1.   A presente decisão estabelece regras de execução em matéria de segurança industrial no que respeita às subvenções classificadas na aceção da Decisão (UE, Euratom) 2015/444, nomeadamente o respetivo capítulo 6.

2.   A presente decisão estabelece requisitos específicos para assegurar a proteção das informações classificadas da UE (ICUE) aquando da publicação de convites à apresentação de propostas, da concessão de subvenções e da execução das convenções de subvenção classificadas celebradas pela Comissão Europeia.

3.   A presente decisão aplica-se às subvenções que impliquem informações classificadas nos seguintes níveis:

4.   A presente decisão é aplicável sem prejuízo das regras específicas estabelecidas noutros atos jurídicos, como as relativas ao Programa Europeu de Desenvolvimento Industrial no domínio da Defesa.

1.   No âmbito das suas responsabilidades, o gestor orçamental da autoridade que concede a subvenção a que se refere o Regulamento (UE, Euratom) 2018/1046 do Parlamento Europeu e do Conselho assegura que a subvenção classificada cumpre o disposto na Decisão (UE, Euratom) 2015/444 e nas suas normas de execução.

2.   Para o efeito, o gestor orçamental competente solicita, em todas as fases, o parecer da autoridade de segurança da Comissão sobre questões relacionadas com os elementos de segurança da convenção de subvenção classificada, ou do programa ou projeto classificados, e informa o responsável local de segurança sobre as convenções de subvenção classificadas celebradas. A decisão sobre o nível de classificação de assuntos específicos incumbe à autoridade que concede a subvenção e deve ser tomada levando em devida conta o Guia da Classificação de Segurança.

3.   Quando forem aplicadas as instruções de segurança relativas a um programa ou um projeto a que se refere o artigo 5.o, n.o 3, a autoridade que concede a subvenção e a autoridade de segurança da Comissão assumem as responsabilidades que lhes são cometidas nessas instruções.

4.   Respeitando os requisitos das presentes regras de execução, a autoridade de segurança da Comissão coopera estreitamente com as autoridades nacionais de segurança (ANS) e as autoridades de segurança designadas (ASD) dos Estados-Membros em causa, nomeadamente no que diz respeito à credenciação de segurança da empresa (CSE) e à credenciação de segurança do pessoal (CSP), aos procedimentos de visita e aos planos de transporte.

5.   Quando a gestão das subvenções estiver a cargo de agências de execução ou de outros organismos de financiamento da UE e as regras específicas estabelecidas noutros atos jurídicos referidos no artigo 1.o, n.o 4 não se aplicarem:

1.   As partes classificadas das subvenções são executadas exclusivamente por beneficiários registados num Estado-Membro ou por beneficiários registados num país terceiro ou estabelecidos por uma organização internacional, desde que esse país terceiro ou organização internacional tenham celebrado um acordo de segurança das informações com a União ou celebrado um convénio administrativo com a Comissão (8).

2.   Antes de publicar um convite à apresentação de propostas para uma subvenção classificada, a autoridade que concede a subvenção determina a classificação de segurança das informações que podem ser fornecidas aos requerentes. A autoridade que concede a subvenção determina igualmente a classificação de segurança máxima de todas as informações utilizadas ou geradas na execução da convenção de subvenção, programa ou projeto ou, pelo menos, o volume e o tipo de informações que previsivelmente serão geradas ou manuseadas e a necessidade de um sistema de comunicação e informação (SCI) classificado.

3.   A autoridade que concede a subvenção assegura que os convites à apresentação de propostas para subvenções classificadas fornecem informações sobre as obrigações de segurança especiais relacionadas com as informações classificadas. A documentação relativa aos convites deve incluir esclarecimentos sobre os prazos para os beneficiários obterem a CSE, caso lhes seja exigida. Os anexos I e II contêm amostras de modelos de informações sobre as condições dos convites à apresentação de propostas.

4.   A autoridade que concede a subvenção assegura que as informações com classificação RESTREINT UE/EU RESTRICTED, CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET só são divulgadas aos requerentes depois de estes terem assinado um acordo de não divulgação que os obrigue a manusear e proteger as ICUE de acordo com o disposto na Decisão (UE, Euratom) 2015/444, nas suas regras de execução e nas regras nacionais aplicáveis.

5.   No caso de serem fornecidas aos requerentes informações RESTREINT UE/EU RESTRICTED, os requisitos mínimos referidos no artigo 5.o, n.o 7, da presente decisão são incluídos no convite ou nos acordos de não divulgação celebrados na fase de apresentação de propostas.

6.   Todos os requerentes e beneficiários que tenham de proceder ao manuseamento ou armazenamento de informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou SECRET UE/EU SECRET nas suas instalações, quer durante a fase de apresentação de propostas quer durante a execução da própria convenção de subvenção classificada, devem ter uma CSE ao nível exigido, exceto nos casos referidos no n.o 9. São seguidamente apresentados os três cenários que poderão surgir durante a fase de apresentação de propostas para uma subvenção classificada que implique ICUE de nível CONFIDENTIEL UE/EU CONFIDENTIAL ou SECRET UE/EU SECRET:

7.   Em princípio, não é exigida uma CSE ou uma CSP para aceder a informações RESTREINT UE/EU RESTRICTED, quer na fase da apresentação de propostas, quer na fase de execução da convenção de subvenção. Nos casos em que os Estados-Membros exijam uma CSE ou uma CSP para convenções de subvenção ou subcontratos de nível RESTREINT UE/EU RESTRICTED ao abrigo das respetivas disposições legislativas e regulamentares nacionais, conforme enumerado no anexo IV, esses requisitos nacionais não devem impor obrigações adicionais a outros Estados-Membros nem excluir requerentes, beneficiários ou subcontratantes de Estados-Membros que não tenham esses requisitos para o acesso a informações RESTREINT UE/EU RESTRICTED decorrentes de convenções de subvenção ou de subcontratos conexos ou de um concurso para esse efeito. Estas convenções de subvenção devem ser executadas nos Estados-Membros em conformidade com as respetivas disposições legislativas e regulamentares nacionais.

8.   Quando for necessária uma CSE para o manuseamento de um convite à apresentação de propostas e para a execução de uma convenção de subvenção classificada, a autoridade que concede a subvenção apresenta, por intermédio da autoridade de segurança da Comissão, um pedido à ANS ou ASD do beneficiário, utilizando uma ficha de informação de credenciação de segurança da empresa (FICSE) ou outro formulário eletrónico equivalente estabelecido. O anexo III, apêndice D, apresenta um exemplo de FICSE (9). A resposta a uma FICSE é dada, na medida do possível, no prazo de dez dias úteis a contar da data de apresentação do pedido.

9.   Quando as entidades públicas dos Estados-Membros ou entidades sob o controlo do respetivo governo participam em subvenções classificadas que exigem CSE e quando, ao abrigo da legislação nacional, não são emitidas CSE para essas entidades, a autoridade que concede a subvenção verifica junto da ANS ou ASD em causa, por intermédio da autoridade de segurança da Comissão, se essas entidades públicas estão aptas a manusear as ICUE ao nível exigido.

10.   Quando é exigida uma CSP para a execução de uma convenção de subvenção classificada e quando, de acordo com as regras nacionais, é necessária uma CSE antes de ser concedida uma CSP, a autoridade que concede a subvenção verifica junto da ANS ou ASD do beneficiário, por intermédio da autoridade de segurança da Comissão, utilizando uma FICSE, se o beneficiário possui uma CSE ou se está em curso o processo de credenciação correspondente. Neste caso, a Comissão não emite pedidos de CSP utilizando a ficha de informação de credenciação de segurança do pessoal (FICSP).

1.   As condições em que um beneficiário pode subcontratar tarefas associadas a ICUE são definidas no convite à apresentação de propostas e na convenção de subvenção. Estas condições devem incluir o requisito de que todas as FICSE sejam apresentadas por intermédio da autoridade de segurança da Comissão. A subcontratação está sujeita ao consentimento prévio, por escrito, da autoridade que concede a subvenção. Quando aplicável, a subcontratação deve respeitar o ato de base que institui o programa.

2.   As partes classificadas das subvenções são subcontratadas exclusivamente a entidades registadas num Estado-Membro ou a entidades registadas num país terceiro ou estabelecidas por uma organização internacional, desde que esse país terceiro ou organização internacional tenha celebrado um acordo de segurança das informações com a União ou celebrado um convénio administrativo com a Comissão (10).

1.   Quando da concessão de uma subvenção classificada, a autoridade que concede a subvenção, juntamente com a autoridade de segurança da Comissão, assegura que as obrigações do beneficiário em matéria de proteção das ICUE utilizadas ou geradas na execução da convenção de subvenção sejam parte integrante da dita convenção. Os requisitos de segurança específicos da subvenção assumem a forma de cláusulas adicionais de segurança (CAS). O anexo III contém um exemplo de um modelo de CAS.

2.   Antes de assinar uma subvenção classificada, a autoridade que concede a subvenção aprova um Guia da Classificação de Segurança (GCS) para as tarefas a executar e as informações geradas na execução da subvenção, ou a nível do programa ou do projeto, quando aplicável. O GCS faz parte das CAS.

3.   Os requisitos de segurança específicos do programa ou do projeto assumem a forma de instruções de segurança do programa (ou projeto) (ISP). As ISP podem ser elaboradas com base nas disposições do modelo de CAS que figura no anexo III. As ISP são elaboradas pelo serviço da Comissão responsável pela gestão do programa ou projeto, em estreita cooperação com a autoridade de segurança da Comissão, e submetidas a parecer ao Grupo de Peritos de Segurança da Comissão. Quando uma convenção de subvenção faz parte de um programa ou projeto com as suas próprias ISP, as CAS da convenção de subvenção assumem uma forma simplificada e incluem uma referência às disposições de segurança estabelecidas nas ISP do programa ou projeto.

4.   Exceto nos casos referidos no artigo 3.o, n.o 9, a convenção de subvenção classificada não pode ser assinada antes de a ANS ou ASD do requerente ter confirmado a CSE do requerente, ou, quando a convenção de subvenção classificada for atribuída a um consórcio, até que a ANS ou ASD de, pelo menos, um requerente, no âmbito do consórcio, ou mais, se necessário, tenha confirmado a CSE desse requerente.

5.   Em princípio, e salvo disposição em contrário noutras regras pertinentes, a autoridade que concede a subvenção é considerada a entidade de origem das ICUE geradas na execução da convenção de subvenção.

6.   A autoridade que concede a subvenção, por intermédio da autoridade de segurança da Comissão, notifica as ANS e/ou ASD de todos os beneficiários e subcontratantes da assinatura de convenções de subvenção classificadas ou de subcontratos classificados e de eventuais prorrogações ou cessações antecipadas dos mesmos. O anexo IV apresenta uma lista dos requisitos nacionais.

7.   As convenções de subvenção que implicam informações com classificação RESTREINT UE/EU RESTRICTED incluem uma cláusula de segurança que torna as disposições estabelecidas no anexo III, apêndice E, vinculativas para os beneficiários. Essas convenções de subvenção incluem CAS que estabelecem, no mínimo, os requisitos para o manuseamento de informações RESTREINT UE/EU RESTRICTED, incluindo aspetos relacionados com a garantia da informação e requisitos específicos a cumprir pelos beneficiários no atinente à acreditação do respetivo sistema de comunicação e informação (SCI) que manuseia as informações RESTREINT UE/EU RESTRICTED.

8.   Quando tal é exigido pelas disposições legislativas e regulamentares nacionais dos Estados-Membros, as ANS ou ASD asseguram que os beneficiários ou subcontratantes sob a sua jurisdição cumpram as disposições de segurança aplicáveis à proteção das informações RESTREINT UE/EU RESTRICTED e efetuem visitas de verificação às instalações dos beneficiários ou subcontratantes situadas no seu território. Se as ANS ou ASD não tiverem essa obrigação, a autoridade que concede a subvenção assegura que os beneficiários aplicam as disposições de segurança estabelecidas no anexo III, apêndice E.

1.   A autoridade que concede a subvenção assegura que as convenções de subvenção classificadas incluam disposições que prevejam que só seja concedido acesso a ICUE ao pessoal de um beneficiário ou subcontratante que, para a execução da convenção de subvenção classificada ou do subcontrato classificado, tenha necessidade desse acesso, se:

2.   Quando aplicável, o acesso a ICUE também deve estar em conformidade com o ato de base que institui o programa e ter em conta eventuais marcas adicionais definidas no GCS.

3.   Se o beneficiário ou subcontratante pretender contratar um nacional de um país terceiro para um lugar que implique o acesso a ICUE com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou SECRET UE/EU SECRET, cabe ao beneficiário ou subcontratante iniciar o procedimento de credenciação de segurança dessa pessoa, em conformidade com as disposições legislativas e regulamentares nacionais aplicáveis no local onde o acesso às ICUE deve ser concedido.

1.   As pessoas externas («peritos») que participam em controlos, exames ou auditorias realizados pela autoridade que concede a subvenção ou em análises do desempenho dos beneficiários que necessitam de ter acesso a informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou SECRET UE/EU SECRET só podem obter um contrato se possuírem a credenciação de segurança ao nível adequado, concedida pela respetiva ANS ou ASD ou por outra autoridade de segurança competente. A autoridade que concede a subvenção, por intermédio da autoridade de segurança da Comissão, procede à verificação e, se necessário, solicita à ANS ou ASD que dê início ao processo de verificação no que respeita aos peritos pelo menos seis meses antes do início dos respetivos contratos.

2.   Antes da assinatura do contrato, os peritos devem ser informados das regras de segurança aplicáveis à proteção de ICUE e devem ter reconhecido as suas responsabilidades no que respeita à proteção dessas informações.

1.   Quando a autoridade que concede a subvenção, os peritos, os beneficiários ou os subcontratantes necessitam de aceder a informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou SECRET UE/EU SECRET nas instalações uns dos outros no contexto da execução de uma convenção de subvenção classificada, devem ser organizadas visitas em ligação com as ANS ou ASD ou com outras autoridades de segurança competentes a que o assunto diga respeito.

2.   As visitas referidas no n.o 1 estão sujeitas aos seguintes requisitos:

1.   As visitas dos beneficiários ou subcontratantes a instalações de outros beneficiários ou subcontratantes, ou a instalações da autoridade que concede a subvenção, que impliquem o acesso a informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou SECRET UE/EU SECRET devem ser organizadas de acordo com o seguinte procedimento:

2.   As visitas de funcionários da autoridade que concede a subvenção, de peritos ou de auditores às instalações dos beneficiários ou subcontratantes que impliquem o acesso a informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou SECRET UE/EU SECRET devem ser organizadas de acordo com o seguinte procedimento:

3.   Um PDV pode abranger uma única visita ou visitas recorrentes. No caso de visitas recorrentes, o PDV pode ser válido, no máximo, até um ano a contar da data de início solicitada.

4.   O período de validade do PDV não pode exceder o período de validade da CSP do visitante.

5.   Regra geral, o PDV é apresentado à autoridade de segurança competente da instalação de acolhimento pelo menos 15 dias úteis antes da data da visita.

1.   Antes de autorizar o acesso dos visitantes a ICUE, o responsável de segurança da instalação de acolhimento deve cumprir todos os procedimentos e regras de segurança relativos a visitas estabelecidos pela sua ANS ou ASD.

2.   Os visitantes devem comprovar a sua identidade ao chegarem à instalação de acolhimento mediante a apresentação do bilhete de identidade ou passaporte válidos. Essas informações de identificação devem corresponder às informações indicadas no PDV.

3.   A instalação de acolhimento deve assegurar que sejam mantidos registos de todos os visitantes, incluindo os seus nomes, a organização que representam, a data de termo da CSP, a data da visita e os nomes das pessoas visitadas. Esses registos devem ser conservados por um período mínimo de cinco anos, ou mais se tal for exigido pelas regras e regulamentos nacionais do país onde está situada a instalação de acolhimento.

1.   No contexto de projetos específicos, as ANS ou ASD competentes e a autoridade de segurança da Comissão podem acordar um procedimento ao abrigo do qual as visitas realizadas no âmbito de uma subvenção classificada específica podem ser organizadas diretamente entre o responsável de segurança do visitante e o responsável de segurança da instalação a visitar. O modelo de formulário a utilizar para este efeito é apresentado no anexo III, apêndice C. Este procedimento excecional é estabelecido nas ISP ou noutras disposições específicas. Nesses casos, não se aplicam os procedimentos estabelecidos no artigo 9.o e no artigo 10.o, n.o 1.

2.   As visitas que impliquem o acesso a informações com classificação RESTREINT UE/EU RESTRICTED devem ser organizadas diretamente entre a entidade de envio e a entidade de acolhimento, sem necessidade de seguir os procedimentos estabelecidos no artigo 9.o e no artigo 10.o, n.o 1.

1.   O manuseamento e a transmissão eletrónicos de ICUE processam-se nos termos estabelecidos nos capítulos 5 e 6 da Decisão (UE, Euratom) 2015/444 e nas suas regras de execução.

Os sistemas de comunicação e informação que sejam propriedade de um beneficiário e sejam utilizados para o manuseamento de ICUE na execução da convenção de subvenção (SCI do beneficiário) estão sujeitos a acreditação pela autoridade de acreditação de segurança (AAS) responsável. Todas as transmissões eletrónicas de ICUE devem ser protegidas por produtos criptográficos aprovados nos termos do artigo 36.o, n.o 4, da Decisão (UE, Euratom) 2015/444. Devem ser aplicadas medidas de segurança TEMPEST em conformidade com o artigo 36.o, n.o 6, da referida decisão.

2.   A acreditação de segurança do SCI do beneficiário que manuseia ICUE ao nível de classificação RESTREINT UE/EU RESTRICTED e qualquer interligação do mesmo pode ser delegada no responsável de segurança de um beneficiário, se tal for permitido pelas disposições legislativas e regulamentares nacionais. Quando essa tarefa é delegada, o beneficiário é responsável pela aplicação dos requisitos mínimos de segurança descritos nas CAS ao manusear informações com a classificação RESTREINT UE/EU RESTRICTED no seu SCI. No entanto, as ANS ou ASD e AAS competentes continuam a ser responsáveis pela proteção das informações RESTREINT UE/EU RESTRICTED manuseadas pelo beneficiário e a ter o direito de inspecionar as medidas de segurança tomadas pelo beneficiário. Além disso, o beneficiário deve fornecer à autoridade que concede a subvenção e, se as disposições legislativas e regulamentares nacionais o exigirem, à AAS nacional competente, uma declaração de conformidade certificando que o SCI do beneficiário e as interligações conexas foram acreditados para o manuseamento de ICUE ao nível RESTREINT UE/EU RESTRICTED (11).

1.   O transporte em mão própria de informações classificadas está sujeito a requisitos de segurança rigorosos.

2.   As informações RESTREINT UE/EU RESTRICTED podem ser transportadas por mão própria por pessoal do beneficiário dentro da União, desde que sejam cumpridos os seguintes requisitos:

3.   Para informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET, o transporte em mão própria por pessoal do beneficiário num Estado-Membro é organizado com antecedência entre a entidade expedidora e a entidade recetora. A autoridade ou instalação expedidora informa a autoridade ou instalação recetora dos dados relativos à remessa, incluindo a referência, a classificação, a hora prevista de chegada e o nome do serviço de estafeta. É permitido esse transporte em mão própria, desde que sejam cumpridos os seguintes requisitos:

4.   Para o transporte em mão, efetuado por pessoal do beneficiário, de informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET de um Estado-Membro para outro, são aplicáveis as seguintes regras adicionais:

Se uma remessa for aberta pelas autoridades aduaneiras, tal deve ser feito fora da vista de pessoas não autorizadas e, sempre que possível, na presença do estafeta. O estafeta deve solicitar que a remessa seja reembalada e que as autoridades que efetuam a inspeção voltem a selar a remessa e confirmem, por escrito, que abriram a remessa.

5.   O transporte em mão, por pessoal do beneficiário, de informações com classificação RESTREINT UE/EU RESTRICTED, CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET para um país terceiro ou uma organização internacional está sujeito às disposições do acordo de segurança das informações ou do convénio administrativo celebrado, respetivamente, entre a União ou a Comissão e esse país terceiro ou organização internacional.