EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32023D0726(01)
Decision of the High Representative of the Union for Foreign Affairs and Security Policy of 19 June 2023 on the security rules for the European External Action Service 2023/C 263/04
Decisão do alto representante da União para os Negócios Estrangeiros e a Política de Segurança de 19 de junho de 2023 relativa às regras de segurança aplicáveis ao Serviço Europeu para a Ação Externa 2023/C 263/04
Decisão do alto representante da União para os Negócios Estrangeiros e a Política de Segurança de 19 de junho de 2023 relativa às regras de segurança aplicáveis ao Serviço Europeu para a Ação Externa 2023/C 263/04
JO C 263 de 26.7.2023, p. 16–73
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
26.7.2023 |
PT |
Jornal Oficial da União Europeia |
C 263/16 |
DECISÃO DO ALTO REPRESENTANTE DA UNIÃO PARA OS NEGÓCIOS ESTRANGEIROS E A POLÍTICA DE SEGURANÇA
de 19 de junho de 2023
relativa às regras de segurança aplicáveis ao Serviço Europeu para a Ação Externa
(2023/C 263/04)
O ALTO REPRESENTANTE DA UNIÃO PARA OS NEGÓCIOS ESTRANGEIROS E A POLÍTICA DE SEGURANÇA,
Tendo em conta a Decisão 2010/427/UE do Conselho, de 26 de julho de 2010, que estabelece a organização e o funcionamento do Serviço Europeu para a Ação Externa (1) (a seguir designada por «Decisão 2010/427/UE do Conselho»), nomeadamente o artigo 10.o, n.o 1,
Considerando o seguinte:
|
(1) |
Enquanto órgão da União Europeia (UE) funcionalmente autónomo, o Serviço Europeu para a Ação Externa (a seguir designado por «SEAE») deve ter regras de segurança, tal como previsto no artigo 10.o, n.o 1, da Decisão 2010/427/UE do Conselho. |
|
(2) |
O alto representante da União para os Negócios Estrangeiros e a Política de Segurança (a seguir designado por «alto representante» ou «AR») deve decidir das regras de segurança aplicáveis ao SEAE, que deverão cobrir os aspetos da segurança do funcionamento do SEAE, para assegurar que este serviço efetue uma gestão eficaz dos riscos incorridos pelo respetivo pessoal, os ativos físicos, as informações e os visitantes e cumpra o dever de diligência e as responsabilidades que lhe competem. |
|
(3) |
Mais concretamente, deverá ser garantido um nível de proteção ao pessoal colocado sob a responsabilidade do SEAE, aos ativos físicos do SEAE, incluindo sistemas de comunicação e informação, informações e visitantes, conforme com as melhores práticas seguidas no Conselho, na Comissão, nos Estados-Membros e, consoante o caso, nas organizações internacionais. |
|
(4) |
As regras de segurança aplicáveis ao SEAE deverão contribuir para um quadro geral completo mais coerente na UE tendo em vista a proteção de Informações Classificadas da UE (a seguir designadas por «ICUE»), com base em, e mantendo tanta coerência quanto possível com, as regras de segurança do Conselho da União Europeia (a seguir designado por «Conselho») e as disposições em matéria de segurança da Comissão Europeia. |
|
(5) |
O SEAE, o Conselho e a Comissão estão empenhados em aplicar normas de segurança equivalentes para proteção das ICUE. |
|
(6) |
A presente decisão é tomada sem prejuízo dos artigos 15.o e 16.o do Tratado sobre o Funcionamento da União Europeia (TFUE) e dos instrumentos que lhes dão execução; |
|
(7) |
É necessário definir a organização da segurança no SEAE e a atribuição de funções de segurança dentro das estruturas do SEAE. |
|
(8) |
O alto representante deverá apoiar-se nas competências específicas pertinentes de que os Estados-Membros disponham, no Secretariado-Geral do Conselho e na Comissão, consoante as necessidades. |
|
(9) |
O alto representante deverá tomar todas as medidas adequadas que forem necessárias para aplicar essas regras com o apoio dos Estados-Membros, do Secretariado-Geral do Conselho e da Comissão. |
|
(10) |
Embora o secretário-geral do SEAE seja a Autoridade de Segurança do SEAE, é conveniente rever as regras de segurança do SEAE, nomeadamente para ter em conta a criação do Centro de Resposta a Situações de Crise e, para esse efeito, revogar e substituir a Decisão ADMIN (2017) 10 da alta representante da União para os Negócios Estrangeiros e a Política de Segurança, de 19 de setembro de 2017 (2). |
|
(11) |
Em conformidade com o artigo 15.o, n.o 4, alínea a), da Decisão ADMIN (2017) 10 da alta representante da União para os Negócios Estrangeiros e a Política de Segurança, de 19 de setembro de 2017, relativa às regras de segurança aplicáveis ao Serviço Europeu para a Ação Externa, o Comité de Segurança do SEAE foi consultado sobre as alterações previstas às regras de segurança do SEAE. |
ADOTOU A PRESENTE DECISÃO:
Artigo 1.o
Objetivo e âmbito de aplicação
A presente decisão estabelece as regras de segurança aplicáveis ao Serviço Europeu para a Ação Externa (a seguir designadas por «regras de segurança do SEAE»).
Nos termos do artigo 10.o, n.o 1, da Decisão 2010/427/UE do Conselho, as regras de segurança são aplicáveis ao pessoal do SEAE e a todo o pessoal das delegações da União, independentemente do seu estatuto administrativo ou da sua origem, e estabelece o quadro regulamentar geral para gerir com eficácia os riscos a que está sujeito o pessoal sob responsabilidade do SEAE, tal como referido no artigo 2.o, as instalações, os ativos físicos, as informações e os visitantes do SEAE.
Artigo 2.o
Definições
Para efeitos da presente decisão, entende-se por:
|
a) |
«Pessoal do SEAE», os funcionários do SEAE e outros agentes da União Europeia, incluindo o pessoal dos serviços diplomáticos dos Estados-Membros contratado como agente temporário, e os peritos nacionais destacados, conforme definido no artigo 6.o, n.os 2 e 3, da Decisão 2010/427/UE do Conselho, respetivamente. |
|
b) |
«Pessoal sob a responsabilidade do SEAE», o pessoal do SEAE adstrito à sede ou às delegações da União, e todo o outro pessoal afeto às delegações da União, independentemente do seu estatuto administrativo ou da sua origem, bem como, no contexto da presente decisão, o alto representante e, consoante o caso, demais pessoal residente nas instalações da sede do SEAE. |
|
c) |
«Pessoas a cargo elegíveis», os membros da família dos elementos do pessoal colocados sob a responsabilidade do SEAE nas delegações da União que façam parte do respetivo agregado familiar conforme notificado ao Ministério dos Negócios Estrangeiros do Estado de acolhimento, e que com aqueles residam efetivamente no local de afetação no momento da evacuação do país. |
|
d) |
«Instalações do SEAE», todos os estabelecimentos do SEAE, incluindo edifícios, escritórios, salas e outras áreas, bem como zonas em que se encontrem sistemas de comunicação e de informação (incluindo os que manuseiam ICUE), em que o SEAE realize atividades permanentes ou temporárias. |
|
e) |
«Interesses de segurança do SEAE», o pessoal sob a responsabilidade do SEAE, as instalações e pessoas a cargo, os ativos físicos, incluindo os sistemas de comunicação e informação, as informações e os visitantes do SEAE. |
|
f) |
«ICUE», quaisquer informações ou material designado por uma classificação de segurança da UE cuja divulgação não autorizada seja suscetível de causar prejuízos de vária ordem aos interesses da União Europeia ou de um ou mais Estados-Membros. |
|
g) |
«Delegação da União», as delegações junto de países terceiros e organizações internacionais, tal como referido no artigo 1.o, n.o 4, da Decisão 2010/427/UE do Conselho, e os gabinetes da UE, em conformidade com o artigo 5.o da Decisão 2010/427/UE do Conselho. |
São apresentadas outras definições para efeitos da presente decisão nos anexos pertinentes e no apêndice A.
Artigo 3.o
Dever de diligência
1. As regras de segurança do SEAE visam assegurar o cumprimento do dever de diligência do SEAE e das suas responsabilidades a este respeito.
2. O dever de diligência do SEAE compreende as diligências devidas na adoção de todas as medidas razoáveis para implementar medidas de segurança de modo a impedir danos razoavelmente previsíveis aos interesses de segurança do SEAE.
Engloba componentes de proteção e segurança, incluindo os que resultam de situações de emergência ou de crises, independentemente da sua natureza.
3. Tendo em conta o dever de diligência dos Estados-Membros, das instituições ou organismos da UE e de outras partes com pessoal nas delegações da União e/ou em instalações de delegações da União, bem como o dever de diligência do SEAE em relação às delegações da União alojadas em instalações de outras partes acima referidas, o SEAE celebra com cada uma das entidades acima referidas convénios administrativos que especifiquem as respetivas funções e responsabilidades, tarefas e mecanismos de cooperação.
Artigo 4.o
Segurança física e das infraestruturas
1. O SEAE toma todas as medidas de segurança física adequadas (permanentes ou temporárias), nomeadamente disposições para o controlo do acesso, em todas as instalações do SEAE, para a proteção dos interesses de segurança do SEAE. Essas medidas devem ser tidas em conta na conceção e no planeamento de novas instalações ou antes do arrendamento de instalações existentes.
2. Para isso, podem ser impostas obrigações ou restrições especiais ao pessoal sob a responsabilidade do SEAE e às pessoas a seu cargo, por razões de segurança, durante um período determinado e em zonas específicas.
3. As medidas referidas nos n.os 1 e 2 devem ser proporcionais aos riscos avaliados.
Artigo 5.o
Estados de alerta e situações de crise
1. A Autoridade de Segurança do SEAE, tal como definida na Secção I do artigo 13.o, n.o 1, é responsável pela definição dos níveis do estado de alerta e pela adoção de medidas adequadas para os estados de alerta, em antecipação ou resposta a ameaças e incidentes que afetem a segurança no SEAE.
2. As medidas relativas a estado de alerta referidas no n.o 1 devem ser proporcionais ao nível da ameaça à segurança. Os níveis de estado de alerta são definidos pela Autoridade de Segurança do SEAE em estreita cooperação com os serviços competentes de outras instituições, órgãos e organismos da União, e dos Estados-Membros que acolham instalações do SEAE.
3. A Autoridade de Segurança do SEAE é o ponto de contacto para situações de estado de alerta e de resposta a crises. Esta Autoridade pode subdelegar as tarefas conexas, respetivamente, no diretor-geral da Gestão de Recursos, tal como se refere no artigo 4.o, n.o 3, alínea a), segundo travessão, da Decisão 2010/427/UE do Conselho, no que se refere à sede do SEAE, e no diretor do Centro de Resposta a Situações de Crise, no caso das delegações da União.
Artigo 6.o
Proteção das informações classificadas
1. A proteção das ICUE é regida pelos requisitos previstos na presente decisão e em particular no anexo A. Cabe ao detentor de quaisquer ICUE a responsabilidade pela sua proteção nestes termos.
2. O SEAE assegura que o acesso às informações classificadas seja concedido apenas a quem satisfizer as condições definidas no artigo 5.o do anexo A.
3. As condições em que os agentes locais podem ter acesso a ICUE são também definidas pelo alto representante, em conformidade com as regras para a proteção das ICUE previstas no anexo A da presente decisão.
4. O SEAE assegura a gestão do estatuto da credenciação de segurança de todo o pessoal colocado sob a responsabilidade do SEAE e dos contratantes do SEAE.
5. Quando os Estados-Membros inserirem nas estruturas ou redes do SEAE informações classificadas que ostentem uma marca de classificação de segurança nacional, o SEAE protege essas informações em conformidade com os requisitos aplicáveis às ICUE de nível equivalente, como estabelecido na tabela de equivalências das classificações de segurança constante do apêndice B da presente decisão.
6. As zonas onde são armazenadas no SEAE informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou superior, ou com classificação de nível equivalente, são consideradas Zonas de Segurança em conformidade com as regras estabelecidas no anexo AII da presente decisão e são aprovadas pela Autoridade de Segurança do SEAE.
7. Os procedimentos para a execução das responsabilidades que incumbem ao alto representante no quadro de acordos ou de convénios administrativos para o intercâmbio de ICUE com Estados terceiros ou organizações internacionais são descritos nos anexos A e A VI da presente decisão.
8. O secretário-geral determina as condições em que o SEAE pode partilhar ICUE que se encontrem na sua posse com outras instituições, órgãos ou organismos da União. Será definido um quadro adequado para esse efeito, nomeadamente mediante a celebração de acordos interinstitucionais, ou outras disposições necessárias para esse fim.
9. Qualquer quadro dessa natureza deve assegurar que as ICUE sejam objeto de uma proteção adequada ao respetivo nível de classificação e nos termos dos princípios básicos e das normas mínimas, que devem ser equivalentes aos estabelecidos na presente decisão.
Artigo 7.o
Resposta a crises, emergências e incidentes de segurança
1. A fim de assegurar uma resposta pronta e eficaz a incidentes de segurança, o SEAE define um processo para comunicar tais incidentes e emergências, que deve estar operacional vinte e quatro horas por dia, sete dias por semana e abranger todos os tipos de incidentes de segurança ou ameaças aos interesses de segurança do SEAE (por exemplo, acidentes, conflitos, atos mal-intencionados, atos criminosos, raptos e situações de tomada de reféns, emergências médicas, incidentes com sistemas de informação e comunicação, ciberataques, etc.).
2. Devem ser criados canais de ligação de emergência entre a sede do SEAE, as delegações da União, o Conselho, a Comissão, os representantes especiais da UE e os Estados-Membros para lhes prestar apoio na resposta a crises, incidentes de segurança e emergências que envolvam pessoal, bem como às respetivas consequências, incluindo planos de contingência.
3. De tal resposta a crises/emergências/incidentes de segurança devem fazer parte, nomeadamente:
|
— |
procedimentos para apoiar eficazmente o processo de tomada de decisões relativamente a ameaças, incidentes de segurança e emergências que envolvam pessoal, incluindo decisões relativas à extração ou suspensão de uma missão; e |
|
— |
uma política e procedimentos para recuperação de pessoal — por exemplo, no caso de desaparecimento de pessoal ou rapto e situações de tomada reféns —, tendo em conta as responsabilidades específicas dos Estados-Membros, das instituições da UE e do SEAE nesta matéria. A necessidade de dispor de competências específicas, no âmbito da gestão de tais operações neste contexto, é determinada tendo em conta os recursos que possam ser disponibilizados pelos Estados-Membros. |
4. O SEAE estabelece procedimentos adequados para comunicar incidentes de segurança que ocorram nas delegações da União. Sempre que for adequado, são informados os Estados-Membros, a Comissão, qualquer outra autoridade competente, bem como os Comités de Segurança competentes.
5. Os processos de resposta a incidentes, emergências e situações de crise são regularmente ensaiados e revistos.
Artigo 8.o
Segurança dos sistemas de comunicação e informação
1. O SEAE protege as informações tratadas nos sistemas de comunicação e informação (SCI), tal como definidos no apêndice A da presente decisão, contra ameaças à confidencialidade, à integridade, à disponibilidade, à autenticidade e à não rejeição.
2. As normas de segurança, as diretrizes em matéria de segurança e qualquer programa de segurança para a proteção dos SCI que sejam propriedade do SEAE ou por ele operados são aprovados pela Autoridade de Segurança do SEAE.
3. As regras, a política e o programa devem estar em conformidade e a respetiva implementação é realizada em estreita colaboração com os do Conselho e da Comissão e, sempre que adequado, com as políticas de segurança aplicadas pelos Estados-Membros.
4. Todos os SCI que tratem informações classificadas são submetidos a um processo de acreditação. O SEAE aplica um sistema de gestão da acreditação de segurança em consulta com o Secretariado-Geral do Conselho e com a Comissão.
5. Quando a proteção de ICUE manuseadas pelo SEAE for assegurada por produtos criptográficos, estes são aprovados pela Autoridade de Aprovação Criptográfica do SEAE sob recomendação do Comité de Segurança do Conselho.
6. A Autoridade de Segurança do SEAE cria, na medida do necessário, as seguintes autoridades responsáveis pela garantia da informação:
|
a) |
uma Autoridade de Garantia da Informação (AGI); |
|
b) |
uma Autoridade TEMPEST (AT); |
|
c) |
uma Autoridade de Aprovação Criptográfica (AAC); |
|
d) |
uma Autoridade de Distribuição Criptográfica (ADC). |
7. Para cada sistema, a Autoridade de Segurança do SEAE cria as seguintes autoridades:
|
a) |
uma Autoridade de Acreditação de Segurança (AAS); |
|
b) |
uma Autoridade Operacional de Garantia da Informação. |
8. As regras de execução do presente artigo no que respeita à proteção das ICUE são estabelecidas nos Anexos A e A IV.
Artigo 9.o
Quebras de segurança e comprometimento de informações classificadas
1. As quebras de segurança resultam de atos ou omissões que sejam contrários às regras de segurança estabelecidas na presente decisão e/ou às políticas de segurança ou diretrizes que estabeleçam medidas necessárias para a sua implementação, tal como aprovadas nos termos do artigo 21.o, n.o 1.
2. Os comprometimentos de informações classificadas resultam da divulgação integral ou parcial das mesmas a pessoas ou identidades não autorizadas.
3. Qualquer quebra ou suspeita de quebra de segurança, bem como qualquer comprometimento ou suspeita de comprometimento de informações classificadas, são imediatamente comunicadas ao diretor responsável pela segurança da sede e pela segurança das informações do SEAE, que toma as medidas adequadas previstas no artigo 11.o do anexo A.
4. A pessoa responsável pela quebra das regras de segurança previstas na presente decisão, ou pelo comprometimento de informações classificadas, é passível de ação disciplinar e/ou judicial, nos termos das disposições legislativas e regulamentares aplicáveis, nos termos do disposto no artigo 11.o, n.o. 3, do anexo A.
Artigo 10.o
Investigação de incidentes, quebras e/ou comprometimentos de segurança e medidas corretivas
1. Sem prejuízo do disposto no artigo 86.o e anexo IX do Estatuto dos Funcionários (3), os inquéritos de segurança podem ser abertos e conduzidos pela direção responsável pela segurança da sede e pela segurança das informações do SEAE:
|
a) |
Em caso de eventual fuga, manuseamento indevido ou comprometimento de ICUE, informações classificadas Euratom ou informações sensíveis não classificadas; |
|
b) |
Para combater ataques de serviços de informações hostis contra o SEAE e o seu pessoal; |
|
c) |
Para combater ataques terroristas contra o SEAE e o seu pessoal; |
|
d) |
Em caso de incidente informático; |
|
e) |
No caso de outros incidentes que afetem ou possam afetar a segurança geral do SEAE, incluindo suspeitas de infrações penais; |
2. A Autoridade de Segurança do SEAE, assistida pela direção responsável pela segurança da sede [...] e pela segurança das informações do SEAE, pela direção responsável pelo Centro de Resposta a Situações de Crise e por peritos dos Estados-Membros e/ou de outras instituições da UE, consoante o caso, aplica as medidas corretivas necessárias resultantes dos inquéritos, quando e conforme adequado.
As competências para levar a cabo e coordenar os inquéritos de segurança no SEAE só podem ser atribuídas a pessoal autorizado com base num mandato nominativo que a Autoridade de Segurança do SEAE lhe confira tendo em conta as funções que desempenhe.
3. Os investigadores devem ter acesso a todas as informações necessárias para a realização de tais inquéritos e beneficiar do inteiro apoio de todos os serviços do SEAE e respetivo pessoal nesta matéria.
Os investigadores podem tomar medidas adequadas para salvaguardar o rasto de indícios de forma proporcionada à gravidade da matéria em investigação.
4. Quando o acesso às informações implicar dados pessoais, incluindo os constantes dos sistemas de informação e comunicação, deve proceder-se em conformidade com o Regulamento (CE) n.o 2018/1725 (4).
5. Quando for necessário criar uma base de dados de investigação que contenha dados pessoais, a Autoridade Europeia para a Proteção de Dados (AEPD) é notificada, em conformidade com o disposto no regulamento supramencionado.
Artigo 11.o
Gestão dos riscos de segurança
1. A fim de determinar as necessidades em matéria de proteção e segurança do SEAE, a direção responsável pela segurança da sede e pela segurança das informações do SEAE e a direção responsável pelo Centro de Resposta a Situações de Crise desenvolvem e mantêm atualizada uma metodologia de avaliação global dos riscos de segurança, em estreita cooperação com a Direção de Segurança da Direção-Geral dos Recursos Humanos e da Segurança da Comissão e, se adequado, com o Serviço de Segurança do Secretariado-Geral do Conselho.
2. Os riscos a que os interesses de segurança do SEAE estão expostos são geridos de acordo com um processo de gestão. Este processo tem por objetivo determinar os riscos de segurança conhecidos, definir as medidas de segurança destinadas a limitar esses riscos a um nível aceitável e aplicar tais medidas de acordo com o conceito de defesa em profundidade. A eficácia dessas medidas e o nível de risco são sujeitos a avaliação contínua.
3. As funções, responsabilidades e tarefas estabelecidas na presente decisão não prejudicam a responsabilidade de cada elemento do pessoal sob a responsabilidade do SEAE; em particular, o pessoal da UE em missão em países terceiros deve dar provas de bom senso e de discernimento no que se refere à sua própria proteção e segurança e cumprir todas as regras, regulamentos, procedimentos e instruções aplicáveis em matéria de segurança.
4. Para fins de prevenção e controlo dos riscos de segurança, o pessoal mandatado pode proceder à verificação dos antecedentes das pessoas abrangidas pelo âmbito de aplicação da presente decisão, a fim de determinar se a concessão de acesso a instalações ou a informações a essas pessoas do SEAE constitui uma ameaça à segurança. Para o efeito, e em conformidade com o Regulamento (UE) 2018/1725, o pessoal mandatado pode: a) Utilizar todas as fontes de informação de que o SEAE dispõe, tendo em conta a fiabilidade destas; b) Ter acesso aos ficheiros ou aos dados do pessoal que o SEAE detém em relação às pessoas que emprega ou pretende empregar ou, quando devidamente justificado, ao pessoal contratado.
5. O SEAE toma todas as medidas razoáveis para garantir a proteção dos seus interesses de segurança e para impedir que estes sofram danos razoavelmente previsíveis.
6. As medidas de segurança aplicáveis no SEAE para proteção de ICUE ao longo do seu ciclo de vida devem ser proporcionais em especial ao seu nível de classificação de segurança, à forma e ao volume de informações ou de material, à localização e construção das instalações que albergam ICUE e à ameaça, incluindo a ameaça avaliada a nível local, que os atos mal-intencionados e/ou as atividades criminosas, nomeadamente a espionagem, a sabotagem e o terrorismo, representam.
Artigo 12.o
Sensibilização e formação em matéria de segurança
1. A Autoridade de Segurança do SEAE garante que a direção responsável pela segurança da sede e pela segurança das informações do SEAE elaborem programas de sensibilização e formação adequados em matéria de segurança. O pessoal da sede toma parte nas ações de informação e de formação necessárias em matéria de sensibilização para a segurança, a organizar pelas equipas de sensibilização para a segurança da direção responsável pela segurança da sede e pela segurança das informações do SEAE. O pessoal das delegações da União, bem como, se for caso disso, as pessoas a seu cargo que sejam elegíveis, toma parte nas ações de formação e sensibilização para a segurança necessárias em função dos riscos inerentes ao seu local de trabalho ou de residência, a organizar pelas equipas de gestão da segurança, em coordenação com a direção responsável pelo Centro de Resposta a Situações de Crise.
2. Antes de lhes ser facultado acesso às ICUE e, posteriormente, a intervalos regulares, o pessoal é informado e reconhece as suas responsabilidades na proteção das ICUE de acordo com as regras adotadas nos termos do artigo 6.o.
Artigo 13.o
Organização da segurança no SEAE
Secção 1. Disposições gerais
1. A Autoridade de Segurança do SEAE é o secretário-geral. Nesta qualidade, o secretário-geral assegura que:
|
a) |
As medidas de segurança sejam coordenadas, conforme necessário, com as autoridades competentes dos Estados-Membros, o Secretariado-Geral do Conselho e a Comissão, e, se for caso disso, de países terceiros ou de organizações internacionais, em todas as questões de segurança pertinentes para as atividades do SEAE, incluindo no que respeita à natureza dos riscos para os interesses de segurança do SEAE e os meios de proteção contra esses riscos; |
|
b) |
Os aspetos de segurança sejam plenamente tidos em conta desde o início de todas as atividades do SEAE; |
|
c) |
O acesso a informações classificadas seja concedido apenas a quem satisfaça as condições definidas no artigo 5.o do anexo A; |
|
d) |
Sejam tomadas as medidas adequadas para a gestão do estatuto da credenciação de segurança de todo o pessoal que esteja sob a responsabilidade do SEAE e dos contratantes do SEAE; |
|
e) |
Seja criado um sistema de registo para garantir que as informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou superior sejam manuseadas nos termos da presente decisão no SEAE e quando comunicadas a Estados-Membros da UE, instituições, órgãos ou agências da UE ou outros destinatários autorizados. É conservado um registo separado de todas as ICUE comunicadas pelo SEAE a Estados terceiros e organizações internacionais, bem como de todas as informações classificadas recebidas de Estados terceiros e de organizações internacionais; |
|
f) |
Sejam realizadas as inspeções de segurança a que se refere o artigo 16.o; |
|
g) |
Sejam realizados inquéritos a qualquer quebra de segurança real ou suspeita, assim como a qualquer comprometimento real ou suspeito ou perda de informações classificadas detidas ou emanadas do SEAE, e seja solicitada a assistência das autoridades de segurança competentes nesses inquéritos; |
|
h) |
Sejam estabelecidos mecanismos e planos adequados de gestão dos incidentes e consequências, a fim de dar uma resposta pronta e eficaz a incidentes de segurança; |
|
i) |
Sejam tomadas as medidas adequadas em caso de incumprimento da presente decisão por parte de pessoas singulares; |
|
j) |
Sejam instauradas medidas físicas e organizacionais adequadas para a proteção dos interesses de segurança do SEAE. |
A este respeito, a Autoridade de Segurança do SEAE:
|
— |
define a categoria de segurança das delegações da União, em consulta com a Comissão, |
|
— |
estabelece um mecanismo de resposta a situações de crise e define as suas tarefas e responsabilidades; |
|
— |
decide, após consulta ao AR, quando evacuar pessoal das delegações da União se a situação de segurança assim o exigir, |
|
— |
decide que medidas aplicar para proteger pessoas a cargo elegíveis, se for caso disso, tendo em conta os convénios celebrados com instituições da UE a que se refere o artigo 3.o n.o 3; |
|
— |
aprova a política de comunicação criptográfica, nomeadamente o programa de instalação de produtos e mecanismos criptográficos. |
2. Em conformidade com o artigo 10.o, n.o 3, da Decisão 2010/427/UE do Conselho, a Autoridade de Segurança do SEAE é assistida conjuntamente nestas tarefas:
|
i). |
pelo diretor-geral responsável pela Gestão de Recursos, que é assistido pelo diretor responsável pela segurança da sede e pela segurança das informações do SEAE, |
|
ii). |
pelo diretor do Centro de Resposta a Situações de Crise, e, consoante o caso, pelo secretário-geral adjunto para a Paz, a Segurança e a Defesa, a fim de assegurar a coerência com as medidas de segurança a tomar para as missões e operações da PCSD. |
3. O secretário-geral, enquanto Autoridade de Segurança do SEAE, pode subdelegar as suas tarefas, se tal se justificar.
4. Cada chefe de departamento/divisão é responsável por assegurar a aplicação das regras, bem como das diretrizes de segurança a que se refere o artigo 21.o da presente decisão e de quaisquer outros procedimentos ou medidas que se destinem a proteger as ICUE no seu departamento/divisão.
Conservando as responsabilidades acima referidas, cada chefe de departamento/divisão designa elementos do pessoal para a função de coordenador da segurança do departamento. O número de elementos do pessoal com essa função deve ser proporcional à quantidade de ICUE manuseadas por esse departamento/divisão.
Os coordenadores de Segurança Departamental assistem e apoiam o chefe de departamento/divisão, sempre que adequado, na execução de tarefas relacionadas com segurança, tais como:
|
a) |
Estabelecer os requisitos de segurança adicionais que forem adequados às necessidades específicas do departamento/divisão, em consulta com a direção responsável pela segurança da sede e pela segurança das informações do SEAE; |
|
b) |
Complementar as ações de informação periódicas sobre segurança, organizadas pela direção responsável pela segurança da sede e pela segurança das informações do SEAE destinadas aos elementos do seu departamento/divisão, com informações sobre os requisitos de segurança adicionais a que se refere a alínea a); |
|
c) |
Garantir que o princípio da «necessidade de tomar conhecimento» é respeitado no seu departamento/divisão; |
|
d) |
Manter atualizada uma lista de códigos e chaves de segurança, se for caso disso; |
|
e) |
Garantir, se for caso disso, que os procedimentos de segurança e as medidas de segurança estão atualizados e operacionais; |
|
f) |
Comunicar eventuais quebras de segurança e/ou comprometimentos de ICUE tanto ao diretor como à direção responsável pela segurança da sede e pela segurança das informações do SEAE; |
|
g) |
Organizar reuniões de balanço com os elementos do pessoal que deixem de exercer funções no SEAE; |
|
h) |
Apresentar regularmente a toda a hierarquia relatórios sobre questões de segurança do departamento/divisão; |
|
i) |
Manter contactos com a direção responsável pela segurança da sede e pela segurança das informações do SEAE sobre quaisquer questões de segurança. |
Qualquer atividade ou questão que possa afetar a segurança é notificada em tempo útil à direção responsável pela segurança da sede e pela segurança das informações do SEAE.
Secção 2. Direção responsável pela segurança da sede e pela segurança das informações do SEAE
1. A direção responsável pela segurança da sede e pela segurança das informações do SEAE faz administrativamente parte da Direção-Geral da Gestão dos Recursos e fica incumbida das seguintes funções:
|
a) |
Cumprir o dever de diligência do SEAE na sede deste e assumir responsabilidade por todas as questões de segurança na sede do SEAE, nomeadamente no que diz respeito aos sistemas de comunicação e informação (SCI) e à segurança das informações para as delegações da União; |
|
b) |
Gerir, coordenar, supervisionar e/ou aplicar todas as medidas de segurança em todas as instalações da sede do SEAE; |
|
c) |
Assegurar a coerência de qualquer atividade que possa afetar a proteção dos interesses de segurança do SEAE com a presente decisão e com as disposições de execução; |
|
d) |
Apoiar as atividades da Autoridade de Acreditação de Segurança do SEAE através da realização de avaliações da segurança física das Condições Gerais de Segurança (CGS)/Condições Locais de Segurança (CLS) dos sistemas de comunicação e informação que manuseiam ICUE e das instalações a ser autorizadas para manuseamento e armazenamento de ICUE. |
A direção responsável pela segurança da sede e pela segurança das informações do SEAE é assistida pelos serviços competentes dos Estados-Membros, em conformidade com o disposto no artigo 10.o, n.o 3, da Decisão 2010/427/UE do Conselho.
2. Compete ao diretor responsável pela segurança da sede e pela segurança das informações do SEAE:
|
a) |
Assegurar a proteção geral dos interesses de segurança do SEAE na área de competência da direção responsável pela segurança da sede e pela segurança das informações do SEAE; |
|
b) |
Elaborar, rever e atualizar as regras de segurança, bem como coordenar as medidas de segurança com o diretor do Centro de Resposta a Situações de Crise, as autoridades competentes dos Estados-Membros e, se for caso disso, as autoridades competentes de Estados terceiros e organizações internacionais ligadas à UE por acordos e/ou convénios em matéria de segurança; |
|
c) |
Assumir as funções de principal assessor do alto representante, da Autoridade de Segurança do SEAE e do secretário-geral adjunto para a Paz, a Segurança e a Defesa em todas as questões relacionadas com a segurança na sede e com a segurança das informações do SEAE; |
|
d) |
Gerir o estatuto da credenciação de segurança de todo o pessoal sob a responsabilidade do SEAE e dos contratantes do SEAE; |
|
e) |
Presidir ao Comité de Segurança do SEAE na formação das Autoridades Nacionais de Segurança (ANS), tal como previsto no artigo 15.o, n.o 1, da presente decisão, de acordo com as instruções da autoridade de segurança do SEAE, e apoiar os seus trabalhos; |
|
f) |
Manter contactos com quaisquer parceiros ou autoridades para além dos referidos na alínea b) supra em questões de segurança na área de competência da direção responsável pela segurança da sede e pela segurança das informações do SEAE; |
|
g) |
Ordenar em termos de prioridade e apresentar propostas para a gestão do orçamento para a segurança na sede e nas delegações da União, em coordenação, no caso das delegações, com o diretor do Centro de Resposta a Situações de Crise; |
|
h) |
Assegurar que as quebras e os comprometimentos em matéria de segurança referidos no artigo 9.o da presente decisão sejam registados e que sejam abertos e realizados inquéritos, quando necessário; |
|
i) |
Reunir-se regularmente, e sempre que necessário, para debater domínios de interesse comum com o diretor da segurança do Secretariado-Geral do Conselho e o diretor da Direção de Segurança da Direção-Geral dos Recursos Humanos e da Segurança da Comissão. |
3. A direção responsável pela segurança da sede e pela segurança das informações do SEAE estabelece contactos e mantém uma estreita cooperação na sua área de competência com:
|
— |
as Autoridades Nacionais de Segurança (ANS) e/ou as outras autoridades de segurança competentes dos Estados-Membros, para permitir a assistência das mesmas no que compete à informação necessária para avaliar os perigos e ameaças a que o SEAE, o pessoal, as atividades, os ativos e recursos e as informações classificadas do SEAE podem estar sujeitos no seu local de atividade habitual; |
|
— |
as autoridades de segurança competentes dos Estados terceiros com os quais a UE tenha celebrado acordos de segurança das informações, ou para cujo território a União envie uma missão ou operação da PCSD; o Gabinete de Segurança do Secretariado-Geral do Conselho e a Direção da Segurança da Direção-Geral dos Recursos Humanos e da Segurança da Comissão e, quando oportuno, com os departamentos de segurança de outras instituições, órgãos e organismos da UE; |
|
— |
os departamentos de segurança de organizações internacionais com as quais a UE tenha celebrado acordos de segurança das informações, e; |
|
— |
as ANS dos Estados-Membros, relativamente a qualquer questão relacionada com a proteção das ICUE, incluindo as credenciações de segurança do pessoal (CSP). |
Secção 3. Direção responsável pelo Centro de Resposta a Situações de Crise
1. Compete à direção responsável pelo Centro de Resposta a Situações de Crise:
|
a) |
Cumprir o dever de diligência do SEAE nas delegações da União; |
|
b) |
Garantir diariamente a segurança do pessoal sob a responsabilidade do SEAE nas delegações da União, propor medidas a adotar em caso de crise para assegurar a continuidade das atividades nas delegações da União e aplicar os procedimentos de evacuação em estreita coordenação com a Divisão de Coordenação na Direção-Geral da Gestão de Recursos; |
|
c) |
Gerir, coordenar, supervisionar e/ou aplicar todas as medidas de segurança nas instalações do SEAE dentro das delegações da União; |
|
d) |
Assegurar a coerência de qualquer atividade do SEAE que possa afetar os interesses de segurança do SEAE na área de competência do Centro de Resposta a Situações de Crise com a presente decisão e com as disposições de execução; |
|
e) |
Apoiar as atividades da Autoridade de Acreditação de Segurança do SEAE na realização das avaliações da segurança física das instalações das delegações da União autorizadas a manusear e armazenar ICUE; |
2. Cabe ao diretor do Centro de Resposta a Situações de Crise:
|
a) |
Assegurar a proteção geral dos interesses de segurança do SEAE na área de competência da direção responsável pelo Centro de Resposta a Situações de Crise; |
|
b) |
Coordenar as medidas e os procedimentos de segurança com as autoridades competentes dos países de acolhimento e, consoante o caso, com as organizações internacionais pertinentes; |
|
c) |
Assegurar a ativação e a gestão do mecanismo de resposta a situações de crise do SEAE; |
|
d) |
Conceber e gerir a capacidade de destacamento do SEAE (Equipa de Apoio Destacável, incluindo o equipamento necessário) e assegurar a sua disponibilidade permanente; |
|
e) |
Assumir as funções de principal assessor do alto representante, da Autoridade de Segurança do SEAE e do secretário-geral adjunto para a Paz, a Segurança e a Defesa em todas as questões relacionadas com a segurança das delegações da União e com a resposta a crises que os afetem; |
|
f) |
Presidir ao Comité de Segurança do SEAE na formação dos Ministros dos Negócios Estrangeiros, tal como previsto no artigo 15.o, n.o 1, da presente decisão, de acordo com as instruções da autoridade de segurança do SEAE, e apoiar os seus trabalhos. |
|
g) |
Manter contactos com quaisquer parceiros ou autoridades para além dos referidos na alínea b) supra em questões de segurança na área de competência da direção responsável pelo Centro de Resposta a Situações de Crise; |
|
h) |
Contribuir para a definição de prioridades e a apresentação de propostas para a gestão do orçamento da segurança nas delegações da União, com a coordenação do diretor responsável pela segurança da sede e pela segurança das informações do SEAE. |
|
i) |
Assegurar que as quebras e os comprometimentos de segurança na área de competência da direção responsável pelo Centro de Resposta a Situações de Crise (CRC) sejam comunicados à direção responsável pela segurança da sede e pela segurança das informações do SEAE para que haja um seguimento adequado; |
3. A direção responsável pelo Centro de Resposta a Situações de Crise estabelece contactos e mantém uma estreita cooperação na sua área de competência com:
|
— |
os serviços competentes dos Ministérios dos Negócios Estrangeiros dos Estados-Membros; |
|
— |
na medida do necessário, as autoridades de segurança competentes dos países de acolhimento em cujo território estejam estabelecidas as delegações da UE, no que respeita aos interesses de segurança do SEAE; |
|
— |
o Gabinete de Segurança do Secretariado-Geral do Conselho e a Direção da Segurança da Direção-Geral dos Recursos Humanos e da Segurança da Comissão e, quando oportuno, com os departamentos de segurança de outras instituições, órgãos e organismos da UE na respetiva área de competência; |
|
— |
os serviços de segurança das organizações internacionais, tendo em vista uma coordenação útil, na respetiva área de competência. |
Secção 4. Delegações da União
1. Cada chefe de delegação da União é responsável pela implementação e gestão local de todas as medidas relativas à proteção dos interesses de segurança do SEAE nas instalações da delegação da União e que sejam da sua competência.
Sob a orientação do Centro de Resposta a Situações de Crise e em consulta com as autoridades competentes do país de acolhimento, quando necessário, toma todas as medidas razoavelmente aplicáveis para assegurar que estejam em vigor as medidas físicas e organizacionais adequadas para cumprir o seu dever de diligência.
O chefe de delegação define procedimentos de segurança para a proteção das pessoas a cargo elegíveis, tal como definidas no artigo 2.o, alínea c), quando adequado, tendo em conta os eventuais convénios administrativos a que se refere o artigo 3.o, n.o 3.
O chefe de delegação comunica todas as questões relacionadas com o dever de diligência no âmbito das suas competências ao diretor do Centro de Resposta a Situações de Crise, e ao diretor da direção responsável pela segurança da sede e pela segurança das informações do SEAE relativamente a outras questões de segurança.
É assistido pela direção responsável pelo Centro de Resposta a Situações de Crise, pela equipa de gestão da segurança da delegação da União, que é composta por pessoal que exerce tarefas e funções inerentes à segurança, e por pessoal de segurança, caso necessário. A direção responsável pela segurança da sede e pela segurança das informações do SEAE presta assistência na respetiva área de competência.
A delegação da União estabelece contactos regulares e mantém uma estreita cooperação em questões de segurança com as missões diplomáticas dos Estados-Membros.
2. Além disso, o chefe de delegação:
|
— |
elabora, em coordenação com o Centro de Resposta a Situações de Crise, planos detalhados de segurança e de contingência para a delegação da União, com base em procedimentos operacionais normalizados genéricos; |
|
— |
estabelece um sistema eficaz, operacional 24 horas por dia, 7 dias por semana, para gerir incidentes e emergências de segurança no âmbito da atividade da delegação da União; |
|
— |
assegura que todo o pessoal destacado na delegação da União esteja coberto por seguro adequado às condições vigentes na zona; |
|
— |
garante que a segurança faça parte da formação inicial facultada pela delegação da União a todo o pessoal nela destacado no momento da sua chegada à delegação; e |
|
— |
assegura que as eventuais recomendações feitas após avaliações da segurança sejam implementadas e apresenta regularmente relatórios escritos sobre a sua implementação ao diretor do Centro de Resposta a Situações de Crise e ao diretor responsável pela segurança da sede e pela segurança das informações do SEAE. |
3. Sendo responsável e responsabilizável por salvaguardar a gestão da segurança, bem como por assegurar resiliência coletiva, o chefe de delegação pode delegar a execução das suas tarefas de segurança ao coordenador de Segurança da Delegação («CSD»), que pode ser o chefe de delegação adjunto ou, quando este não tiver sido nomeado, alguém que possa desempenhar essa função.
Nomeadamente, podem ser delegadas as seguintes responsabilidades:
|
— |
coordenar as funções de segurança na delegação da União; |
|
— |
concertar-se em questões de segurança com as autoridades competentes do país de acolhimento e com os homólogos adequados nas embaixadas e missões diplomáticas dos Estados-Membros; |
|
— |
aplicar procedimentos de gestão de segurança adequados relativos aos interesses de segurança do SEAE, incluindo a proteção de ICUE; |
|
— |
assegurar a observância das regras e instruções de segurança; |
|
— |
informar o pessoal sobre as regras de segurança que lhes são aplicáveis e sobre os riscos específicos no país de acolhimento; |
|
— |
apresentar à direção responsável pela segurança da sede e pela segurança das informações do SEAE pedidos de credenciações de segurança e no que respeita aos cargos que exigem uma credenciação de segurança do pessoal (CSP); e |
|
— |
manter o chefe de delegação, o oficial de Segurança Regional e a direção responsável pelo Centro de Resposta a Situações de Crise continuamente informados de incidentes ou desenvolvimentos relacionados com a segurança que ocorram na zona e afetem a proteção dos interesses de segurança do SEAE. |
4. O chefe da delegação pode delegar tarefas de segurança de cariz administrativo ou técnico no chefe de Administração e noutros elementos do pessoal da delegação da União.
5. A delegação da União é assistida por um oficial de Segurança Regional (OSR). Os OSR desempenham as funções a seguir definidas nas delegações da União em cada uma das respetivas zonas geográficas de responsabilidade.
Em certas circunstâncias, quando a situação em matéria de segurança assim o exigir, pode ser destacado um OSR a tempo inteiro para uma delegação da União específica.
Pode ser necessário deslocar um oficial de Segurança Regional para uma zona exterior à área de responsabilidade atual, incluindo a sede, ou até para assumir um posto residencial de acordo com a situação relevante num determinado país em matéria de segurança, e de acordo com o que for solicitado pela direção responsável pelo Centro de Resposta a Situações de Crise.
6. Os OSR são colocados diretamente sob o controlo operacional do serviço que, na sede do SEAE, é responsável pela Segurança no Terreno, mas sob o controlo administrativo partilhado do chefe de delegação do seu local de afetação e do serviço que, na sede, é responsável pela Segurança no Terreno. Assistem e aconselham o chefe da delegação e o pessoal da delegação da União na organização e implementação de todas as medidas físicas, organizacionais e processuais relativas à segurança na delegação da União.
7. Os OSR aconselham e apoiam o chefe de delegação e o pessoal da delegação da União. Quando se justifique, especialmente quando o OSR for residente a tempo inteiro, pode assistir uma delegação da União na gestão e implementação da segurança, incluindo na preparação de contratos de segurança e na gestão de acreditações e credenciações.
Artigo 14.o
Operações PCSD e Representantes Especiais da UE
O diretor responsável pela segurança da sede e pela segurança das informações do SEAE e o diretor do Centro de Resposta a Situações de Crise aconselham, nas respetivas áreas de competência das suas direções e sempre que necessário, o diretor executivo responsável pela política comum de segurança e defesa (PCSD), o diretor-geral do Estado-Maior da UE (EMUE), também na sua qualidade de diretor da Capacidade Militar de Planeamento e Condução (CMPC), e o diretor executivo responsável pela Capacidade Civil de Planeamento e Condução (CCPC), em relação a aspetos de segurança do planeamento e condução das missões e operações da PCSD, bem como os representantes especiais da UE em relação a aspetos de segurança do seu mandato, complementares às disposições específicas existentes a este respeito nas políticas pertinentes adotadas pelo Conselho.
Artigo 15.o
O Comité de Segurança do SEAE
1. É criado um Comité de Segurança do SEAE.
O Comité é presidido pela Autoridade de Segurança do SEAE ou por um seu delegado e reúne-se segundo as instruções do presidente ou a pedido de qualquer dos seus membros. A direção responsável pela segurança da sede e pela segurança das informações do SEAE e a direção responsável pelo Centro de Resposta a Situações de Crise prestam, no âmbito das respetivas áreas de competência, apoio ao presidente nesta função e assistência administrativa, se necessário, aos trabalhos do Comité.
2. O Comité de Segurança do SEAE é composto por representantes:
|
— |
de todos os Estados-Membros; |
|
— |
do Gabinete de Segurança do Secretariado-Geral do Conselho; |
|
— |
da Direção de Segurança da Direção-Geral dos Recursos Humanos e da Segurança da Comissão. |
A delegação de um Estado-Membro para o Comité de Segurança do SEAE pode ser composta por:
|
— |
membros da Autoridade Nacional de Segurança (ANS) e/ou da Autoridade de Segurança Designada (ASD), |
|
— |
elementos dos serviços responsáveis pela segurança nos Ministérios dos Negócios Estrangeiros (MNE). |
3. Os representantes do Comité podem ser acompanhados e aconselhados por peritos consoante considerarem necessário. Os representantes de outras instituições, órgãos ou organismos da UE podem ser convidados a participar em debates sobre questões pertinentes para a sua segurança.
4. Sem prejuízo do disposto no n.o 5, o Comité de Segurança do SEAE assiste o SEAE, por meio de consultas, em todas as questões de segurança relevantes para as atividades do SEAE, bem como para a sede e para as delegações da União.
Em particular, sem prejuízo do disposto no n.o 5, o Comité de Segurança do SEAE:
|
a) |
É consultado sobre:
|
|
b) |
Pode ser consultado ou informado, consoante o caso, acerca de assuntos relacionados com a segurança do pessoal e dos ativos na sede do SEAE e nas delegações da União, sem prejuízo do disposto no artigo 3.o, n.o 3; |
|
c) |
É informado de quaisquer comprometimentos ou perdas de ICUE ocorridas no SEAE. |
5. Qualquer alteração às regras relacionadas com a proteção das ICUE constantes da presente decisão e do respetivo anexo A necessitam de um parecer favorável emitido por unanimidade pelos Estados-Membros representados no Comité de Segurança do SEAE. Tal parecer favorável unânime é também necessário antes de:
|
— |
serem iniciadas negociações sobre os convénios administrativos a que se refere o artigo 10.o, n.o 1, alínea b), do anexo A; |
|
— |
serem divulgadas informações classificadas nas circunstâncias excecionais a que se referem os n.os 9, 11 e 12, do anexo A VI |
|
— |
ser assumida a responsabilidade como entidade de origem das informações nas circunstâncias a que se refere o artigo 10.o, n.o 6, última frase, do anexo A. |
É alcançado um parecer favorável unânime quando as delegações dos Estados-Membros não formularem objeções durante os trabalhos do Comité.
6. O Comité de Segurança do SEAE tem plenamente em conta as políticas e orientações em matéria de segurança em vigor no Conselho e na Comissão.
7. O Comité de Segurança do SEAE recebe a lista das inspeções anuais do SEAE e os relatórios de tais inspeções, logo que estejam concluídos.
8. Organização das reuniões:
|
— |
O Comité de Segurança do SEAE reúne-se pelo menos duas vezes por ano. Podem ser organizadas pelo presidente ou solicitadas pelos membros do Comité reuniões adicionais, na formação integral ou em ANS/ASD ou em formação de segurança dos MNE. |
|
— |
O Comité de Segurança do SEAE organiza as suas atividades de forma a poder formular recomendações sobre domínios específicos da segurança. Pode estabelecer outras subformações especializadas, consoante as necessidades. O Comité define os mandatos dessas subformações especializadas, as quais lhe apresentam relatório das suas atividades. |
|
— |
Cabe à direção responsável pela segurança da sede e pela segurança das informações do SEAE e à direção responsável pelo Centro de Resposta a Situações de Crise a preparação dos pontos a debater no âmbito das respetivas áreas de competência. O presidente fixa a ordem de trabalhos provisória de cada reunião. Os membros do Comité podem propor pontos adicionais para debate. |
Artigo 16.o
Inspeções de segurança
1. A Autoridade de Segurança do SEAE assegura a realização periódica de inspeções de segurança, na sede do SEAE e nas delegações da União, a fim de avaliar se é a adequada a aplicação das medidas de segurança e de verificar a sua conformidade com a presente decisão. A direção responsável pela segurança da sede e pela segurança das informações do SEAE pode, quando se justificar e em cooperação com a direção responsável pelo Centro de Resposta a Situações de Crise, destacar peritos auxiliares para participar nas inspeções de segurança aos órgãos e organismos da UE instituídos nos termos do Capítulo 2 do Título V do TUE.
2. As inspeções de segurança do SEAE são realizadas sob a autoridade da direção responsável pela segurança da sede e pela segurança das informações do SEAE, com o apoio do Centro de Resposta a Situações de Crise do SEAE, se for adequado, e, no contexto dos convénios a que se refere o artigo 3.o, n.o 3, com o apoio de peritos em segurança em representação de outras instituições ou Estados-Membros da UE.
3. O SEAE pode recorrer, se necessário, aos conhecimentos especializados dos Estados-Membros, do Secretariado-Geral do Conselho e da Comissão.
Quando necessário, podem ser convidados a participar na inspeção de segurança da delegação da União peritos em segurança competentes sediados em Missões de Estados-Membros em Estados terceiros e/ou representantes dos serviços diplomáticos de segurança dos Estados-Membros.
4. As regras de execução deste artigo no que respeita à proteção de ICUE são estabelecidas no anexo A III.
Artigo 17.o
Visitas de Avaliação
São organizadas visitas de avaliação para verificar a eficácia das medidas de segurança aplicadas num Estado terceiro ou organização internacional para proteção das ICUE trocadas ao abrigo de convénios administrativos a que se refere o artigo 10.o, n.o 1, alínea b), do anexo A.
A direção responsável pela segurança da sede e pela segurança das informações do SEAE pode destacar peritos auxiliares para participar em visitas de avaliação a Estados terceiros ou organizações internacionais com as quais a UE tenha concluído acordos de segurança das informações a que se refere o artigo 10.o, n.o 1, alínea a), do anexo A.
Artigo 18.o
Planeamento da continuidade das atividades
A direção responsável pela segurança da sede e pela segurança das informações do SEAE e a direção responsável pelo Centro de Resposta a Situações de Crise assiste a Autoridade de Segurança do SEAE na gestão dos aspetos ligados à segurança dos processos de continuidade das atividades do SEAE como parte integrante do planeamento global da continuidade das atividades do SEAE.
Artigo 19.o
Conselhos de viagem para missões no exterior da UE
A direção responsável pelo Centro de Resposta a Situações de Crise assegura a disponibilidade de conselhos de viagem no que respeita a missões do pessoal sob a responsabilidade do SEAE no exterior da UE, apoiando-se nos recursos de todos os serviços competentes do SEAE, em especial o INTCEN, a célula de contrainformação da Direção Geral de Gestão de Recursos, os departamentos geográficos e as delegações da União.
A direção responsável pelo Centro de Resposta a Situações de Crise presta, quando tal lhe for solicitado e com base nos referidos recursos, aconselhamento de viagem específico no que respeita a missões do pessoal sob a responsabilidade do SEAE a Estados terceiros que apresentem um risco elevado ou um nível de risco mais elevado.
Artigo 20.o
Saúde e Segurança
As regras de segurança do SEAE complementam as regras do SEAE em matéria de proteção da saúde e de segurança adotadas pelo alto representante.
Artigo 21.o
Execução e reapreciação
1. A Autoridade de Segurança do SEAE aprova, se for adequado e após consulta com o Comité de Segurança do SEAE diretrizes de segurança que estabeleçam eventuais medidas necessárias para a execução destas regras no SEAE e cria as capacidades adequadas que abranjam todos os aspetos da segurança, em estreita cooperação com as autoridades de segurança competentes dos Estados-Membros e com o apoio dos serviços competentes das instituições da UE.
2. Em conformidade com o disposto no artigo 4.o, n.o 5, da Decisão 2010/427/UE do Conselho, e consoante as necessidades, o SEAE pode celebrar acordos a nível de serviços com os serviços competentes do Secretariado-Geral do Conselho e da Comissão.
3. O AR garante a coerência global da aplicação da presente decisão e reaprecia regularmente as presentes regras de segurança.
4. As regras de segurança do SEAE devem ser implementadas em estreita colaboração com as autoridades dos Estados-Membros competentes em matéria de segurança.
5. O SEAE assegura que todos os aspetos do processo de segurança sejam tomados em consideração no sistema de resposta a situações de crise do SEAE.
6. O secretário-geral, na qualidade de Autoridade de Segurança, o diretor da direção responsável pela segurança da sede e pela segurança das informações do SEAE e o diretor do Centro de Resposta a Situações de Crise garantem a execução da presente decisão.
Artigo 22.o
Substituição de decisões anteriores
A presente decisão revoga e substitui a Decisão ADMIN (2017)10 do alto representante da União para os Negócios Estrangeiros e a Política de Segurança, de 19 de setembro de 2017, relativa às regras de segurança aplicáveis ao Serviço Europeu para a Ação Externa (5).
Artigo 23.o
Disposições finais
A presente decisão entra em vigor na data da sua assinatura.
A presente decisão é publicada no Jornal Oficial da União Europeia.
A Autoridade de Segurança do SEAE informa devida e prontamente todo o pessoal abrangido pela presente decisão e respetivos anexos do seu conteúdo, entrada em vigor e eventuais alterações que lhe venham a ser feitas.
Feito em Bruxelas, em 19 de junho de 2023.
Josep BORRELL FONTELLES
Alto Representante da União
para os Negócios Estrangeiros e a Política de Segurança
(1) JO L 201 de 3.8.2010, p. 30.
(2) JO C 126 de 10.4.2018, p. 1.
(3) Estatuto dos Funcionários da União Europeia e Regime Aplicável aos Outros Agentes da União Europeia, a seguir designado por «Estatuto dos Funcionários».
(4) Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados (JO L 295 de 21.11.2018, p. 39).
Anexo A
PRINCÍPIOS E NORMAS PARA A PROTEÇÃO DAS ICUE
Artigo 1.o
Objetivo, âmbito de aplicação e definições
1. O presente anexo estabelece os princípios básicos e as normas mínimas de segurança aplicáveis à proteção das ICUE.
2. Estes princípios básicos e normas mínimas são aplicáveis ao SEAE e ao pessoal sob a responsabilidade do SEAE, tal como é referido e definido respetivamente nos artigos 1.o e 2.o da presente decisão.
Artigo 2.o
Definição de ICUE, classificações e marcas de segurança
1. Entende-se por «informações classificadas da UE» (ICUE) quaisquer informações ou material designado por uma classificação de segurança da UE cuja divulgação não autorizada possa causar prejuízos de vária ordem aos interesses da União Europeia ou de um ou mais Estados-Membros.
2. As ICUE são classificadas num dos seguintes níveis:
|
a) |
TRÈS SECRET UE/EU TOP SECRET: informações e material cuja divulgação não autorizada possa prejudicar de forma excecionalmente grave os interesses essenciais da União Europeia ou de um ou mais Estados-Membros. |
|
b) |
SECRET UE/EU SECRET: informações e material cuja divulgação não autorizada possa prejudicar seriamente os interesses essenciais da União Europeia ou de um ou mais Estados-Membros. |
|
c) |
CONFIDENTIEL UE/EU CONFIDENTIAL: informações e material cuja divulgação não autorizada possa prejudicar os interesses essenciais da União Europeia ou de um ou mais Estados-Membros. |
|
d) |
RESTREINT UE/EU RESTRICTED: informações e material cuja divulgação não autorizada possa ser desfavorável aos interesses da União Europeia ou de um ou mais Estados-Membros. |
3. As ICUE ostentam uma marca de classificação de segurança em conformidade com o n.o 2, podendo ostentar marcas adicionais que designem o domínio de atividade a que se referem, identifiquem a entidade de origem, limitem a distribuição, restrinjam a utilização ou indiquem a comunicabilidade.
Artigo 3.o
Gestão das classificações
1. O SEAE garante que as ICUE sejam devidamente classificadas e claramente identificadas como informações classificadas e mantenham o seu nível de classificação durante o tempo necessário.
2. As ICUE não podem ser desgraduadas nem desclassificadas e nenhuma das marcas a que se refere o artigo 2.o, n.o 3, pode ser alterada ou suprimida sem o consentimento prévio, por escrito, da entidade de origem.
3. A Autoridade de Segurança do SEAE aprova, após consulta do Comité de Segurança do SEAE em conformidade com o artigo 15.o, n.o 5, da presente decisão, diretrizes de segurança para a produção de ICUE, que compreende um guia prático de classificação.
Artigo 4.o
Proteção das informações classificadas
1. As ICUE são protegidas nos termos da presente decisão.
2. Cabe ao detentor de quaisquer ICUE a responsabilidade pela sua proteção nos termos da presente decisão.
3. Quando os Estados-Membros introduzirem nas estruturas ou redes do SEAE informações classificadas que ostentem uma marca de classificação de segurança nacional, o SEAE protegem essas informações em conformidade com os requisitos aplicáveis às ICUE de nível equivalente, de acordo com a tabela de equivalências das classificações de segurança constante do apêndice B.
O SEAE estabelece procedimentos adequados para conservar registos rigorosos relativos à entidade de origem de
|
— |
informações classificadas recebidas pelo SEAE; e |
|
— |
material de referência incluído em informações classificadas emanadas do SEAE. |
O Comité de Segurança do SEAE é informado destes procedimentos.
4. As grandes quantidades ou o acervo de ICUE podem justificar um nível de proteção correspondente a uma classificação mais elevada do que a dos seus componentes.
Artigo 5.o
Segurança do pessoal para manuseamento de informações classificadas da UE
1. A segurança do pessoal consiste na aplicação de medidas que se destinam a garantir que o acesso às ICUE só seja concedido a quem:
|
— |
tenha necessidade de tomar conhecimento; |
|
— |
para efeitos de acesso a informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou superior, possua a credenciação de segurança para o nível adequado ou outra autorização devidamente emitida em virtude das funções que exerce, nos termos das disposições legislativas e regulamentares nacionais; e |
|
— |
tenha sido informado das responsabilidades que lhe cabem. |
2. Os procedimentos de Credenciação de Segurança do Pessoal (CSP) visam determinar se determinada pessoa pode ter acesso a ICUE, tendo em conta a sua lealdade, idoneidade e fiabilidade.
3. Todas as pessoas são informadas das suas responsabilidades no que respeita à proteção das ICUE nos termos da presente decisão e reconhecem essas mesmas responsabilidades, por escrito, antes de lhes ser facultado o acesso a ICUE e, posteriormente, a intervalos regulares.
4. As regras de execução do presente artigo são estabelecidas no anexo A I.
Artigo 6.o
Segurança física das informações classificadas da UE
1. A segurança física consiste na aplicação de medidas físicas e técnicas de proteção destinadas a dissuadir o acesso não autorizado a ICUE.
2. São estabelecidas medidas de segurança física para impedir a entrada sub-reptícia ou forçada de intrusos, dissuadir, impedir e detetar ações não autorizadas e permitir uma diferenciação do pessoal no que se refere ao acesso a ICUE, segundo o princípio da necessidade de tomar conhecimento de tais informações. Essas medidas são determinadas com base num processo de gestão de risco.
3. São aplicadas medidas de segurança física em todas as instalações, edifícios, gabinetes, salas e outras zonas onde sejam manuseadas ou armazenadas ICUE, nomeadamente zonas em que se encontrem sistemas de comunicação e de informação, tal como definidos no apêndice A da presente decisão.
4. As zonas em que sejam armazenadas informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou superior são instituídas como zonas de segurança, nos termos do anexo A II, e aprovadas pela Autoridade de Segurança do SEAE.
5. Só são utilizados equipamentos ou dispositivos aprovados para proteger as ICUE de nível CONFIDENTIEL UE/EU CONFIDENTIAL ou superior.
6. As regras de execução do presente artigo são estabelecidas no anexo A II.
Artigo 7.o
Gestão das informações classificadas
1. A gestão das informações classificadas consiste na aplicação de medidas administrativas de controlo das ICUE ao longo do seu ciclo de vida que visam complementar as medidas previstas nos artigos 5.o, 6.o e 8.o e contribuir, deste modo, para dissuadir e detetar a perda ou o comprometimento deliberados ou acidentais de informações e para as recuperar em caso de perda ou comprometimento. Estas medidas dizem respeito, em especial, à produção, registo, cópia, tradução, transporte, manuseamento, armazenamento e destruição de ICUE.
2. As informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou superior são registadas, para fins de segurança, antes da distribuição e no momento da receção. Para o efeito, as autoridades competentes do SEAE criam um sistema de registo. As informações com classificação TRÈS SECRET UE/EU TOP SECRET são inscritas em registos próprios.
3. Os serviços e instalações em que se proceda ao manuseamento ou armazenamento de ICUE são periodicamente inspecionados pela Autoridade de Segurança do SEAE.
4. As ICUE são transmitidas entre diferentes serviços e instalações fora do perímetro das zonas fisicamente protegidas de acordo com as regras a seguir enunciadas:
|
a) |
Regra geral, as ICUE são transmitidas por meios eletrónicos protegidos por produtos criptográficos aprovados nos termos do artigo 7.o n.o 5, da presente decisão e de acordo com Procedimentos Operacionais de Segurança (POS) claramente definidos; |
|
b) |
Se não se utilizarem os meios referidos na alínea a), as ICUE são transportadas:
|
5. As regras de execução do presente artigo são estabelecidas no anexo A III.
Artigo 8.o
Proteção das ICUE manuseadas nos sistemas de comunicação e informação
1. A garantia da informação (GI) no domínio dos sistemas de comunicação e informação consiste na confiança em que esses sistemas protegem as informações neles manuseadas e funcionam como for necessário, quando for necessário, sob o controlo de utilizadores legítimos. Uma GI eficaz deve assegurar níveis adequados de confidencialidade, integridade, disponibilidade, não rejeição e autenticidade. A GI baseia-se num processo de gestão de risco.
2. As ICUE são manuseados pelos SCI de acordo com o conceito de GI.
3. Todos os SCI que manuseiem ICUE são submetidos a um processo de acreditação. A acreditação visa obter a garantia de que foram tomadas todas as medidas de segurança adequadas e de que foi alcançado um nível suficiente de proteção das ICUE e do próprio SCI, nos termos da presente decisão. A declaração de acreditação determina o nível máximo de classificação das informações que podem ser manuseadas pelo SCI e os termos e condições correspondentes.
4. Os SCI em que sejam manuseadas informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou superior são protegidos de forma a impedir o comprometimento das informações devido a emanações eletromagnéticas não intencionais («medidas de segurança TEMPEST»).
5. Quando a proteção de ICUE for assegurada por produtos criptográficos, estes são aprovados em conformidade com o artigo 8.o, n.o 5, da presente decisão.
6. Durante a transmissão de ICUE por via eletrónica, são utilizados produtos criptográficos aprovados. Não obstante este requisito, podem ser aplicados procedimentos específicos em circunstâncias de emergência ou configurações técnicas específicas, nos termos do anexo A IV.
7. Em conformidade com o artigo 8.o, n.o 6, da presente decisão, são criadas, na medida do necessário, as seguintes autoridades no domínio da GI:
|
a) |
uma Autoridade de GI (AGI); |
|
b) |
uma Autoridade TEMPEST (AT); |
|
c) |
uma Autoridade de Aprovação Criptográfica (AAC); |
|
d) |
uma Autoridade de Distribuição Criptográfica (ADC). |
8. Ao abrigo do artigo 8.o, n.o 7 da presente decisão, é criada, para cada sistema:
|
a) |
uma Autoridade de Acreditação de Segurança (AAS); |
|
b) |
uma Autoridade Operacional de GI. |
9. As regras de execução do presente artigo são estabelecidas no anexo A IV.
Artigo 9.o
Segurança industrial
1. Entende-se por «segurança industrial», a aplicação de medidas destinadas a garantir a proteção das ICUE pelos contratantes ou subcontratantes no âmbito das negociações pré-contratuais e durante a vigência dos contratos classificados. Estes contratos não devem, regra geral, envolver o acesso a informações com classificação TRÈS SECRET UE/EU TOP SECRET.
2. O SEAE pode confiar tarefas que envolvam ou impliquem o acesso a ICUE ou o seu manuseamento ou armazenamento a entidades industriais ou outras registadas em Estados-Membros ou Estados terceiros que tenham celebrado acordos de segurança das informações ou convénios administrativos a que se refere o artigo 10.o, n.o 1 do anexo A.
3. Ao adjudicar contratos classificados a entidades industriais ou outras, o SEAE, na qualidade de entidade contratante, garante o cumprimento das normas mínimas de segurança industrial estabelecidas na presente decisão, às quais o contrato fará referência. Assegura o cumprimento de tais normas mínimas por intermédio das ANS/ASD competentes.
4. Os contratantes ou subcontratantes registados num Estado-Membro que participem na execução de contratos ou subcontratos classificados que exijam o manuseamento e armazenamento de informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou SECRET UE/EU SECRET dentro das suas próprias instalações, seja na execução do contrato, seja na fase pré-contratual, devem possuir uma Credenciação de Segurança da Empresa (CSE) para o nível de classificação adequado, concedida pela ANS, pela ASD ou por qualquer outra autoridade de segurança competente do referido Estado-Membro.
5. O pessoal do contratante ou subcontratante que tenha de aceder a informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou SECRET UE/EU SECRET para a execução de contratos classificados deve possuir uma CSP, emitida pela respetiva Autoridade Nacional de Segurança (ANS), Autoridade de Segurança Designada (ASD) ou por qualquer outra autoridade de segurança competente nos termos das disposições legislativas e regulamentares nacionais e das normas mínimas estabelecidas no anexo A I.
6. As regras de execução do presente artigo são estabelecidas no anexo A V.
Artigo 10.o
Intercâmbio de informações classificadas com Estados terceiros e organizações internacionais
1. O SEAE só pode trocar ICUE com Estados terceiros ou organizações internacionais se:
|
a) |
Estiver em vigor um acordo de segurança das informações entre a UE e o Estado terceiro ou a organização internacional em questão, celebrado nos termos do artigo 37.o do TUE e do artigo 218.o do TFUE; ou |
|
b) |
Estiver em vigor um convénio administrativo entre o AR e as autoridades de segurança competentes do referido Estado terceiro ou organização internacional, para o intercâmbio de informações com classificação, em princípio, não superior a RESTREINT UE/EU RESTRICTED, celebrado nos termos do artigo 15.o, n.o 5 da presente decisão; ou |
|
c) |
For aplicável um acordo-quadro de participação ou um acordo de participação ad hoc entre a UE e o referido Estado terceiro no contexto de uma operação PCSD de gestão de crises, celebrado nos termos do artigo 37.o do TUE e do artigo 218.o do TFUE, e estiverem cumpridas as condições definidas nesse instrumento. As exceções à regra geral supra são estabelecidas na secção V do anexo A VI. |
2. Os convénios administrativos a que se refere o n.o 1, alínea b), devem conter disposições destinadas a assegurar que, ao receberem ICUE, os Estados terceiros e as organizações internacionais confiram a essas informações uma proteção adequada ao respetivo nível de classificação e obedeçam a normas mínimas não menos rigorosas do que as estabelecidas na presente decisão.
O intercâmbio de informações com base nos acordos a que se refere o n.o 1, alínea c), fica limitado às informações respeitantes a operações PCSD em que o Estado terceiro em questão participa com base em tais acordos e em conformidade com as respetivas disposições.
3. Se for posteriormente celebrado um acordo de segurança das informações entre a União e um Estado terceiro ou organização internacional contribuinte, esse acordo substitui-se à disposição sobre o intercâmbio de informações classificadas estabelecida em qualquer acordo-quadro de participação, acordo de participação ad hoc ou convénio administrativo ad hoc no que diz respeito ao intercâmbio e manuseamento de ICUE.
4. As ICUE produzidas para efeitos de uma operação PCSD podem ser divulgadas ao pessoal destacado para a operação por Estados terceiros ou organizações internacionais, nos termos dos pontos 1 a 3 e do anexo A VI. Se o referido pessoal for autorizado a aceder a ICUE nas instalações ou no SCI de uma operação PCSD, são aplicadas medidas (que incluam o registo das ICUE divulgadas) para atenuar o risco de perda ou comprometimento. Tais medidas são definidas nos documentos de planeamento ou de missão pertinentes.
5. São organizadas visitas a Estados terceiros ou organizações internacionais a que se refere o artigo 17.o da presente decisão, a fim de avaliar a eficácia das medidas de segurança aplicadas para proteção das ICUE trocadas.
6. A decisão de comunicar ICUE detidas pelo SEAE a um Estado terceiro ou a uma organização internacional é tomada caso a caso, em função da natureza e do teor dessas informações, da necessidade que o destinatário tenha de tomar conhecimento destas e das vantagens que daí advenham para a UE.
O SEAE solicita o consentimento, por escrito, de qualquer entidade que tenha fornecido informações classificadas como material de referência para ICUE de que a SEAE seja a entidade de origem, a fim de determinar que não existem objeções à comunicação de tais informações.
Se as informações classificadas cuja comunicação se pretende não emanarem do SEAE, este solicita à entidade de origem que dê, por escrito, o consentimento prévio para a sua comunicação.
Todavia, se o SEAE não conseguir identificar a entidade de origem, a Autoridade de Segurança do SEAE assume a responsabilidade em seu lugar, após obtenção do parecer favorável por unanimidade dos Estados-Membros representados no Comité de Segurança do SEAE.
7. As regras de execução do presente artigo são estabelecidas no anexo A VI.
Artigo 11.o
Quebras de segurança e comprometimento de informações classificadas
1. Qualquer quebra ou suspeita de quebra de segurança e qualquer comprometimento ou suspeita de comprometimento de informações classificadas é imediatamente comunicado à direção responsável pela segurança da sede e pela segurança das informações do SEAE, que do facto informa os Estados-Membros interessados, ou qualquer outra entidade afetada.
2. Quando se saiba ou haja motivos razoáveis para suspeitar que foram comprometidas ou perdidas informações classificadas, a direção responsável pela segurança da sede e pela segurança das informações do SEAE informa as ANS dos Estados-Membros interessados e toma todas as medidas adequadas, nos termos das disposições legislativas e regulamentares pertinentes, para:
|
a) |
Proteger os elementos de prova; |
|
b) |
Garantir que o caso seja investigado por elementos do pessoal não diretamente envolvidos na quebra de segurança ou no comprometimento, a fim de determinar os factos ocorridos; |
|
c) |
Informar imediatamente a entidade de origem ou qualquer outra entidade afetada; |
|
d) |
Tomar as medidas adequadas para impedir novas ocorrências; |
|
e) |
Avaliar os danos eventualmente causados aos interesses da UE ou dos Estados-Membros; e |
|
f) |
Notificar as autoridades competentes dos efeitos de casos concretos ou de suspeitas de comprometimento e das medidas tomadas. |
3. Os elementos do pessoal sob a responsabilidade do SEAE que são responsáveis pela violação das regras de segurança estabelecidas na presente decisão são passíveis de ação disciplinar nos termos das disposições regulamentares aplicáveis.
Quem for responsável pelo comprometimento ou pela perda de informações classificadas é passível de ação disciplinar e/ou judicial nos termos das disposições legislativas e regulamentares aplicáveis.
4. No decorrer de um inquérito a um caso de comprometimento e/ou quebra de segurança, o chefe da direção responsável pela segurança da sede e pela segurança das informações do SEAE pode suspender o acesso da pessoa em questão às ICUE e às instalações do SEAE. A Direção de Segurança da Direção-Geral dos Recursos Humanos e da Segurança da Comissão, o Gabinete de Segurança do Secretariado-Geral do Conselho ou as ANS dos Estados-Membros ou outra entidade competente, são imediatamente informados de tal decisão.
ANEXO A I
SEGURANÇA DO PESSOAL
I. INTRODUÇÃO
|
1. |
O presente anexo estabelece as regras de execução do artigo 5.o do Anexo A. Nele se definem, em especial, os critérios a ter em conta pelo SEAE para determinar se, com base na sua lealdade, idoneidade e fiabilidade, determinada pessoa pode ser autorizada a ter acesso a ICUE, bem como os procedimentos administrativos e de inquérito a seguir para esse efeito. |
|
2. |
A «Credenciação de Segurança do Pessoal» (CSP) para acesso a ICUE consiste numa declaração de uma autoridade competente de um Estado-Membro feita depois de concluído um inquérito de segurança conduzido pelas autoridades competentes de um Estado-Membro, e pela qual se atesta que dada pessoa pode ter acesso a ICUE até determinado nível (CONFIDENTIEL UE/EU CONFIDENTIAL ou superior), e até determinada data, desde que tenha sido comprovada a sua «necessidade de tomar conhecimento»; diz-se da pessoa nestas condições que «possui credenciação de segurança». |
|
3. |
O «Certificado de Credenciação de Segurança do Pessoal» (CCSP) é um certificado emitido pela autoridade de segurança do SEAE que indica a credenciação de segurança de dada pessoa e apresenta o nível de ICUE a que esta pode ter acesso, o período de validade da CSP e o prazo de validade do próprio certificado. |
|
4. |
A «Autorização de acesso a ICUE» é uma autorização dada pela Autoridade de Segurança do SEAE, conferida nos termos da presente decisão após emissão de uma CSP pelas autoridades competentes de um Estado-Membro, e pela qual se atesta que dada pessoa pode aceder a ICUE até determinado nível (CONFIDENTIEL UE/EU CONFIDENTIAL ou superior), e até determinada data, desde que tenha sido comprovada a sua «necessidade de tomar conhecimento»; diz-se da pessoa nestas condições que «possui credenciação de segurança». |
II. AUTORIZAÇÃO DE ACESSO ÀS ICUE
|
5. |
O acesso a informações com classificação RESTREINT UE/EU RESTRICTED não exige credenciação de segurança e é concedido após:
|
|
6. |
Ninguém pode ser autorizado a ter acesso a informações da UE com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou superior sem:
|
|
7. |
O SEAE identifica os cargos que, nas respetivas estruturas, exigem o acesso a informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou superior e para os quais é, por esse motivo, necessária uma CSP para o nível adequado, a que se refere o ponto 4 supra. |
|
8. |
O pessoal do SEAE deve declarar se tem a nacionalidade de mais do que um país. |
Procedimento de solicitação de CSP no SEAE
|
9. |
No que respeita ao pessoal do SEAE, a Autoridade de Segurança do SEAE envia o questionário de segurança do pessoal, preenchido, à ANS do Estado-Membro de nacionalidade do interessado, solicitando que seja levado a cabo um inquérito de segurança para o nível de ICUE às quais a pessoa necessitará de ter acesso. |
|
10. |
Quando alguém tiver a nacionalidade de mais do que um país, o pedido de verificação será endereçado à ANS do país correspondente à nacionalidade a partir da qual a pessoa foi recrutada. |
|
11. |
Se o SEAE tomar conhecimento de informações relevantes para o inquérito de segurança a respeito de alguém que tenha solicitado uma CSP, o SEAE informa desse facto a ANS competente, nos termos das regras e regulamentações pertinentes. |
|
12. |
Após a conclusão do inquérito de segurança, a ANS competente notifica a direção responsável pela segurança da sede e pela segurança das informações do SEAE do resultado do referido inquérito.
|
|
13. |
O inquérito de segurança, bem como os resultados obtidos, nos quais a Autoridade de Segurança do SEAE baseia a sua decisão de conceder ou não autorização de acesso a ICUE, obedece às disposições legislativas e regulamentares pertinentes em vigor no Estado-Membro em questão, incluindo em matéria de recurso. As decisões da Autoridade de Segurança do SEAE são passíveis de recurso nas condições previstas nos artigos 90.o e 91.o do Estatuto dos Funcionários. |
|
14. |
A garantia em que se baseia a CSP, desde que se mantenha válida, abrange quaisquer funções que a pessoa em causa venha a desempenhar no SEAE, no Secretariado-Geral do Conselho ou na Comissão. |
|
15. |
O SEAE aceita a autorização de acesso a ICUE concedida por qualquer outra instituição, órgão ou organismo da União Europeia, desde que não tenha perdido a validade. A autorização abrange quaisquer funções que a pessoa em causa venha a desempenhar no SEAE. A instituição, órgão ou organismo da União Europeia em que a pessoa assume funções informa a ANS competente da mudança de empregador. |
|
16. |
Se o período de serviço da pessoa não tiver começado no prazo de 12 meses a contar da notificação dos resultados do inquérito de segurança à Autoridade de Segurança do SEAE ou se houver uma interrupção de 12 meses ou mais no serviço durante a qual a pessoa não exerça funções no SEAE, em outras instituições, órgãos ou organismos da UE ou na administração de um Estado-Membro, que exija acesso a informações classificadas, os referidos resultados são remetidos à ANS competente, para confirmação de que continuam a ser válidos e pertinentes. |
|
17. |
Se o SEAE tomar conhecimento de informações sobre a existência de um eventual risco para a segurança que provenha de alguém com uma CSP válida, o SEAE informa desse facto a ANS competente, nos termos das regras e regulamentações aplicáveis, e pode suspender o acesso às ICUE ou retirar a autorização de acesso. Quando a ANS comunicar ao SEAE que retirou a alguém que possui uma autorização válida de acesso a ICUE a garantia que lhe fora dada nos termos do ponto 12, alínea a), a Autoridade de Segurança do SEAE pode solicitar à ANS esclarecimentos que esta possa prestar nos termos das respetivas disposições legislativas e regulamentares nacionais. Se as informações desfavoráveis forem confirmadas, a autorização acima referida é retirada e a pessoa em causa deixa de ter acesso às ICUE e é afastada de funções no âmbito das quais tal acesso seja possível ou a pessoa possa prejudicar a segurança. |
|
18. |
A decisão de retirar a autorização de acesso a ICUE a determinado elemento do pessoal do SEAE e, se necessário, as razões subjacentes são notificadas à pessoa em causa, que pode pedir para ser ouvida pela Autoridade de Segurança do SEAE. Aplicam-se às informações prestadas pela ANS as disposições legislativas e regulamentares pertinentes em vigor no Estado-Membro em questão, incluindo em matéria de recurso. As decisões da Autoridade de Segurança do SEAE são passíveis de recurso nas condições previstas nos artigos 90.o e 91.o do Estatuto dos Funcionários. |
|
19. |
Os peritos nacionais destacados junto do SEAE para um cargo que exija o acesso a informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou de nível superior apresentam à Autoridade de Segurança do SEAE, antes de assumirem funções, uma CSP válida que dê acesso às ICUE. O processo acima referido é gerido pelo Estado-Membro remetente. |
Registos de CSP
|
20. |
A direção responsável pela segurança da sede e pela segurança das informações do SEAE conserva uma base de dados com o estatuto de credenciação de segurança de todo o pessoal sob a responsabilidade do SEAE e do pessoal dos contratantes do SEAE. De tais registos faz parte o nível das ICUE a que a pessoa pode ter acesso (CONFIDENTIEL UE/EU CONFIDENTIAL ou superior), a data de concessão e o prazo de validade da CSP. |
|
21. |
São definidos procedimentos de coordenação adequados com os Estados-Membros e outras instituições, órgãos e organismos da UE para garantir que o SEAE disponha de um registo rigoroso e abrangente dos estatutos de credenciação de segurança de todo o pessoal sob a responsabilidade do SEAE e do pessoal dos contratantes do SEAE. |
|
22. |
A Autoridade de Segurança do SEAE pode emitir um Certificado de Credenciação de Segurança do Pessoal (CCSP) que indique o nível de ICUE a que a pessoa pode ter acesso (CONFIDENTIEL UE/EU CONFIDENTIAL ou superior), o prazo de validade da CSP ou da autorização e o prazo de validade do certificado propriamente dito. |
Isenção do requisito de CSP
|
23. |
Quem estiver devidamente autorizado a aceder a ICUE em virtude das funções que exerce nos termos das respetivas disposições legislativas e regulamentares nacionais é informado pela direção responsável pela segurança da sede e pela segurança das informações do SEAE, consoante for adequado, das suas obrigações em matéria de segurança no que respeita à proteção das ICUE. |
III. FORMAÇÃO E SENSIBILIZAÇÃO PARA A SEGURANÇA
|
24. |
Antes de serem autorizadas a aceder a ICUE, todas as pessoas confirmam por escrito que compreenderam as obrigações que lhes são impostas no que respeita à proteção das ICUE e as consequências do comprometimento de ICUE. A direção responsável pela segurança da sede e pela segurança das informações do SEAE conserva um registo dessa confirmação por escrito. |
|
25. |
Todas as pessoas autorizadas a aceder a ICUE ou que precisem de manusear ICUE são inicialmente sensibilizadas e periodicamente informadas das ameaças existentes para a segurança e comunicam imediatamente aos coordenadores de segurança da delegação/departamento competente e à direção responsável pela segurança da sede e pela segurança das informações do SEAE qualquer atitude ou atividade que considerem suspeita ou pouco habitual. |
|
26. |
Todas as pessoas com acesso a ICUE são submetidas a medidas contínuas de segurança do pessoal (isto é, acompanhamento posterior) durante o período em que manuseiam ICUE. São responsáveis pela segurança contínua do pessoal:
|
|
27. |
Quem deixar de exercer funções que exijam acesso a ICUE é informado de que deve continuar a salvaguardar as ICUE e, se necessário, reconhecer, por escrito, essa sua obrigação. |
IV. CIRCUNSTÂNCIAS EXCECIONAIS
|
28. |
Por motivos de urgência devidamente justificados pelo interesse do SEAE e enquanto se aguarda a conclusão de um inquérito de segurança exaustivo, a Autoridade de Segurança do SEAE, após consulta à ANS do Estado-Membro de nacionalidade do interessado e sob reserva dos resultados da verificação inicial de que não há conhecimento de informações desfavoráveis, pode conceder aos funcionários e outros agentes do SEAE uma autorização temporária de acesso a ICUE para uma função específica. Deverá ser concluído um inquérito de segurança exaustivo logo que possível. Tais autorizações temporárias têm uma validade não superior a seis meses e não dão o acesso a informações com classificação TRÈS SECRET UE/EU TOP SECRET. Todas as pessoas a quem tenham sido concedidas autorizações temporárias confirmam por escrito que compreenderam as obrigações que lhes são impostas no que respeita à proteção das ICUE e as consequências do comprometimento de ICUE. A direção responsável pela segurança da sede e pela segurança das informações do SEAE conserva um registo dessa confirmação apresentada por escrito. |
|
29. |
Quando devam ser atribuídas a alguém funções que exijam uma CSP de nível superior ao que essa pessoa já possui, a atribuição pode ser feita a título temporário, desde que:
|
|
30. |
O procedimento acima descrito é seguido para um único acesso a ICUE de nível superior àquele para o qual tenha sido concedida credenciação de segurança à pessoa em causa. Não se pode recorrer repetidamente a este procedimento. |
|
31. |
Em circunstâncias muito excecionais, como as missões em ambiente hostil ou períodos de tensão internacional crescente, quando as medidas de emergência o exijam, especialmente para salvar vidas humanas, o AR, a Autoridade de Segurança do SEAE ou o diretor-geral para a gestão de recursos podem conceder, por escrito, acesso a informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou SECRET UE/EU SECRET a pessoas que não possuam a necessária CSP, desde que essa autorização seja absolutamente indispensável. A direção responsável pela segurança e pela segurança das informações do SEAE conserva um registo desta autorização, com a descrição das informações para as quais foi aprovado o acesso. |
|
32. |
No caso de informações com classificação TRÈS SECRET UE/EU TOP SECRET, este acesso de emergência é limitado aos nacionais da UE que tenham sido autorizados a aceder ao equivalente nacional do nível TRÈS SECRET UE/EU TOP SECRET ou a informações com classificação SECRET UE/EU SECRET. |
|
33. |
O Comité de Segurança do SEAE é informado dos casos em que se recorra ao procedimento descrito nos pontos 31 e 32. |
|
34. |
É anualmente apresentado ao Comité de Segurança do SEAE um relatório sobre o recurso aos procedimentos estabelecidos na presente secção. |
V. PARTICIPAÇÃO EM REUNIÕES NA SEDE DO SEAE E NAS DELEGAÇÕES DA UNIÃO.
|
35. |
As pessoas que devam participar em reuniões na sede do SEAE e nas delegações da União em que sejam discutidas informações com a classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou superior só podem fazê-lo depois de confirmado o seu estatuto de CSP. No caso de representantes dos Estados-Membros, agentes do Secretariado Geral do Conselho e da Comissão, o CCSP, ou outra prova de CSP, é enviado pelas autoridades competentes à direção responsável pela segurança da sede e pela segurança das informações do SEAE, ao Coordenador de Segurança da delegação da União ou, a título excecional, apresentado pela própria pessoa. Se necessário, pode ser usada uma lista consolidada de nomes, com a indicação da prova de CSP pertinente. |
|
36. |
Se for retirada a CSP para efeitos de acesso a ICUE a alguém cuja presença seja necessária, em virtude das funções que exerce, em reuniões na sede do SEAE ou numa delegação da União em que se debatam informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou superior, a autoridade competente informa do facto a direção responsável pela segurança da sede e pela segurança das informações do SEAE. |
VI. ACESSO POTENCIAL A ICUE
|
37. |
Quem for recrutado para trabalhar em circunstâncias em que possa ter acesso a informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou superior é submetido aos procedimentos de credenciação de segurança adequados ou permanentemente escoltado. |
|
38. |
Os estafetas, guardas e escoltas devem possuir a credenciação de segurança para o nível adequado ou, alternativamente, são submetidos a um inquérito adequado nos termos das disposições legislativas e regulamentares nacionais, são periodicamente informados dos procedimentos de segurança aplicáveis à proteção das ICUE e do seu dever de proteção das informações que lhes forem confiadas ou a que possam ter acesso inadvertidamente. |
ANEXO A II
SEGURANÇA FÍSICA DAS INFORMAÇÕES CLASSIFICADAS DA UE
I. INTRODUÇÃO
|
1. |
O presente anexo estabelece as regras de execução do artigo 6.o do anexo A. Nele se definem os requisitos mínimos para a proteção física de instalações, edifícios, gabinetes, salas e outras zonas em que sejam manuseadas e armazenadas ICUE, e, nomeadamente, zonas que alberguem SCI. |
|
2. |
São concebidas medidas de segurança física para impedir o acesso não autorizado a ICUE:
|
II REQUISITOS E MEDIDAS DE SEGURANÇA FÍSICA
|
3. |
O SEAE aplica um processo de gestão de risco à proteção das ICUE nas suas instalações, por forma a assegurar que seja concedido um nível de proteção física proporcional ao risco avaliado. No processo de gestão de risco são tidos em conta todos os fatores pertinentes, nomeadamente:
|
|
4. |
A Autoridade de Segurança do SEAE determina, aplicando o conceito de defesa em profundidade, qual a combinação adequada de medidas de segurança física a implementar, que pode ser constituída por uma ou mais das que a seguir se enunciam:
|
|
5. |
A direção responsável pela segurança da sede e pela segurança das informações do SEAE pode ser autorizada a efetuar buscas nas entradas e saídas, que funcionarão como elemento dissuasor da introdução não autorizada de material ou da saída não autorizada de ICUE das instalações ou edifícios. |
|
6. |
Quando houver risco de olhares indiscretos sobre ICUE, mesmo que acidentalmente, são tomadas as medidas necessárias para neutralizar esse risco. |
|
7. |
Na fase de planeamento e conceção de novas instalações, deverão ser definidos os requisitos de segurança física e as respetivas especificações funcionais. Em instalações já existentes, os requisitos de segurança física são aplicados em toda a medida do possível. |
III. EQUIPAMENTO PARA A PROTEÇÃO FÍSICA DAS ICUE
|
8. |
Aquando da aquisição de equipamento (por exemplo, contentores de segurança, CCTV, máquinas trituradoras, fechaduras de porta, sistemas eletrónicos de controlo de acesso, sistemas de deteção de intrusos, sistemas de alarme) para proteção física das ICUE, a Autoridade de Segurança do SEAE certifica-se de que o equipamento satisfaz as normas técnicas e os requisitos mínimos aprovados. |
|
9. |
As especificações técnicas do equipamento a utilizar na proteção física de ICUE são definidas em diretrizes de segurança a aprovar pelo Comité de Segurança do SEAE. |
|
10. |
Os sistemas de segurança são regularmente submetidos a inspeção e o equipamento é objeto de manutenção regular. Nos trabalhos de manutenção são tidos em conta os resultados das inspeções, a fim de garantir que o equipamento continue a funcionar nas melhores condições. |
|
11. |
Em cada inspeção é reavaliada a eficácia de cada medida de segurança e do sistema de segurança em geral. |
IV. ZONAS FISICAMENTE PROTEGIDAS
|
12. |
São estabelecidos dois tipos de zonas fisicamente protegidas, ou os seus equivalentes nacionais, para assegurar a proteção física das ICUE:
|
|
13. |
A Autoridade de Segurança do SEAE determina que uma dada zona preenche os requisitos para ser designada Zona Administrativa, Zona de Segurança ou Zona Tecnicamente Segura. |
|
14. |
No caso das Zonas Administrativas:
|
|
15. |
No caso das Zonas de Segurança:
|
|
16. |
Nos casos em que a entrada numa Zona de Segurança represente, para todos os efeitos práticos, um acesso direto às informações classificadas que nela se encontrem, aplicam-se ainda os seguintes requisitos:
|
|
17. |
As Zonas de Segurança a proteger contra escutas são designadas Zonas Tecnicamente Seguras. A estas zonas aplicam-se ainda os seguintes requisitos:
|
|
18. |
Não obstante o disposto na alínea d) do ponto 17, e em circunstâncias em que a ameaça no que respeita às ICUE for considerada elevada, qualquer tipo de aparelho de comunicações e equipamento elétrico ou eletrónico é inspecionado pela equipa de contramedidas técnicas de segurança no âmbito da direção responsável pela segurança da sede e pela segurança das informações do SEAE antes de ser utilizado em zonas onde decorram reuniões ou se trabalhe com informações com classificação SECRET UE/EU SECRET e superior, por forma a garantir que nenhuma informação inteligível seja transmitida por esse equipamento, ilícita ou inadvertidamente, para fora do perímetro da Zona de Segurança. |
|
19. |
As Zonas de Segurança que não estejam ocupadas por pessoal em serviço 24 horas por dia são, se necessário, inspecionadas no final das horas normais de serviço e a intervalos aleatórios fora dessas horas, a menos que esteja instalado um sistema de deteção de intrusos. |
|
20. |
Podem ser temporariamente criadas Zonas de Segurança e Zonas Tecnicamente Seguras no interior de determinada Zona Administrativa para a realização de uma reunião classificada ou para qualquer outro fim semelhante. |
|
21. |
Para cada Zona de Segurança são estabelecidos procedimentos operacionais de segurança que estipulem:
|
|
22. |
Se necessário, são construídas casas-fortes dentro das Zonas de Segurança. As paredes, o chão, os tetos, as janelas e as portas com sistema de fecho são aprovados pela Autoridade de Segurança do SEAE e beneficiam de uma proteção equivalente à de um contentor de segurança aprovado para armazenamento de ICUE com o mesmo nível de classificação. |
V. MEDIDAS DE PROTEÇÃO FÍSICA PARA O MANUSEAMENTO E ARMAZENAMENTO DE ICUE
|
23. |
As ICUE com classificação RESTREINT UE/EU RESTRICTED podem ser manuseadas:
|
|
24. |
As ICUE com classificação RESTREINT UE/EU RESTRICTED são armazenadas em mobiliário de escritório apropriado e fechado à chave, numa Zona Administrativa ou Zona de Segurança. As referidas ICUE podem ser armazenadas temporariamente fora de Zonas de Segurança ou de Zonas Administrativas, desde que o detentor das informações classificadas se tenha comprometido a respeitar as medidas de compensação constantes das instruções de segurança emitidas pela Autoridade de Segurança do SEAE. |
|
25. |
As ICUE com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou SECRET UE/EU SECRET podem ser manuseadas:
|
|
26. |
As ICUE com classificação CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET são armazenadas em Zonas de Segurança, dentro de um contentor de segurança ou de uma casa-forte. |
|
27. |
As ICUE com classificação TRÈS SECRET UE/EU TOP SECRET são manuseadas em Zonas de Segurança. |
|
28. |
As ICUE com classificação TRÈS SECRET UE/EU TOP SECRET são armazenadas em Zonas de Segurança na sede, numa das seguintes condições:
|
|
29. |
As regras a que deve obedecer o transporte de ICUE fora de zonas fisicamente protegidas são estabelecidas no anexo A III. |
VI. CONTROLO DAS CHAVES E COMBINAÇÕES DE FECHADURAS DE SEGREDO UTILIZADAS PARA PROTEÇÃO DAS ICUE
|
30. |
A Autoridade de Segurança do SEAE define procedimentos para a gestão das chaves e das combinações das fechaduras de segredo dos gabinetes, salas, casas-fortes e contentores de segurança. Tais procedimentos devem assegurar a proteção contra o acesso não autorizado. |
|
31. |
As combinações devem ser memorizadas pelo menor número possível de pessoas que precisem de as conhecer. As combinações dos contentores de segurança e das casas-fortes em que sejam conservadas ICUE devem ser mudadas:
|
ANEXO A III
GESTÃO DAS INFORMAÇÕES CLASSIFICADAS
I. INTRODUÇÃO
|
1. |
O presente anexo estabelece as regras de execução do artigo 7.o do anexo A. Nele se definem as medidas administrativas de controlo das ICUE ao longo do seu ciclo de vida que visam contribuir para dissuadir e detetar a perda ou comprometimento deliberados ou acidentais de informações e para as recuperar em caso de perda ou comprometimento. |
II. GESTÃO DAS CLASSIFICAÇÕES
Classificações e marcas
|
2. |
As informações são classificadas se precisarem de ser protegidas em virtude da sua confidencialidade. |
|
3. |
Cabe à entidade de origem das ICUE determinar o nível de classificação de segurança, aplicar a devida marca de classificação de segurança, determinar a divulgação das informações aos destinatários previstos e aplicar a devida marca relativa à comunicabilidade, em conformidade com as orientações pertinentes do SEAE sobre a produção e o manuseamento de ICUE. |
|
4. |
O nível de classificação das ICUE é determinado nos termos do artigo 2.o, n.o 2, do anexo A e com as diretrizes em matéria de segurança [...] aprovadas nos termos do artigo 3.o, n.o 3, do anexo A. |
|
5. |
Às informações classificadas dos Estados-Membros trocadas com o SEAE é conferido o mesmo nível de proteção que às ICUE de classificação equivalente. Figura no apêndice B da presente decisão um quadro de equivalências. |
|
6. |
A classificação de segurança e, consoante o caso, a data ou o acontecimento específico após os quais pode ser desgraduada ou desclassificada, são ser indicados de forma clara e correta, independentemente do suporte em que as ICUE sejam apresentadas: em papel, oralmente, eletronicamente, etc. |
|
7. |
Cada uma das partes de um determinado documento (páginas, parágrafos, secções, anexos, apêndices, adendas e elementos apensos) pode exigir classificações diferentes, devendo ostentar a marca correspondente, inclusivamente quando for armazenado em suporte eletrónico. |
|
8. |
Na medida do possível, os documentos que contenham partes com níveis de classificação diferentes são estruturados de forma a que as partes com um nível de classificação diferente possam ser facilmente identificadas e, se necessário, destacadas. |
|
9. |
A classificação geral de um documento ou dossiê deve ser pelo menos tão elevada quanto a da parte desse documento classificada ao nível mais elevado. Quando forem coligidas informações provenientes de várias fontes, o produto final é analisado para determinar o seu nível geral de classificação de segurança, uma vez que poderá justificar uma classificação mais elevada do que a das partes que o compõem. |
|
10. |
A classificação de uma carta ou nota de envio deve ser tão elevada quanto a mais alta classificação dos seus anexos. A entidade de origem indica claramente a que nível é classificada a carta ou nota quando destacada dos anexos, para o que deve utilizar uma marca adequada, por exemplo: |
CONFIDENTIEL UE/EU CONFIDENTIAL Sem anexos RESTREINT UE/EU RESTRICTED
Marcas
|
11. |
Para além de uma das marcas de classificação de segurança previstas no artigo 2.o, n.o 2, do anexo A, as ICUE podem ostentar outras marcas, tais como:
|
|
12. |
Após a decisão de comunicação de ICUE a um Estado terceiro ou a uma organização internacional, a direção responsável pela segurança da sede e pela segurança das informações do SEAE procede ao envio das informações classificadas em causa, que devem ostentar uma marca relativa à comunicabilidade, indicando o Estado terceiro ou a organização internacional aos quais as ICUE serão comunicadas. |
|
13. |
A Autoridade de Segurança do SEAE aprova uma lista das marcas autorizadas. |
Marcas de classificação abreviadas
|
14. |
Para indicar o nível de classificação de certos parágrafos de determinado texto, podem ser utilizadas marcas de classificação sob forma de abreviaturas normalizadas. As abreviaturas não substituem as marcas de classificação por extenso. |
|
15. |
Nos documentos classificados da UE, podem ser utilizadas, para indicar o nível de classificação de secções ou blocos do texto com menos de uma página, as seguintes abreviaturas normalizadas:
|
Produção de ICUE
|
16. |
Ao produzir um documento classificado da UE:
|
|
17. |
Quando não for possível aplicar o disposto no ponto 16 às ICUE, são tomadas outras medidas adequadas nos termos das diretrizes de segurança [...] estabelecidas nos termos da presente decisão. |
Desgraduação e desclassificação de ICUE
|
18. |
Aquando da produção de ICUE, a entidade de origem indica, sempre que possível, especialmente se se tratar de informações com classificação RESTREINT UE/EU RESTRICTED, se as ICUE podem ser desgraduadas ou desclassificadas em determinada data ou após um dado acontecimento. |
|
19. |
O SEAE analisa regularmente as ICUE que se encontrem na sua posse, a fim de apurar se o respetivo nível de classificação continua a ser aplicável. O SEAE estabelece um sistema que permita proceder, pelo menos de cinco em cinco anos, à reanálise do nível de classificação das ICUE registadas que tiver produzido. Essa reanálise não é necessária se a entidade de origem tiver indicado à partida o momento específico em que as informações serão automaticamente desgraduadas ou desclassificadas e se nelas tiver sido aposta a marca correspondente. |
III. REGISTO DE ICUE PARA EFEITOS DE SEGURANÇA
|
20. |
É estabelecido um registo central na sede. Será estabelecido um registo responsável para cada entidade orgânica do SEAE em que sejam manuseadas ICUE, subordinado ao registo central, para assegurar que as informações classificadas da UE sejam manuseadas em conformidade com o disposto na presente decisão. Os registos são considerados Zonas de Segurança, tal como definidas no anexo A.
Cada delegação da União estabelece o seu próprio registo de ICUE. A Autoridade de Segurança do SEAE designa um chefe do Registo para estes registos. |
|
21. |
Para efeitos da presente decisão, entende-se por «registo para efeitos de segurança» (a seguir designado por «registo») a aplicação de procedimentos que registem o ciclo de vida das informações, incluindo a sua divulgação e destruição. Os SCI podem executar os procedimentos de registo recorrendo aos seus próprios processos. |
|
22. |
Todo o material com classificação CONFIDENTIEL UE/EU CONFIDENTIAL e superior é registado à entrada e à saída de uma entidade orgânica incluindo as delegações da União. As informações com classificação TRÈS SECRET UE/EU TOP SECRET são inscritas em registos próprios. |
|
23. |
O Registo Central é, na sede do SEAE, o principal ponto de entrada e de saída das informações classificadas que forem trocadas com Estados terceiros e organizações internacionais. Este conserva um registo de todos os intercâmbios. |
|
24. |
A Autoridade de Segurança do SEAE aprova diretrizes em matéria de segurança aplicáveis ao registo de ICUE para efeitos de segurança, em conformidade com o artigo 14.o da presente decisão. |
Registos de informações com classificação TRES SECRET UE/EU TOP SECRET
|
25. |
É designado na sede do SEAE o Registo Central, que atuará como autoridade central de receção e de envio de informações com classificação TRÈS SECRET UE/EU TOP SECRET. Se necessário, podem ser designados registos dependentes do registo central, a fim de manusear essas informações para efeitos de registo. |
|
26. |
Os registos dependentes não podem enviar documentos com classificação TRÈS SECRET UE/EU TOP SECRET diretamente a outros registos dependentes adstritos ao mesmo registo central TRÈS SECRET/EU TOP SECRET nem ao exterior sem a aprovação expressa deste último, concedida por escrito. |
IV. CÓPIA E TRADUÇÃO DE DOCUMENTOS CLASSIFICADOS DA UE
|
27. |
Os documentos com classificação TRÈS SECRET UE/EU TOP SECRET não podem ser copiados nem traduzidos sem o consentimento prévio, por escrito, da entidade de origem. |
|
28. |
Os documentos com classificação SECRET UE/EU SECRET ou inferior podem ser copiados ou traduzidos por ordem do detentor se a respetiva entidade de origem não tiver imposto restrições à sua cópia ou tradução. |
|
29. |
As medidas de segurança aplicáveis ao documento original são igualmente aplicáveis às respetivas cópias e traduções. As cópias de informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou superior só podem ser produzidas por um (sub)registo competente numa fotocopiadora de segurança. As cópias são registadas. |
V. TRANSPORTE DE ICUE
|
30. |
Aplicam-se ao transporte de ICUE as medidas de proteção estabelecidas nos pontos 32 a 42. Quando as ICUE forem transportadas por meios eletrónicos, e não obstante o artigo 7.o, n.o 4, do anexo A, as medidas de proteção a seguir estabelecidas podem ser complementadas por contramedidas técnicas adequadas que a Autoridade de Segurança do SEAE determinar, a fim de minimizar o risco de perda ou comprometimento. |
|
31. |
A Autoridade de Segurança do SEAE emite instruções para o transporte de ICUE, nos termos da presente decisão. |
No interior de um edifício ou bloco de edifícios
|
32. |
As ICUE transportadas dentro de um edifício ou bloco de edifícios devem ser cobertas para evitar que o seu conteúdo possa ser visto. |
|
33. |
No interior de um edifício ou bloco de edifícios, as informações com classificação TRÈS SECRET UE/EU TOP SECRET devem ser transportadas, por pessoas com credenciação de segurança adequada, num envelope de segurança que ostente apenas o nome do destinatário. |
Dentro do território da União Europeia
|
34. |
As ICUE transportadas entre edifícios ou instalações dentro do território da União Europeia devem ser acondicionadas de forma a ficarem protegidas de divulgação não autorizada. |
|
35. |
O transporte de informações com classificação até SECRET UE/EU SECRET dentro do território da União Europeia é efetuado por um dos seguintes meios:
Em caso de transporte de um Estado-Membro para outro, o disposto na alínea c) fica limitado a informações com classificação até CONFIDENTIEL UE/EU CONFIDENTIAL. |
|
36. |
O material classificado CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET (por exemplo, equipamento ou maquinaria) que não possa ser transportado pelos meios a que se refere o ponto 34 deve ser transportado como mercadoria por transportadoras comerciais em conformidade com o anexo A V. |
|
37. |
O transporte de informações com classificação TRÈS SECRET UE/EU TOP SECRET entre edifícios ou instalações dentro do território da União Europeia é efetuado por estafeta militar, correio oficial ou mala diplomática, consoante o caso. |
Do território da UE para o território de um Estado terceiro, ou entre entidades da UE em Estados terceiros
|
38. |
As ICUE transportadas do território da União Europeia para o território de um Estado terceiro, ou entre entidades da UE em Estados terceiros, devem ser acondicionadas de forma a ficarem protegidas de divulgação não autorizada. |
|
39. |
O transporte de informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET do território da UE para o território de um Estado terceiro, e o transporte de quaisquer informações com classificação até SECRET UE/EU SECRET entre entidades da UE em Estados terceiros é efetuado por um dos seguintes meios:
|
|
40. |
O transporte de informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET comunicadas pela UE a Estados terceiros ou organizações internacionais deve cumprir as disposições aplicáveis ao abrigo de acordos de segurança das informações ou de convénios administrativos nos termos do artigo 10.o, n.o 2 do anexo A. |
|
41. |
As informações com classificação RESTREINT UE/EU RESTRICTED podem também ser transportadas do território da União Europeia para o território de um Estado terceiro por serviços postais ou serviços comerciais de estafeta. |
|
42. |
O transporte de informações com classificação TRÈS SECRET UE/EU TOP SECRET do território da União Europeia para o território de um Estado terceiro, ou entre entidades da UE em Estados terceiros, é efetuado por estafeta militar ou mala diplomática. |
VI. DESTRUIÇÃO DE ICUE
|
43. |
Os documentos classificados da UE que deixem de ser necessários podem ser destruídos, sem prejuízo das regras e regulamentações pertinentes em matéria de arquivo. |
|
44. |
Os documentos que devam ser registados nos termos do artigo 7.o, n.o 2, do anexo A são destruídos pelo registo responsável por ordem do detentor ou de uma autoridade competente. Os livros de registos e outras informações a registar são atualizados em conformidade. |
|
45. |
A destruição dos documentos com classificação SECRET UE/EU SECRET ou TRÈS SECRET UE/EU TOP SECRET é efetuada na presença de uma testemunha, que deve possuir credenciação equivalente, pelo menos, ao nível de classificação dos documentos a destruir. |
|
46. |
O funcionário do registo e a testemunha, sempre que a presença desta seja exigida, assinam um certificado de destruição, que é arquivado no registo. O registo conserva os certificados de destruição de documentos TRÈS SECRET UE/EU TOP SECRET durante um período mínimo de dez anos e os dos documentos com classificação CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET durante um período mínimo de cinco anos. |
|
47. |
Os documentos classificados, incluindo os documentos com classificação RESTREINT UE/EU RESTRICTED, são destruídos por métodos que respeitem as normas aplicáveis da UE ou normas equivalentes ou que tenham sido aprovados pelos Estados-Membros em conformidade com as normas técnicas nacionais, de modo a impedir a sua reconstituição total ou parcial. |
|
48. |
A destruição dos suportes informáticos de ICUE é efetuada em conformidade com os procedimentos aprovados pela Autoridade de Segurança do SEAE. |
VII. INSPEÇÕES DE SEGURANÇA
Inspeções de Segurança do SEAE
|
49. |
Nos termos do artigo 16.o da presente decisão, as inspeções de segurança do SEAE englobam:
|
Realização de inspeções de segurança do SEAE e respetivos relatórios
|
50. |
As inspeções de segurança do SEAE são realizadas por uma equipa de inspeção da direção responsável pela segurança da sede e pela segurança das informações do SEAE e, se necessário, com o apoio de peritos em segurança de outras instituições de UE ou dos Estados-Membros.
A equipa de inspeção tem acesso a todos os locais em que sejam manuseadas ICUE, designadamente registos e pontos de presença de SCI. |
|
51. |
As inspeções de segurança do SEAE em delegações da União são realizadas, em coordenação com a direção responsável pelo Centro de Resposta a Situações de Crise e, sempre que necessário, com o apoio dos oficiais de segurança das embaixadas dos Estados-Membros localizadas nos países terceiros. |
|
52. |
Antes do final de cada ano civil, a Autoridade de Segurança do SEAE aprova um programa de inspeção de segurança para o SEAE para o ano seguinte. |
|
53. |
Sempre que necessário, a Autoridade de Segurança do SEAE pode organizar inspeções de segurança não previstas no programa acima referido. |
|
54. |
No final da inspeção de segurança, são apresentadas à entidade inspecionada as principais conclusões e recomendações. Em seguida, é elaborado um relatório de inspeção pela equipa de inspeção. Caso tenham sido propostas medidas corretivas e formuladas recomendações, devem constar do relatório os elementos necessários para corroborar as conclusões tiradas. O relatório é enviado à Autoridade de Segurança do SEAE, ao diretor do Centro de Resposta a Situações de Crise, no que diz respeito às inspeções de segurança nas delegações da União, e ao chefe da entidade inspecionada.
É elaborado, sob a responsabilidade da direção responsável pela segurança da sede e pela segurança das informações do SEAE, um relatório periódico que deve destacar os ensinamentos recolhidos das inspeções efetuadas durante um período determinado, sendo esse relatório analisado pelo Comité de Segurança do SEAE. |
Realização de inspeções de segurança em órgãos e organismos da UE e apresentação dos respetivos relatórios nos termos do Capítulo 2 do Título V do TUE
|
55. |
A direção responsável pela segurança da sede e pela segurança das informações do SEAE pode, se adequado, destacar peritos auxiliares para participar em equipas conjuntas de inspeção da UE que realizem inspeções a órgãos e organismos da UE instituídos nos termos do Capítulo 2 do Título V do TUE. |
Lista de controlo para inspeções de segurança do SEAE
|
56. |
A direção responsável pela segurança da sede e pela segurança das informações do SEAE elabora e atualiza uma lista de controlo dos pontos a verificar durante as inspeções de segurança do SEAE. A referida lista de controlo é remetida ao Comité de Segurança do SEAE. |
|
57. |
As informações necessárias para completar a lista de controlo são obtidas, nomeadamente durante a inspeção, junto dos serviços de gestão da segurança da entidade inspecionada. Uma vez completada com as respostas pormenorizadas, a lista de controlo é classificada de comum acordo com a entidade inspecionada. Esta lista não faz parte do relatório de inspeção. |
ANEXO A IV
PROTEÇÃO DAS ICUE MANUSEADAS EM SCI
I. INTRODUÇÃO
|
1. |
O presente anexo estabelece as regras de execução do artigo 8.o do anexo A. |
|
2. |
Para a segurança e o funcionamento correto das operações em Sistemas de Comunicação e Informação (SCI) são essenciais as seguintes propriedades e conceitos de Garantia da Informação (GI):
|
II. PRINCÍPIOS DA GARANTIA DAS INFORMAÇÕES
|
3. |
As disposições adiante estabelecidas constituem a base da segurança dos SCI em que sejam manuseadas ICUE. São definidos nas diretrizes de segurança em matéria de GI requisitos pormenorizados para a execução das presentes disposições. |
Gestão dos riscos de segurança
|
4. |
A gestão dos riscos de segurança constitui parte integrante da definição, do desenvolvimento, da exploração e da manutenção do SCI. A gestão de risco (avaliação, tratamento, aceitação e comunicação) é conduzida como um processo iterativo em que participam conjuntamente os representantes dos proprietários do sistema, as autoridades de projeto, as autoridades operacionais e as autoridades de aprovação de segurança, utilizando um processo de avaliação dos riscos comprovado, transparente e plenamente compreensível para todos. O alcance do SCI e os seus ativos são claramente definidos logo no início do processo de gestão de risco. |
|
5. |
As autoridades competentes do SEAE analisam as potenciais ameaças para o SCI e fazem avaliações rigorosas e atualizadas da ameaça que reflitam o ambiente operacional vigente. Atualizam constantemente o seu conhecimento de questões relacionadas com as vulnerabilidades e procederão periodicamente à reanálise da avaliação das vulnerabilidades por forma a acompanhar a evolução do ambiente das tecnologias da informação (TI). |
|
6. |
O objetivo da gestão dos riscos de segurança consiste em aplicar um conjunto de medidas de segurança que resulte num compromisso satisfatório entre os requisitos do utilizador e o risco de segurança residual. |
|
7. |
Os requisitos, a escala e o grau de pormenor específicos determinados pela Autoridade de Acreditação de Segurança (AAS) competente para proceder à acreditação de um SCI devem ser proporcionais ao risco avaliado, tendo em conta todos os fatores pertinentes, nomeadamente o nível de classificação das ICUE manuseadas no SCI. A acreditação deve incluir uma declaração formal de risco residual e a aceitação do risco residual por uma autoridade responsável. |
Segurança ao longo do ciclo de vida do SCI
|
8. |
Há que garantir a segurança ao longo de todo o ciclo de vida do SCI, desde o início até à retirada de serviço. |
|
9. |
Para cada fase do ciclo de vida, são identificadas as funções de cada um dos intervenientes no SCI e a interação entre eles em termos de segurança do sistema. |
|
10. |
Os SCI, incluindo as medidas de segurança, tanto de caráter técnico como não técnico, são submetidos a ensaios de segurança durante o processo de acreditação, a fim de assegurar um nível de garantia adequado das medidas de segurança implementadas e de verificar se os sistemas estão corretamente implementados, integrados e configurados. |
|
11. |
São periodicamente efetuadas avaliações, inspeções e análises de segurança durante o funcionamento e a manutenção dos SCI, e quando ocorrerem circunstâncias excecionais. |
|
12. |
A documentação de segurança do SCI evolui ao longo do seu ciclo de vida enquanto parte integrante do processo de gestão da mudança e da configuração. |
Melhores práticas
|
13. |
O SEAE colabora com o SGC, a Comissão e os Estados-Membros no desenvolvimento das melhores práticas para proteção das ICUE manuseadas nos SCI. As orientações em matéria de melhores práticas apresentam medidas de segurança de natureza técnica, física, organizacional e processual para os SCI, de comprovada eficácia na luta contra determinadas ameaças e vulnerabilidades. |
|
14. |
A proteção de ICUE manuseadas nos SCI baseia-se na experiência adquirida pelas entidades envolvidas na GI, tanto dentro como fora da UE. |
|
15. |
A divulgação e subsequente implementação das melhores práticas devem ajudar a atingir um nível de garantia equivalente no que respeita aos vários SCI explorados pelo SEAE e em que são manuseadas ICUE. |
Defesa em profundidade
|
16. |
Para atenuar os riscos que pesam sobre os SCI, é posta em prática uma série de medidas de segurança, de natureza técnica e não técnica, organizadas em múltiplos estratos de defesa. Estas medidas são as seguintes:
O grau de rigor e de aplicabilidade destas medidas de segurança é determinado após uma avaliação dos riscos. |
|
17. |
As autoridades competentes do SEAE devem ter capacidade de resposta a incidentes suscetíveis de ultrapassar as fronteiras de uma organização ou de um país, a fim de coordenar as respostas e de partilhar informações sobre esses incidentes e os riscos deles resultantes (capacidades de resposta a emergências informáticas). |
Princípio da minimalidade e do menor privilégio
|
18. |
Para evitar riscos desnecessários, só são ativadas as funcionalidades, os dispositivos e os serviços essenciais para satisfazer os requisitos operacionais. |
|
19. |
Para limitar os danos que possam resultar de acidentes, de erros ou da utilização não autorizada dos recursos do SCI, os seus utilizadores e processos automatizados beneficiam unicamente de acesso, de privilégios ou de autorizações que forem indispensáveis ao desempenho das suas funções. |
|
20. |
Os procedimentos de registo cumpridos pelo SCI são, sempre que necessário, verificados no âmbito do processo de acreditação. |
Sensibilização para a Garantia da Informação
|
21. |
A sensibilização para os riscos e para as medidas de segurança disponíveis constitui a primeira linha de defesa da segurança dos sistemas de comunicação e informação. Mais concretamente, todos os elementos do pessoal envolvido no ciclo de vida dos SCI, incluindo os utilizadores, devem compreender que:
|
|
22. |
A fim de assegurar uma boa perceção das responsabilidades em matéria de segurança, os cursos de formação e sensibilização para a GI são obrigatórios para todo o pessoal envolvido, incluindo os funcionários que ocupem lugares de direção e os utilizadores dos SCI. |
Avaliação e aprovação de produtos de segurança informática
|
23. |
O grau de confiança necessário nas medidas de segurança, definido como um nível de garantia, será determinado à luz dos resultados do processo de gestão de risco e de acordo com as políticas e diretrizes de segurança aplicáveis. |
|
24. |
O nível de garantia é verificado mediante a utilização de metodologias e processos reconhecidos internacionalmente ou aprovados a nível nacional, de entre os quais se destacam a avaliação, os controlos e as auditorias. |
|
25. |
Os produtos criptográficos de proteção de ICUE são avaliados e aprovados por uma autoridade nacional de aprovação criptográfica (AAC) de um Estado-Membro. |
|
26. |
Antes de a sua aprovação ser recomendada à AAC do SEAE, nos termos do artigo 8.o, n.o 5, da presente decisão, os produtos criptográficos devem ter sido já avaliados positivamente por uma segunda parte, ou seja, a Autoridade de Avaliação Habilitada (AQUA) de um Estado-Membro que não esteja envolvido na conceção nem no fabrico do equipamento. O grau de pormenor exigido numa avaliação por uma segunda parte depende do nível de classificação máximo previsto para as ICUE a proteger pelos referidos produtos. |
|
27. |
Quando tal se justifique por razões operacionais específicas, a AAC do SEAE pode, por recomendação do Comité de Segurança do Conselho, dispensar o cumprimento dos requisitos previstos nos pontos 25 ou 26 e conceder uma aprovação provisória por um período específico, nos termos do artigo 8.o, n.o 5, da presente decisão. |
|
28. |
A AQUA é uma AAC de um Estado-Membro que tenha sido acreditada com base em critérios definidos pelo Conselho para realizar a segunda avaliação dos produtos criptográficos destinados a proteger as ICUE. |
|
29. |
O alto representante aprova uma política de segurança aplicável às qualificações e à aprovação de produtos não criptográficos de segurança informática. |
Transmissão dentro de Zonas de Segurança
|
30. |
Não obstante o disposto na presente decisão, quando a transmissão de ICUE se realizar dentro de Zonas de Segurança ou Zonas Administrativas, pode ser utilizada a distribuição não cifrada ou a cifragem a um nível inferior, com base nos resultados de um processo de gestão de risco e sob reserva de aprovação da AAS. |
Interconexão segura dos SCI
|
31. |
Para efeitos da presente decisão, entende-se por «interconexão» a conexão direta, unidirecional ou multidirecional, de dois ou mais sistemas informáticos para efeitos de partilha de dados e de outros recursos de informação (por exemplo, comunicação). |
|
32. |
O SCI trata qualquer sistema informático com ele interconectado como não fiável e toma medidas de proteção para controlar o intercâmbio de informações classificadas. |
|
33. |
Todas as interconexões de SCI com outro sistema informático obedecem aos seguintes requisitos básicos:
|
|
34. |
Não pode haver interconexão entre um SCI acreditado e uma rede desprotegida ou pública, a não ser que o SCI tenha aprovado um BPS instalado para esse efeito entre o SCI e a rede desprotegida ou pública. As medidas de segurança aplicáveis a estas interconexões são avaliadas pela Autoridade de Garantia da Informação (AGI) competente e aprovadas pela AAS competente.
Quando a rede desprotegida ou pública for exclusivamente utilizada como transmissora e os dados forem cifrados por um produto criptográfico aprovado nos termos do artigo 8.o, n.o 5, da presente decisão, não se considera essa conexão como uma interconexão. |
|
35. |
É proibida a interconexão direta ou em cascata entre SCI acreditados para manusear informações com classificação TRES SECRET UE/EU TOP SECRET e redes desprotegidas ou públicas. |
Suportes informáticos
|
36. |
Os suportes informáticos deve ser destruídos segundo procedimentos aprovados pela Autoridade de Segurança do SEAE. |
|
37. |
Os suportes informáticos devem ser reutilizados, desgraduados ou desclassificados segundo as diretrizes do SEAE relativas à desgraduação e desclassificação de ICUE estabelecidas nos termos do artigo 8.o, n.o 2, da presente decisão. |
Circunstâncias de emergência
|
38. |
Não obstante o disposto na presente decisão, os procedimentos específicos a seguir descritos podem ser aplicados, durante um período limitado, numa emergência, nomeadamente em situações de crise iminente ou real, de conflito ou de guerra, ou em circunstâncias operacionais excecionais. |
|
39. |
As ICUE podem ser transmitidas por meio de produtos criptográficos aprovados para um nível de classificação inferior, ou sem cifragem, mediante o consentimento da autoridade competente, se o prejuízo causado por um atraso for claramente mais grave do que o decorrente da eventual divulgação do material classificado, e se:
|
|
40. |
As informações classificadas transmitidas nas circunstâncias referidas no ponto 39 não podem ostentar marcas nem indicações que as distingam de informações não classificadas ou de informações que possam ser protegidas por produtos de cifragem disponíveis. Os destinatários são imediatamente notificados, por outros meios, do nível de classificação das informações. |
|
41. |
Em caso de recurso ao disposto no ponto 39, é subsequentemente apresentado um relatório nessa matéria à direção responsável pela segurança da sede e pela segurança das informações do SEAE e, por esta, ao Comité de Segurança do SEAE. Este relatório deve indicar, pelo menos, o remetente, o destinatário e a entidade de origem de cada ICUE. |
III. FUNÇÕES E AUTORIDADES DE GARANTIA DA INFORMAÇÃO
|
42. |
São criadas no SEAE as funções GI a seguir enunciadas. As funções em causa não implicam a existência de entidades orgânicas únicas. Têm mandatos independentes. Contudo, aquelas funções, e as responsabilidades que lhes estão associadas, podem ser combinadas ou integradas na mesma entidade orgânica ou repartidas por diferentes entidades orgânicas, desde que sejam evitados conflitos internos de interesses ou funções. |
Autoridade de Garantia da Informação (AGI)
|
43. |
Cabe à AGI:
|
Autoridade TEMPEST
|
44. |
Cabe à Autoridade TEMPEST (AT) garantir a conformidade dos SCI com as políticas e diretrizes TEMPEST. A AT procede à aprovação de contramedidas TEMPEST aplicáveis a instalações e produtos destinados a proteger as ICUE, no seu ambiente operacional, até um determinado nível de classificação. |
Autoridade de Aprovação Criptográfica (AAC)
|
45. |
Cabe à AAC garantir a conformidade dos produtos criptográficos com as respetivas diretrizes em matéria de cifragem. A AAC aprova um produto criptográfico destinado a proteger as ICUE, no seu ambiente operacional, até um determinado nível de classificação. |
Autoridade de Distribuição Criptográfica (ADC)
|
46. |
Cabe à ADC:
|
Autoridade de Acreditação de Segurança (AAS)
|
47. |
Cabe à Autoridade de Acreditação de Segurança (AAS), relativamente a cada sistema:
|
|
48. |
Cabe à AAS do SEAE proceder à acreditação de todos os SCI que operem no âmbito do mandato do SEAE. |
Conselho de Acreditação de Segurança (CAS)
|
49. |
Cabe a um Conselho Conjunto de Acreditação de Segurança proceder à acreditação dos SCI no âmbito dos mandatos respetivos da AAS do SEAE e das AAS dos Estados-Membros. O Conselho Conjunto é composto por um representante da AAS de cada Estado-Membro, nele participando um representante da AAS do SGC e da Comissão. São convidadas a participar nas reuniões outras entidades com nódulos num SCI quando for debatido o sistema em causa.
O Conselho de Acreditação de Segurança é presidido por um representante da AAS do SEAE. Delibera por consenso dos representantes das AAS das instituições, dos Estados-Membros e de outras entidades com nódulos no SCI. Apresenta periodicamente um relatório de atividades ao Comité de Segurança do SEAE e notifica-o de todas as declarações de acreditação. |
Autoridade Operacional de Garantia da Informação
|
50. |
Cabe à Autoridade Operacional de GI, relativamente a cada sistema:
|
ANEXO A V
SEGURANÇA INDUSTRIAL
I. INTRODUÇÃO
|
1. |
O presente anexo estabelece as regras de execução do artigo 9.o do anexo A. Estabelece as disposições gerais de segurança aplicáveis a entidades industriais ou outras no âmbito das negociações pré-contratuais e durante a vigência dos contratos classificados celebrados pelo SEAE. |
|
2. |
A Autoridade de Segurança do SEAE aprova diretrizes em matéria de segurança industrial que estabeleçam, nomeadamente, os requisitos pormenorizados aplicáveis às Credenciações de Segurança de Empresa (CSE), às Cláusulas Adicionais de Segurança (CAS), às visitas, à transmissão e ao transporte de ICUE. |
II. ELEMENTOS DE SEGURANÇA DOS CONTRATOS CLASSIFICADOS
Guia da Classificação de Segurança (GCS)
|
3. |
Antes de lançar concursos públicos ou de celebrar contratos classificados, o SEAE, enquanto entidade contratante, determina qual a classificação de segurança das informações a fornecer aos proponentes e contratantes, bem como de todas as informações a produzir pelos contratantes. Para o efeito, o SEAE prepara um guia de classificação de segurança (GCS) que será utilizado na execução do contrato. |
|
4. |
Para determinar qual a classificação de segurança dos diferentes elementos de um contrato classificado, são aplicáveis os seguintes princípios:
|
Cláusula Adicional de Segurança (CAS)
|
5. |
Os requisitos de segurança específicos do contrato são descritos numa CAS. Esta CAS compreende, sempre que necessário, o guia de classificação de segurança e faz parte integrante do contrato ou subcontrato classificado. |
|
6. |
A CAS deve conter disposições que exijam que o contratante e/ou o subcontratante cumpram as normas mínimas estabelecidas na presente decisão. O incumprimento dessas normas mínimas pode constituir motivo suficiente para rescisão do contrato. |
Instruções de Segurança do Programa/Projeto (ISP)
|
7. |
Em função do âmbito dos programas ou projetos que impliquem acesso, manuseamento ou armazenamento de ICUE, a entidade contratante designada para efeitos da gestão do programa ou projeto pode elaborar Instruções específicas de Segurança do Programa/Projeto (ISP). As ISP devem ser aprovadas pelas ANS/ASD ou por quaisquer outras autoridades de segurança competentes dos Estados-Membros que participem no programa/projeto e podem prever requisitos de segurança adicionais. |
III. CREDENCIAÇÃO DE SEGURANÇA DA EMPRESA (CSE)
|
8. |
A direção responsável pela segurança da sede e pela segurança das informações do SEAE solicita a concessão de uma CSE à ANS ou ASD ou a qualquer outra autoridade de segurança competente de um Estado-Membro, a fim de atestar, nos termos das disposições legislativas e regulamentares nacionais, que determinada entidade industrial ou outra têm condições para proteger as ICUE ao nível de classificação adequado (CONFIDENTIEL UE/EU CONFIDENTIAL ou SECRET UE/EU SECRET) dentro das respetivas instalações. O acesso a ICUE por parte de contratantes, subcontratantes, potenciais contratantes ou subcontratantes só será concedido após confirmação da transmissão da CSE ao SEAE. |
|
9. |
Se necessário, o SEAE, enquanto entidade contratante, informará a ANS/ASD competente, ou qualquer outra autoridade de segurança competente, de que é necessária uma CSE para a fase pré-contratual ou para a execução do contrato. É exigida uma CSE ou uma CSP para a fase pré-contratual quando haja que fornecer ICUE com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou SECRET UE/EU SECRET durante o processo de apresentação das propostas. |
|
10. |
O SEAE, enquanto entidade contratante, não adjudica nenhum contrato classificado ao proponente preferido antes de ter recebido, da ANS/ASD ou de qualquer outra autoridade de segurança competente do Estado-Membro em que o contratante ou subcontratante estiver registado, a confirmação de que, se exigível, foi emitida a CSE adequada. |
|
11. |
O SEAE, enquanto entidade contratante, solicita à ANS ou ASD ou a qualquer outra autoridade de segurança competente emissora de uma CSE que o notifique de eventuais informações adversas que afetem a CSE. No caso da subcontratação, a ANS/ASD ou qualquer outra autoridade de segurança competente é informada em conformidade. |
|
12. |
A retirada de uma CSE por parte da ANS/ASD ou de qualquer outra autoridade de segurança competente constitui motivo suficiente para que o SEAE, enquanto entidade contratante, ponha termo a um contrato classificado ou exclua do concurso um dos proponentes. |
IV. CREDENCIAÇÃO DE SEGURANÇA DO PESSOAL (CSP) PARA O PESSOAL DOS CONTRATANTES
|
13. |
O pessoal que trabalhe para contratantes que exijam acesso a ICUE com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou superior deve possuir a devida credenciação de segurança e ter necessidade de tomar conhecimento das informações. Embora não seja necessária uma CSP para ter acesso a ICUE ao nível da classificação RESTREINT UE/EU RESTRICTED, deve haver necessidade de tomar conhecimento dessas informações. |
|
14. |
As candidaturas para CSP para o pessoal de contratantes são submetidas à ANS/ASD responsável pela entidade. |
|
15. |
O SEAE chama a atenção dos contratantes que tencionem contratar cidadãos de Estados terceiros para cargos que exijam o acesso a ICUE para o facto de que cabe à ANS/ASD do Estado-Membro em que tenha sido constituída e esteja sediada a entidade contratante determinar se às pessoas em questão pode ser concedido acesso a essas informações, de acordo com a presente decisão, e confirmar que foi dado consentimento por parte da entidade de origem antes de o referido acesso ser concedido. |
V. CONTRATOS E SUBCONTRATOS CLASSIFICADOS
|
16. |
Quando forem fornecidas ICUE aos proponentes na fase pré-contratual, o aviso de concurso deve conter uma disposição que obrigue aqueles que não cheguem a apresentar proposta ou cuja proposta não seja selecionada a devolver todos os documentos classificados num prazo determinado. |
|
17. |
Após a adjudicação de um contrato ou subcontrato classificado, o SEAE, enquanto entidade contratante, informa a ANS/ASD ou qualquer outra autoridade de segurança competente do contratante ou do subcontratante acerca das disposições de segurança do contrato classificado. |
|
18. |
Em caso de rescisão ou do termo desses contratos, o SEAE, enquanto entidade contratante (e/ou a ANS/ASD ou qualquer outra autoridade de segurança competente, consoante o caso, no caso de subcontratos), informa imediatamente desse facto a ANS/ASD ou qualquer outra autoridade de segurança competente do Estado-Membro em que o contratante ou subcontratante estiver registado. |
|
19. |
Aquando da rescisão ou do termo do contrato classificado, o contratante ou subcontratante deve, regra geral, restituir à entidade contratante quaisquer ICUE que se encontrem na sua posse. |
|
20. |
São estabelecidas na CAS disposições específicas referentes à eliminação de ICUE durante a fase de execução do contrato, ou após o seu termo ou rescisão. |
|
21. |
Quando o contratante ou subcontratante for autorizado a conservar ICUE após o termo ou rescisão do contrato, as normas mínimas estabelecidas na presente decisão devem continuar a ser cumpridas e a confidencialidade das ICUE deve ser protegida pelo contratante ou subcontratante. |
|
22. |
As condições em que o contratante pode subcontratar são definidas no convite à apresentação de propostas e no contrato. |
|
23. |
Antes de procederem à subcontratação de partes de contratos classificados, os contratantes devem obter autorização do SEAE, enquanto entidade contratante. Nenhum subcontrato pode ser celebrado com entidades industriais ou outras registadas num Estado que não seja membro da União Europeia e com o qual a União não tenha celebrado nenhum acordo de segurança das informações. |
|
24. |
É da responsabilidade do contratante garantir que todas as atividades de subcontratação respeitem as normas mínimas estabelecidas na presente decisão, não devendo fornecer ICUE a nenhum subcontratante sem o prévio consentimento escrito da entidade contratante. |
|
25. |
Os direitos de entidade de origem das ICUE que o contratante ou subcontratante tiver produzido ou manuseado são exercidos pela entidade contratante. |
VI. VISITAS ASSOCIADAS A CONTRATOS CLASSIFICADOS
|
26. |
Quando o SEAE ou quaisquer contratantes ou subcontratantes precisem de aceder a informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou SECRET UE/EU SECRET nas instalações uns dos outros para a execução de um contrato classificado, são organizadas visitas em ligação com as ANS/ASD ou quaisquer outras autoridades de segurança competentes a que o assunto diga respeito. Esta disposição aplica-se sem prejuízo da prerrogativa das ANS/ASD, no contexto de projetos específicos, para chegar a acordo sobre os procedimentos relativos à organização direta dessas visitas. |
|
27. |
Para aceder às ICUE relacionadas com o contrato do SEAE, todos os visitantes devem possuir a devida CSP e ter necessidade de tomar conhecimento dessas informações. |
|
28. |
Apenas será concedido aos visitantes acesso às ICUE relacionadas com a finalidade da visita. |
VII. TRANSMISSÃO E TRANSPORTE DE ICUE
|
29. |
Para efeitos de transmissão de ICUE por meios eletrónicos são aplicáveis as disposições pertinentes do artigo 8.o do anexo A e do anexo A IV. |
|
30. |
Para efeitos de transporte de ICUE, são aplicáveis as disposições pertinentes do anexo A III, nos termos das disposições legislativas e regulamentares nacionais. |
|
31. |
Para o transporte de material classificado como mercadoria, são aplicados os seguintes princípios aquando da determinação dos mecanismos de segurança:
|
VIII. TRANSFERÊNCIA DE ICUE PARA CONTRATANTES ESTABELECIDOS EM ESTADOS TERCEIROS
|
32. |
A transferência de ICUE para contratantes e subcontratantes estabelecidos em Estados terceiros que tenham acordos de segurança válidos com a UE faz-se de acordo com as medidas de segurança acordadas entre o SEAE, enquanto entidade contratante, e a ANS/ASD do Estado terceiro em que o contratante se encontre registado. |
IX. MANUSEAMENTO E ARMAZENAMENTO DE INFORMAÇÕES COM CLASSIFICAÇÃO RESTREINT UE/EU RESTRICTED
|
33. |
Enquanto entidade contratante e com base nas disposições contratuais, assiste ao SEAE, em ligação com a ANS/ASD do Estado-Membro, consoante o caso, o direito de efetuar visitas às instalações dos contratantes ou subcontratantes, para verificar se foram tomadas as medidas de segurança necessárias à proteção das ICUE de nível RESTREINT UE/EU RESTRICTED nos termos do contrato. |
|
34. |
Na medida do necessário, ao abrigo das disposições legislativas e regulamentares nacionais, as ANS/ASD ou quaisquer outras autoridades de segurança competentes são informadas pelo SEAE, na qualidade de entidade contratante, de contratos ou subcontratos que envolvam informações com classificação RESTREINT UE/EU RESTRICTED. |
|
35. |
Não é necessário que os contratantes ou subcontratantes e respetivo pessoal possuam CSE nem CSP para a execução de contratos celebrados pelo SEAE que envolvam informações com classificação RESTREINT UE/EU RESTRICTED. |
|
36. |
Não obstante as exigências de CSE ou CSP eventualmente previstas nas disposições legislativas e regulamentares nacionais, o SEAE, enquanto entidade contratante, analisa as candidaturas apresentadas em concursos para adjudicação de contratos que exijam acesso a informações com classificação RESTREINT UE/EU RESTRICTED. |
|
37. |
As condições em que o contratante pode recorrer à subcontratação devem respeitar o disposto nos pontos 22 a 24. |
|
38. |
Quando um contrato implicar o manuseamento de informações com classificação RESTREINT UE/EU RESTRICTED num SCI explorado por um contratante, o SEAE, enquanto entidade contratante, assegura que o contrato ou eventual subcontrato especifique os requisitos técnicos e administrativos necessários à acreditação do SCI que sejam proporcionais ao risco avaliado, tendo em conta todos os fatores pertinentes. O alcance da acreditação do SCI é acordado entre a entidade contratante e a ANS/ASD competente. |
ANEXO A VI
INTERCÂMBIO DE INFORMAÇÕES CLASSIFICADAS COM ESTADOS TERCEIROS E ORGANIZAÇÕES INTERNACIONAIS
I. INTRODUÇÃO
|
1. |
O presente anexo estabelece as regras de execução do artigo 10.o do anexo A. |
II. QUADROS REGULAMENTARES QUE REGEM O INTERCÂMBIO DE INFORMAÇÕES CLASSIFICADAS
|
2. |
O SEAE pode trocar ICUE com Estados terceiros ou organizações internacionais de acordo com o artigo 10.o, n.o 1, do anexo A.
A fim de apoiar o AR na execução das responsabilidades previstas no artigo 218.o do TFUE:
|
|
3. |
Quando os acordos de segurança das informações prevejam modalidades técnicas de execução a acordar entre a direção responsável pela segurança da sede e pela segurança das informações do SEAE e a autoridade de segurança competente do Estado terceiro ou organização internacional em questão, tais modalidades devem ter em conta o nível de proteção previsto nas regras, nas estruturas e nos procedimentos de segurança existentes no Estado terceiro ou organização internacional em causa. A direção responsável pela segurança da sede e pela segurança das informações do SEAE coordena-se com a Direção de Segurança da Direção-Geral dos Recursos Humanos e da Segurança da Comissão e com o Gabinete de Segurança do Secretariado-Geral do Conselho no que diz respeito a esses acordos. |
|
4. |
Quando o SEAE tenha, a longo prazo, necessidade de proceder ao intercâmbio de informações com classificação não superior a RESTREINT UE/EU RESTRICTED com um Estado terceiro ou organização internacional, e se tenha determinado que a parte em questão não dispõe de um sistema de segurança suficientemente desenvolvido para que seja possível celebrar um acordo de segurança das informações, o AR pode, após obtenção do parecer favorável por unanimidade do Comité de Segurança do SEAE de acordo com o artigo 15.o, n.o 5, da presente decisão, celebrar um convénio administrativo com as autoridades competentes do Estado terceiro ou organização internacional em questão. |
|
5. |
Não podem ser trocadas ICUE por meios eletrónicos com Estados terceiros ou organizações internacionais, a não ser que tal se encontre expressamente previsto nos acordos de segurança das informações ou convénios administrativos. |
|
6. |
Nos termos de um eventual convénio administrativo relativo ao intercâmbio de informações classificadas, o SEAE e o Estado terceiro ou a organização internacional designam um registo como principal ponto de entrada e de saída das informações classificadas trocadas. No caso do SEAE, este é o registo central do SEAE. |
|
7. |
Regra geral, os convénios administrativos assumem a forma de troca de cartas. |
III VISITAS DE AVALIAÇÃO
|
8. |
As visitas de avaliação a que se refere o artigo 17.o da presente decisão são realizadas de comum acordo com o Estado terceiro ou a organização internacional pertinente, e devem avaliar:
|
|
9. |
Só se procede ao intercâmbio de ICUE após uma visita de avaliação e depois de ser determinado o nível a que as informações classificadas podem ser trocadas entre as partes, com base na equivalência do nível de proteção que lhes será atribuído.
Se, enquanto se aguarda a visita de avaliação, o AR tomar conhecimento da existência de razões excecionais ou urgentes para o intercâmbio de informações classificadas, a Autoridade de Segurança do SEAE:
Se o SEAE não conseguir identificar a entidade de origem, a Autoridade de Segurança do SEAE assume esta responsabilidade em seu lugar, após obtenção do parecer favorável por unanimidade do Comité de Segurança do SEAE. |
IV. AUTORIDADE PARA A COMUNICAÇÃO DE ICUE A ESTADOS TERCEIROS OU ORGANIZAÇÕES INTERNACIONAIS
|
10. |
Se existir um dos quadros a que se refere o artigo 10.o, n.o 1, do anexo A para o intercâmbio de informações classificadas com um Estado terceiro ou organização internacional, a decisão de o SEAE comunicar ICUE a um Estado terceiro ou organização internacional é tomada pela Autoridade de Segurança do SEAE. |
|
11. |
Se a entidade de origem das informações classificadas a comunicar, incluindo as entidades de origem do material de referência que possam conter, não for o SEAE, a Autoridade de Segurança do SEAE solicita à entidade de origem que dê, por escrito, o consentimento prévio a fim de determinar que não há objeções à comunicação das informações. Se o SEAE não conseguir identificar a entidade de origem, a Autoridade de Segurança do SEAE assume esta responsabilidade em seu lugar, após obtenção do parecer favorável por unanimidade dos Estados-Membros representados no Comité de Segurança do SEAE. |
V. COMUNICAÇÃO AD HOC DE ICUE A TÍTULO EXCECIONAL
|
12. |
Na ausência de um dos quadros a que se refere o artigo 10.o, n.o 1, do anexo A, e sempre que os interesses da UE ou de um ou mais dos seus Estados-Membros exijam a comunicação de ICUE por razões políticas, operacionais ou urgentes, as ICUE podem excecionalmente ser comunicadas a um Estado terceiro ou a uma organização internacional após a aplicação das medidas abaixo indicadas.
Após assegurar que estão cumpridas as condições referidas no ponto 11, a Autoridade de Segurança do SEAE:
|
|
13. |
Na ausência de um dos quadros a que se refere o artigo 10.o, n.o 1, do anexo A, a terceira parte em questão assume o compromisso, por escrito, de proteger devidamente as ICUE. |
Apêndice A
Definições
Para efeitos da presente decisão, entende-se por:
|
a) |
«Acreditação», o processo que conduz a uma declaração formal, emitida pela Autoridade de Acreditação de Segurança (AAS), segundo a qual um dado sistema está aprovado para funcionar com um determinado nível de classificação, num determinado modo de segurança no seu ambiente operacional e a um nível de risco aceitável, com base na premissa de que foi implementado um conjunto aprovado de medidas de segurança de caráter técnico, físico, organizacional e processual; |
|
b) |
«Ativo», tudo o que é útil para uma organização, para as suas atividades e para a continuidade destas, nomeadamente os recursos de informação que a apoiam no desempenho das suas funções; |
|
c) |
«Autorização de acesso a ICUE», uma autorização da Autoridade de Segurança do SEAE conferida nos termos da presente decisão após emissão de uma CSP pelas autoridades competentes de um Estado-Membro e que atesta que uma pessoa pode, se comprovada a sua necessidade de tomar conhecimento de tais informações, ser autorizada a aceder a ICUE até determinado nível (CONFIDENTIEL UE/EU CONFIDENTIAL ou superior) até determinada data — nos termos do artigo 2.o do anexo A I; |
|
d) |
«Quebra», os atos ou omissões de uma pessoa que são contrários às regras de segurança estabelecidas na presente decisão e/ou às políticas de segurança ou diretrizes que estabeleçam medidas necessárias para a sua implementação; |
|
e) |
«Ciclo de vida do SCI», todo o período de existência do SCI, que compreende as fases da iniciativa, conceção, planeamento, análise dos requisitos, projeto, desenvolvimento, ensaio, implementação, exploração, manutenção e desativação; |
|
f) |
«Contrato classificado», o contrato celebrado pelo SEAE com um contratante para o fornecimento de bens, a execução de obras ou a prestação de serviços cuja execução exija ou implique o acesso a ou a produção de ICUE; |
|
g) |
«Subcontrato classificado», o contrato celebrado entre um contratante do SEAE e outro contratante (ou seja, o subcontratante) para o fornecimento de bens, a realização de obras ou a prestação de serviços cuja execução exija ou implique o acesso ou a produção de ICUE; |
|
h) |
entende-se por «sistema de comunicação e informação (SCI)» um sistema que permita o manuseamento automatizado de informações. Um sistema de comunicação e informação compreende todos os meios necessários ao seu funcionamento, designadamente a infraestrutura, a organização, o pessoal e os recursos em matéria de informação; |
|
i) |
«Comprometimento de ICUE», a divulgação total ou parcial de ICUE a pessoas ou identidades não autorizadas — ver artigo 9.o, n.o 2; |
|
j) |
«Contratante»: uma pessoa singular ou coletiva com capacidade jurídica para celebrar contratos; |
|
k) |
«Produtos criptográficos (produtos cripto)», os algoritmos criptográficos, módulos criptográficos de hardware e software e produtos que incluam detalhes de implementação e documentação conexa e material de cifragem; |
|
l) |
«Operação PCSD», uma operação de gestão militar ou civil de crises conduzida ao abrigo do Capítulo 2 do Título V do TUE; |
|
m) |
«Desclassificação»: a eliminação de qualquer classificação de segurança; |
|
n) |
«Defesa em profundidade»: a aplicação de uma série de medidas de segurança organizadas em múltiplos estratos de defesa; |
|
o) |
«Autoridade de Segurança Designada» (ASD), uma autoridade responsável perante a Autoridade Nacional de Segurança (ANS) de um Estado-Membro que está encarregada de comunicar às entidades industriais ou outras a política nacional em todas as matérias de segurança industrial e de facultar orientação e prestar assistência na sua implementação. As funções de ASD podem ser desempenhadas pela ANS ou por qualquer outra autoridade competente; |
|
p) |
«Documento», quaisquer informações registadas, independentemente da sua forma ou características materiais; |
|
q) |
«Desgraduação», a redução do nível de classificação de segurança; |
|
r) |
«Informações classificadas da UE» (ICUE), quaisquer informações ou material designado por uma classificação de segurança da UE cuja divulgação não autorizada possa causar prejuízos de vária ordem aos interesses da União Europeia ou de um ou mais Estados-Membros — ver artigo 2.o, alínea f); |
|
s) |
«Credenciação de Segurança da Empresa» (CSE), a certificação administrativa, emitida por uma ANS ou ASD, de que, do ponto de vista da segurança, determinada empresa está apta a garantir um nível adequado de proteção das ICUE com determinado nível de classificação de segurança e de que o seu pessoal que precise de aceder a ICUE foi submetido ao processo de credenciação de segurança correspondente e informado dos requisitos de segurança necessários para aceder às ICUE e garantir a sua proteção; |
|
t) |
«Manuseamento» de ICUE, todas as atividades a que as ICUE possam eventualmente ser sujeitas ao longo do seu ciclo de vida, que compreendem a sua produção, tratamento, transporte, desgraduação, desclassificação e destruição. Relativamente ao SCI, compreendem ainda a recolha, visualização, transmissão e armazenamento de ICUE; |
|
u) |
«Detentor», uma pessoa devidamente autorizada com necessidade comprovada de tomar conhecimento, que está na posse de ICUE e é consequentemente responsável pela sua proteção; |
|
v) |
«Entidade industrial ou outra», uma entidade envolvida no fornecimento de bens, execução de obras ou prestação de serviços. Pode tratar-se de uma entidade industrial, comercial, de serviços, científica, educativa, de investigação ou desenvolvimento, bem como de trabalhador por conta própria; |
|
w) |
«Segurança industrial», a aplicação de medidas destinadas a garantir a proteção das ICUE pelos contratantes ou subcontratantes no âmbito das negociações pré-contratuais e durante a vigência dos contratos classificados — ver artigo 9.o, n.o 1, do anexo A; |
|
x) |
«Garantia da informação» no domínio dos sistemas de comunicação e informação: consiste na confiança com que esses sistemas protegem as informações neles manuseadas e funcionam como for necessário, quando for necessário, sob o controlo de utilizadores legítimos. Uma GI eficaz deve assegurar níveis adequados de confidencialidade, integridade, disponibilidade, não rejeição e autenticidade. A GI baseia-se num processo de gestão de risco — ver artigo 8.o, n.o 1, do anexo A; |
|
y) |
«Interconexão», para efeitos da presente decisão, a conexão direta, unidirecional ou multidirecional, de dois ou mais sistemas informáticos para efeitos de partilha de dados e de outros recursos de informação (e.g. comunicação) — ver anexo A IV, ponto 31; |
|
z) |
«Gestão das informações classificadas», a aplicação de medidas administrativas de controlo das ICUE ao longo do seu ciclo de vida que visam complementar as medidas previstas nos artigos 5.o, 6.o e 8.o e contribuir, deste modo, para dissuadir e detetar a perda ou o comprometimento deliberados ou acidentais de informações e para recuperar essas informações em caso de perda ou comprometimento. Estas medidas dizem respeito, em especial, à produção, registo, cópia, tradução, transporte, manuseamento, armazenamento e destruição de ICUE — ver artigo 7.o, n.o 1, do anexo A; |
|
aa) |
«Material», qualquer documento ou peça de maquinaria ou equipamento, já fabricado ou em fase de fabrico; |
|
bb) |
«Entidade de origem», a instituição, órgão ou organismo da UE, Estado-Membro, Estado terceiro ou organização internacional sob cuja autoridade tenham sido produzidas e/ou introduzidas nas estruturas da UE informações classificadas; |
|
cc) |
«Segurança do pessoal», a aplicação de medidas que se destinam a garantir que o acesso às ICUE só seja concedido a quem:
nos termos do artigo 5.o, n.o 1, do anexo A; |
|
dd) |
«Certificação de Segurança do Pessoal» (CSP) para acesso a ICUE, uma declaração de uma autoridade competente de um Estado-Membro feita depois de concluído um inquérito de segurança conduzido pelas autoridades competentes de um Estado-Membro e pela qual se atesta que uma dada pessoa pode aceder a ICUE até determinado nível (CONFIDENTIEL UE/EU CONFIDENTIAL ou superior), e até determinada data, desde que tenha sido comprovada a sua «necessidade de tomar conhecimento»; diz-se da pessoa nestas condições que «possui credenciação de segurança»; |
|
ee) |
«Certificado de Credenciação de Segurança do Pessoal» (CCSP), um certificado, emitido por uma autoridade competente, pelo qual se atesta que uma dada pessoa possui uma credenciação de segurança válida ou uma autorização válida do diretor responsável pela segurança da sede e pela segurança das informações do SEAE para aceder a ICUE, e no qual se indica o nível de ICUE a que a pessoa pode aceder (CONFIDENTIEL UE/EU CONFIDENTIAL ou superior), a data de validade da CSP correspondente e a data de caducidade do próprio certificado; |
|
ff) |
«Segurança física», a aplicação de medidas físicas e técnicas de proteção destinadas a dissuadir o acesso não autorizado a ICUE — ver artigo 6.o do anexo A; |
|
gg) |
«Instruções de Segurança do Programa/Projeto» (ISP), uma lista de procedimentos de segurança aplicados a um programa ou projeto específico a fim de normalizar os procedimentos de segurança. As Instruções podem ser revistas em qualquer fase do programa ou projeto; |
|
hh) |
«Registo», a aplicação de procedimentos que registem o ciclo de vida das informações, incluindo a sua divulgação e destruição — ver anexo A III, ponto 21; |
|
ii) |
«Risco residual», o risco que permanece após serem aplicadas medidas de segurança, dado que não é possível neutralizar todas as ameaças nem eliminar todas as vulnerabilidades; |
|
jj) |
«Risco», a possibilidade de uma ameaça específica explorar as vulnerabilidades internas e externas de uma organização ou de um dos sistemas por ela utilizados, causando assim danos à organização e respetivos ativos corpóreos ou incorpóreos. Mede-se pela combinação da probabilidade de as ameaças ocorrerem e do respetivo impacto; |
|
kk) |
«Aceitação do risco», a decisão de aceitar a persistência de um risco residual após o tratamento do risco; |
|
ll) |
«Avaliação do risco», a identificação das ameaças e vulnerabilidades e a realização da análise de risco conexa, ou seja, a análise da probabilidade e do impacto; |
|
mm) |
«Comunicação do risco», o ato de consciencializar os grupos de utilizadores de SCI para os riscos, informar as autoridades de aprovação desses riscos e de os reportar às autoridades operacionais; |
|
nn) |
«Processo de gestão do risco», todo o processo de identificação, controlo e minimização de acontecimentos indeterminados que possam afetar a segurança de determinada organização ou de qualquer dos sistemas por ela utilizados. Este processo abarca todas as atividades relacionadas com o risco, designadamente avaliação, tratamento, aceitação e comunicação; |
|
oo) |
«Tratamento do risco», a atenuação, eliminação, redução (mediante uma combinação adequada de medidas técnicas, físicas, organizacionais ou processuais), a transferência ou a monitorização do risco; |
|
pp) |
«Cláusula Adicional de Segurança» (CAS), as condições contratuais especiais emitidas pela entidade contratante que fazem parte integrante de um contrato classificado que implica o acesso a ICUE ou a sua produção, e nas quais são identificados os requisitos de segurança ou as partes do contrato que exigem proteção de segurança — ver anexo A V, secção II; |
|
qq) |
«Guia da Classificação de Segurança» (GCS), um documento que descreve as partes do programa ou contrato que são classificadas, com especificação dos níveis de classificação de segurança aplicáveis. O GCS pode ser alargado durante a vigência do programa ou contrato e as informações podem ser reclassificadas ou desgraduadas. Se existir um GCS, este deve fazer parte integrante da CAS — ver anexo A V, secção II; |
|
rr) |
«Inquérito de Segurança», os procedimentos de inquérito conduzidos pela autoridade competente de um Estado-Membro, nos termos das respetivas disposições legislativas e regulamentares nacionais, a fim de se certificar que não há conhecimento de circunstâncias desfavoráveis que impeçam uma dada pessoa de obter uma CSP nacional ou CSP UE para aceder a ICUE até determinado nível (CONFIDENTIEL UE/EU CONFIDENTIAL ou superior); |
|
ss) |
«Procedimentos Operacionais de Segurança» (POS), ama descrição da implementação da política de segurança a adotar, dos procedimentos operacionais a seguir e das responsabilidades do pessoal; |
|
tt) |
«Informações sensíveis não classificadas», as informações ou elementos que o SEAE tem de proteger devido a obrigações jurídicas estabelecidas nos Tratados ou em atos adotados para a sua execução, e/ou devido à sensibilidade dessas informações ou elementos. As informações sensíveis não classificadas incluem, entre outras, informações ou elementos abrangidos pelo segredo profissional a que se refere o artigo 339.o do TFUE, informações abrangidas pelos interesses protegidos pelo artigo 4.o do Regulamento (CE) n.o 1049/2001 (1), lido em conjugação com a jurisprudência pertinente do Tribunal de Justiça da União Europeia, ou os dados pessoais abrangidos pelo âmbito de aplicação do Regulamento (CE) n.o 2018/1725. |
|
uu) |
«Requisitos de Segurança Específicos do Sistema» (RSES), um conjunto de princípios de segurança vinculativos a observar e de requisitos de segurança vinculativos detalhados a implementar, subjacentes ao processo de certificação e acreditação dos SCI; |
|
vv) |
«TEMPEST», a investigação, estudo e controlo das emanações eletromagnéticas comprometedoras e as medidas destinadas à sua eliminação; |
|
ww) |
«Ameaça», a causa potencial de incidente indesejável que pode provocar danos a uma organização ou a qualquer dos sistemas por ela utilizados. Estas ameaças podem ser acidentais ou deliberadas (com dolo) e caracterizam-se por elementos ameaçadores, alvos potenciais e métodos de ataque; |
|
xx) |
«Vulnerabilidade», uma insuficiência, seja de que natureza for, que possa ser explorada por uma ou mais ameaças. A vulnerabilidade pode consistir numa omissão ou estar relacionada com uma insuficiência dos controlos em termos de rigor, coerência ou exaustividade, podendo ser de natureza técnica, processual, física, organizacional ou operacional. |
(1) Regulamento (CE) n.o 1049/2001 do Parlamento Europeu e do Conselho, de 30 de maio de 2001, relativo ao acesso do público aos documentos do Parlamento Europeu, do Conselho e da Comissão (JO L 145 de 31.5.2001, p. 43).
Apêndice B
Equivalência das classificações de segurança
|
UE |
TRES SECRET UE/EU TOP SECRET |
SECRET UE/EU SECRET |
CONFIDENTIEL UE/EU CONFIDENTIAL |
RESTREINT UE/EU RESTRICTED |
|
EURATOM |
EURA TOP SECRET |
EURA SECRET |
EURA CONFIDENTIAL |
EURA RESTRICTED |
|
Bélgica |
Très Secret (Loi 11.12.1998) Zeer Geheim (Wet 11.12.1998) |
Secret (Loi 11.12.1998) Geheim (Wet 11.12.1998) |
Confidentiel (Loi 11.12.1998) Vertrouwelijk (Wet 11.12.1998) |
Nota (1) infra |
|
Bulgária |
Cтpoгo ceкретно |
Ceкретно |
Поверително |
За служебно ползване |
|
República Checa |
Přísně tajné |
Tajné |
Důvěrné |
Vyhrazené |
|
Dinamarca |
YDERST HEMMELIGT |
HEMMELIGT |
FORTROLIGT |
TIL TJENESTEBRUG |
|
Alemanha |
STRENG GEHEIM |
GEHEIM |
VS (2) — VERTRAULICH |
VS — NUR FÜR DEN DIENSTGEBRAUCH |
|
Estónia |
Täiesti salajane |
Salajane |
Konfidentsiaalne |
Piiratud |
|
Irlanda |
Top Secret |
Secret |
Confidential |
Restricted |
|
Grécia |
Άκρως Απόρρητο Abr: ΑΑΠ |
Απόρρητο Abr: (ΑΠ) |
Εμπιστευτικό Αbr: (ΕΜ) |
Περιορισμένης Χρήσης Abr: (ΠΧ) |
|
Espanha |
SECRETO |
RESERVADO |
CONFIDENCIAL |
DIFUSIÓN LIMITADA |
|
França |
TRÈS SECRET TRÈS SECRET DÉFENSE (3) |
SECRET SECRET DÉFENSE (3) |
Nota (5) infra |
|
|
Croácia |
VRLO TAJNO |
TAJNO |
POVJERLJIVO |
OGRANIČENO |
|
Itália |
Segretissimo |
Segreto |
Riservatissimo |
Riservato |
|
Chipre |
Άκρως Απόρρητο Αbr: (AΑΠ) |
Απόρρητο Αbr: (ΑΠ) |
Εμπιστευτικό Αbr: (ΕΜ) |
Περιορισμένης Χρήσης Αbr: (ΠΧ) |
|
Letónia |
Sevišķi slepeni |
Slepeni |
Konfidenciāli |
Dienesta vajadzībām |
|
Lituânia |
Visiškai slaptai |
Slaptai |
Konfidencialiai |
Riboto naudojimo |
|
Luxemburgo |
Très Secret Lux |
Secret Lux |
Confidentiel Lux |
Restreint Lux |
|
Hungria |
«Szigorúan titkos!» |
«Titkos!» |
«Bizalmas!» |
«Korlátozott terjesztésű!» |
|
Malta |
L-Ogħla Segretezza Top Secret |
Sigriet Secret |
Kunfidenzjali Confidential |
Ristrett Restrito (6) |
|
Países Baixos |
Stg. ZEER GEHEIM |
Stg. GEHEIM |
Stg. CONFIDENTIEEL |
Dep. VERTROUWELIJK |
|
Áustria |
Streng Geheim |
Geheim |
Vertraulich |
Eingeschränkt |
|
Polónia |
Ściśle Tajne |
Tajne |
Poufne |
Zastrzeżone |
|
Portugal |
Muito Secreto |
Secreto |
Confidencial |
Reservado |
|
Roménia |
Strict secret de importanță deosebită |
Strict secret |
Secret |
Secret de serviciu |
|
Eslovénia |
STROGO TAJNO |
TAJNO |
ZAUPNO |
INTERNO |
|
Eslováquia |
Prísne tajné |
Tajné |
Dôverné |
Vyhradené |
|
Finlândia |
ERITTÄIN SALAINEN YTTERST HEMLIG |
SALAINEN HEMLIG |
LUOTTAMUKSELLINEN KONFIDENTIELL |
KÄYTTÖ RAJOITETTU BEGRÄNSAD TILLGÅNG |
|
Suécia |
Kvaliciferat hemlig |
Hemlig |
Konfidentiell |
Begränsat hemlig |
(1) Diffusion Restreinte/Beperkte Verspreiding não é uma classificação de segurança na Bélgica. A Bélgica manuseia e protege as informações «RESTREINT UE/EU RESTRICTED» de modo não menos rigoroso do que as normas e procedimentos descritos nas regras de segurança do Conselho da União Europeia.
(2) Alemanha: VS = Verschlusssache.
(3) As informações geradas pela França antes de 1 de julho de 2021 com a classificação «TRÈS SECRET DÉFENSE», «SECRET DÉFENSE» e «CONFIDENTIEL DÉFENSE» continuam a ser manuseadas e protegidas, respetivamente, conforme os níveis equivalentes «TRÈS SECRET UE/EU TOP SECRET», «SECRET UE/EU SECRET» e «CONFIDENTIEL UE/EU CONFIDENTIAL».
(4) A França manuseia e protege as informações classificadas «CONFIDENTIEL UE/EU CONFIDENTIAL» de acordo com as medidas de segurança francesas para a proteção de informações classificadas ao nível «SECRET».
(5) A França não utiliza a classificação «RESTREINT» no seu sistema nacional. A França manuseia e protege as informações «RESTREINT UE/EU RESTRICTED» de modo não menos rigoroso do que as normas e procedimentos descritos nas regras de segurança do Conselho da União Europeia.
(6) As classificações em Malta podem ser usadas em maltês e inglês indistintamente.