(1)   Prezenta decizie stabilește normele de punere în aplicare privind securitatea industrială referitoare la granturile clasificate, în sensul Deciziei (UE, Euratom) 2015/444 și, în special, al capitolului 6 din decizia menționată.

(2)   Prezenta decizie stabilește cerințe specifice pentru a asigura protecția informațiilor UE clasificate (IUEC) în procesul de publicare a cererilor de propuneri și în momentul acordării granturilor și al punerii în aplicare a acordurilor de grant clasificate încheiate de Comisia Europeană.

(3)   Prezenta decizie se aplică granturilor care implică informații clasificate la următoarele niveluri:

(4)   Prezenta decizie se aplică fără a aduce atingere normelor specifice prevăzute în alte acte juridice, cum ar fi cele privind Programul european de dezvoltare industrială în domeniul apărării.

(1)   Ca parte a responsabilităților ordonatorului de credite al autorității care acordă grantul, menționate în Regulamentul (UE, Euratom) 2018/1046 al Parlamentului European și al Consiliului, ordonatorul de credite se asigură că grantul clasificat este conform cu Decizia (UE, Euratom) 2015/444 și cu normele sale de punere în aplicare.

(2)   În acest scop, ordonatorul de credite vizat trebuie să solicite, în toate etapele, consultanță din partea Autorității de securitate a Comisiei cu privire la aspecte legate de elementele de securitate ale unui acord de grant, program sau proiect clasificat și să îl informeze pe ofițerul local de securitate cu privire la acordurile de grant clasificate care au fost semnate. Decizia privind nivelul de clasificare a unor subiecte specifice revine autorității care acordă grantul și este luată ținând seama în mod corespunzător de ghidul clasificărilor de securitate.

(3)   În cazul în care se aplică instrucțiunile privind securitatea programului sau a proiectului menționate la articolul 5 alineatul (3), autoritatea care acordă grantul și Autoritatea de securitate a Comisiei își îndeplinesc responsabilitățile care le-au fost atribuite în instrucțiunile respective.

(4)   Pentru respectarea cerințelor prevăzute în prezentele norme de punere în aplicare, Autoritatea de securitate a Comisiei trebuie să coopereze îndeaproape cu autoritățile naționale de securitate („ANS”) și cu autoritățile de securitate desemnate („ASD”) din statele membre vizate, îndeosebi în ceea ce privește autorizările de securitate industrială („ASI”), autorizările de securitate a personalului („ASP”), procedurile privind vizitele și planurile de transport.

(5)   În cazul în care granturile sunt gestionate de agenții executive ale UE sau de alte organisme de finanțare, iar normele specifice prevăzute în alte acte juridice menționate la articolul 1 alineatul (4) nu se aplică:

(1)   Părțile clasificate ale granturilor sunt puse în aplicare numai de beneficiari înregistrați într-un stat membru sau de beneficiari înregistrați într-o țară terță ori înființați de o organizație internațională în cazul în care țara terță sau organizația internațională respectivă a încheiat un acord privind securitatea informațiilor cu Uniunea sau un acord administrativ cu Comisia (8).

(2)   Înainte de lansarea unei cereri de propuneri pentru un contract clasificat, autoritatea care acordă grantul stabilește clasificarea de securitate a tuturor informațiilor care ar putea fi furnizate solicitanților. Autoritatea care acordă grantul stabilește, de asemenea, clasificarea de securitate maximă a oricărei informații utilizate sau generate în executarea acordului de grant, a programului sau a proiectului ori, cel puțin, volumul anticipat și tipul de informații care urmează să fie produse sau gestionate, precum și necesitatea unui sistem informatic și de comunicații (SIC) clasificat.

(3)   Autoritatea care acordă grantul se asigură că cererile de propuneri pentru granturi clasificate furnizează informații privind obligațiile speciale în materie de securitate legate de informațiile clasificate. Documentația cererii de propuneri trebuie să includă clarificări cu privire la calendarul pentru obținerea de către beneficiari a ASI, în cazul în care acestea sunt necesare. Anexele I și II conțin modele de formulare pentru informațiile referitoare la condițiile cererilor de propuneri.

(4)   Autoritatea care acordă grantul se asigură că informațiile clasificate RESTREINT UE/EU RESTRICTED, CONFIDENTIEL UE/EU CONFIDENTIAL și SECRET UE/EU SECRET sunt transmise solicitanților numai după ce aceștia au semnat un acord de confidențialitate, care îi obligă să gestioneze și să protejeze IUEC în conformitate cu Decizia (UE, Euratom) 2015/444, cu normele sale de punere în aplicare și cu normele naționale aplicabile.

(5)   În cazul în care solicitanților li se furnizează informații RESTREINT UE/EU RESTRICTED, cerințele minime menționate la articolul 5 alineatul (7) din prezenta decizie trebuie incluse în cererea de propuneri sau în acordurile de confidențialitate încheiate în faza de propunere.

(6)   Toți solicitanții și beneficiarii care trebuie să gestioneze sau să stocheze informații clasificate CONFIDENTIEL UE/EU CONFIDENTIAL sau SECRET UE/EU SECRET în incintele lor, fie în faza de propunere, fie pe perioada executării propriu-zise a acordului de grant clasificat, trebuie să dețină o ASI la nivelul necesar, cu excepția cazurilor menționate la alineatul (9). Mai jos sunt identificate cele trei scenarii care pot apărea în faza de propunere pentru un grant clasificat care implică IUEC la nivelul CONFIDENTIEL UE/EU CONFIDENTIAL sau SECRET UE/EU SECRET:

(7)   În principiu, nu se impune obținerea unei ASI sau a unei ASP pentru accesul la informații RESTREINT UE/EU RESTRICTED nici în faza de propunere, nici pentru executarea acordului de grant. În cazul în care statele membre solicită o ASI sau o ASP pentru acorduri de grant sau subcontracte la nivelul RESTREINT UE/EU RESTRICTED în conformitate cu actele cu putere de lege și normele administrative naționale, astfel cum sunt enumerate în anexa IV, cerințele naționale respective nu trebuie să creeze obligații suplimentare pentru alte state membre și nu trebuie să excludă de la acorduri de grant sau subcontracte conexe solicitanții, beneficiarii sau subcontractanții din state membre care nu au astfel de cerințe privind ASI sau ASP în legătură cu accesul la informații clasificate RESTREINT UE/EU RESTRICTED și nici să îi pună în concurență în acest sens. Aceste acorduri de grant trebuie să fie executate în statele membre în conformitate cu actele cu putere de lege și cu normele administrative naționale ale acestora.

(8)   În cazul în care este necesară o ASI pentru gestionarea unei cereri de propuneri și pentru punerea în aplicare a unui acord de grant clasificat, autoritatea care acordă grantul transmite, prin intermediul Autorității de securitate a Comisiei, o cerere către ANS sau ASD a beneficiarului, utilizând o fișă de informații privind autorizarea de securitate industrială („FIASI”) sau orice formular electronic echivalent stabilit. Apendicele D la anexa III conține un exemplu de FIASI (9). Răspunsul la o FIASI este furnizat, în măsura posibilului, în termen de 10 zile lucrătoare de la data solicitării.

(9)   În cazul în care instituțiile guvernamentale ale statelor membre sau instituțiile statelor membre aflate sub controlul guvernului acestora participă la granturi clasificate care necesită ASI și în cazul în care nu se eliberează ASI pentru respectivele instituții în temeiul legislației naționale, autoritatea care acordă grantul verifică împreună cu ANS sau ASD în cauză, prin intermediul Autorității de securitate a Comisiei, dacă respectivele instituții guvernamentale sunt capabile să gestioneze IUEC la nivelul solicitat.

(10)   În cazul în care este necesară o ASP pentru executarea unui acord de grant clasificat și în cazul în care, în conformitate cu normele naționale, este necesară o ASI înainte de acordarea unei ASP, autoritatea care acordă grantul verifică pe lângă ANS sau ASD a beneficiarului, prin intermediul Autorității de securitate a Comisiei, utilizând o FIASI, dacă beneficiarul deține o ASI sau dacă procesul de obținere a ASI este în desfășurare. În acest caz, Comisia nu emite cereri de ASP utilizând fișa de informații privind autorizarea de securitate a personalului („FIASP”).

(1)   Condițiile în care beneficiarii pot subcontracta sarcini care implică IUEC trebuie definite în cererea de propuneri și în acordul de grant. Aceste condiții includ cerința ca toate FIASI să fie transmise prin intermediul Autorității de securitate a Comisiei. Subcontractarea face obiectul unui acord prealabil scris din partea autorității care acordă grantul. După caz, subcontractarea trebuie să fie conformă cu actul de bază de instituire a programului.

(2)   Părțile clasificate ale granturilor sunt subcontractate numai entităților înregistrate într-un stat membru sau entităților înregistrate într-o țară terță ori înființate de o organizație internațională în cazul în care țara terță sau organizația internațională respectivă a încheiat un acord privind securitatea informațiilor cu Uniunea sau un acord administrativ cu Comisia (10).

(1)   La atribuirea unui grant clasificat, autoritatea care acordă grantul, împreună cu Autoritatea de securitate a Comisiei, se asigură că obligațiile beneficiarilor privind protecția IUEC utilizate sau generate în executarea acordului de grant fac parte integrantă din acordul de grant. Cerințele de securitate specifice grantului iau forma unei anexe de securitate („AS”). Un model de AS este prezentat în anexa III.

(2)   Înainte de a semna un grant clasificat, autoritatea care acordă grantul aprobă un ghid al clasificărilor de securitate („GCS”) pentru sarcinile care urmează să fie executate și informațiile generate în executarea grantului sau la nivel de program ori proiect, după caz. GCS face parte din AS.

(3)   Cerințele de securitate specifice programului sau proiectului iau forma unor instrucțiuni de securitate pentru program (sau proiect) („ISP”). ISP pot fi elaborate pe baza dispozițiilor din modelul AS, astfel cum este prezentat în anexa III. ISP sunt elaborate de departamentul Comisiei care gestionează programul sau proiectul, în strânsă cooperare cu Autoritatea de securitate a Comisiei, și sunt transmise, în vederea acordării de consultanță, Grupului de experți în materie de securitate al Comisiei. În cazul în care un acord de grant face parte dintr-un program sau proiect cu propriile ISP, AS a acordului de grant trebuie să aibă o formă simplificată și să includă referințe la dispozițiile privind securitatea stabilite în ISP ale programului sau proiectului.

(4)   Cu excepția cazurilor menționate la articolul 3 alineatul (9), acordul de grant clasificat nu se semnează până când ANS sau ASD a solicitantului nu confirmă ASI a solicitantului sau, în cazul în care acordul de grant clasificat este acordat unui consorțiu, până când ANS sau ASD a cel puțin unuia dintre solicitanți din cadrul consorțiului sau mai multora dintre aceștia, dacă este necesar, nu confirmă ASI a solicitantului respectiv.

(5)   În principiu și cu excepția cazului în care se prevede altfel în alte norme relevante, autoritatea care acordă grantul este considerată emitentul IUEC generate în cursul executării acordului de grant.

(6)   Autoritatea care acordă grantul notifică, prin intermediul Autorității de securitate a Comisiei, ANS și/sau ASD ale tuturor beneficiarilor și subcontractanților cu privire la semnarea acordurilor de grant sau a subcontractelor clasificate și la orice prelungire sau reziliere anticipată a respectivelor acorduri de grant ori subcontracte. O listă a cerințelor aferente fiecărei țări este furnizată în anexa IV.

(7)   Acordurile de grant care implică informații clasificate RESTREINT UE/EU RESTRICTED trebuie să includă o clauză de securitate care să prevadă obligativitatea pentru beneficiari a dispozițiilor prevăzute în apendicele E la anexa III. Acordurile de grant respective trebuie să includă o AS care să prevadă, cel puțin, cerințele pentru gestionarea informațiilor RESTREINT UE/EU RESTRICTED, inclusiv aspectele legate de asigurarea informațiilor și cerințele specifice care trebuie îndeplinite de beneficiari în ceea ce privește acreditarea sistemului lor informatic și de comunicații (SIC) care gestionează informații RESTREINT UE/EU RESTRICTED.

(8)   În cazul în care acest lucru este impus de actele cu putere de lege și normele administrative naționale ale statelor membre, ANS sau ASD se asigură că toți beneficiarii sau subcontractanții din jurisdicțiile lor respectă dispozițiile de securitate aplicabile pentru protecția informațiilor RESTREINT UE/EU RESTRICTED și efectuează vizite de verificare în clădirile beneficiarilor sau ale subcontractanților situate pe teritoriul lor. În cazul în care ANS sau ASD nu se află sub incidența unei astfel de obligații, autoritatea care acordă grantul trebuie să se asigure că beneficiarii pun în aplicare dispozițiile de securitate necesare, stabilite în apendicele E la anexa III.

(1)   Autoritatea care acordă grantul se asigură că acordurile de grant clasificate cuprind dispoziții care indică faptul că membrilor personalului beneficiarilor sau al subcontractanților care au nevoie de acces la IUEC pentru executarea acordului de grant sau a subcontractului clasificat li se poate acorda un astfel de acces numai dacă:

(2)   După caz, accesul la IUEC trebuie să fie, de asemenea, conform cu actul de bază de instituire a programului și să țină seama de orice marcaje suplimentare definite în GCS.

(3)   În cazul în care un beneficiar sau subcontractant dorește să angajeze un resortisant dintr-o țară din afara UE pe un post care necesită accesul la IUEC clasificate CONFIDENTIEL UE/EU CONFIDENTIAL sau SECRET UE/EU SECRET, beneficiarului sau subcontractantului respectiv îi revine responsabilitatea de a iniția procedura de acordare a autorizării de securitate pentru persoana în cauză, în conformitate cu actele cu putere de lege și normele administrative naționale aplicabile în locul în care urmează să fie acordat accesul la IUEC.

(1)   În cazul în care persoane externe („experți”) sunt implicate în verificări, revizuiri sau audituri efectuate de autoritatea care acordă grantul sau în evaluări ale performanțelor beneficiarilor pentru care au nevoie de acces la informații clasificate CONFIDENTIEL UE/EU CONFIDENTIAL sau SECRET UE/EU SECRET, acestor persoane li se furnizează un contract numai dacă au primit o autorizare de securitate la nivelul relevant din partea ANS sau ASD respective sau a oricărei alte autorități de securitate competente. Autoritatea care acordă grantul efectuează verificări, prin intermediul Autorității de securitate a Comisiei, și solicită, dacă este necesar, ANS sau ASD să inițieze procesul de verificare pentru experți cu cel puțin șase luni înainte de începerea contractelor acestora.

(2)   Înainte de semnarea contractelor, experții trebuie să fie instruiți cu privire la normele de securitate aplicabile pentru protecția IUEC și să confirme că au luat cunoștință de responsabilitățile care le revin în ceea ce privește protejarea acestor informații.

(1)   În cazul în care autoritatea care acordă grantul, experții, beneficiarii sau subcontractanții au nevoie de acces la informații clasificate CONFIDENTIEL UE/EU CONFIDENTIAL sau SECRET UE/EU SECRET în incintele celeilalte părți în contextul punerii în aplicare a unui acord de grant clasificat, vizitele trebuie să fie organizate în colaborare cu ANS, cu ASD sau cu orice altă autoritate de securitate competentă implicată în proces.

(2)   Vizitele menționate la alineatul (1) fac obiectul următoarelor cerințe:

(1)   Vizitele efectuate de beneficiari sau subcontractanți în clădirile altor beneficiari sau subcontractanți sau în incintele autorității care acordă grantul care implică accesul la informații clasificate CONFIDENTIEL UE/EU CONFIDENTIAL sau SECRET UE/EU SECRET trebuie să fie organizate în conformitate cu următoarea procedură:

(2)   Vizitele funcționarilor autorității care acordă grantul sau ale experților ori ale auditorilor în clădirile beneficiarilor sau ale subcontractanților care implică accesul la informații clasificate CONFIDENTIEL UE/EU CONFIDENTIAL sau SECRET UE/EU SECRET trebuie să fie organizate în conformitate cu următoarea procedură:

(3)   O cerere de vizită poate acoperi fie o singură vizită, fie vizite recurente. În cazul vizitelor recurente, cererea de vizită poate fi valabilă timp de până la un an de la data de începere solicitată.

(4)   Valabilitatea oricărei cereri de vizită nu trebuie să depășească valabilitatea ASP a vizitatorului.

(5)   Ca regulă generală, ar trebui ca o cerere de vizită să fie transmisă autorității de securitate competente a clădirii-gazdă cu cel puțin 15 zile lucrătoare înainte de data vizitei.

(1)   Înainte de a le permite vizitatorilor accesul la IUEC, ofițerul de securitate al clădirii-gazdă trebuie să respecte toate procedurile și normele de securitate în legătură cu vizitele prevăzute de ANS sau ASD.

(2)   La sosirea în clădirea-gazdă, vizitatorii fac dovada identității lor prin prezentarea unei cărți de identitate valabile sau a unui pașaport valabil. Informațiile de identificare trebuie să corespundă cu informațiile furnizate în cererea de vizită.

(3)   Clădirea-gazdă asigură păstrarea evidenței tuturor vizitatorilor, inclusiv numele acestora, organizația pe care o reprezintă, data expirării ASP, data vizitei și numele persoanelor vizitate. Aceste evidențe sunt păstrate pe o perioadă de cel puțin cinci ani sau mai mult, în cazul în care normele și reglementările naționale din țara în care este situată clădirea-gazdă impun acest lucru.

(1)   În contextul unor proiecte specifice, ANS sau ASD relevante și Autoritatea de securitate a Comisiei pot conveni asupra unei proceduri prin care vizitele pentru un acord de grant clasificat specific să poată fi organizate direct de ofițerul de securitate al vizitatorului împreună cu ofițerul de securitate al clădirii care urmează să fie vizitată. Un model al formularului care trebuie folosit în acest scop este prezentat în apendicele C la anexa III. O astfel de procedură excepțională trebuie să fie stabilită în ISP sau în alte acorduri specifice. În aceste cazuri, procedurile prevăzute la articolul 9 și la articolul 10 alineatul (1) nu se aplică.

(2)   Vizitele care implică accesul la informații clasificate RESTREINT UE/EU RESTRICTED trebuie să fie organizate direct de entitatea care trimite vizitatorul împreună cu entitatea care primește vizitatorul, fără a fi necesară parcurgerea procedurilor stabilite la articolul 9 și la articolul 10 alineatul (1).

(1)   Gestionarea și transmiterea electronică a IUEC au loc în conformitate cu capitolele 5 și 6 din Decizia (UE, Euratom) 2015/444 și cu normele sale de punere în aplicare.

Sistemele informatice și de comunicații deținute de un beneficiar și utilizate pentru gestionarea IUEC în scopul executării acordului de grant („SIC ale beneficiarului”) trebuie să facă obiectul acreditării de către autoritatea de acreditare în materie de securitate („AAS”) responsabilă. Orice transmitere electronică a IUEC trebuie să fie protejată prin intermediul unor produse criptografice aprobate în conformitate cu articolul 36 alineatul (4) din Decizia (UE, Euratom) 2015/444. Măsurile de securitate TEMPEST trebuie să fie puse în aplicare în conformitate cu articolul 36 alineatul (6) din decizia menționată.

(2)   Acreditarea în materie de securitate a SIC ale beneficiarului care gestionează IUEC la nivel RESTREINT UE/EU RESTRICTED și orice interconexiune în acest sens pot fi delegate ofițerului de securitate al beneficiarului în cazul în care actele cu putere de lege și normele administrative naționale permit acest lucru. În cazul în care respectiva sarcină este delegată, beneficiarul este responsabil de punerea în aplicare a cerințelor de securitate minime descrise în anexa de securitate atunci când gestionează informații RESTREINT UE/EU RESTRICTED în cadrul sistemului său informatic și de comunicații. Totuși, ANS sau ASD relevante și AAS păstrează responsabilitatea pentru protecția informațiilor RESTREINT UE/EU RESTRICTED gestionate de beneficiar, precum și dreptul de a inspecta măsurile de securitate luate de acesta. În plus, beneficiarul oferă autorității care acordă grantul și, atunci când acest lucru este impus prin actele cu putere de lege și normele administrative naționale, AAS naționale competente, o declarație de conformitate care certifică faptul că SIC ale beneficiarului și interconexiunile aferente au fost acreditate pentru gestionarea IUEC la nivel RESTREINT UE/EU RESTRICTED (11).

(1)   Transportul personal al informațiilor clasificate trebuie să facă obiectul unor cerințe de securitate stricte.

(2)   Informațiile RESTREINT UE/EU RESTRICTED pot fi transportate personal de membrii personalului beneficiarului în cadrul Uniunii, cu condiția îndeplinirii următoarelor cerințe:

(3)   În cazul informațiilor clasificate CONFIDENTIEL UE/EU CONFIDENTIAL și SECRET UE/EU SECRET, transportul personal de către membrii personalului beneficiarului în cadrul unui stat membru este organizat în prealabil de către entitățile expeditoare împreună cu entitățile destinatare. Autoritatea sau clădirea expeditoare informează autoritatea sau clădirea destinatară cu privire la detaliile transportului, inclusiv referința, clasificarea, ora estimată a sosirii și numele curierului. Transportul personal de acest tip este permis cu condiția îndeplinirii următoarelor cerințe:

(4)   În cazul în care membrii personalului beneficiarului transportă personal informații clasificate CONFIDENTIEL UE/EU CONFIDENTIAL și SECRET UE/EU SECRET dintr-un stat membru în altul, se aplică următoarele norme suplimentare:

În cazul în care un transport este deschis de autoritățile vamale, acest lucru ar trebui realizat la distanță de persoane neautorizate și, pe cât posibil, în prezența curierului. Curierul trebuie să solicite ca transportul să fie reambalat și să le ceară autorităților care efectuează inspecția să resigileze transportul și să confirme în scris că acesta a fost deschis de ele.

(5)   Transportul personal al informațiilor clasificate RESTREINT UE/EU RESTRICTED, CONFIDENTIEL UE/EU CONFIDENTIAL și SECRET UE/EU SECRET de către membrii personalului beneficiarului către o țară terță sau o organizație internațională va face obiectul dispozițiilor din acordul privind securitatea informațiilor sau din acordul administrativ încheiat între Uniune sau Comisie, pe de o parte, și țara terță sau organizația internațională respectivă, pe de altă parte.