Decisão da Alta Representante da União para os Negócios Estrangeiros e a Política de Segurança

de 15 de Junho de 2011

relativa às regras de segurança aplicáveis ao Serviço Europeu para a Acção Externa

2011/C 304/05

A ALTA REPRESENTANTE,

Tendo em conta a Decisão 2010/427/UE do Conselho que estabelece a organização e o funcionamento do Serviço Europeu para a Acção Externa («SEAE»), nomeadamente o artigo 10.o,

Tendo em conta o parecer do Comité referido no artigo 10.o, n.o 1, da decisão do Conselho acima mencionada,

Considerando o seguinte:

ADOPTOU A PRESENTE DECISÃO:

Artigo 1.o

Objecto e âmbito de aplicação

1.   A presente decisão estabelece as regras relativas à protecção e à segurança aplicáveis ao Serviço Europeu para a Acção Externa (a seguir designadas «regras de segurança do SEAE»). Estabelece o quadro regulamentar geral para assegurar uma gestão eficaz dos riscos a que estejam sujeitos o respectivo pessoal, activos físicos e informações e cumprir o dever de diligência que lhe compete neste contexto.

2.   As regras de segurança do SEAE são aplicáveis a todos os membros do seu pessoal (ou seja, funcionários e outros agentes, peritos nacionais destacados e agentes locais) e a todo o pessoal das delegações da União, independentemente do seu estatuto administrativo ou da sua origem (a seguir designado «pessoal»).

3.   A Alta Representante toma todas as medidas necessárias para aplicar essas regras no SEAE e criar a capacidade adequada para abranger todos os aspectos da segurança, com o apoio dos serviços competentes dos Estados-Membros, do Secretariado-Geral do Conselho e da Comissão.

4.   A partir da entrada em vigor da presente decisão, pode recorrer-se, se necessário, a disposições transitórias através de acordos a nível dos serviços com os serviços competentes do Secretariado-Geral do Conselho e da Comissão.

5.   A Alta Representante reaprecia regularmente as presentes regras de segurança. Deve garantir a coerência global da aplicação da presente decisão.

6.   Se necessário, a Alta Representante aprova, sob recomendação do Comité referido no artigo 9.o, n.o 6, políticas de segurança que definam as medidas de execução da presente decisão. Esse Comité pode adoptar, ao seu nível, orientações em matéria de segurança que complementem ou apoiem a presente decisão.

7.   Para efeitos de aplicação do disposto no n.o 6, o Comité terá plenamente em conta as políticas e orientações em matéria de segurança em vigor no Conselho e na Comissão Europeia, com vista a manter a coerência entre as medidas de segurança aplicáveis no SEAE, no Conselho e na Comissão.

Artigo 2.o

Gestão dos riscos de segurança

1.   A fim de determinar as suas necessidades em matéria de protecção e segurança, o SEAE aplica uma metodologia global de avaliação dos riscos de segurança em consulta com o Gabinete de Segurança do Secretariado-Geral do Conselho e a Direcção da Segurança da Comissão Europeia. O Comité referido no artigo 9.o, n.o 6, é consultado sobre a sua aplicação no SEAE.

2.   Os riscos a que estão expostos o pessoal, activos físicos e informações são sujeitos a um processo de gestão. Este processo terá por objectivo determinar os riscos de segurança conhecidos, definir as medidas de segurança destinadas a reduzir esses riscos para um nível aceitável e aplicar tais medidas de acordo com o conceito de defesa em profundidade. A eficácia das medidas será sujeita a avaliação contínua.

3.   Os papéis, responsabilidades e tarefas estabelecidos na presente decisão não prejudicam a responsabilidade de cada membro do pessoal do SEAE de demonstrar bom senso e discernimento no que se refere à sua própria protecção e segurança, nem a obrigação de cumprir todas as regras, regulamentos, procedimentos e instruções aplicáveis em matéria de segurança.

4.   O SEAE toma todas as medidas razoáveis para garantir a protecção e segurança do pessoal, activos físicos e informações e para impedir danos razoavelmente previsíveis, em conformidade com o disposto no artigo 1.o, n.o 3.

5.   As medidas de segurança no SEAE para protecção das informações classificadas ao longo do seu ciclo de vida são proporcionais, designadamente, à sua classificação de segurança, à forma e ao volume das informações ou do material, à localização e construção das instalações que albergam as informações classificadas e à ameaça, incluindo a avaliação local da ameaça, de actos mal-intencionados e/ou actividades criminosas, nomeadamente de espionagem, sabotagem e terrorismo.

Artigo 3.o

Protecção das informações

1.   A Alta Representante, após consulta do Comité referido no artigo 10.o, n.o 1, da Decisão 2010/427/UE do Conselho que estabelece a organização e o funcionamento do SEAE, decide das regras para assegurar a protecção das informações classificadas, equivalentes às estabelecidas na Decisão 2011/292/UE do Conselho relativa às regras de segurança aplicáveis à protecção das informações classificadas da UE (1) (a seguir designadas «ICUE»). Na pendência da adopção dessas regras, o SEAE aplica mutatis mutandis as regras de segurança do Conselho acima referidas. A Alta Representante toma todas as medidas necessárias para aplicar essas regras no SEAE, nos termos do artigo 1.o, n.o 3.

2.   Quando os Estados-Membros introduzirem nas estruturas ou redes do SEAE informações classificadas que ostentem uma marca de classificação de segurança nacional, este serviço protege essas informações nos termos dos requisitos aplicáveis às ICUE de nível equivalente, tal como estabelecido nas regras aplicáveis nos termos do n.o 1.

3.   No que respeita à protecção das informações sensíveis não classificadas, as medidas de segurança no SEAE devem ser proporcionais ao seu grau de sensibilidade e/ou ao impacto da sua divulgação não autorizada nos interesses da UE.

Artigo 4.o

Segurança física

1.   Serão aplicadas medidas de segurança física adequadas, nomeadamente disposições para o controlo do acesso a todas as instalações, edifícios, escritórios, salas e outras zonas do SEAE, bem como as zonas onde se encontrem instalados sistemas de comunicação e informação que tratam informações classificadas. Essas medidas serão tidas em conta na concepção e planeamento dos edifícios.

2.   Se necessário, serão adoptadas medidas de segurança física para a protecção do pessoal e das pessoas a seu cargo.

3.   As medidas referidas nos n.os 1 e 2 serão proporcionais aos riscos avaliados a que estão expostos o pessoal e os visitantes, activos físicos e informações.

4.   As zonas no SEAE onde são armazenadas informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou superior, ou classificação equivalente, são consideradas zonas de segurança, nos termos das regras estabelecidas no artigo 3.o, n.o 1, e devem ser aprovadas pela autoridade de segurança competente do SEAE.

Artigo 5.o

Credenciação de segurança do pessoal

1.   O acesso às informações classificadas e os procedimentos de credenciação de segurança do pessoal são regidos pelos requisitos previstos nas regras adoptadas nos termos do artigo 3.o, n.o 1.

2.   O pessoal que, no exercício das suas funções, possa ter de aceder a informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou superior, ou classificação equivalente, deve receber credenciação de segurança para o nível adequado antes de lhe ser facultado o acesso a essas informações classificadas. No entanto, os agentes locais não serão autorizados a ter acesso às ICUE, salvo disposição em contrário das condições previstas nas regras adoptadas nos termos do artigo 3.o, n.o 1.

3.   Os procedimentos de credenciação de segurança para o pessoal do SEAE serão definidos nas regras adoptadas nos termos do artigo 3.o, n.o 1. Esses procedimentos proporcionarão um nível de segurança equivalente ao dos procedimentos aplicados pela Comissão Europeia e pelo Secretariado-Geral do Conselho.

Artigo 6.o

Segurança dos sistemas de comunicação e informação

1.   O SEAE protege as informações tratadas nos sistemas de comunicação e informação (a seguir designados «SCI») contra as ameaças à confidencialidade, integridade, disponibilidade, autenticidade e não rejeição.

2.   Todos os SCI que tratem informações classificadas são submetidos a um processo de acreditação. O SEAE aplica um sistema de gestão da acreditação de segurança em consulta com o Secretariado-Geral do Conselho e a Comissão Europeia.

3.   Sempre que a protecção das ICUE seja assegurada por produtos criptográficos, esses produtos devem ser aprovados pela Autoridade de Aprovação Criptográfica do SEAE, sob recomendação do Comité referido no artigo 10.o, n.o 1, da Decisão 2010/427/UE do Conselho que estabelece a organização e o funcionamento do SEAE, em conformidade com o artigo 10.o da Decisão 2011/292/UE do Conselho relativa às regras de segurança aplicáveis à protecção das informações classificadas da UE.

4.   A Alta Representante criará, na medida do necessário, as seguintes funções em matéria de garantia de informação, em conformidade com o disposto no artigo 3.o, n.o 1:

5.   Para cada sistema, a Alta Representante criará as seguintes funções, em conformidade com o disposto no artigo 3.o, n.o 1:

Artigo 7.o

Sensibilização e formação em matéria de segurança

1.   A Alta Representante garante que sejam elaborados e executados programas de sensibilização e formação em matéria de segurança no SEAE e que o pessoal e, se for caso disso, as pessoas a seu cargo, beneficiem das acções de formação e sensibilização necessárias em função dos riscos inerentes ao seu local de residência.

2.   Antes de lhes ser facultado acesso às informações classificadas e, posteriormente, a intervalos regulares, o pessoal é informado e deve reconhecer as suas responsabilidades na protecção das ICUE de acordo com as regras adoptadas nos termos do artigo 3.o, n.o 1.

Artigo 8.o

Quebras de segurança e comprometimento de informações classificadas

1.   As quebras de segurança de que haja conhecimento ou suspeita devem ser imediatamente comunicadas à Direcção da Segurança do SEAE, que informará as autoridades competentes da Comissão, do Secretariado-Geral do Conselho ou dos Estados-Membros, conforme necessário.

2.   Sempre que haja conhecimento ou motivos razoáveis para presumir que houve comprometimento ou perda de informações classificadas, a Direcção da Segurança do SEAE informa desse facto a Direcção da Segurança da Comissão Europeia, o Secretariado-Geral do Conselho ou o Estado-Membro, conforme adequado, e tomar as medidas adequadas de acordo com as regras adoptadas nos termos do artigo 3.o, n.o 1.

3.   Os membros do pessoal responsáveis pela violação das regras de segurança estabelecidas na presente decisão são passíveis de acção disciplinar nos termos das disposições regulamentares aplicáveis. Quem for responsável pelo comprometimento ou pela perda de informações classificadas é passível de acção disciplinar e/ou judicial nos termos das disposições legislativas e regulamentares aplicáveis.

Artigo 9.o

Organização da segurança no SEAE

1.   A Alta Representante é a autoridade de segurança do SEAE. Nessa qualidade, garante, nomeadamente, que:

2.   A Alta Representante pode celebrar com países terceiros ou organizações internacionais convénios administrativos conforme necessário, nomeadamente no que diz respeito ao intercâmbio de informações classificadas, sem prejuízo do disposto no artigo 218.o, n.o 3, do Tratado sobre o Funcionamento da União Europeia. O Comité referido no artigo 9.o, n.o 6, deve ser consultado antes da celebração desses convénios.

3.   O Secretário-Geral Executivo assegura que sejam instauradas medidas físicas e organizativas adequadas para a protecção e segurança do pessoal e visitantes, activos físicos e informações em todas as instalações do SEAE. O Secretário-Geral Executivo é assistido nesta tarefa pelo director operacional e pela Direcção da Segurança do SEAE.

4.   O SEAE terá uma Direcção da Segurança responsável pela organização de todos os assuntos de segurança no SEAE, que deve estar disponível e, quando necessário, pode informar a Alta Representante, de acordo com o seu mandato. Em conformidade com o disposto no artigo 10.o, n.o 3, da Decisão 2010/427/UE do Conselho que estabelece a organização e o funcionamento do SEAE, a Direcção da Segurança será assistida pelos serviços competentes dos Estados-Membros.

5.   O chefe de cada Delegação da União é responsável pela aplicação de todas as medidas relativas à segurança da delegação e gere a protecção e a segurança do pessoal e dos visitantes da delegação, activos físicos e informações. Será assistido nessas funções pela Direcção da Segurança do SEAE, pelo pessoal da delegação que exerce tarefas e funções inerentes à segurança e por pessoal de segurança destacado caso necessário.

6.   É criado um Comité de Segurança. A Alta Representante deve solicitar o parecer do Comité de Segurança, que analisará e avaliará qualquer questão ligada à segurança no âmbito da presente decisão e formulará recomendações, se adequado. O Comité de Segurança é constituído por peritos de segurança competentes em representação de cada Estado-Membro, do Secretariado-Geral do Conselho e da Direcção da Segurança da Comissão Europeia. Será presidido pela Alta Representante, ou por um seu delegado, e reúne-se segundo as instruções da Alta Representante ou a pedido de qualquer dos seus membros. O Comité de Segurança organizará as suas actividades de forma a poder formular recomendações sobre qualquer área específica de segurança que se inscreva âmbito de aplicação da presente decisão.

7.   O Chefe da Direcção da Segurança do SEAE reunir-se-á regularmente, e sempre que necessário, para debater domínios de interesse comum com o Director da Segurança do Secretariado-Geral do Conselho e o Director da Segurança da Comissão Europeia.

Artigo 10.o

Segurança das missões da PCSD e REUE

A responsabilidade de cada Chefe de Missão ou Representante Especial da UE (REUE) no que se refere à segurança da missão ou equipa é estabelecida na Decisão do Conselho que cria a missão ou que nomeia o REUE. Cada Chefe de Missão ou REUE pode ser coadjuvado pela Direcção da Segurança do SEAE para assegurar a plena aplicação da política aprovada pelo Conselho em matéria de segurança do pessoal destacado no exterior da UE, com funções operacionais, ao abrigo do Título V, Capítulo 2, do Tratado da União Europeia. Para esse efeito, serão criados os mecanismos de ligação adequados.

Artigo 11.o

Inspecções de segurança

1.   A Alta Representante deve garantir que sejam efectuadas inspecções de segurança com o objectivo de verificar a conformidade com as regras e a regulamentação no domínio da segurança para proteger o pessoal, activos físicos e informações no SEAE e nas missões criadas ao abrigo do Título V, Capítulo 2, do TUE.

2.   O SEAE pode recorrer, conforme necessário, aos conhecimentos especializados dos Estados-Membros, do Secretariado-Geral do Conselho e da Comissão Europeia.

3.   A Alta Representante adoptará anualmente um programa de inspecção de segurança.

Artigo 12.o

Planeamento da continuidade das actividades

A Direcção da Segurança do SEAE apoiará o Secretário-Geral Executivo na gestão dos aspectos ligados à segurança das actividades do SEAE como parte integrante do planeamento global da continuidade das actividades do SEAE.

Artigo 13.o

Entrada em vigor

A presente decisão entra em vigor na data da sua assinatura.

(1)  Decisão 2011/292/UE do Conselho, de 31 de Março de 2011, relativa às regras de segurança aplicáveis à protecção das informações classificadas da UE (JO L 141 de 27.5.2011, p. 17).