(a)

TRES SECRET UE/EU TOP SECRET: informații și materiale a căror divulgare neautorizată poate aduce prejudicii deosebit de grave intereselor esențiale ale Uniunii Europene sau ale unuia sau mai multor state membre.

(b)

SECRET UE/EU SECRET: informații și materiale a căror divulgare neautorizată ar putea aduce prejudicii grave intereselor esențiale ale Uniunii Europene sau ale unuia sau mai multor state membre.

(c)

CONFIDENTIEL UE/EU CONFIDENTIAL: informații și materiale a căror divulgare neautorizată ar putea aduce prejudicii intereselor esențiale ale Uniunii Europene sau ale unuia ori mai multor state membre.

(d)

RESTREINT UE/EU RESTRICTED: informații și materiale a căror divulgare neautorizată ar putea fi în defavoarea intereselor Uniunii Europene sau ale unuia sau mai multor state membre.

—

informațiilor clasificate pe care le primește SEAE; și

—

materialului-sursă inclus în informațiile clasificate emise de SEAE.

—

în cazul cărora există necesitatea de a cunoaște;

—

care, pentru accesul la informații clasificate CONFIDENTIEL UE/EU CONFIDENTIAL sau la un nivel superior, au primit certificatul de securitate pentru nivelul corespunzător sau sunt autorizate în alt mod corespunzător în temeiul funcțiilor deținute în conformitate cu actele cu putere de lege și dispozițiile administrative naționale; și

—

care au fost informate cu privire la responsabilitățile care le revin.

(a)

ca regulă generală, IUEC sunt transmise prin mijloace electronice protejate prin intermediul unor produse criptografice aprobate în conformitate cu articolul 7 alineatul (5) din prezenta decizie și în conformitate cu proceduri operaționale de securitate clar definite;

(b)

în situațiile în care nu se utilizează mijloacele menționate la litera (a), IUEC sunt transportate:

(a)

o autoritate AI (AAI);

(b)

o autoritate TEMPEST (AT);

(c)

o autoritate de aprobare criptografică (AAC);

(d)

o autoritate de distribuire a materialului criptografic (ADMC).

(a)

o autoritate de acreditare în materie de securitate (AAS);

(b)

o autoritate operațională AI.

(a)

este în vigoare un acord privind securitatea informațiilor între UE și statul terț sau organizația internațională respectivă, încheiat în conformitate cu articolul 37 din TUE și cu articolul 218 din TFUE; sau

(b)

a intrat în vigoare un acord administrativ între ÎR și autoritățile de securitate competente din statul terț sau organizația internațională respectivă pentru schimbul de informații clasificate, în principiu, la un nivel nu mai ridicat decât RESTREINT UE/EU RESTRICTED, încheiat în conformitate cu procedura prevăzută la articolul 14 alineatul (5) din prezenta decizie; sau

(c)

este aplicabil un acord-cadru sau un acord de participare ad hoc între UE și statul terț respectiv în contextul unei operațiuni PESAC de gestionare a crizelor, încheiat în conformitate cu articolul 37 din TUE și articolul 218 din TFUE,

(a)

a evalua potențialele prejudicii aduse intereselor UE sau ale statelor membre;

(b)

a lua măsurile adecvate pentru a împiedica repetarea situației;

(c)

a proteja elementele de probă;

(d)

a asigura investigarea cazului de către membri ai personalului care nu sunt implicați în mod direct în încălcare, pentru a stabili faptele;

(e)

a notifica autorităților competente efectele evenimentului și ale acțiunilor întreprinse; și

(f)

a informa emitentul.

1.

Prezenta anexă conține dispoziții pentru punerea în aplicare a articolului 5 din anexa A. Aceasta stabilește, în special, criteriile aplicate de SEAE pentru a determina dacă o persoană poate fi autorizată să aibă acces la IUEC, ținându-se seama de loialitatea și onestitatea acesteia și de încrederea pe care o inspiră, precum și de procedurile administrative și de investigare care trebuie urmate în acest sens.

2.

„Certificatul de securitate a personalului” (CSP) pentru accesul la IUEC este o declarație a unei autorități competente a unui stat membru făcută după încheierea unei investigații de securitate efectuate de autoritățile competente ale unui stat membru, care certifică faptul că unei persoane îi poate fi acordat accesul la IUEC până la un nivel precizat (CONFIDENTIEL UE/EU CONFIDENTIAL sau superior), până la o anumită dată, odată ce a fost stabilită necesitatea de a cunoaște în cazul său; se consideră că persoana astfel descrisă „deține certificatul de securitate”.

3.

„Confirmarea privind deținerea certificatului de securitate a personalului” (CCSP) este un certificat eliberat de autoritatea de securitate a SEAE care atestă faptul că o persoană a făcut obiectul verificărilor de securitate și deține un CSP valabil, care indică nivelul IUEC la care acesteia i se poate acorda acces, data de valabilitate a CSP relevant și data de expirare a confirmării în sine.

4.

„Autorizația de acces la IUEC” este o autorizație din partea autorității de securitate a SEAE care este luată în conformitate cu prezenta decizie în urma eliberării unui CSP de către autoritățile competente ale unui stat membru și care certifică faptul că unei persoane îi poate fi acordat accesul la IUEC până la un nivel precizat (CONFIDENTIEL UE/EU CONFIDENTIAL sau superior), până la o anumită dată, odată ce a fost stabilită necesitatea de a cunoaște în cazul său; se consideră că persoana astfel descrisă „deține autorizația de acces”.

5.

Accesul la informații clasificate RESTREINT UE/EU RESTRICTED nu necesită deținerea unui certificat de securitate și este acordat după ce:

6.

Unei persoane i se permite accesul la informații clasificate CONFIDENTIEL UE/EU CONFIDENTIAL sau la un nivel superior numai după parcurgerea următoarelor etape:

7.

SEAE identifică funcțiile din structurile sale care necesită accesul la informații clasificate CONFIDENTIEL UE/EU CONFIDENTIAL sau la un nivel superior și care, prin urmare, necesită deținerea unui CSP de nivel corespunzător, astfel cum este menționat la articolul 4 de mai sus.

8.

Personalul SEAE declară dacă deține cetățenia mai multor țări.

9.

Pentru personalul SEAE, autoritatea responsabilă cu numirile din cadrul SEAE înaintează chestionarul privind securitatea personalului completat către ANS a statului membru a cărui cetățenie o deține persoana în cauză, solicitând efectuarea unei investigații de securitate pentru nivelul IUEC la care va trebui să i se acorde accesul persoanei respective.

10.

În cazul în care o persoană deține cetățenia mai multor țări, cererea de verificare va fi adresată ANS a țării a cărei cetățenie a fost declarată de persoana respectivă în momentul în care a fost recrutată.

11.

În cazul în care SEAE intră în posesia unor informații relevante pentru o investigație de securitate referitoare la o persoană care a solicitat un CSP, SEAE, acționând în conformitate cu actele cu putere de lege și dispozițiile administrative relevante, notifică acest lucru ANS competente.

12.

După încheierea investigației de securitate, ANS competentă notifică Direcției de securitate a SEAE rezultatul acestei investigații.

13.

Investigația de securitate, împreună cu rezultatele obținute, pe care SEAE își întemeiază decizia de a acorda sau nu o autorizație de acces la IUEC, face obiectul actelor cu putere de lege și dispozițiilor administrative relevante în vigoare în statul membru în cauză, inclusiv celor privind căile de atac. Deciziile autorității de securitate a SEAE pot face obiectul unor căi de atac, în conformitate cu Statutul funcționarilor Uniunii Europene și Regimul aplicabil celorlalți agenți ai Uniunii Europene, stabilite în Regulamentul (CEE, Euratom, CECO) nr. 259/68 (1) (denumit în continuare „Statutul funcționarilor”).

14.

Garanțiile pe care se bazează un CSP, cu condiția ca acestea să rămână valabile, acoperă orice funcție deținută de persoana în cauză în cadrul SEAE, al Secretariatului General al Consiliului sau al Comisiei.

15.

Dacă o persoană nu își începe activitatea în termen de 12 luni de la notificarea rezultatului investigației de securitate autorității de securitate a SEAE sau dacă intervine o pauză de 12 luni sau mai mare în exercitarea atribuțiilor persoanei respective, timp în care aceasta nu a fost angajată în cadrul SEAE, în alte instituții, agenții sau organisme ale UE sau într-o funcție în cadrul administrației naționale a unui stat membru care necesită accesul la informații clasificate, rezultatul respectiv al investigației este prezentat ANS competente, pentru a se confirma că este în continuare valabil și pertinent.

16.

În cazul în care SEAE intră în posesia unor informații privind un risc de securitate reprezentat de o persoană care deține un CSP valabil, SEAE, acționând în conformitate cu actele cu putere de lege și dispozițiile administrative relevante, notifică acest lucru ANS competente. În cazul în care o ANS notifică SEAE retragerea unei garanții acordate în conformitate cu punctul 12 litera (a) unei persoane care deține o autorizație valabilă de acces la IUEC, autoritatea de securitate a SEAE poate solicita ANS orice clarificare pe care aceasta o poate furniza în conformitate cu actele cu putere de lege și dispozițiile administrative naționale ale acesteia. În cazul în care informațiile nefavorabile sunt confirmate, persoanei respective i se retrage autorizația menționată mai sus și i se interzice accesul la IUEC și la funcțiile care permit accesul la acestea sau din care ar putea compromite securitatea.

17.

Orice decizie de a retrage unui membru al personalului SEAE autorizația de acces la IUEC și, după caz, motivele care stau la baza acestui lucru sunt comunicate persoanei în cauză, care poate solicita să fie audiată de către autoritatea de securitate a SEAE. Informațiile furnizate de o ANS fac obiectul actelor cu putere de lege și dispozițiilor administrative relevante în vigoare în statul membru în cauză, inclusiv a celor privind căile de atac. Deciziile autorității de securitate a SEAE pot face obiectul unor căi de atac, în conformitate cu Statutul funcționarilor.

18.

Experții naționali detașați în cadrul SEAE pentru a exercita o funcție care necesită accesul la informații clasificate CONFIDENTIEL UE/EU CONFIDENTIAL sau la un nivel superior trebuie să prezinte autorității de securitate a SEAE, înainte de a-și prelua funcția, un CSP valabil pentru accesul la IUEC la nivelul relevant. Procesul de mai sus este gestionat de statul membru care detașează experții respectivi.

19.

SEAE păstrează o bază de date privind certificatele de securitate ale tuturor membrilor personalului aflat sub responsabilitatea SEAE și ale personalului contractanților SEAE. Aceste registre conțin nivelul IUEC la care se poate acorda acces persoanei în cauză (CONFIDENTIEL UE/EU CONFIDENTIAL sau un nivel superior), data acordării CSP și perioada de valabilitate a acestuia.

20.

Împreună cu statele membre și cu alte instituții, agenții și organisme ale UE, se instituie proceduri de coordonare adecvate pentru a se asigura că SEAE deține registre exacte și complete ale certificatelor de securitate ale tuturor membrilor personalului aflat sub responsabilitatea SEAE și ale personalului contractanților SEAE.

21.

Autoritatea de securitate a SEAE poate elibera o confirmare privind deținerea certificatului de securitate a personalului (CCSP) care să indice nivelul IUEC la care se poate acorda acces persoanei în cauză (CONFIDENTIEL UE/EU CONFIDENTIAL sau un nivel superior), data de valabilitate a CSP relevant și data de expirare a confirmării.

22.

Persoanele autorizate în mod corespunzător să aibă acces la IUEC în temeiul funcțiilor lor în conformitate cu actele cu putere de lege și reglementările naționale sunt informate, după caz, de către Direcția de securitate a SEAE cu privire la obligațiile de securitate care le revin în ceea ce privește protecția IUEC.

23.

Înainte de a fi autorizate să aibă acces la IUEC, toate persoanele confirmă în scris faptul că își înțeleg obligațiile cu privire la protecția IUEC, precum și consecințele compromiterii IUEC. SEAE păstrează un registru cu aceste confirmări scrise.

24.

Toate persoanele autorizate să aibă acces la IUEC sau care trebuie să manipuleze IUEC primesc, inițial, informații cu privire la amenințările la adresa securității, sunt informate periodic despre acestea și trebuie să raporteze imediat autorităților de securitate competente orice abordare sau activitate pe care o consideră suspectă sau neobișnuită.

25.

Toate persoanele cărora li s-a acordat acces la IUEC trebuie să facă obiectul unor măsuri de securitate a personalului continue (și anume, sunt monitorizate) pentru perioada în care manipulează IUEC. Securitatea permanentă a personalului se află în responsabilitatea:

26.

Toate persoanele care încetează să aibă atribuții care necesită acces la IUEC sunt informate asupra obligațiilor care le revin pentru protecția continuă a IUEC și, dacă este cazul, confirmă acest lucru în scris.

27.

În cazuri de urgență, când interesul SEAE o justifică corespunzător și în așteptarea finalizării unei investigații de securitate complete, autoritatea de securitate a SEAE poate acorda o autorizație temporară funcționarilor și altor agenți ai SEAE pentru accesul la IUEC pentru o funcție specifică, după consultarea ANS a statului membru a cărui cetățenie este deținută de persoana respectivă și cu condiția ca rezultatul verificărilor preliminare să ateste că nu se cunosc informații nefavorabile. Investigația de securitate completă ar trebui finalizată cât mai curând posibil. Astfel de autorizații temporare sunt valabile pentru maximum șase luni și nu permit accesul la informații clasificate TRES SECRET UE/EU TOP SECRET. Toate persoanele cărora li s-a acordat o autorizație temporară confirmă în scris faptul că își înțeleg obligațiile cu privire la protecția IUEC, precum și consecințele compromiterii IUEC. SEAE păstrează registre ale acestor confirmări scrise.

28.

În cazul în care o persoană urmează să fie numită într-o funcție care necesită un CSP de nivel superior celui deținut în prezent de persoana în cauză, numirea se poate face provizoriu, cu condiția ca:

29.

Procedura de mai sus este utilizată pentru a se acorda acces o singură dată la IUEC de nivel superior următor celui pentru care persoana deține certificatul de securitate. Nu se recurge în mod repetat la această procedură.

30.

În împrejurări absolut excepționale, precum misiunile în medii ostile sau în perioade de creștere a tensiunii internaționale, atunci când măsurile de urgență o impun, în special în scopul salvării de vieți, ÎR, secretarul general executiv sau directorul general administrativ poate acorda, dacă este posibil în scris, accesul la informații clasificate CONFIDENTIEL UE/EU CONFIDENTIAL sau SECRET UE/EU SECRET unor persoane care nu dețin CSP-ul necesar, cu condiția ca permisiunea în acest sens să fie absolut necesară și să nu existe suspiciuni întemeiate cu privire la loialitatea, onestitatea și încrederea pe care o inspiră persoana respectivă. Se păstrează o dovadă a acestor permisiuni, cu descrierea informațiilor la care s-a aprobat accesul.

31.

În cazul informațiilor clasificate TRES SECRET UE/EU TOP SECRET, acest acces de urgență este limitat la cetățeni ai UE cărora li s-a autorizat accesul fie la nivelul național echivalent al TRES SECRET UE/EU TOP SECRET, fie la informații clasificate SECRET UE/EU SECRET.

32.

Comitetul de securitate al SEAE este informat cu privire la cazurile în care se utilizează procedura prevăzută la punctele 29 și 30.

33.

Comitetul de securitate al SEAE primește un raport anual cu privire la utilizarea procedurilor prevăzute în prezenta secțiune.

34.

Persoanele desemnate să participe la reuniuni la sediul SEAE și în delegațiile Uniunii în cadrul cărora se discută informații clasificate CONFIDENTIEL UE/EU CONFIDENTIAL sau la un nivel superior pot participa numai după ce se confirmă că dețin un CSP. Pentru reprezentanții statelor membre, pentru funcționarii Secretariatului General al Consiliului și ai Comisiei, o CCSP sau o altă dovadă a CSP este transmisă de autoritățile competente Direcției de securitate a SEAE, coordonatorului de securitate al delegației Uniunii sau, în mod excepțional, este prezentată de către persoana în cauză. După caz, se poate folosi o listă consolidată a numelor, care să cuprindă dovada relevantă a CSP.

35.

În cazul în care un CSP care permite accesul la IUEC i se retrage unei persoane ale cărei atribuții impun participarea la reuniuni la sediul SEAE sau într-o delegație a Uniunii la care se discută informații clasificate CONFIDENTIEL UE/EU CONFIDENTIAL sau la nivel superior, SEAE este informat în acest sens de către autoritatea competentă.

36.

În cazul în care o persoană urmează a fi angajată într-o funcție în care este posibil să aibă acces la informații clasificate CONFIDENTIEL UE/EU CONFIDENTIAL sau la un nivel superior, aceasta deține un certificat de securitate adecvat sau este escortată în permanență.

37.

Curierii, gardienii și escortele dețin certificate de securitate de nivel corespunzător sau fac obiectul unor investigații adecvate în conformitate cu actele cu putere de lege și dispozițiile administrative naționale, sunt informați periodic cu privire la procedurile de securitate pentru protecția IUEC și la obligațiile care le revin pentru protecția acestor informații care le sunt încredințate sau la care pot avea acces în mod accidental.

1.

Prezenta anexă conține dispoziții pentru punerea în aplicare a articolului 6 din anexa A. Anexa stabilește cerințele minime pentru protecția fizică a incintelor, clădirilor, birourilor, sălilor și a altor spații în care se manipulează și se păstrează IUEC, inclusiv a spațiilor în care sunt amplasate SIC.

2.

Măsurile de securitate fizică sunt concepute pentru a împiedica accesul neautorizat la IUEC prin faptul că:

3.

SEAE folosește un proces de gestionare a riscurilor pentru protejarea IUEC în incintele sale, pentru a asigura aplicarea unui nivel de protecție fizică proporțional cu riscurile evaluate. Procesul de gestionare a riscurilor ține seama de toți factorii relevanți, în special de:

4.

Autoritatea de securitate a SEAE, prin aplicarea conceptului apărării în profunzime, stabilește combinația corespunzătoare de măsuri de securitate fizică care trebuie puse în aplicare. Acestea pot include una sau mai multe dintre următoarele:

5.

Direcția de securitate a SEAE poate efectua controale la intrare și la ieșire, pentru a descuraja introducerea neautorizată de materiale sau sustragerea neautorizată de IUEC din incinte sau clădiri.

6.

Atunci când există riscul vizualizării, chiar accidentale, a IUEC, se iau măsuri adecvate pentru contracararea acestui risc.

7.

În ceea ce privește incintele noi, cerințele de securitate fizică și specificațiile funcționale ale acestora se definesc ca parte a planificării și concepției incintelor. Pentru incintele existente, cerințele de securitate fizică sunt puse în aplicare în cea mai mare măsură posibilă.

8.

La achiziționarea echipamentelor destinate protecției fizice a IUEC (cum ar fi containere de securitate, mașini de distrus documente, încuietori pentru uși, sisteme electronice de control al accesului, SDI, sisteme de alarmă), autoritatea de securitate a SEAE se asigură că echipamentele în cauză respectă standardele tehnice și cerințele minime aprobate.

9.

Specificațiile tehnice ale echipamentelor destinate protecției fizice a IUEC sunt prevăzute în orientările de securitate care trebuie aprobate de Comitetul de securitate al SEAE.

10.

Sistemele de securitate sunt inspectate la intervale regulate și echipamentele sunt întreținute periodic. Lucrările de întreținere țin seama de rezultatul inspecțiilor pentru a se asigura funcționarea echipamentelor la cote optime.

11.

Eficacitatea măsurilor individuale de securitate și a sistemului de securitate în ansamblul său este reevaluată cu ocazia fiecărei inspecții.

12.

Pentru protecția fizică a IUEC, se instituie două tipuri de zone protejate fizic sau echivalentele acestora la nivel național:

13.

Autoritatea de securitate a SEAE decide că o zonă îndeplinește cerințele pentru a fi desemnată drept zonă administrativă, zonă securizată sau zonă securizată din punct de vedere tehnic.

14.

Pentru zonele administrative:

15.

Pentru zonele securizate:

16.

Atunci când accesul într-o zonă securizată este echivalent, în practică, cu accesul direct la informațiile clasificate aflate în zona respectivă, se aplică următoarele cerințe suplimentare:

17.

Zonele securizate protejate împotriva interceptării audio sunt desemnate drept zone securizate din punct de vedere tehnic. Se aplică următoarele cerințe suplimentare:

18.

Fără a aduce atingere punctului 17 litera (d), înainte de a fi utilizate în zonele în care se desfășoară reuniuni sau se lucrează cu informații clasificate SECRET UE/EU SECRET și la un nivel superior și în cazul în care amenințarea la adresa IUEC este evaluată ca fiind semnificativă, toate dispozitivele de comunicare și echipamentele electrice sau electronice sunt examinate, mai întâi, de autoritatea de securitate a SEAE pentru a se asigura faptul că nicio informație inteligibilă nu poate fi transmisă în mod accidental sau ilicit prin intermediul unor astfel de echipamente în afara perimetrului zonei securizate.

19.

Zonele securizate care nu sunt ocupate de personalul de serviciu 24 de ore/zi sunt, după caz, inspectate după încheierea programului normal de lucru și la intervale aleatorii în afara acestuia, cu excepția cazului în care în zonele respective este instalat un SDI.

20.

Pot fi instituite temporar zone securizate și zone securizate din punct de vedere tehnic într-o zonă administrativă, în scopul unei reuniuni clasificate sau în orice alt scop similar.

21.

Pentru fiecare zonă securizată se elaborează proceduri operaționale de securitate, care prevăd:

22.

În cadrul zonelor securizate se construiesc camere tezaur. Pereții, podelele, tavanele, ferestrele și ușile cu încuietori sunt aprobate de autoritatea de securitate a SEAE și oferă o protecție echivalentă celei garantate de un container de securitate aprobat pentru păstrarea IUEC cu același nivel de clasificare.

23.

IUEC clasificate RESTREINT UE/EU RESTRICTED pot fi manipulate:

24.

IUEC clasificate RESTREINT UE/EU RESTRICTED sunt păstrate în mobilier de birou încuiat în mod corespunzător, într-o zonă administrativă sau o zonă securizată. Aceste informații pot fi păstrate temporar în afara unei zone securizate sau a unei zone administrative, cu condiția ca deținătorul să se fi angajat să respecte măsurile compensatorii stabilite în instrucțiunile de securitate emise de autoritatea de securitate a SEAE.

25.

IUEC clasificate CONFIDENTIEL UE/EU CONFIDENTIAL sau SECRET UE/EU SECRET pot fi manipulate:

26.

IUEC clasificate CONFIDENTIEL UE/EU CONFIDENTIAL și SECRET UE/EU SECRET sunt păstrate într-o zonă securizată, într-un container de securitate sau într-o cameră tezaur.

27.

IUEC clasificate TRES SECRET UE/EU TOP SECRET sunt manipulate într-o zonă securizată.

28.

IUEC clasificate TRES SECRET UE/EU TOP SECRET sunt păstrate într-o zonă securizată la sediu, în una dintre următoarele condiții:

29.

Anexa A III conține norme care reglementează transportul IUEC în afara zonelor protejate fizic.

30.

Autoritatea de securitate a SEAE definește proceduri pentru gestionarea cheilor și a combinațiilor de cifruri pentru birouri, săli, camere tezaur și containere de securitate. Astfel de proceduri au rolul de a asigura protecția împotriva accesului neautorizat.

31.

Combinațiile de cifruri sunt memorate de cel mai mic număr de persoane posibil care trebuie să le cunoască. Combinațiile de cifruri pentru containerele de securitate și camerele tezaur în care sunt păstrate IUEC sunt schimbate:

1.

Prezenta anexă conține dispoziții pentru punerea în aplicare a articolului 7 din anexa A. Anexa stabilește măsurile administrative pentru controlul IUEC pe durata ciclului lor de viață, în scopul de a contribui la descurajarea, detectarea și remedierea compromiterii sau pierderii deliberate sau accidentale a informațiilor de acest tip.

2.

Informațiile se clasifică atunci când este necesară protecția confidențialității acestora.

3.

Emitentul IUEC are responsabilitatea de a stabili nivelul de clasificare de securitate, în conformitate cu liniile directoare de clasificare relevante, și de a efectua diseminarea informațiilor.

4.

Nivelul de clasificare al IUEC se stabilește în conformitate cu articolul 2 alineatul (2) din anexa A și pe baza politicii de securitate care urmează să fie aprobată în conformitate cu articolul 3 alineatul (3) din anexa A.

5.

Informațiilor clasificate care provin de la statele membre și care fac obiectul unor schimburi cu SEAE li se atribuie același nivel de protecție precum IUEC care au nivelul de clasificare echivalent. Un tabel de echivalență este prezentat în apendicele B la Decizia 2011/292/UE a Consiliului din 31 martie 2011 privind normele de securitate pentru protecția informațiilor UE clasificate.

6.

Clasificarea de securitate și, dacă este cazul, data sau evenimentul specific după care nivelul acesteia poate fi redus sau clasificarea poate fi anulată se indică în mod clar și corect, indiferent dacă IUEC se prezintă sub formă tipărită, orală, electronică sau sub orice altă formă.

7.

Anumite părți dintr-un document (și anume, pagini, paragrafe, secțiuni, anexe, apendice, documente însoțitoare sau atașate) pot necesita atribuirea unor niveluri diferite de clasificare și trebuie marcate corespunzător, inclusiv în cazul în care sunt păstrate în format electronic.

8.

În măsura posibilului, documentele care conțin porțiuni cu niveluri de clasificare diferite sunt structurate astfel încât porțiunile cu niveluri de clasificare diferite să poată fi identificate și detașate cu ușurință, dacă este necesar.

9.

Nivelul de clasificare general al unui document sau al unui dosar este cel puțin echivalent cu cel al componentei sale având cel mai ridicat nivel de clasificare. La compilarea unor informații din surse diferite, produsul final este reexaminat pentru a i se stabili nivelul general de clasificare de securitate, deoarece poate necesita o clasificare superioară celei atribuite părților sale componente.

10.

Nivelul de clasificare al scrisorilor sau notelor care însoțesc documente atașate trebuie să fie același cu cel mai ridicat nivel al documentelor atașate. Emitentul indică clar, prin folosirea unui marcaj corespunzător, nivelul de clasificare pe care adresele sau notele îl vor avea după ce sunt separate de documentele atașate, de exemplu:

CONFIDENTIEL UE/EU CONFIDENTIAL

Fără anexă/anexe RESTREINT UE/EU RESTRICTED

11.

În afară de marcajele clasificărilor de securitate stabilite la articolul 2 alineatul (2) din anexa A, IUEC pot purta marcaje suplimentare, precum:

12.

Dacă se decide comunicarea unor IUEC către un stat terț sau către o organizație internațională, informațiile clasificate în cauză se transmit de către Direcția de securitate a SEAE; acestea poartă un marcaj de comunicare care indică statul terț destinatar sau organizația internațională destinatară.

13.

Autoritatea de securitate a SEAE urmează să adopte o listă de marcaje autorizate.

14.

Pentru a indica nivelul de clasificare al anumitor paragrafe din text pot fi utilizate marcaje de clasificare abreviate standardizate. Abrevierile nu înlocuiesc marcajele de clasificare complete.

15.

În interiorul documentelor UE clasificate pot fi utilizate următoarele abrevieri standard pentru a indica nivelul de clasificare al unor secțiuni sau porțiuni de text mai mici de o pagină:

16.

La crearea unui document al UE clasificat:

17.

În cazul acelor IUEC cărora nu li se poate aplica punctul 15, se iau alte măsuri corespunzătoare în conformitate cu liniile directoare de securitate convenite în temeiul prezentei decizii.

18.

În momentul elaborării documentului, emitentul indică, atunci când este posibil și în special pentru informațiile clasificate RESTREINT UE/EU RESTRICTED, dacă informațiilor UE clasificate le poate fi scăzut nivelul de clasificare sau dacă acestea pot fi declasificate la o anumită dată sau în urma unui anumit eveniment.

19.

SEAE reexaminează în mod periodic IUEC pe care le deține, pentru a evalua necesitatea menținerii nivelului de clasificare. SEAE stabilește un sistem de reexaminare, cel puțin o dată la cinci ani, a nivelului de clasificare al IUEC înregistrate pe care le-a emis. O astfel de reexaminare nu este necesară dacă emitentul a indicat de la început un termen anume la care informațiilor trebuie să li se scadă automat nivelul de clasificare sau la care acestea trebuie declasificate automat și dacă informațiile au fost marcate în consecință.

20.

La sediu se creează un registru central. Pentru fiecare entitate organizațională din cadrul SEAE în care sunt prelucrate IUEC se creează un registru responsabil subordonat registrului central, pentru a se asigura faptul că IUEC sunt tratate în conformitate cu prezenta decizie. Registrele se amenajează ca zone securizate, astfel cum se definește în anexa A.

Fiecare delegație a Uniunii își stabilește propriul registru al IUEC.

Autoritatea de securitate a SEAE desemnează un șef al acestor registre.

21.

În sensul prezentei decizii, înregistrarea din motive de securitate (denumită în continuare „înregistrarea”) înseamnă aplicarea unor proceduri prin care se înregistrează ciclul de viață al informațiilor, inclusiv diseminarea și distrugerea acestora. În cazul unui SIC, procedurile de înregistrare pot fi efectuate prin procese din cadrul respectivului SIC.

22.

Toate materialele clasificate CONFIDENTIEL UE/EU CONFIDENTIAL și la un nivel superior sunt înregistrate ori de câte ori parvin unei entități organizaționale sau părăsesc entitatea respectivă, inclusiv delegațiilor Uniunii. Informațiile clasificate TRES SECRET UE/EU TOP SECRET sunt înregistrate în registre speciale.

23.

Registrul central constituie, la sediul SEAE, principalul punct de intrare și de ieșire pentru schimburile de informații clasificate cu state terțe și organizații internaționale. În acesta se păstrează evidența tuturor schimburilor de astfel de informații.

24.

ÎR aprobă o politică de securitate privind înregistrarea IUEC în scopuri de securitate, în conformitate cu articolul 14 din prezenta decizie.

25.

Registrul central de la sediul SEAE este desemnat ca autoritate centrală de primire și de expediere a informațiilor clasificate TRES SECRET UE/EU TOP SECRET. Dacă este necesar, pot fi desemnate registre subordonate care să trateze astfel de informații în scopul înregistrării.

26.

Aceste registre subordonate nu pot transmite documente clasificate TRES SECRET UE/EU TOP SECRET direct altor registre subordonate aceluiași registru central TRES SECRET UE/EU TOP SECRET sau în exterior fără aprobarea expresă și scrisă a acestuia din urmă.

27.

Documentele TRES SECRET UE/EU TOP SECRET nu pot fi copiate sau traduse decât cu consimțământul scris prealabil al emitentului.

28.

În cazul în care emitentul documentelor clasificate SECRET UE/EU SECRET și la un nivel inferior nu a impus restricții de copiere sau de traducere, astfel de documente pot fi copiate sau traduse conform instrucțiunilor deținătorului.

29.

Măsurile de securitate aplicabile documentului original se aplică copiilor și traducerilor acestuia. Copiile documentelor clasificate CONFIDENTIEL UE/EU CONFIDENTIAL sau la un nivel superior se realizează numai de către un registru (subordonat) relevant cu ajutorul unui copiator securizat. Copiile trebuie înregistrate.

30.

Pentru transportul IUEC se respectă măsurile de protecție prevăzute la punctele 31-41. În cazul în care IUEC sunt transportate pe suporturi electronice și fără a aduce atingere articolului 7 alineatul (4) din anexa A, măsurile de protecție prevăzute mai jos pot fi completate de contramăsuri tehnice adecvate stabilite de autoritatea de securitate a SEAE, astfel încât riscul pierderii sau compromiterii lor să fie redus la minimum.

31.

Autoritatea de securitate a SEAE emite instrucțiuni privind transportul IUEC în conformitate cu prezenta decizie.

32.

IUEC transportate în interiorul unei clădiri sau al unui grup autonom de clădiri sunt acoperite, astfel încât observarea conținutului acestora să fie împiedicată.

33.

În interiorul unei clădiri sau al unui grup autonom de clădiri, informațiile clasificate TRES SECRET UE/EU TOP SECRET sunt transportate de către persoane care dețin un certificat de securitate corespunzător și într-un plic securizat pe care este înscris numai numele destinatarului.

34.

IUEC transportate între clădiri sau incinte aflate în UE sunt ambalate, astfel încât să fie protejate împotriva divulgării neautorizate.

35.

Transportul informațiilor clasificate până SECRET UE/EU SECRET pe teritoriul UE se efectuează prin următoarele mijloace:

În cazul transportului dintr-un stat membru în alt stat membru, dispozițiile literei (c) se aplică numai informațiilor clasificate până la nivelul CONFIDENTIEL UE/EU CONFIDENTIAL.

36.

Materialele clasificate CONFIDENTIEL UE/EU CONFIDENTIAL și SECRET UE/EU SECRET (de exemplu, echipamente sau aparate) care nu pot fi transportate prin mijloacele prevăzute la punctul 34 sunt transportate ca marfă de către societăți comerciale de curierat, în conformitate cu anexa A V.

37.

Transportul informațiilor clasificate TRES SECRET UE/EU TOP SECRET între clădiri sau incinte din UE se efectuează prin curier militar, guvernamental sau diplomatic, după caz.

38.

IUEC transportate din UE către teritoriul unui stat terț sau între entități ale UE situate în state terțe sunt astfel ambalate încât să fie protejate împotriva divulgării neautorizate.

39.

Transportul informațiilor clasificate CONFIDENTIEL UE/EU CONFIDENTIAL și SECRET UE/EU SECRET din UE către teritoriul unui stat terț și transportul oricăror informații clasificate până la nivelul SECRET UE/EU SECRET între entități ale UE situate în state terțe se efectuează prin unul dintre următoarele mijloace:

40.

Transportul informațiilor clasificate CONFIDENTIEL UE/EU CONFIDENTIAL și SECRET UE/EU SECRET și comunicate de UE unui stat terț sau unei organizații internaționale respectă dispozițiile relevante prevăzute de un acord privind securitatea informațiilor sau de un acord administrativ încheiat în conformitate cu articolul 10 alineatul (2) din anexa A.

41.

Informațiile clasificate RESTREINT UE/EU RESTRICTED pot fi, de asemenea, transportate din UE către teritoriul unui stat terț prin intermediul serviciilor poștale sau al serviciilor de curierat comercial.

42.

Transportul informațiilor clasificate TRES SECRET UE/EU TOP SECRET din UE către teritoriul unui stat terț sau între entități ale UE situate în state terțe se efectuează prin curier militar sau diplomatic.

43.

Documentele UE clasificate care nu mai sunt necesare pot fi distruse, fără a se aduce atingere normelor și reglementărilor relevante privind arhivarea.

44.

Documentele care trebuie înregistrate în conformitate cu articolul 7 alineatul (2) din anexa A se distrug de către registrul responsabil, la instrucțiunile deținătorului sau ale unei autorități competente. Registrele de evidență și alte informații de înregistrare sunt actualizate corespunzător.

45.

În ceea ce privește documentele clasificate SECRET UE/EU SECRET sau TRES SECRET UE/EU TOP SECRET, distrugerea are loc în prezența unui martor care deține un certificat de securitate de nivel cel puțin echivalent cu nivelul documentului distrus.

46.

Gestionarul registrului și martorul, în cazul în care este necesară prezența acestuia, semnează un proces-verbal de distrugere, care este păstrat la registru. Registrul păstrează procesele-verbale de distrugere timp de cel puțin zece ani în cazul documentelor TRES SECRET UE/EU TOP SECRET și de cel puțin cinci ani în cazul documentelor CONFIDENTIEL UE/EU CONFIDENTIAL și SECRET UE/EU SECRET.

47.

Documentele clasificate, inclusiv cele clasificate RESTREINT UE/EU RESTRICTED, sunt distruse prin metode care îndeplinesc standardele relevante ale UE sau standardele echivalente sau care au fost aprobate de statele membre în conformitate cu standardele tehnice naționale astfel încât să se împiedice reconstituirea lor totală sau parțială.

48.

Distrugerea suporturilor informatice de stocare utilizate pentru IUEC se realizează în condițiile prevăzute la punctul 36 din anexa A IV.

49.

În conformitate cu articolul 15 din prezenta decizie, inspecțiile de securitate ale SEAE cuprind:

50.

Inspecțiile de securitate ale SEAE se efectuează de către o echipă de inspecție din cadrul Direcției de securitate a SEAE și, atunci când este necesar, cu sprijinul experților în materie de securitate din alte instituții ale UE sau din statele membre.

Echipa de inspecție are acces la toate amplasamentele în care se manipulează IUEC, în special la registre și la punctele de prezență ale SIC.

51.

În cadrul delegațiilor Uniunii, inspecțiile de securitate ale SEAE pot fi efectuate, ori de câte ori este necesar, cu sprijinul responsabililor cu securitatea de la ambasadele statelor membre situate în țările terțe.

52.

Înainte de sfârșitul fiecărui an calendaristic, autoritatea de securitate a SEAE adoptă un program de inspecții de securitate în cadrul SEAE pentru anul următor.

53.

Autoritatea de securitate a SEAE poate organiza, ori de câte ori este necesar, inspecții de securitate care nu sunt prevăzute în programul sus-menționat.

54.

La sfârșitul inspecției de securitate, entității inspectate i se prezintă principalele concluzii și recomandări. Ulterior, echipa de inspecție întocmește un raport de inspecție. În cazurile în care s-au propus măsuri corective și recomandări, în raport se includ suficiente detalii pentru a sprijini concluziile la care s-a ajuns. Raportul este înaintat autorității de securitate a SEAE și directorului entității inspectate.

Sub responsabilitatea autorității de securitate a SEAE se elaborează un raport periodic care ilustrează principalele concluzii desprinse în urma inspecțiilor desfășurate într-o perioadă specificată și care este analizat de Comitetul de securitate al SEAE.

55.

Direcția de securitate a SEAE poate, după caz, desemna experți colaboratori care să participe la echipele comune de inspecție ale UE care efectuează inspecții în agențiile și organismele UE instituite în temeiul titlului V capitolul 2 din TUE.

56.

Direcția de securitate a SEAE elaborează și actualizează o listă de control pentru inspecțiile de securitate, cuprinzând aspectele care urmează să fie verificate în cursul unei inspecții a SEAE. Lista de control respectivă este înaintată Comitetului de securitate al SEAE.

57.

Informațiile necesare pentru completarea listei de control sunt obținute în special în timpul inspecției de la personalul de conducere responsabil cu securitatea al entității inspectate. Odată completată cu răspunsurile detaliate, lista de control este clasificată de comun acord cu entitatea inspectată. Aceasta nu face parte din raportul de inspecție.

1.

Prezenta anexă conține dispoziții pentru punerea în aplicare a articolului 8 din anexa A.

2.

Următoarele proprietăți și concepte referitoare la asigurarea protecției informațiilor (AI) sunt esențiale pentru securitatea și funcționarea corectă a operațiilor derulate în sistemele informatice și de comunicații (SIC):

3.

Dispozițiile enunțate în continuare formează baza pentru securitatea oricăror SIC care tratează IUEC. Cerințele detaliate pentru punerea în aplicare a acestor dispoziții sunt definite în politicile de securitate privind AI și în liniile directoare de securitate.

4.

Gestionarea riscurilor de securitate face parte integrantă din definirea, dezvoltarea, utilizarea și întreținerea SIC. Gestionarea riscurilor (evaluarea, tratarea, acceptarea și comunicarea) se efectuează, ca proces iterativ, în comun de către reprezentanți ai proprietarilor de sisteme, ai autorităților responsabile cu proiectul, ai autorităților responsabile cu funcționarea și ai autorităților de aprobare în materie de securitate, utilizând un proces de evaluare a riscurilor confirmat, transparent și care poate fi pe deplin înțeles. Domeniul de acoperire al SIC și al activelor sale este definit clar în momentul inițierii procesului de gestionare a riscurilor.

5.

Autoritățile competente ale SEAE reexaminează potențialele amenințări la adresa SIC și efectuează evaluări precise și actualizate ale amenințărilor, care reflectă mediul operațional curent. Acestea își actualizează permanent cunoștințele în problemele de vulnerabilitate și reexaminează periodic evaluarea vulnerabilității, pentru a ține pasul cu schimbările din domeniul tehnologiei informației (IT).

6.

Rolul gestionării riscurilor de securitate este de a aplica un set de măsuri de securitate care duc la un echilibru satisfăcător între cerințele utilizatorului și riscurile reziduale de securitate.

7.

Cerințele specifice, scara și gradul de detaliere pe care autoritatea relevantă de acreditare în materie de securitate (AAS) le stabilește pentru acreditarea unui SIC sunt proporționale cu riscurile evaluate, ținând seama de toți factorii relevanți, inclusiv de nivelul de clasificare al IUEC tratate în cadrul SIC. Acreditarea implică o declarație formală privind riscurile reziduale și acceptarea riscurilor reziduale de către o autoritate responsabilă.

8.

Asigurarea securității constituie o obligație pe tot parcursul ciclului de viață al SIC, de la inițiere la retragerea din exploatare.

9.

Rolul și interacțiunea fiecărui actor implicat într-un SIC în ceea ce privește securitatea se stabilesc clar pentru fiecare fază a ciclului de viață.

10.

Orice SIC, inclusiv măsurile sale de securitate tehnice și de altă natură, face obiectul unor teste de securitate în cursul procesului de acreditare, pentru a se garanta obținerea nivelului corespunzător de asigurare privind măsurile de securitate puse în aplicare și pentru a se verifica dacă măsurile respective sunt corect puse în aplicare, integrate și configurate.

11.

Evaluările, inspecțiile și reexaminările de securitate sunt efectuate periodic, în cursul operării și al întreținerii unui SIC, precum și atunci când apar situații excepționale.

12.

Documentația privind securitatea unui SIC evoluează pe parcursul ciclului de viață al acestuia, ca parte integrantă a procesului de gestionare a modificărilor și a configurației.

13.

SEAE cooperează cu SGC, Comisia și statele membre pentru elaborarea celor mai bune practici în materie de protecție a IUEC tratate într-un SIC. Liniile directoare privind bunele practici conțin măsuri de securitate de ordin tehnic, fizic, organizatoric și procedural pentru SIC a căror eficacitate în contracararea unor amenințări și vulnerabilități a fost dovedită.

14.

Protecția IUEC tratate într-un SIC se bazează pe lecțiile învățate de entitățile implicate în AI, atât din interiorul, cât și din exteriorul UE.

15.

Diseminarea și punerea în aplicare ulterioară a celor mai bune practici contribuie la atingerea unui nivel de asigurare echivalent pentru diversele SIC care sunt operate de SEAE și în care sunt tratate IUEC.

16.

În scopul atenuării riscurilor la adresa SIC, sunt puse în aplicare o serie de măsuri de securitate tehnice și de altă natură, organizate pe niveluri de apărare multiple. Aceste niveluri includ:

(a)   descurajarea: măsuri de securitate menite să descurajeze orice adversar care plănuiește să atace SIC;

(b)   prevenirea: măsuri de securitate menite să împiedice sau să blocheze un atac asupra SIC;

(c)   detectarea: măsuri de securitate menite să descopere comiterea unui atac asupra SIC;

(d)   rezistența: măsuri de securitate menite să limiteze impactul unui atac la un număr cât mai mic de informații sau de active ale unui SIC și să împiedice daunele ulterioare; și

(e)   recuperarea: măsuri de securitate menite să reinstaureze o situație securizată a SIC.

Gradul de strictețe și de aplicabilitate al acestor măsuri de securitate este determinat în urma unei evaluări a riscurilor.

17.

Autoritățile competente ale SEAE se asigură că au capacitatea de a reacționa la incidente care pot depăși limitele organizațiilor și ale statelor, în scopul coordonării reacțiilor și al partajării informațiilor cu părți terțe cu privire la astfel de incidente și riscuri conexe (capacități informatizate de reacție în situații de urgență).

18.

În vederea evitării riscurilor care nu sunt necesare, sunt puse în aplicare numai funcțiile, dispozitivele și serviciile necesare pentru îndeplinirea cerințelor operaționale.

19.

Utilizatorii și procesele automate ale SIC beneficiază numai de accesul, privilegiile sau autorizațiile necesare pentru îndeplinirea atribuțiilor lor, în scopul limitării daunelor rezultate în urma accidentelor, a erorilor sau a utilizării neautorizate a resurselor SIC.

20.

Procedurile de înregistrare efectuate de SIC sunt, după caz, verificate ca parte a procesului de acreditare.

21.

Sensibilizarea la riscurile și măsurile de securitate disponibile constituie prima linie de apărare pentru securitatea SIC. În special, toți membrii personalului implicați în ciclul de viață al SIC, inclusiv utilizatorii, înțeleg:

22.

Pentru a se garanta înțelegerea responsabilităților în materie de securitate, tot personalul implicat, inclusiv personalul de conducere și utilizatorii SIC, urmează cursuri obligatorii de formare și de sensibilizare în domeniul AI.

23.

Gradul necesar de încredere în măsurile de securitate, definit ca nivel de asigurare, este determinat în urma rezultatului procesului de gestionare a riscurilor și în conformitate cu politicile și liniile directoare de securitate relevante.

24.

Nivelul de asigurare se verifică prin utilizarea unor procese și metodologii utilizate la nivel internațional sau aprobate la nivel național. Acestea includ în principal evaluare, controale și audit.

25.

Produsele criptografice destinate protecției IUEC sunt evaluate și aprobate de o autoritate națională de aprobare criptografică (AAC) a unui stat membru.

26.

Înainte de a fi recomandate pentru aprobare de către AAC a SEAE, în conformitate cu articolul 7 alineatul (5) din prezenta decizie, aceste produse criptografice trebuie să treacă cu succes o evaluare de către o a doua parte, efectuată de o autoritate de autorizare calificată (AQUA) a unui stat membru neimplicat în proiectarea sau fabricarea echipamentului. Gradul de detaliere al evaluării efectuate de o a doua parte depinde de nivelul maxim de clasificare avut în vedere al IUEC care urmează să fie protejate prin aceste produse.

27.

Dacă acest lucru este justificat din motive operaționale specifice, AAC a SEAE poate, la recomandarea Comitetului de securitate al Consiliului, să acorde derogări de la cerința prevăzută la punctul 25 sau 26 și să acorde o aprobare provizorie pentru o anumită perioadă în conformitate cu procedura prevăzută la articolul 7 alineatul (5) din prezenta decizie.

28.

O AQUA este o AAC a unui stat membru, acreditată pe baza unor criterii stabilite de Consiliu pentru a efectua cea de a doua evaluare a produselor criptografice pentru protejarea IUEC.

29.

Înaltul Reprezentant aprobă o politică de securitate privind calificarea și aprobarea produselor de securitate IT necriptografice.

30.

Fără a aduce atingere dispozițiilor prezentei decizii, în cazul în care transmiterea IUEC este limitată la zone securizate, se poate recurge la o distribuție necriptată sau la o criptare la nivel inferior, pe baza rezultatului unui proces de gestionare a riscurilor și cu condiția obținerii aprobării AAS.

31.

În sensul prezentei decizii, o interconectare reprezintă conectarea directă a două sau a mai multor sisteme IT în scopul partajării datelor și a altor resurse informaționale (de exemplu, de comunicații) în mod unidirecțional sau multidirecțional.

32.

Un SIC tratează inițial orice sistem IT interconectat drept sursă nefiabilă și aplică măsuri de protecție pentru a controla schimbul de informații clasificate.

33.

Pentru toate interconectările unui SIC cu un alt sistem IT sunt respectate următoarele cerințe de bază:

34.

Nu se realizează interconectări între un SIC acreditat și o rețea neprotejată sau publică, cu excepția cazurilor în care SIC dispune de un BPS aprobat, care a fost instalat în acest scop între SIC și rețeaua neprotejată sau publică. Măsurile de securitate pentru astfel de interconectări sunt reexaminate de Autoritatea de asigurare a informațiilor (AAI) competentă și sunt aprobate de AAS competentă.

Atunci când rețeaua neprotejată sau publică este utilizată numai ca suport și datele sunt criptate prin intermediul unui produs criptografic aprobat în conformitate cu articolul 7 alineatul (5) din prezenta decizie, o astfel de conexiune nu este considerată ca fiind o interconectare.

35.

Este interzisă interconectarea directă sau în cascadă a unui SIC acreditat să trateze informații TRES SECRET UE/EU TOP SECRET la rețele neprotejate sau publice.

36.

Suporturile informatice de stocare sunt distruse în conformitate cu procedurile aprobate de autoritatea de securitate a SEAE.

37.

Suporturilor informatice de stocare le poate fi scăzut nivelul de clasificare sau acestea pot fi declasificate în conformitate cu o politică de securitate instituită în temeiul articolului 7 alineatul (2) din prezenta decizie.

38.

Fără a aduce atingere dispozițiilor prezentei decizii, procedurile specifice descrise în continuare pot fi aplicate, pentru o perioadă limitată, într-o situație de urgență, cum ar fi crizele, conflictele sau situațiile de război iminente sau efective, sau în împrejurări operaționale excepționale.

39.

IUEC pot fi transmise prin intermediul unor produse criptografice aprobate pentru un nivel de clasificare inferior sau fără a fi criptate, cu consimțământul autorității competente, în cazul în care orice întârziere ar cauza un prejudiciu mult mai grav decât orice prejudiciu rezultat în urma divulgării materialului clasificat și dacă:

40.

Informațiile clasificate transmise în împrejurările enunțate la punctul 39 nu poartă niciun marcaj și nicio indicație care să le distingă de informații care sunt neclasificate sau care pot fi protejate cu ajutorul unui produs de criptare disponibil. Destinatarilor le este notificat fără întârziere nivelul de clasificare, prin alte mijloace.

41.

Dacă se acționează în temeiul dispozițiilor de la punctul 39, se înaintează un raport ulterior Direcției de securitate a SEAE și, astfel, Comitetului de securitate al SEAE. În acest raport se vor preciza cel puțin expeditorul, destinatarul și inițiatorul fiecărei IUEC.

42.

În SEAE se stabilesc următoarele funcții în materie de AI. Aceste funcții nu necesită entități organizaționale unice. Ele au mandate separate. Cu toate acestea, aceste funcții și responsabilitățile care le corespund pot fi grupate sau integrate în aceeași entitate organizațională sau distribuite în entități organizaționale diferite, cu condiția să fie evitate conflictele interne de interese sau de sarcini.

43.

AAI este responsabilă cu:

44.

Autoritatea TEMPEST (AT) este responsabilă cu asigurarea conformității SIC cu politicile și liniile directoare TEMPEST. Aceasta aprobă contramăsurile TEMPEST pentru instalațiile și produsele de protecție a IUEC până la un anumit nivel de clasificare în mediul lor operațional.

45.

AAC este responsabilă cu asigurarea conformității produselor criptografice cu politica criptografică aferentă. Aceasta aprobă produse criptografice de protecție a IUEC până la un anumit nivel de clasificare în mediul lor operațional.

46.

ADC este responsabilă cu:

47.

AAS este responsabilă, pentru fiecare sistem, cu:

48.

AAS din cadrul SEAE este responsabilă cu acreditarea tuturor SIC care funcționează în domeniul de competență al SEAE.

49.

Un CAS mixt este responsabil cu acreditarea SIC din domeniul de competență atât al AAS din cadrul SEAE, cât și al AAS din statele membre. Acesta este compus dintr-un reprezentant al AAS din fiecare stat membru, iar la lucrările sale participă un reprezentant al AAS din cadrul SGC și al Comisiei. Alte entități care dispun de puncte de conectare la un SIC sunt invitate să participe, atunci când discuțiile privesc respectivul sistem.

CAS este prezidat de un reprezentant al AAS din cadrul SEAE. Acesta hotărăște prin consensul reprezentanților AAS ale instituțiilor, statelor membre și altor entități care au puncte de conectare la SIC. CAS înaintează Comitetului de securitate al SEAE rapoarte periodice cu privire la activitățile sale și îi notifică toate declarațiile de acreditare.

50.

Autoritatea operațională însărcinată cu AI pentru fiecare sistem este responsabilă de:

1.

Prezenta anexă conține dispoziții pentru punerea în aplicare a articolului 9 din anexa A. Aceasta cuprinde dispoziții generale în materie de securitate aplicabile entităților industriale sau de altă natură în cursul negocierilor anterioare încheierii contractelor și pe toată durata contractelor clasificate atribuite de SEAE.

2.

Înaltul Reprezentant aprobă o politică privind securitatea industrială în care sunt indicate în special cerințe detaliate referitoare la certificatele de securitate industrială (CSI), anexele de securitate, vizite, transmiterea și transportul IUEC.

3.

Înainte de a lansa o invitație de participare la licitație sau de a atribui un contract clasificat, SEAE, în calitate de autoritate contractantă, stabilește clasificarea de securitate a informațiilor care urmează să fie furnizate ofertanților și contractanților, precum și clasificarea de securitate a informațiilor care urmează să fie create de contractant. În acest scop, SEAE elaborează un GCS care urmează să fie folosit pentru executarea contractului.

4.

Pentru a stabili clasificarea de securitate a diferitelor elemente ale unui contract clasificat se aplică următoarele principii:

5.

Cerințele de securitate specifice unui contract sunt descrise în AS. Atunci când este cazul, AS cuprinde GCS și constituie o parte integrantă a contractului sau a subcontractului clasificat.

6.

AS cuprinde dispoziții prin care se impune contractantului și/sau subcontractantului să respecte standardele minime prevăzute în prezenta decizie. Nerespectarea acestor standarde minime de securitate poate constitui un motiv suficient pentru rezilierea contractului.

7.

În funcție de domeniul de aplicare al programelor sau al proiectelor care implică accesarea, manipularea sau păstrarea IUEC, pot fi elaborate instrucțiuni de securitate pentru program/proiect (ISP) specifice de către autoritatea contractantă desemnată să gestioneze respectivul program sau proiect. ISP necesită aprobarea de către ANS/ASD sau de către oricare altă autoritate de securitate competentă din statele membre participante la program/proiect și pot conține cerințe de securitate suplimentare.

8.

Direcția de securitate a SEAE solicită ANS/ASD sau altei autorități de securitate competente din statul membru în chestiune să acorde un CSI pentru a atesta că, în conformitate cu actele cu putere de lege și dispozițiile administrative naționale, o entitate industrială sau de altă natură poate proteja IUEC la nivelul de clasificare adecvat (CONFIDENTIEL UE/EU CONFIDENTIAL sau SECRET UE/EU SECRET) în localurile proprii. Contractanților, subcontractanților și potențialilor contractanți sau subcontractanți nu le sunt furnizate IUEC și nici nu le sunt acordate drepturi de acces la acestea înainte ca SEAE să fi primit dovada unui CSI.

9.

Atunci când este cazul, SEAE, în calitate de autoritate contractantă, înștiințează ANS/ASD competentă sau orice altă autoritate de securitate competentă că este necesar un CSI, fie în etapa precontractuală, fie pentru executarea contractului. Este necesar un CSI sau un CSP în etapa precontractuală în cazul în care trebuie furnizate IUEC clasificate CONFIDENTIEL UE/EU CONFIDENTIAL sau SECRET UE/EU SECRET pe parcursul procesului de licitare.

10.

SEAE, în calitate de autoritate contractantă, nu atribuie niciun contract clasificat unui ofertant selectat înainte de a fi primit confirmarea eliberării unui CSI corespunzător, dacă acesta este necesar, din partea ANS/ASD sau a oricărei alte autorități de securitate competente a statului membru în care este înregistrat contractantul sau subcontractantul respectiv.

11.

SEAE, în calitate de autoritate contractantă, solicită ANS/ASD sau oricărei alte autorități de securitate competente care a eliberat un CSI să îi comunice eventualele informații nefavorabile care afectează CSI. În cazul subcontractelor, ANS/ASD sau orice altă autoritate de securitate competentă este informată în mod corespunzător.

12.

Retragerea unui CSI de către ANS/ASD sau de către orice altă autoritate de securitate competentă constituie un motiv suficient pentru ca SEAE, în calitate de autoritate contractantă, să rezilieze un contract clasificat sau să excludă un ofertant din competiție.

13.

Toți membrii personalului contractanților care au nevoie de acces la IUEC clasificate CONFIDENTIEL UE/EU CONFIDENTIAL sau la un nivel superior dețin un certificat de securitate corespunzător, iar accesul acestora la informații este determinat de necesitatea de a cunoaște. Pentru accesul la IUEC clasificate RESTREINT UE/EU RESTRICTED nu este necesar un CSP, însă trebuie să existe necesitatea de cunoaște.

14.

Cererile de CSP pentru personalul unui contractant se înaintează ANS/ASD responsabilă pentru entitatea respectivă.

15.

SEAE le pune în vedere contractanților care doresc să angajeze un resortisant al unui stat terț într-un post care presupune accesul la IUEC că este de responsabilitatea ANS/ASD a statului membru în care își are sediul și este înregistrat angajatorul să stabilească dacă persoanei respective i se poate acorda accesul la astfel de informații, în conformitate cu prezenta decizie, și să confirme că înainte de acordarea unui astfel de acces este necesar să se fi obținut consimțământul emitentului.

16.

Atunci când IUEC sunt furnizate unui ofertant în etapa precontractuală, invitația de participare la licitație conține o dispoziție prin care ofertanții care nu depun o ofertă sau care nu sunt selectați sunt obligați să restituie toate documentele clasificate într-un termen specificat.

17.

Odată ce un contract sau un subcontract clasificat a fost atribuit, SEAE, în calitate de autoritate contractantă, notifică ANS/ASD sau oricărei alte autorități de securitate competente de care ține contractantul sau subcontractantul respectiv dispozițiile în materie de securitate ale contractului clasificat.

18.

În cazul rezilierii sau al ajungerii la termen a acestor contracte, SEAE, în calitate de autoritate contractantă (și/sau ANS/ASD sau orice altă autoritate de securitate competentă, după cum este necesar, în cazul subcontractelor) notifică de îndată acest lucru ANS/ASD sau oricărei alte autorități de securitate competente a statului membru în care este înregistrat contractantul sau subcontractantul.

19.

În general, contractantul sau subcontractantul are obligația de a înapoia autorității contractante, la rezilierea sau la ajungere la termen a contractului sau a subcontractului clasificat, toate IUEC pe care le deține.

20.

Dispozițiile specifice privind distrugerea IUEC în timpul executării contractului sau la rezilierea sau ajungerea la termen a acestuia sunt prevăzute în AS.

21.

În cazul în care contractantul sau subcontractantul este autorizat să păstreze IUEC după încetarea unui contract, standardele minime cuprinse în prezenta decizie sunt respectate în continuare și confidențialitatea IUEC este protejată de către contractant sau subcontractant.

22.

Condițiile pe care trebuie să le îndeplinească contractantul pentru a putea subcontracta sunt menționate în invitația de participare la licitație și în contract.

23.

Un contractant obține permisiunea SEAE, în calitate de autoritate contractantă, înainte de a subcontracta părți ale unui contract clasificat. Nu se atribuie subcontracte entităților industriale sau de altă natură înregistrate într-un stat care nu este membru al UE și care nu a încheiat un acord privind securitatea informațiilor cu UE.

24.

Contractantul este responsabil pentru asigurarea faptului că toate activitățile de subcontractare sunt întreprinse în conformitate cu standardele minime prevăzute în prezenta decizie și nu furnizează IUEC unui subcontractant fără consimțământul prealabil scris al autorității contractante.

25.

În ceea ce privește IUEC create sau tratate de contractant sau de subcontractant, drepturile care îi revin emitentului sunt exercitate de către autoritatea contractantă.

26.

În cazul în care SEAE, contractanții necesită acces la informații clasificate CONFIDENTIEL UE/EU CONFIDENTIAL sau SECRET UE/EU SECRET în incintele subcontractanților sau invers, în scopul executării unui contract clasificat, vizitele sunt organizate în colaborare cu ANS/ASD sau cu orice altă autoritate de securitate competentă implicată. Acest lucru nu aduce atingere dreptului ANS/ASD de a conveni asupra unei proceduri prin care astfel de vizite pot fi organizate direct, în cadrul unor proiecte specifice.

27.

Accesul vizitatorilor la IUEC legate de contractul cu SEAE se acordă pe baza deținerii unui CSP corespunzător și a respectării principiului necesității de a cunoaște.

28.

Vizitatorilor li se acordă accesul numai la IUEC legate de scopul vizitei.

29.

În ceea ce privește transmiterea IUEC prin mijloace electronice, se aplică dispozițiile relevante ale articolului 8 din anexa A și ale anexei A IV.

30.

În ceea ce privește transportul IUEC, se aplică dispozițiile relevante din anexa A III, în conformitate cu actele cu putere de lege și dispozițiile administrative naționale.

31.

Pentru transportul ca marfă al materialelor clasificate se aplică următoarele principii la stabilirea măsurilor de securitate:

32.

IUEC sunt transferate contractanților și subcontractanților aflați în state terțe care sunt părți la un acord de securitate în curs de valabilitate semnat cu UE, în conformitate cu măsurile de securitate convenite între SEAE, în calitate de autoritate contractantă, și ANS/ASD din statul terț în care este înregistrat contractantul.

33.

SEAE, în calitate de autoritate contractantă, împreună cu, după caz, ANS/ASD a statului membru, are dreptul să efectueze vizite în localurile contractanților/subcontractanților în temeiul clauzelor contractuale, în scopul de a verifica dacă s-au aplicat măsurile de securitate relevante pentru protecția IUEC la nivelul RESTREINT UE/EU RESTRICTED, astfel cum se prevede în contract.

34.

În măsura în care este necesar în temeiul actelor cu putere de lege și al dispozițiilor administrative naționale, ASN/ASD sau orice altă autoritate de securitate competentă este înștiințată de SEAE, în calitatea sa de autoritate contractantă, cu privire la contractele sau subcontractele care conțin informații clasificate RESTREINT UE/EU RESTRICTED.

35.

În cazul contractelor atribuite de SEAE care conțin informații clasificate RESTREINT UE/EU RESTRICTED, contractanții sau subcontractanții și personalul acestora nu au obligația de a deține CSI sau CSP.

36.

SEAE, în calitate de autoritate contractantă, analizează răspunsurile la invitațiile de participare la licitații pentru contractele care necesită accesul la informații clasificate RESTREINT UE/EU RESTRICTED, fără a aduce atingere niciunei cerințe referitoare la CSI sau la CSP care poate exista în temeiul actelor cu putere de lege și al dispozițiilor administrative naționale.

37.

Condițiile pe care trebuie să le îndeplinească contractantul pentru a putea subcontracta trebuie să fie conforme cu punctele 22-24.

38.

Atunci când contractul prevede tratarea unor informații clasificate RESTREINT UE/EU RESTRICTED într-un SIC operat de un contractant, SEAE, în calitatea sa de autoritate contractantă, se asigură că în contract sau în eventuale subcontracte se specifică cerințele tehnice și administrative necesare în ceea ce privește acreditarea SIC, proporționale cu riscurile evaluate, luându-se în considerare toți factorii relevanți. Domeniul de acreditare al unui astfel de SIC este convenit de autoritatea contractantă cu ANS/ASD competentă.

1.

Prezenta anexă conține dispoziții pentru punerea în aplicare a articolului 10 din anexa A.

2.

SEAE poate schimba IUEC cu state terțe sau cu organizații internaționale în conformitate cu articolul 10 alineatul (1) din anexa A.

Pentru sprijinirea ÎR în îndeplinirea responsabilităților stabilite la articolul 218 din TFUE:

3.

Atunci când în acordurile privind securitatea informațiilor se prevede că Direcția de securitate a SEAE - în coordonare cu Direcția de securitate din cadrul Direcției Generale Resurse Umane și Securitate a Comisiei și cu Oficiul de securitate al Secretariatului General al Consiliului - și autoritatea de securitate competentă a statului terț sau a organizației internaționale în cauză au obligația de a conveni asupra unor modalități tehnice de punere în aplicare, respectivele modalități trebuie să țină seama de nivelul de protecție prevăzut de regulamentele, structurile și procedurile de securitate existente în statul terț sau în cadrul organizației internaționale în cauză.

4.

Atunci când există o necesitate pe termen lung pentru SEAE de a schimba informații clasificate la nivelul de maximum RESTREINT UE/EU RESTRICTED cu un stat terț sau cu o organizație internațională și când s-a stabilit că partea în cauză nu deține un sistem de securitate suficient de dezvoltat care să îi permită încheierea unui acord privind securitatea informațiilor, ÎR poate, după ce a primit avizul favorabil unanim al Comitetului de securitate al SEAE, în conformitate cu articolul 14 alineatul (5) din prezenta decizie, să încheie un acord administrativ cu autoritățile de securitate competente ale statului terț sau ale organizației internaționale în cauză.

5.

Nu este permis schimbul de IUEC prin mijloace electronice cu un stat terț sau cu o organizație internațională, cu excepția cazului în care acest lucru este prevăzut în mod explicit în acordul privind securitatea informațiilor sau în acordul administrativ.

6.

În acordurile administrative încheiate de SEAE cu un stat terț sau cu o organizație internațională se prevede obligația ca fiecare parte să desemneze un registru ca principal punct de intrare și de ieșire a informațiilor clasificate care fac obiectul schimbului. Pentru SEAE, acesta va fi registrul central al SEAE.

7.

În general, acordurile administrative iau forma unui schimb de scrisori.

8.

Vizitele de evaluare menționate la articolul 16 din prezenta decizie sunt efectuate de comun acord cu statul terț sau cu organizația internațională în cauză; ele vizează:

9.

Nu este permis schimbul de IUEC înainte ca vizita de evaluare să fi fost efectuată și ca nivelul la care informațiile clasificate pot fi schimbate între părți să fi fost stabilit, pe baza echivalenței nivelului de protecție care va fi atribuit informațiilor respective.

Dacă, în așteptarea acestei vizite de evaluare, ÎR este informat cu privire la existenta unor motive excepționale sau urgente pentru schimbul de informații clasificate, SEAE:

Dacă SEAE nu poate stabili cine este emitentul, autoritatea de securitate a SEAE își asumă responsabilitatea emitentului după obținerea avizului favorabil unanim al Comitetului de securitate al SEAE.

10.

Atunci când pentru schimbul de informații clasificate cu un stat terț sau cu o organizație internațională există un cadru în conformitate cu articolul 10 alineatul (1) din anexa A, decizia ca SEAE să comunice IUEC unui stat terț sau unei organizații internaționale este adoptată de autoritatea de securitate a SEAE, care poate delega această competență unor înalți funcționari ai SEAE sau altor persoane aflate sub conducerea sa.

11.

Dacă SEAE nu este emitentul informațiilor clasificate care urmează a fi comunicate, și nici al materialelor-sursă pe care aceste informații le-ar putea conține, SEAE solicită, mai întâi, consimțământul scris al emitentului, în scopul de a stabili că nu există obiecții cu privire la comunicarea informațiilor respective. Dacă SEAE nu poate stabili cine este emitentul, autoritatea de securitate a SEAE își asumă responsabilitatea emitentului după obținerea avizului favorabil unanim al statelor membre, astfel cum sunt reprezentate în Comitetul de securitate al SEAE.

12.

Atunci când nu există niciunul dintre cadrele menționate la articolul 10 alineatul (1) din anexa A și când interesele UE sau interesele unuia sau mai multor state membre ale acesteia cer comunicarea de IUEC din motive politice, operaționale sau urgente, IUEC pot fi comunicate, în mod excepțional, unui stat terț sau unei organizații internaționale după întreprinderea următoarelor acțiuni.

După ce s-a asigurat că sunt îndeplinite condițiile prevăzute la punctul (11) de mai sus, Direcția de securitate a SEAE:

13.

Dacă nu există niciunul dintre cadrele menționate la articolul 10 alineatul (1) din anexa A, partea terță în cauză se angajează, în scris, să protejeze IUEC în mod corespunzător.

„Acreditare” reprezintă procesul care duce la o declarație formală a autorității de acreditare în materie de securitate (AAS), potrivit căreia un sistem deține aprobarea de a funcționa cu un nivel de clasificare definit, într-un anumit mod de securitate, în mediul său operațional și la un nivel de risc acceptabil, pe baza premisei că a fost pus în aplicare un set aprobat de măsuri de securitate de ordin tehnic, fizic, organizațional și procedural.

„Activ” înseamnă orice reprezintă o valoare pentru o organizație, pentru activitățile sale și pentru continuitatea acestora, inclusiv resursele informaționale care sprijină misiunea organizației.

„Autorizație de acces la IUEC” înseamnă o autorizație din partea Autorității de securitate a SEAE care este obținută în conformitate cu prezenta decizie în urma eliberării unui CSP de către autoritățile competente ale unui stat membru și care certifică faptul că unei persoane îi poate fi acordat accesul la IUEC până la un nivel precizat (CONFIDENTIEL UE/EU CONFIDENTIAL sau superior), până la o anumită dată, odată ce a fost stabilită necesitatea de a cunoaște în cazul său – a se vedea articolul 2 din anexa A I.

„Încălcare” înseamnă o acțiune sau o omisiune a unei persoane, care contravine normelor de securitate prevăzute în prezenta decizie și/sau politicilor în materie de securitate sau orientărilor care stabilesc măsurile necesare pentru punerea în aplicare a acesteia.

„Ciclul de viață al SIC” înseamnă întreaga durată a existenței unui SIC, care include inițierea, conceperea, planificarea, analiza cerințelor, proiectarea, dezvoltarea, testarea, implementarea, utilizarea, mentenanța și dezafectarea.

„Contract clasificat” înseamnă un contract încheiat de SEAE cu un contractant pentru livrarea de bunuri, executarea de lucrări sau prestarea de servicii, a cărui executare necesită sau implică accesul la IUEC sau crearea acestora.

„Subcontract clasificat” înseamnă un contract încheiat de un contractant al SEAE cu un alt contractant (respectiv, subcontractantul) pentru livrarea de bunuri, executarea de lucrări sau prestarea de servicii, a cărui executare necesită sau implică accesul la IUEC sau crearea acestora.

„Sistem informatic și de comunicații” (SIC) înseamnă orice sistem care permite tratarea informațiilor în format electronic. Un sistem informatic și de comunicații cuprinde toate activele necesare pentru a funcționa, inclusiv infrastructura, organizarea, personalul și resursele informaționale – a se vedea articolul 8 alineatul (2) din anexa A.

„Compromiterea IUEC” înseamnă divulgarea totală sau parțială a IUEC unor persoane sau entități neautorizate – a se vedea articolul 8 alineatul (2).

„Contractant” înseamnă o persoană fizică sau juridică care are capacitatea juridică de a încheia contracte.

„Produse criptografice” înseamnă algoritmii criptografici, modulele criptografice hardware și software și produsele care cuprind modalitățile de instalare și documentația aferentă, precum și materialul de criptare.

„Operație PSAC” înseamnă o operație militară sau civilă de gestionare a crizelor în temeiul titlului V capitolul 2 din TUE.

„Declasificare” înseamnă eliminarea clasificării de securitate.

„Apărarea în profunzime” înseamnă aplicarea unor măsuri de securitate organizate pe niveluri de apărare multiple.

„Autoritatea de securitate desemnată” (ASD) înseamnă o autoritate care răspunde în fața autorității naționale de securitate (ANS) a unui stat membru, însărcinată să comunice entităților industriale sau de altă natură politica națională în materie de securitate industrială și să ofere indicații și asistență pentru punerea în aplicare a acesteia. Atribuțiile ASD pot fi îndeplinite de ANS sau de orice altă autoritate competentă.

„Document” înseamnă orice informație înregistrată, indiferent de forma sau caracteristicile sale fizice.

„Scădere a nivelului de clasificare” înseamnă atribuirea unui nivel de clasificare inferior celui anterior.

„Informații UE clasificate” (IUEC) înseamnă orice informații sau materiale desemnate ca atare printr-o clasificare de securitate a UE a căror divulgare neautorizată ar putea cauza prejudicii de diferite grade intereselor Uniunii Europene sau ale unuia sau mai multor state membre – a se vedea articolul 2 litera (f).

„Certificat de securitate industrială” (CSI) înseamnă o decizie administrativă a ANS sau ASD conform căreia, în ceea ce privește securitatea, un local poate oferi un nivel de protecție adecvat IUEC clasificate cu un anumit nivel de clasificare a securității, iar personalul său care are nevoie de acces la IUEC deține certificatul de securitate în acest sens și a fost informat cu privire la cerințele relevante de securitate necesare pentru a avea acces la IUEC și a le proteja.

„Manipularea” IUEC înseamnă toate acțiunile posibile al căror obiect îl pot face IUEC de-a lungul ciclului lor de viață. Aceasta cuprinde crearea, prelucrarea, transportul, scăderea nivelului de clasificare, declasificarea și distrugerea. În relație cu SIC, aceasta cuprinde, de asemenea, colectarea, afișarea, transmiterea și păstrarea.

„Deținător” înseamnă o persoană autorizată corespunzător cu privire la care s-a stabilit necesitatea de a cunoaște, care se află în posesia unei informații UE clasificate și care este responsabilă în mod corespunzător de protecția acesteia.

„Entitate industrială sau de altă natură” înseamnă o entitate implicată în livrarea de bunuri, executarea de lucrări sau prestarea de servicii. Aceasta poate fi o entitate care desfășoară activități în domeniul industriei, al comerțului, al serviciilor, al științei, al cercetării, al educației sau al dezvoltării sau o persoană care desfășoară activități independente.

„Securitate industrială” înseamnă aplicarea de măsuri în vederea asigurării protecției IUEC de către contractanți și subcontractanți în cursul negocierilor anterioare încheierii contractelor și pe toată durata contractelor clasificate – a se vedea articolul 9 alineatul (1) din anexa A.

„Asigurarea informațiilor” (AI) în domeniul sistemelor informatice și de comunicații înseamnă încrederea în faptul că aceste sisteme vor proteja informațiile pe care le gestionează și că ele vor funcționa așa cum trebuie, când trebuie și sub controlul unor utilizatori legitimi. O AI eficace asigură grade adecvate de confidențialitate, integritate, disponibilitate, nerepudiere și autenticitate. AI se bazează pe un proces de gestionare a riscurilor – a se vedea articolul 8 alineatul (1) din anexa A.

„Interconectare” înseamnă, în sensul prezentei decizii, conectarea directă a două sau a mai multor sisteme IT în scopul partajării datelor și a altor resurse informaționale (de exemplu, de comunicații) în mod unidirecțional sau multidirecțional – a se vedea anexa A IV, punctul 31.

„Gestionarea informațiilor clasificate” înseamnă aplicarea unor măsuri administrative pentru a controla IUEC pe durata ciclului lor de viață, în vederea completării măsurilor prevăzute la articolele 5, 6 și 8, contribuind astfel la descurajarea, detectarea și remedierea compromiterii sau pierderii deliberate sau accidentale de astfel de informații. Aceste măsuri se referă, în special, la crearea, înregistrarea, copierea, traducerea, transportul, manipularea, păstrarea și distrugerea IUEC – a se vedea articolul 7 alineatul (1) din anexa A.

„Material” înseamnă orice document sau orice aparat sau echipament deja fabricat sau în curs de fabricație.

„Emitent” înseamnă instituția, agenția sau organismul UE, statul membru, statul terț sau organizația internațională sub a cărei autoritate s-au creat și/sau introdus în structurile UE informații clasificate.

„Securitatea personalului” înseamnă aplicarea unor măsuri prin care se garantează că accesul la IUEC este acordat numai persoanelor:

A se vedea articolul 5 alineatul (1) din anexa A.

„Certificatul de securitate a personalului” (CSP) pentru accesul la IUEC înseamnă o declarație a unei autorități competente a unui stat membru făcută după încheierea unei investigații de securitate efectuate de autoritățile competente ale unui stat membru, care certifică faptul că unei persoane îi poate fi acordat accesul la IUEC până la un nivel precizat (CONFIDENTIEL UE/EU CONFIDENTIAL sau superior), până la o anumită dată, odată ce a fost stabilită necesitatea de a cunoaște în cazul său. Se consideră că persoana astfel descrisă „deține certificatul de securitate”.

„Confirmarea privind deținerea certificatului de securitate a personalului” (CCSP) înseamnă un certificat eliberat de o autoritate competentă care stabilește că o persoană deține certificatul de securitate și deține un CSP național sau un CSP UE valabil și care indică nivelul IUEC la care este permis accesul persoanei respective (CONFIDENTIEL UE/EU CONFIDENTIAL sau superior), data de valabilitate a CSP relevant și data de expirare a confirmării în sine.

„Securitate fizică” înseamnă aplicarea unor măsuri de protecție fizică și tehnică în vederea împiedicării accesului neautorizat la IUEC – a se vedea articolul 6 din anexa A.

„Instrucțiuni de securitate pentru program/proiect” (ISP) înseamnă o listă de proceduri de securitate care sunt aplicate unui program/proiect specific în scopul standardizării procedurilor de securitate. Acestea pot fi revizuite pe parcursul programului/proiectului.

„Înregistrare” înseamnă aplicarea unor proceduri prin care se înregistrează ciclul de viață al informațiilor, inclusiv diseminarea și distrugerea acestora – a se vedea punctul 21 din anexa A III.

„Riscuri reziduale” înseamnă riscuri care persistă după punerea în aplicare a măsurilor de securitate, având în vedere că nu toate amenințările sunt contracarate și nu toate vulnerabilitățile pot fi eliminate.

„Riscuri” înseamnă posibilitatea ca o anumită amenințare să exploateze vulnerabilitățile interne și externe ale unei organizații sau ale oricăruia dintre sistemele pe care aceasta le utilizează și, în consecință, să cauzeze un prejudiciu organizației și activelor sale corporale sau necorporale. Riscurile se măsoară sub forma combinației dintre probabilitatea materializării amenințărilor și impactul acestora.

„Acceptarea riscurilor” înseamnă decizia de a accepta, după tratarea riscurilor, existența în continuare a unui risc rezidual.

„Evaluarea riscurilor” înseamnă identificarea amenințărilor și a vulnerabilităților și efectuarea analizei riscurilor conexe, și anume analiza probabilității și a impactului.

„Comunicarea riscurilor” cuprinde sensibilizarea comunităților de utilizatori ai SIC la riscuri, informarea autorităților de aprobare cu privire la aceste riscuri și raportarea lor către autoritățile operaționale.

„Procesul de gestionare a riscurilor” înseamnă întregul proces de identificare, control și reducere la minimum a evenimentelor incerte care pot afecta securitatea unei organizații sau a oricăruia dintre sistemele pe care aceasta le folosește. Procesul acoperă ansamblul activităților legate de riscuri, inclusiv evaluarea, tratarea, acceptarea și comunicarea.

„Tratarea riscurilor” constă în atenuarea, eliminarea sau reducerea riscurilor (prin combinarea unor măsuri adecvate de ordin tehnic, fizic, organizațional sau procedural), transferul sau monitorizarea riscurilor.

„Anexa de securitate” (AS) înseamnă un set de condiții contractuale speciale, emis de autoritatea contractantă, care este parte integrantă din orice contract clasificat care implică accesul la IUEC sau crearea de IUEC și care identifică cerințele de securitate sau elementele din cadrul contractului care necesită protecție de securitate – a se vedea secțiunea II din anexa A V.

„Ghid al clasificărilor de securitate” (GCS) înseamnă un document care descrie elementele clasificate ale unui program sau contract, precizând nivelurile aplicabile de clasificare de securitate. GCS poate fi extins pe toată durata programului sau a contractului respectiv, iar informațiile pot face obiectul unei reclasificări sau al unei scăderi a nivelului de securitate. Atunci când există, SCG face parte din AS – a se vedea secțiunea II din anexa A V.

„Investigație de securitate” înseamnă procedurile de investigare derulate de autoritatea competentă a unui stat membru, în conformitate cu actele cu putere de lege și dispozițiile administrative naționale ale statului membru în cauză, pentru a garanta că nu există informații defavorabile care ar putea să împiedice o persoană să beneficieze de un CSP național sau UE în vederea accesului la IUEC până la un nivel precizat (CONFIDENTIEL UE/EU CONFIDENTIAL sau superior).

„Proceduri operaționale de securitate” (SecOP) înseamnă descrierea modului de punere în aplicare a politicii de securitate care urmează să fie adoptat, descrierea procedurilor operaționale care trebuie respectate și descrierea responsabilităților care revin personalului.

„Declarație privind cerințele de securitate specifice sistemului” (CSSS) înseamnă un set obligatoriu de principii de securitate care trebuie respectate și de cerințe de securitate detaliate care trebuie puse în aplicare; acest set stă la baza procesului de certificare și acreditare a SIC.

„TEMPEST” înseamnă investigarea, studiul și controlul emisiilor electromagnetice compromițătoare și măsurile de eliminare a acestora.

„Amenințare” înseamnă o cauză potențială a unui incident nedorit care poate aduce prejudicii unei organizații sau oricăruia dintre sistemele pe care aceasta le folosește; amenințările pot fi accidentale sau deliberate (rău intenționate) și sunt caracterizate prin elemente amenințătoare, ținte potențiale și metode de atac.

„Vulnerabilitate” înseamnă un punct slab de orice natură care poate fi exploatat de una sau mai multe amenințări. Vulnerabilitatea poate fi o omisiune sau se poate referi la un punct slab în cadrul controalelor, din punct de vedere al rigurozității, exhaustivității sau omogenității acestora, și poate fi de ordin tehnic, procedural, fizic, organizațional sau operațional.