen veiligheidsautoriteit.
Wanneer voor een instelling of orgaan van de Unie een dergelijk adviesorgaan niet beschikbaar is, wordt de programma- of projectbeveiligingsinstructie voorgelegd aan het in artikel 6, lid 8, bedoelde comité voor informatiebeveiliging.
Afdeling 7
Delen van EUCI en uitwisselen van gerubriceerde informatie
Artikel 51
Basisbeginselen
1.Alle instellingen en organen van de Unie kunnen EUCI delen met andere instellingen of organen van de Unie onder de voorwaarden van artikel 54.
2.De instellingen en organen van de Unie kunnen EUCI delen met de lidstaten en de Europese Gemeenschap voor Atoomenergie, mits zij die informatie beschermen volgens de overeenkomstige rubriceringsmarkering die is vastgelegd in de Overeenkomst tussen de lidstaten van de Europese Unie, in het kader van de Raad bijeen, betreffende de bescherming van in het belang van de Unie uitgewisselde gerubriceerde informatie en de tabel in bijlage VI bij deze verordening.
3.De instellingen en organen van de Unie wisselen gerubriceerde gegevens alleen uit met derde landen of internationale organisaties waarmee overeenkomstig de artikelen 55 en 56 een informatiebeveiligingsovereenkomst of een administratieve regeling is gesloten.
In die overeenkomst of regeling zijn bepalingen opgenomen die waarborgen dat door derde landen of internationale organisaties ontvangen EUCI wordt beschermd in overeenstemming met de rubriceringsgraad ervan en volgens minimumnormen die niet minder streng zijn dan die welke in deze verordening zijn vastgelegd.
4.Wanneer er geen informatiebeveiligingsovereenkomst of administratieve regeling is gesloten, kan een instelling of orgaan van de Unie in uitzonderlijke omstandigheden overeenkomstig artikel 58 EUCI vrijgeven aan een andere instelling of orgaan van de Unie, een derde land of een internationale organisatie.
5.De instellingen en organen van de Unie wijzen de registers aan die fungeren als de belangrijkste punten van binnenkomst en uitgang voor EUCI die wordt gedeeld met andere instellingen of organen van de Unie of voor gerubriceerde informatie die met derde landen of internationale organisaties wordt uitgewisseld.
Artikel 52
Subgroep inzake uitwisseling van EUCI en gerubriceerde informatie
1.De in artikel 7, lid 1, punt e), bedoelde subgroep inzake uitwisseling van EUCI en gerubriceerde informatie heeft de volgende taken en verantwoordelijkheden:
a)het organiseren van evaluatiebezoeken aan instellingen en organen van de Unie, derde landen en internationale organisaties en het vaststellen van het jaarlijkse programma van die bezoeken;
b)voorbereiding en uitvoering van de evaluatiebezoeken;
c)opstelling van een verslag over de resultaten van de in punt a) bedoelde bezoeken, behalve in de in artikel 56, lid 2, bedoelde gevallen.
2.De subgroep inzake uitwisseling van EUCI en gerubriceerde informatie bestaat uit vertegenwoordigers van de Commissie, de Raad en de Europese Dienst voor extern optreden en treedt op bij consensus.
Artikel 53
Evaluatiebezoeken in verband met het delen van EUCI
1.De subgroep inzake uitwisseling van EUCI en gerubriceerde informatie verricht evaluatiebezoeken, waaraan de ambtenaren van de bezochte instelling of het bezochte orgaan van de Unie alle medewerking verlenen. De subgroep kan een bijstandsverzoek richten aan de nationale veiligheidsautoriteit die bevoegd is op het grondgebied waar de instelling of het orgaan van de Unie zich bevindt.
2.De evaluatiebezoeken aan de betrokken instellingen en organen van de Unie hebben de volgende doeleinden:
a)nagaan of de in deze verordening vastgestelde voorschriften voor de bescherming van EUCI worden nageleefd en derhalve of de uitgevoerde maatregelen doeltreffend zijn;
b)benadrukken wat het belang is van beveiliging en doelmatig risicobeheer binnen de geïnspecteerde entiteiten;
c)tegenmaatregelen aanbevelen om de specifieke gevolgen van de aantasting van de beschikbaarheid, vertrouwelijkheid of de integriteit van gerubriceerde informatie te reduceren;
d)zorgen voor versterking van de programma’s die de veiligheidsautoriteiten uitvoeren op het gebied van veiligheidseducatie en ‑bewustzijn.
3.Na het evaluatiebezoek voert de subgroep inzake uitwisseling van EUCI en gerubriceerde informatie de volgende taken uit:
a)zij stelt een verslag op met de belangrijkste conclusies van de evaluatie;
b)zij vraagt het in artikel 6, lid 8, bedoelde comité voor informatiebeveiliging om advies over het verslag;
c)zij zendt het verslag voor follow-up naar de veiligheidsautoriteit van de bezochte instelling of het bezochte orgaan van de Unie.
4.Wanneer in het verslag corrigerende maatregelen worden voorgesteld of aanbevelingen worden gedaan, wordt een vervolgbezoek georganiseerd om na te gaan of de maatregelen zijn genomen, of de aanbevelingen uitgevoerd.
Artikel 54
Delen van EUCI
1.Een instelling of orgaan van de Unie kan EUCI delen met een andere instelling of een ander orgaan van de Unie mits aan de volgende voorwaarden is voldaan:
a)de uitwisseling is aantoonbaar noodzakelijk;
b)bij de betrokken instelling of het betrokken orgaan van de Unie is een evaluatiebezoek afgelegd overeenkomstig artikel 53, waarvan het resultaat bevestigt dat die instelling of dat orgaan van de Unie in staat is een bepaald niveau van EUCI te verwerken en op te slaan;
c)de veiligheidsautoriteit van de betrokken instelling of het betrokken orgaan van de Unie heeft besloten dat de instelling of het orgaan tot een bepaald niveau gerubriceerde informatie mag delen met andere gecertificeerde instellingen en organen van de Unie.
2.Het secretariaat van de coördinatiegroep heeft een lijst opgesteld van EUCI die mag worden verwerkt en opgeslagen door elk van de instellingen en organen van de Unie die voldoen aan de voorwaarden van lid 1, punten b) en c). Het werkt die lijst regelmatig bij.
Artikel 55
Informatiebeveiligingsovereenkomsten
1.Wanneer het noodzakelijk is op lange termijn gerubriceerde gegevens uit te wisselen met een derde land of een internationale organisatie, streeft de bevoegde instelling of het bevoegde orgaan naar onderhandeling over en sluiting van een informatiebeveiligingsovereenkomst overeenkomstig artikel 218 van het Verdrag betreffende de werking van de Europese Unie.
2.In informatiebeveiligingsovereenkomsten worden de grondbeginselen en minimumnormen vastgesteld voor de uitwisseling van gerubriceerde informatie tussen de Europese Unie en een derde land of internationale organisatie.
3.Informatiebeveiligingsovereenkomsten voorzien ook in een technische uitvoeringsregeling, waarover overeenstemming moet worden bereikt tussen de bevoegde veiligheidsautoriteiten van de betrokken instellingen en organen van de Unie en de bevoegde veiligheidsautoriteit van het derde land of de internationale organisatie in kwestie.
4.Voorafgaand aan de goedkeuring van de in lid 3 bedoelde technische uitvoeringsregeling brengt de subgroep inzake uitwisseling van EUCI en gerubriceerde informatie een evaluatiebezoek overeenkomstig artikel 57.
Artikel 56
Administratieve regelingen met een derde land of internationale organisatie
1.Indien het reglement van orde of de oprichtingshandeling van een instelling of orgaan van de Unie in die mogelijkheid voorziet, kan die instelling of dat orgaan van de Unie een administratieve regeling aangaan met de equivalente entiteit in een derde land of een internationale organisatie, nadat de subgroep inzake uitwisseling van EUCI en gerubriceerde informatie is ingelicht, mits aan de volgende voorwaarden is voldaan:
a)het is noodzakelijk dat de betrokken instelling of het betrokken orgaan van de Unie op lange termijn informatie met een rubriceringsgraad van doorgaans niet hoger dan RESTREINT UE/EU RESTRICTED uitwisselt met de equivalente entiteit in een derde land of internationale organisatie;
b)de betrokken instelling of het betrokken orgaan van de Unie voldoet aan de voorwaarden van artikel 54, lid 1;
c)het in artikel 57 bedoelde verslag van het evaluatiebezoek bevestigt dat de equivalente entiteit in het betrokken derde land of de betrokken internationale organisatie over de capaciteit beschikt om een bepaald niveau van EUCI te verwerken en op te slaan.
2.Voorafgaand aan de sluiting van een administratieve regeling wordt een evaluatiebezoek afgelegd overeenkomstig de beginselen van artikel 57. De instelling van de Unie die of het orgaan van de Unie dat om de administratieve regeling verzoekt, kan de subgroep inzake uitwisseling van EUCI en gerubriceerde informatie verzoeken het evaluatiebezoek namens de instelling of het orgaan uit te voeren of aan het bezoek deel te nemen.
3.De veiligheidsautoriteit van de instelling of het orgaan van de Unie waarvan het verzoek om een administratieve regeling uitgaat, neemt een besluit over de specifieke voorwaarden voor de uitwisseling en over de hoogste toegelaten rubriceringsgraad van EUCI die mag worden uitgewisseld. Die graad mag niet hoger zijn dan de rubriceringsgraad die is vastgesteld voor het delen van EUCI met andere instellingen en organen van de Unie, overeenkomstig artikel 54, en mag in voorkomend geval niet hoger zijn dan de rubriceringsgraad die is vastgesteld in een informatiebeveiligingsovereenkomst met hetzelfde derde land of dezelfde internationale organisatie.
Artikel 57
Evaluatiebezoeken ten behoeve van de uitwisseling van gerubriceerde informatie met derde landen en internationale organisaties
1.Er wordt een evaluatiebezoek gebracht aan een derde land of een internationale organisatie om te bepalen of een instelling of orgaan van de Unie gerubriceerde informatie mag uitwisselen met het betrokken derde land of de betrokken internationale organisatie.
2.Het evaluatiebezoek heeft tot doel de doeltreffendheid van de beveiligingsvoorschriften en ‑procedures in het betrokken derde land of de betrokken internationale organisatie met betrekking tot de bescherming van EUCI op een bepaald niveau te beoordelen. Het evaluatiebezoek wordt uitgevoerd in onderlinge overeenstemming met het betrokken derde land of de betrokken internationale organisatie.
3.Tijdens het evaluatiebezoek worden ten minste de volgende aspecten beoordeeld:
a)het regelgevingskader dat van toepassing is op de bescherming van gerubriceerde informatie en de geschiktheid daarvan voor de bescherming van EUCI op een bepaald niveau;
b)specifieke kenmerken van het beveiligingsbeleid en de manier waarop de beveiliging in het derde land of bij de internationale organisatie is georganiseerd, en de eventuele gevolgen die een en ander heeft voor de rubriceringsgraad van de gerubriceerde informatie die kan worden uitgewisseld;
c)de vigerende beveiligingsmaatregelen en ‑procedures;
d)de veiligheidsmachtigingsprocedures voor de rubriceringsgraad van de vrij te geven EUCI.
4.Aan het in artikel 6, lid 8, bedoelde comité voor informatiebeveiliging wordt verslag uitgebracht over de resultaten van de evaluatiebezoeken voordat de EUCI daadwerkelijk aan het betrokken derde land of de betrokken internationale organisatie wordt vrijgegeven. In voorkomend geval wordt het verslag ook gedeeld met de betrokken instelling of het betrokken orgaan van de Unie.
5.De bevoegde veiligheidsautoriteiten van de betrokken instelling of het betrokken orgaan van de Unie delen de derde staat of internationale organisatie mee vanaf welke datum de Unie in de positie is om de EUCI vrij te geven, alsook wat de hoogste rubriceringsgraad is van de EUCI die in papieren vorm of met elektronische middelen mag worden uitgewisseld.
6.Er worden vervolgbezoeken georganiseerd in de volgende omstandigheden:
a)de rubriceringsgraad van de EUCI die mag worden uitgewisseld, moet worden verhoogd;
b)de betrokken instelling of het betrokken orgaan van de Unie is in kennis gesteld van fundamentele wijzigingen in de beveiligingsregelingen van het derde land of de internationale organisatie, die van invloed kunnen zijn op de wijze waarop EUCI wordt beschermd;
c)er heeft zich een ernstig incident voorgedaan waarbij EUCI ongeoorloofd bekend is gemaakt.
Artikel 58
Uitzonderlijke ad-hocvrijgave van EUCI
1.Indien er geen informatiebeveiligingsovereenkomst of administratieve regeling is gesloten en een instelling of orgaan van de Unie vaststelt dat er een uitzonderlijke noodzaak bestaat om EUCI vrij te geven aan een andere instelling of orgaan van de Unie of aan een derde land of een internationale organisatie, of
indien er wel een informatiebeveiligingsovereenkomst of een administratieve regeling is gesloten en een instelling of orgaan van de Unie vaststelt dat er een uitzonderlijke noodzaak bestaat om EUCI met een hogere rubriceringsgraad vrij te geven dan waarin de overeenkomst of de regeling voorziet, neemt de instelling of het orgaan van de Unie die EUCI verstrekt, de volgende stappen:
a)voor zover mogelijk wordt bij de veiligheidsautoriteit van het derde land, de internationale organisatie of de ontvangende instelling of het ontvangende orgaan van de Unie geverifieerd of de beveiligingsvoorschriften, -structuren en -procedures kunnen waarborgen dat de vrijgegeven EUCI wordt beschermd volgens normen die niet minder streng zijn dan die welke bij deze verordening zijn vastgesteld;
b)het in artikel 6, lid 8, bedoelde comité voor informatiebeveiliging wordt verzocht om advies uit te brengen op basis van de overeenkomstig punt a) verrichte verificatie, tenzij de operationele omstandigheden onmiddellijke ad-hocvrijgave vereisen, in welk geval het comité voor informatiebeveiliging vervolgens op de hoogte wordt gebracht.
2.Op alle documenten die op grond van dit artikel worden vrijgegeven, wordt een vrijgavemarkering aangebracht met vermelding van het derde land, de internationale organisatie of de instelling of het orgaan van de Unie waaraan zij zijn vrijgegeven.
3.Vóór of bij de daadwerkelijke vrijgave vraagt de instelling of het orgaan van de Unie waardoor de EUCI wordt verstrekt, de ontvangende partij om een schriftelijke verbintenis dat zij de ontvangen EUCI zal beschermen. In voorkomend geval wordt die partij verzocht zich ertoe te verbinden de EUCI te beschermen overeenkomstig de basisbeginselen en minimumnormen van deze verordening.
Hoofdstuk 6
Slotbepalingen
Artikel 59
Uitvoering
1.De coördinatiegroep stelt richtsnoeren inzake informatiebeveiliging op voor de uitvoering van deze verordening.
2.De instellingen en organen van de Unie kunnen op basis van hun specifieke behoeften interne voorschriften vaststellen voor de uitvoering van deze verordening, overeenkomstig artikel 8, lid 2.
Artikel 60
Overgangsbepalingen
1.De interne voorschriften inzake informatiebeveiliging die afzonderlijke instellingen of organen van de Unie vóór [dd/mm/jjjj datum van toepassing] hebben vastgesteld, worden uiterlijk [drie jaar na de inwerkingtreding van deze verordening] geëvalueerd.
2.Alle instellingen en organen van de Unie die vóór [dd/mm/jjjj datum van toepassing] door de Commissie, de Raad of de EDEO geschikt zijn bevonden voor de verwerking en opslag van EUCI, worden geacht te voldoen aan de voorwaarden van artikel 19, lid 1.
3.Administratieve regelingen die de instellingen en organen van de Unie vóór [dd/mm/jjjj datum van toepassing] met derde landen en internationale organisaties hebben gesloten, blijven geldig.
4.Wanneer de lidstaten op het grondgebied waarvan de begunstigden van de subsidieovereenkomst van de Commissie in het kader van het industrieel ontwikkelingsprogramma voor de Europese defensie hebben besloten een specifiek beveiligingskader op te zetten voor de bescherming en verwerking van nationaal gerubriceerde informatie met betrekking tot de betrokken subsidieovereenkomst, zal de Commissie bij de toepassing van de in deze verordening vervatte industriële beveiligingsprocedures dit beveiligingskader in acht nemen tot het einde van de looptijd van de subsidieovereenkomst.
Artikel 61
Monitoring en evaluatie
1.Uiterlijk op [dd/mm/jjjj drie jaar na de datum van toepassing] dient de Commissie bij het Europees Parlement en de Raad een verslag in over de uitvoering van deze verordening.
2.Niet eerder dan [vijf jaar na de datum van toepassing] en vervolgens iedere vijf jaar voert de Commissie een evaluatie van deze verordening uit en brengt zij over de voornaamste bevindingen verslag uit aan het Europees Parlement en de Raad.
Artikel 62
Inwerkingtreding en toepassing
1.Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.
2.Zij is van toepassing met ingang van [datum: de eerste dag van de maand volgende op de periode van twee jaar na de datum van inwerkingtreding].
Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.
Gedaan te Brussel,
Voor het Europees Parlement Voor de Raad
De voorzitter De voorzitter
[…] […]
FINANCIEEL MEMORANDUM
1.KADER VAN HET VOORSTEL/INITIATIEF
1.1.Benaming van het voorstel/initiatief
1.2.Betrokken beleidsterrein(en)
1.3.Het voorstel/initiatief betreft:
1.4.Doelstelling(en)
1.4.1.Algemene doelstelling(en)
1.4.2.Specifieke doelstelling(en)
1.4.3.Verwachte resulta(a)t(en) en gevolg(en)
1.4.4.Prestatie-indicatoren
1.5.Motivering van het voorstel/initiatief
1.5.1.Behoefte(n) waarin op korte of lange termijn moet worden voorzien, met een gedetailleerd tijdschema voor de uitrol van het initiatief
1.5.2.Toegevoegde waarde van de deelname van de Unie (deze kan het resultaat zijn van verschillende factoren, bijvoorbeeld coördinatiewinst, rechtszekerheid, grotere doeltreffendheid of complementariteit). Voor de toepassing van dit punt wordt onder “toegevoegde waarde van de deelname van de Unie” de waarde verstaan die een optreden van de Unie oplevert bovenop de waarde die door een optreden van alleen de lidstaat zou zijn gecreëerd.
1.5.3.Nuttige ervaring die bij soortgelijke activiteiten in het verleden is opgedaan
1.5.4.Verenigbaarheid met het meerjarige financiële kader en eventuele synergie met andere passende instrumenten
1.5.5.Beoordeling van de verschillende beschikbare financieringsopties, waaronder mogelijkheden voor herschikking
1.6.Duur en financiële gevolgen van het voorstel/initiatief
1.7.Beheersvorm(en)
2.BEHEERSMAATREGELEN
2.1.Regels inzake het toezicht en de verslagen
2.2.Beheers- en controlesyste(e)m(en)
2.2.1.Rechtvaardiging van de voorgestelde beheersvorm(en), uitvoeringsmechanisme(n) voor financiering, betalingsvoorwaarden en controlestrategie
2.2.2.Informatie over de geïdentificeerde risico’s en het (de) systeem (systemen) voor interne controle dat is (die zijn) opgezet om die risico’s te beperken
2.2.3.Raming en motivering van de kosteneffectiviteit van de controles (verhouding van de controlekosten tot de waarde van de desbetreffende financiële middelen) en evaluatie van het verwachte foutenrisico (bij betaling en bij afsluiting).
2.3.Maatregelen ter voorkoming van fraude en onregelmatigheden
3.GERAAMDE FINANCIËLE GEVOLGEN VAN HET VOORSTEL/INITIATIEF
3.1.Rubriek(en) van het meerjarige financiële kader en betrokken begrotingsonderde(e)l(en) voor uitgaven
3.2.Geraamde financiële gevolgen van het voorstel inzake kredieten
3.2.1.Samenvatting van de geraamde gevolgen voor de beleidskredieten
3.2.2.Geraamde output, gefinancierd met beleidskredieten
3.2.3.Samenvatting van de geraamde gevolgen voor de administratieve kredieten
3.2.4.Verenigbaarheid met het huidige meerjarige financiële kader
3.2.5.Bijdragen van derden
3.3.Geraamde gevolgen voor de ontvangsten
FINANCIEEL MEMORANDUM
1.KADER VAN HET VOORSTEL/INITIATIEF
1.1.Benaming van het voorstel/initiatief
Voorstel voor een VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD betreffende informatiebeveiliging in de instellingen, organen en instanties van de Unie
1.2.Betrokken beleidsterrein(en)
Europees openbaar bestuur
De voorschriften inzake informatiebeveiliging van de instellingen en organen van de Unie moeten gezamenlijk binnen het Europese bestuur een alomvattend en samenhangend algemeen kader voor de bescherming van informatie vormen en moeten de gelijkwaardigheid van de basisbeginselen en minimumnormen waarborgen. Het niveau van de bescherming die aan de informatie wordt geboden, moet bovendien voor alle instellingen en organen van de Unie gelijkwaardig zijn.
1.3.Het voorstel/initiatief betreft:
een nieuwe actie
◻ een nieuwe actie na een proefproject / voorbereidende actie 32
◻ de verlenging van een bestaande actie
◻ de samenvoeging of ombuiging van een of meer acties naar een andere/een nieuwe actie
1.4.Doelstelling(en)
1.4.1.Algemene doelstelling(en)
De algemene doelstelling van het initiatief is het opstellen van voorschriften inzake informatiebeveiliging voor alle instellingen en organen van de Unie, teneinde een krachtige en consistente bescherming tegen de zich ontwikkelende dreigingen voor hun informatie tot stand te brengen.
1.4.2.Specifieke doelstelling(en)
• specifieke doelstelling 1: geharmoniseerde, uitgebreide informatiecategorieën vaststellen, alsmede gemeenschappelijke verwerkingsvereisten voor alle informatie die door het Europese bestuur wordt verwerkt, en beveiligde uitwisseling van informatie tussen de instellingen en organen van de Unie faciliteren, waarbij de gevolgen voor de lidstaten tot een minimum worden beperkt.
• specifieke doelstelling 2: ervoor zorgen dat alle instellingen en organen van de Unie eventuele lacunes in de beveiliging van hun processen vaststellen en de maatregelen uitvoeren die nodig zijn om een gelijk speelveld op het gebied van informatiebeveiliging te waarborgen.
• specifieke doelstelling 3: een flexibele samenwerkingsregeling inzake informatiebeveiliging tussen de instellingen en organen van de Unie opzetten waarmee voor het gehele Europese bestuur een samenhangende informatiebeveiligingscultuur tot stand kan worden gebracht.
• specifieke doelstelling 4: het informatiebeveiligingsbeleid met betrekking tot alle rubriceringsgraden en categoriseringsniveaus moderniseren voor alle instellingen en organen van de Unie, rekening houdend met de digitale transformatie en de ontwikkeling van thuiswerken als structurele praktijk.
1.4.3.Verwachte resulta(a)t(en) en gevolg(en)
Vermeld de gevolgen die het voorstel/initiatief zou moeten hebben op de begunstigden/doelgroepen.
Het voorstel zal voor de instellingen en organen van de Unie de volgende gevolgen hebben:
–herziening van hun interne voorschriften en procedures om deze aan te passen aan de verordening;
–categorisering van alle verwerkte informatie in overeenstemming met de regeling waarin de verordening voorziet;
–hun communicatie- en informatiesystemen in overeenstemming brengen met de voorschriften van de verordening;
–deelnemen aan de interinstitutionele coördinatiegroep voor informatiebeveiliging (de “coördinatiegroep”).
De lidstaten zullen baat hebben bij deze verordening aangezien deze ervoor zorgt dat de samenwerking met de instellingen en organen van de Unie op alle relevante gebieden (personeelsbeveiliging, industriële beveiliging en informatie-uitwisseling) gebaseerd is op dezelfde concepten, regels en procedures.
1.4.4.Prestatie-indicatoren
Vermeld de indicatoren voor de monitoring van de voortgang en de beoordeling van de resultaten.
Indicatoren die relevant zijn voor specifieke doelstelling 1
–Vaststelling van passende richtsnoeren
–Invoering van nieuwe markeringen
–Publicatie van bijgewerkte verwerkingsinstructies voor alle categorieën informatie
–Invoering van gemeenschappelijke systemen voor de verwerking van gevoelige niet-gerubriceerde informatie en EUCI
Indicatoren die relevant zijn voor specifieke doelstelling 2
–Aantal aanbevelingen en aantal uitgevoerd aanbevelingen
–Aantal informatielekken tussen instellingen en organen
Indicatoren die relevant zijn voor specifieke doelstelling 3
–Statistieken over gecentraliseerde versus lokale aanbestedingen
–Inspectieverslagen
–Aantal door het secretariaat van de coördinatiegroep informatiebeveiliging behandelde verzoeken
Indicatoren die relevant zijn voor specifieke doelstelling 4
–Aantal gebruikers dat een opleiding volgt
–Mate van bekendheid van het personeel met de voorschriften inzake informatiebeveiliging
–Percentage personeelsleden dat beveiligde apparatuur voor thuiswerken kan gebruiken
1.5.Motivering van het voorstel/initiatief
1.5.1.Behoefte(n) waarin op korte of lange termijn moet worden voorzien, met een gedetailleerd tijdschema voor de uitrol van het initiatief
Dit initiatief wordt gefaseerd uitgevoerd:
–2022/2023: vaststelling en inwerkingtreding van de verordening
–2024/2025: alle instellingen en organen van de Unie toetsen hun interne regels voorschriften inzake informatiebeveiliging met het oog op de aanpassing ervan aan de verordening
–2025: organisatorische werkzaamheden voor de oprichting van de coördinatiegroep en het secretariaat ervan, en de technische subgroepen
–2024/2025: aanvang van de toepassing van de verordening
–2025/2026: vaststelling van het reglement van orde van de coördinatiegroep en de technische subgroepen
–2026–2028: opstelling van richtsnoeren ter ondersteuning van de uitvoering van de verordening, uitwisseling van beste praktijken tussen instellingen en organen
–2029/2030: voorbereiding van de eerste evaluatie van de verordening (elke vijf jaar vanaf de datum van toepassing)
–2030: eerste evaluatie van de verordening
1.5.2.Toegevoegde waarde van de deelname van de Unie (deze kan het resultaat zijn van verschillende factoren, bijvoorbeeld coördinatiewinst, rechtszekerheid, grotere doeltreffendheid of complementariteit). Voor de toepassing van dit punt wordt onder “toegevoegde waarde van de deelname van de Unie” de waarde verstaan die een optreden van de Unie oplevert bovenop de waarde die door een optreden van alleen de lidstaat zou zijn gecreëerd.
Het initiatief draagt ertoe bij dat de instellingen en organen van de Unie bij de uitvoering van hun opdracht worden bijgestaan door een open, efficiënt en onafhankelijk bestuur.
Het vormt een aanvulling op de algemene nationale inspanningen van de lidstaten op het gebied van de veiligheid van de EU door de instellingen en organen te beschermen tegen externe inmenging en spionageactiviteiten.
1.5.3.Nuttige ervaring die bij soortgelijke activiteiten in het verleden is opgedaan
Niet van toepassing.
1.5.4.Verenigbaarheid met het meerjarige financiële kader en eventuele synergie met andere passende instrumenten
Het project vereist dat 2 vte’s worden ingezet voor het secretariaat van de coördinatiegroep informatiebeveiliging.
Andere projecten, zoals de ontwikkeling van gemeenschappelijke instrumenten en de centralisatie van sommige activiteiten, zijn ten dele al aan de gang en vallen onder dienstenniveauovereenkomsten en kaderovereenkomsten.
1.5.5.Beoordeling van de verschillende beschikbare financieringsopties, waaronder mogelijkheden voor herschikking
Zie de vorige afdeling.
1.6.Duur en financiële gevolgen van het voorstel/initiatief
◻ beperkte geldigheidsduur
–◻ van kracht vanaf [DD/MM]JJJJ tot en met [DD/MM]JJJJ
–◻ financiële gevolgen vanaf JJJJ tot en met JJJJ voor vastleggingskredieten en vanaf JJJJ tot en met JJJJ voor betalingskredieten.
– onbeperkte geldigheidsduur
1.7.Beheersvorm(en) 33
Rechtstreeks beheer door de Commissie en de individuele instellingen en organen van de Unie
– door de diensten ervan, waaronder het personeel in de delegaties van de Unie;
–◻ door de uitvoerende agentschappen
◻ Gedeeld beheer met de lidstaten
◻ Indirect beheer door begrotingsuitvoeringstaken te delegeren aan:
–◻ derde landen of de door hen aangewezen organen;
–◻ internationale organisaties en hun agentschappen (geef aan welke);
–◻ de EIB en het Europees Investeringsfonds;
–◻ de in de artikelen 70 en 71 van het Financieel Reglement bedoelde organen;
–◻ publiekrechtelijke organen;
–◻ privaatrechtelijke organen met een openbaredienstverleningstaak, voor zover hun voldoende financiële garanties worden geboden;
–◻ privaatrechtelijke organen van een lidstaat, waaraan de uitvoering van een publiek-privaat partnerschap is toevertrouwd en waaraan voldoende financiële garanties worden geboden;
–◻ personen aan wie de uitvoering van specifieke maatregelen op het gebied van het GBVB in het kader van titel V van het VEU is toevertrouwd en die worden genoemd in de betrokken basishandeling.
–Verstrek, indien meer dan een beheersvorm is aangekruist, extra informatie onder “Opmerkingen”.
Opmerkingen
2.BEHEERSMAATREGELEN
2.1.Regels inzake het toezicht en de verslagen
Vermeld frequentie en voorwaarden.
De verordening zal om de vijf jaar worden geëvalueerd en de Commissie zal over haar bevindingen verslag uitbrengen aan de Raad en het Europees Parlement.
2.2.Beheers- en controlesyste(e)m(en)
2.2.1.Rechtvaardiging van de voorgestelde beheersvorm(en), uitvoeringsmechanisme(n) voor financiering, betalingsvoorwaarden en controlestrategie
Bij de verordening worden voorschriften inzake informatiebeveiliging vastgesteld, die voor alle instellingen en organen van de Unie gelden. Het toezicht op de correcte uitvoering ervan zal plaatsvinden via een coördinatiegroep waarbij alle veiligheidsautoriteiten van de instellingen en organen betrokken zijn.
De verantwoordelijkheid voor de beveiliging blijft volledig berusten bij de veiligheidsautoriteit van elke instelling en elk orgaan, en is onderworpen aan het bestaande internecontrolekader van elke instelling en elk orgaan.
2.2.2.Informatie over de geïdentificeerde risico’s en het (de) systeem (systemen) voor interne controle dat is (die zijn) opgezet om die risico’s te beperken
De verordening zal een basis voor informatiebeveiligingsvoorschriften creëren en de transparantie van beveiligingsmaatregelen voor informatie-uitwisseling tussen de instellingen en organen van de Unie waarborgen, zodat de risico’s in verband met informatiebeveiliging over de hele linie worden beperkt.
De verordening is in overeenstemming met de internecontrolenormen en omvat een risicogebaseerde aanpak voor beleidsvorming.
2.2.3.Raming en motivering van de kosteneffectiviteit van de controles (verhouding van de controlekosten tot de waarde van de desbetreffende financiële middelen) en evaluatie van het verwachte foutenrisico (bij betaling en bij afsluiting).
De bestaande controlemechanismen voor de instellingen en organen zullen van toepassing zijn. Over de naleving van de verordening en de risico’s in verband met informatiebeveiliging moet verslag worden uitgebracht in het kader van de jaarlijkse risicorapportage van de instellingen en organen.
2.3.Maatregelen ter voorkoming van fraude en onregelmatigheden
Vermeld de bestaande en geplande preventie- en beschermingsmaatregelen, bijvoorbeeld in het kader van de fraudebestrijdingsstrategie.
Niet van toepassing.
3.GERAAMDE FINANCIËLE GEVOLGEN VAN HET VOORSTEL/INITIATIEF
3.1.Rubriek(en) van het meerjarige financiële kader en betrokken begrotingsonderde(e)l(en) voor uitgaven
·Bestaande begrotingsonderdelen
In volgorde van de rubrieken van het meerjarige financiële kader en de begrotingsonderdelen.
|
Rubriek van het meerjarig financieel kader |
Begrotingsonderdeel |
Soort uitgave |
Bijdrage |
|||
|
Nummer |
GK/NGK 34 |
van EVA-landen 35 |
van kandidaat-lidstaten 36 |
van derde landen |
in de zin van artikel 21, lid 2, punt b), van het Financieel Reglement |
|
|
H7 |
20 01 02 01 |
NGK |
NEE |
NEE |
NEE |
NEE |
·Te creëren nieuwe begrotingsonderdelen
In volgorde van de rubrieken van het meerjarige financiële kader en de begrotingsonderdelen.
|
Rubriek van het meerjarig financieel kader |
Begrotingsonderdeel |
Soort uitgave |
Bijdrage |
|||
|
Nummer |
GK/NGK |
van EVA-landen |
van kandidaat-lidstaten |
van derde landen |
in de zin van artikel 21, lid 2, punt b), van het Financieel Reglement |
|
|
Geen |
JA/NEE |
JA/NEE |
JA/NEE |
JA/NEE |
||
3.2.Geraamde financiële gevolgen van het voorstel inzake kredieten
3.2.1.Samenvatting van de geraamde gevolgen voor de beleidskredieten
– Voor het voorstel/initiatief zijn geen beleidskredieten nodig
– Voor het voorstel/initiatief zijn beleidskredieten nodig, zoals hieronder nader wordt beschreven:
miljoen EUR (tot op drie decimalen)
|
Rubriek van het meerjarig financieel kader |
Aantal |
|
DG: <…> |
Jaar
|
Jaar
|
Jaar
|
Jaar
|
Vul zoveel jaren in als nodig om de duur van de gevolgen weer te geven (zie punt 1.6) |
TOTAAL |
|||||
|
• Beleidskredieten |
|||||||||||
|
Begrotingsonderdeel 38 |
Vastleggingen |
(1a) |
|||||||||
|
Betalingen |
(2a) |
||||||||||
|
Begrotingsonderdeel |
Vastleggingen |
(1b) |
|||||||||
|
Betalingen |
(2b) |
||||||||||
|
Uit het budget van specifieke programma’s gefinancierde administratieve kredieten 39 |
|||||||||||
|
Begrotingsonderdeel |
(3) |
||||||||||
|
TOTAAL kredieten
|
Vastleggingen |
=1a+1b+3 |
|||||||||
|
Betalingen |
=2a+2b+3 |
||||||||||
|
|
Vastleggingen |
(4) |
||||||||
|
Betalingen |
(5) |
|||||||||
|
• TOTAAL uit het budget van specifieke programma’s gefinancierde administratieve kredieten |
(6) |
|||||||||
|
TOTAAL kredieten
|
Vastleggingen |
=4+6 |
||||||||
|
Betalingen |
=5+6 |
|||||||||
Wanneer het voorstel/initiatief gevolgen heeft voor meerdere beleidsrubrieken, herhaal dan bovenstaand deel:
|
• TOTAAL beleidskredieten (alle beleidsrubrieken) |
Vastleggingen |
(4) |
||||||||
|
Betalingen |
(5) |
|||||||||
|
TOTAAL uit het budget van specifieke programma’s gefinancierde administratieve kredieten (alle beleidsrubrieken) |
(6) |
|||||||||
|
TOTAAL kredieten
|
Vastleggingen |
=4+6 |
||||||||
|
Betalingen |
=5+6 |
|||||||||
|
|
7 |
“Administratieve uitgaven” |
Dit deel moet worden ingevuld aan de hand van de “administratieve begrotingsgegevens”, die eerst moeten worden opgenomen in de bijlage bij het financieel memorandum (Bijlage V bij de interne voorschriften), te uploaden in DECIDE met het oog op overleg tussen de diensten.
miljoen EUR (tot op drie decimalen)
|
Jaar
|
Jaar
|
Jaar
|
Jaar
|
Jaar
|
TOTAAL |
|||
|
DG: HR |
||||||||
|
• Personele middelen |
0,314 |
0,314 |
0,314 |
0,314 |
0,314 |
1,570 |
||
|
• Andere administratieve uitgaven |
||||||||
|
TOTAAL DG <…> |
Kredieten |
0,314 |
0,314 |
0,314 |
0,314 |
0,314 |
1,570 |
|
|
TOTAAL kredieten
|
(Totaal vastleggingen = totaal betalingen) |
0,314 |
0,314 |
0,314 |
0,314 |
0,314 |
1,570 |
miljoen EUR (tot op drie decimalen)
|
Jaar
|
Jaar
|
Jaar
|
Jaar
|
Jaar
|
TOTAAL |
|||
|
TOTAAL kredieten
|
Vastleggingen |
0,314 |
0,314 |
0,314 |
0,314 |
0,314 |
1,570 |
|
|
Betalingen |
0,314 |
0,314 |
0,314 |
0,314 |
0,314 |
1,570 |
||
3.2.2.Geraamde output, gefinancierd met beleidskredieten
Vastleggingskredieten, miljoen EUR (tot op drie decimalen)
|
Vermeld doelstellingen en outputs ⇩ |
Jaar
|
Jaar
|
Jaar
|
Jaar
|
Vul zoveel jaren in als nodig om de duur van de gevolgen weer te geven (zie punt 1.6) |
TOTAAL |
||||||||||||
|
OUTPUTS |
||||||||||||||||||
|
Soort 40 |
Gem. kosten |
aantal |
kosten |
aantal |
kosten |
aantal |
kosten |
aantal |
kosten |
aantal |
kosten |
aantal |
kosten |
aantal |
kosten |
Totaal aantal |
Totale kosten |
|
|
SPECIFIEKE DOELSTELLING 1 41 |
||||||||||||||||||
|
– Output |
||||||||||||||||||
|
– Output |
||||||||||||||||||
|
– Output |
||||||||||||||||||
|
Subtotaal voor specifieke doelstelling 1 |
||||||||||||||||||
|
SPECIFIEKE DOELSTELLING 2 |
||||||||||||||||||
|
– Output |
||||||||||||||||||
|
Subtotaal voor specifieke doelstelling 2 |
||||||||||||||||||
|
TOTAAL |
||||||||||||||||||
3.2.3.Samenvatting van de geraamde gevolgen voor de administratieve kredieten
–◻ Voor het voorstel/initiatief zijn geen administratieve kredieten nodig
–Voor het voorstel/initiatief zijn administratieve kredieten nodig, zoals hieronder nader wordt beschreven:
miljoen EUR (tot op drie decimalen)
|
Jaar
|
Jaar
|
Jaar
|
Jaar
|
Jaar
|
TOTAAL |
|
RUBRIEK 7
|
||||||
|
Personele middelen |
0,314 |
0,314 |
0,314 |
0,314 |
0,314 |
1,570 |
|
Andere administratieve uitgaven |
||||||
|
Subtotaal RUBRIEK 7
|
0,314 |
0,314 |
0,314 |
0,314 |
0,314 |
1,570 |
|
Buiten RUBRIEK 7 42 van het meerjarig financieel kader |
||||||
|
Personele middelen |
||||||
|
Andere administratieve uitgaven |
||||||
|
Subtotaal
|
|
TOTAAL |
0,314 |
0,314 |
0,314 |
0,314 |
0,314 |
1,570 |
De benodigde kredieten voor personele middelen en andere administratieve uitgaven zullen worden gefinancierd uit de kredieten van het DG die reeds voor het beheer van deze actie zijn toegewezen en/of binnen het DG zijn herverdeeld, eventueel aangevuld met middelen die in het kader van de jaarlijkse toewijzingsprocedure met inachtneming van de budgettaire beperkingen aan het beherende DG kunnen worden toegewezen.
3.2.3.1.Geraamde personeelsbehoeften
–◻ Voor het voorstel/initiatief zijn geen personele middelen nodig.
– Voor het voorstel/initiatief zijn personele middelen nodig, zoals hieronder nader wordt beschreven:
Raming in voltijdequivalenten
|
Jaar 2023 |
Jaar 2024 |
Jaar 2025 |
Jaar
|
Jaar
|
||
|
20 01 02 01 (zetel en vertegenwoordigingen van de Commissie) |
2 |
2 |
2 |
2 |
2 |
|
|
20 01 02 03 (delegaties) |
||||||
|
01 01 01 01 (onderzoek door derden) |
||||||
|
01 01 01 11 (eigen onderzoek) |
||||||
|
Ander begrotingsonderdeel (te vermelden) |
||||||
|
20 02 01 (AC, END, INT van de “totale financiële middelen”) |
||||||
|
20 02 03 (AC, AL, END, INT en JPD in de delegaties) |
||||||
|
XX 01 xx yy zz 43 |
– zetel |
|||||
|
– delegaties |
||||||
|
01 01 01 02 (AC, END, INT — onderzoek door derden) |
||||||
|
01 01 01 12 (AC, END, INT — eigen onderzoek) |
||||||
|
Ander begrotingsonderdeel (te vermelden) |
||||||
|
TOTAAL |
2 |
2 |
2 |
2 |
2 |
|
XX is het desbetreffende beleidsterrein of de begrotingstitel.
Voor de benodigde personele middelen zal een beroep worden gedaan op het personeel van het DG dat reeds voor het beheer van deze actie is toegewezen en/of binnen het DG is herverdeeld, eventueel aangevuld met middelen die in het kader van de jaarlijkse toewijzingsprocedure met inachtneming van de budgettaire beperkingen aan het beherende DG kunnen worden toegewezen.
Beschrijving van de uit te voeren taken:
|
Ambtenaren en tijdelijk personeel |
Secretariaat van de coördinatiegroep informatiebeveiliging: 1 AD-ambtenaar + 1 AST-ambtenaar |
|
Extern personeel |
3.2.4.Verenigbaarheid met het huidige meerjarige financiële kader
Het voorstel/initiatief:
–kan volledig worden gefinancierd door middel van herschikking binnen de relevante rubriek van het meerjarig financieel kader (MFK).
Het voorstel vereist de toewijzing van twee personeelsleden aan het permanente secretariaat van de interinstitutionele coördinatiegroep, gevestigd in HR.DS.
–◻ hiervoor moet een beroep worden gedaan op de niet-toegewezen marge in de desbetreffende rubriek van het MFK en/of op de speciale instrumenten zoals gedefinieerd in de MFK-verordening.
Zet uiteen wat nodig is, onder vermelding van de betrokken rubrieken en begrotingsonderdelen, de desbetreffende bedragen en de voorgestelde instrumenten.
–◻ hiervoor is een herziening van het MFK nodig.
Zet uiteen wat nodig is, onder vermelding van de betrokken rubrieken en begrotingsonderdelen en de desbetreffende bedragen.
3.2.5.Bijdragen van derden
Het voorstel/initiatief:
– voorziet niet in medefinanciering door derden
–◻ voorziet in medefinanciering door derden, zoals hieronder wordt geraamd:
Kredieten in miljoen EUR (tot op drie decimalen)
|
Jaar
|
Jaar
|
Jaar
|
Jaar
|
Totaal |
|
|
Medefinancieringsbron |
|||||
|
TOTAAL medegefinancierde kredieten |
Opmerking: het voorstel leidt tot intensivering van de huidige samenwerking op het gebied van informatiebeveiliging via dienstenniveauovereenkomsten.
3.3.Geraamde gevolgen voor de ontvangsten
– Het voorstel/initiatief heeft geen financiële gevolgen voor de ontvangsten.
–◻ Het voorstel/initiatief heeft de hieronder beschreven financiële gevolgen:
voor de eigen middelen
voor overige ontvangsten
Geef aan of de ontvangsten worden toegewezen aan de begrotingsonderdelen voor uitgaven
miljoen EUR (tot op drie decimalen)
|
Begrotingsonderdeel voor ontvangsten: |
Voor het lopende begrotingsjaar beschikbare kredieten |
Gevolgen van het voorstel/initiatief 45 |
|||
|
Jaar
|
Jaar
|
Jaar
|
Jaar
|
||
Vermeld voor de toegewezen ontvangsten het (de) betrokken begrotingsonderde(e)l(en) voor uitgaven.
Andere opmerkingen (bv. over de methode/formule voor de berekening van de gevolgen voor de ontvangsten of andere informatie).
EUROPESE COMMISSIE
Brussel, 22.3.2022
COM(2022) 119 final
BIJLAGE
bij het
Voorstel voor een VERORDENING VAN HET EUROPEES PARLEMENT
EN DE RAAD
betreffende informatiebeveiliging in de instellingen, organen en instanties van de Unie
{SWD(2022) 65 final} - {SWD(2022) 66 final}
BIJLAGE I
Beschermingsmaatregelen voor de verwerking van gevoelige niet-gerubriceerde informatie
Markering en verwerking van gevoelige niet-gerubriceerde informatie
1.Documenten die gevoelige niet-gerubriceerde informatie bevatten, moeten worden voorzien van een beveiligingsmarkering en, in voorkomend geval, een of meer verspreidingsmarkeringen of markeringen die de doelgroep aangeven. De standaardveiligheidsmarkering is het woord “SENSITIVE” in hoofdletters, behalve in de in artikel 15, lid 2, bedoelde gevallen.
2.Documenten die gevoelige niet-gerubriceerde informatie bevatten, mogen slechts toegankelijk zijn voor ontvangers met noodzaak tot kennisneming voor officiële doeleinden. Wanneer verspreidingsmarkeringen worden gebruikt, moet de instelling of het orgaan van de Unie waarvan de informatie afkomstig is, om toestemming worden gevraagd om het document verder te verspreiden.
3.Alle personen die gevoelige niet-gerubriceerde informatie verwerken, moeten op de hoogte worden gesteld van de verwerkingsinstructies.
4.Wanneer documenten als SENSITIVE zijn gemarkeerd, wordt de rubriceringsgraad verlaagd tot EU NORMAL of PUBLIC USE door verwijdering of doorhaling van de markeringen.
5.Wanneer de instellingen en organen van de Unie documenten met gevoelige niet-gerubriceerde informatie vernietigen, moet dit zodanig gebeuren dat zij niet gemakkelijk kunnen worden gereconstrueerd. Papieren exemplaren moeten worden versnipperd en elektronische kopieën moeten veilig worden overschreven, fysiek worden vernietigd of op een andere wijze onherstelbaar worden gemaakt.
Bescherming van gevoelige niet-gerubriceerde informatie bij werkzaamheden buiten de locaties van de instellingen en organen van de Unie
6.Gevoelige niet-gerubriceerde informatie moet worden beschermd tegen afluisteren en observatie tijdens telewerken en missies buiten het kantoor, en mag niet in het openbaar worden verwerkt of opgeslagen.
7.Documenten die gevoelige niet-gerubriceerde informatie bevatten, mogen alleen worden verwerkt en opgeslagen op apparatuur of met toepassingen die onder de verantwoordelijkheid van de instellingen en organen van de Unie op passende wijze beveiligd zijn.
8.De instellingen en organen van de Unie moeten middelen ter beschikking stellen om te voorkomen dat onbevoegden, onder wie familie- en gezinsleden, toegang krijgen tot gevoelige niet-gerubriceerde informatie die met apparatuur van een instelling of orgaan van de Unie wordt verwerkt of opgeslagen, wanneer personeelsleden buiten hun standplaats werken.
9.De instellingen en organen van de Unie moeten hun personeelsleden instrueren om:
a)apparatuur van de instellingen of organen van de Unie waarmee gevoelige niet-gerubriceerde informatie wordt verwerkt, te beschermen tegen diefstal, verlies en beschadiging, en alle beveiligingsincidenten die nadelige gevolgen hebben voor de apparatuur of de daarin vervatte informatie, onmiddellijk te melden;
b)hun apparatuur niet te delen met onbevoegden;
c)de apparatuur niet te gebruiken voor activiteiten die geen verband houden met hun werkzaamheden.
10.De instellingen en organen van de Unie moeten waarborgen dat voor de verwerking en opslag van gevoelige niet-gerubriceerde documenten in elektronische vorm buiten hun locaties zoveel mogelijk gebruikt wordt gemaakt van hun apparatuur of hun naar behoren beveiligde toepassingen. De verwerking van fysieke kopieën van gevoelige niet-gerubriceerde documenten buiten het kantoor moet worden vermeden.
11.Wanneer gebruik wordt gemaakt van teleconferentie- of videoconferentievoorzieningen, moeten de instellingen en organen van de Unie het risico dat onbevoegden de besprekingen kunnen zien of horen tot een minimum beperken, door de deelnemers op passende wijze te authenticeren en gebruik te maken van versleutelde communicatiemiddelen die verenigbaar zijn met de noodzaak tot kennisneming.
12.De instellingen en organen van de Unie leiden al het personeel dat op afstand werkt op met betrekking tot de verwerking van gevoelige niet-gerubriceerde informatie wanneer zij buiten het kantoor werken.
Delen van gevoelige niet-gerubriceerde informatie
13.Documenten die gevoelige niet-gerubriceerde informatie bevatten, kunnen zonder bijkomende formaliteiten met instellingen en organen van de Unie worden gedeeld.
14.De instellingen en organen van de Unie mogen documenten die gevoelige niet-gerubriceerde informatie bevatten slechts delen met ontvangers buiten de instellingen en organen van de Unie indien de ontvanger zich ertoe verbindt de verwerkingsinstructies na te leven.
15.De instellingen en organen van de Unie moeten ontvangers van gevoelige niet-gerubriceerde informatie in kennis stellen van de verplichting om de informatie niet te delen met partijen buiten de door de verspreidingsmarkeringen aangegeven doelgroep, tenzij de auteur zulks toestaat.
16.De instellingen en organen van de Unie moeten gevoelige niet-gerubriceerde informatie die langs elektronische weg wordt verstrekt of uitgewisseld, beschermen met passende beveiligingsmaatregelen, waaronder versleuteling bij verzending door middel van passende cryptografische mechanismen.
EUROPESE COMMISSIE
Brussel, 22.3.2022
COM(2022) 119 final
BIJLAGE
bij het
Voorstel voor een VERORDENING VAN HET EUROPEES PARLEMENT
EN DE RAAD
betreffende informatiebeveiliging in de instellingen, organen en instanties van de Unie
{SWD(2022) 65 final} - {SWD(2022) 66 final}
BIJLAGE II
Procedures voor het beheer van de machtiging tot toegang tot gerubriceerde informatie van de Europese Unie (“EUCI”)
Definities
Voor de toepassing van deze bijlage wordt verstaan onder:
1) “veiligheidsmachtiging voor personeel”: een verklaring van een betrokken instantie van een lidstaat, die wordt afgelegd na de voltooiing van een veiligheidsonderzoek door de bevoegde instantie, waarbij wordt bevestigd dat een persoon gedurende een bepaalde periode toegang mag hebben tot EUCI tot een bepaalde rubriceringsgraad (CONFIDENTIEL UE/EU CONFIDENTIAL of hoger);
2) “certificaat van veiligheidsmachtiging voor personeel”: een door een bevoegde autoriteit afgegeven certificaat waarin wordt bevestigd dat een persoon in het bezit is van een geldige veiligheidsmachtiging voor personeel of een gelijkwaardige machtiging, of een veiligheidsverklaring, en waarin de rubriceringsgraad wordt vermeld van de EUCI waartoe die persoon toegang mag hebben (CONFIDENTIEL UE/EU CONFIDENTIAL of hoger), alsook de geldigheidsduur van de relevante veiligheidsmachtiging of ‑verklaring en de datum waarop de geldigheid van het certificaat zelf verstrijkt.
Verlening van een machtiging tot toegang tot EUCI
1.De veiligheidsautoriteit van de betrokken instelling of het betrokken orgaan van de Unie vraagt de schriftelijke toestemming van de betrokkene voor de veiligheidsmachtigingsprocedure alvorens een ingevulde vragenlijst met betrekking tot de veiligheidsmachtiging te zenden naar de nationale veiligheidsautoriteit van de lidstaat waarvan de aanvrager de nationaliteit heeft.
2.Indien de instelling of het orgaan van de Unie voor het veiligheidsonderzoek relevante informatie ter kennis komt over een persoon die een veiligheidsmachtiging voor toegang tot EUCI heeft aangevraagd, stelt de bevoegde veiligheidsautoriteit de desbetreffende nationale veiligheidsautoriteit daarvan in kennis overeenkomstig deze verordening.
3.Nadat de betrokken nationale veiligheidsautoriteit kennisgeving heeft gedaan van haar algemene beoordeling van de bevindingen van het veiligheidsonderzoek, handelt de bevoegde veiligheidsautoriteit als volgt:
a)zij kan de betrokkene voor een beperkte periode een machtiging tot toegang tot EUCI met de toepasselijke rubriceringsgraad verlenen, voor zover het veiligheidsonderzoek de loyaliteit en de betrouwbaarheid van de betrokkene bevestigt;
b)zij stelt de aanvrager ervan in kennis indien het veiligheidsonderzoek, overeenkomstig haar toepasselijke interne voorschriften, niet tot een dergelijke garantie leidt.
4.Indien de betrokkene twaalf maanden of langer na de datum van kennisgeving van het resultaat van het veiligheidsonderzoek in dienst treedt, of indien het dienstverband van de betrokkene gedurende twaalf maanden is onderbroken, vraagt de bevoegde veiligheidsautoriteit de betrokken nationale veiligheidsautoriteit om bevestiging van de geldigheid van de veiligheidsmachtiging.
Schorsing en intrekking van de machtiging
5.Indien de betrokken instelling of het betrokken orgaan van de Unie kennis krijgt van informatie over een veiligheidsrisico dat uitgaat van een persoon die toegang heeft tot EUCI, moet de veiligheidsautoriteit van die instelling of dat orgaan van de Unie de bevoegde nationale veiligheidsautoriteit daarvan in kennis stellen en kan zij de toegang van de betrokkene tot EUCI opschorten of de machtiging tot toegang tot EUCI intrekken.
6.Indien een nationale veiligheidsautoriteit de betrokken instelling of het betrokken orgaan van de Unie ervan in kennis stelt dat er niet langer zekerheid bestaat aangaande een persoon die toegang heeft tot EUCI, moet de veiligheidsautoriteit van de betrokken instelling of het betrokken orgaan van de Unie haar veiligheidsmachtiging intrekken en de betrokkene overeenkomstig haar toepasselijke interne voorschriften van de toegang tot EUCI uitsluiten.
Verlenging van de machtiging
7.Nadat voor de eerste maal een veiligheidsmachtiging is verleend, moet de machtiging tot toegang tot EUCI, voordat de geldigheid ervan verstrijkt, worden getoetst met het oog op verlenging, mits de betrokkene ononderbroken bij een instelling of orgaan van de Unie in dienst is geweest en nog steeds toegang tot EUCI moet krijgen.
8.De veiligheidsautoriteit van de instelling of het orgaan van de Unie kan de geldigheidsduur van een machtiging tot toegang tot EUCI met een periode van ten hoogste twaalf maanden verlengen, indien gedurende twee maanden na de verzending van het verzoek tot verlenging en de daarop betrekking hebbende vragenlijst voor de veiligheidsmachtiging geen negatieve informatie is ontvangen van de betrokken nationale veiligheidsautoriteit of een andere bevoegde nationale autoriteit.
Indien het veiligheidsonderzoek aan het einde van de in de eerste alinea bedoelde periode van twaalf maanden nog niet is voltooid, mogen aan de betrokkene geen taken worden toegewezen waarvoor een veiligheidsmachtiging vereist is.
9.Betrokkenen moeten bij elke verlenging van hun veiligheidsmachtiging een herhalingscursus volgen over de verwerking en opslag van EUCI.
Uitzonderlijke tijdelijke veiligheidsmachtigingen
10.De veiligheidsautoriteit van de betrokken instelling of het betrokken orgaan van de Unie kan bij wijze van uitzondering een tijdelijke machtiging tot toegang tot EUCI verlenen, mits de bevoegde nationale veiligheidsautoriteit op basis van de ingevulde en toegezonden veiligheidsvragenlijst een voorlopige controle heeft verricht om te verifiëren dat er geen relevante negatieve informatie bekend is.
11.Tijdelijke machtigingen tot toegang tot EUCI worden voor ten hoogste zes maanden verleend en mogen geen toegang geven tot informatie met rubriceringsgraad TRÈS SECRET UE/EU TOP SECRET.
12.Na een briefing overeenkomstig artikel 26 te hebben gekregen, bevestigen alle personen aan wie een tijdelijke machtiging tot toegang tot EUCI is verleend, schriftelijk dat zij kennis dragen van hun verplichtingen met betrekking tot de bescherming van EUCI en de gevolgen indien EUCI wordt gecompromitteerd. De veiligheidsautoriteit van de betrokken instelling of het betrokken orgaan van de Unie registreert de schriftelijke bevestiging.
Bij instellingen en organen van de Unie gedetacheerde nationale deskundigen
13.Alle instellingen en organen van de Unie zorgen ervoor dat nationale deskundigen die bij hen zijn gedetacheerd voor een functie waarvoor een veiligheidsmachtiging vereist is, vóór hun indiensttreding overeenkomstig de nationale wet- en regelgeving een geldige veiligheidsmachtiging voor personeel of een geldig certificaat van veiligheidsmachtiging voor personeel overleggen aan de bevoegde veiligheidsautoriteit. Mits aan de in artikel 23, lid 1, bedoelde vereisten is voldaan, kan de veiligheidsautoriteit vervolgens een machtiging verlenen tot toegang tot EUCI met de rubriceringsgraad die gelijkwaardig is aan de rubriceringsgraad die in de nationale veiligheidsmachtiging is vermeld, met een maximale geldigheidsduur die niet langer is dan de duur van de detachering.
Toegang tot gerubriceerde vergaderingen
14.Wanneer zij vergaderingen organiseren waar informatie met rubriceringsgraad CONFIDENTIEL UE/EU CONFIDENTIAL of hoger zal worden besproken, moeten de instellingen en organen van de Unie ervoor zorgen dat aan alle deelnemers een veiligheidsmachtiging wordt verleend of dat hun veiligheidsmachtigingsstatus bekend is.
15.Op basis van de geregistreerde gegevens inzake toegang tot EUCI kan de bevoegde veiligheidsautoriteit van de betrokken instelling of het betrokken orgaan van de Unie aan een persoon een certificaat van veiligheidsmachtiging voor personeel afgeven wanneer dat noodzakelijk is om vergaderingen buiten de instelling of het orgaan van de Unie bij te wonen. Op het certificaat van veiligheidsmachtiging voor personeel moet de rubriceringsgraad worden vermeld van de EUCI waartoe de persoon toegang kan worden verleend (CONFIDENTIEL UE/EU CONFIDENTIAL of hoger), de geldigheidsduur van de betrokken machtiging voor toegang tot EUCI en de datum waarop de geldigheid van het certificaat zelf afloopt.
EUROPESE COMMISSIE
Brussel, 22.3.2022
COM(2022) 119 final
BIJLAGE
bij het
Voorstel voor een VERORDENING VAN HET EUROPEES PARLEMENT
EN DE RAAD
betreffende informatiebeveiliging in de instellingen, organen en instanties van de Unie
{SWD(2022) 65 final} - {SWD(2022) 66 final}
BIJLAGE III
Maatregelen voor de fysieke bescherming van gerubriceerde informatie van de Europese Unie (“EUCI”)
Uitrusting en organisatorische maatregelen voor de fysieke bescherming van EUCI
1.Een administratieve zone moet aan de volgende eisen voldoen:
a)voorzien zijn van een zichtbaar afgebakende perimeter waar personen en indien mogelijk voertuigen kunnen worden gecontroleerd;
b)vensters die ongeoorloofde visuele toegang tot zich binnen de zone bevindende EUCI zou kunnen geven, moeten ondoorzichtig worden gemaakt of worden uitgerust met jaloezieën, gordijnen of andere bekleding;
c)onbegeleide toegang wordt slechts verleend aan personen die naar behoren zijn gemachtigd door de veiligheidsautoriteit van de betrokken instelling of het betrokken orgaan van de Unie;
d)alle andere personen worden te allen tijde begeleid of aan gelijkwaardige controles onderworpen.
2.Behalve aan de eisen van punt 1 moet een beveiligde zone ook aan de volgende eisen voldoen:
a)zij moet voorzien zijn van een zichtbaar afgebakende en beschermde perimeter waarlangs bij binnenkomst en bij vertrek te allen tijde controles plaatsvinden;
b)zij moet vrij zijn van ongeoorloofde communicatielijnen, ongeoorloofde telefoons of andere ongeoorloofde communicatieapparatuur en elektrische of elektronische apparatuur;
c)zij moet uitgerust zijn met een toegangscontrole- en inbraakdetectiesysteem met realtime monitoring, in combinatie met interventiebeveiligingspersoneel;
d)zij moet geïnspecteerd worden aan het einde van de normale werktijden en met willekeurige tussenpozen buiten de normale werktijden, tenzij er in de zone 24 uur per dag dienstpersoneel aanwezig is en er realtime monitoring plaatsvindt met een inbraakdetectiesysteem;
e)zij moet beheerd worden door daartoe opgeleid, gecontroleerd en naar behoren gescreend beveiligingspersoneel;
f)er moet voorzien zijn in operationele beveiligingsprocedures die de volgende elementen regelen:
i)de rubriceringsgraad van de EUCI die in de zone kan worden verwerkt, besproken en opgeslagen;
ii)de te handhaven bewakings- en beschermingsmaatregelen;
iii)de personen die op grond van hun machtiging tot toegang tot EUCI en hun noodzaak tot kennisneming zonder begeleiding de zone mogen betreden;
iv)in voorkomend geval, de procedures inzake begeleiding of inzake bescherming van EUCI wanneer aan anderen toegang tot de zone wordt verleend;
v)alle andere relevante maatregelen en procedures.
3.Wanneer het betreden van een beveiligde zone rechtstreeks toegang geeft tot de daar aanwezige gerubriceerde informatie, moet de zone worden ingesteld als een zone van klasse I; wanneer dat niet het geval is, moet de zone worden ingesteld als een zone van klasse II.
Voor beide in de eerste alinea bedoelde klassen van beveiligde zones moet de beveiligingsdienst/veiligheidsfunctionaris van de betrokken instelling of het betrokken orgaan van de Unie, in aanvulling op de vereisten van punt 2, duidelijk aangeven wat de hoogste rubriceringsgraad is van de informatie die gewoonlijk in de zone aanwezig is, en moet er een duidelijke perimeter zijn afgebakend aan de hand waarvan personen en, indien mogelijk, voertuigen kunnen worden gecontroleerd.
De instellingen en organen van de Unie moeten erop toezien dat personen die toegang krijgen tot een beveiligde zone aan de volgende criteria voldoen:
a)zij moeten beschikken over specifieke toestemming om de zone te betreden;
b)zij moeten te allen tijde worden begeleid;
c)zij moeten een gepast veiligheidsonderzoek hebben ondergaan, tenzij maatregelen zijn getroffen om ervoor te zorgen dat toegang tot EUCI niet mogelijk is.
4.Een beveiligde zone die tegen passief en actief afluisteren is beschermd, moet als technisch beveiligde zone worden aangemerkt. Naast de vereisten voor beveiligde zones gelden ook de volgende vereisten:
a)de zone is uitgerust met een inbraakdetectiesysteem, wordt afgesloten wanneer zij niet in gebruik is en bewaakt wanneer zij in gebruik is. Sleutels worden beheerd overeenkomstig artikel 29, lid 3;
b)de zone wordt regelmatig, fysiek en/of technisch, geïnspecteerd door de veiligheidsautoriteit van de betrokken instelling of het betrokken orgaan van de Unie. Inspecties vinden ook plaats wanneer de zones door onbevoegden zijn betreden of indien dit wordt vermoed;
c)de zone is voorzien van passende akoestische en Tempest-bescherming.
5.Alle personen die een technisch beveiligde zone betreden, moeten voldoen aan de vereisten van punt 3.
6.Beveiligde zones en technische beveiligde zones kunnen binnen een administratieve zone tijdelijk worden ingesteld voor een gerubriceerde vergadering of een soortgelijk doel.
7.Kluizen worden geïnstalleerd binnen de beveiligde zones. Met een kluis wordt een ruimte bedoeld met een versterkte fysieke constructie, waarvan de muren, vloeren, plafonds, ramen en afsluitbare deuren goedgekeurd zijn door de veiligheidsautoriteit van de betrokken instelling of het betrokken orgaan van de Unie. Dergelijke kluizen moeten een bescherming bieden die gelijkwaardig is aan de bescherming die wordt geboden door een beveiligd opbergmiddel dat is goedgekeurd voor de opslag van EUCI met dezelfde rubriceringsgraad.
Fysieke beschermingsmaatregelen voor de verwerking en opslag van EUCI
8.EUCI met rubriceringsgraad RESTREINT UE/EU RESTRICTED moet worden verwerkt en opgeslagen in een van de volgende zones:
a)binnen een beveiligde zone;
b)binnen een administratieve zone, mits de EUCI wordt beschermd tegen toegang door onbevoegden;
c)buiten een beveiligde zone of administratieve zone, mits de houder zich heeft verbonden tot naleving van de compenserende maatregelen waartoe de veiligheidsautoriteit van de betrokken instelling of het betrokken orgaan van de Unie heeft besloten.
9.EUCI met rubriceringsgraad RESTREINT UE/EU RESTRICTED moet worden opgeslagen in een afgesloten kantoormeubel in een administratieve zone of een beveiligde zone. Deze EUCI mag tijdelijk buiten een administratieve zone of een beveiligde zone worden opgeslagen, mits de houder zich ertoe heeft verbonden de betrokken documenten, wanneer zij niet worden ingezien of besproken, op te slaan in een geschikt afgesloten kantoormeubel.
10.De instellingen en organen van de Unie mogen informatie met rubriceringsgraad RESTREINT UE/EU RESTRICTED buiten hun locaties verwerken en opslaan, mits de relevante informatie op passende wijze wordt beschermd. Daartoe moeten de instellingen en organen van de Unie de in punt 8, c), bedoelde maatregelen in acht nemen.
11.EUCI met rubriceringsgraad CONFIDENTIEL UE/EU CONFIDENTIAL en SECRET UE/EU SECRET moet worden verwerkt en opgeslagen in een van de volgende zones:
a)binnen een beveiligde zone;
b)binnen een administratieve zone, mits de EUCI wordt beschermd tegen toegang door onbevoegden;
c)buiten een beveiligde zone of administratieve zone, mits beperkt in hoeveelheid en in tijdsduur en mits de houder zich heeft verbonden tot naleving van de compenserende maatregelen waartoe de veiligheidsautoriteit van de betrokken instelling of het betrokken orgaan van de Unie heeft besloten. Daarnaast moet de houder van de EUCI de volgende stappen ondernemen:
i)het relevante register moet ervan in kennis worden gesteld dat gerubriceerde documenten buiten een beschermde zone worden verwerkt;
ii)het document moet te allen tijde onder controle worden gehouden.
12.Informatie met rubriceringsgraad CONFIDENTIEL UE/EU CONFIDENTIAL of SECRET UE/EU SECRET moet worden opgeslagen in een beveiligde zone die door de bevoegde instantie voor veiligheidshomologatie van de betrokken instelling of het betrokken orgaan van de Unie voor die rubriceringsgraad is gehomologeerd, hetzij in een beveiligd opbergmiddel, hetzij in een kluis.
13.Documenten met rubriceringsgraad CONFIDENTIEL UE/EU CONFIDENTIAL of hoger mogen alleen door het desbetreffende register worden gekopieerd.
14.Informatie met rubriceringsgraad TRÈS SECRET UE/EU TOP SECRET moet worden verwerkt en opgeslagen in een beveiligde zone die voor die rubriceringsgraad is gehomologeerd. Daartoe kunnen de instellingen en organen van de Unie de nodige regelingen treffen om gebruik te maken van een beveiligde zone die zich bevindt bij en voor de bewuste rubriceringsgraad is gehomologeerd door de instantie voor veiligheidshomologatie van een andere instelling of een ander orgaan van de Unie.
15.Informatie met rubriceringsgraad TRÈS SECRET UE/EU TOP SECRET moet worden opgeslagen in een beveiligde zone die door de instantie voor veiligheidshomologatie van de bevoegde instelling of het bevoegde orgaan van de Unie in kwestie voor die rubriceringsgraad is gehomologeerd, waarbij aan een van de volgende voorwaarden moet worden voldaan:
a)de informatie wordt opgeslagen in een door de veiligheidsautoriteit van de betrokken instelling of het betrokken orgaan van de Unie goedgekeurd beveiligd opbergmiddel met een van de volgende aanvullende controles:
i)permanente bescherming of verificatie door beveiligingspersoneel of dienstdoend personeel dat in het bezit is van een veiligheidsmachtiging;
ii)een goedgekeurd inbraakdetectiesysteem in combinatie met interventiebeveiligingspersoneel;
b)de informatie wordt opgeslagen in een met een inbraakdetectiesysteem uitgeruste kluis in combinatie met interventiebeveiligingspersoneel.
EUROPESE COMMISSIE
Brussel, 22.3.2022
COM(2022) 119 final
BIJLAGE
bij het
Voorstel voor een VERORDENING VAN HET EUROPEES PARLEMENT
EN DE RAAD
betreffende informatiebeveiliging in de instellingen, organen en instanties van de Unie
{SWD(2022) 65 final} - {SWD(2022) 66 final}
BIJLAGE IV
Beveiligingsmaatregelen voor het beheer van gerubriceerde informatie van de Europese Unie (EUCI)
Voor de toepassing van deze bijlage worden onder “commerciële koeriersdiensten” nationale postdiensten en particuliere vervoersdiensten verstaan die een dienst aanbieden waarbij documenten tegen betaling worden bezorgd en ofwel in persona, ofwel met gebruikmaking van een trackingsysteem worden vervoerd.
Vervoer van EUCI
1.Indien mogelijk moeten instellingen en organen van de Unie die EUCI buiten beveiligde zones of administratieve zones brengen, deze elektronisch verzenden met geschikte gehomologeerde middelen of beschermen door middel van goedgekeurde cryptografische producten.
2.Bij het vervoeren van EUCI moeten de instellingen en organen van de Unie beschermende maatregelen nemen die aan de volgende eisen voldoen:
a)zij moeten in overeenstemming zijn met de rubriceringsgraad van de vervoerde EUCI;
b)zijn moeten aangepast zijn aan de specifieke voorwaarden voor het vervoer ervan en aan de aard en de vorm van de vervoerde EUCI.
3.Indien de EUCI in persona fysiek wordt vervoerd in de vorm van papieren documenten of op verwijderbare opslagmedia, moet zij in het bezit van de vervoerder blijven en mag zij pas worden geopend wanneer zij haar eindbestemming heeft bereikt.
4.Personen of koeriers die informatie met rubriceringsgraad CONFIDENTIEL UE/EU CONFIDENTIAL of hoger vervoeren, moeten een veiligheidsmachtiging hebben, moeten worden ingelicht over hun beveiligingsverantwoordelijkheden en moeten, indien nodig, een koerierscertificaat ontvangen dat is afgegeven door het EUCI-register van de betrokken afdeling.
5.Bewakers en begeleiders moeten een veiligheidsmachtiging op het juiste niveau bezitten en instructies krijgen over de beveiligingsprocedures voor de bescherming van EUCI.
6.Bij gebruik van verwijderbare opslagmedia moeten de instellingen en organen van de Unie ofwel de media beschermen door middel van een cryptografisch product ofwel ervoor zorgen dat de documenten zelf zijn versleuteld.
Verpakking van EUCI
7.De EUCI moet op zodanige wijze door de instellingen en organen van de Unie worden verpakt dat de inhoud niet zichtbaar is.
8.Informatie met rubriceringsgraad RESTREINT UE/EU RESTRICTED moet worden vervoerd in een uit ten minste één ondoorzichtige laag bestaande verpakking, zoals een enveloppe, een ondoorzichtige map of een aktetas. Informatie met rubriceringsgraad CONFIDENTIEL UE/EU CONFIDENTIAL of hoger moet in een uit twee ondoorzichtige lagen bestaande verpakking worden vervoerd.
9.Op de buitenverpakking mag op geen enkele wijze de aard of de rubriceringsgraad van de inhoud worden vermeld. Op de binnenste laag van de verpakking moet de EUCI-markering worden aangebracht. Op de binnen- en de buitenverpakking staan de naam, de functie en het adres van de beoogde ontvanger, alsmede een retouradres voor het geval dat de zending niet kan worden afgeleverd.
Vervoer door commerciële koeriersdiensten
10.Commerciële koeriersdiensten mogen informatie met rubriceringsgraad RESTREINT UE/EU RESTRICTED en CONFIDENTIEL UE/EU CONFIDENTIAL vervoeren binnen een lidstaat en vanuit een lidstaat naar een andere lidstaat. Commerciële koeriersdiensten mogen informatie met rubriceringsgraad SECRET UE/EU SECRET uitsluitend binnen eenzelfde lidstaat bezorgen, mits zij door de bevoegde nationale veiligheidsautoriteit zijn goedgekeurd. EUCI met rubriceringsgraad TRÈS SECRET UE/EU TOP SECRET mag niet aan commerciële koeriersdiensten worden toevertrouwd.
11.Commerciële koeriersdiensten mogen zendingen met informatie met rubriceringsgraad CONFIDENTIEL UE/EU CONFIDENTIAL of hoger uitsluitend afleveren aan de registercontrolefunctionaris, aan diens naar behoren gemachtigde plaatsvervanger of aan de beoogde ontvanger. In de binnenste envelop of de binnenste verpakkingslaag moet een registratiebewijs worden geplaatst dat de ontvanger moet invullen en retourneren. Op het registratiebewijs, dat zelf niet gerubriceerd is, moeten het referentienummer, de datum en het exemplaarnummer van het document worden vermeld, maar niet het onderwerp.
12.In de buitenste envelop of de buitenste laag van de verpakking moet een afgiftebewijs worden geplaatst. Op het afgiftebewijs, dat zelf niet gerubriceerd is, moeten het referentienummer, de datum en het exemplaarnummer van het document worden vermeld, maar niet het onderwerp.
13.De koeriersdienst moet de aflevering van de zending kunnen aantonen door middel van de aftekenlijst en dat bewijs aan de verzender bezorgen, of de koerier moet een ontvangstbewijs of een pakketnummer krijgen.
14.De verzender moet voorafgaand aan de verzending contact opnemen met de bij naam genoemde ontvanger om een datum en tijdstip voor de bezorging af te spreken.
15.Commerciële koeriersdiensten mogen gebruikmaken van de diensten van een subcontractant.
16.Voor de verzending van EUCI-informatie mag geen gebruik worden gemaakt van de dienstverlening van commerciële koeriersdiensten waarbij aangetekende documenten elektronisch worden verzonden.
Maatregelen in verband met gerubriceerde vergaderingen
17.De instellingen en organen van de Unie moeten deelnemers van te voren op de hoogte stellen van het voornemen om tijdens een vergadering gerubriceerde onderwerpen te bespreken en van de veiligheidsmaatregelen die naar aanleiding daarvan zullen worden toegepast.
18.De instellingen en organen van de Unie moeten controleren of de deelnemers aan gerubriceerde vergaderingen noodzaak tot kennisneming hebben. Indien nodig moeten de deelnemers een veiligheidsonderzoek ondergaan en/of op het passende niveau een machtiging krijgen.
19.De instellingen en organen van de Unie mogen informatie met rubriceringsgraad CONFIDENTIEL UE/EU CONFIDENTIAL of hoger alleen bespreken in een vergaderzaal die voor de passende rubriceringsgraad of hoger is gehomologeerd. Evenzo mag er alleen gebruik worden gemaakt van gehomologeerde IT-apparatuur wanneer tijdens de vergadering gerubriceerde informatie wordt verstrekt. De voorzitter moet ervoor zorgen dat ongeautoriseerde draagbare elektronische apparaten buiten de vergaderzaal blijven.
20.De organisatoren van vergaderingen van instellingen en organen van de Unie moeten hun veiligheidsautoriteit in kennis stellen van externe bezoekers die een vergadering met rubriceringsgraad CONFIDENTIEL UE/EU CONFIDENTIAL of hoger zullen bijwonen in de gebouwen van de betrokken instelling of het betrokken orgaan van de Unie.
21.Voor het doorgeven van gerubriceerde informatie tijdens virtuele vergaderingen mag uitsluitend gebruik worden gemaakt van communicatie- en informatiesystemen die overeenkomstig hoofdstuk 5, afdeling 5, van deze verordening zijn gehomologeerd.
EUROPESE COMMISSIE
Brussel, 22.3.2022
COM(2022) 119 final
BIJLAGE
bij het
Voorstel voor een VERORDENING VAN HET EUROPEES PARLEMENT
EN DE RAAD
betreffende informatiebeveiliging in de instellingen, organen en instanties van de Unie
{SWD(2022) 65 final} - {SWD(2022) 66 final}
BIJLAGE V
Bescherming van gerubriceerde informatie van de Europese Unie (EUCI) in het kader van gerubriceerde contracten en subsidieovereenkomsten
Voor de toepassing van deze bijlage wordt, naast de definities in de bijlagen II en IV, onder “veiligheidsmachtiging voor een vestiging ”verstaan: een administratieve vaststelling door een nationale veiligheidsautoriteit, een aangewezen veiligheidsautoriteit of een andere bevoegde veiligheidsautoriteit dat een vestiging, vanuit beveiligingsoogpunt, een afdoend niveau van bescherming van EUCI met een bepaalde rubriceringsgraad biedt.
Toegang tot EUCI voor personeel van contractanten en begunstigden
1.Elke instelling en elk orgaan van de Unie ziet er als aanbestedende dienst of subsidieverlenende autoriteit op toe dat in gerubriceerde contracten of subsidieovereenkomsten bepalingen worden opgenomen die stipuleren dat aan personeelsleden van een contractant, subcontractant of begunstigde die voor de uitvoering van het gerubriceerde contract, het gerubriceerde subcontract of de gerubriceerde subsidieovereenkomst toegang nodig hebben tot EUCI, die toegang alleen wordt verleend mits:
a)ten aanzien van de betrokkene de noodzaak tot kennisneming is vastgesteld;
b)voor informatie met rubriceringsgraad CONFIDENTIEL UE/EU CONFIDENTIAL of SECRET UE/EU SECRET door de respectieve nationale veiligheidsautoriteit, de aangewezen veiligheidsautoriteit of een andere bevoegde veiligheidsautoriteit aan de betrokkene een veiligheidsmachtiging voor personeel van het vereiste niveau is verleend;
c)de betrokkene is geïnstrueerd over de toepasselijke beveiligingsvoorschriften en ‑procedures voor de bescherming van EUCI en de verantwoordelijkheden van de betrokkene in verband met de bescherming van dergelijke informatie zijn bevestigd;
2.Indien een contractant of begunstigde een onderdaan van een derde land in dienst wil nemen voor een functie waarvoor toegang tot informatie met rubriceringsgraad CONFIDENTIEL UE/EU CONFIDENTIAL of SECRET UE/EU SECRET is vereist, is het de verantwoordelijkheid van de contractant of de begunstigde om de procedure voor het verkrijgen van een veiligheidsmachtiging voor een dergelijke persoon in te leiden overeenkomstig de nationale wet- en regelgeving die van toepassing is op de plaats waar de toegang tot de EUCI moet worden verleend.
Veiligheidsmachtiging voor een vestiging
3.Een veiligheidsmachtiging voor een vestiging wordt verleend door de nationale veiligheidsautoriteit, de aangewezen veiligheidsautoriteit of een andere bevoegde veiligheidsautoriteit van een lidstaat en geeft aan dat een entiteit, overeenkomstig de nationale wet- en regelgeving, binnen haar vestigingen in staat is EUCI te beschermen met de gepaste rubriceringsgraad (CONFIDENTIEL UE/EU CONFIDENTIAL of SECRET UE/EU SECRET).
4.Een instelling of orgaan van de Unie moet, als aanbestedende dienst of subsidieverlenende autoriteit, via haar veiligheidsautoriteit kennisgeving doen aan de bevoegde nationale veiligheidsautoriteit of aangewezen veiligheidsautoriteit, of een andere bevoegde veiligheidsautoriteit, dat een veiligheidsmachtiging voor een vestiging vereist is voor de uitvoering van het contract of de subsidieovereenkomst.
5.Een veiligheidsmachtiging voor een vestiging is vereist wanneer tijdens de aanbestedings- of subsidieverleningsprocedure informatie met rubriceringsgraad CONFIDENTIEL UE/EU CONFIDENTIAL of SECRET UE/EU SECRET moet worden verstrekt aan de vestiging van de gegadigden, inschrijvers of aanvragers.
6.Een instelling of orgaan van de Unie moet, als aanbestedende dienst of subsidieverlenende autoriteit, via haar veiligheidsautoriteit de bevestiging hebben gekregen dat een veiligheidsmachtiging voor een vestiging is afgegeven ten behoeve van de gegadigde, inschrijver of contractant, of de aanvrager of begunstigde van de subsidie, alvorens de betrokkene toegang tot EUCI te verlenen.
7.Wanneer de lidstaten voor bepaalde inrichtingen overeenkomstig de nationale wetgeving geen veiligheidsmachtiging voor een vestiging afgeven, moet de aanbestedende dienst of subsidieverlenende autoriteit bij de betrokken nationale veiligheidsautoriteit of aangewezen veiligheidsautoriteit nagaan of deze inrichtingen in staat zijn EUCI met de vereiste rubriceringsgraad te verwerken.
8.Met uitzondering van de in punt 7 bedoelde gevallen mag de instelling of het orgaan van de Unie, als aanbestedende dienst, geen gerubriceerd contract of gerubriceerde subsidieovereenkomst ondertekenen voordat de instelling of het orgaan via de eigen veiligheidsautoriteit de bevestiging heeft gekregen van de bevoegde nationale veiligheidsautoriteit, de aangewezen veiligheidsautoriteit of een andere bevoegde nationale autoriteit dat een passende veiligheidsmachtiging voor een vestiging is afgegeven.
9.Intrekking van een veiligheidsmachtiging voor een vestiging door de nationale veiligheidsautoriteit, aangewezen veiligheidsautoriteit of andere bevoegde veiligheidsautoriteit is voor de aanbestedende dienst of subsidieverlenende autoriteit voldoende reden om een gerubriceerd contract te beëindigen of een gegadigde, inschrijver of aanvrager van mededinging uit te sluiten.
Bepalingen voor inschrijving en uitvoering met betrekking tot gerubriceerde contracten en subsidieovereenkomsten
10.Wanneer tijdens de aanbestedings- of selectieprocedure aan een gegadigde, inschrijver of aanvrager EUCI wordt verstrekt, wordt in de aanbesteding of de oproep tot het indienen van voorstellen een bepaling opgenomen die gegadigden, inschrijvers of aanvragers die niet worden geselecteerd, ertoe verplicht alle gerubriceerde documenten binnen een bepaalde termijn terug te zenden.
11.Als algemene regel geldt dat de contractant of de begunstigde van een subsidie alle EUCI die hij in zijn bezit heeft, na afloop van het gerubriceerde contract of de gerubriceerde subsidieovereenkomst, of na beëindiging van de deelname van een subsidiebegunstigde, moet terugbezorgen aan de aanbestedende dienst of subsidieverlenende autoriteit.
12.In het memorandum over de beveiligingsaspecten moeten specifieke bepalingen worden opgenomen voor het verwijderen van EUCI tijdens de uitvoering van een gerubriceerd contract of een gerubriceerde subsidieovereenkomst, of na afloop ervan.
13.Wanneer contractanten of begunstigden van een subsidie gemachtigd zijn EUCI te behouden na afloop van een gerubriceerd contract of een gerubriceerde subsidieovereenkomst, moeten zij de minimumnormen van deze verordening in acht blijven nemen en de vertrouwelijkheid van de EUCI blijven beschermen.
14.De voor de bescherming van EUCI relevante voorwaarden waaronder een contractant of begunstigde een beroep kan doen op subcontractanten, moeten worden omschreven in de aanbesteding of de oproep tot het indienen van voorstellen en in het gerubriceerde contract of de gerubriceerde subsidieovereenkomst.
15.Een contractant of begunstigde moet de toestemming verkrijgen van de aanbestedende dienst of subsidieverlenende autoriteit alvorens delen van een gerubriceerd contract of gerubriceerde delen van een subsidieovereenkomst uit te besteden.
16.Het is de verantwoordelijkheid van de contractant of de begunstigde om te garanderen dat alle onderaannemingsactiviteiten verlopen in overeenstemming met de minimumnormen van deze verordening; de contractant mag geen EUCI doorgeven aan een subcontractant zonder voorafgaande schriftelijke toestemming van de aanbestedende dienst of de subsidieverlenende autoriteit.
17.Met betrekking tot door de contractant of begunstigde aangemaakte EUCI wordt de instelling of het orgaan van de Unie, als aanbestedende dienst of subsidieverlenende autoriteit, beschouwd als de auteur en oefent de instelling of het orgaan van de Unie de rechten van de auteur uit.
18.Wanneer de lidstaten op grond van hun nationale wet- en regelgeving een veiligheidsmachtiging voor een vestiging of een veiligheidsmachtiging voor personeel verlangen voor contracten, subsidieovereenkomsten of subcontracten met rubriceringsgraad RESTREINT UE/EU RESTRICTED, mogen de instellingen en organen van de Unie, als aanbestedende dienst of subsidieverlenende autoriteit, op grond van die nationale voorschriften geen aanvullende verplichtingen opleggen aan andere lidstaten, noch mogen zij inschrijvers, aanvragers, contractanten, begunstigden of subcontractanten uit lidstaten waar voor de toegang tot informatie met rubriceringsgraad RESTREINT UE/EU RESTRICTED geen veiligheidsmachtiging voor een vestiging of een veiligheidsmachtiging voor personeel vereist is, uitsluiten van de desbetreffende contracten, subsidieovereenkomsten of subcontracten of van mededinging op dat gebied.
Bezoeken in verband met gerubriceerde contracten en subsidieovereenkomsten
19.Wanneer instellingen en organen van de Unie, contractanten, begunstigden of subcontractanten in het kader van de uitvoering van een gerubriceerd contract of een gerubriceerde subsidieovereenkomst in elkaars bedrijfsruimten toegang moeten hebben tot informatie met rubriceringsgraad CONFIDENTIEL UE/EU CONFIDENTIAL of SECRET UE/EU SECRET, moeten er bezoeken worden georganiseerd in overleg met de betrokken nationale veiligheidsautoriteiten, aangewezen veiligheidsautoriteiten of andere bevoegde veiligheidsautoriteiten.
20.Voor de in punt 19 bedoelde bezoeken gelden de volgende vereisten:
a)het bezoek moet een officieel doel hebben dat verband houdt met een gerubriceerd contract of een gerubriceerde subsidieovereenkomst;
b)bezoekers moeten in het bezit zijn van een veiligheidsmachtiging voor personeel van het vereiste niveau en hun noodzaak tot kennisneming moet vaststaan om toegang te krijgen tot EUCI die wordt gebruikt of aangemaakt bij de uitvoering van een gerubriceerd contract of een gerubriceerde subsidieovereenkomst;
c)ten laatste 15 dagen voor de datum van het bezoek moet hetzij bij de bevoegde nationale veiligheidsautoriteit of de aangewezen veiligheidsautoriteit van de vestiging, hetzij bij de veiligheidsautoriteit van de betrokken instelling of het betrokken orgaan van de Unie, een formeel verzoek om een bezoek worden ingediend.
21.In het kader van specifieke projecten kunnen de desbetreffende nationale veiligheidsautoriteit of aangewezen veiligheidsautoriteit en de veiligheidsautoriteit van de betrokken instelling of het betrokken orgaan van de Unie in onderling overleg een procedure vaststellen op grond waarvan bezoeken in verband met een specifiek gerubriceerd contract of een specifieke gerubriceerde subsidie rechtstreeks kunnen worden geregeld tussen de beveiligingsfunctionaris van de bezoeker en de beveiligingsfunctionaris van de te bezoeken vestiging. Een dergelijke uitzonderlijke procedure moet worden vastgelegd in de beveiligingsinstructie van het programma of project of in een andere specifieke regeling.
22.Bezoeken in verband met toegang tot informatie met rubriceringsgraad RESTREINT UE/EU RESTRICTED moeten rechtstreeks door de verzendende en de ontvangende entiteit worden geregeld.
Elektronische verzending van EUCI in verband met gerubriceerde contracten en subsidieovereenkomsten
23.Elektronische verwerking en verzending van EUCI moet plaatsvinden overeenkomstig hoofdstuk 5, afdeling 5.
CIS die eigendom zijn van een contractant, begunstigde of subcontractant en die worden gebruikt voor de verwerking en opslag van EUCI met het oog op de uitvoering van het contract of de subsidieovereenkomst, moeten worden gehomologeerd door de instantie voor beveiligingshomologatie van het land of de internationale organisatie onder het gezag waarvan de contractant, begunstigde of subcontractant optreedt.
Elektronische verzending van EUCI in het kader van gerubriceerde contracten en subsidieovereenkomsten moet worden beschermd door middel van cryptografische producten die overeenkomstig artikel 42 zijn goedgekeurd.
24.De beveiligingshomologatie van het CIS van een contractant of begunstigde waarin EUCI met rubriceringsgraad RESTREINT UE/EU RESTRICTED wordt verwerkt en eventuele verbindingen daarvan, kan worden gedelegeerd aan de beveiligingsfunctionaris van de contractant of begunstigde, indien de nationale wet- en regelgeving dit toestaat.
Wanneer de beveiligingshomologatie wordt gedelegeerd, is de contractant of de begunstigde verantwoordelijk voor de uitvoering van de veiligheidsvoorschriften die in het memorandum over de beveiligingsaspecten zijn beschreven voor de verwerking van informatie met rubriceringsgraad RESTREINT UE/EU RESTRICTED in zijn CIS. De desbetreffende nationale veiligheidsautoriteiten of aangewezen veiligheidsautoriteiten en de instanties voor beveiligingshomologatie blijven echter verantwoordelijk voor de bescherming van de door de contractant of de begunstigde verwerkte of opgeslagen informatie met rubriceringsgraad RESTREINT UE/EU RESTRICTED en behouden het recht om de door de contractant of de begunstigde genomen beveiligingsmaatregelen te controleren.
Bovendien moet de contractant of de begunstigde de instelling van de Unie die of het orgaan van de Unie dat als aanbestedende dienst of subsidieverlenende autoriteit optreedt, alsmede, indien de nationale wet- en regelgeving zulks vereist, de bevoegde nationale instantie voor beveiligingshomologatie, een conformiteitsverklaring verstrekken waaruit blijkt dat het CIS van de contractant of de begunstigde en de verbindingen zijn gehomologeerd voor de verwerking en opslag van EUCI met rubriceringsgraad RESTREINT UE/EU RESTRICTED.
Persoonlijk vervoer van EUCI in verband met gerubriceerde contracten en subsidieovereenkomsten
25.Voor het persoonlijk vervoer van gerubriceerde informatie in verband met gerubriceerde contracten en subsidieovereenkomsten moeten strikte beveiligingseisen gelden.
26.Personeel van de begunstigde mag informatie met rubriceringsgraad RESTREINT UE/EU RESTRICTED binnen de Unie persoonlijk vervoeren, mits aan de volgende vereisten wordt voldaan:
a)de gebruikte enveloppe of verpakking is ondoorzichtig en er is geen vermelding op aangebracht betreffende de rubricering van de inhoud;
b)de houder houdt de gerubriceerde informatie te allen tijde bij zich;
c)de enveloppe of de verpakking wordt pas geopend wanneer de eindbestemming ervan is bereikt.
27.Voor informatie met rubriceringsgraad CONFIDENTIEL UE/EU CONFIDENTIAL of SECRET UE/EU SECRET wordt het persoonlijk vervoer door personeel van de contractant of de begunstigde binnen een lidstaat vooraf overeengekomen door de verzendende en de ontvangende entiteiten.
De verzendende autoriteit of vestiging stelt de ontvangende autoriteit of vestiging in kennis van de gegevens van de zending, met inbegrip van de referentie, de rubricering, het verwachte tijdstip van aankomst en de naam van de koerier. Dit persoonlijke vervoer is toegestaan, mits aan de volgende vereisten wordt voldaan:
a)de gerubriceerde informatie wordt vervoerd in een dubbele enveloppe of verpakking;
b)de buitenste enveloppe of verpakking is beveiligd en er is geen vermelding op aangebracht van de rubricering van de inhoud ervan, terwijl op de binnenste enveloppe de rubriceringsgraad is vermeld;
c)de houder houdt de EUCI te allen tijde bij zich;
d)de enveloppe of de verpakking wordt pas geopend wanneer de eindbestemming ervan is bereikt.
e)de enveloppe of verpakking wordt vervoerd in een afsluitbare aktetas of een soortgelijk goedgekeurd opbergmiddel van een zodanige omvang en gewicht dat het te allen tijde in het bezit van de drager kan blijven;
f)de koerier is in het bezit van een door de bevoegde veiligheidsautoriteit afgegeven koerierscertificaat op grond waarvan hij gemachtigd is de gespecificeerde gerubriceerde zending te vervoeren.
28.Voor het persoonlijk vervoer door personeel van de contractant of de begunstigde van informatie met rubriceringsgraad CONFIDENTIEL UE/EU CONFIDENTIAL of SECRET UE/EU SECRET vanuit een lidstaat naar een andere lidstaat gelden naast de vereisten van punt 27 de volgende aanvullende voorschriften:
a)de koerier is verantwoordelijk voor de veilige bewaring van het vervoerde gerubriceerde materiaal totdat het aan de ontvanger wordt overhandigd;
b)in het geval van een beveiligingsinbreuk kan de nationale veiligheidsautoriteit of de aangewezen veiligheidsautoriteit van de verzender de autoriteiten van het land waar de inbreuk heeft plaatsgevonden, verzoeken een onderzoek in te stellen, verslag uit te brengen over hun bevindingen en, in voorkomend geval, juridische of andere maatregelen te nemen;
c)de koerier moet zijn geïnstrueerd over alle veiligheidsverplichtingen die tijdens het vervoer in acht moeten worden genomen en moet een passende bevestiging hebben ondertekend;
d)de instructies voor de koerier moeten aan het koerierscertificaat zijn gehecht;
e)de koerier moet een beschrijving krijgen van de zending en van de route;
f)het koerierscertificaat en de bijbehorende documenten moeten na afloop van de reis of de reizen worden teruggezonden naar de nationale veiligheidsautoriteit of aangewezen veiligheidsautoriteit die ze heeft afgegeven, of voor monitoringdoeleinden ter beschikking worden gehouden door de ontvanger van het koerierscertificaat;
g)indien de douane, de immigratiediensten of de grenspolitie de zending willen onderzoeken en inspecteren, moet hun worden toegestaan voldoende delen van de zending te openen en controleren om vast te stellen dat deze geen ander materiaal bevat dan het gespecificeerde materiaal;
h)er moet bij de douaneautoriteiten op worden aangedrongen om het officiële karakter van de verzendingsdocumenten en van de vergunningsdocumenten die de koerier bij zich heeft, te eerbiedigen.
Indien een zending door de douane wordt geopend, moet dit gebeuren uit het zicht van niet-gemachtigde personen en, indien mogelijk, in aanwezigheid van de koerier. De koerier moet verzoeken om herverpakking van de zending, en de autoriteiten die de inspectie uitvoeren, verzoeken de zending opnieuw te verzegelen en schriftelijk te bevestigen dat deze door hen is geopend.
29.Persoonlijk vervoer van informatie met een rubriceringsgraad tot SECRET UE/EU SECRET door contractanten of begunstigd personeel naar een derde land of een internationale organisatie is onderworpen aan de bepalingen van de gegevensbeveiligingsovereenkomst die tussen de Europese Unie en dat derde land of die internationale organisatie is gesloten.
Vervoer van EUCI in verband met gerubriceerde contracten en subsidieovereenkomsten door commerciële koeriersdiensten en als vrachtvervoer
30.Het vervoer van EUCI door commerciële koeriersdiensten moet plaatsvinden overeenkomstig de desbetreffende bepalingen van bijlage IV.
31.Wat het vervoer van gerubriceerd materiaal als vrachtvervoer betreft, worden bij het bepalen van de beveiligingsregeling de volgende beginselen toegepast:
a)de beveiliging moet tijdens alle fasen van het vervoer gewaarborgd zijn, vanaf het vertrekpunt tot aan de eindbestemming;
b)de mate van bescherming die aan een zending wordt verleend, moet worden bepaald door de hoogste rubriceringsgraad van het materiaal dat zij bevat;
c)er moet een veiligheidsmachtiging voor een vestiging op het juiste niveau worden verkregen voor de ondernemingen die het vervoer verzorgen. In dat geval moeten personeelsleden die de zending verwerken een veiligheidsonderzoek ondergaan;
d)vóór iedere grensoverschrijdende verplaatsing van materiaal met rubriceringsgraad CONFIDENTIEL UE/EU CONFIDENTIAL of SECRET UE/EU SECRET moet de verzender een vervoerplan opstellen, dat moet worden goedgekeurd door de betrokken nationale veiligheidsautoriteit, aangewezen veiligheidsautoriteit of andere bevoegde beveiligingsautoriteit;
e)het vervoer moet zoveel mogelijk zonder onderbreking geschieden en zo snel als de omstandigheden toelaten worden uitgevoerd;
f)waar mogelijk moet alleen via lidstaten worden gereisd. Reisroutes door derde landen mogen slechts worden gevolgd indien de nationale veiligheidsautoriteit, aangewezen veiligheidsautoriteit of andere bevoegde veiligheidsautoriteit van de staat van de verzender en die van de staat van de geadresseerde daarvoor toestemming verlenen.
EUROPESE COMMISSIE
Brussel, 22.3.2022
COM(2022) 119 final
BIJLAGE
bij het
Voorstel voor een
VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD
betreffende informatiebeveiliging in de instellingen, organen en instanties van de Unie
{SWD(2022) 65 final} - {SWD(2022) 66 final}
BIJLAGE VI
Concordantie van rubriceringsgraden
Gelijkwaardige rubriceringsgraden van de lidstaten en Euratom
|
EU |
TRÈS SECRET UE/EU TOP SECRET |
SECRET UE/EU SECRET |
CONFIDENTIEL UE/EU CONFIDENTIAL |
RESTREINT UE/EU RESTRICTED |
|
EURATOM |
EURA TOP SECRET |
EURA SECRET |
EURA CONFIDENTIAL |
EURA RESTRICTED |
|
België |
Très Secret (Loi 11.12.1998) Zeer Geheim (Wet 11.12.1998) |
Secret (Loi 11.12.1998) Geheim (Wet 1.12.1998) |
Confidentiel (Loi 11.12.1998) Vertrouwelijk (Wet 11.12.1998) |
Zie voetnoot 1 |
|
Bulgarije |
Cтpoгo ceкретно |
Ceкретно |
Поверително |
За служебно ползване |
|
Tsjechië |
Přísně tajné |
Tajné |
Důvěrné |
Vyhrazené |
|
Denemarken |
YDERST HEMMELIGT |
HEMMELIGT |
FORTROLIGT |
TIL TJENESTEBRUG |
|
Duitsland |
STRENG GEHEIM |
GEHEIM |
VS 2 — VERTRAULICH |
VS — NUR FÜR DEN DIENSTGEBRAUCH |
|
Estland |
Täiesti salajane |
Salajane |
Konfidentsiaalne |
Piiratud |
|
Ierland |
Top Secret |
Secret |
Confidential |
Restricted |
|
Griekenland |
Άκρως Απόρρητο Afgekort: ΑΑΠ |
Απόρρητο Afgekort: (ΑΠ) |
Εμπιστευτικό Αfgekort: (ΕΜ) |
Περιορισμένης Χρήσης Afgekort: (ΠΧ) |
|
Spanje |
SECRETO |
RESERVADO |
CONFIDENCIAL |
DIFUSIÓN LIMITADA |
|
Frankrijk |
TRÈS SECRET TRÈS SECRET DÉFENSE 3 |
SECRET SECRET DÉFENSE3 |
CONFIDENTIEL DÉFENSE3, 4 |
Zie voetnoot 5 |
|
Kroatië |
VRLO TAJNO |
TAJNO |
POVJERLJIVO |
OGRANIČENO |
|
Italië |
Segretissimo |
Segreto |
Riservatissimo |
Riservato |
|
Cyprus |
Άκρως Απόρρητο Αfgekort: (ΑΑΠ) |
Απόρρητο Αfgekort: (ΑΠ) |
Εμπιστευτικό Αfgekort: (ΕΜ) |
Περιορισμένης Χρήσης Αfgekort: (ΠΧ) |
|
Letland |
Sevišķi slepeni |
Slepeni |
Konfidenciāli |
Dienesta vajadzībām |
|
Litouwen |
Visiškai slaptai |
Slaptai |
Konfidencialiai |
Riboto naudojimo |
|
Luxemburg |
Très Secret Lux |
Secret Lux |
Confidentiel Lux |
Restreint Lux |
|
Hongarije |
‘Szigorúan titkos!’ |
‘Titkos!’ |
‘Bizalmas!’ |
‘Korlátozott terjesztésű!’ |
|
Malta |
L-Ogħla Segretezza Top Secret |
Sigriet Secret |
Kunfidenzjali Confidential |
Ristrett Restricted 6 |
|
Nederland |
Stg. ZEER GEHEIM |
Stg. GEHEIM |
Stg. CONFIDENTIEEL |
Dep. VERTROUWELIJK |
|
Oostenrijk |
Streng Geheim |
Geheim |
Vertraulich |
Eingeschränkt |
|
Polen |
Ściśle Tajne |
Tajne |
Poufne |
Zastrzeżone |
|
Portugal |
Muito Secreto |
Secreto |
Confidencial |
Reservado |
|
Roemenië |
Strict secret de importanță deosebită |
Strict secret |
Secret |
Secret de serviciu |
|
Slovenië |
STROGO TAJNO |
TAJNO |
ZAUPNO |
INTERNO |
|
Slowakije |
Prísne tajné |
Tajné |
Dôverné |
Vyhradené |
|
Finland |
ERITTÄIN SALAINEN YTTERST HEMLIG |
SALAINEN HEMLIG |
LUOTTAMUKSELLINEN KONFIDENTIELL |
KÄYTTÖ RAJOITETTU BEGRÄNSAD TILLGÅNG |
|
Zweden |
Kvalificerat hemlig |
Hemlig |
Konfidentiell |
Begränsat hemlig |