Decisão da Comissão

de 29 de Novembro de 2001

que altera o seu Regulamento Interno

[notificada com o número C(2001) 3031]

(2001/844/CE, CECA, Euratom)

A COMISSÃO DAS COMUNIDADES EUROPEIAS,

Tendo em conta o Tratado que institui a Comunidade Europeia, e, nomeadamente, o n.o 2 do seu artigo 218.o,

Tendo em conta o Tratado que institui a Comunidade Europeia do Carvão e do Aço, e, nomeadamente, o seu artigo 16.o,

Tendo em conta o Tratado que institui a Comunidade Europeia da Energia Atómica, e, nomeadamente, o seu artigo 131.o,

Tendo em conta o Tratado da União Europeia, e, nomeadamente, o n.o 1 do seu artigo 28.o e o n.o 1 do seu artigo 41.o,

DECIDE:

Artigo 1.o

As disposições da Comissão em matéria de segurança, cujo texto consta do anexo da presente decisão, são aditadas, como anexo, ao Regulamento Interno da Comissão.

Artigo 2.o

A presente decisão entra em vigor no dia da sua publicação no Jornal Oficial das Comunidades Europeias.

A presente decisão é aplicável a partir de 1 de Dezembro de 2001.

Feito em Bruxelas, em 29 de Novembro de 2001.

Pela Comissão

O Presidente

Romano Prodi

ANEXO

DISPOSIÇÕES DA COMISSÃO EM MATÉRIA DE SEGURANÇA

Considerando o seguinte:

(1) A fim de desenvolver as actividades da Comissão em áreas que exigem confidencialidade, é necessário estabelecer um regime geral de segurança aplicável à Comissão, às outras instituições, instâncias, gabinetes e agências estabelecidos por força ou com base no Tratado CE, aos Estados-Membros e a qualquer outro destinatário de informações classificadas da União Europeia, a seguir denominadas "informações classificadas da UE".

(2) A fim de salvaguardar a eficácia do regime de segurança assim estabelecido, a Comissão limitará a comunicação de informações classificadas da UE exclusivamente aos organismos externos que ofereçam garantias de que tomaram todas as medidas necessárias para a aplicação de regras estritamente equivalentes às das presentes disposições.

(3) As presentes disposições são adoptadas sem prejuízo do Regulamento n.o 3, de 31 de Julho de 1958, que aplica o artigo 24.o do Tratado que institui a Comunidade Europeia da Energia Atómica(1), do Regulamento (Euratom, CEE) n.o 1588/90 do Conselho, de 11 de Junho de 1990, relativo à transmissão de informações abrangidas pelo segredo estatístico ao Serviço de Estatística das Comunidades Europeias(2), e da Decisão C (95) 1510 final da Comissão, de 23 de Novembro de 1995, relativa à protecção dos sistemas de informação.

(4) Com vista a assegurar o bom funcionamento do processo de tomada de decisões a nível da União, o regime de segurança da Comissão baseia-se nos princípios enunciados na Decisão 2001/264/CE do Conselho, de 19 de Março de 2001, que aprova as regras de segurança do Conselho(3).

(5) A Comissão sublinha a importância de associar, se for caso disso, as outras instituições às regras e normas de confidencialidade necessárias para proteger os interesses da União e dos seus Estados-Membros.

(6) A Comissão reconhece a necessidade de criar o seu próprio conceito de segurança, tendo em conta todos os elementos relativos à segurança e o carácter específico da Comissão enquanto instituição.

(7) As presentes disposições são adoptadas sem prejuízo do artigo 255.o do Tratado e do Regulamento (CE) n.o 1049/2001 do Parlamento Europeu e do Conselho, de 30 de Maio de 2001, relativo ao acesso do público aos documentos do Parlamento Europeu, do Conselho e da Comissão(4);

Artigo 1.o

As regras de segurança da Comissão constam do anexo.

Artigo 2.o

1. O Membro da Comissão responsável pelas questões de segurança toma as medidas adequadas para assegurar que, no tratamento das informações classificadas da UE, as regras a que se refere o artigo 1.o sejam cumpridas pelos funcionários e outros agentes da Comissão e pelo pessoal destacado na Comissão, no interior da Comissão e em todas as suas instalações, incluindo as suas representações e gabinetes na União e as suas delegações em países terceiros, e igualmente pelos prestadores de serviços externos à Comissão.

2. Os Estados-Membros e as outras instituições, instâncias, gabinetes e agências estabelecidos por força ou com base nos Tratados podem receber informações classificadas da UE desde que velem por que, no tratamento de tais informações, sejam aplicadas, nos seus serviços e instalações, regras estritamente equivalentes às referidas no artigo 1.o, nomeadamente por:

a) Membros das representações permanentes dos Estados-Membros junto da União Europeia, bem como pelos membros das delegações nacionais que participem em reuniões da Comissão ou das suas instâncias ou que participem noutras actividades da Comissão;

b) Outros membros das administrações nacionais dos Estados-Membros que tratem informações classificadas da UE, quer exerçam a sua actividade no território dos Estados-Membros quer no estrangeiro;

c) Prestadores externos de serviços e pessoal destacado que tratem informações classificadas da UE.

Artigo 3.o

Os países terceiros, as organizações internacionais e outras instâncias podem receber informações classificadas da UE desde que velem por que, no tratamento de tais informações, sejam aplicadas regras estritamente equivalentes às referidas no artigo 1.o

Artigo 4.o

Em conformidade com os princípios básicos e normas mínimas de segurança que constam da parte I do anexo, o Membro da Comissão responsável pelas questões de segurança pode tomar medidas nos termos da parte II do anexo.

Artigo 5.o

A partir da data em que for aplicável, a presente decisão substitui:

a) A Decisão C(94) 3282 da Comissão, de 30 de Novembro de 1994, relativa às medidas de segurança aplicáveis às informações classificadas elaboradas ou trocadas no âmbito das actividades da União Europeia;

b) A Decisão C(99) 423 da Comissão, de 25 de Fevereiro de 1999, relativa às modalidades segundo as quais os funcionários e agentes da Comissão Europeia podem ser autorizados a aceder a informações classificadas na posse da Comissão.

Artigo 6.o

A partir da data de aplicação das presentes disposições, todas as informações classificadas mantidas pela Comissão até essa data, com excepção das informações classificadas da Euratom:

a) Se tiverem sido criadas pela Comissão, serão automaticamente consideradas reclassificadas "RESERVADO UE", a não ser que os seus autores decidam atribuir-lhes outra classificação até 31 de Janeiro de 2002. Neste caso, os autores informarão todos os destinatários dos documentos em causa;

b) Se tiverem sido criadas por autores exteriores à Comissão, conservarão a sua classificação original e, em consequência, serão tratadas como informações classificadas da UE de nível equivalente, a não ser que os seus autores concordem com a desclassificação ou desgraduação das informações.

(1) JO n.o 17 de 6.10.1958, p. 406/58.

(2) JO L 151 de 15.6.1990, p. 1.

(3) JO L 101 de 11.4.2001, p. 1.

(4) JO L 145 de 31.5.2001, p. 43.

ANEXO

REGRAS DE SEGURANÇA

Índice

>POSIÇÃO NUMA TABELA>

PARTE I: PRINCÍPIOS DE BASE E NORMAS MÍNIMAS DE SEGURANÇA

1. INTRODUÇÃO

As presentes disposições estabelecem os princípios de base e as normas mínimas de segurança que deverão ser respeitadas pela Comissão em todos os seus locais de trabalho e por todos os destinatários de informações classificadas da UE, de modo que a segurança seja salvaguardada e possa ser garantida a existência de uma norma comum de protecção.

2. PRINCÍPIOS GERAIS

A política de segurança da Comissão é parte integrante da sua política geral de gestão interna e baseia-se, portanto, nos princípios que regem a sua política geral.

Esses princípios compreendem a legalidade, a transparência, a responsabilidade e a subsidiariedade (proporcionalidade).

Entende-se por legalidade a necessidade de que a execução das funções de segurança se mantenha estritamente no quadro jurídico, bem como do respeito das exigências legais. Significa, igualmente, que as responsabilidades em matéria de segurança devem assentar em disposições jurídicas apropriadas. Aplicam-se na íntegra as disposições do estatuto dos funcionários, nomeadamente o seu artigo 17.o, sobre a obrigação de discrição em relação às informações da Comissão, e o seu título VI, sobre as medidas disciplinares. Por fim, significa que as quebras de segurança nos domínios de responsabilidade da Comissão devem ser tratadas em conformidade com a política da Comissão em matéria de acções disciplinares e a sua política de cooperação com os Estados-Membros no domínio da justiça penal.

Entende-se por transparência a necessidade de clareza em todas as regras e disposições de segurança, de um equilíbrio entre os diferentes serviços e domínios (segurança física e protecção das informações) e de uma política coerente e estruturada de sensibilização para as questões de segurança. Implica, igualmente, a necessidade de dispor de directrizes escritas claras para a aplicação das medidas de segurança.

Entende-se por responsabilidade a necessidade, não apenas de uma definição clara das responsabilidades no domínio da segurança, mas também de uma verificação regular da correcta execução das mesmas.

Entende-se por subsidiariedade, ou proporcionalidade, que a segurança deve ser organizada ao nível mais baixo possível e tão próximo quanto possível das direcções-gerais e serviços da Comissão. O conceito implica, igualmente, que as actividades de segurança se devem limitar aos elementos que, de facto, se justifiquem. Finalmente, significa que as medidas de segurança devem ser proporcionais aos interesses a proteger e às ameaças reais ou potenciais a esses interesses, para que a protecção exercida cause um mínimo de perturbação.

3. BASES DA SEGURANÇA

As bases da boa segurança são:

a) No interior de cada Estado-Membro, uma organização nacional de segurança responsável:

1. pela recolha e registo de informações sobre espionagem, sabotagem, terrorismo e outras actividades subversivas e

2. por informar e aconselhar o Governo respectivo e, através dele, a Comissão, sobre a natureza das ameaças à segurança e os meios de protecção contra essas ameaças;

b) No interior de cada Estado-Membro, e no interior da Comissão, uma autoridade técnica INFOSEC, que deverá trabalhar com a autoridade de segurança pertinente a fim de informar e aconselhar sobre ameaças técnicas à segurança e os meios de protecção contra essas ameaças;

c) Uma colaboração regular entre ministérios e os serviços competentes das instituições europeias, a fim de estabelecer e recomendar, consoante o caso:

1. as pessoas, informações e recursos que deverão ser protegidos e

2. as normas comuns de protecção;

d) Uma cooperação estreita entre o Serviço de Segurança da Comissão e os serviços de segurança das outras instituições europeias e com o Serviço de Segurança da NATO (NOS).

4. PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO

4.1. Objectivos

A segurança da informação tem os seguintes objectivos principais:

a) Salvaguardar as informações classificadas da UE dos riscos de espionagem, fuga ou divulgação não-autorizada;

b) Salvaguardar as informações da União Europeia tratadas em sistemas e redes de comunicações das ameaças à sua confidencialidade, integridade e disponibilidade;

c) Salvaguardar as instalações da Comissão onde existam informações da União Europeia dos riscos de sabotagem ou de dano intencional;

d) Em caso de falha, avaliar os danos causados, limitar as suas consequências e adoptar as medidas correctivas necessárias.

4.2. Definições

Nas presentes regras, entende-se por:

a) "Informações classificadas da UE", qualquer informação ou material cuja divulgação não-autorizada possa causar vários graus de prejuízo aos interesses da União Europeia, ou a um ou mais dos seus Estados-Membros, quer essa informação provenha da União Europeia ou de Estados-Membros, Estados terceiros ou organizações internacionais.

b) "Documento", qualquer carta, nota, minuta, relatório, memorando, sinal/mensagem, esboço, fotografia, diapositivo, filme, mapa, tabela, plano, bloco de notas, stencil, papel químico, máquina de escrever ou fita impressora, fita magnética, cassete, disco de computador, CD-ROM ou outro meio físico no qual tenha sido registada informação.

c) "Material", "documento" tal como definido na alínea b), bem como qualquer peça de equipamento, já fabricada ou em vias de o ser.

d) "Necessidade de tomar conhecimento", a necessidade de uma determinada pessoa ter acesso a informações classificadas da UE para a execução de uma função ou tarefa.

e) "Autorização", uma decisão do Presidente da Comissão de conceder acesso individual a informações classificadas da UE até um determinado nível, com base no resultado positivo de um inquérito de segurança efectuado por uma autoridade nacional de segurança em conformidade com o direito nacional.

f) "Classificação", a atribuição de um nível apropriado de segurança a informação cuja divulgação não-autorizada possa prejudicar em determinado grau os interesses da Comissão ou dos seus Estados-Membros.

g) "Desgraduação", uma redução do nível de classificação.

h) "Desclassificação", a eliminação de qualquer nível de classificação.

i) "Entidade de origem", o autor, devidamente autorizado, de um documento classificado. Na Comissão, incumbe aos chefes dos serviços autorizar os seus subordinados a produzir informações classificadas da UE.

j) "Serviços da Comissão", as unidades e outros serviços da Comissão, incluindo os Gabinetes, em todos os locais de trabalho, incluindo o Centro Comum de Investigação, as Representações e Gabinetes na União e as Delegações em países terceiros.

4.3. Classificação

a) No que respeita à confidencialidade, é necessário cuidado e experiência na selecção das informações e materiais que deverão ser protegidos e na avaliação do grau de protecção que os mesmos requerem. É fundamental que o grau de protecção corresponda à importância securitária de cada elemento de informação ou peça de material a proteger. A fim de assegurar o bom fluxo da informação, deverão ser tomadas medidas para evitar sobreclassificações e subclassificações.

b) O sistema de classificação constitui o instrumento para pôr em prática estes princípios; deve ser utilizado um sistema semelhante de classificação no planeamento e organização da luta contra a espionagem, a sabotagem, o terrorismo e outras ameaças, de forma a dar o maior grau de protecção às instalações mais importantes onde existam informações classificadas e aos pontos mais sensíveis no interior dessas instalações.

c) A responsabilidade pela classificação das informações incumbe exclusivamente à entidade de origem.

d) O nível de classificação basear-se-á apenas no conteúdo da informação em causa.

e) Quando forem reunidos vários elementos de informação, o nível de classificação a aplicar ao conjunto será pelo menos idêntico à classificação mais elevada entre os elementos em causa. A um conjunto de informações pode, porém, ser atribuída uma classificação mais elevada dos que a das suas partes constituintes.

f) As classificações serão atribuídas e mantidas apenas quando e durante o período necessário.

4.4. Objectivos das medidas de segurança

As medidas de segurança devem:

a) Abranger todas as pessoas que tenham acesso a informações classificadas, os suportes das informações classificadas, os locais onde se encontrem essas informações e as instalações importantes.

b) Ser concebidas para detectar as pessoas cuja localização possa pôr em perigo a segurança de informações classificadas e de instalações importantes onde se encontrem informações classificadas e proceder à sua exclusão ou afastamento.

c) Impedir qualquer pessoa não-autorizada de aceder a informações classificadas ou a instalações que as contenham.

d) Assegurar que as informações classificadas apenas sejam difundidas às pessoas que delas necessitem de tomar conhecimento, princípio fundamental em todos os aspectos da segurança.

e) Assegurar a integridade (ou seja, impedir a deterioração, a alteração não-autorizada ou a eliminação não-autorizada) e a disponibilidade (ou seja, assegurar que o acesso não seja negado às pessoas com necessidade e autorização de acesso) de todas as informações, tanto classificadas como não-classificadas, especialmente das informações armazenadas, tratadas ou transmitidas de forma electromagnética.

5. ORGANIZAÇÃO DA SEGURANÇA

5.1. Normas mínimas comuns

A Comissão deve assegurar que todos os destinatários de informações classificadas da UE, no interior da instituição ou sob a sua competência (por exemplo, os seus serviços e os prestadores de serviços à Comissão), cumpram normas mínimas comuns de segurança, de forma que as informações classificadas da UE possam ser transmitidas com a certeza de que serão tratadas com iguais precauções. Essas normas mínimas devem incluir critérios para a habilitação do pessoal em matéria de segurança e procedimentos para a protecção das informações classificadas da UE.

A Comissão só autorizará o acesso de entidades externas a informações classificadas da UE se as mesmas garantirem que, ao lidarem com essas informações, serão respeitadas disposições pelo menos estritamente equivalentes às referidas normas mínimas.

5.2. Organização

No interior da Comissão, a segurança encontra-se organizada a dois níveis:

a) Ao nível da Comissão no seu todo, existe o Serviço de segurança, que integra uma Autoridade de acreditação de segurança (SAA) - que também desempenha as funções de Autoridade cripto (CrA) e de Autoridade TEMPEST - e uma autoridade INFOSEC (IA) e um ou mais registos centrais de informações classificadas da UE, cada um deles com um ou mais Responsáveis do controlo do registo (RCO).

b) Ao nível dos serviços da Comissão, a segurança está entregue a um ou mais Responsáveis locais de segurança (LSO), a um ou mais Responsáveis centrais da segurança informática (CISO) e responsáveis locais da segurança informática (LISO) e a Registos locais de informações classificadas da UE, com um ou mais Responsáveis do controlo do registo.

c) Os órgãos de segurança centrais dirigem operacionalmente os órgãos de segurança locais.

6. SEGURANÇA DO PESSOAL

6.1. Habilitação do pessoal em matéria de segurança

Todas as pessoas que necessitem de ter acesso a informações com a classificação CONFIDENCIAL UE ou superior deverão ser adequadamente habilitadas a fazê-lo antes de o acesso ser autorizado. Será exigida uma habilitação de segurança semelhante no caso das pessoas cujas funções envolvam a operacionalidade ou a manutenção técnicas de sistemas de comunicações ou informáticos que contenham informações classificadas. Essa habilitação de segurança deverá ser concebida de forma a determinar se os indivíduos em questão:

a) São de lealdade inquestionável;

b) Possuam um carácter e uma discrição que não deixem dúvidas quanto à sua integridade ao lidarem com informações classificadas; ou

c) Podem ser vulneráveis a pressões de origem estrangeira ou outras.

No procedimento de habilitação será dada especial atenção às pessoas:

d) A quem for dado acesso a informações com a classificação MUITO SECRETO UE;

e) Que ocupem posições que impliquem o acesso regular a um volume considerável de informações com a classificação SECRETO UE;

f) Cujas funções lhes dêem acesso especial a sistemas de comunicações ou informáticos protegidos e, por conseguinte, a oportunidade de obter acesso não-autorizado a grandes quantidades de informações classificadas da UE ou de prejudicar seriamente a missão da mesma através de actos de sabotagem técnica.

Nas circunstâncias referidas nas alíneas d), e) e f), deverão ser utilizadas ao máximo as possibilidades práticas da técnica de investigação de antecedentes.

As pessoas sem uma necessidade válida de tomar conhecimento de informações classificadas da UE que desempenhem funções nas quais possam ter acesso a esse tipo de informações (mensageiros, agentes de segurança, pessoal de manutenção e de limpeza, etc.) deverão ser previamente objecto de uma habilitação adequada em matéria de segurança.

6.2. Registos do pessoal habilitado em matéria de segurança

Todos os serviços da Comissão que lidem com informações classificadas da UE ou nos quais existam sistemas de comunicações ou informáticos protegidos deverão manter um registo do seu pessoal ao qual tiver sido concedida uma habilitação em matéria de segurança. Todas as habilitações deverão ser oportunamente verificadas, para determinar a sua adequação às funções actuais da pessoa em questão; serão reexaminadas com carácter prioritário sempre que houver novas informações que indiquem que a continuação do trabalho, da pessoa em questão, com informações classificadas deixou de ser compatível com os interesses da segurança. O responsável local de segurança do serviço da Comissão manterá um registo das habilitações concedidas no seu domínio.

6.3. Formação do pessoal em matéria de segurança

Todo o pessoal ocupado em funções nas quais possa ter acesso a informações classificadas receberá uma formação completa ao assumir funções, e a intervalos regulares, sobre as necessidades de segurança e os meios de a conseguir. Esse pessoal atestará por escrito ter lido e compreendido totalmente as presentes disposições de segurança.

6.4. Responsabilidades dos gestores

Os gestores deverão saber quais os membros do seu pessoal que trabalham com informações classificadas ou que têm acesso a sistemas de comunicações ou informáticos protegidos e deverão registar e relatar todos os incidentes e vulnerabilidades aparentes, susceptíveis de afectar a segurança.

6.5. Estatuto de segurança do pessoal

Serão definidos procedimentos para garantir que, ao ter-se conhecimento de informações desfavoráveis relativamente a uma pessoa, se possa saber se trabalha com informações classificadas ou tem acesso a sistemas de comunicações ou informáticos protegidos, e que seja informado o Serviço de Segurança da Comissão. Se se determinar que essa pessoa constitui um risco para a segurança, deverá ser afastada ou proibida de desempenhar funções em que possa pôr em perigo a segurança.

7. SEGURANÇA FÍSICA

7.1. Necessidade de protecção

O grau das medidas de segurança física a aplicar para assegurar a protecção das informações classificadas da UE deverá ser proporcional à classificação, ao volume e às ameaças para as informações e material existentes. Todos os detentores de informações classificadas da UE deverão seguir práticas uniformes em matéria de classificação dessas informações e respeitar normas comuns de protecção em matéria de armazenagem, transmissão e eliminação de informações e material que necessitem de ser protegidos.

7.2. Controlo de instalações

Antes de abandonarem locais onde existam informações classificadas da UE, as pessoas responsáveis pela guarda das mesmas devem assegurar que essas informações se encontram guardadas em condições de segurança e que todos os dispositivos de segurança foram activados (fechaduras, alarmes, etc.). Deverão ser efectuadas acções de controlo independentes após as horas de serviço.

7.3. Segurança de edifícios

Deve ser impedido o acesso não-autorizado aos edifícios onde existam informações classificadas da UE ou sistemas de comunicações ou informáticos protegidos. A natureza da protecção concedida às informações classificadas da UE, por exemplo janelas com grades, fechaduras nas portas, guardas nas entradas, sistemas automatizados de controlo de acesso, controlo e rondas de segurança, sistemas de alarme, sistemas de detecção de intrusão e cães de guarda, dependerá:

a) Da classificação, volume e localização no interior do edifício das informações e material a proteger;

b) Da qualidade dos contentores de segurança dessas informações e material; e

c) Da natureza física e localização do edifício.

A natureza da protecção conferida a sistemas de comunicações e informáticos deverá igualmente depender de uma avaliação do que for necessário proteger e dos danos potenciais em caso de falha de segurança, da natureza física e localização do edifício em que o sistema se encontrar e da localização do sistema no interior do edifício.

7.4. Planos de emergência

Deverão existir planos pormenorizados para a protecção das informações classificadas em caso de emergências locais ou nacionais.

8. SEGURANÇA DA INFORMAÇÃO

A segurança da informação (INFOSEC) diz respeito à identificação e aplicação de medidas de segurança destinadas a proteger as informações classificadas da UE, tratadas, armazenadas ou transmitidas através de sistemas de comunicações ou informáticos ou de outros sistemas electrónicos, contra perdas de confidencialidade, integridade ou disponibilidade, quer acidental, quer intencional. Deverão ser tomadas contramedidas adequadas para impedir o acesso a informações classificadas da UE a pessoas não-autorizadas, a recusa de acesso a pessoas autorizadas e a deterioração ou a alteração ou eliminação não-autorizadas desse tipo de informações.

9. MEDIDAS DE LUTA CONTRA A SABOTAGEM E CONTRA OUTRAS FORMAS DE DANOS INTENCIONAIS

As precauções físicas de protecção das instalações importantes onde existam informações classificadas constituem a melhor salvaguarda contra a sabotagem e outras formas de danos intencionais, não constituindo a habilitação do pessoal em matéria de segurança, por si só, uma alternativa eficaz. A instância nacional competente deverá facultar informações relativas às acções de espionagem, sabotagem e terrorismo e outras actividades subversivas.

10. DIVULGAÇÃO DE INFORMAÇÕES CLASSIFICADAS A PAÍSES TERCEIROS OU ORGANIZAÇÕES INTERNACIONAIS

A decisão de divulgar informações classificadas da UE provenientes da Comissão a um país terceiro ou a uma organização internacional será tomada pelo colégio dos membros da Comissão. Se a origem das informações que se pretendam divulgar não for a Comissão, esta deverá obter o consentimento prévio da entidade de origem para a divulgação das mesmas. Se não for possível identificar a entidade de origem, a Comissão assumirá a responsabilidade em seu lugar.

Se a Comissão receber informações classificadas de países terceiros, organizações internacionais ou outros terceiros, essas informações beneficiarão de protecção adequada à sua classificação, equivalente às normas definidas nas presentes disposições para as informações classificadas da UE ou a normas mais estritas eventualmente solicitadas pelo terceiro que divulgar as informações. Podem ser previstas acções de controlo mútuas.

Os princípios acima enunciados serão postos em prática em conformidade com as normas de execução constantes da secção 26 da parte II e dos apêndices 3, 4 e 5.

PARTE II: ORGANIZAÇÃO DA SEGURANÇA NA COMISSÃO

11. MEMBRO DA COMISSÃO RESPONSÁVEL PELAS QUESTÕES DE SEGURANÇA

O membro da Comissão responsável pelas questões de segurança:

a) Executa a política de segurança da Comissão;

b) Estuda os problemas de segurança que lhe forem submetidos pela Comissão ou pelas instâncias competentes desta;

c) Analisa as questões que envolvam alterações da política de segurança da Comissão, em estreita ligação com as autoridades nacionais de segurança (ou outras autoridades competentes) dos Estados-Membros (adiante designadas por "NSA").

Compete, nomeadamente, ao membro da Comissão responsável pelas questões de segurança:

a) Coordenar todos os aspectos da segurança relacionados com as actividades da Comissão;

b) Dirigir às autoridades designadas dos Estados-Membros pedidos para que as NSA procedam à habilitação em matéria de segurança do pessoal da Comissão, nos termos da secção 20;

c) Investigar ou mandar investigar qualquer fuga de informações classificadas da UE que pareça ter ocorrido na Comissão;

d) Solicitar às autoridades de segurança competentes que iniciem investigações quando se afigurar ter havido fuga, da Comissão, de informações classificadas da UE e coordenar as investigações quando se encontrar envolvida mais do que uma autoridade de segurança;

e) Examinar periodicamente as disposições de segurança para a protecção das informações classificadas da UE;

f) Manter uma ligação estreita com todas as autoridades de segurança competentes, tendo em vista uma coordenação global da segurança;

g) Manter em constante revisão a política e os procedimentos de segurança da Comissão e, se necessário, elaborar as recomendações adequadas. Nesse sentido, apresentará à Comissão o plano anual de inspecção elaborado pelo Serviço de Segurança da Comissão.

12. GRUPO CONSULTIVO DA POLÍTICA DE SEGURANÇA DA COMISSÃO

Será criado um Grupo consultivo da política de segurança da Comissão. O grupo será constituído pelo membro da Comissão responsável pelas questões de segurança, que presidirá, ou por um seu delegado, e por representantes da NSA de cada Estado-Membro. Podem ser convidados representantes de outras instituições europeias. Quando forem tratadas questões que lhes digam respeito, também podem ser convidados a participar nas reuniões representantes das entidades descentralizadas da União Europeia.

O Grupo consultivo da política de segurança da Comissão reunir-se-á a pedido do seu presidente ou de qualquer dos seus membros. Competirá ao grupo analisar e avaliar todas as questões de segurança pertinentes e, se necessário, apresentar recomendações à Comissão.

13. COMITÉ DE SEGURANÇA DA COMISSÃO

Será criado um Comité de Segurança da Comissão. O comité será constituído pelo Secretário-Geral, que presidirá, e pelos directores-gerais do Serviço Jurídico, do Pessoal e Administração, das Relações Externas, da Justiça e Assuntos Internos e do Centro Comum de Investigação e pelos responsáveis do Serviço de Auditoria Interna e do Serviço de Segurança da Comissão. Podem ser convidados outros funcionários da Comissão. Compete ao comité avaliar as medidas de segurança no interior da Comissão e fazer recomendações nesse domínio ao membro da Comissão responsável pelas questões de segurança.

14. SERVIÇO DE SEGURANÇA DA COMISSÃO

Para dar cumprimento às incumbências referidas na secção 11, o membro da Comissão responsável pelas questões de segurança terá à sua disposição o Serviço de Segurança da Comissão, para a coordenação, supervisão e implementação das medidas de segurança.

O chefe do Serviço de Segurança da Comissão será o principal conselheiro do membro da Comissão responsável pelas questões de segurança e desempenhará as funções de secretário do Grupo consultivo da política de segurança. Nesse sentido, dirigirá a actualização das regras de segurança e coordenará as medidas de segurança com as autoridades competentes dos Estados-Membros e, se necessário, com organizações internacionais ligadas à Comissão por acordos de segurança. Para o efeito, agirá como elemento de ligação.

Incumbe ao chefe do Serviço de Segurança da Comissão a acreditação das redes e sistemas informáticos da Comissão. O chefe do Serviço de Segurança da Comissão decidirá, em acordo com a NSA pertinente, da acreditação de redes e sistemas informáticos que envolvam, por um lado, a Comissão e, por outro, qualquer outro destinatário de informações classificadas da UE.

15. INSPECÇÕES DE SEGURANÇA

O Serviço de Segurança da Comissão efectuará inspecções periódicas das disposições de segurança para a protecção das informações classificadas da UE.

O Serviço de Segurança da Comissão poderá ser assistido nessa tarefa pelos serviços de segurança de outras instituições da União Europeia em que existam informações classificadas da UE ou pelas autoridades nacionais de segurança dos Estados-Membros(1).

A pedido de um Estado-Membro, a sua NSA pode inspeccionar informações classificadas da UE no interior da Comissão, conjuntamente com o Serviço de Segurança da Comissão e em acordo mútuo com este.

16. CLASSIFICAÇÕES, DESIGNADORES DE SEGURANÇA E MARCAÇÕES

16.1. Níveis de classificação(2)

As informações serão classificadas nos seguintes níveis (ver também o apêndice 2):

MUITO SECRETO UE: esta classificação apenas se aplica a informações e material cuja divulgação não-autorizada possa prejudicar de forma excepcionalmente grave os interesses essenciais da União Europeia ou de um ou vários dos seus Estados-Membros.

SECRETO UE: esta classificação apenas se aplica a informações e material cuja divulgação não-autorizada possa prejudicar seriamente os interesses essenciais da União Europeia ou de um ou vários dos seus Estados-Membros.

CONFIDENCIAL UE: esta classificação apenas se aplica a informações e material cuja divulgação não-autorizada possa prejudicar os interesses essenciais da União Europeia ou de um ou vários dos seus Estados-Membros.

RESERVADO UE: esta classificação apenas se aplica a informações e material cuja divulgação não-autorizada possa ser desvantajosa para os interesses da União Europeia ou de um ou vários dos seus Estados-Membros.

Não é permitida qualquer outra classificação.

16.2. Designadores de segurança

Para limitar no tempo a validade de uma classificação (significando a desgraduação ou desclassificação automática das informações classificadas) pode ser utilizado um designador de segurança acordado. Esse designador será "ATÉ ...(hora/data)" ou "ATÉ ...(ocorrência)".

Serão aplicados designadores de segurança adicionais, tais como CIFRADO ou qualquer outro designador de segurança reconhecido a nível da União Europeia, sempre que forem necessários uma distribuição limitada e um tratamento especial, além do indicado pela classificação de segurança.

Os designadores de segurança só podem ser utilizados associados a uma classificação.

16.3. Marcações

Poderá ser aposta uma marcação para indicar o domínio abrangido pelo documento, uma distribuição específica com base no princípio da "necessidade de tomar conhecimento" ou (no caso de informações não-classificadas) para indicar o final de uma proibição.

As marcações não constituem uma classificação e não podem ser utilizadas como alternativas a esta.

A marcação PESD será aposta nos documentos e cópias dos mesmos que digam respeito à segurança e defesa da União Europeia ou de um ou vários dos seus Estados-Membros ou à gestão militar ou civil de crises.

16.4. Aposição da classificação

A classificação será aposta do seguinte modo:

a) Nos documentos com a classificação RESERVADO UE, por meios mecânicos ou electrónicos;

b) Nos documentos com a classificação CONFIDENCIAL UE, por meios mecânicos ou manualmente, ou por impressão em papel pré-carimbado, consignado num registo;

c) Nos documentos com a classificação SECRETO UE e MUITO SECRETO UE, por meios mecânicos ou manualmente.

16.5. Aposição de designadores de segurança

Os designadores de segurança serão apostos imediatamente abaixo da classificação, por meios idênticos aos utilizados na aposição desta última.

17. GESTÃO DAS CLASSIFICAÇÕES

17.1. Disposições gerais

As informações apenas serão classificadas em caso de necessidade. A classificação será indicada de forma clara e correcta e apenas será mantida enquanto as informações necessitarem de protecção.

A responsabilidade pela classificação de informações ou por qualquer desgraduação ou desclassificação subsequentes incumbe exclusivamente à entidade de origem.

Os funcionários e outros agentes da Comissão só poderão proceder à classificação, desgraduação ou desclassificação de informações mediante instruções do seu superior hierárquico, ou com o acordo deste.

A concepção dos procedimentos pormenorizados para o tratamento de documentos classificados deve garantir que estes estejam sujeitos a uma protecção adequada às informações que contenham.

O número de pessoas autorizadas a produzir documentos com a classificação MUITO SECRETO UE será o mais reduzido possível e os nomes das mesmas constarão de uma lista elaborada pelo Serviço de Segurança da Comissão.

17.2. Aplicação das classificações

A classificação de um documento será determinada pelo nível de sensibilidade do seu conteúdo, em conformidade com o definido na secção 16. É importante que a classificação seja utilizada de forma correcta e comedida. Esta última disposição aplica-se, especialmente, à classificação MUITO SECRETO UE.

A entidade de origem de um documento a classificar deverá ter em mente as regras atrás indicadas e abster-se de proceder a qualquer sobreclassificação ou subclassificação.

Consta do apêndice 2 um guia prático da classificação.

Cada uma das páginas, parágrafos, secções, anexos, apêndices, adendas e elementos juntos de um determinado documento pode exigir classificações diferentes, devendo ser classificada em conformidade. A classificação do documento no seu todo deverá ser a da sua parte com a classificação mais elevada.

A classificação de uma carta ou nota de envio de elementos juntos será a classificação mais elevada dos elementos juntos. A entidade de origem indicará claramente em que nível essa carta ou nota deverá ser classificada quando separada dos elementos juntos que acompanha.

O Regulamento (CE) n.o 1049/2001 continua a reger o acesso público.

17.3. Desgraduação e desclassificação

Os documentos classificados da União Europeia só podem ser desgraduados ou desclassificados com a autorização da entidade de origem e, se necessário, após discussão com as outras partes interessadas. A desgraduação ou desclassificação serão confirmadas por escrito. A entidade de origem terá a responsabilidade de informar os seus destinatários da alteração, sendo estes, por seu turno, responsáveis por informar dessa alteração quaisquer destinatários subsequentes a quem tenham enviado o documento ou facultado uma cópia do mesmo.

Se possível, as entidades de origem especificarão nos documentos classificados a data, período ou ocorrência após a qual ou o qual o conteúdo do mesmo pode ser objecto de uma desgraduação ou desclassificação. Caso contrário, deverão passar em revista os documentos de cinco em cinco anos, no máximo, a fim de verificar se é necessário manter a classificação original.

18. SEGURANÇA FÍSICA

18.1. Disposições gerais

Os principais objectivos das medidas de segurança física consistem em impedir o acesso de pessoas não-autorizadas a informações e/ou material classificados da União Europeia, o roubo ou degradação de equipamentos e outros bens e o assédio ou qualquer outro tipo de agressão aos funcionários, outros agentes e a visitantes.

18.2. Requisitos de segurança

Todas as instalações, áreas, edifícios, compartimentos, sistemas de comunicações e informáticos, etc. onde estiverem armazenados e/ou se lidar com informações e material classificados da União Europeia deverão ser protegidos por medidas adequadas de segurança física.

Ao decidir o grau de segurança física necessário, deverão ser tomados em consideração todos os factores pertinentes, tais como:

a) A classificação das informações e/ou do material;

b) A quantidade e a forma (por exemplo cópias em papel, suportes digitais) das informações em questão;

c) A avaliação local da ameaça constituída por serviços de espionagem que tenham como alvo a União Europeia, os Estados-Membros e/ou outras instituições ou terceiros detentores de informações classificadas da UE, em virtude de actos de sabotagem, de terrorismo ou de outras actividades subversivas e/ou criminosas.

As medidas de segurança física aplicadas deverão ser concebidas por forma a:

a) Impedir a entrada sub-reptícia ou forçada de intrusos;

b) Dissuadir, impedir e detectar acções por parte de pessoal desleal;

c) Impedir o acesso a informações classificadas da UE a pessoas que não necessitem de tomar conhecimento das mesmas.

18.3. Medidas de segurança física

18.3.1. Áreas de segurança

As áreas onde forem tratadas e armazenadas informações com a classificação CONFIDENCIAL UE ou superior serão organizadas e estruturadas de modo a corresponderem a uma das seguintes categorias:

a) Área de segurança de classe I: uma área onde as informações com a classificação CONFIDENCIAL UE ou superior são tratadas e armazenadas de tal modo que a entrada nessa área constitui, para todos os efeitos práticos, acesso a informações classificadas. Essa área deverá ter:

i) um perímetro claramente definido e protegido, com controlo de todas as entradas e saídas,

ii) um sistema de controlo de entradas que admita apenas as pessoas devidamente habilitadas e especialmente autorizadas a entrar nessa área,

iii) uma indicação da classificação das informações normalmente existentes nessa área, ou seja, às quais a entrada dá acesso.

b) Área de segurança de classe II: uma área onde as informações com a classificação CONFIDENCIAL UE ou superior são tratadas e armazenadas de tal modo que podem ser protegidas contra o acesso por pessoas não-autorizadas através de meios de controlo estabelecidos internamente, por exemplo, instalações onde se situem serviços nos quais sejam regularmente tratadas ou armazenadas informações com a classificação CONFIDENCIAL UE ou superior. Essa área deverá ter:

i) um perímetro claramente definido e protegido, com controlo de todas as entradas e saídas,

ii) um sistema de controlo de entradas que admita sem escolta apenas as pessoas devidamente habilitadas e especialmente autorizadas a entrar nessa área. Para todas as outras pessoas, deverão ser previstas escoltas ou um sistema de controlo equivalente que impeça o acesso não-autorizado a informações classificadas da UE e a entrada sem controlo nas áreas sujeitas a inspecções técnicas de segurança.

As áreas não ocupadas por pessoal em serviço 24 horas por dia deverão ser inspeccionadas imediatamente após as horas normais de serviço, para verificar se as informações classificadas da UE estão devidamente protegidas.

18.3.2. Áreas administrativas

Poderão ser estabelecidas áreas administrativas de menor segurança adjacentes ou envolventes das áreas de segurança de classe I ou II. Essas áreas administrativas deverão ter um perímetro visivelmente definido, que permita o controlo de pessoal e veículos. Nessas áreas administrativas só poderão ser tratadas e armazenadas informações com a classificação RESERVADO UE ou não-classificadas.

18.3.3. Controlo das entradas e saídas

As entradas e saídas nas e das áreas de segurança de classe I e II deverão ser controladas através de um sistema de passes ou de reconhecimento de pessoas aplicável a todo o pessoal que normalmente nelas trabalhar. Deverá também ser criado um sistema de controlo dos visitantes concebido para impedir o acesso não-autorizado a informações classificadas da UE. Os sistemas de passes poderão basear-se numa identificação automatizada, que deverá ser considerada um complemento, mas não um substituto total, do pessoal de vigilância. Qualquer alteração do nível de ameaça poderá implicar um reforço das medidas de controlo das entradas e saídas, por exemplo durante a visita de altas personalidades.

18.3.4. Rondas

Fora das horas normais de serviço, as áreas de segurança de classe I e II devem ser patrulhadas, com o objectivo de proteger os bens da União Europeia contra fugas, danos ou perdas. A frequência das rondas será determinada pelas circunstâncias locais, mas, de um modo geral, deverão ter lugar de duas em duas horas.

18.3.5. Contentores de segurança e casas-fortes

Serão utilizados três tipos de contentores para guardar as informações classificadas da UE:

- classe A: contentores acreditados a nível nacional para guardar informações com a classificação MUITO SECRETO UE nas áreas de segurança de classe I ou II;

- classe B: contentores acreditados a nível nacional para guardar informações com a classificação SECRETO UE e CONFIDENCIAL UE nas áreas de segurança de classe I ou II,

- classe C: mobiliário de escritório adequado para guardar apenas informações com a classificação RESERVADO UE.

As paredes, chãos, tectos, portas e fechaduras das casas-fortes construídas nas áreas de segurança de classe I ou II, e de todas as áreas de segurança de classe I onde forem guardadas em prateleiras abertas ou apresentadas em quadros, mapas, etc. informações com a classificação CONFIDENCIAL UE ou superior, deverão ser certificados por uma NSA como garantidoras de um grau de protecção equivalente à classe do contentor de segurança acreditado para guarda de informações com a mesma classificação.

18.3.6. Fechaduras

As fechaduras utilizadas nos contentores de segurança e nas casas-fortes em que forem guardadas informações classificadas da UE deverão cumprir as seguintes normas:

- grupo A: acreditadas a nível nacional para contentores da classe A,

- grupo B: acreditadas a nível nacional para contentores da classe B,

- grupo C: apenas adequadas para mobiliário de escritório da classe C.

18.3.7. Controlo das chaves e dos segredos das fechaduras

As chaves dos contentores de segurança não deverão ser levadas para fora dos edifícios da Comissão. As combinações dos contentores de segurança deverão ser memorizadas pelas pessoas que precisarem de as conhecer. Para utilização em casos de emergência, o responsável local de segurança do serviço da Comissão em questão deverá possuir duplicados das chaves e um registo escrito de cada combinação; estes últimos serão guardados em envelopes separados, opacos e fechados. As chaves habituais, os duplicados das chaves e as combinações deverão ser mantidos em contentores de segurança distintos. Essas chaves e combinações deverão ser objecto de uma protecção de segurança pelo menos equivalente à do material ao qual derem acesso.

As combinações dos contentores de segurança apenas deverão ser conhecidas pelo número mais restrito possível de pessoas. As combinações deverão ser mudadas:

a) Sempre que for recebido um novo contentor;

b) Sempre que houver uma mudança de pessoal;

c) Sempre que tiver ocorrido ou houver suspeita de ter ocorrido uma fuga;

d) De preferência de seis em seis meses, ou, pelo menos, uma vez em cada período de 12 meses.

18.3.8. Dispositivos de detecção de intrusão

Quando forem utilizados sistemas de alarme, circuitos fechados de televisão ou outros dispositivos eléctricos para proteger informações classificadas da UE, deverá existir uma fonte de energia eléctrica de emergência capaz de garantir o funcionamento contínuo do sistema em caso de interrupção do fornecimento de energia eléctrica principal. Outro requisito básico é o de que um mau funcionamento ou qualquer intervenção não-autorizada nesses sistemas ponha em funcionamento um alarme ou outro dispositivo de alerta fiável que advirta o pessoal de vigilância.

18.3.9. Equipamento acreditado

O Serviço de Segurança da Comissão deverá manter listas actualizadas, por tipo e modelo, do equipamento de segurança que tiver acreditado para a protecção de informações classificadas nas várias circunstâncias e condições específicas. O Serviço de Segurança da Comissão tomará por base dessas listas, nomeadamente, as informações prestadas pelas NSA.

18.3.10. Protecção física das fotocopiadoras e das telecopiadoras

As fotocopiadoras e as telecopiadoras deverão ser fisicamente protegidas de modo a garantir que só serão utilizadas com informações classificadas por pessoas autorizadas a fazê-lo e que todos os produtos classificados das mesmas estejam sujeitos a um controlo adequado.

18.4. Protecção contra visão e escuta não-autorizadas

18.4.1. Visão não-autorizada

Deverão ser tomadas todas as medidas, tanto de dia como de noite, para assegurar que as informações classificadas da UE não sejam vistas, mesmo acidentalmente, por qualquer pessoa não-autorizada.

18.4.2. Escuta não-autorizada

Sempre que o risco o justificar, os serviços e as áreas em que forem regularmente discutidas informações com a classificação SECRETO UE ou superior deverão ser protegidos contra actos passivos e activos de escuta não-autorizada. A avaliação do risco desses actos será da responsabilidade do Serviço de Segurança da Comissão, após consulta, se necessário, das NSA.

18.4.3. Introdução de equipamento electrónico e de registo

Não é permitida a introdução de telemóveis, computadores privados, equipamentos de registo, máquinas fotográficas ou de filmar ou outros equipamentos electrónicos ou de registo em áreas de segurança ou áreas tecnicamente seguras sem autorização prévia do chefe do Serviço de Segurança da Comissão.

Para definir as medidas de protecção que deverão ser tomadas nas instalações sensíveis às escutas passiva (por exemplo, isolamento de paredes, portas, chãos e tectos, medição dos níveis sonoros emitidos) e activa (por exemplo, busca de microfones), o Serviço de Segurança da Comissão poderá pedir a assistência de peritos das NSA.

Do mesmo modo, sempre que as circunstâncias o exigirem, o equipamento de telecomunicações e o equipamento de escritório eléctrico ou electrónico de qualquer tipo utilizado durante as reuniões de nível SECRETO UE ou superior poderão ser verificados por especialistas técnicos de segurança das NSA, a pedido do chefe do Serviço de Segurança da Comissão.

18.5. Áreas tecnicamente seguras

Certas áreas poderão ser designadas como áreas tecnicamente seguras. Será feito um controlo especial das entradas nessas áreas, que deverão estar fechadas por um método acreditado quando não estiverem ocupadas, devendo as chaves ser tratadas como chaves de segurança. Essas áreas deverão ser sujeitas a inspecções físicas regulares, que também serão feitas depois de qualquer entrada não-autorizada ou suspeita dessa ocorrência.

Será mantido um inventário pormenorizado do equipamento e mobiliário, a fim de controlar os movimentos dos mesmos. Não será introduzida numa área com tais características nenhuma peça de mobiliário ou de equipamento que não tenha sido objecto de uma inspecção cuidadosa por pessoal de segurança especialmente treinado, com o objectivo de detectar quaisquer dispositivos de escuta. Como regra geral, não será permitida a instalação de linhas de comunicações em áreas tecnicamente seguras sem autorização prévia da autoridade competente.

19. REGRAS GERAIS SOBRE O PRINCÍPIO DA NECESSIDADE DE TOMAR CONHECIMENTO E A HABILITAÇÃO EM MATÉRIA DE SEGURANÇA DO PESSOAL DA UNIÃO EUROPEIA

19.1. Disposições gerais

O acesso a informações classificadas da UE só será autorizado às pessoas que delas necessitem de tomar conhecimento para o desempenho das suas funções ou tarefas. O acesso a informações com a classificação MUITO SECRETO UE, SECRETO UE e CONFIDENCIAL UE só será autorizado a pessoas que tenham a habilitação adequada em matéria de segurança.

A responsabilidade por determinar a "necessidade de tomar conhecimento" incumbirá ao serviço no qual a pessoa em questão deva trabalhar.

A solicitação da habilitação do pessoal será da responsabilidade de cada serviço.

A habilitação em matéria de segurança dará lugar à emissão de um "certificado de segurança do pessoal da União Europeia", que indicará o nível de informações classificadas ao qual a pessoa habilitada poderá ter acesso e a data de expiração do mesmo.

O certificado de segurança do pessoal da União Europeia para uma dada classificação poderá conferir ao seu detentor acesso a informações com classificação inferior.

As pessoas que não sejam funcionários, nem outros agentes, por exemplo prestadores de serviços, peritos ou consultores externos, com quem seja necessário discutir ou a quem seja necessário dar conhecimento de informações classificadas da UE devem possuir uma habilitação em matéria de segurança do pessoal da União Europeia para efeitos de informações classificadas da UE e ser informados das suas responsabilidades nesse domínio.

O Regulamento (CE) n.o 1049/2001 continua a reger o acesso público.

19.2. Regras específicas de acesso a informações com a classificação MUITO SECRETO UE

Todas as pessoas que devam ter acesso a informações com a classificação MUITO SECRETO UE deverão ser previamente sujeitas a um inquérito de segurança com vista ao acesso a essas informações.

Todas as pessoas que devam ter acesso a informações com a classificação MUITO SECRETO UE deverão ser designadas pelo membro da Comissão responsável pelas questões de segurança e os seus nomes serão mantidos no registo MUITO SECRETO UE adequado. Incumbirá ao Serviço de Segurança da Comissão criar e manter esse registo.

Antes de terem acesso a informações com a classificação MUITO SECRETO UE, todas as pessoas devem assinar uma declaração de que tomaram conhecimento dos procedimentos de segurança da Comissão e reconhecem inteiramente a sua especial responsabilidade pela salvaguarda de informações classificadas MUITO SECRETO UE, conhecendo as consequências previstas na regulamentação da União Europeia e na legislação ou regulamentação administrativa nacionais no caso de informações classificadas serem facultadas a pessoas não-autorizadas, quer intencionalmente, quer por negligência.

No caso das pessoas que tiverem acesso a informações com a classificação MUITO SECRETO UE em reuniões, etc., o responsável do controlo competente do serviço ou entidade em que a pessoa trabalhar deverá notificar a instância responsável pela reunião de que as pessoas em questão estão autorizadas a fazê-lo.

Os nomes de todas as pessoas que deixarem de desempenhar tarefas que exijam acesso a informações com a classificação MUITO SECRETO UE deverão ser removidos da lista MUITO SECRETO UE. Além disso, deverá ser chamada a atenção de todas essas pessoas para a sua especial responsabilidade pela salvaguarda das informações com a classificação MUITO SECRETO UE. Devem, igualmente, assinar uma declaração de que não utilizarão, nem divulgarão, quaisquer informações com a classificação MUITO SECRETO UE que possam estar em seu poder.

19.3. Regras específicas de acesso a informações com a classificação SECRETO UE e CONFIDENCIAL UE

Todas as pessoas que devam ter acesso a informações com a classificação SECRETO UE ou CONFIDENCIAL UE deverão ser previamente sujeitas a um inquérito de segurança ao nível adequado.

Todas as pessoas que devam ter acesso a informações com a classificação SECRETO UE ou CONFIDENCIAL UE deverão ter conhecimento das disposições de segurança adequadas e estar conscientes das consequências de uma eventual negligência.

No caso das pessoas que tiverem acesso a informações com a classificação SECRETO UE ou CONFIDENCIAL UE em reuniões, etc., o responsável de segurança da entidade em que a pessoa trabalhar deverá notificar a instância responsável pela reunião de que as pessoas em questão estão autorizadas a fazê-lo.

19.4. Regras específicas de acesso a informações com a classificação RESERVADO UE

Às pessoas com acesso a informações com a classificação RESERVADO UE deve ser dado conhecimento das presentes regras de segurança e das consequências de eventuais actos de negligência.

19.5. Transferências

Quando um membro do pessoal for transferido de um lugar que envolva o tratamento de material classificado da União Europeia, o registo deverá supervisionar a transferência adequada desse material, do funcionário que partir para o funcionário que o substituir.

Quando um membro do pessoal for transferido para outro lugar que envolva o tratamento de material classificado da União Europeia, o responsável local de segurança transmitir-lhe-á as instruções adequadas.

19.6. Instruções especiais

As pessoas que tenham de lidar com informações classificadas da UE devem, ao assumir as suas funções, e posteriormente de forma periódica, ser informadas:

a) Dos perigos para a segurança decorrentes de conversas indiscretas;

b) Das precauções a tomar nas suas relações com a imprensa e com representantes de grupos de interesses;

c) Da ameaça que as actividades dos serviços de espionagem que têm por alvo a União Europeia e os Estados-Membros representam para as informações classificadas e as actividades da União Europeia;

d) Da obrigação de relatar imediatamente às autoridades de segurança competentes qualquer abordagem ou manobra que dê lugar a suspeitas de uma actividade de espionagem ou quaisquer circunstâncias pouco usuais em matéria de segurança.

Todas as pessoas que normalmente estejam expostas a contactos frequentes com representantes de países cujos serviços de espionagem visem as informações classificadas e as actividades da União Europeia e dos seus Estados-Membros devem ser informadas das técnicas habitualmente empregues pelos vários serviços de espionagem.

Não existem disposições de segurança da Comissão em matéria de viagens de carácter privado para qualquer destino por parte do pessoal habilitado a aceder a informações classificadas da UE. Todavia, o Serviço de Segurança da Comissão dará a conhecer aos funcionários e outros agentes sob a sua responsabilidade as regras de viagem a que possam estar sujeitos.

20. PROCEDIMENTO DE HABILITAÇÃO EM MATÉRIA DE SEGURANÇA DOS FUNCIONÁRIOS E OUTROS AGENTES DA COMISSÃO

a) Só terão acesso a informações classificadas na posse da Comissão os funcionários e outros agentes da Comissão, ou pessoas que trabalhem na Comissão, que, devido às suas funções e em conformidade com as necessidades do serviço, necessitarem de tomar conhecimento ou de utilizar tais informações.

b) Para terem acesso a informações com a classificação MUITO SECRETO UE, SECRETO UE e CONFIDENCIAL UE, as pessoas referidas na alínea a) devem ser autorizadas nos termos das alíneas c) e d).

c) A autorização apenas será concedida a pessoas que tiverem sido objecto de um inquérito de segurança pelas autoridades nacionais competentes dos Estados-Membros (NSA) nos termos das alíneas i) a n).

d) A concessão das autorizações referidas nas alíneas a), b) e c) competirá ao chefe do Serviço de Segurança da Comissão.

e) Esse responsável concederá a autorização após ter obtido o parecer das autoridades nacionais competentes dos Estados-Membros no âmbito do inquérito de segurança efectuado nos termos das alíneas i) a n).

f) O Serviço de Segurança da Comissão manterá uma lista actualizada de todos os lugares sensíveis, indicados pelos serviços pertinentes da Comissão, e de todas as pessoas a quem tiver sido concedida uma autorização (eventualmente temporária).

g) A autorização, que será válida por um período de cinco anos, não poderá exceder a duração das tarefas com base nas quais for concedida. Poderá ser renovada nos termos da alínea e).

h) A autorização será retirada pelo chefe do Serviço de Segurança da Comissão sempre que este considerar que existem motivos fundamentados para o fazer. Qualquer decisão de retirar uma autorização deverá ser notificada à pessoa em questão, que poderá pedir para ser ouvida pelo chefe do Serviço de Segurança da Comissão, e à autoridade nacional competente.

i) O inquérito de segurança será efectuado com a assistência da pessoa interessada e a pedido do chefe do Serviço de Segurança da Comissão. A autoridade nacional competente na matéria será a do Estado-Membro cuja nacionalidade a pessoa em questão tiver. Se a pessoa não tiver a nacionalidade de um dos Estados-Membros, o chefe do Serviço de Segurança da Comissão solicitará a realização do inquérito de segurança ao Estado-Membro da União Europeia no qual a mesma tiver o seu domicílio ou residir habitualmente.

j) No âmbito do inquérito de segurança, a pessoa em questão deverá preencher um formulário de informação pessoal.

k) O chefe do Serviço de Segurança da Comissão deverá especificar no seu pedido o tipo e o nível de informações classificadas a que a pessoa em questão terá acesso, para que as autoridades nacionais competentes possam proceder ao inquérito de segurança e dar o seu parecer quanto ao nível de autorização que será adequado conferir a essa pessoa.

l) Todo o processo de inquérito de segurança, bem como os resultados obtidos, estarão sujeitos às regras e regulamentos pertinentes em vigor no Estado-Membro em questão, incluindo em matéria de recurso.

m) Se as autoridades nacionais competentes do Estado-Membro derem parecer positivo, o chefe do Serviço de Segurança da Comissão poderá conceder a autorização à pessoa em questão.

n) O parecer negativo das autoridades nacionais competentes será notificado à pessoa, que poderá pedir para ser ouvida pelo chefe do Serviço de Segurança da Comissão. Caso o considere necessário, este poderá pedir às autoridades nacionais competentes qualquer esclarecimento adicional que as mesmas possam fornecer. Se o parecer negativo for confirmado, a autorização não será concedida.

o) Todas as pessoas a quem for concedida uma autorização na acepção das alíneas d) e e) deverão, no momento em que lhes for concedida a autorização e, posteriormente, a intervalos regulares, receber as instruções necessárias sobre a protecção de informações classificadas e os meios de assegurar essa protecção. Essas pessoas deverão assinar uma declaração de que confirmam ter recebido tais instruções e se comprometem a respeitá-las.

p) O chefe do Serviço de Segurança da Comissão deverá tomar todas as medidas necessárias para pôr em prática a presente secção, em especial no que diz respeito às regras de acesso à lista das pessoas autorizadas.

q) Excepcionalmente, e por necessidades de serviço, o chefe do Serviço de Segurança da Comissão poderá conceder uma autorização temporária por um período não superior a seis meses, sujeita aos resultados do inquérito de segurança referido na alínea i), depois de ter notificado as autoridades nacionais competentes e na condição de não ter obtido resposta destas no prazo de um mês.

r) As autorizações provisórias e temporárias assim concedidas não darão acesso a informações com a classificação MUITO SECRETO UE; esse acesso será limitado aos funcionários que tiverem sido habilitados com base num inquérito de segurança nos termos da alínea i). Na pendência dos resultados do inquérito, os funcionários para quem tiver sido pedida habilitação ao nível MUITO SECRETO UE poderão ser autorizados, de forma temporária e provisória, a ter acesso a informações classificadas até ao nível SECRETO UE, inclusive.

21. ELABORAÇÃO, DISTRIBUIÇÃO, TRANSMISSÃO, HABILITAÇÃO EM MATÉRIA DE SEGURANÇA DO PESSOAL DE TRANSPORTE, CÓPIAS, TRADUÇÕES E EXTRACTOS DE DOCUMENTOS CLASSIFICADOS DA UNIÃO EUROPEIA

21.1. Elaboração

1. As classificações UE serão aplicadas conforme o estabelecido na secção 16; no caso do nível CONFIDENCIAL UE ou superior, deverão ser apostas no topo e no fundo de cada página, centradas, devendo ainda todas as páginas ser numeradas. Todos os documentos classificados da União Europeia deverão ostentar um número de referência e uma data. No caso dos documentos com a classificação MUITO SECRETO UE e SECRETO UE, esse número de referência deverá figurar em cada página. Caso devam ser distribuídos em vários exemplares, cada um destes deverá ostentar um número de cópia, que deverá ser aposto na primeira página juntamente com a indicação do número total de páginas. Os documentos com a classificação CONFIDENCIAL UE ou superior deverão ostentar na primeira página uma enumeração de todos os anexos ou elementos juntos que os acompanharem.

2. Os documentos com a classificação CONFIDENCIAL UE ou superior só poderão ser dactilografados, traduzidos, armazenados, fotocopiados, reproduzidos magneticamente ou microfilmados por pessoas que estiverem habilitadas a ter acesso a informações classificadas da UE pelo menos até ao nível de classificação de segurança do documento em questão.

3. As disposições relativas à produção informática de documentos classificados constam da secção 25.

21.2. Distribuição

1. As informações classificadas da UE só serão distribuídas às pessoas que delas necessitarem de tomar conhecimento e que possuírem uma habilitação em matéria de segurança adequada. A entidade de origem indicará a distribuição inicial.

2. Os documentos com a classificação MUITO SECRETO UE serão distribuídos através de registos MUITO SECRETO UE (ver a secção 22.2). No caso das mensagens com a classificação MUITO SECRETO UE, o registo competente poderá autorizar o chefe do Centro de Comunicações a produzir o número de cópias indicado na lista de destinatários.

3. Os documentos com a classificação SECRETO UE ou inferior poderão ser redistribuídos pelo destinatário inicial a outros destinatários, com base no princípio da "necessidade de tomar conhecimento". As entidades de origem deverão, todavia, indicar claramente quaisquer advertências que desejem impor. Sempre que tais advertências sejam impostas, os destinatários só podem redistribuir os documentos com a autorização da entidade de origem.

4. Todos os documentos com a classificação CONFIDENCIAL UE ou superior deverão, ao entrar ou sair de uma direcção-geral ou serviço, ser averbados no registo local de informações classificadas da UE. As indicações a registar (referências, data e, se for caso disso, o número da cópia) deverão permitir identificar os documentos e ser averbadas num livro de registo ou num meio informático especialmente protegido (ver a secção 22.1).

21.3. Transmissão de documentos classificados da União Europeia

21.3.1. Embalagem e recibos

1. Os documentos com a classificação CONFIDENCIAL UE ou superior deverão ser transmitidos em envelopes duplos, resistentes e opacos. O envelope interior deverá ostentar a classificação de segurança da União Europeia adequada, bem como, se possível, indicações pormenorizadas quanto às funções e endereço do destinatário.

2. O envelope interior só poderá ser aberto por um responsável de controlo do registo (ver a secção 22.1), ou seu substituto, que deverá acusar a recepção dos documentos nele contidos, excepto se o envelope for endereçado a uma pessoa concreta. Nesse caso, a chegada do envelope deverá ser averbada no registo adequado (ver a secção 22.1) e somente a pessoa a quem for endereçado poderá abrir o envelope interior e acusar a recepção dos documentos nele contidos.

3. O envelope interior conterá um formulário de aviso de recepção. O aviso de recepção, que não será classificado, deverá ostentar o número de referência, a data e o número de cópia do documento, mas nunca o assunto do mesmo.

4. O envelope interior deverá ser inserido num envelope exterior, que ostentará um número de expedição para efeitos de recepção. A classificação de segurança nunca deverá ser aposta no envelope exterior, seja em que circunstâncias for.

5. No caso de documentos com a classificação CONFIDENCIAL UE ou superior, os mensageiros ou estafetas deverão obter recibos da entrega, dos quais deverão constar os números de expedição respectivos.

21.3.2. Transmissão no interior de um edifício ou de um grupo de edifícios

No interior de um dado edifício ou grupo de edifícios, os documentos classificados poderão ser transportados num envelope selado que ostente apenas o nome do destinatário, desde que esse envelope seja transportado por uma pessoa com habilitação em matéria de segurança do mesmo nível que os documentos.

21.3.3. Transmissão no interior de um país

1. No interior de um país, os documentos com a classificação MUITO SECRETO UE apenas deverão ser enviados através de um serviço oficial de estafetas ou transportados por pessoas habilitadas a ter acesso a informações com a classificação MUITO SECRETO UE.

2. Sempre que for utilizado um serviço de estafetas para a transmissão de um documento com a classificação MUITO SECRETO UE fora do perímetro de um edifício ou grupo de edifícios, será necessário respeitar as disposições em matéria de expedição e recepção constantes do presente capítulo. Os serviços de entrega deverão ser estruturados de molde a assegurar que as embalagens que contiverem documentos com a classificação MUITO SECRETO UE estejam permanentemente sob controlo directo de um funcionário responsável.

3. Excepcionalmente, os documentos com a classificação MUITO SECRETO UE podem ser transportados por funcionários, que não estafetas, fora do perímetro de um edifício ou grupo de edifícios para uso local em reuniões e discussões, desde que:

a) O portador esteja habilitado para o acesso a esses documentos com a classificação MUITO SECRETO UE;

b) O modo de transporte satisfaça as regras em matéria de transmissão de documentos com a classificação MUITO SECRETO UE;

c) O funcionário não deixe, em nenhuma circunstância, os documentos com a classificação MUITO SECRETO UE sem guarda;

d) Sejam tomadas disposições para que uma lista dos documentos assim transportados fique no registo MUITO SECRETO UE que tem a guarda de tais documentos e seja averbada num livro de registo, devendo o seu retorno ser verificado por tal averbamento.

4. No interior de um país, os documentos com a classificação SECRETO UE e CONFIDENCIAL UE poderão ser enviados pelo correio, se esse envio for permitido pela regulamentação nacional e conforme com as disposições da mesma, ou por um serviço de estafetas ou por pessoas habilitadas para o acesso a informações classificadas da UE.

5. O Serviço de Segurança da Comissão deverá elaborar instruções sobre o transporte pessoal de documentos classificados da União Europeia, com base nas presentes regras. O portador deverá ler e assinar essas instruções. Em especial, as instruções deverão indicar claramente que, em nenhuma circunstâncias, os documentos poderão:

a) Deixar de estar na posse do portador, salvo se forem guardados de forma segura, segundo o disposto na secção 18;

b) Ser deixados sem guarda em transportes públicos ou veículos privados ou em locais como restaurantes ou hotéis; também não poderão ser guardados em cofres de hotéis, nem deixados sem guarda em quartos de hotel;

c) Ser lidos em locais públicos, como aviões ou comboios.

21.3.4. Transmissão de um Estado para outro

1. O material com a classificação CONFIDENCIAL UE ou superior deverá ser enviado por serviços de estafetas militares ou mala diplomática da União Europeia.

2. Todavia, poderá ser autorizado o transporte pessoal de material SECRETO UE ou CONFIDENCIAL UE se as disposições em matéria de transporte forem de molde a garantir que este não poderá chegar às mãos de pessoas não-autorizadas.

3. O membro da Comissão responsável pelas questões de segurança pode autorizar o transporte pessoal quando não estiverem disponíveis mala diplomática ou serviços de estafetas militares, ou, sendo o material urgentemente necessário ao destinatário, a utilização desses tipos de transporte puder resultar num atraso susceptível de prejudicar as operações da União Europeia. O Serviço de Segurança da Comissão deverá elaborar instruções que abranjam o transporte internacional pessoal de material classificado até ao nível SECRETO UE, inclusive, por pessoas que não sejam correios diplomáticos, nem militares. Essas instruções deverão estipular que:

a) O portador tenha a habilitação de segurança adequada;

b) Todo o material assim transportado esteja averbado num registo ou serviço competente;

c) As embalagens ou sacos com material da União Europeia ostentem um selo oficial, para impedir ou desencorajar a inspecção pelos serviços aduaneiros, e rótulos com identificação e instruções para as pessoas que os possam eventualmente encontrar;

d) O portador disponha de um certificado de correio e/ou de uma ordem de missão, reconhecida por todos os Estados-Membros da União Europeia, que o autorize a transportar a embalagem identificada;

e) Não sejam atravessados territórios ou fronteiras de Estados não-membros da União Europeia, por via terrestre, a menos que o Estado de envio receba garantias específicas desses Estados;

f) As condições de viagem do portador, no tocante a destinos, rotas a seguir e meios de transporte a utilizar, sejam conformes com a regulamentação da União Europeia ou, se a regulamentação nacional na matéria for mais restritiva, conformes com essa regulamentação;

g) O material não deixe de estar na posse do portador, excepto se for guardado de forma segura segundo o disposto na secção 18;

h) O material não seja deixado sem guarda em transportes públicos ou veículos privados, nem em locais como restaurantes ou hotéis; também não deve ser guardado em cofres de hotéis, nem deixado sem guarda em quartos de hotel;

i) Se o material a transportar contiver documentos, estes não sejam lidos em locais públicos (por exemplo, aviões, comboios, etc.).

4. A pessoa designada para transportar o material classificado deve ler e assinar uma informação de segurança que contenha, no mínimo, as instruções acima enumeradas e os procedimentos a seguir em caso de emergência ou no caso de a embalagem com material classificado ser inspeccionada pelos serviços aduaneiros ou funcionários de segurança dos aeroportos.

21.3.5. Transmissão de documentos com a classificação RESERVADO UE

Não são estabelecidas disposições especiais para o transporte de documentos com a classificação RESERVADO UE, excepto que será necessário assegurar que tais documentos não cheguem às mãos de pessoas não-autorizadas.

21.4. Habilitação em matéria de segurança do pessoal de transporte

Todos os mensageiros e estafetas que transportem documentos com as classificações SECRETO UE ou CONFIDENCIAL UE deverão possuir uma habilitação em matéria de segurança adequada.

21.5. Transmissão electrónica ou por outros meios técnicos

1. As medidas de segurança das comunicações serão concebidas de modo a assegurar a transmissão segura de informações classificadas da UE. As normas de execução em matéria de transmissão de tais informações constam da secção 25.

2. Apenas poderão transmitir informações com a classificação CONFIDENCIAL UE e SECRETO UE os centros e redes e/ou os terminais e sistemas de comunicações acreditados.

21.6. Cópias, traduções e extractos de documentos classificados da União Europeia

1. Apenas a entidade de origem poderá autorizar a cópia ou a tradução de documentos com a classificação MUITO SECRETO UE.

2. Se houver pessoas sem habilitação em matéria de segurança para o nível MUITO SECRETO UE que precisem de informações que não tenham essa classificação, mas estejam contidas num documento MUITO SECRETO UE, o responsável do registo MUITO SECRETO UE (ver a secção 22.2) poderá ser autorizado a produzir o número de extractos necessário de tal documento. Simultaneamente, deverá tomar as medidas necessárias para garantir que seja atribuída a esses extractos uma classificação de segurança adequada.

3. Os documentos com a classificação SECRETO UE ou inferior poderão ser reproduzidos e traduzidos pelo destinatário, no âmbito das presentes disposições de segurança e na condição de ser respeitado estritamente o princípio da "necessidade de tomar conhecimento". As medidas de segurança aplicáveis ao documento original serão igualmente aplicáveis às reproduções e/ou às traduções do mesmo.

22. REGISTOS, INVENTÁRIOS, VERIFICAÇÕES, ARQUIVAGEM E DESTRUIÇÃO DE INFORMAÇÕES CLASSIFICADAS DA UNIÃO EUROPEIA

22.1. Registos locais de informações classificadas da UE

1. Em cada serviço da Comissão, e em função das necessidades, serão constituídos um ou mais registos locais de informações classificadas da UE, que ficarão responsáveis pelo registo, reprodução, difusão, arquivo e destruição de documentos com as classificações SECRETO UE ou CONFIDENCIAL UE.

2. Se um serviço não dispuser de registo local, será o registo local de informações classificadas da UE do Secretariado-Geral a assumir essas funções.

3. Os registos locais de informações classificadas da UE dependerão do chefe de serviço de quem receberem instruções. Esses registos serão dirigidos por um responsável do controlo do registo.

4. Os registos serão supervisionados pelo responsável local de segurança no respeitante à aplicação das disposições relativas à manipulação de documentos com informações classificadas da UE e das medidas de segurança correspondentes.

5. Os funcionários dos registos locais de informações classificadas da UE serão autorizados a ter acesso a esse tipo de informações em conformidade com a secção 20.

6. Sob a autoridade do chefe de serviço de que dependerem, os registos locais de informações classificadas da UE:

a) Gerirão as operações relativas ao registo, reprodução, tradução, transmissão, expedição e destruição dessas informações;

b) Actualizarão a lista das indicações específicas relativas às informações classificadas;

c) Analisarão periodicamente a necessidade de manter a classificação das informações.

7. Os registos locais de informações classificadas da UE manterão um registo dos seguintes elementos específicos:

a) A data de elaboração das informações classificadas;

b) O nível de classificação;

c) A data de expiração da classificação;

d) O nome e o serviço do autor;

e) O destinatário ou destinatários, com o número de série respectivo;

f) O assunto;

g) O número;

h) O número de cópias distribuídas;

i) A elaboração de inventários das informações classificadas apresentadas ao serviço;

j) O registo das desclassificações e desgraduações de informações classificadas.

8. As regras gerais previstas na secção 21 são aplicáveis aos registos locais de informações classificadas da UE da Comissão, excepto quando alteradas pelas regras específicas estabelecidas na presente secção.

22.2. Registo MUITO SECRETO UE

22.2.1. Disposições gerais

1. O registo MUITO SECRETO UE central destina-se a assegurar o arquivo, tratamento e distribuição de documentos com a classificação MUITO SECRETO UE em conformidade com as presentes disposições de segurança. O responsável do registo MUITO SECRETO UE será o responsável do controlo do registo MUITO SECRETO UE.

2. O registo MUITO SECRETO UE central constituirá a principal autoridade de recepção e expedição da Comissão, relativamente às outras instituições da União Europeia, aos Estados-Membros, às organizações internacionais e aos Estados terceiros com os quais a Comissão tiver acordos sobre procedimentos de segurança, para o intercâmbio de informações classificadas.

3. Sempre que necessário, serão criados sub-registos responsáveis pela gestão interna de documentos com a classificação MUITO SECRETO UE; esses sub-registos manterão registos actualizados da circulação de cada documento a seu cargo.

4. Os sub-registos MUITO SECRETO UE serão criados segundo o disposto na secção 22.2.3 em resposta a necessidades de longo prazo e dependerão de um registo MUITO SECRETO UE central. Se apenas for necessário consultar documentos com a classificação MUITO SECRETO UE temporária ou ocasionalmente, tais documentos poderão ser disponibilizados sem que seja necessário criar um sub-registo MUITO SECRETO UE, na condição de serem definidas regras para assegurar que os documentos permaneçam sob o controlo do registo MUITO SECRETO UE adequado e que sejam cumpridas todas as medidas de segurança física e pessoal.

5. Os sub-registos não podem enviar documentos com a classificação MUITO SECRETO UE directamente a outros sub-registos do mesmo registo MUITO SECRETO UE central sem a aprovação expressa deste último.

6. Todos os intercâmbios de documentos com a classificação MUITO SECRETO UE entre sub-registos que não dependam do mesmo registo central deverão ter lugar através dos registos MUITO SECRETO UE centrais.

22.2.2. Registo MUITO SECRETO UE central

Na sua qualidade de responsável do controlo, incumbirá ao responsável do registo MUITO SECRETO UE central providenciar:

a) A transmissão de documentos com a classificação MUITO SECRETO UE segundo as disposições da secção 21.3;

b) A manutenção de uma lista de todos os sub-registos MUITO SECRETO UE dependentes do seu registo central, juntamente com os nomes e as assinaturas dos responsáveis do controlo nomeados e dos substitutos autorizados destes últimos;

c) A conservação de recibos dos vários registos para todos os documentos com a classificação MUITO SECRETO UE distribuídos pelo registo central;

d) A manutenção de um registo dos documentos com a classificação MUITO SECRETO UE arquivados e distribuídos;

e) A manutenção de uma lista actualizada de todos os registos MUITO SECRETO UE centrais com os quais normalmente trabalhe, juntamente com os nomes e as assinaturas dos responsáveis do controlo nomeados dos mesmos e dos substitutos autorizados destes últimos;

f) A salvaguarda física de todos os documentos com a classificação MUITO SECRETO UE arquivados no registo, segundo as regras da secção 18.

22.2.3. Sub-registos MUITO SECRETO UE

Na sua qualidade de responsável do controlo, incumbirá ao responsável de um sub-registo MUITO SECRETO UE providenciar:

a) A transmissão de documentos com a classificação MUITO SECRETO UE segundo as disposições da secção 21.3;

b) A manutenção de uma lista actualizada de todas as pessoas autorizadas a ter acesso às informações com a classificação MUITO SECRETO UE sob o seu controlo;

c) A distribuição de documentos com a classificação MUITO SECRETO UE segundo as instruções da entidade de origem ou segundo o princípio de "necessidade de tomar conhecimento", devendo verificar previamente se o destinatário possui a necessária habilitação em matéria de segurança;

d) A manutenção de um registo actualizado de todos os documentos com a classificação MUITO SECRETO UE arquivados ou que circulem sob o seu controlo ou que tiverem sido enviados a outros registos MUITO SECRETO UE, e a guarda de todos os recibos correspondentes;

e) A manutenção de uma lista actualizada dos registos MUITO SECRETO UE com os quais estiver autorizado a fazer intercâmbio de documentos com a classificação MUITO SECRETO UE, juntamente com os nomes e as assinaturas dos responsáveis do controlo dos mesmos e dos substitutos autorizados destes últimos;

f) A salvaguarda física de todos os documentos com a classificação MUITO SECRETO UE arquivados no sub-registo, segundo as regras da secção 18.

22.3. Inventários e verificações de documentos classificados da União Europeia

1. Os registos MUITO SECRETO UE referidos na presente secção farão, cada um deles, todos os anos, um inventário exaustivo dos documentos com a classificação MUITO SECRETO UE. Considerar-se-á que foi dada conta de um documento se estiver fisicamente inscrito no registo, ou se este último possuir um recibo do registo MUITO SECRETO UE para o qual o documento tiver sido transferido, um certificado de destruição do documento ou uma ordem para a desgraduação ou desclassificação do mesmo. Os registos enviarão os resultados do inventário anual ao membro da Comissão responsável pelas questões de segurança, até ao dia 1 de Abril de cada ano.

2. Os sub-registos MUITO SECRETO UE enviarão os resultados do seu inventário anual ao registo central de que dependerem, numa data indicada por este.

3. Os documentos classificados da União Europeia com classificação inferior a MUITO SECRETO UE serão objecto de verificações internas de acordo com as instruções do membro da Comissão responsável pelas questões de segurança.

4. Essas operações deverão permitir que os detentores dos documentos possam dar a sua opinião sobre:

a) A possibilidade de desgraduar ou desclassificar certos documentos;

b) Documentos a destruir.

22.4. Arquivagem de informações classificadas da UE

1. As informações classificadas da UE devem ser arquivadas em conformidade com as disposições pertinentes da secção 18.

2. Para reduzir os problemas de arquivagem, os responsáveis do controlo de todos os registos serão autorizados a arquivar documentos com a classificação MUITO SECRETO UE, SECRETO UE e CONFIDENCIAL UE sob a forma de microfilmes ou de gravação magnética ou óptica, desde que:

a) O processo de microfilmagem/gravação seja realizado por pessoal com uma habilitação em matéria de segurança correspondente ao nível de classificação do material tratado;

b) O microfilme/suporte de gravação possua o mesmo grau de segurança que os documentos originais;

c) A microfilmagem/gravação de qualquer documento com a classificação MUITO SECRETO UE seja comunicada à entidade de origem;

d) Cada rolo de filme ou outro suporte contenha apenas documentos com o mesmo grau de classificação (MUITO SECRETO UE, SECRETO UE ou CONFIDENCIAL UE);

e) A microfilmagem/gravação de um documento com a classificação MUITO SECRETO UE ou SECRETO UE seja claramente indicada no registo utilizado para o inventário anual;

f) Os documentos originais passados para microfilme ou gravados noutros suportes sejam destruídos em conformidade com as regras estabelecidas na secção 22.5.

3. Estas regras também são aplicáveis a qualquer outra forma de gravação autorizada, tais como meios electromagnéticos e disco óptico.

22.5. Destruição de documentos classificados da UE

1. Para impedir a acumulação desnecessária de documentos classificados da União Europeia, os que forem considerados pelo responsável da entidade detentora como desactualizados ou excedentários deverão ser destruídos logo que possível, da seguinte maneira:

a) Os documentos com a classificação MUITO SECRETO UE só serão destruídos pelo registo central responsável pelos mesmos. Cada documento destruído será enumerado num certificado de destruição, assinado pelo responsável do controlo MUITO SECRETO UE e pelo funcionário que testemunhar a destruição, devendo este último possuir habilitação em matéria de segurança ao nível MUITO SECRETO UE. Será averbada no livro de registo uma nota nesse sentido;

b) O registo conservará durante um período de dez anos os certificados de destruição e as folhas de distribuição. Só serão enviadas cópias à entidade de origem ou ao registo central adequado se estas forem explicitamente solicitadas;

c) Os documentos com a classificação MUITO SECRETO UE, incluindo todos os resíduos classificados resultantes da preparação de documentos com a classificação MUITO SECRETO UE, tais como cópias estragadas, rascunhos, notas dactilografadas e disquetes, serão destruídos, sob a supervisão do responsável do controlo do registo MUITO SECRETO UE, através de combustão, redução a pasta, retalhamento ou outro processo que os reduza a uma forma irreconhecível e não-reconstituível.

2. Os documentos com a classificação SECRETO UE serão destruídos pelo registo responsável pelos mesmos, sob a supervisão de uma pessoa habilitada em matéria de segurança, utilizando um dos processos indicados na alínea c) do ponto 1. Os documentos com a classificação SECRETO UE destruídos serão enumerados em certificados de destruição assinados, que deverão ser conservados pelo registo, juntamente com as listas de distribuição, pelo menos durante três anos.

3. Os documentos com a classificação CONFIDENCIAL UE serão destruídos pelo registo responsável pelos mesmos, sob a supervisão de uma pessoa habilitada em matéria de segurança, utilizando um dos processos indicados na alínea c) do ponto 1. A sua destruição será registada de acordo com as instruções do membro da Comissão responsável pelas questões de segurança.

4. Os documentos com a classificação RESERVADO UE serão destruídos pelo registo responsável pelos mesmos ou pelo utilizador, de acordo com as instruções do membro da Comissão responsável pelas questões de segurança.

22.6. Destruição em casos de emergência

1. Os serviços da Comissão elaborarão, com base nas condições locais, planos para a salvaguarda do material classificado da União Europeia em situações de crise, incluindo, se necessário, a destruição de emergência e planos de evacuação; esses serviços publicarão as instruções consideradas necessárias para impedir que informações classificadas da UE possam chegar às mãos de pessoas não-autorizadas.

2. As disposições para a salvaguarda e/ou destruição de material SECRETO UE ou CONFIDENCIAL UE numa situação de crise não deverão prejudicar, em nenhum caso, a salvaguarda ou a destruição de material com a classificação MUITO SECRETO UE (incluindo o equipamento de cifragem), cujo tratamento terá prioridade sobre todas as outras tarefas.

3. As medidas a adoptar para a salvaguarda ou destruição do equipamento de cifragem em caso de emergência deverão ser objecto de instruções específicas.

4. As instruções estarão imediatamente acessíveis, em envelope selado. Existirão os meios/utensílios necessários para a destruição.

23. MEDIDAS DE SEGURANÇA A APLICAR POR OCASIÃO DE REUNIÕES ESPECÍFICAS REALIZADAS FORA DAS INSTALAÇÕES DA COMISSÃO E QUE ENVOLVAM INFORMAÇÃO CLASSIFICADA DA UE

23.1. Disposições gerais

Quando forem realizadas reuniões da Comissão ou outras reuniões importantes fora das instalações da Comissão e sempre que tal se justifique devido aos requisitos especiais de segurança relacionados com a alta sensibilidade das questões ou das informações tratadas, deverão ser tomadas as medidas de segurança seguidamente descritas. Estas medidas dizem apenas respeito à protecção das informações classificadas da UE; poderá ser necessário planear outras medidas de segurança.

23.2. Responsabilidades

23.2.1. Serviço de Segurança da Comissão

O Serviço de Segurança da Comissão cooperará com as autoridades competentes do Estado-Membro em cujo território tem lugar a reunião (o Estado-Membro de acolhimento) a fim de garantir a segurança das reuniões da Comissão ou outras reuniões importantes e a segurança dos delegados e respectivo pessoal. Em matéria de segurança, o Estado-Membro de acolhimento deverá especialmente assegurar que:

a) Sejam elaborados planos para fazer face às ameaças à segurança e aos incidentes relacionados com a segurança, os quais devem abranger em especial a guarda segura dos documentos classificados da UE em gabinetes;

b) Sejam tomadas medidas para facultar o acesso ao sistema de comunicações da Comissão para a recepção e transmissão de mensagens classificadas da UE. Será igualmente pedido ao Estado-Membro de acolhimento que faculte o acesso, se necessário, a sistemas telefónicos seguros.

O Serviço de Segurança da Comissão deverá agir como consultor em matéria de segurança para a preparação da reunião; deverá estar representado no local a fim de ajudar e aconselhar o Responsável da Segurança da Reunião (MSO) e as delegações, consoante as necessidades.

Será pedido a cada uma das delegações a uma reunião que designe um responsável de segurança, a quem competerá tratar as questões de segurança no interior da sua delegação e manter o contacto com o responsável da segurança da reunião e com o representante do Serviço de Segurança da Comissão, consoante as necessidades.

23.2.2. Responsável da Segurança da Reunião (MSO)

Será nomeado um Responsável da Segurança da Reunião, que será responsável pela preparação geral e controlo das medidas gerais de segurança interna e pela coordenação com as outras autoridades competentes em matéria de segurança. As medidas tomadas pelo MSO incidirão, em geral:

a) Em medidas de protecção no local da reunião destinadas a garantir que esta se processa sem qualquer incidente que possa comprometer a segurança de qualquer informação classificada da UE que aí seja utilizada;

b) No controlo do pessoal a quem é permitido aceder ao local da reunião, áreas das delegações e salas de conferência, e à verificação de todo o equipamento;

c) Na constante coordenação com as autoridades competentes do Estado-Membro de acolhimento e com o Serviço de Segurança da Comissão;

d) Na inclusão de instruções de segurança no dossier da reunião, tendo em conta as exigências das presentes regras de segurança e quaisquer outras instruções de segurança consideradas necessárias.

23.3. Medidas de segurança

23.3.1. Áreas de segurança

Serão criadas as seguintes áreas de segurança:

a) Uma área de segurança da classe II, constituída por uma sala de redacção, os escritórios e equipamento de reprografia da Comissão e os escritórios das delegações, conforme as necessidades;

b) Uma área de segurança da classe I, constituída pela sala de conferência e pelos gabinetes dos intérpretes e dos técnicos de som;

c) Áreas administrativas, constituídas pela área de imprensa e pelas instalações utilizadas para a administração, a restauração e o alojamento, bem como a área imediatamente adjacente ao Centro de Imprensa e ao local da reunião.

23.3.2. Passes

O MSO fornecerá cartões adequados, conforme os pedidos das delegações, e segundo as suas necessidades. Quando necessário, deverá ser feita uma distinção no que toca ao acesso às várias áreas de segurança.

As instruções de segurança para a reunião exigirão que todas as pessoas abrangidas ostentem de forma visível os seus cartões sempre que estejam dentro do local de reunião, de forma a poderem ser controladas pelo pessoal de segurança, na medida do necessário.

Além dos participantes que possuem um cartão, o número de pessoas a admitir no local de reunião será o mais reduzido possível. O MSO só permitirá que as delegações nacionais recebam visitantes durante a reunião mediante pedido dessas delegações. Deve ser dado um cartão de visitante a cada visitante. Será igualmente preenchido um passe de entrada do visitante, com o seu nome e com o nome da pessoa que este visita. Os visitantes serão acompanhados em todas as ocasiões por um guarda de segurança ou pela pessoa que visitam. O passe do visitante será transportado pela pessoa que o acompanha e devolvido ao pessoal encarregado da segurança, quando o visitante sair do local de reunião.

23.3.3. Controlo do equipamento fotográfico e de som

Não poderá dar entrada em nenhuma área de segurança da classe I qualquer equipamento audiovisual, com excepção do equipamento utilizado pelos fotógrafos e pelos técnicos de som devidamente autorizados pelo MSO.

23.3.4. Controlo das pastas, computadores portáteis e embrulhos

Os detentores de um passe com acesso autorizado a uma área de segurança podem normalmente trazer consigo as suas pastas e computadores portáteis (com a sua própria fonte de energia) sem que seja realizado um controlo. No caso dos embrulhos destinados às delegações, estas podem recebê-los, mas devem ser quer inspeccionados pelo responsável de segurança da delegação, quer visionados em equipamento especial, quer abertos pelo pessoal de segurança para inspecção. Se o MSO o considerar necessário, poderão ser estabelecidas medidas mais restritivas para a inspecção das pastas e embrulhos.

23.3.5. Segurança técnica

Uma equipa de segurança técnica deve tornar a sala de reunião tecnicamente segura, podendo igualmente efectuar uma vigilância electrónica durante a reunião.

23.3.6. Documentos das delegações

As delegações serão responsáveis por transportar consigo documentos classificados da UE tanto para dentro como para fora das reuniões. Serão igualmente responsáveis pela verificação e pela segurança desses documentos durante a sua utilização nas instalações que lhes forem atribuídas. Pode ser solicitado o auxílio do Estado-Membro de acolhimento para o transporte de documentos classificados para dentro e para fora do local da reunião.

23.3.7. Guarda segura dos documentos

Se a Comissão ou as delegações não estiverem em condições de guardar os seus documentos classificados em conformidade com as normas aprovadas, poderão introduzir esses documentos em envelopes selados e entregá-los ao MSO, mediante recibo, para que este os possa guardar segundo as normas aprovadas.

23.3.8. Inspecção dos gabinetes

O MSO providenciará para que os gabinetes da Comissão e das delegações sejam inspeccionados no fim de cada dia de trabalho, por forma a garantir que todos os documentos classificados da UE são guardados em local seguro; caso contrário, tomará as medidas necessárias.

23.3.9. Remoção de resíduos de documentos classificados da UE

Todos os resíduos serão tratados como resíduos classificados da UE, e todos os cestos ou sacos de lixo de papel devem ser entregues à Comissão ou às delegações para remoção. Antes de abandonar as instalações que lhes foram atribuídas, a Comissão e as delegações devem entregar os seus resíduos ao MSO, que providenciará para a sua destruição segundo as regras.

No fim da reunião, todos os documentos na posse da Comissão ou das delegações mas que já não sejam necessários serão tratados como resíduos. Antes de levantar as medidas de segurança tomadas para a reunião, será feita uma busca exaustiva das instalações ocupadas pela Comissão e pelas delegações. Na medida do possível, os documentos para os quais tenha sido assinado um recibo serão destruídos conforme se encontra previsto no ponto 22.5.

24. QUEBRAS DE SEGURANÇA E FUGAS DE INFORMAÇÕES CLASSIFICADAS DA UE

24.1. Definições

Uma quebra de segurança é o resultado de um acto ou uma omissão contrários a uma disposição de segurança da Comissão, susceptível de pôr em perigo as informações classificadas da UE ou propiciar a sua fuga.

Uma fuga de informações classificadas da UE ocorre quando estas caem no todo ou em parte nas mãos de pessoas não autorizadas, ou seja, pessoas que não possuem a habilitação de segurança adequada ou que não precisam de tomar conhecimento dessas informações, ou quando há a probabilidade de tal ter acontecido.

Pode haver fuga de informações classificadas da UE como resultado de descuido, negligência ou indiscrição, bem como em resultado das actividades de serviços de espionagem que têm por alvo a UE ou os seus Estados-Membros visando as informações classificadas e as actividades da UE, ou das actividades de organizações de carácter subversivo.

24.2. Comunicação de quebras de segurança

Todas as pessoas que devam tratar informações classificadas da UE receberão uma informação completa sobre as suas responsabilidades neste domínio e comunicarão imediatamente qualquer quebra de segurança de que possam ter conhecimento.

Quando um responsável local de segurança ou um responsável da segurança da reunião descobrir ou for informado da ocorrência de uma quebra de segurança relacionada com informações classificadas da UE ou com a perda ou desaparecimento de material classificado da UE, tomará imediatamente medidas para:

a) Proteger os elementos de prova;

b) Determinar os factos ocorridos;

c) Avaliar e reduzir os danos verificados;

d) Impedir que tal volte a acontecer;

e) Notificar as autoridades adequadas dos efeitos da quebra de segurança.

Neste contexto, serão fornecidos os seguintes elementos:

i) uma descrição das informações em causa, incluindo a sua classificação, números de referência e de cópia, data, entidade de origem, assunto e âmbito,

ii) uma breve descrição das circunstâncias da quebra de segurança, incluindo a data e o período durante o qual as informações estiveram expostas à fuga,

iii) uma declaração de que a entidade de origem foi ou não informada.

Incumbe a cada autoridade de segurança, imediatamente depois de lhe ter sido notificada a ocorrência de uma quebra de segurança, comunicar o facto imediatamente ao Serviço de Segurança da Comissão.

Só será necessário comunicar os casos que envolvam informações classificadas de RESERVADO UE quando estes apresentarem características pouco usuais.

Ao ser informado da ocorrência de uma quebra de segurança, o Membro da Comissão responsável pelas questões de segurança deverá:

a) Notificar a entidade de origem das informações classificadas em questão;

b) Solicitar às autoridades de segurança competentes que procedam a um inquérito;

c) Coordenar os inquéritos, quando estiver envolvida mais do que uma autoridade de segurança;

d) Obter um relatório das circunstâncias da quebra de segurança, o período durante o qual poderá ter ocorrido e a data em que foi descoberta, juntamente com uma descrição pormenorizada do conteúdo e da classificação do material em causa. Serão, igualmente, comunicados os danos causados aos interesses da UE ou de um ou vários dos seus Estados-Membros e tomadas medidas para impedir que tal volte a acontecer.

A entidade de origem deverá informar os destinatários e deverá emitir instruções adequadas.

24.3. Acções judiciais

Qualquer indivíduo que seja responsável por uma fuga de informação classificada da UE será passível de acção disciplinar segundo as regras e regulamentos pertinentes, principalmente o Título VI do Estatuto. Essa acção disciplinar não será impeditiva de eventuais acções judiciais.

Se for caso disso, com base no relatório referido no ponto 24.2, o Membro da Comissão responsável pelas questões de segurança tomará todas as medidas necessárias para permitir às autoridades nacionais competentes intentar processos-crime.

25. PROTECÇÃO DAS INFORMAÇÕES CLASSIFICADAS DA UE TRATADAS EM SISTEMAS INFORMÁTICOS E DE COMUNICAÇÃO

25.1. Introdução

25.1.1. Disposições gerais

A política e os requisitos de segurança da presente secção aplicar-se-ão a todos os sistemas e redes de comunicação e de informação (adiante designados por sistemas) que tratem informações com a classificação CONFIDENCIAL UE ou superior. Serão aplicados em suplemento da Decisão C(95) 1510 final, de 23 de Novembro de 1995, relativa à protecção dos sistemas informáticos.

Os sistemas que tratem informações com a classificação RESERVADO UE necessitam igualmente de medidas de segurança para proteger a confidencialidade dessas informações. Todos os sistemas necessitam de medidas de segurança para proteger a sua integridade e disponibilidade, bem como a das informações que contêm.

A política de segurança informática aplicada pela Comissão comporta os seguintes elementos:

- parte integrante da segurança em geral e complemento de todos os elementos da segurança da informação, da segurança pessoal e da segurança física;

- repartição das responsabilidades pelos proprietários dos sistemas técnicos, proprietários de informações classificadas da UE armazenadas ou tratadas em sistemas técnicos, especialistas da segurança informática e utilizadores;

- descrição dos princípios e requisitos de segurança de cada sistema informático;

- aprovação de tais princípios e requisitos por uma autoridade designada;

- consideração das ameaças e vulnerabilidades específicas na central informática.

25.1.2. Ameaças aos sistemas e sua vulnerabilidade

É possível definir uma ameaça como uma quebra potencial, quer acidental quer deliberada, da segurança. No caso dos sistemas, essa quebra envolve a perda de uma ou várias características de confidencialidade, integridade e disponibilidade. A vulnerabilidade pode ser definida como uma fraqueza ou falta de controlo que possa facilitar ou permitir uma ameaça contra um bem ou um alvo específico.

O tratamento de informações classificadas e não classificadas da UE em sistemas de forma concentrada, concebida para permitir a sua rápida localização, comunicação e utilização, é vulnerável a várias ameaças. Estas incluem o acesso à informação por utilizadores não autorizados ou, em sentido inverso, a recusa do acesso aos utilizadores autorizados. Existem igualmente riscos de divulgação, corrupção, alteração ou supressão não autorizadas da informação. Além disso, os equipamentos complexos e muitas vezes frágeis são onerosos e frequentemente de difícil reparação ou substituição.

25.1.3. Objectivo principal das medidas de segurança

O objectivo principal das medidas de segurança enumeradas na presente secção é fornecer protecção contra a divulgação não autorizada de informações classificadas da UE (a perda de confidencialidade) e contra a perda de integridade ou disponibilidade das informações. Para alcançar um nível adequado de protecção de segurança de um sistema que trate informações classificadas da UE, o Serviço de Segurança da Comissão especificará normas adequadas de segurança convencional, juntamente com procedimentos e técnicas de segurança especiais e adequados, especialmente concebidos para cada sistema.

25.1.4. Lista dos requisitos de segurança específicos do sistema (SSRS)

O proprietário dos sistemas técnicos (TSO, ver ponto 25.3.4) e o proprietário da informação (ver ponto 25.3.5) deverão elaborar uma lista dos requisitos de segurança específicos do sistema (SSRS) para cada um dos sistemas que tratem informações com a classificação CONFIDENCIAL UE ou superior, em colaboração e com assistência, se necessário, da equipa de projecto e do Serviço de Segurança da Comissão (como Autoridade INFOSEC-IA, ver ponto ), lista essa que deverá ser aprovada pela Autoridade de Acreditação de Segurança (SAA, ver ponto 25.3.2).

Também será necessária uma lista SSRS sempre que a Autoridade de Acreditação de Segurança (SAA) considerar que é de importância capital a disponibilidade e integridade de informações RESERVADO UE ou não classificadas.

A lista SSRS será elaborada o mais cedo possível no processo de concepção do projecto e será desenvolvida e aperfeiçoada à medida que o projecto for evoluindo, desempenhando papéis diferentes em fases diferentes do ciclo de vida do projecto e do sistema.

25.1.5. Modos seguros de funcionamento

Todos os sistemas que tratem informações com a classificação CONFIDENCIAL UE ou superior deverão ser acreditados para funcionar num ou, se for caso disso e em períodos diferentes, em vários dos seguintes modos seguros de funcionamento, ou seus equivalentes nacionais:

a) Dedicado;

b) Elevado;

c) Combinado.

25.2. Definições

"Acreditação": autorização e aprovação concedidas a um sistema para tratar informações classificadas da UE no seu ambiente operacional.

Nota:

Esta acreditação deverá ser feita depois de terem sido aplicados todos os procedimentos adequados de segurança e depois de ser alcançado um nível suficiente de protecção dos recursos do sistema. A acreditação deverá normalmente ser feita com base na lista SSRS e incluir os seguintes elementos:

a) Uma indicação dos objectivos pretendidos para a acreditação do sistema, e em particular o(s) nível(eis) de classificação de informações a tratar e o(s) modo(s) seguro(s) de funcionamento proposto(s) para o sistema ou rede;

b) Uma análise de gestão de riscos que identifique as ameaças e as vulnerabilidades existentes e as medidas para as neutralizar;

c) A elaboração de procedimentos operacionais de segurança (SecOPS) com uma descrição pormenorizada das operações propostas (ou seja, modos e serviços a prestar), incluindo uma descrição dos elementos de segurança do sistema, que deverá constituir a base da acreditação;

d) Um plano para pôr em prática e fazer a manutenção dos elementos de segurança;

e) Um plano para testar, avaliar e certificar a segurança do sistema ou da rede, tanto à partida como em regime de acompanhamento;

f) A certificação, quando necessária, juntamente com outros elementos de acreditação.

"Responsável Central da Segurança Informática" (CISO): funcionário que, num serviço informático central, coordena e supervisa as medidas de segurança de sistemas com organização central.

"Certificação": emissão de uma declaração formal, com base numa análise independente da condução e resultados de uma avaliação, da medida em que um sistema satisfaz os requisitos de segurança, ou da medida em que um produto de segurança informática cumpre objectivos de segurança predefinidos.

"Segurança das Comunicações" (COMSEC): aplicação de medidas de segurança às telecomunicações a fim de recusar às pessoas não autorizadas informações de valor que possam decorrer da posse ou do estudo dessas telecomunicações, ou a fim de assegurar a autenticidade dessas telecomunicações.

Nota:

Estas medidas incluem não só a segurança da cifragem, da transmissão e da emissão, como também a segurança processual, física, do pessoal, documental e informática.

"Segurança Informática" (COMPUSEC): aplicação de elementos de segurança a um sistema informático, tanto no equipamento (hardware) como no firmware e no software, a fim de o proteger contra, ou evitar, actos não autorizados de divulgação, manipulação e modificação/supressão de informações ou de recusa de serviço.

"Produto de Segurança Informática": elemento genérico de segurança informática destinado a ser incorporado num sistema informático a fim de aumentar ou assegurar a confidencialidade, a integridade ou a disponibilidade das informações tratadas.

"Modo Seguro de Funcionamento Dedicado": modo de funcionamento em que TODOS os indivíduos com acesso ao sistema estão habilitados para o mais alto nível de classificação das informações tratadas no sistema e têm uma necessidade comum de tomar conhecimento de TODAS as informações tratadas no sistema.

Notas:

(1) A necessidade comum de tomar conhecimento indica que não existe um requisito obrigatório de características de segurança informática que permitam separar as informações no interior do sistema.

(2) As outras características de segurança (por exemplo, físicas, do pessoal e processuais) deverão cumprir os requisitos para o mais alto nível de classificação e para todas as designações de categoria das informações tratadas no sistema.

"Avaliação": exame técnico pormenorizado, por uma autoridade competente, dos aspectos de segurança de um sistema ou de um produto de segurança criptográfica ou informática.

Notas:

(1) A avaliação investiga a presença da requerida função de segurança e a ausência de efeitos colaterais prejudiciais nessa função e avalia a incorruptibilidade da mesma.

(2) A avaliação determina em que medida são cumpridos os requisitos de segurança de um sistema, ou as características de segurança de um produto de segurança informática, e estabelece o nível de fiabilidade do sistema, da função criptográfica ou do produto de segurança informática em que é depositada confiança.

"Proprietário da Informação" (IO): autoridade (chefe de serviço) responsável pela criação, o processamento e a utilização da informação, incluindo a decisão sobre as autorizações de acesso a essa informação.

"Segurança da Informação" (INFOSEC): aplicação de medidas de segurança para proteger informações processadas, armazenadas ou transmitidas em sistemas de comunicações, de informações e outros sistemas electrónicos contra a perda de confidencialidade, integridade ou disponibilidade, quer acidental quer intencional, e para prevenir a falta de integridade e disponibilidade dos próprios sistemas.

As "Medidas INFOSEC" incluem a segurança informática, das transmissões, das emissões e da cifragem e a detecção, documentação e neutralização das ameaças às informações e aos sistemas.

"Central Informática": área que contém um ou mais computadores, as suas unidades locais, periféricas e de memória, as unidades de controlo e equipamento dedicado de rede e de comunicações.

Nota:

Nesta definição não se inclui uma área separada na qual se encontrem dispositivos ou terminais remotos periféricos/estações de trabalho, mesmo que esses dispositivos estejam ligados ao equipamento que se encontra na central informática.

"Rede Informática": organização geograficamente disseminada de sistemas informáticos interligados para o intercâmbio de dados, que inclui os componentes dos sistemas informáticos interligados e as respectivas interfaces com as redes de dados ou de comunicações que lhes servem de apoio.

Notas:

(1) Uma rede informática pode utilizar os serviços de uma ou várias redes de comunicações para se interligar e proceder ao intercâmbio de dados; várias redes informáticas podem utilizar os serviços de uma rede comum de comunicações.

(2) Uma rede informática é chamada "local" se ligar vários computadores no mesmo local.

"Elementos de Segurança da Rede Informática": conjunto dos elementos de segurança de cada sistema informático que compõe a rede, mais os componentes e elementos adicionais da rede propriamente dita (por exemplo, comunicações em rede, mecanismos e procedimentos de identificação de segurança e rotulagem, controlos de acesso, programas e pistas de auditoria) necessários para fornecer um nível aceitável de protecção das informações classificadas.

"Sistema Informático": conjunto de equipamentos, métodos e procedimentos e, se necessário, pessoal, organizado para desempenhar funções de tratamento de informações.

Notas:

(1) Entende-se que esta designação um conjunto de instalações, configurado para tratar informações no interior do sistema;

(2) Estes sistemas poderão servir de apoio a aplicações de consulta, de comando, de controlo, de comunicações, científicas ou administrativas, incluindo o processamento de texto;

(3) As fronteiras de um sistema serão de um modo geral definidas como sendo os elementos sob o controlo de um único proprietário dos sistemas técnicos;

(4) Um sistema informático pode conter subsistemas, alguns dos quais poderão ser eles próprios sistemas informáticos.

"Elementos de Segurança do Sistema Informático": compreendem todas as funções, características e elementos do equipamento (hardware), do firmware e do software; os procedimentos operacionais, os procedimentos de responsabilização e os controlos de acesso, a central informática, os terminais remotos/estações de trabalho e as limitações impostas pela gestão, a estrutura física e os dispositivos, o pessoal e os controlos das comunicações necessários para fornecer um nível necessário de protecção das informações classificadas a tratar num sistema informático.

"Responsável Local da Segurança Informática" (LISO): funcionário que, num serviço da Comissão, é responsável pela coordenação e supervisão das medidas de segurança no seu sector.

"Modo Seguro de Funcionamento Combinado": modo de funcionamento em que NEM TODOS os indivíduos com acesso ao sistema estão habilitados para o mais alto nível de classificação das informações tratadas no sistema e NEM TODOS os indivíduos com acesso ao sistema têm uma necessidade comum de tomar conhecimento das informações tratadas no sistema.

Notas:

(1) Este modo de funcionamento permite o tratamento de informações com diferentes níveis de classificação e com designações mistas de categoria de informações.

(2) O facto de nem todos os indivíduos estarem habilitados para os mais altos níveis de classificação, associado a não haver uma necessidade comum de tomar conhecimento, indica que são necessárias características de segurança informática que permitam um acesso selectivo e a separação das informações no interior do sistema.

"Área de Terminais Remotos/Estações de Trabalho": área que contém equipamento informático, os seus dispositivos ou terminais periféricos locais/estações de trabalho e qualquer equipamento associado de comunicações, separada de uma central informática.

"Procedimentos Operacionais de Segurança" (SecOPS): procedimentos elaborados pelos Proprietários dos Sistemas Técnicos, que definem os princípios a adoptar em matéria de segurança, os procedimentos operacionais a seguir e as responsabilidades do pessoal.

"Modo Seguro de Funcionamento Elevado": modo de funcionamento em que TODOS os indivíduos com acesso ao sistema estão habilitados para o mais alto nível de classificação das informações tratadas no sistema, mas NEM TODOS os indivíduos com acesso ao sistema têm uma necessidade comum de tomar conhecimento das informações tratadas no sistema.

Notas:

(1) A ausência de uma necessidade comum de tomar conhecimento indica que são necessárias características de segurança informática que permitam um acesso selectivo e a separação das informações no interior do sistema.

(2) As outras características de segurança (por exemplo, físicas, de pessoal, e processuais) deverão cumprir os requisitos para o mais alto nível de classificação e para todas as designações de categoria das informações tratadas no sistema.

(3) Todas as informações tratadas ou disponíveis no sistema neste modo de funcionamento, juntamente com os resultados produzidos, serão protegidas, até ordem em contrário, como sendo potencialmente da categoria e do nível mais alto de classificação das informações em tratamento, excepto se for possível ter um nível aceitável de confiança em qualquer outra função de classificação presente no sistema.

Lista dos Requisitos de Segurança Específicos do Sistema (SSRS): enumeração completa e explícita dos princípios de segurança a observar e dos requisitos pormenorizados de segurança a cumprir. Tem por base a política de segurança e a avaliação de riscos da Comissão, ou será balizada por parâmetros que incluam o ambiente operacional, o mais baixo nível de habilitação de segurança do pessoal, a mais alta classificação das informações tratadas, o modo seguro de funcionamento ou os requisitos dos utilizadores. A lista SSRS faz parte integrante da documentação de projecto apresentada às autoridades competentes para efeitos de aprovação técnica, orçamental e de segurança. Na sua forma final, a lista SSRS constitui uma enumeração completa dos parâmetros de segurança do sistema.

"Proprietário dos Sistemas Técnicos" (TSO): autoridade responsável pela criação, manutenção, funcionamento e encerramento de um sistema.

"Contramedidas TEMPEST": medidas de segurança destinadas a proteger o equipamento e as infra-estruturas de comunicações contra a fuga de informações classificadas resultante de emissões electromagnéticas não intencionais ou da condutividade.

25.3. Responsabilidades em matéria de segurança

25.3.1. Disposições gerais

As responsabilidades do Grupo Consultivo da Política de Segurança da Comissão, definidas no capítulo 12, incluem as questões INFOSEC. O Grupo organizará as suas actividades de forma a poder prestar aconselhamento técnico sobre essas questões.

O Serviço de Segurança da Comissão será responsável pela emissão de disposições de aplicação INFOSEC, com base no disposto no presente capítulo.

Sempre que surjam problemas de segurança (incidentes, infracções, etc.), serão imediatamente tomadas as medidas adequadas pelo Serviço de Segurança da Comissão.

O Serviço de Segurança da Comissão disporá de uma unidade INFOSEC.

25.3.2. Autoridade de Acreditação de Segurança (SAA)

O chefe do Serviço de Segurança da Comissão é a Autoridade de Acreditação de Segurança (SAA) da Comissão. A SAA é responsável pela organização geral da segurança e pelos domínios INFOSEC especializados: segurança das comunicações, segurança Cripto e segurança Tempest.

Competirá à SAA assegurar a conformidade dos sistemas com a política de segurança da Comissão. Uma das suas tarefas será a aprovação de um sistema destinado a tratar as informações classificadas da UE até um determinado nível de classificação no seu ambiente operacional.

A competência da SAA da Comissão abrangerá todos os sistemas que estão em funcionamento nos locais da Comissão. Sempre que diferentes componentes de um sistema passem a ser da competência da SAA da Comissão e de outras SAA, todas as partes em causa poderão nomear um conselho de acreditação conjunto, que será coordenado pela SAA da Comissão.

25.3.3. Autoridade INFOSEC (IA)

O chefe da unidade INFOSEC do Serviço de Segurança da Comissão é a Autoridade INFOSEC da Comissão. A Autoridade INFOSEC é responsável por:

- prestar aconselhamento e assistência técnica à SAA,

- contribuir para a elaboração dos SSRS,

- rever os SSRS por forma a assegurar a sua coerência com as presentes regras de segurança e as políticas da INFOSEC e a arquitectura do sistema,

- participar em painéis/conselhos de acreditação sempre que necessário e apresentar à SAA recomendações INFOSEC em matéria de acreditação,

- dar apoio às actividades de formação INFOSEC,

- prestar aconselhamento técnico na investigação de incidentes relacionados com a INFOSEC,

- definir orientações técnicas a fim de garantir que apenas seja utilizado software autorizado.

25.3.4. Proprietário dos Sistemas Técnicos (TSO)

O Proprietário dos Sistemas Técnicos (TSO) é responsável pela aplicação e funcionamento dos controlos e dos elementos de segurança especiais de um sistema. Para os sistemas de propriedade central será nomeado um Responsável Central da Segurança Informática (CISO). Cada serviço nomeará, sempre que necessário, um Responsável Local da Segurança Informática (LISO). A responsabilidade de um TSO inclui a criação dos procedimentos operacionais de segurança (SecOPS) e estender-se-á por todo o ciclo de vida do sistema, desde a fase de concepção do projecto até à remoção final.

O TSO definirá as normas e práticas de segurança a respeitar pelo fornecedor do sistema.

O TSO pode delegar parte das suas responsabilidades, sempre que necessário, num Responsável Local pela Segurança Informática. As diversas funções INFOSEC podem ser desempenhadas por uma única pessoa.

25.3.5. Proprietário da Informação (IO)

O Proprietário da Informação (IO) é responsável pelas informações classificadas da UE (e outras informações) a introduzir, processar e produzir nos sistemas técnicos. O IO definirá as condições de acesso a essas informações nos sistemas. O IO pode delegar essa responsabilidade num gestor de informação ou num gestor de bases de dados do seu sector.

25.3.6. Utilizadores

Todos os utilizadores deverão assegurar que as suas actividades não sejam nocivas para a segurança do sistema que estão a utilizar.

25.3.7. Formação INFOSEC

Serão propostas acções de formação INFOSEC a todos os membros do pessoal que dela necessitem.

25.4. Medidas de segurança não técnicas

25.4.1. Segurança do pessoal

Os utilizadores do sistema devem possuir habilitação de segurança e ter necessidade de tomar conhecimento que correspondam à classificação e ao conteúdo das informações tratadas no seu sistema específico. Para ter acesso a determinados equipamentos ou informações específicos à segurança dos sistemas é necessária uma habilitação de segurança especial, concedida segundo os procedimentos da Comissão.

A SAA deve designar todos os postos sensíveis e definir o nível de habilitação de segurança e de supervisão necessário para todos os agentes que trabalham nesses postos.

Os sistemas devem ser especificados e concebidos de uma forma que facilite a repartição das tarefas e responsabilidades pelos membros do pessoal, para que nenhuma pessoa possa ter o conhecimento e o controlo completos dos pontos-chave do sistema de segurança.

A central informática e as áreas de terminais/estações de trabalho onde a segurança do sistema possa ser alterada não podem ser ocupadas por um único funcionário autorizado ou outro agente.

Os parâmetros de segurança de um sistema só podem ser alterados por, pelo menos, duas pessoas autorizadas que ajam de modo conjugado.

25.4.2. Segurança física

A central informática e as áreas de terminais/estações de trabalho (tal como definidas no ponto 25.2) onde sejam tratadas, por meios informáticos, informações CONFIDENCIAL UE ou com uma classificação superior, ou onde for possível o acesso a tais informações, serão definidas como áreas de segurança UE da classe I ou II, conforme o caso.

25.4.3. Controlo do acesso a um sistema

Todas as informações e material que permitam o controlo do acesso a um sistema devem ser protegidos do modo correspondente à classificação mais elevada e à categoria das informações às quais esse sistema possa dar acesso.

Quando já não forem utilizados para esse efeito, as informações e o material de controlo do acesso devem ser destruídos, em conformidade com o disposto no ponto 25.5.4.

25.5. Medidas de segurança técnicas

25.5.1. Segurança das informações

Compete à entidade de origem das informações identificar e classificar todos os documentos portadores de informações, quer se apresentem sob a forma de cópias impressas ou de suporte informático. Cada página de cópia impressa deverá ser marcada, em cima e em baixo, com a classificação. O produto, quer se apresente sob a forma de cópias impressas ou de suporte informático, deverá ter a mesma classificação que a classificação mais alta atribuída às informações utilizadas para a sua produção. O modo como funciona um sistema também pode ter influência na classificação dos produtos desse sistema.

Compete aos serviços da Comissão e às pessoas que nele são detentores de informações analisar os problemas que surgem quando se agregam elementos de informação, assim como as deduções que podem ser retiradas dos elementos agregados, e determinar se é ou não adequada uma classificação superior para a totalidade da informação.

O facto de a informação consistir num código abreviado, código de transmissão ou qualquer outra forma de representação binária não constitui qualquer protecção de segurança, não devendo portanto influenciar a sua classificação.

Quando uma informação for transferida de um sistema para outro, deverá ser protegida durante a transferência e no sistema receptor, de uma forma consentânea com a classificação e a categoria originais da informação.

Todos os suportes informáticos deverão ser tratados em conformidade com a classificação mais elevada da informação armazenada ou da identificação do suporte, devendo sempre ser protegidos de forma adequada.

Os suportes informáticos reutilizáveis usados para registar informações classificadas da UE deverão manter a classificação mais elevada que já lhes tenha sido atribuída enquanto essas informações não forem convenientemente desgraduadas ou desclassificadas e os suportes não forem reclassificados em conformidade, ou os suportes não forem desclassificados ou destruídos segundo um procedimento aprovado pela SAA (ver ponto 25.5.4).

25.5.2. Controlo e responsabilidade pelas informações

Os acessos às informações classificadas SECRETO UE ou nível superior deverão ser averbados num registo manual ou automático (pistas de auditoria). Esses registos deverão ser mantidos em conformidade com as presentes regras de segurança.

O material classificado da UE existente na central informática pode ser tratado como um elemento classificado e não precisa de ser registado, desde que esse material seja identificado, marcado com a respectiva classificação e controlado de forma adequada.

Sempre que o material proveniente de um sistema que trate informações classificadas da UE for transmitido a uma área de terminais remotos/estações de trabalho a partir de uma central informática, deverão ser definidos procedimentos, aprovados pela SAA, para controlar e registar o produto. No que diz respeito ao material com a classificação SECRETO UE e superior, tais procedimentos deverão incluir instruções específicas quanto à responsabilidade pelas informações.

25.5.3. Tratamento e controlo dos suportes informáticos amovíveis

Todos os suportes informáticos amovíveis com a classificação CONFIDENCIAL UE ou superior deverão ser tratados como material, sendo-lhes aplicadas as regras gerais correspondentes. É necessário adaptar a identificação adequada e as marcações da classificação à natureza física específica do suporte, para permitir que seja claramente reconhecido.

Os utilizadores deverão assumir a responsabilidade de armazenar as informações classificadas da UE em suportes com a devida marcação da classificação e a devida protecção. Deverão ser definidos procedimentos destinados a garantir que, para todos os níveis de informações da UE, o armazenamento de informações em suportes informáticos seja feito segundo as presentes regras de segurança.

25.5.4. Desclassificação e destruição dos suportes informáticos

Os suportes informáticos utilizados para registar informações classificadas da UE podem ser desgraduados ou desclassificados, segundo um procedimento a aprovar pela SAA.

Os suportes informáticos que tiverem contido informações MUITO SECRETO UE ou com uma categoria especial não serão desclassificados nem reutilizados.

Se os suportes informáticos não puderem ser desclassificados ou não forem reutilizáveis, deverão ser destruídos segundo o procedimento supracitado.

25.5.5. Segurança das comunicações

O chefe do Serviço de Segurança da Comissão é a Autoridade Cripto.

Quando as informações classificadas da UE forem transmitidas por meios electromagnéticos, deverão ser aplicadas medidas especiais para proteger a confidencialidade, a integridade e a disponibilidade dessas transmissões. A SAA determinará os requisitos necessários para impedir a detecção e intercepção das transmissões. As informações transmitidas através de um sistema de comunicações deverão ser protegidas com base em requisitos de confidencialidade, integridade e disponibilidade.

Sempre que forem necessários métodos criptográficos para garantir a confidencialidade, a integridade e a disponibilidade, esses métodos e os produtos associados deverão ser especificamente aprovados pela SAA enquanto Autoridade Cripto.

Durante a transmissão, a confidencialidade das informações com classificação SECRETO UE e superior deverá ser protegida por métodos ou produtos criptográficos aprovados pelo Membro da Comissão responsável pelas questões de segurança, após consulta do Grupo Consultivo da Política de Segurança da Comissão. Durante a transmissão, a confidencialidade das informações com classificação SECRETO UE e superior deverá ser protegida por métodos ou produtos criptográficos aprovados pelo Membro da Comissão responsável pelas questões de segurança, após consulta do Grupo Consultivo da Política de Segurança da Comissão.

As regras pormenorizadas aplicáveis à transmissão de informações classificadas da UE deverão ser definidas em instruções de segurança específicas aprovadas pelo Serviço de Segurança da Comissão, após consulta do Grupo Consultivo da Política de Segurança da Comissão.

Em circunstâncias operacionais excepcionais, as informações classificadas RESERVADO UE, CONFIDENCIAL UE e SECRETO UE podem ser transmitidas em claro, desde que isso seja explicitamente autorizado caso a caso e devidamente registado pelo Proprietário da Informação. Essas circunstâncias excepcionais são as seguintes:

a) Durante situações de crise iminente ou real, de conflito, ou de guerra;

b) Quando a rapidez da comunicação for de importância fundamental, não estando disponíveis meios de cifragem, e se considere que as informações transmitidas não podem ser exploradas a tempo de influenciar negativamente as operações.

Um sistema deve ter a capacidade de impedir positivamente o acesso às informações classificadas da UE em qualquer dos seus terminais ou estações de trabalho, sempre que necessário, quer através da desconexão física ou de dispositivos informáticos especiais aprovados pela SAA.

25.5.6. Segurança em matéria de instalação e de radiações

O caderno de encargos para a instalação inicial dos sistemas e qualquer posterior alteração importante deverá estipular que sejam feitas por instaladores com habilitação de segurança, sob a constante supervisão de pessoal tecnicamente qualificado que esteja habilitado para o acesso a informações classificadas da UE ao nível equivalente à classificação mais alta que o sistema deverá armazenar e tratar.

Os sistemas que tratam informações com a classificação CONFIDENCIAL UE ou superior devem ser protegidos de forma a que a sua segurança não possa ser ameaçada por fugas resultantes de emissões ou da condutividade, cujo estudo e controlo se designam pelo termo "Tempest".

As contramedidas TEMPEST devem ser revistas e aprovadas por uma Autoridade TEMPEST (ver ponto25.3.2).

25.6. Segurança durante o tratamento

25.6.1. Procedimentos Operacionais de Segurança (SecOPS)

Os Procedimentos Operacionais de Segurança (SecOPS) definem os princípios a adoptar em matéria de segurança, os procedimentos operacionais a seguir e as responsabilidades do pessoal. Os SecOPS serão estabelecidos sob a responsabilidade do proprietário dos sistemas técnicos (TSO).

25.6.2. Protecção do software/gestão da configuração

A segurança das aplicações será determinada com base numa avaliação da classificação de segurança do próprio programa e não na classificação das informações a tratar. As versões do software a uso deverão ser verificadas a intervalos regulares para garantir a sua integridade e o seu correcto funcionamento.

Não deverão ser utilizadas versões novas ou alteradas do software para o tratamento de informações classificadas da UE enquanto não forem verificadas pelo TSO.

25.6.3. Verificação da presença de programas maliciosos/vírus informáticos

A verificação da presença de programas maliciosos/vírus informáticos deverá ser feita periodicamente segundo os requisitos da SAA.

Antes de serem introduzidos em qualquer sistema, todos os suportes informáticos que dão entrada na Comissão deverão ser controlados a fim de detectar a presença de quaisquer programas maliciosos ou vírus informáticos.

25.6.4. Manutenção

Os contratos e os procedimentos relativos à manutenção prevista ou solicitada dos sistemas, para os quais tenha sido elaborada uma lista SSRS, deverão especificar os requisitos e as disposições relativas ao pessoal de manutenção e respectivo equipamento que penetrem numa central informática.

Os requisitos deverão ser claramente mencionados na lista SSRS e os procedimentos claramente indicados nos SecOPS. A manutenção por contratação que exija procedimentos de diagnóstico de acesso remoto só será permitida em circunstâncias excepcionais, sob um controlo de segurança rigoroso e unicamente com o consentimento da SAA.

25.7. Contratos públicos

25.7.1. Disposições gerais

Qualquer produto de segurança a utilizar pelo sistema que deva ser obtido por contratação pública deverá ter sido avaliado e certificado, ou estar em processo de avaliação e certificação, por um organismo de avaliação ou de certificação adequado de um dos Estados-Membros da União Europeia com base em critérios reconhecidos a nível internacional (tais como os Critérios Comuns de Avaliação da Segurança Informática - ver ISO 15408). São exigidos procedimentos específicos para obter a aprovação da Comissão Consultiva de Compras e Contratos (CCAM).

Para decidir se o equipamento, designadamente os suportes informáticos, deverá ser alugado em vez de adquirido, há que ter presente que esse equipamento, uma vez utilizado para o tratamento de informações classificadas da UE, não pode abandonar os locais que lhe asseguram a protecção necessária sem primeiro ter sido desclassificado com a aprovação da SAA, aprovação essa que nem sempre é possível.

25.7.2. Acreditação

Antes de poderem tratar informações classificadas da UE, todos os sistemas para os quais tenha de ser elaborada uma lista SSRS serão acreditados pela SAA, com base em informações constantes dos SSRS, dos SecOPS e de qualquer outra documentação pertinente. Os sub-sistemas e os terminais/estações de trabalho remotos deverão ser acreditados como parte de todos os sistemas a que estão ligados. Quando um sistema der apoio tanto à Comissão como a outras organizações, a Comissão e as autoridades de segurança competentes deverão dar o seu consentimento mútuo à acreditação.

O processo de acreditação poderá ser conduzido de acordo com uma estratégia de acreditação adequada a um determinado sistema e definida pela SAA.

25.7.3. Avaliação e certificação

Antes de se proceder à acreditação, em certos casos, os elementos de segurança do equipamento (hardware), do firmware e do software de um sistema serão avaliados e certificados como capazes de salvaguardar as informações ao nível pretendido de classificação.

Os requisitos de avaliação e certificação deverão ser incluídos na planificação do sistema e claramente mencionados nos SSRS.

A avaliação e certificação serão realizadas de acordo com as directrizes aprovadas e por pessoal tecnicamente qualificado e com a devida habilitação de segurança, agindo em nome do TSO.

As equipas podem ser oriundas de uma autoridade de avaliação ou certificação designada por um Estado-Membro ou dos seus representantes designados, como por exemplo um contratante competente e com habilitação de segurança.

O nível de avaliação e de certificação pode ser reduzido (por exemplo abrangendo apenas aspectos de integração) quando os sistemas se basearem em produtos de segurança informática existentes e já avaliados e certificados a nível nacional.

25.7.4. Controlos de rotina dos elementos de segurança para prorrogar a acreditação

O TSO estabelecerá procedimentos de controlo de rotina que deverão garantir que todos os elementos de segurança do sistema continuam válidos.

Os tipos de alterações que possam ocasionar uma nova acreditação, ou que exijam uma aprovação prévia da SAA, serão claramente identificados e mencionados nos SSRS. Na sequência de qualquer alteração, reparação ou falha que possa ter afectado os elementos de segurança do sistema, o TSO providenciará a realização de um controlo para se assegurar do correcto funcionamento dos elementos de segurança. A prorrogação da acreditação do sistema dependerá normalmente dos resultados satisfatórios desses controlos.

Todos os sistemas em que tiverem sido aplicados elementos de segurança serão inspeccionados ou revistos numa base periódica pela SAA. No que diz respeito aos sistemas que tratam informações com a classificação MUITO SECRETO UE, essas inspecções devem ser realizadas pelo menos uma vez por ano.

25.8. Utilização temporária ou ocasional

25.8.1. Segurança dos microcomputadores/computadores pessoais

Os microcomputadores/computadores pessoais (PCs) dotados de discos fixos (ou outras memórias não voláteis), que funcionem autonomamente ou em rede, assim como os dispositivos informáticos portáteis (por exemplo, PCs portáteis e "agendas electrónicas") com discos duros fixos, serão considerados meios de armazenamento de informações na mesma acepção que as disquetes ou outros suportes informáticos amovíveis.

Estes equipamentos deverão dispor de um nível de protecção, em termos de acesso, tratamento, armazenamento e transporte, correspondente ao nível de classificação mais elevado da informação alguma vez neles armazenada ou tratada (até ser desgraduada ou desclassificada segundo procedimentos aprovados).

25.8.2. Utilização de equipamento informático privado para trabalhos oficiais da Comissão

É proibida a utilização de suportes informáticos amovíveis, de programas e de equipamentos informáticos privados (por exemplo PCs e dispositivos informáticos portáteis) dotados de memória, para tratar informações classificadas da UE.

Os equipamentos, programas e suportes informáticos de uso privado não podem ser introduzidos em nenhuma área das categorias I ou II onde sejam tratadas informações classificadas da UE sem autorização escrita do chefe do Serviço de Segurança da Comissão. Essa autorização só poderá ser dada por motivos técnicos em casos excepcionais.

25.8.3. Utilização de equipamento informático pertencente a prestadores de serviços ou fornecido por um país para trabalhos oficiais da Comissão

O chefe do Serviço de Segurança da Comissão pode autorizar a utilização de equipamentos e programas informáticos pertencentes a prestadores de serviços em organizações que prestam apoio ao trabalho oficial da Comissão. Também poderá ser autorizada a utilização de equipamentos e programas informáticos fornecidos por um país. Neste caso, o equipamento informático deverá ser controlado e inscrito num inventário adequado da Comissão. Em qualquer dos casos, se o equipamento informático for utilizado para tratar informações classificadas da UE, deverá ser então consultada a SAA, para que os elementos INFOSEC aplicáveis à utilização desse equipamento sejam devidamente analisados e aplicados.

26. DIVULGAÇÃO DE INFORMAÇÕES CLASSIFICADAS DA UE A PAÍSES TERCEIROS OU ORGANIZAÇÕES INTERNACIONAIS

26.1.1. Princípios aplicáveis à divulgação de informações classificadas da UE

A divulgação de informações classificadas da UE a países terceiros ou organizações internacionais será decidida pela Comissão, enquanto Colégio, com base:

- na natureza e conteúdo dessas informações,

- na necessidade de saber do destinatário,

- nas vantagens que isso traz para a UE.

Será pedida autorização à entidade que está na origem das informações classificadas da UE.

Tais decisões serão tomadas caso a caso, com base no seguinte:

- o nível pretendido de cooperação com os Países terceiros ou organizações internacionais em causa,

- a confiança que neles poderá ser depositada - que decorre do nível de segurança que seria aplicado às informações classificadas da UE confiadas a esses Estados ou organizações e da conformidade das regras de segurança que eles aplicam com as aplicadas na UE. O Grupo Consultivo da Política de Segurança da Comissão dará o seu parecer técnico à Comissão sobre este ponto.

A aceitação de informações classificadas da UE por parte de países terceiros ou organizações internacionais implica a garantia de que as informações não serão utilizadas para outros fins que não sejam os que motivaram a divulgação ou troca de informações, e de que garantirão a protecção exigida pela Comissão.

26.1.2. Níveis

Tendo a Comissão decidido que as informações classificadas podem ser divulgadas ou trocadas com um determinado Estado ou organização internacional, decidirá também sobre o nível de cooperação possível. Esta depende, em particular, da política de segurança e das regulamentações aplicadas por esse Estado ou organização.

Existem três níveis de cooperação:

Nível 1

Cooperação com países terceiros ou com organizações internacionais cuja política e regulamentação em matéria de segurança estão muito próximas das da UE.

Nível 2

Cooperação com países terceiros ou com organizações internacionais cuja política e regulamentação em matéria de segurança são significativamente diferentes das da UE.

Nível 3

Cooperação pontual com países terceiros ou com organizações internacionais cuja política e regulamentação em matéria de segurança não podem ser avaliadas.

Cada nível de cooperação determinará os procedimentos e as disposições de segurança, pormenorizadas nos apêndices 3, 4 e 5.

26.1.3. Acordos de segurança

Uma vez que tenha decidido que existe uma necessidade permanente ou a longo prazo de trocar informações classificadas entre a Comissão e países terceiros ou outras organizações internacionais, a Comissão concluirá "acordos sobre procedimentos de segurança para a troca de informações classificadas" com a outra parte, que definirão o objectivo da cooperação e as regras recíprocas em matéria de protecção das informações trocadas.

No caso da cooperação pontual do nível 3, que, por definição, é limitada no tempo e no objectivo, o "acordo sobre procedimentos para a troca de informações classificadas" poderá ser substituído por um simples memorando de entendimento que defina a natureza das informações classificadas a trocar e as obrigações recíprocas em relação a essas informações, desde que não sejam classificadas num nível superior ao de RESERVADO UE.

Os projectos de acordo sobre procedimentos de segurança ou de memorandos de entendimento serão discutidos pelo Grupo Consultivo da Política de Segurança da Comissão antes de serem apresentados à Comissão para decisão.

O Membro da Comissão responsável pelas questões de segurança pedirá às NSA dos Estados-Membros toda a assistência necessária para garantir que as informações comunicadas serão utilizadas e protegidas em conformidade com o disposto nos acordos sobre procedimentos de segurança ou nos memorandos de entendimento.

(1) Sem prejuízo da Convenção de Viena sobre Relações Diplomáticas, de 1961, e do Protocolo relativo aos Privilégios e Imunidades das Comunidades Europeias, de 8 de Abril de 1965.

(2) Consta do apêndice 1 um quadro comparativo das classificações de segurança da UE, da NATO, da UEO e dos Estados-Membros.

Apêndice 1

COMPARAÇÃO DAS CLASSIFICAÇÕES NACIONAIS DE SEGURANÇA

>POSIÇÃO NUMA TABELA>

Apêndice 2

GUIA PRÁTICO DE CLASSIFICAÇÃO

Este guia é indicativo e não pretende modificar as disposições substantivas apresentadas nas secções 16, 17, 20 e 21.

>POSIÇÃO NUMA TABELA>

Apêndice 3

Orientações para a divulgação de informações classificadas da UE a países terceiros ou organizações internacionais: cooperação de nível 1

PROCEDIMENTOS

1. Compete à Comissão, enquanto Colégio, autorizar a divulgação de informações classificadas da UE a países não membros da União Europeia ou a outras organizações internacionais com políticas e regulamentações de segurança comparáveis às da UE.

2. Na pendência da conclusão de um acordo de segurança, o Membro da Comissão responsável pelas questões de segurança é competente para examinar os pedidos de divulgação de informações classificadas da UE.

3. A esse título, compete-lhe:

- procurar obter o parecer das entidades que estão na origem das informações classificadas da UE a divulgar,

- estabelecer os contactos necessários com os órgãos de segurança das organizações internacionais ou países beneficiários a fim de verificar se as respectivas políticas e disposições de segurança são de molde a garantir que as informações classificadas divulgadas serão protegidas de acordo com as presentes disposições de segurança,

- procurar obter o parecer do Grupo Consultivo da Política de Segurança da Comissão quanto à confiança que é possível depositar nas organizações internacionais ou Estados beneficiários.

4. O Membro da Comissão responsável pelas questões de segurança enviará o pedido à Comissão, para decisão, acompanhado do parecer do Grupo Consultivo da Política de Segurança da Comissão.

DISPOSIÇÕES DE SEGURANÇA A APLICAR PELOS BENEFICIÁRIOS

5. O Membro da Comissão responsável pelas questões de segurança notificará os Estados beneficiários ou as organizações internacionais da decisão da Comissão de autorizar a divulgação das informações classificadas da UE.

6. A decisão de divulgar só entrará em vigor quando os beneficiários tiveram dado garantias por escrito de que:

- apenas utilizarão as informações para os fins acordados,

- protegerão as informações de acordo com as presentes disposições de segurança e, em particular, as regras especiais abaixo enunciadas.

7. Pessoal

a) O número de funcionários com acesso a informações classificadas da UE será estritamente limitado às pessoas cujas funções requeiram esse acesso, com base no princípio da "necessidade de ter conhecimento".

b) Todos os funcionários ou nacionais autorizados a aceder a informações com classificação CONFIDENCIAL UE ou superior deverão possuir um certificado de segurança de nível adequado ou a habilitação de segurança equivalente, qualquer deles emitido pelo governo do Estado da sua nacionalidade.

8. Transmissão de documentos

a) Os procedimentos práticos para a transmissão de documentos serão decididos de comum acordo. Na pendência da conclusão desse acordo, são aplicáveis as disposições da Secção 21. O acordo especificará, em particular, os registos para onde as informações classificadas da UE deverão ser enviadas.

b) Se as informações classificadas cuja divulgação foi autorizada pela Comissão incluírem elementos com classificação MUITO SECRETO UE, o Estado beneficiário ou a organização internacional deverão criar um registo central UE e, se necessário, sub-registos UE. Esses registos aplicarão disposições estritamente equivalentes às da Secção. das presentes disposições de segurança.

9. Registo

Logo que o registo receba um documento com classificação CONFIDENCIAL UE ou superior, inscrevê-lo-á num livro especial conservado pela organização, com colunas para a data de recepção, as referências do documento (data, número de referência e número do exemplar), a classificação, o título do documento, o nome ou título de quem o recebeu, a data de envio do recibo e a data de destruição ou devolução do documento à entidade da UE que o emitiu.

10. Destruição

a) Os documentos classificados da UE serão destruídos segundo as instruções constantes da Secção das presentes disposições de segurança. O registo UE que enviou os documentos deverá receber uma cópia do certificado de destruição dos documentos com a classificação SECRETO UE e MUITO SECRETO UE.

b) Os documentos classificados da UE serão incluídos nos planos de destruição de emergência previstos para os documentos classificados dos organismos beneficiários.

11. Protecção dos documentos

Serão tomadas todas as disposições para impedir o acesso de pessoas não autorizadas às informações classificadas da UE.

12. Cópias, traduções e extractos

Não poderão ser feitas fotocópias ou traduções nem produzidos extractos de documentos com a classificação CONFIDENCIAL UE ou SECRETO UE sem autorização do chefe do serviço de segurança competente, que registará e verificará essas cópias, traduções ou extractos, carimbando-os, se necessário.

A reprodução ou tradução de um documento com a classificação MUITO SECRETO UE só poderá ser autorizada pela entidade de origem, que especificará o número de cópias autorizado; se não for possível determinar a entidade de origem, o pedido será remetido para o Serviço de Segurança da Comissão.

13. Quebras de segurança

No caso de ocorrência ou suspeita de quebra de segurança em que esteja envolvido um documento classificado da UE, deverão ser imediatamente tomadas as seguintes disposições, sob reserva da conclusão de um acordo de segurança:

a) Realização de um inquérito para determinar as circunstâncias em que se verificou a quebra de segurança;

b) Notificação do Serviço de Segurança da Comissão, da autoridade nacional de segurança pertinente e da autoridade de origem, ou indicação clara de que esta última não foi notificada, se o não tiver sido;

c) Adopção de disposições para minimizar os efeitos da quebra de segurança;

d) Reapreciação e implementação de medidas para impedir que o caso se repita;

e) Implementação das medidas recomendadas pelo Serviço de Segurança da Comissão para impedir que o caso se repita.

14. Inspecções

O Serviço de Segurança da Comissão será autorizado, por acordo com os Estados ou organizações internacionais em questão, a proceder a uma avaliação da eficácia das medidas de protecção das informações classificadas da UE que lhes sejam divulgadas.

15. Relatórios

Sob reserva da celebração de um acordo de segurança, enquanto o Estado ou organização internacional tiver na sua posse informações classificadas da UE, deverá apresentar, até uma data a especificar no momento em que for dada autorização para divulgar essas informações, um relatório anual confirmando que foram respeitadas as presentes disposições de segurança.

Apêndice 4

Orientações para a divulgação de informações classificadas da UE a países terceiros ou organizações internacionais: cooperação de nível 2

PROCEDIMENTOS

1. Compete à entidade de origem autorizar a divulgação de informações classificadas da UE a países terceiros ou organizações internacionais cujas políticas e regulamentações de segurança sejam significativamente diferentes das da UE. Compete à Comissão, enquanto Colégio, autorizar a divulgação de informações classificadas da UE criadas na Comissão.

2. Em princípio, esta competência restringe-se a informações classificadas até ao nível SECRETO UE inclusive, excluindo as informações classificadas protegidas por designadores ou marcações de segurança especiais.

3. Na pendência da conclusão de um acordo de segurança, o Membro da Comissão responsável pelas questões de segurança é competente para examinar os pedidos de divulgação de informações classificadas da UE.

4. A esse título, compete-lhe:

- procurar obter o parecer das entidades que estão na origem das informações classificadas da UE a divulgar,

- estabelecer os contactos necessários com os órgãos de segurança dos Estados beneficiários ou das organizações internacionais a fim de obter informações sobre as respectivas políticas e disposições de segurança e, em especial, elaborar um quadro comparativo das classificações aplicáveis na UE e no país ou organização interessado,

- organizar uma reunião do Grupo Consultivo da Política de Segurança da Comissão ou, procurar, por procedimento escrito simplificado se necessário, recolher informações das autoridades nacionais de segurança dos Estados-Membros, com o objectivo de obter o parecer do Grupo Consultivo da Política de Segurança da Comissão.

5. O parecer do Grupo Consultivo da Política de Segurança da Comissão incidirá nos seguintes aspectos:

- confiança que pode ser depositada nos Estados beneficiários ou nas organizações internacionais, no sentido de avaliar os riscos corridos pela UE ou pelos seus Estados-Membros em matéria de segurança,

- avaliação da capacidade dos beneficiários para proteger as informações classificadas divulgadas pela UE,

- propostas de procedimentos práticos para o tratamento das informações classificadas da UE (fornecimento de versões expurgadas de um texto, por exemplo) e dos documentos transmitidos (manutenção ou supressão das menções referentes à classificação UE, marcações específicas, etc.),

- desgraduação ou desclassificação antes da divulgação das informações aos países beneficiários ou às organizações internacionais.

6. O Membro da Comissão responsável pelas questões de segurança enviará o pedido à Comissão, para decisão, acompanhado do parecer do Grupo Consultivo da Política de Segurança da Comissão.

REGRAS DE SEGURANÇA A APLICAR PELOS BENEFICIÁRIOS

7. O Membro da Comissão responsável pelas questões de segurança notificará os Estados beneficiários ou as organizações internacionais da decisão da Comissão de autorizar a divulgação das informações classificadas da UE e das suas restrições.

8. A decisão de divulgar só entrará em vigor quando os beneficiários tiveram dado garantias por escrito de que:

- apenas utilizarão as informações para os fins acordados,

- protegerão as informações segundo as disposições estabelecidas pela Comissão.

9. Serão aplicáveis as regras de protecção adiante enunciadas, salvo se a Comissão, depois de obter o parecer técnico do Grupo Consultivo da Política de Segurança da Comissão, optar por um procedimento específico para o tratamento dos documentos classificados da UE (supressão da menção referente à classificação UE, marcação específica, etc.).

10. Pessoal

a) O número de funcionários com acesso a informações classificadas da UE será estritamente limitado às pessoas cujas funções requeiram esse acesso, com base no princípio da "necessidade de ter conhecimento".

b) Todos os funcionários ou nacionais autorizados a aceder a informações classificadas divulgadas pela Comissão deverão possuir uma habilitação de segurança nacional ou uma autorização de acesso de nível equivalente ao da UE, conforme indicado no quadro comparativo.

c) Estas habilitações de segurança nacionais ou autorizações serão enviadas, para informação, ao Presidente.

11. Transmissão de documentos

Os procedimentos práticos para a transmissão de documentos serão decididos de comum acordo. Na pendência da conclusão desse acordo, são aplicáveis as disposições da secção. O acordo especificará, em particular, os registos para onde as informações classificadas da UE deverão ser enviadas, os endereços precisos para onde os documentos deverão ser enviados, bem como os serviços postais ou de mensageiro utilizados para a transmissão das informações classificadas da UE.

12. Registo à chegada

A autoridade nacional de segurança (NSA) do Estado destinatário ou a entidade sua homóloga que receber em nome do Governo desse Estado as informações classificadas enviadas pela Comissão, ou o gabinete de segurança da organização internacional receptora, abrirão um registo especial para inscrever as informações classificadas da UE após a sua recepção. Esse registo conterá colunas para a data de recepção, as referências do documento (data, número de referência e número do exemplar), a classificação, o título do documento, o nome ou título do destinatário, a data de envio do recibo e a data de devolução do documento à UE ou da sua destruição.

13. Devolução de documentos

Quando a entidade receptora devolve um documento classificado à Comissão, procederá conforme indicado no ponto "Transmissão de documentos" supra.

14. Protecção

a) Os documentos que não estiverem a ser utilizados serão guardados num contentor de segurança aprovado para a armazenagem de material classificado nacional com o mesmo grau de classificação. O contentor não ostentará qualquer indicação do seu conteúdo, a que só terão acesso as pessoas autorizadas a tratar informações classificadas da UE. No caso de serem utilizadas fechaduras de segredo, este só será conhecido dos funcionários do Estado ou organização em causa que estejam autorizados a aceder a informações classificadas da UE guardadas no contentor e será modificado de seis em seis meses, ou antes de decorrido este período em caso de transferência de um funcionário, de retirada da habilitação de segurança de um dos funcionários que conheçam o segredo ou de risco de fuga de informação.

b) Os documentos classificados da UE só serão retirados do contentor de segurança por funcionários habilitados a aceder a documentos classificados da UE e que tenham necessidade de deles ter conhecimento. Estes funcionários serão responsáveis pela guarda desses documentos em condições de segurança enquanto os mesmos estiverem na sua posse e, em particular, por assegurar que nenhuma pessoa não autorizada a eles tenha acesso. Assegurarão também que os documentos sejam fechados num contentor de segurança logo que acabem de os consultar e fora das horas de serviço.

c) Não poderão ser feitas fotocópias de documentos classificados no grau CONFIDENCIAL UE ou num grau superior, nem deles poderão ser produzidos extractos, sem autorização do Serviço de Segurança da Comissão.

d) O procedimento para a destruição rápida e total dos documentos em caso de emergência deverá ser definido e confirmado com o Serviço de Segurança da Comissão.

15. Segurança física

a) Quando não estiverem a ser utilizados, os contentores de segurança usados para guardar documentos classificados da UE devem manter-se sempre trancados;

b) Quando for necessário deixar entrar pessoal de manutenção ou de limpeza para trabalhar numa sala onde estejam guardados contentores de segurança, esse pessoal deverá ser permanentemente acompanhado por um membro do serviço de segurança da organização ou do Estado em questão ou por um funcionário especificamente responsável pela vigilância da segurança da sala;

c) Fora do horário normal de trabalho (de noite, nos fins de semana e nos dias feriados), os contentores de segurança onde estejam guardados documentos classificados da UE deverão ser protegidos por um guarda ou por um sistema de alarme automático.

16. Quebras de segurança

No caso de ocorrência ou suspeita de quebra de segurança em que esteja envolvido um documento classificado da UE, deverão ser imediatamente tomadas as seguintes disposições:

a) Envio imediato de um relatório ao Serviço de Segurança da Comissão ou à NSA do Estado-Membro que tomou a iniciativa de enviar os documentos (com cópia para o Serviço de Segurança da Comissão);

b) Realização de um inquérito e, logo que este esteja concluído, apresentação de um relatório completo ao organismo de segurança acima referido [ver alínea a)]. Deverão então ser adoptadas as medidas necessárias para corrigir a situação.

17. Inspecções

O Serviço de Segurança da Comissão será autorizado, por acordo com os Estados ou organizações internacionais em questão, a proceder a uma avaliação da eficácia das medidas de protecção das informações classificadas da UE que lhes tenham sido divulgadas.

18. Relatórios

Sob reserva da celebração de um acordo de segurança, enquanto o Estado ou organização internacional tiver na sua posse informações classificadas da UE, deverá apresentar, até uma data a especificar no momento em que for dada autorização para divulgar essas informações, um relatório anual confirmando que foram respeitadas as presentes disposições de segurança.

Apêndice 5

Orientações para a divulgação de informações classificadas da UE a países terceiros ou organizações internacionais: cooperação de nível 3

PROCEDIMENTOS

1. Ocasionalmente, a Comissão pode desejar cooperar, em circunstâncias especiais, com Estados ou organizações que não possam dar as garantias exigidas pelas presentes regras de segurança, apesar de essa cooperação poder requerer a divulgação de informações classificadas da UE.

2. Compete à entidade de origem autorizar a divulgação de informações classificadas da UE a países terceiros ou organizações internacionais cujas políticas e regulamentações de segurança sejam significativamente diferentes das da UE. Compete à Comissão, enquanto Colégio, autorizar a divulgação de informações classificadas da UE criadas na Comissão.

Em princípio, esta competência restringe-se a informações classificadas até ao nível SECRETO UE inclusive, excluindo as informações classificadas protegidas por designadores ou marcações de segurança especiais.

3. A Comissão ajuizará da sensatez de autorizar a divulgação das informações classificadas, avaliará a necessidade de o beneficiário delas tomar conhecimento e decidirá sobre a natureza das informações classificadas que poderão ser comunicadas.

4. Se a Comissão for favorável, o Membro da Comissão responsável pelas questões de segurança:

- procurará obter o parecer das entidades que estão na origem das informações classificadas da UE a divulgar,

- organizará uma reunião do Grupo Consultivo da Política de Segurança da Comissão ou, procurará, por procedimento escrito simplificado se necessário, recolher informações das autoridades nacionais de segurança dos Estados-Membros, com o objectivo de obter o parecer do Grupo Consultivo da Política de Segurança da Comissão.

5. O parecer do Grupo Consultivo da Política de Segurança da Comissão incidirá nos seguintes aspectos:

a) Avaliação dos riscos corridos pela UE ou pelos seus Estados-Membros em matéria de segurança;

b) Nível de classificação das informações que podem ser divulgadas;

c) Desgraduação ou desclassificação antes da divulgação das informações;

d) Procedimentos para o tratamento dos documentos a divulgar (ver ponto infra);

e) Métodos de transmissão possíveis (recurso aos serviços públicos de correio, a sistemas de telecomunicações públicos ou securizados, à mala diplomática, a mensageiros devidamente habilitados, etc.).

6. Os documentos divulgados aos Estados ou organizações a que se refere o presente apêndice serão, em princípio, preparados sem referência à sua origem ou à classificação UE. O Grupo Consultivo da Política de Segurança da Comissão poderá recomendar:

- a utilização de uma marcação específica ou de um nome de código,

- a utilização de um sistema de classificação específico que associe o grau de sensibilidade das informações às medidas de controlo a aplicar pelo beneficiário em matéria de métodos de transmissão de documentos.

7. O Presidente enviará o parecer do Grupo Consultivo da Política de Segurança da Comissão à Comissão, para decisão.

8. Uma vez que a divulgação de informações classificadas da UE e os procedimentos práticos de execução tenham sido aprovados pela Comissão, o Serviço de Segurança da Comissão estabelecerá os contactos necessários com os órgãos de segurança do Estado ou organização interessados, a fim de facilitar a aplicação das medidas de segurança previstas.

9. O Membro da Comissão responsável pelas questões de segurança informará os Estados-Membros da natureza e da classificação da informação, estabelecendo uma lista das organizações e países aos quais pode ser divulgada, conforme decisão da Comissão.

10. O Serviço de Segurança da Comissão tomará todas as medidas necessárias para facilitar a avaliação de eventuais prejuízos ou danos e a reapreciação dos procedimentos.

A Comissão reexaminará a questão sempre que as condições de cooperação sejam alteradas.

DISPOSIÇÕES DE SEGURANÇA A APLICAR PELOS BENEFICIÁRIOS

11. A decisão da Comissão de autorizar a divulgação de informações classificadas da UE será comunicada aos Estados beneficiários ou às organizações internacionais, acompanhada de uma resenha detalhada das regras de protecção propostas pelo Grupo Consultivo da Política de Segurança da Comissão e aprovadas pela Comissão.

12. A decisão só entrará em vigor quando os beneficiários tiverem dado garantias por escrito de que:

- apenas utilizarão as informações em causa para efeitos da cooperação decidida pela Comissão,

- protegerão as informações conforme exigido pela Comissão.

13. Transmissão de documentos

a) Os procedimentos práticos para a transmissão de documentos serão decididos de comum acordo entre o Serviço de Segurança da Comissão e os órgãos de segurança dos Estados receptores ou das organizações internacionais. Haverá que especificar, em particular, os endereços precisos para onde os documentos deverão ser enviados;

b) Os documentos com a classificação CONFIDENCIAL UE ou superior serão transmitidos em duplo envelope. No envelope interior será aposta a marcação específica ou o nome de código que tiver sido decidido, juntamente com uma menção da classificação especial aprovada para o documento. Para cada documento classificado será incluído um recibo, que não será ele próprio classificado, e onde se indicarão apenas as referências do documento (número de referência, data, número do exemplar) e a língua em que se encontra redigido, mas não o título;

c) O envelope interior será em seguida colocado dentro do envelope exterior, que conterá um número de expedição para efeitos de recepção, mas que não ostentará qualquer classificação de segurança;

d) Será sempre entregue aos mensageiros um recibo com o número de expedição.

14. Registo à chegada

A autoridade nacional de segurança (NSA) do Estado destinatário ou a entidade sua homóloga que receber em nome do Governo desse Estado as informações classificadas enviadas pela Comissão, ou o gabinete de segurança da organização internacional receptora, abrirão um registo especial para inscrever as informações classificadas da UE após a sua recepção. Esse registo conterá colunas para a data de recepção, as referências do documento (data, número de referência e número do exemplar), a classificação, o título do documento, o nome ou título do destinatário, a data de envio do recibo e a data de devolução do documento à UE ou da sua destruição.

15. Utilização e protecção das informações classificadas recebidas

a) As informações de nível SECRETO UE serão tratadas por funcionários especificamente designados, autorizados a ter acesso a informações com este nível de classificação. Serão guardadas em armários de segurança de boa qualidade, que só possam ser abertos pela pessoa autorizada a aceder às informações que contêm. As zonas onde esses armários se encontram deverão ser guardadas em permanência, e será instalado um sistema de controlo para assegurar que só a elas tenham acesso as pessoas devidamente autorizadas. As informações de nível SECRETO UE serão transmitidas por mala diplomática, por serviços de correio de segurança ou por uma rede de telecomunicações securizada. Um documento com a classificação SECRETO UE só poderá ser copiado com autorização dada por escrito pela entidade de origem. Todos os exemplares serão registados e todos os seus movimentos serão anotados. Serão passados recibos para todas as operações relacionadas com documentos com a classificação SECRETO UE;

b) As informações de nível CONFIDENCIAL UE serão tratadas por funcionários especificamente designados autorizados a tomar conhecimento do assunto em questão. Os documentos serão guardados em armários de segurança trancados colocados em zonas vigiadas;

As informações de nível CONFIDENCIAL UE serão enviadas por mala diplomática, por correio militar ou por uma rede de telecomunicações securizada; o organismo receptor pode tirar cópias, sendo o seu número e destinatários inscritos num registo especial;

c) As informações de nível RESERVADO UE serão tratadas em instalações que não sejam acessíveis a pessoal não autorizado e serão guardadas em contentores trancados. Os documentos podem ser transmitidos, em duplo envelope, pelos serviços públicos de correio, por correio registado, e, em situações de emergência no decurso de operações, pelas redes públicas de telecomunicações, sem protecção. Os receptores podem deles tirar cópias;

d) As informações não classificadas não requererão medidas de protecção especiais e poderão ser transmitidas pelo correio e pelas redes públicas de telecomunicações. Os destinatários podem dela tirar cópias.

16. Destruição

Os documentos que deixem de ser necessários devem ser destruídos. No caso dos documentos de nível RESERVADO UE e CONFIDENCIAL UE, a sua destruição será averbada nos registos especiais. No caso dos documentos de nível SECRETO UE, serão passados certificados de destruição, que deverão ser assinados por duas pessoas que tenham assistido à operação.

17. Quebras de segurança

Em caso de fuga ou suspeita de fuga de informações de nível CONFIDENCIAL UE ou SECRETO UE, a NSA do Estado ou o chefe dos serviços de segurança da organização conduzirão um inquérito sobre as circunstâncias dessa fuga. O Serviço de Segurança da Comissão será notificado dos resultados desse inquérito. Serão tomadas as medidas necessárias para corrigir procedimentos ou métodos de armazenagem inadequados, se tiverem sido estes a dar origem à fuga.

Apêndice 6

LISTA DE ABREVIATURAS

>POSIÇÃO NUMA TABELA>