1.

O presente anexo estabelece as regras de execução do artigo 7.o. Nele se definem os critérios a ter em conta para determinar se, com base na sua lealdade, idoneidade e fiabilidade, uma dada pessoa pode ser autorizada a ter acesso a ICUE, mas também os procedimentos administrativos e de investigação a seguir para esse efeito.

2.

O acesso a informações classificadas só pode ser concedido às pessoas depois de:

3.

Os Estados-Membros e o SGC identificarão os cargos que, nas respetivas estruturas, precisam de ter acesso a informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou superior e para os quais é, por esse motivo, exigida uma credenciação de segurança para o nível adequado.

4.

Depois de terem recebido um pedido devidamente autorizado, as ANS ou outras autoridades nacionais competentes serão responsáveis por assegurar que sejam realizadas investigações de segurança a respeito dos respetivos cidadãos que precisem de ter acesso a informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou superior. As normas de investigação respeitarão as disposições legislativas e regulamentares nacionais com vista à emissão de uma CSP ou à concessão de uma garantia da pessoa a quem será dada autorização de acesso a ICUE, conforme adequado.

5.

Se a pessoa residir no território de outro Estado-Membro ou de um Estado terceiro, as autoridades nacionais competentes solicitarão assistência à autoridade competente do Estado de residência, nos termos das disposições legislativas e regulamentares nacionais. Os Estados-Membros prestar-se-ão mutuamente assistência na condução das investigações de segurança, nos termos das disposições legislativas e regulamentares nacionais.

6.

Quando as disposições legislativas e regulamentares nacionais o permitirem, as ANS ou outras autoridades nacionais competentes podem realizar investigações a respeito de cidadãos que não sejam nacionais e que precisem de ter acesso a informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou superior. As normas de investigação respeitarão as disposições legislativas e regulamentares nacionais.

7.

A lealdade, a idoneidade e a fiabilidade de uma dada pessoa para efeitos de atribuição de uma credenciação de segurança para acesso a informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou superior serão determinadas por meio de uma investigação de segurança. A autoridade nacional competente procederá a uma avaliação global baseada nos resultados da investigação de segurança. Os principais critérios a usar para esse efeito devem consistir nomeadamente em ponderar, na medida em que tal seja possível à luz das disposições legislativas e regulamentares nacionais, se a pessoa:

8.

Se necessário, e nos termos das disposições legislativas e regulamentares nacionais, também podem considerar-se pertinentes no quadro da investigação de segurança os antecedentes médicos e financeiros da pessoa.

9.

Se necessário, e nos termos das disposições legislativas e regulamentares nacionais, também podem considerar-se pertinentes no quadro da investigação de segurança a conduta e a situação do cônjuge, de um coabitante ou familiar próximo da pessoa.

10.

A credenciação de segurança inicial para acesso a informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET baseia-se numa investigação de segurança que abranja pelo menos os últimos cinco anos, ou o período compreendido entre os 18 anos de idade e o momento presente, consoante o período mais curto, consistindo, nomeadamente, no seguinte:

11.

A credenciação de segurança inicial para acesso a informações com classificação TRÈS SECRET UE/EU TOP SECRET basear-se-á numa investigação de segurança que abranja pelo menos os últimos dez anos, ou o período compreendido entre os 18 anos de idade e o momento presente, consoante o período mais curto. No caso de serem realizadas entrevistas conforme estabelecido na alínea e), as investigações abrangerão pelo menos os últimos sete anos, ou o período compreendido entre os 18 anos de idade e o momento presente, consoante o período mais curto. Além dos critérios indicados no ponto 7 acima, serão investigados, na medida em que tal seja possível à luz das disposições legislativas e regulamentares nacionais, os elementos que adiante se enumeram antes de ser concedida a CSP TRÈS SECRET UE/EU TOP SECRET; esses elementos poderão ser também investigados antes de ser concedida uma CSP CONFIDENTIEL UE/EU CONFIDENTIAL ou SECRET UE/EU SECRET, quando as disposições legislativas e regulamentares nacionais o exijam:

12.

Se necessário, e nos termos das disposições legislativas e regulamentares nacionais, poderão ser efetuadas investigações adicionais para aprofundar todas as informações pertinentes de que se disponha sobre a pessoa, bem como para corroborar ou refutar as informações desfavoráveis.

13.

Depois da primeira atribuição de uma credenciação de segurança, e desde que a pessoa em causa tenha prestado ininterruptamente serviço numa administração nacional ou no SGC e continue a precisar de ter acesso a ICUE, a credenciação de segurança será revista, para efeitos de renovação, a intervalos não superiores a cinco anos para uma credenciação TRÈS SECRET UE/EU TOP SECRET e a dez anos para credenciações SECRET UE/EU SECRET e CONFIDENTIEL UE/EU CONFIDENTIAL, com efeitos a partir da data da notificação dos resultados da última investigação de segurança que lhes tenha servido de base. Todas as investigações com vista à renovação de uma credenciação de segurança abrangerão o período decorrido desde a última investigação.

14.

Para a renovação das credenciações de segurança, serão investigados os elementos descritos nos pontos 10 e 11.

15.

Os pedidos de renovação serão feitos em tempo útil, tendo em conta o período necessário para efetuar as investigações de segurança. Não obstante, se a ANS ou qualquer outra autoridade nacional competente tiver recebido o pedido de renovação e o correspondente questionário de segurança do pessoal antes do termo de validade da credenciação de segurança, e a necessária investigação de segurança ainda não tiver sido concluída, a autoridade nacional competente poderá prorrogar a validade da credenciação de segurança existente por um período de, no máximo, 12 meses, se tal for admissível nos termos das disposições legislativas e regulamentares nacionais. Se, findo este período de 12 meses, a investigação de segurança ainda não estiver concluída, a pessoa em causa será afetada a funções que não exijam uma credenciação de segurança.

16.

No que respeita aos funcionários e outros agentes do SGC, a Autoridade de Segurança do SGC enviará o questionário de segurança do pessoal, preenchido, à ANS do Estado-Membro de nacionalidade da pessoa, solicitando que seja levada a cabo uma investigação de segurança para o nível de ICUE às quais a pessoa deverá ter acesso.

17.

Se o SGC tomar conhecimento de informações relevantes para a investigação de segurança a respeito de alguém que tenha solicitado uma credenciação de segurança para aceder a ICUE, o SGC informará desse facto a ANS competente, nos termos das regras e regulamentações pertinentes.

18.

Concluída a investigação de segurança, a ANS competente comunicará à Autoridade de Segurança do SGC os resultados dessa investigação, utilizando para o efeito a minuta estipulada pelo Comité de Segurança.

19.

A investigação de segurança, bem como os resultados obtidos ficarão sujeitos às disposições legislativas e regulamentares pertinentes em vigor no Estado-Membro em questão, incluindo em matéria de recurso. As decisões tomadas pela entidade competente para proceder a nomeações no SGC são passíveis de recurso nos termos do Estatuto dos Funcionários da União Europeia e do Regime aplicável aos outros Agentes da União Europeia, previstos no Regulamento (CEE, Euratom, CECA) n.o 259/68 do Conselho (1) («Estatuto e Regime Aplicável»).

20.

Antes de assumirem funções, os peritos nacionais destacados para um lugar no SGC que exija o acesso a ICUE com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou superior deverão apresentar à Autoridade de Segurança do SGC um Certificado de Credenciação de Segurança do Pessoal (CCSP) válido para efeitos de acesso a ICUE, com base na qual a entidade competente para proceder a nomeações emite a autorização de acesso às ICUE.

21.

O SGC aceitará uma autorização de acesso às ICUE que seja concedida por qualquer outra instituição, organismo ou agência da União, desde que se mantenha válida. A autorização abrangerá quaisquer funções que a pessoa em causa venha a desempenhar no SGC. A instituição, organismo ou agência da União na qual a pessoa assume funções informará a ANS competente da mudança de empregador.

22.

Se o período de serviço da pessoa não tiver começado no prazo de 12 meses a contar da notificação dos resultados da investigação de segurança à entidade competente para proceder a nomeações no SGC, ou se houver uma interrupção de 12 meses no serviço durante a qual a pessoa não exerça funções no SGC ou na administração de um Estado-Membro, os referidos resultados serão remetidos à ANS competente, para confirmação de que continuam a ser válidos e pertinentes.

23.

Se o SGC tomar conhecimento de informações a respeito da existência de qualquer risco para a segurança que provenha de alguém que tenha autorização de acesso a ICUE, o SGC informará desse facto a ANS competente, nos termos das regras e regulamentações pertinentes, e poderá suspender o acesso às ICUE ou revogar a autorização para lhes aceder.

24.

Quando a ANS comunicar ao SGC que retirou a garantia concedida nos termos do ponto 18, alínea a), em relação a uma pessoa que tenha autorização de acesso a ICUE, a entidade competente para proceder a nomeações no SGC pode pedir à ANS quaisquer esclarecimentos que esta possa prestar nos termos das respetivas disposições legislativas e regulamentares nacionais. Se as informações desfavoráveis forem confirmadas, a autorização será retirada e a pessoa em causa será excluída do acesso às ICUE e afastada de funções no âmbito das quais esse acesso seja possível ou a pessoa possa prejudicar a segurança.

25.

A decisão de retirar ou suspender a um funcionário ou agente do SGC a autorização de acesso a ICUE e, se necessário, as razões que a motivaram serão notificadas à pessoa em causa, que pode pedir para ser ouvida pela entidade competente para proceder a nomeações. As informações prestadas pela ANS ficarão sujeitas às disposições legislativas e regulamentares pertinentes em vigor no Estado-Membro em questão, incluindo em matéria de recurso. As decisões tomadas pela entidade competente para proceder a nomeações no SGC são passíveis de recurso nos termos do Estatuto e do Regime Aplicável.

26.

Os Estados-Membros e o SGC manterão, respetivamente, registos das CSP e das autorizações concedidas para o acesso a informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou superior. Esses registos especificarão, pelo menos, o nível das ICUE a que a pessoa pode ter acesso, a data em que a credenciação de segurança foi atribuída e o seu período de validade.

27.

A autoridade de segurança competente poderá emitir um CCSP, indicando o nível de ICUE a que a pessoa pode ter acesso (CONFIDENTIEL UE/EU CONFIDENTIAL ou superior), o período de validade da CSP para efeitos de acesso a ICUE ou da autorização de acesso a ICUE e o prazo de validade do próprio certificado.

28.

O acesso a ICUE por parte de pessoas devidamente autorizadas nos Estados-Membros em virtude das funções que exercem será determinado nos termos das disposições legislativas e regulamentares nacionais; essas pessoas serão informadas das suas obrigações de segurança no que respeita à proteção das ICUE.

29.

Todas as pessoas a quem tenha sido conferida uma credenciação de segurança confirmarão por escrito que compreenderam as obrigações a que estão sujeitas no que respeita à Proteção das ICUE e as consequências do comprometimento de ICUE. Os Estados-Membros e o SGC, consoante o caso, conservarão um registo dessas declarações escritas.

30.

Todas as pessoas autorizadas a aceder a ICUE ou que precisem de manusear ICUE serão inicialmente sensibilizadas e periodicamente informadas das ameaças existentes para a segurança e deverão comunicar imediatamente às autoridades de segurança competentes qualquer atitude ou atividade que considerem suspeita ou pouco habitual.

31.

Quem deixar de exercer funções que exijam acesso a ICUE será informado de que deverá continuar a salvaguardar as ICUE e, se necessário, confirmará por escrito essa sua obrigação.

32.

Quando as disposições legislativas e regulamentares nacionais o permitirem, a credenciação de segurança atribuída por uma autoridade nacional competente de um Estado-Membro para acesso a informações classificadas nacionais pode, temporariamente, até à concessão de uma CSP para acesso a ICUE, permitir que funcionários nacionais tenham acesso a ICUE até ao nível equivalente especificado na tabela de equivalências que figura no Apêndice B, se esse acesso temporário for do interesse da União. Quando as disposições legislativas e regulamentares nacionais não permitam esse acesso temporário às ICUE, as ANS informarão desse facto o Comité de Segurança.

33.

Por motivos de urgência devidamente justificados pelo interesse do serviço e enquanto se aguarda a conclusão de uma investigação de segurança exaustiva, a entidade competente para proceder a nomeações no SGC, após consulta à ANS do Estado-Membro de nacionalidade do interessado e sob reserva dos resultados da verificação inicial de que não há conhecimento de informações desfavoráveis, pode conceder aos funcionários e outros agentes do SGC uma autorização temporária de acesso a ICUE para uma função concreta. Essas autorizações temporárias terão uma validade não superior a seis meses e não permitirão o acesso a informações com classificação TRÈS SECRET UE/EU TOP SECRET. Todas as pessoas a quem tenha sido concedida uma autorização temporária confirmarão por escrito que compreenderam as obrigações a que estão sujeitas no que respeita à proteção das ICUE e as consequências do comprometimento de ICUE. O SGC conservará um registo dessas declarações escritas.

34.

Quando devam ser confiadas a alguém funções que exijam uma credenciação de segurança de nível superior ao que a pessoa possui, a atribuição pode ser feita a título temporário, desde que:

35.

O procedimento acima descrito será utilizado para um único acesso a ICUE de nível superior àquele para o qual tenha sido concedida credenciação de segurança à pessoa em causa. Não se recorrerá repetidamente a este procedimento.

36.

Em circunstâncias muito excecionais, como sejam as missões em ambiente hostil ou os períodos de crescente tensão internacional, quando as medidas de emergência o exijam, nomeadamente para salvar vidas humanas, os Estados-Membros e o Secretário-Geral poderão conceder, por escrito, acesso a informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou SECRET UE/EU SECRET a pessoas que não possuam a necessária credenciação de segurança, desde que tal autorização seja absolutamente necessária e não haja dúvidas razoáveis quanto à lealdade, à idoneidade e à fiabilidade da pessoa em causa. Será conservado registo desta autorização, com a descrição das informações para as quais tenha sido aprovado acesso.

37.

No caso de informações com classificação TRÈS SECRET UE/EU TOP SECRET, este acesso de emergência será limitado aos nacionais da União que tenham sido autorizados a aceder ao equivalente nacional do nível TRÈS SECRET UE/EU TOP SECRET ou às informações com classificação SECRET UE/EU SECRET.

38.

O Comité de Segurança será informado dos casos em que se recorra ao procedimento descrito nos pontos 36 e 37.

39.

Quando as disposições legislativas e regulamentares nacionais dos Estados-Membros prevejam regras mais rigorosas a respeito de autorizações temporárias, atribuição temporária de funções, acesso único ou acesso de emergência a informações classificadas, os procedimentos previstos na presente secção serão aplicados apenas dentro dos limites definidos nas referidas disposições legislativas e regulamentares nacionais.

40.

Será anualmente apresentado ao Comité de Segurança um relatório sobre o recurso aos procedimentos estabelecidos na presente secção.

41.

Sob reserva do ponto 28, as pessoas que devam participar em reuniões do Conselho ou das suas instâncias preparatórias em que sejam discutidas informações com a classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou superior só poderão fazê-lo depois de confirmado o estatuto da sua credenciação de segurança. No caso dos delegados, o CCSP, ou outra prova de credenciação de segurança, será enviado pelas autoridades nacionais competentes ao Gabinete de Segurança do SGC ou, a título excecional, apresentado pelo próprio delegado. Se necessário, poderá ser usada uma lista consolidada de nomes, com a indicação da prova de credenciação de segurança relevante.

42.

Se, por razões de segurança, for retirada a CSP para efeitos de acesso a ICUE de alguém cuja presença em reuniões do Conselho ou das suas instâncias preparatórias seja necessária em virtude das funções que exerce, a autoridade competente informará do facto o SGC.

43.

Os estafetas, guardas e escoltas devem possuir a credenciação de segurança para o nível adequado ou ser de outro modo sujeitos a uma investigação adequada nos termos das disposições legislativas e regulamentares nacionais, ser informados dos procedimentos de segurança aplicáveis à proteção das ICUE e alertados para o seu dever de proteção das informações que lhes forem confiadas.

1.

O presente anexo estabelece as regras de execução do artigo 8.o. Nele se definem os requisitos mínimos para a proteção física de instalações, edifícios, gabinetes, salas e outras zonas em que sejam manuseadas e armazenadas ICUE, e, nomeadamente, zonas que alberguem SCI.

2.

Serão concebidas medidas de segurança física para impedir o acesso não autorizado a ICUE:

3.

As medidas de segurança física serão selecionadas com base na avaliação de risco feita pelas autoridades competentes. Tanto o SGC como os Estados-Membros aplicarão um processo de gestão de risco à proteção das ICUE nas suas instalações, por forma a assegurar que seja concedido um nível de proteção física proporcional ao risco avaliado. No processo de gestão de risco serão tidos em conta todos os fatores pertinentes, nomeadamente:

4.

A autoridade de segurança competente determinará, aplicando o conceito de defesa em profundidade, qual a combinação adequada de medidas de segurança física a implementar, que pode ser constituída por uma ou mais das que a seguir se enunciam:

5.

A autoridade competente pode ser autorizada a efetuar buscas nas entradas e saídas, que funcionarão como elemento dissuasor da introdução não autorizada de material ou da saída não autorizada de ICUE das instalações ou edifícios.

6.

Quando houver risco de olhares indiscretos sobre ICUE, mesmo que acidentalmente, serão tomadas as medidas necessárias para neutralizar esse risco.

7.

Na fase de planeamento e conceção de novas instalações, deverão ser definidos os requisitos de segurança física e as respetivas especificações funcionais. Em instalações já existentes, os requisitos de segurança física serão aplicados em toda a medida do possível.

8.

Aquando da aquisição de equipamento (por exemplo, contentores de segurança, máquinas trituradoras, fechaduras de porta, sistemas eletrónicos de controlo de acesso, sistemas de deteção de intrusos, sistemas de alarme) para proteção física das ICUE, a autoridade de segurança competente certificar-se-á de que o equipamento satisfaz as normas técnicas e os requisitos mínimos aprovados.

9.

As especificações técnicas do equipamento a utilizar na proteção física das ICUE serão estabelecidas em diretrizes de segurança aprovadas pelo Comité de Segurança.

10.

Os sistemas de segurança serão regularmente sujeitos a inspeção e o equipamento será objeto de manutenção regular. Nos trabalhos de manutenção serão tidos em conta os resultados das inspeções, a fim de garantir que o equipamento continue a funcionar nas melhores condições.

11.

Em cada inspeção será reavaliada a eficácia de cada medida de segurança e do sistema de segurança em geral.

12.

Serão estabelecidos dois tipos de zonas fisicamente protegidas, ou os seus equivalentes nacionais, para assegurar a proteção física das ICUE:

Na presente decisão, todas as referências às Zonas Administrativas e Zonas de Segurança, incluindo as Zonas Tecnicamente Seguras, devem ser igualmente entendidas como referências aos seus equivalentes nacionais.

13.

A autoridade de segurança competente determinará que uma dada zona preenche os requisitos para ser designada Zona Administrativa, Zona de Segurança ou Zona Tecnicamente Segura.

14.

No caso das Zonas Administrativas:

15.

No caso das Zonas de Segurança:

16.

Nos casos em que a entrada numa Zona de Segurança represente, para todos os efeitos práticos, um acesso direto às informações classificadas que nela se encontrem, aplicam-se ainda os seguintes requisitos:

17.

As Zonas de Segurança a proteger contra escutas serão designadas Zonas Tecnicamente Seguras. A estas zonas aplicam-se ainda os seguintes requisitos:

18.

Não obstante o disposto na alínea d) do ponto 17, e em circunstâncias em que a ameaça para as ICUE seja considerada elevada, qualquer tipo de aparelho de comunicações e equipamento elétrico ou eletrónico será inspecionado pela autoridade de segurança competente antes de ser utilizado em zonas onde decorram reuniões ou se trabalhe com informações com classificação SECRET UE/EU SECRET e superior, por forma a garantir que nenhuma informação inteligível seja transmitida por esse equipamento, ilícita ou inadvertidamente, para fora do perímetro da Zona de Segurança.

19.

As Zonas de Segurança que não estejam ocupadas por pessoal em serviço 24 horas por dia serão, se necessário, inspecionadas no final das horas normais de serviço e a intervalos aleatórios fora dessas horas, a menos que esteja instalado um sistema de deteção de intrusos.

20.

Poderão ser temporariamente criadas Zonas de Segurança e Zonas Tecnicamente Seguras no interior de determinada Zona Administrativa para a realização de uma reunião classificada ou para qualquer outro fim semelhante.

21.

Para cada Zona de Segurança serão estabelecidos procedimentos operacionais de segurança que estipulem:

22.

Serão construídas casas-fortes dentro das Zonas de Segurança. As paredes, o chão, os tetos, as janelas e as portas com sistema de fecho serão aprovados pela autoridade de segurança competente e beneficiarão de proteção equivalente à de um contentor de segurança aprovado para armazenamento de ICUE com o mesmo nível de classificação.

23.

As ICUE com classificação RESTREINT UE/EU RESTRICTED podem ser manuseadas:

24.

As ICUE com classificação RESTREINT UE/EU RESTRICTED devem ser armazenadas em mobiliário de escritório apropriado e fechado à chave, numa Zona Administrativa ou Zona de Segurança. As referidas ICUE poderão ser temporariamente armazenadas fora de Zonas de Segurança ou de Zonas Administrativas, desde que o detentor das informações classificadas se tenha comprometido a respeitar as medidas de compensação estabelecidas nas instruções emitidas pela autoridade de segurança competente.

25.

As ICUE com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou SECRET UE/EU SECRET podem ser manuseadas:

26.

As ICUE com classificação CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET serão armazenadas em Zonas de Segurança, seja num contentor de segurança ou numa casa-forte.

27.

As ICUE com classificação TRÈS SECRET UE/EU TOP SECRET serão manuseadas em Zonas de Segurança.

28.

As ICUE com classificação TRÈS SECRET UE/EU TOP SECRET serão armazenadas em Zonas de Segurança, numa das seguintes condições:

29.

As regras a que deve obedecer o transporte de ICUE fora das zonas fisicamente protegidas são estabelecidas no Anexo III.

30.

A autoridade de segurança competente definirá procedimentos para a gestão das chaves e das combinações das fechaduras de segredo dos gabinetes, salas, casas-fortes e contentores de segurança. Tais procedimentos deverão assegurar a proteção contra o acesso não autorizado.

31.

As combinações deverão ser memorizadas pelo menor número possível de pessoas que precisem de as conhecer. As combinações dos contentores de segurança e das casas-fortes em que sejam conservadas ICUE deverão ser mudadas:

1.

O presente anexo estabelece as regras de execução do artigo 9.o. Nele se definem as medidas administrativas de controlo das ICUE ao longo do seu ciclo de vida que visam contribuir para dissuadir e detetar a perda ou comprometimento deliberados ou acidentais dessas informações.

2.

As informações serão classificadas se precisarem de proteção em virtude da sua confidencialidade.

3.

A entidade de origem das ICUE será responsável pela determinação do nível de classificação de segurança, nos termos das diretrizes de classificação relevantes, e pela divulgação inicial das informações.

4.

O nível de classificação das ICUE será determinado nos termos do artigo 2.o, n.o 2, e mediante remissão para a política de segurança a aprovar nos termos do artigo 3.o, n.o 3.

5.

A classificação de segurança deverá ser clara e corretamente indicada, independentemente do suporte em que a ICUE seja apresentada: papel, oral, eletrónico ou outro.

6.

Cada uma das partes de um determinado documento (páginas, parágrafos, secções, anexos, apêndices, adendas e elementos apensos) poderá exigir classificações diferentes, devendo ostentar a marca correspondente, inclusivamente quando for armazenado em suporte eletrónico.

7.

A classificação geral de um documento ou dossiê deverá ser pelo menos tão elevada quanto a da parte desse documento classificada ao nível mais elevado. Quando forem coligidas informações provenientes de várias fontes, o produto final será analisado para determinar o seu nível geral de classificação de segurança, uma vez que poderá justificar uma classificação mais elevada que a das partes que o compõem.

8.

Na medida do possível, os documentos que contenham partes com níveis de classificação diferentes serão estruturados de forma a que as partes com um nível de classificação diferente possam ser facilmente identificadas e, se necessário, destacadas.

9.

A classificação de uma carta ou nota de envio deverá ser tão elevada quanto a mais alta classificação dos seus anexos. A entidade de origem deverá indicar claramente a que nível é classificada a carta ou nota quando destacada dos anexos, para o que deverá utilizar uma marca adequada, por exemplo:

CONFIDENTIEL UE/EU CONFIDENTIAL

Sem anexo(s) RESTREINT UE/EU RESTRICTED

10.

Para além de uma das marcas de classificação previstas no artigo 2.o, n.o 2, as ICUE poderão ostentar outras marcas, tais como:

11.

Para indicar o nível de classificação de certos parágrafos de determinado texto, podem ser utilizadas marcas de classificação sob forma de abreviaturas normalizadas. As abreviaturas não substituem as marcas de classificação por extenso.

12.

Nos documentos classificados da UE, podem ser utilizadas, para indicar o nível de classificação de secções ou blocos do texto com menos de uma página, as seguintes abreviaturas normalizadas:

13.

Ao produzir um documento classificado da UE:

14.

Quando não for possível aplicar o disposto no ponto 13 às ICUE, deverão ser tomadas outras medidas adequadas nos termos das diretrizes de segurança a estabelecer ao abrigo do artigo 6.o, n.o 2.

15.

Aquando da produção de ICUE, a entidade de origem indicará, sempre que possível, especialmente se se tratar de informações com classificação RESTREINT UE/EU RESTRICTED, se as ICUE podem ser desgraduadas ou desclassificadas em determinada data ou após um dado acontecimento.

16.

O SGC analisará regularmente as ICUE que se encontrem na sua posse, a fim de apurar se o respetivo nível de classificação continua a ser aplicável. O SGC estabelecerá um sistema para proceder, pelo menos de cinco em cinco anos, à reanálise do nível de classificação das ICUE que tiver produzido. Essa reanálise não será necessária se a entidade de origem tiver indicado à partida que as informações serão automaticamente desgraduadas ou desclassificadas e se nelas tiver sido aposta a marca correspondente.

17.

Será designado um registo responsável para cada entidade orgânica do SGC e das administrações nacionais dos Estados-Membros em que sejam manuseadas ICUE para assegurar que as informações classificadas da UE sejam manuseadas nos termos da presente decisão. Os registos serão considerados Zonas de Segurança, tal como definidas no Anexo II.

18.

Para efeitos da presente decisão, entende-se por «registo para efeitos de segurança» («registo») a aplicação de procedimentos que registem o ciclo de vida do material, incluindo a sua divulgação e destruição.

19.

Todo o material com classificação CONFIDENTIEL UE/EU CONFIDENTIAL e superior será inscrito em registos próprios à entrada e à saída de uma entidade orgânica.

20.

O Registo Central do SGC registará todas as informações classificadas comunicadas pelo Conselho e pelo SGC a Estados terceiros e organizações internacionais, bem como todas as informações classificadas recebidas de Estados terceiros e organizações internacionais.

21.

Os SCI podem executar os procedimentos de registo recorrendo aos seus próprios processos.

22.

O Conselho aprovará uma política de segurança aplicável ao registo de ICUE para efeitos de segurança.

23.

Será designado nos Estados-Membros e no SGC um registo que atuará como autoridade central de receção e envio de informações com classificação TRÈS SECRET UE/EU TOP SECRET. Se necessário, poderão ser designados registos dependentes do registo central, a fim de manusear essas informações para efeitos de registo.

24.

Os registos dependentes não poderão enviar documentos com classificação TRÈS SECRET UE/EU TOP SECRET diretamente a outros registos dependentes adstritos ao mesmo registo central TRÈS SECRET/EU TOP SECRET nem ao exterior sem a aprovação expressa deste último, concedida por escrito.

25.

Os documentos com classificação TRÈS SECRET UE/EU TOP SECRET não serão copiados nem traduzidos sem o consentimento prévio da entidade de origem, dado por escrito.

26.

Os documentos com classificação SECRET UE/EU SECRET ou inferior poderão ser copiados ou traduzidos por ordem do detentor se a respetiva entidade de origem não tiver imposto restrições à sua cópia ou tradução.

27.

As medidas de segurança aplicáveis ao documento original serão igualmente aplicáveis às respetivas cópias e traduções.

28.

O transporte de ICUE fica sujeito às medidas de proteção estabelecidas nos pontos 30 a 41. Quando as ICUE forem transportadas por meios eletrónicos, e não obstante o artigo 9.o, n.o 4, as medidas de proteção a seguir estabelecidas poderão ser complementadas pelas contramedidas técnicas adequadas que a autoridade de segurança competente determinar, a fim de minimizar o risco de perda ou comprometimento.

29.

As autoridades de segurança competentes do SGC e dos Estados-Membros emitirão instruções para o transporte de ICUE, nos termos da presente decisão.

30.

As ICUE transportadas dentro de um edifício ou bloco de edifícios deverão ser cobertas para evitar que o seu conteúdo possa ser visto.

31.

No interior de um edifício ou bloco de edifícios, as informações com classificação TRÈS SECRET UE/EU TOP SECRET deverão ser transportadas num envelope de segurança que ostente apenas o nome do destinatário.

32.

As ICUE transportadas entre edifícios ou instalações dentro do território da União devem ser acondicionadas de uma forma que as proteja da divulgação não autorizada.

33.

O transporte de informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou SECRET UE/EU SECRET dentro do território da União será efetuado por um dos seguintes meios:

Em caso de transporte de um Estado-Membro para outro, o disposto na alínea c) fica limitado a informações com classificação até CONFIDENTIEL UE/EU CONFIDENTIAL.

34.

As informações com classificação RESTREINT UE/EU RESTRICTED podem também ser transportadas por serviços postais ou serviços comerciais de estafeta. Não é necessário um certificado de estafeta para o transporte dessas informações.

35.

O material classificado CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET (por exemplo, equipamento ou maquinaria) que não possa ser transportado pelos meios a que se refere o ponto 33 será transportado como mercadoria por transportadoras comerciais nos termos do Anexo V.

36.

O transporte de informações com classificação TRÈS SECRET UE/EU TOP SECRET entre edifícios ou instalações dentro do território da União será efetuado por estafeta militar, correio oficial ou mala diplomática, consoante o caso.

37.

As ICUE transportadas do território da União para o território de um Estado terceiro devem ser acondicionadas de uma forma que as proteja da divulgação não autorizada.

38.

O transporte de informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET do território da União para o território de um Estado terceiro será efetuado por um dos seguintes meios:

39.

O transporte de informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET comunicadas pela União a um Estado terceiro ou organização internacional deverá cumprir as disposições relevantes ao abrigo de um acordo de segurança das informações ou de um convénio administrativo nos termos do artigo 13.o, n.o 2, alíneas a) ou b).

40.

As informações com classificação RESTREINT UE/EU RESTRICTED podem também ser transportadas por serviços postais ou serviços comerciais de estafeta.

41.

O transporte de informações com classificação TRÈS SECRET UE/EU TOP SECRET do território da União para o território de um Estado terceiro será efetuado por estafeta militar ou mala diplomática.

42.

Os documentos classificados da UE que deixem de ser necessários podem ser destruídos, sem prejuízo das regras e regulamentações pertinentes em matéria de arquivo.

43.

Os documentos que devam ser registados nos termos do artigo 9.o, n.o 2, serão destruídos pelo registo responsável por ordem do detentor ou de uma autoridade competente. Os livros de registos e outras informações a registar serão atualizados em conformidade.

44.

A destruição dos documentos com classificação SECRET UE/EU SECRET ou TRÈS SECRET UE/EU TOP SECRET será efetuada na presença de uma testemunha, que possuirá uma credenciação equivalente, pelo menos, ao nível de classificação dos documentos a destruir.

45.

O funcionário do registo e a testemunha, sempre que a presença desta última seja exigida, assinarão um certificado de destruição, que será arquivado no registo. O registo conservará os certificados de destruição dos documentos TRÈS SECRET UE/EU TOP SECRET durante um período mínimo de dez anos e os dos documentos com classificação CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET durante um período mínimo de cinco anos.

46.

Os documentos classificados, incluindo os documentos com classificação RESTREINT UE/EU RESTRICTED, serão destruídos por métodos que respeitem as normas relevantes da União ou normas equivalentes ou que tenham sido aprovados pelos Estados-Membros nos termos das normas técnicas nacionais, de modo a impedir a sua reconstituição total ou parcial.

47.

A destruição dos suportes informáticos de ICUE será efetuada nos termos do ponto 37 do Anexo IV.

48.

Em caso de emergência, se houver um risco iminente de divulgação não autorizada, as ICUE serão destruídas pelo seu detentor de tal modo que não possam ser reconstituídas integral ou parcialmente. A entidade e o registo de origem serão informados da destruição de emergência das ICUE registadas.

49.

O termo «visita de avaliação» a seguir utilizado designa:

a fim de avaliar a eficácia das medidas aplicadas para proteção das ICUE.

50.

Serão efetuadas visitas de avaliação para, nomeadamente:

51.

Antes do final de cada ano civil, o Conselho aprovará o programa das visitas de avaliação para o ano seguinte, previsto no artigo 16.o, n.o 1, alínea c). As datas concretas de cada visita de avaliação serão determinadas de comum acordo com o organismo ou agência ou da União, o Estado-Membro, o Estado terceiro ou a organização internacional em questão.

52.

Serão efetuadas visitas de avaliação para controlar as regras, regulamentações e procedimentos pertinentes da entidade visitada e verificar se as suas práticas cumprem as normas mínimas e os princípios básicos estabelecidos na presente decisão e nas disposições que regem o intercâmbio de informações classificadas com essa mesma entidade.

53.

As visitas de avaliação serão efetuadas em duas fases. Se necessário, antes da visita propriamente dita será organizada uma reunião preparatória com a entidade em questão. Após essa reunião preparatória, a equipa de avaliação definirá, de comum acordo com a entidade em questão, um programa pormenorizado das visitas de avaliação que abranja todas as áreas da segurança. A equipa de avaliação deverá ter acesso a todos os locais em que sejam manuseadas ICUE, designadamente registos e pontos de presença de SCI.

54.

As visitas de avaliação às administrações nacionais de Estados-Membros, Estados terceiros e organizações internacionais serão efetuadas em plena cooperação com os funcionários da entidade, Estado terceiro ou organização internacional visitada.

55.

As visitas de avaliação a organismos, agências e entidades da União que apliquem a presente decisão ou os seus princípios serão conduzidas com a assistência de peritos da ANS em cujo território o organismo ou a agência estiver localizado.

56.

No caso das visitas de avaliação a organismos, agências ou entidades da União que apliquem a presente decisão ou os seus princípios, bem como a Estados terceiros e organizações internacionais, poderá ser solicitada a assistência e o contributo de peritos da ANS, segundo regras de pormenor a aprovar pelo Comité de Segurança.

57.

No final da visita de avaliação, serão apresentadas à entidade visitada as principais conclusões e recomendações. Em seguida, será elaborado um relatório sobre a visita de avaliação. Caso tenham sido propostas medidas corretivas e formuladas recomendações, devem constar do relatório os elementos necessários para corroborar as conclusões tiradas. O relatório será enviado à autoridade competente da entidade visitada.

58.

No caso de visitas de avaliação efetuadas às administrações nacionais dos Estados-Membros:

Será elaborado, sob a responsabilidade da Autoridade de Segurança do SGC (Gabinete de Segurança), um relatório periódico destacando os ensinamentos recolhidos das visitas de avaliação efetuadas nos Estados-Membros durante um período determinado, relatório esse que será analisado pelo Comité de Segurança.

59.

No caso das visitas de avaliação efetuadas a Estados terceiros e organizações internacionais, o relatório será distribuído ao Comité de Segurança. O relatório terá, no mínimo, a classificação RESTREINT UE/EU RESTRICTED. As eventuais medidas corretivas serão verificadas durante uma visita posterior e comunicadas ao Comité de Segurança.

60.

Os relatórios das visitas de avaliação a qualquer organismo, agência ou entidade da União que aplique a presente decisão ou os seus princípios serão distribuídos ao Comité de Segurança. O projeto de relatório da visita de avaliação será remetido à agência ou organismo interessado para verificar se está factualmente correto e se não contém informações com classificação superior a RESTREINT UE/EU RESTRICTED. As eventuais medidas corretivas serão verificadas durante uma visita posterior e comunicadas ao Comité de Segurança.

61.

A Autoridade de Segurança do SGC efetuará inspeções regulares às entidades orgânicas do SGC para os efeitos previstos no ponto 50.

62.

A Autoridade de Segurança do SGC (Gabinete de Segurança) elaborará e atualizará uma lista de controlo dos pontos a verificar durante uma visita de avaliação. A referida lista de controlo será remetida ao Comité de Segurança.

63.

As informações necessárias para completar a lista de controlo serão obtidas, nomeadamente durante a visita, junto dos serviços de gestão da segurança da entidade inspecionada. Uma vez completada com as respostas pormenorizadas, a lista de controlo será classificada de comum acordo com a entidade inspecionada. Esta lista não fará parte do relatório de inspeção.

1.

O presente anexo estabelece as regras de execução do artigo 10.o.

2.

Para a segurança e o correto funcionamento das operações em SCI, são essenciais as seguintes propriedades e conceitos de GI:

3.

As disposições adiante estabelecidas constituirão a base da segurança dos SCI em que sejam manuseadas ICUE. Serão definidos nas políticas e diretrizes de segurança em matéria de GI requisitos de pormenor para a execução das presentes disposições.

4.

A gestão dos riscos de segurança constituirá parte integrante da definição, desenvolvimento, exploração e manutenção do SCI. A gestão de risco (avaliação, tratamento, aceitação e comunicação) será conduzida como um processo iterativo em que participem conjuntamente os representantes dos proprietários do sistema, as autoridades de projeto, as autoridades operacionais e as autoridades de aprovação de segurança, seguindo um processo de avaliação dos riscos comprovado, transparente e plenamente compreensível para todos. O alcance do SCI e os seus ativos serão claramente definidos logo no início do processo de gestão de risco.

5.

As autoridades competentes analisarão as potenciais ameaças ao SCI e farão avaliações rigorosas e atualizadas da ameaça que reflitam o ambiente operacional vigente. Atualizarão constantemente o seu conhecimento das questões relacionadas com as vulnerabilidades e procederão periodicamente à reanálise da avaliação das vulnerabilidades por forma a acompanhar a evolução do ambiente das tecnologias da informação (TI).

6.

O objetivo de tratar os riscos de segurança consistirá em aplicar um conjunto de medidas de segurança que resulte num compromisso satisfatório entre os requisitos do utilizador, os custos e o risco de segurança residual.

7.

Os requisitos, a escala e o grau de pormenor específicos determinados pela AAS competente para proceder à acreditação de um SCI serão proporcionais ao risco avaliado, tendo em conta todos os fatores pertinentes, nomeadamente o nível de classificação das ICUE manuseadas no SCI. A acreditação incluirá uma declaração formal de risco residual e a aceitação do risco residual por uma autoridade responsável.

8.

Haverá que garantir a segurança ao longo de todo o ciclo de vida do SCI, desde o início até à retirada de serviço.

9.

Para cada fase do ciclo de vida, será identificado o papel de cada um dos intervenientes no SCI e a interação entre eles em termos de segurança do sistema.

10.

Os SCI, incluindo as medidas de segurança, de caráter técnico e outras, serão sujeitos a ensaios de segurança durante o processo de acreditação, a fim de assegurar o nível de garantia adequado e de verificar se os sistemas estão corretamente implementados, integrados e configurados.

11.

Serão periodicamente efetuadas avaliações, inspeções e análises de segurança durante o funcionamento e a manutenção dos SCI, e quando ocorrerem circunstâncias excecionais.

12.

A documentação de segurança do SCI evoluirá ao longo do seu ciclo de vida enquanto parte integrante do processo de gestão da mudança e da configuração.

13.

O SGC e os Estados-Membros cooperarão no desenvolvimento das melhores práticas de proteção das ICUE manuseadas nos SCI. As orientações de melhores práticas apresentarão medidas de segurança de natureza técnica, material, organizativa e processual para os SCI, de comprovada eficácia na luta contra determinadas ameaças e vulnerabilidades.

14.

A proteção das ICUE manuseadas nos SCI basear-se-á na experiência adquirida pelas entidades envolvidas na GI, tanto dentro como fora da União.

15.

A divulgação e a subsequente aplicação das melhores práticas ajudarão a atingir um nível de garantia equivalente nos vários SCI que são explorados pelo SGC e pelos Estados-Membros e em que são manuseadas ICUE.

16.

Para atenuar os riscos que pesam sobre os SCI, será posta em prática uma série de medidas de segurança, de natureza técnica e não técnica, organizadas em múltiplos estratos de defesa, a saber:

a)   Dissuasão: medidas de segurança dissuasivas da concretização de planos hostis de ataque ao SCI;

b)   Prevenção: medidas de segurança destinadas a impedir ou bloquear um ataque ao SCI;

c)   Deteção: medidas de segurança destinadas a descobrir a ocorrência de um ataque ao SCI;

d)   Resistência: medidas de segurança destinadas a limitar o impacto do ataque a um conjunto mínimo de informações ou ativos do SCI e a prevenir mais danos; e

e)   Recuperação: medidas de segurança destinadas a restabelecer uma situação segura para o SCI.

O grau de rigor destas medidas de segurança será determinado após uma avaliação dos riscos.

17.

A ANS, ou outra autoridade competente, certificar-se-á de que:

18.

A fim de evitar riscos desnecessários, só serão ativadas as funcionalidades, os dispositivos e os serviços essenciais para satisfazer os requisitos operacionais.

19.

Para limitar os danos que possam resultar de acidentes, de erros ou da utilização não autorizada dos recursos do SCI, os seus utilizadores e processos automatizados beneficiarão unicamente de acesso, privilégios ou autorizações que forem indispensáveis ao desempenho das suas funções.

20.

Os procedimentos de registo cumpridos pelo SCI serão, sempre que necessário, verificados no âmbito do processo de acreditação.

21.

A sensibilização para os riscos e para as medidas de segurança disponíveis constitui a primeira linha de defesa da segurança dos sistemas de comunicação e informação. Mais concretamente, todos os elementos do pessoal envolvido no ciclo de vida dos SCI, incluindo os utilizadores, deverão compreender que:

22.

A fim de assegurar uma boa perceção das responsabilidades em matéria de segurança, os cursos de formação e sensibilização para a GI serão obrigatórios para todo o pessoal envolvido, incluindo os funcionários que ocupem lugares de direção e os utilizadores dos SCI.

23.

O necessário grau de confiança nas medidas de segurança, definido como um nível de garantia, será determinado à luz dos resultados do processo de gestão de risco e de acordo com as políticas e diretrizes de segurança relevantes.

24.

O nível de garantia será verificado mediante a utilização de metodologias e processos reconhecidos internacionalmente ou aprovados a nível nacional, entre os quais se destacam a avaliação, os controlos e as auditorias.

25.

Os produtos criptográficos de proteção de ICUE serão avaliados e aprovados por uma Autoridade nacional de Aprovação Criptográfica (AAC) de um Estado-Membro.

26.

Antes de a sua aprovação ser recomendada ao Conselho ou ao Secretário-Geral, nos termos do artigo 10.o, n.o 6, os produtos criptográficos deverão ter sido submetidos com êxito a uma segunda avaliação por uma Autoridade de Avaliação Habilitada (AQUA) de um Estado-Membro que não esteja envolvido na conceção nem no fabrico do equipamento. O grau de pormenor exigido na segunda avaliação dependerá do nível de classificação máximo previsto para as ICUE a proteger pelos referidos produtos. O Conselho aprovará uma política de segurança aplicável à avaliação e aprovação de produtos criptográficos.

27.

Quando tal se justifique por razões operacionais específicas, o Conselho ou o Secretário-Geral, consoante o caso, podem, por recomendação do Comité de Segurança, dispensar os requisitos previstos nos pontos 25 ou 26 do presente anexo e conceder uma aprovação provisória por um período específico, nos termos do artigo 10.o, n.o 6.

28.

O Conselho pode, deliberando com base numa recomendação do Comité de Segurança, aceitar o processo de avaliação, seleção e aprovação de produtos criptográficos de um Estado terceiro ou organização internacional e, consequentemente, considerar tais produtos criptográficos aprovados para proteger as ICUE comunicadas a esse Estado terceiro ou organização internacional.

29.

A AQUA é uma AAC de um Estado-Membro que tenha sido acreditada com base em critérios definidos pelo Conselho para realizar a segunda avaliação dos produtos criptográficos destinados a proteger as ICUE.

30.

O Conselho aprovará uma política de segurança aplicável à qualificação e aprovação de produtos não criptográficos de segurança informática.

31.

Não obstante o disposto na presente decisão, quando a transmissão de ICUE se realizar dentro de Zonas de Segurança ou Zonas Administrativas, poderá ser utilizada a transmissão não cifrada ou a cifragem a um nível inferior, com base nos resultados de um processo de gestão de risco e sob reserva de aprovação da AAS.

32.

Para efeitos da presente decisão, entende-se por «interconexão» a conexão direta, unidirecional ou multidirecional, de dois ou mais sistemas informáticos para efeitos de partilha de dados e de outros recursos de informação (por exemplo, comunicação).

33.

O SCI tratará qualquer sistema informático com ele interconectado como não fiável e tomará medidas de proteção para controlar o intercâmbio de informações classificadas.

34.

Todas as interconexões de SCI com outro sistema informático obedecerão aos seguintes requisitos básicos:

35.

Não pode haver interconexão entre um SCI acreditado e uma rede desprotegida ou pública, a não ser que o SCI tenha aprovado um BPS instalado para esse efeito entre o SCI e a rede desprotegida ou pública. As medidas de segurança aplicáveis a estas interconexões serão avaliadas pela AGI competente e aprovadas pela AAS competente.

Quando a rede desprotegida ou pública for exclusivamente utilizada como transmissora e os dados forem cifrados por um produto criptográfico aprovado nos termos do artigo 10.o, não se considerará essa conexão como uma interconexão.

36.

É proibida a interconexão direta ou em cascata entre SCI acreditados para manusear informações com classificação TRÈS SECRET UE/EU TOP SECRET e redes desprotegidas ou públicas.

37.

Os suportes informáticos deverão ser destruídos segundo procedimentos aprovados pela autoridade de segurança competente.

38.

Os suportes informáticos deverão ser reutilizados, desgraduados ou desclassificados segundo diretrizes de segurança a estabelecer ao abrigo do artigo 6.o, n.o 2.

39.

Não obstante o disposto na presente decisão, os procedimentos específicos a seguir descritos podem ser aplicados numa emergência, nomeadamente em situações de crise iminente ou real, de conflito ou de guerra, ou em circunstâncias operacionais excecionais.

40.

As ICUE poderão ser transmitidas por meio de produtos criptográficos aprovados para um nível de classificação inferior, ou sem cifragem, mediante o consentimento da autoridade competente, se o prejuízo causado por um atraso for claramente mais grave do que o decorrente da eventual divulgação do material classificado, e se:

41.

As informações classificadas transmitidas nas circunstâncias referidas no ponto 39 não ostentarão marcas nem indicações que as distingam de informações não classificadas ou de informações que possam ser protegidas por produtos de cifragem disponíveis. Os destinatários serão imediatamente notificados, por outros meios, do nível de classificação das informações.

42.

Em caso de recurso ao disposto no ponto 39, será subsequentemente apresentado um relatório nessa matéria à autoridade competente e ao Comité de Segurança.

43.

Serão criadas nos Estados-Membros e no SGC as funções GI a seguir enunciadas. As funções em causa não implicam a existência de entidades orgânicas únicas. Terão mandatos independentes. Contudo, aquelas funções, e as responsabilidades que lhes estão associadas, podem ser combinadas ou integradas na mesma entidade orgânica ou divididas em diferentes entidades orgânicas, desde que sejam evitados quaisquer conflitos internos de interesses ou funções.

44.

Cabe à AGI:

45.

A Autoridade TEMPEST (AT) será responsável pela garantia de conformidade dos SCI com as políticas e diretrizes TEMPEST. A AT procederá à aprovação de contramedidas TEMPEST aplicáveis a instalações e produtos destinados a proteger as ICUE, no seu ambiente operacional, até um determinado nível de classificação.

46.

A Autoridade de Aprovação Criptográfica (AAC) será responsável pela garantia de conformidade dos produtos criptográficos com a política nacional ou do Conselho em matéria de cifragem. A AAC procederá à aprovação de um produto criptográfico destinado a proteger as ICUE, no seu ambiente operacional, até um determinado nível de classificação. A AAC será ainda responsável pela avaliação dos produtos criptográficos utilizados nos Estados-Membros.

47.

Cabe à Autoridade de Distribuição Criptográfica (ADC):

48.

Cabe à Autoridade de Acreditação de Segurança (AAS), relativamente a cada sistema:

49.

A AAS do SGC será responsável pela acreditação de todos os SCI que operem no âmbito do mandato do SGC.

50.

A AAS pertinente de cada Estado-Membro será responsável pela acreditação dos SCI e seus componentes que operem no âmbito do mandato do Estado-Membro.

51.

Cabe a um Conselho Conjunto de Acreditação de Segurança proceder à acreditação dos SCI no âmbito dos mandatos respetivos da AAS do SGC e das AAS dos Estados-Membros. O Conselho Conjunto será composto por um representante da AAS de cada Estado-Membro, nele participando um representante da AAS da Comissão Europeia. Serão convidadas a participar nas reuniões outras entidades com nódulos num SCI quando for debatido o sistema em causa.

O Conselho Conjunto será presidido por um representante da AAS do SGC. Deliberará por consenso dos representantes das AAS das instituições, dos Estados-Membros e de outras entidades com nódulos no SCI. Apresentará periodicamente um relatório de atividades ao Comité de Segurança e notificá-lo-á de todas as declarações de acreditação.

52.

Cabe à Autoridade Operacional de GI, relativamente a cada sistema:

1.

O presente anexo estabelece as regras de execução do artigo 11.o. Estabelece as disposições gerais de segurança aplicáveis a entidades industriais ou outras no âmbito das negociações pré-contratuais e durante a vigência dos contratos classificados celebrados pelo SGC.

2.

O Conselho aprova diretrizes em matéria de segurança industrial que estabeleçam, nomeadamente, os requisitos detalhados aplicáveis às CSE, às Cláusulas Adicionais de Segurança (CAS), às visitas, à transmissão e ao transporte de ICUE.

3.

Antes de abrir concursos públicos ou de celebrar contratos classificados, o SGC determinará, enquanto entidade adjudicante, qual a classificação de segurança de todas as informações a fornecer aos proponentes e contratantes, bem como de todas as informações a produzir pelos contratantes. Para o efeito, o SGC prepara um GCS para ser utilizado na execução do contrato.

4.

Para determinar qual a classificação de segurança dos vários elementos de um contrato classificado, serão aplicáveis os seguintes princípios:

5.

Os requisitos de segurança específicos ao contrato serão descritos numa CAS. Esta CAS compreenderá, sempre que necessário, o guia de classificação de segurança e fará parte integrante do contrato ou subcontrato.

6.

A CAS exigirá que o contratante e/ou subcontratante cumpra as normas mínimas estabelecidas na presente decisão. O incumprimento dessas normas mínimas pode constituir motivo suficiente para a resolução do contrato.

7.

Em função do âmbito dos programas ou projetos que impliquem acesso, manuseamento ou armazenamento de ICUE, a entidade adjudicante designada para efeitos da gestão do programa ou projeto pode elaborar ISP. As ISP deverão ser aprovadas pelas ANS/ASD ou por quaisquer outras autoridades de segurança competentes dos Estados-Membros que participem no ISP e podem estabelecer requisitos de segurança adicionais.

8.

A CSE será concedida pela ANS ou ASD ou por qualquer outra autoridade de segurança competente de um Estado-Membro, a fim de certificar, nos termos das disposições legislativas e regulamentares nacionais, que determinada entidade industrial ou outra está em condições de proteger as ICUE ao nível de classificação adequado (CONFIDENTIEL UE/EU CONFIDENTIAL ou SECRET UE/EU SECRET) dentro das respetivas instalações. A CSE será apresentada ao SGC, enquanto entidade adjudicante, antes de as ICUE serem fornecidas ao contratante ou subcontratante ou potencial contratante ou subcontratante ou de lhe ser concedido acesso a essas informações.

9.

Ao emitir uma CSE, a ANS ou ASD competente deverá, no mínimo:

10.

Se necessário, o SGC, enquanto entidade adjudicante, informará a ANS/ASD competente, ou qualquer outra autoridade de segurança competente, de que é necessária uma CSE para a fase pré-contratual ou para a execução do contrato. Será exigida uma CSE ou uma CSP para a fase pré-contratual quando haja que fornecer ICUE com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou SECRET UE/EU SECRET durante o processo de apresentação de propostas.

11.

A entidade adjudicante não adjudicará nenhum contrato classificado ao proponente preferido antes de ter recebido, da ANS/ASD ou de qualquer outra autoridade de segurança competente do Estado-Membro em que o contratante ou subcontratante esteja registado, confirmação de que, sendo exigível, foi emitida a CSE adequada.

12.

A ANS/ASD ou qualquer outra autoridade de segurança competente que tenha emitido a CSE informará o SGC, enquanto entidade adjudicante, de qualquer alteração que afete a CSE. No caso da subcontratação, será informada em conformidade a ANS/ASD ou qualquer outra autoridade de segurança competente.

13.

A retirada da CSE por parte da ANS/ASD ou de qualquer outra autoridade de segurança competente constituirá motivo suficiente para que o SGC, enquanto entidade adjudicante, ponha termo a um contrato classificado ou exclua um dos proponentes do concurso.

14.

Quando forem fornecidas ICUE aos proponentes na fase pré-contratual, o aviso de concurso deverá compreender uma disposição que obrigue aqueles que não cheguem a apresentar proposta ou não sejam selecionados a devolver todos os documentos classificados num prazo determinado.

15.

Uma vez adjudicado um contrato ou subcontrato classificado, o SGC, enquanto entidade adjudicante, informará a ANS/ASD ou qualquer outra autoridade de segurança competente do contratante ou subcontratante acerca das disposições de segurança do contrato classificado.

16.

Em caso de resolução de contratos desta natureza, o SGC, enquanto entidade adjudicante (e/ou a ANS/ASD ou qualquer outra autoridade de segurança competente, consoante o caso, quando se trate de um subcontrato), informará imediatamente desse facto a ANS/ASD ou qualquer outra autoridade de segurança competente do Estado-Membro em que o contratante ou subcontratante esteja registado.

17.

No termo do contrato classificado, o contratante ou subcontratante deverá, regra geral, restituir à entidade adjudicante quaisquer ICUE que se encontrem na sua posse.

18.

Serão estabelecidas na CAS disposições específicas referentes à eliminação das ICUE durante a fase de execução ou após o termo do contrato.

19.

Quando o contratante ou subcontratante for autorizado a conservar ICUE após o termo do contrato, as normas mínimas estabelecidas na presente decisão continuarão a ser cumpridas e a confidencialidade das ICUE protegida pelo contratante ou subcontratante.

20.

As condições em que o contratante pode subcontratar serão definidas no concurso e no contrato.

21.

Antes de procederem à subcontratação de quaisquer partes de contratos classificados, os contratantes deverão obter autorização do SGC, enquanto entidade adjudicante. Nenhum subcontrato pode ser celebrado com entidades industriais ou outras registadas num Estado que não seja membro da UE e com o qual a União não tenha celebrado nenhum acordo de segurança das informações.

22.

É da responsabilidade do contratante garantir que todas as atividades de subcontratação respeitem as normas mínimas estabelecidas na presente decisão, não devendo fornecer ICUE a nenhum subcontratante sem o prévio consentimento escrito da entidade adjudicante.

23.

Os direitos de entidade de origem das ICUE que o contratante ou subcontratante tenha produzido ou manuseado serão exercidos pela entidade adjudicante.

24.

Quando o pessoal do SGC ou de quaisquer contratantes ou subcontratantes precisem de aceder a informações com classificação CONFIDENTIEL UE/EU CONFIDENTIAL ou SECRET UE/EU SECRET nas instalações uns dos outros para a execução de um contrato classificado, serão organizadas visitas em ligação com as ANS/ASD ou quaisquer outras autoridades de segurança competentes a que o assunto diga respeito. Todavia, no contexto de determinados projetos, as ANS/ASD podem também aprovar um procedimento segundo o qual as visitas dessa natureza podem ser organizadas diretamente.

25.

Para aceder às ICUE relacionadas com o contrato do SGC, todos os visitantes devem possuir a devida CSP e ter «necessidade de tomar conhecimento» dessas informações.

26.

Apenas será concedido aos visitantes acesso às ICUE relacionadas com a finalidade da visita.

27.

Para efeitos de transmissão de ICUE por meios eletrónicos são aplicáveis as disposições pertinentes do artigo 10.o e do Anexo IV.

28.

Para efeitos de transporte de ICUE, são aplicáveis as disposições pertinentes do Anexo III, nos termos das disposições legislativas e regulamentares nacionais.

29.

Para o transporte como mercadoria de material classificado, serão aplicados os seguintes princípios aquando da determinação dos mecanismos de segurança:

30.

A transferência de ICUE para contratantes e subcontratantes estabelecidos em Estados terceiros far-se-á de acordo com as medidas de segurança acordadas entre o SGC, enquanto entidade adjudicante, e a ANS/ASD do Estado terceiro em que o contratante se encontre registado.

31.

Enquanto entidade adjudicante e com base nas disposições contratuais, assiste ao SGC, em ligação com a ANS/ASD do Estado-Membro, consoante o caso, o direito de efetuar inspeções às instalações dos contratantes ou subcontratantes, para verificar se foram tomadas as medidas de segurança necessárias à proteção das ICUE de nível RESTREINT UE/EU RESTRICTED nos termos do contrato.

32.

Na medida do necessário ao abrigo das disposições legislativas e regulamentares nacionais, as ANS/ASD ou quaisquer outras autoridades de segurança competentes serão informadas pelo SGC, na qualidade de entidade adjudicante, dos contratos ou subcontratos que envolvam informações com classificação RESTREINT UE/EU RESTRICTED.

33.

Não será necessário que os contratantes ou subcontratantes e respetivo pessoal possuam CSE nem CSP para a execução de contratos celebrados pelo SGC que envolvam informações com classificação RESTREINT UE/EU RESTRICTED.

34.

Não obstante as exigências de CSE ou CSP eventualmente previstas nas disposições legislativas e regulamentares nacionais, o SGC, enquanto entidade adjudicante, analisará as candidaturas apresentadas em concursos para adjudicação de contratos que exijam acesso a informações com classificação RESTREINT UE/EU RESTRICTED.

35.

As condições em que o contratante pode recorrer à subcontratação deverão respeitar o disposto no ponto 21.

36.

Quando um contrato implique o manuseamento de informações com classificação RESTREINT UE/EU RESTRICTED num SCI explorado por um contratante, o SGC, enquanto entidade adjudicante, assegurará que o contrato ou eventual subcontrato especifique requisitos técnicos e administrativos necessários à acreditação do SCI que sejam proporcionais ao risco avaliado, tendo em conta todos os fatores pertinentes. O alcance da acreditação do SCI será acordado entre a entidade adjudicante e a ANS/ASD competente.

1.

O presente anexo estabelece as regras de execução do artigo 13.o.

2.

Caso o Conselho determine que existe, a longo prazo, a necessidade de trocar informações classificadas, proceder-se-á à celebração de:

nos termos do artigo 13.o, n.o 2, e das secções III e IV e com base numa recomendação do Comité de Segurança.

3.

Em caso de divulgação de ICUE produzidas para efeitos de uma operação PCSD a Estados terceiros ou organizações internacionais que participem na operação, e não existindo nenhum dos quadros referidos no ponto 2, o intercâmbio de ICUE com o Estado terceiro ou organização internacional contribuinte reger-se-á, nos termos da secção V, por um dos seguintes instrumentos:

4.

Não existindo nenhum dos quadros referidos nos pontos 2 e 3, e caso se decida, a título excecional, proceder à comunicação ad hoc de ICUE a um Estado terceiro ou organização internacional nos termos na secção VI, ser-lhe-á pedido que garanta, por escrito, que protegerá as ICUE que lhe sejam comunicadas nos termos dos princípios básicos e das normas mínimas estabelecidos na presente decisão.

5.

Os acordos de segurança das informações estabelecerão os princípios básicos e as normas mínimas aplicáveis ao intercâmbio de informações classificadas entre a União e os Estados terceiros e organizações internacionais.

6.

Os acordos de segurança das informações deverão prever modalidades técnicas de execução a acordar entre as autoridades de segurança competentes das instituições e organismos relevantes da União e a autoridade de segurança competente do Estado terceiro ou organização internacional em questão. Essas modalidades terão em conta o nível de proteção previsto nas regras, estruturas e procedimentos de segurança existentes no Estado terceiro ou organização internacional, e serão aprovadas pelo Comité de Segurança.

7.

Não serão trocadas ICUE por meios eletrónicos ao abrigo de um acordo de segurança das informações, a não ser que tal se encontre expressamente previsto no acordo ou nas respetivas modalidades técnicas de execução.

8.

Quando o Conselho celebrar um acordo de segurança das informações, será designado em cada uma das partes um registo como principal ponto de entrada e saída das informações classificadas que forem trocadas.

9.

A fim de avaliar a eficácia das regras, estruturas e procedimentos de segurança existentes no Estado terceiro ou organização internacional em questão, serão efetuadas visitas de avaliação de comum acordo com o Estado terceiro ou organização internacional em questão. Essas visitas de avaliação serão conduzidas nos termos das disposições relevantes do Anexo III e deverão avaliar:

10.

As equipas que efetuarem visitas de avaliação em nome da UE verificarão se as regulamentações e procedimentos de segurança em vigor nos Estados terceiros ou organizações internacionais em questão são adequados para proteger as ICUE de um determinado nível.

11.

As conclusões das visitas serão apresentadas num relatório em que o Comité de Segurança se baseará para determinar o nível máximo das ICUE que podem ser trocadas em suporte material e, se adequado, por via eletrónica com a parte terceira interessada, bem como as eventuais condições específicas aplicáveis aos intercâmbios com essa mesma parte terceira.

12.

Envidar-se-ão todos os esforços no sentido de efetuar uma visita completa de avaliação de segurança ao Estado terceiro ou organização internacional em questão antes de o Comité de Segurança aprovar as modalidades de execução, a fim de determinar a natureza e eficácia do sistema de segurança existente. Porém, quanto tal não seja possível, o Gabinete de Segurança do SGC enviará ao Comité de Segurança um relatório tão circunstanciado quanto possível, baseado nas informações de que dispõe, informando o referido Comité das regras de segurança aplicáveis e da forma como a segurança se encontra organizada no Estado terceiro ou organização internacional em questão.

13.

O relatório sobre a visita de avaliação, ou, na sua ausência, o relatório referido no ponto 12, será enviado ao Comité de Segurança, que o deverá considerar satisfatório antes de se proceder à comunicação efetiva das ICUE ao Estado terceiro ou organização internacional em questão.

14.

As autoridades de segurança competentes das instituições e organismos da União devem dar a conhecer ao Estado terceiro ou à organização internacional a data a partir da qual a União está em condições de comunicar ICUE ao abrigo do acordo, assim como o nível máximo de ICUE que podem ser trocadas em suporte papel ou por via eletrónica.

15.

Serão efetuadas novas visitas de avaliação em função das necessidades, particularmente se:

16.

Após a entrada em vigor do acordo de segurança das informações e o início do intercâmbio de informações classificadas com o Estado terceiro ou organização internacional em questão, o Comité de Segurança pode decidir alterar o nível máximo de ICUE que podem ser trocadas em suporte papel ou por via eletrónica, nomeadamente em função dos resultados de qualquer visita de avaliação posteriormente efetuada.

17.

Quando exista, a longo prazo, necessidade de proceder ao intercâmbio de informações com uma classificação regra geral não superior a RESTREINT UE/EU RESTRICTED com um Estado terceiro ou organização internacional, e o Comité de Segurança tenha determinado que a outra parte interessada não dispõe de um sistema de segurança suficientemente desenvolvido para que seja possível celebrar um acordo de segurança das informações, o Secretário-Geral pode, sob reserva da aprovação do Conselho, celebrar um convénio administrativo em nome do SGC com as autoridades competentes do Estado terceiro ou organização internacional em questão.

18.

Se, por razões operacionais urgentes, houver necessidade de estabelecer rapidamente um quadro regulamentar para o intercâmbio de informações classificadas, o Conselho pode decidir, a título excecional, que seja celebrado um convénio administrativo para o intercâmbio de informações com uma classificação de nível superior.

19.

Regra geral, os convénios administrativos assumirão a forma de troca de cartas.

20.

Será efetuada uma visita de avaliação nos termos do ponto 9 e o seu relatório, ou, na sua ausência, o relatório referido no ponto 12, será enviado ao Comité de Segurança, que o deverá considerar satisfatório antes de se proceder à comunicação efetiva das ICUE ao Estado terceiro ou organização internacional em questão.

21.

Não serão trocadas ICUE por meios eletrónicos, ao abrigo de um convénio administrativo, a não ser que tal se encontre expressamente previsto no convénio.

22.

A participação de Estados terceiros e organizações internacionais em operações PCSD rege-se por acordos-quadro de participação. Esses acordos incluirão disposições aplicáveis à comunicação de ICUE produzidas para efeitos de operações PCSD aos Estados terceiros e organizações internacionais contribuintes. O nível máximo de classificação das ICUE que podem ser trocadas deve ser RESTREINT UE/EU RESTRICTED para as operações PCSD civis e CONFIDENTIEL UE/EU CONFIDENTIAL para as operações militares da PCSD militares, salvo disposição em contrário na decisão que estabelecer a operação PCSD em questão.

23.

Os acordos de participação ad hoc celebrados para uma determinada operação PCSD incluirão disposições aplicáveis à comunicação de ICUE produzidas para efeitos dessa operação aos Estados terceiros ou organizações internacionais contribuintes. O nível máximo de classificação das ICUE que podem ser trocadas deve ser RESTREINT UE/EU RESTRICTED para as operações PCSD civis e CONFIDENTIEL UE/EU CONFIDENTIAL para as operações militares da PCSD militares, salvo disposição em contrário na decisão que estabelecer a operação PCSD em questão.

24.

Na ausência de um acordo de segurança das informações, e até ser celebrado um acordo de participação, a comunicação de ICUE produzidas para efeitos de participação na operação de um Estado terceiro ou organização internacional deve ser regida por um convénio administrativo a celebrar pelo Alto Representante, ou sujeita a uma decisão sobre a sua comunicação ad hoc nos termos da secção VI. Só serão trocadas ICUE ao abrigo de tais convénios enquanto estiver prevista a participação do Estado terceiro ou organização internacional. O nível máximo de classificação das ICUE que podem ser trocadas deve ser RESTREINT UE/EU RESTRICTED para as operações PCSD civis e CONFIDENTIEL UE/EU CONFIDENTIAL para as operações militares da PCSD militares, salvo disposição em contrário na decisão que estabelecer a operação PCSD em questão.

25.

As disposições em matéria de informações classificadas a prever nos acordos-quadro de participação, nos acordos de participação ad hoc e nos convénios administrativos ad hoc a que se referem os pontos 22 a 24 determinarão que o Estado terceiro ou organização internacional em questão garanta que o pessoal que destacar para a operação protegerá as ICUE nos termos das regras de segurança do Conselho e de outras diretrizes emitidas pelas autoridades competentes, nomeadamente a cadeia de comando da operação.

26.

Se for posteriormente celebrado um acordo de segurança das informações entre a União e um Estado terceiro ou organização internacional contribuinte, esse acordo substitui-se às disposições sobre o intercâmbio de informações classificadas estabelecidas em qualquer acordo-quadro de participação, acordo de participação ad hoc ou convénio administrativo ad hoc no que diz respeito ao intercâmbio e manuseamento de ICUE.

27.

Não será permitido o intercâmbio de ICUE por meios eletrónicos ao abrigo de acordos-quadro de participação, acordos de participação ad hoc ou de convénios administrativos ad hoc com Estados terceiros ou organizações internacionais, a não ser que tal se encontre expressamente previsto no acordo ou convénio em causa.

28.

As ICUE produzidas para efeitos de uma operação PCSD podem ser divulgadas ao pessoal destacado para a operação por Estados terceiros ou organizações internacionais, nos termos dos pontos 22 a 27. Se o referido pessoal for autorizado a aceder a ICUE nas instalações ou no SCI de uma operação PCSD, devem ser aplicadas medidas (que incluam o registo das ICUE divulgadas) para atenuar o risco de perda ou comprometimento. Tais medidas serão definidas nos documentos de planeamento ou de missão pertinentes.

29.

Na ausência de um acordo de segurança das informações, a comunicação de ICUE, em caso de necessidade operacional específica e imediata, ao Estado anfitrião em cujo território seja conduzida uma operação PCSD pode ser regida por um convénio administrativo a celebrar pelo Alto Representante. Esta possibilidade deverá ser prevista na decisão que estabelecer a operação PCSD. As ICUE comunicadas nessas circunstâncias limitar-se-ão às produzidas para efeitos da operação PCSD e com classificação não superior a RESTREINT UE/EU RESTRICTED, exceto se uma classificação de nível superior for prevista na decisão que estabelecer a operação PCSD. Nos termos desse convénio administrativo, o Estado anfitrião será obrigado a proteger as ICUE de acordo com normas mínimas não menos rigorosas do que as estabelecidas na presente decisão.

30.

Na ausência de um acordo de segurança das informações, a comunicação de ICUE a Estados terceiros e organizações internacionais relevantes além dos que participam numa operação PCSD, pode ser regida por um convénio administrativo a celebrar pelo Alto Representante. Quando adequado, esta possibilidade, assim como quaisquer condições a que esta deve ficar sujeita, deverá ser prevista na decisão que estabelecer a operação PCSD. As ICUE comunicadas nessas circunstâncias limitar-se-ão às produzidas para efeitos da operação PCSD e com classificação não superior a RESTREINT UE/EU RESTRICTED, exceto se uma classificação de nível superior for prevista na decisão que estabelecer a operação PCSD. Nos termos de tal convénio administrativo, o Estado terceiro ou organização internacional em questão será obrigado a proteger as ICUE de acordo com normas mínimas não menos rigorosas de que as estabelecidas na presente decisão.

31.

A execução das disposições em matéria de comunicação de ICUE no âmbito dos pontos 22, 23 e 24 não requer modalidades de aplicação nem visitas de avaliação prévias.

32.

Não existindo nenhum dos quadros previstos nas secções III a V, e constatando o Conselho, ou uma das suas instâncias preparatórias, a necessidade excecional de comunicar ICUE a um Estado terceiro ou organização internacional, caberá ao SGC:

33.

Se o Comité de Segurança formular uma recomendação favorável à comunicação das ICUE, o assunto será remetido ao Comité de Representantes Permanentes (Coreper), que decidirá dessa comunicação.

34.

Se a recomendação do Comité de Segurança for desfavorável à divulgação das ICUE:

35.

Nos casos em que tal se considere adequado, e sob reserva do consentimento prévio da entidade de origem, expresso por escrito, o Coreper pode determinar que as informações classificadas só possam ser comunicadas parcialmente ou depois de desgraduadas ou desclassificadas, ou ainda que as informações a comunicar sejam expurgadas da referência à fonte ou ao nível inicial de classificação UE.

36.

Após a decisão de comunicação das ICUE, o SGC procederá ao envio do documento em causa, que ostentará uma marca relativa à comunicabilidade, indicando o Estado terceiro ou organização internacional a que as ICUE foram comunicadas. Antes da comunicação ou no momento em que esta é efetuada, a parte terceira em questão deverá assumir o compromisso, por escrito, de proteger as ICUE que receber nos termos dos princípios básicos e das normas mínimas estabelecidos na presente decisão.

37.

Se existir um dos quadros referidos no ponto 2 para o intercâmbio de informações classificadas com determinado Estado terceiro ou organização internacional, o Conselho deve decidir autorizar o Secretário-Geral a comunicar as ICUE, de acordo com o princípio do consentimento da entidade de origem, a esse Estado terceiro ou organização internacional. O Secretário-Geral pode delegar essa autorização em altos funcionários do SGC.

38.

Se existir um acordo de segurança das informações referido no ponto 2, primeiro travessão, o Conselho pode decidir autorizar o Alto Representante a comunicar as ICUE emanadas do Conselho no domínio da Política Externa e de Segurança Comum ao Estado terceiro ou organização internacional em questão, depois de ter obtido o consentimento da entidade de origem dos dados nelas contidos. O Alto Representante pode delegar essa autorização em altos funcionários do SEAE ou em REUE.

39.

Se existir um dos quadros referidos nos pontos 2 ou 3 para o intercâmbio de informações classificadas com determinado Estado terceiro ou organização internacional, o Alto Representante será autorizado a comunicar as ICUE, nos termos da decisão que estabelece a operação PCSD e de acordo com o princípio do consentimento da entidade de origem. O Alto Representante pode delegar essa autorização em altos funcionários do SEAE, Comandantes de Operações, Forças e Missões da UE ou Chefes de Missões da UE.