►B

DECISÃO DO CONSELHO

de 19 de Março de 2001

que aprova as regras de segurança do Conselho

(2001/264/CE)

(JO L 101, 11.4.2001, p.1)

Jornal Oficial

  No

page

date

 M1

DECISÃO DO CONSELHO de 10 de Fevereiro de 2004

  L 63

48

28.2.2004

►M2

DECISÃO DO CONSELHO de 12 de Julho de 2005

  L 193

31

23.7.2005

1.

As presentes disposições estabelecem os princípios de base e as normas mínimas de segurança que deverão ser respeitadas pelo Conselho, pelo Secretariado-Geral do Conselho (adiante designado «SGC»), pelos Estados-Membros e pelos organismos descentralizados da União Europeia (adiante designados «organismos descentralizados da UE»), de modo a que a segurança seja salvaguardada e possa ser garantida a existência de uma norma comum de protecção.

2.

A expressão «informações classificadas da UE» significa qualquer informação ou material cuja divulgação não autorizada possa causar vários graus de prejuízo aos interesses da UE, ou a um ou mais dos seus Estados-Membros, quer essa informação provenha da UE ou de Estados-Membros, Estados terceiros ou organizações internacionais.

3.

Em toda a presente regulamentação, entende-se por:

4.

A segurança tem os seguintes objectivos principais:

5.

As bases da boa segurança são:

6.

No que respeita à confidencialidade, é necessário cuidado e experiência na selecção das informações e materiais que deverão ser protegidos e na avaliação do grau de protecção que estes requerem. É fundamental que o grau de protecção corresponda à importância securitária de cada elemento de informação ou peça de material a proteger. A fim de assegurar o bom fluxo da informação, deverão ser tomadas medidas para evitar o excesso de classificação. O sistema de classificação constitui o instrumento para pôr em prática estes princípios; deveria ser utilizado um sistema semelhante de classificação no planeamento e organização da luta contra a espionagem, a sabotagem, o terrorismo e outras ameaças, de forma a dar o maior grau de protecção às instalações mais importantes que albergam informações classificadas e aos pontos mais sensíveis no interior destas instalações.

7.

As medidas de segurança devem:

8.

O Conselho e cada Estado-Membro deverão assegurar que são cumpridas normas mínimas comuns de segurança em todos os ministérios e/ou serviços administrativos, outras instituições da UE, organismos e prestadores de serviços de forma a que as informações classificadas da UE possam ser transmitidas com a certeza de que serão tratadas com igual cuidado. Estas normas mínimas devem incluir critérios para a habilitação do pessoal em matéria de segurança e procedimentos para a protecção das informações classificadas da UE.

9.

Todas as pessoas que necessitam de ter acesso a informações com classificação CONFIDENTIEL UE ou superior deverão ser adequadamente habilitadas a fazê-lo antes de o acesso ser autorizado. Será exigida uma habilitação de segurança semelhante no caso de pessoas cujas funções envolvem o funcionamento técnico ou a manutenção dos sistemas de comunicações e de informação que contenham informações classificadas. Esta habilitação de segurança deverá ser concebida de forma a determinar se esses indivíduos:

No procedimento de habilitação de segurança, será dada especial atenção às pessoas:

Nas circunstâncias referidas nas alíneas d), e) e f), deverão ser utilizadas ao máximo as possibilidades práticas da técnica de investigação de antecedentes.

10.

As pessoas que não possuam uma razão válida para tomar conhecimento de informações classificadas da UE e sejam empregues em funções nas quais possam ter acesso a esse tipo de informações (por exemplo mensageiros, agentes de segurança, pessoal de manutenção e de limpeza, etc.) deverão ser previamente objecto de uma habilitação de segurança adequada.

11.

Todos os serviços, órgãos ou estabelecimentos que tratem informações classificadas da UE ou que alberguem sistemas de comunicações ou informações de importância capital para as missões deverão manter um registo do seu pessoal a quem foi concedida habilitação de segurança. Todas as habilitações deverão ser controladas oportunamente para verificar se são adequadas às funções actuais da pessoa em questão; as habilitações serão reexaminadas com carácter prioritário sempre que haja nova informação que indique que a continuação do seu trabalho com informações classificadas já não é compatível com os interesses da segurança. O registo das habilitações será mantido pelo chefe de segurança do serviço, órgão ou estabelecimento em questão.

12.

Todo o pessoal empregue em funções nas quais possa ter acesso a informações classificadas receberá uma formação completa ao assumir funções, e a intervalos regulares, sobre a necessidade da segurança e os meios de a implementar. Será útil exigir que todo o pessoal em questão ateste por escrito que compreende inteiramente as regras de segurança pertinentes para as suas funções.

13.

Os gestores deverão saber quais os membros do seu pessoal que trabalham com informações classificadas ou que têm acesso a sistemas de comunicações ou informações de importância capital para as missões, assim como deverão registar e relatar quaisquer incidentes ou aparentes vulnerabilidades susceptíveis de afectar a segurança.

14.

Serão definidos procedimentos para garantir que, ao ter conhecimento de informações desfavoráveis relativamente a um indivíduo, se possa saber se esse indivíduo trabalha com informações classificadas ou tem acesso a sistemas de comunicações ou informações de importância capital para as missões, e que seja informada a autoridade competente. Se ficar estabelecido que tal indivíduo constitui um risco para a segurança, a pessoa em questão deverá ser afastada ou proibida de desempenhar funções em que possa pôr em perigo a segurança.

15.

O grau das medidas de segurança física a aplicar para assegurar a protecção das informações classificadas da UE deverá ser proporcional à classificação, ao volume e às ameaças para as informações ou para o material existente. Por conseguinte, haverá que evitar com cuidado tanto a sobreclassificação como a sub-classificação, bem como rever regularmente a classificação. Todos os detentores de informações classificadas da UE deverão seguir práticas uniformes em matéria de classificação dessas informações e respeitar normas comuns de protecção em matéria de armazenagem, envio e eliminação de informações e material que necessitem de protecção.

16.

Antes de abandonar os locais que contêm informações classificadas da UE, as pessoas responsáveis pela sua guarda devem assegurar que estas informações se encontram guardadas em condições de segurança e que todos os dispositivos de segurança foram activados (fechaduras, alarmes, etc.). Deverão ser efectuados outros controlos independentes após as horas de serviço.

17.

Os edifícios que albergam informações classificadas da UE ou sistemas de comunicações e de informação de importância capital para as missões devem ser protegidos contra o acesso não autorizado. A natureza da protecção concedida às informações classificadas da UE, por exemplo janelas com grades, fechaduras nas portas, guardas nas entradas, sistemas automatizados de controlo de acesso, controlos e patrulhas de segurança, sistemas de alarme, sistemas de detecção de intrusos e cães de guarda, dependerão:

18.

A natureza da protecção concedida aos sistemas de comunicações e de informação deverá igualmente depender de uma avaliação do que é necessário proteger e dos danos potenciais caso haja uma falha na segurança, consoante a natureza física e a localização do edifício em que o sistema se encontra, e consoante a localização do sistema no interior do edifício.

19.

Deverão ser elaborados previamente planos pormenorizados para a protecção das informações classificadas durante uma emergência local ou nacional.

20.

A INFOSEC diz respeito à identificação e aplicação das medidas de segurança destinadas a proteger as informações tratadas, armazenadas ou enviadas através de sistemas de comunicações e informações ou de outros sistemas electrónicos contra a perda de confidencialidade, integridade ou disponibilidade, quer acidental quer intencional. Deverão ser tomadas contramedidas adequadas para impedir o acesso às informações da UE por utentes não autorizados, para impedir a recusa de acesso às informações da UE aos utentes autorizados, e para impedir a deturpação, a alteração ou a supressão não autorizadas de informações da UE.

21.

As precauções físicas de protecção de instalações importantes que albergam informações classificadas constituem a melhor salvaguarda contra a sabotagem e contra danos intencionais, e a habilitação de segurança do pessoal não constitui por si só uma alternativa eficaz. O órgão nacional competente deverá recolher informações relativas às actividades de espionagem, sabotagem, terrorismo ou outras actividades subversivas.

22.

A decisão de divulgar informações classificadas da UE provenientes do Conselho a um país terceiro ou uma organização internacional será tomada pelo Conselho. Se a origem da informação que se deseja divulgar não for o Conselho, este último deverá obter o consentimento da entidade de origem para a sua divulgação. Se não for possível identificar a entidade de origem, o Conselho assumirá a responsabilidade em seu lugar.

23.

Se o Conselho receber informações classificadas de países terceiros e de organizações internacionais ou de terceiros, essas informações beneficiarão da protecção adequada à sua classificação, que será equivalente às normas definidas na presente regulamentação para as informações classificadas da UE, ou a normas mais elevadas que sejam eventualmente solicitadas pelo terceiro que divulgue a informação. Deverão ser previstos controlos mútuos.

24.

Os princípios acima enunciados serão postos em prática segundo as disposições de aplicação constantes da parte II.

1.

O Secretário-Geral/Alto Representante:

2.

Em especial, o Secretário-Geral/Alto Representante é responsável:

3.

Deve ser criado um Comité de Segurança. Este Comité é composto por representantes das ANS de cada Estado-Membro e é presidido pelo Secretário-Geral/Alto Representante ou por um seu delegado. Os representantes dos organismos descentralizados da UE podem também ser convidados a participar nas reuniões quando forem tratadas questões que lhes digam respeito.

4.

O Comité de Segurança reúne-se conforme as instruções do Conselho, a pedido do Secretário-Geral/Alto Representante ou de uma ANS. Compete ao comité analisar e avaliar todas as questões de segurança relacionadas com os procedimentos do Conselho, e apresentar recomendações ao Conselho, se necessário. Relativamente à actividade do SGC, compete ao comité fazer recomendações sobre questões de segurança ao Secretário-Geral/Alto Representante.

5.

Para o cumprimento das responsabilidades referidas nos n.os 1 e 2, o Secretário-Geral/Alto Representante tem à sua disposição o Serviço de Segurança do SGC para a coordenação, supervisão e implementação das medidas de segurança.

6.

O chefe do Serviço de Segurança do SGC é o principal conselheiro do Secretário-Geral/Alto Representante em questões de segurança e desempenha as funções de secretário do Comité de Segurança. Neste sentido, dirige a actualização das regras de segurança e coordena as medidas de segurança com as autoridades competentes dos Estados-Membros e, se necessário, com organizações internacionais ligadas ao Conselho por acordos de segurança. Para o efeito, age como oficial de ligação.

7.

O chefe do Serviço de Segurança do SGC é responsável pela aprovação das redes e sistemas informáticos no SGC. O chefe do Serviço de Segurança e a ANS competente decidem em conjunto, sempre que necessário, a aprovação de redes e sistemas informáticos que envolvam o SGC, os Estados-Membros, os organismos descentralizados da UE e/ou terceiros (Estados ou organizações internacionais).

8.

Cada director de um organismo descentralizado da UE é responsável pela implementação da segurança no seu organismo. Normalmente, deverá nomear um membro do seu pessoal como responsável deste domínio perante si. Este membro do pessoal será designado como oficial de segurança.

9.

Cada Estado-Membro deve designar uma ANS responsável pela segurança das informações classificadas da UE ( 5 ).

10.

No âmbito de cada Estado-Membro, a ANS correspondente é responsável:

11.

O Serviço de Segurança do SGC e as ANS competentes deverão efectuar conjuntamente e de comum acordo inspecções periódicas das disposições de segurança para a protecção das informações classificadas da UE no SGC e nas respectivas Representações Permanentes dos Estados-Membros junto da União Europeia, bem como nas instalações dos Estados-Membros nos edifícios do Conselho ( 6 ).

12.

O Serviço de Segurança do SGC ou, a pedido do Secretário-Geral, a ANS do Estado-Membro de acolhimento efectuarão inspecções periódicas das disposições de segurança para a protecção das informações classificadas da UE nos organismos descentralizados da UE.

1.

TRÈS SECRET UE/EU TOP SECRET: esta classificação apenas se aplica a informações e material cuja divulgação não autorizada possa prejudicar de forma excepcionalmente grave os interesses essenciais da União Europeia ou de um ou vários dos seus Estados-Membros.

2.

SECRET UE: esta classificação apenas se aplica a informações e material cuja divulgação não autorizada possa prejudicar seriamente os interesses essenciais da União Europeia ou de um ou vários dos seus Estados-Membros.

3.

CONFIDENTIEL UE: esta classificação apenas se aplica a informações e material cuja divulgação não autorizada possa prejudicar os interesses essenciais da União Europeia ou de um ou vários dos seus Estados-Membros.

4.

RESTREINT UE: esta classificação apenas se aplica a informações e material cuja divulgação não autorizada possa ser desvantajosa para os interesses da União Europeia ou de um ou vários dos seus Estados-Membros.

5.

Poderá ser utilizada uma marcação de aviso para indicar o domínio abrangido pelo documento ou uma distribuição específica com base no princípio da «necessidade de ter conhecimento».

6.

A marcação ESDP/PESD será aposta nos documentos e respectivas cópias que digam respeito à segurança e defesa da União ou de um ou vários dos seus Estados-Membros, ou que digam respeito à gestão militar ou civil das crises.

7.

Certos documentos, nomeadamente os relacionados com sistemas informáticos podem ostentar uma marcação adicional com medidas suplementares de segurança definidas na regulamentação adequada.

8.

A classificação e as marcações serão apostas do seguinte modo:

1.

As informações apenas serão classificadas em caso de necessidade. A classificação deverá ser indicada de forma clara e correcta e apenas deverá ser mantida enquanto as informações necessitarem de protecção.

2.

A responsabilidade pela classificação das informações ou por qualquer subsequente desgraduação ou desclassificação ( 8 ) incumbe exclusivamente à entidade de origem.

Os funcionários e outros agentes do SGC só poderão proceder à classificação, desgraduação ou desclassificação das informações mediante instruções do seu director-geral, ou com o acordo deste.

3.

Os procedimentos pormenorizados para o tratamento dos documentos classificados devem ser concebidos de forma a garantir que estes estarão sujeitos a uma protecção adequada às informações que contêm.

4.

O número de pessoas autorizadas a produzir documentos TRÈS SECRET UE/EU TOP SECRET deverá ser o mais reduzido possível, e os seus nomes deverão constar de uma lista elaborada pelo SGC, por cada um dos Estados-Membros e, se necessário, por cada organismo descentralizado da UE.

1.

O principal objectivo das medidas de segurança física consiste em impedir o acesso de pessoas não autorizadas às informações e /ou material classificados da UE.

2.

Todas as instalações, áreas, edifícios, escritórios, salas, sistemas de comunicações e de informações, etc., onde estejam armazenados e/ou sejam tratados informações e material classificados da UE deverão ser protegidos por medidas adequadas de segurança física.

3.

Ao decidir o grau de segurança física necessário, deverão ser tomados em consideração todos os factores relevantes tais como:

4.

As medidas de segurança física aplicadas deverão ser concebidas por forma a:

5.

As áreas onde são tratadas e armazenadas informações com a classificação CONFIDENTIEL UE ou superior deverão ser organizadas e estruturadas de modo a corresponder a uma das seguintes categorias:

As áreas não ocupadas por pessoal em serviço 24 horas por dias deverão ser inspeccionadas imediatamente após as horas normais de serviço, para verificar que as informações classificadas da UE estão devidamente protegidas.

6.

Poderão ser estabelecidas áreas administrativas de menor segurança adjacentes ou envolventes das áreas de segurança da classe I ou II. Essas áreas administrativas deverão ter um perímetro visivelmente definido que permita o controlo do pessoal e dos veículos. Nas áreas administrativas só poderão ser tratadas e armazenadas informações com a classificação RESTREINT UE.

7.

A entrada nas áreas de segurança da classe I e II deverá ser controlada através de um passe ou de um sistema de reconhecimento de pessoas aplicável ao pessoal permanente. Deverá também ser criado um sistema de controlo dos visitantes concebido para impedir o acesso não autorizado às informações classificadas da UE. Os sistemas de passes poderão basear-se numa identificação automatizada, que deverá ser considerada como um complemento mas não como um substituto total do pessoal de vigilância. Qualquer alteração do nível de ameaça poderá implicar um reforço das medidas de controlo de entradas e saídas, por exemplo, durante a visita de altas personalidades.

8.

As patrulhas das áreas de segurança da classe I e II deverão ter lugar fora das horas normais de serviço, com o objectivo de proteger os bens da UE contra fugas, danos ou perdas. A frequência das patrulhas será determinada pelas circunstâncias locais mas, de um modo geral, estas deverão ter lugar de duas em duas horas.

9.

Serão utilizados três tipos de contentores para guardar as informações classificadas da UE:

10.

As paredes, chãos, tectos, portas e fechaduras das casas-fortes construídas nas áreas de segurança da classe I ou II, e de todas as áreas de segurança da classe I onde são guardadas em prateleiras abertas ou apresentadas em quadros, mapas, etc., informações com classificação CONFIDENTIEL UE ou superior deverão ser certificadas por uma ANS como possuindo um grau de protecção equivalente à classe do contentor de segurança aprovado para guarda de informações com a mesma classificação.

11.

As fechaduras utilizadas nos contentores de segurança e nas casas-fortes em que são guardadas informações classificadas da UE deverão cumprir as seguintes normas:

12.

As chaves dos contentores de segurança não deverão ser levadas para fora do edifício. As combinações dos contentores de segurança deverão ser memorizadas pelas pessoas que precisam de as conhecer. Em caso de emergência, o oficial de segurança do organismo em questão deverá possuir duplos das chaves e um registo escrito de cada combinação; estes últimos serão guardados em envelopes separados, opacos e fechados. As chaves habituais, os duplos das chaves e as combinações deverão ser mantidos em contentores de segurança distintos. Estas chaves e as combinações deverão ser objecto de uma protecção de segurança pelo menos equivalente à do material ao qual dão acesso.

13.

As combinações dos contentores de segurança apenas deverão ser conhecidas pelo número mais restrito possível de pessoas. As combinações deverão ser mudadas:

14.

Quando forem utilizados sistemas de alarme, circuitos fechados de televisão ou outros dispositivos eléctricos para proteger as informações classificadas da UE, deverá existir uma central eléctrica de emergência capaz de garantir o funcionamento contínuo do sistema em caso de interrupção no fornecimento de energia. Outro requisito básico é o de que o mau funcionamento ou o manuseamento não autorizado desses sistemas ponha em funcionamento um alarme ou outro dispositivo de aviso fiável que advirta o pessoal de vigilância.

15.

As ANS deverão manter, a partir dos seus próprios recursos ou de fontes bilaterais, listas actualizadas por tipo e modelo do equipamento de segurança que aprovaram em várias circunstâncias e condições específicas para a protecção directa ou indirecta de informações classificadas. O Serviço de Segurança do SGC deverá manter uma lista similar baseada, nomeadamente, nas informações prestadas pelas ANS. Os organismos descentralizados da UE deverão consultar o Serviço de Segurança dos SGC e, se necessário, a ANS do seu Estado-Membro de acolhimento antes de adquirirem equipamento de segurança.

16.

As fotocopiadoras e os fax deverão ser fisicamente protegidos de modo a garantir que só são utilizados por pessoas autorizadas para o fazer e que todos os produtos classificados estão sujeitos aos controlos adequados.

17.

Deverão ser tomadas todas as medidas, tanto de dia como de noite, para assegurar que as informações classificadas da UE não são vistas, mesmo acidentalmente, por qualquer pessoa não autorizada para o fazer.

18.

Os gabinetes e as áreas em que são regularmente debatidas informações com classificação SECRET UE ou superior deverão ser protegidos contra actos passivos e activos de escuta não autorizada, sempre que o risco assim o justifique. A avaliação do risco destes actos deverá ser da responsabilidade da autoridade competente de segurança após consulta, se necessário, com as ANS.

19.

A fim de definir as medidas de protecção que deverão ser tomadas nas instalações sensíveis à escuta passiva (por exemplo, isolamento das paredes, portas, chãos e tectos, medida dos níveis sonoros comprometedores) bem como às escutas activas (por exemplo, busca de microfones), o Serviço de Segurança do SGC poderá pedir assistência de peritos das ANS. Os oficiais de segurança dos organismos descentralizados da UE podem solicitar que sejam efectuadas inspecções técnicas pelo Serviço de Segurança do SGC e/ou a assistência de peritos das ANS.

20.

Do mesmo modo, sempre que as circunstâncias o exigirem, o equipamento de telecomunicações e o equipamento de escritório eléctrico ou electrónico de qualquer tipo utilizado durante as reuniões a nível SECRET UE ou a um nível superior poderão ser verificados por especialistas técnicos de segurança das ANS, a pedido do oficial de segurança competente.

21.

Certas áreas poderão ser designadas como áreas tecnicamente seguras. Será feito um controlo especial das entradas nessas áreas, que deverão estar fechadas por um método aprovado quando não estiverem ocupadas, devendo as chaves ser tratadas como chaves de segurança. Essas áreas deverão ser sujeitas a inspecções físicas regulares, que também serão feitas depois de qualquer entrada não autorizada ou de suspeita dessa possibilidade.

22.

Será mantido um inventário pormenorizado do equipamento e mobiliário a fim de controlar os respectivos movimentos. Não será introduzido nessa área nenhuma peça de mobiliário ou de equipamento que não tenha sido objecto de uma inspecção cuidadosa por pessoal de segurança especialmente treinado, com o objectivo de detectar quaisquer dispositivos de escuta. Como regra geral, deverá ser evitada a instalação de linhas de comunicação nas áreas tecnicamente seguras.

1.

O acesso a informações classificadas da UE só será autorizado às pessoas que dela devem tomar conhecimento para o desempenho das suas tarefas ou missões. O acesso às informações classificadas TRÈS SECRET UE/EU TOP SECRET, SECRET UE e CONFIDENTIEL UE só será autorizado às pessoas que tenham habilitação de segurança adequada.

2.

A responsabilidade por determinar quem deve tomar conhecimento incumbirá ao SGC, aos organismos descentralizados da UE e ao ministério ou serviço de um Estado-Membro onde a pessoa em questão deverá trabalhar, conforme os requisitos da tarefa.

3.

A habilitação de segurança será da responsabilidade do empregador do funcionário, com base nos procedimentos relevantes aplicáveis. No que se refere aos funcionários e outros agentes do SGC, o procedimento para a habilitação de segurança é o previsto na secção VI.

A habilitação de segurança dará lugar à emissão de um «certificado de segurança», que indicará o nível de informações classificadas ao qual a pessoa habilitada poderá ter acesso e a data da sua expiração.

O certificado de segurança para uma dada classificação poderá conferir ao seu detentor acesso a informações com classificação inferior.

4.

As pessoas que não sejam funcionários nem outros agentes do SGC ou dos Estados-Membros, por exemplo Membros, funcionários ou agentes de Instituições da UE com quem seja necessário debater, ou a quem seja necessário dar conhecimento de informações classificadas da UE devem possuir uma habilitação de segurança para efeitos de informações classificadas da UE e ser informados da suas responsabilidades em matéria de segurança. A mesma regra se deverá aplicar, em circunstâncias similares, aos prestadores de serviços, aos peritos ou aos consultores.

1.

Só terão acesso a informações classificadas na posse do Conselho os funcionários e outros agentes do SGC, ou pessoas que trabalhem no SGC, que, devido às suas funções e conforme as necessidades do serviço, precisam de ter conhecimento ou de utilizar tais informações.

2.

Para terem acesso às informações classificadas TRÈS SECRET UE/EU TOP SECRET, SECRET UE e CONFIDENTIEL UE, as pessoas referidas no ponto 1 devem ser autorizadas nos termos dos pontos 4 e 5.

3.

A autorização apenas será concedida às pessoas que foram objecto de um inquérito de segurança pelas autoridades nacionais competentes dos Estados-Membros (ANS), nos termos dos pontos 6 a 10.

4.

A autoridade investida do poder de nomeação na acepção do primeiro parágrafo do artigo 2.o do Estatuto dos Funcionários será responsável por conceder as autorizações referidas nos pontos 1, 2 e 3.

A autoridade investida do poder de nomeação concederá a autorização após ter obtido o parecer das autoridades nacionais competentes dos Estados-Membros, no âmbito do inquérito de segurança efectuado nos termos dos pontos 6 a 12.

5.

A autorização, que será válida por um período de cinco anos, não poderá exceder a duração das tarefas com base nas quais é concedida. Poderá ser renovada pela autoridade investida do poder de nomeação nos termos do ponto 4.

A autorização será retirada pela autoridade investida do poder de nomeação sempre que esta considerar que existem motivos fundamentados para o fazer. Qualquer decisão de retirar uma autorização deverá ser notificada à pessoa em questão, que poderá pedir para ser ouvida pela autoridade investida do poder de nomeação, e à autoridade nacional competente.

6.

O objectivo do inquérito de segurança será o de estabelecer que não existem objecções a autorizar a pessoa em questão a ter acesso a informações classificadas na posse do Conselho.

7.

O inquérito de segurança deverá ser efectuado, com a assistência da pessoa interessada e a pedido da autoridade investida do poder de nomeação, pelas autoridades nacionais competentes do Estado-Membro cuja nacionalidade tem a pessoa em questão. No caso de esta residir no território de outro Estado-Membro, as autoridades nacionais competentes poderão solicitar a cooperação das autoridades do Estado de residência.

8.

No âmbito do inquérito de segurança, a pessoa em questão deverá preencher um formulário de informação pessoal.

9.

A autoridade investida do poder de nomeação deverá especificar no seu pedido o tipo e o nível de informações classificadas a que terá acesso a pessoa em questão, para que as autoridades nacionais competentes possam proceder ao inquérito de segurança e dar o seu parecer quanto ao nível de autorização que será adequado conferir a essa pessoa.

10.

Todo o processo de inquérito de segurança, juntamente com os resultados obtidos, estarão sujeitos às regras e regulamentos pertinentes em vigor no Estado-Membro em questão, incluindo aqueles em matéria de recurso.

11.

Quando as autoridades nacionais competentes do Estado-Membro derem um parecer positivo, a autoridade investida do poder de nomeação poderá conceder a autorização à pessoa em questão.

12.

O parecer negativo das autoridades nacionais competentes será notificado à pessoa em questão, que poderá pedir para ser ouvida pela autoridade investida do poder de nomeação. Caso o considere necessário, esta autoridade poderá pedir às autoridades nacionais competentes qualquer esclarecimento adicional que estas possam fornecer. Se o parecer negativo for confirmado, não será concedida a autorização.

13.

Todas as pessoas a quem for concedida uma autorização na acepção dos pontos 4 e 5 deverá receber as instruções necessárias sobre a protecção de informações classificadas e os meios de assegurar essa protecção, no momento em que lhe for concedida a autorização e posteriormente a intervalos regulares. Estas pessoas deverão assinar uma declaração de que confirmam ter recebido as instruções e se comprometem a respeitá-las.

14.

A autoridade investida do poder de nomeação deverá tomar todas as medidas necessárias para pôr em prática a presente secção, em especial no que diz respeito às regras que regem o acesso à lista das pessoas autorizadas.

15.

Excepcionalmente, e por necessidades de serviço, a autoridade investida do poder de nomeação poderá conceder uma autorização temporária por um período que não exceda seis meses, sujeita aos resultados do inquérito de segurança referido no ponto 7, depois de ter notificado as autoridades nacionais competentes e na condição de não ter obtido resposta sua no prazo de um mês.

16.

As autorizações temporárias assim concedidas não darão acesso às informações classificadas TRÈS SECRET UE/EU TOP SECRET; este acesso será limitado aos funcionários que foram aprovados num inquérito de segurança, nos termos do ponto 7. Na pendência dos resultados do inquérito, os funcionários para quem foi pedida habilitação ao nível TRÈS SECRET UE/EU TOP SECRET poderão ser autorizados de forma temporária e provisória a aceder a informações classificadas até ao grau de TRÈS SECRET UE/EU TOP SECRET, inclusive.

1.

As classificações e marcações UE serão aplicadas conforme o estabelecido na secção II e deverão ser apostas no topo e no fundo de cada página, centradas, devendo ainda todas as páginas ser numeradas. Todos os documentos classificados da UE deverão ostentar um número de referência e uma data. No caso dos documentos TRÈS SECRET UE/EU TOP SECRET e SECRET UE, esse número de referência deverá aparecer em cada página. Caso devam ser distribuídos em várias cópias, cada uma destas deverá ostentar um número de cópia, que deverá ser aposto na primeira página, juntamente com a indicação do número total de páginas. Os documentos CONFIDENTIEL UE ou com classificação superior deverão ostentar na primeira página uma enumeração de todos os anexos ou apêndices que os acompanhem.

2.

Os documentos CONFIDENTIEL UE ou com classificação superior só poderão ser dactilografados, traduzidos, armazenados, fotocopiados, reproduzidos magneticamente ou microfilmados por pessoas que estejam habilitadas a aceder a informações classificadas da UE pelo menos até ao nível adequado de classificação de segurança do documento em questão, excepto no caso especial descrito no ponto 27 da presente secção.

Constam da secção XI as disposições relativas à produção informática de documentos classificados.

3.

As informações classificadas da UE só serão distribuídas às pessoas que precisam de tomar conhecimento delas e que possuem uma habilitação de segurança adequada. A distribuição inicial será indicada pela entidade de origem.

4.

Os documentos TRÈS SECRET UE/EU TOP SECRET serão distribuídos através dos registos TRÈS SECRET UE/EU TOP SECRET (ver secção VIII). No caso das mensagens TRÈS SECRET UE/EU TOP SECRET, o registo competente poderá autorizar o chefe do centro de comunicações a produzir o número de cópias indicado na lista dos destinatários.

5.

Os documentos SECRET UE ou com classificação inferior poderão ser redistribuídos pelo destinatário original a outros destinatários, com base no princípio da «necessidade de ter conhecimento». As entidades de origem deverão, todavia, indicar claramente quaisquer advertências que desejem impor. Sempre que sejam impostas estas advertências, os destinatários só podem redistribuir os documentos com a autorização da entidade de origem.

6.

Todos os documentos CONFIDENTIEL UE ou com classificação superior deverão, ao entrar ou sair de um serviço ou organismo ser averbados no seu registo. As indicações a registar (referências, data e, se for caso disso, o número da cópia) deverão permitir identificar os documentos e deverão ser averbadas num livro de registo ou num meio informático especialmente protegido.

7.

Os documentos CONFIDENTIEL UE ou com classificação superior deverão ser transmitidos em envelopes duplos, resistentes e opacos. O envelope interior deverá ostentar a adequada classificação de segurança da UE bem como, se possível, indicações pormenorizadas quanto às funções, título e endereço do destinatário.

8.

O envelope interior só poderá ser aberto por um oficial de controlo do registo, ou por um seu substituto, que deverá acusar a recepção dos documentos juntos, excepto se o envelope for endereçado a um indivíduo. Nesse caso, deverá ser averbada no registo adequado a chegada do envelope, e somente o indivíduo a quem este é endereçado poderá abrir o envelope interior e acusar a recepção do documento que ele contém.

9.

No envelope interior será colocado um formulário de aviso de recepção. O aviso de recepção, que não será classificado, deverá ostentar o número de referência, a data e o número de cópia do documento, mas nunca o seu assunto.

10.

O envelope interior deverá ser inserido num envelope exterior que ostente um número de expedição para efeitos de recepção. A classificação de segurança nunca deverá ser aposta no envelope exterior, seja em que circunstâncias for.

11.

No caso de documentos CONFIDENTIEL UE ou com classificação superior, os mensageiros ou estafetas deverão obter recibos da entrega, dos quais deverão constar os respectivos números de expedição.

12.

No interior de um dado edifício ou grupo de edifícios, os documentos classificados poderão ser transportados num envelope selado que ostente apenas o nome do destinatário, desde que esse envelope seja transportado por uma pessoa com habilitação de segurança do mesmo nível dos documentos.

13.

No interior de um país, os documentos TRÈS SECRET UE/EU TOP SECRET deverão apenas ser enviados através de um serviço oficial de estafetas ou transportados por pessoas habilitadas a aceder a informações TRÈS SECRET UE/EU TOP SECRET.

14.

Sempre que seja utilizado um serviço de estafetas para a transmissão de um documento TRÈS SECRET UE/EU TOP SECRET fora do perímetro de um edifício ou de um grupo de edifícios, será necessário respeitar as disposições em matéria de expedição e recepção constantes do presente capítulo. Os serviços de entrega deverão ser estruturados de molde a assegurar que as embalagens que contêm documentos TRÈS SECRET UE/EU TOP SECRET estão permanentemente sob controlo directo de um funcionário responsável.

15.

Excepcionalmente, os documentos TRÈS SECRET UE/EU TOP SECRET podem ser transportados por funcionários, que não os estafetas, fora do perímetro de um edifício ou de um grupo de edifícios para uso local em reuniões e debates, desde que:

16.

No interior de um país, os documentos SECRET UE e CONFIDENTIEL UE poderão ser enviados quer pelo correio, se esse envio for permitido pela regulamentação nacional e conforme com as suas disposições, quer por um serviço de estafetas ou por pessoas habilitadas para o acesso a informações classificadas da UE.

17.

Cada Estado-Membro ou cada organismo descentralizado da UE deverá elaborar instruções sobre o transporte pessoal de documentos classificados da UE, com base nas presentes regras. O portador deverá ler e assinar essas instruções. Em especial, as instruções deverão indicar claramente que em nenhumas circunstâncias os documentos poderão:

18.

O material com classificação CONFIDENTIEL UE ou superior deverá ser enviado de um Estado-Membro para outro por mala diplomática ou por serviços de estafetas militares.

19.

Todavia, poderá ser autorizado o transporte pessoal de material SECRET UE ou CONFIDENTIEL UE, se as disposições em matéria de transporte forem de molde a garantir que este não poderá chegar às mãos de pessoas não autorizadas.

20.

As ANS podem autorizar o transporte pessoal quando não estejam disponíveis nem a mala diplomática nem os serviços de estafetas militares, ou a utilização destes tipos de transporte possa resultar num atraso susceptível de prejudicar as operações da UE, e quando o material for urgentemente preciso no destinatário previsto. Cada Estado-Membro deverá elaborar instruções que abranjam o transporte internacional pessoal de material classificado até ao nível SECRET UE, inclusive, por pessoas que não sejam correios diplomáticos nem militares. Estas instruções deverão estipular que:

A pessoa designada para transportar o material classificado deve ler e assinar uma informação de segurança que contenha, no mínimo, as instruções acima enumeradas e os procedimentos a seguir em caso de emergência ou no caso de a embalagem com material classificado ser inspeccionada pelos serviços aduaneiros ou funcionários de segurança dos aeroportos.

21.

Não são estabelecidas disposições especiais para o transporte de documentos RESTREINT UE, excepto que será necessário assegurar que tais documentos não caiam em mãos de pessoas não autorizadas para o fazer.

22.

Todos os mensageiros e estafetas que transportam documentos SECRET UE e CONFIDENTIEL UE deverão possuir uma habilitação de segurança adequada.

23.

As medidas de segurança das comunicações serão concebidas de modo a assegurar a transmissão segura de informações classificadas da UE. As regras de aplicação em matéria de transmissão de tais informações constam da secção XI.

24.

Apenas poderão transmitir informações com classificação CONFIDENTIEL UE e SECRET UE os centros e redes e/ou os terminais e sistemas de comunicações aprovados.

25.

Apenas a entidade de origem poderá autorizar a cópia ou a tradução de documentos TRÈS SECRET UE/EU TOP SECRET.

26.

Se houver pessoas sem habilitação de segurança para o nível TRÈS SECRET UE/EU TOP SECRET que precisem de informações que não tenham essa classificação embora contidas num documento TRÈS SECRET UE/EU TOP SECRET, o chefe do registo TRÈS SECRET UE/EU TOP SECRET poderá ser autorizado a produzir o necessário número de extractos de tal documento. Simultaneamente, deverá tomar as medidas necessárias para garantir que seja atribuída a esses extractos uma classificação de segurança adequada.

27.

Os documentos SECRET UE ou com classificação inferior poderão ser reproduzidos e traduzidos pelo destinatário, no âmbito da regulamentação nacional de segurança e na condição de ser respeitado estritamente o princípio da «necessidade de ter conhecimento». As medidas de segurança aplicáveis ao documento original devem igualmente ser aplicáveis às reproduções e/ou às traduções do mesmo. Os organismos descentralizados da UE deverão seguir as presentes regras de segurança.

28.

Todos os anos, cada um dos registos TRÈS SECRET UE/EU TOP SECRET a que é feita referência na secção VIII deverá fazer um inventário exaustivo dos documentos TRÈS SECRET UE/EU TOP SECRET, segundo as regras previstas nos pontos 9 a 11 da secção VIII. Os documentos TRÈS SECRET UE/EU TOP SECRET ou com classificação inferior deverão ser objecto de verificações internas segundo as orientações nacionais e, no caso do SGC ou dos organismos descentralizados da UE, segundo as instruções do Secretário-Geral/Alto Representante.

Estas operações deverão permitir que os detentores dos documentos possam dar a sua opinião sobre:

29.

A fim de reduzir os problemas de armazenagem, os oficiais de controlo de todos os registos deverão ser autorizados a arquivar documentos TRÈS SECRET UE/EU TOP SECRET, SECRET UE e CONFIDENTIEL UE sob a forma de microfilmes ou gravação em meios magnéticos ou ópticos, desde que:

30.

Estas regras são também aplicáveis a qualquer outra forma de gravação autorizada pelas ANS, tais como meios electromagnéticos e disco óptico.

31.

A fim de impedir a desnecessária acumulação dos documentos classificados da UE, aqueles que forem considerados pelo chefe do organismo detentor como desactualizados ou excedentários deverão ser destruídos logo que possível, da seguinte maneira:

32.

Os documentos SECRET UE serão destruídos pelo registo responsável por esses documentos, sob o controlo de uma pessoa com habilitação de segurança, utilizando os processos indicados na alínea c) do ponto 31. Os documentos SECRET UE destruídos serão enumerados em certificados de destruição assinados que deverão ser mantidos pelo registo, juntamente com as listas de distribuição, pelo menos durante três anos.

33.

Os documentos CONFIDENTIEL UE serão destruídos pelo registo responsável por esses documentos, sob o controlo de uma pessoa com habilitação de segurança, utilizando os processos indicados na alínea c) do ponto 31. A sua destruição será registada nos termos da regulamentação nacional e, no caso do SGC ou dos organismos descentralizados da UE, segundo as instruções do Secretário-Geral/Alto Representante.

34.

Os documentos RESTREINT UE serão destruídos pelo registo responsável por esses documentos ou pelo utilizador, nos termos da regulamentação nacional e, no caso do SGC ou dos organismos descentralizados da UE, segundo as instruções do Secretário-Geral/Alto Representante.

35.

O SGC, os Estados-Membros e os organismos descentralizados da UE deverão elaborar, com base nas condições locais, planos para a salvaguarda do material classificado da UE em situação de crise, incluindo, se necessário, a destruição de emergência e planos de evacuação; no âmbito das respectivas estruturas, deverão publicar as instruções consideradas necessárias para impedir que as informações classificadas da UE possam chegar às mãos de pessoas não autorizadas.

36.

As disposições para a salvaguarda e/ou destruição de material SECRET UE e CONFIDENTIEL UE numa situação de crise não deverão prejudicar em nenhum caso a salvaguarda ou a destruição do material classificado de TRÈS SECRET UE/EU TOP SECRET, incluindo o equipamento de cifragem, cujo tratamento terá prioridade sobre todas as outras tarefas. As medidas a adoptar para a salvaguarda e a destruição do equipamento de cifragem em caso de emergência deverão ser objecto de instruções ad hoc.

37.

No interior do SGC, um «Serviço das Informações Classificadas» deverá controlar as informações classificadas como SECRET UE ou CONFIDENTIEL UE contida nos documentos destinados ao Conselho.

Sob a autoridade do director-geral do Pessoal e da Administração, este serviço deverá:

38.

O Serviço das Informações Classificadas deverá manter um registo dos seguintes elementos específicos:

39.

As regras gerais previstas nos capítulos I a V da presente secção são aplicáveis ao Serviço das Informações Classificadas do SGC, excepto quando alteradas pelas regras específicas estabelecidas no presente capítulo.

1.

Os registos TRÈS SECRET UE/EU TOP SECRET destinam-se a assegurar o arquivo, o tratamento e a distribuição de documentos TRÈS SECRET UE/EU TOP SECRET em conformidade com as regras de segurança. O chefe do registo TRÈS SECRET UE/EU TOP SECRET em cada Estado-Membro, no SGC e, se for caso disso, nos organismos descentralizados da UE, será o oficial de controlo TRÈS SECRET UE/EU TOP SECRET.

2.

Os registos centrais constituirão a principal autoridade de recepção e despacho nos Estados-Membros, no SGC e nos organismos descentralizados da UE, nos quais tenham sido criados, bem como, se for caso disso, noutras instituições da UE, em organizações internacionais e em países terceiros com os quais o Conselho tenha acordos sobre procedimentos de segurança para o intercâmbio de informações classificadas.

3.

Sempre que necessário, serão criados sub-registos responsáveis pela gestão interna de documentos TRÈS SECRET UE/EU TOP SECRET; esses sub-registos manterão registos actualizados da circulação de cada documento a seu cargo.

4.

Os sub-registos TRÈS SECRET UE/EU TOP SECRET serão criados segundo o disposto na secção I em resposta a necessidades de longo prazo e dependerão de um registo central TRÈS SECRET UE/EU TOP SECRET. Se apenas for necessário consultar documentos TRÈS SECRET UE/EU TOP SECRET temporária ou ocasionalmente, tais documentos poderão ser disponibilizados sem que seja necessário criar um sub-registo TRÈS SECRET UE/EU TOP SECRET, na condição de serem definidas regras para assegurar que os documentos permanecem sob o controlo do registo TRÈS SECRET UE/EU TOP SECRET adequado e que são cumpridas todas as medidas de segurança física e pessoal.

5.

Os sub-registos não podem enviar documentos TRÈS SECRET UE/EU TOP SECRET directamente a outros sub-registos do mesmo registo central TRÈS SECRET UE/EU TOP SECRET sem a aprovação expressa deste último.

6.

Todos os intercâmbios de documentos TRÈS SECRET UE/EU TOP SECRET entre sub-registos que não dependam do mesmo registo central deverão ser encaminhados através dos registos centrais.

1.

Quando forem realizadas sessões do Conselho Europeu ou do Conselho, reuniões ministeriais ou outras reuniões importantes fora das instalações do Conselho em Bruxelas ou no Luxemburgo e sempre que tal se justifique devido aos requisitos especiais de segurança relacionados com a alta sensibilidade das questões ou das informações tratadas, deverão ser tomadas as medidas de segurança seguidamente descritas. Estas medidas dizem apenas respeito à protecção das informações classificadas da UE; poderá ser necessário planear outras medidas de segurança.

2.

O Estado-Membro em cujo território tem lugar a reunião (o Estado-Membro de acolhimento) será responsável, em cooperação com o Serviço de Segurança do SGC, pela segurança do Conselho Europeu, do Conselho, da reunião ministerial ou outras reuniões importantes, e pela segurança física dos principais delegados e respectivo pessoal.

Em matéria de segurança, o Estado-Membro de acolhimento deverá especialmente assegurar que:

3.

As autoridades dos Estados-Membros devem tomar as medidas necessárias para assegurar que:

4.

Deverá ser nomeado um oficial de segurança como responsável pela preparação geral e controlo das medidas gerais de segurança interna e pela coordenação com as outras autoridades competentes em matéria de segurança. As medidas tomadas devem em geral dizer respeito:

5.

O Serviço de Segurança do SGC deverá agir como consultor em matéria de segurança para a preparação da reunião; deverá estar representado no local a fim de ajudar e aconselhar o oficial de segurança da reunião e as delegações, consoante as necessidades.

6.

Cada uma das delegações a uma reunião deverá designar um seu oficial de segurança, que será responsável por tratar das questões de segurança no interior da sua delegação e por manter o contacto com o oficial de segurança da reunião e com o representante do Serviço de Segurança do SGC, consoante as necessidades.

7.

Deverão ser criadas as seguintes áreas de segurança:

8.

O oficial de segurança da reunião deverá fornecer cartões adequados, conforme os pedidos das delegações, e segundo as suas necessidades. Quando necessário, deverá ser feita uma distinção no que toca ao acesso às várias áreas de segurança.

9.

As instruções de segurança para a reunião devem exigir que todas as pessoas abrangidas ostentem de forma visível os seus cartões sempre que estejam dentro do local de reunião, de forma a poderem ser controladas pelo pessoal de segurança, na medida do necessário.

10.

Além dos participantes que possuem um cartão, o número de pessoas a admitir no local de reunião deverá ser o mais reduzido possível. As delegações nacionais que desejem receber visitantes durante a reunião devem notificar o oficial de segurança da reunião. Deve ser dado um cartão de visitante a cada visitante. Deverá igualmente ser preenchido um passe de entrada do visitante, com o seu nome e com o nome da pessoa que este visita. Os visitantes devem ser acompanhados em todas as ocasiões por um guarda de segurança ou pela pessoa que estes visitam. O passe do visitante deve ser transportado pela pessoa que o acompanha e devolvido ao pessoal encarregado da segurança, quando o visitante sai do local de reunião.

11.

Não poderá dar entrada em nenhuma área de segurança da classe I qualquer equipamento audiovisual, com excepção do equipamento utilizado pelos fotógrafos e pelos técnicos de som devidamente autorizados pelo oficial de segurança da reunião.

12.

Os detentores de um passe com acesso autorizado a uma área de segurança podem normalmente transportar as suas pastas e computadores portáteis (com a sua própria fonte de energia) sem que estes devam ser controlados. No caso dos embrulhos destinados às delegações, estas podem recebê-los, mas devem ser quer inspeccionados pelo oficial de segurança da delegação, quer visionados em equipamento especial, quer abertos pelo pessoal de segurança para inspecção. Se o oficial de segurança da reunião o considerar necessário, poderão ser estabelecidas medidas mais restritivas para a inspecção das pastas e embrulhos.

13.

Uma equipa de segurança técnica deve tornar a sala de reunião tecnicamente segura, podendo igualmente efectuar uma vigilância electrónica durante a reunião.

14.

As delegações devem ser responsáveis por transportar consigo documentos classificados da UE tanto para dentro como para fora das reuniões. Devem igualmente ser responsáveis pela verificação e pela segurança desses documentos durante a sua utilização nas instalações que lhes forem atribuídas. Pode ser solicitado o auxílio do Estado-Membro de acolhimento para o transporte de documentos classificados para dentro e para fora do local da reunião.

15.

Se o SGC, a Comissão ou as delegações não estiverem em condições de guardar os seus documentos classificados em conformidade com as normas aprovadas, poderão introduzir esses documentos em envelopes selados e entregá-los ao oficial de segurança da reunião, mediante recibo, para que este os possa guardar segundo as normas aprovadas.

16.

O oficial de segurança da reunião deve providenciar para que os gabinetes do SGC e das delegações sejam inspeccionados no fim de cada dia de trabalho, por forma a garantir que todos os documentos classificados da UE são guardados em local seguro; caso contrário, deverão ser tomadas as medidas necessárias.

17.

Todos os resíduos devem ser tratados como resíduos classificados da UE, e todos os cestos ou sacos de lixo de papel devem ser entregues ao SGC ou às delegações para remoção. Antes de abandonar as instalações que lhes foram atribuídas, o SGC e as delegações devem entregar os seus resíduos ao oficial de segurança da reunião, que deverá providenciar para a sua destruição segundo a regulamentação.

18.

No fim da reunião, todos os documentos na posse do SGC ou das delegações mas que já não sejam necessários deverão ser tratados como resíduos. Antes de levantar as medidas de segurança tomadas para a reunião, deverá ser feita uma busca exaustiva das instalações ocupadas pelo SGC e pelas delegações. Na medida do possível, os documentos para os quais tenha sido assinado um recibo devem ser destruídos conforme se encontra previsto na secção VII.

1.

Uma quebra de segurança é o resultado de um acto ou uma omissão contrários a uma regra de segurança do Conselho ou a uma regra nacional de segurança, susceptível de pôr em perigo as informações classificadas da UE ou propiciar a sua fuga.

2.

Uma fuga de informações classificadas da UE ocorre quando estas caem no todo ou em parte nas mãos de pessoas não autorizadas, ou seja, pessoas que não possuem a habilitação de segurança adequada ou que não precisam de tomar conhecimento dessas informações, ou quando há a probabilidade de tal ter acontecido.

3.

Pode haver fuga de informações classificadas da UE como resultado de descuido, negligência ou indiscrição, bem como em resultado das actividades de serviços de espionagem que têm por alvo a UE ou os seus Estados-Membros visando as informações classificadas e as actividades da UE, ou das actividades de organizações de carácter subversivo.

4.

É importante que todas as pessoas que devam tratar informações classificadas da UE tenham recebido instruções completas sobre os procedimentos de segurança, os perigos de conversas indiscretas e as suas relações com a imprensa. Essas pessoas deverão estar conscientes da importância de relatar imediatamente qualquer quebra de segurança de que possam ter tido conhecimento à autoridade de segurança do Estado-Membro, da Instituição ou do organismo que as emprega.

5.

Quando uma autoridade de segurança descobrir ou for informada da ocorrência de uma quebra de segurança relacionada com informações classificadas da UE ou com a perda ou desaparecimento de material classificado da UE, deverá tomar imediatamente medidas para:

Neste contexto, serão fornecidos os seguintes elementos:

6.

Incumbe a cada autoridade de segurança, imediatamente depois de lhe ter sido notificada a ocorrência de uma quebra de segurança, relatar o facto imediatamente, utilizando o seguinte procedimento: o sub-registo TRÈS SECRET UE/EU TOP SECRET deverá informar o Serviço de Segurança do SGC através do seu registo central TRÈS SECRET UE/EU TOP SECRET; no caso de fuga de informações classificadas da UE no âmbito da competência de um Estado-Membro, essa ocorrência será relatada ao Serviço de Segurança do SGC, tal como se encontra previsto no ponto 5, através da ANS competente.

7.

Só será necessário relatar os casos que envolvam informações classificadas de RESTREINT UE quando estes apresentarem características pouco usuais.

8.

Ao ser informado da ocorrência de uma quebra de segurança, o Secretário-Geral/Alto Representante deverá:

9.

A entidade de origem deverá informar os destinatários e deverá emitir instruções adequadas.

10.

Qualquer indivíduo que seja responsável por uma fuga de informações classificadas da UE será passível de acção disciplinar segundo as regras e regulamentos pertinentes. Essa acção disciplinar não será impeditiva de qualquer acção em justiça.

1.

A política e os requisitos de segurança da presente secção aplicar-se-ão a todos os sistemas e redes de comunicação e de informação (adiante designados por SISTEMAS) que tratem informações com a classificação CONFIDENTIEL UE ou superior.

2.

Os SISTEMAS que tratem informações com classificação RESTREINT UE necessitam igualmente de medidas de segurança para proteger a confidencialidade dessas informações. Todos os SISTEMAS necessitam de medidas de segurança para proteger a sua integridade e disponibilidade, bem como a das informações que contêm. As medidas de segurança a aplicar a esses sistemas serão determinadas pela Autoridade de Acreditação de Segurança (AAS) competente, serão proporcionais aos riscos avaliados e serão conformes com a política definida nas presentes regras de segurança.

3.

A protecção dos sensores de sistemas que contenham SISTEMAS informáticos integrados será determinada e definida no contexto geral dos sistemas a que pertencem, utilizando, na medida do possível, as disposições aplicáveis da presente secção.

4.

Em termos gerais, é possível definir uma ameaça como uma quebra potencial, quer acidental quer deliberada, da segurança. No caso dos SISTEMAS, essa quebra envolve a perda de uma ou várias características de confidencialidade, integridade e disponibilidade. A vulnerabilidade pode ser definida como uma fraqueza ou falta de controlo que possa facilitar ou permitir uma ameaça contra um bem ou contra um alvo específico. A vulnerabilidade pode consistir numa omissão ou pode estar relacionada com uma deficiência na intensidade, na exaustividade ou na coerência do controlo; ela pode ser de carácter técnico, processual ou operacional.

5.

O tratamento de informações classificadas e desclassificadas da UE em SISTEMAS de uma forma concentrada concebida para permitir a sua rápida localização, comunicação e utilização é vulnerável a vários riscos. Estes incluem o acesso à informação por utentes não autorizados ou, em sentido inverso, a recusa do acesso aos utentes autorizados. Existem igualmente riscos de divulgação, corrupção, alteração ou supressão não autorizadas da informação. Além disso, os equipamentos complexos e muitas vezes frágeis são onerosos e frequentemente de difícil reparação ou substituição. Esses SISTEMAS constituem por conseguinte alvos atractivos para operações de espionagem e de sabotagem, especialmente se as medidas de segurança forem consideradas ineficazes.

6.

O principal objectivo das medidas de segurança enumeradas na presente secção é fornecer protecção contra a divulgação não autorizada (a perda de confidencialidade) e contra a perda de integridade ou disponibilidade das informações. Para alcançar um nível adequado de protecção de segurança de um SISTEMA que trate informações classificadas da UE, há que especificar normas adequadas de segurança convencional, juntamente com procedimentos e técnicas de segurança especiais e adequados, particularmente concebidos para cada SISTEMA.

7.

Será definido e posto em prática um conjunto equilibrado de medidas de segurança a fim de criar um ambiente seguro para o funcionamento do SISTEMA. O âmbito de aplicação destas medidas abrange elementos físicos, o pessoal, procedimentos não técnicos e procedimentos operacionais informáticos e de comunicações.

8.

As medidas de segurança informática [características de segurança do material (hardware) e dos logiciais (software)] deverão respeitar o princípio de quem deve tomar conhecimento e deverão impedir ou detectar a divulgação não autorizada das informações. Saber em que medida será possível confiar nas medidas de segurança informática é um elemento a definir durante o processo de elaboração dos requisitos de segurança. O processo de acreditação deverá determinar a existência de um nível adequado de segurança capaz de justificar esta confiança nas medidas de segurança informática.

9.

A Autoridade Operacional do Sistema Informático (AOSI) deverá elaborar uma lista dos requisitos de segurança específicos do SISTEMA (RSES) para cada um dos sistemas que tratem informações com a classificação CONFIDENTIEL UE ou superior, em colaboração e com assistência, se necessário, da equipa de projecto e da Autoridade INFOSEC, lista essa que deverá ser aprovada pela AAS. Também será necessária uma lista RSES sempre que a AAS considerar que é de importância capital a disponibilidade e integridade de informações RESTREINT UE ou não classificadas.

10.

A lista RSES será elaborada o mais cedo possível no processo de concepção do projecto e será desenvolvida e aperfeiçoada à medida que o projecto for evoluindo, desempenhando papéis diferentes em fases diferentes do ciclo de vida do projecto e do SISTEMA.

11.

A lista RSES constituirá o acordo vinculativo entre a autoridade responsável pelo funcionamento do sistema informático e a AAS, e servirá de referência para a acreditação do SISTEMA.

12.

A lista RSES constitui uma enumeração completa e explícita dos princípios de segurança a observar e dos requisitos pormenorizados de segurança a cumprir. Tem por base a política de segurança e a avaliação de riscos do Conselho, ou será balizada por parâmetros que incluam o ambiente operacional, o mais baixo nível de habilitação de segurança do pessoal, a mais alta classificação das informações tratadas, o modo seguro de funcionamento ou os requisitos dos utentes. A lista RSES faz parte integrante da documentação de projecto apresentada às autoridades competentes para efeitos de aprovação técnica, orçamental e de segurança. Na sua forma final, a lista RSES constitui uma enumeração completa dos parâmetros de segurança do SISTEMA.

13.

Todos os SISTEMAS que tratem informações com a classificação CONFIDENTIEL UE ou superior deverão ser acreditados para funcionar num ou, se for caso disso e em períodos diferentes, em vários dos seguintes modos seguros de funcionamento, ou seus equivalentes nacionais:

14.

Serão aplicadas marcações adicionais, tais como CRYPTO (CIFRA) ou qualquer outra designação de tratamento especial reconhecida a nível da UE, sempre que exista uma necessidade de distribuição limitada e de tratamento especial, para além daquilo que for indicado pela classificação de segurança.

15.

MODOS SEGURO DE FUNCIONAMENTO «DEDICADO»: um modo de funcionamento em que TODOS os indivíduos com acesso ao SISTEMA estão habilitados para o mais alto nível de classificação das informações tratadas no SISTEMA, e têm uma necessidade comum de tomar conhecimento de TODAS as informações tratadas no SISTEMA.

16.

MODO SEGURO DE FUNCIONAMENTO «ELEVADO»: um modo de funcionamento em que TODOS os indivíduos com acesso ao SISTEMA estão habilitados para o mais alto nível de classificação das informações tratadas no SISTEMA, mas NEM TODOS os indivíduos com acesso ao SISTEMA têm uma necessidade comum de tomar conhecimento das informações tratadas no SISTEMA.

17.

MODO SEGURO DE FUNCIONAMENTO «COMBINADO»: um modo de funcionamento em que NEM TODOS os indivíduos com acesso ao SISTEMA estão habilitados para o mais alto nível de classificação das informações tratadas no SISTEMA, e NEM TODOS os indivíduos com acesso ao SISTEMA têm uma necessidade comum de tomar conhecimento das informações tratadas no SISTEMA.

18.

INFOSEC: a aplicação de medidas de segurança para proteger informações tratadas, armazenadas ou transmitidas em sistemas de comunicações, de informações e outros sistemas electrónicos contra a perda de confidencialidade, integridade ou disponibilidade, quer acidental quer intencional, e para prevenir a falta de integridade e disponibilidade dos próprios sistemas. As medidas INFOSEC incluem a segurança da informática, das transmissões, das emissões e da cifragem, e a detecção, a documentação e a neutralização das ameaças às informações e aos SISTEMAS.

19.

SEGURANÇA INFORMÁTICA (COMPUSEC): a aplicação de elementos de segurança a um sistema informático, tanto no material (hardware) como nos microprogramas (firmware) e nos logiciais (software), a fim de o proteger contra, ou evitar, actos não autorizados de divulgação, manipulação e modificação/supressão de informações, ou de recusa de serviço.

20.

PRODUTO DE SEGURANÇA INFORMÁTICA: elemento genérico de segurança informática destinado a ser incorporado num sistema informático a fim de aumentar ou assegurar a confidencialidade, a integridade ou a disponibilidade das informações tratadas.

21.

SEGURANÇA DAS COMUNICAÇÕES (COMSEC): a aplicação de medidas de segurança às telecomunicações a fim de recusar às pessoas não autorizadas informações de valor que possam decorrer da posse ou do estudo dessas telecomunicações, ou a fim de assegurar a autenticidade dessas telecomunicações.

Estas medidas incluem não só a segurança da cifragem, da transmissão e da emissão, como também a segurança processual, física, pessoal, documental e informática.

22.

AVALIAÇÃO: o exame técnico pormenorizado, por uma autoridade competente, dos aspectos de segurança de um SISTEMA ou de um produto de segurança criptográfica ou informática.

23.

CERTIFICAÇÃO: a emissão de uma declaração formal, com base numa análise independente da condução e resultados de uma avaliação, da medida em que um sistema satisfaz os requisitos de segurança, ou da medida em que um produto de segurança informática cumpre objectivos de segurança pré-definidos.

24.

ACREDITAÇÃO: a autorização e aprovação concedida a um SISTEMA para tratar informações classificadas da UE no seu ambiente operacional.

Esta acreditação deverá ser feita depois de terem sido aplicados todos os procedimentos adequados de segurança e depois de ser alcançado um nível suficiente de protecção dos recursos do sistema. A acreditação deverá normalmente ser feita com base na lista RSES e incluir os seguintes elementos:

25.

SISTEMA INFORMÁTICO: conjunto de equipamentos, métodos e procedimentos e, se necessário, pessoal, organizado para desempenhar funções de tratamento de informações.

26.

ELEMENTOS DE SEGURANÇA DO SISTEMA INFORMÁTICO: compreendem todas as funções, características e elementos do material (hardware), dos microprogramas (firmware) e dos logiciais (software); os procedimentos operacionais, procedimentos de responsabilização e controlos de acesso, a central informática, os terminais remotos/estações de trabalho e as limitações impostas pela gestão, a estrutura física e os dispositivos, o pessoal e os controlos das comunicações necessários para fornecer um nível necessário de protecção das informações classificadas a tratar num sistema informático.

27.

REDE INFORMÁTICA: organização geograficamente disseminada de sistemas informáticos interligados para o intercâmbio de dados, que inclui os componentes dos sistemas informáticos interligados e as respectivas interfaces com as redes de dados ou de comunicações que lhes servem de apoio.

28.

ELEMENTOS DE SEGURANÇA DA REDE INFORMÁTICA: O conjunto dos elementos de segurança de cada sistema informático que compõe a rede, mais os componentes e elementos adicionais da rede propriamente dita (por exemplo comunicações em rede, mecanismos e procedimentos de identificação de segurança e rotulagem, controlos de acesso, programas e pistas de auditoria) necessários para fornecer um nível aceitável de protecção das informações classificadas.

29.

CENTRAL INFORMÁTICA: uma área que contém um ou mais computadores, as suas unidades locais, periféricas e de memória, as unidades de controlo e equipamento dedicado de rede e de comunicações.

Esta definição não inclui uma área separada na qual se encontrem dispositivos ou terminais remotos periféricos/estações de trabalho, mesmo que esses dispositivos estejam ligados ao equipamento que se encontra na central informática.

30.

ÁREA DE TERMINAIS REMOTOS/ESTAÇÕES DE TRABALHO: Uma área que contenha equipamento informático, os seus dispositivos ou terminais periféricos locais/estações de trabalho e qualquer equipamento associado de comunicações, separada de uma central informática.

31.

Contra-medidas TEMPEST: Medidas de segurança destinadas a proteger o equipamento e as infra-estruturas de comunicações contra a fuga de informações classificadas resultante de emissões electromagnéticas não intencionais.

32.

As responsabilidades do Comité de Segurança, definidas no ponto 4 da secção I, incluem as questões INFOSEC. O Comité de Segurança organizará as suas actividades de forma a poder prestar aconselhamento técnico sobre essas questões.

33.

Sempre que surjam problemas de segurança (incidentes, infracções, etc.), serão imediatamente tomadas as medidas adequadas pela autoridade nacional responsável e/ou pelo Serviço de Segurança do SGC. Todos os problemas deverão ser comunicados ao Serviço de Segurança do SGC.

34.

O Secretário-Geral/Alto Representante ou, se for caso disso, o chefe de um organismo descentralizado da UE, criarão uma unidade INFOSEC encarregada de dar orientações à autoridade de segurança sobre a criação e controlo de elementos de segurança especiais concebidos como parte dos SISTEMAS.

35.

A AAS deverá ser uma das seguintes autoridades:

36.

Competirá à AAS assegurar a conformidade dos SISTEMAS com a política de segurança do Conselho. Uma das suas tarefas será a aprovação de um SISTEMA destinado a tratar as informações classificadas da UE até um determinado nível de classificação no seu ambiente operacional. No que se refere ao SGC e, se for caso disso, aos organismos descentralizados da UE, a AAS terá a responsabilidade pela segurança em nome do Secretário-Geral/Alto Representante ou dos chefes dos organismos descentralizados.

A competência da AAS do SGC abrangerá todos os SISTEMAS que estão em funcionamento nos locais do SGC. Os SISTEMAS e os componentes de SISTEMAS em funcionamento num Estado-Membro continuarão a ser da competência desse Estado-Membro. Sempre que diferentes componentes de um SISTEMA passem a ser da competência da AAS do SGC e de outras AAS, todas as partes nomearão um conselho de acreditação conjunto que será coordenado pela AAS do SGC.

37.

A Autoridade INFOSEC é responsável pelas actividades da unidade INFOSEC. No que se refere ao SGC e, se for caso disso, aos organismos descentralizados da UE, a Autoridade INFOSEC terá a responsabilidade de:

38.

A Autoridade INFOSEC deverá delegar o mais cedo possível na AOSI a responsabilidade pela aplicação e funcionamento dos controlos e dos elementos de segurança especiais do SISTEMA. Essa responsabilidade estender-se-á por todo o ciclo de vida do SISTEMA, desde a fase de concepção do projecto até à remoção final.

39.

A AOSI será responsável por todas as medidas de segurança que constituam parte do SISTEMA global. Essa responsabilidade inclui a preparação dos POS. A AOSI definirá as normas e práticas de segurança a respeitar pelo fornecedor do SISTEMA.

40.

A AOSI pode delegar parte das suas responsabilidades, sempre que necessário, designadamente no oficial de segurança da INFOSEC e no oficial de segurança responsável pelo sítio da INFOSEC. As diversas funções INFOSEC podem ser desempenhadas por uma única pessoa.

41.

Todos os utilizadores deverão assegurar que as suas actividades não são nocivas para a segurança do SISTEMA que estão a utilizar.

42.

Serão realizadas, a vários níveis e para o diferente pessoal, acções e de formação INFOSEC no âmbito do SCG, dos organismos descentralizados da UE ou dos órgãos governamentais dos Estados-Membros, conforme adequado.

43.

Os utilizadores do SISTEMA devem possuir habilitação de segurança e ter necessidade de tomar conhecimento, que correspondam à classificação e ao conteúdo das informações tratadas no seu SISTEMA específico. Para ter acesso a determinados equipamentos ou informações específicos à segurança dos SISTEMAS é necessária uma habilitação de segurança especial, concedida segundo os procedimentos do Conselho.

44.

A AAS deve designar todos os postos sensíveis e definir o nível de habilitação de segurança e de supervisão necessário para todos os agentes que trabalham nesses postos.

45.

Os SISTEMAS devem ser especificados e concebidos de uma forma que facilite a repartição das tarefas e responsabilidades entre os membros do pessoal, para que nenhuma pessoa possa ter o conhecimento e o controlo completos dos pontos-chave do sistema de segurança. Pretende-se com isto que, sem a cumplicidade entre duas ou mais pessoas, não seja possível efectuar modificações ou degradar intencionalmente o sistema ou a rede.

46.

A central informática e as áreas de terminais/estações de trabalho (tal como definidas nos pontos 29 e 30) onde sejam tratadas, por meios informáticos, informações CONFIDENTIEL UE ou com uma classificação superior, ou onde for possível o acesso a tais informações, serão definidas como áreas de segurança UE da classe I ou II ou o seu equivalente a nível nacional, conforme o caso.

47.

A central informática ou as áreas de terminais/estações de trabalho onde a segurança do SISTEMA possa ser alterada não podem ser ocupadas por um único funcionário autorizado ou outro agente.

48.

Todas as informações e material que permitam o controlo do acesso a um SISTEMA devem ser protegidas de modo correspondente à classificação mais elevada e à categoria das informações às quais esse sistema possa dar acesso.

49.

Quando já não forem utilizados para esse efeito, as informações e o material de controlo do acesso devem ser destruídos, em conformidade com o disposto nos pontos 61 a 63.

50.

Compete à entidade de origem das informações identificar e classificar todos os documentos portadores de informações, quer se apresentem sob a forma de cópias impressas ou de suporte informático. Cada página de cópia impressa deverá ser marcada, em cima e em baixo, com a classificação. O produto, quer se apresente sob a forma de cópias impressas ou de suporte informático, deverá ter a mesma classificação que a classificação mais alta atribuída às informações utilizadas para a sua produção. O modo como funciona um SISTEMA também pode ter influência na classificação dos produtos desse sistema.

51.

Compete a um organismo e às pessoas que nele são detentores de informações analisar os problemas que surgem quando se agregam elementos de informação, assim como as deduções que podem ser retiradas dos elementos agregados, e determinar se é ou não adequada uma classificação superior para a totalidade da informação.

52.

O facto de a informação consistir num código abreviado, código de transmissão ou qualquer outra forma de representação binária não constitui qualquer protecção de segurança, não devendo portanto influenciar a sua classificação.

53.

Quando uma informação for transferida de um SISTEMA para outro, deverá ser protegida durante a transferência e no SISTEMA receptor, de uma forma consentânea com a classificação e a categoria originais da informação.

54.

Todos os suportes informáticos deverão ser tratados em conformidade com a classificação mais elevada da informação armazenada ou da identificação do suporte, devendo sempre ser protegidos de forma adequada.

55.

Os suportes informáticos reutilizáveis usados para registar informações classificadas da UE deverão manter a classificação mais elevada que já lhes tenha sido atribuída enquanto essas informações não forem convenientemente desgraduadas ou desclassificadas e os suportes não forem reclassificados em conformidade, ou os suportes não forem desclassificados ou destruídos segundo um procedimento aprovado pelo SGC ou a nível nacional (ver pontos 61 a 63).

56.

Os acessos às informações classificadas SECRET UE ou nível superior deverão ser averbados num registo manual ou automático (pistas de auditoria). Esses registos deverão ser mantidos em conformidade com as presentes regras de segurança.

57.

O material classificado da UE existente na central informática pode ser tratado como um elemento classificado e não precisa de ser registado, desde que esse material seja identificado, marcado com a respectiva classificação e controlado de forma adequada.

58.

Sempre que o material proveniente de um SISTEMA que trate informações classificadas da UE for transmitido a uma área de terminais remotos/estações de trabalho a partir de uma central informática, deverão ser definidos procedimentos, aprovados pela AAS, para controlar a produção no terminal. No que diz respeito ao material com a classificação SECRET UE e superior, tais procedimentos deverão incluir instruções específicas no que diz respeito à responsabilidade pelas informações.

59.

Todos os suportes informáticos amovíveis com a classificação CONFIDENTIEL UE ou superior deverão ser tratados como material, sendo-lhes aplicadas as regras gerais correspondentes. É necessário adaptar a identificação adequada e as marcações da classificação à natureza física específica do suporte, para permitir que seja claramente reconhecido.

60.

Os utilizadores deverão assumir a responsabilidade de armazenar as informações classificadas da UE em suportes com a devida marcação da classificação e a devida protecção. Deverão ser definidos procedimentos destinados a garantir que, para todos os níveis de informações da UE, o armazenamento de informações em suportes informáticos seja feito segundo as presentes regras de segurança.

61.

Os suportes informáticos utilizados para registar informações classificadas da UE podem ser desgraduados ou desclassificados, aplicando os procedimentos aprovados pelo SGC ou a nível nacional.

62.

Os suportes informáticos que tiverem contido informações TRÈS SECRET UE/EU TOP SECRET ou com uma categoria especial não serão desclassificados nem reutilizados.

63.

Se os suportes informáticos não puderem ser desclassificados ou não forem reutilizáveis, deverão ser destruídos segundo um procedimento aprovado pelo SGC ou a nível nacional.

64.

Quando as informações classificadas da UE forem transmitidas por meios electromagnéticos, deverão ser aplicadas medidas especiais para proteger a confidencialidade, a integridade e a disponibilidade dessas transmissões. A AAS determinará os requisitos necessários para impedir a detecção e intercepção das transmissões. As informações transmitidas através de um sistema de comunicações deverão ser protegidas com base em requisitos de confidencialidade, integridade e disponibilidade.

65.

Sempre que forem necessários métodos criptográficos para garantir a protecção da confidencialidade, da integridade e da disponibilidade, esses métodos ou produtos associados deverão ser especificamente aprovados pela AAS para o efeito.

66.

Durante a transmissão, a confidencialidade das informações com classificação SECRET UE e superior deverá ser protegida por métodos ou produtos criptográficos aprovados pelo Conselho sob recomendação do Comité de Segurança do Conselho. Durante a transmissão, a confidencialidade das informações CONFIDENTIEL UE ou RESTREINT UE deverá ser protegida por métodos ou produtos criptográficos aprovados quer pelo Secretário-Geral/Alto Representante, sob recomendação do Comité de Segurança do Conselho, que por um Estado-Membro.

67.

As regras pormenorizadas aplicáveis à transmissão de informações classificadas da UE deverão ser definidas em instruções de segurança específicas aprovadas pelo Conselho sob recomendação do Comité de Segurança do Conselho.

68.

Em circunstâncias operacionais excepcionais, as informações classificadas RESTREINT UE, CONFIDENTIEL UE e SECRET UE podem ser transmitidas em claro, desde que isso seja explicitamente autorizado caso a caso. Essas circunstâncias excepcionais são as seguintes:

69.

Um SISTEMA deve ter a capacidade de impedir positivamente o acesso às informações classificadas da UE em qualquer dos seus terminais ou estações de trabalho, sempre que necessário, quer através da desconexão física ou de dispositivos informáticos especiais aprovados pela AAS.

70.

O caderno de encargos para a instalação inicial dos SISTEMAS e qualquer posterior alteração importante deverá estipular que sejam feitas por instaladores com habilitação de segurança, sob a constante supervisão de pessoal tecnicamente qualificado que esteja habilitado para o acesso a informações classificadas da UE ao nível equivalente à classificação mais alta que o SISTEMA deverá armazenar e tratar.

71.

Todos os equipamentos devem ser instalados de acordo com a actual política de segurança do Conselho.

72.

Os SISTEMAS que tratam informações com a classificação CONFIDENTIEL UE ou superior devem ser protegidos de forma a que a sua segurança não possa ser ameaçada por fugas resultantes de emissões, cujo estudo e controlo se designam pelo termo «TEMPEST».

73.

As contra-medidas TEMPEST para as instalações do SGC e dos organismos descentralizados da UE devem ser revistas e aprovadas por uma autoridade TEMPEST designada pela autoridade de segurança do SGC. No que diz respeito às instalações nacionais que tratam informações classificadas da UE, a autoridade de aprovação será a autoridade de aprovação TEMPEST reconhecida a nível nacional.

74.

Os POS definem os princípios a adoptar em matéria de segurança, os procedimentos operacionais a seguir e as responsabilidades do pessoal. Os POS serão estabelecidos sob a responsabilidade da AOSI.

75.

A segurança das aplicações será determinada com base numa avaliação da classificação de segurança do próprio programa e não na classificação das informações a tratar. As versões dos programas informáticos a uso deverão ser verificadas a intervalos regulares para garantir a sua integridade e o seu correcto funcionamento.

76.

Não deverão ser utilizadas versões novas ou alteradas dos programas para o tratamento de informações classificadas da UE enquanto não forem verificadas pela AOSI.

77.

A verificação da presença de programas malignos/vírus informáticos deverá ser feita periodicamente segundo os requisitos da AAS.

78.

Antes de serem introduzidos em qualquer SISTEMA, todos os suportes informáticos que dão entrada no SGC, nos organismos descentralizados da UE ou nos Estados-Membros deverão ser controlados a fim de detectar a presença de quaisquer programas malignos ou vírus informáticos.

79.

Os contratos e os procedimentos relativos à manutenção prevista ou solicitada dos SISTEMAS, para os quais tenha sido elaborada uma lista RSES, deverão especificar os requisitos e as disposições relativas ao pessoal de manutenção e respectivo equipamento que penetrem numa central informática.

80.

Os requisitos deverão ser claramente mencionados na lista RSES e os procedimentos claramente indicados nos POS. A manutenção por contratação que exija procedimentos de diagnóstico de acesso remoto só será permitida em circunstâncias excepcionais, sob um controlo de segurança rigoroso e unicamente com o consentimento da AAS.

81.

Qualquer produto de segurança a utilizar pelo SISTEMA que deva ser obtido por contratação pública deverá ter sido avaliado e certificado, ou estar em processo de avaliação e certificação, por um organismo competente para o efeito com base em critérios reconhecidos a nível internacional (tais como os Critérios Comuns de Avaliação da Segurança Informática (ver ISO 15408).

82.

Para decidir se o equipamento, designadamente os suportes informáticos, deverá ser alugado em vez de adquirido, há que ter presente que esse equipamento, uma vez utilizado para o tratamento de informações classificadas da UE, não pode abandonar os locais que lhe asseguram a protecção necessária sem primeiro ter sido desclassificado com a aprovação da AAS, aprovação essa que nem sempre é possível.

93.

Os microcomputadores/computadores pessoais (PCs) dotados de discos fixos (ou outras memórias não voláteis), que funcionem autonomamente ou em rede, assim como os dispositivos informáticos portáteis (por exemplo, PCs portáteis e «agendas electrónicas») com discos duros fixos, serão considerados meios de armazenamento de informações na mesma acepção que as disquetes ou outros suportes informáticos amovíveis.

94.

Estes equipamentos deverão dispor de um nível de protecção, em termos de acesso, tratamento, armazenamento e transporte, correspondente ao nível de classificação mais elevado da informação alguma vez neles armazenada ou tratada (até ser desgraduada ou desclassificada segundo procedimentos aprovados).

95.

É proibida a utilização de suportes informáticos amovíveis, de programas e de equipamentos informáticos privados (por exemplo PCs e dispositivos informáticos portáteis) dotados de memória, para tratar informações classificadas da UE.

96.

Os equipamentos, programas e suportes informáticos de uso privado não podem ser introduzidos em nenhuma área das categorias I ou II onde sejam tratadas informações classificadas da UE sem autorização do chefe do Serviço de Segurança do SCG, de um ministério ou serviço de um Estado-Membro ou do respectivo organismo descentralizado da UE.

97.

O chefe do Serviço de Segurança do SGC, de um ministério ou serviço de um Estado-Membro ou do respectivo organismo descentralizado da UE pode autorizar a utilização de equipamentos e programas informáticos pertencentes a prestadores de serviços em organizações que prestam apoio ao trabalho oficial do Conselho. Também poderá ser autorizada a utilização, por funcionários do SGC ou de um organismo descentralizado da UE, de equipamentos e programas informáticos fornecidos a nível nacional. Neste caso, o equipamento informático deverá ser controlado e inscrito num inventário adequado do SGC. Em qualquer dos casos, se o equipamento informático for utilizado para tratar informações classificadas da UE, deverá ser então consultada a AAS competente, para que os elementos INFOSEC aplicáveis à utilização desse equipamento sejam devidamente analisados e aplicados.

1.

A divulgação de informações classificadas da UE a Estados terceiros ou organizações internacionais será decidida pelo Conselho com base:

Será pedida autorização ao Estado-Membro que está na origem das informações classificadas da UE.

2.

Tais decisões serão tomadas caso a caso, com base no seguinte:

3.

A aceitação de informações classificadas da UE por parte de Estados terceiros ou organizações internacionais implica a garantia de que as informações não serão utilizadas para outros fins que não sejam os que motivaram a divulgação ou troca de informações, e de que garantirão a protecção exigida pelo Conselho.

4.

Tendo o Conselho decidido que as informações classificadas podem ser divulgadas ou trocadas com um determinado Estado ou organização internacional, decidirá também sobre o nível de cooperação possível. Esta depende, em particular, da política de segurança e das regulamentações aplicadas por esse Estado ou organização.

5.

Existem três níveis de cooperação:

Nível 1Cooperação com Estados terceiros ou com organizações internacionais cuja política e regulamentação em matéria de segurança estão muito próximas das da UE.

Nível 2Cooperação com Estados terceiros ou com organizações internacionais cuja política e regulamentação em matéria de segurança são sensivelmente diferentes das da UE.

Nível 3Cooperação pontual com países terceiros ou com organizações internacionais cuja política e regulamentação em matéria de segurança não podem ser avaliadas.

6.

Cada nível de cooperação determinará as regulamentações em matéria de segurança, reformuladas caso a caso à luz do parecer técnico do Comité de Segurança do Conselho, que os beneficiários serão chamados a aplicar à protecção das informações classificadas que lhes foram divulgadas. Estes procedimentos e regulamentos em matéria de segurança são explicitados nos apêndices 4, 5 e 6.

7.

Uma vez que tenha constatado que existe uma necessidade permanente ou a longo prazo de trocar informações classificadas entre a UE e Estados terceiros ou outras organizações internacionais, o Conselho concluirá «acordos sobre procedimentos de segurança para a troca de informações classificadas» com a outra parte, que definirão o objectivo da cooperação e as regras recíprocas em matéria de protecção das informações trocadas.

8.

No caso da cooperação pontual do nível 3, que, por definição, é limitada no tempo e no objectivo, o «acordo sobre procedimentos para a troca de informações classificadas» poderá ser substituído por um simples memorando de entendimento que defina a natureza das informações classificadas a trocar e as obrigações recíprocas em relação a essas informações, desde que não sejam classificadas num nível superior ao de RESTREINT UE.

9.

Os projectos de acordo sobre procedimentos de segurança ou de memorandos de entendimento serão aprovados pelo Comité de Segurança antes de serem apresentados ao Conselho para decisão.

10.

As ANS prestam ao Secretário-Geral/Alto Representante a assistência necessária para garantir que as informações comunicadas serão utilizadas e protegidas em conformidade com o disposto nos acordos sobre procedimentos de segurança ou nos memorandos de entendimento.

Telephone Secretariat

:

+ 32/2/519 05 74

Telephone Presidency

:

+ 32/2/501 82 20

+ 32/2/501 87 10

Fax

:

+ 32/2/519 05 96

Tel.

:

(420) 257 28 33 35

Fax

:

(420) 257 28 31 10

Telephone

:

(45) 33 14 88 88

Fax

:

(45) 33 43 01 90

Telephone

:

(45) 33 32 55 66

Fax

:

(45) 33 93 13 20

Telefon

:

+ 49-1-888 681 15 26

Fax

:

+ 49-1-888 681 558 06

Telephone

:

+ 372/717 00 30

+ 372/717 00 31

+ 372/717 00 77

Fax

:

+ 372/717 00 01

Τηλέφωνα

:

(30-210) 657 20 09 (ώρες γραφείου)

(30-210) 657 20 10 (ώρες γραφείου)

Φαξ

:

(30-210) 642 64 32

(30-210) 652 76 12

Telephone

:

(30-210) 657 20 09 (office hours)

(30-210) 657 20 10 (office hours)

Fax

:

(30-210) 642 64 32

(30-210) 652 76 12

Telephone

:

+ 34/913 72 57 07

+ 34/913 72 50 27

Fax

:

+ 34/913 72 58 08

Telephone

:

+ 33/1/71 75 81 77

Fax

:

+ 33/1/71 75 82 00

Telephone

(353-1) 478 08 22

Fax

(353-1) 478 14 84

Telephone

:

+ 39/06/611 742 66

Fax

:

+ 39/06/488 52 73

Τηλέφωνα

:

(357-22) 80 75 69

(357-22) 80 75 19

(357-22) 80 77 64

Φαξ

:

(357-22) 30 23 51

Telephone

:

(357-22) 80 75 69

(357-22) 80 75 19

(357-22) 80 77 64

Fax

:

(357-22) 30 23 51

Telephone

:

+ 371/702 54 18

Fax

:

+ 371/702 54 54

Telephone

:

+ 370/5/266 32 01

Fax

:

+ 370/5/266 32 00

Telephone

:

+ 352/478 22 10 central

+ 352/478 22 35 direct

Fax

:

+ 352/478 22 43

+ 352/478 22 71

Telephone

:

+ 361/346 96 52

Fax

:

+ 361/346 96 58

Telephone

:

+ 356/21 24 98 44

Fax

:

+ 356/21 23 53 00

Telephone

:

(31-70) 320 44 00

Fax

:

(31-70) 320 07 33

Telephone

:

(31-70) 318 70 60

Fax

:

(31-70) 318 75 22

Telefon

:

+ 43-1-531 15 23 96

Fax

:

+ 43-1-531 15 25 08

Telephone

:

+ 48/22/684 13 62

Fax

:

+ 48/22/684 10 76

Telephone

:

+ 48/22/585 73 60

Fax

:

+ 48/22/585 85 09

Tel.

:

(351) 21 301 17 10

Fax

:

(351) 21 303 17 11

Tel.:

(386-1) 426 91 20

Faks:

(386-1) 426 91 21

Telephone

:

+ 421/2/68 69 23 14

Fax

:

+ 421/2/68 69 17 00

Telephone

:

(358-9) 16 05 53 38

Fax

:

(358-9) 16 05 53 03

Telephone

:

+ 46/8/405 54 44

Fax

:

+ 46/8/723 11 76

Telephone

(44-207) 930 87 68

Fax

(44-207) 821 86 04

1.

Cabe ao Conselho a competência para autorizar a divulgação de informações classificadas da UE a países não signatários do Tratado da União Europeia ou a outras organizações internacionais com políticas e regulamentações de segurança comparáveis às da UE.

2.

O Conselho pode delegar a decisão de autorizar a divulgação de informações classificadas indicando a natureza das informações cuja divulgação pode ser autorizada e o seu nível de classificação, que não será normalmente superior a CONFIDENTIEL UE.

3.

Sob reserva da celebração de um acordo de segurança, os pedidos de divulgação de informações classificadas da UE serão apresentados ao Secretário-Geral/Alto Representante pelos organismos de segurança dos Estados ou organizações nacionais interessados, os quais deverão indicar o fim a que as informações se destinam e a natureza das informações classificadas a divulgar.

Estes pedidos podem igualmente ser feitos por um Estado-Membro ou um organismo descentralizado da UE que considerem desejável a divulgação de informações classificadas da UE; os interessados deverão indicar os fins a que se destinam essas informações e os benefícios que a sua divulgação trará à UE, especificando a natureza e a classificação das informações a divulgar.

4.

O pedido será apreciado pelo SGC, que:

5.

O SGC enviará o pedido ao Conselho, para decisão, acompanhado das recomendações do Serviço de Segurança.

6.

O Secretário-Geral/Alto Representante notificará as organizações internacionais ou Estados beneficiários da decisão do Conselho de autorizar a divulgação das informações classificadas da UE, enviando-lhes tantos exemplares das presentes regras de segurança quantos forem considerados necessários. Se o pedido tiver sido apresentado por um Estado-Membro, será este a notificar o interessado da autorização de divulgar.

A decisão de divulgar só entrará em vigor quando os beneficiários derem garantias por escrito de que:

7.

Pessoal

8.

Transmissão de documentos

9.

Registo

Logo que o registo receba um documento com classificação CONFIDENTIEL UE ou superior, inscrevê-lo-á num livro especial conservado pela organização, com colunas para a data de recepção, as referências do documento (data, número de referência e número do exemplar), a classificação, o título do documento, o nome ou título de quem o recebeu, a data de envio do recibo e a data de destruição ou devolução do documento ao serviço ou entidade da UE que o emitiu.

10.

Destruição

11.

Protecção dos documentos

Serão tomadas todas as disposições para impedir o acesso de pessoas não autorizadas às informações classificadas da UE.

12.

Cópias, traduções e extractos

Não poderão ser feitas fotocópias ou traduções nem produzidos extractos de documentos classificados de CONFIDENTIEL UE ou SECRET UE sem autorização do chefe do serviço de segurança competente, que registará e verificará essas cópias, traduções ou extractos, carimbando-os, se necessário.

A reprodução ou tradução de um documento TRÈS SECRET UE/EU TOP SECRET só poderá ser autorizada pela entidade de origem, que especificará o número de cópias autorizado; se não for possível determinar a entidade de origem, o pedido será remetido para o Serviço de Segurança do SGC.

13.

Quebras de segurança

No caso de ocorrência ou suspeita de quebra de segurança em que esteja envolvido um documento classificado da UE, deverão ser imediatamente tomadas as seguintes disposições, sob reserva da conclusão de um acordo de segurança:

14.

Inspecções

O Serviço de Segurança do SGC será autorizado, por acordo com os Estados ou organizações internacionais em questão, a proceder a uma avaliação da eficácia das medidas de protecção das informações classificadas da UE que lhes sejam divulgadas.

15.

Relatórios

Sob reserva da celebração de um acordo de segurança, enquanto o Estado ou organização internacional tiver na sua posse informações classificadas da UE, deverá apresentar, até uma data a especificar no momento em que for dada autorização para divulgar essas informações, um relatório anual confirmando que foram respeitadas as regras constantes das presentes regras de segurança.

1.

Compete ao Conselho autorizar a divulgação de informações classificadas da UE a Estados terceiros ou organizações internacionais cujas políticas e regulamentações de segurança sejam marcadamente diferentes das da UE. Em princípio, esta competência restringe-se a informações classificadas até ao nível SECRET UE inclusive, excluindo a informação nacional especificamente reservada aos Estados-Membros e as categorias de informações classificadas da UE protegidas por marcações especiais.

2.

O Conselho pode delegar a decisão de autorizar a divulgação de informações classificadas; ao fazê-lo indicará, com as restrições referidas no n.o 1, a natureza das informações cuja divulgação pode ser autorizada e o seu nível de classificação, que não será superior a RESTREINT UE.

3.

Sob reserva da celebração de um acordo de segurança, os pedidos de divulgação de informações das da UE serão apresentados ao Secretário-Geral/Alto Representante pelos organismos de segurança dos Estados ou organizações nacionais interessados, os quais deverão indicar o fim a que as informações se destinam e a natureza e a classificação das informações a divulgar.

Estes pedidos podem igualmente ser feitos por um Estado-Membro ou um organismo descentralizado da UE que considerem desejável a divulgação de informações classificadas da UE; os interessados deverão indicar os fins a que se destinam essas informações e os benefícios que a sua divulgação trará à UE, especificando a natureza e a classificação das informações a divulgar.

4.

O pedido será apreciado pelo SGC, que:

5.

O parecer técnico do Comité de Segurança do Conselho incidirá sobre os seguintes aspectos:

6.

O Secretário-Geral/Alto Representante enviará o pedido ao Conselho, para decisão, acompanhado do parecer técnico do Comité de Segurança do Conselho obtido pelo Serviço de Segurança do SGC.

7.

A decisão do Conselho de autorizar a divulgação de informações classificadas da UE será comunicada às organizações internacionais ou Estados beneficiários pelo Secretário-Geral/Alto Representante, acompanhada de um quadro comparativo das classificações aplicáveis na UE e nos Estados ou organizações em causa. Se o pedido tiver sido apresentado por um Estado-Membro, será este a notificar o beneficiário da autorização de divulgar as informações pretendidas.

A decisão de divulgar só entrará em vigor quando os beneficiários derem garantias por escrito de que:

8.

Serão aplicáveis as regras de protecção adiante enunciadas, salvo se o Conselho, depois de obter o parecer técnico do Comité de Segurança, optar por um procedimento específico para o tratamento dos documentos classificados da UE (supressão da menção referente à classificação UE, marcação específica, etc.).

Neste caso, as regras serão adaptadas em conformidade.

9.

Pessoal

10.

Transmissão de documentos

11.

Registo à chegada

A ANS do Estado destinatário ou a entidade sua homóloga que receber em nome do Governo desse Estado as informações classificadas enviadas pela UE, ou o gabinete de segurança da organização internacional receptora, abrirão um registo especial para inscrever as informações classificadas da UE após a sua recepção. Esse registo conterá colunas para a data de recepção, as referências do documento (data, número de referência e número do exemplar), a classificação, o título do documento, o nome ou título do destinatário, a data de envio do recibo e a data de devolução do documento à UE ou da sua destruição.

12.

Devolução dos documentos

Quando a entidade receptora devolve um documento classificado ao Conselho ou ao Estado-Membro que o divulgou, procederá conforme indicado no ponto 10.

13.

Protecção

14.

Segurança física

15.

Quebras de segurança

No caso de ocorrência ou suspeita de quebra de segurança em que esteja envolvido um documento classificado UE, deverão ser imediatamente tomadas as seguintes disposições:

16.

Inspecções

O Serviço de Segurança do SGC será autorizado, por acordo com os Estados ou organizações internacionais em questão, a proceder a uma avaliação da eficácia das medidas de protecção das informações classificadas da UE que lhes sejam divulgadas.

17.

Relatórios

Enquanto o Estado ou organização internacional tiver na sua posse informações classificadas da UE, deverá apresentar, até uma data a especificar no momento em que for dada autorização para divulgar essas informações, um relatório anual confirmando que foram respeitadas as regras de segurança.

1.

Ocasionalmente o Conselho pode desejar cooperar, em circunstâncias especiais, com Estados ou organizações que não possam dar as garantias exigidas pelas presentes regras de segurança, apesar de essa cooperação poder requerer a divulgação de informações classificadas da «UE». Essa divulgação não incluirá nunca informações nacionais, especificamente reservadas aos Estados-Membros.

2.

Em tais circunstâncias, os pedidos de cooperação com a «UE», sejam eles provenientes de Estados terceiros ou organizações internacionais ou propostos pelos Estados-Membros ou, se for caso disso, por organismos descentralizados da «UE», serão primeiro apreciados em substância pelo Conselho, que, se necessário, pedirá o parecer do Estado-Membro ou do organismo descentralizado que emitiu a informação. O Conselho ajuizará da sensatez de autorizar a divulgação das informações classificadas, avaliará a necessidade de o beneficiário delas tomar conhecimento e decidirá sobre a natureza das informações classificadas que poderão ser comunicadas.

3.

Se a decisão do Conselho for favorável, caberá ao Secretário-Geral/Alto Representante convocar o Comité de Segurança do Conselho ou informar-se junto das «ANS» dos Estados-Membros, por procedimento escrito simplificado se tal for adequado, a fim de obter o parecer técnico do Comité de Segurança.

4.

O parecer técnico do Comité de Segurança do Conselho incidirá sobre os seguintes aspectos:

5.

Os documentos divulgados aos Estados ou organizações a que se refere o presente apêndice serão, em princípio, preparados sem referência à sua origem ou à classificação «UE». O Comité de Segurança do Conselho poderá recomendar:

6.

O Serviço de Segurança do SGC submeterá o parecer técnico do Comité de Segurança à apreciação do Conselho, juntando-lhe, se for caso disso, as propostas de delegação de poderes necessárias para a realização da operação, especialmente em casos urgentes.

7.

Uma vez que a divulgação de informações classificadas da «UE» e os procedimentos de execução prática tenham sido aprovados pelo Conselho, o Serviço de Segurança do «SGC» estabelecerá os contactos necessários com o organismo de segurança do Estado ou organização interessados, a fim de facilitar a aplicação das medidas de segurança previstas.

8.

A título de elemento de referência, o Serviço de Segurança do «SGC» enviará a todos os Estados-Membros e, se for caso disso, aos organismos descentralizados da «UE» interessados um quadro-resumo do tipo e classificação das informações, com indicação das organizações e países aos quais pode ser divulgada, conforme decisão do Conselho.

9.

A «ANS» do Estado-Membro que procede à divulgação das informações ou o Serviço de Segurança do «SGC» tomarão todas as medidas necessárias para facilitar a avaliação de eventuais prejuízos ou danos e a reapreciação dos procedimentos.

10.

O Conselho será chamado a pronunciar-se novamente sempre que as condições de cooperação sejam alteradas.

11.

A decisão do Conselho de autorizar a divulgação de informações classificadas da «UE» será comunicada às organizações internacionais ou Estados beneficiários pelo Secretário-Geral/Alto Representante, acompanhada de uma resenha detalhada das regras de protecção propostas pelo Comité de Segurança do Conselho e aprovadas por este último. Se o pedido tiver sido apresentado por um Estado-Membro, será este a notificar o beneficiário de que foi autorizada a divulgação das informações pretendidas.

A decisão só entrará em vigor quando os beneficiários derem garantias por escrito de que:

12.

Transmissão de documentos

13.

Registo à chegada

A ANS do Estado destinatário ou a entidade sua homóloga que receber em nome do Governo desse Estado as informações classificadas enviadas pela «UE», ou o gabinete de segurança da organização internacional receptora, abrirão um registo especial para inscrever as informações classificadas da «UE» após a sua recepção. Esse registo conterá colunas para a data de recepção, as referências do documento (data, número de referência e número do exemplar), a classificação, o título do documento, o nome ou título do destinatário, a data de envio do recibo e a data de devolução do documento à «UE» ou da sua destruição.

14.

Utilização e protecção das informações classificadas recebidas

15.

Destruição

Os documentos que deixem de ser necessários devem ser destruídos. No caso dos documentos de nível «RESTREINT UE» e «CONFIDENTIEL UE», a sua destruição será averbada nos registos especiais. No caso dos documentos de nível «SECRET UE», serão passados certificados de destruição, que deverão ser assinados por duas pessoas que tenham assistido à operação.

16.

Quebras de segurança

Em caso de fuga ou suspeita de fuga de informações de nível «CONFIDENTIEL UE» ou «SECRET UE», a «ANS» do Estado ou o chefe dos serviços de segurança da organização conduzirão um inquérito sobre as circunstâncias dessa fuga. Se o inquérito produzir resultados positivos, a autoridade de origem será notificada. Serão tomadas as medidas necessárias para corrigir procedimentos ou métodos de armazenagem inadequados, se tiverem sido estes a dar origem à fuga. O Secretário-Geral/Alto Representante ou a «ANS» do Estado-Membro que transmitiu a informação em causa poderão pedir ao beneficiário que lhes forneça pormenores do inquérito.